田野网络设计

安全威胁


2.存在的安全威胁
1）外部威胁 企业网络的外部安全威胁主要来源于以下几个方面： （1）病毒侵袭； （2）黑客入侵； （3）垃圾邮件； （4）无线网络、移动手机带来的安全威胁。 2）内部威胁 企业网络的内部安全威胁主要来源于以下几个方面： （1）用户的操作失误带来的安全问题； （2）某些用户故意的破坏，如被解雇或工作变动的职员因对公司的不满而对企业网络进行破坏或盗取公司 的机密信息； （3）用户的无知引起的安全问题。 3）网络设备的安全隐患 网络设备是网络系统的主要组成部分，是网络运行的核心。网络运行状况根本上是由网络设备的运行性能 和运行状态决定的，因此，网络设备稳定可靠的运行对整个网络系统的正常工作起着关键性作用。特别是 对于可以通过远程连接TELNET、网管、WEB等方式进行配置管理的网络设备（如路由器、防火墙等）容易受 到入侵的攻击，主要的安全隐患表现在以下几个方面：
3）NAT配置 NAT技术能够解决IP地址不够的问题，同时，也能够隐藏网络内部信息，从而保护内部网络 的安全。 RG-WALL防火墙支持源地址一对一的转换，也支持源地址转换为地址池中的某一个地址。 用 户可通过安全规则设定需要转换的源地址（支持网络地址范围）、源端口。此处的NAT指正 向NAT，正向NAT也是动态NAT，通过系统提供的NAT地址池，支持多对多，多对一，一对多， 一对一的转换关系。 4）配置安全规则
VPN双机热备份

本方案采用远程安全接入和边界安全防护的组合解决方案。 针对本企业对系统和数据的高可用性和高安全性的需求， 采用了两台RG-WALLV160S通过HA实现双机热备，双网链路 冗余。该方案为用户提供了强大的容错功能，避免了单点 故障，快速自动恢复正常通信。网络本身通过VPN网关实 现数据在广域网链路中的安全传输，防止被窃听或被篡改。 设计中两台RG-WALLV160S之间通过HA来实现双机热备，主 机和备机通过一条串口线连接，正常工作时，主机处于工 作状态，备机网口处于down状态，主机和备机的配置完全 相同，并通过串口线同步动态信息，更加增强了网络的可 靠性，当主机出现问题或者链路不通时，备机将在3~6秒 钟之内进入工作状态，接管主机的工作，整个切换过程平 滑透明，网络用户只会感觉到有短暂的加大，不会对整个 网络造成大的影响。



安全规则的配置可以说是防火墙最重要的配置了，因为没有安全规则，防火墙是不能转发数 据流的。默认情况下，防火墙的行为是，除非明文允许，否则全部禁止。防火墙支持的安全 规则有包过滤、NAT、IP 映射、端口映射和代理等。
5）配置防火墙主机保护 增加主机保护确保关键服务器的安全稳定，用于保护服务器访问时不会因为攻击而过载。
企业网总体设计

1.企业网总体设计拓扑图
图11-29 企业网络拓扑图
IP地址规划
其部门的IP地址规划如表11-4所示。 设备IP地址规划如表11-5所示。

设备 端口 GE1 防火墙 GE2 GE3 Fa0/1 Fa0/2 Fa0/3 交换机 IP地址 192.168.4.2 192.168.10.1 222.208.42.106 192.168.1.1 192.168.2.1 192.168.3.1 VLAN ID 4 10 / 1 2 3 重要部门 服务器群 涉密部门 财务部 人事部 市场部 业务部 其他部门 行政部 192.168.15.0/24 192.168.12.0/24 192.168.14.0/24 192.168.20.0/24 192.168.21.0/24 192.168.22.0/24 192.168.23.0/24 部门 IP网段 VLAN ID 15 12 14 20 21 22 23
防火墙的部署
在防火墙的部署方式上，类似于区域 分割的三角方式，是指将网络分为内 部网络（军事化区域）、外部网络和 DMZ区域。例如，将Web服务器、邮件 服务器、DNS服务器、前台查询计算机 等放置在DMZ区域，而内部的文件服务 器、数据库服务器等关键应用都放置 在内部网络中，从而使它们受到良好 的保护，如图11-30所示。
4. VPN与IDS联动 网络安全不可能完全依靠单一产品来实现，网络安全是个整体，必须配相应 的安全产品。作为必要的补充，入侵检测系统（IDS）可与安全VPN系统形成 互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码 对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应 （阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。入侵 检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检 测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为将通过报警、 通知VPN设备中断网络（即IDS与VPN联动功能）等方式进行控制（即安全设 备自适应机制），最后将攻击行为进行日志记录以供以后审查。
Fa0/4
Fa0/5 Fa0/6
192.168.4.1
192.168.5.1 192.168.6.1
4
5 6
Fa0/7
IDS MON EHT1 ETH0 ETH1 ETH0
192.168.7.1
192.168.3.2 192.168.8.1 192.168.15.1 192.168.9.1 192.168.15.2



（1）人为因素；
（2）网络设备运行的操作系统存在漏洞； （3）网络设备提供不必要的服务； （4）网络设备没有安全存放，易受临近攻击。
企业网络安全建设的原则








1）系统性原则 企业网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、信息系统攻 防技术的深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗 御风险的能力降低。 2）技术先进性原则 企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用先进、成熟的安全技 术和设备，实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。 3）管理可控性原则 系统的所有安全设备（管理、维护和配置）都应自主可控；系统安全设备的采购必须有严格的手续； 安全设备必须有相应机构的认证或许可标记；安全设备供应商应具备相应资质并可信。 4）适度安全性原则 系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性，在允许的风险范围内尽量减少 安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无 法执行。 5）技术与管理相结合原则 企业网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决 方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技 术或单靠管理都不可能真正解决安全问题，因此必须坚持技术和管理相结合的原则。 6）测评认证原则 企业网络系统作为重要的政务系统，其系统的安全方案和工程设计必须通过国家有关部门的评审， 采用的安全产品和保密设备需经过国家主管理部门的认可。 7）系统可伸缩性原则 企业网络系统将随着网络和应用技术的发展而发生变化，同时信息安全技术也在发展，因此安全系 统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。
企业网络安全方案设计






