网络安全建设实施方案

1 京唐港股份有限公司 网络安全建设实施方案 二 2 目录 1 概述 . 4 2 网络系统安全建设 . 4 全现状分析 . 4 全风险分析 . 5 理安全 . 5 络安全与系统安全 . 5 用安全 . 6 全管理 . 6 全需求分析 . 7 理安全需求分析 . 7 络安全与系统安全 . 7 用安全 . 8 全管理 . 8 全实施方案 . 9 理安全防护 . 9 份与恢复 . 9 问控制 . 10 统安全 . 10 段划分与虚拟局域网 . 11 公网整体安全建议 . 12 火墙实施方案 . 14 侵检测系统实施方案 . 21 洞扫描系统实施方案 . 30 份认证系统实施方案 . 34 全审计系统实施方案 . 40 病毒系统实施方案 . 44 3 异地网接入安全建设 . 56 入方式选择 . 57 全性分析 . 58 种方式优势特点 . 58 理介绍 . 59 选型 . 64 务系统安全防护 . 67 4 机房设备集中监控管理 . 67 备及 应用系统管理现状 . 67 立机房集中控制管理系统需求 . 67 中控制管理系统方案实现 . 68 能特点 . 69 控显示系统 . 69 影显示系统 . 69 3 离子显示系统 . 69 5 网络管理中心 . 70 立网络管理中心需求 . 70 络管理功能实现 . 70 6 桌面管理及补丁分发中心 . 73 立桌面管理中心需求 . 73 面管理功能实现 . 75 7 网络设备升级 . 824 1 概述 京唐港 股份有限公司 办公大楼 网络 信息系统 目前刚刚投入使用， 主要包括新建大厦、旧办公区办公网络以及部分省市办事处专网，该套网络与 联， 将要实现整个业务系统的办公自动化，包括业务系统使用、数据存储备份、文件共享、对外宣传等，同时还要为员工相关业务应用及学习提供便利的上网条件；所以该网络 既是办公系统的承载体， 也是威胁风险的承受体，在 公司 规模日渐 壮大的今天 ，网络规模也相应的 在 不断的扩大， 相关的配套 网络及安全 设备 虽然 具有较新的技术和功能， 但 还不足以抵御纷繁复杂的互联网的威胁，整个网络的安全 也 需要做 相应的增强防护， 另外 从设备及应用的管理角度来看，可以 采取一些智能 和高效 的管理手段 及措施，在 保障业务正常运行了同时， 保证系统的安全可靠， 减少和 简化安全管理， 提高 系统 工作 效率。 本方案将着重从安全系统的整体建设及相应的一些网络管理手段上具体分析，并提出可行性的实施方案，把目前在使用过程中遇到的一些问题解决并防患于未然，同时为用户提供一整套安全及网络管理措施，把公 司网络建设成为一个符合业务需求、安全可靠、容易管理操作的 高质量的办公网络。 2 网络 系统安全建设 全现状分析 京唐港股份有限公司依托于京唐港整体规划建设 和发展 ， 将承载着越来越多的港口业务等工作，特别是随着信息化办公的进一步深入， 自动化办公的便利和效率可以说是公司发展壮大的必要手段 ； 但是 京唐港股份有限公司 办公大楼是整个公司信息的核心地带，不但为本地员工及另外 一个 园区的业务人员 提供各种办公应用服务，而且在各地已经或是将要成立办事处，实现远程办公，并且各个位置和部门的业务需求又不尽相同，在这种网络结构较为庞大，多层 次、多应用的网络中，安全是一项很重要的任务和保证措施。 目前，该网络已经建设完成，安全手段主要 在网络边界处 采取了 防火墙，在 5 整个网络中部署了网络版杀毒软件和网管软件， 其他安全措施主要是依靠个人的安全意识和行为；现阶段，全网已经爆发了多次病毒感染等问题，一定程度上影响了办公的效率，所以有必要进一步从技术角度完善安全系统。 