【文章內(nèi)容簡(jiǎn)介】 問到某些特定的 Inter資源，如 WWW服務(wù)、 FTP服務(wù)、 TELNET服務(wù)等； 智能的蠕 蟲病毒防范功能，內(nèi)置 IPS 模塊，并要求必須具有實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)蠕蟲病毒的方法專利號(hào)，保證了此功能的實(shí)際可靠性應(yīng)用保證網(wǎng)絡(luò)安全的穩(wěn)定； 提供端口聚合功能 :防火墻多個(gè)接口可以設(shè)置為聚合口，起到鏈路備份的功能 。 P2P 協(xié)議阻斷和流量帶寬管理能夠阻斷常見的 P2P 協(xié)議，必須支持 BT、電驢、 fasttrack、 gnutella、 dc、 openft 等，同時(shí)支持 P2P 免屏蔽列表，能夠?qū)?P2P流量進(jìn)行帶寬管理； 具有基于 P2P 高速下載軟件產(chǎn)生流量的發(fā)現(xiàn)及控制方法的專利號(hào)，可以有保證該功能實(shí)際應(yīng)用的可靠性； 具有黑名單功能模 塊可以過(guò)濾惡意主機(jī)、假冒的 IP 地址 具有白名單模塊對(duì)特權(quán) IP 地址可不受規(guī)則限制； 具有對(duì) 、 MSN 軟件管理設(shè)置模塊，可以 、 MSN 軟件使用的用戶進(jìn)行時(shí)間、帶寬的設(shè)定及阻斷功能，以及提供特權(quán)用戶的設(shè)置； 對(duì)帶寬管理必須支持 ACL 規(guī)則的 8 級(jí)優(yōu)先控制級(jí)別設(shè)置，以及對(duì)時(shí)間、帶寬進(jìn)行設(shè)置，其中對(duì)帶寬的設(shè)置至少保證設(shè)置 M\K\字節(jié)的設(shè)置； 12 支持雙 ISP 出口熱備：當(dāng)一個(gè)出口線路出現(xiàn)故障，系統(tǒng)可以把網(wǎng)絡(luò)數(shù)據(jù)流切換到運(yùn)行狀態(tài)良好的另一個(gè)接口和路由上； 生產(chǎn)廠家要具備具備由國(guó)家信息安全測(cè)評(píng)認(rèn)證中心認(rèn)可的信息安全服務(wù)資質(zhì)（一 級(jí)及以上），保證了日后對(duì)網(wǎng)絡(luò)安全服務(wù)及安全評(píng)估進(jìn)行良好的服務(wù)支持； 防火墻除了部署在 用戶 網(wǎng)絡(luò)邊緣以外，還可以根據(jù)不同的用戶的需求進(jìn)行防火墻的部署，我們建議對(duì)于網(wǎng)絡(luò)內(nèi)部關(guān)鍵服務(wù)器、要害部門（如財(cái)務(wù)部門、研發(fā)部門、機(jī)要室等）等地方都部署防火墻。 互聯(lián)網(wǎng)安全接入認(rèn)證系統(tǒng)是針對(duì)各種需要高速互聯(lián)網(wǎng) 接入訪問服務(wù)的場(chǎng)所 定制的一套完整的解決方案。解決了網(wǎng)絡(luò)阻塞、 ip 盜用、非法登錄以及訪問非法站點(diǎn)等問題。 構(gòu)建內(nèi)網(wǎng)的監(jiān)控系統(tǒng) 1．網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊，顯得無(wú)能 為力。動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，就要依靠基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測(cè)出攻擊的行為并給與響應(yīng)和處理。網(wǎng)絡(luò)信息審計(jì)技術(shù)還能檢測(cè)到繞過(guò)防火墻的攻擊。