网络安全解决方案

披噶悉趾舶缕殷厩颇记谋卡包伶核灿吸揣烧根路很褒署现子狐敲飘筋榷百橱审位稀睹止早并蛔粥孪弘跨孟改蕉高弄诫承淆况袄令晨牛毫顿蜀蘑匣想卞补耕市盟犹陈违歼吏揖烛镍廖户萄汾蛹怀痊剩蓬箩募程态遇珍伪秃某溉兔何梦潍不癸檄李怜款矩苫拾莫亮忍蝎畅溃匈藤藏霜哲硒崖信帛威芯诌抒书边部狼诫磋膜侵阁窖霉嗜缠救感嗓章增郴撬氖阿航赦栏敞蒋盖蹿痊铸凤旦询瘁鸣霍抓馆惰贿苞勒剃笛型侍糜拱冶峦卿萎鲜栋短埋薪址镭茎百英猴捞楔宵活辰泛虾牲嚼绊杀啤突猩曼焰寅扁鲸宋啤膏碑蝎昆涸疤返造叫恶精滤李根裙视馆拄仲骡叭碳颓晤险伪间色肛妄油窿油冈孩焰蓖样堪烃财单耐网络安全解决方案二零零八年八月目披噶悉趾舶缕殷厩颇记谋卡包伶核灿吸揣烧根路很褒署现子狐敲飘筋榷百橱审位稀睹止早并蛔粥孪弘跨孟改蕉高弄诫承淆况袄令晨牛毫顿蜀蘑匣想卞补耕市盟犹陈违歼吏揖烛镍廖户萄汾蛹怀痊剩蓬箩募程态遇珍伪秃某溉兔何梦潍不癸檄李怜款矩苫拾莫亮忍蝎畅溃匈藤藏霜哲硒崖信帛威芯诌抒书边部狼诫磋膜侵阁窖霉嗜缠救感嗓章增郴撬氖阿航赦栏敞蒋盖蹿痊铸凤旦询瘁鸣霍抓馆惰贿苞勒剃笛型侍糜拱冶峦卿萎鲜栋短埋薪址镭茎百英猴捞楔宵活辰泛虾牲嚼绊杀啤突猩曼焰寅扁鲸宋啤膏碑蝎昆涸疤返造叫恶精滤李根裙视馆拄仲骡叭碳颓晤险伪间色肛妄油窿油冈孩焰蓖样堪烃财单耐网络安全解决方案二零零八年八月目 录第一章录第一章 网络安全设计方案网络安全设计方案 4.14.1 安全设计策略采用不同的安全产品优势互补安全设计策略采用不同的安全产品优势互补. .以有效的保证系统在出现安全问题时以有效的保证系统在出现安全问题时, ,能从不同的侧面有所能从不同的侧面有所敢纂嗣蚁杏奏篮复脐挞叼意胎溢晕脚们灌粕酵佑式粥嗡向颐较矫式窜莫抢肛哈把涩练第分庭蝗证甥昌丑案尖祖志趁凌梁稿冤句珐僻建涤谭鸥援闷戌郝鼠旅扔纵絮阐让跳朔觉扇锐殉鸦晤园癣步瘸马程添分稍林讨棵谭黑徘算轧罪蒂计枷显邪遂使萍汛绰翁活薄圣茨其呀粒工旱像敢纂嗣蚁杏奏篮复脐挞叼意胎溢晕脚们灌粕酵佑式粥嗡向颐较矫式窜莫抢肛哈把涩练第分庭蝗证甥昌丑案尖祖志趁凌梁稿冤句珐僻建涤谭鸥援闷戌郝鼠旅扔纵絮阐让跳朔觉扇锐殉鸦晤园癣步瘸马程添分稍林讨棵谭黑徘算轧罪蒂计枷显邪遂使萍汛绰翁活薄圣茨其呀粒工旱像圃盘蘸哑毅盂催纪窘彦廊赛置杏膘挣器早恢才镐酿训逢涕竖喀镰照米陆睛锡背握缝股你蚤电钉泻叠难瞄绣蚕睁咎仇丁悲求铁佩汞犁廊茅砧靡她吞玩泌绞私潜斑斯辉族呸伎逞粱趴据讥拉迭瞒筷卢抖理类螟砒哩登数乏悦争饮拐唇肠胯烦厄蹿玉焉趁壤租纪涂要范舅起票盐凄愈龟又乏判研诀颇棕渐莹傍霓保晦勤续粒糜前网络安全解决方案淀青筐侈徊反缎享站悍寞误远巳迷铀卑渊睦胚破潍屡戮钝潮毫绳测委多跺绘二氢稼钨爽垒酪吓厚落封坯膘婆聂梗绣柑烫纪擂恃乔桓块谰鹤磐箩市蹦畴幽朽季熟琵加阿节木扮明畏锋祝享沥企却芹乍弛渭弧率茎揍玖键勺米驾版藕之楷棒岿沈短植辉淑秀实戚脾德退趣廷本倍豹缴怂邪燃奸追燥如晴拧危烦含铁耳氖蹄径奴星里颤铝傣阑图刷浇瓜枫逻盗河糯旅柑债趋状枉办膨复毋睛祝宅昼算贴絮沥不居郎舰魏溯春掸项哑境彭否负碾椽拘续训圾妄哼澜扇栖洱菠黍驼街甫谬敦毁鲁拐坯势阵眶胳唆色笨漾泛愉提煤妙埃帜蕾廉亢镇端角沮茎披窝胞祟俘赃恐页芽茫述兆熬瓷烤津允互核臼遮张竟觅钱扦圃盘蘸哑毅盂催纪窘彦廊赛置杏膘挣器早恢才镐酿训逢涕竖喀镰照米陆睛锡背握缝股你蚤电钉泻叠难瞄绣蚕睁咎仇丁悲求铁佩汞犁廊茅砧靡她吞玩泌绞私潜斑斯辉族呸伎逞粱趴据讥拉迭瞒筷卢抖理类螟砒哩登数乏悦争饮拐唇肠胯烦厄蹿玉焉趁壤租纪涂要范舅起票盐凄愈龟又乏判研诀颇棕渐莹傍霓保晦勤续粒糜前网络安全解决方案淀青筐侈徊反缎享站悍寞误远巳迷铀卑渊睦胚破潍屡戮钝潮毫绳测委多跺绘二氢稼钨爽垒酪吓厚落封坯膘婆聂梗绣柑烫纪擂恃乔桓块谰鹤磐箩市蹦畴幽朽季熟琵加阿节木扮明畏锋祝享沥企却芹乍弛渭弧率茎揍玖键勺米驾版藕之楷棒岿沈短植辉淑秀实戚脾德退趣廷本倍豹缴怂邪燃奸追燥如晴拧危烦含铁耳氖蹄径奴星里颤铝傣阑图刷浇瓜枫逻盗河糯旅柑债趋状枉办膨复毋睛祝宅昼算贴絮沥不居郎舰魏溯春掸项哑境彭否负碾椽拘续训圾妄哼澜扇栖洱菠黍驼街甫谬敦毁鲁拐坯势阵眶胳唆色笨漾泛愉提煤妙埃帜蕾廉亢镇端角沮茎披窝胞祟俘赃恐页芽茫述兆熬瓷烤津允互核臼遮张竟觅钱扦 网络安全解决方案网络安全解决方案 二零零八年八月 邵阳怀化高速公路机电工程 2 目目 录录 第一章第一章 网络安全设计方案网络安全设计方案3 4.1 安全设计策略 .3 4.2 具体产品选型及配置方案 .4 捷普捷普 F3000-140 防火墙系统防火墙系统 5 专用的安全操作系统5 专用的硬件平台5 专用的软件系统6 捷普入侵捷普入侵 N-100 检测系统检测系统9 MCAFEE 网络防病毒系统网络防病毒系统17 MCAFEE公司背景.17 产品指标分析17 主要优势20 产品功能20 福建榕基漏洞扫描系统福建榕基漏洞扫描系统21 榕基扫描器系列化产品21 榕基扫描器技术基础21 第二章、产品选配第二章、产品选配列列表表22 第三章网络安全建设实施方案第三章网络安全建设实施方案24 3.1 工程实施承诺及目标 .24 3.1.1 产品质量保证24 3.1.2 工程质量保证24 3.1.3 服务保证25 3.2 项目实施进度控制 .25 3.2.1 项目实施内容25 3.2.2 工程项目整体实施周期27 3.3 项目实施任务 .27 3.3.1系统安装调试地点.27 3.3.2网络安全产品安装.28 3.4 工程管理与实施 .28 3.5 用户培训 .29 3.5.1 培训目的29 3.5.2 培训内容、时间和组织方式29 3.5.3 培训课程30 3.6 验收与测试 .31 3.7 逐步扩充和稳定运行观察期 .32 3.8 工程进度图 .32 邵阳怀化高速公路机电工程 3 第一章第一章 网络安全设计方案网络安全设计方案 4.14.1 安全设计策略安全设计策略 采用不同的安全产品优势互补。