www.黄片视频在线播放,欧美精品日韩精品一级黄,成年男女免费视频网站,99久久久国产精品免费牛牛四川,99久久精品国产9999高清,乱人妻中文字幕视频4399,亚洲男人在线视频观看

宜賓市政府信息中網(wǎng)絡(luò)安全解決方案

發(fā)布時間:2020-08-27 來源: 對照材料 點(diǎn)擊:

  宜賓市政府信息中心 網(wǎng)絡(luò)安全解決方案

  2010 年 6 月

 I

 目錄

 1 宜賓市政府信息中心 IT 應(yīng)用現(xiàn)狀 .......................................................................................... 1 1.1 網(wǎng)絡(luò)規(guī)模 ....................................................................................................................... 1 1.2 網(wǎng)絡(luò)上的應(yīng)用 ............................................................................................................... 1 1.3 項目目標(biāo) ....................................................................................................................... 1 2 需求分析 ................................................................................................................................... 1 2.1 網(wǎng)絡(luò)層的安全分析 ....................................................................................................... 2 2.2 系統(tǒng)層的安全分析 ....................................................................................................... 3 2.3 應(yīng)用層的安全分析 ....................................................................................................... 3 2.4 網(wǎng)絡(luò)出口病毒風(fēng)險分析 ............................................................................................... 4 2.5 互聯(lián)網(wǎng)多鏈路負(fù)載均衡 ............................................................................................... 5 3 網(wǎng)絡(luò)安全方案設(shè)計原則 ........................................................................................................... 6 3.1 需求、風(fēng)險、代價平衡的原則 ................................................................................... 6 3.2 綜合性、整體性原則 ................................................................................................... 6 3.3 一致性原則 ................................................................................................................... 7 3.4 易操作性原則 ............................................................................................................... 7 3.5 適應(yīng)性及靈活性原則 ................................................................................................... 7 3.6 多重保護(hù)原則 ............................................................................................................... 7 3.7 可評價性原則 ............................................................................................................... 7 4 解決方案 ................................................................................................................................... 8 4.1 網(wǎng)絡(luò)拓?fù)?....................................................................................................................... 8 4.2 安全域邊界解決方案 ................................................................................................... 9 4.2.1 產(chǎn)品推薦 ......................................................................................................... 10 4.2.2 系統(tǒng)部署 ......................................................................................................... 11 4.2.3 防火墻安全控制策略:

 ................................................................................. 11 4.2.4 功能特色 ......................................................................................................... 13 4.3 病毒防護(hù)體系建設(shè) ..................................................................................................... 13 4.4 入侵防御系統(tǒng)解決方案 ............................................................................................. 14 4.4.1 產(chǎn)品推薦 ......................................................................................................... 15 4.4.2 系統(tǒng)部署 ......................................................................................................... 15 4.4.3 IPS 邊界安全控制策略 ................................................................................... 16 4.4.4 功能特色 ......................................................................................................... 17 4.4.5 方案優(yōu)勢 ......................................................................................................... 17 4.5 風(fēng)險評估及漏洞掃描解決方案 ................................................................................. 26 4.5.1 產(chǎn)品推薦 ......................................................................................................... 26 4.5.2 系統(tǒng)部署 ......................................................................................................... 27 4.5.3 功能特色 ......................................................................................................... 27 4.5.4 方案優(yōu)勢 ......................................................................................................... 30 4.6 多鏈路負(fù)載均衡解決方案 ......................................................................................... 32 4.6.1 產(chǎn)品推薦 ......................................................................................................... 32 4.6.2 系統(tǒng)部署 ......................................................................................................... 32 4.6.3 功能特色 ......................................................................................................... 32 4.6.4 方案優(yōu)勢 ......................................................................................................... 32 4.7 網(wǎng)絡(luò)管理平臺解決方案 ............................................................................................. 32 4.7.1 產(chǎn)品推薦 ......................................................................................................... 32 4.7.2 系統(tǒng)部署 ......................................................................................................... 32 4.7.3 功能特色 ......................................................................................................... 32

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 II

 4.7.4 方案優(yōu)勢 ......................................................................................................... 32 4.8 安全管理平臺解決方案 ............................................................................................. 32 4.8.1 產(chǎn)品推薦 ......................................................................................................... 33 5 方案產(chǎn)品型號及數(shù)量 ............................................................................................................. 34 5.1 宜賓市政府信息中心安全設(shè)備清單 ......................................................................... 34 6 迪普科技簡介 ......................................................................................................................... 35 7 部分成功案例 ......................................................................................................................... 37 7.1 長春稅務(wù)學(xué)院 ............................................................................................................. 37 7.2 國家檔案局 ................................................................................................................. 38 7.3 浙江能源集團(tuán) ............................................................................................................. 38 7.4 河南南陽農(nóng)信聯(lián)社 ..................................................................................................... 39 7.5 西藏自治區(qū)質(zhì)監(jiān)局 ..................................................................................................... 40 7.6 西安通信學(xué)院 ............................................................................................................. 40 7.7 中石油華南銷售公司 ................................................................................................. 41 7.8 央視國際 ..................................................................................................................... 42

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 1

  1 宜賓市政府信息中心 IT 應(yīng)用現(xiàn)狀 1.1 網(wǎng)絡(luò)規(guī)模

 1.2 網(wǎng)絡(luò)上的應(yīng)用

 1.3 項目目標(biāo) 采用國際、國內(nèi)網(wǎng)絡(luò)安全防護(hù)相關(guān)標(biāo)準(zhǔn)及及國家等級保護(hù)相關(guān)要求來整體規(guī)劃設(shè)計網(wǎng)絡(luò),通過分期建設(shè)達(dá)到網(wǎng)絡(luò)業(yè)務(wù)安全實(shí)際要求。

 通過在網(wǎng)絡(luò)中劃分出不同安全域進(jìn)行邊界區(qū)分接入與防護(hù)、更新出口防火墻的綜合防御能力及靈活的 VPN 接入方式、做到出口防火墻設(shè)備的冗余和性能大幅提升,為用戶未來五年的安全防護(hù)提供保障。

 在互聯(lián)網(wǎng)出口處,通過負(fù)載均衡設(shè)備自動實(shí)現(xiàn)對電信線路和網(wǎng)通線路兩條線路的雙向負(fù)載均衡應(yīng)用。

 為了實(shí)現(xiàn)對深層攻擊的防御,彌補(bǔ)防火墻等設(shè)備的不足,在宜賓市政府信息中心服務(wù)器區(qū)域前端部署入侵防御系統(tǒng)(IPS:Instruction Prevention System)。入侵防御系統(tǒng)以在線方式部署,實(shí)時分析鏈路上的傳輸數(shù)據(jù),對隱藏在 4-7 層特別是應(yīng)用層的攻擊行為進(jìn)行阻斷,專注的是深層防御、精確阻斷。同時,IPS 也提供對網(wǎng)絡(luò)濫用的檢測和阻斷能力。

