《安全系统保障体系.doc》由会员分享,可在线阅读,更多相关《安全系统保障体系.doc(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安全系统保障1.1 前言随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业,全球信息化已成为人类社会发展的大趋势,由此带动了计算机网络的迅猛发展和普遍应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击,所以网上信息的安全和保密是一个至关重要的问题。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,可以删除数据库内容,摧毁网络节点,释放计算机病毒等等,这些都使
2、信息安全问题越来越复杂。所以网络的安全性也就成为广大网络用户普遍关心的问题。无论是在局域网还是在广域网中都存在着自然和人为等诸多因素的脆弱性和潜在威胁。发展和推广网络应用的同时进一步提高网络的安全性,真正做到“既要使网络开放又要使网络安全”这一问题已成为了网络界积极研究的课题。在我国,近几年随着网络技术的发展,网络应用的普及和丰富,网络安全的问题也日益严重,利用信息技术进行的高科技犯罪事件呈现增长态势。应该说,网络技术是一把双刃剑,它在为我国国民经济建设、人民的物质文化生活带来促进和丰富的同时,也对传统的安全体系提出了严峻的挑战,使得国家机密、金融信息等面临巨大的威胁。但是,正确的态度应该是辨
3、证的态度。一方面不能因噎废食,拒绝先进的网络技术和文化,但另一方面一定要对网络威胁给予充分的重视。中国工程院院士沈昌祥说:构筑信息与网络安全防线事关重大、刻不容缓。国家领导人也多次组织召开信息安全工作会议,强调信息安全的重要性,提高信息安全防护意识,大力推进我国信息安全的建设工作。为此,国内众多的信息安全厂商也不断的提高自身的信息安全技术与管理的水平,不断地向用户提供完整的解决方案和服务,帮助客户提高信息安全防护的水平和等级,构筑起中国的信息安全“长城”。1.2 项目需求中煤三建综合项目管理系统设备采购项目将建成中煤三建的综合平台,该工程是一项庞大的系统工程,是信息项目建设的龙头。该项目的建成
4、使用,可将集团的各类信息资源加以综合利用,从而极大的促进中煤三建的工作,满足中煤三建信息的需要。本项目在网络建设方面将新建中煤三建的局域网。该局域网承担着保证综合项目管理系统正常运行的重要责任,承载着中煤三建的办公系统以及相关的数据库系统。为使这些系统能够正常运转,在信息安全方面提出了很高的要求。本项目将重点围绕综合项目管理局域网的安全防护进行安全建设。局域网具备电信出口,本项目只考虑一个电信出口。另外,中煤三建局域网还将与各分支机构网络相连。本次安全建设重点在于Internet出口边界隔离与防护、内网的数据安全、病毒防护、抵抗垃圾邮件等,进行有机的安全整体集成,构成并实施相应的整套安全解决方
5、案,建立整体性的安全框架,并通过安全产品的初步集成部署,通过实施专业的安全服务,建立安全风险评估制度,建立安全体系与安全管理制度,建立安全紧急响应制度。具体安全需求如下: 在Internet出口边界处进行逻辑隔离,需部署防火墙设备,解决内外网边界安全访问控制的问题。 在Internet出口边界处进行入侵防护,需部署IDS(入侵防御系统)设备,抵御来自外部网络的网络攻击,保护应急指挥中心局域网。 建设完整的立体病毒防范体系。在外网出口处部署防病毒网关,在局域网内部部署网络版防病毒软件,二者配合共同对病毒尤其是网络蠕虫病毒进行查杀,确保系统及数据安全。 防范垃圾邮件的侵扰。中煤三建局域网包含办公区
6、,在接入Internet的同时不可避免的会受到来自外网的垃圾邮件的侵扰。局域网内需部署反垃圾邮件系统,杜绝垃圾邮件。 系统的安全漏洞的检查,防范针对网络基础设施、主机系统和应用服务的各种攻击,解决造成网络和系统服务不可用、信息泄密、数据被篡改等破坏的问题。需部署漏洞扫描系统,及时发现系统及服务存在的各种安全漏洞。 网络系统安全运行的网络管理问题。实现对关键网络、系统、应用进行性能、事件和告警信息的采集、管理和监控建立有效的运行维护管理机制。需部署网络管理软件,实现对网络的有效管理。 对上述产品进行安全集成,并通过安全产品的部署,专业安全服务的实施,相应安全管理制度的规划和设计,合理构建一个立体