全风险分析 理安全 物理安全层面存在下述威胁和风险形式： 机房毁坏：由于 战争、自然灾害、意外事故造成机房毁坏，大部分设备损坏 。 线路中断：因线路中断，造成系统不能正常工作。 电力中断：因电 力检修、线路或设备故障造成电力中断。 设备非正常毁坏：因盗窃、人为故意破坏造成设备毁坏。 设备正常损坏：设备软 、硬件故障，造成设备不能正常工作。 存贮媒体损坏：因温度 、湿度或其他原因，各种数据存储媒体不能正常使用。 络安全与系统安全 互联网安全隐患：互联网会带来的越权访问、恶意攻击、病毒入侵等安全隐患 ； 搭线窃取的隐患：黑客或犯罪团体通过搭线和架设协议分析设备非法窃取系统信息 ； 病毒侵袭的隐患：病毒在系统内感染、传播和发作 ； 操作系统安全隐患：操作系统可能的后门程序、安全漏洞、安全设置不当、安全级 别低 等，缺乏文件系统的保护和对操作的控制，让各种攻击有可乘之机； 数据库系统安全隐患：不能实时监控数据库系统的运行情况，数据库数据丢失、被非法访问或窃取 ； 应用系统安全隐患：应用系统存在后门、因考虑不周出现安全漏洞等， 6 可能出现非法访问 ； 恶意攻击和非法访问：拒绝服务攻击，网页篡改，下载不怀好意的恶意小程序，对系统进行恶意攻击，对系统进行非法访问等。 用 安全 身份假冒：缺少强制认证和加密措施的涉密信息系统，关键业务系统被假冒身份者闯入 ； 非授权访问：缺少强制认证和加密措施的涉密信息系统，关键业务系统被越权访问 ； 数据失、泄密：涉密数据在处理、传输、存储过程中，被窃取或非授权访问 ； 数据被修改：数据在处理、传输、存储过程中被非正常修改和删除 ； 否认操作：数据操作者为逃避责任而否认其操作行为。 全管理 安全管理组织不健全：没有相应的安全管理组织，缺少安全管理人员编制，没有建立应急响应支援体系等。 缺乏安全管理手段：不能实时监控机房工作、网络连接和系统运行状态，不能及时发现已经发生的网络安全事件，不能追踪安全事件等。 人员安全意识淡薄：无意泄漏系统口令等系统操作信息，随意放置操作员 ，私自接入外网，私自拷贝窃 取信息，私自安装程序，不按操作规程操作和越权操作，擅离岗位，没有交接手续等，均会造成安全隐患。 管理制度不完善：缺乏相应的管理制度，人员分工和职责不明，没有监督、约束和奖惩机制，存在潜在的管理风险。 缺少标准规范：系统缺乏总体论证，没有或缺少相关的标准规范，各子系统各自为政，系统的互联性差，扩展性不强。 缺乏安全服务：人员缺少安全培训，系统从不进行安全评估和安全加固，系统故障不能及时恢复等。 7 全需求分析 基于上述的安全风险分析， 京唐港股份有限公司 信息系统必须采取相应的应对措施与手段， 形成有效的安全防护能力 、隐患发现能力和应急反应能力，为 整个 信息系统建立可靠的安全运行环境和安全业务系统，切实保障 全公司 信息系统正常、有序、可靠地运行。 理安全 需求分析 异地容灾：异地容灾主要是预防场地问题带来的数据不可用等突发情况。这些场地问题包括：电力中断 供电部门因各种原因长时间的中断；电信中断 各种原因造成的通信线路破坏；战争、地震、火灾、水灾等造成机房毁坏或不可用等。这些灾难性事件会直接造成业务的中断，甚至造成数据丢失等，会造成相当程度的社会影响和经济影响。通过容灾系统将这种“场地”故障造成的数据不可用性减到最小。要求灾难发生时，异地容灾系统保证：数据在远程场地存有一致、可用的拷贝，保证数据的安全；应用立即在远程现场运行，保证业务的连续性 。 机房监控：机房监控主要是预防盗窃、人为破坏、私自闯入等情况。监控手段有门禁系统、监视系统、红外系统等。 设备备份：设备备份用于预防关键设备意外损坏。 网络中关键网络设备、服务器应有冗余设计。 线路备份：线路备份主要是预防通信线路意外中断。 