WEB安全保护-联想网御-2009
联想网御防火墙Power V Web界面操作手册
联想网御安全网关SAG用户手册
联想网御安全网关SAG用户手册联想网御科技(北京)有限公司前言感谢您使用联想网御安全网关SAG。
联想网御安全网关SAG系列接入网关是适用于中小型企业/大中型企业/政府机关/移动用户的综合接入网关,为用户远程访问网络服务提供安全保护,主要功能包括:身份认证:确保远程访问者不是恶意用户;访问控制:确保访问者只能访问被授权访问的服务和信息;数据加密:确保所有数据在网络传输过程中都是被加密的,防止被窃听;SAG网关是在SSL协议基础上实现的远程接入安全平台,无需改变网络结构和应用模式,完全支持Web应用,以及Exchange、SMB、、CRM、ERP、Mail、Oracle和SQL Server 等C/S模式的应用。
和传统SSLVPN接入网关相比,SAG网关突破了SSL的局限性,创新性地对SSLVPN网关技术进行了拓展:SSLVPN网关到网关模式:和IPSEC VPN相比,传统SSLVPN适用于终端到网关模式的部署方式,SAG突破了这种局限,创新性地实现了网关到网关模式的SSLVPN技术;客户端自动获取域名解析(DNS)配置:和IPSEC VPN相比,SSLVPN无需安装客户端软件,但是传统的SSLVPN客户端无法通过DHCP协议自动从接入网关获取DNS配置,因此SSLVPN无法使用企业内部DNS服务器。
SAG创新性地实现了客户端自动从接入网关获取域名解析服务。
支持网络邻居:网络邻居是Microsoft Windows操作系统基于NetBIOS协议实现的网络文件共享功能,网络邻居难以跨越路由器在互联网范围内实现。
SAG网关能够确保用户远程接入内网的同时正常使用内网的网络邻居功能。
安全远程桌面功能:Microsoft Windows提供的远程桌面功能被网络管理人员广泛采用,但是远程桌面功能无法对远程接入用户进行细颗粒的安全限制,因此存在巨大安全隐患。
SAG网关的【远程终端】服务,实现了对Microsoft Windows远程桌面的安全拓展,用户可通过接入网关开放远程桌面的同时,限制远程用户所能访问的资源和应用程序。
联想网御防火墙PowerVWeb界面操作手册_2开始
2.1 网御防火墙 PowerV 概述
随着宽带网络的飞速发展、 网络安全问题的突出和人们安全意识的提高,
以防火墙为代
表的网络安全设备已经成为不可或缺的设备。
网御防火墙 PowerV 在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、 配套的管理软
件等方面有重大创新。可广泛应用于电信、金融、电力、交通、政府等行业的 网络环境。
URL 过滤 URL 过滤和网页关键字过滤,支持基于时间控制的关键字智能过滤。
规则及配置信息的导入导出、备份恢复
可以把配置的各项数据从防火墙导出做备份;
需要时可以把以前的配置信息导入到
防火墙,恢复到以前的状态,也可以导入到另一台相同型号的防火墙,从而给防火墙管 理员的工作带来很大
的便利和很好的安全保证。
2.1.1 产品特点
联想网御防火墙 PowerV 是联想防火墙的换代产品,该产品的特点是高安全性,高可用 性和高性能的
“三高”
“管理者的”防火墙,是国内一流的防火墙。
高安全
高可用性
高性能
2.1.2 主要功能
网御防火墙 PowerV 系统为了满足用户的复杂应用和多种需求,采用模块化设计, 包括基本功能
网御防火墙 Po werV
Web 界面操作手册
第 2 章如何开始
本章包括联想网御防火墙 PowerV 硬件安装和随机附带的软件安装介绍,
配置管理界面的方法。这些有助于管理员完成防火墙软硬件的快速安装和启用。
ቤተ መጻሕፍቲ ባይዱ
如果您想尽快配置使用联想网御防火墙,
可跳过概述部分,直接阅读
以及开机登录 2.5 章(第 12 页)。
SSL 加密信道对配置信息进行加
密处理,保证数据的安全性和完整性(防篡改)
第一批信息安全产品证书明细-中央政府采购网-电子化政府采购平台
CNITSEC2007TYP541
6
天清入侵防御系统V6.0(千 兆)
千兆入侵防御系统
北京启明星辰信息安全技术有限 公司
CNITSEC2007TYP542
7
鹰眼网络安全审计系统 (NSAS100/V2.2)
网络综合审计系统
成都三零盛安信息系统有限公司 CNITSEC2007TYP545
8
天玥网络安全审计系统 (V6.0)
54
网神入侵防御系统 SecIPS3600(V1.1/千兆)
千兆入侵防御系统
网御神州科技(北京)有限公司 CNITSEC2008TYP642
55
现金往来业务预约及身份验 证管理系统(WPI-V1.0)
通信保密类产品 身份认证系统(硬件/软 件)
郑州方程世纪数码信息技术有限 公司
CNITSEC2008TYP644