7、、纵深和综合的网络安全防护体系。中煤三建局域网安全建设目标是:在安全法律、法规、政策的支持与指导下,针对网络特点,建立一套完整的安全防护体系;通过制定客户化的安全策略、采用合适的安全技术和制度化的管理,保障网络、系统、信息系统稳定可靠地运行,保障信息中心的数据安全。通过对上述安全需求的建设,必将能够更好地服务中煤三建的工作,满足企业信息的需要。1.3 安全风险分析中煤三建综合项目管理系统现状主要可以按照两个层面来看:一个是网络层面现状,一个是系统层面现状。而所有运行于网络系统平台之上的各种应用系统的载体是网络中各个终端和服务器群,这些终端和服务器群作为基础计算设施实际上构成了“计算设施”层面。
8、同时贯穿于整个系统的还有一个重要的系统,就是管理系统,他对网络层面、计算设施层面和应用层面都起到直接的监控和管理作用,因此管理系统也可以独立的看作另一个层面:管理层面。所以,总体来看,我们在对中煤三建网络进行整体安全风险及需求分析时,基本上可以按照以下模型来进行综合分析:1.3.1 网络边界安全风险每一个边界实际上都可以划分出一个相对独立的安全域(即网络或子网),不同安全域之间的用户的越权、非法访问成为最主要的安全风险,这些越权、非法访问将直接危害到各安全域自身的安全。另外,蠕虫病毒的威胁也非常严峻,一旦某一个子网爆发蠕虫病毒,会立即从一个子网节点迅速蔓延到其他子网区域,很快会导致蠕虫在整个二
9、级网内传播和破坏,造成网络性能严重下降甚至网络崩溃。最后,还需要考虑边界网络设备本身的安全风险(例如远程管理、弱口令等)。1.3.2 计算区域安全风险中煤三建综合项目管理系统网络作为一个大的计算区域,内部运行着大量的计算设施,这其中包括小型机服务器、高端PC服务器、低端PC服务器以及大量的终端设备,这些计算设施尤其是服务器群作为应用系统的主要载体,其安全性至关重要。同时,服务器群非常容易成为黑客和蠕虫病毒攻击的主要目标,这也就意味着服务器群的安全风险等级较高;而终端设备往往部署较为分散,难于统一管理,操作人员的计算机水平也参差不齐,因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。总体
10、来说,计算区域内的计算设施面临的主要安全风险有以下几种: 主机的各种安全漏洞 服务器的安全配置 终端的强制管理 操作人员的技术水平1.3.3 应用系统安全风险中煤三建网络内运行着多种应用系统,这其中包括WINDOWS、UNIX、AIX、LINUX等多种操作系统和多种业务应用系统。这些应用系统真正从主体内容构上成了中煤三建综合项目管理系统的信息化平台,为中煤三建综合项目管理系统提供了高效率的信息化处理平台。一旦这些应用系统受到攻击或破坏,会立即直接影响到中煤三建的正常办公和各种业务,需要重点防护。这些应用系统所面临的主要安全风险包括以下几个方面:病毒对应用系统的威胁:计算机病毒可以直接破坏操作系
11、统和数据文件,使得应用系统无法正常运行。近年来,频繁爆发的蠕虫病毒更是令人防不胜防,它通过大量消耗网络资源导致网络瘫痪或者服务器宕机,从而导致应用系统也无法正常运行。应用系统自身的漏洞:应用系统自身由于设计或程序上的缺陷,可能存在各种漏洞,例如WEB应用服务的安全漏洞,可能导致WEB服务器容易被黑客攻击,篡改网页,使得WEB服务器无法提供正常WEB应用访问服务。应用系统的安全策略:重要的应用系统尤其是数据库是否配置了适当的安全策略来确保应用系统的安全,例如数据库的用户密码管理、数据审计策略等。人员误操作或违规操作对应用系统的威胁:操作人员可能对应用系统进行不当操作而威胁到应用系统,例如越权访问
12、应用系统、违规占用网络资源影响应用系统等。1.3.4 管理系统安全风险随着本次安全建设项目,中煤三建综合项目管理系统网络还需要针对安全设备及安全风险,进行综合监管响应。特别是针对大量部署的防火墙、入侵检测等设备,需要通过集中的安全管理平台,实施统一的设备监控、日志分析、报警响应。总体来看,中煤三建综合项目管理系统网络主要面临的安全风险主要涵盖四个层面:网络边界层面、计算区域层面、应用系统层面和管理系统层面。网络边界层面风险威胁到网络基础平台,计算区域层面风险威胁到计算基础设施(主机和终端),应用系统层面风险威胁到各种应用系统,管理系统层面风险则贯穿于以上所有层面,威胁到全网的安全风险管理。1.