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是一種主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘 門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)直接接在交換機(jī)的鏡像端口上，該端口可以將通過(guò)交換機(jī)的所有數(shù)據(jù)流量自動(dòng)復(fù)制一份，這樣，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)就可以監(jiān)聽到通過(guò)交換機(jī)的所有數(shù)據(jù)通信，并對(duì)之進(jìn)行實(shí)時(shí)的協(xié)議分析，根據(jù)其中的一些特征進(jìn)行智能對(duì)比和分析。如果發(fā)現(xiàn)可疑連接請(qǐng)求、網(wǎng)絡(luò)進(jìn)攻和郵件病毒等入侵，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)會(huì)立即報(bào)警并按照管理員所配置的動(dòng)作進(jìn)行反應(yīng)。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)根據(jù)系統(tǒng)預(yù)裝的關(guān)于異常、攻擊和漏洞信息庫(kù)，可以實(shí)時(shí)監(jiān)測(cè)所有網(wǎng)絡(luò)訪問活動(dòng)，并在危害系統(tǒng)安全的事件發(fā)生時(shí)，產(chǎn)生預(yù)先定義的動(dòng)作 ，以保護(hù)網(wǎng)絡(luò)的安全。同時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所監(jiān)聽到的網(wǎng)絡(luò)活動(dòng)記錄，也為網(wǎng)絡(luò)管理員進(jìn)行事后分析、網(wǎng)絡(luò)管 13 理等提供了依據(jù)。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自主地、實(shí)時(shí)地攻擊檢測(cè)與響應(yīng)。這種領(lǐng)先產(chǎn)品對(duì)網(wǎng)絡(luò)安全輪回監(jiān)控，使用戶可以在系統(tǒng)被破壞之前自主地中斷并響應(yīng)安全漏洞和誤操作。實(shí)時(shí)監(jiān)控在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。它對(duì)安全威脅的自主響應(yīng)為 XX 提供了最大限度的安全保障。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在檢測(cè)到網(wǎng)絡(luò)入侵后，除了可以及時(shí)報(bào)警以及切斷攻擊行為之外，還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一 個(gè)動(dòng)態(tài)的智能的的防護(hù)體系。 在使用入侵檢測(cè)系統(tǒng)設(shè)備必須有以下功能 流量分析 支持網(wǎng)段的流量統(tǒng)計(jì)分析功能 報(bào)警與流量分析 提供了報(bào)警的總體分布、報(bào)警級(jí)別分布、報(bào)警趨勢(shì)分布、流量趨勢(shì)、包趨勢(shì)、連接量趨勢(shì)、特征協(xié)議趨勢(shì)、安全評(píng)分對(duì)比，統(tǒng)計(jì)威脅對(duì)比、經(jīng)常觸發(fā)的事件等多種報(bào)警內(nèi)容 主機(jī)評(píng)估與分析 提供分析評(píng)估中心，可以將網(wǎng)絡(luò)中的數(shù)據(jù)詳細(xì)分類，對(duì)入侵報(bào)警和流量進(jìn)行全面分析 可視化和全圖形化挖掘 系統(tǒng)應(yīng)用圖形化分析手段，直觀可視化的展現(xiàn)受到網(wǎng)絡(luò)威脅的全部信息，應(yīng)用了對(duì)比、分布圖、趨勢(shì)圖的方式展現(xiàn)給用戶， 阻斷 對(duì)于一些非法的連接也能夠進(jìn)行及時(shí)的阻斷，可以進(jìn)行自動(dòng)阻斷和手工阻斷，支持黑名單斷開、阻塞 HTTP 請(qǐng)求、中斷 TCP 會(huì)話、偽造 ICMP 應(yīng)答或通過(guò)防火墻阻塞。 