【導(dǎo)讀】北海電子政務(wù)技術(shù)建議書

　　

【正文】 網(wǎng)用戶的強(qiáng)管理控制，實(shí)現(xiàn)用戶的有效授權(quán)訪問。避免非法用戶在未授權(quán)的情況下實(shí)現(xiàn)對(duì)重要數(shù)據(jù)的竊取、篡改，以及對(duì)服務(wù)提供點(diǎn)的攻擊，避免仿冒用戶、偽用 戶獲得授權(quán)造成網(wǎng)絡(luò)危害?？赏ㄟ^系列路由器和交換機(jī)、防火墻設(shè)備與 CAMS 綜合管理平臺(tái)配合實(shí)現(xiàn)用戶的 PKI/CA、用戶名 /口令、帳號(hào)等的精細(xì)認(rèn)證授權(quán)管理以及服務(wù)策略集中管理下發(fā)。 采用 MPLS VPN 技術(shù)、可控組播技術(shù)、冗余備份技術(shù)等實(shí)現(xiàn)對(duì)不同業(yè)務(wù)群體和用戶群體之間的有效隔離和互通，并采用 IPsec 隧道、 SSL、加密技術(shù)等保證數(shù)據(jù)的保密、完整、有效的傳送交換。此外采用接入控制、 VPN 業(yè)務(wù)、防火墻等網(wǎng)絡(luò)設(shè)備特性實(shí)現(xiàn)不同安全性機(jī)密性的內(nèi)部可信網(wǎng)絡(luò)與外部不可信網(wǎng)絡(luò)的隔離控制。 使用防火墻、入侵檢測(cè)產(chǎn)品（包括系列路由器 、交換機(jī)和專用防火墻產(chǎn)品等）實(shí)現(xiàn)各種關(guān)鍵應(yīng)用服務(wù)器與其它所有外部網(wǎng)絡(luò)的隔離與訪問控制，通過配置防火墻安全策略對(duì)所有服務(wù)器的請(qǐng)求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)服務(wù)器，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)前就遭到拒絕，當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)，進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警和及時(shí)阻斷。同時(shí)，當(dāng)事故發(fā)生后，應(yīng)提供黑客攻擊行為的追蹤線索及破案依據(jù)，有對(duì)網(wǎng)絡(luò)的可控性與可審查性。使用與 Eudemon 防火墻系統(tǒng)聯(lián)動(dòng)的專用入侵檢測(cè)系統(tǒng)（ IDS）對(duì)服務(wù)器與重保護(hù)網(wǎng)段加以監(jiān)控、記錄，并與防火墻一起構(gòu)成一個(gè) 動(dòng)態(tài)的防御、報(bào)警系統(tǒng)； 采用網(wǎng)管平臺(tái)和綜合管理策略平臺(tái)實(shí)現(xiàn)整網(wǎng)設(shè)備、業(yè)務(wù)以及安全性的集中管理控制，可實(shí)現(xiàn) MPLS VPN 業(yè)務(wù)、組播等業(yè)務(wù)的分級(jí)分權(quán)管理；可實(shí)現(xiàn)對(duì)不同級(jí)別用戶的認(rèn)證、授權(quán)、服務(wù)策略的控制，以及安全日志的分析審計(jì)，提供記錄攻擊行為追蹤線索，并進(jìn)行事后的細(xì)致分析、策略規(guī)劃重新下發(fā)服務(wù)策略。 北海電子政務(wù)技術(shù)建議書 25 針對(duì)以太網(wǎng)存在的各種鏈路層和網(wǎng)絡(luò)層安全隱患，以太網(wǎng)交換機(jī)采用多種網(wǎng)絡(luò)安全機(jī)制，包括訪問控制、用戶驗(yàn)證、防地址假冒、入侵與防范、安全管理等技術(shù)，提供了一個(gè)有效的網(wǎng)絡(luò)安全解決方案。 市 電子政務(wù)網(wǎng) 應(yīng)用的 安全設(shè)計(jì) 針對(duì)網(wǎng)絡(luò)存在的各種安全隱患，安全的組網(wǎng)設(shè)備必須具有如下的安全特性： 用戶驗(yàn)證 用戶驗(yàn)證是實(shí)現(xiàn)用戶安全防護(hù)的基礎(chǔ)功能。對(duì)用戶進(jìn)行識(shí)別和區(qū)分，不僅能保護(hù)接入的用戶不受網(wǎng)絡(luò)攻擊，而且能阻止接入用戶攻擊其他用戶和網(wǎng)絡(luò)。