网安设备选型规范V10

本文格式为Word版，下载可任意编辑——网安设备选型规范V10

网安设备选型规范

编号阶段标记版本

V1.0

网络安全设备选型框架

XXXX科技有限责任公司

2023年5月

1

网安设备选型规范

文档更新记录

日期2023/3/212023/3/312023/4/42023/4/52023/4/8更新人版本V0.5V0.6V0.8V0.9V1.0备注创立文档及主干框架进行二次修改，填充内容填充UTM等设备内容补充信息并完善重新修改，排版

2

网安设备选型规范

引言

因设备参考选型工作之因，需对硬件有较为深入的知识体系架构了解，为本部门与相关项目设备选型提供相对专业技术支持。因此通过查询资料及询问相关厂家设备信息，完成以下文档。依照网络从外到内：从光纤>电脑客户端，设备依次有：路由器（可做端口屏蔽，带宽管理Qos，防泛洪flood攻击等）防火墙（有普通防火墙和UTM等，可以做网络三层端口管理、IPS（入侵检测）、IDS（入侵防卫）、IDP（入侵检测防卫）、安全审计认证、防病毒、防垃圾和病毒邮件、流量监控（QOS）等）行为管理器（可做UTM的所有功能、还有一些完全审计，网络记录等等功能，这个比较强大）核心交换机（可以划分vlan、屏蔽广播、以及基本的acl列表），而安全的网络连接方式：现在流行的有MPLSVPN，SDH专线、VPN等，其中VPN常见的包括（SSLVPN\\ipsecVPN\\PPTPVPN等）。在这些设备中所涉及的内容主要包括参数、功能、接口、技术类型、厂商等的框架信息。由于资料原因，目前信息依旧不够健全，且由于技术更新太快已无法跟上网安设备的更新变化速度，因此造成了信息的迟滞性甚至不确凿。这些问题留待日后更新解决。

3

网安设备选型规范

目录

引言31、网络安全设备7

1.1信息安全与安全产品71.2信息安全技术规范91.3网安总体选型原则92、硬件防火墙11

2.1具体选型原则122.2主流设备厂家132.3设备详细信息15

2.3.1重要选择参数152.3.2主要技术类型182.3.3主要架构242.3.4接口类型262.3.5主要功能272.3.6安装位置28

3、入侵检测IDS28

3.1性能评价标准303.2主流设备厂家303.3设备详细信息32

3.3.1重要选择参数323.3.2主要技术类型323.3.3主要构成333.3.4接口类型343.3.5主要功能343.3.6安装位置35

4．入侵防卫IPS36

4.1具体性能要求374.2主流设备厂家38

4

网安设备选型规范

4.3设备详细信息39

4.3.1重要选择参数394.3.2主要技术类型404.3.3接口类型404.3.4主要功能404.3.5部署位置414.4IDS和IPS的区别和选择425、统一要挟管理设备UTM44

5.1具体选型原则455.2主流设备厂家465.3设备详细信息47

5.3.1重要选择参数475.3.2主要设备类型485.3.3接口类型485.3.4主要功能48

6、其他常见设备51

6.1防病毒网关51

6.1.1防病毒网关简介516.1.2基本特性526.1.3重要参数546.1.4主流厂商546.1.5部署位置566.1.6与防火墙区别576.1.7与防病毒软件区别586.2VPN安全网关59

6.2.1VPN网关简介596.2.2基本特性606.2.3重要参数616.2.4主流厂商61

5

网安设备选型规范

6.2.5部署方案646.3网络审计系统64

6.3.1网络审计系统646.3.2基本特性646.3.3重要参数656.3.4主流厂商656.3.5审计类型666.3.6审计内容67

7.规范总结688.参考文档69

6

网安设备选型规范

1、网络安全设备

1.1信息安全与网络安全产品

（1）信息安全模型

国际标准化组织定义：信息安全是为数据处理系统建立和采取的技术和管理

的安全保护，保护计算机硬件、软件和数据不因偶然和恶意原因而遭到破坏，更改和泄露。

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以要挟全局安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

7

网安设备选型规范

图1.1信息安全模型

（2）网络安全

网络安全不仅包括网络信息的存储安全，还涉及信息的产生、传输和使用过程中的安全。网络安全从其本质上来说就是网络上的信息安全。（3）网络安全防护产品：?防火墙、防水墙

