• 国务院关税税则委员会发布关于对原产于美国500亿美元进口商品加征关税的公告 2019-04-18
  • 习近平致信祝贺人民日报创刊70周年 2019-04-14
  • 借同事新车酒驾烧毁 找同事“顶包”被识破 2019-04-14
  • 现代派沃泰自动变速箱(山东)有限公司 2019-04-13
  • “最美水鸟”紫水鸡现身异龙湖湿地 春城壹网 七彩云南 一网天下 2019-04-11
  • 首款PD-1肺癌免疫药物上市 美国1年疗程售价百万 2019-04-08
  • 安徽贯彻十九大:振兴美丽乡村,造福乡里乡亲 2019-04-06
  • 清明祭英烈:他为救落水儿童英勇牺牲 双胞胎女儿刚3岁 2019-04-04
  • 贵州宣讲十九大:干部争当宣讲员 群众心窝暖洋洋 2019-04-02
  • 婺源古村溪中发现鹰嘴龟 2019-04-02
  • 人们还要计较消费资料和生产资料的配置,有“自由发展”吗? 2019-03-25
  • 《读药》147期:诗人张曙光访谈录——诗是少数优秀人的事情 2019-03-25
  • 嫦娥四号任务中继星成功发射 将搭建地月“鹊桥” 2019-03-23
  • 谢华伟的专栏作者中国国家地理网 2019-03-21
  • 西安楼市进入短暂调整期 摇号细则近日将出 2019-03-20
  • 福建快3综合走势图: XXX食品公司信息安全体系规划方案(中)

    2014-11-19 17:01:00
    dxt001
    原创
    1808

    福建快3专家推荐 www.kwrf.net l   异常管理

    根据用户上网状态,如 IP 连接数、数据包特征、流量等情况,及时发现用户上网电脑是否异常,自动告警或采取相应的控制措施,保障网络通畅。

    3  BOT 防护

    l 爬虫(蜘蛛)行为

    l Web 漏洞扫描器行为

    4 .应用层洪水攻击

    l SYN Flood

    l ACK Flood

    4.4.2.4. 高级功能

    1 .自定义规则

    提供用户编写自己的规则

    支持字符串快速查找与 PCRE 正则查找


    2 .白名单

    设定某些网站、 URL 等对于 Web 应用防火墙直接放行。



    3.关键词过滤

    双向、单项(可?。┨婊还丶饰?***

    4.自动通知

    在内置存储空间快接近最大容量时发送电子邮件提醒用户。

    用户可以手工导出日志或者清空过去的部分日志。

    注:若用户不予清理,防火墙将执行自动清理过去的部分日志。



    5.防火墙拦截方式设置

    阻断 ------拦截尝试入侵的数据报文,并将入侵者的 IP封掉一段时间。

    包过滤 ----拦截尝试入侵的数据报文,不阻断入侵者的 IP。

    全部放行 --停用本防火墙,对所有数据报文一律放行。

    6.防火墙过滤端口设置

    用户可以自己填写需要过滤的 HTTP端口。

    如需要过滤 80端口以外,还可以选择过滤 8080端口。

    7.防火墙检测方向设置

    用户可以选择检测双向的数据或者流入的数据。

    8.阻断时间设置

    用户可以设置检测到攻击后,对某个 IP的阻断时间。



    4.4.2.5. 统计功能

    1. 入侵统计


    2.网络流量统计


    4.4.2.6. 日志分析

    1 .告警日志

    对每次攻击记录包括攻击时间、攻击者的 IP 、物理地址等。


    2. 审计日志

    Web应用防火墙硬件的每次操作进行记录。



    4.5. 远程访问控制

    4.5.1. 概述

    企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此虚拟专用网的重点在于建立安全的数据通道,该通道应具备以下的基本安全要素:

    l   保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒( IPSpoofing )的能力。

    l   保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。

    l   保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。

    l   提供动态密钥交换功能和集中安全管理服务。

    l   提供安全防护措施和访问控制,具有抵抗黑客通过 VPN 通道攻击企业网络的能力,并且可以对 VPN 通道进行访问控制。

    需要强调指出的是:网络信息系统是由人参与的信息系统环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。

    4.5. 2. 技术特点

    在总结国内外各种 VPN 产品的特点和国内用户实际需求的基础上,联想网御公司推出了面向企业用户并具有完全知识产权的 VPN 系列产品。联想网御 VPN 产品要达到的目标 是:采用联想网御 VPN ,企业的所有分支机构、合作伙伴和移动用户只要连接上因特网(无论采取什么样的接入方式),就能够像是用专线互联一样方便安全地交换和共享数据。

