【正文】 入侵檢測系統(tǒng)對網(wǎng)絡(luò)的保護(hù) 入侵檢測技術(shù)是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測系統(tǒng)在不影響網(wǎng)絡(luò)性能的前提下，實(shí)時(shí)、動(dòng)態(tài)地保護(hù)來自內(nèi)部和外部的各種攻擊，同時(shí)有效地彌補(bǔ)了防火墻所能達(dá)到的防護(hù)極限。 而 入侵檢測系統(tǒng)可以說是防火墻系統(tǒng)的合理補(bǔ)充和延伸，如果說防火墻是第一道安全閘門，入侵檢測系統(tǒng)可以說是第二道安全閘門。根據(jù)用戶的網(wǎng)絡(luò)環(huán)境可以指定 Sensor對不同的端口或 VLAN 實(shí)現(xiàn)監(jiān)控。它可以收集訪問服務(wù)器的數(shù)據(jù)包，并分析所有數(shù)據(jù)包，然后將分析后發(fā)現(xiàn)的攻擊或威脅事件信息發(fā)送 到入侵檢測系統(tǒng)監(jiān)控中心。 科技 XXXX 產(chǎn)業(yè)立地 第 24 頁 第四章 入侵檢測系統(tǒng) 根據(jù) XXXX 集團(tuán)多年的安全經(jīng)驗(yàn)建議采用 天融信 NG IDS UF 入侵檢測產(chǎn)品 IDS Sensor 1 和 IDS Sensor 2 分別將監(jiān)控 Firewall 1， Firewall 2 與服務(wù)器區(qū)連接的線路上。 q. 可擴(kuò)展支持 VPN 功能模塊 網(wǎng)絡(luò)衛(wèi)士 防火墻 4000內(nèi)置的 VPN主要功能，可以實(shí)現(xiàn)不同安全域或網(wǎng)絡(luò)之間傳輸?shù)陌踩?。?dāng)主防火墻發(fā)生意外 故障 或網(wǎng)絡(luò)鏈路出現(xiàn)故障等情況時(shí)，主從防火墻自動(dòng)切換工作狀態(tài)，從防火墻代替主防火墻正常工作，從而保證了網(wǎng)絡(luò)的正常使用；同時(shí) 防火墻系統(tǒng) 還實(shí)現(xiàn)了狀態(tài)傳送協(xié)議 STP ，當(dāng)一臺(tái)防火墻故障時(shí)，此防火墻上的連接不需要重新建立就可以透明地遷移到另一臺(tái)防火墻上。 p. 支持雙機(jī)熱備和負(fù)載均衡功能 為了保證網(wǎng)絡(luò)的高可用性與高可靠性， 網(wǎng)絡(luò)衛(wèi)士 防火墻 4000提供了雙機(jī)熱備份功能，即在同一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)使用兩個(gè)配置相同的防火墻。而有一些應(yīng)用往往要求一個(gè)正常的 TCP連接保持很長時(shí)間（如 ATM和 POS機(jī)與數(shù)據(jù)處理中心的連接），這會(huì)與 防火墻 安全政策中連接配置的超時(shí)時(shí)間 相矛盾。通訊日志也就是傳統(tǒng)的防火墻日志， 科技 XXXX 產(chǎn)業(yè)立地 第 23 頁 負(fù)責(zé)記錄通訊時(shí)間、 源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過；應(yīng)用層命令日志在通訊日志的基礎(chǔ)之上記錄下各個(gè)應(yīng)用層命令及其參數(shù)，比如 HTTP 請求及其要取的網(wǎng)頁名；訪問日志則是在應(yīng)用層命令日志的基礎(chǔ)之上記錄下用戶對網(wǎng)絡(luò)資源的訪問。 