《网络安全建设项目实施计划方案.doc》由会员分享,可在线阅读,更多相关《网络安全建设项目实施计划方案.doc(87页珍藏版)》请在三一办公上搜索。
1、网络安全建设实施方案目录1概述32网络系统安全建设32.1安全现状分析32.2安全风险分析42.2.1物理安全42.2.2网络安全与系统安全42.2.3应用安全52.2.4安全管理52.3安全需求分析62.3.1物理安全需求分析62.3.2网络安全与系统安全72.3.3应用安全72.3.4安全管理82.4安全实施方案82.4.1物理安全防护82.4.2备份与恢复92.4.3访问控制92.4.4系统安全92.4.5网段划分与虚拟局域网112.4.6办公网整体安全建议112.4.7防火墙实施方案132.4.8入侵检测系统实施方案202.4.9漏洞扫描系统实施方案292.4.10身份认证系统实施方案
2、332.4.11安全审计系统实施方案392.4.12防病毒系统实施方案433异地网接入安全建设553.1接入方式选择563.2安全性分析573.3两种方式优势特点573.4VPN原理介绍583.5VPN的选型633.6财务系统安全防护664机房设备集中监控管理664.1.1设备及应用系统管理现状664.1.2建立机房集中控制管理系统需求664.1.3集中控制管理系统方案实现674.1.4功能特点684.2监控显示系统684.2.1投影显示系统684.2.2等离子显示系统685网络管理中心695.1.1建立网络管理中心需求695.1.2网络管理功能实现696桌面管理及补丁分发中心726.1.1建
3、立桌面管理中心需求726.1.2桌面管理功能实现747网络设备升级811 概述某股份办公大楼网络信息系统目前刚刚投入使用,主要包括新建大厦、旧办公区办公网络以及部分省市办事处专网,该套网络与Internet互联,将要实现整个业务系统的办公自动化,包括业务系统使用、数据存储备份、文件共享、对外宣传等,同时还要为员工相关业务应用及学习提供便利的上网条件;所以该网络既是办公系统的承载体,也是威胁风险的承受体,在公司规模日渐壮大的今天,网络规模也相应的在不断的扩大,相关的配套网络及安全设备虽然具有较新的技术和功能,但还不足以抵御纷繁复杂的互联网的威胁,整个网络的安全也需要做相应的增强防护,另外从设备及
4、应用的管理角度来看,可以采取一些智能和高效的管理手段及措施,在保障业务正常运行了同时,保证系统的安全可靠,减少和简化安全管理,提高系统工作效率。本方案将着重从安全系统的整体建设及相应的一些网络管理手段上具体分析,并提出可行性的实施方案,把目前在使用过程中遇到的一些问题解决并防患于未然,同时为用户提供一整套安全及网络管理措施,把公司网络建设成为一个符合业务需求、安全可靠、容易管理操作的高质量的办公网络。2 网络系统安全建设2.1 安全现状分析某股份依托于某整体规划建设和发展,将承载着越来越多的港口业务等工作,特别是随着信息化办公的进一步深入,自动化办公的便利和效率可以说是公司发展壮大的必要手段;
5、但是某股份办公大楼是整个公司信息的核心地带,不但为本地员工及另外一个园区的业务人员提供各种办公应用服务,而且在各地已经或是将要成立办事处,实现远程办公,并且各个位置和部门的业务需求又不尽相同,在这种网络结构较为庞大,多层次、多应用的网络中,安全是一项很重要的任务和保证措施。目前,该网络已经建设完成,安全手段主要在网络边界处采取了防火墙,在整个网络中部署了网络版杀毒软件和网管软件,其他安全措施主要是依靠个人的安全意识和行为;现阶段,全网已经爆发了多次病毒感染等问题,一定程度上影响了办公的效率,所以有必要进一步从技术角度完善安全系统。2.2 安全风险分析2.2.1 物理安全物理安全层面存在下述威胁
6、和风险形式: 机房毁坏:由于战争、自然灾害、意外事故造成机房毁坏,大部分设备损坏。 线路中断:因线路中断,造成系统不能正常工作。 电力中断:因电力检修、线路或设备故障造成电力中断。 设备非正常毁坏:因盗窃、人为故意破坏造成设备毁坏。 设备正常损坏:设备软 、硬件故障,造成设备不能正常工作。 存贮媒体损坏:因温度 、湿度或其他原因,各种数据存储媒体不能正常使用。2.2.2 网络安全与系统安全 互联网安全隐患:互联网会带来的越权访问、恶意攻击、病毒入侵等安全隐患; 搭线窃取的隐患:黑客或犯罪团体通过搭线和架设协议分析设备非法窃取系统信息; 病毒侵袭的隐患:病毒在系统感染、传播和发作; 操作系统安全
