吉林钢铁网络安全建议方案.doc

资源描述

吉林钢铁网络安全建议方案 47 2020年5月29日文档仅供参考吉林钢铁网络安全方案一、网络安全整体设计: 网络的安全是保障网络系统稳定运行的前提。网络安全也是网络内部信息泄漏的主要原因之一。在吉林钢铁厂网络中,包括了生产、办公、财务等众多重要部门,而且提供专网访问与互联网访问。现有的安全设备只有防火墙,为确保各部门信息数据的安全性和保密性,现有的这些安全设备还远远不够,还需要增加相应的安全产品,保证网络在受到攻击时网络设备的稳定性,从而提高整个网络的稳定可靠性。基于以上要求提出本方案。吉林钢铁网络整体安全方案根据网络中不同服务功能模块、不同安全级别及管理需求进行划分。共分未4个区块。分别是: ① 互联网外联区块:负责连接互联网。是对外的出口。而且会放置公共服务器,比如EMAIL、WWW服务器。此区块是安全的重点防护区。根据方案设计,未来的互联网双出口,分别接入到不同的ISP。 ISP接入直接连接到防火墙上,防火墙提供SSLVPN功能和正常的安全保护。 ② 骨干网区块: ③ 网管、安全区块: ④ 企业专线区块: ⑤ 网络终端安全 1.1、外联区块: ① Firewall+IPS+SSLVPN 在安全体系中,设计采用双互联网接入方式。在外联区使用Firewall+IPS+SSLVPN、防毒墙、流量控制系统提供整体流量管控、防病毒和防攻击架构。来自外部网络的数据流量,首先经过带有入侵防御功能的防火墙。传统的防火墙只能根据配置的策略来对数据包是否能经过进行判断。具体是根据在数据包中的源IP地址、目的IP地址、协议类型、源端口、目的端口这5个。假设出现了一种新的恶意流量,这种新流量没有在防火墙上部署过,那么防火墙对其没有识别和检测的能力。因此,防火墙属于被动的安全方式。当事件产生后,经过对防火墙进行设置来解决问题。注意,问题发生后才能发现问题解决问题,已经造成了实际的损失了。 IPS(入侵保护系统)是一种主动安全产品。在IPS中存放了很多攻击签名库,签名就是某种类型攻击的特征码。当有新的攻击信息是,及时更新签名库。这样就能够识别最新的攻击信息而且对恶意流量做出动作。 IPS的签名库是根据某种攻击行为的特征码和攻击行为做出响应。如果某种攻击行为使用动态端口,那么在防火墙上使用传统的封锁端口方法没有效果。IPS就能够根据数据包行为的相关性识别出攻击行为,而且做出反映。 VPN叫做虚拟专用网络。经过在源端和VPN接入网关之间建立虚拟的点对点的隧道,而且对隧道中的数据流进行高强度加密实现了安全的远程接入。使用3DES\AES等加密方式对数据进行高响度加密,就算数据流在传输途中被截获也无法读取具体的数据内容。同时使用MD5\SHA-1等单向散列算法,在数据传输过程中,密钥对并不进行传输,在接收端,根据密钥算法对数据进散列运算对比其运算结果,来判断数据是否被修改过。如果数据被修改过,拒收数据。这样就算数据被修改过,也能识别出来。散列算法的特点是在发起端和接入网关端对数据都是进行正向算法,因此不可破解。是最安全的算法。 SSLVPN是现在最流行的VPN接入方式,其特点是不需要安装任何客户端。只要能够使用浏览器,不论在什么位置都能够经过VPN访问公司内网。 ② DMZ策略: 同时在防火墙DMZ区域放置公共服务器。对DMZ中的流量进行严格的权限设定。安全级别的设定规定内部接口安全级别最高,DMZ接口的安全级别中等,外部接口的安全级别最低。根据信任关系,级别低的接口信任级别高的接口,级别高的接口不信任级别低的接口。这样,内部到外部的数据都是允许的,外部到DMZ和内部的数据不被信任。其结果是:1、由内部或DMZ发起到外部的数据总是允许。2、外部发起的到内部的数据总是被阻止。3、外部发起到DMZ的某些数据被允许,因为在DMZ中放置的是对外的公共服务器。4、由内部或DMZ发起的到外部的数据流,其返回包被允许从外部接口进入,外部不能发起到内部或DMZ的请求。4、由内部发起到DMZ的数据流其返回包能够进入内部,由DMZ发起到内部的信息被拦截。这样设计是因为外部能够访问DMZ。如果DMZ中的服务器被外来的黑客攻占,也只能破坏公共服务器本身系统,不能经过DMZ中的主机跳转到内部。绝对保证内网的安全。 ③ 防毒墙: 众所周之,没有任何杀毒软件能完全阻止病毒的进入,而且现在有很多免杀工具能够欺骗杀毒软件或者杀掉杀毒软件的进程。