网络安全方案分析.ppt

《网络安全方案分析.ppt》由会员分享，可在线阅读，更多相关《网络安全方案分析.ppt（104页珍藏版）》请在三一办公上搜索。

1、典型网络安全方案设计,本项目主要从当前网络安全的状况做出安全需求分析，并结合网络安全的评价标准以及网络安全防御体系的一般结构来制定相关网络（如校园网、企业网、政府网等）的安全方案规划。最后，对后续的网络安全实验进行设计并建立一个虚拟的实验环境。,校园网络安全方案设计,校园网安全现状目前，校园网在学校的办公系统中起着重要作用，合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境，还将会极大的提高教育行业整体的工作效率和教育质量，而前提就是校园网必须是稳定的、安全的和可靠的。因此，校园网安全方案的设计尤为重要。,校园网安全需求分析校园网总体上分为校园内网和校园外网。校园内网主要包

2、括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。但具体还要根据不同校园网的实际情况来做简要分析。一般情况下，校园网安全主要可以从以下5个方面进行分析：（1）物理安全。是指保护校园网内计算机设备、网络设备及通信线路，使其免遭自然灾害及其它环境事故（如电磁污染）的破坏。（2）网络安全。是指校园网安全建设的基础，完善的网络安全防御措施可以解决大多数的校园网安全问题，包括基础网络安全、边界防护、远程接入和全局安全。（3）主机安全。校园网内，主机的安全问题最为常见，也是其他安全问题源头，主机安全涉及到统一身份认证

3、，主机安全防护体系。通过校园网统一身份认证和校园网主机安全防护体系来全面实现校园网的主机安全目标。（4）应用安全。校园网的应用安全是最为复杂的部分，涵盖的内容涉及到了业务应用的各个层面。（5）数据安全。数据是当前高校信息化建设中最宝贵的资源，其重要性已经得到越来越高的重视。校园网的安全建设中，数据安全是一个不可忽视的方面。数据的遗失或损坏对于学校而言，其后果不可想象。,校园网安全功能设计1.设计原则为了建设全方面的、完整的校园网络安全体系结构，综合考虑可实施性、可管理性、可扩展性、综合完备性和系统均衡性等方面，网络安全防御体系在整体设计过程中应遵循以下5项原则：（1）保密性：防止信息泄露给非授

4、权用户的特性。达到保密性可选择VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性；（2）完整性：防止信息在存储或传输过程中被修改、破坏和丢失的特性。达到完整性采用VPN技术，用它的专用通道进行通信保证了信息的完整性；（3）可用性：就是易于操作、维护，并便于自动化管理。达到可用性可以利用图形化的管理界面和简洁的操作方式，合理地网络规划策略，提供强大的网络管理功能，使日常的维护和操作变得直观，便捷和高效；（4）可控性：就是对信息的传播及内容具有控制能力。达到可控性对于网络管理来说，要求采用智能化网络管理软件，并支持虚拟网络功能，对网络用户具有分类控制功能，从而

5、来实现对网络的自动监测和控制；（5）扩展性：就是便于系统及系统功能的扩展。达到扩展性对选择的网络设备最好是模块化的，便于网络的扩大和更改，其中核心交换机应具有多种模块类型，以满足各种网络类型的接入，所选择的设备都应具有良好的软件再升级能力。,。,3.功能模块及设备需求分析1）主要功能模块（1）交换机安全模块主要实现的功能：IP与MAC的绑定、VLAN的划分、端口的安全和访问控制列表（ACL）；（2）防火墙模块：包过滤、地址转换（NAT）；（3）VPN模块：建立专用通道IPSEC VPN 和SSL VPN；（4）DMZ区域模块：IDS与防火墙的联动。,2）设备需求方案主要设备如表11-3所示。（

6、1）三层交换机的主要功能包括：高背板带宽为所有的端口提供非阻塞性能、灵活完备的安全控制策略、强大的多应用支持能力和完善的QoS策略等。（2）防火墙的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。（3）入侵检测系统主要功能包括：能够阻止来自外部或内部的蠕虫、病毒和攻击带来的安全威胁，确保企业信息资产的安全，能够检测各种IM即时通讯软件、P2P下载等网络资源滥用行为，保证重要业务的正常运转，能够高效、全面的事件统计分析；能迅速定位网络故障，提高网络稳定运行时间。（4）VPN的主要功能包括：严格的身份认

