某电力公司网络安全技术规范书.doc

1 59 5 1 附件附件 1 华能电力华能电力网络安全网络安全 项目技术规范书项目技术规范书 2 59 华能电力网络安全解决方案华能电力网络安全解决方案 1 1 背景介绍背景介绍 3 1 1 项目总述 3 1 2 网络环境总述 3 1 3 信息安全方案的组成 4 1 3 1 信息安全产品的选型原则 4 1 3 2 网络安全现状 5 1 3 3 典型的黑客攻击 5 1 3 4 网络与信息安全平台的任务 7 1 3 5 网络安全解决方案的组成 7 1 3 6 超高安全要求下的网络保护 9 2 安全架构分析与设计安全架构分析与设计 11 2 1 网络整体结构 11 2 2 集中管理和分级管理 12 2 3 华能电力网络安全系统管理中心网络 13 2 4 各地方公司和电厂网络设计 13 2 5 和 INTERNET相连的外部网络设计 14 3 产品选型产品选型 15 3 1 防火墙的选型 15 3 1 1 方正数码公司简介 15 3 1 2 产品概述 16 3 1 3 系统特点 16 3 1 4 方正方御防火墙功能说明 20 3 2 入侵检测产品选型 27 3 2 1 启明星辰公司介绍 28 3 2 2 入侵检测系统介绍 28 3 2 3 天阗 tian 黑客入侵检测系统功能特点 29 3 3 防病毒产品的选型 31 3 3 1 病毒介绍 31 3 3 2 为何使用 CA 公司的 Kill2000 网络防病毒 35 3 3 3 KILL 的技术和优势 36 3 3 4 KILL 与其他同类产品的比较的相对优势 38 3 3 5 KILL 所获得的权威机构认证 39 3 3 6 KILL 病毒防护系统部署方案 39 4 工程实施方案工程实施方案 42 4 1 测试及验收 42 4 1 1 测试及验收描述 42 3 59 4 2 系统初验 42 4 2 1 功能测试 42 4 2 2 性能测试 43 5 售后服务和技术支持售后服务和技术支持 43 5 1 为华能电力网络提供安全评估 43 5 2 售后服务内容 44 5 3 保修 45 5 4 保修方式 45 5 5 保修范围 46 5 6 保修期的确认 46 5 7 培训安排 47 5 8 全国服务网络 48 5 9 场地及环境准备 48 5 9 1 常规要求 48 5 9 2 机房电源 地线及同步要求 48 5 9 3 设备场地 通信 49 5 9 4 机房环境 49 5 10 验收清单 50 5 10 1 设备开箱验收清单 50 5 10 2 用户信息清单 51 5 10 3 用户验收清单 52 6 方案整体优势方案整体优势 52 7 方正方御防火墙荣誉证书方正方御防火墙荣誉证书 54 附录一 北京威通网讯网络技术有限公司介绍附录一 北京威通网讯网络技术有限公司介绍 4 59 1 背景介绍背景介绍 1 1 项目总述项目总述 本项目是华能国际电力股份有限公司为其内网及下属电厂作网络安全保护 中的防火墙选型和实施部分 关于入侵检测系统和防病毒系统 我们建议使用启 明星辰的天阗黑客入侵检测与预警系统和冠群金辰的 kill 网络防病毒系统 华 能国际电力股份有限公司网络整体结构是 个通过 WAN 连接的二级网络 整 个网络分为内网和外网两个网 内外网之间物理隔离 网络中心与下属 15 个电 厂通过网络进行数据传输 在网络每一级的节点上具有一个局域网 在二级网 络上运行着电力业务系统 办公自动化服务等 1 2 网络环境总述网络环境总述 华能电力网络安全系统是非涉密的内部业务工作处理网络 传输 处理 查询工作中非涉密的信息 该网由与网络中心和 15 个电厂单位组成 在给地方 局域网出入口安装防火墙 在关键部位安放入侵检测系统 而且所有的服务器 和普通 PC 机需要安装防病毒软件 而且这些防火墙和入侵检测系统需要集中 在数据中心进行管理和审计 1 3 信息安全方案的组成信息安全方案的组成 1 3 1 1 3 1 信息安全产品的选型原则信息安全产品的选型原则 华能电力网络安全系统是一个要求高可靠性和安全性的网络系统 若干重 要的公文信息在网络传输过程中不可泄露 如果数据被黑客修改或者删除 那 么就会严重的影响工作 所以华能电力网络安全系统安全产品的选型事关重大 要提到国家战略的高度来衡量 否则一旦被黑客或者敌国攻入 其代价将是不 能想象的 华能电力网络安全系统网络安全系统方案必须遵循如下原则 全局性原则 安全威胁来自最薄弱的环节 必须从全局出发规 5 59 划安全系统 华能电力网络安全系统安全体系 遵循中心统一规划 各 电厂分别实施的原则 综合性原则 网络安全不单靠技术措施 必须结合管理 当前 我国发生的网络安全问题中 管理问题占相当大的比例 在各地方建立 网络安全设施体系的同时必须建立相应的制度和管理体系 均衡性原则 安全措施的实施必须以根据安全级别和经费限度 统一考虑 网络中相同安全级别的保密强度要一致 节约性原则 整体方案的设计应该尽可能的不改变原来网络的 设备和环境 以免资源的浪费和重复投资 集中性原则 所有的防火墙产品要求在数据中心可以进行集中 管理 这样才能保证在数据中心的服务器上可以掌握全局 角色化原则 防火墙产品在管理上面不仅在数据中心可以完全 控制外 在地方还需要分配适当的角色使地方可以在自己的权利下修改 和查看防火墙策略和审计 目前 很多公开的新闻表明美国国家安全局 