如果遇到这样的病毒或者木马,计算机上的杀毒软件就没有用武之地了。硬件防毒网关的好处是直接在出口上对数据进行过滤,有安全威胁的数据在网络层面被直接丢弃,不会转发到内部。只有防毒网关不能识别的极少数病毒才能进入内部。这些病毒又会遇到杀毒软件的再次查杀。这样整个网络的防毒体系就更加强壮。从多个方面保证免受病毒的入侵。需要强调的是,计算机的杀毒软件和防毒网关应该选用不同的产品。因为不同的产品有不同的病毒特征库,而不同的特征库能够互补,强化了病毒防护的等级。 ④ 流控网关: 现在互联网中P2P的流量占据了绝大部分的流量。P2P的特征是多个客户之间彼此进行资源共享,直接从对等的客户之间获取数据,而且现在众多的P2P软件都使用动态端口。因此不能用传统的拦截端口、IP地址的方法来封锁。要对P2P流量进行限制,就只能经过应用特征识别的方式来实现。现在国内外很多厂商都推出了专用的流量控制网关。根据P2P协议的特征码来识别并进行阻断或限速。而且此类产品还能够识别游戏、在线视频、股票等各种非工作流量,保证在工作时间只能经过与工作相关的流量。并根据业务的重要程度对数据流进行分类,保证关键业务和视频会议这样的对延迟敏感的数据得到足够的服务。 ⑤ 专用的网络基础设施: 因为外联区块是企业网和外部网络的接口,因此这个区域的安全策略一定要非常严格。因此此区块的设备不能直接接入到内部的骨干交换机。采用2台专用的外联交换机连接所有的外联设备。这2台交换机要支持比较多的安全策略。而且在相连接的骨干交换机的端口进行严格的安全策略限制。 ⑥ 外联区综述: 结合上述的部署,在外联区采用了FW+IPS+SSLVPN+防毒墙+流控墙+专用的路由器防火墙的连接方式。不同的安全设备专注不同的安全领域。同时又遵从统一的安全策略设计。经过这样的设计,来自与外部的数据的安全性得到了保证。防止病毒也攻击流量”并从口入”。 1.2、网络核心: 在H3C9500主交换上,使用旁路模式连接IPS系统,采集全网流量信息,分析整个网络的网络攻击信息。吉林钢铁设计使用10G骨干,若IPS采用inline模式,就得选用支持10G的IPS产品,价格非常昂贵。根基整体方案设计,在专线、互联网处都使用了防火墙、防毒墙、流控墙等产品,在终端部署EAD对终端进行准入控制,并限制终端电脑上运行的软件,因此网内的流量相对比较安全。因此采用bypass方式的IPS,只对网络中的流量进行分析检测,如果发现入侵信息,采取的措施是与其它安全设备联动,或者发送信息给网络管理人员,及时做出策略。而且使用H3C A1000安全管理器,对IPS提交的信息进行智能分类、分析,形成攻击报告,并提供安全隐患处理手段报告。 IPS采集的信息量非常庞大,而且不能对各种信息进行分类。这就产生了一个问题:网络管理人员面对IPS发来的数万条的log信息很难一一查看,而且要在其中找出事件的相关信息也如同大海捞针。SecPath A1000安全分析产品能够对IPS发来的信息进行分析、归类、而且进行过滤。首先从数以万计的信息中排除误报等情况,筛选出来有价值的信息。接着基事件的攻击特点和影响程度分成不同的安全级别不同的攻击类型。然后记录该事件,而且找出事件的相关性。例如A登陆到B上攻击了C,这样的攻击路径也会被记载,提交到网络管理中心,而且还会提出排除问题的方法。 1.3、服务器、网管区块服务器区块和网管中心区块使用10GE连接到主交换上。这两个区块是整个网络安全重要保护点,要绝对保证这部分网络服务的持续性和安全性。可是10G的防火墙价格及其昂贵,因此建议在H3C S9500主交换上使用防火墙模块来对内网流量进行全面的安全管理。重点在于保护服务器区块免受攻击,保护网络安全管理中心免受攻击。(此模块在H3C整体网络方案中没有提供,建议合同变更时添加此模块)。 1.4 企业专线从吉林到明城、北京的专线,使用H3C UTM(统一威胁管理,包含杀毒、防火墙、入侵检测功能)来防止恶意流量经过企业内部专线在北京、吉林、明城之间传播。保证内网流量纯净。北京或明城都有安全体系,而且都属于内部网络,相对来讲属于信任区域。可是也要防止吉林或北京病毒爆发或者客户机中毒发动攻击等情况对吉林钢铁内网的威胁。UTM相当于把防火墙、IPS、防毒网关集成到一个设备上。