搜索
……2013年度及2014年提前下达政法转移支付资金业务装备采购项目产品选型方案联系电话:传真:E-mail:公司地址:邮编:……产品选型方案引言在网络信息安全建设中,特别是大众型网络工程设计的应用,合理的选择交换机、路由器、防火墙、服务器、UPS电源和各种连接线路等设备是必然的,对相关设备进行测试也是不可缺少的。网络工程建设的主要任务是:按计划进行的网络综合性工作,包括网络的需求分析、网络设备的选择、网络拓扑结构的设计、施工技术要求等。网络信息安全建设中重要关节之一就是网络设备选型与测试,这一环节完成的优劣将直接影响之后所完成系统的功能和性能。因此在信息安全建设之前,乙方的设备选型具有较强的实际应用的意义。……产品选型方案目录……产品选型方案11防火墙选型1.1防火墙的主要性能指标LAN接口:LAN接口类型,防火墙所能保护的网络类型;支持最大LAN接口数。操作系统平台:防火墙所运行的操作系统平台。协议支持:是否支持AppleTalk、DECnet、IPX及NETBEUI等协议。加密支持:防火墙支持的加密算法,例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。认证支持:防火墙能够为本地或远程用户提供经过认证与授权的对网路资源的访问,防护墙管理员必须决定客户以何种方式通过认证。访问控制:访问控制一般通过包过滤、代理及NAT三种技术来实现。防御功能:支持病毒扫描的能力;提供内容过滤的能力;能防御的DoS攻击;阻止脚本侵入手段的能力;主动防御的能力。安全特性:支持转发和跟踪ICMP协议的能力;提供入侵实时警告机制;提供实时入侵防范;识别、记录、防止IP地址欺骗。管理功能:防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理。管理员的行为主要包括:通过防火墙的身份鉴别,编写防火墙的安全规则,配置防火墙的安全参数,查看防火墙的日志等。记录和报表功能;防火墙处理完整日志的方法;自动日志扫描;实时统计。1.2防火墙的选项的基本原则总拥有成本和价格:防火墙产品作为网络系统的安全屏障,其总拥有……产品选型方案2的成本不应该超过受保护网络系统可能遭受最大损失的成本。防火墙的最终功能僵尸管理的结果,而非工程上的决策。明确系统需求:即用户需要什么样的网络监视、冗余度以及控制水平。确定总体目标,确定了可接受风险水平后,可以列出一个必须检测怎样的传输、必须允许怎样的传输流通性,以及应当拒绝什么传输的清单。应满足单位特殊要求:单位安全政策中的某些特殊需求并不是每种防火墙都能提供的,这常会成为选择防火墙时需考虑的因素之一,企业常见的需求如下:加密控制标准;访问控制;特殊防御功能。防火墙本身是安全的:作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可趁之机。不同用户选择不同:对于电信级用户、企业及用户、个人单机级用户区别对待。管理与培训:在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会占较大的比例。防火墙的安全性:防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常不发判断,即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用检测安全产品的性能是……产品选型方案3极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了国家权威认证机构认证测试的产品。综上所述,我方在该项目中选择如下防火墙产品:1.3天清汗马USG-FW-320C防火墙天清汉马USG防火墙是启明星辰公司正式推出的高性能、易管理、可升级的全新防火墙系列产品。天清汉马USG防火墙采用领先的专用MIPS64多核硬件架构,高性能、绿色低功耗,集防火墙、VPN、内容过滤、上网行为管理、抗拒绝服务攻击(Anti-DoS)、NetFlow等多种安全技术于一身,全面支持QoS、高可用性(HA)、日志审计等功能。同时,可软件升级支持UTM功能,保护用户投资,是政府、能源、金融、教育、大型企业、中小企业、军队等用户的理想选择。此外,天清汉马USG防火墙支持扩展无线安全模块,可制定多维度的无线安全准入策略,并根据所制定策略实现无线网络的访问控制,为您提供有线、无线网络访问控制整体解决方案。1.3.1设备参数功能参数US-FW-320C硬件架构硬件架构多核VPN硬件加速有CPU核数2管理及外围接口带外管理及专用HA接口无本地控制接口(Console)1(RJ45)CF卡插槽1USB接口2液晶显示屏有固定业务接口百兆接口无……产品选型方案4前兆接口8GE万兆接口无扩展业务接口接口板扩展槽位数量(不含主控板槽位)无扩展接口板卡类型无最大网络接口数量设备在满配情况下支持的最大网络接口数量(包含管理及HA接口)8GE防火墙性能指标(注:吞吐量参数指1518字节下的值)最大并发连接数50W每秒新建连接数6K最大吞吐量(Mbps)1.6G推荐用户数300VPN性能指标(注:吞吐量指164位3DES加密算法,1518字节下的值)VPN吞吐量(Mbps)200MIPSECVPN隧道数300SSLVPN隧道数300VLAN数VLAN数4K安全策略数安全策略数1000认证用户数本地认证用户数4K部署USG-FW防火墙让……院干警可以在一个统一的架构上建立自己的安全基础设施,而以往困扰干警的安全产品协调性、资金和技术匮乏和单位级安全解决方案等问题也能够得到完全解决。USG-FW防火墙部署在网络Internet出口和分支机构(各部门),全面抵御来自互联网的病毒和攻击威胁。同时可作为VPN网关,各分支机构与总部之间开启VPN隧道,保证相互间通信的保密性。1.3.2产品使用详细说明对于大型企业,网络规模较大、用户数量多、业务系统较多,网络建设类似于城域网。