【文章內(nèi)容簡介】 問到某些特定的 Inter資源，如 WWW服務、 FTP服務、 TELNET服務等； 智能的蠕 蟲病毒防范功能，內(nèi)置 IPS 模塊，并要求必須具有實時檢測網(wǎng)絡蠕蟲病毒的方法專利號，保證了此功能的實際可靠性應用保證網(wǎng)絡安全的穩(wěn)定； 提供端口聚合功能 :防火墻多個接口可以設置為聚合口，起到鏈路備份的功能 。 P2P 協(xié)議阻斷和流量帶寬管理能夠阻斷常見的 P2P 協(xié)議，必須支持 BT、電驢、 fasttrack、 gnutella、 dc、 openft 等，同時支持 P2P 免屏蔽列表，能夠?qū)?P2P流量進行帶寬管理； 具有基于 P2P 高速下載軟件產(chǎn)生流量的發(fā)現(xiàn)及控制方法的專利號，可以有保證該功能實際應用的可靠性； 具有黑名單功能模 塊可以過濾惡意主機、假冒的 IP 地址 具有白名單模塊對特權 IP 地址可不受規(guī)則限制； 具有對 、 MSN 軟件管理設置模塊，可以 、 MSN 軟件使用的用戶進行時間、帶寬的設定及阻斷功能，以及提供特權用戶的設置； 對帶寬管理必須支持 ACL 規(guī)則的 8 級優(yōu)先控制級別設置，以及對時間、帶寬進行設置，其中對帶寬的設置至少保證設置 M\K\字節(jié)的設置； 12 支持雙 ISP 出口熱備：當一個出口線路出現(xiàn)故障，系統(tǒng)可以把網(wǎng)絡數(shù)據(jù)流切換到運行狀態(tài)良好的另一個接口和路由上； 生產(chǎn)廠家要具備具備由國家信息安全測評認證中心認可的信息安全服務資質(zhì)（一 級及以上），保證了日后對網(wǎng)絡安全服務及安全評估進行良好的服務支持； 防火墻除了部署在 用戶 網(wǎng)絡邊緣以外，還可以根據(jù)不同的用戶的需求進行防火墻的部署，我們建議對于網(wǎng)絡內(nèi)部關鍵服務器、要害部門（如財務部門、研發(fā)部門、機要室等）等地方都部署防火墻。 互聯(lián)網(wǎng)安全接入認證系統(tǒng)是針對各種需要高速互聯(lián)網(wǎng) 接入訪問服務的場所 定制的一套完整的解決方案。解決了網(wǎng)絡阻塞、 ip 盜用、非法登錄以及訪問非法站點等問題。 構(gòu)建內(nèi)網(wǎng)的監(jiān)控系統(tǒng) 1．網(wǎng)絡入侵檢測系統(tǒng) 防火墻雖然能抵御網(wǎng)絡外部安全威脅，但對網(wǎng)絡內(nèi)部發(fā)起的攻擊，顯得無能 為力。動態(tài)地監(jiān)測網(wǎng)絡內(nèi)部活動并做出及時的響應，就要依靠基于網(wǎng)絡的入侵檢測系統(tǒng)，監(jiān)控網(wǎng)絡上的數(shù)據(jù)流，從中檢測出攻擊的行為并給與響應和處理。網(wǎng)絡信息審計技術還能檢測到繞過防火墻的攻擊。 網(wǎng)絡入侵檢測系統(tǒng)是一種主動保護自己免受攻擊的網(wǎng)絡安全技術。作為防火墻的合理補充，網(wǎng)絡入侵檢測系統(tǒng)能夠幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應），提高了信息安全基礎結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息。網(wǎng)絡入侵檢測系統(tǒng)被認為是防火墻之后的第二道安全閘 門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測。 網(wǎng)絡入侵檢測系統(tǒng)直接接在交換機的鏡像端口上，該端口可以將通過交換機的所有數(shù)據(jù)流量自動復制一份，這樣，網(wǎng)絡入侵檢測系統(tǒng)就可以監(jiān)聽到通過交換機的所有數(shù)據(jù)通信，并對之進行實時的協(xié)議分析，根據(jù)其中的一些特征進行智能對比和分析。如果發(fā)現(xiàn)可疑連接請求、網(wǎng)絡進攻和郵件病毒等入侵，網(wǎng)絡入侵檢測系統(tǒng)會立即報警并按照管理員所配置的動作進行反應。 