 項目實(shí)施后,防火墻、入侵防御系統(tǒng)、負(fù)載均衡管理系統(tǒng)、風(fēng)險評估漏洞掃描系統(tǒng)等設(shè)備一同構(gòu)成了一道全面的縱深防御體系,確保宜賓市政府信息中心網(wǎng)絡(luò)系統(tǒng)和關(guān)鍵業(yè)務(wù)的安全運(yùn)行。

 2 需求分析

 從宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)的實(shí)際情況來看,我們認(rèn)為應(yīng)該從以下幾個方面進(jìn)行全面的分析:

 ? 鏈路層 ? 網(wǎng)絡(luò)層

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 2

 ? 系統(tǒng)層 ? 應(yīng)用層 ? 防病毒 下面將分別進(jìn)行詳細(xì)的闡述。

 2.1 網(wǎng)絡(luò)層的安全分析 網(wǎng)絡(luò)設(shè)備主要包括宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)各節(jié)點(diǎn)上的路由器、交換機(jī)等設(shè)備。網(wǎng)絡(luò)層不僅為宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)提供連接通路和網(wǎng)絡(luò)數(shù)據(jù)交換的連接,而且是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路。由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的 TCP/IP 協(xié)議并非專為安全通訊而設(shè)計,所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。整個網(wǎng)絡(luò)面臨著來自網(wǎng)絡(luò)外部和內(nèi)部的雙重威脅。

 尤其在外網(wǎng) Internet 中存在著大量的黑客攻擊,他們常常針對 web 服務(wù)器和郵件服務(wù)器作為突破口,進(jìn)行網(wǎng)絡(luò)攻擊和滲透。常見得一些手法如下:IP 欺騙、重放或重演、拒絕服務(wù)攻擊(SYN FLOOD,PING FLOOD 等)、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等。黑客可以容易的在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)出口進(jìn)出,對系統(tǒng)進(jìn)行攻擊或非法訪問。

 而在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)內(nèi)部,基本上還沒有嚴(yán)格的防范措施,其中的安全隱患不言而喻。如果加上安全管理上的不夠完善等因素,或者在已有的服務(wù)器與單機(jī)中存在著后門程序(木馬程序)的話,攻擊者就可以很容易地取得網(wǎng)絡(luò)管理員權(quán)限,從而進(jìn)一步控制計算機(jī)系統(tǒng),網(wǎng)絡(luò)中大量的數(shù)據(jù)就會被竊取和破壞。

 根據(jù)木桶原理,網(wǎng)絡(luò)中只要一個地方出現(xiàn)了安全問題,那么整個網(wǎng)絡(luò)都是不安全的。因此,在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)出口處應(yīng)配置應(yīng)用級防火墻來加強(qiáng)訪問控制,并部署入侵監(jiān)控系統(tǒng),杜絕可能存在的安全隱患,來保證網(wǎng)絡(luò)安全可靠的正常運(yùn)行。

 由于宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)是一個跨地域的廣域網(wǎng),有很多需要對外保密的業(yè)務(wù)數(shù)據(jù)需要通過 Internet 公用網(wǎng)絡(luò)鏈路進(jìn)行傳輸,而公眾網(wǎng)(Internet)一般沒有網(wǎng)絡(luò)安全措施,采用明文方式傳輸數(shù)據(jù),如果不加密很容易被非法分子竊取數(shù)據(jù),病毒攻擊以及黑客入侵。

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 3

 2.2 系統(tǒng)層的安全分析 在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)中有著多種不同的操作系統(tǒng),如:Windows、 Linux 等等,這些系統(tǒng)都或多或少地存在著各種各樣的漏洞。如果這些操作系統(tǒng)沒有進(jìn)行系統(tǒng)的加固和正確的安全配置,而只是按照原來系統(tǒng)的默認(rèn)安裝,這樣的主機(jī)系統(tǒng)是極其不安全的。一名黑客可以通過 Unicode、緩存溢出、造成死機(jī)等方式進(jìn)行破壞,甚至取得主機(jī)管理員的權(quán)限。此外,在網(wǎng)絡(luò)中,一些黑客利用系統(tǒng)管理員的疏忽用缺省用戶的權(quán)限和密碼口令就可以輕松地進(jìn)入系統(tǒng)修改權(quán)限,從而控制主機(jī)。

 宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)中存在一定量的服務(wù)器,如:數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、文件等等,而這些服務(wù)器都擔(dān)負(fù)著重要的服務(wù)功能,如果這些服務(wù)器(尤其是有大量的數(shù)據(jù)處理的服務(wù)器),一旦癱瘓或者因被人植入后門造成遠(yuǎn)程控制竊取數(shù)據(jù),后果將不堪設(shè)想。為了保證業(yè)務(wù)數(shù)據(jù)的正常流通和安全,需對這些重要的服務(wù)器進(jìn)行全方位的防護(hù)。

 2.3 應(yīng)用層的安全分析 宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)與 Internet 相連,存在著包括 Web、FTP、E-mail、DNS 等各種 Internet 應(yīng)用。應(yīng)用系統(tǒng)的安全性主要考慮應(yīng)用系統(tǒng)與系統(tǒng)層和網(wǎng)絡(luò)層的安全服務(wù)無縫連接。在應(yīng)用層的安全問題,黑客往往抓住一些應(yīng)用服務(wù)的缺陷和弱點(diǎn)來對其進(jìn)行攻擊的,比如針對錯誤的 Web 目錄結(jié)構(gòu)、CGI 腳本缺陷、Web 服務(wù)器應(yīng)用程序缺陷、為索引的 Web 頁、有缺陷的瀏覽器甚至是利用 Oracle、 SAP、 Peoplesoft 缺省帳戶。

 應(yīng)用層的安全威脅還包括對各種不良網(wǎng)絡(luò)內(nèi)容的訪問,比如內(nèi)網(wǎng)用戶訪問非法(如發(fā)布反動言論、宣揚(yáng)法輪功等)或不良(色情、迷信)網(wǎng)站等。有的 Internet站點(diǎn)上還包含有害的 Java Applet 或 ActiveX 小程序,如果不慎訪問將有可能帶入病毒和木馬程序,甚至有的網(wǎng)頁可以通過一段簡單的代碼直接破壞訪問者計算機(jī)的數(shù)據(jù)和系統(tǒng),對網(wǎng)絡(luò)安全和效率都將造成極大破壞。

 應(yīng)能對網(wǎng)絡(luò)應(yīng)用分析、內(nèi)容過濾與審計進(jìn)行分析和控制 ? 網(wǎng)站訪問內(nèi)容審計和控制; ? 網(wǎng)站發(fā)貼(BBS)內(nèi)容審計和控制; ? 郵件收發(fā)、webmail 審計內(nèi)容審計和控制;

