随着基金行业网络规模的逐渐扩大,网上基金、代理缴款等新业务的开通,大批信息管理系统正在陆续投入运行,计算机系统在基金行业工作中的应用将日益广泛。与此同时,网络的安全问题也越来越显得重要起来。
基金行业信息网现状及需求
基金行业信息网络现状
信息网以基金公司总部为主节点,现已通过DDN专线与当地电信局相连、通过电信局以帧中继(X.25备份)方式与全国各地分部相连。总部及每个分部各有几个相对独立的局域网,分别处理人民币与外币业务及办公自动化系统;每个分部都有DDN出口与代理业务客户信息系统相连。目前有的基金行业系统已与Internet连接,开通了网上基金行业。基金行业在安全方面主要采取的措施有:对数据主机的访问控制通过系统本身的如数据库提供的身份认证机制,管理上的权限控制等,在数据传输上采用DES算法的加密方式,密钥认证。
网络安全的工作目标
使基金行业应用系统与国际互联网之间安全访问控制。
使基金行业内部业务网络系统与代理业务客户之间安全访问控制。
网络安全策略分析
基金行业信息网络分为总部与各地分部部分。总部作为一个网络整体目前与分部进行信息交流存在一个出口,接入电信主干网,有的还要连接到Internet;分部作为一个网络整体与当地电信也有一个出口连接,同时还通过一些其他连接出口,与代理业务客户信息系统相连。防火墙作为保护网络的重要工具,在网络的对外出口处设置防火墙是理想的选择,因此东软公司建议基金行业信息网的对外出口设置NetEye防火墙加以防护。通过这种防火墙设置有效保证了基金行业信息网络系统免遭来自外部广域网非法的入侵、攻击。
基金行业总部分为内部应用网和供外部访问的WWW服务器、邮件服务器等两个部分,这种网络体系结构存在一个重要的问题:内部应用网是基金行业的核心网络,在网络安全性上要求非常高,只允许内部应用网的使用者对外部网进行访问,同时必须严格禁止任何外部网在不经允许的情况下对内部应用网进行访问。由于WWW、邮件服务器需要与外部网络进行双向的信息交流,内部网的使用者可以通过他们向外部发送信息,同时需要他们能够为外部提供合法的信息。针对这种客观的情况采取分别保护、多级防护、互不影响的防护策略。因此东软公司建议将WWW、邮件服务器等网络应用服务器单独放置在一个网络区域内,称之为DMZ非军事化区,通过NetEye防火墙提供的网络地址转换功能(NAT)实现对外提供网络服务,将其与基金行业内部应用网分离开。这种结构有明显的好处,即使DMZ区由于与外部进行信息交流而遭到破坏也不会影响内部网的安全,因此是一种理想的安全结构。
基金行业分部只有内部应用网部分,因此可选用不带DMZ区型号的NetEye防火墙,以控制代理业务客户对应用网的安全访问。
总体技术要求
1. 将基金行业信息网总部部分分别设置为内部应用网与DMZ区,有效地保护了网络的安全。外部访问者只能对DMZ的网络服务器实现有限访问,严格禁止访问内部应用网。对于供各地分部使用的内部应用网信息的安全可以通过防火墙的安全策略实现,比如指定IP、指定服务、及用户一次性口令认证等方法。同时,内部网用户可以通过防火墙对外部网进行有限访问或禁止访问。对于DMZ区的WWW、邮件服务器等利用防火墙的网络地址转换功能正常对外提供服务。
2. 基金行业信息网各地分部选用不带DMZ区型号的NetEye防火墙,通过设置有效的安全策略及用户一次性口令认证方法,控制外部访问者对内部应用网的访问。
3.基金行业信息网使用的NetEye防火墙可以进行统一的集中控制管理。NetEye防火墙是一种针对具体的网络对象进行访问控制的防火墙系统,因此通过NetEye防火墙可以灵活地设置在基金行业信息网的各个关键位置的访问控制,例如可以针对信息网内部的不同设备进行个性化的管理控制。
4. NetEye防火墙支持各种网络协议,例如DNS、finger、FTP、Gopher、HTTP、IRC、NNTP、Quicktime、RealAudio、SMTP、TELNET、Internet Phone等网络协议,NetEye同时是国内支持多媒体数据进行实时点播最好的防火墙系统之一,支持CISCO、SGI等多媒体点播协议,例如OSPF、IGMP等广播协议。对各种常用应用系统例如Oracle、Notes、SQL Server等完全支持。
