艾尔之光挫冰机2016:包头市交通局虚拟专用网络（VPN）系统解决方案(二) - microsoftblog的日志...

包头市交通局虚拟专用网络（VPN）系统解决方案(二)
默认分类 2009-02-12 20:33:38 阅读60 评论2   字号：大中小
防毒墙技术与产品综述
防毒墙是指位于网络入口处（网关），用于对网络传输中的病毒进行过滤的网络安全设备。通俗的说，防毒墙可以部署在企业局域网和互联网交界的地方，阻止病毒从互联网侵入内网。
凡是病毒都有一定的特征。防毒墙会扫描通过网关的数据包，然后对这些数据进行病毒扫描，如果是病毒，则将其清除。理论上讲，防毒墙可以阻止任何病毒从网关处侵入企业内部网络。
在传统的网络安全解决方案中，人们往往会认为防火墙可以防御病毒的侵害。但是随着网络的发展和病毒和各种变种大规模的爆发，传统的防火墙已经不能胜任防毒的功能，下面列出防毒墙和防火墙的对比
防火墙对网络数据流连接的合法性进行分析，它对从正常电脑上发送过来的病毒数据流是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况；防毒墙则是为了解决防火墙天生的防毒缺陷而产生的一种安全设备。它可以进行网关处的查毒工作，对病毒的界定则更准确、更可靠。
防毒墙比传统产品的优势列举如下：
Ø  降低网络安全工作强度
由于防毒墙产品可以在网关做防毒的功能，并且只要插接在网络上就可以完成基本的安全防御功能，所以在部署过程中可以大大降低工作强度。在同等安全需求条件下，防毒墙设备的数量要低于传统网络版杀毒软件的数量，无论是厂商还是网络管理员都可以减少安装和维护的工作强度
Ø  降低技术的复杂程度
防毒墙的设计简化了产品集成和支持服务的工作量，简单的放置、方便的安装是防毒墙安全设备最关键的优点。由于防毒墙安全设备中可以扩展很多的功能模块，所以为提高易用性作了很多设计上的考虑。另外，这些功能的协同运作无形中降低了掌握和管理各种安全功能的难度以及用户误操作的可能。对于没有专业信息安全人员及技术力量相对薄弱的企业（特别是企业分支机构）来说，使用防毒墙可以提高企业应用信息安全设施的质量。
Ø  强大的杀毒速度和能力
防毒墙的杀毒能力是与庸置疑的，本身具有强大的病毒库，硬件加速技术和扫描能力，使防毒墙可以设置在网关位置，来抵抗internet上病毒对内网的攻击，使企业内部的机器更安全
Ø  更容易的排错
当网络内部通过拷贝等其他手段中毒时，防毒墙可以检测到病毒或木马向外发出的具有病毒特征的数据包，并按照策略给与合适的操作，使网络尽快恢复正常。这项特性对于网络管理人员的显得尤为重要。
Kaspersky Guard@Net M-T-04/08
Ø  标准的吞吐量：300 Mbps
Ø  病毒过滤吞吐率：60 Mbps
Ø  最大并发连接数：18万
Ø  每秒新建连接数6,000条
Ø  2/4*100BaseT+ 2/4*1000BaseT
Ø  1U机箱
Kaspersky Guard@Net 系统
类别
功能项
详细规格
网络安全性
工作模式
路由、透明、混合
内容过滤
支持基于流、数据包、透明代理的过滤方式。
支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤。
支持URL过滤
支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java script的过滤
支持对邮件的收发邮件地址、文件名、文件类型过滤
动态端口支持协议：FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP。
防病毒
对通过的数据进行在线过滤，查杀邮件正文附件、网页及下载文件中包含的病毒，
病毒库自动更新，live update
提供快速扫描及完全扫描两种扫描方式
系统状态实时监控
包过滤
基于状态检测的动态包过滤
实现基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间等数据包快速过滤
支持报文合法性检查
可实现IP/MAC绑定
防御攻击
非法报文攻击：land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof
统计型报文攻击： Icmpflood、Udpflood、Portscan、ipsweep
联动：可与IDS设备联动，以提高入侵检测效率。
