《邵阳市电子政务安全接入平台.docx》由会员分享,可在线阅读,更多相关《邵阳市电子政务安全接入平台.docx(42页珍藏版)》请在三一办公上搜索。
1、邵阳市电子政务安全接入平台建设方案湖南移动邵阳分公司2013/4/10目录1.项目风险级需求需求21.1.项目风险21.2.功能需求31.3.应用需求42.项目概述43.项目内容43.1.网闸43.1.1.技术实现53.1.2.产品概述73.1.3.功能介绍83.1.4.系统性能参数133.2.防火墙133.2.1.技术实现133.2.2.产品介绍153.2.3.任子行NGSA产品优势153.2.4.关键技术193.2.5.功能介绍243.2.6.系统性能参数263.3.上网行为管理263.3.1.产品介绍263.3.2.关键技术273.3.3.产品特点343.3.4.功能介绍371. 项目风
2、险级需求需求1.1. 项目风险系统性漏洞风险,在内部服务器应用中,WEB、OA、数据库等服务器及其操作系统均存在系统性漏洞,黑客利用已知的这些操作系统漏洞攻击服务器并获得控制权;内部网络的各个客户端中系统存在漏洞,或者没有及时更新,黑客有可能利用这些漏洞进入客户端,从而控制这些机器。因此,需要考虑将内网与外部网络实现隔离屏蔽,以保护内网免遭系统漏洞攻击。病毒攻击。互联网病毒随时可以内部服务器集群形成威胁,且病毒的传播速度和范围越来越广。病毒的来源包括内网中的客户端和外部网络中,他们在访问INTERNET时,可能会感染病毒。如果再访问内部服务器集群的话,也可能会造成整个内部网络和服务器集群都受到
3、感染而造成网络的瘫痪,从而会严重地影响办公效率。更有甚者可能下属网络的电脑中存在木马,在访问服务器时上传到服务器上。因此,必须要采取有效的手段在网络边界处形成网关防毒检测,及时将病毒阻止在内外以外,而不是等病毒进入后再在客户端采取措施那时显然更难以处理。网络层攻击与拒绝服务攻击。虽然内网的边界虽然已部署了防火墙,但IP碎片攻击、DDOS泛洪攻击等仍有可能穿透防火墙进入内部网络区域或使防火墙宕机造成无法预料的后果,必须采取措施将内部网络与外网隔离开,彻底阻断内部网络与外网间的TCP/IP连接。对服务器非授权的主机扫描和攻击。端口扫描是网络上频繁出现的安全隐患,外网的用户有可能会扫描服务器的端口。
4、因此,有必要将内部网络区域的服务器与外部网络隔离屏蔽。1.1.1.1.2. 功能需求我市政府系统的电子政务网作为国家电子政务建设的组成部分,也是我市电子政务建设的基础性设施,它既要满足与省电子政务网、区县电子政务网的对接,也要满足我市电子政务建设应用的需要,既要满足各部门之间互联互通、信息共享的需求,也要满足政府各部门利用电子政务网搭建本部门业务系统的需要。因此,电子政务网安全隔离交换平台的建设,也是以下实际情况的需要:1. 网络基础传输的需要通过组建安全、高效、可控、适度的安全隔离交换平台,横向实现与各部门之间的互联互通,资源共享。2. 统一网络管理的需要电子政务内网是覆盖全市的大型网络,网
5、管十分重要。网络的运行维护要求高。将安全隔离交换平台纳入市电子政务网管中心,对网络进行科学高效的管理,确保网络的安全可靠运行。3. 可靠性需要电子政务内网所承载的业务非常重要,要求安全隔离交换平台必须具有高可靠性和抗毁性,实现7*24小时不间断服务。4. 可扩展性需要各个厅局都将陆续联入政务内网,支撑的业务将不断扩展,需求将不断增加,安全隔离交换平台必须充分考虑其可扩展性。5. 信息交换的需要电子政务内网,必须满足各局的业务信息化需求。当前要重点考虑政务外网网与政务内网之间的数据交换。6. 安全性需要电子政务内网涉及到机密数据,与政务外网交换数据时,安全隔离交换平台的安全性尤其重要。7. 标准
6、规范的需要电子政务内网安全隔离交换平台建设要严格执行国家电子政务建设的有关标准。1.3. 应用需求目前的网络的隔离造成业务系统共享困难,而政府间的分工与合作使得每个部门的业务系统彼此之间有着紧密的联系。因而必须构建安全隔离交换平台,实现对于业务资源的整合和资源的共享。2. 项目概述本项目为移动专线接入邵阳市电子政务网的边界接入平台,包括:1、网闸:用于电子政务核心网和外网的信息隔离和安全交换。2、防火墙:用于电子政务核心网和外网的隔离,防止外部对电子政务核心网的威胁和攻击 4、上网行为管理系统:实现对带宽与流量的控制,同时对网络行为进行审核 3. 项目内容3.1. 网闸专网业务涉密网与办公业务
