您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > XX电信IDC网络安全解决方案
XX电信IDC安全解决方案1WatchGuardFireboxX8000XX电信IDC网络安全解决方案建议书成都市鼎科信息技术发展有限公司2006-7-23XX电信IDC安全解决方案2一.引言本建议书编写的目的是说明XX电信IDC网络安全改造项目的技术可靠性,说明并分析所建议的方案。可用于编制可行性研究报告及方案设计书的参考材料。考虑到该企业网络中心目前的主要需求为防火墙及网络安全的实施,本建议书重点阐述安全技术及相应的产品在项目中的应用,其它技术细节不再细述。XX电信IDC机房拥有大型、丰富的管理运营网络,主要从事服务器托管服务。目前需要规划和实现网络中心与下面各接入点之间的安全访问、认证等功能。通过对XX电信IDC的网络要求和今后发展需要的了解,我们将为其构建一个先进、高效、快速、稳定的安全运营平台。二.WatchGuard安全防护和优化网络1.在网络出口部署高性能的XPeak8000防火墙;根据网络出口的流量以及今后网络扩展的需要,我们在网络出口布署了1台XPeak8000防火墙,主要用来阻止来自外部的黑客攻击及日常的网络安全限制;XPeak8000防火墙采用高性能的芯片技术,具有1000Mbps以上的网络吞吐量,所以可以快速处理网络封包的请求。另外,XPeak8000防火墙上面可以阻止很多种黑客攻击的类型,比如ICMPFlood/SYNFlood/UDPFlood/IPOption/SourceRoute/DDOS等。如果出口没有布署防火墙,很多来自内部和外部的攻击根本无法控制,造成网络的严重拥塞。部署了XPeak8000防火墙后,我们可以把所有流入和流出的流量全部封掉。只针对某些需要应用的端口开放。对流入的访问进行更加严格的限制,这样可以封掉大部分病毒向外感染的端口。另外,内部可能有很多虚拟的IP地址可能会向外发布大量的无用请求,这些IP可能是黑客伪造生成的地址,也可能是某些电脑已经严重感染病毒,需要进行杀毒处理。我们可以在防火墙上面把这些非法的IP地址封掉,结合Sniffer分析会得到较好的效果。2.使用应用代理技术;代理技术是防火墙在网络中保护关键脆弱点的一种非常有效的方式。其他方式还有“包过滤”和“状态包过滤”,但两者对数据进行检查的深度都无法与代理媲美。代理是最高级的通信控制方法,能通过防火墙执行真正的入侵防御。代理位于客户机与服务器之间,检查双方的所有通信,验证它是否符合事先规定好的规则。在此期间,代XX电信IDC安全解决方案3理不仅要检查客户机和服务器之间传输的所有数据包的包头,还要检查那些数据包的实际载荷。另外,还可以修改或移除违反安全策略的东西。注意,包过滤只检查包头,而代理对数据包的内容进行筛选,阻挡恶意代码(比如可执行文件、Javaapplet、ActiveX等等)。许多人最后才非常惊讶地知道,原来只有代理才能在数据包传输中途真正检查内容(包括实际数据)。代理还会检查内容是否符合协议标准。例如,某些形式的黑客攻击会发送一些特殊的元字符,目的是欺骗受害机器;还有一些攻击会使用数量巨大的数据来冲击目标机器。代理则能识别非法字符或者过载的字段,并有效地阻挡它们。代理在处理通信时,所花的时间会比包过滤稍长一些,这是因为它们要为每个数据包做更多的工作。但是,“稍长”只是相对的;通常,在同一个系统上,WatchGuard的应用层代理会以包过滤一半的速度来扫描数据包。但速度就会很慢吗?答案是否定的。事实上,它的速度仍然要比大多数公司的Internet连接速度快许多倍。通常,Internet连接速度才是一个网络真正的瓶颈。代理虽然在实验室评测中会稍慢一些,但在实际的工作环境中,你的用户绝对无法感觉到网络速度的下降。单纯比较防火墙的数据吞吐量并没有实际的意义。假如一种防火墙声称要比另一种防火墙快,一定要问清楚那种防火墙对通过它的数据进行了哪些处理。包过滤肯定会比代理快,但却无法提供充分的安全性。