《吉通上海公司网络与系统安全方案建议书8545.docx》由会员分享,可在线阅读,更多相关《吉通上海公司网络与系统安全方案建议书8545.docx(49页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 网络与与系统安安全实施施方案1吉通上上海 IIDC网网络安全全功能需需求1.1 吉通上上海公司司对于网网络安全全和系统统可靠性性的总体体设想(1)网网络要求求有充分分的安全全措施,以以保障网网络服务务的可用用性和网网络信息息的完整整性。要要把网络络安全层层,信息息服务器器安全层层,数据据库安全全层,信信息传输输安全层层作为一一个系统统工程来来考虑。网络系统统可靠性性:为减减少单点点失效,要要分析交交换机和和路由器器应采用用负荷或或流量分分担方式式,对服服务器、计计费服务务器和DDB服务务器,WWWW服服务器,分分别采用用的策略略。说明明对服务务器硬件件、操作作系统及及应用软软件的安安全运行行
2、保障、故故障自动动检测/报警/排除的的措施。对业务系系统可靠靠性,要要求满足足实现对对硬件的的冗余设设计和对对软件可可靠性的的分析。网络安全全应包含含:数据据安全; 预防病病毒; 网络安安全层; 操作系系统安全全; 安全系系统等;(2)要要求卖方方提出完完善的系系统安全全政策及及其实施施方案,其其中至少少覆盖以以下几个个方面:l 对路由器器、服务务器等的的配置要要求充分分考虑安安全因素素l 制定妥善善的安全全管理政政策,例例如口令令管理、用用户帐号号管理等等。l 在系统中中安装、设设置安全全工具。要要求卖方方详细列列出所提提供的安安全工具具清单及及说明。l 制定对黑黑客入侵侵的防范范策略。l
3、对不同的的业务设设立不同同的安全全级别。(3)卖卖方可提提出自己己建议的的网络安安全方案案。1.2 整体需需求l 安全解决决方案应应具有防防火墙,入侵检检测,安全扫扫描三项项基本功功能。l 针对IDDC网络络管理部部分和IIDC服服务部分分应提出出不同的的安全级级别解决决方案。l 所有的IIDC安安全产品品要求厂厂家稳定定的服务务保障和和技术支支持队伍伍。服务务包括产产品的定定时升级级,培训训,入侵侵检测,安全扫扫描系统统报告分分析以及及对安全全事故的的快速响响应。l 安全产品品应能与与集成商商方案的的网管产产品,路路由,交交换等网网络设备备功能兼兼容并有有效整合合。l 所有的安安全产品品应具
4、有有公安部部的销售售许可和和国家信信息化办办公室的的安全认认证。l 所有安全全产品要要求界面面友好,易易于安装装,配置置和管理理,并有有详尽的的技术文文档。l 所有安全全产品要要求自身身高度安安全性和和稳定性性。l 安全产品品要求功功能模块块配置灵灵活,并并具有良良好的可可扩展性性。1.3 防火墙墙部分的的功能需需求l 网络特性性:防火火墙所能能保护的的网络类类型应包包括以太太网、快快速以太太网、(千兆以以太 网网、ATTM、令令牌环及及FDDDI可选选)。支持持的最大大LANN接口数数:软、硬硬件防火火墙应能能提供至至少4个端口口。l 服务器平平台:软软件防火火墙所运运行的操操作系统统平台应
5、应包括SSolaariss2.55/2.6、Linnux、Wiin NNT4.0(HHP-UUX、IBMM-AIIX、Winn 20000可可选)。l 加密特性性:应提提供加密密功能,最最好为基基于硬件件的加密密。l 认证类型型:应具具有一个个或多个个认证方方案,如如RADDIUSS、Kerrberros、TACCACSS/TAACACCS、口令令方式、数数字证书书等。l 访问控制制:包过过滤防火火墙应支支持基于于协议、端端口、日日期、源源/目的IPP和MACC地址过过滤;过过滤规则则应易于于理解,易易于编辑辑修改;同时应应具备一一致性检检测机制制,防止止冲突;在传输输层、应应用层(HTTTP
6、、FTPP、TELLNETT、SNMMP、STMMP、POPP)提供供代理支支持;支支持网络络地址转转换(NNAT)。l 防御功能能:支持持病毒扫扫描,提提供内容容过滤,能能防御PPingg off Deeathh,TCCP SSYN Flooodss及其它它类型DDoS攻攻击。l 安全特性性:支持持转发和和跟踪IICMPP协议(IICMPP 代理理);提提供入侵侵实时警警告;提提供实时时入侵防防范;识识别/记录/防止企企图进行行IP地址址欺骗。l 管理功能能:支持持本地管管理、远远程管理理和集中中管理;支持SSNMPP监视和和配置;负载均均衡特性性;支持持容错技技术,如如双机热热备份、故故障