NSA 有可能在许多美国大 软件公司的产品中安装 后门 其中包括一些应用广泛的操作系统 为此德国 军方前些时候甚至规定在所有牵涉到机密的计算机里 不得使用美国的操作系 统 作为信息安全的保障 我们在安全产品选型时强烈建议使用国内自主开发 的优秀的网络安全产品 将安全风险降至最低 在为各安全产品选型时 我们立足国内 同时保证所选产品的先进性及可 靠性 并要求通过国家各主要安全测评认证 1 3 2 1 3 2 网络安全现状网络安全现状 Internet 正在越来越多地融入到社会的各个方面 一方面 随着网络用户成 分越来越多样化 出于各种目的的网络入侵和攻击越来越频繁 另一方面 随 着 Internet 和以电子商务为代表的网络应用的日益发展 Internet 越来越深地渗 透到各行各业的关键要害领域 Internet 的安全包括其上的信息数据安全 日益 成为与政府 军队 企业 个人的利益休戚相关的 大事情 尤其对于政府和 军队而言 如果网络安全问题不能得到妥善的解决 将会对国家安全带来严重 6 59 的威胁 2000 年二月 在三天的时间里 黑客使美国数家顶级互联网站 Yahoo Amazon eBay CNN 陷入瘫痪 造成了十几亿美元的损失 令美 国上下如临大敌 黑客使用了 DDoS 分布式拒绝服务 的攻击手段 用大量 无用信息阻塞网站的服务器 使其不能提供正常服务 在随后的不到一个月的 时间里 又先后有微软 ZDNet 和 E TRADE 等著名网站遭受攻击 国内网站也未能幸免于难 新浪 当当书店 EC123 等知名网站也先后受 到黑客攻击 国内第一家大型网上连锁商城 IT163 网站 3 月 6 日开始运营 然 而仅四天 该商城突遭网上黑客袭击 界面文件全部被删除 各种数据库遭到 不同程度的破坏 致使网站无法运作 客观地说 没有任何一个网络能够免受安全的困扰 依据 Financial Times 曾做过的统计 平均每 20 秒钟就有一个网络遭到入侵 仅在美国 每年由于网 络安全问题造成的经济损失就超过 100 亿美元 1 3 3 1 3 3 典型的黑客攻击典型的黑客攻击 黑客们进行网络攻击的目的各种各样 有的是出于政治目的 有的是员工 内部破坏 还有的是出于好奇或者满足自己的虚荣心 随着 Internet 的高速发 展 也出现了有明确军事目的的军方黑客组织 在典型的网络攻击中 黑客一般会采取如下的步骤 自我隐藏自我隐藏 黑客使用通过 rsh 或 telnet 在以前攻克的主机上跳转 通过错误 配置的 proxy 主机跳转等各种技术来隐藏他们的 IP 地址 更高级一点的黑客 精通利用电话交换侵入主机 网络侦探和信息收集网络侦探和信息收集 在利用 Internet 开始对目标网络进行攻击前 典型 的黑客将会对网络的外部主机进行一些初步的探测 黑客通常在查找其他弱点 之前首先试图收集网络结构本身的信息 通过查看上面查询来的结果列表 通 常很容易建立一个主机列表并且开始了解主机之间的联系 黑客在这个阶段使 用一些简单的命令来获得外部和内部主机的名称 例如 使用 nslookup 来执行 ls finger 外部主机上的用户等 确认信任的网络组成确认信任的网络组成 一般而言 网络中的主控主机都会受到良好的安全 7 59 保护 黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击 的 一个网络信任成员往往是主控主机或者被认为是安全的主机 黑客通常通 过检查运行 nfsd 或 mountd 的那些主机输出的 NFS 开始入侵 有时候一些重要 目录 例如 etc home 能被一个信任主机 mount 确认网络组成的弱点确认网络组成的弱点 如果一个黑客能建立你的外部和内部主机列表 他 就可以用扫描程序 如 ADMhack mscan nmap 等 来扫描一些特定的远程弱点 启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运 行 因为 ps 和 netstat 都被特洛伊化来隐藏扫描程序 在对外部主机扫描之后 黑客就会对主机是否易受攻击或安全有一个正确的判断 有效利用网络组成的弱点有效利用网络组成的弱点 当黑客确认了一些被信任的外部主机 并且同 时确认了一些在外部主机上的弱点 他们就要尝试攻克主机了 黑客将攻击一 个被信任的外部主机 用它作为发动攻击内部网络的据点 要攻击大多数的网 络组成 黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序 这样的例子包括易受攻击的 Sendmail IMAP POP3 和诸如 statd mountd pcnfsd 等 RPC 服务 获得对有弱点的网络组成的访问权获得对有弱点的网络组成的访问权 在攻克了一个服务程序后 黑客就要 开始清除他在记录文件中所留下的痕迹 然后留下作后门的二进制文件 使其 以后可以不被发觉地访问该主机 目前 黑客的主要攻击方式有 欺骗 通过伪造 IP 地址或者盗用用户帐号等方法来获得对系统的非授权使 用 例如盗用拨号帐号 窃听 利用以太网广播的特性 使用监听程序来截获通过网络的数据包 对信息进行过滤和分析后得到有用的信息 例如使用 sniffer 程序窃听用户密码 数据窃取 在信息的共享和传递过程中 对信息进行非法的复制 