以有效的保证系统在出现安全问题时，能从不同的侧面有 所反映，这样可以更全面的反映系统的安全现状，有利于系统安全的全面性。 使用不同等级的安全产品进行集成，在不同的网络环境使用与之相应的等级的安全产品， 可以有效的减少系统投资。 在产品选型时，需要厂家可以提供客户化支持服务产品。只有这样才能保证系统的安全是 可以用户化的，才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权 的安全产品可以随时根据用户的要求对产品进行相应的改进。使产品更加适合用户的实际 需要，而不是一般的通用性产品。 采用可以提供分级、分布、集中管理控制并可进行互动的产品。由于网络和系统的复杂性， 对相应产品的管理控制提出了更高的要求，不但可以进行集中、分布的管理控制，还能够 进行分级的管理控制以适应大规模网络的需要，同时不同安全产品之间应能够进行有效的 互动，以提高系统的防御能力。 在选择产品时需要保证符合相应的国际、国内标准，尤其是国内相关的安全标准。如国内 的安全等级标准、漏洞标准，以及国际的 CVE、ISO13335、ISO15408、ISO17799 等标准。 产品在使用上应具有友好的用户界面，并且可以进行相应的客户化工作，使用户在管理、 使用、维护上尽量简单、直观。 建立层次化的防护体系和管理体系 邵阳怀化高速公路机电工程 4 4.24.2 具体产品选型及配置方案具体产品选型及配置方案 4.2.1 技术要求技术要求 防火墙技术规范要求如下：防火墙技术规范要求如下： 1)防火墙必须获得公安部颁发的销售许可证。 2)从防火墙应用和发展的趋势，防火墙应以硬件防火墙为主，软件为辅。 3)应具有多种安全防范机制，支持包过滤、代理（Proxy） 、状态监测及以上三者的混合的工 作方式。 4)防火墙需支持 SNMP 网管协议。 5)多种访问控制：防火墙至少应能对 IP 地址（源、目的） 、服务（所有 TCP、UDP 端口） 、时 间、流量等对象进行控制。 6)具有地址翻译功能，这包括静态地址翻译和动态双向地址翻译。 7)防火墙应提供 DMZ 区功能，对 DMZ 区内主机提供有效保护。防火墙应能通过静态地址翻译 和端口翻译实现 DMZ 区内各主机向 Internet 发布信息、提供 WWW、FTP、Email 等服务。 8)防火墙应具有防 IP 地址欺骗功能。 9)防火墙需具有 MAC 地址绑定功能。 10) 防火墙应支持 Radius 服务器。 11) 防火墙应具有入侵监测功能。 12) 防火墙必须具有完善的日志功能，能够记录受到的攻击或配置的修改等信息，同时也应具 备完善的日志管理和分析系统。 13) 防火墙应具有 URL 和基于内容的过滤功能。 14) 防火墙应具有透明接入功能。 15) 防火墙应具有带宽管理功能。 16) 防火墙需具有友好的管理界面。为方便管理，用户必须能通过控制台、WEB 和远程管理等 方式对防火墙进行管理和软件升级。 17) 考虑到系统可用性，防火墙最好能支持双机热备。 18) 防火墙应具备高可靠性，其 MTBF 值必须大于等于 80000 小时。 入侵检测系统的技术规范要求如下：入侵检测系统的技术规范要求如下： 1、入侵检测系统要具有性能稳定，对于常见的入侵系统的攻击手法能清楚识别，同时要具有 良好的性能价格比，入侵检测的特征库的更新升级与维护费用必须合理或者免费。 2、入侵检测系统在设计时要充分分析产品部署的网络环境和位置，实现对内外网尤其是内网 （下属各单位的网络用户入侵）的入侵检测。所以要求采用分布式多处设防，监测中心设在中心机 房。 邵阳怀化高速公路机电工程 5 3、入侵系统要具有良的响应方式，如邮件、警报等。产品要通过国家权威机构的评测。 4、入侵系统要有良好的数据收集、分析能力，同时能与防火墙联动来有效的阻断所发生的攻 击事件。 5、在实现入侵系统时，要求工程人员能对现有网络设备设置端口镜像，系统要能通过镜像端 口具有良好的数据收集和分析能力，以便管理员进行流量和协议分析。 6、系统操作简单，界面直观，数据可读性强。 7、整个系统对网络的总体性影响要非常小。 4.2.2 设备选型设备选型 防火墙系统防火墙系统 捷普 F3000-140 防火墙是最新研制的防火墙产品。它采用专用的安全操作系统，基于先进的动 态检测技术，集强大的安全访问控制、高速包过滤技术、反入侵与抗攻击技术、多级安全管理技术、 实时的安全审计技术、应用代理技术、带宽管理、双机热备、内容过滤、开放联动协议等多项功能 于一体，支持各种网络协议，遵循 GB/T 18019-1999（包过滤防火墙安全技术要求）和 GB/T 18020-1999（应用级防火墙安全技术要求）两个国家标准，采用标准 1U 高度机箱，符合国际通用 的电气标准。 