7、证、权限管理、细粒度控制、传输加密和终端安全检查等机制保障移动用户SSL安全接入可实现用户身份和PC硬件信息的对应；通过人机捆绑可以为远程用户分配内部IP地址；真正实现远程局域网可以为远程移动用户分配内部服务器地址；真正实现移动办公通过证书管理器为用户生成证书、私钥，可通过邮件通知用户自己到证书管理器上下载软件安装包和配置文件，用户只需在本地安装就可实现快速部署。,校园网安全模块详细设计1.交换模块安全设计与实施为了更加安全，减小广播风暴，VLAN技术在网络中得到大量应用，但同时网络访问站点也不断增加，而路由器的接口数目有限，二层交换机又不具备路由功能。基于这种情况，三层交换机便应运而生，三层

8、交换机弥补了路由器和二层交换机在某些方面的不足，它可以通过VLAN划分、配置ACL、IP地址与MAC地址的绑定以及arp-check防护等功能来提升网络中数据的安全性，如图11-2所示。,（1）VLAN划分方案VLAN划分的方案图如图11-3所示，说明如下：（1）高校的学生通过网络交换的信息量日益增大，特别是一个班的同学，但住在一个寝室的同学不一定就是一个班的，所以将一个班的同学划为同一个VLAN便于信息的传递。一个班同学的寝室划为同一个VLAN，再将一栋宿舍楼划为一个大VLAN；（2）每个老师的计算机里可能有一些重要的科研资料，从安全性考虑，不能将所有老师的寝室划为同一个网，即将每个老师的寝

9、室划为一个VLAN，并且学生宿舍和教师宿舍不能互相访问；（3）将教学楼的所有教室划为一个VLAN；（4）为了方便同学和老师做一些教学实验，实验室会进行一些专项课题研究，将一个实验室划分在同一个VLAN的做法安全性更高。因此，可以将实验楼划为一个大VLAN，再将每个实验室划为一个小VLAN；（5）为了方便每个部门管理，可以根据每个的不同性质，将办公楼划为一个大VLAN，再将每个部门划为一个小VLAN；（6）划分方法采用基于端口的划分。高校学生的流动性大（如新生的入学，毕业生离校等）会导致的学生的人数和班级的变动。基于端口的划分，相对来说容易设置和监控，只需要将端口配置的VLAN重新分配。,2）访

10、问控制列表ACL（Access Control List）是一项在路由器和三层交换机上实现的包过滤技术，通过读取第三和第四层的包头部信息（如源地址、目的地址、源端口、目的端口等），并根据预先定义好的规则来对数据包进行过滤，从而达到访问控制的目的。本方案中，主要在S3760三层交换机上配置ACL规则，可以限制各个VLAN之间的访问，如，阻止教学楼1台IP地址为的源主机通过fa 0/1，放行其他的通讯流量通过端口，并阻止主机执行Telnet命令。S3760#configure terminalEnter configuration commands,one per line.End with CN

11、TL/Z.S3760(config)#access-list 1 deny 172.17.1.5 255.255.255.0 S3760(config)#access-list 1 permit any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 1 in S3760(config)#access-list 100 deny tcp 172.17.1.5 255.255.255.0 any eq 23 S3760(config)#access-list 100 permit ip any any S3760(c

12、onfig)#interface fa 0/1 S3760(config-if)#ip access-group 100 in,3）IP与MAC地址绑定目前在使用静态IP地址的局域网管理中经常碰到IP地址被盗用或者用户自行修改地址导致IP地址管理混乱，而且ARP病毒和利用ARP协议进行欺骗的网络问题也日渐严重，在防范过程中除了通过VLAN的划分来抑制问题的扩散之外，还需要将IP地址与MAC地址进行绑定来配合达到更有效的防范。在其核心交换机RG-S3760用address-bind命令手动进行一些特殊IP与MAC地址的绑定使其对应的主机不能随便地更改IP地址或者MAC地址，另外在网络中设一台DH

13、CP服务器，所有主机都通过DHCP自动获得IP地址，在这个过程中，RG-S3760开启DHCP snooping功能以及ARP-check防护功能，交换机会自动侦听DHCP分配地址的过程，将其中有用的IP+MAC地址信息记录下来，自动绑定到相应的端口上，减少大量的手工配置。例如在S3760上的fa0/1端口上开启DHCP snooping功能、ARP-check防护功能、端口安全功能以及动态地绑定命令如下。S3760#configure terminalEnter configuration commands,one per line.End with CNTL/Z.S3760(config)

