1、網絡安全解決方案設計網絡安全中的入侵檢測系統(tǒng)是近年來出現(xiàn)的新型網絡安全技術，也是重要的網絡安全工具。 下面是有網絡安全解決方案設計， 歡迎參閱。網絡安全解決方案設計范文 1 一、客戶背景集團內聯(lián)網主要以總部局域網為核心， 采用廣域網方式與外地子公司聯(lián)網。集團廣域網采用MPLS技術，用來為各個分公司提供骨干網絡平臺和接入， 各個分公司可以在集團的骨干信息網絡系統(tǒng)上建設各自的子系統(tǒng)，確保各類系統(tǒng)間的相互獨立。二、安全威脅某公司屬于大型上市公司， 在北京， 上海、 廣州等地均有分公司。公司內部采用無紙化辦公， OA 系統(tǒng)成熟。每個局域網連接著該所有部門，所有的數(shù)據(jù)都從局域網中傳遞。同時，各分公司采用

2、技術連接公司總部。 該單位為了方便， 將相當一部分業(yè)務放在了對外開放的網站上，網站也成為了既是對外形象窗口又是內部辦公窗口。由于網絡設計部署上的缺陷， 該單位局域網在建成后就不斷出現(xiàn)網絡擁堵、 網速特別慢的情況， 同時有些個別機器上的殺毒軟件頻頻出現(xiàn)病毒報警，網絡經常癱瘓，每次時間都持續(xù)幾十分鐘，網管簡直成了救火隊員，忙著清除病毒，重裝系統(tǒng)。對外WE啊站同樣也遭到黑客攻擊， 網頁遭到非法篡改， 有些網頁甚至成了傳播不良信息的平臺， 不僅影響到網站的正常運行， 而且還對政府形象也造成不良影響。（ 安全威脅根據(jù)拓撲圖分析 ） 從網絡安全威脅看， 集團網絡的威脅主要包括外部的攻擊和入侵、內部的攻擊或

3、誤用、企業(yè)內的病毒傳播，以及安全管理漏洞等信息安全現(xiàn)狀： 經過分析發(fā)現(xiàn)該公司信息安全基本上是空白，主要有以下問題：公司沒有制定信息安全政策，信息管理不健全。 公司在建內網時與 internet 的連接沒有防火墻。 內部網絡 （ 同一城市的各分公司 ）之間沒有任何安全保障為了讓網絡正常運行。根據(jù)我國信息安全等級保護管理辦法的信息安全要求，近期公司決定對該網絡加強安全防護，解決目前網絡出現(xiàn)的安全問題。三、安全需求從安全性和實用性角度考慮，安全需求主要包括以下幾個方面：1 、安全管理咨詢安全建設應該遵照 7分管理 3分技術的原則， 通過本次安全項目，可以發(fā)現(xiàn)集團現(xiàn)有安全問題， 并且協(xié)助建立起完善的安

4、全管理和安全組織體系。2 、集團骨干網絡邊界安全主要考慮骨干網絡中 Internet 出口處的安全，以及移動用戶、遠程撥號訪問用戶的安全。3 、集團骨干網絡服務器安全主要考慮骨干網絡中網關服務器和集團內部的服務器， 包括OA、財務、人事、內部WE焉內部信息系統(tǒng)服務器區(qū)和安全管理服務器區(qū)的安全。4 、集團內聯(lián)網統(tǒng)一的病毒防護主要考慮集團內聯(lián)網中， 包括總公司在內的所有公司的病毒防護。5 、統(tǒng)一的增強口令認證系統(tǒng)由于系統(tǒng)管理員需要管理大量的主機和網絡設備， 如何確保口令安全稱為一個重要的問題。6 、統(tǒng)一的安全管理平臺通過在集團內聯(lián)網部署統(tǒng)一的安全管理平臺， 實現(xiàn)集團總部對全網安全狀況的集中監(jiān)測、

5、安全策略的統(tǒng)一配置管理、 統(tǒng)計分析各類安全事件、以及處理各種安全突發(fā)事件。7 、專業(yè)安全服務過專業(yè)安全服務建立全面的安全策略、 管理組織體系及相關管理制度， 全面評估企業(yè)網絡中的信息資產及其面臨的安全風險情況， 在必要的情況下， 進行主機加固和網絡加固。 通過專業(yè)緊急響應服務保證企業(yè)在面臨緊急事件情況下的處理能力，降低安全風險。四、方案設計骨干網邊界安全集團骨干網共有一個Internet 出口，位置在總部，在Internet出口處部署LinkTrust Cyberwall-200F/006 防火墻一臺。在 Internet 出口處部署一臺 LinkTrust Network Defender

