宜賓市政府信息中心 網(wǎng)絡(luò)安全解決方案

　 2010 年 6 月

　I

　目錄

　1 宜賓市政府信息中心 IT 應(yīng)用現(xiàn)狀 .......................................................................................... 1 1.1 網(wǎng)絡(luò)規(guī)模 ....................................................................................................................... 1 1.2 網(wǎng)絡(luò)上的應(yīng)用 ............................................................................................................... 1 1.3 項目目標 ....................................................................................................................... 1 2 需求分析 ................................................................................................................................... 1 2.1 網(wǎng)絡(luò)層的安全分析 ....................................................................................................... 2 2.2 系統(tǒng)層的安全分析 ....................................................................................................... 3 2.3 應(yīng)用層的安全分析 ....................................................................................................... 3 2.4 網(wǎng)絡(luò)出口病毒風(fēng)險分析 ............................................................................................... 4 2.5 互聯(lián)網(wǎng)多鏈路負載均衡 ............................................................................................... 5 3 網(wǎng)絡(luò)安全方案設(shè)計原則 ........................................................................................................... 6 3.1 需求、風(fēng)險、代價平衡的原則 ................................................................................... 6 3.2 綜合性、整體性原則 ................................................................................................... 6 3.3 一致性原則 ................................................................................................................... 7 3.4 易操作性原則 ............................................................................................................... 7 3.5 適應(yīng)性及靈活性原則 ................................................................................................... 7 3.6 多重保護原則 ............................................................................................................... 7 3.7 可評價性原則 ............................................................................................................... 7 4 解決方案 ................................................................................................................................... 8 4.1 網(wǎng)絡(luò)拓撲 ....................................................................................................................... 8 4.2 安全域邊界解決方案 ................................................................................................... 9 4.2.1 產(chǎn)品推薦 ......................................................................................................... 10 4.2.2 系統(tǒng)部署 ......................................................................................................... 11 4.2.3 防火墻安全控制策略：

　................................................................................. 11 4.2.4 功能特色 ......................................................................................................... 13 4.3 病毒防護體系建設(shè) ..................................................................................................... 13 4.4 入侵防御系統(tǒng)解決方案 ............................................................................................. 14 4.4.1 產(chǎn)品推薦 ......................................................................................................... 15 4.4.2 系統(tǒng)部署 ......................................................................................................... 15 4.4.3 IPS 邊界安全控制策略 ................................................................................... 16 4.4.4 功能特色 ......................................................................................................... 17 4.4.5 方案優(yōu)勢 ......................................................................................................... 17 4.5 風(fēng)險評估及漏洞掃描解決方案 ................................................................................. 26 4.5.1 產(chǎn)品推薦 ......................................................................................................... 26 4.5.2 系統(tǒng)部署 ......................................................................................................... 27 4.5.3 功能特色 ......................................................................................................... 27 4.5.4 方案優(yōu)勢 ......................................................................................................... 30 4.6 多鏈路負載均衡解決方案 ......................................................................................... 32 4.6.1 產(chǎn)品推薦 ......................................................................................................... 32 4.6.2 系統(tǒng)部署 ......................................................................................................... 32 4.6.3 功能特色 ......................................................................................................... 32 4.6.4 方案優(yōu)勢 ......................................................................................................... 32 4.7 網(wǎng)絡(luò)管理平臺解決方案 ............................................................................................. 32 4.7.1 產(chǎn)品推薦 ......................................................................................................... 32 4.7.2 系統(tǒng)部署 ......................................................................................................... 32 4.7.3 功能特色 ......................................................................................................... 32

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 II

　4.7.4 方案優(yōu)勢 ......................................................................................................... 32 4.8 安全管理平臺解決方案 ............................................................................................. 32 4.8.1 產(chǎn)品推薦 ......................................................................................................... 33 5 方案產(chǎn)品型號及數(shù)量 ............................................................................................................. 34 5.1 宜賓市政府信息中心安全設(shè)備清單 ......................................................................... 34 6 迪普科技簡介 ......................................................................................................................... 35 7 部分成功案例 ......................................................................................................................... 37 7.1 長春稅務(wù)學(xué)院 ............................................................................................................. 37 7.2 國家檔案局 ................................................................................................................. 38 7.3 浙江能源集團 ............................................................................................................. 38 7.4 河南南陽農(nóng)信聯(lián)社 ..................................................................................................... 39 7.5 西藏自治區(qū)質(zhì)監(jiān)局 ..................................................................................................... 40 7.6 西安通信學(xué)院 ............................................................................................................. 40 7.7 中石油華南銷售公司 ................................................................................................. 41 7.8 央視國際 ..................................................................................................................... 42

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 1

　 1 宜賓市政府信息中心 IT 應(yīng)用現(xiàn)狀 1.1 網(wǎng)絡(luò)規(guī)模

　1.2 網(wǎng)絡(luò)上的應(yīng)用

　1.3 項目目標 采用國際、國內(nèi)網(wǎng)絡(luò)安全防護相關(guān)標準及及國家等級保護相關(guān)要求來整體規(guī)劃設(shè)計網(wǎng)絡(luò)，通過分期建設(shè)達到網(wǎng)絡(luò)業(yè)務(wù)安全實際要求。

　通過在網(wǎng)絡(luò)中劃分出不同安全域進行邊界區(qū)分接入與防護、更新出口防火墻的綜合防御能力及靈活的 VPN 接入方式、做到出口防火墻設(shè)備的冗余和性能大幅提升，為用戶未來五年的安全防護提供保障。

　在互聯(lián)網(wǎng)出口處，通過負載均衡設(shè)備自動實現(xiàn)對電信線路和網(wǎng)通線路兩條線路的雙向負載均衡應(yīng)用。

　為了實現(xiàn)對深層攻擊的防御，彌補防火墻等設(shè)備的不足，在宜賓市政府信息中心服務(wù)器區(qū)域前端部署入侵防御系統(tǒng)（IPS：Instruction Prevention System）。入侵防御系統(tǒng)以在線方式部署，實時分析鏈路上的傳輸數(shù)據(jù)，對隱藏在 4-7 層特別是應(yīng)用層的攻擊行為進行阻斷，專注的是深層防御、精確阻斷。同時，IPS 也提供對網(wǎng)絡(luò)濫用的檢測和阻斷能力。

