1. Trang chủ
  2. » Giáo Dục - Đào Tạo

An ninh mạng

16 765 5
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 16
Dung lượng 1,06 MB

Nội dung

An ninh mạng

Trang 1

MÔT SỐ ĐỊNH HƯỚNG XÂY DỰNG

HỆ THỐNG BẢO ĐẢM AN TOÀN AN NINH CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU

CHƯƠNG TRÌNH 112

Tháng 6-2004

Trang 2

MÔT SỐ ĐỊNH HƯỚNG XÂY DỰNG

HỆ THỐNG BẢO ĐẢM AN TOÀN AN NINH CHO

TRUNG TÂM TÍCH HỢP DỮ LIỆU

1 Hệ thống kiểm soát truy nhập

soát truy nhập:

• Hệ thống có khả năng kiểm soát chính sách truy nhập hệ thống trên cơ sở kiểm tra IP nguồn, IP đích hoặc trên cơ sở kiểm tra Username và Password

• Kiểm soát gói tin từ mức 3 đến mức 7 theo mô hình OSI, đảm bảo kiểm soát gói tin từ lớp mạng đến cả trên tầng ứng dụng

• Hệ thống kiểm soát có tính bảo mật cao, có nhiều tính năng an toàn an ninh

• Có tính năng quản lý, quản trị tập trung về chính sách an ninh và cảnh báo, log

• Đảm bảo bảo vệ theo chiều sâu với nhiều tầng kiểm soát

• Cung cấp khả năng chuyển địa chỉ nội bộ thành địa chỉ public (NAT)

• Cung cấp tính năng tạo cổng mã hoá VPN

• Tích hợp trên nền phần cứng chuyên dụng để giảm thiểu nguy cơ bị xâm nhập và phá hoại do lỗ hổng bảo mật của hệ điều hành, đồng thời giảm chi phí bảo hành, bảo trì hệ điều hành

• Có khả năng phòng chống các tấn công như DoS, DDoS, SYNFlood, từ phía mạng không tin cậy

• Lọc nội dung, kiểm soát truy nhập trên cơ sở lọc URL

• Có độ sẵn sàng cao (High Avaibility)

• Đảm bảo băng thông cho hệ thống trong trường hợp có áp dụng VPN

• Tích hợp tốt với các thành phần an ninh khác của hệ thống như hệ thống phòng chống virus (anti-virus), hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS)

• Có khả năng thay thế nhanh cả phần cứng và phần mềm

• Có sự hỗ trợ tốt nhất của nhà cung cấp về cài đặt, triển khai, sửa lỗi bảo trì bảo hành

1.2 Giải pháp đề nghị áp dụng:

1.2.1 Mô hình trung tâm nhỏ

1.2.1.1 Vị trí lắp đặt:

Sử dụng 02 firewall bảo vệ:

1 Firewall thứ nhất chuyên để quản lý truy cập Internet

2 Firewall thứ hai chuyên để kiểm soát đối với mạng CPNet

Trang 3

CPNet

Internet

SWITCH

Server

Internal Network

Firewall1 Safe@225U

Laptop

Firewall2 Safe@225U

DE XUAT MO HINH BAO VE MANG BANG FIREWALL CHO DUONG INTERNET VA CPNET

Mô hình này cho phép tăng hệ số an toàn của mạng và dễ dàng quản trị Khi một firewall bị lỗi vẫn không ảnh hưởng đến các kết nối trên firewall còn lại

1.2.1.2 Các tính năng đạt được:

Các tính năng firewall

• Thông lượng firewall đạt tốc độ tới 150Mbps

• Firewall có sẵn tính năng VPN với tốc độ sử lý đến 30Mbps Hỗ trợ cả hai mô hình kết nối VPN client-to-site và site-to-site

• Hỗ trợ tới 8000 kết nối đồng thời

• Hỗ trợ khả năng sẵn sàng cao High Availability

Các tính năng kĩ thuật:

• Kiểm soát truy cập

o Kiểm soát truy cập từ bên ngoài(CPNet, Internet) vào bên trong mạng

o Kiểm soát truy cập từ bên mạng ra bên ngoài (CPNet, Internet)

• Biên dịch địa chỉ:

o Dịch địa chỉ các máy bên trong mạng DMZ sang các địa chỉ thực bên ngoài

o Dịch địa chỉ các máy bên trong mạng nội bộ sang một địa chỉ duy nhất là địa chỉ card mạng bên ngoài

