宜賓市政府信息中心 網(wǎng)絡(luò)安全解決方案

　 2010 年 6 月

　I

　目錄

　1 宜賓市政府信息中心 IT 應(yīng)用現(xiàn)狀 .......................................................................................... 1 1.1 網(wǎng)絡(luò)規(guī)模 ....................................................................................................................... 1 1.2 網(wǎng)絡(luò)上的應(yīng)用 ............................................................................................................... 1 1.3 項(xiàng)目目標(biāo) ....................................................................................................................... 1 2 需求分析 ................................................................................................................................... 1 2.1 網(wǎng)絡(luò)層的安全分析 ....................................................................................................... 2 2.2 系統(tǒng)層的安全分析 ....................................................................................................... 3 2.3 應(yīng)用層的安全分析 ....................................................................................................... 3 2.4 網(wǎng)絡(luò)出口病毒風(fēng)險(xiǎn)分析 ............................................................................................... 4 2.5 互聯(lián)網(wǎng)多鏈路負(fù)載均衡 ............................................................................................... 5 3 網(wǎng)絡(luò)安全方案設(shè)計(jì)原則 ........................................................................................................... 6 3.1 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 ................................................................................... 6 3.2 綜合性、整體性原則 ................................................................................................... 6 3.3 一致性原則 ................................................................................................................... 7 3.4 易操作性原則 ............................................................................................................... 7 3.5 適應(yīng)性及靈活性原則 ................................................................................................... 7 3.6 多重保護(hù)原則 ............................................................................................................... 7 3.7 可評(píng)價(jià)性原則 ............................................................................................................... 7 4 解決方案 ................................................................................................................................... 8 4.1 網(wǎng)絡(luò)拓?fù)?....................................................................................................................... 8 4.2 安全域邊界解決方案 ................................................................................................... 9 4.2.1 產(chǎn)品推薦 ......................................................................................................... 10 4.2.2 系統(tǒng)部署 ......................................................................................................... 11 4.2.3 防火墻安全控制策略：

　................................................................................. 11 4.2.4 功能特色 ......................................................................................................... 13 4.3 病毒防護(hù)體系建設(shè) ..................................................................................................... 13 4.4 入侵防御系統(tǒng)解決方案 ............................................................................................. 14 4.4.1 產(chǎn)品推薦 ......................................................................................................... 15 4.4.2 系統(tǒng)部署 ......................................................................................................... 15 4.4.3 IPS 邊界安全控制策略 ................................................................................... 16 4.4.4 功能特色 ......................................................................................................... 17 4.4.5 方案優(yōu)勢(shì) ......................................................................................................... 17 4.5 風(fēng)險(xiǎn)評(píng)估及漏洞掃描解決方案 ................................................................................. 26 4.5.1 產(chǎn)品推薦 ......................................................................................................... 26 4.5.2 系統(tǒng)部署 ......................................................................................................... 27 4.5.3 功能特色 ......................................................................................................... 27 4.5.4 方案優(yōu)勢(shì) ......................................................................................................... 30 4.6 多鏈路負(fù)載均衡解決方案 ......................................................................................... 32 4.6.1 產(chǎn)品推薦 ......................................................................................................... 32 4.6.2 系統(tǒng)部署 ......................................................................................................... 32 4.6.3 功能特色 ......................................................................................................... 32 4.6.4 方案優(yōu)勢(shì) ......................................................................................................... 32 4.7 網(wǎng)絡(luò)管理平臺(tái)解決方案 ............................................................................................. 32 4.7.1 產(chǎn)品推薦 ......................................................................................................... 32 4.7.2 系統(tǒng)部署 ......................................................................................................... 32 4.7.3 功能特色 ......................................................................................................... 32

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 II

　4.7.4 方案優(yōu)勢(shì) ......................................................................................................... 32 4.8 安全管理平臺(tái)解決方案 ............................................................................................. 32 4.8.1 產(chǎn)品推薦 ......................................................................................................... 33 5 方案產(chǎn)品型號(hào)及數(shù)量 ............................................................................................................. 34 5.1 宜賓市政府信息中心安全設(shè)備清單 ......................................................................... 34 6 迪普科技簡介 ......................................................................................................................... 35 7 部分成功案例 ......................................................................................................................... 37 7.1 長春稅務(wù)學(xué)院 ............................................................................................................. 37 7.2 國家檔案局 ................................................................................................................. 38 7.3 浙江能源集團(tuán) ............................................................................................................. 38 7.4 河南南陽農(nóng)信聯(lián)社 ..................................................................................................... 39 7.5 西藏自治區(qū)質(zhì)監(jiān)局 ..................................................................................................... 40 7.6 西安通信學(xué)院 ............................................................................................................. 40 7.7 中石油華南銷售公司 ................................................................................................. 41 7.8 央視國際 ..................................................................................................................... 42

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 1

　 1 宜賓市政府信息中心 IT 應(yīng)用現(xiàn)狀 1.1 網(wǎng)絡(luò)規(guī)模

　1.2 網(wǎng)絡(luò)上的應(yīng)用

　1.3 項(xiàng)目目標(biāo) 采用國際、國內(nèi)網(wǎng)絡(luò)安全防護(hù)相關(guān)標(biāo)準(zhǔn)及及國家等級(jí)保護(hù)相關(guān)要求來整體規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)，通過分期建設(shè)達(dá)到網(wǎng)絡(luò)業(yè)務(wù)安全實(shí)際要求。

　通過在網(wǎng)絡(luò)中劃分出不同安全域進(jìn)行邊界區(qū)分接入與防護(hù)、更新出口防火墻的綜合防御能力及靈活的 VPN 接入方式、做到出口防火墻設(shè)備的冗余和性能大幅提升，為用戶未來五年的安全防護(hù)提供保障。

　在互聯(lián)網(wǎng)出口處，通過負(fù)載均衡設(shè)備自動(dòng)實(shí)現(xiàn)對(duì)電信線路和網(wǎng)通線路兩條線路的雙向負(fù)載均衡應(yīng)用。

　為了實(shí)現(xiàn)對(duì)深層攻擊的防御，彌補(bǔ)防火墻等設(shè)備的不足，在宜賓市政府信息中心服務(wù)器區(qū)域前端部署入侵防御系統(tǒng)（IPS：Instruction Prevention System）。入侵防御系統(tǒng)以在線方式部署，實(shí)時(shí)分析鏈路上的傳輸數(shù)據(jù)，對(duì)隱藏在 4-7 層特別是應(yīng)用層的攻擊行為進(jìn)行阻斷，專注的是深層防御、精確阻斷。同時(shí)，IPS 也提供對(duì)網(wǎng)絡(luò)濫用的檢測(cè)和阻斷能力。

　項(xiàng)目實(shí)施后，防火墻、入侵防御系統(tǒng)、負(fù)載均衡管理系統(tǒng)、風(fēng)險(xiǎn)評(píng)估漏洞掃描系統(tǒng)等設(shè)備一同構(gòu)成了一道全面的縱深防御體系，確保宜賓市政府信息中心網(wǎng)絡(luò)系統(tǒng)和關(guān)鍵業(yè)務(wù)的安全運(yùn)行。

