信息安全方案设计的基本原则/网络信息系统的安全设计方案_小白攻防笔记

信息安全方案设计的基本原则/网络信息系统的安全设计方案_小白攻防笔记

《网络信息系统的安全设计方案》由会员分享，可在线阅读，更多相关《网络信息系统的安全设计方案（15页珍藏版）》请在人人文库网上搜索。

1 网络信息系统的安全设计方案 一 、 常用的 网络信息系统 安全技术 面对网络信息安全的诸多问题，我们采取了多种的防范措施。 1、防火墙 目前出现的新技术类型主要有以下几种状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和其他一些新技术是未来防火墙的趋势。 2、认证 目前 ,常用的身份识别技术主要是基于 鉴别、授权和管理 (系统。 in 网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户或服务器模式。它包含有关用户的专门简档 , 2 如 ,用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。华为、思科等厂商都有使用 术的产品。 3、虚拟专用网 随着商务的发展 ,办公形式的改变 , 分支机构之间的通信有很大需求 ,如果使用公用的互联网络来进行通信 ,而不是架设专用线路 ,这样 ,就可以显著降低使用成本。 虚拟专用网是解决这一问题的方法。 立一条通过公众网络的逻辑上的专用连接 ,使得用户在异地访问内部网络时 ,能够和在本地访问一样的资源 ,同时 ,不用担心泄密的问题。采用 议的产品是市场的主流和标准 , 有相当多的厂商都推出了相应产品。

3 4、入侵检测和集中网管 入侵检测 ( 对入侵行为的发觉 ,是一种增强系统安全的有效方法 ,能检测出系统中违背系统安全性规则或者威胁到系统安全的活动。目前 ,入侵检测系统的产品很多 ,仅国内的就有东软、海信、联想等十 几种 ;集中网管主要体现在对网管的集中上 ,网管集中的实现方式主要包括存放网管系统的物理平面集中和通过综合集中网管实现对不同厂商网管系统的集中管控。大唐、朗讯、华勤等厂商各自有不同的集中网管产品上市。 4 二 、 网络信息系统的 安全设计方案 5 网出口 外网出口采用防火墙。支持双机热备功能，核心交换机通过两根电缆连到防火墙上，防火墙通过两台 2 层交换机分别接入电信线路和网通线路。当出口设备开启双机热备后，即使其中一台防火墙出问题，另外一台防火墙也能正常保证外网的使用，不会出现网络中断的情况。 心设备 作为网络的核心，要有很高的稳定性，瘫痪一分钟都会带来严重的后果，针对这个因素，我们将两台全千兆核心交换机采用双机热备 的方式，上联到防火墙，并下联到办公网络。 960系列交换机 具有 240线速三层交换包转发率达到 96 是标准三层无阻塞交换机 为所有的端口提供 多层交换能力和线速的路由转发能力。

同时 具有高性能、低成本等主要特点。而其 强大的处理能力是构建可靠、稳定、高速的络平台的重要保障。同时 具有高性能、低成本等主要特点。960支持 特有的 止包括 P 欺骗、 P 欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的 击等。 入设备 接入交换机作为楼层网络的小型网关设备上连至上级交换机，需要考虑交换机能提供的 网络安全性 以及设备的 处理能力 。 6 我们所采用的接入交换机可以支持划分 口保护、 能、广播 /组播风暴控制等功能。同时应具备扩展性。 达到可根据需要灵活地配置网络。交换机能与所有的以太网、快速以太网设备相连接，保护用户已有的网络投资。可在工作组之间或企业内部提供高 带宽、高性能连接，同时还能增强服务器群的容量，让用户能更快速存取整个网络资源。可以缓解因为网络带宽不足及用户迅速增长所造成的网络传输瓶颈，并且投资少，管理简单。 问控制 我们认为采用 网方式，可实现不同部门、不同应用系统之间进行隔离，实现对跨系统、跨部门的访问控制。其本身已经能够提供的安全机制，可保证访问控制的安全。采用现组网，按照各楼层或各部门，实现 划分。 所有的部门系统全部二层隔离，同一个汇聚层设备下的单位需要进行互通，则在核心交换机上终结 进行三层互通，如果是不同的汇聚层设备下的单位需要互通，则需要经过汇聚交换机上送到核心交换机上，通过配置的 路由进行三层转发，实现受控互通。

