安全評估預(yù)案建議書

98/98安全評估方案建議書二零零七年七月

目錄1．網(wǎng)絡(luò)安全概述 41.1安全威脅 41.2網(wǎng)絡(luò)安全的需求 41.3網(wǎng)絡(luò)安全與網(wǎng)絡(luò)性能和功能的關(guān)系 61.4網(wǎng)絡(luò)安全的治理因素 72．網(wǎng)絡(luò)安全需求分析 83.總體規(guī)劃 83.1安全體系結(jié)構(gòu) 83.2安全體系層次模型 93.3安全體系設(shè)計 103.3.1安全體系設(shè)計原則 103.3.2網(wǎng)絡(luò)安全風險分析 113.3.3網(wǎng)絡(luò)安全策略 113.3.4安全治理原則 123.3.5安全治理的實現(xiàn) 123.3.6網(wǎng)絡(luò)安全設(shè)計 134.安全解決方案分析 144．1網(wǎng)絡(luò)配置結(jié)構(gòu)圖 144．2安全配置 145安全產(chǎn)品選型 155.1網(wǎng)御神州SECGATE3600-G7防火墻 155.1.1概述 155.1.2防火墻要緊功能列表 155.1.3SecGate3600-G7防火墻六大特色 195.1.4SecGate3600-G7防火墻要緊功能介紹 215.2網(wǎng)御神州SECIDS-3600入侵檢測 265.2.1概述 265.2.2要緊技術(shù)特色 275.2.3產(chǎn)品功能特點 285.2.4產(chǎn)品要緊功能亮點 295.2.5產(chǎn)品功能描述 315.3網(wǎng)御神州SecSIS3600隔離網(wǎng)閘 345.3.1概述 345.3.2產(chǎn)品特點 345.3.3要緊功能 345.3.4系統(tǒng)功能詳述 355.3.5產(chǎn)品技術(shù)優(yōu)勢 385.4網(wǎng)御神州SecFox-SIM安全信息治理系統(tǒng) 405.4.1產(chǎn)品概述 405.4.2產(chǎn)品特點 405.4.3產(chǎn)品簡介 435.4.4產(chǎn)品功能 45

1．網(wǎng)絡(luò)安全概述自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡(luò)遠程訪問而構(gòu)成的安全威脅成為日益受到嚴峻關(guān)注的問題。依照美國FBI的調(diào)查，美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟損失超過1.5萬億美元。1.1安全威脅由于企業(yè)網(wǎng)絡(luò)內(nèi)運行的要緊是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。因此，企業(yè)網(wǎng)絡(luò)可能存在的安全威脅來自以下方面：操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。防火墻的安全性。防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要通過檢驗。來自內(nèi)部網(wǎng)用戶的安全威脅。缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性。采納的TCP/IP協(xié)議族軟件，本身缺乏安全性。未能對來自Internet的電子郵件夾帶的病毒及Web掃瞄可能存在的Java/ActiveX控件進行有效操縱。應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問操縱及安全通訊方面考慮較少，同時，假如系統(tǒng)設(shè)置錯誤，專門容易造成損失。1.2網(wǎng)絡(luò)安全的需求1、企業(yè)網(wǎng)絡(luò)的差不多安全需求滿足差不多的安全要求，是該網(wǎng)絡(luò)成功運行的必要條件，在此基礎(chǔ)上提供強有力的安全保障，是建設(shè)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的重要原則。企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，愛護這些設(shè)備的正常運行，維護要緊業(yè)務(wù)系統(tǒng)的安全，是企業(yè)網(wǎng)絡(luò)的差不多安全需求。關(guān)于各科各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時，抵御和發(fā)覺網(wǎng)絡(luò)攻擊，同時提供跟蹤攻擊的手段，是本項目需要解決的問題。2、業(yè)務(wù)系統(tǒng)的安全需求與一般網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是企業(yè)應(yīng)用的核心。關(guān)于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。企業(yè)網(wǎng)絡(luò)應(yīng)保障：訪問操縱，確保業(yè)務(wù)系統(tǒng)不被非法訪問。數(shù)據(jù)安全，保證數(shù)據(jù)庫軟硬件系統(tǒng)的整體安全性和可靠性。入侵檢測，關(guān)于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時發(fā)覺、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。來自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞，或誤操作造成的安全隱患。3、Internet服務(wù)網(wǎng)絡(luò)的安全需求Internet服務(wù)網(wǎng)絡(luò)分為兩個部分：提供網(wǎng)絡(luò)用戶對Internet的訪問：提供Internet對網(wǎng)內(nèi)服務(wù)的訪問。網(wǎng)絡(luò)內(nèi)客戶對Internet的訪問，有可能帶來某些類型的網(wǎng)絡(luò)安全。如通過電子郵件、FTP引入病毒、危險的Java或ActiveX應(yīng)用等。因此，需要在網(wǎng)絡(luò)內(nèi)對上述情況提供集成的網(wǎng)絡(luò)病毒檢測、消除等操作。網(wǎng)絡(luò)安全需求是愛護網(wǎng)絡(luò)不受破壞，確保網(wǎng)絡(luò)服務(wù)的可用性，作為信息網(wǎng)絡(luò)之間的互聯(lián)的邊界安全應(yīng)作為要緊安全需求：需要保證信息網(wǎng)絡(luò)之間安全互聯(lián)，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全隔離；關(guān)于專有應(yīng)用的安全服務(wù)；必要的信息交互的可信任性；能夠提供關(guān)于主流網(wǎng)絡(luò)應(yīng)用（如WWW、Mail、Ftp、Oicq和NetMeeting等）良好支持，并能夠?qū)崿F(xiàn)安全應(yīng)用；同時信息網(wǎng)絡(luò)公共資源能夠?qū)﹂_放用戶提供安全訪問；能夠防范包括：利用Http應(yīng)用，通過JavaApplet、ActiveX以及JavaScript形式；利用Ftp應(yīng)用，通過文件傳輸形式；利用SMTP應(yīng)用，通過對郵件分析及利用附件所造成的信息泄漏和有害信息關(guān)于信息網(wǎng)絡(luò)的侵害；對網(wǎng)絡(luò)安全事件的審計；關(guān)于網(wǎng)絡(luò)安全狀態(tài)的量化評估；對網(wǎng)絡(luò)安全狀態(tài)的實時監(jiān)控；其次，關(guān)于信息網(wǎng)絡(luò)內(nèi)部同樣存在安全需求，包括：信息網(wǎng)絡(luò)中的各單位網(wǎng)絡(luò)之間建立連接操縱手段；能夠滿足信息網(wǎng)絡(luò)內(nèi)的授權(quán)用戶對相關(guān)專用網(wǎng)絡(luò)資源訪問；同時關(guān)于遠程訪問用戶增強安全治理；加強關(guān)于整個信息網(wǎng)絡(luò)資源和人員的安全治理與培訓(xùn)。1.3網(wǎng)絡(luò)安全與網(wǎng)絡(luò)性能和功能的關(guān)系通常，系統(tǒng)安全與性能和功能是一對矛盾的關(guān)系。假如某個系統(tǒng)不向外界提供任何服務(wù)（斷開），外界是不可能構(gòu)成安全威脅的。然而，企業(yè)接入國際互連網(wǎng)絡(luò)，提供網(wǎng)上商店和電子商務(wù)等服務(wù)，等于將一個內(nèi)部封閉的網(wǎng)絡(luò)建成了一個開放的網(wǎng)絡(luò)環(huán)境，各種安全包括系統(tǒng)級的安全問題也隨之產(chǎn)生。構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)，一方面由于要進行認證、加密、監(jiān)聽，分析、記錄等工作，由此阻礙網(wǎng)絡(luò)效率，同時降低客戶應(yīng)用的靈活性；另一方面也增加了治理費用。然而，來自網(wǎng)絡(luò)的安全威脅是實際存在的，特不是在網(wǎng)絡(luò)上運行關(guān)鍵業(yè)務(wù)時，網(wǎng)絡(luò)安全是首先要解決的問題。選擇適當?shù)募夹g(shù)和產(chǎn)品，制訂靈活的網(wǎng)絡(luò)安全策略，在保證網(wǎng)絡(luò)安全的情況下，提供靈活的網(wǎng)絡(luò)服務(wù)通道。采納適當?shù)陌踩w系設(shè)計和治理打算，能夠有效降低網(wǎng)絡(luò)安全對網(wǎng)絡(luò)性能的阻礙并降低治理費用。全方位的安全體系：與其它安全體系（如保安系統(tǒng)）類似，企業(yè)應(yīng)用系統(tǒng)的安全休系應(yīng)包含：訪問操縱：通過對特定網(wǎng)段、服務(wù)建立的訪問操縱體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。