【導讀】北海電子政務技術建議書

　　

【正文】 網用戶的強管理控制，實現(xiàn)用戶的有效授權訪問。避免非法用戶在未授權的情況下實現(xiàn)對重要數(shù)據(jù)的竊取、篡改，以及對服務提供點的攻擊，避免仿冒用戶、偽用 戶獲得授權造成網絡危害?？赏ㄟ^系列路由器和交換機、防火墻設備與 CAMS 綜合管理平臺配合實現(xiàn)用戶的 PKI/CA、用戶名 /口令、帳號等的精細認證授權管理以及服務策略集中管理下發(fā)。 采用 MPLS VPN 技術、可控組播技術、冗余備份技術等實現(xiàn)對不同業(yè)務群體和用戶群體之間的有效隔離和互通，并采用 IPsec 隧道、 SSL、加密技術等保證數(shù)據(jù)的保密、完整、有效的傳送交換。此外采用接入控制、 VPN 業(yè)務、防火墻等網絡設備特性實現(xiàn)不同安全性機密性的內部可信網絡與外部不可信網絡的隔離控制。 使用防火墻、入侵檢測產品（包括系列路由器 、交換機和專用防火墻產品等）實現(xiàn)各種關鍵應用服務器與其它所有外部網絡的隔離與訪問控制，通過配置防火墻安全策略對所有服務器的請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應服務器，其它的請求服務在到達主機前就遭到拒絕，當網絡出現(xiàn)攻擊行為或網絡受到其它一些安全威脅時，進行實時的檢測、監(jiān)控、報告與預警和及時阻斷。同時，當事故發(fā)生后，應提供黑客攻擊行為的追蹤線索及破案依據(jù)，有對網絡的可控性與可審查性。使用與 Eudemon 防火墻系統(tǒng)聯(lián)動的專用入侵檢測系統(tǒng)（ IDS）對服務器與重保護網段加以監(jiān)控、記錄，并與防火墻一起構成一個 動態(tài)的防御、報警系統(tǒng)； 采用網管平臺和綜合管理策略平臺實現(xiàn)整網設備、業(yè)務以及安全性的集中管理控制，可實現(xiàn) MPLS VPN 業(yè)務、組播等業(yè)務的分級分權管理；可實現(xiàn)對不同級別用戶的認證、授權、服務策略的控制，以及安全日志的分析審計，提供記錄攻擊行為追蹤線索，并進行事后的細致分析、策略規(guī)劃重新下發(fā)服務策略。 北海電子政務技術建議書 25 針對以太網存在的各種鏈路層和網絡層安全隱患，以太網交換機采用多種網絡安全機制，包括訪問控制、用戶驗證、防地址假冒、入侵與防范、安全管理等技術，提供了一個有效的網絡安全解決方案。 市 電子政務網 應用的 安全設計 針對網絡存在的各種安全隱患，安全的組網設備必須具有如下的安全特性： 用戶驗證 用戶驗證是實現(xiàn)用戶安全防護的基礎功能。對用戶進行識別和區(qū)分，不僅能保護接入的用戶不受網絡攻擊，而且能阻止接入用戶攻擊其他用戶和網絡。經過驗證的用戶可以享受服務，而未經驗證的用戶則被拒絕。 訪問網絡設備存在多種方式：直接從 console 口登錄進行配置； tel 登錄配置；通過 SNMP 進行配置；通過 modem 遠程配置等等。對于這些訪問方式，都需要有相應的用戶身份驗證。 防地址假冒 為了有效的防止假冒 IP 地址和假冒 MAC 地址 ， 網絡 設備使用了地址綁定技術嚴格控制用戶的接入。例如，綁定用戶接入的端口與 MAC 地址、 IP 地址。 身份認證 路由器和交換機、防火墻等設備的身份認證主要包括以下幾個部分： 訪問設備時的身份認證。訪問設備時存在多種方式：直接從 console 口登錄進行配置； tel 登錄配置；通過 SNMP 進行配置；通過 modem 遠程配置等等。