【正文】 造的 URL、 FORM表單或 POST 信息，繞過數(shù)據(jù)庫的權(quán)限認證（ SQL 注入攻擊），或者是提交發(fā)布一些含有惡意腳本的內(nèi)容，當潛在受害者訪問了這些內(nèi)容后，將會泄露自己的私密信息（ XSS 攻擊）。正是由于這類攻擊所利用的并不是通用漏洞，而是每個頁面自己的缺陷，所以變種和變形攻擊數(shù)量非常多，如果還是以普通的特征匹配方面進行檢測，漏報和誤報率將會極高。天清入侵防御系統(tǒng)采用 VXID 專利技術(shù)，采用攻擊手法分析而非攻擊代碼特征分析的方法，可以準確而全面的檢測和防御此類 Web 攻擊行為。 VXID 技術(shù)介紹： VXID 技術(shù)是啟明星辰公司獨創(chuàng)的 Web 業(yè)務威脅檢測算法，該算法分為兩個個階段，第一階段是行為提取階段，分析和提取 Web 攻擊的行為特征而非數(shù)據(jù)特征，建立 Web 擊行為特征庫；第二階段是實時分析網(wǎng)絡數(shù)據(jù)，在入侵防御設備內(nèi)部構(gòu)建“輕型虛擬機”，模擬攻擊行為以觀察其行為特征，正確判斷攻擊行為的發(fā)生。這種基于原理的檢測方式避免了對固化特征 的匹配造成的高漏報率，也避免了由于檢測規(guī)則過于嚴苛造成的誤報。其工作流程圖如下： 中國農(nóng)業(yè)科學院圖書館項目專用設備（網(wǎng)絡安全設備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 15 啟明星辰天清入侵防御系統(tǒng)的穩(wěn)定性 天清入侵防御系統(tǒng) 采用 安全、可靠的硬件平臺 ，全內(nèi)置封閉式結(jié)構(gòu)，配置完全自主知識產(chǎn)權(quán)的專用系統(tǒng)， 經(jīng)過優(yōu)化和安全性處理 ，穩(wěn)定可靠， 確保了整個 系統(tǒng)的安全性和 穩(wěn)定 性。 天清入侵防御系統(tǒng) 支持熱插拔的冗余雙電源，避免電源硬件故障時設備宕機，提高設備可用性 。 天清入侵防御產(chǎn)品提供軟、硬雙 BYPASS 功能，保障鏈路在各種情況下的通暢。 軟 BYPASS： 在入侵防御引擎關(guān)鍵進程出現(xiàn)異?；蛐枰匦聠樱ㄈ畿浖?，重置策略等）的情況下，確保鏈路通訊正常。 硬 BYPASS： 在入侵防御引擎出現(xiàn)硬件故障或掉電的情況下，確保鏈路通訊正常。 啟明星辰天清入侵防御系統(tǒng)的可擴展性 本次投標的天清入侵防御系統(tǒng) NDP1000 默認提供 4 個電口及 4個 SFP 插槽，該插槽可連接電口、單模光纖接口、多模光纖接口，方便將來網(wǎng)絡的擴容及升級。 中國農(nóng)業(yè)科學院圖書館項目專用設備（網(wǎng)絡安全設備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 16 啟明星辰天清入侵防御系統(tǒng)的可管理性及節(jié)能性 天清入侵防御系統(tǒng)支持靈活的 Web 管理方式，適合在任何 IP 可達地點遠程管理，支持 MS IE、 Netscape、 Firefox、 Opera 等主路的瀏覽器，真正意義上 實現(xiàn)了跨平臺管理。 天清入侵防御系統(tǒng)支持豐富的多級管理方式：單級管理、多級管理、主輔管理，滿足不同企業(yè)不同管理模式需要。 天清入侵防御系統(tǒng)支持多種升級方式，包括實時在線升級、自動在線升級、離線升級，為用戶提供最前沿的安全保障。 中國農(nóng)業(yè)科學院圖書館項目專用設備（網(wǎng)絡安全設備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 17 第 3章 系統(tǒng)集成方案 網(wǎng)絡 安全系統(tǒng)設計方案 網(wǎng)絡 安全系統(tǒng)設計方案的定位 《 網(wǎng)絡 安全系統(tǒng)設計方案》是為中國農(nóng)業(yè)科學院圖書館項目提供的防火墻與入侵防御系統(tǒng)的部署與策略設計思路。