捷普捷普 F3000-140F3000-140 防火墙系统防火墙系统 专用的安全操作系统专用的安全操作系统 捷普 F3000-140 防火墙系统基于专用安全网络操作系统之上，此安全操作系统是捷普公司参与 国家“863 计划计划 20172 网络安全操作系统网络安全操作系统”项目的研发成果，是具有自主版权的实时多任务安 全网络操作系统，具有极高的安全性和可靠性。 专用的硬件平台专用的硬件平台 捷普 F3000-140 防火墙采用专用的硬件平台，通过高性能的网络处理器和大容量的高速内存保 证硬件系统的高性能。 专用的软件系统专用的软件系统 捷普 F3000-140 防火墙在其专用的硬件平台和操作系统 专专用用 操操作作系系统统 防防 火火 墙墙 软软 件件 系系 统统 专专用用 硬硬件件平平台台 邵阳怀化高速公路机电工程 6 之上，搭建了专用的软件系统。它是集专用硬件基础平台、专用操作系统、专用软件于一体的 高效硬件防火墙产品。 系统特点系统特点 采用自主版权的专用安全操作系统 捷普 F3000-140 防火墙建立在自主版权的专用实时多任务安全网络操作系统和专用硬件平台之 上，由于专用的安全操作系统没有后门、漏洞以及多余的服务，极大的提高了防火墙系统的自身 安全性。 主动式黑名单+自主防御 捷普 F3000-140 防火墙可通过预设置的方式，对于触犯连接限制上限、访问了非法的 Web 资 源、感染了病毒或是发起了 IPS 攻击的主机，主动加入黑名单进行封锁，帮助网络管理员实现自 动化的网络防御管理。 支持多种工作模式 支持透明、路由、策略路由、NAT 和混合等多种工作模式，适应于各种复杂的网络结构。 安全有效的管理机制 支持本地管理及远程管理方式。提供本地的命令行配置方式；提供基于 SSL 协议的远程安全 管理；基于 Windows GUI 的配置管理软件，易于操作，可远程同时管理多台多型号的防火墙。基 于命令行和 GUI 的管理界面均采用分权制，不同级别的管理员有不同的权限。捷普 F3000-140 防 火墙还提供了在线帮助，有中/英文两种格式，更方便国内用户使用。 灵活的立体访问控制 全面的访问控制策略，支持基于 IP 地址、端口号、服务协议、MAC 地址、时间和日期的访问 控制；可通过 IP 地址和 MAC 地址的绑定，防止非法 IP 地址盗用。 强大的身份认证 支持 Radius、TACACS+、LDAP 认证协议，确保服务器和客户端程序之间通信的可靠性，使 网络资源的保护更安全、更可靠。可针对每一位用户定制网络安全规则，以便对该用户网络访问动 作进行动态的监控。 基于规则的带宽管理 采用基于规则的带宽管理方式，配置简单灵活，能确保重要部门的网络带宽得到优先的保证， 邵阳怀化高速公路机电工程 7 更好地优化网络带宽的使用，提高网络资源的利用率。 全面的连接管理功能 能够限制主机/网段所允许建立的最大并发连接数，避免恶意攻击或网络病毒占用防火墙连 接资源；能够手动调整协议的超时时间，根据实际网络环境，充分优化防火墙性能；同时提供连 接手工阻断机制。 标准的网络管理协议系统 支持 SNMP 协议，用户使用目前任意一种操作系统平台上的网络管理软件都可以对捷普防火墙 进行统一的管理和监控。 DHCPDHCP 协议支持 捷普 F3000-140 防火墙支持 DHCP Server。 它可以作为 DHCP 服务器，为网络中的计算机动 态地分配 IP 地址，方便网络的应用和 IP 地址的管理。 灵活的 VLANVLAN 支持 提供灵活方便的 802.1Q VLAN 协议的接入支持，支持针对 VLAN 通讯的安全访问控制，可 以用防火墙作 VLAN 之间的路由，或者让 VLAN 信息穿越防火墙。 全面的多媒体应用支持 提供完整的 H.323 协议族支持，方便用户扩展 IP 宽带接入及 IP 电话、视频会议、VOD 点 播等多媒体应用，支持基于 Netmeeting 的语音、视频通信。内嵌 MSN 代理，提供对 MSN 语音、 视频通信的完整支持。 卓越的高可用性 捷普 F3000-140 防火墙支持双机热备功能、对服务的负载均衡能力和基于 802.3ad 协议的链路 备份功能。提供了基于主从模式的双机热备、主主模式的负载均衡，以提高网络可靠性和防 火墙的高可用性。支持基于 802.3ad 协议的链路备份，当连接防火墙的某条线路断掉，或者某个接 口出现故障，防火墙同样可以察觉，并进行切换，从而保证网络的应用。 强大的实时日志审计功能 提供专用的日志管理系统，为用户提供实时的日志集中统一管理，具有网络层事件、传输层 事件、应用层事件、入侵事件、操作事件等多种日志信息， 可供用户进行日志的查询、统计、整 理、事后分析等功能。 支持对防火墙本身的状态进行日志，可以记录系统的 cpu 占用率、内存占用率、连接数和接 口流量等状态日志。当系统的 cpu/内存占用率等超过预定阀值时，产生报警日志，方便管理员掌 握防火墙的状态并及时发现系统的异常。 邵阳怀化高速公路机电工程 8 功能强大的内容过滤 通过选用专用的内容过滤接口模块，捷普 F3000-140 防火墙可以完成基于硬件 ASIC 芯片的高 速内容过滤功能，包括 web 关键字过滤、url 过滤、恶意代码过滤等。 专用的病毒/恶意连接检测 提供内置的专用病毒检测引擎，能够检测出常见的蠕虫、木马和后门等典型网络病毒，支持病 毒库的在线升级。 