　項目實施后，防火墻、入侵防御系統(tǒng)、負載均衡管理系統(tǒng)、風(fēng)險評估漏洞掃描系統(tǒng)等設(shè)備一同構(gòu)成了一道全面的縱深防御體系，確保宜賓市政府信息中心網(wǎng)絡(luò)系統(tǒng)和關(guān)鍵業(yè)務(wù)的安全運行。

　2 需求分析

　從宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)的實際情況來看，我們認為應(yīng)該從以下幾個方面進行全面的分析：

　? 鏈路層 ? 網(wǎng)絡(luò)層

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 2

　? 系統(tǒng)層 ? 應(yīng)用層 ? 防病毒 下面將分別進行詳細的闡述。

　2.1 網(wǎng)絡(luò)層的安全分析 網(wǎng)絡(luò)設(shè)備主要包括宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)各節(jié)點上的路由器、交換機等設(shè)備。網(wǎng)絡(luò)層不僅為宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)提供連接通路和網(wǎng)絡(luò)數(shù)據(jù)交換的連接，而且是網(wǎng)絡(luò)入侵者進攻信息系統(tǒng)的渠道和通路。由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運行的 TCP/IP 協(xié)議并非專為安全通訊而設(shè)計，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。整個網(wǎng)絡(luò)面臨著來自網(wǎng)絡(luò)外部和內(nèi)部的雙重威脅。

　尤其在外網(wǎng) Internet 中存在著大量的黑客攻擊，他們常常針對 web 服務(wù)器和郵件服務(wù)器作為突破口，進行網(wǎng)絡(luò)攻擊和滲透。常見得一些手法如下：IP 欺騙、重放或重演、拒絕服務(wù)攻擊（SYN FLOOD，PING FLOOD 等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等。黑客可以容易的在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)出口進出，對系統(tǒng)進行攻擊或非法訪問。

　而在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)內(nèi)部，基本上還沒有嚴格的防范措施，其中的安全隱患不言而喻。如果加上安全管理上的不夠完善等因素，或者在已有的服務(wù)器與單機中存在著后門程序（木馬程序）的話，攻擊者就可以很容易地取得網(wǎng)絡(luò)管理員權(quán)限，從而進一步控制計算機系統(tǒng)，網(wǎng)絡(luò)中大量的數(shù)據(jù)就會被竊取和破壞。

　根據(jù)木桶原理，網(wǎng)絡(luò)中只要一個地方出現(xiàn)了安全問題，那么整個網(wǎng)絡(luò)都是不安全的。因此，在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)出口處應(yīng)配置應(yīng)用級防火墻來加強訪問控制，并部署入侵監(jiān)控系統(tǒng)，杜絕可能存在的安全隱患，來保證網(wǎng)絡(luò)安全可靠的正常運行。

　由于宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)是一個跨地域的廣域網(wǎng)，有很多需要對外保密的業(yè)務(wù)數(shù)據(jù)需要通過 Internet 公用網(wǎng)絡(luò)鏈路進行傳輸，而公眾網(wǎng)（Internet）一般沒有網(wǎng)絡(luò)安全措施，采用明文方式傳輸數(shù)據(jù)，如果不加密很容易被非法分子竊取數(shù)據(jù)，病毒攻擊以及黑客入侵。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 3

　2.2 系統(tǒng)層的安全分析 在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)中有著多種不同的操作系統(tǒng)，如：Windows、 Linux 等等，這些系統(tǒng)都或多或少地存在著各種各樣的漏洞。如果這些操作系統(tǒng)沒有進行系統(tǒng)的加固和正確的安全配置，而只是按照原來系統(tǒng)的默認安裝，這樣的主機系統(tǒng)是極其不安全的。一名黑客可以通過 Unicode、緩存溢出、造成死機等方式進行破壞，甚至取得主機管理員的權(quán)限。此外，在網(wǎng)絡(luò)中，一些黑客利用系統(tǒng)管理員的疏忽用缺省用戶的權(quán)限和密碼口令就可以輕松地進入系統(tǒng)修改權(quán)限，從而控制主機。

　宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)中存在一定量的服務(wù)器，如：數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、文件等等，而這些服務(wù)器都擔(dān)負著重要的服務(wù)功能，如果這些服務(wù)器（尤其是有大量的數(shù)據(jù)處理的服務(wù)器），一旦癱瘓或者因被人植入后門造成遠程控制竊取數(shù)據(jù)，后果將不堪設(shè)想。為了保證業(yè)務(wù)數(shù)據(jù)的正常流通和安全，需對這些重要的服務(wù)器進行全方位的防護。

　2.3 應(yīng)用層的安全分析 宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)與 Internet 相連，存在著包括 Web、FTP、E-mail、DNS 等各種 Internet 應(yīng)用。應(yīng)用系統(tǒng)的安全性主要考慮應(yīng)用系統(tǒng)與系統(tǒng)層和網(wǎng)絡(luò)層的安全服務(wù)無縫連接。在應(yīng)用層的安全問題，黑客往往抓住一些應(yīng)用服務(wù)的缺陷和弱點來對其進行攻擊的，比如針對錯誤的 Web 目錄結(jié)構(gòu)、CGI 腳本缺陷、Web 服務(wù)器應(yīng)用程序缺陷、為索引的 Web 頁、有缺陷的瀏覽器甚至是利用 Oracle、 SAP、 Peoplesoft 缺省帳戶。

　應(yīng)用層的安全威脅還包括對各種不良網(wǎng)絡(luò)內(nèi)容的訪問，比如內(nèi)網(wǎng)用戶訪問非法（如發(fā)布反動言論、宣揚法輪功等）或不良（色情、迷信）網(wǎng)站等。有的 Internet站點上還包含有害的 Java Applet 或 ActiveX 小程序，如果不慎訪問將有可能帶入病毒和木馬程序，甚至有的網(wǎng)頁可以通過一段簡單的代碼直接破壞訪問者計算機的數(shù)據(jù)和系統(tǒng)，對網(wǎng)絡(luò)安全和效率都將造成極大破壞。

　應(yīng)能對網(wǎng)絡(luò)應(yīng)用分析、內(nèi)容過濾與審計進行分析和控制 ? 網(wǎng)站訪問內(nèi)容審計和控制； ? 網(wǎng)站發(fā)貼（BBS）內(nèi)容審計和控制； ? 郵件收發(fā)、webmail 審計內(nèi)容審計和控制；

