网神多核防火墙助公安图像监控安全-防火墙解决方案【项目背景】:A市公安图像监控IP网络是该市公安图像监控网络体系建设的重要组成部分,是一套独立于现有公安信息网的专用网络,是提供图像数字化应用的共享平台。自“金盾”工程建设完成,随着公安信息网络应用不断扩展,网络负担日趋沉重,难以负担日益增加的视频信息应用需求。同时,由于公安信息网络必须与其他单位网络物理隔离,在图像信息共享方面无法满足。因此,需建立公安图像监控IP专用网络以满足各类视频图像的应用和共享需求。公安图像监控IP网络将为公安视频图像信息的应用和共享提供高效的传输平台。为确保网络、各类视频应用及图像信息的安全、可靠,使其更好地为公安指挥决策、一线实战服务,并且能够充分利用社会图像资源,实现安全可靠地视频信息共享。为了能够充分利用现有地各类社会图像监控资源,最大程度地发挥图像监控手段地战斗力,在确保公安图像信息与网络安全地前提下,该市公安局图像监控网在市局、分县局以及交警总队、轨道分局、机场分局等20多个业务单位建立共享社会图像监控资源地安全通道。具体方式为在边界处部署访问控制设备对网络流量进行状态检测和过滤,确保图像信息安全共享。【需求分析】:A市公安图像监控IP网络为公安视频图像信息的应用和共享提供数字化应用的共享平台。公安地的市、分县局接入了该网络,为了加强公众力度、满足视频图像共享的需求,交警总队、轨道分局、机场分局也需要接入该网络。由于A市公安图像监控IP网络是以信息共享为主要建设目标的,因此具有公安内部开放性和互连性特性。这种特性致使该市公安图像监控IP网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击。有由于公安视频图像属于涉密信息,所以网上信息的安全和保密是一个至关重要的问题。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以嗅探网络上的信息,窃取用户的口令、数据库的信息;还可以篡改、盗取数据库内容,伪造用户身份,否认自己的签名。更有甚者,可以删除数据库内容,摧毁网络节点,释放计算机病毒等等,这些都使信息安全问题越来越复杂。所以网络的安全性也就成为A市公安图像监控IP网络安全、高效、稳定运行的关键。根据该市公安图像监控IP网络访问控制子系统的建设,为了达到本此安全建设目标,下面我们对访问控制子系统的安全需求进行分析。1、不同等级安全区域隔离,等级安全区域共享。A市公安局图像监控网在市局、分县局以及交警总队、轨道分局、机场分局等20多个业务单位。各业务单位已经完成了公安图像监控系统的建设,形成了相对独立的局域网。在局域网内部各信息系统是具有相同安全保护需求、并相互信任的。这与安全域的定义完全吻合,各业务单位形成同级的安全域。为了防止各业务单位安全域内信息系统遭到攻击,需要将各业务单位安全域与A市公安图像监控IP网络逻辑隔离。通过建立边界访问控制,可以有效规避大部分基于网络层攻击对安全域造成的安全威胁,并降低系统层安全威胁对各业务单位安全域之间影响。利用边界访问控制手段,严格规范各业务单位安全域之间的数据传输及应用,防范不同安全域之间的非法访问和攻击,从而确保各业务单位应用的有序访问。2、提高办公效率和防泄密,保障视频协议处理(1)P2P技术的迅猛发展给我们带来很大的好处,但P2P技术的广泛使用,也给网络系统带来了很大的挑战。在一个局域网中如果有用户在使用P2P软件,将会使整个局域网的带宽消耗殆尽,其它用户的网络速度会变得异常缓慢。因此为了保证A市公安图像监控IP网络的安全运行,通过安全网关设备针对p2p进行阻断或控制。(2)自聊天工具和电子邮件互联网使用以来,造成的泄密事件也不断出现,成为信息安全威胁主要之一。A市公安图像监控IP网络的视频图像信息是涉密信息,如果出现泄密,对A市公安系统的危害十分严重。因此在A市公安图像监控IP网络中部署安全网关设备需要具有对即时通信工具的控制、即时通讯工具和邮件的内容进行过滤的功能。(3)在A市公安图像监控IP网络中传输的主要协议是视频协议,包括:SIP、H.323等协议。视频协议是一种多连接协议,因此在安全网关的访问控制中需要针对视频协议的特点进行特殊的处理。不仅如此,视频协议对网络通信质量的要求高、对网络带宽的要求,并且视频协议对穿越网络设备的数据包转发率有更高的要求,因此设备具有较强性能处理能力。(4)在A市公安图像监控IP网络的应用层协议中处视频协议之外,还包括多种其它应用协议。如果不对这些应用协议进行控制,就会造成与视频会议抢占网络带宽,造成公安图像的延迟和不稳定,影响使用效果。