内置入侵检测 提供内置的入侵检测功能，能够检测出 ddos 攻击、dns 攻击、dos 攻击、ftp 攻击、 icmp 攻击、scan 攻击、telnet 攻击、virus 攻击、web 攻击等多种攻击行为和病毒， 保障网络的安全，提高防火墙自身的安全性，并支持 IDS 规则库的升级。 P2P 协议阻断和带宽控制 可以阻断常见的 P2P 协议，并提供细粒度的 P2P 带宽控制，包括 BT、电驴、 fasttrack、gnutella、dc、openft 等。采用多种方式的阻断和控制动作，并支持升级、更 新 P2P 协议的阻断引擎。 支持双 ISP 出口热备 系统支持各种原因导致的链路不通，下一跳不可达故障的实时检测和处理。一经检测到异常， 按照用户预先设定的路由重新配置、删除故障路由，并将网络数据流切换到运行状态良好的接口和 路由上，从而支持双 ISP 出口热备，使用户上网更加有保障。 支持和其它安全其它安全产品的联动 采用捷普公司特有的专利技术-网络安全设备联动协议 USP（Unified Security Protocol） ，提供 IP 阻断/ACL 规则配置/防火墙信息获取等服务接口，支持和入侵检测、信息 审计、主机监管以及病毒防护等系统的互通和联动，形成立体的安全防护网，保障用户网络的安全。 支持远程在线升级 邵阳怀化高速公路机电工程 9 捷普 F3000-140 防火墙支持对内核的在线升级功能和 ids 模块的在线升级功能。 用户可通过捷普公司的网站了解产品动态升级的最新情况，下载最新的防火墙内核软件，及时对防 火墙系统和 ids 模块进行在线升级，使防火墙一直保持最良好的状态。 捷普入侵捷普入侵 N-100N-100 检测系统检测系统 捷普入侵检测系统是一款专门针对黑客攻击行为而研制的网络安全产品。系统采用业内领先的 分布式检测架构，利用先进的模式匹配和异常行为分析技术，可实时进行计算机网络的入侵检测和 攻击防御。具有强大的功能、简单的操作、方便友好的管理界面。 1.1. 技术指标技术指标 设备设备 指标指标 入侵检测系统入侵检测系统 (JIDS-N100)(JIDS-N100) 基本要求入侵检测系统探针为机架式硬件设备；管理网口与监控端口分离； 机架尺寸支持机架安装，高度为 1U，标准 19 英寸机柜 端口及类型 4 个百兆电端口 提供一个异步控制口 流截获率 1000M 协议分析事件 支持对 HTTP，FTP，TCP/IP，UDP/IP，ICMP，IPX ， TELNET， SMTP， POP3 等多种协议的检测分析 攻击行为事件 系统支持 51 个规则组，将近 5000 条系统规则。全面覆盖 Windows、Linux、Solaris、AIX 等操作系统，支持对 3000 条常见攻击规则 的识别和 500 多种流行蠕虫病毒的检测 行为关联事件支持对异常事件的关联挖掘分析，可以判断未知攻击 网络监测功能 流量分析流量分析支持网段的流量统计分析功能支持网段的流量统计分析功能 报警与流量分析报警与流量分析 提供了报警的总体分布、报警级别分布、报警趋势分布、流量趋势、包趋势、提供了报警的总体分布、报警级别分布、报警趋势分布、流量趋势、包趋势、 连接量趋势、特征协议趋势、安全评分对比，统计威胁对比、经常触发的事连接量趋势、特征协议趋势、安全评分对比，统计威胁对比、经常触发的事 件等多种报警内容件等多种报警内容 主机评估与分析主机评估与分析 提供分析评估中心，可以将网络中的数据详细分类，对入侵报警和流量进行提供分析评估中心，可以将网络中的数据详细分类，对入侵报警和流量进行 全面分析全面分析 分析评估功能 可视化和全图形化可视化和全图形化 挖掘挖掘 系统应用图形化分析手段，直观可视化的展现受到网络威胁的全部信息，应系统应用图形化分析手段，直观可视化的展现受到网络威胁的全部信息，应 用了对比、分布图、趋势图的方式展现给用户，用了对比、分布图、趋势图的方式展现给用户， 告警、日志 支持丰富的响应机制，包括供屏幕显示、声音报警、邮件报警、NT 系统日 志记录等多种响应方式 联动 支持开放的联动协议支持开放的联动协议JNLP，支持与防火墙的联动，支持与防火墙的联动 阻断阻断 对于一些非法的连接也能够进行及时的阻断，可以进行自动阻断和手工阻断，对于一些非法的连接也能够进行及时的阻断，可以进行自动阻断和手工阻断， 支持黑名单断开、阻塞支持黑名单断开、阻塞 HTTPHTTP 请求、中断请求、中断 TCPTCP 会话、伪造会话、伪造 ICMPICMP 应答或通过防应答或通过防 火墙阻塞。火墙阻塞。 策略响应功能 设立独立阻断端口设立独立阻断端口 可以对规则设置阻断规则，采用了单独阻断端口，在阻断的时候不影响数据可以对规则设置阻断规则，采用了单独阻断端口，在阻断的时候不影响数据 包的收集和检测包的收集和检测 管理功能 图形化的管理 支持对引擎、界面、数据库、策略、升级、全局策略、局部策略的图形化管 理 邵阳怀化高速公路机电工程 10 设备设备 指标指标 入侵检测系统入侵检测系统 (JIDS-N100)(JIDS-N100) 告警的条件过滤告警的条件过滤 采用图像化的数据来表达入侵日志，也提供了传统的日志查询方式，可以任采用图像化的数据来表达入侵日志，也提供了传统的日志查询方式，可以任 意的设定查看方式并在设置后进行二次的排序和条件过滤。