CheckPoint防火墙网络安全解决方案.docx

CheckPoint防火墙网络安全解决方案????第一章 安全威胁 自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。 由于网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，网络可能存在的安全威胁来自以下方面：（1） 操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC；（2） 防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验；（3） 来自内部网用户的安全威胁；（4） 缺乏有效的手段监视、评估网络系统的安全性；（5） 采用的TCP/IP协议族软件，本身缺乏安全性；（6） 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。? 由于此次安全方案我们主要注重是网络层次出发，因此在上述的安全威胁中我们也主要是从网络的安全层次考虑，例如我们注重考虑防火墙类型的选择确保防火墙自身的安全性问题；我们也注重考虑采用具有TCP/IP协议栈完全分析能力的防火墙技术，确保对TCP/IP协议栈中漏洞的检测，反之，对于桌面操作系统的安全系统的考虑，则需要企业管理部门加强员工的自身安全素质以及采用一些强制管理手段实现了。在企业内部的互连上，我们重点考虑了客户的需求，采用VPN技术来实现分支结构间的数据的安全传输。?第二章网络结构分析及安全需求?现有网络拓扑图：??????? 2.1 公司网络整体结构分析?2.1.1 网络结构从公司的网络结构拓扑图中可以看出，公司通过网通10M光纤专线接入Internet，并通过上网管家来控制内部员工访问Internet。内部由csico 3550核心交换汇聚整个企业网络。并且连接cisco 2950,华为等各layer 2楼层交换机以及远端交换机接入PC桌面。服务器群与核心交换前兆级连为企业内部提供DHCP、mail、等服务。????2.2企业网络安全需求概述 2.2.1 主要网络安全威胁网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此，它的风险将来自对企业的各个关键点可能造成的威胁，这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中，相对于过去的局域网、主机环境、单机环境，安全问题变得越来越复杂和突出，所以网络安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则，减少必威体育官网网址信息的介入范围，尽力消除使用者为使用资源不得不信任他人或被他人信任的问题，建立起完整的安全控制体系和保证体系。通过以上对网络结构的分析不难看出，目前公司企业网络有一定的规模，结构复杂，使用了多种网络设备，网络上运行着DHCP,Mail,Web等应用程序，并且将来还会进行服务器群集的扩展。因此，我们认为，公司计算机网络安全应该从以下几个层面进行考虑：第一层：内部网络与Internet的连接，其中包括? 公司内部用户访问Internet时带来的威胁；第二层：内部网络不同网段之间的连接，? 安全级别不同部门之间连接带来的威胁? 内部用户访问服务器群集连接带来的威胁? 其中外部网络攻击威胁主要来自第一层，内部网络的安全问题集中在第二层上。以下我们将就外部网络安全和内部网络的安全问题展开具体讨论。?2.2.2 来自外部网络与内部网络的安全威胁 来自外部网络的安全威胁? ?来自Internet直接的安全威胁：由于业务的需要，公司企业网络与Internet会有一定的连接，如果内部和外部没有隔离措施，内部系统较容易遭到攻击。现在公司内部网络与Internet的隔离，仅通过“上网管家”来实现，这是远远不够，也非常危险的。“上网管家”是一个Internet管理软件，提供用户管理，以及基本的访问策略。现在的网络攻击已经从简单的针对网络层的攻击向高层转移，基于应用的攻击是如今黑客关注的焦点，也是未来网络安全攻防的趋势。这种简单的基于OSI3层源、目标地址以及端口号机械的检测，对于复杂的连续性事件攻击、ip分段重叠攻击、以及基于应用层的攻击行同虚设。这种连接使公司企业内部网络很容易受到来自Internet网络的攻击。攻击一旦发生，首先遭到破坏的将是公司主机，另外，通过登录公司的主机，侵入者可以继续攻击公司内部网络的其他部分。攻击的手段以及可能造成的危害多种多样，如:? 释放病毒，占用系统资源，公司主机不能完成相应的工作，造成系统乃至全网的瘫痪；? 释放“特洛伊木马”，取得系统的控制权，进而攻击整个公司内部网络；? 利用“意大利腊肠