7、恢复复,双电电源备份份等。l 记录和报报表功能能:防火火墙应该该提供日日志信息息管理和和存储方方法;防防火墙应应具有日日志的自自动分析析和扫描描功能;防火墙墙应提供供告警机机制,在在检测到到入侵网网络以及及设备运运转异常常情况时时,通过过告警来来通知管管理员采采取必要要的措施施,包括括Emaiil、呼呼机、手手机等;提供简简要报表表(按照照用户IID或IP 地址提提供报表表分类打打印); 提供供实时统统计。2 惠普普公司在在吉通上上海IDDC中的的网络安安全管理理的设计计思想2.1 网络信信息安全全设计宗宗旨惠普公司司在为客客户IDDC项目目的信息息安全提提供建设设和服务务的宗旨旨可以表表述为
8、:l 依据最新新、最先先进的国国际信息息安全标标准l 采用国际际上最先先进的安安全技术术和安全全产品l 参照国际际标准IISO990000系列质质量保证证体系来来规范惠惠普公司司提供的的信息安安全产品品和服务务l 严格遵守守中华人人民共和和国相关关的法律律和法规规2.2 网络信信息安全全的目标标网络安全全的最终终目标是是保护网网络上信信息资源源的安全全,信息息安全具具有以下下特征:l 保密性:确保只只有经过过授权的的人才能能访问信信息;l 完整性:保护信信息和信信息的处处理方法法准确而而完整;l 可用性:确保经经过授权权的用户户在需要要时可以以访问信信息并使使用相关关信息资资产。信息安全全是通
9、过过实施一一整套适适当的控控制措施施实现的的。控制制措施包包括策略略、实践践、步骤骤、组织织结构和和软件功功能。必必须建立立起一整整套的控控制措施施,确保保满足组组织特定定的安全全目标。2.3 网络信信息安全全要素惠普公司司的信息息安全理理念突出出地表现现在三个个方面-安全全策略、管管理和技技术。l 安全策略略-包包括各种种策略、法法律法规规、规章章制度、技技术标准准、管理理标准等等,是信信 息安安全的最最核心问问题,是是整个信信息安全全建设的的依据;l 安全管理理-主主要是人人员、组组织和流流程的管管理,是是实现信信息安全全的落实实手段;l 安全技术术-包包含工具具、产品品和服务务等,是是实
10、现信信息安全全的有力力保证。根据上述述三个方方面,惠惠普公司司可以为为客户提提供的信信息安全全完全解解决方案案不仅仅仅包含各各种安全全产品和和技术,更更重要的的就是要要建立一一个一致致的信息息安全体体系,也也就是建建立安全全策略体体系、安安全管理理体系和和安全技技术体系系。2.4 网络信信息安全全标准与与规范在安全方方案设计计过程和和方案的的实施中中,惠普普公司将将遵循和和参照最最新的、最最权威的的、最具具有代表表性的信信息安全全标准。这这些安全全标准包包括:l ISO/IECC 1777999 Innforrmattionn teechnnoloogyCodde oof ppraccticc
11、e ffor infformmatiion seccuriity mannageemenntl ISO/IECC 1333355 Innforrmattionn teechnnoloogy Guuideelinnes forr Thhe MManaagemmentt off ITT Seecurrityy l ISO/IECC 1554088 Innforrmattionn teechnnoloogy Seecurrityy teechnniquues Evvaluuatiion criiterria forr ITT seecurrityyl 我国的国国家标准准GB、国国家军用用标准GGJB
12、、公公共安全全行业标标准GAA、行业业标准SSJ等标标准作为为本项目目的参考考标准。2.5 网络信信息安全全周期任何网络络的安全全过程都都是一个个不断重重复改进进的循环环过程,它它主要包包含风险险管理、安安全策略略、方案案设计、安安全要素素实施。这这也是惠惠普公司司倡导的的网络信信息安全全周期。l 风险评估估管理:对企业业网络中中的资产产、威胁胁、漏洞洞等内容容进行评评估,获获取安全全风险的的客观数数据;l 安全策略略:指导导企业进进行安全全行为的的规范,明明确信息息安全的的尺度;l 方案设计计:参照照风险评评估结果果,依据据安全策策略及网网络实际际的业务务状况,进进行安全全方案设设计;l 安
