城域网整体安全保护体系方案
1. 概述
教育城域网经过多年的不断建设、完整和优化,目前整个网络规模较大,既连接INTERNET,又对下属学校进行接入;线路情况也较为复杂,从光纤到ATM。
现今网络主要具有核心交换及教育局内部网核心,两个服务器区域分别提供内外网的应用服务,下属各学校通过广域网及ATM线路接入,应用复杂,既有正常应用也有大量的下载及病毒、攻击。
2. 教育城域网信息安全风险与需求建议
教育城域网基础网络架构作为教育网络的一个部分,对网络的安全性有很高的要求。结合近几年的网络发展,教育城域网虽然已经建设成型了一个基础的网络架构,但是信息安全问题依然存在,主要归结为以下几个信息安全风险:
2.1. 用户网络的主要安全风险和需求
2.1.1网络安全风险分析
教育城域网的安全风险主要来自于不同安全区域之间的网络访问。由于网络使用学生较多,网络中信息系统种类多,系统中信息极为重要等因素,因此,对于内部网络而言,安全威胁存在的形式也多种多样,需要在信息安全系统的设计过程中予以重点解决。
安全威胁主要体现在:
● 病毒入侵
在过去的数十年中,电脑病毒已经从简单的感染一台电脑上的其他文件发展到能够破坏整个网络的复杂的蠕虫和混合型攻击。当今的电脑网络架构比以往更容易受到病毒的侵袭。
越来越多的网络互联起来,那些可以快速传播的病毒能够以惊人的速度感染上百万`台的电脑。
脚本语言的出现使得编程越来越简单,即使是一个没有多少经验的黑客都能写出可能造成很大损失的恶意代码。
黑客对于绕过防病毒防御入侵网络也变得越来越熟练。
蠕虫病毒一般通过在互联网环境下复制自身进行传播,可以在很短的时间内蔓延全球,电子邮件、无口令或者弱口令的局域网共享、存在漏洞的服务器都是蠕虫病毒传播的载体。
蠕虫病毒会在网络的扫描过程中发送大量的数据包,造成网络拥塞,影响网络通信速度。
病毒分为:
传播模块:负责蠕虫的传播。
扫描模块:负责探测存在漏洞的主机
攻击模块:按漏洞攻击步骤自动攻击找到的对象
复制模块:通过原主机和新主机的交互将蠕虫程序复制到新主机并启动
隐藏模块:侵入主机后,负责隐藏蠕虫程序
目的功能模块:实现对计算机的控制、监视和破坏
总之,木马 黑客攻击与蠕虫传播技术融合,造成网络巨大的安全危机.我们不能简单通过单纯的杀病毒网关来进行对不同网络之间的安全威胁进行控制,而是一个具备防病毒、防止病毒邮件、具备入侵防护功能、防火墙的保护功能、强审计功能的综合网关。
● P2P应用
现今网络中,BT下载、电骡等应用方便了用户,但同时也占用了大量带宽,导致用户关键服务不能得到保障,伴随着P2P,也产生了类似的病毒及黑客攻击,对P2P应用进行合理的引导是我们需要考虑的问题之一。
●黑客的攻击
由于教育网与Internet区域通过TCP/IP协议的方式进行连接,,由于服务器本身包括操作系统都会存在着安全漏洞,因此如果没有有力的安全保护,服务器主机所提供的网络服务极易被攻击。
攻击包括对于服务器所提供的服务内容,进行攻击和恶意篡改,以及对于服务本身的攻击(如DOS、DDOS攻击),前者不但会影响业务系统的正常工作。同时如果管理不善,教育城域网信息系统服务器会成为黑客对其它网络进行攻击的跳板,所带来的后果也是极为严重的。
● 非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
● 信息泄漏或丢失
信息泄漏或丢失是指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
● 破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
● 内部攻击
在内部网络中,也同样要面对黑客和内部工作人员对系统发起的攻击,根据国外权威部门的评测报告,对于系统的威胁有80%是来自于系统内部,和外部网络所面对的攻击不同,在内部网络,系统主要面对黑客针对系统硬件、操作系统等的漏洞而发起的对于系统本身的攻击。
2.1.3网络安全需求建议
通过以上分析我们可以看出做好教育城域网网络系统安全防护需要建设几个安全子系统即:访问控制子系统,病毒防范子系统;入侵防范子系统,P2P控制子系统;内网监控子系统,此外还要对网络进行一定网络安全优化,进行安全服务
访问控制子系统建议:访问控制子系统是最为有效的边界控制。在众多的网络安全解决方案有人也称访问控制子系统,一般采用防火墙或具备防火墙功能的全功能网关实现。对于教育城域网信息网采用UTM统一威胁管理系统来作为内部和外部不同安全域之间相互的隔离边界,安全防御能力可以提高90%。防止网络攻击跨过网络接入层到达网络核心或者是数据应用核心。我们将在内部网和外部网的出口部署千兆骨干级防火墙进行边界防范控制。