認證：良好的認證體系可防止攻擊者假冒合法用戶。備份和恢復(fù)：良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。多層防備，攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的差不多情況。設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系治理、監(jiān)控，渠護及緊急情況服務(wù)。1.4網(wǎng)絡(luò)安全的治理因素網(wǎng)絡(luò)安全能夠采納多種技術(shù)來增強和執(zhí)行。然而，專門多安全威脅來源于治理上的松懈及對安全威脅的認識。安全威脅要緊利用以下途徑：系統(tǒng)實現(xiàn)存在的漏洞。系統(tǒng)安全體系的缺陷。使用人員的安全意識薄弱。治理制度的薄弱。良好的網(wǎng)絡(luò)治理有助于增強系統(tǒng)的安全性：及時發(fā)覺系統(tǒng)安全的漏洞。審查系統(tǒng)安全體系。加強對使用人員的安全知識教育。建立完善的系統(tǒng)治理制度。如前所述，能否制定一個統(tǒng)一的安全策略，在全網(wǎng)范圍內(nèi)實現(xiàn)統(tǒng)一的安全治理，關(guān)于信息網(wǎng)來講就至關(guān)重要了。安全治理要緊包括兩個方面：內(nèi)部安全治理：要緊是建立內(nèi)部安全治理制度，如機房治理制度、設(shè)備治理制度、安全系統(tǒng)治理制度、病毒防范制度、操作安全治理制度、安全事件應(yīng)急制度等，并采取切實有效的措施保證制度的執(zhí)行。內(nèi)部安全治理要緊采取行政手段和技術(shù)手段相結(jié)合的方法。網(wǎng)絡(luò)安全治理：在網(wǎng)絡(luò)層設(shè)置路由器、防火墻、安全檢測系統(tǒng)后，必須保證路由器和防火墻的配置正確，其配置不同意被隨便修改。網(wǎng)絡(luò)層的安全治理能夠通過防火墻、安全檢測、網(wǎng)絡(luò)病毒防治以及網(wǎng)管等一些網(wǎng)絡(luò)層的治理工具來實現(xiàn)。2．網(wǎng)絡(luò)安全需求分析防止內(nèi)網(wǎng)的主機遭受非法用戶的非授權(quán)訪問或惡意攻擊。加強對各種網(wǎng)絡(luò)安全事件的檢測與審計，其中包括：檢測來自內(nèi)部和外部的黑客入侵行為，監(jiān)視網(wǎng)絡(luò)流量及各種主機設(shè)備，監(jiān)視數(shù)據(jù)庫系統(tǒng)及應(yīng)用系統(tǒng)的運行情況，并及時告警。防止來自本地網(wǎng)絡(luò)病毒對提供網(wǎng)絡(luò)中重要服務(wù)器的攻擊與破壞。防止提供服務(wù)的Web服務(wù)器受到惡意攻擊、非法篡改或者系統(tǒng)崩潰，加強對網(wǎng)站文件屬性和文件內(nèi)容的實時監(jiān)控，能夠自動、安全恢復(fù)網(wǎng)站文件系統(tǒng)。在重要的網(wǎng)絡(luò)和系統(tǒng)中充分考慮災(zāi)備和容錯措施，防止因系統(tǒng)故障導(dǎo)致系統(tǒng)服務(wù)中斷。定期對辦公網(wǎng)絡(luò)平臺進行安全分析和安全評估，及時發(fā)覺并修正存在的漏洞和弱點，及時調(diào)整和完善安全策略，保證政務(wù)內(nèi)網(wǎng)的動態(tài)安全與持續(xù)安全。建立完整的網(wǎng)絡(luò)安全系統(tǒng)治理體系，實現(xiàn)對全網(wǎng)的設(shè)備的統(tǒng)一治理，安全策略的統(tǒng)一制定，安全事件的統(tǒng)一治理等等。建立完善的安全治理機制，能夠有效地確保安全策略的準確執(zhí)行，減少人為因素造成的系統(tǒng)安全事故。完善的咨詢、評估、設(shè)計、實施、培訓(xùn)以及實時安全響應(yīng)等信息安全專業(yè)服務(wù)。3.總體規(guī)劃3.1安全體系結(jié)構(gòu)物理物理實體安全企業(yè)安全策略用戶責任病毒防治保密教育信息安全信息服務(wù)操作系統(tǒng)計算機網(wǎng)絡(luò)安全3.2安全體系層次模型按照網(wǎng)絡(luò)OSI的7層模型，網(wǎng)絡(luò)安全貫穿于整個7層。針對網(wǎng)絡(luò)系統(tǒng)實際運行的TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的4個層次。下圖表示了對應(yīng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的安全體系層次模型：會話層會話層應(yīng)用層應(yīng)用系統(tǒng)應(yīng)用平臺網(wǎng)絡(luò)層鏈路層物理層會話安全應(yīng)用層應(yīng)用系統(tǒng)安全應(yīng)用平臺安全安全路由/訪問機制鏈路安全物理層信息安全物理層物理層信息安全，要緊防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等）鏈路層鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。要緊采納劃分VLAN（局域網(wǎng)）、加密通訊（遠程網(wǎng)）等手段。網(wǎng)絡(luò)層網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，幸免被攔截或監(jiān)聽。操作系統(tǒng)操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問操縱的安全，同時能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進行審計。應(yīng)用平臺應(yīng)用平臺指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺的系統(tǒng)特不復(fù)雜，通常采納多種技術(shù)（如SSL等）來增強應(yīng)用平臺的安全性。應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的—為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計和實現(xiàn)關(guān)系緊密。應(yīng)用系統(tǒng)使用應(yīng)用平臺提供的安全服務(wù)來保證差不多安全，如通訊內(nèi)容安全，通訊雙方的認證，審計等手段。3.3安全體系設(shè)計3.3.1安全體系設(shè)計原則在進行計算機網(wǎng)絡(luò)安全設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：1).需求、風險、代價平衡分析的原則：對任何一個網(wǎng)絡(luò)來講，絕對安全難以達到，也不一定必要。對一個網(wǎng)絡(luò)要進行實際分析，對網(wǎng)絡(luò)面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。愛護成本、被愛護信息的價值必須平衡，價值僅1萬元的信息假如用5萬元的技術(shù)和設(shè)備去愛護是一種不適當?shù)膼圩o。2).綜合性、整體性原則：運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當綜合的應(yīng)用結(jié)果。一個計算機網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們在網(wǎng)絡(luò)安全中的地位和阻礙作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。3).一致性原則：這要緊是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費也少得多。4).安全、可靠性原則:充分保證系統(tǒng)的安全性。使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計和實現(xiàn)的全過程中有具體的措施來充分保證其安全性；保證產(chǎn)品質(zhì)量，對項目實施過程實現(xiàn)嚴格的技術(shù)治理和設(shè)備的冗余配置，保證系統(tǒng)運行的可靠性。5)．先進、標準、兼容性原則：先進的技術(shù)體系，標準化的技術(shù)實現(xiàn).6).易操作性原則：安全措施要由人來完成，假如措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，采納的措施不能阻礙系統(tǒng)正常運行。7).適應(yīng)性、靈活性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改。8).多重愛護原則任何安全愛護措施都不是絕對安全的，都可能被攻破。然而建立一個多重愛護系統(tǒng)，各層愛護相互補充，當一層愛護被攻破時，其它層愛護仍可愛護信息的安全。3.3.2網(wǎng)絡(luò)安全風險分析網(wǎng)絡(luò)系統(tǒng)的可靠運轉(zhuǎn)是基于通訊子網(wǎng)、計算機硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運行。因此，它的風險今后自對企業(yè)的各個關(guān)鍵點可能造成的威脅，這些威脅可能造成總體功能的失效。由于在這種廣域網(wǎng)分布式計算環(huán)境中，相關(guān)于過去的局域網(wǎng)、主機環(huán)境、單機環(huán)境，安全問題變得越來越復(fù)雜和突出，因此網(wǎng)安全風險分析成為制定有效的安全治理策略和選擇有作用的安全技術(shù)實施措施的基礎(chǔ)依據(jù)。安全保障不能完全基于思想教育或信任。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問題，建立起完整的安全操縱體系和保證體系。3.3.3網(wǎng)絡(luò)安全策略安全策略分安全治理策略和安全技術(shù)實施策略兩個方面：1).