网络安全建议方案.doc

XXXX网络安全建议方案VER:1.0 XXXXXXXXXXXXXX有限公司2009年7月 1 前言随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业，全球信息化已成为人类社会发展的大趋势,由此带动了计算机网络的迅猛发展和普遍应用。但在地下黑色产业链的推动下，网络犯罪行为趋利性表现更加明显，追求经济利益依然是主要目标。黑客往往利用仿冒网站、伪造邮件、盗号木马、后门病毒等，并结合社会工程学，窃取大量用户数据牟取暴利，包括网游账号、网银账号和密码、网银数字证书等。木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的流水作业构成了完善的地下黑色产业链条，为各种网络犯罪行为带来了利益驱动，加之黑客攻击手法更具隐蔽性，使得对这些网络犯罪行为的取证、追查和打击都非常困难。在我国，近几年随着网络技术的发展，网络应用的普及和丰富，网络安全的问题也日益严重，利用信息技术进行的高科技犯罪事件呈现增长态势。根据国际权威应急组织CERT/CC 统计1，2007 年公布漏洞数7236 个，平均每天接近20个！自1995 年以来各年来漏洞公布总数38016 个。网络信息系统存在的安全漏洞和隐患层出不穷，网络攻击的种类和数量成倍增长，终端用户和互联网企业是主要的受害者，基础网络和重要信息系统面临着严峻的安全威胁。2007年各种网络安全事件与2006年相比都有显著增加。接收的网络仿冒事件和网页恶意代码事件成倍增长，分别超出去年总数的近1.4倍和2.6倍，被篡改网站数量比去年增加了1.5倍。安全问题已经成为制约网络技术发展的首要因素！2 安全需求分析安全风险分析网络应用给人们带来了无尽的好处，更方便各项日常工作的开展。但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险正日益加重。瞄准网络系统可能存在的安全漏洞，黑客们所制造的各类新型的风险将会不断产生，这些风险由多种因素引起，与网络系统结构和系统的应用等因素密切相关。完整的网络安全风险评估是对网络内的信息资产进行价值评估、对网络存在的威胁进行评估、对整体安全策略和制度的有效性进行评估、以及对系统漏洞被利用的可能性进行评估后的综合结果。它是一项综合系统的工程，是风险管理的重要组成部分，也是整体网络安全解决方案的重要参考依据。3.2.1 安全弱点分析 系统和应用脆弱性网络内部运行有ERP服务器、OA服务器、数据库服务器等。这些服务器是最容易受到攻击的薄弱点。众所周知，每一种操作系统都包含有漏洞（如下表所示），开发厂商也会定期发布补丁包。如何对重要服务器进行漏洞扫描、入侵检测、补丁管理成为日常安全维护的重要工作。网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。ID名称说明举例1Backdoor各种后门和远程控制软件，例如BO、Netbus等2Brute Force各种浏览器相关的弱点，例如自动执行移动代码等3CGI-BIN各种CGI-BIN相关的弱点，例如PHF、wwwboard等4Daemons服务器中各种监守程序产生弱点，例如amd, nntp等5DCOM微软公司DCOM控件产生的相关弱点6DNSDNS服务相关弱点，例如BIND 8.2远程溢出弱点7E-mail各种邮件服务器、客户端相关的安全弱点，例如Qpopper的远程溢出弱点8Firewalls各种防火墙及其代理产生的安全弱点，例如Gauntlet Firewall CyberPatrol内容检查弱点9FTP各种FTP服务器和客户端相关程序或配置弱点，例如WuFTPD site exec弱点10Information Gathering各种由于协议或配置不当造成信息泄露弱点，例如finger或rstat的输出11Instant Messaging当前各种即时消息传递工具相关弱点，例如OICQ、IRC、Yahoo messager等相关弱点12LDAPLDAP服务相关的安全弱点，13Network网络层协议处理不当引发的安全弱点，例如LAND攻击弱点14Network Sniffers各种窃听器相关的安全弱点，例如NetXRay访问控制弱点15NFSNFS服务相关的安全弱点，例如NFS信任关系弱点16NISNIS服务相关的安全弱点，例如知道NIS域名后可以猜测口令弱点17NT Related微软公司NT操作系统相关安全弱点18Protocol Spoofing协议中存在的安全弱点，例如TCP序列号猜测弱点19Router/Switch各种路由器、交换机等网络设备中存在的安全弱点，例如Cisco IOS 10.3存在拒绝服务攻击弱点20RPCRPC（SUN公司远程过程调用）服务相关的弱点，例如rpc.ttdbserver远程缓冲区溢出弱点21Shares文件共享服务相关的安全弱点，i.e. NetBIOS/Samba等相关弱点，例如Samba缓冲区溢出弱点22SNMPSNMP协议相关的安全弱点，例如利用“public”进行SNMP_SET操作23UDPUDP协议相关弱点，例如允许端口扫描等24Web ScanWeb服务器相关安全弱点，例如IIS ASP dot弱点25X WindowsX服务相关安全弱点26Management安全管理类漏洞 管理脆弱性再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环。