13、全要素素实施:包括方方案设计计中的安安全产品品及安全全服务各各项要素素的有效效执行。l 安全管理理与维护护:按照照安全策策略以及及安全方方案进行行日常的的安全管管理与维维护,包包括变更更管理、事事件管理理、风险险管理和和配置管管理。l 安全意识识培养:帮助企企业培训训员工树树立必要要的安全全观念。3 吉通通上海IIDC信信息系统统安全产产品解决决方案3.1 层次性性安全需需求分析析和设计计网络安全全方案必必须架构构在科学学的安全全体系和和安全框框架之上上。安全全框架是是安全方方案设计计和分析析的基础础。为了了系统地地描述和和分析安安全问题题,本节节将从系系统层次次结构的的角度展展开,分分析吉通
14、通IDCC各个层层次可能能存在的的安全漏漏洞和安安全风险险,并提提出解决决方案。3.2 层次模模型描述述针对吉通通IDCC的情况况,结合合吉通通上海IIDC技技术需求求书的的要求,惠惠普公司司把吉通通上海IIDC的的信息系系统安全全划分为为六个层层次,环环境和硬硬件、网网络层、操操作系统统、数据据库层、应应用层及及操作层层。3.2.1 环环境和硬硬件为保护计计算机设设备、设设施(含含网络)以以及其它它媒体免免遭地震震、水灾灾、火灾灾、有害害气体和和其它环环境事故故(如电电磁污染染等)破破坏,应应采取适适当的保保护措施施、过程程。详细细内容请请参照机机房建设设部分的的建议书书。3.2.2 网网络
15、层安安全3.2.2.11安全的的网络拓拓扑结构构网络层是是网络入入侵者进进攻信息息系统的的渠道和和通路。许许多安全全问题都都集中体体现在网网络的安安全方面面。由于于大型网网络系统统内运行行的TPPC/IIP协议议并非专专为安全全通讯而而设计,所所以网络络系统存存在大量量安全隐隐患和威威胁。网网络入侵侵者一般般采用预预攻击探探测、窃窃听等搜搜集信息息,然后后利用 IP欺欺骗、重重放或重重演、拒拒绝服务务攻击(SSYN FLOOOD,PPINGG FLLOODD等)、分分布式拒拒绝服务务攻击、篡篡改、堆堆栈溢出出等手段段进行攻攻击。保证网络络安全的的首要问问题就是是要合理理划分网网段,利利用网络络
16、中间设设备的安安全机制制控制各各网络间间的访问问。在对对吉通IIDC网网络设计计时,惠惠普公司司已经考考虑了网网段的划划分的安安全性问问题。其其中网络络具体的的拓扑结结构好要要根据吉吉通IDDC所提提供的服服务和客客户的具具体要求求做出最最终设计计。3.2.2.22 网络络扫描技技术解决网络络层安全全问题,首首先要清清楚网络络中存在在哪些安安全隐患患、脆弱弱点。面面对大型型网络的的复杂性性和不断断变化的的情况,依依靠网络络管理员员的技术术和经验验寻找安安全漏洞洞、做出出风险评评估,显显然是不不现实的的。解决决的方案案是,寻寻找一种种能寻找找网络安安全漏洞洞、评估估并提出出修改建建议的网网络安全
17、全扫描工工具。解决方案案:ISSS网络络扫描器器Intternnet Scaanneer配置方法法:在上上海IDDC中使使用一台台高配置置的笔记记本电脑脑安装IInteerneet SScannnerr,定期期对本IIDC进进行全面面的网络络安全评评估, 包括所所有重要要的服务务器、防防火墙、路路由设备备等。扫扫描的时时间间隔隔请参照照安全策策略的要要求。ISS网网络扫描描器Innterrnett Sccannner是是全球网网络安全全市场的的顶尖产产品。它它通过对对网络安安全弱点点全面和和自主地地检测与与分析,能能够迅速速找到并并修复安安全漏洞洞。网络络扫描仪仪对所有有附属在在网络中中的设备
18、备进行扫扫描,检检查它们们的弱点点,将风风险分为为高,中中,低三三个等级级并且生生成大范范围的有有意义的的报表。从从以企业业管理者者角度来来分析的的报告到到为消除除风险而而给出的的详尽的的逐步指指导方案案均可以以体现在在报表中中。该产品的的时间策策略是定定时操作作,扫描描对象是是整个网网络。它它可在一一台单机机上对已已知的网网络安全全漏洞进进行扫描描。截止止Intternnet Scaanneer6.01版版本,IInteerneet SScannnerr已能对对9000 种以以上 的的来自通通讯、服服务、防防火墙、WEB应用等的漏洞进行扫描。它采用模拟攻击的手段去检测网络上每一个IP隐藏的漏
