《公司网络系统规划方案.doc》由会员分享,可在线阅读,更多相关《公司网络系统规划方案.doc(60页珍藏版)》请在三一办公上搜索。
1、版本号:V1.0密级:机密xxxxxxxxx网络系统规划方案xxxxxxxxx公司2009年11月目 录1概述21.1项目简介21.2设计原则22网络现状及分析52.1网络结构现状52.2现有安全措施52.3需求分析62.3.1高可用性需求62.3.2高安全性需求63网络系统整体规划73.1总体拓扑图73.2总体设计描述73.2.1网络架构设计83.2.2网络高可用性设计83.2.3网络安全设计84网络系统架构设计94.1设计理念94.2总体设计114.2.1网络架构拓扑图114.2.2区域结构设计124.2.3生产服务器连接135网络系统高可用性设计155.1总体设计155.2设备高可用15
2、5.3线路高可用155.4生成树协议高可用155.5网关高可用165.6路由协议高可用165.7服务器高可用166网络安全设计206.1总体设计216.2基础网络设备(路由器交换机)安全226.2.1关闭不必要的服务226.2.2开启保护服务246.2.3接口安全246.2.4HSRP安全266.2.5DHCP安全276.2.6ARP安全286.2.7设备层面DOS防护306.2.8管理安全316.3边界防护326.3.1边界防火墙规划326.3.2入侵防御系统规划336.3.3DDOS防御系统规划336.3.4远程接入系统规划376.4终端安全386.4.1终端准入控制386.4.2访客准入
3、控制426.5应用层安全466.5.1常见的应用层攻击手段476.5.2应用层安全解决方案476.5.3应用层安全可选产品486.6防病毒建议486.7安全管理506.7.1设备安全管理506.7.2双因素动态口令认证系统516.7.3日志服务器部署546.7.4NTP服务部署546.7.5漏洞管理556.7.6安全威胁管理556.8安全审计561 概述1.1 项目简介本方案旨在为“xxxxxxxxx公司”(以下简称xxxxxxxxx公司)建立一套高性能、高可用性、高管理性的网络和信息安全系统,有效支撑并保证xxxxxxxxx公司正常生产运行及日常办公的网络需求,保护用户信息系统资源(各种生产
4、服务器、办公计算机)的稳定运行和信息安全,形成一套完整的网络安全系统支撑架构。1.2 设计原则网络基础架构建设是一个系统工程,xxxxxxxxx公司的网络和信息安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。在设计整体的安全防护体系架构时,我们将遵循以下原则: 1) 整体性原则在网络安全领域存在“木桶原理”,即外部和内部威胁往往会从最为薄弱的环节对整个网络进行破坏。因此单纯强调一种安全手段,绝不可能解决全部的安全问题。xxxxxxxxx公司网络和信息安全解决方案
5、将运用系统工程的观点、方法,从网络整体角度出发,分析xxxxxxxxx公司网络的安全问题,看待和分析各种安全措施的使用,提出一个具有相当高度、可扩展性的安全解决方案。2) 多重保护原则任何安全保护措施都不是绝对安全的,都存在被攻破的可能。因此需要建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层的保护仍可保护信息的安全。基于这点考虑,在做安全方案设计时不能把整个系统的安全寄托在单一的安全措施或安全产品上,应该采取多重防护原则,以确保信息系统安全。3) 平衡性原则对任意网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对其所面临的威胁及可能承担的风险进行定性与定