治理策略安全系統(tǒng)需要人來執(zhí)行，即使是最好的、最值得信賴的系統(tǒng)安全措施，也不能完全由計算機系統(tǒng)來完全承擔安全保證任務(wù)，因此必須建立完備的安全組織和治理制度。2).技術(shù)策略技術(shù)策略要針對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權(quán)提出具體的措施。3.3.4安全治理原則計算機信息系統(tǒng)的安全治理要緊基于三個原則。(1)多人負責原則每項與安全有關(guān)的活動都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠可靠，能勝任此項工作。(2)任期有限原則一般地講，任何人最好不要長期擔任與安全有關(guān)的職務(wù)，以免誤認為那個職務(wù)是專有的或永久性的。(3)職責分離原則除非系統(tǒng)主管領(lǐng)導(dǎo)批準，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外、與安全有關(guān)的任何情況。3.3.5安全治理的實現(xiàn)信息系統(tǒng)的安全治理部門應(yīng)依照治理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的治理制度或采納相應(yīng)規(guī)范，其具體工作是：確定該系統(tǒng)的安全等級。依照確定的安全等級，確定安全治理的范圍。制訂相應(yīng)的機房出入治理制度。對安全等級要求較高的系統(tǒng)，要實行分區(qū)操縱，限制工作人員出入與己無關(guān)的區(qū)域。制訂嚴格的操作規(guī)程。操作規(guī)程要依照職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍。制訂完備的系統(tǒng)維護制度。維護時，要首先經(jīng)主管部門批準，并有安全治理人員在場，故障緣故、維護內(nèi)容和維護前后的情況要詳細記錄。制訂應(yīng)急措施。要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。安全系統(tǒng)需要由人來打算和治理，任何系統(tǒng)安全設(shè)施也不能完全由計算機系統(tǒng)獨立承擔系統(tǒng)安全保障的任務(wù)。一方面，各級領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項措施。其次，對各級用戶的培訓(xùn)也十分重要，只有當用戶對網(wǎng)絡(luò)安全性有了深入了解后，才能降低網(wǎng)絡(luò)信息系統(tǒng)的安全風險。總之，制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實施的第一步，只有當各級組織機構(gòu)均嚴格執(zhí)行網(wǎng)絡(luò)安全的各項規(guī)定，認真維護各自負責的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個系統(tǒng)網(wǎng)絡(luò)的整體安全性。3.3.6網(wǎng)絡(luò)安全設(shè)計由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實現(xiàn)，各個層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同。物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點。在鏈路層，通過“橋”這一互連設(shè)備的監(jiān)視和操縱作用，使我們能夠建立一定程度的虛擬局域網(wǎng)，對物理和邏輯網(wǎng)段進行有效的分割和隔離，消除不同安全級不邏輯網(wǎng)段間的竊聽可能。在網(wǎng)絡(luò)層，可通過對不同子網(wǎng)的定義和對路由器的路由表操縱來限制子網(wǎng)間的接點通信，通過對主機路由表的操縱來操縱與之直接通信的節(jié)點。同時，利用網(wǎng)關(guān)的安全操縱能力，能夠限制節(jié)點的通信、應(yīng)用服務(wù)，并加強外部用戶識不和驗證能力。對網(wǎng)絡(luò)進行級不劃分與操縱，網(wǎng)絡(luò)級不的劃分大致包括外網(wǎng)與內(nèi)網(wǎng)等，其中Internet/外網(wǎng)的接口要采納專用防火墻，各網(wǎng)絡(luò)級不的接口利用防火墻、物理隔離設(shè)備、路由器的可控路由表、安全郵件服務(wù)器、安全撥號驗證服務(wù)器和安全級不較高的操作系統(tǒng)。增強網(wǎng)絡(luò)互連的分割和過濾操縱，也能夠大大提高安全保密性。物理實體的安全治理現(xiàn)已有大量標準和規(guī)范，如GB9361-88《計算機場地安全要求》、GFB2887-88《計算機場地技術(shù)條件》等。4.安全解決方案分析4．1網(wǎng)絡(luò)配置結(jié)構(gòu)圖總體結(jié)構(gòu)示意圖4．2安全配置在網(wǎng)關(guān)位置配置網(wǎng)御神州SecGate3600-G7防火墻，以實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)安全邏輯隔離，通過在防火墻策略設(shè)置能夠源地址、目的地址和服務(wù)做出限制，來保障通信安全。防火墻內(nèi)置強大入侵防護模塊，即使網(wǎng)絡(luò)遭到黑客攻擊，也能保證網(wǎng)絡(luò)安全，如此用戶不僅是買一臺防火墻而且依舊一臺IPS。網(wǎng)御神州SecGate3600防火墻采納先進擁塞操縱算法，流量調(diào)度算法及優(yōu)先級排隊機制保證重要服務(wù)或重要用戶的帶寬，同時對BT或電驢下載能有效的操縱；支持多出口鏈路聚合，能夠做到最多六條線路的負載均衡；在中心交換機上配置基于網(wǎng)絡(luò)的IDS系統(tǒng)——網(wǎng)御神州SecIDS-3600，通過實時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，查找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當發(fā)覺網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠依照系統(tǒng)安全策略做出反應(yīng)，包括實時報警、事件登錄，或執(zhí)行用戶自定義的安全策略等；在Weblogic服務(wù)器與數(shù)據(jù)庫服務(wù)器之間配置網(wǎng)御神州SecSIS-3600網(wǎng)閘，能夠有效實現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全隔離，數(shù)據(jù)只能以專有數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)絡(luò)間進行“擺渡”，從而切斷了內(nèi)外網(wǎng)絡(luò)之間的所有直接連接，保證內(nèi)外網(wǎng)數(shù)據(jù)能夠安全、可靠地交換；在安全治理主機上安裝網(wǎng)御神州SecFox-SIM安全事件治理,使之能夠?qū)崟r不間斷地今后自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報等信息匯合到治理中心，實現(xiàn)海量信息的集中存儲和可靠保存，消除了安全防備的孤島。5安全產(chǎn)品選型5.1網(wǎng)御神州SECGATE3600-G7防火墻5.1.1概述SecGate3600-G7防火墻是基于狀態(tài)檢測包過濾和應(yīng)用級代理的復(fù)合型硬件防火墻，是專門面向大中型企業(yè)、政府、軍隊、高校等用戶開發(fā)的新一代專業(yè)防火墻設(shè)備，支持外部攻擊防范、內(nèi)網(wǎng)安全、網(wǎng)絡(luò)訪問權(quán)限操縱、網(wǎng)絡(luò)流量監(jiān)控和帶寬治理、網(wǎng)頁內(nèi)容過濾、郵件內(nèi)容過濾等功能，能夠有效地保證網(wǎng)絡(luò)的安全；產(chǎn)品提供靈活的網(wǎng)絡(luò)路由/橋接能力，支持策略路由，多出口鏈路聚合；提供多種智能分析和治理手段，支持郵件告警，支持日志審計，提供全面的網(wǎng)絡(luò)治理監(jiān)控，協(xié)助網(wǎng)絡(luò)治理員完成網(wǎng)絡(luò)的安全治理。SecGate3600-G7防火墻已獲得公安部等部門頒發(fā)的信息安全產(chǎn)品銷售許可證。5.1.2防火墻要緊功能列表功能分類功能概要狀態(tài)檢測針對TCP/IP協(xié)議的TCP/UDP/ICMP數(shù)據(jù)包，實現(xiàn)完整的狀態(tài)包過濾，完全達到GB/T-18019《包過濾防火墻技術(shù)要求》的要求。智能過濾針對動態(tài)協(xié)議（包括但不限于H.323、FTP、TFTP、OracleTNS、SIP等通信協(xié)議），提供基于協(xié)議分析的智能化動態(tài)包過濾功能，實時開閉應(yīng)用程序動態(tài)協(xié)商的TCP/UDP端口，最大程度地提升防火墻的安全性。地址轉(zhuǎn)換支持動態(tài)地址轉(zhuǎn)換，包括多對一的地址轉(zhuǎn)換，多對多的地址轉(zhuǎn)換。支持靜態(tài)地址轉(zhuǎn)換，包括對內(nèi)部服務(wù)器提供一對一的地址轉(zhuǎn)換。支持雙向地址轉(zhuǎn)換，滿足對等網(wǎng)絡(luò)間雙方隱藏內(nèi)部IP地址的要求。支持基于下一跳路由的地址轉(zhuǎn)換，滿足多出口網(wǎng)絡(luò)地址轉(zhuǎn)換負載均衡的要求。端口映射支持將內(nèi)部提供不同服務(wù)的多個服務(wù)器地址映射成外部相同地址下的不同端口，在端口映射狀態(tài)下，可同時提供多種安全的網(wǎng)絡(luò)服務(wù)。支持對內(nèi)部鏡像服務(wù)器訪問的負載均衡IPSecVPN支持VPN通訊參數(shù)的設(shè)置。