|
一���、 需求分析
近年來����,信息技術(shù)的飛速發(fā)展,特別是以計算機(jī)互聯(lián)網(wǎng)絡(luò)Internet為代表的計算機(jī)信息網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)在全世界的迅速推廣和使用����,使人們獲取、交流和處理信息的手段發(fā)生了巨大的變化�,深刻地影響著人們的交流、工作��、學(xué)習(xí)���、生活和娛樂的方式����。移動信息化正是適應(yīng)時代變化的企業(yè)信息全面解決方案,使企業(yè)獲得全面的信息化服務(wù)��,實現(xiàn)企業(yè)信息的智能管理��,提高企業(yè)管理與生產(chǎn)效率�����,更有效的適應(yīng)市場競爭的需要�。
某移動提出的移動信息化全面解決方案是以涵蓋數(shù)據(jù)通信、信息服務(wù)�����、增值業(yè)務(wù)的全數(shù)據(jù)觀念為基礎(chǔ)�����,利用移動通信網(wǎng)���、移動智能網(wǎng)及移動互聯(lián)網(wǎng)����,針對行業(yè)的具體需求和應(yīng)用提供的一體化解決方案。
移動信息化是以移動通信網(wǎng)和移動互聯(lián)網(wǎng)集成的綜合通信平臺�����。移動信息化涵蓋集團(tuán)移動電話網(wǎng)(VPMN)���、語音專線、會議通��、語音信息通知����、移動辦公助理、車輛調(diào)度�、國際移動互聯(lián)網(wǎng)專線、GPRS/EDGE專網(wǎng)等服務(wù)內(nèi)容����。GPRS/EDGE是目前解決移動通信信息服務(wù)的一種較完美的業(yè)務(wù),它是以數(shù)據(jù)流量計費��、覆蓋范圍廣泛�����、數(shù)據(jù)傳輸速度更快。GPRS/EDGE的推出��,為行業(yè)和企業(yè)用戶開展無線辦公提供了基礎(chǔ)設(shè)施平臺�����,為推動移動辦公的應(yīng)用和發(fā)展創(chuàng)造了有利條件�。與有線網(wǎng)絡(luò)相比,GPRS/EDGE網(wǎng)絡(luò)具有租用費用低���、移動辦公��,不受地域制約等優(yōu)點��。GPRS/EDGE的出現(xiàn)為企業(yè)和行業(yè)用戶開展無線辦公提供了一種新的選擇�����。
GPRS/EDGE通信方式更適合于彩票投注業(yè)務(wù)��,目前彩票的業(yè)務(wù)中心與各營業(yè)點采用DDN或者電話線傳送數(shù)據(jù)����。彩票業(yè)務(wù)單筆流量很小�,采用DDN或IDSL專線月租費太高,用電話線傳送數(shù)據(jù)按時間計費�����,帶來諸多不便�����,費用也不便宜����。因此�,許多省市彩票中心都考慮對傳統(tǒng)通信方式進(jìn)行改造,GPRS/EDGE無線傳輸數(shù)據(jù)有以下優(yōu)勢:
1.GPRS/EDGE用戶可隨意分布和移動自己的網(wǎng)絡(luò)點����,無須擔(dān)心線路的維護(hù)或有線在移機(jī)時導(dǎo)致的通訊中斷。建設(shè)新的營業(yè)點無需進(jìn)行拉線�����,埋線等工作。較光纖�,或?qū)>系統(tǒng)投資較少,設(shè)備安裝方便���。
2.終端價格比較低���,與DDN相比,較DTU或基帶Modem(DDN專線Modem)其終端價格便宜很多�����。
3.GPRS/EDGE資費便宜����,計費合理。GPRS/EDGE 資費包月比有線電話網(wǎng)絡(luò)資費還便宜��。彩票投注沒有大數(shù)據(jù)量的信息傳輸��,不必要采用資費很高的專線(DDN�����、幀中繼)�����。GPRS/EDGE還可根據(jù)通信的數(shù)據(jù)量和提供的服務(wù)質(zhì)量進(jìn)行計費。在GPRS/EDGE網(wǎng)中��,用戶只需與網(wǎng)絡(luò)建立一次連接����,就可長時間的保持這種連接,并只在傳輸數(shù)據(jù)時才占用信道并被計費�,保持時不占用信道也不計費。這樣�����,營業(yè)點即不用頻繁建立連接�����,也不必支付傳輸間隙時的費用����。
4.GPRS/EDGE能最好地支持頻繁的�����、少量突發(fā)型數(shù)據(jù)業(yè)務(wù)。通信質(zhì)量穩(wěn)定可靠�,永不掉線。