14、#ip dhcp snoopingS3760(config)#interface fa0/1S3760(config-if)#switchport port-security arp-checkS3760(config-if)#switchport port-securityS3760(config-if)#ip dhcp snooping address-bindS3760(config-if)#exitS3760(config)#exit,2.VPN模块安全设计与实施校园网VPN可以通过公众IP网络建立私有数据传输通道，将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来，减轻校园网

15、的远程访问费用负担，节省电话费用开支，不过对于端到端的安全数据通讯，还需要根据实际情况采取不同的架构。IPSec VPN和SSL VPN是目前校园网VPN方案采用最为广泛的安全技术，但它们之间有很大的区别，从VPN技术架构来看，IPSec VPN是比较理想的校园网接入方案，由于它工作在网络层，可以对终端站点间所有传输数据进行保护，可以实现Internet多专用网安全连接，而不管是哪类网络应用。IPSec VPN还要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了网络的安全级别。本方案采用IPSec VPN。由于IPSec VPN在IP层提供访问控制、无连接的完整性、

16、数据来源验证、防重放保护、加密以及数据流分类加密等服务。通过对IPSec VPN的配置和VPN冗余配置，来实现远程用户的接入，提高网络的负载均衡并有效的提高了网络安全性。VPN模块的详细拓扑结构如图11-4所示。,建立安全的IP 通信隧道，是建立虚拟专用网的关键。本方案中采用锐捷VPN 进行配置。在VPN配置界面中，选择网关的目录树上的IPSec VPN，如图11-5所示。接着开始对VPN进行具体配置：,1）远程用户接入配置远程用户接入方式多种多样，比如通过无线接入、ADSL拔号接入和专线接入等等，当需要配置远程移动用户接入，那么在上图中双击远程用户管理，打开远程用户管理界面进行配置，如图11

17、-6所示。（1）配置允许客户端访问的子网。在远程用户管理界面下打开“允许访问子网”进行配置，如如图11-7所示，可以通过添加按钮来添加用户接入后可以访问的内网的子网数目。,（2）配置内部DNS服务器。在远程用户管理界面下打开“内部DNS服务器”进行配置，如图11-8所示，可以通过添加按钮来添加内部DNS服务器即校园内网DNS服务器的IP地址，这样当隧道建立起来之后，RG-SRA 软件自动将客户端主机的DNS 设置为内部DNS。,（3）配置内部WINS服务器。内部WINS服务器和内部DNS服务器配置相似，使用校园内网WINS服务器的IP地址配置后客户机可以用机器名来访问在服务器上注册了的机器，没

18、有时也可以不进行配置。（4）配置虚IP地址池。内部地址池允许网络管理员输入一个或者几个IP 地址范围，这些地址将用于对远程用户分配虚拟IP 地址，打开虚地址池的配置窗口选择添加下列子网地址或连续地址，进行内部地址池的添加，如图11-9所示。（5）配置用户特征码表。如果需要对用户的登录机器进行限制，可以对用户机器特征进行绑定，用户机器的特征（每个客户端软件都可以显示本机的特征码）可以由管理员手工导入，也可以由客户端首次上线的时候自动报告。,（6）用户认证配置。RG-SRA选择网关本地认证，要为RG-SRA用户设置认证用户名和口令。在窗口左侧菜单区中用鼠标点击“用户认证”“本地用户数据库”，此时在

19、窗口右侧操作区显示本地用户列表，点击工具栏的“添加用户”按钮，进行添加用户操作，如图11-10所示。,2）网关之间的隧道网关到网关的应用模式主要包括以太网、ADSL拨号等网络环境，在这种环境下VPN设备需要设置路由信息才能连接上网。内部子网的主机把默认网关设置为VPN设备的内口，下面是两个网关之间的隧道配置。（1）网关A的配置。添加设备后在“对方设备名称”文本框中，为网关 B设置一个唯一名称，如vpnb。在“本地设备接口”列表框中选择与网关B的连接的端口，如eth0。在本地设备身份中选择“作为客户端”单选按钮，并在“对方设备地址”中填写网关B的IP地址。在认证方式中，选择“预共享密钥”单选按钮

