完整版xxx网络改造方案
xxx 卫浴网络安全改造 Dell - Internal Use - ConfidentialDell - Internal Use - Confidential 第一章第一章用户现状及需求分析用户现状及需求分析 1.11.1 用户网络现状用户网络现状 用户目前在网络出口处有一台 H3C F1000 的防火墙。没有部署入侵防御设备以及防病 毒网关。有多个的分支点,包括创意园,珠海厂区,美鑫富等,分支与总部之间有搭建vpn 网络。服务器区(DMZ)前面没部署安全设备,没做到七层应用的安全保护。 1.21.2网络安全需求网络安全需求 1、改造网络出口处防火墙。用下一代防火墙,通过开通入侵防御,防病毒模块来抵挡外 部的入侵行为以及病毒,间谍软件的渗入。 2、在服务器区前边部署下一代防火墙, 通过开通入侵,防病毒模块来保护服务器的安全。 做好安全访问服务器的访问策略,以及保障核心应用的带宽。 3、通过防火墙的链路负责均衡,进一步保障链路的可用性。具体描述如下: 主-主模式——多 WAN口负载均衡模式;负载均衡算法可以 选择轮询,按比例使用,或者 主线路负载到一定程度时启用第二线路。 主-被模式——多 WAN口的冗余备份模式,当主线路故障时,启用备用线路。 4、通过防火墙解决测试环境跟生产环境之间的安全问题。 生产部门维持现有的 IP 地址不 变,测试部门可以通过 DHCP 的方式,获得其他的地址范围,从而避免和生产部门在同一 子网。防火墙可以作为 DHCP 服务器来发放 IP 地址的。测试部门的电脑改为DHCP 获取 IP 地址。重启后就可以用新地址。 5、通过下一代防火墙的可视化功能。实时了解企业的网络情况,了解应用的访问情况, 当网络出现异常可以快速的定位到故障。 例如:某个应用的流量出现较高波动, 就可以快速 定位到哪个 ip,哪个用户,暂用了多少带宽,多少连接数。 6、安全改造规划。下一步的安全改造要求分支机构的防火墙要升级为下一代防火墙,必 须保障分支机构的内外也要足够安全,才能保障与总部直接的数据交换更安全。 由于企业内部没有部署专业的防病毒软件,此次的网络安全改造,开通防病毒,间谍软件 的拦截变得尤为重要。 Dell - Internal Use - ConfidentialDell - Internal Use - Confidential 第二章:第二章:Dell SoncWALLDell SoncWALL安全解决方案介绍安全解决方案介绍 2.12.1 防火墙访问控制防火墙访问控制 SonicWALL 防火墙内部集成了丰富的访问控制策略,可通过策略有效控制到什么人在 什么时候通过何种方式访问何种网络资源。 具体说来,SonicWALL 防火墙能够控制的“人”的对象包含, IP 地址,用户名,MAC 地址,这些都是一个访问的角色的唯一代表 在什么时候, 即, 可以指定此用户角色可以在什么时间段内可以依照此策略做出相应的 网络访问动作。 通过何种方式,即,用户角色通过某种服务协议,如HTTP、FTP 等方式来访问网络资 源。 访问目的资源,即,防火墙策略控制用户角色可访问的目标对象,包含IP 地址、网络 域名。 通过这种控制策略, 可以授权所有区域间的访问控制, 包含外网到内部区域的某个特定 服务器上的特定服务的访问以及内部区域间不同用户访问。 2.22.2 流量管理流量管理 SonicWALL 内置丰富的流量管理策略集,可以和防火墙访问控制规则一同部署实施, 可以针对所有的用户角色,如 IP、用户名以及访问的服务协议来分配其所能够合理使用的 网络带宽,可以细化到该用户角色所能够获得的保证带宽, 最大带宽,通过给予该用户角色 一个流量优先级。SonicWALL 内置 8 种流量优先级,从 0-7 依次优先级降低,即,当网络 带宽不足时, 优先级别高的将优先获得保障带宽, 余下的优先级别低的来分享剩余的网络带 宽。不同的流量优先级提供不同的带宽保障措施; 或者当流量足够时,优先级别高的用户角 色将在获得保障带宽的同时, 也优先获得管理员事先设定的最大带宽, 剩余的带宽将有其他 用户角色依照流量优先级别依次获得。 2.32.3SonicWALL UTMSonicWALL UTM功能以及应用层防火墙功能功能以及应用层防火墙功能 众所周知,internet 在带给大家便利的同时也带来了安全隐患,internet 在设计之初 Dell - Internal Use - ConfidentialDell - Internal Use - Confidential 就没有考虑到安全问题,网络越发达,网络间的交流越多,安全问题就越多,网络受所的威 胁越大。 当前的最大威胁来自于网络病毒以及恶意程序, 如果有效的防范一直是管理员头痛 的问题,虽然有网络防病毒的部署, 但是社会工程学以及认为因素的原因 (比如用户错误的 运行了某个恶意程序或者卸载/终止了客户端的杀毒引擎) , 病毒依旧会传入内网, 管理员压 力和责任依旧重大。 SonicWALL 全系列防火墙均支持 UTM 功能,UTM 是 IDC 的一项工业标准,是在网关设备 上起用一体化威胁管理的标准,即网关防病毒、入侵防护、反间谍软件功能。 SonicWALL 网 关防病毒支持多达 25000 种新型病毒特征,支持多达 50 多种网络协议,并且采用了自有专 利技术深度包检测技术(DPI) ,这种技术的部署使得防火墙不需要缓存文件, 对于用户并发 数以及传输的文件大小没有任何限制,可以大大提高防火墙的处理效率,减少网络延迟。 SonicWALL 的入侵防护以及反间谍软件功能均采用此技术。 调查数据显示,网络病毒、间谍软件以及攻击,不仅仅全部来自互联网,更多的时候是 来自内部,但是传统的防火墙很难防范来自内部的攻击, 由于纳入了区域管理, 内外网络以 及内部部门网络间的交流的数据都要通过防火墙,因此,在策略化起用了 UTM 功能之后, SonicWALL 防火墙可以有效防范各网络间的病毒、攻击行为以及间谍软件传播的发生。 合理的利用网络带宽、 优先保障业务流量以及规范内部网络使用internent 是提高生产 力的有效手段,在有限的带宽下,如果屏蔽 P2P 之类的如 BT、EDonkey 等带宽杀手是一个值 得考虑的问题; 另一方面, 过度的 internet 访问如 QQ/MSN 等将降低员工的工作效率, 因此, 合理的规范员工网络行为也是提高生产力的一个考虑, 但是, 而传统的状态包检测防火墙对 于这种采用动态端口技术的应用软件很多的时候显得无能为力。 SonicWALL UTM 技术采用动态签名方式来规范这些网络行为,不采用传统的端口限制等 方法来实现管理,因此,比传统的管理手段实施起来更方便,更有效。并且,这些动态签名 是实时自动更新的,不需要管理员人工干预,减轻了管理员的工作压力。 采用 DEA 架构,SonicWALL 的安全设备做到了每个小时自动更新病毒签名库和入侵 签名库。 本方案中 SonicWALL 防火墙内部集成的网关防病毒,入侵检测和防御及反间谍软件服 务,确保应用层的安全,防护针对Windows操作系统和数据库诸如Orac