網(wǎng)絡入侵檢測系統(tǒng)根據(jù)系統(tǒng)預裝的關于異常、攻擊和漏洞信息庫，可以實時監(jiān)測所有網(wǎng)絡訪問活動，并在危害系統(tǒng)安全的事件發(fā)生時，產(chǎn)生預先定義的動作 ，以保護網(wǎng)絡的安全。同時，網(wǎng)絡入侵檢測系統(tǒng)所監(jiān)聽到的網(wǎng)絡活動記錄，也為網(wǎng)絡管理員進行事后分析、網(wǎng)絡管 13 理等提供了依據(jù)。 網(wǎng)絡入侵檢測系統(tǒng)對計算機網(wǎng)絡進行自主地、實時地攻擊檢測與響應。這種領先產(chǎn)品對網(wǎng)絡安全輪回監(jiān)控，使用戶可以在系統(tǒng)被破壞之前自主地中斷并響應安全漏洞和誤操作。實時監(jiān)控在網(wǎng)絡中分析可疑的數(shù)據(jù)而不會影響數(shù)據(jù)在網(wǎng)絡上的傳輸。它對安全威脅的自主響應為 XX 提供了最大限度的安全保障。 網(wǎng)絡入侵檢測系統(tǒng)在檢測到網(wǎng)絡入侵后，除了可以及時報警以及切斷攻擊行為之外，還可以動態(tài)地調(diào)整防火墻的防護策略，使得防火墻成為一 個動態(tài)的智能的的防護體系。 在使用入侵檢測系統(tǒng)設備必須有以下功能 流量分析 支持網(wǎng)段的流量統(tǒng)計分析功能 報警與流量分析 提供了報警的總體分布、報警級別分布、報警趨勢分布、流量趨勢、包趨勢、連接量趨勢、特征協(xié)議趨勢、安全評分對比，統(tǒng)計威脅對比、經(jīng)常觸發(fā)的事件等多種報警內(nèi)容 主機評估與分析 提供分析評估中心，可以將網(wǎng)絡中的數(shù)據(jù)詳細分類，對入侵報警和流量進行全面分析 可視化和全圖形化挖掘 系統(tǒng)應用圖形化分析手段，直觀可視化的展現(xiàn)受到網(wǎng)絡威脅的全部信息，應用了對比、分布圖、趨勢圖的方式展現(xiàn)給用戶， 阻斷 對于一些非法的連接也能夠進行及時的阻斷，可以進行自動阻斷和手工阻斷，支持黑名單斷開、阻塞 HTTP 請求、中斷 TCP 會話、偽造 ICMP 應答或通過防火墻阻塞。 設立獨立阻斷端口 可以對規(guī)則設置阻斷規(guī)則，采用了單獨阻斷端口，在阻斷的時候不影響數(shù)據(jù)包的收集和檢測 告警的條件過濾 采用圖像化的數(shù)據(jù)來表達入侵日志，也提供了傳統(tǒng)的日志查詢方式，可以任意的設定查看方式并在設置后進行二次的排序和條件過濾 2．主機監(jiān)管與審計系統(tǒng) 目前，據(jù)統(tǒng)計超過 80%的信息安全隱患是來至組織內(nèi)部的，這些隱患直接導致了信息被內(nèi)部人員所竊取 和破壞。 如何 解決組織內(nèi)部的網(wǎng)絡安全已成為擺在每一個單位、企業(yè)面前亟待解決的問題。如何對內(nèi)部用戶的進行有效管理，防止內(nèi)部用戶越權訪問、信息泄密等違規(guī)行為發(fā)生，以及在相關非法事件發(fā)生后 ,可以對非法事件進行追蹤、取證，也變的極為重要。加強對內(nèi)部用戶的身份鑒別、權限控制、角色管理和訪問控制管理，防止對應用系統(tǒng)的數(shù)據(jù)庫服務器、郵件服務器及文檔服務器的非法存取、刪改和破壞。這些問題的解決就需要我們部署主機監(jiān)管系統(tǒng)。 14 在設備使用中設備需要具有以下功能 主機信息獲取 系統(tǒng) 能夠自動獲取終端的靜態(tài)（ IP 地址、 MAC 地址、系統(tǒng)內(nèi)存）和動態(tài)（設備使用情況、共享情況、撥號情況、主機帳號等）信息 USB 分類管理 可以對 USB 設備的進行分類管理：包括 USB 存儲設備 (U 盤，活動硬盤 )， USB 輸入設備(USB鍵盤、鼠標 )， USBKEY，并可以自定義設備 存儲透明加解密 文件拷貝到經(jīng)過認證的 USB 存儲設備里，支持自動實現(xiàn)透明的加解密 服務器級聯(lián) 支持系統(tǒng)服務器的多級級連，上級服務器可以給下級服務器下發(fā)策略，可以查看下級服務器上的日志和狀態(tài)，可實現(xiàn)分層次的管理。 