Firebox®Vclass产品将速度和安全性都发挥到了极致。由于使用的是应用层代理,所以它们在检测和阻挡攻击方面(比如入侵防御),具有十分高的效率。WatchGuard的应用层代理具有大量配置特性和设置,可通过一个获奖的图形用户界面(GUI)来轻松地控制。通过应用层代理与其他防火墙管理工具的组合,网管可非常精细地控制网络安全。Vclass目前两种最主流的应用代理是:SMTP代理和HTTP代理。SMTP代理SMTP应用代理程序监控传入和传出的电子邮件,使你的网络远离危险。它的部分功能包括:指定邮件收件人的最大数量。这是垃圾邮件的第一道防线。通常,垃圾邮件会抄送数百乃至数千个收件人。指定邮件的最大长度。这样能防止邮件服务器超载,并有效阻挡邮件炸弹攻击,帮助你合理地使用带宽和服务器资源。根据公认的Internet标准,只允许在电子邮件地址中出现特定的字符。如前所述,某些形式的攻击会通过地址中的非法字符来进行。你可设置代理,只允许那些正确的字符通过。筛选内容,拒绝可执行内容类型。发送病毒、蠕虫和木马的最常见的方法就是发送看似无害的电子邮件附件。SMTP代理能根据类型和名称来识别和消除这些攻击,使其永远进不了你的网络。伪装域名和邮件ID。你对外发送的电子邮件和收到的电子邮件一样,也包含了邮件标题。标题中的数据会暴露你的网络的许多秘密,它暴露的秘密之多,有时甚至超过你的想象。SMTP代理可隐藏或更改这些信息,使黑客无法根据邮件头来摸透你的网络。XX电信IDC安全解决方案4HTTP代理HTTP代理在用户访问Web时监视传入和传出的通信。它选择性筛选内容,保护你的Web客户端以及需要依赖Web访问的其他应用程序,防御基于Internet和HTML的攻击。它的部分功能包括:移除客户机连接信息。代理可主动剥离敏感的标头信息,包括操作系统版本、浏览器名称以及版本,甚至剥离有关上一次访问的网页的信息。使用HTTP代理,你可选择不暴露这些可能被别有用心的人利用的信息。强制严格遵循Web通信标准。许多黑客故意发送被篡改的数据包,肆意修改一个网页的元素,或者企图使用你的Web浏览器设计者预料不到的方式来进入你的网络。HTTP代理不允许所有这些有悖于标准的通信传入和传出。Web通信必须遵循正式的Web标准,否则就禁止连接。筛选MIME内容类型。MIME类型帮助Web浏览器解释内容,使图像能真正显示为一幅图像,.wav文件能真正播放出声音,文本能真正显示为文本,等等。许多Web攻击会篡改数据包,使其报告虚假的MIME类型,或者根本不指定一个类型。HTTP代理能识别这种可疑的行动,并中止此类通信。筛选Java和ActiveX控件。程序员用Java和ActiveX来创建小程序(脚本程序),以便在一个Web浏览器内部执行(例如,假定员工访问一个色情网页,那个网页中的ActiveX脚本会将那个页自动设置成员工浏览器的新主页)。代理能阻挡此类应用程序,将大量攻击拒之门外。移除Cookie。HTTP代理能从HTTP请求中剥离所有Cookie,保护网络的隐私。移除未知的标头。HTTP代理能剥离不符合标准的HTTP标头。这意味着不必根据签名来识别一种特定的攻击,代理会直接阻止所有不符合规则的通信。这有助于防御未知的攻击技术。内容筛选。美国法律规定,所有员工都享有在一个“无敌意环境”中工作的权利。好的商业经验法则告诉我们,某些Web内容是不应该在一个公司的网络中出现的。HTTP代理强制贯彻公司制定的安全策略,明确规定哪些内容是可以接受的,避免公司承担在工作环境中以不恰当的方式使用Internet的法律责任。HTTP代理还能避免员工因为上网成瘾而造成效率下降(目前只有FireboxSystem的各种型号支持内容筛选功能)。我们可以在XPeak8000防火墙上通过对HTTP代理的设定,可以挡掉来自内部和外部很多非法的HTTP请求,通过在HTTP代理里面更深层的设定,可以达到用户很多精细的要求。3.核心交换机上过滤非法端口和地址;我们在防火墙上面已经做了很多的过滤设置,这样可以过滤很多来自内网的攻击,网络的性能将会得到明显的改善,接下来,我们可以在核心交换机上面过滤来自内部的非法端口,这些端口主要是病毒和DDOS攻击引起的。