《网络安全系统规划方案H3C.doc》由会员分享,可在线阅读,更多相关《网络安全系统规划方案H3C.doc(41页珍藏版)》请在三一办公上搜索。
1、()网络安全系统规划方案杭州华三通信技术有限公司2007年4月目 录一、安全系统整体规划31.1.方案设计原则31.2.安全体系模型41.3.方案设计思路5二、网络及安全现状分析72.1.网络结构分析72.2.安全层次的分析模型82.3.安全需求分析92.3.1.网络层92.3.2.系统层102.3.3.管理层102.3.4.用户层112.4.安全需求总结11三、()网络安全整体解决方案133.1.()网络安全总体方案133.1.1.基础设施安全部署153.1.2.防火墙系统防护方案203.1.3.建立内部入侵防御机制233.1.4.建立入侵防御机制253.1.5.建立端点准入控制系统273.
2、1.6.完善的病毒防范机制283.1.7.防DOS设备安全防护方案303.1.8.网络漏洞扫描机制303.1.9.建立科学的安全管理机制33四、安全方案总结36一、 安全系统整体规划1.1. 方案设计原则在规划()信息系统安全时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全解决方案l 体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。l 全局性、均衡性原则安全
3、解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。l 可行性、可靠性原则在采用全面的网络安全措施之后,应该不会对()的网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。l 可动态演进的原则方案应该针对()制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。
4、1.2. 安全体系模型安全方案必须架构在科学的安全体系和安全模型之上,因为安全模型是安全方案设计和分析的基础。只有在先进的网络安全理论模型的基础上,才能够有效地实现我们在上面分析的网络安全系统规划的基本原则,从而保证整个网络安全解决方案的先进性。为了系统、科学地分析网络安全方案涉及的各种安全问题,在大量理论分析和调查研究的基础上,H3C公司提出了i3SAFE网络安全模型,以此模型为基础,可以进行整个网络安全体系的有效的分析与合理规划。下面我们对此网络安全模型进行具体的阐述和说明:i3SAFE安全理论模型示意图i3SAFE安全理论模型是一个三维立体结构,基于此三维结构安全理论模型,形成一个智能的
5、(intelligence),集成的(integrated),定制的(individuality)的网络安全解决方案,真正达到SAFE的目的,下面是每个层次的详细分析描述:l 第一维为应用层次维:这个维度实现对整个信息体系进行描述,通过这个维度,以层次化对整个信息体系进行划分,层次的划分依据信息体系的建设结构,把整个信息体系划分为网络层:提供信息流通的平台;用户层:信息应用的终端;业务层:信息应用的提供层。通过这种抽象的层次的划分,可以以不同的层次对象为目标,分析这些层次对不同的安全服务要素的需求情况,进行层次化的、有针对性的系统安全需求分析。l 第二维为网络空间维:这个维度从实际的信息系统结
6、构的组成的角度,对信息系统进行模块化的划分。基本的模块可以划分为桌面、服务器、外网、内网等几个模块,这些模块的划分可以根据需要进行组合或者细化,进行模块划分的主要目的是为前面相对抽象的安全需求分析提供具体可实施的对象,保证整个安全措施有效可实施性。l 第三维为业务流程维:这个维度主要描述一个完善的网络安全体系建设的流程,这个流程主要的参考P2DR模型,以我们前面进行的需求分析为基础,制定统一的安全策略,同时通过预防(Harden)、保护(Protect)、检测(Detect)、响应(Respond)以及改进(Improve),形成一个闭环的网络安全措施流程。l 纵深维为安全管理维:贯穿于上述三