    4.5.2.1. 完备的 VPN 系统

    联想网御 VPN 产品由 VPN 安全网关、 VPN 客户端以及集中管理平台组成。 VPN 安全网关可以实现用户网络到 网络安全访问, VPN 客户端帮助用户实现远程接入用户的安全访问。集中管理平台可以帮助用户轻松管理多层次多节点的大型 VPN 系统。

    4.5.2.2. 全面支持 IPSec 协议标准

    IPSec 作为一个全球性的安全标准,要求所有 IPSec 的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。联想网御 VPN 产品经过严格的互通性测试,和 CISCO 、 NetScreen 等著名厂家的 VPN 产品可以实现互通(采用标准算法)。

    4.5.2.3. 支持最新的 NAT 穿越( NATT )协议

    NAT 技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术; NAT IPSec 协议存在着原理上的矛盾(具体参考上一章的相关描述);所以在应用 IPSec 技术组建 VPN 网络时,一定要考虑选用的 VPN 设备是否具有“ NAT 穿越”的功能。网御 VPN 的全系列产品均支持最新的 NATT 协议标准,具有非常好的网络适应性。

    4.5.2.4. 集成 SSL VPN 接入功能

    联想网御 VPN 网关中集成开发了功能强大的 SSLVPN 功能,移动办公用户不需要安装客户端就可以通过 SSLVPN 安全的访问内部网络。

    移动用户只需要通过浏览器打开联想网御 VPN 网关的 SSLVPN 入口网页,就可以建立隧道。隧道建立后,可以透明的访问内部网络。 SSLVPN 支持所有的动态协议。

    联想网御 VPN 网关中 SSL VPN 功能特点:

    无客户端,部署方便

    终端用户无需配置,使用方便

    支持 B/S 、 C/S 各种应用

    支持隧道内包过滤

    支持代理和 NAT 接入方式

    支持 3DES 、 DES 、 AES 等加密算法以及 SHA1 、 MD5 摘要算法

    支持基于 USBKey 的证书认证

    支持 IP 地址动态分配

    支持多个?;ね?/span>

    支持资源管理、方便用户使用

    4.5.2.5. 集成完善的防火墙功能

    联想网御 VPN 网关中集成开发了功能强大的防火墙,并进行了友好易用的用户界面封装,提供专用防火墙产品绝大部分的功能:

          完备的动态包过滤功能;

          双向 NAT 功能;

          MAC 地址绑定功能;

          ARP 代理功能;

          透明应用代理功能;

          防止半连接、拒绝服务、 IP 碎片等常见攻击功能;

    4.5.2.6. 支持双动态 IP 地址间建立 VPN 隧道

    目前国内常用的因特网接入方案(包括电话拨号、 ISDN 拨号、 ADSL 宽带接入等等)都是由 ISP 为接入用户动态分配临时 IP 地址。如果企业的两个分支机构均采用动态 IP 地址方式接入因特网,那么这两个分支机构之间的 VPN 隧道策略参数必须进行动态调整,这一过程对目前市场大部分的 VPN 产品(包括国内产品和国外产品)都无法自动完成,这为企业 VPN 网络的广泛应用和管理人员的维护工作带来很大麻烦。

    联想网御 VPN 网关产品通过集中的 VPN 策略管理方式成功解决了双动态 IP 之间自动建立 VPN 隧道的问题。网关接入因特网之后首先向企业总部部署的“安全策略服务器( SPS )”进行注册和身份认证,然后从 SPS 下载自己的 VPN 策略;同时 SPS 负责当策略参数发生改变时,实时通知在线的网关产品更新策略。从而确保所有的网关都能够获得最新的策略参数变化情况。

