• 1个月广东6市针对楼市发文7次,大湾区规划将“去地产化” ——凤凰网房产北京 2019-01-16
  • 四川坚持稳中求进 提升精准落实水平 2019-01-16
  • 重庆市渝中区:创新党建引领社会治理 2019-01-15
  • 感触名家笔下的端午文化 吃香粽原来可以这样"文艺" 2019-01-14
  • Xi Menschen sind die Erschaffer der Geschichte, die wahren Helden 2018-12-25
  • Windows 10新版17692发布:游戏帧率显示加入Windows10新版17692发布-手机行情 2018-12-25
  • 安徽:跟进固体废物倾倒长江案 监督公安机关立案2件2人 2018-12-01
  • 特不靠谱先生言而无信,翻云覆雨小人,王八吃秤砣铁了心要与我朝为敌了。[福尔摩斯] 2018-12-01
  • 8点40分的期:XXX食品公司信息安全体系规划方案(中)

    2014-11-19 17:01:00
    dxt001
    原创
    2880

    福建快3专家推荐 www.kwrf.net l  异常管理

    根据用户上网状态,如IP连接数、数据包特征、流量等情况,及时发现用户上网电脑是否异常,自动告警或采取相应的控制措施,保障网络通畅。

    3 BOT防护

    l 爬虫(蜘蛛)行为

    l Web 漏洞扫描器行为

    4.应用层洪水攻击

    l SYN Flood

    l ACK Flood

    4.4.2.4. 高级功能

    1.自定义规则

    提供用户编写自己的规则

    支持字符串快速查找与PCRE 正则查找


    2.白名单

    设定某些网站、URL等对于Web应用防火墙直接放行。



    3.关键词过滤

    双向、单项(可?。┨婊还丶饰?***

    4.自动通知

    在内置存储空间快接近最大容量时发送电子邮件提醒用户。

    用户可以手工导出日志或者清空过去的部分日志。

    注:若用户不予清理,防火墙将执行自动清理过去的部分日志。



    5.防火墙拦截方式设置

    阻断------拦截尝试入侵的数据报文,并将入侵者的IP封掉一段时间。

    包过滤----拦截尝试入侵的数据报文,不阻断入侵者的IP。

    全部放行--停用本防火墙,对所有数据报文一律放行。

    6.防火墙过滤端口设置

    用户可以自己填写需要过滤的HTTP端口。

    如需要过滤80端口以外,还可以选择过滤8080端口。

    7.防火墙检测方向设置

    用户可以选择检测双向的数据或者流入的数据。

    8.阻断时间设置

    用户可以设置检测到攻击后,对某个IP的阻断时间。



    4.4.2.5. 统计功能

    1.入侵统计


    2.网络流量统计


    4.4.2.6. 日志分析

    1.告警日志

    对每次攻击记录包括攻击时间、攻击者的IP、物理地址等。


    2. 审计日志

    Web应用防火墙硬件的每次操作进行记录。



    4.5. 远程访问控制

    4.5.1. 概述

    企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,因此虚拟专用网的重点在于建立安全的数据通道,该通道应具备以下的基本安全要素:

    l  保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址假冒(IP Spoofing)的能力。

    l  保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。

    l  保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。

    l  提供动态密钥交换功能和集中安全管理服务。

    l  提供安全防护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。

    需要强调指出的是:网络信息系统是由人参与的信息系统环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。

    4.5.2. 技术特点

    在总结国内外各种VPN产品的特点和国内用户实际需求的基础上,联想网御公司推出了面向企业用户并具有完全知识产权的VPN系列产品。联想网御VPN产品要达到的目标是:采用联想网御VPN,企业的所有分支机构、合作伙伴和移动用户只要连接上因特网(无论采取什么样的接入方式),就能够像是用专线互联一样方便安全地交换和共享数据。

    4.5.2.1. 完备的VPN系统

    联想网御VPN产品由VPN安全网关、VPN客户端以及集中管理平台组成。VPN安全网关可以实现用户网络到网络安全 访问,VPN客户端帮助用户实现远程接入用户的安全访问。集中管理平台可以帮助用户轻松管理多层次多节点的大型VPN系统。

    4.5.2.2. 全面支持IPSec协议标准

    IPSec作为一个全球性的安全标准,要求所有IPSec的实现必须严格遵循其各种协议规范,以便实现不同产品之间的互通。联想网御VPN产品经过严格的互通性测试,和CISCO、NetScreen等著名厂家的VPN产品可以实现互通(采用标准算法)。

