第一章 XXXXX 省电力系统网络安全
1.1 XXXXX 省电力系统网络安全现状
XXXXX 省电力系统安全建设项目涉及总部以及各区县供电局、信息中心、培训中心、实验所等18 个下属单位。基本情况如下:
所有下属单位均通过公司总部的统一出口接入Internet,总部网络中包括营销专用网、调度专用网和财务专用网,已经通过防火墙与其它区域隔开。在总部网络中还有Mail、OA、MIS、测试、Web 等服务器,位于服务器区中。
汇聚层使用ATM 方式与下属各单位连接。目前网络当中存在如下问题:
a) 由于网络带宽增大,上网用户增多,原有软件防火墙系统性能出现瓶颈,需要部署更高性能的防火墙。
b) 原有防火墙系统版本较老,功能较弱,需要功能更强大的防火墙系统,提供更高精细粒度的安全控制。
c) 没有网关防病毒系统,在内部网络中,网络蠕虫病毒以及SMTP,HTTP 等网络病毒猖獗。
d) 内部网络IP 地址没有采取技术措施固定,没有划分VLAN,没有进行有效安全隔离,致使攻击行为很容易发生,且不易找到攻击者。
e) 没有部署VPN,外出用户无法通过Internet 安全的访问公司内网。
f) 仅在Internet 出口处部署了网络入侵检测系统,内部的网络入侵却无法发现(部署有主机保护的系统除外)。
g) 没有对来自Internet 的流量进行内容过滤。
h) 对于网络流量没有进行带宽控制,1-2 台中了蠕虫病毒的计算机就可能导致整个网络堵塞。
1.2 XXXXX 省电力系统网络安全风险分析
从XXXXX 省电力系统网络的实际情况来看,我们认为应该从以下几个方面进行全面的分析:
网络层
系统层
应用层,防病毒
下面将分别进行详细的阐述。
1.1.1 XXXXX 省电力系统网络层的安全分析
网络设备主要包括XXXXX 省电力系统网络各节点上的路由器、交换机等设备,如:路由器、交换机。网络层不仅为XXXXX 省电力系统网络提供连接通路和网络数据交换的连接,而且是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行的TCP/IP 协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。整个网络就会受到来自网络外部和内部的双重威胁。
尤其在外网Internet 中存在着大量的黑客攻击,他们常常针对web 服务器和邮件服务器作为突破口,进行网络攻击和渗透。常见得一些手法如下:IP 欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD 等)、分布式拒绝服务攻击、篡改、堆栈溢出等。黑客可以容易的在XXXXX 省电力系统网络出口进出,对系统进行攻击或非法访问。
而在XXXXX 省电力系统网络内部,基本上还没有严格的防范措施,其中的安全隐患不言而喻。如果加上安全管理上的不够完善等因素,或者在已有的服务器与单机中存在着后门程序(木马程序)的话,攻击者就可以很容易地取得网络管理员权限,从而进一步控制计算机系统,网络中大量的数据就会被窃取和破坏。
网络中只要一个地方出现了安全问题,那么整个网络都是不安全的。因此,
在XXXXX 省电力系统网络出口处应配置具有统一安全威胁管理(UTM)功能的安全网关来加强访问控制,并部署入侵监控系统,杜绝可能存在的安全隐患,来保证网络安全可靠的正常运行。
由于XXXXX 省电力系统网络是一个跨地域的广域网,有很多需要对外保密的业务数据需要通过Internet 公用网络链路进行传输,而公众网(Internet)一般没有网络安全措施,采用明文方式传输数据,如果不加密容易被非法分子窃取数据,病毒攻击以及黑客入侵。
1.1.2 XXXXX 省电力系统系统层的安全分析在XXXXX 省电力系统网络中都运行着不同的操作系统,如:Windows、Linux 等等,这些系统都或多或少地存在着各种各样的漏洞。据IDC 统计1000个以上的商用操作系统存在安全漏洞,如果这些操作系统没有进行系统的加固和正确的安全配置,而只是按照原来系统的默认安装,这样的主机系统是极其不安全的。一名黑客可以通过Unicode、缓存溢出、造成死机等方式进行破坏,甚至取得主机管理员的权限。此外,在网络中,一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限,从而控制主机。
XXXXX 省电力系统网络中存在一定量的服务器,如:数据库服务器、邮件服务器、文件等等,而这些服务器都担负着重要的服务功能,如果这些服务器(尤其是有大量的数据处理的服务器),一旦瘫痪或者因被人植入后门造成远程控制窃取数据,后果不堪设想。为了保证业务数据的正常流通和安全,需对这些重要的服务器进行全方位的防护。