6、量相结合的分析,并制定规范和措施,确定系统的安全策略,以实现保护成本与被保护信息的价值平衡。因此,在设计xxxxxxxxx公司网络和信息安全方案时,将均衡考虑各种安全措施的效果,提供具有最优的性能价格比的安全解决方案。安全需要付出代价(资金、性能损失等),但是任何单纯为了安全而不考虑代价的安全方案都是不切实际的。 可管理、易操作原则安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。同时,所采用的措施不能影响系统正常运行。设计方案应该尽量采用最新的安全技术,实现安全管理的自动化,以减轻安全管理的负担。同时减小因为管理上的疏漏而对系统安全造成的威胁。 适应性、灵活性原则安
7、全措施必须能随着网络性能及安全需求的变化而变化,要做到高适应性、易修改性。因此应充分考虑今后业务和网络安全协调发展的需求,从而避免因只满足了系统安全要求,而给业务发展带来障碍的情况发生。 可靠性、安全性原则作为一个工程项目,可靠性是设计网络安全方案的根本和最终目的,它将直接影响到网络通信平台的畅通,是安全系统和网络通信平台正常运行的保证。 技术与管理并重原则所谓“三分技术,七分管理”,从技术角度出发的安全方案的设计必须有与之相适应的管理制度同步制定,并从管理的角度评估安全设计方案的可操作性。 可实施性原则安全体系结构的制定必须与网络的安全需求相一致,在设计网络安全方案时需要充分考虑在实施中的风
8、险及实施周期和成本,对潜在的风险做了充分的分析并给出相应的解决对策。 投资保护原则要充分发挥现有设备的潜能,避免投资的浪费。本方案中充分考虑了在现有的网络架构下对安全防护体系进行升级,尽量利用现有设备的安全特性,保护原有的基础设施投资。2 网络现状及分析2.1 网络结构现状xxxxxxxxx公司网络现状如下图所示:xxxxxxxxx公司网络分为核心层、汇聚层和接入层,标准三层网络设计。核心交换机没有发挥作用,汇聚交换机负责所有流量的转发,都存在单点故障。接入层交换机型号较老,不支持交换机安全特性。2.2 现有安全措施xxxxxxxxx公司在到达集团总部和Internet只部署xxxx路由器,没
9、有防火墙部署。xxxxxxxxx公司综合业务网内部署有瑞星企业版杀毒软件。2.3 需求分析根据xxxxxxxxx公司网络安全评估报告具体分析,以及我公司和用户多次沟通,对用户的需求按照“高可用性需求”和“高安全性需求”两个方面进行具体分析如下:2.3.1 高可用性需求1) 核心设备高可用性:核心设备采用双台配置,实现核心转发设备层面的高可用性。2) 网络结构高可用性:重要汇聚层设备、核心层设备和汇聚层设备互联链路等实现高可用性。3) 生成树协议高可用性:实现生成树协议的高可用性,避免网络环路,提高收敛速度。4) 网关高可用性:实现用户和服务器网关的高可用性,避免三层网关故障。5) 路由协议高可
10、用性:实现路由协议的高可用性,避免网络环路,提高收敛速度。6) 服务器高可用性:服务器系统实现高可用性。2.3.2 高安全性需求1) 设备层面安全:实现设备层面的安全,比如关闭不必要的服务、接口安全、DHCP安全、ARP安全等防护考虑。2) 边界防护安全:网络边界安全防护,包括防火墙、防DDoS、入侵防护等设计。3) 终端安全:内网终端的安全控制措施,包括认证审计、安全控制、应用软件控制等。4) 应用层安全:应用层面的安全控制和安全防护。5) 防病毒:网络防病毒体系建设。6) 安全管理:包括设备安全管理内容,包括AAA、双因素认证和安全威胁管理、日志服务器、NTP服务器等内容。3 网络系统整体
