企业网络安全NGFW+ICG方案

1/12安全解决方案北京网康科技有限公司2/12目录1安全风险分析.....................................31.1来自公网的安全风险分析.........................31.2来自内部人员及分部的安全威胁...................32安全方案设计.....................................42.1方案概述.......................................42.2总体设计.......................................42.3详细设计.......................................52.3.1外部安全防护................................52.3.2内部安全防护................................73网康方案价值与产品优势..........................103.1易用性........................................103.2健壮性........................................113.3产品优势......................................113/121安全风险分析1.1来自公网的安全风险分析由于内部网络中其办公系统及各人主机上都有涉密信息。假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易造到来自外网一些不怀好意的入侵者的攻击。如：入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击；入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息；恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪；发送大量包含恶意代码或病毒程序的邮件。1.2来自内部人员及分部的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括：误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏，还是没有访问关键系统权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。因不当使用Internet接入而降低生产率。不当使用Internet资源不但会浪费工人的时间，还能增加计算机网络的负担，降低了人员与网络的工作效率。如果工作人员发送、接收和查看攻击性材料，可能会形成敌意的工作环境，从而增大内耗。内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；4/12内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去；内部人员利用公司网络访问黄色网站、反动网站和其他与工作无关的网站；内部人员访问不良网站时，无意中执行了网页上的恶意代码或病毒程序；内部人员使用移动存储设备，不小心涉带有关病毒，导致网络瘫痪；内部人员使用BT、P2P下载，严重影响网络使用2安全方案设计2.1方案概述我们为贵单位网络构架了一个整套的安全体系结构，整个体系中最基本单元是每台在线主机的安全，即安全体系中的每一个点；子网/局域网是体系中的块状组成部分，是安全体系中的各个面；整个安全体系由各个层次和面组成，形成安全体系的立体框架。我们知道实现网络安全不是一次可以完成的任务，需要不断根据网络环境和网络管理进行调整，我们设计的解决方案充分兼容今后的安全管理及优化的需求。基于以上的分析，我们建议以系统的内部安全优化修复，清除网络安全漏洞为主要手段，提高网络内每个点的安全系数，清除各点的安全隐患，以网络优化系统、防火墙和防毒软件等安全产品对网络施以自动监控和防御，在各个面形成有效的防御体系，最后通过加强人员培训，提高管理水平，制定先进的安全策略，消除全网的各种安全威胁，全面提高软件、硬件和人员的安全水平，形成一个牢固的，立体的网络安全防御体系。2.2总体设计依据我们的安全系统设计原则，并结合贵单位网络系统的实际情况和需求，采用一系列产品搭建安全防范体系，通过安全技术和管理手段，使安全产品充分发挥其安全保护的作用。首先，从安全区域上，我们将网络划分为：服务器区、办公区，并采用防火墙将上述各个区域进行隔离，以对各个区域之间的相互访问进行访问控制，构成第一道安全防护体系。对于接入Internet的区域，都将Internet的LAN接口接在防火墙的接口上，从而实现对来自Internet的入侵的防护。5/12第二，为了对保护公司本部的重要服务器（如管理服务器、邮件服务器、数据库服务器），特将这些重要的服务器放在同一网段，用防火墙进行访问控制，该网段称为非军事化区（DMZ区）。再使用SSLVPN设备将重要服务器进行发布，对外呈现只有SSLVPN一个服务，并根据具体要求配置SSLVPN安全访问策略，保护公司本部的重要服务器。第三，在网络出口防火墙与核心交换机间部署网康互联网控制网关（ICG）设备，对内网的所有网络行为进行审计和记录，及时有效地管理办公人员的上网行为，包括网页服务、即时聊天、论坛言论发布、邮件收发等；除此之外还可进行全网的流量分析，并阻断P2P及与办公无关的应用，保证带宽的使用价值，提升网络的可用性，减少投资。并可以分析网络带宽利用状况，方便排除网络故障。第四，通过网康防火墙的部署，全面地保护内部各区域网络不受到病毒的入侵和破坏。利用全方位的企业防毒产品，实施“层层设防，集中控管，以防为主、防治结合”的策略，使网络没有能成为病毒入侵的薄弱环节。