安全评估方案建议书

年5月29日安全评估方案建议书文档仅供参考安全评估方案建议书二零零七年七月

目录1．网络安全概述 41.1安全威胁 41.2网络安全的需求 41.3网络安全与网络性能和功能的关系 61.4网络安全的管理因素 72．网络安全需求分析 83.总体规划 83.1安全体系结构 83.2安全体系层次模型 93.3安全体系设计 103.3.1安全体系设计原则 103.3.2网络安全风险分析 113.3.3网络安全策略 113.3.4安全管理原则 123.3.5安全管理的实现 123.3.6网络安全设计 134.安全解决方案分析 144．1网络配置结构图 144．2安全配置 145安全产品选型 155.1网御神州SECGATE3600-G7防火墙 155.1.1概述 155.1.2防火墙主要功能列表 155.1.3SecGate3600-G7防火墙六大特色 195.1.4SecGate3600-G7防火墙主要功能介绍 215.2网御神州SECIDS-3600入侵检测 265.2.1概述 265.2.2主要技术特色 275.2.3产品功能特点 285.2.4产品主要功能亮点 295.2.5产品功能描述 315.3网御神州SecSIS3600隔离网闸 345.3.1概述 345.3.2产品特点 345.3.3主要功能 345.3.4系统功能详述 355.3.5产品技术优势 385.4网御神州SecFox-SIM安全信息管理系统 405.4.1产品概述 405.4.2产品特点 405.4.3产品简介 435.4.4产品功能 45

1．网络安全概述自信息系统开始运行以来就存在信息系统安全问题,经过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过1.5万亿美元。1.1安全威胁由于企业网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。因此,企业网络可能存在的安全威胁来自以下方面:操作系统的安全性。当前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。采用的TCP/IP协议族软件,本身缺乏安全性。未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,而且,如果系统设置错误,很容易造成损失。1.2网络安全的需求1、企业网络的基本安全需求满足基本的安全要求,是该网络成功运行的必要条件,在此基础上提供强有力的安全保障,是建设企业网络系统安全的重要原则。企业网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是企业网络的基本安全需求。对于各科各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,而且提供跟踪攻击的手段,是本项目需要解决的问题。2、业务系统的安全需求与普通网络应用不同的是,业务系统是企业应用的核心。对于业务系统应该具有最高的网络安全措施。企业网络应保障:访问控制,确保业务系统不被非法访问。数据安全,保证数据库软硬件系统的整体安全性和可靠性。入侵检测,对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据。来自网络内部其它系统的破坏,或误操作造成的安全隐患。3、Internet服务网络的安全需求Internet服务网络分为两个部分:提供网络用户对Internet的访问:提供Internet对网内服务的访问。网络内客户对Internet的访问,有可能带来某些类型的网络安全。如经过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此,需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。网络安全需求是保护网络不受破坏,确保网络服务的可用性,作为信息网络之间的互联的边界安全应作为主要安全需求:需要保证信息网络之间安全互联,能够实现网络安全隔离;对于专有应用的安全服务;必要的信息交互的可信任性;能够提供对于主流网络应用(如WWW、Mail、Ftp、Oicq和NetMeeting等)良好支持,并能够实现安全应用;同时信息网络公共资源能够对开放用户提供安全访问;能够防范包括:利用Http应用,经过JavaApplet、ActiveX以及JavaScript形式;利用Ftp应用,经过文件传输形式;利用SMTP应用,经过对邮件分析及利用附件所造成的信息泄漏和有害信息对于信息网络的侵害;对网络安全事件的审计;对于网络安全状态的量化评估;对网络安全状态的实时监控;其次,对于信息网络内部同样存在安全需求,包括:信息网络中的各单位网络之间建立连接控制手段;能够满足信息网络内的授权用户对相关专用网络资源访问;同时对于远程访问用户增强安全管理;加强对于整个信息网络资源和人员的安全管理与培训。1.3网络安全与网络性能和功能的关系一般,系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务(断开),外界是不可能构成安全威胁的。可是,企业接入国际互连网络,提供网上商店和电子商务等服务,等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。构建网络安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此影响网络效率,而且降低客户应用的灵活性;另一方面也增加了管理费用。可是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。选择适当的技术和产品,制订灵活的网络安全策略,在保证网络安全的情况下,提供灵活的网络服务通道。采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影响并降低管理费用。全方位的安全体系:与其它安全体系(如保安系统)类似,企业应用系统的安全休系应包含:访问控制:经过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞:经过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。攻击监控:经过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。加密通讯:主动的加密通讯,可使攻击者不能了解、修改敏感信息。认证:良好的认证体系可防止攻击者假冒合法用户。备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。隐藏内部信息,使攻击者不能了解系统内的基本情况。设立安全监控中心,为信息系统提供安全体系管理、监控,渠护及紧急情况服务。1.4网络安全的管理因素网络安全能够采用多种技术来增强和执行。可是,很多安全威胁来源于管理上的松懈及对安全威胁的认识。安全威胁主要利用以下途径:系统实现存在的漏洞。系统安全体系的缺陷。使用人员的安全意识薄弱。管理制度的薄弱。良好的网络管理有助于增强系统的安全性:及时发现系统安全的漏洞。审查系统安全体系。加强对使用人员的安全知识教育。建立完善的系统管理制度。如前所述,能否制定一个统一的安全策略,在全网范围内实现统一的安全管理,对于信息网来说就至关重要了。安全管理主要包括两个方面:内部安全管理:主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。网络安全管理:在网络层设置路由器、防火墙、安全检测系统后,必须保证路由器和防火墙的配置正确,其配置不允许被随便修改。