一、    需求分析

　　近年來，信息技術的飛速發展，特別是以計算機互聯網絡Internet為代表的計算機信息網絡及其應用係統在全世界的迅速推廣和使用，使人們獲取
、交流和處理信息的手段發生了巨大的變化，深刻地影響著人們的交流、工作、學習

、shenghuoheyuledefangshi。yidongxinxihuazhengshishiyingshidaibianhuadeqiyexinxiquanmianjiejuefangan，shiqiyehuodequanmiandexinxihuafuwu，shixianqiyexinxidezhinengguanli，tigaoqiyeguanliyushengchanxiaolv
，gengyouxiaodeshiyingshichangjingzhengdexuyao。

　　某移動提出的移動信息化全麵解決方案是以涵蓋數據通信、信息服務、增值業務的全數據觀念為基礎，利用移動通信網、移動智能網及移動互聯網，針對行業的具體需求和應用提供的一體化解決方案。

　　移動信息化是以移動通信網和移動互聯網集成的綜合通信平台。移動信息化涵蓋集團移動電話網（VPMN）、語音專線
、會議通、語音信息通知、移動辦公助理
、車輛調度、國際移動互聯網專線、GPRS/EDGE專網等服務內容。GPRS/EDGE是目前解決移動通信信息服務的一種較完美的業務，它是以數據流量計費
、覆蓋範圍廣泛
、數據傳輸速度更快。GPRS/EDGE的推出
，為行業和企業用戶開展無線辦公提供了基礎設施平台
，為推動移動辦公的應用和發展創造了有利條件。與有線網絡相比，GPRS/EDGE網絡具有租用費用低、移動辦公，不受地域製約等優點。GPRS/EDGE的出現為企業和行業用戶開展無線辦公提供了一種新的選擇。

　　GPRS/EDGE通信方式更適合於彩票投注業務
，目前彩票的業務中心與各營業點采用DDN或者電話線傳送數據。彩票業務單筆流量很小，采用DDN或IDSL專(zhuan)線(xian)月(yue)租(zu)費(fei)太(tai)高(gao)，用(yong)電(dian)話(hua)線(xian)傳(chuan)送(song)數(shu)據(ju)按(an)時(shi)間(jian)計(ji)費(fei)，帶(dai)來(lai)諸(zhu)多(duo)不(bu)便(bian)，費(fei)用(yong)也(ye)不(bu)便(bian)宜(yi)。因(yin)此(ci)，許(xu)多(duo)省(sheng)市(shi)彩(cai)票(piao)中(zhong)心(xin)都(dou)考(kao)慮(lv)對(dui)傳(chuan)統(tong)通(tong)信(xin)方(fang)式(shi)進(jin)行(xing)改(gai)造(zao)，GPRS/EDGE無線傳輸數據有以下優勢：

　　1．GPRS/EDGEyonghukesuiyifenbuheyidongzijidewangluodian
，wuxudanxinxianludeweihuhuoyouxianzaiyijishidaozhidetongxunzhongduan。jianshexindeyingyedianwuxujinxinglaxian，maixiandenggongzuo。jiaoguangxian，huozhuanxianxitongtouzijiaoshao，shebeianzhuangfangbian。

　　2．終端價格比較低
，與DDN相比，較DTU或基帶Modem(DDN專線Modem)其終端價格便宜很多。

　　3．GPRS/EDGE資費便宜，計費合理。GPRS/EDGE 資費包月比有線電話網絡資費還便宜。彩票投注沒有大數據量的信息傳輸，不必要采用資費很高的專線（DDN
、幀中繼）。GPRS/EDGE還可根據通信的數據量和提供的服務質量進行計費。在GPRS/EDGE網(wang)中(zhong)，用(yong)戶(hu)隻(zhi)需(xu)與(yu)網(wang)絡(luo)建(jian)立(li)一(yi)次(ci)連(lian)接(jie)，就(jiu)可(ke)長(chang)時(shi)間(jian)的(de)保(bao)持(chi)這(zhe)種(zhong)連(lian)接(jie)，並(bing)隻(zhi)在(zai)傳(chuan)輸(shu)數(shu)據(ju)時(shi)才(cai)占(zhan)用(yong)信(xin)道(dao)並(bing)被(bei)計(ji)費(fei)，保(bao)持(chi)時(shi)不(bu)占(zhan)用(yong)信(xin)道(dao)也(ye)不(bu)計(ji)費(fei)。這(zhe)樣(yang)，營(ying)業(ye)點(dian)即(ji)不(bu)用(yong)頻(pin)繁(fan)建(jian)立(li)連(lian)接(jie)，也(ye)不(bu)必(bi)支(zhi)付(fu)傳(chuan)輸(shu)間(jian)隙(xi)時(shi)的(de)費(fei)用(yong)。