11、规划3.1 总体拓扑图网络整体分为三个区域,分别是内网区域、DMZ区域和外网防护区域,其中各自功能分析如下: 外网防护区域:主要对外网访问进行防护,包括双层异构防火墙设计、防DDoS攻击设计、入侵防护设计等; DMZ区域:主要放置对外提供服务的服务器,主要包括负载均衡设计、SSL VPN设计和WEB安全网关设计; 内网区域:是网络整体核心,主要包括内部园区网络设计、应用服务器负载均衡设计、安全管理设计和内网安全设计。3.2 总体设计描述xxxxxxxxx公司网络规划方案主要包括三个部分:网络结构设计、网络高可用性设计、网络安全设计。3.2.1 网络架构设计采用双核心交换机方式承载整个局域网中的
12、数据流量,并对二层结构进行逻辑分层设计,使网络结构清晰。具体设计详见第4章。3.2.2 网络高可用性设计采用冗余链路、结合生成树高可用设计、网关高可用设计、路由协议高可用设计、服务器高可用设计等,使整体网络系统实现高可用性。具体设计详见第5章。3.2.3 网络安全设计通过基础网络设备安全、边界防护安全(防火墙、入侵防御系统、DDoS防御系统、远程接入系统)、终端安全,防病毒系统、漏洞管理系统、安全管理等安全优化措施,保障全网安全稳定运行。具体设计详见第6章。4 网络系统架构设计4.1 设计理念网络基础架构设计和网络信息安全设计本身是密不可分、相辅相成的。信息安全系统的建设要依靠合理、先进的网络
13、基础架构来实现,因此在规划xxxxxxxxx公司整体网络和信息安全系统方案的时候,我们引入新的层次型网络和信息安全区域模型。该模型由“垂直分层,水平分区”的设计思想系统阐述了xxxxxxxxx公司网络和信息安全区域设计的实现方法。1) 垂直分层按照网络通用设计模型,在网络垂直层面分为核心层、汇聚层、接入层,每层功能分析如下: 核心层:安全等级为1,核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。核心层设备采
14、用双机冗余热备份是非常必要的,也可以使用负载均衡功能来改善网络性能。 汇聚层:安全等级为2,汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。接汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中,应该采用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的。 接入层:安全等级为3:接入层向本地网段提供工作站接入。在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。入层可以选择不支持VLAN和三层交换技术的普通交换机。2) 水平分区网络安全区域是一个具有相同安全风险
15、、相同安全防护等级、相同用户访问需求及相同功能模块的集合。如果整体网络体系内不划分安全区域,则任意一个网络层次因日常运行维护或内部/外部攻击发生故障后,会导致整个应用系统的瘫痪。因此,同一网络安全层次(等级)内的资源,根据对企业的重要性、面临的外来攻击风险、内在的运维风险不同,还需要进一步划分成多个网络安全区域。划分的原则是将同一网络安全层次内服务器之间的网络连接控制在区域内部,尽量消除同一安全层次内部安全区域之间的网络连接;划分的目的是为了对同一安全层次内各安全区域实施相互逻辑/物理隔离,以便最大程度降低网络安全层次的运行维护风险和内部/外部攻击风险。水平分区隔离,可以有效的分散网络安全层次
16、的运行维护风险和安全攻击风险。在运行维护风险方面,网络设备的故障和各种操作失误都会对相关联设备造成影响。有效的分区隔离,可以将这种风险限制在较小的区域内部,有利于保证整体应用系统的网络安全运行。在安全攻击风险方面,当黑客通过某种攻击手段侵入某一安全区域后,由于安全区域之间水平隔离,黑客的攻击不能继续扩散到安全层次内的其他区域,使得安全风险可以被限制在最小的范围内。例如:当一个安全区域内部一个服务器因为存在安全漏洞而被感染上病毒或被黑客攻占后,从这台染毒/被攻占机器发起,进行病毒和其他恶意攻击的影响范围将被控制在安全区域内部,不可能对整个安全层次造成大范围的影响。同时,安全层次内部的分区隔离,还