6、領信網絡入侵檢測系統(tǒng)，通過交換機端口鏡像的方式，將進出 Internet的流量鏡像到入侵檢測的監(jiān)聽端口， LinkTrustNetwork Defender 可以實時監(jiān)控網絡中的異常流量，防止惡意入侵。在各個分公司中添加一個DM；E,保證各公司的信息安全，內部網絡 （ 同一城市的各分公司 ） 之間沒有任何安全保障骨干網服務器安全集團骨干網服務器主要指網絡中的網關服務器和集團內部的應用服務器包括OA財務、人事、內部 WE疇，以及專為此次項目配置的、用于安全產品管理的服務器的安全。 主要考慮為在服務器區(qū)配置千兆防火墻， 實現(xiàn)服務器區(qū)與辦公區(qū)的隔離， 并將內部信息系統(tǒng)服務器區(qū)和安全管理服務器區(qū)在防火

7、墻上實現(xiàn)邏輯隔離。 還考慮到在服務器區(qū)配置主機入侵檢測系統(tǒng)， 在網絡中配置百兆網絡入侵檢測系統(tǒng)，實現(xiàn)主機及網絡層面的主動防護。漏洞掃描了解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的了解存在那些安全漏洞， 新出現(xiàn)的安全問題等， 都要求信息系統(tǒng)自身和用戶作好安全評估。 安全評估主要分成網絡安全評估、 主機安全評估和數(shù)據(jù)庫安全評估三個層面。內聯(lián)網病毒防護病毒防范是網絡安全的一個基本的、 重要部分。 通過對病毒傳播、感染的各種方式和途徑進行分析， 結合集團網絡的特點， 在網絡安全的病毒防護方面應該采用“多級防范，集中管理，以防為主、防治結合”的動態(tài)防毒策略。病毒防護體系主要由桌面網絡

8、防毒、 服務器防毒和郵件防毒三個方面。增強的身份認證系統(tǒng)由于需要管理大量的主機和網絡設備， 如何確?？诹畎踩彩且粋€非常重要的問題。 減小口令危險的最為有效的辦法是采用雙因素認證方式。 雙因素認證機制不僅僅需要用戶提供一個類似于口令或者PIN 的單一識別要素，而且需要第二個要素，也即用戶擁有的，通常是認證令牌， 這種雙因素認證方式提供了比可重用的口令可靠得多的用戶認證級別。用戶除了知道他的PIN號碼外，還必須擁有一個認證令牌。而且口令一般是一次性的，這樣每次的口令是動態(tài)變化的，大大提高了安全性。統(tǒng)一安全平臺的建立通過建立統(tǒng)一的安全管理平臺（安全運行管理中心一SOC）建立起集團的安全風險監(jiān)控體系

9、， 利于從全局的角度發(fā)現(xiàn)網絡中存在的安全問題， 并及時歸并相關人員處理。 這里的風險監(jiān)控體系包括安全信息庫、安全事件收集管理系統(tǒng)、安全工單系統(tǒng)等，同時開發(fā)有效的多種手段實時告警系統(tǒng)，定制高效的安全報表系統(tǒng)。網絡安全解決方案設計范文 2 1.1 安全系統(tǒng)建設目標本技術方案旨在為某市政府網絡提供全面的網絡系統(tǒng)安全解決方案， 包括安全管理制度策略的制定、 安全策略的實施體系結構的設計、安全產品的選擇和部署實施，以及長期的合作和技術支持服務。系統(tǒng)建設目標是在不影響當前業(yè)務的前提下， 實現(xiàn)對網絡的全面安全管理。1) 將安全策略、硬件及軟件等方法結合起來，構成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網絡，

10、減少網絡的安全風險 ;2) 通過部署不同類型的安全產品，實現(xiàn)對不同層次、不同類別網絡安全問題的防護 ;3) 使網絡管理者能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài)。最大限度地減少損失。具體來說， 本安全方案能夠實現(xiàn)全面網絡訪問控制， 并能夠對重要控制點進行細粒度的訪問控制 ;其次，對于通過對網絡的流量進行實時監(jiān)控，對重要服務器的運行狀況進行全面監(jiān)控。1.1.1 防火墻系統(tǒng)設計方案 防火墻對服務器的安全保護網絡中應用的服務器，信息量大、處理能力強，往往是攻擊的主要對象。 另外， 服務器提供的各種服務本身有可能成為 "黑客 "攻擊的突破口，

