天融信网络安全产品标准方案.docx
- 文档编号:141349
- 上传时间:2022-10-04
- 格式:DOCX
- 页数:234
- 大小:3.07MB
天融信网络安全产品标准方案.docx
《天融信网络安全产品标准方案.docx》由会员分享,可在线阅读,更多相关《天融信网络安全产品标准方案.docx(234页珍藏版)》请在冰豆网上搜索。
天融信网络安全产品方案
目录
1产品功能 VII
1.1防火墙 VII
1.1.1系统概述 VII
1.1.2功能描述 VII
1.2入侵防御系统 VIII
1.2.1系统概述 VIII
1.2.2功能描述 VIII
1.3WEB应用防火墙 IX
1.3.1系统概述 IX
1.3.2功能描述 X
1.4漏扫扫描系统 XII
1.4.1系统概述 XII
1.4.2功能描述 XII
1.5数据库审计系统 XIV
1.5.1系统概述 XIV
1.5.2功能描述 XV
1.6负载均衡系统 XVI
1.6.1系统概述 XVI
1.6.2功能描述 XVII
2安全产品硬件规格及性能参数 XVIII
2.1防火墙品目一:
TG-62242 XVIII
2.2防火墙品目二:
TG-42218 XX
2.3入侵防御:
TI-51628 XXI
2.4WAF:
TWF-72138 XXII
2.5漏扫:
TSC-71528 XXIII
2.6数据库审计:
TA-11801-NET/DB XXIV
2.7负载均衡:
TopApp-81238-NLB-R XXV
2.8相关应答:
XXVII
3设备供货方案 XXIX
3.1供货计划和安排 XXIX
3.2运输安装计划 XXIX
3.3货物包装及标注 XXXI
3.4货物运输及交货 XXXI
4天融信安全产品安装部署方案 XXXI
4.1安全设备安装 XXXI
4.1.1安装步骤概述 XXXI
4.1.2安装准备工作确认 XXXII
4.1.3检查安装场所 XXXIV
4.1.4安装计划 XXXVI
4.1.5安装工具 XXXVI
4.1.6设备安装流程 XXXVIII
4.1.7设备安装到指定位置 XXXVIII
4.1.8地线的连接 XXXIX
4.1.9配置电缆的连接 XL
4.1.10安装中的布线推荐 XLII
4.1.11安装中的电缆捆扎 XLIII
4.1.12安装后的检查 XLVI
4.2安全设备上线调试 XLVII
4.2.1产品上线过程 XLVII
4.2.2安全策略调试 XLVIII
4.3系统集成割接 XLIX
4.3.1现有应用系统数据访问业务特点 XLIX
4.3.2割接时间点的选择 LI
4.3.3割接原则 LII
5测试方案 LII
5.1负载均衡系统测试方案 LII
5.1.1测试目的 LII
5.1.2测试内容 LII
5.1.3测试环境 LIII
5.1.4测试用例设计 LIV
5.1.5测试结论 LXX
5.2防火墙测试方案 LXX
5.2.1测试说明 LXX
5.2.2功能要求及测试方式 LXXII
5.2.3测试结果记录 LXXXVIII
5.3入侵防御系统测试方案 LXXXIX
5.3.1测试说明 LXXXIX
5.3.2测试环境 XC
5.3.3攻击测试内容和方法 XCII
5.3.4WEB过滤测试内容和方法 XCIX
5.3.5应用监控测试和方法 C
5.3.6防病毒测试内容和方法 CI
5.3.7防火墙联动 CI
5.3.8事件审计 CII
5.3.9测试结果 CIII
5.4WEB应用防火墙测试方案 CV
5.4.1测试环境 CV
5.4.2防护能力测试 CV
5.5漏洞扫描系统测试方案 CXXXIX
5.5.1测试目的 CXXXIX
5.5.2测试环境 CXXXIX
5.5.3功能测试 CXL
5.5.4专项测试 CLXIII
5.5.5漏洞测试 CLXVIII
5.5.6压力测试 CLXXXVI
5.5.7测试结论 CLXXXVIII
5.6数据库审计系统测试方案 CLXXXVIII
5.6.1测试目的 CLXXXVIII
5.6.2数据库审计基本功能 CLXXXIX
6质量保障方案 CXCVI
6.1质量保障体系 CXCVI
6.1.1质量保证体系 CXCVI
6.1.2施工及安装质量控制 CC
6.1.3测试及调试质量控制 CC
6.1.4过程质量控制 CCI
6.2应急保障 CCIII
6.2.1应急与回退场景 CCIII
6.2.2应急与回退方案 CCIV
7售后服务承诺和方案 209
7.1.1技术支持与服务体系 209
7.1.2技术支持与服务原则 209
7.1.3技术支持与服务目标 210
7.1.4试运行期间的技术支持与服务 210
7.1.5质量保证期内服务 210
7.1.5.1质量保证期外服务 212
7.1.5.2技术支持热线 214
8产品验收方式和标准 214
8.1验收目的 214
8.2验收依据 214
8.3验收组织 215
8.4验收进度 215
8.4.1到货验收 215
8.4.2初步验收 218
8.4.3最终验收 220
9易损坏、备件支持方案 221
10培训方案 221
10.1培训目标 221
10.2培训方式 222
10.3培训手段 222
10.3.1专业详细的培训教材 223
10.3.2完善的师资配备 223
10.3.3多媒体教学 224
10.4培训安排 224
10.4.1现场培训 224
10.4.2集中培训 226
11附件一:
天融信硬件平台MTBF测试报告 229
12附件二:
常设技术支持机构及备件库所在地 230
13附件三:
符合国家及行业标准证明材料(见压缩包中的检测报告) 233
1产品功能
1.1防火墙