　2 需求分析

　從宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)的實(shí)際情況來看，我們認(rèn)為應(yīng)該從以下幾個(gè)方面進(jìn)行全面的分析：

　? 鏈路層 ? 網(wǎng)絡(luò)層

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 2

　? 系統(tǒng)層 ? 應(yīng)用層 ? 防病毒 下面將分別進(jìn)行詳細(xì)的闡述。

　2.1 網(wǎng)絡(luò)層的安全分析 網(wǎng)絡(luò)設(shè)備主要包括宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)各節(jié)點(diǎn)上的路由器、交換機(jī)等設(shè)備。網(wǎng)絡(luò)層不僅為宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)提供連接通路和網(wǎng)絡(luò)數(shù)據(jù)交換的連接，而且是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路。由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的 TCP/IP 協(xié)議并非專為安全通訊而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。整個(gè)網(wǎng)絡(luò)面臨著來自網(wǎng)絡(luò)外部和內(nèi)部的雙重威脅。

　尤其在外網(wǎng) Internet 中存在著大量的黑客攻擊，他們常常針對(duì) web 服務(wù)器和郵件服務(wù)器作為突破口，進(jìn)行網(wǎng)絡(luò)攻擊和滲透。常見得一些手法如下：IP 欺騙、重放或重演、拒絕服務(wù)攻擊（SYN FLOOD，PING FLOOD 等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等。黑客可以容易的在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)出口進(jìn)出，對(duì)系統(tǒng)進(jìn)行攻擊或非法訪問。

　而在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)內(nèi)部，基本上還沒有嚴(yán)格的防范措施，其中的安全隱患不言而喻。如果加上安全管理上的不夠完善等因素，或者在已有的服務(wù)器與單機(jī)中存在著后門程序（木馬程序）的話，攻擊者就可以很容易地取得網(wǎng)絡(luò)管理員權(quán)限，從而進(jìn)一步控制計(jì)算機(jī)系統(tǒng)，網(wǎng)絡(luò)中大量的數(shù)據(jù)就會(huì)被竊取和破壞。

　根據(jù)木桶原理，網(wǎng)絡(luò)中只要一個(gè)地方出現(xiàn)了安全問題，那么整個(gè)網(wǎng)絡(luò)都是不安全的。因此，在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)出口處應(yīng)配置應(yīng)用級(jí)防火墻來加強(qiáng)訪問控制，并部署入侵監(jiān)控系統(tǒng)，杜絕可能存在的安全隱患，來保證網(wǎng)絡(luò)安全可靠的正常運(yùn)行。

　由于宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)是一個(gè)跨地域的廣域網(wǎng)，有很多需要對(duì)外保密的業(yè)務(wù)數(shù)據(jù)需要通過 Internet 公用網(wǎng)絡(luò)鏈路進(jìn)行傳輸，而公眾網(wǎng)（Internet）一般沒有網(wǎng)絡(luò)安全措施，采用明文方式傳輸數(shù)據(jù)，如果不加密很容易被非法分子竊取數(shù)據(jù)，病毒攻擊以及黑客入侵。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 3

　2.2 系統(tǒng)層的安全分析 在宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)中有著多種不同的操作系統(tǒng)，如：Windows、 Linux 等等，這些系統(tǒng)都或多或少地存在著各種各樣的漏洞。如果這些操作系統(tǒng)沒有進(jìn)行系統(tǒng)的加固和正確的安全配置，而只是按照原來系統(tǒng)的默認(rèn)安裝，這樣的主機(jī)系統(tǒng)是極其不安全的。一名黑客可以通過 Unicode、緩存溢出、造成死機(jī)等方式進(jìn)行破壞，甚至取得主機(jī)管理員的權(quán)限。此外，在網(wǎng)絡(luò)中，一些黑客利用系統(tǒng)管理員的疏忽用缺省用戶的權(quán)限和密碼口令就可以輕松地進(jìn)入系統(tǒng)修改權(quán)限，從而控制主機(jī)。

　宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)中存在一定量的服務(wù)器，如：數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、文件等等，而這些服務(wù)器都擔(dān)負(fù)著重要的服務(wù)功能，如果這些服務(wù)器（尤其是有大量的數(shù)據(jù)處理的服務(wù)器），一旦癱瘓或者因被人植入后門造成遠(yuǎn)程控制竊取數(shù)據(jù)，后果將不堪設(shè)想。為了保證業(yè)務(wù)數(shù)據(jù)的正常流通和安全，需對(duì)這些重要的服務(wù)器進(jìn)行全方位的防護(hù)。

　2.3 應(yīng)用層的安全分析 宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)與 Internet 相連，存在著包括 Web、FTP、E-mail、DNS 等各種 Internet 應(yīng)用。應(yīng)用系統(tǒng)的安全性主要考慮應(yīng)用系統(tǒng)與系統(tǒng)層和網(wǎng)絡(luò)層的安全服務(wù)無縫連接。在應(yīng)用層的安全問題，黑客往往抓住一些應(yīng)用服務(wù)的缺陷和弱點(diǎn)來對(duì)其進(jìn)行攻擊的，比如針對(duì)錯(cuò)誤的 Web 目錄結(jié)構(gòu)、CGI 腳本缺陷、Web 服務(wù)器應(yīng)用程序缺陷、為索引的 Web 頁、有缺陷的瀏覽器甚至是利用 Oracle、 SAP、 Peoplesoft 缺省帳戶。

　應(yīng)用層的安全威脅還包括對(duì)各種不良網(wǎng)絡(luò)內(nèi)容的訪問，比如內(nèi)網(wǎng)用戶訪問非法（如發(fā)布反動(dòng)言論、宣揚(yáng)法輪功等）或不良（色情、迷信）網(wǎng)站等。有的 Internet站點(diǎn)上還包含有害的 Java Applet 或 ActiveX 小程序，如果不慎訪問將有可能帶入病毒和木馬程序，甚至有的網(wǎng)頁可以通過一段簡單的代碼直接破壞訪問者計(jì)算機(jī)的數(shù)據(jù)和系統(tǒng)，對(duì)網(wǎng)絡(luò)安全和效率都將造成極大破壞。

　應(yīng)能對(duì)網(wǎng)絡(luò)應(yīng)用分析、內(nèi)容過濾與審計(jì)進(jìn)行分析和控制 ? 網(wǎng)站訪問內(nèi)容審計(jì)和控制； ? 網(wǎng)站發(fā)貼（BBS）內(nèi)容審計(jì)和控制； ? 郵件收發(fā)、webmail 審計(jì)內(nèi)容審計(jì)和控制；

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 4

　? FTP、TELNET 內(nèi)容審計(jì)和控制； ? Https 行為審計(jì)和控制； ? Lotus 郵件信息審計(jì)和控制； ? 常見網(wǎng)絡(luò)在線游戲：QQ 在線游戲；聯(lián)眾在線游戲、中國游戲中心、邊鋒網(wǎng)絡(luò)游戲、遠(yuǎn)航游戲中心、浩方網(wǎng)游審計(jì)和控制； ? 常見即時(shí)通訊：QQ、MSN、ICQ 和 YahooMessage 內(nèi)容審計(jì)控制和使用即時(shí)通訊的傳輸文件的控制； ? 音視頻行為審計(jì)和控制； ? P2P 下載：BT 和電驢的下載審計(jì)控制和下載的流量限制控制等。

