《XXX医院网络安全集成方案.doc》由会员分享,可在线阅读,更多相关《XXX医院网络安全集成方案.doc(51页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精品文档 仅供参考 学习与交流XXX医院网络安全集成方案【精品文档】第 49 页XXX医院网络安全集成方案目 录第1章 网络概况31.1网络概况31.2网络拓朴示意图3第2章 需求和目标32.1安全需求分析32.2物理安全风险分析32.2.1网络层安全风险分析42.2.2 系统层安全威胁分析52.2.3 应用层安全威胁分析52.2.4 管理层安全威胁分析62.3 建设目标7第3章 网络安全解决方案73.1 设计原则73.2 网络安全区域划分83.3 确定安全方案内涵83.3.1物理层安全解决方案83.3.3.1设备的物理防护83.3.2网络层安全解决方案83.3.2.1网络层访问控制83.3.
2、2.2 网络安全检测93.3.3应用层安全解决方案103.3.3.1基于个人主机的安全建议103.3.3.2防病毒安全技术建议103.3.4管理层安全解决方案10第4章 安全系统部署11第5章 设备选型建议115.1捷普防火墙115.1.1性能参数表125.1.2技术特点125.1.3功能简介135.2捷普入侵检测系统165.2.1主要功能165.2.2系统特点195.3 卡巴斯基网络版反病毒软件205.3.1Windows 95/98/ME/XP/NT Workstation/2000 Pro客户端反病毒产品205.3.2 Windows NT /2000 Server 服务器反病毒产品21
3、5.3.3 管理工具225.3.4 卡巴斯基反病毒产品的主要功能23第1章 网络概况1.1 网络概况1.2 网络拓朴示意图第2章 需求和目标2.1安全需求分析网络应用给人们带来了无尽的好处,但随着网络应用扩大网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。而这些风险与网络系统结构和系统的应用等因素密切相关。下面我们根据XXX医院的现状,将XXX医院全网的信息安全划分为5个层次:物理层、网络层、系统层、应用层及管理层,然后针对每个层次上可能出现的
4、问题一一分析。2.2物理安全风险分析网络物理安全是整个网络系统安全的前提。物理安全的风险主要有:地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足可能造成原本可以防止但实际发生了的事故。2.2.1网络层安全风险分析(1) 外网的安全风险分析由于外连互联网,而互联网的开放性、互连性,使其拥有庞大信息资源,在给我们带来便利的同时,也带来了威胁,如计算机病毒、黑客、非法信息、计算机犯罪等,我们在上网时不可避免的会受其影响,所以主要存在的威胁包括:l 来自外
5、部网络的各种攻击,如黑客(间谍)攻击、网络病毒攻击等。l 浏览、接收、传播境外反动势力的反动言论以及淫秽色情信息,产生极坏的政治及社会影响。l 利用邮件、FTP、BBS等互联网应用传送或发布涉及国家秘密的信息,造成国家秘密的泄漏,危及国家安全。l 访问带有“木马“病毒的网页或阅读夹带“木马“病毒的邮件,导致被远程控制和硬盘数据被窃取或删除,变成“傀儡”机,危及整个网络。l 黑客发动针对网络的攻击,造成网关设备、公共信息服务器的瘫痪,影响正常的互联网应用;l 黑客利用公共信息服务器(WEB服务器、Mail服务器等)存在的漏洞,成功入侵并远程控制,将其作为跳板入侵本地网络或其他网络;l 一些工作人
6、员在办公过程中,使用QQ、OICQ等即时通讯工具时,可能被黑客利用其漏洞进行远程控制或攻击。(2) 内网的安全风险分析根据调查,在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如:n 内部人员的非授权访问:网络内部的一些资源不是对任何的工作人员都开放的,内部用户的非授权的访问,更容易造成网络内部的资源和重要信息的泄漏。n 工作人员使用Modem或其他手段连接互联网,使涉密主机及涉密网暴露在互联网上,引发泄密事件和被黑客、病毒攻击。n 内部人员的恶意攻击:就网络安全来说,据统计约有70左右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的优势,因此,对来自内部用户攻击的防范
