【文章內(nèi)容簡(jiǎn)介】 XX 內(nèi)部署啟明星辰天鏡漏洞掃描系統(tǒng)，定期對(duì)內(nèi)部的系統(tǒng)進(jìn)行漏洞檢查，發(fā)現(xiàn)漏洞及時(shí)彌補(bǔ)。. 網(wǎng)絡(luò)防病毒建議采用啟明星辰的網(wǎng)絡(luò)防病毒產(chǎn)品對(duì) XXX 的系統(tǒng)進(jìn)行實(shí)時(shí)的病毒查殺。XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 13Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 建議采用三層防病毒部署體系：(1) Mail 網(wǎng)關(guān)防病毒系統(tǒng)阻斷和防止 XXX 的病毒傳輸。(2) 服務(wù)器防病毒系統(tǒng)確保應(yīng)用服務(wù)器不被病毒感染。(3) 客戶端防病毒系統(tǒng)確保 XXX 員工辦公 PC 不受病毒攻擊。. VPN建議在 XXX 的網(wǎng)絡(luò)入口處部署川大能士的 SVPN，使其能夠?qū)崿F(xiàn)：1) 網(wǎng)絡(luò)通信對(duì)用戶“透明”2) 具有“虛擬”和“專用”的安全特性3) 充分利用已有公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施的高效性7. 防火墻系統(tǒng)防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，哪些外人被許可訪問(wèn)所允許的內(nèi)部服務(wù)，哪些外部服務(wù)可由內(nèi)部人員訪問(wèn)。并且防火墻本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。主要特點(diǎn)如下：? 保護(hù)脆弱的服務(wù)。通過(guò)過(guò)濾不安全的服務(wù)，F(xiàn)irewall 可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如，F(xiàn)irewall 可以禁止 NIS、NFS 服務(wù)通過(guò)，F(xiàn)irewall 同時(shí)可以拒絕源路由和 ICMP 重定向封包。? 控制對(duì)系統(tǒng)的訪問(wèn)。Firewall 可以提供對(duì)系統(tǒng)的訪問(wèn)控制。如允許從外部訪問(wèn)某些主機(jī)，同時(shí)禁止訪問(wèn)另外的主機(jī)。例如，F(xiàn)irewall 允許外部訪問(wèn)XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 14Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 特定的 Mail Server 和 Web Server。? 集中的安全管理。Firewall 對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在Firewall 定義的安全規(guī)則可以運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無(wú)須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。如在 Firewall 可以定義不同的認(rèn)證方法，而不需在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過(guò)防火墻的—次認(rèn)證即可訪問(wèn)內(nèi)部網(wǎng)。? 增強(qiáng)保密性。使用 Firewall 可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如 Finger 和 DNS。? 記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)。Firewall 可以記錄和統(tǒng)計(jì)通過(guò) Firewall 的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計(jì)數(shù)據(jù)，來(lái)判斷可能的攻擊和探測(cè)。策略執(zhí)行。Firewall 提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置 Firewall 時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。. 應(yīng)用部署方案XXX 防火墻系統(tǒng)應(yīng)用部署圖建議在 XXX 總廠與設(shè)計(jì)部之間部署川大能士防火墻。