公司网络安全分析及其解决方案.doc

《公司网络安全分析及其解决方案.doc》由会员分享，可在线阅读，更多相关《公司网络安全分析及其解决方案.doc（33页珍藏版）》请在咨信网上搜索。

公司网络安全分析及其解决方案 33 2020年4月19日 文档仅供参考 某公司网络安全项目解决方案 目录 第一章 某公司网络概述 3 1.1 概述 3 1.2 项目建设目标 3 1.3 项目建设原则 4 1.4 项目建设说明 4 第二章 企业所面临的网络安全挑战与风险分析 5 2.1 网络层的安全分析 6 2.2 系统层的安全分析 6 2.3 应用层的安全分析 7 2.4 安全策略与安全管理的安全分析 7 第三章 企业所面临的网络应用优化挑战 8 3.1企业风控 8 3.2冗余/备份 8 3.3应用支持 8 3.4流量/IM控制 8 3.6配置/管理简单 9 3.7稳定性和兼容性 9 3.8报告功能 9 第四章 HILLSTONE安全解决方案 9 第五章 HILLSTONE功能介绍 10 4.1 状态检测 10 4.1.1 包过滤与状态检测 10 4.1.2 独特的防火墙状态监测 12 4.1.3 HillStone的状态会话表 12 4.1.3 会话失效时间 13 4.2 NAT与PAT 13 4.2.1 动态NAT 13 4.2.2 PAT 14 4.2.3 静态NAT 15 4.2.4 静态PAT 15 4.2.5 防火墙策略与NAT、PAT 15 4.3流量控制 15 4.5 应用层网关 16 4.5.1 TCP重组和代理 16 4.5.2 VOIP安全 16 4.5.3 关键字过滤 16 4.5.4 提供CoS/QoS(服务级别/服务质量)服务 16 4.7 标准、灵活的VPN 17 4.7.1 VPN技术介绍 17 4.7.2 HillStone的PPTP L2TP 19 4.7.3 IPSEC VPN的网关对网关模式 19 4.7.4 IPSEC VPN的移动客户端对网关模式 19 4.7.5 部署方便的透明模式的VPN网关 20 4.8 双机备份HA 21 4.8 日志与集中管理 21 4.8.1 多种日志方式 21 4.8.2 Syslog标准的日志分析软件FortiReporter 21 4.8.2 硬件的日志分析系统FortiLog 22 4.8.3 方便的管理体系 23 第五章 HILLSTONE优势 23 5.1创新的新一代网络安全架构 23 5.2强健的专用实时64位并行操作系统 24 5.3高可靠性和稳定性(HIGH RELIABILITY AND STABILITY) 25 5.4最低的总体拥有成本(LOWEST TCO) 25 5.5 HILLSTONE SA系列安全产品解决方案特点 26 5.6竞争优势 26 第六章 安全产品技术性能指标 28 HILLSTONE NETWORK SECURITY APPLIANCE 28 第七章 技术支持与售后服务 34 第一章 某公司网络概述 1.1 概述 1.2 项目建设说明 网络拓扑结构如下: 第二章 企业所面临的网络安全挑战与风险分析 从某公司网络的实际情况来看,我们认为应该从以下几个方面进行全面的分析: l 网络层 l 系统层 l 应用层 l ARP l 策略和管理层 下面将分别进行详细的阐述。 2.1 网络层的安全分析 网络设备主要包括某公司网络各节点上的路由器、交换机等设备,如: 路由器、交换机。网络层不但为某公司网络提供连接通路和网络数据交换的连接,而且是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计,因此网络系统存在大量安全隐患和威胁。整个网络就会受到来自网络外部和内部的双重威胁。 特别在广域网中存在着大量的黑客攻击,她们常常针对web服务器和邮件服务器作为突破口,进行网络攻击和渗透。常见得一些手法如下:IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等。黑客能够容易的在某公司网络出口进出,对系统进行攻击或非法访问。 而在某公司网络内部,基本上还没有严格的防范措施,其中的安全隐患不言而喻。如果加上安全管理上的不够完善等因素,或者在已有的服务器与单机中存在着后门程序(木马程序)话,攻击者就能够很容易地取得网络管理员权限,从而进一步控制计算机系统,网络中大量的数据就会被窃取和破坏。 