7、是非常重要,而且是必要的。n 外来人员(或间谍)使用便携机接入网络,造成秘密信息的泄漏或病毒传播,并且无法追查。n 来自内部的黑客通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。n 内部黑客通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网的重要信息。2.2.2 系统层安全威胁分析(1) 操作系统的安全风险对于目前应用广泛的主流操作系统,无论是Microsoft的Windows NT或者其
8、他任何商用UNIX操作系统,除了程序本身存在的各种各样的设计缺陷(BUG,安全漏洞),还有其开发厂商留有的后门(Back-Door)。(2) 病毒的攻击 病毒的传播途径越来越广,传播速度越来越快,造成的危害越来越大,几乎到了令人防不胜防的地步。病毒的传染高效率和巨大的危害性也对计算机信息安全出了新的要求。2.2.3 应用层安全威胁分析应用层的安全跟具体的应用有关,它涉及很多方面。应用城的安全是动态的、不断变化的。系统应用是不断发展的且应用类型是不断增加的,但由于人为因素等原因,导致任何应用系统都可能存在各种各样的缺陷(安全漏洞),而安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也
9、是一个随网络发展不断完善的过程。 (1) 身份认证和授权的安全漏洞由于传统使用的系统登录和权限认证是基于静态口令方式,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。这样非法用户通过网络窃听、非法数据库访问、穷举攻击、页面回放甚至窃取他人密码等手段很容易得到这种静态口令,然后利用获得相应的权限,就可对资源进行非法访问和越权操作。(2) 服务器的安全需求服务器是应用系统中系统服务的硬件基础,如果服务器工作不正常,将会导致整个应用系统无法运行。如何保证这些设备的正常运行,是XXX医院的基本安全需求。服务器的基本安全要求:n 在受到攻击的情况下,能够保证服务器继续正常运行;n 服务器上
10、存储的数据不被窃取或破坏;n 保证服务器的高可用性和冗余的特性;n 进行合理的访问控制,防止非法攻击。(3) 个人终端的安全需求网络中的个人终端是最难管理也是安全最薄弱的地方,例如:随意使用他人的个人终端,将使本机上的涉密信息泄漏;使用移动存储器拷贝机密文件,产生泄密而无法监控;使用笔记本电脑在内、外网间切换,而造成涉密信息的泄漏;文件(包括共享文件),被人随意拷贝、浏览、编辑,造成泄密无法监控;随意使用打印机打印文件,造成泄密而无法监控;个别人员随意修改IP、MAC地址导致网络的混乱;使用Modem拨号上网会将内网直接暴露在互联网上,使所有安全措施形同虚设;安装各种软件、游戏不但会将病毒带入
11、网络,还会导致操作系统的混乱,增加网管人员的维护量;个别人员私自更换设备硬件导致公共资产的流失等等,因此对于个人终端的管理是非常重要的,而且是必要的。2.2.4 管理层安全威胁分析一个书面的、完善的、容易实施的安全策略可以为网络系统筑起安全屏障,但安全策略中的弱点也会引起一些安全问题,下面是一些安全策略弱点的例子:l 缺少书面的安全策略:非书面的安全策略无法被一致应用或执行;l 内部政治:政治斗争、扯皮和内部冲突将阻碍一致的安全策略的制定和执行;l 缺乏延续性:人员的频繁更换导致不稳定的安全途径l 没有对网络设备施加逻辑访问控制:执行和管理不佳的用户口令流程有可能导致对网络的非授权访问l 安全
12、管理(包括监控和审计)松懈:监控、审计和漏洞修补的不充分会允许攻击和非授权使用可以继续下去;l 不知道已经被攻击了:可能不知道自己已经被攻击了,因为他没有密切监视网络情况,也没有使用入侵检测系统;l 软件和硬件的安装及修改不遵守策略:对网络拓扑结构的非授权修改和未经同意的应用程序安装会产生安全漏洞l 安全事件响应和灾难恢复流程不到位:如果缺乏安全事件响应和灾难恢复计划,一旦有安全事件影响网络,就会导致混乱和恐慌。总之,实现严谨可靠的网络安全,除必须的网络安全设备作为基础之外,更加核心的要素是网络的安全管理。通过专业的安全服务是实现网络安全管理便捷有效的途径。任何先进的设备都有它的局限性,安全设
