《安全評估方案建議書》由會員分享，可在線閱讀，更多相關(guān)《安全評估方案建議書（49頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 安全評估方案 建議書 二零零七年七月 目 錄 1．網(wǎng)絡(luò)安全概述 4 1.1安全威脅 4 1.2網(wǎng)絡(luò)安全的需求 4 1.3網(wǎng)絡(luò)安全與網(wǎng)絡(luò)性能和功能的關(guān)系 6 1.4網(wǎng)絡(luò)安全的管理因素 7 2．網(wǎng)絡(luò)安全需求分析 8 3.總體規(guī)劃 8 3.1 安全體系結(jié)構(gòu) 8 3.2安全體系層次模型 9 3.3安全體系設(shè)計 10 3.3.1安全體系設(shè)計原則 10 3.3.2網(wǎng)絡(luò)安全風(fēng)險分析 11 3.3.3網(wǎng)絡(luò)安全策略 11 3.3.4安全管理原則 12 3.3.5安全管理的實現(xiàn) 12 3.3.6網(wǎng)絡(luò)安全設(shè)計 13 4.安

2、全解決方案分析 14 4．1網(wǎng)絡(luò)配置結(jié)構(gòu)圖 14 4．2安全配置 14 5安全產(chǎn)品選型 15 5.1網(wǎng)御神州SECGATE 3600-G7防火墻 15 5.1.1概述 15 5.1.2防火墻主要功能列表 15 5.1.3SecGate 3600-G7防火墻六大特色 19 5.1.4SecGate 3600-G7防火墻主要功能介紹 21 5.2網(wǎng)御神州SECIDS-3600入侵檢測 26 5.2.1概述 26 5.2.2主要技術(shù)特色 27 5.2.3產(chǎn)品功能特點 28 5.2.4產(chǎn)品主要功能亮點 29 5.2.5產(chǎn)品功能描述 31 5.3網(wǎng)御神州SecSIS 360

3、0隔離網(wǎng)閘 34 5.3.1概述 34 5.3.2產(chǎn)品特點 34 5.3.3 主要功能 34 5.3.4系統(tǒng)功能詳述 35 5.3.5產(chǎn)品技術(shù)優(yōu)勢 38 5.4網(wǎng)御神州SecFox-SIM安全信息管理系統(tǒng) 40 5.4.1 產(chǎn)品概述 40 5.4.2產(chǎn)品特點 40 5.4.3產(chǎn)品簡介 43 5.4.4產(chǎn)品功能 45 1．網(wǎng)絡(luò)安全概述 自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。根據(jù)美國FBI的調(diào)查，美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過1.5萬億美元。 1.1安全威脅 由于企業(yè)網(wǎng)絡(luò)內(nèi)運行的主要是多

4、種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。所以，企業(yè)網(wǎng)絡(luò)可能存在的安全威脅來自以下方面： (1) 操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。 (2) 防火墻的安全性。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要經(jīng)過檢驗。 (3) 來自內(nèi)部網(wǎng)用戶的安全威脅。 (4) 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性。 (5) 采用的TCP/IP協(xié)議族軟件，本身缺乏安全性。 (6) 未能對來自Internet的電子郵件夾帶的病毒及Web瀏覽可能存在的Java/ActiveX控件進(jìn)行有效控制。 (7) 應(yīng)用服務(wù)的安全

5、，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失。 1.2網(wǎng)絡(luò)安全的需求 1、企業(yè)網(wǎng)絡(luò)的基本安全需求 滿足基本的安全要求，是該網(wǎng)絡(luò)成功運行的必要條件，在此基礎(chǔ)上提供強(qiáng)有力的安全保障，是建設(shè)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的重要原則。 企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是企業(yè)網(wǎng)絡(luò)的基本安全需求。 對于各科各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段，是本項目需要解決的問題。 2、業(yè)務(wù)系統(tǒng)的安全需求 與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是企業(yè)應(yīng)用

6、的核心。對于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。 企業(yè)網(wǎng)絡(luò)應(yīng)保障： l 訪問控制，確保業(yè)務(wù)系統(tǒng)不被非法訪問。 l 數(shù)據(jù)安全，保證數(shù)據(jù)庫軟硬件系統(tǒng)的整體安全性和可靠性。 l 入侵檢測，對于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。 l 來自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞，或誤操作造成的安全隱患。 3、Internet服務(wù)網(wǎng)絡(luò)的安全需求 Internet服務(wù)網(wǎng)絡(luò)分為兩個部分：提供網(wǎng)絡(luò)用戶對Internet的訪問：提供Internet對網(wǎng)內(nèi)服務(wù)的訪問。 網(wǎng)絡(luò)內(nèi)客戶對Internet的訪問，有可能帶來某些類型的網(wǎng)絡(luò)安全。如通過電子郵件、FTP引入病毒、危險的J

7、ava或ActiveX應(yīng)用等。因此，需要在網(wǎng)絡(luò)內(nèi)對上述情況提供集成的網(wǎng)絡(luò)病毒檢測、消除等操作。 網(wǎng)絡(luò)安全需求是保護(hù)網(wǎng)絡(luò)不受破壞，確保網(wǎng)絡(luò)服務(wù)的可用性，作為信息網(wǎng)絡(luò)之間的互聯(lián)的邊界安全應(yīng)作為主要安全需求： 2 需要保證信息網(wǎng)絡(luò)之間安全互聯(lián)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全隔離； 2 對于專有應(yīng)用的安全服務(wù)； 2 必要的信息交互的可信任性； 2 能夠提供對于主流網(wǎng)絡(luò)應(yīng)用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能夠?qū)崿F(xiàn)安全應(yīng)用； 2 同時信息網(wǎng)絡(luò)公共資源能夠?qū)﹂_放用戶提供安全訪問； 2 能夠防范包括： ü 利用Http應(yīng)用，通過Java Applet、Active

8、X以及Java Script形式； ü 利用Ftp應(yīng)用，通過文件傳輸形式； ü 利用SMTP應(yīng)用，通過對郵件分析及利用附件所造成的信息泄漏和有害信息對于信息網(wǎng)絡(luò)的侵害； 2 對網(wǎng)絡(luò)安全事件的審計； 2 對于網(wǎng)絡(luò)安全狀態(tài)的量化評估； 2 對網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)控； 其次，對于信息網(wǎng)絡(luò)內(nèi)部同樣存在安全需求，包括： 2 信息網(wǎng)絡(luò)中的各單位網(wǎng)絡(luò)之間建立連接控制手段； 2 能夠滿足信息網(wǎng)絡(luò)內(nèi)的授權(quán)用戶對相關(guān)專用網(wǎng)絡(luò)資源訪問； 2 同時對于遠(yuǎn)程訪問用戶增強(qiáng)安全管理； 2 加強(qiáng)對于整個信息網(wǎng)絡(luò)資源和人員的安全管理與培訓(xùn)。 1.3網(wǎng)絡(luò)安全與網(wǎng)絡(luò)性能和功能的關(guān)系 通常，系統(tǒng)安全與性能和功

