该方案特点:
通过安全网关(被动防御体系)与入侵检测系统(主动防御体系)的互动,实现"主动防御和被动防御"的结合。对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。两者的联动示意如下图:
方案概述:
某市电力局为安徽省级电力公司下属的二级单位,信息化程度较高,目前已经建成生产技术和运行子系统、用电管理子系统、办公自动化子系统、财务子系统、物资子系统和人劳党政子系统等。
该电力局内部网络与三个外网相连,分别通过路由器与省电力公司网络、下属六个县局网络和银行网络进行数据交换。
解决方案
通过对该电力局的网络整体进行系统分析,考虑到目前网上运行的业务需求,本方案对原有网络系统进行全面的安全加强,主要实现以下目的:
保障现有关键应用的长期可靠运行,避免病毒和黑客攻击;
防止内外部人员的非法访问,特别是对内部员工的访问控制;
确保网络平台上交换的数据的安全性,杜绝内外部黑客的攻击;
方便内部授权员工(如:公司领导,出差员工等)从互联网上远程方便地、安全地访问内部网络,实现信息的最大可用性;
能对网络的异常行为进行监控,并作出回应,建立动态防护体系。
为了实现上述目的,我们采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案,如下图所示。
主动防御体系
主动防御体系由漏洞扫描和入侵检测及与安全网关的联动系统组成。
主要在网络中心增加 “入侵检测系统”、“漏洞扫描系统”和统一的“安全策略管理”平台。用户主动防范攻击行为,尤其是防范从单位内部发起的攻击。
对在企业内网发起的攻击和攻破了安全网关第一道关卡的黑客攻击,可以依靠入侵检测系统阻断和发现攻击的行为,同时通过与安全网关的互动,自动修改策略设置上的漏洞不足,阻挡攻击的继续进入。
本方案在交换机上连入第三方的入侵检测系统,并将其与交换机相连的端口设置为镜像端口,由IDS传感器对防火墙的内口、关键服务器进行监听,并进行分析、报警和响应;在入侵检测的控制台上观察检测结果,并形成报表,打印。
在实现安全网关和入侵检测系统的联动后,可以通过下面方法看到效果:使用大包ping位于安全网关另一边的主机(这属于网络异常行为)。IDS会报警,ping通一个icmp包后无法再ping通。这时检查安全网关“访问控制策略”会发现动态地添加了阻断该icmp的策略。
“漏洞扫描系统”是一种网络维护人员使用的安全分析工具,主动发现网络系统中的漏洞,修改安全网关和入侵检测系统中不适当的设置,防患于未然。
“安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等),作到系统安全的最优化。
被动防御体系
被动防御体系主要采用上海安达通公司的SGW系列安全网关(Firewall+VPN)产品。
在Cisco路由器4006与3640之间,插入安全网关SGW25是必须的。主要起到对外防止黑客入侵,对内进行访问控制和授权员工从外网安全接入的问题,SGW25在这里主要发挥防火墙和VPN的双重作用。
1) 保障局域网不受来自外网的黑客攻击,主要担当防火墙功能;
2) 能够根据需要,让外网向Internet的访问提供服务,如:Web,Mail,DNS等 服务;
3) 对外网用户访问(Internet)提供灵活的访问控制功能。如:可以控制任何一个内部员工能否上网,能访问哪些网站,能不能收发email、ftp等,能够在什么时间上网等等。简而言之,能够基于“六元组”(源地址,目的地址,源端口号(即:服务),目的端口号(即:服务),协议,时间)进行灵活的访问控制。
4) 下属单位能够通过安全网关与安全客户端软件之间的安全互联,建立通过Internet相连的“虚拟专用网”,彻底解决了在网上传输的内部信息安全问题,方便了管理,并极大地降低了成本。各单位间能够在网上构成安全的数据传输通道形成“虚拟专网”。在“虚拟专网”内部传输的数据都经过网关的高强度加密和认证,能够充分确保数据传输的安全。
5) 授权的内部员工当出差在外时,可以在外地拨内网的拨号服务器,然后使用“安全网关客户端软件”,通过加密隧道从外部安全方便地接入局中心内网。
