网络安全及防护措施.ppt

1 网络安全及防护措施 湖北托普 2 概要 一 安全隐患及安全认识分析二 网络安全体系结构三 网络安全整体防护思路 3 一 安全隐患及安全认识分析 4 网络安全事件 1998 9扬州郝氏兄弟工行窃款案例北京机场票务系统瘫痪深交所证券交易系统瘫痪二滩电厂网络安全事故大量的网站被黑 被攻击网上信用卡密码被盗 钱被划走 5 网络 病毒 后门 信息外泄 信息丢失 篡改 资源占用 拒绝服务 黑客攻击 木马 逻辑炸弹 安全威胁种类分析图 6 常见的攻击方式介绍 7 了解攻击的作用 网络管理员对攻击行为的了解和认识 有助于提高危险性认识在遭遇到攻击行为时能够及时的发现和应对了解攻击的手段才能更好的防范 8 攻击带来的后果 系统被侵占 并被当作跳板进行下一步攻击文件 重要资料遭到破坏系统濒临崩溃 无法正常运行网络涌堵 正常通信无法进行重要信息资料被窃取 机密资料泄漏 造成重大经济损失 9 常规攻击行为的步骤 预攻击信息探测 使用扫描器获取目标信息 这些信息可以为 主机或设备上打开的服务 端口 服务程序的版本 系统的版本 弱密码帐号等实施攻击 手法有很多 要视收集的信息来决定利用的手法如 缓冲区溢出 密码强打 字符串解码 DoS攻击等留下后门或者木马 以便再次利用清除攻击留下的痕迹包括痕迹记录 审计日志等 10 逻辑炸弹是一段潜伏的程序 它以某种逻辑状态为触发条件 可以用来释放病毒和蠕虫或完成其他攻击性功能 如破坏数据和烧毁芯片 它平时不起作用 只有当系统状态满足触发条件时才被激活 逻辑炸弹 11 邮件炸弹 概念 发送大容量的垃圾邮件如 KaBoomTo From Server拒收垃圾邮件 设置寄信地址黑名单 MailGuard 12 OICQ攻击 OICQ本地密码使用简单的加密方式OICQ使用明文传输黑客可监听信息内容 13 拒绝服务攻击 DenialofService Dos向目标主机发送大量数据包 导致主机不能响应正常请求 导致瘫痪在目标主机上放了木马 重启主机 引导木马为完成IP欺诈 让被冒充的主机瘫痪在正式进攻之前 要使目标主机的日志记录系统无法正常工作 14 拒绝服务攻击的种类 LandPingofDeathSYNfloodDos DDdos 15 LandAttack 在Land攻击中 黑客利用一个特别打造的SYN包 它的原地址和目标地址都被设置成某一个服务器地址进行攻击 此举将导致接受服务器向它自己的地址发送SYN ACK消息 结果这个地址又发回ACK消息并创建一个空连接 每一个这样的连接都将保留直到超时 在Land攻击下 许多UNIX将崩溃 NT变得极其缓慢 大约持续五分钟 16 Pingofdeath ICMP InternetControlMessageProtocol Internet控制信息协议 在Internet上用于错误处理和传递控制信息 它的功能之一是与主机联系 通过发送一个 回音请求 echorequest 信息包看看主机是否 活着 最普通的ping程序就是这个功能 而在TCP IP的RFC文档中对包的最大尺寸都有严格限制规定 许多操作系统的TCP IP协议栈都规定ICMP包大小为64KB 且在对包的标题头进行读取之后 要根据该标题头里包含的信息来为有效载荷生成缓冲区 17 Pingofdeath Pingofdeath就是故意产生畸形的测试Ping包 声称自己的尺寸超过ICMP上限 也就是加载的尺寸超过64KB上限 使未采取保护措施的网络系统出现内存分配错误 导致TCP IP协议栈崩溃 最终接收方宕机 18 SYNFlooding攻击 SYNFlooding三段握手内核处理 19 攻击者利用因特网上成百上千的 Zombie 僵尸 即被利用主机 对攻击目标发动威力巨大的拒绝服务攻击 DenialofService DoS 拒绝服务攻击 DistributedDenialofService DDoS 分布式拒绝服务攻击 攻击者利用大量的数据包 淹没 目标主机 耗尽可用资源乃至系统崩溃 而无法对合法用户作出响应 什么是DoS DdoS攻击 20 DdoS攻击过程 主控主机 合法用户 扫描程序 黑客 Internet 非安全主机 被控主机 应用服务器 21 IP欺骗攻击 