經(jīng)過驗(yàn)證的用戶可以享受服務(wù)，而未經(jīng)驗(yàn)證的用戶則被拒絕。 訪問網(wǎng)絡(luò)設(shè)備存在多種方式：直接從 console 口登錄進(jìn)行配置； tel 登錄配置；通過 SNMP 進(jìn)行配置；通過 modem 遠(yuǎn)程配置等等。對(duì)于這些訪問方式，都需要有相應(yīng)的用戶身份驗(yàn)證。 防地址假冒 為了有效的防止假冒 IP 地址和假冒 MAC 地址 ， 網(wǎng)絡(luò) 設(shè)備使用了地址綁定技術(shù)嚴(yán)格控制用戶的接入。例如，綁定用戶接入的端口與 MAC 地址、 IP 地址。 身份認(rèn)證 路由器和交換機(jī)、防火墻等設(shè)備的身份認(rèn)證主要包括以下幾個(gè)部分： 訪問設(shè)備時(shí)的身份認(rèn)證。訪問設(shè)備時(shí)存在多種方式：直接從 console 口登錄進(jìn)行配置； tel 登錄配置；通過 SNMP 進(jìn)行配置；通過 modem 遠(yuǎn)程配置等等。對(duì)于這些訪問方式，都需要有相應(yīng)的身份認(rèn)證。 對(duì)端設(shè)備的身份認(rèn)證：對(duì)端設(shè)備不僅僅指物理上的直接以串口線相連的路由器，同時(shí)還包括端到端相連以及虛擬的點(diǎn)對(duì)點(diǎn)（如通過隧道協(xié)議）相連的路由器 。在對(duì)端路由器與本端建立連接之前，需要進(jìn)行身份認(rèn)證。 路由信息的身份認(rèn)證：路由器依據(jù)路由信息表來發(fā)送報(bào)文，路由信息對(duì)于路由器來說是至關(guān)重要的。收到虛假的路由信息，有可能使得路由器將數(shù)據(jù)報(bào)文發(fā)往不正確的目的地。這些報(bào)文可以被用于分析其中的數(shù)據(jù)內(nèi)容，嚴(yán)重的情況下，造成正常的通信中斷。所以，在接受任何路由變化的信息之前，有必要對(duì)此信息的發(fā)送方進(jìn)行驗(yàn)證，以保證收到的路由信息是合法。 訪問控制 北海電子政務(wù)技術(shù)建議書 26 訪問控制分為以下幾種情況： 對(duì)于設(shè)備的訪問控制。對(duì)設(shè)備的訪問權(quán)限需要進(jìn)行口令的分級(jí)保護(hù)。只有持有相應(yīng)口令的特權(quán)用戶才 能對(duì)設(shè)備進(jìn)行配置；一般用戶只有查看普通信息的權(quán)力。 基于 IP 地址的訪問控制。一般情況下，用戶（包括網(wǎng)內(nèi)用戶和分支機(jī)構(gòu)、合作伙伴等網(wǎng)外用戶）是通過 IP 地址來區(qū)分的，不同的用戶具有不同的權(quán)限。通過包過濾實(shí)現(xiàn)基于 IP 地址的訪問控制，可以實(shí)現(xiàn)對(duì)重要資源的保護(hù)。 基于用戶的訪問接入方式的用戶來說，他們之間的權(quán)限也有可能是不一樣的。通過對(duì)用戶設(shè)置特定的過濾屬性，可實(shí)現(xiàn)對(duì)接入用戶的訪問控制。 基于流基于狀態(tài)連接的訪問控制。路由器、以太網(wǎng)交換機(jī)和防火墻設(shè)備可以提供報(bào)文的多元組包過濾或者連接的狀態(tài)檢測(cè)分析，以實(shí)現(xiàn) 對(duì)于非法流量非法連接的防護(hù)，并可起到防 DOS、流量攻擊的功能，可對(duì)網(wǎng)絡(luò)和業(yè)務(wù)提供不同安全層次的防護(hù)服務(wù)。 基于 Vlan 的訪問控制。本次網(wǎng)絡(luò)內(nèi)部用戶以 VLan 方式劃分成不同網(wǎng)段，各個(gè)部門的訪問權(quán)限有可能是不一樣的。通過實(shí)現(xiàn)基于 Vlan 的訪問控制，可以實(shí)現(xiàn)對(duì)部門的訪問控制?？刂?。路由器、以太網(wǎng)交換機(jī)提供接入服務(wù)功能。對(duì)于以 信息隱藏 與對(duì)端通信時(shí)，不一定需要用真實(shí)身份進(jìn)行通信。通過地址轉(zhuǎn)換，可以做到隱藏網(wǎng)內(nèi)地址、只以公共地址的方式訪問外部網(wǎng)絡(luò)。