13、备只能在一定的层次上解决问题,原因如下:1) 基于过滤机制的防火墙只能基于IP层和TCP层的安全手段。2) 防御基于应用层次的攻击行为,只能依靠升级服务器软件来实施。3) 网络攻击手段随着技术的发展而不断发展,网络安全设备也需要不断的升级换代。4) 网络使用人员需要安全概念,即使网络设备再先进也于事无补。2.3 建设目标根据xxx医院的实际需求和网络现状,xxx医院网络安全系统的建设确定如下的建设目标: 按照基于业务与角色类别划分各自的安全域,同时定制安全域的访问控制策略。采用相关的访问控制产品及控制技术来防范来自不安全网络或不信任域的非法访问或非授权访问。 采用安全检测技术来实时检查网络中的
14、数据流,对网络的运行状态进行监测,及时发现网络中的异常数据流,并对其进行定位,为管理员提供高效、智能化的管理手段。 制定完善安全管理制度及策略,并通过培训等手段来增强员工的安全防范技术及防范意识按照上述建设目标,结合安全要求,综合考虑XXX医院网络的应用服务范围,采用多种网络安全保护策略和设备,分层次的实现对网络的保护。第3章 网络安全解决方案3.1 设计原则 在方案的设计中我们遵守以下原则: 安全与保密第一原则 技术安全和管理安全并重原则 准确了解保护对象原则 多层次多安全单元保护防范原则 责任与风险分散和最小授权原则 综合性全方位和统一的保护与防范原则 用户使用方便原则 不断发展的动态性原
15、则3.2 网络安全区域划分按照IATF的安全等级标准,结合XXX医院网络的应用业务,以XXX医院全网络进行安全域的划分。这样我们可以把系统的安全域分为应用业务区和核心业务网区。具体网络安全域划分示意图如下:3.3 确定安全方案内涵安全风险是由多种因素引起的,与xxx医院局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。我们可以把xxx医院局域网的信息安全划分为4个层次:物理层、网络层、应用层及管理层,然后针对每个层次上的问题一一解决。3.3.1 物理层安全解决方案3.3.3.1设备的物理防护1)、 机房及设备间必须具有出入控制系统(目前已完成);2)、 设备间架设电视监控机位;
16、3)、 设备柜必须锁闭(钥匙不能通用、由专人保管),涉密主机机箱加锁;4)、 涉密系统服务器、域管理服务器、通用服务器(DNS、防病毒、门户网站)必须分机柜安置;5)、 所有设备(交换机、服务器)必须设置复杂的用户名及口令;6)、 关键设备(核心交换机、核心应用服务器等)考虑冗余备份。3.3.2网络层安全解决方案3.3.2.1网络层访问控制1)、访问控制策略根据网络安全域的划分,确定安全域之间的访问控制策略。各区域之间的访问关系示意图如下图所示:v限制:只有指定的IP(用户)可以有限访问指定的IP(资源)。2)、网络边界防御 在外网与互联网网之间设置防火墙,是实现内外网的隔离与访问控制,保护内
17、网安全的最主要、同时也是最有效、最经济的措施之一。防火墙具有以下五大基本功能:过滤进、出网络的数据;管理(允许、拒绝)进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。3)、内部网不同网络安全域的隔离及访问控制 根据业务和角色类别划分了子网(VLAN),在三层交换机上针对各个VLAN的安全级别设置访问控制列表,对VLAN间的通信进行访问控制。3.3.2.2 网络安全检测 防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的攻击,显得无能为力。如果需要动态地监测网络内部活动并做出及时的响应,就要依靠基于网络的实时的入侵监测技术,监控网络上的数据流,
