防火墙IPS解决方案.docx

1、防火墙IPS解决方案XX客户网络出口安全建议书2007-4-7XX客户网络现状及建议1. XX客户网络出口现状XX客户网络拓扑如下图所示： xx客户网络平台已经搭建完毕，内部终端通过Internet出口连接外部网络，实时获取外部信息，企业业务通过网络出口进行，因此保证网络出口的安全至关重要， 而现在网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。目前安全设施的空缺导致网络缺乏足够的安全防护。2. XX客户网络出口安全建议建立公网出口完善的网络安全层次：图 INTERNET出口完善的安全层次根据国际标准化组织ISO的OSI模型，网络通讯过程被分为7

2、各层次，如果希望完善网络出口的安全层次，必须要对OSI网络通信模型的每一层进行覆盖，目前部署的防火墙其软硬件设计为工作在OSI模型的2-4层，为了完善网络出口安全层次，还需要部署入侵防御系统覆盖OSI网络通信模型的4-7层。 防火墙防火墙的作用是防止外部网络上的非授权用户访问内部网络，多数防火墙都可以有选择地保护一个或多个周边网络（也称为非军管区，DMZ）。防火墙对访问外部网络的限制最低，对访问周边网络非军管区的限制次之，对访问内部网络的限制最高，可提供三个不同层次的安全组网模式。只有有效充分的利用防火墙和安全政策才能保证受保护网络（信任网络）和非保护网络（不可信任网络）之间所有流量的安全有效

3、控制，这样防火墙在抵御外部网络对内部网络的攻击窃取的同时，还可控制内部网络用户是否可以合法的访问外部Internet，以及怎样借助防火墙提供的特性实施安全政策等。防火墙保护网络的方法如下图所示，这种方法允许实施带外连接并安全接入互联网。 网络中的防火墙应用在这种体系结构中，防火墙将形成受保护网络和不受保护网络之间的边界。受保护网络和不受保护网络之间的所有流量都通过防火墙实现安全性。防火墙允许用户在受保护网络内确定服务器的位置，例如用于WWW接入、SNMP、电子邮件（SMTP）的服务器，然后控制外部的哪些用户可以访问这些服务器，这些对服务器系统的访问可以由防火墙进行控制和监视。防火墙一方面用于阻

4、止来自Internet的对受保护网络的未授权或未验证的访问，另一方面允许内部网络用户对Internet在授权范围内的访问，如WWW服务、E-mail服务。现代的许多防火墙还具有其他的一些特性，包括身份鉴别、信息安全处理等。IP层的包过滤通常使用到IP报文的源、目的地址、协议域及相应的源、目的端口、标志域等属性进行组合形成不同的包过滤规则，对IP报文进行过滤，从而决定某类报文能否被转发（通过防火墙）或被丢弃。同样，在Novell IPX和Apple AppleTalk协议中，也可相应地设置各自的包过滤规则。H3C系列防火墙提供了基于接口的包过滤，即可以在一个接口的进出两个方向上对报文进行过滤。同

5、时还提供了基于时间段的包过滤，可以规定过滤规则发生作用的时间范围，比如可设置每周一的8:00至20:00允许FTP报文进入以完成必要的服务，而其余时间则禁止FTP连接。在时间段的设置上，可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用，在应用上具有极大的灵活性。并且这样的时间段可以方便地提供给其他的功能模块使用，如地址转换、IPSec等。地址转换，用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址；外部网络基本上不可能穿过地址代理来直接访问内部网络。H3C系列防火墙实现的地址转换能够将网内用户发出的报文的源地址全部映射成一个接口的地址，与按

6、需拨号相结合，使局域网内用户通过一台路由器即可轻松上网。H3C系列防火墙支持带访问控制列表的地址转换。通过配置，用户可以指定能够通过地址转换的主机，以有效地控制内部网络对外部网络的访问。 结合地址池，还可以支持多对多的地址转换，更有效地利用用户的合法IP地址资源。H3C系列防火墙提供基于报文内容的访问控制，即智能防火墙，能够对应用层的一部分攻击加以检测和防范，包括对于SMTP命令的检测、SYN flooding、Packet Injection的检测。智能防火墙不但对报文的网络层的信息进行检测，还对应用层的协议信息（如FTP）进行检测。当报文通过路由器时，智能防火墙将报文与指定的访问规则进行比

7、较，如果规则允许，报文将接受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，智能防火墙将动态的修改或创建规则，同时更新状态表以保存不能由访问列表规则保存的重要的状态信息，从而允许与新创建的连接相关的报文。对于回来的报文只有是属于一个已经存在的有效的连接，才会被允许通过防火墙。在处理回来的报文时，状态表也需要更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除。动态生成的规则不会被存储到FLASH或NVRAM中，确保XX的报文不能随便透过防火墙。智能防火墙还提供了增强的跟踪审计功能。可以对所有的连接进行记录，包括：记录连接的时间、源地址、目的地址、使用的端口和传输的字

