貴州省地方稅務局廣域網安全防范技術

[摘要] 貴州省地稅廣域網是金稅工程三期網絡建設的一個重要組成部分，是根據國家稅務總局金稅工程三期及貴州省地稅省級大集中業務相關要求，建設的廣域網。網絡設備在運行過程中可能會出現各種各樣的異常狀態，這些異常狀態往往會帶來安全威脅，對廣域網內的數據造成破壞，所以目前對廣域網的管理，要重視對網絡設備安全的管理，目的是構建高效、安全、可靠的網絡運行環境。

[關鍵詞]貴州省地稅 廣域網 網絡設備安全 防范技術

一、概述

貴州省地稅廣域網是參照國家金稅工程三期網絡建設的要求進行技術設計部署，目的是為貴州省地稅大集中工程構建高效、安全、可靠的網絡運行環境。

貴州省地稅廣域網采用星樹型、分層結構設計，網絡層次清晰，達到骨干與接入分離、廣域與局域分離的建設效果，利于全省大集中的建設，網絡擴展能力、靈活性強。

貴州省地稅局省局中心節點部署兩臺SR8805核心路由器通過千兆互連2臺高端交換機S7510E作為局域網核心交換。每臺核心路由器上提供1個155M CPOS接口提供對9個地市局節點的4M SDH接入，提供2個1000M電接口連接2臺局域網核心交換機，提供1個1000M電接口連接到國家總局的接入路由器。

全省9個地市局節點各部署1臺地市匯聚路由器SR6608，1臺局域網核心交換機S7503以及1臺SECPATH F100-E防火墻。路由器上配置1個155M CPOS接口用于與省局主路由器連接，同時，作為地市到區縣的廣域網鏈路接口，另外配置1個8端口E1接口業務板，與省備份路由器的4MSDH鏈路連接。

98個縣(區)節點各部署1臺縣級路由器MSR50-40/MSR30-40，1臺S3600交換機及1臺SECPATH F100-M防火墻。每臺路由器上配置1個2E1接口模塊，用于連接地市的SDH 2M鏈路。

貴州省廣域網絡相對獨立，與國家稅務總局和貴州省國稅局在省骨干節點設備背靠背連接接入。工程設備網管采用iMC智能網管中心，選用集中網管的方式，建設有1個全網網管中心。

二、網絡的安全分析

1.物理安全風險，網絡內物理安全存在地震、水災、電磁干擾、電磁泄密。

2.系統安全風險，網絡內網絡邊界的安全、應用系統的安全、U盤的安全等。

3.數據安全風險。

三、網絡的安全設計及防范措施

1.各級單位訪問控制設計

(1) 上級單位允許訪問下級單位，即省局允許訪問所有單位，地市局允許訪問下屬的所有區縣局，但禁止訪問其它地市局及其下屬的區縣局;

(2) 下級單位允許訪問直管的上級單位，即區縣局允許訪問省局及直管的地市局，但禁止訪問其它地市局;

(3) 平級單位之間禁止互訪，即不同的地市局之間禁止互訪，不同的區縣局之間禁止互訪。

2.網絡設備安全部署

網絡中部署有2臺高性能交換機組成雙核心、雙歸屬的健壯核心架構。采用高端路由交換機作為核心交換機，以確保核心網絡的高可靠性、維護簡易性等。同時在局域網部署VRRP、MSTP等技術，提高局域網用戶的可靠性，并在核心交換機上配置SecBlade防火墻插卡，通過SecBlade防火墻模塊對內網各個VLAN之間的訪問進行精細化的控制。同時配合交換機的端口隔離特性，實現對同一VLAN內終端之間的訪問限制。

SecBlade防火墻模塊是將交換機的轉發和業務的處理有機融合在一起，使得交換機在高性能數據轉發的同時，能夠根據組網的特點處理安全業務。

SecBlade 防火墻模塊可以對需要保護的區域進行策略定制，可以支持所有報文的安全檢測，同時SecBlade 防火墻模塊支持多安全區域的設置，支持Secure VLAN，對于需要防火墻隔離或保護的VLAN區域，用戶可以將Secure VLAN綁縛到其中的一個SecBlade 防火墻插卡上，這樣可以通過設置Secure VLAN來對交換機內網之間(不同VLAN之間)的訪問策略進行定制。

在服務器群前端增加兩臺高端的IPS主動防御系統，串聯在線部署，主動防御，實時阻斷攻擊實現內容和應用層的攔截;并在關鍵服務器前端增加負載均衡器，保障各種應用的負載分擔。

網絡內定期進行漏洞掃描，限制一般User，不可在內部網絡上進行漏洞掃描，使用防火墻，防止外部對內部的掃描，進行網絡內流量監控，進行網絡內連接監控，使用IDS，防止來自內部的攻擊，定期檢查系統Log。

3.網絡設備分級管理

(1) 省局技術員對各地網絡設備具有配置管理權限，地市局技術員對本局網絡設備及下屬區縣網絡設備具有配置管理權限，區縣局技術員對本局網絡設備只具有查看設備運行信息的權限。