18、从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击。入侵检测系统是实时的网络违规自动识别和响应系统。它运行于敏感数据需要保护的网络上,通过实时监听网络数据流,识别,记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时,网络信息安全检测系统预警系统能够根据系统安全策略作出反应。该系统可安装于防火墙前后,可以对攻击防火墙本身的数据流进行响应,同时可以对穿透防火墙进行攻击的数据流进行响应。在被保护的局域网中,入侵检测设备应安装于易受到攻击的服务器或防火墙附近。这些保护措施主要是为了监控经过出口及对重点服务器进行访问的
19、数据流。入侵检测报警日志的功能是通过对所有对网络系统有可能造成危害的数据流进行报警及响应。由于网络攻击大多来自于网络的出口位置,入侵检测在此处将承担实时监测大量出入整个网络的具有破坏性的数据流。这些数据流引起的报警日志,是作为受到网络攻击的主要证据。3.3.3 应用层安全解决方案应用层主要是处理各种业务应用,在这个层面我们需要解决的是主机操作行为的控制、身份认证以及防病毒等问题。3.3.3.1 基于个人主机的安全建议个人主机操作系统淘汰Windows9X/ME系统,更换为较为安全的Windows 2000+sp4/XP+sp2以上版本,并对使用者分配Power user权限,超级用户权限由相关
20、管理部门统一管理并严格控制使用。设置系统安全策略,如:设置开机密码(BIOS密码)、提高密码的复杂度(10位以上,3种以上字符组合)、启用账户锁定策略(口令限试3次、逾期不修改口令等)、限制用户登录(只允许域登陆,禁止本地登陆)、限制外部连接、限制特权组成员、启用系统审核机制、启用日志监视等。3.3.3.2 防病毒安全技术建议由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,所以计算机病毒的防范是网络安全性建设中重要的一环。3.3.4 管理层安全解决方案必须制订系列的安全管理制度和普及安全教育,同时,必须通过专门机构进行监督。具体如下:n 用户守则制订,如应包括: 未经许可的请求一律禁止
21、; 严禁保留、安装、使用具有攻击、破解、侦听等非法功能的程序; 如果涉密主机出现问题,应及时向相关部门反映,禁止私自处理; 只有网络管理员在经过相关部门的许可后,并在相关部门的监督下才可以进行设备的物理访问(修改配置、更换故障部件等行为); 只有网络管理人员在经过相关部门的许可,并在相关部门的监督下才可进行软件安装工作; 所有的设备操作及软件安装必须保留完整的日志,并交相关部门备案; 重要系统应使用难猜测的口令并经常改换口令。 保护好自己的密钥、移动存储器,防止被他人窃取。 严禁携带具有摄像功能的手机进入涉密区域。n 制订的机房管理制度: 管理员对设备操作必须有完整的操作纪录; 其他人员原则上
22、不允许进入机房,但在特殊原因需要进入时必须登记(谁、所属部门、原由、进出时间等),并需管理人员陪同;n 分层次的安全培训,对各级人员有针对地进行培训。建立安全信息分发系统,对安全管理的阶段性结果,以可读性好的报告形式分发给各个结点的安全部门。应对具体的分发方式、分发渠道、保密措施做出规定。网络安全方案必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。第4章 安全系统部署根据上述的解决方法,在逐步完善的前提下,我们对xxx医院内部网络安全提出了以下的建议:将各应用和数据服务器整合在一起,通过防火墙与其它客户机隔离开。将入侵检测系统旁路到核心交换机上,将连接防火墙的端口镜
23、像到入侵检测系统的监控口上。将入侵检测系统与防火墙联动来阻断来自外部的非法连接,提供详尽日志纪录,从而有效的防止内部网络敏感信息的泄漏以及非法信息的传播,保证了医院核心数据的安全性。具体如下图所示:第5章 设备选型建议5.1 捷普防火墙此次方案设计我们选用我公司研制的Jump F系列防火墙。Jump F系列防火墙是建立在自主版权的安全操作系统之上的一种功能强大、操作方便、易于安装和配置,基于状态检测技术的防火墙设备。它采用先进的动态检测技术,集安全访问控制、代理服务、安全审计、用户认证、地址翻译多项功能于一体,能满足各个行业对网络安全需求。西安交大捷普网络科技有限公司开发的防火墙系列产品,荣获