5.GPRS/EDGE網(wǎng)絡(luò)接入速度快���,提供了與現(xiàn)有數(shù)據(jù)網(wǎng)的無縫連接����。
由于GPRS/EDGE網(wǎng)本身就是一個分組型數(shù)據(jù)網(wǎng), 支持TCP/IP����、X.25協(xié)議,因此無需經(jīng)過PSTN等網(wǎng)絡(luò)的轉(zhuǎn)接����,直接與分組數(shù)據(jù)網(wǎng)(IP網(wǎng)或X.25網(wǎng))互通,接入速度僅幾秒鐘���,快于電路型數(shù)據(jù)業(yè)務(wù)���。采用TCP/IP協(xié)議,較以前的無線數(shù)據(jù)網(wǎng)絡(luò)(集群��,雙向傳呼�����,GSM短信息)而言,網(wǎng)絡(luò)接入更加直接方便���。
6.覆蓋較好�����,比較很多無線數(shù)據(jù)網(wǎng)絡(luò)(集群��,雙向傳呼�����,CDPD���,CDMA)而言,其網(wǎng)絡(luò)覆蓋是最好的��。
二�����、解決方案
1.系統(tǒng)結(jié)構(gòu)圖
2.系統(tǒng)組成
1)終端設(shè)備
用戶端:
采用廈門四信通信科技有限公司的GPRS/EDGE路由器����,采用以太網(wǎng)\串口和彩票機(jī)相連,完成用戶系統(tǒng)的構(gòu)成�����,其中用戶的計算機(jī)運行用戶的系統(tǒng)軟件和應(yīng)
局端:
采用某移動提供的線路和接口����。
隨著科技的不斷發(fā)展,便攜式PC\臺式機(jī)功能日漸強(qiáng)大�����,對于企業(yè)的員工而言操作更方便�����。
用戶系統(tǒng):
用戶采用PC機(jī)���,利用以太網(wǎng) \ 串口和本終端相連�����,實現(xiàn)系統(tǒng)的通信�。
廈門四信提供的F3123 GPRS路由器和F3323 EDGE路由器通用的操作環(huán)境和強(qiáng)大的處理能力使得終端設(shè)備能夠通過對GPRS/EDGE網(wǎng)絡(luò)及后臺應(yīng)用服務(wù)的支持,迅速完成數(shù)據(jù)查詢及業(yè)務(wù)處理���。
應(yīng)用服務(wù)
主要由四層軟件組成:
前端軟件:
前端軟件運行于終端上���,支持本地業(yè)務(wù)數(shù)據(jù)的查詢及業(yè)務(wù)事務(wù)處理;同時管理
無線通訊網(wǎng)絡(luò)�����,完成撥號��、掛斷及狀態(tài)監(jiān)測���;對于事務(wù)處理請求與確認(rèn)���,實現(xiàn)可靠
的傳輸控制,保證與局端的協(xié)作�。
外網(wǎng)服務(wù)軟件:
外網(wǎng)服務(wù)軟件完成與前端軟件的安全認(rèn)證及加解密,協(xié)同外網(wǎng)查詢數(shù)據(jù)庫完成
數(shù)據(jù)查詢請求的處理及應(yīng)答�;處理內(nèi)網(wǎng)服務(wù)器產(chǎn)生的數(shù)據(jù)同步命令維護(hù)外網(wǎng)查詢數(shù)
據(jù)庫;為內(nèi)網(wǎng)服務(wù)軟件與前端軟件提供穿透物理隔離的傳輸��,使業(yè)務(wù)處理請求可以
安全有效地到達(dá)內(nèi)網(wǎng)并進(jìn)行處理。
內(nèi)網(wǎng)服務(wù)軟件:
內(nèi)網(wǎng)服務(wù)軟件完成與外網(wǎng)服務(wù)軟件的隔離傳輸�,及與前端軟件的安全認(rèn)證和加
解密,對前端產(chǎn)生的事務(wù)處理請求進(jìn)行解釋����、執(zhí)行�,依靠數(shù)據(jù)庫適配層軟件,將各
業(yè)務(wù)數(shù)據(jù)庫同步至外網(wǎng)查詢服務(wù)軟件��。
局端數(shù)據(jù)庫適配層軟件:
局端數(shù)據(jù)庫適配層軟件對存在于多體系異種數(shù)據(jù)庫平臺的業(yè)務(wù)數(shù)據(jù)庫提供抽象
接口����,支持內(nèi)網(wǎng)服務(wù)軟件完成事務(wù)處理及數(shù)據(jù)同步。
用于GPRS/EDGE網(wǎng)絡(luò)的無線數(shù)據(jù)傳輸
經(jīng)過數(shù)年多的建設(shè)�����,某移動GPRS/EDGE網(wǎng)實現(xiàn)了沿海地區(qū)的全面覆蓋和山區(qū)地區(qū)的地市覆蓋��,并且于2002年5.17正式向用戶提供服務(wù)�。GPRS/EDGE業(yè)務(wù)的高速數(shù)據(jù)傳輸、“永遠(yuǎn)在線”���、“流量計費”和“全國漫游”的特性以及中國移動的優(yōu)質(zhì)網(wǎng)絡(luò)���,滿足了不同層次客戶的需求����,也為發(fā)展行業(yè)應(yīng)用奠定了堅實的基礎(chǔ)�����。