与单独的防火墙、IPS、防毒墙相比,UTM只是性能较若。可是内网的流量不是很大,而且流量类型相对外网比不复杂。因此整体方案中选择了H3C的UTM产品。 1.5 终端安全 ⑴端点准入: 内网安全问题近来日益成为网络安全的重点防护对象。有了防火墙、防毒墙、IPS等产品在出口把守,一般来自于外部的攻击流量不容易流入。而内网中中毒的计算机可能带来更多的威胁。因此终端准入系统发挥着越来越重要的作用。终端准入系统能够根基终端计算机的健康状态,来决定是否准许用户接入到网络中。能够检查的信息包括:用户是否安装了指定的杀毒软件、杀毒软件的版本是否更新到最新、操作系统是否已经打了最新的补丁、计算机是否安装了不被允许的软件。如果发现用户有违反健康状态的情况,那么交换机等网络设备会自动把用户放置到隔离区,而且帮助终端计算机更新各种补丁升级包。当终端计算机恢复健康状态,就能够重新接入到网络。这样,避免了一台终端出现问题之后波及到其它的地方。隔离区就相当于重病看护病房。出现健康问题的计算机只能在这里互相传染。而且这种隔离的行为都是自动的。当前我们选择的是H3C EAD终端准入系统。此系统具有软件黑白名单管理功能。经过这一功能,如果发现用户终端计算机上安装了禁止使用的软件,比如迅雷、BT、股票软件,用户的计算机会自动断网。如果用户的杀毒软件被恶意程序破坏,或者没有更新重要补丁,也会被自动断网。 ⑵ 防毒软件: 终端防毒体系对于企业的计算机网络稳定运行意义重大。在大型企业部署中,应该使用网络版杀毒。设计思想要以防毒为主。防毒软件和防毒网关要使用不同病毒库的产品,这样能够有双重的保障。同时要能够和端点准入系统良好的联动,保证终端计算机处于健康的状态。 ⑶ 软件分发、补丁管理: SCCM,微软系统管理中心。能够支持定义策略的补丁管理。而且具有软件分发能力。所有安装SCCM客户端的终端机都,如果需要批量安装、卸载某软件,都能够经过SCCM来实施。这样能够保证整个公司终端机使用的软件统一。而且具有资产管理功能,能够收集终端计算机的软件、硬件列表,实现计算机资产管理功能,并能跟踪终端计算机的软硬件变更。同时能够形成终端计算机软件使用率分析报告,据此我们能够分析用户最常见的软件是什么。二、网络安全现状介: 2.1、当前运行情况吉林钢铁当前已经初具规模,然而安全建设一直没有做过投入。随着用户数量的增多,对网络安全和网络管理提出了更高的要求。当前网络设备极度匮乏已经造成了很多问题,包括病毒爆发,木马横行。因此急需网络安全设备,来保证吉林钢铁网络的良好运行。 2.2、设备现状和需求网络整体设计方案中已经包含了H3C的IDS(入侵检测系统)、UTM(统一威胁管理)、H3C IMC(认证管理系统纯软件)、FW SSLVPN、H3C EAD(端点接入检测)部分。根据整体安全架构,依然缺少终端防毒系统、硬件防毒网关、流量控制系统、补丁管理系统、用户认证网关。这些部分当前需求迫切。其中H3C SSLVPN防火墙虽然在网络整体设计方案中,可是此产品当前已经投入使用,需要购买。序号种类功能 H3C方案是否包含是否建议采购 1 外网防火墙全网保护 Y Y 2 SSLVPN 提供SSLVPN接入 Y Y 3 认证软件用户数据库 Y N 4 UTM 企业专线防护 Y N 5 端点管控EAD 终端接入网络控制 Y N 6 IDS/IPS 主动入侵检测、保护 Y N 7 监控分析响应智能攻击分析系统 Y N 8 S9500防火墙模块主交换上的防火墙模块 Y N 9 防毒墙硬件防毒网关 N Y 10 杀毒软件网络版防毒软件 N Y 11 补丁管理所有用户补丁升级管理 N Y 12 流量控制限制互联网流量 N Y 13 服务器硬件防毒、认证、端点准入硬件平台 N Y 14 认证网关互联网认证网关 N Y 另外,H3C已经提供了EAD软件包,可是由于没有H3C交换机,因此没有成规模的测试EAD的使用效果以及其性能。因此,建议采购少数几台H3C交换机,在真正上线之前,在实际环境中测试EAD的使用效果。因为如果有问题,正式上线后才发现影响就太严重了。以上建议采购的产品列表是根据吉林钢铁当前环境,并结合最终系统上线的情况分析,给出的建议。请领导批示。三、曾作过的测试及结果 3.1、流量控制系统 ⑴ 城市热点: 5月---- 10月测试。经过测试,发现能够识别大部分常见的网络流量。