13、4 方案设计原则在本方案规划和实施过程中,我们遵循了以下的原则: 符合国家规定原则选用取得公安部等相关部门认证证书的安全产品。 技术先进性原则采用先进的安全技术,充分保障中煤三建局域网的信息安全。 整体安全和全网统一的原则设计从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用不同层次的不同安全手段,为信息网络和安全业务提供全方位的管理和服务。 标准化、一致性原则安全体系的设计遵循一系列国家标准,使整个系统安全地互联互通。 需求、风险、成本折衷原则任何网络和信息系统都不能做到绝对的安全,设计时在不影响原网络性能和设计要求的情况下,在安全需求、安全风险和安全成本之间进行平
14、衡和折衷。 实用、高效、可扩展原则安全保障系统所采用的产品,要便于操作、实用高效。同时随着技术发展,信息系统也将发生各种变化,在系统实施过程中,系统的结构、配置也会发生变化,系统的安全工程要有一定的灵活性来适应这种变化,做到层次性、体系性,既有利于系统的安全,又有利于系统的扩展。 技术和管理相结合原则各种安全技术应该与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合,从社会工程学的角度综合考虑。1.5 方案设计1.5.1 整体网络安全产品部署根据要求以及我们对客户网络实际环境的了解,结合我们多年来在网络安全建设方面的经验,我们建议本次安全包整个安全产品的部署方式示意图如下所示:说明
15、:中煤三建局域网具备电信Internet出口,另外,中煤三建局域网还将与分支机构网络相连,按照要求,本项目只考虑一个电信出口,本次安全建设重点在于Internet出口边界隔离与防护、内网的数据安全、病毒防护、反垃圾邮件等,进行有机的安全整体集成。1.5.2 防火墙系统方案设计1.5.3 防火墙需求分析防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术,对中煤三建综合项目管理系统重要节点和网段进行边界保护,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,防范各类攻击行为,杜绝越权访问,防止非法攻击,抵御可能的DOS和DDOS攻击
16、。通过合理布局,形成多级的纵深防御体系。通过在中煤三建系统网络边界处部署并正确配置防火墙,可以解决以下安全问题:1)保护脆弱的服务通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包等安全威胁。2)控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Web和FTP服务器。3)集中的安全管理防火墙对中煤三建综合项目管理系统网络系统实现集中的安全管理,在防火墙上定义的安全规则可以运用于整个网络系统,而无须在网络内部
17、每台机器上分别设立安全策略。如在防火墙可以定义不同的用户,而不需在每台机器上分别安装特定的认证软件。内部用户也只需要经过口令认证即可通过透明代理访问外部网。4)记录和统计网络日志防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据并对非法访问作记录日志,从防火墙或专门的日志服务器提供统计数据,来判断可能的攻击和探测,利用日志可以对入侵和非法访问进行跟踪以及事后分析。1.5.4 产品选型及方案设计本次方案中,我们选择网御神州千兆高性能防火墙做为防火墙产品的选型。SECGATE3600-G千兆防火墙具有6个SFP千兆光纤接口、6个10/100/1000 BASE-T千兆电口,该设备
18、网络处理能力6G,最大并发连接数300万,MTBF90,000小时,每秒新建连接数20,000,具有IPSEC VPN功能,IPSec隧道数2000,支持SSL VPN功能。防火墙产品部署示意图如下: 产品部署说明:在中煤三建系统网络的安全建设中,我们从逻辑上采用防火墙将内外网进行分隔,严格控制信息传输和风险扩散的等级。在中煤三建系统网络中,为了保证业务及时、有效地传输,核心出口的防火墙采用一台。1.6 安全策略设计1.6.1 安全策略组成中煤三建综合项目管理系统网络系统的具体安全策略决定了其安全措施,但是所有的安全策略都包含以下基本组成部分: 集中放置面向公共服务的主机,在一个集中、受控的环
