服务创造价值、存在造就未来
一、项目概述:
随着互联网的快速发展和信息化程度的不断提高,互联网深刻影响着政治、经济、文化等各个方面,保障信息安全的重要性日益凸显,加强对互联网上各类信息的安全管理引起了高度重视。在系统安全方面,以提高防御、应急处置能力为主的传统安全管理已经不能适应新特征的信息安全产业发展的需要。
子包1是在广州美术学院建设运维审计与风险控制系统平台,为校区提供内部网络设备及服务器资源的安全性服务,使学校内部网络管理合理化,专业化,信息化,其中包含设备安装和调试。
子包2是广州美术学院建设数据中心防火墙设备,能够精确识别用户、应用和内容,具备完整安全防护能力,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
二、项目建设内容
1、运维审计与风险控制系统
支持手机APP、动态令牌等多种双因子认证
为了提高来源身份的可靠性,防止身份冒用;DASUSM可以利用以下认证机制实现:
内置了手机APP认证(谷歌动态口令验证)、OTP动态令牌、USBkey双因素认证引擎
提供了短信认证、AD、LDAP、RADIUS认证的接口
支持多种认证方式同时使用、多种认证方式组合使用
支持管理linux/unix服务器、windows服务器、网络设备(如思科/H3C/华为等)、文件服务器、web系统、数据库服务器、虚拟服务器、远程管理服务器等等。
DASUSM兼容的运维协议更全面,实现“统一管理”的要求。
基于H5技术,实现浏览器客户端运维,无需安装本地工具,直接支持浏览器打开运维界面操作,支持ssh、telnet、rlogin、rdp、vnc协议的web客户端运维。
自动学习、自动授权,大大减轻管理员的配置工作
安恒信息自主研发了一套自动学习技术:自动收集主机的IP、协议、端口号、账户、密码等信息,并且可以学习到运维人员的权限关系,进一步实自动授权。特别适用与前期对授权关系不清晰、资产信息不完整的场景。
运维人员只需通过DASUSM成功登录一次目标主机即可自动录入主机信息,这大大减轻了管理员配置主机信息、用户与主机关系的工作量。
对运维人员来说,修改主机的密码和记住主机的密码是最重要的任务。一旦发生密码遗失和泄露,将带来的风险无法估量。DASUSM提供了完善的自动改密功能,可以实现:
自动修改SSH、telnet、RDP、SFTP、FTP协议的主机密码,无需安装改密客户端、无需开启特殊端口
可以指定修改密码、自动生成随机密码、上传密码文件、密码复杂度等方式生成新密码;可以制定自动改密任务周期、手工执行、自定义改密脚本等任务计划
通过SFTP、FTP、邮件方式保存密码文件,做到改密前自动备份、发送失败不改密、改密后自动备份,防止密码丢失
提供密码手工验证、自动恢复的容错机制,确保密码修改失败之后恢复到正确的密码
密码文件加密保存,须运维管理员和密码管理员同时解密才能查看到主机的密码
基础防火墙特性
深信服NGAF兼容传统防火墙的所有功能特性,包括交换/路由、访问控制,A-A/A-S双机热备、软硬件Bypass、系统管理、日志报表、会话管理、抗DDoS攻击、应用代理、DHCP/DNS等等。
PPPoE
通过ADSL接入Internet已经成为越来越多中小企业的选择,而ADSL需要拨号以后才能获得IP地址。 深信服NGAF支持PPPoE 协议,作为 PPPoE Client端完成与PPPoE Server建立连接和地址获取,通过设置用户名和口令即可支持ADSL接入,获得动态IP地址、网关及DNS地址,自动完成拨号过程,接入Internet网络。解决中小企业上网问题。
NAT 地址转换
支持静态网络地址转换(Static NAT)和动态网络地址转换(Dynamic NAT),实现内网地址转换成公网地址后进行网络通信。支持目的NAT,将对外网地址的访问映射为对内网地址访问,支持将对一个公网地址的访问映射为内网多个地址,实现内网服务器的负载均衡访问,同时支持目的端口转换。
IPv6/IPv4 双协议栈
支持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、等条件进行安全访问规则的设置;支持IPv6静态路由;支持双栈、6to4及6in4隧道实现 IPv6网络与IPv4网络访问等。深信服NGAF产品已获IPv6-Ready 认证。
VPN
深信服NGAF根据企业VPN常见使用场景,支持多种VPN隧道业务,包括IPSec、GRE、 SSL VPN等。用户可通过GRE、IPSec或SSL VPN 隧道实现分公司与总部之间的数据安全传输,通过SSL VPN隧道实现PC以及移动客户端与总部之间的数据安全传输;支持多种隧道模式,即可以让用户通过七层Web链接进行内网资源的快速访问,又可以让用户通过三层隧道实现任意内网应用资源的便捷使用。
链路聚合
链路聚合(Link Aggregation),是指将多个物理接口捆绑在一起,成为一个逻辑接口,以实现出/入流量在各成员接口中的负荷分担。
SANGFOR NGAF根据用户配置的端口负荷分担策略(主备、负载均衡-hash、负载均衡-RR)决定报文从哪一个成员接口发送到下一跳地址。当交换机检测到其中一个成员接口链路发生故障时,就停止在此接口上发送报文,并根据负荷分担策略在剩下接口链路中重新计算报文发送的接口。故障接口恢复后会再次重新计算报文发送接口。
链路聚合在增加链路带宽(如果一个接口1G带宽,另外一个接口也是1G带宽,如果把这两个接口聚合成一个逻辑接口,理论上这个逻辑接口的带宽就是2G。)实现链路传输弹性和冗余等方面是一项很重要的技术。
路由功能
深信服NGAF可以实现静态路由、默认路由、浮动静态路由等基础功能,同时能够实现如BGP、RIP、OSPF等动态路由协议,并完美支持策略路由、多播路由等功能。
事前风险预知
资产自动发现
深信服NGAF为帮助保护用户快速管理资产,避免安全防护策略的遗漏实现了基于流量检测的资产自动发现功能,可以通过流经流量的IP地址检测及端口检测快速发现自身资产,帮助用户进行策略的有效配置。
对于网络中的流量,我们可以通过是否与知名DNS服务器连接、是否访问知名网站、是否有被搜索引擎进行检测等算法来判定哪些是内网主机。在通过端口的链接情况,记录开放的端口情况,帮助用户了解自身网路情况。
Web扫描
深信服NGAF的WEB扫描器是深信服结合多年来在web应用安全上的研究成果,基于大量信息安全事件应急响应的丰富经验下开发出的一款安全扫描器,该扫描器旨在帮助广大用户对web服务器网站进行深度的安全扫描,指纹识别,漏洞验证,全面预知web应用系统的安全现状,并提供专业的安全加固建议。
深信服NGAF实时漏洞分析系统实时旁路地检测经过设备的应用流量,对流量进行对应的应用解析,对解析后的应用数据匹配实时漏洞分析识别库,发现服务器存在漏洞。
实时漏洞分析采用的是旁路检测技术,即将待检测的数据包镜像一份到待检测队列,检测进程对检测的数据包进行扫描检测,对原有数据包的转发不会造成任何性能影响。
强大的漏洞特征库
实时漏洞分析所使用的漏洞特征库由深信服北京研究中心安全专家针对目前最新的软件、系统等漏洞提取特征,形成库并快速的更新到NGAF设备,保证识别出网络中出现的最新漏洞。