《某电业局安全存储网络建设技术建议书 .doc》由会员分享,可在线阅读,更多相关《某电业局安全存储网络建设技术建议书 .doc(35页珍藏版)》请在三一办公上搜索。
1、目 录安全存储网络建设技术建议书11概述31.1项目建设背景需求31.1.1网络现状31.2网络建设目标31.3网络建设原则32整体方案设计42.1组网方案42.2方案建议及设备选型依据43网络解决方案53.1IP 地址规划53.2VLAN规划63.3路由规划63.4QOS 设计63.5设备介绍83.5.1S9300系列交换机系统特性83.5.2Oceanspace S2000系列存储系统164安全解决方案204.1安全体系层次设计204.1.1层次一:物理环境的安全性(物理层安全)204.1.2层次二:操作系统的安全性(系统层安全)204.1.3层次三:网络的安全性(网络层安全)204.1.
2、4层次四:应用的安全性(应用层安全)214.1.5层次五:管理的安全性(安全管理)214.1.6总体部署214.2入侵检测系统部署224.2.1安全风险分析224.2.2安全风险解决224.2.3智能网络入侵检测设备234.2.4NIP 1000性能指标284.3终端安全管理系统部署304.3.1终端安全管理系统304.3.2安全监控功能334.3.3资产管理应用功能334.3.4安全接入控制网关应用344.3.5Secospace系统性能指标341 概述1.1 项目建设背景需求1.1.1 网络现状*电业局网络建设主要分为内部办公网络和外部互联网络两部分,现有核心设备是用的是华为5500系列交
3、换机,交换机使用年限已久,随着网络规模的不断扩大,现有网络接口已逐渐不能满足网络的需求;内部服务器数量已达到10台左右,数据量增加的比较快,需要一套网络存储设备。内部安全需要进一步的管理。1.2 网络建设目标为了提高整网核心的可靠性,设计考虑设备冗余(电源、超级引擎采用双配置),为整网提供更加稳定的网络服务。华为核心设备最多支持144个光接口,能够极大地满足现在及将来网络的需求。1.3 网络建设原则我单位针对*电业局存储及安全工程将采用华为先进的高端电信级设备作为构建网络的基础单元,建立一个高带宽、高可用性及高可靠性的数据网络,为濮阳县电业局业务系统提供强有力的保证,本次工程基于以下原则进行:
4、综合性:将网络建设成为不仅支撑现有濮阳县电业局数据业务,而且支撑未来实时业务的综合业务传送平台。支持QOS:能根据业务的要求提供不同等级的服务并保证服务质量,提供资源预留,拥塞控制,报文分类,流量整形等强大的IP QOS功能。高可靠性:具有很高的容错能力,具有抵御外界环境和人为操作失误的能力,保证任何单点故障都不影响整个网络的正常运作。高性能:在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。安全性:具有保证系统安全,防止系统被人为破坏的能力。扩展性:易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资利益。开放性:符合开放性规范,方便接入不同
5、厂商的设备和网络产品。标准化:通讯协议和接口符合国际标准。实用性:具有良好的性能价格比,经济实用,拓扑结构和技术符合骨干网信息量大、信息流集中的特点。2 整体方案设计2.1 组网方案出于安全性和稳定性的要求,工程中采用电信级核心层交换机从而提高整网结构的健壮性、可靠性,高效性。在存储方面采用华为2300的存储,可提供96T的存储容量,满足将来存储的需求。2.2 方案建议及设备选型依据根据*电业局数据库项目的技术规范要求以及华为公司全系列数通产品及解决方案特点,本着满足业务优先、先进实用、平滑演进等原则,我单位选择华为公司在本期项目中建议的设备以及相关设备的建网方案优势如下:网络档次高、层次分明
