吉林鋼鐵網絡安全方案

年5月29日吉林鋼鐵網絡安全方案文檔僅供參考 吉林鋼鐵網絡安全方案一、網絡安全整體設計:網絡的安全是保障網絡系統穩(wěn)定運行的前提。網絡安全也是網絡內部信息泄漏的主要原因之一。在吉林鋼鐵廠網絡中,包括了生產、辦公、財務等眾多重要部門,而且提供專網訪問與互聯網訪問。現有的安全設備只有防火墻,為確保各部門信息數據的安全性和保密性,現有的這些安全設備還遠遠不夠,還需要增加相應的安全產品,保證網絡在受到攻擊時網絡設備的穩(wěn)定性,從而提高整個網絡的穩(wěn)定可靠性?；谝陨弦筇岢霰痉桨?。吉林鋼鐵網絡整體安全方案根據網絡中不同服務功能模塊、不同安全級別及管理需求進行劃分。共分未4個區(qū)塊。分別是:互聯網外聯區(qū)塊:負責連接互聯網。是對外的出口。而且會放置公共服務器,比如EMAIL、WWW服務器。此區(qū)塊是安全的重點防護區(qū)。根據方案設計,未來的互聯網雙出口,分別接入到不同的ISP。ISP接入直接連接到防火墻上,防火墻提供SSLVPN功能和正常的安全保護。骨干網區(qū)塊:網管、安全區(qū)塊:企業(yè)專線區(qū)塊:網絡終端安全1.1、外聯區(qū)塊:①Firewall+IPS+SSLVPN在安全體系中,設計采用雙互聯網接入方式。在外聯區(qū)使用Firewall+IPS+SSLVPN、防毒墻、流量控制系統提供整體流量管控、防病毒和防攻擊架構。來自外部網絡的數據流量,首先經過帶有入侵防御功能的防火墻。傳統的防火墻只能根據配置的策略來對數據包是否能經過進行判斷。具體是根據在數據包中的源IP地址、目的IP地址、協議類型、源端口、目的端口這5個。假設出現了一種新的惡意流量,這種新流量沒有在防火墻上部署過,那么防火墻對其沒有識別和檢測的能力。因此,防火墻屬于被動的安全方式。當事件產生后,經過對防火墻進行設置來解決問題。注意,問題發(fā)生后才能發(fā)現問題解決問題,已經造成了實際的損失了。IPS(入侵保護系統)是一種主動安全產品。在IPS中存放了很多攻擊簽名庫,簽名就是某種類型攻擊的特征碼。當有新的攻擊信息是,及時更新簽名庫。這樣就能夠識別最新的攻擊信息而且對惡意流量做出動作。IPS的簽名庫是根據某種攻擊行為的特征碼和攻擊行為做出響應。如果某種攻擊行為使用動態(tài)端口,那么在防火墻上使用傳統的封鎖端口方法沒有效果。IPS就能夠根據數據包行為的相關性識別出攻擊行為,而且做出反映。VPN叫做虛擬專用網絡。經過在源端和VPN接入網關之間建立虛擬的點對點的隧道,而且對隧道中的數據流進行高強度加密實現了安全的遠程接入。使用3DES\AES等加密方式對數據進行高響度加密,就算數據流在傳輸途中被截獲也無法讀取具體的數據內容。同時使用MD5\SHA-1等單向散列算法,在數據傳輸過程中,密鑰對并不進行傳輸,在接收端,根據密鑰算法對數據進散列運算對比其運算結果,來判斷數據是否被修改過。如果數據被修改過,拒收數據。這樣就算數據被修改過,也能識別出來。散列算法的特點是在發(fā)起端和接入網關端對數據都是進行正向算法,因此不可破解。是最安全的算法。SSLVPN是現在最流行的VPN接入方式,其特點是不需要安裝任何客戶端。只要能夠使用瀏覽器,不論在什么位置都能夠經過VPN訪問公司內網。②DMZ策略:同時在防火墻DMZ區(qū)域放置公共服務器。對DMZ中的流量進行嚴格的權限設定。安全級別的設定規(guī)定內部接口安全級別最高,DMZ接口的安全級別中等,外部接口的安全級別最低。根據信任關系,級別低的接口信任級別高的接口,級別高的接口不信任級別低的接口。這樣,內部到外部的數據都是允許的,外部到DMZ和內部的數據不被信任。其結果是:1、由內部或DMZ發(fā)起到外部的數據總是允許。2、外部發(fā)起的到內部的數據總是被阻止。3、外部發(fā)起到DMZ的某些數據被允許,因為在DMZ中放置的是對外的公共服務器。4、由內部或DMZ發(fā)起的到外部的數據流,其返回包被允許從外部接口進入,外部不能發(fā)起到內部或DMZ的請求。4、由內部發(fā)起到DMZ的數據流其返回包能夠進入內部,由DMZ發(fā)起到內部的信息被攔截。這樣設計是因為外部能夠訪問DMZ。如果DMZ中的服務器被外來的黑客攻占,也只能破壞公共服務器本身系統,不能經過DMZ中的主機跳轉到內部。絕對保證內網的安全。③防毒墻:眾所周之,沒有任何殺毒軟件能完全阻止病毒的進入,而且現在有很多免殺工具能夠欺騙殺毒軟件或者殺掉殺毒軟件的進程。如果遇到這樣的病毒或者木馬,計算機上的殺毒軟件就沒有用武之地了。硬件防毒網關的好處是直接在出口上對數據進行過濾,有安全威脅的數據在網絡層面被直接丟棄,不會轉發(fā)到內部。只有防毒網關不能識別的極少數病毒才能進入內部。這些病毒又會遇到殺毒軟件的再次查殺。這樣整個網絡的防毒體系就更加強壯。從多個方面保證免受病毒的入侵。需要強調的是,計算機的殺毒軟件和防毒網關應該選用不同的產品。因為不同的產品有不同的病毒特征庫,而不同的特征庫能夠互補,強化了病毒防護的等級。④流控網關:現在互聯網中P2P的流量占據了絕大部分的流量。P2P的特征是多個客戶之間彼此進行資源共享,直接從對等的客戶之間獲取數據,而且現在眾多的P2P軟件都使用動態(tài)端口。因此不能用傳統的攔截端口、IP地址的方法來封鎖。