11、 因此， 在實施方案時要對服務器的安全進行一系列安全保護。如果服務器沒有加任何安全防護措施而直接放在公網上提供對外服務，就會面臨著 " 黑客 "各種方式的攻擊，安全級別很低。因此當安裝防火墻后， 所有訪問服務器的請求都要經過防火墻安全規(guī)則的詳細檢測。 只有訪問服務器的請求符合防火墻安全規(guī)則后， 才能通過防火墻到達內部服務器。防火墻本身抵御了絕大部分對服務器的攻擊，外界只能接觸到防火墻上的特定服務， 從而防止了絕大部分外界攻擊。 防火墻對內部非法用戶的防范網絡內部的環(huán)境比較復雜， 而且各子網的分布地域廣闊， 網絡用戶、設備接入的可控性比較差，因此，內部網絡用戶的

12、可靠性并不能得到完全的保證。 特別是對于存放敏感數(shù)據(jù)的主機的攻擊往往發(fā)自內部用戶，如何對內部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內部網絡運行的可靠性和安全性， 我們必須要對它進行詳盡的分析，盡可能防護到網絡的每一節(jié)點。對于一般的網絡應用， 內部用戶可以直接接觸到網絡內部幾乎所有的服務， 網絡服務器對于內部用戶缺乏基本的安全防范， 特別是在內部網絡上，大部分的主機沒有進行基本的安全防范處理，整個系統(tǒng)的安全性容易受到內部用戶攻擊的威脅，安全等級不高。 根據(jù)國際上流行的處理方法， 我們把內部用戶跨網段的訪問分為兩大類：其一， 是內部網絡用戶之間的訪問，即單機到單機訪問。這一層次上的應用

13、主要有用戶共享文件的傳輸 (NETBIOS應用; 其次，是內部網絡用戶對內部服務器的訪問，這一類應用主要發(fā)生在內部用戶的業(yè)務處理時。 一般內部用戶對于網絡安全防范的意識不高， 如果內部人員發(fā)起攻擊， 內部網絡主機將無法避免地遭到損害，特別是針對于NETBIOSS件共享協(xié)議，已經有很多的漏洞在網上公開報道， 如果網絡主機保護不完善， 就可能被內部用戶利用 "黑客 "工具造成嚴重破壞。1.1.2 入侵檢測系統(tǒng)利用防火墻技術， 經過仔細的配置， 通常能夠在內外網之間提供安全的網絡保護， 降低了網絡安全風險， 但是入侵者可尋找防火墻背后可能敞開的后門，入侵者也可能就在防火墻內。網絡

14、入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護的網絡上， 通過實時偵聽網絡數(shù)據(jù)流， 尋找網絡違規(guī)模式和未授權的網絡訪問嘗試。 當發(fā)現(xiàn)網絡違規(guī)行為和未授權的網絡訪問時， 網絡監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應，包括實時報警、事件登錄，或執(zhí)行用戶自定義的安全策略等。 網絡監(jiān)控系統(tǒng)可以部署在網絡中有安全風險的地方， 如局域網出入口、重點保護主機、遠程接入服務器、內部網重點工作站組等。 在重點保護區(qū)域， 可以單獨各部署一套網絡監(jiān)控系統(tǒng) （管理器 +探測引擎 ） ，也可以在每個需要保護的地方單獨部署一個探測引擎，在全網使用一個管理器，這種方式便于進行集中管理。在內部應用網絡中的重要網段， 使用網絡探測引擎， 監(jiān)視

15、并記錄該網段上的所有操作，在一定程度上防止非法操作和惡意攻擊網絡中的重要服務器和主機。 同時，網絡監(jiān)視器還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)網絡安全的隱患。需要說明的是，IDS是對防火墻的非常有必要的附加而不僅僅是簡單的補充。按照現(xiàn)階段的網絡及系統(tǒng)環(huán)境劃分不同的網絡安全風險區(qū)域，xxx 市政府本期網絡安全系統(tǒng)項目的需求為：區(qū)域 部署安全產品內網 連接到 Internet 的出口處安裝兩臺互為雙機熱備的海信FW3010PF-400理百兆防火墻；在主干交換機上安裝海信千兆眼鏡蛇入侵檢測系統(tǒng)探測器; 在主干交換機上安裝NetHawk 網絡安全監(jiān)控與審計系統(tǒng) ; 在內部工作站上安裝趨勢防毒