病毒防范子系统:目前教育城域网面临的巨大安全威胁来自于网络病毒。现在大多数病毒是通过网络进行传播,攻击是越来越广泛,危害也越来越大,对它们的控制主要从三个方面:一、对病毒客户端进行统一的管理;二、“病从口入”对网络入口的所有信息进行病毒过滤,能够有效的控制病毒,将其限制在一个小的范围之内。考虑到网络链路防病毒的必要性,我们将在网络出口部署UTM统一威胁系统网关,此系统具备防火墙功能及防病毒功能。
入侵防御子系统:入侵防御子系统是一个网络防止黑客入侵的眼睛。健全该子系统有利于教育城域网信息网对网络安全进行有效的可视化的网络安全管理。基于网络的入侵防御系统可以对黑客的穿过防火墙的入侵行为、或内部人员的违规操作,进行基于规则的检测报警和实时阻断,鉴于很多攻击和扫描来自于不同安全区域网络,部署在安全边界的UTM统一威胁管理系统具备此功能。
P2P控制子系统 :对于外部接入网来说,P2P应用经常占用大量网络资源,阻塞带宽,并且这些邮件携带大量病毒,感染终端,影响工作效率。因此我们建议安全边界一定要部署UTM统一威胁管理系统,对P2P应用进行控制,结合流量整形进行安全控制。
内网监控子系统:内网安全是我们关注的重点之一。现今网络由于管理员缺乏对终端设备的进程、补丁情况、病毒威胁等细节的了解,对网络流量缺乏监控及日志记录,安全管理处于无序状态,趋需在内网进行加强管理。 在系统建设的同时,考虑到网络设备和安全设备之间的兼容性和联动性。避免产生设备之间的孤立,因为全网安全离不开所有终端和网络节点的综合防御,综合控制和管理,避免安全环节的短板出现。
2.2. 系统的信息安全风险及需求建议
2.2.1系统安全风险分析
教育城域网内部有很多应用子系统,这些子系统的运行依靠于服务器系统的操作系统。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door。而且系统本身必定存在安全漏洞。这些"后门"或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。对于威胁系统安全另外一个重要因素就是网络病毒,如何使系统远离病毒困扰,也是我们需要考略的一个问题。因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。
2.2.2系统安全需求建议
对于系统层的安全问题和应用层具有一定的关联性。也就是应用系统的安全型直接影响到了系统主机的安全性。在教育城域网系统中系统平台的安全建设主要包括以下几个方面:
要有系统脆弱性分析手段:系统脆弱性分析措施要求教育城域网有一套可以自己评估系统的安全性的工具。通过该工具,我们可以经常对重要的应用系统、网络设备、大型数据库、进行安全扫描分析以发现系统的漏洞,并提出相应的安全补救措施。
建立系统加固制度:对于已发现的系统漏洞教育城域网要及时的进行系统加固,教育城域网要形成一个定期的安全检测与系统加固制度,因为系统的安全漏洞在不断出现,要保证系统的长治久安就必须有目的,有步骤的建立个制度去规范检测漏洞、修补漏洞,进行系统增强的行为。
规范系统使用管理:包括对加强系统口令安全比如Windows密码设成14位从口令的强度上保证系统安全。对文件的权限要由正确的严格设置尤其是涉及系统的安全文件更应注意安全设置,不给黑客越权访问造成机会。对于系统中某些危险的命令行命令要进行删除或移动位置等。
主机监控措施:通过必要的管理措施对于关键主机服务器进行基于系统运行状态、日志、异常行为检测。必要的管理措施主要是指部署基于主机的入侵检测系统或使用集中安全管理平台对全网重要的主机采取监控措施。
主机日志要审计:教育城域网信息网中有很多重要的系统业务主机,主机的日志系统记录着系统运行和安全的重要日志,有序的整理分析这些日志合理的利用对提高全网的安全性具有重要的作用。
系统的高可用性:对于关键系统,关键业务主机采取双链路,双机热备的工作方式另外还要有一定的容灾计划;对于关键系统为了保证其高安全性可以采取一些身份认证的手段和措施。这一点目前教育城域网已经建立。
2.3应用的网络安全
2.3.1应用安全风险分析
教育城域网信息网络的应用系统较多,主要采取的是B/S和C/S相结合的应用结构,系统的健壮性主要依靠基于WEB的网络安全和小型机自身的安全,目前阶段教育城域网的应用系统可能面临的主要安全风险有:
