安全評(píng)估方案建議書

年5月29日安全評(píng)估方案建議書文檔僅供參考安全評(píng)估方案建議書二零零七年七月

目錄1．網(wǎng)絡(luò)安全概述 41.1安全威脅 41.2網(wǎng)絡(luò)安全的需求 41.3網(wǎng)絡(luò)安全與網(wǎng)絡(luò)性能和功能的關(guān)系 61.4網(wǎng)絡(luò)安全的管理因素 72．網(wǎng)絡(luò)安全需求分析 83.總體規(guī)劃 83.1安全體系結(jié)構(gòu) 83.2安全體系層次模型 93.3安全體系設(shè)計(jì) 103.3.1安全體系設(shè)計(jì)原則 103.3.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 113.3.3網(wǎng)絡(luò)安全策略 113.3.4安全管理原則 123.3.5安全管理的實(shí)現(xiàn) 123.3.6網(wǎng)絡(luò)安全設(shè)計(jì) 134.安全解決方案分析 144．1網(wǎng)絡(luò)配置結(jié)構(gòu)圖 144．2安全配置 145安全產(chǎn)品選型 155.1網(wǎng)御神州SECGATE3600-G7防火墻 155.1.1概述 155.1.2防火墻主要功能列表 155.1.3SecGate3600-G7防火墻六大特色 195.1.4SecGate3600-G7防火墻主要功能介紹 215.2網(wǎng)御神州SECIDS-3600入侵檢測(cè) 265.2.1概述 265.2.2主要技術(shù)特色 275.2.3產(chǎn)品功能特點(diǎn) 285.2.4產(chǎn)品主要功能亮點(diǎn) 295.2.5產(chǎn)品功能描述 315.3網(wǎng)御神州SecSIS3600隔離網(wǎng)閘 345.3.1概述 345.3.2產(chǎn)品特點(diǎn) 345.3.3主要功能 345.3.4系統(tǒng)功能詳述 355.3.5產(chǎn)品技術(shù)優(yōu)勢(shì) 385.4網(wǎng)御神州SecFox-SIM安全信息管理系統(tǒng) 405.4.1產(chǎn)品概述 405.4.2產(chǎn)品特點(diǎn) 405.4.3產(chǎn)品簡(jiǎn)介 435.4.4產(chǎn)品功能 45

1．網(wǎng)絡(luò)安全概述自信息系統(tǒng)開始運(yùn)行以來就存在信息系統(tǒng)安全問題,經(jīng)過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。根據(jù)美國(guó)FBI的調(diào)查,美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過1.5萬(wàn)億美元。1.1安全威脅由于企業(yè)網(wǎng)絡(luò)內(nèi)運(yùn)行的主要是多種網(wǎng)絡(luò)協(xié)議,而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計(jì)。因此,企業(yè)網(wǎng)絡(luò)可能存在的安全威脅來自以下方面:操作系統(tǒng)的安全性。當(dāng)前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞,如UNIX服務(wù)器,NT服務(wù)器及Windows桌面PC。防火墻的安全性。防火墻產(chǎn)品自身是否安全,是否設(shè)置錯(cuò)誤,需要經(jīng)過檢驗(yàn)。來自內(nèi)部網(wǎng)用戶的安全威脅。缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性。采用的TCP/IP協(xié)議族軟件,本身缺乏安全性。未能對(duì)來自Internet的電子郵件夾帶的病毒及Web瀏覽可能存在的Java/ActiveX控件進(jìn)行有效控制。應(yīng)用服務(wù)的安全,許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少,而且,如果系統(tǒng)設(shè)置錯(cuò)誤,很容易造成損失。1.2網(wǎng)絡(luò)安全的需求1、企業(yè)網(wǎng)絡(luò)的基本安全需求滿足基本的安全要求,是該網(wǎng)絡(luò)成功運(yùn)行的必要條件,在此基礎(chǔ)上提供強(qiáng)有力的安全保障,是建設(shè)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的重要原則。企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器,保護(hù)這些設(shè)備的正常運(yùn)行,維護(hù)主要業(yè)務(wù)系統(tǒng)的安全,是企業(yè)網(wǎng)絡(luò)的基本安全需求。對(duì)于各科各樣的網(wǎng)絡(luò)攻擊,如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時(shí),抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊,而且提供跟蹤攻擊的手段,是本項(xiàng)目需要解決的問題。2、業(yè)務(wù)系統(tǒng)的安全需求與普通網(wǎng)絡(luò)應(yīng)用不同的是,業(yè)務(wù)系統(tǒng)是企業(yè)應(yīng)用的核心。對(duì)于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。企業(yè)網(wǎng)絡(luò)應(yīng)保障:訪問控制,確保業(yè)務(wù)系統(tǒng)不被非法訪問。數(shù)據(jù)安全,保證數(shù)據(jù)庫(kù)軟硬件系統(tǒng)的整體安全性和可靠性。入侵檢測(cè),對(duì)于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時(shí)發(fā)現(xiàn)、記錄和跟蹤,提供非法攻擊的犯罪證據(jù)。來自網(wǎng)絡(luò)內(nèi)部其它系統(tǒng)的破壞,或誤操作造成的安全隱患。3、Internet服務(wù)網(wǎng)絡(luò)的安全需求Internet服務(wù)網(wǎng)絡(luò)分為兩個(gè)部分:提供網(wǎng)絡(luò)用戶對(duì)Internet的訪問:提供Internet對(duì)網(wǎng)內(nèi)服務(wù)的訪問。網(wǎng)絡(luò)內(nèi)客戶對(duì)Internet的訪問,有可能帶來某些類型的網(wǎng)絡(luò)安全。如經(jīng)過電子郵件、FTP引入病毒、危險(xiǎn)的Java或ActiveX應(yīng)用等。因此,需要在網(wǎng)絡(luò)內(nèi)對(duì)上述情況提供集成的網(wǎng)絡(luò)病毒檢測(cè)、消除等操作。網(wǎng)絡(luò)安全需求是保護(hù)網(wǎng)絡(luò)不受破壞,確保網(wǎng)絡(luò)服務(wù)的可用性,作為信息網(wǎng)絡(luò)之間的互聯(lián)的邊界安全應(yīng)作為主要安全需求:需要保證信息網(wǎng)絡(luò)之間安全互聯(lián),能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全隔離;對(duì)于專有應(yīng)用的安全服務(wù);必要的信息交互的可信任性;能夠提供對(duì)于主流網(wǎng)絡(luò)應(yīng)用(如WWW、Mail、Ftp、Oicq和NetMeeting等)良好支持,并能夠?qū)崿F(xiàn)安全應(yīng)用;同時(shí)信息網(wǎng)絡(luò)公共資源能夠?qū)﹂_放用戶提供安全訪問;能夠防范包括:利用Http應(yīng)用,經(jīng)過JavaApplet、ActiveX以及JavaScript形式;利用Ftp應(yīng)用,經(jīng)過文件傳輸形式;利用SMTP應(yīng)用,經(jīng)過對(duì)郵件分析及利用附件所造成的信息泄漏和有害信息對(duì)于信息網(wǎng)絡(luò)的侵害;對(duì)網(wǎng)絡(luò)安全事件的審計(jì);對(duì)于網(wǎng)絡(luò)安全狀態(tài)的量化評(píng)估;對(duì)網(wǎng)絡(luò)安全狀態(tài)的實(shí)時(shí)監(jiān)控;其次,對(duì)于信息網(wǎng)絡(luò)內(nèi)部同樣存在安全需求,包括:信息網(wǎng)絡(luò)中的各單位網(wǎng)絡(luò)之間建立連接控制手段;能夠滿足信息網(wǎng)絡(luò)內(nèi)的授權(quán)用戶對(duì)相關(guān)專用網(wǎng)絡(luò)資源訪問;同時(shí)對(duì)于遠(yuǎn)程訪問用戶增強(qiáng)安全管理;加強(qiáng)對(duì)于整個(gè)信息網(wǎng)絡(luò)資源和人員的安全管理與培訓(xùn)。1.3網(wǎng)絡(luò)安全與網(wǎng)絡(luò)性能和功能的關(guān)系一般,系統(tǒng)安全與性能和功能是一對(duì)矛盾的關(guān)系。如果某個(gè)系統(tǒng)不向外界提供任何服務(wù)(斷開),外界是不可能構(gòu)成安全威脅的?？墒?企業(yè)接入國(guó)際互連網(wǎng)絡(luò),提供網(wǎng)上商店和電子商務(wù)等服務(wù),等于將一個(gè)內(nèi)部封閉的網(wǎng)絡(luò)建成了一個(gè)開放的網(wǎng)絡(luò)環(huán)境,各種安全包括系統(tǒng)級(jí)的安全問題也隨之產(chǎn)生。構(gòu)建網(wǎng)絡(luò)安全系統(tǒng),一方面由于要進(jìn)行認(rèn)證、加密、監(jiān)聽,分析、記錄等工作,由此影響網(wǎng)絡(luò)效率,而且降低客戶應(yīng)用的靈活性;另一方面也增加了管理費(fèi)用?？墒?來自網(wǎng)絡(luò)的安全威脅是實(shí)際存在的,特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時(shí),網(wǎng)絡(luò)安全是首先要解決的問題。選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品,制訂靈活的網(wǎng)絡(luò)安全策略,在保證網(wǎng)絡(luò)安全的情況下,提供靈活的網(wǎng)絡(luò)服務(wù)通道。采用適當(dāng)?shù)陌踩w系設(shè)計(jì)和管理計(jì)劃,能夠有效降低網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)性能的影響并降低管理費(fèi)用。全方位的安全體系:與其它安全體系(如保安系統(tǒng))類似,企業(yè)應(yīng)用系統(tǒng)的安全休系應(yīng)包含:訪問控制:經(jīng)過對(duì)特定網(wǎng)段、服務(wù)建立的訪問控制體系,將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。檢查安全漏洞:經(jīng)過對(duì)安全漏洞的周期檢查,即使攻擊可到達(dá)攻擊目標(biāo),也可使絕大多數(shù)攻擊無(wú)效。攻擊監(jiān)控:經(jīng)過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系,可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊,并采取相應(yīng)的行動(dòng)(如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等)。加密通訊:主動(dòng)的加密通訊,可使攻擊者不能了解、修改敏感信息。認(rèn)證:良好的認(rèn)證體系可防止攻擊者假冒合法用戶。備份和恢復(fù):良好的備份和恢復(fù)機(jī)制,可在攻擊造成損失時(shí),盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。多層防御,攻擊者在突破第一道防線后,延緩或阻斷其到達(dá)攻擊目標(biāo)。隱藏內(nèi)部信息,使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。設(shè)立安全監(jiān)控中心,為信息系統(tǒng)提供安全體系管理、監(jiān)控,渠護(hù)及緊急情況服務(wù)。1.4網(wǎng)絡(luò)安全的管理因素網(wǎng)絡(luò)安全能夠采用多種技術(shù)來增強(qiáng)和執(zhí)行。可是,很多安全威脅來源于管理上的松懈及對(duì)安全威脅的認(rèn)識(shí)。安全威脅主要利用以下途徑:系統(tǒng)實(shí)現(xiàn)存在的漏洞。系統(tǒng)安全體系的缺陷。使用人員的安全意識(shí)薄弱。管理制度的薄弱。良好的網(wǎng)絡(luò)管理有助于增強(qiáng)系統(tǒng)的安全性:及時(shí)發(fā)現(xiàn)系統(tǒng)安全的漏洞。審查系統(tǒng)安全體系。