《安全评估方案建议书.docx》由会员分享,可在线阅读,更多相关《安全评估方案建议书.docx(50页珍藏版)》请在三一办公上搜索。
1、安全评估方案建议书二零零七年七月目 录1网络安全概述41.1安全威胁41.2网络安全的需求41.3网络安全与网络性能和功能的关系61.4网络安全的管理因素72网络安全需求分析83.总体规划83.1 安全体系结构83.2安全体系层次模型93.3安全体系设计103.3.1安全体系设计原则103.3.2网络安全风险分析113.3.3网络安全策略113.3.4安全管理原则123.3.5安全管理的实现123.3.6网络安全设计134.安全解决方案分析1441网络配置结构图1442安全配置145安全产品选型155.1网御神州SECGATE 3600-G7防火墙155.1.1概述155.1.2防火墙主要功能
2、列表155.1.3SecGate 3600-G7防火墙六大特色195.1.4SecGate 3600-G7防火墙主要功能介绍215.2网御神州SECIDS-3600入侵检测265.2.1概述265.2.2主要技术特色275.2.3产品功能特点285.2.4产品主要功能亮点295.2.5产品功能描述315.3网御神州SecSIS 3600隔离网闸345.3.1概述345.3.2产品特点345.3.3 主要功能345.3.4系统功能详述355.3.5产品技术优势385.4网御神州SecFox-SIM安全信息管理系统405.4.1 产品概述405.4.2产品特点405.4.3产品简介435.4.4产
3、品功能451网络安全概述自信息系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.5万亿美元。1.1安全威胁由于企业网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。所以,企业网络可能存在的安全威胁来自以下方面:(1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。(2) 防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。(3) 来自内部网用户的安全威胁。(4) 缺乏有效的手段监
4、视、评估网络系统的安全性。(5) 采用的TCP/IP协议族软件,本身缺乏安全性。(6) 未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。(7) 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。1.2网络安全的需求1、企业网络的基本安全需求满足基本的安全要求,是该网络成功运行的必要条件,在此基础上提供强有力的安全保障,是建设企业网络系统安全的重要原则。企业网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是企业网络的基本安全需求。对于各科各样
5、的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是本项目需要解决的问题。2、业务系统的安全需求与普通网络应用不同的是,业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施。企业网络应保障:l 访问控制,确保业务系统不被非法访问。l 数据安全,保证数据库软硬件系统的整体安全性和可靠性。l 入侵检测,对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据。l 来自网络内部其他系统的破坏,或误操作造成的安全隐患。3、Internet服务网络的安全需求Internet服务网络分为两个部分:提供网络用户对Inte
6、rnet的访问:提供Internet对网内服务的访问。网络内客户对Internet的访问,有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此,需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。网络安全需求是保护网络不受破坏,确保网络服务的可用性,作为信息网络之间的互联的边界安全应作为主要安全需求: 需要保证信息网络之间安全互联,能够实现网络安全隔离; 对于专有应用的安全服务; 必要的信息交互的可信任性; 能够提供对于主流网络应用(如WWW、Mail、Ftp、Oicq和NetMeeting等)良好支持,并能够实现安全应用; 同时信息网
7、络公共资源能够对开放用户提供安全访问; 能够防范包括: 利用Http应用,通过Java Applet、ActiveX以及Java Script形式; 利用Ftp应用,通过文件传输形式; 利用SMTP应用,通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于信息网络的侵害; 对网络安全事件的审计; 对于网络安全状态的量化评估; 对网络安全状态的实时监控;其次,对于信息网络内部同样存在安全需求,包括: 信息网络中的各单位网络之间建立连接控制手段; 能够满足信息网络内的授权用户对相关专用网络资源访问; 同时对于远程访问用户增强安全管理; 加强对于整个信息网络资源和人员的安全管理与培训。1.3网络安