16、墻網絡版防病毒軟件 ; 在各服務器上安裝趨勢防毒墻服務器版防病毒軟件。DMZ 區(qū) 在服務器上安裝趨勢防毒墻服務器版防病毒軟件 ; 安裝一臺 InterScanVirusWall 防病毒網關; 安裝百兆眼鏡蛇入侵檢測系統(tǒng)探測器和NetHawk網絡安全監(jiān)控與審計系統(tǒng)。安全監(jiān)控與備份中心安裝FW3010-5000千兆防火墻，安裝RJ-iTOP 榕基網絡安全漏洞掃描器; 安裝眼鏡蛇入侵檢測系統(tǒng)控制臺和百兆探測器; 安裝趨勢防毒墻服務器版管理服務器，趨勢防毒墻網絡版管理服務器，對各防病毒軟件進行集中管理。網絡安全解決方案設計范文 3 網絡信息系統(tǒng)的安全技術體系通常是在安全策略指導下合理配置和部署： 網絡

17、隔離與訪問控制、 入侵檢測與響應、漏洞掃描、防病毒、數(shù)據(jù)加密、身份認證、安全監(jiān)控與審計等技術設備， 并且在各個設備或系統(tǒng)之間， 能夠實現(xiàn)系統(tǒng)功能互補和協(xié)調動作。網絡系統(tǒng)安全具備的功能及配置原則1. 網絡隔離與訪問控制。 通過對特定網段、 服務進行物理和邏輯隔離， 并建立訪問控制機制， 將絕大多數(shù)攻擊阻止在網絡和服務的邊界以外。2. 漏洞發(fā)現(xiàn)與堵塞。 通過對網絡和運行系統(tǒng)安全漏洞的周期檢查，發(fā)現(xiàn)可能被攻擊所利用的漏洞，并利用補丁或從管理上堵塞漏洞。3. 入侵檢測與響應。 通過對特定網絡（段） 、 服務建立的入侵檢測與響應體系，實時檢測出攻擊傾向和行為，并采取相應的行動 （ 如斷開網絡連接和服務、

18、記錄攻擊過程、加強審計等 ） 。4. 加密保護。主動的加密通信，可使攻擊者不能了解、修改敏感信息 （ 如方式 ） 或數(shù)據(jù)加密通信方式 ; 對保密或敏感數(shù)據(jù)進行加密存儲，可防止竊取或丟失。5. 備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務。6. 監(jiān)控與審計。在辦公網絡和主要業(yè)務網絡內配置集中管理、 分布式控制的監(jiān)控與審計系統(tǒng)。一方面以計算機終端為單元強化桌面計算的內外安全控制與日志記錄 ; 另一方面通過集中管理方式對內部所有計算機終端的安全態(tài)勢予以掌控。邊界安全解決方案在利用公共網絡與外部進行連接的“內”外網絡邊界處使用防火墻， 為“內部”網絡（段）與“外部”網

19、絡（段）劃定安全邊界。在網絡內部進行各種連接的地方使用帶防火墻功能的設備， 在進行“內”外網絡 （段） 的隔離的同時建立網絡（段）之間的安全通道。1. 防火墻應具備如下功能：使用NAT把DM次的服務器和內部端口影射到Firewall的對外端口 ;允許Internet公網用戶訪問到DMZS的應用服務：http、ftp、 smtp、 dns 等 ;允許DM2E內的工作站與應用服務器訪問Internet公網；允許內部用戶訪問 DMZ勺應用服務：http、ftp、smtp、dns、pop3、 https;允許內部網用戶通過代理訪問 Internet 公網 ;禁止Internet公網用戶進入內部網絡和非

20、法訪問DM2E應用服務器 ;禁止DM2E的公開服務器訪問內部網絡；防止來自Internet 的DOS-類的攻擊；能接受入侵檢測的聯(lián)動要求，可實現(xiàn)對實時入侵的策略響應 ;對所保護的主機的常用應用通信協(xié)議 （http 、 ftp 、 telnet 、 smtp） 能夠替換服務器的Banner信息，防止惡意用戶信息刺探；提供日志報表的自動生成功能，便于事件的分析 ;提供實時的網絡狀態(tài)監(jiān)控功能， 能夠實時的查看網絡通信行為的連接狀態(tài) （ 當前有那些連接、 正在連接的 IP、 正在關閉的連接等信息 ） ，通信數(shù)據(jù)流量。提供連接查詢和動態(tài)圖表顯示。防火墻自身必須是有防黑客攻擊的保護能力。2. 帶防火墻功能

