亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

關于網絡防火墻的整體安全解決方案
2010-02-07   網絡

整體的安全方案分成技術方案、服務方案以及支持方案三部分。

一、技術解決方案

安全產品是網絡安全的基石,通過在網絡中安裝一定的安全設備,能夠使得網絡的結構更加清晰,安全性得到顯著增強;同時能夠有效降低安全管理的難度,提高 安全管理的有效性。

下面介紹在局域網中增加的安全設備的安裝位置以及他們的作用。

1、防火墻

安裝位置:局域網與路由器之間;WWW服務器與托管機房局域網之間;

局域網防火墻作用:

(1) 實現單向訪問,允許局域網用戶訪問INTERNET資源,但是嚴格限制INTERNET用戶對局域網資源的訪問;

(2) 通過防火墻,將整個局域網劃分INTERNET,DMZ區,內網訪問區這三個邏輯上分開的區域,有利于對整個網絡進行管理;

(3)局 域網所有工作站和服務器處于防火墻地整體防護之下,只要通過防火墻設置的修改,就能有限絕大部分防止來自INTERNET上的攻擊,網絡管理員只需要關注 DMZ區對外提供服務的相關應用的安全漏洞;

(4)通過防火墻的過濾規則,實現端口級控制,限制局域網用戶對INTERNET的訪 問;

(5)進行流量控制,確保重要業務對流量的要求;

(6)通過過濾規則,以時間為控制要素,限制大流量網絡應 用在上班時間的使用。

托管機房防火墻的作用:

(7) 通過防火墻的過濾規則,限制INTERNET用戶對WWW服務器的訪問,將訪問權限控制在最小的限度,在這種情況下,網絡管理員可以忽略服務器系統的安全 漏洞,只需要關注WWW應用服務軟件的安全漏洞;

(8)通過過濾規則,對遠程更新的時間、來源(通過IP地址)進行限制。

2、入侵檢測

安裝位置:局域網DMZ區以及托管機房服務器區

IDS的作用:

(1) 作為旁路設備,監控網絡中的信息,統計并記錄網絡中的異常主機以及異常連接;

(2)中 斷異常連接;

(3)通過聯動機制,向防火墻發送指令,在限定的時間內對特定的IP地址實施封堵。

3、網絡防病毒軟件控制中心以及客戶端軟件

安裝位置:局域網防病毒服務器以及各個終 端

防病毒服務器作用:

(1) 作為防病毒軟件的控制中心,及時通過INTERNET更新病毒庫,并強制局域網中已開機的終端及時更新病毒庫軟件;

(2)記錄各個終 端的病毒庫升級情況;

(3)記錄局域網中計算機病毒出現的時間、類型以及后續處理措施。

防病毒客戶端軟件的作 用:

(4) 對本機的內存、文件的讀寫進行監控,根據預定的處理方法處理帶毒文件;

(5) 監控郵件收發軟件,根據預定處理方法處理帶毒郵件;

4、郵件防病毒服務器

安裝位置:郵件服務器與防火墻之間

郵件防病毒軟件:對來自INTERNET的電子郵件進行檢測,根據預先設定的處理方法處理帶毒郵 件。郵件防病毒軟件的監控范圍包括所有來自INTERNET的電子郵件以及所屬附件(對于壓縮文件同樣也進行檢測)

 5、反垃圾郵件系統

安裝位置:同郵件防病毒軟件,如果軟硬件條件允許的話,建議安 裝在同一臺服務器上。

反垃圾郵件系統作用:

(1) 拒絕轉發來自INTERNET的垃圾郵件;

(2) 拒絕轉發來自局域網用戶的垃圾郵件并將發垃圾郵件的局域網

用戶的IP地址通過電子郵件等方式通報網管;

(3) 記錄發垃圾郵件的終端地址;

(4) 通過電子郵件等方式通知網管垃圾郵件的處理情況。

6、動態口令認證系統

安裝位置:服務器端安裝在WWW服務器(以及其他需要進行口令 加強的敏感服務器),客戶端配置給網頁更新人員(或者服務器授權訪問用戶);

