1、天融信网络安全产品方案目 录1 产品功能VII1.1 防火墙VII1.1.1 系统概述VII1.1.2 功能描述VII1.2 入侵防御系统VIII1.2.1 系统概述VIII1.2.2 功能描述VIII1.3 WEB 应用防火墙IX1.3.1 系统概述IX1.3.2 功能描述X1.4 漏扫扫描系统XII1.4.1 系统概述XII1.4.2 功能描述XII1.5 数据库审计系统XIV1.5.1 系统概述XIV1.5.2 功能描述XV1.6 负载均衡系统XVI1.6.1 系统概述XVI1.6.2 功能描述XVII2 安全产品硬件规格及性能参数XVIII2.1 防火墙品目一:TG-62242XVII
2、I2.2 防火墙品目二:TG-42218XX2.3 入侵防御 :TI-51628XXI2.4 WAF :TWF-72138XXII2.5 漏扫:TSC-71528XXIII2.6 数据库审计:TA-11801-NET/DBXXIV2.7 负载均衡:TopApp-81238-NLB-RXXV2.8 相关应答:XXVII3 设备供货方案XXIX3.1 供货计划和安排XXIX3.2 运输安装计划XXIX3.3 货物包装及标注XXXI3.4 货物运输及交货XXXI4 天融信安全产品安装部署方案XXXI4.1 安全设备安装XXXI4.1.1 安装步骤概述XXXI4.1.2 安装准备工作确认XXXII4.
3、1.3 检查安装场所XXXIV4.1.4 安装计划XXXVI4.1.5 安装工具XXXVI4.1.6 设备安装流程XXXVIII4.1.7 设备安装到指定位置XXXVIII4.1.8 地线的连接XXXIX4.1.9 配置电缆的连接XL4.1.10 安装中的布线推荐XLII4.1.11 安装中的电缆捆扎XLIII4.1.12 安装后的检查XLVI4.2 安全设备上线调试XLVII4.2.1 产品上线过程XLVII4.2.2 安全策略调试XLVIII4.3 系统集成割接XLIX4.3.1 现有应用系统数据访问业务特点XLIX4.3.2 割接时间点的选择LI4.3.3 割接原则LII5 测试方案LI
4、I5.1 负载均衡系统测试方案LII5.1.1 测试目的LII5.1.2 测试内容LII5.1.3 测试环境LIII5.1.4 测试用例设计LIV5.1.5 测试结论LXX5.2 防火墙测试方案LXX5.2.1 测试说明LXX5.2.2 功能要求及测试方式LXXII5.2.3 测试结果记录LXXXVIII5.3 入侵防御系统测试方案LXXXIX5.3.1 测试说明LXXXIX5.3.2 测试环境XC5.3.3 攻击测试内容和方法XCII5.3.4 WEB 过滤测试内容和方法XCIX5.3.5 应用监控测试和方法C5.3.6 防病毒测试内容和方法CI5.3.7 防火墙联动CI5.3.8 事件审计
5、CII5.3.9 测试结果CIII5.4 WEB 应用防火墙测试方案CV5.4.1 测试环境CV5.4.2 防护能力测试CV5.5 漏洞扫描系统测试方案CXXXIX5.5.1 测试目的CXXXIX5.5.2 测试环境CXXXIX5.5.3 功能测试CXL5.5.4 专项测试CLXIII5.5.5 漏洞测试CLXVIII5.5.6 压力测试CLXXXVI5.5.7 测试结论CLXXXVIII5.6 数据库审计系统测试方案CLXXXVIII5.6.1 测试目的CLXXXVIII5.6.2 数据库审计基本功能CLXXXIX6 质量保障方案CXCVI6.1 质量保障体系CXCVI6.1.1 质量保证体
6、系CXCVI6.1.2 施工及安装质量控制CC6.1.3 测试及调试质量控制CC6.1.4 过程质量控制CCI6.2 应急保障CCIII6.2.1 应急与回退场景CCIII6.2.2 应急与回退方案CCIV7 售后服务承诺和方案2097.1.1 技术支持与服务体系2097.1.2 技术支持与服务原则2097.1.3 技术支持与服务目标2107.1.4 试运行期间的技术支持与服务2107.1.5 质量保证期内服务2107.1.5.1 质量保证期外服务2127.1.5.2 技术支持热线2148 产品验收方式和标准2148.1 验收目的2148.2 验收依据2148.3 验收组织2158.4 验收进