电源备份：电源备份用于预防电源故障引起的短时电力中断。 络安全与系统安全 深层防御：深层防御就是采用层次化保护 策略，预防能攻破一层 或一类保护的攻击行为，使之无法破坏整个办公 网络。要求合理划分安全域，对每个安全域的边界和局部计算环境，以及域之间的远程访问，根据需要采用适当的有效保护。 8 边界防护：边界防护用于预防来自本安全域以外的各种恶意攻击和 远程访问控制。边界防护机制有防火墙、入侵检测、隔离网闸等，实现网络的安全隔离 。 网络防病毒：网络防病毒用于预防病毒在网络内传播、感染和发作。 备份恢复：备份恢复用于意外情况下的数据备份和系统恢复。 漏洞扫描：漏洞扫描用于及时发现操作系统、数据库系统、应用系统以及网络协议安全漏洞，防止安全漏洞引起的安 全隐患。 主机保护：对关键的主机，例如数据库服务器安装主机保护软件，对操作系统进行安全加固。 安全审计：用于事件追踪。要求网络、安全设备和操作系统、数据库系统有审计功能，同时安装第三方的安全监控和审计系统。 用安全 身份认证：身份认证用于保证身份的真实性。公司 网络中身份认证包括用户身份认 证、管理人员身份认证、操作员身份认证服务器身份认证。鉴于办公 网 与互联网相连 ， 用户数量较大的，基于数字证书（ 认证体制将是理想的选择。 权限管理：权限管理指对 公司办公 网络中的网络设备、业务应用、主机系统的所有操作和访 问权限进行管理，防止非授权访问和操作。 数据完整性：数据完整性指对办公 网络中存储、传输的数据进行数据完整性保护。 抗抵赖：抗抵赖就是通过采用数字 签名方法保证当事人行为的不可否认性，建立有效的责任机制，为京唐港公司 网络创造可信的应用环境。 安全审计：各应用系统对各种访问和操作要有完善的日志记录，并提供相应的审计工具。 全管理 组织建设：安全管理组织建设包括：组织机构、人才队伍、应急响应支援体系等的建设。 9 制度建设：安全管理制度建设包括：人员管理制度、机房管理制度、卡机具生产管理制度、设备管理制度、文档管理 制度等的建设。 标准建设：安全标准规范建设包括：数据交换安全协议、认证协议、密码服务接口等标准规范的建立。 安全服务：安全服务包括安全培训、日常维护、安全评估、安全加固、紧急响应等。 技术建设：安全管理技术建设主要指充分利用已有的安全管理技术，利用和开发相关的安全管理工具，提高安全管理的自动化、智能化水平 。 全实施方案 理安全防护 物理安全是整个系统安全的基础，要把 公司内部局域 网系统的安全风险减至最低限度，需要选择适当的技术和产品，保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及 人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 机房建设必须严格按照国家标准 子计算机机房设计规范、国标 算站场地技术条件、 算站场地安全要求进行建设。 通过防盗措施，如装备报警装置防止设备被盗；通过对重要设备电源采用电防止电源意外断电中断服务；通过对重要设备或线路冗余备份保持服务的可持续性。 份与恢复 对于网络应用实时性要求很高的系统，数据备份措施往往采用服务器的双机备份。即两台服务器同时安装备份系统，同时在线，互为备份 。正常情况下，由主服务器提供服务，备份服务器处于带电但不提供服务状态，一旦主服务器出现故障，备份服务器自动接管主服务器来提供服务。保证应用服务器能够提供不间 10 断的服务。 京唐港股份公司 应用服务可靠要求较 高，而且业务数据存储容量 会随着业务的扩展而增 大，并 非常重要。为了防止业务数据的丢失和损坏而影响业务办理，或者在数据出现意外事 故时无法恢复，必须对数据库进行备份。根据实际情况可采用 构存储系统， 采用磁带库进行备份并实现灾难恢复。 