接入政务网方案.docx
《接入政务网方案.docx》由会员分享,可在线阅读,更多相关《接入政务网方案.docx(7页珍藏版)》请在冰豆网上搜索。
接入政务网方案
接入政务网方案
北京启明星辰信息安全技术有限公司
2016年4月
一、需求分析
1.1安全接入需求
接入政务网需要有相应的安全边界防护措施,要求在接入边界具备访问控制和入侵防护措施。
1.2访问控制需求
1.2.1非法用户非法访问
非法用户(黑客或商业间谍)对网络的非法访问将给网络带来巨大的安全风险。
例如:
窃取邮政局内部资料、商业秘密、非法删除重要的资料、篡改公司的主页……。
然后非法用户还会把木马等程序拷到邮政局内的主机、服务器上,为下一次入侵打开一扇便利之门。
同时黑客还会把已入侵过的主机作为跳板,通过它入侵其他地方的主机(例如:
政府、银行、证券等)。
所以,必须要采取一定的访问控制手段,防范来自非法用户的非法访问。
1.2.2合法用户非授权访问
合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。
一般来说,每个成员的主机系统中,有一部份信息对外开放,而有些信息是要求保密的,它的公开范围是有限的。
外部用户被允许正常访问的一定的信息,如他同时通过一些手段越权访问了网络上不允许他访问的信息,因此而造成他人的信息泄漏。
所以,必须加强访问控制的机制,对服务及访问权限需要进行严格控制。
1.3入侵防御需求
网络安全是整体的,动态的,不是单一产品能够完全实现。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。
它可以对所有的访问进行严格控制(允许、禁止、报警),但防火墙不可能完全防止来自内部网络的攻击和那些绕过防火墙带来的攻击乃至被允许通过防火墙正常访问带来的攻击以及一些新的攻击手段。
所以,确保网络安全还必须采用入侵防御功能,对所有进出内部网络的访问行为进行检查并做相应反应(记录、报警、阻断)。
二、详细设计方案
2.1设计拓扑
2.2实现功能
为满足上述需求,建议部署一体化安全网关,天清汉马USG一体化安全网关可以部署在Internet和内部网络之间,执行网络访问控制功能,防止外部用户对内网核心资源的非法访问,同时,也可以阻挡来自Internet的病毒、蠕虫、木马、间谍软件、恶意软件。
天清汉马USG一体化安全网关的病毒过滤针对标准协议,与应用无关。
无论用户使用何种Email服务器和客户端,只要使用的是标准的SMTP、POP3协议,天清汉马USG一体化安全网关都可以对电子邮件中的病毒进行过滤,防止病毒通过邮件传播。
天清汉马USG一体化安全网关还支持HTTP协议和FTP协议,对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。
开启入侵防御功能主要目的是防御来自于外网针对内网的攻击,对利用七层的黑客攻击手法或是利用合法掩护非法的网络行为进行有效防护。
通过IPS的保护,对所有进出的封包均进行详细的七层进行分析,黑客利用合法方式进行非法存取的攻击将无所遁形。
2.3天清汉马一体化安全网关介绍
2.3.1细粒度的高性能网络访问控制
在天清汉马USG下一代防火墙中,通过深度防护规则实现网络访问控制,深度防护规则包含源地址、目的地址、源端口、源MAC、流入网口、流出网口、访问控制、时间调度、服务、是否为长连接、深度防护策略等多个控制子选项,对于不符合规则的访问,系统可以拦截并发出日志告警。
●支持基于物理接口、源IP地址、目的IP地址、MAC地址、域名、端口或协议、时间、用户的访问控制。
●支持状态检测功能,支持连接状态非优先匹配和连接状态优先匹配两种状态检测模式;不仅支持基于源IP地址、目的IP地址、MAC地址、域名、端口或协议、时间、用户的访问控制,还支持基于的访问控制。