管理的脆弱性主要体现在以下一些方面：l 缺乏针对性的安全策略和安全技术规范，安全管理和运行维护的组织不健全。l 缺乏有效的安全监控措施和评估检查制度，无法有效的发现和监控安全事件，不利于及时发现安全事件并采取相应的措施。l 缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的对安全事件的处理流程和制度。3.2.2 安全威胁分析网络安全所面临的威胁来自很多方面，这些威胁可以宏观地分为人为威胁和自然威胁。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。人为威胁，也就是说对网络的人为攻击。这些攻击手段都是通过过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。人为威胁主要包括：l 中断：是对系统的可用性进行攻击，如破坏计算机硬件、线路或文件管理系统。l 窃听：是对系统的保密性进行攻击，如搭线窃听、对文件或程序的非法拷贝。l 篡改:是对系统完整性进行攻击，如修改数据文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容。l 伪造：是对系统的真实性进行攻击，如在网络中插入伪造的消息或在文件中插入伪造的记录。攻击类型又可以分为被动攻击和主动攻击被动攻击相应于攻击类型中的窃听，敌手的目标是窃取传输中的数据。对加密的消息，敌手可能无法获取消息的真实内容，然而敌手却有可能获得消息的格式、确定通信双方的身份和位置，以及通信的次数和消息的长度，而这些消息对通信双方来说是敏感的。被动攻击因不对传输的消息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防而不是检测。主动攻击又可分为以下四个子类：l 假冒：某个实体假装成另外一个实体，以便使一线的防卫者相信它是一个合法的实体，取得合法用户的权利和特权，这是侵入安全防线最为常用的方法。l 重放：攻击者对截获的某次合法数据进行拷贝，以后出于非法目的而重新发送。l 消息的篡改：通信数据在传输过程中被改变、删除或替代。l 业务拒绝：对通信设备的使用和管理被无条件地拒绝。绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。3.2.3 安全风险总结通过对上述信息系统的弱点和威胁进行分析，我们可以对系统所面临的风险从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类描述： 物理安全风险l 地震、水灾、火灾等环境事故造成整个系统毁灭；l 电源故障造成设备断电以至操作系统引导失败或数据库信息丢失；l 设备被盗、被毁造成数据丢失或信息泄漏；l 电磁辐射可能造成数据信息被窃取或偷阅。 网络安全风险l DOS/DDOS攻击、DNS欺骗攻击，会造成服务器服务的中断，影响业务的正常运行；l 内部用户通过Sniffer等嗅探程序在网络内部抓包，获得系统用户名和口令等关键信息或其他机密数据，进而假冒内部合法身份进行非法登录，窃取内部网重要信息；l 内部用户通过扫描软件或取其他用户系统或服务器的各种信息，并利用这些信息对整个网络或其他系统进行破坏。l 病毒，尤其是蠕虫病毒爆发，将使整个网络处于瘫痪状态。l 目前，垃圾邮件已经成为网络安全的又一种重大威胁，垃圾邮件或邮件炸弹的爆发将使网络带宽大量被消耗，邮件服务器系统资源消耗殆尽，不能够进行正常的邮件转发服务。 系统安全风险目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其后门。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。 管理安全风险对于管理风险包括：u 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。u 机房重地却被任何人都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件。u 内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏，如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。