网络安全设计方案(6)

dmz区 在服务器上安装趋势防毒墙服务器版防病毒软件；安装一台interscan

viruswall防病毒网关；安装百兆眼镜蛇入侵检测系统探测器和nethawk网络安全监控与审计系统。

安全监控与备份中心 安装fw3010-5000千兆防火墙，安装rj-itop榕基网络安全漏洞扫描器；安装眼镜蛇入侵检测系统控制台和百兆探测器；安装趋势防毒墙服务器版管理服务器，趋势防毒墙网络版管理服务器，对各防病毒软件进行集中管理。

1.2防火墙安全系统技术方案

某市政府局域网是应用的中心，存在大量敏感数据和应用，因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统，确保数据和应用万无一失。

所有的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到主干交换机上。由于工作站分布较广且全部连接,对中心的服务器及应用构成了极大的威胁，尤其是可能通过广域网上的工作站直接攻击服务器。因此，必须将中心与广域网进行隔离防护。考虑到效率，数据主要在主干交换机上流通，通过防火墙流入流出的流量不会超过百兆，因此使用百兆防火墙就完全可以满足要求。

如下图，我们在中心机房的dmz服务区上安装两台互为冗余备份的海信fw3010pf-4000百兆防火墙，dmz口通过交换机与www/ftp、dns/mail服务器连接。同时，安装一台fw3010pf-5000千兆防火墙，将安全与备份中心与其他区域逻辑隔离开来通过安装防火墙，实现下列的安全目标：

1) 利用防火墙将内部网络、internet外部网络、dmz服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接通信；

2) 利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全；

3) 利用防火墙对来自外网的服务请求进行控制，使非法访问在到达主机前被拒绝；

4) 利用防火墙使用ip与mac地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内；

5) 利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作；

6) 利用防火墙及服务器上的审计记录，形成一个完善的审计体系，建立第二条防线；

7) 根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。

1.3入侵检测系统技术方案

如下图所示，我们建议在局域网中心交换机安装一台海信眼镜蛇入侵检测系统千兆探测器，dmz区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器，用以实时检测局域网用户和外网用户对主机的访问，在安全监控与备份中心安装一台海信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵检测系统控制台，由系统控制台进行统一的管理(统一事件库升级、统一安全防护策略、统一上报日志生成报表)。

其中，海信眼镜蛇网络入侵检测系统还可以与海信fw3010pf防火墙进行联动，一旦发现由外部发起的攻击行为，将向防火墙发送通知报文，由防火墙来阻断连接，实现动态的安全防护体系。海信眼镜蛇入侵检测系统可以联动的防火墙有：海信fw3010pf防火墙，支持opsec协议的防火墙。

通过使用入侵检测系统，我们可以做到：

1) 对网络边界点的数据进行检测，防止黑客的入侵； 2) 对服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改； 3) 监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作； 4) 对用户的非正常活动进行统计分析，发现入侵行为的规律； 5) 实时对检测到的入侵行为进行报警、阻断，能够与防火墙/系统联动； 6) 对关键正常事件及异常行为记录日志，进行审计跟踪管理。