網(wǎng)絡(luò)設(shè)計方案精選

　　1、1安全系統(tǒng)建設(shè)目標(biāo)

　　本技術(shù)方案旨在為某市政府網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案，包括安全管理制度策略的制定、安全策略的實施體系結(jié)構(gòu)的設(shè)計、安全產(chǎn)品的選擇和部署實施，以及長期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下，實現(xiàn)對網(wǎng)絡(luò)的全面安全管理。

　　1）將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險；

　　2）通過部署不同類型的安全產(chǎn)品，實現(xiàn)對不同層次、不同類別網(wǎng)絡(luò)安全問題的防護；

　　3）使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地減少損失。

　　具體來說，本安全方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問控制，并能夠?qū)χ匾�控制點進行細粒度的訪問控制；

　　其次，對于通過對網(wǎng)絡(luò)的流量進行實時監(jiān)控，對重要服務(wù)器的運行狀況進行全面監(jiān)控。

　　1、1、1防火墻系統(tǒng)設(shè)計方案

　　1、1、1、1防火墻對服務(wù)器的安全保護

　　網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強，往往是攻擊的主要對象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為"黑客"攻擊的突破口，因此，在實施方案時要對服務(wù)器的安全進行一系列安全保護。

　　如果服務(wù)器沒有加任何安全防護措施而直接放在公網(wǎng)上提供對外服務(wù)，就會面臨著"黑客"各種方式的攻擊，安全級別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請求都要經(jīng)過防火墻安全規(guī)則的詳細檢測。只有訪問服務(wù)器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。

　　1、1、1、2防火墻對內(nèi)部非法用戶的防范

　　網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運行的可靠性和安全性，我們必須要對它進行詳盡的分析，盡可能防護到網(wǎng)絡(luò)的每一節(jié)點。

　　對于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機沒有進行基本的安

　　全防范處理，整個系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級不高。根據(jù)國際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機到單機訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸（NETBIOS）應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時。一般內(nèi)部用戶對于網(wǎng)絡(luò)安全防范的意識不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機將無法避免地遭到損害，特別是針對于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報道，如果網(wǎng)絡(luò)主機保護不完善，就可能被內(nèi)部用戶利用"黑客"工具造成嚴重破壞。

　　1、1、2入侵檢測系統(tǒng)

　　利用防火墻技術(shù)，經(jīng)過仔細的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低了網(wǎng)絡(luò)安全風(fēng)險，但是入侵者可尋找防火墻背后可能敞開的后門，入侵者也可能就在防火墻內(nèi)。

　　網(wǎng)絡(luò)入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護的網(wǎng)絡(luò)上，通過實時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實時報警、事件登錄，或執(zhí)行用戶自定義的安全策略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以部署在網(wǎng)絡(luò)中有安全風(fēng)險的地方，如局域網(wǎng)出入口、重點保護主機、遠程接入服務(wù)器、內(nèi)部網(wǎng)重點工作站組等。在重點保護區(qū)域，可以單獨各部署一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)（管理器+探測引擎），也可以在每個需要保護的地方單獨部署一個探測引擎，在全網(wǎng)使用一個管理器，這種方式便于進行集中管理。

　　在內(nèi)部應(yīng)用網(wǎng)絡(luò)中的重要網(wǎng)段，使用網(wǎng)絡(luò)探測引擎，監(jiān)視并記錄該網(wǎng)段上的所有操作，在一定程度上防止非法操作和惡意攻擊網(wǎng)絡(luò)中的重要服務(wù)器和主機。同時，網(wǎng)絡(luò)監(jiān)視器還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。

　　需要說明的是，IDS是對防火墻的非常有必要的附加而不僅僅是簡單的補充。

　　按照現(xiàn)階段的網(wǎng)絡(luò)及系統(tǒng)環(huán)境劃分不同的網(wǎng)絡(luò)安全風(fēng)險區(qū)域，xxx市政府本期網(wǎng)絡(luò)安全系統(tǒng)項目的需求為：

　　區(qū)域部署安全產(chǎn)品

　　內(nèi)網(wǎng)連接到Internet的出口處安裝兩臺互為雙機熱備的海信FW3010PF-4000型百兆防火墻；在主干交換機上安裝海信千兆眼鏡蛇入侵檢測系統(tǒng)探測器；在主干交換機上安裝NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計系統(tǒng)；在內(nèi)部工作站上安裝趨勢防毒墻網(wǎng)絡(luò)版防病毒軟件；在各服務(wù)器上安裝趨勢防毒墻服務(wù)器版防病毒軟件。

　　DMZ區(qū)在服務(wù)器上安裝趨勢防毒墻服務(wù)器版防病毒軟件；安裝一臺InterScan

　　VirusWall防病毒網(wǎng)關(guān)；安裝百兆眼鏡蛇入侵檢測系統(tǒng)探測器和NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計系統(tǒng)。

　　安全監(jiān)控與備份中心安裝FW3010-5000千兆防火墻，安裝RJ-iTOP榕基網(wǎng)絡(luò)安全漏洞掃描器；安裝眼鏡蛇入侵檢測系統(tǒng)控制臺和百兆探測器；安裝趨勢防毒墻服務(wù)器版管理服務(wù)器，趨勢防毒墻網(wǎng)絡(luò)版管理服務(wù)器，對各防病毒軟件進行集中管理。