?WEB防火墙、网页防篡改?入侵检测、入侵防卫、防病毒?统一要挟管理UTM?身份鉴别、虚拟专网?加解密、文档加密、数据签名

?物理隔离网闸、终端安全与上网行为管理?内网安全、审计与取证、漏洞扫描、补丁分发?安全管理平台?灾难备份产品

8

网安设备选型规范

1.2信息安全技术规范

图1.2信息安全国标

1.3网安总体选型原则

（1）中国网络安全产品概览

中国的网络安全产品供应厂家基本可分为三类：国家级的专业信息安全产品供应厂家、新兴的专业信息安全产品供应厂家和国外厂家。

从功能上，常用的一些信息安全产品有：加密产品、防火墙、防病毒产品、入侵检测产品、虚拟专网产品，此外，还有身份鉴别产品、证书机关、物理安全产品。加密产品是十分传统的信息安全产品，主要提供信息加密功能。加密产品一般可以分为链路加密、网络加密、应用加密和加密协处理器等几个层次的产品。防火墙是用于实施网络访问控制的产品，是最常见也是中国国内技术十分成熟的信息安全产品之一。

防病毒产品是中国国内最早出现并大规模使用的信息安全产品。国内外生产的厂家好多，目前能够在国内获得一定市场的都是不错的产品。

入侵检测产品是近一两年发展起来的，主要用于检测网络攻击事件的发生。

9

网安设备选型规范

国内外供货厂家也较多。

身份鉴别产品也属于十分传统的产品，目前技术成熟的是一些基于信息技术的鉴别产品。一些基于生理参数（如：指纹、眼纹）的技术和产品发展很快，已经有成熟产品推出。

虚拟专网产品是利用密码技术和公共网络构建专用网络的一种设备，该设备集成了网络技术、密码技术、远程管理技术、鉴别技术等于一体，是用户以十分低的成本构建专用网络的一种十分重要的产品。

证书机关是一类十分基础的产品，任何基于证书体制实现安全的信息系统都需要该产品。

物理安全产品是十分特别的信息安全产品，如干扰器、隔离计算机、隔离卡等，其主要功能是确保信息处理设备的物理安全，提供诸如防电磁辐射、物理隔离等功能。

（2）信息安全产品选型指南

信息安全产品的种类比较多。大量安全产品的功能上也有一定交织。您在选型时一定要牢记以下几个基本原则：

适用原则。绝对的安全是不存在的，因此您必需具有“安全风险〞意识。信息安全产品的安装不一定意味信息系统不发生安全事故。所有的安全产品只是降低安全事件发生的可能性，减小安全事件所造成的损失，提供弥补损失的手段。您不要（也不可能）追求绝对的安全。

企业应考虑明白自己信息系统最大的安全要挟来自何处，信息系统中最有价值的是什么，信息系统造成的哪些损失是自己无法忍受的。安全产品只要为企业提供足够的手段应对主要的安全要挟，将可能的损失减小到可以接受的范围之内，就可以了。

不降低信息系统综合服务品质的原则。目前中国大量企业往往是在信息系统规划（或建设）完成之后才考虑信息安全，即所谓的“打安全补丁〞。这种“补丁〞做法往往会给信息安全产品的选型带来好多困难，由于好多时候，信息安全与系统的使用便利性和效率往往是一对矛盾。

企业需要在考虑安全性的前提下，综合系统的其它性能，结合评估系统的服务品质，定下系统综合服务品质参数，在此基础上，以不降低综合服务品质为原

10

网安设备选型规范

则，对信息安全产品进行选型。

详细信息见附件：

2、硬件防火墙

硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

11

网安设备选型规范

硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是十分重要的。

图2.1深信服硬件防火墙

2.1具体选型原则

（1）总拥有成本和价格:防火墙产品作为网络系统的安全屏障，其总拥有的成本不应当超过受保护网络系统可能遭遇最大损失的成本。防火墙的最终功能将是管理的结果，而非工程上的决策。

（2）明确系统需求:即用户需要什么样的网络监视、冗余度以及控制水平。可以列出一个必需监测怎样的传输、必需允许怎样的传输流通行，以及应当拒绝什么传输的清单。

（3）应满足企业特别要求:企业安全政策中的某些特别需求并不是每种防火墙都能提供的，这常会成为选择防火墙时需考虑的因素之一，譬如：加密控制标准，访问控制，特别防卫功能等。

