网络工程师技术文档编写通用内容笔记.docx
《网络工程师技术文档编写通用内容笔记.docx》由会员分享,可在线阅读,更多相关《网络工程师技术文档编写通用内容笔记.docx(25页珍藏版)》请在冰豆网上搜索。
网络工程师技术文档编写通用内容笔记
第1章网络安全防护系统部分的
防火墙
在财政部、省市、地市财政业务专网、外网和涉密网的边界出入口处和网络内部不同安全域之间布置防火墙设备。
由于网络采用线路和路由器的冗余设计,在防火墙配置上也相应地采用冗余设计。
防火墙应满足以下功能性要求:
1.支持路由模式、透明模式、多模式自适应工作模式。
2.状态检测和智能动态过滤。
防火墙采用主动式状态过滤技术,在链路层就开始对数据包进行分流,提高了网络处理能力。
可以对流经的数据包进行基于IP地址、端口、用户、时间等的动态过滤,且其过滤基于状态检测技术。
同时,防火墙支持H.323.FTP、TNS等动态协议,FTP端口可配置,对网络和各种应用的通信状态动态存储、更新到动态状态表中,结合定义好的策略,动态生成规则,从而保证网络的高度安全和数据完整,同时具有很好的网络处理性能。
3.透明网关式应用代理。
防火墙提供透明的代理服务,使受控网络中的用户感觉不到代理的存在。
这样,不必改变客户端配置,就能在授权范围内与外网通信,减少了网络管理员的工作量。
同时,可透明地级联原代理,支持常用的HTTP、STMP、FTP、telnet、POP3、Socksv5代理,支持HTTP协议的JavaScript、ActiveX控件过滤功能和FTP协议的下载线程控制功能。
防火墙还可以提供通用透明代理以针对用户自定义服务提供服务。
4.协议层用户认证系统。
防火墙的协议层用户认证系统解决了在应用代理一级做认证存在的这样三个问题:
只能为有限的服务提供认证功能、包处理的效率低和计费(流量或时间)的局限性。
它采用在链路层和网际协议层(InternetProtocol,简称IP层)的用户认证技术,可以为任何网络协议、服务提供认证功能,变为与应用服务无关的用户认证,大大提高了处理效率。
尤其在做计费时,可以精确地统计出某用户发出/接收到的每一个IP包以及用户使用网络的总时间。
目前,防火墙具有多个认证方案,支持PAP和高安全强度的一次性口令(S/Key)认证协议,支持标准的RADIUS、数字证书等,支持软件方式与IKEY等硬件方式认证,支持用户和组管理。
5.链路层URL智能过滤。
防火墙可以根据用户需要在链路层进行应用层协议分析和过滤,提供和应用代理同等的保护能力,如URL过滤(红色代码,蓝色代码过滤等),用户不需要使用HTTP代理就可以实现对URL的访问控制和防范针对Web服务器的攻击,管理员可以根据某一时间段的实际需要设定相应时间段内的URL过滤规则集,实现灵活的URL过滤时间控制。
智能访问控制采用关键字技术,在防火墙内部预设入侵检测攻击库、反动库、色情库、用户自定义库,定义对URL的过滤条件。
6.IP地址与MAC地址绑定(含自学习功能)。
为了防止IP地址盗用,将IP与MAC地址绑定是比较实用的网络安全防范措施,保护用户局域网或DMZ区中主机的IP地址不被盗用。
防火墙能够对指定接口所连接的网络中主机的IP和MAC地址进行绑定,防止IP盗用,并对非法IP地址的访问进行详细记录,以便防火墙管理员查看。
7.双向NAT地址转换。
防火墙在纯路由模式、多模式自适应工作模式下提供了双向地址转换(NAT)功能,能够有效地屏蔽整个子网的内部结构,使得黑客无从发现子网存在的缺陷,同时可使企业通过共享IP地址的方法解决IP地址资源不足的问题。
做到在复杂的网络环境中进行灵活设置而不降低对安全性的需求。
防火墙正向支持静态NAT和动态NAT,反向NAT支持PAT(端口映射)和IP映射,端口映射方式支持双向NAT。
8.VLAN支持。
防火墙完全支持工业标准的802.1Q封装协议、VTP、Cisco专有的Trunk封装协议ISL,能对这三种协议的包进行动态包过滤处理。
在使用802.1Q协议时,防火墙还可以在IP层对VLAN间的数据包进行NAT,也可以使用代理实现VLAN间的数据包转发,具有更高的安全性。
在实际网络环境中,一个交换机上设置多个VLAN,防火墙支持VTP协议,能识别不同的VLAN标识,并支持不同VLAN间的通信。
防火墙支持通过Trunk口传输的Trunk协议的访问控制,并支持Trunk包的NAT和应用代理。
防火墙在链路层接收到Trunk包时,首先解Trunk封装,记录相关信息,如VLAN号等,然后根据用户安全策略判断该包是拒绝、转发、NAT或应用代理。
经过NAT和代理后数据包进入链路层,防火墙再根据记录的Trunk信息,将IP包重新封装为Trunk包,然后再从网口发送出去。
9.互动式实时入侵检测。
防火墙可在透明方式下实时检测出多类、多种攻击行为,能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP欺骗攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻击等。
防火墙根据入侵检测结果能自动地调整防火墙的安全策略,及时阻断入侵的网络联接,并报告管理员;当检测到攻击行为时除可通过报警灯告警外,还可生成日志信息;对重大的攻击行为,可通过邮件的方式向管理员告警。
防火墙提供灵活的监测策略设置功能,支持用户自定义监测规则,支持规则库的手动升级。
10.与IDS设备联动。
以防火墙为中心,实现防火墙与IDS设备的联动机制,当IDS发现有非法入侵时,启动防火墙的禁止规则,实时阻断入侵行为。
但由于防火墙与IDS的联动技术还不十分成熟,在实际应用时酌情而定。
11.邮件动态过滤(包括SMTP发件、POP3收件过滤)。
防火墙可对收发信人的地址、邮件主题、邮件内容、邮件附件名及附件内容进行过滤。
对邮件内容除提供关键字匹配外,还提供基于文本格式的中文内容智能过滤。
支持过滤规则的时间域设定、一致性检查、快速备份和恢复。
防火墙支持过滤规则的时间域设定。
防火墙管理员在定义好一条规则后,能够指定这条规则的启动、生效、关闭的时间。
防火墙支持过滤规则的一致性检查。
系统自动对防火墙管理员定义的安全规则进行检测,对矛盾或重复的安全规则给出提示。
这些功能都给防火墙管理员的工作带来了的极大的便利,提供了很好的安全保证。
12.支持基于网络服务的负载均衡。
防火墙实现了高效的负载均衡算法,通过反向NAT功能,防火墙可以为用户的服务器有效地均衡网络服务流量。
13.支持OSPF、RIP、RIPII路由协议。
14.支持NetBEUI/NetBIOS、NWLinkIPX/SPX/NetBIOS等所有非IP协议转发通过。
15.防攻击。
增强的防SynFlooding、ICMPFlooding、Smurf、Land等多种类型的攻击,以保证防火墙及所保护网络的安全。
16.VPN安全隧道模块。
防火墙集成的VPN功能使您可以构建基于IPSec的隧道。
在网络上组建的VPN具有同本地私有网络一样的安全性、可靠性和可管理性等特点,同时大大降低了建设远程私有网络的费用。
防火墙集成的VPN支持网关-网关的加密通信、网关-客户端的加密通信、网关-经过NAT设备的加密通信以及动态域名解析DDNS方式下动态IP地址的VPN网关的加密通信。
17.支持电子钥匙双因子、CA证书等方式的管理员认证。
防火墙可通过电子钥匙认证方式(电子钥匙双因子认证)和CA证书认证方式对防火墙管理员的身份进行认证,同时支持CA证书的本地认证和远程认证。
18.远程安全管理。
采用远程PPP拨号和SSH进行防火墙的安全管理和维护,保证网络上传送的管理信息被加密,而不被内部或外部用户嗅探或攻击。
19.集中安全管理。
防火墙支持集中式安全管理系统,能以统一的策略和集成的平台对受控网络进行安全配置和管理。
安全管理员可以对全局网络中的防火墙完成集中统一的配置、管理和系统监视,该系统对于拥有多台安全设备的大型企业网络的安全管理尤为重要。
它一方面提高了网络安全规则的一致性,从而提高了网络的安全性。
另一方面,集中式安全管理系统具有设备自动发现功能,支持对安全设备运行状态实施监控,支持实时安全事件报警和安全事件日志管理审计。
这些功能为防火墙管理员提供方便的配置和诊断工具,使防火墙管理员可以将更多的精力放在更高级的安全管理工作上。
20.日志管理。
防火墙提供防火墙日志管理,记录日志的功能,具有实时监控、报警和自动备份功能。
同时,日志服务器管理员与防火墙管理员实行分权管理,可为管理员提供丰富完整的日志信息,允许管理员设定查询规则,以可理解的格式输出查询结果,并保存为HTML、MSExcel、txt等格式的日志文件,具有日志存储溢出报警和补救功能。
21.支持系统升级服务。
防火墙管理员只要连接到厂商服务器上,下载最新安全系统升级包,加载到本地的防火墙上,即可完成对防火墙系统的升级工作。
22.快速备份与恢复。
防火墙支持过滤规则的快速备份和恢复。
防火墙管理员可以把配置的各项数据从防火墙导出,在本地做备份;一旦发现当前的配置策略不合适则可以把以前的配置信息导入到防火墙,恢复到以前的状态;也可以把一台防火墙的配置数据导入到另一台防火墙中。
23.支持图形界面和命令行安全管理方式。
支持Web或GUI界面管理方式,同时提供CLI方式下的命令集。
管理员认证通过后可以远程访问配置Web管理界面并操作相关文件。
采用SSL加密信道对配置信息进行加密处理,保证数据的安全性和完整性。
24.支持地址分组功能。
25.支持IP地址分组。
26.二维带宽管理(QoS)。
防火墙可以通过设置优先级和流量的方式,对主机的带宽和规则享受的带宽进行保证。
防火墙的带宽管理有两个安全作用:
一是可以有效遏制DoS和DDoS的攻击;二是能够高效合理地分配网络带宽,有效地支持需要特殊带宽的网络服务。
27.支持双机热备。
对于需要网络可靠性高的财政业务,防火墙支持双机热备份功能,从防火墙实时检测主防火墙的工作状态,一旦发现主防火墙死机、系统崩溃,从防火墙将立即取代主防火墙进行工作,同时从防火墙会及时向管理员发送报警信息,通知管理员对发现故障的防火墙及时进行维修。
28.快速灾难恢复。
当防火墙发生各种原因造成的不可用、口令忘记、证书不可用或过期、防火墙IP地址遗失等现象时,将导致防火墙不能正常使用。
防火墙具备初始化状态恢复功能,管理员只要初始化主机,并将事前保存的系统配置文件导入防火墙,防火墙就能恢复正常的工作状态。
29.集群负载均衡。
基于防火墙的底层透明状态检测技术,可以使多个防火墙共用IP地址与过滤规则,各防火墙会根据系统的负载均衡算法来处理流经防火墙的数据包,同时系统自带故障探测功能,可以探知故障机、并将该机从集群节点群组中删除、同时将该机的流量均分至其它的防火墙上。
这样将可以成倍提高防火墙的流量性能、强化防火墙功能的可靠程度以及网关与网络的可用性,保证关键业务的实施。
入侵检测
入侵检测系统是全国财政业务专网上将要建立的网络安全监控和管理中心的子系统。
入侵检测系统基于网络和系统的实时安全监控,运行于敏感数据需要保护的网络上,对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志,可弥补防火墙的不足。
本项目工程中,拟在财政业务专网上统一部署和实施网络入侵检测系统,建立起中央、省市、地市三级网络入侵检测系统,形成集中监控、分级管理、上下畅通的网络入侵监测系统。
在财政部涉密网和外网上,在广域网边界处和安全域的边界处,需要部署网络入侵检测系统。
对于各网络的关键服务器,将部署主机入侵监测系统,监测和保护重要数据和应用。
基于网络的关联型入侵检测系统。
采用最先进的细粒度检测技术进行实时多重入侵探测,具有低误报率、低漏报率的特点,能够与防火墙联动,能够与主机入侵检测系统协同,从多方位实现了对入侵事件的主动响应。
系统具有高度灵活的体系架构,可广泛适用于各种规模的网络环境。
产品特点包括:
1.安全关联。
与主机入侵检测系统相关联,分析安全事件,提高入侵检测准确度;与防火墙相关联,实现主动访问保护;与防病毒系统相关联,动态更新入侵检测特征库。
2.深度检测。
综合应用特征匹配、协议分析、异常行为探测等技术,实现了对入侵行为的细粒度检测与准确判断,有效地解决了一
升级会员 