    4.5.2.3. 支持最新的NAT穿越(NATT)协议

    NAT技术是目前国内企业共享上网、小区和智能大厦宽带接入、城域网宽带接入所使用的主流技术;NATIPSec协议存在着原理上的矛盾(具体参考上一章的相关描述);所以在应用IPSec技术组建VPN网络时,一定要考虑选用的VPN设备是否具有“NAT穿越”的功能。网御VPN的全系列产品均支持最新的NATT协议标准,具有非常好的网络适应性。

    4.5.2.4. 集成SSL VPN接入功能

    联想网御VPN网关中集成开发了功能强大的SSLVPN功能,移动办公用户不需要安装客户端就可以通过SSLVPN安全的访问内部网络。

    移动用户只需要通过浏览器打开联想网御VPN网关的SSLVPN入口网页,就可以建立隧道。隧道建立后,可以透明的访问内部网络。SSLVPN支持所有的动态协议。

    联想网御VPN网关中SSL VPN功能特点:

    无客户端,部署方便

    终端用户无需配置,使用方便

    支持B/S、C/S各种应用

    支持隧道内包过滤

    支持代理和NAT接入方式

    支持3DES、DES、AES等加密算法以及SHA1、MD5 摘要算法

    支持基于USBKey的证书认证

    支持IP地址动态分配

    支持多个?;ね?/span>

    支持资源管理、方便用户使用

    4.5.2.5. 集成完善的防火墙功能

    联想网御VPN网关中集成开发了功能强大的防火墙,并进行了友好易用的用户界面封装,提供专用防火墙产品绝大部分的功能:

          完备的动态包过滤功能;

          双向NAT功能;

          MAC地址绑定功能;

          ARP代理功能;

          透明应用代理功能;

          防止半连接、拒绝服务、IP碎片等常见攻击功能;

    4.5.2.6. 支持双动态IP地址间建立VPN隧道

    目前国内常用的因特网接入方案(包括电话拨号、ISDN拨号、ADSL宽带接入等等)都是由ISP为接入用户动态分配临时IP地址。如果企业的两个分支机构均采用动态IP地址方式接入因特网,那么这两个分支机构之间的VPN隧道策略参数必须进行动态调整,这一过程对目前市场大部分的VPN产品(包括国内产品和国外产品)都无法自动完成,这为企业VPN网络的广泛应用和管理人员的维护工作带来很大麻烦。

    联想网御VPN网关产品通过集中的VPN策略管理方式成功解决了双动态IP之间自动建立VPN隧道的问题。网关接入因特网之后首先向企业总部部署的“安全策略服务器(SPS)”进行注册和身份认证,然后从SPS下载自己的VPN策略;同时SPS负责当策略参数发生改变时,实时通知在线的网关产品更新策略。从而确保所有的网关都能够获得最新的策略参数变化情况。

    4.5.2.7. 完善的VPN网络集中管理功能

    XXX食品网络上运行有OA、ERP等业务数据传输系统,系统中的数据直接关系到XXX的商业秘密和经济利益,具有较高的安全性要求,因此对接入VPN网络的部门及个人必须进行集中严格的身份认证,控制非授权人员进入企业内部网络,对业务系统的安全运行造成威胁;其次,多数大型企业的业务数据具有比较强的实时性要求,一旦某个分公司的VPN网络发生故障,业务数据不能及时上传,就可能对企业用户造成时间或经济上的损失,从而直接影响公司的声誉形象和经济利益,所以需要对整个VPN网络的运行情况进行集中监控和远程管理,及时发现网络故障并排除,保证业务系统的顺利运行;同时,对于分支机构、营业网点遍布全国的大型企业来讲,其业务网络系统具有分布地域广泛、接入网点较多、网络结构复杂等特点,如果全部的管理工作都集中在公司总部完成,必然会给总部的网络管理人员带来繁重的日常维护管理工作,降低对接入、连通需求的反映速度,因此对VPN网络的管理在统一认证、集中监控的前提下,还应该充分发挥各个分公司网络管理人员的作用,将日常的管理维护工作分级化,提高整个网络的运行效率。

    综合以上分析的企业VPN网络管理需求,联想网御VPN系列产品采用了“统一认证、集中监控、分级管理”VPN网络管理方案:

