1、赛门铁克网关安全解决方案北京赛门铁克信息技术有限公司2012 年 3 月赛门铁克网关安全解决方案 .1一、 某某公司网络结构描述 2二、 某某公司网络网关安全需求分析 321 分析来自 Internet 的安全威胁 .422 其他网关安全考虑 .623 某某公司网络网关安全需求分析 .7三、 项目的设计目标和原则 8四、 网关安全产品的类型及企业选择网关安全产品应考虑的因素 841 网关安全产品的类型及优缺点 .942 企业选择网关安全产品应考虑的因素 .11五、 赛门铁克网关安全产品推荐 15六、 赛门铁克网关安全产品部署规划 1661 部署前准备 .1662 试验性部署 .1663 实际部
2、署 .1664 调试、验收 .1665 管理维护说明 .17一 、 某 某 公 司 网 络 结 构 描 述(以客户网络拓扑图为基础,正确、清晰的描述客户的网络结构,包括 Internet 出口,Extranet 连接,路由器交换机部署,各线路的带宽,以及近期可能的网络变动计划等等)(客户网络拓扑图)某某公司是在 1999 年成立。网络规模较小。目前所有办公及业务允许均在一个网络中。进行分析:只有一个连接 INTERNET 的连接口,使用?的上网方式。重要服务器集中在某一网段里。 。 。 。 。 。 。 。 。(参见示意图) 。(公司网络拓扑)二 、 某 某 公 司 网 络 网 关 安 全 需
3、求 分 析网络的广泛连接性、专用网络与基于这些网络之上的计算机基础设施间的混合应用改变了企业商务运作的方式。随着信息变得越来越有价值,也越来越易传送,因此在网络的受保护区域及未受保护区域间进行信息的安全传送显得比以前更为重要。企业的信息技术主管都在考虑以下所列出的问题:是否企业的网络同互联网相联通过企业的网络是否能够获得机密信息企业的员工及信息资产是否受到保护企业是否有远程或者移动工作员工;如何对他们的体系进行保护企业是否具有远程办事处;他们是否有需要保护的信息资产企业是否由于攻击而遭受财政损失企业是否满意现有的安全保护级别,并且企业是否已具有了此种保护能力防火墙(或类似产品)对于任何一个企业
4、网络安全规划都是一个重要的组件。防火墙是一种基于硬件或软件之上的,在专用或封闭网络的内部或者边界进行战略安装的系统。它阻止未授权用户进入这些网络或相应网络段。这也就是为什么称它们为边界防护机制或安全网关的原因所在。一个高安全的防火墙能够检查从互联网或外部网络试图进入受保护网络或网络段的所有信息。它通过分析网络信息和基于预设规则的许可通道而提供保护。它防止任何不满足特定的、不符合安全标准规则的信息进入。2 1 分 析 来 自 Internet 的 安 全 威 胁Internet 是最广泛、最复杂也最不安全的网络,因而当私有网络在没有安装防火墙而直接与 Internet 连接时私有网络上的每个节点
5、都暴露给 Internet 上的其它主机,极易受到攻击。这就意味着私有网络的安全性要由内部每一个主机的自身的坚固程度来决定,并且安全性等同于其中最弱的系统。这样一旦某台内网的主机被黑客攻击成功,便可以通过这台主机作为跳板,顺利的实施对内部网其他主机的攻击。黑客攻击产生的后果经常是及其严重的,例如造成机密信息泄漏,重要数据的破坏,无法提供正常服务等恶劣后果。从而给整个网络造成极大的损失,还将严重影响企业形象和企业信誉甚至导致无法挽救的灾难。网络的开放和互联使 Internet 接口几乎承受着所有可能的安全威胁,因此接入Internet 的边界处对安全技术要求很高。对内部网接入 Internet
6、的安全防范应满足以下原则: 在未采取安全措施的情况下,禁止内部网以任何形式直接接入 Internet; 采取足够的安全措施后,允许内部网对 Internet 开通必要的业务; 对 Internet 公开发布的信息应采取安全措施保障信息不被篡改。 在内部网络和 Internet 的连接处部署集成的安全技术和产品。因此,连接 Internet 的边界处考虑实施网关安全措施时,主要考虑:身份认证、访问控制、数据完整性、安全审计、入侵检测及入侵防护、病毒防护和反垃圾邮件等安全指标,要求如下:1、身份认证 必要时能够对内部网访问 Internet 加身份认证,认证方式可采用静态口令来实现; 从 Inte