1.1.3 XXXXX 省电力系统应用层的安全分析
XXXXX 省电力系统网络与Internet 相连,进行着包括Web、FTP、E-mail、DNS 等各种Internet 应用。应用系统的安全性主要考虑应用系统能与系统层和网络层的安全服务无缝连接。在应用层的安全问题,黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的,比如针对错误的Web 目录结构、CGI 脚本缺陷、Web 服务器应用程序缺陷、为索引的Web 页、有缺陷的浏览器甚至是利用
Oracle、 SAP、 Peoplesoft 缺省帐户。
应用层的安全威胁还包括对各种不良网络内容的访问,比如内网用户访问非法(如发布反动言论、宣扬法轮功等)或不良(色情、迷信)网站等。有的Internet站点上还包含有害的Java Applet 或ActiveX 小程序,如果不慎访问将有可能带入病毒和木马程序,甚至有的网页可以通过一段简单的代码直接破坏访问者计算机的数据和系统,对网络安全和效率都将造成极大破坏。
计算机病毒一直是计算机安全的主要威胁。而随着网络的不断发展,网络速度越来越快,网络应用也越来越丰富多彩,使得病毒传播的风险也越来越大,造成的破坏也越来越强。据ICSA(国际计算机安全协会)的统计,目前已经有超过90%的病毒是通过网络进行传播的。XXXXX 省电力系统网络内用户访问Internet 时,无论是浏览WEB 页面,还是收发E-mail,都可能将Internet 上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同,它们本身是一个病毒与黑客工具的结合体,当网络当中一台计算机感染蠕虫病毒后,它会自动的以极快的速度(每秒几百个线程)扫描网络当中其他计算机的安全漏洞,并主动的将病毒传播到那些存在安全漏洞的计算机上,只要相关的安全漏洞没有通过安装补丁的方式加以弥补,蠕虫病毒就会这样以几何级数的增长速度在网络当中传播,即使计算机上安装了带有实时监控功能的防病毒软件(包括单机版和网络版)对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽,造成网络拥堵,形成拒绝服务式攻击(DoS)。
因此,对于新型的网络蠕虫病毒,必须在网关处进行过滤,防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的重中之重,需要引起XXXXX 省电力系统的特别重视。
6
第二章 XXXXX 省电力系统总体安全解决方案
上面分析了XXXXX 省电力系统网络的网络状况与安全风险,XXXXX 省电力系统网络面临着黑客、蠕虫病毒、网络入侵、不良内容、垃圾邮件等的威胁,需要使用专门的安全产品,从网络隔离、病毒防护、入侵检测、内容过滤等各方面进行全方位的保护。如果在XXXXX 省电力系统网络出口分别部署防火墙、防病毒网关、入侵检测系统、内容过滤、VPN 等一系列安全产品,采购产品成本及将来的维护成本过高。我们推荐使用WatchGuard 公司的新一代硬件综合安全网关Firebox X 系列产品,在XXXXX 省电力系统网络网关处形成综合安全防护体系,提供当前最高的性价比。
XXXXX 省电力系统整体网络安全方案如下图所示:
在本方案中,我们推荐使用美国WatchGuard 公司的Firebox X 系列UTM产品,作为XXXXX 省电力系统的网关安全设备。
2.1 XXXXX 省电力系统总部
如图所示,首先我们在XXXXX 省电力系统总部的与Internet 相连的路由器后方部署2 台Firebox X8500e,配置成A-P(热备式)HA 结构。Firebox X8500e提供8 个10/100/1000 以太网口。Firebox 代表着业界最先进的技术方向,在安全、稳定、高效方面都有着极其优异的表现。Firebox X8500e 支持线性加速,高达2Gbps 的防火墙吞吐量和1,000,000 的并发连接数,完全可以满足XXXXX省电力系统的高性能要求。Firebox 防火墙支持完善的HA(高可用性)模式,当1 台设备出现故障无法继续工作时,另1 台设备仍然能够保证网络的不间断运行,对于网络的高可用性提供了良好的保障。
在Internet 的出口处部署UTM 设备,是根据前面我们对用户的网络层、系统层及应用层的安全分析后得来的。用户网络连接到Internet 面临着多种混合型的网络威胁,如病毒、网络入侵、不良网站、垃圾邮件等。如果采用专一功能的网络安全设备,用户将采购多种厂家的网络安全产品,将面临着在管理、维护上的诸多不便,使得后期的管理成本上升。同时,前期的设备硬件投入也随着设备
