【導(dǎo)讀】{ "error_code": 17, "error_msg": "Open api daily request limit reached" }

　　

【正文】 24 頁 共 67 頁 管理特性 圖形化管理工具、日志管理工具、設(shè)備告警、 NetFlow 最大額定功率 小于 100W 工作環(huán)境 溫度 0℃ ~40℃ ；濕度 5%~95%,無凝結(jié) 電磁兼容性 FCC Part 15， Subpart J， Class A EN55022(CISPR： 1993)， Class A VCCI Class A ITE Ctick IEC 100042， IEC 100043， IEC 100044， IEC 100045 安全規(guī)格 UL 1950/ IEC 950， EN60950（ CE）， AS/NZ 3260 最高的用戶訪問安全性 通過采用 認證協(xié)議對每個訪問城域網(wǎng)的用戶進行認證，提供最可靠和高效的用戶訪問管理功能，可控制用戶對網(wǎng)絡(luò)資源的訪問范圍，大大降低從內(nèi)部對網(wǎng)絡(luò)安全的威脅。而且基于 技術(shù)，有可擴展出很多附加的安全功能，全方位的保護用戶的安全。 ? 用戶訪問內(nèi)容自動限制 通過 RADIUS 設(shè)定用戶權(quán)限，當用戶通過 認證后，自動加載到智能網(wǎng)絡(luò)設(shè)備上，形成動態(tài)訪問控制列表，自動限制訪問內(nèi)容。 ? 支持端口反查功能 可迅速定位散 布不當言論或訪問非法網(wǎng)站的用戶的物理位置，維護政府形象。 ? IP+MAC+端口的綁定與安全認證機制 在認證的時候驗證 IP、 MAC、端口的一致性，只有在三者同時符合的時候才通過驗證，避免了 IP 盜用的弊端，減少了同一網(wǎng)段內(nèi)的不安全因素。 ? 廣播包自動抑制功能 網(wǎng)絡(luò)中大量非常廣播包，可以將交換機的 CPU 資源耗盡，導(dǎo)致網(wǎng)絡(luò)癱瘓，港灣 紅谷大廈智能化建設(shè)系統(tǒng)投標文件 第三部分 第 1 章 計算機網(wǎng)絡(luò)系統(tǒng) 第 25 頁 共 67 頁 FlexHammer5010 交換機通過智能方式識別非正常的廣播包，然后對發(fā)送大量廣播包的端口加以控制 。 ? 接入層智能化，實現(xiàn)全網(wǎng)端到端的流分類和 QOS 可以針對源、目的 IP、 MAC 地址、 TCP、 UDP 的端口號在交換機內(nèi)進行安全的設(shè)置。保證網(wǎng)絡(luò)權(quán)限資源進行安全的保護，同時精確的流分類技術(shù)與硬件支持識別數(shù)據(jù)報文前 80 個字節(jié)，可以確保網(wǎng)絡(luò)數(shù)據(jù)流進行合理的優(yōu)先級別的設(shè)定。在接入層就實現(xiàn)流分類，可以實現(xiàn)全網(wǎng)端到端的 QOS 保證，確保重要數(shù)據(jù)的優(yōu)先傳送。 ? 1M 級別的用戶級別的帶寬控制 可以對網(wǎng)絡(luò)帶寬的合理規(guī)劃。有效解決單用戶對網(wǎng)絡(luò)帶寬資源占用。 目前保護內(nèi)部網(wǎng)絡(luò)安全的方法 目前主流的安全技術(shù)有，防火墻技術(shù)，入侵檢測（ IDS）技術(shù)， CA 數(shù)據(jù)加密即 CA數(shù)字證書技術(shù)，網(wǎng)絡(luò)終端的軟件防范技術(shù)，而應(yīng)用于內(nèi)網(wǎng)安 全的主要是入侵檢測技術(shù)，CA 數(shù)字證書，各種防黑和防病毒軟件。 入侵檢測系統(tǒng) 組網(wǎng)－網(wǎng)絡(luò)的匯聚和網(wǎng)絡(luò)中心處，直路式或旁路式。具有網(wǎng)絡(luò)分布式檢測的特征。是網(wǎng)絡(luò)中的主要網(wǎng)絡(luò)防黑技術(shù)。 ? 工作特點： 預(yù)設(shè)置式，應(yīng)用層處理等高層數(shù)據(jù)處理。特征式工作原理。可檢測會話層處理報文，可檢測數(shù)據(jù)碎片，分組報文。緩沖工作方式。 ? 