    4.5.2.7. 完善的 VPN 网络集中管理功能

    XXX 食品网络上运行有 OA 、 ERP 等业务数据传输系统,系统中的数据直接关系到 XXX 的商业秘密和经济利益,具有较高的安全性要求,因此对接入 VPN 网络的部门及个人必须进行集中严格的身份认证,控制非授权人员进入企业内部网络,对业务系统的安全运行造成威胁;其次,多数大型企业的业务数据具有比较强的实时性要求,一旦某个分公司的 VPN 网络发生故障,业务数据不能及时上传,就可能对企业用户造成时间或经济上的损失,从而直接影响公司的声誉形象和经济利益,所以需要对整个 VPN 网络的运行情况进行集中监控和远程管理,及时发现网络故障并排除,保证业务系统的顺利运行;同时,对于分支机构、营业网点遍布全国的大型企业来讲,其业务网络系统具有分布地域广泛、接入网点较多、网络结构复杂等特点,如果全部的管理工作都集中在公司总部完成,必然会给总部的网络管理人员带来繁重的日常维护管理工作,降低对接入、连通需求的反映速度,因此对 VPN 网络的管理在统一认证、集中监控的前提下,还应该充分发挥各个分公司网络管理人员的作用,将日常的管理维护工作分级化,提高整个网络的运行效率。

    综合以上分析的企业 VPN 网络管理需求,联想网御 VPN 系列产品采用了 “统一认证、集中监控、分级管理” VPN 网络管理方案:

    统一认证: 联想网御 VPN 全系列产品(包括网关和软件包)均支持目前最安全的身份认证方式——数字电子证书认证,采用 1024bits 密钥的 RSA 算法进行数字证书签名,数字证书的发放、认证过程由“网御安全管理中心( SMC )”软件完成;在企业的总部部署“网御安全管理中心”,负责对全国 VPN 网络的入网设备发放数字证书,只有拥有合法数字证书并通过中心 SMC 认证的网关或安全包才能接入企业的 VPN 网络。

    集中监控: 通过“联想网御安全管理中心( SMC )”软件,可以对整个 VPN 网络中部署的网御 VPN 产品(包括网关和软件包)完成实时在线状态监控,可以及时、清楚的获取当前在线 VPN 设备的各种状态参数;同时网御 VPN 网关产品均具有安全的远程管理的功能,无论该设备以何种方式接入企业虚拟网,都可以对其进行远程配置,因此当通过状态查看发现某个网关设备工作不正常时,中心管理员可以及时远程修改该设备的各种配置参数,以保证整个 VPN 系统的运转正常。

    分级管理: 通过“证书托管中心( CMC )”和“安全管理控制台”等软件,分公司的网络管理员可以在总部中心授权的前提下,负责对其所管辖的企业部门进行 VPN 隧道信息配置;在这种管理模式下,大大减轻了总部网络管理人员的工作强度,提高整个 VPN 网络的可伸缩性。

    4.5.2.8. 支持动态带宽管理功能

    VPN 网关设备作为企业内部网络与因特网的互联设备,通常需要完成两个主要功能:

    代理内部网络用户访问因特网;

    隧道封装内部网络用户访问远端企业内部网主机的数据流。

    因此合理分配有限的因特网接入带宽资源,确保企业内部的业务数据流快速实时地进行传输是 VPN 网关设备必不可少的一项功能。

    联想网御 VPN 网关系列产品均提供精确的动态带宽管理功能。其可根据因特网接入的总带宽,定量的控制因特网浏览和企业 VPN 数据流所占用的带宽比例;而且可以对上述两种类型的数据流进行更为细致的划分,例如:可以控制 VPN 数据流中流向总部与流向下属分公司的数据所占用的带宽比例;另外网御 VPN 网关对带宽控制采用了自适应的动态管理策略,例如:当 VPN 数据流不大时,因特网浏览数据可以自动借用剩余的 VPN 数据带宽,动 VPN 数据流加大时,因特网浏览数据又会自动让出占用的 VPN 数据带宽,从而即可以确保 VPN 数据的通讯质量,又不会造成不必要的带宽资源浪费。