（4）防火墙的安全性:防火墙产品最难评估的方面是防火墙的安全性能，普通用户寻常无法判断。用户在选择防火墙产品时，应当尽量选择占市场份额较大同时又通过了国家权威认证机构认证测试的产品。

（5）防火墙产品主要需求：企业级用户对防火墙产品主要需求是：内网安全性需求,细度访问控制能力需求,VPN需求,统计、计费功能需求,带宽管理能力需求等，这些都是选择防火墙时侧重考虑的方面。

（6）管理与培训:管理和培训是评价一个防火墙好坏的重要方面。人员的培训和日常维护费用寻常会占据较大的比例。一家优秀的安全产品供应商必需为其用户提供良好的培训和售后服务。

12

网安设备选型规范

（7）可扩展性:网络的扩容和网络应用都有可能随着新技术的出现而增加，网络的风险成本也会急剧上升，因此便需要增加具有更高安全性的防火墙产品。

具体要求见以下文档

防火墙的性能评估.doc网络性能与安全性评估.ppt

2.2主流设备厂家

（1）国内厂家：华为（USG系列产品，如USG5120，USG5520S，USG6390等）、天融信、网康、启明星辰等

图2.2华为USG6390

华为USG6390产品参数

重要参数网络端口：8GE+4SFP控制端口：暂无数据外形设计：暂无数据产品尺寸：442×421×43.6mm主要参数设备类型：下一代防火墙网络端口：8GE+4SFPVPN支持：支持入侵检测：Dos,DDoS管理支持命令行、WEB方式、SNMP、TR069等配置和管理方式，这些方式提供对设备的本地配置、远程维护、集中管理等多种手段，并提供完备的诊断、告警、测试等功能安全标准CE，ROHS，CB，UL，VCCI13

网安设备选型规范

处理器多核处理器一般参数电源AC:100-240V最大功率：170W产品尺寸：442×421×43.6mm产品重量：10kg适用环境工作温度：0℃-40℃工作湿度：10%-95%其他性能环境感知、应用安全、入侵防卫、Web安全、邮件安全、数据安全、安全虚拟化、网络安全、路由特性、部署及可靠性、智能管理产品特性扩展槽位：2×WSIC产品形态：1UHDD：选配300GB单硬盘，支持热插拔（2）国外厂家：思科（ASA系列，如ASA5512，ASA5505等）、Juniper等

图2.2CISCOASA5512-K9整体外观图

CISCOASA5512-K9详细参数

重要参数网络端口：6个GE接口控制端口：2个USB2.0接口，1个console端口外形设计：1U产品尺寸：42.4×429×395mm设备类型下一代防火墙并发连接数100,000网络吞吐量，状态检测吞吐量最大：1Gbps，多协议状态检测吞吐量：14

网安设备选型规范

主要参数500Mbps，IPS吞吐量：250Mbps网络端口6个GE接口控制端口2个USB2.0接口，1个console端口VPN支持支持一般参数电源AC100-240V，50/60Hz，4.85A外形设计1U产品尺寸42.4×429×395mm产品重量6.07kg其他性能includesfirewallservices，250IPsecVPNpeers，2SSLVPNpeers，6copperGigabitEthernetdataports，1copperGigabitEthernetmanagementport，1ACpowersupply，3DES/AESencryption具体信息见以下文档：

2.3设备详细信息2.3.1重要选择参数

●吞吐量：在不丢包的状况下单位时间内通过的数据包数量（1）定义：在不丢包的状况下能够达到的最大每秒包转发数量

（2）衡量标准：吞吐量作为衡量防火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能

15

网安设备选型规范

图2.3数据吞吐示意图

●时延：数据包最终一个比特进入防火墙到第一比特从防火墙输出的时间间隔

（1）定义：入口处输入帧的最终1个比特到达，至出口处输出帧的第一个比特输出所用的时间间隔

（2）衡量标准：防火墙的时延能够表达它处理数据的速度

图2.4时延

●丢包率：通过防火墙传送时所丢失数据包数量占所发送数据包的比率

（1）定义：在连续负载的状况下，防火墙设备由于资源不足应转发但却未转发的帧百分比

（2）衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响

16

网安设备选型规范

图2.5丢包率计算

●并发连接数：防火墙能够同时处理的点对点连接的最大数目

（1）定义：指穿越防火墙的主机之间,或主机与防火墙之间，能同时建立的最大连接数。

（2）衡量标准：并发连接数的测试主要用来测试防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小表达防火墙对来自于客户端的TCP连接请求的响应能力