加強(qiáng)對(duì)使用人員的安全知識(shí)教育。建立完善的系統(tǒng)管理制度。如前所述,能否制定一個(gè)統(tǒng)一的安全策略,在全網(wǎng)范圍內(nèi)實(shí)現(xiàn)統(tǒng)一的安全管理,對(duì)于信息網(wǎng)來說就至關(guān)重要了。安全管理主要包括兩個(gè)方面:內(nèi)部安全管理:主要是建立內(nèi)部安全管理制度,如機(jī)房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度等,并采取切實(shí)有效的措施保證制度的執(zhí)行。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié)合的方法。網(wǎng)絡(luò)安全管理:在網(wǎng)絡(luò)層設(shè)置路由器、防火墻、安全檢測(cè)系統(tǒng)后,必須保證路由器和防火墻的配置正確,其配置不允許被隨便修改。網(wǎng)絡(luò)層的安全管理能夠經(jīng)過防火墻、安全檢測(cè)、網(wǎng)絡(luò)病毒防治以及網(wǎng)管等一些網(wǎng)絡(luò)層的管理工具來實(shí)現(xiàn)。2．網(wǎng)絡(luò)安全需求分析防止內(nèi)網(wǎng)的主機(jī)遭受非法用戶的非授權(quán)訪問或惡意攻擊。加強(qiáng)對(duì)各種網(wǎng)絡(luò)安全事件的檢測(cè)與審計(jì),其中包括:檢測(cè)來自內(nèi)部和外部的黑客入侵行為,監(jiān)視網(wǎng)絡(luò)流量及各種主機(jī)設(shè)備,監(jiān)視數(shù)據(jù)庫(kù)系統(tǒng)及應(yīng)用系統(tǒng)的運(yùn)行情況,并及時(shí)告警。防止來自本地網(wǎng)絡(luò)病毒對(duì)提供網(wǎng)絡(luò)中重要服務(wù)器的攻擊與破壞。防止提供服務(wù)的Web服務(wù)器受到惡意攻擊、非法篡改或者系統(tǒng)崩潰,加強(qiáng)對(duì)網(wǎng)站文件屬性和文件內(nèi)容的實(shí)時(shí)監(jiān)控,能夠自動(dòng)、安全恢復(fù)網(wǎng)站文件系統(tǒng)。在重要的網(wǎng)絡(luò)和系統(tǒng)中充分考慮災(zāi)備和容錯(cuò)措施,防止因系統(tǒng)故障導(dǎo)致系統(tǒng)服務(wù)中斷。定期對(duì)辦公網(wǎng)絡(luò)平臺(tái)進(jìn)行安全分析和安全評(píng)估,及時(shí)發(fā)現(xiàn)并修正存在的漏洞和弱點(diǎn),及時(shí)調(diào)整和完善安全策略,保證政務(wù)內(nèi)網(wǎng)的動(dòng)態(tài)安全與持續(xù)安全。建立完整的網(wǎng)絡(luò)安全系統(tǒng)管理體系,實(shí)現(xiàn)對(duì)全網(wǎng)的設(shè)備的統(tǒng)一管理,安全策略的統(tǒng)一制定,安全事件的統(tǒng)一管理等等。建立完善的安全管理機(jī)制,能夠有效地確保安全策略的準(zhǔn)確執(zhí)行,減少人為因素造成的系統(tǒng)安全事故。完善的咨詢、評(píng)估、設(shè)計(jì)、實(shí)施、培訓(xùn)以及實(shí)時(shí)安全響應(yīng)等信息安全專業(yè)服務(wù)。3.總體規(guī)劃3.1安全體系結(jié)構(gòu)物理物理實(shí)體安全企業(yè)安全策略用戶責(zé)任病毒防治保密教育信息安全信息服務(wù)操作系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)安全3.2安全體系層次模型按照網(wǎng)絡(luò)OSI的7層模型,網(wǎng)絡(luò)安全貫穿于整個(gè)7層。針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行的TCP/IP協(xié)議,網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的4個(gè)層次。下圖表示了對(duì)應(yīng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的安全體系層次模型:會(huì)話層會(huì)話層應(yīng)用層應(yīng)用系統(tǒng)應(yīng)用平臺(tái)網(wǎng)絡(luò)層鏈路層物理層會(huì)話安全應(yīng)用層應(yīng)用系統(tǒng)安全應(yīng)用平臺(tái)安全安全路由/訪問機(jī)制鏈路安全物理層信息安全物理層物理層信息安全,主要防止物理通路的損壞、物理通路的竊聽、對(duì)物理通路的攻擊(干擾等)鏈路層鏈路層的網(wǎng)絡(luò)安全需要保證經(jīng)過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN(局域網(wǎng))、加密通訊(遠(yuǎn)程網(wǎng))等手段。網(wǎng)絡(luò)層網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù),保證網(wǎng)絡(luò)路由正確,避免被攔截或監(jiān)聽。操作系統(tǒng)操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全,同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。應(yīng)用平臺(tái)應(yīng)用平臺(tái)指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù),如數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜,一般采用多種技術(shù)(如SSL等)來增強(qiáng)應(yīng)用平臺(tái)的安全性。應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的—為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺(tái)提供的安全服務(wù)來保證基本安全,如通訊內(nèi)容安全,通訊雙方的認(rèn)證,審計(jì)等手段。3.3安全體系設(shè)計(jì)3.3.1安全體系設(shè)計(jì)原則在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃時(shí),應(yīng)遵循以下原則:1).需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則:對(duì)任何一個(gè)網(wǎng)絡(luò)來說,絕對(duì)安全難以達(dá)到,也不一定必要。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析,對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略。保護(hù)成本、被保護(hù)信息的價(jià)值必須平衡,價(jià)值僅1萬(wàn)元的信息如果用5萬(wàn)元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。2).綜合性、整體性原則:運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全問題,并制定具體措施。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用,只有從系統(tǒng)綜合的整體角度去看待和分析,才可能獲得有效、可行的措施。3).一致性原則:這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上,在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對(duì)策,比等網(wǎng)絡(luò)建設(shè)好后再考慮,不但容易,而且花費(fèi)也少得多。4).安全、可靠性原則:充分保證系統(tǒng)的安全性。使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計(jì)和實(shí)現(xiàn)的全過程中有具體的措施來充分保證其安全性;保證產(chǎn)品質(zhì)量,對(duì)項(xiàng)目實(shí)施過程實(shí)現(xiàn)嚴(yán)格的技術(shù)管理和設(shè)備的冗余配置,保證系統(tǒng)運(yùn)行的可靠性。5)．先進(jìn)、標(biāo)準(zhǔn)、兼容性原則:先進(jìn)的技術(shù)體系,標(biāo)準(zhǔn)化的技術(shù)實(shí)現(xiàn).6).易操作性原則:安全措施要由人來完成,如果措施過于復(fù)雜,對(duì)人的要求過高,本身就降低了安全性。其次,采用的措施不能影響系統(tǒng)正常運(yùn)行。7).適應(yīng)性、靈活性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化,要容易適應(yīng)、容易修改。8).多重保護(hù)原則任何安全保護(hù)措施都不是絕對(duì)安全的,都可能被攻破?？墒墙⒁粋€(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。3.3.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)系統(tǒng)的可靠運(yùn)轉(zhuǎn)是基于通訊子網(wǎng)、計(jì)算機(jī)硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運(yùn)行。因此,它的風(fēng)險(xiǎn)將來自對(duì)企業(yè)的各個(gè)關(guān)鍵點(diǎn)可能造成的威脅,這些威脅可能造成總體功能的失效。由于在這種廣域網(wǎng)分布式計(jì)算環(huán)境中,相對(duì)于過去的局域網(wǎng)、主機(jī)環(huán)境、單機(jī)環(huán)境,安全問題變得越來越復(fù)雜和突出,因此網(wǎng)安全風(fēng)險(xiǎn)分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實(shí)施措施的基礎(chǔ)依據(jù)。安全保障不能完全基于思想教育或信任。而應(yīng)基于”最低權(quán)限”和”相互監(jiān)督”的法則,減少保密信息的介入范圍,盡力消除使用者為使用資源不得不信任她人或被她人信任的問題,建立起完整的安全控制體系和保證體系。3.3.3網(wǎng)絡(luò)安全策略安全策略分安全管理策略和安全技術(shù)實(shí)施策略兩個(gè)方面:1).管理策略安全系統(tǒng)需要人來執(zhí)行,即使是最好的、最值得信賴的系統(tǒng)安全措施,也不能完全由計(jì)算機(jī)系統(tǒng)來完全承擔(dān)安全保證任務(wù),因此必須建立完備的安全組織和管理制度。2).技術(shù)策略技術(shù)策略要針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、信息共享授權(quán)提出具體的措施。3.3.4安全管理原則計(jì)算機(jī)信息系統(tǒng)的安全管理主要基于三個(gè)原則。(1)多人負(fù)責(zé)原則每項(xiàng)與安全有關(guān)的活動(dòng)都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的,應(yīng)忠誠(chéng)可靠,能勝任此項(xiàng)工作。(2)任期有限原則一般地講,任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù),以免誤認(rèn)為這個(gè)職務(wù)是專有的或永久性的。(3)職責(zé)分離原則除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn),在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外、與安全有關(guān)的任何事情。3.3.5安全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性,制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)范,其具體工作是:確定該系統(tǒng)的安全等級(jí)。根據(jù)確定的安全等級(jí),確定安全管理的范圍。制訂相應(yīng)的機(jī)房出入管理制度。對(duì)安全等級(jí)要求較高的系統(tǒng),要實(shí)行分區(qū)控制,限制工作人員出入與己無(wú)關(guān)的區(qū)域。制訂嚴(yán)格的操作規(guī)程。操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則,各負(fù)其責(zé),不能超越自己的管轄范圍。制訂完備的系統(tǒng)維護(hù)制度。維護(hù)時(shí),要首先經(jīng)主管部門批準(zhǔn),并有安全管理人員在場(chǎng),故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。