7、隐患:操作系统可能的后门程序、安全漏洞、安全设置不当、安全级别低等,缺乏文件系统的保护和对操作的控制,让各种攻击有可乘之机; 数据库系统安全隐患:不能实时监控数据库系统的运行情况,数据库数据丢失、被非法访问或窃取; 应用系统安全隐患:应用系统存在后门、因考虑不周出现安全漏洞等,可能出现非法访问; 恶意攻击和非法访问:拒绝服务攻击,网页篡改,下载不怀好意的恶意小程序,对系统进行恶意攻击,对系统进行非法访问等。2.2.3 应用安全 身份假冒:缺少强制认证和加密措施的涉密信息系统,关键业务系统被假冒身份者闯入; 非授权访问:缺少强制认证和加密措施的涉密信息系统,关键业务系统被越权访问; 数据失、泄密
8、:涉密数据在处理、传输、存储过程中,被窃取或非授权访问; 数据被修改:数据在处理、传输、存储过程中被非正常修改和删除; 否认操作:数据操作者为逃避责任而否认其操作行为。2.2.4 安全管理 安全管理组织不健全:没有相应的安全管理组织,缺少安全管理人员编制,没有建立应急响应支援体系等。 缺乏安全管理手段:不能实时监控机房工作、网络连接和系统运行状态,不能及时发现已经发生的网络安全事件,不能追踪安全事件等。 人员安全意识淡薄:无意泄漏系统口令等系统操作信息,随意放置操作员IC卡,私自接入外网,私自拷贝窃取信息,私自安装程序,不按操作规程操作和越权操作,擅离岗位,没有交接手续等,均会造成安全隐患。
9、管理制度不完善:缺乏相应的管理制度,人员分工和职责不明,没有监督、约束和奖惩机制,存在潜在的管理风险。 缺少标准规:系统缺乏总体论证,没有或缺少相关的标准规,各子系统各自为政,系统的互联性差,扩展性不强。 缺乏安全服务:人员缺少安全培训,系统从不进行安全评估和安全加固,系统故障不能及时恢复等。2.3 安全需求分析基于上述的安全风险分析,某股份信息系统必须采取相应的应对措施与手段,形成有效的安全防护能力、隐患发现能力和应急反应能力,为整个信息系统建立可靠的安全运行环境和安全业务系统,切实保障全公司信息系统正常、有序、可靠地运行。 2.3.1 物理安全需求分析 异地容灾:异地容灾主要是预防场地问题
10、带来的数据不可用等突发情况。这些场地问题包括:电力中断供电部门因各种原因长时间的中断;电信中断各种原因造成的通信线路破坏;战争、地震、火灾、水灾等造成机房毁坏或不可用等。这些灾难性事件会直接造成业务的中断,甚至造成数据丢失等,会造成相当程度的社会影响和经济影响。通过容灾系统将这种“场地”故障造成的数据不可用性减到最小。要求灾难发生时,异地容灾系统保证:数据在远程场地存有一致、可用的拷贝,保证数据的安全;应用立即在远程现场运行,保证业务的连续性 。 机房监控:机房监控主要是预防盗窃、人为破坏、私自闯入等情况。监控手段有门禁系统、监视系统、红外系统等。 设备备份:设备备份用于预防关键设备意外损坏。
11、网络中关键网络设备、服务器应有冗余设计。 线路备份:线路备份主要是预防通信线路意外中断。 电源备份:电源备份用于预防电源故障引起的短时电力中断。2.3.2 网络安全与系统安全 深层防御:深层防御就是采用层次化保护策略,预防能攻破一层或一类保护的攻击行为,使之无法破坏整个办公网络。要求合理划分安全域,对每个安全域的边界和局部计算环境,以及域之间的远程访问,根据需要采用适当的有效保护。 边界防护:边界防护用于预防来自本安全域以外的各种恶意攻击和远程访问控制。边界防护机制有防火墙、入侵检测、隔离网闸等,实现网络的安全隔离。 网络防病毒:网络防病毒用于预防病毒在网络传播、感染和发作。 备份恢复:备份恢
12、复用于意外情况下的数据备份和系统恢复。 漏洞扫描:漏洞扫描用于及时发现操作系统、数据库系统、应用系统以及网络协议安全漏洞,防止安全漏洞引起的安全隐患。 主机保护:对关键的主机,例如数据库服务器安装主机保护软件,对操作系统进行安全加固。 安全审计:用于事件追踪。要求网络、安全设备和操作系统、数据库系统有审计功能,同时安装第三方的安全监控和审计系统。2.3.3 应用安全 身份认证:身份认证用于保证身份的真实性。公司网络中身份认证包括用户身份认证、管理人员身份认证、操作员身份认证服务器身份认证。鉴于办公网与互联网相连,用户数量较大的,基于数字证书(CA)的认证体制将是理想的选择。 权限管理:权限管理