7、非涉密网间,根据业务及应用特点,以需求为导向,以应用为核心,以方便群众为最终目的,利用先进理念和技术,以提高我机关工作效率,充分利用现有资源和技术力量,实现系统的计算机网络化处理和应用,根据实际存在数据双向交换的需求和国家相关主管部门的要求,在充分做到安全保证的前提下,允许非涉密数据在两个网络间交换。本方案设计严格遵循公安部部金盾工程总体方案设计中要求专网与外界物理隔离的设计原则,同时为确保准确性和及时性,我们采用伟思ViGap300网闸作为我公司专线与邵阳市政府电子政务网安全物理隔离解决方案。1.2.3.3.1.3.1.1. 技术实现安全隔离与信息交换系统(网闸)的工作基于人工信息交换的操作
8、模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包的交换,没有网络连接的建立。在此前提下,通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统(网闸)放心的访问非可信网的资源,而不必担心可信网的安全受到影响。信息通过网闸传递需经过多个安全模块的检查,以验证被交换信息的合法性。当访问请求到达内外网主机模块时,首先由网闸实现TCP连接的终结,确保TCP/IP协议不会直接或通过代理方式穿透网闸;然后,内外网主机模块会
9、依据安全策略对访问请求进行预处理,判断是否符合访问控制策略,并依据RFC或定制策略对数据包进行应用层协议检查和内容过滤,检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查,内外网主机模块会对数据包进行格式化,将每个合法数据包的传输信息和传输数据分别转换成专有格式数据,存放在缓冲区等待被隔离交换模块处理。这种“静态”的数据形态不可执行,不依赖于任何通用协议,只能被网闸的内部处理机制识别及处理,因此可避免遭受利用各种已知或未知网络层漏洞的威胁。如图551所示:图示 351安全隔离与信息交换系统(网闸)原理示意图安全隔离与信息交换系统(网闸)通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映
10、射功能,将指定区域的数据复制到对端相应的区域,完成数据的交换。隔离交换卡内嵌安全芯片,采用高速全双工流水线设计,内部吞吐速率达2Gbps,完全可以满足高速数据交换的需要。隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。当内外网主机模块通过隔离交换模块接收到来自另一端的格式化数据,可根据本端的安全策略进行进一步的应用层安全检查。经检验合格,则进
11、行逆向转换,将格式化数据转换成符合RFC标准的TCP/IP数据包,将数据包发送到目的计算机,完成数据的安全交换。3.1.2. 产品概述伟思信安隔离网闸ViGap300是珠海伟思有限公司采用先进GAP技术独立研制生产的新一代网络安全产品。它放置在可信网络和不可信网络之间,连接两个网络并控制网络间的信息交换。ViGap300通过专用硬件在可信网络与不可信网络间实现物理隔断,可以防止各种基于网络层和操作系统层的攻击,并通过基于硬件设计的反射GAP系统,实现在线高速实时的数据传输。其设计原理如图所示:在图中,有一个人来操作内外网间的数据交换,另外包括两个网络:不可信网络和可信网络,这两个网络物理隔断。
12、网络信息流如下:1) 该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。2) 该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。检测包括:检验文件来源、该文件格式是否和预先定义的文件格式相符等。3) 如果内容检测为不安全或非法,它们将被丢弃;如果内容是安全和合法的,此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。信息从可信网络传输到不可信网络将也用相似的流程。在ViGap300技术中,没有人可以从不可信的网络访问和操作控制可信网络上的计算机,所有允许到可信网络的数据都在一个安全的环境中经过详细的审查,这是一种从不安全环境到安全环境进行安全信息传输的方法。 伟思V