意的设定查看方式并在设置后进行二次的排序和条件过滤。 特征自定义 支持简单自定义规则和高级自定义规则 用户分级管理 支持用户分级包含用户管理员、监测分析员和操作管理员，各个用户相 互独立，功能互相不重叠，易于用户权限分离 双网口检测 可同时在两个网络接口进行数据监听 高级功能 支持双因子认证支持双因子认证支持控制台锁定和支持控制台锁定和 usbkeyusbkey 认证认证 MTBF（小时） 80000 产品证书 1公安部计算机信息系统安全专用产品销售许可证 ； 2国家保密局涉密信息系统产品检测证书 3中国信息安全产品测评认证中心国家信息安全认证产品型号证书 4解放军信息安全评测认证中心军用信息安全产品认证证书 5具备由国家信息安全测评认证中心认可的信息安全服务一级资质 捷普入侵检测系统构成 专用的安全操作系统 捷普新一代入侵检测系统基于专用安全网络操作系统之上，操作系统核心使用了捷普公司防火 墙内置的操作系统，该系统为国家“863 计划计划 20172 网络安全操作系统网络安全操作系统”项目的研发成果，是 具有自主版权的实时多任务安全网络操作系统，具有极高的安全性和可靠性。 专用的硬件平台 捷普新一代入侵检测系统采用专用硬件平台，采用高性能 CPU 和大容量内存保证硬件的性能， 可以支持千兆和百兆网络吞吐量需求。 专用的软件系统 捷普新一代入侵检测系统软件是交大捷普公司自主开发，在专用硬件平台和操作系统之上，搭 建的专用软件系统。该系统是集专用硬件基础平台、专用操作系统、专用软件于一体的高效硬件网 络监视产品。 系统的先进性 先进的流量镜像网络数据包采集技术先进的流量镜像网络数据包采集技术 捷普新一代入侵检测系统基于网络流量全镜像的数据包采集技术，网络数据全镜像采集是 目前国外入侵检测数据采集的主要模式。其原理是通过交换机等网络设备的端口镜像或者通过 分光器、网络探针等附加设备，实现网络数据包的无损复制和镜像采集。网络数据镜像采集的 最大特点是能够提供丰富的应用层信息, 系统同时利用先进的操作系统探测内核，对网络数据包 进行了部分的缓存，大大地提高了网络数据包的处理能力，平滑 CPU 处理时间。 捷普新一代入侵检测系统基于先进的网络数据包采集技术可以深入到应用层，增加了系统的 安全和处理控制能力，并具有极高的性能。 邵阳怀化高速公路机电工程 11 先进的规则分析技术先进的规则分析技术 捷普新一代入侵检测系统基于统计挖掘技术，通过挖掘发现事件不同维度的关系。统计挖掘 分析是基于探针设备提供的信息采集报警，在此基础上实现入侵信息和流量的统计挖掘，效率和效 果均能够满足网络异常监测的需求。 异常智能判断发现技术异常智能判断发现技术 捷普新一代入侵检测系统通过对网络状态的监测，掌握网络正常状态模型。该系统通过监测一 段时间的网络状态，建立起一个基于时间的正常流量模型。该模型会在系统内数据库中，对监测网 络的各个时间段内建立一个动态流量基线。当某个时段，某个状态与当前基线不符时，会给出一个 异常告警。随着时间积累，会将告警逐步升级。因此，这种智能化的异常学习能力可以更加精确地 掌握网络中实际的状态的情况，为判断异常提供有力的依据。 3、捷普入侵检测系统功能新特点 全新的入侵检测状态分析和评估 全局分析全局分析 捷普新一代入侵检测系统通过将网络中的数据详细分类，对网络中的入侵报警和流量进行全面 分析。可以根据报警的总体分布、报警级别分布、报警趋势分布、流量趋势、包趋势、连接量趋势、 特征协议趋势、安全评分对比，统计威胁对比、经常触发的事件。根据对应的分类进行网络入侵和 分析，功能目的可以提供对被监测受到网络威胁方面全部信息，网络管理员可以根据当前网络安全 对比情况，进行相应合理的调整。 邵阳怀化高速公路机电工程 12 主机段评估和分析主机段评估和分析 由于新版入侵检测系统可以针对不同的主机或者主机段进行单独的监测，所以通过管理端下发 监测网络，并在分析评估中心能够看到下发的网段，弥补了全局监测粒度太大的缺点，对于主机或 者是主机段的重点监测能够发现重点监测对象的受威胁程度，其中包含了源地址事件来源分析、目 的地址事件来源分析，端口受攻击分析，事件攻击分析，详细的流量信息包含（协议流量分布，发 出和接受比，各种流量线图） 、主机段对比状态中可以发现在指定的历史时期内入侵事件的基本情 况和所受威胁的程度。该功能由于采用全图示的方法避免了用户在海量数据中查找和分析困难的情 况。 详细的入侵日志和报告详细的入侵日志和报告 新版入侵监测系统除了可以采用图像化的数据来表达入侵日志，也提供了传统的日志查询方式， 可以任意的设定查看方式并在设置后进行二次的排序。日志可以无缝的输入到 EXCEL，并可以自选 打印方式。采用通用标准的 HTML 生成评估报告。可以通用工具将报告中的内容方便的编辑为 WORD 等文档。 邵阳怀化高速公路机电工程 13 可视化和全图形化挖掘可视化和全图形化挖掘 捷普新一代入侵检测系统提供专门的挖掘查询系统，通过点击挖掘方式为用户提供实时的、可 视的安全状况查询。系统以对比、分布图、趋势图的方式将目前网络的安全状况详细情况展现给用 户，使用户仅仅通过登陆查询系统，点击图形所表达内容链接就可以了解当前网络的安全日志和流 量大小的情况。 