　能針對(duì)互聯(lián)網(wǎng)的使用狀況，人員的上網(wǎng)習(xí)慣等進(jìn)行分析。實(shí)現(xiàn)網(wǎng)絡(luò)訪問記錄、郵件訪問記錄、上網(wǎng)時(shí)間控制、禁止不良站點(diǎn)訪問等功能。提供優(yōu)秀的內(nèi)容安全控制功能。同時(shí)通過對(duì)其捕獲的網(wǎng)絡(luò)日志數(shù)據(jù)進(jìn)行深入的挖掘和分析，提供完整的上網(wǎng)行為日志統(tǒng)計(jì)、分析功能，網(wǎng)絡(luò)流量趨勢(shì)分析等功能，還可以根據(jù)應(yīng)用特點(diǎn)生成圖文并茂的統(tǒng)計(jì)分析報(bào)表，為用戶在網(wǎng)絡(luò)管理、行政管理，企業(yè)文化建設(shè)等方面提供專業(yè)的分析和管理工具。

　2.4 網(wǎng)絡(luò)出口 病毒 風(fēng)險(xiǎn)分析 計(jì)算機(jī)病毒一直是計(jì)算機(jī)安全的主要威脅。而隨著網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)速度越來越快，網(wǎng)絡(luò)應(yīng)用也越來越豐富多彩，使得病毒傳播的風(fēng)險(xiǎn)也越來越大，造成的破壞也越來越強(qiáng)。據(jù)國際計(jì)算機(jī)安全協(xié)會(huì)的統(tǒng)計(jì)，目前已經(jīng)有超過 90%的病毒是通過網(wǎng)絡(luò)進(jìn)行傳播的。宜賓市政府信息中心電子政務(wù)網(wǎng)絡(luò)內(nèi)用戶訪問Internet 時(shí)，無論是瀏覽 WEB 頁面，還是通過 FTP 下載文件，或者是收發(fā) E-mail，都可能將 Internet 上的病毒帶入網(wǎng)內(nèi)。而近幾年泛濫成災(zāi)的網(wǎng)絡(luò)蠕蟲病毒（如紅色代碼、尼姆達(dá)、沖擊波、振蕩波等）跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進(jìn)行傳播的基于文件的病毒有很大的不同，它們本身是一個(gè)病毒與黑客工具的結(jié)合體，當(dāng)網(wǎng)絡(luò)當(dāng)中一臺(tái)計(jì)算機(jī)感染蠕蟲病毒后，它會(huì)自動(dòng)的以極快的速度（每秒幾百個(gè)線程）掃描網(wǎng)絡(luò)當(dāng)中其他計(jì)算機(jī)的安全漏洞，并主動(dòng)的將病毒傳播到那些存在安全漏洞的計(jì)算機(jī)上，只要相關(guān)的安全漏洞沒有通過安裝補(bǔ)丁的方式加以彌補(bǔ)，蠕蟲病毒就會(huì)這樣以幾何級(jí)數(shù)的增長速度在網(wǎng)絡(luò)當(dāng)中傳播，即使計(jì)算機(jī)上安裝了帶有實(shí)時(shí)監(jiān)控功能的防病毒軟件（包括單機(jī)版和網(wǎng)絡(luò)版）對(duì)此也無能為力。蠕蟲病毒

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 5

　的傳播還會(huì)大量占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁堵，形成拒絕服務(wù)式攻擊（DoS）。

　因此，對(duì)于新型的網(wǎng)絡(luò)蠕蟲病毒，必須在網(wǎng)關(guān)處進(jìn)行過濾，防止病毒進(jìn)入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為未來防病毒體系中的重中之重，需要引起宜賓市政府信息中心電子政務(wù)的特別重視。

　統(tǒng)計(jì)數(shù)據(jù)：90%以上的病毒是通過 Internet 傳播的

　統(tǒng)計(jì)數(shù)據(jù)：Internet 防病毒網(wǎng)關(guān)需求正逐年增加 2.5 互聯(lián)網(wǎng) 多鏈路負(fù)載均衡 為了提升宜賓市政府信息中心的應(yīng)用系統(tǒng)，尤其是對(duì)外發(fā)布的門戶網(wǎng)站以及應(yīng)用系統(tǒng)的穩(wěn)定性和可靠行，宜賓市政府信息中心已經(jīng)部署多條互聯(lián)網(wǎng)鏈路以保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點(diǎn)故障，減少停機(jī)時(shí)間。目前需要在如下兩種

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 6

　情況下實(shí)現(xiàn)多條鏈路的負(fù)載均衡：

　1. 內(nèi)部的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)工作站在訪問互聯(lián)網(wǎng)絡(luò)的服務(wù)和網(wǎng)站時(shí)如何能夠在多條不同的鏈路中動(dòng)態(tài)分配和負(fù)載均衡，這也被稱為出站流量的負(fù)載均衡。

　2. 互聯(lián)網(wǎng)絡(luò)的外部用戶如何在外部訪問內(nèi)部的網(wǎng)站和應(yīng)用系統(tǒng)時(shí)也能夠動(dòng)態(tài)的在多條鏈路上平衡分配，并在一條鏈路中斷的時(shí)候能夠智能地自動(dòng)切換到另外一條鏈路到達(dá)服務(wù)器和應(yīng)用系統(tǒng)，這也被稱作為入站流量的負(fù)載均衡。

　3 網(wǎng)絡(luò)安全方案設(shè)計(jì)原則 網(wǎng)絡(luò)安全的重要性已經(jīng)被人們所認(rèn)可，而網(wǎng)絡(luò)安全的需求也是包含了從硬件物理到人為的信息安全服務(wù)，但網(wǎng)絡(luò)安全方案要做到全面、可擴(kuò)充，其設(shè)計(jì)應(yīng)遵循以下原則：

　3.1 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)，并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定相應(yīng)的規(guī)范和措施，確定系統(tǒng)的安全策略。

　3.2 綜合性、整體性原則 應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認(rèn)證技術(shù)、攻擊檢測(cè)技術(shù)、容錯(cuò)、防病毒等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。

　計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)，包括個(gè)人(使用、維護(hù)、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等，在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的安全措施。不同的安全措施其代價(jià)、

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 7

　效果對(duì)不同網(wǎng)絡(luò)并不完全相同。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

　3.3 一致性原則 一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)(包括初步或詳細(xì)設(shè)計(jì))及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有詳實(shí)的內(nèi)容及措施。實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)完成后再考慮安全措施，不但容易，而且花費(fèi)也少很多。

　3.4 易操作性原則 安全措施需要人去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。

　3.5 適應(yīng)性及靈活性原則 安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。

　3.6 多重保護(hù)原則 任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

　3.7 可評(píng)價(jià)性原則 如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來實(shí)現(xiàn)。