13、iGap300的安全隔离结构具有以下安全优点:安全优点描述物理隔断可信网和不可信网物理隔断,可信网络上的计算机不能访问不可信网络可选择数据交换两个网络能够有选择的交换数据,好像它们直接相连一样数据是静态的在交换数据过程中,数据是静态的(被动的),不能被执行独立决策所有决策在一个安全的环境中处理,与不可信网络隔断支持文件和命令交换数据可以包含文件和命令高性能上述所有工作实时进行,实现最大吞吐量和最小延时3.1.3. 功能介绍3.1.3.1. 系统可靠性双机热备功能ViGap300系列产品针对大型网络的应用提供了双机热备份功能,实现系统的稳定可靠运行。通过内置的双机热备系统,连接在同一个网络内的多
14、台ViGap300设备可以建立双机热备机制,并通过虚拟IP统一对外提供服务。从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设备将立即接管并继续提供服务。结合ViGap300独有的状态检测系统,管理员能够迅速发现设备故障并作出处理。系统工作状态检测与报警ViGap300系列采用基于工业控制系统的架构设计,具备良好的稳定性。并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进行检查,并将系统状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并作出响应。同时,ViGap300系列软件系统采用了先进的自愈技术,当故障发生时可迅速命令系统重启恢复到正常工作状态。3
15、.1.3.2. 系统可用性ViGap300系列为满足高性能的网络处理而设计,因此,必须支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外,ViGap300系列还设计了最大支持32台设备的负载平衡系统来实现高可用性。 ViGap300系列的负载平衡系统通过仲裁网络流量方式实现流量在ViGap300集群中的平均分配,从而将处理性能大幅提升。3.1.3.3. 安全功能网络隔离功能 ViGap300系列具有网络隔离功能,通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开,保护可信网络免遭黑客攻击。IDS入侵检测功能 ViGap300系列在设备两端内置了I
16、DS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求,并与ViGap300隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。SAT(服务器地址映射)功能 ViGap300系列具备完善的SAT功能,可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap300系列的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器,从而对外屏蔽服务器,防止服务器遭到攻击。身份认证功能 不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。ViGap30
17、0系列除了提供基本的用户名/口令身份认证功能以外,还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。 安全代理服务功能 ViGap300系列允许可信端用户以应用代理方式访问不可信网络,ViGap300系列作为应用代理网关对内网访问请求进行检测,相对于传统的基于网络层的NAT方式来说,由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素,因此,对访问具有更高的安全控制能力。AI安全过滤功能 应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。ViGap300系列产品通过协议分析技
18、术提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击。ViGap300系列在AI功能中新增了安全功能,包括:确认通信是否遵循相关的协议标准;进行异常协议检测;限制应用程序携带恶意数据的能力;对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。防病毒功能系统内嵌防病毒引擎,可实现对内外网摆渡数据的病毒查杀,其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。内容及格式检测功能 Vi