支持不同認證算法(MD5/SHA1/…)、不同加密算法(3DES/AES/…)、不同封裝模式(ESP/AH)的選擇。支持IKE認證方式的選擇（預(yù)共享密鑰/PKI證書模式）。支持固定網(wǎng)關(guān)之間的VPN通訊，支持動態(tài)網(wǎng)關(guān)與固定網(wǎng)關(guān)之間的VPN通訊，支持動態(tài)網(wǎng)關(guān)與動態(tài)網(wǎng)關(guān)間的VPN通訊，支持客戶端與網(wǎng)關(guān)間的VPN通訊，支持PPTP和L2TP網(wǎng)關(guān)之間的VPN通訊，支持存在于NAT設(shè)備后的網(wǎng)關(guān)和客戶端之間的VPN通訊。支持星型結(jié)構(gòu)和網(wǎng)狀結(jié)構(gòu)下的VPN隧道建立。完整兼容IPSec協(xié)議，能夠與CISCO、NETSCREEN、WIN2000的VPN互通。應(yīng)用代理提供基于TCP的HTTP代理、SMTP代理、FTP代理、TELNET代理、POP3代理以及基于策略的通用代理。支持在透明代理下基于HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過濾。內(nèi)容過濾針對HTTP，對網(wǎng)頁中java、javascrip、activeX進行過濾。針對SMTP、POP3，基于發(fā)信人地址、收信人地址、收信人數(shù)、文件大小、郵件主題、正文內(nèi)容、發(fā)件人姓名、收件人姓名、附件文件名、附件內(nèi)容等進行關(guān)鍵字匹配過濾。在狀態(tài)包過濾方式下，支持URL過濾和專門代碼剝離，并支持黑/白名單過濾策略。連接監(jiān)控提供內(nèi)網(wǎng)實時監(jiān)控統(tǒng)計功能，以內(nèi)網(wǎng)IP為對象，實時地監(jiān)視統(tǒng)計內(nèi)網(wǎng)連主機連接數(shù)量和流量。提供外網(wǎng)實時監(jiān)控統(tǒng)計功能，實時地監(jiān)視統(tǒng)計內(nèi)網(wǎng)訪問外網(wǎng)的地址的連接數(shù)量和流量。提供DMZ實時監(jiān)控統(tǒng)計功能，實時地監(jiān)視統(tǒng)計DMZ區(qū)內(nèi)主機被訪問的連接數(shù)量和流量。提供內(nèi)外網(wǎng)監(jiān)控統(tǒng)計功能，實時監(jiān)控內(nèi)網(wǎng)訪問指定外網(wǎng)主機的連接數(shù)量和流量。連接治理提供愛護主機、愛護服務(wù)、限制主機、限制服務(wù)。愛護服務(wù)器或服務(wù)器上提供的某項服務(wù)，限制對服務(wù)器過于頻繁的訪問。在規(guī)定的時刻內(nèi)，假如某臺主機訪問服務(wù)器超過了所限制的次數(shù)，則會對該主機實行阻斷，在阻斷時刻段內(nèi)，拒絕其對服務(wù)器的所有訪問。也能夠應(yīng)用此功能對使用BT/電驢等連接數(shù)目過大嚴峻阻礙網(wǎng)絡(luò)流量的用戶加以限制。用戶認證支持網(wǎng)絡(luò)協(xié)議層用戶認證，能夠為包過濾、雙向NAT、代理等訪問操縱提供用戶認證功能。提供基于電子鑰匙的用戶身份認證。支持用戶和組治理，支持用戶策略操縱（源IP綁定、可訪問目的IP和服務(wù)），支持對用戶帳號的流量操縱和時刻操縱。提供與標準radius服務(wù)器(PAP)聯(lián)動的用戶認證。提供本地認證庫實現(xiàn)基于角色的用戶策略，并與安全規(guī)則策略配合完成強訪問操縱。支持客戶端修改密碼。支持服務(wù)器端檢查用戶在線狀態(tài)。支持PAP和S/Key認證協(xié)議。提供在線用戶監(jiān)控功能。時刻操縱支持安全規(guī)則時刻調(diào)度。支持用戶策略時刻調(diào)度。支持一次性與周期性時刻調(diào)度規(guī)則。帶寬治理支持基于IP地址、應(yīng)用協(xié)議的帶寬治理。支持基于用戶的帶寬治理（通過身份認證的用戶，能夠指定帶寬）。支持最小保證帶寬和最大限制帶寬設(shè)置。支持帶寬優(yōu)先級的設(shè)定。對象治理支持以簡化防火墻安全規(guī)則定義為目的的面向?qū)ο蟮馁Y源定義和組治理。能夠定義地址資源（地址、地址組、服務(wù)器地址、NAT地址池）。能夠定義服務(wù)資源（服務(wù)、服務(wù)組）。能夠定義代理資源（預(yù)定義的HTTP、FTP、TELNET、SMTP、POP3、SOCKS代理、自定義代理）。能夠定義時刻資源（時刻、時刻組，一次性調(diào)度和周期性調(diào)度）。能夠定義帶寬資源。能夠定義URL資源（URL黑名單、URL白名單）。地址綁定提供IP/MAC地址綁定檢查功能，可有效解決網(wǎng)絡(luò)治理中IP地址盜用問題。能夠設(shè)置綁定的默認策略，提供IP/MAC對的唯一性檢查。提供地址對與網(wǎng)口的綁定功能，能夠及時定位盜用合法IP/MAC地址對的非法用戶。提供IP/MAC自動探測功能?？笵oS攻擊支持對拒絕服務(wù)攻擊的防范，能夠防范syn_flood、pingflood、udpflood、teardrop、sweep、land、pingofdeath、smurf、碎片攻擊、WINNUKE、圣誕樹攻擊等。配合防火墻上的IDS功能，能夠抵抗更多種類的攻擊。入侵聯(lián)動支持與網(wǎng)御神州、啟明星晨、中科網(wǎng)威、北方計算中心等主流入侵檢測系統(tǒng)的聯(lián)動。雙機熱備提供專門的聯(lián)動協(xié)議和API接口程序，能夠關(guān)心其它入侵檢測廠商快速實現(xiàn)與網(wǎng)御神州防火墻的聯(lián)動。支持雙機熱備工作模式，當主防火墻遭遇宕機、網(wǎng)絡(luò)故障、硬件故障等故障時，從防火墻能夠自動檢測到并在小于1秒的時刻范圍內(nèi)快速切換到主工作狀態(tài)，接管主防火墻的工作。多機集群支持2及兩臺以上防火墻組成多機集群工作模式，在實現(xiàn)高可靠性的前提下，提供真正意義的負載均衡功能。負載均衡支持多機集群模式下防火墻處理能力方面的負載均衡。狀態(tài)同步支持DMZ區(qū)服務(wù)器組基于應(yīng)用的負載均衡。基于端口吞吐能力方面的鏈路聚合負載均衡。在多機集群狀態(tài)下，支持多臺防火墻共享虛擬的IP地址，在雙機熱備狀態(tài)下，支持主機的連接狀態(tài)信息與備機保持同步更新，從而可保障冗余系統(tǒng)切換時連接不中斷，完全消除單點故障。策略路由提供目的路由和源地址路由功能以及目的路由負載均衡。安全治理提供遠程安全治理和本地治理功能。配置備份提供全中文web界面和專業(yè)化的命令行界面治理方式。提供專用帶外治理口。通過治理員身份認證（電子鑰匙認證或證書認證）、治理員級授權(quán)（包括超級治理員、配置治理員、策略治理員、審計治理員）、治理主機限制、防火墻治理IP限制、防火墻治理方式定義（web治理/命令行治理/SSH方式/PPP+SSH連接）、配置信息加密（支持SSL協(xié)議和SSH協(xié)議），提供方便且安全的配置治理。支持配置的本地下載和上載。模塊升級提供恢復(fù)防火墻出廠配置功能。提供靈活的軟件升級方式，適應(yīng)安全需求的快速響應(yīng)。時鐘調(diào)整提供防火墻系統(tǒng)時鐘與治理主機時刻同步的時鐘調(diào)整功能。網(wǎng)絡(luò)調(diào)試工具提供防火墻系統(tǒng)時鐘與網(wǎng)絡(luò)時鐘服務(wù)器同步（NTP協(xié)議）的時鐘調(diào)整功能。ping系統(tǒng)監(jiān)控TracerouteRoute提供網(wǎng)口激活信息統(tǒng)計與連接信息監(jiān)控。日志審計提供當前CPU和內(nèi)存利用率監(jiān)控。提供HA高可用狀態(tài)監(jiān)控。提供用戶在線狀況監(jiān)控，顯示用戶名、登錄IP、登錄時刻、在線時刻、流入流量和流出流量，可依照安全策略實時中斷某用戶的連接。提供連接數(shù)量和流量監(jiān)控。在防火墻本地能夠靈活地設(shè)置監(jiān)測的時刻間隔和顯示方式。日志審計功能提供對防火墻系統(tǒng)事件和網(wǎng)絡(luò)事件的統(tǒng)計、查詢、分析。集中治理所有的防火墻事件都有相關(guān)日志記錄，包括包過濾日志、系統(tǒng)日志、內(nèi)容過濾日志、VPN日志、HA日志、攻擊日志等，每種日志都有固定的格式，結(jié)構(gòu)嚴謹，條理清晰，可讀性強。提供以下三種日志治理方式：●支持本機治理，日志信息采取先進先出的滾動刷新方式，且斷電即丟失，只適應(yīng)流量小、對日志審計要求低的環(huán)境，提供有限的查詢功能（按日志類型、日志級不和關(guān)鍵詞進行查找）；●支持SecGateManager安全治理，是SecGate防火墻的專業(yè)治理工具，支持日志的海量存儲，支持安全事件的歸并和關(guān)聯(lián)分析，支持圖形化的直觀審計分析；●支持其它安全治理系統(tǒng)治理，如：Webtrends、用戶自主開發(fā)的安全治理中心等，防火墻通過SNMP模塊與安全治理中心通信，為安全治理人員提供全面、易用、高效、實時的全局日志與安全事件審計分析，此方式需要額外投資。支持SNMPv2，v3，能夠與SecGateManager安全治理系統(tǒng)無縫聯(lián)動（集中治理、設(shè)備監(jiān)控和事件審計）。網(wǎng)絡(luò)適應(yīng)性通過SecGateManager安全治理系統(tǒng)能夠?qū)Ψ阑饓顟B(tài)信息進行實時監(jiān)控與統(tǒng)計分析。具有多個自適應(yīng)網(wǎng)絡(luò)接口，網(wǎng)口數(shù)目可擴展，在保證網(wǎng)絡(luò)高度安全和數(shù)據(jù)完整的前提下，同時具有線速或接近線速的網(wǎng)絡(luò)處理性能。VLAN支持支持每個網(wǎng)絡(luò)接口設(shè)定多個IP地址，支持網(wǎng)絡(luò)接口模式的設(shè)定。支持ADSL撥號連接，自動以ADSL獲得的地址為公網(wǎng)地址，用此地址對內(nèi)部IP做地址轉(zhuǎn)換。