1.2.2 Mô hình trung tâm trung bình

1.2.2.1 Vị trí lắp đặt

Sử dụng 03 firewall bảo vệ:

1 Firewall thứ nhất chuyên để quản lý truy cập Internet

2 Firewall thứ hai chuyên để kiểm soát đối với mạng CPNet

3 Firewall thứ ba chuyên để bảo vệ các máy bên trong mạng

Trang 4

CPNet Internet

SWITCH

FTP Server Mail Server

Web Server

DMZ Network

Firewall3

Celestix

FV930

SWITCH

Admin Point Computer Computer

Computer Computer Laptop

Internal Network

Firewall1 Safe@225U

Firewall2

Safe@225U

DE XUAT MO HINH BAO VE MANG BANG FIREWALL

CHO VUNG DMZ, DUONG INTERNET VA CPNET

Mô hình này cho phép tăng hệ số an toàn của mạng và dễ dàng quản trị Khi một firewall bị lỗi vẫn không ảnh hưởng đến các kết nối trên firewall còn lại Ngoài ra, firewall thứ ba sẽ làm tăng độ bảo mật của hệ thống, tạo thêm một lớp bảo vệ nữa cho các máy bên trong mạng

1.2.2.2 Các tính năng đạt được

Các tính năng firewall

1 Firewall bảo vệ bên ngoài:

o Thông lượng firewall đạt tốc độ tới 150Mbps

o Firewall có sẵn tính năng VPN với tốc độ sử lý đến 30Mbps Hỗ trợ cả hai mô hình kết nối VPN client-to-site và site-to-site

o Hỗ trợ tới 8000 kết nối đồng thời

o Hỗ trợ khả năng sẵn sàng cao High Availability

2 Firewall bảo vệ bên trong:

o Thông lượng firewall đạt tốc độ tới 220Mbps

Trang 5

o Firewall có sẵn tính năng VPN với tốc độ xử lý đến 54 Mbps Hỗ trợ cả hai

mô hình kết nối VPN client-to-site và site-to-site

o Chạy trên phần cứng chuyên dụng với hệ điều hành đã được làm cứng hoá Các tính năng kĩ thuật:

• Kiểm soát truy cập

o Kiểm soát truy cập từ bên ngoài(CPNet, Internet) vào bên trong mạng

o Kiểm soát truy cập từ bên mạng ra bên ngoài (CPNet, Internet)

• Biên dịch địa chỉ:

o Dịch địa chỉ các máy bên trong mạng DMZ sang các địa chỉ thực bên ngoài

o Dịch địa chỉ các máy bên trong mạng nội bộ sang một địa chỉ duy nhất là địa chỉ card mạng bên ngoài

• Chống tấn công

o Chống lại các tấn công mới nhất tại tầng ứng dụng Firewall lớp 2 phải có khả năng cập nhật các mẫu tấn công mới nhất

1.2.3 Mô hình trung tâm lớn

1.2.3.1 Vị trí lắp đặt

Sử dụng 03 firewall bảo vệ:

1 Firewall thứ nhất chuyên để quản lý truy cập Internet

2 Firewall thứ hai chuyên để kiểm soát đối với mạng CPNet

3 Firewall thứ ba chuyên để bảo vệ các máy bên trong mạng, bảo vệ vùng máy chủ quan trọng

Firewall1 Safe@225U

Firewall2 Safe@225U

SWITCH

FTP Server Mail Server Web Server

DMZ Network Firewall3

Resilience 4510

SWITCH

May chu quan tri tap trung cua Check Point Computer Computer

Computer Computer

Laptop

PC Zone DataBase Server APP Server

SWITCH

DE XUAT MO HINH BAO VE MANG BANG FIREWALL CHO VUNG DMZ, VUNG CAC MAY CHU, DUONG INTERNET VA CPNET

Mô hình này cho phép tăng hệ số an toàn của mạng và dễ dàng quản trị Firewall thứ ba sẽ làm tăng độ bảo mật của hệ thống, tạo thêm một lớp bảo vệ nữa cho các máy bên trong mạng, các máy chủ quan trọng

Trang 6

1.2.3.2 Các tính năng đạt được

Các tính năng firewall

Firewall bảo vệ bên ngoài:

o Thông lượng firewall đạt tốc độ tới 150Mbps

o Firewall có sẵn tính năng VPN với tốc độ sử lý đến 30Mbps Hỗ trợ cả hai mô hình kết nối VPN client-to-site và site-to-site

o Hỗ trợ tới 8000 kết nối đồng thời

o Hỗ trợ khả năng sẵn sàng cao High Availability

Firewall bảo vệ bên trong:

