Сеть интерфейс трафик протокол
| п/н | Имя сервера: Proxy_cs Операционная система: Windows NT 4.0 Роль сервера: Интернет сервер (WinGate), почтовый сервер (MDaemon) | Критично | Не удовлет-ворительно | Удовлет-ворительно | |
| 1 | Загруженность сервера | c | c | a | Нет проблем |
| 2 | Устойчивость к сбоям | c | a | c | Дисковая подсистема не настроена на противодействие сбоям, выход из строя одного из винчестеров приведет к краху всей системы однако возможность переложить задачи данного сервера на другую машину позволяет не рассматривать данную проблему как критичную. Остальные компоненты сервера также не могут обеспечить избыточность. |
| 3 | Восстановление после сбоев | c | a | c | Отсутствие Disaster Recovery BackUp увеличивает время восстановления сервера «с нуля». |
| 4 | Защита данных от НСД | a | c | c | Очень серьезные проблемы безопасности (см. результаты сканирования на уязвимость) |
| 5 | Общая оценка состояния сервера | a | c | c | Очень серьезные проблемы связанные с обеспечением безопасности, данный сервер может быть взломан из Internet и использован в качестве плацдарма для доступа во внутреннюю локальную сеть. В качестве временных мер решения данных проблем можно порекомендовать установку firewall (например Kerio WinRoute Firewall). Рекомендуется полная замена данного сервера. Первая очередь замены серверов. |
Приложение 2
Предложения и рекомендации
Предложение по обеспечению защиты периметра сети
|
|
|
Общая схема
Данная схема соответствует существующей в Банке в настоящий момент, но в тоже время обеспечивает высокую степень защиты и контроля сетевой безопасности. За счет сохранения неизменности сетевой структуры риски простоя связанные с внедрением новой системы защиты удается свести к минимуму.
Изменения касаются аппаратного программного обеспечения серверов доступа.
В качестве аппаратной платформы предлагается использовать сервера HP ML110.
В качестве программного обеспечения Windows 2000 Server с установленным Internet Security & Acceleration Server и Symantec Antivirus for Microsoft ISA Server.
Данное решение позволяет достичь следующих результатов:
· Защита от несанкционированного доступа в локальную сеть извне
· Контроль и протоколирование использования Internet ресурсов локальными пользователями
· Фильтрация нежелательно web и SMTP контента
· Антивирусная проверка входящего web трафика, а также всего почтового
· Протоколирование распространенных сетевых атак (например попытка сканирования открытых портов)
· Немедленное оповещение администратора о сетевых атаках
· Немедленное оповещение администратора о вирусах
· Кэширование web контента позволяет сэкономит Интернет трафик одновременно увеличивая скорость работы Internet
|
|
|
Организация почтовой системы
Данное решение предполагает использование сервера доступа в Интернет для контроля SMTP трафика (проверка на вирусы, контроль нежелательной почты) переложив задачи хранения и авторизации клиентов на Exchange сервер.
Это позволит использовать единую пользовательскую базу, что в свою очередь упростит ее администрирование и сократить количество возможных ошибок, разграничить выполняемы функции между серверами.
В тоже время это накладывает ряд требований связанных к надежности и производительности Exchange сервера. В качестве аппаратной платформы для Exchangr Servera предлагается использовать HP ML350.
Организация доступа в Интернет
Контроль использования Интернет ресурсов может основываться целым рядом параметров таких как:
· IP адрес пользователя, его имя и принадлежность к группе
· Тип запрашиваемой информации или конкретный Интернет ресурс
· Время
В тоже время осуществляется антивирусная проверка полученной из Интернета информации. Количество пользователей использующих доступ в Интернет ограничено количеством клиентских лицензий антивирусной программы. В предложении количество лицензий – 70.
|
|
|
Подключение внешних пользователей к RS-Bank
Подключение внешних пользователь к системе RS-Bank останется неизменным для существующих пользователей.