19、洞,其扫描对网络不会做任何修改和造成任何危害。Inteerneet SScannnerr每次扫扫描的结结果可生生成详细细报告,报报告对扫扫描到的的漏洞按按高、中中、低三三 个风风险级别别分类,每每个漏洞洞的危害害及补救救办法都都有详细细说明。用用户可根根据报告告提出的的建议修修改网络络配置,填填补漏洞洞。可检测漏漏洞分类类表:Brutte FForcce PPasssworrd-GGuesssinng为经常改改变的帐帐号、口口令和服服务测试试其安全全性Daemmonss检测UNNIX进进程(WWinddowss服务)Netwworkk检测SNNMP和和路由器器及交换换设备漏漏洞Deniial
20、of Serrvicce检测中断断操作系系统和程程序的漏漏洞,一一些检测测将暂停停相应的的服务NFS/X WWinddowss检测网络络网络文文件系统统和X-Winndowws的漏漏洞RPC检测特定定的远程程过程调调用SMTPP/FTTP检测SMMTP和和FTPP的漏洞洞Web Serrverr Sccan andd CGGI-BBin检测Weeb服务务器的文文件和程程序(如如IISS,CGGI脚本本和HTTTP)NT UUserrs, Grooupss, aand Passswoordss检测NTT用户,包包括用户户、口令令策略、解解锁策略略Browwserr Pooliccy检测IEE和N
21、eetsccapee浏览器器漏洞Secuuritty ZZonees检测用于于访问互互联网安安全区域域的权限限漏洞Portt Sccanss检测标准准的网络络端口和和服务Fireewallls检测防火火墙设备备,确定定安全和和协议漏漏洞Proxxy/DDNS检测代理理服务或或域名系系统的漏漏洞IP SSpooofinng检测是否否计算机机接收到到可疑信信息Critticaal NNT IIssuues包含NTT操作系系统强壮壮性安全全测试和和与其相相关的活活动NT GGrouups/Nettworrkinng检测用户户组成员员资格和和NT网网络安全全漏洞NetBBIOSS Miisc检测操作作
22、系统版版本和补补丁包、确确认日志志存取,列列举、显显示NeetBIIOS提提供的信信息Sharres/DCOOM检测NeetBIIOS共共享和DDCOMM对象。使使用DCCOM可可以测试试注册码码、权限限和缺省省安全级级别NT RRegiistrry包括检测测主机注注册信息息的安全全性,保保护SNNMP子子网的密密匙NT SServvicees包括检测测NT正正在运行行的服务务和与之之相关安安全漏洞洞2.2.2.33 防火火墙技术术防火墙的的目的是是要在内内部、外外部两个个网络之之间建立立一个安安全控制制点,通通过允许许、拒绝绝或重新新定向经经过防火火墙的数数据流,实实现对进进、出内内部网络络
23、的服务务和访问问的审计计和控制制。具体体地说,设设置防火火墙的目目的是隔隔离内部部网和外外部网,保保护内部部网络不不受攻击击,实现现以下基基本功能能: 禁止外部部用户进进入内部部网络,访访问内部部机器; 保证外部部用户可可以且只只能访问问到某些些指定的的公开信信息; 限制内部部用户只只能访问问到某些些特定的的Intternnet资资源,如如WWWW服务、FFTP服服务、TTELNNET服服务等;解决方案案:ChheckkPoiint Firrewaall-1防火火墙和CCiscco PPIX防防火墙防火墙除除了部署署在IDDC的私私有网(即即网管网网段等由由IDCC负责日日常维护护的网络络部分
24、)以以外,还还可以根根据不同同的用户户的需求求进行防防火墙的的部署,我我们建议议对于独独享主机机和共享享主机都都进行防防火墙的的配置,而而对于托托管的主主机可以以根据用用户的实实际情况况提供防防火墙服服务。无论是虚虚拟主机机还是托托管主机机,IDDC都需需要为这这些用户户提供不不同程度度的远程程维护手手段,因因此我们们也可以以采用VVPN的的技术手手段来保保证远程程维护的的安全性性,VPPN同时时也可以以满足IIDC为为某些企企业提供供远程移移动用户户和合作作企业之之间的安安全访问问的需求求。根据吉通通上海IIDC的的安全要要求以及及安全产产品的配配置原则则,我们们建议使使用的产产品包括括Ci