让被信任主机瘫痪联接目标主机猜测ISN基值和增加规律将源地址伪装成被信任主机 发送SYN数据段请求连接黑客等待目标机发送ACK包给已经瘫痪的主机黑客伪装成被信任主机 发送SYN数据段给目标主机建立连接 22 IP碎片攻击 23 IP碎片攻击 只有第一个分段包含了上层协议信息包过滤将丢弃第一个分段其他分段允许通过将在目的地被重组目的主机需等待重传不完全的包 最后返回一个 packetreassemblytimeexpired 信息可能被攻击者利用作为DoS攻击手段直接丢弃 24 DNS欺骗攻击 冒充DNSServer向域名解析请求发送错误的解析结果 25 利用Web进行攻击 CGI ASPWeb的非交互性 CGI ASP的交互性 26 Web欺骗攻击 创造某个网站的复制影像用户输入户名 口令用户下载信息 病毒 木马也下载 27 扫描器的功能简介 扫描器是网络攻击中最常用的工具 并不直接攻击目标 而是为攻击提供信息扫描器至少应有三种功能 发现一个主机或网络的能力 一旦发现 探测其存在的服务及对应的端口 通过测试这些服务 发现漏洞编写扫描器需要很多tcp ip编程和c perl和shell和socket编程的知识攻击利用的扫描技术必须有很快的速度和很好的隐身能力 否则会被发现 28 针对互连设备的攻击 网络上的大部分设备如路由器和交换机大多支持Snmp网管协议 支持snmp的设备都维护着自己接口等运行状态的信息库称为MIBS库 现行版本中网管端和设备间的通信只需经过一个叫做community值的简单验证 管理端提供readonly的community值时可以读取该设备的常规运行信息 如提供readwrite值时 这可以完全管理该设备 攻击网络互连设备的一条捷径 而且不太被注意 29 Snmp的安全验证机制 GET请求 ROcommunity MIBS 常规配置信息 SET请求 RWcommunity 修改或下载所有状态信息 30 设备攻击的形式 INTERNET 攻击者 控制 对内部攻击 切断 跳板攻击 31 蠕虫是一段独立的可执行程序 它可以通过计算机网络把自身的拷贝 复制品 传给其他的计算机 蠕虫可以修改 删除别的程序 但它也可以通过疯狂的自我复制来占尽网络资源 从而使网络瘫痪 蠕虫 32 蠕虫攻击技术 蠕虫技术是病毒和黑客攻击手法的结合 包含两者的技术 这种攻击造成的后果比单一的黑客攻击和病毒传染要大的多攻击的第一步是扫描 找出符合攻击漏洞的主机 这其中包括端口扫描和脆弱性扫描 33 蠕虫攻击技术 实施攻击 现在的手法大多是缓冲区溢出和系统自身的解码漏洞如Codered的 ida idq溢出和Lion的wu ftpd缓冲区溢出成功后在目标主机上自我复制攻击程序 感染文件 疯狂调用进程 与发起者脱离关系直接成为下一次攻击发起者 换个网段继续扫描 攻击 以此类推 这种扩散是最大的 34 Codered蠕虫攻击原理 攻击发起者 ida漏洞服务器 扫描和攻击 ida漏洞服务器 ida漏洞服务器 ida漏洞服务器 ida漏洞服务器 ida漏洞服务器 地址段A 地址段B 地址段C 地址段D 35 特洛伊木马 概念 古希腊人同特洛伊人的战争非法驻留在目标计算机里的执行事先约定操作的程序危害 复制 更改 删除文件 查获密码 口令 并发送到指定的信箱 监视被控计算机 BO 国产木马冰河查看注册表 有无陌生项 36 木马技术 攻击者在成功侵占系统后往往会留下能够以特殊端口监听用户请求并且能够绕过系统身份验证的进程 改进程在系统中运行具有隐秘性质 管理员用常规的系统监视工具不容易发现攻击者利用该进程可以方便的再次进入系统而不用身份验证 攻击者可以利用这个后门向新的目标发起攻击通常控制端和木马植入端的通信是加密处理的 很难发现 37 常见的木马工具 NetbusBo2kSubsevenDoly冰河 38 Unix后门技术 管理员通过改变所有密码类似的方法来提高安全性 仍然能再次侵入大多数后门能躲过日志 大多数情况下 即使入侵者正在使用系统也无法显示他在线的情况和记录后门往往被反复利用来攻击该主机 发现主机的变化 除掉新装上的监控系统后门攻击对unix有很大的危害性 39 密码破解后门 入侵者通过一个弱密码和默认密码帐号进行弱点攻击取得了系统的控制权取得shadow文件和passwd文件 