● 非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
● 信息泄漏或丢失
信息泄漏或丢失是指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
● 破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
● 内部攻击
在内部网络中,也同样要面对黑客和内部工作人员对系统发起的攻击,根据国外权威部门的评测报告,对于系统的威胁有80%是来自于系统内部,和外部网络所面对的攻击不同,在内部网络,系统主要面对黑客和内部工作人员针对系统硬件、操作系统等的漏洞而发起的对于系统本身的攻击。
2.3.2应用安全需求建议
对于应用的安全建议有以下几个方面:
有效地建立信息资源标记、加密存储和保管机制。
建立全网的数据备份中心,有效地建立数据的本地在线备份以及异地远程备份的机制,确保数据在意外情况下的及时恢复,建立灾难和应急相应机制。
实时监控数据库以及应用系统的关键性操作,并且对意外事件提供反应措施,从而进一步增加对网络及信息资源的可控性;
通过网络安全综合管理系统,对关键应用和业务系统的运行状态进行监管,及时发现并排除应用故障问题,保障业务的连续性。
在应用程序设计方面,应注意以下几点:
应用系统设置单一访问入口,不留“后门”;
基于角色的授权机制;
实现统一的用户管理;
保证合法用户只能访问已被授权的资源;
加强安全检测及结果分析;
提供全面的安全操作指南或帮助。
应用系统从规划开始就必须考虑安全需求,但是目前新的应用系统还有许多未明确的因素,因此,我们只能从过程控制、应用程序设计方面进行上述的一些初步的、笼统的分析。
2.4管理的网络安全
2.4.1管理安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地不能是任何人都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
2.4.2管理安全需求建议
由于网络的复杂性,必然导致络安全防护的复杂性。“技术与管理并重”这句话是对网络安全非常客观的描述。任何网络仅在技术上是做不到完整的安全的,教育城域网信息网还要建立一套科学、严密的网络安全管理体系,
确立管理框架
考虑到管理体系建立需要有详细的组织架构、人员配备及网络结构等方面的信息,所以此建议书中仅就网络安全规范提供一个框架性建议。
根据管理规范内容的重要程度和安全管理的复杂性特点,我们认为管理规范应包括技术、人员与组织结构、应急事件、安全响应服务、安全培训五个方面的内容,如下图:
3. 总体规划及解决方案
3.1全面的网关解决方案及部署
针对目前教育城域网全省网络互连的现状,我们认为可以考虑采用综合网关及防火墙的方式来加以解决,如下:
一、 在教育城域网出口处部署千兆UTM统一威胁管理系统,防御威胁于网络之外,保证内部安全。防御网关可以部署在内部网及外网的入口,通过扫描进入网络的数据,确保进入网络的数据是安全的,从而可以防御病毒于网络边界之外,保证网络的安全。
二、 目前网上采用基于内容的攻击越来越普及,因而网络的发展也使病毒传播变得非常容易。采用UTM统一威胁管理系统方案,并通过扫描网络中传播的数据及垃圾邮件中的病毒,主动地发现网络病毒,从而阻止网络病毒的传播,能够为网络管理员提供主动的网络病毒报告,同时为其提供更丰富的网络信息支持。
三、 不同机构之间的业务往来越来越频繁,可能导致频繁的病毒攻击。同时电子邮件也已成为常用的交流手段之一,而采用网关防御病毒的方案是目前解决病毒泛滥和病毒邮件攻击的最佳手段之一。
四、 来自于不同网络之间的网络攻击我们可以采用网关的入侵防御功能来解决,防范Ping of Death,Tear Drop分片包攻击及Winnuke、Land、ICMP Flood、UDP Flood、Port Scan、Address Sweep等多种攻击。
五、 P2P及IM软件影响日常的工作,占用大量带宽,可以利用安全网关对P2P软件进行控制。
六、 网络安全防范来自未雨绸缪,我们需要对网络有全面的安全分析,可以通过安全网关对进出数据及日志给出分析结果,提供安全风险事件关联分析,能够动态预测网络风险趋势和变化。