8、全与网络性能和功能的关系通常,系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务(断开),外界是不可能构成安全威胁的。但是,企业接入国际互连网络,提供网上商店和电子商务等服务,等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。构建网络安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。但是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。选择适当的技术和产品,制订灵活的网络安全策略,在保证网络安全的情况下,提供灵活
9、的网络服务通道。采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影响并降低管理费用。全方位的安全体系:与其它安全体系(如保安系统)类似,企业应用系统的安全休系应包含:访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。认证:良好的认证体系可防止攻击者假冒合法
10、用户。备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。隐藏内部信息,使攻击者不能了解系统内的基本情况。设立安全监控中心,为信息系统提供安全体系管理、监控,渠护及紧急情况服务。1.4网络安全的管理因素网络安全可以采用多种技术来增强和执行。但是,很多安全威胁来源于管理上的松懈及对安全威胁的认识。安全威胁主要利用以下途径: 系统实现存在的漏洞。 系统安全体系的缺陷。 使用人员的安全意识薄弱。 管理制度的薄弱。良好的网络管理有助于增强系统的安全性: 及时发现系统安全的漏洞。 审查系统安全体系。 加强对使用人员
11、的安全知识教育。 建立完善的系统管理制度。如前所述,能否制定一个统一的安全策略,在全网范围内实现统一的安全管理,对于信息网来说就至关重要了。安全管理主要包括两个方面: 内部安全管理:主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。 网络安全管理:在网络层设置路由器、防火墙、安全检测系统后,必须保证路由器和防火墙的配置正确,其配置不允许被随便修改。网络层的安全管理可以通过防火墙、安全检测、网络病毒防治以及网管等一些网络层的管理工具
12、来实现。2网络安全需求分析1. 防止内网的主机遭受非法用户的非授权访问或恶意攻击。2. 加强对各种网络安全事件的检测与审计,其中包括:检测来自内部和外部的黑客入侵行为,监视网络流量及各种主机设备,监视数据库系统及应用系统的运行情况,并及时告警。3. 防止来自本地网络病毒对提供网络中重要服务器的攻击与破坏。4. 防止提供服务的Web服务器受到恶意攻击、非法篡改或者系统崩溃,加强对网站文件属性和文件内容的实时监控,可以自动、安全恢复网站文件系统。5. 在重要的网络和系统中充分考虑灾备和容错措施,防止因系统故障导致系统服务中断。6. 定期对办公网络平台进行安全分析和安全评估,及时发现并修正存在的漏洞
13、和弱点,及时调整和完善安全策略,保证政务内网的动态安全与持续安全。7. 建立完整的网络安全系统管理体系,实现对全网的设备的统一管理,安全策略的统一制定,安全事件的统一管理等等。8. 建立完善的安全管理机制,能够有效地确保安全策略的准确执行,减少人为因素造成的系统安全事故。9. 完善的咨询、评估、设计、实施、培训以及实时安全响应等信息安全专业服务。3.总体规划3.1 安全体系结构物理实体安全企业安全策略用户责任病毒防治保密教育信息安全信息服务操作系统计算机网络安全网络安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒
14、防治等,其安全体系结构如下图所示:3.2安全体系层次模型按照网络OSI的7层模型,网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。下图表示了对应网络系统网络的安全体系层次模型:会话层应用层应用系统应用平台网络层链路层物理层会话安全应用层应用系统安全应用平台安全安全路由/访问机制链路安全物理层信息安全物理层物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)链路层链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。网络层网络层的安全需要保证网络只给授权的客
15、户使用授权的服务,保证网络路由正确,避免被拦截或监听。操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。应用平台应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。应用系统应用系统完成网络系统的最终目的为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。3.3安全体系设计3.3.1安全体系设计原则在进行计算机网络安全设计、规划时,应
16、遵循以下原则:1). 需求、风险、代价平衡分析的原则 :对任何一个网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡,价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2). 综合性、整体性原则 :运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分