對于這些訪問方式，都需要有相應的身份認證。 對端設備的身份認證：對端設備不僅僅指物理上的直接以串口線相連的路由器，同時還包括端到端相連以及虛擬的點對點（如通過隧道協(xié)議）相連的路由器 。在對端路由器與本端建立連接之前，需要進行身份認證。 路由信息的身份認證：路由器依據(jù)路由信息表來發(fā)送報文，路由信息對于路由器來說是至關重要的。收到虛假的路由信息，有可能使得路由器將數(shù)據(jù)報文發(fā)往不正確的目的地。這些報文可以被用于分析其中的數(shù)據(jù)內容，嚴重的情況下，造成正常的通信中斷。所以，在接受任何路由變化的信息之前，有必要對此信息的發(fā)送方進行驗證，以保證收到的路由信息是合法。 訪問控制 北海電子政務技術建議書 26 訪問控制分為以下幾種情況： 對于設備的訪問控制。對設備的訪問權限需要進行口令的分級保護。只有持有相應口令的特權用戶才 能對設備進行配置；一般用戶只有查看普通信息的權力。 基于 IP 地址的訪問控制。一般情況下，用戶（包括網內用戶和分支機構、合作伙伴等網外用戶）是通過 IP 地址來區(qū)分的，不同的用戶具有不同的權限。通過包過濾實現(xiàn)基于 IP 地址的訪問控制，可以實現(xiàn)對重要資源的保護。 基于用戶的訪問接入方式的用戶來說，他們之間的權限也有可能是不一樣的。通過對用戶設置特定的過濾屬性，可實現(xiàn)對接入用戶的訪問控制。 基于流基于狀態(tài)連接的訪問控制。路由器、以太網交換機和防火墻設備可以提供報文的多元組包過濾或者連接的狀態(tài)檢測分析，以實現(xiàn) 對于非法流量非法連接的防護，并可起到防 DOS、流量攻擊的功能，可對網絡和業(yè)務提供不同安全層次的防護服務。 基于 Vlan 的訪問控制。本次網絡內部用戶以 VLan 方式劃分成不同網段，各個部門的訪問權限有可能是不一樣的。通過實現(xiàn)基于 Vlan 的訪問控制，可以實現(xiàn)對部門的訪問控制?？刂啤Ｂ酚善鳌⒁蕴W交換機提供接入服務功能。對于以 信息隱藏 與對端通信時，不一定需要用真實身份進行通信。通過地址轉換，可以做到隱藏網內地址、只以公共地址的方式訪問外部網絡。除了由內部網絡首先發(fā)起的連接，網外用戶不能通過地址轉換直接訪問網 內資源。路由器和防火墻的 NAT 特性在節(jié)約 IP 地址的同時，可以做到隱藏內部網絡結構，避免外部攻擊和掃描。 攻擊探測和防范 為了防止網上的大流量攻擊， 網絡 設備提供了兩種基本的攻擊檢測技術： 報文鏡像。使用報文鏡像，可以將指定類型的報文，例如 ICMP 報文，拷貝到指定端口，然后通過連接到鏡像端口的協(xié)議分析儀進行測試記錄。使用這種方法，可以有效的檢測到 TCP、 UDP、 ICMP、 HTTP、 SMTP、 RSTP 等多種協(xié)議報文。 報文統(tǒng)計。使用報文統(tǒng)計，可以按時間段、協(xié)議類型、 IP 地址五元組等特性分別進行報文包數(shù)和字 節(jié)數(shù)的統(tǒng)計。 北海電子政務技術建議書 27 網絡 設備通過基于 ACL 的流量限制，預防并控制網上的大流量攻擊。當發(fā)現(xiàn)大流量攻擊時，可以限制到達被攻擊目的地址的報文流量。 網絡 設備作為一個內部網絡對外的接口設備，是攻擊者進入內部網絡的第一個目標。如果出口路由器不提供攻擊檢測和防范，則也是攻擊者進入內部網絡的一個橋梁。在路由器上提供攻擊檢測，可以防止一部分的攻擊。 此外，專業(yè)的防火墻等安全設備可以做到保護內部網絡和服務的安全，可以采用防火墻和 IDS 入侵檢測等設備的結合能夠提供對整個內部網絡的攻擊探測和防范，以彌補開放式網絡架構所導致的網絡服務的 不安全性。 