19、境下监控网络流量 关闭不必要的服务 严格限制进、出网络的ICMP流量和UDP流量 允许网络管理流量进出中煤三建局域网系统 显示配置RFC 2827规则和RFC 1918规则1.6.2 网络流量分析在中煤三建综合项目管理系统网络中,防火墙部署具有共性结构,即包括内部接口,外部接口和DMZ接口。对于以防火墙为中心的中煤三建综合项目管理系统网络拓扑,存在N(N-1)条流量关系。为方便说明,将防火墙与内部网相连的接口定义为Inside,将防火墙与外部网相连的接口定义为Outside,将防火墙与DMZ服务区相连的接口定义为DMZ。源端口目标端口说明InsideOutside源自内部主机,流向外部网的流量
20、。这部分流量主要由防火墙的状态检测功能进行检查,同时配置向外的防欺骗攻击和RFC1918规则。InsideDMZ源自内部主机,流向DMZ服务区的流量。这部分流量主要由防火墙的状态检测功能进行检查。OutsideInside源自外部主机,访问内部主机的流量,主要是外部服务器对内部请求的应答。对于中煤三建综合项目管理系统内部主机发起的会话流量,返回流量由状态防火墙进行维护。拒绝其他流量。OutsideDMZ源自外部主机,访问中煤三建综合项目管理系统公用服务器。对于访问中煤三建综合项目管理系统内部服务器所使用的IP地址和服务端口,显示配置允许通过。访问规则与OutsideInside相同。DMZIn
21、side源自DMZ服务区主机,访问内部主机的流量,主要是DMZ区服务器对内部请求的应答。对于中煤三建综合项目管理系统内部主机发起的会话流量,返回流量由状态防火墙进行维护。拒绝其他流量。DMZOutside源自DMZ服务区主机,访问外部主机的流量,主要是DMZ区服务器对外部请求的应答。拒绝其他流量。1.6.3 安全策略实现通过细化中煤三建综合项目管理系统网络的每一项基本安全策略实现的功能,强调网络的基础安全。便于中煤三建综合项目管理系统在此基础上,进行特定业务系统访问的安全策略实施。安全策略说明管理流量规则对于任何网络拓扑,首先应该考虑远程管理流量如何进入网络。通过定义ACL建立管理流量过滤表,
22、结合认证授权机制,允许特定管理流量进入网络。RFC 2827 in源自网络外部的数据报的源IP地址不能是网络内部主机所用的IP地址。如果发生这种情况,意味着数据报的发起者尝试将数据报装扮成来自一个内部用户。使用ACL进行过滤。RFC 2827 out源自网络内部的数据报的目标IP地址不能是网络内部主机所用的IP地址。这通常是路由转发错误引起的,会对网络形成潜在的危害。使用ACL进行过滤。RFC 1918 in源自网络外部的数据报的源、目标IP地址不能是RFC 1918定义的私有IP地址。如果发生这种情况,意味着高度可疑行为,会对网络形成潜在危害。使用ACL进行过滤。RFC 1918 out源自
23、网络内部的数据报的目标IP地址不能是RFC 1918定义的私有IP地址。如果发生这种情况,意味着高度可疑行为,会对网络形成潜在危害。使用ACL进行过滤。基本过滤规则 in源自网络外部的,不能满足中煤三建综合项目管理系统访问策略的数据流。使用ACL进行过滤。基本过滤规则 out源自网络内部的,不能满足中煤三建综合项目管理系统访问策略的数据流。使用ACL进行过滤。基于状态的检测规则通过使用状态检测技术,检测TCP会话状态;其他技术支持非TCP会话,使得满足中煤三建综合项目管理系统访问规则的数据流可以进出网络边界。拒绝规则拒绝所有其他未经许可的数据流1.7 入侵防御系统方案设计1.7.1 入侵防御系
24、统需求分析近几年来,随着信息化建设的飞速发展,信息安全的内容也越来越广泛,用户对安全设备和安全产品的要求也越来越高。尽管防火墙传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。一些老式的防火墙不具备内容检测的能力,不具备检测新型的混合攻击和防护的能力。较新的深度检测防火墙往往在分片的数据包前一筹莫展,所以传统的防火墙不具备完备的内容检测能力,无法做到内容安全过滤。IPS设备可以检测网络中的攻击,桌面防病毒软件防护对象是终端,往往需要使
