【文章內(nèi)容簡介】 rver 上加裝，可以虛擬一個(gè)局域網(wǎng)絡(luò)，當(dāng)中可以虛擬出 NT server， Solaris， CISCO 路 由器，當(dāng)黑客無論來自內(nèi)部或外部使用掃描器探測網(wǎng)絡(luò)時(shí)，就會發(fā)現(xiàn)這些設(shè)備，就會攻擊這些系統(tǒng)，而這些設(shè)備是虛擬的，因而不會被攻破，黑客的行為就會被記錄在案，作為法律的依據(jù)。是一個(gè)很好的追查黑客來源的工具，同時(shí)分散黑客攻擊目標(biāo)，給黑客攻擊網(wǎng)絡(luò)系統(tǒng)添加難度。 泉州電信公司網(wǎng)絡(luò)安全解決方案 10 第三章 防火墻的部署解決方案 一、重點(diǎn)保護(hù)泉州電信關(guān)鍵網(wǎng)段和關(guān)鍵主機(jī) 鑒于泉州電信系統(tǒng)的內(nèi)部網(wǎng)絡(luò)易于受到外部用戶的非法入侵和攻擊，內(nèi)部的關(guān)鍵服務(wù)器97server 與資費(fèi)主機(jī)系統(tǒng)以及資費(fèi)主機(jī)易于遭受內(nèi)部用戶和未安裝外部防火墻時(shí)的外部用戶的 非法入侵和攻擊 (注：以下公司即為泉州電信公司 )，因此建議采用美國 NAI 公司Gauntlet 防火墻 屏蔽關(guān)鍵網(wǎng)段和關(guān)鍵主機(jī)，不允許外部用戶直接訪問公司的內(nèi)部網(wǎng)絡(luò)和內(nèi)部用戶直接訪問關(guān)鍵服務(wù)器 97server 與資費(fèi)主機(jī)系統(tǒng)與資費(fèi)主機(jī)，保證訪問的合法性與網(wǎng)絡(luò)服務(wù)的安全性。 Gauntlet 防火墻的主要功能和優(yōu)點(diǎn)有： ? 基于應(yīng)用層網(wǎng)關(guān)，沒有內(nèi)外網(wǎng)絡(luò)的直接連接，具備比包過濾防火墻更高的安全性。 ? 采用自適應(yīng)代理技術(shù)，可提供包過濾防火墻的高速度。 ? 采用集中式策略管理，在整個(gè)事件管理系統(tǒng)中的事件可相互通風(fēng)。 ? 支持多處理器技術(shù)。 ? 提供對協(xié)議的過濾，如可以禁止 FTP 連接的 Put 命令、 cd 命令、 rm 命令等。 ? 信息隱藏，應(yīng)用網(wǎng)關(guān)為外部連接提供代理。 ? 簡化靈活的過濾規(guī)則，路由器只需通過到達(dá)應(yīng)用網(wǎng)關(guān)的包并拒絕其余的包通過。 ? 支持一個(gè)地點(diǎn)管理多臺防火墻，各防火墻可相互配合，具有主動防御的能力。 ? 多個(gè)防火墻之間可形成 GVPN，為將來開發(fā)的 Intra 建立可信賴的連接。 ? 節(jié)省費(fèi)用，第三方的認(rèn)證設(shè)備 (軟件或硬件 )只需安裝在應(yīng)用網(wǎng)關(guān)上。 ? 支持各種主流數(shù)據(jù)庫，如 Oracel,Sybase,SQL 等。 ? 內(nèi)容安全性可保護(hù)系統(tǒng)數(shù)據(jù)免受 Inter 病毒 、惡意 Java和 ActiveX 代碼的威脅。 ? 健壯的認(rèn)證和日志。防火墻能夠記錄所有的網(wǎng)絡(luò)連接和連接企圖，日志能夠顯示出源地址、目的地址、時(shí)間和所用的協(xié)議，而且防火墻能夠預(yù)先設(shè)定一個(gè)緊急情況的觸發(fā)條件，條件發(fā)生時(shí)，防火墻會發(fā)出一個(gè)警報(bào)給安全維護(hù)人員或網(wǎng)絡(luò)管理系統(tǒng)。 