20、，然后在“密钥”文本框中输入共享密钥，如“123456”，双方必须相同，如图11-11所示。添加遂道后在“隧道名称”为该隧道设置一个唯一名称，如Ta-b。“对方设备名称”选刚才为B设置的设备名：“vpnb”，“本地子网”如，“对方子网”如，如图11-12所示，“通信策略”根据需要配置，算法必须与B相同，配置如图11-13所示。,2）网关B的配置。与网关A的配置相似，只需要把上述配置中的对方相应改成网关A的信息，如添加设备时设备名称叫vpna，密钥相同。在添加遂道时，本地子网和对方子网互换，其余保持不变。3）VPN冗余配置VPN冗余的目的是为了提高系统的可靠性，本方案通过RG-WALL V160

21、S中的VRRP来实现VPN之间的冗余，详细拓扑结构设计如图11-14所示。,（1）VPN的备份配置。在安全网关界面目录树上，点击“VRRP设置”即可进入VRRP设置界面，如图11-15所示。首先在“网络接口”中把安全网关A的eth1接口IP配置为：，然后选择“VRRP设置|添加虚拟路由器”，把 网络接口选择为eth1；组号配置为：1；虚拟IP配置为：；主机优先级填为：200；默认使用抢占模式、认证方式和密码可以根据实际情况选择和填写；通告时间间隔默认选择为：1秒；监控选项选eth0；优先级衰减量量设为150；如图11-16所示。接着再在“网络接口”中把安全网关B的eth1接口IP置为：，然后选

22、择“VRRP设置|添加虚拟路由器”，把网络接口选择eth1；组号配置为：1；虚拟IP配置为：；主机优先级填为：100；默认使用抢占模式、认证方式和密码和安全网关A配置相同；通告时间间隔和安全网关A配置相同都为：1秒；监控选项选eth0；优先级衰减量量设为45；如图11-17所示。,4）负载均衡的配置用相同的方法在网关A上添加第二组虚拟路由，网络接口选择eth1；组号配置为：2；虚拟IP配置为：；主机优先级填为：100；默认使用抢占模式；默认启用虚拟MAC地址；认证方式和密码可以根据实际情况选择和填写；通告时间间隔默认选择为：1秒。网关B上添加第二组虚拟路由，网络接口选择eth1；组号配置为：2

23、；虚拟IP配置为：；主机优先级填为：200；默认使用抢占模式；默认启用虚拟MAC地址；认证方式和密码安全网关A中组号2配置相同；通告时间间隔默认选择为：1秒。,3.防火墙模块安全设计与实施本方案采用RG-WALL 160M进行防火墙的策略配置。首先，对防火墙进行管理与初始化配置，然后再按照本方案的要求进行防火墙的基本配置，如防火墙接口IP地址配置、路由配置以及安全规则等设置。本校园网安全方案中，学校出口有2条100M链路，分别是教育网和电信网，客户内网是教育网公网地址，要求访问教育网的资源走教育网，访问其他的资源走电信网，并且DMZ 服务器分别映射到教育网和网通IP 地址。具体的配置过程如下：

24、,（1）防火墙 IP 地址配置，如图10-18所示。（2）路由配置：配置去往教育网的路由，下一跳为教育网，再配置默认路由，下一跳为电信网，如图10-19，图10-20所示。并配置防火墙内网接口启用源路由功能，如图10-21所示。,图10-18 IP地址配置,图10-21 配置启用源路由功能 图10-22 安全规则（3）安全规则的配置：安全规则配置是防火墙配置的重点，具体配置如图10-22所示，其中：内网服务器映射成教育网IP地址，允许任意源地址访问，同时，设置源路由让此服务器的数据流从教育网出去；内网服务器映射成电信网IP地址，允许任意源地址访问，同时，设置源路由让此服务器的数据流从电信线路出

25、去；内网访问教育网资源的数据流，做包过滤规则允许通过；内网访问其他资源的数据流，做 NAT 规则转换成网通的地址通过。,4.IDS入侵检测系统设计与实施入侵检测系统可以检测校园网的入侵行为并将这些信息通知给管理员或相关安全设备（如防火墙）来进行防御。RG-IDS依赖于一个或多个传感器来监测网络数据流。这些传感器代表着RG-IDS的眼睛。因此，传感器在某些重要位置的部署对于RG-IDS能否发挥作用至关重要。本方案的IDS模块的拓扑结构如图10-23所示。,传感器利用策略来控制其所监测的内容，并对监测到的事件做出响应。设置步骤如下：（1）单击主界面上的“策略”按钮，切换到策略编辑器界面，如图10-

