宜賓市政府信息中網(wǎng)絡(luò)安全解決方案

        發(fā)布時(shí)間:2020-08-27 來源: 對(duì)照材料 點(diǎn)擊:

          宜賓市政府信息中心 網(wǎng)絡(luò)安全解決方案

          2010 年 6 月

         I

         目錄

         1 宜賓市政府信息中心 IT 應(yīng)用現(xiàn)狀 .......................................................................................... 1 1.1 網(wǎng)絡(luò)規(guī)模 ....................................................................................................................... 1 1.2 網(wǎng)絡(luò)上的應(yīng)用 ............................................................................................................... 1 1.3 項(xiàng)目目標(biāo) ....................................................................................................................... 1 2 需求分析 ................................................................................................................................... 1 2.1 網(wǎng)絡(luò)層的安全分析 ....................................................................................................... 2 2.2 系統(tǒng)層的安全分析 ....................................................................................................... 3 2.3 應(yīng)用層的安全分析 ....................................................................................................... 3 2.4 網(wǎng)絡(luò)出口病毒風(fēng)險(xiǎn)分析 ............................................................................................... 4 2.5 互聯(lián)網(wǎng)多鏈路負(fù)載均衡 ............................................................................................... 5 3 網(wǎng)絡(luò)安全方案設(shè)計(jì)原則 ........................................................................................................... 6 3.1 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 ................................................................................... 6 3.2 綜合性、整體性原則 ................................................................................................... 6 3.3 一致性原則 ................................................................................................................... 7 3.4 易操作性原則 ............................................................................................................... 7 3.5 適應(yīng)性及靈活性原則 ................................................................................................... 7 3.6 多重保護(hù)原則 ............................................................................................................... 7 3.7 可評(píng)價(jià)性原則 ............................................................................................................... 7 4 解決方案 ................................................................................................................................... 8 4.1 網(wǎng)絡(luò)拓?fù)?....................................................................................................................... 8 4.2 安全域邊界解決方案 ................................................................................................... 9 4.2.1 產(chǎn)品推薦 ......................................................................................................... 10 4.2.2 系統(tǒng)部署 ......................................................................................................... 11 4.2.3 防火墻安全控制策略:

         ................................................................................. 11 4.2.4 功能特色 ......................................................................................................... 13 4.3 病毒防護(hù)體系建設(shè) ..................................................................................................... 13 4.4 入侵防御系統(tǒng)解決方案 ............................................................................................. 14 4.4.1 產(chǎn)品推薦 ......................................................................................................... 15 4.4.2 系統(tǒng)部署 ......................................................................................................... 15 4.4.3 IPS 邊界安全控制策略 ................................................................................... 16 4.4.4 功能特色 ......................................................................................................... 17 4.4.5 方案優(yōu)勢(shì) ......................................................................................................... 17 4.5 風(fēng)險(xiǎn)評(píng)估及漏洞掃描解決方案 ................................................................................. 26 4.5.1 產(chǎn)品推薦 ......................................................................................................... 26 4.5.2 系統(tǒng)部署 ......................................................................................................... 27 4.5.3 功能特色 ......................................................................................................... 27 4.5.4 方案優(yōu)勢(shì) ......................................................................................................... 30 4.6 多鏈路負(fù)載均衡解決方案 ......................................................................................... 32 4.6.1 產(chǎn)品推薦 ......................................................................................................... 32 4.6.2 系統(tǒng)部署 ......................................................................................................... 32 4.6.3 功能特色 ......................................................................................................... 32 4.6.4 方案優(yōu)勢(shì) ......................................................................................................... 32 4.7 網(wǎng)絡(luò)管理平臺(tái)解決方案 ............................................................................................. 32 4.7.1 產(chǎn)品推薦 ......................................................................................................... 32 4.7.2 系統(tǒng)部署 ......................................................................................................... 32 4.7.3 功能特色 ......................................................................................................... 32

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 II

         4.7.4 方案優(yōu)勢(shì) ......................................................................................................... 32 4.8 安全管理平臺(tái)解決方案 ............................................................................................. 32 4.8.1 產(chǎn)品推薦 ......................................................................................................... 33 5 方案產(chǎn)品型號(hào)及數(shù)量 ............................................................................................................. 34 5.1 宜賓市政府信息中心安全設(shè)備清單 ......................................................................... 34 6 迪普科技簡介 ......................................................................................................................... 35 7 部分成功案例 ......................................................................................................................... 37 7.1 長春稅務(wù)學(xué)院 ............................................................................................................. 37 7.2 國家檔案局 ................................................................................................................. 38 7.3 浙江能源集團(tuán) ............................................................................................................. 38 7.4 河南南陽農(nóng)信聯(lián)社 ..................................................................................................... 39 7.5 西藏自治區(qū)質(zhì)監(jiān)局 ..................................................................................................... 40 7.6 西安通信學(xué)院 ............................................................................................................. 40 7.7 中石油華南銷售公司 ................................................................................................. 41 7.8 央視國際 ..................................................................................................................... 42

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 1

          1 宜賓市政府信息中心 IT 應(yīng)用現(xiàn)狀 1.1 網(wǎng)絡(luò)規(guī)模

         1.2 網(wǎng)絡(luò)上的應(yīng)用

         1.3 項(xiàng)目目標(biāo) 采用國際、國內(nèi)網(wǎng)絡(luò)安全防護(hù)相關(guān)標(biāo)準(zhǔn)及及國家等級(jí)保護(hù)相關(guān)要求來整體規(guī)劃設(shè)計(jì)網(wǎng)絡(luò),通過分期建設(shè)達(dá)到網(wǎng)絡(luò)業(yè)務(wù)安全實(shí)際要求。

         通過在網(wǎng)絡(luò)中劃分出不同安全域進(jìn)行邊界區(qū)分接入與防護(hù)、更新出口防火墻的綜合防御能力及靈活的 VPN 接入方式、做到出口防火墻設(shè)備的冗余和性能大幅提升,為用戶未來五年的安全防護(hù)提供保障。

         在互聯(lián)網(wǎng)出口處,通過負(fù)載均衡設(shè)備自動(dòng)實(shí)現(xiàn)對(duì)電信線路和網(wǎng)通線路兩條線路的雙向負(fù)載均衡應(yīng)用。

         為了實(shí)現(xiàn)對(duì)深層攻擊的防御,彌補(bǔ)防火墻等設(shè)備的不足,在宜賓市政府信息中心服務(wù)器區(qū)域前端部署入侵防御系統(tǒng)(IPS:Instruction Prevention System)。入侵防御系統(tǒng)以在線方式部署,實(shí)時(shí)分析鏈路上的傳輸數(shù)據(jù),對(duì)隱藏在 4-7 層特別是應(yīng)用層的攻擊行為進(jìn)行阻斷,專注的是深層防御、精確阻斷。同時(shí),IPS 也提供對(duì)網(wǎng)絡(luò)濫用的檢測(cè)和阻斷能力。

         項(xiàng)目實(shí)施后,防火墻、入侵防御系統(tǒng)、負(fù)載均衡管理系統(tǒng)、風(fēng)險(xiǎn)評(píng)估漏洞掃描系統(tǒng)等設(shè)備一同構(gòu)成了一道全面的縱深防御體系,確保宜賓市政府信息中心網(wǎng)絡(luò)系統(tǒng)和關(guān)鍵業(yè)務(wù)的安全運(yùn)行。