17、能有效的防范源自内部的各种安全攻击行为,为不同应用系统维护人员确定明确维护范围,确保应用系统的整体安全。为降低运维风险和攻击风险,平衡投资成本和管理维护成本,同一安全层次可以由2-4个物理交换机域组成,一个物理交换机域可以包含多个外部攻击风险相近的安全区域,但是一个网络安全区域只能存在于一个物理交换机域,同一物理交换机域内不同安全区域之间仍然需要利用独立防火墙、独立入侵监测系统、ACL或交换机板卡式防火墙实现逻辑隔离。3) 网络安全区域划分模型的优点垂直分层,水平分区的层次型网络安全区域模型是综合考虑了同一应用系统对外提供服务时内部不同层次之间存在的安全等级差异,以及同一安全等级(层次)内的不
18、同应用系统资源之间有隔离的需求等多方面的因素得出的,比起传统的依据应用系统的安全域划分方法主要存在以下3个方面的优点: 边界清晰,定位明确。由于层次型网络安全区域模型是在对应用的层次结构进行分析以及同层次间不同应用的隔离需求的分析基础上建立的,因此在该模型中,各个安全层次和区域的划分方法相较于传统的根据业务类型划分的方法更为清晰,不同应用层面上的服务器能够明确的定位在规划的安全区内。通过给每个安全区域分配连续可汇总的ip地址块及结合ip地址内的应用位可以实现安全区域之间的隔离和防护。 安全控制和管理较为简单。由于应用开发的各个层次上的应用服务器提供服务的对象各不相同。核心服务器为应用服务器提供
19、服务,应用服务器为隔离区服务器提供服务,隔离服务器为接入Client提供服务,因此,根据应用层次建立的网络安全区域模型的数据流较为明确,架构也比较清晰,使控制和管理趋向简单化。 安全性较高。在层次型的安全区域模型中,各个层次都是有明确安全等级的服务器的集合,并且同一安全等级(层次)内的不同资源又根据面临风险的不同以及运维风险的不同水平分成多个逻辑区域,区域之间采用安全控制手段加以隔离,这种基于垂直分层和水平分区进行安全控制的模式,不仅能够实现同一个应用中不同层次资源的不同的安全要求,同时也能大大降低同一层次中,攻击风险和运维风险的发生和扩散。4.2 总体设计4.2.1 网络架构拓扑图按照xxx
20、xxxxxx公司实际情况,我们网络设计拓扑图如下图所示:其中,我们把网络分成4个区域,分别是骨干区域、服务器区域、本部区域和车间区域。骨干区域是整个交换网络的核心,负责区域之间流量的快速转发,骨干区域不直接连接任何端点设备。规划专门的服务器区域,用于连接网络内重要服务器;规划本部区域,用来连接本部的服务器和终端;规划车间区域,用来连接车间的服务器和终端。4.2.2 区域结构设计水平区域以2台区域核心交换机与骨干核心交换机互联。区域核心交换机与骨干核心交换机通过口字型三层连接。两台区域核心交换机使用链路捆绑技术实现高速数据转发。区域核心交换机与骨干区域核心交换机之间采用口字型三层连接设计,而弃用
21、Full Mesh连接方式,主要是减少故障点、降低故障分析难度,最大限度保障业务永续而设计的。下面列出两种骨干连接方式的优缺点对比:交叉形连接口字形连接1冗余度比较高冗余度稍差2结构比较复杂、数据流走向不易操控结构简单项、数据流易操控3链路变化时收敛速度较快当链路带宽不足时、拓扑变动时收敛速度稍慢4冗余路径多、设备资源消耗比较大冗余路径少、设备资源消耗小5线路故障点多、影响面较小线路故障点小、影响面较大6当丢包发生时、故障定位比较困难故障定位比较方便和简洁7单链路故障不会出现非优选路径单链路故障不会出现非优选路径8路由设计较复杂路由设计简单9设备性能的负载较大设备性能的负载较小10增加防火墙后