端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置
NAT
支持双向NAT
支持动态地址转换和静态地址转换
支持多对一、一对多和一对一等多种方式的地址转换
支持虚拟服务器功能
网络适应性
路由
支持静态路由
支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。
支持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。
可有效地实现视频会议等多媒体应用
VLAN
支持与交换机的Trunk接口对接，并且能够实现Vlan间通过安全设备传播路由
支持802.1Q，能进行802.1Q的封装和解封
支持ISL，能进行ISL的封装和解封
在同一个Vlan内能进行二层交换
生成树
支持802.1D生成树协议。
ARP
支持ARP代理、ARP学习
可设置静态ARP
接入
支持ADSL接入功能，可满足中小企业的多种接入需求。
支持PPPOE拨号接入
支持隧道的NAT穿越
安全管理
日志
支持Welf、Syslog等多种日志格式的输出
支持通过第三方软件来查看日志
支持日志分级，紧急、警报、错误、警告、通知、消息、调试、不记录日志
支持对接收到的日志进行缓冲存储
数据库备份
监控
支持网络接口监测、CPU利用率监测、内存使用率监测、操作系统状况监测、网络状况监测、硬件系统监测、进程监测、进程内存监测、加密卡状况监测。
可根据配置文件进行错误恢复
报警
报警事件：内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类
报警方式：采用邮件、控制台等多种报警方式，报警方式可以组合使用。
安全系统
优先级
支持8级优先级控制
双机热备
支持双机热备
支持系统故障切换
生成树协议
支持生成树协议，Spanning Tree
支持STP配置同步
其它功能
支持链路备份功能
支持双系统引导，当主系统损坏时，可以启用备用系统，不影响设备的正常使用
支持本地配置、远程配置
支持基于SSH、SSL的安全配置
命令行
支持配置命令分级保护
支持中英文切换
支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能
系统升级
支持双系统升级，具有Kaspersky Backup-Firmware备份固件
支持远程维护和系统升级
支持TFTP升级
报文调试
提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题。
配置恢复
可以进行配置文件的备份、下载、删除、恢复和上载。
系统内嵌第二个操作系统，提升整体可靠性，安全性。
其它
扩展能力
开放式的架构支持未来方便扩展防病毒、IPSEC VPN、SSL VPN等功能以及各种VPN加速卡
 
市交通局网络目前缺乏足够的安全防护措施，主要面临着以下安全威胁：
Ø  黑客入侵，互联网攻击者采取非授权的访问和攻击行为，大部分利用木马软件或后门达到入侵内部系统，获取关键信息；
Ø  Arp为主的此类病毒，一旦爆发将会给内网的核心交换带来比较大的资源消耗，从而导致系统瘫痪。
Ø  病毒威胁，尤其是蠕虫病毒爆发，将使公司信息网络处于瘫痪状态，无法正常使用各类业务平台进行业务处理；
Ø  针对数据库sql，oracle的各种漏洞的攻击，从而是数据库瘫痪，业务无法正常的运行
Ø  垃圾邮件已经成为网络安全的又一种重大威胁，垃圾邮件或邮件炸弹的爆发将使网络带宽大量被消耗，邮件服务器系统资源消耗殆尽，不能够进行正常的邮件转发服务。
网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。
l  体系化设计原则
通过分析市交通局信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决交通局网络可能存在的安全问题。
l  全局综合性设计原则
从交通局的实际情况看，单纯防火墙，并不能解决全部的安全问题。应考虑各种安全措施的并用，建议使用一个具有相当高度、可扩展性强的安全解决方案及产品。
l  可行性、可靠性及安全性
可行性是安全方案的根本，它将直接影响到网络通信平台的畅通，可靠性是安全系统和网络通信平台正常运行的保证，而安全性是设计安全系统的最终目的。
安全方案必须架构在科学网络安全系统架构之上，因为安全架构是安全方案设计和分析的基础。
防火墙
入侵检测
病毒过滤
垃圾邮件过滤
内容过滤
公司内网
黑客入侵