可以看出， Gauntlet 防火墻的安全特性遠(yuǎn)比其他類型的防火墻高，能有效地防止外來的入侵，控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包，提供使用和流量的日志和審計(jì)，隱藏內(nèi)部 IP 地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)，提供 VPN 功能等，但是也有防火墻自身的局限性：不能提供完全的網(wǎng)絡(luò)安 全性，如不能停止所有外部入侵，不能終止有經(jīng)驗(yàn)的黑客， 因此，系統(tǒng)還應(yīng)該具備防病毒和防黑客的功能。 二、未安裝防火墻之前的泉州電信公司的網(wǎng)絡(luò)情況。 在未安裝防火墻之前，公司的內(nèi)部網(wǎng)絡(luò)和關(guān)鍵主機(jī) 97server 與資費(fèi)主機(jī)系統(tǒng)與資費(fèi)主機(jī)系統(tǒng)直接暴露在黑客和病毒的攻擊之下，具有相當(dāng)?shù)奈ｋU(xiǎn)性。不能阻斷外部互聯(lián)網(wǎng)用戶的泉州電信公司網(wǎng)絡(luò)安全解決方案 11 惡意訪問和攻擊，同時(shí)暴露泉州電信公司內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，不能阻斷內(nèi)部網(wǎng)絡(luò)用戶中有黑客傾向的員工對內(nèi)部網(wǎng)絡(luò)內(nèi)的關(guān)鍵服務(wù)器 97server 與資費(fèi)主機(jī)系統(tǒng)與資費(fèi)主機(jī)系統(tǒng)的惡意訪問或越權(quán)訪問以及對該關(guān)鍵服務(wù)器的攻 擊；公司只有有限的公網(wǎng) IP 地址，不能使公司員工同時(shí)上網(wǎng)，不能隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，不能拒絕非授權(quán)的訪問，如果有單獨(dú)的對外公布的機(jī)器，同樣不能得到有效的保護(hù)，不能對外僅公布 HTTP、 SMTP、 POP DNS 等服務(wù)，同時(shí)不能對FTP 等其它額外的服務(wù)做出禁止，不能對 HTTP 服務(wù)本身做出進(jìn)一步限制。在公司內(nèi)部網(wǎng)絡(luò)和關(guān)鍵主機(jī) 97server 與資費(fèi)主機(jī)系統(tǒng)或?qū)ν夤荚L問的機(jī)器在受到攻擊時(shí)不能提供受攻擊時(shí)的報(bào)警或比較詳細(xì)的日志。不能限制外部用戶對內(nèi)部的非法訪問。同時(shí)我們根據(jù)對泉州電信的拓?fù)鋱D分析所知，同樣在未安裝防火墻之前 對專用網(wǎng)的用戶 (DDN 用戶、 E1 用戶、省局WAN 用戶、市話網(wǎng)用戶、 ATM 用戶 )不能作到防患，不能禁止專用網(wǎng)另一端用戶的非授權(quán)訪問和攻擊。 我們下面看一下泉州電信安裝防火墻之前的拓?fù)鋱D。（大致原理圖） 泉州電信公司網(wǎng)絡(luò)安全解決方案 12 三、防火墻的安裝平臺要求 如果是 For NT,可以采用高性能 Intel X86 服務(wù)器，每臺 Guantlet 防火墻的硬件平臺的基本配置如下： PIII500 以上 CPU,128Mb或 256Mb 內(nèi)存， 2 到 3 塊網(wǎng)卡，最好每塊網(wǎng)卡不同類型 ，便于區(qū)分不同的網(wǎng)段， 2G 左右硬盤（如流量大的話，需加大硬盤）， VGA 顯卡 (800*600)分辨率 (4M以上 )。 如果是 Gauntlet For Solaris ,可以采用 Sun Sparc10 以上工作站 ,SPARC 或 UltraSPARC 系統(tǒng)， 128Mb 或 256Mb 以上內(nèi)存， 2GB 硬盤（如流量大的話，需加大硬盤）。 