机热备实现方案 对于集团内网的组网方式，我们规划了 机热备方案： 让我们来看看双机热备的工作 7 1 如上图所示，正常情况下，左边核心交换机优先级高于右边核心交换机，所以左侧核心交换机处于 态，响应所有对虚拟 图中的 请求，右侧核心交换机处于 态，不会响应任 何关于虚拟 请求，但是右侧交换机实时关注着从 跳线发来的状态包。 很明显，现在所有汇聚交换机都会将数据包发送至左侧交机。 左侧交换机作为线路正常时的主交换机。右侧交换机只关注 此时，办公网交换机到左侧核心交换机的线路若发生故障，或左侧核心交换机的发生故障。如下图： 8 2 如果是汇聚交换机到核心交换机的线路产生故障，此时左侧核心交换机将会发现所连接端口发生故障，左侧交换机将会通过跳线通知右侧交换机，告之关于 状态变化，此时， 右侧核心交换机将会作为主核心交换机，并相应并处理来自二层汇聚交换机的所有数据包。 如果是左侧核心交换机产生故障，右侧交换机收不到心跳线传来的数据，那么它会认为左侧交换机已经无法正常工作，自己切换成为 态，处理来自所有汇聚交换机的数据包。 从左侧核心设备发现线路故障到右侧核心设备变为主交换机，或者右侧核心设备发现左侧设备产生故障无法工作而自己变为主交换机，期间耗时不到 2 秒钟，对正在使用网络的用户而言，完全感觉不到发生了什么故障。

这样就能保证整个网络骨干层7*24 小时的无故障运行了。 如果线路恢复正 常或左侧核心交换机的故障排查解决完毕能够正常工作，左侧交换机同样可以发现其线路所连接的端口恢 9 复正常，而通知右侧核心设备，同时自己变为主交换机，左侧核心交换机在故障处理完毕后能正常工作同样会通知右侧核心交换机，自己变为主交换机。 护 骗类）病毒可谓是现在最普遍的网络危害，一具用户感染病毒就可能危害到整个网络。 欺骗类病毒目前可以分为 3 种类型： 1、中毒机器不停发送“我是网关”的 息，试图来欺骗其他 他们将自己看作网关，如图中的 口下的 可以通过这种类型的 毒让 认为网关是 。 1 9 2 . 1 6 8 . 4 3 . 2 5 40 0 - E 0 - 0 F - 2 7 - 9 6 - D 0I P ： 1 9 2 . 1 6 8 . 4 3 . 9 9M A C ： 0 0 - 0 F - B 0 - 7 F - 3 8 - 8 2无 网 关 I P ： 1 9 2 . 1 6 8 . 4 3 . 1 0 0M A C ： 0 0 - E 0 - 0 F - 2 6 - 2 2 - 3 0网 关 ： 1 9 2 . 1 6 8 . 4 3 . 2 5 4P C A P C 欺 骗 源 被 欺 骗 者待 测 设 备F 0 / 1 F 0 / 1 0F 0 / 2 4L o o p b a c k ： 1 . 1 . 1 . 12、中毒机器不停的变换自己的 扰乱网关设备的 图让网关看到的所有的 是自己，这样其他用户的 上图中， 可以不停的变换自己的 样网关就会被欺骗认为 是 ， 当然就不能被网关识别了。

3、中毒机器将自己的 址修改成交换机的下一跳网络设 10 备的 址，试图让交换机的 发生紊乱，让交换机从错误的端口发送出数 据包，如上图中， 会将自己的 址修改成网关的 址 00样交换机在 和4 上都学习到这个地址， 就乱了 毒，但是同属于欺骗类病毒。 目前大部分厂家都是通过绑定 口的方式来保证安全，但是这样的方式实现起来麻烦（要一条一条的把绑定信息写进去），如果增加了新设备或者某台设备更换了端口或者网卡，如果不及时通知网络管理员进行修改，就没有办法上网，费时费力。 针对这种情况，我们设计了一套较完善的 护方式。 在端口下过滤 文，防止冒充网关 。既然我们知道交换机的 4 口上接的是网关，那么 到 3 口都不可能发送出“我是网关”的 息，所以我们可以在这些端口下过滤此类报文。 交换机命令（需要两层半交换机， 2126 以上设备） ： ，交换机可阻止其下端口发送“我是网关”类的 骗报文 在接口下配置 能，防 描攻击。 如果中毒机器不停变换自己的 么他在短时间内发送的 息是非常多 11 的，我们可以通过设置 数器 的方式来进行管理，在一个时间单位内，如果某个设备发送的 量超过了我们设置的阀值，那么我们将过滤这台设备的 段时间，这个时间段内这台设备发送任何信息我们的交换机都不进行转发。