動態口令認證系統的作用:

通過定期 修改密碼,確保密碼的不可猜測性。

 7、網絡管理軟件

安裝位置:局域網中。

網絡管理軟件的作用:

(1) 收集局域網中所有資源的硬件信息;

(2) 收集局域網中所有終端和服務器的操作系統、系統補丁等軟件信息;

(3) 收集交換機等網絡設備的工作狀況等信息;

(4) 判斷局域網用戶是否使用了MODEM等非法網絡設備與INTERNET連接;

(5) 顯示實時網絡連接情況;

(6) 如果交換機等核心網絡設備出現異常,及時向網管中心報警;

8、QOS流量管 理

安裝位置:如果是專門的產品安裝在路由器和防火墻之間;部分防火墻本身就有QOS帶寬管理模塊。

QOS流量管理的作用:

(1) 通過IP地址,為重要用戶分配足夠的帶寬;

(2) 通過端口,為重要的應用分配足夠的帶寬資源;

(3) 限制非業務流量的帶寬;

(4) 在資源閑置時期,允許其他人員使用資源,一旦重要用戶或者重要應用需要使用帶寬,則確保它們能夠至少使用分配給他們的帶寬資源。

9、重要終端個人防護軟件

安裝位置:重要終端

個人防護軟件的 作用:

(1) 保護個人終端不受攻擊;

(2) 不允許任何主機(包括局域網主機)非授權訪問重要終端資源;

(3) 防止局域網感染病毒主機通過攻擊的方式感染重要終端。

10、頁面防篡改系統

安裝位置:WWW服務器

頁面防篡改系統的作用:

(1) 定期比對發布頁面文件與備份文件,一旦發現不匹配,用備份文件替換發布文件;

(2) 通過特殊的認證機制,允許授權用戶修改頁面文件;

(3) 能夠對數據庫文件進行比對。
 
二、安全服務解決方案

在安全服務方案中,采用不同的安全服務,定期對網絡進行檢測、改進,以達到動態增進網絡安全性,最大限度發揮安全設備作用的目的。安全服務分為以下幾 類:

1、網絡拓撲分析

服務對象:整個網絡

服務周期:半年一次

服務內 容:(1)根據網絡的實際情況,繪制網絡拓撲圖;(2)分析網絡中存在的安全缺陷并提出整改建議意見。

服務作用:針對網絡的整體情 況,進行總體、框架性分析。一方面,通過網絡拓撲分析,能夠形成網絡整體拓撲圖,為網絡規劃、網絡日常管理等管理行為提供必要的技術資料;另一方面,通過 整體的安全性分析,能夠找出網絡設計上的安全缺陷,找到各種網絡設備在協同工作中可能產生的安全問題。

2、中心機房管理制度制訂以及 修改

服務對象:中心機房

服務周期:半年一次

服務內容:協助用戶制訂并修改機房管理制度。制 度內容涉及人員進出機房的登記制度、設備進出機房的登記制度、設備配置修改的登記制度等。

服務作用:嚴格控制中心機房的人員進出、設 備進出并及時登記設備的配置更新情況,有助于網絡核心設備的監控,確保網絡的正常運行。

3、操作系統補丁升級

服 務對象:服務器、工作站、終端

服務周期:不定期

服務內容:(1) 一旦出現重大安全補丁,及時更新所有相關系統;(2)出現大型補丁(如微軟的SP),及時更新所有相關系統;

服務作用:通過及時、有 效的補丁升級,能夠有效防止局域網主機和服務器相互之間的攻擊,降低現代網絡蠕蟲病毒對網絡的整體影響,增加網絡帶寬的有效利用率。

4、防病毒軟件病毒庫定期升級

服務對象:防病毒服務器、安裝防病毒客戶端的終端

服務周期:每周一次

服務內容:(1) 防病毒服務器通過INTERNET更新病毒庫;(2)防病毒服務器強制所有在線客戶端更新病毒庫;