为了解决上述问题,我们需要QoS(服务质量)管理。QoS(QualityofService)是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。因此需要通过不同类别和等级、不同优先级来保证主要业务畅通运行3、如何灵活统一所有设备运行和管理在A市公安图像监控IP网络中安全网关部署在A市公安局图像监控网在市局、分县局以及交警总队、轨道分局、机场分局等20多个业务单位,共需要几十台安全设备,数量较多。安全设备的集中监控、策略分发、统一审计、安全审计和事件告警等管理工作是否完善直接影响着安全网关的安全防护能力。因此,建立A市公安图像监控IP网络安全网关集中管理系统是十分重要的。【解决方案】:根据上述A市公安图像监控IP网络的安全需求分析,我们制定了由安全设备和集中管理中心为组件的技术解决方案,技术解决方案的详细设计如下:1、防火墙技术解决方案:(1)在A市公安图像监控网市局、分县局以及交警总队、轨道分局、机场分局等20多个业务单位边界部署防火墙。通过部署防火墙,将各单位视频等服务器划分为DMZ区域和办公区域,可以对A市公安图像监控IP网络的各业务单位安全域进行逻辑隔离,对各业务单位安全域之间的各种协议和应用进行有效控制,与入侵防护功能,防蠕虫功能相结合防御网络攻击。(2)通过防火墙分区域规则控制,禁止非安全区域访问,保障各单位等级安全区域共享;对于各单位内办公区域规则控制,开启IM、邮件过滤功能,防止内部信息泄密;针对局域网用户广泛使用P2P软件,开启防火墙P2P控制/禁止,保证A市公安图像监控IP网络的安全运行和办公效率;开启防火墙日志分析功能,不仅记录视频等服务器访问记录,同时跟踪防火墙使用情况,真正做到有据可查、快速定位的效果。(3)针对视频协议对网络通信质量的要求高,并且视频协议对穿越网络设备的数据包转发率有更高的要求情况下,网御神州提供了高端网神SecGate3600G30防火墙。G30防火墙基于多核处理器硬件架构与新一代多核并行操作系统SecOS,能够最大化的做到并行处理,分担数据流量,从而极大的提升了网络数据处理性能,因此可以快速全线速转发大量视频流量,且能有效过滤所有数据报文,保证网络安全畅通。同时防火墙多核架构的灵活性可以无限期的升级,足够的保证未来网络数据处理能力和避免重复性投资。全功能升级能力较好,可以针对新的攻击方式增加安全防护功能。网神SecGate3600G30防火墙支持精细的多级带宽管理与限制,能够根据用户应用的不同提供不同等级的QoS质量保证,从而可以保证视频业务的高可靠与高稳定。2、集中管理解决方案:防火墙作为网关级访问控制设备部署在网络边界,如果防火墙发生故障将严重影响A市公安图像监控IP网络中各种应用的运行。同时,根据网络中攻击方式的变化,以及应用的调整,需求适当的改变防火墙的安全策略,防火墙的管理是安全管理员的重要日常工作。因此我们在该市局部署网神SecGateManager集中管理软件,通过网神SecGateManager集中管理软件将该市20多个单位防火墙统一进行管理,其中主要体现在:(1)防火墙集中管理系统支持设备的拓扑图形显示,能自动识别和发现新加入的设备拓扑图,提供放大、缩小和鸟瞰功能,可以方便和直观的管理管理。(2)防火墙集中管理系统支持对网络故障的直观图形显示,当设备发生故障是,可以通过图标的变化在网络拓扑中显示出来,可以一目了然地发现网络和设备的故障所在。(3)支持设备的实时性能分析,能够实时查看设备的CPU利用率,内存利用率和磁盘使用情况,接口流量、接口利用率、接口错误率,接口丢包率和接口流速。实时。可视化集中监控。(4)能通过统一的入口进入设备WEB管理配置界面,实现同时管理多台设备。(5)可以对防火墙设备分组进行管理,支持以设备组为单位对防火墙设备群进行统一监控。(6)支持防火墙时间以及校时方式进行统一设置。(7)安全策略的集中编辑及下发,把配置安全策略的过程转变为“编辑——下发”的过程,少了安全策略的冲突和漏洞、增强了全网的整体安全性。支持对IP包过滤规则、多播规则、FTP内容过滤规则、HTTP内容过滤规则、SMTP内容过滤规则进行统一配置和统一下发。(8)可以对防火墙设备分组进行管理,支持以设备组为单位对防火墙设备群进行统一策略部署。(9)集中管理统一升级防火墙,针对新的需求和新的应用防御,及时满足客户需求(10)集中管理对所有防火墙及时安全审计分析,友好的管理界面,方便灵活的日志报表管理能够快速的掌握,并能及时进行分析和管理