【文章內(nèi)容簡介】 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 5 頁 共 72 頁 項(xiàng)目建設(shè)目標(biāo) 項(xiàng)目建設(shè)原則 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 6 頁 共 72 頁 項(xiàng)目建設(shè)說明 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下： 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 7 頁 共 72 頁 第二章 某公司網(wǎng)絡(luò) 安全風(fēng)險(xiǎn)分析 從 某公司網(wǎng)絡(luò) 的實(shí)際情況 來看，我們認(rèn)為應(yīng)該從以下幾個(gè)方面進(jìn)行全面的分析： ? 網(wǎng)絡(luò)層 ? 系統(tǒng)層 ? 應(yīng)用層 ? 防病毒 ? 策略和管理層 下面將分別進(jìn)行詳細(xì)的闡述。 網(wǎng)絡(luò)層的安全分析 網(wǎng)絡(luò)設(shè)備主要包括 某公司網(wǎng)絡(luò) 各節(jié)點(diǎn)上的路由器、交換機(jī)等設(shè)備，如： 路由器、交換機(jī)。網(wǎng)絡(luò)層不僅為 某公司網(wǎng)絡(luò) 提供連接通路和網(wǎng)絡(luò)數(shù)據(jù)交換的連接，而且是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路。由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的 TCP/IP 協(xié)議并非專為安全通訊而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安 全隱患和威脅。整個(gè)網(wǎng)絡(luò)就會(huì)受到來自網(wǎng)絡(luò)外部和內(nèi)部的雙重威脅。 尤其在廣域網(wǎng)中存在著大量的黑客攻擊，他們常常針對(duì) web 服務(wù)器和郵件服務(wù)器作為突破口，進(jìn)行網(wǎng)絡(luò)攻擊和滲透。常見得一些手法如下： IP 欺騙、重放或重演、拒絕服務(wù)攻擊（ SYN FLOOD， PING FLOOD 等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等。黑客可以容易的在 某公司網(wǎng)絡(luò) 出口 進(jìn)出，對(duì)系統(tǒng)進(jìn)行攻擊或非法訪問。 而在 某公司網(wǎng)絡(luò) 內(nèi)部，基本上還沒有嚴(yán)格的防范措施，其中的安全隱患不言而喻。如果加上安全管理上的不夠完善等因素，或者在已有的服務(wù)器與單機(jī)中存在著后 門程序（木馬程序）話，攻擊者就可以很容易地取得網(wǎng)絡(luò)管理員權(quán)限，從而進(jìn)一步控制計(jì)算機(jī)系統(tǒng)，網(wǎng)絡(luò)中大量的數(shù)據(jù)就會(huì)被竊取和破壞。 網(wǎng)絡(luò)中只要一個(gè)地方出現(xiàn)了安全問題，那么整個(gè)網(wǎng)絡(luò)都是不安全的。因此，在 某公司網(wǎng)絡(luò) 出口 處應(yīng)配置應(yīng)用級(jí)防火墻來加強(qiáng)訪問控制，并部署入侵監(jiān)控系統(tǒng)，杜絕可能存在的安全隱患，來保證網(wǎng)絡(luò)安全可靠的正常運(yùn)行。 系統(tǒng)層的安全分析 在任何的網(wǎng)絡(luò)結(jié)構(gòu)中都運(yùn)行著不同的操作系統(tǒng)，如： Windows NT/2020/2020 Server、 HPUNIX、 Solaris、 IBM AIX、 SCOUnix、 Linux 等等，這些系統(tǒng)都或多或少地存在著各種各樣的漏洞。據(jù) IDC 統(tǒng)計(jì) 1000 個(gè)以上的商用操作系統(tǒng)存在安全漏洞，如果這些操作系統(tǒng)沒有進(jìn)行系統(tǒng)的加固和正確的安全配置，而只是按照原來系統(tǒng)的默認(rèn)安裝，這樣的主機(jī)系統(tǒng)是 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 8 頁 共 72 頁 極其不安全的。一名黑客可以 通過 Unicode、緩存溢出、造成死機(jī)等方式進(jìn)行破壞，甚至取得 主機(jī)管理員的權(quán)限。此外，在網(wǎng)絡(luò)中，一些黑客利用系統(tǒng)管理員的疏忽用缺省用戶的權(quán)限和密碼口令就可以輕松地進(jìn)入系統(tǒng)修改權(quán)限，從而控制主機(jī)。 某公司網(wǎng)絡(luò) 中存在一定量的服務(wù)器，如：視頻會(huì)議類或相關(guān)的服務(wù)器、 MCU、網(wǎng)絡(luò)管理 服務(wù)器等等，而這些服務(wù)器都擔(dān)負(fù)著重要的服務(wù)功能，如果這些服務(wù)器（尤其是有大量的數(shù)據(jù)處理的服務(wù)器），一旦癱瘓或者因被人植入后門造成遠(yuǎn)程控制竊取數(shù)據(jù)，后果不堪設(shè)想。