【正文】 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語(yǔ) 音 出 口主 推 方 案通過(guò)在 Inter 邊界部署防火墻，主要目的是實(shí)現(xiàn)以下三大功能：來(lái)自 Inter 攻擊的防范： 隨著網(wǎng)絡(luò)技術(shù)不斷的發(fā)展， Inter 上的現(xiàn)成的攻擊工具越來(lái)越多，而且可以通過(guò) Inter 廣泛傳播，由此導(dǎo)致 Inter 上的攻擊行為也越來(lái)越多，而且越來(lái)越復(fù)雜，防火墻必須可以有效的阻擋來(lái)自 Inter 的各種攻擊行為；Inter 服務(wù)器安全防護(hù)： 企業(yè)接入 Inter 后，大都會(huì)利用 Inter 這個(gè)大網(wǎng)絡(luò)平臺(tái)進(jìn)行信息發(fā)布和企業(yè)宣傳，需要在 Inter 邊界部署服務(wù)器，因此，必須在能夠提供 Inter 上的公眾訪問(wèn)這些服務(wù)器的同時(shí)，保證這些服務(wù)器的安全；內(nèi)部用戶訪問(wèn) Inter 管理： 必須對(duì)內(nèi)部用戶訪問(wèn) Inter 行為進(jìn)行細(xì)致的管理，比如能夠支持 WEB、郵件、以及 BT 等應(yīng)用模式的內(nèi)容過(guò)濾，避免網(wǎng)絡(luò)資源的濫用，也避免通過(guò) Inter引入各種安全風(fēng)險(xiǎn)；基于上述需求，我們建議在 Inter 邊界，采取以下防火墻部署策略：? 設(shè)備部署模式：? 如上圖所示，我們建議在核心交換機(jī)與 Inter 路由器之間配置兩臺(tái)防火墻，兩臺(tái)38 / 44防火墻與核心交換機(jī)以及 Inter 路由器之間采取全冗余連接，保證系統(tǒng)的可靠性，? 為了保證系統(tǒng)的可靠性，我們建議配置兩臺(tái)防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制同時(shí)保證線路的可靠性，同時(shí)可以與內(nèi)網(wǎng)動(dòng)態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；? 安全控制策略：? 防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒(méi)有明確的規(guī)則允許通過(guò)，全部拒絕以保證安全；? 配置防火墻防 DOS/DDOS 功能，對(duì) Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進(jìn)行防范；? 配置防火墻全面安全防范能力，包括 ARP 欺騙攻擊的防范，提供 ARP 主動(dòng)反向查詢、TCP 報(bào)文標(biāo)志位不合法攻擊防范、超大 ICMP 報(bào)文攻擊防范、地址 /端口掃描的防范、ICMP 重定向或不可達(dá)報(bào)文控制功能、Tracert 報(bào)文控制功能、帶路由記錄選項(xiàng) IP 報(bào)文控制功能等；由外往內(nèi)的訪問(wèn)控制規(guī)則：? 通過(guò)防火墻的訪問(wèn)控制策略，拒絕任何來(lái)自 Inter 對(duì)內(nèi)網(wǎng)的訪問(wèn)數(shù)據(jù)，保證任何Inter 數(shù)據(jù)都不能主動(dòng)進(jìn)入內(nèi)部網(wǎng)，屏蔽所有來(lái)自 Inter 的攻擊行為；由外往 DMZ 的訪問(wèn)控制規(guī)則：? 通過(guò)防火墻的訪問(wèn)控制策略，控制來(lái)自 Inter 用戶只能訪問(wèn) DMZ 區(qū)服務(wù)器的特定端口，比如 WWW 服務(wù)器 80 端口、Mail 服務(wù)器的 25/110 端口等，其他通信端口一律拒絕訪問(wèn)，保證部屬在 DMZ 區(qū)的服務(wù)器在安全的前提下，有效提供所需的服務(wù)；由內(nèi)往外的訪問(wèn)控制規(guī)則：? 通過(guò)防火墻的訪問(wèn)控制策略，對(duì)內(nèi)部用戶訪問(wèn) Inter 進(jìn)行基于 IP 地址的控制，初步實(shí)現(xiàn)控制內(nèi)部用戶能否訪問(wèn) Inter，能夠訪問(wèn)什么樣的 Inert 資源；? 