    统一认证:联想网御VPN全系列产品(包括网关和软件包)均支持目前最安全的身份认证方式——数字电子证书认证,采用1024bits密钥的RSA算法进行数字证书签名,数字证书的发放、认证过程由“网御安全管理中心(SMC)”软件完成;在企业的总部部署“网御安全管理中心”,负责对全国VPN网络的入网设备发放数字证书,只有拥有合法数字证书并通过中心SMC认证的网关或安全包才能接入企业的VPN网络。

    集中监控:通过“联想网御安全管理中心(SMC)”软件,可以对整个VPN网络中部署的网御VPN产品(包括网关和软件包)完成实时在线状态监控,可以及时、清楚的获取当前在线VPN设备的各种状态参数;同时网御VPN网关产品均具有安全的远程管理的功能,无论该设备以何种方式接入企业虚拟网,都可以对其进行远程配置,因此当通过状态查看发现某个网关设备工作不正常时,中心管理员可以及时远程修改该设备的各种配置参数,以保证整个VPN系统的运转正常。

    分级管理:通过“证书托管中心(CMC)”和“安全管理控制台”等软件,分公司的网络管理员可以在总部中心授权的前提下,负责对其所管辖的企业部门进行VPN隧道信息配置;在这种管理模式下,大大减轻了总部网络管理人员的工作强度,提高整个VPN网络的可伸缩性。

    4.5.2.8. 支持动态带宽管理功能

    VPN网关设备作为企业内部网络与因特网的互联设备,通常需要完成两个主要功能:

    代理内部网络用户访问因特网;

    隧道封装内部网络用户访问远端企业内部网主机的数据流。

    因此合理分配有限的因特网接入带宽资源,确保企业内部的业务数据流快速实时地进行传输是VPN网关设备必不可少的一项功能。

    联想网御VPN网关系列产品均提供精确的动态带宽管理功能。其可根据因特网接入的总带宽,定量的控制因特网浏览和企业VPN数据流所占用的带宽比例;而且可以对上述两种类型的数据流进行更为细致的划分,例如:可以控制VPN数据流中流向总部与流向下属分公司的数据所占用的带宽比例;另外网御VPN网关对带宽控制采用了自适应的动态管理策略,例如:当VPN数据流不大时,因特网浏览数据可以自动借用剩余的VPN数据带宽,动VPN数据流加大时,因特网浏览数据又会自动让出占用的VPN数据带宽,从而即可以确保VPN数据的通讯质量,又不会造成不必要的带宽资源浪费。

    4.5.2.9. 提供丰富的冗余备份方案

    联想网御VPN网关提供两种冗余备份解决方案,为保证企业VPN网络的稳定性提供了强有力的工具。具体方案如下:

    双机单线路主从备份


    双机单线路主从备份

    在这种方案中,正常情况下仅有工作机进行工作,备份机处于热等待状态,并使用心跳信号实时侦听工作机的运转状态;当工作机出现故障时,备份机自动接替工作机的工作,完成VPN隧道的加解密和数据隧道封装工作;当工作机恢复正常后,备份重新进入热等待状态。

    双机双线路镜像备份



    双机双线路镜像备份

    在这种方案中两台VPN设备均为工作状态,而且各种配置信息完全自动镜像,数据流选择主线路还是备份线路是由路由器的HSRP备份协议自动协商完成的。

    4.5.2.10. 提供功能强大的VPN软件包

    作为完整的企业VPN解决方案,提供支持移动办公用户远程访问VPN系统的客户端软件包是必不可少的。

    联想网御VPN软件包不但提供完整的IPSec协议实现,支持移动用户的VPN接入需求,而且内置完善的软件防火墙功能、支持PPPoE 拨号协议、支持动态VPN策略下载、支持开机自动建立隧道、支持同时激活多条VPN隧道、支持内部主机共享上网连接和VPN隧道等强大的安全功能,所以其可以作为软件VPN网关安装在企业局域网的代理服务器上,作为硬件网关的备份或补充。

    4.5.2.11. 提供易用的管理配置界面

    联想网御VPN网关提供基于串口超级终端和远程telnet两种登录管理方式,管理员可以使用命令行的方式对设备进行配置;同时提供基于windowsGUI管理控制界面,管理员可以不用记忆复杂的配置命令,而仅通过点击鼠标就可完成全部配置工作。另外,由于联想网御VPN设备支持从安全策略服务器自动进行策略下载的集中管理配置工作模式,所以对于分支网关的安装人员来讲只需要配置网关的网络地址信息和中心策略服务器的地址信息,就完成了全部配置工作。如果在分支网关安装之前,由中心的管理人员将这两项信息预先配置完成,则分支网关的安装过程可以做到真正的“零配置”。