制訂應(yīng)急措施。要制訂在緊急情況下,系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施,使損失減至最小。建立人員雇用和解聘制度,對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。安全系統(tǒng)需要由人來計(jì)劃和管理,任何系統(tǒng)安全設(shè)施也不能完全由計(jì)算機(jī)系統(tǒng)獨(dú)立承擔(dān)系統(tǒng)安全保障的任務(wù)。一方面,各級(jí)領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項(xiàng)措施。其次,對(duì)各級(jí)用戶的培訓(xùn)也十分重要,只有當(dāng)用戶對(duì)網(wǎng)絡(luò)安全性有了深入了解后,才能降低網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)?？傊?制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實(shí)施的第一步,只有當(dāng)各級(jí)組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定,認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性,才能保證整個(gè)系統(tǒng)網(wǎng)絡(luò)的整體安全性。3.3.6網(wǎng)絡(luò)安全設(shè)計(jì)由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實(shí)現(xiàn),各個(gè)層的功能特性和安全特性也不同,因而其網(wǎng)絡(luò)安全措施也不相同。物理層安全涉及傳輸介質(zhì)的安全特性,抗干擾、防竊聽將是物理層安全措施制定的重點(diǎn)。在鏈路層,經(jīng)過”橋”這一互連設(shè)備的監(jiān)視和控制作用,使我們能夠建立一定程度的虛擬局域網(wǎng),對(duì)物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離,消除不同安全級(jí)別邏輯網(wǎng)段間的竊聽可能。在網(wǎng)絡(luò)層,可經(jīng)過對(duì)不同子網(wǎng)的定義和對(duì)路由器的路由表控制來限制子網(wǎng)間的接點(diǎn)通信,經(jīng)過對(duì)主機(jī)路由表的控制來控制與之直接通信的節(jié)點(diǎn)。同時(shí),利用網(wǎng)關(guān)的安全控制能力,能夠限制節(jié)點(diǎn)的通信、應(yīng)用服務(wù),并加強(qiáng)外部用戶識(shí)別和驗(yàn)證能力。對(duì)網(wǎng)絡(luò)進(jìn)行級(jí)別劃分與控制,網(wǎng)絡(luò)級(jí)別的劃分大致包括外網(wǎng)與內(nèi)網(wǎng)等,其中Internet/外網(wǎng)的接口要采用專用防火墻,各網(wǎng)絡(luò)級(jí)別的接口利用防火墻、物理隔離設(shè)備、路由器的可控路由表、安全郵件服務(wù)器、安全撥號(hào)驗(yàn)證服務(wù)器和安全級(jí)別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制,也能夠大大提高安全保密性。物理實(shí)體的安全管理現(xiàn)已有大量標(biāo)準(zhǔn)和規(guī)范,如GB9361-88<計(jì)算機(jī)場(chǎng)地安全要求>、GFB2887-88<計(jì)算機(jī)場(chǎng)地技術(shù)條件>等。4.安全解決方案分析4．1網(wǎng)絡(luò)配置結(jié)構(gòu)圖總體結(jié)構(gòu)示意圖4．2安全配置在網(wǎng)關(guān)位置配置網(wǎng)御神州SecGate3600-G7防火墻,以實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)安全邏輯隔離,經(jīng)過在防火墻策略設(shè)置能夠源地址、目的地址和服務(wù)做出限制,來保障通信安全。防火墻內(nèi)置強(qiáng)大入侵防護(hù)模塊,即使網(wǎng)絡(luò)遭到黑客攻擊,也能保證網(wǎng)絡(luò)安全,這樣用戶不但是買一臺(tái)防火墻而且還是一臺(tái)IPS。網(wǎng)御神州SecGate3600防火墻采用先進(jìn)擁塞控制算法,流量調(diào)度算法及優(yōu)先級(jí)排隊(duì)機(jī)制保證重要服務(wù)或重要用戶的帶寬,而且對(duì)BT或電驢下載能有效的控制;支持多出口鏈路聚合,能夠做到最多六條線路的負(fù)載均衡;在中心交換機(jī)上配置基于網(wǎng)絡(luò)的IDS系統(tǒng)——網(wǎng)御神州SecIDS-3600,經(jīng)過實(shí)時(shí)偵聽網(wǎng)絡(luò)數(shù)據(jù)流,尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時(shí),網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng),包括實(shí)時(shí)報(bào)警、事件登錄,或執(zhí)行用戶自定義的安全策略等;在Weblogic服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器之間配置網(wǎng)御神州SecSIS-3600網(wǎng)閘,能夠有效實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全隔離,數(shù)據(jù)只能以專有數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)絡(luò)間進(jìn)行”擺渡”,從而切斷了內(nèi)外網(wǎng)絡(luò)之間的所有直接連接,保證內(nèi)外網(wǎng)數(shù)據(jù)能夠安全、可靠地交換;在安全管理主機(jī)上安裝網(wǎng)御神州SecFox-SIM安全事件管理,使之能夠?qū)崟r(shí)不間斷地將來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到管理中心,實(shí)現(xiàn)海量信息的集中存儲(chǔ)和可靠保存,消除了安全防御的孤島。5安全產(chǎn)品選型5.1網(wǎng)御神州SECGATE3600-G7防火墻5.1.1概述SecGate3600-G7防火墻是基于狀態(tài)檢測(cè)包過濾和應(yīng)用級(jí)代理的復(fù)合型硬件防火墻,是專門面向大中型企業(yè)、政府、軍隊(duì)、高校等用戶開發(fā)的新一代專業(yè)防火墻設(shè)備,支持外部攻擊防范、內(nèi)網(wǎng)安全、網(wǎng)絡(luò)訪問權(quán)限控制、網(wǎng)絡(luò)流量監(jiān)控和帶寬管理、網(wǎng)頁(yè)內(nèi)容過濾、郵件內(nèi)容過濾等功能,能夠有效地保證網(wǎng)絡(luò)的安全;產(chǎn)品提供靈活的網(wǎng)絡(luò)路由/橋接能力,支持策略路由,多出口鏈路聚合;提供多種智能分析和管理手段,支持郵件告警,支持日志審計(jì),提供全面的網(wǎng)絡(luò)管理監(jiān)控,協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。SecGate3600-G7防火墻已獲得公安部等部門頒發(fā)的信息安全產(chǎn)品銷售許可證。5.1.2防火墻主要功能列表功能分類功能概要狀態(tài)檢測(cè)針對(duì)TCP/IP協(xié)議的TCP/UDP/ICMP數(shù)據(jù)包,實(shí)現(xiàn)完整的狀態(tài)包過濾,完全達(dá)到GB/T-18019<包過濾防火墻技術(shù)要求>的要求。智能過濾針對(duì)動(dòng)態(tài)協(xié)議(包括但不限于H.323、FTP、TFTP、OracleTNS、SIP等通信協(xié)議),提供基于協(xié)議分析的智能化動(dòng)態(tài)包過濾功能,實(shí)時(shí)開閉應(yīng)用程序動(dòng)態(tài)協(xié)商的TCP/UDP端口,最大程度地提升防火墻的安全性。地址轉(zhuǎn)換支持動(dòng)態(tài)地址轉(zhuǎn)換,包括多對(duì)一的地址轉(zhuǎn)換,多對(duì)多的地址轉(zhuǎn)換。支持靜態(tài)地址轉(zhuǎn)換,包括對(duì)內(nèi)部服務(wù)器提供一對(duì)一的地址轉(zhuǎn)換。支持雙向地址轉(zhuǎn)換,滿足對(duì)等網(wǎng)絡(luò)間雙方隱藏內(nèi)部IP地址的要求。支持基于下一跳路由的地址轉(zhuǎn)換,滿足多出口網(wǎng)絡(luò)地址轉(zhuǎn)換負(fù)載均衡的要求。端口映射支持將內(nèi)部提供不同服務(wù)的多個(gè)服務(wù)器地址映射成外部相同地址下的不同端口,在端口映射狀態(tài)下,可同時(shí)提供多種安全的網(wǎng)絡(luò)服務(wù)。支持對(duì)內(nèi)部鏡像服務(wù)器訪問的負(fù)載均衡IPSecVPN支持VPN通訊參數(shù)的設(shè)置。支持不同認(rèn)證算法(MD5/SHA1/…)、不同加密算法(3DES/AES/…)、不同封裝模式(ESP/AH)的選擇。支持IKE認(rèn)證方式的選擇(預(yù)共享密鑰/PKI證書模式)。支持固定網(wǎng)關(guān)之間的VPN通訊,支持動(dòng)態(tài)網(wǎng)關(guān)與固定網(wǎng)關(guān)之間的VPN通訊,支持動(dòng)態(tài)網(wǎng)關(guān)與動(dòng)態(tài)網(wǎng)關(guān)間的VPN通訊,支持客戶端與網(wǎng)關(guān)間的VPN通訊,支持PPTP和L2TP網(wǎng)關(guān)之間的VPN通訊,支持存在于NAT設(shè)備后的網(wǎng)關(guān)和客戶端之間的VPN通訊。支持星型結(jié)構(gòu)和網(wǎng)狀結(jié)構(gòu)下的VPN隧道建立。完整兼容IPSec協(xié)議,能夠與CISCO、NETSCREEN、WIN的VPN互通。應(yīng)用代理提供基于TCP的HTTP代理、SMTP代理、FTP代理、TELNET代理、POP3代理以及基于策略的通用代理。支持在透明代理下基于HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過濾。內(nèi)容過濾針對(duì)HTTP,對(duì)網(wǎng)頁(yè)中java、javascrip、activeX進(jìn)行過濾。針對(duì)SMTP、POP3,基于發(fā)信人地址、收信人地址、收信人數(shù)、文件大小、郵件主題、正文內(nèi)容、發(fā)件人姓名、收件人姓名、附件文件名、附件內(nèi)容等進(jìn)行關(guān)鍵字匹配過濾。在狀態(tài)包過濾方式下,支持URL過濾和特殊代碼剝離,并支持黑/白名單過濾策略。連接監(jiān)控提供內(nèi)網(wǎng)實(shí)時(shí)監(jiān)控統(tǒng)計(jì)功能,以內(nèi)網(wǎng)IP為對(duì)象,實(shí)時(shí)地監(jiān)視統(tǒng)計(jì)內(nèi)網(wǎng)連主機(jī)連接數(shù)量和流量。提供外網(wǎng)實(shí)時(shí)監(jiān)控統(tǒng)計(jì)功能,實(shí)時(shí)地監(jiān)視統(tǒng)計(jì)內(nèi)網(wǎng)訪問外網(wǎng)的地址的連接數(shù)量和流量。提供DMZ實(shí)時(shí)監(jiān)控統(tǒng)計(jì)功能,實(shí)時(shí)地監(jiān)視統(tǒng)計(jì)DMZ區(qū)內(nèi)主機(jī)被訪問的連接數(shù)量和流量。提供內(nèi)外網(wǎng)監(jiān)控統(tǒng)計(jì)功能,實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)訪問指定外網(wǎng)主機(jī)的連接數(shù)量和流量。連接管理提供保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)。保護(hù)服務(wù)器或服務(wù)器上提供的某項(xiàng)服務(wù),限制對(duì)服務(wù)器過于頻繁的訪問。在規(guī)定的時(shí)間內(nèi),如果某臺(tái)主機(jī)訪問服務(wù)器超過了所限制的次數(shù),則會(huì)對(duì)該主機(jī)實(shí)行阻斷,在阻斷時(shí)間段內(nèi),拒絕其對(duì)服務(wù)器的所有訪問。也能夠應(yīng)用此功能對(duì)使用BT/電驢等連接數(shù)目過大嚴(yán)重影響網(wǎng)絡(luò)流量的用戶加以限制。用戶認(rèn)證支持網(wǎng)絡(luò)協(xié)議層用戶認(rèn)證,能夠?yàn)榘^濾、雙向NAT、代理等訪問控制提供用戶認(rèn)證功能。