一、项目背景
广州市经贸委信息网络平台的应用系统从功能上区分,主要有:OA系统、网站等。应用服务器的操作系统主要是以Windows系统为主。从应用系统的访问源和数据流向来分,主要分两种:一是内部办公用户访问,这些系统不对互联网开放,如OA系统,外出人员可通过VPN访问内部OA,;二是网站系统,网站服务器是托管在外ISP处。由于广州市经贸委信息网络运行已有8年时间,设备老化,故障率提高,缺少网络安全监控手段等问题日益影响整个网络的稳定可靠,随着近年来平台应用的日益增多,网络性能也面临着严峻的考验。同时,网络病毒的泛滥对网络的安全和稳定都造成极大的影响。因此,需要进行新的改造和升级。通过升级网络安全平台,能够满足平台扩展的发展需求,通过平台之上对现有的应用进行功能深化和改造,可大幅度地提高办公效率。为广州市经济贸易委员会领导的宏观指导和决策提供及时准确的信息。
二、项目需求
针对经贸委的各种应用,有多种的保护机制,如划分VLAN、MAC地址绑定、配合ACL等具体技术提升整个网络的安全性。针对经贸委网络的特点,网络安全的部署和实施应该从具体应用对安全的需求出发,根据需求部署相应的安全机制、制订相应的安全策略、部署安全设备。作为经贸委工作、管理、学习的支撑平台,为了保证上层各个应用系统的稳定运行,办公网本身的可靠稳定健康运行极为重要。因此,必须建立一套有效的网络管理系统,以保障核心业务系统和关键应用系统的7*24小时不间断的运行。网管系统必须实现对网络的集中监控和对网络资源的合理使用,必须随时全面地、深入地了解网络设备的健康状态、流量状态以及流量趋势状态和流量结构状态等,从而提供高水平的面向应用的网络服务质量和网络运维服务水平。办公网网管系统应按照二个层面进行设计:(1) 网络层管理:包括网络拓扑和网络性能管理。显示内容专业化,纵观全局;可以分析全网流量状态、流量结构等信息,并提供专业报告。(2) 设备层管理:包括设备的故障管理与配置管理,以及日常监控。相关内容细致化,操作便利。
三、建设目标
(一)建设目标与思路
建立完善的防火墙/VPN体系、防病毒体系、终端安全系统、入侵防御体系、边界防护安全系体,通过制定安全规范,达到资源共享,提高办公效率和质量和网络安全性,提高决策能力、管理能力、应急能力,提供安全保障。加强对所连接的重要网络出口的安全控制,引入专业安全服务机制,加强机房安全管理,加强技术培训,完成“应用支撑平台安全应用”的框架搭建,建设一个结构先进,安全稳定,功能齐全的安全网络平台。
(二)项目建设主要任务
广州市经贸委信息网络安全管理项目的建设,建立以信息安全等级化保护为目标的安全服务,在网络边界和内部引入了访问控制措施、入侵检测措施和网关过滤措施,强化边界访问的授权、受控。解决了重要服务器、网络设备的安全隐患发现和解决。解决了网络管理员维护主机系统、网络系统的工作效率问题。解决了网络内的病毒控制等问题。对网内的安全事件进行统一的整理和归纳,确保网络的整体安全。主要任务:
1)防病毒网关
2)防火墙系统
3)入侵防御系统
4)局域网交换机系统
5)桌面管理管理系统
6)加强机房安全建设
7)建立以信息安全等级化保护为目标的安全服务。
四、网络拓扑
五、方案说明
安全区域划分
根据前面对广州市经贸委网络的分析,重新对网络进行了安全域的划分,共划出五个安全区域:
(1)公用服务器区域,提供广州市经贸委网络用户应用系统访问服务。
(2)政府大院办公区域,主要包括政府大院内各部门工作人员日常办公的终端设备。
(3)府前大厦办公区域。
(4)办证大厅办公区域。
(5)机械大厦办公区域。
防火墙系统
采用高性能防火墙RG-WALL 1600S作为安全网关出口。
-
通过防火墙连接,对不同安全区域进行隔离。可以达到保护脆弱的服务、控制对各个服务器的访问,防止非法使用数据和策略执行等功能。这样在外部网络接入时,全部通信都受到防火墙的监控,通过防护墙的策略可以设置成相应的保护级别,以保证系统的安全。
-
过滤网络中不必要传输的垃圾数据。防火墙是一种网关型的设备,各个区域之间的通信,可以通过防火墙的添加,保障如果在其上添加一些策略,就可以过滤掉部分无用的信息,只要网络中传输必要的应用数据。
-
通过防火墙的流量控制,调整链路的带宽利用。同样由于防火墙是一种网关型的设备,而且防火墙具有流量控制的特性,可以依据应用来限制流量,来调整链路的带宽利用。
-
通过防火墙的保护,提高系统的安全性。使得服务器区不受到黑客的攻击,黑客无法通过防火墙进行扫描、攻击等非法动作。