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 4

 ? FTP、TELNET 內(nèi)容審計和控制; ? Https 行為審計和控制; ? Lotus 郵件信息審計和控制; ? 常見網(wǎng)絡(luò)在線游戲:QQ 在線游戲;聯(lián)眾在線游戲、中國游戲中心、邊鋒網(wǎng)絡(luò)游戲、遠(yuǎn)航游戲中心、浩方網(wǎng)游審計和控制; ? 常見即時通訊:QQ、MSN、ICQ 和 YahooMessage 內(nèi)容審計控制和使用即時通訊的傳輸文件的控制; ? 音視頻行為審計和控制; ? P2P 下載:BT 和電驢的下載審計控制和下載的流量限制控制等。

 能針對互聯(lián)網(wǎng)的使用狀況,人員的上網(wǎng)習(xí)慣等進(jìn)行分析。實(shí)現(xiàn)網(wǎng)絡(luò)訪問記錄、郵件訪問記錄、上網(wǎng)時間控制、禁止不良站點(diǎn)訪問等功能。提供優(yōu)秀的內(nèi)容安全控制功能。同時通過對其捕獲的網(wǎng)絡(luò)日志數(shù)據(jù)進(jìn)行深入的挖掘和分析,提供完整的上網(wǎng)行為日志統(tǒng)計、分析功能,網(wǎng)絡(luò)流量趨勢分析等功能,還可以根據(jù)應(yīng)用特點(diǎn)生成圖文并茂的統(tǒng)計分析報表,為用戶在網(wǎng)絡(luò)管理、行政管理,企業(yè)文化建設(shè)等方面提供專業(yè)的分析和管理工具。

 2.4 網(wǎng)絡(luò)出口 病毒 風(fēng)險分析 計算機(jī)病毒一直是計算機(jī)安全的主要威脅。而隨著網(wǎng)絡(luò)的不斷發(fā)展,網(wǎng)絡(luò)速度越來越快,網(wǎng)絡(luò)應(yīng)用也越來越豐富多彩,使得病毒傳播的風(fēng)險也越來越大,造成的破壞也越來越強(qiáng)。據(jù)國際計算機(jī)安全協(xié)會的統(tǒng)計,目前已經(jīng)有超過 90%的病毒是通過網(wǎng)絡(luò)進(jìn)行傳播的。宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)內(nèi)用戶訪問Internet 時,無論是瀏覽 WEB 頁面,還是通過 FTP 下載文件,或者是收發(fā) E-mail,都可能將 Internet 上的病毒帶入網(wǎng)內(nèi)。而近幾年泛濫成災(zāi)的網(wǎng)絡(luò)蠕蟲病毒(如紅色代碼、尼姆達(dá)、沖擊波、振蕩波等)跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進(jìn)行傳播的基于文件的病毒有很大的不同,它們本身是一個病毒與黑客工具的結(jié)合體,當(dāng)網(wǎng)絡(luò)當(dāng)中一臺計算機(jī)感染蠕蟲病毒后,它會自動的以極快的速度(每秒幾百個線程)掃描網(wǎng)絡(luò)當(dāng)中其他計算機(jī)的安全漏洞,并主動的將病毒傳播到那些存在安全漏洞的計算機(jī)上,只要相關(guān)的安全漏洞沒有通過安裝補(bǔ)丁的方式加以彌補(bǔ),蠕蟲病毒就會這樣以幾何級數(shù)的增長速度在網(wǎng)絡(luò)當(dāng)中傳播,即使計算機(jī)上安裝了帶有實(shí)時監(jiān)控功能的防病毒軟件(包括單機(jī)版和網(wǎng)絡(luò)版)對此也無能為力。蠕蟲病毒

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 5

 的傳播還會大量占用網(wǎng)絡(luò)帶寬,造成網(wǎng)絡(luò)擁堵,形成拒絕服務(wù)式攻擊(DoS)。

 因此,對于新型的網(wǎng)絡(luò)蠕蟲病毒,必須在網(wǎng)關(guān)處進(jìn)行過濾,防止病毒進(jìn)入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為未來防病毒體系中的重中之重,需要引起宜賓市政府信息中心電子政務(wù)的特別重視。

 統(tǒng)計數(shù)據(jù):90%以上的病毒是通過 Internet 傳播的

 統(tǒng)計數(shù)據(jù):Internet 防病毒網(wǎng)關(guān)需求正逐年增加 2.5 互聯(lián)網(wǎng) 多鏈路負(fù)載均衡 為了提升宜賓市政府信息中心的應(yīng)用系統(tǒng),尤其是對外發(fā)布的門戶網(wǎng)站以及應(yīng)用系統(tǒng)的穩(wěn)定性和可靠行,宜賓市政府信息中心已經(jīng)部署多條互聯(lián)網(wǎng)鏈路以保證網(wǎng)絡(luò)服務(wù)的質(zhì)量,消除單點(diǎn)故障,減少停機(jī)時間。目前需要在如下兩種

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 6

 情況下實(shí)現(xiàn)多條鏈路的負(fù)載均衡:

 1. 內(nèi)部的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)工作站在訪問互聯(lián)網(wǎng)絡(luò)的服務(wù)和網(wǎng)站時如何能夠在多條不同的鏈路中動態(tài)分配和負(fù)載均衡,這也被稱為出站流量的負(fù)載均衡。

 2. 互聯(lián)網(wǎng)絡(luò)的外部用戶如何在外部訪問內(nèi)部的網(wǎng)站和應(yīng)用系統(tǒng)時也能夠動態(tài)的在多條鏈路上平衡分配,并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達(dá)服務(wù)器和應(yīng)用系統(tǒng),這也被稱作為入站流量的負(fù)載均衡。

 3 網(wǎng)絡(luò)安全方案設(shè)計原則 網(wǎng)絡(luò)安全的重要性已經(jīng)被人們所認(rèn)可,而網(wǎng)絡(luò)安全的需求也是包含了從硬件物理到人為的信息安全服務(wù),但網(wǎng)絡(luò)安全方案要做到全面、可擴(kuò)充,其設(shè)計應(yīng)遵循以下原則:

 3.1 需求、風(fēng)險、代價平衡的原則 對任一網(wǎng)絡(luò),絕對安全難以達(dá)到,也不一定是必要的。對一個網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等),并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析,然后制定相應(yīng)的規(guī)范和措施,確定系統(tǒng)的安全策略。

 3.2 綜合性、整體性原則 應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認(rèn)證技術(shù)、攻擊檢測技術(shù)、容錯、防病毒等)。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。

 計算機(jī)網(wǎng)絡(luò)的各個環(huán)節(jié),包括個人(使用、維護(hù)、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等,在網(wǎng)絡(luò)安全中的地位和影響作用,只有從系統(tǒng)整體的角度去看待、分析,才可能得到有效、可行的安全措施。不同的安全措施其代價、

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 7

 效果對不同網(wǎng)絡(luò)并不完全相同。計算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

 3.3 一致性原則 一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期(或生命周期)同時存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(包括初步或詳細(xì)設(shè)計)及實(shí)施計劃、網(wǎng)絡(luò)驗證、驗收、運(yùn)行等,都要有詳實(shí)的內(nèi)容及措施。實(shí)際上,在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策,比在網(wǎng)絡(luò)建設(shè)完成后再考慮安全措施,不但容易,而且花費(fèi)也少很多。

