某大型企業(yè)局域網(wǎng)安全解決方案

第一章 總則

本方案為某大型局域網(wǎng)網(wǎng)絡(luò )安全解決方案，包括原有網(wǎng)絡(luò )系統分析、安全需求分析、安全目標的確立、安全體系結構的設計、等。本安全解決方案的目標是在不影響某大型企業(yè)局域網(wǎng)當前業(yè)務(wù)的前提下，實(shí)現對他們局域網(wǎng)全面的安全管理。

1.將安全策略、硬件及軟件等方法結合起來(lái)，構成一個(gè)統一的防御系統，有效阻止非法用戶(hù)進(jìn)入網(wǎng)絡(luò )，減少網(wǎng)絡(luò )的安全風(fēng)險。
2.定期進(jìn)行漏洞掃描，審計跟蹤，及時(shí)發(fā)現問(wèn)題，解決問(wèn)題。
3.通過(guò)入侵檢測等方式實(shí)現實(shí)時(shí)安全監控，提供快速響應故障的手段，同時(shí)具備很好的安全取證措施。
4.使網(wǎng)絡(luò )管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態(tài)，最大限度地減少損失。
5.在工作站、服務(wù)器上安裝相應的防病毒軟件，由中央控制臺統一控制和管理，實(shí)現全網(wǎng)統一防病毒。


第二章 網(wǎng)絡(luò )系統概況

2.1 網(wǎng)絡(luò )概況

這個(gè)企業(yè)的局域網(wǎng)是一個(gè)信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò )系統，它所聯(lián)接的現有上千個(gè)信息點(diǎn)為在整個(gè)企業(yè)內辦公的各部門(mén)提供了一個(gè)快速、方便的信息交流平臺。不僅如此，通過(guò)專(zhuān)線(xiàn)與Internet的連接，打通了一扇通向外部世界的窗戶(hù)，各個(gè)部門(mén)可以直接與互聯(lián)網(wǎng)用戶(hù)進(jìn)行交流、查詢(xún)資料等。通過(guò)公開(kāi)服務(wù)器，企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò )互連方案設計為用戶(hù)提供快速、方便、靈活通信平臺的同時(shí)，也為網(wǎng)絡(luò )的安全帶來(lái)了更大的風(fēng)險。因此，在原有網(wǎng)絡(luò )上實(shí)施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。

2.1.1 網(wǎng)絡(luò )概述

這個(gè)企業(yè)的局域網(wǎng)，物理跨度不大，通過(guò)千兆交換機在主干網(wǎng)絡(luò )上提供1000M的獨享帶寬，通過(guò)下級交換機與各部門(mén)的工作站和服務(wù)器連結，并為之提供100M的獨享帶寬。利用與中心交換機連結的Cisco 路由器，所有用戶(hù)可直接訪(fǎng)問(wèn)Internet。

2.1.2 網(wǎng)絡(luò )結構

這個(gè)企業(yè)的局域網(wǎng)按訪(fǎng)問(wèn)區域可以劃分為三個(gè)主要的區域：Internet區域、內部網(wǎng)絡(luò )、公開(kāi)服務(wù)器區域。內部網(wǎng)絡(luò )又可按照所屬的部門(mén)、職能、安全重要程度分為許多子網(wǎng)，包括：財務(wù)子網(wǎng)、領(lǐng)導子網(wǎng)、辦公子網(wǎng)、市場(chǎng)部子網(wǎng)、中心服務(wù)器子網(wǎng)等。在安全方案設計中，我們基于安全的重要程度和要保護的對象，可以在Catalyst 型交換機上直接劃分四個(gè)虛擬局域網(wǎng)（VLAN），即：中心服務(wù)器子網(wǎng)、財務(wù)子網(wǎng)、領(lǐng)導子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域，由于財務(wù)子網(wǎng)、領(lǐng)導子網(wǎng)、中心服務(wù)器子網(wǎng)屬于重要網(wǎng)段，因此在中心交換機上將這些網(wǎng)段各自劃分為一個(gè)獨立的廣播域，而將其他的工作站劃分在一個(gè)相同的網(wǎng)段。（圖省略）