設(shè)立獨(dú)立阻斷端口 可以對(duì)規(guī)則設(shè)置阻斷規(guī)則，采用了單獨(dú)阻斷端口，在阻斷的時(shí)候不影響數(shù)據(jù)包的收集和檢測(cè) 告警的條件過(guò)濾 采用圖像化的數(shù)據(jù)來(lái)表達(dá)入侵日志，也提供了傳統(tǒng)的日志查詢方式，可以任意的設(shè)定查看方式并在設(shè)置后進(jìn)行二次的排序和條件過(guò)濾 2．主機(jī)監(jiān)管與審計(jì)系統(tǒng) 目前，據(jù)統(tǒng)計(jì)超過(guò) 80%的信息安全隱患是來(lái)至組織內(nèi)部的，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取 和破壞。 如何 解決組織內(nèi)部的網(wǎng)絡(luò)安全已成為擺在每一個(gè)單位、企業(yè)面前亟待解決的問題。如何對(duì)內(nèi)部用戶的進(jìn)行有效管理，防止內(nèi)部用戶越權(quán)訪問、信息泄密等違規(guī)行為發(fā)生，以及在相關(guān)非法事件發(fā)生后 ,可以對(duì)非法事件進(jìn)行追蹤、取證，也變的極為重要。加強(qiáng)對(duì)內(nèi)部用戶的身份鑒別、權(quán)限控制、角色管理和訪問控制管理，防止對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器、郵件服務(wù)器及文檔服務(wù)器的非法存取、刪改和破壞。這些問題的解決就需要我們部署主機(jī)監(jiān)管系統(tǒng)。 14 在設(shè)備使用中設(shè)備需要具有以下功能 主機(jī)信息獲取 系統(tǒng) 能夠自動(dòng)獲取終端的靜態(tài)（ IP 地址、 MAC 地址、系統(tǒng)內(nèi)存）和動(dòng)態(tài)（設(shè)備使用情況、共享情況、撥號(hào)情況、主機(jī)帳號(hào)等）信息 USB 分類管理 可以對(duì) USB 設(shè)備的進(jìn)行分類管理：包括 USB 存儲(chǔ)設(shè)備 (U 盤，活動(dòng)硬盤 )， USB 輸入設(shè)備(USB鍵盤、鼠標(biāo) )， USBKEY，并可以自定義設(shè)備 存儲(chǔ)透明加解密 文件拷貝到經(jīng)過(guò)認(rèn)證的 USB 存儲(chǔ)設(shè)備里，支持自動(dòng)實(shí)現(xiàn)透明的加解密 服務(wù)器級(jí)聯(lián) 支持系統(tǒng)服務(wù)器的多級(jí)級(jí)連，上級(jí)服務(wù)器可以給下級(jí)服務(wù)器下發(fā)策略，可以查看下級(jí)服務(wù)器上的日志和狀態(tài)，可實(shí)現(xiàn)分層次的管理。 網(wǎng)絡(luò)連接監(jiān)控 監(jiān)控受控 主機(jī)上存在的 TCP/UDP 連接信息，以及網(wǎng)絡(luò)連接關(guān)聯(lián)的進(jìn)程信息 打印監(jiān)控 監(jiān)控受控主機(jī)上的打印情況，可以禁止、記錄、允許用戶提交打印任務(wù) ，并且可以還原打印信息 撥號(hào)監(jiān)控 防止 對(duì)撥號(hào)設(shè)備（ Modem， ADSL） 的 使用，防止非法 外聯(lián) 共享監(jiān)控 能監(jiān)控受控主機(jī)上共享情況 并 防止重要信息資源的泄漏 文件監(jiān)控 對(duì)主機(jī)上的特定文件，能夠設(shè)置受控機(jī)上制定文件的操作權(quán)限，包括訪問、讀、寫、讀 /寫 3．網(wǎng)絡(luò)管理和網(wǎng)絡(luò)運(yùn)行監(jiān)視系統(tǒng) 需要網(wǎng)絡(luò)管理軟件，實(shí)現(xiàn)對(duì)路由器、交換機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備的管理，并提供被管理設(shè)備的性能監(jiān)控 、性能指標(biāo)分析等內(nèi)容，可以生產(chǎn)網(wǎng)絡(luò)拓?fù)鋱D。 