6、:采用最高能力交换机,按照网络层次依次选择合理产品,各层次产品之间系列化程度高,可靠性强。负载分担的网络:以最大化网络资源负载分担为原则,通过设备间链路的分配调整,实现网络资源合理分布,增加可靠性。安全的双平面的设计:本次为网络结构通过充分利用两期建设中的设备,充分保证网络安全备份及冗余性,整体提高网络的可靠性等级系数。 良好网络兼容性能:在现网大量的应用环境中,华为设备表现出与其他设备厂商良好的互通性,在各大电信运营商网络都有商用。优化的网络性能:华为建议的部署方案,能够保证网络在故障情况下快速实现业务流量疏导,提高整个网络质量,保证网络能够承载。多业务的IP网络:优化后的网络具备极强的可扩
7、展性能,除了具备大流量承载能力,还可提供IPTV等多种业务。平滑的割接方案:华为公司有丰富的网络割接经验,可以保证网络调整到合理的结构,并保证现网业务尽可能的不受影响,保证平滑割接。平滑的向IPv6过渡:我单位本次采用的华为产品具备IPv6高性能转发,满足未来性能要求,并支持多种过渡解决方案,例如IPv4/IPv6双栈、多种过渡隧道等等,是业界过渡方案中最好的产品,能够极大方便实际网络IPv4-IPv6过渡的灵活性。3 网络解决方案3.1 IP 地址规划IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。需要在所分配的IP地址网段中尽可能地利用地址空间,充分考虑地址空间的合理使用,保
8、证实现最佳的网络内地址分配及业务流量的均匀分布。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将*电业局业务工作的可用性、可靠性和有效性以及保密性产生显著影响。通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此,核心层应象一个区域或一个节点一样,被分配一段连续的地址。IP地址规划遵循以下原则:1. IP地址的规划与划分应该考虑到业务飞速发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;2. IP地址的分配需要有足够的灵活性,能够满足各种用户接入;3. IP地址的分配可以采用VLSM技术,以保证
9、IP地址的利用效率;4. 充分合理利用已申请的地址空间,提高地址的利用效率。3.2 VLAN规划VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法: 1. 基于端口的VLAN划分 2. 基于MAC地址的VLAN划分 3. 基于路由的VLAN划分 而本期项目中以基于端口和基于路由的VLAN
10、划分方法为主,除了公共VLAN,网管VLAN,关键领导VLAN等特殊网段,按照部门和单位进行其他VLAN网段的划分。3.3 路由规划在所建网络系统中将涉及*电业局内部不同虚拟网络之间的路由转发以及与外网之间的互联,因此需要结合实际,在汇聚交换机对三层转发协议进行设置,由于通过VLAN隔离业务,在接入层交换机启用二层接入功能,网关设在汇聚交换机,VLAN终结于汇聚交换机。3.4 QOS 设计在传统的IP网络中,所有的报文都被无区别的等同对待,每个路由器对所有的报文均采用先入先出(FIFO)的策略进行处理,它尽最大的努力(best-effort)将报文送到目的地,但对报文传送的可靠性、传送延迟等性
11、能不提供任何保证。随着IP技术的日趋成熟,IP网络电信化已经成为大势所趋,于是形成了语音、视频、数据等多种业务IP统一承载,由于语音、视频等实时业务自身的特点对承载平台提出了严格的服务质量要求,因此就必须在网络中部署相应的QoS技术,使得网络管理者能够有效地控制网络资源的使用,能够在有限资源的IP平台上综合语音、视频及数据等多种业务,能够区分业务、针对不同的业务提供特色的差分服务。QoS旨在针对各种应用的不同需求,为其提供不同的服务质量,例如:提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。为实现上述目的,QoS提供了下述功能:1. 报文分类和着色2. 避免和管理网络拥塞3. 流量