56
伟思信安隔离网闸ViGap100
网络安全隔离与信息交 换产品
珠海经济特区伟思有限公司
CNITSEC2008TYP645
57
网络卫士安全隔离与信息交 换系统TopRules V3
网络安全隔离与信息交 换产品
北京天融信科技有限公司
CNITSEC2008TYP647
58
联想网御异常流量管理与防 拒绝服务攻击系统(V3.0)
39
浪潮SSR服务器安全加固系统 V1.0
身份认证系统
浪潮集团有限公司
CNITSEC2008TYP616Байду номын сангаас
40
鹰眼千兆网络入侵检测系统 (NIDS1000/V3.2)
千兆网络入侵检测产品
成都三零盛安信息系统有限公司 CNITSEC2008TYP617
网御安全网关Smart V Web界面在线手册
联想网御科技(北京)有限公司
II
网御安全网关 Smart V
Web 界面在线手册
章节目录
章节目录......................................................................................................................................... III 第 1 章 系统配置.............................................................................................................................1
网御安全网关 Smart V
Web 界面在线手册
联想
网御安全网关 Smart V Web 界面在线手册
联想网御科技(北京)有限公司
I
网御安全网关 Smart V
Web 界面在线手册
声明
本手册所含内容若有任何改动,恕不另行通知。 在法律法规的最大允许范围内,联想网御科技(北京)有限公司除就本手册和产品应负 的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中 推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 在法律法规的最大允许范围内,联想网御科技(北京)有限公司对于您的使用或不能使 用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、 业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。 本手册含受版权保护的信息,未经联想网御科技(北京)有限公司书面允许不得对本手 册的任何部分进行影印、复制或翻译。
联想网御
1 2 3 4 5
公司简介 防火墙介绍 新产品新功能新卖点 防火墙产品 典型应用
联想网御科技有限公司是由联想控股公司直接投资成立的独立运作的子公司,是 国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为 用户信息系统提供等级化的整体安全解决方案及安全专业服务。 联想网御自成立 之初就一直在高速发展的道路上稳健前进,已实现连续三年增长100%。至2005 年,联想网御已经发展成一个拥有员工300余人、研发团队过百人、办事处遍布 全国、年销售额突破2亿元的成熟业务。据国际数据公司(IDC)发布的2003年 上半年度国内信息安全市场报告,联想网御信息安全产品凭借12.12%的市场份额 排名第三,同时网御防火墙跃居国有品牌市场销量第一。2004年10月,在IDC发 布的2004年上半年度国内信息安全市场报告中,联想网御防火墙以14.3%的用户 市场占有率排名国内品牌第一,在国内外所有品牌中仅次于国外厂商CISCO,这 是继2003年夺得国有品牌防火墙市场占有率第一后再次蝉联此桂冠。 联想网御 已申请核心安全专利48项,并有信息安全专业博士后站点,成为清华大学、北京 邮电大学等多所知名高校博士生、硕士生的实习基地,承载过863计划、电子发 展基金等国家重大科研课题项目,承担了国信办委托的《国家电子政务信息安全 等级保护实施指南》的编研工作。联想网御拥有以用户研究为中心和以基础研究 为中心的二级研发体系,雄厚的技术力量、资深的技术背景、领先的安全理念, 成为国内唯一同时拥有NP架构、IA架构、PPC架构三条独立产品线的安全厂商。 目前,联想网御已拥有防火墙、VPN、入侵检测、安全隔离、安全管理等五个系 列的信息安全产品及专业的安全服务,并在此基础上帮助用户构建等级化的安全 保障体系,并以卓越的性能在政府、军队、税务、电力、证券、保险、银行、教 育、交通等行业用户中具有很高的知名度。
联想网御防火墙PowerVWeb界面操作手册网络配置