適應(yīng)多種網(wǎng)絡(luò)拓撲結(jié)構(gòu)和VLAN環(huán)境（支持802.1q協(xié)議、Trunk協(xié)議和VLAN間訪問操縱等）。支持多種工作模式（包括透明模式、純路由模式、混合模式）。滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的要求（防火墻冗余、防火墻旁路、防火墻跨接）。支持IEEE802.1Q協(xié)議。多協(xié)議支持支持vlantrunk協(xié)議，并能夠?qū)runk口中的VLANID進行過濾。支持VTP鏈路聚合協(xié)議。支持STP協(xié)議和BPDU協(xié)議。在路由模式和橋模塊下均支持VLAN間路由。治理口和HA口不支持VLAN協(xié)議。對TCP/UDP/ICMP協(xié)議的數(shù)據(jù)幀，依照安全規(guī)則建立狀態(tài)檢測，完成動態(tài)包過濾。對非IP協(xié)議的數(shù)據(jù)幀，依照非IP協(xié)議過濾策略（同意或禁止，在網(wǎng)口時配置指定）進行處理。只能做透傳處理的非IP協(xié)議包括：DHCP、ADSL、IPX、RIP、ISL、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、BOOTP、VOD、RIP、OSPF、BGP4、IPX等。5.1.3SecGate3600-G7防火墻六大特色獨立的SecOS安全協(xié)議棧完全自主知識產(chǎn)權(quán)的SecOS實現(xiàn)防火墻的操縱層和數(shù)據(jù)轉(zhuǎn)發(fā)層分離，全模塊化設(shè)計，實現(xiàn)獨立的安全協(xié)議棧，消除了因操作系統(tǒng)漏洞帶來的安全性問題，以及操作系統(tǒng)升級、維護對防火墻功能的阻礙。同時也減少了因為硬件平臺的更換帶來的重復(fù)開發(fā)問題。由于采納先進的設(shè)計理念，使該SecOS具有更高的安全性、開放性、擴展性和可移植性。硬件抽象層硬件抽象層SecOS安全協(xié)議棧操縱接口配置治理應(yīng)用軟件圖3.1SecGate3600防火墻體系架構(gòu)圖獨創(chuàng)的智能高效搜索算法采納獨創(chuàng)的分段直接尋址搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解決了傳統(tǒng)防火墻隨著安全策略數(shù)的增加其性能逐漸下降的問題，確保您在大量安全策略數(shù)目情況下仍能獵取最高的網(wǎng)絡(luò)性能！深度的網(wǎng)絡(luò)行為關(guān)聯(lián)分析采納數(shù)據(jù)包內(nèi)容的深度網(wǎng)絡(luò)行為關(guān)聯(lián)分析技術(shù)，讓您不再為各種專有動態(tài)協(xié)議如H.323、FTP、SQL.Net等的操縱“愁眉不展”！同時增強了您的網(wǎng)絡(luò)關(guān)于各種DDoS攻擊的防范能力！全面的連接狀態(tài)監(jiān)控和實時阻斷全面的連接狀態(tài)監(jiān)控，讓您及時掌握網(wǎng)絡(luò)運行狀態(tài)，配合豐富的連接限制，方便您對BT/電驢等P2P應(yīng)用的操縱，以及對感染網(wǎng)絡(luò)蠕蟲病毒的主機進行快速定位和實時阻斷！強大的網(wǎng)絡(luò)拓撲自適應(yīng)性適應(yīng)于各種復(fù)雜網(wǎng)絡(luò)拓撲，包括透明橋接、路由以及橋和路由完全自適應(yīng)識不模式。支持VLAN和VLANTRUNK處理；支持多網(wǎng)絡(luò)出口的鏈路聚合和策略路由；支持生成樹和每VLAN生成樹協(xié)議（STP/PVST+）和虛擬路由冗余協(xié)議（VRRP），提供全面可靠的二層鏈路備份和三層路由備份。智能便捷的配置向?qū)Ш椭卫矸绞綖榘踩卫韱T提供智能便捷的配置向?qū)?，讓您輕松完成復(fù)雜的安全配置！并提供豐富的治理方式，包括本地Console，撥號PPP接入，基于Web（HTTPS）掃瞄器，遠程SSH登錄，以及強大的SecFox集中安全治理方式。5.1.4SecGate3600-G7防火墻要緊功能介紹自適應(yīng)的網(wǎng)絡(luò)接入模式SecGate3600-G7防火墻支持透明橋接、路由、混合（同時存在透明、路由的自適應(yīng)接入）接入模式。當工作在透明模式時，SecGate3600-G7防火墻類似于一個網(wǎng)橋，不需要用戶對網(wǎng)絡(luò)的拓撲做出任何調(diào)整；當工作在路由模式時，SecGate3600-G7防火墻類似于一個路由器，能夠提供策略路由功能；SecGate3600-G7防火墻還能夠工作在自適應(yīng)的混合模式下，即防火墻的不同端口有的在同一網(wǎng)段上（透明），有的在不同網(wǎng)段上（路由），如此更方便用戶在各種網(wǎng)絡(luò)環(huán)境的接入。完善的狀態(tài)包過濾SecGate3600-G7防火墻依照數(shù)據(jù)包的源地址、目標地址、協(xié)議類型、源端口、目標端口以及網(wǎng)絡(luò)接口等對數(shù)據(jù)包進行訪問操縱，而且能夠記錄通過防火墻的連接狀態(tài)，直接對分組里的數(shù)據(jù)進行處理；具有完備的狀態(tài)檢測表追蹤連接會話狀態(tài)，同時結(jié)合前后分組里的關(guān)系進行綜合推斷決定是否同意該數(shù)據(jù)包通過，通過連接狀態(tài)進行更迅速更安全的過濾。支持復(fù)雜動態(tài)協(xié)議的狀態(tài)包過濾，通過對協(xié)議內(nèi)容的實時分析，動態(tài)開放所需的端口，傳輸結(jié)束后實時關(guān)閉端口，確保內(nèi)網(wǎng)安全。強大的抗攻擊能力完全自主開發(fā)的SecOS安全協(xié)議棧，支持對常見攻擊的檢測和阻斷，并能夠?qū)崿F(xiàn)針對ICMP、UDP、TCP的Flood攻擊提交頻度檢查與閾值分析，如針對ICMPFlood完成過濾類型與代碼、頻度、包長檢查，針對UDPFlood完成頻度、包長檢查，針對Synfloood完成頻度檢查。針對最常見的SynFlood攻擊，設(shè)置了SYNproxy以愛護內(nèi)部網(wǎng)絡(luò)和防火墻本身免受此類的拒絕服務(wù)攻擊，提供高安全性和高可用性。支持對以下攻擊的檢測：TCP端口掃描UDP端口掃描Synflood攻擊ICMPflood攻擊UDPflood攻擊Pingofdeath攻擊Pingsweep攻擊IPspoofingLand攻擊Teardrop攻擊FilterIPsourcerouteoptionWinNuke攻擊Synfragments攻擊SynandFinbitset攻擊NoflagsinTCP攻擊FINwithnoACK攻擊ICMPfragment攻擊LargeICMPIPsourcerouteIPrecordrouteIPsecurityoptionsIPtimestampIPstreamIPbadoptionsUnknownprotocols全面的NAT地址轉(zhuǎn)換支持動態(tài)地址轉(zhuǎn)換，支持地址池，即一對一，一對多，多對多；支持靜態(tài)地址轉(zhuǎn)換；支持端口轉(zhuǎn)換，支持動態(tài)服務(wù)的映射，同意用戶內(nèi)部服務(wù)對外開放；支持反向IP映射，同意用戶內(nèi)部IP主機對外開放；支持雙向地址轉(zhuǎn)換（一般應(yīng)用于兩邊權(quán)限對等網(wǎng)絡(luò)中），即源地址和目的地址的同時轉(zhuǎn)換；支持基于策略（基于協(xié)議、目的地址）的地址轉(zhuǎn)換。豐富的預(yù)定義代理和自定義代理SecGate3600-G7防火墻提供豐富的代理功能。預(yù)定義代理包括：HTTP代理能夠?qū)ava、JavaScript、ActiveX進行過濾；FTP代理能夠?qū)Χ嗑€程、put和get命令過濾；SMTP代理能夠?qū)︵]件大小、接收人數(shù)限制，并按關(guān)鍵字對郵件主題、郵件正文和附件內(nèi)容、附件名過濾；POP3代理能夠?qū)︵]件大小限制，并按關(guān)鍵字對郵件主題、附件名過濾；支持基于TCP協(xié)議的用戶自定義代理，方便治理員使用。獨創(chuàng)的高效安全規(guī)則搜索算法SecGate3600-G7防火墻采納自主設(shè)計的分段直接尋址安全規(guī)則搜索算法MSDAL（Multi-StageDirectAddressingLookupAlgorithm），解決了傳統(tǒng)防火墻隨著安全規(guī)則數(shù)的增加，其搜索速率呈線性遞減的問題，確保在大規(guī)則數(shù)情況下以最短的時刻匹配到安全規(guī)則。全面靈活的連接限制SecGate3600-G7防火墻提供了四種連接限制：愛護主機、愛護服務(wù)、限制主機、限制服務(wù)。連接限制能夠愛護服務(wù)器或服務(wù)器上提供的某項服務(wù)，限制對服務(wù)器過于頻繁的訪問。在規(guī)定的時刻內(nèi)，假如某臺主機訪問服務(wù)器超過了所限制的次數(shù)，則會對該主機實行阻斷，在阻斷時刻段內(nèi)，拒絕其對服務(wù)器的所有訪問。也能夠應(yīng)用此功能對使用BT/電驢等連接數(shù)目過大嚴峻阻礙網(wǎng)絡(luò)流量的用戶加以限制。策略路由和鏈路聚合SecGate3600-G7防火墻除常規(guī)的按目的IP方式的路由功能外，還支持按源IP方式的路由功能和路由負載均衡，支持多出口時鏈路聚合。按源IP方式是依照源IP地址來決定下一跳地址。路由負載均衡指按照下一跳的權(quán)值來自動選擇路由，從而充分利用用戶的帶寬資源，愛護用戶投資。深度內(nèi)容過濾SecGate3600-G7防火墻具備HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過濾功能，愛護終端用戶合法有效地使用各種網(wǎng)絡(luò)資源；支持對網(wǎng)頁中的java、javascrip、activeX等小程序的過濾；支持對郵件的發(fā)收信人地址、人數(shù)、文件大小過濾，及對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等的關(guān)鍵字匹配過濾；支持URL過濾，并支持黑/白名單過濾策略。