證券交易系統網絡安全的目標是通過系統及網絡安全配置,防火墻及檢測預警�、安全掃描��、網絡防病毒等軟����、硬件,對出入口的信息進行嚴格的控制;對網絡中所有的裝置(如Web服務器����、路由器和內部網絡等)進行檢測����、分析和評估,發現并報告系統內存在的弱點和漏洞��,評估安全風險����,建議補救措施,并有效地防止黑客入侵和病毒擴散��,并能監控整個網絡的運行狀況��。
針對證券行業的需求�,為了最大限度地減低證券營業機構企業內部網的風險�,提高證券交易的安全性,采用可適應安全治理解決方案��。
可適應性安全治理模型針對證券營業機構的安全威脅和進攻弱點���,通過通信數據加密����、系統掃描、實時監控����,檢測和實時響應、實施群安全策略�����,提供端對端的完整安全解決方案���。與之相對應�����,通信數據傳輸加密��、檢測、響應、監控等,每個環節公司都有相應的產品���,該模型能夠最大限度地減低證券營業機構的風險�。
其整體安全策略為:
· 網絡傳輸安全 采用網上證券交易安全系統���,保證網絡傳輸的安全,對網上交易與分析系統進行防護�����。
· 網絡安全性檢測 采用漏洞掃描系統對證券信息系統進行漏洞掃描�����,保證證券營業機構內聯網在最佳的狀態下運行。
· 防攻擊能力 采用入侵檢測系統對網絡進行監測和預警保證證券營業機構內聯網防止外界攻擊的能力��。
· 防病毒能力 采用網絡防病毒系統對網絡病毒進行防治����,保證證券營業機構內聯網防病毒能力。
· 建立分層治理和各級安全治理中心����。
用戶設備情況:用戶擁有幾百臺PC機、一臺預備用作DNSSERVER和EMAILSERVER的服務器、一臺CISCO的5500交換機、和一臺CISCO的7500路由器�����。另外��,其打算聯入INTERNET 的電信線路和廣域網路由器尚未預備好��。
用戶要求:通過防火墻保證內部網的最大安全,并一定程度上保證服務器的安全;內部網各個PC機可以上INTERNET。將CISCO的5500交換機劃分若干VLAN ���,并利用CISCO的7500路由器做TRUNK來為各個VLAN 做路由(7500除此以外,還有其他用途)。
根據用戶具體情況,可有如下網絡結構:
網絡的實現:
該結構基本上說,是防火墻的典型接法�,其實現較為簡單����。同時�����,用戶希望各個PC機都能夠實現上INTERNET�����,所以,可以讓防火墻工作在路由模式下�,并提供NAT地址轉換功能���,為內部網的客戶機提供所謂的代理功能�����。因為,用戶要在CISCO5500上為底下眾多PC機劃分不同的VLAN,而同時��,又用 CISCO7500路由器�����,在防火墻內部做TRUNK為各個VLAN 做路由。也就是說���,真正的TRUNK數據包并沒有通過防火墻,所以���,防火墻也應是屬于其中一個VLAN ,這樣�����,才能與其它VLAN 進行通信��,即:其它VLAN 的機器可以找到并通過防火墻上INTERNET�。當然��,這時的CISCO7500路由器就需要有一些必要的設置和配置;首先,要在接口設好ISL或 802.1Q的封裝��,保證VLAN之間的通信�,當然���,這時����,防火墻所在接口也是一個VLAN;然后,在7500上指定默認路由為防火墻所在VLAN的網段,這樣�,就保證用戶在上網或要發郵件時����,7500能將客戶端所發的數據包�,送到防火墻,進而,送到DMZ區的郵件服務器或送出到INTERNET上���。
安全性的實現:
由于NETEYE防火墻產品自身的強大功能�,給該網絡提供了最大的安全保障。其核心所具有的Stateful 動態包過濾和防Dos 攻擊的功能�����,可以在基本上給網絡有一個安全保證����。伴有對網絡工作的實時監控和強大統計、審計功能�,也使一些不安全因素能夠早發現早處理�。
在CISCO5500上劃分VLAN 不但可以隔離廣播����,減少廣播風暴;同時,可以將各個部門或組織從邏輯上分開���,提高了安全性。而此時����,防火墻也是其中一個VLAN��。那么可以說,為內部網的安全又多提供了一層保護�。
當用戶內部網的客戶機具有不同權限時�,需要對具有高權限的ip進行限制��,即:需要進行IP和MAC綁定��,但由于各VLAN 的數據包通過了路由器,其MAC地址已發生變化��,則防火墻的IP和MAC綁定不能實現�。然而,通過用防火墻的客戶端認證功能��,不但�,能替代IP和MAC綁定功能��,而且����,可以在其他的應用上靈活使用���。
將為外面提供服務的EMAIL SERVER 服務器置于防火墻的DMZ區����,和內部網隔離開這樣,可以保證外界的訪問只有通往DMZ的路徑,而對于內網的訪問,則是絕對不予許的��。另外�,在DMZ區也只將EMAIL服務器的SMTP 25和POP3 110端口以及DNS的53端口打開。這樣,其安全性將大大增加�����,同時�����,對于防火墻的配置也是簡單�、清楚�����。
需要注重的問題:
由于防火墻的外網接入INTERNET�����,其包括的IP地址近似無窮多��,所以�����,防火墻上的默認網關���,自然應該指向外網口����。
另外����,防火墻的外網由于聯入INTERNET,所以,應具有一個合法IP地址��。EMAIL SERVER 和DNS 服務器由于要為與外界聯系而提供服務���,所以也應具有一個合法IP���。又因為防火墻在路由模式下各安全區應在不同網段���,那么���,DMZ區和外網就會帶來一些問題��。我們可以通過劃分子網和把DMZ區的機器做NAT地址映射來解決這個問題���。
