2023年7月8日发(作者：)

企业信息化管理解决方案

为解决成都新朝阳生物化学有限公司网络无序话，

根据成都新朝阳生物化学有限公司信息化建设的总体设计，需要对公司全网路由器、VPN设备进行及时有效的配置，监控和管理，我们采用思科公司提供的Ciscoworks VMS网络管理系统。CiscoWorks VMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具，防火墙，以及基于网络、主机的入侵检测系统(IPS)，保护公司信息化资料安全实现提高生产率和降低运营成本。

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案

1．1、安全建设

1．2、网络边界安全防护

网络层的安全性首先由路由器做初步保障。路由器一般用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。通过配置路由器访问控制列表(ACL)，可以将其用作一个“预过滤器"，筛分不要的信息流，路由器的ACL只能作为防火墙系统的一个重要补充，对于复杂的安全控制，只能通过防火墙系统来实现。

公司服务器，首先通过二层交换机接入到主备用ASA5550防火墙，由防火墙控制所有用户的访问权限，关闭非使用端口，开启服务器所承载oA、财务、人力应用服务需要使用的端口。在此道防火墙建立DMZ区，连接省电信公司收发公文的转接器，建立一高于DMZ区低于内网的管理区，用于管理机的接入。

在内网防火墙之外采用两台cisco 3750三层交换机做路由控制，接入本大楼内分公司网络及实业本部网络，由其控制访问服务器、分公司VPN及外网路由。与地市分公司的Internet VPN采用Cisco ASA5520防火墙，同时提供拨号VPN接入，外网访问通过Amaranten F600防火墙控制后接入公网网络，同时提供备用拨号VPN接入。外网WEB服务器接在Amaranten F600防火墙DMZ区，对外开启tcp 80 http服务。

通过制定相应的安全策略，防火墙允许合法访问，拒绝无关的服务和非法入侵。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击和拒绝服务攻击等等。连接至防火墙的不同网段之间的互访均需将到对方或经过对方到其它地方的路由指向防火墙的相应接口，防火墙制定合理的策略保证合法和必要的访问，拒绝非法入侵。

我们通过配置Amaranten F600防火墙实现以下功能：

●可以通过IP地址、协议、端口等参数进行控制，使得在内网中的部分

用户可以访问外网，而其他用户不能通过防火墙访问Internet。

_对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占 用，还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配，使网络效率达到最优化。

●通过三种方式过滤不良内容，包括：>URL地址：只需要将不良网站的URL地址添加到过滤列表中，便可进行阻挡。>不良关键字：所有包含实业网络用户自定义不良关键字(如“法轮功")的网页将被屏蔽>网页分类：Amaranten F600将上亿万个网页分成了几十个类别(如政治、经济、色情、暴力等)，实业网络用户只需要在FortiGate上设置阻断某一类站点(如色情、暴力类网站)便可批量屏蔽不良网站。_通过利用IP地址、邮件地址、实时黑名单／匿名中继代理列表(RBL／ORDBL)、MIME头、关键字等多项反垃圾邮件技术在网络层和，内容层为实业网络过滤大量的垃圾邮件，以净化带宽，减轻邮件服务器负担，提高实业网络的工作效率，并防止病毒和不良信息通过垃圾邮件进入陕西电信DCN网络内网。_Amaranten F600防火墙拥有强大的日志功能，可以对网络访问、入侵、病毒、内容过滤等信息进行详细的记录。

3．4．2入侵检测与防御

入侵检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高信息安全基础结构的完整性。它在不影响网络性能的情况下能对网络进行监测，从计算机网络系统中收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测作为一种积极主动地安全防护技术，对内部攻击、外部攻击及时做出响应，包括阻塞网络连接、记录事件和报警等，在网络系统受到危害之前拦截和响应入侵，