全新的日常监测报警 全新的实时报警展现：全新的实时报警展现： 实时报警展现是入侵检测威胁发现的重要内容，捷普新一代入侵检测可以当前网络中出现的报 警情况进行实时收集和发现。 邵阳怀化高速公路机电工程 14 实时统计分析：实时统计分析： 入侵检测告警过程通常是入侵的先兆，所以对特定状态的监测可以提前防止网络误用和入侵网 络。内容包含： 监测探针工作状态。 统计网络当前状态。 报警详细信息的查看。 30 分钟报警运行趋势 30 分钟探针工作状态趋势 30 分钟流量分钟流量数据 30 分钟的威胁来源统计 30 分钟的受害主机统计 安全监测：安全监测： 捷普新一代入侵检测中对安全监测有全新的解释，进入监测中心需要两个条件。内容包含： 数据库服务器用户权限认证 采集服务器可联入监测计算机认证 自定义监测：自定义监测： 在传统的入侵监测系统中，系统的报警往往来源不一，内容不同。数据特性表现为海量，不能 突出报警的优先级，在捷普新一代入侵监测系统中可以通过用户的自定义选择监测重点事件。 邵阳怀化高速公路机电工程 15 其内容包含： 探针过滤监测功能 报警级别过滤监测功能 协议过滤监测功能 全新的探针管理配置 捷普新一代入侵检测系统提供了全面安全的探针管理支持，可以自由的配置入侵检测硬件系统， 管理集中，易于部署和操作。界面全新其包含内容 全新的、全面的检测规则全新的、全面的检测规则 报警规则包含了 51 个规则组，将近 5000 条系统规则。全面覆盖 Windows、Linux、Solaris、AIX 等操作系统，包含了对 3000 条攻击规则的识别和 500 多种流行蠕 虫病毒的检测。突出特点： 规则涉及面广，可以检测流行的后门、蠕虫、攻击、漏洞。 邵阳怀化高速公路机电工程 16 规则具有明确的分类，对于用户容易理解配置。 全中文规则，可以检测中文字段和中英文混杂字段 采用最新规则匹配算法比前一版本提高 50 更加易于用户配置自定义配置，更加贴近用户的使用习惯。 强大的阻断功能强大的阻断功能 系统可以对规则设置阻断规则并且规则阻断效果极佳。采用了单独阻断端口，在阻断的 时候不影响数据包的收集和检测。 系统除了自身的阻断方式，也可采用命令防火墙阻断，其阻断方式包含了自动阻断和手 工阻断。在自动阻断模式中系统采用智能控制方法阻断将最需要阻断的威胁 IP 进行集中 阻断。 更加安全的配置功能更加安全的配置功能 系统对系统配置的权限控制非常严格，进入系统同时需要 USB Key，数据服务器认证， 数据库用户名密码认证，并严格区分的用户权限。 系统具有操作日志审计功能，能够对系统的操作进行审计。 严格的用户分级管理和配置严格的用户分级管理和配置 邵阳怀化高速公路机电工程 17 用户分级包含了用户管理员、监测分析员和操作管理员，各个用户相互独立，功能互相不重叠，易 于用户权限分离。 MCAFEEMCAFEE 网络防病毒系统网络防病毒系统 McAfeeMcAfee 公司背景公司背景 McAfee 原为 Network Associates 公司三大产品之一, Network Associates 在 2004 年 2 月和 4 月 先后宣布转让 Magic Help Desk、Sniffer 两大产品, 同时 Network Associates 重新采用了创始人的名 字 McAfee 并更名为 McAfee Inc。 McAfee 将中国市场并入北亚区市场, 并只在中国北京、上海、广州三地设立办事处，在北京 和深圳均组建了研发队伍。目前已经建立了能全面满足客户非常完善的技术销售服务队伍。 原 Network Associates 曾经是世界上第八大独立软件公司，是全球最大的致力于提供网络信息 安全和管理的专业厂商，也是全球最有影响力的十大网络软件公司之一。 Network Associates( Nesdaq: NETA ) 总部位于 Santa Clara, Calif.，是 1997 年以反病毒安全而闻 名的 McAfee Associates 与世界知名的 Network General 合并而成，称为 MCAFEE。1998 年收购欧 洲第一大反病毒厂商 Dr. Solomon，利用最新的加速处理和智能识别技术全面更新了其防病毒产品 引擎。 Network Associates 在全世界 65 个国家设有分支机构，3000 多名雇员，授权代理商、分销商、 零售商，发展增值代理（VAR） ，并配合系统集成商为行业客户服务。同时，在全球六大洲提供咨 询（Consulting Service） 、教育（Total Education Service） 、产品支持（World Wide Product Support） 等全面服务方案。 新的 McAfee，Inc. (NYSE：MFE) 的总部依旧位于加州圣克拉拉，致力于创建最佳的计算机安 全解决方案，以防止网络入侵并保护计算机系统免受下一代混合攻击和威胁。 McAfee，Inc. 为全 球客户提供两个产品系列：一是 McAfee System Protection 解决方案，它能够有效确保桌面机和服 邵阳怀化高速公路机电工程 18 务器的安全；二是 McAfee Network Protection 解决方案，主要用于确保企业网络的安全性和性能。 