例如 非法拷贝网站数据库内重要的商业信息 盗取网站用户的个人信息等 数据篡改 在信息的共享和传递过程中 对信息进行非法的修改 例如 删除系统内的重要文件 破坏网站数据库等 拒绝服务 使用大量无意义的服务请求来占用系统的网络带宽 CPU 处理 8 59 能力和 IO 能力 造成系统瘫痪 无法对外提供服务 典型的例子就是 2000 年 年初黑客对 Yahoo 等大型网站的攻击 黑客的攻击往往造成重要数据丢失 敏感信息被窃取 主机资源被利用和 网络瘫痪等严重后果 如果是对军用和政府网络的攻击 还会对国家安全造成 严重威胁 1 3 4 1 3 4 网络与信息安全平台的任务网络与信息安全平台的任务 网络与信息安全平台的任务就是创建一个完善的安全防护体系 对所有非 法网络行为 如越权访问 病毒传播 恶意破坏等等 做到事前预防 事中报 警并阻止 事后能有效的将系统恢复 在上文对黑客行为的描述中 我们可以看出 网络上任何一个安全漏洞都 会给黑客以可乘之机 著名的木桶原理 木桶的容量由其最短的木板决定 在 网络安全里尤其适用 所以 我们的方案必须是一个完整的网络安全解决方案 对网络安全的每一个环节 都要有仔细的考虑 1 3 5 1 3 5 网络安全解决方案的组成网络安全解决方案的组成 针对前文对黑客入侵的过程的描述 为了更为有效的保证网络安全 方正 数码提出了两个理念 立体安全防护体系立体安全防护体系和安全服务支持安全服务支持 首先网络的安全决 不仅仅是一个防火墙 它应是包括入侵测检 IDS 防病毒等功能在内的立体 的安全防护体系 其次真正的网络安全一定要配备完善的高质量的安全维护服 务 以使安全产品充分发挥出其真正的安全效力 一个好的网络安全解决方案应该由如下几个部分组成 防火墙 对网络攻击的阻隔防火墙 对网络攻击的阻隔 防火墙是保证网络安全的重要屏障 防火墙根据网络流的来源和访问的目 标 对网络流进行限制 允许合法网络流 并禁止非法网络流 防火墙最大的 意义在网络边界处提供统一的安全策略 有效的将复杂的网络安全问题简化 大大降低管理成本和潜在风险 在应用防火墙技术时 正确的划分网络边界和 制定完善的安全策略是至关重要的 发展到今天 好的防火墙往往集成了其他一些安全功能 比如方正方御防 9 59 火墙在很好的实现了防火墙功能的同时 也实现了下面所说的入侵检测功能 入侵检测 入侵检测 IDS 对攻击试探的预警对攻击试探的预警 当黑客试探攻击时 大多采用一些已知的攻击方法来试探 网络安全漏洞 扫描器是 先敌发现 未雨绸缪 而从另外一个角度考虑问题 实时监测 发现黑客攻击的企图 对于网络安全来说也是非常有意义的 甚至由此派生出 了 P 2DR 理论 入侵检测系统通过扫描网络流里的特征字段 网络入侵检测 或者探测系 统的异常行为 主机入侵检测 来发觉这类攻击的存在 一旦被发现 则报警 并作出相应处理 同时可以根据预定的措施自动反应 比如暂时封掉发起该扫 描的 IP 需要注意的是 入侵检测系统目前不能 以后也很难 精确的发现黑客的 攻击痕迹 事实上 黑客可以将一些广为人知的网络攻击进行一些较为复杂的 变形 就能做到没有入侵检测系统能够识别出来 所以 在应用入侵检测系统 时 千万不要因为有了入侵检测系统 就不对系统中的安全隐患进行及时补救 安全审计管理安全审计管理 安全审计系统必须实时监测网络上和用户系统中发生的各类与安全有关的 事件 如网络入侵 内部资料窃取 泄密行为 破坏行为 违规使用等 将这 些情况真实记录 并能对于严重的违规行为进行阻断 安全审计系统所做的记 录如同飞机上的黑匣子 在发生网络犯罪案件时能够提供宝贵的侦破和取证辅 助数据 并具有防销毁和篡改的特性 安全审计跟踪机制的内容是在安全审计跟踪中记录有关安全的信息 而安 全审计管理的内容是分析和报告从安全审计跟踪中得来的信息 安全审计跟踪 将考虑要选择记录什么信息以及在什么条件下记录信息 收集审计跟踪的信息 通过列举被记录的安全事件的类别 例如对安全要 求的明显违反或成功操作的完成 能适应各种不同的需要 已知安全审计的存 在可对某些潜在的侵犯安全的攻击源起到威摄作用 防病毒以及特洛伊木马防病毒以及特洛伊木马 10 59 计算机病毒的危害不言而喻 计算机病毒发展到今天 已经和特洛伊木马 结合起来 成为黑客的又一利器 微软的原码失窃案 据信 就是一黑客使用 特洛伊木马所为 安全策略的实施保证安全策略的实施保证 网络安全知识的普及 网络安全策略的严格执行 是网络安全最重要的保 障 此外 信息备份是信息安全的最起码的要求 能减少恶意网络攻击或者意 外灾害带来的破坏性损失 1 3 6 1 3 6 超高安全要求下的网络保护超高安全要求下的网络保护 对于华能电力网络安全系统数据中心安全而言 安全性需求就更加的高 属于超高安全要求下的网络保护范围 因此需要在这些地方使用 2 台防火墙进 行双机热备 以保证数据稳定传输 1 3 6 1 认证与授权认证与授权 认证与授权是一切网络安全的根基所在 尤其在网络安全管理 外部网络 访问内部网络 包括拨号 时 要有非常严格的认证与授权机制 防止黑客假 冒身份渗透进内部网络 对于内部访问 也要有完善的网络行为审计记录和权限限定 防止由内部 人员发起的攻击 70 以上的攻击都是内部人员发起的 我们建议华能电力网络安全系统利用基于 X 509 证书的认证体系 目前最 强的认证体系 