网络层的安全管理能够经过防火墙、安全检测、网络病毒防治以及网管等一些网络层的管理工具来实现。2．网络安全需求分析防止内网的主机遭受非法用户的非授权访问或恶意攻击。加强对各种网络安全事件的检测与审计,其中包括:检测来自内部和外部的黑客入侵行为,监视网络流量及各种主机设备,监视数据库系统及应用系统的运行情况,并及时告警。防止来自本地网络病毒对提供网络中重要服务器的攻击与破坏。防止提供服务的Web服务器受到恶意攻击、非法篡改或者系统崩溃,加强对网站文件属性和文件内容的实时监控,能够自动、安全恢复网站文件系统。在重要的网络和系统中充分考虑灾备和容错措施,防止因系统故障导致系统服务中断。定期对办公网络平台进行安全分析和安全评估,及时发现并修正存在的漏洞和弱点,及时调整和完善安全策略,保证政务内网的动态安全与持续安全。建立完整的网络安全系统管理体系,实现对全网的设备的统一管理,安全策略的统一制定,安全事件的统一管理等等。建立完善的安全管理机制,能够有效地确保安全策略的准确执行,减少人为因素造成的系统安全事故。完善的咨询、评估、设计、实施、培训以及实时安全响应等信息安全专业服务。3.总体规划3.1安全体系结构物理物理实体安全企业安全策略用户责任病毒防治保密教育信息安全信息服务操作系统计算机网络安全3.2安全体系层次模型按照网络OSI的7层模型,网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。下图表示了对应网络系统网络的安全体系层次模型:会话层会话层应用层应用系统应用平台网络层链路层物理层会话安全应用层应用系统安全应用平台安全安全路由/访问机制链路安全物理层信息安全物理层物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)链路层链路层的网络安全需要保证经过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。网络层网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。应用平台应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,一般采用多种技术(如SSL等)来增强应用平台的安全性。应用系统应用系统完成网络系统的最终目的—为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。3.3安全体系设计3.3.1安全体系设计原则在进行计算机网络安全设计、规划时,应遵循以下原则:1).需求、风险、代价平衡分析的原则:对任何一个网络来说,绝对安全难以达到,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。保护成本、被保护信息的价值必须平衡,价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。2).综合性、整体性原则:运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。3).一致性原则:这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。4).安全、可靠性原则:充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性;保证产品质量,对项目实施过程实现严格的技术管理和设备的冗余配置,保证系统运行的可靠性。5)．先进、标准、兼容性原则:先进的技术体系,标准化的技术实现.6).易操作性原则:安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,采用的措施不能影响系统正常运行。7).适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。8).多重保护原则任何安全保护措施都不是绝对安全的,都可能被攻破。可是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。3.3.2网络安全风险分析网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此,它的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中,相对于过去的局域网、主机环境、单机环境,安全问题变得越来越复杂和突出,因此网安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。安全保障不能完全基于思想教育或信任。而应基于”最低权限”和”相互监督”的法则,减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任她人或被她人信任的问题,建立起完整的安全控制体系和保证体系。3.3.3网络安全策略安全策略分安全管理策略和安全技术实施策略两个方面:1).管理策略安全系统需要人来执行,即使是最好的、最值得信赖的系统安全措施,也不能完全由计算机系统来完全承担安全保证任务,因此必须建立完备的安全组织和管理制度。2).技术策略技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。3.3.4安全管理原则计算机信息系统的安全管理主要基于三个原则。(1)多人负责原则每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。(2)任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免误认为这个职务是专有的或永久性的。(3)职责分离原则除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。3.3.5安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:确定该系统的安全等级。根据确定的安全等级,确定安全管理的范围。制订相应的机房出入管理制度。对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。制订完备的系统维护制度。维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录。制订应急措施。要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次,对各级用户的培训也十分重要,只有当用户对网络安全性有了深入了解后,才能降低网络信息系统的安全风险。总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。3.3.6网络安全设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同。物理层安全涉及传输介质的安全特性,抗干扰、防窃听将是物理层安全措施制定的重点。在链路层,经过”桥”这一互连设备的监视和控制作用,使我们能够建立一定程度的虚拟局域网,对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。在网络层,可经过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信,经过对主机路由表的控制来控制与之直接通信的节点。同时,利用网关的安全控制能力,能够限制节点的通信、应用服务,并加强外部用户识别和验证能力。对网络进行级别划分与控制,网络级别的划分大致包括外网与内网等,其中Internet/外网的接口要采用专用防火墙,各网络级别的接口利用防火墙、物理隔离设备、路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制,也能够大大提高安全保密性。