宜宾市政府信息中心 网络安全解决方案
2010 年 6 月
I
目录
1 宜宾市政府信息中心 IT 应用现状 .......................................................................................... 1 1.1 网络规模 ....................................................................................................................... 1 1.2 网络上的应用 ............................................................................................................... 1 1.3 项目目标 ....................................................................................................................... 1 2 需求分析 ................................................................................................................................... 1 2.1 网络层的安全分析 ....................................................................................................... 2 2.2 系统层的安全分析 ....................................................................................................... 3 2.3 应用层的安全分析 ....................................................................................................... 3 2.4 网络出口病毒风险分析 ............................................................................................... 4 2.5 互联网多链路负载均衡 ............................................................................................... 5 3 网络安全方案设计原则 ........................................................................................................... 6 3.1 需求、风险、代价平衡的原则 ................................................................................... 6 3.2 综合性、整体性原则 ................................................................................................... 6 3.3 一致性原则 ................................................................................................................... 7 3.4 易操作性原则 ............................................................................................................... 7 3.5 适应性及灵活性原则 ................................................................................................... 7 3.6 多重保护原则 ............................................................................................................... 7 3.7 可评价性原则 ............................................................................................................... 7 4 解决方案 ................................................................................................................................... 8 4.1 网络拓扑 ....................................................................................................................... 8 4.2 安全域边界解决方案 ................................................................................................... 9 4.2.1 产品推荐 ......................................................................................................... 10 4.2.2 系统部署 ......................................................................................................... 11 4.2.3 防火墙安全控制策略:
................................................................................. 11 4.2.4 功能特色 ......................................................................................................... 13 4.3 病毒防护体系建设 ..................................................................................................... 13 4.4 入侵防御系统解决方案 ............................................................................................. 14 4.4.1 产品推荐 ......................................................................................................... 