问控制 访问控制是网络安全防范和保护最有效手段之一，据统计分析，完善的访问控 制策略可把网络安全风险降低 90%。网 络的访问控制技术可以针对网络协议 、目标对象以及通讯端口等进行过滤和检验，符合条件才通过，不符合条件的则被丢弃。系统访问控制可以针对具体的一个文件或目录授权给指定的人员相应的权限，受派者在试图访问相应信息时，需要验证身份、判别权限后才能进行访问。访问控制的主要任务是保证网络资源不被非法使用和非法访问。访问控制技术是保证网络安全最重要的核心策略之一。 访问控制策略可以采用三层交换设备 术、 术、绑定技术等，使得不同部门、不同组别、不同用户之间的网络访问达到有效的 控制；也可以通过在不同网络安全域之间加装防火墙等安全设备，利用防火墙的控制策略达到网络访问控制的目的。 统安全 系统安全包括数据库安全和操作系统安全，下面分别阐述。 数据库安全 数据库存放了整个网络中的重要数据，为此需要建立一套有效的安全机制。加强数据库系统登陆权限管理，加强管理员登陆口令的管理以及数据库远程访问权限的管理，对数据库采用备份与恢复机制。同时对重要的涉密系统应选用经国家主管部门批准使用的安全数据库，或者对数据库进行安全增强改造、加固。数据库具体安全要求： 11 1、用户角色的管理 这是保护数据库系 统安全的重要手段之一。把网络中使用数据库的用户设置为不同的用户组并对用户组的安全属性进行验证，有效地防止非法的用户进入数据库系统；在数据库中，可以通过授权对用户的操作进行限制，即允许一些用户对数据库服务器进行访问，具有读写整个数据库的权利，而大多数用户只能在同组内进行读写或对整个数据库只具有读的权利。在此，特别强调对系统管理员和安全管理员两个特殊账户的保密管理。 2、数据保护 数据库的数据保护主要是数据库的备份，当计算机的软硬件发生故障时，利用备份进行数据库恢复，以恢复破坏的数据库文件、控制文件或其他文件。 另一种数据保护是日志，数据库实例都提供日志，用以记录数据库中所进行的各种操作，包括修改、调整参数等，并在数据库内部建立一个所有作业的完整记录。再一个就是控制文件的备份，一般用于存储数据库物理结构的状态，控制文件中的某些状态信息在实例恢复和介质恢复期间用于引导数据库，在实际操作时，需要为网络的数据库分别指定相应的备份策略。 操作系统安全 目前用户办公计算机采用操作系统还主要基于 台。其自身安全需要得到关注，即在日常工作中必须注意对操作系统进行必要的防护。如： 1、定期维护：及时安装漏洞补丁，定 期进行完整性检查、配置检查、病毒检查和漏洞扫描。 2、使用权限控制：用户权限、口令安全。 3、远程访问安全：进行基本的安全配置。 段划分 与虚拟局域网 网段划分主要是对 址进行合理的规划和分配。为确保 办公网 中各子网以及用户之间的互联互通和便于部署网络安全基础设施，保证网络正常、安全运 12 行，需要合理规划、分配外网各部门的 址。网段划分的方法可以采用各个部门或机构划分 网段，重要的服务器设备划分单独的网段，以便监控网络关键设备的安全。 虚拟局域网可有效地解决广播风暴、广播攻击、充分利用网络带宽资源。结合访问 控制列表功能，可以极大地增强 办公网 的安全性，防止 网 络内用户对系统相关信息的非授权访问。办公 网可按各个职能来划分 将领导所在的网络单独作为一个 ，技术人员划分为一个 作人员划分为一个 其它机构分别划作一个 共享服务器（如 务器、 务器等）单独划作一个 其他服务器如数据库服务器划为 公网 整体安全建议 根据以上的安全风险分析、需求分析和 京唐港公司 的具体情况， 建议 从以下方面考虑进行安全方面的部署： 终端防护 A. 在系统内所有客户端部署统一管理的 企业级防病毒系统 。