22、、采用交叉型连接提高设计的复杂度、网络稳定性会依赖多种设备和多条链路、维护难度和成本会增加增加防火墙后整个结构无需改变、设计简单、维护方便、但单链路故障可能会导致整体切换、影响面较大区域核心交换机的功能还包括本功能区VLAN 间的路由、各功能分区IP地址或路由区域的汇聚、部署功能区内、功能区之间的安全访问策略,同时作为区域核心交换机,要少用或不实施影响高速交换性能的ACL等功能。4.2.3 生产服务器连接生产服务器如果是双网卡,则分别连接到2台区域核心交换机;如果是单网卡,则连接到一台区域核心交换机,具体原则如下: 两台交换机相同位置的板卡各使用一半端口连接服务器; 同一交换机相邻的两块电口卡
23、采用交错使用的原则部署; 对于每台服务器的接入应在两台交换机上做相同的VLAN划分、双工、速率的配置,保证服务器在两台交换机同位置间切换时不需要修改交换机配置。具体接入方式如下图所示:0引擎10引擎11备份端口服务器1服务器备份端口2服务器备份端口2备份端口服务器3备份端口服务器3服务器备份端口4服务器备份端口4备份端口服务器5备份端口服务器5服务器备份端口6服务器备份端口6备份端口服务器交换机A交换机B举例:假设交换机A和交换机B的1槽位插的都是一块48口的板卡,服务器X接到交换机A的1/25口,交换机B的1/25口的配置与交换机A的1/25口完全相同,且交换机B的1/25口已经预留出来。这
24、样,当交换机A出现故障,为了保证业务,必须快速将服务器X切换到交换机B上。我们的操作非常简单,只需要将服务器X连接到交换机A的线路重新连接到交换机B的1/25口即可。5 网络系统高可用性设计5.1 总体设计随着网络的快速普及和应用的日益深入,各种增值业务在网络上得到了广泛部署,网络带宽也以指数级增长,网络短时间的中断就可能影响大量业务,造成重大损失。作为业务承载主体的基础网络,其高可用性(High Availablity,HA)也因此日益成为关注的焦点。 在这种背景下,从运营商到大中型企业客户,在构建生产网络时,5个9的网络可用性(一年中不能提供服务的时间在5分钟左右),已经成为建网的追求。为
25、了给xxxxxxxxx公司应用系统提供更好的可用性,故在网络系统的设计时就应该融入高可用的要求。由于应用系统的总中断时间=网络系统中断时间+应用系统中断时间,故在网络系统的高可用设计时,其要求一定要高于应用系统的高可用要求,否则,应用系统的高可用将受制于网络系统。5.2 设备高可用骨干交换机和区域核心交换机全部采用双台冗余配置,采用冗余风扇、冗余电源、冗余板卡等多项措施,保证核心设备高可用性。5.3 线路高可用 区域核心交换机到骨干交换机采用口字型三层连接,配置动态路由协议实现线路高可用。接入层交换机到区域核心层交换机,全部采用全网状(FULL MUSH)连接。全网状连接的好处是每个节点都与其
26、他所有节点有直接连接关系,冗余度相对较高。接入层交换机和区域核心层交换机采用优化的STP协议,保证二层高可用性。5.4 生成树协议高可用通过STP协议进行竞选STP根,排障时难以及时找出STP根的位置。因此,应人为指定核心交换机作为局域网的STP根网桥/次根网桥。对二层根不在核心交换机上的Vlan重新调整其根设定,把根统一设置到核心交换机上,备根设置在另一台交换机上。当主根发生故障后,能够迅速切换到备根上。5.5 网关高可用在汇聚层建立接入层设备的网关,并采用HSRP协议实现网关的冗余备份。内部服务器通过HSRP虚拟IP地址与外部网络实现IP层通信,HSRP通过优先级和接口IP地址选举主虚拟网