9、能是一對矛盾的關(guān)系。如果某個系統(tǒng)不向外界提供任何服務(wù)（斷開），外界是不可能構(gòu)成安全威脅的。但是，企業(yè)接入國際互連網(wǎng)絡(luò)，提供網(wǎng)上商店和電子商務(wù)等服務(wù)，等于將一個內(nèi)部封閉的網(wǎng)絡(luò)建成了一個開放的網(wǎng)絡(luò)環(huán)境，各種安全包括系統(tǒng)級的安全問題也隨之產(chǎn)生。 構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)，一方面由于要進(jìn)行認(rèn)證、加密、監(jiān)聽，分析、記錄等工作，由此影響網(wǎng)絡(luò)效率，并且降低客戶應(yīng)用的靈活性；另一方面也增加了管理費用。 但是，來自網(wǎng)絡(luò)的安全威脅是實際存在的，特別是在網(wǎng)絡(luò)上運行關(guān)鍵業(yè)務(wù)時，網(wǎng)絡(luò)安全是首先要解決的問題。 選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，制訂靈活的網(wǎng)絡(luò)安全策略，在保證網(wǎng)絡(luò)安全的情況下，提供靈活的網(wǎng)絡(luò)服務(wù)通道。 采用適當(dāng)?shù)陌踩w

10、系設(shè)計和管理計劃，能夠有效降低網(wǎng)絡(luò)安全對網(wǎng)絡(luò)性能的影響并降低管理費用。 全方位的安全體系： 與其它安全體系（如保安系統(tǒng)）類似，企業(yè)應(yīng)用系統(tǒng)的安全休系應(yīng)包含： 訪問控制：通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。 檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。 攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。 加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。 認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶

11、。 備份和恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。 多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。 隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。 設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護(hù)及緊急情況服務(wù)。 1.4網(wǎng)絡(luò)安全的管理因素 網(wǎng)絡(luò)安全可以采用多種技術(shù)來增強(qiáng)和執(zhí)行。但是，很多安全威脅來源于管理上的松懈及對安全威脅的認(rèn)識。 安全威脅主要利用以下途徑： ? 系統(tǒng)實現(xiàn)存在的漏洞。 ? 系統(tǒng)安全體系的缺陷。 ? 使用人員的安全意識薄弱。 ? 管理制度的薄弱。 良好的網(wǎng)絡(luò)管理有助于增強(qiáng)系統(tǒng)的安全性： ? 及

12、時發(fā)現(xiàn)系統(tǒng)安全的漏洞。 ? 審查系統(tǒng)安全體系。 ? 加強(qiáng)對使用人員的安全知識教育。 ? 建立完善的系統(tǒng)管理制度。 如前所述，能否制定一個統(tǒng)一的安全策略，在全網(wǎng)范圍內(nèi)實現(xiàn)統(tǒng)一的安全管理，對于信息網(wǎng)來說就至關(guān)重要了。 安全管理主要包括兩個方面： ? 內(nèi)部安全管理：主要是建立內(nèi)部安全管理制度，如機(jī)房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度等，并采取切實有效的措施保證制度的執(zhí)行。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié)合的方法。 ? 網(wǎng)絡(luò)安全管理：在網(wǎng)絡(luò)層設(shè)置路由器、防火墻、安全檢測系統(tǒng)后，必須保證路由器和防火墻的配置正確，其配置不允許

13、被隨便修改。網(wǎng)絡(luò)層的安全管理可以通過防火墻、安全檢測、網(wǎng)絡(luò)病毒防治以及網(wǎng)管等一些網(wǎng)絡(luò)層的管理工具來實現(xiàn)。 2．網(wǎng)絡(luò)安全需求分析 1. 防止內(nèi)網(wǎng)的主機(jī)遭受非法用戶的非授權(quán)訪問或惡意攻擊。 2. 加強(qiáng)對各種網(wǎng)絡(luò)安全事件的檢測與審計，其中包括：檢測來自內(nèi)部和外部的黑客入侵行為，監(jiān)視網(wǎng)絡(luò)流量及各種主機(jī)設(shè)備，監(jiān)視數(shù)據(jù)庫系統(tǒng)及應(yīng)用系統(tǒng)的運行情況，并及時告警。 3. 防止來自本地網(wǎng)絡(luò)病毒對提供網(wǎng)絡(luò)中重要服務(wù)器的攻擊與破壞。 4. 防止提供服務(wù)的Web服務(wù)器受到惡意攻擊、非法篡改或者系統(tǒng)崩潰，加強(qiáng)對網(wǎng)站文件屬性和文件內(nèi)容的實時監(jiān)控，可以自動、安全恢復(fù)網(wǎng)站文件系統(tǒng)。 5. 在重要的網(wǎng)絡(luò)和系統(tǒng)中充分考

14、慮災(zāi)備和容錯措施，防止因系統(tǒng)故障導(dǎo)致系統(tǒng)服務(wù)中斷。 6. 定期對辦公網(wǎng)絡(luò)平臺進(jìn)行安全分析和安全評估，及時發(fā)現(xiàn)并修正存在的漏洞和弱點，及時調(diào)整和完善安全策略，保證政務(wù)內(nèi)網(wǎng)的動態(tài)安全與持續(xù)安全。 7. 建立完整的網(wǎng)絡(luò)安全系統(tǒng)管理體系，實現(xiàn)對全網(wǎng)的設(shè)備的統(tǒng)一管理，安全策略的統(tǒng)一制定，安全事件的統(tǒng)一管理等等。 8. 建立完善的安全管理機(jī)制，能夠有效地確保安全策略的準(zhǔn)確執(zhí)行，減少人為因素造成的系統(tǒng)安全事故。 9. 完善的咨詢、評估、設(shè)計、實施、培訓(xùn)以及實時安全響應(yīng)等信息安全專業(yè)服務(wù)。 3.總體規(guī)劃 3.1 安全體系結(jié)構(gòu) 物 理 實 體 安 全 企業(yè)安全策略 用戶責(zé)任 病毒

15、 防治 保密 教育 信息 安全 信息 服務(wù) 操作 系統(tǒng) 計算機(jī)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全體系結(jié)構(gòu)主要考慮安全對象和安全機(jī)制，安全對象主要有網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息安全、設(shè)備安全、信息介質(zhì)安全和計算機(jī)病毒防治等，其安全體系結(jié)構(gòu)如下圖所示： 3.2安全體系層次模型 按照網(wǎng)絡(luò)OSI的7層模型，網(wǎng)絡(luò)安全貫穿于整個7層。針對網(wǎng)絡(luò)系統(tǒng)實際運行的TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的4個層次。 下圖表示了對應(yīng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的安全體系層次模型： 會話層 應(yīng) 用 層 應(yīng)用系統(tǒng) 應(yīng)用平臺 網(wǎng)絡(luò)層 鏈路層 物理層 會話安全 應(yīng) 用 層 應(yīng)用系統(tǒng)安全

16、應(yīng)用平臺安全 安全路由/訪問機(jī)制 鏈路安全 物理層信息安全 物理層 物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等） 鏈路層 鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN（局域網(wǎng)）、加密通訊（遠(yuǎn)程網(wǎng)）等手段。 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽。 操作系統(tǒng) 操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計。 應(yīng)用平臺 應(yīng)用平臺指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，

17、如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)（如SSL等）來增強(qiáng)應(yīng)用平臺的安全性。 應(yīng)用系統(tǒng) 應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的—為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計和實現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺提供的安全服務(wù)來保證基本安全，如通訊內(nèi)容安全，通訊雙方的認(rèn)證，審計等手段。 3.3安全體系設(shè)計 3.3.1安全體系設(shè)計原則 在進(jìn)行計算機(jī)網(wǎng)絡(luò)安全設(shè)計、規(guī)劃時，應(yīng)遵循以下原則： 1). 需求、風(fēng)險、代價平衡分析的原則 ： 對任何一個網(wǎng)絡(luò)來說，絕對安全難以達(dá)到，也不一定必要。對一個網(wǎng)絡(luò)要進(jìn)行實際分析，對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與

18、定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護(hù)成本、被保護(hù)信息的價值必須平衡，價值僅1萬元的信息如果用5萬元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。 2). 綜合性、整體性原則 ： 運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機(jī)網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。 3). 一致性原則 ： 這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需