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。如果不是工作在全冗余模式,这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式,有以下三种
1:自适应
2:全双工
3:半双工
链路速度
设备的链路速度,有以下三种
1:10
2:100
3:1000
MTU
设备的MTU(最大传输单位)。百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。
联想网御最终配置手册
联想网御防火墙配置手册1 登陆方法1.1 使用电子钥匙方式登陆防火墙在Web 界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。
默认的管理主机IP 地址是10.1.5.200,Web 界面管理使用SSL 协议来加密管理数据通信,因此使用IE 来管理防火墙时,在地址栏输入https://a.b.c.d:8888/,来登录防火墙。
其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。
注意:用Web 界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。
管理员通过Web 方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。
使用电子钥匙时,首先将电子钥匙插入管理主机的usb 口,启动用于认证的客户端ikeyc.exe,输入PIN 密码,默认为12345678,系统会读出用于认证的ikey 信息,此时窗口右边的灯是红的。
(如下图所示)选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后,就可以通过https://10.1.5.254:8888 连接防火墙了。
(如下图所示)注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。
1.2使用管理证书认证方式远程登陆防火墙1.2.1远程登陆防火墙的条件1、必须在先使用电子钥匙登陆防火墙,在“系统配置>>管理配置>>管理证书”页面上载防火墙证书。
(附图1)2、在准备登陆防火墙的计算机上导入浏览器认证证书“admin.p12”。
(附图2)3、在“系统配置〉〉管理配置〉〉管理主机”页面添加管理主机。
(附图3)4、对“网络配置〉〉网络设备”页面中的fe4口进行操作(附图4)。
联想网御安全隔离与信息交换系统产品介绍
联想网御安全隔离与信息交换系统
产品概述
网御SIS-3000安全隔离与信息交换系统通过专有的安全交换模块实现内外网络的安全
隔离,独创的SIS安全隔离技术把安全性、智能性、高效性等特点完美的结合在一起。
数据只能以专有数据块方式静态地在内外网间进行“信息摆渡”,切断了内外网络之间的任何连
接,从而保障数据安全、可靠、高效的交换。
可广泛应用于政府、企业、军队中不同安全等级的网络之间的安全隔离与信息交换。
产品特点
采用专有的安全隔离硬件,保证任意时刻内外网络的安全隔离基于信息摆渡机制和专有协议,
阻止任何TCP/IP连接直接穿透
提供基于应用层协议的细粒度安全检测,有效确保交换数据内容的安全可控具备数据迁移型
和数据访问型两种模式,应用面广功能模块化设计,菜单式选购,扩展灵活方便
采用专有高速交换总线和 DMA通道流水线技术,交换速率达到业界领先水平支持双机热备及
负载均衡功能,采用1 + 1冗余电源设计(可选),为用户提供不间
断服务
提供方便的开发接口,完全满足定制用户的个性化安全策略需求
产品资质
公安部销售许可证:XKC30361
国家信息安全测评认证中心注册号:CNITSEC2003TYP236
国家保密局产品检测证书:ISSTEC2004YT0143
中国人民解放军信息安全测评认证中心注册号:军密认字第0343号
国家版权局计算机软件著作权登记号:2003SR3221。
联想网御安全管理系统产品介绍V2.0-20100928
Leadsec Manager II型
在I型基础上增加了资产管理、安全 态势评估、知识库、基于规则的自 动响应等功能,可以支持大量的外 部设备,是面向业务的安全运应中 心。 重点发展方向为SIEM。
产品型态
软件产品。下 半年视项目需 要推出硬件版 本。
按被管理的设 备数量收费, 阶梯报价。
主要指标:
知识库管理
✓ 为运维管理提供技术支撑 ✓ 为管理员提供问题解决指导 ✓ 关联规则库、漏洞知识库、安全文档库、安全经验库…
响应管理
响 应 管 理
告警(Email、短信…) 攻击朔源 解决指导 策略自动调整 工单管理 定制应用接口
安全响应-预警规则
✓ 定义告警匹配规则 根据发生源头 根据产生时间 根据事件内容
集中监控、实时日志、 关联分析及审计!