　網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的。網(wǎng)絡(luò)安全的整體性是指一個(gè)安全系統(tǒng)的建立，即包括采用相應(yīng)的安全設(shè)備，又包括相應(yīng)的管理手段。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。網(wǎng)絡(luò)安全的動(dòng)態(tài)性是指，網(wǎng)絡(luò)安全是隨著環(huán)境、時(shí)間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個(gè)機(jī)器），原來安全的系統(tǒng)就變的不安全了；在一段時(shí)間里安全的

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 8

　系統(tǒng)，時(shí)間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因?yàn)楹诳桶l(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會(huì)變的不安全了），原來的系統(tǒng)就會(huì)變的不安全。所以，網(wǎng)絡(luò)安全不是一勞永逸的事情。

　針對(duì)安全體系的特性，我們可以采用“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。具體而言，我們可以先對(duì)網(wǎng)絡(luò)做一個(gè)比較全面的安全體系規(guī)劃，然后，根據(jù)我們網(wǎng)絡(luò)的實(shí)際應(yīng)用狀況，先建立一個(gè)基礎(chǔ)的安全防護(hù)體系，保證基本的、必需的安全性。隨著今后應(yīng)用的種類和復(fù)雜程度的增加，再在原來基礎(chǔ)防護(hù)體系之上，建立增強(qiáng)的安全防護(hù)體系。

　對(duì)于宜賓市政府信息中心電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全的設(shè)計(jì)，我們建議采取以上的原則，先對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行整體的安全規(guī)劃，然后，根據(jù)實(shí)際狀況建立一個(gè)從防護(hù)——檢測(cè)——響應(yīng)的基礎(chǔ)的安全防護(hù)體系，保證整個(gè)網(wǎng)絡(luò)安全的最根本需要。

　4 解決方案

　4.1 網(wǎng)絡(luò)拓?fù)?通過和宜賓市政府信息中心溝通，按照其單位網(wǎng)絡(luò)架構(gòu)和需求情況，我們推薦使用杭州迪普科技的數(shù)據(jù)中心結(jié)構(gòu)化安全解決方案和深信服鏈路負(fù)載均衡解決方案。具體網(wǎng)絡(luò)拓?fù)洳渴鹎闆r如下：

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 9

　 我們?cè)诜桨钢羞x擇迪普品牌的安全防護(hù)解決方案，可以完全滿足用戶對(duì)防火墻和入侵抵御設(shè)備的要求，同時(shí)還可以提供邊界防病毒部署能力，為宜賓市政府信息中心提供周全的邊界安全防護(hù)解決方案。同時(shí)我們選擇的設(shè)備無論在端口數(shù)、服務(wù)功能、處理能力還是本地/遠(yuǎn)程接入用戶數(shù)量上，均具備了一定的冗余能力，可以在將來的使用中為用戶節(jié)約更多的中體擁有成本，提供更好的投資保護(hù)。

　4.2 安全域邊界解決方案 邊界防護(hù)子系統(tǒng)由兩部分組成，防火墻和入侵抵御系統(tǒng)（以下均簡稱為IPS），防火墻為網(wǎng)絡(luò)提供基于 OSI 三到四層的強(qiáng)壯的安全保護(hù)服務(wù)，IPS 為網(wǎng)絡(luò)提供四到七層的精細(xì)化的安全防護(hù)服務(wù)。

　防火墻就是運(yùn)行于軟件和硬件上的，安裝在特定網(wǎng)絡(luò)邊界的，實(shí)施網(wǎng)間訪問控制的一組組件的集合。它在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成一道安全保護(hù)屏障，防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源甚至破壞內(nèi)部網(wǎng)絡(luò)；可以把單位的公共

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 10

　網(wǎng)絡(luò)服務(wù)器和內(nèi)部網(wǎng)絡(luò)隔開防止外部用戶以公共服務(wù)器為跳板私自接入內(nèi)部網(wǎng)絡(luò)；還能夠把重點(diǎn)服務(wù)器與內(nèi)部網(wǎng)絡(luò)隔離開防止內(nèi)部非授權(quán)用戶的隨意操作危害到服務(wù)器安全，對(duì)服務(wù)器進(jìn)行重點(diǎn)防護(hù)�？傊渴鸱阑饓Φ哪康木褪潜Ｗo(hù)高信任級(jí)別網(wǎng)絡(luò)不受來自低信任級(jí)別網(wǎng)絡(luò)的攻擊。

　防火墻作為傳統(tǒng)的網(wǎng)絡(luò)邊界安全防護(hù)設(shè)備，一直以來都是網(wǎng)絡(luò)中不可缺少的“守門員”，十幾年來，防火墻在網(wǎng)絡(luò)邊界大力提升了網(wǎng)絡(luò)安全性并逐步擺脫了網(wǎng)絡(luò)吞吐量瓶頸的障礙。但是，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，傳統(tǒng)的第三層防火墻只能在網(wǎng)絡(luò)隔離、端口封閉方面施展自己的能力，而對(duì)基于端口協(xié)議上的眾多細(xì)分業(yè)務(wù)和基于系統(tǒng)或軟件漏洞的攻擊無法控制（現(xiàn)在市面上陸續(xù)出現(xiàn)一些可對(duì)部分 7層業(yè)務(wù)進(jìn)行操作的防火墻，部分決絕了這個(gè)問題，但無論在功能性還是覆蓋率等各方面都實(shí)在不夠?qū)I(yè)），如 BT、Emule 等 P2P 業(yè)務(wù)、未經(jīng)授權(quán)的流量、后門軟件、攻擊流量等。于是發(fā)展出了基于第七層應(yīng)用層的安全設(shè)備，以按照業(yè)務(wù)或流量來保護(hù)網(wǎng)絡(luò)不受攻擊，盡管入侵檢測(cè)系統(tǒng)(IDS)曾一度出現(xiàn)，但旁路檢測(cè)與防火墻聯(lián)動(dòng)的模式無法有效阻止攻擊或控制流量，因此并未得到發(fā)展。

　針對(duì)現(xiàn)在攻擊變化多、發(fā)展快、單包攻擊增多等新特點(diǎn)，以及用戶對(duì)流量精細(xì)化控制等方面的需求，必須采用在線的設(shè)備來應(yīng)對(duì) ，即主動(dòng)的入侵防御系統(tǒng)！

　入侵防護(hù)系統(tǒng)(IPS)是下一代安全系統(tǒng)的大趨勢(shì)。它不僅可進(jìn)行檢測(cè)，還能在攻擊造成損壞前阻斷它們，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全主動(dòng)的控制。

　毫無疑問，在線部署的基于第七層的主動(dòng)式設(shè)備要求持續(xù)的無阻礙轉(zhuǎn)發(fā)，對(duì)吞吐量和可靠性性都提出了新的要求，就像防火墻剛剛出現(xiàn)一樣，設(shè)備性能和可靠性這兩個(gè)指標(biāo)成為衡量一個(gè)設(shè)備是否合格的主要標(biāo)準(zhǔn)，而 IPS 設(shè)備經(jīng)常面對(duì)不斷變化的攻擊所需具備的多業(yè)務(wù)能力、功能擴(kuò)展能力又對(duì)產(chǎn)品結(jié)構(gòu)提出了更高的要求。經(jīng)過綜合比較，迪普科技率先采用多核芯片結(jié)合 MPE（多業(yè)務(wù)并行處理引擎）安全處理平臺(tái)為 IPS 賦予了強(qiáng)大、可靠的處理能力和擴(kuò)展能力。