七、 我们需要在内网部署DCNIDS-1800-G2神州数码入侵检测系统,它可以使用户及时发现各类入侵行为(黑客入侵、拒绝服务、蠕虫泛滥、内部的可疑行为等),发现系统的脆弱性问题(如系统漏洞、弱口令等),以及加强内部网络运行状况的管理(对通信内容管理、流量监测、访问控制监测、数据回放取证等)。
八、 在监控的同时,我们要对所有进出的数据进行安全审计,及时过滤掉非法、黄色、反动信息,部署一套DCBI-NETLOG日志记录系统。
九、 部署DCBI-3000接入认证系统实现安全接入,对用户进行统一的身份认证,将用户的IP、MAC、用户和口令进行捆绑,实时发现问题实时定位,并在客户端限制P2P等应用带宽。
十、 在内网部署一套内网安全管理系统-防水墙,它可以实时监控客户端进程,阻断非法外连,监控硬件信息,监视终端是否具备防病毒措施并提供强制性的病毒库更新,系统补丁的更新。
十一、 神州数码安全设备及网络设备具备整网安全的一致性及安全控制,在接入汇聚层具有大量的攻击,网络设备的参与和防护控制。网络设备就可以和安全设备具有统一的联动机制,在发现攻击之后,安全设备不仅可以自己切断边界连接,还可以通知网络设备进行接入汇聚层用户行为和会话切断,从而在安全问题发生的根源就将问题解决。
十二、 三分技术,七分管理,我们通过部署DCFW-GSM及DCNIDS-GSM系统对全网UTM/防火墙及IDS系统进行统一管理,集中分发策略,提高网络管理人员对安全事件的反映效率。统一审计,了解全网安全威胁,并整体的调整策略。
3.2整体方案部署
安全网关部署在网络边界。网关是最合理和有效的部署位置,可以在病毒和威胁进入网络并阻塞网络之前就清除它。同时提供对多种应用的过滤和优化支持,保障应用。在各网络设备核心部署DCNIDS神州数码入侵检测系统及NETLOG审计系统,保证在边界防御、内网监测、审计层面的安全性。DCNIDS-G2分别用来监测教育局内部网及内部服务器区域,另一台用来监测外网出口攻击以及和DCFW-1800E-G-UTM统一威胁管理系统进行安全联动。在内网部署防水墙,使网络管理人员对内部主机有全面的掌控,阻断非法外连,给未达到安全标准的主机提供自动提供系统补丁及防病毒库更新,使整网安全智能、可控。
除了产品和管理之外,我们推荐对整网进行安全评估,进行安全服务。管理可以有效弥补技术的不足,而安全服务在整网层面提升了管理和技术,通过评估了解各阶段网络存在的安全风险,提供相关解决方案规避安全威胁,从而完整的实现了全网安全,保障应用。另外,我们还要通过对人员的培训,提高网络安全整体管理水平。详见后附录培训计划。
4. 产品配置清单
DCSM-3000防水墙 功能特性:
1. IP地址管理
2. 客户端安全管理
2.1. 资产信息管理模块
2.2. 软件进程监控模块
2.3. 外设与端口监控模块
2.4. 非法外联监控模块
2.5. 系统补丁管理模块
2.6. 文件审计模块
硬件:双至强 2.8G, 1G,40G,三个百兆
神州数码统一威胁管理系统(千兆): DCFW-1800E-G-UTM
性能参数:吞吐量8G、并发连接数1,500,000、每秒新建连接数 77,000
功能简介:神州数码DCFW-1800E-UTM千兆统一威胁管理系统集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关、P2P控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持) 为一体。专为运营商级网络的功能性用户而设计
物理参数:内置4个10/100/1000以太网电口,支持4个SFP插槽,接口模块类型支持单模、多模光纤,千兆电口
DCBI-3000(EN) 用户安全接入综合管理系统(硬件,实现AAA服务器及扩展功能)。
功能特性:包含2000用户,最大支持10万用户。支持增强802.1X、增强Web、PPPoE等认证方式,后台运行在Linux服务器上,管理前台可运行在Windows、Linux等系统上,支持MySQL数据库。
物理特性:带两个千兆网络电口,硬件认证加速处理,2U高可上机架,(CPU: P4 2.8G,MEM:1G,HardDisk:160G)
DCBI-NetLog(EN) 上网行为日志系统(EN版)。
功能特性:上网行为记录功能,可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了上网行为的安全审记数据源,并实现各种统计功能。与DCBA-3000W联动,上网行为记录可直接映射到上网者的用户帐号,而不只是简单的记录到上网者源IP。缺省启动数据收敛功能。