来进行认证 方正方御防火墙管理也是用 X 509 证书进行认证的 1 1 1 1 网络隔离网络隔离 网络安全界的一个玩笑就是 要想安全 就不要插上网线 这是一个简单 的原理 如果网络是隔离开的 那么网络攻击就失去了其存在的介质 皮之不 存 毛将焉附 11 59 但对于需要和外界沟通的实际应用系统来说 完全的物理隔离是行不通的 方正数码提出了安全数据通道安全数据通道网络隔离解决方案 在网络连通条件下 通 过破坏网络攻击得以进行的另外两个重要条件 从外部网络向内部网络发起连接 将可执行指令传送到内部网络 从而确保华能电力网络安全系统的安全 1 1 1 2 实施保证实施保证 华能电力网络安全系统牵涉网点众多 网络结构复杂 要保护这样一个繁 杂的网络系统的网络安全 必须有完善的管理保证 安全系统要能够提供统一 的集中的灵活的管理机制 一方面要能让华能电力网络安全系统网控中心的网 管人员监控整体网络安全状况 另外一方面 要能让地方网管人员灵活处理具 体事务 方正方御防火墙采用基于 Windows GUI 的用户界面进行远程集中式管理 配置管理界面直观 易于操作 可以通过一个控制机对多台方正方御防火墙进 行集中式的管理 方正方御防火墙符合国家最新防火墙安全标准 采用了三级权限机制 分 为管理员 策略员和审计员 管理员负责防火墙的开关及日常维护 策略员负 责配置防火墙的包过滤和入侵检测规则 审计员负责日志的管理和审计中的授 权机制 这样他们共同地负责起一个安全的管理平台 事实上 方御防火墙是 通过该标准认证的第一个包过滤防火墙 另外 方正方御防火墙还提供了原标准中没有强制执行的实施域分组授权 机制 尤其适合于华能电力网络安全系统这样的大型网络 2 安全架构分析与设计安全架构分析与设计 逻辑上 华能电力网络安全系统将划分为三个区域 数据中心 局域网用 户和外网 其中每一个局域网节点划分为内部操作 控制 区 信息共享区两个网段 12 59 网段之间设置安全隔离区 每一个网段必须能够构成一个独立的 完整的 安 全的 可靠的系统 2 1 网络整体结构网络整体结构 华能电力网络安全系统需要涉及若干电力部门 各地方的网络通过专用网 连接起来 网络安全通过防火墙设备和入侵检测设备实现 网络整体结构如下图所示 SiSi 财务服务器部门服务器OA服务器 网管服务器 安全产品控制台 SiSi SiSi SiSi 入侵检测 系统 DDN FR 广域网连接各 分公司和电厂 SiSi SiSi 防病毒 域服务器 主服务器 IBM 8265 IBM 8265 IBM 8277 IBM 8277 IBM 8277 IBM 8277 IBM 8277 IBM 2216 网络整体结构示意图 2 2 集中管理和分级管理集中管理和分级管理 由于华能电力网络安全系统涉及的网络安全设备繁多 因此在管理上面需 要既能集中管理 又可以在本地进行审计管理 日志查询等操作 而用户的权 限机制分配必须通过网络管理中心统一分配和管理 需要集中管理的网络设备包括防火墙设备 入侵检测设备和防病毒软件 在华能电力网络安全系统网络管理中心需要对各公司 电厂的网络安全设备进 13 59 行集中管理 分析华能电力网络安全系统的特点和需求 方正方御防火墙的集中管理功 能和权限管理机制完全可以满足这些需求 方正方御防火墙采用基于 Windows GUI 的用户界面进行远程集中式管理 配置管理界面直观 易于操作 可以通过一个控制机对多台方正方御防火墙进 行集中式的管理 方正方御防火墙采用了三级权限机制 分为管理员 策略员和审计员 管 理员负责防火墙的开关及日常维护 策略员负责配置防火墙的包过滤和入侵检 测规则 审计员负责日志的管理和审计中的授权机制 这样他们共同的负责起 一个安全的管理平台 华能电力网络安全系统的集中管理图如下所示 DDN FR 地方公司 地方电厂 数据中心 网络控制机 入侵检测系统 入侵检测系统 入侵检测系统 网络安全产品集中管理示意图 2 3 华能电力网络安全系统管理中心网络华能电力网络安全系统管理中心网络 华能电力网络安全系统管理中心除了需要提供信息服务外 还需要对各公 14 59 司和电厂的网络设备进行集中管理 因此网络的安全性和可靠性尤其的重要 内部区放置控制服务器 数据库服务器 文件服务器 系统管理服务器等 设备 华能电力网络安全系统管理中心的网管工作站负责对给地方公司和电厂的 所有的安全产品进行集中管理和权利分配任务 而且安全产品的审计工作也都 是在网管中心进行统计和备份 2 4 各地方公司和电厂各地方公司和电厂网络设计网络设计 各地方公司和电厂的网络结构节点也同样划分为内部操作 控制 区 公 开信息区两个网段 对于这些网络我们建议使用如下方案 PSTN DDN FR 财务服务器 部门服务器OA服务器 防病毒 域服务器 入侵检测 系统 地方公司和电厂网络示意图 2 5 和和 Internet 相连的外部网络设计相连的外部网络设计 由于华能电力网络安全系统的内网和外网是物理隔离的 因此保障了内部 15 59 网络的安全同时 还需要对外部网络进行适当的安全防护 对于外网我们建议使用如下方案 入侵检测 系统 Internet PSTN 外部网络示意图 3 产品选型产品选型 3 1 防火墙的选型防火墙的选型 我们采用方正最新型方正方御防火墙 方正方御防火墙是一个很优秀的防 火墙 同时它集成强大的入侵检测功能 