7、度2158.4.1 到货验收2158.4.2 初步验收2188.4.3 最终验收2209 易损坏、备件支持方案22110 培训方案22110.1 培训目标22110.2 培训方式22210.3 培训手段22210.3.1 专业详细的培训教材22310.3.2 完善的师资配备22310.3.3 多媒体教学22410.4 培训安排22410.4.1 现场培训22410.4.2 集中培训22611 附件一:天融信硬件平台 MTBF 测试报告22912 附件二:常设技术支持机构及备件库所在地23013 附件三:符合国家及行业标准证明材料(见压缩包中的检测报告)2331 产品功能1.1 防火墙1.1.1
8、 系统概述网络层访问控制基本的安全防护手段,通常采用路由器和防火墙等手段实现,然而防 火墙相对与路由器而言,不仅仅只是提供简单的访问控制功能,同时也能够提供更为强大 的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护,所以在网络层访问控 制方面通常都采用防火墙设备,通过防火墙设备定义好的安全规则来实现基本的访问控制。防火墙是实现网络安全的重要设备,防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离内部网和外部网, 保护内部网络不受攻击,实现以下基本功能:l
9、 禁止外部用户进入内部网络,访问内部资源;l 保证外部用户可以且只能访问到某些指定的公开信息;l 限制内部用户只能访问到某些特定资源,如 WWW 服务、FTP 服务等。1.1.2 功能描述针对安全建设需求,建议对部署在网络内的防火墙配置如下策略:实现访问控制:通过在防火墙上配置安全访问控制策略过滤访问行为,实现基于协议、源/目的 IP 地址、端口的访问控制,对来自核心服务器区边界的访问进行认证检查及内容过滤,有选择的接入。带宽管理:启用带宽管理功能,如当某一地址或某地址段对外连接数超过一定数量或流量超过一个设定的阀值时,实现阻断或流量限制的功能;身份认证:在防火墙上开启用户身份认证功能,利用防
10、火墙自带数据库或通过Radius 及 SecureID 和 LDAP 用户认证功能;抗攻击:在防火墙上开启自动抗攻击功能,利用防火墙本身的防御功能防止 DoS、端口扫描等攻击,确保网络不被外部黑客攻破;抗蠕虫:通过防火墙的蠕虫过滤等功能保证核心服务器所承载的核心应用系统不受来自核心服务器区边界的蠕虫及网络病毒侵害,保障核心应用系统正常、高效运行;多种手段报警:防火墙发现攻击、非法入侵、未授权访问等违反安全规则的行为,立即以多种手段(告警、日志、SNMP 陷阱等)实现违规行为的告警,并记录日志,以便查询。日志管理:在防火墙上开启日志记录功能(建议安装单独的日志服务器),利用防火墙的日志功能记录完
11、整日志和统计报表等资料,尤其是流量日志、访问日志、管理日志等重要信息。1.2 入侵防御系统1.2.1 系统概述天融信公司的网络入侵防御系统(以下简称 TopIDP 产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC 攻击、WEBCGI 攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的 11 大类超过 3500 种网络攻击行为,有效保护用户网络 IT 服务资源,使其免受各种外部攻击侵扰。TopIDP 产品能够阻断或限制 p2p 下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。TopIDP 产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全
12、网威胁分析。1.2.2 功能描述n 网络适应性直连、路由、IDS 监听及混合模式接入。多端口链路聚合,支持 11 种负载均衡算法。支持 IPv6、MPLS、PPPoE 网络。n 入侵防御能力全面防御溢出攻击(BufferOverflow)、 RPC 攻击(RPC)、WEBCGI 攻击(WebAccess)、拒绝服务(DDOS)、木马(TrojanHorse)、蠕虫(VirusWorm)、扫描(Scan)、HTTP 攻击类(HTTP)、系统漏洞类(system)。TopIDP 产品的检测引擎采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为,可以准确地发现并阻断各种网络恶