要對P2P流量進行限制,就只能經過應用特征識別的方式來實現?，F在國內外很多廠商都推出了專用的流量控制網關。根據P2P協議的特征碼來識別并進行阻斷或限速。而且此類產品還能夠識別游戲、在線視頻、股票等各種非工作流量,保證在工作時間只能經過與工作相關的流量。并根據業(yè)務的重要程度對數據流進行分類,保證關鍵業(yè)務和視頻會議這樣的對延遲敏感的數據得到足夠的服務。⑤專用的網絡基礎設施:因為外聯區(qū)塊是企業(yè)網和外部網絡的接口,因此這個區(qū)域的安全策略一定要非常嚴格。因此此區(qū)塊的設備不能直接接入到內部的骨干交換機。采用2臺專用的外聯交換機連接所有的外聯設備。這2臺交換機要支持比較多的安全策略。而且在相連接的骨干交換機的端口進行嚴格的安全策略限制。⑥外聯區(qū)綜述:結合上述的部署,在外聯區(qū)采用了FW+IPS+SSLVPN+防毒墻+流控墻+專用的路由器防火墻的連接方式。不同的安全設備專注不同的安全領域。同時又遵從統一的安全策略設計。經過這樣的設計,來自與外部的數據的安全性得到了保證。防止病毒也攻擊流量”并從口入”。1.2、網絡核心:在H3C9500主交換上,使用旁路模式連接IPS系統,采集全網流量信息,分析整個網絡的網絡攻擊信息。吉林鋼鐵設計使用10G骨干,若IPS采用inline模式,就得選用支持10G的IPS產品,價格非常昂貴。根基整體方案設計,在專線、互聯網處都使用了防火墻、防毒墻、流控墻等產品,在終端部署EAD對終端進行準入控制,并限制終端電腦上運行的軟件,因此網內的流量相對比較安全。因此采用bypass方式的IPS,只對網絡中的流量進行分析檢測,如果發(fā)現入侵信息,采取的措施是與其它安全設備聯動,或者發(fā)送信息給網絡管理人員,及時做出策略。而且使用H3CA1000安全管理器,對IPS提交的信息進行智能分類、分析,形成攻擊報告,并提供安全隱患處理手段報告。IPS采集的信息量非常龐大,而且不能對各種信息進行分類。這就產生了一個問題:網絡管理人員面對IPS發(fā)來的數萬條的log信息很難一一查看,而且要在其中找出事件的相關信息也如同大海撈針。SecPathA1000安全分析產品能夠對IPS發(fā)來的信息進行分析、歸類、而且進行過濾。首先從數以萬計的信息中排除誤報等情況,篩選出來有價值的信息。接著基事件的攻擊特點和影響程度分成不同的安全級別不同的攻擊類型。然后記錄該事件,而且找出事件的相關性。例如A登陸到B上攻擊了C,這樣的攻擊路徑也會被記載,提交到網絡管理中心,而且還會提出排除問題的方法。1.3、服務器、網管區(qū)塊服務器區(qū)塊和網管中心區(qū)塊使用10GE連接到主交換上。這兩個區(qū)塊是整個網絡安全重要保護點,要絕對保證這部分網絡服務的持續(xù)性和安全性?？墒?0G的防火墻價格及其昂貴,因此建議在H3CS9500主交換上使用防火墻模塊來對內網流量進行全面的安全管理。重點在于保護服務器區(qū)塊免受攻擊,保護網絡安全管理中心免受攻擊。(此模塊在H3C整體網絡方案中沒有提供,建議合同變更時添加此模塊)。1.4企業(yè)專線從吉林到明城、北京的專線,使用H3CUTM(統一威脅管理,包含殺毒、防火墻、入侵檢測功能)來防止惡意流量經過企業(yè)內部專線在北京、吉林、明城之間傳播。保證內網流量純凈。北京或明城都有安全體系,而且都屬于內部網絡,相對來講屬于信任區(qū)域?？墒且惨乐辜只虮本┎《颈l(fā)或者客戶機中毒發(fā)動攻擊等情況對吉林鋼鐵內網的威脅。UTM相當于把防火墻、IPS、防毒網關集成到一個設備上。與單獨的防火墻、IPS、防毒墻相比,UTM只是性能較若?？墒莾染W的流量不是很大,而且流量類型相對外網比不復雜。因此整體方案中選擇了H3C的UTM產品。1.5終端安全⑴端點準入:內網安全問題近來日益成為網絡安全的重點防護對象。有了防火墻、防毒墻、IPS等產品在出口把守,一般來自于外部的攻擊流量不容易流入。而內網中中毒的計算機可能帶來更多的威脅。因此終端準入系統發(fā)揮著越來越重要的作用。終端準入系統能夠根基終端計算機的健康狀態(tài),來決定是否準許用戶接入到網絡中。能夠檢查的信息包括:用戶是否安裝了指定的殺毒軟件、殺毒軟件的版本是否更新到最新、操作系統是否已經打了最新的補丁、計算機是否安裝了不被允許的軟件。如果發(fā)現用戶有違反健康狀態(tài)的情況,那么交換機等網絡設備會自動把用戶放置到隔離區(qū),而且?guī)椭K端計算機更新各種補丁升級包。當終端計算機恢復健康狀態(tài),就能夠重新接入到網絡。這樣,避免了一臺終端出現問題之后波及到其它的地方。隔離區(qū)就相當于重病看護病房。出現健康問題的計算機只能在這里互相傳染。而且這種隔離的行為都是自動的。當前我們選擇的是H3CEAD終端準入系統。此系統具有軟件黑白名單管理功能。經過這一功能,如果發(fā)現用戶終端計算機上安裝了禁止使用的軟件,比如迅雷、BT、股票軟件,用戶的計算機會自動斷網。如果用戶的殺毒軟件被惡意程序破壞,或者沒有更新重要補丁,也會被自動斷網。⑵防毒軟件:終端防毒體系對于企業(yè)的計算機網絡穩(wěn)定運行意義重大。在大型企業(yè)部署中,應該使用網絡版殺毒。設計思想要以防毒為主。防毒軟件和防毒網關要使用不同病毒庫的產品,這樣能夠有雙重的保障。