其中passwd文件的加密机制较弱 但对shadow文件的破解技术也在发展攻击者取得文件后crack密码文件 扩大战果 造成主机系统的众多用户口令丢失优点是管理员很难确定到底那个帐号被窃取了 40 Rhosts 后门 联网的unix主机 像rsh和rlogin这样的服务是基于rhosts文件里的主机名的简单验证攻击者只需向可访问的某用户的主目录的rhosts文件中输入 表示所有的主机均可以利用该帐号就可以无需口令进入该帐号Home目录通过NFS向外共享时 如权限设置有误 更容易成为攻击的对象攻击者更喜欢使用rsh这样的工具 因为这种连接缺少日志记录能力 不易被发现 41 Suid和sgid进程后门 Uid是unix中的用户标志 标志用户的身份和权限 suid进程则表示该进程归该用户所有 具有该用户的身份权限攻击者通常通过溢出和其他的手法取得root权限 然后使用root身份属主一个文件如chownroot root bin ls suid这个文件如chmod4755 bin ls 然后将其移到一个不起眼的位置 这样任何一个普通用户登陆导系统后只要执行该 bin ls就可提升到root身份优点 suid进程在系统中有很多 但并不都属于root身份 很多是正常进程 难以查找即便使用find perm4700 print 42 Login后门 Unix中 login程序通 常对telnet的用户进行验证 入侵者在取得最高权限后获取login c的源代码修改 让它在比较口令与存储口令时先检查后门口令 这样攻击者可以登录系统不需系统的验证由于后门口令是在用户真实登陆之前进行的 所以不会被记录到utmp和wtmp日志的 所以攻击者可以获得shell而不暴露为了防止管理员使用strings查找login文件的文本信息 新的手法会将后门口令部分加密缺点是如果管理员使用MD5校验的话 会被发现 43 Telnetd后门 用户telnet到系统 监听端口的inetd服务接受联接 随后传给in telnetd 由他调用login进程 在in telnetd中也有对用户的验证信息如登陆终端有Xterm VT100等 但当终端设为 letmein 时就会产生一个不需要身份验证的shell来攻击者知道管理员会检查login程序 故会修改in telnetd程序 将终端设为 letmein 就可以轻易的做成后门 44 文件系统后门 攻击者需要在已占领的主机上存储一些脚本工具 后门集 侦听日志和sniffer信息等 为了防止被发现 故修改ls du fsck以隐藏这些文件手法是用专用的格式在硬盘上划出一块 向系统表示为坏扇区 而攻击者会使用特定的工具访问这些文件对于系统维护工具已被修改的管理员来说 发现这些问题是很困难的 45 隐匿进程后门 攻击者在获得最高权限后 将自己编写监听程序加载到系统中以一个很不起眼的高位端口监听攻击者修改自己的argv 使他看起来像其他的进程名攻击者修改系统的ps进程 使他不能显示所有的进程 攻击者将后门程序嵌入中断驱动程序使他不会在进程表中显现一个出名的例子 amod tar gz 46 文件系统 进程后门 源ls 源ps 修改 修改 显示文件 显示进程 后门工具 后门进程 返回不存在 返回不存在 47 内核后门 内核后门是最新的技术 和以往的后门都有所不同 他的修改和隐匿都体现在底层函数上面攻击者直接修改系统调用列表sys call table将正常进程的函数调用接口转向为攻击者插入的内核模块接口 而不改变该进程 这样用户执行的命令调用如ls du ps等的最终调用结果是攻击者的自定义模块现在的很多LKM技术的后门就是利用这个原理 这种技术用通常的检测手法很难发现 检查sys call table的接口调用是目前唯一的办法著名的knark就是利用的这种技术 48 痕迹清除技术 攻击系统过后 很多操作和行为都有可能被记录日志 因为这些往往都和系统的安全策略有关系系统的安全策略会定义那些服务和行为必须记录日志攻击完后必须清除自己的行为可能被那些日志记录找出这些日志文件 予以清除或修改 49 Windows的日志 Windows的日志主要是两个方面 第一个是web等服务系统的访问日志 这其中包括ftp