15 4.4.2 系统部署 ......................................................................................................... 15 4.4.3 IPS 边界安全控制策略 ................................................................................... 16 4.4.4 功能特色 ......................................................................................................... 17 4.4.5 方案优势 ......................................................................................................... 17 4.5 风险评估及漏洞扫描解决方案 ................................................................................. 26 4.5.1 产品推荐 ......................................................................................................... 26 4.5.2 系统部署 ......................................................................................................... 27 4.5.3 功能特色 ......................................................................................................... 27 4.5.4 方案优势 ......................................................................................................... 30 4.6 多链路负载均衡解决方案 ......................................................................................... 32 4.6.1 产品推荐 ......................................................................................................... 32 4.6.2 系统部署 ......................................................................................................... 32 4.6.3 功能特色 ......................................................................................................... 32 4.6.4 方案优势 ......................................................................................................... 32 4.7 网络管理平台解决方案 ............................................................................................. 32 4.7.1 产品推荐 ......................................................................................................... 32 4.7.2 系统部署 ......................................................................................................... 32 4.7.3 功能特色 ......................................................................................................... 32
宜宾市政府信息中心网络安全解决方案 II
4.7.4 方案优势 ......................................................................................................... 32 4.8 安全管理平台解决方案 ............................................................................................. 32 4.8.1 产品推荐 ......................................................................................................... 33 5 方案产品型号及数量 ............................................................................................................. 34 5.1 宜宾市政府信息中心安全设备清单 ......................................................................... 34 6 迪普科技简介 ......................................................................................................................... 35 7 部分成功案例 ......................................................................................................................... 37 7.1 长春税务学院 ............................................................................................................. 37 7.2 国家档案局 ................................................................................................................. 38 7.3 浙江能源集团 ............................................................................................................. 