同時要能夠和端點準入系統良好的聯動,保證終端計算機處于健康的狀態(tài)。⑶軟件分發(fā)、補丁管理:SCCM,微軟系統管理中心。能夠支持定義策略的補丁管理。而且具有軟件分發(fā)能力。所有安裝SCCM客戶端的終端機都,如果需要批量安裝、卸載某軟件,都能夠經過SCCM來實施。這樣能夠保證整個公司終端機使用的軟件統一。而且具有資產管理功能,能夠收集終端計算機的軟件、硬件列表,實現計算機資產管理功能,并能跟蹤終端計算機的軟硬件變更。同時能夠形成終端計算機軟件使用率分析報告,據此我們能夠分析用戶最常見的軟件是什么。二、網絡安全現狀介:2.1、當前運行情況吉林鋼鐵當前已經初具規(guī)模,然而安全建設一直沒有做過投入。隨著用戶數量的增多,對網絡安全和網絡管理提出了更高的要求。當前網絡設備極度匱乏已經造成了很多問題,包括病毒爆發(fā),木馬橫行。因此急需網絡安全設備,來保證吉林鋼鐵網絡的良好運行。2.2、設備現狀和需求網絡整體設計方案中已經包含了H3C的IDS(入侵檢測系統)、UTM(統一威脅管理)、H3CIMC(認證管理系統純軟件)、FWSSLVPN、H3CEAD(端點接入檢測)部分。根據整體安全架構,依然缺少終端防毒系統、硬件防毒網關、流量控制系統、補丁管理系統、用戶認證網關。這些部分當前需求迫切。其中H3CSSLVPN防火墻雖然在網絡整體設計方案中,可是此產品當前已經投入使用,需要購買。序號種類功能H3C方案是否包含是否建議采購1外網防火墻全網保護YY2SSLVPN提供SSLVPN接入YY3認證軟件用戶數據庫YN4UTM企業(yè)專線防護YN5端點管控EAD終端接入網絡控制YN6IDS/IPS主動入侵檢測、保護YN7監(jiān)控分析響應智能攻擊分析系統YN8S9500防火墻模塊主交換上的防火墻模塊YN9防毒墻硬件防毒網關NY10殺毒軟件網絡版防毒軟件NY11補丁管理所有用戶補丁升級管理NY12流量控制限制互聯網流量NY13服務器硬件防毒、認證、端點準入硬件平臺NY14認證網關互聯網認證網關NY另外,H3C已經提供了EAD軟件包,可是由于沒有H3C交換機,因此沒有成規(guī)模的測試EAD的使用效果以及其性能。因此,建議采購少數幾臺H3C交換機,在真正上線之前,在實際環(huán)境中測試EAD的使用效果。因為如果有問題,正式上線后才發(fā)現影響就太嚴重了。以上建議采購的產品列表是根據吉林鋼鐵當前環(huán)境,并結合最終系統上線的情況分析,給出的建議。請領導批示。三、曾作過的測試及結果3.1、流量控制系統⑴城市熱點:5月10月測試。經過測試,發(fā)現能夠識別大部分常見的網絡流量。操作界面簡潔。當時公司共有300多臺PC,都能夠訪問互聯網。使用后效果很明顯。產品型號:DR.COMP2P-1000產品規(guī)格:2個千兆以太網電口,最大吞吐量1G,產品特點:基于用戶的P2P限流;區(qū)別于單純的限制一個通道中各種流量,能夠針對每個用戶的P2P業(yè)務流量進行帶寬控制升級容易;P2P應用層出不窮,而對P2P的包的識別是基于應用層的,沒有固定的規(guī)律,城市熱點的接入服務器能夠隨時經過升級內核來處理影響流量的P2P應用,將來能夠采用類似升級病毒庫的方式來升級P2P的描述庫。易于擴展;接入服務器的網絡位置比較合理:每臺處理的用戶數一般在1000-8000個水平,100M－1G的網絡帶寬,擴容只需要增加接入服務器,實現橫向升級,如果放在接入層交換機,升級的數量較大,放在核心層交換機,升級的成本過高,放在出口路由,單臺處理能力無法滿足。因此,將P2P限流功能放在接入服務器是性價比最高的方式。這當然也是要接入服務器的性能作為保障。防BT協議端口:Dr.COM的BT協議控制,包含針對BT通用端口的限制,用戶如果無須完全杜絕BT下載,而只需要屏蔽大部分BT通用端口限制BT下載的TCP/UDP會話數:Dr.COM的BT協議控制,能夠經過限制每個用戶的TCP/UDP會話數,用戶如果無須完全杜絕BT下載,那限制TCP/UDP會話數,從而在一定程度上限制每個用戶的BT軟件的連接數。限制P2P流量控制(BT)下載的上下行帶寬:Dr.COM的P2P流量控制,能夠根據不同的組用戶和不同的時間段,分別限制每個用戶的上下行帶寬,用戶如果無須完全杜絕BT下載,那限制上下行帶寬,從而限制每個用戶的P2P流量控制下載的速率。⑵北京網康:10月11月測試。識別率和管控率對比城市熱點效果差一些。操作界面簡潔,支持常見非法URL過濾。對網頁訪問速度不能提供很好的保證。網絡接近峰值運行。產品型號:NS15000產品規(guī)格:4個千兆以太網電接口,最大吞吐量1G產品特點:采用融合的深度包檢測和動態(tài)流識別(DPI+DFI)技術,經過協議特征、流量特征以及行為模式識別技術,精確識別網絡應用,包括各種加密協議協議特征庫,超過240種應用,全面覆蓋電子郵件、P2P下載、即時消息、VoIP、網絡視頻、網絡游戲等流行應用。流量監(jiān)管與整形技術,實現流量控制精度1kbps采用”多維非線性策略管理”引擎,提高策略匹配的效率與靈活性,支持2萬條策略規(guī)則?；谟脩?