提供基于電子鑰匙的用戶身份認(rèn)證。支持用戶和組管理,支持用戶策略控制(源IP綁定、可訪問目的IP和服務(wù)),支持對(duì)用戶帳號(hào)的流量控制和時(shí)間控制。提供與標(biāo)準(zhǔn)radius服務(wù)器(PAP)聯(lián)動(dòng)的用戶認(rèn)證。提供本地認(rèn)證庫(kù)實(shí)現(xiàn)基于角色的用戶策略,并與安全規(guī)則策略配合完成強(qiáng)訪問控制。支持客戶端修改密碼。支持服務(wù)器端檢查用戶在線狀態(tài)。支持PAP和S/Key認(rèn)證協(xié)議。提供在線用戶監(jiān)控功能。時(shí)間控制支持安全規(guī)則時(shí)間調(diào)度。支持用戶策略時(shí)間調(diào)度。支持一次性與周期性時(shí)間調(diào)度規(guī)則。帶寬管理支持基于IP地址、應(yīng)用協(xié)議的帶寬管理。支持基于用戶的帶寬管理(經(jīng)過身份認(rèn)證的用戶,能夠指定帶寬)。支持最小保證帶寬和最大限制帶寬設(shè)置。支持帶寬優(yōu)先級(jí)的設(shè)定。對(duì)象管理支持以簡(jiǎn)化防火墻安全規(guī)則定義為目的的面向?qū)ο蟮馁Y源定義和組管理。能夠定義地址資源(地址、地址組、服務(wù)器地址、NAT地址池)。能夠定義服務(wù)資源(服務(wù)、服務(wù)組)。能夠定義代理資源(預(yù)定義的HTTP、FTP、TELNET、SMTP、POP3、SOCKS代理、自定義代理)。能夠定義時(shí)間資源(時(shí)間、時(shí)間組,一次性調(diào)度和周期性調(diào)度)。能夠定義帶寬資源。能夠定義URL資源(URL黑名單、URL白名單)。地址綁定提供IP/MAC地址綁定檢查功能,可有效解決網(wǎng)絡(luò)管理中IP地址盜用問題。能夠設(shè)置綁定的默認(rèn)策略,提供IP/MAC正確唯一性檢查。提供地址對(duì)與網(wǎng)口的綁定功能,能夠及時(shí)定位盜用合法IP/MAC地址正確非法用戶。提供IP/MAC自動(dòng)探測(cè)功能?？笵oS攻擊支持對(duì)拒絕服務(wù)攻擊的防范,能夠防范syn_flood、pingflood、udpflood、teardrop、sweep、land、pingofdeath、smurf、碎片攻擊、WINNUKE、圣誕樹攻擊等。配合防火墻上的IDS功能,能夠抵抗更多種類的攻擊。入侵聯(lián)動(dòng)支持與網(wǎng)御神州、啟明星晨、中科網(wǎng)威、北方計(jì)算中心等主流入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)。雙機(jī)熱備提供專門的聯(lián)動(dòng)協(xié)議和API接口程序,能夠幫助其它入侵檢測(cè)廠商快速實(shí)現(xiàn)與網(wǎng)御神州防火墻的聯(lián)動(dòng)。支持雙機(jī)熱備工作模式,當(dāng)主防火墻遭遇宕機(jī)、網(wǎng)絡(luò)故障、硬件故障等故障時(shí),從防火墻能夠自動(dòng)檢測(cè)到并在小于1秒的時(shí)間范圍內(nèi)快速切換到主工作狀態(tài),接管主防火墻的工作。多機(jī)集群支持2及兩臺(tái)以上防火墻組成多機(jī)集群工作模式,在實(shí)現(xiàn)高可靠性的前提下,提供真正意義的負(fù)載均衡功能。負(fù)載均衡支持多機(jī)集群模式下防火墻處理能力方面的負(fù)載均衡。狀態(tài)同步支持DMZ區(qū)服務(wù)器組基于應(yīng)用的負(fù)載均衡?；诙丝谕掏履芰Ψ矫娴逆溌肪酆县?fù)載均衡。在多機(jī)集群狀態(tài)下,支持多臺(tái)防火墻共享虛擬的IP地址,在雙機(jī)熱備狀態(tài)下,支持主機(jī)的連接狀態(tài)信息與備機(jī)保持同步更新,從而可保障冗余系統(tǒng)切換時(shí)連接不中斷,徹底消除單點(diǎn)故障。策略路由提供目的路由和源地址路由功能以及目的路由負(fù)載均衡。安全管理提供遠(yuǎn)程安全管理和本地管理功能。配置備份提供全中文web界面和專業(yè)化的命令行界面管理方式。提供專用帶外管理口。經(jīng)過管理員身份認(rèn)證(電子鑰匙認(rèn)證或證書認(rèn)證)、管理員級(jí)授權(quán)(包括超級(jí)管理員、配置管理員、策略管理員、審計(jì)管理員)、管理主機(jī)限制、防火墻管理IP限制、防火墻管理方式定義(web管理/命令行管理/SSH方式/PPP+SSH連接)、配置信息加密(支持SSL協(xié)議和SSH協(xié)議),提供方便且安全的配置管理。支持配置的本地下載和上載。模塊升級(jí)提供恢復(fù)防火墻出廠配置功能。提供靈活的軟件升級(jí)方式,適應(yīng)安全需求的快速響應(yīng)。時(shí)鐘調(diào)整提供防火墻系統(tǒng)時(shí)鐘與管理主機(jī)時(shí)間同步的時(shí)鐘調(diào)整功能。網(wǎng)絡(luò)調(diào)試工具提供防火墻系統(tǒng)時(shí)鐘與網(wǎng)絡(luò)時(shí)鐘服務(wù)器同步(NTP協(xié)議)的時(shí)鐘調(diào)整功能。ping系統(tǒng)監(jiān)控TracerouteRoute提供網(wǎng)口激活信息統(tǒng)計(jì)與連接信息監(jiān)控。日志審計(jì)提供當(dāng)前CPU和內(nèi)存利用率監(jiān)控。提供HA高可用狀態(tài)監(jiān)控。提供用戶在線狀況監(jiān)控,顯示用戶名、登錄IP、登錄時(shí)間、在線時(shí)間、流入流量和流出流量,可根據(jù)安全策略實(shí)時(shí)中斷某用戶的連接。提供連接數(shù)量和流量監(jiān)控。在防火墻本地能夠靈活地設(shè)置監(jiān)測(cè)的時(shí)間間隔和顯示方式。日志審計(jì)功能提供對(duì)防火墻系統(tǒng)事件和網(wǎng)絡(luò)事件的統(tǒng)計(jì)、查詢、分析。集中管理所有的防火墻事件都有相關(guān)日志記錄,包括包過濾日志、系統(tǒng)日志、內(nèi)容過濾日志、VPN日志、HA日志、攻擊日志等,每種日志都有固定的格式,結(jié)構(gòu)嚴(yán)謹(jǐn),條理清楚,可讀性強(qiáng)。提供以下三種日志管理方式:●支持本機(jī)管理,日志信息采取先進(jìn)先出的滾動(dòng)刷新方式,且斷電即丟失,只適應(yīng)流量小、對(duì)日志審計(jì)要求低的環(huán)境,提供有限的查詢功能(按日志類型、日志級(jí)別和關(guān)鍵詞進(jìn)行查找);●支持SecGateManager安全管理,是SecGate防火墻的專業(yè)管理工具,支持日志的海量存儲(chǔ),支持安全事件的歸并和關(guān)聯(lián)分析,支持圖形化的直觀審計(jì)分析;●支持其它安全管理系統(tǒng)管理,如:Webtrends、用戶自主開發(fā)的安全管理中心等,防火墻經(jīng)過SNMP模塊與安全管理中心通信,為安全管理人員提供全面、易用、高效、實(shí)時(shí)的全局日志與安全事件審計(jì)分析,此方式需要額外投資。支持SNMPv2,v3,能夠與SecGateManager安全管理系統(tǒng)無(wú)縫聯(lián)動(dòng)(集中管理、設(shè)備監(jiān)控和事件審計(jì))。網(wǎng)絡(luò)適應(yīng)性經(jīng)過SecGateManager安全管理系統(tǒng)能夠?qū)Ψ阑饓顟B(tài)信息進(jìn)行實(shí)時(shí)監(jiān)控與統(tǒng)計(jì)分析。具有多個(gè)自適應(yīng)網(wǎng)絡(luò)接口,網(wǎng)口數(shù)目可擴(kuò)展,在保證網(wǎng)絡(luò)高度安全和數(shù)據(jù)完整的前提下,同時(shí)具有線速或接近線速的網(wǎng)絡(luò)處理性能。VLAN支持支持每個(gè)網(wǎng)絡(luò)接口設(shè)定多個(gè)IP地址,支持網(wǎng)絡(luò)接口模式的設(shè)定。支持ADSL撥號(hào)連接,自動(dòng)以ADSL獲得的地址為公網(wǎng)地址,用此地址對(duì)內(nèi)部IP做地址轉(zhuǎn)換。適應(yīng)多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和VLAN環(huán)境(支持802.1q協(xié)議、Trunk協(xié)議和VLAN間訪問控制等)。支持多種工作模式(包括透明模式、純路由模式、混合模式)。滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的要求(防火墻冗余、防火墻旁路、防火墻跨接)。支持IEEE802.1Q協(xié)議。多協(xié)議支持支持vlantrunk協(xié)議,并能夠?qū)runk口中的VLANID進(jìn)行過濾。支持VTP鏈路聚合協(xié)議。支持STP協(xié)議和BPDU協(xié)議。在路由模式和橋模塊下均支持VLAN間路由。管理口和HA口不支持VLAN協(xié)議。對(duì)TCP/UDP/ICMP協(xié)議的數(shù)據(jù)幀,根據(jù)安全規(guī)則建立狀態(tài)檢測(cè),完成動(dòng)態(tài)包過濾。對(duì)非IP協(xié)議的數(shù)據(jù)幀,根據(jù)非IP協(xié)議過濾策略(允許或禁止,在網(wǎng)口時(shí)配置指定)進(jìn)行處理。只能做透?jìng)魈幚淼姆荌P協(xié)議包括:DHCP、ADSL、IPX、RIP、ISL、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、BOOTP、VOD、RIP、OSPF、BGP4、IPX等。5.1.3SecGate3600-G7防火墻六大特色獨(dú)立的SecOS安全協(xié)議棧完全自主知識(shí)產(chǎn)權(quán)的SecOS實(shí)現(xiàn)防火墻的控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層分離,全模塊化設(shè)計(jì),實(shí)現(xiàn)獨(dú)立的安全協(xié)議棧,消除了因操作系統(tǒng)漏洞帶來的安全性問題,以及操作系統(tǒng)升級(jí)、維護(hù)對(duì)防火墻功能的影響。同時(shí)也減少了因?yàn)橛布脚_(tái)的更換帶來的重復(fù)開發(fā)問題。由于采用先進(jìn)的設(shè)計(jì)理念,使該SecOS具有更高的安全性、開放性、擴(kuò)展性和可移植性。硬件抽象層硬件抽象層SecOS安全協(xié)議?？刂平涌谂渲霉芾響?yīng)用軟件圖3.1SecGate3600防火墻體系架構(gòu)圖獨(dú)創(chuàng)的智能高效搜索算法采用獨(dú)創(chuàng)的分段直接尋址搜索算法MSDAL(Multi-StageDirectAddressingLookupAlgorithm),解決了傳統(tǒng)防火墻隨著安全策略數(shù)的增加其性能逐漸下降的問題,確保您在大量安全策略數(shù)目情況下仍能獲取最高的網(wǎng)絡(luò)性能!深度的網(wǎng)絡(luò)行為關(guān)聯(lián)分析采用數(shù)據(jù)包內(nèi)容的深度網(wǎng)絡(luò)行為關(guān)聯(lián)分析技術(shù),讓您不再為各種專有動(dòng)態(tài)協(xié)議如H.323、FTP、SQL.Net等的控制”愁眉不展”!而且增強(qiáng)了您的網(wǎng)絡(luò)對(duì)于各種DDoS攻擊的防范能力!全面的連接狀態(tài)監(jiān)控和實(shí)時(shí)阻斷全面的連接狀態(tài)監(jiān)控,讓您及時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài),配合豐富的連接限制,方便您對(duì)BT/電驢等P2P應(yīng)用的控制,以及對(duì)感染網(wǎng)絡(luò)蠕蟲病毒的主機(jī)進(jìn)行快速定位和實(shí)時(shí)阻斷!強(qiáng)大的網(wǎng)絡(luò)拓?fù)渥赃m應(yīng)性適應(yīng)于各種復(fù)雜網(wǎng)絡(luò)拓?fù)?包括透明橋接、路由以及橋和路由完全自適應(yīng)識(shí)別模式。支持VLAN和VLANTRUNK處理;支持多網(wǎng)絡(luò)出口的鏈路聚合和策略路由;支持生成樹和每VLAN生成樹協(xié)議(STP/PVST+)和虛擬路由冗余協(xié)議(VRRP),提供全面可靠的二層鏈路備份和三層路由備份。智能便捷的配置向?qū)Ш凸芾矸绞綖榘踩芾韱T提供智能便捷的配置向?qū)?讓您輕松完成復(fù)雜的安全配置!并提供豐富的管理方式,包括本地Console,撥號(hào)PPP接入,基于Web(HTTPS)瀏覽器,遠(yuǎn)程SSH登錄,以及強(qiáng)大的SecFox集中安全管理方式。5.1.4SecGate3600-G7防火墻主要功能介紹自適應(yīng)的網(wǎng)絡(luò)接入模式SecGate3600-G7防火墻支持透明橋接、路由、混合(同時(shí)存在透明、路由的自適應(yīng)接入)接入模式。