1.1.1系统概述
网络层访问控制基本的安全防护手段,通常采用路由器和防火墙等手段实现,然而防火墙相对与路由器而言,不仅仅只是提供简单的访问控制功能,同时也能够提供更为强大的连接检测、攻击检测、认证、内容过滤等更加细粒度的安全防护,所以在网络层访问控制方面通常都采用防火墙设备,通过防火墙设备定义好的安全规则来实现基本的访问控制。
防火墙是实现网络安全的重要设备,防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
具体地说,设置防火墙的目的是隔离内部网和外部网,保护内部网络不受攻击,实现以下基本功能:
l禁止外部用户进入内部网络,访问内部资源;
l保证外部用户可以且只能访问到某些指定的公开信息;
l限制内部用户只能访问到某些特定资源,如WWW服务、FTP服务等。
1.1.2功能描述
针对安全建设需求,建议对部署在网络内的防火墙配置如下策略:
实现访问控制:
通过在防火墙上配置安全访问控制策略过滤访问行为,实现基于协议、源/目的IP地址、端口的访问控制,对来自核心服务器区边界的访问进行认证检查及内容过滤,有选择的接入。
带宽管理:
启用带宽管理功能,如当某一地址或某地址段对外连接数超过一定数量或流量超过一个设定的阀值时,实现阻断或流量限制的功能;
身份认证:
在防火墙上开启用户身份认证功能,利用防火墙自带数据库或通过
Radius及SecureID和LDAP用户认证功能;
抗攻击:
在防火墙上开启自动抗攻击功能,利用防火墙本身的防御功能防止DoS、端
口扫描等攻击,确保网络不被外部黑客攻破;
抗蠕虫:
通过防火墙的蠕虫过滤等功能保证核心服务器所承载的核心应用系统不受来自核心服务器区边界的蠕虫及网络病毒侵害,保障核心应用系统正常、高效运行;
多种手段报警:
防火墙发现攻击、非法入侵、未授权访问等违反安全规则的行为,立即以多种手段(告警、日志、SNMP陷阱等)实现违规行为的告警,并记录日志,以便查
询。
日志管理:
在防火墙上开启日志记录功能(建议安装单独的日志服务器),利用防火墙的日志功能记录完整日志和统计报表等资料,尤其是流量日志、访问日志、管理日志等重要信息。
1.2入侵防御系统
1.2.1系统概述
天融信公司的网络入侵防御系统(以下简称TopIDP产品)采用在线部署方式,能够实时检测和阻断包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫、系统漏洞等在内的11大类超过3500种网络攻击行为,有效保护用户网络IT服务资源,使其免受各种外部攻击侵扰。
TopIDP产品能够阻断或限制p2p下载、网络视频、网络游戏等各种网络带宽滥用行为,确保网络业务通畅。
TopIDP产品还提供了详尽的攻击事件记录、各种统计报表,并以可视化方式动态展示,实现实时的全网威胁分析。
1.2.2功能描述
n网络适应性
直连、路由、IDS监听及混合模式接入。
多端口链路聚合,支持11种负载均衡算法。
支持IPv6、MPLS、PPPoE网络。
n入侵防御能力
全面防御溢出攻击(BufferOverflow)、RPC攻击(RPC)、WEBCGI攻击(WebAccess)、拒绝服务(DDOS)、木马(TrojanHorse)、蠕虫(VirusWorm)、扫描(Scan)、HTTP攻击
类(HTTP)、系统漏洞类(system)。
TopIDP产品的检测引擎采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段来判断入侵行为,可以准确地发现并阻断各种网络恶意攻击。
产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。
全面支持DOS/DDOS防御,通过构建统计性攻击模型和异常包攻击模型,可以全面防御SYNflood、ICMPflood、UDPflood、DNSFlood,DHCPflood、Winnuke、TcpSScan以及CC等多达几十种DOS/DDOS攻击行为;系统可以通过自学习模式,针对用户所需保护的服务器进行智能防御。
针对本地化业务系统,深度挖掘业务系统漏洞,形成防御阻断规则后直接应用于入侵防御系统,更有效保护企业信息化资产。
系统支持IPv6协议的攻击检测,完全识别IPv6封包下的攻击检测。
n可视化实时报表功能
实时显示按发生次数排序的攻击事件排名,使网络攻击及其威胁程度一目了然。
可以实时显示Top10攻击者、Top10被攻击者、Top10攻击事件等统计报表,更可以显示24小时连续变化的事件发生统计曲线图。
借助于可视化的实时报表功能,用户可以轻松实现全网威胁分析。
1.3WEB应用防火墙
1.3.1系统概述
借助互联网的发展,越来越多的医疗服务开始在互联网上提供入口,以提高就医体验和效率,如网上挂号预约、网上缴费等服务,可以大幅提高工作效率,并提高用户体验,节约用户排队等待的时间。
医疗服务的部分内容放到互联网上,需要将相关业务应用的入口如web应用服务器放到互联网上,而WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要忘了攻击目标。
SQL注入、网页挂马等安全事件,频繁发生。
传统防火墙针对WEB的防护能力已经不能满足日益丰富的WEB应用。
Web应用防护系统(WebApplicationFirewall,简称:
WAF)代表了一类新兴的信息安全技术,专门用于解决Web应用安全问题。
与传统防火墙不同,WAF工作在
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 天融信 网络安全 产品 标准 方案