反垃圾邮件、入侵检测等功能。
能够及时识别网络中发生的入侵行为并实时报警和进行有效拦截防护。联想网御入侵防御系统具有的实时性、动态检测和主动防御等特点,与防火墙等静态防御工具构成了完美的互补。联想网御UTM中的防病毒模块通过启发式高速扫描技术,支持对网络病毒和蠕虫的实时扫描,并能够对HTTP、FTP、POP3、SMTP、IMAP协议数据从网关处进行实时病毒检测和拦截。
具有对网络行为的管理能力,如能实时的了解网络状态,定位威胁点,包括连接管理、地址绑定、P2P流量的管理限制、管理员分级、电子钥匙认证、集中管理与远程管理。增加统一威胁管理,结合多项安全技术,提供更好的管理、攻击关联和降低维护成本。
2.1.3. 联想网御UTM产品功能特点
序号 1 功能点 功能说明 解决的客户问题 1. 省去交换机的投资,同时减少故障点。 2. 可以实现服务器之间的安全隔离,更加安全。 1. 无需用户安装任何客户端软件,简化了管理方法。 2. 保证管理数据的机密性。 1. 实时了解网络运行现状;对网络中的异常及时处理; 2. 监控设备的运行状况; 3. 提供了配置向导简化用户的设置工作。 网络接口 接口数量多,可实现将服务器区的服务器直接连接到UTM上。 2 管理操作 采用Web图形化管理界面,基于SSL加密的HTTPS管理方式,对Web管理的所有信息都进行了加密。 系统状态 图形显示UTM工作状态(CPU、内存的占用率、端口运行状况),显示OS、病毒库、攻击库的升级状态等信息,显示会话排行、病毒排行、攻击排行、流量历史纪录。 虚拟UTM 3 4 在一台联想网御UTM设备中实现多台逻1. 适合多个网段或单位/部门使用; 辑设备,提供独立的安全域,允许配置并2. 简化了管理; 管理单独的区域、用户验证、防火墙策略、3. 保持安全性。 路由与VPN配置。标配10个虚拟域,最大支持256个。 通过添加802.1Q帧标签进行 VLAN划分;路由模式下可以给交换机上的不同VLAN作Trunk。 1. 方便了网络的划分; 2. 增加了网络的安全性。 5 VLAN 支持 6 外联网络支持多条线路接入Internet(例如一条通对网络的高可用性提供了最高级别的负载均衡 过网通接入Internet,另一条通过联通接保证。 入Internet),实现网络互联的链路备份、负载均衡。 服务器负载均衡 HTTP多路技术 通过虚拟IP技术,通过设置“静态、轮询、权重”等参数,实现多台服务器的负载均衡。 使用联想网御UTM的HTTP代理将到达web服务器的用户连接,分成多条路由到1. 节省专用的负载均衡设备投资,同时减少故障点; 2. 提高服务器的性能和可靠性。 1. 通过建立多个连接减少了服务器开销。 - 6 -
7 8
序号 9 功能点 web服务器。 服务器健康检查 功能说明 解决的客户问题 2. 提高了Web服务器的吞吐性能。 服务器设置负载均衡时,可以设置TCP、1. 节省专用的负载均衡设备投资,同HTTP或ICMP PING参数的检测,可以设时减少故障点; 定时间间隔,超时后未收到回复,负载平2. 节省网络的监控设备,当群集中某衡设置中止到该服务器的流量,直到恢复台涉备出现故障,群集的其他设备连接。 将分担这台设备的流量。不会影响服务器的性能。 10 设备自身完善的HA(高可用性)模式,包括A-P1. 对网络的高可用性提供了最高级负载均衡 (热备式)HA和A-A(负载均衡式)HA,别的保证; 并且最高可以支持32台UTM的HA集2. 大幅度提高网络过滤的性能。 群。 端口备份和端口聚合支持 关联安全应用 VoIP 两个或多个物理接口结合提供端口备份 使用820.3ad协议实现端口的聚合。 实现与联想网御内网安全管理系统之间的联动,对非法的操作阻断。 支持SIP、H.323、SCCP信令的语音传输,对VoIP进行QoS,对VoIP进行流量控制。 过将上千万个网页分成了82个类别(如政治、经济、色情、暴力等),可以通过关键字、关键词进行过滤,可通过URL过滤。 支持WEB和通道两种模式,WEB模式客户使用IE浏览器,通道模式支持任何应用。加密算法最高256bit。 使用前面板简单的按键和LCD对接口IP地址、掩码、网关、UTM工作模式及恢复出厂默认配置进行快速设置。 1. 提高了网络的可靠性; 2. 增加了端口的吞吐能力。 可禁止某终端的访问请求,从而在网络边界处对终端计算机进行控制。 增强了对VoIP的管理。 11 12 13 14 Web滤 方便用户对分类网站批量屏蔽。 15 SSL VPN LCD配置管理 1. 节省购买SSL VPN网关的费用; 2. 方便、灵活、安全的实现数据加密传输。 1. 简化设备的配置; 2. 方便查看设备运行的工作状态、运行模式等信息。 16
2.2. 在内、外网之间部署联想网御安全隔离与信息交换系统
2.2.1. 联想网御安全隔离与信息交换系统部署说明
由于行政电子监察网络平台分为内部业务受理管理网络与外部信息发布及其它外部应用网络,外部网络几乎与Internet直接接入,尤其是WEB服务器,根据国家有关信息安全保密规定及安全防范需要,应在外部网络与内部网络的边界处部署高安全级别的设备——安全隔离网闸,来保证在处理数据交互时切断内部网络与Internet之间的协议连接,通过信息摆渡技术保障数据的安全交换,同时保证内部网络免受来自Internet用户的攻击。由于该设备所特有的“2+1”安全硬件隔离体系,可实现对网络层
- 7 -
和应用层各种攻击的100%拦截。在此基础上,还可以通过对应用层的深度过滤和检测功能,实现对所有传输信息的内容控制,并进行安全审计。基于无直接连接穿越的特性,网络隔离与信息交换设备能够天然对所有病毒和蠕虫的自动传播进行阻断,防范各种已知或未知病毒进入内部业务处理平台。
下面以内网防病毒软件病毒库与操作系统补丁升级为例说明安全隔离与信息交换系统部署: 内网按照网络安全防护要求不能直接与国际互联网相连,但是内网主机操作系统或防病毒软件又需要补丁升级,通常做法是采用了微软SUS服务器接入外网获取补丁数据,在特定时间改接入内网为内网机器升级。采用这种升级方式,首先,不符合单台服务器不得同时接入内外网的要求;其次,无法避免外网的木马病毒渗透的入侵方式;第三,也无法提供实时的补丁升级能力,一旦发生如冲击波等恶性病毒时,内网往往由于补丁升级的延迟而无法阻止病毒的大规模泛滥。
补丁接收服务器部署于外网通过防火墙或其它网络边界防护设备后连接微软补丁升级服务器。为了保障安全,在防火墙上设定仅允许该服务器连接微软的相应服务不打开其他端口,同时禁止外部对该服务器的连接。
在外网补丁接收服务器获取了最新补丁后,将这些补丁文件化后以纯文件的形式,通过联想网御安全隔离信息交换系统的文件交换功能传送至内网的补丁分发服务器。用户可以使用联想网御安全隔离与信息交换系统的专用文件传输客户端软件,通过联想网御安全隔离与信息交换系统在内外网络间进行单向文件交换“摆渡”,同时对传输的文件类型过滤、关键字过滤、病毒检查、签名校验等机制对传输的文件进行过滤,防止内部信息泄漏、病毒入侵、网络侦听、身份冒充等危害。从而确保外网向内网传达补丁文件时的安全性和禁止了内网信息的泄漏。内网和外网的补丁分发服务器获取了最新补丁文件后,将按照允许定义的策略进行下发工作。在进行策略定义时,允许将用户分组,对不同的组可以采用不同的下发策略。例如,对于某些在打上补丁后可能操作系统无法正常工作的设备,则不自动下发,待完成了补丁升级试验后再继续操作。同时,补丁分发服务器的分组管理的策略,也可以对不同的用户采用不同的补丁分发策略,对部分重要性较高的设备或系统情况无法确认的设备,可以设置不自动分发补丁,而等待管理人员对补丁进行验证后再启动分发工作。如果在外网补丁分发工作负载不大的情况下,外网补丁分发服务器和接收服务器可以合二为一,以节省投资。这样就可以有效的在保证内外网安全的前提下实现内网用户操作系统的及时升级,同时还可以通过分组管理策略来保障升级补丁的可靠性。从而完美的解决现有补丁升级体系中存在的问题,极大的增强对终端的安全保护水平。
内网病毒库升级及内网与外部WEB服务器之间的数据交互则通过联想网御安全隔离与信息交换系统相应的功能模块:文件交换、数据库传输、数据库同步功能来实现;如果内网用户需要安全访问邮件服务器或安全浏览外网资源,则可通过邮件传输与安全浏览功能模块来实现,同时可通过定制模块实现特定TCP、UDP协议的数据隔离交换。
通过联想网御安全隔离与信息交换系统,可实现“外网受理、内网办理、外网反馈”的政务统一应
- 8 -
用,从而更有效发挥对公众的服务与沟通职能。
2.2.2. 联想网御安全隔离与信息交换系统产品功能特点