u 非法人员进入重要部门或机房，非法获得资料或对设备进行破坏；u 员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。u 大量的人为因素的安全隐患，为破坏着进入系统造成了便利，例如：1. 部分系统管理员密码强度不够，或没有设置密码；2. 密码和帐号名相同或者采用帐号名翻转作为密码；3. 采用电话号码作为密码；4. 采用单一字符集作为密码，例如qqqqqq；5. 密码的复杂程度不够；管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。 安全需求分析安全目标通过对网络结构、网络安全风险分析，再加上黑客、病毒等安全危胁日益严重，网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决，使网络安全达到一定的安全目标。u 保护网络系统的可用性； u 保护网络系统服务的连续性； u 防范网络资源的非法访问及非授权访问； u 防范入侵者的恶意攻击与破坏； u 防范病毒的侵害； u 实现网络的安全管理。 安全需求访问控制需求防范非法用户非法访问非法用户的访问会给网内的用户带来巨大的安全风险。非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下，网络的安全主要是靠主机系统自身的安全，如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式，对有攻击目的的人而言，根本就不是一种障碍。他们可以通过对网络上信息的监听，得到用户名及口令或者通过猜测用户及口令，这都将不是难事，而且可以说只要花费很少的时间。因此，要采取一定的访问控制手段，防范来自非法用户的攻击，严格控制只有合法用户才能访问合法资源。防范合法用户非授权访问合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部份信息是可以对外开放，而有些信息是要求保密或具有一定的隐私性。外部用户被允许正常访问的一定的信息，但他同时通过一些手段越权访问了别人不允许他访问的信息，因此而造成他人的信息泄密。所以，还得加密访问控制的机制，对服务及访问权限进行严格控制。防范假冒合法用户非法访问网络管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么，入侵者便会在用户下班或关机的情况下，假冒合法用户的IP地址或用户名等资源进行非法访问。因此，必需从访问控制上做到防止假冒而进行的非法访问。防病毒系统需求病毒对于网络来说威胁极大。因为网络内的用户情况复杂，很多员工的好奇心理导致他们会有意无意的访问到含有病毒的网站或者下载带病毒的程序。针对防病毒危害性极大并且传播极为迅速的特点，必须配备从单机到服务器的整套防病毒软件，实现全网的病毒安全防护。安全管理体制健全的人的安全意识可以通过安全常识培训来提高。人的行为的约束只能通过严格的管理体制，并利用法律手段来实现。网络上存在的客观问题是人员复杂，用户流动性很大。因此在网络中采用严格的管理机制有利于对所有用户的行为控制。网络系统中也可以通过部署相应的安全管理产品，采用一定的技术手段监控各种网络行为。3 安全解决方案设计原则l 代价平衡原则：对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。l 综合性、整体性原则：应运用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节，包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等，在网络安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。l 一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等，都要有安全的内容及措施。实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也少得多。l 易操作性原则：安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。l 适应性及灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级。l 多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。l 可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立，即包括采用相应的安全设备，又包括相应的管理手段。安全设备不是指单一的某种安全设备，而是指几种安全设备的综合。