●支持基于策略的HTTP、FTP、TELNET、SMTP、POP3、SOCKS、DNS、ICMP等协议的透明代理,支持自定义端口的透明代理功能,支持基于透明代理的深度内容过滤;支持FTP多线程透明代理控制。
●支持透明DNS代理服务,支持DNS二级服务器的透明代理;
●支持IP/MAC地址绑定,支持IP/MAC地址对的自动探测和唯一性检查;支持IP/MAC的批量绑定。
●支持基于客户端的本地认证、远程Web认证,以及Radius等第三方认证;支持基于USBKEY的证书方式认证。
●可以根据IP、协议、网络接口、时间定义、端口、P2P应用的带宽分配策略;支持最小保证带宽和最大限制带宽;支持多种带宽定义,包括最小保证带宽和最大限制带宽;支持分层带宽控制,可分4层进行控制,保证细粒度管理水平;支持带宽优先级管理,可为不同用户、应用、策略分配不同的优先级。
2.3.2性能和功能完美匹配的病毒防御
天清汉马USG下一代防火墙的病毒检测引擎针对非缓存流检测模式进行了全面结构调整和优化,使安全网关的病毒检测率和处理性能获得质的突破:
在保持高病毒检测率的同时,系统性能下降不超过20%。
●可以在HTTP,SMTP,FTP,POP3,IMAP等多种协议下病毒防御,支持自定义非标准端口的HTTP,SMTP,FTP,POP3,IMAP协议中的病毒检测。
●支持路由、透明、混合等各种工作模式下的网络病毒检测,支持无IP地址的透明桥下的网络病毒检测模式,支持VPN模式下的病毒扫描。
●采用自有知识产权的病毒防御引擎(包括病毒检测引擎和病毒分析引擎),采用国内知名病毒厂商特征库,可检测不少于20万种病毒,支持根据用户需求自定义病毒特征。
●可以根据不同的源IP地址、目的IP地址、服务、时间、接口、用户等,采用不同的病毒防御策略。
●可以过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒
●可以对当前主流的蠕虫做检测与阻断,例如:
RedCode、Slammer、sober等。
●内置病毒库,支持病毒库本地升级,病毒库可实时在线升级。
●支持基于病毒防护策略设置阻断、清除、记录日志,发送电子邮件报警等,基于关联安全标准(CorrelativeSecureCriterion),可以和其他安全设备和系统联合响应。
2.3.3精准高效的入侵防御
启明星辰公司拥有一支高水平的产品研发和攻防团队,公司设有专门的攻防实验室、安全技术实验室,以及专业信息安全服务团队,每日阅读各类网络安全新闻、搜集新发布的攻击程序,分析系统与应用的漏洞,仿真、分析、发掘攻击的特定行为,寻找新的攻击特征,并反映到攻击特征库中,保证了攻击特征的及时更新。
天清汉马USG下一代防火墙系列产品经过多年的研发和持续的改进,在蠕虫、后门、木马、间谍软件、Web攻击、拒绝服务等攻击的防御方面具备了完善的检测、阻断、限流、审计报警等防御手段,完全满足用户的各种应用需要。
●可以检测和阻断RedCode、Slammer、sober,Zotob、nimda等多种国内外流行的蠕虫病毒,并可通过会话数管理防御未知蠕虫病毒的攻击。
●可检测和阻断Sub7、netbus、bandook、Doly、GateCrasher等多达200多种国内外主流的后门程序。
●可以检测和阻断灰鸽子、Storm、Duntek等多达200多种国内外主流的木马。
●可以检测和阻断IECodec、Spybuddy等多达400多种国内外主流的间谍软件。
●可以检测和阻断CGI、Unicode等间谍软件,而且还包括多达200多种Web攻击。
●不但可以检测和阻断ARP攻击、UDPFlooding、SynFlooding等网络层拒绝服务攻击,而且还可以处理CC,DNSQueryFlooding等多种应用拒绝服务攻击。
●可检测可抵御的DDoS攻击多达100多种。
●对所有的攻击行为不但可以检测和阻断,同时支持审计、报警、限值带宽等防御手段。
2.3.4完善的应用控制
天清汉马USG下一代防火墙不仅具有网络入侵防御和网络病毒防御功能,同时还具有丰富的应用监控功能。