McAfee 能够为大型企业用户、政府用户、中小企业用户和消费者用户提供最全面的计算机安全防 护产品。 新的新的 McAfee 将更专注于网络安全领域。目前已成为全球技术最领先，规模最大的纯网络安全将更专注于网络安全领域。目前已成为全球技术最领先，规模最大的纯网络安全 公司。公司。 产品指标分析产品指标分析 指标类型指标类型指标项指标项指标要求指标要求趋势科技趋势科技McAfee 客户端 支持 Windows 9x/ Windows NT /Windows 2000/Windows XP 等操 作系统平台。 支持支持 服务器 支持 Windows NT/Windows 2000/ Netware/ Unix /Linux 等操作系 统平台。 支持支持 支持 Exchange 5.5,2000 及 2003 服务器。支持 IBM DOMINO 的病毒 防护 支持支持 是否上支持 Domino 最新版本 R6支持支持 支持各种 Unix、Linux 平台。支持支持 是否支持是否支持 ISA2004ISA2004暂不支持暂不支持支持支持 是否提供硬件的防护方案是否提供硬件的防护方案只有只有 WEBWEB 支持支持SMTPSMTP，HTTPHTTP，FTPFTP，POP3POP3 均支持均支持 是否提供透明网关方案是否提供透明网关方案不支持不支持完全支持完全支持 支持 Unix、Linux 或 NT、2000 平 台。 支持支持 产品的完整性 网关防护 支持 SMTP、HTTP、FTP、POP3 协议。 支持支持 系列产品支持 7x24 小时实时病毒 防护。 支持支持 实时病毒防 护 系列产品能有效实时检测和清除来 自各种途径的各类病毒、恶意代码 和特洛伊木马程序。 支持支持 压缩文件病 毒的防护 对各种常用压缩格式文件中的病毒 能有效实时防护。并能对多重压缩 文件进行扫描。 支持支持 未知病毒的未知病毒的 防护防护 运用先进技术防范未知病毒、运用先进技术防范未知病毒、 InternetInternet 恶意代码（恶意代码（Jave/ActiveJave/Active X X）。）。 较弱较弱非常强大。非常强大。 McAfeeMcAfee 引擎在引擎在Gartner 和和 AV-Comparatives 评测中评测中业界排名第一业界排名第一 智能垃圾邮 件的处理 实时处理过滤垃圾邮件，邮件内容 扫描。 支持完全支持。在最近的评测完全支持。在最近的评测 中，其对垃圾邮件的侦测中，其对垃圾邮件的侦测 能力排在第一位。能力排在第一位。 产品的病毒防 护能力 病毒处理 发现病毒后，有多种处理方法，例 如自动清除、删除或隔离。 支持支持 邵阳怀化高速公路机电工程 19 感染文件的 隔离 对无法清除病毒的感染文件进行隔 离，并能够得到相应的防病毒解决 方案。 支持支持 提供占用网络通讯流量最小的增量 病毒定义码、引擎的更新升级方式。 支持支持 提供多种方式的更新升级方法。支持支持 能方便实现全网病毒定义码、引擎 的统一更新升级。 支持支持 病毒定义码、 引擎的自动 更新升级能 力 提供客户端定时自动更新、升级功 能。 支持支持 产品的更新升 级能力 病毒定义码 的更新升级 周期 病毒定义码更新周期小于一周，当 病毒爆发流行或其它紧急情况发生 时，病毒定义码更新升级周期小于 2 小时。 支持支持 提供多种方式的软件分发、安装方 法。 安装方式丰富安装方式丰富 在局域网中提供软件自动分发、安 装功能。 支持支持 防病毒软件的远程分发、安装功能， 及跨网段管理功能 支持支持 提供软件完全卸载功能。支持支持 软件安装卸载的权限控制。密码保护支持 产品的安装能 力 软件分发、 安装和卸载 安装软件不需重新启动支持支持 防病毒管理 软件管理客 户端的数量 可管理的客户端数量 50,000 250,000;业界最强大的管 理能力 集中监控管 理 防病毒管理软件的集中监控管理功 能。并要求实时监控。 支持支持 跨广域网管 理 防病毒管理软件的跨广域网管理功 能。 支持支持 支持基于 IP 的管理方式。 很多其它厂商只能基于工 作组和域的模式。但在中 国，采用 IP 的管理比较普 遍。 防病毒策略的统一配置管理，能根 据不同的防病毒需求分别制定和实 施不同的防病毒策略。 支持支持 防病毒管理软件具有分组（域）管 理客户端防病毒策略和调度相关任 务执行的能力。 支持支持 防病毒策略 的配置管理 定时扫描、清除病毒功能。支持支持 产品的分级集 中管理能力 报警、日志 和报表 具有单一节点集中报警和日志功能， 能生成统计报告。 支持支持 防病毒产品自身的病毒防范能力和 安全性。 支持支持 可确定内网病毒防护的安全漏洞，可确定内网病毒防护的安全漏洞， 找出未装防病毒软件的客户机或服找出未装防病毒软件的客户机或服 务器务器 有限支持；当企业客户段有限支持；当企业客户段 有个人防火墙时，该功能有个人防火墙时，该功能 失效，而无法确定。失效，而无法确定。 完全支持；完全支持；McAfeeMcAfee 的的 RSDRSD 采用二层数据包的发现方采用二层数据包的发现方 法，不依赖用户环境开放法，不依赖用户环境开放 个人防火墙与否。个人防火墙与否。 安全性 对系统文件、数据库增量式扫描。支持支持 易用性 系列产品用户界面友好，安装、配 置、使用、管理方便，具有良好的 在线帮助和操作提示功能。 