一、網絡現狀及安全需求描述
1��、現有網絡結構無需做任何調整��,冗余及VLAN劃分等網絡基礎建設都已全部完成�����,只需考慮網絡安全方面內容進行改造。
2、網絡現有內��、外兩套網絡��,外網與互聯網連接�����,內網不允許訪問互聯網,但需要和外網做數據交換。
3��、網絡中有WEB 服務器���,數據庫服務器���,應用服務器等��,訪問量較大,且服務器運維人員較雜���。
4、需考慮移動辦公需求�����。
5、有專線接入外網區域�����。
二��、網絡現狀拓撲圖
1���、外網拓撲圖
2���、內網拓撲圖
三�����、網絡安全整改需要添加的安全設備和管理系統
根據網絡劃分及層次,我們進行逐條分析,然后后續描述安全設備及安全管理平臺起到的作用。
(一)解決安全需求一:網絡現有內���、外兩套網絡,外網與互聯網連接,內網不允許訪問互聯網��,但需要和外網做數據交換��。
需要使用安全隔離控制設備���,如安全網閘,它可以把內��、外網的數據進行控制交互���。但是部署了網閘還不能防止惡意或污染的數據攻擊�����,還內��、外網交互之間部署相關的安全設備,如下描述:
(1)首先內網邊界處部署邊界防火墻���,可以進行數據控制交換;
(2)其次在防火墻之上再連接安全網閘��,網閘可以控制交換內��、外網的數據�����。
(3)最后,在內網防火墻與網閘之間部署防毒墻設備��,由于在網閘上使用惡意病毒過濾模塊��,會影響該網閘的處理數據能力及性能���,所以�����,單獨串接防毒墻設備,可以把內�����、外網交換的數據清除或清洗���。
(二)解決安全需求二:網絡中有WEB 服務器��,數據庫服務器,應用服務器等,訪問量較大。
該企業訪問量大���,說明業務是在快速發展中。為了迎接未來大數據���、云計算的安全挑戰,該企業通過部署如下安全設備�����,可以適當解決相關安全威脅的問題。設備與部署�����,如下描述:
(1)部署抗DDOS的安全設備:在路由器的出口外��,部署抗DDOS的安全設備�����,可以防護各類基于網絡層、傳輸層及應用層的拒絕服務攻擊�����,如SYNFlood�����、UDP Flood、UDP DNS QueryFlood、(M)Stream Flood��、ICMPFlood��、HTTP Get Flood以及連接耗盡等常見的攻擊行為���。
(2)部署帶寬控制設備:在路由器的后面部署帶寬控制設備���,可以顆粒度的帶寬控制��,確保該單位的相關業務應用能夠正常運行。
(3)部署負載均衡設備:在帶寬控制設備之后部署負載均衡設備,可以確保兩條外網專線的帶寬分發保證,還可以解決反向代理的問題�����。
(4)部署下一代防火墻:在負載均衡設備之后部署下一代防火墻�����,因為下一代防火墻可以解決應用層���、網絡層���、傳輸層等等安全控制的問題��,同時它還可以集成入侵防御、惡意病毒等模塊。加上本安全防護方案,需要使用相關的功能功能模塊�����,如入侵防御���、惡意病毒等功能模塊��。如果設備影響性能,建議單獨買入侵防御系統和防病毒網關�����。
(5)部署數據庫審計系統:在服務器區部署數據庫審計系統��,對內部的開發人員���、系統管理員等訪問��、操作、刪除數據庫系統的都可以進行審計與記錄���。它還可以根據設置的規則,智能的判斷出違規操作數據庫的行為���,并對違規行為進行記錄、報警�����。
(三)解決安全需求三:服務器運維人員較雜。
由于服務器運維人員較雜��,就是目前管理起來很混亂��。建議進行如下安全控制部署:
(1)在外網區內部署一套運維審計系統:通過該系統可以統一進行對服務器或網絡�����、安全設備的運維人員進行精細化的管理,同時��,通過該系統�����,對運維人員的所有操作都可以進行記錄和錄屏,可以滿足合規的相關要求���。
(2)部署網絡準入控制系統:無論內部用戶還是運維人員,連接網絡都首先要通過網絡準入系統允許才能連接內部的網絡���,最后,運維人員才能登陸運維審計系統�����,才可以對相關的服務器或網絡設備進行操作��。
(四)解決安全需求四:需考慮移動辦公需求
云計算���、大數據�����、物聯網等相繼出現與發展,未來移動互聯是趨勢��,所以企業一方面:應用系統需要往移動互聯的業務擴展�����;另一方面�����,內部也需要移動辦公的需要,要制定移動辦公的安全解決方案��。從如下進行解決:
(1)部署遠程接入辦公平臺:在服務器區部署遠程接入辦公平臺,該系統作為移動辦公接入用���,主要用于員工在外網通過VPN方式接入訪問相關的業務系統�����,同時根據不同用戶設置不同權限�。
(五)解決安全需求四:其它方面的安全防護與管理。
(1)部署網絡版殺毒軟件:前面的下一代防火墻中含有惡意防范的模塊,在橫向可以解決網絡層面的病毒防范。同時在終端與服務器上都需要安裝殺毒軟件。在終端及服務器上統一部署網絡版的殺毒軟件����,病毒更新及清除��,可以統一在網絡版的服務端進行相關操作。
(2)部署漏洞掃描安全評估系統:在內網中部署漏洞掃描安全評估系統,可以及時掌握內網服務器、終端等漏洞情況�,能夠快速地進行制定安全防御的措施�。
(3)部署統一補丁管理服務器:在內網部署統一補丁管理服務器��,可以對漏洞掃描安全評估系統掃描出的相關漏洞�,通過補丁管理服務器進行統一更新�,確保操作系統的安全、穩定運行。
(4)部署PKI/CA數字證書管理系統:根據相關的應用系統防范要求,一方面,可以滿足,如針對國家信息安全等級保護“等保要求“中,”兩種身份鑒別方式的要求“;另一方面����,可以提高應用系統或其它系統的安全身份鑒別的防御能力�。(5)部署安全管理中心系統:在內網中部署安全管理中心系統對服務器��、網絡設備��、安全設備等采集各個設備的資源監控、日志告警,具備事件關聯功能��,提供報表和告警��。方便統一安全監控與管理��。
(6)部署桌面管理系統:在內網中部署桌面管理系統用于對辦公局域網計算機設備行為管理和相關數據統計��,并能進行終端的行為管理,及時更新最新補丁供終端下載更新等�,可用來減少潛在的安全隱患��,起到減少安全隱患、預防安全事件發生的作用��。
(7)部署IT集中運行監控系統:在內網中部署IT集中運行監控系統�,它主要監控服務器主機�、數據庫、中間件、網絡設備����、虛擬化平臺的以下信息:性能監控����、日志收集����、故障監控。當監控到某臺設備無法響應監控系統的訪問時,將告警信息通知相關管理員�,管理員再聯系維護人員進行處理�,起到盡早發現并處置故障的作用��。
13580762200/13725734438/18028990096