网络中只要一个地方出现了安全问题,那么整个网络都是不安全的。因此,在某公司网络出口处应配置应用级防火墙来加强访问控制,并部署入侵监控系统,杜绝可能存在的安全隐患,来保证网络安全可靠的正常运行。 2.2 系统层的安全分析 在任何的网络结构中都运行着不同的操作系统,如:Windows NT/ / Server、 HP-UNIX、Solaris、IBM AIX、SCO-Unix、Linux等等,这些系统都或多或少地存在着各种各样的漏洞。据IDC统计1000个以上的商用操作系统存在安全漏洞,如果这些操作系统没有进行系统的加固和正确的安全配置,而只是按照原来系统的默认安装,这样的主机系统是极其不安全的。一名黑客能够经过Unicode、缓存溢出、造成死机等方式进行破坏,甚至取得主机管理员的权限。另外,在网络中,一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就能够轻松地进入系统修改权限,从而控制主机。 某公司网络中存在一定量的服务器,如:视频会议类或相关的服务器、MCU、网络管理服务器等等,而这些服务器都担负着重要的服务功能,如果这些服务器(特别是有大量的数据处理的服务器),一旦瘫痪或者因被人植入后门造成远程控制窃取数据,后果不堪设想。为了保证业务数据的正常流通和安全,需对这些重要的服务器进行全方位的防护。 2.3 应用层的安全分析 某公司网络与Internet相连,进行着包括WEB、FTP、E-mail、DNS等各种Internet应用。应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。在应用层的安全问题,黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的,比如针对错误的Web目录结构、CGI脚本缺陷、Web服务器应用程序缺陷、为索引的Web页、有缺陷的浏览器甚至是利用Oracle、 SAP、 Peoplesoft 缺省帐户。 应用层的安全威胁还包括对各种不良网络内容的访问,比如内网用户访问非法(如发布反动言论、宣扬法轮功等)或不良(色情、迷信)网站等。有的Internet站点上还包含有害的Java Applet或ActiveX小程序,如果不慎访问将有可能带入病毒和木马程序,甚至有的网页能够经过一段简单的代码直接破坏访问者计算机的数据和系统,对网络安全和效率都将造成极大破坏。 2.4 安全策略与安全管理的安全分析 在网络安全中安全策略和管理扮演着极其重要的角色,如果没有制定非常有效的安全策略,没有进行严格的安全管理制度,来控制整个网络的运行,那么这个网络就很可能处在一种混乱的状态。因为没有非常好的安全策略,安全产品就无法发挥其应有的作用。如果没有有效的安全管理,就不会做到高效的安全控制和紧急事件的响应(更加详细和周密的安全策略要结合安全服务进行)。 管理是网络安全中最最重要的部分。责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。这样就会导致:当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。因此,必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。 建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的网络安全及信息安全管理制度,并加以严格管理相结合。 第三章 企业所面临的网络应用优化挑战 针对企业网络应用方面的优化需求我们大致分为以下几类。 3.1企业风控 风险是永远存在的。在某公司的信息系统中同样如此,风险无处不在。我们只能经过不断的努力将风险降的更低,而不可能降为零。同时,更好的控制风险需要更高的资金投入来支撑。我们必须在资金投入和风险的承受能力上找到一个平衡点。而每个公司都有不同的平衡点。 在某公司中,IT部门是其它部门的服务部门,而IT资产却是企业所有其它资产的有力保证。 3.2冗余/备份 谈到冗余/备份,大家都不陌生,最为降低风险、提高系统可用性的一个最直接的办法就是建立冗余的系统,各系统之间能够实时地切换,相互备份。