、應用、時間、數據流向(上傳/下載)等條件,設置靈活的策略組合,實現按照每用戶/每部門、每應用設置差異化的流量控制策略提供應用封堵、流量整形、流量限額、連接限制等多種手段,實現流量控制的多種效果支持帶寬借用/還貸機制,并根據用戶數量的變化動態(tài)調整帶寬分配,保障帶寬資源高效與公平利用硬件設備支持斷電物理直通,避免電源失效導致的網絡中斷一鍵式旁路切換技術,主動調整網絡負載軟件死鎖與高負載自動跳轉技術,根據預設閾值自動分流高負載流量系統軟件熱備,當主控制系統發(fā)生異常后,備份系統可保持系統繼續(xù)運轉⑶H3CACG:12月初至今在測試使用。識別率和管控率很好。產品設計專業(yè)。配合PFC(無電源連接器)能夠實現硬件級故障bypass。功能豐富,操作界面清晰明確。產品型號:ACG-M產品規(guī)格:6個千兆以太網電接口,最大吞吐量2G產品特點:經過的狀態(tài)機檢測技術,能精確檢測BitTorrent、Thunder(迅雷)、eMule、eDonkey、QQ、MSN、PPLive等近百種P2P/IM應用。同時,可基于時間、用戶、區(qū)域、應用協議,對P2P/IM應用進行告警、限速、干擾或阻斷?？蓪Ω鞣NP2P/IM、網絡游戲、網絡多媒體、文件共享、郵件收發(fā)、數據傳輸等各種上網行為提供全方面的行為監(jiān)控和記錄;同時,經過綜合分析、檢測用戶網絡流量與流向趨勢,事后對歷史數據進行分析。經過自定義IP地址、主機名、正則表示式等方式設置URL特征庫,支持根據不同的URL策略設置不同的響應方式,支持根據時間表對不同的URL策略設置不同的響應動作,避免保密信息的外泄,免受非法信息的干擾。提供業(yè)務流量趨勢圖、流量分布圖、TopN用戶列表、TopN應用協議列表等報表,并支持按照用戶名/用戶組、使用頻度、使用時段、應用分類、應用協議、流量大小等進行多維度組合定制報表,使用戶能全面掌握網絡中的流量、應用和業(yè)務分布。支持對Skype、H.323、SIP、中橋、UUCall等近百種協議或網關的呼叫識別、阻斷或干擾。采用業(yè)界流行的ID軌跡檢測技術、時鐘偏移檢測技術,結合多種應用層特征檢測技術如應用特征檢測、流量/連接數統計、TTL檢測、MAC地址檢測等,能實時準確的識別出以NAT、Proxy方式進行共享接入的用戶以及準確的PC數量,并實施告警、阻斷等控制措施。采用先進的技術分析手段,全面分析網絡應用的流量類型和流量流向趨勢,統計網絡熱點,發(fā)掘業(yè)務增長點;分析用戶行為。同時,能對網絡多媒體、網絡游戲、炒股等應用進行識別與控制,經過URL過濾、關鍵字過濾、內容過濾等多種Internet訪問控制策略,規(guī)范內網用戶上網行為?；谛乱淮嗪薈PU+FPGA硬件架構,業(yè)務與轉發(fā)相分離,實現了千兆級線速業(yè)務處理能力;經過雙電源冗余、掉電保護、二層回退等高可靠性設計,保證SecPathACG在斷電、軟硬件故障或鏈路故障的情況下,網絡鏈路依然暢通。對應用協議特征庫及時更新;支持在線自動/手動升級方式,升級過程無需重啟系統,不影響系統業(yè)務運行。⑷從測試效果來看,H3CACG的效果較好。3.2、防毒墻⑴趨勢IWSA:使用趨勢病毒庫。識別率和攔截率不錯,能夠支持惡意URL攔截,對網絡性能沒有影響。已完成測試報告。產品型號:IWSA-2500-L產品規(guī)格:2個千兆以太網電口,使用趨勢科技病毒庫產品特點:提供零日攻擊防護無需本地更新連接層阻止,節(jié)省帶寬

針對HTTP和FTP流量中的各種新型威脅進行防護攔截間諜軟件的回撥(Phone-home)企圖,阻止間諜軟件下載阻止惡意程序經過即時通信程序進行擴散阻止訪問與間諜軟件或網絡釣魚有關的網站發(fā)現網絡節(jié)點有Web威脅相關的活動時自動啟動遠程損害清除服務憑借靈活的策略和完整的間諜軟件數據庫實施URL過濾采用Web信譽技術(WRT)對網頁進行實時分類,實現安全訪問經過分析和驗證ActiveX&JavaApplet中含有的威脅來阻止插件安裝式攻擊控制員工對不適當網站的訪問。即插即防優(yōu)化的操作系統降低安全風險控管中心TMCM集中管理狀態(tài)一覽提供詳細連接、資源占用狀況可實時或定時生成日志報表支持SNMP、LDAP和ActiveDirectory,實現緊密集成,降低擁有成本⑵CPsecure:采用卡巴斯基和CPSECURE雙掃描引擎和病毒庫。先后測試了2款產品,第一款由于性能不足,導致網絡運行緩慢。后聯系廠家協調,更換了性能更好的產品,使用中沒有再出現問題,病毒識別率攔截率好。已完成測試報告。CPsecure公司已經被收購。產品后續(xù)升級存在問題。產品型號:CPSecureCSG-1000+產品規(guī)格:2個千兆以太網電口,采用卡巴斯基和CPSECURE雙掃描引擎和病毒庫產品特點:CPSecure的內容安全網關采用了與傳統的隨機存取算法(Batch-basedScanning)不同的掃描技術:串流掃描算法(Stream-basedScanning),該算法能夠在獲得很高的吞吐率的同時大大減少網絡延遲和超時的問題CSG安全網關攔截和掃描http,FTP,SMTP,POP3,IMAP4和httpS等六大通訊協議以檢測惡意軟件。管理員能夠開啟或關閉對每種協議的掃描對于http和FTP信息的掃描,可阻止惡意內容不到達用戶處CSG安全網關也能夠檢測出對網絡性能影響嚴重的蠕蟲攻擊行為。