5. NetEye防火墙对远程接入用户提供先进的一次性口令身份认证过程,可以使用防火墙自身的认证系统也支持第三方采用协议为RADIUS TACACS/TACACS+等认证服务器。
6. 网络地址转换NAT功能是NetEye防火墙完备的功能之一,在大量的实际应用中证明稳定可靠。在基金行业信息网络中通过NAT功能实现内部网用户访问外Internet 资源,实现透明应用代理,为内部网提供对外的安全通道。通过NAT功能保证DMZ区的各种网络服务器对外提供各种服务,NetEye防火墙的NAT功能作为DMZ区与外部访问者之间的桥梁,保证外部访问者不能直接连接应用服务器,从而保证信息网的安全。
7. NetEye防火墙如同网络上的监视器,可以轻松记录基金行业信息网内部每一位用户的访问情况,同时可以对网络的各种使用情况进行统计生成各种报表、统计图、趋势图等。NetEye具有实时入侵检测系统,完全实现防患于未然。能够对各种网络攻击方式进行识别例如网络协议异常、拒绝服务攻击DOS、网络扫描、网络欺骗、地址盗用等,同时以邮件方式对系统管理员进行报警。 NetEye防火墙的实时监控系统能够了解防火墙当前的工作状态,同时了解网络的通讯情况与攻击的详细信息。
8. NetEye防火墙具有一个优秀的功能,就是能够将一台基金行业信息网终端设备的网卡MAC地址与它的网络IP地址进行捆绑,完全实现两者的一一对应。当信息网内部有人私自篡改IP地址妄图盗用他人上网费用时,由于其IP地址与MAC地址不匹配,NetEye防火墙拒绝其通过,禁止其访问,同时向系统管理员进行邮件报警。
应用功能描述
NetEye防火墙在基金行业信息网中的安全防护原则:
·任何外部网络对基金行业信息网的内部情况“看不见”
·外部非法入侵者及特殊信息“进不来”
·机要敏感信息“拿不走”
·任何的非法对外访问“出不去”
1、保证基金行业信息网的安全
·防止来自外部的黑客攻击
·防止来自内部的恶意攻击
·实现内部应用网与外部网之间的网络通讯
·双向的访问控制
·网络通讯的实时监控
·强大的安全审计
·基于事件分析与告警服务
2、保证NetEye防火墙系统自身的安全性
软件方面——基于交换模式下的隐形防火墙、路由模式下的网关防火墙
NetEye防火墙软件在设计结构上可以是基于数据链路层的防火墙软件,在网络应用中不存在网络IP地址,因此防火墙系统自身不会成为攻击者攻击的目标,从而保证网络的安全。当设置为路由模式下时是基于网络层的网关防火墙,只能通过管理端口实现对NetEye防火墙的管理,其他N个通讯端口均不能对防火墙进行管理,因此NetEye防火墙是一种N+1结构的全黑洞式防火墙。
硬件方面——具有工控机性能的“黑匣子”
工控机从硬件设备的运行稳定性、安全性同其他的设备相比是非常优秀的,NetEye防火墙采用工控机性能的“黑匣子”作为防火墙系统的硬件平台,从而在硬件设备方面保证了防火墙极大的安全性。
监控主机与管理主机的物理分离
通过将防火墙的安全防范功能与管理功能分别放置于不同的主机设备中,有效地避免了人为因素对防火墙系统安全性的影响。
3、实现内网和外网之间的网络通讯
NetEye防火墙是一种复合型的防火墙系统,不仅能够对信息进行基于包过滤的安全防护,同时能够实现透明的应用代理服务。NetEye防火墙是唯一提供全面双向NAT地址转换功能,不仅实现内部网用户访问外部网,同时还可对外部提供各种应用服务。
NetEye防火墙支持在内部网和DMZ区的用户使用保留的IP地址,通过动态的NAT地址转换功能实现对外部网的访问。
NetEye防火墙还以两种方式支持反向的NAT:一是静态地址映射,即提供外部地址和内部地址的一对一转换,使内部使用保留IP地址的主机既可以访问外部网络,也可以对外部提供服务。另一种是更灵活的方式,可以支持针对服务端口的一对多映射,即内部的多个机器可以通过一个外部有效地址访问外部网络或者对外提供网络服务,同时内部的多台机器可以分别映射到该地址的若干个端口,通过这些端口对外部提供服务。这种NAT转换可以更有效地利用IP地址资源,并且提供更好的安全性。
随着Internet的发展,有效的IP地址一定会成为越来越宝贵的资源,如果没有此功能,就无法保证内部网络每个用户对外访问,也无法对外提供正常的服务。
4、防止来自外部网黑客对内部网的攻击