物理特性:2U高度可上机架,自带两个千兆电口,160G IDE硬盘,4000点网络可存储180天日志。
千兆入侵检测系统:DCNIDS-1800-G2 千兆入侵检测系统(包含管理软件1套,硬件检测引擎1台)
性能参数:每秒最大抓包数:700,000pps(64byte包长)
² 每秒能监控的新建TCP连接数: 26,000/s
² 每秒能监控的新建HTTP连接数:16,000/s
² 能监控的最大TCP并发连接数: 1,500,000
² 能监控的最大HTTP并发连接数:800,000
网络接口:3个千兆接口,其中2个监控端口,1个管理端口
DCFW-GSM 防火墙全局安全管理系统
主要功能: 强大的防火墙集中管理工具 支持大规模分布式部署 安全策略集中配置管理和分发 用户分权管理 实时的全局日志监控和分析 全面的安全设备实时运行状态和性能监控 全面支持3D-SMP
DCFW-GSM-LICENSE 支持的License数目(可支持的设备数目),可递增购买
DCNIDS-GSM 入侵检测全局安全管理系统
主要功能: 入侵检测设备集中管理工具 支持大规模分布式部署 安全策略集中配置管理和分发 实时的网络监控和分析 全面的安全设备实时运行状态和性能监控,全面支持3D-SMP
DCNIDS-GSM-LICENSE 支持的License数目(可支持的设备数目),可递增购买
系统安全评估服务
5. 附件 产品介绍
5.1 DCFW-1800E-G-UTM
神州数码运营商级统一威胁管理系统
神州数码DCFW-1800E-G-UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN(IPSEC、PPTP、L2TP、SSL VPN)网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关、BT控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持) ,十二大功能为一体。采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在千兆环境下的高性能。
DCFW-1800E-G-UTM为千兆运营商级产品,具有4个10/100/1000M以太网接口并具有4个SFP插槽。用户可以根据网络需求拥有更多选择。 DCFW-1800S/E-UTM适合于各种用户的安全需求,在未部署安全边界产品的网络中提供全面的安全防护,而在已有FW/IDS/IPS的网络中提供更为强大的病毒防护、垃圾邮件防护、流量整形、BT控制、VPN等应用功能。
产品规格
技术参数
产品 DCFW-1800E-G-UTM
VPN网关 提供对IPSEC、PPTP和L2TP等多种VPN连接的完整支持
防火墙 支持
防拒绝服务网关 支持
流量整形管理 支持
P2P控制 支持bittorrent,edonkey,mute,poco等P2P软件控制。
IM过滤 支持MSN,QQ,Yahoo,IRC,AIM等识别和过滤
防病毒 采用SOPHOS引擎,支持19万余种病毒的过滤检测,支持HTTP、SMTP、POP3、FTP、IMAP等协议的防毒过滤
入侵防护 支持
防垃圾邮件网关 采用Mailfilter防垃圾邮件引擎,支持专业的垃圾邮件防护
用户身份认证网关 提供强大的Radius本地认证功能
审计网关 提供丰富的日志和审计方式方便用户的审核
高可靠性(HA) 支持
最大并发连接数 1,500,000
网络吞吐量 8G
VPN隧道数 4096
VPN拨号用户 512
物理规格
机型 DCFW-1800E-G-UTM: 2U可上架标准设备
网络接口类型/数量 4个10/100/1000M以太网接口+4SFP插槽
Console口 RJ45
存储容量 80G
MTBF DCFW-1800E-G-UTM:10万小时
辐射标准 符合FCC Part15,Class A, EN55022(CISPR22,Class A)
电源 120~240V,50/60Hz,自适应
尺寸/重量 DCFW-1800S/E: 高度:4.45cm, 深度:30cm , 宽度:44.7cm;重量:8.5kg
DCFW-1800E-G-UTM: 高度:8.9cm, 深度:30cm , 宽度:44.7cm,重量:11kg
工作环境 0℃~50℃;高度3000米;相对湿度10%~90%非冷凝
5.2 DCNIDS-1800-G/G2
运营商级千兆入侵检测系统