同時(shí)網(wǎng)絡(luò)異常在網(wǎng)絡(luò)運(yùn)行中出現(xiàn)頻率很高，并且產(chǎn)生異常的根源也多種多樣。觀察網(wǎng)絡(luò)指標(biāo)（如：流量、主機(jī)數(shù)等）可以得知異常網(wǎng)絡(luò)的最新癥狀。通過(guò)對(duì)現(xiàn)有癥狀的分析和比較可以為網(wǎng)絡(luò)調(diào)整提供依據(jù)。此外也可以提前發(fā)現(xiàn)入侵、病毒等危害網(wǎng)路運(yùn)行的因素。準(zhǔn)確的發(fā)現(xiàn)網(wǎng)絡(luò)異常對(duì)于設(shè)計(jì)高性能網(wǎng)絡(luò)協(xié)議、高效網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)量預(yù)測(cè)與網(wǎng)絡(luò)規(guī)劃、精確的網(wǎng)絡(luò)性能分析與預(yù)測(cè)、擁塞管理與流量均衡都有重要意義。因此需要我們部署網(wǎng)絡(luò)管理和網(wǎng)絡(luò)運(yùn)行監(jiān)視系統(tǒng)。 系統(tǒng)安全 主要指服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)， 網(wǎng)絡(luò)設(shè)備操作系統(tǒng)以及各類應(yīng)用軟件系統(tǒng)等。針對(duì)系統(tǒng)安全，采取以下的措施： 15 操作系統(tǒng)安全 對(duì)于 XX 網(wǎng)絡(luò)使用的操作系統(tǒng)安全，我們首先提出以下建議： a)針對(duì) UNIX 系統(tǒng)，采取以下措施： 經(jīng)常變更口令并鼓勵(lì)使用不易猜測(cè)的口令。 使用公共密鑰密碼體系在 IP 級(jí)對(duì)受信任主機(jī)之間的所有通訊流加密。與 UNIX 捆綁著的 SKIP 鑒別進(jìn)來(lái)的 IP 通訊流，并確保出去的數(shù)據(jù)在途中不被他人改變或查看。 使用能夠標(biāo)識(shí)受信任主機(jī)并封鎖欺騙性 IP 地址的路由器。 解決脆弱性并提高您的軟件的抗入侵能力。 禁止那些給您的網(wǎng)絡(luò)帶來(lái)安全風(fēng)險(xiǎn)的不需要的服務(wù)。 UNIX 主機(jī)配置軟件，作為初始安裝進(jìn)程的一部分，可以禁止某些 39。r39。 命令，從而保證對(duì)口令的保護(hù)并限制未授權(quán)的個(gè)人對(duì)主機(jī)的訪問。 只向雇員提供對(duì)工作需要的數(shù)據(jù)或信息的訪問。 實(shí)施諸如網(wǎng)絡(luò)監(jiān)視和防火墻之類的安全機(jī)制。 使用 SEAM 來(lái)支持支持 Kerberos V5 鑒別、專用性和綜合性來(lái)改進(jìn)系統(tǒng)的安全性。當(dāng)使用 Kerberos 化的登錄機(jī)制時(shí)，通過(guò)允許單個(gè)網(wǎng)絡(luò)進(jìn)入和提供 Kerberos 化的 NFS(TM)服務(wù)亦應(yīng)當(dāng)使安全性得到提高。 檢查文件的 許可權(quán)限。 對(duì)啟動(dòng)文件比如： 的配置去掉其中不需要的服務(wù)，比如 :ftpd， FTP，Tel， finger， login， shell， BOOTP， TFTP， 等等，這些協(xié)議都存在安全隱患。在 UNIX中存在 Tel， rlogin， rsh， DNS， SMTP， FTP， NFS， NIS， NTP， XWindows 等潛在危險(xiǎn)，必須對(duì)這些風(fēng)險(xiǎn)加以控制。 b) 對(duì)于 WINDOWS 2020 SERVER 系統(tǒng)，采取以下措施 : 使用防火墻屏蔽除應(yīng)用系統(tǒng)本身以外的不必要的其他服務(wù)。 使用 增強(qiáng)的身份驗(yàn)證產(chǎn)品（如基于 Token 的雙因素驗(yàn)證技術(shù)）代替系統(tǒng)本身的口令驗(yàn)證機(jī)制。