安全加固项目方案.docx
- 文档编号:9168131
- 上传时间:2023-05-17
- 格式:DOCX
- 页数:23
- 大小:636.99KB
安全加固项目方案.docx
《安全加固项目方案.docx》由会员分享,可在线阅读,更多相关《安全加固项目方案.docx(23页珍藏版)》请在冰点文库上搜索。
安全加固项目方案
XX单位XX网安全建设项目
安全加固方案
XX有限公司
二零一五年一月
文档控制
XX单位安全加固方案
技术方案
提交方
XX有限公司
提交日期
2015-1-1
版本信息
日期
版本
撰写者
审核者
描述
2015/1/1
1.1
一.1网络现状
XX单位目前有两套业务,一套为全国的业务网,一套为OA网,两套网运行在同一套网络硬件平台上。
根据业务不同有三个网络出口,分别为广电出口接入到电信机房的业务服务器,上视出口与电视台合作业务,Internet出口实现外网访问。
现有内部人员为500人,今后会扩充至1000人。
网络硬件平台方面采用Cisco45系列交换机作为网络核心,开启路由功能实现所有终端用户的路由访问,同时在核心上配置了ACL访问控制列表,对用户访问范围进行了控制。
接入层交换机采用h3c二层交换机,并配置了VLAN信息,根据部门和人员物理位置划分,实现不同用户间的隔离。
无线采用了h3c的瘦AP解决方案,通过h3cAC配置无线AP的设置实现无线系统的统一管理,无线终端接入采用PSK加密方式,防止非授权用户的接入。
安全方面,在互联网出口部署了一台硬件防护墙,实现互联网出口的访问控制和端口控制。
内部用户安全仅仅依靠VLAN相互之间划分,通过核心上的ACL列表实现访问控制。
一.2安全建设需求
1、实现用户的统一管理,能够为每个用户指定权限,控制其访问范围和内容。
2、能够指定统一用户组策略,实现按照用户类别进行管理,能够为用户颁发有限的证书。
3、能够实现全网的IP的统一管理和分配,实现全网IP自动分配,同时MAC地址和IP实现一一对应。
4、能够区分内部合法用户和外来访客用户,能够区分内部合规用户(满足内部接入规定)和内部非合规用户,并且网络能够自动将不同用户划分到不同的VLAN,实现不同的访问权限。
5、能够实现用户终端的管理,实现安全策略管理、防止文件非法外传控制、补丁分发管理、软件分发管理、远程协助与维护等功能。
6、实现边界安全综合管理,边界访问控制,边界病毒控制,网络代理,应用层防火墙和VPN等功能。
7、实现网络出口流量的有效管理,保证管理外网核心业务的带宽,控制非核心数据流量带宽。
8、内部实现整体网络防病毒体系,实现统一病毒升级和补丁分发。
9、对于部分核心业务终端,实现终端的虚拟化,实现核心业务数据统一管理和存储,终端不保留任何数据。
一.3安全建设建议
一.3.1总体安全建设拓扑图
一.3.2云计算平台
本次根据实际需要的服务器数量:
域控2台,证书服务器2台,准入控制5台,DHCP服务器3台共计12台服务器。
需要配置六台刀片服务器和一个刀片机箱,为了充分发挥服务器的系统资源和实现高可用选用虚拟化实现。
配置windowsHyper-V将刀片服务器虚拟为12台服务器,将域控服务器、证书服务器、准入控制服务器端、Radius服务器两两分别配置为虚拟集群,每台虚拟服务器分配1颗CPU和8GB内存一块硬盘。
通过虚拟化集群服务器平台能够实现7*24*356的运行保障。
通过虚拟化集群将域控制服务器和证书服务器分别部署在不同物理机上的虚拟集群中,实现物理硬件和系统服务的双重冗余保护。
虚拟机服务器后挂载磁盘阵列,为集群提供统一的数据储存平台,同时还能够实现虚拟机之间的快速切换。
一.3.3网络准入控制和终端管理
本次部署两台网络准入控制和桌面安全管理服务器端,同时部署两台Radius服务网络准入控制认证代理服务器,通过Radius服务器与域控服务器的证书进行比对,配置一台网络准入控制访客VLAN管理器,实现对来访用户进行管理的功能。