 3.4 易操作性原則 安全措施需要人去完成,如果措施過于復(fù)雜,對人的要求過高,本身就降低了安全性;其次,措施的采用不能影響系統(tǒng)的正常運(yùn)行。

 3.5 適應(yīng)性及靈活性原則 安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化,要容易適應(yīng)、容易修改和升級。

 3.6 多重保護(hù)原則 任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時,其它層保護(hù)仍可保護(hù)信息的安全。

 3.7 可評價性原則 如何預(yù)先評價一個安全設(shè)計并驗證其網(wǎng)絡(luò)的安全性,這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認(rèn)證機(jī)構(gòu)的評估來實(shí)現(xiàn)。

 網(wǎng)絡(luò)安全是整體的、動態(tài)的。網(wǎng)絡(luò)安全的整體性是指一個安全系統(tǒng)的建立,即包括采用相應(yīng)的安全設(shè)備,又包括相應(yīng)的管理手段。安全設(shè)備不是指單一的某種安全設(shè)備,而是指幾種安全設(shè)備的綜合。網(wǎng)絡(luò)安全的動態(tài)性是指,網(wǎng)絡(luò)安全是隨著環(huán)境、時間的變化而變化的,在一定環(huán)境下是安全的系統(tǒng),環(huán)境發(fā)生變化了(如更換了某個機(jī)器),原來安全的系統(tǒng)就變的不安全了;在一段時間里安全的

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 8

 系統(tǒng),時間發(fā)生變化了(如今天是安全的系統(tǒng),可能因為黑客發(fā)現(xiàn)了某種系統(tǒng)的漏洞,明天就會變的不安全了),原來的系統(tǒng)就會變的不安全。所以,網(wǎng)絡(luò)安全不是一勞永逸的事情。

 針對安全體系的特性,我們可以采用“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。具體而言,我們可以先對網(wǎng)絡(luò)做一個比較全面的安全體系規(guī)劃,然后,根據(jù)我們網(wǎng)絡(luò)的實(shí)際應(yīng)用狀況,先建立一個基礎(chǔ)的安全防護(hù)體系,保證基本的、必需的安全性。隨著今后應(yīng)用的種類和復(fù)雜程度的增加,再在原來基礎(chǔ)防護(hù)體系之上,建立增強(qiáng)的安全防護(hù)體系。

 對于宜賓市政府信息中心電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全的設(shè)計,我們建議采取以上的原則,先對整個網(wǎng)絡(luò)進(jìn)行整體的安全規(guī)劃,然后,根據(jù)實(shí)際狀況建立一個從防護(hù)——檢測——響應(yīng)的基礎(chǔ)的安全防護(hù)體系,保證整個網(wǎng)絡(luò)安全的最根本需要。

 4 解決方案

 4.1 網(wǎng)絡(luò)拓?fù)?通過和宜賓市政府信息中心溝通,按照其單位網(wǎng)絡(luò)架構(gòu)和需求情況,我們推薦使用杭州迪普科技的數(shù)據(jù)中心結(jié)構(gòu)化安全解決方案和深信服鏈路負(fù)載均衡解決方案。具體網(wǎng)絡(luò)拓?fù)洳渴鹎闆r如下:

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 9

  我們在方案中選擇迪普品牌的安全防護(hù)解決方案,可以完全滿足用戶對防火墻和入侵抵御設(shè)備的要求,同時還可以提供邊界防病毒部署能力,為宜賓市政府信息中心提供周全的邊界安全防護(hù)解決方案。同時我們選擇的設(shè)備無論在端口數(shù)、服務(wù)功能、處理能力還是本地/遠(yuǎn)程接入用戶數(shù)量上,均具備了一定的冗余能力,可以在將來的使用中為用戶節(jié)約更多的中體擁有成本,提供更好的投資保護(hù)。

 4.2 安全域邊界解決方案 邊界防護(hù)子系統(tǒng)由兩部分組成,防火墻和入侵抵御系統(tǒng)(以下均簡稱為IPS),防火墻為網(wǎng)絡(luò)提供基于 OSI 三到四層的強(qiáng)壯的安全保護(hù)服務(wù),IPS 為網(wǎng)絡(luò)提供四到七層的精細(xì)化的安全防護(hù)服務(wù)。

 防火墻就是運(yùn)行于軟件和硬件上的,安裝在特定網(wǎng)絡(luò)邊界的,實(shí)施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護(hù)屏障,防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源甚至破壞內(nèi)部網(wǎng)絡(luò);可以把單位的公共

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 10

 網(wǎng)絡(luò)服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔開防止外部用戶以公共服務(wù)器為跳板私自接入內(nèi)部網(wǎng)絡(luò);還能夠把重點(diǎn)服務(wù)器與內(nèi)部網(wǎng)絡(luò)隔離開防止內(nèi)部非授權(quán)用戶的隨意操作危害到服務(wù)器安全,對服務(wù)器進(jìn)行重點(diǎn)防護(hù)?傊渴鸱阑饓Φ哪康木褪潜Wo(hù)高信任級別網(wǎng)絡(luò)不受來自低信任級別網(wǎng)絡(luò)的攻擊。

 防火墻作為傳統(tǒng)的網(wǎng)絡(luò)邊界安全防護(hù)設(shè)備,一直以來都是網(wǎng)絡(luò)中不可缺少的“守門員”,十幾年來,防火墻在網(wǎng)絡(luò)邊界大力提升了網(wǎng)絡(luò)安全性并逐步擺脫了網(wǎng)絡(luò)吞吐量瓶頸的障礙。但是,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,傳統(tǒng)的第三層防火墻只能在網(wǎng)絡(luò)隔離、端口封閉方面施展自己的能力,而對基于端口協(xié)議上的眾多細(xì)分業(yè)務(wù)和基于系統(tǒng)或軟件漏洞的攻擊無法控制(現(xiàn)在市面上陸續(xù)出現(xiàn)一些可對部分 7層業(yè)務(wù)進(jìn)行操作的防火墻,部分決絕了這個問題,但無論在功能性還是覆蓋率等各方面都實(shí)在不夠?qū)I(yè)),如 BT、Emule 等 P2P 業(yè)務(wù)、未經(jīng)授權(quán)的流量、后門軟件、攻擊流量等。于是發(fā)展出了基于第七層應(yīng)用層的安全設(shè)備,以按照業(yè)務(wù)或流量來保護(hù)網(wǎng)絡(luò)不受攻擊,盡管入侵檢測系統(tǒng)(IDS)曾一度出現(xiàn),但旁路檢測與防火墻聯(lián)動的模式無法有效阻止攻擊或控制流量,因此并未得到發(fā)展。

 針對現(xiàn)在攻擊變化多、發(fā)展快、單包攻擊增多等新特點(diǎn),以及用戶對流量精細(xì)化控制等方面的需求,必須采用在線的設(shè)備來應(yīng)對 ,即主動的入侵防御系統(tǒng)!