         2 需求分析

         從宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)的實(shí)際情況來看,我們認(rèn)為應(yīng)該從以下幾個(gè)方面進(jìn)行全面的分析:

         ? 鏈路層 ? 網(wǎng)絡(luò)層

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 2

         ? 系統(tǒng)層 ? 應(yīng)用層 ? 防病毒 下面將分別進(jìn)行詳細(xì)的闡述。

         2.1 網(wǎng)絡(luò)層的安全分析 網(wǎng)絡(luò)設(shè)備主要包括宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)各節(jié)點(diǎn)上的路由器、交換機(jī)等設(shè)備。網(wǎng)絡(luò)層不僅為宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)提供連接通路和網(wǎng)絡(luò)數(shù)據(jù)交換的連接,而且是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路。由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的 TCP/IP 協(xié)議并非專為安全通訊而設(shè)計(jì),所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。整個(gè)網(wǎng)絡(luò)面臨著來自網(wǎng)絡(luò)外部和內(nèi)部的雙重威脅。

         尤其在外網(wǎng) Internet 中存在著大量的黑客攻擊,他們常常針對(duì) web 服務(wù)器和郵件服務(wù)器作為突破口,進(jìn)行網(wǎng)絡(luò)攻擊和滲透。常見得一些手法如下:IP 欺騙、重放或重演、拒絕服務(wù)攻擊(SYN FLOOD,PING FLOOD 等)、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等。黑客可以容易的在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)出口進(jìn)出,對(duì)系統(tǒng)進(jìn)行攻擊或非法訪問。

         而在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)內(nèi)部,基本上還沒有嚴(yán)格的防范措施,其中的安全隱患不言而喻。如果加上安全管理上的不夠完善等因素,或者在已有的服務(wù)器與單機(jī)中存在著后門程序(木馬程序)的話,攻擊者就可以很容易地取得網(wǎng)絡(luò)管理員權(quán)限,從而進(jìn)一步控制計(jì)算機(jī)系統(tǒng),網(wǎng)絡(luò)中大量的數(shù)據(jù)就會(huì)被竊取和破壞。

         根據(jù)木桶原理,網(wǎng)絡(luò)中只要一個(gè)地方出現(xiàn)了安全問題,那么整個(gè)網(wǎng)絡(luò)都是不安全的。因此,在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)出口處應(yīng)配置應(yīng)用級(jí)防火墻來加強(qiáng)訪問控制,并部署入侵監(jiān)控系統(tǒng),杜絕可能存在的安全隱患,來保證網(wǎng)絡(luò)安全可靠的正常運(yùn)行。

         由于宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)是一個(gè)跨地域的廣域網(wǎng),有很多需要對(duì)外保密的業(yè)務(wù)數(shù)據(jù)需要通過 Internet 公用網(wǎng)絡(luò)鏈路進(jìn)行傳輸,而公眾網(wǎng)(Internet)一般沒有網(wǎng)絡(luò)安全措施,采用明文方式傳輸數(shù)據(jù),如果不加密很容易被非法分子竊取數(shù)據(jù),病毒攻擊以及黑客入侵。

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 3

         2.2 系統(tǒng)層的安全分析 在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)中有著多種不同的操作系統(tǒng),如:Windows、 Linux 等等,這些系統(tǒng)都或多或少地存在著各種各樣的漏洞。如果這些操作系統(tǒng)沒有進(jìn)行系統(tǒng)的加固和正確的安全配置,而只是按照原來系統(tǒng)的默認(rèn)安裝,這樣的主機(jī)系統(tǒng)是極其不安全的。一名黑客可以通過 Unicode、緩存溢出、造成死機(jī)等方式進(jìn)行破壞,甚至取得主機(jī)管理員的權(quán)限。此外,在網(wǎng)絡(luò)中,一些黑客利用系統(tǒng)管理員的疏忽用缺省用戶的權(quán)限和密碼口令就可以輕松地進(jìn)入系統(tǒng)修改權(quán)限,從而控制主機(jī)。

         宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)中存在一定量的服務(wù)器,如:數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、文件等等,而這些服務(wù)器都擔(dān)負(fù)著重要的服務(wù)功能,如果這些服務(wù)器(尤其是有大量的數(shù)據(jù)處理的服務(wù)器),一旦癱瘓或者因被人植入后門造成遠(yuǎn)程控制竊取數(shù)據(jù),后果將不堪設(shè)想。為了保證業(yè)務(wù)數(shù)據(jù)的正常流通和安全,需對(duì)這些重要的服務(wù)器進(jìn)行全方位的防護(hù)。

         2.3 應(yīng)用層的安全分析 宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)與 Internet 相連,存在著包括 Web、FTP、E-mail、DNS 等各種 Internet 應(yīng)用。應(yīng)用系統(tǒng)的安全性主要考慮應(yīng)用系統(tǒng)與系統(tǒng)層和網(wǎng)絡(luò)層的安全服務(wù)無縫連接。在應(yīng)用層的安全問題,黑客往往抓住一些應(yīng)用服務(wù)的缺陷和弱點(diǎn)來對(duì)其進(jìn)行攻擊的,比如針對(duì)錯(cuò)誤的 Web 目錄結(jié)構(gòu)、CGI 腳本缺陷、Web 服務(wù)器應(yīng)用程序缺陷、為索引的 Web 頁、有缺陷的瀏覽器甚至是利用 Oracle、 SAP、 Peoplesoft 缺省帳戶。

         應(yīng)用層的安全威脅還包括對(duì)各種不良網(wǎng)絡(luò)內(nèi)容的訪問,比如內(nèi)網(wǎng)用戶訪問非法(如發(fā)布反動(dòng)言論、宣揚(yáng)法輪功等)或不良(色情、迷信)網(wǎng)站等。有的 Internet站點(diǎn)上還包含有害的 Java Applet 或 ActiveX 小程序,如果不慎訪問將有可能帶入病毒和木馬程序,甚至有的網(wǎng)頁可以通過一段簡單的代碼直接破壞訪問者計(jì)算機(jī)的數(shù)據(jù)和系統(tǒng),對(duì)網(wǎng)絡(luò)安全和效率都將造成極大破壞。

         應(yīng)能對(duì)網(wǎng)絡(luò)應(yīng)用分析、內(nèi)容過濾與審計(jì)進(jìn)行分析和控制 ? 網(wǎng)站訪問內(nèi)容審計(jì)和控制; ? 網(wǎng)站發(fā)貼(BBS)內(nèi)容審計(jì)和控制; ? 郵件收發(fā)、webmail 審計(jì)內(nèi)容審計(jì)和控制;

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 4

         ? FTP、TELNET 內(nèi)容審計(jì)和控制; ? Https 行為審計(jì)和控制; ? Lotus 郵件信息審計(jì)和控制; ? 常見網(wǎng)絡(luò)在線游戲:QQ 在線游戲;聯(lián)眾在線游戲、中國游戲中心、邊鋒網(wǎng)絡(luò)游戲、遠(yuǎn)航游戲中心、浩方網(wǎng)游審計(jì)和控制; ? 常見即時(shí)通訊:QQ、MSN、ICQ 和 YahooMessage 內(nèi)容審計(jì)控制和使用即時(shí)通訊的傳輸文件的控制; ? 音視頻行為審計(jì)和控制; ? P2P 下載:BT 和電驢的下載審計(jì)控制和下載的流量限制控制等。