操作界面简洁。当时公司共有300多台PC,都能够访问互联网。使用后效果很明显。产品型号:DR.COM P2P-1000M 产品规格:2个千兆以太网电口,最大吞吐量1G, 产品特点: ü 基于用户的P2P限流;区别于单纯的限制一个通道中各种流量,能够针对每个用户的P2P业务流量进行带宽控制 ü 升级容易;P2P应用层出不穷,而对P2P的包的识别是基于应用层的,没有固定的规律,城市热点的接入服务器能够随时经过升级内核来处理影响流量的P2P应用,将来能够采用类似升级病毒库的方式来升级P2P的描述库。 ü 易于扩展;接入服务器的网络位置比较合理:每台处理的用户数一般在1000-8000个水平,100M－1G的网络带宽,扩容只需要增加接入服务器,实现横向升级,如果放在接入层交换机,升级的数量较大,放在核心层交换机,升级的成本过高,放在出口路由,单台处理能力无法满足。因此,将P2P限流功能放在接入服务器是性价比最高的方式。这当然也是要接入服务器的性能作为保障。 ü 防BT协议端口:Dr.COM的BT协议控制,包含针对BT通用端口的限制,用户如果无须完全杜绝BT下载,而只需要屏蔽大部分BT通用端口 ü 限制BT下载的TCP/UDP会话数:Dr.COM的BT协议控制,能够经过限制每个用户的TCP/UDP会话数,用户如果无须完全杜绝BT下载,那限制TCP/UDP会话数,从而在一定程度上限制每个用户的BT软件的连接数。 ü 限制P2P流量控制(BT)下载的上下行带宽: Dr.COM的P2P流量控制,能够根据不同的组用户和不同的时间段,分别限制每个用户的上下行带宽,用户如果无须完全杜绝BT下载,那限制上下行带宽,从而限制每个用户的P2P流量控制下载的速率。 ⑵ 北京网康: 10月---- 11月测试。识别率和管控率对比城市热点效果差一些。操作界面简洁,支持常见非法URL过滤。对网页访问速度不能提供很好的保证。网络接近峰值运行。产品型号:NS15000 产品规格:4个千兆以太网电接口,最大吞吐量1G 产品特点: ü 采用融合的深度包检测和动态流识别(DPI+DFI)技术,经过协议特征、流量特征以及行为模式识别技术,精确识别网络应用,包括各种加密协议 ü 协议特征库,超过240种应用,全面覆盖电子邮件、P2P下载、即时消息、VoIP、网络视频、网络游戏等流行应用。 ü 流量监管与整形技术,实现流量控制精度1kbps ü 采用”多维非线性策略管理”引擎,提高策略匹配的效率与灵活性,支持2万条策略规则。 ü 基于用户、应用、时间、数据流向(上传/下载)等条件,设置灵活的策略组合,实现按照每用户/每部门、每应用设置差异化的流量控制策略 ü 提供应用封堵、流量整形、流量限额、连接限制等多种手段,实现流量控制的多种效果 ü 支持带宽借用/还贷机制,并根据用户数量的变化动态调整带宽分配,保障带宽资源高效与公平利用 ü 硬件设备支持断电物理直通,避免电源失效导致的网络中断 ü 一键式旁路切换技术,主动调整网络负载 ü 软件死锁与高负载自动跳转技术,根据预设阈值自动分流高负载流量 ü 系统软件热备,当主控制系统发生异常后,备份系统可保持系统继续运转 ⑶ H3C ACG: 12月初----至今在测试使用。识别率和管控率很好。产品设计专业。配合PFC(无电源连接器)能够实现硬件级故障bypass。功能丰富,操作界面清晰明确。产品型号:ACG -M 产品规格:6个千兆以太网电接口,最大吞吐量2G 产品特点: ü 经过的状态机检测技术,能精确检测BitTorrent、Thunder(迅雷)、eMule、eDonkey、QQ、MSN、PPLive等近百种P2P/IM应用。同时,可基于时间、用户、区域、应用协议,对P2P/IM应用进行告警、限速、干扰或阻断。 ü 可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录;同时,经过综合分析、检测用户网络流量与流向趋势,事后对历史数据进行分析。 ü 经过自定义IP地址、主机名、正则表示式等方式设置URL特征库,支持根据不同的URL策略设置不同的响应方式,支持根据时间表对不同的URL策略设置不同的响应动作,避免保密信息的外泄,免受非法信息的干扰。 