接入政务网方案

接入政务网方案

北京启明星辰信息安全技术有限公司

2016年4月

目录

一、需求分析 (3)

1.1 安全接入需求 (3)

1.2 访问控制需求 (3)

1.2.1 非法用户非法访问 (3)

1.2.2 合法用户非授权访问 (3)

1.3 入侵防御需求 (3)

二、详细设计方案 (4)

2.1 设计拓扑 (4)

2.2 实现功能 (4)

2.3 天清汉马一体化安全网关介绍 (5)

2.3.1 细粒度的高性能网络访问控制 (6)

2.3.2 性能和功能完美匹配的病毒防御 (7)

2.3.3 精准高效的入侵防御 (8)

2.3.4 完善的应用控制 (9)

2.3.5 精细的流量监控 (10)

2.3.6 智能化的异常流量管理 (11)

2.3.7 简单易用的管理模式 (12)

三、产品清单 (12)

一、需求分析

1.1 安全接入需求

接入政务网需要有相应的安全边界防护措施，要求在接入边界具备访问控制和入侵防护措施。

1.2 访问控制需求

1.2.1 非法用户非法访问

非法用户（黑客或商业间谍）对网络的非法访问将给网络带来巨大的安全风险。例如：窃取邮政局内部资料、商业秘密、非法删除重要的资料、篡改公司的主页……。然后非法用户还会把木马等程序拷到邮政局内的主机、服务器上，为下一次入侵打开一扇便利之门。同时黑客还会把已入侵过的主机作为跳板，通过它入侵其他地方的主机（例如：政府、银行、证券等）。所以，必须要采取一定的访问控制手段，防范来自非法用户的非法访问。

1.2.2 合法用户非授权访问

合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部份信息对外开放，而有些信息是要求保密的，它的公开范围是有限的。外部用户被允许正常访问的一定的信息，如他同时通过一些手段越权访问了网络上不允许他访问的信息，因此而造成他人的信息泄漏。所以，必须加强访问控制的机制，对服务及访问权限需要进行严格控制。

1.3 入侵防御需求

网络安全是整体的，动态的，不是单一产品能够完全实现。防火墙是实现网络安全最基本、最经济、最有效的措施之一。它可以对所有的访问进行严格控制（允许、禁止、报警），但防火墙不可能完全防止来自内部网络的攻击和那些绕

过防火墙带来的攻击乃至被允许通过防火墙正常访问带来的攻击以及一些新的攻击手段。所以，确保网络安全还必须采用入侵防御功能，对所有进出内部网络的访问行为进行检查并做相应反应（记录、报警、阻断）。

二、详细设计方案

2.1 设计拓扑

2.2 实现功能

为满足上述需求，建议部署一体化安全网关，天清汉马USG一体化安全网关可以部署在Internet和内部网络之间，执行网络访问控制功能，防止外部用户对内网核心资源的非法访问，同时，也可以阻挡来自Internet的病毒、蠕虫、木马、间谍软件、恶意软件。天清汉马USG一体化安全网关的病毒过滤针对标准协议，与应用无关。无论用户使用何种Email服务器和客户端，只要使用的是标准的SMTP、POP3协议，天清汉马USG一体化安全网关都可以对电子邮件中的病毒进行过滤，防止病毒通过邮件传播。天清汉马USG一体化安全网关还支持HTTP 协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的

病毒均可进行拦截。

开启入侵防御功能主要目的是防御来自于外网针对内网的攻击，对利用七层的黑客攻击手法或是利用合法掩护非法的网络行为进行有效防护。通过IPS的保护，对所有进出的封包均进行详细的七层进行分析，黑客利用合法方式进行非法存取的攻击将无所遁形。

2.3 天清汉马一体化安全网关介绍

2.3.1 细粒度的高性能网络访问控制

在天清汉马USG下一代防火墙中，通过深度防护规则实现网络访问控制，深度防护规则包含源地址、目的地址、源端口、源MAC、流入网口、流出网口、访问控制、时间调度、服务、是否为长连接、深度防护策略等多个控制子选项，对于不符合规则的访问，系统可以拦截并发出日志告警。

●支持基于物理接口、源IP地址、目的IP地址、MAC地址、域名、端口或

协议、时间、用户的访问控制。

●支持状态检测功能，支持连接状态非优先匹配和连接状态优先匹配两种状

态检测模式；不仅支持基于源IP地址、目的IP地址、MAC地址、域名、端口或协议、时间、用户的访问控制，还支持基于的访问控制。

●支持基于策略的HTTP、FTP、TELNET、SMTP、POP3、SOCKS、DNS、ICMP等

协议的透明代理，支持自定义端口的透明代理功能，支持基于透明代理

的深度内容过滤；支持FTP多线程透明代理控制。

●支持透明DNS代理服务，支持DNS二级服务器的透明代理；

●支持IP/MAC地址绑定，支持IP/MAC地址对的自动探测和唯一性检查；支

持IP/MAC的批量绑定。

●支持基于客户端的本地认证、远程Web认证，以及Radius等第三方认证；

支持基于USBKEY的证书方式认证。

●可以根据IP、协议、网络接口、时间定义、端口、P2P应用的带宽分配策

略；支持最小保证带宽和最大限制带宽；支持多种带宽定义，包括最小

保证带宽和最大限制带宽；支持分层带宽控制，可分4层进行控制，保

证细粒度管理水平；支持带宽优先级管理，可为不同用户、应用、策略

分配不同的优先级。

2.3.2 性能和功能完美匹配的病毒防御

天清汉马USG下一代防火墙的病毒检测引擎针对非缓存流检测模式进行了全面结构调整和优化，使安全网关的病毒检测率和处理性能获得质的突破：在保持高病毒检测率的同时，系统性能下降不超过20%。

●可以在HTTP,SMTP,FTP,POP3,IMAP等多种协议下病毒防御，支持自定义非

标准端口的HTTP,SMTP,FTP,POP3,IMAP协议中的病毒检测。

●支持路由、透明、混合等各种工作模式下的网络病毒检测，支持无IP地

址的透明桥下的网络病毒检测模式，支持VPN 模式下的病毒扫描。

●采用自有知识产权的病毒防御引擎（包括病毒检测引擎和病毒分析引擎），

采用国内知名病毒厂商特征库，可检测不少于20万种病毒，支持根据用

户需求自定义病毒特征。

●可以根据不同的源IP地址、目的IP地址、服务、时间、接口、用户等，

采用不同的病毒防御策略。

●可以过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类

型的病毒

●可以对当前主流的蠕虫做检测与阻断，例如： RedCode、Slammer、sober

等。

●内置病毒库，支持病毒库本地升级，病毒库可实时在线升级。

●支持基于病毒防护策略设置阻断、清除、记录日志，发送电子邮件报警等，

基于关联安全标准(Correlative Secure Criterion），可以和其他安全

设备和系统联合响应。