7、rnet 进入内部网指定主机的特定访问,必须通过基于动态口令或公钥机制的身份认证。2、访问控制在 Internet 接口,访问控制的主体是内部网用户和 Internet 用户,客体是内部主机、内部服务器及对 Internet 开放的各种资源服务器。对内部网用户和 Internet 用户的访问控制应有所区别。内部网用户访问 Internet,访问控制要求如下: 能限制开通的服务类型,如开通 www、email,关闭 telnet; 能限制访问特定的 Internet 网站; 能开通内部对外部的单向访问; 能禁止或允许特定主机对 Internet 的访问。对来自 Internet 的访问,其访问控
8、制要求如下: 禁止来自 Internet 的访问直接进入内部网; 只允许 Internet 特定用户经代理设备访问内部网指定主机提供的指定业务; 必须采取安全措施,将为 Internet 提供信息服务的服务器与 Internet 隔离,从而保障该服务器的安全; 必须采取安全措施,将为 Internet 提供信息服务的服务器与内部网隔离,从而保障内部网的安全。3、数据完整性Internet 接口的安全措施必须保障为 Internet 提供服务的服务器上的数据不受非授权修改。4、安全审计对进出 Internet 的访问必须进行审计。具体要求如下: 能够生成进出 Internet 的访问日志; 日志
9、内容包括访问时间、主体和客体地址和身份信息、访问方式、访问成败情况、持续时间、同一访问发起建立连接次数、本次访问通信流量等; 对所记录的日志具有格式化的审计功能,能够针对不同主体、客体、时间段、访问成败等情况进行统计并形式化输出。5、入侵检测及入侵防护入侵检测系统是安全系统重要组成部分,可以对流经的数据包进行数据分析,过滤掉含有攻击指令和操作的数据包,保护网络的安全。提供对内部攻击、外部攻击和误操作的实时保护。利用高效的智能检测技术,并配置过滤规则知识库,从而能够快速地对通过系统的信息包进行分析检测,在保障正常网络通信的同时能够有效地阻止黑客的攻击行为或用户的非法操作。入侵检测系统在发现入侵后
10、,会及时做出入侵防护响应,包括切断网络连接、记录事件、自动调用防火墙来实现阻断和报警等。6、病毒防护在网关、服务器、客户端均有病毒防护的需求,而在网关处部署网关级病毒防护有重大意义,对出入内部网络流量,特别是从 Internet 进入内部网络的流量,如:FTP、HTTP、SMTP 流量进行病毒扫描,避免绝大多数病毒由 Internet 传入企业内部网络,大大降低内部网络应对病毒的难度和工作量。7、反垃圾邮件在网关处对出入内部网络的 SMTP 流量,特别是从 Internet 进入内部网络的 SMTP 流量进行反垃圾邮件控制,避免大量的垃圾邮件由 Internet 传入企业内部网络,大大降低内部
11、网络应对垃圾邮件的难度和工作量。2 2 其 他 网 关 安 全 考 虑1、VPN 接入VPN 中文全称是虚拟专用网,是一种使用公网实现安全数据传输的技术,它可以保证数据传输途中不被窥探其内容,但它无法阻止 VPN 两端的某端借此通路对另一端实施攻击或病毒传播。因此,对 VPN 接入线路同样需考虑安全措施,主要考虑对来自 VPN 通路的数据也需进行入侵检测和防病毒,而且考虑将 VPN 入口置于防火墙之前,不要直接接入内部网络。2、拨号接入类似对 VPN 接入的考虑,对拨号接入线路同样需考虑安全措施,主要考虑对来自拨号接入通路的数据也需进行入侵检测和防病毒,而且考虑将拨号接入入口置于防火墙之前,不
12、要直接接入内部网络。3内部重要服务器隔离对一些内部的重要服务器或重要部门的小网络,为了提供其安全性,尤其是为避免内部人员的攻击或内部病毒蔓延的破坏,考虑设置“内部网关”实现内部的网络隔离。4对外公开的服务器对外公开的服务器,例如 WEB 服务器,FTP 服务器等,一定不能直接暴露于外部网络,建立 DMZ 区(非军事区) ,将对外公开的服务器置于其中,再加以必要的安全控制。2 3 某 某 公 司 网 络 网 关 安 全 需 求 分 析(分析客户网络连接情况,目前客户网络中已经采用的安全产品和安全措施,重点分析对于重要服务器/重要网络网段而言的边界点的安全威胁,如 Internet 连接处或与En
13、tranet 的其它部分的连接处,明确提出需求分析结论即建议在哪些边界点部署怎样的网关安全产品。 )通过以上分析,结合某某公司网络拓扑结构的分析,我们建议:1、在 INTERNET 连接处部署一台高安全性高性能的硬件防火墙(包括访问控制、身份认证、VPN、入侵检测、防病毒、反垃圾邮件、安全审计功能)来控制 Internet 通讯、VPN 接入,同时用它建立一个 DMZ 区,将一些需要对外公开的服务器放入 DMZ 区加以保护。(见部署示意图)5、对核心服务器群(如财务服务器)部署一台高安全性高性能的硬件防火墙(包括访问控制、身份认证、VPN、入侵检测、防病毒、反垃圾邮件、安全审计功能)来实现重要