21、的設備是在防火墻基本功能 （ 隔離和訪問控制 ）基礎上，通過功能擴展，同時具有在IP 層構建端到端的具有加密選項功能的ESP隧道能力，這類設備也有S的，主要用于通過外部網絡（ 公共通信基礎網絡） 將兩個或兩個以上“內部”局域網安全地連接起來，一般要求S 應具有一下功能：防火墻基本功能，主要包括： IP 包過慮、應用代理、提供DMZ端口和NA砌能等（有些功能描述與上相同）；具有對連接兩端的實體鑒別認證能力 ;支持移動用戶遠程的安全接入;支持IPESP隧道內傳輸數(shù)據(jù)的完整性和機密性保護；提供系統(tǒng)內密鑰管理功能 ;S 設備自身具有防黑客攻擊以及網上設備認證的能力。入侵檢測與響應方案在網絡邊界配置入侵

22、檢測設備， 不僅是對防火墻功能的必要補充，而且可與防火墻一起構建網絡邊界的防御體系。 通過入侵檢測設備對網絡行為和流量的特征分析， 可以檢測出侵害“內部”網絡或對外泄漏的網絡行為和流量，與防火墻形成某種協(xié)調關系的互動，從而在“內部”網與外部網的邊界處形成保護體系。入侵檢測系統(tǒng)的基本功能如下：通過檢測引擎對各種應用協(xié)議， 操作系統(tǒng)， 網絡交換的數(shù)據(jù)進行分析，檢測出網絡入侵事件和可疑操作行為。對自身的數(shù)據(jù)庫進行自動維護， 無需人工干預， 并且不對網絡的正常運行造成任何干擾。采取多種報警方式實時報警、音響報警，信息記錄到數(shù)據(jù)庫，提供電子郵件報警、SysLog報警、SNMPTrap艮警、Windows

23、日志報警、Windows消息報警信息，并按照預設策略，根據(jù)提供的報警信息切斷 攻擊連接。與防火墻建立協(xié)調聯(lián)動， 運行自定義的多種響應方式， 及時阻隔或消除異常行為。全面查看網絡中發(fā)生的所有應用和連接， 完整的顯示當前網絡連接狀態(tài)?？蓪W絡中的攻擊事件， 訪問記錄進行適時查詢， 并可根據(jù)查詢結果輸出圖文報表，能讓管理人員方便的提取信息。入侵檢測系統(tǒng)猶如攝像頭、監(jiān)視器，在可疑行為發(fā)生前有預警，在攻擊行為發(fā)生時有報警，在攻擊事件發(fā)生后能記錄，做到事前、事中、事后有據(jù)可查。漏洞掃描方案除利用入侵檢測設備檢測對網絡的入侵和異常流量外， 還需要針對主機系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。 目前常用的方法是配置漏

24、洞掃描設備。 主機漏洞掃描可以主動發(fā)現(xiàn)主機系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞， 并提醒系統(tǒng)管理員對該缺陷和漏洞進行修補或堵塞。對于漏洞掃描的結果， 一般可以按掃描提示信息和建議， 屬外購標準產品問題的，應及時升級換代或安裝補丁程序 ; 屬委托開發(fā)的產品問題的，應與開發(fā)商協(xié)議修改程序或安裝補丁程序 ; 屬于系統(tǒng)配置出現(xiàn)的問題， 應建議系統(tǒng)管理員修改配置參數(shù)， 或視情況關閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。漏洞掃描功能是協(xié)助安全管理、掌握網絡安全態(tài)勢的必要輔助，對使用這一工具的安全管理員或系統(tǒng)管理員有較高的技術素質要求?？紤]到漏洞掃描能檢測出防火墻策略配置中的問題， 能與入侵檢測形成很好的互補關系： 漏洞掃描與評估系統(tǒng)使系統(tǒng)管理員在事前掌握主動地位，在攻擊事件發(fā)生前找出并關閉安全漏洞 ; 而入侵檢測系統(tǒng)則對系統(tǒng)進行監(jiān)測以期在系統(tǒng)被破壞之前阻止攻擊得逞。 因此， 漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標， 而且關系密切。 本方案建議采購將入侵檢測、 管理控制中心與漏洞掃描一體化集成的產品，不但可以簡化管理，而且便于漏洞掃描、入侵檢測和防火墻之間的協(xié)調動作。網絡防病毒方案網絡防病毒產品較為成熟，且有幾種主流產品。