【文章內(nèi)容簡介】 。辦公網(wǎng)可按各個職能來劃分 VLAN，如將領(lǐng)導(dǎo)所在的網(wǎng)絡(luò)單獨(dú)作為一個 Leader VLAN (LVLAN )，技術(shù)人員劃分為一個VLAN，工作人員劃分為一個 VLAN，而其它機(jī)構(gòu)分別劃作一個 VLAN。其共享服務(wù)器（如 EMAIL 服務(wù)器、DNS 服務(wù)器、WEB 服務(wù)器等）單獨(dú)劃作一個VLAN (MVLAN)。其他服務(wù)器如數(shù)據(jù)庫服務(wù)器劃為 Data VLAN。 辦公網(wǎng)整體安全建議根據(jù)以上的安全風(fēng)險分析、需求分析和某公司的具體情況，建議從以下方面考慮進(jìn)行安全方面的部署：? 終端防護(hù)A. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的企業(yè)級防病毒系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見的計算機(jī)癱瘓、網(wǎng)絡(luò)阻塞等安全問題。B. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的終端安全防護(hù)系統(tǒng)。通過終端安全防護(hù)系統(tǒng)的統(tǒng)一部署，可以某公司安全管理制度提供有利的技術(shù)保障措施，保障終端的系統(tǒng)安全和終端的安全管理。C. 在中心部署身份認(rèn)證登陸系統(tǒng)，終端必須通過身份認(rèn)證才能進(jìn)入，避免非法進(jìn)入。? 邊界的防護(hù)A. 通過防火墻系統(tǒng)的部署，可以根據(jù)不同的安全要求，設(shè)置不同的安全區(qū)域，來限制不同信任度區(qū)域之間的相互訪問，保護(hù)各關(guān)鍵應(yīng)用網(wǎng)絡(luò)安全建設(shè)實(shí)施方案13服務(wù)器系統(tǒng)免受網(wǎng)絡(luò)上的非法訪問和惡意攻擊，可以在服務(wù)器區(qū)的前端增加一臺防火墻設(shè)備。B. 通過入侵檢測系統(tǒng)的部署，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。? 服務(wù)器的防護(hù)A. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的企業(yè)級防病毒系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務(wù)器免受病毒的感染和傳播。這可以解決常見的服務(wù)器癱瘓、信息資產(chǎn)丟失等安全問題，為服務(wù)器病毒防護(hù)提供有效的安全保障。B. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的終端安全防護(hù)系統(tǒng)。通過終端安全防護(hù)系統(tǒng)的統(tǒng)一部署，為服務(wù)器提供訪問控制、系統(tǒng)的安全、補(bǔ)丁的有效管理、和為服務(wù)器的安全管理提供技術(shù)保障措施。C. 服務(wù)器安全加固，對關(guān)鍵服務(wù)器進(jìn)行安全加固，保證服務(wù)器的安全使用和穩(wěn)固。? 系統(tǒng)安全防護(hù)A. 在辦公網(wǎng)系統(tǒng)上部署漏洞掃描系統(tǒng)，可以隨時的對網(wǎng)絡(luò)內(nèi)的所有終端、服務(wù)器、數(shù)據(jù)庫系統(tǒng)進(jìn)行掃描，以發(fā)現(xiàn)安全隱患。B. 在系統(tǒng)當(dāng)中部署安全強(qiáng)審計系統(tǒng)。根據(jù)用戶的安全策略制定詳細(xì)的審計保護(hù)規(guī)則，對整個網(wǎng)絡(luò)和主機(jī)中違反安全策略的行為進(jìn)行阻斷，并向管理中心報警。系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖 1：網(wǎng)絡(luò)安全建設(shè)實(shí)施方案14W E B 服務(wù)器郵件服務(wù)器病毒服務(wù)器I N T E R N E T出口生產(chǎn)系統(tǒng)區(qū)辦公系統(tǒng)區(qū)入侵檢測系統(tǒng)安全審計系統(tǒng)K V M審計服務(wù)器網(wǎng)管工作站舊辦公區(qū)各個樓層交換入侵檢測系統(tǒng)入侵檢測系統(tǒng)公共系統(tǒng)區(qū)入侵檢測系統(tǒng)網(wǎng)絡(luò)管理區(qū)圖 1： 系統(tǒng)整體安全體系結(jié)構(gòu)示意圖 防火墻實(shí)施方案（1） 整體性? 安全防范體系的建立和多層保護(hù)的相互配合；? 實(shí)現(xiàn)技術(shù)、產(chǎn)品選型、質(zhì)量保證與技術(shù)服務(wù)的統(tǒng)一。