14、服务器群的安全隔离。(见部署示意图)三 、 项 目 的 设 计 目 标 和 原 则本项目的设计目标是为某某公司网络构建一套边界安全系统,结合目前某某公司网络的现状,在尽量不改变当前网络结构和尽量不影响当前网络性能的前提下,提出合理可行、安全高效的解决方案。在规划设计过程中,主要考虑和遵循以下几条原则:1、确保选择先进的、开放的技术和产品;2、确保选择的产品有良好的安全性、可扩充性和易管理性;3、在选择产品和确定相应的解决方案时,充分考虑其实用性和可靠性;4、尽量本着不降低网络性能;尽量减少网络改造;5、本着保护现有投资原则;6、充分考虑高可用性以及高扩展性;7、确保企业最低总拥有成本,尽量减少
15、企业的成本;8、从发展的角度出发,提出远景规划和其他方面的考虑。四 、 网 关 安 全 产 品 的 类 型 及 企 业 选 择 网 关 安 全 产 品 应 考 虑 的 因 素41 网关安全产品的类型及优缺点 包过滤防火墙 在 Internet 这样的 TCP/IP 网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的 IP 地址和接收者的 IP 地址信息。当这些信息包被送上Internet 时,路由器会读取接收者的 IP 并选择一条合适的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包中的
16、IP 地址,并按照系统管理员所给定的过滤规则进行过滤。如果防火墙设定某一 IP 地址的站点为不适宜访问的话,从这个地址来的所有信息都会被防火墙屏蔽掉。包过滤防火墙检查进出 IP 信息包,决定是否接收基于下面一种或两种情况的信息 IP 地址的信号源或目的地 TCP/UDP 端口的信号源或目的地包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常作为第一道防线。包过滤路由器通常没有用户的使用记录,这样我们就不能得到入侵者的攻击记录。而攻破一个单纯的包过滤式防火墙对黑客来说还是有办法的。 “IP 地址欺骗”和“同步风暴”便是黑客用于攻击包过滤防火墙比较常用的手段。另外,包过滤防火
17、墙还具有配置繁琐的缺点。它阻挡别人进入内部网络,但也不告诉你何人进入你的系统,或者何人从内部进入 Internet。它可以阻止外部对私有网络的访问,却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止 IP 地址盗用。 状态监测防火墙这种防火墙相较于单纯的过滤包而言,提供了更高级别的安全性能,它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎,监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。与前种防火墙不同,当用户访问请求到达网关的操作系统
18、前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 这种防火墙的优点是一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息。这种防火墙会降低网络的速度,而且配置也比较复杂。 应用代理型防火墙应用代理型防火墙包含一系列代理服务器,它适用于各种特定的 Internet 服务,如SMTP、HTTP、 FTP 等等。代理服务器通常运行在两个网络之间,它对于客户来说像是一台真的服务器,而对于外界的服务器来说,它又是一台
19、客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合规定,如果规则允许用户访问该站点的话,代理服务器会像一个客户一样去那个站点取回所需信息,做全面的安全检查(包括包头和数据检查),再转发给用户。代理服务器通常都拥有一个高速缓存,这个缓存存储用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。代理服务器会像一堵墙一样挡在内部用户和外界之间,不让他们建立直接的连接,这样提高了安全性,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的 IP 地址等。应用代理型防火墙比单一的包过滤和