19、求相一致。實際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費也少得多。 4). 安全、可靠性原則: 充分保證系統(tǒng)的安全性。使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計和實現(xiàn)的全過程中有具體的措施來充分保證其安全性；保證產(chǎn)品質(zhì)量，對項目實施過程實現(xiàn)嚴(yán)格的技術(shù)管理和設(shè)備的冗余配置，保證系統(tǒng)運行的可靠性。 5)．先進(jìn)、標(biāo)準(zhǔn)、兼容性原則： 先進(jìn)的技術(shù)體系，標(biāo)準(zhǔn)化的技術(shù)實現(xiàn). 6). 易操作性原則 ： 安全措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運行。 7). 適應(yīng)性、靈活性原則 安全措施必須能隨

20、著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改。 8). 多重保護(hù)原則 任何安全保護(hù)措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時，其它層保護(hù)仍可保護(hù)信息的安全。 3.3.2網(wǎng)絡(luò)安全風(fēng)險分析 網(wǎng)絡(luò)系統(tǒng)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)、計算機(jī)硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運行。因此，它的風(fēng)險將來自對企業(yè)的各個關(guān)鍵點可能造成的威脅，這些威脅可能造成總體功能的失效。由于在這種廣域網(wǎng)分布式計算環(huán)境中，相對于過去的局域網(wǎng)、主機(jī)環(huán)境、單機(jī)環(huán)境，安全問題變得越來越復(fù)雜和突出，所以網(wǎng)安全風(fēng)險分析成為制定有效的安全管理策略和選擇有

21、作用的安全技術(shù)實施措施的基礎(chǔ)依據(jù)。 安全保障不能完全基于思想教育或信任。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問題，建立起完整的安全控制體系和保證體系。 3.3.3網(wǎng)絡(luò)安全策略 安全策略分安全管理策略和安全技術(shù)實施策略兩個方面： 1). 管理策略 安全系統(tǒng)需要人來執(zhí)行，即使是最好的、最值得信賴的系統(tǒng)安全措施，也不能完全由計算機(jī)系統(tǒng)來完全承擔(dān)安全保證任務(wù)，因此必須建立完備的安全組織和管理制度。 2). 技術(shù)策略 技術(shù)策略要針對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權(quán)提出具體的措施。 3.3.4安全管理原則

22、 計算機(jī)信息系統(tǒng)的安全管理主要基于三個原則。 (1)多人負(fù)責(zé)原則 每項與安全有關(guān)的活動都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠可靠，能勝任此項工作。 (2)任期有限原則 一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個職務(wù)是專有的或永久性的。 (3)職責(zé)分離原則 除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外、與安全有關(guān)的任何事情。 3.3.5安全管理的實現(xiàn) 信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)范，其具體工作是： l 確定該系統(tǒng)的安全等級。 l 根據(jù)確定

23、的安全等級，確定安全管理的范圍。 l 制訂相應(yīng)的機(jī)房出入管理制度。對安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。 l 制訂嚴(yán)格的操作規(guī)程。操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。 l 制訂完備的系統(tǒng)維護(hù)制度。維護(hù)時，要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。 l 制訂應(yīng)急措施。要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。 l 建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。 安全系統(tǒng)需要由人來計劃和管理，任何系統(tǒng)安全設(shè)施也不能完全由計算

24、機(jī)系統(tǒng)獨立承擔(dān)系統(tǒng)安全保障的任務(wù)。一方面，各級領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項措施。其次，對各級用戶的培訓(xùn)也十分重要，只有當(dāng)用戶對網(wǎng)絡(luò)安全性有了深入了解后，才能降低網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險。 總之，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實施的第一步，只有當(dāng)各級組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個系統(tǒng)網(wǎng)絡(luò)的整體安全性。 3.3.6網(wǎng)絡(luò)安全設(shè)計 由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實現(xiàn)，各個層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同。 物理層安全涉及傳輸介質(zhì)的安全特性，抗

25、干擾、防竊聽將是物理層安全措施制定的重點。 在鏈路層，通過“橋”這一互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離，消除不同安全級別邏輯網(wǎng)段間的竊聽可能。 在網(wǎng)絡(luò)層，可通過對不同子網(wǎng)的定義和對路由器的路由表控制來限制子網(wǎng)間的接點通信，通過對主機(jī)路由表的控制來控制與之直接通信的節(jié)點。同時，利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點的通信、應(yīng)用服務(wù)，并加強(qiáng)外部用戶識別和驗證能力。對網(wǎng)絡(luò)進(jìn)行級別劃分與控制，網(wǎng)絡(luò)級別的劃分大致包括外網(wǎng)與內(nèi)網(wǎng)等，其中Internet/外網(wǎng)的接口要采用專用防火墻，各網(wǎng)絡(luò)級別的接口利用防火墻、物理隔離設(shè)備、路由器的可控路由表

26、、安全郵件服務(wù)器、安全撥號驗證服務(wù)器和安全級別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制，也可以大大提高安全保密性。 物理實體的安全管理現(xiàn)已有大量標(biāo)準(zhǔn)和規(guī)范，如GB9361-88《計算機(jī)場地安全要求》、GFB2887-88《計算機(jī)場地技術(shù)條件》等。 4.安全解決方案分析 4．1網(wǎng)絡(luò)配置結(jié)構(gòu)圖 總體結(jié)構(gòu)示意圖 4．2安全配置 l 在網(wǎng)關(guān)位置配置網(wǎng)御神州SecGate3600-G7防火墻，以實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)安全邏輯隔離，通過在防火墻策略設(shè)置可以源地址、目的地址和服務(wù)做出限制，來保障通信安全。防火墻內(nèi)置強(qiáng)大入侵防護(hù)模塊，即使網(wǎng)絡(luò)遭到黑客攻擊，也能保證網(wǎng)絡(luò)安全，這樣用戶不僅是買一臺防火

27、墻而且還是一臺IPS。網(wǎng)御神州SecGate3600防火墻采用先進(jìn)擁塞控制算法，流量調(diào)度算法及優(yōu)先級排隊機(jī)制保證重要服務(wù)或重要用戶的帶寬，并且對BT或電驢下載能有效的控制；支持多出口鏈路聚合，可以做到最多六條線路的負(fù)載均衡； l 在中心交換機(jī)上配置基于網(wǎng)絡(luò)的IDS系統(tǒng)——網(wǎng)御神州SecIDS-3600，通過實時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實時報警、事件登錄，或執(zhí)行用戶自定義的安全策略等； l 在Web logic服務(wù)器與數(shù)據(jù)庫服務(wù)器之間配置網(wǎng)御神州SecSIS-3600網(wǎng)閘，能

28、夠有效實現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全隔離，數(shù)據(jù)只能以專有數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)絡(luò)間進(jìn)行“擺渡”，從而切斷了內(nèi)外網(wǎng)絡(luò)之間的所有直接連接，保證內(nèi)外網(wǎng)數(shù)據(jù)能夠安全、可靠地交換； l 在安全管理主機(jī)上安裝網(wǎng)御神州SecFox-SIM安全事件管理,使之能夠?qū)崟r不間斷地將來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報等信息匯集到管理中心，實現(xiàn)海量信息的集中存儲和可靠保存，消除了安全防御的孤島。 5安全產(chǎn)品選型 5.1網(wǎng)御神州SECGATE 3600-G7防火墻 5.1.1概述 SecGate 3600-G7防火墻是基于狀態(tài)檢測包過濾和應(yīng)用級代理的復(fù)合型硬件防火墻，是專門

