网安设备选型规范V1.0
IDC网络安全防护技术要求V1.0(发布版)剖析
IDC网络安全防护技术要求Technical Specification of Security for IDC版本号: 1.0.0中国移动通信有限网络部目录前言 (1)1适用范围 (2)2引用标准与依据 (2)2.1相关法规和政策 (2)2.2国家标准及行业标准 (2)2.3中国移动企业标准及技术规范 (3)2.4其它 (3)3相关术语与缩略语 (4)3.1术语 (4)3.2缩略语 (4)4综述 (5)4.1中国移动IDC的发展现状 (5)4.2业务应用 (6)4.3IDC的特点 (6)4.3.1IDC的重要性 (6)4.3.2数据高度集中 (6)4.3.3高带宽、大流量 (6)4.3.4安全防护对象特点突出 (6)4.3.5内部应用可控性较差 (6)4.3.6面对复杂各异的远程维护需求 (7)5IDC的基本架构 (7)5.1逻辑架构 (7)5.1.1物理层 (8)5.1.2网络层 (8)5.1.3资源层 (8)5.1.4业务层 (8)5.1.5运营管理层 (9)5.2网络架构 (9)5.2.1互联网接入层 (10)5.2.2汇聚层 (11)5.2.3业务接入层 (11)5.2.4运营管理层 (12)6安全风险分析 (12)6.1IDC主要安全风险 (12)6.2威胁分析 (13)6.2.1物理安全威胁 (13)6.2.2设备安全威胁 (13)6.2.3网络安全威胁 (13)6.2.4应用层安全威胁 (14)6.2.5数据安全威胁 (14)6.3脆弱性分析 (15)6.3.1物理安全方面的脆弱性 (15)6.3.2网络与主机设备的脆弱性 (15)6.3.3应用系统软件脆弱性 (15)6.3.4数据安全方面存在的脆弱性 (15)6.3.5其它 (16)6.4IDC安全防护需求 (16)7安全防护要求 (16)7.1物理安全要求 (17)7.2IDC安全域划分及防护部署 (17)7.2.1互联网接入域 (19)7.2.2停火区 (19)7.2.3核心汇聚域 (20)7.2.4业务域 (21)7.2.5日常操作维护区 (24)7.2.6第三方接入区 (24)7.2.7管理服务区 (25)7.3设备自身安全和安全配置要求 (25)7.4内容合法性检查及域名备案等业务安全防护系统 ...................................................... 错误!未定义书签。
信息安全管理制度-网络安全设备配置规范
信息安全管理制度-网络安全设备配置规范信息安全管理制度-网络安全设备配置规范1:引言本规范旨在确保网络系统的安全性,保护信息系统和网络安全,规范网络安全设备(包括防火墙、入侵检测系统、路由器等)的配置。
2:适用范围本规范适用于所有使用网络安全设备的单位及其相关人员。
3:术语定义3.1 网络安全设备:指用于提供网络安全防护的硬件或软件,包括但不限于防火墙、入侵检测系统、反软件等。
3.2 防火墙:指用于控制网络流量、实施安全访问控制和监控网络活动的设备。
3.3 入侵检测系统:指用于监视和检测网络中的恶意行为、攻击行为和异常行为的设备。
3.4 路由器:指用于在不同网络之间传输数据包的设备。
4:网络安全设备配置要求4.1 防火墙配置4.1.1 准确识别网络边界,并设置合适的防火墙策略。
4.1.2 防火墙策略应采用最小权限原则,仅允许必要的网络流量通过。
4.1.3 禁止使用默认密码和弱密码,定期更换防火墙密码。
4.1.4 配置防火墙日志记录功能,并定期审查和分析日志。
4.1.5 定期更新防火墙软件和固件版本。
4.2 入侵检测系统配置4.2.1 配置入侵检测系统以监视并检测网络中的恶意行为和攻击行为。
4.2.2 设置合适的入侵检测规则和策略。
4.2.3 定期更新入侵检测系统的规则库和软件版本。
4.2.4 配置入侵检测系统的日志记录功能,并定期审查和分析日志。
4.3 路由器配置4.3.1 禁用不必要的服务和接口,仅开放必要的端口。
4.3.2 配置路由器访问控制列表(ACL)以限制远程访问。
4.3.3 定期更新路由器的操作系统和固件版本。
4.3.4 配置路由器的日志记录功能,并定期审查和分析日志。
5:附件本文档涉及的附件包括:无6:法律名词及注释6.1 信息安全法:是我国的一部法律,旨在维护网络空间安全,保护网络信息的安全和使用合法性。
6.2 防火墙法:指相关法律规定和条款,规范防火墙的使用和配置以保障网络安全。
信息安全管理制度-网络安全设备配置规范
信息安全管理制度-网络安全设备配置规范信息安全管理制度-网络安全设备配置规范1. 引言本文档旨在规范网络安全设备的配置要求,以保障信息系统和网络的安全性、可靠性和稳定性。
网络安全设备是信息安全管理中的关键组成部分,对于保护网络资源、防范各类网络威胁具有重要作用。
2. 背景随着信息技术的快速发展和广泛应用,各类网络威胁和攻击手段也日益增多和复杂化。
为了有效地应对这些威胁,必须建立健全的网络安全设备配置规范,确保网络安全设备能够发挥最大的防护效果。
3. 目标本文档的目标在于建立网络安全设备配置规范,确保网络安全设备的配置符合最佳实践,以提供最高水平的安全保护。
4. 网络安全设备配置规范要求4.1 管理策略和准则- 确定网络安全设备的管理策略,包括设备的访问控制、认证和授权等。
- 制定网络安全设备的管理准则,包括设备的日志管理、备份和恢复等。
4.2 防火墙配置规范- 配置防火墙的访问控制策略,禁止未授权访问。
- 配置防火墙的应用代理,对网络流量进行深度检查,防范应用层攻击。
- 定期更新和维护防火墙的软件和签名库,及时修补安全漏洞。
4.3 入侵检测与防御系统配置规范- 配置入侵检测与防御系统的基线策略,及时发现和阻止潜在的入侵行为。
- 对入侵检测与防御系统进行漏洞扫描和补丁更新,确保系统的安全性和稳定性。
- 配置入侵检测与防御系统的告警机制,及时通知安全管理员进行处理。
4.4 安全路由器和交换机配置规范- 配置安全路由器和交换机的访问控制列表(ACL),限制网络流量的传输。
- 启用端口安全功能,限制未授权的设备接入网络。
- 采用安全协议,如SSH和HTTPS等,保证设备的远程管理安全。
4.5 无线网络设备配置规范- 配置无线网络设备的SSID隐藏,减少网络被发现的风险。
- 采用WPA2-PSK认证方式,确保无线网络的安全性。
- 配置无线网络设备的访问控制,限制未授权设备接入网络。
5. 配置规范的执行与评估5.1 执行- 在购买和部署网络安全设备时,按照本规范要求进行配置。
网络安全设备技术规范书(专用部分)2022.7.8