26、24所示，单击工具栏上的“编辑锁定”按钮，如图10-25所示。,图10-24 策略设置,图10-25编辑锁定,再单击工具栏上的“派生策略”按钮在弹出的窗口中输入新策略的名称，如图10-26所示，单击“确定”按钮。,（2）策略编辑：单击自定义策略，单击“编辑锁定”以确保其他人不能同时更改策略，然后根据需求来设置策略，如下图10-27所示。,（3）策略应用。选择需要下发的策略，单击“应用策略”按钮，如下图10-28所示,11.1.5 项目总结本方案根据网络安全系统设计的总体规划,从网络安全、主机安全、应用安全、数据安全四个方面安全和管理措施设计出一整套解决方案，目的是要建立一个完整的、立体的、多层

27、次的网络安全防御体系。方案中，我们主要采用了星网锐捷公司的安全产品来对校园网进行安全设计，如RG-S3760E-24、RG-WALL160M、RG-IDS500S、RG-WALL V160S，这些产品在功能上完全能够满足本方案的需求，并实现了安全、VPN安全、防火墙安全、IDS与防火墙联动的安全设置等内容，同时，还对方案进行了测试验证，并得到了较好的实验效果。本方案在设计上还具有局限性，今后的改进目标主要有以下几个方面：（1）设计更复杂的测试环境，来检查方案中存在的缺陷；（2）改进本方案的拓扑结构，使之能够适应更大规模的网络需求；（3）采用更先进的技术，将其融入到本方案中，从而达到更好的安全防

28、御效果。,任务11.2 企业网络安全方案设计,11.2.1 企业网络安全需求分析1.企业网络业务安全需求（1）控制网络不同部门之间的互相访问；（2）对不断变更的用户进行有效的管理；（3）防止网络广播风暴影响系统关键业务的正常运转，甚至导致系统的崩溃；（4）加强远程拨号用户的安全认证管理；（5）实现企业局域网与其他各网络之间的安全、高速数据访问交换；（6）建立局域网的立体杀毒系统；（7）建立WWW服务器，实现企业在Internet和Intranet上的信息发布，使公司内外的人员能够及时了解公司的最新信息；（8）建立邮件服务器，实现企业工作人员与上级机构、分支机构之间的电子信息的传递；（9）构建起

29、企业运行基于网络设计的Client/Server(客户机/服务器)或Browser/Server(浏览器/服务器)结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台。,2.存在的安全威胁1）外部威胁企业网络的外部安全威胁主要来源于以下几个方面：（1）病毒侵袭；（2）黑客入侵；（3）垃圾邮件；（4）无线网络、移动手机带来的安全威胁。2）内部威胁企业网络的内部安全威胁主要来源于以下几个方面：（1）用户的操作失误带来的安全问题；（2）某些用户故意的破坏，如被解雇或工作变动的职员因对公司的不满而对企业网络进行破坏或盗取公司的机密信息；（3）用户的无知引起的安全问题。3）网络设备的安全隐

30、患网络设备是网络系统的主要组成部分，是网络运行的核心。网络运行状况根本上是由网络设备的运行性能和运行状态决定的，因此，网络设备稳定可靠的运行对整个网络系统的正常工作起着关键性作用。特别是对于可以通过远程连接TELNET、网管、WEB等方式进行配置管理的网络设备（如路由器、防火墙等）容易受到入侵的攻击，主要的安全隐患表现在以下几个方面：（1）人为因素；（2）网络设备运行的操作系统存在漏洞；（3）网络设备提供不必要的服务；（4）网络设备没有安全存放，易受临近攻击。,3.企业网络安全建设的原则1）系统性原则企业网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、信息系统攻防技术的

31、深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。2）技术先进性原则企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用先进、成熟的安全技术和设备，实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。3）管理可控性原则系统的所有安全设备（管理、维护和配置）都应自主可控；系统安全设备的采购必须有严格的手续；安全设备必须有相应机构的认证或许可标记；安全设备供应商应具备相应资质并可信。4）适度安全性原则系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，

32、避免超出用户所能理解的范围，变得很难执行或无法执行。5）技术与管理相结合原则企业网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题，因此必须坚持技术和管理相结合的原则。6）测评认证原则企业网络系统作为重要的政务系统，其系统的安全方案和工程设计必须通过国家有关部门的评审，采用的安全产品和保密设备需经过国家主管理部门的认可。7）系统可伸缩性原则企业网络系统将随着网络和应用技术的发展而发生变化，同时信息安全技术也在发展，因此安全系统的建设必须考虑系

