【文章內容簡介】 ................................................................. 102 可視化配置 ........................................................................................................ 102 預置包過濾規(guī)則集 ............................................................................................ 102 總結 ............................................................................................................................ 102 1 北大 XX 集團、 XX 數(shù)碼公司簡介 北京北大 XX 集團公司是北京大學創(chuàng)建的高新技術企業(yè)。 XX 集團擁有３個控股的上市公司， XX（控股）有限公司 、 XX 數(shù)碼有限公司 、 上海 XX 延中科技集團股份有限公司， 17 家獨資、合資企業(yè)。員工總數(shù)約6000 人，總資產 50 億元， 2020 年銷售規(guī)模達 101 億元。 1997 年， XX 集團已成為國家 120 家大型試點企業(yè)集團之一，國家首批６家技術創(chuàng)新試點企業(yè)之一，國家重點支持的５家 PC 生產廠家之一。 創(chuàng)造科技與文明，是北大 XX 的一貫宗旨，集團堅持以人為本 的宗旨 ， 以 創(chuàng)新為先導，產 、 學 、 研結合，不斷以優(yōu)質產品和技術服務于社會。 XX 數(shù)碼有限公司（ ECFounder Co., Ltd.）是從事發(fā)展互聯(lián)網應用技術及電子商務的軟件技術公司 。 其業(yè)務專注于互聯(lián)網 安全產品及網絡安全服務 等 領 域 ，是互聯(lián)網時代的軟件技術公司。 XX 數(shù)碼借助技術、研發(fā)方面的優(yōu)勢，借鑒世界上最先進的管理運作經驗，定位于 電子商務賦能者 （ emerce enabler），用不斷創(chuàng)新的技術與 優(yōu)質的 服務賦予客戶新經濟時代可持續(xù)發(fā)展的能力，幫助政府、行業(yè)、企業(yè)、網站、電子商務的運營者運用先進技術和高效管理手段在互聯(lián)網時代健康發(fā)展，取得成功。 XX 數(shù)碼有限公司的業(yè)務圍繞 在 互聯(lián)網安全技術應用、 網絡安全服務 及 網絡安全 知識管理等主要領域，在技術開發(fā)、應用解決方案和運營服務方面為用戶提供先進 的網絡安全產品 和 技術。 為此 XX 數(shù)碼推出 SHARKS 互聯(lián)網安全解決方案。 SHARKS 解決方案是在深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領先優(yōu)勢的解決方案。它是一套整體的集群平臺，可以解決企業(yè)最為關切的安全性、高可靠性、可擴展性和易于遠程管理的問題。目前這套方案已經得到國家有關部門的大力支持，被國家經貿委列為國家創(chuàng)新計劃項目之一，還得到了國家“ 863”計劃的肯定與支持。 XX 方御防火墻是 SHARKS 安全解決方案中的主要安全產品之一。 XX 方御防火墻憑借其獨特的技術優(yōu)勢，在保證系統(tǒng)自身的安全性的同時又保證了其 運行效率。 XX 方御防火墻中還融入了入侵檢測技術，可以有效地防范攻擊企圖的試探；另外利用先進的 III 技術， XX 方御防火墻可以有效濾除著名的 DDoS 攻擊，正是這種攻擊曾迫使包括美國雅虎在內的若干世界最大的網站停止服務。除防火墻之外， XX 數(shù)碼有限公司還向用戶提供 VPN、安全掃描系統(tǒng)、入侵檢測系統(tǒng)（ IDS）等安全產品及方案，從多層次、多角度、全方位保護用戶的網絡。 在立足于自主開發(fā)外， XX 數(shù)碼公司還與眾多國際、國內知名的安全公司保持著良好的合作關系，集成國內外最優(yōu)秀的安全產品，為用戶的安全建設保駕護航。 2 XX 銀行 內聯(lián)網結構分析 XX 銀行 內聯(lián)網整體情況 某 XX 銀行 內聯(lián)網是以總行為中心、各個分支區(qū)域為基礎，覆蓋某 XX 銀行全國各部門、各層次分支機構，基于 TCP/IP 協(xié)議體系的計算機信息服務網絡；是某 XX 銀行 應用系統(tǒng)的基礎網絡平臺。目前整個系統(tǒng)已網絡實現(xiàn)到地市，系統(tǒng)運行著某 XX 銀行 多種應用系統(tǒng)。其中，這些系統(tǒng)通過與全國各商業(yè)銀行以及其他金融機構的互聯(lián)網絡，實現(xiàn)信息交換和共享。 XX 銀行 內聯(lián)網網絡結構 某 XX 銀行 內聯(lián)網由廣域網和各級機構局域網組成。 