某公司作为一家xxx的公司,为了能够给客户提供更可靠的服务,同样需要进行包括Internet链路、网络设备、服务器系统等各方面的冗余配置。 n Internet链路冗余 对于某公司的Internet网络服务,当前申请了一条10M的网通线路,出于对网络可靠性的考虑应该再申请一条到电信的线路。而同时使用这两条线路就需要具有链路冗余功能的设备来完成。HillStone能够提供Internet链路冗余的解决方案。 n 网络设备冗余 考虑到网络设备当机的可能性,为提高整个网络核心层相关设备的可靠性,这些设备也都需要进行冗余配置。这其中包括A-A和A-P两种方式,能够提供不同级别的冗余功能。HillStone能够支持HA的功能,包括A-A和A-P。 n 服务器系统冗余 对于应用的载体—服务器同样需要进行冗余配置,使得服务器群能够对客户提供不间断的服务。完成这个功能需要一台专业的服务器流量负载分担设备,将所有进入地流量均衡的分担到每台服务器上去。HillStone能够实现服务器负载分担功能。 3.3应用支持 某公司内部企业应用众多,包括Internet上网、邮件、数据库、ERP、VoIP和分支机构联网等等。同时也有一些企业自己开发的应用,这些应用可能跟标准的tcp应用不同,如Session持续时间和Timeout时间等,而这些自己开发的应用绝大多数都是企业的关键应用,因此对这些应用的管理和支持是网络安全设备的一个挑战。HillStone支持自定义的Session持续时间和Timeout时间,并能够及时地对客户的特殊需求进行分析研发。 3.4流量/IM控制 企业网路资源是有限的,同时扩充这些资源会导致成本的急剧增加。因此如何最有效的利用这些资源,如何管理这些资源成为了企业控制成本、提高效率的有效手段。 AM 10:28,企业数据库的一份关键数据、ERP数据或一个高级管理人员的Web访问正在网络链路里传输,这时突然有一个BT下载流量激发,将正常传输的数据库流量、ERP流量和Web访问流量挤压,造成这些流量严重超时,甚至导致不可达、重发,严重影响正常工作。 这时如果有一个设备能够控制BT流量,阻断或者控制使用带宽则这个问题就能得到妥善解决。IM的控制也是这样,对很多聊天工具如QQ、MSN的控制也是一个企业提高工作效率的好办法。 HillStone能够对很多P2P的流量进行管控,也能对很多IM聊天软件进行管理。 3.6配置/管理简单 一款设备的可用性从它的配置简单性上就能有很好的表现。HillStone的配置非常简单,很容易上手。而且设备具有版本管理功能,能够对配置信息就行版本控制,具有很好的风险控制能力。同时,HillStone支持NAT/路由模式、透明模式和混合模式,能够很好的和企业当前的网络环境进行融合,对于企业网络改造具有很大的操作空间。 HillStone具有专业的管理平台针对企业内部部署的所有HillStone设备进行统一管理,其中包括配置和日志等信息。 3.7稳定性和兼容性 设备的稳定性对于企业网络来说至关重要。HillStone设备具有很高的无故障运行时间,能够为某公司的整体网络稳定性提供支持。 HillStone产品和主要的网络设备供应商都具有良好的合作关系,相互产品之间都能够很好的互动、兼容,其中包括cisco、juniper、华为3Com、Nokia、Fortinet等。 3.8报告功能 HillStone能够为用户提供非常详尽的日志,而且能够定制各种图形报告。针对网络流量、网络攻击等的流量能够很好的表现一个企业网络的安全环境,能够为某公司IT管理层提供必要的信息和判断依据。 第四章 HillStone安全解决方案 第五章 HillStone功能介绍 第五章 HillStone优势 5.1创新的新一代网络安全架构 (Innovative Next Generation Advance Security Appliance Architecture) 随着网络威胁不断的发展,越来越多的混合式的网络攻击和威胁层出不穷。单纯的网络层安全防护系统无法满足用户的需求。传统防火墙以网络层防护为主,软硬件的设计围绕着网络层的安全防护展开,产品经过了第一代纯软件防火墙系统、基于PC架构的第二代硬件防火墙系统和第三代的基于ASIC和NP(网络处理器)纯硬件防火墙系统。