         能針對(duì)互聯(lián)網(wǎng)的使用狀況,人員的上網(wǎng)習(xí)慣等進(jìn)行分析。實(shí)現(xiàn)網(wǎng)絡(luò)訪問記錄、郵件訪問記錄、上網(wǎng)時(shí)間控制、禁止不良站點(diǎn)訪問等功能。提供優(yōu)秀的內(nèi)容安全控制功能。同時(shí)通過對(duì)其捕獲的網(wǎng)絡(luò)日志數(shù)據(jù)進(jìn)行深入的挖掘和分析,提供完整的上網(wǎng)行為日志統(tǒng)計(jì)、分析功能,網(wǎng)絡(luò)流量趨勢(shì)分析等功能,還可以根據(jù)應(yīng)用特點(diǎn)生成圖文并茂的統(tǒng)計(jì)分析報(bào)表,為用戶在網(wǎng)絡(luò)管理、行政管理,企業(yè)文化建設(shè)等方面提供專業(yè)的分析和管理工具。

         2.4 網(wǎng)絡(luò)出口 病毒 風(fēng)險(xiǎn)分析 計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅。而隨著網(wǎng)絡(luò)的不斷發(fā)展,網(wǎng)絡(luò)速度越來越快,網(wǎng)絡(luò)應(yīng)用也越來越豐富多彩,使得病毒傳播的風(fēng)險(xiǎn)也越來越大,造成的破壞也越來越強(qiáng)。據(jù)國際計(jì)算機(jī)安全協(xié)會(huì)的統(tǒng)計(jì),目前已經(jīng)有超過 90%的病毒是通過網(wǎng)絡(luò)進(jìn)行傳播的。宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)內(nèi)用戶訪問Internet 時(shí),無論是瀏覽 WEB 頁面,還是通過 FTP 下載文件,或者是收發(fā) E-mail,都可能將 Internet 上的病毒帶入網(wǎng)內(nèi)。而近幾年泛濫成災(zāi)的網(wǎng)絡(luò)蠕蟲病毒(如紅色代碼、尼姆達(dá)、沖擊波、振蕩波等)跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進(jìn)行傳播的基于文件的病毒有很大的不同,它們本身是一個(gè)病毒與黑客工具的結(jié)合體,當(dāng)網(wǎng)絡(luò)當(dāng)中一臺(tái)計(jì)算機(jī)感染蠕蟲病毒后,它會(huì)自動(dòng)的以極快的速度(每秒幾百個(gè)線程)掃描網(wǎng)絡(luò)當(dāng)中其他計(jì)算機(jī)的安全漏洞,并主動(dòng)的將病毒傳播到那些存在安全漏洞的計(jì)算機(jī)上,只要相關(guān)的安全漏洞沒有通過安裝補(bǔ)丁的方式加以彌補(bǔ),蠕蟲病毒就會(huì)這樣以幾何級(jí)數(shù)的增長速度在網(wǎng)絡(luò)當(dāng)中傳播,即使計(jì)算機(jī)上安裝了帶有實(shí)時(shí)監(jiān)控功能的防病毒軟件(包括單機(jī)版和網(wǎng)絡(luò)版)對(duì)此也無能為力。蠕蟲病毒

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 5

         的傳播還會(huì)大量占用網(wǎng)絡(luò)帶寬,造成網(wǎng)絡(luò)擁堵,形成拒絕服務(wù)式攻擊(DoS)。

         因此,對(duì)于新型的網(wǎng)絡(luò)蠕蟲病毒,必須在網(wǎng)關(guān)處進(jìn)行過濾,防止病毒進(jìn)入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為未來防病毒體系中的重中之重,需要引起宜賓市政府信息中心電子政務(wù)的特別重視。

         統(tǒng)計(jì)數(shù)據(jù):90%以上的病毒是通過 Internet 傳播的

         統(tǒng)計(jì)數(shù)據(jù):Internet 防病毒網(wǎng)關(guān)需求正逐年增加 2.5 互聯(lián)網(wǎng) 多鏈路負(fù)載均衡 為了提升宜賓市政府信息中心的應(yīng)用系統(tǒng),尤其是對(duì)外發(fā)布的門戶網(wǎng)站以及應(yīng)用系統(tǒng)的穩(wěn)定性和可靠行,宜賓市政府信息中心已經(jīng)部署多條互聯(lián)網(wǎng)鏈路以保證網(wǎng)絡(luò)服務(wù)的質(zhì)量,消除單點(diǎn)故障,減少停機(jī)時(shí)間。目前需要在如下兩種

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 6

         情況下實(shí)現(xiàn)多條鏈路的負(fù)載均衡:

         1. 內(nèi)部的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)工作站在訪問互聯(lián)網(wǎng)絡(luò)的服務(wù)和網(wǎng)站時(shí)如何能夠在多條不同的鏈路中動(dòng)態(tài)分配和負(fù)載均衡,這也被稱為出站流量的負(fù)載均衡。

         2. 互聯(lián)網(wǎng)絡(luò)的外部用戶如何在外部訪問內(nèi)部的網(wǎng)站和應(yīng)用系統(tǒng)時(shí)也能夠動(dòng)態(tài)的在多條鏈路上平衡分配,并在一條鏈路中斷的時(shí)候能夠智能地自動(dòng)切換到另外一條鏈路到達(dá)服務(wù)器和應(yīng)用系統(tǒng),這也被稱作為入站流量的負(fù)載均衡。

         3 網(wǎng)絡(luò)安全方案設(shè)計(jì)原則 網(wǎng)絡(luò)安全的重要性已經(jīng)被人們所認(rèn)可,而網(wǎng)絡(luò)安全的需求也是包含了從硬件物理到人為的信息安全服務(wù),但網(wǎng)絡(luò)安全方案要做到全面、可擴(kuò)充,其設(shè)計(jì)應(yīng)遵循以下原則:

         3.1 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 對(duì)任一網(wǎng)絡(luò),絕對(duì)安全難以達(dá)到,也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等),并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定相應(yīng)的規(guī)范和措施,確定系統(tǒng)的安全策略。

         3.2 綜合性、整體性原則 應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認(rèn)證技術(shù)、攻擊檢測(cè)技術(shù)、容錯(cuò)、防病毒等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。

         計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié),包括個(gè)人(使用、維護(hù)、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等,在網(wǎng)絡(luò)安全中的地位和影響作用,只有從系統(tǒng)整體的角度去看待、分析,才可能得到有效、可行的安全措施。不同的安全措施其代價(jià)、

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 7

         效果對(duì)不同網(wǎng)絡(luò)并不完全相同。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

         3.3 一致性原則 一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)(包括初步或詳細(xì)設(shè)計(jì))及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等,都要有詳實(shí)的內(nèi)容及措施。實(shí)際上,在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對(duì)策,比在網(wǎng)絡(luò)建設(shè)完成后再考慮安全措施,不但容易,而且花費(fèi)也少很多。

         3.4 易操作性原則 安全措施需要人去完成,如果措施過于復(fù)雜,對(duì)人的要求過高,本身就降低了安全性;其次,措施的采用不能影響系統(tǒng)的正常運(yùn)行。

         3.5 適應(yīng)性及靈活性原則 安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化,要容易適應(yīng)、容易修改和升級(jí)。