即可對(duì)從總廠到設(shè)計(jì)XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 15Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 部的雙向網(wǎng)絡(luò)數(shù)據(jù)通訊有一個(gè)安全防范，從而最大化的保障了業(yè)務(wù)網(wǎng)絡(luò)的安全性。. 產(chǎn)品功能特點(diǎn)● 隔離內(nèi)外網(wǎng)絡(luò)的直接通信，對(duì)進(jìn)出的網(wǎng)絡(luò)的信息進(jìn)行訪問(wèn)控制；● 可根據(jù) IP 源/宿地址、TCP/UDP 端口號(hào)和協(xié)議類型進(jìn)行控制，嚴(yán)格控制外部用戶隨意進(jìn)入內(nèi)部被保護(hù)的網(wǎng)絡(luò)中；禁止內(nèi)部用戶出訪公網(wǎng)或互聯(lián)網(wǎng)的非法、黃色等站點(diǎn)和資源；允許經(jīng)過(guò)授權(quán)的內(nèi)部用戶與外部用戶正?；ネ?；● 支持內(nèi)部網(wǎng)絡(luò)主機(jī)和服務(wù)器采用私有地址，對(duì)外界隱藏內(nèi)部網(wǎng)絡(luò)拓?fù)?；?IP 與 MAC 綁定功能，可防止內(nèi)部用戶隨意更改自己的 IP 地址，以免造成內(nèi)部 IP 地址的濫用和盜用；● 支持 IP 與用戶的邦定；● 透明代理功能，在外部網(wǎng)絡(luò)中的計(jì)算機(jī)訪問(wèn)對(duì)外提供網(wǎng)絡(luò)服務(wù)內(nèi)部子網(wǎng)時(shí)，隱藏提供網(wǎng)絡(luò)服務(wù)的主機(jī)的 IP 地址；● 流量統(tǒng)計(jì)與流量限制功能，通過(guò)防火墻進(jìn)行網(wǎng)絡(luò)流量統(tǒng)計(jì)，并根據(jù)策略對(duì)流量分析和限制，提供一定的服務(wù)質(zhì)量（QOS）保證；● 網(wǎng)絡(luò)實(shí)踐分析；● 用戶鑒別及動(dòng)態(tài)過(guò)濾策略功能，對(duì)移動(dòng)用戶、異地辦公等遠(yuǎn)程用戶進(jìn)行一次性口令身份識(shí)別和認(rèn)證，并對(duì)移動(dòng)用戶、異地辦公等遠(yuǎn)程用戶進(jìn)行動(dòng)態(tài)的網(wǎng)絡(luò)訪問(wèn)鑒別控制；● URL 阻斷以及基于關(guān)鍵詞的智能過(guò)濾● 可以實(shí)現(xiàn)應(yīng)用層協(xié)議內(nèi)容的過(guò)濾，如 FTP、HTTP、SMTP；● 應(yīng)用層（FTP、HTTP 等）專用命令控制；● 支持動(dòng)態(tài)路由協(xié)議 OSPF、RIP 等；● 支持 DMZ 等多網(wǎng)絡(luò)接口配置；● 路由模式、透明橋模式和混合模式自我學(xué)習(xí)功能；● 狀態(tài)檢測(cè)功能，又稱動(dòng)態(tài)包過(guò)濾，通過(guò)檢查應(yīng)用程序信息（如 FTP 的XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 16Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 GET、PUT 命令）來(lái)判斷端口是否允許需要臨時(shí)打開(kāi)，當(dāng)傳輸結(jié)束時(shí)，端口馬上恢復(fù)為關(guān)閉狀態(tài)；● 抗攻擊和自我保護(hù)能力，能士防火墻采用了“能士黑匣子”技術(shù)，可以防范一系列外部黑客的攻擊，如：抗特洛伊木馬攻擊、抗 IP 假冒攻擊、抗 DOS 攻擊等；● 通過(guò)防火墻雙機(jī)熱備的高可用性功能，可以為用戶提供可靠的容錯(cuò)和熱待機(jī)等功能；● 支持 DHCP 應(yīng)用環(huán)境；● 支持視頻會(huì)議應(yīng)用環(huán)境；● 完全的中國(guó)式自主設(shè)計(jì)，提供操作簡(jiǎn)單的圖形化用戶界面方便用戶對(duì)防火墻設(shè)備進(jìn)行配置，面向?qū)ο蟮目梢暬?guī)則編輯以及監(jiān)控與管理防火墻；● 強(qiáng)大的安全審計(jì)與日志功能，防火墻系統(tǒng)強(qiáng)大的審計(jì)能力在完善的日常審計(jì)基礎(chǔ)上，提供了對(duì)違規(guī)通信、安全事件的實(shí)時(shí)報(bào)警和處置能力；● 防火墻為專用軟硬件一體化安全設(shè)備，操作系統(tǒng)內(nèi)核基于自主專用定制；● 可采用智能 IC 卡進(jìn)行防火墻設(shè)備的初始化和操作控制；● 支持無(wú)人值守運(yùn)行模式；● 可伸縮體系結(jié)構(gòu)支持對(duì)安全域中多個(gè)防火墻的集中式網(wǎng)絡(luò)化安全管理；當(dāng)發(fā)現(xiàn)違規(guī)事件時(shí)，管理員可以采取遠(yuǎn)程關(guān)閉外來(lái)連接或讓防火墻重新啟動(dòng)等安全措施。