-
如果加装日志、审计服务器,可以进一步加强网络的可控性。
-
高性能的应用层控制。防火墙提供应用级透明代理,可以对高层应用(HTTP、FTP、SMTP、POP3、BT、P2P)做了更详细控制,
-
防病毒引擎,过滤网络病毒。
-
VPN,提供远程用户VPN接入内部网络。
入侵防御系统
采用天融信入侵防御系统TI-2230-IDP对网络进行防护。
入侵防御提供主动、实时的防护,具备对2到7层网络的线速、深度检测防御能力;同时配合以精心研究、及时更新的攻击特征库,既可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构的防护、网络性能的保护和核心应用的保障。入侵防御系统具有以下功能:
-
强大的抗DOS/DDOS攻击能力;
-
准确的蠕虫、后门、木马、漏洞、间谍软件、Web攻击防御能力
-
繁多的垃圾应用、流行P2P/IM、热门游戏的过滤控制能力;
-
智能的VIDP功能:针对不同的网络环境和安全需求,制定不同的防御规则和响应方式,每个虚拟系统分别执行不同的规则集,实现面向不同对象,执行不同策略的智能化入侵防御;
-
人性化的UI管理系统:提供快捷方便的本地管理、分布式管理功能;支持多台设备的集中管理
-
丰富的报表分析统计功能:提供多种攻击检测、阻断、报警等信息的报表统计功能。
防病毒过滤网关
采用天融信的TF-7514-Virus进行病毒过滤。
防病毒过滤网关系统必须可对SMTP、POP3、IMAP、HTTP以及FTP这些网络中主要的应用协议进行病毒过滤和防护。以透明接入的方式安装在网络的入口处,就能直接保护局域网免受各类病毒、蠕虫、木马和垃圾邮件的干扰,而且可简化管理员的管理工作,实现自动升级、报警等众多功能。
-
全面的病毒解决方案:
防病毒过滤网关具有病毒防护、防间谍软件、反垃圾邮件、防网络钓鱼欺诈等全面的防护功能。
防病毒过滤网关可以处理以下协议:SMTP、POP3、HTTP、FTP和IMAP,全面保护公司邮件、WEB使用以及文件传输过程对病毒的防护解决方案。而且管理员可以自行选择对病毒的处理方式,包括清除病毒、删除文件、隔离病毒或是记录日志的方式。而且还可以在相应的协议中设置一些附加功能,如对关键字的过滤,对特定文件类型的扫描和过滤等功能。
-
阻止和拦截网络欺骗行为:
网络钓鱼等网络欺骗行为利用欺骗性的E-mail和伪造的Web站点来进行诈骗活动,使受骗者泄露自己的重要数据,如信用卡号、用户名和口令等。对于越来越多的网络欺诈行为,防病毒过滤网关可不断收集和总结这些欺骗行为的特点,在它们进入到网络的入口时直接拦截,防止这些欺骗性的邮件影响正常工作。
-
双通道的病毒防护功能:
在过滤网关内部采用创新技术建立两条病毒扫描通道,两条通道之间相互隔离,增加了产品的可扩展性。在组网时,用户可以利用同一台过滤网关的第二条扫描通道单独对防火墙的DMZ区的服务器组实现病毒防护,更加增强了安全性,节省成本。
-
透明的扫描方式:
大多数传统的解决方案工作在OSI的应用层,以代理的方式截获数据进行扫描:客户机首先连接到防病毒网关,防病毒网关再连接到真正的服务器,转发并扫描通过的数据流,这种方法丢失了很多有用的客户端及服务器的信息。
内网管理系统
部署桌面锐捷管理系统软件SMP 2.x和锐捷桌面审计组件,对内网办公区网络安全行为进行全面监管,检测并保障桌面系统的安全。
-
桌面行为监管,对桌面系统上拨号行为、打印行为、外存使用行为、文件操作行为的监控,确保机密数据的安全,避免了内部保密数据的泄漏。
-
桌面系统监管,使管理员能够轻松进行局域网的管理维护,解决了桌面系统基础信息难以及时、准确掌控的问题,规范了客户端操作行为,提高了桌面系统的安全等级。通过系统监管模块管理员能够远程查看桌面系统当前的详细信息,包括:已安装软件、已安装硬件、进程、端口、CPU、磁盘、内存等。
-
系统资源管理,为管理员提供了Agent管理、IP管理等功能,能对网络内的Agent进行有效管理,避免IP地址混乱、非法接入等情况。
局域网交换机系统
广州市经贸委的网络交换机采用的都是传统二层交换机,不具备管理和VLAN的划分;随着网络应用的深入,网络中各种数据的传输需要高性能的网络设备,目前的网络设备已经不能满足应用的需要,需要对目前的局域网交换机进行更换。锐捷高性能RG-S RG-S2928G-E能够解决网络传输性能问题,可以通过划分VLAN、端口绑定等等对网络进行管理。