    4.5.2.9. 提供丰富的冗余备份方案

    联想网御 VPN 网关提供两种冗余备份解决方案,为保证企业 VPN 网络的稳定性提供了强有力的工具。具体方案如下:

    双机单线路主从备份


    双机单线路主从备份

    在这种方案中,正常情况下仅有工作机进行工作,备份机处于热等待状态,并使用心跳信号实时侦听工作机的运转状态;当工作机出现故障时,备份机自动接替工作机的工作,完成 VPN隧道的加解密和数据隧道封装工作;当工作机恢复正常后,备份重新进入热等待状态。

    双机双线路镜像备份



    双机双线路镜像备份

    在这种方案中两台 VPN 设备均为工作状态,而且各种配置信息完全自动镜像,数据流选择主线路还是备份线路是由路由器的 HSRP 备份协议自动协商完成的。

    4.5.2.10. 提供功能强大的 VPN 软件包

    作为完整的企业 VPN 解决方案,提供支持移动办公用户远程访问 VPN 系统的客户端软件包是必不可少的。

    联想网御 VPN 软件包不但提供完整的 IPSec 协议实现,支持移动用户的 VPN 接入需求,而且内置完善的软件防火墙功能、支持 PP PoE 拨号协议、支持动态 VPN 策略下载、支持开机自动建立隧道、支持同时激活多条 VPN 隧道、支持内部主机共享上网连接和 VPN 隧道等强大的安全功能,所以其可以作为软件 VPN 网关安装在企业局域网的代理服务器上,作为硬件网关的备份或补充。

    4.5.2.11. 提供易用的管理配置界面

    联想网御 VPN 网关提供基于串口超级终端和远程 telnet 两种登录管理方式,管理员可以使用命令行的方式对设备进行配置;同时提供基于 windows GUI 管理控制界面,管理员可以不用记忆复杂的配置命令,而仅通过点击鼠标就可完成全部配置工作。另外,由于联想网御 VPN 设备支持从安全策略服务器自动进行策略下载的集中管理配置工作模式,所以对于分支网关的安装人员来讲只需要配置网关的网络地址信息和中心策略服务器的地址信息,就完成了全部配置工作。如果在分支网关安装之前,由中心的管理人员将这两项信息预先配置完成,则分支网关的安装过程可以做到真正的“零配置”。

    4.5.2.12. 提供丰富的 VPN 网关附加功能

    联想网御 VPN 网关不仅能够提供组建企业 VPN 网络的基本功能,而且作为网关设备具有许多对用户十分实用的附加功能,真正做到一机多能,节省用户投资。具体功能包括:

    l   内置 DHCP 服务器和客户端;

    l   内置远程拨号服务器功能;

    l   支持静态路由协议;

    l   支持 RIP 、 OSPF 动态路由协议;

    l   支持内部多子网划分;

    l   支持远程网络邻居互访(与 WINS 服务器配合)。

    4.5.2.13. 快速便捷的 VPN 客户端

    联想网御 VPN 客户端是联想完全自主版权的 IPSec VPN 软件产品。它既可以完成移动用户远程接入企业 VPN 的客户端软件功能,也可以安装在企业内部局域网的代理服务器上,作为软件网关完成和联想网御 VPN 安全网关基本相同的功能,同时还可以安装在企业内部高安全级别的服务器主机上,完成对服务器的高级访问控制。

    联想网御 VPN 客户端既可以与联想网御 VPN 安全网关配套使用,也可以在多个 VPN 客户端之间建立安全隧道,构成虚拟专网,从而实现客户端—客户端、客户端—网关(硬件 / 软件)、网关(硬件 / 软件)—网关(硬件 / 软件)之间的信息安全传输。