12、监管和流量整形4. QoS信令协议在*电业局数据库项目网络构建中,将会设计合理的QOS保障方案,利用有限的资源,以获得更好的网络使用效益,是非常必要的。良好的QOS保障方案可以确保一般情况下网络具有最好的使用效率、实时业务具有较小延时,恶劣情况下保证关键业务得到应有的网络服务。衡量QoS的指标包括:带宽/吞吐量 - 指网络的两个节点之间特定应用业务流的平均速率;时延 - 指数据包在网络的两个节点之间传送的平均往返时间;抖动 - 指时延的变化;丢包率 - 指在网络传输过程中丢失报文的百分比,用来衡量网络正确转发用户数据的能力;可用性 - 指网络可以为用户提供服务的时间的百分比。在*电业局数据库项
13、目网络中QOS方案部署如下:接入层交换机接入端口不同业务进行VLAN标记,并可以对报文进行802.1P优先级标记,以便后续的汇聚交换机和核心交换根据相应优先级标记(802.1P、DSCP)进行调度,当然还可以根据策略的需要部署CAR流量监管策略,对用户的接入速率进行控制,保证*电业局网网络始终处于健康(轻载)的运行状态。本次工程采用的S9300高端交换机均支持选择性SVLAN功能(灵活QinQ),可以在同一个物理端口上支持根据单层VLAN ID灵活加载外层VLAN ID,同时能够透传标准VLAN(单VLAN)流量。上述功能实现没有VLAN ID范围数量的限制,对于设备性能没有影响。支持根据80
14、2.1p参数、入端口、入VLAN ID等条件进行双VLAN透传、双层VLAN改写外层VLAN、双层VLAN改写内外层VLAN等并且支持在同一物理接口上对以上操作的并行处理。并支持TPID可配置,同时对设备性能没有影响S9300交换机提供完善的Diff-Serv/QoS支持。支持基于源端口、源VLAN ID、源MAC地址、报文种类、TCP/UDP端口号、IP报文地址前缀等多种流分类规则,提供多种规则组合条件下的流映射和分类、流量监管(CAR)、拥塞避免方法(WRED、Tail-Drop)、队列调度(WRR、SP)和输出流量整形等功能,支持802.1p 的8个优先级。完全做到业务区分并保证带宽/时
15、延/抖动,可以为用户提供具有不同服务质量等级的服务保证,使IP网络真正成为同时承载数据、语音和视频业务的综合网络。3.5 设备介绍3.5.1 S9300系列交换机系统特性Quidway S9300系列以太汇聚交换机(以下简称S9300)是基于华为公司统一的VRP(Versatile Routing Platform)系统而推出的下一代以太网汇聚交换机,提供整机高达2T交换容量,二、三层线速转发能力,具备强大组播功能,EPON接口和完善的QoS保障,满足城域网、企业园区网对Multi-Play业务承载和全光接入的组网需求,为运营商和企业网提供强大的网络交换和业务运营能力,支持IP专线、VPN、I
16、PTV、IPv6等多种业务。S9300系列包括S9303、S9306、S9312三个产品形态,整个系列秉承模块通用化、归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。S9303 S9306 S9312产品特点创新的三平面设计S9300在传统交换机数据转发、管理控制双平面基础上进行了创新,增加了独立的环境监控平面,率先实现整机三平面设计。业界首创的环境监控板,其核心芯片采用华为自主知识产权的中控芯片,实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术,独立环境监控与网管联动,实现整机运营维护的全面可视化管理。系统监控模块高速背板
17、交换网模块控制面通讯模块系统时钟模块系统主控模块控制层软件业务层软件网管系统物理接口模块业务处理模块单板时钟模块单板主控模块单板监控模块业务模块交换路由模块管理层软件创新的三平面设计一机多用,全业务承载的以太汇聚平台S9300支持高密度的EPON接口,能实现DSLAM汇聚、EPON和纯以太的统一接入,满足全光接入的需求;分布式L2/L3 MPLS VPN功能,支持MPLS、VPLS、HVPLS、VLL,满足大客户VPN专线、企业VPN等高端用户的接入需求。S9300具备线速的跨VLAN组播复制能力,实现端口的满负荷复制,满足大容量的IPTV用户接入需求;完善的二、三层组播协议,可作为组播复制点