图2.6并发连接示意图

●新建连接数：在不丢包的状况下每秒可以建立的最大连接数

（1）定义：指穿越防火墙的主机之间，或主机与防火墙之间，单位时间内建立的最大连接数。

（2）衡量标准：新建连接数主要用来衡量防火墙单位时间内建立和维持TCP连接的能力

17

网安设备选型规范

图2.7新建连接示意图

详细的技术参数及性能要求见如下文档

硬件防火墙技术参数及要求.doc

2.3.2主要技术类型

（1）包过滤防火墙

也叫分组过滤防火墙。根据分组包的源、目的地址，端口号及协议类型、标志位确定是否允许分组包通过。●高效、透明

●不能防范部分的黑客IP欺骗类攻击●不能跟踪TCP连接的状态●不支持应用层协议●对管理员要求高

●数据包协议类型：TCP、UDP、ICMP、IGMP等●源、目的IP地址

18

网安设备选型规范

●源、目的端口：FTP、HTTP、DNS等●IP选项：源路由选项等

●TCP选项：SYN、ACK、FIN、RST等

●其它协议选项：ICMPECHO、ICMPECHOREPLY等●数据包流向：in或out

●数据包流经网络接口：eth0、eth1

图2.8包过滤防火墙工作区域

包过滤防火墙应用实例：

19

图2.9包过滤防火墙应用实例

网安设备选型规范

（2）应用网关防火墙

也叫应用代理防火墙。每个代理需要一个不同的应用进程，或一个后台运行的服务程序；对每个新的应用必需添加针对此应用的服务程序，否则不能使用该服务。●安全性高

●提供应用层的安全

●可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强●性能差●伸缩性差

●只支持有限的应用●不透明●难于配置●处理速度较慢

图2.10应用网关防火墙工作区域

20

网安设备选型规范

图2.11应用网关防火墙工作模型一个Telnet代理的例子：

图2.12应用网关防火墙应用实例

（3）状态检测防火墙

又称动态包过滤防火墙。对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过；记录下该连接的相关信息，生成状态表；对该连接的后续数据包，只要是符合状态表，就可以通过。目前的状态检测技术仅可用于TCP/IP网络。

21

网安设备选型规范

图2.13状态检测防火墙工作区域

状态检测防火墙处理示意图：

图2.14状态监测防火墙工作流程

●连接状态可以简化规则的设置●提供了完整的对传输层的控制能力

●使防火墙性能得到较大的提高，特别是大流量的处理能力

●根据从所有层中提取的与状态相关信息来做出安全决策，使得安全性也得到

22

网安设备选型规范

进一步的提高

●对应用层检测不够深入

4、传统火墙的弱点

图2.15传统包过滤防火墙过滤过程

传统的包过滤和状态检测防火墙弱点如下：●没有深度包检测来发现恶意代码●不进行包重组

●恶意程序可以通过信任端口建立隧道穿过去

●传统的部署方法仅仅是网络边缘，不能防卫内部攻击分组过

5、深度检测防火墙

●深度检测技术深入检查通过防火墙的每个数据包及其应用载荷

●以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集，决定如何处理数据包

●可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及蠕虫病毒

23

网安设备选型规范

6、复合型防火墙

图2.16深度检测防火墙工作过程

图2.17复合型防火墙工作模型

2.3.3主要架构

在未来的网络环境下，传统的基于x86体系结构的工控机防火墙已不能满足宽带网络高吞吐量、低时延的要求，而网络处理器（NetworkProcessor）和专用集成

24

网安设备选型规范

电路（ASIC）技术被以为是未来千兆防火墙的主要方向。

（1）X86架构：最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。但其性能发展却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时好多X86架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。

（2）ASIC架构：相比之下，ASIC防火墙通过专门设计的ASIC芯片规律进行硬件加速处理。ASIC通过把指令或计算规律固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用规律，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，十分适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前，NetScreen在ASIC防火墙领域占有优势地位，而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。

（3）NP架构：NP可以说是介于两者之间的技术，NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从而使产品的生命周期更长。由于防火墙处理的就是网络数据包，所以基于NP架构的防火墙与X86架构的防火墙相比，性能得到了很大的提高。NP通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。但是，相比于X86架构，