20、状态检测型防火墙都更为安全可靠,除了包头信息外会详细检查子协议内容和内部 Data 部分,而且会详细地记录所有的访问状态信息。但是应用代理型防火墙也存在一些不足之处:首先它会使访问速度变慢,因为它不允许用户直接连接外部网络,而且收到的包要做全面的安全检查,另外应用代理型防火墙需要对每一个特定的 Internet 服务提供相应的应用代理模块,如果应用代理模块有限,那么用户不能使用没有模块支持的服务。 多模式防火墙多模式防火墙包含着来自其它防火墙的多种工作模式,一般此类防火墙常具有包过滤和应用代理两类工作模式,可根据需要对不同的应用环境使用不同的工作模式来实现安全控制和性能的平衡。 新型多功能网关
21、近一两年,基于对网关安全需求的全面考虑(如 2.1,2.2 的分析),许多安全厂商推出了新型的多功能网关,新型多功能网关就是在防火墙的基础上提供网关需要的其他安全功能,例如最常见的是在防火墙上增加 VPN SERVER 功能。还有在防火墙上增加防病毒功能。也有更为先进的是在防火墙上同时集成了 VPN、防病毒、入侵检测、内容过滤等全面安全功能。新型多功能网关是网关安全发展的趋势,只有新型多功能网关才能真正让网关位置成为安全防护体系的重要有力的组成部分。42 企业选择网关安全产品应考虑的因素由于每一种类型的网关安全产品都有自身的特点和着重点,有些网关安全产品主要考虑速度,有的网关安全产品安全性非常
22、好,企业应根据自己的具体情况,包括网络状况、所要达到的安全级别、需要保护的对象以及被保护对象的重要程度等因素来选择满足企业要求的产品,因此企业必须先理解网关安全产品的工作方式和工作原理才能评估它是否能够真正满足自己的需要。为了找出适合用户所在组织的最佳网关安全产品产品,企业必须将自己的需求映射到特定的网关安全产品类型上,才能够选择最适合自己的产品,一般来讲,在选择网关安全产品时,主要考虑以下几个方面的因素: 网关安全产品功能方面:1、 访问控制:可以提供基于时间的安全策略;以不同的服务端口区分各种应用进行管理,新应用可以由管理员配置成新的服务,具有高安全性、高性能、更好的伸缩性和扩展性。2、
23、身份认证:用户认证:对 FTP、TELNET、HTTP、HTTPS、RLOGIN 的基于身份的透明认证。客户机认证:基于客户机的 IP 地址进行认证,与协议无关。3、 实时监控活动会话4、 地址转换:静态源地址转换和静态目的地址转换动态地址转换,隐藏整个内部网络地址端口(服务)转换5、 提供日志、报警、审核等功能6、 是否具有增强功能:VPN 功能提供 S2S(Site to Site)VPN 连接功能提供 R2S(Remote client to Site)VPN 连接功能7、 是否具有增强功能:防病毒功能检测并处理各种病毒、蠕虫、木马、混合威胁8、 是否具有增强功能:入侵检测功能准确检测各
24、种入侵企图、入侵数据包9、 是否具有增强功能:入侵防护功能准确响应入侵,阻止入侵,保护网关和内部网络10、 是否具有增强功能:反垃圾邮件功能检测并过滤大量垃圾邮件,避免其进入内部网络11、 内容过滤根据安全策略,过滤企业敏感信息传出网关,也过滤不良信息进入内部网络 网关安全产品的可管理性:1、网关安全产品管理的难易程度,是否具有直观的管理界面。2、规则无序性。3、是否可以实现集中的安全管理,包括远程配置管理网关安全产品等。各个网关安全产品通过单一控制台用图形用户界面进行集中管理、配置、维护。4、制定规则的难易程度,是否具有规则制定向导。5、网关安全产品安装实施的难易程度。6、支持跨平台的安全管
25、理。 网关安全产品的可扩展性和高可用性对于一个好的网关安全产品而言,它的规模和功能应该能够适应内部网络的规模和安全策略的变化。选择哪种网关安全产品,除了应考虑它的基本性能之外,毫无疑问,还应考虑用户的实际需求与未来网络的升级。 因此网关安全产品除了具有保护网络安全的基本功能外,还提供对 VPN 的支持,同时还应该具有可扩展的内驻应用层代理,除了支持常见的网络服务以外,还应该能够按照用户的需求提供相应的代理服务,例如,如果用户需要 NNTP(网络消息传输协议),X Window,HTTP 和 Gopher 等服务,网关安全产品就应该包含相应的代理服务程序。 优秀的网关安全产品系统应是一个可随意伸