24、国家保密局的科学技术成果鉴定证书;通过了国家公安部的安全检测获得了计算机信息系统安全专用产品销售许可证,并在政府、电信、电力、金融、军队等众多行业中得到了广泛应用。5.1.1 性能参数表型 号性 能F3000-140L并发连接数100万用户数限制无限制规则数限制无限制VPN隧道数2000VLAN数量4093接口数百兆电口4MTBF(小时)100,000机箱规格1U部署作用服务器防护网关5.1.2 技术特点 专用的安全操作系统由于专用的安全操作系统没有后门、漏洞以及多余的服务,极大的提高了防火墙系统的自身安全性 专用的硬件平台采用专用硬件基础平台,采用高性能的CPU和大容量的内存保证硬件的高性能
25、。不同型号的产品具有不同接口数和外形。 专用的软件系统防火墙系统在其专用的硬件平台和操作系统之上,搭建了专用的软件系统。防火墙可以说是集专用硬件基础平台、专用操作系统、专用软件于一体的高效硬件防火墙产品。 采用先进状态检测技术采用基于连接状态检查的包过滤,即状态检测技术。它将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合,大大地提高了系统的性能和安全性。防火墙在进行包的检测时不仅将其看成是独立的单元,同时还要考虑与它的前面包的关联性。换句话说,对于属于同一个连接的数据包来说并不是完全孤立的,它们存在内部的关联信息。无连接的包过滤规则没有考虑这些内在的关联信息,而
26、是对每个数据包都进行孤立的规则检测这样就降低了传输效率和安全性。防火墙系统基于状态的检测技术可以深入到应用层,增加了防火墙的安全控制能力,并具有极高的性能。5.1.3 功能简介 内核层处理通信流量一般防火墙主要在应用程序层处理数据包,因此处理数据包的内核程序与进行分类和判断的应用程序间会产生不必要的通信量,延长处理时间。因此若防火墙系统在内核处理数据包,从数据包输入、信息分类处理、到将安全信息传输到目标地点,所有过程都在内核中进行,保证了数据包的高速处理。 高效的深层内容过滤防火墙系统采用基于内核的深层内容过滤技术,它不采用基于用户态的代理机制,而是将过滤技术以模块的形式实现,可以方便的插入到
27、内核之中,采用基于面向连接的状态检测控制技术,保证了内容过滤的高性能;采用专用的查询匹配算法支持,又保证了其高精确性。因为运行于内核态,解决了传统基于代理的内容过滤技术效率低下,影响防火墙性能,且无法满足多种协议等问题。具有处理效率高、匹配精度强、配置灵活方便、可扩展性好的特点。 主动式黑名单+自主防御防火墙系统可通过预设值的方式,对于触犯连接限制上限,访问了非法的Web资源,感染了病毒,或是发起了IPS攻击的主机,主动加入黑名单进行封锁,帮助网络管理员实现自动化的网络防御管理。 模块化设计,扩展能力强采用模块化的设计思想,可以根据用户的不同需求进行软硬件的扩充与升级,保护用户的有效投资。 支
28、持多种工作模式支持透明、路由、策略路由、NAT和混合等多种工作模式,适应于各种复杂的网络结构。 多接口支持系列防火墙都具有多个接口,而且每一个接口都可以作内网、外网或者DMZ区,因此可以作多个DMZ区保护或者内网安全分段。防火墙系统支持接口速率的自协商和自定义两种方式,以满足不同网络环境的特定需求。 安全有效的管理机制支持本地管理及远程管理方式。提供本地的命令行配置方式;提供基于SSL协议的远程安全管理;基于Windows GUI的配置管理软件,易于操作,可远程同时管理多台多型号的防火墙。基于命令行和GUI的管理界面均采用分权制,不同级别的管理员有不同的权限。防火墙系统还提供了在线帮助,有中/
29、英文两种格式,更方便国内用户使用。 灵活的立体访问控制全面的访问控制策略,支持基于IP地址、端口号、服务协议、MAC地址、时间和日期的访问控制;可通过IP地址和MAC地址的绑定,防止非法IP地址盗用。 强大的身份认证支持Radius、TACACS+、LDAP认证协议,确保服务器和客户端程序之间通信的可靠性,使网络资源的保护更安全、更可靠。可针对每一位用户定制网络安全规则,以便对该用户网络访问动作进行动态的监控。 基于规则的带宽管理采用基于规则的带宽管理方式,配置简单灵活,能确保重要部门的网络带宽得到优先的保证,更好地优化网络带宽的使用,提高网络资源的利用率。 全面的连接管理功能能够限制主机/网