除了由內(nèi)部網(wǎng)絡(luò)首先發(fā)起的連接，網(wǎng)外用戶不能通過地址轉(zhuǎn)換直接訪問網(wǎng) 內(nèi)資源。路由器和防火墻的 NAT 特性在節(jié)約 IP 地址的同時(shí)，可以做到隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，避免外部攻擊和掃描。 攻擊探測(cè)和防范 為了防止網(wǎng)上的大流量攻擊， 網(wǎng)絡(luò) 設(shè)備提供了兩種基本的攻擊檢測(cè)技術(shù)： 報(bào)文鏡像。使用報(bào)文鏡像，可以將指定類型的報(bào)文，例如 ICMP 報(bào)文，拷貝到指定端口，然后通過連接到鏡像端口的協(xié)議分析儀進(jìn)行測(cè)試記錄。使用這種方法，可以有效的檢測(cè)到 TCP、 UDP、 ICMP、 HTTP、 SMTP、 RSTP 等多種協(xié)議報(bào)文。 報(bào)文統(tǒng)計(jì)。使用報(bào)文統(tǒng)計(jì)，可以按時(shí)間段、協(xié)議類型、 IP 地址五元組等特性分別進(jìn)行報(bào)文包數(shù)和字 節(jié)數(shù)的統(tǒng)計(jì)。 北海電子政務(wù)技術(shù)建議書 27 網(wǎng)絡(luò) 設(shè)備通過基于 ACL 的流量限制，預(yù)防并控制網(wǎng)上的大流量攻擊。當(dāng)發(fā)現(xiàn)大流量攻擊時(shí)，可以限制到達(dá)被攻擊目的地址的報(bào)文流量。 網(wǎng)絡(luò) 設(shè)備作為一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)外的接口設(shè)備，是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的第一個(gè)目標(biāo)。如果出口路由器不提供攻擊檢測(cè)和防范，則也是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)橋梁。在路由器上提供攻擊檢測(cè)，可以防止一部分的攻擊。 此外，專業(yè)的防火墻等安全設(shè)備可以做到保護(hù)內(nèi)部網(wǎng)絡(luò)和服務(wù)的安全，可以采用防火墻和 IDS 入侵檢測(cè)等設(shè)備的結(jié)合能夠提供對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的攻擊探測(cè)和防范，以彌補(bǔ)開放式網(wǎng)絡(luò)架構(gòu)所導(dǎo)致的網(wǎng)絡(luò)服務(wù)的 不安全性。 安全管理 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的每一個(gè)數(shù)據(jù)報(bào)文都會(huì)通過路由器和防火墻，在路由器和防火墻上進(jìn)行報(bào)文的審計(jì)可以提供網(wǎng)絡(luò)運(yùn)行的必要信息，有助于分析網(wǎng)絡(luò)的運(yùn)行情況。 另一方面，設(shè)備的安全運(yùn)行牽涉到越來越多的安全策略，為了達(dá)到這些安全策略的有效利用，進(jìn)行安全策略管理是必需的。 為了達(dá)到以上所述的功能，除了需要 節(jié)的網(wǎng)絡(luò)設(shè)備之外，還需要配置防火墻， IDS 等網(wǎng)絡(luò)安全設(shè)備。具體設(shè)計(jì)如下圖所示： 北海電子政務(wù)技術(shù)建議書 28 把核心交換機(jī)的關(guān)鍵線路上的流量通過端口鏡像到入侵檢測(cè)（ IDS）設(shè)備上，通過 IDS 設(shè)備對(duì)流量進(jìn)行分析，發(fā)現(xiàn)有網(wǎng)絡(luò)攻擊，記錄攻擊狀態(tài)，并通知網(wǎng)絡(luò)管理員進(jìn)行處理。為了及時(shí)阻斷網(wǎng)絡(luò)攻擊或者在網(wǎng)絡(luò)管理員無法處理網(wǎng)絡(luò)供給的時(shí)候， IDS 設(shè)備還需要能夠和核心交換機(jī)聯(lián)動(dòng)，一旦 IDS 發(fā)現(xiàn)網(wǎng)絡(luò)攻擊， IDS 通知核心交換機(jī)自動(dòng)阻斷網(wǎng)絡(luò)攻擊，以保證整個(gè)網(wǎng)絡(luò)的安全。 