25、ssco PIXX和ChheckkPoiint Firrewaall1在内内的两种种防火墙墙,其中中:l Ciscco PPIX防防火墙配配置在对对网络访访问速度度要求较较高但安安全要求求相对较较低的网网站托管管区和主主机托管管区;l ChecckPoointt防火墙墙配置在在对网络络速度较较低但安安全要求求相对较较高的IIDC维维护网段段。这两种防防火墙分分别是硬硬件防火火墙和软软件防火火墙的典典型代表表产品,并并在今年年4月刚刚刚结束束的安全全产品的的年度评评比中,并并列最佳佳防火墙墙产品的的首位。这这里只对对CheeckPPoinnt的FFireewalll11进行说说明。Checckp
26、oointt公司是是一家专专门从事事网络安安全产品品开发的的公司,是是软件防防火墙领领域的佼佼佼者,其其旗舰产产品ChheckkPoiint Firrewaall-1在全全球软件件防火墙墙产品中中位居第第一(552),在在亚太 地区甚甚至高达达百分之之七十以以上,远远远领先先同类产产品。在在中国电电信、银银行等行行业都有有了广泛泛的应用用。ChecckPoointt Fiirewwalll-1 是一个个综合的的、模块块化的安安全套件件,它是是一个基基于策略略的解决决方 案案,提供供集中管管理、访访问控制制、授权权、加密密、网络络地址传传输、内内容显示示服务和和服务器器负载平平衡等功功能。主主要
27、用在在保护内内部网络络资源、保保护内部部进程资资源和内内部网络络访问者者验证等等领域。CheckPoint Firewall-1 套件提供单一的、集中的分布式安全的策略,跨越Unix、 NT、路由器、交换机和其他外围设备,提供大量的API,有150多个解决方案和OEM厂商的 支持。CP Firewall-1 由3个交互操作的组件构成:控制组件、加强组件和可选组件。这些 组件即可以运行在单机上,也可以部署在跨平台系统上。其中,控制组件包括Firewall-1 管理服务器和图形化的客户端;加强组件包含Firewall-1 检测模块和Firewall-1 防火墙 模块;可选组件包括Firewall-
28、1 Encryption Module(主要用于保护VPN)、Firewall-1 Connect Control Module(执行服务器负载平衡)Router Security Module (管理路由器 访问控制列表)。Checckpoointt Fiirewwalll-1 防火墙墙的操作作在操作作系统的的核心层层进行,而而不是在在应用程程序层, 这样可可以使系系统达到到最高性性能的扩扩展和升升级。此此外Chheckkpoiint Firrewaall-1 支支持基于于Webb 的多多媒体和和基于UUDP的的应用程程序,并并采用多多重验证证模板和和方法,使使网络管管理员容容易验证证客户端
29、端、会话话和用户户对网络络的访问问。CHECCKPOOINTT防火墙墙功能要要求:1) 支持透明明接入和和透明连连接,不不影响原原有网络络设计和和配置:Checck PPoinnt FFireeWalll-11是一款款软件防防火墙,是是安装在在现有的的网关或或服务器器计算机机上,对对接入和和连接都都是透明明的,不不会影响响原有网网络设计计和配置置。2) 带有DMMZ的连连接方式式:Checck PPoinnt FFireeWalll-11可以支支持多个个网络接接口,所所以客户户可以很很容易的的按照需需要设置置DMZZ分区。3) 支持本地地和远程程管理两两种管理理方式:Checck PPoinn
30、t FFireeWalll-11中的Ennterrpriise Mannageemennt CConssolee模块功功能十分分强大,支支持本地地和远程程两种管管理方式式,减轻轻了网络络管理员员对网络络的管理理负担。4) 支持命令令行和GGUI方方式的管管理与配配置:Checck PPoinnt FFireeWalll-11中的管管理控制制台支持持命令行行和GUUI方式式的管理理与配置置;可以以在Wiindoows 95/98/NT上上安装WWinddowss GUUI界面面,在UUnixx操作系系统下可可以安装装Mottif GUII图形用用户界面面进行管管理与配配置。5) 对分布式式的防火
