網(wǎng)絡(luò)安全解決方案

 一、網(wǎng)絡(luò)現(xiàn)狀及安全需求描述
1、現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)無需做任何調(diào)整，冗余及VLAN劃分等網(wǎng)絡(luò)基礎(chǔ)建設(shè)都已全部完成，只需考慮網(wǎng)絡(luò)安全方面內(nèi)容進行改造。
2、網(wǎng)絡(luò)現(xiàn)有內(nèi)、外兩套網(wǎng)絡(luò)，外網(wǎng)與互聯(lián)網(wǎng)連接，內(nèi)網(wǎng)不允許訪問互聯(lián)網(wǎng)，但需要和外網(wǎng)做數(shù)據(jù)交換。
3、網(wǎng)絡(luò)中有WEB 服務(wù)器，數(shù)據(jù)庫服務(wù)器，應(yīng)用服務(wù)器等，訪問量較大，且服務(wù)器運維人員較雜。
4、需考慮移動辦公需求。
5、有專線接入外網(wǎng)區(qū)域。

二、網(wǎng)絡(luò)現(xiàn)狀拓?fù)鋱D
1、外網(wǎng)拓?fù)鋱D

2、內(nèi)網(wǎng)拓?fù)鋱D

三、網(wǎng)絡(luò)安全整改需要添加的安全設(shè)備和管理系統(tǒng)
根據(jù)網(wǎng)絡(luò)劃分及層次，我們進行逐條分析，然后后續(xù)描述安全設(shè)備及安全管理平臺起到的作用。
(一)解決安全需求一：網(wǎng)絡(luò)現(xiàn)有內(nèi)、外兩套網(wǎng)絡(luò)，外網(wǎng)與互聯(lián)網(wǎng)連接，內(nèi)網(wǎng)不允許訪問互聯(lián)網(wǎng)，但需要和外網(wǎng)做數(shù)據(jù)交換。

需要使用安全隔離控制設(shè)備，如安全網(wǎng)閘，它可以把內(nèi)、外網(wǎng)的數(shù)據(jù)進行控制交互。但是部署了網(wǎng)閘還不能防止惡意或污染的數(shù)據(jù)攻擊，還內(nèi)、外網(wǎng)交互之間部署相關(guān)的安全設(shè)備，如下描述：
(1)首先內(nèi)網(wǎng)邊界處部署邊界防火墻，可以進行數(shù)據(jù)控制交換；
(2)其次在防火墻之上再連接安全網(wǎng)閘，網(wǎng)閘可以控制交換內(nèi)、外網(wǎng)的數(shù)據(jù)。
(3)最后，在內(nèi)網(wǎng)防火墻與網(wǎng)閘之間部署防毒墻設(shè)備，由于在網(wǎng)閘上使用惡意病毒過濾模塊，會影響該網(wǎng)閘的處理數(shù)據(jù)能力及性能，所以，單獨串接防毒墻設(shè)備，可以把內(nèi)、外網(wǎng)交換的數(shù)據(jù)清除或清洗。


（二）解決安全需求二：網(wǎng)絡(luò)中有WEB 服務(wù)器，數(shù)據(jù)庫服務(wù)器，應(yīng)用服務(wù)器等，訪問量較大。
該企業(yè)訪問量大，說明業(yè)務(wù)是在快速發(fā)展中。為了迎接未來大數(shù)據(jù)、云計算的安全挑戰(zhàn)，該企業(yè)通過部署如下安全設(shè)備，可以適當(dāng)解決相關(guān)安全威脅的問題。設(shè)備與部署，如下描述：
(1)部署抗DDOS的安全設(shè)備：在路由器的出口外，部署抗DDOS的安全設(shè)備，可以防護各類基于網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的拒絕服務(wù)攻擊，如SYNFlood、UDP Flood、UDP DNS QueryFlood、(M)Stream Flood、ICMPFlood、HTTP Get Flood以及連接耗盡等常見的攻擊行為。
(2)部署帶寬控制設(shè)備：在路由器的后面部署帶寬控制設(shè)備，可以顆粒度的帶寬控制，確保該單位的相關(guān)業(yè)務(wù)應(yīng)用能夠正常運行。
(3)部署負(fù)載均衡設(shè)備：在帶寬控制設(shè)備之后部署負(fù)載均衡設(shè)備，可以確保兩條外網(wǎng)專線的帶寬分發(fā)保證，還可以解決反向代理的問題。
(4)部署下一代防火墻：在負(fù)載均衡設(shè)備之后部署下一代防火墻，因為下一代防火墻可以解決應(yīng)用層、網(wǎng)絡(luò)層、傳輸層等等安全控制的問題，同時它還可以集成入侵防御、惡意病毒等模塊。加上本安全防護方案，需要使用相關(guān)的功能功能模塊，如入侵防御、惡意病毒等功能模塊。如果設(shè)備影響性能，建議單獨買入侵防御系統(tǒng)和防病毒網(wǎng)關(guān)。
(5)部署數(shù)據(jù)庫審計系統(tǒng)：在服務(wù)器區(qū)部署數(shù)據(jù)庫審計系統(tǒng)，對內(nèi)部的開發(fā)人員、系統(tǒng)管理員等訪問、操作、刪除數(shù)據(jù)庫系統(tǒng)的都可以進行審計與記錄。它還可以根據(jù)設(shè)置的規(guī)則，智能的判斷出違規(guī)操作數(shù)據(jù)庫的行為，并對違規(guī)行為進行記錄、報警。


