【文章內(nèi)容簡介】 XX 內(nèi)部署啟明星辰天鏡漏洞掃描系統(tǒng)，定期對內(nèi)部的系統(tǒng)進(jìn)行漏洞檢查，發(fā)現(xiàn)漏洞及時彌補(bǔ)。. 網(wǎng)絡(luò)防病毒建議采用啟明星辰的網(wǎng)絡(luò)防病毒產(chǎn)品對 XXX 的系統(tǒng)進(jìn)行實(shí)時的病毒查殺。XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 13Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 建議采用三層防病毒部署體系：(1) Mail 網(wǎng)關(guān)防病毒系統(tǒng)阻斷和防止 XXX 的病毒傳輸。(2) 服務(wù)器防病毒系統(tǒng)確保應(yīng)用服務(wù)器不被病毒感染。(3) 客戶端防病毒系統(tǒng)確保 XXX 員工辦公 PC 不受病毒攻擊。. VPN建議在 XXX 的網(wǎng)絡(luò)入口處部署川大能士的 SVPN，使其能夠?qū)崿F(xiàn)：1) 網(wǎng)絡(luò)通信對用戶“透明”2) 具有“虛擬”和“專用”的安全特性3) 充分利用已有公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施的高效性7. 防火墻系統(tǒng)防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外人被許可訪問所允許的內(nèi)部服務(wù)，哪些外部服務(wù)可由內(nèi)部人員訪問。并且防火墻本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。主要特點(diǎn)如下：? 保護(hù)脆弱的服務(wù)。通過過濾不安全的服務(wù)，F(xiàn)irewall 可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險。例如，F(xiàn)irewall 可以禁止 NIS、NFS 服務(wù)通過，F(xiàn)irewall 同時可以拒絕源路由和 ICMP 重定向封包。? 控制對系統(tǒng)的訪問。Firewall 可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時禁止訪問另外的主機(jī)。例如，F(xiàn)irewall 允許外部訪問XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 14Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 特定的 Mail Server 和 Web Server。? 集中的安全管理。Firewall 對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在Firewall 定義的安全規(guī)則可以運(yùn)用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立安全策略。如在 Firewall 可以定義不同的認(rèn)證方法，而不需在每臺機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過防火墻的—次認(rèn)證即可訪問內(nèi)部網(wǎng)。? 增強(qiáng)保密性。使用 Firewall 可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如 Finger 和 DNS。? 記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)。Firewall 可以記錄和統(tǒng)計通過 Firewall 的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。策略執(zhí)行。Firewall 提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置 Firewall 時，網(wǎng)絡(luò)安全取決于每臺主機(jī)的用戶。. 應(yīng)用部署方案XXX 防火墻系統(tǒng)應(yīng)用部署圖建議在 XXX 總廠與設(shè)計部之間部署川大能士防火墻。即可對從總廠到設(shè)計XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 15Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 部的雙向網(wǎng)絡(luò)數(shù)據(jù)通訊有一個安全防范，從而最大化的保障了業(yè)務(wù)網(wǎng)絡(luò)的安全性。. 產(chǎn)品功能特點(diǎn)● 隔離內(nèi)外網(wǎng)絡(luò)的直接通信，對進(jìn)出的網(wǎng)絡(luò)的信息進(jìn)行訪問控制；● 可根據(jù) IP 源/宿地址、TCP/UDP 端口號和協(xié)議類型進(jìn)行控制，嚴(yán)格控制外部用戶隨意進(jìn)入內(nèi)部被保護(hù)的網(wǎng)絡(luò)中；禁止內(nèi)部用戶出訪公網(wǎng)或互聯(lián)網(wǎng)的非法、黃色等站點(diǎn)和資源；允許經(jīng)過授權(quán)的內(nèi)部用戶與外部用戶正?；ネ?；● 支持內(nèi)部網(wǎng)絡(luò)主機(jī)和服務(wù)器采用私有地址，對外界隱藏內(nèi)部網(wǎng)絡(luò)拓?fù)?