网络安全建议方案

第图5.透明扫描大多数传统的解决方案工作在OSI的应用层，以代理的方式截获数据进行扫描：客户机首先连接到防病毒网关，防病毒网关再连接到真正的服务器，转发并扫描通过的数据流，这种方法丢失了很多有用的客户端及服务器的信息。邮件服务器往往需要知道客户机的地址来决定是否允许客户端通过它发送邮件，特别是现在的垃圾邮件实在是泛滥成灾，这一点尤其重要。过滤网关工作在3-7层，它能够完整地保留这些信息，使企业的网络更安全。主要网络协议防病毒保护过滤网关是现在为数不多的能处理所有主要网络协议的防病毒网关产品之一，它能处理以下协议：SMTP、POP3、HTTP、FTP和IMAP。管理员还可以针对每个协议设置高级选项，例如：可以选择清除病毒、删除文件、隔离病毒或是记录日志的方式来处理病毒。而且还可以在相应的协议中设置一些附加功能，如对关键字的过滤，对特定文件类型的扫描和过滤等功能。灵活的部署方案过滤网关提供灵活的部署方案，根据客户的需要，它可以被部署在网络的任何地方。首先，网关是最合理和有效的部署位置，它可以从公司网络的入口处直接封堵住病毒；第二，可以将它部署在邮件服务器之间，分担网络负载；第三，可以将它部署在每个需要保护的网段中，分别进行病毒的扫描和防护。过滤垃圾邮件过滤网关通过检查邮件服务器的地址来过滤垃圾邮件。采用业界领先的黑名单和白名单技术，实时、准确地过滤垃圾邮件，保证公司不受垃圾邮件的干扰。入侵防御子系统部署入侵检测的意义随着网络技术的广泛应用，网络为我们的工作和生活提供了便利，但同时网络环境中的各种安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游）等极大地困扰着用户，尤其是混合威胁，给企业的信息网络造成严重的破坏。能否及时发现并实时成功阻断网络中的各种入侵威胁、保证计算机和网络系统的安全正常运行已经成为各个企业所面临的重要问题。面对这些问题，传统安全产品——以访问控制为主的防火墙、旁路部署的IDS等产品已经无法独立应对。