(三)解決安全需求三：服務(wù)器運維人員較雜。
由于服務(wù)器運維人員較雜，就是目前管理起來很混亂。建議進行如下安全控制部署：
(1)在外網(wǎng)區(qū)內(nèi)部署一套運維審計系統(tǒng)：通過該系統(tǒng)可以統(tǒng)一進行對服務(wù)器或網(wǎng)絡(luò)、安全設(shè)備的運維人員進行精細(xì)化的管理，同時，通過該系統(tǒng)，對運維人員的所有操作都可以進行記錄和錄屏，可以滿足合規(guī)的相關(guān)要求。
(2)部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)：無論內(nèi)部用戶還是運維人員，連接網(wǎng)絡(luò)都首先要通過網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)允許才能連接內(nèi)部的網(wǎng)絡(luò)，最后，運維人員才能登陸運維審計系統(tǒng)，才可以對相關(guān)的服務(wù)器或網(wǎng)絡(luò)設(shè)備進行操作。


(四)解決安全需求四：需考慮移動辦公需求

云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等相繼出現(xiàn)與發(fā)展，未來移動互聯(lián)是趨勢，所以企業(yè)一方面：應(yīng)用系統(tǒng)需要往移動互聯(lián)的業(yè)務(wù)擴展；另一方面，內(nèi)部也需要移動辦公的需要，要制定移動辦公的安全解決方案。從如下進行解決：
(1)部署遠程接入辦公平臺：在服務(wù)器區(qū)部署遠程接入辦公平臺，該系統(tǒng)作為移動辦公接入用，主要用于員工在外網(wǎng)通過VPN方式接入訪問相關(guān)的業(yè)務(wù)系統(tǒng)，同時根據(jù)不同用戶設(shè)置不同權(quán)限。


(五)解決安全需求四：其它方面的安全防護與管理。
（1）部署網(wǎng)絡(luò)版殺毒軟件：前面的下一代防火墻中含有惡意防范的模塊，在橫向可以解決網(wǎng)絡(luò)層面的病毒防范。同時在終端與服務(wù)器上都需要安裝殺毒軟件。在終端及服務(wù)器上統(tǒng)一部署網(wǎng)絡(luò)版的殺毒軟件，病毒更新及清除，可以統(tǒng)一在網(wǎng)絡(luò)版的服務(wù)端進行相關(guān)操作。
(2)部署漏洞掃描安全評估系統(tǒng)：在內(nèi)網(wǎng)中部署漏洞掃描安全評估系統(tǒng)，可以及時掌握內(nèi)網(wǎng)服務(wù)器、終端等漏洞情況，能夠快速地進行制定安全防御的措施。
(3)部署統(tǒng)一補丁管理服務(wù)器：在內(nèi)網(wǎng)部署統(tǒng)一補丁管理服務(wù)器，可以對漏洞掃描安全評估系統(tǒng)掃描出的相關(guān)漏洞，通過補丁管理服務(wù)器進行統(tǒng)一更新，確保操作系統(tǒng)的安全、穩(wěn)定運行。
(4)部署PKI/CA數(shù)字證書管理系統(tǒng)：根據(jù)相關(guān)的應(yīng)用系統(tǒng)防范要求，一方面，可以滿足，如針對國家信息安全等級保護“等保要求“中，”兩種身份鑒別方式的要求“；另一方面，可以提高應(yīng)用系統(tǒng)或其它系統(tǒng)的安全身份鑒別的防御能力。(5)部署安全管理中心系統(tǒng)：在內(nèi)網(wǎng)中部署安全管理中心系統(tǒng)對服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等采集各個設(shè)備的資源監(jiān)控、日志告警，具備事件關(guān)聯(lián)功能，提供報表和告警。方便統(tǒng)一安全監(jiān)控與管理。
(6)部署桌面管理系統(tǒng)：在內(nèi)網(wǎng)中部署桌面管理系統(tǒng)用于對辦公局域網(wǎng)計算機設(shè)備行為管理和相關(guān)數(shù)據(jù)統(tǒng)計，并能進行終端的行為管理，及時更新最新補丁供終端下載更新等，可用來減少潛在的安全隱患，起到減少安全隱患、預(yù)防安全事件發(fā)生的作用。
(7)部署IT集中運行監(jiān)控系統(tǒng)：在內(nèi)網(wǎng)中部署IT集中運行監(jiān)控系統(tǒng)，它主要監(jiān)控服務(wù)器主機、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、虛擬化平臺的以下信息：性能監(jiān)控、日志收集、故障監(jiān)控。當(dāng)監(jiān)控到某臺設(shè)備無法響應(yīng)監(jiān)控系統(tǒng)的訪問時，將告警信息通知相關(guān)管理員，管理員再聯(lián)系維護人員進行處理，起到盡早發(fā)現(xiàn)并處置故障的作用。