技术文档管理信息大区网络安全设备技术规范书(专用部分)文档属性前言 (1)一、工程概述 (1)1.1工程概况 (1)1.2使用条件 (1)二、设备详细技术要求 (1)2.1供货需求及供货范围 (I)2.2标准技术特性参数表 (2)2.3投标人资料提交时间及培训要求 (5)2.4主要元器件来源 (5)2.5备品备件、专用工具和仪器仪表供货 (5)三、投标方技术偏差 (6)3.1投标方技术偏差 (6)3.2投标方需说明的其他问题 (6)四、设计图纸提交要求 (6)4.1图纸资料提交单位 (6)4.2一次、二次及土建接口要求 (7)4.3图纸提交要求 (7)五、其他 (7)刖百为保障南方电网调峰调频发电有限公司所属抽水蓄能电站的安全、优质、经济、环保运行,推进抽水蓄能电站管理信息大区网络安全设备的规范化管理,提供管理信息大区网络安全设备选型技术规范,制定本规范。
本规范根据国家标准、行业标准,并结合网络安全设备技术发展及抽水蓄能电站实际情况,规定了网络安全设备在规划设计、设备选型及验收等方面需遵循的技术指标。
本标准主编单位:……本标准主要起草人:XX、XX、XX、XX、XXX,其中第1-3章节由XXX主要编写,第4章节由XXX 主要编写,第5章节由XXX主要编写,第6章节由XXX主要编写,编写说明由XXX主要编写。
本文件首次发布。
一、工程概述1.1工程概况本技术规范书采购的设备适用的工程概况如下,项目单位根据工程实际情况填写以下各项内容。
项目名称:项目单位:工程规模:工程地址:运输方式:1.2使用条件本技术规范书采购的设备适用的使用条件如下:程实际使用条件进行修改。
二、设备详细技术要求2.1供货需求及供货范围投标方提供的设备具体规格、数量见表2.1和表2.2。
投标方应如实填写。
2.2标准技术特性参数表投标人应认真逐项填写技术参数表中投标人响应值,不能空格,也不能以“响应”两字代替,不允许改动项目单位要求值。
信息安全管理制度-网络安全设备配置规范(20200420164410)
网络安全设备配置规范XXX2011年1月文档信息标题文档全名版本号 1.0版本日期2011年1月文件名网络安全设备配置规范所有者XXX作者XXX修订记录日期描述作者版本号2011-1 创建XXX 1.0文档审核/审批(此文档需如下审核)姓名公司/部门职务/职称文档分发(此文档将分发至如下各人)姓名公司/部门职务/职称网络安全设备配置规范1防火墙1.1防火墙配置规范1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等,并定义相应的职责,维护相应的文档和记录。
2.防火墙管理人员应定期接受培训。
3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等,以及使用SSH而不是telnet远程管理防火墙。
4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如何进行口令变更?1.2变化控制1.防火墙配置文件是否备份?如何进行配置同步?2.改变防火墙缺省配置。
3.是否有适当的防火墙维护控制程序?4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁,确保补丁的来源可靠。
5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)1.3规则检查1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。
2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。
防火墙访问控制规则集的一般次序为:反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地址)用户允许规则(如,允许HTTP到公网Web服务器)管理允许规则拒绝并报警(如,向管理员报警可疑通信)拒绝并记录(如,记录用于分析的其它通信)防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。
3.防火墙访问控制规则中是否有保护防火墙自身安全的规则4.防火墙是否配置成能抵抗DoS/DDoS攻击?5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址标准的不可路由地址(255.255.255.255、127.0.0.0)私有(RFC1918)地址(10.0.0.0 –10.255.255.255、172.16.0.0 –172.31..255.255、192.168.0.0 –192.168.255.255)保留地址(224.0.0.0)非法地址(0.0.0.0)6.是否确保外出的过滤?确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则,并确保任何源IP不是内部网的通信被记录。
网络安全总体技术要求V1.0.0
目录1.范围 (3)2.规范性引用文件 (3)3.术语、定义和缩略语 (4)3.1. 相关术语定义 (4)3.2. 缩略语解释 (4)4.总则 (5)5.技术准则 (5)5.1. 技术目标 (5)5.2. 遵循原则 (6)5.3. 措施制定流程 (7)5.3.1.威胁定级规则 (8)5.3.2.动态评估系统要求 (9)5.3.3.安全措施筛选规则 (10)5.3.4.措施体系组织过程 (11)6.无线接入安全技术要求 (13)6.1. GSM和GPRS接入安全 (14)6.1.1.网络安全规划 (14)6.1.2.信息保密 (14)6.1.3.信息控制 (15)6.1.4.信息鉴别 (15)6.1.5.安全管理 (15)6.1.6.备份响应 (15)6.2. WLAN接入安全 (15)6.2.1.信息保密 (16)6.2.2.信息鉴别 (16)6.2.3.安全管理 (17)7.核心网安全技术要求 (17)7.1. CMNet的安全技术要求 (18)7.1.1.CMNet安全技术框架 (18)7.1.2.网络系统安全技术要求 (19)7.1.3.网络管理安全技术要求 (20)7.1.4.基础服务系统安全技术要求 (21)7.2. IP专网的安全技术要求 (23)7.2.1.网络安全规划 (23)7.2.2.信息控制 (24)7.2.3.信息鉴别 (25)7.2.4.安全管理 (25)7.2.5.备份响应 (26)7.3. 电路域核心网的安全技术要求 (27)7.4. 分组域核心网的安全技术要求 (27)7.4.1.网络安全规划 (27)7.4.2.信息控制 (29)7.4.3.安全管理 (30)8.业务平台安全技术要求 (31)8.1. 业务平台安全技术框架 (32)8.2. 网络承载安全技术要求 (32)8.2.1.网络安全规划 (33)8.2.2.安全管理 (34)8.3. 业务承载安全技术要求 (35)8.3.1.网络安全规划 (36)8.3.2.安全管理 (36)8.4. 业务服务安全技术要求 (38)9.终端和SIM卡安全技术要求 (39)9.1. SIM卡安全技术要求 (40)9.1.1.