8、节数。 入侵防御系统（IPS）虽然，网络中已部署了防火墙，但是，在很多企业网络的运行维护中，其IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢，只好提升带宽并升级服务器，可过不了多久问题再次出现。而实际上，业务增长速度并没有这样快，业务流量占用带宽不会达到这样的数量，这是目前各大公司网络都可能存在的问题。并不是当初网络设计不周，而是自2003年以来，蠕虫、入侵技术日益滋长并演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识

9、别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件等非法流量轻而易举地通过防火墙开放的端口进出网络，如下图所示：这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上，员工的PC都既需要访问Internet又必须访问公司的业务系统，所以存在被病毒感染和黑客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽，对公司业务系统的危害极大。因此需要专门针对网络4-7层进行分析并实时防御的入侵防御系统，填补防火墙安全层次的不足，完善网络传输过程中的安全层次，阻挡黑客攻击、蠕虫病毒的传播、保护内部主机的漏洞不受到影响，提高企业生产效率。H3C公司的I

10、PS系列主动入侵防御系统（IPS）是业界的领先产品和解决方案，具有如下特点： 高性能IPS采用业界独有威胁抑制引擎（TSE），其集成了网络处理器（NP）、专用集成电路（ASIC）、现场可编程逻辑阵列（FPGA）的强大功能和处理能力，是能够实现所有入侵防御功能的线速处理引擎。其处理能力高达5G并能够保证处理延迟小于125微妙，完全满足IP话音，关键交易等时延敏感应用的要求。即使有上万条过滤器同时工作，系统的性能也不会降低。 高可靠性由于IPS部署在数据传输的路径中，所以其必须具有极高的可靠性，否则成为业务的阻断点（自我拒绝服务攻击）。IPS提供真正的HA功能，两台以上设备完全同步并可以同时工作（

11、Active - Active）模式或热备模式（Active - Standby）。即使发生最坏的情况，系统自动恢复时，IPS仍可以工作在交换模式，不会成为业务的阻断点。 全面的防御功能IPS支持应用保护、网络架构保护和性能保护，彻底防护各种网络攻击行为：病毒、间谍软件/木马、蠕虫、DOS和DDOS、以及各种入侵行为。IPS运用三个独立且互补的入侵防御机制，即弱点过滤器、流量异常过滤器和攻击特征过滤器，这些过滤器功能强大，如弱点过滤器能重组第七层信息以完整检测应用层流量，还可以指定检测条件为应用程序流程（侦测缓冲区溢出攻击对应用程序的异常调用）和通信协议规程（IETF RFC异常攻击侦测）。此

12、外，这些过滤器全部由ASIC和FPGA实现，从而保证了系统的高吞吐量和低时延。 专业的安全团队服务提供数字疫苗（Digital Vaccine）更新服务，H3C安全专家举世公认，全球超过25万安全管理员订阅了由Tipping Point安全专家主编的SANrisk的安全漏洞分析报告，同时这些研究成果已用于数字疫苗的开发和生成。数字疫苗被持续地自动发布到每台IPS上并完成更新。针对漏洞的数字疫苗起到了虚拟软件补丁的作用，极大地方便了客户对安全漏洞的攻击的防护，而且为用户在真正的服务器上打补丁并测试其对已有补丁和应用的影响争取了时间并为服务器下线维护提供了灵活性，保证客户业务的不间断运营。 物超所

13、值除完备的入侵防御功能外，IPS还支持对P2P、IM（如MSN）、VOIP（SIP, H.323, MGCP）应用的流量管理功能，可以按照客户的要求完全阻断或限制P2P、IM的带宽；解析VOIP协议，保证媒体流的所需的带宽，同时保证IP电话系统的高安全性。总之，为用户提供了丰富的增值应用保护功能。 高扩展性安全管理系统安全管理系统（SMS）能够管理和控制多达1000台IPS. SMS监视、控制、诊断每个IPS，支持丰富的日志、分析报告功能。能够产生趋势分析报告、支持事件交叉分析、生成实时流量统计表、过滤的攻击种类、网络主机和服务以及IPS网络位置和健康状态。 获得权威认证金奖NSS是公正的业界

14、权威网络和安全评测机构，在2004年一月发布的IPS评测报告中，H3C的IPS从众多参加测试的厂商(CISCO, ISS, Juniper/Netscreen, McAfee, TopLayer)中脱颖而出，荣获NSS 颁发的唯一金奖。请参考 和http:/。3. 网络安全部署模式以及设备选型综上所述根据河北省检察院办公网现有网络情况，建议未来网络安全部署模式如下：1. 根据XX客户网络出口带宽？M50M，我们建议选择H3C SECPATH F100-S和H3C IPS 50产品组合完善XX客户的网络出口安全层次：SECPATH F100-S硬件及性能要求体系架构：专用硬件平台；非X86架构端

15、口数：4个10/100M以太网端口VPN要求VPN技术:支持L2TP VPN，GRE VPN，IPSec VPN，DVPN等多种VPN协议网络层防范功能状态报文过滤：支持、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。应用层防范功能应用层