         3.6 多重保護(hù)原則 任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。

         3.7 可評(píng)價(jià)性原則 如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性,這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來實(shí)現(xiàn)。

         網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的。網(wǎng)絡(luò)安全的整體性是指一個(gè)安全系統(tǒng)的建立,即包括采用相應(yīng)的安全設(shè)備,又包括相應(yīng)的管理手段。安全設(shè)備不是指單一的某種安全設(shè)備,而是指幾種安全設(shè)備的綜合。網(wǎng)絡(luò)安全的動(dòng)態(tài)性是指,網(wǎng)絡(luò)安全是隨著環(huán)境、時(shí)間的變化而變化的,在一定環(huán)境下是安全的系統(tǒng),環(huán)境發(fā)生變化了(如更換了某個(gè)機(jī)器),原來安全的系統(tǒng)就變的不安全了;在一段時(shí)間里安全的

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 8

         系統(tǒng),時(shí)間發(fā)生變化了(如今天是安全的系統(tǒng),可能因?yàn)楹诳桶l(fā)現(xiàn)了某種系統(tǒng)的漏洞,明天就會(huì)變的不安全了),原來的系統(tǒng)就會(huì)變的不安全。所以,網(wǎng)絡(luò)安全不是一勞永逸的事情。

         針對(duì)安全體系的特性,我們可以采用“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。具體而言,我們可以先對(duì)網(wǎng)絡(luò)做一個(gè)比較全面的安全體系規(guī)劃,然后,根據(jù)我們網(wǎng)絡(luò)的實(shí)際應(yīng)用狀況,先建立一個(gè)基礎(chǔ)的安全防護(hù)體系,保證基本的、必需的安全性。隨著今后應(yīng)用的種類和復(fù)雜程度的增加,再在原來基礎(chǔ)防護(hù)體系之上,建立增強(qiáng)的安全防護(hù)體系。

         對(duì)于宜賓市政府信息中心電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全的設(shè)計(jì),我們建議采取以上的原則,先對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行整體的安全規(guī)劃,然后,根據(jù)實(shí)際狀況建立一個(gè)從防護(hù)——檢測(cè)——響應(yīng)的基礎(chǔ)的安全防護(hù)體系,保證整個(gè)網(wǎng)絡(luò)安全的最根本需要。

         4 解決方案

         4.1 網(wǎng)絡(luò)拓?fù)?通過和宜賓市政府信息中心溝通,按照其單位網(wǎng)絡(luò)架構(gòu)和需求情況,我們推薦使用杭州迪普科技的數(shù)據(jù)中心結(jié)構(gòu)化安全解決方案和深信服鏈路負(fù)載均衡解決方案。具體網(wǎng)絡(luò)拓?fù)洳渴鹎闆r如下:

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 9

          我們?cè)诜桨钢羞x擇迪普品牌的安全防護(hù)解決方案,可以完全滿足用戶對(duì)防火墻和入侵抵御設(shè)備的要求,同時(shí)還可以提供邊界防病毒部署能力,為宜賓市政府信息中心提供周全的邊界安全防護(hù)解決方案。同時(shí)我們選擇的設(shè)備無論在端口數(shù)、服務(wù)功能、處理能力還是本地/遠(yuǎn)程接入用戶數(shù)量上,均具備了一定的冗余能力,可以在將來的使用中為用戶節(jié)約更多的中體擁有成本,提供更好的投資保護(hù)。

         4.2 安全域邊界解決方案 邊界防護(hù)子系統(tǒng)由兩部分組成,防火墻和入侵抵御系統(tǒng)(以下均簡稱為IPS),防火墻為網(wǎng)絡(luò)提供基于 OSI 三到四層的強(qiáng)壯的安全保護(hù)服務(wù),IPS 為網(wǎng)絡(luò)提供四到七層的精細(xì)化的安全防護(hù)服務(wù)。

         防火墻就是運(yùn)行于軟件和硬件上的,安裝在特定網(wǎng)絡(luò)邊界的,實(shí)施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護(hù)屏障,防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源甚至破壞內(nèi)部網(wǎng)絡(luò);可以把單位的公共

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 10

         網(wǎng)絡(luò)服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔開防止外部用戶以公共服務(wù)器為跳板私自接入內(nèi)部網(wǎng)絡(luò);還能夠把重點(diǎn)服務(wù)器與內(nèi)部網(wǎng)絡(luò)隔離開防止內(nèi)部非授權(quán)用戶的隨意操作危害到服務(wù)器安全,對(duì)服務(wù)器進(jìn)行重點(diǎn)防護(hù)?傊渴鸱阑饓Φ哪康木褪潜Wo(hù)高信任級(jí)別網(wǎng)絡(luò)不受來自低信任級(jí)別網(wǎng)絡(luò)的攻擊。

         防火墻作為傳統(tǒng)的網(wǎng)絡(luò)邊界安全防護(hù)設(shè)備,一直以來都是網(wǎng)絡(luò)中不可缺少的“守門員”,十幾年來,防火墻在網(wǎng)絡(luò)邊界大力提升了網(wǎng)絡(luò)安全性并逐步擺脫了網(wǎng)絡(luò)吞吐量瓶頸的障礙。但是,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,傳統(tǒng)的第三層防火墻只能在網(wǎng)絡(luò)隔離、端口封閉方面施展自己的能力,而對(duì)基于端口協(xié)議上的眾多細(xì)分業(yè)務(wù)和基于系統(tǒng)或軟件漏洞的攻擊無法控制(現(xiàn)在市面上陸續(xù)出現(xiàn)一些可對(duì)部分 7層業(yè)務(wù)進(jìn)行操作的防火墻,部分決絕了這個(gè)問題,但無論在功能性還是覆蓋率等各方面都實(shí)在不夠?qū)I(yè)),如 BT、Emule 等 P2P 業(yè)務(wù)、未經(jīng)授權(quán)的流量、后門軟件、攻擊流量等。于是發(fā)展出了基于第七層應(yīng)用層的安全設(shè)備,以按照業(yè)務(wù)或流量來保護(hù)網(wǎng)絡(luò)不受攻擊,盡管入侵檢測(cè)系統(tǒng)(IDS)曾一度出現(xiàn),但旁路檢測(cè)與防火墻聯(lián)動(dòng)的模式無法有效阻止攻擊或控制流量,因此并未得到發(fā)展。

         針對(duì)現(xiàn)在攻擊變化多、發(fā)展快、單包攻擊增多等新特點(diǎn),以及用戶對(duì)流量精細(xì)化控制等方面的需求,必須采用在線的設(shè)備來應(yīng)對(duì) ,即主動(dòng)的入侵防御系統(tǒng)!