安全技术要求 (40)9.2. GSM/GPRS终端安全 (42)9.2.1.安全技术要求 (42)10.IT支撑系统安全技术要求 (44)10.1. IT支撑系统安全技术框架 (45)10.2. 基本安全技术要求 (45)10.2.1.网络安全规划 (45)10.2.2.安全管理 (51)10.3. 网管系统安全技术要求 (55)10.3.1.安全域的划分 (55)10.3.2.几点具体的安全要求 (56)10.4. BOSS系统安全技术要求 (57)10.4.1.安全域的划分 (57)10.4.2.存储系统的安全技术要求 (58)10.4.3.网上营业厅的安全技术要求 (59)10.5. 企业信息化系统安全技术要求 (59)10.5.1.安全域的划分 (60)10.5.2.终端安全要求 (62)10.5.3.主要安全设施 (62)1.范围本总体技术要求对现网的安全技术提出规定,原则上在公司内部使用,用于接入网、核心网、传送网、业务网及平台安全、终端和卡以及IT支撑系统安全等方面为集团公司和省公司提供技术依据。
北京工业大学耿丹学院安全产品选型V1.0
功能描述
机箱高度2U,机架式设备,设备实配2个万兆(SFP+)插槽,8个 SFP插槽,10个10/100/1000BASE-T接口(其中2个电口作为HA口 和管理口),包括4个可插拨的扩展槽,设备支持IPSECVPN(支持 1000隧道) 标配模块化双冗余电源 整机吞吐率:25Gbps 机箱高度2U,机架式设备,设备实配2个万兆(SFP+)插槽,8个 SFP插槽,10个10/100/1000BASE-T接口(其中2个电口作为HA口 和管理口),包括2个可插拨的扩展槽 标配模块化双冗余电源 整机吞吐率:10Gbps 最大并发连接数:250万 IPS吞吐率:4Gbps 机箱高度2U,机架式设备,设备实配2个万兆(SFP+)插槽,4个 SFP插槽,6个10/100/1000BASE-T接口(其中2个电口作为HA口和 管理口),包括3个可插拔的扩展槽 冗余电源 网络吞吐量:4Gbps 网络并发连接数:600万 机箱高度2U,机架式设备,设备实配4个SFP插槽,6个 10/100/1000BASE-T接口(其中2个电口作为HA口和管理口),包 括3个可插拨的扩展槽 IPSEC最大隧道数:8000 SSL并发用户数:5000 机箱高度2U,机架式设备,设备实配6个10/100/1000BASETX(100m,RJ45), 4个SFP接口, 冗余电源。 吞吐率:1Gbps 最大并发连接数:60W 机箱高度2U,机架式设备,包括2个USB接口,1个RJ45串口,6个 10/100/1000BASE-T接口,2个作为HA口和管理口,4个千兆多模光 纤接口,1个可扩展插槽。电口支持Bypass,冗余电源。 吞吐量:1G 攻击处理速度:148万pps(64bytes) 机箱高度2U,机架式设备,设备实配2个10/100/1000MBase-T电 口作为HA口和管理口,4个10/100/1000BASE-TX(100m,RJ45), 4 个SFP接口, 冗余电源。 整机吞吐率(bps):4G 最大并发连接数:300万 机箱高度2U,机架式设备,最大配置为34个千兆接口设备实配6个 10/100/1000BASE-T接口(其中2个电口作为HA口和管理口),4个 千兆多模光纤接口,2个万兆接口,2个万兆模块,1T硬盘,3个扩 展槽位,冗余电源。 吞吐量:1.2Gbps 最大并发连接数:100W 机箱高度2U,机架式设备,设备实配6个10/100/1000BASE-T接 口,2个作为HA口和管理口,4个10/100/1000BASE-TX(100m,RJ45) 采集口, 其中4个电口支持Bypass,4个SFP插槽,2个扩展槽位, 冗余电源。 整机吞吐率:8Gbps 最大并发连接数: 150W 垃圾邮件、病毒邮件过滤网关,Intel 4核至强3.1GHz 处理器, 16GB内存,2块1TB SAS企业硬盘,RAID 1,2个千兆网卡,单电 建议用户数 1000-2000
网络安全设备选型方案
网络安全设备选型方案概述网络安全是当前企业和个人非常关注的一个重要领域。
随着互联网的普及和信息技术的快速发展,网络安全威胁也日渐增多,因此选择合适的网络安全设备成为保护网络安全的重要一环。
本文将介绍网络安全设备的选型方案,帮助企业和个人在购买安全设备时能够做出明智的决策。
一、网络安全设备的分类网络安全设备可以分为以下几类:1.防火墙(Firewall):用于监控和控制进出网络的数据流量,阻止未授权的访问和恶意行为。
2.入侵检测系统(IDS)和入侵防御系统(IPS):用于监测网络中的入侵行为,并采取相应的防御措施。
3.虚拟专用网络(VPN):通过加密和隧道技术,为在公共网络上通信的用户提供安全的连接。
4.安全网关(Security Gateway):用于过滤和检测网络流量,保护网络中的终端设备免受恶意软件和网络攻击的侵害。
5.身份认证和访问控制设备:用于验证用户身份并控制其对网络资源的访问权限。
6.安全信息和事件管理系统(SIEM):用于收集、分析和报告网络安全事件和日志。
二、选型方案考虑因素在选择网络安全设备时,需要考虑以下因素:1. 安全需求首先要明确自己的安全需求,包括对网络流量的监控、入侵行为的检测与防御、用户身份认证与访问控制等方面的需求。
不同的安全设备在这些方面的功能和性能上有所差异,因此需要根据自身的需求选择合适的设备。
2. 特性和功能考虑设备的特性和功能对于确保网络的安全非常重要。
例如,防火墙需要支持灵活的访问控制策略和应用层协议过滤功能;入侵检测系统需要具备准确的入侵检测能力和及时的警报功能。
因此,需要仔细研究设备的技术规格和文档,了解其特性和功能是否满足自身的需求。
3. 性能和可扩展性考虑设备的性能和可扩展性对于满足网络安全需求非常重要。
性能方面,需要考虑设备的处理能力、吞吐量和延迟等指标,确保设备能够处理网络流量的负载。
可扩展性方面,需要考虑设备是否支持集群部署、容灾备份和动态扩展等功能,以应对网络规模和流量的增长。
中国移动城域传送网PTN设备测试规范-V1.0.0
5. PTN 测试仪表清单 ........................................................................................................................13
6. 多业务承载能力 ...........................................................................................................................14