CSG經過監(jiān)聽蠕蟲傳播常見的端口以外,還可經過用戶自定義端口進行監(jiān)聽,這樣CSG就能夠攔截蠕蟲傳播的途徑,這樣不但能夠保護網絡中個人PC/服務器的安全,也能夠減少網絡中不必要的流量CSG的Anti-Spam功能由五部分組成:白名單,黑名單,RBL,灰名單,啟發(fā)式掃描⑶天融信:使用卡巴斯基病毒庫,病毒識別率攔截率好。使用后對網絡性能沒有不良影響。已完成測試報告。產品型號:TF-8423-Virus產品規(guī)格:最大配置5個接口,包括2個千兆電接口,2個SFP插槽,1個百兆電接口,帶硬件的BYPASS功能,采用卡巴斯基病毒庫產品特點:單或雙通道的病毒過濾:在過濾網關內部采用創(chuàng)新的技術可使用戶選擇單或雙通道的病毒掃描通道。當配置成雙通道,兩條通道之間相互隔離,增加了產品的可擴展性;流掃瞄技術:運用流掃瞄技術的實時掃瞄優(yōu)勢,充分發(fā)揮網絡效能,可抵御病毒(Virus)、蠕蟲(Worm)、垃圾郵件(Spam)、廣告軟件(Adware)、間諜軟件(Spyware)、木馬程序及其它惡意程序的入侵;全面的協議保護:過濾網關對SMTP、POP3、IMAP、HTTP和FTP等應用協議進行病毒掃描和過濾,有效地防止可能的病毒威脅;內嵌的內容過濾功能:過濾網關支持對數據內容進行檢查,能夠采用關鍵字過濾,URL過濾等方式來阻止非法數據進入企業(yè)網絡,同時支持對Java等小程序進行過濾等,防止可能的惡意代碼進入企業(yè)網絡;防垃圾郵件功能:過濾網關采用黑名單技術實時檢測垃圾郵件并阻止其進入網絡,節(jié)省寶貴的帶寬,同時支持灰名單和啟發(fā)式掃描的反垃圾郵件的算法來進行垃圾郵件防御;防蠕蟲攻擊:過濾網關能夠實時檢測到日益泛濫的蠕蟲攻擊,并對其進行實時阻斷,防止企業(yè)網絡因遭受蠕蟲攻擊而陷于癱瘓;報警功能:報警配置用于當某個病毒突然爆發(fā)時,網絡衛(wèi)士防病毒網關可向網絡管理員發(fā)送報警信息;網關構建在高性能的硬件平臺上,實現過濾網關的高可靠性,過濾網關能夠實現雙機熱備,完全滿足關鍵業(yè)務的安全運行需求;監(jiān)控功能:防病毒網關提供的監(jiān)控功能,能夠監(jiān)控過濾網關系統資源、網絡流量、當前會話數、當前病毒掃描信息等,極大地方便管理員對過濾網關進行監(jiān)控;⑷從測試效果來看,CPsecure和天融信的效果較好。3.3、互聯網認證網關⑴城市熱點認證網關:剛實施上網管控時使用此產品。能夠支持客戶端認證和IE觸發(fā)認證。能夠使用外部AAA服務器。效果較好。和CISCO認證數據庫的兼容效果一般,廠家工程師解釋如果購買能夠提供二次開發(fā)服務。能支持單用戶帶寬限制產品型號:DR.COMBMG-1000產品規(guī)格:1000并發(fā),3個100/1000兆電口產品特點:支持橋接方式和路由方式,地址轉換(NAT)策略,可設置透明,部分透明,和NAT模式;支持內外網端口映射策略地址映射策略;DHCP策略,可設置多段DHCP網段、租用時間、支持32個DHCP地址池,以及能夠實時查詢DHCP分配的地址狀態(tài),支持根據VLAN分配DHCP池;目標地址的分類策略,將目標地址能夠定義多個組,例如國內地址組,國際地址組;;源地址控制策略,指定范圍的IP地址才能登錄;TCP/UDP端口控制策略;客戶端封裝策略,對訪問指定的目標地址不做網絡標記;網關內部的用戶資料的查詢;支持按地區(qū)組,計費組的管理權限設置,管理分級授權,分為運維、營帳、超級管理員等級別,并可單獨設置不同的操作權限;支持telnet功能,可二次telnet內網設備支持遠程管理,可使用專用軟件進行遠程管理支持認證方式包括:Dr.COM客戶端,Web,PPPoE,PPTP,802.1x等認證方式;兩種認證模式:賬號密碼認證和免賬號認證(專線方式和直通方式);可實現基于用戶名和密碼的身份認證,能夠透過三層網絡綁定用戶的IP、MAC、VLAN等重要網元信息;支持最高16000個用戶的內部資料,單臺支持最高16000個同時在線用作為RadiusClint,外部認證支持標準Radius和多個廠家的擴展屬性,并支持基于LDAP的外部認證;并支持一主一備的外部Radius服務器,并能夠實現RadiusCache的功能;在做RadiusClint的同時,能夠作為RadiusServer,為其它接入設備提供認證;多臺網關的之間的關聯認證和同步,對于多個出口的情況,一次認證就能夠經過各個網關;支持網關與802.1x交換機的同步認證,一次認證能夠同時登錄內網和外支持基于Dr.COM客戶端、802.1x客戶端和PPPoE客戶端的防私接功可授予控制用戶上下行帶寬,精度為8kBit/S;可授予用戶不同的目標地址的訪問權限和帶寬,精度為8kBit/S;基于用戶組實現對P2P應用程序的帶寬授權;包括TCP和UDP包的限制,精度為8kBit/S;基于用戶所在的計費組,可授予該組用戶的控制策略:包括能夠上網的時段,能夠訪問目標地址分組,能夠登錄的源地址,能夠使用的TCP/UDP端口,是否允許使用代理,登錄成功后的重定向頁面;有效防范惡意用戶的SYNFLOOD、DDos攻擊和大量模擬WEB請求猜測密碼的攻擊;高效率的紀錄用戶的登錄和訪問紀錄;在線用戶資料實時顯示,并能夠經過客戶端向用戶發(fā)送信息;支持SNMPMIBII,用于查看設備狀態(tài);與其它的網絡安全設備,例如防火墻、IDS等設備配合,實現基于用戶的安全監(jiān)控;經過客戶端與防病毒客戶端或其它安全客戶端聯動,實現網絡防御;⑵深瀾認證計費系統:國內著名的認證計費系統。