；?IP 與 MAC 綁定功能，可防止內(nèi)部用戶隨意更改自己的 IP 地址，以免造成內(nèi)部 IP 地址的濫用和盜用；● 支持 IP 與用戶的邦定；● 透明代理功能，在外部網(wǎng)絡(luò)中的計算機(jī)訪問對外提供網(wǎng)絡(luò)服務(wù)內(nèi)部子網(wǎng)時，隱藏提供網(wǎng)絡(luò)服務(wù)的主機(jī)的 IP 地址；● 流量統(tǒng)計與流量限制功能，通過防火墻進(jìn)行網(wǎng)絡(luò)流量統(tǒng)計，并根據(jù)策略對流量分析和限制，提供一定的服務(wù)質(zhì)量（QOS）保證；● 網(wǎng)絡(luò)實(shí)踐分析；● 用戶鑒別及動態(tài)過濾策略功能，對移動用戶、異地辦公等遠(yuǎn)程用戶進(jìn)行一次性口令身份識別和認(rèn)證，并對移動用戶、異地辦公等遠(yuǎn)程用戶進(jìn)行動態(tài)的網(wǎng)絡(luò)訪問鑒別控制；● URL 阻斷以及基于關(guān)鍵詞的智能過濾● 可以實(shí)現(xiàn)應(yīng)用層協(xié)議內(nèi)容的過濾，如 FTP、HTTP、SMTP；● 應(yīng)用層（FTP、HTTP 等）專用命令控制；● 支持動態(tài)路由協(xié)議 OSPF、RIP 等；● 支持 DMZ 等多網(wǎng)絡(luò)接口配置；● 路由模式、透明橋模式和混合模式自我學(xué)習(xí)功能；● 狀態(tài)檢測功能，又稱動態(tài)包過濾，通過檢查應(yīng)用程序信息（如 FTP 的XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 16Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 GET、PUT 命令）來判斷端口是否允許需要臨時打開，當(dāng)傳輸結(jié)束時，端口馬上恢復(fù)為關(guān)閉狀態(tài)；● 抗攻擊和自我保護(hù)能力，能士防火墻采用了“能士黑匣子”技術(shù)，可以防范一系列外部黑客的攻擊，如：抗特洛伊木馬攻擊、抗 IP 假冒攻擊、抗 DOS 攻擊等；● 通過防火墻雙機(jī)熱備的高可用性功能，可以為用戶提供可靠的容錯和熱待機(jī)等功能；● 支持 DHCP 應(yīng)用環(huán)境；● 支持視頻會議應(yīng)用環(huán)境；● 完全的中國式自主設(shè)計，提供操作簡單的圖形化用戶界面方便用戶對防火墻設(shè)備進(jìn)行配置，面向?qū)ο蟮目梢暬?guī)則編輯以及監(jiān)控與管理防火墻；● 強(qiáng)大的安全審計與日志功能，防火墻系統(tǒng)強(qiáng)大的審計能力在完善的日常審計基礎(chǔ)上，提供了對違規(guī)通信、安全事件的實(shí)時報警和處置能力；● 防火墻為專用軟硬件一體化安全設(shè)備，操作系統(tǒng)內(nèi)核基于自主專用定制；● 可采用智能 IC 卡進(jìn)行防火墻設(shè)備的初始化和操作控制；● 支持無人值守運(yùn)行模式；● 可伸縮體系結(jié)構(gòu)支持對安全域中多個防火墻的集中式網(wǎng)絡(luò)化安全管理；當(dāng)發(fā)現(xiàn)違規(guī)事件時，管理員可以采取遠(yuǎn)程關(guān)閉外來連接或讓防火墻重新啟動等安全措施。8. 入侵檢測系統(tǒng)在傳統(tǒng)的網(wǎng)絡(luò)安全概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安全，其實(shí)不然，防火墻僅僅是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，它的作用是防止外部的非法入侵，僅僅相當(dāng)于計算機(jī)網(wǎng)絡(luò)的第一道防線。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡(luò)；XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 17Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 另外，據(jù)統(tǒng)計有 70％以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。入侵檢測系統(tǒng)(IDS)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。入侵檢測系統(tǒng)是實(shí)時的網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。它運(yùn)行于敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實(shí)時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識別，記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。該系統(tǒng)可安裝于防火墻前后，可以對攻擊防火墻本身的數(shù)據(jù)流進(jìn)行響應(yīng)，同時可以對穿透防火墻進(jìn)行攻擊的數(shù)據(jù)流進(jìn)行響應(yīng)。在被保護(hù)的局域網(wǎng)中，入侵檢測設(shè)備應(yīng)安裝于易受到攻擊的服務(wù)器或防火墻附近。這些保護(hù)措施主要是為了監(jiān)控經(jīng)過出口及對重點(diǎn)服務(wù)器進(jìn)行訪問的數(shù)據(jù)流。入侵檢測報警日志的功能是通過對所有對網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報警及響應(yīng)。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，入侵檢測在此處將承擔(dān)實(shí)時監(jiān)測大量出入整個網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。