19、Gap300系列具备内容过滤及文件格式检查功能,对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵。VPN通讯安全ViGap300系列对受保护WEB服务器提供内置的SSL VPN加密通讯机制,建立客户端与虚拟服务端口间的SSL加密VPN链路,实现通讯安全。该加密方式无需修改客户端设置,透明实现客户端与服务器端的加密通讯。WEB站点保护功能目前大量应用基于B/S架构开发,WEB服务成为了越来越通用的服务,然而WEB服务器的大量漏洞也时时威胁着应用系统的安全。ViGap300系列全面分析了来自WEB服务的漏洞,建立了WEB站点保
20、护系统WebAppliaction,全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括:Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Webservice函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。3.1.3.4. 系统管理轻松管理ViGap300系列安全管理架构能够让使用单位将单个隔离与信息交换系统设备部署到任何其它位置上并对其进行集中式管理。一旦创建或修改了策略,它就被自动分发到规则指定的所在位置。良好的用户界面ViGap300系列提供了一个良好的用户界面,以树型结构组织对象,可在所有规则中共享所有的对
21、象定义(例如:用户、主机、网络和服务等等),以便进行有效的策略创建和安全管理。丰富的日志及审计ViGap300系列管理平台能够监控并记录 ViGap300系列产品的系统状态。全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息。3.1.3.5. 应用支持安全上网ViGap300系列支持用户安全上网应用,可根据身份认证、IPMAC绑定等多种安全策略实现用户安全上网应用,同时支持透明应用代理方式,客户端无需设置。数据库应用ViGap300系列全面支持各种类型的数据库应用,支持Oracle、MS SQL、MySQL、SyBase等主流的数据库的SQL查询,支持全表
22、复制、增量更新、全表更新等多种数据库同步方式,并支持自定义表和字段。网络应用ViGap300系列支持各类TCP/IP以上的网络应用协议,无需二次开发。包括:HTTP、SMTP、POP3、DNS、FTP、NFS、MMS、IM、VOIP等等。支持用户自定义开发的特殊应用协议。同时,针对用户特殊需求ViGap300系列提供API应用开发接口。3.1.4. 系统性能参数伟思ViGap300物理隔离系统性能指标如下:l ViGap300网络吞吐量性能:160Mbps1760Mbpsl ViGap300隔离硬件芯片数据交换速率:1056Mbpsl ViGap300系统时延:=80003.2. 防火墙1.2
23、.3.3.1.3.2.3.2.1. 技术实现防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命,通过ACL访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过,保护了网络的安全。随着 Web 2.0 的各种应用不断推陈出新,加上社交网络 (如类似Facebook) 服务广受欢迎,进而带来了截然不同于以往的安全管理问题,IT 人员在面临新一代企业网络 (Enterprise 2.0) 的各种威胁,已经无法使用传统防火墙、入侵检测系统等设备,获得完整的安全控制管理和防御
24、能力,其中最主要的原因在于 Enterprise 2.0 的各种应用服务,大多数是通过Web 提供,而传统防火墙由于无法辨识 Web 服务中的应用程序,也因此让网络安全防护出现严重的漏洞与隐忧。自2009年10月Gartner提出“Defining the Next-Generation Firewall”一文,重新定义下一代防火墙,下一代防火墙的概念在业内便得到了普遍的认可。针对上述安全风险、网络环境、应用系统的变化,传统网络安全设备的无能为力,市场咨询分析机构Gartner在2009年发布了一份名为Defining the Next-GenerationFirewall的文章,给出了真正能