蠕虫病毒
非法扫描
垃圾邮件
非授权访问
DOS攻击
受限网站
X公司网络安全系统架构
随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。如下图所示，这种多层次的安全体系不仅要求在网络边界设置防火墙，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。
 
1)        防毒安全防护体系
根据上述的安全需求分析、安全设计原则和安全系统架构，建议市交通局网络安全系统采用一种整合型、高性能、高可靠性的卡巴斯基防毒墙来实现以下系统功能：
u  病毒防护系统
u  入侵检测和防御系统
u  内容过滤系统
u  垃圾邮件过滤系统
2)        安全防护系统功能描述
病毒防护系统：采用网关防病毒的方式强化病毒防护系统，增强病毒防护有效性，切断病毒传入内网的必经之路，力争将病毒阻隔于内部网络之外。
IDP系统：采用入侵检测系统，提供对来自受监控网段的攻击的实时报警和即时响应。
内容过滤系统：对内部网络的上网行为进行规范和监控，限制访问网址、过滤网页内容、过滤邮件标题和内容，限制上网聊天行为，阻止不正当文件的下载。
垃圾邮件过滤系统：过滤邮件，阻止垃圾邮件的入侵。
3)        安全产品选型
本方案推荐采用卡巴斯基的防毒墙产品，该产品完全能够满足本方案的全部安全需求。防毒墙网关是在专用安全平台上集成了网关防病毒、入侵检测和防御、内容过滤、垃圾邮件过滤、等功能于一身的新一代全面安全防护系统。
4)        安全防护策略
a)         在网关上开启防病毒、内容过滤、idp，防垃圾邮件等安全功能，根据实际情况正确设置各个功能模块的具体安全防护策略，确保该节点本地网络免受各种外来威胁。
b)        制定各种的idp的策略，保证内部服务器的安全
c)        本解决方案的主要特点:
u  设计全面：全面的安全防护解决方案，帮助用户打造高效率和高安全性的网络平台；
u  功能强大：同时提供防病毒、入侵防御、内容过滤、防垃圾邮件及安全审计等功能，从而构建主动防御、多层次防御的企业安全保障体系，从容应对各种外来威胁；
u  整体协防：各防御模块之间相互协同工作，全面提升系统的整体安全水平，缔造更可信的网络；
u  健壮性：防毒墙设备基于专用安全操作系统，具有良好的自身安全性；
u  透明性：现有业务系统和网络结构无须做任何调整或只需做少量改动；
u  适应性：能很好适应系统网络结构的调整和发展；
u  高性能：开启各项安全功能后，卡巴斯基防毒墙网关的处理性能和数据转发速率仍能够保持高水准，完全能够满足互联网出口的接入速率，不会成为传输瓶颈；
u  便于实施：安装、维护简单快速，可随时进行而不影响正常业务；
u  低成本：一机多能，大大降低了安全产品的采购、部署和运营成本，使用户获得最大的投资回报；
u  扩展性：卡巴斯基网关产品采用模块化设计，具有极强的扩展性，可以随着用户网络的扩展平滑升级。
VPN解决方案
l  根据包头市交通局网络互联的实际情况，我们采用SJW08 VPN系列产品提供整体网络互联VPN安全解决方案，解决其所面临的网络互访、传输保密、节点认证、网络访问控制等问题。
l  我国在信息安全行业管理上把安全和密码分为两类，而密码产品和从事密码产品生产的企业又分为三类，即核密、普密和商密。这三类密码产品都由国家主管部门控制，算法都由专用硬件实现，强度都足够，不同之处只在于三类产品的管理不同，即主管单位不同、使用场合不同和管理办法不同。目前，只有国家核心部门（涉及国家核心秘密）才可使用核密产品，其生产单位和使用单位都受主管部门控制；一般的政府部门（涉及国家秘密）使用普密产品，其生产单位和使用单位也都受主管部门控制；广泛服务于社会的是商用密码，对从事商用密码科研、生产和销售的单位，国家采取定点管理办法，但对用户没有限制。
l  根据上述情况，根据包头市交通局的实际情况，且根据国家有关规定，核密产品和普密产品均不能在Internet上使用，所以，建议市交通局采用商密产品。我们将采用江南计算技术研究所生产的经国密码办鉴定过的SJW08 VPN系列产品为提供整体网络互联VPN安全解决方案，解决其所面临的网络互访、传输保密、节点认证、网络访问控制等问题。
市交通局、运管处、公路局、以及下属单位均通过Internet互联，采用SJW08 VPN系列产品实现VPN系统，方案配置情况如下所述：
