合理规划:构建网络整体安全方案
添加时间: 2008-3-6 16:11:20 作者: 网络安全 阅读次数:55 来源: http://www.d9soft.com
整体的安全方案分成技术方案、服务方案以及支持方案三部分。
一、技术解决方案
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。
1、防火墙
安装位置:局域网与路由器之间;WWW服务器与托管机房局域网之间;
局域网防火墙作用:
(1) 实现单向访问,允许局域网用户访问INTERNET资源,但是严格限制INTERNET用户对局域网资源的访问;
(2) 通过防火墙,将整个局域网划分INTERNET,DMZ区,内网访问区这三个逻辑上分开的区域,有利于对整个网络进行管理;
(3)局域网所有工作站和服务器处于防火墙地整体防护之下,只要通过防火墙设置的修改,就能有限绝大部分防止来自INTERNET上的攻击,网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞;
(4)通过防火墙的过滤规则,实现端口级控制,限制局域网用户对INTERNET的访问;
(5)进行流量控制,确保重要业务对流量的要求;
(6)通过过滤规则,以时间为控制要素,限制大流量网络应用在上班时间的使用。
托管机房防火墙的作用:
(7) 通过防火墙的过滤规则,限制INTERNET用户对WWW服务器的访问,将访问权限控制在最小的限度,在这种情况下,网络管理员可以忽略服务器系统的安全漏洞,只需要关注WWW应用服务软件的安全漏洞;
(8)通过过滤规则,对远程更新的时间、来源(通过IP地址)进行限制。
2、入侵检测
安装位置:局域网DMZ区以及托管机房服务器区;
IDS的作用:
(1) 作为旁路设备,监控网络中的信息,统计并记录网络中的异常主机以及异常连接;
(2)中断异常连接;
(3)通过联动机制,向防火墙发送指令,在限定的时间内对特定的IP地址实施封堵。
3、网络防病毒软件控制中心以及客户端软件
安装位置:局域网防病毒服务器以及各个终端
防病毒服务器作用:
(1) 作为防病毒软件的控制中心,及时通过INTERNET更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件;
(2)记录各个终端的病毒库升级情况;
(3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。防病毒客户端软件的作用:
(4) 对本机的内存、文件的读写进行监控,根据预定的处理方法处理带毒文件;
(5) 监控邮件收发软件,根据预定处理方法处理带毒邮件;
4、邮件防病毒服务器
安装位置:邮件服务器与防火墙之间
邮件防病毒软件:对来自INTERNTE的电子邮件进行检测,根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件(对于压缩文件同样也进行检测)
5、反垃圾邮件系统
安装位置:同邮件防病毒软件,如果软硬件条件允许的话,建议安装在同一台服务器上。
反垃圾邮件系统作用:
(1) 拒绝转发来自INTERNET的垃圾邮件;
(2) 拒绝转发来自局域网用户的垃圾邮件并将发垃圾邮件的局域网
用户的IP地址通过电子邮件等方式通报网管;
(3) 记录发垃圾邮件的终端地址;
(4) 通过电子邮件等方式通知网管垃圾邮件的处理情况。
6、动态口令认证系统
安装位置:服务器端安装在WWW服务器(以及其他需要进行口令加强的敏感服务器),客户端配置给网页更新人员(或者服务器授权访问用户);
动态口令认证系统的作用:
通过定期修改密码,确保密码的不可猜测性。
整体的安全方案分成技术方案、服务方案以及支持方案三部分。
一、技术解决方案
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。
1、防火墙
安装位置:局域网与路由器之间;WWW服务器与托管机房局域网之间;
局域网防火墙作用:
(1) 实现单向访问,允许局域网用户访问INTERNET资源,但是严格限制INTERNET用户对局域网资源的访问;
(2) 通过防火墙,将整个局域网划分INTERNET,DMZ区,内网访问区这三个逻辑上分开的区域,有利于对整个网络进行管理;
(3)局域网所有工作站和服务器处于防火墙地整体防护之下,只要通过防火墙设置的修改,就能有限绝大部分防止来自INTERNET上的攻击,网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞;
(4)通过防火墙的过滤规则,实现端口级控制,限制局域网用户对INTERNET的访问;
(5)进行流量控制,确保重要业务对流量的要求;