某 XX 銀行 內聯(lián)網主要連接由兩個部分組成：一是某 XX 銀行 自己的縱向連網，連接某 XX 銀行 各級機構；一是某 XX 銀行 和其他商業(yè)銀行的橫向連網，實現(xiàn)金融系統(tǒng)之間數(shù)據(jù)通信。某 XX 銀行 內聯(lián)網建立在 CNFN 的 Frame relay 網絡之上，使用獨立的地址空間和域名系統(tǒng)。廣域網采用 Frame relay 技術。全國網絡以總行為根節(jié)點，形成樹形結構，各葉節(jié)點是某 XX 銀行 各級機構內部的局域網絡，是廣域網的信息源和終點，同時也是連接各商業(yè)銀行的起點。 XX 銀行 內聯(lián)網整體結構遵循網絡設計三級原則，分成骨干網（核心層）、省域網（交換層）、區(qū)域網（訪問層）。 ? 骨干網 由總行、分行營業(yè)管理部、省會城市中心支行等節(jié)點 構成； ? 省域網 由省會城市中心支行以及省域內各地市中心支行等節(jié)點組成； ? 區(qū)域網 由地市中心支行以及所轄的縣支行等節(jié)點組成。 同時，某 XX 銀行 在總行、?。ㄊ校⒌兀ㄊ校┤齻€層次上與各個商業(yè)銀行以及其他金融機構進行互連 （系統(tǒng)總體機構如下） 同時，網絡系統(tǒng)中的網絡設備以路由器、交換機為主。骨干網上運行 OSPF 路由協(xié)議。 XX 銀行 內聯(lián)網支撐的應用系統(tǒng) 某 XX 銀行 內聯(lián)網上已經或即將運行的主要應用服務系統(tǒng)包括： ? 政務與辦公自動化系統(tǒng)； ? 業(yè)務處理系統(tǒng)； ? 管理信息系統(tǒng)； ? 決策支持系統(tǒng)； ? 多 媒體應用與會議電視系統(tǒng)； ? 信息咨詢服務系統(tǒng)； ? 外匯應用系統(tǒng)； 省域網 省域網區(qū)域網 區(qū)域網 區(qū)域網 區(qū)域網骨干網某人民銀行縱向連網 某人民銀行同商業(yè)銀行及其他金融機構互連 商業(yè)銀行 內 聯(lián) 網 商業(yè)銀行 內 聯(lián) 網 商業(yè)銀行 內 聯(lián) 網 商業(yè)銀行內聯(lián)網 商業(yè)銀行內聯(lián)網 商業(yè)銀行內聯(lián)網 XX 銀行 系統(tǒng)平臺 某 XX 銀行 目前系統(tǒng)平臺主要采用 ? Window NT 系統(tǒng)； ? Unix 系統(tǒng)； ? 數(shù)據(jù)庫系統(tǒng)； 3 XX 銀行 內聯(lián)網安全分析 XX 銀行 內聯(lián)網安全現(xiàn)狀分析 ? 某 XX 銀行 內聯(lián)網骨干網有獨立的 PVC,IP 地址以及域名系統(tǒng)。廣域網基本滿足涉密網保密條件。 ? 某 XX 銀行 和其他商業(yè)銀行以及金融機構連接目前沒有采取網絡安全措施，為了防范來自外部網絡（其他商業(yè)銀行和金融機構）安全威脅，迫切需要進行 XX 銀行 內聯(lián)網防火墻系統(tǒng)基礎建設，保障內部網絡安全。 XX 銀行 內聯(lián)網安全風險分析 當前， XX 銀行 的系統(tǒng)與外部非信任網絡系統(tǒng)之間缺乏完善的安全保護體系。某 XX 銀行 內聯(lián)網各個葉節(jié)點網絡結構如下： 同城網 下級人民銀行 機構 上級人民銀行 機構 有關政府機構 服務器1 復制 服務器 文件 服務器 信貸數(shù)據(jù)庫 服務器 內部Web 服務器 外聯(lián) 服務器1 外聯(lián) 服務器2 工作站1 工作站2 同城商業(yè)銀行1 人民 銀行 機關 局域 網 人民銀行內聯(lián)網(廣域網) ( 同城商業(yè)銀行n 主要應用服務的安全風險 應用服務 系統(tǒng)中各個葉節(jié)點有各種應用服務，這些應用服務提供給 XX 銀行 各級分行或商業(yè)銀行使用。不能防止未經驗證的操作人員利用應用系統(tǒng)的脆弱性來攻擊應用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。而某 XX 銀行 的這些應用系統(tǒng)是某 XX 銀行 內聯(lián)網中最重要的組成部分。 DNS 服務 DNS 是 網絡正常運作的基本元素，它們是由運行專門的或操作系統(tǒng)提供的服務的 Unix 或 NT 主機構成。這些系統(tǒng)很容易成為外部網絡攻擊的目標或跳板。對 DNS 的攻擊通常是對其他遠程主機進行攻擊做準備，如篡改域名解析記錄以欺騙被攻擊的系統(tǒng)，或通過獲取 DNS 的區(qū)域文件而得到進一步入侵的重要信息。著名的域名服務系統(tǒng) BIND 就存在眾多的可以被入侵者利用的漏洞。某 XX 銀行 對外各種應用，特別是基于 URL 的應用依賴于 DNS 系統(tǒng)， DNS 的安全性也是網絡安全關注的焦點。 EMail 由于郵件服務器軟件的眾多廣為人知的安全漏洞，郵件服務器成為 進行遠程攻擊的首選目標之一。如利用公共的郵件服務器進行的郵件欺騙或郵件炸彈的中轉站或引擎；利用 sendmail 的漏洞直接入侵到郵件服務器的主機等。