ü 提供业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表,并支持按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表,使用户能全面掌握网络中的流量、应用和业务分布。 ü 支持对Skype、H.323、SIP、中桥、UUCall等近百种协议或网关的呼叫识别、阻断或干扰。 ü 采用业界流行的ID轨迹检测技术、时钟偏移检测技术,结合多种应用层特征检测技术如应用特征检测、流量/连接数统计、TTL检测、MAC地址检测等,能实时准确的识别出以NAT、Proxy方式进行共享接入的用户以及准确的PC数量,并实施告警、阻断等控制措施。 ü 采用先进的技术分析手段,全面分析网络应用的流量类型和流量流向趋势,统计网络热点,发掘业务增长点;分析用户行为。 ü 同时,能对网络多媒体、网络游戏、炒股等应用进行识别与控制,经过URL过滤、关键字过滤、内容过滤等多种Internet访问控制策略,规范内网用户上网行为。 ü 基于新一代多核CPU+FPGA硬件架构,业务与转发相分离,实现了千兆级线速业务处理能力;经过双电源冗余、掉电保护、二层回退等高可靠性设计,保证SecPath ACG在断电、软硬件故障或链路故障的情况下,网络链路依然畅通。 ü 对应用协议特征库及时更新;支持在线自动/手动升级方式,升级过程无需重启系统,不影响系统业务运行。 ⑷ 从测试效果来看,H3C ACG的效果较好。 3.2、防毒墙 ⑴ 趋势IWSA: 使用趋势病毒库。识别率和拦截率不错,能够支持恶意URL拦截,对网络性能没有影响。已完成测试报告。产品型号:IWSA-2500-L 产品规格:2个千兆以太网电口,使用趋势科技病毒库产品特点: ü 提供零日攻击防护 ü 无需本地更新 ü 连接层阻止,节省带宽 ü 针对HTTP和FTP流量中的各种新型威胁进行防护 ü 拦截间谍软件的回拨 (Phone-home) 企图,阻止间谍软件下载 ü 阻止恶意程序经过即时通信程序进行扩散 ü 阻止访问与间谍软件或网络钓鱼有关的网站 ü 发现网络节点有Web威胁相关的活动时自动启动远程损害清除服务 ü 凭借灵活的策略和完整的间谍软件数据库实施URL过滤 ü 采用Web信誉技术(WRT)对网页进行实时分类,实现安全访问 ü 经过分析和验证ActiveX&Java Applet中含有的威胁来阻止插件安装式攻击 ü 控制员工对不适当网站的访问。 ü 即插即防 ü 优化的操作系统降低安全风险 ü 控管中心TMCM集中管理 ü 状态一览提供详细连接、资源占用状况 ü 可实时或定时生成日志报表 ü 支持SNMP、LDAP和Active Directory,实现紧密集成,降低拥有成本 ⑵ CPsecure: 采用卡巴斯基和CPSECURE双扫描引擎和病毒库。先后测试了2款产品,第一款由于性能不足,导致网络运行缓慢。后联系厂家协调,更换了性能更好的产品,使用中没有再出现问题,病毒识别率拦截率好。已完成测试报告。 CPsecure公司已经被收购。产品后续升级存在问题。产品型号:CP Secure CSG-1000+ 产品规格:2个千兆以太网电口,采用卡巴斯基和CPSECURE双扫描引擎和病毒库产品特点: ü CP Secure的内容安全网关采用了与传统的随机存取算法(Batch-based Scanning)不同的扫描技术:串流扫描算法(Stream-based Scanning),该算法能够在获得很高的吞吐率的同时大大减少网络延迟和超时的问题 ü CSG安全网关拦截和扫描http,FTP,SMTP,POP3,IMAP4和httpS等六大通讯协议以检测恶意软件。管理员能够开启或关闭对每种协议的扫描 ü 对于http和FTP信息的扫描,可阻止恶意内容不到达用户处 ü CSG安全网关也能够检测出对网络性能影响严重的蠕虫攻击行为。CSG经过监听蠕虫传播常见的端口以外,还可经过用户自定义端口进行监听,这样CSG就能够拦截蠕虫传播的途径,这样不但能够保护网络中个人PC/服务器的安全,也能够减少网络中不必要的流量 ü CSG的Anti-Spam功能由五部分组成:白名单,黑名单,RBL,灰名单,启发式扫描 ⑶ 天融信: 使用卡巴斯基病毒库,病毒识别率拦截率好。使用后对网络性能没有不良影响。已完成测试报告。