天融信网络安全产品标准方案.docx
- 文档编号:611565
- 上传时间:2023-04-29
- 格式:DOCX
- 页数:234
- 大小:3.07MB
天融信网络安全产品标准方案.docx
《天融信网络安全产品标准方案.docx》由会员分享,可在线阅读,更多相关《天融信网络安全产品标准方案.docx(234页珍藏版)》请在冰点文库上搜索。
天融信网络安全产品方案
目录
1产品功能 VII
1.1防火墙 VII
1.1.1系统概述 VII
1.1.2功能描述 VII
1.2入侵防御系统 VIII
1.2.1系统概述 VIII
1.2.2功能描述 VIII
1.3WEB应用防火墙 IX
1.3.1系统概述 IX
1.3.2功能描述 X
1.4漏扫扫描系统 XII
1.4.1系统概述 XII
1.4.2功能描述 XII
1.5数据库审计系统 XIV
1.5.1系统概述 XIV
1.5.2功能描述 XV
1.6负载均衡系统 XVI
1.6.1系统概述 XVI
1.6.2功能描述 XVII
2安全产品硬件规格及性能参数 XVIII
2.1防火墙品目一:
TG-62242 XVIII
2.2防火墙品目二:
TG-42218 XX
2.3入侵防御:
TI-51628 XXI
2.4WAF:
TWF-72138 XXII
2.5漏扫:
TSC-71528 XXIII
2.6数据库审计:
TA-11801-NET/DB XXIV
2.7负载均衡:
TopApp-81238-NLB-R XXV
2.8相关应答:
XXVII
3设备供货方案 XXIX
3.1供货计划和安排 XXIX
3.2运输安装计划 XXIX
3.3货物包装及标注 XXXI
3.4货物运输及交货 XXXI
4天融信安全产品安装部署方案 XXXI
4.1安全设备安装 XXXI
4.1.1安装步骤概述 XXXI
4.1.2安装准备工作确认 XXXII
4.1.3检查安装场所 XXXIV
4.1.4安装计划 XXXVI
4.1.5安装工具 XXXVI
4.1.6设备安装流程 XXXVIII
4.1.7设备安装到指定位置 XXXVIII
4.1.8地线的连接 XXXIX
4.1.9配置电缆的连接 XL
4.1.10安装中的布线推荐 XLII
4.1.11安装中的电缆捆扎 XLIII
4.1.12安装后的检查 XLVI
4.2安全设备上线调试 XLVII
4.2.1产品上线过程 XLVII
4.2.2安全策略调试 XLVIII
4.3系统集成割接 XLIX
4.3.1现有应用系统数据访问业务特点 XLIX
4.3.2割接时间点的选择 LI
4.3.3割接原则 LII
5测试方案 LII
5.1负载均衡系统测试方案 LII
5.1.1测试目的 LII
5.1.2测试内容 LII
5.1.3测试环境 LIII
5.1.4测试用例设计 LIV
5.1.5测试结论 LXX
5.2防火墙测试方案 LXX
5.2.1测试说明 LXX
5.2.2功能要求及测试方式 LXXII
5.2.3测试结果记录 LXXXVIII
5.3入侵防御系统测试方案 LXXXIX
5.3.1测试说明 LXXXIX
5.3.2测试环境 XC
5.3.3攻击测试内容和方法 XCII
5.3.4WEB过滤测试内容和方法 XCIX
5.3.5应用监控测试和方法 C
5.3.6防病毒测试内容和方法 CI
5.3.7防火墙联动 CI
5.3.8事件审计 CII
5.3.9测试结果 CIII
5.4WEB应用防火墙测试方案 CV
5.4.1测试环境 CV
5.4.2防护能力测试 CV
5.5漏洞扫描系统测试方案 CXXXIX
5.5.1测试目的 CXXXIX
5.5.2测试环境 CXXXIX
5.5.3功能测试 CXL
5.5.4专项测试 CLXIII
5.5.5漏洞测试 CLXVIII
5.5.6压力测试 CLXXXVI
5.5.7测试结论 CLXXXVIII
5.6数据库审计系统测试方案 CLXXXVIII
5.6.1测试目的 CLXXXVIII
5.6.2数据库审计基本功能 CLXXXIX
6质量保障方案 CXCVI
6.1质量保障体系 CXCVI
6.1.1质量保证体系 CXCVI
6.1.2施工及安装质量控制 CC
6.1.3测试及调试质量控制 CC
6.1.4过程质量控制 CCI
6.2应急保障 CCIII
6.2.1应急与回退场景 CCIII
6.2.2应急与回退方案 CCIV
