曙光电子政务网络安全解决方案（二）

IDS详述

IDS（入侵检测系统）对于关心网络安全防护的人们来说已不再是一个陌生的名词，在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外，有近15%的安全项目会涉及到IDS系统，而且这些项目一般都对安全等级的要求非常高，对数据信息的保密性也有特别的要求。

（一）IDS系统

要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段，单个网段的最小组成元素是各台主机，政府机关对各主机、各网段的安全性要求程度一般都不相同，所以确定IDS的保护对象是合理使用IDS的关键。

在优先保护的网段中部署IDS系统，并配置合适的检测策略，如在防火墙之内部署IDS则可把安全策略配置得紧一些，即使用最大化的检测策略，而在防火墙之外部署则可采用较为宽松的策略，因为经过防火墙过滤后，内部网络的安全状况相对比较简单，而外部的情况则较为复杂，误报的可能性也较大。另外，在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎，从而形成报警，而对于用户来说，这些报警事件是没有什么参考价值的，所以需要在检测范围中排除这些主机的IP地址；通常IDS系统中都有一个过滤器（FILTER）模块或像KIDS那样所具有的“非阻断列表”的功能选项，可以允许用户加入所有他们所信任的主机IP地址。

目前大多数的IDS系统主要采用基于包特征的检测技术来组建，它们的基本原理是对网络上的所有数据包进行复制并检测，然后与内部的攻击特征数据库（规则库）进行匹配比较，如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确，但会给IDS带来较大的负载，所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况，选择最适合的检测策略（可根据操作系统、应用服务或部署位置等），并对所选的策略进行修改，选择具有参考价值的检测规则，而去除一些无关紧要的选项，如对于全部是Windows的应用环境，则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外，还提供了对端口扫描检测规则的自定义，如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数，这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。

（二）IDS监控

IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应，因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断，如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。

在利用IDS进行监控时，不但需要查看它的报警提示，而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时，网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时（DoS或DDoS），网络中的数据流量便可能会急速上升，这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。

IDS的最重要价值之一是它能提供事后统计分析，所有安全事件或审计事件的信息都将被记录在数据库中，可以从各个角度来对这些事件进行分析归类，以总结出被保护网络的安全状态的现状和趋势，及时发现网络或主机中存在的问题或漏洞，并可归纳出相应的解决方案。

电子政务整体网络安全解决方案

电子政务系统中存在大量敏感数据和应用，因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统，确保数据和应用万无一失。

各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接，可以通过电子政务网络进行相互访问，服务器就有可能收到攻击。因此，必须在各局之间相互进行隔离防护。

如下图，我们在各局路由器后安装曙光TLFW千兆防火墙，以有三千用户在同时上Internet网计算，千兆防火墙的并发连接超过600,000，完全可以满足整个网络的需求，稳定性上也满足要求。同时，将局内网与其他区域逻辑隔离开来，在数据中心内，根据不同的服务器对安全性的不同需求，将它们分等级划分为不同的区域，并通过详细的包过滤规则制定，将这些服务器彻底保护起来，保证它们之间不能跨级别访问，这样实现分级的安全性。

通过安装防火墙，可以实现下列的安全目标：

1)利用防火墙将内部网络、Internet外部网络进行有效隔离，避免与外部网络直接通信；
2)利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全；
3)利用防火墙对来自非内部网的服务请求进行控制，使非法访问在到达主机前被拒绝；
4)利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内；
5)利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作；
6)利用防火墙及服务器上的审计记录，形成一个完善的审计体系，建立第二条防线；
7)根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。

下图是电子政务网络安全解决方案设计拓扑图：
 

图示：电子政务网络安全总体拓扑

根据以上的分析，在整个政府网络安全体系中，除了负责边界安全的防火墙设备以外，还选择了入侵检测系统进行共同防范，达到整个系统的高安全性。

同时因为用户有拨号VPN的需求，而曙光的天罗防火墙自身具备了VPN的功能，可以满足远程连接用户的安全要求。

具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用，网络性能和透明性好，拥有自行设计的全中文化WWW管理界面，通过直观、易用的界面来管理强大、复杂的系统功能。

可根据系统管理者设定的安全规则（Security Rules）把守网络的大门，提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。

根据电子政务的实际需要，充分利用了曙光天罗防火墙的各功能模块，实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作，再加上NIDS网络入侵检测系统的重点防护，构建了一个整合的动态安全门户，以比较经济实惠的方式，实现了对电子政务网络的整体安全防护。