网络安全的动态性是指，网络安全是随着环境、时间的变化而变化的，在一定环境下是安全的系统，环境发生变化了（如更换了某个机器），原来安全的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了（如今天是安全的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不安全了），原来的系统就会变的不安全。所以，建立网络安全系统不是一劳永逸的事情。l 整体规划分步实施：针对安全体系的特性，我们可以采用“统一规划、分步实施”的原则。我们可以先对网络做一个比较全面的安全体系规划、分步实施工。随着今后应用的种类和复杂程度的增加，再在原来基础防护体系之上，建立增强的安全防护体系。安全体系结构 通过对网络应用的全面了解，按照安全风险、需求分析结果、安全策略以及网络的安全目标等方面的分析，网络具体的安全控制系统可以从以下几个方面分述: 物理安全、系统安全、网络安全、应用安全、管理安全。物理安全保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全对系统所在环境进行安全保护，如区域保护和灾难保护（参见国家标准GB501741993电子计算机机房设计规范、国标GB/T28872000电子计算机场地通用规范、GB/T93611988计算站场地安全要求）。设备安全设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；设备冗余备份。通过严格管理及提高员工的整体安全意识来实现。系统安全 操作系统安全对于操作系统的安全防范可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等；Windows NT下的LMHOST、SAM等）使用权限进行严格限制；加强口令字的使用（增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令），并及时给系统打补丁、系统内部的相互调用不对外公开。通过配备操作系统安全扫描系统对操作系统进行安全性扫描，发现其中存在的安全漏洞，并有针对性地进行对网络设备重新配置或升级。应用系统安全在应用系统安全上，应用服务器尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统，可以关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。还有就是加强登录身份认证。确保用户使用的合法性；并严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。网络安全网络安全是整个安全解决方案的关键，分别从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒、非法外联监控等方面描述。隔离与访问控制划分安全区域网络需要保护的对象主要是为用户提供服务的应用服务器。如果网络中所有服务器与用户的普通计算机混杂在一起，很难进行访问控制或者部署其他的安全策略。因此，我们把网络按照各种设备的不同安全等级分成四个安全区域：l 互联网区l 外部服务器区l 内部服务器区l 内网办公区l 各分支机构不同的安全区域因为安全级别的不同，因此应在边界处采用防火墙作为访问控制设备。防火墙的目的是在不同安全区域之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，对进、出不同安全区域的服务和访问进行控制和审计。配备防火墙防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。病毒防护由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。网络系统中使用的操作系统一般为WINDOWS系统，比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。我们建议在整个XXXXXX网络统一部署网关防病毒硬件，这样能够对本安全区域内的病毒防护、升级进行统一管理和控制。应用安全内部办公系统中资源共享严格控制内部用户对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录，否则较容易因为疏忽而在与用户间交换信息时泄漏重要信息。对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制，即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全，但对一般用户而言，还是起到一定的安全防护，即使有刻意破解者，只要口令设得复杂些，也得花费相当长的时间。信息存储对有涉及秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统，可以对数据库进行远程备份存储。安全产品的部署统计规划整体设计综上所述，我们在XXXXXX网络中按如图所示的方式部署防火墙系统、防病毒系统、入侵检测系统、入侵防御系统、网页防篡改系统、漏洞扫描系统、安全审计系统。