成都新朝阳生物化学有限企业信息化及安全整体解决方案被认为是防火墙之后的第二道安全闸门。这些通过以下工作来实现：

·监视、分析用户及系统活动；

●系统构造和弱点的审计；

_识别反映已知进攻的活动模式并向相关人士报警；_异常行为模式的统计分析；_评估重要系统和数据文件的完整性；_操作系统的审计跟踪管理，并识别用户违反安全策略的行

为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。从而达到对网络实现立体纵深、多层次保护的目的。

实时监控或最近的网络数据监控

·实时地显示、监控网络数据流量并记入日志。

·每小时网络数据流量记入日志，显示并提供详细的信息。

●本地或远程的服务器服务的用户信息。

●网络负载容量和系统状态的实时显示。

实时检测、拦截并跟踪黑客入侵行为

·检测、拦截并通过各种方式(手机短信息、e—mail，etc)发布警告信息给系统管理员。

·支持各种规则配置保证检测和阻止黑客入侵。

·支持追踪黑客，定位黑客的攻击位置。信息管理

·检测并阻止访问非授权的web站点(色情、娱乐等等)

·通过关键字的搜寻对e-mail和web-mail信息流出进行拦截和记入日志。

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案

对于千兆网络的完善支持。

·并联式被动抓包技术(扫描和抓包)不影响网络流量。

·简便的安装和方便的操作(集成了S／W和H／w)。独立安装的

系统保证更好地防御安全入侵。

●远程监控和集中控制。

·支持和(IAP)控制中心的通讯交流。

检测／保护／警告

·根据入侵检测规则阻断非法网络流量，发布警告和报告(通

过报警、e-mail、移动电话)给网络管理人员。

●提供黑客的不同信息(目的、黑客行为、攻击尝试的数量、

解决办法、黑客攻击的起止时间等等)。

·提供针对不同的攻击行为的详细信息和对策。

·提供详尽的黑客文件来定位黑客位置。

控制信息

●对进出的邮件进行有效的信息管理(发送者和接受者)

