网络安全系统设计过程区级电子政务网络安全系统设计实例.ppt

　　3. 入侵防御　　区政务网信息系统防御入侵的要求除了采用防火墙外，还需要配备入侵防御设备作为防火墙的补充，实时检测内部网络，发现非法入侵则通过防火墙联动阻断。 　　1) 入侵防御系统功能要求　　在互联网出口处部署IPS设备，要求采用成熟、稳定的产品。由于IPS为串联设备，为保证网络的稳定性，要求一旦IPS设备出现问题，可以通过旁路避免影响用户使用网络。IPS对所有流经的数据进行深度分析与检测，具备实时阻断攻击的能力，同时应对正常数据流量不产生任何影响。 　　IPS应可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络中各应用的保护、网络基础设施的保护和网络性能的保护。IPS应在跟踪流状态的基础上，对报文进行二至七层信息的深度检测，可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断，IPS也能够有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。 　　2) 入侵检测系统产品选型　　根据以上性能指标要求，我们选择了Radware的DP-202和TippingPoint的TippingPoint 200两款入侵检测系统产品进行对比分析，具体的对比结果和综合各项指标后的综合评价分别如图12.7和图12.8所示。　　根据上面的对比结果，建议采用Radware公司的DP202入侵检测产品。 图12.7 入侵检测产品对比 图12.8 入侵检测产品综合评价 　　4. 网络审计系统　　1) 网络审计系统性能要求　　安全审计系统应包括对HTTP、TELNET、FTP、SMTP、POP3、SMB、ICQ、OICQ、MSN Messenger等协议的审计，并应该包括对网络中的TCP和UDP协议流量、所有主机的通信流量和当前的TCP活动连接流量进行统计。 　　2) 网络审计系统产品选型　　根据以上性能指标要求，我们选择了三零鹰眼NSAS1000-4A和复旦光华S_Audit两款网络，具体的对比结果和综合各项指标后的综合评价分别如图12.9和图12.10所示。　　根据上面的对比结果，建议采用三零公司的鹰眼NSAS1000-4A产品。 图12.9 网络审计系统产品对比 图12.10 网络审计系统综合评价 　　5. 网络防病毒　　1) 产品性能要求　　网络防病毒产品的主要技术指标参数要求能够支持7000用户使用；包括对网络中所有客户端、服务器的邮件和网关的病毒防护；拥有广泛的平台支持，具备自动化集中管理能力和先进的扫描轮询方式；具备强大的病毒查杀和修复能力，以及全方位的域保护能力；快速响应和病毒库更新，具备强大的系统管理能力，网络自动更新，软件分发，以及良好的自我保护机制。 　　2) 防病毒产品选型　　根据以上性能指标要求，我们选择了symantec公司的antivirus和趋势公司的Client Server Suite两款在国内占有率最高的网络防病毒产品进行对比分析，具体的对比结果和综合各项指标后的综合评价分别如图12.11和图12.12所示。　　根据上面的对比结果，建议采用趋势公司的Client Server Suite(OfficeScan client/server version+TMCM )产品。 图12.11 防病毒产品对比 图12.12 防病毒产品综合评价 　　6. 病毒网关　　各单位信息网络的多个边界，是各类病毒进入的重要途径，网关防病毒技术能够在病毒进入网络前即在网络边界进行全面扫描，防止病毒通过网络边界传入。 　　1) 防毒网关性能要求　　防病毒网关应具备策略处理引擎，能实现精密复杂的基于各种类型和属性的安全策略；具备Web 知识框架结构，精通Web信息流量所涉及到的各种核心技术，为策略处理引擎提供策略控制的依据；具备可视化策略管理器，具有直观的、图形化的用户界面，为分布于整个企业网络范围内的所有专用设备设置和管理安全策略；具备基于目录的认证功能，可与RADIUS、LDAP 和 NTLM等多个不同的后台认证目录服务集成；具备基于网络的认证功能，可根据 IP地址、子网或其他网络标识识别用户；具备病毒扫描、DoS攻击防御、URL过滤、根据MIME类型过滤功能；具备流媒体带宽管理、内容转换、配置管理、实时日志和事件通知、全面的日志和统计报告及配置恢复功能。 　　2) 病毒网关产品选型　　根据以上性能指标要求，我们选择了Mcafee公司的Mcafee Secure Web Gateway-SWG和趋势公司的IWSA-2500-EE-S2两款病毒网关产品进行对比分析，具体的对比结果和综合各项指标后的综合评价分别如图12.13和图12.14所示。