Đảm bảo hoạt động với tốc độ cao, khả năng sẵn sàng cao

o Thông lượng firewall đạt tốc độ tới 600Mbps

o Firewall có sẵn tính năng VPN với tốc độ xử lý đến 200 Mbps AES/MD5 Hỗ trợ cả hai mô hình kết nối VPN client-to-site và site-to-site

o Chạy trên phần cứng chuyên dụng với hệ điều hành đã được làm cứng hoá Các tính năng kĩ thuật:

• Kiểm soát truy cập

o Kiểm soát truy cập từ bên ngoài(CPNet, Internet) vào bên trong mạng

o Kiểm soát truy cập từ bên mạng ra bên ngoài (CPNet, Internet)

• Biên dịch địa chỉ:

o Dịch địa chỉ các máy bên trong mạng DMZ sang các địa chỉ thực bên ngoài

o Dịch địa chỉ các máy bên trong mạng nội bộ sang một địa chỉ duy nhất là địa chỉ card mạng bên ngoài

• Chống tấn công

Firewall lớp 2 phải có khả năng chống lại các tấn công mới nhất tại tầng ứng dụng, khả năng cập nhật các mẫu tấn công mới nhất

• Khả năng sẵn sàng cao: Firewall lớp 2 phải gồm hai module chạy theo chế độ active-standby Khi một module bị hỏng, module còn lại sẽ tự động thay thế mà không cần

sự can thiệp của người quản trị Khi cần có thể nâng cấp lên hoạt động với mô hình active-active

2 Hệ thống phát hiện và phòng chống xâm nhập

chống xâm nhập

• Phát hiện và phòng chống được các kiểu xâm nhập trái phép, luôn luôn được cập nhật các kỹ thuật phòng chống xâm nhập mới nhất

• Có khả năng bố trị tại nhiều vùng khác nhau trong hệ thống: vùng DMZ, vùng Core, vùng LAN hoặc theo dõi xâm nhập tại gateway, tại server, tại từng PC

• Có khả năng kiểm soát nhiều giao thức khác nhau

• Không ảnh hưởng/Ảnh hưởng ít nhất đến băng thông của hệ thống

• Có khả năng chủ động chống lại các tấn công, xâm nhập một cách tự động

• Không đưa ra/Ít đưa ra các cảnh báo sai về xâm nhập (low false positive)

• Quản trị tập trung hệ thống phát hiện và phòng chống xâm nhập, có khả năng thực hiện đánh giá tương quan giữa các sự kiện về an toàn an ninh tại các vị trí khác nhau trong hệ thống

• Tích hợp tốt với các thành phần an ninh khác của hệ thống như hệ thống phòng chống virus (anti-virus), hệ thống kiểm soát truy nhập (firewall)

Trang 7

• Tích hợp trên nền phần cứng chuyên dụng để giảm thiểu nguy cơ bị xâm nhập và phá hoại do lỗ hổng bảo mật của hệ điều hành, đồng thời giảm chi phí bảo hành, bảo trì hệ điều hành

• Có khả năng thay thế nhanh cả phần cứng và phần mềm

• Có sự hỗ trợ tốt nhất của nhà cung cấp về cài đặt, triển khai, sửa lỗi, bảo trì bảo hành

2.2 Giải pháp đề nghị áp dụng

2.2.1 Mô hình trung tâm nhỏ

2.2.1.1 Vị trí lắp đặt

Sử dụng thiết bị phát hiện và phòng chống xâm nhập đặt ở mức gateway, phía trước mạng LAN

Internet/CPNet

SWITCH

Server Server

Server

Internal Network

Firewall

PC PC Laptop

Proventia M30

2.2.1.2 Các tính năng đạt được

• Sử dụng kỹ thuật phát hiện và ngăn chặn tấn công hơn 2500 kiểu kiểm tra để ngăn chặn các tấn công mà không ảnh hưởng tới các traffic thông thường

• Chống báo động giả

• Chính sách an ninh mặc định bao gồm 160 luật thiết lập sẵn, có khả năng chống các tấn công hỗn hợp của virus như MS Blaster, SQL Slammer, Nimda, Code Red… mà không cần đến trình độ cao của người quản trị

• Đáp ứng được cho mạng có quy mô đến 500 người sử dụng

• Hoạt động với tốc độ lên tới 200 Mbps

• Thiết bị phần cứng trên nền Intel, theo chuẩn Rack- Mount

• Hệ thống quạt, nguồn dự phòng đảm bảo an toàn cho dữ liệu trước các lỗi phần cứng