38 7.4 河南南阳农信联社 ..................................................................................................... 39 7.5 西藏自治区质监局 ..................................................................................................... 40 7.6 西安通信学院 ............................................................................................................. 40 7.7 中石油华南销售公司 ................................................................................................. 41 7.8 央视国际 ..................................................................................................................... 42
宜宾市政府信息中心网络安全解决方案 1
1 宜宾市政府信息中心 IT 应用现状 1.1 网络规模
1.2 网络上的应用
1.3 项目目标 采用国际、国内网络安全防护相关标准及及国家等级保护相关要求来整体规划设计网络,通过分期建设达到网络业务安全实际要求。
通过在网络中划分出不同安全域进行边界区分接入与防护、更新出口防火墙的综合防御能力及灵活的 VPN 接入方式、做到出口防火墙设备的冗余和性能大幅提升,为用户未来五年的安全防护提供保障。
在互联网出口处,通过负载均衡设备自动实现对电信线路和网通线路两条线路的双向负载均衡应用。
为了实现对深层攻击的防御,弥补防火墙等设备的不足,在宜宾市政府信息中心服务器区域前端部署入侵防御系统(IPS:Instruction Prevention System)。入侵防御系统以在线方式部署,实时分析链路上的传输数据,对隐藏在 4-7 层特别是应用层的攻击行为进行阻断,专注的是深层防御、精确阻断。同时,IPS 也提供对网络滥用的检测和阻断能力。
项目实施后,防火墙、入侵防御系统、负载均衡管理系统、风险评估漏洞扫描系统等设备一同构成了一道全面的纵深防御体系,确保宜宾市政府信息中心网络系统和关键业务的安全运行。
2 需求分析
从宜宾市政府信息中心电子政务网络的实际情况来看,我们认为应该从以下几个方面进行全面的分析:
链路层 网络层
宜宾市政府信息中心网络安全解决方案 2
系统层 应用层 防病毒 下面将分别进行详细的阐述。
2.1 网络层的安全分析 网络设备主要包括宜宾市政府信息中心电子政务网络各节点上的路由器、交换机等设备。网络层不仅为宜宾市政府信息中心电子政务网络提供连接通路和网络数据交换的连接,而且是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行的 TCP/IP 协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。整个网络面临着来自网络外部和内部的双重威胁。
尤其在外网 Internet 中存在着大量的黑客攻击,他们常常针对 web 服务器和邮件服务器作为突破口,进行网络攻击和渗透。常见得一些手法如下:IP 欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD 等)、分布式拒绝服务攻击、篡改、堆栈溢出等。黑客可以容易的在宜宾市政府信息中心电子政务网络出口进出,对系统进行攻击或非法访问。
而在宜宾市政府信息中心电子政务网络内部,基本上还没有严格的防范措施,其中的安全隐患不言而喻。如果加上安全管理上的不够完善等因素,或者在已有的服务器与单机中存在着后门程序(木马程序)的话,攻击者就可以很容易地取得网络管理员权限,从而进一步控制计算机系统,网络中大量的数据就会被窃取和破坏。
根据木桶原理,网络中只要一个地方出现了安全问题,那么整个网络都是不安全的。因此,在宜宾市政府信息中心电子政务网络出口处应配置应用级防火墙来加强访问控制,并部署入侵监控系统,杜绝可能存在的安全隐患,来保证网络安全可靠的正常运行。
由于宜宾市政府信息中心电子政务网络是一个跨地域的广域网,有很多需要对外保密的业务数据需要通过 Internet 公用网络链路进行传输,而公众网(Internet)一般没有网络安全措施,采用明文方式传输数据,如果不加密很容易被非法分子窃取数据,病毒攻击以及黑客入侵。
宜宾市政府信息中心网络安全解决方案 3
2.2 系统层的安全分析 在宜宾市政府信息中心电子政务网络中有着多种不同的操作系统,如:Windows、 Linux 等等,这些系统都或多或少地存在着各种各样的漏洞。如果这些操作系统没有进行系统的加固和正确的安全配置,而只是按照原来系统的默认安装,这样的主机系统是极其不安全的。一名黑客可以通过 Unicode、缓存溢出、造成死机等方式进行破坏,甚至取得主机管理员的权限。此外,在网络中,一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限,从而控制主机。
宜宾市政府信息中心电子政务网络中存在一定量的服务器,如:数据库服务器、邮件服务器、文件等等,而这些服务器都担负着重要的服务功能,如果这些服务器(尤其是有大量的数据处理的服务器),一旦瘫痪或者因被人植入后门造成远程控制窃取数据,后果将不堪设想。为了保证业务数据的正常流通和安全,需对这些重要的服务器进行全方位的防护。
2.3 应用层的安全分析 宜宾市政府信息中心电子政务网络与 Internet 相连,存在着包括 Web、FTP、E-mail、DNS 等各种 Internet 应用。应用系统的安全性主要考虑应用系统与系统层和网络层的安全服务无缝连接。在应用层的安全问题,黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的,比如针对错误的 Web 目录结构、CGI 脚本缺陷、Web 服务器应用程序缺陷、为索引的 Web 页、有缺陷的浏览器甚至是利用 Oracle、 SAP、 Peoplesoft 缺省帐户。
应用层的安全威胁还包括对各种不良网络内容的访问,比如内网用户访问非法(如发布反动言论、宣扬法轮功等)或不良(色情、迷信)网站等。有的 Internet站点上还包含有害的 Java Applet 或 ActiveX 小程序,如果不慎访问将有可能带入病毒和木马程序,甚至有的网页可以通过一段简单的代码直接破坏访问者计算机的数据和系统,对网络安全和效率都将造成极大破坏。
应能对网络应用分析、内容过滤与审计进行分析和控制 网站访问内容审计和控制; 网站发贴(BBS)内容审计和控制; 邮件收发、webmail 审计内容审计和控制;
宜宾市政府信息中心网络安全解决方案 4
FTP、TELNET 内容审计和控制; Https 行为审计和控制; Lotus 邮件信息审计和控制; 常见网络在线游戏:QQ 在线游戏;联众在线游戏、中国游戏中心、边锋网络游戏、远航游戏中心、浩方网游审计和控制; 常见即时通讯:QQ、MSN、ICQ 和 YahooMessage 内容审计控制和使用即时通讯的传输文件的控制; 音视频行为审计和控制; P2P 下载:BT 和电驴的下载审计控制和下载的流量限制控制等。
能针对互联网的使用状况,人员的上网习惯等进行分析。实现网络访问记录、邮件访问记录、上网时间控制、禁止不良站点访问等功能。提供优秀的内容安全控制功能。同时通过对其捕获的网络日志数据进行深入的挖掘和分析,提供完整的上网行为日志统计、分析功能,网络流量趋势分析等功能,还可以根据应用特点生成图文并茂的统计分析报表,为用户在网络管理、行政管理,企业文化建设等方面提供专业的分析和管理工具。