當(dāng)工作在透明模式時(shí),SecGate3600-G7防火墻類似于一個(gè)網(wǎng)橋,不需要用戶對(duì)網(wǎng)絡(luò)的拓?fù)渥龀鋈魏握{(diào)整;當(dāng)工作在路由模式時(shí),SecGate3600-G7防火墻類似于一個(gè)路由器,能夠提供策略路由功能;SecGate3600-G7防火墻還能夠工作在自適應(yīng)的混合模式下,即防火墻的不同端口有的在同一網(wǎng)段上(透明),有的在不同網(wǎng)段上(路由),這樣更方便用戶在各種網(wǎng)絡(luò)環(huán)境的接入。完善的狀態(tài)包過濾SecGate3600-G7防火墻根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)接口等對(duì)數(shù)據(jù)包進(jìn)行訪問控制,而且能夠記錄經(jīng)過防火墻的連接狀態(tài),直接對(duì)分組里的數(shù)據(jù)進(jìn)行處理;具有完備的狀態(tài)檢測(cè)表追蹤連接會(huì)話狀態(tài),而且結(jié)合前后分組里的關(guān)系進(jìn)行綜合判斷決定是否允許該數(shù)據(jù)包經(jīng)過,經(jīng)過連接狀態(tài)進(jìn)行更迅速更安全的過濾。支持復(fù)雜動(dòng)態(tài)協(xié)議的狀態(tài)包過濾,經(jīng)過對(duì)協(xié)議內(nèi)容的實(shí)時(shí)分析,動(dòng)態(tài)開放所需的端口,傳輸結(jié)束后實(shí)時(shí)關(guān)閉端口,確保內(nèi)網(wǎng)安全。強(qiáng)大的抗攻擊能力完全自主開發(fā)的SecOS安全協(xié)議棧,支持對(duì)常見攻擊的檢測(cè)和阻斷,并能夠?qū)崿F(xiàn)針對(duì)ICMP、UDP、TCP的Flood攻擊提交頻度檢查與閾值分析,如針對(duì)ICMPFlood完成過濾類型與代碼、頻度、包長(zhǎng)檢查,針對(duì)UDPFlood完成頻度、包長(zhǎng)檢查,針對(duì)Synfloood完成頻度檢查。針對(duì)最常見的SynFlood攻擊,設(shè)置了SYNproxy以保護(hù)內(nèi)部網(wǎng)絡(luò)和防火墻本身免受此類的拒絕服務(wù)攻擊,提供高安全性和高可用性。支持對(duì)以下攻擊的檢測(cè):TCP端口掃描UDP端口掃描Synflood攻擊ICMPflood攻擊UDPflood攻擊Pingofdeath攻擊Pingsweep攻擊IPspoofingLand攻擊Teardrop攻擊FilterIPsourcerouteoptionWinNuke攻擊Synfragments攻擊SynandFinbitset攻擊NoflagsinTCP攻擊FINwithnoACK攻擊ICMPfragment攻擊LargeICMPIPsourcerouteIPrecordrouteIPsecurityoptionsIPtimestampIPstreamIPbadoptionsUnknownprotocols全面的NAT地址轉(zhuǎn)換支持動(dòng)態(tài)地址轉(zhuǎn)換,支持地址池,即一對(duì)一,一對(duì)多,多對(duì)多;支持靜態(tài)地址轉(zhuǎn)換;支持端口轉(zhuǎn)換,支持動(dòng)態(tài)服務(wù)的映射,允許用戶內(nèi)部服務(wù)對(duì)外開放;支持反向IP映射,允許用戶內(nèi)部IP主機(jī)對(duì)外開放;支持雙向地址轉(zhuǎn)換(一般應(yīng)用于兩邊權(quán)限對(duì)等網(wǎng)絡(luò)中),即源地址和目的地址的同時(shí)轉(zhuǎn)換;支持基于策略(基于協(xié)議、目的地址)的地址轉(zhuǎn)換。豐富的預(yù)定義代理和自定義代理SecGate3600-G7防火墻提供豐富的代理功能。預(yù)定義代理包括:HTTP代理能夠?qū)ava、JavaScript、ActiveX進(jìn)行過濾;FTP代理能夠?qū)Χ嗑€程、put和get命令過濾;SMTP代理能夠?qū)︵]件大小、接收人數(shù)限制,并按關(guān)鍵字對(duì)郵件主題、郵件正文和附件內(nèi)容、附件名過濾;POP3代理能夠?qū)︵]件大小限制,并按關(guān)鍵字對(duì)郵件主題、附件名過濾;支持基于TCP協(xié)議的用戶自定義代理,方便管理員使用。獨(dú)創(chuàng)的高效安全規(guī)則搜索算法SecGate3600-G7防火墻采用自主設(shè)計(jì)的分段直接尋址安全規(guī)則搜索算法MSDAL(Multi-StageDirectAddressingLookupAlgorithm),解決了傳統(tǒng)防火墻隨著安全規(guī)則數(shù)的增加,其搜索速率呈線性遞減的問題,確保在大規(guī)則數(shù)情況下以最短的時(shí)間匹配到安全規(guī)則。全面靈活的連接限制SecGate3600-G7防火墻提供了四種連接限制:保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)。連接限制能夠保護(hù)服務(wù)器或服務(wù)器上提供的某項(xiàng)服務(wù),限制對(duì)服務(wù)器過于頻繁的訪問。在規(guī)定的時(shí)間內(nèi),如果某臺(tái)主機(jī)訪問服務(wù)器超過了所限制的次數(shù),則會(huì)對(duì)該主機(jī)實(shí)行阻斷,在阻斷時(shí)間段內(nèi),拒絕其對(duì)服務(wù)器的所有訪問。也能夠應(yīng)用此功能對(duì)使用BT/電驢等連接數(shù)目過大嚴(yán)重影響網(wǎng)絡(luò)流量的用戶加以限制。策略路由和鏈路聚合SecGate3600-G7防火墻除常規(guī)的按目的IP方式的路由功能外,還支持按源IP方式的路由功能和路由負(fù)載均衡,支持多出口時(shí)鏈路聚合。按源IP方式是根據(jù)源IP地址來決定下一跳地址。路由負(fù)載均衡指按照下一跳的權(quán)值來自動(dòng)選擇路由,從而充分利用用戶的帶寬資源,保護(hù)用戶投資。深度內(nèi)容過濾SecGate3600-G7防火墻具備HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過濾功能,保護(hù)終端用戶合法有效地使用各種網(wǎng)絡(luò)資源;支持對(duì)網(wǎng)頁(yè)中的java、javascrip、activeX等小程序的過濾;支持對(duì)郵件的發(fā)收信人地址、人數(shù)、文件大小過濾,及對(duì)郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等的關(guān)鍵字匹配過濾;支持URL過濾,并支持黑/白名單過濾策略。0深度動(dòng)態(tài)協(xié)議分析SecGate3600-G7防火墻支持對(duì)網(wǎng)絡(luò)動(dòng)態(tài)協(xié)議的深度分析,全面支持H.323、FTP、SQL.NET等動(dòng)態(tài)協(xié)議的過濾。1全面的VLAN支持SecGate3600-G7防火墻能夠支持802.1Q封裝協(xié)議;支持Vlantrunk協(xié)議,并能夠?qū)runk口中的VLANID進(jìn)行過濾;支持VTP鏈路聚合協(xié)議;支持生成樹協(xié)議STP和每VLAN的生成樹協(xié)議PVST+;在路由模式和橋模塊下均支持VLAN間路由,方便用戶在旁路方式下的接入。2用戶認(rèn)證SecGate3600-G7防火墻提供協(xié)議層用戶認(rèn)證系統(tǒng),突破認(rèn)證的服務(wù)種類限制,為包過濾、雙向NAT、代理等訪問控制提供用戶認(rèn)證功能;支持用戶和組管理,支持用戶策略(源IP綁定、可訪問目的IP和服務(wù)),支持對(duì)用戶帳號(hào)的流量控制和時(shí)間控制;提供與標(biāo)準(zhǔn)的radius服務(wù)器(PAP)聯(lián)動(dòng)的用戶認(rèn)證;提供本地認(rèn)證庫(kù):提供基于角色的用戶策略,并與安全規(guī)則策略配合完成強(qiáng)訪問控制,支持對(duì)用戶帳號(hào)的流量控制和時(shí)間控制,客戶端能夠修改密碼,服務(wù)器端檢查用戶在線狀態(tài),支持PAP和S/Key認(rèn)證協(xié)議。3IP/MAC地址綁定SecGate3600-G7防火墻提供IP/MAC地址綁定檢查功能,防止IP地址盜用,能夠設(shè)置綁定的默認(rèn)策略,提供IP/MAC正確唯一性檢查。另外還提供地址對(duì)與網(wǎng)口的綁定功能,能夠及時(shí)定位盜用合法IP/MAC地址正確非法用戶。SecGate3600-G7防火墻提供IP/MAC自動(dòng)探測(cè)功能,能夠大大減輕管理員手工收集IP/MAC正確工作量。4靈活的時(shí)間調(diào)度SecGate3600-G7防火墻可設(shè)定一次性或周期性的調(diào)度規(guī)則,對(duì)安全規(guī)則、用戶安全策略等進(jìn)行調(diào)度,給安全管理帶來方便。SecGate3600-G7防火墻的系統(tǒng)時(shí)間能夠設(shè)置為與時(shí)鐘服務(wù)器的時(shí)間同步,也能夠設(shè)置為與管理主機(jī)的時(shí)間同步。5與IDS聯(lián)動(dòng)SecGate3600-G7防火墻支持與當(dāng)前市場(chǎng)上大部分主流IDS產(chǎn)品的聯(lián)動(dòng)。當(dāng)IDS聯(lián)動(dòng)產(chǎn)品發(fā)現(xiàn)入侵攻擊行為時(shí),會(huì)通知防火墻。如果防火墻相應(yīng)網(wǎng)口啟用了IDS自動(dòng)阻斷功能,則防火墻會(huì)按IDS通知的阻斷方式、阻斷時(shí)間和入侵主機(jī)的相關(guān)信息,對(duì)入侵主機(jī)進(jìn)行阻斷。SecGate3600-G7防火墻阻斷方式包括:對(duì)”源IP地址”阻斷;對(duì)”源IP地址、目的IP地址、目的端口、協(xié)議”阻斷;對(duì)”源IP地址、目的IP地址、協(xié)議、方向(單向、雙向、反向)”阻斷;防火墻阻斷協(xié)議包括:TCP/UDP/ICMP和所有協(xié)議(any)。6流量整形和帶寬管理SecGate3600-G7防火墻采用先進(jìn)的擁塞控制算法、流量調(diào)度算法以及優(yōu)先級(jí)排隊(duì)機(jī)制,根據(jù)用戶定義的帶寬策略(最大峰值帶寬,最小保證帶寬和優(yōu)先級(jí)),動(dòng)態(tài)實(shí)現(xiàn)帶寬分配的實(shí)時(shí)控制。具有以下特點(diǎn):最大限制帶寬能夠?qū)τ脩鬒P地址、服務(wù)等經(jīng)過防火墻的帶寬進(jìn)行限制,例如:限制某個(gè)用戶對(duì)外訪問最大帶寬,或者訪問某種服務(wù)的最大帶寬。最小保證帶寬保證網(wǎng)絡(luò)中重要服務(wù)或者重要用戶的帶寬不被其它服務(wù)或者用戶占用,從而保證了重要數(shù)據(jù)優(yōu)先經(jīng)過網(wǎng)絡(luò)。優(yōu)先級(jí)控制防火墻能夠設(shè)定4個(gè)優(yōu)先級(jí)(0-3),在擁塞情況下,能夠進(jìn)行更加細(xì)致的流量控制。7完善的DHCP支持支持DHCP客戶端防火墻支持動(dòng)態(tài)IP,其接口能夠動(dòng)態(tài)地獲得IP地址,方便靈活地接入用戶的網(wǎng)絡(luò)環(huán)境。支持DHCPserver防火墻自身能夠作為DHCPServer,為網(wǎng)絡(luò)中計(jì)算機(jī)動(dòng)態(tài)的分配IP地址,從而為企業(yè)的網(wǎng)絡(luò)建設(shè)節(jié)約投資,同時(shí)方便網(wǎng)絡(luò)的應(yīng)用和IP地址的管理。支持DHCPRelay防火墻支持DHCPRelay。放置于DHCPServer和DHCPClient之間,既有效的保護(hù)DHCPServer同時(shí)便于用戶網(wǎng)絡(luò)的部署。8雙機(jī)熱備和高可用性HA為了保證網(wǎng)絡(luò)的高可用性與高可靠性,針對(duì)電信級(jí)的要求,SecGate3600-G7防火墻提供了雙機(jī)熱備份功能,當(dāng)一臺(tái)防火墻發(fā)生意外宕機(jī)、網(wǎng)絡(luò)故障、硬件故障等情況時(shí),另一臺(tái)防火墻自動(dòng)切換到工作狀態(tài),從而保證了網(wǎng)絡(luò)的正常使用。切換過程不需要人為操作和其它系統(tǒng)的參與,當(dāng)發(fā)生切換時(shí)防火墻上的連接能夠透明地、完整地遷移到另一臺(tái)防火墻上,用戶不會(huì)覺察到。9全面的系統(tǒng)監(jiān)控SecGate3600-G7防火墻提供全面的系統(tǒng)狀態(tài)監(jiān)控,能夠讓管理員清楚地了解網(wǎng)絡(luò)中接口流量統(tǒng)計(jì)、最大連接數(shù)量的IP等信息,而且能夠及時(shí)發(fā)現(xiàn)被網(wǎng)絡(luò)蠕蟲病毒感染的主機(jī),配合連接限制,進(jìn)行實(shí)時(shí)阻斷。