（2） 先進(jìn)性? 安全技術(shù)先進(jìn)；? 安全產(chǎn)品成熟；? 安全系統(tǒng)技術(shù)生命的周期適度。（3） 可用性? 安全系統(tǒng)本身的可用性；? 安全管理友好，并于其他系統(tǒng)管理的有效集成；? 避免造成網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜；網(wǎng)絡(luò)安全建設(shè)實(shí)施方案15? 盡量降低對原有網(wǎng)絡(luò)系統(tǒng)的性能影響和不影響應(yīng)用業(yè)務(wù)的開展。（4） 擴(kuò)充性? 安全系統(tǒng)能適應(yīng)客戶網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用需求的變化而變化；? 安全系統(tǒng)遵循標(biāo)準(zhǔn)，系統(tǒng)的變化易實(shí)現(xiàn)、易修改、易擴(kuò)充。? 采取核心保護(hù)策略，盡可能的以最小的投資達(dá)到最大的安全防護(hù)。? 采用可以提供集中管理控制的產(chǎn)品，同時要求考慮產(chǎn)品適應(yīng)性可擴(kuò)展性，以適應(yīng)網(wǎng)絡(luò)擴(kuò)展的需要。? 產(chǎn)品在使用上應(yīng)具有友好的用戶界面，使用戶在管理、使用、維護(hù)上盡量簡單、直觀。? 建立層次化的防護(hù)體系和管理體系。從某公司網(wǎng)絡(luò)結(jié)構(gòu)和功能劃分上，可以看出，辦公網(wǎng)中的服務(wù)器區(qū)域是很重要的安全區(qū)域，這些服務(wù)器承載著整個公司全部網(wǎng)絡(luò)功能的需求，對網(wǎng)絡(luò)安全系數(shù)的要求很高，一旦重要服務(wù)器遭到攻擊破壞，將對整個公司的業(yè)務(wù)產(chǎn)生非常大的影響，所以可以在服務(wù)器交換機(jī)與核心交換機(jī)的連接中設(shè)置防火墻設(shè)備，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信，是必不可少的安全防御措施。? 控制從外網(wǎng)區(qū)到安全服務(wù)區(qū)的訪問，確保允許的訪問才能夠進(jìn)行，而其他未經(jīng)過允許的行為全部被禁止；? 限制安全服務(wù)區(qū)對非安全服務(wù)區(qū)的直接訪問；? 防火墻有效記錄區(qū)域之間的訪問日志，為出現(xiàn)安全問題時提供備查資料；具體配置情況如圖 1 所示，在網(wǎng)絡(luò)邊界處部署一臺防火墻作為網(wǎng)絡(luò)系統(tǒng)與Inter 連接的第一道安全防護(hù)，通過防火墻提供的功能來達(dá)到訪問控制的目的；另外，在各個系統(tǒng)區(qū)的出口處也部署一臺防火墻，用來保證各個區(qū)域的安全，制定不同的安全策略，實(shí)現(xiàn)對重要服務(wù)器系統(tǒng)的防護(hù)和訪問控制。網(wǎng)絡(luò)安全建設(shè)實(shí)施方案16針對公司辦公局域網(wǎng)的具體情況，我們建議制定以下的安全策略：? 安全區(qū)域隔離策略由于網(wǎng)絡(luò)安全的整體性要求，為了使網(wǎng)絡(luò)系統(tǒng)達(dá)到一定的安全水平，必須保證對網(wǎng)絡(luò)中各部分都采取了均衡的保護(hù)措施，但對于公司整個辦公網(wǎng)來說都采用相同的手段是不可能也沒有必要的，本辦公網(wǎng)可以采用的方法是根據(jù)網(wǎng)絡(luò)不同部分的重要性劃分為不同的安全區(qū)域，并著重對其中重要的安全區(qū)域進(jìn)行隔離和保護(hù)。建議采用防火墻系統(tǒng)審查和控制不同區(qū)域之間的通信連接，重點(diǎn)是各服務(wù)器區(qū)域與辦公網(wǎng)內(nèi)用戶區(qū)域之間的連接。? 訪問控制策略防火墻被部署后，將根據(jù)實(shí)際應(yīng)用需要定義適當(dāng)?shù)陌踩呗裕槍υ吹刂?、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時間、帶寬等條件的實(shí)現(xiàn)訪問控制，確保不同網(wǎng)絡(luò)區(qū)域之間的授權(quán)、有序訪問，特別是防止互聯(lián)網(wǎng)中非法用戶的訪問或一些惡意的攻擊。例如，服務(wù)器區(qū)域防火墻上可制定如下安全策略： 允許業(yè)務(wù)相關(guān)的用戶區(qū)域主機(jī)訪問本區(qū)域服務(wù)器的特定端口，拒絕其他任何訪問請求，這樣可以保護(hù)服務(wù)器系統(tǒng)不受非法入侵和攻擊； 缺省規(guī)則應(yīng)該是拒絕一切訪問。 