29、面向大中型企業(yè)、政府、軍隊、高校等用戶開發(fā)的新一代專業(yè)防火墻設(shè)備，支持外部攻擊防范、內(nèi)網(wǎng)安全、網(wǎng)絡(luò)訪問權(quán)限控制、網(wǎng)絡(luò)流量監(jiān)控和帶寬管理、網(wǎng)頁內(nèi)容過濾、郵件內(nèi)容過濾等功能，能夠有效地保證網(wǎng)絡(luò)的安全；產(chǎn)品提供靈活的網(wǎng)絡(luò)路由/橋接能力，支持策略路由，多出口鏈路聚合；提供多種智能分析和管理手段，支持郵件告警，支持日志審計，提供全面的網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。 SecGate 3600-G7防火墻已獲得公安部等部門頒發(fā)的信息安全產(chǎn)品銷售許可證。 5.1.2防火墻主要功能列表 功能分類 功能概要 狀態(tài)檢測 針對TCP/IP協(xié)議的TCP/UDP/ICMP數(shù)據(jù)包，實現(xiàn)完整的狀

30、態(tài)包過濾，完全達(dá)到GB/T-18019《包過濾防火墻技術(shù)要求》的要求。 智能過濾 針對動態(tài)協(xié)議（包括但不限于H.323、FTP、 TFTP 、Oracle TNS、SIP等通信協(xié)議），提供基于協(xié)議分析的智能化動態(tài)包過濾功能，實時開閉應(yīng)用程序動態(tài)協(xié)商的TCP/UDP端口，最大程度地提升防火墻的安全性。 地址轉(zhuǎn)換 支持動態(tài)地址轉(zhuǎn)換，包括多對一的地址轉(zhuǎn)換，多對多的地址轉(zhuǎn)換。 支持靜態(tài)地址轉(zhuǎn)換，包括對內(nèi)部服務(wù)器提供一對一的地址轉(zhuǎn)換。 支持雙向地址轉(zhuǎn)換，滿足對等網(wǎng)絡(luò)間雙方隱藏內(nèi)部IP地址的要求。 支持基于下一跳路由的地址轉(zhuǎn)換，滿足多出口網(wǎng)絡(luò)地址轉(zhuǎn)換負(fù)載均衡的要求。 端口映射 支持將內(nèi)部

31、提供不同服務(wù)的多個服務(wù)器地址映射成外部相同地址下的不同端口，在端口映射狀態(tài)下，可同時提供多種安全的網(wǎng)絡(luò)服務(wù)。 支持對內(nèi)部鏡像服務(wù)器訪問的負(fù)載均衡 IPSec VPN 支持VPN通訊參數(shù)的設(shè)置。 支持不同認(rèn)證算法(MD5/SHA1/…)、不同加密算法(3DES/AES/…)、不同封裝模式(ESP/AH)的選擇。 支持IKE認(rèn)證方式的選擇（預(yù)共享密鑰/PKI證書模式）。 支持固定網(wǎng)關(guān)之間的VPN通訊，支持動態(tài)網(wǎng)關(guān)與固定網(wǎng)關(guān)之間的VPN通訊，支持動態(tài)網(wǎng)關(guān)與動態(tài)網(wǎng)關(guān)間的VPN通訊，支持客戶端與網(wǎng)關(guān)間的VPN通訊，支持PPTP和L2TP網(wǎng)關(guān)之間的VPN通訊，支持存在于NAT設(shè)備后的網(wǎng)關(guān)和客戶

32、端之間的VPN通訊。 支持星型結(jié)構(gòu)和網(wǎng)狀結(jié)構(gòu)下的VPN隧道建立。 完整兼容IPSec協(xié)議，能夠與CISCO、NETSCREEN、WIN2000的VPN互通。 應(yīng)用代理 提供基于TCP的HTTP代理、SMTP代理、FTP代理、TELNET代理、POP3代理以及基于策略的通用代理。 支持在透明代理下基于HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過濾。 內(nèi)容過濾 針對HTTP，對網(wǎng)頁中java、javascrip、activeX進(jìn)行過濾。 針對SMTP、POP3，基于發(fā)信人地址、收信人地址、收信人數(shù)、文件大小、郵件主題、正文內(nèi)容、發(fā)件人姓名、收件人姓名、附件文件名、附件內(nèi)容等進(jìn)行

33、關(guān)鍵字匹配過濾。 在狀態(tài)包過濾方式下，支持URL過濾和特殊代碼剝離，并支持黑/白名單過濾策略。 連接監(jiān)控 提供內(nèi)網(wǎng)實時監(jiān)控統(tǒng)計功能，以內(nèi)網(wǎng)IP為對象，實時地監(jiān)視統(tǒng)計內(nèi)網(wǎng)連主機(jī)連接數(shù)量和流量。 提供外網(wǎng)實時監(jiān)控統(tǒng)計功能，實時地監(jiān)視統(tǒng)計內(nèi)網(wǎng)訪問外網(wǎng)的地址的連接數(shù)量和流量。 提供DMZ實時監(jiān)控統(tǒng)計功能，實時地監(jiān)視統(tǒng)計DMZ區(qū)內(nèi)主機(jī)被訪問的連接數(shù)量和流量。 提供內(nèi)外網(wǎng)監(jiān)控統(tǒng)計功能，實時監(jiān)控內(nèi)網(wǎng)訪問指定外網(wǎng)主機(jī)的連接數(shù)量和流量。 連接管理 提供保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)。保護(hù)服務(wù)器或服務(wù)器上提供的某項服務(wù)，限制對服務(wù)器過于頻繁的訪問。在規(guī)定的時間內(nèi)，如果某臺主機(jī)訪問服務(wù)器超過

34、了所限制的次數(shù)，則會對該主機(jī)實行阻斷，在阻斷時間段內(nèi)，拒絕其對服務(wù)器的所有訪問。也可以應(yīng)用此功能對使用BT/電驢等連接數(shù)目過大嚴(yán)重影響網(wǎng)絡(luò)流量的用戶加以限制。 用戶認(rèn)證 支持網(wǎng)絡(luò)協(xié)議層用戶認(rèn)證，可以為包過濾、雙向NAT、代理等訪問控制提供用戶認(rèn)證功能。 提供基于電子鑰匙的用戶身份認(rèn)證。 支持用戶和組管理，支持用戶策略控制（源IP綁定、可訪問目的IP和服務(wù)），支持對用戶帳號的流量控制和時間控制。 提供與標(biāo)準(zhǔn)radius服務(wù)器(PAP)聯(lián)動的用戶認(rèn)證。 提供本地認(rèn)證庫實現(xiàn)基于角色的用戶策略，并與安全規(guī)則策略配合完成強(qiáng)訪問控制。 支持客戶端修改密碼。 支持服務(wù)器端檢查用戶在線狀態(tài)。

35、 支持PAP 和S/Key認(rèn)證協(xié)議。 提供在線用戶監(jiān)控功能。 時間控制 支持安全規(guī)則時間調(diào)度。 支持用戶策略時間調(diào)度。 支持一次性與周期性時間調(diào)度規(guī)則。 帶寬管理 支持基于IP地址、應(yīng)用協(xié)議的帶寬管理。 支持基于用戶的帶寬管理（通過身份認(rèn)證的用戶，可以指定帶寬）。 支持最小保證帶寬和最大限制帶寬設(shè)置。 支持帶寬優(yōu)先級的設(shè)定。 對象管理 支持以簡化防火墻安全規(guī)則定義為目的的面向?qū)ο蟮馁Y源定義和組管理。 可以定義地址資源（地址、地址組、服務(wù)器地址、NAT地址池）。 可以定義服務(wù)資源（服務(wù)、服務(wù)組）。 可以定義代理資源（預(yù)定義的HTTP、FTP、TELNET、SMTP、

