网安设备选型规范

网安设备选型规范编 号阶段标记版 本V1.0网络安全设备选型框架XXXX科技有限责任公司2016年5月文档更新记录日期更新人版本备注2016/3/21V0.5创建文档及主干框架2016/3/31V0.6进行二次修改，填充内容2016/4/4V0.8填充UTM等设备内容2016/4/5V0.9补充信息并完善2016/4/8V1.0重新修改，排版引言因设备参考选型工作之因，需对硬件有较为深入的知识体系架构了解，为本部门与相关项目设备选型提供相对专业技术支持。因此通过查询资料及询问相关厂家设备信息，完成以下文档。按照网络从外到内：从光纤->电脑客户端，设备依次有： 路由器（可做端口屏蔽，带宽管理Qos，防泛洪flood攻击等）-防火墙（有普通防火墙和UTM等，可以做网络三层端口管理、IPS（入侵检测）、IDS（入侵防御）、IDP（入侵检测防御）、安全审计认证、防病毒、防垃圾和病毒邮件、流量监控（QOS）等）-行为管理器（可做UTM的所有功能、还有一些完全审计，网络记录等等功能，这个比较强大）-核心交换机（可以划分vlan、屏蔽广播、以及基本的acl列表），而安全的网络连接方式：现在流行的有 MPLS VPN ，SDH专线、VPN等，其中VPN常见的包括（SSL VPN ipsec VPN PPTP VPN等）。在这些设备中所涉及的内容主要包括参数、功能、接口、技术类型、厂商等的框架信息。由于资料原因，目前信息仍然不够健全，且由于技术更新太快已无法跟上网安设备的更新变化速度，因此造成了信息的迟滞性甚至不准确。这些问题留待日后更新解决。目 录引言31、网络安全设备71.1信息安全与安全产品71.2信息安全技术规范91.3网安总体选型原则92、硬件防火墙122.1具体选型原则122.2主流设备厂家132.3设备详细信息152.3.1重要选择参数152.3.2主要技术类型182.3.3主要架构252.3.4接口类型272.3.5主要功能282.3.6安装位置293、入侵检测IDS303.1性能评价标准313.2主流设备厂家323.3设备详细信息333.3.1重要选择参数333.3.2主要技术类型343.3.3主要构成343.3.4接口类型353.3.5主要功能353.3.6安装位置364入侵防御IPS384.1具体性能要求384.2主流设备厂家394.3设备详细信息404.3.1重要选择参数404.3.2主要技术类型414.3.3接口类型424.3.4主要功能424.3.5部署位置424.4 IDS和IPS的区别和选择445、统一威胁管理设备UTM465.1具体选型原则465.2主流设备厂家485.3设备详细信息495.3.1重要选择参数495.3.2主要设备类型505.3.3 接口类型505.3.4主要功能506、其他常见设备546.1防病毒网关546.1.1防病毒网关简介546.1.2基本特性556.1.3重要参数566.1.4主流厂商566.1.5部署位置586.1.6与防火墙区别606.1.7与防病毒软件区别616.2 VPN安全网关616.2.1VPN网关简介616.2.2基本特性626.2.3重要参数636.2.4主流厂商646.2.5部署方案666.3网络审计系统666.3.1网络审计系统666.3.2基本特性666.3.3重要参数676.3.4主流厂商676.3.5审计类型686.3.6审计内容697.规范总结718.参考文档721、 网络安全设备1.1信息安全与网络安全产品（1）信息安全模型国际标准化组织定义：信息安全是为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意原因而遭到破坏，更改和泄露。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。图1.1信息安全模型（2）网络安全网络安全不仅包括网络信息的存储安全，还涉及信息的产生、传输和使用过程中的安全。网络安全从其本质上来说就是网络上的信息安全。（3）网络安全防护产品：l 防火墙、防水墙l WEB防火墙、网页防篡改l 入侵检测、入侵防御、防病毒l统一威胁管理UTMl 身份鉴别、虚拟专网l 加解密、文档加密、数据签名l 物理隔离网闸、终端安全与上网行为管理l 内网安全、审计与取证、漏洞扫描、补丁分发l 安全管理平台l 灾难备份产品1.2信息安全技术规范 图1.2信息安全国标1.3网安总体选型原则（1）中国网络安全产品概览中国的网络安全产品供应厂家基本可分为三类：国家级的专业信息安全产品供应厂家、新兴的专业信息安全产品供应厂家和国外厂家。从功能上，常用的一些信息安全产品有：加密产品、防火墙、防病毒产品、入侵检测产品、虚拟专网产品，此外，还有身份鉴别产品、证书机关、物理安全产品。加密产品是非常传统的信息安全产品，主要提供信息加密功能。