1      概述

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台，极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。

志诚电子了解企业在信息安全方面面临的挑战，针对企业的信息安全系统的建设，充分考虑整体平台的安全、高可用、易管理和良好的用户体验，将整个信息系统根据接入方式、服务类型和信任等级不同划分为都多个逻辑区域，通过构建各个逻辑区域之间的边界安全，来提升整个信息系统的安全。这几个逻辑区域主要是：

1.       
互联网区域(Internet)

2.        外联网区域

3.        核心交换区域

4.        数据中心区域

5.        内网接入区域

6.        管理区域

2      解决方案

基于不同边界对应的用户访问特点、业务服务特征和潜在安全威胁，设计方案拓扑图如下：

2.1     互联网区域边界

在运营商链路接入企业网之间部署互为冗余的安全防范设备，（如下一代防火墙-NGFW，双热冗余，保证网关的高可用)。来构建企业信息系统的第一道安全防线。

下一代防火墙多采用多核并行处理技术，结合内置的DPI(深度包检测)和DFI(深度流检测)实现对双向包的L2-7的内容检测、过滤和访问控制，且内置攻击特征库和病毒库(定期更新)，使得对数据包进行解析的同时，一次完成攻击和病毒的清洗，避免像传统设备，如UTM的多次解析和联动处理。除此之外，可根据实际网络运营现状设定某些策略，如禁用Bypass、开启NAT、拒绝ICMP重定向和web发布服务的单向访问等。

当前，网络中有超过70%的安全威胁均来自应用层。但不可避讳地是，几乎所有传统防火墙厂家的优势都在于对网络层和传输层的处理，而在应用层的引擎识别和攻防经验，以及特征检测库、Web信誉库和产品成熟度等方面有所欠缺，这使得IPS在当前仍然是网络安全必不可少的一环。

因此，在下一代防火墙之后，透明串接专业的IPS设备来进一步过滤和防御来自应用层的攻击。

另外，为满足国家公安部82号令的规范，考虑到对办公人员的上网行为管理(流量管控和业务管控等)、同时保证内网终端的安全性(“沙盒”技术，恶意URL库过滤等)，以及对所有上网行为进行详细审计，建议在出口交换机汇聚后透明部署上网行为管理系统。

2.2     互联网区域服务及其边界

对于WEB访问安全，部署专业的WEB安全防护工具是一种合理的选择。传统的安全设备，如防火墙、IPS，作为整体安全策略中不可缺少的重要模块，局限于自身的产品定位和防护深度，不能有效地提供针对WEB应用攻击完善的防御能力。针对WEB应用攻击(如未知的无特征攻击、网页篡改、XSS脚本攻击和SQL注入等)，必须采用专门的机制，对其进行有效检测、防护。

WEB应用防火墙（以下简称WAF）正是这类专业工具，提供了一种安全运维控制手段：基于对HTTP/HTTPS流量的双向分析，为WEB应用提供实时的防护。与传统防火墙/IPS设备相比较，WAF最显著的技术差异性体现在：

1)   对HTTP有本质的理解：能完整地解析HTTP，包括报文头部、参数及载荷。支持各种HTTP 编码（如chunked encoding）；提供严格的HTTP协议验证；提供HTML限制；支持各类字符集编码；具备response过滤能力。

2)     提供应用层规则：WEB应用通常是定制化的，传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则，且具备检测变形攻击的能力，如检测SSL加密流量中混杂的攻击。

3)     提供正向安全模型（白名单模型）：仅允许已知有效的输入通过，为WEB应用提供了一个外部的输入验证机制，安全性更为可靠。

4)     提供会话防护机制：HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制。WAF 为此进行有效补充，防护基于会话的攻击类型，如cookie篡改及会话劫持攻击。

Web应用防护系统作为网关设备，防护对象为Web服务器，分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全解决方案。

Web应用防护系统部署在互联网区（即出口交换机与互联网服务器区之间），采用双链路设备，使得单台物理设备能同时连接2台交换机，实现链路冗余。

同时，在Web服务器上部署主机版WAF(H-WAF)软件，通过Web服务器(IIS、Apache等)的框架接口嵌入过滤模块，用于对进出WEB服务器的所有HTTP请求和响应数据包进行合法性检查和修改，同时辅以增强型事件触发检测技术，实现网页防篡改、入侵检测、可视页面不被篡改、自定义响应页面等功能。