8. 入侵檢測(cè)系統(tǒng)在傳統(tǒng)的網(wǎng)絡(luò)安全概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安全，其實(shí)不然，防火墻僅僅是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，它的作用是防止外部的非法入侵，僅僅相當(dāng)于計(jì)算機(jī)網(wǎng)絡(luò)的第一道防線。雖然通過(guò)防火墻可以隔離大部分的外部攻擊，但是仍然會(huì)有小部分攻擊通過(guò)正常的訪問(wèn)的漏洞滲透到內(nèi)部網(wǎng)絡(luò)；XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 17Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 另外，據(jù)統(tǒng)計(jì)有 70％以上的攻擊事件來(lái)自內(nèi)部網(wǎng)絡(luò)，也就是說(shuō)內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。入侵檢測(cè)系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等。入侵檢測(cè)系統(tǒng)是實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。它運(yùn)行于敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，識(shí)別，記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試時(shí)，入侵檢測(cè)系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。該系統(tǒng)可安裝于防火墻前后，可以對(duì)攻擊防火墻本身的數(shù)據(jù)流進(jìn)行響應(yīng)，同時(shí)可以對(duì)穿透防火墻進(jìn)行攻擊的數(shù)據(jù)流進(jìn)行響應(yīng)。在被保護(hù)的局域網(wǎng)中，入侵檢測(cè)設(shè)備應(yīng)安裝于易受到攻擊的服務(wù)器或防火墻附近。這些保護(hù)措施主要是為了監(jiān)控經(jīng)過(guò)出口及對(duì)重點(diǎn)服務(wù)器進(jìn)行訪問(wèn)的數(shù)據(jù)流。入侵檢測(cè)報(bào)警日志的功能是通過(guò)對(duì)所有對(duì)網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警及響應(yīng)。由于網(wǎng)絡(luò)攻擊大多來(lái)自于網(wǎng)絡(luò)的出口位置，入侵檢測(cè)在此處將承擔(dān)實(shí)時(shí)監(jiān)測(cè)大量出入整個(gè)網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。這些數(shù)據(jù)流引起的報(bào)警日志，是作為受到網(wǎng)絡(luò)攻擊的主要證據(jù)。在 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)配置中，我們建議采用啟明星辰公司的“天闐”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，對(duì) XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控與阻斷響應(yīng)，它集成了在線網(wǎng)絡(luò)入侵監(jiān)測(cè)、入侵即時(shí)處理、離線入侵分析、入侵偵測(cè)查詢、報(bào)告生成等多項(xiàng)功能的分布式計(jì)算機(jī)安全系統(tǒng)，不僅能即時(shí)監(jiān)控網(wǎng)絡(luò)資源運(yùn)行狀況，為網(wǎng)絡(luò)管理員及時(shí)提供網(wǎng)絡(luò)入侵預(yù)警和防范解決方案，還使得對(duì)于檢查黑客入侵，變得有跡可尋，為用戶采取進(jìn)一步行動(dòng)提供了強(qiáng)有力的技術(shù)支持，大大加強(qiáng)了對(duì)惡意黑客的威懾力量。通過(guò)使用入侵檢測(cè)系統(tǒng)，我們可以做到：對(duì) XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)，防止黑客的入侵。對(duì) XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)核心業(yè)務(wù)服務(wù)器的數(shù)據(jù)流量進(jìn)行監(jiān)測(cè)，防止入侵者的蓄意破壞和篡改。