33、统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。,11.2.2 企业网总体设计1.企业网总体设计拓扑图,图11-29 企业网络拓扑图,企业网络总体拓扑结构如图11-29所示，其部门的IP地址规划如表11-4所示。设备IP地址规划如表11-5所示。,表11-4 部门IP地址规划表,表11-5 设备IP地址规划分配表,2.功能模块设计分析本方案主要实现以下几个功能模块：（1）防火墙功能模块，主要实现防火墙的部署、防火墙策略设置、与IDS联动等；（2）虚拟专用网功能模块，主要实现双机热备、与防火墙双重防护关键服务器群、与IDS联动、PKI用户认证设置、IPSec VPN和VPN虚

34、拟子网设置等；（3）入侵检测功能模块，实现与防火墙的联动；（4）三层交换机安全功能模块，主要实现VLAN、IP与MAC绑定、与IDS联动等；（5）病毒防护功能模块等。,11.2.3 防火墙系统设计1.防火墙的部署在防火墙的部署方式上，类似于区域分割的三角方式，是指将网络分为内部网络（军事化区域）、外部网络和DMZ区域。例如，将Web服务器、邮件服务器、DNS服务器、前台查询计算机等放置在DMZ区域，而内部的文件服务器、数据库服务器等关键应用都放置在内部网络中，从而使它们受到良好的保护，如图11-30所示。,图11-30 防火墙部署,企业网络拥有自己的FTP、Web和Mail等服务器，并对Int

35、ernet及内部用户提供相应的服务。其中，将向外提供服务的主机旋转在DMZ区，以保证内部的安全。在接入Internet时，本方案选择使用防火墙来接入，并实现NAT、PAT和ACL等配置方案。,2.防火墙应用规则与配置1）配置IP/MAC绑定与主机保护设置IP/MAC地址绑定，就可以执行IP/MAC地址对的探测。如果防火墙某网口配置了“IP/MAC地址绑定启用功能”、“IP/MAC地址绑定的默认策略（允许或禁止）”，当该网口接收数据包时，将根据数据包中的源IP地址与源MAC地址，检查管理员设置好的IP/MAC地址绑定表。如果地址绑定表中查找成功并匹配，则允许数据包通过，不匹配则禁止数据包通过。如

36、果查找失败，则按缺省策略（允许或禁止）执行。使用命令添加IP/MAC地址绑定：语法：ipmac add if|none unique on|off 参数说明：ip 指定IP地址，mac 指定MAC地址，if 指定相应的网络接口，可选参数，默认为不指定网络接口 unique 指定是否进行MAC地址的唯一性检查，可选参数，默认为不检查。例如，firewallipmac add 172.18.56.254 00:05:66:00:88:B8 if none unique off,2）配置防火墙URL过滤WEB服务是Internet上使用最多的服务之一。Internet上信息鱼龙混杂，存在部分不良信息

37、，因此必须对其访问进行必要的控制。RG-WALL防火墙可以通过对某些URL进行过滤实现对访问不良信息的控制。通过使用黑名单和白名单来控制用户不能访问哪些URL，可以访问哪些URL。3）NAT配置NAT技术能够解决IP地址不够的问题，同时，也能够隐藏网络内部信息，从而保护内部网络的安全。RG-WALL防火墙支持源地址一对一的转换，也支持源地址转换为地址池中的某一个地址。用户可通过安全规则设定需要转换的源地址（支持网络地址范围）、源端口。此处的NAT指正向NAT，正向NAT也是动态NAT，通过系统提供的NAT地址池，支持多对多，多对一，一对多，一对一的转换关系。4）配置安全规则安全规则的配置可以说

38、是防火墙最重要的配置了，因为没有安全规则，防火墙是不能转发数据流的。默认情况下，防火墙的行为是，除非明文允许，否则全部禁止。防火墙支持的安全规则有包过滤、NAT、IP 映射、端口映射和代理等。5）配置防火墙主机保护增加主机保护确保关键服务器的安全稳定，用于保护服务器访问时不会因为攻击而过载。,11.2.4 虚拟专用网设计1.VPN系统部署VPN系统部署的详细拓扑结构如图11-31所示。,图11-31 VPN部署,1）总部网络VPN系统部署RG-WALL V160S作为认证网关，对内网的关键服务器进行认证控制，非授权用户不能访问。USB KEY 保障密钥的安全性，进一步降低安全使用风险。两台数据