25、够满足用户当前安全需求的下一代防火墙(NGFW)定义。在Gartner 看来,NGFW 应该是一个线速(wire-speed)网络安全处理平台, 在功能上至少应当具备以下几个属性:1、联机“bump-in-the-wire”配置,不中断网络运行。2、发挥网络传输流检查和网络安全政策执行平台的作用,至少具有以下特性:(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶
26、意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。(3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用Skype,但关闭Skype中的文件共享或始终阻止GoToMyPC。(4)额外的防火墙智能:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起,或建立地址的黑白名单。Gartner认为,随着防火墙和IPS更新周期的自然到来,或者随着带宽需求的增加
27、和随着成功的攻击,促使更新防火墙,大企业将用NGFW替换已有的防火墙。不断变化的威胁环境,以及不断变化的业务和IT流程将促使网络安全经理在他们的下一个防火墙/IPS更新周期时寻找NGFW。Gartner预计到2014年底,用户采购防火墙的比例将增加到占安装量的35%,60%新购买的防火墙将是NGFW。3.2.2. 产品介绍任子行公司基于在互联网内容安全和行为管理领域多年的积累,以及对下一代防火墙技术的深入研究推出了SURF-NGSA防火墙系列产品。NGSA是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。N
28、GSA解决了传统安全设备在应用管控、应用可视化、应用内容防护等方面的巨大不足,同时开启所有功能后性能不会大幅下降。NGSA 不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。NGSA可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案。3.2.3. 任子行NGSA产品优势3.2.3.1. 份识别优势细致的用户与组的权限划分用户的权限分配划分细致,可为每
29、个用户配置不同的网页过滤,应用程序过滤,浏览配额,访问时间,数据传输,带宽管理,SSL VPN,L2TP/PPTP,垃圾邮件摘要,同时登陆数量限制,登录限制(例如节点)。全面兼容集成第三方认证及单点登录支持AD(活动目录)、LDAP、RADIUS等第三方认证服务,可集成与防火墙、VPN、设备管理等,同时具备SSO功能,提升各种访问的安全性。用户自助查询账户信息用户自助查询账户信息,更加详细的了解流量使用情况;登录时间查询,保证账户无盗用;随时更改密码,保证账户的安全性;查询被隔离的病毒与垃圾邮件,保证漏收重要邮件。3.2.3.2. 强大的AV与IPS功能多协议、应用的病毒与木马检测多协议的病毒
30、、木马检测,包括HTTP、HTTPS、FTP、SMTP、POP3、IMAP以及IM文件传输,VPN隧道内的检测,多方面保证网络终端及服务器的健康与安全性。检测做到多方面、更细致、更灵活灵活的扫描方式提供实时扫描与批量扫描;对音频图像的扫描,让功能更具实用性;拒绝未知协议、阻止非法证书让加密访问更具安全性。设备自带病毒邮件隔离区先进的设备自带病毒邮件隔离区设计,保证邮件审计,用户可通过身份账户自行查看被隔离病毒邮件,并可发送病毒邮件通知信息,保证用户收发邮件没有遗漏。攻击源、受害者快速定位基于身份用户、IP、协议的告警信息,帮助管理员快速定位封堵攻击源,检测受害终端,保证信息资源不受侵害。 3.
31、2.3.3. 灵活多样VPN功能IPSec VPN 完美向前保护(PFS)与对端状态检测(DPD),具备L2TP、PPTP VPN,链路备份功能。 SSL VPN登录首页页面自定义,隧道,网页,应用程序接入模式,l内置SSL VPN用户资源访问审计报表。MPLS-VPN支持MPLS-VPN环境下的IPSec备份链路,满足用户节约专线租用费用,实现隔离及互访需求。3.2.3.4. 灵活的带宽管理策略基于用户身份不同用户身份或不同工作职责,可细化分配所需带宽速率,提高工作效率,保证带宽资源的合理分配。基于应用程序可对众多应用程序、网络协议进行带宽管理,包括应用程序类别以及指定应用程序的带宽限制。灵
