网络安全规划书.doc

南通质监局网络安全规划书 　　一、功能需求、网络构架 　　在整个业务流程中我们根据功能需求，将网络分为互联网，政务外网，政务内网三部分：互联网负责与外部网络进行数据交换，政务外网包括各质监业务系统，政务内网负责与政府各部门的公文交换；内网与外部网络间设置防火墙，内外网数据通过数据交换平台进行交互；政务内网与其他网络物理隔离，通过专线连接政府网络，实现信息交换。 　　二、网络安全规划 　　（一）计算机系统安全级别 　　网络安全从本质上讲就是网络上的信息安全。计算机网络是由一个一个计算机系统节点组成，每个节点都是影响整个网络安全的重要环节。 质监网络系统应保护质监数据和质监信息的安全，对存取数据的权限进行控制，确保非授权用户无法访问数据，对用户进行多级授权。 　　（二）与外网数据交换安全规划 　　质监网络系统通过防火墙与互联网进行隔离，实现访问控制：互联网用户只允许访问浏览质监门户网和访问对外公开的业务系统；对非法用户进行过滤,避免非法用户通过数据交换平台对内网访问。为了防止其它外网用户进入内部网络，采用SSL-VPN专用通道，对访问权限进行控制，更好的保护了内部的网络和系统安全。 　　（三）安全产品选型 　　网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，同时监视网络运行状态。 　　目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。 　　包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但它的缺陷也是明显的,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。 　　代理型防火墙也可被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 　　监测型防火墙是新一代的产品, 不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。它能对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上有效地判断出各层中的非法侵入,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。其缺点是实现成本较高,不易管理。所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。 考虑到质监网络系统的安全性需求和成本因素，应选用综合性网络防火墙，外网采用包过滤及地址转换为主的防火墙；辅助于监测型技术，以减少成本，提高安全性需求。 为防止出现单点故障影响整个网络的连通性，采用双防火墙做虚拟化冗余的技术，既提高了防火墙的整体性能，避免出现访问瓶颈，又提高了系统的稳定性。 　　三、安全策略定制 　　（一）网络IP地址的分配 　　IP地址规划是TCP/IP网络规划中极其重要的组成部分。在网络系统安装调试前要做好需求分析，并以此做好IP地址规划和子网划分工作。 　　根据目前的网络规模以及今后预期网络发展方向，采用NIC（国际网络信息中心）定义的Internet保留IP地址中的C类网段IP地址作为内网私有IP地址。 　　市局内网采用的IP网段10.132.97.0，每个子网最多有254台主机。 　　10.132.97.0＝Network address 255．255．255．0＝Subnet Mask 　　（二）防火墙的关键配置 　　防火墙 　　对内以太网端口eth1:类型10/100M baseT；IP地址10.132.96.2 掩码255.255.255.0 　　对外以太网端口eth0:类型10/100M baseT；IP地址218.91.233.210 掩码255.255.255.248 　　 包过滤 　　包过滤技术为防火墙提供最基本的安全保障，包过滤为所有进出网络的数据提供一个有用的阻塞点，通常在正常数据包通过时，他表现得同普通路由器一样，只有有些地址被禁入或禁出时，才表现出与普通路由器的不同。 　　包过滤技术可以允许或拒绝某些地址的数据包通过防火墙进入网络。对包过滤规则的设定依据有：数据包的源端，目的端地址；数据包的传送协议；每个包使用的端口；数据包的传输方向；数据包通过的网络接口；数