酒店应用网络安全解决方案

第1页共26页XX酒店应用网络安全解决方案广州XX有限公司二零XX年X月第2页共26页目录1、概述.............................................................32、应用网络安全平台构成.............................................42.1防火墙&VPN系统..................................................42.2IDS/IPS检测......................................................42.3邮件安全检测.....................................................42.4Web应用程序防火墙...............................................43、应用安全方案.....................................................53.1方案简述.........................................................53.2方案拓朴.........................................................53.3产品及主要技术介绍...............................................63.3.1Juniper防火墙..................................................63.3.2F5Firepass(SSLVPN).........................................73.3.3TippingPoint入侵防御系统.....................................113.3.4Ironport防垃圾邮件网关.......................................173.3.5F5ASM应用安全网关...........................................23第3页共26页XX酒店应用网络安全解决方案1、概述当今企业都广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力。企业信息设施在提高企业效益的同时，也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业，关于企业网络安全的相关报导也一直层不穷，给企业所造成的损失不可估量。由于涉及企业形象的问题，所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性。网络安全问题日益严重。随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已不足以应付来自各种攻击了。例如，那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。结合企业的网络特征，我们建议使用多层次的整体安全网络架构方案。这种多层次的安全体系不仅要求在网络边界设置防火墙&VPN，还要设置针对垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。对于内网安全，特别是移动办公将对有安全问题的主机进行隔离，以免其对整个网络造成更大范围的影响。这给整个企业网络提供了安全保障。第4页共26页2、应用网络安全平台构成2.1防火墙&VPN系统用基于状态检测的防火墙系统实现对内部网和广域网进行隔离保护。VPN为远程办公人员及分支机构提供方便的VPN高速接入，保护数据传输过程中的安全，实现用户对服务器系统的受控访问。2.2IDS/IPS检测IPS系统能够对所有数据进行实时检测。对于可疑攻击行为，IPS系统采用灵活的策略进行相应处理，大大降低了IPS系统误报和漏报给内部网络带来的风险。2.3邮件安全检测对垃圾邮件、网络钓鱼、间谍软件、灰色软件等通过邮件形势对信息安全问题进行实时检测。躲避企业用户遭受垃圾邮件、网络钓鱼、间谍软件、灰色软件等攻击。2.4Web应用程序防火墙Web应用程序防火墙提供高效的防御，防止与Web系统相关的攻击。第5页共26页3、应用安全方案以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为信息化健康发展所要考虑的重要事情之一。3.1方案简述在本方案中使用了Juniper防火墙系列、F5FirePass（SSLVPN）系列，对实现对内部网和广域网进行隔离保护。使用TippingpointIPS对于可疑攻击行为进行相应处理。使用Ironport防垃圾邮件系列产品对垃圾邮件、网络钓鱼、间谍软件、灰色软件等通过邮件形势对信息安全问题进行实时检测。使用F5的ASM应用防火墙防止与Web系统相关的攻击。3.2方案拓朴第6页共26页3.3产品及主要技术介绍3.3.1Juniper防火墙概况简介：Juniper网络公司集成式安全网关（ISG）是一种专用安全解决方案，它采用了第四代安全ASICGigaScreen3，以及高性能微处理器，能够提供无与伦比的防火墙和VPN性能。Juniper网络公司ISG1000和ISG2000非常适合因需要运行VoIP和流媒体等高级应用而需要可以扩展的一致性能的企业、运营商和数据中心环境。ISG1000和ISG2000将最佳深层检测防火墙、VPN和DoS解决方案集成在一起不但能提供安全、可靠的连接，还能为重要的高流量网段提供网络和应用级保护。