31、火墙支持持集中统统一状态态管理:Checck PPoinnt FFireeWalll-11中的管管理控制制台支持持对分布布式防火火墙的集集中统一一状态 管理。它它可以同同时管理理多个防防火墙模模块。6) 规则测试试功能,支支持规则则一致性性测试:Checck PPoinnt FFireeWalll-11中的策策略编辑辑器中有有一命令令,可以以对已经经配置好好的规则则进行测测试,可可以检测测其一致致性。7) 透明代理理功能:Checck PPoinnt FFireeWalll-11支持代代理功能能,而且且功能强强大,可可以支持持本身自自带的预预定义的超超过1550多种种的常用用协议。8) 地址转
32、换换功能,支支持静态态地址转转换、动动态地址址转换以以及IPP地址与与TCPP/UDDP端口口的转换换:Checck PPoinnt FFireeWalll-11支持NNAT地地址转换换功能,支支持Sttatiic MModee(静态态转换)和Hidde MModee(动态态转换) 两种种方式;目前不不支持IIP地址址与TCCP/UUDP端端口的转转换。9) 访问控制制,包括括对HTTTP、FFTP、SSMTPP、TEELNEET、NNNTPP等服务务类型的的访问控控制;Checck PPoinnt FFireeWalll-11可以通通过制定定策略来来进行访访问控制制,可以以支持超超过1550
33、多种种的常用用协议,并并可以自自定义各各种不常常用的协协议。10) 用户级权权限控制制:Checck PPoinnt FFireeWalll-11可以指指定用户户对象,在在其属性性中有各各种认证证方式可可供选择择,加强强了用户户级的权权限控制制。11) 防止IPP地址欺欺骗功能能:Checck PPoinnt FFireeWalll-11提供了了防止IIP地址址欺骗的的功能,可可以在设设定防火火墙网关关的网卡卡属性时时激活该该功能。12) 包过滤,支支持IPP层以上上的所有有数据包包的过滤滤:Checck PPoinnt FFireeWalll-11中的对对象以IIP地址址或TCCP/UUDP
34、端端口号来来识别,所所以可以以对IPP层以上上的所有有数据包包进行过过滤。13) 信息过滤滤,包括括HTTTP、FFTP、SSMTPP、NNNTP等等协议的的信息过过滤:Checck PPoinnt FFireeWalll-11可以通通过OPPSECC接口,与与第三方方厂商的的软件或或硬件产产品无缝缝结合起起来对HHTTPP、FTTP、SSMTPP等协议议进行信信息过滤滤。14) 地址绑定定功能,实实现MAAC地址址与固定定IP地地址的绑绑定,防防止IPP地址盗盗用:Checck PPoinnt FFireeWalll-11目前为为止不能能实现MMAC地地址与固固定IPP地址的的绑定。但但是
35、可可以利用用各节点点处的路路由器来来进行MMAC地地址与固固定IPP地址的的绑定。15) 抗攻击性性要求,包包括对防防火墙本本身和受受保护网网段的攻攻击抵抗抗:防火墙本本身的抗抗攻击能能力与其其所运行行的操作作系统的的安全级级别有关关。操作作系统的的安全级级别越高高,防火火墙本身身的抗攻攻击的能能力也越越高。16) 审计日志志功能,支支持对日日志的统统计分析析功能:Checck PPoinnt FFireeWalll-11中自带带有日志志功能,可可以对符符合预定定规则的的网络流流量事先先规定的的方式进进行记录录;在CChecck PPoinnt FFireeWalll-114.11产品中中带有
36、RRepoortiing Moddulee,可以以对日志志进行分分析统计计。17) 实时告警警功能,对对防火墙墙本身或或受保护护网段的的非法攻攻击支持持多种告告警方式式(声光光告警、EEMAIIL告警警、日志志告警等等)以及及多种级级别的告告警:Checck PPoinnt FFireeWalll-11的策略略中有报报警功能能,其中中包括了了E-mmaill告警,日日志告警警等多种种告警方方式。ChecckPoointt防火墙墙技术性性能指标标:1) 时延:在在每个包包大小平平均为5512字字节的情情况下,在在3DEES加密密方式下下Uniix的时时延是11.8mseec,NNT是11.2ms
