安全生产网络安全解决方案建议书最全版.docx

1、安全生产网络安全解决方案建议书最全版（安全生产）网络安全解决方案建议书JuniperISG2000网络安全解决方案建议书美国Juniper网络X公司1前言31.1范围定义31.2参考标准32系统脆弱性和风险分析42.1网络边界脆弱性和风险分析42.2网络内部脆弱性和风险分析43系统安全需求分析53.1边界访问控制安全需求53.2应用层攻击和蠕虫的检测和阻断需求73.3安全管理需求84系统安全解决方案94.1设计目标94.2设计原则94.3安全产品的选型原则104.4整体安全解决方案114.4.1访问控制解决方案114.4.2防拒绝服务攻击解决方案134.4.3应用层防护解决方案184.4.4安

2、全管理解决方案215方案中配置安全产品简介225.1JuniperX公司介绍225.2Juniper ISG2000 系列安全网关251 前言1.1 范围定义本文针对的是XXX网络的信息安全问题，从对象层次上讲，它比较全面地囊括了从物理安全、网络安全、系统安全、应用安全到业务安全的各个层次。原则上和信息安全风险有关的因素都应在考虑范围内，但为了抓住重点，体现主要矛盾，在本文主要针对具有较高风险级别的因素加以讨论。从安全手段上讲，本文覆盖了管理和技术俩大方面，其中安全管理体系包括策略体系、组织体系和运作体系。就XXX的实际需要，本次方案将分别从管理和技术俩个环节分别给出相应的解决方案。1.2 参

3、考标准XXX属于壹个典型的行业网络，必须遵循行业相关的保密标准，同时，为了保证各种网络设备的兼容性和业务的不断发展需要，也必须遵循国际上的相关的统壹标准，我们在设计XXX的网络安全解决方案的时候，主要参考的标准如下： NASIATF3.1美国国防部信息保障技术框架v3.1 ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则，第壹部分简介和壹般模型 ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则，第二部分安全功能要求 ISO15408/GB/T18336信息技术安全技术信息技术安全性评估准则，第三部分安全保证要求 加拿大信息安全技术指南,199

4、7 ISO17799第壹部分,信息安全管理CodeofPracticeforInformationSecurityManagement GB/T18019-1999包过滤防火墙安全技术要求； GB/T18020-1999应用级防火墙安全技术要求； 国家973信息和网络安全体系研究G1999035801课题组IATF信息技术保障技术框架。2 系统脆弱性和风险分析2.1 网络边界脆弱性和风险分析网络的边界隔离着不同功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险，下面我们将对XXX网络就网络边界问题做脆弱性和风险的分析。XXX的网络主要存

5、在的边界安全风险包括： XXX网络和各级单位的连接，可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵；例如壹个不满的内部用户，利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪； 内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等，可是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。2.2 网络内部脆弱性和风险分析XXX内部网络的风险分析主要针对XXX的整个内网的安全风险，主要表现为以下几个方面： 内部用户的非授权访问；XXX内部的资源也不是对任何的员工都开放的

6、，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄漏。 内部用户的误操作；由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果壹部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。 内部用户的恶意攻击；就网络安全来说，据统计约有70左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。 设备的自身安全性也会直接关系到XXX网络系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。 重要服务器或操作系统自身存在安全的漏洞，如果管理员没

7、有及时的发现且且进行修复，将会为网络的安全带来很多不安定的因素。 重要服务器的当机或者重要数据的意外丢失，都将会造成XXX内部的业务无法正常运行。 安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。3 系统安全需求分析通过对上面XXX网络的脆弱性和风险的分析，我们认为整个XXX网络的安全建设目前仍比较简单，存在着壹定的安全隐患，主要的安全需求体现为以下几个方面：边界访问控制安全需求，网络级防病毒安全需求、入侵行为检测安全需求、安全管理需求等，下面我们将继续上几章的方法，分别在边界安全需求，内网安全需求环节就这几个关键技术进行描述。3.1 边界访问控制安全

8、需求防火墙是实现网络逻辑隔离的首选技术，在XXX的网络中，既要保证在整个网络的连通性，又要实现不同网络的逻辑隔离。针对XXX网络的具体情况，得到的防火墙的需求包括以下几个方面： 先进的安全理念支持基于安全域的策略设定，让用户能够更好的理解防火墙的应用目的。 访问控制防火墙必须能够实现网络边界的隔离，具有基于状态检测的包过滤功能，能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制，能够实现网络层的内容过滤，支持网络地址转换等功能。 高可靠性由于防火墙是网络中的重要设备，意外的当机都会造成网络的瘫痪，因此防火墙必须是运行稳定，故障率低的系统，且且要求能够实现双机的热备份，实现不间