為了保證業(yè)務(wù)數(shù)據(jù)的正常流通和安全，需對(duì)這些重要的服務(wù)器進(jìn)行全方位的防護(hù)。 應(yīng)用層的安全分析 某公司網(wǎng)絡(luò) 與 Inter 相連，進(jìn)行著包括 WEB、 FTP、 Email、 DNS 等各種 Inter 應(yīng)用。應(yīng)用系統(tǒng)的安全性主要考慮應(yīng)用系統(tǒng)能與系統(tǒng)層和網(wǎng)絡(luò)層的安全服務(wù)無縫連接。在應(yīng)用層的安全問題，黑客往往抓住一些應(yīng)用服務(wù)的缺陷和弱點(diǎn)來對(duì)其進(jìn)行攻擊的， 比如針對(duì)錯(cuò)誤的 Web 目錄結(jié)構(gòu)、 CGI 腳本缺陷、 Web 服務(wù)器應(yīng)用程序缺陷、為索引的 Web 頁、有缺陷的瀏覽器甚至是利用 Oracle、 SAP、 Peoplesoft 缺省帳戶。 應(yīng)用層的安全威脅還包括對(duì)各種不良網(wǎng)絡(luò)內(nèi)容的訪問，比如內(nèi)網(wǎng)用戶訪問非法（如發(fā)布反動(dòng)言論、宣揚(yáng)法輪功等）或不良（色情、迷信）網(wǎng)站等。有的 Inter 站點(diǎn)上還包含有害的 Java Applet 或 ActiveX 小程序，如果不慎訪問將有可能帶入病毒和木馬程序，甚至有的網(wǎng)頁可以通過一段簡單的代碼直接破壞訪問者計(jì)算機(jī)的數(shù)據(jù)和系統(tǒng)，對(duì)網(wǎng)絡(luò)安全和效率都 將造成極大破壞。 病毒 風(fēng)險(xiǎn)分析 計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅。而隨著網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)速度越來越快，網(wǎng)絡(luò)應(yīng)用也越來越豐富多彩，使得病毒傳播的風(fēng)險(xiǎn)也越來越大，造成的破壞也越來越強(qiáng)。據(jù)ICSA（國際計(jì)算機(jī)安全協(xié)會(huì)）的統(tǒng)計(jì)，目前已經(jīng)有超過 90%的病毒是通過網(wǎng)絡(luò)進(jìn)行傳播的。某公司網(wǎng)絡(luò) 是非常龐大的廣域網(wǎng)，如果某個(gè)用戶感染病毒后，將 Inter 上的病毒帶入網(wǎng)內(nèi)。而近幾年泛濫成災(zāi)的網(wǎng)絡(luò)蠕蟲病毒（如紅色代碼、尼姆達(dá)、沖擊波、振蕩波等）跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進(jìn)行傳播的基于文件的病毒有很大的不同，它 們本身是一個(gè)病毒與黑客工具的結(jié)合體，當(dāng)網(wǎng)絡(luò)當(dāng)中一臺(tái)計(jì)算機(jī)感染蠕蟲病毒后，它會(huì)自動(dòng)的以極快的速度（每秒幾百個(gè)線程）掃描網(wǎng)絡(luò)當(dāng)中其他計(jì)算機(jī) 的安全漏洞，并主動(dòng)的將病毒傳播到那些存在安全漏洞的計(jì)算機(jī)上，只要相關(guān)的安全漏洞沒有通過安裝補(bǔ)丁的方式加以彌補(bǔ)，蠕蟲病毒就會(huì)這樣以幾何級(jí)數(shù)的增長速度在網(wǎng)絡(luò)當(dāng)中傳播，即使計(jì)算機(jī)上安裝了帶有實(shí)時(shí)監(jiān)控功能的防病毒軟件（包括單機(jī)版和網(wǎng)絡(luò)版）對(duì)此也無能為力。蠕蟲病毒的傳播還會(huì)大量占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁堵，形成拒絕服務(wù)式攻擊（ DoS）。 計(jì)算機(jī)病毒同樣會(huì)在某公司網(wǎng)絡(luò)內(nèi)網(wǎng)之間進(jìn)行傳播，造成 總部與各區(qū)域網(wǎng)絡(luò)之間的堵塞，影響業(yè)務(wù)的正常進(jìn)行。 因此，對(duì)于新型的網(wǎng)絡(luò)蠕蟲病毒，必須在網(wǎng)關(guān)處進(jìn)行過濾，防止病毒進(jìn)入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為未來防病毒體系中的重中之重，需要引起 大唐多媒體 的特別重視。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 9 頁 共 72 頁 圖一 ICSA 統(tǒng)計(jì)數(shù)據(jù)： 90%以上是通過 Inter 傳播的 圖二 ICSA 統(tǒng)計(jì)數(shù)據(jù)： Inter 防病毒網(wǎng)關(guān)需求正逐年增加 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 10 頁 共 72 頁 安全 策略 與安全 管理的安全分析 在網(wǎng)絡(luò)安全中安全策略和管理扮演著極其重要的角色，如果沒有制定非常有效的安全策略，沒有進(jìn)行嚴(yán)格的安全管理制度，來控制整個(gè)網(wǎng)絡(luò)的運(yùn)行，那么這 個(gè)網(wǎng)絡(luò)就很可能處在一種混亂的狀態(tài)。