mail等 第二个是系统的安全日志 由系统的安全策略来指定服务系统的日志文件默认情况下的权限给予较低 一般用户都可以清除 这是一个很大的问题Windows的服务日志如iis的日志是攻击的主要对象 在现今的攻击中体现的尤为充分 50 Unix日志处理 服务进程都有自己的日志记录如常用的web服务器apache ftp服务器和sendmail服务等 这些服务器包都有自己的日志定制系统Syslogd守护进程定义的选项内容 很多进程如telnet等都是在syslogd进程中定义的 攻击者查看syslog conf就可发现有哪些进程在定义范围之内 51 需要处理的日志举例 Sulog 系统中所有的su操作Lastlog 记录某用户最后一次的登陆时间和地址Utmp 记录以前登陆到系统中的所有用户Wtmp 记录用户登陆和退出的事件Access log apache服务器的访问访问日志 bash history shell记录的用户操作命令历史sh history shshell记录的使用该shell的用户操作命令历史 52 清除的方法 使用重定向符 可以予以清除如cat var log wtmp cat var log utmp 但清除日志太过于明显 很容易让管理员发现计算机被入侵了删除日志 将整个日志文件删除 属于恶意的报复行为rm rf var log utmp使用特定的工具按照ip地址 用户身份等条件筛选删除 这是常用的方法 53 二 网络安全体系结构 54 安全体系模型 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 55 安全体系模型 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 地震 火灾 设备损坏 电源故障 被盗 56 安全体系模型 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 在传输线路上窃取数据 57 安全体系模型 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 Internet 系统内网络 系统外网络 内部局域网 拨号网络 58 安全体系模型 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 操作系统的脆弱性 漏洞 错误配置 59 安全体系模型 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 应用软件 数据库 包括资源共享 Email 病毒等 60 安全体系模型 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 管理员权限 口令 错误操作 资源乱用 内部攻击 内部泄密 61 技术措施 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 62 技术措施 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 设备冗余 线路冗余 数据备份 63 技术措施 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 VPN加密技术 64 技术措施 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 防火墙 物理隔离 AAA认证 65 技术措施 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 漏洞扫描 入侵检测 病毒防护 66 技术措施 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 认证 病毒防护 数据备份 灾难恢复 67 技术措施 系统安全 应用安全 管理安全 物理安全 传输安全 网络互联安全 认证 访问控制及授权 68 三 网络安全整体防护思路 69 网络脆弱性发展趋势 70 木桶原则 最大容积取决于最短的木快攻击者 最易渗透原则 目标 提高整个系统的 安全最低点 71 