13、指对公司办公网络中的网络设备、业务应用、主机系统的所有操作和访问权限进行管理,防止非授权访问和操作。 数据完整性:数据完整性指对办公网络中存储、传输的数据进行数据完整性保护。 抗抵赖:抗抵赖就是通过采用数字签名方法保证当事人行为的不可否认性,建立有效的责任机制,为某公司网络创造可信的应用环境。 安全审计:各应用系统对各种访问和操作要有完善的日志记录,并提供相应的审计工具。2.3.4 安全管理 组织建设:安全管理组织建设包括:组织机构、人才队伍、应急响应支援体系等的建设。 制度建设:安全管理制度建设包括:人员管理制度、机房管理制度、卡机具生产管理制度、设备管理制度、文档管理制度等的建设。 标准建
14、设:安全标准规建设包括:数据交换安全协议、认证协议、密码服务接口等标准规的建立。 安全服务:安全服务包括安全培训、日常维护、安全评估、安全加固、紧急响应等。 技术建设:安全管理技术建设主要指充分利用已有的安全管理技术,利用和开发相关的安全管理工具,提高安全管理的自动化、智能化水平 。2.4 安全实施方案2.4.1 物理安全防护物理安全是整个系统安全的基础,要把公司部局域网系统的安全风险减至最低限度,需要选择适当的技术和产品,保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。机房建设必须严格按照国家标准GB50173-93
15、电子计算机机房设计规、国标GB2887-89计算站场地技术条件、GB9361-88计算站场地安全要求进行建设。通过防盗措施,如装备报警装置防止设备被盗;通过对重要设备电源采用UPS供电防止电源意外断电中断服务;通过对重要设备或线路冗余备份保持服务的可持续性。2.4.2 备份与恢复对于网络应用实时性要求很高的系统,数据备份措施往往采用服务器的双机备份。即两台服务器同时安装备份系统,同时在线,互为备份。正常情况下,由主服务器提供服务,备份服务器处于带电但不提供服务状态,一旦主服务器出现故障,备份服务器自动接管主服务器来提供服务。保证应用服务器能够提供不间断的服务。某股份公司应用服务可靠要求较高,而
16、且业务数据存储容量会随着业务的扩展而增大,并非常重要。为了防止业务数据的丢失和损坏而影响业务办理,或者在数据出现意外事故时无法恢复,必须对数据库进行备份。根据实际情况可采用SAN结构存储系统,采用磁带库进行备份并实现灾难恢复。2.4.3 访问控制访问控制是网络安全防和保护最有效手段之一,据统计分析,完善的访问控制策略可把网络安全风险降低90%。网络的访问控制技术可以针对网络协议、目标对象以及通讯端口等进行过滤和检验,符合条件才通过,不符合条件的则被丢弃。系统访问控制可以针对具体的一个文件或目录授权给指定的人员相应的权限,受派者在试图访问相应信息时,需要验证身份、判别权限后才能进行访问。访问控制
17、的主要任务是保证网络资源不被非法使用和非法访问。访问控制技术是保证网络安全最重要的核心策略之一。访问控制策略可以采用三层交换设备VLAN技术、ACL技术、绑定技术等,使得不同部门、不同组别、不同用户之间的网络访问达到有效的控制;也可以通过在不同网络安全域之间加装防火墙等安全设备,利用防火墙的控制策略达到网络访问控制的目的。2.4.4 系统安全系统安全包括数据库安全和操作系统安全,下面分别阐述。n 数据库安全数据库存放了整个网络中的重要数据,为此需要建立一套有效的安全机制。加强数据库系统登陆权限管理,加强管理员登陆口令的管理以及数据库远程访问权限的管理,对数据库采用备份与恢复机制。同时对重要的涉
18、密系统应选用经国家主管部门批准使用的安全数据库,或者对数据库进行安全增强改造、加固。数据库具体安全要求:1、用户角色的管理这是保护数据库系统安全的重要手段之一。把网络中使用数据库的用户设置为不同的用户组并对用户组的安全属性进行验证,有效地防止非法的用户进入数据库系统;在数据库中,可以通过授权对用户的操作进行限制,即允许一些用户对数据库服务器进行访问,具有读写整个数据库的权利,而大多数用户只能在同组进行读写或对整个数据库只具有读的权利。在此,特别强调对系统管理员和安全管理员两个特殊账户的管理。2、数据保护数据库的数据保护主要是数据库的备份,当计算机的软硬件发生故障时,利用备份进行数据库恢复,以恢