(6)通过过滤规则,以时间为控制要素,限制大流量网络应用在上班时间的使用。
托管机房防火墙的作用:
(7) 通过防火墙的过滤规则,限制INTERNET用户对WWW服务器的访问,将访问权限控制在最小的限度,在这种情况下,网络管理员可以忽略服务器系统的安全漏洞,只需要关注WWW应用服务软件的安全漏洞;
(8)通过过滤规则,对远程更新的时间、来源(通过IP地址)进行限制。
2、入侵检测
安装位置:局域网DMZ区以及托管机房服务器区;
IDS的作用:
(1) 作为旁路设备,监控网络中的信息,统计并记录网络中的异常主机以及异常连接;
(2)中断异常连接;
(3)通过联动机制,向防火墙发送指令,在限定的时间内对特定的IP地址实施封堵。
3、网络防病毒软件控制中心以及客户端软件
安装位置:局域网防病毒服务器以及各个终端
防病毒服务器作用:
(1) 作为防病毒软件的控制中心,及时通过INTERNET更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件;
(2)记录各个终端的病毒库升级情况;
(3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。防病毒客户端软件的作用:
(4) 对本机的内存、文件的读写进行监控,根据预定的处理方法处理带毒文件;
(5) 监控邮件收发软件,根据预定处理方法处理带毒邮件;
4、邮件防病毒服务器
安装位置:邮件服务器与防火墙之间
邮件防病毒软件:对来自INTERNTE的电子邮件进行检测,根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件(对于压缩文件同样也进行检测)
5、反垃圾邮件系统
安装位置:同邮件防病毒软件,如果软硬件条件允许的话,建议安装在同一台服务器上。
反垃圾邮件系统作用:
(1) 拒绝转发来自INTERNET的垃圾邮件;
(2) 拒绝转发来自局域网用户的垃圾邮件并将发垃圾邮件的局域网
用户的IP地址通过电子邮件等方式通报网管;
(3) 记录发垃圾邮件的终端地址;
(4) 通过电子邮件等方式通知网管垃圾邮件的处理情况。
6、动态口令认证系统
安装位置:服务器端安装在WWW服务器(以及其他需要进行口令加强的敏感服务器),客户端配置给网页更新人员(或者服务器授权访问用户);
动态口令认证系统的作用:
通过定期修改密码,确保密码的不可猜测性。
4、防病毒软件病毒库定期升级
服务对象:防病毒服务器、安装防病毒客户端的终端
服务周期:每周一次
服务内容:(1) 防病毒服务器通过INTERNET更新病毒库;(2)防病毒服务器强制所有在线客户端更新病毒库;
服务作用:通过不断升级病毒库确保防病毒软件能够及时发现新的病毒。
5、服务器定期扫描、加固
服务对象:服务器
服务周期:半年一次
服务内容:使用专用的扫描工具,在用户网络管理人员的配合,对主要的服务器进行扫描。
服务作用:(1) 找出对应服务器操作系统中存在的系统漏洞;(2) 找出服务器对应应用服务中存在的系统漏洞;(3) 找出安全强度较低的用户名和用户密码。
6 、防火墙日志备份、分析
服务对象:防火墙设备
服务周期:一周一次
服务内容:导出防火墙日志并进行分析。
服务作用:通过流量简图找出流量异常的时间段,通过检查流量较大的主机,找出局域网中的异常主机。
7、入侵检测等安全设备日志备份
服务对象:入侵检测等安全设备
服务周期:一周一次
服务内容:备份安全设备日志。
服务作用:防止日志过大导致检索、分析的难度,另一方面也有利于事后的检查。
8、服务器日志备份
服务对象:主要服务器(如WWW服务器、文件服务器等)
服务周期:一周一次
服务内容:备份服务器访问日志
服务作用: 防止日志过大导致检索、分析的难度,另一方面也有利于事后的检查。
9、白客渗透
服务对象:对INTERBET提供服务的服务器
服务周期:半年一次
服务内容:服务商在用户指定的时间段内,通过INTERNET,使用各种工具在不破坏应用的前提下攻击服务器,最终提供检测报告。
服务作用:先于黑客进行探测性攻击以检测系统漏洞。根据最终检测报告进一步增强系统的安全性
10、设备备份系统
服务对象:骨干交换机、路由器等网络骨干设备
服务周期:实时
服务内容:根据用户的网络情况,提供骨干交换机、路由器等核心网络设备的备份。备份设备可以在段时间内替代网络中实际使用的设备。
服务作用:一旦核心设备出现故障,使用备件替换以减少网络故障时间。
11、信息备份系统
服务对象:所有重要信息
服务周期:根据网络情况定完全备份和增量备份的时间
服务内容:定期备份电子信息
合理规划:构建网络整体安全方案(1) 第 [1] [2] 下一页
上一篇文章: 从根本上废除木马功能的绝招 下一篇文章: 禁止让瑞星2008随机启动的绝招