27、关,主虚拟网关提供实际的路由转发服务。当虚拟网关故障时, 备份虚拟网关取代主虚拟网关状态保持局域网正常通信。5.6 路由协议高可用 由于采用全网状三层连接,任意一点的路由节点故障,都不会引起路由域的中断,并且使用EIGRP或OSPF协议能够大大提高路由收敛速度,保证数据的可靠性及连续性。5.7 服务器高可用随着业务不断发展,规模越来越大,其信息系统应用范围也日渐扩大,数据和网络安全越来越成为xxxxxxxxx公司最关心的问题之一。同时,由于安全问题而引起的系统瘫痪、重要数据丢失等现象也不断困扰着用户,使网络管理变得复杂。对于xxxxxxxxx公司用户而言,最关注的两方面为系统的高可用性和数据库
28、数据的高度安全。高可用性即要求保证业务能够不间断地运行;数据高度安全则是用户业务的基础,数据是整个xxxxxxxxx公司的信息集合地,没有数据就没有业务。系统的负荷极不均衡,常常表现出系统运行不稳定,容易死机、死锁,给用户应用带来极大地不方便,也给xxxxxxxxx公司的经济效益、社会效益造成严重损失。如何来减少宕机带来的xxxxxxxxx公司损失,保证业务的7*24小时永不停歇运行?如何能让数据运行高效、稳定,保证业务的顺利、有效地开展?如何能使信息系统业务隔离运行,减少两者间的相互影响?如何在构建信息系统后,保证xxxxxxxxx公司信息化建设的增长趋势?这已经是迫在眉睫、必须立即解决的问
29、题。信息系统设计的方案可以有很多选择,而系统的负载均衡无疑是充分保护用户投资的一种有效的途径。当前面临的问题在xxxxxxxxx公司的业务系统中,存在多个关键业务服务节点,关键业务服务节点在整个网络体系中起着关键性作用,如果此节点发生故障必然导致所有业务的访问中断。所以一般情况下在整个网络体系初期建设及部署中,关键业务服务节点必须采取多台设备进行双机甚至是多机部署。当一台设备宕机后,备份设备自动启动,继续提供服务,所有业务请求会被自动转发到正常工作的备份设备中。实现客户请求服务的正常提供。但即使是多机模式下,依然会出现以下问题: 服务器假死一台提供服务的设备,当服务进程处于假死状态时,其实主机
30、还在正常工作,从网络层没有发现任何问题,只是服务进程假死。处于网络层发起应用请求的所有客户,无法判断该设备是否还在处理服务请求,所以请求继续被发送到该台设备,大量数据发送到服务器,而服务器其实已经停止了服务,这种情况必然会导致一些关键性数据丢失。并且无法保证用户数据存储以及用户访问的不间断性。 服务器业务量分配不均在完成同样功能的多个后台服务器之间实现合理的业务量分配,使其不致于出现一台设备过忙、而别的设备却未充分发挥处理能力的情况。 扩展不便当服务器性能不够用时,增加服务器的数量是最直接有效的方法,但如何能够使应用平滑的过渡则是个难题,一般所采用的扩展方式多为利用CLUSTER的方式。但这时
31、,需要配置CLUSTER卡和CLUSTER集线器。这些硬件设备成本高,投资大,且对硬件系统存在限制,容量有限。服务器负载均衡的解决方案如前所述应用系统出现的问题,经过认真的分析,我们提出良好的“备而不闲”的解决方案。在这种结构下,在负载均衡设备上会添加一个虚地址,映射到两台web server上。只需要将client请求地址指到负载均衡设备上的虚地址,即可把请求导向到负载均衡设备上。当client访问这个虚地址时,流量会被均匀的负载均衡到多台服务器上。如果某台服务器设备发生故障,负载均衡设备将自动发现并不再把流量发送到这台故障的服务器上,从而实现服务器的高可用。在需要扩展时,只需将新的服务器设
32、备连接到网络中,在负载均衡设备上做一些设置即可。不会对现有网络产生任何影响的情况下就可以实现无缝扩展。部署示意图如下:由于xxxxxxxxx公司业务系统的特殊性,我们建议对压力较大的服务器部署负载均衡设备,从而解决前一章节所描述的问题 避免“业务分配不平衡”现象如果能够充分利用所有的服务器资源,将所有流量均衡的分配到各个服务器,我们就可以有效地避免“不平衡”现象的发生。负载均衡设备是一台对流量和内容进行管理分配的设备。它提供丰富灵活的算法将数据流有效地转发到它所连接的服务器群。而面对client,只是一台虚拟服务器。client此时只须记住一台服务器,即虚拟服务器。但他们的数据流却被灵活地均衡