19、复破坏的数据库文件、控制文件或其他文件。另一种数据保护是日志,数据库实例都提供日志,用以记录数据库中所进行的各种操作,包括修改、调整参数等,并在数据库部建立一个所有作业的完整记录。再一个就是控制文件的备份,一般用于存储数据库物理结构的状态,控制文件中的某些状态信息在实例恢复和介质恢复期间用于引导数据库,在实际操作时,需要为网络的数据库分别指定相应的备份策略。n 操作系统安全目前用户办公计算机采用操作系统还主要基于Windows平台。其自身安全需要得到关注,即在日常工作中必须注意对操作系统进行必要的防护。如:1、定期维护:及时安装漏洞补丁,定期进行完整性检查、配置检查、病毒检查和漏洞扫描。2、使
20、用权限控制:用户权限、口令安全。3、远程访问安全:进行基本的安全配置。2.4.5 网段划分与虚拟局域网网段划分主要是对IP地址进行合理的规划和分配。为确保办公网中各子网以及用户之间的互联互通和便于部署网络安全基础设施,保证网络正常、安全运行,需要合理规划、分配外网各部门的IP地址。网段划分的方法可以采用各个部门或机构划分网段,重要的服务器设备划分单独的网段,以便监控网络关键设备的安全。虚拟局域网可有效地解决广播风暴、广播攻击、充分利用网络带宽资源。结合访问控制列表功能,可以极增强办公网的安全性,防止网络用户对系统相关信息的非授权访问。办公网可按各个职能来划分VLAN,如将领导所在的网络单独作为
21、一个Leader VLAN (LVLAN ),技术人员划分为一个VLAN,工作人员划分为一个VLAN,而其它机构分别划作一个VLAN。其共享服务器(如EMAIL服务器、DNS服务器、WEB服务器等)单独划作一个VLAN (MVLAN)。其他服务器如数据库服务器划为Data VLAN。2.4.6 办公网整体安全建议根据以上的安全风险分析、需求分析和某公司的具体情况,建议从以下方面考虑进行安全方面的部署:l 终端防护A. 在系统所有客户端部署统一管理的企业级防病毒系统。通过防病毒系统的统一部署,可以防止病毒的感染和传播。这可以解决常见的计算机瘫痪、网络阻塞等安全问题。B. 在系统所有客户端部署统一
22、管理的终端安全防护系统。通过终端安全防护系统的统一部署,可以某公司安全管理制度提供有利的技术保障措施,保障终端的系统安全和终端的安全管理。C. 在中心部署身份认证登陆系统,终端必须通过身份认证才能进入,避免非法进入。l 边界的防护A. 通过防火墙系统的部署,可以根据不同的安全要求,设置不同的安全区域,来限制不同信任度区域之间的相互访问,保护各关键应用服务器系统免受网络上的非法访问和恶意攻击,可以在服务器区的前端增加一台防火墙设备。B. 通过入侵检测系统的部署,帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。l 服务器的防护A. 与客户端一起,在系统所有服务器部
23、署统一管理的企业级防病毒系统。通过防病毒系统的统一部署,可以防止服务器免受病毒的感染和传播。这可以解决常见的服务器瘫痪、信息资产丢失等安全问题,为服务器病毒防护提供有效的安全保障。B. 与客户端一起,在系统所有服务器部署统一管理的终端安全防护系统。通过终端安全防护系统的统一部署,为服务器提供访问控制、系统的安全、补丁的有效管理、和为服务器的安全管理提供技术保障措施。C. 服务器安全加固,对关键服务器进行安全加固,保证服务器的安全使用和稳固。l 系统安全防护A. 在办公网系统上部署漏洞扫描系统,可以随时的对网络的所有终端、服务器、数据库系统进行扫描,以发现安全隐患。B. 在系统当中部署安全强审计
