基于GPRS/EDGE專網(wǎng)系統(tǒng)

分類：解決方案日期：2010-07-16 11:44:04

一、需求分析

　　近年來，信息技術的飛速發(fā)展，特別是以計算機互聯(lián)網(wǎng)絡Internet為代表的計算機信息網(wǎng)絡及其應用系統(tǒng)在全世界的迅速推廣和使用，使人們獲取、交流和處理信息的手段發(fā)生了巨大的變化，深刻地影響著人們的交流、工作、學習、生活和娛樂的方式。移動信息化正是適應時代變化的企業(yè)信息全面解決方案，使企業(yè)獲得全面的信息化服務，實現(xiàn)企業(yè)信息的智能管理，提高企業(yè)管理與生產效率，更有效的適應市場競爭的需要。

　　某移動提出的移動信息化全面解決方案是以涵蓋數(shù)據(jù)通信、信息服務、增值業(yè)務的全數(shù)據(jù)觀念為基礎，利用移動通信網(wǎng)、移動智能網(wǎng)及移動互聯(lián)網(wǎng)，針對行業(yè)的具體需求和應用提供的一體化解決方案。

　　移動信息化是以移動通信網(wǎng)和移動互聯(lián)網(wǎng)集成的綜合通信平臺。移動信息化涵蓋集團移動電話網(wǎng)（VPMN）、語音專線、會議通、語音信息通知、移動辦公助理、車輛調度、國際移動互聯(lián)網(wǎng)專線、GPRS/EDGE專網(wǎng)等服務內容。GPRS/EDGE是目前解決移動通信信息服務的一種較完美的業(yè)務，它是以數(shù)據(jù)流量計費、覆蓋范圍廣泛、數(shù)據(jù)傳輸速度更快。GPRS/EDGE的推出，為行業(yè)和企業(yè)用戶開展無線辦公提供了基礎設施平臺，為推動移動辦公的應用和發(fā)展創(chuàng)造了有利條件。與有線網(wǎng)絡相比，GPRS/EDGE網(wǎng)絡具有租用費用低、移動辦公，不受地域制約等優(yōu)點。GPRS/EDGE的出現(xiàn)為企業(yè)和行業(yè)用戶開展無線辦公提供了一種新的選擇。

　　GPRS/EDGE通信方式更適合于彩票投注業(yè)務，目前彩票的業(yè)務中心與各營業(yè)點采用DDN或者電話線傳送數(shù)據(jù)。彩票業(yè)務單筆流量很小，采用DDN或IDSL專線月租費太高，用電話線傳送數(shù)據(jù)按時間計費，帶來諸多不便，費用也不便宜。因此，許多省市彩票中心都考慮對傳統(tǒng)通信方式進行改造，GPRS/EDGE無線傳輸數(shù)據(jù)有以下優(yōu)勢：

　　1．GPRS/EDGE用戶可隨意分布和移動自己的網(wǎng)絡點，無須擔心線路的維護或有線在移機時導致的通訊中斷。建設新的營業(yè)點無需進行拉線，埋線等工作。較光纖，或專線系統(tǒng)投資較少，設備安裝方便。

　　2．終端價格比較低，與DDN相比，較DTU或基帶Modem(DDN專線Modem)其終端價格便宜很多。

　　3．GPRS/EDGE資費便宜，計費合理。GPRS/EDGE 資費包月比有線電話網(wǎng)絡資費還便宜。彩票投注沒有大數(shù)據(jù)量的信息傳輸，不必要采用資費很高的專線（DDN、幀中繼）。GPRS/EDGE還可根據(jù)通信的數(shù)據(jù)量和提供的服務質量進行計費。在GPRS/EDGE網(wǎng)中，用戶只需與網(wǎng)絡建立一次連接，就可長時間的保持這種連接，并只在傳輸數(shù)據(jù)時才占用信道并被計費，保持時不占用信道也不計費。這樣，營業(yè)點即不用頻繁建立連接，也不必支付傳輸間隙時的費用。