3.專線APN傳輸方式
根據(jù)企業(yè)對網(wǎng)絡(luò)安全的特殊要求�����,沈陽移動通信分公司和廈門四信通信科技有限公司合作設(shè)計了基于GPRS/EDGE網(wǎng)絡(luò)的數(shù)據(jù)傳輸方案��,采用了多種安全措施��,主要包括:
l 通過一條2M 專線接入某移動GPRS/EDGE網(wǎng)絡(luò)���,雙方互聯(lián)路由器之間采用私有IP地址進(jìn)行廣域連接�����,在GGSN與某移動互聯(lián)路由器之間采用GRE隧道�����。
l 為某移動的客戶分配專用的APN����,普通用戶不得申請該APN。用于GPRS/EDGE專網(wǎng)的SIM卡僅開通該專用APN����,限制使用其他APN��。
l 客戶可自建一套RADIUS服務(wù)器和DHCP服務(wù)器�,GGSN向RADIUS服務(wù)器提供用戶主叫號碼,采用主叫號碼和用戶賬號相結(jié)合的認(rèn)證方式�;用戶通過認(rèn)證后由DHCP服務(wù)器分配企業(yè)內(nèi)部的靜態(tài)IP地址。
l 端到端加密:移動終端和服務(wù)器平臺之間采用端到端加密�����,避免信息在整個傳輸過程中可能的泄漏����。
l 雙方采用防火墻進(jìn)行隔離,并在防火墻上進(jìn)行IP地址和端口過濾���。
4.業(yè)務(wù)流程
GPRS/EDGE專網(wǎng)系統(tǒng)終端上網(wǎng)登錄服務(wù)器平臺的流程為:
1)用戶發(fā)出GPRS/EDGE登錄請求��,請求中包括由某移動為GPRS/EDGE專網(wǎng)系統(tǒng)專門分配的專網(wǎng)APN�����;
2)根據(jù)請求中的APN�,SGSN向DNS服務(wù)器發(fā)出查詢請求,找到與企業(yè)服務(wù)器平臺連接的GGSN��,并將用戶請求通過GTP隧道封裝送給GGSN�;
3)GGSN將用戶認(rèn)證信息(包括手機(jī)號碼、用戶賬號�����、密碼等)通過專線送至Radius進(jìn)行認(rèn)證����;
4)Radius認(rèn)證服務(wù)器看到手機(jī)號等認(rèn)證信息,確認(rèn)是合法用戶發(fā)來的請求����,向DHCP服務(wù)器請求分配用戶地址;
5)Radius認(rèn)證通過后����,由Radius向GGSN發(fā)送攜帶用戶地址的確認(rèn)信息���;
6)用戶得到了IP地址,就可以攜帶數(shù)據(jù)包�,對GPRS/EDGE專網(wǎng)系統(tǒng)信息查詢和業(yè)務(wù)處理平臺進(jìn)行訪問。
三��、網(wǎng)絡(luò)安全
1.安全方案的設(shè)計原則
在設(shè)計GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)的安全系統(tǒng)時�,我們將遵循以下原則:
l 體系化設(shè)計原則
通過分析信息網(wǎng)絡(luò)的層次關(guān)系,提出科學(xué)的安全體系和安全框架����,并根據(jù)安全體系分析存在的各種安全風(fēng)險����,從而最大限度地解決可能存在的安全問題。
l 全局性�����、均衡性�、綜合性設(shè)計原則
從全局出發(fā),綜合考慮各種安全風(fēng)險��,采取相應(yīng)的安全措施�����,并根據(jù)風(fēng)險的大小,采取不同強(qiáng)度的安全措施��,提供具有最優(yōu)的性能價格比的安全解決方案��。
l 可行性�、可靠性、安全性
在采用安全系統(tǒng)之后�����,不會對GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)原有的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有大的影響�。在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運轉(zhuǎn)的前提下,保證系統(tǒng)的安全��。
l 統(tǒng)一規(guī)劃�����、分布實施原則
針對整個GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)統(tǒng)一制定技術(shù)方案��,采取相同的技術(shù)路線�,這樣有利于統(tǒng)一安全策略的制定,有利于保護(hù)整個GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)的安全���,并且可以節(jié)約投資��,減少浪費���。
在統(tǒng)一規(guī)劃的基礎(chǔ)上�,可以采取分步實施的策略�����,在資金允許條件下�����,先解決有迫切安全需求���、而且技術(shù)成熟的問題。
2.安全體系
安全方案的科學(xué)性����、可行性是其可順利實施的保障。
安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上�����,因為安全框架是安全方案設(shè)計和分析的基礎(chǔ)。
為了系統(tǒng)��、科學(xué)地分析安全方案涉及的各種安全問題����,在大量調(diào)查研究的基礎(chǔ)上,我們提出了下面的安全體系(見下圖)���,它反映了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性���。具體說明如下:
安全體系是一個三維結(jié)構(gòu):
l 第一維(X軸)是安全服務(wù)特性,給出了7種安全屬性�;
l 第二維(Y軸)是系統(tǒng)單元,給出了信息網(wǎng)絡(luò)系統(tǒng)的組成����;
l 第三維(Z軸)是協(xié)議層次,給出了國際標(biāo)準(zhǔn)化組織ISO的開放系統(tǒng)互連(OSI)模型�����。
安全體系的具體模型和介紹如下:
安全管理
貫穿于上述三個方面各個層次的是安全管理�。通過技術(shù)手段和行政管理手段,安全管理將涉及到各系統(tǒng)單元在各個協(xié)議層次提供的各種安全服務(wù)�。
安全技術(shù)體系
通過對網(wǎng)絡(luò)應(yīng)用的全面了解����,安全風(fēng)險存在于網(wǎng)絡(luò)系統(tǒng)的各個層次���,那么���,在網(wǎng)絡(luò)系統(tǒng)的各個層次之中都應(yīng)有相應(yīng)的安全解決技術(shù),包括:物理層安全����、鏈路層安全、網(wǎng)絡(luò)層安全�����、操作系統(tǒng)安全以及管理安全����。只有這樣的安全技術(shù)體系才是完整的�����、全面的�。下圖列出了各網(wǎng)絡(luò)安全設(shè)備在網(wǎng)絡(luò)安全三維體系中的應(yīng)用�����。
3.安全子系統(tǒng)劃分
在安全方案設(shè)計中��,首先要確定安全方案所涉及到的系統(tǒng)單元�����,其次要考慮該系統(tǒng)單元在各個層次所提供的安全服務(wù)(功能)���,最后還應(yīng)考慮這些單元系統(tǒng)之間的邏輯關(guān)系,在整體安全體系框架下�����,劃分成不同的安全子系統(tǒng)��,分別提供相應(yīng)的安全解決方案�,才能提供全面的、合理的����、有機(jī)的安全服務(wù)。
因在GPRS/EDGE專網(wǎng)系統(tǒng)中以包含RADIUS身份認(rèn)證系統(tǒng),本方案中針對GPRS/EDGE彩票系統(tǒng)的網(wǎng)絡(luò)層安全系統(tǒng)(包括防火墻和入侵檢測系統(tǒng))進(jìn)行論述
網(wǎng)絡(luò)層安全系統(tǒng):主要通過防火墻分布式隔離來實現(xiàn)����,即在彩票總部數(shù)據(jù)中心網(wǎng)絡(luò)和各營業(yè)點均通過防火墻進(jìn)行安全隔離,將危險區(qū)域進(jìn)行分劃到每個區(qū)域子網(wǎng)����,使危險區(qū)域控制在小的區(qū)域區(qū)間內(nèi)。對某一個區(qū)域的攻擊不會影響到別的區(qū)域���,同時通過安全規(guī)則的細(xì)化�,盡量避免了各區(qū)域子網(wǎng)之間的攻擊擴(kuò)散���。同時�,對于彩票總部數(shù)據(jù)中心網(wǎng)絡(luò)重要的服務(wù)器子網(wǎng)采用入侵檢測系統(tǒng)�����,作為實時的訪問監(jiān)控��,及時的對外來攻擊作出報警及阻斷的響應(yīng)��。
4.總體網(wǎng)絡(luò)安全邏輯結(jié)構(gòu)示意
根據(jù)以上分析���,我們得出GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)安全如下:
1) 網(wǎng)絡(luò)安全示意圖:
5.安全方案的選型
1)網(wǎng)絡(luò)系統(tǒng)安全系統(tǒng)
主要依靠防火墻��、基本入侵檢測等技術(shù)�����,在網(wǎng)絡(luò)層構(gòu)筑一道安全屏障��,并依靠分布式的產(chǎn)品部署�����,集成在同一個安全管理平臺上��,實現(xiàn)網(wǎng)絡(luò)層的統(tǒng)一����、集中的安全管理��。
2)網(wǎng)絡(luò)層安全管理平臺
選擇網(wǎng)絡(luò)層安全管理平臺時主要考慮這個安全管理平臺能否與其它相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品集成���,能否對這些安全產(chǎn)品進(jìn)行統(tǒng)一的管理�����,包括配置各相關(guān)安全產(chǎn)品的安全策略�、維護(hù)相關(guān)安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整相關(guān)安全產(chǎn)品的系統(tǒng)狀態(tài)等���。
在這個前提下�����,我們建議在GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)中采用由清華得實公司提供的網(wǎng)絡(luò)層安全管理平臺���。
3)安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)劃分
劃分網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),一方面要保證網(wǎng)絡(luò)的安全���,另一方面��,不能對原有網(wǎng)絡(luò)結(jié)構(gòu)做太大的更改�����。為此我們建議采用下圖所示的支持非軍事化區(qū)的三網(wǎng)段安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����。
用非軍事化區(qū)的安全網(wǎng)絡(luò)拓?fù)涫疽鈭D
這種安全網(wǎng)絡(luò)拓?fù)鋱D主要從保護(hù)重要服務(wù)器的安全出發(fā)考慮���,把網(wǎng)絡(luò)劃分成三個網(wǎng)段:外網(wǎng)�����、非軍事化區(qū)網(wǎng)段和安全內(nèi)網(wǎng)。
非軍事化區(qū)網(wǎng)段(DMZ)主要放置一些對外提供服務(wù)的服務(wù)器��,包括WEB服務(wù)器��、DB�����、網(wǎng)管工作站��。安全系統(tǒng)的一些安全服務(wù)器�����、管理服務(wù)器等也都放在非軍事化區(qū)內(nèi)�����。
安全內(nèi)網(wǎng)主要放置一些不對外直接開放的重要服務(wù)器�,如各種數(shù)據(jù)庫服務(wù)器�、WWW服務(wù)器等����。在這種網(wǎng)絡(luò)結(jié)構(gòu)中,通過防火墻等安全設(shè)備的配置�,可以確保:
l 可以拒絕從外網(wǎng)對安全內(nèi)網(wǎng)的各種直接的訪問連接;
l 可以在非軍事化區(qū)內(nèi)對外網(wǎng)開放一些服務(wù)器和服務(wù)端口��,如WEB服務(wù)器的80端口等�;
l 可以限制內(nèi)網(wǎng)中用戶能夠訪問外網(wǎng)的某些服務(wù)端口,如只允許訪問HTTP����、FTP等服務(wù)。
通過這種配置�����,可以保證在對外提供正常服務(wù)的同時��,充分保證服務(wù)器和數(shù)據(jù)的安全���。下面的防火墻配置將以這種支持非軍事化區(qū)的三網(wǎng)段安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)�。
4)防火墻配置
我們建議如“GPRS/EDGE彩票系統(tǒng)網(wǎng)絡(luò)安全示意圖”所示配置防火墻設(shè)備:
在彩票系統(tǒng)中心網(wǎng)絡(luò)的外聯(lián)出口采用一臺清華得實NetST2104企業(yè)級防火墻�����,保護(hù)彩票系統(tǒng)中心網(wǎng)絡(luò);
在自己允許的情況下�,可在每個營業(yè)點機(jī)構(gòu),安裝一臺經(jīng)濟(jì)適用的清華得實NetST1000小型部門級防火墻�,保護(hù)各營業(yè)點系統(tǒng);
5)NetST防火墻產(chǎn)品
A.選型原則
在本方案中����,我們選擇了清華得實防火墻NetST產(chǎn)品�����。
綜合考慮到安全��、性能����、價格等因素,我們建議在配置防火墻時�,采取國內(nèi)防火墻產(chǎn)品:即防火墻NetST。選擇國內(nèi)產(chǎn)品主要考慮自主研發(fā)的�����、具有自主版權(quán)的、技術(shù)成熟且安全可靠��、性能優(yōu)越的防火墻產(chǎn)品��。所選產(chǎn)品經(jīng)過國家有關(guān)部門的認(rèn)證�,有銷售許可。
B.NetST簡介
作為國內(nèi)最早自主開發(fā)的防火墻系統(tǒng)之一�����,新一代NetST防火墻引擎采用了國際先進(jìn)的狀態(tài)檢測技術(shù)�,實時在線監(jiān)測當(dāng)前內(nèi)外網(wǎng)絡(luò)的各種連接狀態(tài),并根據(jù)連接狀態(tài)動態(tài)配置規(guī)則�,對異常的連接狀態(tài)進(jìn)行阻斷。
NetST防火墻為用戶提供了強(qiáng)大的包過濾功能�,支持TCP/IP協(xié)議族內(nèi)各種主流網(wǎng)絡(luò)協(xié)議,可以根據(jù)網(wǎng)絡(luò)流量的類型�、網(wǎng)絡(luò)地址、應(yīng)用服務(wù)等條件進(jìn)行過濾���。
NetST提供了包括網(wǎng)絡(luò)層訪問控制�����、地址轉(zhuǎn)換����、流量限制等多種防火墻基本功能,還提供基于用戶身份的安全策略控制�,還可以實時在線監(jiān)視網(wǎng)絡(luò)的各種連接,用戶可以隨時掌握網(wǎng)絡(luò)中發(fā)生的各種情況�����,并在日志中記錄所有對防火墻的配置操作�、異常的連接、被防火墻拒絕的連接�����、可能的入侵等信息�,并提供友好的管理界面進(jìn)行管理�����。
NetST還提供系統(tǒng)安全防范功能����,可以對多種網(wǎng)絡(luò)入侵�����,包括多種拒絕服務(wù)攻擊(如ping of death,land�����,syn flooding��,tear drop等)�����、端口掃描�����、IP欺騙等攻擊行為�����,進(jìn)行辨別和有效阻斷��。
NetST通過采用工業(yè)級硬件系統(tǒng)��,可靠的專用安全操作系統(tǒng)、穩(wěn)定的防火墻引擎�����,保證了整個系統(tǒng)具有極高的性能和可靠性�����。
NetST已經(jīng)通過了公安部采用最新包過濾防火墻國家標(biāo)準(zhǔn)(GB18019-1999)進(jìn)行的安全產(chǎn)品認(rèn)證(序號:010128���,銷售許可證號:XKC33129)和中國國家信息安全測評認(rèn)證中心的認(rèn)證(CNISTEC1999TYP009)��。
C.防火墻的特點:
l 最大支持100Mbps線速狀態(tài)檢測��。
l 防火墻滿足網(wǎng)絡(luò)間的單向訪問需求����、過濾不安全的服務(wù)����。
l 最大并發(fā)連接數(shù)達(dá)到60,000個以上����,遠(yuǎn)遠(yuǎn)滿足用戶的需求。
l 支持VPN功能。
l 可以針對協(xié)議����、端口號、時間�、流量等條件實現(xiàn)安全的訪問控制。
l 可以根據(jù)如下信息進(jìn)行過濾:
a) -源IP地址
b) -目的IP地址
c) -協(xié)議類型(IP����、ICMP、TCP���、UDP)
d) -源TCP/UDP端口
e) -目的TCP/UDP端口
f) -ICMP報文類型域和代碼域
g) -碎片包
h) -其它標(biāo)志位�,如SYN����、ACK位
l 自動掃描主機(jī)打開的端口。
l 防火墻支持高可用性和負(fù)載均衡�。
l 防火墻初始狀態(tài)應(yīng)關(guān)閉所有端口,根據(jù)客戶需要一個個打開���。具備反端口掃描功能�����。
l 可以斷開任一網(wǎng)絡(luò)接口的連接����。
l 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)、MAC地址綁定技術(shù)��。