加密产品一般可以分为链路加密、网络加密、应用加密和加密协处理器等几个层次的产品。防火墙是用于实施网络访问控制的产品，是最常见也是中国国内技术非常成熟的信息安全产品之一。防病毒产品是中国国内最早出现并大规模使用的信息安全产品。国内外生产的厂家很多，目前能够在国内获得一定市场的都是不错的产品。入侵检测产品是近一两年发展起来的，主要用于检测网络攻击事件的发生。国内外供货厂家也较多。身份鉴别产品也属于非常传统的产品，目前技术成熟的是一些基于信息技术的鉴别产品。一些基于生理参数（如：指纹、眼纹）的技术和产品发展很快，已经有成熟产品推出。虚拟专网产品是利用密码技术和公共网络构建专用网络的一种设备，该设备集成了网络技术、密码技术、远程管理技术、鉴别技术等于一体，是用户以非常低的成本构建专用网络的一种非常重要的产品。证书机关是一类非常基础的产品，任何基于证书体制实现安全的信息系统都需要该产品。物理安全产品是非常特殊的信息安全产品，如干扰器、隔离计算机、隔离卡等，其主要功能是确保信息处理设备的物理安全，提供诸如防电磁辐射、物理隔离等功能。（2）信息安全产品选型指南信息安全产品的种类比较多。许多安全产品的功能上也有一定交叉。您在选型时一定要牢记以下几个基本原则：适用原则。绝对的安全是不存在的，因此您必须具有“安全风险”意识。信息安全产品的安装不一定意味信息系统不发生安全事故。所有的安全产品只是降低安全事件发生的可能性，减小安全事件所造成的损失，提供弥补损失的手段。您不要（也不可能）追求绝对的安全。企业应考虑清楚自己信息系统最大的安全威胁来自何处，信息系统中最有价值的是什么，信息系统造成的哪些损失是自己无法忍受的。安全产品只要为企业提供足够的手段应对主要的安全威胁，将可能的损失减小到可以接受的范围之内，就可以了。不降低信息系统综合服务品质的原则。目前中国许多企业往往是在信息系统规划（或建设）完成之后才考虑信息安全，即所谓的“打安全补丁”。这种“补丁”做法往往会给信息安全产品的选型带来很多困难，因为很多时候，信息安全与系统的使用便利性和效率往往是一对矛盾。企业需要在考虑安全性的前提下，综合系统的其它性能，结合评估系统的服务品质，定下系统综合服务品质参数，在此基础上，以不降低综合服务品质为原则，对信息安全产品进行选型。详细信息见附件：2、硬件防火墙硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定，直接关系到整个内部网络的安全。因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。 图2.1深信服硬件防火墙2.1具体选型原则（1）总拥有成本和价格: 防火墙产品作为网络系统的安全屏障，其总拥有的成本不应该超过受保护网络系统可能遭受最大损失的成本。防火墙的最终功能将是管理的结果，而非工程上的决策。 （2）明确系统需求: 即用户需要什么样的网络监视、冗余度以及控制水平。可以列出一个必须监测怎样的传输、必须允许怎样的传输流通行，以及应当拒绝什么传输的清单。 （3）应满足企业特殊要求: 企业安全政策中的某些特殊需求并不是每种防火墙都能提供的，这常会成为选择防火墙时需考虑的因素之一，比如：加密控制标准，访问控制，特殊防御功能等。 （4）防火墙的安全性: 防火墙产品最难评估的方面是防火墙的安全性能，普通用户通常无法判断。用户在选择防火墙产品时，应该尽量选择占市场份额较大同时又通过了国家权威认证机构认证测试的产品。 （5）防火墙产品主要需求：企业级用户对防火墙产品主要需求是：内网安全性需求,细度访问控制能力需求,VPN 需求,统计、计费功能需求,带宽管理能力需求等，这些都是选择防火墙时侧重考虑的方面。 （6）管理与培训: 管理和培训是评价一个防火墙好坏的重要方面。人员的培训和日常维护费用通常会占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。 （7）可扩充性: 网络的扩容和网络应用都有可能随着新技术的出现而增加，网络的风险成本也会急剧上升，因此便需要增加具有更高安全性的防火墙产品。具体要求见下列文档2.2主流设备厂家（1）国内厂家：华为（USG系列产品，如USG5120，USG5520S，USG6390等）、天融信、网康、启明星辰等 图2.2 华为USG6390华为USG6390产品参数重要参数网络端口：8GE+4SFP控制端口：暂无数据外形设计：暂无数据产品尺寸：442×421×43.6mm主要参数设备类型：下一代防火墙网络端口：8GE+4SFPVPN支持：支持入侵检测：Dos,DDoS管理支持命令行、WEB方式、SNMP、TR069等配置和管理方式，这些方式提供对设备的本地配置、远程维护、集中管理等多种手段，并提供完备的诊断、告警、测试等功能安全标准CE，ROHS，CB，UL，VCCI处理器