首先,通过网络准入控制技术,确保接入网络的电脑终端符合如下要求:
1)必须安装Agent,如果是未安装Agent的电脑终端接入网络,其打开WEB浏览器访问任何Website时,将被重定向到管理员指定的一个页面,提醒其安装Agent。
不安装Agent的电脑将无法访问内部网络(特殊电脑和访客电脑可以例外)。
2)必须符合网络接入安全管理规定,例如:
拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。
如果不符合管理规定,将拒绝其接入,或者通过网络对该电脑进行自动隔离,并且指引其进行安全修复。
然后,对安装了Agent的电脑终端,进行进一步的管理控制,包括:
1)安全设置检查、加固,非法操作的管理、限制
2)防止文件非法外传(U盘/软盘/共享/E-mail/QQ/MSN等)
3)电脑终端的集中式管理,例如,资产管理、软件分发、远程控制、补丁管理、分组策略分发、集中审计。
再次,要防止电脑终端私自、非法卸载Agent或者停止Agent的运行,确保管理策略的执行。
1)Agent自带反卸载、反非法中止、非法删除功能;
2)如果电脑终端私自卸载Agent(如重新安装操作系统)或者中止Agent的运行,UniAccessTM后台系统可以及时发现这种行为。
企业可以依据有关安全管理规范对其进行警告或者处罚,防范这种行为的再次发生。
网络准入控制技术
在网络准入控制解决方案中,管理员可以将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源:
访客区、修复区和正常工作区。
划分方式可以是VLAN或者基于IP的访问控制列表。
一般来说,访客区的网络资源是可以被任何用户的终端访问的,如Internet资源。
一般外来用户的终端设备被限制只能访问访客区的网络资源。
修复区网络资源是用来修复安全漏洞的,如补丁服务器、防病毒服务器、软件安装包服务器等,不符合组织安全策略要求的终端被限制在修复区中,强制它们进行安全修复。
当终端设备被接入网络时,会被要求进行身份认证和安全策略检查。
如果是来自外部的PC机试图接入网络,UniAccessTM将采取如下措施:
1)拒绝外部终端设备接入网络,或者
2)将外部终端设备设置到访客区中。
如果是来自内部合法终端设备接入网络,UniAccessTM将采取如下控制措施:
1)检查用户输入的用户名和口令是否合法;检查客户端是否满足安全策略要求。
2)只有合法身份的用户以及满足组织安全规范的终端设备才能接入到网络中,否则系统会将此终端设备自动切换到修复区中,终端设备在此修复区中访问修复安全漏洞必须的网络资源;
3)合法身份的用户以及满足组织安全规范的终端设备接入到网络时,系统会根据用户身份自动将终端设备切换到属于该用户的工作区中,从而实现不同权限的人可以访问不同的网络资源。
将用户和终端设备进行绑定,即某个用户只能通过某台终端设备接入到网络中,这样可以禁止内部员工私自将家里电脑接入到网络中。
采用以IEEE802.1x认证和CiscoEoU认证为核心的网络准入控制架构,如下图所示。
图4UniAccessTM网络准入控制架构
网络准入控制架构提供了三种方法解决不同网络环境的网络准入控制:
1)IEEE802.1x
网络准入控制的802.1x实现同时支持多厂商网络设备,如Cisco和华为3Com。
支持IEEE802.1x的SingleHost、Multi-host、Multi-Auth模式。
特别是Mutli-Auth模式,在有Hub的网络环境中也可以实现准入控制。
2)CiscoNAC-IP-2和CiscoNAC-IP-3
作为802.1x的补充,当网络中有支持CiscoNAC-IP-2和CiscoNAC-IP-3的网络设备存在时,连接在这部分网络设备下的终端可以通过CicsoNAC机制来实现准入控制。