24、系统。根据用户的安全策略制定详细的审计保护规则,对整个网络和主机中违反安全策略的行为进行阻断,并向管理中心报警。系统整体安全体系结构图见图1:图1: 系统整体安全体系结构示意图2.4.7 防火墙实施方案2.4.7.1 实施原则(1) 整体性l 安全防体系的建立和多层保护的相互配合;l 实现技术、产品选型、质量保证与技术服务的统一。(2) 先进性l 安全技术先进;l 安全产品成熟;l 安全系统技术生命的周期适度。(3) 可用性l 安全系统本身的可用性;l 安全管理友好,并于其他系统管理的有效集成;l 避免造成网络系统结构的复杂;l 尽量降低对原有网络系统的性能影响和不影响应用业务的开展。(4)
25、扩充性l 安全系统能适应客户网络和业务应用需求的变化而变化;l 安全系统遵循标准,系统的变化易实现、易修改、易扩充。2.4.7.2 实施策略l 采取核心保护策略,尽可能的以最小的投资达到最大的安全防护。l 采用可以提供集中管理控制的产品,同时要求考虑产品适应性可扩展性,以适应网络扩展的需要。l 产品在使用上应具有友好的用户界面,使用户在管理、使用、维护上尽量简单、直观。l 建立层次化的防护体系和管理体系。2.4.7.3 防火墙系统部署从某公司网络结构和功能划分上,可以看出,办公网中的服务器区域是很重要的安全区域,这些服务器承载着整个公司全部网络功能的需求,对网络安全系数的要求很高,一旦重要服务
26、器遭到攻击破坏,将对整个公司的业务产生非常大的影响,所以可以在服务器交换机与核心交换机的连接中设置防火墙设备,根据用户设定的安全规则,在保护部网络安全的前提下,提供外网络通信,是必不可少的安全防御措施。l 控制从外网区到安全服务区的访问,确保允许的访问才能够进行,而其他未经过允许的行为全部被禁止;l 限制安全服务区对非安全服务区的直接访问;l 防火墙有效记录区域之间的访问日志,为出现安全问题时提供备查资料;具体配置情况如图1所示,在网络边界处部署一台防火墙作为网络系统与Internet连接的第一道安全防护,通过防火墙提供的功能来达到访问控制的目的;另外,在各个系统区的出口处也部署一台防火墙,用
27、来保证各个区域的安全,制定不同的安全策略,实现对重要服务器系统的防护和访问控制。2.4.7.4 防火墙安全策略针对公司办公局域网的具体情况,我们建议制定以下的安全策略:l 安全区域隔离策略由于网络安全的整体性要求,为了使网络系统达到一定的安全水平,必须保证对网络中各部分都采取了均衡的保护措施,但对于公司整个办公网来说都采用相同的手段是不可能也没有必要的,本办公网可以采用的方法是根据网络不同部分的重要性划分为不同的安全区域,并着重对其中重要的安全区域进行隔离和保护。建议采用防火墙系统审查和控制不同区域之间的通信连接,重点是各服务器区域与办公网用户区域之间的连接。l 访问控制策略防火墙被部署后,将
28、根据实际应用需要定义适当的安全策略,针对源地址、目的地址、网络协议、服务、时间、带宽等条件的实现访问控制,确保不同网络区域之间的授权、有序访问,特别是防止互联网中非法用户的访问或一些恶意的攻击。例如,服务器区域防火墙上可制定如下安全策略:- 允许业务相关的用户区域主机访问本区域服务器的特定端口,拒绝其他任何访问请求,这样可以保护服务器系统不受非法入侵和攻击;- 缺省规则应该是拒绝一切访问。 本次项目我们将在实施的过程中,根据网络的真实环境和应用系统数据交互的实际需要,来制定详细的访问控制策略。基本原则是开放最少端口。作为区域边界保护的准则,防火墙的访问控制策略与业务的一致性是保证系统访问控制策
29、略是否得到实施的关键,因此对防火墙访问控制策略的定期检查和调整是区域边界保护中要注意的问题。l 用户认证和授权策略选择一种既方便实用又具备足够安全性的用户认证机制,通过防火墙实现对网络用户身份的可靠鉴别和访问授权管理,防止非法人员盗用合法用户的网络地址来假冒合法用户访问关键资源,同时也便于针对实际用户进行行为审计。l 带宽管理策略我们可以依据应用需要来限制流量,来调整链路的带宽利用。可以在防火墙中直接加载控制策略,为比较重要的访问定义可用的最大带宽和优先级,确保为重要的应用预留足够的带宽进行数据交换。我们还可以定义任意两个网络对象之间通信时的最大带宽。例如,通过防火墙的带宽管理,可为部网络的重
