网络与系统安全实施方案（2）

　　3 吉通上海IDC信息系统安全产品解决方案

　　3.1 层次性安全需求分析和设计

　　网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题，本节将从系统层次结构的角度展开，分析吉通IDC各个层次可能存在的安全漏洞和安全风险，并提出解决方案。 　　

　　3.2 层次模型描述

　　针对吉通IDC的情况，结合《吉通上海IDC技术需求书》的要求，惠普公司把吉通上海IDC的信息系统安全划分为六个层次，环境和硬件、网络层、操作系统、数据库层、应用层及操作层。 　　

　　3.2.1 环境和硬件

　　为保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏，应采取适当的保护措施、过程。详细内容请参照机房建设部分的建议书。 　　

　　3.2.2 网络层安全

　　3.2.2.1安全的网络拓扑结构

　　网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息，然后利用 IP欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。 　　

　　保证网络安全的首要问题就是要合理划分网段，利用网络中间设备的安全机制控制各网络间的访问。在对吉通IDC网络设计时，惠普公司已经考虑了网段的划分的安全性问题。其中网络具体的拓扑结构好要根据吉通IDC所提供的服务和客户的具体要求做出最终设计。 　　

　　3.2.2.2 网络扫描技术

　　解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。 　　

　　解决方案：ISS网络扫描器Internet Scanner 　　

　　配置方法：在上海IDC中使用一台高配置的笔记本电脑安装Internet Scanner，定期对本IDC进行全面的网络安全评估， 包括所有重要的服务器、防火墙、路由设备等。扫描的时间间隔请参照安全策略的要求。 　　

　　ISS网络扫描器Internet Scanner是全球网络安全市场的顶尖产品。它通过对网络安全弱 点全面和自主地检测与分析，能够迅速找到并修复安全漏洞。网络扫描仪对所有附属在网络中的设备进行扫描，检查它们的弱点，将风险分为高，中，低三个等级并且生成大范围的有意义的报表。从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。 　　

　　该产品的时间策略是定时操作，扫描对象是整个网络。它可在一台单机上对已知的网络安全漏洞进行扫描。截止Internet Scanner6.01版本，Internet Scanner已能对900 种以上 的来自通讯、服务、防火墙、WEB应用等的漏洞进行扫描。它采用模拟攻击的手段去检测网络上每一个IP隐藏的漏洞，其扫描对网络不会做任何修改和造成任何危害。

　　　Internet Scanner每次扫描的结果可生成详细报告，报告对扫描到的漏洞按高、中、低三 个风险级别分类，每个漏洞的危害及补救办法都有详细说明。用户可根据报告提出的建议修改网络配置，填补漏洞。 　　

　　可检测漏洞分类表： 　　

　　Brute Force Password-Guessing

　　为经常改变的帐号、口令和服务测试其安全性 　　

　　Daemons

　　检测UNIX进程（Windows服务） 　　

　　Network

　　检测SNMP和路由器及交换设备漏洞 　　

　　Denial of Service

　　检测中断操作系统和程序的漏洞，一些检测将暂停相应的服务 　　

　　NFS/X Windows

　　检测网络网络文件系统和X-Windows的漏洞 　　

　　RPC

　　检测特定的远程过程调用 　　

　　SMTP/FTP

　　检测SMTP和FTP的漏洞 　　

　　Web Server Scan and CGI-Bin

　　检测Web服务器的文件和程序（如IIS,CGI脚本和HTTP） 　　

　　NT Users, Groups, and Passwords

　　检测NT用户，包括用户、口令策略、解锁策略 　　

　　Browser Policy

　　检测IE和Netscape浏览器漏洞 　　

　　Security Zones

　　检测用于访问互联网安全区域的权限漏洞 　　

　　Port Scans

　　检测标准的网络端口和服务 　　

　　Firewalls

　　检测防火墙设备，确定安全和协议漏洞 　　

　　Proxy/DNS

　　检测代理服务或域名系统的漏洞 　　

　　IP Spoofing

　　检测是否计算机接收到可疑信息 　　

　　Critical NT Issues

　　包含NT操作系统强壮性安全测试和与其相关的活动 　　

　　NT Groups/Networking

　　检测用户组成员资格和NT网络安全漏洞 　　

　　NetBIOS Misc

　　检测操作系统版本和补丁包、确认日志存取，列举、显示NetBIOS提供的信息　　

　　Shares/DCOM

　　检测NetBIOS共享和DCOM对象。使用DCOM可以测试注册码、权限和缺省安全级别 　　

　　NT Registry

　　包括检测主机注册信息的安全性，保护SNMP子网的密匙 　　

　　NT Services

　　包括检测NT正在运行的服务和与之相关安全漏洞 　　

　　2.2.2.3 防火墙技术

　　防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。具体地说，设置防火墙的目的是隔离内部网和外部网，保护内部网络不受攻击，实现以下基本功能： 　　