通过防病毒系统的统一部署，可以防止病毒的感染和传播。这可以解决常见的计算机瘫痪、网络阻塞等安全问题。 B. 在系统内所有客户端部署统一管理的 终端安全防护系统。 通过终端安全防护系统的统一部署，可以 京唐港公司 安全管理制度提供有利的技术保障措施，保障终端的系统安全和终端的安全管理。 C. 在中心部署 身份认证登陆系统 ，终端必须通过身份认证才能进入，避免非法进入 。 边界的防护 A. 通过 防火墙 系统的部署，可以根据不同的安全要求，设置不同的安 全区域， 来限制不同信任度区域之间的相 互访问，保护各关键应用服务器系统免受网络上的非法访问和恶意攻击，可以在服务器区的前端增 13 加一台防火墙设备。 B. 通过 入侵检测 系统的部署， 帮助系统对付网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。 服务器的防护 A. 与客户端一起，在系统内所有服务器部署统一管理的 企业级防病毒系统 。通过防病毒系统的统一部署，可以防止服务器免受病毒的感染和传播。这可以解决常见的服务器瘫痪、信息资产丢失等安全问题，为服务器病毒防护提供有效的安全保障。 B. 与客户端一起，在系统内所有服务器 部署统一管理的 终端安全防护系统 。通过终端安全防护系统的统一部署，为服务器提供访问控制、系统的安全、补丁的有效管理、和为服务器的安全管理提供技术保障措施。 C. 服务器安全加固 ，对关键服务器进行安全加固，保证服务器的安全使用和稳固 。 系统安全防护 A. 在办公网系统上部署 漏洞扫描系统 ，可以随时的对网络内的所有终端、服务器、数据库系统进行扫描，以发现安全隐患。 B. 在系统当中 部署 安全强审计系统 。根据用户的安全策略制定详细的审计保护规则，对 整个网络和主机中 违反安全策略的行为进行阻断，并向管理中心报警。 系统整体安全 体系结构 图见 图 1： 14 W E B 服 务 器邮 件 服 务 器病 毒 服 务 器I N T E R N E 检 测 系 统安 全 审 计 系 统K V 服 务 器网 管 工 作 站旧办公区各个楼层交换入 侵 检 测 系 统入 侵 检 测 系 统公共系统区入 侵 检 测 系 统网络管理区图 1： 系统整体安全体系结构 示意 图 火墙实施方案 施原则 （ 1） 整体性 安全防范体系的建立和多层保护的相互配合； 实现技术、产品选型、质量保证与技术服务的统一。 （ 2） 先进性 安全技术先进； 安全产品成熟； 安全系统技术生命的周期适度。 （ 3） 可用性 安全系统本身的可用性； 安全管理友好，并于其他系统管理的有效集成； 避免造成网络系统结构的复杂； 15 尽量降低对原有网络系统的性能影响和不影响应用业务的开展。 （ 4） 扩充性 安全系统能适 应客户网络和业务应用需求的变化而变化； 安全系统遵循标准，系统的变化易实现、易修改、易扩充。 施策略 采取核心保护策略，尽可能的以最小的投资达到最大的安全防护。 采用可以提供集中管理控制的产品，同时要求考虑产品适应性可扩展性，以适应网络扩展的需要。 产品在使用上应具有友好的用户界面，使用户在管理、使用、维护上尽量简单、直观。 建立层次化的防护体系和管理体系。 火墙系统部署 从 京唐港公司网络结构和功能划分上，可以看出，办公 网 中 的服务器区域是很重要的安全区域，这些服务器承载着 整个公司 全部网络功能的需求，对网 络安全系数的要求很高 ，一旦重要服务器遭到攻击破坏，将对整个公司的业务产生非常大的影响，所以可以 在服务器交换机与核心交换机的连接中设置防火墙设备，根据用户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通信，是必不可少的安全防御措施。 