39、中心的RG-WALLV160S通过HA实现双机热，双网链路冗余和状态热备快速故障恢复。2）分支机构VPN系统部署企业分支机构一般指分布在全国各地规模中等的分公司，公司内部建有中等规模的局域网，同时通过当地ISP提供的宽带接入方式接入Internet并安装一台VPN设备，作为客户端接入总部。3）移动办公网点VPN系统部署采用L2TP+IPSEC隧道协议，接入总部，用户即使在乘坐车船甚至飞机的途中，可随时随地实现移动办公，犹如在办公室一样方便流畅地交流信息。4）合作伙伴VPN部署商业合作伙伴可能要实时共享某些信息，网络类似分支机构接入，通过防火墙策略设置访问权限。,2.VPN双机热备份本方案采用远

40、程安全接入和边界安全防护的组合解决方案。针对本企业对系统和数据的高可用性和高安全性的需求，采用了两台RG-WALLV160S通过HA实现双机热备，双网链路冗余。该方案为用户提供了强大的容错功能，避免了单点故障，快速自动恢复正常通信。网络本身通过VPN网关实现数据在广域网链路中的安全传输，防止被窃听或被篡改。设计中两台RG-WALLV160S之间通过HA来实现双机热备，主机和备机通过一条串口线连接，正常工作时，主机处于工作状态，备机网口处于down状态，主机和备机的配置完全相同，并通过串口线同步动态信息，更加增强了网络的可靠性，当主机出现问题或者链路不通时，备机将在36秒钟之内进入工作状态，接管

41、主机的工作，整个切换过程平滑透明，网络用户只会感觉到有短暂的加大，不会对整个网络造成大的影响。,3.VPN与防火墙双重防护关键服务器群在服务器群网络外部署的两台VPN外又添加了两台虚拟防火墙，从而提高关键位置的安全性及敏感数据的安全性。以此防止恶意用户在网络中进行非法网络攻击及网络访问。并能同时保证公司带宽投入得到有效地利用。就算黑客能突破虚拟防火墙，里面还有一层VPN认证防护，提高了安全级别。4.VPN与IDS联动网络安全不可能完全依靠单一产品来实现，网络安全是个整体，必须配相应的安全产品。作为必要的补充，入侵检测系统（IDS）可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可

42、预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为将通过报警、通知VPN设备中断网络（即IDS与VPN联动功能）等方式进行控制（即安全设备自适应机制），最后将攻击行为进行日志记录以供以后审查。,5.PKI配置与用户认证配置由于锐捷VPN 设备采用标准X.509 证书进行设备身份标识，所以系统提供标准PKI（公钥基础设施）配置。锐捷 VPN 设备可以对远程用户进行身

43、份验证。目前可以支持一次性口令认证、数字证书认证、第三方Radius 认证和SecureID 认证。6.报文过滤设置报文过滤策略来指定某些传输层协议能否通过VPN。另外可以通过配置与IDS的联动规则，当IDS 检测到攻击后，将立即通知报文过滤模块，过滤模块一方面显示对应的IDS 过滤规则，同时也会对攻击报文进行过滤，从而阻止其对内部网络的攻击。7.VPN 虚子网配置如果用户网络中不同 VPN 设备保护的内部子网地址相同，出现了冲突，那么常规VPN设备就会要求用户进行地址调整，但是锐捷VPN 可以允许用户通过虚子网来解决这个问题。所谓虚子网就是把冲突一方的网络地址映射成另外一个不冲突的子网地址，

44、网络地址部分发生变化，但是主机地址部分不变，这样用户仍然可以知道变换后对方的主机地址。8.日志审计配置日志记录提供对系统活动的详细审计，锐捷 VPN 提供了详细的日志审计信息，这些信息用于评估、审查系统的运行环境和各种操作,能够帮助管理员来寻找系统中存在的问题，对系统维护十分有用。管理器中对日志进行分级管理，使日志信息更详尽、更规范、层次更清楚。,11.2.5 入侵检测系统设计本方案实现入侵检测系统与防火墙的联动，从而使防火墙可以根据网络运行的状况来动态设置防火墙规则，其部署的方拓扑结构如图11-32所示。,图11-32 防火墙与IDS的联动部署,11.2.6 三层交换机系统设计三层核心交换机