通過(guò)配置防火墻提供的 IP/MAC 地址綁定功能，以及身份認(rèn)證功能，提供對(duì)內(nèi)部用戶訪問(wèn) Inter 的更嚴(yán)格有效的控制能力，加強(qiáng)內(nèi)部用戶訪問(wèn) Inter 控制能力；? 通過(guò)配置防火墻提供的 SMTP 郵件過(guò)濾功能和 HTTP 內(nèi)容過(guò)濾，實(shí)現(xiàn)對(duì)用戶訪問(wèn)Inter 的細(xì)粒度的訪問(wèn)控制能力，實(shí)現(xiàn)基本的用戶訪問(wèn) Inter 的行為管理；39 / 44由內(nèi)往 DMZ 的訪問(wèn)控制規(guī)則：? 通過(guò)防火墻的訪問(wèn)控制策略，控制來(lái)自內(nèi)部用戶只能訪問(wèn) DMZ 區(qū)服務(wù)器的特定端口，比如 WWW 服務(wù)器 80 端口、Mail 服務(wù)器的 25/110 端口等，其他通信端口一律拒絕訪問(wèn)，保證部屬在 DMZ 區(qū)的服務(wù)器在安全的前提下，有效提供所需的服務(wù)；? 對(duì)于服務(wù)器管理員，通過(guò)防火墻策略設(shè)置，進(jìn)行嚴(yán)格的身份認(rèn)證等措施后，可以進(jìn)行比較寬的訪問(wèn)權(quán)限的授予，在安全的基礎(chǔ)上保證管理員的網(wǎng)絡(luò)訪問(wèn)能力；由 DMZ 往內(nèi)的訪問(wèn)控制規(guī)則：? 通過(guò)防火墻的訪問(wèn)控制策略，嚴(yán)格控制 DMZ 區(qū)服務(wù)器不能訪問(wèn)或者只能訪問(wèn)內(nèi)部網(wǎng)絡(luò)的必需的資源，避免 DMZ 區(qū)服務(wù)器被作為跳板攻擊內(nèi)部網(wǎng)用戶和相關(guān)資源；? 其他可選策略：? 可以啟動(dòng)防火墻身份認(rèn)證功能，通過(guò)內(nèi)置數(shù)據(jù)庫(kù)或者標(biāo)準(zhǔn) Radius 屬性認(rèn)證，實(shí)現(xiàn)對(duì)用戶身份認(rèn)證后進(jìn)行資源訪問(wèn)的授權(quán)；? 根據(jù)需要，在兩臺(tái)防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)網(wǎng)絡(luò)帶寬；? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問(wèn)控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問(wèn)控制能力；? 在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（Email、日志、SNMP 陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；? 啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的有效的記錄和統(tǒng)計(jì)分析；? 設(shè)備選型建議：? 我們建議選擇 1000F/100F 防火墻，詳細(xì)的產(chǎn)品介紹見(jiàn)附件；. 大型網(wǎng)絡(luò)內(nèi)部隔離在比較大規(guī)?；蛘弑容^復(fù)雜的網(wǎng)絡(luò)中，需要對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行有效的管理，以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)流量的控制和安全風(fēng)險(xiǎn)的隔離，其基本的防火墻部署模式如下圖所示：40 / 44RPIntertPSTN 區(qū) 域 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語(yǔ) 音 出 口主 推 方 案企業(yè)內(nèi)部隔離防火墻主要應(yīng)用在比較大型的網(wǎng)絡(luò)中，這些網(wǎng)絡(luò)一般有多個(gè)層次的劃分，會(huì)有多個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)接入節(jié)點(diǎn)，需要對(duì)這些節(jié)點(diǎn)流量進(jìn)行隔離和控制。