物理实体的安全管理现已有大量标准和规范,如GB9361-88<计算机场地安全要求>、GFB2887-88<计算机场地技术条件>等。4.安全解决方案分析4．1网络配置结构图总体结构示意图4．2安全配置在网关位置配置网御神州SecGate3600-G7防火墙,以实现内网和外网安全逻辑隔离,经过在防火墙策略设置能够源地址、目的地址和服务做出限制,来保障通信安全。防火墙内置强大入侵防护模块,即使网络遭到黑客攻击,也能保证网络安全,这样用户不但是买一台防火墙而且还是一台IPS。网御神州SecGate3600防火墙采用先进拥塞控制算法,流量调度算法及优先级排队机制保证重要服务或重要用户的带宽,而且对BT或电驴下载能有效的控制;支持多出口链路聚合,能够做到最多六条线路的负载均衡;在中心交换机上配置基于网络的IDS系统——网御神州SecIDS-3600,经过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等;在Weblogic服务器与数据库服务器之间配置网御神州SecSIS-3600网闸,能够有效实现内外网络的安全隔离,数据只能以专有数据块方式静态地在内外网络间进行”摆渡”,从而切断了内外网络之间的所有直接连接,保证内外网数据能够安全、可靠地交换;在安全管理主机上安装网御神州SecFox-SIM安全事件管理,使之能够实时不间断地将来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到管理中心,实现海量信息的集中存储和可靠保存,消除了安全防御的孤岛。5安全产品选型5.1网御神州SECGATE3600-G7防火墙5.1.1概述SecGate3600-G7防火墙是基于状态检测包过滤和应用级代理的复合型硬件防火墙,是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备,支持外部攻击防范、内网安全、网络访问权限控制、网络流量监控和带宽管理、网页内容过滤、邮件内容过滤等功能,能够有效地保证网络的安全;产品提供灵活的网络路由/桥接能力,支持策略路由,多出口链路聚合;提供多种智能分析和管理手段,支持邮件告警,支持日志审计,提供全面的网络管理监控,协助网络管理员完成网络的安全管理。SecGate3600-G7防火墙已获得公安部等部门颁发的信息安全产品销售许可证。5.1.2防火墙主要功能列表功能分类功能概要状态检测针对TCP/IP协议的TCP/UDP/ICMP数据包,实现完整的状态包过滤,完全达到GB/T-18019<包过滤防火墙技术要求>的要求。智能过滤针对动态协议(包括但不限于H.323、FTP、TFTP、OracleTNS、SIP等通信协议),提供基于协议分析的智能化动态包过滤功能,实时开闭应用程序动态协商的TCP/UDP端口,最大程度地提升防火墙的安全性。地址转换支持动态地址转换,包括多对一的地址转换,多对多的地址转换。支持静态地址转换,包括对内部服务器提供一对一的地址转换。支持双向地址转换,满足对等网络间双方隐藏内部IP地址的要求。支持基于下一跳路由的地址转换,满足多出口网络地址转换负载均衡的要求。端口映射支持将内部提供不同服务的多个服务器地址映射成外部相同地址下的不同端口,在端口映射状态下,可同时提供多种安全的网络服务。支持对内部镜像服务器访问的负载均衡IPSecVPN支持VPN通讯参数的设置。支持不同认证算法(MD5/SHA1/…)、不同加密算法(3DES/AES/…)、不同封装模式(ESP/AH)的选择。支持IKE认证方式的选择(预共享密钥/PKI证书模式)。支持固定网关之间的VPN通讯,支持动态网关与固定网关之间的VPN通讯,支持动态网关与动态网关间的VPN通讯,支持客户端与网关间的VPN通讯,支持PPTP和L2TP网关之间的VPN通讯,支持存在于NAT设备后的网关和客户端之间的VPN通讯。支持星型结构和网状结构下的VPN隧道建立。完整兼容IPSec协议,能够与CISCO、NETSCREEN、WIN的VPN互通。应用代理提供基于TCP的HTTP代理、SMTP代理、FTP代理、TELNET代理、POP3代理以及基于策略的通用代理。支持在透明代理下基于HTTP、FTP、SMTP、POP3协议的内容过滤。内容过滤针对HTTP,对网页中java、javascrip、activeX进行过滤。针对SMTP、POP3,基于发信人地址、收信人地址、收信人数、文件大小、邮件主题、正文内容、发件人姓名、收件人姓名、附件文件名、附件内容等进行关键字匹配过滤。在状态包过滤方式下,支持URL过滤和特殊代码剥离,并支持黑/白名单过滤策略。连接监控提供内网实时监控统计功能,以内网IP为对象,实时地监视统计内网连主机连接数量和流量。提供外网实时监控统计功能,实时地监视统计内网访问外网的地址的连接数量和流量。提供DMZ实时监控统计功能,实时地监视统计DMZ区内主机被访问的连接数量和流量。提供内外网监控统计功能,实时监控内网访问指定外网主机的连接数量和流量。连接管理提供保护主机、保护服务、限制主机、限制服务。保护服务器或服务器上提供的某项服务,限制对服务器过于频繁的访问。在规定的时间内,如果某台主机访问服务器超过了所限制的次数,则会对该主机实行阻断,在阻断时间段内,拒绝其对服务器的所有访问。也能够应用此功能对使用BT/电驴等连接数目过大严重影响网络流量的用户加以限制。用户认证支持网络协议层用户认证,能够为包过滤、双向NAT、代理等访问控制提供用户认证功能。提供基于电子钥匙的用户身份认证。支持用户和组管理,支持用户策略控制(源IP绑定、可访问目的IP和服务),支持对用户帐号的流量控制和时间控制。提供与标准radius服务器(PAP)联动的用户认证。提供本地认证库实现基于角色的用户策略,并与安全规则策略配合完成强访问控制。支持客户端修改密码。支持服务器端检查用户在线状态。支持PAP和S/Key认证协议。提供在线用户监控功能。时间控制支持安全规则时间调度。支持用户策略时间调度。支持一次性与周期性时间调度规则。带宽管理支持基于IP地址、应用协议的带宽管理。支持基于用户的带宽管理(经过身份认证的用户,能够指定带宽)。支持最小保证带宽和最大限制带宽设置。支持带宽优先级的设定。对象管理支持以简化防火墙安全规则定义为目的的面向对象的资源定义和组管理。能够定义地址资源(地址、地址组、服务器地址、NAT地址池)。能够定义服务资源(服务、服务组)。能够定义代理资源(预定义的HTTP、FTP、TELNET、SMTP、POP3、SOCKS代理、自定义代理)。能够定义时间资源(时间、时间组,一次性调度和周期性调度)。能够定义带宽资源。能够定义URL资源(URL黑名单、URL白名单)。地址绑定提供IP/MAC地址绑定检查功能,可有效解决网络管理中IP地址盗用问题。能够设置绑定的默认策略,提供IP/MAC正确唯一性检查。提供地址对与网口的绑定功能,能够及时定位盗用合法IP/MAC地址正确非法用户。提供IP/MAC自动探测功能。抗DoS攻击支持对拒绝服务攻击的防范,能够防范syn_flood、pingflood、udpflood、teardrop、sweep、land、pingofdeath、smurf、碎片攻击、WINNUKE、圣诞树攻击等。配合防火墙上的IDS功能,能够抵抗更多种类的攻击。入侵联动支持与网御神州、启明星晨、中科网威、北方计算中心等主流入侵检测系统的联动。双机热备提供专门的联动协议和API接口程序,能够帮助其它入侵检测厂商快速实现与网御神州防火墙的联动。支持双机热备工作模式,当主防火墙遭遇宕机、网络故障、硬件故障等故障时,从防火墙能够自动检测到并在小于1秒的时间范围内快速切换到主工作状态,接管主防火墙的工作。多机集群支持2及两台以上防火墙组成多机集群工作模式,在实现高可靠性的前提下,提供真正意义的负载均衡功能。负载均衡支持多机集群模式下防火墙处理能力方面的负载均衡。状态同步支持DMZ区服务器组基于应用的负载均衡。基于端口吞吐能力方面的链路聚合负载均衡。在多机集群状态下,支持多台防火墙共享虚拟的IP地址,在双机热备状态下,支持主机的连接状态信息与备机保持同步更新,从而可保障冗余系统切换时连接不中断,彻底消除单点故障。策略路由提供目的路由和源地址路由功能以及目的路由负载均衡。安全管理提供远程安全管理和本地管理功能。配置备份提供全中文web界面和专业化的命令行界面管理方式。提供专用带外管理口。经过管理员身份认证(电子钥匙认证或证书认证)、管理员级授权(包括超级管理员、配置管理员、策略管理员、审计管理员)、管理主机限制、防火墙管理IP限制、防火墙管理方式定义(web管理/命令行管理/SSH方式/PPP+SSH连接)、配置信息加密(支持SSL协议和SSH协议),提供方便且安全的配置管理。支持配置的本地下载和上载。模块升级提供恢复防火墙出厂配置功能。提供灵活的软件升级方式,适应安全需求的快速响应。时钟调整提供防火墙系统时钟与管理主机时间同步的时钟调整功能。网络调试工具提供防火墙系统时钟与网络时钟服务器同步(NTP协议)的时钟调整功能。ping系统监控TracerouteRoute提供网口激活信息统计与连接信息监控。日志审计提供当前CPU和内存利用率监控。提供HA高可用状态监控。提供用户在线状况监控,显示用户名、登录IP、登录时间、在线时间、流入流量和流出流量,可根据安全策略实时中断某用户的连接。提供连接数量和流量监控。在防火墙本地能够灵活地设置监测的时间间隔和显示方式。日志审计功能提供对防火墙系统事件和网络事件的统计、查询、分析。集中管理所有的防火墙事件都有相关日志记录,包括包过滤日志、系统日志、内容过滤日志、VPN日志、HA日志、攻击日志等,每种日志都有固定的格式,结构严谨,条理清楚,可读性强。提供以下三种日志管理方式:●支持本机管理,日志信息采取先进先出的滚动刷新方式,且断电即丢失,只适应流量小、对日志审计要求低的环境,提供有限的查询功能(按日志类型、日志级别和关键词进行查找);●支持SecGateManager安全管理,是SecGate防火墙的专业管理工具,支持日志的海量存储,支持安全事件的归并和关联分析,支持图形化的直观审计分析;●支持其它安全管理系统管理,如:Webtrends、用户自主开发的安全管理中心等,防火墙经过SNMP模块与安全管理中心通信,为安全管理人员提供全面、易用、高效、实时的全局日志与安全事件审计分析,此方式需要额外投资。支持SNMPv2,v3,能够与SecGateManager安全管理系统无缝联动(集中管理、设备监控和事件审计)。网络适应性经过SecGateManager安全管理系统能够对防火墙状态信息进行实时监控与统计分析。具有多个自适应网络接口,网口数目可扩展,在保证网络高度安全和数据完整的前提下,同时具有线速或接近线速的网络处理性能。VLAN支持支持每个网络接口设定多个IP地址,支持网络接口模式的设定。支持ADSL拨号连接,自动以ADSL获得的地址为公网地址,用此地址对内部IP做地址转换。适应多种网络拓扑结构和VLAN环境(支持802.1q协议、Trunk协议和VLAN间访问控制等)。支持多种工作模式(包括透明模式、纯路由模式、混合模式)。满足复杂网络环境的要求(防火墙冗余、防火墙旁路、防火墙跨接)。支持IEEE802.1Q协议。多协议支持支持vlantrunk协议,并能够对trunk口中的VLANID进行过滤。支持VTP链路聚合协议。支持STP协议和BPDU协议。在路由模式和桥模块下均支持VLAN间路由。管理口和HA口不支持VLAN协议。对TCP/UDP/ICMP协议的数据帧,根据安全规则建立状态检测,完成动态包过滤。对非IP协议的数据帧,根据非IP协议过滤策略(允许或禁止,在网口时配置指定)进行处理。只能做透传处理的非IP协议包括:DHCP、ADSL、IPX、RIP、ISL、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、BOOTP、VOD、RIP、OSPF、BGP4、IPX等。5.1.3SecGate3600-G7防火墙六大特色独立的SecOS安全协议栈完全自主知识产权的SecOS实现防火墙的控制层和数据转发层分离,全模块化设计,实现独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念,使该SecOS具有更高的安全性、开放性、扩展性和可移植性。硬件抽象层硬件抽象层SecOS安全协议栈控制接口配置管理应用软件图3.1SecGate3600防火墙体系架构图独创的智能高效搜索算法采用独创的分段直接寻址搜索算法MSDAL(Multi-StageDirectAddressingLookupAlgorithm),解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题,确保您在大量安全策略数目情况下仍能获取最高的网络性能!深度的网络行为关联分析采用数据包内容的深度网络行为关联分析技术,让您不再为各种专有动态协议如H.323、FTP、SQL.Net等的控制”愁眉不展”!而且增强了您的网络对于各种DDoS攻击的防范能力!全面的连接状态监控和实时阻断全面的连接状态监控,让您及时掌握网络运行状态,配合丰富的连接限制,方便您对BT/电驴等P2P应用的控制,以及对感染网络蠕虫病毒的主机进行快速定位和实时阻断!强大的网络拓扑自适应性适应于各种复杂网络拓扑,包括透明桥接、路由以及桥和路由完全自适应识别模式。支持VLAN和VLANTRUNK处理;支持多网络出口的链路聚合和策略路由;支持生成树和每VLAN生成树协议(STP/PVST+)和虚拟路由冗余协议(VRRP),提供全面可靠的二层链路备份和三层路由备份。智能便捷的配置向导和管理方式为安全管理员提供智能便捷的配置向导,让您轻松完成复杂的安全配置!并提供丰富的管理方式,包括本地Console,拨号PPP接入,基于Web(HTTPS)浏览器,远程SSH登录,以及强大的SecFox集中安全管理方式。5.1.4SecGate3600-G7防火墙主要功能介绍自适应的网络接入模式SecGate3600-G7防火墙支持透明桥接、路由、混合(同时存在透明、路由的自适应接入)接入模式。当工作在透明模式时,SecGate3600-G7防火墙类似于一个网桥,不需要用户对网络的拓扑做出任何调整;当工作在路由模式时,SecGate3600-G7防火墙类似于一个路由器,能够提供策略路由功能;SecGate3600-G7防火墙还能够工作在自适应的混合模式下,即防火墙的不同端口有的在同一网段上(透明),有的在不同网段上(路由),这样更方便用户在各种网络环境的接入。完善的状态包过滤SecGate3600-G7防火墙根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等对数据包进行访问控制,而且能够记录经过防火墙的连接状态,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,而且结合前后分组里的关系进行综合判断决定是否允许该数据包经过,经过连接状态进行更迅速更安全的过滤。支持复杂动态协议的状态包过滤,经过对协议内容的实时分析,动态开放所需的端口,传输结束后实时关闭端口,确保内网安全。强大的抗攻击能力完全自主开发的SecOS安全协议栈,支持对常见攻击的检测和阻断,并能够实现针对ICMP、UDP、TCP的Flood攻击提交频度检查与阈值分析,如针对ICMPFlood完成过滤类型与代码、频度、包长检查,针对UDPFlood完成频度、包长检查,针对Synfloood完成频度检查。