如果采用 NAI 公司的硬件防火墻 EPpliancer 的話，可以采用 EPpliance320，其配置如下： Sun Netra1， SPARC360M CPU， 320M 內(nèi)存， 9G scsi 硬盤， 6 接口網(wǎng)卡。 因泉州電信整個(gè)網(wǎng)絡(luò)架構(gòu)在高速網(wǎng)絡(luò)上，普通防火墻不能提供接口，我們建議在高速網(wǎng)絡(luò)處使用 NAI 公司針對千兆網(wǎng)絡(luò)而設(shè)計(jì)的千兆級防火墻 PGP 1000 eppliance ： – 4 440 MHz Sun Sparc processors – 4 GB RAM – 1 VPN Cryptographic accelerator – 2 Gigabit Ether Adapters – 1 4 port 10/100 Ether Adapter – 1 built in Ether port – 3 N+1 Redundant Power Supplies 四、 GauntLet 防火墻的部署 根據(jù)泉州電信公司網(wǎng)絡(luò)撲圖的結(jié)構(gòu)圖可知，用戶可以在 5000 50002 交換機(jī)與通過ADSL 與外部相連的地方部署 NAI Gauntlet 防火墻；可以在 AS5300與 50002 交換機(jī)相連的地方部署 NAI Gauntlet 防火墻；可以在 5000 50002 交換機(jī)與 CISCO7507 CISCO75072之間部署 PGP EPpliance 1000 硬件防火墻；可以在 5000 交換機(jī)與 CISCO 2511 之間部署 NAI Gauntlet 防火墻；可以在 97 主機(jī)群和資費(fèi)主機(jī)群關(guān)鍵服務(wù)器之前部署 NAI Gauntlet 防火墻?？梢赃_(dá)到對泉州電信網(wǎng)絡(luò)內(nèi)部的各個(gè)子網(wǎng)的安全防護(hù)和對九七主機(jī)群和資費(fèi)主機(jī)群等關(guān)鍵服務(wù)器的安全防護(hù)?？梢詣討B(tài)隱藏上網(wǎng)用戶的 IP 地址，隱藏泉州電信內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，共享有限的公網(wǎng)地址，做到所有內(nèi)部員工均可以利用互連網(wǎng)來增進(jìn)交流，拓展知識和業(yè)務(wù)的開展，對從內(nèi)部網(wǎng)到 Inter 開通允許的 HTTP、 POP SMTP、 FTP、 TELNET、 DNS、 OICQ、 IRC、 REALPLAY等 有用或與業(yè)務(wù)相關(guān)的服務(wù)，否則不讓通過多余的服務(wù)。同時(shí)不對 Inter 外部網(wǎng)開通對內(nèi)部網(wǎng)訪問權(quán)限。如果泉州電信有需要對外部互連網(wǎng)提供服務(wù)的機(jī)器的話，將提供對外服務(wù)的機(jī)器安裝在防火墻的?；饏^(qū)，僅允許外部互連網(wǎng)網(wǎng)對?；饏^(qū)的機(jī)器做 HTTP、 SMTP、 POP DNS等必須的服務(wù) ,禁止其它多余的服務(wù)，當(dāng)然內(nèi)部員工對?；饏^(qū)也具有這些功能；對違反泉州電信公司網(wǎng)絡(luò)安全解決方案 13 泉州電信公司網(wǎng)絡(luò)安全解決方案 14 訪問策略的請求和對內(nèi)部網(wǎng)絡(luò)和?