◆检测e-mail(信息体和附件)并可以通过关键字的匹配进行

阻断(保证保密或机密信息不泄漏)。

●记录Telnet，Ftp和远程登录的详细信息。

·管理访问未授权的网页(包括色情、娱乐和股票信息等)的

信息。

·控制和管理硬盘共享功能(对于Pc机)。

●控制特定的服务器、客户端和服务(协议)，如果需要可以

定义规则阻断非法连接。

·提供根据字符串匹配检索日志记录。

报告功能

·实时或定期的网络使用情况的详细信息报告。

·黑客攻击信息／检测信息／保护信息／阻止信息报告。

35

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案

●数据交换详细信息报告，包括e-mail(正文／附件)、

web—mai l、Telnet、Ftp和远程登录等等。

●提供阻断硬盘共享、本地／远程用户不合法信息的报告。

·提供各种黑客攻击行为的报告。

·各种不同的打印和输出格式。

·各种图形和报表报告。

·基于计算机、服务、时间、单个记录／群体的报告。

●根据不同时间段(月、天、小时)产生统计报表。

设置

●统一管理权限。

●设置允许登录IP地址，保证只有合法IP的特定用户才能登

录系统。

·本地客户机管理。

·根据IP地址管理数据流是否合法。

●拦截规则设置。

●根据每台服务器情况和每个服务(端口)情况设置拦截端口。

●日志设置。

●网络数据实时监控设置。

入侵检测与防御解决方案利用在线式IPS和旁路式IDS实现。两者工作方式

不同，各有优势和缺点：

表一：在线式入侵检测系统和旁路式入侵检测系统的对比

工作方式优点缺点

串联在网络当中，

在线式入侵检测对所有数据包都可以直接阻断攻

会造成网络延迟

系统需要拦截检查，然击

后判断是否允许

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案

通过

旁路侦听，不拦截

旁路式入侵检测

数据包，只做检测不影响网络性能阻断效果差

系统

和记录

从表一可以看出，内置的在线式入侵检测系统可以直接阻断各种网络攻击，

但是会产生延迟；而旁路式入侵检测系统虽然不会对网络性能造成影响，但是阻

断效果差。

既然在线式入侵检测系统优势在于阻断功能强，而旁路式入侵检测系统的性

能很好，因此我们只要进行科学的配置，将两者的优势结合起来，便可在安全和

性能之间达到一个良好的平衡。

Amaranten F600具有内置IPS功能，增加IDS。

第一步，我们在Amaranten F600上配置IPS功能，直接阻挡各种DoS／DDoS

攻击，防止这类拒绝服务式攻击无意义的消耗Amaranten P600和IDS的系统资

源以及网络带宽；

第二步，暂不开启Amaranten F600上的IPS功能，使用IDS旁路检测网络

中的攻击，并配置IDS与Amaranten F600联动，使这一套系统对网络性能的影

响最小。

第三步，通过一段时间对IDS攻击审计日志的分析，找出对实业

网络发生次数最频繁、威胁最大的攻击方式，在Amaranten F600的IPS模块上

进行配置，直接检测并实时阻断这些攻击方式。

这样便可充分利用Amaranten F600在线式入侵检测系统和旁路式入侵检测

系统的优势，使实业网络在高安全的前提下保证性能损失足够小，兼

顾安全和效率。

37

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案

3．4．3安全漏洞扫描和评估

安全漏洞扫描产品能够最全面的评估企业范围内的所有网络服务、防火墙、

应用服务器、数据库服务器等系统的安全状况，找出存在的安全漏洞，按照高中

底三种风险级别罗列出来，同时针对每个漏洞给出修补的办法。

漏洞扫描器的对象是基于TCP协议的网络设备，包括服务器、路由器交换机、

工作站、网络打印机、防火墙等，通过模拟黑客攻击手法，探测网络设备存在的

弱点，提醒安全管理员，及时完善安全策略，降低安全风险。

只需在实业公司中心机房配置一台机器上安装上漏洞扫描器即

可对全网所有网络设备及服务器等进行扫描。设置对WEB服务器、邮件服务器、

DNS服务器、数据库服务器、等进行基于网络的扫描。

系统扫描器通过对企业内部操作系统安全弱点的全面分析帮助组织管理安

全风险。系统扫描比较一个组织规定的安全策略和实际的主机配置来发现潜在的

安全风险，包括缺少安全补丁、词典中中可猜中的口令，不适当的用户权限、不

正确的系统登陆权限、不安全的服务配置和代表攻击的可以行为等等。系统扫描

器采用Console／Agent结构，首先需要一台Console，在被扫描的机器上安装

Agent代理，由Console集中管理所有的Agent的扫描服务。

数据库扫描器是针对数据库管理系统的风险评估检测工具，可以利用它建立

数据库的安全规则，通过运用审核程序来提供有关安全风险和位置的简明报告。

利用数据库扫描器定期地通过网络快速、方便地扫描数据库，去检查数据库特有

的安全漏洞，全面评估所有的安全漏洞和认证、授权、完整性方面的问题。数据

库扫描器目前支持的数据库类型有：MS SQL Server、Oracle和Sybase等。只

需在一台PC上安装上数据库扫描器即可通过网络对数据库实施安全漏洞检测。