網(wǎng)絡連接監(jiān)控 監(jiān)控受控 主機上存在的 TCP/UDP 連接信息，以及網(wǎng)絡連接關聯(lián)的進程信息 打印監(jiān)控 監(jiān)控受控主機上的打印情況，可以禁止、記錄、允許用戶提交打印任務 ，并且可以還原打印信息 撥號監(jiān)控 防止 對撥號設備（ Modem， ADSL） 的 使用，防止非法 外聯(lián) 共享監(jiān)控 能監(jiān)控受控主機上共享情況 并 防止重要信息資源的泄漏 文件監(jiān)控 對主機上的特定文件，能夠設置受控機上制定文件的操作權限，包括訪問、讀、寫、讀 /寫 3．網(wǎng)絡管理和網(wǎng)絡運行監(jiān)視系統(tǒng) 需要網(wǎng)絡管理軟件，實現(xiàn)對路由器、交換機、服務器等網(wǎng)絡設備的管理，并提供被管理設備的性能監(jiān)控 、性能指標分析等內(nèi)容，可以生產(chǎn)網(wǎng)絡拓撲圖。 同時網(wǎng)絡異常在網(wǎng)絡運行中出現(xiàn)頻率很高，并且產(chǎn)生異常的根源也多種多樣。觀察網(wǎng)絡指標（如：流量、主機數(shù)等）可以得知異常網(wǎng)絡的最新癥狀。通過對現(xiàn)有癥狀的分析和比較可以為網(wǎng)絡調(diào)整提供依據(jù)。此外也可以提前發(fā)現(xiàn)入侵、病毒等危害網(wǎng)路運行的因素。準確的發(fā)現(xiàn)網(wǎng)絡異常對于設計高性能網(wǎng)絡協(xié)議、高效網(wǎng)絡拓撲結(jié)構(gòu)、業(yè)務量預測與網(wǎng)絡規(guī)劃、精確的網(wǎng)絡性能分析與預測、擁塞管理與流量均衡都有重要意義。因此需要我們部署網(wǎng)絡管理和網(wǎng)絡運行監(jiān)視系統(tǒng)。 系統(tǒng)安全 主要指服務器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)， 網(wǎng)絡設備操作系統(tǒng)以及各類應用軟件系統(tǒng)等。針對系統(tǒng)安全，采取以下的措施： 15 操作系統(tǒng)安全 對于 XX 網(wǎng)絡使用的操作系統(tǒng)安全，我們首先提出以下建議： a)針對 UNIX 系統(tǒng)，采取以下措施： 經(jīng)常變更口令并鼓勵使用不易猜測的口令。 使用公共密鑰密碼體系在 IP 級對受信任主機之間的所有通訊流加密。與 UNIX 捆綁著的 SKIP 鑒別進來的 IP 通訊流，并確保出去的數(shù)據(jù)在途中不被他人改變或查看。 使用能夠標識受信任主機并封鎖欺騙性 IP 地址的路由器。 解決脆弱性并提高您的軟件的抗入侵能力。 禁止那些給您的網(wǎng)絡帶來安全風險的不需要的服務。 UNIX 主機配置軟件，作為初始安裝進程的一部分，可以禁止某些 39。r39。 命令，從而保證對口令的保護并限制未授權的個人對主機的訪問。 只向雇員提供對工作需要的數(shù)據(jù)或信息的訪問。 實施諸如網(wǎng)絡監(jiān)視和防火墻之類的安全機制。 使用 SEAM 來支持支持 Kerberos V5 鑒別、專用性和綜合性來改進系統(tǒng)的安全性。當使用 Kerberos 化的登錄機制時，通過允許單個網(wǎng)絡進入和提供 Kerberos 化的 NFS(TM)服務亦應當使安全性得到提高。 檢查文件的 許可權限。 對啟動文件比如： 的配置去掉其中不需要的服務，比如 :ftpd， FTP，Tel， finger， login， shell， BOOTP， TFTP， 等等，這些協(xié)議都存在安全隱患。在 UNIX中存在 Tel， rlogin， rsh， DNS， SMTP， FTP， NFS， NIS， NTP， XWindows 等潛在危險，必須對這些風險加以控制。 b) 對于 WINDOWS 2020 SERVER 系統(tǒng)，采取以下措施 : 使用防火墻屏蔽除應用系統(tǒng)本身以外的不必要的其他服務。 使用 增強的身份驗證產(chǎn)品（如基于 Token 的雙因素驗證技術）代替系統(tǒng)本身的口令驗證機制。