18、和控制点。S9300支持IPv6功能,支持RIPng,OSPFv3,ISISv6,BGP4+,MLD,MLD Snooping,PIMv6,IPv6 multicast VLAN,ICMPv6等单/组播IPv6路由协议,实现网络IPv4向IPv6的平滑迁移。三维扩展,容量“无级变速”作为新一代的以太汇聚平台,S9300可以从容应对城域骨干网和大容量IDC对核心汇聚设备的带宽需求。S9300单槽位支持1210GE线速转发,整机支持2T的交换能力,更好地满足IPTV等大带宽业务和IDC机房的接入需求。S9300系列交换机可以扩展到3.84T交换容量,单槽位支持240G线速转发,充分考虑未来35年的
19、带宽需求,提供带宽平滑扩展能力。六项创新,省电30%S9300基于绿色环保理念设计,独特的“变流”芯片,实现按流量动态调整功率,降低功耗8%。独特的“旋转”风道设计,提高整机散热效率,降低功耗3%,同时整机出线能力提高6倍。“积木式”电源,按需配置,减少初期投资,降低设备功耗10%。独立风扇分区控制,降低噪声10%,并延长风扇使用寿命。风扇智能调速,根据关键器件温度,灵活调整风扇转速,降低功耗3%,提高风扇抗扰动能力,延长风扇寿命。真正的端口休眠技术,可以依据端口实际流量调整输出功耗,降低功耗6%,节电“不丢包”。产品规格项目S9303S9306S9312背板容量1.2Tbps2.4Tbps4
20、.8Tbps业务槽位3612GE端口密度14428857610G端口密度3672144VLAN支持Access、Trunk、Hybrid方式 支持default VLAN支持VLAN 交换支持QinQ、增强型灵活QinQMAC地址功能支持MAC地址自动学习和老化支持静态、动态、黑洞MAC表项支持源MAC地址过滤支持基于端口和VLAN的MAC地址学习限制STP支持STP,RSTP和MSTP支持BPDU保护、Root保护、环路保护支持BDPU TunnelIP路由支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议支持RIPng、OSPFv3、ISISv6、BGPv4等IPv6动态路由协议
21、组播支持IGMP Snooping功能支持用户快速离开机制支持组播流量控制支持组播查询器支持组播协议报文抑制功能支持组播ACLMPLS支持MPLS基本功能支持MPLS OAM支持MPLS TE支持MPLS VPN/VLL/VPLSQoS支持基于Layer2协议头、Layer3协议、Layer4协议、802.1p优先级等的组合流分类支持ACL、CAR、Remark、Schedule等动作支持PQ、WRR、DRR、PQ+WRR、PQ+DRR等队列调度方式支持WRED、尾丢弃等拥塞避免机制支持流量整形配置与维护支持Console、Telnet、SSH等终端服务支持SNMPv1/v2/v3等网络管理协
22、议支持通过FTP、TFTP方式上载、下载文件支持BootROM升级和远程在线升级支持热补丁支持用户操作日志安全和管理命令行分级保护,未授权用户无法侵入支持RADIUS和HWTACACS用户登录认证支持防范DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击支持CPU通道的保护支持ICMP实现ping和traceroute功能支持RMON机箱尺寸mm(宽深高)442476175442476442442476664机箱重量(空配)15Kg30Kg45Kg工作电压DC:38.4V72VAC:90V264V典型功耗180W350W650W整机供电能350W800
23、W1600W订购信息1、Quidway S9300主机选购一览表产品描述S9303总装机箱S9306总装机箱S9312总装机箱2、Quidway S9300交换路由处理板选购一览表产品描述S9306/S9312交换路由单元S9303主控处理单元增强灵活业务子卡3、Quidway S9300业务单板选购一览表产品描述48端口百兆以太网光接口板48端口百兆以太网电接口板48端口百兆/千兆以太网光接口板48端口百兆/千兆以太网电接口板24端口百兆/千兆以太网光接口板24端口百兆/千兆以太网光接口和8端口百兆/千兆Combo电口板4端口万兆以太网光接口板2端口万兆以太网光接口板3.5.2 Oceans