26、缩的模块化解决方案,从最为基本的包过滤器到带加密功能的 VPN 型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的网关安全产品体系。 优良的性能新一代的网关安全产品不仅应该能够更好地保护后面内部网络的安全,而且应该具有更为优良的整体性能。传统的应用代理型防火墙虽然可以提供较高级别的安全保护,但是同时它也成为限制网络带宽的瓶颈,这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数,由于不同防火墙的不同功能具有不同的工作量和系统资源要求,因此数据在通过防火墙时会产生延时。自然,数据通过率越高,防火墙性能越好。现在大多数的防火墙产品都支持 NAT 功能,它可以让防火
27、墙受保护的一边的 IP 地址不至于暴露在没有保护的另一边,但是启用 NAT 后势必会对防火墙系统的性能有所影响。目前如何尽量减少这种影响也成为防火墙产品的卖点之一。另外防火墙系统中集成的 VPN 解决方案必须是真正的线速运行,否则将成为网络通信的瓶颈。特别是采用复杂的加密算法(如3DES)时,其性能尤为重要。当然,新型的网关安全产品由于具备的比常规防火墙更多更强的安全功能,那么这些增强功能必然也有资源消耗和性能损失,因此新型网关安全产品在提供高安全性的同时还要重点考虑如何提供硬件平台的更高性能以保证多种安全功能的使用,总之,客户对优秀的网关安全产品的要求是把最大限度的安全性和高速的性能有机结合
28、在一起。 网关安全产品自身的安全性大多数企业在选择网关安全产品时都将注意力放在网关安全产品如何控制连接以及网关安全产品支持多少种服务,但往往忽略了一点,网关安全产品也是网络上的主机之一,也可能存在安全问题,网关安全产品如果不能确保自身安全,则网关安全产品的控制功能再强,也终究不能完全保护内部网络。 大部分网关安全产品都安装或运行在一般的操作系统上,如 Unix、NT 系统等。在网关安全产品主机上执行的除了防火墙软件外,所有的程序、系统核心,也大多来自于操作系统本身的原有程序。当网关安全主机上所执行的软件出现安全漏洞时,网关安全产品本身也将受到威胁。此时,任何的网关安全产品控制机制都可能失效,因
29、为当一个黑客取得了网关安全产品上的控制权以后,黑客几乎可为所欲为地修改网关安全产品上的配置规则,进而侵入更多的系统。因此网关安全产品自身应有相当高的安全保护。网关安全产品自身的安全性主要体现为以下几个方面:1、 当网关安全产品不管由于任何原因造成某个功能模块,甚至整个网关安全产品的功能失效时,应该拒绝来自外部的访问,隔断来自外部的连接。2、 网关安全产品的自动加固功能:i. 在安装网关安全产品时,应该自动关闭与网关安全产品无关的服务和端口。ii. 在网关安全产品运行的过程中,同时实行持续安全性检查-不断的发现并终止、记录不安全行为包括不安全的进程和服务等。 在安装以及运行时自动进行系统自身安全
30、配置与监控,可以减少因系统管理员的失误而带来的威胁。iii. 具有对进入企业内部网络的所有数据包进行入侵检测功能,如:端口扫描、IP 地址欺骗、SYN Flood 和碎片攻击等基于网络的攻击。五 、 赛 门 铁 克 网 关 安 全 产 品 推 荐推荐使用赛门铁克网关集成安全(Symantec Gateway Security 5400 系列,简称SGS)。Symantec Gateway Security 5400 系列是新型的网关安全设备,作为业界功能最全面的企业网关安全设备,它将全封包检测防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、著名的病毒防护、基于 URL 的内容过滤、反垃
31、圾邮件以及符合 IPSec 标准的 VPN 技术无缝地集成在一起。Symantec Gateway Security 5400 系列对最恶意的互联网安全威胁也能提供最大程度的防护,其“即插即用”简易配置功能使得管理员在30 分钟就可以完成配置工作,其内置 HA/LB 功能可轻松实现扩展,总之,Symantec Gateway Security 5400 系列为企业 Internet 和 Intranet 安全提供最大安全的、可管理的和可扩展的安全解决方案。其主要特点概括如下: 具有七种必要的企业安全功能,集成了防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、著名的病毒防护、基于 URL