0深度動態(tài)協(xié)議分析SecGate3600-G7防火墻支持對網(wǎng)絡(luò)動態(tài)協(xié)議的深度分析，全面支持H.323、FTP、SQL.NET等動態(tài)協(xié)議的過濾。1全面的VLAN支持SecGate3600-G7防火墻能夠支持802.1Q封裝協(xié)議；支持Vlantrunk協(xié)議，并能夠?qū)runk口中的VLANID進行過濾；支持VTP鏈路聚合協(xié)議；支持生成樹協(xié)議STP和每VLAN的生成樹協(xié)議PVST+；在路由模式和橋模塊下均支持VLAN間路由，方便用戶在旁路方式下的接入。2用戶認證SecGate3600-G7防火墻提供協(xié)議層用戶認證系統(tǒng)，突破認證的服務(wù)種類限制，為包過濾、雙向NAT、代理等訪問操縱提供用戶認證功能；支持用戶和組治理，支持用戶策略（源IP綁定、可訪問目的IP和服務(wù)），支持對用戶帳號的流量操縱和時刻操縱；提供與標準的radius服務(wù)器（PAP）聯(lián)動的用戶認證；提供本地認證庫：提供基于角色的用戶策略，并與安全規(guī)則策略配合完成強訪問操縱，支持對用戶帳號的流量操縱和時刻操縱，客戶端能夠修改密碼，服務(wù)器端檢查用戶在線狀態(tài)，支持PAP和S/Key認證協(xié)議。3IP/MAC地址綁定SecGate3600-G7防火墻提供IP/MAC地址綁定檢查功能，防止IP地址盜用，能夠設(shè)置綁定的默認策略，提供IP/MAC對的唯一性檢查。此外還提供地址對與網(wǎng)口的綁定功能，能夠及時定位盜用合法IP/MAC地址對的非法用戶。SecGate3600-G7防火墻提供IP/MAC自動探測功能，能夠大大減輕治理員手工收集IP/MAC對的工作量。4靈活的時刻調(diào)度SecGate3600-G7防火墻可設(shè)定一次性或周期性的調(diào)度規(guī)則，對安全規(guī)則、用戶安全策略等進行調(diào)度，給安全治理帶來方便。SecGate3600-G7防火墻的系統(tǒng)時刻能夠設(shè)置為與時鐘服務(wù)器的時刻同步，也能夠設(shè)置為與治理主機的時刻同步。5與IDS聯(lián)動SecGate3600-G7防火墻支持與目前市場上大部分主流IDS產(chǎn)品的聯(lián)動。當IDS聯(lián)動產(chǎn)品發(fā)覺入侵攻擊行為時，會通知防火墻。假如防火墻相應(yīng)網(wǎng)口啟用了IDS自動阻斷功能，則防火墻會按IDS通知的阻斷方式、阻斷時刻和入侵主機的相關(guān)信息，對入侵主機進行阻斷。SecGate3600-G7防火墻阻斷方式包括：對“源IP地址”阻斷；對“源IP地址、目的IP地址、目的端口、協(xié)議”阻斷；對“源IP地址、目的IP地址、協(xié)議、方向（單向、雙向、反向）”阻斷；防火墻阻斷協(xié)議包括：TCP/UDP/ICMP和所有協(xié)議（any）。6流量整形和帶寬治理SecGate3600-G7防火墻采納先進的擁塞操縱算法、流量調(diào)度算法以及優(yōu)先級排隊機制，依照用戶定義的帶寬策略（最大峰值帶寬，最小保證帶寬和優(yōu)先級），動態(tài)實現(xiàn)帶寬分配的實時操縱。具有以下特點：最大限制帶寬能夠?qū)τ脩鬒P地址、服務(wù)等通過防火墻的帶寬進行限制，例如：限制某個用戶對外訪問最大帶寬，或者訪問某種服務(wù)的最大帶寬。最小保證帶寬保證網(wǎng)絡(luò)中重要服務(wù)或者重要用戶的帶寬不被其他服務(wù)或者用戶占用，從而保證了重要數(shù)據(jù)優(yōu)先通過網(wǎng)絡(luò)。優(yōu)先級操縱防火墻能夠設(shè)定4個優(yōu)先級（0-3），在擁塞情況下，能夠進行更加細致的流量操縱。7完善的DHCP支持支持DHCP客戶端防火墻支持動態(tài)IP，其接口能夠動態(tài)地獲得IP地址，方便靈活地接入用戶的網(wǎng)絡(luò)環(huán)境。支持DHCPserver防火墻自身能夠作為DHCPServer，為網(wǎng)絡(luò)中計算機動態(tài)的分配IP地址，從而為企業(yè)的網(wǎng)絡(luò)建設(shè)節(jié)約投資，同時方便網(wǎng)絡(luò)的應(yīng)用和IP地址的治理。支持DHCPRelay防火墻支持DHCPRelay。放置于DHCPServer和DHCPClient之間，既有效的愛護DHCPServer同時便于用戶網(wǎng)絡(luò)的部署。8雙機熱備和高可用性HA為了保證網(wǎng)絡(luò)的高可用性與高可靠性，針對電信級的要求，SecGate3600-G7防火墻提供了雙機熱備份功能，當一臺防火墻發(fā)生意外宕機、網(wǎng)絡(luò)故障、硬件故障等情況時，另一臺防火墻自動切換到工作狀態(tài)，從而保證了網(wǎng)絡(luò)的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與，當發(fā)生切換時防火墻上的連接能夠透明地、完整地遷移到另一臺防火墻上，用戶可不能覺察到。9全面的系統(tǒng)監(jiān)控SecGate3600-G7防火墻提供全面的系統(tǒng)狀態(tài)監(jiān)控，能夠讓治理員清晰地了解網(wǎng)絡(luò)中接口流量統(tǒng)計、最大連接數(shù)量的IP等信息，同時能夠及時發(fā)覺被網(wǎng)絡(luò)蠕蟲病毒感染的主機，配合連接限制，進行實時阻斷。0便捷的配置向?qū)ecGate3600-G7防火墻提供便捷的配置向?qū)Чδ埽卫韱T能夠依照初始配置向?qū)лp松完成防火墻的配置。1對象名稱定義和引用SecGate3600-G7防火墻將單個地址、一段網(wǎng)絡(luò)、IP地址的范圍、地址組、帶寬策略、時刻調(diào)度策略、URL列表等設(shè)置為一個對象名稱。安全規(guī)則基于對象名稱過濾，使規(guī)則具有專門強的可讀性，同時提高了配置治理員的工作效率，使配置更具靈活性。2豐富、安全的治理方式SecGate3600-G7防火墻提供Web治理方式（通過網(wǎng)口）、CLI命令行治理方式（通過串口），同時還支持遠程撥號（PPP）治理方式。上述三種治理方式是一直打開的。另外，防火墻還提供通過SSH登錄對防火墻以命令行方式進行遠程治理的功能，此治理方式治理員有權(quán)進行添加和刪除。3分級權(quán)限的安全治理SecGate3600-G7防火墻提供分級安全治理機制，系統(tǒng)分為超級治理員、配置治理員、策略治理員、審計治理員四個等級。通過治理員身份認證（電子鑰匙認證或證書認證）、治理主機限制、防火墻治理IP限制、防火墻治理方式定義（web治理/命令行治理/SSH方式/PPP+SSH連接）、配置信息加密（支持SSL協(xié)議和SSH協(xié)議），提供方便且安全的配置治理。4與SecFox集中遠程治理無縫集成SecGate3600-G7防火墻通過SNMPv2/v3協(xié)議，實現(xiàn)了和網(wǎng)御神州SecFox集中安全治理系統(tǒng)的無縫集成，通過在防火墻上配置集中治理主機的IP地址，十分方便地實現(xiàn)對防火墻的集中治理。SecFox集中治理系統(tǒng)能夠同時對多個防火墻進行遠程治理，同時支持防火墻策略的批量修改和分發(fā)。5完善的系統(tǒng)升級隨著技術(shù)的飛速進展和安全需求的不斷延伸，SecGate3600-G7會適時地進行軟件版本升級。SecGate3600-G7防火墻的軟件升級直接通過治理界面進行，用戶只需選擇新的升級軟件包并重啟防火墻即可方便地完成軟件升級。6系統(tǒng)配置的導(dǎo)入導(dǎo)出SecGate3600-G7防火墻的導(dǎo)入導(dǎo)出功能便于治理員對整個防火墻的配置進行備份，在需要的時候，能夠離線調(diào)整后，重新導(dǎo)入防火墻即可即時生效。導(dǎo)出的配置信息能夠保存在治理主機上做備份，導(dǎo)出的文件格式能夠選擇加密或不加密。7全面的日志審計和日志服務(wù)器SecGate3600-G7防火墻各功能模塊都能夠提供標準格式的日志記錄。默認情況下，日志存儲在防火墻本地，也能夠?qū)⑷罩局苯影l(fā)往日志服務(wù)器。隨機提供的日志服務(wù)器軟件能夠?qū)崿F(xiàn)強大的存儲和審計功能，方便治理員對日志進行查詢和治理。5.2網(wǎng)御神州SECIDS-3600入侵檢測5.2.1概述網(wǎng)神IDS是由網(wǎng)神IDSsensor(以下稱探測器)及網(wǎng)神IDSConsole（以下稱操縱臺）兩部分組成。探測器設(shè)置在內(nèi)部網(wǎng)絡(luò)特定地點(網(wǎng)關(guān)、要緊服務(wù)群所在的部分、要緊節(jié)點)進行數(shù)據(jù)流分類收集并執(zhí)行入侵檢測及數(shù)據(jù)流分析的功能，把分析的事件結(jié)果傳送到治理中心。把傳送到治理中心的事件進行再分析及統(tǒng)計抽取的過程保存到數(shù)據(jù)庫中，利用操縱臺能夠?qū)崟r進行數(shù)據(jù)檢測。5.2.2要緊技術(shù)特色先進的入侵檢測引擎系統(tǒng)采納優(yōu)化的TCP流重組和IP包重組策略，綜合使用狀態(tài)協(xié)議分析、模式匹配、異常檢測等方法，能夠?qū)崿F(xiàn)對當前主流的應(yīng)用層協(xié)議進行解析，支持的協(xié)議達100種以上。先進的智能治理模式探測器和操縱臺間對等方式的分散性結(jié)構(gòu)，能夠使一個探測器連接多個操縱臺，或者一個操縱臺連接多個探測器。探測器能夠有1個主操縱臺（PrimaryManager）和1個以上的從操縱臺（SecondaryManager）。主操縱臺和從操縱臺能夠記錄探測器的所有事件，且主操縱臺能夠設(shè)置探測器的配置。多個操縱臺和多個探測器的連接。發(fā)生與操縱臺的連接斷開時，探測器也可持續(xù)工作，記錄事件日志。重新連接時探測器向主操縱臺發(fā)送斷開期間保存的所有日志數(shù)據(jù)。多個探測器連接一個操縱臺。利用SSL加密算法的操縱臺和探測器間的通訊加密化。治理員能夠依照需要定制安全事件及網(wǎng)絡(luò)流量的顯示界面，如此更便于治理員了解網(wǎng)絡(luò)的安全狀況。