 入侵防護(hù)系統(tǒng)(IPS)是下一代安全系統(tǒng)的大趨勢。它不僅可進(jìn)行檢測,還能在攻擊造成損壞前阻斷它們,從而實(shí)現(xiàn)對網(wǎng)絡(luò)安全主動的控制。

 毫無疑問,在線部署的基于第七層的主動式設(shè)備要求持續(xù)的無阻礙轉(zhuǎn)發(fā),對吞吐量和可靠性性都提出了新的要求,就像防火墻剛剛出現(xiàn)一樣,設(shè)備性能和可靠性這兩個指標(biāo)成為衡量一個設(shè)備是否合格的主要標(biāo)準(zhǔn),而 IPS 設(shè)備經(jīng)常面對不斷變化的攻擊所需具備的多業(yè)務(wù)能力、功能擴(kuò)展能力又對產(chǎn)品結(jié)構(gòu)提出了更高的要求。經(jīng)過綜合比較,迪普科技率先采用多核芯片結(jié)合 MPE(多業(yè)務(wù)并行處理引擎)安全處理平臺為 IPS 賦予了強(qiáng)大、可靠的處理能力和擴(kuò)展能力。

 4.2.1 產(chǎn)品推薦 網(wǎng)絡(luò)建設(shè)不斷升級和優(yōu)化,防火墻系統(tǒng)已經(jīng)成為最基本和最重要的安全防護(hù)手段之一。

 迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累,具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺。是全球極少數(shù)可提供超萬兆防火墻產(chǎn)品的廠商。

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 11

 針對應(yīng)用層威脅日益增多的趨勢,迪普科技創(chuàng)新性的推出了新一代 DPtech FW1000 系列應(yīng)用防火墻。

 DPtech FW1000 系列應(yīng)用防火墻基于“并行流過濾引擎”、“DPI”等核心技術(shù),是目前業(yè)界性能最高、功能最全面的下一代防火墻產(chǎn)品。DPtechFW1000 系列應(yīng)用防火墻可以提供安全域劃分、VPN 接入、NAT 地址轉(zhuǎn)換、URL 過濾、攻擊防護(hù)、虛擬系統(tǒng)、行為管理、安全審計等功能,吞吐量最大可超萬兆,能夠滿足各種網(wǎng)絡(luò)環(huán)境下對防火墻高性能、高可靠和易管理的需求,是業(yè)務(wù)安全保障的最佳選擇。

 4.2.2 系統(tǒng)部署 迪普科技 FW1000 系列防火墻支持以下各種靈活組網(wǎng)模式:

 4.2.3 防火墻安全控制策略:

 ? 防火墻設(shè)置為默認(rèn)拒絕工作方式,保證所有的數(shù)據(jù)包,如果沒有明確的規(guī)則允許通過,全部拒絕以保證安全; ? 打開允許通過的地址和端口

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 12

 ? 配置防火墻防 DOS/DDOS 功能,對 Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進(jìn)行防范,可以實(shí)現(xiàn)對各種拒絕服務(wù)攻擊的有效防范,保證網(wǎng)絡(luò)帶寬; ? 配置防火墻全面攻擊防范能力,包括 ARP 欺騙攻擊的防范,提供ARP 主動反向查詢、TCP 報文標(biāo)志位不合法攻擊防范、超大 ICMP報文攻擊防范、地址/端口掃描的防范、ICMP 重定向或不可達(dá)報文控制功能、Tracert 報文控制功能、帶路由記錄選項 IP 報文控制功能等,全面防范各種網(wǎng)絡(luò)層的攻擊行為; ? 在防火墻上配置 NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換),保護(hù)內(nèi)網(wǎng)終端不直接暴露在外部網(wǎng)絡(luò)中。

 ? 根據(jù)需要,配置 IP/MAC 綁定功能,對能夠識別 MAC 地址的主機(jī)進(jìn)行鏈路層控制; ? 其他可選策略:

 ? 根據(jù)需要,在防火墻上設(shè)置 QOS 規(guī)則,以防火墻的高處理性能實(shí)現(xiàn)對網(wǎng)絡(luò)流量的初步管理,有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用,保護(hù)網(wǎng)絡(luò)帶寬,降低主流控設(shè)備 IPS 的壓力; ? 根據(jù)應(yīng)用和管理的需要,設(shè)置有效工作時間段規(guī)則,實(shí)現(xiàn)基于時間的訪問控制,可以組合時間特性,實(shí)現(xiàn)更加靈活的訪問控制能力; ? 在防火墻上進(jìn)行設(shè)置告警策略,利用靈活多樣的告警響應(yīng)手段(E-mail、日志、SNMP 陷阱等),實(shí)現(xiàn)攻擊行為的告警,有效監(jiān)控網(wǎng)絡(luò)應(yīng)用; ? 啟動防火墻日志功能,利用防火墻的日志記錄能力,詳細(xì)完整的記錄日志和統(tǒng)計報表等資料,實(shí)現(xiàn)對網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計分析; DPTECH FW1000-GS-N 防火墻是一款基于多核技術(shù)實(shí)現(xiàn)的電信級千兆線速防火墻產(chǎn)品。產(chǎn)品采用模塊化設(shè)計,自帶了豐富的千兆光、電接口和兩個業(yè)務(wù)插槽,可根據(jù)用戶需求靈活配置網(wǎng)絡(luò)接口模塊,能夠較好地適應(yīng)各種網(wǎng)絡(luò)拓?fù)。本項目中即為用戶配置?6 個千兆電口和 2 個千兆 SFP 光接口,并內(nèi)置硬件 VPN 加密模塊,便于靈活選擇端口組網(wǎng)。

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 13

  4.2.4 功能特色

 DPtech 防火墻具備如下特點(diǎn):

 ?

 率先采用先進(jìn)的多核硬件架構(gòu),實(shí)現(xiàn)超萬兆的安全防護(hù) ?

 全內(nèi)置IPSec VPN、SSL VPN硬件加密 ?

 接口模塊和業(yè)務(wù)模塊的按需擴(kuò)展 ?

 支持路由模式、透明模式、混合模式組網(wǎng) ?

 支持安全區(qū)域劃分、虛擬防火墻技術(shù) ?

 全面的URL過濾,實(shí)現(xiàn)細(xì)粒度的安全管理 ?

 冗余電源、狀態(tài)熱備等高可靠性 ?