25、用者的对操作系统和其软件都有较高的操作水平,并且防病毒软件往往会限制用户一些正常操作,为了突破限制用户会不得不关闭防毒软件,这些都使得防病毒软件实施的效果受到了很大的影响,所以不能保障网络的安全。为了确保计算机网络安全,必须建立一整套的安全防护体系,进行多层次、多手段的检测和防护。IPS系统就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。需要说明的是,虽然目前很多防火墙都集成有入侵防护模块,但由于技术和性能上的限制,它们通常只能检测少数几种简单的攻击,无法与专业的入侵防护系统相比。专业入侵防护系统所具有的实时性、动态检测和主动防御等特点,弥补了防
26、火墙等静态防御工具的不足。1.7.2 产品选型及方案设计对于一个行之有效的安全解决方案,它必须考虑当前在应用和安全上的挑战。这些挑战包括: 对分布式应用的依赖性不断增强 各个机构日益依赖基于Web的应用和业务级的分布式应用来开展业务。分支机构和生产部门也会通过广域网从远程访问CRM和ERP等关键应用。 网络化应用容易受到攻击 由于80、139等端口通常是打开的,因此如果不对借助这些端口穿越防火墙进入网络的流量进行检测,网络化应用将非常容易遭到病毒、入侵、蠕虫和DoS等形式的攻击。为保护网络化应用的安全,需要对所有流量进行深入的数据包检测,以实时拦截攻击,并且防止安全性侵害进入网络并威胁各个应用
27、。 呈爆炸性增长的攻击 应用攻击的数量和严重性都在飞快地增长,仅2003年就出现了4200多种攻击形式,而且这一数字每年都会翻一番。 相应地,这些攻击造成的损失也呈直线上升趋势。据报道,2003年8月成为IT历史上最糟的一个月。在该月,仅Sobig病毒就在全球造成了297亿美元的经济损失。 当前的安全工具无法拦截这些攻击 在应用层的攻击面前,防火墙、防病毒网关等现有的安全工具缺乏相应的处理能力、性能和应用安全智能,从而使各个机构暴露无遗。 因此,一种能用数千兆位的速度对所有流量进行双向扫描并且可以实时防范各种应用层攻击(比如蠕虫、病毒、木马和Dos攻击)的内置安全解决方案,无疑已成为当务之急。
28、 网御神州IPS入侵防御系统在业内首先提供了以快速入侵检测和拒绝服务攻击的产品。该产品可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、用户和资源提供了直接保护。在本次方案中,我们选择网御神州SECIPS3600 千兆入侵防御系统做为本次IPS选型。网御神州SECIPS3600千兆入侵防御系统是一款基于ASIC硬件架构的千兆2U可上机架的入侵防御系统(IPS),6个10/100/1000M ,2个SFP口接口,网络处理能力1.5Gbps,具有很高的硬件处理性能。入侵防御系统产品部署示意图如下:部署说明:入侵防御系统是一款网关型产品,可以部署在防火墙之外也可以部署在防火墙之内,在本次
29、项目中,我们建议这台网御神州SECIPS3600千兆入侵防御系统部署在防火墙之内,这样从外网来的不合法的访问首先被防火墙过滤,再经入侵防御系统深度检测过滤后,屏蔽各种网络攻击。1.8 防病毒网关设计方案设计1.8.1 防病毒网关需求分析在现今的网络时代,病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快,传播渠道更多、病毒感染对象越来越广。因此,一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案,以抵御来自黑客和病毒的威胁。近年来逐渐兴起的网关防病毒技术在安全体系中的应用“热”起来了。蠕虫病毒产
30、生以前,计算机病毒主要是以移动存储介质传播的;自蠕虫病毒出现之后,网络则取代了移动存储介质的位置。许多业内人士得出的结论是,只要斩断邮件自动转发这一主要传播途径,就可以有效控制计算机病毒的扩散,网关防毒则是斩断其传播途径的最为有效的手段之一。在信息安全技术领域中,基于硬件开发的防毒网关已经推出一段时间,而具有相同功能的软件产品在市场上出现得更早。从应用效果上看看,硬件产品以高性能高稳定性得到用户的青睐。软件防毒墙最大的缺陷是软件在易用性、安全性等方面与硬件产品存在一定的差异。由于软件防毒墙要安装到基于NT、Unix或者是Linux等开放式操作系统平台上才能使用。而开放式系统往往存有安全漏洞,且