l NetST防火墻支持在內(nèi)部網(wǎng)使用保留的IP地址�����,通過動態(tài)的地址轉(zhuǎn)換功能實現(xiàn)對外部網(wǎng)的訪問��。NetST防火墻具有動態(tài)和靜態(tài)地址NAT兩種轉(zhuǎn)換方式���,滿足用戶的不同需求��。
l 有智能的過濾���、攔截功能。
l 防火墻具有惡意入侵檢測與報警�����。通過NetST防火墻的報警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)同工作�,實現(xiàn)對入侵攻擊及早防御。同時會啟動自動防范系統(tǒng)進(jìn)行防范���。
l 防火墻具有強(qiáng)大的審計功能和統(tǒng)計報表功能�。
l 防火墻具有集中管理的功能�����。
l 防火墻具有備份功能��。
l NetST防火墻提供非常方便的升級方式����。
l 支持DHCP功能。
D.防火墻防范的種類的攻擊:
l 檢測多種DOS攻擊
l 檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序
l 測多種針對FTP服務(wù)的攻擊
l 檢測多種DDOS攻擊
l 檢測多種針對Finger服務(wù)的攻擊
l 檢測基于NetBi0S的攻擊
l 檢測緩沖區(qū)溢出類型攻擊
l 檢測基于RPC的攻擊
l 檢測基于SMTP的攻擊
l 檢測基于Telnet的攻擊
l 檢測CGI攻擊
l 檢測針對WEB Server的FrontPage擴(kuò)展進(jìn)行的攻擊
l 檢測針對WEB Server的ColdFusion擴(kuò)展進(jìn)行的攻擊
l 檢測針對MicroSoft IIS server進(jìn)行的攻擊
l 檢測利用ICMP進(jìn)行的掃描和攻擊��。
l 檢測利用Traceroute對網(wǎng)絡(luò)的探測
l 檢測ActiveX���,JaveApplet的傳輸
l 檢測對其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊����。
E. 入侵檢測系統(tǒng)配置
針對以上需求情況:我們在彩票中心網(wǎng)絡(luò)中都設(shè)置一臺NetDT入侵檢測系統(tǒng)����。
設(shè)置安全檢測和攻擊預(yù)警系統(tǒng)的目的是:運用成熟的攻擊�、反攻擊技術(shù)����,分析已知的系統(tǒng)安全漏洞和薄弱環(huán)節(jié)。安全檢測可以在不安全因素被誘發(fā)之前��,消除系統(tǒng)可能的安全隱患�����。攻擊預(yù)警系統(tǒng)可以實時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊����,阻撓不安全用戶進(jìn)入系統(tǒng)。
F.入侵檢測系統(tǒng)的建設(shè)目標(biāo)
根據(jù)彩票投注對安全的需求�����,我們認(rèn)為對該系統(tǒng)入侵檢測系統(tǒng)的建設(shè)目標(biāo)應(yīng)該是:
l 對外��,需要能夠及時發(fā)現(xiàn)針對彩票中心網(wǎng)的服務(wù)器以及內(nèi)部網(wǎng)絡(luò)的各種攻擊能夠及時被發(fā)現(xiàn)和阻斷����。
l 對內(nèi),要保證針對彩票中心網(wǎng)的重要服務(wù)器的各種攻擊企圖要能夠及時被發(fā)現(xiàn)和阻斷���。
入侵檢測系統(tǒng)有基于主機(jī)和基于網(wǎng)絡(luò)的兩種模式的技術(shù)和產(chǎn)品����。
基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),通過在計算機(jī)網(wǎng)絡(luò)中的某些點,被動地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁�����,對獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理��,從中獲取有用的信息����,再與已知攻擊特征相匹配,或與正常網(wǎng)絡(luò)行為原型相比較,來識別攻擊事件。
基于主機(jī)的產(chǎn)品只能針對某一個服務(wù)器的訪問行為進(jìn)行檢測�����,一般是通過檢查系統(tǒng)的訪問日志進(jìn)行判別��,識別率較高�����,但實時性較差�����。此外,基于主機(jī)的產(chǎn)品與服務(wù)器的操作系統(tǒng)關(guān)系密切���,一般只支持主流的操作系統(tǒng)(如Windows NT����,Solaris等)���。