1)        在市交通局信息中心Internet接入口处安装两台SJW08-3000作为交通局接入Internet的中心VPN网关，部署成双机热备模式，并为其分配静态的合法IP地址。SJW08-3000兼有功能完善的防火墙，支持状态检测包过滤工作方式，支持路由模式和桥模式的数据转发，可防IP地址欺骗、端口扫描，抗DOS/DDOS攻击、IP碎片攻击、SYN攻击、DNS/RIP/ICMP攻击等。SJW08 -3000具有系统设置备份和快速恢复功能。
2)        在市交通局设置安全管理中心，负责包头市交通局全网VPN设备的策略分发和管理，以简化所有单位VPN设备的策略配置和管理工作。除此之外，安全管理中心还负责整个VPN环境中VPN设备的证书签发和管理，使得VPN设备能够以电子证书方式进行身份认证和隧道的建立，并对使用的SJW08 VPN设备进行管理。
3)        各二级直属单位申请Internet动态IP地址，并在Internet接口处安装SJW08-2000（具体选型可根据各单位的信息流量来确定）作为分支网关实现各二级直属单位的上网互联。VPN分支网关自动向市交通局的安全管理中心申请本机的VPN策略，大大简化了分支机构的VPN设备的配置和管理工作。分支网关兼有功能完善的防火墙功能，支持状态检测包过滤工作方式，支持路由模式和桥模式的数据转发，可防IP地址欺骗、端口扫描，抗DOS/DDOS攻击、IP碎片攻击、SYN攻击、DNS/RIP/ICMP攻击等；
4)        各斜管单位的情况有所不同，若项目单位连接在网络上的主机较多，则可采用SJW08-1000或SJW08-2000，若仅有单机或是两、三台主机与交通局网络相连，则可在与各斜管单位网络连接的主机上，安装“SJW08客户端安全套件”，实现通过Internet的网络VPN互联，接入方式支持ADSL、ISDN、PSTN等流行的网络协议。安全包带有功能完善的状态包过滤防火墙，能有效地保护移动办公用户的安全；
5)        由市交通局网管人员负责VPN设备的证书发放工作，以保证全网VPN设备身份的唯一性、安全性和可控性。
6)        网络管理员只需配置好SJW08安全管理中心上的策略服务器，便规划完成了整个网络的逻辑结构，网络管理便捷、直观。
7)        作为身份认证的证书可有两种方式发放：一是采用文件方式发放，二是采用有口令保护的USB KEY方式发放，具体采用哪种方式由用户选择，两种方式可以并存。
由此，利用SJW08 VPN系列产品组成的包头市交通局VPN网络如下图所示：
图4.1 包头市交通局VPN网络
如上图所示，利用了SJW08 VPN系列产品，可将包头市交通局的各个局域网络系统依托Internet构建成一个虚拟的专有网络，其感觉就象专用网络一样，企业可以统一地规划每个局域网络的IP地址（如：10.XX.XX.XX），各个局域网络系统在进行网络互访时，就像同在一个专用网络内一样的方便。
为今后VPN专用网络进一步向下延伸扩展规划的结构拓扑图如下
l  各分支机构的上网方式不变。
l  网站和邮件服务器被访问的方式不变。
l  总部内部和移动办公用户及各分支机构可通过网上邻居根据机器名称互访(与WINS配合)，亦可通过私有IP地址访问。
l  分支机构和移动办公用户亦可访问各分支机构的内部网络。
l  以证书作身份认证的基础。
l  安全设备在接入因特网之后需要到安全策略服务器进行身份认证。因此可以防范身份假冒。
l  高强度的机密性：数据内容在因特网中以密文传输，加密算法可协商。因此可防止窃听、篡改、分析。保证了数据的机密性。
l  保证了数据的完整性：采用了认证算法对原始数据进行了摘要运算。
l  隐藏了内部网络的IP地址
l  可采用隧道嵌套技术实现端到端的安全，从而可以防止内部员工的破坏。
l   健壮性：IP保密机（VPN设备）内置安全操作系统，具有良好的自身安全性；
l   透明性：现有业务系统和网络结构无须做任何调整；
l   适应性：能很好适应系统网络结构的调整和发展；
l   标准化：与国际标准IPSec的实现可互通互联；
l   可实施性：安装、维护简单快速，可随时进行而不影响正常业务；
l   整体性：可同时提供网络安全访问控制、传输加密、节点认证、用户认证及安全审计功能，同时为应用程序提供密码编程接口，和应用程序配合可实现对交易信息的签名、认证及存储加密等功能，因此可作为整体安全解决方案的基础框架。
l   总部VPN网关支持固定IP，各分支机构的VPN网关支持动态IP，移动办公用户采用硬件和软件相结合的技术，即电子证书的存放采用硬件以确保安全性，协议封装技术采用软件，硬件为专用产品。