整体性原则 建立预警 防护 恢复机制构成闭环系统 72 动态性原则 安全是相对的 不可能一劳永逸 道高一尺 魔高一丈 安全策略不断变化完善 安全投入不断增加 总投入的30 73 安全事件案例分析 年 月下旬 杜守志在南宁市拾到一张户名为黄某某在建行广西分行开户的医疗保险 复合卡 并于 月 日至 月 日在银行交易系统识别错误的情况下 输入 为密码 连续从多家银行的 机上 分别支取 余笔现金 合计人民币 元 安全事件成因分析 74 安全事件案例分析 一名普通的系统维护人员 轻松破解数道密码 进入邮政储蓄网络 盗走83 5万元 邮政储蓄使用的是专用的网络 和互联网物理隔绝 网络使用了防火墙系统 从前台分机到主机 其中有数道密码保护 安全事件成因分析 75 事前检测 隐患扫描 通过模拟黑客的进攻手法 先于黑客发现并弥补漏洞 防患于未然 也称为漏洞扫描 脆弱性分析 安全评估 76 网络结构 专网或公网 Internet 公司总部 分公司 分公司 77 总出口的门户安全 专网或公网 Internet 公司总部 分公司 分公司 防火墙 78 各子网的边界安全 专网或公网 Internet 公司总部 分公司 分公司 防火墙 79 入侵检测产品的部署 专网或公网 Internet 公司总部 分公司 分公司 防火墙 80 防病毒产品的部署 专网或公网 Internet 公司总部 分公司 分公司 防火墙 81 加密传输产品的部署 专网或公网 Internet 公司总部 分公司 分公司 防火墙 82 身份认证 3A 产品的部署 专网或公网 Internet 公司总部 分公司 分公司 防火墙 3A 认证 授权 审计 确认身份 防止抵赖 83 事后恢复机制 灾难恢复技术日志查询 84 关键产品 85 关键产品 防火墙产品 防病毒产品 身份认证产品 3A 加密产品 VPN 入侵检测产品 物理隔离网闸 抗攻击网关 漏洞扫描产品 数据备份产品 86 个人安全建议 关闭不必要的服务 如关闭SNMP UPS RAS 关闭不必要的服务端口 80 21 161 不轻易点击不熟悉的网页或链接 不轻易下载不了解的软件运行 不打开不熟悉的邮件附件 不要将硬盘设置为共享 要将IE等软件的安全等级设置为高等级 及时下载及安装补丁程序 87 加强密码的强壮性 并经常更改激活审计功能作好备份工作 包括本地备份 异地备份 磁盘阵列不要随意共享硬盘上的目录 88 尽量不要使用系统默认的OUTLOOK程序对于未知电子邮件小心打开网上下载要注意不去黑客等有危险性的网站经常查病毒 并主义随时出现的情况 89 四 防火墙技术介绍 90 什么是防火墙 以隔离为目的的安全网关设备不同网络或网络安全域之间信息的唯一出入口根据安全政策控制出入网络的信息流本身具有较强的抗攻击能力 91 防火墙主要作用 过滤不安全的服务 控制对系统的访问 集中的安全管理 抗攻击 入侵监测 隔离与保密 记录和统计 92 防火墙的典型应用 93 Internet WebServer 之一 对托管服务器的保护 防火墙 交换机 ISP机房 94 Internet 防火墙 路由器 内部局域网 交换机 之二 对内网的保护 95 Internet 防火墙 路由器 WWW DNS FTP等 Email 内部局域网 内网交换机 外网交换机 之三 对内网及网站的保护 96 DDN网 分支机构局域网 分支机构局域网 总部局域网 防火墙 接本地Internet平台 之四 利用专线构建广域网 防火墙 防火墙 97 Internet 分支机构局域网 分支机构局域网 VPN防火墙 VPN防火墙 总部局域网 VPN防火墙 接本地Internet平台 之五 利用Internet构建广域网 98 财务网段 一般员工办公网段 防火墙 之六 对内网进行逻辑划分 OA及人事网段 领导办公网段 99 传统防火墙的局限性 传统防火墙的共同特点采用逐一匹配方法进行检测和过滤 计算量太大 包过滤是对IP包进行逐一匹配检查 状态检测包过滤除了对包进行匹配检查外 还要对状态信息进行逐一匹配检查 应用代理对应用协议和应用数据进行逐一匹配检查 100 传统防火墙的局限性 传统防火墙的共同缺陷安全性越高 检查的越多 效率越低 防火墙的安全性与效率成反比 101 新一代防火墙面临的问题 