产品型号:TF-8423-Virus 产品规格:最大配置5个接口,包括2个千兆电接口,2个SFP插槽,1个百兆电接口,带硬件的BYPASS功能,采用卡巴斯基病毒库产品特点: ü 单或双通道的病毒过滤:在过滤网关内部采用创新的技术可使用户选择单或双通道的病毒扫描通道。当配置成双通道,两条通道之间相互隔离,增加了产品的可扩展性; ü 流扫瞄技术:运用流扫瞄技术的实时扫瞄优势,充分发挥网络效能,可抵御病毒(Virus)、蠕虫(Worm)、垃圾邮件(Spam)、广告软件(Adware)、间谍软件(Spyware)、木马程序及其它恶意程序的入侵; ü 全面的协议保护:过滤网关对SMTP、POP3、IMAP、HTTP和FTP等应用协议进行病毒扫描和过滤,有效地防止可能的病毒威胁; ü 内嵌的内容过滤功能:过滤网关支持对数据内容进行检查,能够采用关键字过滤,URL过滤等方式来阻止非法数据进入企业网络,同时支持对Java等小程序进行过滤等,防止可能的恶意代码进入企业网络; ü 防垃圾邮件功能:过滤网关采用黑名单技术实时检测垃圾邮件并阻止其进入网络,节省宝贵的带宽,同时支持灰名单和启发式扫描的反垃圾邮件的算法来进行垃圾邮件防御; ü 防蠕虫攻击:过滤网关能够实时检测到日益泛滥的蠕虫攻击,并对其进行实时阻断,防止企业网络因遭受蠕虫攻击而陷于瘫痪; ü 报警功能:报警配置用于当某个病毒突然爆发时,网络卫士防病毒网关可向网络管理员发送报警信息; ü 网关构建在高性能的硬件平台上,实现过滤网关的高可靠性,过滤网关能够实现双机热备,完全满足关键业务的安全运行需求; ü 监控功能:防病毒网关提供的监控功能,能够监控过滤网关系统资源、网络流量、当前会话数、当前病毒扫描信息等,极大地方便管理员对过滤网关进行监控; ⑷ 从测试效果来看,CPsecure和天融信的效果较好。 3.3、互联网认证网关 ⑴ 城市热点认证网关: 刚实施上网管控时使用此产品。能够支持客户端认证和IE触发认证。能够使用外部AAA服务器。效果较好。和CISCO认证数据库的兼容效果一般,厂家工程师解释如果购买能够提供二次开发服务。能支持单用户带宽限制产品型号:DR.COM BMG-1000 产品规格:1000并发,3个100/1000兆电口产品特点: ü 支持桥接方式和路由方式,地址转换(NAT)策略,可设置透明,部分透明,和NAT模式; ü 支持内外网端口映射策略地址映射策略; ü DHCP策略,可设置多段DHCP网段、租用时间、支持32个DHCP地址池,以及能够实时查询DHCP分配的地址状态,支持根据VLAN分配DHCP池; ü 目标地址的分类策略,将目标地址能够定义多个组,例如国内地址组,国际地址组;; ü 源地址控制策略,指定范围的IP地址才能登录; ü TCP/UDP 端口控制策略; ü 客户端封装策略,对访问指定的目标地址不做网络标记; ü 网关内部的用户资料的查询; ü 支持按地区组,计费组的管理 ü 权限设置,管理分级授权,分为运维、营帐、超级管理员等级别,并可单独设置不同的操作权限; ü 支持telnet功能,可二次telnet内网设备 ü 支持远程管理,可使用专用软件进行远程管理　 ü 支持认证方式包括:Dr.COM客户端,Web,PPPoE,PPTP,802.1x等认证方式; ü 两种认证模式:账号密码认证和免账号认证(专线方式和直通方式); ü 可实现基于用户名和密码的身份认证,能够透过三层网络绑定用户的IP、MAC、VLAN等重要网元信息; ü 支持最高16000个用户的内部资料,单台支持最高16000个同时在线用 ü 作为Radius Clint,外部认证支持标准Radius 和多个厂家的扩展属性,并支持基于LDAP的外部认证;并支持一主一备的外部Radius服务器,并能够实现Radius Cache的功能; ü 在做Radius Clint的同时,能够作为Radius Server,为其它接入设备提供认证; ü 多台网关的之间的关联认证和同步,对于多个出口的情况,一次认证就能够经过各个网关; ü 支持网关与802.1x交换机的同步认证,一次认证能够同时登录内网和外 ü 支持基于Dr.COM客户端、802.1x客户端和PPPoE客户端的防私接功 ü 可授予控制用户上下行带宽,精度为8kBit/S; ü 可授予用户不同的目标地址的访问权限和带宽,精度为8kBit/S; ü 