　　4．GPRS/EDGE能最好地支持頻繁的、少量突發(fā)型數(shù)據(jù)業(yè)務。通信質量穩(wěn)定可靠，永不掉線。

　　5．GPRS/EDGE網(wǎng)絡接入速度快，提供了與現(xiàn)有數(shù)據(jù)網(wǎng)的無縫連接。

　　由于GPRS/EDGE網(wǎng)本身就是一個分組型數(shù)據(jù)網(wǎng), 支持TCP/IP、X.25協(xié)議，因此無需經(jīng)過PSTN等網(wǎng)絡的轉接，直接與分組數(shù)據(jù)網(wǎng)（IP網(wǎng)或X.25網(wǎng)）互通，接入速度僅幾秒鐘，快于電路型數(shù)據(jù)業(yè)務。采用TCP/IP協(xié)議，較以前的無線數(shù)據(jù)網(wǎng)絡（集群，雙向傳呼，GSM短信息）而言，網(wǎng)絡接入更加直接方便。

　　6．覆蓋較好，比較很多無線數(shù)據(jù)網(wǎng)絡（集群，雙向傳呼，CDPD，CDMA）而言，其網(wǎng)絡覆蓋是最好的。

　　二、解決方案

　　1．系統(tǒng)結構圖

　　2．系統(tǒng)組成

　　1）終端設備

　　用戶端：

　　采用廈門四信通信科技有限公司的GPRS/EDGE路由器，采用以太網(wǎng)\串口和彩票機相連，完成用戶系統(tǒng)的構成，其中用戶的計算機運行用戶的系統(tǒng)軟件和應

　　局端：

采用某移動提供的線路和接口。

　　隨著科技的不斷發(fā)展，便攜式PC\臺式機功能日漸強大，對于企業(yè)的員工而言操作更方便。

　　用戶系統(tǒng)：

　　用戶采用PC機，利用以太網(wǎng) \ 串口和本終端相連，實現(xiàn)系統(tǒng)的通信。

　　廈門四信提供的F3123 GPRS路由器和F3323 EDGE路由器通用的操作環(huán)境和強大的處理能力使得終端設備能夠通過對GPRS/EDGE網(wǎng)絡及后臺應用服務的支持，迅速完成數(shù)據(jù)查詢及業(yè)務處理。

　　應用服務

　　主要由四層軟件組成:

　　前端軟件：

　　前端軟件運行于終端上，支持本地業(yè)務數(shù)據(jù)的查詢及業(yè)務事務處理；同時管理

　　無線通訊網(wǎng)絡，完成撥號、掛斷及狀態(tài)監(jiān)測；對于事務處理請求與確認，實現(xiàn)可靠

　　的傳輸控制，保證與局端的協(xié)作。

　　外網(wǎng)服務軟件：

　　外網(wǎng)服務軟件完成與前端軟件的安全認證及加解密，協(xié)同外網(wǎng)查詢數(shù)據(jù)庫完成

　　數(shù)據(jù)查詢請求的處理及應答；處理內網(wǎng)服務器產生的數(shù)據(jù)同步命令維護外網(wǎng)查詢數(shù)

　　據(jù)庫；為內網(wǎng)服務軟件與前端軟件提供穿透物理隔離的傳輸，使業(yè)務處理請求可以

　　安全有效地到達內網(wǎng)并進行處理。

　　內網(wǎng)服務軟件：

　　內網(wǎng)服務軟件完成與外網(wǎng)服務軟件的隔離傳輸，及與前端軟件的安全認證和加

　　解密，對前端產生的事務處理請求進行解釋、執(zhí)行，依靠數(shù)據(jù)庫適配層軟件，將各

　　業(yè)務數(shù)據(jù)庫同步至外網(wǎng)查詢服務軟件。

　　局端數(shù)據(jù)庫適配層軟件：

　　局端數(shù)據(jù)庫適配層軟件對存在于多體系異種數(shù)據(jù)庫平臺的業(yè)務數(shù)據(jù)庫提供抽象

　　接口，支持內網(wǎng)服務軟件完成事務處理及數(shù)據(jù)同步。

　　用于GPRS/EDGE網(wǎng)絡的無線數(shù)據(jù)傳輸

　　經(jīng)過數(shù)年多的建設，某移動GPRS/EDGE網(wǎng)實現(xiàn)了沿海地區(qū)的全面覆蓋和山區(qū)地區(qū)的地市覆蓋，并且于2002年5.17正式向用戶提供服務。GPRS/EDGE業(yè)務的高速數(shù)據(jù)傳輸、“永遠在線”、“流量計費”和“全國漫游”的特性以及中國移動的優(yōu)質網(wǎng)絡，滿足了不同層次客戶的需求，也為發(fā)展行業(yè)應用奠定了堅實的基礎。