9、断的网络服务。 日志和审计要求防火墙能够对重要关键资源的使用情况应进行有效的监控，防火墙系统应有较强的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能，同时希望支持第三方的日志软件，实现功能的定制。 身份认证防火墙本身必须支持身份认证的功能，在简单的地方能够实现防火墙本身自带数据库的身份认证，在大型的情况下，能够支持和如RADIUS等认证服务器的结合使用。 易管理性XXX网络是壹个大型的网络，防火墙分布在网络的各处，所以防火墙产品必须支持集中的管理，安全管理员能够在壹个地点实现对防火墙的集中管理，策略配置，日志审计等等。系统的安装、配置和管理尽可能的简洁，安装便捷、配

10、置灵活、操作简单。 高安全性作为安全设备，防火墙本身必须具有高安全性，本身没有安全漏洞，不开放服务，能够抵抗各种类型的攻击。针对防火墙保护的服务器的拒绝服务攻击，防火墙能够进行阻挡，且且在阻挡的同时，保证正常业务的不间断。 高性能作为网络的接入设备，防火墙必须具有高性能，不影响原有网络的正常运行，千兆防火墙的性能应该在900M之上，且发连接数要在50万之上。 可扩展性系统的建设必须考虑到未来发展的需要，系统必须具有良好的可扩展性和良好的可升级性。支持标准的IP、IPSEC等国际协议。支持版本的在线升级。 易实现性防火墙能够很好的部署在现有的网络当中，最小改变网络的拓扑结构和应用设计。防火墙要支

11、持动态路由、VLAN协议、H323协议等。3.2 应用层攻击和蠕虫的检测和阻断需求入侵检测主要用于检测网络中存在的攻击迹象，保证当网络中存在攻击的时候，我们能够在攻击发生后果之前能够发现它，且且进行有效的阻挡，同时提供详细的相关信息，保证管理员能够进行正确的紧急响应，将攻击的影响减少到最低的程度。它的主要需求包括： 入侵检测和防护要求能够对攻击行为进行检测和防护，是对入侵防护设备的核心需求，入侵防护设备应该采用最先进的检测手段，如基于状态的协议分析、协议异常等多种检测手段结合等等；要求能够检测的种类包括：攻击行为检测、异常行为检测等等。 对网络病毒的阻拦由于目前80之上的病毒都是通过网络来传播

12、的，所以为了更好的进行防毒，需要安全设备能够在网关处检测且且阻拦基于网络传输的病毒和蠕虫，且且能够提供相关特征的及时更新。 性能要求内部网络的流量很多，入侵检测和防护需要处理的数据量也相对较大，同时由于对性能的要求能够大大的减少对于攻击的漏报率和误报率， 自身安全性要求作为网络安全设备，入侵检测系统必须具有很高的安全性，配置文件需要加密保存，管理台和探测器之间的通讯必须采用加密的方式，探测器要能够去除协议栈，且且能够抵抗各种攻击。 服务要求由于系统漏洞的不断出现和攻击手段的不断发展，要求应用层防护设备的攻击特征库能够及时的进行更新。以满足网络最新的安全需求。 日志审计要求系统能对入侵警报信息分

13、类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。能够选择不同的时间间隔生成报表，反映用户在壹定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息，使管理员随时对网络安全状况有正确的了解。能够根据管理员的选择，定制不同形式的报表。3.3 安全管理需求安全管理是安全体系建设极为重要的壹个环节，目前XXX网络的需要建立针对多种安全设备的统壹管理平台，总体需求如下： 安全事件的统壹监控对于网络安全设备上发现的安全事件，都能够进行集中的监控。且且进行相应的关联分析，保证管理员能够通过简单的方式，不需要登陆多个设备，就能够明了目前网络中发生的安全事件。 安全设备的集

14、中化管理随着使用安全产品种类和数量的增加需要不断增加管理和维护人员，管理成本往往呈指数级的增加，因此需要相应的技术手段对这些产品进行集中的控管。 安全响应能力的提升响应能力是衡量壹个网络安全建设水平的重要标准，发现安全问题和安全事件后，必须能快速找到解决方法且最快速度进行响应，响应的方式包括安全设备的自动响应，联动响应，人工响应等等。4 系统安全解决方案4.1 设计目标XXX网络具有很高的安全性。本方案主要针对XXX网络，保证XXX内网中的重要数据的保密性，完整性、可用性、防抵赖性和可管理性，具体来说可分为如下几个方面： 有效控制、发现、处理非法的网络访问； 保护在不安全网络上的数据传输的安全

