贵州省地方税务局广域网安全防范技术
作者:田新业
来源:《商场现代化》2010年第20期
作者:田新业
来源:《商场现代化》2010年第20期
[摘要] 贵州省地税广域网是金税工程三期网络建设的一个重要组成部分,是根据国家税务总局金税工程三期及贵州省地税省级大集中业务相关要求,建设的广域网。网络设备在运行过程中可能会出现各种各样的异常状态,这些异常状态往往会带来安全威胁,对广域网内的数据造成破坏,所以目前对广域网的管理,要重视对网络设备安全的管理,目的是构建高效、安全、可靠的网络运行环境。
[关键词]贵州省地税 广域网 网络设备安全 防范技术
一、概述
贵州省地税广域网采用星树型、分层结构设计,网络层次清晰,达到骨干与接入分离、广
域与局域分离的建设效果,利于全省大集中的建设,网络扩展能力、灵活性强。
贵州省地税局省局中心节点部署两台SR8805核心路由器通过千兆互连2台高端交换机S7510E作为局域网核心交换。每台核心路由器上提供1个155M CPOS接口提供对9个地市局节点的4M SDH接入,提供2个1000M电接口连接2台局域网核心交换机,提供1个1000M电接口连接到国家总局的接入路由器。
全省9个地市局节点各部署1台地市汇聚路由器SR6608,1台局域网核心交换机S7503以及1台SECPATH F100-E防火墙。路由器上配置1个155M CPOS接口用于与省局主路由器连接,同时,作为地市到区县的广域网链路接口,另外配置1个8端口E1接口业务板,与省备份路由器的4MSDH链路连接。
98个县(区)节点各部署1台县级路由器MSR50-40/MSR30-40,1台S3600交换机及1台SECPATH F100-M防火墙。每台路由器上配置1个2E1接口模块,用于连接地市的SDH 2M链路。
贵州省广域网络相对独立,与国家税务总局和贵州省国税局在省骨干节点设备背靠背连
接接入。工程设备网管采用iMC智能网管中心,选用集中网管的方式,建设有1个全网网管中心。
二、网络的安全分析
1.物理安全风险,网络内物理安全存在地震、水灾、电磁干扰、电磁泄密。
2.系统安全风险,网络内网络边界的安全、应用系统的安全、U盘的安全等。
3.数据安全风险。
三、网络的安全设计及防范措施
1.各级单位访问控制设计
(1) 上级单位允许访问下级单位,即省局允许访问所有单位,地市局允许访问下属的所有区
县局,但禁止访问其它地市局及其下属的区县局;
(2) 下级单位允许访问直管的上级单位,即区县局允许访问省局及直管的地市局,但禁止访问其它地市局;
(3) 平级单位之间禁止互访,即不同的地市局之间禁止互访,不同的区县局之间禁止互访。
2.网络设备安全部署
网络中部署有2台高性能交换机组成双核心、双归属的健壮核心架构。采用高端路由交换机作为核心交换机,以确保核心网络的高可靠性、维护简易性等。同时在局域网部署VRRP、MSTP等技术,提高局域网用户的可靠性,并在核心交换机上配置SecBlade防火墙插卡,通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性,实现对同一VLAN内终端之间的访问限制。
SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起,使得交换机在高性能数据转发的同时,能够根据组网的特点处理安全业务。
SecBlade 防火墙模块可以对需要保护的区域进行策略定制,可以支持所有报文的安全检测,同时SecBlade 防火墙模块支持多安全区域的设置,支持Secure VLAN,对于需要防火墙隔离或保护的VLAN区域,用户可以将Secure VLAN绑缚到其中的一个SecBlade 防火墙插卡上,这样可以通过设置Secure VLAN来对交换机内网之间(不同VLAN之间)的访问策略进行定制。
在服务器前端增加两台高端的IPS主动防御系统,串联在线部署,主动防御,实时阻断攻击实现内容和应用层的拦截;并在关键服务器前端增加负载均衡器,保障各种应用的负载分担。
网络内定期进行漏洞扫描,限制一般User,不可在內部网络上进行漏洞扫描,使用防火墙,防止外部对内部的扫描,进行网络内流量监控,进行网络内连接监控,使用IDS,防止来自内部的攻击,定期检查系统Log。
3.网络设备分级管理
(1) 省局技术员对各地网络设备具有配置管理权限,地市局技术员对本局网络设备及下属区县网络设备具有配置管理权限,区县局技术员对本局网络设备只具有查看设备运行信息的权限。
(2) 通过控制端口“Console”登录设备,设置登录口令。也可采用“AUX”端口进行远程配置,为提高安全可将AUX端口关闭。
(3) 对通过TELNET远程登录设备,设置登录用户及口令,并分级进行权限管理。TELNET登录后,只具有查看权限(1级权限),要取得配置管理权限,需进一步输入super命令,并进行密码验证。