24、pace S2000系列存储系统概述华为赛门铁克Oceanspace S2000系列(以下简称S2000)产品是中国第一款拥有完全自主知识产权的存储。融合了高密、接口模块化设计、多重数据保护技术,满足数据库等应用系统、备份、数据中心等不同的存储资源部署需求。产品特点高性能64位系统架构:64位多核处理器,64位系统总线,64位实时操作系统 交换体系架构:交换架构,高性能,低延时;硬盘独立,单个硬盘故障不影响其他盘,便于故障检测和排除高密设计:硬盘框4U高度,可容纳24块硬盘,产品占用空间小,扩1个硬盘框能扩展24块硬盘,大幅降低扩容成本高可靠全冗余模块化设计:冗余控制器,1+1冗余电源/风扇模
25、块;冗余掉电保护电池一体化UPS技术:UPS集成在控制框内,节省机架空间;意外掉电时,可以保证Cache数据可安全写入数据保险箱;恢复供电后,可以把数据保险箱的数据恢复到Cache中,保证Cache数据不丢失硬盘坏道修复技术:最大限度修复硬盘坏道,将硬盘故障率降低50%,延长硬盘寿命 硬盘预拷贝技术:提前发现故障盘,主动迁移故障盘数据,规避系统降级的风险,有效降低两个硬盘同时故障导致数据丢失的概率灵活灵活组网:iSCSI主机口满足与IP网络无缝融合的组网需求;SAS主机口满足高性价比的组网需求;FC主机口满足高速率、高可靠的组网需求控制器选配:单控制器配置满足低成本需求,平滑升级到双控制器配置
26、,满足高性能、高可靠的需求分级存储:支持SAS/SATA硬盘混插,可以根据业务级别选择存储介质便捷便捷管理:支持图形化GUI及CLI管理方式,提升管理效率;支持LUN后台格式化,压缩设备安装及配置时间便捷维护:主要模块及硬盘组件支持热插拔,减少维护复杂性;支持Web和Modem拨号等远程管理能力,增加维护及时性;提供声光、邮件、短信等告警模式,确保设备故障信息不会被忽视或遗漏产品规格型号S2100S2300硬件特性存储处理器64位多核处理器标配缓存(可扩展) 单控2GB、双控4GB控制器数量1 or 2标配主机端口(可扩展) 单控:2个43Gb SAS或2个1Gb iSCSI 双控:4个43G
27、b SAS或4个1Gb iSCSI单控:2个4Gb FC或4个1Gb iSCSI 双控:4个4Gb FC或8个1Gb iSCSI硬盘数量(可扩展)单控 48 /双控 96硬盘规格SATA硬盘: 500GB/1TB(7200 rpm) SAS硬盘:300GB/450GB(15k rpm)硬盘密度24个/框性能特性主机连接数量(可扩展)128128LUNs(可扩展)5121024RAID特性RAID支持能力0、1、5、10等可靠性冗余保护能力控制器、电源、风扇、UPS模块、级联模块(硬盘框)热备盘全局热备、预拷贝掉电保护数据保险箱、一体化UPS技术主机兼容性支持的操作系统Windows、Linux
28、、Solaris、HP-UX、AIX、FreeBSD、VMware等软件特性主机多路径UltraPath(for Windows/Linux/AIX)、STMS(for Solaris)、PV-Links(for HP-UX)管理特性管理界面Web GUI、CLI等SAN资源管理LUN动态调整故障告警网管界面告警、声光告警、E-mail告警、短信告警远程管理支持Web远程登录模式、支持Modem拨号连接,命令行配置物理特性电源AC 200V240V(50/60Hz), DC -48V -60V功耗(控制框)单控:交流:725W/直流:625W 双控:交流:828W/直流:728W单控:交流:7
29、25W/直流:674W 双控:交流:835W/直流:775W功耗(硬盘框)单控:交流:668W/直流:617W 双控:交流:680W/直流:630W单控:交流:668W/直流:617W 双控:交流:680W/直流:630W尺寸4U,175mm(H)*446mm(W)* 600mm(D)重量不带硬盘45Kg(控制框);38Kg(硬盘框)4 安全解决方案4.1 安全体系层次设计由于本次*电业局属于新建系统,因此整个*电业局网络安全的需求是全方位的、整体的,相应的网络安全体系也是分层次的,在不同层次反映了不同的安全问题。根据第三章中我单位对于安全的风险分析,我单位将安全体系的层次划分为五层:物理层安