　4.2.1 產(chǎn)品推薦 網(wǎng)絡(luò)建設(shè)不斷升級(jí)和優(yōu)化，防火墻系統(tǒng)已經(jīng)成為最基本和最重要的安全防護(hù)手段之一。

　迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累，具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺(tái)。是全球極少數(shù)可提供超萬兆防火墻產(chǎn)品的廠商。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 11

　針對(duì)應(yīng)用層威脅日益增多的趨勢(shì)，迪普科技創(chuàng)新性的推出了新一代 DPtech FW1000 系列應(yīng)用防火墻。

　DPtech FW1000 系列應(yīng)用防火墻基于“并行流過濾引擎”、“DPI”等核心技術(shù)，是目前業(yè)界性能最高、功能最全面的下一代防火墻產(chǎn)品。DPtechFW1000 系列應(yīng)用防火墻可以提供安全域劃分、VPN 接入、NAT 地址轉(zhuǎn)換、URL 過濾、攻擊防護(hù)、虛擬系統(tǒng)、行為管理、安全審計(jì)等功能，吞吐量最大可超萬兆，能夠滿足各種網(wǎng)絡(luò)環(huán)境下對(duì)防火墻高性能、高可靠和易管理的需求，是業(yè)務(wù)安全保障的最佳選擇。

　4.2.2 系統(tǒng)部署 迪普科技 FW1000 系列防火墻支持以下各種靈活組網(wǎng)模式：

　4.2.3 防火墻安全控制策略：

　? 防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全； ? 打開允許通過的地址和端口

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 12

　? 配置防火墻防 DOS/DDOS 功能，對(duì) Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對(duì)各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬； ? 配置防火墻全面攻擊防范能力，包括 ARP 欺騙攻擊的防范，提供ARP 主動(dòng)反向查詢、TCP 報(bào)文標(biāo)志位不合法攻擊防范、超大 ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP 重定向或不可達(dá)報(bào)文控制功能、Tracert 報(bào)文控制功能、帶路由記錄選項(xiàng) IP 報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為； ? 在防火墻上配置 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換），保護(hù)內(nèi)網(wǎng)終端不直接暴露在外部網(wǎng)絡(luò)中。

　? 根據(jù)需要，配置 IP/MAC 綁定功能，對(duì)能夠識(shí)別 MAC 地址的主機(jī)進(jìn)行鏈路層控制； ? 其他可選策略：

　? 根據(jù)需要，在防火墻上設(shè)置 QOS 規(guī)則，以防火墻的高處理性能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的初步管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)網(wǎng)絡(luò)帶寬，降低主流控設(shè)備 IPS 的壓力； ? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問控制能力； ? 在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（E-mail、日志、SNMP 陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用； ? 啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計(jì)分析； DPTECH FW1000-GS-N 防火墻是一款基于多核技術(shù)實(shí)現(xiàn)的電信級(jí)千兆線速防火墻產(chǎn)品。產(chǎn)品采用模塊化設(shè)計(jì)，自帶了豐富的千兆光、電接口和兩個(gè)業(yè)務(wù)插槽，可根據(jù)用戶需求靈活配置網(wǎng)絡(luò)接口模塊，能夠較好地適應(yīng)各種網(wǎng)絡(luò)拓?fù)�。本�?xiàng)目中即為用戶配置了 6 個(gè)千兆電口和 2 個(gè)千兆 SFP 光接口，并內(nèi)置硬件 VPN 加密模塊，便于靈活選擇端口組網(wǎng)。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 13

　 4.2.4 功能特色

　DPtech 防火墻具備如下特點(diǎn)：

　?

　率先采用先進(jìn)的多核硬件架構(gòu)，實(shí)現(xiàn)超萬兆的安全防護(hù) ?

　全內(nèi)置IPSec VPN、SSL VPN硬件加密 ?

　接口模塊和業(yè)務(wù)模塊的按需擴(kuò)展 ?

　支持路由模式、透明模式、混合模式組網(wǎng) ?

　支持安全區(qū)域劃分、虛擬防火墻技術(shù) ?

　全面的URL過濾，實(shí)現(xiàn)細(xì)粒度的安全管理 ?

　冗余電源、狀態(tài)熱備等高可靠性 ?

　支持豐富的網(wǎng)絡(luò)協(xié)議，適應(yīng)各種復(fù)雜組網(wǎng)環(huán)境

　4.3 病毒防護(hù)體系建設(shè)

　隨著 IT 產(chǎn)業(yè)的發(fā)展，來自病毒、木馬和間諜軟件等威脅的日益增多,由于病毒攻擊目標(biāo)沒有特定性，而且越來越隱蔽，一旦爆發(fā)將會(huì)帶來網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息泄漏、未經(jīng)授權(quán)的操作和數(shù)據(jù)丟失等嚴(yán)重后果，無疑將給用戶帶來巨大的經(jīng)濟(jì)損失和社會(huì)影響。

　現(xiàn)代病毒傳播途徑多樣化，也給病毒防護(hù)工作帶來難度，因?yàn)槿魏我粋�(gè)系統(tǒng)都有可能成為病毒傳播的“傳染源”，只有覆蓋網(wǎng)絡(luò)的各個(gè)方面才能防止網(wǎng)絡(luò)出現(xiàn)防毒“盲區(qū)”。在終端機(jī)器安裝防病毒軟件可以解決部分問題，但是這種方式較為被動(dòng)，單機(jī)有時(shí)難以抵擋病毒的沖擊，結(jié)合部署具有防病毒網(wǎng)關(guān)才能將真正控制“病從口入”。

　隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，病毒技術(shù)也發(fā)生著一日千里的變化，病毒防護(hù)技術(shù)必將面臨更多的難題和挑戰(zhàn)。通過 DPtech IPS 的防病毒邊界保護(hù)，配合各單位自身的有效監(jiān)控、全面管理、合理防范，可以從容應(yīng)對(duì)層出不窮的病毒威脅，

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 14

　解除病毒的困擾。

　迪普科技與國際知名廠商卡巴斯基的戰(zhàn)略合作，將專業(yè)的防病毒引擎和權(quán)威的特征庫融入到 DPtech 安全產(chǎn)品中，以高性能、穩(wěn)定的多核電信級(jí)產(chǎn)品承載專業(yè)的防病毒庫，而每年低廉的升級(jí)費(fèi)用即已經(jīng)包含了病毒庫的升級(jí)在內(nèi)。在以更專業(yè)、更優(yōu)質(zhì)的產(chǎn)品提升用戶網(wǎng)絡(luò)安全防護(hù)能力的同時(shí)，大大降低用戶投資和維護(hù)成本。