(4)口令长度至少为6位,且为字母、数字及特殊字符的组合。
4.SNMP访问控制
(1) 对于网络设备的管理,为保证其安全性,贵州省中心的网管服务嚣可以管理全网的网络设备,而地州内的网管服务器只能管理本地州内的网络设备,不能管理其它地州的网络设备,通过在网络设备上配置相应的ACL规则来实现对网络设备的管理。
(3) SNMP采用团体字认证,与设备认可的团体字不符的SNMP报文将被丢弃。SNMP团
体(Community)由一字符串来命名,称为团体字(Community Name)。不同的团体可具有只读(read-only)或读写国家税务总局网上办税服务厅登录(read-write)访问模式。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体才可以对设备进行配置。团体字符串有“public”对路由器资源只读权限,团体字符串“private”对路由器资源可读写权限。
(4)参考配置
snmp-agent //开启SNMP功能
snmp-agent community read gzds-public acl 2000//配置读团体字符,同时引用2000的ACL
snmp-agent community write gzds-private acl 2000 //配置写团体字符,同时引用2000的ACL
snmp-agent sys-info version all//配置支持所有的SNMP版本
acl number 2000//创建编号为2000的访问控制列表(用于能进行SNMP网管的网段)
rule 0 permit source 153.16.0.0 0.0.255.255//允许省局的网段通过,即省局的网段能对本设备进行SNMP网管
rule 1 permit source 153.28.0.0 0.0.15.255 //允许市局的网段通过,即市局网段能对本设备进行SNMP网管
rule 2 deny//除省局和市局网段外其他网段禁止通过
5.网络病毒防范技术
(1)路由器和三层交换机的功能是保持网络的连通性,尽自己最大能力转发数据包。网络病毒发送的大量垃圾报文,路由器是并不能识别的。需要我们手工配置ACL,比如最近流行的冲击波病毒,通过配置,路由器和交换机可以部分阻止这些垃圾报文。以上只是辅助措施,根本解决办法是查杀PC的病毒,尽快安装微软操作系统的补丁,升级杀毒工具的病毒库,提高安全意识。
(2)为了设备安全,设备统一采用QUIDVIEW管理,关闭设备WEB管理。
(3)常见防病毒ACL,包含常见的病毒端口,新发现的病毒,还需要手工添加对应的端口号,如:3127、1025、5554、9996、1068、135、137、138、139、593、4444、5800、5900、8998、445、1434等。配置好以后在相关的端口下发即可。
(4)网络内病毒、黑客攻击等难以防范和管理的问题采用网络管理功能的网络版杀毒软件。使用集中式管理、分布式杀毒:集中式管理可以策略为中心,以逻辑上的策略进行杀毒策略的部署,这种方式可以脱离网络拓扑结构,部署较灵活;也可以服务器为中心,进行网络杀毒管理,这种方式与网络拓扑结构融合,管理最方便。选择的网络版杀毒软件要注意与防火墙、入侵检测、安全扫描、SNMP网络管理相融合。
6.网络主机防范措施
(1) 定期进行漏洞扫描,提高警惕,避免End-User端的攻击。
(2) Integrity Check (ex. Tripwire、MD5Sum),密码不要太简单,关闭文件共享,不要使用系统默认值。
(3) 确认每一个在执行的Service用途,确认每一个在执行的Process用途,确认每一个监听
端口的用途,以及建立连接程序的用途。(netstat、fport、TCPView)
(3) 操作系统勤打补丁,确认安装最新的Service Pack及补丁程序。现在许多病毒、木马就是利用了Windows操作系统的漏洞进行传播了,而微软也会不定期发布相应的补丁程序要进行补救,要做到勤打补丁,就不会造成病毒形成蔓延之势。
(5) 下载软件及驱动程序应该到或是知名大网站下载,不到一些陌生或是不知名的网站下载,并且最好下载官方版本,不随意使用第三方修改过的版本。
(6)安装软件之前最好先进行病毒扫描,另外在安装过程中将每一个步骤都看仔细,不能随意地一路“Enter”下去。定期更新防病毒软件规则。
四、小结
贵州省地税广域网的安全因受到各种因素的影响,安全事件的出现是非常频繁的,通过上
面的介绍是希望在现阶段构建一个相对安全的网络环境,做到百分之百的安全是很困难的,提高整个广域网的安全防范总是增加了系统管理的复杂性和成本,所以只有提高安全意识、规范管理制度才能做到真正的安全。
发布评论