本次項(xiàng)目我們將在實(shí)施的過程中，根據(jù)網(wǎng)絡(luò)的真實(shí)環(huán)境和應(yīng)用系統(tǒng)數(shù)據(jù)交互的實(shí)際需要，來制定詳細(xì)的訪問控制策略?；驹瓌t是開放最少端口。作為區(qū)域邊界保護(hù)的準(zhǔn)則，防火墻的訪問控制策略與業(yè)務(wù)的一致性是保證系統(tǒng)訪問控制策略是否得到實(shí)施的關(guān)鍵，因此對防火墻訪問控制策略的定期檢查和調(diào)整是區(qū)域邊界保護(hù)中要注意的問題。? 用戶認(rèn)證和授權(quán)策略選擇一種既方便實(shí)用又具備足夠安全性的用戶認(rèn)證機(jī)制，通過防火墻實(shí)現(xiàn)對網(wǎng)絡(luò)用戶身份的可靠鑒別和訪問授權(quán)管理，防止非法人員盜用合法用戶的網(wǎng)絡(luò)地址來假冒合法用戶訪問關(guān)鍵資源，同時也便于針對實(shí)際用戶進(jìn)行行為審計。網(wǎng)絡(luò)安全建設(shè)實(shí)施方案17? 帶寬管理策略我們可以依據(jù)應(yīng)用需要來限制流量，來調(diào)整鏈路的帶寬利用?？梢栽诜阑饓χ兄苯蛹虞d控制策略，為比較重要的訪問定義可用的最大帶寬和優(yōu)先級，確保為重要的應(yīng)用預(yù)留足夠的帶寬進(jìn)行數(shù)據(jù)交換。我們還可以定義任意兩個網(wǎng)絡(luò)對象之間通信時的最大帶寬。例如，通過防火墻的帶寬管理，可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員等定義進(jìn)行網(wǎng)絡(luò)通信時的最大帶寬和優(yōu)先級，而且?guī)挿峙淇梢允欠謱拥?，例如部門帶寬下面有小組帶寬然后是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。? 日志和審計策略一個安全防護(hù)體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點(diǎn)的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。進(jìn)行信息審計的前提是必須有足夠的多的日志信息。防火墻系統(tǒng)提供了強(qiáng)大的日志功能，可對重要關(guān)鍵資源的使用情況進(jìn)行有效的監(jiān)控，實(shí)現(xiàn)日志的分級管理、自動報表、自動報警功能，用戶可以根據(jù)需要對不同的通訊內(nèi)容記錄不同的日志，包括會話日志（主要描述通訊的時間、源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了那些命令，執(zhí)行了那些操作） 。用戶可以根據(jù)需要記錄不同的日志，從而為日志分析、事后追蹤提供更多的依據(jù)。同時，產(chǎn)生的日志能夠以多種方式導(dǎo)出，有利于網(wǎng)絡(luò)內(nèi)部署的安全集中管理平臺進(jìn)行統(tǒng)一的管理。由于將各個系統(tǒng)按照區(qū)域化分進(jìn)行分別防護(hù)，在總出口處已經(jīng)部署一臺高性能千兆防火墻，根據(jù)流量及應(yīng)用實(shí)際分析，在辦公系統(tǒng)和生產(chǎn)系統(tǒng)處可分別部署一臺千兆防火墻，考慮到部分有可能系統(tǒng)采用 VPN 設(shè)備，所以可以選擇帶VPN 功能模塊的防火墻。產(chǎn)品功能：功能類別 功能項(xiàng) 功能細(xì)項(xiàng)網(wǎng)絡(luò)安全建設(shè)實(shí)施方案18工作模式 路由、透明、混合支持基于流、數(shù)據(jù)包、透明代理的過濾方式。支持對 HTTP、SMTP、POPFTP 等協(xié)議的深度內(nèi)容過濾。支持 URL 過濾支持對移動代碼如 Java applet、ActiveX、VBScript、Jscript、Java script的過濾支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾內(nèi)容過濾動態(tài)端口支持協(xié)議：FTP、RTSP 、SQL*NET 、MMS、RPC(msrpc,dcerpc)、TFTP。對通過的數(shù)據(jù)進(jìn)行在線過濾，查殺郵件正文附件、網(wǎng)頁及下載文件中包含的病毒，病毒庫更新提供快速掃描及完全掃描兩種掃描方式防病毒系統(tǒng)狀態(tài)實(shí)時監(jiān)控基于狀態(tài)檢測的動態(tài)包過濾實(shí)現(xiàn)基于源/目的 IP 地址、源/目的 MAC 地址、源/目的端口、協(xié)議、時間等數(shù)據(jù)包快速過濾支持報文合法性檢查包過濾可實(shí)現(xiàn) IP/MAC 綁定非法報文攻擊：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop 、targaipspoof統(tǒng)計型報文攻擊：Synflood、Icmpflood、Udpflood 、Portscan、ipsweepTopsec 聯(lián)動：可與支持 TOPSEC 協(xié)議的 IDS 設(shè)備聯(lián)動，以提高入侵檢測效率。