控制从外网区到安全服务区的访问，确保允许的访问才能够进行，而其他未经过允许的行为全部被禁止； 限制安全服务区对非安全服务区的直接访问； 防火墙有效记录区域之间的访问日志，为出现安全问题时提供备查资料； 具体配置情况如图 1 所示，在网络边界处部署一台防火墙 作为网 络系统与接的第一道安全防护，通过防火墙提供的功能来达到访问控制的目的 ；另外，在各个系统 区的出口处也部署一台防火墙，用来保证 各个区域 的安全，制定不同的安全策略，实现对重要服务器 系统 的防护和访问控制。 16 火墙安全策略 针对 公司办公局域网 的具体情况，我们 建议制定以下的安全策略： 安全区域隔离策略 由于网络安全的整体性要求，为了使网络系统达到一定的安全水平，必须保证对 网络中各部分都采取了均衡的保护措施， 但对于公司整个办公网来说都采用相同的手段是不可能也没有必要的， 本办公网可以采 用的方法 是根据网络不同部分的重要 性划分为不同的安全区域，并着重对其中重要的安全区域进行隔离和保护。 建议采用防 火墙系统审查和控制不同区域之间的通信连接，重点是各服务器区域与办公 网 内 用户区域之间的连接。 访问控制策略 防火墙被部署后 ，将根据实际应用需要定义适当的安全策略，针对源地址、目的地址、网络协议、服务、时间、带宽等条件的实现访问控制，确保不同网络区域之间的授权、有序访问 ，特别是防止互联网中非法用户的访问或一些恶意的攻击 。 例如，服务器区域防火墙上可制定如下安全策略： - 允许业务相关的用户区域主机访问本区域服务器的特定端口，拒绝其他任何访问请求，这样可以保护服务器系统不受非法入侵和攻击； - 缺省规则应该是拒绝一切访问。 本次项目我们将在实施的过程中，根据网络 的真实环境和应用系统数据交互的实际需要，来制定详细的访问控制策略。基本原则是开放最少端口。作为区域边界保护的准则，防火墙的访问控制策略与业务的一致性是保证系统访问控制策略是否得到实施的关键，因此对防火墙访问控制策略的定期检查和调整是区域边界保护中要注意的问题。 用户认证和授权策略 选择一种既方便实用又具备足够安全性的用户认证机制，通过防火墙实现对网络用户身份的可靠鉴别和访问授权管 理，防止非法人员盗用合法用户的网络地址来假冒合法用户访问关键资源，同时也便于针对实际用户进行行为审计。 带宽管理策略 17 我们可以依据应用需要来限制流量，来调整链路的带宽利用 。 可以在防火墙中直接加载控制策略，为比 较重要的访问 定义可用的最大带宽和优先级，确保为重要的应用预留足够的带宽进行数据交换。 我们还可以 定义任意两个网络对象之间通信时的最大带宽。 例如，通过防火墙的带宽管理，可为内部网络的重要用户如领导、网络管理人员等定义进行网络通信时的最大带宽和优先级，而且带宽分配可以是分层的，例如部门带宽下面有小组带宽然后 是个人带宽等，可以防止带宽被滥用，保证重要的通信的顺畅。 日志和审计策略 一个安全防护体系中的审计系统的作用是记录安全系统发生的事件、状态的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图，使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。进行信息审计的前提是必须有足够的多的日志信息。 防火墙系统提供了强大的日志功能，可对重要关键资源的使用情况进行有效的监控，实现日志的分级管理、自动报表、自动报警功能，用户可以根据需要对不同的通讯内容记录不同的日志，包括会话日志（主要描述通讯的时 间、源目地址、源目端口、通信流量、通讯协议等）和命令日志（主要描述使用了那些命令，执行了那些操作）。