3)ARP干扰
与IEEE802.1x相结合,为未安装代理的终端设备提供URL重定向功能。
这样可以提示这些终端设备为什么被限制访问网络资源。
ARP干扰器只需要部署在访客区VLAN中。
下图是网络准入控制技术中,基于802.1x认证和基于CiscoEoU认证的两种准入控制对比图。
两种准入控制技术都可以控制对不安全终端或者外来终端对网络资源的访问。
基于802.1x认证的准入控制通过VLAN动态切换,将不安全的终端切换到修复区,将外来终端切换到访客区,从而实现对这些终端的访问控制;基于CiscoEoU证准入控制通过动态ACL(访问控制列表),直接限制外来终端或者不安全的终端对网络资源的访问。
网络准入控制架构的突出特点是以网络设备为控制设备点,但又不局限于一家网络设备厂商,能够适应各种网络环境要求。
一.3.4建立全网域控
建立全网域控分为四部分:
建立域控服务器,建立证书服务器,建立DHCP服务器,创建用户账户并将所有终端加入。
由于今后用户管理和策略的推行均采用与形式需要将域控制器配置为双机模式,实现域控的可靠性。
域空中的权限和用户的证书进行了关联,因此证书服务器能够实时不间断运行极为重要。
鉴于域控和证书服务的重要性,采用WindowsServer2008R2Hyper-V虚拟化实现高可用方案。
在主域控上配置DHCP服务,在分域控服务器,将分域控服务器加入到主域控服务器,并将分域控DHCP服务指向主域控,实现DHCP同步,由分域控直接分配IP,通过数据同步避免了不同DHCP分配冲突的情况。
通过建立与控制服务器能够将所有用户统一管理和授权,同时策略统一发放,权限集中管理。
域用户之间,域用户和域内服务器之间通信开启IPSec加密通讯,这样做防止未加入域的终端访问到服务器业务资源。
ActiveDirectory域服务(ADDS,ActiveDirectoryDomainServices)存储目录数据,管理用户和域之间的通信,包括用户登录过程、身份验证,以及目录搜索。
此外还集成其它角色,为我们带来了标识和访问控制特性和技术,这些特性提供了一种集中管理身份信息的方式,以及只允许合法用户访问设备、程序和数据的技术。
ActiveDirectory域服务
ADDS是配置信息、身份验证请求和森林中所有对象信息的集中存储位置。
利用ActiveDirectory,我们可以在一个安全集中的位置中,高效地管理用户、计算机、组、打印机、应用程序以及其它支持目录的对象。
ActiveDirectory证书服务
大多数组织都使用证书作为用户或计算机的身份标识,这样在不安全的网络连接上传输时可以加密数据。
ActiveDirectory证书服务(ADCS,ActiveDirectoryCertificateServices)改进了安全性,将用户、设备或服务的标识绑定到他们自己的私钥上。
在ActiveDirectory中存储证书和私钥,可以更为安全地保护这些标识,而且当应用程序发出请求时,ActiveDirectory成为了获取对应信息的集中位置。
ActiveDirectory联盟服务
ActiveDirectory联盟服务(ADFS,ActiveDirectoryFederationServices)是一个高安全性、高扩展性及可扩展到Internet的标识访问解决方案,组织利用它可以对合作伙伴的用户进行身份验证。
使用WindowsServer2008R2中的ADFS,我们可以非常方便且安全地给外部用户授权访问组织的域资源。
ADFS还简化了未受信资源和组织中域资源之间的集成。
ActiveDirectory权限管理服务
组织的知识产权需要得到高度保护。