　　· 禁止外部用户进入内部网络，访问内部机器； 　　

　　· 保证外部用户可以且只能访问到某些指定的公开信息； 　　

　　· 限制内部用户只能访问到某些特定的Internet资源，如WWW服务、FTP服务、 ELNET服务等； 　　

　　解决方案：CheckPoint Firewall-1防火墙和Cisco PIX防火墙 　　

　　防火墙除了部署在IDC的私有网（即网管网段等由IDC负责日常维护的网络部分）以外，还可以根据不同的用户的需求进行防火墙的部署，我们建议对于独享主机和共享主机都进行防火墙的配置，而对于托管的主机可以根据用户的实际情况提供防火墙服务。 　　

　　无论是虚拟主机还是托管主机，IDC都需要为这些用户提供不同程度的远程维护手段，因此我们也可以采用VPN的技术手段来保证远程维护的安全性，VPN同时也可以满足IDC为某些企业提供远程移动用户和合作企业之间的安全访问的需求。

　　根据吉通上海IDC的安全要求以及安全产品的配置原则，我们建议使用的产品包括Cisco PIX和CheckPoint Firewall－1在内的两种防火墙，其中： 　　

　　l Cisco PIX防火墙配置在对网络访问速度要求较高但安全要求相对较低的网站托管区和主机托管区； 　　

　　l CheckPoint防火墙配置在对网络速度较低但安全要求相对较高的IDC维护网段。 　　

　　这两种防火墙分别是硬件防火墙和软件防火墙的典型代表产品，并在今年4月刚刚结束的安全产品的年度评比中，并列最佳防火墙产品的首位。这里只对CheckPoint的Firewall－1进行说明。 　　

　　Checkpoint公司是一家专门从事网络安全产品开发的公司，是软件防火墙领域的佼佼者，其旗舰产品CheckPoint Firewall-1在全球软件防火墙产品中位居第一（52％），在亚太 地区甚至高达百分之七十以上，远远领先同类产品。在中国电信、银行等行业都有了广泛的应用。 　　

　　CheckPoint Firewall-1 是一个综合的、模块化的安全套件，它是一个基于策略的解决方 案，提供集中管理、访问控制、授权、加密、网络地址传输、内容显示服务和服务器负载平衡等功能。主要用在保护内部网络资源、保护内部进程资源和内部网络访问者验证等领域。CheckPoint Firewall-1 套件提供单一的、集中的分布式安全的策略，跨越Unix、 NT、路由器、交换机和其他外围设备，提供大量的API，有150多个解决方案和OEM厂商的 支持。CP Firewall-1 由3个交互操作的组件构成：控制组件、加强组件和可选组件。这些 组件即可以运行在单机上，也可以部署在跨平台系统上。其中，控制组件包括Firewall-1 管理服务器和图形化的客户端；加强组件包含Firewall-1 检测模块和Firewall-1 防火墙 模块；可选组件包括Firewall-1 Encryption Module（主要用于保护VPN）、Firewall-1 Connect Control Module(执行服务器负载平衡)Router Security Module （管理路由器 访问控制列表）。 　　

　　Checkpoint Firewall-1 防火墙的操作在操作系统的核心层进行，而不是在应用程序层， 这样可以使系统达到最高性能的扩展和升级。此外Checkpoint Firewall-1 支持基于Web 的多媒体和基于UDP的应用程序，并采用多重验证模板和方法，使网络管理员容易验证客户端、会话和用户对网络的访问。 　　

　　CHECKPOINT防火墙功能要求： 　　

　　1) 支持透明接入和透明连接，不影响原有网络设计和配置： 　　

　　Check Point FireWall-1是一款软件防火墙，是安装在现有的网关或服务器计算机上，对接入和连接都是透明的，不会影响原有网络设计和配置。 　　

　　2) 带有DMZ的连接方式： 　　

　　Check Point FireWall-1可以支持多个网络接口，所以客户可以很容易的按照需要设置DMZ分区。 　

　　3) 支持本地和远程管理两种管理方式： 　　

　　Check Point FireWall-1中的Enterprise Management Console模块功能十分强 大，