　　3．專線APN傳輸方式

　　根據(jù)企業(yè)對網(wǎng)絡安全的特殊要求，沈陽移動通信分公司和廈門四信通信科技有限公司合作設計了基于GPRS/EDGE網(wǎng)絡的數(shù)據(jù)傳輸方案，采用了多種安全措施，主要包括：

　　l 通過一條2M 專線接入某移動GPRS/EDGE網(wǎng)絡，雙方互聯(lián)路由器之間采用私有IP地址進行廣域連接，在GGSN與某移動互聯(lián)路由器之間采用GRE隧道。

　　l 為某移動的客戶分配專用的APN，普通用戶不得申請該APN。用于GPRS/EDGE專網(wǎng)的SIM卡僅開通該專用APN，限制使用其他APN。

　　l 客戶可自建一套RADIUS服務器和DHCP服務器，GGSN向RADIUS服務器提供用戶主叫號碼，采用主叫號碼和用戶賬號相結合的認證方式；用戶通過認證后由DHCP服務器分配企業(yè)內部的靜態(tài)IP地址。

　　l 端到端加密：移動終端和服務器平臺之間采用端到端加密，避免信息在整個傳輸過程中可能的泄漏。

　　l 雙方采用防火墻進行隔離，并在防火墻上進行IP地址和端口過濾。

　　4．業(yè)務流程

　　GPRS/EDGE專網(wǎng)系統(tǒng)終端上網(wǎng)登錄服務器平臺的流程為：

　　1）用戶發(fā)出GPRS/EDGE登錄請求，請求中包括由某移動為GPRS/EDGE專網(wǎng)系統(tǒng)專門分配的專網(wǎng)APN；

　　2）根據(jù)請求中的APN，SGSN向DNS服務器發(fā)出查詢請求，找到與企業(yè)服務器平臺連接的GGSN，并將用戶請求通過GTP隧道封裝送給GGSN；

　　3）GGSN將用戶認證信息（包括手機號碼、用戶賬號、密碼等）通過專線送至Radius進行認證；

　　4）Radius認證服務器看到手機號等認證信息，確認是合法用戶發(fā)來的請求，向DHCP服務器請求分配用戶地址；

　　5）Radius認證通過后，由Radius向GGSN發(fā)送攜帶用戶地址的確認信息；

　　6）用戶得到了IP地址，就可以攜帶數(shù)據(jù)包，對GPRS/EDGE專網(wǎng)系統(tǒng)信息查詢和業(yè)務處理平臺進行訪問。

　　三、網(wǎng)絡安全

　　1．安全方案的設計原則

　　在設計GPRS/EDGE彩票系統(tǒng)網(wǎng)絡的安全系統(tǒng)時，我們將遵循以下原則：

　　l 體系化設計原則

　　通過分析信息網(wǎng)絡的層次關系，提出科學的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。

　　l 全局性、均衡性、綜合性設計原則

　　從全局出發(fā)，綜合考慮各種安全風險，采取相應的安全措施，并根據(jù)風險的大小，采取不同強度的安全措施，提供具有最優(yōu)的性能價格比的安全解決方案。

　　l 可行性、可靠性、安全性

　　在采用安全系統(tǒng)之后，不會對GPRS/EDGE彩票系統(tǒng)網(wǎng)絡原有的網(wǎng)絡和應用系統(tǒng)有大的影響。在保證網(wǎng)絡和應用系統(tǒng)正常運轉的前提下，保證系統(tǒng)的安全。

　　l 統(tǒng)一規(guī)劃、分布實施原則

　　針對整個GPRS/EDGE彩票系統(tǒng)網(wǎng)絡統(tǒng)一制定技術方案，采取相同的技術路線，這樣有利于統(tǒng)一安全策略的制定，有利于保護整個GPRS/EDGE彩票系統(tǒng)網(wǎng)絡的安全，并且可以節(jié)約投資，減少浪費。

　　在統(tǒng)一規(guī)劃的基礎上，可以采取分步實施的策略，在資金允許條件下，先解決有迫切安全需求、而且技術成熟的問題。

　　2．安全體系

　　安全方案的科學性、可行性是其可順利實施的保障。

　　安全方案必須架構在科學的安全體系和安全框架之上，因為安全框架是安全方案設計和分析的基礎。

　　為了系統(tǒng)、科學地分析安全方案涉及的各種安全問題，在大量調查研究的基礎上，我們提出了下面的安全體系（見下圖），它反映了信息系統(tǒng)安全需求和體系結構的共性。具體說明如下：