ActiveDirectory权限管理服务(ADRMS,ActiveDirectoryRightsManagementServices)是WindowsServer2008R2的一个组件,它可以帮助我们确保必要的人员才有权限查看文件。
ADRMS可以识别出用户对文件的权限,以此来保护文件。
权限可以进行配置,包括允许用户打开、修改、打印、转发或执行权限管理信息中的其它操作。
利用ADRMS,当数据被分发到组织网络之外时,我们还可以保护数据,防止被盗。
一.3.5TMG(ThreatMangementGateway,统一的威胁管理网关)
功能列表
本次部署TMG高级防火墙功能,同时开启多重网络的链路负载均衡功能(建议用户升级外网出口到双ISP链路),配置IPSecVPN模块,提供用户高可用、安全和远程接入的功能。
一.3.5.1高级的防火墙保护
特性
描述
多层防火墙
TMGServer2010提供了三种类型的防火墙功能:
包过滤(也称电路层)、状态过滤和应用层过滤。
应用层过滤
ISAServer通过内置的应用过滤器提供了深入的内容过滤。
基于每个规则的HTTP过滤
ITMGServer2010HTTP策略允许防火墙执行深层的HTTP状态检查(应用层过滤)。
检查的范围被设置在一个按照规则的基础上。
利用此能力,您可以为HTTP的对内和对外访问设置定制的约束。
阻止对所有可执行内容的访问
您可以设置TMGServer2010的HTTP策略,阻止所有试图对MicrosoftWindows操作系统可执行内容的连接,而不必关心资源中的文件使用何种扩展名。
通过文件的扩展名控制HTTP文件的下载
TMGServer2010的HTTP策略能够使您基于文件的扩展名来定义策略,包括“除特定扩展名组之外允许所有文件”或者是“除特定扩展名组之外阻止所有文件。
”
HTTP过滤被用于所有的TMGServer2010客户端连接
利用TMGServer2010的HTTP策略,您能够针对所有的TMGServer2010客户端连接控制HTTP访问。
基于“HTTP签名”控制HTTP的访问
TMGServer2010的深层HTTP检查能够帮助您创建“HTTP签名”,实现对请求的URL、请求的报头、请求的主体、以及响应的主体进行对比。
这个功能使您能够对用户通过TMGServer2010防火墙对内部和外部访问的内容进行精确的控制。
控制经允许的HTTP方法
您能够采用不同方法对用户访问进行设置,实现对被允许通过防火墙的HTTP方法进行控制。
例如,您可以限制HTTPPOST方法来防止用户使用HTTPPOST方法向Web站点发送数据。
广泛的协议支持
TMGServer2010能够使您控制访问,以及对任何协议的使用,包括IP-级的协议。
用户能够使用诸如Ping和Tracert的应用系统,并且能够使用PPTP创建VPN连接。
另外,通过ISAServer能够实现IPSec通信。
对需要多重主要连接的复杂协议的支持
很多流媒体和语音或者视频应用系统需要防火墙对复杂的协议进行管理。
TMGServer2010能够管理这些协议,并且您可以使用一个易于使用的新协议向导来创建协议的定义。
可自定义的协议定义
利用TMGServer2010,您能够针对任何协议为您所创建的防火墙规则控制源和目的地的端口数量。
这个功能为TMGServer2010防火墙管理员确定哪些包能够被允许通过防火墙入站或者出站,提供了高级别的控制。
FTP策略
TMGServer2010的FTP策略能够被设置为使用户实现通过FTP进行上传和下载,或者您能够限制用户的FTP访问,只能进行下载。
细化对IP选项的控制
利用TMGServer2010,您能够在细化的基础上设置IP选项,并且只允许您请求的IP选项,同时阻止其他的选项。
防火墙的用户组
您能够使用TMGServer2010创建自定义防火墙组,这些组由在本地帐户数据库已经存在的或者活动目录服务域的组所组成。