第三代基于ASIC和NP架构的防火墙能够实现高性能的网络安全防护,对于应用层的安全防护无能为力,应用层完全依靠通用CPU进行处理,包括当前流行的UTM产品,一旦打开应用层安全防护功能,如P2P/IM安全控制、IPS、Web过滤、防病毒以及防垃圾邮件等内容过滤功能,性能会急剧下降,无法满足用户实际的网络安全需求。 基于以上原因,Hillstone全线产品采用了创新的新一代网络安全架构,硬件平台采用64位高性能的多核处理器Multi-Core CPU(多达16核),内部传输采用高达24Gbps高速交换总线,同时高端产品采用多核处理器和新一代高性能专用ASIC处理器,其网络安全的处理能力达到了一个新的起点:比如,安全产品中重要参数之一的每秒新建会话数是当前业界最高性能的基于ASIC和NP架构安全产品的5到10倍!64位专用高性能多核处理器的多核并行处理能力为应用层内容安全功能提供了强大的保障,同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控制能力弱的弊病。由于新一代64位多核处理器Multi-Core CPU集成了IPSec VPN、SSL VPN、TCP、QoS、压缩/解压缩以及其它安全功能的芯片级硬件加速功能,使得Hillstone产品具有强大高效的VPN和应用层安全处理能力。采用创新的新一代网络安全架构的Hillstone产品提供了更高、更可靠、更稳定和更安全的综合处理能力,开创了新一代网络安全的新纪元。 多达16核的专用64位MIPS处理器具有强大的应用层安全处理能力,众所周知,应用层安全的效率很大程度上依赖于CPU的处理能力,即使基于ASIC／NP架构的安全系统一旦要处理应用层的数据也必须依赖于CPU,而当前安全产品在CPU资源上有很大瓶颈,因此有些厂商已经放弃ASIC／NP架构而采用纯CPU的架构。纯CPU的架构在应用安全方面有了提高,但又丧失了ASIC架构所具有的网络层数据处理的高效性。Hillstone采用多核处理器和专用新一代ASIC处理器架构,使得该硬件架构充分考虑到了应用安全和网络安全的平衡,在某些性能指标上有了质的飞越,如作为安全网络产品重要指标之一的每秒新建连接数最高达到了20万／秒,同时结合内部高速交换总线和多核64位专用处理器,Hillstone SA系列产品具有了强大的应用安全处理能力和可扩展能力,为集成更多的应用安全提供了强大的资源保障。 5.2强健的专用实时64位并行操作系统 (Robust Specific Real time Operating System) Hillstone全线产品采用专用多线程实时64位并行操作系统,多线程的并行处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对新一代多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。模块化和多线程的处理机制,为Hillstone新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。 众所周知,操作系统是整个安全设备的核心和基础,安全产品的操作系统必须具有很强的抗攻击能力,而基于软件的安全系统采用的是通用的操作系统,通用操作系统会暴露大量的操作系统漏洞,安全系统再强大,操作系统的漏洞会直接导致这个系统的崩溃。当前,专用定制的操作系统被广泛采用。Hillstone SA系列产品均采用定制的专用操作系统HSOS。HSOS具有64位实时并行处理能力,其核心针对Hillstone SA硬件产品进行了全面优化,使得系统具有更高的处理效率和稳定性。模块化的系统结构易于继承更多的安全功能,系统具有极强的伸缩性和可扩展性。任何独立的安全模块出现问题都不会影响整个系统的运行。 5.3高可靠性和稳定性(High Reliability and Stability) 积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone新一代网络安全产品在软硬件的可靠性和稳定性上都有了进一步提高。全面优化的软硬件系统带来高可靠性和稳定性,这为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。Hillstone产品最大程度上确保企业关键业务的不间断运行,提高用户的竞争力。 