n. 強(qiáng)大的深層日志還原功能 網(wǎng)絡(luò)衛(wèi)士 防火墻 4000提供了非常強(qiáng)大的日志功能，用戶可以根據(jù)需要對不同的通訊會(huì)話記錄不同的日志。 l. 支持第三方用戶認(rèn)證功能 網(wǎng)絡(luò)衛(wèi)士 防火墻 4000支持第三方用戶軟件的認(rèn)證，如 RADIUS、 TACACS+等認(rèn)證系統(tǒng)，更好更廣泛的實(shí)現(xiàn)了用戶鑒別和訪問控制，可以用于對遠(yuǎn)程移動(dòng)用戶的身份認(rèn)證、控制等。 k. 分布式帶寬管理功能 網(wǎng)絡(luò)衛(wèi)士 防火墻 4000的 帶寬管理功能實(shí)現(xiàn)了多層次的分布式管理模式，避免了單層集中管理的缺點(diǎn)；可以實(shí)現(xiàn)帶寬分層、帶寬分級、帶寬分配、帶寬優(yōu)化等管理等，優(yōu)化了網(wǎng)絡(luò)資源的應(yīng)用，提高了網(wǎng)絡(luò) 資源應(yīng)用效率。 i. 支持 SSL、 SSH 協(xié)議 科技 XXXX 產(chǎn)業(yè)立地 第 22 頁 為了保證遠(yuǎn)程管理的安全性，防止遠(yuǎn)程管理過程被監(jiān)聽和修改， 網(wǎng)絡(luò)衛(wèi)士 防火墻 4000還支持基于 SSH的遠(yuǎn)程登錄管理和基于 SSL機(jī)制的 的數(shù)據(jù)加密傳輸方式，將管理主機(jī)和防火墻之間的通訊進(jìn)行加密以保證安全。對于使用 DHCP 服務(wù)器來動(dòng)態(tài)分配 IP地址的網(wǎng)絡(luò)環(huán)境，很難使用 IP地址來進(jìn)行訪問控制，因?yàn)榫W(wǎng)絡(luò)中的主機(jī)沒有固定的靜態(tài) IP地址。對外部用戶來說，地址轉(zhuǎn)換能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息；同時(shí)有效的解決了公有 IP地址不足的問題。 g. 強(qiáng)大的地址轉(zhuǎn)換功能 網(wǎng)絡(luò)衛(wèi)士 防火墻 4000同時(shí)支持地址（靜態(tài)和動(dòng)態(tài)）轉(zhuǎn)換和地址（或端口）映射功能。也就是說，如果要保護(hù)的主機(jī)與防火墻直接相連，可以將此機(jī)器的 IP 與其物理網(wǎng)卡地址捆綁，這樣其他內(nèi)部機(jī)器就不可能使用這個(gè) IP通過防火墻。比如對于某些教育系統(tǒng)的網(wǎng)絡(luò)可能同時(shí)有兩條互聯(lián)網(wǎng)出口，一條是通過專有線路連接到 教育網(wǎng) ，另一條是經(jīng)由電信的線路直接連接到 Inter；對于這種環(huán)境即可利用防火墻的源、目的地址路由技術(shù)進(jìn)行恰當(dāng)?shù)呐渲谩? e. 采用源地址路由功能 一般的路由技術(shù)只根據(jù)目標(biāo)地址來做出路由選擇，而 網(wǎng)絡(luò)衛(wèi)士 防火墻 4000則根據(jù)信息的源地址和目標(biāo)地址來做出路由選擇。 c. 靈活的工作模式 網(wǎng)絡(luò)衛(wèi)士 防火墻 4000 采用 多種靈活的工作模式，方便接入和部署：網(wǎng)絡(luò)衛(wèi)士防火墻支持多種工作模式，可以透明接入，不影響原有網(wǎng)絡(luò)的設(shè)計(jì)和配置；也可以路由模式接入，提供路由功能；還有獨(dú)創(chuàng)的綜合工作模式，即透明模式和路由模式同時(shí)工作，極大提高網(wǎng)絡(luò)應(yīng)用的靈活性。 