　　安全體系是一個三維結構：

　　l 第一維（X軸）是安全服務特性，給出了7種安全屬性；

　　l 第二維（Y軸）是系統(tǒng)單元，給出了信息網(wǎng)絡系統(tǒng)的組成；

　　l 第三維（Z軸）是協(xié)議層次，給出了國際標準化組織ISO的開放系統(tǒng)互連（OSI）模型。

　　安全體系的具體模型和介紹如下：

　　安全管理

　　貫穿于上述三個方面各個層次的是安全管理。通過技術手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個協(xié)議層次提供的各種安全服務。

　　安全技術體系

　　通過對網(wǎng)絡應用的全面了解，安全風險存在于網(wǎng)絡系統(tǒng)的各個層次，那么，在網(wǎng)絡系統(tǒng)的各個層次之中都應有相應的安全解決技術，包括：物理層安全、鏈路層安全、網(wǎng)絡層安全、操作系統(tǒng)安全以及管理安全。只有這樣的安全技術體系才是完整的、全面的。下圖列出了各網(wǎng)絡安全設備在網(wǎng)絡安全三維體系中的應用。

　　3．安全子系統(tǒng)劃分

　　在安全方案設計中，首先要確定安全方案所涉及到的系統(tǒng)單元，其次要考慮該系統(tǒng)單元在各個層次所提供的安全服務（功能），最后還應考慮這些單元系統(tǒng)之間的邏輯關系，在整體安全體系框架下，劃分成不同的安全子系統(tǒng)，分別提供相應的安全解決方案，才能提供全面的、合理的、有機的安全服務。

　　因在GPRS/EDGE專網(wǎng)系統(tǒng)中以包含RADIUS身份認證系統(tǒng)，本方案中針對GPRS/EDGE彩票系統(tǒng)的網(wǎng)絡層安全系統(tǒng)（包括防火墻和入侵檢測系統(tǒng)）進行論述

　　網(wǎng)絡層安全系統(tǒng)：主要通過防火墻分布式隔離來實現(xiàn)，即在彩票總部數(shù)據(jù)中心網(wǎng)絡和各營業(yè)點均通過防火墻進行安全隔離，將危險區(qū)域進行分劃到每個區(qū)域子網(wǎng)，使危險區(qū)域控制在小的區(qū)域區(qū)間內。對某一個區(qū)域的攻擊不會影響到別的區(qū)域，同時通過安全規(guī)則的細化，盡量避免了各區(qū)域子網(wǎng)之間的攻擊擴散。同時，對于彩票總部數(shù)據(jù)中心網(wǎng)絡重要的服務器子網(wǎng)采用入侵檢測系統(tǒng)，作為實時的訪問監(jiān)控，及時的對外來攻擊作出報警及阻斷的響應。

　　4．總體網(wǎng)絡安全邏輯結構示意

　　根據(jù)以上分析，我們得出GPRS/EDGE彩票系統(tǒng)網(wǎng)絡安全如下：

　　1）網(wǎng)絡安全示意圖：

　　5．安全方案的選型

　　1）網(wǎng)絡系統(tǒng)安全系統(tǒng)

　　主要依靠防火墻、基本入侵檢測等技術，在網(wǎng)絡層構筑一道安全屏障，并依靠分布式的產品部署，集成在同一個安全管理平臺上，實現(xiàn)網(wǎng)絡層的統(tǒng)一、集中的安全管理。

　　2)網(wǎng)絡層安全管理平臺

　　選擇網(wǎng)絡層安全管理平臺時主要考慮這個安全管理平臺能否與其它相關的網(wǎng)絡安全產品集成，能否對這些安全產品進行統(tǒng)一的管理，包括配置各相關安全產品的安全策略、維護相關安全產品的系統(tǒng)配置、檢查并調整相關安全產品的系統(tǒng)狀態(tài)等。

　　在這個前提下，我們建議在GPRS/EDGE彩票系統(tǒng)網(wǎng)絡中采用由清華得實公司提供的網(wǎng)絡層安全管理平臺。

　　3）安全網(wǎng)絡拓撲結構劃分

　　劃分網(wǎng)絡拓撲結構，一方面要保證網(wǎng)絡的安全，另一方面，不能對原有網(wǎng)絡結構做太大的更改。為此我們建議采用下圖所示的支持非軍事化區(qū)的三網(wǎng)段安全網(wǎng)絡拓撲結構。

　　用非軍事化區(qū)的安全網(wǎng)絡拓撲示意圖

　　這種安全網(wǎng)絡拓撲圖主要從保護重要服務器的安全出發(fā)考慮，把網(wǎng)絡劃分成三個網(wǎng)段：外網(wǎng)、非軍事化區(qū)網(wǎng)段和安全內網(wǎng)。

　　非軍事化區(qū)網(wǎng)段（DMZ）主要放置一些對外提供服務的服務器，包括WEB服務器、DB、網(wǎng)管工作站。安全系統(tǒng)的一些安全服務器、管理服務器等也都放在非軍事化區(qū)內。

　　安全內網(wǎng)主要放置一些不對外直接開放的重要服務器，如各種數(shù)據(jù)庫服務器、WWW服務器等。在這種網(wǎng)絡結構中，通過防火墻等安全設備的配置，可以確保：

　　l 可以拒絕從外網(wǎng)對安全內網(wǎng)的各種直接的訪問連接；

　　l 可以在非軍事化區(qū)內對外網(wǎng)開放一些服務器和服務端口，如WEB服務器的80端口等；

　　l 可以限制內網(wǎng)中用戶能夠訪問外網(wǎng)的某些服務端口，如只允許訪問HTTP、FTP等服務。

　　通過這種配置，可以保證在對外提供正常服務的同時，充分保證服務器和數(shù)據(jù)的安全。下面的防火墻配置將以這種支持非軍事化區(qū)的三網(wǎng)段安全網(wǎng)絡拓撲結構為基礎。

　　4）防火墻配置

　　我們建議如“GPRS/EDGE彩票系統(tǒng)網(wǎng)絡安全示意圖”所示配置防火墻設備：

　　在彩票系統(tǒng)中心網(wǎng)絡的外聯(lián)出口采用一臺清華得實NetST2104企業(yè)級防火墻，保護彩票系統(tǒng)中心網(wǎng)絡；

　　在自己允許的情況下，可在每個營業(yè)點機構，安裝一臺經(jīng)濟適用的清華得實NetST1000小型部門級防火墻，保護各營業(yè)點系統(tǒng)；

　　5）NetST防火墻產品

　　A.選型原則

　　在本方案中，我們選擇了清華得實防火墻NetST產品。

　　綜合考慮到安全、性能、價格等因素，我們建議在配置防火墻時，采取國內防火墻產品：即防火墻NetST。選擇國內產品主要考慮自主研發(fā)的、具有自主版權的、技術成熟且安全可靠、性能優(yōu)越的防火墻產品。所選產品經(jīng)過國家有關部門的認證，有銷售許可。

　　B.NetST簡介

　　作為國內最早自主開發(fā)的防火墻系統(tǒng)之一，新一代NetST防火墻引擎采用了國際先進的狀態(tài)檢測技術，實時在線監(jiān)測當前內外網(wǎng)絡的各種連接狀態(tài)，并根據(jù)連接狀態(tài)動態(tài)配置規(guī)則，對異常的連接狀態(tài)進行阻斷。

　　NetST防火墻為用戶提供了強大的包過濾功能，支持TCP/IP協(xié)議族內各種主流網(wǎng)絡協(xié)議，可以根據(jù)網(wǎng)絡流量的類型、網(wǎng)絡地址、應用服務等條件進行過濾。

　　NetST提供了包括網(wǎng)絡層訪問控制、地址轉換、流量限制等多種防火墻基本功能，還提供基于用戶身份的安全策略控制，還可以實時在線監(jiān)視網(wǎng)絡的各種連接，用戶可以隨時掌握網(wǎng)絡中發(fā)生的各種情況，并在日志中記錄所有對防火墻的配置操作、異常的連接、被防火墻拒絕的連接、可能的入侵等信息，并提供友好的管理界面進行管理。

　　NetST還提供系統(tǒng)安全防范功能，可以對多種網(wǎng)絡入侵，包括多種拒絕服務攻擊（如ping of death，land，syn flooding，tear drop等）、端口掃描、IP欺騙等攻擊行為，進行辨別和有效阻斷。