5.4最低的总体拥有成本(Lowest TCO) Hillstone全线产品提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性能够满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。 5.5 Hillstone SA系列安全产品解决方案特点 l 创新的新一代网络安全架构 l 高性能的综合安全系统 l 高可靠性和扩展性 l 高性价比 l 丰富的安全特性 l 最低的TCO l 友好和易于使用的管理界面 l 细粒度的安全参数调整 l 杰出的内容安全综合处理能力 l 灵活的部署特性,易于部署和维护 l 全面的产品线,满足不同用户的需求 l 专业的技术支持和销售团队 P2P/IM应用的安全控制和细粒化管理 5.6竞争优势 Hillstone主要研发和销售团队来自业界知名的网络安全公司,包括:NetScreen、CISCO、Juniper、Fortinet和H3C等。多年成功的安全产品研发销售经验的积累,厚积薄发,引领网络安全走向新的起点。高性能创新的新一代安全产品加上专业的技术支持保障,为企业营造一个安全的网络应用环境保驾护航。　 第六章 安全产品技术性能指标 HillStone Network Security Appliance Hillstone SA-5050/5040/5020/ Hillstone SA-5050/5040/5020/ 系列产品采用创新的64位多核处理器、新一代ASIC处理器*和高速交换总线技术,为大中型企业用户提供高性能的网络安全解决方案。专用网络安全处理平台技术,拥有多达16核的64位高性能多核处理器,提供包括TCP会话保持与报文重组、VPN、QoS流量管理等功能的芯片级硬件加速,以及独立的硬件DFA引擎。辅以高达24Gbps高速交换总线,以及新一代64位实时并行操作系统—HSOS,为企业提供高性能、高可靠性的新一代硬件应用安全产品。 创新的系统结构 Hillstone Security Appliance系列产品采用了多核处理器和新一代ASIC处理器*技术,内部总线采用高达24Gbps交换总线,使得Hillstone SA系列产品在应用层安全处理的性能上有了质的飞跃,为企业应用安全提供专业的高性能硬件平台。 高可靠性和稳定性 积累多年被证实的专业硬件安全产品研发和市场经验,Hillstone新一代网络安全产品无论在软件和硬件的可靠性和稳定性上都有了进一步提高。 全面优化的软硬件系统的高可靠性和稳定性为网络流量和网络攻击日益膨胀的企业IT环境提供了强大的保障。Hillstone产品最大程度上确保企业关键业务的不间断运行。 强健的专用实时操作系统 Hillstone Security Appliance系列产品采用了专用64位实时并行操作系统,并行的处理能力和模块化的结构易于集成和扩展安全功能。专用的安全加固的64位操作系统针对新一代多核处理器安全机构进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。模块化和并行多任务的处理机制,为Hillstone新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。 最低的总体拥有成本 Hillstone Security Appliance系列产品提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性能够满足不同用户不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,最大化地保护用户投资。 