网络安全


	网络安全

作者:

站长

摘自:

网上收集

人气:

网络安全

随着internet的飞速发展，网络安全愈来愈被广大的用户所重视，一个成熟安全的网络系统，主要包括以下几方面：防火墙、入侵检测、网络防毒、数字加密及身份认证、远程访问、带宽管理。以上六大部分是一个有机整体，各个部分之间相互协作，能够给企业提供一个全面的保护。

我们根据大多数用户的情况，我们设计了这个网络安全方案，包括防火墙，对病毒、恶意攻击的防护以及相关的带宽管理和身份认证。

在这个解决方案当中，我们选用的防火墙是StoneGate 防火墙（同样可以根据用户的需要改用Checkpoint、Netscreen等其它防火墙）：

◆ 在公司的总部，在企业内部网的第一道关口，设置StoneGate 防火墙集群，包括两个节点来实现防火墙自身的负载均衡和故障冗余。基于公司的对外提供关键的业务应用，为了充分保证ISP的可用性，我们设置了两个ISP连接，通过StoneGate 防火墙的Multi-link 技术，在两个ISP之间做到流量的负载均衡，并且消除单点故障的发生。

◆ 在分公司，需要保证职员能够正常的上国际互联网，收发邮件，并且通过互联网访问总公司的内部数据，但是没有什么关键的商业应用，所以我们在这里设置一台单个的StoneGate 防火墙，除了完成NAT、包过滤等一些基本的防火墙功能外，与总部的StoneGate 防火墙集群之间建立VPN（虚拟专用网），确保分公司与总部之间的数据通讯不被别人所窃取。

◆ 对于那些经常出差在外公司员工，同样需要经常访问公司总部的资源，可以通过拨号的方式，也可以通过互联网的方式。当出差在外的员工通过位于远程的合作伙伴的网络访问公司总部资源时，为了确保数据信息不被偷听，在员工手持终端与公司的防火墙集群之间建立LAN-Client方式的VPN。

◆ 为了有效的对远程用户进行身分认证，我们在网络环境当中设立了LDAP服务器和RADIUS服务器。如果我们仅仅对用户进行简单的密码认证的话，我们可以不需要额外的LDAP服务器和RADIUS服务器，因为StoneGate 防火墙本身内含一个简单的LDAP服务器。在公司内部有专门的LDAP服务器和RADIUS服务器的时候，StoneGate 防火墙管理系统将变成一个LDAP客户端，当他受到一个访问请求的时候，它将先向LDAP服务器发起一个基于用户的认证请求，得到用户认证方式之后，在相应的转向RADIUS服务器得到授权。对于那些通过远程拨号上来的用户，同样利用LDAP服务器和RADIUS服务器来进行身份确认和认证授权。

◆ 防火墙作为公司内部网与外面的第一道关口，还要具有另一项功能，那就是内容检测，包括病毒、恶意的代码攻击和受限制的网页（如一些反动言论、黄色图片等等），我们通过StoneGate 防火墙的协议代理，将那些要检测的服务重定向到与之相连的第三方的CIS服务器上，从而避免一些不受欢迎的代码和内容进入到公司的内部网络。在这里，第三方的CIS服务器可以选择。

◆ 随着网络应用的类型不但增多，各种类型的网络流量抢占带宽的情况愈来愈严重，为了保护关键业务的网络流量，防止不可预侧的网络性能对业务带来不利，关健任务的应用与那些不太紧急的通信竞争有限的、昂贵的广域网带宽。我们在防火墙与主交换机之间设置了一台带宽管理服务器，以避免大量的电于邮件和Web浏览淹没了我们的Oracle或SAP通信。在这里我们建议使用PackEtShapEr贷款管理服务器。PacketShaper自动识别达150多种协议和应用程序，你也可以根据自己的需要，自行设定相应的标准来区分更多的类型。你可以通过应用、服务、协议、端口数、URL或通配符(用于Web通信)、主机名称、优先权、以及IP或MAC地址对通信量进行分类。packetShaper与现有的网络顺利集成、不需要任何新的协议或者重新配置路由器，也不需要修改拓扑结构和桌面。它不是一个网络故障点，如果PacketShaper发生故障或者被关掉，它就会像一条电缆一样发挥作用。

◆ 入侵检测是防火墙的合理补充，被认为是防火墙之后的第二道安全闸门。在不影响网络性能的情况下，入侵检测系统从网络中的若干关键点收集信息并加以分析，对网络中违反安全策略的行为和袭击迹象进行监测，从而提供对内、外部攻击和误操作的实时保护，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应等），加强了信息安全基础结构的完整性。统计显示，网络上80％的黑客攻击来之于企业网内部，仅仅依靠一台CIS服务器是根本不能满足要求的。我们将在内部网络的各个交换机上设置NIDS(网络监听模块)，在各个重要的服务器和工作站上安装HIDS（主机监听模块），与CIS服务器相联合，为了防止误报率，可以在CIS设立相对宽松的政策；在企业内部网里设置较为严厉的政策。在这里我们选用eTrust入侵检测软件。

◆ 任何一套完整的安全解决方案都缺不了周密的防病毒措施，在计算机病毒日益猖獗的今天，如何防止病毒是一个非常重要的话题。病毒防护包括桌面和服务器的防毒、邮件防毒等相关部分。在我们的方案当中，将分三部分来防病毒。首先，在网络的入口处，也就是在与防火墙相连的CIS服务器上，我们将安装防病毒网关，通过StoneGate防火墙的协议代理将数据包重定向到防病毒网关上，将外来的病毒拒之与门外；其次，将在局域网类设置抗病毒服务器，通过它来对各个桌面和服务器进行防毒；第三，将对邮件服务器设立邮件防病毒网关，专门检测进出的邮件。以上三种我们将选用Symantec AntiVirus Enterprise Edition 8.0 和Symantec AntiVirus for SMTP Gateways 8.0来具体的实现。

◆ 考虑到电子商务的应用，我们可以根据需要在提供服务的服务器上安装SSL代理，这样通过对服务器与客户端之间的数据进行SSL封装，来确保电子商务的交易安全进行。

【返回上页】【打印此页】【查看参与评论】

相关文章
没有相关文章