集中监控、 日志审计
实现从策略配置、设备 监控、审计预警、态势 评估、安全响应的全流 程管理!
配置
监控
响应 弱 资产 影
点
响
威
预警
胁
安评全估管理系统
1G
2G
ITIL
3G
3.5G
目录
联想网御 信息安全
产品背景 产品介绍 优势特点 典型部署 新旧版本比较
联想网御安全管理系统体系结构
数据 Oracle NetworkSQIDLSServer
库
……
WEB 服务 器
BEA WEBLogic 微软IIS WEB ……
UTM
应用 系统
BlueCoat ProxySG 200系列 BTNM网管 华信亿码交换机管理软件 联想网御异常流量管理系统 R天ou珣te内rs网安全管理系统 莱克斯内网监控 e盾安全网络管理系统 Lotus Domino InforGuard网页防篡改
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Web安全解决之道-客户端安全
安全接入
客户端
防病毒
防钓鱼
防挂马
防挂马防病毒(终端安全+UTM)
宽带用户
000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 000000000000000000000000 00000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000 000000000000000000000000000 000000000000 0000 0000 0000 0000 0000 0000 0000 0000 00 0000 0000
云计算安全保障
云环境安全
• 安全网关阵列(访问控制、攻击防御、内容过滤 • 终端安全(提供终端认证与防病毒等服务)
云管理安全
•高速安全存储设备 •云用户统一认证与授权管理系统 •云安全运营管理、审计与证据保全系统
云应用安全
• 应用接入设备阵列(建立云与端间的安全通道) • 负载均衡与应用加速设备阵列
Web安全防护
联想网御CTO 毕学尧 2009年10月
© 2009联想网御
演讲提纲
威胁分析
Web安全
解决之道 未来展望
高速发展的中国互联网
• 中国网站增长情况
来源:CNNIC
Web应用相关的漏洞快速增长
数据来源: ISS X-Force
Web相关的漏洞数所占比例
数据来源: ISS X-Force
正常?