；饏^(qū)網(wǎng)絡(luò)的攻擊，在防火墻上設(shè)置 Email 報(bào)警和日志記載；對專用網(wǎng)接入處和內(nèi)部網(wǎng)相連的 防火墻配置為允許對專用網(wǎng)另一端的訪問，同時(shí)開通所必須的通訊端口號，比如和銀行相連的地方可能是電話代收費(fèi)項(xiàng)目，開通雙方所需的通訊端口號，禁止其它無關(guān)的服務(wù)；去省局的 WAN 以及去市話網(wǎng)同樣開通雙方所必須的通訊端口，禁止其它一切與業(yè)務(wù)無關(guān)的通訊端口號 （ Gauntlet防火墻的工作方式為除非被允許，否則被禁止），特別需要注意的是僅開通專用網(wǎng)另一端對電信的中心網(wǎng)絡(luò)所必須的服務(wù)，無關(guān)的服務(wù)一律禁止； 同時(shí)對從專用網(wǎng)來的用戶訪問內(nèi)部網(wǎng)時(shí)如有必要，須經(jīng)過授權(quán)認(rèn)證。同樣去數(shù)據(jù)局的 Guantlet 防火墻配置為雙方所必須的服務(wù)或通 訊端口號，禁止與業(yè)務(wù)無關(guān)的服務(wù)。在 97 主機(jī)群和資費(fèi)主機(jī)群前的 Gauntlet 配置為開通內(nèi)部網(wǎng)用戶對該服務(wù)器所必須的服務(wù)，關(guān)閉與業(yè)務(wù)無關(guān)的服務(wù)，如有必要，內(nèi)部網(wǎng)絡(luò)用戶或經(jīng)授權(quán)的外部用戶訪問該服務(wù)器時(shí)需要經(jīng)過認(rèn)證。在和省局相連的縱向網(wǎng) WAN 即 CISCO 7507 之后部署 NAI Gauntlet 防火墻，防止來自省局員工或其它地市分局的電信職工通過九七縱向網(wǎng)絡(luò)入侵和攻擊 97 主機(jī)群。當(dāng)然如果認(rèn)為省局是信任網(wǎng)絡(luò)也可以不安裝 NAI Gauntlet 防火墻。 泉州電信公司網(wǎng)絡(luò)安全解決方案 15 第四章 個(gè)人電腦安全與數(shù)據(jù)加密部署方案 一、方案描述 在商 業(yè)秘密領(lǐng)域，每個(gè)重要機(jī)構(gòu)都將擁有自己的計(jì)算機(jī)網(wǎng)絡(luò)，他們不希望自己在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被一些黑客進(jìn)行非法的篡改，由于信道的開放性，一個(gè)成功地對信道進(jìn)行竊聽的入侵者將能再不被覺察的情況下，對電子郵件的信息進(jìn)行監(jiān)聽，并可能獲得極為重要的信息。同時(shí)，在 Inter 技術(shù)發(fā)展迅速的今天，黑客技術(shù)隨之迅速發(fā)展，甚至有道高一尺，魔高一丈的味道，個(gè)人電腦只要連上 Inter，就不可避免地遇到遭黑客及不法分子襲擊的風(fēng)險(xiǎn)。為了保護(hù)個(gè)人電腦的安全，必須為個(gè)人用戶安裝個(gè)人防火墻，另外，為了確保公開信道上的數(shù)據(jù)安全，必須在通道上 采用加密數(shù)據(jù)方式的方式，當(dāng)發(fā)送方線路終端發(fā)送數(shù)據(jù)時(shí)，通過一定的加密算法和密鑰協(xié)商方案，將需要發(fā)送的數(shù)據(jù)進(jìn)行加密，然后在公開的信道上進(jìn)行傳輸。接受方接受數(shù)據(jù)是通過一定的解密算法，對已加密的數(shù)據(jù)進(jìn)行解密，進(jìn)而獲得明文。 為了簡便、快速、有效的保護(hù)泉州電信公司用戶的個(gè)人電腦安全，桌面電子郵件及文件的加密，我們采用 NAI 的 PGP Desktop 軟件。 PGP Desktop 套件包含有郵件加密、文件加密、磁盤加密、 VPN 客戶端、個(gè)人防火墻、入侵監(jiān)測等功能。