17、析,才可能获得有效、可行的措施。 3). 一致性原则 :这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。4). 安全、可靠性原则:充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性;保证产品质量,对项目实施过程实现严格的技术管理和设备的冗余配置,保证系统运行的可靠性。5)先进、标准、兼容性原则:先进的技术体系,标准化的技术实现.6). 易操作性原则 :安全措施要由人来完成,如果措施过于
18、复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。 7). 适应性、灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。8). 多重保护原则 任何安全保护措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。3.3.2网络安全风险分析网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此,它的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中,相对于过去的
19、局域网、主机环境、单机环境,安全问题变得越来越复杂和突出,所以网安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。安全保障不能完全基于思想教育或信任。而应基于“最低权限”和“相互监督”的法则,减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任他人或被他人信任的问题,建立起完整的安全控制体系和保证体系。3.3.3网络安全策略安全策略分安全管理策略和安全技术实施策略两个方面:1). 管理策略安全系统需要人来执行,即使是最好的、最值得信赖的系统安全措施,也不能完全由计算机系统来完全承担安全保证任务,因此必须建立完备的安全组织和管理制度。2). 技术策略技术策略要
20、针对网络、操作系统、数据库、信息共享授权提出具体的措施。3.3.4安全管理原则计算机信息系统的安全管理主要基于三个原则。(1)多人负责原则每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。(2)任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的。(3)职责分离原则除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。3.3.5安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:l
21、确定该系统的安全等级。l 根据确定的安全等级,确定安全管理的范围。l 制订相应的机房出入管理制度。对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。l 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。l 制订完备的系统维护制度。维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录。l 制订应急措施。要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。l 建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。安全系统需要由人来计划和管理,任何系统安全设施也不能
22、完全由计算机系统独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次,对各级用户的培训也十分重要,只有当用户对网络安全性有了深入了解后,才能降低网络信息系统的安全风险。总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。3.3.6网络安全设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同。物理层安全涉及传输介质的安全特性,抗干扰、
23、防窃听将是物理层安全措施制定的重点。在链路层,通过“桥”这一互连设备的监视和控制作用,使我们可以建立一定程度的虚拟局域网,对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。在网络层,可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信,通过对主机路由表的控制来控制与之直接通信的节点。同时,利用网关的安全控制能力,可以限制节点的通信、应用服务,并加强外部用户识别和验证能力。对网络进行级别划分与控制,网络级别的划分大致包括外网与内网等,其中Internet/外网的接口要采用专用防火墙,各网络级别的接口利用防火墙、物理隔离设备、路由器的可控路由表、安全邮件服务