0便捷的配置向?qū)ecGate3600-G7防火墻提供便捷的配置向?qū)Чδ?管理員能夠根據(jù)初始配置向?qū)лp松完成防火墻的配置。1對(duì)象名稱定義和引用SecGate3600-G7防火墻將單個(gè)地址、一段網(wǎng)絡(luò)、IP地址的范圍、地址組、帶寬策略、時(shí)間調(diào)度策略、URL列表等設(shè)置為一個(gè)對(duì)象名稱。安全規(guī)則基于對(duì)象名稱過濾,使規(guī)則具有很強(qiáng)的可讀性,同時(shí)提高了配置管理員的工作效率,使配置更具靈活性。2豐富、安全的管理方式SecGate3600-G7防火墻提供Web管理方式(經(jīng)過網(wǎng)口)、CLI命令行管理方式(經(jīng)過串口),同時(shí)還支持遠(yuǎn)程撥號(hào)(PPP)管理方式。上述三種管理方式是一直打開的。另外,防火墻還提供經(jīng)過SSH登錄對(duì)防火墻以命令行方式進(jìn)行遠(yuǎn)程管理的功能,此管理方式管理員有權(quán)進(jìn)行添加和刪除。3分級(jí)權(quán)限的安全管理SecGate3600-G7防火墻提供分級(jí)安全管理機(jī)制,系統(tǒng)分為超級(jí)管理員、配置管理員、策略管理員、審計(jì)管理員四個(gè)等級(jí)。經(jīng)過管理員身份認(rèn)證(電子鑰匙認(rèn)證或證書認(rèn)證)、管理主機(jī)限制、防火墻管理IP限制、防火墻管理方式定義(web管理/命令行管理/SSH方式/PPP+SSH連接)、配置信息加密(支持SSL協(xié)議和SSH協(xié)議),提供方便且安全的配置管理。4與SecFox集中遠(yuǎn)程管理無(wú)縫集成SecGate3600-G7防火墻經(jīng)過SNMPv2/v3協(xié)議,實(shí)現(xiàn)了和網(wǎng)御神州SecFox集中安全管理系統(tǒng)的無(wú)縫集成,經(jīng)過在防火墻上配置集中管理主機(jī)的IP地址,十分方便地實(shí)現(xiàn)對(duì)防火墻的集中管理。SecFox集中管理系統(tǒng)能夠同時(shí)對(duì)多個(gè)防火墻進(jìn)行遠(yuǎn)程管理,而且支持防火墻策略的批量修改和分發(fā)。5完善的系統(tǒng)升級(jí)隨著技術(shù)的飛速發(fā)展和安全需求的不斷延伸,SecGate3600-G7會(huì)適時(shí)地進(jìn)行軟件版本升級(jí)。SecGate3600-G7防火墻的軟件升級(jí)直接經(jīng)過管理界面進(jìn)行,用戶只需選擇新的升級(jí)軟件包并重啟防火墻即可方便地完成軟件升級(jí)。6系統(tǒng)配置的導(dǎo)入導(dǎo)出SecGate3600-G7防火墻的導(dǎo)入導(dǎo)出功能便于管理員對(duì)整個(gè)防火墻的配置進(jìn)行備份,在需要的時(shí)候,能夠離線調(diào)整后,重新導(dǎo)入防火墻即可即時(shí)生效。導(dǎo)出的配置信息能夠保存在管理主機(jī)上做備份,導(dǎo)出的文件格式能夠選擇加密或不加密。7全面的日志審計(jì)和日志服務(wù)器SecGate3600-G7防火墻各功能模塊都能夠提供標(biāo)準(zhǔn)格式的日志記錄。默認(rèn)情況下,日志存儲(chǔ)在防火墻本地,也能夠?qū)⑷罩局苯影l(fā)往日志服務(wù)器。隨機(jī)提供的日志服務(wù)器軟件能夠?qū)崿F(xiàn)強(qiáng)大的存儲(chǔ)和審計(jì)功能,方便管理員對(duì)日志進(jìn)行查詢和管理。5.2網(wǎng)御神州SECIDS-3600入侵檢測(cè)5.2.1概述網(wǎng)神IDS是由網(wǎng)神IDSsensor(以下稱探測(cè)器)及網(wǎng)神IDSConsole(以下稱控制臺(tái))兩部分組成。探測(cè)器設(shè)置在內(nèi)部網(wǎng)絡(luò)特定地點(diǎn)(網(wǎng)關(guān)、主要服務(wù)群所在的部分、主要節(jié)點(diǎn))進(jìn)行數(shù)據(jù)流分類收集并執(zhí)行入侵檢測(cè)及數(shù)據(jù)流分析的功能,把分析的事件結(jié)果傳送到管理中心。把傳送到管理中心的事件進(jìn)行再分析及統(tǒng)計(jì)抽取的過程保存到數(shù)據(jù)庫(kù)中,利用控制臺(tái)能夠?qū)崟r(shí)進(jìn)行數(shù)據(jù)檢測(cè)。5.2.2主要技術(shù)特色先進(jìn)的入侵檢測(cè)引擎系統(tǒng)采用優(yōu)化的TCP流重組和IP包重組策略,綜合使用狀態(tài)協(xié)議分析、模式匹配、異常檢測(cè)等方法,能夠?qū)崿F(xiàn)對(duì)當(dāng)前主流的應(yīng)用層協(xié)議進(jìn)行解析,支持的協(xié)議達(dá)100種以上。先進(jìn)的智能管理模式探測(cè)器和控制臺(tái)間對(duì)等方式的分散性結(jié)構(gòu),能夠使一個(gè)探測(cè)器連接多個(gè)控制臺(tái),或者一個(gè)控制臺(tái)連接多個(gè)探測(cè)器。探測(cè)器能夠有1個(gè)主控制臺(tái)(PrimaryManager)和1個(gè)以上的從控制臺(tái)(SecondaryManager)。主控制臺(tái)和從控制臺(tái)能夠記錄探測(cè)器的所有事件,且主控制臺(tái)能夠設(shè)置探測(cè)器的配置。多個(gè)控制臺(tái)和多個(gè)探測(cè)器的連接。發(fā)生與控制臺(tái)的連接斷開時(shí),探測(cè)器也可持續(xù)工作,記錄事件日志。重新連接時(shí)探測(cè)器向主控制臺(tái)發(fā)送斷開期間保存的所有日志數(shù)據(jù)。多個(gè)探測(cè)器連接一個(gè)控制臺(tái)。利用SSL加密算法的控制臺(tái)和探測(cè)器間的通訊加密化。管理員能夠根據(jù)需要定制安全事件及網(wǎng)絡(luò)流量的顯示界面,這樣更便于管理員了解網(wǎng)絡(luò)的安全狀況。出眾的運(yùn)行性能SecIDS3600采用了內(nèi)存零拷貝、零系統(tǒng)調(diào)用等高性能網(wǎng)絡(luò)數(shù)據(jù)包處理技術(shù),結(jié)合高性能的硬件平臺(tái),能有效降低網(wǎng)絡(luò)數(shù)據(jù)包的處理開銷,即使在高流量的網(wǎng)絡(luò)環(huán)境下也能夠保持出眾的運(yùn)行性能。5.2.3產(chǎn)品功能特點(diǎn)產(chǎn)品系統(tǒng)構(gòu)成網(wǎng)御神州百兆入侵檢測(cè)系統(tǒng)當(dāng)前有兩個(gè)型號(hào):SecIDS3600-I5和SecIDS3600-I4。網(wǎng)御神州千兆入侵檢測(cè)系統(tǒng)當(dāng)前有一個(gè)型號(hào):SecIDS3600-G。網(wǎng)御神州入侵檢測(cè)系統(tǒng)由探測(cè)器(硬件)和控制臺(tái)(軟件)兩部分組成。SecIDS3600探測(cè)器硬件設(shè)備。在所監(jiān)視網(wǎng)段采用入侵檢測(cè)分析技術(shù),檢測(cè)違反網(wǎng)絡(luò)安全策略的入侵攻擊事件、誤用及濫用事件,實(shí)時(shí)向控制臺(tái)傳送報(bào)警信息和事件過程記錄。SecIDS3600控制臺(tái)軟件系統(tǒng)。對(duì)一個(gè)或多個(gè)網(wǎng)御IDS探測(cè)器進(jìn)行規(guī)則策略配置、運(yùn)行狀態(tài)監(jiān)視、事件日志記錄及管理。對(duì)探測(cè)器檢測(cè)出的違反網(wǎng)絡(luò)安全策略的事件,能夠向網(wǎng)絡(luò)安全管理員報(bào)警,并依據(jù)預(yù)置的策略與多種防火墻進(jìn)行聯(lián)動(dòng),阻斷入侵攻擊。產(chǎn)品完全功能列表完全功能列表功能特性備注專用平臺(tái)有入侵檢測(cè)功能多種行為檢測(cè)有狀態(tài)化的TCP連接檢測(cè)有協(xié)議解碼有事件合并功能有智能IP碎片重組有防Arp地址欺騙有防IP地址欺騙有基于用戶自定義策略的分析有增值功能敏感內(nèi)容檢測(cè)有多網(wǎng)段定義有數(shù)據(jù)庫(kù)交叉?zhèn)浞萦芯W(wǎng)絡(luò)事件回放有系統(tǒng)安全功能遠(yuǎn)程安全管理有管理日志審計(jì)有用戶操作審計(jì)有抗反IDS技術(shù)有抗針對(duì)IDS的DOS攻擊有配置功能安全規(guī)則定制有多種響應(yīng)方式有日志審計(jì)和報(bào)表有數(shù)據(jù)庫(kù)支持Access、SQL、Oracle安全模版定制有用戶自定義事件查看有附屬功能網(wǎng)絡(luò)流量統(tǒng)計(jì)有日志維護(hù)有遠(yuǎn)程升級(jí)有自定義設(shè)置統(tǒng)計(jì)流量有部署功能開放式接口有分級(jí)部署有Peer-to-peer的管理方式,方便多個(gè)用戶的同時(shí)觀測(cè)數(shù)據(jù)有主/輔控制臺(tái)雙向連接有重點(diǎn)服務(wù)器的定義與實(shí)時(shí)監(jiān)控有控制臺(tái)管理功能用戶分權(quán)限管理有會(huì)話過濾和實(shí)時(shí)響應(yīng)有實(shí)時(shí)探測(cè)器狀態(tài)顯示,能夠?qū)崟r(shí)顯示探測(cè)器的系統(tǒng)消耗狀況有日志庫(kù)維護(hù)(提供了專門對(duì)控制臺(tái)數(shù)據(jù)庫(kù)的優(yōu)化程序)有完整性檢測(cè),能夠?qū)刂婆_(tái)文件/數(shù)據(jù)庫(kù)表/注冊(cè)表鍵值的完整性進(jìn)行檢查。有計(jì)劃任務(wù),能夠定時(shí)進(jìn)行規(guī)則庫(kù)升級(jí)/日志備份等有檢測(cè)對(duì)象目標(biāo)化,能夠針對(duì)小型網(wǎng)絡(luò)中的重點(diǎn)保護(hù)對(duì)象進(jìn)行有目標(biāo)的監(jiān)測(cè)有探測(cè)器與控制臺(tái)執(zhí)行策略的雙向同步有預(yù)檢策略,能夠過濾掉用戶所不關(guān)心的數(shù)據(jù)有5.2.4產(chǎn)品主要功能亮點(diǎn)細(xì)粒度檢測(cè)技術(shù)在檢測(cè)過程中綜合運(yùn)用多種檢測(cè)手段,在檢測(cè)的各個(gè)部分使用合適的檢測(cè)方式,脫離了單純的匹配或解碼的檢測(cè)模式。有效降低了漏報(bào)誤報(bào)率,提供了高可用性的告警信息。網(wǎng)御神州獨(dú)創(chuàng)的檢測(cè)技術(shù),解決了當(dāng)前常見的模式匹配和協(xié)議解碼技術(shù)帶來的入侵檢測(cè)產(chǎn)品可用性不高的問題。強(qiáng)大的入侵檢測(cè)功能檢測(cè)1600多種攻擊手段。支持事件統(tǒng)計(jì)分析,協(xié)議異常檢測(cè),有效防止各種攻擊欺騙。優(yōu)異的檢測(cè)性能,經(jīng)過使用高速數(shù)據(jù)包處理技術(shù),提高了大流量下的檢測(cè)能力,能夠適應(yīng)百兆和千兆的網(wǎng)絡(luò)環(huán)境。百兆環(huán)境下背景流量為百兆滿負(fù)荷時(shí),檢測(cè)率達(dá)到100％。依托強(qiáng)大的資源投入,保證了檢測(cè)規(guī)則庫(kù)的權(quán)威性和時(shí)效性,同時(shí)與國(guó)際權(quán)威規(guī)則庫(kù)保持同步。靈活全面的部署配置支持IDS/IPS雙工作模式。支持TOPSEC、OPSEC等協(xié)議,具有較強(qiáng)聯(lián)動(dòng)功能。支持SNMP協(xié)議下的網(wǎng)絡(luò)統(tǒng)一管理,可擴(kuò)展與多種網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)。用戶導(dǎo)向的設(shè)計(jì)理念控制臺(tái)界面人性化,提供初次安裝探測(cè)器向?qū)?、探測(cè)器高級(jí)配置向?qū)?、?bào)表定制向?qū)У?易于用戶使用。一站式管理結(jié)構(gòu),簡(jiǎn)化了配置流程。強(qiáng)大的日志報(bào)表功能,用戶可定制查詢和報(bào)表。支持用戶自定義規(guī)則設(shè)置和響應(yīng)設(shè)置,靈活方便的定制安全策略。用戶自定義個(gè)性化控制臺(tái)界面。完善的增值功能網(wǎng)絡(luò)行為監(jiān)控、流量監(jiān)視、違規(guī)網(wǎng)絡(luò)連接檢測(cè)等功能,掌控自己的網(wǎng)絡(luò)。強(qiáng)大的響應(yīng)功能,提供防火墻聯(lián)動(dòng),郵件報(bào)警等多種響應(yīng)方式。IP欺騙檢測(cè)功能。檢測(cè)網(wǎng)絡(luò)中的IP地址盜用行為。Arp地址欺騙檢測(cè),防止了來自內(nèi)部的地址欺騙攻擊,有效的定位內(nèi)部攻擊來源。HTTP、FTP、TELNET和收發(fā)郵件的監(jiān)控和回放功能,完整重現(xiàn)網(wǎng)絡(luò)濫用行為。數(shù)據(jù)庫(kù)交叉?zhèn)浞菽Ｊ?