部署防火墙系统：逻辑上隔离互联网与内部服务器区、办公网区，通过安全策略，有效的控制不同区域之间的访问请求（如访问互联网，MSN、QQ聊天，炒股等）。部署防病毒系统：采用网关+服务器+客户端的方式建立完善病毒防御体系，首先，防病毒网关可以抵御蠕虫病毒的攻击，这是传统的防病毒软件无法做到的；其次，作为防病毒体系的边界保护层，防病毒网关可以拒绝病毒和蠕虫于门外（部署在出口处）；最后，如果客户端或服务器上的防病毒软件没有及时更新、被禁用或未及时安装的话，则很有可能被病毒感染；而部署防病毒网关则可以及时查杀病毒，避免客户端和服务器感染病毒。部署入侵检测系统：实时监控内部服务器区各种数据报文及网络行为，提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系，大大增强了用户的整体安全防护强度。部署入侵防御系统：对流经网络流量进行分析过滤，来判断是否为异常数据流量或可疑数据流量，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络资源的安全保护。部署网页防篡改系统：使正常网页信息具有不可篡改性，防止黑客在网络上可能进行的截获-篡改攻击，保证网站的安全。部署漏洞扫描系统：对外服服务器区、内部服务器区、办公网区等的计算机系统或者其它网络设备进行安全相关的检测，以找出网络中的存在的安全隐患和可被黑客利用的漏洞；并针对每一个具体漏洞提供详细的修补方案和安全建议。部署安全审计系统：系统对网络和系统中出现的各种访问活动进行监视和记录，通过日志分析和应用活动检测等手段来审查资源的受访情况是否符合安全策略的设定，同时审计也是发现和追踪安全事件的重要措施，是事后追踪处理的依据。针对XXXXXX我们采用“统一规划、分步实施”的原则。分步实施第一步“防护”使用防火墙将网站服务器区域与其他网络区域进行隔离保护，限制对外服务端口，授权对网站服务器的访问；使用防病毒系统保护网络系统免受病毒、木马的侵袭，分步实施第二步“检测、响应”使用IDS/IPS实时检测、阻断对网站服务器的各类扫描探测、DDOS攻击行为使用IDS/IPS实时检测、清除对网站服务器传输的蠕虫、木马、后门程序等使用IDS/IPS实时检测、阻断CGI、Unicode、SQL注入、跨站脚本等代码类攻击。分步实施第三步“反制、恢复、预警” 使用网页防篡改系统实时监控网站网页，对异常网页变动进行即时恢复；所有网络设备、网络安全设备及网站服务器都应进行日志记录，并使用专用安全日志审计系统收集、存储、分析日志记录；安全日志记录的存储周期，根据实际情况，建议保留3-6个月，便于日后追踪、取证。定期使用漏洞扫描系统检查网站系统、网络设备是否存在安全漏洞；及时对操作系统、应用系统进行补丁升级；防火墙子系统防火墙作用l 通过防火墙连接，对不同安全区域进行隔离。可以达到保护脆弱的服务、控制对各个服务器的访问，防止非法使用数据和策略执行等功能。这样在外部网络接入时，全部通信都受到防火墙的监控，通过防护墙的策略可以设置成相应的保护级别，以保证系统的安全。l 过滤网络中不必要传输的垃圾数据。防火墙是一种网关型的设备，各个区域之间的通信，可以通过防火墙的添加，保障如果在其上添加一些策略，就可以过滤掉部分无用的信息，只要网络中传输必要的应用数据。如：在网络中，拒绝对的FTP访问，可以在防火墙中直接加载限制策略，使对的FTP访问数据无法通过防火墙，达到过滤网络中不必要传输垃圾数据的目的。l 通过防火墙的流量控制，调整链路的带宽利用。同样由于防火墙是一种网关型的设备，而且防火墙具有流量控制的特性，可以依据应用来限制流量，来调整链路的带宽利用如：在网络中，有FTP的访问、Web访问等等，可以在防火墙中直接加载控制策略，使FTP访问、Web访问按照预定的带宽进行数据交换。实现流量控制，调整链路带宽利用的功能。l 通过防火墙的保护，提高系统的安全性。使得各个服务器区不受到黑客的攻击，黑客无法通过防火墙进行扫描、攻击等非法动作。防火墙可防止黑客通过外部网对重要服务器的TCP/UDP的端口非法扫描，消除系统安全的隐患。可防止黑客通过外部网对重要服务器的源路由攻击、IP碎片包攻击、DNS / RIP / ICMP攻击、SYN攻击、拒绝服务攻击等多种攻击。l 如果加装日志、审计服务器，可以进一步加强网络的可控性。对于防火墙自身来说，日志的导出、计费服务器的安装，可以使得每台防火墙来往的数据访问的目的加以统计，为优化网络提供必要的数据，计费服务器可以完成，每个不同的源访问的流量的统计，可以了解到每个源的流量是否在正常范围内，等等。这样的数据对于网络安全是十分重要的。l 提供病毒防火的网络安全基础设施。防火墙既然可以通过联动实现攻击的阻断，同样可以通过联动实现病毒传输的阻断，而且病毒联动已经成为现实。在骨干网与下属单位连接连路上添加防火墙，等于在该链路上安装了一个病毒联动的控制机构（网关）。所以，安装防火墙的同时，也提供病毒防火的网络安全基础设施。