构建网络整体安全解决方案(一)

日期: 2008-07-03 来源:TechTarget中国

    整体的安全方案分成技术方案、服务方案以及支持方案三部分。


  一、技术解决方案


  安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显着增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。


  下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。


  1.防火墙


  安装位置:局域网与路由器之间;WWW服务器与托管机房局域网之间;


  局域网防火墙作用:


  (1)实现单向访问,允许局域网用户访问INTERNET资源,但是严格限制INTERNET用户对局域网资源的访问;


  (2)通过防火墙,将整个局域网划分INTERNET,DMZ区,内网访问区这三个逻辑上分开的区域,有利于对整个网络进行管理;


  (3)局域网所有工作站和服务器处于防火墙地整体防护之下,只要通过防火墙设置的修改,就能有限绝大部分防止来自INTERNET上的攻击,网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞;


  (4)通过防火墙的过滤规则,实现端口级控制,限制局域网用户对INTERNET的访问;


  (5)进行流量控制,确保重要业务对流量的要求;


  (6)通过过滤规则,以时间为控制要素,限制大流量网络应用在上班时间的使用。


  托管机房防火墙的作用:


  (7)通过防火墙的过滤规则,限制INTERNET用户对WWW服务器的访问,将访问权限控制在最小的限度,在这种情况下,网络管理员可以忽略服务器系统的安全漏洞,只需要关注WWW应用服务软件的安全漏洞;


  (8)通过过滤规则,对远程更新的时间、来源(通过IP地址)进行限制。


  2.入侵检测


  安装位置:局域网DMZ区以及托管机房服务器区;


  IDS的作用:


  (1)作为旁路设备,监控网络中的信息,统计并记录网络中的异常主机以及异常连接;


  (2)中断异常连接;


  (3)通过联动机制,向防火墙发送指令,在限定的时间内对特定的IP地址实施封堵。


  3.网络防病毒软件控制中心以及客户端软件


  安装位置:局域网防病毒服务器以及各个终端


  防病毒服务器作用:


  (1)作为防病毒软件的控制中心,及时通过INTERNET更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件;


  (2)记录各个终端的病毒库升级情况;


  (3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。


  防病毒客户端软件的作用:


  (4)对本机的内存、文件的读写进行监控,根据预定的处理方法处理带毒文件;


  (5)监控邮件收发软件,根据预定处理方法处理带毒邮件;


  4、邮件防病毒服务器


  安装位置:邮件服务器与防火墙之间


  邮件防病毒软件:对来自INTERNTE的电子邮件进行检测,根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件(对于压缩文件同样也进行检测)


  5.反垃圾邮件系统


  安装位置:同邮件防病毒软件,如果软硬件条件允许的话,建议安装在同一台服务器上。


  反垃圾邮件系统作用:


  (1)拒绝转发来自INTERNET的垃圾邮件;


  (2)拒绝转发来自局域网用户的垃圾邮件并将发垃圾邮件的局域网


  用户的IP地址通过电子邮件等方式通报网管;


  (3)记录发垃圾邮件的终端地址;


  (4)通过电子邮件等方式通知网管垃圾邮件的处理情况。


  6.动态口令认证系统


  安装位置:服务器端安装在WWW服务器(以及其他需要进行口令加强的敏感服务器),客户端配置给网页更新人员(或者服务器授权访问用户);


  动态口令认证系统的作用:


  通过定期修改密码,确保密码的不可猜测性。


  7.网络管理软件


  安装位置:局域网中。


  网络管理软件的作用:


  (1)收集局域网中所有资源的硬件信息;


  (2)收集局域网中所有终端和服务器的操作系统、系统补丁等软件信息;


  (3)收集交换机等网络设备的工作状况等信息;


  (4)判断局域网用户是否使用了MODEM等非法网络设备与INTERNET连接;


  (5)显示实时网络连接情况;


  (6)如果交换机等核心网络设备出现异常,及时向网管中心报警;


  8.QOS流量管理


  安装位置:如果是专门的产品安装在路由器和防火墙之间;部分防火墙本身就有QOS带宽管理模块。


  QOS流量管理的作用:


  (1)通过IP地址,为重要用户分配足够的带宽;


  (2)通过端口,为重要的应用分配足够的带宽资源;


  (3)限制非业务流量的带宽;


  (4)在资源闲置时期,允许其他人员使用资源,一旦重要用户或者重要应用需要使用带宽,则确保它们能够至少使用分配给他们的带宽资源。


  9.重要终端个人防护软件


  安装位置:重要终端


  个人防护软件的作用:


  (1)保护个人终端不受攻击;


  (2)不允许任何主机(包括局域网主机)非授权访问重要终端资源;


  (3)防止局域网感染病毒主机通过攻击的方式感染重要终端。


  10.页面防篡改系统


  安装位置:WWW服务器


  页面防篡改系统的作用:


  (1)定期比对发布页面文件与备份文件,一旦发现不匹配,用备份文件替换发布文件;


  (2)通过特殊的认证机制,允许授权用户修改页面文件;


  (3)能够对数据库文件进行比对。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