能夠支持客戶端認證和IE觸發(fā)認證。經與廠家咨詢,和外部AAA服務器兼容性好。能支持單用戶帶寬限制。具有簡單的流量控制功能(能管控P2P流量)。產品型號:SRUN產品規(guī)格:1000并發(fā),5個100/1000兆電口產品特點:支持多種接入認證模式:Radius(AAA認證)、WEB、DHCP+、VLANID、802.1x,專用客戶端等;支持橋接、路由、nat地址轉換等接入方式,支持集中式或分布式系統結構,支持無線網關了,能夠作為AC控制器;多出口路由:支持多路由出口接入Internet,支持目標地址路由、策略路由,接入模式能夠是網關方式,也能夠是網橋模式,使用非常靈活;DHCP服務:支持網內dhcp服務,而且支持多路dhcp分發(fā);安全控制功能:全面的包過濾和狀態(tài)檢測防火墻。系統采用防火墻級的安全內核,能夠根據協議,源地址,目的地址,端口,tcp選項等進行包過濾,支持tcp,udp,icmp等協議的狀態(tài)檢測,可阻擋當前各種流行的攻擊方式。內核專有優(yōu)化算法,突破傳統包過濾狀態(tài)防火墻用戶認證效率,最高可支持同時在線人數65000;SNAT和DNAT:支持源地址(池)轉換(SNAT俗稱nat地址轉化)、目的地址池轉換(DNAT,也稱地址映射).目的端口轉化(也稱端口映射)。DDOS攻擊防范:自身具備防止DDOS攻擊的能力,會對攻擊自身的ddos進行自我防范,保證系統自身安全;經過端口過濾和最大鏈接數限制能夠有效的防止病毒泛濫導致網絡效率下降,具備對未知網絡蠕蟲病毒的預先防范能力;基于用戶賬號的p2p(bt)軟件控制功能,保證網絡暢通、快速;帶寬控制,能夠根據用戶帳戶,IP地址等分配用戶網絡上下行帶寬,對于用戶的FTP,BT,視頻點播等暫用大量帶寬的應用能夠限制最高速率;支持各種計費,支持包月或者按照時間,流量等多種計費方式,支持費用封頂,最低消費等,能夠自定義公式進行計費;支持先交費后使用,同時也支持先使用后交費;智能代理監(jiān)控控制:能夠智能的判斷用戶使用代理的情況,對于大量用戶使用同一帳號經過代理上網的行為,可智能查封、解除查封該類用戶;內容智能過濾:能夠對網站地址,網頁內容進行智能過濾;用戶行為管理功能:支持全面的用戶訪問日志記錄功能,監(jiān)控網內用戶上網行為,以備在需要的時候進行日志查詢。支持任意長時間的日志記錄,適合記錄大量的日志;實時監(jiān)控功能:能夠實時查看當前在線的用戶,以及用戶當前的動作等功能,能夠查看系統狀態(tài)如cpu,內存占用,資源占用,網絡狀態(tài)如:實時帶寬顯示、路由表、ARP表、用戶連接數、連線狀態(tài)等功能;用戶認證功能:同時支持web、客戶端的認證,豐富用戶認證習慣選擇,對于不同的用戶支持不同的認證方式。能夠采取ip+mac+賬號綁定,也支持免認證方式的計費等方式;用戶管理功能:支持用戶分組管理、具備有完備的用戶管理功能.能夠對需要認證的用戶進行動態(tài)修改,銷戶,刪除。并可實時斷開用戶的訪問。支持大量用戶的初始化,隨機產生用戶名,密碼。用戶及時狀態(tài)顯示等。分級式管理:對用戶可設置多種管理級別,支持多管理員、多收費員。用戶自助服務:支持用戶web查詢上網時間、流量、結帳、費用等上網相關數據;網頁重定向功能:在用戶尚未認證之前,能夠把所有用戶的網頁訪問請求重定向要指定的頁面。也可重定向自定義認證頁面;支持802.1q協議,能適應cisco、3com、bay等各種支持802.1Q協議的交換機;其它功能:ip-mac地址綁定功能,備份與恢復配置功能;3.4、防病毒軟件⑴趨勢OfficeScan8.0網絡版:以防為主。策略相對復雜。支持分布式部署。支持集中管控,管理功能強,經過管理控制臺可對所有客戶端統一部署防毒策略、統一更新病毒碼、統一殺毒。而且能夠統計出在網絡中排名前10名的病毒感染者和病毒感染源。占用系統資源較低。測試過和CiscoNAC聯動。H3C官方資料EAD能和趨勢聯動。因為沒有H3C交換機,因此H3CEAD的測試沒有做。產品型號:OfficeScan8.0(客戶端防護)ServerProtect5.58(服務器防護)產品特點:集中的Web管理界面:能夠方便地經過任一瀏覽器隨時掌握全網防毒狀況,對防毒策略進行調整,對防毒日志進行審計;安全漏洞防護:經過與CISCONAC設備聯動,對沒有安裝officescan客戶端或者防病毒組件升級不正常的客戶端,NAC設備能夠阻止這些客戶機進入網絡。