用户可以根据需要记录不同的日志，从而为日志分析、事后追踪提供更多的依据。同时，产生的日志能够以多种方式导出，有利于网络内部署的安全集中管理平台进行统一的管理。 火墙选型 由于将各个系统按照区域化分进行分别防护，在总出口处已经部署一台 高性能 千兆防火墙，根 据流量及应用实际分析，在办公系统和生产系统处可分别部署一台千 兆防火墙，考虑到部分有可能系统采用 备，所以可以选择带 产品功能： 功能类别 功能项 功能细项 网络安全性 工作模式 路由、透明、混合 内容过滤 支持基于流、数据包、透明代理的过滤方式。 支持对 协议的深度内容过滤。 18 支持 滤 支持对移动代码如 支持对邮件的收发邮件地址、文件名、文件类型过滤 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤 动态端口支持协议： 防病毒 对通过的数据进行在线过滤，查杀邮件正文附件、网页及下载文件中包含的病毒， 病毒库更新 提供快速扫描及完全扫描两种扫描方式 系统状态实时监控 包过滤 基于状态检测的动态包过滤 实现基于源 /目的 址、源 /目的 址、源 /目的端口、协议、时间等数据包快速过滤 支持报文合法性检查 可实现 定 防御攻击 非法报文攻击： 计型报文攻击： 动：可与支持 议的 备联动，以提高入侵检测效率。 端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置 理：对来自定义区域的 击行为进行阻断过滤 务 支持使用一次性口令认证（ 本地认证、 双因子认证（ 及数字证书（ 常用的安全认证方式 支持使用第三方认证如 认证等安全认证方式 支持 证、 话认证 支持认证保活功能 可将认证用户信息加密存放在本地数据库 持双向 持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多种方式的地址转换 支持虚拟服务器功能 网络适应性 路由 支持静态路由、动态路由 支持基于源 /目的地址、接口 、 策略路由 支持单臂路由，可通过单臂模式接入网络，并提供路由转发功能。 支持 由，能够在不同的 接口间实现路由功能。 19 支持 路由协议。 组播 支持 播协议 支持 有效地实现视频会议等多媒体应用 持与交换机的 口对接，并且能够实现 通过安全设备传播路由 支持 进行 封装和解封 支持 进行 封装和解封 在同 一个 能进行二层交换 生成树 支持 成树协议，包括 协议。 持 理、 习 可设置静态 议 支持对非 议 传输与控制。 持 入 支持 入功能，可满足中小企业的多种接入需求。 支持 号接入 其它 支持网络时钟协议 以自动根据 务器的时钟调整本机时间 支 持 非 议。 持基于标准 商的 信隧道 支持多种 证方式，如预共享密钥，数字证书等 支持 展认证，如 证等。 解决方案 支持网关到网关、远程移动用户到网关的 道 在具有 解决方案中，支持灵活的移动用户到移动用户的隧道。 可以和密码机产品，远程客户端产品及 全管理系统（ 同组成完整的 决方案。 算法 支持 3密办等加密算法 支持标准 证算法 支持加密卡提供的 证算法 工作模式 支持 式 支持网状连接方式 支持分级的树状连接方式 其它功能 支持网络邻居（利用 支持隧道的 越 支持对隧道内明文的访问控制 可同时支持明密传输 安全管理 日志 支持 多种日志格式的输出 支持通过第三方软件来查看日志 支持日志分级 支持对接收到的日志进行缓冲存储 20 通过安全审计系统（ 可获得更详尽的日志分 析和审计功能 ,并能提供员工上网行为管理功能。 可选高级日志审计功能模块，除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。 