32、活方便的为不同应用赋予不同的带宽速率。8级优先级 各种类型带宽管理策略,可设置不同级别的优先级,使关键数据流量能够第一时间的带宽速率保障。3.2.3.5. 基于国家区域的流量访问管控 内置全球国家IP资源列表。支持基于国家列表中选择源或目的国家区域对象防火墙规则,效拦截DDoS攻击、恶意扫描、恶意软件及垃圾邮件等安全威胁。3.2.4. 关键技术1.2.3.3.1 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.4.1 应用识别能力 NGSA采用传输流量分类技术,可根据每种应用的执行特性,针对传输数据内容执行应用特征码比对,无论使用哪一种通讯协议及连接端口,都能正确地识别应用程序
33、。3.2.4.2 用户识别能力NGSA下一代安全防护网关,可以与各种用户数据库 (如:Microsoft Active Directory、LDAP、RADIUS) 紧密整合,通过动态地将 IP 地址与用户及用户组信息进行结合,大幅提升对网络用户活动的可视性,IT 部门更可以依据用户及用户组信息,规划制定各项安全策略及产生各种用户存取记录与管理报表。3.2.4.3 内容识别能力 结合实时威胁防御引擎、丰富的 URL 数据库及应用识别等核心组件,内容识别可以轻松做到限制未经授权的文件传输、检测并阻挡各种的网络安全威胁,以及控制和管理各种非工作相关的网络浏览。根据整合应用识别所带来的应用程序识别与
34、控管能力,以及内容识别所提供的传输内容检测与防御能力,IT 部门将可完全掌握所有的网络使用行为及传输的内容。3.2.4.4 一体化应用访问控制策略能力 当前的网络环境,IP不等于用户,端口不等于应用。而传统防火墙的基于IP/端口的控制策略就会失效,用户可以轻易绕过这些策略,不受控制的访问互联网资源及数据中心内容。NGSA不仅具备了精确的用户和应用的识别能力,还可以针对每个数据包找出相对应的用户角色和应用的访问权限。通过将用户信息、应用识别有机结合,提供角色为应用和用户的可视化界面,真正实现了由传统的“以设备为中心”到“以用户为中心”的应用管控模式转变。帮助IT 部门实施针对何人、何时、何地、何
35、种应用动作、何种威胁等多维度的控制,制定出2-7层一体化基于用户应用的访问控制策略,而不是仅仅看到IP地址和端口信息。在这样的信息帮助下,IT 部门可以真正把握安全态势,实现有效防御,恢复了对网络资源的有效管控。 3.2.4.5 单数据流并行处理体系结构NGSA采用了单数据流并行处理的体系结构,使用单数据流处理软件系统与并行处理硬件架构的完美整合,可以满足 IT部门对超高处理性能与低网络传输延迟的需求,让安全防护设备从此不再成为网络传输的瓶颈。3.2.4.6 全方位可视化能力 任子行NGSA下一代防火墙在设计上秉承安全“可视化”的理念,打造了一整套多维度、全方位的实时在线网络安全监测系统,从“
36、应用可视化”、“流量可视化”、“威胁可视化”、“内容可视化”、“用户可视化”五个角度实现了对网络安全状况的综合展示,包括对历史数据的精确还原以及对各种数据的智能统计分析。通过对海量数据进行关联分析和数据挖掘,以形象的图表和数据展现了网络应用、安全威胁、流量分布、内容安全、人员网络使用情况等多方面的信息,帮助用户在使用过程中不断了解自己的网络安全状况,并在此基础上进行更好的策略和配置的优化,使管理者清晰的认知网络运行状态,从而实现对内部任一主机乃至全网络的网络应用情况及安全事件信息进行准确的定位与实时跟踪,实现更为有效的网络安全管理。3.2.4.7 丰富的管理报表呈现能力 报告查看器可以使用实时
37、筛选和一般表达式,统计在网络上的所有数据流量以及安全事件。报告查看器可以制作完全自己定制的报告,并能根据设定的时间表,自动发送相关报表给 IT 人员,提供网络上应用程序、使用者和安全威胁的详细信息。定制报告:建立定制报告,从任何记录数据库取出数据或修改一份预先定义的报告。导出报告:将任何预先定义或自定义的报告导出到XLS或 PDF。任何 PDF 报告可以依照设定的时间用电子邮件传送。记录查看器: 只要按一下表格单元的值和 (或) 使用表达式建立器定义筛选条件,就能通过动态过滤能力查看应用程序、威胁和使用者活动。导出记录: 将任何符合目前筛选的记录导出PDF或XLS,以供离线保存或其它分析。3.