7、个维度,以及各个维度内部各个层次的是安全管理,我们认为,全面的安全管理是信息网络安全的一个基本保证,只有通过切实的安全管理,才能够保证各种安全技术能够真正起到其应有的作用,常言说:“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术只是配合安全管理的有效的辅助措施。1.3. 方案设计思路通过上述三维安全理论模型,我们可以比较清晰的分析出在一个信息网络系统中,不同系统层次有各自的特点,对安全服务要素的不同的需求的强度,依据这些安全服务要素需求的重点不同,基于这些层次对应的实际结构模块,有针对性地采用一些安全技术和安全产品来实现这些安全服务要素,这些措施形成本层次的安全防护面,不同的层次
8、相互组合衔接,形成一个立体的网络安全防御体系。在下面的()信息系统安全方案设计中,我们将首先通过信息网络的层次划分,把其安全系统划分成若干个安全层次,并针对每一个安全层次,分析其业务安全需求,提出安全解决方案,最后形成一个全面的安全解决方案。同时在方案的设计过程中,遵循我们安全理论模型中的业务流程体系,对所采取的安全措施进行实施阶段的划分,形成一个动态的、可调整的具有强大实施能力的整体安全解决方案。另外,我们认为,网络安全是一个动态的全面的有机整体,传统的网络安全产品单独罗列在网络之上的单点防御部署方法,事实已经证明不能够及时有效的解决网络的威胁,网络安全已经进入人民战争阶段,必须有效整合网络
9、中的每一个节点设备资源,通过加固、联动、嵌入等多种技术手段使安全因素DNA渗透到网络的每一个设备中,为用户提供一个可实现可管理的安全网络。借助多年的网络产品研发经验,H3C已经能够为用户提供多种安全网络构成产品技术,如具有安全特征的网络基础设备、能够与核心路由器、交换机联动的安全设备,安全设备间联动、核心交换机/路由器上的嵌入式安全模块,智能集中策略管理中心等等,用户可以根据网络业务需求选择应用。二、 网络及安全现状分析2.1. 网络结构分析网络为典型的二级结构,其中核心区是一台7505R,服务器群和Internet对外访问链路都接在此核心设备上,向下分为二级交换结构。用来连接内部各个网段。2
10、.2. 安全层次的分析模型以前面介绍的三维安全理论模型为基础,参照我们进行的信息网络系统的层次划分,我们认为整个网络安全系统可以划分为以下几个层次,分别为: 1. 网络层:核心的安全需求为保证网络数据传输的可靠性和安全性,防范因为物理介质、信号辐射等造成的安全风险,保证整体网络结构的安全,保证网络设备配置的安全、同时提供网络层有效的访问控制能力、提供对网络攻击的实时检测能力等。2. 系统层:核心的安全需求为能够提供机密的、可用的网络应用服务,包括业务数据存储和传输的安全,业务访问的身份认证及资源访问权限分配,业务访问的有效的记录和审计,以及特殊应用模式的安全风险:比如垃圾Mail、Web攻击等
11、。3. 管理层:严格规范的管理制度是保证一个复杂网络安全运行的必要条件,通过提供安全的、简便的和功能丰富的统一管理平台,创建全网统一的管理策略,及时对网络进行监控、分析、统计和安全机制的下发,既便于信息的及时反馈和交换,又便于全网统一的安全管理策略的形成。4. 应用层:核心的安全需求为保证用户节点的安全需求,保证用户操作系统平台的安全,防范网络防病毒的攻击,提高用户节点的攻击防范和检测能力;同时加强对用户的网络应用行为管理,包括网络接入能力以及资源访问控制能力等。()网络 下面我们将通过分析在前面描述的德州环抱局的网络及应用现状,全面分析归纳出在不同层次的安全需求。2.3. 安全需求分析2.3
12、.1. 网络层网络层的核心的安全需求为保证网络数据传输的可靠性和安全性,存在的安全风险主要包括以下几个方面:1) 线路的物理安全以及信号辐射的风险:u 局域网线路采用综合布线系统,基本不存在太大的物理安全问题。广域通信线路的如果是租用ISP供应商线路的方式,不会存在太大的安全风险,ISP供应商已经采取了足够的物理保护措施以及线路冗余措施;如果是独立进行的线路铺设,需要采取物理保护、有效标示等防范措施; u 通信线路的信号辐射风险可以采用比较有效的方式为:屏蔽式线缆,线路电磁屏蔽、或者光通信等方式,相对来说信号辐射造成的安全风险不是太大,在一般安全需求强度的应用环境下,不需要采取太多的防范措施。
13、2) 网络结构以及网络数据流通模式的风险:u 现有主要的网络结构为星形、树形、环形以及网状,随着网络节点间的连接密度的增加,整个网络提供的线路冗余能力也会增加,提供的网络数据的流动模式会更灵活,整个网络可靠性和可用性也会大大的增加。u ()的网络结构,能够满足数据流动模式的需求,是一种性价比最高的连接方式,为了保证网络系统的可靠性,将来可以采取的有效可行的措施是加强线路备份措施的实施。3) 网络设备安全有效配置的风险:u 网络设备是网络数据传输的核心,是整个网络的基础设施,各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。4) 网络攻击行为的检测和防范的