24、器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制,也可以大大提高安全保密性。物理实体的安全管理现已有大量标准和规范,如GB9361-88计算机场地安全要求、GFB2887-88计算机场地技术条件等。4.安全解决方案分析41网络配置结构图总体结构示意图42安全配置l 在网关位置配置网御神州SecGate3600-G7防火墙,以实现内网和外网安全逻辑隔离,通过在防火墙策略设置可以源地址、目的地址和服务做出限制,来保障通信安全。防火墙内置强大入侵防护模块,即使网络遭到黑客攻击,也能保证网络安全,这样用户不仅是买一台防火墙而且还是一台IPS。网御神州SecGate3600防
25、火墙采用先进拥塞控制算法,流量调度算法及优先级排队机制保证重要服务或重要用户的带宽,并且对BT或电驴下载能有效的控制;支持多出口链路聚合,可以做到最多六条线路的负载均衡;l 在中心交换机上配置基于网络的IDS系统网御神州SecIDS-3600,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等;l 在Web logic服务器与数据库服务器之间配置网御神州SecSIS-3600网闸,能够有效实现内外网络的安全隔离,数据只能以专有数据块方式静态地在内外
26、网络间进行“摆渡”,从而切断了内外网络之间的所有直接连接,保证内外网数据能够安全、可靠地交换;l 在安全管理主机上安装网御神州SecFox-SIM安全事件管理,使之能够实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到管理中心,实现海量信息的集中存储和可靠保存,消除了安全防御的孤岛。5安全产品选型5.1网御神州SECGATE 3600-G7防火墙5.1.1概述SecGate 3600-G7防火墙是基于状态检测包过滤和应用级代理的复合型硬件防火墙,是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备,支持外部攻击防范、内网安全、
27、网络访问权限控制、网络流量监控和带宽管理、网页内容过滤、邮件内容过滤等功能,能够有效地保证网络的安全;产品提供灵活的网络路由/桥接能力,支持策略路由,多出口链路聚合;提供多种智能分析和管理手段,支持邮件告警,支持日志审计,提供全面的网络管理监控,协助网络管理员完成网络的安全管理。SecGate 3600-G7防火墙已获得公安部等部门颁发的信息安全产品销售许可证。5.1.2防火墙主要功能列表功能分类功能概要状态检测针对TCP/IP协议的TCP/UDP/ICMP数据包,实现完整的状态包过滤,完全达到GB/T-18019包过滤防火墙技术要求的要求。智能过滤针对动态协议(包括但不限于H.323、FTP
28、、 TFTP 、Oracle TNS、SIP等通信协议),提供基于协议分析的智能化动态包过滤功能,实时开闭应用程序动态协商的TCP/UDP端口,最大程度地提升防火墙的安全性。地址转换支持动态地址转换,包括多对一的地址转换,多对多的地址转换。支持静态地址转换,包括对内部服务器提供一对一的地址转换。支持双向地址转换,满足对等网络间双方隐藏内部IP地址的要求。支持基于下一跳路由的地址转换,满足多出口网络地址转换负载均衡的要求。端口映射支持将内部提供不同服务的多个服务器地址映射成外部相同地址下的不同端口,在端口映射状态下,可同时提供多种安全的网络服务。支持对内部镜像服务器访问的负载均衡IPSec VP
29、N支持VPN通讯参数的设置。支持不同认证算法(MD5/SHA1/)、不同加密算法(3DES/AES/)、不同封装模式(ESP/AH)的选择。支持IKE认证方式的选择(预共享密钥/PKI证书模式)。支持固定网关之间的VPN通讯,支持动态网关与固定网关之间的VPN通讯,支持动态网关与动态网关间的VPN通讯,支持客户端与网关间的VPN通讯,支持PPTP和L2TP网关之间的VPN通讯,支持存在于NAT设备后的网关和客户端之间的VPN通讯。支持星型结构和网状结构下的VPN隧道建立。完整兼容IPSec协议,能够与CISCO、NETSCREEN、WIN2000的VPN互通。应用代理提供基于TCP的HTTP代
30、理、SMTP代理、FTP代理、TELNET代理、POP3代理以及基于策略的通用代理。支持在透明代理下基于HTTP、FTP、SMTP、POP3协议的内容过滤。内容过滤针对HTTP,对网页中java、javascrip、activeX进行过滤。针对SMTP、POP3,基于发信人地址、收信人地址、收信人数、文件大小、邮件主题、正文内容、发件人姓名、收件人姓名、附件文件名、附件内容等进行关键字匹配过滤。在状态包过滤方式下,支持URL过滤和特殊代码剥离,并支持黑/白名单过滤策略。连接监控提供内网实时监控统计功能,以内网IP为对象,实时地监视统计内网连主机连接数量和流量。提供外网实时监控统计功能,实时地监
31、视统计内网访问外网的地址的连接数量和流量。提供DMZ实时监控统计功能,实时地监视统计DMZ区内主机被访问的连接数量和流量。提供内外网监控统计功能,实时监控内网访问指定外网主机的连接数量和流量。连接管理提供保护主机、保护服务、限制主机、限制服务。保护服务器或服务器上提供的某项服务,限制对服务器过于频繁的访问。在规定的时间内,如果某台主机访问服务器超过了所限制的次数,则会对该主机实行阻断,在阻断时间段内,拒绝其对服务器的所有访问。也可以应用此功能对使用BT/电驴等连接数目过大严重影响网络流量的用户加以限制。用户认证支持网络协议层用户认证,可以为包过滤、双向NAT、代理等访问控制提供用户认证功能。提