         入侵防護(hù)系統(tǒng)(IPS)是下一代安全系統(tǒng)的大趨勢(shì)。它不僅可進(jìn)行檢測(cè),還能在攻擊造成損壞前阻斷它們,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全主動(dòng)的控制。

         毫無疑問,在線部署的基于第七層的主動(dòng)式設(shè)備要求持續(xù)的無阻礙轉(zhuǎn)發(fā),對(duì)吞吐量和可靠性性都提出了新的要求,就像防火墻剛剛出現(xiàn)一樣,設(shè)備性能和可靠性這兩個(gè)指標(biāo)成為衡量一個(gè)設(shè)備是否合格的主要標(biāo)準(zhǔn),而 IPS 設(shè)備經(jīng)常面對(duì)不斷變化的攻擊所需具備的多業(yè)務(wù)能力、功能擴(kuò)展能力又對(duì)產(chǎn)品結(jié)構(gòu)提出了更高的要求。經(jīng)過綜合比較,迪普科技率先采用多核芯片結(jié)合 MPE(多業(yè)務(wù)并行處理引擎)安全處理平臺(tái)為 IPS 賦予了強(qiáng)大、可靠的處理能力和擴(kuò)展能力。

         4.2.1 產(chǎn)品推薦 網(wǎng)絡(luò)建設(shè)不斷升級(jí)和優(yōu)化,防火墻系統(tǒng)已經(jīng)成為最基本和最重要的安全防護(hù)手段之一。

         迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累,具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺(tái)。是全球極少數(shù)可提供超萬兆防火墻產(chǎn)品的廠商。

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 11

         針對(duì)應(yīng)用層威脅日益增多的趨勢(shì),迪普科技創(chuàng)新性的推出了新一代 DPtech FW1000 系列應(yīng)用防火墻。

         DPtech FW1000 系列應(yīng)用防火墻基于“并行流過濾引擎”、“DPI”等核心技術(shù),是目前業(yè)界性能最高、功能最全面的下一代防火墻產(chǎn)品。DPtechFW1000 系列應(yīng)用防火墻可以提供安全域劃分、VPN 接入、NAT 地址轉(zhuǎn)換、URL 過濾、攻擊防護(hù)、虛擬系統(tǒng)、行為管理、安全審計(jì)等功能,吞吐量最大可超萬兆,能夠滿足各種網(wǎng)絡(luò)環(huán)境下對(duì)防火墻高性能、高可靠和易管理的需求,是業(yè)務(wù)安全保障的最佳選擇。

         4.2.2 系統(tǒng)部署 迪普科技 FW1000 系列防火墻支持以下各種靈活組網(wǎng)模式:

         4.2.3 防火墻安全控制策略:

         ? 防火墻設(shè)置為默認(rèn)拒絕工作方式,保證所有的數(shù)據(jù)包,如果沒有明確的規(guī)則允許通過,全部拒絕以保證安全; ? 打開允許通過的地址和端口

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 12

         ? 配置防火墻防 DOS/DDOS 功能,對(duì) Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進(jìn)行防范,可以實(shí)現(xiàn)對(duì)各種拒絕服務(wù)攻擊的有效防范,保證網(wǎng)絡(luò)帶寬; ? 配置防火墻全面攻擊防范能力,包括 ARP 欺騙攻擊的防范,提供ARP 主動(dòng)反向查詢、TCP 報(bào)文標(biāo)志位不合法攻擊防范、超大 ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP 重定向或不可達(dá)報(bào)文控制功能、Tracert 報(bào)文控制功能、帶路由記錄選項(xiàng) IP 報(bào)文控制功能等,全面防范各種網(wǎng)絡(luò)層的攻擊行為; ? 在防火墻上配置 NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換),保護(hù)內(nèi)網(wǎng)終端不直接暴露在外部網(wǎng)絡(luò)中。

         ? 根據(jù)需要,配置 IP/MAC 綁定功能,對(duì)能夠識(shí)別 MAC 地址的主機(jī)進(jìn)行鏈路層控制; ? 其他可選策略:

         ? 根據(jù)需要,在防火墻上設(shè)置 QOS 規(guī)則,以防火墻的高處理性能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的初步管理,有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用,保護(hù)網(wǎng)絡(luò)帶寬,降低主流控設(shè)備 IPS 的壓力; ? 根據(jù)應(yīng)用和管理的需要,設(shè)置有效工作時(shí)間段規(guī)則,實(shí)現(xiàn)基于時(shí)間的訪問控制,可以組合時(shí)間特性,實(shí)現(xiàn)更加靈活的訪問控制能力; ? 在防火墻上進(jìn)行設(shè)置告警策略,利用靈活多樣的告警響應(yīng)手段(E-mail、日志、SNMP 陷阱等),實(shí)現(xiàn)攻擊行為的告警,有效監(jiān)控網(wǎng)絡(luò)應(yīng)用; ? 啟動(dòng)防火墻日志功能,利用防火墻的日志記錄能力,詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計(jì)分析; DPTECH FW1000-GS-N 防火墻是一款基于多核技術(shù)實(shí)現(xiàn)的電信級(jí)千兆線速防火墻產(chǎn)品。產(chǎn)品采用模塊化設(shè)計(jì),自帶了豐富的千兆光、電接口和兩個(gè)業(yè)務(wù)插槽,可根據(jù)用戶需求靈活配置網(wǎng)絡(luò)接口模塊,能夠較好地適應(yīng)各種網(wǎng)絡(luò)拓?fù)洹1卷?xiàng)目中即為用戶配置了 6 個(gè)千兆電口和 2 個(gè)千兆 SFP 光接口,并內(nèi)置硬件 VPN 加密模塊,便于靈活選擇端口組網(wǎng)。

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 13

          4.2.4 功能特色

         DPtech 防火墻具備如下特點(diǎn):

         ?

         率先采用先進(jìn)的多核硬件架構(gòu),實(shí)現(xiàn)超萬兆的安全防護(hù) ?

         全內(nèi)置IPSec VPN、SSL VPN硬件加密 ?

         接口模塊和業(yè)務(wù)模塊的按需擴(kuò)展 ?

         支持路由模式、透明模式、混合模式組網(wǎng) ?

         支持安全區(qū)域劃分、虛擬防火墻技術(shù) ?

         全面的URL過濾,實(shí)現(xiàn)細(xì)粒度的安全管理 ?

         冗余電源、狀態(tài)熱備等高可靠性 ?

         支持豐富的網(wǎng)絡(luò)協(xié)議,適應(yīng)各種復(fù)雜組網(wǎng)環(huán)境

         4.3 病毒防護(hù)體系建設(shè)

         隨著 IT 產(chǎn)業(yè)的發(fā)展,來自病毒、木馬和間諜軟件等威脅的日益增多,由于病毒攻擊目標(biāo)沒有特定性,而且越來越隱蔽,一旦爆發(fā)將會(huì)帶來網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息泄漏、未經(jīng)授權(quán)的操作和數(shù)據(jù)丟失等嚴(yán)重后果,無疑將給用戶帶來巨大的經(jīng)濟(jì)損失和社會(huì)影響。

         現(xiàn)代病毒傳播途徑多樣化,也給病毒防護(hù)工作帶來難度,因?yàn)槿魏我粋(gè)系統(tǒng)都有可能成為病毒傳播的“傳染源”,只有覆蓋網(wǎng)絡(luò)的各個(gè)方面才能防止網(wǎng)絡(luò)出現(xiàn)防毒“盲區(qū)”。在終端機(jī)器安裝防病毒軟件可以解決部分問題,但是這種方式較為被動(dòng),單機(jī)有時(shí)難以抵擋病毒的沖擊,結(jié)合部署具有防病毒網(wǎng)關(guān)才能將真正控制“病從口入”。

         隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,病毒技術(shù)也發(fā)生著一日千里的變化,病毒防護(hù)技術(shù)必將面臨更多的難題和挑戰(zhàn)。通過 DPtech IPS 的防病毒邊界保護(hù),配合各單位自身的有效監(jiān)控、全面管理、合理防范,可以從容應(yīng)對(duì)層出不窮的病毒威脅,