入侵防御提供主动、实时的防护，具备对2到7层网络的线速、深度检测防御能力；同时配合以精心研究、及时更新的攻击特征库，既可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络架构的防护、网络性能的保护和核心应用的保障。入侵防御的作用对于XXXXXX网络系统安全体系而言，必须建立一个实时、主动的网络架构防护能力，对对外服务器和办公内网进行实时防护，为网络设备的漏洞提供虚拟补丁；具有流量管理功能，对可能出现的异常流量，提供抗拒绝服务攻击功能。管理和降低网络安全风险，保证网络安全防护能力能够不断增强，最终能够安全地保护业务网络系统。入侵防御的功能强大的抗DOS/DDOS攻击能力；准确的蠕虫、后门、木马、漏洞、间谍软件、Web攻击防御能力繁多的垃圾应用、流行P2P/IM、热门游戏的过滤控制能力；智能的VIDP功能：针对不同的网络环境和安全需求，制定不同的防御规则和响应方式，每个虚拟系统分别执行不同的规则集，实现面向不同对象，执行不同策略的智能化入侵防御优异的产品性能：可提供64字节小包线速性能，可支持最高达4GB的网络环境人性化的UI管理系统：提供快捷方便的本地管理、分布式管理功能；支持上百台设备的集中管理专业的芯片级硬件高可靠性保证体系——ByPass、HA，保证用户业务的不间断正常运行丰富的报表分析统计功能：提供多种攻击检测、阻断、报警等信息的报表统计功能。入侵检测子系统通常通过防火墙进行网络安全防范。从理论上分，防火墙可以说是第一层安全防范手段，通常安装在网络入口来保护来自外部的攻击。其主要防范原理为基于TCP/IP的IP地址和及端口进行过滤、限制。由于防火墙本身为穿透型（所有数据流需要经过防火墙才能到达目的地），因此为了提高其过滤、转发效率，通常不会对每个数据报文或者数据流进行过多的、细致地分析、检查。但是恰恰很多符合防火墙的TCP/IP过滤安全策略的数据流或者报文中参杂着恶意的攻击企图。虽然目前一些防火墙增强了对于应用层内容分析的功能，但是考虑其因分析、处理应用层内容而导致的网络延迟的增加，因此从其实际应用角度来说，存在一些局限性。但是网络入侵检测系统由于其以被动模式部署到现有网络中，因此可以在不影响网络结构及网络性能的情况下，执行各种复杂的应用层分析工作。因此可以成为防火墙有效的扩展。同时通过与防火墙的联动，可以实现整体的安全防范体系。入侵检测系统部署的意义在基于TCP/IP的网络中，普遍存在遭受攻击的风险。除了恶意的攻击外，非恶意目的发起的攻击也是非常重要的一部分。有效的入侵检测系统可以同时检测内部和外部威胁。入侵检测系统的目的是检测恶意和非预期的数据和行为（如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务）。一旦入侵被检测到，会引发某种响应（如断开攻击者连接、通知操作员、自动停止或减轻攻击、跟踪攻击来源或适当地反攻击）。利用防火墙技术，经过精心的配置，通常能够在内外网之间提供安全的网络保护，降低网络安全风险。但是，存在着一些防火墙等其它安全设备所不能防范的安全威胁，这就需要入侵检测系统提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等，来保护运营商局域网的安全。入侵检测是防火墙等其它安全措施的补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时检测。除了入侵检测技术能够保障系统安全之外，下面几点也是使用入侵检测的原因：计算机安全管理的基本目标是规范单个用户的行为以保护信息系统免受安全问题的困扰。入侵检测系统可以发现已有的威胁，并对攻击者进行惩罚，有助于上述目标的实现，并对那些试图违反安全策略的人造成威慑。入侵检测可以检测其它安全手段无法防止的问题。攻击者使用越来越容易得到的攻击技术，能够对大量系统进行非授权的访问，尤其是连接到运营商局域网的系统，而当这些系统具有已知漏洞的时候这种攻击更容易发生。尽管开发商和管理员试图将漏洞带来的威胁降到最低程度，但是很多情况下这是不能避免的：很多系统的操作系统不能得到及时的更新有的系统虽然可以及时得到补丁程序，但是管理员没有时间或者资源进行系统更新，这个问题很普遍，特别是在那些具有大量主机或多种类型的软硬件的环境中。正常工作可能需要开启网络服务，而这些协议是具有漏洞，容易被攻击的。用户和管理员在配置和使用系统时可能犯错误。在进行系统访问控制机制设置时可能产生矛盾，而这将造成合法用户逾越他们权限的错误操作。当黑客攻击一个系统时，他们总是按照一定的步骤进行。首先是对系统或网络的探测和分析，如果一个系统没有配置入侵检测，攻击者可以自由的进行探测而不被发现，这样很容易找到最佳攻入点。如果同样的系统配置了入侵检测，则会对攻击者的行动带来一定难度，它可以识别可疑探测行为，阻止攻击者对目标系统的访问，或者对安全人员报警以便采取响应措施阻止攻击者的下一步行动。入侵检测证实并且详细记录内部和外部的威胁，在制定网络安全管理方案时，通常需要证实网络很可能或者正在受到攻击。此外，攻击的频率和特征有助于选择保护网络免受相应攻击的安全手段。在入侵检测运行了一段时间后，系统使用模式和检测问题变得明显，这会使系统的安全设计与管理的问题暴露出来，在还没有造成损失的时候进行纠正。即使当入侵检测不能阻止攻击时，它仍可以收集该攻击的可信的详细信息进行事件处理和恢复，此外，这些信息在某些情况下可以作为犯罪的佐证。总之，入侵检测的根本意义在于发现网络中的异常。管理人员需要了解网络中正在发生的各种活动，需要在攻击到来之前发现攻击行为，需要识别异常行为，需要有效的工具进行针对攻击行为以及异常的实时和事后分析。“知情权是网络安全的关键”，这使得入侵检测成为其它许多安全手段，如审计系统、安全网管系统的基础。入侵检测的作用对于网络系统安全体系而言，必须建立一个智能化的实时攻击识别和响应系统，管理和降低网络安全风险，保证网络安全防护能力能够不断增强，最终能够安全地保护业务网络系统。网络入侵检测系统应能满足以下要求：能在网络环境下实现实时地分布协同地入侵检测，全面检测可能的入侵行为。能及时识别各种黑客攻击行为，发现攻击时，能详细记录，生成入侵检测报告，及时向管理员报警。能够支持大规模并行检测，能够方便地对大的网络同时执行多个检测；所采用的入侵检测产品和技术不能被绕过或旁路。检测和扫描行为不能影响正常的网络连接服务和网络的效率。检测的特征库要全面并能够及时更新。安全检测策略可由用户自行设定，对检测强度和风险程度进行等级管理，用户可根据不同需求选择相应的检测策略。能够帮助建立安全策略，具有详细的帮助数据库，帮助管理员实现网络的安全，并且制定实际的、可强制执行的网络安全策略。网络入侵检测系统通过共享网段对通信数据进行侦听，然后内核引擎调用已编译载入的传感器进行流量过滤，从中发现可疑的网络行为，或者通过对主机的注册表及文件系统进行监测而发现异常情况，及时向控制台发出警报，从而完成对非法入侵行为进行有效的防卫。网页防篡改子系统通过部署网页防篡改，通过多服务器文件同步机制，它可以将海量的文件可靠和快速地发布到多台网站服务器上，确保多台网站服务器上内容的一致性。通过自动重连、失败重传和任务断点续传，实现网页上传的无人值守和自动恢复功能。在上传网页信息时，使用了SSL安全通信协议和证书，保证了传输过程的私密性、完整性和身份认证，使正常网页信息具有不可篡改性，防止黑客在网络上可能进行的截获-篡改攻击，保证网站的安全。漏洞扫描子系统部署漏洞扫描系统的意义漏洞扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，漏洞扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，漏洞扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。漏洞扫描通常采用两种策略，第一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查；而主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为网络安全扫描。