這些數(shù)據(jù)流引起的報警日志，是作為受到網(wǎng)絡(luò)攻擊的主要證據(jù)。在 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)配置中，我們建議采用啟明星辰公司的“天闐”網(wǎng)絡(luò)入侵檢測系統(tǒng)，對 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)進(jìn)行實(shí)時監(jiān)控與阻斷響應(yīng)，它集成了在線網(wǎng)絡(luò)入侵監(jiān)測、入侵即時處理、離線入侵分析、入侵偵測查詢、報告生成等多項(xiàng)功能的分布式計算機(jī)安全系統(tǒng)，不僅能即時監(jiān)控網(wǎng)絡(luò)資源運(yùn)行狀況，為網(wǎng)絡(luò)管理員及時提供網(wǎng)絡(luò)入侵預(yù)警和防范解決方案，還使得對于檢查黑客入侵，變得有跡可尋，為用戶采取進(jìn)一步行動提供了強(qiáng)有力的技術(shù)支持，大大加強(qiáng)了對惡意黑客的威懾力量。通過使用入侵檢測系統(tǒng)，我們可以做到：對 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行監(jiān)測，防止黑客的入侵。對 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)核心業(yè)務(wù)服務(wù)器的數(shù)據(jù)流量進(jìn)行監(jiān)測，防止入侵者的蓄意破壞和篡改。監(jiān)視 XXX 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 18Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 合法用戶的越權(quán)操作。對用戶的非正?；顒舆M(jìn)行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。實(shí)時對檢測到的入侵行為進(jìn)行報警、阻斷，能夠與防火墻聯(lián)動。對關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計跟蹤管理。. 應(yīng)用部署方案XXX 入侵檢測系統(tǒng)應(yīng)用部署圖建議在 XXX 總廠的核心交換機(jī)和設(shè)計部的中心交換機(jī)上部署天闐 N100 入侵探測引擎；這樣一來就能夠?qū)崟r監(jiān)測網(wǎng)絡(luò)上非法入侵行為及違規(guī)操作，然后在管網(wǎng)段配置一臺 PC 安裝天闐控制中心，即可實(shí)時顯示報警事件，并對探測引擎進(jìn)行管理。隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)安全變成了一個動態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng)網(wǎng)絡(luò)安全的需要。同時由于單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，因此不同安全產(chǎn)品之間的安全互補(bǔ)，可以提高系統(tǒng)對安全事件響應(yīng)的準(zhǔn)確性和全面性，使防護(hù)體系由靜態(tài)到動態(tài)，由平面到立體，不僅增強(qiáng)了入侵檢測系統(tǒng)的響應(yīng)能力，降低了入侵檢測的誤報率，充分發(fā)揮了入侵檢測的作用，同時提升了防火墻的機(jī)動性和實(shí)XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 19Beijing Venus Info. Tech. Co. Ltd. 傳真：(010)62146778地址：北京市海淀區(qū)中關(guān)村南大街 12 號 188 時反應(yīng)能力。因此， 以入侵檢測系統(tǒng)為核心的動態(tài)防御體系，可以實(shí)現(xiàn)入侵檢測和防火墻、入侵檢測和漏洞掃描等防護(hù)系統(tǒng)的聯(lián)動。入侵檢測和防火墻、入侵檢測和漏洞掃描聯(lián)動體系示意圖如下：1. IDS 與防火墻的聯(lián)動入侵檢測系統(tǒng)可以進(jìn)行針對 TCP 連接的阻斷。但是，對于網(wǎng)絡(luò)上的錯綜復(fù)雜的攻擊事件，NIDS 的防護(hù)效果還是不夠全面。防火墻作為網(wǎng)絡(luò)系統(tǒng)的專用的安全防護(hù)工具，其防護(hù)能力與入侵檢測產(chǎn)品的響應(yīng)能力可以相互補(bǔ)充。所以，建議使用入侵檢測系統(tǒng)與防火墻聯(lián)動方式，來實(shí)現(xiàn)整體防護(hù)。當(dāng)入侵檢測檢測到此攻擊事件時，會實(shí)時的傳送一個防護(hù)策略給防火墻，由防火墻來執(zhí)行此策略，實(shí)現(xiàn)入侵阻斷。Host C Host D Host B Host A 受 保 護(hù) 網(wǎng) 絡(luò)IntertIDS發(fā) 起 攻 擊發(fā) 送 通 知 報文驗(yàn) 證 報 文 并采 取 措 施發(fā) 送響 應(yīng)報 文識 別出 攻擊 行為阻 斷 連 接或 者 報 警等墻墻系 統(tǒng) 脆 弱 報 告攻 擊墻墻受 保 護(hù) 網(wǎng) 絡(luò)發(fā) 起 攻 擊發(fā) 送 通 知 報文驗(yàn) 證 報 文 并采 取 措 施發(fā) 送響 應(yīng)報 文識 別出 攻擊 行為阻 斷 連 接或 者 報 警等系 統(tǒng) 脆 弱 報 告系 統(tǒng) 脆 弱 報 告攻 擊攻 擊XXX 網(wǎng)絡(luò)安全建議方案北京啟明星辰信息技術(shù)有限公司 電話：(010)62149966 20Beijing Venus