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 4

　? FTP、TELNET 內(nèi)容審計和控制； ? Https 行為審計和控制； ? Lotus 郵件信息審計和控制； ? 常見網(wǎng)絡(luò)在線游戲：QQ 在線游戲；聯(lián)眾在線游戲、中國游戲中心、邊鋒網(wǎng)絡(luò)游戲、遠航游戲中心、浩方網(wǎng)游審計和控制； ? 常見即時通訊：QQ、MSN、ICQ 和 YahooMessage 內(nèi)容審計控制和使用即時通訊的傳輸文件的控制； ? 音視頻行為審計和控制； ? P2P 下載：BT 和電驢的下載審計控制和下載的流量限制控制等。

　能針對互聯(lián)網(wǎng)的使用狀況，人員的上網(wǎng)習(xí)慣等進行分析。實現(xiàn)網(wǎng)絡(luò)訪問記錄、郵件訪問記錄、上網(wǎng)時間控制、禁止不良站點訪問等功能。提供優(yōu)秀的內(nèi)容安全控制功能。同時通過對其捕獲的網(wǎng)絡(luò)日志數(shù)據(jù)進行深入的挖掘和分析，提供完整的上網(wǎng)行為日志統(tǒng)計、分析功能，網(wǎng)絡(luò)流量趨勢分析等功能，還可以根據(jù)應(yīng)用特點生成圖文并茂的統(tǒng)計分析報表，為用戶在網(wǎng)絡(luò)管理、行政管理，企業(yè)文化建設(shè)等方面提供專業(yè)的分析和管理工具。

　2.4 網(wǎng)絡(luò)出口 病毒 風(fēng)險分析 計算機病毒一直是計算機安全的主要威脅。而隨著網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)速度越來越快，網(wǎng)絡(luò)應(yīng)用也越來越豐富多彩，使得病毒傳播的風(fēng)險也越來越大，造成的破壞也越來越強。據(jù)國際計算機安全協(xié)會的統(tǒng)計，目前已經(jīng)有超過 90%的病毒是通過網(wǎng)絡(luò)進行傳播的。宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)內(nèi)用戶訪問Internet 時，無論是瀏覽 WEB 頁面，還是通過 FTP 下載文件，或者是收發(fā) E-mail，都可能將 Internet 上的病毒帶入網(wǎng)內(nèi)。而近幾年泛濫成災(zāi)的網(wǎng)絡(luò)蠕蟲病毒（如紅色代碼、尼姆達、沖擊波、振蕩波等）跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進行傳播的基于文件的病毒有很大的不同，它們本身是一個病毒與黑客工具的結(jié)合體，當網(wǎng)絡(luò)當中一臺計算機感染蠕蟲病毒后，它會自動的以極快的速度（每秒幾百個線程）掃描網(wǎng)絡(luò)當中其他計算機的安全漏洞，并主動的將病毒傳播到那些存在安全漏洞的計算機上，只要相關(guān)的安全漏洞沒有通過安裝補丁的方式加以彌補，蠕蟲病毒就會這樣以幾何級數(shù)的增長速度在網(wǎng)絡(luò)當中傳播，即使計算機上安裝了帶有實時監(jiān)控功能的防病毒軟件（包括單機版和網(wǎng)絡(luò)版）對此也無能為力。蠕蟲病毒

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 5

　的傳播還會大量占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁堵，形成拒絕服務(wù)式攻擊（DoS）。

　因此，對于新型的網(wǎng)絡(luò)蠕蟲病毒，必須在網(wǎng)關(guān)處進行過濾，防止病毒進入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為未來防病毒體系中的重中之重，需要引起宜賓市政府信息中心電子政務(wù)的特別重視。

　統(tǒng)計數(shù)據(jù)：90%以上的病毒是通過 Internet 傳播的

　統(tǒng)計數(shù)據(jù)：Internet 防病毒網(wǎng)關(guān)需求正逐年增加 2.5 互聯(lián)網(wǎng) 多鏈路負載均衡 為了提升宜賓市政府信息中心的應(yīng)用系統(tǒng)，尤其是對外發(fā)布的門戶網(wǎng)站以及應(yīng)用系統(tǒng)的穩(wěn)定性和可靠行，宜賓市政府信息中心已經(jīng)部署多條互聯(lián)網(wǎng)鏈路以保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點故障，減少停機時間。目前需要在如下兩種

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 6

　情況下實現(xiàn)多條鏈路的負載均衡：

　1. 內(nèi)部的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)工作站在訪問互聯(lián)網(wǎng)絡(luò)的服務(wù)和網(wǎng)站時如何能夠在多條不同的鏈路中動態(tài)分配和負載均衡，這也被稱為出站流量的負載均衡。

　2. 互聯(lián)網(wǎng)絡(luò)的外部用戶如何在外部訪問內(nèi)部的網(wǎng)站和應(yīng)用系統(tǒng)時也能夠動態(tài)的在多條鏈路上平衡分配，并在一條鏈路中斷的時候能夠智能地自動切換到另外一條鏈路到達服務(wù)器和應(yīng)用系統(tǒng)，這也被稱作為入站流量的負載均衡。

　3 網(wǎng)絡(luò)安全方案設(shè)計原則 網(wǎng)絡(luò)安全的重要性已經(jīng)被人們所認可，而網(wǎng)絡(luò)安全的需求也是包含了從硬件物理到人為的信息安全服務(wù)，但網(wǎng)絡(luò)安全方案要做到全面、可擴充，其設(shè)計應(yīng)遵循以下原則：

　3.1 需求、風(fēng)險、代價平衡的原則 對任一網(wǎng)絡(luò)，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡(luò)要進行實際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等)，并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析，然后制定相應(yīng)的規(guī)范和措施，確定系統(tǒng)的安全策略。

　3.2 綜合性、整體性原則 應(yīng)運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認證技術(shù)、攻擊檢測技術(shù)、容錯、防病毒等)。一個較好的安全措施往往是多種方法適當綜合的應(yīng)用結(jié)果。

　計算機網(wǎng)絡(luò)的各個環(huán)節(jié)，包括個人(使用、維護、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等，在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的安全措施。不同的安全措施其代價、