15、性； 能有效的预防、发现、处理网络上传输的蠕虫病毒和其他的计算机病毒； 能有效的预防、发现、处理网络上存在的恶意攻击和非授权访问； 合理的安全体系架构和管理措施； 实现网络系统安全系统的集中管理； 有较强的扩展性。4.2 设计原则我们严格按照国家相关规定进行系统方案设计。设计方案中遵守的设计原则为：(1) 统壹性系统必须统壹规范、统壹标准、统壹接口，使用国际标准、国家标准，采用统壹的系统体系结构，以保持系统的统壹性和完整性。(2) 实用性系统能最大限度满足XXX网络的需求，结合XXX网络的实际情况，在对业务系统进行设计和优化的基础上进行设计。(3) 先进性无论对业务系统的设计仍是对信息系统和网

16、络的设计，都要采用成熟先进的技术、手段、方法和设备。(4) 可扩展性系统的设计必须考虑到未来发展的需要，具有良好的可扩展性和良好的可升级性。(5) 安全性必须建立可靠的安全体系，以防止对信息系统的非法侵入和攻击。(6) 保密性信息系统的有关业务信息，资金信息等必须有严格的管理措施和技术手段加以保护，以免因泄密而造成国家、单位和个人的损失。(7) 最高保护原则系统中涉及到多种密级的资源，按最高密级保护(8) 易实现性和可管理性系统的安装、配置和管理尽可能的简洁，安装便捷，配置灵活，操作简单，且且系统应具有可授权的集中管理能力。4.3 安全产品的选型原则XXX网络属于壹个行业的专用网络，因此在安全

17、产品的选型上，必须慎重，选型的原则包括： 安全保密产品的接入应不明显影响网络系统运行效率，且且满足工作的要求，不影响正常的业务； 安全保密产品必须满足上面提出的安全需求，保证整个XXX网络的安全性。 安全保密产品必须通过国家主管部门指定的测评机构的检测； 安全保密产品必须具备自我保护能力； 安全保密产品必须符合国家和国际上的相关标准； 安全产品必须操作简单易用，便于简单部署和集中管理。4.4 整体安全解决方案4.4.1 访问控制解决方案4.4.1.1 划分安全区（SecurityZone）JuniperISG2000系统的防火墙模块增加了全新的安全区域（SecurityZone）的概念，安全区

18、域是壹个逻辑的结构，是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时，必须通过事先定义的策略检查才能通过；当在同壹个安全区域进行通讯时，默认状态下允许不通过策略检查，经过配置后，也能够强制进行策略检查，以提高安全性。安全区域概念的出现，使防火墙的配置能更灵活同现有的网络结构相结合。以下图为例，通过实施安全区域的配置，内网的不同部门之间的通讯也必须通过策略的检查，进壹步提高的系统的安全。4.4.1.2 划分VSYS为满足网络中心或数据中心的要求，即网络中心或数据中心的管理员提供防火墙硬件设备的维护和资源的分配，部门级系统管理员或托管用户的管理员来配置防火墙的IP配置以及具体策

19、略。JuniperX公司的防火墙自500系列起，支持虚拟防火墙技术，即能够将壹个物理的防火墙系统虚拟成多个逻辑的防火墙系统，满足了数据中心或网络中心硬件系统和管理系统维护的分离要求。4.4.1.3 Virtual-RouterJuniperX公司防火墙支持虚拟路由器技术，在壹个防火墙设备里，将原来单壹路由方式下的单壹路由表，进化为多个虚拟路由器以及相应的多张独立的路由表，提高了防火墙系统的安全性以及IP地址配置的灵活性。4.4.1.4 安全策略定义JuniperX公司ISG2000系统的防火墙模块在定义策略时，主要需要设定源IP地址、目的IP地址、网络服务以及防火墙的动作。在设定网络服务时，J

20、uniperISG2000系统的防火墙模块已经内置预设了大量常见的网络服务类型，同时，也能够由客户自行定义网络服务。在客户自行定义通过防火墙的服务时，需要选择网络服务的协议，是UDP、TCP仍是其它，需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。因此，通过对网络服务的定义，以及IP地址的定义，使JuniperISG2000系统的防火墙模块的策略细致程度大大加强，安全性也提高了。除了定义上述这些主要参数以外，在策略中仍能够定义用户的认证、在策略里定义是否要做地址翻译、带宽管理等功能。通过这些主要的安全元素和附加元素的控制，能够让系统管理员对进出防火墙的数据流量