37、eec;在在DESS加密下Uniix的时时延是11.3mmsecc,NTT是1mmsecc。2) 吞吐量:在没有有数据加加密情况况下,不不同的操操作系统统可以分分别达到到1522M2246MMbpss;在数数据加密密情况下下,可以以达到约约55MMbpss。3) 最小规则则数:在防火墙墙概念中中无此提提法。按按照我们们的理解解,此概概念如果果是指策策略中的的规则数数的话,则则无限制制。4) 包转发率率:100155Mbpps。5) 最大位转转发率:在防火火墙概念念中无此此提法。按按照我们们的理解解,此概概念类似似吞吐量量。6) 并发连接接数:理理论上没没有限制制。Fireewalll-11防火
38、墙墙是一种种应用级级防火墙墙,它的的监测模模块能监监测和分分析网络络通信所所有七层层协议的的内容。实际上路路由器本本身就可可以实现现包过滤滤防火墙墙的功能能,对吉吉通上海海IDCC的各个个路由器器的配置置进行检检查和调调整。保保证整个个网络中中各个路路由器的的配置相相互一致致,并承承担包过过滤检查查的功能能。因为防火火墙在核核心网上上起着安安全管理理的“警察”的重要要作用,它的可可靠性往往往代表表着整个个网络的的可靠性性。如果果一台防防火墙发发生故障障,那么么所有经经过它的的网络连连接都中中断了,防防火墙就就成为一一个“单点故故障”,这在在一个及及其关键键的网络络环境中中是不允允许的。建议方案
39、案:Checckpoointt FiireWWalll-1 防火墙墙产品可可以通过过两台防防火墙之之间建立立主备份份 关系系而大大大增加防防火墙的的可靠性性。Chheckkpoiint FirreWaall-1是基基于先进进的“状态检检测”(Sttateefull Innspeectiion)技术的的防火墙墙,它从经经过它的的网络连连接的各各个层次次抽取信信息,以以得到每每个连接接的状态态。这些些状态存存放在一一个动态态的状态态表中,并并随着数数据的传传输而刷刷新。要要在两台台防火墙墙之间切切换,必必须在这这两台防防火墙之之间共享享这些状状态信息息,以保保证切换换时最大大可能地地保留已已建立的
40、的连接。利用Quualiix GGrouup的QQuallixHHA+ Moddulee foor FFireeWalll-11软件可可以很好好地做到到这一点点。两台台相同配配置的FFireeWalll-11防火墙墙,一台台为主防防火墙,一一台为热热 备份份防火墙墙。在热热备份防防火墙上上安装QQuallixHHA+,它它能自动动地监测测主防火火墙的状状态,并并在一旦旦主防火火墙故障障时迅速速地把主主防火墙墙切换到到热备份份防火墙墙上,而而不需要要人工干干预。由由于QuualiixHAA+能把把热备份份防火墙墙的配置置设置成成与主防防火墙一一致,所所以切换换后不会会损失任任何防火火墙功能能。而
41、QQuallixHHA+所所在的热热备份防防火墙可可以与主主备份防防火墙共共有同一一个IPP地址,所所以切换换后也无无需修改改路由器器的设置置。2.2.2.44 网络络实时入入侵检测测技术防火墙虽虽然能抵抵御网络络外部安安全威胁胁,但对网网络内部部发起的的攻击无无能为力力。动态态地监测测网络内内部活动动并做出出及时的的响应,就就要依靠靠基于网网络的实实时入侵侵监测技技术。监监控网络络上的数数据流,从从中检测测出攻击击的行为为并给与与响应和和处理。实实时入侵侵监测技技术还能能检测到到绕过防防火墙的的攻击。解决方案案: IISS网网络入侵侵检测 ReaalSeecurre NNetwworkk S
42、eensoor配置方法法:参见见“监控和和防御”。ISS实实时网络络传感器器 (RReallSeccuree Neetwoork Sennsorr) 对计计算机网网络进行行自主地地,实时时地攻击击检测与与响应。这这种领先先产品对对网络安安全轮回回监控,使使用户可可以在系系统被破破坏之前前自主地地中断并并响应安安全漏洞洞和误操操作。实实时监控控在网络络中分析析可疑的的数据而而不会影影响数据据在网络络上的传传输。它它对安全全威胁的的自主响响应为企企业提供供了最大大限度的的安全保保障。ISS 网络入入侵检测测ReaalSeecurre NNetwworkk Seensoor在检检测到网网络入侵侵后,