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 7

　效果對不同網(wǎng)絡(luò)并不完全相同。計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

　3.3 一致性原則 一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期(或生命周期)同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(包括初步或詳細設(shè)計)及實施計劃、網(wǎng)絡(luò)驗證、驗收、運行等，都要有詳實的內(nèi)容及措施。實際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策，比在網(wǎng)絡(luò)建設(shè)完成后再考慮安全措施，不但容易，而且花費也少很多。

　3.4 易操作性原則 安全措施需要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運行。

　3.5 適應(yīng)性及靈活性原則 安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級。

　3.6 多重保護原則 任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

　3.7 可評價性原則 如何預(yù)先評價一個安全設(shè)計并驗證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認證機構(gòu)的評估來實現(xiàn)。

　網(wǎng)絡(luò)安全是整體的、動態(tài)的。網(wǎng)絡(luò)安全的整體性是指一個安全系統(tǒng)的建立，即包括采用相應(yīng)的安全設(shè)備，又包括相應(yīng)的管理手段。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。網(wǎng)絡(luò)安全的動態(tài)性是指，網(wǎng)絡(luò)安全是隨著環(huán)境、時間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個機器），原來安全的系統(tǒng)就變的不安全了；在一段時間里安全的

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 8

　系統(tǒng)，時間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因為黑客發(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會變的不安全了），原來的系統(tǒng)就會變的不安全。所以，網(wǎng)絡(luò)安全不是一勞永逸的事情。

　針對安全體系的特性，我們可以采用“統(tǒng)一規(guī)劃、分步實施”的原則。具體而言，我們可以先對網(wǎng)絡(luò)做一個比較全面的安全體系規(guī)劃，然后，根據(jù)我們網(wǎng)絡(luò)的實際應(yīng)用狀況，先建立一個基礎(chǔ)的安全防護體系，保證基本的、必需的安全性。隨著今后應(yīng)用的種類和復(fù)雜程度的增加，再在原來基礎(chǔ)防護體系之上，建立增強的安全防護體系。

　對于宜賓市政府信息中心電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全的設(shè)計，我們建議采取以上的原則，先對整個網(wǎng)絡(luò)進行整體的安全規(guī)劃，然后，根據(jù)實際狀況建立一個從防護——檢測——響應(yīng)的基礎(chǔ)的安全防護體系，保證整個網(wǎng)絡(luò)安全的最根本需要。

　4 解決方案

　4.1 網(wǎng)絡(luò)拓撲 通過和宜賓市政府信息中心溝通，按照其單位網(wǎng)絡(luò)架構(gòu)和需求情況，我們推薦使用杭州迪普科技的數(shù)據(jù)中心結(jié)構(gòu)化安全解決方案和深信服鏈路負載均衡解決方案。具體網(wǎng)絡(luò)拓撲部署情況如下：

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 9

　 我們在方案中選擇迪普品牌的安全防護解決方案，可以完全滿足用戶對防火墻和入侵抵御設(shè)備的要求，同時還可以提供邊界防病毒部署能力，為宜賓市政府信息中心提供周全的邊界安全防護解決方案。同時我們選擇的設(shè)備無論在端口數(shù)、服務(wù)功能、處理能力還是本地/遠程接入用戶數(shù)量上，均具備了一定的冗余能力，可以在將來的使用中為用戶節(jié)約更多的中體擁有成本，提供更好的投資保護。

　4.2 安全域邊界解決方案 邊界防護子系統(tǒng)由兩部分組成，防火墻和入侵抵御系統(tǒng)（以下均簡稱為IPS），防火墻為網(wǎng)絡(luò)提供基于 OSI 三到四層的強壯的安全保護服務(wù)，IPS 為網(wǎng)絡(luò)提供四到七層的精細化的安全防護服務(wù)。

　防火墻就是運行于軟件和硬件上的，安裝在特定網(wǎng)絡(luò)邊界的，實施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護屏障，防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源甚至破壞內(nèi)部網(wǎng)絡(luò)；可以把單位的公共

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 10

　網(wǎng)絡(luò)服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔開防止外部用戶以公共服務(wù)器為跳板私自接入內(nèi)部網(wǎng)絡(luò)；還能夠把重點服務(wù)器與內(nèi)部網(wǎng)絡(luò)隔離開防止內(nèi)部非授權(quán)用戶的隨意操作危害到服務(wù)器安全，對服務(wù)器進行重點防護。總之部署防火墻的目的就是保護高信任級別網(wǎng)絡(luò)不受來自低信任級別網(wǎng)絡(luò)的攻擊。

　防火墻作為傳統(tǒng)的網(wǎng)絡(luò)邊界安全防護設(shè)備，一直以來都是網(wǎng)絡(luò)中不可缺少的“守門員”，十幾年來，防火墻在網(wǎng)絡(luò)邊界大力提升了網(wǎng)絡(luò)安全性并逐步擺脫了網(wǎng)絡(luò)吞吐量瓶頸的障礙。但是，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，傳統(tǒng)的第三層防火墻只能在網(wǎng)絡(luò)隔離、端口封閉方面施展自己的能力，而對基于端口協(xié)議上的眾多細分業(yè)務(wù)和基于系統(tǒng)或軟件漏洞的攻擊無法控制（現(xiàn)在市面上陸續(xù)出現(xiàn)一些可對部分 7層業(yè)務(wù)進行操作的防火墻，部分決絕了這個問題，但無論在功能性還是覆蓋率等各方面都實在不夠?qū)�業(yè)），如 BT、Emule 等 P2P 業(yè)務(wù)、未經(jīng)授權(quán)的流量、后門軟件、攻擊流量等。于是發(fā)展出了基于第七層應(yīng)用層的安全設(shè)備，以按照業(yè)務(wù)或流量來保護網(wǎng)絡(luò)不受攻擊，盡管入侵檢測系統(tǒng)(IDS)曾一度出現(xiàn)，但旁路檢測與防火墻聯(lián)動的模式無法有效阻止攻擊或控制流量，因此并未得到發(fā)展。

　針對現(xiàn)在攻擊變化多、發(fā)展快、單包攻擊增多等新特點，以及用戶對流量精細化控制等方面的需求，必須采用在線的設(shè)備來應(yīng)對 ，即主動的入侵防御系統(tǒng)！