36、POP3、SOCKS代理、自定義代理）。 可以定義時間資源（時間、時間組，一次性調(diào)度和周期性調(diào)度）。 可以定義帶寬資源。 可以定義URL資源（URL黑名單、URL白名單）。 地址綁定 提供IP/MAC地址綁定檢查功能，可有效解決網(wǎng)絡(luò)管理中IP地址盜用問題。 可以設(shè)置綁定的默認(rèn)策略，提供IP/MAC對的唯一性檢查。 提供地址對與網(wǎng)口的綁定功能，可以及時定位盜用合法IP/MAC地址對的非法用戶。 提供IP/MAC自動探測功能。 抗DoS攻擊 支持對拒絕服務(wù)攻擊的防范，可以防范syn_flood 、ping flood、 udp flood 、teardrop 、 sweep、

37、land、 ping of death、 smurf、碎片攻擊、WINNUKE、圣誕樹攻擊等。配合防火墻上的IDS功能，可以抵抗更多種類的攻擊。 入侵聯(lián)動 支持與網(wǎng)御神州、啟明星晨、中科網(wǎng)威、北方計算中心等主流入侵檢測系統(tǒng)的聯(lián)動。 雙機(jī)熱備 提供專門的聯(lián)動協(xié)議和API接口程序，可以幫助其它入侵檢測廠商快速實現(xiàn)與網(wǎng)御神州防火墻的聯(lián)動。 支持雙機(jī)熱備工作模式，當(dāng)主防火墻遭遇宕機(jī)、網(wǎng)絡(luò)故障、硬件故障等故障時，從防火墻可以自動檢測到并在小于1秒的時間范圍內(nèi)快速切換到主工作狀態(tài)，接管主防火墻的工作。 多機(jī)集群 支持2及兩臺以上防火墻組成多機(jī)集群工作模式，在實現(xiàn)高可靠性的前提下，提供真正意義

38、的負(fù)載均衡功能。 負(fù)載均衡 支持多機(jī)集群模式下防火墻處理能力方面的負(fù)載均衡。 狀態(tài)同步 支持DMZ區(qū)服務(wù)器組基于應(yīng)用的負(fù)載均衡。 基于端口吞吐能力方面的鏈路聚合負(fù)載均衡。 在多機(jī)集群狀態(tài)下，支持多臺防火墻共享虛擬的IP地址，在雙機(jī)熱備狀態(tài)下，支持主機(jī)的連接狀態(tài)信息與備機(jī)保持同步更新，從而可保障冗余系統(tǒng)切換時連接不中斷，徹底消除單點故障。 策略路由 提供目的路由和源地址路由功能以及目的路由負(fù)載均衡。 安全管理 提供遠(yuǎn)程安全管理和本地管理功能。 配置備份 提供全中文web界面和專業(yè)化的命令行界面管理方式。 提供專用帶外管理口。 通過管理員身份認(rèn)證（電子鑰匙認(rèn)證或

39、證書認(rèn)證）、管理員級授權(quán)（包括超級管理員、配置管理員、策略管理員、審計管理員）、管理主機(jī)限制、防火墻管理IP限制、防火墻管理方式定義（web管理/命令行管理/SSH方式/PPP+SSH連接）、配置信息加密（支持SSL協(xié)議和SSH協(xié)議），提供方便且安全的配置管理。 支持配置的本地下載和上載。 模塊升級 提供恢復(fù)防火墻出廠配置功能。 提供靈活的軟件升級方式，適應(yīng)安全需求的快速響應(yīng)。 時鐘調(diào)整 提供防火墻系統(tǒng)時鐘與管理主機(jī)時間同步的時鐘調(diào)整功能。 網(wǎng)絡(luò)調(diào)試工具 提供防火墻系統(tǒng)時鐘與網(wǎng)絡(luò)時鐘服務(wù)器同步（NTP協(xié)議）的時鐘調(diào)整功能。 ping 系統(tǒng)監(jiān)控 Traceroute

40、 Route 提供網(wǎng)口激活信息統(tǒng)計與連接信息監(jiān)控。 日志審計 提供當(dāng)前CPU和內(nèi)存利用率監(jiān)控。 提供HA高可用狀態(tài)監(jiān)控。 提供用戶在線狀況監(jiān)控，顯示用戶名、登錄IP、登錄時間、在線時間、流入流量和流出流量，可根據(jù)安全策略實時中斷某用戶的連接。 提供連接數(shù)量和流量監(jiān)控。 在防火墻本地能夠靈活地設(shè)置監(jiān)測的時間間隔和顯示方式。 日志審計功能提供對防火墻系統(tǒng)事件和網(wǎng)絡(luò)事件的統(tǒng)計、查詢、分析。 集中管理 所有的防火墻事件都有相關(guān)日志記錄，包括包過濾日志、系統(tǒng)日志、內(nèi)容過濾日志、VPN日志、HA日志、攻擊日志等，每種日志都有固定的格式，結(jié)構(gòu)嚴(yán)謹(jǐn)，條理清楚，可讀性強(qiáng)。 提供以下

41、三種日志管理方式： ● 支持本機(jī)管理，日志信息采取先進(jìn)先出的滾動刷新方式，且斷電即丟失，只適應(yīng)流量小、對日志審計要求低的環(huán)境，提供有限的查詢功能（按日志類型、日志級別和關(guān)鍵詞進(jìn)行查找）； ● 支持SecGateManager安全管理，是SecGate防火墻的專業(yè)管理工具，支持日志的海量存儲，支持安全事件的歸并和關(guān)聯(lián)分析，支持圖形化的直觀審計分析； ● 支持其它安全管理系統(tǒng)管理，如：Webtrends、用戶自主開發(fā)的安全管理中心等，防火墻通過SNMP模塊與安全管理中心通信，為安全管理人員提供全面、易用、高效、實時的全局日志與安全事件審計分析，此方式需要額外投資。 支持SNMPv2，v3

42、，可以與SecGateManager安全管理系統(tǒng)無縫聯(lián)動（集中管理、設(shè)備監(jiān)控和事件審計）。 網(wǎng)絡(luò)適應(yīng)性 通過SecGateManager安全管理系統(tǒng)能夠?qū)Ψ阑饓顟B(tài)信息進(jìn)行實時監(jiān)控與統(tǒng)計分析。 具有多個自適應(yīng)網(wǎng)絡(luò)接口，網(wǎng)口數(shù)目可擴(kuò)展，在保證網(wǎng)絡(luò)高度安全和數(shù)據(jù)完整的前提下，同時具有線速或接近線速的網(wǎng)絡(luò)處理性能。 VLAN支持 支持每個網(wǎng)絡(luò)接口設(shè)定多個IP地址，支持網(wǎng)絡(luò)接口模式的設(shè)定。 支持ADSL撥號連接，自動以ADSL獲得的地址為公網(wǎng)地址，用此地址對內(nèi)部IP做地址轉(zhuǎn)換。 適應(yīng)多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和VLAN環(huán)境（支持802.1q協(xié)議、Trunk協(xié)議和VLAN間訪問控制等）。 支持

43、多種工作模式（包括透明模式、純路由模式、混合模式）。 滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的要求（防火墻冗余、防火墻旁路、防火墻跨接）。 支持IEEE 802.1Q 協(xié)議。 多協(xié)議支持 支持vlan trunk協(xié)議，并可以對trunk口中的VLANID進(jìn)行過濾。 支持VTP鏈路聚合協(xié)議。 支持STP協(xié)議和BPDU協(xié)議。 在路由模式和橋模塊下均支持VLAN間路由。 管理口和HA口不支持VLAN協(xié)議。 對TCP/UDP/ICMP協(xié)議的數(shù)據(jù)幀，根據(jù)安全規(guī)則建立狀態(tài)檢測，完成動態(tài)包過濾。 對非IP協(xié)議的數(shù)據(jù)幀，根據(jù)非IP協(xié)議過濾策略（允許或禁止，在網(wǎng)口時配置指定）進(jìn)行處理。 只能做透傳處理的非IP協(xié)

44、議包括：DHCP、ADSL、IPX、RIP、ISL、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、BOOTP、VOD、RIP、OSPF、BGP4、IPX等。 5.1.3SecGate 3600-G7防火墻六大特色 5.1.3.1獨立的SecOS安全協(xié)議棧 完全自主知識產(chǎn)權(quán)的SecOS實現(xiàn)防火墻的控制層和數(shù)據(jù)轉(zhuǎn)發(fā)層分離，全模塊化設(shè)計，實現(xiàn)獨立的安全協(xié)議棧，消除了因操作系統(tǒng)漏洞帶來的安全性問題，以及操作系統(tǒng)升級、維護(hù)對防火墻功能的影響。同時也減少了因為硬件平臺的更換帶來的重復(fù)開發(fā)問題。由于采用先進(jìn)的設(shè)計理念，使該SecOS具有更高的安全性、開放性、擴(kuò)展性和可移植性

45、。 硬件抽象層 SecOS安全協(xié)議棧 控制接口 配置管理 應(yīng)用軟件 圖 3.1 SecGate 3600防火墻體系架構(gòu)圖 5.1.3.2獨創(chuàng)的智能高效搜索算法 采用獨創(chuàng)的分段直接尋址搜索算法MSDAL（Multi-Stage Direct Addressing Lookup Algorithm），解決了傳統(tǒng)防火墻隨著安全策略數(shù)的增加其性能逐漸下降的問題，確保您在大量安全策略數(shù)目情況下仍能獲取最高的網(wǎng)絡(luò)性能！ 5.1.3.3深度的網(wǎng)絡(luò)行為關(guān)聯(lián)分析 采用數(shù)據(jù)包內(nèi)容的深度網(wǎng)絡(luò)行為關(guān)聯(lián)分析技術(shù)，讓您不再為各種專有動態(tài)協(xié)議如H.323、FTP、SQL.Net等的控制“愁眉不展”！

46、并且增強(qiáng)了您的網(wǎng)絡(luò)對于各種DDoS攻擊的防范能力！ 5.1.3.4全面的連接狀態(tài)監(jiān)控和實時阻斷 全面的連接狀態(tài)監(jiān)控，讓您及時掌握網(wǎng)絡(luò)運行狀態(tài)，配合豐富的連接限制，方便您對BT/電驢等P2P應(yīng)用的控制，以及對感染網(wǎng)絡(luò)蠕蟲病毒的主機(jī)進(jìn)行快速定位和實時阻斷！ 5.1.3.5強(qiáng)大的網(wǎng)絡(luò)拓?fù)渥赃m應(yīng)性 適應(yīng)于各種復(fù)雜網(wǎng)絡(luò)拓?fù)洌ㄍ该鳂蚪?、路由以及橋和路由完全自適應(yīng)識別模式。支持VLAN和VLAN TRUNK處理；支持多網(wǎng)絡(luò)出口的鏈路聚合和策略路由；支持生成樹和每VLAN生成樹協(xié)議（STP/PVST+）和虛擬路由冗余協(xié)議（VRRP），提供全面可靠的二層鏈路備份和三層路由備份。 5.1.3.6智能

47、便捷的配置向?qū)Ш凸芾矸绞? 為安全管理員提供智能便捷的配置向?qū)В屇p松完成復(fù)雜的安全配置！并提供豐富的管理方式，包括本地Console，撥號PPP接入，基于Web（HTTPS）瀏覽器，遠(yuǎn)程SSH登錄，以及強(qiáng)大的SecFox集中安全管理方式。 5.1.4SecGate 3600-G7防火墻主要功能介紹 5.1.4.1自適應(yīng)的網(wǎng)絡(luò)接入模式 SecGate 3600-G7防火墻支持透明橋接、路由、混合（同時存在透明、路由的自適應(yīng)接入）接入模式。當(dāng)工作在透明模式時，SecGate 3600-G7防火墻類似于一個網(wǎng)橋，不需要用戶對網(wǎng)絡(luò)的拓?fù)渥龀鋈魏握{(diào)整；當(dāng)工作在路由模式時，SecGate 360

48、0-G7防火墻類似于一個路由器，可以提供策略路由功能；SecGate 3600-G7防火墻還可以工作在自適應(yīng)的混合模式下，即防火墻的不同端口有的在同一網(wǎng)段上（透明），有的在不同網(wǎng)段上（路由），這樣更方便用戶在各種網(wǎng)絡(luò)環(huán)境的接入。 5.1.4.2完善的狀態(tài)包過濾 SecGate 3600-G7防火墻根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)接口等對數(shù)據(jù)包進(jìn)行訪問控制，而且能夠記錄通過防火墻的連接狀態(tài)，直接對分組里的數(shù)據(jù)進(jìn)行處理；具有完備的狀態(tài)檢測表追蹤連接會話狀態(tài)，并且結(jié)合前后分組里的關(guān)系進(jìn)行綜合判斷決定是否允許該數(shù)據(jù)包通過，通過連接狀態(tài)進(jìn)行更迅速更安全的過濾。支持復(fù)

49、雜動態(tài)協(xié)議的狀態(tài)包過濾，通過對協(xié)議內(nèi)容的實時分析，動態(tài)開放所需的端口，傳輸結(jié)束后實時關(guān)閉端口，確保內(nèi)網(wǎng)安全。 5.1.4.3強(qiáng)大的抗攻擊能力 完全自主開發(fā)的SecOS安全協(xié)議棧，支持對常見攻擊的檢測和阻斷，并可以實現(xiàn)針對ICMP、UDP、TCP的Flood攻擊提交頻度檢查與閾值分析，如針對ICMP Flood完成過濾類型與代碼、頻度、包長檢查，針對UDP Flood完成頻度、包長檢查，針對Syn floood完成頻度檢查。針對最常見的SynFlood攻擊，設(shè)置了SYN proxy以保護(hù)內(nèi)部網(wǎng)絡(luò)和防火墻本身免受此類的拒絕服務(wù)攻擊，提供高安全性和高可用性。支持對以下攻擊的檢測： l TCP端

50、口掃描 l UDP端口掃描 l Syn flood攻擊 l ICMP flood攻擊 l UDP flood攻擊 l Ping of death攻擊 l Ping sweep攻擊 l IP spoofing l Land 攻擊 l Tear drop 攻擊 l Filter IP source route option l WinNuke攻擊 l Syn fragments攻擊 l Syn and Fin bit set攻擊 l No flags in TCP攻擊 l FIN with no ACK攻擊 l ICMP fragment攻擊

51、 l Large ICMP l IP source route l IP record route l IP security options l IP timestamp l IP stream l IP bad options l Unknown protocols 5.1.4.4全面的NAT地址轉(zhuǎn)換 支持動態(tài)地址轉(zhuǎn)換，支持地址池，即一對一，一對多，多對多； 支持靜態(tài)地址轉(zhuǎn)換； 支持端口轉(zhuǎn)換，支持動態(tài)服務(wù)的映射，允許用戶內(nèi)部服務(wù)對外開放； 支持反向IP 映射，允許用戶內(nèi)部IP 主機(jī)對外開放； 支持雙向地址轉(zhuǎn)換（一般應(yīng)用于兩邊權(quán)限對等網(wǎng)絡(luò)中），即源地址

52、和目的地址的同時轉(zhuǎn)換； 支持基于策略（基于協(xié)議、目的地址）的地址轉(zhuǎn)換。 5.1.4.5豐富的預(yù)定義代理和自定義代理 SecGate 3600-G7防火墻提供豐富的代理功能。預(yù)定義代理包括： HTTP代理能夠?qū)ava、JavaScript、ActiveX進(jìn)行過濾； FTP代理能夠?qū)Χ嗑€程、put和get命令過濾； SMTP代理能夠?qū)︵]件大小、接收人數(shù)限制，并按關(guān)鍵字對郵件主題、郵件正文和附件內(nèi)容、附件名過濾； POP3代理能夠?qū)︵]件大小限制，并按關(guān)鍵字對郵件主題、附件名過濾； 支持基于TCP協(xié)議的用戶自定義代理，方便管理員使用。 5.1.4.6獨創(chuàng)的高效安全規(guī)則搜索算法 S

53、ecGate 3600-G7防火墻采用自主設(shè)計的分段直接尋址安全規(guī)則搜索算法MSDAL（Multi-Stage Direct Addressing Lookup Algorithm），解決了傳統(tǒng)防火墻隨著安全規(guī)則數(shù)的增加，其搜索速率呈線性遞減的問題，確保在大規(guī)則數(shù)情況下以最短的時間匹配到安全規(guī)則。 5.1.4.7全面靈活的連接限制 SecGate 3600-G7防火墻提供了四種連接限制：保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)。連接限制可以保護(hù)服務(wù)器或服務(wù)器上提供的某項服務(wù)，限制對服務(wù)器過于頻繁的訪問。在規(guī)定的時間內(nèi)，如果某臺主機(jī)訪問服務(wù)器超過了所限制的次數(shù)，則會對該主機(jī)實行阻斷，在阻斷時間

54、段內(nèi)，拒絕其對服務(wù)器的所有訪問。也可以應(yīng)用此功能對使用BT/電驢等連接數(shù)目過大嚴(yán)重影響網(wǎng)絡(luò)流量的用戶加以限制。 5.1.4.8策略路由和鏈路聚合 SecGate 3600-G7防火墻除常規(guī)的按目的IP方式的路由功能外，還支持按源IP方式的路由功能和路由負(fù)載均衡，支持多出口時鏈路聚合。按源IP方式是根據(jù)源IP地址來決定下一跳地址。路由負(fù)載均衡指按照下一跳的權(quán)值來自動選擇路由，從而充分利用用戶的帶寬資源，保護(hù)用戶投資。 5.1.4.9深度內(nèi)容過濾 SecGate 3600-G7防火墻具備HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過濾功能，保護(hù)終端用戶合法有效地使用各種網(wǎng)絡(luò)資源； 支

55、持對網(wǎng)頁中的java、javascrip、activeX等小程序的過濾； 支持對郵件的發(fā)收信人地址、人數(shù)、文件大小過濾，及對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等的關(guān)鍵字匹配過濾； 支持URL過濾，并支持黑/白名單過濾策略。 5.1.4.10深度動態(tài)協(xié)議分析 SecGate 3600-G7防火墻支持對網(wǎng)絡(luò)動態(tài)協(xié)議的深度分析，全面支持H.323、FTP、SQL.NET等動態(tài)協(xié)議的過濾。 5.1.4.11全面的VLAN支持 SecGate 3600-G7防火墻能夠支持802.1Q封裝協(xié)議；支持Vlan trunk協(xié)議，并可以對trunk口中的VLANID進(jìn)行過濾；支持VTP鏈路聚

56、合協(xié)議；支持生成樹協(xié)議STP和每VLAN的生成樹協(xié)議PVST+；在路由模式和橋模塊下均支持VLAN間路由，方便用戶在旁路方式下的接入。 5.1.4.12用戶認(rèn)證 SecGate 3600-G7防火墻提供協(xié)議層用戶認(rèn)證系統(tǒng)，突破認(rèn)證的服務(wù)種類限制，為包過濾、雙向NAT、代理等訪問控制提供用戶認(rèn)證功能； 支持用戶和組管理，支持用戶策略（源IP綁定、可訪問目的IP和服務(wù)），支持對用戶帳號的流量控制和時間控制； 提供與標(biāo)準(zhǔn)的radius服務(wù)器（PAP）聯(lián)動的用戶認(rèn)證； 提供本地認(rèn)證庫：提供基于角色的用戶策略，并與安全規(guī)則策略配合完成強(qiáng)訪問控制，支持對用戶帳號的流量控制和時間控制，客戶端可以修

57、改密碼，服務(wù)器端檢查用戶在線狀態(tài)，支持PAP 和S/Key認(rèn)證協(xié)議。 5.1.4.13IP/MAC地址綁定 SecGate 3600-G7防火墻提供IP/MAC地址綁定檢查功能，防止IP地址盜用，可以設(shè)置綁定的默認(rèn)策略，提供IP/MAC對的唯一性檢查。此外還提供地址對與網(wǎng)口的綁定功能，可以及時定位盜用合法IP/MAC地址對的非法用戶。 SecGate 3600-G7防火墻提供IP/MAC自動探測功能，可以大大減輕管理員手工收集IP/MAC對的工作量。 5.1.4.14靈活的時間調(diào)度 SecGate 3600-G7防火墻可設(shè)定一次性或周期性的調(diào)度規(guī)則，對安全規(guī)則、用戶安全策略等進(jìn)行調(diào)度

58、，給安全管理帶來方便。 SecGate 3600-G7防火墻的系統(tǒng)時間可以設(shè)置為與時鐘服務(wù)器的時間同步，也可以設(shè)置為與管理主機(jī)的時間同步。 5.1.4.15與IDS聯(lián)動 SecGate 3600-G7防火墻支持與目前市場上大部分主流IDS產(chǎn)品的聯(lián)動。 當(dāng)IDS聯(lián)動產(chǎn)品發(fā)現(xiàn)入侵攻擊行為時，會通知防火墻。如果防火墻相應(yīng)網(wǎng)口啟用了IDS自動阻斷功能，則防火墻會按IDS通知的阻斷方式、阻斷時間和入侵主機(jī)的相關(guān)信息，對入侵主機(jī)進(jìn)行阻斷。 SecGate 3600-G7防火墻阻斷方式包括： l 對“源IP地址”阻斷； l 對“源IP地址、目的IP地址、目的端口、協(xié)議”阻斷； l 對“源I

59、P地址、目的IP地址、協(xié)議、方向（單向、雙向、反向）”阻斷； l 防火墻阻斷協(xié)議包括：TCP / UDP / ICMP和所有協(xié)議（any）。 5.1.4.16流量整形和帶寬管理 SecGate 3600-G7防火墻采用先進(jìn)的擁塞控制算法、流量調(diào)度算法以及優(yōu)先級排隊機(jī)制，根據(jù)用戶定義的帶寬策略（最大峰值帶寬，最小保證帶寬和優(yōu)先級），動態(tài)實現(xiàn)帶寬分配的實時控制。具有以下特點： l 最大限制帶寬 可以對用戶IP地址、服務(wù)等通過防火墻的帶寬進(jìn)行限制，例如：限制某個用戶對外訪問最大帶寬，或者訪問某種服務(wù)的最大帶寬。 l 最小保證帶寬 保證網(wǎng)絡(luò)中重要服務(wù)或者重要用戶的帶寬不被其他服務(wù)或者