2.4 网络出口 病毒 风险分析 计算机病毒一直是计算机安全的主要威胁。而随着网络的不断发展,网络速度越来越快,网络应用也越来越丰富多彩,使得病毒传播的风险也越来越大,造成的破坏也越来越强。据国际计算机安全协会的统计,目前已经有超过 90%的病毒是通过网络进行传播的。宜宾市政府信息中心电子政务网络内用户访问Internet 时,无论是浏览 WEB 页面,还是通过 FTP 下载文件,或者是收发 E-mail,都可能将 Internet 上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同,它们本身是一个病毒与黑客工具的结合体,当网络当中一台计算机感染蠕虫病毒后,它会自动的以极快的速度(每秒几百个线程)扫描网络当中其他计算机的安全漏洞,并主动的将病毒传播到那些存在安全漏洞的计算机上,只要相关的安全漏洞没有通过安装补丁的方式加以弥补,蠕虫病毒就会这样以几何级数的增长速度在网络当中传播,即使计算机上安装了带有实时监控功能的防病毒软件(包括单机版和网络版)对此也无能为力。蠕虫病毒
宜宾市政府信息中心网络安全解决方案 5
的传播还会大量占用网络带宽,造成网络拥堵,形成拒绝服务式攻击(DoS)。
因此,对于新型的网络蠕虫病毒,必须在网关处进行过滤,防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的重中之重,需要引起宜宾市政府信息中心电子政务的特别重视。
统计数据:90%以上的病毒是通过 Internet 传播的
统计数据:Internet 防病毒网关需求正逐年增加 2.5 互联网 多链路负载均衡 为了提升宜宾市政府信息中心的应用系统,尤其是对外发布的门户网站以及应用系统的稳定性和可靠行,宜宾市政府信息中心已经部署多条互联网链路以保证网络服务的质量,消除单点故障,减少停机时间。目前需要在如下两种
宜宾市政府信息中心网络安全解决方案 6
情况下实现多条链路的负载均衡:
1. 内部的应用系统和网络工作站在访问互联网络的服务和网站时如何能够在多条不同的链路中动态分配和负载均衡,这也被称为出站流量的负载均衡。
2. 互联网络的外部用户如何在外部访问内部的网站和应用系统时也能够动态的在多条链路上平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统,这也被称作为入站流量的负载均衡。
3 网络安全方案设计原则 网络安全的重要性已经被人们所认可,而网络安全的需求也是包含了从硬件物理到人为的信息安全服务,但网络安全方案要做到全面、可扩充,其设计应遵循以下原则:
3.1 需求、风险、代价平衡的原则 对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定相应的规范和措施,确定系统的安全策略。
3.2 综合性、整体性原则 应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。
计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等,在网络安全中的地位和影响作用,只有从系统整体的角度去看待、分析,才可能得到有效、可行的安全措施。不同的安全措施其代价、
宜宾市政府信息中心网络安全解决方案 7
效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。
3.3 一致性原则 一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有详实的内容及措施。实际上,在网络建设的开始就考虑网络安全对策,比在网络建设完成后再考虑安全措施,不但容易,而且花费也少很多。
3.4 易操作性原则 安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。
3.5 适应性及灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。
3.6 多重保护原则 任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
3.7 可评价性原则 如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。网络安全的动态性是指,网络安全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器),原来安全的系统就变的不安全了;在一段时间里安全的
宜宾市政府信息中心网络安全解决方案 8
系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了),原来的系统就会变的不安全。所以,网络安全不是一劳永逸的事情。
针对安全体系的特性,我们可以采用“统一规划、分步实施”的原则。具体而言,我们可以先对网络做一个比较全面的安全体系规划,然后,根据我们网络的实际应用状况,先建立一个基础的安全防护体系,保证基本的、必需的安全性。随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,建立增强的安全防护体系。
对于宜宾市政府信息中心电子政务系统网络安全的设计,我们建议采取以上的原则,先对整个网络进行整体的安全规划,然后,根据实际状况建立一个从防护——检测——响应的基础的安全防护体系,保证整个网络安全的最根本需要。
4 解决方案
4.1 网络拓扑 通过和宜宾市政府信息中心沟通,按照其单位网络架构和需求情况,我们推荐使用杭州迪普科技的数据中心结构化安全解决方案和深信服链路负载均衡解决方案。具体网络拓扑部署情况如下:
宜宾市政府信息中心网络安全解决方案 9
我们在方案中选择迪普品牌的安全防护解决方案,可以完全满足用户对防火墙和入侵抵御设备的要求,同时还可以提供边界防病毒部署能力,为宜宾市政府信息中心提供周全的边界安全防护解决方案。同时我们选择的设备无论在端口数、服务功能、处理能力还是本地/远程接入用户数量上,均具备了一定的冗余能力,可以在将来的使用中为用户节约更多的中体拥有成本,提供更好的投资保护。
4.2 安全域边界解决方案 边界防护子系统由两部分组成,防火墙和入侵抵御系统(以下均简称为IPS),防火墙为网络提供基于 OSI 三到四层的强壮的安全保护服务,IPS 为网络提供四到七层的精细化的安全防护服务。
防火墙就是运行于软件和硬件上的,安装在特定网络边界的,实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源甚至破坏内部网络;可以把单位的公共
宜宾市政府信息中心网络安全解决方案 10
网络服务器和内部网络隔开防止外部用户以公共服务器为跳板私自接入内部网络;还能够把重点服务器与内部网络隔离开防止内部非授权用户的随意操作危害到服务器安全,对服务器进行重点防护。总之部署防火墙的目的就是保护高信任级别网络不受来自低信任级别网络的攻击。
防火墙作为传统的网络边界安全防护设备,一直以来都是网络中不可缺少的“守门员”,十几年来,防火墙在网络边界大力提升了网络安全性并逐步摆脱了网络吞吐量瓶颈的障碍。但是,随着网络技术的发展,传统的第三层防火墙只能在网络隔离、端口封闭方面施展自己的能力,而对基于端口协议上的众多细分业务和基于系统或软件漏洞的攻击无法控制(现在市面上陆续出现一些可对部分 7层业务进行操作的防火墙,部分决绝了这个问题,但无论在功能性还是覆盖率等各方面都实在不够专业),如 BT、Emule 等 P2P 业务、未经授权的流量、后门软件、攻击流量等。于是发展出了基于第七层应用层的安全设备,以按照业务或流量来保护网络不受攻击,尽管入侵检测系统(IDS)曾一度出现,但旁路检测与防火墙联动的模式无法有效阻止攻击或控制流量,因此并未得到发展。
针对现在攻击变化多、发展快、单包攻击增多等新特点,以及用户对流量精细化控制等方面的需求,必须采用在线的设备来应对 ,即主动的入侵防御系统!