43、除除了可以以及时切切断攻击击行为之之外,还还可以动动态地调调整防火火墙的防防护策略略,使得得防火墙墙成为一一个动态态的智能能的的防防护体系系。3.2.3 操操作系统统层安全全操作系统统安全也也称主机机安全,由由于现代代操作系系统的代代码庞大大,从而而不同程程度上都都存在一一些安全全漏洞。一一些广泛泛应用的的操作系系统,如如Uniix,WWinddow NT,其其安全漏漏洞更是是广为流流传。另另一方面面,系统统管理员员或使用用人员对对复杂的的操作系系统和其其自身的的安全机机制了解解不够,配配置不当当也会造造成的安安全隐患患。3.2.3.11 系统统扫描技技术对操作系系统这一一层次需需要功能能全面
44、、智智能化的的检测,以以帮助网网络管理理员高效效地完成成定期检检测和修修复操作作系统安安全漏洞洞的工作作。系统统管理员员要不断断跟踪有有关操作作系统漏漏洞的发发布,及及时下载载补丁来来进行防防范,同同时要经经常对关关键数据据和文件件进行备备份和妥妥善保存存,随时时留意系系统文件件的变化化。解决方案案: IISS系系统扫描描器(SSysttem Scaanneer)配置方法法: SSysttem Sccannner Connsolle可以以与Innterrnett Sccannner 安装在在同一台台笔记本本上,也也可以单单独安装装在一台台NT工工作站上上。在IIDC中中各重要要服务器器(网管管
45、工作站站、数据据采集工工作站、计计费服务务器、网网站托管管服务器器等)内内安装SSysttem Sccannner Ageent。CConssolee管理各各个Aggentt。定期期(时间间间隔参参照安全全策略的的要求)对对重要服服务器进进行全面面的操作作系统安安全评估估。ISS系系统扫描描器(SSysttem Scaanneer) 是基于于主机的的一种领领先的安安全评估估系统。系系统扫描描器 通通过对内内部网络络安全弱弱点的全全面分析析,协助助企业进进行安全全风险管管理。区区别于静静态的安安全策略略,系统统扫描工工具对主主机进行行预防潜潜在安全全风险的的设置。其其中包括括易猜出出的密码码,用
46、户户权限,文文件系统统访问权权,服务务器设置置以及其其它含有有攻击隐隐患的可可疑点。该产品的的时间策策略是定定时操作作,扫描描对象是是操作系系统。SSysttem Scaanneer包括括引擎和和控制台台两个部部分。引引擎必须须分别装装在被扫扫描的服服务器内内部,在在一台集集中的服服务器上上安装控控制台。控控制台集集中对各各引擎管管理,引引擎负责责对各操操作系统统的文件件、口令令、帐户户、组等等的配置置进行检检查,并并对操作作系统中中是否有有黑客特特征进行行检测。其扫描结果同样可生成报告。并对不安全的文件属性生成可执行的修改脚本。3.2.3.22 系统统实时入入侵探测测技术为了加强强主机的的安
47、全,还还应采用用基于操操作系统统的入侵侵探测技技术。系系统入侵侵探测技技术监控控主机的的系统事事件,从从中检测测出攻击击的可疑疑特征,并并给与响响应和处处理。解决方案案:ISSS网络络入侵检检测 RReallSeccuree OSS Seensoor以及及Serrverr Seensoor配置方法法:参见见“监控和和防御”。ISS实实时系统统传感器器 (RReallSeccuree OSS Seensoor) 对计算算机主机机操作系系统进行行自 主主地,实实时 地地攻击检检测与响响应。一一旦发现现对主机机的入侵侵,ReealSSecuure可可以马上上可以切切断系统统用户进进程通信信,和做做出各种种安全反反应。ISS实实时系统统传感器器 (RReallSeccuree OSS Seensoor)还具有有伪装功功能,可可以将服服务器不不开放 的端口口进行伪伪装,进进一步迷迷惑可能能的入侵侵者,提提高系统统的防护护时间。3.2.4 数数据库层层安全许多关键键的业务务系统运运行在数数据库平平台上,如如果数据据库安全全无法保保证,其其上的应应用系统统也会被被非法访访问或破破坏。数数据库安安全隐患患集中在在: