某電力網(wǎng)絡(luò)安全項(xiàng)目技術(shù)規(guī)范書.doc

華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 1 5 1 附件附件 1 華能電力華能電力網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 項(xiàng)目技術(shù)規(guī)范書項(xiàng)目技術(shù)規(guī)范書 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 2 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 1 1 背景介紹背景介紹 3 1 1 項(xiàng)目總述 3 1 2 網(wǎng)絡(luò)環(huán)境總述 3 1 3 信息安全方案的組成 4 1 3 1 信息安全產(chǎn)品的選型原則 4 1 3 2 網(wǎng)絡(luò)安全現(xiàn)狀 5 1 3 3 典型的黑客攻擊 5 1 3 4 網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù) 7 1 3 5 網(wǎng)絡(luò)安全解決方案的組成 7 1 3 6 超高安全要求下的網(wǎng)絡(luò)保護(hù) 9 2 安全架構(gòu)分析與設(shè)計(jì)安全架構(gòu)分析與設(shè)計(jì) 11 2 1 網(wǎng)絡(luò)整體結(jié)構(gòu) 11 2 2 集中管理和分級(jí)管理 12 2 3 華能電力網(wǎng)絡(luò)安全系統(tǒng)管理中心網(wǎng)絡(luò) 13 2 4 各地方公司和電廠網(wǎng)絡(luò)設(shè)計(jì) 13 2 5 和 INTERNET相連的外部網(wǎng)絡(luò)設(shè)計(jì) 14 3 產(chǎn)品選型產(chǎn)品選型 15 3 1 防火墻的選型 15 3 1 1 方正數(shù)碼公司簡(jiǎn)介 15 3 1 2 產(chǎn)品概述 16 3 1 3 系統(tǒng)特點(diǎn) 16 3 1 4 方正方御防火墻功能說明 20 3 2 入侵檢測(cè)產(chǎn)品選型 27 3 2 1 啟明星辰公司介紹 28 3 2 2 入侵檢測(cè)系統(tǒng)介紹 28 3 2 3 天闐 tian 黑客入侵檢測(cè)系統(tǒng)功能特點(diǎn) 29 3 3 防病毒產(chǎn)品的選型 31 3 3 1 病毒介紹 31 3 3 2 為何使用 CA 公司的 Kill2000 網(wǎng)絡(luò)防病毒 35 3 3 3 KILL 的技術(shù)和優(yōu)勢(shì) 36 3 3 4 KILL 與其他同類產(chǎn)品的比較的相對(duì)優(yōu)勢(shì) 38 3 3 5 KILL 所獲得的權(quán)威機(jī)構(gòu)認(rèn)證 39 3 3 6 KILL 病毒防護(hù)系統(tǒng)部署方案 39 4 工程實(shí)施方案工程實(shí)施方案 42 4 1 測(cè)試及驗(yàn)收 42 4 1 1 測(cè)試及驗(yàn)收描述 42 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 3 4 2 系統(tǒng)初驗(yàn) 42 4 2 1 功能測(cè)試 42 4 2 2 性能測(cè)試 43 5 售后服務(wù)和技術(shù)支持售后服務(wù)和技術(shù)支持 43 5 1 為華能電力網(wǎng)絡(luò)提供安全評(píng)估 43 5 2 售后服務(wù)內(nèi)容 44 5 3 保修 45 5 4 保修方式 45 5 5 保修范圍 46 5 6 保修期的確認(rèn) 46 5 7 培訓(xùn)安排 47 5 8 全國(guó)服務(wù)網(wǎng)絡(luò) 48 5 9 場(chǎng)地及環(huán)境準(zhǔn)備 48 5 9 1 常規(guī)要求 48 5 9 2 機(jī)房電源 地線及同步要求 48 5 9 3 設(shè)備場(chǎng)地 通信 49 5 9 4 機(jī)房環(huán)境 49 5 10 驗(yàn)收清單 50 5 10 1 設(shè)備開箱驗(yàn)收清單 50 5 10 2 用戶信息清單 51 5 10 3 用戶驗(yàn)收清單 52 6 方案整體優(yōu)勢(shì)方案整體優(yōu)勢(shì) 52 7 方正方御防火墻榮譽(yù)證書方正方御防火墻榮譽(yù)證書 54 附錄一 北京威通網(wǎng)訊網(wǎng)絡(luò)技術(shù)有限公司介紹附錄一 北京威通網(wǎng)訊網(wǎng)絡(luò)技術(shù)有限公司介紹 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 4 1 背景介紹背景介紹 1 1 項(xiàng)目總述項(xiàng)目總述 本項(xiàng)目是華能國(guó)際電力股份有限公司為其內(nèi)網(wǎng)及下屬電廠作網(wǎng)絡(luò)安全保護(hù) 中的防火墻選型和實(shí)施部分 關(guān)于入侵檢測(cè)系統(tǒng)和防病毒系統(tǒng) 我們建議使用啟 明星辰的天闐黑客入侵檢測(cè)與預(yù)警系統(tǒng)和冠群金辰的 kill 網(wǎng)絡(luò)防病毒系統(tǒng) 華 能國(guó)際電力股份有限公司網(wǎng)絡(luò)整體結(jié)構(gòu)是 個(gè)通過 WAN 連接的二級(jí)網(wǎng)絡(luò) 整 個(gè)網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)兩個(gè)網(wǎng) 內(nèi)外網(wǎng)之間物理隔離 網(wǎng)絡(luò)中心與下屬 15 個(gè)電 廠通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸 在網(wǎng)絡(luò)每一級(jí)的節(jié)點(diǎn)上具有一個(gè)局域網(wǎng) 在二級(jí)網(wǎng) 絡(luò)上運(yùn)行著電力業(yè)務(wù)系統(tǒng) 辦公自動(dòng)化服務(wù)等 1 2 網(wǎng)絡(luò)環(huán)境總述網(wǎng)絡(luò)環(huán)境總述 華能電力網(wǎng)絡(luò)安全系統(tǒng)是非涉密的內(nèi)部業(yè)務(wù)工作處理網(wǎng)絡(luò) 傳輸 處理 查詢工作中非涉密的信息 該網(wǎng)由與網(wǎng)絡(luò)中心和 15 個(gè)電廠單位組成 在給地方 局域網(wǎng)出入口安裝防火墻 在關(guān)鍵部位安放入侵檢測(cè)系統(tǒng) 而且所有的服務(wù)器 和普通 PC 機(jī)需要安裝防病毒軟件 而且這些防火墻和入侵檢測(cè)系統(tǒng)需要集中 在數(shù)據(jù)中心進(jìn)行管理和審計(jì) 1 3 信息安全方案的組成信息安全方案的組成 1 3 1 1 3 1 信息安全產(chǎn)品的選型原則信息安全產(chǎn)品的選型原則 華能電力網(wǎng)絡(luò)安全系統(tǒng)是一個(gè)要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng) 若干重 要的公文信息在網(wǎng)絡(luò)傳輸過程中不可泄露 如果數(shù)據(jù)被黑客修改或者刪除 那 么就會(huì)嚴(yán)重的影響工作 所以華能電力網(wǎng)絡(luò)安全系統(tǒng)安全產(chǎn)品的選型事關(guān)重大 要提到國(guó)家戰(zhàn)略的高度來衡量 否則一旦被黑客或者敵國(guó)攻入 其代價(jià)將是不 能想象的 華能電力網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)方案必須遵循如下原則 全局性原則 安全威脅來自最薄弱的環(huán)節(jié) 必須從全局出發(fā)規(guī) 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 5 劃安全系統(tǒng) 華能電力網(wǎng)絡(luò)安全系統(tǒng)安全體系 遵循中心統(tǒng)一規(guī)劃 各 電廠分別實(shí)施的原則 綜合性原則 網(wǎng)絡(luò)安全不單靠技術(shù)措施 必須結(jié)合管理 當(dāng)前 我國(guó)發(fā)生的網(wǎng)絡(luò)安全問題中 管理問題占相當(dāng)大的比例 在各地方建立 網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系 均衡性原則 安全措施的實(shí)施必須以根據(jù)安全級(jí)別和經(jīng)費(fèi)限度 統(tǒng)一考慮 網(wǎng)絡(luò)中相同安全級(jí)別的保密強(qiáng)度要一致 節(jié)約性原則 整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變?cè)瓉砭W(wǎng)絡(luò)的 設(shè)備和環(huán)境 以免資源的浪費(fèi)和重復(fù)投資 集中性原則 所有的防火墻產(chǎn)品要求在數(shù)據(jù)中心可以進(jìn)行集中 管理 這樣才能保證在數(shù)據(jù)中心的服務(wù)器上可以掌握全局 角色化原則 防火墻產(chǎn)品在管理上面不僅在數(shù)據(jù)中心可以完全 控制外 在地方還需要分配適當(dāng)?