服務作用:通 過不斷升級病毒庫確保防病毒軟件能夠及時發現新的病毒。

5、服務器定期掃描、加固

服務對象:服務器

服務周期:半年一次

服務內容:使用專用的掃描工具,在用戶網絡管理人員的配合,對主要的服務器進行掃描。

服務 作用:(1) 找出對應服務器操作系統中存在的系統漏洞;(2) 找出服務器對應應用服務中存在的系統漏洞;(3) 找出安全強度較低的用戶名和用戶密碼。

6 、防火墻日志備份、分析

服務對象:防火墻設備

服 務周期:一周一次

服務內容:導出防火墻日志并進行分析。

服務作用:通過流量簡圖找出流量異常的時間段,通過檢查 流量較大的主機,找出局域網中的異常主機。

7、入侵檢測等安全設備日志備份

服務對象:入侵檢測等安全設備

服務周期:一周一次

服務內容:備份安全設備日志。

服務作用:防止日志過大導致檢索、分析的難度,另一方面也有 利于事后的檢查。

8、服務器日志備份

服務對象:主要服務器(如WWW服務器、文件服務器等)

服務周期:一周一次

服務內容:備份服務器訪問日志

服務作用: 防止日志過大導致檢索、分析的難度,另一方面也有利于事后的檢查。

9、白客滲透

服務對象:對INTERNET提 供服務的服務器

服務周期:半年一次

服務內容:服務商在用戶指定的時間段內,通過INTERNET,使用各種工具 在不破壞應用的前提下攻擊服務器,最終提供檢測報告。

服務作用:先于黑客進行探測性攻擊以檢測系統漏洞。根據最終檢測報告進一步增強 系統的安全性

10、設備備份系統

服務對象:骨干交換機、路由器等網絡骨干設備

服務周期:實 時

服務內容:根據用戶的網絡情況,提供骨干交換機、路由器等核心網絡設備的備份。備份設備可以在段時間內替代網絡中實際使用的設備。

服務作用:一旦核心設備出現故障,使用備件替換以減少網絡故障時間。

11、信息備份系統

服務對象:所有重要信 息

服務周期:根據網絡情況定完全備份和增量備份的時間

服務內容:定期備份電子信息

服務作 用:防止核心服務器崩潰導致網絡應用癱瘓。

12、定期總體安全分析報告

服務對象:整個網絡

服務周期:半年一次

服務內容:綜合網絡拓撲報告、各種安全設備日志、服務器日志等信息,對網絡進行總體安全綜合性分析,分析內容包括 網絡安全現狀、網絡安全隱患分析,并提出改進建議意見。

服務作用:提供綜合性、全面的安全報告,針對全網絡進行安全性討論,為全面提 高網絡的安全性提供技術資料。

以上是服務解決方案,眾所周知,安全產品一般是共性的產品,通過安全服務,能夠配制出適合本網絡的安全 設備,使得安全產品在特定的網絡中發揮最大的效能,使得各種設備協同工作,增強網絡的安全性和可用性。

當然,在網絡中,不安全是絕對 的,即使采取種種措施,網絡也可能遭到應用某種原因無法正常運作,這時候,就需要有及時有效的技術支持,使得網絡在盡可能短的時間內恢復正常。下面將提出 技術支持解決方案。
 
三、技術支持解決方案

技術支持是整個安全方案的重要補充。其主要作用是在用戶網絡發生重要安全事件后,通過及時、高效的安全服務,達到盡快恢復網絡應用的目的。技術支持主要 包括以下幾方面:

1、故障排除

支持范圍:

(1) 用戶無法訪問網絡(如局域網用戶無法訪問INTERNET);

(2)應用服務無法訪問(如不能對外提供WWW服務);