交换机命令（需要两层半交换机，既 2126 以上设备）： /在接口下启用 滤功能 ！ /以 5 秒钟为一个统计周期 0 /将攻击主机隔离 60 秒 00 /一个统计周期超过 100 个 文，就进行隔离 /在全局下启用过滤功能 一旦交换机 端口下有 5 秒内发送的 文超过100 个，交换机将在 60 秒内禁止此 过。 免费发放 文，纠正主机错误的网关 。 对于网关类的设备一般是不主动发送 文的，通常它都是被动响应下面的 求，因此我们也可以让网关主动发送 动矫正下面 错误。 交换机命令（需要三层交换机或者路由器） /启用免费发放 文的功能 12 0 /发放 文的间隔 ip no ip ip no ip 样每 30 秒网关可以主动矫正下面 错误。 将网关的 址、端口、以及 行绑定，防止 骗。 交换机命令（两层设备即可） 4 /保证网关的 的 址只能出现在 4 上 将交换机下联口全部开启端口保护，保证用户只能和上联口互通，和其他用户之间无法互通。 交换机命令（两层设备即可） 13 根据上面提到的 4 种防护 骗的机制原理，我们可以进行组合，设置多种全网阻断 骗的拓扑： 首先通过 分隔离广播域，让 会在同 1 个 外 我们可以在接入层采用 两层 设备 换机，开启端口保护，汇聚层采用 三层 交换机 启 护机制。

此类方法可以保证： 1、用户之间发送“我是网关”的 骗（类型 1 欺骗）信息由于接入交换机的端口保护机制，无法传播到其他用户的端口上。 2、用户发送类型 2 欺骗的信息由于汇聚交换机的 护，在汇聚层上就被阻挡掉，无法欺骗网关设备 此类方法的缺点就是同个交换机且在同个 此我们可以只对不需要产生直接互相通信的两台用户之间开启端口保护，其他不开，或者是采 用结合软件的办法，电脑上安装 火墙，这样就可以不开启端口保护了。结合软件 火墙和三层交换机的 能，也是一种非常实用有效防止 击的方法。 全制度 任何的措施都不可能解决所有的网络安全问题，也就是“网络没有绝对的安全，没有绝对的网络安全”。我们在采取安全控制措施后，在加强了安全性、可靠性的同时，还需要通过制度和行政手段来进行干预，比如发文强制统一安装网络防病毒软件，因 14 为如果在一个网络里如果有机器没装防病毒产品或者装的是单机版产品，势必会给整个单位网络带来不小影响，在出了 问题的时候没有一个统一的解决方案，反而会让他们成为“漏网之鱼”。没有那个单机版用户能保证自己每天都及时做病毒码升级，而且现在装的单机版无非就是瑞星，金山， 360 之类的产品，这些产品相对于卡巴斯基这类统一部署的防病毒产品来说还是有一定差距的，像最近的好多单位网络瘫痪都是因为网络里有些机器装了这类软件导致的，而装有统一部署的防病毒的基本上没有问题。

还有一种情况普遍，就是网络存储设备的使用，经常会有用户会因为 U 盘携带病毒而使机器出现问题，如果有一个好的管理制度来做些约束，定期做些关于网络安全方面的培训，使每个人都 知道网络安全问题的重要性也很必要。 三 、 网络信息系统的 安全 预算方案 产品名称 型号 单价 单位 数量 价格 核心交换机 2 路由器 锐捷网络 80000 2 防火墙 思科 8000 2 服务器 戴尔 710 21800 3 65400 汇聚层交换机 10 二层交换机 10 501 网络机柜 奥科 130 380 49400 水晶头 30000 6000 网线 50 1065 信息模块 20 6500 配线架 安普 类非屏蔽 24口配线架 2 620 501 15 总造价 =材料 +A+B+C+D； A（系统设计费） =材料总价 *3%； B（施工督导费） =材料总价 *5%； C（安装调试费） =材料总价 *10%； D（辅材费用） =材料总价 *5%。

E（税收费） =材料总价 *双绞线施工预算内损耗 5%。 共： + *3%+ *5%+ *10%+ *5%+ *= 元 共： 元 光纤 单模 25 1000 25000 光纤 多模 16 500 8000 200 100 20000 对 110打线工具 对 110打线工具 (200 光纤收发器 天为电信 光纤收发器 100 150 15000 跳线 模 ) 100 40 4000 管、转角、软管、胶布、线槽、打线嵌、螺钉等、成品跳线、机柜等其它 溶纤费 5000 总计

~

网络安全学习，我们一起交流

~