比如135/137/1394/1464等,可以使用Sniffer抓包分析结果。4.WatchGuard独有的LiveSecurity服务让您得到最快、最专业的安全服务;WatchGuard公司独有的LiveSecurity安全服务可以及时、准确地传递最新的病毒和黑客XX电信IDC安全解决方案5攻击信息,它可以教会你如何在WatchGuard防火墙上面调整设定,以阻挡这些非法攻击。该安全服务是由一个专家小组维护并发送的,它可以让网络管理员及时了解网络安全的变化及更新。微软去年报告了52个安全漏洞,LiveSecurity专家小组几乎在当天或隔天就报告了每个安全漏洞。三.该方案的优点1、强劲的网络安全特性和良好的兼容性a、网络中心的防火墙可以设置为状态包过滤和应用代理模式,而且Watchguard的XPeak防火墙可以支持路由、NAT和透明三种模式,NAT模式可以有效的隐藏受保护网络的内部真实IP地址,确保网络真实信息不被利用。b、XPeak防火墙支持静态NAT端口Mapping功能,即你可以把一个真实的端口通过NAT映射到一个虚拟的端口,而且XPeak还能做到邮件服务器和DNS服务器的伪装,这样黑客就不容易发现真实端口信息,保护网络安全。c、XPeak防火墙支持广域网多链路的负载均衡,它可以连接多个ISP,并对其做备份。d、XPeak可以对网络流量做QoS,它使用队列的方法对每个数据包定义优先级,还可以对网络端口进行Shaping。d、XPeak同时集成VPN功能,它的IPSEC-VPN同其它牌子的VPN产品有着良好的兼容性,因为XPeak的产品很早就通过了ICSA实验室的IPSEC-VPN认证。所以只要对方的产品也通过了ICSA实验室的认证,则我们可以很轻松地与对方建立VPN隧道。而且XPeak支持DES/3DES/SHA-1/ESP/AES等加密认证模式。e、XPeak的产品关于VPN的配置非常容易,而且支持静态对动态或动态对动态的VPN配置,即无论在中心点使用固定或动态IP地址,都可以和下面的分支机构建立VPN隧道,同时XPeak也可以支持远程客户的VPN,出差的员工可以通过MUVPN软件方便地和中心点建立VPN,所有VPN功能在XPeak上面已经集成。f、XPeak支持动态路由协议RIP/RIPII/OSPF/BGP4,因此可以很方便和其它网络设备做路由,提高网络灵活性。g、XPeak支持GAV网关病毒,可以对HTTP和SMTP协议做病毒过滤,XPeak上面有详细的病毒库,所有的病毒信息可以实时更新。h、XPeak支持基于签名的IPS检查技术,它有几百种攻击签名特征,并且实时更新最新的攻击特征,所以可以阻拦最新的网络攻击。2、良好的集中管理性XX电信IDC安全解决方案6Watchguar的VPNManager软件可以专门针对大型复杂网络的VPN部署进行灵活地控制。它使用专利性的DVCP技术来简化VPN隧道的创建,它能认别一个Firebox网络中必要的配置设定,并在不同位置之间自动建立IPSecVPN。网络管理员可在任何地方通过我们的VPNManager软件对各个VPN隧道进行监控和配置,以确保网络的实时运行。这样在很大程度上可以减轻网络管理员的维护负担。3、实时的日志审记和全面的网络监控a)XPeak防火墙均带有详细的日志分析功能,我们可以通过它自带的日志事件处理软件进行日志的分析与处理,也可以使用Syslog服务器把日志文件保存起来,以后可以通过专用网络工具进行日志的分析与管理。b)XPeak同样也提供详细的网络监控功能,该功能是网络工程师量身定做的一项附加功能。XPeak的网络监控工具可以实时地监控网络中各种数据流,以及用户在对哪些站点进行访问,还可以观察网络是否正在受到黑客的攻击。c)XPeak提供不同级别
本文标题:XX电信IDC网络安全解决方案
链接地址:https://www.777doc.com/doc-6006991 .html