主要缺點： 接口少： 接口比防火墻略多，處理能力隨網(wǎng)絡(luò)流量和網(wǎng)絡(luò)安全規(guī)則增加而減少。 組網(wǎng)限制多： 要求網(wǎng)絡(luò)支持，組網(wǎng)的位置必須能盡量多的檢測網(wǎng)絡(luò)數(shù)據(jù)流底層網(wǎng)絡(luò)必須具備廣播或者鏡像特征，同時要求 紅谷大廈智能化建設(shè)系統(tǒng)投標文件 第三部分 第 1 章 計算機網(wǎng)絡(luò)系統(tǒng) 第 26 頁 共 67 頁 檢測能力受成本 限制， 雙向數(shù)據(jù)流，主要檢測內(nèi)網(wǎng)數(shù)據(jù)流，主機間數(shù)據(jù)，能檢測內(nèi)網(wǎng)數(shù)據(jù)和事件，但受接口處理能力限制， 安全事件定位差 ：僅能識別 IP 地址，無法定位到端口，需要人工排查，不能識別數(shù)據(jù)來源。 事件響應(yīng)方式有限 ：記錄、報警，發(fā)沖撞幀，通過對數(shù)據(jù)流的阻斷來斷開整個網(wǎng)絡(luò)某種或全部服務(wù)，正常用戶會受到影響。 CA 數(shù)字證書 ? 工作特點： 預(yù)設(shè)置式，各用戶機間的應(yīng)用層處理數(shù)據(jù)處理，主要是用戶身份驗證和識別。是一種加密技術(shù)，不是安全技術(shù)。 ? 主要缺點： 安全依賴性強 ，主要放置在服務(wù)器和 PC 上，形勢單一，主要依賴網(wǎng)絡(luò)安全和節(jié)點安全。 易遺 失易失竊 ：電子介質(zhì)式，對黑客行為無法防范。 防范能力差： 無法防范用戶的假冒行為。 安全事件定位差 ，無法定位假冒用戶和攻擊用戶。 事件響應(yīng)方式單一： 用戶記錄。 各種防黑和防病毒軟件 ? 工作特點： 特征式，各用戶機間的應(yīng)用層處理數(shù)據(jù)處理，主要是主機網(wǎng)絡(luò)程序的控制。是一種單點式防御。 ? 主要缺點： 安全依賴性強 ，主要放置在服務(wù)器和 PC 上，形勢單一，主要依賴用戶操作。 易受攻擊 ：電子介質(zhì)式，對黑客行為無法防范。很多黑客軟件可將安全防護軟件強制退出內(nèi)存和停止工作。 防范能力差： 單點被動式防范，對偽裝性黑客攻擊無法防范， 如，有些黑客是利用正常的網(wǎng)絡(luò)數(shù)據(jù)流進行攻擊和竊取。對資料竊取無法防范。 紅谷大廈智能化建設(shè)系統(tǒng)投標文件 第三部分 第 1 章 計算機網(wǎng)絡(luò)系統(tǒng) 第 27 頁 共 67 頁 安全事件定位差 ，無法定位假冒行為和竊聽行為。 事件響應(yīng)方式單一：事件記錄。如，黑客可利用木馬將 PC 或服務(wù)器上的入侵記錄刪除。 值得注意的是，以上的防范方法，都是被動式的防御，基于特征式的工作原理，對于新型的黑客軟件和未公開的黑客軟件均無法有效防范。曾經(jīng)有個例子，在 200 年，在中國有一個被稱之為“獄之門”組織編寫的《灰鴿子》黑客軟件，至今仍有眾多的知名殺毒軟件和防黑軟件都未能將其查找出來。 目前內(nèi)網(wǎng)安全解決方案存在的問題 那么面對 IDS 等防護手段的不足，我們該如何應(yīng)對呢？ 換個角度去思考這個問題，可以看到，各種相關(guān)網(wǎng)絡(luò)安全的黑客和病毒都是依賴網(wǎng)絡(luò)平臺進行，而如果在網(wǎng)絡(luò)平臺上就能切斷黑客和病毒的傳播途徑，那么就能更好地保證安全，網(wǎng)絡(luò)設(shè)備與 IDS 設(shè)備聯(lián)動思想就應(yīng)此而產(chǎn)生。 首先，分析一下 IDS 對于內(nèi)網(wǎng)安全事件防范到底存在那些隱患。 ? 誤報漏報率太高 IDS 常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統(tǒng)計方法來進行檢測。而統(tǒng)計方法中的閾值難以有效確定，太小的值會產(chǎn)生大量的誤報，太大的值 又會產(chǎn)生大量的漏報。而在協(xié)議分析的檢測方式中，一般的 IDS 只簡單的處理了常用的如 HTTP、 FTP、 SMTP 等，其余大量的協(xié)議報文完全可能造成 IDS 漏報，如果考慮支持盡量多的協(xié)議類型分析，成本將是用戶無法承受的。