因为管理员能够通过这些现有的组创建自定义安全组,这个功能增加了您对基于用户或者组成员关系的访问进行控制的灵活性。
针对入站和出站访问控制创建自定义安全组,删除了防火墙管理员必须是域管理员的需求限制。
通过防火墙实现对基于Web的MicrosoftHotmail®电子邮件的访问
TMGServer2010改进的HTTP过滤器能够使用户通过易于设置的防火墙规则访问Hotmail,而不必在客户端或者防火墙上进行特殊的设置。
网络对象
利用TMGServer2010,在通过创建计算机、网络、网络设置、地址范围、子网、计算机设置、以及域名设置来定义网络对象方面,极大地扩展了您的能力。
这些网络对象被用于针对防火墙规则定义源和目的地设置。
防火墙规则向导
TMGServer2010包括一套新的规则向导,使创建访问策略变得更加容易。
TMGServer2010的访问策略能够通过成熟的防火墙规则进行创建,这个规则能够使您创建任何被请求的策略要素。
创建网络对象时不需要离开规则向导。
可以通过这个向导创建任意网络对象和网络关系。
防火墙规则表现为一个规则列表
TMGServer2010的防火墙规则表现为一个规则列表,这个列表中包含的参数会首先与顶级规则进行比较。
TMGServer2010会向下移动规则的列表,直到找到与连接参数相匹配的规则,并且强制执行匹配规则的策略。
这种防火墙策略的使用方法使确定为什么允许或者拒绝特定的连接变得更加容易。
基于用户或者基于组的访问策略
利用TMGServer2010增强的防火墙规则,您可以为用户或者组能够访问的每个协议定义源和目的地。
对于入站和出站访问控制,此特性极大地增加了灵活性。
对FTP的支持
TMGServer2010使您能够访问InternetFTP服务器,在交替的端口号上进行收听,而不需要在客户端或者是TMGServer2010防火墙上进行特殊的设置。
在交替的端口号上发布FTP服务器,除了需要一个简单的FTP服务器发布规则之外,不需要任何其它的设置。
用于FTP服务器发布规则的端口重定向
使用TMGServer2010,您能够在端口号上接收连接,并且将这个请求重新指向已发布服务器的另外一个不同的端口号。
洪流回弹
新的洪流回弹功能可以保护TMGServer2010,避免在洪流攻击过程中持续地不可使用,降低性能或者不可管理。
增强的攻击过程中的补救能力
通过日志扼杀、内存占用控制、以及对可疑的DNS查询的控制,洪流回弹功能在攻击过程中提供了增强的补救。
一.3.5.2虚拟专用网(VPN)
特性
描述
分支机构VPN连接向导
这个向导自动设置了两个独立的分支机构之间站点对站点的VPN连接。
VPN同Microsoft防火墙服务的充分的集成
TMGServer2010包括一种更加丰富的集成的虚拟专用网机制,广泛地以WindowsServer2003和Windows2000Server为基础的特性。
用于VPN的状态过滤和检查
VPN的客户端被设置为单独的网络区域。
因此,您能够为VPN的客户端分别创建单独的策略。
防火墙规则引擎能够分别验证来自不同VPN客户端的请求。
这个引擎可以成功地过滤和检查这些请求,并且动态地打开基于访问策略的连接。
SecureNAT客户端支持VPN客户端与TMGServer2010VPN服务器的连接
TMGServer2010通过允许SecureNAT客户端访问Internet,而无需在客户端系统上安装防火墙客户端,扩展了对VPN客户端的支持。
您还可以通过在VPNSecureNAT客户端上强制执行基于用户或者基于组的防火墙策略,提高企业网络的安全性。
对在站点对站点的VPN通道中穿行的通信进行基于状态的过滤和检查
TMGServer2010引入了针对在站点对站点的VPN通道中穿行的所有通信进行基于状态的过滤和检查。
结果是,您能够控制特定的托管服务资源,或者是对链接方对端网络的访问。