另外，應(yīng)該能夠?qū)σ恍┏Ｒ?jiàn)的高層協(xié)議，提供細(xì)粒度的控制和過(guò)濾能力，比如可以支持 WEB 和 MAIL 的過(guò)濾，可以支持 BT 識(shí)別并限流等能力；用戶管理的需求：內(nèi)部網(wǎng)絡(luò)用戶接入局域網(wǎng)、接入廣域網(wǎng)或者接入 Inter，都需要對(duì)這些用戶的網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理，包括對(duì)用戶進(jìn)行身份認(rèn)證，對(duì)用戶的訪問(wèn)資源進(jìn)行限制，對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制等；. 防火墻部署解決方案防火墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護(hù)措施，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP 地址和 TCP/IP 服務(wù)端口等的訪問(wèn)控制；對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊（ping of 34 / 44death, land, syn flooding, ping flooding, tear drop, …）、端口掃描（port scanning）、IP 欺騙(ip spoofing)、IP 盜用等進(jìn)行有效防護(hù)；并提供 NAT 地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP 與 MAC綁定等安全增強(qiáng)措施。在撰寫 SANS Risk 公告的同時(shí)，IPS 的專業(yè)團(tuán)隊(duì)同時(shí)跟蹤其它知名安全組織和廠商發(fā)布的安全公告；經(jīng)過(guò)跟蹤、分析、驗(yàn)證所有這些威脅，生成供 IPS 使用的可以保護(hù)這些漏洞的特征知識(shí)庫(kù) – 數(shù)字疫苗，它針對(duì)漏洞的本質(zhì)進(jìn)行保護(hù)，而不是根據(jù)特定的攻擊特征進(jìn)行防御。采用流水線與大規(guī)模并行處理融合技術(shù)的 TSE 可以對(duì)一個(gè)報(bào)文同時(shí)進(jìn)行幾千種檢測(cè)，從而將整體的處理性能提高到空前水平。高性能的入侵防御系統(tǒng)能作為虛擬軟件補(bǔ)丁，保護(hù)網(wǎng)絡(luò)中尚未安裝補(bǔ)丁、具有漏洞的計(jì)算機(jī)免于遭受侵害。最后通過(guò)策略的配置實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中應(yīng)用層數(shù)據(jù)信息的過(guò)濾與審計(jì)。25 / 44. 組網(wǎng)應(yīng)用. NetStream/NAT/FLOW 日志審計(jì)組網(wǎng)方式該組網(wǎng)可以為中石油內(nèi)網(wǎng)用戶提供網(wǎng)絡(luò)日志審計(jì)功能，以便于跟蹤訪問(wèn)非法站點(diǎn)的用戶行為。 日志內(nèi)容為 IP 層數(shù)據(jù)報(bào)文信息，其中包含數(shù)據(jù)報(bào)文的流量信息和協(xié)議類型信息，而 日志內(nèi)容為應(yīng)用層協(xié)議數(shù)據(jù)報(bào)文信息，包含數(shù)據(jù)報(bào)文的摘要信息。XLog 用戶行為審計(jì)系統(tǒng)提供 日志， 日志，NetStreamV5 日志，DIG 流日志以及 DIG 摘要日志的查詢審計(jì)功能，網(wǎng)絡(luò)管理員可以根據(jù)網(wǎng)絡(luò)日志對(duì)上網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行審計(jì)。. 警告模式某些應(yīng)用環(huán)境下，不需要根據(jù)用戶終端的安全狀態(tài)嚴(yán)格控制用戶終端的訪問(wèn)權(quán)限，可以采用警告模式部署”終端接入安全體系 ”解決方案的應(yīng)用。. 