 支持豐富的網(wǎng)絡(luò)協(xié)議,適應(yīng)各種復(fù)雜組網(wǎng)環(huán)境

 4.3 病毒防護(hù)體系建設(shè)

 隨著 IT 產(chǎn)業(yè)的發(fā)展,來自病毒、木馬和間諜軟件等威脅的日益增多,由于病毒攻擊目標(biāo)沒有特定性,而且越來越隱蔽,一旦爆發(fā)將會帶來網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息泄漏、未經(jīng)授權(quán)的操作和數(shù)據(jù)丟失等嚴(yán)重后果,無疑將給用戶帶來巨大的經(jīng)濟(jì)損失和社會影響。

 現(xiàn)代病毒傳播途徑多樣化,也給病毒防護(hù)工作帶來難度,因為任何一個系統(tǒng)都有可能成為病毒傳播的“傳染源”,只有覆蓋網(wǎng)絡(luò)的各個方面才能防止網(wǎng)絡(luò)出現(xiàn)防毒“盲區(qū)”。在終端機(jī)器安裝防病毒軟件可以解決部分問題,但是這種方式較為被動,單機(jī)有時難以抵擋病毒的沖擊,結(jié)合部署具有防病毒網(wǎng)關(guān)才能將真正控制“病從口入”。

 隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,病毒技術(shù)也發(fā)生著一日千里的變化,病毒防護(hù)技術(shù)必將面臨更多的難題和挑戰(zhàn)。通過 DPtech IPS 的防病毒邊界保護(hù),配合各單位自身的有效監(jiān)控、全面管理、合理防范,可以從容應(yīng)對層出不窮的病毒威脅,

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 14

 解除病毒的困擾。

 迪普科技與國際知名廠商卡巴斯基的戰(zhàn)略合作,將專業(yè)的防病毒引擎和權(quán)威的特征庫融入到 DPtech 安全產(chǎn)品中,以高性能、穩(wěn)定的多核電信級產(chǎn)品承載專業(yè)的防病毒庫,而每年低廉的升級費(fèi)用即已經(jīng)包含了病毒庫的升級在內(nèi)。在以更專業(yè)、更優(yōu)質(zhì)的產(chǎn)品提升用戶網(wǎng)絡(luò)安全防護(hù)能力的同時,大大降低用戶投資和維護(hù)成本。

 機(jī)載病毒庫將病毒分為高流行度病毒、中流行度病毒和低流行度病毒三大類,可以在雙向提供不阻斷、阻斷、阻斷+向源 IP 發(fā)送 TCP Reset、阻斷+向目的 IP 發(fā)送 TCP Reset、阻斷+雙向發(fā)送 TCP Reset 五種選擇,同時可以選擇是否發(fā)送日志。

 由于此次用戶招標(biāo)入侵抵御產(chǎn)品吞吐量較低,且并未包含防病毒方面的需求,此功能為我公司解決方案中額外提供,所以我們建議先從低級別開始設(shè)置。先開啟內(nèi)外網(wǎng)間的一路,采用單向阻斷的設(shè)置,再逐步按照用戶實(shí)際流量情況及設(shè)備處理能力(設(shè)備管理頁面首頁即是 CPU、內(nèi)存工作情況圖)通過兩路開啟、雙向開啟、阻斷+雙向發(fā)送 TCP Reset 開啟等步驟逐步向最高的保護(hù)級別提升。

 最終通過在關(guān)鍵節(jié)點(diǎn)部署網(wǎng)關(guān)防病毒,可以起到“閘門”的作用,既可以抵御來自外部的各種病毒威脅,對內(nèi)部網(wǎng)絡(luò)和重要服務(wù)器提供安全防護(hù);又可以避免內(nèi)部信息被病毒、木馬、間諜軟件等泄露,避免將威脅擴(kuò)散到外部網(wǎng)絡(luò),從而實(shí)現(xiàn)雙向安全防護(hù)。

 4.4 入侵 防御 系統(tǒng)解決方案

 隨著各種網(wǎng)絡(luò)應(yīng)用的不斷豐富,傳統(tǒng)的基于網(wǎng)絡(luò)層的防護(hù)已經(jīng)無法滿足日益增多的應(yīng)用層攻擊,IPS(Intrusion Prevention System,入侵防御系統(tǒng)) 在線部署在網(wǎng)絡(luò)中,當(dāng)流量經(jīng)過 IPS 時將被完全檢測并判斷是否合法,可以實(shí)時地抵御來自應(yīng)用層的各種攻擊。

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 15

  4.4.1 產(chǎn)品推薦 迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累,具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺,是全球唯一的可提供萬兆 IPS 產(chǎn)品的廠商。

 DPtech IPS2000 系列入侵防御系統(tǒng)基于“并行流過濾引擎”、“DPI”等核心技術(shù),是針對系統(tǒng)漏洞、協(xié)議弱點(diǎn)、病毒蠕蟲、間諜軟件、惡意攻擊、流量異常等應(yīng)用層安全威脅的一體化專業(yè)防御平臺,部署 IPS2000 系列產(chǎn)品后,可以在網(wǎng)絡(luò)出口處、服務(wù)器群前針對所有流量進(jìn)行檢測,并對檢測到的安全威脅進(jìn)行實(shí)時抵御。

 DPtech IPS2000 系列入侵防御系統(tǒng)是目前業(yè)界性能最高、特征庫最豐富、功能最全面的 IPS 產(chǎn)品,能夠滿足各種網(wǎng)絡(luò)環(huán)境對應(yīng)用層安全防護(hù)的高性能、高可靠和易管理的需求?梢蕴峁┤肭址烙/檢測、流量控制、病毒防范、DDoS 防護(hù)、網(wǎng)頁過濾等應(yīng)用層安全功能,是應(yīng)用層安全保障的最佳選擇。

 4.4.2 系統(tǒng)部署

 迪普科技 IPS2000 系列入侵防御系統(tǒng)支持以下各種靈活組網(wǎng)模式:

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 16

  4.4.3 IPS 邊界安全控制策略 ? 使用默認(rèn)IPS規(guī)則,安全防護(hù)級別選定中級,即“致命和嚴(yán)重攻擊阻斷并發(fā)送日志,其他攻擊不處理”。當(dāng)然也可選擇高級“致命和嚴(yán)重攻擊阻斷并發(fā)送日志,其他攻擊只發(fā)送日志”,但會形成大量的無用日志。不建議選擇低級“致命攻擊阻斷并發(fā)送日志,嚴(yán)重攻擊只發(fā)送日志,其他攻擊不處理”,這會帶來重大的危險。默認(rèn)的IPS規(guī)則提供了對操作系統(tǒng)、辦公軟件、應(yīng)用軟件、數(shù)據(jù)庫、WEB應(yīng)用瀏覽器及其它幾大分類的漏洞保護(hù),有3000余條且在不斷更新,基本囊括了現(xiàn)在常見的各類軟件。

 ? 開啟DDOS防護(hù)功能 ? 其它可供選擇的策略 ? 開啟網(wǎng)絡(luò)訪問帶寬限速 ? 開啟網(wǎng)絡(luò)訪問應(yīng)用控制,即對指定用戶的指定應(yīng)用組實(shí)施黑白名單管理,將不允許使用的軟件徹底阻斷,或阻斷所有應(yīng)用,只保留必須使用的軟件暢通。

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 17

 ? 開啟URL過濾,隔離色情、反動等不良網(wǎng)站對內(nèi)網(wǎng)用戶的影響。

 迪普 IPS 設(shè)備 IPS2000-GS-N 可以提供 12 個業(yè)務(wù)接口(其中 6 個千兆電口,6 個千兆 SFP 光口),即最多可提供 6 路 IPS/IDS 的連接,不止可以滿足用戶現(xiàn)在需要,還為將來網(wǎng)絡(luò)升級、擴(kuò)容、改造留出了充裕的空間。設(shè)備使用專用的GE 管理接口,不占用業(yè)務(wù)接口。

 在服務(wù)器前端部署 IPS 后,形成虛擬補(bǔ)丁保護(hù)服務(wù)器,管理員可不必再隨時冒險更新各類安全補(bǔ)丁或放棄打補(bǔ)丁,以免為服務(wù)器的正常運(yùn)行帶來風(fēng)險。

  4.4.4 功能特色

 IPS2000 入侵防御系統(tǒng)具備如下特點(diǎn):

 ?