使用基于用户或者基于组的的访问策略,能够获得针对跨越包含这些链接的资源使用的细化控制。
VPN隔离
TMGServer2010使用WindowsServer2003VPN隔离工具,深化了您的防火墙策略的VPN客户端检查和集成。
发布VPN服务器
TMGServer2010的服务器发布规则能够用于发布IP协议和PPTP服务器。
TMGServer2010的智能PPTP应用过滤器能够完成复杂的连接管理。
另外,您还能够通过使用TMGServer2010服务器发布功能,跨越IPSecVPN服务器发布WindowsServer2003NAT-TL2TP。
IPSec隧道模式支持站点对站点的VPN链接
TMGServer2010使用IPSec隧道模式作为VPN协议,改进了对站点对站点的链接。
利用广泛的第三方解决方案,IPSec隧道模式支持极大地增加了TMGServer2010的协同工作能力。
一.3.6流量监控
随着Internet的发展,网络应用依赖对外连接带宽的程度与日俱增。
与此同时,市场上对于具有低成本,高效率的网络流量管理解决方案有着极大的需求。
特别是依赖关键性应用的企业更是如此,因为这些关键性应用通常需要更多带宽或更好的网络质量保障(QoS)。
高性能网络流量管理器可确保网络服务质量具有良好的可靠性及高效性,持续监控及分析内部及外部的网络流量。
通过流量分析工具,能协助管理员迅速察觉各种网络异常,快速而正确地将问题解决。
具有弹性的策略式流量管理架构,可协助网管人员依照优先级,制定符合公司需求的网络管理策略。
简而言之,若您
网络的带宽资源被某些员工滥用在非关键性网络应用上,可帮助网管人员迅速发现问题,并制定以用户为基准的管理策略,矫正这种情形,确保重要的信息、软件及人在网络上的执行效率。
高性能网络流量管理能带给您的好处:
1)利用监控网络与带宽使用状况,藉此发现影响网络性能的应用程序并且加以管理。
2)用的QoS以及流量整形,将能最佳化您的网络性能,并且确保企业关键应用程序的实时性能。
3)利用内建的认证机制搭配强大的带宽管理机制,支持LDAP、NTLM、RADIUS与POP3验证方式,可以结合企业原有的用户数据库,直接针对"用户"和"用户群组"做认证,而不再只是单纯地对IP地址制定带宽管理策略,这样才能真正落实与企业政策相符合的管理机制。
4)您只要制定出您的管理策略,将会加强对内及对外流量的管理控制,以达到网络带宽使用最佳化,并确保网络服务质量。
一.3.7网络防病毒
针对XX单位的网络安全需求,构建了一个严密的整体防毒体系,覆盖XX单位整个网络系统,实现集中管理,集中升级的防病毒控管。
采用微软自带的防病毒软件MSE。
在整体防毒体系的设计中,我们贯彻了如下六点整体防毒的基本思想:
1、构建集中的控管基础架构。
在方案设计中,我们在中心构建XX单位防毒总控管中心,在客户端配置所归属的服务器。
实现自上而下的集中管理。
2、构建全方位、多层次的防毒体系。
在方案设计中,我们结合XX单位的实际网络防毒需求,构建了多层次病毒防线,分别是TMG综合网关、应用服务器防毒、客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范;
3、构建高效的网关防毒子系统。
在方案设计中,我们将TMG综合网关作为最重要的一道防线来构建,一方面消除外来邮件SMTP、POP3病毒的威胁,另一方面消除通过HTTP、FTP等应用的病毒风险,同时对邮件中的关键字、垃圾邮件进行阻挡,有效阻断病毒最主要传播途径;
4、网络层防毒是整体防毒的高效防线。
在XX单位的方案中,我们将网络病毒的防范作为最重要的防范对象,通过在网络接口和重要安全区域部署网络病毒墙,在网络层全面消除
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 加固 项目 方案