神州数码DCNIDS-1800-G/G2千兆入侵检测系统是专门为大型网络定制的基于网络的动态入侵检测系统。它采用专门定制的硬件平台,能够在高负载的千兆网络上提供高水平的性能。它采用先进的多层分布式体系结构,适应运营商级千兆网络的安全和管理需要。在网络和主机层面,将基于攻击特征分析和协议分析的入侵检测技术完美结合,监控分析网络传输和系统事件,自动检测和响应可疑行为,使用户在系统受到危害之前截断并防范非法入侵和内部网络误用,最大程度降低安全风险,保护企业网络系统安全。它同时具有入侵检测、实施监控响应、协议还原,流量统计分析等各种功能,适合运营商级网络对网络的监测,并可以和神州数码防火墙进行安全联动。
通过部署神州数码DCNIDS-1800G/G2入侵检测系统,给用户的网络安全提供了可靠的保障。它可以使用户及时发现各类入侵行为(黑客入侵、拒绝服务、蠕虫泛滥、内部的可疑行为等),发现系统的脆弱性问题(如系统漏洞、弱口令等),以及加强内部网络运行状况的管理(对通信内容管理、流量监测、访问控制监测、数据回放取证等)。
主要特性
世界领先的智能状态协议分析技术,结合模式匹配、异常统计来检测网络误用行为和异常活动,提供多处理器并行、多进程增强和多线程优化的技术,使IDS的检测效率达到一个前所未有的高度
自身高度的稳定性和高安全性
支持千兆位数据流量,满足电信级骨干网需求,在底层采用硬件加速包截获技术,大幅度提高监听网卡的抓包能力。在网络环境中,即使网络负载达到1000Mbps,神州数码DCNIDS-1800-G/G2千兆入侵检测系统也能确保不丢失一个包
准确识别所有已知攻击,并可识别未知攻击,可以防御IDS躲避技术
全面检测 强大的漏洞库进行支撑识别 并支持用户自定义签名,支持引入第三方签名
神州数码DCNIDS-1800-G/G2千兆入侵检测系统目前支持多达30种的主流应用层协议,遥遥领先与其他IDS品牌
高可靠性 所有组件都支持HA冗余配置,保证不漏掉任何的攻击
低误报率 采用状态协议分析技术,同时允许用户灵活地调节签名的参数和创建新的签名,大大降低了误报率,提高了检测的准确性。
简单易用 安装简单,升级方便,查询灵活,并能生成适合各级管理任意需要的多种格式的报告
强大的事件分析功能,记录警报信息,连接细节、URL、FTP请求,邮件信息等
探测灵活 产品可以按网段检测 方便实施和部署
自身安全性高 隐藏式旁路方式监听,对入侵者和业务网络透明存在 所有组件之间都采用加密
零资源占用 设备不占用网络带宽资源和其它业务主机的系统资源
安全联动 系统可以实现和防火墙、DCBI管理中心及其他安全设备进行的紧密联动配合,支持OPSEC联动协议
支持在线升级,升级过程中,系统仍能检测到事件
5.3 DCFW/NIDS-GSM神州数码防火墙/UTM/入侵检测全局管理系统
DCFW/NIDS-GSM(Global Security Manager)是神州数码专门针对大型网络安全系统管理而开发的一套软件系统.其目标是实现统一的安全管理平台,以分析安全设备(防火墙/UTM/入侵检测系统)在企业网络系统中的位置为基点,以管理企业全网系统的安全策略为核心,以及时响应安全事件为激励,实现全网安全策略的统一管理、配置与分发,完成安全设备有效配置和实时监控,提供全网范围内安全事件与网络信息的集中、分析、审计与报告功能,发现潜在的攻击征兆和安全发展趋势,确保任何安全事件、事故得到及时的响应和处理,与安全策略形成灵活高效的双向互动通道,保证网络系统的安全最大化。为政府、银行、大型企业的IT部门进行防火墙/UTM/入侵检测安全设备管理、事件安全审计与网络运行趋势分析提供有力工具。
DCFW/NIDS-GSM为软件形态,系统采用多层分布式体系结构,由下列程序组件组成:
管理控制台(Console)
集中管理器(GSM)
事件收集器(LEC)
日志服务器(LogServer)
报表管理器(Report)
数据库(SQL Server or MSDE)
DCFW/NIDS-GSM目前用于管理DCFW-1800全系列防火墙,DCFW-1800S/E-UTM统一威胁管理系统,DCNIDS-1800系列入侵检测。支持3D-SMP
- 相关文章
- 最新文章
- 局域网受到ARP欺骗攻击的解决办法[04-28]
- 会议室设计方案[04-28]
- 视频会议解决方案[03-22]
- 办公信息化解决方案[03-22]
- 电子政务网络安全解决方案[03-22]
- 校园网络安全解决方案[03-22]