7售后服务承诺和方案 209
7.1.1技术支持与服务体系 209
7.1.2技术支持与服务原则 209
7.1.3技术支持与服务目标 210
7.1.4试运行期间的技术支持与服务 210
7.1.5质量保证期内服务 210
7.1.5.1质量保证期外服务 212
7.1.5.2技术支持热线 214
8产品验收方式和标准 214
8.1验收目的 214
8.2验收依据 214
8.3验收组织 215
8.4验收进度 215
8.4.1到货验收 215
8.4.2初步验收 218
8.4.3最终验收 220
9易损坏、备件支持方案 221
10培训方案 221
10.1培训目标 221
10.2培训方式 222
10.3培训手段 222
10.3.1专业详细的培训教材 223
10.3.2完善的师资配备 223
10.3.3多媒体教学 224
10.4培训安排 224
10.4.1现场培训 224
10.4.2集中培训 226
11附件一:
天融信硬件平台MTBF测试报告 229
12附件二:
常设技术支持机构及备件库所在地 230
13附件三:
符合国家及行业标准证明材料(见压缩包中的检测报告) 233
1产品功能
1.1防火墙
1.1.1系统概述
网络层访问控制基本的安全防护手段,通常采用路由器和防火墙等手段实现,然而防火墙相对与路由器而言,不仅仅只是提供简单的访问控制功能,同时也能够提供更为强大的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护,所以在网络层访问控制方面通常都采用防火墙设备,通过防火墙设备定义好的安全规则来实现基本的访问控制。
防火墙是实现网络安全的重要设备,防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击,实现以下基本功能:
l禁止外部用户进入内部网络,访问内部资源;
l保证外部用户可以且只能访问到某些指定的公开信息;
l限制内部用户只能访问到某些特定资源,如WWW服务、FTP服务等。
1.1.2功能描述
针对安全建设需求,建议对部署在网络内的防火墙配置如下策略:
实现访问控制:
通过在防火墙上配置安全访问控制策略过滤访问行为,实现基于协议、源/目的IP地址、端口的访问控制,对来自核心服务器区边界的访问进行认证检查及内容过滤,有选择的接入。
带宽管理:
启用带宽管理功能,如当某一地址或某地址段对外连接数超过一定数量或流量超过一个设定的阀值时,实现阻断或流量限制的功能;
身份认证:
在防火墙上开启用户身份认证功能,利用防火墙自带数据库或通过
Radius及SecureID和LDAP用户认证功能;
抗攻击:
在防火墙上开启自动抗攻击功能,利用防火墙本身的防御功能防止DoS、端
口扫描等攻击,确保网络不被外部黑客攻破;
抗蠕虫:
通过防火墙的蠕虫过滤等功能保证核心服务器所承载的核心应用系统不受来自核心服务器区边界的蠕虫及网络病毒侵害,保障核心应用系统正常、高效运行;
多种手段报警:
防火墙发现攻击、非法入侵、未授权访问等违反安全规则的行为,立即以多种手段(告警、日志、SNMP陷阱等)实现违规行为的告警,并记录日志,以便查
询。
日志管理:
在防火墙上开启日志记录功能(建议安装单独的日志服务器),利用防火墙的日志功能记录完整日志和统计报表等资料,尤其是流量日志、访问日志、管理日志等重要信息。
1.2入侵防御系统
1.2.1系统概述
天融信公司的网络入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。
TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。
TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。
1.2.2功能描述
n网络适应性
直连、路由、IDS监听及混合模式接入。
多端口链路聚合,支持11种负载均衡算法。
支持IPv6、MPLS、PPPoE网络。
n入侵防御能力
全面防御溢出攻击(BufferOverflow)、RPC攻击(RPC)、WEBCGI攻击(WebAccess)、拒绝服务(DDOS)、木马(TrojanHorse)、蠕虫(VirusWorm)、扫描(Scan)、HTTP攻击
类(HTTP)、系统漏洞类(system)。