是在總體安全保障體系設計與總體安全策略的指引下，結(jié)合原有網(wǎng)絡環(huán)境及業(yè)務安全需求，設計防火墻與入侵防御系統(tǒng)部署、策略 及防火墻與入侵防御系統(tǒng)和中國農(nóng)業(yè)科學院原有網(wǎng)絡基礎(chǔ)平臺相結(jié)合等內(nèi)容而編制的安全系統(tǒng)設計方案，用于為中國農(nóng)業(yè)科學院圖書館項目的本次防火墻與入侵防御系統(tǒng)安全建設與開發(fā)提供參考與幫助。 我們將在中標后，對用戶環(huán)境進行充分、詳實的調(diào)研、風險分析、業(yè)務需求分析、安全需求分析后，再為用戶設計更為合理、可落實為具體操作的設計方案。 需求分析 邊界防護的需求 中國農(nóng)業(yè)科學院網(wǎng)絡需要通過部署邊界防護設備，實現(xiàn)其與互聯(lián)網(wǎng)之間的安全隔離，并通過該設備上細化的訪問控制策略，阻斷惡意攻擊及非法訪問，保障中國農(nóng)業(yè)科學院內(nèi)網(wǎng)到互聯(lián)網(wǎng)的正常 訪問。 邏輯隔離的需求 中國農(nóng)業(yè)科學院網(wǎng)絡內(nèi)部由不同的區(qū)域組成，每個區(qū)域?qū)崿F(xiàn)不同的應用功能，屬于不同的安全等級，因此各區(qū)域之間需要通過部署邊界防護產(chǎn)品進行邏輯隔離，通過部署網(wǎng)關(guān)級設備及策略配置，實現(xiàn)安全域間的邊界防護和訪問控制手段。 中國農(nóng)業(yè)科學院圖書館項目專用設備（網(wǎng)絡安全設備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 18 訪問控制的需求 中國農(nóng)業(yè)科學院網(wǎng)絡的各區(qū)域之間以及各區(qū)域和互聯(lián)網(wǎng)之間具有不同的訪問控制關(guān)系，因此新部署的邊界防護設備應能根據(jù)會話狀態(tài)信息，為數(shù)據(jù)流提供明確的允許 /拒絕訪問的能力；并對進出網(wǎng)絡的信息內(nèi)容進行過濾，實現(xiàn)對應用層 HTTP、 FTP、 TELNET、 SMTP、 POP3 等協(xié)議 命令級的控制；能夠依據(jù)安全策略允許或者拒絕數(shù)據(jù)流的流入流出；能夠在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡連接；能夠限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)。 入侵防御的需求 在邊界防護的基礎(chǔ)上，對經(jīng)過邊界防護設備訪問控制策略的數(shù)據(jù)，進行深入的入侵檢測、分析， 自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷， 保證整個網(wǎng)絡 的安全性。 網(wǎng)絡安全系統(tǒng) 設計方案 一 根據(jù)中國農(nóng)業(yè)科學院現(xiàn)有的網(wǎng)絡架構(gòu)，結(jié)合本次項目的需求，在第一種方案中將新增 加的一臺 IPS 部署在兩臺外聯(lián) Inter 的路由器 之后，防護 中國農(nóng)業(yè)科學院 新圖書 館應用 信息系統(tǒng)和網(wǎng)絡架構(gòu)免受 Inter 惡意流量的 侵害 ；將新增加的 兩臺防火墻采用冗余方式部署在 新增加的 IPS 和核心交換機之間，作為外網(wǎng)和內(nèi)網(wǎng)的安全域邊界，部署示意圖如下圖所示： 中國農(nóng)業(yè)科學院圖書館項目專用設備（網(wǎng)絡安全設備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 19 圖示： 31 網(wǎng)絡安全系統(tǒng)設計 方案 1 示意圖 IPS 部署方式說明 針對 網(wǎng)絡出口采用多鏈路連接方式，連接到兩個或更多 ISP 服務商 的方式，建議將 新增加的一臺 IPS 放置 在兩臺外聯(lián) Inter 的路由器之后 ，采用 多鏈路防護 的 部署 方式。 多路部署 ，即選擇兩對接口配置為 Direct 接口，同時配置管理接口 IP 地址 ，部署示意圖如下圖所示： 中國農(nóng)業(yè)科學院圖書館項目專用設備（網(wǎng)絡安全設備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 20 圖示： 32IPS 部署方案一示意圖 如圖所示， eth0 和 eth2 連接外網(wǎng)， eth1 和 eth3 連接內(nèi)網(wǎng)， eth3 同時作為管理口。其中 eth0 和 eth1 選擇 DirectA 安全區(qū)， eth2 和 eth3 選擇 DirectB 安全區(qū)。新增 IPS 部署為雙路防護。 IPS具備硬件 BYPASS功能，當發(fā)生故障時可以不影響用戶網(wǎng)絡的正常運行。 IPS 部署策略建議 根據(jù) 中國農(nóng)業(yè)科學院新圖書館 互聯(lián)網(wǎng)接入 的主要功能和應用，建議對此處部署的入侵防御系統(tǒng)設置策略如下： 1. 防御網(wǎng)絡蠕蟲、木馬、黑客攻擊，防止網(wǎng)絡病毒等惡意流量的傳播，保護用戶網(wǎng)絡資源； 2. 根據(jù)中 國農(nóng)業(yè)科學院新圖書館 的應用需求設置流量管理策略； 3. 對網(wǎng)絡中的主機系統(tǒng)漏洞進行防護； 4. 配置 IM/P2P 策略，對 IM/P2P 事件進行檢測 /阻斷，包括全部阻斷迅雷、 中國農(nóng)業(yè)科學院圖書館項目專用設備（網(wǎng)絡安全設備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 21 BT 下載和電驢（任意時間段），在線視頻和網(wǎng)絡游戲（上班時間段）， 控制敏感應用對網(wǎng)絡帶寬的濫用； 5. 對關(guān)鍵業(yè)務服務及其設備提供安全防御，降低各種惡意行為構(gòu) 成的威脅； 6. 配置合理高效的防護策略，降低有害流量對網(wǎng)絡構(gòu)成的威脅。 防火墻部署方式說明 新增加的 兩臺防火墻采用冗余方式部署在 新增加的 IPS 和核心交換機之間 ，作為外網(wǎng)和內(nèi)網(wǎng)的安全域邊界 ，實現(xiàn) 中國農(nóng)業(yè)科學院新圖書館 內(nèi)外網(wǎng)之間的邊界防護隔離及訪問控制的需求。 兩臺防火墻采用 NAT 模式部署，互為備份，通過防火墻對來自互聯(lián)網(wǎng)常見攻擊進行 檢測和阻斷，保護內(nèi)部網(wǎng)絡系統(tǒng)穩(wěn)定運行。 NAT 模式部署的優(yōu)勢 防火墻以 NAT 模式部署，需要根據(jù)用戶的業(yè)務需求，結(jié)合實際的網(wǎng)絡環(huán)境，將防火墻部署于內(nèi)外網(wǎng)安全區(qū)域之間，配合最終用戶內(nèi)外網(wǎng)的 IP 地址方案，針對應用系統(tǒng)的需求梳理制定 NAT 策略、訪問控制策略和路由策略，滿足內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)細粒度控制要求。 防火墻 NAT 模式部署方案的最大特點是可以隱藏內(nèi)網(wǎng) IP 地址和網(wǎng)絡結(jié)構(gòu)，結(jié)合現(xiàn)有應用的訪問控制策略，一旦安全規(guī)則生效，外部人員幾乎無法通過網(wǎng)絡層面入侵內(nèi)部網(wǎng)絡。 NAT 模式部署的劣勢 由于 NAT 模式部署的復雜性，需要對原有的 IP 地址進行重新規(guī)劃，并涉及到對現(xiàn)有的相關(guān)訪問控制策略、應用策略的變更，在實施過程中，有可能會對業(yè)務系統(tǒng)造成影響。且后期維護也需要投入更多的精力處理由此引起的策略變更等工作。 中國農(nóng)業(yè)科學院圖書館項目專用設備（網(wǎng)絡安全設備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 22 防 火墻 部署策略建議 根據(jù) 中國農(nóng)業(yè)科學院新圖書館 互聯(lián)網(wǎng)接入 的主要功能和應用 ，建議對互聯(lián)網(wǎng)訪問防火墻設置策略如下： 1. 實現(xiàn)訪問控制 通過在防火墻上配置安全訪問控制策略過濾訪問行為，實現(xiàn)基于協(xié)議、源 /目的 IP 地址、端口的訪問控制，對來自互連網(wǎng)的訪問進行認證檢查及內(nèi)容過濾，有選擇的接入； 2. 地址轉(zhuǎn)換 根據(jù)用戶的實際需求進行包括 源網(wǎng)絡地址 、 目的網(wǎng)絡地址 、 雙向地址 、 端口映射 、 動態(tài)地址 、靜態(tài)地址以及 多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換方式，確保內(nèi)部網(wǎng)絡的地址對外部用戶是不可見的； 3. 上網(wǎng)管理 對于內(nèi)部上網(wǎng)進行內(nèi)容及流量控制 ，拒絕內(nèi)網(wǎng)用戶對色情、非法、惡意網(wǎng)頁的訪問，對于連接 ISP 的網(wǎng)絡設備進行單一地址的最大流量控制，監(jiān)視常規(guī)流量，對于優(yōu)先級高的應用優(yōu)先保證帶寬； 4. 帶寬管理 啟用帶寬管理功能，如當某一地址或某地址段對外連接數(shù)超過一定數(shù)量或流量超過一個設定的閥值時，實現(xiàn)阻斷或流量限制的功能； 5. 身份認證 在防火墻上開啟用戶身份認證功能，利用防火墻自帶數(shù)據(jù)庫或通過 Radius及 SecureID 和 LDAP 用戶認證功能； 6. IPSecVPN 功能 支持 IPSec VPN 功能擴展，可在需要的時候擴展實現(xiàn) IPSec VPN 功能； 7. 應用代理 可 通過防火墻實現(xiàn) WWW、 FTP 等應用代理； 8. 應用限制 嚴格限制 BT、電驢、 、 MSN 等應用； 中國農(nóng)業(yè)科學院圖書館項目專用設備（網(wǎng)絡安全設備、工作站、計算機終端）采購 項目（第 3 包） －投標書 中國電信集團系統(tǒng)集成有限責任公司 23 9. 內(nèi)容過濾 通過防火墻的 HTTP、 FTP、 SMTP、 POP3 等協(xié)議的內(nèi)容過濾功能，保護終端用戶合法有效地使用各種網(wǎng)絡資源； 10. 抗攻擊 在防火墻上開啟自動抗攻擊功能，利用防火墻本身的防御功能防止 DoS、端口掃描等攻擊，確保網(wǎng)絡不被外部黑客攻破； 11. 抗蠕蟲 通過防火墻的蠕蟲過濾等功能保證數(shù)據(jù)庫及服務器不受來自互聯(lián)網(wǎng)的蠕蟲及網(wǎng)絡病毒侵害，保障數(shù)據(jù)庫系統(tǒng)正常、高效運行； 12. 實現(xiàn)多種手段報警 防火墻發(fā)現(xiàn)攻擊、非法入侵、未授權(quán)訪問等違 反安全規(guī)則的行為，立即以多種手段（告警、日志、 SNMP 陷阱等）實現(xiàn)違規(guī)行為的告警，并記錄日志，以便查詢。 13. 日志管理 在防火墻上開啟日志記錄功能（建議安裝單獨的日志服務器），利用防火墻的日志功能記錄完整日志和統(tǒng)計報表等資料，尤其是流量日志、訪