防火墻設(shè)備一般用于防止來自 Inter 的攻擊，本次建設(shè)的是電子政務(wù)內(nèi)網(wǎng)，因此考慮用防火墻設(shè)備來保護(hù)電子政務(wù)內(nèi)網(wǎng)的服務(wù)器免收攻擊。在服務(wù)器和核心交換機(jī)之間配置一臺(tái)千兆防火墻，這樣既可以保證服務(wù)器免收網(wǎng)絡(luò)攻擊，也不會(huì)成為訪問服務(wù)器的 網(wǎng)絡(luò)瓶頸，影響業(yè)務(wù)開展。 入侵檢測(cè)（ IDS）設(shè)備的 要求的技術(shù) 指標(biāo)如下 （ 其中關(guān)鍵的指標(biāo)上有 *號(hào) ） ： 1． *提供三個(gè)百兆以太網(wǎng)電接口，一個(gè)千兆以太網(wǎng)電接口 2． *吞吐量大于等于 200Mbps 3． *每秒新建連接數(shù) 大于等于 1萬 4． 提供以下的監(jiān)測(cè)功能 ? 基于狀態(tài)的內(nèi)容特征匹配：采用了高精度的智能模式識(shí)別算法，對(duì)協(xié)議交互特定階段的報(bào)文進(jìn)行檢測(cè)，可以識(shí)別隱藏在正常業(yè)務(wù)流量中的網(wǎng)絡(luò)攻擊的特征。 北海電子政務(wù)技術(shù)建議書 29 ? 協(xié)議跟蹤分析：以網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的常用協(xié)議為對(duì)象，記錄和分析協(xié)議交互的過程，為基于狀態(tài)的內(nèi)容特征匹配提供了狀態(tài)依據(jù)，并且可以有效的探測(cè)那些 利用協(xié)議漏洞的網(wǎng)絡(luò)攻擊。 ? 流量異常探測(cè)：通過對(duì)網(wǎng)絡(luò)流量規(guī)律的數(shù)學(xué)建模和智能分析，可以有效的抵御 DoS/DDoS 攻擊和端口掃描。 5． *可以和路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備配合工作，根據(jù)檢測(cè)結(jié)果即時(shí)通知相應(yīng)的網(wǎng)絡(luò)設(shè)備阻斷攻擊數(shù)據(jù)流。 防火墻設(shè)備的要求的技術(shù)指標(biāo)如下 （ 其中關(guān)鍵的指標(biāo)上有 *號(hào) ） ： 1． *必須是具有自主知識(shí)產(chǎn)權(quán)的國(guó)產(chǎn)設(shè)備 2． *必須同時(shí)通過公安部、國(guó)家信息安全測(cè)評(píng)認(rèn)證中心、國(guó)家保密局涉密信息系統(tǒng)、解放軍信息安全測(cè)評(píng)中心的認(rèn)證 3． *提供大于等于 4個(gè) 10/100M/1000 以太網(wǎng)端口 4． *提供大于等于 1個(gè)擴(kuò)展槽 5． *提供兩個(gè)或以上光接口 6． *支持雙電源 7． MTBF 時(shí)間大于等于 年 8． *吞吐量大于等于 9． 支持 FTP、 HTTP、 SMTP、 RTSP、 H323 協(xié)議簇的 狀態(tài) 報(bào)文過濾 10． 要能夠抵抗包括 Land、 Smurf、 Fraggle、 WinNuke、 Ping of Death、Tear Drop、 IP Spoofing、 ARP Spoofing、 ARP Flooding、地址掃描、端口掃描等攻擊方式在內(nèi)的攻擊 11． 防火墻必須支持一對(duì)一、地址池等 NAT 方式；必須支持 NAT 多實(shí)例功能、必須支持多種應(yīng)用協(xié)議，如 FTP、 H32 RAS、 ICMP、 DNS、 ILS、PPTP、 NBT 的 NAT ALG 功能，支持策略 NAT 12． 必須支持 HTTP URL 和內(nèi)容過濾 13． 必須支持 SMTP 郵件地址、標(biāo)題和內(nèi)容過濾 14． *必須支持負(fù)載分擔(dān)和冗余備份，支持雙電源冗余備份，支持接口模塊熱插拔 北海電子政務(wù)技術(shù)建議書 30 15． 