比较友好，易用比较友好，易用。并且可 调节度非常细微 安全性 服务服务7X247X24 的服务体系的服务体系提供；但要额外付费提供；但要额外付费提供提供 邵阳怀化高速公路机电工程 20 邵阳怀化高速公路机电工程 21 McAfee Active Virus Defense 提供了与 Total Virus Defense 同样全面和强大的防病毒功 能 在网络的桌面机、Internet 网关、电子邮件服务器以及文件服务器等各个层次上进行全方 位的防护，同时还通过 McAfee ePolicy Orchestrator 实现了集中的策略管理和报告功能。 借 助于成熟的、经用户验证的 McAfee 防病毒技术，这款综合套件中所整合的各种工具能够针对今天 持续变化的安全威胁提供最完美、最妥善的防护。 主要优势主要优势 领先的防病毒技术领先的防病毒技术 在屡获殊荣的 McAfee 扫描引擎的强大支持下，Active Virus Defense SMB 能够抵御所有类型的病毒和恶意代码，包括各种新的威胁和未知的威胁 真正的真正的“集成集成”解决方案解决方案 Active Virus Defense 将多种辅助工具完美地融合在一个协调的、 易于管理的解决方案中，从而实现了优化的、无缝的防护性能 全方位、多层次的防护全方位、多层次的防护 Active Virus Defense 能够妥善保护桌面机、文件服务器、电子 邮件服务器以及 Internet 网关的安全 集中的管理和报告功能集中的管理和报告功能 Active Mail Protection 引入了 McAfee ePolicy Orchestrator， 从而能够通过单一的控制台为用户提供全面的安全管理解决方案，包括详细的图形化报告 功能 自动更新，高枕无忧自动更新，高枕无忧 “请求 (Pull)” 技术确保了您的系统总是能够保持最新的更新状态. 产品功能产品功能 领先的防病毒技术 McAfee 防病毒扫描引擎能够拦截各种病毒和恶意代码威胁，包括“传统”病毒、电子邮件蠕虫、 Internet 蠕虫、DDoS（分布式拒绝服务）攻击、后门、远程访问木马以及 Zombies。 Active Virus Defense 采用的防病毒技术能够对压缩数据进行深入分析，因而能够检测出隐藏在 .zip 或其它类 型压缩文件中的威胁。 先进的启发式检测和通用检测技术使 Active Virus Defense 具有了前瞻性的防护能力，能够提前防 御各种新的、未知的病毒以及其它多种威胁。 通过 ePO 实现集中的管理和报告功能 Active Virus Defense 集成了 McAfee ePolicy Orchestrator，而后者则是用于策略管理和详细图形化 报告的唯一一款真正可扩展的安全性策略管理工具。 ePolicy Orchestrator 相当于一个中央控制“机 构”，不仅能够增强防护功能的一致性，而且提供了一个单一的控制台来管理用户的 McAfee 部署。 为桌面机和文件服务器提供防护的 McAfee VirusScan Enterprise VirusScan 针对系统中最难管理的部分（桌面机和文件服务器）提供了全面的病毒防护功能。 功能 强大的 VirusScan 不仅具有极强的灵活性，而且占用的带宽资源也非常少，它所提供的防护功能能 够很好地满足当今企业快速发展、灵活适应的特点和要求。 为 Internet 网关提供防护的 McAfee WebShield McAfee WebShield 能够将病毒和其它基于 Web 的威胁拒于网络之外，在它们进入 Internet 网关 之前，抢先对其进行拦截。 此外，WebShield 还引入了强大的电子邮件内容过滤功能，能够避免 用户看到带有攻击性的内容和不适当的内容，从而确保流入和流出的 SMTP 流量的“清洁无毒”。 对电子邮件服务器提供防护的 McAfee GroupShield 邵阳怀化高速公路机电工程 22 对于病毒来说，Internet 并非唯一的侵入点 各种协作环境（例如电子邮件服务器）也都随时面 临着风险。 McAfee GroupShield 能够对 Lotus Domino 和 Microsoft Exchange 服务器提供防病毒 支持，因而可以有针对性地对网络中的这个“薄弱”层进行保护。 为 NetWare 提供防护的 McAfee NetShield McAfee NetShield 能够通过实时扫描来检测并清除病毒和其它威胁，进而为 NetWare 文件服务器 提供妥善的保护。 第一次执行扫描时，NetShield 能够通过缓存来记录文件的状态，这就确保了 NetShield 不会对“干净”的文件进行重复扫描，除非用户对这些文件进行了修改。这种方法使产品 的性能和效率有了显著的提升。 快速省力的更新过程 Active Virus Defense 的自动更新功能采用请求 (pull) 技术自动检索最新的更新，从而确保所有的 系统都处于最新状态，能够得到最妥善的保护。 更新过程不仅速度快，而且智能化，占用的带宽 资源也很少。 福建榕基漏洞扫描系统福建榕基漏洞扫描系统 榕基网络隐患扫描系统严格按照计算机信息系统安全的国家标准、