l 高性能的应用层控制。防火墙提供应用级透明代理，可以对高层应用（HTTP、FTP、SMTP、POP3、NNTP）做了更详细控制，如HTTP命令（GET，POST，HEAD）及URL，FTP命令（GEI，PUT）及文件控制。防火墙功能l 平台支持：采用专用硬件平台与专用的安全操作系统l 基于会话检测的防火墙实现机制：采用基于操作系统内核的会话检测技术l 硬件上支持对接口的灵活扩展，可以通过灵活的扩展来适应业务发展的需要，从而保护投资。l 应用代理：具有透明应用代理功能，支持FTP、HTTP、TELNET、PING、SSH、FTPDATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSECISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-（S、M、R）、RADIUS-1645、PPTP、SQLNET1521、SQLNET1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID（TCP、UDP）PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议命令级的控制，实现对文件级的过滤。l 支持众多网络通信协议和应用协议：如DHCP 、VLAN 、ADSL 、ISL 、802.1Q 、Spanning tree 、NETBEUI 、IPSEC 、H.323 、MMS 等，保证用户的网络应用，方便用户扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。l 支持交换机主干链路：防火墙的物理接口实现了D0t1q封装格式，能够同交换机的Trunk接口对接，实现了Vlan间路由的功能，保证了防火墙对于各种网络环境的易接入性。l 地址转换：采用双向网络地址转换（双向NAT）技术，支持静态NAT及动态NAT（IP POOL），并能够实现一对一、一对多的地址映射；l 支持多种身份认证：如OTP 、RADIUS 、S/KEY 、SECUREID 、TACACS/TACACS+、口令方式、数字证书（CA ），更好更广泛的实现了用户鉴别和访问控制。l 地址绑定：实现IP地址与MAC地址捆绑，防止IP地址非法盗用；l 安全服务器（SSN）保护：具有对公开服务器保护功能，一旦服务器内容被非法篡改，可以进行快速恢复l 源、目地址路由功能：根据通讯的源地址和目标地址来做出路由选择，适应有多个网络出口的环境。l 多层次分布式带宽管理（QoS）：可以实现带宽分层、带宽分级、带宽分配、带宽优化等管理，优化网络资源的应用，提高网络资源应用效率。l 防御功能：可防TCP、UDP等端口扫描；防源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN攻击； 抗DOS、DDOS攻击；可阻止ActiveX、Java、Javascript入侵。l 防火墙支持TopsecManager与SAS：支持TopsecManager综合管理系统，支持TopSEC安全审计系统；l 实时监控：实时察看防火墙主机的当前负载情况，包括内存的使用情况和连接状况等。l 防火墙支持多种工作模式：支持路由模式、透明（桥接）模式（防火墙可不配地址）、混合模式（路由与透明两种模式同时工作）l 管理功能：面向基于对象的管理配置方式；支持GUI集中管理及命令行管理方式；支持本地管理、远程管理和集中管理；支持基于SSH 的远程登陆管理和基于SSL 的GUI 方式管理；支持SNMP集中管理与监控，并与当前通用的网络管理平台兼容，如HP Openview ，方便管理和维护。l 深层日志及灵活、强大审计分析功能：审计日志包括如下几个部分：日志会话、日志命令。日志会话也就是传统的防火墙日志，负责记录通讯时间、源地址、目的地址、源端口、目的端口、字节数、是否允许通过。日志会话信息用来进行流量分析已经足够，但是用来进行安全性分析还远远不够；应用层日志命令在日志会话的基础之上记录下各个应用层命令及其参数，比如HTTP 请求及其要取的网页名；访问日志则是在应用层命令日志的基础之上记录下用户对网络资源的访问，它和应用层日志命令的区别是：应用层日志命令可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP 协议，日志会话只记录下读、写文件的动作；日志命令则是在访问日志的基础之上，记录如用户发送的邮件，用户取下的网页等。支持日志的自动导出与自动分析。支持防火墙配置文件的导入与导出（防火墙配置文件信息的备份与恢复）；l 非协议支持：支持对非IP 协议IPX/NetBEUI 的传输与控制。防病毒子系统过滤网关系统过滤网关采取了一个与单机防护不同的基于网络的病毒防护方案。它被设计成安装在网络的边缘，在病毒侵入网络之前实时的阻止它们，并且没有传统解决方案通常都有的延时。