30、段所允许建立的最大并发连接数,避免恶意攻击或网络病毒占用防火墙连接资源;能够手动调整协议的超时时间,根据实际网络环境,充分优化防火墙性能;同时提供连接手工阻断机制。 标准的网络管理协议系统支持SNMP协议,用户使用目前任意一种操作系统平台上的网络管理软件都可以对防火墙系统进行统一的管理和监控。 DHCP 协议支持防火墙系统支持DHCP Server/Client。 防火墙系统既可以作为DHCP服务器,为网络中的计算机动态地分配IP地址,方便网络的应用和IP地址的管理;也可作为DHCP客户端,可以动态地获得IP地址,方便灵活地接入用户的网络环境。 灵活的VLAN支持提供灵活方便的802.1Q V
31、LAN协议的接入支持,支持针对VLAN通讯的安全访问控制,可以用防火墙作VLAN之间的路由,或者让VLAN信息穿越防火墙。 支持ADSL接入防火墙系统支持动态接入的PPPoE协议,便于小型办公场所或是公司分支机构利用广泛使用的ADSL业务实现网络互连。支持基于PPPoE协议的策略路由以及动态IPSec VPN网关,以满足各种接入形式的需要。PPPoE模块在连接中断后可以自动重拨,直到连接成功,若存在绑定到PPPoE接口的VPN连接,VPN隧道将恢复正常,可以继续使用,整个重拨过程和恢复过程不需用户干预。 全面的多媒体应用支持提供完整的H.323 协议族支持,方便用户扩展IP 宽带接入及IP电话
32、、视频会议、VOD 点播等多媒体应用,支持基于Netmeeting的语音、视频通信。内嵌MSN代理,提供对MSN语音、视频通信的完整支持。 安全易用的VPN支持防火墙系统的支持IPSec和PPTP两种VPN形式。其中IPSec VPN完全符合IPSec协议RFC规定,支持与其他厂商(如NetScreen)的IPSec VPN设备互联。支持手工密钥、IKE自动密钥交换,IKE可采用标准的预共享密钥与证书(X.509)两种认证方式;支持3DES、AES、BLOWFISH、TWOFISH、SERPENT加密算法,支持MD5、SHA1、SHA2等摘要算法;支持国密办通过的硬件加密卡,并提供开放的加密/
33、摘要算法接口。能够基于802.1Q、PPPoE构建VPN隧道,支持星型拓扑的VPN接入。防火墙系统还可以采用基于PPTP协议的用户级安全隧道的建立,具有配置简单、安全强度高的特点,适用于移动办公用户与公司本部之间建立安全的VPN通讯隧道。 强大的实时日志审计功能提供专用的日志管理系统,为用户提供实时的日志集中统一管理,具有网络层事件、传输层事件、应用层事件、入侵事件、操作事件等多种日志信息,可供用户进行日志的查询、统计、整理、事后分析等功能。支持对防火墙本身的状态进行日志,可以记录系统的cpu占用率、内存占用率、连接数和接口流量等状态日志。当系统的cpu/内存占用率等超过预定阀值时,产生报警日
34、志,方便管理员掌握防火墙的状态并及时发现系统的异常。 功能强大的应用代理及内容过滤基于高速应用代理,可以对内部网络用户上网权限进行更精细的控制。支持HTTP、FTP、SMTP、TELNET、POP3等多种主流应用层协议,HTTP代理内嵌的URL过滤模块可容纳多达12000条URL规则,可过滤JavaScript、JavaApplets、ActiveX、Cookies等恶意代码。支持基于内核级的内容过滤检测机制,在不影响性能的前提下,可以在内核态,实现高效、轻量级的URL过滤、Web关键字过滤、恶意代码过滤。 病毒/恶意连接检测提供内置的病毒引擎功能,能够检测出常见的网络蠕虫病毒,支持病毒库地在
35、线升级。 内置入侵检测提供内置的入侵检测功能,能够检测出ddos 攻击、dns 攻击、dos 攻击、ftp 攻击、icmp 攻击、scan 攻击、telnet 攻击、virus 攻击、web 攻击等多种攻击行为和病毒,保障网络的安全,提高防火墙自身的安全性。并支持IDS规则库的升级。 P2P协议阻断可以阻断常见的P2P协议,包括BT、电驴、 fasttrack、gnutella、 dc、 openft等。采用多种方式的阻断动作,并支持升级、更新P2P协议的阻断引擎。 支持双ISP出口热备系统支持各种原因导致的链路不通,下一跳不可达故障的实时检测和处理。一经检测到异常,按照用户预先设定的路由重新