　　NetST通過采用工業(yè)級硬件系統(tǒng)，可靠的專用安全操作系統(tǒng)、穩(wěn)定的防火墻引擎，保證了整個系統(tǒng)具有極高的性能和可靠性。

　　NetST已經(jīng)通過了公安部采用最新包過濾防火墻國家標準（GB18019-1999）進行的安全產品認證（序號：010128，銷售許可證號：XKC33129）和中國國家信息安全測評認證中心的認證（CNISTEC1999TYP009）。

　　C.防火墻的特點：

　　l 最大支持100Mbps線速狀態(tài)檢測。

　　l 防火墻滿足網(wǎng)絡間的單向訪問需求、過濾不安全的服務。

　　l 最大并發(fā)連接數(shù)達到60,000個以上，遠遠滿足用戶的需求。

　　l 支持VPN功能。

　　l 可以針對協(xié)議、端口號、時間、流量等條件實現(xiàn)安全的訪問控制。

　　l 可以根據(jù)如下信息進行過濾：

　　a) －源IP地址

　　b) －目的IP地址

　　c) －協(xié)議類型(IP、ICMP、TCP、UDP)

　　d) －源TCP/UDP端口

　　e) －目的TCP／UDP端口

　　f) －ICMP報文類型域和代碼域

　　g) －碎片包

　　h) －其它標志位，如SYN、ACK位

　　l 自動掃描主機打開的端口。

　　l 防火墻支持高可用性和負載均衡。

　　l 防火墻初始狀態(tài)應關閉所有端口，根據(jù)客戶需要一個個打開。具備反端口掃描功能。

　　l 可以斷開任一網(wǎng)絡接口的連接。

　　l 網(wǎng)絡地址轉換NAT技術、MAC地址綁定技術。

　　l NetST防火墻支持在內部網(wǎng)使用保留的IP地址，通過動態(tài)的地址轉換功能實現(xiàn)對外部網(wǎng)的訪問。NetST防火墻具有動態(tài)和靜態(tài)地址NAT兩種轉換方式，滿足用戶的不同需求。

　　l 有智能的過濾、攔截功能。

　　l 防火墻具有惡意入侵檢測與報警。通過NetST防火墻的報警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)同工作，實現(xiàn)對入侵攻擊及早防御。同時會啟動自動防范系統(tǒng)進行防范。

　　l 防火墻具有強大的審計功能和統(tǒng)計報表功能。

　　l 防火墻具有集中管理的功能。

　　l 防火墻具有備份功能。

　　l NetST防火墻提供非常方便的升級方式。

　　l 支持DHCP功能。

　　D.防火墻防范的種類的攻擊：

　　l 檢測多種DOS攻擊

　　l 檢測保護子網(wǎng)中是否存在后門和木馬程序

　　l 測多種針對FTP服務的攻擊

　　l 檢測多種DDOS攻擊

　　l 檢測多種針對Finger服務的攻擊

　　l 檢測基于NetBi0S的攻擊

　　l 檢測緩沖區(qū)溢出類型攻擊

　　l 檢測基于RPC的攻擊

　　l 檢測基于SMTP的攻擊

　　l 檢測基于Telnet的攻擊

　　l 檢測CGI攻擊

　　l 檢測針對WEB Server的FrontPage擴展進行的攻擊

　　l 檢測針對WEB Server的ColdFusion擴展進行的攻擊

　　l 檢測針對MicroSoft IIS server進行的攻擊

　　l 檢測利用ICMP進行的掃描和攻擊。

　　l 檢測利用Traceroute對網(wǎng)絡的探測

　　l 檢測ActiveX，JaveApplet的傳輸

　　l 檢測對其他可能的網(wǎng)絡服務進行的攻擊。

　　E. 入侵檢測系統(tǒng)配置

　　針對以上需求情況：我們在彩票中心網(wǎng)絡中都設置一臺NetDT入侵檢測系統(tǒng)。

　　設置安全檢測和攻擊預警系統(tǒng)的目的是：運用成熟的攻擊、反攻擊技術，分析已知的系統(tǒng)安全漏洞和薄弱環(huán)節(jié)。安全檢測可以在不安全因素被誘發(fā)之前，消除系統(tǒng)可能的安全隱患。攻擊預警系統(tǒng)可以實時發(fā)現(xiàn)網(wǎng)絡攻擊，阻撓不安全用戶進入系統(tǒng)。