针对最常见的SynFlood攻击,设置了SYNproxy以保护内部网络和防火墙本身免受此类的拒绝服务攻击,提供高安全性和高可用性。支持对以下攻击的检测:TCP端口扫描UDP端口扫描Synflood攻击ICMPflood攻击UDPflood攻击Pingofdeath攻击Pingsweep攻击IPspoofingLand攻击Teardrop攻击FilterIPsourcerouteoptionWinNuke攻击Synfragments攻击SynandFinbitset攻击NoflagsinTCP攻击FINwithnoACK攻击ICMPfragment攻击LargeICMPIPsourcerouteIPrecordrouteIPsecurityoptionsIPtimestampIPstreamIPbadoptionsUnknownprotocols全面的NAT地址转换支持动态地址转换,支持地址池,即一对一,一对多,多对多;支持静态地址转换;支持端口转换,支持动态服务的映射,允许用户内部服务对外开放;支持反向IP映射,允许用户内部IP主机对外开放;支持双向地址转换(一般应用于两边权限对等网络中),即源地址和目的地址的同时转换;支持基于策略(基于协议、目的地址)的地址转换。丰富的预定义代理和自定义代理SecGate3600-G7防火墙提供丰富的代理功能。预定义代理包括:HTTP代理能够对Java、JavaScript、ActiveX进行过滤;FTP代理能够对多线程、put和get命令过滤;SMTP代理能够对邮件大小、接收人数限制,并按关键字对邮件主题、邮件正文和附件内容、附件名过滤;POP3代理能够对邮件大小限制,并按关键字对邮件主题、附件名过滤;支持基于TCP协议的用户自定义代理,方便管理员使用。独创的高效安全规则搜索算法SecGate3600-G7防火墙采用自主设计的分段直接寻址安全规则搜索算法MSDAL(Multi-StageDirectAddressingLookupAlgorithm),解决了传统防火墙随着安全规则数的增加,其搜索速率呈线性递减的问题,确保在大规则数情况下以最短的时间匹配到安全规则。全面灵活的连接限制SecGate3600-G7防火墙提供了四种连接限制:保护主机、保护服务、限制主机、限制服务。连接限制能够保护服务器或服务器上提供的某项服务,限制对服务器过于频繁的访问。在规定的时间内,如果某台主机访问服务器超过了所限制的次数,则会对该主机实行阻断,在阻断时间段内,拒绝其对服务器的所有访问。也能够应用此功能对使用BT/电驴等连接数目过大严重影响网络流量的用户加以限制。策略路由和链路聚合SecGate3600-G7防火墙除常规的按目的IP方式的路由功能外,还支持按源IP方式的路由功能和路由负载均衡,支持多出口时链路聚合。按源IP方式是根据源IP地址来决定下一跳地址。路由负载均衡指按照下一跳的权值来自动选择路由,从而充分利用用户的带宽资源,保护用户投资。深度内容过滤SecGate3600-G7防火墙具备HTTP、FTP、SMTP、POP3协议的内容过滤功能,保护终端用户合法有效地使用各种网络资源;支持对网页中的java、javascrip、activeX等小程序的过滤;支持对邮件的发收信人地址、人数、文件大小过滤,及对邮件主题、正文、收发件人、附件名、附件内容等的关键字匹配过滤;支持URL过滤,并支持黑/白名单过滤策略。0深度动态协议分析SecGate3600-G7防火墙支持对网络动态协议的深度分析,全面支持H.323、FTP、SQL.NET等动态协议的过滤。1全面的VLAN支持SecGate3600-G7防火墙能够支持802.1Q封装协议;支持Vlantrunk协议,并能够对trunk口中的VLANID进行过滤;支持VTP链路聚合协议;支持生成树协议STP和每VLAN的生成树协议PVST+;在路由模式和桥模块下均支持VLAN间路由,方便用户在旁路方式下的接入。2用户认证SecGate3600-G7防火墙提供协议层用户认证系统,突破认证的服务种类限制,为包过滤、双向NAT、代理等访问控制提供用户认证功能;支持用户和组管理,支持用户策略(源IP绑定、可访问目的IP和服务),支持对用户帐号的流量控制和时间控制;提供与标准的radius服务器(PAP)联动的用户认证;提供本地认证库:提供基于角色的用户策略,并与安全规则策略配合完成强访问控制,支持对用户帐号的流量控制和时间控制,客户端能够修改密码,服务器端检查用户在线状态,支持PAP和S/Key认证协议。3IP/MAC地址绑定SecGate3600-G7防火墙提供IP/MAC地址绑定检查功能,防止IP地址盗用,能够设置绑定的默认策略,提供IP/MAC正确唯一性检查。另外还提供地址对与网口的绑定功能,能够及时定位盗用合法IP/MAC地址正确非法用户。SecGate3600-G7防火墙提供IP/MAC自动探测功能,能够大大减轻管理员手工收集IP/MAC正确工作量。4灵活的时间调度SecGate3600-G7防火墙可设定一次性或周期性的调度规则,对安全规则、用户安全策略等进行调度,给安全管理带来方便。SecGate3600-G7防火墙的系统时间能够设置为与时钟服务器的时间同步,也能够设置为与管理主机的时间同步。5与IDS联动SecGate3600-G7防火墙支持与当前市场上大部分主流IDS产品的联动。当IDS联动产品发现入侵攻击行为时,会通知防火墙。如果防火墙相应网口启用了IDS自动阻断功能,则防火墙会按IDS通知的阻断方式、阻断时间和入侵主机的相关信息,对入侵主机进行阻断。SecGate3600-G7防火墙阻断方式包括:对”源IP地址”阻断;对”源IP地址、目的IP地址、目的端口、协议”阻断;对”源IP地址、目的IP地址、协议、方向(单向、双向、反向)”阻断;防火墙阻断协议包括:TCP/UDP/ICMP和所有协议(any)。6流量整形和带宽管理SecGate3600-G7防火墙采用先进的拥塞控制算法、流量调度算法以及优先级排队机制,根据用户定义的带宽策略(最大峰值带宽,最小保证带宽和优先级),动态实现带宽分配的实时控制。具有以下特点:最大限制带宽能够对用户IP地址、服务等经过防火墙的带宽进行限制,例如:限制某个用户对外访问最大带宽,或者访问某种服务的最大带宽。最小保证带宽保证网络中重要服务或者重要用户的带宽不被其它服务或者用户占用,从而保证了重要数据优先经过网络。优先级控制防火墙能够设定4个优先级(0-3),在拥塞情况下,能够进行更加细致的流量控制。7完善的DHCP支持支持DHCP客户端防火墙支持动态IP,其接口能够动态地获得IP地址,方便灵活地接入用户的网络环境。支持DHCPserver防火墙自身能够作为DHCPServer,为网络中计算机动态的分配IP地址,从而为企业的网络建设节约投资,同时方便网络的应用和IP地址的管理。支持DHCPRelay防火墙支持DHCPRelay。放置于DHCPServer和DHCPClient之间,既有效的保护DHCPServer同时便于用户网络的部署。8双机热备和高可用性HA为了保证网络的高可用性与高可靠性,针对电信级的要求,SecGate3600-G7防火墙提供了双机热备份功能,当一台防火墙发生意外宕机、网络故障、硬件故障等情况时,另一台防火墙自动切换到工作状态,从而保证了网络的正常使用。切换过程不需要人为操作和其它系统的参与,当发生切换时防火墙上的连接能够透明地、完整地迁移到另一台防火墙上,用户不会觉察到。9全面的系统监控SecGate3600-G7防火墙提供全面的系统状态监控,能够让管理员清楚地了解网络中接口流量统计、最大连接数量的IP等信息,而且能够及时发现被网络蠕虫病毒感染的主机,配合连接限制,进行实时阻断。0便捷的配置向导SecGate3600-G7防火墙提供便捷的配置向导功能,管理员能够根据初始配置向导轻松完成防火墙的配置。