　入侵防護系統(tǒng)(IPS)是下一代安全系統(tǒng)的大趨勢。它不僅可進行檢測，還能在攻擊造成損壞前阻斷它們，從而實現(xiàn)對網(wǎng)絡(luò)安全主動的控制。

　毫無疑問，在線部署的基于第七層的主動式設(shè)備要求持續(xù)的無阻礙轉(zhuǎn)發(fā)，對吞吐量和可靠性性都提出了新的要求，就像防火墻剛剛出現(xiàn)一樣，設(shè)備性能和可靠性這兩個指標成為衡量一個設(shè)備是否合格的主要標準，而 IPS 設(shè)備經(jīng)常面對不斷變化的攻擊所需具備的多業(yè)務(wù)能力、功能擴展能力又對產(chǎn)品結(jié)構(gòu)提出了更高的要求。經(jīng)過綜合比較，迪普科技率先采用多核芯片結(jié)合 MPE（多業(yè)務(wù)并行處理引擎）安全處理平臺為 IPS 賦予了強大、可靠的處理能力和擴展能力。

　4.2.1 產(chǎn)品推薦 網(wǎng)絡(luò)建設(shè)不斷升級和優(yōu)化，防火墻系統(tǒng)已經(jīng)成為最基本和最重要的安全防護手段之一。

　迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累，具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺。是全球極少數(shù)可提供超萬兆防火墻產(chǎn)品的廠商。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 11

　針對應(yīng)用層威脅日益增多的趨勢，迪普科技創(chuàng)新性的推出了新一代 DPtech FW1000 系列應(yīng)用防火墻。

　DPtech FW1000 系列應(yīng)用防火墻基于“并行流過濾引擎”、“DPI”等核心技術(shù)，是目前業(yè)界性能最高、功能最全面的下一代防火墻產(chǎn)品。DPtechFW1000 系列應(yīng)用防火墻可以提供安全域劃分、VPN 接入、NAT 地址轉(zhuǎn)換、URL 過濾、攻擊防護、虛擬系統(tǒng)、行為管理、安全審計等功能，吞吐量最大可超萬兆，能夠滿足各種網(wǎng)絡(luò)環(huán)境下對防火墻高性能、高可靠和易管理的需求，是業(yè)務(wù)安全保障的最佳選擇。

　4.2.2 系統(tǒng)部署 迪普科技 FW1000 系列防火墻支持以下各種靈活組網(wǎng)模式：

　4.2.3 防火墻安全控制策略：

　? 防火墻設(shè)置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全； ? 打開允許通過的地址和端口

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 12

　? 配置防火墻防 DOS/DDOS 功能，對 Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進行防范，可以實現(xiàn)對各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬； ? 配置防火墻全面攻擊防范能力，包括 ARP 欺騙攻擊的防范，提供ARP 主動反向查詢、TCP 報文標志位不合法攻擊防范、超大 ICMP報文攻擊防范、地址/端口掃描的防范、ICMP 重定向或不可達報文控制功能、Tracert 報文控制功能、帶路由記錄選項 IP 報文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為； ? 在防火墻上配置 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換），保護內(nèi)網(wǎng)終端不直接暴露在外部網(wǎng)絡(luò)中。

　? 根據(jù)需要，配置 IP/MAC 綁定功能，對能夠識別 MAC 地址的主機進行鏈路層控制； ? 其他可選策略：

　? 根據(jù)需要，在防火墻上設(shè)置 QOS 規(guī)則，以防火墻的高處理性能實現(xiàn)對網(wǎng)絡(luò)流量的初步管理，有效的避免網(wǎng)絡(luò)帶寬的浪費和濫用，保護網(wǎng)絡(luò)帶寬，降低主流控設(shè)備 IPS 的壓力； ? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時間段規(guī)則，實現(xiàn)基于時間的訪問控制，可以組合時間特性，實現(xiàn)更加靈活的訪問控制能力； ? 在防火墻上進行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（E-mail、日志、SNMP 陷阱等），實現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用； ? 啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統(tǒng)計報表等資料，實現(xiàn)對網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計分析； DPTECH FW1000-GS-N 防火墻是一款基于多核技術(shù)實現(xiàn)的電信級千兆線速防火墻產(chǎn)品。產(chǎn)品采用模塊化設(shè)計，自帶了豐富的千兆光、電接口和兩個業(yè)務(wù)插槽，可根據(jù)用戶需求靈活配置網(wǎng)絡(luò)接口模塊，能夠較好地適應(yīng)各種網(wǎng)絡(luò)拓撲。本項目中即為用戶配置了 6 個千兆電口和 2 個千兆 SFP 光接口，并內(nèi)置硬件 VPN 加密模塊，便于靈活選擇端口組網(wǎng)。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 13

　 4.2.4 功能特色

　DPtech 防火墻具備如下特點：

　?

　率先采用先進的多核硬件架構(gòu)，實現(xiàn)超萬兆的安全防護 ?

　全內(nèi)置IPSec VPN、SSL VPN硬件加密 ?

　接口模塊和業(yè)務(wù)模塊的按需擴展 ?

　支持路由模式、透明模式、混合模式組網(wǎng) ?

　支持安全區(qū)域劃分、虛擬防火墻技術(shù) ?

　全面的URL過濾，實現(xiàn)細粒度的安全管理 ?

　冗余電源、狀態(tài)熱備等高可靠性 ?

　支持豐富的網(wǎng)絡(luò)協(xié)議，適應(yīng)各種復(fù)雜組網(wǎng)環(huán)境

　4.3 病毒防護體系建設(shè)

　隨著 IT 產(chǎn)業(yè)的發(fā)展，來自病毒、木馬和間諜軟件等威脅的日益增多,由于病毒攻擊目標沒有特定性，而且越來越隱蔽，一旦爆發(fā)將會帶來網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息泄漏、未經(jīng)授權(quán)的操作和數(shù)據(jù)丟失等嚴重后果，無疑將給用戶帶來巨大的經(jīng)濟損失和社會影響。

　現(xiàn)代病毒傳播途徑多樣化，也給病毒防護工作帶來難度，因為任何一個系統(tǒng)都有可能成為病毒傳播的“傳染源”，只有覆蓋網(wǎng)絡(luò)的各個方面才能防止網(wǎng)絡(luò)出現(xiàn)防毒“盲區(qū)”。在終端機器安裝防病毒軟件可以解決部分問題，但是這種方式較為被動，單機有時難以抵擋病毒的沖擊，結(jié)合部署具有防病毒網(wǎng)關(guān)才能將真正控制“病從口入”。

　隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，病毒技術(shù)也發(fā)生著一日千里的變化，病毒防護技術(shù)必將面臨更多的難題和挑戰(zhàn)。通過 DPtech IPS 的防病毒邊界保護，配合各單位自身的有效監(jiān)控、全面管理、合理防范，可以從容應(yīng)對層出不窮的病毒威脅，

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 14

　解除病毒的困擾。

　迪普科技與國際知名廠商卡巴斯基的戰(zhàn)略合作，將專業(yè)的防病毒引擎和權(quán)威的特征庫融入到 DPtech 安全產(chǎn)品中，以高性能、穩(wěn)定的多核電信級產(chǎn)品承載專業(yè)的防病毒庫，而每年低廉的升級費用即已經(jīng)包含了病毒庫的升級在內(nèi)。在以更專業(yè)、更優(yōu)質(zhì)的產(chǎn)品提升用戶網(wǎng)絡(luò)安全防護能力的同時，大大降低用戶投資和維護成本。

　機載病毒庫將病毒分為高流行度病毒、中流行度病毒和低流行度病毒三大類，可以在雙向提供不阻斷、阻斷、阻斷+向源 IP 發(fā)送 TCP Reset、阻斷+向目的 IP 發(fā)送 TCP Reset、阻斷+雙向發(fā)送 TCP Reset 五種選擇，同時可以選擇是否發(fā)送日志。

　由于此次用戶招標入侵抵御產(chǎn)品吞吐量較低，且并未包含防病毒方面的需求，此功能為我公司解決方案中額外提供，所以我們建議先從低級別開始設(shè)置。先開啟內(nèi)外網(wǎng)間的一路，采用單向阻斷的設(shè)置，再逐步按照用戶實際流量情況及設(shè)備處理能力（設(shè)備管理頁面首頁即是 CPU、內(nèi)存工作情況圖）通過兩路開啟、雙向開啟、阻斷+雙向發(fā)送 TCP Reset 開啟等步驟逐步向最高的保護級別提升。

　最終通過在關(guān)鍵節(jié)點部署網(wǎng)關(guān)防病毒，可以起到“閘門”的作用，既可以抵御來自外部的各種病毒威脅，對內(nèi)部網(wǎng)絡(luò)和重要服務(wù)器提供安全防護；又可以避免內(nèi)部信息被病毒、木馬、間諜軟件等泄露，避免將威脅擴散到外部網(wǎng)絡(luò)，從而實現(xiàn)雙向安全防護。

　4.4 入侵 防御 系統(tǒng)解決方案

　隨著各種網(wǎng)絡(luò)應(yīng)用的不斷豐富，傳統(tǒng)的基于網(wǎng)絡(luò)層的防護已經(jīng)無法滿足日益增多的應(yīng)用層攻擊，IPS(Intrusion Prevention System，入侵防御系統(tǒng)) 在線部署在網(wǎng)絡(luò)中，當流量經(jīng)過 IPS 時將被完全檢測并判斷是否合法，可以實時地抵御來自應(yīng)用層的各種攻擊。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 15

　 4.4.1 產(chǎn)品推薦 迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累，具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺，是全球唯一的可提供萬兆 IPS 產(chǎn)品的廠商。

　DPtech IPS2000 系列入侵防御系統(tǒng)基于“并行流過濾引擎”、“DPI”等核心技術(shù)，是針對系統(tǒng)漏洞、協(xié)議弱點、病毒蠕蟲、間諜軟件、惡意攻擊、流量異常等應(yīng)用層安全威脅的一體化專業(yè)防御平臺，部署 IPS2000 系列產(chǎn)品后，可以在網(wǎng)絡(luò)出口處、服務(wù)器群前針對所有流量進行檢測，并對檢測到的安全威脅進行實時抵御。

　DPtech IPS2000 系列入侵防御系統(tǒng)是目前業(yè)界性能最高、特征庫最豐富、功能最全面的 IPS 產(chǎn)品，能夠滿足各種網(wǎng)絡(luò)環(huán)境對應(yīng)用層安全防護的高性能、高可靠和易管理的需求。可以提供入侵防御/檢測、流量控制、病毒防范、DDoS 防護、網(wǎng)頁過濾等應(yīng)用層安全功能，是應(yīng)用層安全保障的最佳選擇。

　4.4.2 系統(tǒng)部署

　迪普科技 IPS2000 系列入侵防御系統(tǒng)支持以下各種靈活組網(wǎng)模式：

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 16

　 4.4.3 IPS 邊界安全控制策略 ? 使用默認IPS規(guī)則，安全防護級別選定中級，即“致命和嚴重攻擊阻斷并發(fā)送日志，其他攻擊不處理”。當然也可選擇高級“致命和嚴重攻擊阻斷并發(fā)送日志，其他攻擊只發(fā)送日志”，但會形成大量的無用日志。不建議選擇低級“致命攻擊阻斷并發(fā)送日志，嚴重攻擊只發(fā)送日志，其他攻擊不處理”，這會帶來重大的危險。默認的IPS規(guī)則提供了對操作系統(tǒng)、辦公軟件、應(yīng)用軟件、數(shù)據(jù)庫、WEB應(yīng)用瀏覽器及其它幾大分類的漏洞保護，有3000余條且在不斷更新，基本囊括了現(xiàn)在常見的各類軟件。

　? 開啟DDOS防護功能 ? 其它可供選擇的策略 ? 開啟網(wǎng)絡(luò)訪問帶寬限速 ? 開啟網(wǎng)絡(luò)訪問應(yīng)用控制，即對指定用戶的指定應(yīng)用組實施黑白名單管理，將不允許使用的軟件徹底阻斷，或阻斷所有應(yīng)用，只保留必須使用的軟件暢通。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 17

　? 開啟URL過濾，隔離色情、反動等不良網(wǎng)站對內(nèi)網(wǎng)用戶的影響。

　迪普 IPS 設(shè)備 IPS2000-GS-N 可以提供 12 個業(yè)務(wù)接口(其中 6 個千兆電口，6 個千兆 SFP 光口)，即最多可提供 6 路 IPS/IDS 的連接，不止可以滿足用戶現(xiàn)在需要，還為將來網(wǎng)絡(luò)升級、擴容、改造留出了充裕的空間。設(shè)備使用專用的GE 管理接口，不占用業(yè)務(wù)接口。

　在服務(wù)器前端部署 IPS 后，形成虛擬補丁保護服務(wù)器，管理員可不必再隨時冒險更新各類安全補丁或放棄打補丁，以免為服務(wù)器的正常運行帶來風(fēng)險。

　 4.4.4 功能特色

　IPS2000 入侵防御系統(tǒng)具備如下特點：

　?