　　F.入侵檢測系統(tǒng)的建設目標

　　根據(jù)彩票投注對安全的需求，我們認為對該系統(tǒng)入侵檢測系統(tǒng)的建設目標應該是：

　　l 對外，需要能夠及時發(fā)現(xiàn)針對彩票中心網(wǎng)的服務器以及內部網(wǎng)絡的各種攻擊能夠及時被發(fā)現(xiàn)和阻斷。

　　l 對內，要保證針對彩票中心網(wǎng)的重要服務器的各種攻擊企圖要能夠及時被發(fā)現(xiàn)和阻斷。

　　入侵檢測系統(tǒng)有基于主機和基于網(wǎng)絡的兩種模式的技術和產品。

　　基于網(wǎng)絡的入侵檢測系統(tǒng),通過在計算機網(wǎng)絡中的某些點,被動地監(jiān)聽網(wǎng)絡上傳輸?shù)脑剂髁浚瑢Λ@取的網(wǎng)絡數(shù)據(jù)進行處理，從中獲取有用的信息，再與已知攻擊特征相匹配,或與正常網(wǎng)絡行為原型相比較,來識別攻擊事件。

　　基于主機的產品只能針對某一個服務器的訪問行為進行檢測，一般是通過檢查系統(tǒng)的訪問日志進行判別，識別率較高，但實時性較差。此外，基于主機的產品與服務器的操作系統(tǒng)關系密切，一般只支持主流的操作系統(tǒng)（如Windows NT，Solaris等）。

　　為此，我們建議采用基于網(wǎng)絡的入侵檢測系統(tǒng)。如圖2、3所示，我們建議入侵檢測系統(tǒng)的配置是：

　　在內部網(wǎng)，配置入侵檢測系統(tǒng)的監(jiān)控中心，對彩票中心網(wǎng)的所有入侵檢測系統(tǒng)的探測頭進行集中、統(tǒng)一的管理和監(jiān)控；

　　我們選用的清華得實NetDT入侵檢測產品功能如下：

　　網(wǎng)絡入侵檢測NetDT系統(tǒng)是北京清華得實科技股份有限公司網(wǎng)絡安全系統(tǒng)產品之一。該系統(tǒng)采用分布式入侵偵測系統(tǒng)構架，國際先進的反IDS欺騙技術、底層協(xié)議分析技術、智能規(guī)則技術、實時顯示技術和網(wǎng)絡數(shù)據(jù)監(jiān)控技術，全面監(jiān)視各個子網(wǎng)絡的通信情況，及時捕獲入侵行為，并針對網(wǎng)絡上的可疑入侵行為，做出策略反應，及時告警和日志記錄等，最大限度地保障系統(tǒng)安全，是一套擁有完全自主版權、實用性強的安全產品，適用于政府、銀行、證券、電子商務、數(shù)據(jù)中心等單位和部門。

　　清華得實NetDT入侵檢測系統(tǒng)功能如下：

　　l 分布式系統(tǒng)架構：偵聽器可安裝在網(wǎng)絡的各物理網(wǎng)段上，一臺服務器管理多個偵聽器，從而達到分布安裝，全網(wǎng)監(jiān)控，集中管理。

　　l 高效的檢測能力：系統(tǒng)提供100Mbps最大監(jiān)控網(wǎng)絡流量。

　　l 自動的防御能力：中斷當前攻擊行為，維護系統(tǒng)和數(shù)據(jù)安全。

　　l 強大的偵聽能力：記錄攻擊行為的屬性、特征和來源。

　　l 有效的分析能力：對入侵行為進行統(tǒng)計、分類和等級劃分，提供客觀的分析和防御基礎。

　　l 靈活準確的報警方式，使管理員及時了解網(wǎng)絡狀況。

　　l 說盡的日志說錄，靈活的日志查詢手段。

　　l 多樣化的報表形式，可生成多種樣式的報表。

　　l 優(yōu)越的數(shù)據(jù)處理能力，可應對龐大的數(shù)據(jù)流。

　　l 系統(tǒng)廣泛的可適用性：適合于大、中、小各種規(guī)模、不同應用的網(wǎng)絡的內部濫用行業(yè)和外部入侵行為的共同檢測與防御。

　　l 圖形化管理能辦：可視的管理、監(jiān)視、控制和分析操作界面，方便使用。