30、全、系统层安全、网络层安全、应用层安全、安全保密管理。4.1.1 层次一:物理环境的安全性(物理层安全)包括通信线路的安全,物理设备的安全,机房的安全等。物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质);软硬件设备安全性(替换设备;拆卸设备;增加设备);设备的备份;防灾害能力、防干扰能力;设备的运行环境(温度、湿度、烟尘);不间断电源保障,等等。4.1.2 层次二:操作系统的安全性(系统层安全)这一层次的安全问题来自网络内使用的操作系统:Windows 2003,Windows 2000,Unix等。系统层的安全性问题表现在三方面:一是操作系统本身的缺陷带来的不安全因素,
31、主要包括身份认证、访问控制、系统漏洞等;二是对操作系统的安全配置问题;三是病毒对操作系统的威胁。4.1.3 层次三:网络的安全性(网络层安全)该层次的安全问题主要体现在网络信息的安全性。包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。4.1.4 层次四:应用的安全性(应用层安全)该层次的安全考虑提供服务所采用的应用软件和数据的安全性,包括:Web服务、电子邮件系统等。此外,还包括病毒对系统的威胁。4.1.5 层次五:管理的安全性(安全管理)安全管理包括安全技术和设备的管理,安全管理制度,部门与人员
32、的组织规则等。管理的制度化程度极大地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的安全漏洞。4.1.6 总体部署*电业局的安全问题是一个系统工程,我单位在制定安全网络策略时尽可能地考虑到网络中的各个方面及网络的拓展性,采用TCP/IP协议进行网络通信的网络,在网络层对计算机通信进行安全保护是业界流行的安全解决办法。综合考虑*电业局的实际安全状况,本方案中我单位从以下几个方面来采取相应的安全措施:1. 采用VLAN技术2. 部署防火墙3. 部署入侵检测系统4. 部署安全审计系统以上部署的安全产品在严格按照电子政务信息安全要求标
33、准基础上,并遵循稳定性、先进性、可扩展性等原则进行选型。*电业局的安全管理部门应根据管理原则和*电业局数据处理的保密性,制订相应的安全管理制度或采用相应的安全规范。可根据工作的重要程度,确定该系统的安全等级;及根据确定的安全等级,确定安全管理的范围。4.2 入侵检测系统部署4.2.1 安全风险分析随着网络基础设施及其应用的不断丰富,基于网络的各种安全事故也不断出现。造成这些网络安全事故最根本的原因是设计网络基础协议时主要考虑的协议的互联互通性,很少考虑协议可能存在的安全漏洞,当这些安全漏洞被恶意的人们利用就出现了层出不穷的安全事件。但是当人们发现这些问题逐渐影响正常网络甚至业务运行的时候,再去
34、修改这些相关基础应用协议代价太大。因此作为亡羊补牢的方式,出现了相关的网络安全防护产品。比如说防火墙、防病毒产品等等。然而,防火墙无法正确分析掺杂在允许应用数据流中的恶意代码,很多攻击或者恶意的行为常常利用防火墙开放的应用数据流来造成破坏。这就有必要提供专门针对各种应用数据流进行完整重组、判断其是否为正常数据包的产品。这种产品就是入侵检测系统(Intrusion Detection System),入侵检测系统通过对计算机网络或计算机系统中的若干关键点信息进行分析,可以从中发现网络或系统中违反安全策略的行为和被攻击的迹象,实时作出响应。入侵检测系统分为基于网络的入侵检测系统(NIDS)和基于主