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改 和查看防火墻策略和審計(jì) 目前 很多公開的新聞表明美國(guó)國(guó)家安全局 NSA 有可能在許多美國(guó)大 軟件公司的產(chǎn)品中安裝 后門 其中包括一些應(yīng)用廣泛的操作系統(tǒng) 為此德國(guó) 軍方前些時(shí)候甚至規(guī)定在所有牽涉到機(jī)密的計(jì)算機(jī)里 不得使用美國(guó)的操作系 統(tǒng) 作為信息安全的保障 我們?cè)诎踩a(chǎn)品選型時(shí)強(qiáng)烈建議使用國(guó)內(nèi)自主開發(fā) 的優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品 將安全風(fēng)險(xiǎn)降至最低 在為各安全產(chǎn)品選型時(shí) 我們立足國(guó)內(nèi) 同時(shí)保證所選產(chǎn)品的先進(jìn)性及可 靠性 并要求通過國(guó)家各主要安全測(cè)評(píng)認(rèn)證 1 3 2 1 3 2 網(wǎng)絡(luò)安全現(xiàn)狀網(wǎng)絡(luò)安全現(xiàn)狀 Internet 正在越來越多地融入到社會(huì)的各個(gè)方面 一方面 隨著網(wǎng)絡(luò)用戶成 分越來越多樣化 出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁 另一方面 隨 著 Internet 和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展 Internet 越來越深地滲 透到各行各業(yè)的關(guān)鍵要害領(lǐng)域 Internet 的安全包括其上的信息數(shù)據(jù)安全 日益 成為與政府 軍隊(duì) 企業(yè) 個(gè)人的利益休戚相關(guān)的 大事情 尤其對(duì)于政府和 軍隊(duì)而言 如果網(wǎng)絡(luò)安全問題不能得到妥善的解決 將會(huì)對(duì)國(guó)家安全帶來嚴(yán)重 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 6 的威脅 2000 年二月 在三天的時(shí)間里 黑客使美國(guó)數(shù)家頂級(jí)互聯(lián)網(wǎng)站 Yahoo Amazon eBay CNN 陷入癱瘓 造成了十幾億美元的損失 令美 國(guó)上下如臨大敵 黑客使用了 DDoS 分布式拒絕服務(wù) 的攻擊手段 用大量 無用信息阻塞網(wǎng)站的服務(wù)器 使其不能提供正常服務(wù) 在隨后的不到一個(gè)月的 時(shí)間里 又先后有微軟 ZDNet 和 E TRADE 等著名網(wǎng)站遭受攻擊 國(guó)內(nèi)網(wǎng)站也未能幸免于難 新浪 當(dāng)當(dāng)書店 EC123 等知名網(wǎng)站也先后受 到黑客攻擊 國(guó)內(nèi)第一家大型網(wǎng)上連鎖商城 IT163 網(wǎng)站 3 月 6 日開始運(yùn)營(yíng) 然 而僅四天 該商城突遭網(wǎng)上黑客襲擊 界面文件全部被刪除 各種數(shù)據(jù)庫遭到 不同程度的破壞 致使網(wǎng)站無法運(yùn)作 客觀地說 沒有任何一個(gè)網(wǎng)絡(luò)能夠免受安全的困擾 依據(jù) Financial Times 曾做過的統(tǒng)計(jì) 平均每 20 秒鐘就有一個(gè)網(wǎng)絡(luò)遭到入侵 僅在美國(guó) 每年由于網(wǎng) 絡(luò)安全問題造成的經(jīng)濟(jì)損失就超過 100 億美元 1 3 3 1 3 3 典型的黑客攻擊典型的黑客攻擊 黑客們進(jìn)行網(wǎng)絡(luò)攻擊的目的各種各樣 有的是出于政治目的 有的是員工 內(nèi)部破壞 還有的是出于好奇或者滿足自己的虛榮心 隨著 Internet 的高速發(fā) 展 也出現(xiàn)了有明確軍事目的的軍方黑客組織 在典型的網(wǎng)絡(luò)攻擊中 黑客一般會(huì)采取如下的步驟 自我隱藏自我隱藏 黑客使用通過 rsh 或 telnet 在以前攻克的主機(jī)上跳轉(zhuǎn) 通過錯(cuò)誤 配置的 proxy 主機(jī)跳轉(zhuǎn)等各種技術(shù)來隱藏他們的 IP 地址 更高級(jí)一點(diǎn)的黑客 精通利用電話交換侵入主機(jī) 網(wǎng)絡(luò)偵探和信息收集網(wǎng)絡(luò)偵探和信息收集 在利用 Internet 開始對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊前 典型 的黑客將會(huì)對(duì)網(wǎng)絡(luò)的外部主機(jī)進(jìn)行一些初步的探測(cè) 黑客通常在查找其他弱點(diǎn) 之前首先試圖收集網(wǎng)絡(luò)結(jié)構(gòu)本身的信息 通過查看上面查詢來的結(jié)果列表 通 常很容易建立一個(gè)主機(jī)列表并且開始了解主機(jī)之間的聯(lián)系 黑客在這個(gè)階段使 用一些簡(jiǎn)單的命令來獲得外部和內(nèi)部主機(jī)的名稱 例如 使用 nslookup 來執(zhí)行 ls finger 外部主機(jī)上的用戶等 確認(rèn)信任的網(wǎng)絡(luò)組成確認(rèn)信任的網(wǎng)絡(luò)組成 一般而言 網(wǎng)絡(luò)中的主控主機(jī)都會(huì)受到良好的安全 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 7 保護(hù) 黑客對(duì)這些主機(jī)的入侵是通過網(wǎng)絡(luò)中的主控主機(jī)的信任成分來開始攻擊 的 一個(gè)網(wǎng)絡(luò)信任成員往往是主控主機(jī)或者被認(rèn)為是安全的主機(jī) 黑客通常通 過檢查運(yùn)行 nfsd 或 mountd 的那些主機(jī)輸出的 NFS 開始入侵 有時(shí)候一些重要 目錄 例如 etc home 能被一個(gè)信任主機(jī) mount 確認(rèn)網(wǎng)絡(luò)組成的弱點(diǎn)確認(rèn)網(wǎng)絡(luò)組成的弱點(diǎn) 如果一個(gè)黑客能建立你的外部和內(nèi)部主機(jī)列表 他 就可以用掃描程序 如 ADMhack mscan nmap 等 來掃描一些特定的遠(yuǎn)程弱點(diǎn) 啟動(dòng)掃描程序的主機(jī)系統(tǒng)管理員通常都不知道一個(gè)掃描器已經(jīng)在他的主機(jī)上運(yùn) 行 因?yàn)?ps 和 netstat 都被特洛伊化來隱藏掃描程序 在對(duì)外部主機(jī)掃描之后 黑客就會(huì)對(duì)主機(jī)是否易受攻擊或安全有一個(gè)正確的判斷 有效利用網(wǎng)絡(luò)組成的弱點(diǎn)有效利用網(wǎng)絡(luò)組成的弱點(diǎn) 當(dāng)黑客確認(rèn)了一些被信任的外部主機(jī) 并且同 時(shí)確認(rèn)了一些在外部主機(jī)上的弱點(diǎn) 他們就要嘗試攻克主機(jī)了 黑客將攻擊一 個(gè)被信任的外部主機(jī) 用它作為發(fā)動(dòng)攻擊內(nèi)部網(wǎng)絡(luò)的據(jù)點(diǎn) 要攻擊大多數(shù)的網(wǎng) 絡(luò)組成 黑客就要使用程序來遠(yuǎn)程攻擊在外部主機(jī)上運(yùn)行的易受攻擊服務(wù)程序 這樣的例子包括易受攻擊的 Sendmail IMAP POP3 和諸如 statd mountd pcnfsd 等 RPC 服務(wù) 獲得對(duì)有弱點(diǎn)的網(wǎng)絡(luò)組成的訪問權(quán)獲得對(duì)有弱點(diǎn)的網(wǎng)絡(luò)組成的訪問權(quán) 在攻克了一個(gè)服務(wù)程序后 黑客就要 開始清除他在記錄文件中所留下的痕跡 然后留下作后門的二進(jìn)制文件 使其 以后可以不被發(fā)覺地訪問該主機(jī) 目前 黑客的主要攻擊方式有 欺騙 通過偽造 IP 地址或者盜用用戶帳號(hào)等方法來獲得對(duì)系統(tǒng)的非授權(quán)使 用 例如盜用撥號(hào)帳號(hào) 竊聽 利用以太網(wǎng)廣播的特性 使用監(jiān)聽程序來截獲通過網(wǎng)絡(luò)的數(shù)據(jù)包 對(duì)信息進(jìn)行過濾和分析后得到有用的信息 例如使用 sniffer 程序竊聽用戶密碼 數(shù)據(jù)竊取 在信息的共享和傳遞過程中 對(duì)信息進(jìn)行非法的復(fù)制 例如 非法拷貝網(wǎng)站數(shù)據(jù)庫內(nèi)重要的商業(yè)信息 盜取網(wǎng)站用戶的個(gè)人信息等 數(shù)據(jù)篡改 在信息的共享和傳遞過程中 對(duì)信息進(jìn)行非法的修改 例如 刪除系統(tǒng)內(nèi)的重要文件 破壞網(wǎng)站數(shù)據(jù)庫等 拒絕服務(wù) 使用大量無意義的服務(wù)請(qǐng)求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬 CPU 處理 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 8 能力和 IO 能力 造成系統(tǒng)癱瘓 無法對(duì)外提供服務(wù) 典型的例子就是 2000 年 年初黑客對(duì) Yahoo 等大型網(wǎng)站的攻擊 黑客的攻擊往往造成重要數(shù)據(jù)丟失 敏感信息被竊取 主機(jī)資源被利用和 網(wǎng)絡(luò)癱瘓等嚴(yán)重后果 如果是對(duì)軍用和政府網(wǎng)絡(luò)的攻擊 還會(huì)對(duì)國(guó)家安全造成 嚴(yán)重威脅 1 3 4 1 3 4 網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù) 網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)就是創(chuàng)建一個(gè)完善的安全防護(hù)體系 對(duì)所有非 法網(wǎng)絡(luò)行為 如越權(quán)訪問 病毒傳播 惡意破壞等等 做到事前預(yù)防 事中報(bào) 警并阻止 事后能有效的將系統(tǒng)恢復(fù) 在上文對(duì)黑客行為的描述中 我們可以看出 網(wǎng)絡(luò)上任何一個(gè)安全漏洞都 會(huì)給黑客以可乘之機(jī) 著名的木桶原理 木桶的容量由其最短的木板決定 在 網(wǎng)絡(luò)安全里尤其適用 所以 我們的方案必須是一個(gè)完整的網(wǎng)絡(luò)安全解決方案 對(duì)網(wǎng)絡(luò)安全的每一個(gè)環(huán)節(jié) 都要有仔細(xì)的考慮 1 3 5 1 3 5 網(wǎng)絡(luò)安全解決方案的組成網(wǎng)絡(luò)安全解決方案的組成 針對(duì)前文對(duì)黑客入侵的過程的描述 為了更為有效的保證網(wǎng)絡(luò)安全 方正 數(shù)碼提出了兩個(gè)理念 立體安全防護(hù)體系立體安全防護(hù)體系和安全服務(wù)支持安全服務(wù)支持 首先網(wǎng)絡(luò)的安全決 不僅僅是一個(gè)防火墻 它應(yīng)是包括入侵測(cè)檢 IDS 防病毒等功能在內(nèi)的立體 的安全防護(hù)體系 其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護(hù)服 務(wù) 以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力 一個(gè)好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個(gè)部分組成 防火墻 對(duì)網(wǎng)絡(luò)攻擊的阻隔防火墻 對(duì)網(wǎng)絡(luò)攻擊的阻隔 防火墻是保證網(wǎng)絡(luò)安全的重要屏障 防火墻根據(jù)網(wǎng)絡(luò)流的來源和訪問的目 標(biāo) 對(duì)網(wǎng)絡(luò)流進(jìn)行限制 允許合法網(wǎng)絡(luò)流 并禁止非法網(wǎng)絡(luò)流 防火墻最大的 意義在網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略 有效的將復(fù)雜的網(wǎng)絡(luò)安全問題簡(jiǎn)化 大大降低管理成本和潛在風(fēng)險(xiǎn) 在應(yīng)用防火墻技術(shù)時(shí) 正確的劃分網(wǎng)絡(luò)邊界和 制定完善的安全策略是至關(guān)重要的 發(fā)展到今天 好的防火墻往往集成了其他一些安全功能 比如方正方御防 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 9 火墻在很好的實(shí)現(xiàn)了防火墻功能的同時(shí) 也實(shí)現(xiàn)了下面所說的入侵檢測(cè)功能 入侵檢測(cè) 入侵檢測(cè) IDS 對(duì)攻擊試探的預(yù)警對(duì)攻擊試探的預(yù)警 當(dāng)黑客試探攻擊時(shí) 大多采用一些已知的攻擊方法來試探 網(wǎng)絡(luò)安全漏洞 掃描器是 先敵發(fā)現(xiàn) 未雨綢繆 而從另外一個(gè)角度考慮問題 實(shí)時(shí)監(jiān)測(cè) 發(fā)現(xiàn)黑客攻擊的企圖 對(duì)于網(wǎng)絡(luò)安全來說也是非常有意義的 甚至由此派生出 了 P 2DR 理論 入侵檢測(cè)系統(tǒng)通過掃描網(wǎng)絡(luò)流里的特征字段 網(wǎng)絡(luò)入侵檢測(cè) 或者探測(cè)系 統(tǒng)的異常行為 主機(jī)入侵檢測(cè) 來發(fā)覺這類攻擊的存在 一旦被發(fā)現(xiàn) 則報(bào)警 并作出相應(yīng)處理 同時(shí)可以根據(jù)預(yù)定的措施自動(dòng)反應(yīng) 比如暫時(shí)封掉發(fā)起該掃 描的 IP 需要注意的是 入侵檢測(cè)系統(tǒng)目前不能 以后也很難 精確的發(fā)現(xiàn)黑客的 攻擊痕跡 事實(shí)上 黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進(jìn)行一些較為復(fù)雜的 變形 就能做到?jīng)]有入侵檢測(cè)系統(tǒng)能夠識(shí)別出來 所以 在應(yīng)用入侵檢測(cè)系統(tǒng) 時(shí) 千萬不要因?yàn)橛辛巳肭謾z測(cè)系統(tǒng) 就不對(duì)系統(tǒng)中的安全隱患進(jìn)行及時(shí)補(bǔ)救 安全審計(jì)管理安全審計(jì)管理 安全審計(jì)系統(tǒng)必須實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的 事件 如網(wǎng)絡(luò)入侵 內(nèi)部資料竊取 泄密行為 破壞行為 違規(guī)使用等 將這 些情況真實(shí)記錄 并能對(duì)于嚴(yán)重的違規(guī)行為進(jìn)行阻斷 安全審計(jì)系統(tǒng)所做的記 錄如同飛機(jī)上的黑匣子 在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證輔 助數(shù)據(jù) 并具有防銷毀和篡改的特性 安全審計(jì)跟蹤機(jī)制的內(nèi)容是在安全審計(jì)跟蹤中記錄有關(guān)安全的信息 而安 全審計(jì)管理的內(nèi)容是分析和報(bào)告從安全審計(jì)跟蹤中得來的信息 安全審計(jì)跟蹤 將考慮要選擇記錄什么信息以及在什么條件下記錄信息 收集審計(jì)跟蹤的信息 通過列舉被記錄的安全事件的類別 例如對(duì)安全要 求的明顯違反或成功操作的完成 能適應(yīng)各種不同的需要 已知安全審計(jì)的存 在可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用 防病毒以及特洛伊木馬防病毒以及特洛伊木馬 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 10 計(jì)算機(jī)病毒的危害不言而喻 計(jì)算機(jī)病毒發(fā)展到今天 已經(jīng)和特洛伊木馬 結(jié)合起來 成為黑客的又一利器 微軟的原碼失竊案 據(jù)信 就是一黑客使用 特洛伊木馬所為 安全策略的實(shí)施保證安全策略的實(shí)施保證 網(wǎng)絡(luò)安全知識(shí)的普及 網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行 是網(wǎng)絡(luò)安全最重要的保 障 此外 信息備份是信息安全的最起碼的要求 能減少惡意網(wǎng)絡(luò)攻擊或者意 外災(zāi)害帶來的破壞性損失 1 3 6 1 3 6 超高安全要求下的網(wǎng)絡(luò)保護(hù)超高安全要求下的網(wǎng)絡(luò)保護(hù) 對(duì)于華能電力網(wǎng)絡(luò)安全系統(tǒng)數(shù)據(jù)中心安全而言 安全性需求就更加的高 屬于超高安全要求下的網(wǎng)絡(luò)保護(hù)范圍 因此需要在這些地方使用 2 臺(tái)防火墻進(jìn) 行雙機(jī)熱備 以保證數(shù)據(jù)穩(wěn)定傳輸 1 3 6 1 認(rèn)證與授權(quán)認(rèn)證與授權(quán) 認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在 尤其在網(wǎng)絡(luò)安全管理 外部網(wǎng)絡(luò) 訪問內(nèi)部網(wǎng)絡(luò) 包括撥號(hào) 時(shí) 要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制 防止黑客假 冒身份滲透進(jìn)內(nèi)部網(wǎng)絡(luò) 對(duì)于內(nèi)部訪問 也要有完善的網(wǎng)絡(luò)行為審計(jì)記錄和權(quán)限限定 防止由內(nèi)部 人員發(fā)起的攻擊 70 以上的攻擊都是內(nèi)部人員發(fā)起的 我們建議華能電力網(wǎng)絡(luò)安全系統(tǒng)利用基于 X 509 證書的認(rèn)證體系 目前最 強(qiáng)的認(rèn)證體系 來進(jìn)行認(rèn)證 方正方御防火墻管理也是用 X 509 證書進(jìn)行認(rèn)證的 1 1 1 1 網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離 網(wǎng)絡(luò)安全界的一個(gè)玩笑就是 要想安全 就不要插上網(wǎng)線 這是一個(gè)簡(jiǎn)單 的原理 如果網(wǎng)絡(luò)是隔離開的 那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì) 皮之不 存 毛將焉附 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 11 但對(duì)于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來說 完全的物理隔離是行不通的 方正數(shù)碼提出了安全數(shù)據(jù)通道安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案 在網(wǎng)絡(luò)連通條件下 通 過破壞網(wǎng)絡(luò)攻擊得以進(jìn)行的另外兩個(gè)重要條件 從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接 將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò) 從而確保華能電力網(wǎng)絡(luò)安全系統(tǒng)的安全 1 1 1 2 實(shí)施保證實(shí)施保證 華能電力網(wǎng)絡(luò)安全系統(tǒng)牽涉網(wǎng)點(diǎn)眾多 網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜 要保護(hù)這樣一個(gè)繁 雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全 必須有完善的管理保證 安全系統(tǒng)要能夠提供統(tǒng)一 的集中的靈活的管理機(jī)制 一方面要能讓華能電力網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)控中心的網(wǎng) 管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況 另外一方面 要能讓地方網(wǎng)管人員靈活處理具 體事務(wù) 方正方御防火墻采用基于 Windows GUI 的用戶界面進(jìn)行遠(yuǎn)程集中式管理 配置管理界面直觀 易于操作 可以通過一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn) 行集中式的管理 方正方御防火墻符合國(guó)家最新防火墻安全標(biāo)準(zhǔn) 采用了三級(jí)權(quán)限機(jī)制 分 為管理員 策略員和審計(jì)員 管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù) 策略員負(fù) 責(zé)配置防火墻的包過濾和入侵檢測(cè)規(guī)則 審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授 權(quán)機(jī)制 這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái) 事實(shí)上 方御防火墻是 通過該標(biāo)準(zhǔn)認(rèn)證的第一個(gè)包過濾防火墻 另外 方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán) 機(jī)制 尤其適合于華能電力網(wǎng)絡(luò)安全系統(tǒng)這樣的大型網(wǎng)絡(luò) 2 安全架構(gòu)分析與設(shè)計(jì)安全架構(gòu)分析與設(shè)計(jì) 邏輯上 華能電力網(wǎng)絡(luò)安全系統(tǒng)將劃分為三個(gè)區(qū)域 數(shù)據(jù)中心 局域網(wǎng)用 戶和外網(wǎng) 其中每一個(gè)局域網(wǎng)節(jié)點(diǎn)劃分為內(nèi)部操作 控制 區(qū) 信息共享區(qū)兩個(gè)網(wǎng)段 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 12 網(wǎng)段之間設(shè)置安全隔離區(qū) 每一個(gè)網(wǎng)段必須能夠構(gòu)成一個(gè)獨(dú)立的 完整的 安 全的 可靠的系統(tǒng) 2 1 網(wǎng)絡(luò)整體結(jié)構(gòu)網(wǎng)絡(luò)整體結(jié)構(gòu) 華能電力網(wǎng)絡(luò)安全系統(tǒng)需要涉及若干電力部門 各地方的網(wǎng)絡(luò)通過專用網(wǎng) 連接起來 網(wǎng)絡(luò)安全通過防火墻設(shè)備和入侵檢測(cè)設(shè)備實(shí)現(xiàn) 網(wǎng)絡(luò)整體結(jié)構(gòu)如下圖所示 SiSi 財(cái)務(wù)服務(wù)器部門服務(wù)器OA服務(wù)器 網(wǎng)管服務(wù)器 安全產(chǎn)品控制臺(tái) SiSi SiSi SiSi 入侵檢測(cè) 系統(tǒng) DDN FR 廣域網(wǎng)連接各 分公司和電廠 SiSi SiSi 防病毒 域服務(wù)器 主服務(wù)器 IBM 8265 IBM 8265 IBM 8277 IBM 8277 IBM 8277 IBM 8277 IBM 8277 IBM 2216 網(wǎng)絡(luò)整體結(jié)構(gòu)示意圖 2 2 集中管理和分級(jí)管理集中管理和分級(jí)管理 由于華能電力網(wǎng)絡(luò)安全系統(tǒng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多 因此在管理上面需 要既能集中管理 又可以在本地進(jìn)行審計(jì)管理 日志查詢等操作 而用戶的權(quán) 限機(jī)制分配必須通過網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理 需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備 入侵檢測(cè)設(shè)備和防病毒軟件 在華能電力網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)管理中心需要對(duì)各公司 電廠的網(wǎng)絡(luò)安全設(shè)備進(jìn) 行集中管理 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 13 分析華能電力網(wǎng)絡(luò)安全系統(tǒng)的特點(diǎn)和需求 方正方御防火墻的集中管理功 能和權(quán)限管理機(jī)制完全可以滿足這些需求 方正方御防火墻采用基于 Windows GUI 的用戶界面進(jìn)行遠(yuǎn)程集中式管理 配置管理界面直觀 易于操作 可以通過一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn) 行集中式的管理 方正方御防火墻采用了三級(jí)權(quán)限機(jī)制 分為管理員 策略員和審計(jì)員 管 理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù) 策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢 測(cè)規(guī)則 審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制 這樣他們共同的負(fù)責(zé)起 一個(gè)安全的管理平臺(tái) 華能電力網(wǎng)絡(luò)安全系統(tǒng)的集中管理圖如下所示 DDN FR 地方公司 地方電廠 數(shù)據(jù)中心 網(wǎng)絡(luò)控制機(jī) 入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng) 網(wǎng)絡(luò)安全產(chǎn)品集中管理示意圖 2 3 華能電力網(wǎng)絡(luò)安全系統(tǒng)管理中心網(wǎng)絡(luò)華能電力網(wǎng)絡(luò)安全系統(tǒng)管理中心網(wǎng)絡(luò) 華能電力網(wǎng)絡(luò)安全系統(tǒng)管理中心除了需要提供信息服務(wù)外 還需要對(duì)各公 司和電廠的網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理 因此網(wǎng)絡(luò)的安全性和可靠性尤其的重要 內(nèi)部區(qū)放置控制服務(wù)器 數(shù)據(jù)庫服務(wù)器 文件服務(wù)器 系統(tǒng)管理服務(wù)器等 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 14 設(shè)備 華能電力網(wǎng)絡(luò)安全系統(tǒng)管理中心的網(wǎng)管工作站負(fù)責(zé)對(duì)給地方公司和電廠的 所有的安全產(chǎn)品進(jìn)行集中管理和權(quán)利分配任務(wù) 而且安全產(chǎn)品的審計(jì)工作也都 是在網(wǎng)管中心進(jìn)行統(tǒng)計(jì)和備份 2 4 各地方公司和電廠各地方公司和電廠網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)設(shè)計(jì) 各地方公司和電廠的網(wǎng)絡(luò)結(jié)構(gòu)節(jié)點(diǎn)也同樣劃分為內(nèi)部操作 控制 區(qū) 公 開信息區(qū)兩個(gè)網(wǎng)段 對(duì)于這些網(wǎng)絡(luò)我們建議使用如下方案 PSTN DDN FR 財(cái)務(wù)服務(wù)器 部門服務(wù)器OA服務(wù)器 防病毒 域服務(wù)器 入侵檢測(cè) 系統(tǒng) 地方公司和電廠網(wǎng)絡(luò)示意圖 2 5 和和 Internet 相連的外部網(wǎng)絡(luò)設(shè)計(jì)相連的外部網(wǎng)絡(luò)設(shè)計(jì) 由于華能電力網(wǎng)絡(luò)安全系統(tǒng)的內(nèi)網(wǎng)和外網(wǎng)是物理隔離的 因此保障了內(nèi)部 網(wǎng)絡(luò)的安全同時(shí) 還需要對(duì)外部網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)陌踩雷o(hù) 對(duì)于外網(wǎng)我們建議使用如下方案 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 15 入侵檢測(cè) 系統(tǒng) Internet PSTN 外部網(wǎng)絡(luò)示意圖 3 產(chǎn)品選型產(chǎn)品選型 3 1 防火墻的選型防火墻的選型 我們采用方正最新型方正方御防火墻 方正方御防火墻是一個(gè)很優(yōu)秀的防 火墻 同時(shí)它集成強(qiáng)大的入侵檢測(cè)功能 方正方御防火墻是國(guó)內(nèi)第一個(gè)通過公 安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認(rèn)證標(biāo)準(zhǔn)的包過濾級(jí)防火墻產(chǎn)品 同時(shí) 通過了中國(guó)人民解放軍安全測(cè)評(píng)認(rèn)證中心 國(guó)家保密局和中國(guó)國(guó)家信息安全測(cè) 評(píng)認(rèn)證中心的嚴(yán)格認(rèn)證 3 1 1 3 1 1 方正數(shù)碼公司簡(jiǎn)介方正數(shù)碼公司簡(jiǎn)介 作為方正集團(tuán)互聯(lián)網(wǎng)戰(zhàn)略的實(shí)施者 方正數(shù)碼將自身定位于電子商務(wù)的 賦能者 其業(yè)務(wù)涉及互聯(lián)網(wǎng)與電子商務(wù)的技術(shù)研究應(yīng)用與系統(tǒng)集成 網(wǎng)絡(luò)市 場(chǎng)營(yíng)銷服務(wù) 空間信息應(yīng)用 無線互聯(lián)以及電子商務(wù)的咨詢服務(wù)等方向 以幫 助政府 行業(yè) 企業(yè) 網(wǎng)站 電子商務(wù)的運(yùn)營(yíng)者在互聯(lián)網(wǎng)時(shí)代健康成功的發(fā)展 為己任 要給電子商務(wù)運(yùn)營(yíng)者賦能 先要給安全賦能 方正數(shù)碼首先推出的就是方 正方御互聯(lián)網(wǎng)安全解決方案 方正方御是在經(jīng)過一年多的大量投入和深入的研 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 16 究后 提出的一套基于中國(guó)國(guó)情 全部自主開發(fā) 具有領(lǐng)先優(yōu)勢(shì)的解決方案 它是一套整體的集群平臺(tái) 可以解決互聯(lián)網(wǎng)運(yùn)營(yíng)商最為關(guān)切的安全性 高可靠 性 可擴(kuò)展性和易于遠(yuǎn)程管理的問題 目前這套方案已經(jīng)得到國(guó)家有關(guān)部門的 大力支持 被國(guó)家經(jīng)貿(mào)委列為國(guó)家創(chuàng)新計(jì)劃項(xiàng)目之一 另外 還得到了國(guó)家 863 計(jì)劃的支持 在立身自主開發(fā)外 方正數(shù)碼還與眾多國(guó)際知名的安全公司保持著良好的 合作關(guān)系 并集成了國(guó)內(nèi)外最優(yōu)秀的公司安全產(chǎn)品 為國(guó)內(nèi) Internet 的安全建 設(shè)保駕護(hù)航 3 1 2 3 1 2 產(chǎn)品概述產(chǎn)品概述 方御防火墻是方正方御中的主要安全產(chǎn)品之一 由于防火墻技術(shù)的針對(duì)性 很強(qiáng) 它已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保障之一 方御防火墻是通過對(duì)國(guó)外防火 墻產(chǎn)品的綜合分析 針對(duì)我們國(guó)家的具體應(yīng)用環(huán)境 結(jié)合國(guó)內(nèi)外防火墻領(lǐng)域里 的最新發(fā)展 在面向 IDC 和中小企業(yè)的 FireBridge 防火墻的基礎(chǔ)上 提出的一 種具有強(qiáng)大的信息分析功能 高效包過濾功能 多種反電子欺騙手段 多種安 全措施綜合運(yùn)用的安全可靠的專用防火墻系統(tǒng) 方正方御防火墻不僅僅是一個(gè)包過濾的防火墻 而且包括了大量的實(shí)用模 塊 可以為用戶提供多方面的服務(wù) 方御防火墻保護(hù)如下模塊 包過濾防火墻 輕型 復(fù)雜 IDS 雙向NAT 流量控制 Proxy 雙機(jī)熱備 流量統(tǒng)計(jì) 審計(jì)功能 集中管理 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 17 3 1 3 3 1 3 系統(tǒng)特點(diǎn)系統(tǒng)特點(diǎn) 一體化的硬件設(shè)計(jì)方正方御防火墻采用了一體化的硬件設(shè) 計(jì) 采用了自己的操作系統(tǒng) 無需其他操作 系統(tǒng)的支持 這樣能夠發(fā)揮硬件的最大性能 同時(shí)也提高了系統(tǒng)的安全性 雙機(jī)熱備份通過雙機(jī)熱備份 本系統(tǒng)提供可靠的容 錯(cuò) 熱待機(jī)功能 備份防火墻服務(wù)器中存有 主防火墻服務(wù)器的設(shè)置鏡像 當(dāng)主防火墻因 為某些原因不能正常運(yùn)作 備份服務(wù)器可以 在 12 秒鐘內(nèi)取代主服務(wù)器運(yùn)作 充分保證 整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)作的穩(wěn)定性 完善的訪問控制方正方御防火墻符合國(guó)家最新防火墻安 全標(biāo)準(zhǔn) 采用了三級(jí)權(quán)限機(jī)制 分為管理員 策略員和審計(jì)員 管理員負(fù)責(zé)防火墻的開關(guān) 及日常維護(hù) 策略員負(fù)責(zé)配置防火墻的包過 濾和入侵檢測(cè)規(guī)則 審計(jì)員負(fù)責(zé)日志的管理 和審計(jì)中的授權(quán)機(jī)制 這樣他們共同地負(fù)責(zé) 起一個(gè)安全的管理平臺(tái) 多種工作模式方正方御防火墻可以工作在網(wǎng)橋路由兩 種模式下 這樣可以方便用戶使用 使用在 網(wǎng)橋模式時(shí)在 IP 層透明 使用路由模式時(shí) 可以作為三個(gè)區(qū)之間的路由器 同時(shí)提供內(nèi) 網(wǎng)到外網(wǎng) DMZ 到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換 防御 DOS DDOS 攻擊普通的防火墻都是采用限制每一網(wǎng)絡(luò)地 址單位時(shí)間內(nèi)通過的 SYN 包數(shù)量來抵御 DDOS 攻擊 但是通常網(wǎng)絡(luò)攻擊者都會(huì)隨機(jī) 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 18 的偽造網(wǎng)絡(luò)地址 因此這種方法防范的效果 非常差 不能從根本上抵御 DDOS 攻擊 方正方御防火墻修改了 TCP IP 堆棧的算法 使得新的 syn 連接包可以正常通過 避免了 由于大量的攻擊 SYN 包造成網(wǎng)絡(luò)的阻塞 狀態(tài)檢測(cè)方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址 協(xié)議和端口進(jìn)行訪問控制 同時(shí)還對(duì)任何網(wǎng) 絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控 傳統(tǒng)的防火墻的包過濾只是根據(jù)規(guī)則表進(jìn)行 匹配 而方正方御防火墻對(duì)每個(gè)連接 作為 一個(gè)數(shù)據(jù)流 通過規(guī)則表與連接表共同配合 來對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行控制 代理服務(wù)用戶可以設(shè)置代理服務(wù)器端口來啟動(dòng)代 理服務(wù)器功能 而且通過設(shè)置使用代理服務(wù) 器用戶帳號(hào)密碼和訪問控制來維護(hù)安全性 代理服務(wù)的訪問控制非常的完善 可以對(duì)時(shí) 間 協(xié)議 方法 地址 DNS 域 目的端 口和 URL 來進(jìn)行控制 用戶完全可以通過 設(shè)置一定的條件來符合自己的要求 雙向網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)支持動(dòng)態(tài) 靜態(tài) 雙向的 NAT 當(dāng) 用戶需要從內(nèi)部 IP 訪問 Internet 時(shí) NAT 系統(tǒng)會(huì)從 IP 池里取出一個(gè)合法的 Internet IP 為該用戶建立映射 如果需要在 Intranet 提供讓外部訪問的服務(wù) 如 WWW FTP 等 NAT 系統(tǒng)可以為 Intranet 里的服務(wù)器建立靜態(tài)映射 外部用戶可以直 接訪問該服務(wù)器 雙向網(wǎng)絡(luò)地址轉(zhuǎn)換為企業(yè) 用戶連接到 Internet 提供了良好的網(wǎng)絡(luò)地址 隱蔽 并且能減少 IP 占用 替用戶節(jié)省費(fèi) 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 19 用 提供 DMZ 區(qū)除了內(nèi)部網(wǎng)絡(luò)界面和外部網(wǎng)絡(luò)界面 系 統(tǒng)還可以再增加一個(gè)網(wǎng)絡(luò)界面 讓管理員靈 活應(yīng)用 如建立 DMZ 軍事獨(dú)立區(qū) 在其 中放置公共應(yīng)用服務(wù)器 帶寬管理和流量統(tǒng)計(jì)方正方御防火墻系統(tǒng)使用流量統(tǒng)計(jì)與控 制策略 可方便的根據(jù)網(wǎng)段和主機(jī)等對(duì)流量 進(jìn)行統(tǒng)計(jì)與控制管理 用戶可以通過設(shè)置源 地址到目的地址單位在時(shí)間內(nèi)允許通過的流 量以及協(xié)議和端口來進(jìn)行帶寬控制 日志審計(jì)審計(jì)功能是方正方御防火墻非常強(qiáng)大的 一個(gè)部分 目前國(guó)內(nèi)防火墻的審計(jì)功能都非 常不完善 方正方御防火墻提供了大量的審 計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容的查詢功能 由于日志 可能對(duì)一般用戶比較難以理解 而我們將日 志記錄分成了若干部分 而其中每一部分都 可以進(jìn)行查詢和管理 這樣用戶就能對(duì)防火 墻的情況有一個(gè)非常透徹的了解 入侵檢測(cè)方正方御防火墻入侵檢測(cè)系統(tǒng)采用了可 擴(kuò)展的檢測(cè)庫方法 目前可以抵御 1000 多 種攻擊方法 而且可以通過升級(jí)檢測(cè)庫的方 法來不斷的抵御新的攻擊方法 用戶還可以 自定義攻擊檢測(cè)庫來符合自己的要求 自動(dòng)報(bào)警和防范系統(tǒng)方正方御防火墻一旦檢測(cè)到有黑客進(jìn)行 攻擊 會(huì)在第一時(shí)間內(nèi)在控制機(jī)上進(jìn)行報(bào)警 而且同時(shí)會(huì)自動(dòng)封禁掉攻擊者的 IP 地址 這樣可以做到防火墻的防范完全自動(dòng)化 而 不象普通的防火墻那樣需要人工干預(yù) 基于 PKI 的授權(quán)認(rèn)證方正方御防火墻的授權(quán)認(rèn)證是基于 PKI 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 20 基礎(chǔ)之上 因此完全性極高 PKI 是一種新 的安全技術(shù) 它由公開密鑰密碼技術(shù) 數(shù)字 證書 證書發(fā)放機(jī)構(gòu) CA 和關(guān)于公開密 鑰的安全策略等基本成分共同組成的 快速安裝配置方正方御防火墻的安裝和配置非常方便 管理員只要設(shè)定好網(wǎng)絡(luò)設(shè)備的 IP 地址 然 后使用系統(tǒng)提供的一些典型配置模板 適當(dāng) 的修改一些規(guī)則來符合要求 除此以外還可 以添加系統(tǒng)提供的一些子模板來實(shí)現(xiàn)一些特 定的功能 圖形管理界面用戶可以通過圖形界面對(duì)防火墻進(jìn)行配 置和管理 而且也可以通過圖形界面來管理 審計(jì)內(nèi)容 而不象有些防火墻是通過命令行 方式進(jìn)行配置 完全中國(guó)化的設(shè)計(jì)方正方御防火墻是由方正數(shù)碼自行設(shè)計(jì) 和制作的 充分考慮了中國(guó)國(guó)情 除了界面 幫助文檔 使用說明完全中文化外 還加入 了一些小型模板用戶給管理員配置防火墻 集中管理方正方御防火墻采用基于 Windows GUI 的用戶界面進(jìn)行遠(yuǎn)程集中式管理 配置管理 界面直觀 易于操作 可以通過一個(gè)控制機(jī) 對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理 3 1 4 3 1 4 方正方御防火墻功能說明方正方御防火墻功能說明 3 1 4 1 多種工作模式多種工作模式 方正方御防火墻可以工作在網(wǎng)橋和路由兩種模式下 A 網(wǎng)橋模式 網(wǎng)橋模式 3 個(gè)端口構(gòu)成一個(gè)以太網(wǎng)交換機(jī) 防火墻本身沒有 IP 地址 在 IP 層透明 可以將任意三個(gè)物理網(wǎng)絡(luò)連接起來構(gòu)成一個(gè)互通的物理網(wǎng)絡(luò) 當(dāng) 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 21 防火墻工作在交換模式時(shí) 內(nèi)網(wǎng) DMZ 區(qū)和路由器的內(nèi)部端口構(gòu)成一個(gè)統(tǒng)一的 交換式物理子網(wǎng) 內(nèi)網(wǎng)和 DMZ 區(qū)還可以有自己的第二級(jí)路由器 這種模式不需 要改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)和設(shè)備的網(wǎng)絡(luò)設(shè)置 B 路由模式 路由模式 防火墻本身構(gòu)成 3 個(gè)網(wǎng)絡(luò)間的路由器 3 個(gè)界面分別具有 不同的 IP 地址 三個(gè)網(wǎng)絡(luò)中的主機(jī)通過該路由進(jìn)行通信 當(dāng)防火墻工作在路由 模式時(shí) 可以作為三個(gè)區(qū)之間的路由器 同時(shí)提供內(nèi)網(wǎng)到外網(wǎng) DMZ 到外網(wǎng)的 網(wǎng)絡(luò)地址轉(zhuǎn)換 也就是說 內(nèi)網(wǎng)和 DMZ 都可以使用保留地址 內(nèi)網(wǎng)用戶通過地 址轉(zhuǎn)換訪問 Internet 同時(shí)隔絕 Internet 對(duì)內(nèi)網(wǎng)的訪問 DMZ 區(qū)通過反向地址 轉(zhuǎn)換對(duì) Internet 提供服務(wù) 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 22 