出色的運行性能SecIDS3600采納了內(nèi)存零拷貝、零系統(tǒng)調(diào)用等高性能網(wǎng)絡(luò)數(shù)據(jù)包處理技術(shù)，結(jié)合高性能的硬件平臺，能有效降低網(wǎng)絡(luò)數(shù)據(jù)包的處理開銷，即使在高流量的網(wǎng)絡(luò)環(huán)境下也能夠保持出色的運行性能。5.2.3產(chǎn)品功能特點產(chǎn)品系統(tǒng)構(gòu)成網(wǎng)御神州百兆入侵檢測系統(tǒng)目前有兩個型號：SecIDS3600-I5和SecIDS3600-I4。網(wǎng)御神州千兆入侵檢測系統(tǒng)目前有一個型號：SecIDS3600-G。網(wǎng)御神州入侵檢測系統(tǒng)由探測器（硬件）和操縱臺（軟件）兩部分組成。SecIDS3600探測器硬件設(shè)備。在所監(jiān)視網(wǎng)段采納入侵檢測分析技術(shù)，檢測違反網(wǎng)絡(luò)安全策略的入侵攻擊事件、誤用及濫用事件，實時向操縱臺傳送報警信息和事件過程記錄。SecIDS3600操縱臺軟件系統(tǒng)。對一個或多個網(wǎng)御IDS探測器進行規(guī)則策略配置、運行狀態(tài)監(jiān)視、事件日志記錄及治理。對探測器檢測出的違反網(wǎng)絡(luò)安全策略的事件，能夠向網(wǎng)絡(luò)安全治理員報警，并依據(jù)預(yù)置的策略與多種防火墻進行聯(lián)動，阻斷入侵攻擊。產(chǎn)品完全功能列表完全功能列表功能特性備注專用平臺有入侵檢測功能多種行為檢測有狀態(tài)化的TCP連接檢測有協(xié)議解碼有事件合并功能有智能IP碎片重組有防Arp地址欺騙有防IP地址欺騙有基于用戶自定義策略的分析有增值功能敏感內(nèi)容檢測有多網(wǎng)段定義有數(shù)據(jù)庫交叉?zhèn)浞萦芯W(wǎng)絡(luò)事件回放有系統(tǒng)安全功能遠程安全治理有治理日志審計有用戶操作審計有抗反IDS技術(shù)有抗針對IDS的DOS攻擊有配置功能安全規(guī)則定制有多種響應(yīng)方式有日志審計和報表有數(shù)據(jù)庫支持Access、SQL、Oracle安全模版定制有用戶自定義事件查看有附屬功能網(wǎng)絡(luò)流量統(tǒng)計有日志維護有遠程升級有自定義設(shè)置統(tǒng)計流量有部署功能開放式接口有分級部署有Peer-to-peer的治理方式，方便多個用戶的同時觀測數(shù)據(jù)有主/輔操縱臺雙向連接有重點服務(wù)器的定義與實時監(jiān)控有操縱臺治理功能用戶分權(quán)限治理有會話過濾和實時響應(yīng)有實時探測器狀態(tài)顯示,能夠?qū)崟r顯示探測器的系統(tǒng)消耗狀況有日志庫維護（提供了專門對操縱臺數(shù)據(jù)庫的優(yōu)化程序）有完整性檢測，能夠?qū)Σ倏v臺文件/數(shù)據(jù)庫表/注冊表鍵值的完整性進行檢查。有打算任務(wù)，能夠定時進行規(guī)則庫升級/日志備份等有檢測對象目標化，能夠針對小型網(wǎng)絡(luò)中的重點愛護對象進行有目標的監(jiān)測有探測器與操縱臺執(zhí)行策略的雙向同步有預(yù)檢策略，能夠過濾掉用戶所不關(guān)懷的數(shù)據(jù)有5.2.4產(chǎn)品要緊功能亮點細粒度檢測技術(shù)在檢測過程中綜合運用多種檢測手段，在檢測的各個部分使用合適的檢測方式，脫離了單純的匹配或解碼的檢測模式。有效降低了漏報誤報率，提供了高可用性的告警信息。網(wǎng)御神州獨創(chuàng)的檢測技術(shù)，解決了目前常用的模式匹配和協(xié)議解碼技術(shù)帶來的入侵檢測產(chǎn)品可用性不高的問題。強大的入侵檢測功能檢測1600多種攻擊手段。支持事件統(tǒng)計分析，協(xié)議異常檢測，有效防止各種攻擊欺騙。優(yōu)異的檢測性能，通過使用高速數(shù)據(jù)包處理技術(shù)，提高了大流量下的檢測能力，能夠適應(yīng)百兆和千兆的網(wǎng)絡(luò)環(huán)境。百兆環(huán)境下背景流量為百兆滿負荷時，檢測率達到100％。依托強大的資源投入，保證了檢測規(guī)則庫的權(quán)威性和時效性，同時與國際權(quán)威規(guī)則庫保持同步。靈活全面的部署配置支持IDS/IPS雙工作模式。支持TOPSEC、OPSEC等協(xié)議，具有較強聯(lián)動功能。支持SNMP協(xié)議下的網(wǎng)絡(luò)統(tǒng)一治理，可擴展與多種網(wǎng)絡(luò)設(shè)備聯(lián)動。用戶導(dǎo)向的設(shè)計理念操縱臺界面人性化，提供初次安裝探測器向?qū)?、探測器高級配置向?qū)?、報表定制向?qū)У?，易于用戶使用。一站式治理結(jié)構(gòu)，簡化了配置流程。強大的日志報表功能，用戶可定制查詢和報表。支持用戶自定義規(guī)則設(shè)置和響應(yīng)設(shè)置，靈活方便的定制安全策略。用戶自定義個性化操縱臺界面。完善的增值功能網(wǎng)絡(luò)行為監(jiān)控、流量監(jiān)視、違規(guī)網(wǎng)絡(luò)連接檢測等功能，掌控自己的網(wǎng)絡(luò)。強大的響應(yīng)功能，提供防火墻聯(lián)動，郵件報警等多種響應(yīng)方式。IP欺騙檢測功能。檢測網(wǎng)絡(luò)中的IP地址盜用行為。Arp地址欺騙檢測，防止了來自內(nèi)部的地址欺騙攻擊，有效的定位內(nèi)部攻擊來源。HTTP、FTP、TELNET和收發(fā)郵件的監(jiān)控和回放功能，完整重現(xiàn)網(wǎng)絡(luò)濫用行為。數(shù)據(jù)庫交叉?zhèn)浞菽Ｊ剑涌炝藗浞菟俣?。安全的體系結(jié)構(gòu)設(shè)計完善的日志審計功能，記錄用戶操作的一舉一動。探測器地址隱藏設(shè)計。通過安全裁減的嵌入式操作系統(tǒng)，DOM和專用硬盤存儲機制。保證硬件設(shè)備的安全?；赟SL加密和身份認證的通訊機制，保證傳輸安全。基于硬件的身份認證功能，用戶角色分級機制，阻止對產(chǎn)品操作的假冒行為。高品質(zhì)產(chǎn)品具有先進的研發(fā)治理體系，通過嚴格的工作流程、完備的文檔和代碼治理工具實現(xiàn)高品質(zhì)產(chǎn)品的開發(fā)。產(chǎn)品通過數(shù)十道工序和質(zhì)控點，嚴格保證產(chǎn)品質(zhì)量。具備完備的質(zhì)檢措施，通過巡查、互檢、終檢，確保每一臺出廠的機器合格。完善、高效的售后服務(wù)體系能夠免除用戶的后顧之憂。5.2.5產(chǎn)品功能描述入侵檢測功能多種行為檢測檢測1600多種攻擊手段。使用細粒度檢測技術(shù)，支持事件統(tǒng)計分析，協(xié)議異常檢測，有效防止各種攻擊欺騙。在MACLayer中檢測及響應(yīng)，提高系統(tǒng)效率。狀態(tài)化的TCP連接檢測針對TCP連接建立狀態(tài)監(jiān)控機制，從而實現(xiàn)對重點服務(wù)器的深層次愛護。針對常見的反ids技術(shù)（如stick、snot攻擊），進行了優(yōu)化。協(xié)議解碼對常用網(wǎng)絡(luò)應(yīng)用層協(xié)議解碼分析。記錄網(wǎng)絡(luò)中的異常行為。智能IP碎片重組對所監(jiān)視網(wǎng)絡(luò)中的IP碎片報文重組后分析，防止IP碎片欺騙。防IP地址欺騙對所監(jiān)視網(wǎng)絡(luò)中主機的IP和MAC地址進行綁定，防止IP或MAC地址盜用行為。并對非法IP的訪問提供詳細的記錄，以便防火墻治理員查看。增值功能網(wǎng)絡(luò)敏感內(nèi)容檢測能夠設(shè)置網(wǎng)絡(luò)中常用的敏感信息發(fā)覺并記錄。如所監(jiān)視網(wǎng)絡(luò)中用戶訪問網(wǎng)站的URL地址；收發(fā)郵件的主題中包含敏感字符串等情況都能夠記錄下相應(yīng)的信息。關(guān)心治理員發(fā)覺內(nèi)部的網(wǎng)絡(luò)濫用行為。多網(wǎng)段定義能夠同意聯(lián)動事件雙方屬于多個網(wǎng)段，擴大了聯(lián)動范圍。網(wǎng)絡(luò)事件回放能夠把常用的應(yīng)用協(xié)議（HTTP、FTP、SMTP、POP3、TELNET）內(nèi)容恢復(fù)，并按照相應(yīng)的協(xié)議格式完整展現(xiàn)。清晰展現(xiàn)入侵者的攻擊過程，重現(xiàn)內(nèi)部網(wǎng)絡(luò)資源濫用時泄漏的保密信息內(nèi)容。系統(tǒng)安全功能遠程安全治理采納SSL加密信道和身份認證形式對傳輸信息進行處理，保證數(shù)據(jù)安全性、完整性（防篡改）。治理日志審計提供對用戶操作的審計功能。用戶登陸后的操作信息在操縱臺有操作日志窗口實時顯示，對修改用戶信息等敏感操作記錄入數(shù)據(jù)庫，能夠在用戶審計模塊查詢和生成報表。用戶操作審計對用戶所有修改操作進行審計，而且所有操作都直接和用戶建立關(guān)系。在程序啟動成功、失敗以及各種交互時打印詳細信息，提供給用戶查看，也能夠用于查詢和統(tǒng)計，為災(zāi)難恢復(fù)和審計提供內(nèi)容和思路。重點服務(wù)器定義和實時監(jiān)控通過定義關(guān)鍵服務(wù)器來實現(xiàn)對內(nèi)部web、ftp以及其他關(guān)鍵服務(wù)器的愛護，支持記錄對重點服務(wù)器的特定端口的訪問記錄，同時提供實時監(jiān)控和端口非法連接或者記錄非法連接的功能，為以后的取證提供證據(jù)。強大配置功能安全規(guī)則定制用戶可依照需要定義自己的安全規(guī)則。對系統(tǒng)自身的安全規(guī)則，用戶能夠依照需要修改告警級不，響應(yīng)方式等內(nèi)容。系統(tǒng)還提供高級配置界面，為專家級用戶提供強大的支持。多種響應(yīng)方式對告警信息提供了防火墻聯(lián)動、發(fā)送電子郵件、聲音報警、Windows消息報警、TCP阻斷等多種響應(yīng)方式。方便用戶，達到主動式防備目的。日志審計和報表強大的日志審計功能。用戶可依照需要從任意角度定制審計查詢條件；內(nèi)置日報，月報等預(yù)設(shè)報表，用戶可依照需要從任意角度定制報表。