方正方御防火墙是国内第一个通过公 安部公共信息网络安全监督局新防火墙认证标准的包过滤级防火墙产品 同时 通过了中国人民解放军安全测评认证中心 国家保密局和中国国家信息安全测 评认证中心的严格认证 3 1 1 3 1 1 方正数码公司简介方正数码公司简介 作为方正集团互联网战略的实施者 方正数码将自身定位于电子商务的 赋能者 其业务涉及互联网与电子商务的技术研究应用与系统集成 网络市 场营销服务 空间信息应用 无线互联以及电子商务的咨询服务等方向 以帮 助政府 行业 企业 网站 电子商务的运营者在互联网时代健康成功的发展 16 59 为己任 要给电子商务运营者赋能 先要给安全赋能 方正数码首先推出的就是方 正方御互联网安全解决方案 方正方御是在经过一年多的大量投入和深入的研 究后 提出的一套基于中国国情 全部自主开发 具有领先优势的解决方案 它是一套整体的集群平台 可以解决互联网运营商最为关切的安全性 高可靠 性 可扩展性和易于远程管理的问题 目前这套方案已经得到国家有关部门的 大力支持 被国家经贸委列为国家创新计划项目之一 另外 还得到了国家 863 计划的支持 在立身自主开发外 方正数码还与众多国际知名的安全公司保持着良好的 合作关系 并集成了国内外最优秀的公司安全产品 为国内 Internet 的安全建 设保驾护航 3 1 2 3 1 2 产品概述产品概述 方御防火墙是方正方御中的主要安全产品之一 由于防火墙技术的针对性 很强 它已成为实现网络安全的重要保障之一 方御防火墙是通过对国外防火 墙产品的综合分析 针对我们国家的具体应用环境 结合国内外防火墙领域里 的最新发展 在面向 IDC 和中小企业的 FireBridge 防火墙的基础上 提出的一 种具有强大的信息分析功能 高效包过滤功能 多种反电子欺骗手段 多种安 全措施综合运用的安全可靠的专用防火墙系统 方正方御防火墙不仅仅是一个包过滤的防火墙 而且包括了大量的实用模 块 可以为用户提供多方面的服务 方御防火墙保护如下模块 17 59 包过滤防火墙 轻型 复杂 IDS 双向NAT 流量控制 Proxy 双机热备 流量统计 审计功能 集中管理 3 1 3 3 1 3 系统特点系统特点 一体化的硬件设计方正方御防火墙采用了一体化的硬件设 计 采用了自己的操作系统 无需其他操作 系统的支持 这样能够发挥硬件的最大性能 同时也提高了系统的安全性 双机热备份通过双机热备份 本系统提供可靠的容 错 热待机功能 备份防火墙服务器中存有 主防火墙服务器的设置镜像 当主防火墙因 为某些原因不能正常运作 备份服务器可以 在 12 秒钟内取代主服务器运作 充分保证 整个网络系统运作的稳定性 完善的访问控制方正方御防火墙符合国家最新防火墙安 全标准 采用了三级权限机制 分为管理员 策略员和审计员 管理员负责防火墙的开关 及日常维护 策略员负责配置防火墙的包过 滤和入侵检测规则 审计员负责日志的管理 18 59 和审计中的授权机制 这样他们共同地负责 起一个安全的管理平台 多种工作模式方正方御防火墙可以工作在网桥路由两 种模式下 这样可以方便用户使用 使用在 网桥模式时在 IP 层透明 使用路由模式时 可以作为三个区之间的路由器 同时提供内 网到外网 DMZ 到外网的网络地址转换 防御 DOS DDOS 攻击普通的防火墙都是采用限制每一网络地 址单位时间内通过的 SYN 包数量来抵御 DDOS 攻击 但是通常网络攻击者都会随机 的伪造网络地址 因此这种方法防范的效果 非常差 不能从根本上抵御 DDOS 攻击 方正方御防火墙修改了 TCP IP 堆栈的算法 使得新的 syn 连接包可以正常通过 避免了 由于大量的攻击 SYN 包造成网络的阻塞 状态检测方正方御防火墙可以根据数据包的地址 协议和端口进行访问控制 同时还对任何网 络连接和会话的当前状态进行分析和监控 传统的防火墙的包过滤只是根据规则表进行 匹配 而方正方御防火墙对每个连接 作为 一个数据流 通过规则表与连接表共同配合 来对网络状态进行控制 代理服务用户可以设置代理服务器端口来启动代 理服务器功能 而且通过设置使用代理服务 器用户帐号密码和访问控制来维护安全性 代理服务的访问控制非常的完善 可以对时 间 协议 方法 地址 DNS 域 目的端 口和 URL 来进行控制 用户完全可以通过 设置一定的条件来符合自己的要求 19 59 双向网络地址转换系统支持动态 静态 双向的 NAT 当 用户需要从内部 IP 访问 Internet 时 NAT 系统会从 IP 池里取出一个合法的 Internet IP 为该用户建立映射 如果需要在 Intranet 提供让外部访问的服务 如 WWW FTP 等 NAT 系统可以为 Intranet 里的服务器建立静态映射 外部用户可以直 接访问该服务器 双向网络地址转换为企业 用户连接到 Internet 提供了良好的网络地址 隐蔽 并且能减少 IP 占用 替用户节省费 用 提供 DMZ 区除了内部网络界面和外部网络界面 系 统还可以再增加一个网络界面 让管理员灵 活应用 如建立 DMZ 军事独立区 在其 中放置公共应用服务器 带宽管理和流量统计方正方御防火墙系统使用流量统计与控 制策略 可方便的根据网段和主机等对流量 进行统计与控制管理 用户可以通过设置源 地址到目的地址单位在时间内允许通过的流 量以及协议和端口来进行带宽控制 