1对象名称定义和引用SecGate3600-G7防火墙将单个地址、一段网络、IP地址的范围、地址组、带宽策略、时间调度策略、URL列表等设置为一个对象名称。安全规则基于对象名称过滤,使规则具有很强的可读性,同时提高了配置管理员的工作效率,使配置更具灵活性。2丰富、安全的管理方式SecGate3600-G7防火墙提供Web管理方式(经过网口)、CLI命令行管理方式(经过串口),同时还支持远程拨号(PPP)管理方式。上述三种管理方式是一直打开的。另外,防火墙还提供经过SSH登录对防火墙以命令行方式进行远程管理的功能,此管理方式管理员有权进行添加和删除。3分级权限的安全管理SecGate3600-G7防火墙提供分级安全管理机制,系统分为超级管理员、配置管理员、策略管理员、审计管理员四个等级。经过管理员身份认证(电子钥匙认证或证书认证)、管理主机限制、防火墙管理IP限制、防火墙管理方式定义(web管理/命令行管理/SSH方式/PPP+SSH连接)、配置信息加密(支持SSL协议和SSH协议),提供方便且安全的配置管理。4与SecFox集中远程管理无缝集成SecGate3600-G7防火墙经过SNMPv2/v3协议,实现了和网御神州SecFox集中安全管理系统的无缝集成,经过在防火墙上配置集中管理主机的IP地址,十分方便地实现对防火墙的集中管理。SecFox集中管理系统能够同时对多个防火墙进行远程管理,而且支持防火墙策略的批量修改和分发。5完善的系统升级随着技术的飞速发展和安全需求的不断延伸,SecGate3600-G7会适时地进行软件版本升级。SecGate3600-G7防火墙的软件升级直接经过管理界面进行,用户只需选择新的升级软件包并重启防火墙即可方便地完成软件升级。6系统配置的导入导出SecGate3600-G7防火墙的导入导出功能便于管理员对整个防火墙的配置进行备份,在需要的时候,能够离线调整后,重新导入防火墙即可即时生效。导出的配置信息能够保存在管理主机上做备份,导出的文件格式能够选择加密或不加密。7全面的日志审计和日志服务器SecGate3600-G7防火墙各功能模块都能够提供标准格式的日志记录。默认情况下,日志存储在防火墙本地,也能够将日志直接发往日志服务器。随机提供的日志服务器软件能够实现强大的存储和审计功能,方便管理员对日志进行查询和管理。5.2网御神州SECIDS-3600入侵检测5.2.1概述网神IDS是由网神IDSsensor(以下称探测器)及网神IDSConsole(以下称控制台)两部分组成。探测器设置在内部网络特定地点(网关、主要服务群所在的部分、主要节点)进行数据流分类收集并执行入侵检测及数据流分析的功能,把分析的事件结果传送到管理中心。把传送到管理中心的事件进行再分析及统计抽取的过程保存到数据库中,利用控制台能够实时进行数据检测。5.2.2主要技术特色先进的入侵检测引擎系统采用优化的TCP流重组和IP包重组策略,综合使用状态协议分析、模式匹配、异常检测等方法,能够实现对当前主流的应用层协议进行解析,支持的协议达100种以上。先进的智能管理模式探测器和控制台间对等方式的分散性结构,能够使一个探测器连接多个控制台,或者一个控制台连接多个探测器。探测器能够有1个主控制台(PrimaryManager)和1个以上的从控制台(SecondaryManager)。主控制台和从控制台能够记录探测器的所有事件,且主控制台能够设置探测器的配置。多个控制台和多个探测器的连接。发生与控制台的连接断开时,探测器也可持续工作,记录事件日志。重新连接时探测器向主控制台发送断开期间保存的所有日志数据。多个探测器连接一个控制台。利用SSL加密算法的控制台和探测器间的通讯加密化。管理员能够根据需要定制安全事件及网络流量的显示界面,这样更便于管理员了解网络的安全状况。出众的运行性能SecIDS3600采用了内存零拷贝、零系统调用等高性能网络数据包处理技术,结合高性能的硬件平台,能有效降低网络数据包的处理开销,即使在高流量的网络环境下也能够保持出众的运行性能。5.2.3产品功能特点产品系统构成网御神州百兆入侵检测系统当前有两个型号:SecIDS3600-I5和SecIDS3600-I4。网御神州千兆入侵检测系统当前有一个型号:SecIDS3600-G。网御神州入侵检测系统由探测器(硬件)和控制台(软件)两部分组成。SecIDS3600探测器硬件设备。在所监视网段采用入侵检测分析技术,检测违反网络安全策略的入侵攻击事件、误用及滥用事件,实时向控制台传送报警信息和事件过程记录。SecIDS3600控制台软件系统。对一个或多个网御IDS探测器进行规则策略配置、运行状态监视、事件日志记录及管理。对探测器检测出的违反网络安全策略的事件,能够向网络安全管理员报警,并依据预置的策略与多种防火墙进行联动,阻断入侵攻击。产品完全功能列表完全功能列表功能特性备注专用平台有入侵检测功能多种行为检测有状态化的TCP连接检测有协议解码有事件合并功能有智能IP碎片重组有防Arp地址欺骗有防IP地址欺骗有基于用户自定义策略的分析有增值功能敏感内容检测有多网段定义有数据库交叉备份有网络事件回放有系统安全功能远程安全管理有管理日志审计有用户操作审计有抗反IDS技术有抗针对IDS的DOS攻击有配置功能安全规则定制有多种响应方式有日志审计和报表有数据库支持Access、SQL、Oracle安全模版定制有用户自定义事件查看有附属功能网络流量统计有日志维护有远程升级有自定义设置统计流量有部署功能开放式接口有分级部署有Peer-to-peer的管理方式,方便多个用户的同时观测数据有主/辅控制台双向连接有重点服务器的定义与实时监控有控制台管理功能用户分权限管理有会话过滤和实时响应有实时探测器状态显示,能够实时显示探测器的系统消耗状况有日志库维护(提供了专门对控制台数据库的优化程序)有完整性检测,能够对控制台文件/数据库表/注册表键值的完整性进行检查。有计划任务,能够定时进行规则库升级/日志备份等有检测对象目标化,能够针对小型网络中的重点保护对象进行有目标的监测有探测器与控制台执行策略的双向同步有预检策略,能够过滤掉用户所不关心的数据有5.2.4产品主要功能亮点细粒度检测技术在检测过程中综合运用多种检测手段,在检测的各个部分使用合适的检测方式,脱离了单纯的匹配或解码的检测模式。有效降低了漏报误报率,提供了高可用性的告警信息。网御神州独创的检测技术,解决了当前常见的模式匹配和协议解码技术带来的入侵检测产品可用性不高的问题。强大的入侵检测功能检测1600多种攻击手段。支持事件统计分析,协议异常检测,有效防止各种攻击欺骗。优异的检测性能,经过使用高速数据包处理技术,提高了大流量下的检测能力,能够适应百兆和千兆的网络环境。百兆环境下背景流量为百兆满负荷时,检测率达到100％。依托强大的资源投入,保证了检测规则库的权威性和时效性,同时与国际权威规则库保持同步。灵活全面的部署配置支持IDS/IPS双工作模式。支持TOPSEC、OPSEC等协议,具有较强联动功能。支持SNMP协议下的网络统一管理,可扩展与多种网络设备联动。用户导向的设计理念控制台界面人性化,提供初次安装探测器向导、探测器高级配置向导、报表定制向导等,易于用户使用。一站式管理结构,简化了配置流程。强大的日志报表功能,用户可定制查询和报表。支持用户自定义规则设置和响应设置,灵活方便的定制安全策略。用户自定义个性化控制台界面。完善的增值功能网络行为监控、流量监视、违规网络连接检测等功能,掌控自己的网络。强大的响应功能,提供防火墙联动,邮件报警等多种响应方式。IP欺骗检测功能。检测网络中的IP地址盗用行为。Arp地址欺骗检测,防止了来自内部的地址欺骗攻击,有效的定位内部攻击来源。HTTP、FTP、TELNET和收发邮件的监控和回放功能,完整重现网络滥用行为。数据库交叉备份模式,加快了备份速度。安全的体系结构设计完善的日志审计功能,记录用户操作的一举一动。