    4.5.2.12. 提供丰富的VPN网关附加功能

    联想网御VPN网关不仅能够提供组建企业VPN网络的基本功能,而且作为网关设备具有许多对用户十分实用的附加功能,真正做到一机多能,节省用户投资。具体功能包括:

    l  内置DHCP服务器和客户端;

    l  内置远程拨号服务器功能;

    l  支持静态路由协议;

    l  支持RIP、OSPF动态路由协议;

    l  支持内部多子网划分;

    l  支持远程网络邻居互访(与WINS服务器配合)。

    4.5.2.13. 快速便捷的VPN客户端

    联想网御VPN客户端是联想完全自主版权的IPSec VPN软件产品。它既可以完成移动用户远程接入企业VPN的客户端软件功能,也可以安装在企业内部局域网的代理服务器上,作为软件网关完成和联想网御VPN安全网关基本相同的功能,同时还可以安装在企业内部高安全级别的服务器主机上,完成对服务器的高级访问控制。

    联想网御VPN客户端既可以与联想网御VPN安全网关配套使用,也可以在多个VPN客户端之间建立安全隧道,构成虚拟专网,从而实现客户端—客户端、客户端—网关(硬件/软件)、网关(硬件/软件)—网关(硬件/软件)之间的信息安全传输。

    联想网御VPN客户端的运行对用户表现为全透明,即:用户的应用系统无需作任何适应性调整,其网络配置也不必作任何改动。

    软件支持平台:   Microsoft Windows 2000/XP/Vista

    主要功能性能指标:

    l  支持10个并发VPN隧道;

    l  支持IPSec ESP、AH的隧道模式封装和传输模式封装;

    l  支持主模式、野蛮模式认证方式;

    l  支持DES、3DES、AES等加密算法和MD5SHA1摘要算法;

    l  支持DH1、DH2、DH5;

    l  支持RSA1024非对称加密算法;

    l  支持预共享密钥、数字证书的身份认证;

    l  支持IKE自动密钥协商协议;

    l  支持NAT穿越;

    l  支持国密办专用算法(通过选配加密卡支持);

    l  支持完美向前?;ぃ?/span>PFS);

    l  支持数据通信中的压缩;

    l  支持扩展认证;

    l  支持DHCP over IPSec;

    l  支持电子钥匙(USBkey),能够保存认证数据与策略;

    l  支持开机自动建立隧道,便于无人值守业务的数据传输。

    4.5.2.14. 完善的集中管理平台

    联想网御集中管理平台Leadsec-DM(SA)-X是一套用于对整个企业VPN网络进行集中统一管理的软件系统。它由两个相对独立的子系统组成:安全策略服务器(SPS)和中心管理器(SMC Manager),子系统可分别安装在不同的主机上,它们之间通过安全的网络通讯机制进行数据交换;SPS是一个基于数据库的后台服务程序,可运行在Windows 2000、Linux系统平台上,主要完成:

    存储并同步整个企业VPN网络中所部署的联想网御VPN设备状态信息;

    存储并下发预先制定的全局VPN安全策略;

    SMC管理器是基于Windows的图形界面程序,它主要完成浏览、配置SPS所维护的VPN设备信息和VPN安全策略信息。

    对任何一个网御VPN产品节点,必须导入一个合法的数字证书,才能和其它VPN节点进行基于电子证书的双向身份认证,进而协商建立安全加密隧道。采用网御VPN安全管理中心来自行生成、发放和管理企业自身的证书库。

    软件支持平台: Microsoft Windows 2000/2003

    GUI界面示例:


    4.5.2.15. 基于应用的内容识别控制

    联想网御VPN拥有目前最完善的应用识别特征库,通过智能分析技术,将P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。当流量经过VPN网关时,VPN网关启动过滤引擎,对流量进行特征值的匹配。当过滤引擎搜索到与之匹配的特征码时,VPN网关即可应用智能识别技术进行细粒度控制或一键封锁。