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 14

         解除病毒的困擾。

         迪普科技與國際知名廠商卡巴斯基的戰(zhàn)略合作,將專業(yè)的防病毒引擎和權(quán)威的特征庫融入到 DPtech 安全產(chǎn)品中,以高性能、穩(wěn)定的多核電信級(jí)產(chǎn)品承載專業(yè)的防病毒庫,而每年低廉的升級(jí)費(fèi)用即已經(jīng)包含了病毒庫的升級(jí)在內(nèi)。在以更專業(yè)、更優(yōu)質(zhì)的產(chǎn)品提升用戶網(wǎng)絡(luò)安全防護(hù)能力的同時(shí),大大降低用戶投資和維護(hù)成本。

         機(jī)載病毒庫將病毒分為高流行度病毒、中流行度病毒和低流行度病毒三大類,可以在雙向提供不阻斷、阻斷、阻斷+向源 IP 發(fā)送 TCP Reset、阻斷+向目的 IP 發(fā)送 TCP Reset、阻斷+雙向發(fā)送 TCP Reset 五種選擇,同時(shí)可以選擇是否發(fā)送日志。

         由于此次用戶招標(biāo)入侵抵御產(chǎn)品吞吐量較低,且并未包含防病毒方面的需求,此功能為我公司解決方案中額外提供,所以我們建議先從低級(jí)別開始設(shè)置。先開啟內(nèi)外網(wǎng)間的一路,采用單向阻斷的設(shè)置,再逐步按照用戶實(shí)際流量情況及設(shè)備處理能力(設(shè)備管理頁面首頁即是 CPU、內(nèi)存工作情況圖)通過兩路開啟、雙向開啟、阻斷+雙向發(fā)送 TCP Reset 開啟等步驟逐步向最高的保護(hù)級(jí)別提升。

         最終通過在關(guān)鍵節(jié)點(diǎn)部署網(wǎng)關(guān)防病毒,可以起到“閘門”的作用,既可以抵御來自外部的各種病毒威脅,對(duì)內(nèi)部網(wǎng)絡(luò)和重要服務(wù)器提供安全防護(hù);又可以避免內(nèi)部信息被病毒、木馬、間諜軟件等泄露,避免將威脅擴(kuò)散到外部網(wǎng)絡(luò),從而實(shí)現(xiàn)雙向安全防護(hù)。

         4.4 入侵 防御 系統(tǒng)解決方案

         隨著各種網(wǎng)絡(luò)應(yīng)用的不斷豐富,傳統(tǒng)的基于網(wǎng)絡(luò)層的防護(hù)已經(jīng)無法滿足日益增多的應(yīng)用層攻擊,IPS(Intrusion Prevention System,入侵防御系統(tǒng)) 在線部署在網(wǎng)絡(luò)中,當(dāng)流量經(jīng)過 IPS 時(shí)將被完全檢測(cè)并判斷是否合法,可以實(shí)時(shí)地抵御來自應(yīng)用層的各種攻擊。

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 15

          4.4.1 產(chǎn)品推薦 迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累,具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺(tái),是全球唯一的可提供萬兆 IPS 產(chǎn)品的廠商。

         DPtech IPS2000 系列入侵防御系統(tǒng)基于“并行流過濾引擎”、“DPI”等核心技術(shù),是針對(duì)系統(tǒng)漏洞、協(xié)議弱點(diǎn)、病毒蠕蟲、間諜軟件、惡意攻擊、流量異常等應(yīng)用層安全威脅的一體化專業(yè)防御平臺(tái),部署 IPS2000 系列產(chǎn)品后,可以在網(wǎng)絡(luò)出口處、服務(wù)器群前針對(duì)所有流量進(jìn)行檢測(cè),并對(duì)檢測(cè)到的安全威脅進(jìn)行實(shí)時(shí)抵御。

         DPtech IPS2000 系列入侵防御系統(tǒng)是目前業(yè)界性能最高、特征庫最豐富、功能最全面的 IPS 產(chǎn)品,能夠滿足各種網(wǎng)絡(luò)環(huán)境對(duì)應(yīng)用層安全防護(hù)的高性能、高可靠和易管理的需求。可以提供入侵防御/檢測(cè)、流量控制、病毒防范、DDoS 防護(hù)、網(wǎng)頁過濾等應(yīng)用層安全功能,是應(yīng)用層安全保障的最佳選擇。

         4.4.2 系統(tǒng)部署

         迪普科技 IPS2000 系列入侵防御系統(tǒng)支持以下各種靈活組網(wǎng)模式:

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 16

          4.4.3 IPS 邊界安全控制策略 ? 使用默認(rèn)IPS規(guī)則,安全防護(hù)級(jí)別選定中級(jí),即“致命和嚴(yán)重攻擊阻斷并發(fā)送日志,其他攻擊不處理”。當(dāng)然也可選擇高級(jí)“致命和嚴(yán)重攻擊阻斷并發(fā)送日志,其他攻擊只發(fā)送日志”,但會(huì)形成大量的無用日志。不建議選擇低級(jí)“致命攻擊阻斷并發(fā)送日志,嚴(yán)重攻擊只發(fā)送日志,其他攻擊不處理”,這會(huì)帶來重大的危險(xiǎn)。默認(rèn)的IPS規(guī)則提供了對(duì)操作系統(tǒng)、辦公軟件、應(yīng)用軟件、數(shù)據(jù)庫、WEB應(yīng)用瀏覽器及其它幾大分類的漏洞保護(hù),有3000余條且在不斷更新,基本囊括了現(xiàn)在常見的各類軟件。

         ? 開啟DDOS防護(hù)功能 ? 其它可供選擇的策略 ? 開啟網(wǎng)絡(luò)訪問帶寬限速 ? 開啟網(wǎng)絡(luò)訪問應(yīng)用控制,即對(duì)指定用戶的指定應(yīng)用組實(shí)施黑白名單管理,將不允許使用的軟件徹底阻斷,或阻斷所有應(yīng)用,只保留必須使用的軟件暢通。

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 17

         ? 開啟URL過濾,隔離色情、反動(dòng)等不良網(wǎng)站對(duì)內(nèi)網(wǎng)用戶的影響。

         迪普 IPS 設(shè)備 IPS2000-GS-N 可以提供 12 個(gè)業(yè)務(wù)接口(其中 6 個(gè)千兆電口,6 個(gè)千兆 SFP 光口),即最多可提供 6 路 IPS/IDS 的連接,不止可以滿足用戶現(xiàn)在需要,還為將來網(wǎng)絡(luò)升級(jí)、擴(kuò)容、改造留出了充裕的空間。設(shè)備使用專用的GE 管理接口,不占用業(yè)務(wù)接口。

         在服務(wù)器前端部署 IPS 后,形成虛擬補(bǔ)丁保護(hù)服務(wù)器,管理員可不必再隨時(shí)冒險(xiǎn)更新各類安全補(bǔ)丁或放棄打補(bǔ)丁,以免為服務(wù)器的正常運(yùn)行帶來風(fēng)險(xiǎn)。

          4.4.4 功能特色

         IPS2000 入侵防御系統(tǒng)具備如下特點(diǎn):

         ?

         率先采用先進(jìn)的多核硬件架構(gòu),實(shí)現(xiàn)萬兆級(jí)的入侵防御 ?