入侵防护系统(IPS)是下一代安全系统的大趋势。它不仅可进行检测,还能在攻击造成损坏前阻断它们,从而实现对网络安全主动的控制。
毫无疑问,在线部署的基于第七层的主动式设备要求持续的无阻碍转发,对吞吐量和可靠性性都提出了新的要求,就像防火墙刚刚出现一样,设备性能和可靠性这两个指标成为衡量一个设备是否合格的主要标准,而 IPS 设备经常面对不断变化的攻击所需具备的多业务能力、功能扩展能力又对产品结构提出了更高的要求。经过综合比较,迪普科技率先采用多核芯片结合 MPE(多业务并行处理引擎)安全处理平台为 IPS 赋予了强大、可靠的处理能力和扩展能力。
4.2.1 产品推荐 网络建设不断升级和优化,防火墙系统已经成为最基本和最重要的安全防护手段之一。
迪普科技在网络及安全领域具有长期积累,具有自主研发的 100G 应用层硬件处理平台。是全球极少数可提供超万兆防火墙产品的厂商。
宜宾市政府信息中心网络安全解决方案 11
针对应用层威胁日益增多的趋势,迪普科技创新性的推出了新一代 DPtech FW1000 系列应用防火墙。
DPtech FW1000 系列应用防火墙基于“并行流过滤引擎”、“DPI”等核心技术,是目前业界性能最高、功能最全面的下一代防火墙产品。DPtechFW1000 系列应用防火墙可以提供安全域划分、VPN 接入、NAT 地址转换、URL 过滤、攻击防护、虚拟系统、行为管理、安全审计等功能,吞吐量最大可超万兆,能够满足各种网络环境下对防火墙高性能、高可靠和易管理的需求,是业务安全保障的最佳选择。
4.2.2 系统部署 迪普科技 FW1000 系列防火墙支持以下各种灵活组网模式:
4.2.3 防火墙安全控制策略:
防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全; 打开允许通过的地址和端口
宜宾市政府信息中心网络安全解决方案 12
配置防火墙防 DOS/DDOS 功能,对 Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽; 配置防火墙全面攻击防范能力,包括 ARP 欺骗攻击的防范,提供ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大 ICMP报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项 IP 报文控制功能等,全面防范各种网络层的攻击行为; 在防火墙上配置 NAT(网络地址转换),保护内网终端不直接暴露在外部网络中。
根据需要,配置 IP/MAC 绑定功能,对能够识别 MAC 地址的主机进行链路层控制; 其他可选策略:
根据需要,在防火墙上设置 QOS 规则,以防火墙的高处理性能实现对网络流量的初步管理,有效的避免网络带宽的浪费和滥用,保护网络带宽,降低主流控设备 IPS 的压力; 根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力; 在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用; 启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析; DPTECH FW1000-GS-N 防火墙是一款基于多核技术实现的电信级千兆线速防火墙产品。产品采用模块化设计,自带了丰富的千兆光、电接口和两个业务插槽,可根据用户需求灵活配置网络接口模块,能够较好地适应各种网络拓扑。本项目中即为用户配置了 6 个千兆电口和 2 个千兆 SFP 光接口,并内置硬件 VPN 加密模块,便于灵活选择端口组网。
宜宾市政府信息中心网络安全解决方案 13
4.2.4 功能特色
DPtech 防火墙具备如下特点:
率先采用先进的多核硬件架构,实现超万兆的安全防护
全内置IPSec VPN、SSL VPN硬件加密
接口模块和业务模块的按需扩展
支持路由模式、透明模式、混合模式组网
支持安全区域划分、虚拟防火墙技术
全面的URL过滤,实现细粒度的安全管理
冗余电源、状态热备等高可靠性
支持丰富的网络协议,适应各种复杂组网环境
4.3 病毒防护体系建设