　機(jī)載病毒庫將病毒分為高流行度病毒、中流行度病毒和低流行度病毒三大類，可以在雙向提供不阻斷、阻斷、阻斷+向源 IP 發(fā)送 TCP Reset、阻斷+向目的 IP 發(fā)送 TCP Reset、阻斷+雙向發(fā)送 TCP Reset 五種選擇，同時(shí)可以選擇是否發(fā)送日志。

　由于此次用戶招標(biāo)入侵抵御產(chǎn)品吞吐量較低，且并未包含防病毒方面的需求，此功能為我公司解決方案中額外提供，所以我們建議先從低級(jí)別開始設(shè)置。先開啟內(nèi)外網(wǎng)間的一路，采用單向阻斷的設(shè)置，再逐步按照用戶實(shí)際流量情況及設(shè)備處理能力（設(shè)備管理頁面首頁即是 CPU、內(nèi)存工作情況圖）通過兩路開啟、雙向開啟、阻斷+雙向發(fā)送 TCP Reset 開啟等步驟逐步向最高的保護(hù)級(jí)別提升。

　最終通過在關(guān)鍵節(jié)點(diǎn)部署網(wǎng)關(guān)防病毒，可以起到“閘門”的作用，既可以抵御來自外部的各種病毒威脅，對(duì)內(nèi)部網(wǎng)絡(luò)和重要服務(wù)器提供安全防護(hù)；又可以避免內(nèi)部信息被病毒、木馬、間諜軟件等泄露，避免將威脅擴(kuò)散到外部網(wǎng)絡(luò)，從而實(shí)現(xiàn)雙向安全防護(hù)。

　4.4 入侵 防御 系統(tǒng)解決方案

　隨著各種網(wǎng)絡(luò)應(yīng)用的不斷豐富，傳統(tǒng)的基于網(wǎng)絡(luò)層的防護(hù)已經(jīng)無法滿足日益增多的應(yīng)用層攻擊，IPS(Intrusion Prevention System，入侵防御系統(tǒng)) 在線部署在網(wǎng)絡(luò)中，當(dāng)流量經(jīng)過 IPS 時(shí)將被完全檢測(cè)并判斷是否合法，可以實(shí)時(shí)地抵御來自應(yīng)用層的各種攻擊。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 15

　 4.4.1 產(chǎn)品推薦 迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累，具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺(tái)，是全球唯一的可提供萬兆 IPS 產(chǎn)品的廠商。

　DPtech IPS2000 系列入侵防御系統(tǒng)基于“并行流過濾引擎”、“DPI”等核心技術(shù)，是針對(duì)系統(tǒng)漏洞、協(xié)議弱點(diǎn)、病毒蠕蟲、間諜軟件、惡意攻擊、流量異常等應(yīng)用層安全威脅的一體化專業(yè)防御平臺(tái)，部署 IPS2000 系列產(chǎn)品后，可以在網(wǎng)絡(luò)出口處、服務(wù)器群前針對(duì)所有流量進(jìn)行檢測(cè)，并對(duì)檢測(cè)到的安全威脅進(jìn)行實(shí)時(shí)抵御。

　DPtech IPS2000 系列入侵防御系統(tǒng)是目前業(yè)界性能最高、特征庫最豐富、功能最全面的 IPS 產(chǎn)品，能夠滿足各種網(wǎng)絡(luò)環(huán)境對(duì)應(yīng)用層安全防護(hù)的高性能、高可靠和易管理的需求。可以提供入侵防御/檢測(cè)、流量控制、病毒防范、DDoS 防護(hù)、網(wǎng)頁過濾等應(yīng)用層安全功能，是應(yīng)用層安全保障的最佳選擇。

　4.4.2 系統(tǒng)部署

　迪普科技 IPS2000 系列入侵防御系統(tǒng)支持以下各種靈活組網(wǎng)模式：

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 16

　 4.4.3 IPS 邊界安全控制策略 ? 使用默認(rèn)IPS規(guī)則，安全防護(hù)級(jí)別選定中級(jí)，即“致命和嚴(yán)重攻擊阻斷并發(fā)送日志，其他攻擊不處理”。當(dāng)然也可選擇高級(jí)“致命和嚴(yán)重攻擊阻斷并發(fā)送日志，其他攻擊只發(fā)送日志”，但會(huì)形成大量的無用日志。不建議選擇低級(jí)“致命攻擊阻斷并發(fā)送日志，嚴(yán)重攻擊只發(fā)送日志，其他攻擊不處理”，這會(huì)帶來重大的危險(xiǎn)。默認(rèn)的IPS規(guī)則提供了對(duì)操作系統(tǒng)、辦公軟件、應(yīng)用軟件、數(shù)據(jù)庫、WEB應(yīng)用瀏覽器及其它幾大分類的漏洞保護(hù)，有3000余條且在不斷更新，基本囊括了現(xiàn)在常見的各類軟件。

　? 開啟DDOS防護(hù)功能 ? 其它可供選擇的策略 ? 開啟網(wǎng)絡(luò)訪問帶寬限速 ? 開啟網(wǎng)絡(luò)訪問應(yīng)用控制，即對(duì)指定用戶的指定應(yīng)用組實(shí)施黑白名單管理，將不允許使用的軟件徹底阻斷，或阻斷所有應(yīng)用，只保留必須使用的軟件暢通。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 17

　? 開啟URL過濾，隔離色情、反動(dòng)等不良網(wǎng)站對(duì)內(nèi)網(wǎng)用戶的影響。

　迪普 IPS 設(shè)備 IPS2000-GS-N 可以提供 12 個(gè)業(yè)務(wù)接口(其中 6 個(gè)千兆電口，6 個(gè)千兆 SFP 光口)，即最多可提供 6 路 IPS/IDS 的連接，不止可以滿足用戶現(xiàn)在需要，還為將來網(wǎng)絡(luò)升級(jí)、擴(kuò)容、改造留出了充裕的空間。設(shè)備使用專用的GE 管理接口，不占用業(yè)務(wù)接口。

　在服務(wù)器前端部署 IPS 后，形成虛擬補(bǔ)丁保護(hù)服務(wù)器，管理員可不必再隨時(shí)冒險(xiǎn)更新各類安全補(bǔ)丁或放棄打補(bǔ)丁，以免為服務(wù)器的正常運(yùn)行帶來風(fēng)險(xiǎn)。

　 4.4.4 功能特色

　IPS2000 入侵防御系統(tǒng)具備如下特點(diǎn)：

　?

　率先采用先進(jìn)的多核硬件架構(gòu)，實(shí)現(xiàn)萬兆級(jí)的入侵防御 ?

　專業(yè)的系統(tǒng)漏洞防護(hù)，實(shí)現(xiàn)虛擬軟件補(bǔ)丁技術(shù) ?

　創(chuàng)新性地集成卡巴斯基的防病毒引擎

　?

　高效專業(yè)的DDoS防護(hù)能力 ?

　漏洞庫、協(xié)議庫、病毒庫三庫合一，持續(xù)自動(dòng)更新

　?

　實(shí)時(shí)的響應(yīng)方式：阻斷、限流、隔離、重定向、E-mail ?

　靈活的部署模式：在線模式、監(jiān)聽模式、混合模式 ?