监控 支持网络接口监测、 用率监测、内存使用率监测、操作系统状况监测、网络状况监测、硬件系统监测、进程监测、进程内存监测、加密卡状况监测。 可根据配置文件进行错误恢复 报警 报警事件：内置了 “管理 ”、 “系统 ”、 “安全 ”、 “策略 ”、 “通信 ”、 “硬件 ”、“容错 ”、 “测试 ”等多种触发报警的事件类 报警方式：采用邮件、 音、 制台等多种报警方式，报警方式可以组合使用。 带宽管理 宽管理 根据 议、网络接口、时间定义带宽分配策略 支持最小保证带宽和最大限制带宽 支持分层的带宽管理 优先级 支持 8 级优先级控制 双机热备 支持双机热备 支持系统故障切换 负载均衡 支持服务器的负载均衡，提供轮询、加权轮叫、最少连接、加权最少链接等多种负载均衡方式供用户选择。 支持生成树协议，可实现链路负载均衡。 其它功能 支持链路备份功能 支持 双系统引导，当主系统损坏时，可以启用备用系统，不影响设备的正常使用 支持 能 配置管理 配置方式 支持 形配置、命令行配置 支持本地配置、远程配置 支持基于 安全配置 命令行 支持配置命令分级保护 支持中英文 支持命令超时、历史命令、命令补齐、命令帮助、命令错误提示等功能 持 本 与当前通用的网络管理平台兼容，如 。 系统升级 支持双系统升级 支持远程维护和系统升级 支持 级 报文调试 提供强大的报文调试功能，可以帮助网络管理员或安全管理员发现、调试和解决问题。 支持发送虚拟报文 21 配置恢复 可以进行配置文件的备份、下载、删除、恢复和上载。 其它 扩展能力 开放式的架构支持未来方便扩展防病毒、防垃圾邮件、 功能以及各种 速卡 术参数 1. 1000M 光纤接口 2； 2. 并发连接数 50 万 ； 3. 持：支持 4. 流量管理：支持带宽管理和优先级控制 ； 5. 支持 址绑定 ； 6. 支持 理 ； 7. 支持抗 口扫描、特洛伊木马等攻击 ； 8. 支持基于 视频会议和 音系统 。 侵检测系统实施方案 侵检测系统 概述 入侵检测系统是属于主动防御 ， 它识别大量的攻击模式、并根据用户策略 做出响应。入侵检测系统以实时性、动态检测和主动防御为特点，有效弥补了其它静态防御工具的不足，完善我们的防御系统 ， 已经成为网络安全系统的必备设施。 网络 入侵检测系统 可以对整个网络进行检测和防御， 通常由控制中心和探测引擎两部分组成。探测引擎一般采用 专用硬件设备通过旁路方式接入检测网络。探测引擎全面侦听网络信息流，动态监视网络上流过的所有数据包，进行检测和实时分析，从而实时甚至提前发现非法或异常行为，并且执行告警、阻断等功能，并记录相应的事件日志。控制中心是面向用户，提供管理配置使用。它支持控制多个位于本地或远程的探测引擎，集中制定和配置监控策略，提供统一的数据管理。 对发现入侵或异常行为，入侵检测系统控制中心能记录、显示详细的入侵告警信息，如入侵主机的 址、攻击特征等。通过对所记录的历史报警信息进 22 行分类统计，可形成用户所需要的管理报表。 侵检测 技术 高性能报文捕获 零拷贝技术 为保障信息安全的重要环节，一直发挥着重要作用。目前，由于网络自身的发展非常迅速，一般的网络局域网主干交换带宽速度由 10/100M 的网络发展到 1000M，给 来了巨大的挑战。由于传统的入侵检测系统一般基于简单的模式匹配实现，在百兆满负荷的网络环境中工作已经相当吃力，而网络带宽成 10 倍的增加，如果不考虑其它条件，意味着要求 加 10 倍的处理能力，因此网络的发展，提出了千兆或更高性能 需求。而高性能入侵检测的一个重要瓶颈就在于高速的报文捕获和批量处 理分析。 为了提高报文捕获的效率，通过修改网卡驱动程序，使用 数据零拷