基于用户组实现对P2P应用程序的带宽授权;包括TCP和UDP包的限制,精度为8kBit/S; ü 基于用户所在的计费组,可授予该组用户的控制策略:包括能够上网的时段,能够访问目标地址分组,能够登录的源地址,能够使用的TCP/UDP 端口,是否允许使用代理,登录成功后的重定向页面; ü 有效防范恶意用户的SYNFLOOD、DDos攻击和大量模拟WEB请求猜测密码的攻击; ü 高效率的纪录用户的登录和访问纪录; ü 在线用户资料实时显示,并能够经过客户端向用户发送信息; ü 支持SNMP MIBII,用于查看设备状态; ü 与其它的网络安全设备,例如防火墙、IDS等设备配合,实现基于用户的安全监控; ü 经过客户端与防病毒客户端或其它安全客户端联动,实现网络防御; ⑵ 深澜认证计费系统: 国内著名的认证计费系统。能够支持客户端认证和IE触发认证。经与厂家咨询,和外部AAA服务器兼容性好。能支持单用户带宽限制。具有简单的流量控制功能(能管控P2P流量)。产品型号:SRUN 产品规格:1000并发,5个100/1000兆电口产品特点: ü 支持多种接入认证模式:Radius(AAA认证)、WEB、DHCP+、VLAN ID、802.1x,专用客户端等;支持桥接、路由、nat地址转换等接入方式,支持集中式或分布式系统结构,支持无线网关了,能够作为AC控制器; ü 多出口路由:支持多路由出口接入Internet,支持目标地址路由、策略路由,接入模式能够是网关方式,也能够是网桥模式,使用非常灵活; ü DHCP服务:支持网内dhcp服务,而且支持多路dhcp分发; ü 安全控制功能:全面的包过滤和状态检测防火墙。系统采用防火墙级的安全内核,能够根据协议,源地址,目的地址,端口,tcp 选项等进行包过滤,支持tcp,udp,icmp等协议的状态检测,可阻挡当前各种流行的攻击方式。内核专有优化算法,突破传统包过滤状态防火墙用户认证效率,最高可支持同时在线人数65000; ü SNAT和DNAT:支持源地址(池)转换(SNAT俗称nat地址转化)、目的地址池转换(DNAT,也称地址映射).目的端口转化(也称端口映射)。 ü DDOS攻击防范:自身具备防止DDOS攻击的能力,会对攻击自身的ddos进行自我防范,保证系统自身安全; ü 经过端口过滤和最大链接数限制能够有效的防止病毒泛滥导致网络效率下降,具备对未知网络蠕虫病毒的预先防范能力; ü 基于用户账号的p2p(bt)软件控制功能,保证网络畅通、快速; ü 带宽控制,能够根据用户帐户,IP地址等分配用户网络上下行带宽 ,对于用户的FTP,BT,视频点播等暂用大量带宽的应用能够限制最高速率; ü 支持各种计费,支持包月或者按照时间,流量等多种计费方式,支持费用封顶,最低消费等,能够自定义公式进行计费;支持先交费后使用,同时也支持先使用后交费; ü 智能代理监控控制:能够智能的判断用户使用代理的情况,对于大量用户使用同一帐号经过代理上网的行为,可智能查封、解除查封该类用户; ü 内容智能过滤:能够对网站地址,网页内容进行智能过滤; ü 用户行为管理功能:支持全面的用户访问日志记录功能,监控网内用户上网行为,以备在需要的时候进行日志查询。支持任意长时间的日志记录 ,适合记录大量的日志; ü 实时监控功能:能够实时查看当前在线的用户,以及用户当前的动作等功能,能够查看系统状态如cpu,内存占用,资源占用,网络状态如:实时带宽显示、路由表、ARP表、用户连接数、连线状态等功能; ü 用户认证功能:同时支持web、客户端的认证,丰富用户认证习惯选择,对于不同的用户支持不同的认证方式。能够采取ip+mac+账号绑定,也支持免认证方式的计费等方式; ü 用户管理功能: 支持用户分组管理、具备有完备的用户管理功能.能够对需要认证的用户进行动态修改,销户,删除。并可实时断开用户的访问。支持大量用户的初始化,随机产生用户名,密码。用户及时状态显示等。 ü 分级式管理:对用户可设置多种管理级别,支持多管理员、多收费员。 ü 用户自助服务:支持用户web查询上网时间、流量、结帐、费用等上网相关数据; ü 网页重定向功能:在用户尚未认证之前,能够把所有用户的网页访问请求重定向要指定的页面。