• Triển khai quản trị mềm dẻo : quản trị riêng lẻ qua WebUI , quản trị tập trung bởi phần mềm Site Protector

• Có thể mở rộng thêm các tính năng an ninh ở gateway như lọc nội dung hoặc chống thư rác

2.2.2 Mô hình trung tâm trung bình

2.2.2.1 Vị trí lắp đặt

Sử dụng một thiết bị phát hiện và phòng chống xâm nhập đặt sau firewall, các thiết bị này có nhiệm vụ kiểm soát các tấn công và xâm nhập ở mức gateway Thiết bị dạng này sẽ ngặn chặn được các tấn công vào máy chủ mail, máy chủ web, máy chủ cơ sở

dữ liệu

Khi các xâm nhập lọt qua, các thiết bị này sẽ tự động loại bỏ các kết nối hoặc block các gói tin được sử dụng để tấn công

Các thiết bị dạng này có thể hoạt động ở chế độ chặn bắt các gói tin được cho là nguy hiểm hoặc ở chế độ chỉ đưa ra các cảnh báo cho quản trị viên hệ thống về các tấn công

và xâm nhập đã xảy ra

Trang 8

SWITCH

FTP Server Mail Server

Web Server

DMZ Network

Proventia G200

Firewall

SWITCH

Admin Point Computer Computer

Computer

Internal Network

Firewall

Server Sensor SensorServer SensorServer

Site Protector

2.2.2.2 Các tính năng đạt được

A-Thiết bị phòng chống xâm nhập hoạt động ở mức gateway:

• Thiết bị hoạt động trong chế độ inline để đưa ra các cảnh báo về xâm nhập và tự động

có các hành động chống lại xâm nhập, không cần tác động của quản trị viên hệ thống

• Đảm bảo hoạt động với tốc độ lên tới 200 Mbps

• Phân tích và lọc dữ liệu ở lớp Application

• Bảo vệ 1 Segment 10/100/1000

• Kích cỡ 1U rack-mount

• Đảm bảo tính ổn định với nguồn dự phòng

• Thiết bị không có địa chỉ IP trên mạng, hạn chế được các tấn công vào chính thiết bị

• Ngăn chặn các tấn công không ngăn chặn được bằng các firewall thông thường như: Kazaa , Gnutella, Grokster, Morpheus, iMesh, các tấn công tận dụng điểm yếu bảo mật của AOL Instant Messenger, MSN Messenger, Yahoo Messenger

• Phát hiện các xâm nhập lọt qua sự kiểm soát của firewall

B-Phần mềm phòng chống xâm nhập cho máy chủ

• Chống lại các tấn công vào hệ điều hành của server

• Phát hiện các dò tìm bất hợp pháp, các thay đổi cấu hình dẫn tới mất an toàn hệ thống, các hành vi thay đổi nội dung trang Web, các cuộc tấn công DoS, các hành vi tạo ra backdoor

• Chặn các tấn công không theo giao thức IP

• Chống các tấn công dạng DoS, DDoS

• Chống lại các hành vi trinh sát tấn công, thu thập thông tin bất hợp pháp

• Các hình thức đáp trả tấn công:

o Ngắt session gây ra tấn công

o Cấm user hoạt động

Trang 9

o Block các gói tin bị nghi là dùng để tấn công, trinh sát

C-Phần mềm phòng chống xâm nhập cho máy trạm

• Tính năng Firewall: kiểm soát các luồng thông tin vào và ra khỏi máy được cài để phát hiện các dấu hiệu khả nghi

• Phát hiện xâm nhập

• Thông báo tới người sử dụng những tấn công và ngăn chặn các mối nguy hiểm cho máy tính hay cho toàn bộ mạng

• Thu thập các thông tin về kẻ tấn công và ghi lại như những bằng chứng về tấn công

• Kiểm soát ứng dụng: chống lại các ứng dụng chưa biết và những ứng dụng mang tính phá hoại mà không làm ảnh hưởng tới các ứng dụng hay các dịch vụ bình thưòng khác

• Kiểm soát kết nối: chống lại các kết nối trái phép, ngăn cản những kẻ xâm nhập trong khi những kết nối thông thường tới mạng nội bộ hoặc ra internet không bị ảnh hưởng

• Quản trị từ xa: làm việc với một module quản trị và thông báo tới các những người quản trị an ninh mạng các thông tin về các sự kiện xảy ra trên từng máy cá nhân