2.2 網(wǎng)絡(luò )應用

這個(gè)企業(yè)的局域網(wǎng)可以為用戶(hù)提供如下主要應用：
1．文件共享、辦公自動(dòng)化、WWW服務(wù)、電子郵件服務(wù)；
2．文件數據的統一存儲；
3．針對特定的應用在數據庫服務(wù)器上進(jìn)行二次開(kāi)發(fā)(比如財務(wù)系統)；
4．提供與Internet的訪(fǎng)問(wèn)；
5．通過(guò)公開(kāi)服務(wù)器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等；

2.3 網(wǎng)絡(luò )結構的特點(diǎn)

在分析這個(gè)企業(yè)局域網(wǎng)的安全風(fēng)險時(shí)，應考慮到網(wǎng)絡(luò )的如下幾個(gè)特點(diǎn)：

1.網(wǎng)絡(luò )與Internet直接連結，因此在進(jìn)行安全方案設計時(shí)要考慮與Internet連結的有關(guān)風(fēng)險，包括可能通過(guò)Internet傳播進(jìn)來(lái)病毒，黑客攻擊，來(lái)自Internet的非授權訪(fǎng)問(wèn)等。
。
2.網(wǎng)絡(luò )中存在公開(kāi)服務(wù)器，由于公開(kāi)服務(wù)器對外必須開(kāi)放部分業(yè)務(wù)，因此在進(jìn)行安全方案設計時(shí)應該考慮采用安全服務(wù)器網(wǎng)絡(luò )，避免公開(kāi)服務(wù)器的安全風(fēng)險擴散到內部。
3.內部網(wǎng)絡(luò )中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，因此在進(jìn)行安全方案設計時(shí)，應考慮將不同功能和安全級別的網(wǎng)絡(luò )分割開(kāi)，這可以通過(guò)交換機劃分VLAN來(lái)實(shí)現。
4.網(wǎng)絡(luò )中有二臺應用服務(wù)器，在應用程序開(kāi)發(fā)時(shí)就應考慮加強用戶(hù)登錄驗證，防止非授權的訪(fǎng)問(wèn)。
總而言之，在進(jìn)行網(wǎng)絡(luò )方案設計時(shí)，應綜合考慮到這個(gè)企業(yè)局域網(wǎng)的特點(diǎn)，根據產(chǎn)品的性能、價(jià)格、潛在的安全風(fēng)險進(jìn)行綜合考慮。

第三章 網(wǎng)絡(luò )系統安全風(fēng)險分析


隨著(zhù)Internet網(wǎng)絡(luò )急劇擴大和上網(wǎng)用戶(hù)迅速增加，風(fēng)險變得更加嚴重和復雜。原來(lái)由單個(gè)計算機安全事故引起的損害可能傳播到其他系統，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對Internet安全政策的認識不足，這些風(fēng)險正日益嚴重。

針對這個(gè)企業(yè)局域網(wǎng)中存在的安全隱患，在進(jìn)行安全方案設計時(shí)，下述安全風(fēng)險我們必須要認真考慮，并且要針對面臨的風(fēng)險，采取相應的安全措施。下述風(fēng)險由多種因素引起，與這個(gè)企業(yè)局域網(wǎng)結構和系統的應用、局域網(wǎng)內網(wǎng)絡(luò )服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類(lèi)風(fēng)險因素：

網(wǎng)絡(luò )安全可以從以下三個(gè)方面來(lái)理解：1 網(wǎng)絡(luò )物理是否安全；2 網(wǎng)絡(luò )平臺是否安全；3 系統是否安全；4 應用是否安全；5 管理是否安全。針對每一類(lèi)安全風(fēng)險，結合這個(gè)企業(yè)局域網(wǎng)的實(shí)際情況，我們將具體的分析網(wǎng)絡(luò )的安全風(fēng)險。

3.1物理安全風(fēng)險分析

網(wǎng)絡(luò )的物理安全的風(fēng)險是多種多樣的。
網(wǎng)絡(luò )的物理安全主要是指地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線(xiàn)路截獲。以及高可用性的硬件、雙機多冗余的設計、機房環(huán)境及報警系統、安全意識等。它是整個(gè)網(wǎng)絡(luò )系統安全的前提，在這個(gè)企業(yè)區局域網(wǎng)內，由于網(wǎng)絡(luò )的物理跨度不大，，只要制定健全的安全管理制度，做好備份，并且加強網(wǎng)絡(luò )設備和機房的管理，這些風(fēng)險是可以避免的。