探测器地址隐藏设计。经过安全裁减的嵌入式操作系统,DOM和专用硬盘存储机制。保证硬件设备的安全。基于SSL加密和身份认证的通讯机制,保证传输安全。基于硬件的身份认证功能,用户角色分级机制,阻止对产品操作的假冒行为。高品质产品具有先进的研发管理体系,经过严格的工作流程、完备的文档和代码管理工具实现高品质产品的开发。产品经过数十道工序和质控点,严格保证产品质量。具备完备的质检措施,经过巡查、互检、终检,确保每一台出厂的机器合格。完善、高效的售后服务体系能够免除用户的后顾之忧。5.2.5产品功能描述入侵检测功能多种行为检测检测1600多种攻击手段。使用细粒度检测技术,支持事件统计分析,协议异常检测,有效防止各种攻击欺骗。在MACLayer中检测及响应,提高系统效率。状态化的TCP连接检测针对TCP连接建立状态监控机制,从而实现对重点服务器的深层次保护。针对常见的反ids技术(如stick、snot攻击),进行了优化。协议解码对常见网络应用层协议解码分析。记录网络中的异常行为。智能IP碎片重组对所监视网络中的IP碎片报文重组后分析,防止IP碎片欺骗。防IP地址欺骗对所监视网络中主机的IP和MAC地址进行绑定,防止IP或MAC地址盗用行为。并对非法IP的访问提供详细的记录,以便防火墙管理员查看。增值功能网络敏感内容检测能够设置网络中常见的敏感信息发现并记录。如所监视网络中用户访问网站的URL地址;收发邮件的主题中包含敏感字符串等情况都能够记录下相应的信息。帮助管理员发现内部的网络滥用行为。多网段定义能够允许联动事件双方属于多个网段,扩大了联动范围。网络事件回放能够把常见的应用协议(HTTP、FTP、SMTP、POP3、TELNET)内容恢复,并按照相应的协议格式完整展现。清楚展现入侵者的攻击过程,重现内部网络资源滥用时泄漏的保密信息内容。系统安全功能远程安全管理采用SSL加密信道和身份认证形式对传输信息进行处理,保证数据安全性、完整性(防篡改)。管理日志审计提供对用户操作的审计功能。用户登陆后的操作信息在控制台有操作日志窗口实时显示,对修改用户信息等敏感操作记录入数据库,能够在用户审计模块查询和生成报表。用户操作审计对用户所有修改操作进行审计,而且所有操作都直接和用户建立关系。在程序启动成功、失败以及各种交互时打印详细信息,提供给用户查看,也能够用于查询和统计,为灾难恢复和审计提供内容和思路。重点服务器定义和实时监控经过定义关键服务器来实现对内部web、ftp以及其它关键服务器的保护,支持记录对重点服务器的特定端口的访问记录,同时提供实时监控和端口非法连接或者记录非法连接的功能,为以后的取证提供证据。强大配置功能安全规则定制用户可根据需要定义自己的安全规则。对系统自身的安全规则,用户能够根据需要修改告警级别,响应方式等内容。系统还提供高级配置界面,为专家级用户提供强大的支持。多种响应方式对告警信息提供了防火墙联动、发送电子邮件、声音报警、Windows消息报警、TCP阻断等多种响应方式。方便用户,达到主动式防御目的。日志审计和报表强大的日志审计功能。用户可根据需要从任意角度定制审计查询条件;内置日报,月报等预设报表,用户可根据需要从任意角度定制报表。安全模板定制为用户提供Windows系统、Unix系统、SQL服务器、FTP服务器、邮件服务器等多种定制模板,用户能够根据自己的网络情况选择模板,省去了配置的麻烦。预定义报表预制最专业的报表,包括对领导的报表和对管理员的报表以及其它一些人性化的报表进行预制,包括统计概要、管理简报/执行简报/技术简报、分组统计、分组明细、按攻击类型/按服务/按风险等级进行分析等,可按任意时间段产生报表。支持条件过滤的报表查询和统计对多种条件包括特定字符串、事件名称、任何地址、重点服务器的过滤,使结果更加精确。对于已生成的查询结果能够进行多次过滤,形成报表进行打印或者导出excel文件。日志合并日志归并根据一系列事先定义的合并规则,将多条告警日志合并为一条,从而极大地减少了告警日志的数量,缓解了使用者被淹没在大量无用信息中的烦恼,同时也可在一定程度上降低入侵检测系统遭受Flood攻击的可能性。附加功能网络流量统计提供对探测器监视网络环境的流量图形化统计功能,能够分不同的探测器查看TCP连接数目,网络字节流量统计,网络报文流量统计,网络报警事件统计等多种统计信息。日志维护提供数据库管理功能,能够对日志信息备份,删除,恢复,合并。提供备份文件信息记录和显示功能,防止备份文件的丢失。远程升级支持在线和手动两种升级方式。在控制台端能够对探测器远程升级。支持升级分发,可同时对多个探测器升级,省去管理员繁琐的操作。部署功能开放式接口支持TOPSEC、OPSEC等协议。能够和其它支持这些协议的安全产品轻松组成安全解决方案。支持SNMP协议下的安全管理,可与多种设备组成强大的集中管理体系。分级部署对大型的分布式网络环境提供分级部署功能,完成总部对下属分支机构的集中管理和升级文件分发等功能。多配置模式支持IDS/IPS双模式检测。支持主动(Active)和被动(Passive)连接模式,在跨网段和跨防火墙的复杂网络中灵活部署。5.3网御神州SecSIS3600隔离网闸5.3.1概述网御神州SecSIS3600安全隔离与信息交换系统能够有效实现内外网络的安全隔离,数据只能以专有数据块方式静态地在内外网络间进行”摆渡”,从而切断了内外网络之间的所有直接连接,保证内外网数据能够安全、可靠地交换。该系统可广泛应用于政府、企业、军队、电力等需要实施网络安全隔离和数据交换的场合。5.3.2产品特点丰富的应用模块:SecSIS3600安全隔离与信息交换系统采用模块化的系统结构设计,根据不同的应用环境,量身定制多个功能模块,以满足用户的不同需求。严格的传输控制:系统采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。高度的自身安全:系统具备强大的抗攻击能力,内外网主机模块采用专用的安全操作系统,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。5.3.3主要功能主模块提供基于Web的图形化管理和基于数字证书的远程安全管理支持访问控制和入侵检测支持病毒检测提供完善的日志审计支持双机热备,自身支持负载均衡文件交换模块支持多种常见的文件交换协议支持单向/双向传输方式,可控制信息流向支持文件交换的自动执行支持传输文件类型限定,提供关键字、黑白名单信息过滤支持对传输文件的数字签名邮件模块支持SMTP、POP3通用协议,支持SMTP认证支持垃圾邮件过滤,支持对邮件内容和附件的过滤支持内外网邮件智能检测和转发支持对邮件的数字签名支持采用端到端的安全通道式访问支持SMTP、POP3协议,支持对协议命令进行安全过滤数据库模块支持多种常见的数据库支持多种同步方式支持大字段的数据同步支持自定义更新标记支持自定义任务采用端到端的安全通道式访问支持多种常见的数据库支持访问用户名过滤FTP访问模块采用端到端的安全通道式访问支持对用户名、口令的认证对协议命令进行安全过滤安全浏览模块支持代理模式、透明模式支持对HTTP协议的细粒度检测提供多种认证方式支持对各种脚本、控件、JavaApplet、Cookie的过滤支持对访问文件类型的过滤5.3.4系统功能详述丰富的应用模块SecSIS3600安全隔离与信息交换系统采用模块化的系统结构设计,根据不同的应用环境,量身定制多个功能模块,以满足用户的不同需求,主要包括:文件交换模块:实现不同安全等级网络间文件的安全交换。数据库同步模块:经过灵活的同步机制,保证安全等级不同的网络中的数据库系统实现数据同步更新。邮件交换模块:保证在内外网隔离的环境下实现安全的邮件收发。安全浏览模块:保证在内外网隔离的环境下,内网用户安全浏览外网资源。通用模块:保证内外网隔离的同时实现FTP、DNS、TNS等协议及其它通用TCP/IP协议的定制交换。