目前网络安全的三大主要问题以拒绝访问 DoS DDoS 为目的网络攻击 以蠕虫 WORM 为代表的病毒传播 以垃圾电子邮件 SPAM 为代表的内容控制 这三大安全问题占据网络安全问题的九成以上 传统防火墙无能为力 102 产品特色 访问控制特性 强访问控制基于IP地址和端口 传输方向和协议的访问控制 基于时间的访问控制 基于用户的访问控制 内核AAA身份认证 基于网络空间 七层 的访问控制 OSI模型的第一层 网卡控制技术 OSI模型的第二层 MAC过滤防火墙 OSI模型的第三层 智能包过滤 IntelligentPacketFilter OSI模型的第四层 协议改造技术 ProtocolNormalization OSI模型的第五层 会话控制技术 OSI模型的第六层 表现控制技术 OSI模型的第七层 应用控制技术 103 产品特色 高安全 高安全性高效安全的BSD系统内核采用基于BSD的中网专用安全操作系统 内核级的工作模式 使防火墙更加稳定 高效和安全 优化的TCP IP协议栈经过加固的系统内核和优化TCP IP栈 能够有效防范DoS DDoS 源路由攻击 IP碎片包等多种黑客攻击 内置入侵检测模块内置的入情检测系统为客户提供更加广泛和全面的攻击防范 日志查证 确保内部网络的安全 防范恶意代码可以有效阻止ActiveX Java Cookies JavaScript的入侵 104 支持移动用户远程拨入 实现对内部网络资源安全访问 可以为用户提供全功能的网关到网关VPN解决方案 支持国密办许可的加密卡 提供高安全保障 集成VPN模块 并支持第三方的加密卡 可扩展性 标配4或6个网口 满足大多数网络环境需求 模块化结构设计 最多支持10个网卡接口 适应多种网络环境 1U设备下实现多网口支持 产品特色 可扩展 可与IDS等安全产品联动 与国内领先的IDS产品实现联动 如启明星辰 金诺网安等 支持国际领先的OPENSEC联动协议 如冠群金辰等 支持各种网络协议和应用协议 支持路由协议OSPF RIP RIPII 策略路由 DNS DHCP等 支持VLAN802 1Q和视频点播 H 323等应用协议过滤 105 产品特色 高可用性 问题网络是否必须24x7的不间断运行 解决办法 心跳互动采用两台防火墙以主从方式工作 实现故障切换的功能 稳定 可靠 106 带宽管理 Web服务器 视频应用服务器 浏览 下载 30 20 50 视频 Ftp服务器 带宽管理规则库 内网 外网 外网 内网 分级带宽管理 管理直观简便 可粗可细带宽分配 粗可对某些网卡 可对某个部门的连续IP地址段 也可对离散的多个IP地址 细可以到每一个IP地址 107 双机热备份 保证系统的可用性无需手工插拔 10s内自动完成切换内部用户和外部用户完全透明 无需任何配置 主黑客愁TM 从黑客愁TM 客户机 客户机 客户机 服务器 服务器 服务器 请求 请求 请求 请求 108 五 物理隔离网闸介绍 109 隔离网闸实现的目标 X GAP技术在设计上主要是为了解决目前网络安全设备中存在的四个主要难题 第一 阻断内外网络的任何网络通信协议的连接 第二 抵御任何基于TCP IP的已知和未知的网络攻击 特别是DoS DDoS攻击 第三 抵御基于操作系统平台漏洞或后门的攻击 第四 阻断内外网络的直接连接 保护安全设备的安全策略 110 中网隔离网闸构成 硬件组成 内网机 外网机 SCSI控制开关系统 两个网卡 分别连接在内网机和外网机的主板上 用于内网机和外网机的输入输出 111 中网隔离网闸构成 软件组成 开关控制软件 快速的在两个处理单元之间交换数据 外部单边代理 接收外部的请求 解析出应用协议 过滤数据内容 保证数据中不包含危险命令 内部单边代理 通过传输层软件模块接收外部处理单元传入的请求和数据 解析出应用协议 过滤数据内容 保证数据中不包含危险命令 112 中网隔离网闸X GAP的特征 阻断两个网络的物理连接 确保连接网闸X GAP设备上的两个网络在任何时候链路层均是断开的 没有链路连接 阻断两个网络的逻辑连接 TCP IP协议必须被阻断 被剥离 将原始数据通过P2P非TCP IP的连接透过网闸设备X GAP传递 没有通信连接 没有网络连接 没有应用连接 