13、意攻击。产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的 TCP 数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了 TCP 流分段重叠攻击行为。全面支持 DOS/DDOS 防御,通过构建统计性攻击模型和异常包攻击模型,可以全面防御 SYN flood、ICMP flood、UDP flood、DNS Flood,DHCP flood、Winnuke、TcpSScan 以及 CC 等多达几十种 DOS/DDOS 攻击行为;系统可以通过自学习模式,针对用户所需保护的服务器进行智能防御。针对本地化业务系统,深度挖掘业务系统漏洞,
14、形成防御阻断规则后直接应用于入侵防御系统,更有效保护企业信息化资产。系统支持 IPv6 协议的攻击检测,完全识别 IPv6 封包下的攻击检测。n 可视化实时报表功能实时显示按发生次数排序的攻击事件排名,使网络攻击及其威胁程度一目了然。可以实时显示 Top10 攻击者、Top10 被攻击者、Top10 攻击事件等统计报表,更可以显示 24 小时连续变化的事件发生统计曲线图。借助于可视化的实时报表功能,用户可以轻松实现全网威胁分析。1.3 WEB 应用防火墙1.3.1 系统概述借助互联网的发展,越来越多的医疗服务开始在互联网上提供入口,以提高就医体验和效率,如网上挂号预约、网上缴费等服务,可以大幅
15、提高工作效率,并提高用户体验, 节约用户排队等待的时间。医疗服务的部分内容放到互联网上,需要将相关业务应用的入口如 web 应用服务器放到互联网上,而 WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要忘了攻击目标。SQL 注入、网页挂马等安全事件,频繁发生。传统防火墙针对 WEB 的防护能力已经不能满足日益丰富的 WEB 应用。Web 应用防护系统(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,专门用于解决 Web 应用安全问题。与传统防火墙不同,WAF 工作在应用层,因此对 Web 应用防护具有先天的技术优势。基于对 W
16、eb 应用业务和逻辑的深刻理解,WAF 对来自 Web 应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。1.3.2 功能描述n 全面的攻击防御能力WAF 产品提供传统的基于规则的检测和主动防御两个引擎。基于规则的保护是信息安全产品最主流的防护方法,虽然对于未知攻击和 0day 攻击缺少防护能力,但是对于大量的已知攻击可以提供精确的、细致的防护。WAF 产品提供了精细的防护规则包括:l 跨站脚本攻击l 扫描器防护l SQL 注入攻击l 操作系统命令注入l 远程文件包含攻击l 本地文件包含攻击l 目录遍历l 信息泄漏l W
17、ebShell 检测l HTTP 协议异常l HTTP 协议违规l 其他类型的攻击除了基于规则的检测方法, WAF 产品还应具备基于自学习建模的主动防御引擎。对于 URI 和 POST 表单,WAF 产品的主动防御引擎都可以学习到其参数的个数,以及每一个参数的类型和长度。在学习一段时间之后(通常是一到两周),WAF 产品可以建立目标服务器所有动态页面的正向模型。在应用主动防御策略的条件下,所有不符合正向模型的参数都会被阻断,可有效的防御未知威胁和 0day 攻击。n 有效的缓解拒绝服务攻击WAF 产品整合了 DDoS 防御能力,采用分层的立体防御和业界领先的源信誉检测机制,可以有效的缓解 sy
18、n flood 攻击、CC 攻击、slowheader、slowpost 等拒绝服务攻击。WAF 产品首先识别明显的攻击源,比如单个源流量明显异常,通过源限速模块把所有可能的攻击源的流量限制在某一个范围之内。第二步也是整个 DDoS 防御的核心:源信誉检测机制,该机制可以有效的把正常流量和攻击工具生成的攻击流量区分开来,阻断攻击流量,放行正常流量。最后一步,当所有的正常流量的总和仍然超过了目标服务器的处理能力,为了保证服务器正常工作,通过目的限速模块把放行到服务器的流量限制在服务器处理能力之内。通过这种分层的防御机制,使服务器不间断的对外提供服务,保障了业务的连续性。n 灵活的部署模式WAF