35、机的入侵检测系统(HIDS)。华为公司推出即是基于网络的智能网络入侵检测系统(以下简称NIP)。4.2.2 安全风险解决NIP网络智能入侵检测系统是华为自主开发,拥有知识产权的新一代基于会话的智能网络入侵检测系统。采用异常使用模式(Anomaly)和误用检测模式(Misuse)相结合的检测方式,部署于网络中的关键点,实时监控各种数据报文及网络行为,提供及时的报警及响应机制。其动态的安全响应体系与防火墙等静态的安全体系形成强大的协防体系,大大增强了用户的整体安全防护强度。4.2.3 智能网络入侵检测设备华为公司凭借在电信领域多年的技术积累,深刻的认识到可靠性设计对于一个网络设备的重要性。华为防火
36、墙从硬件到软件,从每个部件到整体构架都进行了深入的分析和考虑,在设计的每个环节都融入了可靠性的设计理念,保证从根本上为用户提供了安全可靠的网络环境,使得华为防火墙成为了一款真正安全的电信级高可靠的防火墙设备。华为防火墙的硬件平台全部采用高可靠的元器件设计,保证了防火墙的硬件平台可以24小时不间断工作,这方面的硬件设计是很多防火墙厂商无法保证的,通过对硬件平台精益求精的设计使得华为防火墙有了一个稳定运行的基石。1. 强大的入侵检测能力NIP内置强大的IP分片功能、智能协议解码器、高效的TCP流重组及细粒度的会话分析功能,可以迅速、准确地检测各种攻击行为。同时 NIP具有2000余种入侵特征库,可
37、以检测DoS、扫描、代码攻击、后门等多种入侵攻击。有效降低漏报和误报。2. 灵活的响应方式NIP内置强大的IP分片功能、智能协议解码器、高效的TCP流重组及细粒度的会话分析功能,可以迅速、准确地检测各种攻击行为。同时NIP具有3000余种入侵特征库,可以检测DoS、扫描、代码攻击、后门等多种入侵攻击。有效降低漏报和误报。NIP对检测到的入侵企图或违背已设定的安全策略的活动做出实时响应,并提供多种响应方式。包括:l 切断与入侵有关的会话。l 通过移动电话发送报警消息。l 通过电子邮件发送报警信息。l 运行用户指定的应用程序。l 在Windows操作系统事件日志中记录报警。l 将与入侵有关的信息保
38、存在数据库中。l 联动防火墙。当有入侵事件发生时,入侵检测系统向防火墙发送消息,防火墙将动态生成规则,阻断入侵者。3. 增强的安全性NIP 提供根据入侵信息发出入侵警报以及限制网络访问等功能,以保护服务器免受外部和内部的攻击。NIP通过简单易用的管理界面和入侵检测、入侵阻断、入侵报警、入侵日志等功能,提供最佳的策略来增强 Internet 商业环境的安全性。 NIP特别适用于需要极高网络安全性的机构,例如:审计机构、安全顾问机构、安全法律执行机构、大型企业、Internet 服务提供商、培训机构以及涉及敏感信息的政府机构等。NIP 采用stealth技术,有效地防止入侵检测系统的暴露,提高入侵
39、检测系统自身的安全性。4. 强大的报表功能NIP 提供基于Crystal Report的报表功能。可提供100余种报表样式,同时还可实现自定义报表的功能。5. 分级用户管理NIP的管理员类型包括三种:超级管理员、普通管理员和只读管理员。l 超级管理员:具有超级权限,可以进行任何操作。l 普通管理员:可以对授权的引擎进行查询、配置、编辑。l 只读管理员:只能对授权的引擎进行日志查询操作。不同级别的管理员拥有不同的管理权限,最大限度的保证了NIP的系统安全。6. 检测并分析各种入侵行为NIP采用基于协议分析的智能模式匹配,结合状态分析技术和异常行为检测技术,大大提高了检测的准确度,减少了漏报、误报
40、现象。通过高效的模式匹配算法,大大提高了检测效率。内置2500种以上入侵规则,提供对DoS、扫描、代码攻击、病毒、后门等各种攻击的检测能力。基本的检测功能包括下面几种:蠕虫检测NIP实时跟踪当前最新的蠕虫事件,同时针对已经发现的蠕虫及时提供相关的事件规则。对于存在漏洞但是还未发现相关蠕虫事件的情况,通过分析其漏洞提供相关的入侵事件规则,最大限度地解决蠕虫发现滞后的问题。协议解码NIP对常用网络应用层协议解码分析,记录网络中的异常行为。用户可以方便的自定义基于TCP/IP各种协议的分析事件,如:HTTP、SMTP、FTP、Telnet等应用层协议连接、关闭;pop3命令连接请求、应答,各种应用层