可以根据不同的时间、群组,来对即时聊天软件、网游、P2P软件等下达严格的管理策略。
天清汉马USG下一代防火墙对应用的识别基于应用行为和数据特征,而不是基于端口号,有效地提升了应用的识别率,避免了误判。
尤其对P2P应用中的加密传输,天清汉马USG下一代防火墙基于应用行为识别与主动探测相结合的方式,有效地克服了加密后无法识别的业内难题。
通过精确的识别,天清汉马USG下一代防火墙对IM软件实现了细粒度的控制,不但可以控制登陆,而且对文字聊天,文件传输,音频、视频都可以实现分类控制。
●能够基于软件行为、数据内容,而不是基于协议端口号,来识别常见的P2P和IM软件应用。
●可识别、控制BT、Edonkey等常见P2P下载软件。
●可识别、控制PPlive等常见P2P视频软件。
●不但可识别、控制而且可限流、可控制会话数、可限值带宽、可审计。
●内建检测加密P2P的模块,可以阻挡加密P2P软件。
●根据不同需求,进行多层次IM软件控制,不仅可禁止实时聊天程序,还可对它的。
登陆、聊天、传输文件、实时语音、实时视频等进行分项管理。
●网络管理者可以依据源地址、目的地址、VLAN群组等设定P2P、IM策略。
2.3.5精细的流量监控
天清汉马USG下一代防火墙在对应用、内容、用户细粒度调控的基础上,还可对与其相关的控制效果以流量统计的方式呈现出来。
大致包括以下统计图表
●支持按照指定的时间段,统计任一链路的上下行流量趋势曲线。
●支持按照应用统计流量,并独立显示TOP10的应用及所占比例,可按照应用识别特征库分类显示所有或部分分类的流量趋势曲线。
●支持按照URL访问类别统计流量,并独立显示TOP10的分类及所占比例,可按照URL分类显示所有或部分分类的流量趋势曲线。
●支持基于IP的升降序流量排名,并可统计占用带宽最大IP使用的应用及相应流量。
图67精细的流量监控
2.3.6智能化的异常流量管理
当黑客发动攻击时,常会伴之网络异常的情形发生。
网络异常的情形可分为以下三种。
Ø通信协议异常
例如由外界网络流入大量过长的IP数据包、大量的IP碎片数据包、异常的TCP通信协议连机状态、被截断的IP数据包、无法重组的IP数据包等。
ØIP/Port的扫描异常
通过IP扫瞄,黑客得以窥知目的端内网络结构和情形;通过Port扫瞄,黑客可以得知目标主机已开启的服务端口。
Ø网络流量异常
例如突然产生大量的TCPSYN、TCP、UDP、ICMP、IGMP等数据包,占据正常网络使用带宽。
当上述攻击数据包发起时,经过改造的恶意数据包可能会造成企业内部网络系统死机无法对外提供正常的服务;IP/Port扫瞄的行为将让企业内部的网络架构轻易被黑客得知;大量的异常流量数据包也可能造成企业核心路由器、交换机等因承载过重而死机。
2003年所发生的SQLSlammer攻击就是因为送出大量UDP数据包而造成企业网络瘫痪。
天清汉马USG下一代防火墙内建了50多组异常检测模块,可以检测各项偏离预期的网络行为。
●依据RFC标准规范制作通信协议异常检测模块,可以阻止不符合标准通信协议规范的数据包。
●内建的扫瞄异常检测特征库。
●支持网络流量异常检测,不单只使用计数的方式,还使用专门的统计算法,可以准确地检测网络流量的异常情形。
●自定义网络流量异常的触发参数,除了内建网络流量标准模式供比对以外,天清汉马USG下一代防火墙另提供微调机制,供网络管理人员针对所管理的网络环境流量作进一步的细微调校。
2.3.7简单易用的管理模式
●面向对象的虚拟化安全网关引擎,提供最弹性化的管理方式。
每一对实体安全网关/IDS都可配置不同的规则集,每一个规则集所包含的规则,都可依据来源/目的端IP地址或是时间范围来决定对应的处理方式。
●支持Web图形界面、命令行界面管理。
●支持SSH远程、串口本地管理。
●支持对CPU、内存、磁盘、网口、用户在线状态、连接数、连接状态、路由表、带宽使用等信息的监控。
●支持SNMP协议,可通过第三方网络管理软件
升级会员 