    如何快速而准确地识别各种上网行为,是决定VPN网关性能的关键因素。联想网御VPN网关从如下几个方面保障内容识别的高速与准确。

    u  智能匹配技术

    在特征库上的设置上,VPN网关按照所有上网行为的特点进行了分类,并对P2P、IM、炒股以及在线游戏等上网行为设置了不同的特征库。当数据包到达VPN网关时,VPN网关首先根据用户定制策略将其分配到其对应的特征库管道,如P2P下载行为的流量被输送到P2P特征库管道,即时通讯的流量则被输送到IM特征库管道。流量被分发到相应的特征库管道以后,再由相应的搜索引擎对流量进行扫描。这样既大大减少了搜索引擎检索的时间,又提高了过滤引擎的性能。

    u  多线程扫描技术

    联想网御VPN网关采用多线程扫描技术,提高了引擎扫描的效率。比如当BT数据流和MSN数据流同时进入VPN网关时,VPN网关内容搜索引擎不是在检索完BT数据流以后再去检索MSN数据流,而是可以同时启动BT搜索引擎和MSN搜索引擎。两个搜索引擎同时工作而互不影响。这种多线程处理机制同样适用于2种以上不同类型的数据流同时经过VPN网关的情况,快速提升了搜索引擎的工作效率。

    4.5.3. 部署示意图


    4.6. 网络行为管理

    4.6.1. 范围和对象

    通过网络行为管理系统规避互联网使用风险。

    4.6.2. 方式和方法

    4.6.2.1. 概述

    应该说互联网的广泛应用和迅速发展给我们带来了挑战,管理得好可以维护社会稳定,提高企事业单位的工作和生产效率,反之则可能激化社会矛盾,影响正常工作次序。公安部据此颁布第82号令《互联网安全?;ぜ际醮胧┕娑ā?,要求所有互联网联网单位或服务提供者需要部署保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法,从而保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益等。

    作为国内“网络行为管理”产品最早的研发单位之一,上海新网程信息技术有限公司一直致力于各种上网行为管理、监控技术的研究。推出的“网络督察”系列产品就是为了满足管理部门对各种网络行为的管理和监控的需要,完全符合公安部82号令对管理的要求。目前“网络督察”已广泛地在政府机关、医疗单位、企事业单位、酒店宾馆、学校等投入使用,该产品以灵活而又贴近用户的设计理念深受企事业单位的喜爱。

    4.6.2.2. 功能


    l  用户管理

    系统支持以IP地址、MAC地址、验证帐号等为参照的用户管理模式,并可对用户分组多层管理。对不同人员可以设置免监控、不监控邮件内容等不同的监控级别。


    l  实时监控

    可以通过浏览器实时查看用户当前的上网情况,包括其访问的IP地址、网址、服务类型、流量等等,了解网络目前应用状况,及时进行控制和调整,保障网络正常运行。


    l  日志记录

    详细记录用户的上网的各类日志,包括HTTP、SMTP、POP3、Telnet、FTP、QQ、MSN、游戏等数十种日志,同时记录了访问时间、IP地址、MAC地址、流量等重要信息,日志可以按照要求保留90天以上并可组合查询。


    l  访问控制

    提供完整的访问控制管理策略,可灵活地按用户角色或者分组对用户上网行为进行控制,可以根据时间段、服务、网址、流量等手段进行控制,可以封堵常用的聊天软件、抄股软件等服务。并提供百万级的有害信息过滤网址库防堵不良网站。



      文章分类
      联系我们
      联系人: 牟经理
      电话: 028-85666248
      传真: 028-85666248-8008
      Email: [email protected]
      QQ: 489323802
      微信: cddxt
      旺旺: dreamsilcon
      网址: 福建快3专家推荐
      地址: 成都市二环路西一段80号金科双楠天都2号楼1116、1117号
      购买咨询:销售咨询 技术咨询:技术咨询 阿里旺旺:点击这里给我发消息 网络发烧友:网络发烧友
    • 1个月广东6市针对楼市发文7次,大湾区规划将“去地产化” ——凤凰网房产北京 2019-01-16
    • 四川坚持稳中求进 提升精准落实水平 2019-01-16
    • 重庆市渝中区:创新党建引领社会治理 2019-01-15
    • 感触名家笔下的端午文化 吃香粽原来可以这样"文艺" 2019-01-14
    • Xi Menschen sind die Erschaffer der Geschichte, die wahren Helden 2018-12-25
    • Windows 10新版17692发布:游戏帧率显示加入Windows10新版17692发布-手机行情 2018-12-25
    • 安徽:跟进固体废物倾倒长江案 监督公安机关立案2件2人 2018-12-01
    • 特不靠谱先生言而无信,翻云覆雨小人,王八吃秤砣铁了心要与我朝为敌了。[福尔摩斯] 2018-12-01