某石油公司广域网网络安全方案.

某石油公司广域网网络安全方案

2006年08月

目 录

第一章石油公司网络需求分析 (1)

1.1 石油公司广域网安全现状 (1)

1.2 安全风险分析 (2)

1.2.1 网络层安全分析 (2)

1.2.2 系统层安全分析 (3)

1.2.3 应用层安全分析 (4)

1.2.4 接入层安全分析 (4)

1.2.5 病毒风险分析 (5)

1.2.6 安全策略及安全管理分析 (6)

第二章安全解决方案 (7)

2.1 石油公司总部 (8)

2.1.1 冗余的安全网关 (9)

2.1.2 建立独立的DMZ安全域 (9)

2.1.3 对DMZ实施严格的访问控制 (10)

2.1.4 对应用服务器实施IPS防护 (10)

2.1.5 实施病毒防御措施 (10)

2.1.6 实施垃圾邮件过滤 (11)

2.1.7 对网页分级控制 (11)

2.1.8 对网络带宽的分配使用 (11)

2.1.9 建立可靠的VPN网络 (12)

2.2 区域网络中心 (12)

2.2.1 严格的访问控制 (13)

2.2.2 建立到总部的VPN网络 (13)

第三章WatchGuard产品技术特点 (14)

3.1 WatchGuard公司 (14)

3.2 “预防御”保护 (15)

3.2.1 什么是“预防御” (15)

3.2.2 Firebox® X架构中集成了真正的预防御保护 (15)

3.2.3 漏洞空窗期 (16)

3.2.4 强大的保护层协同工作 (16)

3.3 实时阻止恶意攻击 (17)

3.3.1 阻挡已知攻击源 (17)

3.3.2 自动更新特征 (18)

3.3.3 阻止即时消息及点对点使用 (18)

3.4 WatchGuard® Firebox®系列UTM产品 (18)

3.4.1 Firebox产品技术特点： (18)

3.4.2 Firebox® X Peak™ 8500e技术规格 (21)

3.4.3 Firebox® X Peak™ 5500e技术规格 (21)

第一章石油公司网络需求分析

1.1 石油公司广域网安全现状

目前石油公司广域网呈星形分布，以北京为中心，直接连接约70个地区分公司。各地区分公司与总部的连接是带宽为2Mbps或N×2Mbps的专用链路。专用电路租用自电信业务运营商，并且由其提供链路的服务质量保证。

广域网IP地址采用保留地址10.x.x.x。地址段由总部统一分配，各地区公司内部的地址由各自分配。

石油公司广域网主要包括主干网和地区网两大部分，通过专线远程信道将石油总部局域网与各二级局域网（或园区网）连接起来，目前并没有统一的广域网安全系统。另外，石油公司广域网还有多处Internet接入口，任何一处的网络安全漏洞都有可能导致整个石油公司网络系统被攻破。因此必须建立一个总体规划的，规范实施的广域网安全系统。

石油公司本次网络安全建设项目涉及十个区域网络中心，分别是大庆区、大连区、兰州区、新疆区、西南区、吉林区、辽河区、西安区、东南区、北京区。

按照区域网络中心的分布，建立石油公司各区域中心Internet接入链路，整合企业Internet服务，统一安全防护策略，提高Internet接入利用率，降低石油公司Internet接入的总投入成本。

每个区域网络中心的Internet接入主要职责：

1. 石油公司总部Internet接入服务；区域网络中心Internet接入服务；

2. 石油公司各区域网络中心与Internet接入的安全管理；防止病毒、不良

网页等信息流进入企业内部网络；

3. 对石油公司外部移动用户提供对石油公司内部网络的安全接入服务；

1.2 安全风险分析

从石油公司广域网的实际情况来看，我们认为应该从以下几个方面进行全面的分析：

y网络层

y系统层

y应用层

y病毒风险

y策略和管理层

下面将分别进行详细的阐述。

1.2.1 网络层安全分析

网络设备主要包括石油公司广域网各节点上的路由器、交换机等设备，如：路由器、交换机。网络层不仅为石油公司广域网提供连接通路和网络数据交换的连接，而且是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。整个网络就会受到来自网络外部和内部的双重威胁。

尤其在外网Internet中存在着大量的黑客攻击，他们常常针对web服务器和邮件服务器作为突破口，进行网络攻击和渗透。常见得一些手法如下：IP欺

骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出等。黑客可以容易的在石油公司广域网出口进出，对系统进行攻击或非法访问。

而在石油公司广域网内部，基本上还没有严格的防范措施，其中的安全隐患不言而喻。如果加上安全管理上的不够完善等因素，或者在已有的服务器与单机中存在着后门程序（木马程序）话，攻击者就可以很容易地取得网络管理员权限，从而进一步控制计算机系统，网络中大量的数据就会被窃取和破坏。

网络中只要一个地方出现了安全问题，那么整个网络都是不安全的。因此，在石油公司广域网出口处应配置具有统一安全威胁管理（UTM）功能的安全网关来加强访问控制，杜绝可能存在的安全隐患，来保证网络安全可靠的正常运行。

1.2.2 系统层安全分析

在任何的网络结构中都运行着不同的操作系统，如：Windows NT/2000/2003 Server、 HP-UNIX、Solaris、IBM AIX、SCO-Unix、Linux等等，这些系统都或多或少地存在着各种各样的漏洞。据IDC统计1000个以上的商用操作系统存在安全漏洞，如果这些操作系统没有进行系统的加固和正确的安全配置，而只是按照原来系统的默认安装，这样的主机系统是极其不安全的。一名黑客可以通过Unicode、缓存溢出、造成死机等方式进行破坏，甚至取得主机管理员的权限。此外，在网络中，一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限，从而控制主机。

石油公司广域网中存在一定量的服务器，如：数据库服务器、文件服务器等等，而这些服务器都担负着重要的服务功能，如果这些服务器（尤其是有大量的数据处理的服务器），一旦瘫痪或者因被人植入后门造成远程控制窃取数据，后果不堪设想。为了保证业务数据的正常流通和安全，需对这些重要的服务器进行