25

网安设备选型规范

由于应用开发、功能扩展受到NP的配套软件的限制，基于NP技术的防火墙的灵活性要差一些。由于依靠软件环境，所以在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和x86构架之间，应当说，NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola，国内基于NP技术开发千兆防火墙的厂商最多，联想、紫光比威等都有相关产品推出。

从上面可以看出，X86架构、NP和ASIC各有优缺点。X86架构灵活性最高，新功能、新模块扩展简单，但性能确定满足不了千兆需要。ASIC性能最高，千兆、万兆吞吐速率均可实现，但灵活性最低，定型后再扩展十分困难。NP则介于两者之间，性能可满足千兆需要，同时也具有一定的灵活性。三种架构综合比较：

架构类型灵活性扩展性开放性稳定性性能X86高高中低最高2GbpsNP中中高中千兆ASIC低低低高可达万兆防火墙常见架构的比较.docx

2.3.4接口类型

网络防火墙至少应当提供3个网络接口，分别用于连接内网、外网和DMZ区域。假使能够提供更多数量的端口，则还可以借助虚拟防火墙实现多路网络连接。而接口速率则关系到网络防火墙所能提供的最高传输速率，为了避免可能的网络瓶颈，防火墙的接口速率应当为百兆、千兆或万兆。

网络端口：LAN口，WAN口，DMZ口控制端口：console口，RJ45端口或USB接口

26

网安设备选型规范

2.3.5主要功能

（1）防火墙的基本功能：防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。一个成熟的硬件防火墙产品应具有以下功能：

防火墙的设策略略应遵循安全防范的基本原则——“除非明确允许，否则就阻止〞；防火墙本身支持安全策略，而不是添加上去的；假使组织机构的安全策略发生改变，可以参与新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；假使需要，可以运用过滤技术允许和阻止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。

假使用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务，防火墙应当包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。防火墙应当能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应当可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应当用补丁程序进行升级且升级必需定期进行。

正像前面提到的那样，Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。

（2）企业的特别要求：企业安全政策中往往有些特别需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一。常见的需求有网络地址

27

网安设备选型规范

转换功能(NAT)，双重DNS、虚拟专用网络、扫毒功能、特别控制需求等。（3）与用户网络结合：包括管理的难易度、自身的安全性、完善的售后服务、完整的安全检查、结合用户状况等。

2.3.6安装位置

防火墙拓扑位置

●专用（内部）和公共（外部）网络之间●网络的出口和入口处

●专用网络内部：关键的网段，如数据中心

防火墙区域●Trust（内部）

●Untrust（外部，Internet）

●DMZ（DemilitarizedZone，非武装军事区）

3、入侵检测IDS

入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保

28

网安设备选型规范

证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem，简称IDS)

图3.1入侵检测系统

图3.2入侵检测系统架构

29

网安设备选型规范

3.1性能评价标准

1、评价入侵检测系统性能的标准

（1）确凿性(Accuracy)：指入侵检测系统能正确地检测出系统入侵活动，否则会造成虚警现象。

（2）处理性能（Performance）：指一个入侵检测系统处理系统审计数据的速度。（3）完备性(Compliteness)：指入侵检测系统能够检测出所有攻击行为的能力。（相对困难）

（4）容错性（FaultTolerance）：入侵检测系统自身必需能够抵御对它自身的攻击，特别是拒绝服务攻击（Denial-Of-Service）。

（5）及时性(Timeliness)：及时性要求入侵检测系统必需尽快地分析数据并把分析结果传播出去，以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应，阻止攻击者颠覆审计系统甚至入侵检测系统的企图。它不仅要求处理速度快，而且要求传播、反应检测结果信息的时间尽可能少。2、或者用另一种评价方法评价：

（1）有效性：指研究检测机制的检测确切度和系统报警的可信度。

（2）效率：从检测机制处理数据的速度以及经济角度来考虑，侧重检测机制性能价格比的改进。

（3）虚警（falsepositive）：把系统的“正常行为〞作为“异常行为〞进行报警（4）漏警(falsenegative)：假使检测系统对部分针对系统的入侵活动不能识别、报警，称为系统漏警。

（5）检测率：指被监控系统受到入侵攻击时，检测系统能够正确报警的概率。（6）虚警率：指检测系统在检测时出现虚警的概率。

3.2主流设备厂家

（1）国内厂家：华为、启明星辰、网御星云、天融信下图为华为某IDS设备图

30

网安设备选型规范

图3.3华为NIP2100D

其具体参数如下：

图3.4华为NIP2100D信息

图3.5启明星辰NS100信息

31

网安设备选型规范

（2）国外厂家：Cisco、Juniper、Checkpoint

Cisco入侵检测系统4200系列设备检测器，CiscoIDS4200系列设备检测器包括三型产品：CiscoIDS4210、CiscoIDS4235和CiscoIDS4250。整个CiscoIDS设备系列提供多种解决方案，这些解决方案可以集成到多种不同的环境中，包括企业和电信运营商环境。每个设备检测器都能提供多档性能，满足从45Mbps到千兆位的带宽要求。

3.3设备详细信息3.3.1重要选择参数

具体参数指标（暂无），以下指标为根据部分产品信息得来的一些选择参数（1）最大检测率（2）最大并发连接数（3）每秒新建连接数

（4）处理能力（默认漏报率为0时）（5）漏报率和误报率（6）延迟（7）吞吐量

（8）特征数：去除冗余参数，保存能够反映系统状态的重要参数的一个算法

3.3.2主要技术类型

（1）基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台(console)通信。

（2）基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由广泛网络的传感器(sensor)组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。

32

网安设备选型规范

（3）混合型:基于网络和基于主机的入侵检测系统都有不足之处，会造成防卫体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常状况。

图3.6混合型网络入侵检测系统

3.3.3主要构成

IETF（Internet工程任务组）将一个入侵检测系统分为四个组件：事件产生器（Eventgenerators）；事件分析器（Eventanalyzers）；响应单元（Responseunits）；事件数据库（Eventdatabases）。

事件产生器的功能是从整个计算环境中捕获事件信息，并向系统的其他组成部分提供该事件数据。事件分析器分析得到的事件数据，并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等有效反应，当然也可以只是报警。事件数据库是存放各种中间和最终数据的地方的统称，用于指导事件的分析及反应，它可以是繁杂的数据库，也可以是简单的文本文件。下图为IDS入侵检测系统报警过程，

33

网安设备选型规范

图3.7入侵检测报警

3.3.4接口类型

网络端口（光、电口），控制端口

3.3.5主要功能

基本功能：

（1）监视并分析用户和系统的活动（2）检查系统配置和漏洞

（3）检查关键系统和数据文件的完整性（4）识别代表已知攻击的活动模式（5）对反常行为模式的统计分析

（6）对操作系统的校验管理，判断是否有破坏安全的用户活动。

其他功能：攻击检测能力；响应方式；日志与报表；策略功能；管理功能；用户管理；升级管理；产品安全性

34

网安设备选型规范

3.3.6安装位置

IDS在交换式网络中的位置一般选择在：（1）尽可能靠近攻击源（2）尽可能靠近受保护资源这些位置寻常是：

（1）服务器区域的交换机上

（2）Internet接入路由器之后的第一台交换机上（3）重点保护网段的局域网交换机上

防火墙和IDS可以分开操作，IDS是个监控系统，可以自行选择适合的，或是符合需求的，譬如发现规则或监控不完善，可以更改设置及规则，或是重新设置！

图3.8某网络中入侵检测设备位置

35

网安设备选型规范

4．入侵防卫IPS

入侵防卫系统(IPS:IntrusionPreventionSystem)是电脑网络安全设施，是对防病毒软件（AntivirusPrograms）和防火墙(PacketFilter,ApplicationGateway)的补充。入侵防卫系统(Intrusion-preventionsystem)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

36

网安设备选型规范

图4.1某IPS系统工作模型

详细信息见附件：

山石网科发布网络入侵防卫系统解决方案

4.1具体性能要求

针对越来越多的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合要挟及黑客攻击，不仅需要有效检测到各种类型的攻击，更重要的是降低攻击的影响，从而保证业务系统的连续性和可用性。

一款优秀的网络入侵防卫系统应当具备以下特征：

（1）满足高性能的要求，提供强大的分析和处理能力，保证正常网络通信的质量；

（2）提供针对各类攻击的实时检测和防卫功能，同时具备丰富的访问控制能力，在任何未授权活动开始前发现攻击，避免或减缓攻击可能给企业带来的损失；（3）确凿识别各种网络流量，降低漏报和误报率，避免影响正常的业务通讯；（4）全面、精细的流量控制功能，确保企业关键业务持续稳定运转；

37

网安设备选型规范

（5）具备丰富的高可用性，提供BYPASS（硬件、软件）和HA等可靠性保障措施；

（6）可扩展的多链路IPS防护能力，避免不必要的重复安全投资；

（7）提供灵活的部署方式，支持在线模式和旁路模式的部署，第一时间把攻击阻断在企业网络之外，同时也支持旁路模式部署，用于攻击检测，适合不同客户需要；

（8）支持分级部署、集中管理，满足不同规模网络的使用和管理需求。

4.2主流设备厂家

（1）国内厂家：华为、H3C、天融信、启明星辰、DCN华为入侵防卫系统：

图4.2华为入侵防卫系统

关于华为设备详细信息见附件：

华为NIP2100系列入侵防卫系统

目前大量厂家产品中将入侵检测和入侵防卫融合到一起，同时对系统中流量进行监管和防护，如以下这件产品中其功能包含：入侵检测和防卫功能，称之为IDP系统。

38

网安设备选型规范

图4.3某产品信息

（2）国外厂家：思科、Juniper

图4.4CiscoFirePOWER8000系列设备

Cisco入侵防卫系统产品手册：

4.3设备详细信息4.3.1重要选择参数

（1）吞吐量：作为用户选择和衡量NIPS性能最重要的指标之一，吞吐量是指NIPS在不丢包的状况下能够达到的最大包转发速率。吞吐量越大，说明NIPS数据处理能力越强。

（2）延迟：现在网络的应用种类十分繁杂，大量应用对延迟十分敏感(例如音频、视频等)而网络中参与NIPS必然会增加传输延迟，所以较低的延迟对NIPS来说也是不可或缺的。

（3）最大并发连接数：最大并发连接数决定了NIPS能够同时支持的并发用户数，它反映出NIPS对多个连接的访问控制能力和连接状态跟踪能力，这对于NIPS来说也是一个十分重要的性能指标，特别是在受NIPS保护的网络向外部网络提供

39

网安设备选型规范

公众服务的状况下，一般来说，该指标越大越好。

4.3.2主要技术类型

（1）基于主机的入侵防卫(HIPS)：HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防卫技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。

（2）基于网络的入侵防卫(NIPS)：NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS寻常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。

（3）应用入侵防卫(AIP)：IPS产品有一个特例，即应用入侵防卫（ApplicationIntrusionPrevention，AIP），它把基于主机的入侵防卫扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备，配置在应用数据的网络链路上，以确保用户遵守设定好的安全策略，保护服务器的安全。NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的主机/服务器操作系统平台无关。

4.3.3接口类型

（1）若干自适应10/100/1000光/电口，作为监控端口，区分旁路和非旁路监控端口

（2）模块化端口（3）管理端口等

4.3.4主要功能

（1）异常侦查。正如入侵侦查系统,入侵预防系统知道正常数据以及数据之间关系的寻常的样子，可以对照识别异常。

40

网安设备选型规范

（2）在遇到动态代码(ActiveX,JavaApplet,各种指令语言scriptlanguages等等)时，先把它们放在沙盘内，观测其行为动向，假使发现有可疑状况，则中止传输，阻止执行。

（3）有些入侵预防系统结合协议异常、传输异常和特征侦查，对通过网关或防火墙进入网路内部的有害代码实行有效阻止。

（4）核心基础上的防护机制。用户程序通过系统指令享用资源(如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。（5）对Library、Registry、重要文件和重要的文件夹进行防守和保护。

4.3.5部署位置

随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全要挟。在这种状况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。

对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），假使一旦发现隐蔽于其中网络攻击，可以根据该攻击的要挟级别马上采取抵御措施，这些措施包括（依照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。

进行了以上分析以后，我们可以得出结论，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。至于其它区域，可以根据实际状况与重要程度，酌情部署。

下图为华三SecPATHIPS设备部署方式，（1）IPS在线部署方式

部署于网络的关键路径上，对流经的数据流进行2-7层深度分析，实时防卫外部和内部攻击。

41

网安设备选型规范

图4.4IPS在线部署方式

（2）IDS旁路部署方式

对网络流量进行监测与分析，记录攻击事件并告警。

图4.5IDS旁路部署方式

4.4IDS和IPS的区别和选择

IPS对于初始者来说，是位于防火墙和网络的设备之间的设备。这样，假使检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防卫的作用。

IPS检测攻击的方法也与IDS不同。一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。

目前无论是从业于信息安全行业的专业人士还是普通用户，都认为入侵检测系统和入侵防卫系统是两类产品，并不存在入侵防卫系统要替代入侵检测系统的可能。但由于入侵防卫产品的出现，给用户带来新的困惑：终究什么状况下该选

42

网安设备选型规范

择入侵检测产品，什么时候该选择入侵防卫产品呢?

从产品价值角度讲：入侵检测系统重视的是网络安全状况的监管。入侵防卫系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同，入侵防卫系统可以实施深层防卫安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观测到所有网络数据。假使信息系统中包含了多个规律隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。

而为了实现对外部攻击的防卫，入侵防卫系统需要部署在网络的边界。这样所有来自外部的数据必需串行通过入侵防卫系统，入侵防卫系统即可实时分析网络数据，发现攻击行为马上予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。

入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防卫系统IPS的核心价值在于对数据的深度分析及安全策略的实施—对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防卫系统则必需部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。

IPS可以理解为深度filewall。

43

网安设备选型规范

5、统一要挟管理设备UTM

统一要挟管理(UnifiedThreatManagement)，2023年9月，IDC首度提出“统一要挟管理〞的概念，即将防病毒、入侵检测和防火墙安全设备划归统一要挟管理(UnifiedThreatManagement，简称UTM)新类别。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一要挟管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。本设备主要适用于中小型企业、中小办公机构及多分支机构，另外对于大型企业、电信企业骨干网等可以作为防火墙等网络安全设备的有效补充。

由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。

44

网安设备选型规范

图5.1天清汉马UTM设备图

5.1具体选型原则

从定义上来讲，UTM设备应当具备的基本功能包括网络防火墙、网络入侵检测/防卫和网关防病毒功能。

虽然UTM集成了多种功能，但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模，UTM产品分为不同的级别。也就是说，假使用户需要同时开启多项功能，则需要配置性能比较高、功能比较丰富的产品。（1）易用性：由于UTM包含了众多的安全特性，因此能否便利快捷地部署，成为了用户的首要诉求。曾有用户调查显示，用户对UTM易用性的关注超越了入侵防卫和防病毒，成为用户在选购UTM时最关注的问题。

（2）集中管理能力：UTM应当具有基于组的集群管理功能，当在一个网络中部署多台UTM设备时，可以通过集中管理中心来对设备组进行配置，这样经过一次配置，组内所有的UTM设备可以整体生效。另外通过集群管理，可以把分散在不同地方的UTM设备的日志进行统一分析处理，形成全网的网络安全风险分析报告。

（3）病毒库和入侵防卫特征库的在线升级：跟防火墙不同，UTM的病毒库、入侵特征库、反垃圾邮件库必需及时进行更新，这样才能具有最新的安全防护能力，因此需要对UTM定期进行升级。特别是通过在线升级的方式，能够保证设备在最短的时间内获得更新。能否供给在线升级，以及在线升级的频度，是考虑厂家实力和技巧水平的重要指标。

（4）日志和流量处理能力：UTM应能够对病毒、入侵等高要挟性事件进行日志记载，并通过邮件等方式进行告警;应能通过NetFlow等技巧对网络流量进行分析，可以查询实时流量和历史流量，这不仅可以帮助管理者更好地评估网络状况，还能够通过异常流量分析，发现潜伏的网络要挟。产品规格及功能要求产品型号硬件规格提供小型、中型、大型多种设备型号1U~4U上架设备，具体规格见实际硬件型号说明45

网安设备选型规范

访问控制防病毒VPN实现基于域名、IP地址、服务端口、IP协议、时间等元素的访问控制支持HTTP、FTP、POP3、SMTP协议的病毒防护，病毒库自动升级支持SSL-VPN、IPSEC-VPN，能够与CISCO等厂商VPN设备互联互通提供基于行为、内容的垃圾邮件防护功能，支持邮件的延迟审核发送集成基于统一安全引擎的安全防护功能，提供全面的防火墙功能提供全面的入侵检测与入侵防卫功能支持典型P2P和IM软件的过滤和带宽限制支持QoS带宽管理，基于IP、协议、服务、接口、时间等元