3.2網(wǎng)絡(luò )平臺的安全風(fēng)險分析

網(wǎng)絡(luò )結構的安全涉及到網(wǎng)絡(luò )拓撲結構、網(wǎng)絡(luò )路由狀況及網(wǎng)絡(luò )的環(huán)境等。

公開(kāi)服務(wù)器面臨的威脅

這個(gè)企業(yè)局域網(wǎng)內公開(kāi)服務(wù)器區（WWW、EMAIL等服務(wù)器）作為公司的信息發(fā)布平臺，一旦不能運行后者受到攻擊，對企業(yè)的聲譽(yù)影響巨大。同時(shí)公開(kāi)服務(wù)器本身要為外界服務(wù)，必須開(kāi)放相應的服務(wù)；每天，黑客都在試圖闖入Internet節點(diǎn)，這些節點(diǎn)如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至會(huì )成為黑客入侵其他站點(diǎn)的跳板。因此，規模比較大網(wǎng)絡(luò )的管理人員對Internet安全事故做出有效反應變得十分重要。我們有必要將公開(kāi)服務(wù)器、內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )進(jìn)行隔離，避免網(wǎng)絡(luò )結構信息外泄；同時(shí)還要對外網(wǎng)的服務(wù)請求加以過(guò)濾，只允許正常通信的數據包到達相應主機，其他的請求服務(wù)在到達主機之前就應該遭到拒絕。

整個(gè)網(wǎng)絡(luò )結構和路由狀況

安全的應用往往是建立在網(wǎng)絡(luò )系統之上的。網(wǎng)絡(luò )系統的成熟與否直接影響安全系統成功的建設。在這個(gè)企業(yè)局域網(wǎng)絡(luò )系統中，只使用了一臺路由器，用作與Internet連結的邊界路由器，網(wǎng)絡(luò )結構相對簡(jiǎn)單，具體配置時(shí)可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò )結構和網(wǎng)絡(luò )路由造成的安全風(fēng)險。

3.3系統的安全風(fēng)險分析

所謂系統的安全顯而易見(jiàn)是指整個(gè)局域網(wǎng)網(wǎng)絡(luò )操作系統、網(wǎng)絡(luò )硬件平臺是否可靠且值得信任。

網(wǎng)絡(luò )操作系統、網(wǎng)絡(luò )硬件平臺的可靠性：對于中國來(lái)說(shuō)，恐怕沒(méi)有絕對安全的操作系統可以選擇，無(wú)論是Microsoft的Windows NT或者其他任何商用UNIX操作系統，其開(kāi)發(fā)廠(chǎng)商必然有其Back-Door。我們可以這樣講：沒(méi)有完全安全的操作系統。但是，我們可以對現有的操作平臺進(jìn)行安全配置、對操作和訪(fǎng)問(wèn)權限進(jìn)行嚴格控制，提高系統的安全性。因此，不但要選用盡可能可靠的操作系統和硬件平臺。而且，必須加強登錄過(guò)程的認證（特別是在到達服務(wù)器主機之前的認證），確保用戶(hù)的合法性；其次應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。

3.4應用的安全風(fēng)險分析

應用系統的安全跟具體的應用有關(guān)，它涉及很多方面。應用系統的安全是動(dòng)態(tài)的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。
應用系統的安全動(dòng)態(tài)的、不斷變化的：應用的安全涉及面很廣，以目前Internet上應用最為廣泛的E-mail系統來(lái)說(shuō)，其解決方案有幾十種，但其系統內部的編碼甚至編譯器導致的BUG是很少有人能夠發(fā)現的，因此一套詳盡的測試軟件是相當必須的。但是應用系統是不斷發(fā)展且應用類(lèi)型是不斷增加的，其結果是安全漏洞也是不斷增加且隱藏越來(lái)越深。因此，保證應用系統的安全也是一個(gè)隨網(wǎng)絡(luò )發(fā)展不斷完善的過(guò)程。
應用的安全性涉及到信息、數據的安全性：信息的安全性涉及到：機密信息泄露、未經(jīng)授權的訪(fǎng)問(wèn)、破壞信息完整性、假冒、破壞系統的可用性等。由于這個(gè)企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內部傳遞，因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內部進(jìn)行保密的（比如領(lǐng)導子網(wǎng)、財務(wù)系統傳遞的重要信息）可以考慮在應用級進(jìn)行加密，針對具體的應用直接在應用系統開(kāi)發(fā)時(shí)進(jìn)行加密。
3.5管理的安全風(fēng)險分析