　率先采用先進的多核硬件架構(gòu)，實現(xiàn)萬兆級的入侵防御 ?

　專業(yè)的系統(tǒng)漏洞防護，實現(xiàn)虛擬軟件補丁技術(shù) ?

　創(chuàng)新性地集成卡巴斯基的防病毒引擎

　?

　高效專業(yè)的DDoS防護能力 ?

　漏洞庫、協(xié)議庫、病毒庫三庫合一，持續(xù)自動更新

　?

　實時的響應(yīng)方式：阻斷、限流、隔離、重定向、E-mail ?

　靈活的部署模式：在線模式、監(jiān)聽模式、混合模式 ?

　無源直通、Fail-Open等高可靠性機制

　4.4.5 方案優(yōu)勢 迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累，具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺，是全球唯一的可提供萬兆 IPS 產(chǎn)品的廠商。

　DPtech IPS2000 系列入侵防御系統(tǒng)基于“并行流過濾引擎”、“DPI”等核心技術(shù)，是針對系統(tǒng)漏洞、協(xié)議弱點、病毒蠕蟲、間諜軟件、惡意攻擊、流量異常等應(yīng)用層安全威脅的一體化專業(yè)防御平臺，部署 IPS2000 系列產(chǎn)品后，可以在網(wǎng)絡(luò)

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 18

　出口處、服務(wù)器群前針對所有流量進行檢測，并對檢測到的安全威脅進行實時抵御。

　4.4.5.1 全面的攻擊檢測 ? 基于網(wǎng)絡(luò)的攻擊與檢測技術(shù) 入侵防御的基本功能是識別盡可能多的攻擊，同時又避免不必要的誤報，同時也需要保證企業(yè)有限的帶寬不被濫用，為了達到上述目標，單純的采用一種技術(shù)手段是無法做到的，迪普創(chuàng)新性的融合了多種內(nèi)容識別技術(shù)，保證了系統(tǒng)能夠快速高效的發(fā)現(xiàn)異常流量并阻斷，同時保證正常業(yè)務(wù)的開展，提供如下幾項技術(shù)：

　基于流的狀態(tài)特征檢測技術(shù)，基于攻擊固定特征的檢測這是 IDS/入侵防御最基本攻擊檢測技術(shù)，而基于流的狀態(tài)特征檢測技術(shù)與以往的不同的是，可以是基于協(xié)議上下文的特征檢測技術(shù)，這樣可以很好的避免誤報的發(fā)生；如某一個特征只在三次會話之后的 client 方向發(fā)生，則檢測時只會針對這部分數(shù)據(jù)流進行檢測，而不會引起誤報； ·協(xié)議異常檢測技術(shù)，通常也叫協(xié)議分析，即對照 RFC 規(guī)范對通訊的協(xié)議進行檢查，這對于檢測基于 RFC 未規(guī)范一些未知攻擊或新的攻擊非常有效；同時對于基于固定特征的逃逸也具有先天的免疫； ·智能的自適應(yīng)多層次防護技術(shù)，可以很好的解決 DoS/DDoS 攻擊防護問題，該技術(shù)通過對保護對象的流量進行流量學(xué)習(xí)和建模，針對不同的類型流量采用不同的動作，并通過不斷的學(xué)習(xí)調(diào)整等過程，保證保護對象避免 DDoS/DoS 攻擊的困擾； ·在應(yīng)用中識別威脅技術(shù)：

　融合協(xié)議識別和威脅識別的基礎(chǔ)上進行有狀態(tài)的深度威脅分析，從而更好減少誤報；·基于濫用誤用的帶寬管理技術(shù)：在應(yīng)用的智能識別基礎(chǔ)上，對于識別出的濫用和誤用協(xié)議可以進行多層次和多緯度的帶寬管理；

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 19

　4.4.5.2 精確的 威脅識別 ? 基于濫用誤用的帶寬管理技術(shù) 網(wǎng)絡(luò)“以內(nèi)容為王”造成了當前網(wǎng)絡(luò)上應(yīng)用的層出不窮，這種繁榮的背后意味著：必須對網(wǎng)絡(luò)中的應(yīng)用及其行為進行深入的感知和分析，對應(yīng)用的流量和行為進行細粒度分層次的管理，從而預(yù)防可能的濫用和誤用，杜絕各種應(yīng)用所引入的潛在威脅。迪普提出了應(yīng)用的智能識別、應(yīng)用層次劃分、細粒度應(yīng)用流量和行為管理、應(yīng)用支持升級等一系列技術(shù)，為用戶應(yīng)對應(yīng)用帶來的威脅提供了十分有效的管理手段。

　·應(yīng)用識別技術(shù)以對網(wǎng)絡(luò)應(yīng)用的模型化分析為基礎(chǔ)，能夠全方位、多角度識別網(wǎng)絡(luò)中的各種應(yīng)用，為應(yīng)用威脅管理提供有效支持：

　·支持對應(yīng)用進行樹形、層次化、可調(diào)整和可定義的管理，用戶可以在任何一個 Segment 上，在任意用戶群之間，對任意一級的應(yīng)用流量和行為進行控制。

　·支持對應(yīng)用進行可擴展的、層次化定義，可以對應(yīng)用進行快速的升級，從而快速實時應(yīng)對網(wǎng)絡(luò)中新出現(xiàn)的應(yīng)用及其帶來的威脅。

　? 在應(yīng)用中識別入侵威脅 迪普在強大的應(yīng)用識別基礎(chǔ)上進行有狀態(tài)的深度威脅分析，使入侵防御的入侵檢測和傳統(tǒng)的僅依據(jù)數(shù)據(jù)報文特征入侵檢測有本質(zhì)的不同。應(yīng)用識別以當前數(shù)據(jù)流的應(yīng)用識別結(jié)果為環(huán)境，指導(dǎo)系統(tǒng)有目的進行深度威脅分析，使入侵防御變成內(nèi)容管理指導(dǎo)下的一個環(huán)節(jié)；同時檢測結(jié)果在內(nèi)容環(huán)境下進行校驗和狀態(tài)分析，使入侵檢測的發(fā)現(xiàn)由單純特征發(fā)現(xiàn)演變成非法應(yīng)用行為模型和攻擊行為模型的發(fā)現(xiàn)。

　?