實(shí)施效果1. 由于在網(wǎng)絡(luò)出口設(shè)備上部署了Portal認(rèn)證，所有非授權(quán)用戶將不能訪問(wèn)外網(wǎng)。在用戶希望對(duì)原有網(wǎng)絡(luò)改動(dòng)最小的情況下，可以將MA5200旁掛在網(wǎng)絡(luò)出口核心設(shè)備上，提供用戶接入控制功能。匯聚層”終端接入安全體系”應(yīng)用組網(wǎng)模式下，認(rèn)證設(shè)備下掛接入層設(shè)備，如果接入層設(shè)備端口不作 VLAN 劃分，用戶終端之間將可實(shí)現(xiàn)互訪。降低了病毒和遠(yuǎn)程攻擊對(duì)企業(yè)網(wǎng)帶來(lái)的安全風(fēng)險(xiǎn)。6. 如果用戶補(bǔ)丁升級(jí)不成功，用戶仍然無(wú)法訪問(wèn)其他網(wǎng)絡(luò)資源，回到步驟47. 用戶可以正常訪問(wèn)其他授權(quán)（ACL、VLAN）的網(wǎng)絡(luò)資源。. 流程說(shuō)明“終端接入安全體系”方案可以依據(jù)角色對(duì)網(wǎng)絡(luò)接入用戶實(shí)施不同的安全檢查策略并授予不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限。. 組網(wǎng)圖示圖表 1 接入層”終端接入安全體系”應(yīng)用組網(wǎng). 組網(wǎng)設(shè)備目前 S3000 以上系列接入層交換機(jī)多款交換機(jī)支持”終端接入安全體系” 解決方案，主要包括：17 / 44? S3050C? S3026E/C/G/T? S5012/24? S3900系列. 方案說(shuō)明? 用戶終端必須安裝H3C客戶端，否則將不能接入網(wǎng)絡(luò)或者只能訪問(wèn)隔離區(qū)的資源。? 接入時(shí)間、區(qū)域控制：可以限制用戶只能在允許的時(shí)間和地點(diǎn)（接入設(shè)備和端口）上網(wǎng)。當(dāng)前支持的弱AV聯(lián)動(dòng)支持的防病毒軟件有：諾頓、趨勢(shì)、 McAfee 和安博士。同時(shí)支持客戶端自動(dòng)升級(jí)。? 安全修復(fù)：進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。這種方式下，” 終端接入安全體系 ”系統(tǒng)與微軟補(bǔ)丁系統(tǒng)是相互獨(dú)立的，可以不依賴于對(duì)方而完成自有功能。注 1：隔離區(qū)是指端點(diǎn)用戶在通過(guò)安全認(rèn)證之前允許訪問(wèn)的一組主機(jī)的集合。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。? 隔離不符合安全策略的用戶終端。安全策略服務(wù)器收集由安全客戶端上報(bào)的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的安全狀態(tài)提供依據(jù)。安全策略服務(wù)器定義了對(duì)用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)評(píng)估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對(duì)終端用戶的隔離方式配置等。“終端接入安全體系 ”端點(diǎn)準(zhǔn)入防御方案包括兩個(gè)重要功能：安全防護(hù)和安全監(jiān)控。中石油也不例外，直到 2022 年年初，中石油才開始著手布置薩班斯法案項(xiàng)目。2022 年 10 月，中國(guó)石化《內(nèi)部控制手冊(cè)》由公司董事會(huì)正式審議通過(guò)，2022 年 1 月開始在股份公司全面實(shí)施。針對(duì)薩班斯法案不斷細(xì)化的規(guī)則和新出臺(tái)的指引、準(zhǔn)則，中國(guó)石化對(duì)《內(nèi)部控制手冊(cè)》進(jìn)行更新，修訂了 2022 年版的《內(nèi)部控制手冊(cè)》，經(jīng)董事會(huì)審議通過(guò)，于 2022 年 1 月1 日起正式下發(fā)執(zhí)行。但從根本上來(lái)說(shuō)，公司治理和 IT 治理的問(wèn)題遲早需要去面對(duì)和解決。