• Nâng cấp, cập nhật cho từng máy được thực hiện tập trung

• Ngăn chặn các luồng thông tin ra ngoài

• Cho phép người sử dụng hay người quản trị tập trung kiểm soát các luồng thông tin đi ra ngoài từ các client dựa trên cổng, địa chỉ IP hay dựa trên giao thức

• Hỗ trợ sửa lỗi:

• Hỗ trợ VPN:

Cấm các Client không được truy cập VPN nếu các Client không cài chương trình diệt virus hoặc các chương trình diệt Virus trên máy quá cũ, không được cập nhật

Thiết lập chính sách an ninh bắt buộc cho các VPN Client truy nhập vào mạng

2.2.3 Mô hình trung tâm lớn

2.2.3.1 Vị trí lắp đặt

Sử dụng hai thiết bị phát hiện và phòng chống xâm nhập đặt sau mỗi firewall, các thiết bị này

có nhiệm vụ kiểm soát các tấn công và xâm nhập ở mức gateway Thiết bị dạng này sẽ ngặn chặn được các tấn công vào máy chủ mail, máy chủ web, máy chủ cơ sở dữ liệu trong vùng DMZ và cùng core

Khi các xâm nhập lọt qua, các thiết bị này sẽ tự động loại bỏ các kết nối hoặc block các gói tin được sử dụng để tấn công

Các thiết bị dạng này có thể hoạt động ở chế độ chặn bắt các gói tin được cho là nguy hiểm hoặc ở chế độ chỉ đưa ra các cảnh báo cho quản trị viên hệ thống về các tấn công và xâm nhập đã xảy ra

Trang 10

SWITCH

FTP Server Mail Server Web Server

DMZ Network

Proventia G200

Firewall

SWITCH

Admin Point Computer Computer

Computer Computer Laptop

PC Zone

Firewall

Server Sensor

Server Sensor

Server Sensor

Site Protector

DataBase Server APP Server

SWITCH

Third party module Fusion Module

Server Sensor SensorServer

Desktop Protector

Desktop Protector Desktop

Protector

Proventia G200

DB & APP Zone

2.2.3.2 Các tính năng đạt được

A-Thiết bị phòng chống xâm nhập hoạt động ở mức gateway:

• Thiết bị hoạt động trong chế độ inline để đưa ra các cảnh báo về xâm nhập và tự động

có các hành động chống lại xâm nhập, không cần tác động của quản trị viên hệ thống

• Đảm bảo hoạt động với tốc độ lên tới 200 Mbps

• Phân tích và lọc dữ liệu ở lớp Application

• Bảo vệ 1 Segment 10/100/1000

• Kích cỡ 1U rack-mount

• Đảm bảo tính ổn định với nguồn dự phòng

• Thiết bị không có địa chỉ IP trên mạng, hạn chế được các tấn công vào chính thiết bị

• Ngăn chặn các tấn công không ngăn chặn được bằng các firewall thông thường như: Kazaa , Gnutella, Grokster, Morpheus, iMesh, các tấn công tận dụng điểm yếu bảo mật của AOL Instant Messenger, MSN Messenger, Yahoo Messenger

• Phát hiện các xâm nhập lọt qua sự kiểm soát của firewall

B-Phần mềm phòng chống xâm nhập cho máy chủ

• Chống lại các tấn công vào hệ điều hành của server

• Phát hiện các dò tìm bất hợp pháp, các thay đổi cấu hình dẫn tới mất an toàn hệ thống, các hành vi thay đổi nội dung trang Web, các cuộc tấn công DoS, các hành vi tạo ra backdoor

• Chặn các tấn công không theo giao thức IP

• Chống các tấn công dạng DoS, DDoS

• Chống lại các hành vi trinh sát tấn công, thu thập thông tin bất hợp pháp

• Các hình thức đáp trả tấn công:

o Ngắt session gây ra tấn công

o Cấm user hoạt động

o Thực hiện các chương trình được định nghĩa trước để chống tấn công

o Block các gói tin bị nghi là dùng để tấn công, trinh sát

Ngày đăng: 24/08/2012, 08:16

Xem thêm

HÌNH ẢNH LIÊN QUAN

THIẾT KẾ VÀ THỊ CÔNG MÔ HÌNH - An ninh mạng
THIẾT KẾ VÀ THỊ CÔNG MÔ HÌNH (Trang 1)

TỪ KHÓA LIÊN QUAN

w