•…
•…
4-3 在线监控之挂马监控
• 对重要网站进行7×24小时监控 • 通过虚拟机模拟真实用户访问,对网站进行综合 检测和分析 • 识别网页中嵌入恶意代码和恶意链接
• 及时告警,定期输出报告
4-4 应急响应服务
当客户发生安全事件时,安全专家在第一时间赶到问题 现场,使客户网络信息系统在最短时间内恢复正常工作, 帮助客户查找入侵来源,给出入侵事故过程报告,同时 给出解决方案与防范报告,为企业挽回或减少经济损失
• 几乎所有的站点都是有漏洞的
– 90%的站点存在易遭受应用攻击的漏洞(Watchfire) – 78%的漏洞和web应用相关 (Symantec) – 到2010年会有超过80%的组织会遭到应用安全方面的攻击 (Gartner)
• 对黑客来说web应用是最有利可图的攻击目标
– 客户数据,信用卡,钓鱼,木马等等
黑客攻击趋利化
盗取银行帐号
洗钱钓鱼Biblioteka 盗取信用卡帐 号发送垃圾邮件
黑客
入侵网站
盗取虚拟财产
传播流氓软件 提高网络流量
盗取商业机密
$
主动攻击 勒索网站 受雇攻击 收取佣金
网站挂马
组建僵尸网络
发动拒绝服务 攻击
传播木马
后果:全球恶意站点300多万
Web应用安全威胁小结 • Web是黑客攻击头号目标
– 75%以上的攻击都是针对web应用的(Gartner) – SQL注入和XSS脚本攻击是排在前两位的漏洞攻击(Mitre)
• Web服务器和客户端需同时防护
演讲提纲
威胁分析
Web安全
解决之道 未来展望
Web应用业务系统架构
Web应用主流发展
客户应用 敏感数据
Web安全解决之道--服务器端
挂马监控 趋势分析 业务监视
在线监控
入侵取证
应急响应
蠕虫木马查杀 抗拒绝服务 攻击
Web业务 永续运转
防敏感信息泄漏 防网页篡改 安全加固
内置挂马站点库和挂马源库
演讲提纲
威胁分析
Web安全
解决之道 未来展望
云计算不断发展
云计算带来的新的安全需求
•依托信息集中与宽带网络,“云计算”可以把分散的数据和信 息变成知识与智慧,信息资产的价值将呈几何级数增加,信息 安全将成为“云时代”社会组织和个人最基本的需求。 •为了保证“云计算”的可用性,需要系统解决云边界的安全、 云存储的安全、云通道的安全、云终端的安全,“云计算”在 帮助用户大量节省IT开销的同时,却使云安全需求进一步放大。 •信息安全具有明显的地缘政治特性, “云安全”将为中国信息 安全行业跨越式发展提供前所未有的机会,为我们企业的发展 提供无限广阔的前景。
4-3 在线监控之可用性监控
解决的客户问题
以业务为中心,全面提供保障
以服务器为中心
•CPU利用是否正常? •内存利用是否正常? •磁盘利用是否正常? •关键进程是否正常? •…
以数据库为中心
•应答时间是否正常? •活动用户是否正常? •表空间状态是否正常? •连接数目的统计
以应用为中心
•访问的应答时间是否正常? •正常运行时间是多少? •单位时间的传输数据是否
访问控制
带宽管理
攻击过滤
4-2 产品防护之异常流量清洗
4-2 产品防护之IPS或WEB防火墙
应用层DDoS攻击防护
--CC、连接耗尽和HTTP Flood等
流量型DDoS攻击防护 -- SYN Flood等 传统OS攻击和0day攻击防护 OWASP TOP10相关攻击防护
--SQL注入和跨站脚本攻击等
专业安全服务人员通过修改和优化系统配置,提高信息系统的 安全性和抗攻击能力
防患于未然
从NetScan到AppScan
当前 Web 安全 75%的漏洞出自于应用本身, AppScan在Web 开 发、测试、维护、运营的整个生命周期中,帮助企业高效的发现、 解决安全漏洞,最大限度保证了应用的安全性
4-2 产品防护之安全网关
挂马网站过滤 挂马源过滤 STOP! 继续? 00000000000000000000000000000000
000000000000000000000000000000000
防病毒 STOP!
00000000000000000000000000000000 000000000000000000000000000000000
产品防护
攻击防护
隐患扫描 事前审查
代码审计
4-1 事前审查
代码审查
查找、定位、修复和管理软件代码安全问题,减少软件代码编 写中可能出现的安全漏洞,提高应用系统自身安全防护能力
隐患扫描
定期对网站程序、数据库、配置文件等应用数据进行全面的安 全漏洞扫描,及时发现潜在的网站弱点、网站应用程序漏洞
安全加固
Web应用相关的漏洞披露分布
Web应用相关攻击情况
Security
% of Attacks
Web Applications
Spending
% of Dollars 10%
75%
90%
25%
Network Server
当前网络上75%以上的攻击都是针对web应用
Sources: Gartner, Watchfire