日志审计审计功能是方正方御防火墙非常强大的 一个部分 目前国内防火墙的审计功能都非 常不完善 方正方御防火墙提供了大量的审 计内容和对审计内容的查询功能 由于日志 可能对一般用户比较难以理解 而我们将日 志记录分成了若干部分 而其中每一部分都 可以进行查询和管理 这样用户就能对防火 墙的情况有一个非常透彻的了解 入侵检测方正方御防火墙入侵检测系统采用了可 20 59 扩展的检测库方法 目前可以抵御 1000 多 种攻击方法 而且可以通过升级检测库的方 法来不断的抵御新的攻击方法 用户还可以 自定义攻击检测库来符合自己的要求 自动报警和防范系统方正方御防火墙一旦检测到有黑客进行 攻击 会在第一时间内在控制机上进行报警 而且同时会自动封禁掉攻击者的 IP 地址 这样可以做到防火墙的防范完全自动化 而 不象普通的防火墙那样需要人工干预 基于 PKI 的授权认证方正方御防火墙的授权认证是基于 PKI 基础之上 因此完全性极高 PKI 是一种新 的安全技术 它由公开密钥密码技术 数字 证书 证书发放机构 CA 和关于公开密 钥的安全策略等基本成分共同组成的 快速安装配置方正方御防火墙的安装和配置非常方便 管理员只要设定好网络设备的 IP 地址 然 后使用系统提供的一些典型配置模板 适当 的修改一些规则来符合要求 除此以外还可 以添加系统提供的一些子模板来实现一些特 定的功能 图形管理界面用户可以通过图形界面对防火墙进行配 置和管理 而且也可以通过图形界面来管理 审计内容 而不象有些防火墙是通过命令行 方式进行配置 完全中国化的设计方正方御防火墙是由方正数码自行设计 和制作的 充分考虑了中国国情 除了界面 帮助文档 使用说明完全中文化外 还加入 了一些小型模板用户给管理员配置防火墙 集中管理方正方御防火墙采用基于 Windows GUI 21 59 的用户界面进行远程集中式管理 配置管理 界面直观 易于操作 可以通过一个控制机 对多台方正方御防火墙进行集中式的管理 3 1 4 3 1 4 方正方御防火墙功能说明方正方御防火墙功能说明 3 1 4 1 多种工作模式多种工作模式 方正方御防火墙可以工作在网桥和路由两种模式下 A 网桥模式 网桥模式 3 个端口构成一个以太网交换机 防火墙本身没有 IP 地址 在 IP 层透明 可以将任意三个物理网络连接起来构成一个互通的物理网络 当 防火墙工作在交换模式时 内网 DMZ 区和路由器的内部端口构成一个统一的 交换式物理子网 内网和 DMZ 区还可以有自己的第二级路由器 这种模式不需 要改变原有的网络拓扑结构和各主机和设备的网络设置 B 路由模式 路由模式 防火墙本身构成 3 个网络间的路由器 3 个界面分别具有 不同的 IP 地址 三个网络中的主机通过该路由进行通信 当防火墙工作在路由 模式时 可以作为三个区之间的路由器 同时提供内网到外网 DMZ 到外网的 网络地址转换 也就是说 内网和 DMZ 都可以使用保留地址 内网用户通过地 址转换访问 Internet 同时隔绝 Internet 对内网的访问 DMZ 区通过反向地址 转换对 Internet 提供服务 22 59 在没有安装方正方御防火墙的时候典型网络结构图如下在没有安装方正方御防火墙的时候典型网络结构图如下 Internet 在安装了方正方御防火墙的时候网络结构图如下在安装了方正方御防火墙的时候网络结构图如下 Internet DMZ FireGate 3 1 4 2 包过滤防火墙包过滤防火墙 方正方御防火墙包过滤的功能是对指定 IP 包进行包过滤 并且按照设定策 23 59 略对 IP 包进行统计和日志记录 主要根据 IP 包的如下信息进行过滤 源 IP 地址 目的 IP 地址 协议类型 IP ICMP TCP UDP 源 TCP UDP 端口 目的 TCP UDP 端口 ICMP 报文类型域和代码域 碎片包 其它标志位 如 SYN ACK 位 源IP地址 目的地址 协议类型 源端口 目的端口 ICMP报文类型域和代码域 碎片包 其它标志位 I In nt te er rn ne et t H Ha ac ck ke er r U Us se er r W We eb b D Da at ta aB Ba as se e 3 1 4 2 1 高效的过滤高效的过滤 有些防火墙在安装上以后对 WEB 服务器的吞吐能力影响很大 造成性能 的降低 由于方正方御防火墙采用了 3I Intelligent IP Identifying 技术 能够 实现快速匹配 因此方正方御防火墙不会对性能造成任何影响 方正方御防火墙优化了算法 使最大并发连接数可以达到 300 000 个以上 而一般的防火墙的最大并发连接只可以达到几万个左右 3 1 4 2 2 碎片处理功能碎片处理功能 由于很多系统平台 包括一些路由器对 IP 碎片的处理存在问题 容易产生 欺骗和拒绝服务等攻击 方正方御防火墙能够识别出 IP 碎片并且进行控制 这 样一来通过禁止 IP 碎片通过方正方御防火墙 防止了这样的问题的产生 24 59 3 1 4 2 3 防防 SYN Flood 攻击攻击 一些 TCP IP 栈的实现只能等待从有限数量的计算机发来的 ACK 消息 因 为他们只有有限的内存缓冲区用于创建连接 如果这一缓冲区充满了虚假连接 的初始信息 该服务器就会对接下来的连接停止响应 直到缓冲区里的连接企 