安全管理 內部網絡與外部網絡之間的每一個數(shù)據(jù)報文都會通過路由器和防火墻，在路由器和防火墻上進行報文的審計可以提供網絡運行的必要信息，有助于分析網絡的運行情況。 另一方面，設備的安全運行牽涉到越來越多的安全策略，為了達到這些安全策略的有效利用，進行安全策略管理是必需的。 為了達到以上所述的功能，除了需要 節(jié)的網絡設備之外，還需要配置防火墻， IDS 等網絡安全設備。具體設計如下圖所示： 北海電子政務技術建議書 28 把核心交換機的關鍵線路上的流量通過端口鏡像到入侵檢測（ IDS）設備上，通過 IDS 設備對流量進行分析，發(fā)現(xiàn)有網絡攻擊，記錄攻擊狀態(tài)，并通知網絡管理員進行處理。為了及時阻斷網絡攻擊或者在網絡管理員無法處理網絡供給的時候， IDS 設備還需要能夠和核心交換機聯(lián)動，一旦 IDS 發(fā)現(xiàn)網絡攻擊， IDS 通知核心交換機自動阻斷網絡攻擊，以保證整個網絡的安全。 防火墻設備一般用于防止來自 Inter 的攻擊，本次建設的是電子政務內網，因此考慮用防火墻設備來保護電子政務內網的服務器免收攻擊。在服務器和核心交換機之間配置一臺千兆防火墻，這樣既可以保證服務器免收網絡攻擊，也不會成為訪問服務器的 網絡瓶頸，影響業(yè)務開展。 入侵檢測（ IDS）設備的 要求的技術 指標如下 （ 其中關鍵的指標上有 *號 ） ： 1． *提供三個百兆以太網電接口，一個千兆以太網電接口 2． *吞吐量大于等于 200Mbps 3． *每秒新建連接數(shù) 大于等于 1萬 4． 提供以下的監(jiān)測功能 ? 基于狀態(tài)的內容特征匹配：采用了高精度的智能模式識別算法，對協(xié)議交互特定階段的報文進行檢測，可以識別隱藏在正常業(yè)務流量中的網絡攻擊的特征。 北海電子政務技術建議書 29 ? 協(xié)議跟蹤分析：以網絡層、傳輸層和應用層的常用協(xié)議為對象，記錄和分析協(xié)議交互的過程，為基于狀態(tài)的內容特征匹配提供了狀態(tài)依據(jù)，并且可以有效的探測那些 利用協(xié)議漏洞的網絡攻擊。 ? 流量異常探測：通過對網絡流量規(guī)律的數(shù)學建模和智能分析，可以有效的抵御 DoS/DDoS 攻擊和端口掃描。 5． *可以和路由器、交換機、防火墻等網絡設備配合工作，根據(jù)檢測結果即時通知相應的網絡設備阻斷攻擊數(shù)據(jù)流。 防火墻設備的要求的技術指標如下 （ 其中關鍵的指標上有 *號 ） ： 1． *必須是具有自主知識產權的國產設備 2． *必須同時通過公安部、國家信息安全測評認證中心、國家保密局涉密信息系統(tǒng)、解放軍信息安全測評中心的認證 3． *提供大于等于 4個 10/100M/1000 以太網端口 4． *提供大于等于 1個擴展槽 5． *提供兩個或以上光接口 6． *支持雙電源 7． MTBF 時間大于等于 年 8． *吞吐量大于等于 9． 支持 FTP、 HTTP、 SMTP、 RTSP、 H323 協(xié)議簇的 狀態(tài) 報文過濾 10． 要能夠抵抗包括 Land、 Smurf、 Fraggle、 WinNuke、 Ping of Death、Tear Drop、 IP Spoofing、 ARP Spoofing、 ARP Flooding、地址掃描、端口掃描等攻擊方式在內的攻擊 11． 