端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置防御攻擊SYN 代理：對來自定義區(qū)域的 Syn Flood 攻擊行為進(jìn)行阻斷過濾支持使用一次性口令認(rèn)證（OTP）、本地認(rèn)證、雙因子認(rèn)證（SecureID）以及數(shù)字證書（CA）等常用的安全認(rèn)證方式支持使用第三方認(rèn)證如 RADIUS、TACACS/TACACS+ 、LDAP 、域認(rèn)證等安全認(rèn)證方式支持 Session 認(rèn)證、 HTTP 會話認(rèn)證支持認(rèn)證?；罟δ蹵AA 服務(wù)可將認(rèn)證用戶信息加密存放在本地數(shù)據(jù)庫支持雙向 NAT支持動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換支持多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換網(wǎng)絡(luò)安全性NAT支持虛擬服務(wù)器功能支持靜態(tài)路由、動態(tài)路由網(wǎng)絡(luò)適應(yīng)性 路由支持基于源/目的地址、接口、Metric 的策略路由網(wǎng)絡(luò)安全建設(shè)實(shí)施方案19支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。支持 Vlan 路由，能夠在不同的 VLAN 虛接口間實(shí)現(xiàn)路由功能。支持 RIP、OSPF 等路由協(xié)議。支持 IGMP 組播協(xié)議支持 IGMP SNOOPING組播可有效地實(shí)現(xiàn)視頻會議等多媒體應(yīng)用支持與交換機(jī)的 Trunk 接口對接，并且能夠?qū)崿F(xiàn) Vlan 間通過安全設(shè)備傳播路由支持 ，能進(jìn)行 的封裝和解封支持 ISL，能進(jìn)行 ISL 的封裝和解封VLAN在同一個 Vlan 內(nèi)能進(jìn)行二層交換生成樹 支持 生成樹協(xié)議，包括 PVST+及 CST 等協(xié)議。支持 ARP 代理、 ARP 學(xué)習(xí)ARP可設(shè)置靜態(tài) ARP非 IP 協(xié)議 支持對非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。DHCP 支持 DHCP Client、DHCP Relay、DHCP Server支持 ADSL 接入功能，可滿足中小企業(yè)的多種接入需求。接入支持 PPPOE 撥號接入支持網(wǎng)絡(luò)時鐘協(xié)議 SNTP，可以自動根據(jù) NTP 服務(wù)器的時鐘調(diào)整本機(jī)時間其它支持 IPX、NetBEUI 等非 IP 協(xié)議。支持基于標(biāo)準(zhǔn) IKE 協(xié)商的 VPN 通信隧道支持多種 IKE 認(rèn)證方式，如預(yù)共享密鑰，數(shù)字證書等IKE支持 IKE 擴(kuò)展認(rèn)證，如 Radius 認(rèn)證等。支持網(wǎng)關(guān)到網(wǎng)關(guān)、遠(yuǎn)程移動用戶到網(wǎng)關(guān)的 VPN 隧道在具有 SCM 的解決方案中，支持靈活的移動用戶到移動用戶的隧道。解決方案可以和密碼機(jī)產(chǎn)品，遠(yuǎn)程客戶端產(chǎn)品及 VPN 安全管理系統(tǒng)（SCM ）共同組成完整的 VPN 解決方案。支持 3DES、DES、國密辦等加密算法支持標(biāo)準(zhǔn) MDSHA1 認(rèn)證算法算法支持加密卡提供的 MDSHA1 認(rèn)證算法支持 HUBSPOKE 方式支持網(wǎng)狀連接方式工作模式支持分級的樹狀連接方式支持網(wǎng)絡(luò)鄰居（利用 WINS）支持隧道的 NAT 穿越支持對隧道內(nèi)明文的訪問控制VPN其它功能可同時支持明密傳輸支持 Welf、Syslog 等多種日志格式的輸出支持通過第三方軟件來查看日志支持日志分級安全管理 日志支持對接收到的日志進(jìn)行緩沖存儲網(wǎng)絡(luò)安全建設(shè)實(shí)施方案20通過安全審計系統(tǒng)（TAL ），可獲得更詳盡的日志分析和審計功能,并能提供員工上網(wǎng)行為管理功能?？蛇x高級日志審計功能模塊，除接受防火墻日志外還能接受交換機(jī)、路由器、操作系統(tǒng)、應(yīng)用系統(tǒng)和其他安全產(chǎn)品的日志進(jìn)行聯(lián)合分析。支持網(wǎng)絡(luò)接口監(jiān)測、C