注册 | 登录 忘记密码? 51cto首页 | 博客 | 论坛 | 招聘
热点文章 小五实习笔记1
 帮助
《案例精解企业级网络构建》赠书活动开始啦!  最新活动:“Web安全大家谈”有奖征文 博主的更多文章>>

多级分布式网络系统安全建设经典案例

2008-05-01 11:26:09
 标签:网络 安全 系统    [推送到技术圈]

多级分布式网络系统安全建设经典案例
趋势
  网络技术的发展正在改变人们的生活,但在人们享受其带来的巨大的进步与利益同时,潜伏着的巨大的安全威胁也随之而来。在我国,随着金字工程、政府网、电子商务、电子政务、军事信息化等国家信息化建设的发展,网络已经成为了国家的重要基础设施,而这些关键行业的信息化建设也不可避免的面临着信息安全威胁的挑战。
需求
  某公司是国有大型企业,下属14个分公司及190多个分支机构。在信息化迅速发展的形势下,该公司正在积极地进行网络信息系统的建设,计划建设一个包含总公司、分公司和分支机构直属库的多级计算机网络系统。该系统划分为总公司主控中心为一级网络结构,分公司网络管理系统为二级网络结构和分支机构网络管理系统为三级网络结构。在其系统的设计中,对系统的高可靠性、可用性、性能和互联都做了充分的考虑。目前网络已经完成了总公司的核心网络主控中心建设及分公司与总公司内部广域网建设,总公司和各分公司之间采用DDN或拨号等方式进行互连。
由于该公司计算机网络系统的内容涉及国家安全,某些数据属机密,在网络安全的考虑上,必须完整而细致。为了进一步提高网络安全性,达到建设一个完整、安全和高效的信息系统的目标,网络安全问题已经成为了急需解决的问题。因此,该公司决定搭建一套专门的网络和信息安全管理系统。经过慎重的调研与筛选,鉴于在整体网络安全领域的领先地位,成熟的产品与丰富的实施及服务经验,最终选择了北京冠群金辰软件有限公司作为此次的解决方案提供及实施厂商。
  把脉  在信息安全管理系统搭建之前,考虑到该公司目前已经在网络安全设计上采取了一些比较初步的措施,并且顾及到其进行整体网络建设的步骤与保护投资等问题,冠群金辰首先对其网络中的存在安全问题及隐患进行了细致的分析,以保证提供方案的针对性与高效性:
首先,该公司现在的业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用,用户、程序和数据可能分布在世界的各个角落。在这样一个分布式应用的环境中,公司的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的门户,只要有一个门户没有完全保护好-忘了上锁或不很牢固,黑客就会通过这道门进入系统,窃取或破坏所有系统资源。
其次,目前某公司的网络主要采用TCP/IP作为网络通讯协议,主要服务器为Windows NT操作系统。众所周知,TCP/IP是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少,只实现了基本安全控制功能,实现时还存在一些这样那样的漏洞。实际上,从TCP/IP的网络层,人们很难区分合法信息流和入侵数据,DoS(Denial of Services,拒绝服务)就是其中明显的例子。
 再次,在某公司中存在着多种应用,包括WWW、邮件系统、数据库系统等等。这些系统都存一些安全问题。从应用系统(软件)情况看,目前大多数业务系统,使用单机处理财务、统计、人事和文档等工作。近期将应用统计、财务、人事等独立的小型数据库软件。利用HTTP服务器的一些漏洞,特别是在大量使用服务器脚本的系统上,利用这些可执行的脚本程序,入侵者可以很容易的获得系统的控制权。同时,该公司的数据库系统也存在很多安全问题。如何保证和加强数据库系统的安全性和保密性对于此公司的正常、安全运行至关重要。