　2-7 層協(xié)議異常檢測

　在層次化的分析架構(gòu)下，為用戶網(wǎng)絡(luò)提供 2-7 層全方位的協(xié)議異常檢測。

　·識別鏈路層異常識別。支持對 MPLS，VLAN，QinQ 等封裝的逐層剝離和檢驗，支持對 ARP 攻擊的檢測。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 20

　·識別網(wǎng)絡(luò)層異常識別。對 IP 層進行細致的正規(guī)化處理，能夠識別畸形的 IP報文、蓄意構(gòu)造的 IP 分片、偽造 IP 地址的欺騙報文。

　·識別傳輸層異常識別。對 TCP、UDP、ICMP 進行細致的正規(guī)化處理。任何不滿足 RFC 規(guī)定或者有惡意利用系統(tǒng)漏洞嫌疑的報文都將被識別出來。

　·可擴展的應(yīng)用層異常識別。可以動態(tài)擴展新的應(yīng)用支持，而且在任何一個應(yīng)用層協(xié)議上，都可以對應(yīng)擴展相應(yīng)的異常檢測數(shù)字基因，進行有狀態(tài)的異常檢測。通過細致的協(xié)議分析和狀態(tài)檢測，識別出相應(yīng)協(xié)議層次上的異常。

　 2-7 層協(xié)議異常檢測 ? 拒絕服務(wù)檢測技術(shù) DoS/DDoS 攻擊從實現(xiàn)手法來看，主要表現(xiàn)為兩種，一種是利用漏洞實現(xiàn)DoS 的攻擊，如 Teardrop、Ping of Death 等，另外一種是通過模擬大量的實際應(yīng)用流量達到消耗目標主機的資源，從而達到 DoS/DDoS 攻擊的目的，通常DoS/DDoS 攻擊伴隨著源 IP 地址欺騙。從 DoS/DDoS 攻擊的對應(yīng)的協(xié)議層次來看，主要有：

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 21

　·二層相關(guān)的攻擊，如 ARP Flood； ·半連接接相關(guān)攻擊，如 TCP SYN Flood、UDP Flood、ICMP Flood； ·全連接相關(guān)的攻擊，如 TCP Connection 攻擊；如 TCP 空連接攻擊； ·應(yīng)用層相關(guān)的攻擊，如 HTTP Get Flood、DNS query Flood 等，其利用客戶端與服務(wù)器端流量不均衡的特點，采用小流量的請求包，消耗服務(wù)器的處理資源或者產(chǎn)生大流量的響應(yīng)，從而達到 DDoS/DoS 攻擊的目的； 根據(jù)對網(wǎng)絡(luò)流量進行分析和建模，在系統(tǒng)中形成不同的流量檢測和學(xué)習(xí)模板，在統(tǒng)計分析根據(jù)流量檢測模板進行流量學(xué)習(xí)和分析，在行為分析階段，則通過自動生成的動態(tài)過濾規(guī)則對異常流量進行過濾處理，動態(tài)或者靜態(tài)過濾規(guī)則部分根據(jù)不同的業(yè)務(wù)進行分別的處理，如針對 HTTP 進行 HTTP redirection，針對DNS 進行 DNS redirection，針對 IP 則進行 TTL 認證等動作，上述過程是一個閉環(huán)的循環(huán)動態(tài)的一個調(diào)整過程，系統(tǒng)中通過不斷的學(xué)習(xí)、調(diào)整和判斷以適應(yīng)網(wǎng)絡(luò)的情況并作出適當?shù)膭幼鳌?/p>

　檢測可以分成如下幾個階段：

　·策略構(gòu)建階段，即通過學(xué)習(xí)模板進行不同業(yè)務(wù)和正常情況進行學(xué)習(xí)，從而獲得不同流量類型的流量統(tǒng)計數(shù)據(jù)并生成檢測規(guī)則； ·調(diào)整階段，即通過策略構(gòu)建階段學(xué)習(xí)到的業(yè)務(wù)和流量(檢測規(guī)則)，進行重新學(xué)習(xí)和調(diào)整； ·檢測階段，在策略構(gòu)建和調(diào)整完成之后，通過上述檢測規(guī)則對網(wǎng)絡(luò)中的異常流量進行判斷，如果發(fā)現(xiàn)存在異常，則通過動態(tài)生成過濾規(guī)則對網(wǎng)絡(luò)流量進行過濾和驗證，如驗證源 IP 合法性、對發(fā)現(xiàn)異常的流量進行丟棄等； ? 基于流狀態(tài)特征檢測技術(shù) 通過使用自主的基于流狀態(tài)的特征檢測專利技術(shù)，有效地防范了漏報和誤報。

　對于流報文，如 TCP 流，若只是對一個個的單個報文作特征檢測，這會引入漏報。基于以上原理，攻擊者對攻擊流中的報文作分段處理，就可以有效地進行攻

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 22

　擊逃逸。通過流恢復(fù)，能夠一定程度地緩解這種攻擊逃逸的有效程度，但不能杜絕這類攻擊逃逸，同時引入了系統(tǒng)緩存負擔(dān)。通過基于流狀態(tài)的特征檢測專利技術(shù)，能夠有效地防范漏報，進而杜絕這類攻擊逃逸。

　對于流報文，如語音流、視頻流報文，若不進行識別，直接使用攻擊特征檢測，可能引入誤報。通過基于流狀態(tài)的特征檢測專利技術(shù)，能夠精確地識別出這類流報文，不作攻擊特征檢測，這有效地防范了誤報。

　4.4.5.3 多種 安全響應(yīng) 機制

　在檢測到攻擊時，根據(jù)規(guī)則配置的動作做出響應(yīng)。響應(yīng)動作可以是下面動作中的一個或多個的組合：允許（Permit）、阻斷（Block）、通知（Noti...

相關(guān)熱詞搜索：宜賓 網(wǎng)絡(luò)安全 市政府