证券交易系统网络安全的目标是通过系统及网络安全配置,防火墙及检测预警、安全扫描、网络防病毒等软、硬件,对出入口的信息进行严格的控制;对网络中所有的装置(如Web服务器、路由器和内部网络等)进行检测、分析和评估,发现并报告系统内存在的弱点和漏洞,评估安全风险,建议补救措施,并有效地防止黑客入侵和病毒扩散,并能监控整个网络的运行状况。
针对证券行业的需求,为了最大限度地减低证券营业机构企业内部网的风险,提高证券交易的安全性,采用可适应安全治理解决方案。
可适应性安全治理模型针对证券营业机构的安全威胁和进攻弱点,通过通信数据加密、系统扫描、实时监控,检测和实时响应、实施群安全策略,提供端对端的完整安全解决方案。与之相对应,通信数据传输加密、检测、响应、监控等,每个环节公司都有相应的产品,该模型能够最大限度地减低证券营业机构的风险。
其整体安全策略为:
· 网络传输安全 采用网上证券交易安全系统,保证网络传输的安全,对网上交易与分析系统进行防护。
· 网络安全性检测 采用漏洞扫描系统对证券信息系统进行漏洞扫描,保证证券营业机构内联网在最佳的状态下运行。
· 防攻击能力 采用入侵检测系统对网络进行监测和预警保证证券营业机构内联网防止外界攻击的能力。
· 防病毒能力 采用网络防病毒系统对网络病毒进行防治,保证证券营业机构内联网防病毒能力。
· 建立分层治理和各级安全治理中心。
用户设备情况:用户拥有几百台PC机、一台预备用作DNSSERVER和EMAILSERVER的服务器、一台CISCO的5500交换机、和一台CISCO的7500路由器。另外,其打算联入INTERNET 的电信线路和广域网路由器尚未预备好。
用户要求:通过防火墙保证内部网的最大安全,并一定程度上保证服务器的安全;内部网各个PC机可以上INTERNET。将CISCO的5500交换机划分若干VLAN ,并利用CISCO的7500路由器做TRUNK来为各个VLAN 做路由(7500除此以外,还有其他用途)。
根据用户具体情况,可有如下网络结构:
网络的实现:
该结构基本上说,是防火墙的典型接法,其实现较为简单。同时,用户希望各个PC机都能够实现上INTERNET,所以,可以让防火墙工作在路由模式下,并提供NAT地址转换功能,为内部网的客户机提供所谓的代理功能。因为,用户要在CISCO5500上为底下众多PC机划分不同的VLAN,而同时,又用 CISCO7500路由器,在防火墙内部做TRUNK为各个VLAN 做路由。也就是说,真正的TRUNK数据包并没有通过防火墙,所以,防火墙也应是属于其中一个VLAN ,这样,才能与其它VLAN 进行通信,即:其它VLAN 的机器可以找到并通过防火墙上INTERNET。当然,这时的CISCO7500路由器就需要有一些必要的设置和配置;首先,要在接口设好ISL或 802.1Q的封装,保证VLAN之间的通信,当然,这时,防火墙所在接口也是一个VLAN;然后,在7500上指定默认路由为防火墙所在VLAN的网段,这样,就保证用户在上网或要发邮件时,7500能将客户端所发的数据包,送到防火墙,进而,送到DMZ区的邮件服务器或送出到INTERNET上。
安全性的实现:
由于NETEYE防火墙产品自身的强大功能,给该网络提供了最大的安全保障。其核心所具有的Stateful 动态包过滤和防Dos 攻击的功能,可以在基本上给网络有一个安全保证。伴有对网络工作的实时监控和强大统计、审计功能,也使一些不安全因素能够早发现早处理。
在CISCO5500上划分VLAN 不但可以隔离广播,减少广播风暴;同时,可以将各个部门或组织从逻辑上分开,提高了安全性。而此时,防火墙也是其中一个VLAN。那么可以说,为内部网的安全又多提供了一层保护。
当用户内部网的客户机具有不同权限时,需要对具有高权限的IP进行限制,即:需要进行IP和MAC绑定,但由于各VLAN 的数据包通过了路由器,其MAC地址已发生变化,则防火墙的IP和MAC绑定不能实现。然而,通过用防火墙的客户端认证功能,不但,能替代IP和MAC绑定功能,而且,可以在其他的应用上灵活使用。
将为外面提供服务的EMAIL SERVER 服务器置于防火墙的DMZ区,和内部网隔离开这样,可以保证外界的访问只有通往DMZ的路径,而对于内网的访问,则是绝对不予许的。另外,在DMZ区也只将EMAIL服务器的SMTP 25和POP3 110端口以及DNS的53端口打开。这样,其安全性将大大增加,同时,对于防火墙的配置也是简单、清楚。
需要注重的问题:
由于防火墙的外网接入INTERNET,其包括的IP地址近似无穷多,所以,防火墙上的默认网关,自然应该指向外网口。
另外,防火墙的外网由于联入INTERNET,所以,应具有一个合法IP地址。EMAIL SERVER 和DNS 服务器由于要为与外界联系而提供服务,所以也应具有一个合法IP。又因为防火墙在路由模式下各安全区应在不同网段,那么,DMZ区和外网就会带来一些问题。我们可以通过划分子网和把DMZ区的机器做NAT地址映射来解决这个问题。