图超时 典型的就是 Syn Flood 攻击 通过大量的虚假的 Syn 包使服务器速度变 慢 甚至是死机 一般的防火墙是通过限制每秒钟通过的 Syn 包数量来组织 Syn Flood 攻击 这种方法可以在一定意义上阻止 Syn Flood 攻击 但是也有可 能将正常的 Syn 包忽略掉 因此不是一种非常好的方法 方正方御防火墙使用了两种方式来反 Syn Flood 攻击 一种方法就是通过 设置单位时间内的 SYN 包数量来控制 另外一种方法修改了 TCP IP 堆栈的算 法 使得新 Syn 包始终可以获得连接位 避免了由于大量的攻击 SYN 包造成网 络的阻塞 3 1 4 2 4 强大的状态检测功能强大的状态检测功能 方正方御防火墙可以根据数据包的地址 协议和端口进行访问控制 同时 还对任何网络连接和会话的当前状态进行分析和监控 传统的防火墙的包过滤 1 没有安装方御防火墙 2 安装方御防火墙 25 59 只是与规则表进行匹配 而方正方御防火墙对每个连接 作为一个数据流 通 过规则表与连接表共同配合 在继承了传统包过滤系统对应用透明的特性外 还极大地提高了系统的性能和安全性 其他的防火墙大多采用传统的规则表的匹配方法 随着安全规则的增加 势必会使防火墙的性能大幅度的减少 造成网络拥塞 应 用 层 物 理 层 链 路 层 网网 络络 层层 传 输 层 会 话 层 表 示 层 新新建建 已已建建 相相关关 非非法法 状状态态检检测测 新新建建 已已建建 相相关关 非非法法 1 1 1 3 1 4 3 IDS 入侵检测系统入侵检测系统 3 1 4 3 1 反端口扫描反端口扫描 一般黑客如果要对一个网站发动攻击 首先都要扫描目标服务器的端口 确定服务器上开启的服务 然后做出相应的入侵方式 方正方御防火墙入侵检 测系统能够在黑客扫描网站的时候就能检测到并报警 这样就能提前将黑客拒 之于门外 方正方御防火墙入侵检测系统在检测到有黑客扫描服务器端口的时 26 59 候会立即在攻击者的视野中消失 从而使黑客无法进行后面的攻击 方正方御 防火墙入侵检测系统根据配置文件监控任何和 TCP UDP 端口的连接 可以 对全部端口同时进行监控 同时也可以忽略指定的端口 这样就能满足不同的 需求方式 3 1 4 3 2 可以防范可以防范 1500 余种攻击方式余种攻击方式 1 检测多种 DoS 攻击 2 检测多种 DDoS 攻击 3 检测保护子网中是否存在后门和木马程序 4 检测多种针对 Finger 服务的攻击 5 检测多种针对 FTP 服务的攻击 6 检测基于 NetBIOS 的攻击 7 检测缓冲区溢出类型攻击 8 检测基于 RPC 的攻击 9 检测基于 SMTP 的攻击 10 检测基于 Telnet 的攻击 11 检测网络上传输的病毒和蠕虫 12 检测 CGI 攻击 13 检测针对 WEB Server 的 FrontPage 扩展进行的攻击 14 检测针对 WEB Server 的 ColdFusion 扩展进行的攻击 15 检测针对 MicroSoft IIS server 进行的攻击 16 检测利用 ICMP 进行的扫描和攻击 17 检测利用 Traceroute 对网络的探测 18 检测 ActiveX JaveApplet 的传输 19 检测对其他可能的网络服务进行的攻击 3 1 4 3 3 在线升级和实时报警在线升级和实时报警 由于入侵检测系统的库文件是需要不断的更新 因此方正方御防火墙提供 了非常方便的升级接口 可以通过我们的网站进行在线升级 而且我们提供了 非常方便的用户升级界面 使升级工作可以非常方便的完成 报警是否能够及时是衡量一个入侵检测系统的重要因素之一 如果在黑客 刚刚进行攻击的时候就能够做出响应 那么管理员会有足够的时间进行防护 方正方御防火墙的报警系统和入侵检测系统的协调工作几乎是一致的 一旦入 侵检测系统检测到攻击 报警系统会马上做出反应 通过 Email 或手机手机通知管 理员 同时会启动自动防范系统进行防范 27 59 3 1 4 3 4 入侵检测和防火墙的互动入侵检测和防火墙的互动 通过通信行为跟踪 防火墙能够检测到对网络的多种扫描 检测到对网络 的攻击行为 并能够对攻击行为进行响应 包括自动防范及用户自定义安全响 应策略等 3 1 4 4 双机热备双机热备 方正方御防火墙系统能够在网络中智能地寻找与其对等的备份机 并且使 备份机自动进入等待状态 而一旦备份机发现主工作机失效 可及时自动启动 防止网络中断事故的发生 其智能识别技术甚至可以支持多于两台以上的方正 方御防火墙在网络上互为备份 适用于对可靠性要求极高的场合 3 1 4 5 强大的审计功能强大的审计功能 审计功能是方正方御防火墙非常强大的一个部分 目前国内防火墙的审计 功能都非常不完善 方正方御防火墙提供了大量的审计内容和对审计内容的查 询功能 由于日志可能对一般用户比较难以理解 而我们将日志记录分成了若 干部分 而且就每一个部分都是可以进行查询和管理的 这样一来就可以使用 户对防火墙的情况有一个非常透彻的了解 方正方御防火墙中审计功能有着非常完善的权限管理 有专门的审计员来 对审计内容进行管理 在审计中又分成了若干级别的权限 这样可以方便管理 员管理审计内容 3 1 4 6 基于基于 PKI 的高级授权认证的高级授权认证 PKI Public Key