当前位置:
成功案例 / Case
广州美术学院堡垒机与防火墙
来源: | 作者:pmo77cad2 | 发布时间: 2018-10-07 | 2999 次浏览 | 分享到:
一、项目概述:
随着互联网的快速发展和信息化程度的不断提高,互联网深刻影响着政治、经济、文化等各个方面,保障信息安全的重要性日益凸显,加强对互联网上各类信息的安全管理引起了高度重视。在系统安全方面,以提高防御、应急处置能力为主的传统安全管理已经不能适应新特征的信息安全产业发展的需要。
子包1是在广州美术学院建设运维审计与风险控制系统平台,为校区提供内部网络设备及服务器资源的安全性服务,使学校内部网络管理合理化,专业化,信息化,其中包含设备安装和调试。
子包2是广州美术学院建设数据中心防火墙设备,能够精确识别用户、应用和内容,具备完整安全防护能力,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。

二、项目建设内容


1、运维审计与风险控制系统
支持手机APP、动态令牌等多种双因子认证
为了提高来源身份的可靠性,防止身份冒用;DASUSM可以利用以下认证机制实现:
内置了手机APP认证(谷歌动态口令验证)、OTP动态令牌、USBkey双因素认证引擎
提供了短信认证、AD、LDAP、RADIUS认证的接口
支持多种认证方式同时使用、多种认证方式组合使用





覆盖最全的运维协议,让运维安全无死角
支持管理linux/unix服务器、windows服务器、网络设备(如思科/H3C/华为等)、文件服务器、web系统、数据库服务器、虚拟服务器、远程管理服务器等等。
DASUSM兼容的运维协议更全面,实现“统一管理”的要求。


浏览器客户端运维
基于H5技术,实现浏览器客户端运维,无需安装本地工具,直接支持浏览器打开运维界面操作,支持ssh、telnet、rlogin、rdp、vnc协议的web客户端运维。
自动学习、自动授权,大大减轻管理员的配置工作
安恒信息自主研发了一套自动学习技术:自动收集主机的IP、协议、端口号、账户、密码等信息,并且可以学习到运维人员的权限关系,进一步实自动授权。特别适用与前期对授权关系不清晰、资产信息不完整的场景。
运维人员只需通过DASUSM成功登录一次目标主机即可自动录入主机信息,这大大减轻了管理员配置主机信息、用户与主机关系的工作量。



灵活、可靠的自动改密,保障密码安全
对运维人员来说,修改主机的密码和记住主机的密码是最重要的任务。一旦发生密码遗失和泄露,将带来的风险无法估量。DASUSM提供了完善的自动改密功能,可以实现:
Ÿ自动修改SSH、telnet、RDP、SFTP、FTP协议的主机密码,无需安装改密客户端、无需开启特殊端口
Ÿ可以指定修改密码、自动生成随机密码、上传密码文件、密码复杂度等方式生成新密码;可以制定自动改密任务周期、手工执行、自定义改密脚本等任务计划
Ÿ通过SFTP、FTP、邮件方式保存密码文件,做到改密前自动备份、发送失败不改密、改密后自动备份,防止密码丢失
Ÿ提供密码手工验证、自动恢复的容错机制,确保密码修改失败之后恢复到正确的密码
Ÿ密码文件加密保存,须运维管理员和密码管理员同时解密才能查看到主机的密码