6.2. L2 VPN 业务 ..........................................................................................................................18 6.2.1. E-LINE 业务.................................................................................................................18 6.2.2. E-LAN 业务...................................................................................................................20 6.2.3. E-Tree 业务.................................................................................................................23 6.2.4. 以太网的 IGMP Snooping 组播功能和性能测试 ......................................................25
Huawei网络设备加固规范V01
#ssh user xxxx assign rsa-key xxxxxx;
#ssh user xxxx authentication-type [ password | RSA | all ]
(2)NE系列
#local-userusernamepassword [simple | cipher]password
[Router-radius-shiva] radius-server retransmit2
[Router-radius-shiva]quit
#进入AAA视图。
[Router]aaa
#配置认证方案r-n,认证方法为先RADIUS,假如没有响应,则不认证。
[Router–aaa]authentication-schemer-n
实施目的:
删除与设备运行、爱护等工作无关的账号
咨询题阻碍:
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态:
查看备份的系统配置文件中帐号信息。
实施方案:
1、参考配置操作
aaa
undo local-user test
回退方案:
还原系统配置文件。
判定依据:
标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险:
低
重要等级:
★★★
实施风险:
低
重要等级:
★★★
1.2
1.2.1
编号:
Huawie-01-02-01
名称:
远程登录加密传输
实施目的:
远程登陆采纳加密传输
咨询题阻碍:
泄露密码
系统当前状态:
企业级网络安全设备选型与部署指南
企业级网络安全设备选型与部署指南第1章网络安全设备选型基础 (4)1.1 网络安全需求分析 (5)1.2 设备选型原则与标准 (5)1.3 常见网络安全设备介绍 (5)第2章防火墙选型与部署 (5)2.1 防火墙技术概述 (5)2.2 防火墙选型要点 (5)2.3 防火墙部署策略 (5)第3章入侵检测与防御系统选型与部署 (5)3.1 入侵检测与防御技术 (5)3.2 IDS/IPS设备选型 (5)3.3 IDS/IPS部署与优化 (5)第4章虚拟专用网(VPN)设备选型与部署 (5)4.1 VPN技术原理与应用 (5)4.2 VPN设备选型要点 (5)4.3 VPN部署与配置 (5)第5章防病毒设备选型与部署 (5)5.1 防病毒技术概述 (5)5.2 防病毒设备选型 (5)5.3 防病毒设备部署与更新 (5)第6章数据泄露防护(DLP)设备选型与部署 (5)6.1 数据泄露防护技术 (5)6.2 DLP设备选型 (5)6.3 DLP部署与策略设置 (5)第7章网络准入控制系统选型与部署 (5)7.1 网络准入控制技术 (5)7.2 网络准入控制系统选型 (5)7.3 网络准入控制部署与运维 (5)第8章无线网络安全设备选型与部署 (5)8.1 无线网络安全技术 (5)8.2 无线网络安全设备选型 (6)8.3 无线网络安全部署与优化 (6)第9章加密技术及其设备选型 (6)9.1 加密技术概述 (6)9.2 加密设备选型 (6)9.3 加密设备部署与应用 (6)第10章网络安全审计设备选型与部署 (6)10.1 网络安全审计概述 (6)10.2 网络安全审计设备选型 (6)10.3 网络安全审计部署与策略 (6)第11章安全运维管理平台选型与部署 (6)11.1 安全运维管理平台功能与需求 (6)11.2 安全运维管理平台选型 (6)11.3 安全运维管理平台部署与使用 (6)第12章整体网络安全解决方案设计与实施 (6)12.1 网络安全解决方案设计原则 (6)12.2 网络安全设备集成与协同 (6)12.3 网络安全解决方案部署与评估 (6)第1章网络安全设备选型基础 (6)1.1 网络安全需求分析 (6)1.1.1 确定网络安全目标 (6)1.1.2 识别网络安全威胁 (6)1.1.3 评估网络安全风险 (6)1.1.4 确定网络安全需求 (7)1.2 设备选型原则与标准 (7)1.2.1 安全性原则 (7)1.2.2 可靠性原则 (7)1.2.3 扩展性原则 (7)1.2.4 兼容性原则 (7)1.2.5 经济性原则 (7)1.3 常见网络安全设备介绍 (7)1.3.1 防火墙 (7)1.3.2 入侵检测系统(IDS) (7)1.3.3 入侵防御系统(IPS) (7)1.3.4 虚拟专用网络(VPN) (7)1.3.5 网络防病毒系统 (8)1.3.6 安全审计系统 (8)1.3.7 数据加密设备 (8)第2章防火墙选型与部署 (8)2.1 防火墙技术概述 (8)2.1.1 防火墙发展历程 (8)2.1.2 防火墙分类 (8)2.1.3 防火墙工作原理 (9)2.2 防火墙选型要点 (9)2.2.1 安全功能 (9)2.2.2 可靠性 (9)2.2.3 管理与维护 (9)2.2.4 兼容性与扩展性 (9)2.3 防火墙部署策略 (9)2.3.1 边界防火墙部署 (9)2.3.2 分布式防火墙部署 (10)2.3.3 虚拟防火墙部署 (10)第3章入侵检测与防御系统选型与部署 (10)3.1 入侵检测与防御技术 (10)3.1.1 入侵检测技术 (10)3.2 IDS/IPS设备选型 (11)3.2.1 设备功能 (11)3.2.2 系统兼容性 (11)3.2.3 安全性 (11)3.2.4 可管理性 (11)3.3 IDS/IPS部署与优化 (11)3.3.1 部署策略 (11)3.3.2 优化措施 (12)第4章虚拟专用网(VPN)设备选型与部署 (12)4.1 VPN技术原理与应用 (12)4.1.1 VPN技术原理 (12)4.1.2 VPN应用场景 (12)4.2 VPN设备选型要点 (12)4.2.1 功能要求 (12)4.2.2 安全性要求 (13)4.2.3 兼容性和可扩展性 (13)4.2.4 管理和维护 (13)4.3 VPN部署与配置 (13)4.3.1 部署方案 (13)4.3.2 配置步骤 (13)第5章防病毒设备选型与部署 (14)5.1 防病毒技术概述 (14)5.1.1 防病毒技术基本原理 (14)5.1.2 防病毒技术的发展 (14)5.1.3 当前主流防病毒技术 (14)5.2 防病毒设备选型 (14)5.2.1 设备类型选择 (14)5.2.2 设备功能选择 (15)5.2.3 设备功能选择 (15)5.2.4 兼容性选择 (15)5.3 防病毒设备部署与更新 (15)5.3.1 部署方法 (15)5.3.2 更新策略 (15)第6章数据泄露防护(DLP)设备选型与部署 (16)6.1 数据泄露防护技术 (16)6.2 DLP设备选型 (16)6.3 DLP部署与策略设置 (17)第7章网络准入控制系统选型与部署 (17)7.1 网络准入控制技术 (17)7.2 网络准入控制系统选型 (18)7.3 网络准入控制部署与运维 (18)第8章无线网络安全设备选型与部署 (19)8.1 无线网络安全技术 (19)8.3 无线网络安全部署与优化 (20)第9章加密技术及其设备选型 (20)9.1 加密技术概述 (20)9.1.1 加密技术基本概念 (21)9.1.2 加密技术分类 (21)9.1.3 加密技术在我国的应用 (21)9.2 加密设备选型 (21)9.2.1 加密设备分类 (21)9.2.2 加密设备选型原则 (21)9.2.3 加密设备选型注意事项 (22)9.3 加密设备部署与应用 (22)9.3.1 加密设备部署 (22)9.3.2 加密设备应用场景 (22)9.3.3 加密设备安全管理 (22)第10章网络安全审计设备选型与部署 (22)10.1 网络安全审计概述 (22)10.2 网络安全审计设备选型 (23)10.3 网络安全审计部署与策略 (23)第11章安全运维管理平台选型与部署 (24)11.1 安全运维管理平台功能与需求 (24)11.1.1 功能需求 (24)11.1.2 功能需求 (24)11.2 安全运维管理平台选型 (25)11.2.1 满足功能需求:根据企业实际需求,选择具备相应功能的安全运维管理平台。
网络安全设备选型方案
网络安全设备选型方案网络安全设备选型方案随着互联网的普及和发展,网络安全问题已经成为各个企业和组织关注的重要问题。
为了保护自身网络的安全,不仅需要做好网络安全管理和运维工作,还需要选配适当的网络安全设备。
以下是一个网络安全设备选型方案的简要介绍。
首先,对于网络入侵的防御,可以选配防火墙设备。
防火墙能够监控和过滤网络流量,防止未经授权的访问和攻击。
常见的防火墙设备有软件防火墙和硬件防火墙。
软件防火墙适用于小型网络,安装在服务器或路由器上,具有一定的防御能力。
硬件防火墙适用于中大型网络,安装在网络的入口处,具有更高的性能和安全性。
其次,对于网络数据的加密和安全传输,可以选配VPN设备。
VPN(Virtual Private Network)是一种加密通信技术,可以通过公共网络建立私密通信网络,确保数据在传输过程中的安全性。
VPN设备通常包括VPN服务器和VPN客户端,可以提供安全的远程访问和通信功能。
另外,对于网络流量的监测和分析,可以选配入侵检测系统(IDS)和入侵防御系统(IPS)。
IDS能够监测网络中的异常流量和攻击行为,并及时发出警报。
IPS则可以在检测到攻击行为时,进行自动防御和阻断,以保护网络的安全。
此外,对于企业内部网络的安全管理和访问控制,可以选配网络接入控制(NAC)设备。
NAC设备可以对用户进行身份认证,并根据用户的角色或权限,对其进行网络访问控制。
通过NAC设备,可以有效地防止内部人员滥用权限,提高网络安全性。
最后,对于网络中的恶意软件和病毒的防护,可以选配杀毒软件和网关安全设备。
杀毒软件可以实时监测和清除计算机中的病毒,保护用户的个人数据安全。
网关安全设备可以在网络入口处对流量进行实时检测和过滤,阻止恶意软件和病毒的传播。
综上所述,网络安全设备的选型应根据企业或组织的实际情况和需求来进行。
需要综合考虑网络规模、安全需求、预算等因素,选择合适的网络安全设备,保护网络安全,确保网络的正常运行。
网络安全产品 选型
网络安全产品选型网络安全是现代企业不可忽视的重要问题,选择适合自己企业的网络安全产品对保护机密信息和防止网络攻击至关重要。
在选择网络安全产品时,需要考虑以下因素:1. 防火墙:防火墙是一种基础的网络安全产品,能够监控和过滤进出网络的数据流量。
根据企业的规模和需求选择硬件防火墙或软件防火墙。
2. 入侵检测系统(IDS)和入侵防御系统(IPS):IDS能够检测并记录网络中的异常活动,而IPS则能够主动阻止网络攻击。
有效的IDS和IPS可以帮助企业快速发现和应对潜在的安全威胁。
3. 数据加密技术:为了保护重要数据的机密性,企业可以考虑使用数据加密技术。
这包括对存储在本地服务器、云存储和传输过程中的数据进行加密,以确保只有授权的用户可以访问数据。
4. 强密码策略:强密码是保护网络安全的基础。
使用密码管理工具来生成和存储复杂的密码,并定期更换密码是重要的措施。
5. 安全审计和监控工具:安全审计和监控工具可以帮助企业实时监测网络活动,并记录和分析安全事件。
这些工具可以帮助企业快速发现异常行为,从而能够迅速采取措施应对威胁。
6. 终端安全软件:针对终端设备的安全软件可以帮助防止恶意软件和病毒的感染。
这些软件可以提供实时保护和自动扫描功能,确保终端设备安全。
7. 域名系统(DNS)安全:DNS安全技术可以帮助企业防止DNS劫持、欺诈和恶意软件蔓延。
选择具备DNS安全功能的网络安全产品可以有效保护企业的域名和网络服务。
8. 员工安全培训:除了技术层面的网络安全产品,企业还应该注重员工的安全意识培训,提高员工对网络威胁的认知和应对能力。
选择适合的网络安全产品应该综合考虑企业的规模、预算以及所处行业的特点。
在选择之前,最好先进行安全风险评估,并咨询专业人士的意见。
网络安全产品选型
网络安全产品选型
在选择网络安全产品时,需要综合考虑公司的实际需求和预算,以确保能够有效保护企业的网络安全。
以下是一些建议和注意事项:
1. 风险评估:首先,进行全面的风险评估,了解公司网络所面临的主要威胁和风险。
这可以通过安全漏洞扫描、入侵测试和安全审计等方式来完成。
2. 防火墙:防火墙是企业网络安全的基础,可以过滤网络流量,阻止恶意访问和攻击。
选择一款功能强大、易于配置和管理的防火墙是很重要的。