(3)網絡訪問異常(如訪問速度慢)。

作用:一旦網絡出現異常,為用戶提供及時、有效的網絡服務。在最短的時間內恢復網絡應用。

2、災難恢復

支持范圍:設備遇到物理損害網絡網絡應用異常。

作用:通過備品備件,快速恢復網絡硬件環境;通過 備份文件的復原,盡快恢復網絡的電子資源;由此可在最短的時間內恢復整個網絡應用。

3、查找攻擊源

支持范圍: 網絡管理員發現網絡遭到攻擊,并需要確定攻擊來源。

作用: 通過日志文件等信息,確定攻擊的來源,為進一步采取措施提供依據。

4、實時檢索日志文件

支持范圍: 遭到實時的攻擊(如DOS,SYN FLOODING等),需要及時了解攻擊源以及攻擊強度。

作用:通過實時檢索日志文件,可以當時存在的針對本網絡的攻擊并查找出攻擊源。如果攻擊強度超出網絡能夠承受的范圍,可采取進一步措施進行防范。

5、即時查殺病毒

支持范圍: 由不可確定的因素導致網絡中出現計算機病毒。

作用:即使網絡中出現病毒,通過及 時有效的技術支持,在最短的時間內查處感染病毒的主機并即時查殺病毒,恢復網絡應用。

6、即時網絡監控

支持范 圍: 網絡出現異常,但應用基本正常。

作用:通過網絡監控,近可能發現網絡中存在的前期網絡故障,在故障擴大化以前及時進行防治。

以上是技術支持解決方案,技術支持是安全服務的重要補充部分,即使在完善的安全體系下,也存在不可預測的因素導致網絡故障,此時,需要及時、有效的技術 支持服務,在盡可能短的時間內恢復網絡的正常運行。

綜上所述,局域網的安全由三大部分組成,涵蓋設備、技術、制度、管理、服務等各個 部分。

四、分布實施建議意見

網絡安全涉及面相當廣,同時進行建設的可行性較差,因此,建議按照以下方式進行分階段實 施。

1、第一階段

(1)技術方面,采用防火墻、網絡防病毒軟件、頁面防篡改系統來建立一個結構上較完善的網絡系 統。

(2)服務方面,進行網絡拓撲分析、建立中心機房管理制度、建立操作系統以及防病毒軟件定期升級機制、對重要服務器的訪問日志進 行備份,通過這些服務,增強網絡的抗干擾性。

(3)支持方面,要求服務商提供故障排除服務,以提高網絡的可靠性,降低網絡故障對網絡 的整體影響。

2、第二階段

在第一階段安全建設的基礎上,進一步增加網絡安全設備,采納新的安全服務和技術支持來 增強網絡的可用性。

(1)技術方面,采用入侵檢測、郵件防病毒軟件、動態口令認證系統、并在重要客戶端安裝個人版防護軟件。

(2)服務方面,對服務器進行定期掃描與加固、對防火墻日志進行備份與分析、對入侵檢測設備的日志進行備份、建立設備備份系統以及文件備份系統。

(3)支持方面,要求服務商提供災難恢復、實時日志檢索、實時查殺病毒、實時網絡監控等技術支持。

3、第三階段

在這一階段,采取的措施以進一步提高網絡效率為主。

(1)技術方面,采用反垃圾郵件系統、網絡管理軟件、QOS流量管理軟件。

(2)服務方面,采用白客滲透測試,要求服務商定期提供整體安全分析報告。

(3)支持方面,要求能夠實時或者時候查找攻擊源。

以上針對用戶網絡分別從三個方面提出了安全解決方案,并按照實施的緊迫性分成三個階段來實現,但是實際針對某個用戶,對于安全的要求可能各不相同,具體 網絡情況也可能有很大的差異,因此建議用戶根據實際情況建立網絡安全建設的時間表。

另外,隨著新技術、新產品的不斷涌現,網絡技術的 不斷發展,對于網絡安全的要求不斷提高,在實際實施過程中采取的措施完全可能超越本文中提及的產品、服務、支持,這也是安全建設的最基本原則:不斷改進, 不斷增強,安全無止境。

熱詞搜索:

上一篇:江蘇省政府開展共享災備應用解決方案
下一篇:西安交通大學萬兆網絡建設解決方案

分享到: 收藏