安全模板定制為用戶提供Windows系統(tǒng)、Unix系統(tǒng)、SQL服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等多種定制模板，用戶能夠依照自己的網(wǎng)絡(luò)情況選擇模板，省去了配置的苦惱。預(yù)定義報表預(yù)制最專業(yè)的報表，包括對領(lǐng)導(dǎo)的報表和對治理員的報表以及其他一些人性化的報表進行預(yù)制,包括統(tǒng)計概要、治理簡報/執(zhí)行簡報/技術(shù)簡報、分組統(tǒng)計、分組明細、按攻擊類型/按服務(wù)/按風險等級進行分析等，可按任意時刻段產(chǎn)生報表。支持條件過濾的報表查詢和統(tǒng)計對多種條件包括特定字符串、事件名稱、任何地址、重點服務(wù)器的過濾，使結(jié)果更加精確。關(guān)于已生成的查詢結(jié)果能夠進行多次過濾，形成報表進行打印或者導(dǎo)出excel文件。日志合并日志歸并依照一系列事先定義的合并規(guī)則，將多條告警日志合并為一條，從而極大地減少了告警日志的數(shù)量，緩解了使用者被淹沒在大量無用信息中的苦惱，同時也可在一定程度上降低入侵檢測系統(tǒng)遭受Flood攻擊的可能性。附加功能網(wǎng)絡(luò)流量統(tǒng)計提供對探測器監(jiān)視網(wǎng)絡(luò)環(huán)境的流量圖形化統(tǒng)計功能，能夠分不同的探測器查看TCP連接數(shù)目，網(wǎng)絡(luò)字節(jié)流量統(tǒng)計，網(wǎng)絡(luò)報文流量統(tǒng)計，網(wǎng)絡(luò)報警事件統(tǒng)計等多種統(tǒng)計信息。日志維護提供數(shù)據(jù)庫治理功能，能夠?qū)θ罩拘畔浞?，刪除，恢復(fù)，合并。提供備份文件信息記錄和顯示功能，防止備份文件的丟失。遠程升級支持在線和手動兩種升級方式。在操縱臺端能夠?qū)μ綔y器遠程升級。支持升級分發(fā)，可同時對多個探測器升級，省去治理員繁瑣的操作。部署功能開放式接口支持TOPSEC、OPSEC等協(xié)議。能夠和其他支持這些協(xié)議的安全產(chǎn)品輕松組成安全解決方案。支持SNMP協(xié)議下的安全治理，可與多種設(shè)備組成強大的集中治理體系。分級部署對大型的分布式網(wǎng)絡(luò)環(huán)境提供分級部署功能，完成總部對下屬分支機構(gòu)的集中治理和升級文件分發(fā)等功能。多配置模式支持IDS/IPS雙模式檢測。支持主動（Active）和被動（Passive）連接模式，在跨網(wǎng)段和跨防火墻的復(fù)雜網(wǎng)絡(luò)中靈活部署。5.3網(wǎng)御神州SecSIS3600隔離網(wǎng)閘5.3.1概述網(wǎng)御神州SecSIS3600安全隔離與信息交換系統(tǒng)能夠有效實現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全隔離，數(shù)據(jù)只能以專有數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)絡(luò)間進行“擺渡”，從而切斷了內(nèi)外網(wǎng)絡(luò)之間的所有直接連接，保證內(nèi)外網(wǎng)數(shù)據(jù)能夠安全、可靠地交換。該系統(tǒng)可廣泛應(yīng)用于政府、企業(yè)、軍隊、電力等需要實施網(wǎng)絡(luò)安全隔離和數(shù)據(jù)交換的場合。5.3.2產(chǎn)品特點豐富的應(yīng)用模塊：SecSIS3600安全隔離與信息交換系統(tǒng)采納模塊化的系統(tǒng)結(jié)構(gòu)設(shè)計，依照不同的應(yīng)用環(huán)境，量身定制多個功能模塊，以滿足用戶的不同需求。嚴格的傳輸操縱：系統(tǒng)采納雙通道通信機制，從可信網(wǎng)到非可信網(wǎng)的數(shù)據(jù)流與從非可信網(wǎng)到可信網(wǎng)的數(shù)據(jù)流采納不同的數(shù)據(jù)通道，對通道的分離操縱保證各通道的傳輸方向可控。高度的自身安全：系統(tǒng)具備強大的抗攻擊能力，內(nèi)外網(wǎng)主機模塊采納專用的安全操作系統(tǒng)，內(nèi)核通過專門定制，實現(xiàn)強制性訪問操縱，愛護自身進程及文件不被非法篡改和破壞。5.3.3要緊功能主模塊提供基于Web的圖形化治理和基于數(shù)字證書的遠程安全治理支持訪問操縱和入侵檢測支持病毒檢測提供完善的日志審計支持雙機熱備，自身支持負載均衡文件交換模塊支持多種常見的文件交換協(xié)議支持單向/雙向傳輸方式，可操縱信息流向支持文件交換的自動執(zhí)行支持傳輸文件類型限定，提供關(guān)鍵字、黑白名單信息過濾支持對傳輸文件的數(shù)字簽名郵件模塊支持SMTP、POP3通用協(xié)議，支持SMTP認證支持垃圾郵件過濾，支持對郵件內(nèi)容和附件的過濾支持內(nèi)外網(wǎng)郵件智能檢測和轉(zhuǎn)發(fā)支持對郵件的數(shù)字簽名支持采納端到端的安全通道式訪問支持SMTP、POP3協(xié)議，支持對協(xié)議命令進行安全過濾數(shù)據(jù)庫模塊支持多種常見的數(shù)據(jù)庫支持多種同步方式支持大字段的數(shù)據(jù)同步支持自定義更新標記支持自定義任務(wù)采納端到端的安全通道式訪問支持多種常見的數(shù)據(jù)庫支持訪問用戶名過濾FTP訪問模塊采納端到端的安全通道式訪問支持對用戶名、口令的認證對協(xié)議命令進行安全過濾安全掃瞄模塊支持代理模式、透明模式支持對HTTP協(xié)議的細粒度檢測提供多種認證方式支持對各種腳本、控件、JavaApplet、Cookie的過濾支持對訪問文件類型的過濾5.3.4系統(tǒng)功能詳述豐富的應(yīng)用模塊SecSIS3600安全隔離與信息交換系統(tǒng)采納模塊化的系統(tǒng)結(jié)構(gòu)設(shè)計，依照不同的應(yīng)用環(huán)境，量身定制多個功能模塊，以滿足用戶的不同需求，要緊包括：文件交換模塊：實現(xiàn)不同安全等級網(wǎng)絡(luò)間文件的安全交換。數(shù)據(jù)庫同步模塊：通過靈活的同步機制，保證安全等級不同的網(wǎng)絡(luò)中的數(shù)據(jù)庫系統(tǒng)實現(xiàn)數(shù)據(jù)同步更新。郵件交換模塊：保證在內(nèi)外網(wǎng)隔離的環(huán)境下實現(xiàn)安全的郵件收發(fā)。安全掃瞄模塊：保證在內(nèi)外網(wǎng)隔離的環(huán)境下，內(nèi)網(wǎng)用戶安全掃瞄外網(wǎng)資源。通用模塊：保證內(nèi)外網(wǎng)隔離的同時實現(xiàn)FTP、DNS、TNS等協(xié)議及其他通用TCP/IP協(xié)議的定制交換。其它定制用戶專有應(yīng)用模塊。訪問操縱系統(tǒng)支持強大的訪問操縱策略，支持通過源地址、目的地址、端口、協(xié)議等多種元素對同意通過網(wǎng)閘傳輸?shù)臄?shù)據(jù)進行過濾，推斷是否符合組織安全策略。地址綁定提供IP與MAC地址綁定功能，可對指定接口所連接的網(wǎng)絡(luò)中的主機的IP和MAC地址進行綁定，防止內(nèi)部用戶盜用IP和內(nèi)網(wǎng)地址資源分配的混亂，方便網(wǎng)絡(luò)IP資源治理。內(nèi)容檢查SecSIS3600安全隔離與信息交換系統(tǒng)提供多種內(nèi)容安全過濾與內(nèi)容訪問操縱功能，既能有效的防止外部惡意代碼進入內(nèi)網(wǎng)，也能操縱內(nèi)網(wǎng)用戶對外部資源不良內(nèi)容的訪問及敏感信息的泄漏。SecSIS3600安全隔離與信息交換系統(tǒng)的內(nèi)容檢查機制要緊針對HTTP、FTP、郵件及文件交換等應(yīng)用，包括URL過濾、關(guān)鍵字過濾、Cookie過濾、文件類型檢查及病毒查殺等操作。URL/域名過濾網(wǎng)閘可對用戶訪問的Web站點的域名及URL等進行基于正則表達式的過濾，禁止用戶訪問暴力、色情、反動的主頁或站點中的特定目錄或文件。黑/白名單關(guān)鍵字過濾網(wǎng)閘可對郵件標題和內(nèi)容以及傳輸?shù)奈募冗M行黑/白名單關(guān)鍵字過濾，進行單詞及短句的智能匹配，禁止包含特定關(guān)鍵字的敏感信息泄漏，或只同意包含相應(yīng)關(guān)鍵字的文件通過網(wǎng)閘傳遞。COOKIE過濾網(wǎng)閘可對COOKIE進行過濾。通過對COOKIE進行過濾，能夠防止敏感信息的泄漏。同時還能夠防止用戶進行掃瞄論壇、上網(wǎng)談天等違反安全策略的操作。文件類型檢查網(wǎng)閘可對傳輸?shù)奈募M行類型檢查，只同意符合安全策略的文件通過網(wǎng)閘傳遞。幸免傳輸二進制文件可能帶來的病毒和敏感信息泄露等問題。病毒及惡意代碼檢查系統(tǒng)可內(nèi)嵌殺病毒引擎，對同意傳輸?shù)奈募M行病毒的檢查，確保進入可信網(wǎng)絡(luò)的文件不包含病毒及Java/JavaScript/Active-X等惡意代碼。高可用設(shè)計SecSIS3600安全隔離與信息交換系統(tǒng)支持高可用方案，全面解決設(shè)備故障與鏈路故障造成的業(yè)務(wù)中斷，保證系統(tǒng)7X24小時不間斷服務(wù)。輕松的治理SecSIS3600安全隔離與信息交換系統(tǒng)配備專門的治理端口，通過數(shù)字證書認證與治理信息的加密傳輸實現(xiàn)網(wǎng)閘設(shè)備的集中治理。系統(tǒng)采納全中文的Web方式進行遠程網(wǎng)絡(luò)治理，界面友好，操作方便。系統(tǒng)治理員和審計員實現(xiàn)分權(quán)治理，使得對網(wǎng)閘的治理更加安全可控，幸免人為因素帶來的安全風險。傳輸方向操縱SecSIS3600安全隔離與信息交換系統(tǒng)采納雙通道通信機制，從可信網(wǎng)到非可信網(wǎng)的數(shù)據(jù)流與從非可信網(wǎng)到可信網(wǎng)的數(shù)據(jù)流采納不同的數(shù)據(jù)通道，對通道的分離操縱保證各