3. 入侵检测系统(IDS)和入侵防御系统(IPS):IDS和IPS
可以检测和阻止入侵行为,帮助提前发现和应对攻击。
考虑选择能够实时监测网络流量并具备自动响应功能的产品。
4. 数据加密:对敏感数据进行加密可以防止数据泄露和非法访问。
选择支持各种加密算法和具备灵活密钥管理的加密产品是必要的。
5. 终端安全:安全终端是保护企业网络的重要组成部分。
选择拥有强大的防病毒、反恶意软件和远程管理功能的终端安全产品,将所有终端设备纳入保护范围。
6. 行为分析和威胁情报:行为分析可以帮助发现异常活动和潜在的威胁,而威胁情报可以提供关于最新威胁的信息。
选择综
合行为分析和威胁情报的产品可以提高对未知威胁的应对能力。
7. 安全培训和意识:除了技术措施,提高员工的安全意识和培训也是关键。
选择具备在线培训和模拟威胁演练功能的安全教育平台是推动员工安全意识提升的有效途径。
综上所述,选择适合的网络安全产品需要对公司的网络环境、风险和需求有清晰的认识,并考虑多个方面的因素。
同时,及时进行评估和持续监测,确保所选择的产品能够满足长期的安全需求。
网安设备选型规范
网安设备选型规范1. 引言网络安全设备是维护企业网络安全的重要组成部分。
在当前复杂多变的网络环境下,选择适合的网安设备对于保护企业的信息资产和网络安全至关重要。
本文档旨在为企业提供一个网安设备选型的规范,帮助企业根据自身需求和实际情况选择最合适的网安设备。
2. 网安设备选型的重要性随着网络攻击和威胁的不断增加,网络安全设备的作用越来越重要。
一个恰当的网安设备选型需要考虑以下几个因素:2.1 业务需求不同的企业有不同的业务需求,这将直接影响到网安设备选型。
例如,某些企业对传输速度非常注重,需要选择具备高速传输能力的设备;而其他企业可能更关注安全防护能力,需要选择具有强大防护功能的设备。
2.2 安全威胁不同的行业面临的网络安全威胁也不同。
企业应该根据自身所处行业的特点,选择适用于该行业的网安设备。
例如,金融行业对数据安全要求较高,需要选择具备高级加密和访问控制能力的设备。
2.3 可扩展性和可升级性企业应该选择具有良好可扩展性和可升级性的网安设备。
这样可以在未来业务需求发生变化时,避免频繁更换设备,降低成本和风险。
2.4 性能和稳定性性能和稳定性是评估网安设备的重要指标。
企业应该选择具有高性能和稳定性的设备,以确保网络的正常运行和安全防护。
3. 网安设备选型规范基于以上考虑因素,以下是网安设备选型的规范要求:3.1 安全性要求•设备应具备强大的安全防护功能,包括防火墙、入侵检测和防御系统等。
•设备应支持多种加密算法和认证机制,以确保数据的机密性和完整性。
•设备应支持灵活的访问控制策略,可以根据业务需求进行定制。
3.2 性能要求•设备应具备高性能的处理能力,以应对高负载的网络流量。
•设备应支持高速数据传输,保证网络的传输效率。
•设备应支持负载均衡和故障转移,提高网络的可用性和稳定性。
3.3 可扩展性和可升级性要求•设备应支持模块化设计,以方便后续的功能扩展和升级。
•设备应支持云端配置和管理,提升管理效率和灵活性。
网络安全总体技术要求V1.0.0
1. 范围 (3)2. 规范性引用文件 (3)3. 术语、定义和缩略语 (4)3.1. 相关术语定义 (4)3.2. 缩略语解释 (4)4. 总则 (5)5. 技术准则 (5)5.1. 技术目标 (5)5.2. 遵循原则 (6)5.3. 措施制定流程 (7)5.3.1. 威胁定级规则 (8)5.3.2. 动态评估系统要求 (9)5.3.3. 安全措施筛选规则 (10)5.3.4. 措施体系组织过程 (11)6. 无线接入安全技术要求 (13)6.1. GSM和GPRS接入安全 (14)6.1.1. 网络安全规划 (14)6.1.2. 信息保密 (14)6.1.3. 信息控制 (15)6.1.4. 信息鉴另U (15)6.1.5. 安全管理 (15)6.1.6. 备份响应 (15)6.2. WLAN接入安全 (15)6.2.1. 信息保密 (16)6.2.2. 信息鉴另U (16)6.2.3. 安全管理 (17)7. 核心网安全技术要求 (17)7.1. CMNet的安全技术要求 (18)7.1.1. CMNet安全技术框架 (18)7.1.2. 网络系统安全技术要求 (19)7.1.3. 网络管理安全技术要求 (20)7.1.4. 基础服务系统安全技术要求 (21)7.2. IP专网的安全技术要求 (23)7.2.1. 网络安全规划 (23)7.2.2. 信息控制 (24)7.2.3. 信息鉴另U (25)7.2.4. 安全管理 (25)7.2.5. 备份响应 (26)7.3. 电路域核心网的安全技术要求 (27)7.4. 分组域核心网的安全技术要求 (27)7.4.1. 网络安全规划 (27)7.4.2. 信息控制 (29)7.4.3. 安全管理 (30)8. 业务平台安全技术要求 (31)8.1. 业务平台安全技术框架 (32)8.2. 网络承载安全技术要求 (32)8.2.1. 网络安全规划 (33)8.2.2. 安全管理 (34)8.3. 业务承载安全技术要求 (35)8.3.1. 网络安全规划 (36)8.3.2. 安全管理 (36)8.4. 业务服务安全技术要求 (38)9. 终端和SIM卡安全技术要求 (39)9.1. SIM 卡安全技术要求 (40)9.1.1. 安全技术要求 (40)9.2. GSM/GPRS 终端安全 (42)9.2.1. 安全技术要求 (42)10. IT支撑系统安全技术要求 (44)10.1. IT支撑系统安全技术框架 (45)10.2. 基本安全技术要求 (45)10.2.1. 网络安全规划 (45)10.2.2. 安全管理 (51)10.3. 网管系统安全技术要求 (55)10.3.1. 安全域的划分 (55)10.3.2. 几点具体的安全要求 (56)10.4. BOSS系统安全技术要求 (57)10.4.1. 安全域的划分 (57)10.4.2. 存储系统的安全技术要求 (58)10.4.3. 网上营业厅的安全技术要求 (59)10.5. 企业信息化系统安全技术要求 (59)10.5.1. 安全域的划分 (60)10.5.2. 终端安全要求 (62)10.5.3. 主要安全设施 (62)1. 范围本总体技术要求对现网的安全技术提出规定,原则上在公司内部使用,用于接入网、核心网、传送网、业务网及平台安全、终端和卡以及IT支撑系统安全等方面为集团公司和省公司提供技术依据。
网络安全产品选型
网络安全产品选型网络安全是当今互联网时代面临的重要问题之一,网络安全产品的选型对于保护个人和企业的网络安全至关重要。
针对网络安全的产品选型,我认为需要考虑以下几个因素。
首先,网络防火墙是网络安全的基础设施,它可以帮助检测和阻止潜在的网络攻击和入侵。
在选择防火墙产品时,需要考虑其功能强大和灵活性,能够检测各种类型的攻击和对抗高级的攻击手段。