随着 IT 产业的发展,来自病毒、木马和间谍软件等威胁的日益增多,由于病毒攻击目标没有特定性,而且越来越隐蔽,一旦爆发将会带来网络阻塞、系统瘫痪、信息泄漏、未经授权的操作和数据丢失等严重后果,无疑将给用户带来巨大的经济损失和社会影响。
现代病毒传播途径多样化,也给病毒防护工作带来难度,因为任何一个系统都有可能成为病毒传播的“传染源”,只有覆盖网络的各个方面才能防止网络出现防毒“盲区”。在终端机器安装防病毒软件可以解决部分问题,但是这种方式较为被动,单机有时难以抵挡病毒的冲击,结合部署具有防病毒网关才能将真正控制“病从口入”。
随着网络技术的不断发展,病毒技术也发生着一日千里的变化,病毒防护技术必将面临更多的难题和挑战。通过 DPtech IPS 的防病毒边界保护,配合各单位自身的有效监控、全面管理、合理防范,可以从容应对层出不穷的病毒威胁,
宜宾市政府信息中心网络安全解决方案 14
解除病毒的困扰。
迪普科技与国际知名厂商卡巴斯基的战略合作,将专业的防病毒引擎和权威的特征库融入到 DPtech 安全产品中,以高性能、稳定的多核电信级产品承载专业的防病毒库,而每年低廉的升级费用即已经包含了病毒库的升级在内。在以更专业、更优质的产品提升用户网络安全防护能力的同时,大大降低用户投资和维护成本。
机载病毒库将病毒分为高流行度病毒、中流行度病毒和低流行度病毒三大类,可以在双向提供不阻断、阻断、阻断+向源 IP 发送 TCP Reset、阻断+向目的 IP 发送 TCP Reset、阻断+双向发送 TCP Reset 五种选择,同时可以选择是否发送日志。
由于此次用户招标入侵抵御产品吞吐量较低,且并未包含防病毒方面的需求,此功能为我公司解决方案中额外提供,所以我们建议先从低级别开始设置。先开启内外网间的一路,采用单向阻断的设置,再逐步按照用户实际流量情况及设备处理能力(设备管理页面首页即是 CPU、内存工作情况图)通过两路开启、双向开启、阻断+双向发送 TCP Reset 开启等步骤逐步向最高的保护级别提升。
最终通过在关键节点部署网关防病毒,可以起到“闸门”的作用,既可以抵御来自外部的各种病毒威胁,对内部网络和重要服务器提供安全防护;又可以避免内部信息被病毒、木马、间谍软件等泄露,避免将威胁扩散到外部网络,从而实现双向安全防护。
4.4 入侵 防御 系统解决方案
随着各种网络应用的不断丰富,传统的基于网络层的防护已经无法满足日益增多的应用层攻击,IPS(Intrusion Prevention System,入侵防御系统) 在线部署在网络中,当流量经过 IPS 时将被完全检测并判断是否合法,可以实时地抵御来自应用层的各种攻击。
宜宾市政府信息中心网络安全解决方案 15
4.4.1 产品推荐 迪普科技在网络及安全领域具有长期积累,具有自主研发的 100G 应用层硬件处理平台,是全球唯一的可提供万兆 IPS 产品的厂商。
DPtech IPS2000 系列入侵防御系统基于“并行流过滤引擎”、“DPI”等核心技术,是针对系统漏洞、协议弱点、病毒蠕虫、间谍软件、恶意攻击、流量异常等应用层安全威胁的一体化专业防御平台,部署 IPS2000 系列产品后,可以在网络出口处、服务器群前针对所有流量进行检测,并对检测到的安全威胁进行实时抵御。
DPtech IPS2000 系列入侵防御系统是目前业界性能最高、特征库最丰富、功能最全面的 IPS 产品,能够满足各种网络环境对应用层安全防护的高性能、高可靠和易管理的需求。可以提供入侵防御/检测、流量控制、病毒防范、DDoS 防护、网页过滤等应用层安全功能,是应用层安全保障的最佳选择。
4.4.2 系统部署
迪普科技 IPS2000 系列入侵防御系统支持以下各种灵活组网模式:
宜宾市政府信息中心网络安全解决方案 16
4.4.3 IPS 边界安全控制策略 使用默认IPS规则,安全防护级别选定中级,即“致命和严重攻击阻断并发送日志,其他攻击不处理”。当然也可选择高级“致命和严重攻击阻断并发送日志,其他攻击只发送日志”,但会形成大量的无用日志。不建议选择低级“致命攻击阻断并发送日志,严重攻击只发送日志,其他攻击不处理”,这会带来重大的危险。默认的IPS规则提供了对操作系统、办公软件、应用软件、数据库、WEB应用浏览器及其它几大分类的漏洞保护,有3000余条且在不断更新,基本囊括了现在常见的各类软件。
开启DDOS防护功能 其它可供选择的策略 开启网络访问带宽限速 开启网络访问应用控制,即对指定用户的指定应用组实施黑白名单管理,将不允许使用的软件彻底阻断,或阻断所有应用,只保留必须使用的软件畅通。