　無源直通、Fail-Open等高可靠性機(jī)制

　4.4.5 方案優(yōu)勢(shì) 迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累，具有自主研發(fā)的 100G 應(yīng)用層硬件處理平臺(tái)，是全球唯一的可提供萬兆 IPS 產(chǎn)品的廠商。

　DPtech IPS2000 系列入侵防御系統(tǒng)基于“并行流過濾引擎”、“DPI”等核心技術(shù)，是針對(duì)系統(tǒng)漏洞、協(xié)議弱點(diǎn)、病毒蠕蟲、間諜軟件、惡意攻擊、流量異常等應(yīng)用層安全威脅的一體化專業(yè)防御平臺(tái)，部署 IPS2000 系列產(chǎn)品后，可以在網(wǎng)絡(luò)

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 18

　出口處、服務(wù)器群前針對(duì)所有流量進(jìn)行檢測(cè)，并對(duì)檢測(cè)到的安全威脅進(jìn)行實(shí)時(shí)抵御。

　4.4.5.1 全面的攻擊檢測(cè) ? 基于網(wǎng)絡(luò)的攻擊與檢測(cè)技術(shù) 入侵防御的基本功能是識(shí)別盡可能多的攻擊，同時(shí)又避免不必要的誤報(bào)，同時(shí)也需要保證企業(yè)有限的帶寬不被濫用，為了達(dá)到上述目標(biāo)，單純的采用一種技術(shù)手段是無法做到的，迪普創(chuàng)新性的融合了多種內(nèi)容識(shí)別技術(shù)，保證了系統(tǒng)能夠快速高效的發(fā)現(xiàn)異常流量并阻斷，同時(shí)保證正常業(yè)務(wù)的開展，提供如下幾項(xiàng)技術(shù)：

　基于流的狀態(tài)特征檢測(cè)技術(shù)，基于攻擊固定特征的檢測(cè)這是 IDS/入侵防御最基本攻擊檢測(cè)技術(shù)，而基于流的狀態(tài)特征檢測(cè)技術(shù)與以往的不同的是，可以是基于協(xié)議上下文的特征檢測(cè)技術(shù)，這樣可以很好的避免誤報(bào)的發(fā)生；如某一個(gè)特征只在三次會(huì)話之后的 client 方向發(fā)生，則檢測(cè)時(shí)只會(huì)針對(duì)這部分?jǐn)?shù)據(jù)流進(jìn)行檢測(cè)，而不會(huì)引起誤報(bào)； ·協(xié)議異常檢測(cè)技術(shù)，通常也叫協(xié)議分析，即對(duì)照 RFC 規(guī)范對(duì)通訊的協(xié)議進(jìn)行檢查，這對(duì)于檢測(cè)基于 RFC 未規(guī)范一些未知攻擊或新的攻擊非常有效；同時(shí)對(duì)于基于固定特征的逃逸也具有先天的免疫； ·智能的自適應(yīng)多層次防護(hù)技術(shù)，可以很好的解決 DoS/DDoS 攻擊防護(hù)問題，該技術(shù)通過對(duì)保護(hù)對(duì)象的流量進(jìn)行流量學(xué)習(xí)和建模，針對(duì)不同的類型流量采用不同的動(dòng)作，并通過不斷的學(xué)習(xí)調(diào)整等過程，保證保護(hù)對(duì)象避免 DDoS/DoS 攻擊的困擾； ·在應(yīng)用中識(shí)別威脅技術(shù)：

　融合協(xié)議識(shí)別和威脅識(shí)別的基礎(chǔ)上進(jìn)行有狀態(tài)的深度威脅分析，從而更好減少誤報(bào)；·基于濫用誤用的帶寬管理技術(shù)：在應(yīng)用的智能識(shí)別基礎(chǔ)上，對(duì)于識(shí)別出的濫用和誤用協(xié)議可以進(jìn)行多層次和多緯度的帶寬管理；

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 19

　4.4.5.2 精確的 威脅識(shí)別 ? 基于濫用誤用的帶寬管理技術(shù) 網(wǎng)絡(luò)“以內(nèi)容為王”造成了當(dāng)前網(wǎng)絡(luò)上應(yīng)用的層出不窮，這種繁榮的背后意味著：必須對(duì)網(wǎng)絡(luò)中的應(yīng)用及其行為進(jìn)行深入的感知和分析，對(duì)應(yīng)用的流量和行為進(jìn)行細(xì)粒度分層次的管理，從而預(yù)防可能的濫用和誤用，杜絕各種應(yīng)用所引入的潛在威脅。迪普提出了應(yīng)用的智能識(shí)別、應(yīng)用層次劃分、細(xì)粒度應(yīng)用流量和行為管理、應(yīng)用支持升級(jí)等一系列技術(shù)，為用戶應(yīng)對(duì)應(yīng)用帶來的威脅提供了十分有效的管理手段。

　·應(yīng)用識(shí)別技術(shù)以對(duì)網(wǎng)絡(luò)應(yīng)用的模型化分析為基礎(chǔ)，能夠全方位、多角度識(shí)別網(wǎng)絡(luò)中的各種應(yīng)用，為應(yīng)用威脅管理提供有效支持：

　·支持對(duì)應(yīng)用進(jìn)行樹形、層次化、可調(diào)整和可定義的管理，用戶可以在任何一個(gè) Segment 上，在任意用戶群之間，對(duì)任意一級(jí)的應(yīng)用流量和行為進(jìn)行控制。

　·支持對(duì)應(yīng)用進(jìn)行可擴(kuò)展的、層次化定義，可以對(duì)應(yīng)用進(jìn)行快速的升級(jí)，從而快速實(shí)時(shí)應(yīng)對(duì)網(wǎng)絡(luò)中新出現(xiàn)的應(yīng)用及其帶來的威脅。

　? 在應(yīng)用中識(shí)別入侵威脅 迪普在強(qiáng)大的應(yīng)用識(shí)別基礎(chǔ)上進(jìn)行有狀態(tài)的深度威脅分析，使入侵防御的入侵檢測(cè)和傳統(tǒng)的僅依據(jù)數(shù)據(jù)報(bào)文特征入侵檢測(cè)有本質(zhì)的不同。應(yīng)用識(shí)別以當(dāng)前數(shù)據(jù)流的應(yīng)用識(shí)別結(jié)果為環(huán)境，指導(dǎo)系統(tǒng)有目的進(jìn)行深度威脅分析，使入侵防御變成內(nèi)容管理指導(dǎo)下的一個(gè)環(huán)節(jié)；同時(shí)檢測(cè)結(jié)果在內(nèi)容環(huán)境下進(jìn)行校驗(yàn)和狀態(tài)分析，使入侵檢測(cè)的發(fā)現(xiàn)由單純特征發(fā)現(xiàn)演變成非法應(yīng)用行為模型和攻擊行為模型的發(fā)現(xiàn)。

　?