為此����,我們建議采用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)���。如圖2��、3所示����,我們建議入侵檢測系統(tǒng)的配置是:
在內(nèi)部網(wǎng)����,配置入侵檢測系統(tǒng)的監(jiān)控中心��,對彩票中心網(wǎng)的所有入侵檢測系統(tǒng)的探測頭進(jìn)行集中�����、統(tǒng)一的管理和監(jiān)控;
我們選用的清華得實NetDT入侵檢測產(chǎn)品功能如下:
網(wǎng)絡(luò)入侵檢測NetDT系統(tǒng)是北京清華得實科技股份有限公司網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)品之一����。該系統(tǒng)采用分布式入侵偵測系統(tǒng)構(gòu)架,國際先進(jìn)的反IDS欺騙技術(shù)��、底層協(xié)議分析技術(shù)����、智能規(guī)則技術(shù)、實時顯示技術(shù)和網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控技術(shù)��,全面監(jiān)視各個子網(wǎng)絡(luò)的通信情況��,及時捕獲入侵行為���,并針對網(wǎng)絡(luò)上的可疑入侵行為���,做出策略反應(yīng)�,及時告警和日志記錄等���,最大限度地保障系統(tǒng)安全�����,是一套擁有完全自主版權(quán)���、實用性強(qiáng)的安全產(chǎn)品,適用于政府���、銀行��、證券��、電子商務(wù)����、數(shù)據(jù)中心等單位和部門����。
清華得實NetDT入侵檢測系統(tǒng)功能如下:
l 分布式系統(tǒng)架構(gòu):偵聽器可安裝在網(wǎng)絡(luò)的各物理網(wǎng)段上,一臺服務(wù)器管理多個偵聽器,從而達(dá)到分布安裝����,全網(wǎng)監(jiān)控,集中管理����。
l 高效的檢測能力:系統(tǒng)提供100Mbps最大監(jiān)控網(wǎng)絡(luò)流量。
l 自動的防御能力:中斷當(dāng)前攻擊行為��,維護(hù)系統(tǒng)和數(shù)據(jù)安全���。
l 強(qiáng)大的偵聽能力:記錄攻擊行為的屬性、特征和來源�����。
l 有效的分析能力:對入侵行為進(jìn)行統(tǒng)計��、分類和等級劃分�����,提供客觀的分析和防御基礎(chǔ)�����。
l 靈活準(zhǔn)確的報警方式,使管理員及時了解網(wǎng)絡(luò)狀況����。
l 說盡的日志說錄,靈活的日志查詢手段��。
l 多樣化的報表形式����,可生成多種樣式的報表。
l 優(yōu)越的數(shù)據(jù)處理能力��,可應(yīng)對龐大的數(shù)據(jù)流�����。
l 系統(tǒng)廣泛的可適用性:適合于大����、中、小各種規(guī)模���、不同應(yīng)用的網(wǎng)絡(luò)的內(nèi)部濫用行業(yè)和外部入侵行為的共同檢測與防御��。
l 圖形化管理能辦:可視的管理����、監(jiān)視、控制和分析操作界面�����,方便使用���。
6)網(wǎng)絡(luò)安全設(shè)備的實施效果
A. 防黑客功能實現(xiàn)
防黑客功能在網(wǎng)絡(luò)安全中占據(jù)了主要的作用����,幾乎任何一個網(wǎng)絡(luò)首先考慮的就是防黑客���,在本方案中,各個點所采用的防黑客技術(shù)主要是防火墻系統(tǒng)的主要功能為:
l 防止來自外網(wǎng)的黑客攻擊�����;
l 及時提供攻擊報警和記錄等響應(yīng)
l 防止來自內(nèi)網(wǎng)的惡意入侵����、掃描;
l 對內(nèi)網(wǎng)的服務(wù)器等作漏洞掃描,做到防患于未然��。
當(dāng)一個黑客或惡意入侵者想探測或攻擊企業(yè)的服務(wù)器時����,防火墻會阻擋這些攻擊信息,并且記錄該攻擊者的IP�、端口、采用的攻擊手段等信息��,使得黑客無法獲得他想要得到的信息�����。
B.訪問控制功能的實現(xiàn)
通過防火墻實現(xiàn)對訪問主機(jī)IP進(jìn)行過濾�����,防止非法訪問����。
有效控制訪問端口,避免對內(nèi)部網(wǎng)絡(luò)的非授權(quán)端口受到攻擊�����。
|
