通過安全網(wǎng)關(guān)（被動防御體系）與入侵檢測系統(tǒng)（主動防御體系）的互動，實(shí)現(xiàn)"主動防御和被動防御"的結(jié)合。對在企業(yè)內(nèi)網(wǎng)發(fā)起的攻擊和攻破了安全網(wǎng)關(guān)第一道關(guān)卡的黑客攻擊，可以依靠入侵檢測系統(tǒng)阻斷和發(fā)現(xiàn)攻擊的行為，同時(shí)通過與安全網(wǎng)關(guān)的互動，自動修改策略設(shè)置上的漏洞不足，阻擋攻擊的繼續(xù)進(jìn)入。兩者的聯(lián)動示意如下圖：

  
方案概述：

某市電力局為安徽省級電力公司下屬的二級單位，信息化程度較高，目前已經(jīng)建成生產(chǎn)技術(shù)和運(yùn)行子系統(tǒng)、用電管理子系統(tǒng)、辦公自動化子系統(tǒng)、財(cái)務(wù)子系統(tǒng)、物資子系統(tǒng)和人勞黨政子系統(tǒng)等。

該電力局內(nèi)部網(wǎng)絡(luò)與三個(gè)外網(wǎng)相連，分別通過路由器與省電力公司網(wǎng)絡(luò)、下屬六個(gè)縣局網(wǎng)絡(luò)和銀行網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換。

解決方案

通過對該電力局的網(wǎng)絡(luò)整體進(jìn)行系統(tǒng)分析，考慮到目前網(wǎng)上運(yùn)行的業(yè)務(wù)需求，本方案對原有網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面的安全加強(qiáng)，主要實(shí)現(xiàn)以下目的：

保障現(xiàn)有關(guān)鍵應(yīng)用的長期可靠運(yùn)行，避免病毒和黑客攻擊；

防止內(nèi)外部人員的非法訪問，特別是對內(nèi)部員工的訪問控制；

確保網(wǎng)絡(luò)平臺上交換的數(shù)據(jù)的安全性，杜絕內(nèi)外部黑客的攻擊；

方便內(nèi)部授權(quán)員工（如：公司領(lǐng)導(dǎo)，出差員工等）從互聯(lián)網(wǎng)上遠(yuǎn)程方便地、安全地訪問內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)信息的最大可用性；

能對網(wǎng)絡(luò)的異常行為進(jìn)行監(jiān)控，并作出回應(yīng)，建立動態(tài)防護(hù)體系。

為了實(shí)現(xiàn)上述目的，我們采用了主動防御體系和被動防御體系相結(jié)合的全面網(wǎng)絡(luò)安全解決方案，如下圖所示。

主動防御體系

主動防御體系由漏洞掃描和入侵檢測及與安全網(wǎng)關(guān)的聯(lián)動系統(tǒng)組成。

主要在網(wǎng)絡(luò)中心增加 “入侵檢測系統(tǒng)”、“漏洞掃描系統(tǒng)”和統(tǒng)一的“安全策略管理”平臺。用戶主動防范攻擊行為，尤其是防范從單位內(nèi)部發(fā)起的攻擊。

對在企業(yè)內(nèi)網(wǎng)發(fā)起的攻擊和攻破了安全網(wǎng)關(guān)第一道關(guān)卡的黑客攻擊，可以依靠入侵檢測系統(tǒng)阻斷和發(fā)現(xiàn)攻擊的行為，同時(shí)通過與安全網(wǎng)關(guān)的互動，自動修改策略設(shè)置上的漏洞不足，阻擋攻擊的繼續(xù)進(jìn)入。

本方案在交換機(jī)上連入第三方的入侵檢測系統(tǒng),并將其與交換機(jī)相連的端口設(shè)置為鏡像端口，由IDS傳感器對防火墻的內(nèi)口、關(guān)鍵服務(wù)器進(jìn)行監(jiān)聽，并進(jìn)行分析、報(bào)警和響應(yīng)；在入侵檢測的控制臺上觀察檢測結(jié)果，并形成報(bào)表，打印。

在實(shí)現(xiàn)安全網(wǎng)關(guān)和入侵檢測系統(tǒng)的聯(lián)動后,可以通過下面方法看到效果：使用大包ping位于安全網(wǎng)關(guān)另一邊的主機(jī)（這屬于網(wǎng)絡(luò)異常行為）。IDS會報(bào)警，ping通一個(gè)icmp包后無法再ping通。這時(shí)檢查安全網(wǎng)關(guān)“訪問控制策略”會發(fā)現(xiàn)動態(tài)地添加了阻斷該icmp的策略。

“漏洞掃描系統(tǒng)”是一種網(wǎng)絡(luò)維護(hù)人員使用的安全分析工具，主動發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的漏洞，修改安全網(wǎng)關(guān)和入侵檢測系統(tǒng)中不適當(dāng)?shù)脑O(shè)置，防患于未然。

“安全策略管理”統(tǒng)一管理全網(wǎng)的安全策略（包括：安全網(wǎng)關(guān)、入侵檢測系統(tǒng)和防病毒等），作到系統(tǒng)安全的最優(yōu)化。

被動防御體系

被動防御體系主要采用上海安達(dá)通公司的SGW系列安全網(wǎng)關(guān)(Firewall+VPN)產(chǎn)品。

在Cisco路由器4006與3640之間，插入安全網(wǎng)關(guān)SGW25是必須的。主要起到對外防止黑客入侵，對內(nèi)進(jìn)行訪問控制和授權(quán)員工從外網(wǎng)安全接入的問題，SGW25在這里主要發(fā)揮防火墻和VPN的雙重作用。

1) 保障局域網(wǎng)不受來自外網(wǎng)的黑客攻擊，主要擔(dān)當(dāng)防火墻功能；

2) 能夠根據(jù)需要，讓外網(wǎng)向Internet的訪問提供服務(wù)，如：Web，Mail，DNS等 服務(wù)；

3) 對外網(wǎng)用戶訪問（Internet）提供靈活的訪問控制功能。如：可以控制任何一個(gè)內(nèi)部員工能否上網(wǎng)，能訪問哪些網(wǎng)站，能不能收發(fā)email、ftp等，能夠在什么時(shí)間上網(wǎng)等等。簡而言之，能夠基于“六元組”（源地址，目的地址，源端口號（即：服務(wù)），目的端口號（即：服務(wù)），協(xié)議，時(shí)間）進(jìn)行靈活的訪問控制。

4) 下屬單位能夠通過安全網(wǎng)關(guān)與安全客戶端軟件之間的安全互聯(lián)，建立通過Internet相連的“虛擬專用網(wǎng)”，徹底解決了在網(wǎng)上傳輸?shù)膬?nèi)部信息安全問題，方便了管理，并極大地降低了成本。各單位間能夠在網(wǎng)上構(gòu)成安全的數(shù)據(jù)傳輸通道形成“虛擬專網(wǎng)”。在“虛擬專網(wǎng)”內(nèi)部傳輸?shù)臄?shù)據(jù)都經(jīng)過網(wǎng)關(guān)的高強(qiáng)度加密和認(rèn)證，能夠充分確保數(shù)據(jù)傳輸?shù)陌踩?/P>

5) 授權(quán)的內(nèi)部員工當(dāng)出差在外時(shí)，可以在外地?fù)軆?nèi)網(wǎng)的撥號服務(wù)器，然后使用“安全網(wǎng)關(guān)客戶端軟件”，通過加密隧道從外部安全方便地接入局中心內(nèi)網(wǎng)。