33、到所有的真正服务器上。 避免“服务器假死”现象如何有效地确定服务器、应用、内容的状态,是提高系统可靠性的关键。服务器负载均衡设备利用其丰富的、高效的“健康检测”手段,包括“服务器逻辑连接状态检测”,”应用类型状态检测”等识别服务器、应用、内容的状态。当服务器群中的任何一台或多台设备发生故障后,用户的服务请求被均衡到其它服务器。 避免“扩展不便”现象根据系统的发展、业务的增长,进行灵活的扩充,是不可避免的。这不仅要顾及到数量的增长,同时也要考虑到软硬件类型的区别。由于负载均衡设备使用脱离服务器的单独架构,在需要扩展时,只需将新的服务器设备连接到网络中,在负载均衡设备上做一些设置即可。不会对现有网
34、络产生任何影响的情况下就可以实现无缝扩展。6 网络安全设计在此网络安全的建议方案中,我们将从如下几个安全维度对xxxxxxxxx公司的网络安全系统进行描述:l 基础设备安全 路由器安全 交换机安全 基础服务安全l 边界安全防护 防火墙规划 入侵防御系统规划 防DDoS系统规划 远程接入规划l 终端安全 终端准入控制 访客准入控制l 应用层安全l 网络防病毒l 安全管理 设备安全管理 双因素动态口令认证系统 安全威胁管理 日志服务器 NTP服务器 漏洞管理l 安全审计6.1 总体设计 网络的普及给我们的工作带来了很大的便利,但同时隐藏在便利和高效后面的是巨大的安全隐患。xxxxxxxxx公司信息
35、系统中的信息种类、数量是巨大的,其中不乏敏感、机密、实时信息,数据库服务器24h不间断运行,整个网络系统一旦发生人为或意外的故障,可能会造成巨大的损失和社会影响,这就要求xxxxxxxxx公司应将综合信息网安全体系设计放在重要的位置。指导原则在网络安全领域存在“木桶原理”,即外部和内部威胁往往会从最为薄弱的环节对整个网络进行破坏。因此单纯强调一种安全手段,绝不可能解决全部的安全问题。xxxxxxxxx公司网络安全解决方案将运用系统工程的观点、方法,从网络整体角度出发,分析xxxxxxxxx公司网络的安全问题,看待和分析各种安全措施的使用,提出一个具有相当高度、可扩展性的安全解决方案。安全体系设
36、计原则:(1)安全需求与安全管理相结合;(2)安全体系建设与应用系统建设同步进行;(3)安全策略的制定要综合考虑网络系统的安全支持;(4)安全方案的选择和实施要尽量全面;(5)安全策略的实施最终要与目录服务相结合,做到集中授权管理。安全需求要实现信息系统的广泛应用,目标是在保证具有足够开放性的前提下提供信息资源的保密性、完整性和可靠性:(1)保密性:防止非法侵入未审查的信息;(2)完整性:对信息数据的准确性和完整性有保护的能力;(3)可靠性:保证信息和其他重要资源在需要时能供用户使用。用户授权体系授权权限有读、写、创建、修改、添加、删除等。信息权限设计要尽量复杂,要在信息共享的实现中完善。数据
37、库和文件系统可支持非常复杂的权限控制:(1)标识:针对不同的科室部门、人员设立用户和用户组;(2)验证:在网络环境下,要防止用户非法冒充的可能;(3)介入控制:通过集中或分布式控制,对文件系统或数据库系统配置权限;(4)审查:系统的安全性必须经过检验。6.2 基础网络设备(路由器交换机)安全作为网络系统的基础组成部分,路由器,交换机在xxxxxxxxx公司信息系统中占有较高的数量比重;且作为提供最基本功能的网络通信设备,相对于专门定位在网络安全的各种安全通信设备,其安全性体现较为不明显。作为网络安全这个“木桶”最大的一块“板”。路由器,交换机的安全决定着网络安全这个“木桶”的剩水高度。6.2.