此外,防火墙还需要具备可视化的管理界面和实时的监控功能,方便管理员进行配置和管理。
其次,入侵检测系统(IDS)和入侵预防系统(IPS)是保护网络安全的重要组成部分。
IDS可以监控网络流量,识别和报告潜在的入侵活动,而IPS则可以主动阻止入侵行为。
在选择IDS和IPS产品时,需要考虑其准确性和可靠性,能够及时发现入侵行为并采取相应的措施。
另外,IDS和IPS需要与其他安全产品和系统无缝集成,实现全面的保护。
第三,安全信息和事件管理系统(SIEM)是集中管理和分析安全事件的重要工具。
SIEM可以从各种安全设备和日志源收集和分析安全事件,帮助管理员及时发现和回应安全威胁。
在选择SIEM产品时,需要考虑其数据分析和报告功能,能够提供实时的安全事件信息和全面的报告。
此外,SIEM还需要支持可扩展性和灵活性,适应不同规模和复杂性的网络环境。
最后,数据加密和身份认证也是保护网络安全的重要手段。
数据加密可以保护敏感数据的机密性,防止信息泄露,而身份认证可以确保只有授权用户才能访问系统和数据。
在选择加密和认证产品时,需要考虑其加密算法的强度和认证机制的可靠性,能够抵御各种攻击手段和保护用户的隐私。
综上所述,网络安全产品的选型需要综合考虑防护、检测和响应能力,以及管理和可维护性等因素。
只有选择适合自己网络环境和需求的网络安全产品,才能够有效地保护网络安全,并防止潜在的威胁和攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编号阶段标记版本V1.0网络安全设备选型框架XXXX科技有限责任公司2016年5月1文档更新记录2引言因设备参考选型工作之因,需对硬件有较为深入的知识体系架构了解,为本部门与相关项目设备选型提供相对专业技术支持。
因此通过查询资料及询问相关厂家设备信息,完成以下文档。
按照网络从外到内:从光纤---->电脑客户端,设备依次有:路由器(可做端口屏蔽,带宽管理Qos,防泛洪flood攻击等)----防火墙(有普通防火墙和UTM等,可以做网络三层端口管理、IPS(入侵检测)、IDS (入侵防御)、IDP(入侵检测防御)、安全审计认证、防病毒、防垃圾和病毒邮件、流量监控(QOS)等)----行为管理器(可做UTM的所有功能、还有一些完全审计,网络记录等等功能,这个比较强大)----核心交换机(可以划分vlan、屏蔽广播、以及基本的acl列表),而安全的网络连接方式:现在流行的有MPLS VPN ,SDH专线、VPN等,其中VPN常见的包括(SSL VPN \ipsec VPN\ PPTP VPN 等)。
在这些设备中所涉及的内容主要包括参数、功能、接口、技术类型、厂商等的框架信息。
由于资料原因,目前信息仍然不够健全,且由于技术更新太快已无法跟上网安设备的更新变化速度,因此造成了信息的迟滞性甚至不准确。
这些问题留待日后更新解决。
3目录引言 (3)1、网络安全设备 (7)1.1信息安全与安全产品 (7)1.2信息安全技术规范 (9)1.3网安总体选型原则 (9)2、硬件防火墙 (11)2.1具体选型原则 (12)2.2主流设备厂家 (13)2.3设备详细信息 (15)2.3.1重要选择参数 (15)2.3.2主要技术类型 (18)2.3.3主要架构 (24)2.3.4接口类型 (26)2.3.5主要功能 (27)2.3.6安装位置 (28)3、入侵检测IDS (28)3.1性能评价标准 (30)3.2主流设备厂家 (30)3.3设备详细信息 (32)3.3.1重要选择参数 (32)3.3.2主要技术类型 (32)3.3.3主要构成 (33)3.3.4接口类型 (34)3.3.5主要功能 (34)3.3.6安装位置 (35)4.入侵防御IPS (36)4.1具体性能要求 (37)4.2主流设备厂家 (38)44.3设备详细信息 (39)4.3.1重要选择参数 (39)4.3.2主要技术类型 (40)4.3.3接口类型 (40)4.3.4主要功能 (40)4.3.5部署位置 (41)4.4 IDS和IPS的区别和选择 (42)5、统一威胁管理设备UTM (44)5.1具体选型原则 (45)5.2主流设备厂家 (46)5.3设备详细信息 (47)5.3.1重要选择参数 (47)5.3.2主要设备类型 (48)5.3.3 接口类型 (48)5.3.4主要功能 (48)6、其他常见设备 (51)6.1防病毒网关 (51)6.1.1防病毒网关简介 (51)6.1.2基本特性 (52)6.1.3重要参数 (54)6.1.4主流厂商 (54)6.1.5部署位置 (56)6.1.6与防火墙区别 (57)6.1.7与防病毒软件区别 (58)6.2 VPN安全网关 (59)6.2.1VPN网关简介 (59)6.2.2基本特性 (60)6.2.3重要参数 (61)6.2.4主流厂商 (61)56.2.5部署方案 (64)6.3网络审计系统 (64)6.3.1网络审计系统 (64)6.3.2基本特性 (64)6.3.3重要参数 (65)6.3.4主流厂商 (65)6.3.5审计类型 (66)6.3.6审计内容 (67)7.规范总结 (68)8.参考文档 (69)61、网络安全设备1.1信息安全与网络安全产品(1)信息安全模型国际标准化组织定义:信息安全是为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意原因而遭到破坏,更改和泄露。
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
7图1.1信息安全模型(2)网络安全网络安全不仅包括网络信息的存储安全,还涉及信息的产生、传输和使用过程中的安全。
网络安全从其本质上来说就是网络上的信息安全。
(3)网络安全防护产品:防火墙、防水墙WEB防火墙、网页防篡改入侵检测、入侵防御、防病毒统一威胁管理UTM身份鉴别、虚拟专网加解密、文档加密、数据签名物理隔离网闸、终端安全与上网行为管理内网安全、审计与取证、漏洞扫描、补丁分发安全管理平台灾难备份产品81.2信息安全技术规范图1.2信息安全国标1.3网安总体选型原则(1)中国网络安全产品概览中国的网络安全产品供应厂家基本可分为三类:国家级的专业信息安全产品供应厂家、新兴的专业信息安全产品供应厂家和国外厂家。
从功能上,常用的一些信息安全产品有:加密产品、防火墙、防病毒产品、入侵检测产品、虚拟专网产品,此外,还有身份鉴别产品、证书机关、物理安全产品。
加密产品是非常传统的信息安全产品,主要提供信息加密功能。
加密产品一般可以分为链路加密、网络加密、应用加密和加密协处理器等几个层次的产品。
防火墙是用于实施网络访问控制的产品,是最常见也是中国国内技术非常成熟的信息安全产品之一。
防病毒产品是中国国内最早出现并大规模使用的信息安全产品。
国内外生产的厂家很多,目前能够在国内获得一定市场的都是不错的产品。