30、要用户如领导、网络管理人员等定义进行网络通信时的最大带宽和优先级,而且带宽分配可以是分层的,例如部门带宽下面有小组带宽然后是个人带宽等,可以防止带宽被滥用,保证重要的通信的顺畅。l 日志和审计策略一个安全防护体系中的审计系统的作用是记录安全系统发生的事件、状态的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图,使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。进行信息审计的前提是必须有足够的多的日志信息。防火墙系统提供了强大的日志功能,可对重要关键资源的使用情况进行有效的监控,实现日志的分级管理、自动报表、自动报警功能,用户可以根据需要对不同的通讯容记录不同的日志,
31、包括会话日志(主要描述通讯的时间、源目地址、源目端口、通信流量、通讯协议等)和命令日志(主要描述使用了那些命令,执行了那些操作)。用户可以根据需要记录不同的日志,从而为日志分析、事后追踪提供更多的依据。同时,产生的日志能够以多种方式导出,有利于网络部署的安全集中管理平台进行统一的管理。2.4.7.5 防火墙选型由于将各个系统按照区域化分进行分别防护,在总出口处已经部署一台高性能千兆防火墙,根据流量及应用实际分析,在办公系统和生产系统处可分别部署一台千兆防火墙,考虑到部分有可能系统采用VPN设备,所以可以选择带VPN功能模块的防火墙。产品功能:功能类别功能项功能细项网络安全性工作模式路由、透明、
32、混合容过滤支持基于流、数据包、透明代理的过滤方式。支持对HTTP、SMTP、POP3、FTP等协议的深度容过滤。支持URL过滤支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java script的过滤支持对的收发地址、文件名、文件类型过滤支持对主题、正文、收发件人、附件名、附件容等关键字匹配过滤动态端口支持协议:FTP、RTSP、SQL*NET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP。防病毒对通过的数据进行在线过滤,查杀正文附件、网页及下载文件中包含的病毒,病毒库更新提供快速扫描及完全扫描两种扫描方式系统状态实时监控包过滤
33、基于状态检测的动态包过滤实现基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间等数据包快速过滤支持报文合法性检查可实现IP/MAC绑定防御攻击非法报文攻击:land 、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweepTopsec联动:可与支持TOPSEC协议的IDS设备联动,以提高入侵检测效率。端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置SYN代理:对来自定义区域的Syn F
34、lood攻击行为进行阻断过滤AAA服务支持使用一次性口令认证(OTP)、本地认证、双因子认证(SecureID)以及数字证书(CA)等常用的安全认证方式支持使用第三方认证如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式支持Session认证、HTTP会话认证支持认证保活功能可将认证用户信息加密存放在本地数据库NAT支持双向NAT支持动态地址转换和静态地址转换支持多对一、一对多和一对一等多种方式的地址转换支持虚拟服务器功能网络适应性路由支持静态路由、动态路由支持基于源/目的地址、接口、Metric的策略路由支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能。支持
35、Vlan路由,能够在不同的VLAN虚接口间实现路由功能。支持RIP、OSPF等路由协议。组播支持IGMP组播协议支持IGMP SNOOPING可有效地实现视频会议等多媒体应用VLAN支持与交换机的Trunk接口对接,并且能够实现Vlan间通过安全设备传播路由支持802.1Q,能进行802.1Q的封装和解封支持ISL,能进行ISL的封装和解封在同一个Vlan能进行二层交换生成树支持802.1D生成树协议,包括PVST+及CST等协议。ARP支持ARP代理、ARP学习可设置静态ARP非IP 协议支持对非IP 协议IPX/NetBEUI 的传输与控制。DHCP支持DHCP Client、DHCP R
