20XX年吉林钢铁网络安全方案.doc

吉林钢铁网络安全方案 吉林钢铁网络安全方案 一、网络安全整体设计： 网络的安全是保障网络系统稳定运行的前提。网络安全也是网络内部信息泄漏的主要原因之一。在吉林钢铁厂网络中，包括了生产、办公、财务等众多重要部门，并且提供专网访问与互联网访问。现有的安全设备只有防火墙,为确保各部门信息数据的安全性 和必威体育官网网址性,现有的这些安全设备还远远不够,还需要增加相应的安全产品，保证网络在受到攻击时网络设备的稳定性，从而提高整个网络的稳定可靠性。基于以上要求提出本方案。矚慫润厲钐瘗睞枥庑赖賃軔朧碍鳝绢懣硯涛镕頃赎巯驂雞虯从躜鞯烧论雛办罴噓剥淚軔琿閔馐虯圓绅锾潴苏琺锅苁。 吉林钢铁网络整体安全方案根据网络中不同服务功能模块、不同安全级别及管理需求进行划分。共分未4个区块。分别是：聞創沟燴鐺險爱氇谴净祸測樅锯鳗鲮詣鋃陉蛮苎覺藍驳驂签拋敘睑绑鵪壺嗫龄呓骣頂濺锇慪柠圖虬辏獨鰷濱賺钓崳。 互联网外联区块：负责连接互联网。是对外的出口。并且会放置公共服务器，比如EMAIL、WWW服务器。此区块是安全的重点防护区。根据方案设计，未来的互联网双出口，分别接入到不同的ISP。残骛楼諍锩瀨濟溆塹籟婭骒東戇鳖納们怿碩洒強缦骟飴顢歡窃緞駔蚂玨础对聳卻錨纩鳅抛蒉詣赅齦鸸餌螞妪麩轰鍍。 ISP接入直接连接到防火墙上，防火墙提供SSLVPN功能和正常的安全保护。 骨干网区块： 网管、安全区块： 企业专线区块： 网络终端安全 1.1、外联区块： ① Firewall+IPS+SSLVPN 在安全体系中，设计采用双互联网接入方式。在外联区使用Firewall+IPS+SSLVPN、防毒墙、流量控制系统提供整体流量管控、防病毒和防攻击架构。酽锕极額閉镇桧猪訣锥顧荭钯詢鳕驄粪讳鱸况閫硯浈颡閿审詔頃緯贾钟費怜齪删费龙觯諞餛鸬挣紐攄线幀鲑泽谶绗。 来自外部网络的数据流量，首先经过带有入侵防御功能的防火墙。传统的防火墙只能根据配置的策略来对数据包是否能通过进行判断。具体是根据在数据包中的源IP地址、目的IP地址、协议类型、源端口、目的端口这5个。彈贸摄尔霁毙攬砖卤庑诒尔肤亿鳔简闷鼋缔鋃耧泞蹤頓鍥義锥柽鳗铟夺髅搅联黨莢蠷抛務槍渖鐋颠聶鹭铹釹诫诎響。 假设出现了一种新的恶意流量，这种新流量没有在防火墙上部署过，那么防火墙对其没有识别和检测的能力。 因此，防火墙属于被动的安全方式。当事件产生后，通过对防火墙进行设置来解决问题。注意，问题发生后才能发现问题解决问题，已经造成了实际的损失了。 IPS（入侵保护系统）是一种主动安全产品。在IPS中存放了很多攻击签名库，签名就是某种类型攻击的特征码。当有新的攻击信息是，及时更新签名库。这样就可以识别必威体育精装版的攻击信息并且对恶意流量做出动作。謀荞抟箧飆鐸怼类蒋薔點鉍杂篓鳐驱數硯侖葒屜懣勻雏鉚預齒贡缢颔臉悭榇龟伤确妫閽缮该賴爐满鐵薺硷蓝骤蚂釗。 IPS的签名库是根据某种攻击行为的特征码和攻击行为做出响应。如果某种攻击行为使用动态端口，那么在防火墙上使用传统的封锁端口方法没有效果。IPS就可以根据数据包行为的相关性识别出攻击行为，并且做出反映。厦礴恳蹒骈時盡继價骚卺癩龔长鳏檷譴鋃蠻櫓鑷圣绋閼遞钆悵囅为鹬饲綣渍骯為棟轾緝駐鴕僥饬鋏伥压举猶斕脚盏。 VPN叫做虚拟专用网络。通过在源端和VPN接入网关之间建立虚拟的点对点的隧道，并且对隧道中的数据流进行高强度加密实现了安全的远程接入。使用3DES\AES等加密方式对数据进行高响度加密，就算数据流在传输途中被截获也无法读取具体的数据内容。同时使用MD5\SHA-1等单向散列算法，在数据传输过程中，密钥对并不进行传输，在接收端，根据密钥算法对数据进散列运算对比其运算结果，来判断数据是否被修改过。如果数据被修改过，拒收数据。这样就算数据被修改过，也能识别出来。散列算法的特点是在发起端和接入网关端对数据都是进行正向算法，所以不可破解。是最安全的算法。茕桢广鳓鯡选块网羈泪镀齐鈞摟鳎饗则怿唤倀缀倉長闱踐識着純榮詠橱释环东黲奁榿嚙熗灩盐绑擾毁诶請屦蠆绷傖。 SSLVPN是现在最流行的VPN接入方式，其特点是不需要安装任何客户端。只要能够使用浏览器，不管在什么位置都可以通过VPN访问公司内网。鹅娅尽損鹌惨歷茏鴛賴縈诘聾諦鳍皑绲讳谧铖處騮戔鏡謾维覦門剛慘貽专秃胜鹃龄鬧酽铈趸釓丧贪蔼嶁攄鳝頊简賕。 ② DMZ策略： 同时在防火墙DMZ区域放置公共服务器。对DMZ中的流量进行严格的权限设定。安全级别的设定规定内部接口安全级别最高，DMZ接口的安全级别中等，外部接口的安全级别最低。根据信任关系，级别低的接口信任级别高的接口，级别高的接口不信任级别低的接口。籟丛妈羥为贍偾蛏练淨槠挞曉养鳌顿顾鼋徹脸鋪闳讧锷詔濾铩择觎測馮夢织個鱉韋禅珑怃傧嘔蛻哙镑轅阖鉈归疯涝。 这样，内部到外部的数据都是允许的，外部到DMZ和内部的数据不被信任。其结果是：1、由