網(wǎng)絡(luò)衛(wèi)士防火墻 4000 功能特點(diǎn) a. 專用安全操作系統(tǒng) 網(wǎng)絡(luò)衛(wèi)士 防火墻 4000采用的是專用安全操作系統(tǒng)，保證了防火墻自身的安全性：一般建立在通用操作系統(tǒng)之上的防火墻，它的安全性很大程度上依賴操作系統(tǒng)本身的安全性；而采用專用操作系統(tǒng)的防火墻，則極大提高了防火墻自身和所保護(hù)網(wǎng)絡(luò)的安全性。 防火墻對網(wǎng)絡(luò)邊界的保護(hù) 對于 XXX 網(wǎng)絡(luò)而言，外接網(wǎng)絡(luò)系統(tǒng)和內(nèi)網(wǎng)都是一個(gè)獨(dú)立的網(wǎng)絡(luò)安全區(qū)域， 科技 XXXX 產(chǎn)業(yè)立地 第 20 頁 因此在網(wǎng)絡(luò)邊界處配置天融信網(wǎng)絡(luò)衛(wèi)士防火墻 4000 系統(tǒng)，制定安全的訪問策略，不僅可以有效地保護(hù)內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)和數(shù)據(jù)安全，還可以防止各網(wǎng)絡(luò)之間有意無意地探測和攻擊行為。 。 SSN（安全服務(wù)器網(wǎng)絡(luò)）區(qū)是為適應(yīng)越來越多的用戶向 Inter 上提供服務(wù)時(shí)對服務(wù)器保護(hù)的需要，網(wǎng)絡(luò)衛(wèi)士防火墻 4000 采用特別的策略對用戶的公開服務(wù)器實(shí)施保 護(hù)，它利用獨(dú)立網(wǎng)絡(luò)接口連接公開服務(wù)器網(wǎng)絡(luò)，公開服務(wù)器網(wǎng)絡(luò)既是內(nèi)部網(wǎng)的一部份，又與內(nèi)部網(wǎng)物理隔離， 這就是安全服務(wù)器網(wǎng)絡(luò)（ SSN）技 術(shù)。 一臺(tái)保護(hù)辦公自動(dòng)化系統(tǒng)服務(wù)器 ,一臺(tái)保護(hù)案件管理服務(wù)器 ,一臺(tái)保護(hù)其他類型服務(wù)器 . 防火墻對服務(wù) 器群的保護(hù) 由于各種應(yīng)用服務(wù)器等公開服務(wù)器屬于對外提供公開服務(wù)的主機(jī)系統(tǒng)，因此對于這些公開服務(wù)器的保護(hù)也是十分必要的；具體可以利用天融信防火墻 4000千兆系統(tǒng)的安全服務(wù)器網(wǎng)絡(luò)（ SSN）的特性，將公開服務(wù)器連接在千兆防火墻的SSN 區(qū)上。 科技 XXXX 產(chǎn)業(yè)立地 第 18 頁 第二章 方案設(shè)計(jì)結(jié)構(gòu) 市 XXX 網(wǎng)絡(luò)安全設(shè)計(jì)圖 根據(jù)系統(tǒng)總體設(shè)計(jì)原則，我們提出如上圖所示的總體規(guī)劃， 對 XXX的網(wǎng)絡(luò)的安全設(shè)計(jì)分為：防火墻系統(tǒng) 、 入侵檢測系統(tǒng) 、網(wǎng)絡(luò)隔離系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng)、多應(yīng)用認(rèn)證系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)、磁盤存儲(chǔ)系統(tǒng)、服務(wù)器和 XXXX 專業(yè)網(wǎng)絡(luò)安全服務(wù) .