Информация для заказа:
| 339044-421 | ProLiant ML110T01 P2.8/800HT 256 SCSI-36 (P4-2.8GHz/1MB/256MB/36,4GB SCSI/CD/1x10/100/1000NIC) | 1 |
| 353377-B21 | HP NC1020 10/100/1000T Gigabit Server Adapter 32 PCI | 1 |
| 271832-B21 | 36GB 10K U320 Non-Plug Ultra320 10K Hard Drive (1") (for all non HotPlag bays and servers) | 1 |
| 354557-B21 | 256 UNREG PC3200 1X256 ML110 | 1 |
| 354560-B21 | 512 UNREG PC3200 1X512 ML110 | 1 |
| P73-00663 in pack | Windows Svr Std 2003 Russian DSP OEI CD 1-4CPU 5 Clt | 1 |
| E84-00005 | ISA Server 2000 English Intl CD 1 Processor License | 1 |
| 10149637-IN | SYMANTEC ANTIVIRUS 4.3 FOR MICROSOFT ISA SERVER IN MEDIA PACK | 1 |
| 10202006 | SYMANTEC ANTIVIRUS 4.3 FOR MICROSOFT ISA SERVER LIC | 70 |
| 339044-421 | ProLiant ML110T01 P2.8/800HT 256 SCSI-36 (P4-2.8GHz/1MB/256MB/36,4GB SCSI/CD/1x10/100/1000NIC) | 1 |
| 353377-B21 | HP NC1020 10/100/1000T Gigabit Server Adapter 32 PCI | 1 |
| 271832-B21 | 36GB 10K U320 Non-Plug Ultra320 10K Hard Drive (1") (for all non HotPlag bays and servers) | 1 |
| 354557-B21 | 256 UNREG PC3200 1X256 ML110 | 1 |
| P73-00663 in pack | Windows Svr Std 2003 Russian DSP OEI CD 1-4CPU 5 Clt | 1 |
| E84-00005 | ISA Server 2000 English Intl CD 1 Processor License | 1 |
Microsoft Internet Security and Acceleration (ISA) Server 2000 — это расширяемый многоуровневый сервер брандмауэра предприятия и кэширования веб-содержимого, который обеспечивает безопасную быструю и управляемую работу с интернетом. Сервер ISA — это комплексное решение, направленное на защиту на уровне приложений, работу с виртуальными частными сетями (VPN), динамическую проверку пакетов и безопасную публикацию, защищающую ресурсы пользователей. Кроме того, сервер ISA может выступать в роли надежного, масштабируемого и высокопроизводительного веб прокси и сервера кэширования, повышающих эффективность вашей работы и рационально расходующих ресурсы сети.
|
|
|
| Возможности | Технологии |
| Дополнительная защита на уровне приложений | |
| Фильтры приложений | Создают дополнительный удобный в управлении уровень защиты почтовых серверов, веб-серверов и серверов Microsoft Exchange Outlook® Web Access (OWA), расположенных за брандмауэром. К возможностям этих фильтров относится поддержка протоколов HTTP, FTP, SMTP (Simple Mail Transport Protocol), H.323 (протокол передачи мультимедиа), поддержка потокового мультимедиа, удаленного вызова процедур (RPC) и т. д. |
| Почтовые фильтры | Позволяют находить сообщения, содержащие нежелательные слова или приложения, тем самым повышая безопасность почтового сервера. |
| Фильтрация удаленного вызова процедур Exchange | Обеспечивает защиту удаленных пользователей сервера Exchange Server от угроз, связанных с сетями без доверия, не использующими VPN. |
| Улучшенная безопасность OWA и IIS | Улучшенные системы проверки подлинности и защиты серверов, использующих службы IIS (Internet Information Services) и OWA (Outlook Web Access), от различных типов атак из интернета. |
| Динамическая проверка | Проверка данных, проходящих через брандмауэр, в контексте их протокола и состояния подключения. При динамической фильтрации пакетов порты открываются только в тех случаях, когда это необходимо. |
| Расширяемая архитектура фильтров | Партнерские дополнения (EN) для сервера ISA, поддерживающие фильтрацию адресов URL, антивирусную проверку, балансировку нагрузки и т. д., позволяют вам разрабатывать фильтры приложений для перехвата, анализа и изменения данных, приходящих на любой порт и по любому протоколу. Кроме того, вы сможете создавать на базе интерфейса ISAPI (Internet Server Application Programming Interface) веб-фильтры для просмотра, анализа, блокировки, пересылки и изменения трафика HTTP, HTTPS и FTP. |
| Приоритеты полосы пропускания | Позволяют оптимизировать выделение ресурсов полосы пропускания в зависимости от пользователя, группы, приложения, узла назначения или типа содержимого. |
| Быстрый и безопасный прокси- и кэш-сервер | |
| Высокопроизводительный веб-прокси и сервер кэширования | Быстрое кэширование в оперативной памяти и эффективное использование кэша на сервере ISA увеличивают скорость доступа пользователей в интернет и снижают нагрузку на сеть. |
| Масштабируемость | Динамическая балансировка нагрузки сети и применение протокола CARP (Cache Array Routing Protocol) дают вам возможность быстро и эффективно наращивать мощность системы добавлением новых серверов. Кроме того, сервер ISA поддерживает архитектуру многопроцессорной симметричной обработки (SMP). |
| Распределенное и иерархическое кэширование | Вы можете объединять серверы кэширования в иерархические структуры, располагая кэши вблизи от пользователей и создавая резервные каналы передачи данных. |
| Активное кэширование | Регулярное обновление постоянно используемых объектов позволяет снизить нагрузку на сеть. |
| Планирование загрузки данных | С помощью расписания вы можете планировать загрузку объектов в кэш, чтобы эффективнее использовать ресурсы сети, обслуживать зеркальные серверы и иметь автономный доступ к необходимым данным. |
| Поддержка потокового мультимедиа | Сервер ISA обеспечивает прозрачную поддержку популярным форматам мультимедиа и экономно использует полосу пропускания, разделяя потоки данных, проходящих через шлюз. |