這些功能可以有效的保護(hù)個(gè)人電腦不受不法分子的侵襲，保護(hù)個(gè)人數(shù)據(jù)的 安全。 PGP 僅用鼠標(biāo)就可完成全部的加密、解密、簽名與身份驗(yàn)證全過程；支持任何形式的文件，包括文本、電子表格、圖形及音視頻文件；支持流行的軟件包，如 Claris Emailer MS Exchange MS outlook, Netscape Communicater 和 QUALCOMM Eodora 等，并與之集成。支持 Win95/NT/2020， Macintosh 平臺。它通過對電子信函、聯(lián)機(jī)事務(wù)以有數(shù)據(jù)文件進(jìn)行加密，使得只有指定的收件人才能對共內(nèi)容進(jìn)行解密，從而使用戶的數(shù)據(jù)信息得到保護(hù)。 PGP 還添加了其 它安全性，它結(jié)合了檢查原作者以及文檔完整性的強(qiáng)大數(shù)字簽名能力。 PGP 幾乎支持現(xiàn)有的所有常用的電子郵件和任何文檔文件。因此，有了用于信息完整性，數(shù)據(jù)防護(hù)，支持禁止否認(rèn)以及關(guān)心安全性的用戶基于強(qiáng)鑒定的 PGP的保護(hù)，用戶可以放心的在 Inter 上沖浪、學(xué)習(xí)，并在網(wǎng)絡(luò)上安全的傳輸數(shù)據(jù)。 PGP 桌面及郵件加密采用了公鑰體制，即用戶利用公鑰加密，用私鑰解密，公鑰公開，用戶保留私鑰。為了更好的管理用戶公鑰及檢索公鑰，必須建立公鑰管理服務(wù)器，我們采用 NAI 的 PGP Keyserver 來做公鑰管理。在泉州電信公司個(gè)人用戶 網(wǎng)絡(luò)中建立一臺 PGP Keyserver 來管理所有 PGP Desktop 用戶的公鑰。 二、 PGP Desktop 功能簡介： 大部分計(jì)算機(jī)數(shù)據(jù)由于受到桌面上或來自 LAN、 WAN 和 Inter 的內(nèi)部襲擊而被竊取。PGPdisk 通過提供可用的最高級磁盤保護(hù)安全措施，保護(hù)您的文件免受不法之徒的入侵，從而排除保密數(shù)據(jù)被公開的危險(xiǎn)。 PGPdisk 利用其強(qiáng)大的加密能力阻止入侵者突擊探您的文件。 PGPdisk 易于安裝和操作，是保護(hù)數(shù)據(jù)安全、可靠和避免被他人竊取的明智選擇。 泉州電信公司網(wǎng)絡(luò)安全解決方案 16 高級結(jié)構(gòu) 基于卷 的結(jié)構(gòu) PGPdisk 使用第二代磁盤安全結(jié)構(gòu)，在卷級而不是單個(gè)文件一級操作?；诰淼慕Y(jié)構(gòu)和基于文件的系統(tǒng)不同，它在加密和解密數(shù)據(jù)時(shí)具有更強(qiáng)的安全性、更高的性能和更好的可用性。 強(qiáng)大的安全特性 算法加密 PGPdisk 將用于磁盤數(shù)據(jù)加密的 CAST 算法和密碼短語安全所用的 SHA 相結(jié)合，提供可用的功能最強(qiáng)大的算法。 超級安全卷 (黑箱 技術(shù) )PGPdisk 基于卷的結(jié)構(gòu)創(chuàng)建一個(gè)虛擬黑箱，隱藏文件全部信息的存在，包括姓名、主題信息和所有權(quán)標(biāo)識。 操作系統(tǒng)駐留安全 只有 PGPdisk 能夠只在操作系統(tǒng)級而不是文件級解密，使您能夠僅對需要解密的文件逐漸解密，這樣就使非立即使用的文件避免遭到破壞。 自動休眠和拆卸 當(dāng)您的計(jì)算機(jī)處于休眠方式或在事先指定的一段時(shí)間內(nèi)空閑時(shí)，PGPdisk 自動卸下磁盤。 虛擬內(nèi)存保護(hù)措施 PGPdisk 總是從內(nèi)存中清