為達(dá)到以上目的，提出了包括檢查——隔離——修復(fù)——監(jiān)控的整體解決思路。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí)，方便管理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫(kù)升級(jí)服務(wù)，允許防病毒客戶端進(jìn)行在線升級(jí)；補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級(jí)服務(wù)，在用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí)，用戶終端可連接至補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級(jí)。安全聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，如提供不同的QoS、ACL、VLAN 等。企業(yè)網(wǎng)中，對(duì)系統(tǒng)補(bǔ)丁的管理問(wèn)題一直難以解決。注 2：補(bǔ)丁狀態(tài)檢查是指對(duì)接入用戶/端點(diǎn)用戶的計(jì)算機(jī)進(jìn)行軟件補(bǔ)丁是否符合安全要求的檢查，檢查不合格時(shí)列舉出所有缺少的軟件補(bǔ)丁。. 應(yīng)用模型. 安全準(zhǔn)入應(yīng)用模型“終端接入安全體系” 解決方案安全準(zhǔn)入主要是通過(guò)身份認(rèn)證和安全策略檢查的方式，對(duì)未通過(guò)身份認(rèn)證或不符合安全策略的用戶終端進(jìn)行網(wǎng)絡(luò)隔離，并幫助終端進(jìn)行安全修復(fù)，以達(dá)到防范不安全網(wǎng)絡(luò)用戶終端給安全網(wǎng)絡(luò)帶來(lái)安全威脅的目的。13 / 44用戶終端 安全聯(lián)動(dòng)設(shè)備 安全策略服務(wù)器 修復(fù)服務(wù)器身份認(rèn)證請(qǐng)求發(fā)起身份認(rèn)證R a d i u s / 身份信息R a d i u s / 身份認(rèn)證成功 ， 下發(fā)隔離 A C L安全認(rèn)證請(qǐng)求安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補(bǔ)丁等信息 ）安全狀態(tài)不合格 （ 缺少補(bǔ)丁等 ）根據(jù)安全認(rèn)證結(jié)果 ， 修復(fù)系統(tǒng)漏洞安全狀態(tài)檢查安全狀態(tài)檢查安全狀態(tài)信息 （ 防病毒版本 、 系統(tǒng)補(bǔ)丁等信息 ）安全認(rèn)證成功 ， 下發(fā)監(jiān)控策略R a d i u s / 安全認(rèn)證成功 ， 下發(fā)工作 A C L安全狀態(tài)監(jiān)控安全狀態(tài)信息檢查終端安全狀態(tài)具體部署方式如下：在區(qū)域二中部署中心認(rèn)證服務(wù)器一臺(tái)，推薦中石油使用基于 CA 證書的認(rèn)證系統(tǒng)，這樣在安全性會(huì)比簡(jiǎn)單的用戶名密碼要高；在服務(wù)器與客戶端上均部署終端安全認(rèn)證體系客戶端，保證服務(wù)器系統(tǒng)能夠強(qiáng)制進(jìn)行系統(tǒng)補(bǔ)丁和病毒庫(kù)的升級(jí)；終端客戶端進(jìn)行強(qiáng)制病毒庫(kù)、系統(tǒng)補(bǔ)丁的升級(jí)，在用戶接入網(wǎng)絡(luò)的同時(shí)對(duì)其日常網(wǎng)絡(luò)使用行為進(jìn)行監(jiān)控；在終端部署支持 認(rèn)證的交換設(shè)備與終端用戶認(rèn)證體系進(jìn)行聯(lián)動(dòng)；在區(qū)域二部署日志服務(wù)器 XLOG 一臺(tái)，進(jìn)行日常用戶行為訪問(wèn)的記錄；14 / 44通過(guò)用戶終端行為記錄以及網(wǎng)絡(luò)行為監(jiān)控，記錄用戶日常網(wǎng)絡(luò)使用行為，并作為日后審計(jì)的依據(jù)。? 終端運(yùn)行狀態(tài)實(shí)時(shí)檢測(cè)：可以對(duì)上線用戶終端的系統(tǒng)信息進(jìn)行實(shí)時(shí)檢測(cè)，包括已安