TopIDP产品的检测引擎采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为,可以准确地发现并阻断各种网络恶意攻击。
产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。
全面支持DOS/DDOS防御,通过构建统计性攻击模型和异常包攻击模型,可以全面防御SYNflood、ICMPflood、UDPflood、DNSFlood,DHCPflood、Winnuke、TcpSScan以及CC等多达几十种DOS/DDOS攻击行为;系统可以通过自学习模式,针对用户所需保护的服务器进行智能防御。
针对本地化业务系统,深度挖掘业务系统漏洞,形成防御阻断规则后直接应用于入侵防御系统,更有效保护企业信息化资产。
系统支持IPv6协议的攻击检测,完全识别IPv6封包下的攻击检测。
n可视化实时报表功能
实时显示按发生次数排序的攻击事件排名,使网络攻击及其威胁程度一目了然。
可以实时显示Top10攻击者、Top10被攻击者、Top10攻击事件等统计报表,更可以显示24小时连续变化的事件发生统计曲线图。
借助于可视化的实时报表功能,用户可以轻松实现全网威胁分析。
1.3WEB应用防火墙
1.3.1系统概述
借助互联网的发展,越来越多的医疗服务开始在互联网上提供入口,以提高就医体验和效率,如网上挂号预约、网上缴费等服务,可以大幅提高工作效率,并提高用户体验,节约用户排队等待的时间。
医疗服务的部分内容放到互联网上,需要将相关业务应用的入口如web应用服务器放到互联网上,而WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要忘了攻击目标。
SQL注入、网页挂马等安全事件,频繁发生。
传统防火墙针对WEB的防护能力已经不能满足日益丰富的WEB应用。
Web应用防护系统(WebApplicationFirewall,简称:
WAF)代表了一类新兴的信息安全技术,专门用于解决Web应用安全问题。
与传统防火墙不同,WAF工作在应用层,
因此对Web应用防护具有先天的技术优势。
基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
1.3.2功能描述
n全面的攻击防御能力
WAF产品提供传统的基于规则的检测和主动防御两个引擎。
基于规则的保护是信息安全产品最主流的防护方法,虽然对于未知攻击和0day攻击缺少防护能力,但是对于大量的已知攻击可以提供精确的、细致的防护。
WAF产品提供了精细的防护规则包括:
l跨站脚本攻击
l扫描器防护
lSQL注入攻击
l操作系统命令注入
l远程文件包含攻击
l本地文件包含攻击
l目录遍历
l信息泄漏
lWebShell检测
lHTTP协议异常
lHTTP协议违规
l其他类型的攻击
除了基于规则的检测方法,WAF产品还应具备基于自学习建模的主动防御引擎。
对于URI和POST表单,WAF产品的主动防御引擎都可以学习到其参数的个数,以及每一个参数的类型和长度。
在学习一段时间之后(通常是一到两周),WAF产品可以建立目标服务器所有动态页面的正向模型。
在应用主动防御策略的条件下,所有不符合正向模型的参数都会被阻断,可有效的防御未知威胁和0day攻击。
n有效的缓解拒绝服务攻击
WAF产品整合了DDoS防御能力,采用分层的立体防御和业界领先的源信誉检测机制,
可以有效的缓解synflood攻击、CC攻击、slowheader、slowpost等拒绝服务攻击。
WAF产品首先识别明显的攻击源,比如单个源流量明显异常,通过源限速模块把所有
可能的攻击源的流量限制在某一个范围之内。
第二步也是整个DDoS防御的核心:
源信誉检测机制,该机制可以有效的把正常流量和攻击工具生成的攻击流量区分开来,阻断攻击流量,放行正常流量。
最后一步,当所有的正常流量的总和仍然超过了目标服务器的处理能力,为了保证服务器正常工作,通过目的限速模块把放行到服务器的流量限制在服务器处理能力之内。
通过这种分层的防御机制,使服务器不间断的对外提供服务,保障了业务的连续性。
n灵活的部署模式
WAF产品具有在线串接、旁路检测和服务器负载均衡三种工作模式。
在线串接部署虽然对用户网络有一定的侵入性,但WAF产品的高可靠性设计极大的缓解了这一影响。
在线串接的一个显著好处是可以实现非常可靠的攻击阻断能力。