支持流量監(jiān)管（ Traffic Policing），支持 FIFO、 PQ、 CQ、 WFQ、 CBWFQ、RTPQ 等隊(duì)列技術(shù)，支持 WRED 擁塞避免技術(shù)、支持 GTS 流量整形、支持CAR、 LR 接口限速 16． 支持網(wǎng)管軟件統(tǒng)一網(wǎng)管，支持 TELNET、 SSH、 CONSOLE、 SNMPvSNMPv2C、 SNMPv3，支持 NTP 時(shí)間同步 17． *支持靜態(tài)路由、 RIP、 OSPF、 BGP、策略路由、 MPLS 協(xié)議 北海電子政務(wù)技術(shù)建議書 31 第四章 路由策略及 IP 地址規(guī)劃 路由策略 根據(jù)網(wǎng)絡(luò)現(xiàn)有結(jié)構(gòu)，設(shè)計(jì)比較適合的路由協(xié)議。能夠?qū)崿F(xiàn)優(yōu)化的網(wǎng)絡(luò)路徑選擇，同時(shí)具有路徑均衡功能，在網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)數(shù)據(jù)能夠通過其他路徑迂回，保證網(wǎng)絡(luò)的暢通。 路由協(xié)議的選擇 在大型網(wǎng)絡(luò)中，選擇適當(dāng)?shù)穆酚蓞f(xié)議是非常重要的。目前常用的路由協(xié)議有多種，如 RIP、 OSPF、 ISIS、 BGP、 DVMRP、 PIM 等等。不同的路由協(xié)議有各自的特點(diǎn)，分別適用于不同的條件之下。 選擇適當(dāng)?shù)穆酚蓞f(xié)議需要考慮以下因素： 1）路由協(xié)議的開放性 ，開放性的路由協(xié)議保證了不同廠商都能對(duì)本路由協(xié)議進(jìn)行支持，這不僅保證了目前網(wǎng)絡(luò)的互通性，而且保證了將來網(wǎng)絡(luò)發(fā)展的擴(kuò)充能力和選擇空間。 2）網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)直接影響協(xié)議的選擇。例如 RIP 這樣比較簡(jiǎn)單的路由協(xié)議不支持分層次的路由信息計(jì)算，對(duì)復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。 路由協(xié)議還必須支持網(wǎng)絡(luò)拓?fù)涞淖兓?，在拓?fù)浒l(fā)生變化時(shí)，無論是對(duì)網(wǎng)絡(luò)中的路由本身，還是網(wǎng)絡(luò)設(shè)備的管理都要使影響最小。 3）網(wǎng) 絡(luò)節(jié)點(diǎn)數(shù)量 不同的協(xié)議對(duì)于網(wǎng)絡(luò)規(guī)模的支持能力有所不同，需要按需求適當(dāng)選擇，有時(shí)還需要采用一些特殊技術(shù)解決適應(yīng)網(wǎng)絡(luò)規(guī)模方面的擴(kuò)展性問題。 4）與其他網(wǎng)絡(luò)的互連要求 通過劃分成相對(duì)獨(dú)立管理的網(wǎng)絡(luò)區(qū)域，可以減少網(wǎng)絡(luò)間的相關(guān)性，有利于網(wǎng)絡(luò)的擴(kuò)展，路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性，是通常劃分為一個(gè)自治系統(tǒng)（ AS），在 AS 之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議。必要時(shí)還要考慮路由信息安全因素和對(duì)路由交換的限制管理 。 北海電子政務(wù)技術(shù)建議書 32 5）管理和安全上的要求 通常要求在可以滿足功能需求的情況下盡可能簡(jiǎn)化管理。但有時(shí)為了實(shí)現(xiàn)比較完善的管理功能或 為了滿足安全的需要，例如對(duì)路由的傳播和選用提出一些人為的要求，就需要路由協(xié)議對(duì)策略的支持。 根據(jù)網(wǎng)絡(luò)的優(yōu)化設(shè)計(jì)策略，在選擇及規(guī)劃路由協(xié)議時(shí)需要按照 這些因素 進(jìn)行考慮和設(shè)計(jì)。 OSPF 是一個(gè)基于鏈路狀態(tài)的動(dòng)態(tài)路由協(xié)議，協(xié)議的基本思路如下：在自治系統(tǒng)中每一臺(tái)運(yùn)行 OSPF 的路由器收集各自的接口