36、elay、DHCP Server接入支持ADSL接入功能,可满足中小企业的多种接入需求。支持PPPOE拨号接入其它支持网络时钟协议SNTP,可以自动根据NTP服务器的时钟调整本机时间支持IPX、NetBEUI等非IP 协议。VPNIKE支持基于标准IKE协商的VPN通信隧道支持多种IKE认证方式,如预共享密钥,数字证书等支持IKE扩展认证,如Radius认证等。解决方案支持网关到网关、远程移动用户到网关的VPN隧道在具有SCM的解决方案中,支持灵活的移动用户到移动用户的隧道。可以和密码机产品,远程客户端产品及VPN安全管理系统(SCM)共同组成完整的VPN解决方案。算法支持3DES、DES、国
37、密办等加密算法支持标准MD5、SHA-1认证算法支持加密卡提供的MD5、SHA-1认证算法工作模式支持HUB-SPOKE方式支持网状连接方式支持分级的树状连接方式其它功能支持网络邻居(利用WINS)支持隧道的NAT穿越支持对隧道明文的访问控制可同时支持明密传输安全管理日志支持Welf、Syslog等多种日志格式的输出支持通过第三方软件来查看日志支持日志分级支持对接收到的日志进行缓冲存储通过安全审计系统(TA-L),可获得更详尽的日志分析和审计功能,并能提供员工上网行为管理功能。可选高级日志审计功能模块,除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析
38、。监控支持网络接口监测、CPU利用率监测、存使用率监测、操作系统状况监测、网络状况监测、硬件系统监测、进程监测、进程存监测、加密卡状况监测。可根据配置文件进行错误恢复报警报警事件:置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类报警方式:采用、NETBIOS、声音、SNMP、控制台等多种报警方式,报警方式可以组合使用。带宽管理QoSQOS带宽管理根据IP、协议、网络接口、时间定义带宽分配策略支持最小保证带宽和最大限制带宽支持分层的带宽管理优先级支持8级优先级控制双机热备支持双机热备支持系统故障切换负载均衡支持服务器的负载均衡,提供轮询、加
39、权轮叫、最少连接、加权最少等多种负载均衡方式供用户选择。支持生成树协议,可实现链路负载均衡。其它功能支持链路备份功能支持双系统引导,当主系统损坏时,可以启用备用系统,不影响设备的正常使用支持Watchdog功能配置管理配置方式支持WEB图形配置、命令行配置支持本地配置、远程配置支持基于SSH、SSL的安全配置命令行支持配置命令分级保护支持中英文支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本与当前通用的网络管理平台兼容,如HP Openview 等。系统升级支持双系统升级支持远程维护和系统升级支持TFTP升级报文调试提供
40、强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试和解决问题。支持发送虚拟报文配置恢复可以进行配置文件的备份、下载、删除、恢复和上载。其它扩展能力开放式的架构支持未来方便扩展防病毒、防垃圾、IPSEC VPN、SSL VPN等功能以及各种VPN加速卡2.4.7.6 技术参数1. 1000M光纤接口2;2. 并发连接数50万;3. VLAN支持:支持802.1q;4. 流量管理:支持带宽管理和优先级控制;5. 支持IP与MAC地址绑定;6. 支持HTTP、STMP、POP3、FTP、SOCKS代理;7. 支持抗DOS、端口扫描、特洛伊木马等攻击;8. 支持基于H.323的视频会议和VO
41、IP语音系统。2.4.8 入侵检测系统实施方案2.4.8.1 入侵检测系统概述入侵检测系统是属于主动防御,它识别大量的攻击模式、并根据用户策略做出响应。入侵检测系统以实时性、动态检测和主动防御为特点,有效弥补了其它静态防御工具的不足,完善我们的防御系统,已经成为网络安全系统的必备设施。网络入侵检测系统可以对整个网络进行检测和防御,通常由控制中心和探测引擎两部分组成。探测引擎一般采用专用硬件设备通过旁路方式接入检测网络。探测引擎全面侦听网络信息流,动态监视网络上流过的所有数据包,进行检测和实时分析,从而实时甚至提前发现非法或异常行为,并且执行告警、阻断等功能,并记录相应的事件日志。控制中心是面向