45、是整个企业网络的中枢节点，因此它的合理设置和安全规划将影响到整个网络的运行。本方案将从以下几个方面进行设计：（1）合理的VLAN划分规划；（2）IP与MAC地址的绑定设计；（3）防攻击的系统保护配置；（4）动态的ARP检测配置，防止ARP欺骗攻击等。,11.2.7 病毒防御系统设计企业网络的病毒防御体系要针对企业网络的现状，对网络中可能存在的病毒入侵点进行详细分析，然后对其进行层层防护，对症下药才能真正保护企业网络的安全。一般情况下，病毒的入侵点主要有：（1）从客户端入侵：任何一个客户端计算机都可能会通过可移动介质、Internet下载、接收Email以及访问受感染的服务器等途径被病毒侵害，如

46、果此客户端再去访问企业网络或其中的资源，则很有可能会把这些病毒传播出去，而且目前大部分病毒都可以自动进行复制传播，增加了其对企业网络的危害性；（2）从文件或应用服务器入侵：如果这些服务器被病毒侵害，则访问这些服务器的客户机将非常容易感染病毒；（3）从网关入侵：网关是一个企业网络的门户，任何防火墙都无法阻止Internet上病毒的入侵。本方案的企业网络防病毒产品的部署如图11-33所示。,图11-33 企业网络防病毒产品部署,11.2.10 项目总结本方案主要是以IDS为中心的联动来实现全网动态安全部署，并融合配置IDS、防火墙、VPN和三层交换机等设备，采用多手段多方位的立体防御体系，特别是对

47、核心和保密部门加强其隧道实现技术，并通过测试，成功验证方案的可行性。但本方案在安全细节上设计的还不够，需要在实际的运行过程中不断改进完善，使之成为一个安全、可靠、先进的企业网络安全方案。,任务11.3 政府网络安全方案设计,任务11.3.1 了解政府网络安全现状某地税分局外网建设的目的是能够通过构建一个统一、高效、可靠、安全的信息化平台，有效促进税务网络互联互通和税务信息资源共享，形成统一的某地税网络和资源共享平台。同时，能够为市、区各级相关部门在进行职能办公、社会管理、公共服务等业务应用提供支持，将网络服务延伸到乡（镇、街道）、村（社区），使网络服务惠及全民。地税分局外网连接着市及其所管辖的

48、某区各相关税务局网络，是某区税务局面向公众服务的重要信息网络枢纽，也是各部门实现纵向和横向互联互通、整合Internet出口和共享资源的统一网络平台。某地税分局办公楼高为五层，核心机房在一楼弱电间，网络接入节点约60个，网络结构采用单核心结构。外网为公共信息服务平台和一般的办公网络，通过ISP运营商接入Internet，内网则通过专线连接与市局相连接。,任务11.3.2 政府网安全需求分析1政府网络安全隐患政府对网络的安全需求是全方位的，整体的，相应的网络安全体系也是分层次的，在不同层次反映了不同的安全问题。根据网络应用现状和网络结构，本方案基于物理安全、网络安全、系统安全、应用安全和管理安全

49、五个安全层面分别进行了分析，提交详细的风险分析报告。地税分局外网可能面临的安全威胁和风险具体见下表11-6。,2地税分局政府网络安全需求地税分局外网对信息安全程度要求较高，因其涉及到重要信息的泄密等。构筑网络安全系统的最终目的是对网络资源或者说是保护对象，实施最有效的安全保护。地税分局外网的安全，既涉及到各种硬件通信设施和各种服务器、终端设备的安全，又涉及到各种系统软件、通用应用软件和自行开发的应用程序的安全；既涉及各种信息安全技术本身，也涉及保障这些安全技术顺利实施的各种安全管理。任何一种或几种安全技术都无法解决网络中的所有安全问题，必须以科学的安全保障体系结构模型为依据，全面系统地分析内外

50、网的安全保障需求，为建立科学合理的安全保障体系打下坚实的基础。针对地税分局外网的网络安全需要从以下方面考虑：（1）针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信息。对重要的设备和重要系统进行备份等安全保护。（2）不同业务网络之间的物理隔离或者逻辑隔离，特别是外网与因特网之间，外网与内网之间需要通过逻辑或物理隔离保证网络边界的安全。有效保障各网络系统之间的数据安全，确保政府部门内部保密数据的安全性和可靠性。（3）严格控制各种人员对地税分局内部网络的接入，尤其是地税分局内部网络的接入，防止政府部门内部涉密信