以下分別對上圖中所列的安全產(chǎn)品部署情況進(jìn)行描述。 7. 完善的服務(wù)： 因其技術(shù)含量，良好的服務(wù)是客戶對安全服務(wù)提供商的基本要求。安全系統(tǒng)永遠(yuǎn)不可能一步到位，一勞永逸，不斷的發(fā)展至關(guān)重要。需要支持 SNMPv3,可以集成到原有的網(wǎng)絡(luò)管理系統(tǒng)中。 科技 XXXX 產(chǎn)業(yè)立地 第 17 頁 5. 易管理性： 良好的管理對于安全系統(tǒng)必不可少，管理良好的系統(tǒng)，運(yùn)行和信息安全更有保障，安全系統(tǒng)分布于網(wǎng) 絡(luò)的各個(gè)部分，設(shè)備應(yīng)具有安全的中心遠(yuǎn)程管理的能力。 4. 高可用性： 面向關(guān)鍵應(yīng)用，網(wǎng)絡(luò)安全設(shè)備必須具備高可靠性，尤其是作為網(wǎng)絡(luò)成員的防火墻等安全設(shè)備必須有高可靠性設(shè)計(jì)，考慮冗余電源，和熱插拔（ Hot Swap）等技術(shù)，高可靠性有成為物理安全性，可見其重要性。 3. 易用性： 據(jù)統(tǒng)計(jì)， 70％的系統(tǒng)由于配置不當(dāng)而導(dǎo) 致了系統(tǒng)安全問題，很多系統(tǒng)需要專門的專家設(shè)置，使用方法復(fù)雜，這確實(shí)導(dǎo)致了安全問題。整個(gè)解決方案應(yīng)該從多角度對當(dāng)前主要的網(wǎng)絡(luò)安全威脅和隱患進(jìn)行防范，保證市 XXX 網(wǎng)絡(luò)的安全性 . 2. 高性能： 高性能是為實(shí)現(xiàn)用戶輕松的訪問和加強(qiáng)用戶體驗(yàn)如果安全系統(tǒng)過多的損耗了系統(tǒng)的性能，這并不是一個(gè)成功的安全系統(tǒng)，過多的損耗經(jīng)常導(dǎo)致用戶部分放棄安全系統(tǒng)，或采取一些不安全的增加性能的措施。及一個(gè)安全性高并可行的網(wǎng)絡(luò)安全解決方案。如何有效的集成這些安全技術(shù)是一個(gè)復(fù)雜的系統(tǒng)工程，不同的安全技術(shù)與網(wǎng)絡(luò)，主機(jī)，應(yīng)用等整個(gè)市 XXX 系統(tǒng)密切相關(guān)。 目前存在的威脅 1. 網(wǎng)絡(luò)結(jié)構(gòu)方面 ? 不同重要級別網(wǎng)絡(luò)之間的網(wǎng)段隔離問題； ? 橫向網(wǎng)和縱向網(wǎng)之間的數(shù)據(jù)通信，沒有經(jīng)過數(shù) 據(jù)加密，暴露在公網(wǎng)上的數(shù)據(jù)傳輸，容易被黑客截獲、篡改、破壞； ? 各網(wǎng)段之間的訪問沒有有效的訪問控制管理 2. 網(wǎng)絡(luò)內(nèi)部威脅 ? 內(nèi)網(wǎng)用戶通過網(wǎng)絡(luò)發(fā)送和接收電子郵件時(shí)夾帶的病毒 ? 內(nèi)網(wǎng)用戶訪問 Inter 使用 Web 瀏覽可能存在惡意的Java/ActiveX 控件 ? 內(nèi)部用戶有意和無意的網(wǎng)絡(luò)攻擊行為、誤操作； 3. 網(wǎng)絡(luò)外部威脅 ? WEB 服務(wù)器自身沒有較強(qiáng)的保護(hù)機(jī)制，黑客能夠利用一些安全漏洞進(jìn)入服務(wù)器篡改數(shù)據(jù)； ? 沒有采用電子郵件過濾系統(tǒng)，使各種帶病毒或惡意軟件比較容易進(jìn)入網(wǎng)絡(luò)內(nèi)部 ? 在發(fā)生網(wǎng)絡(luò)入侵和攻擊行為的時(shí)候，缺乏有效的手段進(jìn)行 監(jiān)視，而不能采取進(jìn)一步的措施加以防范。 4. 上連到省 XXX 的鏈路已用信息產(chǎn)業(yè)研究院的加密機(jī)進(jìn)行數(shù)據(jù)加密。 3. 部署了 McaFee AVD 防病毒套件，在客戶端安裝桌面防病毒產(chǎn)品VirusScan；服務(wù)器端安裝 Netshield 和 GroupShield；部署防病毒系統(tǒng)網(wǎng)管 EPO。 科技 XXXX 產(chǎn)業(yè)立地 第 14 頁 2. 在連接 Inter 的局域網(wǎng)接口處，采用藍(lán)盾 防火墻進(jìn)行安全控制。 XXX 的網(wǎng)絡(luò)建設(shè)對訪問控制、用戶驗(yàn)證授權(quán)、實(shí)時(shí)和事后審計(jì)等安全內(nèi)容已有所考慮，但只實(shí)現(xiàn)了某些基本的安全控制功能，還存在一些問題。 網(wǎng)絡(luò)安全分析 在 XXX 網(wǎng)絡(luò)系統(tǒng)中，采用 TCP/IP作為網(wǎng)絡(luò)通訊協(xié)議，主要服務(wù)器為Windows 操作系統(tǒng)。 市、區(qū) XXX 與其它黨政機(jī)關(guān)之間通過黨政專網(wǎng)連接的文件交換系統(tǒng)。該系統(tǒng)有 2套，一套放置在 XXX 內(nèi)部網(wǎng)絡(luò)，用作 XXX 系統(tǒng)內(nèi)部發(fā)布信息用；一套放在 Inter 上，用于向社會(huì)公眾發(fā)布信息。 信息發(fā)布系統(tǒng)。 統(tǒng)計(jì)軟件。 案件管理系統(tǒng)。 科技 XXXX 產(chǎn)業(yè)立地 第 13 頁 系統(tǒng)應(yīng)用分析 目前市 XXX 服務(wù)器機(jī)房放置了 9 臺(tái)服務(wù)器，除一臺(tái)為 Windows NT 服務(wù)器外，其余的的都是 Windows 2020 系統(tǒng)。另一個(gè)子接口用于實(shí)現(xiàn)深圳市黨政機(jī)關(guān)專網(wǎng)上部分應(yīng)用的公共 MPLS VPN。 市 XXXS8016 和黨政機(jī)關(guān)專網(wǎng)的接入交換機(jī) 6509相連，鏈路為 Trunk模式。為提高網(wǎng)絡(luò)的高可靠性和可擴(kuò)展性，市 XXX 租用 SDH通道化 E3 線路，區(qū)XXX 租用 E1 線路，通過電信的 SDH 網(wǎng)絡(luò)建立備份的傳輸系統(tǒng)。在橫向方面，市 XXX 通過深圳黨政專網(wǎng)與其他黨政機(jī)關(guān)，如市法院，市政府，市委，市公安局等建立業(yè)務(wù)信息交流平臺(tái)。 XXX 網(wǎng)絡(luò)為橫縱結(jié)構(gòu)。市 XXX 現(xiàn)有網(wǎng)絡(luò)中的分支交換機(jī)則接入到 Quidway S8016 核心交換機(jī)上。項(xiàng)目要實(shí)施或改善的范圍包括： ? 實(shí)體安全性 ? 通信系統(tǒng)安全性 ? 服務(wù)器、數(shù)據(jù)庫、操作系統(tǒng)、應(yīng)用系統(tǒng)安全 ? 防病毒體系 ? 安全檢查掃描、測評、審計(jì)和監(jiān)控報(bào)警系統(tǒng)工具等 ? 信 息安全專業(yè)評估和保障服務(wù) ? 管理安全工具 項(xiàng)目宗旨和原則 ? 依據(jù)