38、2.4.8 电信级转发平台任子行NGSA下一代防火墙采用多核并行处理技术,实现在核内、核间任务的合理分工与调度。来自网络层的数据包进入多核并行控制器后,多核并行控制器将数据包均衡的分配到各个不同的CPU,以便完成后续多颗CPU的并行事务处理。同时任子行NGSA下一代防火墙通过单次解析引擎系统架构,也放弃了UTM多引擎,多次解析的架构,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配,大大提升了引擎处理效率及系统性能,实现了万兆级的应用安全防护能力,完全满足电信级网络环境要求。3.2.4.9 大层级冗余的可靠性保障任子行NGSA下一代防火墙支持双机状态热备功能,
39、支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份。由物理级冗余、系统级冗余、方案级冗余共同构成的多层级的冗余化架构体系,为用户提供电信级的高可靠性,确保用户的网络环境永续不断。3.2.5. 功能介绍功能功能说明效益应用识别技术支持超过20大类1000种以上各类(商务、网际/内部网络)常见应用每周定期发布5 10种新支持及20-50种版本更新的应用程序大幅降低IT人员面对各类新服务、应用进行了解、分析与自行定义等工作所耗费之大量时间,也提升了安全策略的精确度并减少日后维护负担(应用识别、行为分析数据库具备自动更新能力)整合用户数据库与常见用户数据库
40、进行整合(MS-AD , LDAP , RADIUS)管理者直接以人类思维在安全策略上针对特定用户账号/用户组进行配置管理,也提升了安全网关的可视能力入侵防御、恶意程序与病毒检测内置3000多种特征,提供各种协议的常见攻击,以及后门程序、间谍软件等特征,特征库增量更新,保证最新攻击特征的识别与阻断各项检查机制均可在单一安全策略上进行设定与控制管理搭配单数据流并行处理技术与高效多核心硬件架构大幅提升处理性能关键信息过滤针对HTTP、HTTPS、FTP、POP3、SMTP、IMAP等主流协议提供主动的数据内容关键字过滤降低资产外泄风险恶意网址过滤过滤恶意网址、钓鱼网站,阻断病毒、木马等恶意程序的来
41、源。降低客户端接触恶意网站所造成一系列的安全风险事件类别分析系统预设支持数据流、威胁事件、恶意网址过滤与关键信息过滤等事件类别降低事件分类时间成本,结合进一步查询功能有利于快速查清核心问题流量地图图形化统计接口显示数据流方向地理位置清楚呈现内部网络对外存取数据目的地国家,从而调整安全策略报表系统提供多种流量及安全管理报表节省额外购买报表系统及维护人力成本网页过滤全面覆盖国内外各类网站,协助用户有效过滤各种不良网站。净化内部上网环境。带宽、流量管理基于应用和用户的带宽、流量管理,提供更为精细的控制粒度真正做到网络带宽的精确控制和合理分配。基础防火墙支持基于源地址、目的地址、源端口、目的端口、协议
42、类型、用户ID、内容ID、应用程序ID的访问控制。防御DDOS、端口扫描、畸形报文等多种攻击手段传统防火墙功能WEB 防护支持服务器隐藏,HTTP响应报文头和HTTP出错页面过滤保护WEB服务器免受攻击VPN功能提供IPSEC VPN、SSL VPN、L2TP、PPTP等多种组网和接入支持。提供多种VPN,灵活部署工作模式同时支持透明、路由、地址转换等工作模式突破传统安全设备布署的限制,进而大幅提升设备整体效益及防御范围的广度与深度3.2.6. 系统性能参数3.3. 上网行为管理1.2.3.3.1.3.2.3.3.3.3.1. 产品介绍任天行网络安全管理系统是任子行网络技术股份有限公司为各行业