而某 XX 銀行 的內部 Email 系統(tǒng)覆蓋面廣，所以迫切需要使用防火墻來保護 XX 銀行 的內部 Email 系統(tǒng)。 WWW 利用 HTTP 服務器的一些漏洞，特別是在大量使用服務器腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經授權的操作者可以很容易地獲得系統(tǒng)的控制權。在某 XX 銀行 存在各種 WWW 服務，這些服務協(xié)議或多或少存在安全隱患。 FTP 一些 FTP 服務器的缺陷會使服務器很容易 被錯誤的配置，從而導致安全問題，如被匿名用戶上載的木馬程序，下載系統(tǒng)中的重要信息（如口令文件）并導致最終的入侵。有些服務器版本帶有嚴重的錯誤，比如可以使任何人獲得對包括 root 在內的任何帳號的訪問。 網絡中主要系統(tǒng)的安全風險 整個系統(tǒng)中網絡設備主要采用路由器設備，有必要分析這些設備的風險。路由器是某 XX 銀行 內聯(lián)網的核心部件，路由器的安全將直接影響整個網絡的安全。 下面列舉了一些路由器所存在的主要安全風險： ■ 路由器缺省情況下只使用簡單的口令驗證用戶身份，并且遠程TELNET 登錄時以明文傳輸口令。一旦口令泄密 路由器將失去所有的保護能力。 ■ 路由器口令的弱點是沒有計數(shù)器功能，所以每個人都可以不限次數(shù)的嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。 ■ 每個管理員都可能使用相同的口令，因此，路由器對于誰曾經作過什么修改，系統(tǒng)沒有跟蹤審計的能力。 ■ 路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意的攻擊者利用來破壞網絡的路由設置，達到破壞網絡或為攻擊做準備的目的。針對這種情況，必須采取措施，有效防止非法對網絡設備訪問。 ■ TCP/IP 風險：系統(tǒng)采用 TCP/IP 協(xié)議進行通信，而因為 TCP/IP 協(xié)議中存在固有的漏洞，比如：針對 TCP 序號的攻擊， TCP 會話劫持， TCP SYN攻擊等。同時系統(tǒng)的 DNS 采用 UDP 協(xié)議，因為 UDP 協(xié)議是非面向連接的協(xié)議，對系統(tǒng)中的 DNS 等相關應用帶來安全風險。 數(shù)據(jù)庫系統(tǒng)安全分析 數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務。數(shù)據(jù)庫的安全問題，在數(shù)據(jù)庫技術誕生之后就一直存在，并隨著數(shù)據(jù)庫技術的發(fā)展而不斷深化。不法份子利用已有的或者更加先進的技術手段通常對數(shù)據(jù)庫進行偽造數(shù)據(jù)庫中的數(shù)據(jù)、損壞數(shù)據(jù)庫、竊取數(shù)據(jù)庫中的數(shù)據(jù)。如何保證和加強數(shù)據(jù)庫系統(tǒng)的安全性和保密 性對于網絡的正常、安全運行至關重要。 Unix 系統(tǒng)的安全分析 UNIX 系統(tǒng)安全具有如下特征 ： ? 操作系統(tǒng)可靠性：它用于保證系統(tǒng)的完整性，系統(tǒng)處于保護模式下，通過硬件和軟件保證系統(tǒng)操作可靠性。 ? 訪問控制：允許通過改變用戶安全級別、訪問權限，具有統(tǒng)一的訪問控制表。 ? 對象可用：當對象不需要時應該立即清除。 ? 個人身份標識與認證：它主要為了確定身份，如用戶登陸時采用擴展的 DES 算法對口令進行加密。 ? 審計：它要求對使用身份標識和認證的機制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關安全事件進行記錄，以便系統(tǒng)管理 員進行安全跟蹤。 ? 往來文件系統(tǒng)： UNIX 系統(tǒng)提供了分布式文件系統(tǒng)（ DFS）的網絡安全。 將網絡與外部網絡相連接，會使您的網絡遭受潛在的服務中斷、未經授權的入侵以及相當大的破壞。 比如下面的一些安全隱患： ■ “拒絕服務”攻擊 (Denial of Service Attacks): 這些攻擊禁止系統(tǒng)向顧客提供服務，使顧客不能得到某種服務。例如，攻擊可能使用大而無用的流量充斥網絡，導致無法向顧客提供服務。最通常的情況是這種攻擊可能毀壞系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服務時慢的出奇。 ■緩沖區(qū)溢出攻擊 (Buffer Overrun Exploits): 其中包括利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中，從而在它以根的身份運行時，有可能賦予剝削者對您的系統(tǒng)的根訪問權。這也可能導致某種“拒絕服務”攻擊。 ■竊聽和重放攻擊 (Snooping and Replay Attacks): 竊聽攻擊涉及某個對網絡上的兩臺