41、协议的关键字解码等。IP碎片重组NIP对所监视网络中的IP 碎片报文重组后进行分析,防止IP 碎片欺骗。日志风暴处理NIP可以将一定时间范围内的同种攻击类型事件合并成同一条事件,在控制台显示并记录攻击次数,防止控制台的日志风暴。协议过滤和误报处理NIP能够对不需NIDS记录的某类TCP/IP协议的数据流进行过滤处理。同时,可以根据事件规则名和事件发生的源或目的绑定对事件进行排除,避免无需上报的事件再次出现在控制台或给NIDS增加不必要的负担。7. 对安全事件做出响应NIP针对各个入侵事件提供实时响应功能,响应方式多种多样。主要包括:报警声音报警:设置声音报警后,当有事件发生时,控制台会发出不同
42、的声音提示管理员。焦点窗口:设置焦点窗口后,当有事件发生时,即使控制台不是当前的焦点窗口,也会自动弹出成为焦点窗口,以使管理员及时发现发生的事件。报警灯显示:设置报警灯显示后,当有事件发生时,在控制台的左下角会有红色的报警灯闪烁,以提醒管理员。邮件报警:设置好邮件参数后,当有事件发生时,系统将向预先定义的信箱发送报警信息。短消息报警:设置好短消息参数后,当有事件发生时,系统向预先设置的手机发送短消息报警。执行报警器程序:通过拷贝AlertMessenger.exe和AlertMessenger.ini两个文件,不需要安装完整的控制台程序也可以实时显示报警信息。SNMP Trap报警:当有事件发
43、生时,向网络内的网管软件发送SNMP Trap消息报警。生成日志生成常规审计日志:常规审计日志在控制台实时显示报警事件,同时记录到数据库中。生成详细审计日志:对设置详细审计日志的事件,系统会详细记录整个会话的过程,事后可以通过报文回放工具重现整个会话过程,以便管理员分析,并可作为证据保留。生成系统日志:在Windows操作系统日志中,生成记录。切断会话针对TCP连接,可以通过TcpRest的方式切断入侵会话。执行程序执行本地程序。联动防火墙当有入侵事件发生时,入侵检测系统向防火墙发送消息,防火墙将动态生成规则,阻断入侵者的入侵,以保护网络的安全。8. 监控系统的活动和状态除了提供入侵检测功能外
44、,NIP还提供对各种信息和状态的监控功能:引擎状态监控管理员可以实时查看引擎的状态,包括资源的使用情况和监听网卡的网络流量(当前会话数、当前流量、每秒报文数和每秒丢包数),通过显示每秒丢包数,可以及时发现网络中出现的异常情况。服务器工作状态监控网络中存在很多提供应用服务的服务器,如:Web服务器、FTP服务器、邮件服务器等,这些服务器一般情况下都需要24小时运行,因此需要实时监控这些服务器是否正常运行。通过服务器工作状态监控功能,用户可以及时发现服务器的存活状态和相应服务的运行情况,以便第一时间发现并解决问题,最大限度地减少由于这些服务器不能正常运行而造成的损失。邮件监控邮件监控可以对通过SM
45、TP、POP3、IMAP和Web传送的邮件信息进行监控,以避免泄漏敏感信息。MSN监控NIP可以对MSN的会话进行监控。文件传输监控NIP以对通过FTP或MSN传输的文件进行监控,以避免泄漏敏感信息。实时会话监控系统可以实时显示当前会话列表。针对每一个会话,用户可以查看并记录会话内容,或者切断该会话。有害站点监控NIP可以对黄色和暴力等有害站点的访问进行监控。多端口监听NIP可以为每个引擎定义多个监听端口,以保护不同网段。默认配置有三个接口:管理、监听和扩展。其中:管理口负责与控制台进行通信;监听口负责监视网络流量;扩展口满足可扩展性。经过配置,引擎可以同时对多个端口进行监听,以适应不同的应用环境,如:支持跨网段监听、支持TAP设备等。9. 日志管理NIP的日志管理功能主要包括:日志查询:根据风险级别设置不同的颜色显示。日志备份:将日志信息备份到指定的目录下。日志同步:从各引擎接收最新的日志信息。日志删除:删除当前的日志记录。日志压缩:通过压缩可以释放未使用的空间。同时提供备份文件信息记录和显示功能,防止备份文件的丢失。10. 统计功能入侵统计NIP可以按风险级别和事件类型对入侵事件进行统计,还可以按照一定周期查看入侵统计的发展趋势。流量统计NIP的控制台可以从引擎获得网络流量信息,包括Web流量统计,网络流量统计,入侵网络流量统计,以及实时流量统计等
