| 天融信助北京高校校园网络整体安全建设 (2) |
|
|
|
作者:佚名 文章来源:不详 点击数: 更新时间:2006-12-6 0:52:42  |
天融信助北京高校校园网络整体安全建设 (2)
天融信助北京高校校园网络整体安全建设 (2) (三)安全体系技术方案
1、网络级安全方案
从网络的高度构建一个安全平台,解决北京城市学院网络系统的边界安全、数据传输等安全问题,公用信道上敏感信息传输的安全保密问题以及网络入侵检测和预警系统的问题。
A、解决方案:网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制,采用安全检测手段防范非法用户的主动入侵。
在防火墙上通过设置安全策略增加对服务器的保护,同时必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构,使用日志来对非法访问进行监控,使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。
B、产品实施:网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, Sequence Insert, teardrop,sync-flood, IP spoofing攻击等。 防火墙是近年发展起来的重要安全技术,在学院网络系统中其主要作用是在网络边界处检查网络通讯,根据设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。
C、天融信防火墙在该学院网络中的应用:
边界防火墙的配置:由于在该学院网络边界处已经配备的防火墙可能不支持TOPSEC联动协议,因此将此防火墙更换掉用于其他网络部分,如可以放置在9、10层计算机实验室的出口处用于保护学生上网时对教学区、图书馆网络的非法访问。根据网络具体流量情况,采用型号为NGFW4000,支持TOPSEC联动协议,标准配置三接口的防火墙,其最大并发连接数将近60万个,其中两个接口分别接外网和内网两个网段,第三个口可以作为预留。
内网保护服务器群防火墙的配置:而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键,因此必须在其级联的P333T交换机与核心交换机P550R处配备一台能够支持TOPSEC联动协议的、高性能天融信网络卫士防火墙4000系统,用于对内部服务器群的访问和联动保护。此处建议采用型号为NGFW4000-S标准配置三个接口的防火墙,其最大并发连接数达到60万个,一个接口接核心交换机,一个接口接级联交换机,另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。
原来边界防火墙的再利用:由于原来的边界防火墙不支持TOPSEC联动协议,把它替换后可以将其放置在9、10层的计算机实验室网络的出口处,用于保护其对教学网和图书馆网络系统的访问控制。
D、天融信网络卫士4000防火墙特点:
· 防火墙4000是天融信公司积多年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上,基于对网络安全的深刻理解,融合网络科技的最新成果,独创了系列安全构架和实现技术,经过多年的研究和近两年的开发所完成的最新一代防火墙产品。
· 应能够配置成分布式和集中统一管理,由防火墙管理代理程序和管理器组成。
· 管理安全、方便灵活,防火墙4000经过简单的配置即可接入网络进行通信和访问控制,GUI管理界面提供了清晰的管理结构,每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理加密(支持SSL和SSH),并进行严格的审计,实现了真正的安全远程管理。同时,可以支持SNMP与当前通用的网络管理平台兼容,如HP Openview、Cisco works等,方便管理和维护。
· 提供面向对象的服务模板功能,可以方便的定制过滤规则。
· 支持双向地址路由功能,带宽管理功能,流量控制功能
· 确保只允许符合网络安全策略的网络访问和网络服务,进出北京城市学院网络系统,或进入相应安全域隔离带。
· 防火墙能够支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle数据库、Sybase数据库、SQL数据库等主流应用。当然,对不同的控制点,对防火墙的要求会不完全一样。
· 有效地反映网络攻击,保证北京城市学院网络系统及其业务的可用性、可靠性。
· 要适合北京城市学院网络系统的网络接入模式、接口规范、带宽要求,防火墙不能成为网络或业务的瓶颈。
· 防火墙要符合国家相关标准和规范,包括GB/T18019、GB/T18020等。
· 防火墙要具有很高的可靠性,不会降低北京城市学院网络系统现有的可靠性。
· 深层日志及灵活、强大审计分析功能,提供丰富的日志信息,用户可根据特定的需要进行日志选项(不做日志、通信日志(即传统的日志)、应用层协议日志、应用层内容日志)。独创的网络实时监测信息,可详细审计命令级操作,便于入侵行为的分析和追踪。大大提高防火墙的审计分析的有效性。
· 更好地支持业界公认的TOPSEC协议,防火墙应具有联动功能,能够实现与入侵检测设备的通讯。
|
| 文章录入:wuyongjian 责任编辑:wuyongjian |
|
上一篇文章: 启明星辰和港湾共推天清汉马安全网关
下一篇文章: 微软情人节发布七个补丁中两个属严重级 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