在安全建设方面也存在多点建设,除去在集团总部的互联网出口需要安全防控外,各下属单位也有安全防护需求。……产品选型方案5在总部互联网出口部署的天清汉马USG-FW防火墙能够抵御来自互联网的入侵攻击,同时为出差员工提供VPN接入,确保通信的保密性。在各单位出口部署USG-FW防火墙,可以有效控制不同部门之间的越权访问。天清汉马USG-FW防火墙提供统一管理平台,可以统一管理全网的USG-FW防火墙,并提供详尽直观的报表,能够让管理员迅速了解到整个网络的存在的安全风险和趋势,为决定如何制定安全策略提供依据。……产品选型方案62入侵检测产品的选型2.1入侵检测产品的必要性现在的网络安全系统通常都已经部署了防火墙、入侵检测系统,通过对网络安全产品正确配置,控制网络访问控制,监测内部网络、外部网络的攻击行为,这样的网络系统是否已经达到了真正的安全呢,答案是否定的。由于防火墙的众多局限性,比如防火墙不能很好的防范内部网络攻击,对不经过防火墙的数据,防火墙无法检查;防火墙无法解决TCP/IP协议的漏洞问题;防火墙不能阻止内部泄密行为等,为了解决这些缺陷出现了入侵检测产品。但是随着黑客技术的迅猛发展,已经出现了大量的针对IDS的规避技术,使得入侵检测系统无能为力。面对这种尴尬局面,出现了漏洞扫描系统,它可以静态的评估现有网络的安全现状,并提出建设性的意见。2.2入侵检测系统介绍入侵检测是防火墙的合理补充,帮助系统对付网络攻击,特别是来自于防火墙内部的恶意攻击,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。打一个比方,如果说防火墙是一栋大楼的门卫,负责检查进出人员的身份并做好登记,那么大楼里面的录像监控系统就是入侵检测系统,它知……产品选型方案7道进入大楼的人员都做了些什么事情,如果有异常情况立即采取相应的行动。入侵检测系统通常由两部分组成:传感器和控制台。传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理的作用,提供图形界面的控制台。根据采集的数据源,入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。两者的区别表格所示:类别数据源内容优点缺点基于网络的入侵检测系统网络中的所有数据包不会影响业务系统的性能;采取旁路侦听工作方式,不会影响网络的正常运行不能检测通过加密通道的攻击;基于主机的入侵检测系统计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录能够提供更为详尽的用户行为信息;系统复杂性小;误报率低对主机的依赖性很强、性能影响很大;不能监测网络情况基于主机的入侵检测系统都是安装在需要进行检测的主机上,一般都是安装在需要严格监控的主机上;基于网络的入侵检测系统部署复杂一些,通常采取在各个重要网段部署探测器,然后通过统一的控制管理台进行管理,对于交换式网络,要想探测器获取到网络数据,需要交换机端口镜像功能的支持。2.3入侵检测产品功能通过部署入侵检测系统,可以起到以下功能:·记录和分析用户和系统的活动·检查系统配置、漏洞以及文件完整性·识别已知的、未知的攻击行为……产品选型方案8·基于检测结果做特定的响应动作·可以提供作为审计用的日志2.4选择入侵略检测系统考虑的要点入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。市面上的入侵检测产品很多,厂家的宣传也都很好,那么我们在考虑入侵检测产品的好坏以及它是否适合自己应用时通常需要考虑的要点有:特征库升级与维护的费用入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。最大可处理流量(包/秒PPS一般有百兆、千兆之分该产品容易被躲避吗能否有效检测分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等规避方法产品的可伸缩性系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理产品支持的入侵特征数不同厂商对检测特征库大小的计算方法都不一样,尽量参考国际标准产品的响应方法要从本地、远程等多个角度考察,以及是否支持防火墙联动等等是否通过了国家权威机构的评测主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心是否有成功案例需要了解产品的成功应用案例,有必要进行实地考察和测试使用系统的价格性能价格比、以及要保护系统的价值可是更重要的因素。相比之下,启明星辰NT600-PF-B产品将应用和网络可视性与事件调查和纠正功能集成在一起以帮助客户快速而自信地部署在线攻击防护功能,是一项不错的具有智能检测入侵的硬件产品。……产品选型方案9当然对于一栋大楼的安全来说,除了门卫和录像监控系统,还需要巡逻人员,进行定时定点的巡逻,检查现有的一些安全设施的情况,并作一些建设性意见,提高现有的安全性。漏洞扫描系统对服务器、网络设备、个人主机进行潜在威胁分析,找出网络设备的错误配置、操作系统的漏洞、应用软件的Bug等等,根据漏洞扫描系统的建议进行补救和改善,做到未雨绸缪,防范于未然,有效的避免黑客攻击。所以综合上述入侵检测产品性能,我们选择NT600-PF-B产品作为……院检察院信息安全项目建设的入侵检测产品。……产品选型方案102.5启明星辰NT600-PF-B入侵检测天阗入侵检测与管理系统(IDS)是启明星辰自主研发的入侵检测类安全产品,其主要作用是帮助用户量化、定位来自内外网络的威胁情况,提供有针对性的指导措施和安全决策依据,并能够对网络安全整体水平进行效果评估,天阗入侵检测与管理系统(IDS)采用了融合多种分析方法的新一代入侵检测技术,配合经过安全优化的高性能硬件平台,坚持“全面检测、有效呈现”的产品核心价值取向,可以依照用户定制的策略,准确分析、报告网络中正在发生的各种异常事件和攻击行为,实现对网络的“全面检测”,并通