Infrastructure 是一种新的安全技术 它由公开密钥密码 技术 数字证书 证书发放机构 CA 和关于公开密钥的安全策略等基本成分 共同组成的 PKI 是利用公钥技术实现电子商务安全的一种体系 是一种基础 设施 网络通讯 网上交易是利用它来保证安全的 从某种意义上讲 PKI 包 含了安全认证系统 即安全认证系统 CA RA 系统是 PKI 不可缺的组成部分 28 59 网络 特别是 Internet 网络的安全应用已经离不开 PKI 技术的支持 网络应用 中的机密性 真实性 完整性 不可否认性和存取控制等安全需 求只有 PKI 技术才能满足 PKI 在国外已经开始实际应用 在美国 随着电 子商务的日益 兴旺 电子签名 数字证书已经在实际中得到了一定程度的应用 就连某些国 家都已经开始接受电子签名的档案 方正方御防火墙的授权认证是基于 PKI 基础之上 因此完全性极高 有些 防火墙的认证机制采用 OTP Once Time Password 或者采用了静态口令机制 比如说 静态密码是用户和机器之间共知的一种信息 而其他人不知道 这样 用户若知道这个口令 就说明用户是机器所认为的那个人 那么就很容易的控 制防火墙 而一次性口令也一样 用户和机器之间必须共知一条通行短语 而 这通行短语对外界是完全保密的 和静态口令不同的是 这个通行短语并不在 网络上进行传输 所以黑客通过网络窃听是不可能的 当时使用起来没有使用 证书认证方便 因此方正方御防火墙基于 PKI 的高级授权认证机制在技术上面非常的先进 超越了大部分的防火墙产品 3 1 4 7 集中管理集中管理 根据美国财经杂志统计资料表明 30 的入侵发生在有防火墙的情况下的入侵发生在有防火墙的情况下 这些入侵的主要原因并非是防火墙无用 而是由于一般的防火墙的管理及配置 相当复杂 要想成功的维护防火墙 要求防火墙管理员对网络安全攻击的手段 及其与系统配置的关系有相当深刻的了解 而且防火墙的安全策略无法进行集 中管理 这些都造成了网络安全的失败 而方正方御防火墙采用基于 Windows GUI 的用户界面进行远程集中式管理 配置管理界面直观 易于操作 可以通 过一个控制机对多台方正方御防火墙进行集中式的管理 3 2 入侵检测产品选型入侵检测产品选型 对于入侵检测产品我们选用启明星辰信息技术有限公司的天阗 tian 黑客 29 59 入侵检测系统 3 2 1 3 2 1 启明星辰公司介绍启明星辰公司介绍 启明星辰公司自 1996 年成立以来 已经开发了黑客防范与反攻击产品线 采用国际著名厂商芬兰 F Secure 公司杀毒技术形成的网络病毒防杀产品线 以 网站安全扫描与个人主机保护为代表的网络安全管理产品线 以及几大产品线 之间互动的网络资源管理平台 成为具有自主知识产权 覆盖防病毒和反黑客 两大领域的高科技含量的网络安全产品研发与生产基地 启明星辰公司产品均 获得了 计算机信息系统安全专用产品销售许可证 国家信息安全产品测评 认证证书 和 军用信息安全产品认证证书 在政府 银行 证券 电信和军 队等领域得到了广泛的使用 3 2 2 3 2 2 入侵检测系统介绍入侵检测系统介绍 防火墙与防火墙与 IDSIDS 谈到网络安全 人们第一个想到的是防火墙 但随着技术的发展 网络 日趋复杂 传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统 IDS 技术的研究和开发 首先 传统的防火墙在工作时 就像深宅大院虽有高 大的院墙 却不能挡住小老鼠甚至是家贼的偷袭一样 因为入侵者可以找到防 火墙背后可能敞开的后门 其次 防火墙完全不能阻止来自内部的袭击 而通 过调查发现 70 的攻击都将来自于内部 对于企业内部心怀不满的员工来说 防火墙形同虚设 再者 由于性能的限制 防火墙通常不能提供实时的入侵检 测能力 而这一点 对于现在层出不穷的攻击技术来说是至关重要的 第四 防火墙对于病毒也束手无策 因此 以为在 Internet 入口处部署防火墙系统就 足够安全的想法是不切实际的 入侵检测系统 IDS 可以弥补防火墙的不足 为网络安全提供实时的入侵检 测及采取相应的防护手段 如及时记录证据用于跟踪 切断网络连接 执行用 户的安全策略等 IDSIDS 概念解析概念解析 入侵检测系统全称为 Intrusion Detection System 它从计算机网络系统 30 59 中的关键点收集信息 并分析这些信息 检查网络中是否有违反安全策略的行 为和遭到袭击的迹象 入侵检测被认为是防火墙之后的第二道安全闸门 IDS 主要执行如下任务 1 监视 分析用户及系统活动 2 系统构造变化和弱点的审计 3 识别反映已知进攻的活动模式并向相关人士报警 4 异常行为模式的统计分析 5 评估重要系统和数据文件的完整性 6 操作系统的审计跟踪管理 并识别用户违反安全策略的行为 一个成功的入侵检测系统 不仅可使系统管理员时刻了解网络系统 还 能给网络安全策略的制订提供依据 它应该管理配置简单 使非专业人员非常 容易地获得网络安全 入侵检测的规模还应根据网络规模 系统构造和安全需 求的改变而改变 入侵检测系统在发现入侵后 会及时作出响应 包括切断网 络连接 记录事件和报警等 IDS 分类入侵检测通过对入侵行为的过程与特征 进行研究 使安全系统对入侵事件和入侵过程作出实时响应 入侵检测系统按其输入数据的来源来