Hillstone SA系列安全产品解决方案特点: l 创新的新一代网络安全架构 l 高性能的综合安全系统 l 高可靠性和扩展性 l 丰富的安全特性 l 最低的TCO l 友好和易于使用的管理界面 l 细粒度的安全参数调整 l 杰出的内容安全综合处理能力 l 灵活的部署特性,易于部署和维护 l P2P/IM应用的安全控制和管理 Hillstone SA-5050/5040/5020/ 安全特性 操作模式 SA-5050/5040/5020/ 透明模式 是 路由/NAT模式 是 L2/L3混合模式 是 NAT(地址翻译) 是 PAT(端口地址翻译) 是 MIP/VIP/DIP 是 Firewall SA-5050/5040/5020/ 网络层攻击防护 是 DoS和DDoS防护 是 Syn flood攻击防护 是 畸形报文防护 是 IP 报文分片攻击防护 是 IP 异常选项检测 是 TCP 异常检测 是 IP地址欺骗防护 是 IP地址扫描攻击 是 端口扫描防护 是 静态和动态黑名单 是 会话限制(基于源/目的) 是 攻击防护数量 30 基于安全区安全性 是 基于Profile的安全防护 是 基于接口的ACL 是 Networking SA-5050/5040/5020/ 802.1Q VLAN Trunk 是 802.3ad link aggregation 是 PPPoE Client 是 DHCP Relay, Server和Client 是 DNS proxy 是 DDNS 是 NTP 是 静态路由 是 RIP v1/v2 是 OSPF 是 策略路由(基于源、目的、服务) 是 ECMP 是 ALG(应用层安全网关) SA-5050/5040/5020/ TCP Proxy 是 H.323 是 SIP 是 FTP 是 TFTP 是 RSH 是 RTSP 是 SQL Net 是 MS-RPC 是 SUN-RPC 是 应用层安全控制 SA-5050/5040/5020/ Web关键字过滤 否 URL屏蔽列表 否 Email过滤 否 Java阻断 是 ActiveX阻断 是 内置AV防护 否 内置IPS防护 否 用户认证 SA-5050/5040/5020/ 本地用户认证 是 RADIUS 是 LDAP 是 流量监控和审计日志 SA-5050/5040/5020/ 基于会话的流量统计 是 基于地址的流量统计 是 基于安全域的连接速率统计 是 基于安全域和应用协议的流量统计 是 NAT转换事件日志 是 攻击事件日志 是 流量告警事件日志 是 实时会话统计信息(Top10/50/100) 是 P2P/IM SA-5050/5040/5020/ P2P 和IM流量分类 是 P2P 和 IM 服务阻断 是 P2P 流量控制 是 带宽限制 是 会话数限制 是 用户行为管理 是 Bit Torrent 是 eMule 是 eDonkey 是 Thunder(迅雷) 是 QQ 是 Yahoo! Messenger 是 MSN Messenger 是 Windows Messenger 是 VPN SA-5050/5040/5020/ Site-to-site IPSec VPN 是 Remote VPN 是 DES, 3DES 和 AES 是 支持SCB2 是 MD-5 和 SHA-1 认证 是 手工密钥, IKE, PKI (X.509) 是 IPSec NAT穿越 是 基于策略的VPN 是 基于路由的VPN 是 集中星形VPN 拓扑 是 L2TP 是 PKI支持 SA-5050/5040/5020/ PKI认证请求(PKCS 7和PKCS 10) 是 认证机构支持 Verisign 是 Entrust 是 iPlanet(Netscape) 是 DOD PKI 是 Baltimore 是 RSA Keon 是 Microsoft 是 QoS(流量管理) SA-5050/5040/5020/ 流量策略 是 保障带宽 是 最大带宽限制 是 优先级 是 DiffServ 标记 是 基于物理接口的速率限制 是 标记流量 是 虚拟化 SA-5050/5040/5020/ 最大虚拟系统数 默认0,可定制至500* 最大虚拟路由器数 默认2,可定制至512* 最大安全区数 默认16,可定制至1024 支持的VLAN数 4000 系统管理 SA-5050/5040/5020/ WebUI (HTTP 和 HTTPS) 是 命令行界面CLI(控制台) 是 命令行界面SSH v2 是 命令行界面Telnet 是 全中文人机界面及帮助系统 是 Syslog(多个服务器) 是 SNMP (v1/v2c) 是 Email 是 高可用性(HA) SA-5050/5040/5020/ 主动/被动 是 主动/主动 是 Full mesh 是 防火墙/VPN会话同步 是 设备故障切换 是 链路故障切换 是 路由选择变化的会话故障恢复 是 配置同步 是 第七章 技术支持与售后服务