    联想网御 VPN 客户端的运行对用户表现为全透明,即:用户的应用系统无需作任何适应性调整,其网络配置也不必作任何改动。

    软件支持平台:   MicrosoftWindows 2000/XP/Vista

    主要功能性能指标:

    l   支持 10个并发 VPN隧道;

    l   支持 IPSec ESP 、 AH 的隧道模式封装和传输模式封装;

    l   支持主模式、野蛮模式认证方式;

    l   支持 DES 、 3DES 、 AES 等加密算法和 MD5 SHA1 摘要算法;

    l   支持 DH1 、 DH2 、 DH5 ;

    l   支持 RSA1024 非对称加密算法;

    l   支持预共享密钥、数字证书的身份认证;

    l   支持 IKE 自动密钥协商协议;

    l   支持 NAT 穿越;

    l   支持国密办专用算法(通过选配加密卡支持);

    l   支持完美向前?;ぃ?/span> PFS );

    l   支持数据通信中的压缩;

    l   支持扩展认证;

    l   支持 DHCP over IPSec ;

    l   支持电子钥匙( USBkey ),能够保存认证数据与策略;

    l   支持开机自动建立隧道,便于无人值守业务的数据传输。

    4.5.2.14. 完善的 集中管理平台

    联想网御集中管理平台 Leadsec-DM(SA)-X 是一套用于对整个企业 VPN 网络进行集中统一管理的软件系统。它由两个相对独立的子系统组成:安全策略服务器( SPS )和中心管理器( SMCManager ),子系统可分别安装在不同的主机上,它 们之间通过安全的网络通讯机制进行数据交换; SPS 是一个基于数据库的后台服务程序,可运行在 Windows 2000 、 Linux 系统平台上,主要完成:

    存储并同步整个企业 VPN 网络中所部署的联想网御 VPN 设备状态信息;

    存储并下发预先制定的全局 VPN 安全策略;

    SMC 管理器是基于 Windows 的图形界面程序,它主要完成浏览、配置 SPS 所维护的 VPN 设备信息和 VPN 安全策略信息。

    对任何一个网御 VPN 产品节点,必须导入一个合法的数字证书,才能和其它 VPN 节点进行基于电子证书的双向身份认证,进而协商建立安全加密隧道。采用网御 VPN 安全管理中心来自行生成、发放和管理企业自身的证书库。

    软件支持平台: Microsoft Windows 2000/2003

    GUI 界面示例:


    4.5.2.15. 基于应用的内容识别控制

    联想网御 VPN 拥有目前最完善的应用识别特征库,通过智能分析技术,将 P2P 、 IM 、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。当流量经过 VPN 网关时, VPN 网关启动过滤引擎,对流量进行特征值的匹配。当过滤引擎搜索到与之匹配的特征码时, VPN 网关即可应用智能识别技术进行细粒度控制或一键封锁。

    如何快速而准确地识别各种上网行为,是决定 VPN 网关性能的关键因素。联想网御 VPN 网关从如下几个方面保障内容识别的高速与准确。

    u   智能匹配技术

    在特征库上的设置上, VPN 网关按照所有上网行为的特点进行了分类,并对 P2P 、 IM 、炒股以及在线游戏等上网行为设置了不同的特征库。当数据包到达 VPN 网关时, VPN 网关首先根据用户定制策略将其分配到其对应的特征库管道,如 P2P 下载行为的流量被输送到 P2P 特征库管道,即时通讯的流量则被输送到 IM 特征库管道。流量被分发到相应的特征库管道以后,再由相应的搜索引擎对流量进行扫描。这样既大大减少了搜索引擎检索的时间,又提高了过滤引擎的性能。

    u   多线程扫描技术

    联想网御 VPN 网关采用多线程扫描技术,提高了引擎扫描的效率。比如当 BT 数据流和 MSN 数据流同时进入 VPN 网关时, VPN 网关内容搜索引擎不是在检索完 BT 数据流以后再去检索 MSN 数据流,而是可以同时启动 BT 搜索引擎和 MSN 搜索引擎。两个搜索引擎同时工作而互不影响。这种多线程处理机制同样适用于 2 种以上不同类型的数据流同时经过 VPN 网关的情况,快速提升了搜索引擎的工作效率。