其它定制用户专有应用模块。访问控制系统支持强大的访问控制策略,支持经过源地址、目的地址、端口、协议等多种元素对允许经过网闸传输的数据进行过滤,判断是否符合组织安全策略。地址绑定提供IP与MAC地址绑定功能,可对指定接口所连接的网络中的主机的IP和MAC地址进行绑定,防止内部用户盗用IP和内网地址资源分配的混乱,方便网络IP资源管理。内容检查SecSIS3600安全隔离与信息交换系统提供多种内容安全过滤与内容访问控制功能,既能有效的防止外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。SecSIS3600安全隔离与信息交换系统的内容检查机制主要针对HTTP、FTP、邮件及文件交换等应用,包括URL过滤、关键字过滤、Cookie过滤、文件类型检查及病毒查杀等操作。URL/域名过滤网闸可对用户访问的Web站点的域名及URL等进行基于正则表示式的过滤,禁止用户访问暴力、色情、反动的主页或站点中的特定目录或文件。黑/白名单关键字过滤网闸可对邮件标题和内容以及传输的文件等进行黑/白名单关键字过滤,进行单词及短句的智能匹配,禁止包含特定关键字的敏感信息泄漏,或只允许包含相应关键字的文件经过网闸传递。COOKIE过滤网闸可对COOKIE进行过滤。经过对COOKIE进行过滤,能够防止敏感信息的泄漏。同时还能够防止用户进行浏览论坛、上网聊天等违反安全策略的操作。文件类型检查网闸可对传输的文件进行类型检查,只允许符合安全策略的文件经过网闸传递。避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。病毒及恶意代码检查系统可内嵌杀病毒引擎,对允许传输的文件进行病毒的检查,确保进入可信网络的文件不包含病毒及Java/JavaScript/Active-X等恶意代码。高可用设计SecSIS3600安全隔离与信息交换系统支持高可用方案,全面解决设备故障与链路故障造成的业务中断,保证系统7X24小时不间断服务。轻松的管理SecSIS3600安全隔离与信息交换系统配备专门的管理端口,经过数字证书认证与管理信息的加密传输实现网闸设备的集中管理。系统采用全中文的Web方式进行远程网络管理,界面友好,操作方便。系统管理员和审计员实现分权管理,使得对网闸的管理更加安全可控,避免人为因素带来的安全风险。传输方向控制SecSIS3600安全隔离与信息交换系统采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。在特殊应用环境中可实现数据的单向传送,以避免信息的泄漏。协议分析能力系统支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS等多种应用层协议,可对常见协议的命令和参数进行分析和过滤。应用数据以”原始”的形态在内外主机模块中传递,数据包经过预处理、安全决策、RFC校验、协议分析、数据提取,格式化等多个处理模块的检查,充分保证了交换信息内容的安全。完善的安全审计SecSIS3600安全隔离与信息交换系统提供管理员多种手段了解网络运行状况及可疑事件的发生。用户可根据特定的需要进行日志审计(包括系统日志、访问控制策略日志、应用层协议分析日志、应用层内容检查日志等)。系统支持本地日志缓存,可实现本地日志的浏览查询等操作。日志依据事件的重要程度分为错误/警告/通知三级,支持SYSLOG日志存储,可实现日志的分级发送。0强大的抗攻击能力SecSIS3600安全隔离与信息交换系统具备强大的抗攻击能力,内外网主机模块采用专用的安全操作系统,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。同时系统实现了针对多种DoS和DDoS攻击的防范,可阻挡Synflood,Udpflood,Pingflood,TearDrop,PingofDeath,Smurf,Land等多种类型的DoS和DDoS攻击,保护可信网络的安全。1多样化的身份认证SecSIS3600安全隔离与信息交换系统支持多样灵活的身份认证方式,包括:本地用户名及口令认证,基于数字证书的认证,RADIUS远程访问认证及LDAP认证等。本地认证系统内置认证数据库提供本地的用户名、口令认证,支持HTTP/HTTPS方式实现认证信息的获取。数字证书认证网闸支持数字证书认证,允许客户端经过HTTP连接向服务器发送访问请求。网闸可导入根证书,经过检查用户证书格式,证书的过期时间,签发者等信息以确认访问者身份的合法性,还可依据用户身份属性判断其是否具有适当的访问权限。RADIUS远程访问认证及LDAP认证网闸向第三方认证服务器发送用户名和口令,一旦认证服务器认证成功,则网闸允许用户访问。2负载均衡解决方案SecSIS3600安全隔离与信息交换系统支持负载均衡解决方案。网闸群集可实现动态管理和维护,根据实际响应时间制定优先响应策略,从而提高系统总体性能、优化流量管理、提高群集性能,保证系统正常运行的高可用性和高可靠性。如果访问量超出了网闸的响应能力,只需增加服务器数目即可实现系统的平滑升级,无需第三方软件支持。5.3.5产品技术优势在网络中部署SecSIS3600安全隔离与信息交换系统既能够符合政府、军队,企事业单位等的强制性安全策略－－既在不同安全等级的网络间实现安全隔离,又能够保证可靠、安全的信息交换,提供文件交换、收发电子邮件、数据库同步,安全浏览等多种服务,在网络应用的安全性及可用性间取得完美的平衡。强制执行安全策略SecSIS3600安全隔离与信息交换系统可依据强制性访问控制策略,在不同安全等级网络间实现网络隔离;同时,为指定的应用提供安全的数据交换能力,避免了开放TCP/IP通用服务造成的安全隐患。核心应用的安全最大化从安全实现的角度来讲,越接近应用层,则安全问题越复杂,解决问题也越困难。安全隔离与信息交换系统将应用层的数据转换成专有的数据格式进行处理,只允许安全的、可靠的信息在网络中传递。信息的格式、内容、交流对象等因素可依据组织安全策略指定,简化了核心应用面临的安全问题,确保了核心应用的安全最大化。避免已知及未知漏洞的利用传统的安全检测产品只能发现利用已知安全漏洞发起的攻击。如果一种攻击手法还没有公布,则凭借现有的技术无法了解其攻击特征,也就无法识别攻击行为。SecSIS3600安全隔离与信息交换系统对数据的交换不依赖于任何通用协议,没有数据包的处理及连接会话的建立,而是以静态的专有格式化数据块的形式在内/外网间传递,因此不会受到任何已知或未知网络层漏洞的威胁。降低总体安全维护成本SecSIS3600安全隔离与信息交换系统面向核心应用,按照应用类型强制执行安全信息交换,只允许合法的数据经过网闸交换到指定网络,所有无关或违背安全策略的数据都被抛弃。因此管理员只需针对被保护的核心应用建立相应的数据交换策略,无需复杂的策略配置,大大降低了核心应用安全管理的复杂程度。同时,系统剥离了易受攻击的TCP/IP协议,因此不必像入侵检测系统一样频繁更新检测特征库,大大降低了总体安全维护成本。强化现有安全解决方案SecSIS3600安全隔离与信息交换系统能够与现有安全产品完美结合,保护重要的网络应用安全。防火墙作为网关类安全产品其主要作用是在保证可用性的前提下实现对网络资源的访问控制,而安全隔离与信息交换系统的作用是在保证核心系统的安全的前提下提供适度的数据交换能力。其着力点不同,在网络中的部署可相互补充,以提高整体安全解决方案的安全保障级别。强大的定制扩展能力SecSIS3600安全隔离与信息交换系统不但提供标准的信息交流服务,如文件交换、安全浏览、邮件交换、数据库同步等,还提供二次开发接口,以满足众多专业应用系统的安全数据交换需要。还可依据用户应用系统特征,定制相应的协议检查模块,对行业专有应用协议及相应数据格式进行定制分析,确保只有符合组织安全策略的数据可经过网闸进行传