管理是網(wǎng)絡(luò )安全中最重要的部分
管理是網(wǎng)絡(luò )中安全最最重要的部分。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。責權不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來(lái)人員進(jìn)入機房重地，或者員工有意無(wú)意泄漏他們所知道的一些重要信息，而管理上卻沒(méi)有相應制度來(lái)約束。
當網(wǎng)絡(luò )出現攻擊行為或網(wǎng)絡(luò )受到其它一些安全威脅時(shí)（如內部人員的違規操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測、監控、報告與預警。同時(shí)，當事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線(xiàn)索及破案依據，即缺乏對網(wǎng)絡(luò )的可控性與可審查性。這就要求我們必須對站點(diǎn)的訪(fǎng)問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現非法入侵行為。
建立全新網(wǎng)絡(luò )安全機制，必須深刻理解網(wǎng)絡(luò )并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結合。

3.6黑客攻擊

黑客們的攻擊行動(dòng)是無(wú)時(shí)無(wú)刻不在進(jìn)行的，而且會(huì )利用系統和管理上的一切可能利用的漏洞。公開(kāi)服務(wù)器存在漏洞的一個(gè)典型例證，是黑客可以輕易地騙過(guò)公開(kāi)服務(wù)器軟件，得到Unix的口令文件并將之送回。黑客侵入UNIX服務(wù)器后，有可能修改特權，從普通用戶(hù)變?yōu)楦呒売脩?hù)，一旦成功，黑客可以直接進(jìn)入口令文件。黑客還能開(kāi)發(fā)欺騙程序，將其裝入UNIX服務(wù)器中，用以監聽(tīng)登錄會(huì )話(huà)。當它發(fā)現有用戶(hù)登錄時(shí)，便開(kāi)始存儲一個(gè)文件，這樣黑客就擁有了他人的帳戶(hù)和口令。這時(shí)為了防止黑客，需要設置公開(kāi)服務(wù)器，使得它不離開(kāi)自己的空間而進(jìn)入另外的目錄。另外，還應設置組特權，不允許任何使用公開(kāi)服務(wù)器的人訪(fǎng)問(wèn)WWW頁(yè)面文件以外的東西。在這個(gè)企業(yè)的局域網(wǎng)內我們可以綜合采用防火墻技術(shù)、Web頁(yè)面保護技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)來(lái)保護網(wǎng)絡(luò )內的信息資源，防止黑客攻擊。

3.7通用網(wǎng)關(guān)接口（CGI）漏洞

有一類(lèi)風(fēng)險涉及通用網(wǎng)關(guān)接口（CGI）腳本。許多頁(yè)面文件和指向其他頁(yè)面或站點(diǎn)的超連接。然而有些站點(diǎn)用到這些超連接所指站點(diǎn)尋找特定信息。搜索引擎是通過(guò)CGI腳本執行的方式實(shí)現的。黑客可以修改這些CGI腳本以執行他們的非法任務(wù)。通常，這些CGI腳本只能在這些所指WWW服務(wù)器中尋找，但如果進(jìn)行一些修改，他們就可以在WWW服務(wù)器之外進(jìn)行尋找。要防止這類(lèi)問(wèn)題發(fā)生，應將這些CGI腳本設置為較低級用戶(hù)特權。提高系統的抗破壞能力，提高服務(wù)器備份與恢復能力，提高站點(diǎn)內容的防篡改與自動(dòng)修復能力。

3.8惡意代碼

惡意代碼不限于病毒，還包括蠕蟲(chóng)、特洛伊木馬、邏輯炸彈、和其他未經(jīng)同意的軟件。應該加強對惡意代碼的檢測。

我頂

copied....

學(xué)習 學(xué)習

精典啊

我頂經(jīng)典

夠詳細的···學(xué)習了。

全面，值得借鑒

謝謝樓主分享！

好東西.但是我的基礎不是很好.很想學(xué)這方面的知識....

學(xué)習學(xué)習!

�。。。。。。。。。。。。。。。。。。。�！