監(jiān)視 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 18Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 合法用戶的越權(quán)操作。對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律。實(shí)時(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻聯(lián)動(dòng)。對(duì)關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。. 應(yīng)用部署方案XXX 入侵檢測(cè)系統(tǒng)應(yīng)用部署圖建議在 XXX 總廠的核心交換機(jī)和設(shè)計(jì)部的中心交換機(jī)上部署天闐 N100 入侵探測(cè)引擎；這樣一來(lái)就能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)上非法入侵行為及違規(guī)操作，然后在管網(wǎng)段配置一臺(tái) PC 安裝天闐控制中心，即可實(shí)時(shí)顯示報(bào)警事件，并對(duì)探測(cè)引擎進(jìn)行管理。隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)安全變成了一個(gè)動(dòng)態(tài)的過(guò)程，靜止不變的產(chǎn)品根本無(wú)法適應(yīng)網(wǎng)絡(luò)安全的需要。同時(shí)由于單一的安全產(chǎn)品對(duì)安全問(wèn)題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補(bǔ)，可以提高系統(tǒng)對(duì)安全事件響應(yīng)的準(zhǔn)確性和全面性，使防護(hù)體系由靜態(tài)到動(dòng)態(tài)，由平面到立體，不僅增強(qiáng)了入侵檢測(cè)系統(tǒng)的響應(yīng)能力，降低了入侵檢測(cè)的誤報(bào)率，充分發(fā)揮了入侵檢測(cè)的作用，同時(shí)提升了防火墻的機(jī)動(dòng)性和實(shí)XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 19Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號(hào) 188 時(shí)反應(yīng)能力。因此， 以入侵檢測(cè)系統(tǒng)為核心的動(dòng)態(tài)防御體系，可以實(shí)現(xiàn)入侵檢測(cè)和防火墻、入侵檢測(cè)和漏洞掃描等防護(hù)系統(tǒng)的聯(lián)動(dòng)。入侵檢測(cè)和防火墻、入侵檢測(cè)和漏洞掃描聯(lián)動(dòng)體系示意圖如下：1. IDS 與防火墻的聯(lián)動(dòng)入侵檢測(cè)系統(tǒng)可以進(jìn)行針對(duì) TCP 連接的阻斷。但是，對(duì)于網(wǎng)絡(luò)上的錯(cuò)綜復(fù)雜的攻擊事件，NIDS 的防護(hù)效果還是不夠全面。防火墻作為網(wǎng)絡(luò)系統(tǒng)的專用的安全防護(hù)工具，其防護(hù)能力與入侵檢測(cè)產(chǎn)品的響應(yīng)能力可以相互補(bǔ)充。所以，建議使用入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)方式，來(lái)實(shí)現(xiàn)整體防護(hù)。當(dāng)入侵檢測(cè)檢測(cè)到此攻擊事件時(shí)，會(huì)實(shí)時(shí)的傳送一個(gè)防護(hù)策略給防火墻，由防火墻來(lái)執(zhí)行此策略，實(shí)現(xiàn)入侵阻斷。Host C Host D Host B Host A 受 保 護(hù) 網(wǎng) 絡(luò)IntertIDS發(fā) 起 攻 擊發(fā) 送 通 知 報(bào)文驗(yàn) 證 報(bào) 文 并采 取 措 施發(fā) 送響 應(yīng)報(bào) 文識(shí) 別出 攻擊 行為阻 斷 連 接或 者 報(bào) 警等墻墻系 統(tǒng) 脆 弱 報(bào) 告攻 擊墻墻受 保 護(hù) 網(wǎng) 絡(luò)發(fā) 起 攻 擊發(fā) 送 通 知 報(bào)文驗(yàn) 證 報(bào) 文 并采 取 措 施發(fā) 送響 應(yīng)報(bào) 文識(shí) 別出 攻擊 行為阻 斷 連 接或 者 報(bào) 警等系 統(tǒng) 脆 弱 報(bào) 告系 統(tǒng) 脆 弱 報(bào) 告攻 擊攻 擊XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 20Beijing Venus