安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统,模拟人工在两个隔离网络之间的信息交换。其本质在于:两个独立主机系统之间,不存在通信的物理连接和逻辑连接,不存在依据TCP/IP协议的信息包转发,只有格式化数据块的无协议“摆渡”。 被隔离网络之间的数据传递方式采用完全的私有方式,不具备任何通用性。
安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原,还原后的应用层信息根据用户的策略进行强制检查后,以格式化数据块的方式通过隔离交换矩阵进行单向交换,在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信,即实现“协议落地、内容检测”。这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
安全隔离与信息交换系统最重要的客户群的网络特点是其内部业务网安全防护要求很高,但同时又要与其它网络互联进行适时数据交换。这些客户群原来的服务或者不对外提供,或者通过手工数据交换的方式提供数据交换。其结果是效率低,同时人总会有意无意犯错,也不够安全。例如,在税务行业随着信息化建设的深入,原有企业报税工作都需要通过互联网对外提供服务,这就要求税务业务专网与互联网之间进行数据交换,因此在税务业务专网与互联网相连的接口上需要采用安全隔离与信息交换系统。
安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵三部分构成。内网主机系统与内网相连,外网主机系统与外网相连,内/外网主机系统分别负责内外网信息的获取和协议分析,隔离交换矩阵根据安全策略完成信息的安全检测,内外网络之间的安全交换。整个系统具备以下技术特性:
? 多网络隔离的体系结构,通过专用硬件完成两侧信息的“摆渡”。 ? 被隔离网络之间任何时刻不产生物理连接。
? 内/外网主机系统之间没有网络协议逻辑连接,通过隔离交换矩阵的全部是应用层数据,也就
是OSI模型的七层协议全部断开。 ? 数据交换方式完全私有,不具备可编程性。
联想网御安全隔离与信息交换系统(以下简称“安全隔离网闸”)基于“2+1”系统架构、LeadASIC专用芯片、USE统一安全引擎、MRP多重冗余协议,将安全性、高效性、智能性、可靠性完美结合,具有数据迁移型和数据访问型两种工作模式。对数据在应用层细粒度安全过滤后,以自有协议方式在安
- 9 -
全隔离网闸内摆渡,彻底切断了不同安全级别网络间的任何连接,实现了高安全的隔离和实时的信息交换。
高安全性的“2+1”系统架构 系统硬件平台由内网主机系统、外网主机系统、隔离交换矩阵三部分组成;内网/外网主机系统分别具有独立的运算单元和存储单元,并以联想网御自主知识产权的VSP (Versatile Secure Platform)通用安全平台作为系统支撑;隔离交换矩阵基于LeadASIC专用芯片技术及相应的时分多路隔离交换逻辑电路,不受主机系统控制,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。基于VSP的高效协议处理和LeadASIC芯片的多路固化数据通道技术,分别解决了安全隔离网闸进行数据过滤和摆渡时性能低的业内难题,从而满足了用户对高性能安全隔离网闸的需求。
架构名称 双主机架构 架构组成 硬件由内网机、外网机和连接硬件组成,连接硬件如网线、SCSI线、USB线等 硬件由内网机、仲裁机、外网机组成 硬件由内网机、外网机两个主机系统和一个隔离交换矩阵组成 安全分析 两主机完成协议终止和内容检查,连接硬件采用通用可编程硬件 内网机和外网机完成协议终止,仲裁机独立完成数据检查 两主机完成协议终止和内容检查,隔离交换矩阵不受主机系统控制 安全性 低 性能 高 三主机架构 高 低 “2+1”架构
高 高 高性价比的多网隔离交换技术 基于VSP通用安全平台,可将外网主机系统的任一网口与隔离交换矩阵的一个或数个固化通道绑定,继而与内网主机系统的一个或数个网口绑定,从而实现一对一或一对多的网络隔离交换;同样地,外网主机系统的多个网口也可通过隔离交换矩阵与内网主机系统的一个网口建立多对一的网络隔离交换;内网主机系统和外网主机系统的各自网口间通过VSP禁止互访。
- 10 -