網(wǎng)神多核防火墻助公安圖像監(jiān)控安全防火墻解決方案

1、網(wǎng)神多核防火墻助公安圖像監(jiān)控安全-防火墻解決方案【項(xiàng)目背景】：A市公安圖像監(jiān)控IP網(wǎng)絡(luò)是該市公安圖像監(jiān)控網(wǎng)絡(luò)體系建設(shè)的重要組成部分，是一套獨(dú)立于現(xiàn)有公安信息網(wǎng)的專用網(wǎng)絡(luò)，是提供圖像數(shù)字化應(yīng)用的共享平臺(tái)。自“金盾”工程建設(shè)完成，隨著公安信息網(wǎng)絡(luò)應(yīng)用不斷擴(kuò)展，網(wǎng)絡(luò)負(fù)擔(dān)日趨沉重，難以負(fù)擔(dān)日益增加的視頻信息應(yīng)用需求。同時(shí)，由于公安信息網(wǎng)絡(luò)必須與其他單位網(wǎng)絡(luò)物理隔離，在圖像信息共享方面無法滿足。因此，需建立公安圖像監(jiān)控IP專用網(wǎng)絡(luò)以滿足各類視頻圖像的應(yīng)用和共享需求。公安圖像監(jiān)控IP網(wǎng)絡(luò)將為公安視頻圖像信息的應(yīng)用和共享提供高效的傳輸平臺(tái)。為確保網(wǎng)絡(luò)、各類視頻應(yīng)用及圖像信息的安全、可靠，使其更好地為公安指揮

2、決策、一線實(shí)戰(zhàn)服務(wù)，并且能夠充分利用社會(huì)圖像資源，實(shí)現(xiàn)安全可靠地視頻信息共享。為了能夠充分利用現(xiàn)有地各類社會(huì)圖像監(jiān)控資源，最大程度地發(fā)揮圖像監(jiān)控手段地戰(zhàn)斗力，在確保公安圖像信息與網(wǎng)絡(luò)安全地前提下，該市公安局圖像監(jiān)控網(wǎng)在市局、分縣局以及交警總隊(duì)、軌道分局、機(jī)場(chǎng)分局等20多個(gè)業(yè)務(wù)單位建立共享社會(huì)圖像監(jiān)控資源地安全通道。具體方式為在邊界處部署訪問控制設(shè)備對(duì)網(wǎng)絡(luò)流量進(jìn)行狀態(tài)檢測(cè)和過濾，確保圖像信息安全共享?！拘枨蠓治觥浚篈市公安圖像監(jiān)控IP網(wǎng)絡(luò)為公安視頻圖像信息的應(yīng)用和共享提供數(shù)字化應(yīng)用的共享平臺(tái)。公安地的市、分縣局接入了該網(wǎng)絡(luò)，為了加強(qiáng)公眾力度、滿足視頻圖像共享的需求，交警總隊(duì)、軌道分局、機(jī)場(chǎng)分局也

3、需要接入該網(wǎng)絡(luò)。由于A市公安圖像監(jiān)控IP網(wǎng)絡(luò)是以信息共享為主要建設(shè)目標(biāo)的，因此具有公安內(nèi)部開放性和互連性特性。這種特性致使該市公安圖像監(jiān)控IP網(wǎng)絡(luò)易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊。有由于公安視頻圖像屬于涉密信息，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問題。無論是有意的攻擊，還是無意的誤操作，都將會(huì)給系統(tǒng)帶來不可估量的損失。攻擊者可以嗅探網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改、盜取數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更有甚者，可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒等等，這些都使信息安全問題越來越復(fù)雜。所以網(wǎng)絡(luò)的安全性也就成為A市公安圖像監(jiān)控IP網(wǎng)絡(luò)