32、供基于电子钥匙的用户身份认证。支持用户和组管理,支持用户策略控制(源IP绑定、可访问目的IP和服务),支持对用户帐号的流量控制和时间控制。提供与标准radius服务器(PAP)联动的用户认证。提供本地认证库实现基于角色的用户策略,并与安全规则策略配合完成强访问控制。支持客户端修改密码。支持服务器端检查用户在线状态。支持PAP 和S/Key认证协议。提供在线用户监控功能。时间控制支持安全规则时间调度。支持用户策略时间调度。支持一次性与周期性时间调度规则。带宽管理支持基于IP地址、应用协议的带宽管理。支持基于用户的带宽管理(通过身份认证的用户,可以指定带宽)。支持最小保证带宽和最大限制带宽设置。支
33、持带宽优先级的设定。对象管理支持以简化防火墙安全规则定义为目的的面向对象的资源定义和组管理。可以定义地址资源(地址、地址组、服务器地址、NAT地址池)。可以定义服务资源(服务、服务组)。可以定义代理资源(预定义的HTTP、FTP、TELNET、SMTP、POP3、SOCKS代理、自定义代理)。可以定义时间资源(时间、时间组,一次性调度和周期性调度)。可以定义带宽资源。可以定义URL资源(URL黑名单、URL白名单)。地址绑定提供IP/MAC地址绑定检查功能,可有效解决网络管理中IP地址盗用问题。可以设置绑定的默认策略,提供IP/MAC对的唯一性检查。提供地址对与网口的绑定功能,可以及时定位盗用
34、合法IP/MAC地址对的非法用户。提供IP/MAC自动探测功能。抗DoS攻击支持对拒绝服务攻击的防范,可以防范syn_flood 、ping flood、 udp flood 、teardrop 、 sweep、 land、 ping of death、 smurf、碎片攻击、WINNUKE、圣诞树攻击等。配合防火墙上的IDS功能,可以抵抗更多种类的攻击。入侵联动支持与网御神州、启明星晨、中科网威、北方计算中心等主流入侵检测系统的联动。双机热备提供专门的联动协议和API接口程序,可以帮助其它入侵检测厂商快速实现与网御神州防火墙的联动。支持双机热备工作模式,当主防火墙遭遇宕机、网络故障、硬件故障
35、等故障时,从防火墙可以自动检测到并在小于1秒的时间范围内快速切换到主工作状态,接管主防火墙的工作。多机集群支持2及两台以上防火墙组成多机集群工作模式,在实现高可靠性的前提下,提供真正意义的负载均衡功能。负载均衡支持多机集群模式下防火墙处理能力方面的负载均衡。状态同步支持DMZ区服务器组基于应用的负载均衡。基于端口吞吐能力方面的链路聚合负载均衡。在多机集群状态下,支持多台防火墙共享虚拟的IP地址,在双机热备状态下,支持主机的连接状态信息与备机保持同步更新,从而可保障冗余系统切换时连接不中断,彻底消除单点故障。策略路由提供目的路由和源地址路由功能以及目的路由负载均衡。安全管理提供远程安全管理和本地
36、管理功能。配置备份提供全中文web界面和专业化的命令行界面管理方式。提供专用带外管理口。通过管理员身份认证(电子钥匙认证或证书认证)、管理员级授权(包括超级管理员、配置管理员、策略管理员、审计管理员)、管理主机限制、防火墙管理IP限制、防火墙管理方式定义(web管理/命令行管理/SSH方式/PPP+SSH连接)、配置信息加密(支持SSL协议和SSH协议),提供方便且安全的配置管理。支持配置的本地下载和上载。模块升级提供恢复防火墙出厂配置功能。提供灵活的软件升级方式,适应安全需求的快速响应。时钟调整提供防火墙系统时钟与管理主机时间同步的时钟调整功能。网络调试工具提供防火墙系统时钟与网络时钟服务器
37、同步(NTP协议)的时钟调整功能。ping 系统监控TracerouteRoute提供网口激活信息统计与连接信息监控。日志审计提供当前CPU和内存利用率监控。提供HA高可用状态监控。提供用户在线状况监控,显示用户名、登录IP、登录时间、在线时间、流入流量和流出流量,可根据安全策略实时中断某用户的连接。提供连接数量和流量监控。在防火墙本地能够灵活地设置监测的时间间隔和显示方式。日志审计功能提供对防火墙系统事件和网络事件的统计、查询、分析。集中管理所有的防火墙事件都有相关日志记录,包括包过滤日志、系统日志、内容过滤日志、VPN日志、HA日志、攻击日志等,每种日志都有固定的格式,结构严谨,条理清楚,
38、可读性强。提供以下三种日志管理方式: 支持本机管理,日志信息采取先进先出的滚动刷新方式,且断电即丢失,只适应流量小、对日志审计要求低的环境,提供有限的查询功能(按日志类型、日志级别和关键词进行查找); 支持SecGateManager安全管理,是SecGate防火墙的专业管理工具,支持日志的海量存储,支持安全事件的归并和关联分析,支持图形化的直观审计分析; 支持其它安全管理系统管理,如:Webtrends、用户自主开发的安全管理中心等,防火墙通过SNMP模块与安全管理中心通信,为安全管理人员提供全面、易用、高效、实时的全局日志与安全事件审计分析,此方式需要额外投资。支持SNMPv2,v3,可以
39、与SecGateManager安全管理系统无缝联动(集中管理、设备监控和事件审计)。网络适应性通过SecGateManager安全管理系统能够对防火墙状态信息进行实时监控与统计分析。具有多个自适应网络接口,网口数目可扩展,在保证网络高度安全和数据完整的前提下,同时具有线速或接近线速的网络处理性能。VLAN支持支持每个网络接口设定多个IP地址,支持网络接口模式的设定。支持ADSL拨号连接,自动以ADSL获得的地址为公网地址,用此地址对内部IP做地址转换。适应多种网络拓扑结构和VLAN环境(支持802.1q协议、Trunk协议和VLAN间访问控制等)。支持多种工作模式(包括透明模式、纯路由模式、混