38、1 关闭不必要的服务Disable CDP CDP信息有可能会透漏内部网络信息,建议在边缘网络关闭CDP全局下:no cdp run接口下:no cdp enableDisable FingerUNIX用户查找服务,允许远程列出系统用户的信息,有助于帮助攻击者收集用户信息,建议关闭no ip fingerno service fingerDisable HTTP server如果不使用http来管理设备 ,建议关闭http server功能, http server功能的开启会成为DOS的攻击目标.no ip http server如果确实需要使用http server功能,建议使用相应的保护
39、功能使用ACL限制访问用户ip http access-class使用AAA认证功能ip http authenticationBootp serverBootp server允许其它路由器从这台路由器启动的服务, 通常情况下不需要这个服务,会产生安全方面的漏洞,建议关闭no ip bootp serverDisbale IP source routingIP source routing功能的开启允许数据包本身指定传输路径, 对攻击者来说好的特性,攻击者可以通过该功能跳跃nat设备,进入内网。建议关闭。no ip source-route6.2.2 开启保护服务Enable TCP Keep
40、alive FeatureTCP keepalive 功能可以监控进入路由器或者从路由器发起的TCP连接。如果路由器或交换机没有收到远程系统的响应,会自动关闭连接。默认情况下,路由器或交换机并不检测进入自身或从自身发起的tcp session的可达性,这就导致了比如当一个用户telnet到路由器上后,突然掉线,这时路由器并不知道这个用户已经不可达,而依然维持着这个session,直到超时,此时攻击者可以利用这段时间对路由器发起攻击。而TCP keepalive功能,可以监控每一个tcp session是否已然可达,当发现有一端不可达时,则会自动关闭这条session。命令如下:service
41、tcp-keepalives-inservice tcp-keepalives-out6.2.3 接口安全Port Security feature建议在一些较不安全的端口上使用端口安全特性,防止MAC地址泛洪,MAC地址欺骗等常见二层攻击。该特性可实现如下功能:l 包括限制 端口上最大可以通过的 MAC 地址数量l 端口上学习或通过特定MAC 地址l 对于超过规定数量的 MAC 处理进行违背处理命令如下switch(config-if)#switchport port-security /打开port-security功能switch(config-if)#switchport port-s
42、ecurity mac-address xxxx.xxxx.xxxx/xxxx.xxxx.xxxx就是允许的mac地址switch(config-if)#switchport port-security maximum 1 /只允许一个MAC通过,即上条关联switch(config-if)#switchport port-security violation shutdown/如果违反规则,就shutdown端口可以使用 Sticky Port Security 特性来简化工作量,交换机将自动学到当前mac,并写入配置中,交换机重启后配置仍然存在。switchport port-securi
43、tyswitchport port-security maximum 5switchport port-security mac-address sticky /自动学习5个mac地址Disable IP Directed Broadcasts直连广播功能可以实现目标为广播地址的数据实现三层跨越,该功能可以被攻击者利用,对网络实施攻击,例如”smurf”攻击,建议关闭.no ip directed-broadcastDisable Proxy ARP路由器作为第2层地址解析的代理,代理ARP功能如果使用不当会对网络造成影响,建议关闭(需要注意的是,如果有使用基于接口的静态路由,则不能关闭此项功
44、能)no ip proxy-arpDisable IP Redirects路由会对特定的包发送ICMP REDIRECT MESSAGE, 对攻击破者来说,有助于了解网络拓朴,对非可信网络关闭.建议关闭此项功能.no ip redirectsDisable IP Unreachable Messages如果发送者的目标地址不可达,路由器会通告原因给发送方.对于攻击者来说,可以了解网络信息.并且利用该特性发出的大量的错误目地包,将会导致交换机cpu利用率升高,对交换机进行DOS攻击。no ip unreachable6.2.4 HSRP安全Enable HSRP Authentication开启
45、HSRP认证功能,可以防止攻击者仿冒HSRP设备加入一个hsrp组interface xystandby 10 priority 200 preemptstandby 10 authentication standby 10 ip x.x.x.xModify the HSRP Priority ValueHSRP默认的优先级为100,攻击者可能会使用最高优先级255加入网络并冒充主HSRP设备,如果所有的hsrp组中主HSRP设备都被设置为最高优先级(255),备用设备都设置成254,则攻击者将无法冒充。interface x/ystandby 10 priority 2556.2.5 DHC
46、P安全采用 DHCP 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、WINS 等网络参数,简化了用户网络设置,提高了管理效率。由于DHCP的重要性,针对DHCP的攻击会对网络造成严重影响。DHCP的攻击主要包括两种:l DHCP服务器的冒充;(假冒DHCP服务器加入网络)l 针对DHCP服务器的DOS攻击;(攻击者发出洪水般的DHCP请求,直到DHCP服务器资源耗竭)针对这两种攻击,Cisco交换机支持DHCP snooping功能对DHCP进行保护DHCP Snooping 技术是DHCP 安全特性,通过建立和维护DHCP Snooping 绑定表过滤不可信任的DHCP 信息,这些信息是指来自不信任区域的DHCP 信