4、安全、高效、穩(wěn)定運(yùn)行的關(guān)鍵。根據(jù)該市公安圖像監(jiān)控IP網(wǎng)絡(luò)訪問控制子系統(tǒng)的建設(shè)，為了達(dá)到本此安全建設(shè)目標(biāo)，下面我們對(duì)訪問控制子系統(tǒng)的安全需求進(jìn)行分析。1、不同等級(jí)安全區(qū)域隔離，等級(jí)安全區(qū)域共享。A市公安局圖像監(jiān)控網(wǎng)在市局、分縣局以及交警總隊(duì)、軌道分局、機(jī)場(chǎng)分局等20多個(gè)業(yè)務(wù)單位。各業(yè)務(wù)單位已經(jīng)完成了公安圖像監(jiān)控系統(tǒng)的建設(shè)，形成了相對(duì)獨(dú)立的局域網(wǎng)。在局域網(wǎng)內(nèi)部各信息系統(tǒng)是具有相同安全保護(hù)需求、并相互信任的。這與安全域的定義完全吻合，各業(yè)務(wù)單位形成同級(jí)的安全域。為了防止各業(yè)務(wù)單位安全域內(nèi)信息系統(tǒng)遭到攻擊，需要將各業(yè)務(wù)單位安全域與A市公安圖像監(jiān)控IP網(wǎng)絡(luò)邏輯隔離。通過建立邊界訪問控制，可以有效規(guī)避大部

5、分基于網(wǎng)絡(luò)層攻擊對(duì)安全域造成的安全威脅，并降低系統(tǒng)層安全威脅對(duì)各業(yè)務(wù)單位安全域之間影響。利用邊界訪問控制手段，嚴(yán)格規(guī)范各業(yè)務(wù)單位安全域之間的數(shù)據(jù)傳輸及應(yīng)用，防范不同安全域之間的非法訪問和攻擊，從而確保各業(yè)務(wù)單位應(yīng)用的有序訪問。2、提高辦公效率和防泄密，保障視頻協(xié)議處理（1）P2P技術(shù)的迅猛發(fā)展給我們帶來很大的好處，但P2P技術(shù)的廣泛使用，也給網(wǎng)絡(luò)系統(tǒng)帶來了很大的挑戰(zhàn)。在一個(gè)局域網(wǎng)中如果有用戶在使用P2P軟件，將會(huì)使整個(gè)局域網(wǎng)的帶寬消耗殆盡，其它用戶的網(wǎng)絡(luò)速度會(huì)變得異常緩慢。因此為了保證A市公安圖像監(jiān)控IP網(wǎng)絡(luò)的安全運(yùn)行，通過安全網(wǎng)關(guān)設(shè)備針對(duì)p2p進(jìn)行阻斷或控制。（2）自聊天工具和電子郵件互聯(lián)網(wǎng)

6、使用以來，造成的泄密事件也不斷出現(xiàn)，成為信息安全威脅主要之一。A市公安圖像監(jiān)控IP網(wǎng)絡(luò)的視頻圖像信息是涉密信息，如果出現(xiàn)泄密，對(duì)A市公安系統(tǒng)的危害十分嚴(yán)重。因此在A市公安圖像監(jiān)控IP網(wǎng)絡(luò)中部署安全網(wǎng)關(guān)設(shè)備需要具有對(duì)即時(shí)通信工具的控制、即時(shí)通訊工具和郵件的內(nèi)容進(jìn)行過濾的功能。（3）在A市公安圖像監(jiān)控IP網(wǎng)絡(luò)中傳輸?shù)闹饕獏f(xié)議是視頻協(xié)議，包括：SIP、H.323等協(xié)議。視頻協(xié)議是一種多連接協(xié)議，因此在安全網(wǎng)關(guān)的訪問控制中需要針對(duì)視頻協(xié)議的特點(diǎn)進(jìn)行特殊的處理。不僅如此，視頻協(xié)議對(duì)網(wǎng)絡(luò)通信質(zhì)量的要求高、對(duì)網(wǎng)絡(luò)帶寬的要求，并且視頻協(xié)議對(duì)穿越網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)率有更高的要求，因此設(shè)備具有較強(qiáng)性能處理能力。