完全阻断 网闸实现服务的应用代理 任何数据交流均通过两级代理的方式来完成 两级代理之间是通过开关系统实现信息交流的 113 中网隔离网闸X GAP的特征 网闸安全策略的内部控制 网闸X GAP内外系统的安全策略均在可信内网配置合传递 确保安全策略不能被攻击的特性 协议剥离后的数据摆渡 网闸X GAP传输的原始数据通过表单方式进行 不具有攻击或对网络安全有害的特性 就像txt文本不会有病毒一样 不会执行命令 网闸隔离设备的自我保护 网闸X GAP外网内置防DoS DDoS模块 抗攻击 防扫描 防入侵 防篡改 防破坏 防欺骗 同时系统提供完备的日志 审计功能 114 协议处理图 TCP IP RawData IP TCP DataInspection ProtocolInspection ProtocolInspection 115 TCP IP协议处理图 116 SCSI开关系统 基于SCSI的开关系统开关系统是通过SCSI控制系统来实现的 SCSI控制系统作为网闸的开关系统是国际公认的 领先的技术 X GAP将SCSI开关功能在系统的内核中实现 远远优于其它常见的开关技术 国内唯一实现基于SCSI开关技术的安全公司 117 隔离网闸主要性能指标 最小开关切换时间 12 5ns 网闸摆渡数据速率 248Mbps 百兆带宽网闸吞吐量 80Mbps 设计的最大并发连接数 8192个 网闸内部最大带宽 5120Mbit s 5G 接口数量 支持2 4个网络接口 在性能方面达到了同期国际主要厂商同类产品的水平 118 X GAP产品功能模块 安全的隔离 断开与摆渡 由外部主机 内部主机和开关系统组成 外部主机连接外网 内部主机连接内网 外部主机包含外部单边代理 内部主机包含内部单边代理 内外网主机代理之间的文件交换均通过网闸开关系统来摆渡 抗攻击内核 内核防护 抗攻击 防扫描 防入侵 防篡改 防破坏 防欺骗 119 X GAP产品功能模块 协议的中止中止IP包穿透 中止TCP UDP ICMP ARP包的穿透 中止应用协议 相关的RFC 不是协议转换 不是私用协议 120 X GAP产品功能模块 病毒查杀集成防病毒网关 支持手动升级 支持自动升级 访问控制基于目标安全域 来源安全域 基于IP 基于Port 基于协议 基于状态标志 121 X GAP产品功能模块 安全审计外部主机的系统日志 内部主机的系统日志 功能模块的日志 管理员日志 对所有日志信息进行备份 身份认证基于用户的访问控制 支持Radius协议认证 支持本地数据库的认证 网络层的身份认证 支持证书认证接口 122 X GAP产品功能模块 123 X GAP产品功能模块 应用安全 对命令进行过滤对协议进行过滤对URL进行过滤对代码进行过滤完整支持代理 124 X GAP产品功能模块 内容安全 基于关键词的过滤基于语意的过滤基于人工智能的控制支持人工干预 125 X GAP产品特点和优势 遵循RFC的互联网国际标准X GAP在剥离第七层的应用协议的时候 完全遵守相关的RFC国际标准 因此对应用的兼容性支持好 具有可定制的特性X GAP采用模块化结构 具有灵活的定制特性 X GAP可以满足为特殊行业定制具体的业务需求 126 X GAP产品特点和优势 一次一认证支持发送电子邮件采用高强度认证 防止病毒乱发电子邮件 防止病毒泄密 每次授权 每次认证 协议恢复应用支持 不改变用户的使用方式 不改变用户的使用习惯 在第七层根据RFC恢复协议 127 典型案例介绍 电力系统内部隔离方案 省电力调度数据专网 省电力综合信息网 EMS SCADA电量计费系统 调度管理信息系统DMIS 管理信息系统MIS及OA等 Internet 物理隔离网闸 防火墙 防火墙 128 省局 党政网 互联网 SDH 核心层 市局办大楼访问层 20个区 市 县局访问层 OA 内部Mail 应用服务器 应用层 GE GE FE FE FE FE 外联层 外联应用服务器 发票抽奖 WEB 12366系统 DDN64K 10M FE FE GE GE FE FE FE FE GE GE MPLSVPN 备份服务器 病毒服务器 X Gap8500 SX 120 LX 120 某市地税局方案 129 ThankYou