在沒有安裝方正方御防火墻的時(shí)候典型網(wǎng)絡(luò)結(jié)構(gòu)圖如下在沒有安裝方正方御防火墻的時(shí)候典型網(wǎng)絡(luò)結(jié)構(gòu)圖如下 Internet 在安裝了方正方御防火墻的時(shí)候網(wǎng)絡(luò)結(jié)構(gòu)圖如下在安裝了方正方御防火墻的時(shí)候網(wǎng)絡(luò)結(jié)構(gòu)圖如下 Internet DMZ FireGate 3 1 4 2 包過濾防火墻包過濾防火墻 方正方御防火墻包過濾的功能是對(duì)指定 IP 包進(jìn)行包過濾 并且按照設(shè)定策 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 23 略對(duì) IP 包進(jìn)行統(tǒng)計(jì)和日志記錄 主要根據(jù) IP 包的如下信息進(jìn)行過濾 源 IP 地址 目的 IP 地址 協(xié)議類型 IP ICMP TCP UDP 源 TCP UDP 端口 目的 TCP UDP 端口 ICMP 報(bào)文類型域和代碼域 碎片包 其它標(biāo)志位 如 SYN ACK 位 源IP地址 目的地址 協(xié)議類型 源端口 目的端口 ICMP報(bào)文類型域和代碼域 碎片包 其它標(biāo)志位 I In nt te er rn ne et t H Ha ac ck ke er r U Us se er r W We eb b D Da at ta aB Ba as se e 3 1 4 2 1 高效的過濾高效的過濾 有些防火墻在安裝上以后對(duì) WEB 服務(wù)器的吞吐能力影響很大 造成性能 的降低 由于方正方御防火墻采用了 3I Intelligent IP Identifying 技術(shù) 能夠 實(shí)現(xiàn)快速匹配 因此方正方御防火墻不會(huì)對(duì)性能造成任何影響 方正方御防火墻優(yōu)化了算法 使最大并發(fā)連接數(shù)可以達(dá)到 300 000 個(gè)以上 而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬個(gè)左右 3 1 4 2 2 碎片處理功能碎片處理功能 由于很多系統(tǒng)平臺(tái) 包括一些路由器對(duì) IP 碎片的處理存在問題 容易產(chǎn)生 欺騙和拒絕服務(wù)等攻擊 方正方御防火墻能夠識(shí)別出 IP 碎片并且進(jìn)行控制 這 樣一來通過禁止 IP 碎片通過方正方御防火墻 防止了這樣的問題的產(chǎn)生 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 24 3 1 4 2 3 防防 SYN Flood 攻擊攻擊 一些 TCP IP 棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來的 ACK 消息 因 為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接 如果這一緩沖區(qū)充滿了虛假連接 的初始信息 該服務(wù)器就會(huì)對(duì)接下來的連接停止響應(yīng) 直到緩沖區(qū)里的連接企 圖超時(shí) 典型的就是 Syn Flood 攻擊 通過大量的虛假的 Syn 包使服務(wù)器速度變 慢 甚至是死機(jī) 一般的防火墻是通過限制每秒鐘通過的 Syn 包數(shù)量來組織 Syn Flood 攻擊 這種方法可以在一定意義上阻止 Syn Flood 攻擊 但是也有可 能將正常的 Syn 包忽略掉 因此不是一種非常好的方法 方正方御防火墻使用了兩種方式來反 Syn Flood 攻擊 一種方法就是通過 設(shè)置單位時(shí)間內(nèi)的 SYN 包數(shù)量來控制 另外一種方法修改了 TCP IP 堆棧的算 法 使得新 Syn 包始終可以獲得連接位 避免了由于大量的攻擊 SYN 包造成網(wǎng) 絡(luò)的阻塞 3 1 4 2 4 強(qiáng)大的狀態(tài)檢測(cè)功能強(qiáng)大的狀態(tài)檢測(cè)功能 方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址 協(xié)議和端口進(jìn)行訪問控制 同時(shí) 還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控 傳統(tǒng)的防火墻的包過濾 1 沒有安裝方御防火墻 2 安裝方御防火墻 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 25 只是與規(guī)則表進(jìn)行匹配 而方正方御防火墻對(duì)每個(gè)連接 作為一個(gè)數(shù)據(jù)流 通 過規(guī)則表與連接表共同配合 在繼承了傳統(tǒng)包過濾系統(tǒng)對(duì)應(yīng)用透明的特性外 還極大地提高了系統(tǒng)的性能和安全性 其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法 隨著安全規(guī)則的增加 勢(shì)必會(huì)使防火墻的性能大幅度的減少 造成網(wǎng)絡(luò)擁塞 應(yīng) 用 層 物 理 層 鏈 路 層 網(wǎng)網(wǎng) 絡(luò)絡(luò) 層層 傳 輸 層 會(huì) 話 層 表 示 層 新新建建 已已建建 相相關(guān)關(guān) 非非法法 狀狀態(tài)態(tài)檢檢測(cè)測(cè) 新新建建 已已建建 相相關(guān)關(guān) 非非法法 1 1 1 3 1 4 3 IDS 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) 3 1 4 3 1 反端口掃描反端口掃描 一般黑客如果要對(duì)一個(gè)網(wǎng)站發(fā)動(dòng)攻擊 首先都要掃描目標(biāo)服務(wù)器的端口 確定服務(wù)器上開啟的服務(wù) 然后做出相應(yīng)的入侵方式 方正方御防火墻入侵檢 測(cè)系統(tǒng)能夠在黑客掃描網(wǎng)站的時(shí)候就能檢測(cè)到并報(bào)警 這樣就能提前將黑客拒 之于門外 方正方御防火墻入侵檢測(cè)系統(tǒng)在檢測(cè)到有黑客掃描服務(wù)器端口的時(shí) 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 26 候會(huì)立即在攻擊者的視野中消失 從而使黑客無法進(jìn)行后面的攻擊 方正方御 防火墻入侵檢測(cè)系統(tǒng)根據(jù)配置文件監(jiān)控任何和 TCP UDP 端口的連接 可以 對(duì)全部端口同時(shí)進(jìn)行監(jiān)控 同時(shí)也可以忽略指定的端口 這樣就能滿足不同的 需求方式 3 1 4 3 2 可以防范可以防范 1500 余種攻擊方式余種攻擊方式 1 檢測(cè)多種 DoS 攻擊 2 檢測(cè)多種 DDoS 攻擊 3 檢測(cè)保護(hù)子網(wǎng)中是否存在后門和木馬程序 4 檢測(cè)多種針對(duì) Finger 服務(wù)的攻擊 5 檢測(cè)多種針對(duì) FTP 服務(wù)的攻擊 6 檢測(cè)基于 NetBIOS 的攻擊 7 檢測(cè)緩沖區(qū)溢出類型攻擊 8 檢測(cè)基于 RPC 的攻擊 9 檢測(cè)基于 SMTP 的攻擊 10 檢測(cè)基于 Telnet 的攻擊 11 檢測(cè)網(wǎng)絡(luò)上傳輸?shù)牟《竞腿湎x 12 檢測(cè) CGI 攻擊 13 檢測(cè)針對(duì) WEB Server 的 FrontPage 擴(kuò)展進(jìn)行的攻擊 14 檢測(cè)針對(duì) WEB Server 的 ColdFusion 擴(kuò)展進(jìn)行的攻擊 15 檢測(cè)針對(duì) MicroSoft IIS server 進(jìn)行的攻擊 16 檢測(cè)利用 ICMP 進(jìn)行的掃描和攻擊 17 檢測(cè)利用 Traceroute 對(duì)網(wǎng)絡(luò)的探測(cè) 18 檢測(cè) ActiveX JaveApplet 的傳輸 19 檢測(cè)對(duì)其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊 3 1 4 3 3 在線升級(jí)和實(shí)時(shí)報(bào)警在線升級(jí)和實(shí)時(shí)報(bào)警 由于入侵檢測(cè)系統(tǒng)的庫文件是需要不斷的更新 因此方正方御防火墻提供 了非常方便的升級(jí)接口 可以通過我們的網(wǎng)站進(jìn)行在線升級(jí) 而且我們提供了 非常方便的用戶升級(jí)界面 使升級(jí)工作可以非常方便的完成 報(bào)警是否能夠及時(shí)是衡量一個(gè)入侵檢測(cè)系統(tǒng)的重要因素之一 如果在黑客 剛剛進(jìn)行攻擊的時(shí)候就能夠做出響應(yīng) 那么管理員會(huì)有足夠的時(shí)間進(jìn)行防護(hù) 