7、（4）在A市公安圖像監(jiān)控IP網(wǎng)絡(luò)的應(yīng)用層協(xié)議中處視頻協(xié)議之外，還包括多種其它應(yīng)用協(xié)議。如果不對(duì)這些應(yīng)用協(xié)議進(jìn)行控制，就會(huì)造成與視頻會(huì)議搶占網(wǎng)絡(luò)帶寬，造成公安圖像的延遲和不穩(wěn)定，影響使用效果。為了解決上述問題，我們需要QoS（服務(wù)質(zhì)量）管理。QoS（Quality of Service）是網(wǎng)絡(luò)的一種安全機(jī)制， 是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。 在正常情況下，如果網(wǎng)絡(luò)只用于特定的無時(shí)間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如Web應(yīng)用，或E-mail設(shè)置等。但是對(duì)關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過載或擁塞時(shí)，QoS 能確保重要業(yè)務(wù)量不受延遲或丟棄，同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行。因此需要通過不

8、同類別和等級(jí)、不同優(yōu)先級(jí)來保證主要業(yè)務(wù)暢通運(yùn)行3、如何靈活統(tǒng)一所有設(shè)備運(yùn)行和管理在A市公安圖像監(jiān)控IP網(wǎng)絡(luò)中安全網(wǎng)關(guān)部署在A市公安局圖像監(jiān)控網(wǎng)在市局、分縣局以及交警總隊(duì)、軌道分局、機(jī)場(chǎng)分局等20多個(gè)業(yè)務(wù)單位，共需要幾十臺(tái)安全設(shè)備，數(shù)量較多。安全設(shè)備的集中監(jiān)控、策略分發(fā)、統(tǒng)一審計(jì)、安全審計(jì)和事件告警等管理工作是否完善直接影響著安全網(wǎng)關(guān)的安全防護(hù)能力。因此，建立A市公安圖像監(jiān)控IP網(wǎng)絡(luò)安全網(wǎng)關(guān)集中管理系統(tǒng)是十分重要的?！窘鉀Q方案】：根據(jù)上述A市公安圖像監(jiān)控IP網(wǎng)絡(luò)的安全需求分析，我們制定了由安全設(shè)備和集中管理中心為組件的技術(shù)解決方案，技術(shù)解決方案的詳細(xì)設(shè)計(jì)如下：1、防火墻技術(shù)解決方案：（1）在A市

9、公安圖像監(jiān)控網(wǎng)市局、分縣局以及交警總隊(duì)、軌道分局、機(jī)場(chǎng)分局等20多個(gè)業(yè)務(wù)單位邊界部署防火墻。通過部署防火墻，將各單位視頻等服務(wù)器劃分為DMZ區(qū)域和辦公區(qū)域，可以對(duì)A市公安圖像監(jiān)控IP網(wǎng)絡(luò)的各業(yè)務(wù)單位安全域進(jìn)行邏輯隔離，對(duì)各業(yè)務(wù)單位安全域之間的各種協(xié)議和應(yīng)用進(jìn)行有效控制，與入侵防護(hù)功能，防蠕蟲功能相結(jié)合防御網(wǎng)絡(luò)攻擊。（2）通過防火墻分區(qū)域規(guī)則控制，禁止非安全區(qū)域訪問，保障各單位等級(jí)安全區(qū)域共享；對(duì)于各單位內(nèi)辦公區(qū)域規(guī)則控制，開啟IM、郵件過濾功能，防止內(nèi)部信息泄密；針對(duì)局域網(wǎng)用戶廣泛使用P2P軟件，開啟防火墻P2P控制/禁止，保證A市公安圖像監(jiān)控IP網(wǎng)絡(luò)的安全運(yùn)行和辦公效率；開啟防火墻日志分析功