加快了備份速度。安全的體系結(jié)構(gòu)設(shè)計(jì)完善的日志審計(jì)功能,記錄用戶操作的一舉一動(dòng)。探測(cè)器地址隱藏設(shè)計(jì)。經(jīng)過安全裁減的嵌入式操作系統(tǒng),DOM和專用硬盤存儲(chǔ)機(jī)制。保證硬件設(shè)備的安全?；赟SL加密和身份認(rèn)證的通訊機(jī)制,保證傳輸安全?；谟布纳矸菡J(rèn)證功能,用戶角色分級(jí)機(jī)制,阻止對(duì)產(chǎn)品操作的假冒行為。高品質(zhì)產(chǎn)品具有先進(jìn)的研發(fā)管理體系,經(jīng)過嚴(yán)格的工作流程、完備的文檔和代碼管理工具實(shí)現(xiàn)高品質(zhì)產(chǎn)品的開發(fā)。產(chǎn)品經(jīng)過數(shù)十道工序和質(zhì)控點(diǎn),嚴(yán)格保證產(chǎn)品質(zhì)量。具備完備的質(zhì)檢措施,經(jīng)過巡查、互檢、終檢,確保每一臺(tái)出廠的機(jī)器合格。完善、高效的售后服務(wù)體系能夠免除用戶的后顧之憂。5.2.5產(chǎn)品功能描述入侵檢測(cè)功能多種行為檢測(cè)檢測(cè)1600多種攻擊手段。使用細(xì)粒度檢測(cè)技術(shù),支持事件統(tǒng)計(jì)分析,協(xié)議異常檢測(cè),有效防止各種攻擊欺騙。在MACLayer中檢測(cè)及響應(yīng),提高系統(tǒng)效率。狀態(tài)化的TCP連接檢測(cè)針對(duì)TCP連接建立狀態(tài)監(jiān)控機(jī)制,從而實(shí)現(xiàn)對(duì)重點(diǎn)服務(wù)器的深層次保護(hù)。針對(duì)常見的反ids技術(shù)(如stick、snot攻擊),進(jìn)行了優(yōu)化。協(xié)議解碼對(duì)常見網(wǎng)絡(luò)應(yīng)用層協(xié)議解碼分析。記錄網(wǎng)絡(luò)中的異常行為。智能IP碎片重組對(duì)所監(jiān)視網(wǎng)絡(luò)中的IP碎片報(bào)文重組后分析,防止IP碎片欺騙。防IP地址欺騙對(duì)所監(jiān)視網(wǎng)絡(luò)中主機(jī)的IP和MAC地址進(jìn)行綁定,防止IP或MAC地址盜用行為。并對(duì)非法IP的訪問提供詳細(xì)的記錄,以便防火墻管理員查看。增值功能網(wǎng)絡(luò)敏感內(nèi)容檢測(cè)能夠設(shè)置網(wǎng)絡(luò)中常見的敏感信息發(fā)現(xiàn)并記錄。如所監(jiān)視網(wǎng)絡(luò)中用戶訪問網(wǎng)站的URL地址;收發(fā)郵件的主題中包含敏感字符串等情況都能夠記錄下相應(yīng)的信息。幫助管理員發(fā)現(xiàn)內(nèi)部的網(wǎng)絡(luò)濫用行為。多網(wǎng)段定義能夠允許聯(lián)動(dòng)事件雙方屬于多個(gè)網(wǎng)段,擴(kuò)大了聯(lián)動(dòng)范圍。網(wǎng)絡(luò)事件回放能夠把常見的應(yīng)用協(xié)議(HTTP、FTP、SMTP、POP3、TELNET)內(nèi)容恢復(fù),并按照相應(yīng)的協(xié)議格式完整展現(xiàn)。清楚展現(xiàn)入侵者的攻擊過程,重現(xiàn)內(nèi)部網(wǎng)絡(luò)資源濫用時(shí)泄漏的保密信息內(nèi)容。系統(tǒng)安全功能遠(yuǎn)程安全管理采用SSL加密信道和身份認(rèn)證形式對(duì)傳輸信息進(jìn)行處理,保證數(shù)據(jù)安全性、完整性(防篡改)。管理日志審計(jì)提供對(duì)用戶操作的審計(jì)功能。用戶登陸后的操作信息在控制臺(tái)有操作日志窗口實(shí)時(shí)顯示,對(duì)修改用戶信息等敏感操作記錄入數(shù)據(jù)庫(kù),能夠在用戶審計(jì)模塊查詢和生成報(bào)表。用戶操作審計(jì)對(duì)用戶所有修改操作進(jìn)行審計(jì),而且所有操作都直接和用戶建立關(guān)系。在程序啟動(dòng)成功、失敗以及各種交互時(shí)打印詳細(xì)信息,提供給用戶查看,也能夠用于查詢和統(tǒng)計(jì),為災(zāi)難恢復(fù)和審計(jì)提供內(nèi)容和思路。重點(diǎn)服務(wù)器定義和實(shí)時(shí)監(jiān)控經(jīng)過定義關(guān)鍵服務(wù)器來實(shí)現(xiàn)對(duì)內(nèi)部web、ftp以及其它關(guān)鍵服務(wù)器的保護(hù),支持記錄對(duì)重點(diǎn)服務(wù)器的特定端口的訪問記錄,同時(shí)提供實(shí)時(shí)監(jiān)控和端口非法連接或者記錄非法連接的功能,為以后的取證提供證據(jù)。強(qiáng)大配置功能安全規(guī)則定制用戶可根據(jù)需要定義自己的安全規(guī)則。對(duì)系統(tǒng)自身的安全規(guī)則,用戶能夠根據(jù)需要修改告警級(jí)別,響應(yīng)方式等內(nèi)容。系統(tǒng)還提供高級(jí)配置界面,為專家級(jí)用戶提供強(qiáng)大的支持。多種響應(yīng)方式對(duì)告警信息提供了防火墻聯(lián)動(dòng)、發(fā)送電子郵件、聲音報(bào)警、Windows消息報(bào)警、TCP阻斷等多種響應(yīng)方式。方便用戶,達(dá)到主動(dòng)式防御目的。日志審計(jì)和報(bào)表強(qiáng)大的日志審計(jì)功能。用戶可根據(jù)需要從任意角度定制審計(jì)查詢條件;內(nèi)置日?qǐng)?bào),月報(bào)等預(yù)設(shè)報(bào)表,用戶可根據(jù)需要從任意角度定制報(bào)表。安全模板定制為用戶提供Windows系統(tǒng)、Unix系統(tǒng)、SQL服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等多種定制模板,用戶能夠根據(jù)自己的網(wǎng)絡(luò)情況選擇模板,省去了配置的麻煩。預(yù)定義報(bào)表預(yù)制最專業(yè)的報(bào)表,包括對(duì)領(lǐng)導(dǎo)的報(bào)表和對(duì)管理員的報(bào)表以及其它一些人性化的報(bào)表進(jìn)行預(yù)制,包括統(tǒng)計(jì)概要、管理簡(jiǎn)報(bào)/執(zhí)行簡(jiǎn)報(bào)/技術(shù)簡(jiǎn)報(bào)、分組統(tǒng)計(jì)、分組明細(xì)、按攻擊類型/按服務(wù)/按風(fēng)險(xiǎn)等級(jí)進(jìn)行分析等,可按任意時(shí)間段產(chǎn)生報(bào)表。支持條件過濾的報(bào)表查詢和統(tǒng)計(jì)對(duì)多種條件包括特定字符串、事件名稱、任何地址、重點(diǎn)服務(wù)器的過濾,使結(jié)果更加精確。對(duì)于已生成的查詢結(jié)果能夠進(jìn)行多次過濾,形成報(bào)表進(jìn)行打印或者導(dǎo)出excel文件。日志合并日志歸并根據(jù)一系列事先定義的合并規(guī)則,將多條告警日志合并為一條,從而極大地減少了告警日志的數(shù)量,緩解了使用者被淹沒在大量無(wú)用信息中的煩惱,同時(shí)也可在一定程度上降低入侵檢測(cè)系統(tǒng)遭受Flood攻擊的可能性。附加功能網(wǎng)絡(luò)流量統(tǒng)計(jì)提供對(duì)探測(cè)器監(jiān)視網(wǎng)絡(luò)環(huán)境的流量圖形化統(tǒng)計(jì)功能,能夠分不同的探測(cè)器查看TCP連接數(shù)目,網(wǎng)絡(luò)字節(jié)流量統(tǒng)計(jì),網(wǎng)絡(luò)報(bào)文流量統(tǒng)計(jì),網(wǎng)絡(luò)報(bào)警事件統(tǒng)計(jì)等多種統(tǒng)計(jì)信息。日志維護(hù)提供數(shù)據(jù)庫(kù)管理功能,能夠?qū)θ罩拘畔浞?刪除,恢復(fù),合并。提供備份文件信息記錄和顯示功能,防止備份文件的丟失。遠(yuǎn)程升級(jí)支持在線和手動(dòng)兩種升級(jí)方式。在控制臺(tái)端能夠?qū)μ綔y(cè)器遠(yuǎn)程升級(jí)。支持升級(jí)分發(fā),可同時(shí)對(duì)多個(gè)探測(cè)器升級(jí),省去管理員繁瑣的操作。部署功能開放式接口支持TOPSEC、OPSEC等協(xié)議。能夠和其它支持這些協(xié)議的安全產(chǎn)品輕松組成安全解決方案。支持SNMP協(xié)議下的安全管理,可與多種設(shè)備組成強(qiáng)大的集中管理體系。分級(jí)部署對(duì)大型的分布式網(wǎng)絡(luò)環(huán)境提供分級(jí)部署功能,完成總部對(duì)下屬分支機(jī)構(gòu)的集中管理和升級(jí)文件分發(fā)等功能。多配置模式支持IDS/IPS雙模式檢測(cè)。支持主動(dòng)(Active)和被動(dòng)(Passive)連接模式,在跨網(wǎng)段和跨防火墻的復(fù)雜網(wǎng)絡(luò)中靈活部署。5.3網(wǎng)御神州SecSIS3600隔離網(wǎng)閘5.3.1概述網(wǎng)御神州SecSIS3600安全隔離與信息交換系統(tǒng)能夠有效實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全隔離,數(shù)據(jù)只能以專有數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)絡(luò)間進(jìn)行”擺渡”,從而切斷了內(nèi)外網(wǎng)絡(luò)之間的所有直接連接,保證內(nèi)外網(wǎng)數(shù)據(jù)能夠安全、可靠地交換。該系統(tǒng)可廣泛應(yīng)用于政府、企業(yè)、軍隊(duì)、電力等需要實(shí)施網(wǎng)絡(luò)安全隔離和數(shù)據(jù)交換的場(chǎng)合。5.3.2產(chǎn)品特點(diǎn)豐富的應(yīng)用模塊:SecSIS3600安全隔離與信息交換系統(tǒng)采用模塊化的系統(tǒng)結(jié)構(gòu)設(shè)計(jì),根據(jù)不同的應(yīng)用環(huán)境,量身定制多個(gè)功能模塊,以滿足用戶的不同需求。嚴(yán)格的傳輸控制:系統(tǒng)采用雙通道通信機(jī)制,從可信網(wǎng)到非可信網(wǎng)的數(shù)據(jù)流與從非可信網(wǎng)到可信網(wǎng)的數(shù)據(jù)流采用不同的數(shù)據(jù)通道,對(duì)通道的分離控制保證各通道的傳輸方向可控。高度的自身安全:系統(tǒng)具備強(qiáng)大的抗攻擊能力,內(nèi)外網(wǎng)主機(jī)模塊采用專用的安全操作系統(tǒng),內(nèi)核經(jīng)過特殊定制,實(shí)現(xiàn)強(qiáng)制性訪問控制,保護(hù)自身進(jìn)程及文件不被非法篡改和破壞。5.3.3主要功能主模塊提供基于Web的圖形化管理和基于數(shù)字證書的遠(yuǎn)程安全管理支持訪問控制和入侵檢測(cè)支持病毒檢測(cè)提供完善的日志審計(jì)支持雙機(jī)熱備,自身支持負(fù)載均衡文件交換模塊支持多種常見的文件交換協(xié)議支持單向/雙向傳輸方式,可控制信息流向支持文件交換的自動(dòng)執(zhí)行支持傳輸文件類型限定,提供關(guān)鍵字、黑白名單信息過濾支持對(duì)傳輸文件的數(shù)字簽名郵件模塊支持SMTP、POP3通用協(xié)議,支持SMTP認(rèn)證支持垃圾郵件過濾,支持對(duì)郵件內(nèi)容和附件的過濾支持內(nèi)外網(wǎng)郵件智能檢測(cè)和轉(zhuǎn)發(fā)支持對(duì)郵件的數(shù)字簽名支持采用端到端的安全通道式訪問支持SMTP、POP3協(xié)議,支持對(duì)協(xié)議命令進(jìn)行安全過濾數(shù)據(jù)庫(kù)模塊支持多種常見的數(shù)據(jù)庫(kù)支持多種同步方式支持大字段的數(shù)據(jù)同步支持自定義更新標(biāo)記支持自定義任務(wù)采用端到端的安全通道式訪問支持多種常見的數(shù)據(jù)庫(kù)支持訪問用戶名過濾FTP訪問模塊采用端到端的安全通道式訪問支持對(duì)用戶名、口令的認(rèn)證對(duì)協(xié)議命令進(jìn)行安全過濾安全瀏覽模塊支持代理模式、透明模式支持對(duì)HTTP協(xié)議的細(xì)粒度檢測(cè)提供多種認(rèn)證方式支持對(duì)各種腳本、控件、JavaApplet、Cookie的過濾支持對(duì)訪問文件類型的過濾5.3.4系統(tǒng)功能詳述豐富的應(yīng)用模塊SecSIS3600安全隔離與信息交換系統(tǒng)采用模塊化的系統(tǒng)結(jié)構(gòu)設(shè)計(jì),根據(jù)不同的應(yīng)用環(huán)境,量身定制多個(gè)功能模塊,以滿足用戶的不同需求,主要包括:文件交換模塊:實(shí)現(xiàn)不同安全等級(jí)網(wǎng)絡(luò)間文件的安全交換。數(shù)據(jù)庫(kù)同步模塊:經(jīng)過靈活的同步機(jī)制,保證安全等級(jí)不同的網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)同步更新。