支持病毒爆發(fā)阻止策略:有效控制病毒擴散;應用層、網絡層雙層防護:OfficeScan同時采用文件型病毒代碼和網絡型病毒代碼分別基于應用層和網絡層進行病毒實時清除;集成網絡版防火墻/IDS:集成專殺工具:病毒專殺工具和客戶端防病毒軟件無縫集成,專殺工具的掃描引擎和病毒碼能夠自動更新,而且每一個病毒都有特定的專殺工具;可抵御間諜軟件和其它灰色軟件的侵害;病毒爆發(fā)監(jiān)控:”病毒爆發(fā)監(jiān)控”能夠用來監(jiān)控網絡上有感染跡象的可疑活動;嚴格的權限控制:對客戶端的配置權限、退出權限、卸載權限進行嚴格限定;可調整的掃描資源占用:為減少文件掃描對客戶機CPU資源的需求,可手動調整掃描資源占用情況和一個文件與下一個文件之間的等待時間,降低掃描行為對其它應用系統的影響;增量更新:對于其病毒碼文件與防毒墻網絡版服務器上最新版本相差不超過七個版本的防毒墻網絡版客戶機,能夠經過增量方式更新其病毒碼文件,而非更新整個病毒碼文件;更新代理設置:經過設定網絡中任意計算機做為病毒碼更新源,將其它計算機指定到該計算機更新,以節(jié)省網絡帶寬;檢測為安裝防病毒軟件的計算機:支持網絡掃描偵測尚未安裝OfficeScan的用戶機,杜絕防毒漏洞;定位病毒傳染源:管理控制臺自動生成網絡中病毒傳染源排行榜,并能給傳染源機器發(fā)出提示信息;郵件查殺和無線支持:支持對POP3郵件和Outlook文件的直接掃描,同時支持保護PDA等無線設備;支持多種WebServer:IIS和Apache支持64位平臺:防毒墻網絡版支持使用64位處理器體系結構的WindowsXP/Server計算機;統計信息:管理控制臺自動生成豐富的統計報表,如傳染源排行榜、中毒客戶機排行榜、病毒排行榜、病毒清除率、更新率、在線率等等病毒信息;數據庫管理:支持將紀錄數據導入SQL服務器方便數據分析與管理靈活的客戶端遷移:支持在客戶端能夠在不同的OfficeScan服務器中轉移,不需重新安裝;大版本升級:大版本升級只需在服務端運行升級程序后,每個客戶端就能夠迅速獲得最新版本,不需要重新部署;⑵賽門鐵克網絡版:以防為主。策略相對復雜,設置過高時會影響系統使用。管理功能一般,經過控制臺可統一部署防毒策略、統一更新病毒碼。殺毒效果還能夠。能夠和NAC和EAD聯動。產品型號:Symantec網絡版11.0產品特點:從一個管理控制臺提供高級病毒防護和監(jiān)視;實時掃描功能能夠自動檢測并刪除企圖在計算機上運行或安裝的間諜軟件;經過一個控制臺提供基于Web的集成圖形報告和集中式管理;間諜軟件修復功能,有助于防范入侵風險。Symantec采取主動防護技術,包括”行為阻截”技術、Seeker、數字免疫技術、NAVEX、bloodHond技術等技術;每天都進行最新病毒定義的更新;提供易用的管理功能;服務器擴展方便,不需要客戶端更改服務器地址(當服務器容量不夠需要擴容時,只需增加服務器數量,然后將原服務器上的客戶端經過拖拽的方式拖到新增服務器下即可完成客戶端父服務器的切換)。提供方便的安裝方式,用戶能夠直接從IE上點擊下載一個安裝文件,然后安裝程序自動運行安裝;安裝在客戶端的防病毒系統能夠配置為后臺運行,所有的防病毒操作都能夠自動運行;集成報告系統,能夠使用該系統快速、輕松地查看事件和配置,并配置警報;SSL通訊和數字證書,管理平臺、服務器、客戶端基于通訊和數字證書認證,客戶端能夠在不同的服務器間實現自動漫游;⑶McaFee:殺毒效果和管理功能一般,系統資源占用較大。售后服務和技術支持不夠理想。產品型號:McaFeeAVD網絡版產品特點:McAfee防病毒掃描引擎能夠攔截各種病毒和惡意代碼威脅,包括”傳統”病毒、電子郵件蠕蟲、Internet蠕蟲、DDoS(分布式拒絕服務)攻擊、后門、遠程訪問木馬以及Zombies;經過中央控制臺實現集中的管理和報告功能;針對桌面機和文件服務器提供了病毒防護功能電子郵件內容過濾功能,能夠避免用戶看到帶有攻擊性的內容和不適當的內容,確保流入和流出的SMTP流量無毒;McAfee能夠對LotusDomino和MicrosoftExchange服務器提供防病毒支持;McAfee能夠經過實時掃描來檢測并清除病毒和其它威脅,進而為NetWare文件服務器提供保護;自動更新功能采用請求(pull)技術自動檢索最新的更新,確保所有的系統都處于最新狀態(tài);⑷卡巴斯基:以殺毒為主。相比病毒庫較全面,使用率高。能夠殺滅大部分病毒。系統資源占用不大。殺毒時偶然會破壞系統文件。管理功能和防毒策略一般。和NAC能完全聯動,配合EAD能檢查客戶端的安裝情況,不能調用服務器端升級。產品型號卡巴斯基6.0產品特點防御病毒、木馬和蠕蟲;保護郵件服務器,例如Sendmail,Qmail,Postfix和Exim;掃描MicrosoftExchange服務器之間傳輸的郵件;掃描LotusDomino服務器上的郵件、數據庫和其它對象;防御網絡釣魚和垃圾郵件的攻擊;阻止病毒爆發(fā);高靈活性;集中安裝和管理;支持Cisco?NAC(網絡準入控制);主動防御最新的惡意程序;包含IDS和IPS的個人防火墻;在各種網絡中(包括WiFi)工作時都可受到保護;實時掃描網絡傳輸;修復惡意軟件對系統所做的非法纂改;執(zhí)行全盤掃描時,對系統資源進行合理的再分配;隔離被感染的和可疑的對象;系統狀態(tài)的集中報告;自動更新威脅特征庫;⑸建議:防毒墻和殺毒軟件使用不同的病毒庫,能夠進一步保證識別率和攔截率。防毒軟件建議在趨勢、賽門鐵克中選擇。防毒網關使用卡巴特征碼的產品。四、總結4.1根據當前吉林鋼鐵的網絡現狀考慮,當前急需的產品如下:⑴流控。⑵防毒網關。⑶防毒軟件。⑷SSLVPN(需要配合H3CSecPathF1000防火墻使用)。⑸互聯網認證網關。