         專業(yè)的系統(tǒng)漏洞防護(hù),實(shí)現(xiàn)虛擬軟件補(bǔ)丁技術(shù) ?

         創(chuàng)新性地集成卡巴斯基的防病毒引擎

         ?

         高效專業(yè)的DDoS防護(hù)能力 ?

         漏洞庫、協(xié)議庫、病毒庫三庫合一,持續(xù)自動(dòng)更新

         ?

         實(shí)時(shí)的響應(yīng)方式:阻斷、限流、隔離、重定向、E-mail ?

         靈活的部署模式:在線模式、監(jiān)聽模式、混合模式 ?

         無源直通、Fail-Open等高可靠性機(jī)制

         4.4.5 方案優(yōu)勢(shì) 迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累,具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺(tái),是全球唯一的可提供萬兆 IPS 產(chǎn)品的廠商。

         DPtech IPS2000 系列入侵防御系統(tǒng)基于“并行流過濾引擎”、“DPI”等核心技術(shù),是針對(duì)系統(tǒng)漏洞、協(xié)議弱點(diǎn)、病毒蠕蟲、間諜軟件、惡意攻擊、流量異常等應(yīng)用層安全威脅的一體化專業(yè)防御平臺(tái),部署 IPS2000 系列產(chǎn)品后,可以在網(wǎng)絡(luò)

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 18

         出口處、服務(wù)器群前針對(duì)所有流量進(jìn)行檢測(cè),并對(duì)檢測(cè)到的安全威脅進(jìn)行實(shí)時(shí)抵御。

         4.4.5.1 全面的攻擊檢測(cè) ? 基于網(wǎng)絡(luò)的攻擊與檢測(cè)技術(shù) 入侵防御的基本功能是識(shí)別盡可能多的攻擊,同時(shí)又避免不必要的誤報(bào),同時(shí)也需要保證企業(yè)有限的帶寬不被濫用,為了達(dá)到上述目標(biāo),單純的采用一種技術(shù)手段是無法做到的,迪普創(chuàng)新性的融合了多種內(nèi)容識(shí)別技術(shù),保證了系統(tǒng)能夠快速高效的發(fā)現(xiàn)異常流量并阻斷,同時(shí)保證正常業(yè)務(wù)的開展,提供如下幾項(xiàng)技術(shù):

         基于流的狀態(tài)特征檢測(cè)技術(shù),基于攻擊固定特征的檢測(cè)這是 IDS/入侵防御最基本攻擊檢測(cè)技術(shù),而基于流的狀態(tài)特征檢測(cè)技術(shù)與以往的不同的是,可以是基于協(xié)議上下文的特征檢測(cè)技術(shù),這樣可以很好的避免誤報(bào)的發(fā)生;如某一個(gè)特征只在三次會(huì)話之后的 client 方向發(fā)生,則檢測(cè)時(shí)只會(huì)針對(duì)這部分?jǐn)?shù)據(jù)流進(jìn)行檢測(cè),而不會(huì)引起誤報(bào); ·協(xié)議異常檢測(cè)技術(shù),通常也叫協(xié)議分析,即對(duì)照 RFC 規(guī)范對(duì)通訊的協(xié)議進(jìn)行檢查,這對(duì)于檢測(cè)基于 RFC 未規(guī)范一些未知攻擊或新的攻擊非常有效;同時(shí)對(duì)于基于固定特征的逃逸也具有先天的免疫; ·智能的自適應(yīng)多層次防護(hù)技術(shù),可以很好的解決 DoS/DDoS 攻擊防護(hù)問題,該技術(shù)通過對(duì)保護(hù)對(duì)象的流量進(jìn)行流量學(xué)習(xí)和建模,針對(duì)不同的類型流量采用不同的動(dòng)作,并通過不斷的學(xué)習(xí)調(diào)整等過程,保證保護(hù)對(duì)象避免 DDoS/DoS 攻擊的困擾; ·在應(yīng)用中識(shí)別威脅技術(shù):

         融合協(xié)議識(shí)別和威脅識(shí)別的基礎(chǔ)上進(jìn)行有狀態(tài)的深度威脅分析,從而更好減少誤報(bào);·基于濫用誤用的帶寬管理技術(shù):在應(yīng)用的智能識(shí)別基礎(chǔ)上,對(duì)于識(shí)別出的濫用和誤用協(xié)議可以進(jìn)行多層次和多緯度的帶寬管理;

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 19

         4.4.5.2 精確的 威脅識(shí)別 ? 基于濫用誤用的帶寬管理技術(shù) 網(wǎng)絡(luò)“以內(nèi)容為王”造成了當(dāng)前網(wǎng)絡(luò)上應(yīng)用的層出不窮,這種繁榮的背后意味著:必須對(duì)網(wǎng)絡(luò)中的應(yīng)用及其行為進(jìn)行深入的感知和分析,對(duì)應(yīng)用的流量和行為進(jìn)行細(xì)粒度分層次的管理,從而預(yù)防可能的濫用和誤用,杜絕各種應(yīng)用所引入的潛在威脅。迪普提出了應(yīng)用的智能識(shí)別、應(yīng)用層次劃分、細(xì)粒度應(yīng)用流量和行為管理、應(yīng)用支持升級(jí)等一系列技術(shù),為用戶應(yīng)對(duì)應(yīng)用帶來的威脅提供了十分有效的管理手段。

         ·應(yīng)用識(shí)別技術(shù)以對(duì)網(wǎng)絡(luò)應(yīng)用的模型化分析為基礎(chǔ),能夠全方位、多角度識(shí)別網(wǎng)絡(luò)中的各種應(yīng)用,為應(yīng)用威脅管理提供有效支持:

         ·支持對(duì)應(yīng)用進(jìn)行樹形、層次化、可調(diào)整和可定義的管理,用戶可以在任何一個(gè) Segment 上,在任意用戶群之間,對(duì)任意一級(jí)的應(yīng)用流量和行為進(jìn)行控制。

         ·支持對(duì)應(yīng)用進(jìn)行可擴(kuò)展的、層次化定義,可以對(duì)應(yīng)用進(jìn)行快速的升級(jí),從而快速實(shí)時(shí)應(yīng)對(duì)網(wǎng)絡(luò)中新出現(xiàn)的應(yīng)用及其帶來的威脅。

         ? 在應(yīng)用中識(shí)別入侵威脅 迪普在強(qiáng)大的應(yīng)用識(shí)別基礎(chǔ)上進(jìn)行有狀態(tài)的深度威脅分析,使入侵防御的入侵檢測(cè)和傳統(tǒng)的僅依據(jù)數(shù)據(jù)報(bào)文特征入侵檢測(cè)有本質(zhì)的不同。應(yīng)用識(shí)別以當(dāng)前數(shù)據(jù)流的應(yīng)用識(shí)別結(jié)果為環(huán)境,指導(dǎo)系統(tǒng)有目的進(jìn)行深度威脅分析,使入侵防御變成內(nèi)容管理指導(dǎo)下的一個(gè)環(huán)節(jié);同時(shí)檢測(cè)結(jié)果在內(nèi)容環(huán)境下進(jìn)行校驗(yàn)和狀態(tài)分析,使入侵檢測(cè)的發(fā)現(xiàn)由單純特征發(fā)現(xiàn)演變成非法應(yīng)用行為模型和攻擊行為模型的發(fā)現(xiàn)。

         ?