而旁路检测完全没有侵入性,对用户的网络环境不造成任何影响,但旁路检测没有提供攻击阻断的能力。
在多个服务器对外提供相同服务的环境里面,WAF产品可以作为负载均衡器工作,并且提供了灵活的会话调度的能力和服务器状态检查能力。
在线串接部署时,WAF产品提供了多种网络层的接入方式,比如虚拟线、交换、路由。
虚拟线方式使WAF产品像一根虚拟的网线一样接入用户网络,是最简单最便捷的方式。
交换模式同时支持access、trunk两种方式,路由模式支持静态路由和策略路由,也就是说在用户预算受限时WAF产品可以在检测攻击的同时,充当交换机或者路由器。
n全64位ipv6支持
WAF产品的管理平面和数据平面均为全64位系统,具备原生ipv4/ipv6双栈处理能力,不仅能够在纯ipv6网络环境中部署和检测攻击,还能够在ipv4/ipv6混合网络环境中部署和检测攻击行为。
全64位系统在处理ipv4和ipv6地址相关操作时具有相同的处理效率,所以WAF产品在ipv6网络环境中具有与在ipv4网络环境中一样的性能。
WAF产品中处理的所有ip地址均支持ipv4和ipv6地址,所有应用层攻击无论来自ipv4网络还是ipv6网络均采用统一处理流程,使得各种应用层攻击都无所遁形。
WAF产品还支持配置ipv6地址的主机管理、ipv6SNMP网管以及支持ipv6的日志服务器等增强功能。
n高可用性
WAF产品应采用双引擎设计,主检测引擎和影子检测引擎不仅功能完全相同,且均处
于运行态,即只要有数据报文传送就可以进行攻击检测。
不同的是,正常情况下,数据流只上送到主检测引擎,影子检测引擎没有数据可以处理,相当于处于“待命”状态。
一旦主检测引擎出现故障无法处理数据报文,平台底层负责数据流分发的模块会及时将数据流切换到影子检测引擎,由于影子检测引擎处于准工作的“待命”状态,此时会即刻开始数据报文的检测工作,从而确保整个检测引擎的不间断工作,大幅提高了检测业务的可靠性。
WAF产品支持硬件bypass功能,可以串行接入用户网络环境,在设备升级维护等需要重新启动过程中确保用户网络通畅。
WAF产品支持主主、主备方式的双机热备功能,可以实现链路的高可用性
1.4漏扫扫描系统
1.4.1系统概述
网络系统的安全性取决于网络系统中最薄弱的环节,然而策略的制订和实施在实际应用中相差甚远,网络系统的安全性是一个动态的过程,系统配置的不断更改,攻击技术的不断提高,网络系统的安全系数也会不断的变化,如何及时发现网络系统中最薄弱环节?
如果最大限度地保证网络系统的安全?
最有效的方式就是定期对网络系统进行安全性分析并及
时发现并查找漏洞并进行修改。
因此需要建立一套漏扫主动发现的手段完善企业网络安全。
漏洞扫描系统即是漏洞发现与评估系的统,作用是模拟扫描攻击,通过对系统漏洞、服务后门等攻击手段多年的研究积累,总结出了智能主机服务发现,可以通过智能遍历规则库和多种扫描选项的组合手段,深入检测出系统中存在的漏洞和弱点,最后根据扫描结果,提供测试用例来辅助验证漏洞的准确性,同时提供整改方法和建议,帮助管理员修补漏洞,全面提升整体安全性。
1.4.2功能描述
n漏洞扫描管理设计扫描管理
漏洞扫描一般采用渐进式扫描分析方法,融合操作系统指纹识别、智能端口服务识别
等技术,能够准确识别被扫描对象的各种信息,发现其弱点和漏洞,并提出安全解决建议。
任务管理中心为用户扫描操作提供了方便,可以使用默认扫描策略也可以使用自定义扫描策略,来创建任务扫描计划,创建扫描任务时也可调整执行方式,建立定时任务、周期任务、标准任务等,从而具体针对性的进行脆弱性扫描。
安全域管理
系统运用预探测、渐进式、多线程的扫描技术,全面、快速、准确的发现被扫描网络中的存活主机,准确识别其属性,包括主机名称、主机地址、操作系统等。
策略管理
系统包含多个策略模板,全策略模板的漏洞库涵盖目前的安全漏洞和攻击特征,具备至少CVE、CNNVD、CNCVE、CNVD、BUGTRAQ等标准,系统还支持自定义策略模板,为用户扫描操作变得更加灵活。
报表管理
报表管理可以将扫描的结果生成在线或离线报表,也可以根据不同的用户角色生成报表,并对扫描结果进行细致全面的分析,并以图、表、文字说明等多种形式进行展现,并以Html、PDF、Word、Excel等格式进行导出。
n系统漏洞检测
漏洞扫描系统可以针对各种系统、设备及应用进行漏洞发现,至少包括如下信息:
网络主机:
服务器、客户机、网络打印机等;