此外,虽然某公司当前也对安全问题也做了一定的考虑,并设计了防火墙系统,但是鉴于当前IT系统安全性的严重状况,这些考虑还是比较朴素和初步的,并没有形成一套完整的防护体系。
设计
根据该公司网络系统中存在的安全需求,冠群金辰软件公司针对其网络系统架构的特点,提出了构建从边界防护、传输层防护,到核心主机防护的深层防御体系的解决方案,以确保其网络系统的安全。根据其建设进度安排,首期将主要部署网络防病毒体系。
经过了解,该公司的网络系统是建立在总公司、分公司、各直属库等基础上的多级分布式网络系统,其网络构成包括Unix\NT服务器、邮件服务器、Windows95/98等联网客户机等。
因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,因此在构建企业网络防病毒系统时,可以通过KILL建立完整的防病毒体系,实施层层设防、集中控制、以防为主、防杀结合的防病毒策略。根据其网络结构,冠群金辰公司将其病毒防护体系的部署重点分为了以下几个方面:PC机防护、实时保护文件/数据库服务器、实时防护邮件服务器、实时Internet网关的防护、在关键网段部署入侵检测系统、保护核心数据安全。具体的架构及产品在网络中的部署分布如下:
在防毒体系的设计中,冠群金辰公司在北京总公司安装了一台KILL反病毒管理服务器作为全国网络防毒安全管理中心。在各级分公司各安装了一台KILL反病毒管理服务器作为二级防毒安全管理中心。在其全国190多个分支机构库中, 则可根据规模和实际管理需要, 安装KILL反病毒管理服务器作为第三级网络防毒安全管理中心,并在各地相应的管理员工作站上安装管理员客户端。管理员可以直接通过管理员客户端登录到管理服务器进行远程策略配置分发等管理工作。在网络中其他服务器和客户端上分别安装客户端产品, 客户端所有的查杀病毒配置都可以从管理服务器分发获得。这样在整个企业网中就形成了一个三级集中管理结构:第一级:北京总部的管理服务器负责总部网络防毒策略的制定分发和信息收集, 同时负责二级管理服务器群的策略制定。 总部服务器负责从冠群金辰网站上下载病毒库和杀毒引擎升级代码, 向总部网络和二级管理中心提供升级服务。
第二级:二级管理服务器负责各分公司网络和分支机构的防毒策略制定和分发, 同时负责向下属的没有设置管理中心的分支机构分发安全策略和升级代码。
第三级:三级管理服务器负责自己网络的客户端的安全策略的制定和分发。
根据需要,上级管理员可以直接登录到下级管理控制中心进行安全策略检查和配置。
 通过这样的部署,可以帮助该公司在网络中所有可能感染和传播病毒的地方均采取相应的防范手段,从而形成一个完整的网络防毒体系。此外,该防毒体系的策略设置是通过中央管理台集中设置的。管理员可以集中制定适用于网络的所有防毒策略, 然后分别部署到各个组中去, KILL的集中管理功能可以使管理员能够通过一台管理服务器完成对网络中的所有机器的集中配置,在客户端实现零管理。 无忧
防毒体系采用了全平台统一的杀毒界面,所有操作采用微软资源管理器风格,操作简单易用。具备安装后不需要重新启动,自动实时升级不需要用户干预和重新启动等特性。最大程度上降低了用户对客户端的手工操作。此外,充分考虑到在该公司这样一个大的企业网络中存在各种不同的操作平台和应用系统,接入网络的计算机设备也多种多样,KILL防病毒产品对全平台的支持和对资源的极少占用的特点可以使用户在最大程度上保持自己原有的配置不变,而且版本的向下兼容与集成管理能够在最大限度上保护用户已有的投资。 目前,该防毒体系已经在某公司投入使用,从各个环节增强了其网络系统对于病毒的免疫力,从而为有效的确保了该公司信息系统的高可靠性、可用性及高性能。
 