也可重定向自定义认证页面; ü 支持802.1q协议,能适应cisco、3com、bay等各种支持802.1Q协议的交换机; ü 其它功能:ip-mac地址绑定功能,备份与恢复配置功能; 3.4、防病毒软件 ⑴ 趋势OfficeScan 8.0网络版: 以防为主。策略相对复杂。支持分布式部署。支持集中管控,管理功能强,经过管理控制台可对所有客户端统一部署防毒策略、统一更新病毒码、统一杀毒。而且能够统计出在网络中排名前10名的病毒感染者和病毒感染源。占用系统资源较低。测试过和Cisco NAC联动。H3C官方资料EAD能和趋势联动。因为没有H3C交换机,因此H3C EAD的测试没有做。产品型号:OfficeScan 8.0(客户端防护) ServerProtect5.58(服务器防护) 产品特点: ü 集中的Web管理界面:能够方便地经过任一浏览器随时掌握全网防毒状况,对防毒策略进行调整,对防毒日志进行审计; ü 安全漏洞防护:经过与CISCO NAC设备联动,对没有安装officescan客户端或者防病毒组件升级不正常的客户端,NAC设备能够阻止这些客户机进入网络。 ü 支持病毒爆发阻止策略:有效控制病毒扩散; ü 应用层、网络层双层防护:OfficeScan同时采用文件型病毒代码和网络型病毒代码分别基于应用层和网络层进行病毒实时清除; ü 集成网络版防火墙/IDS: ü 集成专杀工具:病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码能够自动更新,而且每一个病毒都有特定的专杀工具; ü 可抵御间谍软件和其它灰色软件的侵害; ü 病毒爆发监控:”病毒爆发监控”能够用来监控网络上有感染迹象的可疑活动; ü 严格的权限控制:对客户端的配置权限、退出权限、卸载权限进行严格限定; ü 可调整的扫描资源占用:为减少文件扫描对客户机 CPU 资源的需求,可手动调整扫描资源占用情况和一个文件与下一个文件之间的等待时间,降低扫描行为对其它应用系统的影响; ü 增量更新:对于其病毒码文件与防毒墙网络版服务器上最新版本相差不超过七个版本的防毒墙网络版客户机,能够经过增量方式更新其病毒码文件,而非更新整个病毒码文件; ü 更新代理设置:经过设定网络中任意计算机做为病毒码更新源,将其它计算机指定到该计算机更新,以节省网络带宽; ü 检测为安装防病毒软件的计算机:支持网络扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞; ü 定位病毒传染源:管理控制台自动生成网络中病毒传染源排行榜,并能给传染源机器发出提示信息; ü 邮件查杀和无线支持:支持对POP3邮件和Outlook文件的直接扫描,同时支持保护PDA等无线设备; ü 支持多种Web Server: IIS 和 Apache ü 支持64位平台:防毒墙网络版支持使用 64位处理器体系结构的 Windows XP/Server 计算机; ü 统计信息:管理控制台自动生成丰富的统计报表,如传染源排行榜、中毒客户机排行榜、病毒排行榜、病毒清除率、更新率、在线率等等病毒信息; ü 数据库管理:支持将纪录数据导入SQL服务器方便数据分析与管理 ü 灵活的客户端迁移:支持在客户端能够在不同的OfficeScan服务器中转移,不需重新安装; ü 大版本升级:大版本升级只需在服务端运行升级程序后,每个客户端就能够迅速获得最新版本,不需要重新部署; ⑵ 赛门铁克网络版: 以防为主。策略相对复杂,设置过高时会影响系统使用。管理功能一般,经过控制台可统一部署防毒策略、统一更新病毒码。杀毒效果还能够。能够和NAC和EAD联动。产品型号:Symantec网络版 11.0 产品特点: ü 从一个管理控制台提供高级病毒防护和监视; ü 实时扫描功能能够自动检测并删除企图在计算机上运行或安装的间谍软件; ü 经过一个控制台提供基于Web的集成图形报告和集中式管理; ü 间谍软件修复功能,有助于防范入侵风险。 ü Symantec采取主动防护技术,包括”行为阻截”技术、Seeker、数字免疫技术、NAVEX、bloodHond技术等技术; ü 每天都进行最新病毒定义的更新; ü 提供易用的管理功能 ; ü 服务器扩展方便,不需要客户端更改服务器地址(当服务器容量不够需要扩容时,只需增加服务器数量,然后将原服务

展开阅读全文