60、用戶占用，從而保證了重要數(shù)據(jù)優(yōu)先通過網(wǎng)絡(luò)。 l 優(yōu)先級控制 防火墻可以設(shè)定4個優(yōu)先級（0-3），在擁塞情況下，可以進(jìn)行更加細(xì)致的流量控制。 5.1.4.17完善的DHCP支持 l 支持DHCP客戶端 防火墻支持動態(tài)IP，其接口可以動態(tài)地獲得IP地址，方便靈活地接入用戶的網(wǎng)絡(luò)環(huán)境。 l 支持DHCP server 防火墻自身可以作為DHCP Server，為網(wǎng)絡(luò)中計算機(jī)動態(tài)的分配IP地址，從而為企業(yè)的網(wǎng)絡(luò)建設(shè)節(jié)約投資，同時方便網(wǎng)絡(luò)的應(yīng)用和IP地址的管理。 l 支持DHCP Relay 防火墻支持DHCP Relay。放置于DHCP Server和DHCP Client之間

61、，既有效的保護(hù)DHCP Server同時便于用戶網(wǎng)絡(luò)的部署。 5.1.4.18雙機(jī)熱備和高可用性HA 為了保證網(wǎng)絡(luò)的高可用性與高可靠性，針對電信級的要求，SecGate 3600-G7防火墻提供了雙機(jī)熱備份功能，當(dāng)一臺防火墻發(fā)生意外宕機(jī)、網(wǎng)絡(luò)故障、硬件故障等情況時，另一臺防火墻自動切換到工作狀態(tài)，從而保證了網(wǎng)絡(luò)的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與，當(dāng)發(fā)生切換時防火墻上的連接可以透明地、完整地遷移到另一臺防火墻上，用戶不會覺察到。 5.1.4.19全面的系統(tǒng)監(jiān)控 SecGate 3600-G7防火墻提供全面的系統(tǒng)狀態(tài)監(jiān)控，可以讓管理員清楚地了解網(wǎng)絡(luò)中接口流量統(tǒng)計、最大連接

62、數(shù)量的IP等信息，并且能夠及時發(fā)現(xiàn)被網(wǎng)絡(luò)蠕蟲病毒感染的主機(jī)，配合連接限制，進(jìn)行實時阻斷。 5.1.4.20便捷的配置向?qū)? SecGate 3600-G7防火墻提供便捷的配置向?qū)Чδ?，管理員可以根據(jù)初始配置向?qū)лp松完成防火墻的配置。 5.1.4.21對象名稱定義和引用 SecGate 3600-G7防火墻將單個地址、一段網(wǎng)絡(luò)、IP地址的范圍、地址組、帶寬策略、時間調(diào)度策略、URL列表等設(shè)置為一個對象名稱。安全規(guī)則基于對象名稱過濾，使規(guī)則具有很強(qiáng)的可讀性，同時提高了配置管理員的工作效率，使配置更具靈活性。 5.1.4.22豐富、安全的管理方式 SecGate 3600-G7防火墻提供

63、Web管理方式（通過網(wǎng)口）、CLI命令行管理方式（通過串口），同時還支持遠(yuǎn)程撥號（PPP）管理方式。上述三種管理方式是一直打開的。另外，防火墻還提供通過SSH登錄對防火墻以命令行方式進(jìn)行遠(yuǎn)程管理的功能，此管理方式管理員有權(quán)進(jìn)行添加和刪除。 5.1.4.23分級權(quán)限的安全管理 SecGate 3600-G7防火墻提供分級安全管理機(jī)制，系統(tǒng)分為超級管理員、配置管理員、策略管理員、審計管理員四個等級。通過管理員身份認(rèn)證（電子鑰匙認(rèn)證或證書認(rèn)證）、管理主機(jī)限制、防火墻管理IP限制、防火墻管理方式定義（web管理/命令行管理/SSH方式/PPP+SSH連接）、配置信息加密（支持SSL協(xié)議和SSH協(xié)議

64、），提供方便且安全的配置管理。 5.1.4.24與SecFox集中遠(yuǎn)程管理無縫集成 SecGate 3600-G7防火墻通過SNMP v2/v3協(xié)議，實現(xiàn)了和網(wǎng)御神州SecFox集中安全管理系統(tǒng)的無縫集成，通過在防火墻上配置集中管理主機(jī)的IP地址，十分方便地實現(xiàn)對防火墻的集中管理。SecFox集中管理系統(tǒng)可以同時對多個防火墻進(jìn)行遠(yuǎn)程管理，并且支持防火墻策略的批量修改和分發(fā)。 5.1.4.25完善的系統(tǒng)升級 隨著技術(shù)的飛速發(fā)展和安全需求的不斷延伸，SecGate 3600-G7會適時地進(jìn)行軟件版本升級。SecGate 3600-G7防火墻的軟件升級直接通過管理界面進(jìn)行，用戶只需選擇新的升

65、級軟件包并重啟防火墻即可方便地完成軟件升級。 5.1.4.26系統(tǒng)配置的導(dǎo)入導(dǎo)出 SecGate 3600-G7防火墻的導(dǎo)入導(dǎo)出功能便于管理員對整個防火墻的配置進(jìn)行備份，在需要的時候，可以離線調(diào)整后，重新導(dǎo)入防火墻即可即時生效。導(dǎo)出的配置信息可以保存在管理主機(jī)上做備份，導(dǎo)出的文件格式可以選擇加密或不加密。 5.1.4.27全面的日志審計和日志服務(wù)器 SecGate 3600-G7防火墻各功能模塊都可以提供標(biāo)準(zhǔn)格式的日志記錄。默認(rèn)情況下，日志存儲在防火墻本地，也可以將日志直接發(fā)往日志服務(wù)器。隨機(jī)提供的日志服務(wù)器軟件可以實現(xiàn)強(qiáng)大的存儲和審計功能，方便管理員對日志進(jìn)行查詢和管理。 5.2網(wǎng)

66、御神州SECIDS-3600入侵檢測 5.2.1概述 網(wǎng)神IDS是由網(wǎng)神IDS sensor(以下稱探測器)及網(wǎng)神IDS Console（以下稱控制臺）兩部分組成。 探測器設(shè)置在內(nèi)部網(wǎng)絡(luò)特定地點(網(wǎng)關(guān)、主要服務(wù)群所在的部分、主要節(jié)點)進(jìn)行數(shù)據(jù)流分類收集并執(zhí)行入侵檢測及數(shù)據(jù)流分析的功能，把分析的事件結(jié)果傳送到管理中心。把傳送到管理中心的事件進(jìn)行再分析及統(tǒng)計抽取的過程保存到數(shù)據(jù)庫中，利用控制臺可以實時進(jìn)行數(shù)據(jù)檢測。 5.2.2主要技術(shù)特色 5.2.2.1先進(jìn)的入侵檢測引擎 系統(tǒng)采用優(yōu)化的TCP流重組和IP包重組策略，綜合使用狀態(tài)協(xié)議分析、模式匹配、異常檢測等方法，可以實現(xiàn)對當(dāng)前主流的應(yīng)用層協(xié)議進(jìn)行解析，支持的協(xié)議達(dá)100種以上。 5.2.2.2先進(jìn)的智能管理模式 探測器和控制臺間對等方式的分散性結(jié)構(gòu)，可以使一個探測器連接多個控制臺，或者一個控制臺連接多個探測器。探測器可以有 1個主控制臺（Primary Manager）和 1個以上的從控制臺（Secondary Manager）。 主控制臺和從控制臺可以記錄探測器的所有事件，且主控制臺可以設(shè)置探測器 的配置。 l 多