. 企业网络现状
    某大型企业总部设在北京,内部共有员工用机近1000台,并拥有自己的WWW SERVERMAIL SERVER, FTP SERVERDNS SERVER 内部分为包括管理、研发、财务、行政在内等多个子网,全部设为私有IP, 通过Proxy服务器访问Internet,各子网之间通过在CISCO5500三层交换机上划分VLAN来控制相互访问,通过NT提供的用户认证功能实现访问控制,企业的WWW等服务器设有公网IP直接放在边界路由器后,向外提供服务。公司通过专线上网与internet相连,并通过Internet与上海、广州、成都等各分公司相连实现资源共享。总部的网络拓扑如下:
. 弱点分析
1.        企业的WWW, DNS,Mail等服务器直接放在边界路由器后,没有任何保护,极易受到攻击
2.        各服务器(包括Proxy server)接同一个hub, 当某台服务器被攻破后,内部各子网(包括管理子网、财务子网)通过proxy访问的所有流量将有可能被窃听
3.        内部各子网使用私有IP地址,通过proxy服务器出internet访问。这样的结构虽能起到隐藏内部主机和网络拓扑的作用有效的保护proxy内部的主机不能直接被攻击,但这样的proxy结构对于内部用户不透明,使用起来很麻烦,容易由于配置上的错误导致用户无法上网。
4.        各子网之间通过交换机划分VLANNT的用户认证功能来实现访问控制,控制不灵活,且安全级别较低
5.        北京总部与各分公司之间通过internet相连互访资源,各分公司之间通过internet传输的数据(包括邮件等)的机密性得不到保证
6.        无法检测黑客对企业网的攻击行为,无法进行反黑客响应
. 解决方案
从企业总公司内部网络和总公司与各分公司之间互联两方面考虑
a) 企业总公司内部网络解决方案(各分公司网络可参照本方案)
经过改建后的网络拓扑如下:
1.        在总公司出口处,边界路由器内架设1LinkTrust CyberWall-100PRO防火墙
2.        WWW,DNS,MAIL,FTP服务器连同原来所接的集线器一同放到防火墙的DMZ区,服务器使用私有IP,隐藏DMZ 区网络结构,网关指向防火墙的DMZ网口地址,通过在防火墙上设置静态或端口NAT使DMZ服务器能够向外提供服务。在防火墙上设置规则只允许访问DMZ服务器的指定服务,最大程度的保证了服务器安全。对于Mail server,可在防火墙上对pop3smtp设置代理规则,在防火墙上实现收发邮件的过滤
3.        Cisco 5500交换机和所有员工用机、DHCP服务器放到防火墙的Intranet区,把防火墙Intranet网口的地址设为原来Proxy server的内部网卡的地址,用交换机上原先接Proxy的端口接防火墙的Intranet网口,这样原来交换机上的所有设置和交换机上所接所有设备(包括所有子网的员工用机)都不用改变
4.        防火墙的外网口地址设成原先Proxy server的外侧网卡的地址,通过在防火墙上做动态NAT并设置默认网关为边界路由器内侧的地址使内部主机能够上internet访问,通过在防火墙上设置到各个子网的静态路由,使回包能够传送正确。防火墙的安全规则可以通过源、目的、协议、访问时间等灵活限制内部主机对外的访问。 由于内部主机使用私有IP,并通过动态NAT出外网访问,对外部来说,内部的结构是完全不透明的,黑客无法对防火墙内部发起攻击。
5.        针对管理子网和财务子网这两个具有特殊安全需求的网段,在他们之前分别架设1LinkTrust CyberWall-100SE型号的防火墙,设置安全规则,只允许特定的用户访问特定的资源。这两台防火墙工作在透明模式,可以直接架设到子网与交换机的链路之间,原有设置不用改变。
6.        在防火墙上的IDS端口接网络入侵检测设备(LinkTrust IDS),防火墙把指定流量实时镜像到IDS端口供LinkTrust IDS检查,发现入侵或可疑行为后,IDS立即报告防火墙动态调整安全策略,切断当前的入侵连接并实时封堵攻击源,实现对企业网的动态智能防护
b) 总公司与各分公司之间互联解决方案
企业内部各分公司之间通过internet互联,传输数据的机密性得不到保证,往来邮件犹如“明信片”,在途径的任意一个结点都有可能被窃听并破译,由于TCP/IP协议固有的开放性和互联性,这种安全隐患是肯定存在的。使用专用线路互联是最直接的解决办法,但它不符合信息数字化建设和资源共享的潮流,而且投入费用非常昂贵,不是长远之计。因此,在开放的网络环境中实现信息通信的安全,必须采用先进的技术手段来保障。虚拟专网VPN技术是实现廉价构建网络数据安全传输通道的首选。
通过LinkTrust CyberWall提供的VPN功能,可以使企业在低成本的公用通信网络(internet)中安全地进行数据交换,以低成本安全的连接其分工司、流动工作人员及业务合作伙伴,显著节省使用专用网络的长途费用,降低公司建设自己的广域网(WAN)的成本,而且同时实现信息资源的充分利用。
以下是应用LinkTrust CyberWall构建企业虚拟专网的拓扑图:
在各分公司或合作伙伴的网关处分别架设1LinkTrust CyberWall防火墙,与总公司的防火墙组成网关到网关类型的VPN,出差漫游的用户可通过拨号方式建立客户端到网关型的VPN
LinkTrust CyberWall通过采用隧道技术,将企业网的数据封装在隧道中进行传输。通信中双方首先要明确地确认对方的真实身份,进而在公用通信设施中建立一条私有的专用通信隧道(图中的绿色通道),利用双方协商得到的通信密钥处理信息,从而实现在低成本非安全的公用网络(internet)上安全的交换信息。
上图为星型连接方案,如有分公司之间的安全互联需求,可以使用以下的网状连接方案
http://sec.ansing.com/sub_html/solution/jt.htm
 




    文章评论
 
 

发表评论

昵   称:
验证码:  点击图片可刷新验证码  博客过2级,无需填写验证码
内   容: