科大图书馆安全方案

电子科大图书馆网络系统整体安全解决方案四川太平洋电子科技开展信息平安技术与效劳信息平安技术与效劳电子科大图书馆网络系统电子科大图书馆网络系统整体平安解决方案 PreparedBy:销售参谋：技术支持：四川太平洋电子科技开展：(028)8667002586670059：(028)86660383-8003第一章前言 全中文的图形化控制方式由于边界防火墙起着封堵黑客行为和国外不良站点的双重任务，必然导致其过滤规那么不断膨胀。过多的规那么会使得目前市场上绝大多数防火墙的工作效率明显下降，这是由于通常防火墙都要将每一个数据包和规那么库中的规那么进行匹配，当这个规那么库变得很庞大的时候，整个数据包的匹配时间就会变得很长，从而导致包的延迟变长，甚至大量丢包。三星SecuiWALLNXG防火墙采用了取得国际专利的分类算法，可区分通信流量类型，并根据相关策略进行实时筛选，真正解决了传统防火墙因处理速度慢而引发的瓶颈问题。三星SecuiWALLNXG系列防火墙支持网桥和路由两种模式。不仅可以使防火墙作为路由设备，把内网IP地址转换为公网IP节约公网地址，而且可对多种应用进行代理〔,SMTP等〕过滤有害的网站、代码，让我们的网络更强壮、平安。扩展的状态检测功能。电子科大图书馆网络运行会运行FTP、H.323等数据。三星SecuiWALLNXG防火墙能够准确识别此类数据流，让数据合法通过。而普遍的状态检测技术，H.323数据可能被阻断。在三星SecuiWALLNXG火墙内部成功的进行了UDP、TCP数据同步分析。系统能够识别H.323连接，保证H.323数据通过。此外还支持SQL*NET、SUNRPC、TFTP等多种复杂的协议。有害网站的过滤三星SecuiWALLNXG防火墙通过带宽管理，针对时间、IP、应用等的带宽使用率，确保业务数据流量的带宽，提高网络管理效率。三星SecuiWALLNXG防火墙标准配置有四个网络接口，各接口可由用户自行设置是用于外网、内网、DMZ或是控制台端口，方便用户使用。NAT地址转换，将图书馆内部网络和DMZ区域网络地址通过NAT方式转换，隐藏真实IP地址，防止内部网络受到攻击。具体转换方式可以是一对一对应的静态地址翻译，也可以是多对多对应的动态地址翻译，也可以是多对一端口映象〔PAT〕。此外还提供了加权的负载均衡地址翻译功能〔LSNAT〕。通过负载均衡地址翻译，进行地址翻译的同时，可以对多种应用进行负载均衡。代理效劳，三星SecuiWALLNXG防火墙提供透明代理功能，因此无需在客户端进行额外配置。对于代理来说，还提供反向代理。通过，反向代理可以进行对WWW效劳器的负载均衡－基于地址的负载均衡和基于内容的负载均衡。而且可以剥离WEB页面中的有害代码〔java/Activex等〕，可对web邮件进行控制〔如禁止携带附件、限制附件大小等〕，从而防止图书馆内部资源通过web方式泄漏。同时图书馆内部网络对外访问可以通过防火墙提供的代理效劳功能，并可以过滤各种CGI攻击。此外，对于通过SMTP代理，可以防止垃圾邮件、限制邮件大小、并且与第三方病毒防火墙护动，实现对邮件病毒的查杀。URL拦截，在图书馆网络上存在各种需要对外保密的信息。三星SecuiWALLNXG防火墙实现了透明的URL拦截功能，通过在内核层对URL进行严格的控制和管理，按照用户的要求进行拦截。由于在内核层进行过滤，因此其处理效率大大提高。强大的入侵检测功能，SecuiWALLNXG防火墙系统具有许多防火墙系统不具备的强大的入侵检测功能。防火墙为抵御入侵行为，需具备实时检测及拦截功能，并及时向管理员报警，以有效防范各类入侵行为。然而目前市场上多数防火墙只具备防范功能，而不能检测出攻击并及时有效地报警，或检测和报警功能仅仅停留在形式上。SecuiWALLNXG的入侵检测设置界面可以提供强大的入侵检测和防范选项，如下列图：SecuiWALLNXG检测到入侵后实时向管理员报警，报警方式包括邮件和短信息等，并提供攻击的详尽日志。如下列图所示：4.3入侵检测系统实施在平安系统中，防火墙就相当于整个网络系统的大门的门卫，能按照我们设定的规那么判断他人是否可进入，把攻击、恶意的数据包挡在门外，而入侵检测系统就于平安摄像机相似，可以监控网络或者具体的效劳器，防止入侵者进入，尤其可以发现潜在攻击特征，及早阻断异于正常行为的操作。 为了更完备的防御来自内网和外网的入侵和破坏，到达更好的防御保护效果，建议在需要重点防护的网络会聚处采用基于硬件的网络入侵检测系统。考虑到各品牌IDS的功能特性、价格，同时结合IDS同防火墙联动效果，推荐使用启明星辰网络入侵检测系统天阗S100。配置入侵检测系统后网络拓朴图如下： 配置IDS后网络拓朴图启明星辰入侵检测〔IDS〕――天阗〔一〕高度的平安性和稳定性堡垒最容易从内部攻破，因此平安产品要保证自身的平安性尤为重要，很难相信一个自身漏洞百出的产品能够保证他人的平安。从技术上说，天阗黑客入侵检测与预警系统采取了多种先进措施保障自己的平安:控制中心与所探测网段物理隔离，探测引擎那么本身无IP地址，黑客无法对消失在网络中的目标进行扫描和攻击，这样在网络中实现自身隐藏及带外管理。控制中心与探测引擎通信加密，探测器和控制中心互相认证，防止欺骗。防止日志、策略在传输过程中被篡改。管理网口不开放连接端口，提高自身的隐藏性。操作系统内核重新编译，并经过了特别的优化，不采用通用的TCP/IP堆栈，防止通用TCP/IP堆栈的缺陷导致的平安漏洞。关闭所有端口及效劳，对于外界它是个透明的设备，是无法通过扫描等手段在网络中找到它的位置的。目前天阗已荣获国家公安部，国家平安部，国家保密局，以及最高级别的军队平安认证。权威意味着信任、意味着平安！〔二〕国内最完备攻击特征事件库启明星辰公司目前的反入侵技术研究支撑来自四方面：研发中心，积极防御实验室，博士后工作站，美国硅谷黑客研究中心,天阗目前的漏洞库积累和对于最新攻击特征的捕捉代表了中国的最新、最高的水平。天阗现在内部的攻击特征事件库覆盖了所有流行的网络协议，其覆盖面从链路层一直到应用层，共约40多类，另外用户可以根据自己的实际情况自定义协议。天阗网络入侵检测系统能识别、防范探测攻击、拒绝效劳攻击、缓冲溢出攻击、web攻击、email攻击、非授权访问、网络效劳缺陷攻击等多种攻击；国内最完备的事件库天阗事件库启明星辰研发中心天阗事件库启明星辰研发中心中国漏洞库CN-CVE中国漏洞库CN-CVE积极防御实验室积极防御实验室中国计算机网络应急处理协调中心CNCERT/CC中国计算机网络应急处理协调中心CNCERT/CC博士后工作站硅谷黑客研究中心硅谷黑客研究中心……缓冲区溢出攻击拒绝效劳攻击漏洞扫描探测非授权访问病毒蠕虫木马WEB效劳攻击电子邮件攻击……缓冲区溢出攻击拒绝效劳攻击漏洞扫描探测非授权访问病毒蠕虫木马WEB效劳攻击电子邮件攻击〔三〕多种先进入侵检测技术全面融合对入侵行为的分析技术是入侵检测技术的核心，启明星辰在这方面的积累和探索已经跨入国际领先水平，目前天阗中应用的入侵检测技术一般包括：模式匹配异常分析行为关联状态迁徙天阗的模式匹配依托于国内最完备的入侵检测事件库以及用户的自定义事件库。天阗基于异常的检测技术，这种检测方法可以发现可疑的网络行为，也能够对未知的攻击方式发出预警信号，是模式匹配方法的有利补充。行为关联的技术的引入是因为一个真正的攻击不是一个单独的行为就可以发现，必须分析一系列的单独行为，找到其中的行为关联关系，才能更好的认识攻击。这是天阗与其他一般入侵监测系统的一项重要区别。状态迁徙技术应用于主机入侵检测系统中，以发现不同状态间的关联，检测可能的入侵行为。〔四〕强大的平安审计和分析功能一般的网络管理员往往面临这样一个问题：面对冗长的复杂的日志统计报表无从下手！天阗强大的平安审计和分析功能有效地解决了这个问题,令管理员一目了然、明察秋毫。天阗对所记录的日志进行综合分析，为用户提供详细的审计分析报告，包括:网络状况报告和流量分析分布式系统报告和探测引擎状态慢扫描分析网络相关行为分析主机相关行为分析天阗黑客入侵检测与预警系统支持Access,SQLServer数据库和任何提供ODBC通用数据库接口的数据库系统。并且还提供了新开辟数据库文件和自动维护数据库功能,这些功能极大的方便了用户的数据库管理，和保证了数据存储平安。同时天阗“获取原始报文〞的功能，令管理员可以通过原始报文定义来获取某个可疑地址发出的所有原始数据，从而给管理员制服黑客提供了最原始的证据。〔五〕丰富的响应方式捕获到入侵行为或异常行为后，假设不采取有效措施，也不能实现网络平安。天阗网络入侵检测系统采用了多种响应方式：主要是分为报警、阻断等。报警方式：多样化自定义的报警窗口WINDOWS消息报警声音报警邮件、短信、寻呼报警执行用户指定应用程序报警阻断方式：协议阻断TCP阻断UDP欺骗阻断记忆阻断防火墙联动阻断〔和三星防火墙进行联动〕系统防护:禁止帐户和登录终止进程〔六〕统一管理、集中监控、分级运行维护依照图书馆信息网络的网络现状、管理现状、系统平台、人员现状，有针对性地部署具有集中监控、分级管理、全局预警功能的天阗入侵检测系统，可以满足图书馆信息网络系统的“统一管理、集中监控、分级运行维护〞的目标。平安产品配置示意图如下：4.4系统的平安维护针对电子科技大学图书馆网络总的各个系统中存在的诸多风险，建议采取相应的平安维护措施：★及时安装操作系统和效劳器软件的最新版本和修补程序。不断会有一些系统的漏洞被发现〔如现在正流行的“冲击波〞〔worm_msblast.a〕及其变种〕病毒，就是针对微软WINDOWS系列操作系统的漏洞进行攻击和传播的〞，通过打补丁就能防止此病毒〕，通常软件厂商会发布新的版本或补丁程序，以修补平安漏洞，保持使用的版本是最新的可以使平安的威胁最小；★进行必要的平安配置，在系统配置中关闭存在平安隐患的、不需要的效劳，比方：FTP，Telnet，finger，login，shell，BOOTP，TFTP等等，这些协议都存在平安隐患。禁止某些r命令，比方：rlogin，rsh等；★加强登录过程的身份认证，设置复杂、不易猜想的登录口令，严密保护帐号口令并经常变更，防止非法用户轻易猜出口令，确保用户使用的合法性，限制未授权的用户对主机的访问；★严格限制系统中关键文件〔如UNIX下的/.rhost、etc/host、passwd、shadow、group等〕的使用许可权限；★严格控制登录访问者的操作权限，将其完成的操作限制在最小的范围内；充分利用系统本身的日志功能，对用户的所有访问作记录，定期检查系统平安日志和系统状态，以便及早发现系统中可能出现的非法入侵行为，为管理员的平安决策提供依据，为事后审查提供依据。第五章售后维护1、技术咨询

我们有强大的技术实力为图书馆的技术人员提供长期而全面的技术咨询效劳，其中包括：网络平安常识问题的解答；

平安产品介绍；

系统配置说明；

平安策略的制定；

日常维护常见疑难问题解答；

平安检测。

2、现场效劳：

如果用户需要，我们会派出工程师到现场为用户解决困难，其中包括：

现场安装指导；

平安体系设计；

系统故障分析；

故障排除；

平安策略制定，分析。

3、技术培训

为了使用户能够独立完成平安系统的日常维护和管理工作，如防火墙系统的使用、平安策略的修改等，我们将会派出资深的认证工程师对用户进行系统的技术培训。

主要培训内容：网络信息平安技术；三星信息平安产品、技术；TrendMicro产品培训；CA产品培训；

培训地点：现场培训；专门培训环境。

4、系统运行的维护

系统正式运行之后，系统在发生问题时及时响应，提供处理方案。系统维护效劳包括支持、现场响应、优先级效劳、远程登录分析、专门客户支持。支持：当客户系统出现问题时，可以得到及时有效的支持。现场响应：如果用户问题不能通过解决，公司会派出经验丰富的现场工程师到现场为用户解决问题。现场维护的时间根据具体问题具体确定、系统具有可维护性，售后支持的答复不超过2小时。当系统需要修改时，包括系统功能增加、操作系统升级等问题可以由用户直接向我们提出需求，我们将在最短的时间做出回应，如遇重大问题由双方商议完成，人数根据需求大小来确定。第六章成功案例考虑到用户的具体应用，在此列出局部有针对性的实施案例：1、西南民族大学图书馆平安系统分析图书馆内部网络系统的具体规模、内部网对访问外部网的需求和外部网对图书馆内部效劳器的访问需求，以及整个图书馆网络系统与校园骨干网连接方式、带宽情况，决定在此选用两台三星信息平安的SecuiWALLNXG100防火墙，它支持130000个并发会话连接数，标配有4个10/100M独立的自适应网络〔以太网〕接口，因此可以隔离4个网段的通信。一方面，用一台SecuiWALLNXG100保护效劳器群。SecuiWALLNXG100部署在内部网络主交换机和效劳器群之间。一个接口连接主交换机连入民院校园网，用另一个接口连接受保护的效劳器群。防火墙在此应用透明的网桥模式工作，这样以来就不用更改效劳器的网络有关设置，及时投入使用。此处设置的SecuiWALLNXG100防火墙可以很好地保护内部效劳器群不受外界的的威胁。防火墙是所有来自外界网络用户访问内网的唯一通道，这样所有的访问必须通过防火墙的过滤。防火墙上的平安策略可以灵活地配置，比方：只在数据效劳器上开放与应用相关的端口，而其他端口关闭，禁止对效劳器的直接访问；可以控制用户访问的时间，并对访问进行监控；禁止访问内部网络其他资源；对通过防火墙的用户进行身份认证；等等。另一方面，用另一台SecuiWALLNXG100防火墙保护图书馆内部网中的工作用机和学生用机。应用防火墙的一个接口连接主交换机进入校园网，另两个接口分别连接工作用机和学生用机〔包括电子阅览室用机〕。内部网工作站的IP全部设置为保存IP地址段，防火墙在这儿工作于路由模式，这样一来可以方便的进行PAT的地址转换，让内部网工作站方便的进行网络应用，而有节省了大量的公网IP地址。可以方便的在防火墙上设置相应的策略来保护内部网的主机，也可以对内部网用机进行详细的访问控制。如，禁止外网用户访问内部网络内的所有主机；可以控制用户访问的时间，并对访问进行监控等等。用户评价：三星防火墙以其强大的功能、卓越的性能充分满足了图书馆大流量、复杂应用等各种需求，为图书馆的平安保驾护航。从功能上来讲：作为软硬一体化防火墙的典型代表，具备了与纯软件防火墙媲美甚至更强的功能。同时提供多层防攻击保护，可有效启用内置IDS功能和CGI防护从性能上来讲：通过优化的、独创的分类算法及内核层流量处理，具备了与纯硬件防火墙抗衡的实力。三星防火墙以其卓越的性能满足了图书馆应用要求。