数据屮心云安全设备功能1.云平台安全设备功能31.1防火墙31.2抗DDOS攻击设备31.3防病毒安全网关41.4WEB应用防火墙41.5VPN部署51.6入侵防御51.7网络审计61.8堡垒主机61.9漏洞扫描系统61.10网页防篡改61.11网闸71.云平台安全设备功能1.1防火墙访问控制策略:依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息,进行判断,确定是否在在非法或违规的操作,并进行阻断。地址转换策略:针对政务云内的不同的业务服务器、防火墙将采取地址转换策略,来有效的保护业务服务器;会话限制策略:对于三级信息系统,从维护系统可用性的角度必须限制会话数,来保障服务的有效性,防火墙可对保护的应用服务器采取会话限制策略,当服务器接受的连接数接近或达到阀值时,防火墙自动阻断其他的访问连接请求,避免服务器接到过多的访问而崩溃;地址绑定策略:对于三级的信息系统业务应用服务器区域、信息系统业务数据库服务器区域以及数据交换区域,必须采取IP+MAC地址绑定技术,从而有效防止地址欺骗攻击,同时采取地址绑定策略后,还应当在各个三级计算环境的交换机上绑定MAC,防止攻击者私自将终端设备接入三级计算环境进行破坏;日志审计策略:防火墙详细记录了转发的访问数据包,可提供给网络管理人员进行分析。这里应当将防火墙记录日志统一导入到安全管理平台。1・2抗DDOS攻击设备(1)DOS/DDOS攻击防御TopADS不仅能够检测和清洗,Pingofdeath、Land、Teardrop、Smurf等DOS攻击,还能清洗ICMPFlood、TCPSYNFlood、TCPACKFlood、TCPSYN-ACKFlood、TCPRSTFlood、TCPFINFlood、TCP分片、TCPConnectionFlood(连接耗尽)等流量型DOS/DDOS攻击。2)应用层DOS/DDOS攻击防御TopADS采用信誉源、DPI、DFI、等检测机制对HTTPGETFlood、HTTPPOSTFlood、CC、HTTPSFlood、DNSQUERYFlood、DNSNXDomainFlood、DNS反射投毒、慢速连接耗尽等应用型DOS/DDOS攻击有更好的防御效果。(3)大客户两级保护对象策略TopADS产品内置了针对运营需求的大客户两级保护对象策略,可以在一级保护对象中定义大客户,并在一级保护对象上设置针对大客户个体的黑白名单、过滤规则等策略,然后在二级保护对象中针对大客户的不同服务器配置不同的保护模板,形成二级保护策略。(4)全64位的原生ipv6支持TopADS产品的管理平面和数据平面均为全64位系统,具备原生ipv4/ipv6双栈处理能力,不仅能够在纯ipv6网络环境中部署和检测攻击,还能够在ipv4/ipv6混合网络环境中部署和检测攻击行为。1.3防病毒安全网关可实现对边界的恶意代码进行检查和清除,内网用户在访问互联网的挂马网站或是病毒网站、钓鱼网站的时候,防病毒网关可直接在边界进行病毒过滤。从网络层面阻断病毒传播。与部署的服务器上的防病毒软件相配合,形成覆盖全面,分层防护的多级病毒过滤系统。1.4WEB应用防火墙WEB应用防火墙通过对进出Web服务器的http流量相关内容的实时分析检测、过滤,来精确判定并阻止各种Web应用攻击行为,阻断对Web服务器的恶意访问与非法操作,如SQL注入、XSS、Cookie篡改以及应用层DoS攻击等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题。1.5VPN部署Vpn用来保证认证过程安全、保障数据传输安全,同时在细粒度授权下实现严格的访问控制,对用户访问全程的各个层面提供安全保障。1.6入侵防御入侵防护TopIDP产品采用了先进的基于目标系统的流重组检测引擎,从根源上彻底阻断了TCP流分段重叠攻击行为。并且拥有11大类超过3500条攻击规则,尤其深度挖掘本地化业务系统的漏洞,形成防御阻断规则后直接应用于TopIDP产品,更有效保护企业信息化资产。•DoS/DDoS防护TopIDP全面支持DOS/DDOS防御,通过构建统计型攻击模型和异常包攻击模型,可以全面防御SYNflood、ICMPflood、UDPflood、DNSFlood,DHCPflood、Winnuke、TcpScan以及CC等多达几十种DOS/DDOS攻击行为;opIDP还可以通过自学习模式,针对用户所需保护的服务器进行智能防御。•应用管控TopIDP产品能够识别包括传统协议、P2P下载、股票交易、即时通讯、流媒体、网络游戏、网络视频等在内的超过150种网络应用,使用户很轻松判断网络中的各种带宽滥用行为,继而采...