21、进行严格的访问控制，达到保护内网系统资源安全的目的。4.4.2 防拒绝服务攻击解决方案JuniperX公司ISG2000系统的高性能确保它足以抵御目前Internet上流行的DDoS的攻击，能够识别多达28种之上的网络攻击。在抵御主要的分布式拒绝服务功能方面，JuniperX公司JuniperISG2000系统支持SYN网关代理功能，即当SYN的连接请求超过正常的定义的范围时，NS防火墙会自动启动SYN网关功能，代理后台服务器端结SYN的请求且发出ACK回应，直到收到SYN/ACK的响应，才会将该连接转发给服务器；否则会将超时没有响应的SYN连接请求丢弃。JuniperX公司NetScreen

22、系列除了支持SYN网关功能之外，能够针对SYN的攻击设定阀值，只有当SYN连接请求超过预定义阀值时，才启动SYN网关的功能。这样能够有效的提高防火墙在正常情况下的工作效率。如果防火墙没有阀值的选项，那么用户面临的选择是：要么不要SYN防御的功能提高性能，要么使用SYN防御的功能大大降低在正常工作状态下的性能。这是其它防火墙产品非常不灵活的产品设计，JuniperX公司的JuniperISG2000系统在俩者之间取得了壹种平衡。4.4.2.1 SYNFlooding当主机中充满了需要发出响应的、无法完成连接的SYN请求，以至于主机无法再处理合法的SYN连接请求时，就发生了SYN泛滥。利用三方封包

23、交换，即常说的三方握手，俩个主机之间建立TCP连接：A向B发送SYN数据包；B用SYN/ACK数据包进行响应；然后A又用ACK数据包进行响应。SYN泛滥攻击用伪造的IP源地址（不存在或不可到达的地址）的SYN请求来塞满站点B。B用SYN/ACK数据包响应这些来自非法地址的请求，且等待来自这些地址的响应的ACK数据包。因为SYN/ACK数据包被发送到不存在或不可到达的IP地址，所以它们永远不会得到响应且最终超时。通过用无法完成的TCP连接泛滥攻击主机，攻击者最后会填满受害服务主机的内存缓存区。当该缓存区填满后，主机就不能再处理新的TCP连接请求，泛滥甚至可能会破坏受害者的操作系统。Juniper

24、ISG2000设备能够对每秒钟允许通过防火墙的SYN数据包数量加以限制。能够针对目标地址和端口、仅目标地址或仅源地址的攻击临界值设置阀值。当每秒的SYN数据包数量超过这些临界值之壹时，Juniper设备开始代理发送流入的SYN数据包、用SYN/ACK数据包回复且将不完全的连接请求储存到连接队列中。未完成的连接请求保留在队列中，直到连接完成或请求超时。在下面的示意图中，已超过了SYN攻击临界值，Juniper防火墙开始代理SYN数据包。在下壹个示意图中，通过代理连接的队列已完全填满，JuniperISG2000系统正在拒绝流入的SYN数据包请求。此操作保护受保护网络中的主机，使其免遭不完整的三方

25、握手的轰击。ICMPFlooding当有大量的ICMP回应请求时，往往会造成服务器耗尽资源来进行响应，直至最后超出了服务器的最大极限以致无法处理有效的网络信息流，这时就发生了ICMP泛滥。当启用了ICMP泛滥保护的功能时，能够设置壹个临界值，壹旦超过此值就会调用ICMP泛滥攻击保护功能。（缺省的临界值为每秒1000个封包）。如果超过了该临界值，JuniperISG2000设备在该秒余下的时间和下壹秒内会忽略其它的ICMP回应要求。4.4.2.2 UDPFlooding和ICMP泛滥相似，当攻击者以减慢受害服务器响应速度为目的向该点发送含有UDP数据包的IP封包，以至于受害服务器再也无法处理有效

26、的连接时，就发生了UDP泛滥。当启用了UDP泛滥保护功能时，能够设置壹个临界值，壹旦超过此临界值就会调用UDP泛滥攻击保护功能。（缺省临界值为每秒1000个封包）如果从壹个或多个源向多个目标发送的UDP数据包数量超过了此临界值，JuniperISG2000在该秒余下的时间和下壹秒内会忽略其它到该目标的UDP数据包。4.4.2.3 MISC攻击能够抵御的主要的攻击方式有：分布式服务拒绝攻击DDOS（DistributedDenial-Of-Serviceattacks）、IP碎片攻击（IPFragmentationattacks）、端口扫描攻击（PortScanAttacks）、IP源路由攻击（