10、能，不僅記錄視頻等服務(wù)器訪問記錄，同時(shí)跟蹤防火墻使用情況，真正做到有據(jù)可查、快速定位的效果。（3）針對(duì)視頻協(xié)議對(duì)網(wǎng)絡(luò)通信質(zhì)量的要求高，并且視頻協(xié)議對(duì)穿越網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)率有更高的要求情況下，網(wǎng)御神州提供了高端網(wǎng)神SecGate 3600 G30防火墻。G30防火墻基于多核處理器硬件架構(gòu)與新一代多核并行操作系統(tǒng)SecOS，能夠最大化的做到并行處理，分擔(dān)數(shù)據(jù)流量，從而極大的提升了網(wǎng)絡(luò)數(shù)據(jù)處理性能，因此可以快速全線速轉(zhuǎn)發(fā)大量視頻流量，且能有效過濾所有數(shù)據(jù)報(bào)文，保證網(wǎng)絡(luò)安全暢通。同時(shí)防火墻多核架構(gòu)的靈活性可以無限期的升級(jí)，足夠的保證未來網(wǎng)絡(luò)數(shù)據(jù)處理能力和避免重復(fù)性投資。全功能升級(jí)能力較好，可以針對(duì)

11、新的攻擊方式增加安全防護(hù)功能。網(wǎng)神SecGate 3600 G30防火墻支持精細(xì)的多級(jí)帶寬管理與限制，能夠根據(jù)用戶應(yīng)用的不同提供不同等級(jí)的QoS質(zhì)量保證， 從而可以保證視頻業(yè)務(wù)的高可靠與高穩(wěn)定。2、集中管理解決方案：防火墻作為網(wǎng)關(guān)級(jí)訪問控制設(shè)備部署在網(wǎng)絡(luò)邊界，如果防火墻發(fā)生故障將嚴(yán)重影響A市公安圖像監(jiān)控IP網(wǎng)絡(luò)中各種應(yīng)用的運(yùn)行。同時(shí)，根據(jù)網(wǎng)絡(luò)中攻擊方式的變化，以及應(yīng)用的調(diào)整，需求適當(dāng)?shù)母淖兎阑饓Φ陌踩呗?，防火墻的管理是安全管理員的重要日常工作。因此我們?cè)谠撌芯植渴鹁W(wǎng)神SecGateManager集中管理軟件，通過網(wǎng)神SecGateManager集中管理軟件將該市20多個(gè)單位防火墻統(tǒng)一進(jìn)行管理

12、，其中主要體現(xiàn)在：（1）防火墻集中管理系統(tǒng)支持設(shè)備的拓?fù)鋱D形顯示，能自動(dòng)識(shí)別和發(fā)現(xiàn)新加入的設(shè)備拓?fù)鋱D，提供放大、縮小和鳥瞰功能，可以方便和直觀的管理管理。（2）防火墻集中管理系統(tǒng)支持對(duì)網(wǎng)絡(luò)故障的直觀圖形顯示，當(dāng)設(shè)備發(fā)生故障是，可以通過圖標(biāo)的變化在網(wǎng)絡(luò)拓?fù)渲酗@示出來，可以一目了然地發(fā)現(xiàn)網(wǎng)絡(luò)和設(shè)備的故障所在。（3）支持設(shè)備的實(shí)時(shí)性能分析，能夠?qū)崟r(shí)查看設(shè)備的CPU利用率，內(nèi)存利用率和磁盤使用情況，接口流量、接口利用率、接口錯(cuò)誤率，接口丟包率和接口流速。實(shí)時(shí)?？梢暬斜O(jiān)控。（4）能通過統(tǒng)一的入口進(jìn)入設(shè)備WEB管理配置界面，實(shí)現(xiàn)同時(shí)管理多臺(tái)設(shè)備。（5）可以對(duì)防火墻設(shè)備分組進(jìn)行管理，支持以設(shè)備組為單位對(duì)防火墻設(shè)備群進(jìn)行統(tǒng)一監(jiān)控。（6）支持防火墻時(shí)間以及校時(shí)方式進(jìn)行統(tǒng)一設(shè)置。（7）安全策略的集中編輯及下發(fā)，把配置安全策略的過程轉(zhuǎn)變?yōu)椤熬庉嬒掳l(fā)”的過程，少了安全策略的沖突和漏洞、增強(qiáng)了全網(wǎng)的整體安全性。支持對(duì)IP