36、配置、删除故障路由,并将网络数据流切换到运行状态良好的接口和路由上,从而支持双ISP出口热备,使用户上网更加有保障。 支持和系列产品的联动支持和入侵检测系统、信息审计系统的互通和联动,形成立体的安全防护网,保障用户网络的安全。防火墙系统也支持和国内主要入侵检测产品的联动。 支持远程在线升级防火墙系统应能支持对内核的在线升级功能和ids模块的在线升级功能。用户可通过生产厂商的网站了解产品动态升级的最新情况,下载最新的防火墙内核软件,及时对防火墙系统和ids模块进行在线升级,使防火墙一直保持最良好的状态。5.2 捷普入侵检测系统交大捷普入侵检测系统基于自主知识产权的JIDE(JUMP Intrus
37、ion Detection Engine)入侵检测引擎,采用了新一代的内容分析、模式匹配和异常行为分析技术,能够实时检测来自网络内外部的黑客攻击和蠕虫病毒,保护内部网络和服务器的安全。5.2.1 主要规格参数 型号性能型号捷普百兆入侵检测系统(JIDS-N100)端口配置3个10/100M以太网口、一个异步控制口并发连接数100万IP碎片重组数(64字节)10,000TCP流重组2000检测速率100M工作电源输入电压:100220V AC 频率:5060Hz外形尺寸1U标准机箱工作环境环境湿度: 595%RH运行温度: -570可靠性80,000小时5.2.1主要功能n 实时检测入侵功能可以
38、实时地对网络上的攻击进行监测,一旦发现可疑信息,入侵检测可准确显示其数据目标和来源,及时向管理员告警。n 丰富和友好的管理界面所有的入侵监测系统提供友好的人机界面,使得管理员易于操作和管理整个入侵监测系统。采用可视的管理、监视、控制和分析操作界面,方便使用。对于高级用户,更可以自定义告警中心界面,针对告警的不同关心等级或其它策略进行告警分类。n 对报警信息的检索、查询和统计管理员通过管理中心可以对历史记录中引擎产生的各种攻击事件的报警信息进行检索、查询及统计。n 全新的离线报警方式除了常规屏幕显示报警信息,系统还可以自动将报警信息传送到管理员的E_mail信箱,并同时提供声音报警。n 多种类型
39、的报表对管理中心的日志信息可以采用多种形式显示出来,如以表、柱型图、饼图、曲线图、web报表统计等形式显示结果。更可自定义报表,极大地提高了对于网络安全状况的分析能力。报表可经由多种途径向管理员呈现(如html,E-mail等),是管理员随时随地能够以最为便捷的方式获知网络状况。n 数据的安全通信引擎与管理中心之间的数据通信是经过安全加密(SSL协议)和认证的,只有正确安装证书和密钥的控制台,采可与引擎之间进行通信。自身系统的安全万无一失。n 引擎的实时监测与管理在管理中心,系统管理员可以实时地获取到引擎的状态信息,并可以对引擎进行启动、停止等管理。n 入侵检测规则的自定义用户可以自己定义一些
40、入侵检测规则,加入到引擎的规则库中去,更加灵活地进行入侵检测。n 开放式的插件机构系统检测能力不断增长,包括入侵规则的自动升级和更新。随时更新的入侵规则能最大的保护用户的网络。n 断开网络功能Jump入侵检测系统提供断网功能,对于一些恶意的攻击行为,可在系统中设置为阻断,一旦系统检测到相关的攻击行为,可以将此连接从网络中断开,保证网络的安全。多种断开网络的方式可自由选择,在大型复杂网络中更得心应手。n 详细的安全知识库可以由管理中心给用户提供关于安全规则及攻击事件的详细信息及针对事件的描述。不但发现入侵,更能准确应对。n 超强的网络适应能力数据采集器与探测引擎的关系是一对多的关系,在比较大的网
41、络环境中可以部署多个探测引擎,每个负责一个子网的数据流的实时采集与重组工作,适合与在各种不同拓扑、不同规模的网络环境中使用。数据采集器与探测引擎采用TCP/IP协议通信,可以跨越路由器、防火墙。n 强大的安全审计回放功能能够对HTTP,SMTP,POP3,FTP,TELNET等协议根据制定的审计规则进行实时审计,同时可以完全回放报警数据流,使得网络管理员可以实时发现并跟踪,以及保留一个非法访问的数据流。n 丰富的网络监测功能针对常用的网络工具,特别为用户开发了针对MSN,QQ,Popo以及BT,ftp等多种网络应用的监测。不但监测入侵,更能对内部网络出现的隐患进行及时排查。n 在线升级捷普入侵