现有的信息安全产品中主要包括以下五大件：防火墙、入侵检测、安全评估（漏洞扫描或者脆弱性分析）、身份认证、数据备份。这样，在部署安全策略时，有许多其它的安全基础设施要考虑进来，如防火墙，防病毒，认证与识别产品，访问控制产品，加密产品，虚拟专用网等等。如何管理这些设备，是安全扫描系统和入侵检测系统的职责。通过监视事件日志，系统受到攻击后的行为和这些设备的信号，作出反应。这样，漏洞扫描系统就把这些设备有机地结合在一起。因此，而漏洞扫描是一个完整的安全解决方案中的一个关键部分，在企业部署安全策略中处于非常重要的地位。

防火墙和漏洞扫描的必须同时存在，这是因为仅有防火墙是不够的。防火墙充当了外部网和内部网的一个屏障，但是并不是所有的外部访问都是通过防火墙的。比如，一个未经认证的调制解调器把内部网连到了外部网，就对系统的安全构成了威胁。此外，安全威胁往往并不全来自外部，很大一部分来自内部。另外，防火墙本身也很有可能被黑客攻破。

结合了入侵检测功能后，漏洞扫描系统具有以下功能：①

协调了其它的安全设备；②

使枯燥的系统安全信息易于理解，告诉了你系统发生的事情；③

跟踪用户进入，在系统中的行为和离开的信息；④

可以报告和识别文件的改动；⑤

纠正系统的错误设置；⑥

识别正在受到的攻击；⑦

减轻系统管理员搜索最近黑客行为的负担；⑧

使得安全管理可由普通用户来负责；⑨

为制定安全规则提供依据。漏洞扫描系统部署效果通过从不同角度对网络进行扫描，可以发现网络结构和配置方面的漏洞。网络漏洞扫描器可以进行跨网络的扫描工作，XXXXXX网络中有了这样的工具，就可以方便的了解网络结构的变化以及网络的运行情况，同时可以发现自身网络中存在的安全漏洞，及时加以弥补保证网络的安全运行。网络漏洞扫描器作为一个使用起来方便灵活的工具，可以在网络中的任意点对网络进行全方位的漏洞分析扫描，并且给出安全性建议。扫描工作可以从多角度进行，如可以在局域网主干线路上进行，可以在外部网络进行，也可以到各子网中进行。安全审计子系统部署安全审计系统的意义随着互联网和电子商务应用的不断普及，网络安全日益成为大家关注的问题，这使得各单位组织对于信息和网络的安全性问题日益重视，企业需要对于信息和网络安全进行全面的管理。而对于众多网络设备、安全设备以及网络系统的审计日志进行有效地管理是所有企业安全管理中最基础，最重要的的工作之一，也是最根本的工作之一。安全审计是网络安全系统中一个重要的环节。客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的，对已经建立的系统，如果没有实时的、集中的、可视化审计，就不能有效/及时的评估系统究竟是不是安全的，并及时发现安全隐患。所以安全系统需要集中的审计系统。在安全解决方案中，跨厂商产品的简单集合往往会存在漏洞，从而威胁乘虚而入，危及安全。此外，当某种安全漏洞出现时，如果必须针对不同厂商的技术和产品先进行人工分析，然后综合分析，提出解决方案，将降低对攻击的反应速度，并潜在地增加成本。如果不能将在同一网络中多个不同或者相同厂商的产品实现技术上互操作，实现集中的审计，就无法发挥有效的安全性，就无法有效管理。如果没有实时的、集中的、可视化审计，就不能有效、及时的评估，系统究竟是不是安全的，无法及时发现安全隐患。日志审计系统的作用日志审计、信息采集及管理系统全面支持安全设备、网络设备、应用系统、操作系统等多种产品及系统的日志数据的采集和分析；支持对不同日志格式的分类、筛选、最大效率保存；日志自动导出、导入、删除、备份、恢复、转发等日志管理功能；提供了多样、灵活的日志信息查询，同时支持按用户设定的条件进行不同日志的相关查询，有效的把不同设备及平台的事件关联起来。提供丰富的分析报表系统在对收集的事件进行详尽的分析及统计的基础上输