32、 的内容过滤、反垃圾邮件以及符合 IPSec 标准的 VPN 技术。 提供全面的网络防护,既能保护连接 Internet 的网络,又能保护连接广域网或局域网的子网。 提供集中式管理,通过集中的日志记录、警报、报告和策略配置简化网络安全的管理 具有集成的高可用性和负载均衡选件,能够满足任何规模的组织的性能要求 具有三种高性能的型号,可提供从 100 Mbps 到 1.8 Gbps 以上的吞吐量范围 通过赛门铁克安全响应中心世界领先的互联网安全研究和支持组织的 LiveUpdate 技术,提供自动安全更新另附上详细的SGS5400 产品技术白皮书六 、 赛 门 铁 克 网 关 安 全 产 品 部
33、署 规 划61 部署前准备部署之前,针对各个网关安全产品的部署环境(总部、各分公司)进行调研,收集部署所需的必要信息,并提出部署所需条件,让当地 IT 部门做好准备。准备方面包括: 现有 IP 地址使用情况 需开放的常见服务端口 特殊应用(使用何协议、何端口) 物理部署位置(某机房、哪一个机架、电源线、网线) 可用于部署的时间(例如某个周末可以) (遇到财年末不可以) I T 人员在场配合(谁,何时可以) 真正部署时哪些部门会受影响需事先通知62 试验性部署真正部署之前,根据调研和收集的信息,在一个封闭环境里用几台代表机模拟内外网主要应用(特别是特殊业务应用要模拟) ,部署 Symantec
34、Gateway Security 5400 于此模拟环境进行试验,确保定义的协议、配置的规则、地址转换、各安全功能实现均没有问题,这样可以避免冒然在实际环境里部署一旦出现问题就会立刻影响正常业务运作的风险。同时在此试验性部署过程中,能够发现一些问题,积累使用经验,甚至直接备份一些有效配置,熟悉和透彻理解 Symantec Gateway Security 产品,这些方面将很大程度的保证真正部署的成功和快速。63 实际部署有了前两个阶段的准备,就可以开始在某某公司实际环境部署了。由于 INTERNET是最大的威胁来源,所以先部署对外连接处的 Symantec Gateway Security,再
35、部署内部隔离服务器群的 Symantec Gateway Security (如下图) 。在早期调研的基础上,Symantec Gateway Security 可以很快速配置并投入使用。部署步骤主要包括: 指定 Symantec Gateway Security 内网卡地址,及其掩码。 通过 Symantec Gateway Security 内网卡地址,进入 Symantec Gateway Security 的控制界面(SGMI) 。 激活 LICENSE 配置外网卡地址,及外部网关 配置其他网卡地址 指定时区、日期 修改 administrator 登录口令 配置路由 创建内部网络实体
36、 配置 HTTP 防火墙规则 配置 SMTP 防火墙规则 配置 POP3 防火墙规则 配置 FTP 防火墙规则 配置其他内置协议的防火墙规则 创建客户化的特殊应用协议,并配置相应防火墙规则 配置必要的入侵检测、入侵防护功能(如果选用) 配置必要的防病毒功能(如果选用) 配置必要的内容过滤和反垃圾邮件功能(如果选用) 配置 VPN 隧道(如果选用)64 调试、验收在某某公司实际环境中部署完成后,要进行几天的跟踪观察和调试,确认所有的业务正常,且 Symantec Gateway Security 安全功能已生效,例如员工能够正常的上网、收发邮件、访问内部服务器资源,SGS 能检测到入侵或清除了大
37、量病毒。又例如外地出差的员工可以通过 VPN 客户端联入公司内部办公。这样就说明部署阶段完成。65 管理维护说明部署阶段成功完成后,就进入长期的管理维护阶段了。管理维护说明如下:管理维护结构很简单, Symantec Gateway Security 5400 的管理可使用基于 Web 的管理,因而管理员只要使用管理员帐户和口令,就可以随时在网络的任何位置通过 IE或其他网络浏览器连上 Symantec Gateway Security5400 进行管理维护。示意图如下:管理界面如下:管理维护的主要内容包括: 创建各种不同角色的管理员 及时升级病毒定义码和其他功能组件的内容更新 根据需要修改防火墙规则和其他功能设定 实行配置管理,记录每次修改,并备份配置文件 配置必要的事件通知机制 定期查看和备份日志 定期导出报告,做安全状态和趋势分析