　2-7 層協(xié)議異常檢測(cè)

　在層次化的分析架構(gòu)下，為用戶網(wǎng)絡(luò)提供 2-7 層全方位的協(xié)議異常檢測(cè)。

　·識(shí)別鏈路層異常識(shí)別。支持對(duì) MPLS，VLAN，QinQ 等封裝的逐層剝離和檢驗(yàn)，支持對(duì) ARP 攻擊的檢測(cè)。

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 20

　·識(shí)別網(wǎng)絡(luò)層異常識(shí)別。對(duì) IP 層進(jìn)行細(xì)致的正規(guī)化處理，能夠識(shí)別畸形的 IP報(bào)文、蓄意構(gòu)造的 IP 分片、偽造 IP 地址的欺騙報(bào)文。

　·識(shí)別傳輸層異常識(shí)別。對(duì) TCP、UDP、ICMP 進(jìn)行細(xì)致的正規(guī)化處理。任何不滿足 RFC 規(guī)定或者有惡意利用系統(tǒng)漏洞嫌疑的報(bào)文都將被識(shí)別出來。

　·可擴(kuò)展的應(yīng)用層異常識(shí)別�？梢詣�(dòng)態(tài)擴(kuò)展新的應(yīng)用支持，而且在任何一個(gè)應(yīng)用層協(xié)議上，都可以對(duì)應(yīng)擴(kuò)展相應(yīng)的異常檢測(cè)數(shù)字基因，進(jìn)行有狀態(tài)的異常檢測(cè)。通過細(xì)致的協(xié)議分析和狀態(tài)檢測(cè)，識(shí)別出相應(yīng)協(xié)議層次上的異常。

　 2-7 層協(xié)議異常檢測(cè) ? 拒絕服務(wù)檢測(cè)技術(shù) DoS/DDoS 攻擊從實(shí)現(xiàn)手法來看，主要表現(xiàn)為兩種，一種是利用漏洞實(shí)現(xiàn)DoS 的攻擊，如 Teardrop、Ping of Death 等，另外一種是通過模擬大量的實(shí)際應(yīng)用流量達(dá)到消耗目標(biāo)主機(jī)的資源，從而達(dá)到 DoS/DDoS 攻擊的目的，通常DoS/DDoS 攻擊伴隨著源 IP 地址欺騙。從 DoS/DDoS 攻擊的對(duì)應(yīng)的協(xié)議層次來看，主要有：

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 21

　·二層相關(guān)的攻擊，如 ARP Flood； ·半連接接相關(guān)攻擊，如 TCP SYN Flood、UDP Flood、ICMP Flood； ·全連接相關(guān)的攻擊，如 TCP Connection 攻擊；如 TCP 空連接攻擊； ·應(yīng)用層相關(guān)的攻擊，如 HTTP Get Flood、DNS query Flood 等，其利用客戶端與服務(wù)器端流量不均衡的特點(diǎn)，采用小流量的請(qǐng)求包，消耗服務(wù)器的處理資源或者產(chǎn)生大流量的響應(yīng)，從而達(dá)到 DDoS/DoS 攻擊的目的； 根據(jù)對(duì)網(wǎng)絡(luò)流量進(jìn)行分析和建模，在系統(tǒng)中形成不同的流量檢測(cè)和學(xué)習(xí)模板，在統(tǒng)計(jì)分析根據(jù)流量檢測(cè)模板進(jìn)行流量學(xué)習(xí)和分析，在行為分析階段，則通過自動(dòng)生成的動(dòng)態(tài)過濾規(guī)則對(duì)異常流量進(jìn)行過濾處理，動(dòng)態(tài)或者靜態(tài)過濾規(guī)則部分根據(jù)不同的業(yè)務(wù)進(jìn)行分別的處理，如針對(duì) HTTP 進(jìn)行 HTTP redirection，針對(duì)DNS 進(jìn)行 DNS redirection，針對(duì) IP 則進(jìn)行 TTL 認(rèn)證等動(dòng)作，上述過程是一個(gè)閉環(huán)的循環(huán)動(dòng)態(tài)的一個(gè)調(diào)整過程，系統(tǒng)中通過不斷的學(xué)習(xí)、調(diào)整和判斷以適應(yīng)網(wǎng)絡(luò)的情況并作出適當(dāng)?shù)膭?dòng)作。

　檢測(cè)可以分成如下幾個(gè)階段：

　·策略構(gòu)建階段，即通過學(xué)習(xí)模板進(jìn)行不同業(yè)務(wù)和正常情況進(jìn)行學(xué)習(xí)，從而獲得不同流量類型的流量統(tǒng)計(jì)數(shù)據(jù)并生成檢測(cè)規(guī)則； ·調(diào)整階段，即通過策略構(gòu)建階段學(xué)習(xí)到的業(yè)務(wù)和流量(檢測(cè)規(guī)則)，進(jìn)行重新學(xué)習(xí)和調(diào)整； ·檢測(cè)階段，在策略構(gòu)建和調(diào)整完成之后，通過上述檢測(cè)規(guī)則對(duì)網(wǎng)絡(luò)中的異常流量進(jìn)行判斷，如果發(fā)現(xiàn)存在異常，則通過動(dòng)態(tài)生成過濾規(guī)則對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾和驗(yàn)證，如驗(yàn)證源 IP 合法性、對(duì)發(fā)現(xiàn)異常的流量進(jìn)行丟棄等； ? 基于流狀態(tài)特征檢測(cè)技術(shù) 通過使用自主的基于流狀態(tài)的特征檢測(cè)專利技術(shù)，有效地防范了漏報(bào)和誤報(bào)。

　對(duì)于流報(bào)文，如 TCP 流，若只是對(duì)一個(gè)個(gè)的單個(gè)報(bào)文作特征檢測(cè)，這會(huì)引入漏報(bào)。基于以上原理，攻擊者對(duì)攻擊流中的報(bào)文作分段處理，就可以有效地進(jìn)行攻

　宜賓市政府信息中心網(wǎng)絡(luò)安全解決方案 22

　擊逃逸。通過流恢復(fù)，能夠一定程度地緩解這種攻擊逃逸的有效程度，但不能杜絕這類攻擊逃逸，同時(shí)引入了系統(tǒng)緩存負(fù)擔(dān)。通過基于流狀態(tài)的特征檢測(cè)專利技術(shù)，能夠有效地防范漏報(bào)，進(jìn)而杜絕這類攻擊逃逸。

　對(duì)于流報(bào)文，如語音流、視頻流報(bào)文，若不進(jìn)行識(shí)別，直接使用攻擊特征檢測(cè)，可能引入誤報(bào)。通過基于流狀態(tài)的特征檢測(cè)專利技術(shù)，能夠精確地識(shí)別出這類流報(bào)文，不作攻擊特征檢測(cè)，這有效地防范了誤報(bào)。

　4.4.5.3 多種 安全響應(yīng) 機(jī)制

　在檢測(cè)到攻擊時(shí)，根據(jù)規(guī)則配置的動(dòng)作做出響應(yīng)。響應(yīng)動(dòng)作可以是下面動(dòng)作中的一個(gè)或多個(gè)的組合：允許（Permit）、阻斷（Block）、通知（Noti...

相關(guān)熱詞搜索：宜賓 網(wǎng)絡(luò)安全 市政府