2.3     数据中心区及其边界

在信息系统平台中，由于内网用户可随时连接公网(即使通过沙盒虚拟上网桌面也不能杜绝内部主机发起的攻击)，因此，这些主机接入对于数据中心区域来说均是不安全的访问。建议在数据中心与各个区域的边界部署一组安全设备，用于实现逻辑隔离、访问控制和流量清洗。

但另一方面，对于数据中心的服务器来说，由于允许访问用户已经通过访问控制类设备(如路由器、防火墙等)或企业行为等手段已经做了部分限制(如ACL、源IP地址限制、内部员工安全意识培训等)，相对于互联网服务器区，其访问用户信任等级较高。另外，由于数据中心服务器提供的服务特点(服务资源、服务可持续、攻击无明显特征、服务更新快等)，使得入侵防御（IPS）、应用防火墙（WAF）这类的根据特征匹配过滤和防御攻击的方式不太适合。

因此，部署基于主机服务行为、数据库审计等功能的堡垒机来加强服务器自身安全，通过实时在线更新策略和自定义策略强制保护服务器操作系统、应用程序和服务资源等，避免服务器遭受目标攻击和零日攻击。

同时，对于数据中心服务器区内的服务器Cluster集群，部署负载均衡设备提供服务器健康检查、会话保持、流量调度和SSL卸载(如有)等功能，提升服务资源的可用性和最终用户体验。

2.4     内网接入区域及其边界

对于该部分安全，主要从终端主机、终端应用&网络准入控制，以及终端和网络间的数据交换三个层次来考虑。

对于内网所有主机，安装终端安全防护代理(尽可能全面、便捷和占用主机资源少)，部署端点安全防护套件。

同时，对于所有网络的终端，进行严格的身份认证和应用检测，如应用程序绑定、终端病毒库和补丁检测、IP地址和MAC绑定等，同时检测接入终端的外设设备和非法外联（如禁止终端通过3G无线Google上网等），保证对接入内网终端的实时监控和资产审计等；

考虑接入用户数量较多，应该在交换设备上划分VLAN逻辑子网(尽可能关闭不用的VLAN端口，防止生成树攻击等)，且开启BFD链路检测和802.1x端口访问控制功能。另外，可在核心交换机开启ACL，设定VLAN之间访问控制权限。

2.5     运维管理区域安全

运维管理中心，作为整个网络的可视化和管理窗口，负责整个网络的拓扑发现、链路和流量监控、性能管理、告警管理和策略管理等。

运维管理软件

采用成熟灵活的网络管理系统，来管理网络设备资源与应用服务资源、尽量采用全中文界面，具有先进性、实用性、易用性和安全性的特点。

漏洞扫描

通过部署漏洞管理系统（也称“漏洞扫描系统”）漏洞管理能够对预防已知安全漏洞的攻击起到很好的作用，做到真正的“未雨绸缪”。相对于传统的漏洞扫描产品而言，漏洞管理产品能够为用户带来更多的价值。

漏洞管理产品从漏洞生命周期出发，提供一套有效的漏洞管理工作流程，实现了由漏洞扫描到漏洞管理的转变，实现了“治标”到“治本”的飞跃。

IDS入侵检测

由于IPS设备一般是串接在网络流量汇聚链路上，有阻止非法流量的作用。1台设备无法同时控制多链路上的流量。同时，考虑到内网的接入安全等级，可以在核心交换机以内置IDS板卡模式或旁挂IDS系统，用于同时监听多个内网段的流量(应用层攻击及SSL加密流量等)，且攻击者无法感知旁路设备，并及时告警和生成日志。

2.6     内网安全管理和准入控制

据IDC统计，一半以上的安全威胁来自于内部。企业内网所面临的安全威胁主要表现在如下几个方面：

1 补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大

由于网络内的各种平台的主机和设备存在安全漏洞但没有及时打上最新的安全补丁，或者主机和设备的软件配置存在隐患，杀毒软件的病毒特征库更新滞后于新病毒的出现或者未及时得到更新，给恶意的入侵者提供了可乘之机，使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致企业内网全部陷于瘫痪，业务无法正常进行。