         2-7 層協(xié)議異常檢測(cè)

         在層次化的分析架構(gòu)下,為用戶網(wǎng)絡(luò)提供 2-7 層全方位的協(xié)議異常檢測(cè)。

         ·識(shí)別鏈路層異常識(shí)別。支持對(duì) MPLS,VLAN,QinQ 等封裝的逐層剝離和檢驗(yàn),支持對(duì) ARP 攻擊的檢測(cè)。

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 20

         ·識(shí)別網(wǎng)絡(luò)層異常識(shí)別。對(duì) IP 層進(jìn)行細(xì)致的正規(guī)化處理,能夠識(shí)別畸形的 IP報(bào)文、蓄意構(gòu)造的 IP 分片、偽造 IP 地址的欺騙報(bào)文。

         ·識(shí)別傳輸層異常識(shí)別。對(duì) TCP、UDP、ICMP 進(jìn)行細(xì)致的正規(guī)化處理。任何不滿足 RFC 規(guī)定或者有惡意利用系統(tǒng)漏洞嫌疑的報(bào)文都將被識(shí)別出來。

         ·可擴(kuò)展的應(yīng)用層異常識(shí)別?梢詣(dòng)態(tài)擴(kuò)展新的應(yīng)用支持,而且在任何一個(gè)應(yīng)用層協(xié)議上,都可以對(duì)應(yīng)擴(kuò)展相應(yīng)的異常檢測(cè)數(shù)字基因,進(jìn)行有狀態(tài)的異常檢測(cè)。通過細(xì)致的協(xié)議分析和狀態(tài)檢測(cè),識(shí)別出相應(yīng)協(xié)議層次上的異常。

          2-7 層協(xié)議異常檢測(cè) ? 拒絕服務(wù)檢測(cè)技術(shù) DoS/DDoS 攻擊從實(shí)現(xiàn)手法來看,主要表現(xiàn)為兩種,一種是利用漏洞實(shí)現(xiàn)DoS 的攻擊,如 Teardrop、Ping of Death 等,另外一種是通過模擬大量的實(shí)際應(yīng)用流量達(dá)到消耗目標(biāo)主機(jī)的資源,從而達(dá)到 DoS/DDoS 攻擊的目的,通常DoS/DDoS 攻擊伴隨著源 IP 地址欺騙。從 DoS/DDoS 攻擊的對(duì)應(yīng)的協(xié)議層次來看,主要有:

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 21

         ·二層相關(guān)的攻擊,如 ARP Flood; ·半連接接相關(guān)攻擊,如 TCP SYN Flood、UDP Flood、ICMP Flood; ·全連接相關(guān)的攻擊,如 TCP Connection 攻擊;如 TCP 空連接攻擊; ·應(yīng)用層相關(guān)的攻擊,如 HTTP Get Flood、DNS query Flood 等,其利用客戶端與服務(wù)器端流量不均衡的特點(diǎn),采用小流量的請(qǐng)求包,消耗服務(wù)器的處理資源或者產(chǎn)生大流量的響應(yīng),從而達(dá)到 DDoS/DoS 攻擊的目的; 根據(jù)對(duì)網(wǎng)絡(luò)流量進(jìn)行分析和建模,在系統(tǒng)中形成不同的流量檢測(cè)和學(xué)習(xí)模板,在統(tǒng)計(jì)分析根據(jù)流量檢測(cè)模板進(jìn)行流量學(xué)習(xí)和分析,在行為分析階段,則通過自動(dòng)生成的動(dòng)態(tài)過濾規(guī)則對(duì)異常流量進(jìn)行過濾處理,動(dòng)態(tài)或者靜態(tài)過濾規(guī)則部分根據(jù)不同的業(yè)務(wù)進(jìn)行分別的處理,如針對(duì) HTTP 進(jìn)行 HTTP redirection,針對(duì)DNS 進(jìn)行 DNS redirection,針對(duì) IP 則進(jìn)行 TTL 認(rèn)證等動(dòng)作,上述過程是一個(gè)閉環(huán)的循環(huán)動(dòng)態(tài)的一個(gè)調(diào)整過程,系統(tǒng)中通過不斷的學(xué)習(xí)、調(diào)整和判斷以適應(yīng)網(wǎng)絡(luò)的情況并作出適當(dāng)?shù)膭?dòng)作。

         檢測(cè)可以分成如下幾個(gè)階段:

         ·策略構(gòu)建階段,即通過學(xué)習(xí)模板進(jìn)行不同業(yè)務(wù)和正常情況進(jìn)行學(xué)習(xí),從而獲得不同流量類型的流量統(tǒng)計(jì)數(shù)據(jù)并生成檢測(cè)規(guī)則; ·調(diào)整階段,即通過策略構(gòu)建階段學(xué)習(xí)到的業(yè)務(wù)和流量(檢測(cè)規(guī)則),進(jìn)行重新學(xué)習(xí)和調(diào)整; ·檢測(cè)階段,在策略構(gòu)建和調(diào)整完成之后,通過上述檢測(cè)規(guī)則對(duì)網(wǎng)絡(luò)中的異常流量進(jìn)行判斷,如果發(fā)現(xiàn)存在異常,則通過動(dòng)態(tài)生成過濾規(guī)則對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾和驗(yàn)證,如驗(yàn)證源 IP 合法性、對(duì)發(fā)現(xiàn)異常的流量進(jìn)行丟棄等; ? 基于流狀態(tài)特征檢測(cè)技術(shù) 通過使用自主的基于流狀態(tài)的特征檢測(cè)專利技術(shù),有效地防范了漏報(bào)和誤報(bào)。

         對(duì)于流報(bào)文,如 TCP 流,若只是對(duì)一個(gè)個(gè)的單個(gè)報(bào)文作特征檢測(cè),這會(huì)引入漏報(bào);谝陨显恚粽邔(duì)攻擊流中的報(bào)文作分段處理,就可以有效地進(jìn)行攻

         宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 22

         擊逃逸。通過流恢復(fù),能夠一定程度地緩解這種攻擊逃逸的有效程度,但不能杜絕這類攻擊逃逸,同時(shí)引入了系統(tǒng)緩存負(fù)擔(dān)。通過基于流狀態(tài)的特征檢測(cè)專利技術(shù),能夠有效地防范漏報(bào),進(jìn)而杜絕這類攻擊逃逸。

         對(duì)于流報(bào)文,如語音流、視頻流報(bào)文,若不進(jìn)行識(shí)別,直接使用攻擊特征檢測(cè),可能引入誤報(bào)。通過基于流狀態(tài)的特征檢測(cè)專利技術(shù),能夠精確地識(shí)別出這類流報(bào)文,不作攻擊特征檢測(cè),這有效地防范了誤報(bào)。

         4.4.5.3 多種 安全響應(yīng) 機(jī)制

         在檢測(cè)到攻擊時(shí),根據(jù)規(guī)則配置的動(dòng)作做出響應(yīng)。響應(yīng)動(dòng)作可以是下面動(dòng)作中的一個(gè)或多個(gè)的組合:允許(Permit)、阻斷(Block)、通知(Noti...

        相關(guān)熱詞搜索:宜賓 網(wǎng)絡(luò)安全 市政府

        版權(quán)所有 蒲公英文摘 www.zuancaijixie.com
        91啦在线播放,特级一级全黄毛片免费,国产中文一区,亚洲国产一成人久久精品