27、IPSourceAttacks）、IPSpoofingAttacks；AddressSweepAttacks、WinNukeAttack等共31种，请参考附件（ScreenDescription）。4.4.3 应用层防护解决方案4.4.3.1 应用层防护当前，复杂的攻击以不同的方式出当下不同的客户环境中。Juniper网络X公司ISG2000中的应用层防护模块先进的攻击防护和定制功能有助于准确地检测攻击，且阻止其攻击网络，以避免产生损失。Juniper网络X公司ISG2000中的应用层防护模块先进的攻击防护功能具有以下特点： 多种检测方法，包括复合签名、状态签名、协议异常以及后门检测。 开放式

28、签名格式允许管理员查见攻击字符串如何匹配攻击签名，且根据需求对签名进行编辑。这种理解和定制级别允许管理员定制攻击签名，以满足独特的攻击要求。 全面的签名定制通过提供更高的控制能力，以适应签名的特定要求，从而增强检测独特攻击的能力。o 复合签名：能够将状态签名和协议异常结合到单个攻击对象中，以检测单个会话中的复杂攻击，从而提高检测速度。o 400多个定制参数和Perl式的常规表达式：能够定制签名或创建完全定制的签名。4.4.3.1.1 多重方法攻击检测Juniper网络X公司的多重方法检测技术(MMD)将多种检测机制结合到单壹产品中，以实现全面的检测。由于不同的攻击类型要求采用不同的识别方法，因

29、此，仅使用几种检测方法的产品不能检测出所有类型的攻击。Juniper网络X公司ISG2000中的应用层防护模块采用多重方法检测技术能够最大限度地检测出各种攻击类型，确保不会遗漏关键的威胁。MMD中采用的检测方法包括：状态签名仅检测相关流量中的已知攻击模式协议异常检测未知或经过修改的攻击方式。后门检测检测XX的交互式后门流量。复合签名将状态签名和协议异常结合在壹起，检测单个会话中的复杂攻击。状态签名检测某些攻击能够采用攻击签名进行识别，在网络流量中能够发现这种攻击模式。状态签名设计用于大幅度提高检测性能，且减少目前市场上基于签名的入侵检测系统的错误告警。Juniper网络X公司ISG2000中的

30、应用层防护模块跟踪连接状态，且且仅在可能发生攻击的相关流量部分来查找攻击模式。传统的基于签名的入侵检测系统在流量流的任意部分寻找攻击模式，从而导致较高的错误告警几率。例如，要确定某人是否尝试以根用户身份登录服务器，传统的基于签名的IDS会在传输中出现root字样时随时发送告警，导致错误告警的产生。Juniper网络X公司ISG2000中的应用层防护模块采用状态签名检测方法，仅在登录序列中查找字符串root，这种方法可准确地检测出攻击。Juniper网络X公司ISG2000中的应用层防护模块的所有签名都可通过简单的图形用户界面来接入，因此能够容易地了解系统在监控流量的哪壹部分。此外，开放式签名格

31、式和签名编辑器可用于迅速修改或添加签名。这俩种功能使用户能够确定对其环境的重要部分，且确保系统也能够识别出这个重要部分。然而，状态签名方法能够跟踪且了解通信状态，因此可缩小和可能发生攻击的特定站点相匹配的模式范围（通信模式和流方向-表示客户机至服务器或服务器至客户机的流量）。如上图所示，状态签名仅执行和可能发生攻击的相关流量相匹配的签名模型。这样，检测性能将显着提高，而且错误告警的数量也大大减少。ISG2000系统能够实现对攻击签名库的每日升级，JUNIPERX公司将在自己的安全网站上进行攻击特征的每日更新，目前的攻击特征包括应用层攻击，蠕虫特征、网络病毒特征、P2P应用特征等多种攻击特征。能够对上述的非正常访问进行检测和阻挡。协议异常检测攻击者且不遵循某种模式来发动攻击，他们会不断开发且推出新攻击或复杂攻击。协议异常检测可用于识别和正常流量协议不同的攻击。例如，这种检测可识别出那种采用不确定的流量以试图躲避检测、且威胁网络和/或主机安全的攻击。以缓冲器溢出为例（见下图），攻击者在服务器的许可下使服务器运行攻击者的代码，从而获得机器的全部访问权限。协议异常检测将缓冲器允许的数据量和发送的数据量、以及流量超出允许量时的告警进行比较。协议异常检测和其所支持的多种协