　　1、2防火墻安全系統(tǒng)技術(shù)方案

　　某市政府局域網(wǎng)是應(yīng)用的中心，存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計一個高安全性、高可靠性及高性能的防火墻安全保護系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬無一失。

　　所有的局域網(wǎng)計算機工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到主干交換機上。由于工作站分布較廣且全部連接，對中心的服務(wù)器及應(yīng)用構(gòu)成了極大的威脅，尤其是可能通過廣域網(wǎng)上的工作站直接攻擊服務(wù)器。因此，必須將中心與廣域網(wǎng)進行隔離防護�？紤]到效率，數(shù)據(jù)主要在主干交換機上流通，通過防火墻流入流出的流量不會超過百兆，因此使用百兆防火墻就完全可以滿足要求。

　　如下圖，我們在中心機房的DMZ服務(wù)區(qū)上安裝兩臺互為冗余備份的海信FW3010PF-4000百兆防火墻，DMZ口通過交換機與DNS/MAIL服務(wù)器連接。同時，安裝一臺Fw3010PF-5000千兆防火墻，將安全與備份中心與其他區(qū)域邏輯隔離開來通過安裝防火墻，實現(xiàn)下列的安全目標(biāo)：

　　1）利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控與備份中心進行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

　　2）利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護措施，保證系統(tǒng)安全；

　　3）利用防火墻對來自外網(wǎng)的服務(wù)請求進行控制，使非法訪問在到達主機前被拒絕；

　　4）利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認證，同時在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；

　　5）利用防火墻全面監(jiān)視對服務(wù)器的訪問，及時發(fā)現(xiàn)和阻止非法操作；

　　6）利用防火墻及服務(wù)器上的審計記錄，形成一個完善的審計體系，建立第二條防線；

　　7）根據(jù)需要設(shè)置流量控制規(guī)則，實現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時間段的訪問控制。

　　1、3入侵檢測系統(tǒng)技術(shù)方案

　　如下圖所示，我們建議在局域網(wǎng)中心交換機安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)千兆探測器，DMZ區(qū)交換機上安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器，用以實時檢測局域網(wǎng)用戶和外網(wǎng)用戶對主機的訪問，在安全監(jiān)控與備份中心安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器和海信眼鏡蛇入侵檢測系統(tǒng)控制臺，由系統(tǒng)控制臺進行統(tǒng)一的管理（統(tǒng)一事件庫升級、統(tǒng)一安全防護策略、統(tǒng)一上報日志生成報表）。

　　其中，海信眼鏡蛇網(wǎng)絡(luò)入侵檢測系統(tǒng)還可以與海信FW3010PF防火墻進行聯(lián)動，一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為，將向防火墻發(fā)送通知報文，由防火墻來阻斷連接，實現(xiàn)動態(tài)的安全防護體系。海信眼鏡蛇入侵檢測系統(tǒng)可以聯(lián)動的防火墻有：海信FW3010PF防火墻，支持OPSEC協(xié)議的防火墻。

　　通過使用入侵檢測系統(tǒng)，我們可以做到：

　　1）對網(wǎng)絡(luò)邊界點的數(shù)據(jù)進行檢測，防止黑客的入侵；2）對服務(wù)器的數(shù)據(jù)流量進行檢測，防止入侵者的蓄意破壞和篡改；3）監(jiān)視內(nèi)部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作；4）對用戶的非正�；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；5）實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻/系統(tǒng)聯(lián)動；6）對關(guān)鍵正常事件及異常行為記錄日志，進行審計跟蹤管理。

　　通過使用海信眼鏡蛇入侵檢測系統(tǒng)可以容易的完成對以下的攻擊識別：網(wǎng)絡(luò)信息收集、網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dos&Ddos攻擊、緩沖區(qū)溢出攻擊、Web攻擊、后門攻擊等。

　　網(wǎng)絡(luò)給某市政府帶來巨大便利的同時，也帶來了許多挑戰(zhàn)，其中安全問題尤為突出。加上一些人缺乏安全控制機制和對網(wǎng)絡(luò)安全政策及防護意識的認識不足，這些風(fēng)險會日益加重。引起這些風(fēng)險的原因有多種，其中網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素尤為重要。主要涉及物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面。通過以上方案的設(shè)計和實施，所有安全隱患就得到了良好的改善。

【網(wǎng)絡(luò)設(shè)計方案】相關(guān)文章：

網(wǎng)絡(luò)設(shè)計方案05-17

網(wǎng)絡(luò)設(shè)計方案01-26

網(wǎng)絡(luò)設(shè)計方案模板01-29

網(wǎng)吧網(wǎng)絡(luò)設(shè)計方案12-07

網(wǎng)絡(luò)設(shè)計方案經(jīng)典（15篇）05-19

網(wǎng)絡(luò)設(shè)計方案3篇03-10

網(wǎng)絡(luò)設(shè)計方案6篇03-10

網(wǎng)絡(luò)設(shè)計方案7篇03-10

網(wǎng)絡(luò)設(shè)計方案5篇03-10