再比如在異常檢測中，各種協(xié)議變體、過多的 IP 分片和異常 TCP 分段都有可能導(dǎo)致 IDS 誤報。 ? 沒有主動防御能力 IDS 技術(shù)是一種預(yù)設(shè)置式的工作方式，特征分析式工作原理。檢測規(guī)則的更新總是落后于攻擊手段的更新，所以這永遠是亡羊補牢，被動防守。 ? 缺乏準確定位和處理機制 紅谷大廈智能化建設(shè)系統(tǒng)投標文件 第三部分 第 1 章 計算機網(wǎng)絡(luò)系統(tǒng) 第 28 頁 共 67 頁 IDS 僅能識別 IP 地址，無法定位 IP 地 址，不能識別數(shù)據(jù)來源。 IDS 系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣關(guān)閉同時會影響其他正常用戶的使用。缺乏更有效的響應(yīng)處理機制。 ? 性能普遍不足 現(xiàn)在市場上的 IDS 產(chǎn)品大多采用的是特征檢測技術(shù)，這類產(chǎn)品是專門為小于 100M的共享式網(wǎng)絡(luò)環(huán)境設(shè)計的?，F(xiàn)在，這種 IDS 產(chǎn)品已經(jīng)不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展，在大流量沖擊、多 IP 分片情況下都可能造成 IDS 的癱瘓或丟包，形成 DoS攻擊。 面對諸多問題，難怪有人戲稱： IDS 系統(tǒng)是網(wǎng)絡(luò)中最大的安全隱患。為了彌補這些缺陷， IDS 與新一代智能化的 網(wǎng)絡(luò)交換設(shè)備聯(lián)動成為最佳選擇。 IDS 與網(wǎng)絡(luò)交換機聯(lián)動技術(shù) IDS 與網(wǎng)絡(luò)交換設(shè)備聯(lián)動是指，交換機在運行的過程中，將各種數(shù)據(jù)流的信息上報給安全設(shè)備， IDS 系統(tǒng)可根據(jù)上報信息和數(shù)據(jù)流內(nèi)容進行檢測，并發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時候，進行有針對性的動作，并將這些對安全事件反應(yīng)的動作發(fā)送到交換機上，由交換機來實現(xiàn)精確端口的關(guān)閉和斷開。 與傳統(tǒng)的 IDS 技術(shù)相比，實現(xiàn)了四點革命性的突破。 ? 降低 IDS 誤報漏報率 ： 過高的誤報漏報使 IDS 成為“網(wǎng)絡(luò)中最大的安全隱患”，其本質(zhì)原因在于它各種檢測機制過于簡單。 1. 智能網(wǎng)絡(luò)設(shè)備具有限制每個端 口 TCP/IP 連接數(shù)目的功能，通過這個功能可以在交換機上設(shè)置閥值，在 IDS 系統(tǒng)的前沿設(shè)置一道硬件屏障，降低 IDS 在異常檢測中由于閥值設(shè)置不當而帶來的誤報漏報。 2. 智能網(wǎng)絡(luò)設(shè)備能主動丟棄超過極限值的非正常 IP 分片和異常 TCP 分段，降低 IDS 的誤報率。 3. 智能網(wǎng)絡(luò)設(shè)備具備強制流分類的處理能力，可以根據(jù)協(xié)議類型、業(yè)務(wù)端口號進行流分類，通過與 IDS 的配合，完善 IDS 在協(xié)議分析方面的能力，因為在交換機上增加協(xié)議分析功能相對在 IDS 上增加類似功能成本要低很多，因此該功能的提供降低了用戶在安全設(shè)備方面的投資。 紅谷大廈智能化建設(shè)系統(tǒng)投標文件 第三部分 第 1 章 計算機網(wǎng)絡(luò)系統(tǒng) 第 29 頁 共 67 頁 ? 主動防御： 傳 統(tǒng) IDS 系統(tǒng)亡羊補牢式的手段雖然有效，但是畢竟已經(jīng)失羊在先，這對于安全要求很高的政府、公檢法等行業(yè)網(wǎng)絡(luò)是不能接受的。其被動防守的根源在于沒有有效手段得到接入層每個端口的數(shù)據(jù)特征，無法監(jiān)控全網(wǎng)。 