二、数据中心 防火墙
基础防火墙特性
深信服NGAF兼容传统防火墙的所有功能特性,包括交换/路由、访问控制,A-A/A-S双机热备、软硬件Bypass、系统管理、日志报表、会话管理、抗DDoS攻击、应用代理、DHCP/DNS等等。
PPPoE
通过ADSL接入Internet已经成为越来越多中小企业的选择,而ADSL需要拨号以后才能获得IP地址。 深信服NGAF支持PPPoE 协议,作为 PPPoE Client端完成与PPPoE Server建立连接和地址获取,通过设置用户名和口令即可支持ADSL接入,获得动态IP地址、网关及DNS地址,自动完成拨号过程,接入Internet网络。解决中小企业上网问题。
NAT 地址转换
支持静态网络地址转换(Static NAT)和动态网络地址转换(Dynamic NAT),实现内网地址转换成公网地址后进行网络通信。支持目的NAT,将对外网地址的访问映射为对内网地址访问,支持将对一个公网地址的访问映射为内网多个地址,实现内网服务器的负载均衡访问,同时支持目的端口转换。
IPv6/IPv4 双协议栈
支持IPv6安全控制策略设置,能针对IPV6的目的/源地址、目的/源服务端口、服务、等条件进行安全访问规则的设置;支持IPv6静态路由;支持双栈、6to4及6in4隧道实现 IPv6网络与IPv4网络访问等。深信服NGAF产品已获IPv6-Ready 认证。
VPN
深信服NGAF根据企业VPN常见使用场景,支持多种VPN隧道业务,包括IPSec、GRE、 SSL VPN等。用户可通过GRE、IPSec或SSL VPN 隧道实现分公司与总部之间的数据安全传输,通过SSL VPN隧道实现PC以及移动客户端与总部之间的数据安全传输;支持多种隧道模式,即可以让用户通过七层Web链接进行内网资源的快速访问,又可以让用户通过三层隧道实现任意内网应用资源的便捷使用。
链路聚合
链路聚合(Link Aggregation),是指将多个物理接口捆绑在一起,成为一个逻辑接口,以实现出/入流量在各成员接口中的负荷分担。
SANGFOR NGAF根据用户配置的端口负荷分担策略(主备、负载均衡-hash、负载均衡-RR)决定报文从哪一个成员接口发送到下一跳地址。当交换机检测到其中一个成员接口链路发生故障时,就停止在此接口上发送报文,并根据负荷分担策略在剩下接口链路中重新计算报文发送的接口。故障接口恢复后会再次重新计算报文发送接口。
链路聚合在增加链路带宽(如果一个接口1G带宽,另外一个接口也是1G带宽,如果把这两个接口聚合成一个逻辑接口,理论上这个逻辑接口的带宽就是2G。)实现链路传输弹性和冗余等方面是一项很重要的技术。
路由功能
深信服NGAF可以实现静态路由、默认路由、浮动静态路由等基础功能,同时能够实现如BGP、RIP、OSPF等动态路由协议,并完美支持策略路由、多播路由等功能。
事前风险预知
资产自动发现
深信服NGAF为帮助保护用户快速管理资产,避免安全防护策略的遗漏实现了基于流量检测的资产自动发现功能,可以通过流经流量的IP地址检测及端口检测快速发现自身资产,帮助用户进行策略的有效配置。
对于网络中的流量,我们可以通过是否与知名DNS服务器连接、是否访问知名网站、是否有被搜索引擎进行检测等算法来判定哪些是内网主机。在通过端口的链接情况,记录开放的端口情况,帮助用户了解自身网路情况。
Web扫描
深信服NGAF的WEB扫描器是深信服结合多年来在web应用安全上的研究成果,基于大量信息安全事件应急响应的丰富经验下开发出的一款安全扫描器,该扫描器旨在帮助广大用户对web服务器网站进行深度的安全扫描,指纹识别,漏洞验证,全面预知web应用系统的安全现状,并提供专业的安全加固建议。


丰富的扫描插件
支持SQL注入,XSS跨站脚本攻击,目录遍历,CSRF跨站请求伪造,远程文件包含,命令注入,敏感信息泄露,Struct 2漏洞等众多扫描插件,覆盖所有OWASP TOP10高危漏洞,保证全面深入的WEB网站扫描效果。
智能网站指纹识别
支持对web网站服务器操作系统类型:Apache,IIS,Tomcat,Nginx,Weblogic等服务器/中间件类型;php/jsp/asp/c#/.net/python等网站语言类型进行自动识别,并和CVE/CNNVD漏洞库智能关联分析。
专家级漏洞分析和修复建议
为帮助广大web管理人员轻易读懂和掌握专业性较强的安全报告内容,告别晦涩难懂的漏洞扫描报告,深信服WEB扫描器检测报告对漏洞进行了非常详细和介绍和漏洞危害说明,并将安全检查过程中发送的payload测试报文进行高亮显示,web管理人员通过高亮显示部分的信息,即能轻易初步掌握漏洞原因。
风险分析
提供主动扫描功能,通过检查防火墙配置,帮助管理员分析服务器开放的端口和存在的风险,并对扫描结果提供对应防护操作,如漏洞防护,端口屏蔽等来方便用户进行安全防护。
端口扫描
对用户指定的服务器IP,端口进行扫描,告知用户该服务器开放了那些端口和服务
漏洞分析
针对端口扫描结果对开放的端口和服务进行风险分析,告知用户服务器存在的漏洞,并根据防火墙配置告知用户现存风险的防护状态。
弱密码探测
提供内置和自定义弱密码库,对用户指定的服务器进行弱密码探测,分析服务器是否存在弱密码风险。
策略防护
提供防护操作按钮,通过新增防火墙配置,对服务器存在的风险进行防护。


实时漏洞分析
深信服NGAF实时漏洞分析系统实时旁路地检测经过设备的应用流量,对流量进行对应的应用解析,对解析后的应用数据匹配实时漏洞分析识别库,发现服务器存在漏洞。


旁路检测
实时漏洞分析采用的是旁路检测技术,即将待检测的数据包镜像一份到待检测队列,检测进程对检测的数据包进行扫描检测,对原有数据包的转发不会造成任何性能影响。
强大的漏洞特征库
实时漏洞分析所使用的漏洞特征库由深信服北京研究中心安全专家针对目前最新的软件、系统等漏洞提取特征,形成库并快速的更新到NGAF设备,保证识别出网络中出现的最新漏洞。