2   非法外联难以控制、内部重要机密信息泄露频繁发生

员工通过电话线拨号、VPN拨号、GPRS无线拨号等方式绕过防火墙的监控直接连接外网，向外部敞开了大门，使得企业内网的IT资源暴露在外部攻击者面前，攻击者或病毒可以通过拨号线路进入企业内网；另一方面，内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去，给企业带来经济损失但又不易取证。

3   移动电脑设备随意接入、网络边界安全形同虚设

员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用，如果管理不善，很有可能携带有病毒或木马，一旦未经审查就接入企业内网，可能对内网安全构成巨大的威胁。

4   攻击方法日新月异，内部安全难以防范

已经被攻破的内网主机中可能被植入木马或者其它恶意的程序，成为攻击者手中所控制的所谓, “肉鸡”，攻击者可能以此作为跳板进一步攻击内网其它机器，窃取商业机密，或者将其作为DDoS工具向外发送大量的攻击包，占用大量网络带宽。员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件，都可能给攻击者带来可乘之机。

5   软硬件设备滥用、资产安全无法保障

内网资产（CPU、内存、硬盘等）被随意更换，缺乏有效的技术跟踪手段；员工可以随时更改自己所使用的机器的IP地址等配置，不仅难于统一管理，而且一旦出现攻击行为或者安全事故，责任定位非常困难。

6   网络应用缺乏监控，工作效率无法提高

上网聊天、网络游戏等行为严重影响工作效率，利用QQ，MSN，ICQ 这类即时通讯工具来传播病毒，已经成为新病毒的流行趋势；使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件，关键业务应用系统带宽无法保证。管理制度缺乏技术依据，安全策略无法有效落实

尽管安全管理制度早已制定，但只能依靠工作人员的工作责任心，无法有效地杜绝问题；通过原始方式：贴封条、定期检查等相对松散的管理机制，没有有效灵活实时的手段保障，无法使管理政策落实。

针对平台网络内部终端缺乏在如下方面：准入门限、非法外联、移动存储、用户行为和资产管理等的有效控制和管理，部署一套针对内网安全准入系统（NAC）。该系统整合最新的内网安全相关技术，以内网安全为中心出发点，从终端安全管理、内网行为监控、资产与补丁管理等多个角度构建一套完整的内网安全防护体系，防御各种内部非法行为和恶意攻击，通过技术手段全面贯彻落实各单位的安全管理策略。

3       整体方案亮点

l   贴合用户需求和志诚经验的全面安全防护

在方案设计阶段，通过与客户的需求沟通，明确目标网络的架构和需求，结合志诚电子丰富的项目经验，给出全方位的、多层次的端到端安全防护架构和方案。在本次项目中，涉及的安全防护主要包括：

1 物理链路安全；(专线链路备份、VLAN划分和隔离控制、MAC地址绑定、链路主备路由和双向检测BFD等)

2   接入层安全；(基于802.1x和NAC的准入控制、基于L2-7关键字的访问控制、外设和移动存储控制、非法外联等)

3   传输层安全；(C/S架构安全设备的SSL加密传输、策略下发的加密传输、加速IPSec VPN链路备份等)

4   业务层安全；(IPS&IDS、内置防毒功能应用安全产品、业务服务器访问控制等)

5   终端主机和服务器主机自身安全；(全面端点防护套件、服务器主机全加固等)

6   整体方案的高可用；(关键边界安全设备的物理冗余、服务负载均衡、设备组件的冗余和bypass功能等)

2专业、领先和成熟的安全产品和服务体系

西安志诚电子，作为知名的解决方案提供商，一直积极寻求与主流的专业安全厂家进行深度合作，致力于给客户提供全面的安全解决方案和咨询。在本解决方案中，涉及的安全产品来自国内外知名安全厂家。产品经过成熟的市场验证，保证服务的高可用和持续性。

3可视化网络和良好的用户体验

本解决方案中，通过提供全面的安全解决方案，实现了整体网络的可视化运维，包括对终端主机应用程序、链路使用流量、内网服务访问和上网行为、数据包内容和类型，以及服务资源使用等的网络设备-链路-业务三位一体的深度监控和管理，帮助客户提升对网络的监管力度和维护水平。