43、机构高效解决网络信息安全管理难题而研发的核心产品之一,提供了信息安全管理的全面解决方案。产品通过各种业界领先的技术手段实现上网行为管理和合规细粒度审计,在加强上网机构内外部网络信息控制监管的同时,为避免相关信息外泄及事后的追溯取证提供了有效的技术支撑。产品能够详实记录网络内的各种网络活动;灵活地对网络用户的行为进行多种方式的分组策略控制与审计,实现基于用户的细化和量化的审计与管理,过滤各类不良访问行为;对日志进行深度挖掘,形成丰富多样化的统计报表;安装便捷快速;界面美观易用;主动有效的保护了用户关注的信息,使管理者能更有针对性地加强网络管理,为其规范网络管理、制定正确的管理决策提供有效依据,使
44、用户能够安全、高效、合规地利用网络,最终带来生产力的提升。该产品是基于硬件的高性能、高稳定性的上网行为管理和内容安全审计设备,一般安装于各种局域网络边缘出口线路上,可以根据实际情况选择以旁路监听或者透明网桥的方式工作,可以根据实际环境的规模选择单机、分布式及其他多种部署方式。产品在设计上采用了先进的模块化、层次化体系结构,集成了高性能数据捕获驱动、快速的并行协议分析引擎、实时内容分析引擎、基于状态的并行内容匹配技术、海量数据全文检索和数据挖掘等业界领先的自主核心技术,运行稳定、可靠,性能卓越。该产品可广泛应用于政府、军工、教育、医疗、能源、制造、金融、运营商等各种行业单位,是目前国内上网行为管
45、理及内容安全审计产品的首选。产品经过国内权威专家检测,多项指标处于国际先进水平。产品先后获得了公安部公共网络安全监察局签发的计算机信息系统安全专用产品销售许可证、中国人民解放军信息安全测评认证中心签发的军用信息安全产品认证证书、国家保密局涉密信息系统安全保密测评中心签发的涉密信息系统产品检测证书、中国信息安全认证中心签发的中国国家信息安全产品认证证书(3C认证)等多个国内权威检测机构颁发的认证证书。3.3.2. 关键技术任天行是高性能的网络信息安全审计、控制与管理系统,在国内外处于领先水平。为了达到稳定、高效的网络审计管理,系统采用先进的层次化、模块化结构,在各个模块中分别采用了多种业界领先的
46、关键技术。系统模块框架如图所示:3.3 3.3.1 3.3.2 3.3.2.1 定制操作系统Linux操作系统是一个安全的,高效的操作系统。任天行中的操作系统经过内核裁减,只保留了少数相关的服务与功能,系统内核达到最小化,使操作系统的额外开销与不稳定因素减至最小化。另外,采用特有的文件系统,使系统能抵御突然掉电等物理灾害造成的对系统的损害。3.3.2.2 专用网络设备驱动网卡的性能对于网络安全审计系统非常重要,因为它直接关系到数据采集(捕包)的速度。任天行通过硬件,软件两种方法来提高网卡的性能:一、任天行采用基于INTEL架构的网卡,速度快且稳定。二、开发专用的驱动程序,减少数据在网卡驱动不同模块间的传递环节,使数据通过DMA的方式直接传递给应用程序空间,减少CPU的参与,与及数据拷贝的次数,提高处理速度。3.3.2.3 捕包引擎对于基于旁路监听的网络安全设备来说,系统捕包的效率对整个系统的性能至关重要。如果系统产生丢包现象,则相应的网络访问将不会被审计监测,网络管理就会不全面。当网络带宽向着千兆、万兆线速迈进时,完整地捕获并记录网络中流过的数据对系统是一个很大的考验。传统上,Linux,FreeB