19、产品具有在线串接、旁路检测和服务器负载均衡三种工作模式。在线串接部署虽然对用户网络有一定的侵入性,但 WAF 产品的高可靠性设计极大的缓解了这一影响。在线串接的一个显著好处是可以实现非常可靠的攻击阻断能力。而旁路检测完全没有侵入性, 对用户的网络环境不造成任何影响,但旁路检测没有提供攻击阻断的能力。在多个服务器对外提供相同服务的环境里面,WAF 产品可以作为负载均衡器工作,并且提供了灵活的会话调度的能力和服务器状态检查能力。在线串接部署时,WAF 产品提供了多种网络层的接入方式,比如虚拟线、交换、路由。虚拟线方式使 WAF 产品像一根虚拟的网线一样接入用户网络,是最简单最便捷的方式。交换模式同
20、时支持 access、trunk 两种方式,路由模式支持静态路由和策略路由,也就是说在用户预算受限时 WAF 产品可以在检测攻击的同时,充当交换机或者路由器。n 全 64 位 ipv6 支持WAF 产品的管理平面和数据平面均为全 64 位系统,具备原生 ipv4/ipv6 双栈处理能力,不仅能够在纯 ipv6 网络环境中部署和检测攻击,还能够在 ipv4/ipv6 混合网络环境中部署和检测攻击行为。全 64 位系统在处理 ipv4 和 ipv6 地址相关操作时具有相同的处理效率,所以 WAF 产品在 ipv6 网络环境中具有与在 ipv4 网络环境中一样的性能。WAF 产品中处理的所有 ip
21、地址均支持 ipv4 和 ipv6 地址,所有应用层攻击无论来自ipv4 网络还是 ipv6 网络均采用统一处理流程,使得各种应用层攻击都无所遁形。WAF 产品还支持配置 ipv6 地址的主机管理、ipv6 SNMP 网管以及支持 ipv6 的日志服务器等增强功能。n 高可用性WAF 产品应采用双引擎设计,主检测引擎和影子检测引擎不仅功能完全相同,且均处于运行态,即只要有数据报文传送就可以进行攻击检测。不同的是,正常情况下,数据流 只上送到主检测引擎,影子检测引擎没有数据可以处理,相当于处于“待命”状态。一旦 主检测引擎出现故障无法处理数据报文,平台底层负责数据流分发的模块会及时将数据流 切换
22、到影子检测引擎,由于影子检测引擎处于准工作的“待命”状态,此时会即刻开始数 据报文的检测工作,从而确保整个检测引擎的不间断工作,大幅提高了检测业务的可靠性。WAF 产品支持硬件 bypass 功能,可以串行接入用户网络环境,在设备升级维护等需要重新启动过程中确保用户网络通畅。WAF 产品支持主主、主备方式的双机热备功能,可以实现链路的高可用性1.4 漏扫扫描系统1.4.1 系统概述网络系统的安全性取决于网络系统中最薄弱的环节,然而策略的制订和实施在实际应用中相差甚远,网络系统的安全性是一个动态的过程,系统配置的不断更改,攻击技术的不断提高,网络系统的安全系数也会不断的变化,如何及时发现网络系统
23、中最薄弱环节?如果最大限度地保证网络系统的安全?最有效的方式就是定期对网络系统进行安全性分析并及时发现并查找漏洞并进行修改。因此需要建立一套漏扫主动发现的手段完善企业网络安全。漏洞扫描系统即是漏洞发现与评估系的统,作用是模拟扫描攻击,通过对系统漏洞、服务后门等攻击手段多年的研究积累,总结出了智能主机服务发现,可以通过智能遍历规则库和多种扫描选项的组合手段,深入检测出系统中存在的漏洞和弱点,最后根据扫描结果,提供测试用例来辅助验证漏洞的准确性,同时提供整改方法和建议,帮助管理员修补漏洞,全面提升整体安全性。1.4.2 功能描述n 漏洞扫描管理设计扫描管理漏洞扫描一般采用渐进式扫描分析方法,融合操
24、作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,发现其弱点和漏洞,并提出安全解决建议。任务管理中心为用户扫描操作提供了方便,可以使用默认扫描策略也可以使用自定义扫描策略,来创建任务扫描计划,创建扫描任务时也可调整执行方式,建立定时任务、周期任务、标准任务等,从而具体针对性的进行脆弱性扫描。安全域管理系统运用预探测、渐进式、多线程的扫描技术,全面、快速、准确的发现被扫描网络中的存活主机,准确识别其属性,包括主机名称、主机地址、操作系统等。策略管理系统包含多个策略模板,全策略模板的漏洞库涵盖目前的安全漏洞和攻击特征,具备至少 CVE、CNNVD、CNCVE、CNVD、BU