| Встроенные средства повышения производительности, управления доступом и безопасностью, поддержки VPN | |
| Интеграция с Windows 2000 Server | Пользователи, параметры конфигурации и правила сервера ISA используют службу каталогов Microsoft Windows® 2000 Active Directory®. Службы проверки подлинности и управления полосой пропускания, сетевые службы и средства управления построены на базе технологий Windows 2000 Server. |
| Многоуровневый брандмауэр | Улучшенная система защиты, включающая в себя фильтрацию трафика на уровне пакетов, каналов и приложений. |
| Поддержка широкого круга приложений | Вы можете работать с десятками основных приложений Интернета с помощью предварительно заданных протоколов, в том числе прозрачных средств SecureNAT (Secure Network Address Translation), RSA SecurID, Active Directory, IIS, OWA, Exchange, Microsoft SQL Server™ 2000, Microsoft BizTalk® Server 2002, клиентов веб-прокси и фильтров приложений. |
| Встроенная поддержка VPN | Стандартные службы протоколов PPTP и L2TP/IPSec системы Windows 2000 обеспечивают безопасное соединение между узлами и удаленное подключение через виртуальные частные сети. |
| Усиление защиты системы | Вы можете защитить операционную систему Windows 2000 Server, задав соответствующий уровень безопасности с помощью готовых шаблонов. |
| Единая система обнаружения вторжений | Технология, созданная на базе систем Internet Security Systems (ISS) (EN), позволяет обнаруживать попытки совершения таких атак, как сканирование портов, WinNuke и Ping of Death, и принимать ответные меры. |
| Прозрачность для всех клиентов | Сервер ISA с помощью службы SecureNAT создает защиту брандмауэром, прозрачную для всех клиентов, использующих протокол IP (Internet Protocol). При этом не нужно устанавливать дополнительных клиентов или клиентскую программу брандмауэра, выполнять прозрачную проверку подлинности и обеспечивать поддержку широкого круга приложений. |
| Улучшенные механизмы проверки подлинности | Встроенная проверка подлинности Windows (NTLM и Kerberos), цифровые сертификаты, поддержка простого и цифрового режима проверки подлинности делают систему защиты еще более надежной. |
Дополнительная защита на уровне приложений
Сервер ISA и пакет дополнений Feature Pack 1 позволяют создать дополнительный удобный в управлении уровень защиты почтовых серверов, веб-серверов и серверов Exchange для OWA (Outlook Web Access), расположенных за брандмауэром. Почтовые серверы становятся более безопасными, поскольку теперь они могут вовремя перехватывать сообщения, содержащие нежелательные слова или вложения. Кроме того, сервер ISA и пакет дополнений Feature Pack 1 обеспечивают защиту пользователей Outlook, удаленно подключающихся к серверу Exchange с помощью сетей без доверия, не использующих VPN.
Один из примеров тщательной проверки передаваемых данных. Сервер ISA Server и пакет дополнений Feature Pack 1 могут на уровне приложений останавливать атаки, связанные с декодированием Unicode, прохождением каталогов и неправильным формированием запросов HTTP, и предупреждать проникновение опасных запросов в сеть.
Быстрый и безопасный прокси- и кэш-сервер
Сервер ISA может повысить эффективность работы ваших сотрудников, увеличив скорость доступа в Интернет. Более высокая скорость доступа достигается за счет хранения веб-содержимого физически вблизи пользователей. Сервер ISA имеет легко масштабируемую архитектуру, позволяющую с помощью протокола CARP объединить несколько компьютеров с серверами ISA в кластер и увеличить объем кэша. При применении иерархического кэширования данные автоматически распределяются между серверами, которые могут быть расположены по всему миру. Использование средств управления доступом обеспечивает не только высокую скорость доступа в Интернет, но и контроль над ним.
Средства управления доступом, протокол CARP и иерархическое кэширование дают следующие преимущества.
Сервер ISA позволяет выполнять фильтрацию по адресам URL и типам MIME, а также обеспечивать защиту от незаконного использования ресурсов сети.
Применение протокола CARP позволяет автоматически масштабировать кэш в массиве серверов, повышая эффективность его использования. При этом объекты автоматически загружаются, кэшируются и передаются клиенту.
Иерархическое кэширование позволяет хранить данные физически вблизи пользователей, повышая тем самым производительность сети.
Единая система кэширования, безопасности и служб VPN предоставляет следующие преимущества.
За счет хранения данных физически вблизи пользователей кэширование позволяет повысить производительность сети и увеличить максимальное число поддерживаемых ею пользователей.
Сервер ISA поддерживает управление доступом как изнутри сети, так и извне, вы можете размещать в Интернете свои службы, будучи уверены, что никто из ваших сотрудников не имеет доступа к незаконным ресурсам Интернета. Единая система доступа подразумевает, что повышение производительности сети с помощью сервера ISA не создает угроз безопасности.
Интеграция с VPN позволяет удаленным пользователям подключаться к внутренней сети организации и управлять безопасностью сети с помощью одного переходного устройства.
Дата добавления: 2020-01-07; просмотров: 124; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!