42、用户,提供管理配置使用。它支持控制多个位于本地或远程的探测引擎,集中制定和配置监控策略,提供统一的数据管理。对发现入侵或异常行为,入侵检测系统控制中心能记录、显示详细的入侵告警信息,如入侵主机的IP地址、攻击特征等。通过对所记录的历史报警信息进行分类统计,可形成用户所需要的管理报表。2.4.8.2 入侵检测技术高性能报文捕获l DMA和零拷贝技术IDS作为保障信息安全的重要环节,一直发挥着重要作用。目前,由于网络自身的发展非常迅速,一般的网络局域网主干交换带宽速度由10/100M的网络发展到1000M,给IDS带来了巨大的挑战。由于传统的入侵检测系统一般基于简单的模式匹配实现,在百兆满负荷的网
43、络环境中工作已经相当吃力,而网络带宽成10倍的增加,如果不考虑其它条件,意味着要求IDS增加10倍的处理能力,因此网络的发展,提出了千兆或更高性能IDS的需求。而高性能入侵检测的一个重要瓶颈就在于高速的报文捕获和批量处理分析。为了提高报文捕获的效率,通过修改网卡驱动程序,使用DMA和数据零拷贝技术零拷贝技术,大大提高了效率,如下图所示:DMA和数据零拷贝技术和传统入侵检测报文捕获技术的比较零拷贝技术省略了TCP/IP堆栈的处理,直接将网卡通过DMA直接数据传输将报文数据传递到了IDS系统可以访问的空间,大大减少了传统方式中因为上下文切换和数据拷贝而带来的系统开销,使用了零拷贝技术之后,系统的捕
44、包效率大大提高,测试结果是在能够在1.4G的CPU下,捕获100万/秒报文时,CPU占用率还低于10%。这种效率完全可以满足在千兆高速环境下入侵检测分析。l 支撑平台结构和系统优化对于整体结构的优化有助于进一步提高IDS系统引擎的速度。1. 并行处理在双CPU并行处理机上,通过使用多线程,使得我们可以将多个报文同时进行处理,为了减少同步带来的代价,使用报文的预分析,然后根据预分析的结果进行任务分配,将一个报文的所有分析和匹配工作都交给一个工作线程去处理,多个线程可以同时并行处理多个报文。2. 使用汇编语言实现关键处理通过使用汇编语言可以大大减少使用高级语言带来的冗余代码,在核心的关键处理上如模
45、式集合的匹配上使用汇编语言实现能够大大提高效率。3. 优化存分配算法经过分析在IDS系统中,会大量的使用存的分配和释放操作,如果,实现中都通过系统的分配释放函数来实现会大大影响系统的处理速度。通过使用简化而且合理的存分配算法,能够使这部分的代价减少。通过精简运行的操作系统,使用优化程序技术也是提高入侵检测的性能的必要条件,同时保证了入侵检测产品的自身安全性。基于状态的全面协议分析协议分析模块完成IDS系统引擎中主要的分析工作,对于一个报文在引擎的处理过程中,报文:分析:匹配1:1:N,这就是说一个报文需要经过一次分析,再和N条规则进行匹配之后产生事件。如果能够通过更准确的分析,减少匹配的工作,
46、就能够最终提高整个IDS系统的处理效率。因此协议分析的准确性和效率对于整个系统的处理效率影响非常大。这部分包括两个大的方面:l 提高协议分析的速度1. 基于状态的协议分析网络讯的报文一般都不是孤立的,而是在一系列的报文通讯之中的,也就是说是有一定的报文前后上下文的。通过基于状态的协议分析,能够大大提高解析的准确度,同时对于不同报文采用不同的少量分析的方式,从而也提高了协议分析的速度。2. 运用多种算法进行解析在报文的分析过程,采用多种算法来提高协议解析的速度,比如使用高速树型匹配算法、HASH算法等等。l 提高协议分析的效果采用两种方法提高协议解析的效果:直接产生协议分析中确定的事件和更深入的协议分析。1. 直接产生协议分析中确定的事件通过在协议分析模块中直接产生事件,从而减少在匹配规则模块中规则集的规模,如:RFC协议确定的事件和异常事件:如 FLOOD攻击,从而提高整个报文的处理速度。2. 更深入的协议分析更深入的协议解析提高了规则集中规则的匹配准确性,比如缩小一次字符串匹配在报文中搜索围,从而节省时间,提高规则匹配的效率。树型规则和匹配算法