40、合模式)。满足复杂网络环境的要求(防火墙冗余、防火墙旁路、防火墙跨接)。支持IEEE 802.1Q 协议。多协议支持支持vlan trunk协议,并可以对trunk口中的VLANID进行过滤。支持VTP链路聚合协议。支持STP协议和BPDU协议。在路由模式和桥模块下均支持VLAN间路由。管理口和HA口不支持VLAN协议。对TCP/UDP/ICMP协议的数据帧,根据安全规则建立状态检测,完成动态包过滤。对非IP协议的数据帧,根据非IP协议过滤策略(允许或禁止,在网口时配置指定)进行处理。只能做透传处理的非IP协议包括:DHCP、ADSL、IPX、RIP、ISL、DECnet、NETBEUI、IP
41、SEC、PPTP、AppleTalk、BOOTP、VOD、RIP、OSPF、BGP4、IPX等。5.1.3SecGate 3600-G7防火墙六大特色 5.1.3.1独立的SecOS安全协议栈完全自主知识产权的SecOS实现防火墙的控制层和数据转发层分离,全模块化设计,实现独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念,使该SecOS具有更高的安全性、开放性、扩展性和可移植性。硬件抽象层SecOS安全协议栈控制接口配置管理应用软件图 3.1 SecGate 3600防火墙
42、体系架构图5.1.3.2独创的智能高效搜索算法采用独创的分段直接寻址搜索算法MSDAL(Multi-Stage Direct Addressing Lookup Algorithm),解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题,确保您在大量安全策略数目情况下仍能获取最高的网络性能!5.1.3.3深度的网络行为关联分析采用数据包内容的深度网络行为关联分析技术,让您不再为各种专有动态协议如H.323、FTP、SQL.Net等的控制“愁眉不展”!并且增强了您的网络对于各种DDoS攻击的防范能力!5.1.3.4全面的连接状态监控和实时阻断全面的连接状态监控,让您及时掌握网络运行状态,配合
43、丰富的连接限制,方便您对BT/电驴等P2P应用的控制,以及对感染网络蠕虫病毒的主机进行快速定位和实时阻断!5.1.3.5强大的网络拓扑自适应性适应于各种复杂网络拓扑,包括透明桥接、路由以及桥和路由完全自适应识别模式。支持VLAN和VLAN TRUNK处理;支持多网络出口的链路聚合和策略路由;支持生成树和每VLAN生成树协议(STP/PVST+)和虚拟路由冗余协议(VRRP),提供全面可靠的二层链路备份和三层路由备份。5.1.3.6智能便捷的配置向导和管理方式为安全管理员提供智能便捷的配置向导,让您轻松完成复杂的安全配置!并提供丰富的管理方式,包括本地Console,拨号PPP接入,基于Web(
44、HTTPS)浏览器,远程SSH登录,以及强大的SecFox集中安全管理方式。5.1.4SecGate 3600-G7防火墙主要功能介绍5.1.4.1自适应的网络接入模式SecGate 3600-G7防火墙支持透明桥接、路由、混合(同时存在透明、路由的自适应接入)接入模式。当工作在透明模式时,SecGate 3600-G7防火墙类似于一个网桥,不需要用户对网络的拓扑做出任何调整;当工作在路由模式时,SecGate 3600-G7防火墙类似于一个路由器,可以提供策略路由功能;SecGate 3600-G7防火墙还可以工作在自适应的混合模式下,即防火墙的不同端口有的在同一网段上(透明),有的在不同网
45、段上(路由),这样更方便用户在各种网络环境的接入。 5.1.4.2完善的状态包过滤SecGate 3600-G7防火墙根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等对数据包进行访问控制,而且能够记录通过防火墙的连接状态,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤。支持复杂动态协议的状态包过滤,通过对协议内容的实时分析,动态开放所需的端口,传输结束后实时关闭端口,确保内网安全。5.1.4.3强大的抗攻击能力完全自主开发的SecOS安全协议栈,支持对常见攻
46、击的检测和阻断,并可以实现针对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值分析,如针对ICMP Flood完成过滤类型与代码、频度、包长检查,针对UDP Flood完成频度、包长检查,针对Syn floood完成频度检查。针对最常见的SynFlood攻击,设置了SYN proxy以保护内部网络和防火墙本身免受此类的拒绝服务攻击,提供高安全性和高可用性。支持对以下攻击的检测:l TCP端口扫描 l UDP端口扫描l Syn flood攻击l ICMP flood攻击 l UDP flood攻击 l Ping of death攻击 l Ping sweep攻击l IP spoofing l Land 攻击l Tear drop 攻击l Filter IP source route optionl WinNuke攻击 l Syn fragments攻击 l Syn and Fin bit set攻击 l No flags in TCP攻击 l FIN with no ACK攻击 l ICMP fragment攻击