防火墻必須支持一對一、地址池等 NAT 方式；必須支持 NAT 多實例功能、必須支持多種應用協(xié)議，如 FTP、 H32 RAS、 ICMP、 DNS、 ILS、PPTP、 NBT 的 NAT ALG 功能，支持策略 NAT 12． 必須支持 HTTP URL 和內容過濾 13． 必須支持 SMTP 郵件地址、標題和內容過濾 14． *必須支持負載分擔和冗余備份，支持雙電源冗余備份，支持接口模塊熱插拔 北海電子政務技術建議書 30 15． 支持流量監(jiān)管（ Traffic Policing），支持 FIFO、 PQ、 CQ、 WFQ、 CBWFQ、RTPQ 等隊列技術，支持 WRED 擁塞避免技術、支持 GTS 流量整形、支持CAR、 LR 接口限速 16． 支持網管軟件統(tǒng)一網管，支持 TELNET、 SSH、 CONSOLE、 SNMPvSNMPv2C、 SNMPv3，支持 NTP 時間同步 17． *支持靜態(tài)路由、 RIP、 OSPF、 BGP、策略路由、 MPLS 協(xié)議 北海電子政務技術建議書 31 第四章 路由策略及 IP 地址規(guī)劃 路由策略 根據(jù)網絡現(xiàn)有結構，設計比較適合的路由協(xié)議。能夠實現(xiàn)優(yōu)化的網絡路徑選擇，同時具有路徑均衡功能，在網絡結構發(fā)生變化時數(shù)據(jù)能夠通過其他路徑迂回，保證網絡的暢通。 路由協(xié)議的選擇 在大型網絡中，選擇適當?shù)穆酚蓞f(xié)議是非常重要的。目前常用的路由協(xié)議有多種，如 RIP、 OSPF、 ISIS、 BGP、 DVMRP、 PIM 等等。不同的路由協(xié)議有各自的特點，分別適用于不同的條件之下。 選擇適當?shù)穆酚蓞f(xié)議需要考慮以下因素： 1）路由協(xié)議的開放性 ，開放性的路由協(xié)議保證了不同廠商都能對本路由協(xié)議進行支持，這不僅保證了目前網絡的互通性，而且保證了將來網絡發(fā)展的擴充能力和選擇空間。 2）網絡的拓撲結構 網絡拓撲結構直接影響協(xié)議的選擇。例如 RIP 這樣比較簡單的路由協(xié)議不支持分層次的路由信息計算，對復雜網絡的適應能力較弱。 路由協(xié)議還必須支持網絡拓撲的變化，在拓撲發(fā)生變化時，無論是對網絡中的路由本身，還是網絡設備的管理都要使影響最小。 3）網 絡節(jié)點數(shù)量 不同的協(xié)議對于網絡規(guī)模的支持能力有所不同，需要按需求適當選擇，有時還需要采用一些特殊技術解決適應網絡規(guī)模方面的擴展性問題。 4）與其他網絡的互連要求 通過劃分成相對獨立管理的網絡區(qū)域，可以減少網絡間的相關性，有利于網絡的擴展，路由協(xié)議要能支持減少網絡間的相關性，是通常劃分為一個自治系統(tǒng)（ AS），在 AS 之間需要采用適當?shù)膮^(qū)域間路由協(xié)議。必要時還要考慮路由信息安全因素和對路由交換的限制管理 。 北海電子政務技術建議書 32 5）管理和安全上的要求 通常要求在可以滿足功能需求的情況下盡可能簡化管理。但有時為了實現(xiàn)比較完善的管理功能或 為了滿足安全的需要，例如對路由的傳播和選用提出一些人為的要求，就需要路由協(xié)議對策略的支持。 根據(jù)網絡的優(yōu)化設計策略，在選擇及規(guī)劃路由協(xié)議時需要按照 這些因素 進行考慮和設計。 OSPF 是一個基于鏈路狀態(tài)的動態(tài)路由協(xié)議，協(xié)議的基本思路如下：在自治系統(tǒng)中每一臺運行 OSPF 的路由器收集各自的接口