智能身份识别
NetEye防火墙具有严格的一次性口令身份认证功能,是国内可以实现一次性口令身份认证的防火墙之一。能够有效解决以下几种情况对基金行业信息网络安全所带来的安全隐患:
·窥探网络传输中用户名称、口令
·扫描网络传输中用户信息
·截取网络传输中用户名称、口令
·侦听网络传输中用户名称、口令
以上几种盗取用户名称、口令的方式广泛存在,例如各种扫描工具、侦听软件等随处可以得到。NetEye防火墙严格的一次性口令身份认证保证用户名称、口令的绝对安全。
它的特性是用户口令唯一,一次性有效。在防火墙认证服务器中建立用户信息库,当用户希望通过防火墙建立网络连接时,防火墙认证服务器向用户提出认证请求同时生成一个随机数,与服务请求捆绑在一起加密发送给用户,用户输入用户名称、口令后与认证请求、随机数捆绑后加密传输给防火墙的认证服务器。认证服务器解密后分离出用户名称与口令,并判断其是否合法性,如果合法NetEye防火墙允许其进行正常的网络通讯,否则拒绝服务。由于用户名称、口令与服务请求、随机数一同加密,以密文方式传输,加密后的信息在网络传输中即使被攻击者盗取也无法获得用户真正的名称与口令。即使将盗取的密文信息发送给认证服务器进行认证,由于密文信息与认证请求是一一对应的、对密文信息的认证一次有效,认证服务器根本不会对这种盗取的密文信息进行认证。NetEye防火墙一次性口令认证过程准确、有效,由于整个认证环节都由系统本身完成,因而确保认证过程的绝对可信性。另外NetEye防火墙系统还支持遵守RADIUS协议第三方认证系统,从而使系统的认证能力具有很强的可扩展性。
通过NetEye防火墙一次性口令身份认证保证基金行业信息用户名称、口令安全性,防止盗用用户名称、口令。
NetEye防火墙是实现一次性口令身份认证的少数防火墙之一。对于不具有此功能的防火墙就不能够防止用户身份、口令盗用,后果将会不堪设想。
基于应用层的包过滤
NetEye防火墙具有基于应用层的包过滤功能,对各种网络服务进行访问控制,是唯一基于应用层访问控制的防火墙。能够有效地对以下几种情况进行访问控制管理:
·利用“黑名单”指定不允许访问的网络地址,“未被禁止的就是允许的”
·利用“白名单”指定允许访问的网络地址,“未被允许的就是禁止的”
·利用“禁止URL”指定不允许访问的WWW网址。
有些网络地址提供非法信息,是严格禁止访问的,利用黑名单来明确禁止对这些地址的访问。通过“白名单”来指定只允许访问有限的几个网络地址,其他地址均不允许访问。对于提供如色情、反动等非法信息的网络站点,通过“禁止URL”来禁止对这些站点的访问,另外通过对内部网的WWW服务器的某些URL屏蔽,可以消除服务器本身的安全漏洞,从而对WWW服务器进行保护。因此NetEye防火墙是一种基于应用层访问控制的包过滤防火墙。
这一功能的特性是使访问控制具有高度的针对性。防火墙按照安全规则对每一个数据包的包头信息进行过滤,将获得数据包网络地址与“黑、白名单”中指定的网络地址进行比较,以判断其合法性。如果合法允许通过,否则拒绝通过。
此功能可以使用户对指定的网络地址进行有针对性的访问控制,使网络安全规则更加方便灵活、安全可靠。根据我国国情如果没有这种基于应用层的访问控制就不能够明确禁止对某些非法网络地址、网络站点的访问,就有可能成为传播非法信息的途径,给社会造成严重的危害。NetEye防火墙能够根据应用层不同的网络服务进行安全检测,并具有网络访问控制的功能,从而实现对各种网络应用服务进行管理。
基于TCP/IP协议的包过滤
能够对信息包的端口、源地址、目的地址、网络协议、通讯服务、信息传输方向等多种信息进行基于TCP/IP网络协议的包过滤操作。
实时入侵检测与防范端口扫描
NetEye防火墙具有强大的实时入侵检测功能,能够有效防止多种DOS(服务拒绝)攻击对基金行业的攻击,同时能够识别大量对基金行业进行端口扫描入侵活动。
5、防止内部网用户对信息网络安全的破坏
NetEye防火墙是一种防内又防外的防火墙。
IP地址与MAC地址的绑定
每一块网卡都具有一个唯一标识号码,也就是指网卡的MAC地址,每一个网卡的MAC地址都是同网卡一一对应。对于网络协议为TCP/IP的基金行业两台设备进行通讯时,网络接口具有网络IP地址,NetEye防火墙提供将内部网络用户IP地址同它的MAC地址进行绑定的功能,这样在防火墙内部就建立了网卡的IP地址同网卡的MAC地址一一对应的关系,因此通过防火墙就实现了IP地址同网卡的MAC地址即网卡的绑定。