31、这些安全漏洞在互联网上就可查到,若不及时打补丁,非法入侵者只需采用对开放系统进行攻击的方法就可突破网络防护。这时网络安全产品不仅起不到安全防护作用,反而成为网络的安全隐患。不仅如此,这类产品安装维护工作极其复杂,技术人员除了要熟悉相关软件的技术之外,还要熟练掌握多种操作系统以适应各种各样邮件服务器的维护需要。同时软件防毒墙产品的性能和效率也会受到硬件环境的限制而无法达到最佳效果。根据来自国际计算机安全协会(简称ICSA)的统计,现在全球有99以上的病毒是通过SMTP和HTTP协议进入用户的计算机的。而仅在2002年,由此造成的损失就超过129亿美元,到2004年此数据又有了进一步的提高,由此可
32、见此项安全极为重要。由于中煤三建综合项目管理系统与驻外地机构系统网络和政府网络数据交换频繁,这就为蠕虫等病毒在整个网络内的快速传播提供了有利条件。一旦某一部分的网络系统被计算机病毒感染,将迅速蔓延到整个网络系统,从而导致这个网络系统的瘫痪。因此,在中煤三建网关出口处部署防病毒网关是十分必要的。1.8.2 产品选型及方案设计在本方案中,我们选择网御神州AV3600千兆防病毒网关系统做为本次防病毒网关产品的选型。网御神州AV3600防病毒网关是一款基于ASIC硬件架构的千兆2U可上机架双电源的千兆防病毒网关,该产品提供4个1000M多模光纤网络接口(GBIC模块)、4个10个10/100/1000
33、M自适应网络接口,完全能满足中煤三建对网关防病毒系统的性能和接口需要。防病毒网关产品的部署示意图如下:防病毒网关部署说明:我们建议将网御神州AV3600防病毒网关系统部署在入侵防御系统之后,这样对经过IPS和防火墙过滤后的流量进行病毒检测,将会大大提高设备对病毒流量的监测效率,对病毒流量进行彻底的查杀。1.8.3 网御神州防病毒网关产品优势网御神州早在2001年就开始研发网关防病毒技术,并于2002年取得了网络防病毒专利(专利号:.9)。新一代的AV 防病毒网关基于网御神州独创的VSP(Versatile Secure Platform)通用安全平台,是国内第一款采用ASIC架构病毒检测引擎的
34、高速杀毒网关。AV防病毒网关实现了对HTTP、SMTP、POP3、IMAP、FTP等协议全文内容过滤,网御神州通过与国际知名信息安全厂商和安全组织进行广泛合作,建立了网络病毒疫苗最全,更新最及时的病毒特征库,能100%拦截著名病毒组织Wild List资料库公开的所有病毒,可以检测的病毒类型不但包含普通病毒、电子邮件病毒、蠕虫病毒、特洛伊木马等,还可以彻底杜绝混合型病毒攻击给用户造成的巨大威胁,可以对电子邮件中的压缩文档进行解压杀毒。 ASIC高速病毒检测引擎AV 防病毒网关以网御神州独创的VSP通用安全平台为基础,采用高效ASIC架构病毒检测引擎,可快速对文件进行重组和压缩文件解压还原,从而
35、实现对2-7层全文内容过滤与病毒查杀,具有准确高效拦截网络病毒的能力。 360网络病毒实时拦截AV 防病毒网关使用网御神州独创的USE统一安全引擎,运用高效的引擎集成技术,将多个安全功能有机地整合为一体,实现了状态检测、入侵防护、反病毒、反垃圾邮件、高层协议分析、深度内容检测等引擎并行处理。其防护能力大大超出传统防病毒网关产品。可以对网络病毒、蠕虫、混合攻击、端口扫描、垃圾邮件、网页钓鱼、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。与之同时,网御神州以独创的VPN Defend技术,为用户的VPN网络进行病毒攻击的防护,彻底解决了病毒等安全威胁通过VPN加密通道进行传播和攻击的问题。 智能化病毒防护虚拟机网御神州利用自身深厚积累的VG(Virtual Gateway)技术,实现了将一台防病毒网关设置为逻辑上的多台设备的独特功能,管理员可以单独管理和单独配置病毒防护策略,从而可以为不同的网络区域提供灵活智能的病毒防护策略。