14、风险:u 基于网络协议的缺陷,尤其是TCP/IP协议的开放特性,带来了非常大的安全风险,常见的IP地址窃取、IP地址假冒,网络端口扫描以及危害非常大的拒绝服务攻击(DOS、DDOS)等,必须能够提供对这些攻击行为有效的检测和防范能力的措施。5) 网络数据传输的机密性和完整性的风险:u 网络数据在传输的过程中,很可能被通过各种方式窃取,因此保证数据在传输的过程中机密性(保证数据传递的信息不被第三方获得),完整性(保证数据在传递过程中不被人修改)是非常重要的,尤其是在传递的信息的价值不断提高情况下。2.3.2. 系统层1) 服务器及数据存储系统的可用性风险:u 业务系统的可靠性和可用性是网络安全的
15、一个很重要的特性,必须保证业务系统硬件平台(主要是大量的服务器)以及数据硬件平台(主要是存储系统)的可靠性。2) 操作系统和网络服务平台的安全风险:u 通过对各种流行的网络攻击行为的分析,可以发现绝大多数的攻击是利用各种操作系统和一些网络服务平台存在的一些已公开的安全漏洞发起,因此,杜绝各种操作系统和网络服务平台的已公开的安全漏洞,可以在很大程度上防范系统攻击的发生。3) 用户对业务访问的有效的记录和审计:u 业务系统必须能够对用户的各种访问行为进行详细的记录,以便进行事后查证。2.3.3. 管理层1) 用户身份认证及资源访问权限的控制:u 由于网络中的各个应用系统上有很多信息是提供给不同权限
16、用户查阅的,不同级别、不同部门、不同人员能够访问的资源都不一样,因此需要严格区分用户的身份,设置合理的访问权限,保证信息可以在被有效控制下共享。2) 来自不同安全域的访问控制的风险:u 网络结构越来越复杂,接入网络的用户也越来越多,必须能够在不同的网络区域之间采取一定的控制措施,有效控制不同的网络区域之间的网络通信,以此来控制网络元素间的互访能力,避免网络滥用,同时实现安全风险的有效的隔离,把安全风险隔离在相对比较独立以及比较小的网络区域。3) 用户网络访问行为有效控制的风险:u 首先需要对用户接入网络的能力进行控制,同时需要更细粒度的访问控制,尤其是对Internet资源的访问控制,比如应该
17、能够控制内部用户访问Internet的什么网站。在此基础之上,必须能够进行缜密的行为审计管理。2.3.4. 用户层4) 用户操作系统平台安全漏洞的风险:u 大部分的网络攻击行为以及网络病毒的传播都是由于操作系统平台本身存在的安全漏洞,微软不断发布系统补丁即是明证,因此必须有效避免系统漏洞造成的安全风险,同时对操作系统的安全机制进行合理的配置。5) 用户主机遭受网络病毒攻击的风险:u 网络给病毒的传播提供了很好的路径,网络病毒传播速度之快、危害之大是令人吃惊的,特别是最近开始流行的一些蠕虫病毒,更是防不胜防,环境下必须建设全面的网络防病毒系统,层层设防,逐层把关,堵住病毒传播的各种可能途径。6)
18、 针对用户主机网络攻击的安全风险:u 目前Internet上有各种完善的网络攻击工具,在局域网的环境下,这种攻击会更加有效,针对的目标会更加明确,据统计,有97的攻击是来自内部的攻击,而且内部攻击成功的概率要远远高于来自于Internet的攻击,造成的后果也严重的多。2.4. 安全需求总结通过以上分析,()网络系统最迫切需要解决的问题包括:1 在网络边界部署防火墙系统,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, te
19、ar drop, )、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。2 部署IPS入侵防御系统,及时发现并过滤来自内部和外部网络的非法入侵和扫描,并对所有的网络行为进行详细的审计,对恶意的网络活动进行追查,对应用流量和服务器群进行保护。3 部署全网统一的防病毒系统,保护系统免受病毒威胁。4 提供终端用户行为管理工具,强制规范终端用户行为,终端用户安全策略集中下发,实时审计。5 网络中部署的各种安全产品不再孤立,提供多种安全产品/网络设备联动防御,防火墙,IPS,交换机
20、,防病毒、身份认证,策略管理、终端用户行为规范工具之间能够集中联动,主动动态防御。6 提供灵活智能的安全策略/设备集中管理中心平台,制定符合()实际需求的安全管理规定。三、 ()网络安全整体解决方案3.1. ()网络安全总体方案在()总体安全规划设计中,我们将按照安全风险防护与安全投资之间的平衡原则(主要包括层次化的综合防护原则和不同层次重点防护原则),提出以下的安全风险和防护措施,从而建立起全防御体系的信息安全框架。由此,在本期总体安全规划建设中,应主要针对()的薄弱环节,构建完善的网络边界防范措施、网络内部入侵防御机制、完善的防病毒机制、增强的网络抗攻击能力以及网络系统漏洞安全评估分析机制
21、等。详细描述如下:l 首先,是对网络边界安全风险的防护对于一个网络安全域(局域网网络内部相对来说认为是安全的)来说,其最大的安全风险则是来自网络边界的威胁,其中包括非授权访问、恶意探测和攻击、非法扫描等。而对于()网络来说,互联网及相对核心网的网络均为外网,它们的网络边界处存在着内部或外部人员的非授权访问、有意无意的扫描、探测,甚至恶意的攻击等安全威胁,而防火墙系统则是网络边界处最基本的安全防护措施,而互联网出口更是重中之重,因此,很有必要在互联网出口出部署防火墙系统,建议配置两台高性能千兆防火墙组成双机热备系统,以保证网络高可用性。l 其次,是建立网络内部入侵防御机制在互联网出口、内网出口等
22、边界处利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够,还需要通过对网络入侵行为进行主动防护来加强网络的安全性。 因此,()系统安全体系必须建立一个智能化的实时攻击识别和响应系统,管理和降低网络安全风险,保证网络安全防护能力能够不断增强。目前网络入侵安全问题主要采用网络入侵监测系统和入侵防御系统等成熟产品和技术来解决。因此,需要在外网交换机、内网交换机和服务器前端等流量主通路上配置相关的千兆或百兆IPS系统,负责辨别并且阻断各种基于应用的网络攻击和危险应用,同时实现基于应用的网络管理,达到网络安全、健壮和流畅运
23、行的最终目的l 第三,建立端点准入控制系统网络安全问题的解决,三分靠技术,七分靠管理,严格管理是()网络用户免受网络安全问题威胁的重要措施。事实上,用户终端都缺乏有效的制度和手段管理网络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;随意接入网络、私设代理服务器、私自访问保密资源等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使机关蒙受巨大的损失。为了解决现有网络安全管理中存在的不足,应对网络安全威胁,网络需要从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、软件补丁管理产品的联动,对接
24、入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。l 第四,是构建完善的病毒防范机制对于建立完善的防病毒系统来说,同样也是当务之急的,必须配备网络版的防病毒系统进行文件病毒的防护。另外,对于网络病毒来说,如果能够做到在网络出口处就将其封杀、截留的话,不仅能够降低病毒进入网络内部所造成的安全损失风险,更重要的是防止了病毒进入内部所带来的带宽阻塞或损耗,有效地保护了网络带宽的利用率。因此,这种前提下,可以在互联网出口处配置硬件病毒网关或者基于应用的入侵防御系统的方式进行解决。特别是,对于消耗网络带宽,造成网络通信中断的蠕虫病毒
25、是一个十分有效的措施。l 第五,是加强网络的抗攻击能力拒绝服务攻击是一种对网络危害巨大的恶意攻击。其中,具有代表性的攻击手段包括 SYN flood、ICMP flood、UDP flood等其原理是使用大量的伪造的连接请求报文攻击网络服务所在的端口,比如 80(WEB), 造成服务器的资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击这种攻击则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成 WEB Server 的资源耗尽,导致服务中止。随着()信息化工作的深入开展,其网络中存在着大量的网络设备、安全设备、服务器设备等,如何保护它们和整个网络不受DDOS的攻击则是网络
26、整体防范中的重点。而对付大规模的DDOS攻击的最好的方式除了及时对网络设备、服务器设备进行漏洞扫描,升级补丁进行主机系统加固外,还有一种方式就是在互联网出口或者核心服务器前端配置防DOS攻击设备,来保护内部网络的安全。l 第六,建立网络系统漏洞的评估分析机制最后,网络安全的建设是一个动态的、可持续的过程,当网络中增加了新的网络设备、主机系统或应用系统,能够及时发现并迅速解决相关的安全风险和威胁,实施专门地安全服务评估扫描工具是很有必要的。通过专业的网络漏洞扫描系统对整个网络中的网络设备、信息资产、应用系统、操作系统、人员以及相关的管理制度进行评估分析,找出相关弱点,并及时提交相关解决方法,使得
27、网络的安全性得到动态的、可持续的发展,保证了整个网络的安全性。l 本期总体安全规划建设完成后的效果通过在本期总体安全规中包括的几个重要方面的安全防护建设,包括构建完善的网络边界防范措施、网络内部入侵防御机制、移动用户远程安全访问机制、完善的防病毒机制、增强的网络抗攻击能力以及网络系统漏洞安全评估分析机制等,最终可以使()网络初步具备较高的抗黑客入侵能力,全面的防毒、查杀毒能力以及对整网漏洞的评估分析能力,从而建立起全防御体系的信息安全框架,基本达到GB 17859中规定的二级安全防护保障能力。3.1.1. 基础设施安全部署3.1.1.1. 分级设置用户口令H3C系列路由器、交换机的登录口令分为
28、4级:参观级、监控级、配置级、管理级,不同的级别所能做的操作都不相同。l 参观级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet客户端、SSH客户端、RLOGIN)等,该级别命令不允许进行配置文件保存的操作。l 监控级:用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操作。l 配置级:业务配置命令,包括路由、各个网络层次的命令,这些用于向用户提供直接网络服务。l 管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑作用,包括文件系统、FTP、TFTP、Xmodem下载
29、、配置文件切换命令、电源控制命令、背板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令(非协议规定、非RFC规定)等。建议分级设置登录口令,以便于对于不同的维护人员提供不同的口令。3.1.1.2. 对任何方式的用户登录都进行认证建议对于各种登录设备的方式(通过TELNET、CONSOLE口、AUX口)都进行认证。在默认的情况下,CONSOLE口不进行认证,在使用时建议对于CONSOLE口登录配置上认证。对于安全级别一般的设备,建议认证方式采用本地认证,认证的时候要求对用户名和密码都进行认证,配置密码的时候要采用密文方式。用户名和密码要求足够的强壮。对于安全级别比较高的设备,建议采用A
30、AA方式到RADIUS或TACACS+服务器去认证。H3C系列路由器、交换机支持RADIUS和TACACS+认证协议。3.1.1.3. 对网络上已知的病毒所使用的端口进行过滤现在网络上的很多病毒(冲击波、振荡波)发作时,对网络上的主机进行扫描搜索,该攻击虽然不是针对设备本身,但是在攻击过程中会涉及到发ARP探询主机位置等操作,某些时候对于网络设备的资源消耗十分大,同时会占用大量的带宽。对于这些常见的病毒,通过分析它们的工作方式,可知道他们所使用的端口号。为了避免这些病毒对于设备运行的影响,建议在设备上配置ACL,对已知的病毒所使用的TCP、UDP端口号进行过滤。一方面保证了设备资源不被病毒消耗
31、,另一方面阻止了病毒的传播,保护了网络中的主机设备。3.1.1.4. 采用网络地址转换技术保护内部网络地址转换,用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址;外部网络基本上不可能穿过地址代理来直接访问内部网络。 通过配置,用户可以指定能够通过地址转换的主机,以有效地控制内部网络对外部网络的访问。结合地址池,还可以支持多对多的地址转换,更有效地利用用户的合法IP地址资源。H3C系列路由器可以提供灵活的内部服务器的支持,对外提供WEB、FTP、SMTP等必要的服务。而这些服务器放置在内部网络中,既保证了安全,又可方便地进行服务器的维护。3.1.1.5.
32、关闭危险的服务如果在H3C系列路由器上不使用以下服务的时候,建议将这些服务关闭,防止那些通过这些服务的攻击对设备的影响。l 禁止HDP(Huawei Discovery Protocol);l 禁止其他的TCP、UDP Small服务。路由器提供一些基于TCP和UDP协议的小服务如:echo、chargen和discard。这些小服务很少被使用,而且容易被攻击者利用来越过包过滤机制;l 禁止Finger、NTP服务。Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的,但是如果没有一个很好的认证,则会影响路由器正确时间,导致日志和其他任务出错;l 建议禁止HTTP服务。路由
33、器操作系统支持Http协议进行远端配置和监视,而针对Http的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护,这使得用Http进行管理相当危险;l 禁止BOOTp服务;l 禁止IP Source Routing;l 明确的禁止IP Directed Broadcast;l 禁止IP Classless;l 禁止ICMP协议的IP Unreachables,Redirects,MaskReplies;l 如果没必要则禁止WINS和DNS服务;l 禁止从网络启动和自动从网络下载初始配置文件;l 禁止FTP服务,网络上存在大量的FTP服务,使用不同的用户名和密码进行尝
34、试登录设备,一旦成功登录,就可以对设备的文件系统操作,十分危险。3.1.1.6. 使用SNMP协议时候的安全建议在不使用网管的时候,建议关闭SNMP协议。出于SNMPv1/v2协议自身不安全性的考虑,建议尽量使用SNMPv3,除非网管不支持SNMPv3,只能用SNMPv1/v2。在配置SNMPv3时,最好既鉴别又加密,以更有效地加强安全。鉴别协议可通过MD5或SHA,加密协议可通过DES。在SNMP服务中,提供了ACL过滤机制,该机制适用于SNMPv1/v2/v3三个版本,建议通过访问控制列表来限制SNMP的客户端。SNMP服务还提供了视图控制,可用于SNMPv1/v2/v3。建议使用视图来限
35、制用户的访问权限。在配置SNMPv1/v2的community名字时,建议避免使用public、private这样公用的名字。并且在配置community时,将RO和RW的community分开,不要配置成相同的名字。如果不需要RW的权限,则建议不要配置RW的community。3.1.1.7. 保持系统日志的打开H3C系列路由器、交换机的系统日志会记录设备的运行信息,维护人员做了哪些操作,执行了哪些命令。系统日志建议一直打开,以便于网络异常的时候,查找相关的记录,并能提供以下几种系统信息的记录功能:l access-list的log功能:在配置access-list时加入log关键字,可以在
36、交换机处理相应的报文时,记录报文的关键信息;l 关键事件的日志记录:对于如接口的UP、DOWN以及用户登录成功、失败等信息可以作记录;l Debug信息:用来对网络运行出现的问题进行分析。3.1.1.8. 注意检查设备的系统时间是否准确为了保证日志时间的准确性,建议定期(每月一次)检查设备的系统时间是否准确,和实际时间误差不超过1分钟。3.1.1.9. 运行路由协议的时候,增加对路由协议的加密认证现网上已经发现有对BGP的攻击,导致BGP链路异常断链。建议对于现在网络上使用的ISIS、BGP路由协议,对报文进行加密认证。由于采用明文验证的时候,会在网络上传播验证密码,并不安全,所以建议使用MD
37、5算法,对于密钥的设置要求足够的强壮。在增加了对于路由协议报文的加密认证会略微增加设备的CPU利用率,由于对于路由协议报文的处理在主控板,而对于数据的转发是由接口板直接处理,所以路由协议增加了对报文的加密验证,不会影响设备的转发。3.1.1.10. 设备上开启URPF功能URPF通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与入接口匹配,如果不匹配,认为源地址是伪装的,丢弃该报文。通过这种方式,URPF就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。通过URPF,可以防止基于源地址欺骗的网络攻击行为。H3C系列核心路由器的各种板卡均支持URP
38、F功能,并支持strict、loose和ACL三种模式。3.1.1.11. ICMP协议的安全配置ICMP协议很多具有一些安全隐患,因此在骨干网络上,如果没有特别需要建议禁止一些ICMP协议报文:ECHO、Redirect、Mask request。同时禁止TraceRoute命令的探测。对于流出的ICMP流,可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。这些的措施通过ACL功能都可以实现,H3C系列核心路由器的ACL命令中包含icmp-type安全选项。3.1.1.12. DDOS攻击的防范DDoS(分布式拒绝服务),
39、它的英文全称为Distributed Denial of Service,它是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如商业公司,搜索引擎和政府部门的站点。典型攻击包括Smurf、TCP SYN、LAND.C等攻击类型对于这些攻击需要在发现问题后接入层面实施,先探测到DDOS攻击源和攻击使用的端口(这个功能可以通过端口镜像,将数据流镜像到专门的设备上进行分析,以获取攻击源和攻击使用的端口),然后对攻击源的通信进行限制,这类防范手段也可以通过ACL来实现。H3C系列核心路由器全面支持ACL包过滤功能,可以双向配置32K条ACL,同时,由于
40、ACL完全由硬件实现,启动ACL后对于设备转发性能不会造成影响。3.1.1.13. 端口验证技术基于端口的验证,是由IEEE进行标准化的验证方法,标准号是802.1x。IEEE 802.1x定义了基于端口的网络接入控制协议(port based net access control) ,用于交换式的以太网环境。要求与客户和与其直接相连的设备都实现802.1x。当应用于共享式以太网环境时,应对用户名,密码等关键信息进行加密传输。在运营过程中,设备也可以随时要求客户重新进行验证。该协议适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。主要功能是限制未授权设备(如
41、用户计算机),通过以太网交换机的公共端口访问局域网。3.1.1.14. 防地址假冒技术为了加强接入用户的控制和限制,H3C系列以太网交换机支持4种地址安全技术:l 支持设置端口的学习状态。关闭端口的地址学习功能后,该端口上只能通过认识的MAC 地址(一般是用户手工配置的静态MAC地址),来自其它陌生MAC地址的报文均被丢弃。l 支持设置端口最多学习到的MAC地址个数。开启端口的地址学习功能后,可以配置允许学习的MAC地址个数范围在165535之间。当端口已经学习到允许的MAC地址个数后,将停止学习新MAC地址,直到部分MAC地址老化后,才开始学习新MAC地址。l 支持端口和MAC地址绑定。通过
42、在端口上配置静态MAC地址,并禁止该端口进行地址学习,就限定了在该端口上允许通过的MAC地址,来自其它MAC地址的报文均被丢弃。l 支持广播报文转发开关。可在端口上配置,禁止目的地址为广播地址的报文从该端口转发,以防止Smurf攻击。3.1.2. 防火墙系统防护方案网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制,采用安全检测手段防范非法用户的主动入侵。在防火墙上通过设置安全策略增加对服务器的保护,同时必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构,使用日志来对非法访问进行监控,使用防火墙与交换机、入侵防御联动功能形成动态、自适应的安全防护平台。下面将从几个方面介绍防火墙在(
43、)网络的设计方案。3.1.2.1. 防火墙对服务器群的保护由于各种应用服务器等公开服务器属于对外提供公开服务的主机系统,因此对于这些公开服务器的保护也是十分必要的;具体可以利用防火墙划分DMZ区,将公开服务器连接在千兆防火墙的DMZ区上。对于防火墙系统而言,其接口分别可以自行定义为DMZ(安全服务器网络)区、内网区、外网区共三个区域。DMZ(安全服务器网络)区是为适应越来越多的用户向Internet上提供服务时对服务器保护的需要,防火墙采用特别的策略对用户的公开服务器实施保护,它利用独立网络接口连接公开服务器网络,公开服务器网络既是内部网的一部份,又与内部网物理隔离。既实现了对公开服务器自身的
44、安全保护,同时也避免了公开服务器对内部网的安全威胁。3.1.2.2. 防火墙对核心内部业务网的保护对于核心内部业务网部分,在实施策略时,也可以配置防火墙工作与透明模式下,并设置只允许核心内部网能够访问外界有限分配资源,而不允许外界网络访问核心内部网信息资源或只允许访问有限资源;也可以在防火墙上配置NAT或MAP策略,能够更好地隐藏内部网络地址结构等信息,从而更好地保护核心内部网的系统安全。3.1.2.3. 防火墙对网络边界的保护对于()网络各个网络边界而言,每个单独地网络系统都是一个独立的网络安全区域,因此在网络边界处配置一台高性能防火墙系统,制定安全的访问策略,不仅可以有效地保护内部网络中的
45、系统和数据安全,还可以防止各网络之间有意无意地探测和攻击行为。防火墙部署网络边界,以网关的形式出现。部署在网络边界的防火墙,同时承担着内网、外网、DMZ区域的安全责任,针对不同的安全区域,其受信程度不一样,安全策略也不一样。 防火墙放置在内网和外网之间,实现了内网和外网的安全隔离。 防火墙上划分DMZ区,隔离服务器群。保护服务器免受来自公网和内网的攻击。 在防火墙上配置安全访问策略,设置访问权限,保护内部网络的安全。 当客户网络有多个出口,并要求分别按业务、人员实现分类访问时,在防火墙上启用策略路由功能,保证实现不同业务/人员定向不同ISP的需求。 防火墙具有对业务的良好支持,作为NAT AL
46、G或者ASPF过滤,都能够满足正常业务的运行。 防火墙易于管理,让管理员舒心。内网内网用户内网用户内网用户防火墙服务器群DMZ区接入网1接入网23.1.2.4. 数据中心的安全防护在防火墙上除了通过设置安全策略来增加对服务器或内部网的保护以外,同时还可以启用防火墙日志服务器记录功能来记录所有的访问情况,对非法访问进行监控;还可以使用防火墙与将要实施的入侵防御系统之间的实时联动功能,形成动态、完整的、安全的防护体系。数据中心是安全的重点,性能、可靠性以及和IPS入侵防御的联动都必须有良好的表现。防火墙具有优异的性能,可靠性方面表现不凡,结合入侵防御系统,可以实现高层次业务的数据安全。本组网方案中
47、,同时我们充分考虑到管理的方便性,如果需要在远程通过internet接入的方法对内部网络进行管理,可以结合VPN业务,既保证了安全,也实现了管理的方便。 2台热备的防火墙将数据中心内部服务器和数据中心外部的Intranet隔离起来,有效的保护了数据中心内部服务器。 防火墙可以根据VLAN划分虚拟安全区,从而可以方便地把不同业务服务器划分到不同安全区里,实现了数据中心内部的不同业务区的隔离和访问控制。 管理员通过IPSec VPN保证管理流量的私密性和完整性。专门部署一个VPN网关,管理员终端设备上安装安全客户端,结合证书认证和USB key,保证管理员的身份不被冒充,从而实现方便的管理。 防火墙和IPS入侵防御系统联合使用,检测从二层到七层的全部协议数据包,保证任何形式和类型的攻击都不会被漏掉。有效地保护了网络应用管理员客户端运营系统物流系统信息系统网管服务器安全策略服务器日志服务器VPN用户业务流量管理员管理流量普通用户防火墙提供