l   低成本：可帮助包头市交通局以Internet为骨干网组建自己的私有网络。
l   高速率：现有的宽带接入和ADSL上网提供的上网速率一般都远远大于DDN和MODEM的速度。
l   安全性高：采用证书认证及1024位非对称加密的方式保护密钥的交换，对称加密算法可选的灵活性高，有国密办审批的各种硬件加密算法，亦有192位的3DES加密算法。
l   可实现网状通信。
l   无缝的支持网络NAT穿越。
l   网络带宽在流量上支持不同应用的动态分配，此项功能在所有SJW08 VPN网关设备上实现。
l   SJW08 VPN设备支持集中管理方案，由网络管理员在安全管理中心进行集中VPN设备管理。
成功案例
 
项目单位
项目名称
项目内容
采用产品
公安部指挥中心
公安指挥要情报告安全系统
建设部到各省180个点的要情信息安全传输与访问控制系统
CA系统、IP密码机、服务器密码机、PCI加密卡
公安部机要局
公安部保密传真网
建设部到各省厅、各县局的保密传真网络。
传真加密机
公安部机要局
公安部综合业务数据安全保密通信网
建设部到各省厅、各县局的综合业务数据安全保密通信网。
IP密码机、PCI密码卡
武警总部机要局
武警部队保密传真网
建设武警总部到各总队、支队的保密传真网络。
传真加密机
武警总部机要局
武警部队综合业务数据安全保密通信网
建设武警总部到各总队、支队的综合业务数据安全保密通信网。
IP密码机、PCI密码卡
武警总部
武警指挥自动化安全系统
建设总部至各总队的CA安全认证管理系统，并建设作战指挥、机要通信、电子邮件等安全应用系统。
CA系统、服务器密码机、终端密码机、PCI加密卡
总参某部
总参某部综合业务数据安全保密通信网
建设总部到各下属单位的综合业务数据安全保密通信网。
IP密码机、PCI密码卡
中宣部
中宣部身份认证系统
建设中宣部部机关的身份认证系统
CA系统、服务器密码机、终端密码机、PCI加密卡
中国航天科技集团公司
中国航天科技集团公司主干网加密系统
建设集团总公司到各总院、所的保密通信网。
IP密码机、PCI密码卡
新华社
新华社主干网加密系统
建设总社到各分社的保密通信网。
ATM密码机
中国外运集团公司
中外运网络信息系统安全项目
建设总部到各分部的保密通信网
IP密码机。PCI密码卡
中国大唐集团公司
虚拟专用网系统
建设总部到各分点保密通信网
IP/VPN密码机、PCI密码卡、PCMCIA密码卡
海关总署
海关内部网安全认证系统
建立了从总署到分关的全国性信息安全认证系统。系统在总署设置一个CA，在40几个总关设置了安全认证服务器，认证全海关系统的操作终端设备和操作者。含应用系统开发。
CA系统、服务器密码机、终端密码机、PCI加密卡、IP密码机
海关总署
中国电子口岸执法系统
建立了中国口岸CA系统，采用PKI技术开发了目前中国最大的电子政务系统——中国电子口岸，发证量近30万张。是目前中国每天证书处理量最大的系统。
CA系统、服务器密码机、终端密码机、PCI加密卡、IP密码机
人民银行
全国电子联行信息安全工程
人民银行总行、全国电子联行卫星网的信息安全工程
金融数据密码机、卫星线路加密机
国家开发银行
国家开发银行应用安全平台
在信任体系建设和授权服务的基础上，采用多种信息安全技术，建立统一的为业务应用系统软硬件提供安全服务的平台。
CA系统、服务器密码机、终端密码机、PCI加密卡
国家开发银行
国家开发银行主干网加密系统
建设总行到各分行和各代表处的加密传输网络
IP密码机、PCI密码卡
国家开发银行
国家开发银行移动办公系统
解决开发银行员工的移动办公安全问题。
安全代理服务器、PCMCIA加密卡、
交通银行
全国金融电子交换网络信息安全工程
交通银行总行全国金融电子交换网络信息安全工程
金融数据密码机
 
0人  |  分享到：
阅读(60)| 评论(2)| 引用 (0) |举报
包头市交通局虚拟专用网络（VPN）系统解决方案(一)
稍欠成熟 Windown7官方汉化包试用
历史上的今天
公务员面试题目2008-02-12 22:50:37
本贴由站长之家数据中心提供2008-02-12 22:27:20
在系统启动时至少有一个服务器或驱动程序产生错误的解决办法2008-02-12 22:22:29
相关文章
最近读者

登录后，您可以在此留下足迹。
zhxgguet
Robin
chongcho
评论
点击登录|昵称：