郵件交換模塊:保證在內(nèi)外網(wǎng)隔離的環(huán)境下實(shí)現(xiàn)安全的郵件收發(fā)。安全瀏覽模塊:保證在內(nèi)外網(wǎng)隔離的環(huán)境下,內(nèi)網(wǎng)用戶安全瀏覽外網(wǎng)資源。通用模塊:保證內(nèi)外網(wǎng)隔離的同時(shí)實(shí)現(xiàn)FTP、DNS、TNS等協(xié)議及其它通用TCP/IP協(xié)議的定制交換。其它定制用戶專有應(yīng)用模塊。訪問控制系統(tǒng)支持強(qiáng)大的訪問控制策略,支持經(jīng)過源地址、目的地址、端口、協(xié)議等多種元素對(duì)允許經(jīng)過網(wǎng)閘傳輸?shù)臄?shù)據(jù)進(jìn)行過濾,判斷是否符合組織安全策略。地址綁定提供IP與MAC地址綁定功能,可對(duì)指定接口所連接的網(wǎng)絡(luò)中的主機(jī)的IP和MAC地址進(jìn)行綁定,防止內(nèi)部用戶盜用IP和內(nèi)網(wǎng)地址資源分配的混亂,方便網(wǎng)絡(luò)IP資源管理。內(nèi)容檢查SecSIS3600安全隔離與信息交換系統(tǒng)提供多種內(nèi)容安全過濾與內(nèi)容訪問控制功能,既能有效的防止外部惡意代碼進(jìn)入內(nèi)網(wǎng),也能控制內(nèi)網(wǎng)用戶對(duì)外部資源不良內(nèi)容的訪問及敏感信息的泄漏。SecSIS3600安全隔離與信息交換系統(tǒng)的內(nèi)容檢查機(jī)制主要針對(duì)HTTP、FTP、郵件及文件交換等應(yīng)用,包括URL過濾、關(guān)鍵字過濾、Cookie過濾、文件類型檢查及病毒查殺等操作。URL/域名過濾網(wǎng)閘可對(duì)用戶訪問的Web站點(diǎn)的域名及URL等進(jìn)行基于正則表示式的過濾,禁止用戶訪問暴力、色情、反動(dòng)的主頁(yè)或站點(diǎn)中的特定目錄或文件。黑/白名單關(guān)鍵字過濾網(wǎng)閘可對(duì)郵件標(biāo)題和內(nèi)容以及傳輸?shù)奈募冗M(jìn)行黑/白名單關(guān)鍵字過濾,進(jìn)行單詞及短句的智能匹配,禁止包含特定關(guān)鍵字的敏感信息泄漏,或只允許包含相應(yīng)關(guān)鍵字的文件經(jīng)過網(wǎng)閘傳遞。COOKIE過濾網(wǎng)閘可對(duì)COOKIE進(jìn)行過濾。經(jīng)過對(duì)COOKIE進(jìn)行過濾,能夠防止敏感信息的泄漏。同時(shí)還能夠防止用戶進(jìn)行瀏覽論壇、上網(wǎng)聊天等違反安全策略的操作。文件類型檢查網(wǎng)閘可對(duì)傳輸?shù)奈募M(jìn)行類型檢查,只允許符合安全策略的文件經(jīng)過網(wǎng)閘傳遞。避免傳輸二進(jìn)制文件可能帶來的病毒和敏感信息泄露等問題。病毒及惡意代碼檢查系統(tǒng)可內(nèi)嵌殺病毒引擎,對(duì)允許傳輸?shù)奈募M(jìn)行病毒的檢查,確保進(jìn)入可信網(wǎng)絡(luò)的文件不包含病毒及Java/JavaScript/Active-X等惡意代碼。高可用設(shè)計(jì)SecSIS3600安全隔離與信息交換系統(tǒng)支持高可用方案,全面解決設(shè)備故障與鏈路故障造成的業(yè)務(wù)中斷,保證系統(tǒng)7X24小時(shí)不間斷服務(wù)。輕松的管理SecSIS3600安全隔離與信息交換系統(tǒng)配備專門的管理端口,經(jīng)過數(shù)字證書認(rèn)證與管理信息的加密傳輸實(shí)現(xiàn)網(wǎng)閘設(shè)備的集中管理。系統(tǒng)采用全中文的Web方式進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)管理,界面友好,操作方便。系統(tǒng)管理員和審計(jì)員實(shí)現(xiàn)分權(quán)管理,使得對(duì)網(wǎng)閘的管理更加安全可控,避免人為因素帶來的安全風(fēng)險(xiǎn)。傳輸方向控制SecSIS3600安全隔離與信息交換系統(tǒng)采用雙通道通信機(jī)制,從可信網(wǎng)到非可信網(wǎng)的數(shù)據(jù)流與從非可信網(wǎng)到可信網(wǎng)的數(shù)據(jù)流采用不同的數(shù)據(jù)通道,對(duì)通道的分離控制保證各通道的傳輸方向可控。在特殊應(yīng)用環(huán)境中可實(shí)現(xiàn)數(shù)據(jù)的單向傳送,以避免信息的泄漏。協(xié)議分析能力系統(tǒng)支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS等多種應(yīng)用層協(xié)議,可對(duì)常見協(xié)議的命令和參數(shù)進(jìn)行分析和過濾。應(yīng)用數(shù)據(jù)以”原始”的形態(tài)在內(nèi)外主機(jī)模塊中傳遞,數(shù)據(jù)包經(jīng)過預(yù)處理、安全決策、RFC校驗(yàn)、協(xié)議分析、數(shù)據(jù)提取,格式化等多個(gè)處理模塊的檢查,充分保證了交換信息內(nèi)容的安全。完善的安全審計(jì)SecSIS3600安全隔離與信息交換系統(tǒng)提供管理員多種手段了解網(wǎng)絡(luò)運(yùn)行狀況及可疑事件的發(fā)生。用戶可根據(jù)特定的需要進(jìn)行日志審計(jì)(包括系統(tǒng)日志、訪問控制策略日志、應(yīng)用層協(xié)議分析日志、應(yīng)用層內(nèi)容檢查日志等)。系統(tǒng)支持本地日志緩存,可實(shí)現(xiàn)本地日志的瀏覽查詢等操作。日志依據(jù)事件的重要程度分為錯(cuò)誤/警告/通知三級(jí),支持SYSLOG日志存儲(chǔ),可實(shí)現(xiàn)日志的分級(jí)發(fā)送。0強(qiáng)大的抗攻擊能力SecSIS3600安全隔離與信息交換系統(tǒng)具備強(qiáng)大的抗攻擊能力,內(nèi)外網(wǎng)主機(jī)模塊采用專用的安全操作系統(tǒng),內(nèi)核經(jīng)過特殊定制,實(shí)現(xiàn)強(qiáng)制性訪問控制,保護(hù)自身進(jìn)程及文件不被非法篡改和破壞。同時(shí)系統(tǒng)實(shí)現(xiàn)了針對(duì)多種DoS和DDoS攻擊的防范,可阻擋Synflood,Udpflood,Pingflood,TearDrop,PingofDeath,Smurf,Land等多種類型的DoS和DDoS攻擊,保護(hù)可信網(wǎng)絡(luò)的安全。1多樣化的身份認(rèn)證SecSIS3600安全隔離與信息交換系統(tǒng)支持多樣靈活的身份認(rèn)證方式,包括:本地用戶名及口令認(rèn)證,基于數(shù)字證書的認(rèn)證,RADIUS遠(yuǎn)程訪問認(rèn)證及LDAP認(rèn)證等。本地認(rèn)證系統(tǒng)內(nèi)置認(rèn)證數(shù)據(jù)庫(kù)提供本地的用戶名、口令認(rèn)證,支持HTTP/HTTPS方式實(shí)現(xiàn)認(rèn)證信息的獲取。數(shù)字證書認(rèn)證網(wǎng)閘支持?jǐn)?shù)字證書認(rèn)證,允許客戶端經(jīng)過HTTP連接向服務(wù)器發(fā)送訪問請(qǐng)求。網(wǎng)閘可導(dǎo)入根證書,經(jīng)過檢查用戶證書格式,證書的過期時(shí)間,簽發(fā)者等信息以確認(rèn)訪問者身份的合法性,還可依據(jù)用戶身份屬性判斷其是否具有適當(dāng)?shù)脑L問權(quán)限。RADIUS遠(yuǎn)程訪問認(rèn)證及LDAP認(rèn)證網(wǎng)閘向第三方認(rèn)證服務(wù)器發(fā)送用戶名和口令,一旦認(rèn)證服務(wù)器認(rèn)證成功,則網(wǎng)閘允許用戶訪問。2負(fù)載均衡解決方案SecSIS3600安全隔離與信息交換系統(tǒng)支持負(fù)載均衡解決方案。網(wǎng)閘群集可實(shí)現(xiàn)動(dòng)態(tài)管理和維護(hù),根據(jù)實(shí)際響應(yīng)時(shí)間制定優(yōu)先響應(yīng)策略,從而提高系統(tǒng)總體性能、優(yōu)化流量管理、提高群集性能,保證系統(tǒng)正常運(yùn)行的高可用性和高可靠性。如果訪問量超出了網(wǎng)閘的響應(yīng)能力,只需增加服務(wù)器數(shù)目即可實(shí)現(xiàn)系統(tǒng)的平滑升級(jí),無(wú)需第三方軟件支持。5.3.5產(chǎn)品技術(shù)優(yōu)勢(shì)在網(wǎng)絡(luò)中部署SecSIS3600安全隔離與信息交換系統(tǒng)既能夠符合政府、軍隊(duì),企事業(yè)單位等的強(qiáng)制性安全策略－－既在不同安全等級(jí)的網(wǎng)絡(luò)間實(shí)現(xiàn)安全隔離,又能夠保證可靠、安全的信息交換,提供文件交換、收發(fā)電子郵件、數(shù)據(jù)庫(kù)同步,安全瀏覽等多種服務(wù),在網(wǎng)絡(luò)應(yīng)用的安全性及可用性間取得完美的平衡。強(qiáng)制執(zhí)行安全策略SecSIS3600安全隔離與信息交換系統(tǒng)可依據(jù)強(qiáng)制性訪問控制策略,在不同安全等級(jí)網(wǎng)絡(luò)間實(shí)現(xiàn)網(wǎng)絡(luò)隔離;同時(shí),為指定的應(yīng)用提供安全的數(shù)據(jù)交換能力,避免了開放TCP/IP通用服務(wù)造成的安全隱患。核心應(yīng)用的安全最大化從安全實(shí)現(xiàn)的角度來講,越接近應(yīng)用層,則安全問題越復(fù)雜,解決問題也越困難。安全隔離與信息交換系統(tǒng)將應(yīng)用層的數(shù)據(jù)轉(zhuǎn)換成專有的數(shù)據(jù)格式進(jìn)行處理,只允許安全的、可靠的信息在網(wǎng)絡(luò)中傳遞。信息的格式、內(nèi)容、交流對(duì)象等因素可依據(jù)組織安全策略指定,簡(jiǎn)化了核心應(yīng)用面臨的安全問題,確保了核心應(yīng)用的安全最大化。避免已知及未知漏洞的利用傳統(tǒng)的安全檢測(cè)產(chǎn)品只能發(fā)現(xiàn)利用已知安全漏洞發(fā)起的攻擊。如果一種攻擊手法還沒有公布,則憑借現(xiàn)有的技術(shù)無(wú)法了解其攻擊特征,也就無(wú)法識(shí)別攻擊行為。SecSIS3600安全隔離與信息交換系統(tǒng)對(duì)數(shù)據(jù)的交換不依賴于任何通用協(xié)議,沒有數(shù)據(jù)包的處理及連接會(huì)話的建立,而是以靜態(tài)的專有格式化數(shù)據(jù)塊的形式在內(nèi)/外網(wǎng)間傳遞,因此不會(huì)受到任何已知或未知網(wǎng)絡(luò)層漏洞的威脅。降低總體安全維護(hù)成本SecSIS3600安全隔離與信息交換系統(tǒng)面向核心應(yīng)用,按照應(yīng)用類型強(qiáng)制執(zhí)行安全信息交換,只允許合法的數(shù)據(jù)經(jīng)過網(wǎng)閘交換到指定網(wǎng)絡(luò),所有無(wú)關(guān)或違背安全策略的數(shù)據(jù)都被拋棄。因此管理員只需針對(duì)被保護(hù)的核心應(yīng)用建立相應(yīng)的數(shù)據(jù)交換策略,無(wú)需復(fù)雜的策略配置,大大降低了核心應(yīng)用安全管理的復(fù)雜程度。同時(shí),系統(tǒng)剝離了易受攻擊的TCP/IP協(xié)議,因此不必像入侵檢測(cè)系統(tǒng)一樣頻繁更新檢測(cè)特征庫(kù),大大降低了總體安全維護(hù)成本。強(qiáng)化現(xiàn)有安全解決方案SecSIS3600安全隔離與信息交換系統(tǒng)能夠與現(xiàn)有安全產(chǎn)品完美結(jié)合,保護(hù)重要的網(wǎng)絡(luò)應(yīng)用安全。防火墻作為網(wǎng)關(guān)類安全產(chǎn)品其主要作用是在保證可用性的前提下實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的訪問控制,而安全隔離與信息交換系統(tǒng)的作用是在保證核心系統(tǒng)的安全的前提下提供適度的數(shù)據(jù)交換能力。其著力點(diǎn)不同,在網(wǎng)絡(luò)中的部署可相互補(bǔ)充,以提高整體安全解決方案的安全保障級(jí)別。強(qiáng)大的定制擴(kuò)展能力SecSIS3600安全隔離與信息交換系統(tǒng)不但提供標(biāo)準(zhǔn)的信息交流服務(wù),如文件交換、安全瀏覽、郵件交換、數(shù)據(jù)庫(kù)同步等,還提供二次開發(fā)接口,以滿足眾多專業(yè)應(yīng)用系統(tǒng)的安全數(shù)據(jù)交換需要。還可依據(jù)用戶應(yīng)用系統(tǒng)特征,定制相應(yīng)的協(xié)議檢查模塊,對(duì)行業(yè)專有應(yīng)用協(xié)議及相應(yīng)數(shù)據(jù)格式進(jìn)行定制分析,確保只有符合組織安全策略的數(shù)據(jù)可經(jīng)過網(wǎng)閘進(jìn)行傳