计划配置一台便携式笔记本电脑安装漏洞扫描软件，从不同的网络位置扫描

实业中心机房所有的应用服务器、交换机路由器、防火墙等联网设备，

该笔记本电脑还可以同时安装系统扫描器的Console以及数据库扫描器。

3．4．4防病毒系统

通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析，结合当

代企业网络的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理，

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案

以防为主、防治结合"的动态防毒策略。

在实业网络中部署全面的病毒扫描解决方案，从单机、网络到

Internet／__________Intranet网关全方位多平台的防病毒产品，满足不同用户对计算机从

清除病毒到网络通讯系统全面防范监控的要求。

单机病毒防火墙：适用于未联网的单个Windows桌面机，支持Win98、Win NT

Workstation、Win 2000／XP Professional等个人操作系统。

服务器病毒防火墙：文件服务器是企业网络中最常见的服务器。以NT服务

器为例，它会遭受大量引导型病毒、宏病毒、32位Windows病毒以及黑客程序

等的攻击，更为常见的是，由于服务器为网络中所有工作站提供资源共享，因而

也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站

上。需要为服务器提了针对性的防病毒解决方案，支持包括Netware、NT及Alpha

NT为平台的多种服务器的病毒防护。

电子邮件服务器病毒防火墙：对邮件服务器进行针对性的病毒扫描服务，使

服务器本身不受病毒感染，同时防止病毒通过邮件交叉感染。邮件服务器产品覆

盖Microsoft Exchange、Lotus Notes for NT、AIX、Solaris、HPUX、IBM S390

和0S400等。

网络杀毒服务器：实时的、基于Web的、可集中控管的桌面反病毒解决方案。

从管理控制台，管理员可配置、更新、扫描、监控所有的客户端的反病毒防护，

降低企业的整体成本。在病毒爆发情况下，管理员可将所有的客户端的病毒码更

新至最新状态并进行扫描，进行整个企业的病毒扫描。

防毒中央控管系统：使用中央控管系统后，网管人员可以使用浏览器为应用

界面，在企业网内部的任意工作站或通过Internet实现对跨地区、跨平台的企

业防毒系统实施统一管理和监控。

随着近年来尼姆达、冲击波等蠕虫病毒的泛滥，越来越多的病毒通过系统漏

洞进行主动的复制和传播，仅仅依靠针对主机的防病毒软件并不能完全阻止蠕虫

病毒在网络中的扩散。而据ICSA(国际计算机安全协会)的统计表明，超过90％

的病毒是通过网络传播的，因此网关防病毒是实业网络安全建设的重

中之重。我们需要针对实业网络的安全需求，对Amaranten F600的

39

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案

防病毒功能进行相应设置，便能够对进出实业网络的数据流进行实时

病毒过滤，将病毒阻挡在Internet入口之外。Amaranten F600的网关病毒过滤

特性还可以有效地防止病毒进入内网之后利用计算机系统漏洞肆意传播，大量消

耗系统资源和网络带宽所造成的DoS／DDoS(拒绝服务／分布式拒绝服务)攻击。

3．4．5 终端监控与管理

内网计算机如果非法接入互联网，就会使得我们采取的内、外网物理隔离、

防火墙等多种确保内联网安全的措施彻底失去功效，相当于把整个内部网络完全

暴露在恶意攻击者面前，所可能遭受的信息失密、毁损等后果将无法估量。因此

我们要在实业内网中的PC上部署防非法外联软件。

监控各类非法外联，包括Modem、ADSL、GPRS、红外、多网卡(包括无线网

卡)，基本涵盖目前主流的外联手段。实时发现非法接入的主机(可以穿透个人

防火墙)，并能有效阻断非法接入主机对局域网络的访问，有效维护局域网的完

整性和安全性。能够有效监控／阻断客户端主机的IP、MAC、掩码的非法修改操

作，有效控制局域网的IP盗用和滥用，同时也避免了客户端主机修改网卡IP

后连入Internet的问题。告警方式包括：屏幕报警、Windows消息警告、邮件

告警等。系统支持多级管理，适用于大规模分布式部署，总控可以查看全局的主

机信息、所有报警信息等，很好的起到资产管理的作用。客户端的运行平台包括

Windows 98、Windows Me、Windows XP、Windows 2000、Windows 2003等。客

户端采用后台运行方式，不容易被用户察觉；客户端对自己注册的服务进行保护，

使服务不能非法停止、服务属性不能非法修改；客户端进程采用双进程相互守护

的方式保障进行正常运行；客户端对安装文件进行保护，使其不被非法删除、修

改。采用分散扫描方式，将探测活动主机的工作分摊到各个Vlan中的指定引擎，

分担了控制中心的扫描工作，同时也使得探测数据包控制在Vlan中，从而使得

系统扫描对整个网络的带宽占用有效控制在很小的范围，不对网络正常应用带来

任何负面影响。__