因?yàn)闆]有非常好的安全策略，安全產(chǎn)品就無法發(fā)揮其應(yīng)有的作用。如果沒有有效的安全管理，就不會(huì)做到高效的安全控制和緊急事件的響應(yīng) (更加詳細(xì)和周密的安全策略要結(jié)合安全服務(wù)進(jìn)行 )。 管理是網(wǎng)絡(luò)安全中最最重要的部分。責(zé)權(quán)不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。這樣就會(huì)導(dǎo)致：當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的 可控性與可審查性。因此，必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。 建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的網(wǎng)絡(luò)安全及信息安全管理制度，并加以嚴(yán)格管理相結(jié)合。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 11 頁 共 72 頁 第三章 FortiNet 安全 解決方案 上面分析了 某公司網(wǎng)絡(luò) 的網(wǎng)絡(luò)狀況與安全風(fēng)險(xiǎn)， Forti 做為著名的新興安全廠家，以及多年的技術(shù)積累，提供了全面、獨(dú)特、先進(jìn)的解決方案。 狀態(tài)檢測(cè) 包過濾與狀態(tài)檢測(cè) 要介紹狀態(tài)檢測(cè)，得首先介紹包過濾技術(shù)。 包過濾通常安 裝在路由器上，并且大多數(shù)商用路由器都提供了包過濾的功能。包過濾是一種保安機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。網(wǎng)絡(luò)中的應(yīng)用雖然很多，但其最終的傳輸單位都是以數(shù)據(jù)包的形式出現(xiàn)，這種做法主要是因?yàn)榫W(wǎng)絡(luò)要為多個(gè)系統(tǒng)提供共享服務(wù)。例如，文件傳輸時(shí)，必須將文件分割為小的數(shù)據(jù)包，每個(gè)數(shù)據(jù)包單獨(dú)傳輸。每個(gè)數(shù)據(jù)包中除了包含所要傳輸?shù)膬?nèi)容，還包括源地址、目標(biāo)地址。 數(shù)據(jù)包是通過互聯(lián)網(wǎng)絡(luò)中的路由器，從源網(wǎng)絡(luò)到達(dá)目的網(wǎng)絡(luò)的。路由器接收到的數(shù)據(jù)包就知道了該包要去往何處，然后路由器查詢自身的路由表，若有去往目的 的路由，則將該包發(fā)送到下一個(gè)路由器或直接發(fā)往下一個(gè)網(wǎng)段；否則，將該包丟掉。 包過濾技術(shù)可以允許或禁止某些包在網(wǎng)絡(luò)上傳遞，它依據(jù)以下的判斷： ? 將包的目的地址作為判斷 ? 將包的源地址作為判斷 ? 將包的傳送協(xié)議（端口號(hào)）作為判斷。一般，在進(jìn)行包過濾判斷時(shí)一般不關(guān)心包的具體內(nèi)容。包過濾只能讓我們進(jìn)行類似以下情況的操作，如： ? 不讓任何工作站從外部網(wǎng)用 Tel 登錄。 ? 允許任何工作站使用 SMTP 往內(nèi)部網(wǎng)發(fā)電子郵件。 但包過濾不能允許我們進(jìn)行如下的操作，如： ? 允許用戶使用 FTP，同時(shí)還限制用戶只可讀取文件不可寫入文件 。 ? 允許某個(gè)用戶使 Tel 登錄而不允許其他用戶進(jìn)行這種操作。 包過濾的優(yōu)點(diǎn) 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 12 頁 共 72 頁 ? 因?yàn)榘^濾防火墻工作在 IP 和 TCP 層，所以處理包的速度 快； ? 提供透明的服務(wù)，用戶不用改變客戶端程序； ? 適應(yīng)多種網(wǎng)絡(luò)環(huán)境； ? 具有透明接入的功能，很多時(shí)候不需要更改網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)； ? 功能強(qiáng)大，能夠?qū)Ω鞣N應(yīng)用協(xié)議進(jìn)行過濾； ? 針對(duì)協(xié)議能夠做得更加底層。 包過濾的缺點(diǎn) 因?yàn)橹簧婕暗?TCP/IP 層，很難實(shí) 現(xiàn)針對(duì)具體協(xié)議內(nèi)容的過濾， 它提供安全級(jí)別相對(duì)低； 為 了克服包過濾模式明顯的安全性不足的的問題 , 一些包過濾防火墻廠商推出了狀 態(tài)包過濾的概念。在包過濾技術(shù)的基礎(chǔ)上，通過基于上下文的動(dòng)態(tài)包過濾模塊檢查，增強(qiáng)了