(2) 通過控制端口“Console”登錄設備，設置登錄口令。也可采用“AUX”端口進行遠程配置，為提高安全可將AUX端口關閉。

(3) 對通過TELNET遠程登錄設備，設置登錄用戶及口令，并分級進行權限管理。TELNET登錄后，只具有查看權限(1級權限)，要取得配置管理權限，需進一步輸入super命令，并進行密碼驗證。

(4)口令長度至少為6位，且為字母、數字及特殊字符的組合。

4.SNMP訪問控制

(1) 對于網絡設備的管理，為保證其安全性，貴州省中心的網管服務囂可以管理全網的網絡設備，而地州內的網管服務器只能管理本地州內的網絡設備，不能管理其它地州的網絡設備，通過在網絡設備上配置相應的ACL規則來實現對網絡設備的管理。

(2) 分別配置讀團體字及讀寫團體字，并刪除缺省的團體字，限制對設備的SNMP訪問。

(3) SNMP采用團體字認證，與設備認可的團體字不符的SNMP報文將被丟棄。SNMP團體(Community)由一字符串來命名，稱為團體字(Community Name)。不同的團體可具有只讀(read-only)或讀寫(read-write)訪問模式。具有只讀權限的團體只能對設備信息進行查詢，而具有讀寫權限的團體才可以對設備進行配置。團體字符串有“public”對路由器資源只讀權限，團體字符串“private”對路由器資源可讀寫權限。

(4)參考配置

snmp-agent //開啟SNMP功能

snmp-agent community read gzds-public acl 2000//配置讀團體字符，同時引用2000的ACL

snmp-agent community write gzds-private acl 2000 //配置寫團體字符，同時引用2000的ACL

snmp-agent sys-info version all//配置支持所有的SNMP版本

acl number 2000//創建編號為2000的訪問控制列表(用于能進行SNMP網管的網段)

rule 0 permit source 153.16.0.0 0.0.255.255//允許省局的網段通過，即省局的網段能對本設備進行SNMP網管

rule 1 permit source 153.28.0.0 0.0.15.255 //允許市局的網段通過，即市局網段能對本設備進行SNMP網管

rule 2 deny//除省局和市局網段外其他網段禁止通過

5.網絡病毒防范技術

(1)路由器和三層交換機的功能是保持網絡的連通性，盡自己最大能力轉發數據包。網絡病毒發送的大量垃圾報文，路由器是并不能識別的。需要我們手工配置ACL，比如最近流行的沖擊波病毒，通過配置，路由器和交換機可以部分阻止這些垃圾報文。以上只是輔助措施，根本解決辦法是查殺PC的病毒，盡快安裝微軟操作系統的補丁，升級殺毒工具的病毒庫，提高安全意識。

(2)為了設備安全，設備統一采用QUIDVIEW管理，關閉設備WEB管理。

(3)常見防病毒ACL，包含常見的病毒端口，新發現的病毒，還需要手工添加對應的端口號，如:3127、1025、5554、9996、1068、135、137、138、139、593、4444、5800、5900、8998、445、1434等。配置好以后在相關的端口下發即可。

(4)網絡內病毒、黑客攻擊等難以防范和管理的問題采用網絡管理功能的網絡版殺毒軟件。使用集中式管理、分布式殺毒:集中式管理可以策略為中心，以邏輯上的策略進行殺毒策略的部署，這種方式可以脫離網絡拓撲結構，部署較靈活;也可以服務器為中心，進行網絡殺毒管理，這種方式與網絡拓撲結構融合，管理最方便。選擇的網絡版殺毒軟件要注意與防火墻、入侵檢測、安全掃描、SNMP網絡管理相融合。

6.網絡主機防范措施

(1) 定期進行漏洞掃描，提高警惕，避免End-User端的攻擊。

(2) Integrity Check (ex. Tripwire、MD5Sum)，密碼不要太簡單，關閉文件共享，不要使用系統默認值。

(3) 確認每一個在執行的Service用途，確認每一個在執行的Process用途，確認每一個監聽端口的用途，以及建立連接程序的用途。(netstat、fport、TCPView)

(3) 操作系統勤打補丁，確認安裝最新的Service Pack及補丁程序。現在許多病毒、木馬就是利用了Windows操作系統的漏洞進行傳播了，而微軟也會不定期發布相應的補丁程序要進行補救，要做到勤打補丁，就不會造成病毒形成蔓延之勢。

(5) 下載軟件及驅動程序應該到官方網站或是知名大網站下載，不到一些陌生或是不知名的網站下載，并且最好下載官方版本，不隨意使用第三方修改過的版本。

(6)安裝軟件之前最好先進行病毒掃描，另外在安裝過程中將每一個步驟都看仔細，不能隨意地一路“Enter”下去。定期更新防病毒軟件規則。

四、小結

貴州省地稅廣域網的安全因受到各種因素的影響，安全事件的出現是非常頻繁的，通過上面的介紹是希望在現階段構建一個相對安全的網絡環境，做到百分之百的安全是很困難的，提高整個廣域網的安全防范總是增加了系統管理的復雜性和成本，所以只有提高安全意識、規范管理制度才能做到真正的安全。

參考文獻:

[1]顧巧論，高鐵杠，賈春福等:《計算機網絡安全》，北京:清華大學出版社，2006. 1

[2]肖遙:《網絡滲透攻擊與安防修煉》，北京:電子工業出版社，2009. 4