 率先采用先進(jìn)的多核硬件架構(gòu),實(shí)現(xiàn)萬兆級的入侵防御 ?

 專業(yè)的系統(tǒng)漏洞防護(hù),實(shí)現(xiàn)虛擬軟件補(bǔ)丁技術(shù) ?

 創(chuàng)新性地集成卡巴斯基的防病毒引擎

 ?

 高效專業(yè)的DDoS防護(hù)能力 ?

 漏洞庫、協(xié)議庫、病毒庫三庫合一,持續(xù)自動更新

 ?

 實(shí)時的響應(yīng)方式:阻斷、限流、隔離、重定向、E-mail ?

 靈活的部署模式:在線模式、監(jiān)聽模式、混合模式 ?

 無源直通、Fail-Open等高可靠性機(jī)制

 4.4.5 方案優(yōu)勢 迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累,具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺,是全球唯一的可提供萬兆 IPS 產(chǎn)品的廠商。

 DPtech IPS2000 系列入侵防御系統(tǒng)基于“并行流過濾引擎”、“DPI”等核心技術(shù),是針對系統(tǒng)漏洞、協(xié)議弱點(diǎn)、病毒蠕蟲、間諜軟件、惡意攻擊、流量異常等應(yīng)用層安全威脅的一體化專業(yè)防御平臺,部署 IPS2000 系列產(chǎn)品后,可以在網(wǎng)絡(luò)

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 18

 出口處、服務(wù)器群前針對所有流量進(jìn)行檢測,并對檢測到的安全威脅進(jìn)行實(shí)時抵御。

 4.4.5.1 全面的攻擊檢測 ? 基于網(wǎng)絡(luò)的攻擊與檢測技術(shù) 入侵防御的基本功能是識別盡可能多的攻擊,同時又避免不必要的誤報,同時也需要保證企業(yè)有限的帶寬不被濫用,為了達(dá)到上述目標(biāo),單純的采用一種技術(shù)手段是無法做到的,迪普創(chuàng)新性的融合了多種內(nèi)容識別技術(shù),保證了系統(tǒng)能夠快速高效的發(fā)現(xiàn)異常流量并阻斷,同時保證正常業(yè)務(wù)的開展,提供如下幾項技術(shù):

 基于流的狀態(tài)特征檢測技術(shù),基于攻擊固定特征的檢測這是 IDS/入侵防御最基本攻擊檢測技術(shù),而基于流的狀態(tài)特征檢測技術(shù)與以往的不同的是,可以是基于協(xié)議上下文的特征檢測技術(shù),這樣可以很好的避免誤報的發(fā)生;如某一個特征只在三次會話之后的 client 方向發(fā)生,則檢測時只會針對這部分?jǐn)?shù)據(jù)流進(jìn)行檢測,而不會引起誤報; ·協(xié)議異常檢測技術(shù),通常也叫協(xié)議分析,即對照 RFC 規(guī)范對通訊的協(xié)議進(jìn)行檢查,這對于檢測基于 RFC 未規(guī)范一些未知攻擊或新的攻擊非常有效;同時對于基于固定特征的逃逸也具有先天的免疫; ·智能的自適應(yīng)多層次防護(hù)技術(shù),可以很好的解決 DoS/DDoS 攻擊防護(hù)問題,該技術(shù)通過對保護(hù)對象的流量進(jìn)行流量學(xué)習(xí)和建模,針對不同的類型流量采用不同的動作,并通過不斷的學(xué)習(xí)調(diào)整等過程,保證保護(hù)對象避免 DDoS/DoS 攻擊的困擾; ·在應(yīng)用中識別威脅技術(shù):

 融合協(xié)議識別和威脅識別的基礎(chǔ)上進(jìn)行有狀態(tài)的深度威脅分析,從而更好減少誤報;·基于濫用誤用的帶寬管理技術(shù):在應(yīng)用的智能識別基礎(chǔ)上,對于識別出的濫用和誤用協(xié)議可以進(jìn)行多層次和多緯度的帶寬管理;

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 19

 4.4.5.2 精確的 威脅識別 ? 基于濫用誤用的帶寬管理技術(shù) 網(wǎng)絡(luò)“以內(nèi)容為王”造成了當(dāng)前網(wǎng)絡(luò)上應(yīng)用的層出不窮,這種繁榮的背后意味著:必須對網(wǎng)絡(luò)中的應(yīng)用及其行為進(jìn)行深入的感知和分析,對應(yīng)用的流量和行為進(jìn)行細(xì)粒度分層次的管理,從而預(yù)防可能的濫用和誤用,杜絕各種應(yīng)用所引入的潛在威脅。迪普提出了應(yīng)用的智能識別、應(yīng)用層次劃分、細(xì)粒度應(yīng)用流量和行為管理、應(yīng)用支持升級等一系列技術(shù),為用戶應(yīng)對應(yīng)用帶來的威脅提供了十分有效的管理手段。

 ·應(yīng)用識別技術(shù)以對網(wǎng)絡(luò)應(yīng)用的模型化分析為基礎(chǔ),能夠全方位、多角度識別網(wǎng)絡(luò)中的各種應(yīng)用,為應(yīng)用威脅管理提供有效支持:

 ·支持對應(yīng)用進(jìn)行樹形、層次化、可調(diào)整和可定義的管理,用戶可以在任何一個 Segment 上,在任意用戶群之間,對任意一級的應(yīng)用流量和行為進(jìn)行控制。

 ·支持對應(yīng)用進(jìn)行可擴(kuò)展的、層次化定義,可以對應(yīng)用進(jìn)行快速的升級,從而快速實(shí)時應(yīng)對網(wǎng)絡(luò)中新出現(xiàn)的應(yīng)用及其帶來的威脅。

 ? 在應(yīng)用中識別入侵威脅 迪普在強(qiáng)大的應(yīng)用識別基礎(chǔ)上進(jìn)行有狀態(tài)的深度威脅分析,使入侵防御的入侵檢測和傳統(tǒng)的僅依據(jù)數(shù)據(jù)報文特征入侵檢測有本質(zhì)的不同。應(yīng)用識別以當(dāng)前數(shù)據(jù)流的應(yīng)用識別結(jié)果為環(huán)境,指導(dǎo)系統(tǒng)有目的進(jìn)行深度威脅分析,使入侵防御變成內(nèi)容管理指導(dǎo)下的一個環(huán)節(jié);同時檢測結(jié)果在內(nèi)容環(huán)境下進(jìn)行校驗和狀態(tài)分析,使入侵檢測的發(fā)現(xiàn)由單純特征發(fā)現(xiàn)演變成非法應(yīng)用行為模型和攻擊行為模型的發(fā)現(xiàn)。

 ?