宜宾市政府信息中心网络安全解决方案 17
开启URL过滤,隔离色情、反动等不良网站对内网用户的影响。
迪普 IPS 设备 IPS2000-GS-N 可以提供 12 个业务接口(其中 6 个千兆电口,6 个千兆 SFP 光口),即最多可提供 6 路 IPS/IDS 的连接,不止可以满足用户现在需要,还为将来网络升级、扩容、改造留出了充裕的空间。设备使用专用的GE 管理接口,不占用业务接口。
在服务器前端部署 IPS 后,形成虚拟补丁保护服务器,管理员可不必再随时冒险更新各类安全补丁或放弃打补丁,以免为服务器的正常运行带来风险。
4.4.4 功能特色
IPS2000 入侵防御系统具备如下特点:
率先采用先进的多核硬件架构,实现万兆级的入侵防御
专业的系统漏洞防护,实现虚拟软件补丁技术
创新性地集成卡巴斯基的防病毒引擎
高效专业的DDoS防护能力
漏洞库、协议库、病毒库三库合一,持续自动更新
实时的响应方式:阻断、限流、隔离、重定向、E-mail
灵活的部署模式:在线模式、监听模式、混合模式
无源直通、Fail-Open等高可靠性机制
4.4.5 方案优势 迪普科技在网络及安全领域具有长期积累,具有自主研发的 100G 应用层硬件处理平台,是全球唯一的可提供万兆 IPS 产品的厂商。
DPtech IPS2000 系列入侵防御系统基于“并行流过滤引擎”、“DPI”等核心技术,是针对系统漏洞、协议弱点、病毒蠕虫、间谍软件、恶意攻击、流量异常等应用层安全威胁的一体化专业防御平台,部署 IPS2000 系列产品后,可以在网络
宜宾市政府信息中心网络安全解决方案 18
出口处、服务器群前针对所有流量进行检测,并对检测到的安全威胁进行实时抵御。
4.4.5.1 全面的攻击检测 基于网络的攻击与检测技术 入侵防御的基本功能是识别尽可能多的攻击,同时又避免不必要的误报,同时也需要保证企业有限的带宽不被滥用,为了达到上述目标,单纯的采用一种技术手段是无法做到的,迪普创新性的融合了多种内容识别技术,保证了系统能够快速高效的发现异常流量并阻断,同时保证正常业务的开展,提供如下几项技术:
基于流的状态特征检测技术,基于攻击固定特征的检测这是 IDS/入侵防御最基本攻击检测技术,而基于流的状态特征检测技术与以往的不同的是,可以是基于协议上下文的特征检测技术,这样可以很好的避免误报的发生;如某一个特征只在三次会话之后的 client 方向发生,则检测时只会针对这部分数据流进行检测,而不会引起误报; ·协议异常检测技术,通常也叫协议分析,即对照 RFC 规范对通讯的协议进行检查,这对于检测基于 RFC 未规范一些未知攻击或新的攻击非常有效;同时对于基于固定特征的逃逸也具有先天的免疫; ·智能的自适应多层次防护技术,可以很好的解决 DoS/DDoS 攻击防护问题,该技术通过对保护对象的流量进行流量学习和建模,针对不同的类型流量采用不同的动作,并通过不断的学习调整等过程,保证保护对象避免 DDoS/DoS 攻击的困扰; ·在应用中识别威胁技术:
融合协议识别和威胁识别的基础上进行有状态的深度威胁分析,从而更好减少误报;·基于滥用误用的带宽管理技术:在应用的智能识别基础上,对于识别出的滥用和误用协议可以进行多层次和多纬度的带宽管理;
宜宾市政府信息中心网络安全解决方案 19
4.4.5.2 精确的 威胁识别 基于滥用误用的带宽管理技术 网络“以内容为王”造成了当前网络上应用的层出不穷,这种繁荣的背后意味着:必须对网络中的应用及其行为进行深入的感知和分析,对应用的流量和行为进行细粒度分层次的管理,从而预防可能的滥用和误用,杜绝各种应用所引入的潜在威胁。迪普提出了应用的智能识别、应用层次划分、细粒度应用流量和行为管理、应用支持升级等一系列技术,为用户应对应用带来的威胁提供了十分有效的管理手段。
·应用识别技术以对网络应用的模型化分析为基础,能够全方位、多角度识别网络中的各种应用,为应用威胁管理提供有效支持:
·支持对应用进行树形、层次化、可调整和可定义的管理,用户可以在任何一个 Segment 上,在任意用户群之间,对任意一级的应用流量和行为进行控制。
·支持对应用进行可扩展的、层次化定义,可以对应用进行快速的升级,从而快速实时应对网络中新出现的应用及其带来的威胁。