过滤网关具有真正的即插即用能力，非常易于管理和安装。并且还可以和防火墙更加紧密地集成。过滤网关作用过滤网关与其他病毒模块协调工作，共同实现XXXXXX网整体的病毒防护体系，其主要功能特点有：高性能的流扫描过滤网关采用流扫描技术来获得很高的吞吐率，同时大大减少网络延迟和超时。流扫描技术在收到文件的一部分时就开始扫描，大大减少总的处理时间。下面这个例子演示了流扫描技术怎样处理一个zip文件。在此例中，zip文件顺序包含5个文件，F1到F5。 扫描引擎在检测到这个流的时候就开始扫描，并且发现它是一个zip文件。引擎查找流中的F1文件的开始处并开始解压。 解压出来的部分文件被送到病毒检测引擎。随着扫描引擎收到F1的其余部分，引擎将对F1的其余部分进行实时解压并进行实时扫描。病毒检测引擎发现F1的这部分没有病毒，这部分数据被重新压缩、输出。 当扫描引擎收到F1的最后一部分时，这一部分被解压，扫描，重新压缩，输出。这就意味着当收到F1的最后一部分的时候，额外需要的时间就是解压，扫描，重新压缩F1的最后一部分，而不是整个文件。对于F2到F5引擎将重复以上步骤。但是在传统的使用随机存取算法的防病毒系统中，只有当整个zip文件都被收到的时候才开始扫描，总的扫描时间比较长（如图5.5.5b）。图5.5.5b 随机存取的扫描算法（传统的解决方案）图5.5.5c 流扫描技术透明扫描大多数传统的解决方案工作在OSI的应用层，以代理的方式截获数据进行扫描：客户机首先连接到防病毒网关，防病毒网关再连接到真正的服务器，转发并扫描通过的数据流，这种方法丢失了很多有用的客户端及服务器的信息。邮件服务器往往需要知道客户机的地址来决定是否允许客户端通过它发送邮件，特别是现在的垃圾邮件实在是泛滥成灾，这一点尤其重要。过滤网关工作在3-7层，它能够完整地保留这些信息，使企业的网络更安全。主要网络协议防病毒保护 过滤网关是现在为数不多的能处理所有主要网络协议的防病毒网关产品之一，它能处理以下协议：SMTP、POP3、HTTP、FTP和IMAP。管理员还可以针对每个协议设置高级选项，例如：可以选择清除病毒、删除文件、隔离病毒或是记录日志的方式来处理病毒。而且还可以在相应的协议中设置一些附加功能，如对关键字的过滤，对特定文件类型的扫描和过滤等功能。灵活的部署方案过滤网关提供灵活的部署方案，根据客户的需要，它可以被部署在网络的任何地方。首先，网关是最合理和有效的部署位置，它可以从公司网络的入口处直接封堵住病毒；第二，可以将它部署在邮件服务器之间，分担网络负载；第三，可以将它部署在每个需要保护的网段中，分别进行病毒的扫描和防护。过滤垃圾邮件过滤网关通过检查邮件服务器的地址来过滤垃圾邮件。采用业界领先的黑名单和白名单技术，实时、准确地过滤垃圾邮件，保证公司不受垃圾邮件的干扰。入侵防御子系统部署入侵检测的意义随着网络技术的广泛应用，网络为我们的工作和生活提供了便利，但同时网络环境中的各种安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游）等极大地困扰着用户，尤其是混合威胁，给企业的信息网络造成严重的破坏。能否及时发现并实时成功阻断网络中的各种入侵威胁、保证计算机和网络系统的安全正常运行已经成为各个企业所面临的重要问题。面对这些问题，传统安全产品以访问控制为主的防火墙、旁路部署的IDS等产品已经无法独立应对。入侵防御提供主动、实时的防护，具备对2到7层网络的线速、深度检测防御能力；同时配合以精心研究、及时更新的攻击特征库，既可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络架构的防护、网络性能的保护和核心应用的保障。入侵防御的作用对于XXXXXX网络系统安全体系而言，必须建立一个实时、主动的网络架构防护能力，对对外服务器和办公内网进行实时防护，为网络设备的漏洞提供虚拟补丁；具有流量管理功能，对可能出现的异常流量，提供抗拒绝服务攻击功能。管理和降低网络安全风险，保证网络安全防护能力能够不断增强，最终能够安全地保护业务网络系统。入侵防御的功能强大的抗DOS/DDOS攻击能力； 准确的蠕虫、后门、木马、漏洞、间谍软件、Web攻击防御能力繁多的垃圾应用、流行P2P/IM、热门游戏的过滤控制能力；智能的VIDP功能：针对不同的网络环境和安全需求，制定不同的防御规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象，执行不同策略的智能化入侵防御优异的产品性能：可提供64字节小包线速性能，可支持最高达4GB的网络环境人性化的UI管理系统：提供快捷方便的本地管理、分布式管理功能；支持上百台设备的集中管理专业的芯片级硬件高可靠性保证体系ByPass、HA，保证用户业务的不间断正常运行丰富的报表分析统计功能：提供多种攻击检测、阻断、报警等信息的报表统计功能。入侵检测子系统通常通过防火墙进行网络安全防范。从理论上分，防火墙可以说是第一层安全防范手段，通常安装在网络入口来保护来自外部的攻击。