25、GTRAQ 等标准,系统还支持自定义策略模板,为用户扫描操作变得更加灵活。报表管理报表管理可以将扫描的结果生成在线或离线报表,也可以根据不同的用户角色生成报表,并对扫描结果进行细致全面的分析,并以图、表、文字说明等多种形式进行展现,并以 Html、PDF、Word、Excel 等格式进行导出。n 系统漏洞检测漏洞扫描系统可以针对各种系统、设备及应用进行漏洞发现,至少包括如下信息: 网络主机:服务器、客户机、网络打印机等;操作系统:Microsoft Windows 9X/NT/2000/XP/2003、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD 等;网
26、络设备:Cisco、3Com、Checkpoint 等主流厂商网络设备; 应用系统:数据库、Web、FTP、电子邮件等。n 数据库漏洞检测数据库漏洞扫描应当可以针对当下主流的数据库,如Oracle、MySQL、DB2、PostgreSQL、Sybase、SQL Server 等进行漏洞检测,包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检查和对数据库系统的整体安全性做出评估,并给出提高数据库安全性的修复建议。n 丰富的漏洞库系统包含 CNNVD 认证的系统漏洞库;并且覆盖当前网络环境中重要的,主流的系统和数据库等漏洞,并且能够根据网络环境的变化及时调整更新,确保漏
27、洞识别的全面性和时效性。用户除了可以使用软件默认提供的检测库外,也可以添加自定义的规则库,并具备规则库的转换和合并等功能。n 强有力的扫描效率综合运用预探测、渐进式、多线程的扫描技术,能够快速发现目标网络中的存活主机, 然后根据渐进式探测结果选择适合的扫描策略,启动多个线程进行并发扫描,从而保证了 扫描任务可以迅速完成。n 准确的漏洞识别率采用渐进式扫描分析方法,融合最新的操作系统指纹识别、智能端口服务识别等技术, 能够准确识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开 放的服务等。n 多样化的结果报表呈现生成面向多个用户角色的客户化报表,并以图、表、文字说明等多种形式
28、进行展现, 同时支持以 HTML、EXCEL、WORD、PDF 等多种格式导出结果报表。1.5 数据库审计系统1.5.1 系统概述数据库安全审计是整个数据库系统安全的有机组成部分,完善的数据库安全审计系统结合有效的审计制度,能够有效地避免内部人员进行数据库破坏活动,对外部攻击者的行为也能够及时发现,避免因数据库内容泄露或破坏造成企业损失。数据库审计系统主要的功能模块包括“静态审计、实时监控与风险控制、实时审计、双向审计、细粒度审计规则、精准的行为检索、三层关联审计、完备的审计报表、安全事件回放、审计对象管理、多形式的预警机制”几个部分。1.5.2 功能描述数据库静态审计的目的是代替繁琐的手工检
29、查,预防安全事件的发生。依托数据库安全规则库,自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等静态审计,通过静态审计,可以为后续的动态防护与审计的安全策略设置提供有力的依据。静态审计由系统管理、项目管理、安全扫描、报表管理几个子模块组成:项目管理安全扫描报表管理项目新增基线创建基线扫描当前报表项目打开历史报表弱点检测弱点分析项目保存自定义报表弱口令检测补丁检测项目编辑报表导入存储过程检测项目删除报表导出鉴权管理许可管理系统管理日志管理升级管理完整性检测其中:l 风险趋势管理:通过基线创建生成数据库结构的指纹文件,通过基线扫描发现数据库结构的
30、变化,从而实现基于基线的风险趋势分析;l 弱点检测与弱点分析:根据内置自动更新的弱点规则完成对数据库配置信息的安全检测及数据库对象的安全检测;l 弱口令检测:依据内嵌的弱口令字典完成对口令强弱的检测;l 补丁检测:根据补丁信息库及被扫描数据库的当前配置,完成补丁安装检测l 存储过程检测:根据内嵌的安全规则,对存储过程进行安全检测,如:是否存在 SQL 注入漏洞;l 项目管理:按项目方式对扫描任务进行增/删/改管理;l 报表管理:提供扫描报告的存储、查看、多文件格式导入/导出功能; 系统管理:提供鉴权管理、许可管理、日志管理、升级管理及自身完整性检测;1.6 负载均衡系统1.6.1 系统概述随着云计算、虚拟化等技术的兴起,用户对负载均衡设备提供了更高的要求,负载均 衡还要负担应用的优化加速、安全等功能,来提高用户体验,适应各种复杂的场景,比如 适配数据中心,对数据中心的虚拟机进行管理等。用户希望简化部署方式,根据应用所需 性能增加或者减少服务器,增加数据中心的利用率,减少运营成本。应用交付是负载均衡、广域网优化、WEB 防火墙等技术的融合,通过这