在应用中识别入侵威胁 迪普在强大的应用识别基础上进行有状态的深度威胁分析,使入侵防御的入侵检测和传统的仅依据数据报文特征入侵检测有本质的不同。应用识别以当前数据流的应用识别结果为环境,指导系统有目的进行深度威胁分析,使入侵防御变成内容管理指导下的一个环节;同时检测结果在内容环境下进行校验和状态分析,使入侵检测的发现由单纯特征发现演变成非法应用行为模型和攻击行为模型的发现。
2-7 层协议异常检测
在层次化的分析架构下,为用户网络提供 2-7 层全方位的协议异常检测。
·识别链路层异常识别。支持对 MPLS,VLAN,QinQ 等封装的逐层剥离和检验,支持对 ARP 攻击的检测。
宜宾市政府信息中心网络安全解决方案 20
·识别网络层异常识别。对 IP 层进行细致的正规化处理,能够识别畸形的 IP报文、蓄意构造的 IP 分片、伪造 IP 地址的欺骗报文。
·识别传输层异常识别。对 TCP、UDP、ICMP 进行细致的正规化处理。任何不满足 RFC 规定或者有恶意利用系统漏洞嫌疑的报文都将被识别出来。
·可扩展的应用层异常识别。可以动态扩展新的应用支持,而且在任何一个应用层协议上,都可以对应扩展相应的异常检测数字基因,进行有状态的异常检测。通过细致的协议分析和状态检测,识别出相应协议层次上的异常。
2-7 层协议异常检测 拒绝服务检测技术 DoS/DDoS 攻击从实现手法来看,主要表现为两种,一种是利用漏洞实现DoS 的攻击,如 Teardrop、Ping of Death 等,另外一种是通过模拟大量的实际应用流量达到消耗目标主机的资源,从而达到 DoS/DDoS 攻击的目的,通常DoS/DDoS 攻击伴随着源 IP 地址欺骗。从 DoS/DDoS 攻击的对应的协议层次来看,主要有:
宜宾市政府信息中心网络安全解决方案 21
·二层相关的攻击,如 ARP Flood; ·半连接接相关攻击,如 TCP SYN Flood、UDP Flood、ICMP Flood; ·全连接相关的攻击,如 TCP Connection 攻击;如 TCP 空连接攻击; ·应用层相关的攻击,如 HTTP Get Flood、DNS query Flood 等,其利用客户端与服务器端流量不均衡的特点,采用小流量的请求包,消耗服务器的处理资源或者产生大流量的响应,从而达到 DDoS/DoS 攻击的目的; 根据对网络流量进行分析和建模,在系统中形成不同的流量检测和学习模板,在统计分析根据流量检测模板进行流量学习和分析,在行为分析阶段,则通过自动生成的动态过滤规则对异常流量进行过滤处理,动态或者静态过滤规则部分根据不同的业务进行分别的处理,如针对 HTTP 进行 HTTP redirection,针对DNS 进行 DNS redirection,针对 IP 则进行 TTL 认证等动作,上述过程是一个闭环的循环动态的一个调整过程,系统中通过不断的学习、调整和判断以适应网络的情况并作出适当的动作。
检测可以分成如下几个阶段:
·策略构建阶段,即通过学习模板进行不同业务和正常情况进行学习,从而获得不同流量类型的流量统计数据并生成检测规则; ·调整阶段,即通过策略构建阶段学习到的业务和流量(检测规则),进行重新学习和调整; ·检测阶段,在策略构建和调整完成之后,通过上述检测规则对网络中的异常流量进行判断,如果发现存在异常,则通过动态生成过滤规则对网络流量进行过滤和验证,如验证源 IP 合法性、对发现异常的流量进行丢弃等; 基于流状态特征检测技术 通过使用自主的基于流状态的特征检测专利技术,有效地防范了漏报和误报。
对于流报文,如 TCP 流,若只是对一个个的单个报文作特征检测,这会引入漏报。基于以上原理,攻击者对攻击流中的报文作分段处理,就可以有效地进行攻
宜宾市政府信息中心网络安全解决方案 22
击逃逸。通过流恢复,能够一定程度地缓解这种攻击逃逸的有效程度,但不能杜绝这类攻击逃逸,同时引入了系统缓存负担。通过基于流状态的特征检测专利技术,能够有效地防范漏报,进而杜绝这类攻击逃逸。
对于流报文,如语音流、视频流报文,若不进行识别,直接使用攻击特征检测,可能引入误报。通过基于流状态的特征检测专利技术,能够精确地识别出这类流报文,不作攻击特征检测,这有效地防范了误报。
4.4.5.3 多种 安全响应 机制
在检测到攻击时,根据规则配置的动作做出响应。响应动作可以是下面动作中的一个或多个的组合:允许(Permit)、阻断(Block)、通知(Noti...