通过绑定功能即使盗用基金行业的IP地址,也因IP地址与MAC地址不匹配而盗用失败。在网络管理中IP地址盗用现象经常发生,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和潜在的安全隐患。防火墙的IP/MAC地址绑定功能可以很好地解决这一问题,通过与硬件物理地址的绑定,使盗用的IP地址无法通过防火墙系统。每一个网络终端设备均具有物理MAC地址,NetEye防火墙通过将设备的MAC地址与IP地址绑定,有效防止了基金行业内部用户非法盗用IP地址。
完备的安全审计
NetEye防火墙提高了强大的安全审计功能,是具有国内极全面的安全审计功能的防火墙。 可以根据以下多种方式进行安全审计:
· 根据时间范围进行安全审计
· 根据IP网络地址进行安全审计
· 根据信息包传输方向进行安全审计
· 根据信息包处理方式进行安全审计
· 根据信息包MAC地址进行安全审计
· 根据信息包数量进行安全审计
· 根据信息包字节数量进行安全审计
· 根据网络服务进行安全审计
NetEye防火墙具有专用的安全审计数据库,能够根据审计原则进行单项统计、复合统计,生成各种统计图、统计表等。通过NetEye防火墙强大的安全审计功能,可以对网络中所有的信息记录分析,发现潜在的安全隐患,使管理员对所有网络活动了如指掌。根据出现的不同情况制定相应的策略,对攻击者的入侵提前做好防御措施。
很多防火墙不具这样全面的安全审计功能,就无法对各种网络活动进行记录、分析,就无法制定更加安全的网络策略。
一次性的口令身份认证
通过一次性的口令认证有效保护了使用者的权限,保证了使用者的合法性,用户口令的安全就可有效防止非法使用者的盗用,就可保护网络的安全。
6、实现网络访问控制
·面向对象的安全规则编辑 基金行业在NetEye防火墙安全规则上可以针对单独的主机、一组主机、一个网段进行设置,是一种面向对象的安全规则编辑方式。
·网络通讯端口 可以根据网络通讯端口设置安全规则,可以针对基金行业保护对象开放某些服务端口,这样其他的通讯端口均对外关闭。
·网络协议 NetEye防火墙支持多种网络协议如TCP、UDP、ICMP等,在安全规则中可按照网络协议进行设置。
·信息传输方向、操作方式 一个网络通讯连接的建立,信息必有来源,同时有目的地。NetEye防火墙在设置安全规则时均可以进行明确的指定,有效地保证了基金行业通讯连接的合法化。因此可以根据信息传输方向设置安全规则,同时可以在安全规则中设置允许、拒绝等操作方式。
·通讯时间 在安全规则中可以按照星期几、每一天具体的时间设置,实现基金行业的网络访问控制。
·网络服务 可以根据网络服务设置安全规则。
7、物理上的冗灾系统
NetEye防火墙能够实现双机热备,具有灾难冗余的能力。 要保护网络的安全,防火墙本身首先要保证安全,由于防火墙系统供电、硬件故障、异常死机等特殊情况的发生,使防火墙系统瘫痪,严重阻碍网络通讯,网络的安全就无法保证。对于需要高度可靠性的用户如金融、证券、电信、电力、政府、能源等部门,一定要选用具有双机热备功能的防火墙。NetEye防火墙的双机热备功能即在同一个网络节点使用两个配置相同的防火墙,正常情况下一个处于工作状态,另一个处于备份状态,当工作状态的系统出现故障时,备份状态的防火墙自动切换到工作状态,并保证网络的正常使用。备用防火墙系统能够在一秒钟的时间内完成整个切换过程,切换过程不需要人为操作和除两个防火墙以外的其他系统的参与,真正做到有备无患。
对使用者最关键的好处是整个切换过程不影响网络上的任何通讯连接,不会对信息传输有任何影响。市场上有些防火墙不具有双机热备的功能,即使能够做到双机热备,一旦出现故障时,备用防火墙需要10秒钟以上才能替代主用防火墙正常工作,网络上的所有服务连接均需要重新建立,费时费力而且损失无法估量。对于每日访问量超过300万次、峰值网络流量超过50Mbps的大型用户,这10秒会使多少用户无法访问?造成多少损失?可想而知,而NetEye防火墙有效地避免了这种可怕情况的出现。