    4.5.3. 部署示意图


    4.6. 网络行为管理

    4.6.1. 范围和对象

    通过网络行为管理系统规避互联网使用风险。

    4.6.2. 方式和方法

    4.6.2.1. 概述

    应该说互联网的广泛应用和迅速发展给我们带来了挑战,管理得好可以维护社会稳定,提高企事业单位的工作和生产效率,反之则可能激化社会矛盾,影响正常工作次序。公安部据此颁布第 82号令《互联网安全?;ぜ际醮胧┕娑ā?,要求所有互联网联网单位或服务提供者需要部署保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法,从而保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益等。

    作为国内“网络行为管理”产品最早的研发单位之一,上海新网程信息技术有限公司一直致力于各种上网行为管理、监控技术的研究。推出的“网络督察”系列产品就是为了满足管理部门对各种网络行为的管理和监控的需要,完全符合公安部 82号令对管理的要求。目前“网络督察”已广泛地在政府机关、医疗单位、企事业单位、酒店宾馆、学校等投入使用,该产品以灵活而又贴近用户的设计理念深受企事业单位的喜爱。

    4.6.2.2. 功能


    l   用户管理

    系统支持以 IP 地址、 MAC 地址、验证帐号等为参照的用户管理模式,并可对用户分组多层管理。对不同人员可以设置免监控、不监控邮件内容等不同的监控级别。


    l   实时监控

    可以通过浏览器实时查看用户当前的上网情况,包括其访问的 IP 地址、网址、服务类型、流量等等,了解网络目前应用状况,及时进行控制和调整,保障网络正常运行。


    l   日志记录

    详细记录用户的上网的各类日志,包括 HTTP 、 SMTP 、 POP3 、 Telnet 、 FTP 、 QQ 、 MSN 、游戏等数十种日志,同时记录了访问时间、 IP 地址、 MAC 地址、流量等重要信息,日志可以按照要求保留 90 天以上并可组合查询。


    l   访问控制

    提供完整的访问控制管理策略,可灵活地按用户角色或者分组对用户上网行为进行控制,可以根据时间段、服务、网址、流量等手段进行控制,可以封堵常用的聊天软件、抄股软件等服务。并提供百万级的有害信息过滤网址库防堵不良网站。



    发表评论
    评论通过审核后显示。
    文章分类
    联系我们
    联系人: 牟经理
    电话: 028-85666248
    传真: 028-85666248-8008
    Email: business@www.kwrf.net
    QQ: 489323802
    地址: 成都市二环路西一段80号金科双楠天都2号楼
  • 国务院关税税则委员会发布关于对原产于美国500亿美元进口商品加征关税的公告 2019-04-18
  • 习近平致信祝贺人民日报创刊70周年 2019-04-14
  • 借同事新车酒驾烧毁 找同事“顶包”被识破 2019-04-14
  • 现代派沃泰自动变速箱(山东)有限公司 2019-04-13
  • “最美水鸟”紫水鸡现身异龙湖湿地 春城壹网 七彩云南 一网天下 2019-04-11
  • 首款PD-1肺癌免疫药物上市 美国1年疗程售价百万 2019-04-08
  • 安徽贯彻十九大:振兴美丽乡村,造福乡里乡亲 2019-04-06
  • 清明祭英烈:他为救落水儿童英勇牺牲 双胞胎女儿刚3岁 2019-04-04
  • 贵州宣讲十九大:干部争当宣讲员 群众心窝暖洋洋 2019-04-02
  • 婺源古村溪中发现鹰嘴龟 2019-04-02
  • 人们还要计较消费资料和生产资料的配置,有“自由发展”吗? 2019-03-25
  • 《读药》147期:诗人张曙光访谈录——诗是少数优秀人的事情 2019-03-25
  • 嫦娥四号任务中继星成功发射 将搭建地月“鹊桥” 2019-03-23
  • 谢华伟的专栏作者中国国家地理网 2019-03-21
  • 西安楼市进入短暂调整期 摇号细则近日将出 2019-03-20