42、检测系统(JIDS)提供在线升级的能力,用户可以通过我们的网站了解产品动态升级的最新情况,网络管理员可以在管理中心直接进行对其规则库进行升级,使入侵检测系统一直保持最良好的表现。5.2.2系统特点l 黑客检测防御技术采用先进的网络内容分析、模式匹配和异常行为分析相结合的检测技术,实时对2500多种攻击行为,包括端口扫描、缓冲区溢出攻击、后门攻击、DOS和分布式的DDOS攻击、网络信息收集等各种黑客攻击行为进行检测和防御。l 蠕虫病毒检测定位技术能够对冲击波、震荡波等各种蠕虫病毒进行检测,及时发出警报信号,指导网络管理员对感染主机进行准确定位,及时进行查杀,维护个人主机和网络整体的安全运行。l
43、强大的内容审计功能可以对HTTP、SMTP、 POP3、FTP、TELNET等协议根据灵活定制的审计策略,实时进行包括地址,内容相关的审计,并可以完全回放非法数据,使得用户可以及时审计和事后取证。l P2P协议的审计与阻断功能可以对QQ、MSN、BT 、POPO 等P2P 协议进行审计和阻断。l 实时响应和阻断能力提供声音、邮件、NT日志等多种报警方式,同时支持非法联接的及时阻断。l 及时提供入侵检测库和蠕虫病毒库的在线升级l 开放的USP(Unified Security Protocol)联动协议支持快速构建立体分布式的安全防护网络5.3 卡巴斯基网络版反病毒软件5.3.1Windows
44、95/98/ME/XP/NT Workstation/2000 Pro客户端反病毒产品采用第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种最尖端的反病毒技术,给客户端系统提供更安全的反病毒保护。实时的有效保护独特的病毒监控器常驻在计算机内存中,在文件运行、建立或者拷贝的瞬间,就对其进行病毒检测。与其它捕捉方式不一样的是,被集成到了操作系统的最底层,这使得程序可以完全监控所有的文件操作,甚至对技术完善的病毒都可以防范。 电子邮件的反病毒过滤对于Windows 95/98/Me和Windows 2000/XP/NT(Wintel)实时自动监控所有收发的电子邮件,
45、防止病毒潜入计算机。由于支持多种邮件系统格式(MS Outlook, MS Outlook Express, MS Exchange , Eudora, MS Mail, Pegasus Mail, Netscape Mail, JSMail, MIME),程序可靠地保护邮件系统,可以有效地从诸如MS Outlook Express程序中删除病毒。内置的卡巴斯基邮件检查器模块不仅可把病毒从邮件中删除,还完全恢复原始电子邮件内容。程序自动检查所有进出邮件的所有部分,包括附件(压缩文件和被打包后的执行文件)和其它的任意层次的嵌入,被植入的OLE对象和邮件正文。保护数据存储空间的安全性病毒扫描器提供
46、了全方位检测所有本地和网络驱动器。扫描过程既可以根据需要随时运行,也可以按照计划任务实施。独特的捕捉脚本病毒技术传统型的病毒监控器不能防护计算机内存中的脚本病毒。而卡巴斯基反病毒软件采用独特的角本病毒检查器完全解决了这个问题,以过滤器的形式集成到系统的脚本程序和解释器之间。这保证了所有脚本在被执行前都受到检查。集中式安装和管理系统管理员可以轻松应用卡巴斯基集中管理工具模块。它拥有便于远程管理的所有功能:集中给企业网络中的所有工作站安装卡巴斯基网络版反病毒软件,建立反病毒软件的工作时间表,集中控制客户端更新病毒数据库和程序模块,搜集所有事件和发现病毒的详细报告等。自动更新病毒数据库卡巴斯基病毒更
47、新器模块允许从Internet或者当地的卡巴斯基服务器下载最新的病毒数据库和组件。万能的启动系统程序包含的内置病毒救援盘模块是独一无二的启动系统,以便在计算机被病毒破坏时恢复整个系统。救援盘模块使用Linux操作系统核心组件制成启动盘,有预先安装的卡巴斯基 for Linux程序,这就可以进行干净的启动并帮助同时恢复流行的文件系统包括:FAT (DOS), FAT32 (Windows 95/98/ME), NTFS (Windows NT/2000/XP), HPFS (OS/2), EXT (Linux)。系统需求: 安装Microsoft Internet Explorer (IE)4.01 或更高版本