一、網絡現狀及安全需求描述
1、現有網絡結構無需做任何調整,冗余及VLAN劃分等網絡基礎建設都已全部完成,只需考慮網絡安全方面內容進行改造。
2、網絡現有內、外兩套網絡,外網與互聯網連接,內網不允許訪問互聯網,但需要和外網做數據交換。
3、網絡中有WEB 服務器,數據庫服務器,應用服務器等,訪問量較大,且服務器運維人員較雜。
4、需考慮移動辦公需求。
5、有專線接入外網區(qū)域。
二、網絡現狀拓撲圖
1、外網拓撲圖
2、內網拓撲圖
三、網絡安全整改需要添加的安全設備和管理系統(tǒng)
根據網絡劃分及層次,我們進行逐條分析,然后后續(xù)描述安全設備及安全管理平臺起到的作用。
(一)解決安全需求一:網絡現有內、外兩套網絡,外網與互聯網連接,內網不允許訪問互聯網,但需要和外網做數據交換。
需要使用安全隔離控制設備,如安全網閘,它可以把內、外網的數據進行控制交互。但是部署了網閘還不能防止惡意或污染的數據攻擊,還內、外網交互之間部署相關的安全設備,如下描述:
(1)首先內網邊界處部署邊界防火墻,可以進行數據控制交換;
(2)其次在防火墻之上再連接安全網閘,網閘可以控制交換內、外網的數據。
(3)最后,在內網防火墻與網閘之間部署防毒墻設備,由于在網閘上使用惡意病毒過濾模塊,會影響該網閘的處理數據能力及性能,所以,單獨串接防毒墻設備,可以把內、外網交換的數據清除或清洗。
(二)解決安全需求二:網絡中有WEB 服務器,數據庫服務器,應用服務器等,訪問量較大。
該企業(yè)訪問量大,說明業(yè)務是在快速發(fā)展中。為了迎接未來大數據、云計算的安全挑戰(zhàn),該企業(yè)通過部署如下安全設備,可以適當解決相關安全威脅的問題。設備與部署,如下描述:
(1)部署抗DDOS的安全設備:在路由器的出口外,部署抗DDOS的安全設備,可以防護各類基于網絡層、傳輸層及應用層的拒絕服務攻擊,如SYNFlood、UDP Flood、UDP DNS QueryFlood、(M)Stream Flood、ICMPFlood、HTTP Get Flood以及連接耗盡等常見的攻擊行為。
(2)部署帶寬控制設備:在路由器的后面部署帶寬控制設備,可以顆粒度的帶寬控制,確保該單位的相關業(yè)務應用能夠正常運行。
(3)部署負載均衡設備:在帶寬控制設備之后部署負載均衡設備,可以確保兩條外網專線的帶寬分發(fā)保證,還可以解決反向代理的問題。
(4)部署下一代防火墻:在負載均衡設備之后部署下一代防火墻,因為下一代防火墻可以解決應用層、網絡層、傳輸層等等安全控制的問題,同時它還可以集成入侵防御、惡意病毒等模塊。加上本安全防護方案,需要使用相關的功能功能模塊,如入侵防御、惡意病毒等功能模塊。如果設備影響性能,建議單獨買入侵防御系統(tǒng)和防病毒網關。
(5)部署數據庫審計系統(tǒng):在服務器區(qū)部署數據庫審計系統(tǒng),對內部的開發(fā)人員、系統(tǒng)管理員等訪問、操作、刪除數據庫系統(tǒng)的都可以進行審計與記錄。它還可以根據設置的規(guī)則,智能的判斷出違規(guī)操作數據庫的行為,并對違規(guī)行為進行記錄、報警。
(三)解決安全需求三:服務器運維人員較雜。
由于服務器運維人員較雜,就是目前管理起來很混亂。建議進行如下安全控制部署:
(1)在外網區(qū)內部署一套運維審計系統(tǒng):通過該系統(tǒng)可以統(tǒng)一進行對服務器或網絡、安全設備的運維人員進行精細化的管理,同時,通過該系統(tǒng),對運維人員的所有操作都可以進行記錄和錄屏,可以滿足合規(guī)的相關要求。
(2)部署網絡準入控制系統(tǒng):無論內部用戶還是運維人員,連接網絡都首先要通過網絡準入系統(tǒng)允許才能連接內部的網絡,最后,運維人員才能登陸運維審計系統(tǒng),才可以對相關的服務器或網絡設備進行操作。
(四)解決安全需求四:需考慮移動辦公需求
云計算、大數據、物聯網等相繼出現與發(fā)展,未來移動互聯是趨勢,所以企業(yè)一方面:應用系統(tǒng)需要往移動互聯的業(yè)務擴展;另一方面,內部也需要移動辦公的需要,要制定移動辦公的安全解決方案。從如下進行解決:
(1)部署遠程接入辦公平臺:在服務器區(qū)部署遠程接入辦公平臺,該系統(tǒng)作為移動辦公接入用,主要用于員工在外網通過VPN方式接入訪問相關的業(yè)務系統(tǒng),同時根據不同用戶設置不同權限。
(五)解決安全需求四:其它方面的安全防護與管理。
(1)部署網絡版殺毒軟件:前面的下一代防火墻中含有惡意防范的模塊,在橫向可以解決網絡層面的病毒防范。同時在終端與服務器上都需要安裝殺毒軟件。在終端及服務器上統(tǒng)一部署網絡版的殺毒軟件,病毒更新及清除,可以統(tǒng)一在網絡版的服務端進行相關操作。
(2)部署漏洞掃描安全評估系統(tǒng):在內網中部署漏洞掃描安全評估系統(tǒng),可以及時掌握內網服務器、終端等漏洞情況,能夠快速地進行制定安全防御的措施。
(3)部署統(tǒng)一補丁管理服務器:在內網部署統(tǒng)一補丁管理服務器,可以對漏洞掃描安全評估系統(tǒng)掃描出的相關漏洞,通過補丁管理服務器進行統(tǒng)一更新,確保操作系統(tǒng)的安全、穩(wěn)定運行。
(4)部署PKI/CA數字證書管理系統(tǒng):根據相關的應用系統(tǒng)防范要求,一方面,可以滿足,如針對國家信息安全等級保護“等保要求“中,”兩種身份鑒別方式的要求“;另一方面,可以提高應用系統(tǒng)或其它系統(tǒng)的安全身份鑒別的防御能力。(5)部署安全管理中心系統(tǒng):在內網中部署安全管理中心系統(tǒng)對服務器、網絡設備、安全設備等采集各個設備的資源監(jiān)控、日志告警,具備事件關聯功能,提供報表和告警。方便統(tǒng)一安全監(jiān)控與管理。
(6)部署桌面管理系統(tǒng):在內網中部署桌面管理系統(tǒng)用于對辦公局域網計算機設備行為管理和相關數據統(tǒng)計,并能進行終端的行為管理,及時更新最新補丁供終端下載更新等,可用來減少潛在的安全隱患,起到減少安全隱患、預防安全事件發(fā)生的作用。
(7)部署IT集中運行監(jiān)控系統(tǒng):在內網中部署IT集中運行監(jiān)控系統(tǒng),它主要監(jiān)控服務器主機、數據庫、中間件、網絡設備、虛擬化平臺的以下信息:性能監(jiān)控、日志收集、故障監(jiān)控。當監(jiān)控到某臺設備無法響應監(jiān)控系統(tǒng)的訪問時,將告警信息通知相關管理員,管理員再聯系維護人員進行處理,起到盡早發(fā)現并處置故障的作用。
13580762200/13725734438/18028990096