其主要防范原理为基于TCP/IP的IP地址和及端口进行过滤、限制。由于防火墙本身为穿透型（所有数据流需要经过防火墙才能到达目的地），因此为了提高其过滤、转发效率，通常不会对每个数据报文或者数据流进行过多的、细致地分析、检查。但是恰恰很多符合防火墙的TCP/IP过滤安全策略的数据流或者报文中参杂着恶意的攻击企图。虽然目前一些防火墙增强了对于应用层内容分析的功能，但是考虑其因分析、处理应用层内容而导致的网络延迟的增加，因此从其实际应用角度来说，存在一些局限性。但是网络入侵检测系统由于其以被动模式部署到现有网络中，因此可以在不影响网络结构及网络性能的情况下，执行各种复杂的应用层分析工作。因此可以成为防火墙有效的扩展。同时通过与防火墙的联动，可以实现整体的安全防范体系。入侵检测系统部署的意义在基于TCP/IP的网络中，普遍存在遭受攻击的风险。除了恶意的攻击外，非恶意目的发起的攻击也是非常重要的一部分。有效的入侵检测系统可以同时检测内部和外部威胁。入侵检测系统的目的是检测恶意和非预期的数据和行为（如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务）。一旦入侵被检测到，会引发某种响应（如断开攻击者连接、通知操作员、自动停止或减轻攻击、跟踪攻击来源或适当地反攻击）。利用防火墙技术，经过精心的配置，通常能够在内外网之间提供安全的网络保护，降低网络安全风险。但是，存在着一些防火墙等其它安全设备所不能防范的安全威胁，这就需要入侵检测系统提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等，来保护运营商局域网的安全。入侵检测是防火墙等其它安全措施的补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时检测。除了入侵检测技术能够保障系统安全之外，下面几点也是使用入侵检测的原因：（1） 计算机安全管理的基本目标是规范单个用户的行为以保护信息系统免受安全问题的困扰。入侵检测系统可以发现已有的威胁，并对攻击者进行惩罚，有助于上述目标的实现，并对那些试图违反安全策略的人造成威慑。（2） 入侵检测可以检测其它安全手段无法防止的问题。攻击者使用越来越容易得到的攻击技术，能够对大量系统进行非授权的访问，尤其是连接到运营商局域网的系统，而当这些系统具有已知漏洞的时候这种攻击更容易发生。尽管开发商和管理员试图将漏洞带来的威胁降到最低程度，但是很多情况下这是不能避免的：l 很多系统的操作系统不能得到及时的更新l 有的系统虽然可以及时得到补丁程序，但是管理员没有时间或者资源进行系统更新，这个问题很普遍，特别是在那些具有大量主机或多种类型的软硬件的环境中。l 正常工作可能需要开启网络服务，而这些协议是具有漏洞，容易被攻击的。l 用户和管理员在配置和使用系统时可能犯错误。l 在进行系统访问控制机制设置时可能产生矛盾，而这将造成合法用户逾越他们权限的错误操作。（3） 当黑客攻击一个系统时，他们总是按照一定的步骤进行。首先是对系统或网络的探测和分析，如果一个系统没有配置入侵检测，攻击者可以自由的进行探测而不被发现，这样很容易找到最佳攻入点。如果同样的系统配置了入侵检测，则会对攻击者的行动带来一定难度，它可以识别可疑探测行为，阻止攻击者对目标系统的访问，或者对安全人员报警以便采取响应措施阻止攻击者的下一步行动。（4） 入侵检测证实并且详细记录内部和外部的威胁，在制定网络安全管理方案时，通常需要证实网络很可能或者正在受到攻击。此外，攻击的频率和特征有助于选择保护网络免受相应攻击的安全手段。（5） 在入侵检测运行了一段时间后，系统使用模式和检测问题变得明显，这会使系统的安全设计与管理的问题暴露出来，在还没有造成损失的时候进行纠正。（6） 即使当入侵检测不能阻止攻击时，它仍可以收集该攻击的可信的详细信息进行事件处理和恢复，此外，这些信息在某些情况下可以作为犯罪的佐证。总之，入侵检测的根本意义在于发现网络中的异常。管理人员需要了解网络中正在发生的各种活动，需要在攻击到来之前发现攻击行为，需要识别异常行为，需要有效的工具进行针对攻击行为以及异常的实时和事后分析。“知情权是网络安全的关键”，这使得入侵检测成为其它许多安全手段，如审计系统、安全网管系统的基础。入侵检测的作用对于网络系统安全体系而言，必须建立一个智能化的实时攻击识别和响应系统，管理和降低网络安全风险，保证网络安全防护能力能够不断增强，最终能够安全地保护业务网络系统。网络入侵检测系统应能满足以下要求：l 能在网络环境下实现实时地分布协同地入侵检测，全面检测可能的入侵行为。能及时识别各种黑客攻击行为，发现攻击时，能详细记录，生成入侵检测报告，及时向管理员报警。l 能够支持大规模并行检测，能够方便地对大的网络同时执行多个检测；l 所采用的入侵检测产品和技术不能被绕过或旁路。l 检测和扫描行为不能影响正常的网络连接服务和网络的效率。l 检测的特征库要全面并能够及时更新。l 安全检测策略可由用户自行设定，对检测强度和