1.企业网络业务安全需求 （1）控制网络不同部门之间的互相访问； （2）对不断变更的用户进行有效的管理； （3）防止网络广播风暴影响系统关键业务的正常运转，甚至导致系 统的崩溃； （4）加强远程拨号用户的安全认证管理； （5）实现企业局域网与其他各网络之间的安全、高速数据访问交换； （6）建立局域网的立体杀毒系统； （7）建立WWW服务器，实现企业在Internet和Intranet上的信息发布， 使公司内外的人员能够及时了解公司的最新信息； （8）建立邮件服务器，实现企业工作人员与上级机构、分支机构之 间的电子信息的传递； （9）构建起企业运行基于网络设计的Client/Server(客户机/服务器 )或Browser/Server(浏览器/服务器)结构的办公自动化系统、各种信 息管理系统的网络硬件平台和系统运行平台。
VPN安全

3. VPN与防火墙双重防护关键服务器群

在服务器群网络外部署的两台VPN外又添加了两台虚拟防火墙，从而提高关 键位置的安全性及敏感数据的安全性。以此防止恶意用户在网络中进行非法 网络攻击及网络访问。并能同时保证公司带宽投入得到有效地利用。就算黑 客能突破虚拟防火墙，里面还有一层VPN认证防护，提高了安全级别。

虚拟专用网设计

1. VPN系统部署 VPN系统部署的详细拓扑结构如图11-31所示。
图11-31 VPN部署
VPN系统部署






1、总部网络VPN系统部署 RG-WALL V160S作为认证网关，对内网的关键服务器进行认证控制，非授权 用户不能访问。USB KEY 保障密钥的安全性，进一步降低安全使用风险。两 台数据中心的RG-WALLV160S通过HA实现双机热，双网链路冗余和状态热备快 速故障恢复。 2、分支机构VPN系统部署 企业分支机构一般指分布在全国各地规模中等的分公司，公司内部建有中等 规模的局域网，同时通过当地ISP提供的宽带接入方式接入Internet并安装 一台VPN设备，作为客户端接入总部。 3、移动办公网点VPN系统部署 采用L2TP+IPSEC隧道协议，接入总部，用户即使在乘坐车船甚至飞机的途中， 可随时随地实现移动办公，犹如在办公室一样方便流畅地交流信息。 4、合作伙伴VPN部署 商业合作伙伴可能要实时共享某些信息，网络类似分支机构接入，通过防火 墙策略设置访问权限 。




2. 防火墙应用规则与配置 1）配置IP/MAC绑定与主机保护 设置IP/MAC地址绑定，就可以执行IP/MAC地址对的探测。如果防火墙某网口配置 了“IP/MAC地址绑定启用功能”、“IP/MAC地址绑定的默认策略（允许或禁 止）”，当该网口接收数据包时，将根据数据包中的源IP地址与源MAC地址，检 查管理员设置好的IP/MAC地址绑定表。如果地址绑定表中查找成功并匹配，则允 许数据包通过，不匹配则禁止数据包通过。如果查找失败，则按缺省策略（允许 或禁止）执行。 使用命令添加IP/MAC地址绑定： 语法： ipmac add <ip> <mac> [ if { <name> | none} ] [ unique { on | off } ] 参数说明： ip 指定IP地址， mac 指定MAC地址， if 指定相应的网络接口，可 选参数，默认为不指定网络接口 unique 指定是否进行MAC地址的唯一性检查， 可选参数，默认为不检查。 例如， firewall>ipmac add 172.18.56.254 00:05:66:00:88:B8 if none unique off

图11-30 防火墙部署
企业网络拥有自己的FTP、Web和Mail等服务器，并对Internet及内部用户 提供相应的服务。其中，将向外提供服务的主机旋转在DMZ区，以保证内部的 安全。在接入Internet时，本方案选择使用防火墙来接入，并实现NAT、PAT和 ACL等配置方案。
防火墙应用规则与配置
防火墙应用规则与配置

2）配置防火墙URL过滤
WEB服务是Internet上使用最多的服务之一。Internet上信息鱼龙混杂，存在部分不良信息， 因此必须对其访问进行必要的控制。RG-WALL防火墙可以通过对某些URL进行过滤实现对访问 不良信息的控制。通过使用黑名单和白名单来控制用户不能访问哪些URL，可以访问哪些URL。
7
3 8 15 9 15
右VPN
订单部
采购部
192.168.24.0/24
192.168.25.0/24
24
25
左VPN
表11-4 部门IP地址规划表
表11-5 设备Iห้องสมุดไป่ตู้地址规划分配表
功能模块设计分析





本方案主要实现以下几个功能模块： （1）防火墙功能模块，主要实现防火墙的部署、防火墙策略设置、 与IDS联动等； （2）虚拟专用网功能模块，主要实现双机热备、与防火墙双重防护 关键服务器群、与IDS联动、PKI用户认证设置、IPSec VPN和VPN虚拟 子网设置等； （3）入侵检测功能模块，实现与防火墙的联动； （4）三层交换机安全功能模块，主要实现VLAN、IP与MAC绑定、与 IDS联动等； （5）病毒防护功能模块等。