 2-7 層協(xié)議異常檢測

 在層次化的分析架構(gòu)下,為用戶網(wǎng)絡(luò)提供 2-7 層全方位的協(xié)議異常檢測。

 ·識別鏈路層異常識別。支持對 MPLS,VLAN,QinQ 等封裝的逐層剝離和檢驗,支持對 ARP 攻擊的檢測。

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 20

 ·識別網(wǎng)絡(luò)層異常識別。對 IP 層進(jìn)行細(xì)致的正規(guī)化處理,能夠識別畸形的 IP報文、蓄意構(gòu)造的 IP 分片、偽造 IP 地址的欺騙報文。

 ·識別傳輸層異常識別。對 TCP、UDP、ICMP 進(jìn)行細(xì)致的正規(guī)化處理。任何不滿足 RFC 規(guī)定或者有惡意利用系統(tǒng)漏洞嫌疑的報文都將被識別出來。

 ·可擴(kuò)展的應(yīng)用層異常識別?梢詣討B(tài)擴(kuò)展新的應(yīng)用支持,而且在任何一個應(yīng)用層協(xié)議上,都可以對應(yīng)擴(kuò)展相應(yīng)的異常檢測數(shù)字基因,進(jìn)行有狀態(tài)的異常檢測。通過細(xì)致的協(xié)議分析和狀態(tài)檢測,識別出相應(yīng)協(xié)議層次上的異常。

  2-7 層協(xié)議異常檢測 ? 拒絕服務(wù)檢測技術(shù) DoS/DDoS 攻擊從實(shí)現(xiàn)手法來看,主要表現(xiàn)為兩種,一種是利用漏洞實(shí)現(xiàn)DoS 的攻擊,如 Teardrop、Ping of Death 等,另外一種是通過模擬大量的實(shí)際應(yīng)用流量達(dá)到消耗目標(biāo)主機(jī)的資源,從而達(dá)到 DoS/DDoS 攻擊的目的,通常DoS/DDoS 攻擊伴隨著源 IP 地址欺騙。從 DoS/DDoS 攻擊的對應(yīng)的協(xié)議層次來看,主要有:

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 21

 ·二層相關(guān)的攻擊,如 ARP Flood; ·半連接接相關(guān)攻擊,如 TCP SYN Flood、UDP Flood、ICMP Flood; ·全連接相關(guān)的攻擊,如 TCP Connection 攻擊;如 TCP 空連接攻擊; ·應(yīng)用層相關(guān)的攻擊,如 HTTP Get Flood、DNS query Flood 等,其利用客戶端與服務(wù)器端流量不均衡的特點(diǎn),采用小流量的請求包,消耗服務(wù)器的處理資源或者產(chǎn)生大流量的響應(yīng),從而達(dá)到 DDoS/DoS 攻擊的目的; 根據(jù)對網(wǎng)絡(luò)流量進(jìn)行分析和建模,在系統(tǒng)中形成不同的流量檢測和學(xué)習(xí)模板,在統(tǒng)計分析根據(jù)流量檢測模板進(jìn)行流量學(xué)習(xí)和分析,在行為分析階段,則通過自動生成的動態(tài)過濾規(guī)則對異常流量進(jìn)行過濾處理,動態(tài)或者靜態(tài)過濾規(guī)則部分根據(jù)不同的業(yè)務(wù)進(jìn)行分別的處理,如針對 HTTP 進(jìn)行 HTTP redirection,針對DNS 進(jìn)行 DNS redirection,針對 IP 則進(jìn)行 TTL 認(rèn)證等動作,上述過程是一個閉環(huán)的循環(huán)動態(tài)的一個調(diào)整過程,系統(tǒng)中通過不斷的學(xué)習(xí)、調(diào)整和判斷以適應(yīng)網(wǎng)絡(luò)的情況并作出適當(dāng)?shù)膭幼鳌?/p>

 檢測可以分成如下幾個階段:

 ·策略構(gòu)建階段,即通過學(xué)習(xí)模板進(jìn)行不同業(yè)務(wù)和正常情況進(jìn)行學(xué)習(xí),從而獲得不同流量類型的流量統(tǒng)計數(shù)據(jù)并生成檢測規(guī)則; ·調(diào)整階段,即通過策略構(gòu)建階段學(xué)習(xí)到的業(yè)務(wù)和流量(檢測規(guī)則),進(jìn)行重新學(xué)習(xí)和調(diào)整; ·檢測階段,在策略構(gòu)建和調(diào)整完成之后,通過上述檢測規(guī)則對網(wǎng)絡(luò)中的異常流量進(jìn)行判斷,如果發(fā)現(xiàn)存在異常,則通過動態(tài)生成過濾規(guī)則對網(wǎng)絡(luò)流量進(jìn)行過濾和驗證,如驗證源 IP 合法性、對發(fā)現(xiàn)異常的流量進(jìn)行丟棄等; ? 基于流狀態(tài)特征檢測技術(shù) 通過使用自主的基于流狀態(tài)的特征檢測專利技術(shù),有效地防范了漏報和誤報。

 對于流報文,如 TCP 流,若只是對一個個的單個報文作特征檢測,這會引入漏報;谝陨显,攻擊者對攻擊流中的報文作分段處理,就可以有效地進(jìn)行攻

 宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 22

 擊逃逸。通過流恢復(fù),能夠一定程度地緩解這種攻擊逃逸的有效程度,但不能杜絕這類攻擊逃逸,同時引入了系統(tǒng)緩存負(fù)擔(dān)。通過基于流狀態(tài)的特征檢測專利技術(shù),能夠有效地防范漏報,進(jìn)而杜絕這類攻擊逃逸。

 對于流報文,如語音流、視頻流報文,若不進(jìn)行識別,直接使用攻擊特征檢測,可能引入誤報。通過基于流狀態(tài)的特征檢測專利技術(shù),能夠精確地識別出這類流報文,不作攻擊特征檢測,這有效地防范了誤報。

 4.4.5.3 多種 安全響應(yīng) 機(jī)制

 在檢測到攻擊時,根據(jù)規(guī)則配置的動作做出響應(yīng)。響應(yīng)動作可以是下面動作中的一個或多個的組合:允許(Permit)、阻斷(Block)、通知(Noti...

相關(guān)熱詞搜索:宜賓 網(wǎng)絡(luò)安全 市政府

版權(quán)所有 蒲公英文摘 www.91mayou.com