4.2建議:為了保證正式上線的流暢和穩(wěn)定,下列產品建議購買并在一定規(guī)模部署測試其使用的實際效果。⑴補丁管理軟件分發(fā)系統。產品型號:MicrosoftSCCM產品特點:定義企業(yè)配置標準:該功能可經過為配置和管理IT環(huán)境提供指導原則和實踐,幫助提高操作效率并增強安全性;構建配置知識:ConfigurationManager中的基線配置知識能夠來自多個來源。能夠配置她們自己的配置基線,或者她們能夠從Microsoft或第三方軟件供應商導入配置包;補救措施:能夠使用期望的配置管理兼容性狀態(tài)消息來構建基于查詢的集合,她們能夠經過部署軟件、更新、腳本或任務序列從這些集合修復不兼容計算機;測量兼容性:借助她們已經建立的配置基線,能夠將這些基線應用到計算機或計算機集合并定義日程安排,客戶端將按此日程安排評估和報告她們針對基線的兼容性;報告兼容性:經過期望的配置管理面板和經過創(chuàng)立基于查詢的集合的能力,報告與ConfigurationManager的兼容性成為一個簡化的工作;強制遵守:ConfigurationManager中的NAP與微軟的Windows網絡策略服務器共同工作,以強化監(jiān)管軟件更新修復不符合要求的客戶端:ConfigurationManager經過軟件更新功能來修復那些不符合策略要求的客戶端;靈活的OS部署:ConfigurationManager是一個完全自動的解決方案,它允許從一個中央單元部署及配置服務器和客戶端;支持服務器部署:ConfigurationManager包含的功能中支持獨特需求的Windows服務器操作系統的部署;集中監(jiān)控:能夠利用服務器和客戶端詳細全面的可視化狀態(tài)報表對操作系統部署進行集中監(jiān)控;基于WSUS:ConfigurationManager的綜合更新管理依賴于WindowsUpdateService(Windows更新服務WSUS);無縫部署更新:使用效率化基于策略的管理,能夠進行無縫部署更新;基于Internet的客戶端管理:提供的更新有基于Internal和基于Internet的兩種客戶端,允許無論用戶的計算機是不是在內部網絡都能進行及時的軟件更新;網絡喚醒:這個網絡喚醒功能能夠在工作時間結束后發(fā)出網絡喚醒包到計算機,讓它獲得軟件更新;網絡訪問保護:客戶端強制遵循軟件更新策略,有助于內部網絡的統一性;靈活的報表:ConfigurationManager提供了大量多樣化的報表來展示軟件更新狀態(tài);能夠基于系統分發(fā)任務順序,配置管理她們希望得到的軟件更新并減少成本;產品型號:北信源補丁管理系統產品特點:補丁策略制定:包括補丁應用策略制定、補丁文件分發(fā)任務制定,能夠根據要求按照不同的區(qū)域進行劃分,可按照IP地址、部門、操作系統、用戶自定義等方式進行區(qū)域劃分;補丁下載檢測和增量式導入:使用增量式補丁分離技術,在外網導出補丁時,可分離出內網已經安裝的補丁,只導入內網尚未安裝的系統補丁,即僅對內網的補丁進行”增量式”的升級;補丁安全自動測試:可根據相應得策略對網絡內的計算機進行大面積的推送。此技術能夠很好的減輕網管的測試工作量,并提高補丁安裝的安全性;補丁庫自動分類:系統對存放到服務器上的計算機系統補丁能進行相應的分析,自動得出補丁屬性、類型和與之相關的補丁說明,并在網頁中進行清晰明了的顯示。能夠方便管理人員根據相應的需求,高效快捷定義補丁分發(fā)策略,及時的針對不同的系統和需要分發(fā)計算機補丁;補丁庫的級聯和同步:系統能夠針對補丁進行級聯式的分發(fā)和管理,在級聯級數沒有任何限制并在三級的基礎上進行無縫平滑擴展;補丁安裝檢測、自動分發(fā)補丁:經過本模塊全面檢測網絡系統終端補丁的安裝狀況,并經過此模塊,對沒有安裝補丁的設備進行遠程補丁安裝,將最新補丁升級包及時分發(fā)到終端計算機,并提示安裝修補,在客戶端有明顯提示,通知用戶打補丁;補丁推送安裝:當系統檢測到有客戶端未打補丁時,可對漏打的補丁進行推送式的安裝;系統補丁報表:監(jiān)控程序將網絡客戶端補丁信息上報管理中心后寫入數據庫,在WEB管理平臺可進行補丁報表察看,統計網絡客戶端補丁安裝狀況;補丁下載流量控制:系統能夠根據網絡的負載情況自動調整分發(fā)補丁時所占的網絡帶寬和并發(fā)連接數;根據手動設置允許的帶寬或服務器并發(fā)連接數及每個連接所允許使用的帶寬;系統同時支持客戶端轉發(fā)代理補丁下載,以減少網絡帶寬流量;服務器端補丁查詢:客戶端軟件實時監(jiān)控客戶端系統漏洞及補丁安裝情況,服務器端補丁查詢補丁可根據補丁名稱、待查詢IP范圍、操作系統、待查區(qū)域,查詢時間或其它條件對區(qū)域網絡范圍內的計算機終端進行補丁安裝狀況查詢;客戶端網頁查詢補丁安裝信息:安裝了系統客戶端的計算機能夠經過訪問內網的特定網頁,對本機所缺少的計算機補丁進行查詢;新(長時間關機)客戶端入網先打補丁:對于新機器或長時間關機的計算機,在其進入網絡時,能快速的發(fā)現并識別此類計算機,對這類計算機發(fā)送相應的提示,如提醒用戶下載并安裝計算機補丁,提醒補丁下載的位置和計算機用戶下載并安裝所需的計算機補?、粕倭縃3C交換機,(在崴子辦公區(qū)終端做測試,測試和補丁、防毒