操作系统:
MicrosoftWindows9X/NT/2000/XP/2003、SunSolaris、HPUnix、IBMAIX、IRIX、Linux、BSD等;
网络设备:
Cisco、3Com、Checkpoint等主流厂商网络设备;应用系统:
数据库、Web、FTP、电子邮件等。
n数据库漏洞检测
数据库漏洞扫描应当可以针对当下主流的数据库,如
Oracle、MySQL、DB2、PostgreSQL、Sybase、SQLServer等进行漏洞检测,包括对数据库系统的各项设置、数据库系统软件本身已知漏洞、数据库系统完整性进行检查和对数据库系统的整体安全性做出评估,并给出提高数据库安全性的修复建议。
n丰富的漏洞库
系统包含CNNVD认证的系统漏洞库;并且覆盖当前网络环境中重要的,主流的系统和
数据库等漏洞,并且能够根据网络环境的变化及时调整更新,确保漏洞识别的全面性和时效性。
用户除了可以使用软件默认提供的检测库外,也可以添加自定义的规则库,并具备规则库的转换和合并等功能。
n强有力的扫描效率
综合运用预探测、渐进式、多线程的扫描技术,能够快速发现目标网络中的存活主机,然后根据渐进式探测结果选择适合的扫描策略,启动多个线程进行并发扫描,从而保证了扫描任务可以迅速完成。
n准确的漏洞识别率
采用渐进式扫描分析方法,融合最新的操作系统指纹识别、智能端口服务识别等技术,能够准确识别被扫描对象的各种信息,如操作系统、网络名、用户信息、非常规端口上开放的服务等。
n多样化的结果报表呈现
生成面向多个用户角色的客户化报表,并以图、表、文字说明等多种形式进行展现,同时支持以HTML、EXCEL、WORD、PDF等多种格式导出结果报表。
1.5数据库审计系统
1.5.1系统概述
数据库安全审计是整个数据库系统安全的有机组成部分,完善的数据库安全审计系统结合有效的审计制度,能够有效地避免内部人员进行数据库破坏活动,对外部攻击者的行为也能够及时发现,避免因数据库内容泄露或破坏造成企业损失。
数据库审计系统主要的功能模块包括“静态审计、实时监控与风险控制、实时审计、双向审计、细粒度审计规则、精准的行为检索、三层关联审计、完备的审计报表、安全事件回放、审计对象管理、多形式的预警机制”几个部分。
1.5.2功能描述
数据库静态审计的目的是代替繁琐的手工检查,预防安全事件的发生。
依托数据库安全规则库,自动完成对几百种不当的数据库不安全配置、潜在弱点、数据库用户弱口令、数据库软件补丁、数据库潜藏木马等等静态审计,通过静态审计,可以为后续的动态防护与审计的安全策略设置提供有力的依据。
静态审计由系统管理、项目管理、安全扫描、报表管理几个子模块组成:
项目管理
安全扫描
报表管理
项目新增
基线创建
基线扫描
当前报表
项目打开
历史报表
弱点检测 弱点分析
项目保存
自定义报表
弱口令检测 补丁检测
项目编辑
报表导入
存储过程检测
项目删除
报表导出
鉴权管理
许可管理
系统管理
日志管理
升级管理
完整性检测
其中:
l风险趋势管理:
通过基线创建生成数据库结构的指纹文件,通过基线扫描发现数据库结构的变化,从而实现基于基线的风险趋势分析;
l弱点检测与弱点分析:
根据内置自动更新的弱点规则完成对数据库配置信息的安全检测及数据库对象的安全检测;
l弱口令检测:
依据内嵌的弱口令字典完成对口令强弱的检测;
l补丁检测:
根据补丁信息库及被扫描数据库的当前配置,完成补丁安装检测
l存储过程检测:
根据内嵌的安全规则,对存储过程进行安全检测,如:
是否存在SQL注入漏洞;
l项目管理:
按项目方式对扫描任务进行增/删/改管理;
l报表管理:
提供扫描报告的存储、查看、多文件格式导入/导出功能;系统管理:
提供鉴权管理、许可管理、日志管理、升级管理及自身完整性检测;
1.6负载均衡系统
1.6.1系统概述
随着云计算、虚拟化等技术的兴起,用户对负载均衡设备提供了更高的要求,负载均衡还要负担应用的优化加速、安全等功能,来提高用户体验,适应各种复杂的场景,比如适配数据中心,对数据中心的虚拟机进行管理等。
用户希望简化部署方式,根据应用所需性能增加或者减少服务器,增加数据中心的利用率,减少运营成本。
应用交付是负载均衡、广域网优化、WEB防火墙等技术的融合,通过这
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 天融信 网络安全 产品 标准 方案