方正方御防火墻的報(bào)警系統(tǒng)和入侵檢測(cè)系統(tǒng)的協(xié)調(diào)工作幾乎是一致的 一旦入 侵檢測(cè)系統(tǒng)檢測(cè)到攻擊 報(bào)警系統(tǒng)會(huì)馬上做出反應(yīng) 通過 Email 或手機(jī)手機(jī)通知管 理員 同時(shí)會(huì)啟動(dòng)自動(dòng)防范系統(tǒng)進(jìn)行防范 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 27 3 1 4 3 4 入侵檢測(cè)和防火墻的互動(dòng)入侵檢測(cè)和防火墻的互動(dòng) 通過通信行為跟蹤 防火墻能夠檢測(cè)到對(duì)網(wǎng)絡(luò)的多種掃描 檢測(cè)到對(duì)網(wǎng)絡(luò) 的攻擊行為 并能夠?qū)粜袨檫M(jìn)行響應(yīng) 包括自動(dòng)防范及用戶自定義安全響 應(yīng)策略等 3 1 4 4 雙機(jī)熱備雙機(jī)熱備 方正方御防火墻系統(tǒng)能夠在網(wǎng)絡(luò)中智能地尋找與其對(duì)等的備份機(jī) 并且使 備份機(jī)自動(dòng)進(jìn)入等待狀態(tài) 而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效 可及時(shí)自動(dòng)啟動(dòng) 防止網(wǎng)絡(luò)中斷事故的發(fā)生 其智能識(shí)別技術(shù)甚至可以支持多于兩臺(tái)以上的方正 方御防火墻在網(wǎng)絡(luò)上互為備份 適用于對(duì)可靠性要求極高的場(chǎng)合 3 1 4 5 強(qiáng)大的審計(jì)功能強(qiáng)大的審計(jì)功能 審計(jì)功能是方正方御防火墻非常強(qiáng)大的一個(gè)部分 目前國(guó)內(nèi)防火墻的審計(jì) 功能都非常不完善 方正方御防火墻提供了大量的審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容的查 詢功能 由于日志可能對(duì)一般用戶比較難以理解 而我們將日志記錄分成了若 干部分 而且就每一個(gè)部分都是可以進(jìn)行查詢和管理的 這樣一來就可以使用 戶對(duì)防火墻的情況有一個(gè)非常透徹的了解 方正方御防火墻中審計(jì)功能有著非常完善的權(quán)限管理 有專門的審計(jì)員來 對(duì)審計(jì)內(nèi)容進(jìn)行管理 在審計(jì)中又分成了若干級(jí)別的權(quán)限 這樣可以方便管理 員管理審計(jì)內(nèi)容 3 1 4 6 基于基于 PKI 的高級(jí)授權(quán)認(rèn)證的高級(jí)授權(quán)認(rèn)證 PKI Public Key Infrastructure 是一種新的安全技術(shù) 它由公開密鑰密碼 技術(shù) 數(shù)字證書 證書發(fā)放機(jī)構(gòu) CA 和關(guān)于公開密鑰的安全策略等基本成分 共同組成的 PKI 是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系 是一種基礎(chǔ) 設(shè)施 網(wǎng)絡(luò)通訊 網(wǎng)上交易是利用它來保證安全的 從某種意義上講 PKI 包 含了安全認(rèn)證系統(tǒng) 即安全認(rèn)證系統(tǒng) CA RA 系統(tǒng)是 PKI 不可缺的組成部分 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 28 網(wǎng)絡(luò) 特別是 Internet 網(wǎng)絡(luò)的安全應(yīng)用已經(jīng)離不開 PKI 技術(shù)的支持 網(wǎng)絡(luò)應(yīng)用 中的機(jī)密性 真實(shí)性 完整性 不可否認(rèn)性和存取控制等安全需 求只有 PKI 技術(shù)才能滿足 PKI 在國(guó)外已經(jīng)開始實(shí)際應(yīng)用 在美國(guó) 隨著電 子商務(wù)的日益 興旺 電子簽名 數(shù)字證書已經(jīng)在實(shí)際中得到了一定程度的應(yīng)用 就連某些國(guó) 家都已經(jīng)開始接受電子簽名的檔案 方正方御防火墻的授權(quán)認(rèn)證是基于 PKI 基礎(chǔ)之上 因此完全性極高 有些 防火墻的認(rèn)證機(jī)制采用 OTP Once Time Password 或者采用了靜態(tài)口令機(jī)制 比如說 靜態(tài)密碼是用戶和機(jī)器之間共知的一種信息 而其他人不知道 這樣 用戶若知道這個(gè)口令 就說明用戶是機(jī)器所認(rèn)為的那個(gè)人 那么就很容易的控 制防火墻 而一次性口令也一樣 用戶和機(jī)器之間必須共知一條通行短語 而 這通行短語對(duì)外界是完全保密的 和靜態(tài)口令不同的是 這個(gè)通行短語并不在 網(wǎng)絡(luò)上進(jìn)行傳輸 所以黑客通過網(wǎng)絡(luò)竊聽是不可能的 當(dāng)時(shí)使用起來沒有使用 證書認(rèn)證方便 因此方正方御防火墻基于 PKI 的高級(jí)授權(quán)認(rèn)證機(jī)制在技術(shù)上面非常的先進(jìn) 超越了大部分的防火墻產(chǎn)品 3 1 4 7 集中管理集中管理 根據(jù)美國(guó)財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明 30 的入侵發(fā)生在有防火墻的情況下的入侵發(fā)生在有防火墻的情況下 這些入侵的主要原因并非是防火墻無用 而是由于一般的防火墻的管理及配置 相當(dāng)復(fù)雜 要想成功的維護(hù)防火墻 要求防火墻管理員對(duì)網(wǎng)絡(luò)安全攻擊的手段 及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解 而且防火墻的安全策略無法進(jìn)行集 中管理 這些都造成了網(wǎng)絡(luò)安全的失敗 而方正方御防火墻采用基于 Windows GUI 的用戶界面進(jìn)行遠(yuǎn)程集中式管理 配置管理界面直觀 易于操作 可以通 過一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理 3 2 入侵檢測(cè)產(chǎn)品選型入侵檢測(cè)產(chǎn)品選型 對(duì)于入侵檢測(cè)產(chǎn)品我們選用啟明星辰信息技術(shù)有限公司的天闐 tian 黑客 華能電力網(wǎng)絡(luò)安全解決方案華能電力網(wǎng)絡(luò)安全解決方案 29 入侵檢測(cè)系統(tǒng) 3 2 1 3 2 1 啟明星辰公司介紹啟明星辰公司介紹 啟明星辰公司自 1996 年成立以來 已經(jīng)開發(fā)了黑客防范與反攻擊產(chǎn)品線 采用國(guó)際著名廠商芬蘭 F Secure 公司殺毒技術(shù)形成的網(wǎng)絡(luò)病毒防殺產(chǎn)品線 以 網(wǎng)站安全掃描與個(gè)人主機(jī)保護(hù)為代表的網(wǎng)絡(luò)安全管理產(chǎn)品線 以及幾大產(chǎn)品線 之間互動(dòng)的網(wǎng)絡(luò)資源管理平臺(tái) 成為具有自主知識(shí)產(chǎn)權(quán) 覆蓋防病毒和反黑客 兩大領(lǐng)域的高科技含量的網(wǎng)絡(luò)安全產(chǎn)品研發(fā)與生產(chǎn)基地 啟明星辰公司產(chǎn)品均 獲得了 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證 國(guó)家信息安全產(chǎn)品測(cè)評(píng) 認(rèn)證證書 和 軍用信息安全產(chǎn)品認(rèn)證證書 在政府 銀行 證券 電信和軍 隊(duì)等領(lǐng)域得到了廣泛的使用 3 2 2 3 2 2 入侵檢測(cè)系統(tǒng)介紹入侵檢測(cè)系統(tǒng)介紹 防火墻與防火墻與 IDSIDS 談到網(wǎng)絡(luò)安全 人們第一個(gè)想到的是防火墻 但隨著技術(shù)的發(fā)展 網(wǎng)絡(luò) 日趨復(fù)雜 傳統(tǒng)防火墻所暴露出來的不足和弱點(diǎn)引出了人們對(duì)入侵檢測(cè)系統(tǒng) IDS 技術(shù)的研究和開發(fā) 首先 傳統(tǒng)的防火墻在工作時(shí) 就像深宅大院雖有高 大的院墻 卻不能擋住小老鼠甚至是家賊的偷襲一樣 因?yàn)槿肭终呖梢哉业椒?火墻背后可能敞開的后門 其次 防火墻完全不能阻止來自內(nèi)部的襲擊 而通 過調(diào)查發(fā)現(xiàn) 70 的攻擊都將來自于內(nèi)部 對(duì)于企業(yè)內(nèi)部心懷不滿的員工來說 防火墻形同虛設(shè) 再者 由于性能的限制 防火墻通常不能提供實(shí)時(shí)的入侵檢 測(cè)能力 而這一點(diǎn) 對(duì)于