拓扑图如下：2.3详细设计2.3.1外部安全防护网康下一代防火墙NGFW。通过深入洞察网络流量中的用户、应用和内容，并借助全新6/12的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助帮助用户安全地开展业务并简化用户的网络安全架构。入侵、病毒、木马防护网康下一代防火墙NGFW提供了对黑客入侵、上传或下载病毒和木马的防护手段。通过在“策略配置”界面配置“安全策略”，用户可以非常方便地实现基于用户、应用、服务和时间的一体化防护。针对企业的具体情况，建议采用开启对服务器域从外到内的IPS和AV防护，防范从外部发起的网络攻击、传病毒、传木马等行为；开启从内到外的IPS、AV防护和URL过滤，防范内部用户的攻击、染毒、僵尸主机或访问恶意网站等行为。策略配置完成后可以在设备首页实时看到当前网络的威胁和告警信息，同时也可以在监控中心的威胁日志、告警日志和网址过滤日志中看到更多的细节信息。DoS防护网康下一代防火墙NGFW提供了对DoS攻击的防护功能，可以配置策略针对不同的DoS攻击类型进行聚合防护和分类防护。针对企业的具体情况，建议分别对从内到外和从外到内的DoS攻击防护进行配置。其中，服务器域的连接数阈值要相应提高。ARP防护网康下一代防火墙NGFW支持通过绑定静态ARP的方式防止ARP攻击。建议企业根据实际网络拓扑情况在各核心设备上开启静态ARP功能，进行IP和MAC的绑定，防止ARP欺骗造成的无法联网或无法访问某些网站的现象产生。网络攻击防护网康下一代防火墙NGFW支持通过对常见网络攻击进行防护，如TearDrop、LAND、WinNuke、Smurf、Fraggle和PingOfDeath等。建议企业开启网络攻击防护功能，保障网络服务器的安全。主动发现服务器是否被植入木马网康下一代防火墙NGFW提供了深入的应用洞察能力，用户可以通过简单的配置方便地主动发现服务器是否有异常行为，从而发现服务器中隐藏的木马。主动发现网络中存在风险的服务器或僵尸主机建议采用以下方式主动发现网络中存在风险的服务器或僵尸主机。1.定期查看“应用分析”模块，筛选应用名称为“木马”、“远程桌面”、“ssh”、“HTTP7/12PROXY”等高风险应用，查看产生这些应用流量的IP地址，根据需要进行防护和整改。2.定期查看“应用分析”模块，筛选网址类别为“木马病毒”、“钓鱼网站”等高风险网址，查看排名前几名的IP，主动对这些IP进行杀毒。3.定期查看“监控中心”的应用对比统计功能，查看网络中同一时段的应用连接数和流量变化，当高风险应用连接数和流量较大时，可在“应用分析”和“流量日志”中找到相应时段的流量细节。主动检测网站是否被挂黑链或挂马建议采用以下方式主动网站是否被挂黑链或挂马。1.在网站服务器或其他无人使用的服务器上设定计划任务，定时访问xxx政府机关官方网站首页。2.定期查看“应用分析”模块，筛选源地址为服务器IP，筛选普通HTTP应用，查看目的IP地址是否正常，若出现异常IP地址即为被挂黑链，若筛选的IP地址出现较大HTTP下载流量即为被挂马。2.3.2内部安全防护网康互联网控制网关（ICG），为用户提供专业的用户管理、应用控制、网页过滤、内容审计、流量管理和行为分析等功能。可以帮助客户达成上网行为可视、减少安全风险，减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源。1、内容审计外发信息审计通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。本方案提供全方位的审计功能，可实现针对IM、邮件、FTP、论坛发帖等应用的内容审计。审计功能在默认配置下关闭，需要管理员手动打开审计功能，方可实现全方位的审计。同时，可通过分级分权功能，收回设备管理员审计功能的权限，以彻底关闭审计功能，在这种情况，打开审计功能的权限仅超级管理员拥有。邮件收发审计和过滤网康ICG不但可以审计通过任意端口的POP3和SMTP协议收发邮件内容，同时还可以审计通过WEB-MAIL发送邮件的内容，实现对用户邮件收发内容的全面审计。8/122、行为管理网页过滤Web是互联网上内容最丰富、访问量最大的应用，然而网页内容良莠不齐，充斥许多反动、暴力、色情以及其它不健康的信息；此外，大量网络应用，如P2P，IM，网络电视、游戏等等，也借助HTTP协议或者80端口，一方面躲避防火墙的封堵，一方面携带病毒、恶意软件，为内网用户带来安全风险，挤占网络带宽。网康ICG通过预分类过滤技术、URL自动分类引擎以及灵活的策略设置，对违反国家法律、危害企业安全的内容进行过滤，避免用户有意无意访问包含非法内容的网页，净化网络，减少病毒进入局域网的几率，降低企业法律风险，创造文明健康的上网环境。最领先的中文URL分类数据库网页内容浩如烟海，URL数目数以千万计。传统的网页过滤通过预设的关键字，对网页内容进行匹配，效率很低，而且误封率居高不下，已经退出应用的主流。另外一种方法是预先设置需要封堵的URL列表，对URL进行实时的匹配过滤，这也存在很大的缺陷，由于URL数量巨大，依靠手工添加方式不可能实现完整的过滤，而且对URL列表的更新管理几乎不可能。目前国际上最先进的方式是将URL按照一定的标准进行预分类，然后由网关设备对类别进行过滤，既解决了过滤效率的问题，又保证了过滤的完整性与实效性。应用控制随着技术的迅猛发展，各种互联网应用层出不穷，如即时通讯（IM）、网络游戏、在线炒股以及在线音乐视频等等。未加管理的使用，不可避免地影响员工的工作效率。在一项调查中，超过80%的员工在上班时间做过与工作无关的工作，其中，有60%的被调查员工承认其主要是在玩网络游戏、用QQ/MSN等即时通讯软件聊天，以及炒股等等。这些不当网络活动大大降低了员工的工作效率，造成了企业人力资源的严重浪费。同时，与工作无关的