16、过滤：支持HTTP URL和内容过滤, 必须支持SMTP邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、ActiveX Blocking、SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能：禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。H3C IPS 50类交换机性能50 Mbps 攻击过滤2个10/100/1000自适应电口，可以保护1个网段客户机和服务器保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种模式

17、攻击网络基础设施保护保护DNS和其他网络基础设施保护流量异常、DoS、SYN泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能应用性能保护提高带宽和服务器性能阻止或者限速无关流量 P2P流量或者IM流量Digital Vaccine实时接种抵御零天攻击最新疫苗的自动发布2. 根据XX客户网络出口带宽？M=1个VPN要求VPN技术:支持L2TP VPN，GRE VPN，IPSec VPN，DVPN等多种VPN协议网络层防范功能状态报文过滤：支持、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/D

18、DoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。应用层防范功能应用层过滤：支持HTTP URL和内容过滤, 必须支持SMTP邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、ActiveX Blocking、SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey、Emule等各种P2P模

19、式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能：禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。病毒防护功能：支持防病毒插卡，可以对HTTP、SMTP进行病毒查杀。H3C IPS 50类交换机性能50 Mbps 攻击过滤2个10/100/1000自适应电口，可以保护1个网段客户机和服务器保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种模式攻击网络基础设施保护保护DNS和其他网络基础设施保护流量异常、DoS、SYN泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能应用性能保护提高带宽和服务

20、器性能阻止或者限速无关流量 P2P流量或者IM流量Digital Vaccine实时接种抵御零天攻击最新疫苗的自动发布3. 根据XX客户网络出口带宽？M=1个VPN要求VPN技术:支持L2TP VPN，GRE VPN，IPSec VPN，DVPN等多种VPN协议网络层防范功能状态报文过滤：支持、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能

21、、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。应用层防范功能应用层过滤：支持HTTP URL和内容过滤, 必须支持SMTP邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、ActiveX Blocking、SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能：禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。H3C IPS 50类交换机性能50 Mbps 攻击过滤2个10/100/

22、1000自适应电口，可以保护1个网段客户机和服务器保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种模式攻击网络基础设施保护保护DNS和其他网络基础设施保护流量异常、DoS、SYN泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能应用性能保护提高带宽和服务器性能阻止或者限速无关流量 P2P流量或者IM流量Digital Vaccine实时接种抵御零天攻击最新疫苗的自动发布4. 根据XX客户网络出口带宽？M=1个VPN要求VPN技术:支持L2TP VPN，GRE VPN，IPSec VPN，DVPN等多种VPN协议网络层防范

23、功能状态报文过滤：支持、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。应用层防范功能应用层过滤：支持HTTP URL和内容过滤, 必须支持SMTP邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、Act

24、iveX Blocking、SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能：禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。病毒防护功能：支持防病毒插卡，可以对HTTP、SMTP进行病毒查杀。H3C IPS 200E类交换机性能200E Mbps 攻击过滤时延 150微秒4个自适应电口（业务口），可以保护2个网段客户机和服务器保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种模式攻击网络基础设施保护保护DNS和其他网络基础设施保护流量异常、DoS

25、、SYN泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能应用性能保护提高带宽和服务器性能阻止或者限速无关流量 P2P流量或者IM流量Digital Vaccine实时接种抵御零天攻击最新疫苗的自动发布5. 根据XX客户网络出口带宽？M=1个VPN要求VPN技术:支持L2TP VPN，GRE VPN，IPSec VPN，DVPN等多种VPN协议网络层防范功能状态报文过滤：支持、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP

26、报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。应用层防范功能应用层过滤：支持HTTP URL和内容过滤, 必须支持SMTP邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、ActiveX Blocking、SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能：禁

27、止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。H3C IPS 200E类交换机性能200E Mbps 攻击过滤时延 150微秒4个自适应电口（业务口），可以保护2个网段客户机和服务器保护抵御针对应用和操作系统漏洞的攻击摒弃代价昂贵的应急补丁工作阻止多种模式攻击网络基础设施保护保护DNS和其他网络基础设施保护流量异常、DoS、SYN泛洪、进程表泛洪等各种攻击访问控制列表流量正规化提高网络带宽和路由器性能正规化非法网络流量优化网络性能应用性能保护提高带宽和服务器性能阻止或者限速无关流量 P2P流量或者IM流量Digital Vaccine实时接种抵御零天攻击最新疫苗的自动发布6.

28、根据XX客户网络出口带宽？M=2个VPN要求VPN技术:支持L2TP VPN，GRE VPN，IPSec VPN，DVPN等多种VPN协议网络层防范功能状态报文过滤：支持、SMTP、RTSP、H323协议簇的状态报文过滤，支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。应用层防范功能应用层过滤：支持HTTP URL和内容过滤, 必须支持SMTP邮件内容过滤、主题过滤、关键字过滤、附件名过滤, 必须支持Java Blocking、ActiveX Blocking、SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，同时支持以下三个功能：禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。病毒防护功能：支持防病毒插卡，可以对HTTP、SMTP进行病毒查杀。H3C IPS 200E类交换机性能20