智能網(wǎng)絡(luò)設(shè)備可主動上報各種數(shù)據(jù)特征和流量特征給 IDS 設(shè)備， IDS 設(shè)備就可以依據(jù)這些數(shù)據(jù)記錄全網(wǎng)的正常流量特征，通過一段時間學(xué)習(xí)， IDS 可以掌握每個端口正常數(shù)據(jù)流特征。以后當數(shù)據(jù)流進入網(wǎng)絡(luò)時，可將正常的網(wǎng)絡(luò)數(shù)據(jù)流特征與每個端口的數(shù)據(jù)流特征進行比較檢測，非正常數(shù)據(jù)流都不能給予通過，達到主動防御的效果。而這種正常數(shù)據(jù) 流的特征是相對固定和少量的，不必做頻繁的升級和特征更新，保證了網(wǎng)絡(luò)安全的特征。 ? 準確事件定位和響應(yīng)功能 : 傳統(tǒng) IDS 系統(tǒng)發(fā)現(xiàn)故障卻無法準確定位和有效處理，這對于網(wǎng)絡(luò)維護人員來說簡直是噩夢。 1. 智能網(wǎng)絡(luò)設(shè)備具備多重網(wǎng)絡(luò)標識的綁定和端口反查功能，防止網(wǎng)絡(luò)欺 騙行為，因此可幫助 IDS 系統(tǒng)對攻擊點進行準確定位。 2. 智能網(wǎng)絡(luò)設(shè)備上可對任何 IDS 設(shè)備開放網(wǎng)絡(luò)管理方面的指 令，每一個接入層的智能網(wǎng)絡(luò)設(shè)備都可聽從入侵檢測系統(tǒng)的關(guān)閉端口等指 令，檢測到安全事件的時候，入侵檢測系統(tǒng)就可直接封堵或關(guān)閉某個 PC 入網(wǎng)的端 口，有的放矢，而不會影響其他的正常用戶使用網(wǎng)絡(luò)。這功能簡 直就是革命性的突破。 ? 優(yōu)化 IDS 性能： 當 IDS的性能成為網(wǎng)絡(luò)安全中最短的那塊木板時，不可能通過不斷增大內(nèi)存和 CPU性能來解決問題，因為那樣的投入將會是驚人的無休無止，值得考慮的解決方案應(yīng)該是采用分布式、專業(yè)化的 IDS。 智能網(wǎng)絡(luò)設(shè)備通過啟用強制流分類可以有選擇性的屏蔽下層數(shù)據(jù)，凈化發(fā)送到 紅谷大廈智能化建設(shè)系統(tǒng)投標文件 第三部分 第 1 章 計算機網(wǎng)絡(luò)系統(tǒng) 第 30 頁 共 67 頁 IDS 的數(shù)據(jù)報文，比如某網(wǎng)絡(luò)中只關(guān)心 WWW 數(shù)據(jù)的安全，那么可以選擇采購更便宜更專業(yè)的 IDS 系統(tǒng)，只做 WWW 數(shù)據(jù)的檢測，那么智能網(wǎng)絡(luò)設(shè)備此時就發(fā)揮數(shù)據(jù)凈化器的作用，保 證一個低成本的 IDS 系統(tǒng)能準確無誤的完成專業(yè)數(shù)據(jù)的檢測工作。這在降低整網(wǎng)組網(wǎng)成本的同時，大大優(yōu)化了網(wǎng)絡(luò)中原有 IDS 的性能。 港灣網(wǎng)絡(luò)全面支持 IDS 設(shè)備聯(lián)動技術(shù)： 港灣網(wǎng)絡(luò)智能網(wǎng)絡(luò)設(shè)備已經(jīng)與多家 IDS 系統(tǒng)進行了互通測試，并在海關(guān)、電子政務(wù)等網(wǎng)絡(luò)中開始實際應(yīng)用，得到用戶高度好評。 IDS 作為網(wǎng)絡(luò)安全系統(tǒng)必不可少的一部分，應(yīng)用領(lǐng)域在迅速擴大，技術(shù)走向也日益明朗，從 IDS（入侵檢測）向 IPS（入侵防御）發(fā)展成為必然，但目前并沒有完善的 IPS 解決方案和設(shè)備，而且可以預(yù)見 IPS 的使用將大幅度提高網(wǎng)絡(luò)建設(shè)的成本。因此，港 灣網(wǎng)絡(luò)認為，在 IDS 向 IPS 發(fā)展歷程中，通過智能交換機對 IDS 的補充，是一個非常實際而且不會給用戶帶來任何額外投資的理想過渡方案。 隨著未來一段時間 IDS 的廣泛使用，港灣的交換機與 IDS 聯(lián)動技術(shù)將為更多政府部門、大企業(yè)的網(wǎng)絡(luò)服務(wù)。 網(wǎng)絡(luò)管理 港灣網(wǎng)絡(luò)網(wǎng)絡(luò)管理概