ISG是一种完全集成的FW/VPN/IDP系统，具有千兆性能、模块化架构和丰富的虚拟化功能。基础FW/VPN系统最多支持四个I/OS模块和三个安全模块，以支持IDP集成。特征与优势：面向各规模数据包的线性千兆位防火墙和IPSecVPN吞吐量，以保护各类应用的安全，如VoIP和流媒体等需要低时延及可扩展的小型数据包性能的应用将GigaScreen3ASIC与高性能CPU结合在一起，为应用层保护、网络层保护和管理提供并行处理能力，以确保提供数千兆位的防火墙、VPN和IDP性能可选的集成IDP升级选项可防止蠕虫、特洛伊木马、间谍软件和恶意软件等现有和新出现的应用层威胁入侵关键的高速网络并在网络中蔓延可扩展性满足未来要求，确保组织能够利用其现有投资并降低总拥有成本全面的高可用性解决方案，能够在一秒钟内完成接口或设备的故障切换全网状配置，允许在网络中部署冗余的物理路径，从而提供最大的故障恢复能力和正常运行时间虚拟系统支持，允许将网络分成多个安全区，每个区都有自己一套独特的管理员、策略、防火墙/VPN和地址簿接口灵活性，用于满足各种网络连接要求和未来增长要求虚拟路由器支持，以便将内部、专用或重叠的IP地址映射到全新的IP地址，从而提供到最终目的地的更多路由选择，并将其隐藏起来可定制的安全区能够提高接口密度而无需添加硬件开销、降低策略制订成本、阻止未经授权的用户和攻击、简化防火墙/VPN的管理工作透明模式，使设备能够用作第2层IP安全网桥，提供防火墙、VPN和DoS保护，只需对现有网络进行最小的变化通过基于Web的图形第7页共26页用户界面、CLI或Juniper网络公司NetScreen-SecurityManager集中管理系统进行管理基于策略的管理，允许端到端的生命周期集中管理3.3.2F5Firepass(SSLVPN)完整的SSLVPN实现F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，使用标准SSL安全协议，不需要专用客户端，可以完美的解决随时随地接入的需求，不仅可以满足B/S应用程序的远程接入，也可以满足各种各样C/S应用程序的远程接入.良好的性能F5FirePass可以实现高速缓存和压缩，极大的改善了远程接入的性能。多种多样的接入客户端F5FirePass可以使用多种客户端接入，包括Mac、Linux、Solaris、WindowsCE等等，大大扩展了客户端的使用便利性。良好的安全性IPSecVPN的安全性一直是一个弱点，由于IPSecVPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，而F5FirePass可以很好的解决这个问题。在FirePass的门户站主机访问模式下，FirePass可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题。而FirePass内带的内容检查功能，解决了Web攻击问题。F5FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。F5FirePass可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等。F5FirePass可以配置成在退出时自动清除高速缓存。以上这些功能都大大增强了系统的安全性。丰富的日志功能IPSecVPN的日志功能非常薄弱，而FirePass可以提供非常丰富的用户级日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，第8页共26页便于审计。强大的高可用性对于远程访问非常重要的企业来说，远程访问设备的高可用性非常重要，而IPSecVPN无法提供高可用性，往往成为系统的单点故障。而F5FirePass可以多台以集群方式对外提供服务，也可以前端使用F5BIGIP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能。与企业原有AAA服务器集成企业在部署远程访问设备之前，一般都部署了各种形式的AAA服务器，一般有ActiveDirectory、LDAP、RADIUS、企业自行开发的SSO等等，客户端也有PKI、RSASecureID等等。FirePass可以轻易的与这样AAA服务器集成，对于IT管理员来说，可以轻易将一台FirePass加入企业网，用户管理仍然由原来的AAA服务器去做。随时随地接入需求FirePass使用SSL协议作为接入协议，SSL协议工作于传输层与应用层之间，与具体接入条件无关，有效的避免了IPSecVPN在某些网络条件下无法接入的弊端。Internet合作伙伴家分支机构PDA笔记本酒店路由器对外发布服务器FirePassFirePassDMZ内网服务器群内网PCAAA服务器(ActiveDirectory)高可用性第9页共26页F5FirePass可以多台以Failover或集群方式对外提供服务，也可以前端使用F5BIGIP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能，可以保障7×24小时服务。良好的权限管理F5FirePass可以方便的以用户主干组和资源组映射的方式灵活的进行权限管理，企业可以方便的赋予自己公司不同职权的员工、合作伙伴、供应商等不同的权限。强大的网络访问功能SSLVPN是为弥补IPSecVPN的缺陷应运而生，F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，这其中网络访问功能是真正重要和对于企业来说雪中送炭的功能，其他都是锦上添花的功能，网络访问功能可以完全替代其他所有的功能。网络访问功能既有IPSecVPN所具有的与应用无关已经与内网使用体验一致的特点，而且解决了由于使用IPSecVPN所带来的无法审计登录信息、导致病毒和