入侵检测产品是近一两年发展起来的,主要用于检测网络攻击事件的发生。
9国内外供货厂家也较多。
身份鉴别产品也属于非常传统的产品,目前技术成熟的是一些基于信息技术的鉴别产品。
一些基于生理参数(如:指纹、眼纹)的技术和产品发展很快,已经有成熟产品推出。
虚拟专网产品是利用密码技术和公共网络构建专用网络的一种设备,该设备集成了网络技术、密码技术、远程管理技术、鉴别技术等于一体,是用户以非常低的成本构建专用网络的一种非常重要的产品。
证书机关是一类非常基础的产品,任何基于证书体制实现安全的信息系统都需要该产品。
物理安全产品是非常特殊的信息安全产品,如干扰器、隔离计算机、隔离卡等,其主要功能是确保信息处理设备的物理安全,提供诸如防电磁辐射、物理隔离等功能。
(2)信息安全产品选型指南信息安全产品的种类比较多。
许多安全产品的功能上也有一定交叉。
您在选型时一定要牢记以下几个基本原则:适用原则。
绝对的安全是不存在的,因此您必须具有“安全风险”意识。
信息安全产品的安装不一定意味信息系统不发生安全事故。
所有的安全产品只是降低安全事件发生的可能性,减小安全事件所造成的损失,提供弥补损失的手段。
您不要(也不可能)追求绝对的安全。
企业应考虑清楚自己信息系统最大的安全威胁来自何处,信息系统中最有价值的是什么,信息系统造成的哪些损失是自己无法忍受的。
安全产品只要为企业提供足够的手段应对主要的安全威胁,将可能的损失减小到可以接受的范围之内,就可以了。
不降低信息系统综合服务品质的原则。
目前中国许多企业往往是在信息系统规划(或建设)完成之后才考虑信息安全,即所谓的“打安全补丁”。
这种“补丁”做法往往会给信息安全产品的选型带来很多困难,因为很多时候,信息安全与系统的使用便利性和效率往往是一对矛盾。
企业需要在考虑安全性的前提下,综合系统的其它性能,结合评估系统的服务品质,定下系统综合服务品质参数,在此基础上,以不降低综合服务品质为原10则,对信息安全产品进行选型。
详细信息见附件:2、硬件防火墙硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。
11硬件防火墙是保障内部网络安全的一道重要屏障。
它的安全和稳定,直接关系到整个内部网络的安全。
因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
图2.1深信服硬件防火墙2.1具体选型原则(1)总拥有成本和价格:防火墙产品作为网络系统的安全屏障,其总拥有的成本不应该超过受保护网络系统可能遭受最大损失的成本。
防火墙的最终功能将是管理的结果,而非工程上的决策。
(2)明确系统需求:即用户需要什么样的网络监视、冗余度以及控制水平。
可以列出一个必须监测怎样的传输、必须允许怎样的传输流通行,以及应当拒绝什么传输的清单。
(3)应满足企业特殊要求:企业安全政策中的某些特殊需求并不是每种防火墙都能提供的,这常会成为选择防火墙时需考虑的因素之一,比如:加密控制标准,访问控制,特殊防御功能等。
(4)防火墙的安全性:防火墙产品最难评估的方面是防火墙的安全性能,普通用户通常无法判断。
用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了国家权威认证机构认证测试的产品。
(5)防火墙产品主要需求:企业级用户对防火墙产品主要需求是:内网安全性需求,细度访问控制能力需求,VPN需求,统计、计费功能需求,带宽管理能力需求等,这些都是选择防火墙时侧重考虑的方面。
(6)管理与培训:管理和培训是评价一个防火墙好坏的重要方面。
人员的培训和日常维护费用通常会占据较大的比例。
一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
12(7)可扩充性:网络的扩容和网络应用都有可能随着新技术的出现而增加,网络的风险成本也会急剧上升,因此便需要增加具有更高安全性的防火墙产品。
具体要求见下列文档防火墙的性能评估.doc网络性能与安全性评估.ppt2.2主流设备厂家(1)国内厂家:华为(USG系列产品,如USG5120,USG5520S,USG6390等)、天融信、网康、启明星辰等图2.2 华为USG6390华为USG6390产品参数重要参数网络端口:8GE+4SFP控制端口:暂无数据外形设计:暂无数据产品尺寸:442×421×43.6mm主要参数设备类型:下一代防火墙网络端口:8GE+4SFPVPN支持:支持入侵检测:Dos,DDoS管理支持命令行、WEB方式、SNMP、TR069等配置和管理方式,这些方式提供对设备的本地配置、远程维护、集中管理等多种手段,并提供完备的诊断、告警、测试等功能安全标准CE,ROHS,CB,UL,VCCI(2)国外厂家:思科(ASA系列,如ASA5512,ASA5505等)、Juniper等图2.2 CISCO ASA5512-K9整体外观图CISCO ASA5512-K9详细参数14主要参数500Mbps,IPS吞吐量:250Mbps网络端口6个GE接口控制端口2个USB2.0接口,1个console端口VPN支持支持一般参数电源AC 100-240V,50/60Hz,4.85A外形设计1U产品尺寸42.4×429×395mm产品重量6.07kg其他性能includes firewall services,250 IPsec VPN peers,2 SSL VPN peers,6 copper Gigabit Ethernet data ports,1 copper Gigabit Ethernet management port,1 AC power supply,3DES/AES encryption具体信息见下列文档:2.3设备详细信息2.3.1重要选择参数●吞吐量:在不丢包的情况下单位时间内通过的数据包数量(1)定义:在不丢包的情况下能够达到的最大每秒包转发数量(2)衡量标准:吞吐量作为衡量防火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈,以至影响到整个网络的性能15图2.3数据吞吐示意图● 时延:数据包最后一个比特进入防火墙到第一比特从防火墙输出的时间间隔(1)定义:入口处输入帧的最后1个比特到达,至出口处输出帧的第一个比特输出所用的时间间隔(2)衡量标准:防火墙的时延能够体现它处理数据的速度图2.4时延● 丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率(1)定义:在连续负载的情况下,防火墙设备由于资源不足应转发但却未转发的帧百分比(2)衡量标准:防火墙的丢包率对其稳定性、可靠性有很大的影响16图2.5丢包率计算● 并发连接数:防火墙能够同时处理的点对点连接的最大数目(1)定义:指穿越防火墙的主机之间,或主机与防火墙之间,能同时建立的最大连接数。