数量的增加而增加。采用UTM 设备,所有的安全防御功能于一身,统一的硬件平台,用户只需要使用单一的集中管理软件即可操作设备,完成对混合型网络攻击的防御。保护的前期设备投资,方便了日后的维护使用。
WatchGuard Firebox X8500e 对内部的主要防护:
□通过邮件传递的病毒再也无法通过Internet 进入到企业的邮件系统中,从而用户不会再收到含有病毒的邮件,这些病毒被Firebox
X8500e 彻底删除了;
□用户在浏览网页的时候,不会再打开含有病毒及不安全因素的网页,这些网页被Firebox X8500e 阻挡在网关以外了;
□为防止企业内部职工浏览非法的、不健康的网站,使用了FireboxX8500e 的WebBlock 功能,阻断了一些用户对不良网站的浏览行为,净化了企业网络环境;
□对P2P 应用软件进行控制,有效地保护了企业的上网资源,减少了上网带宽的浪费;
□IPS 功能有效地保护了企业对外提供服务的Web 及Mail 主机的安全,减少了主机被攻击的次数与宕机技术,提高了企业在网络上对外服务的质量;
2.2 下属各单位
XXXXX 省电力系统项目计划部署18 个下属单位,包括各供电局、科研单位、家属区、三产企业等。每个下属单位维护各自独立的网段。建议在每个下属单位的出口处各部署Firebox X750e 一台。Firebox X750e 具有3 个10/100 以太网口,提供150Mbps 防火墙吞吐量、50,000 并发连接数。与光纤网络的互联使用光电转换设备。
虽然在总的Internet 出口处部署了Firebox X8500e,可以拦截并删除来自Internet 的含有病毒的邮件。但是从企业内部的某些被感染的主机上依然可能对外发送含有病毒的邮件,这势必会造成企业网络流量的增大,以往类似情况发生后,严重影响了核心路由交换机的性能,干扰了整个企业内部网络运行。因此有必要在下属各单位的出口处部署UTM 设备,进一步加强网络安全控制。
WatchGuard Firebox X750e 对内部的主要防护:
□利用Firebox X750e 的防病毒功能,将各单位内部对外的访问进行病毒扫描,以防止各单位内部主机被动地对外发送病毒信息。即将问题控制在各单位内部而不影响他人;
□总部对P2P 应用软件进行了控制,各单位依然可以通过FireboxX750e 再进一步地加强控制,同时可以控制IM 即时通讯类软件的使
用;
□IPS 功能有效地保护了各单位内部网络主机的安全,使得企业各单位间的网络不会发起相互的攻击行为;同时做到攻击行为不出各单
位网络,不影响企业核心路由交换机的运行;
□使用Firebox X750e 的访问策略,可以有效地将各单位内部的局域网络有效地保护起来,控制其他单位包括总部用户对本单位的访问,这样可以更好地加强本地的网络安全防范;
□Firebox X750e 的部署使得整个的大型企业网络安全防范,缩小到以各供电局为单位的若干个小局域网络,加强了网络安全的可控性,将事故控制范围最小化,从而网络安全问题不会因点而影响到面;
2.3 应用服务器群
XXXXX 省电力系统的应用服务器群可以分为两类用途,一类是对Internet提供服务的“对外服务器群”,如Mail、Web;一类是企业内部应用的“对内服务器群”,如OA/File、ERP、Database、Video 等。在企业的应用服务器群前端部署一台Firebox X750e,将两类应用服务器分别连接在不同的网络接口上,如图:
WatchGuard Firebox X750e 对服务器群的主要防护:
□对外服务器群放置在Firebox X750e 的Internal-01 区中,实施从外到内仅允许HTTP、SMTP、POP3 协议通过;启用AV/IPS 功能;
□对内服务器群放置在Firebox X750e 的Internal-02 区中,仅允许内部受控IP 地址访问内部资源;启用IPS 功能;
□严格控制可以访问服务器后台的IP 地址范围;
□WebBlock 服务器为Firebox 提供网页过滤功能;
□Log/Management 服务器记录Firebox 产生的日志并产生详细的访问报告;同时对所有Firebox 进行安全的集中管理;
2.4 移动办公的VPN 通信
对于移动的办公室、出差用户、及采用ADSL 上网的分支办公室, 网关都提供了完善的解决方案。特别支持PPTP/IPSec 多种协议体系,对于用户来讲,配置和使用都非常方便。
|