　　4．GPRS/EDGE能最好地支持頻繁的、少量突發型數據業務。通信質量穩定可靠，永不掉線。

　　5．GPRS/EDGE網絡接入速度快，提供了與現有數據網的無縫連接。

　　由於GPRS/EDGE網本身就是一個分組型數據網, 支持TCP/IP
、X.25協議，因此無需經過PSTN等網絡的轉接
，直接與分組數據網（IP網或X.25網）互通
，接入速度僅幾秒鍾
，快於電路型數據業務。采用TCP/IP協議，較以前的無線數據網絡（集群，雙向傳呼，GSM短信息）而言，網絡接入更加直接方便。

　　6．覆蓋較好，比較很多無線數據網絡（集群，雙向傳呼，CDPD，CDMA）而言，其網絡覆蓋是最好的。

　　二
、解決方案

　　1．係統結構圖

　　2．係統組成

　　1）終端設備

　　用戶端：

　　采用廈門四信通信科技有限公司的GPRS/EDGE路由器，采用以太網\串口和彩票機相連
，完成用戶係統的構成
，其中用戶的計算機運行用戶的係統軟件和應

　　 局端：

    采用某移動提供的線路和接口。

　　隨著科技的不斷發展，便攜式PC\台式機功能日漸強大，對於企業的員工而言操作更方便。

　　用戶係統：

　　用戶采用PC機
，利用以太網 \ 串口和本終端相連，實現係統的通信。

　　廈門四信提供的F3123 GPRS路由器和F3323 EDGE路由器通用的操作環境和強大的處理能力使得終端設備能夠通過對GPRS/EDGE網絡及後台應用服務的支持

，迅速完成數據查詢及業務處理。

　　應用服務

　　主要由四層軟件組成:

　　前端軟件：

　　前端軟件運行於終端上，支持本地業務數據的查詢及業務事務處理；同時管理

　　無線通訊網絡，完成撥號、掛斷及狀態監測
；對於事務處理請求與確認
，實現可靠

　　的傳輸控製，保證與局端的協作。

　　外網服務軟件：

　　外網服務軟件完成與前端軟件的安全認證及加解密，協同外網查詢數據庫完成

　　數據查詢請求的處理及應答
；處理內網服務器產生的數據同步命令維護外網查詢數

　　據庫；為內網服務軟件與前端軟件提供穿透物理隔離的傳輸，使業務處理請求可以

　　安全有效地到達內網並進行處理。

　　內網服務軟件：

　　內網服務軟件完成與外網服務軟件的隔離傳輸，及與前端軟件的安全認證和加

　　解密，對前端產生的事務處理請求進行解釋、執行，依靠數據庫適配層軟件
，將各

　　業務數據庫同步至外網查詢服務軟件。

　　局端數據庫適配層軟件：

　　局端數據庫適配層軟件對存在於多體係異種數據庫平台的業務數據庫提供抽象

　　接口，支持內網服務軟件完成事務處理及數據同步。

　　用於GPRS/EDGE網絡的無線數據傳輸

　　經過數年多的建設，某移動GPRS/EDGE網實現了沿海地區的全麵覆蓋和山區地區的地市覆蓋，並且於2002年5.17正式向用戶提供服務。GPRS/EDGE業務的高速數據傳輸、“永遠在線”、“流量計費”和“全國漫遊”的特性以及中國移動的優質網絡
，滿足了不同層次客戶的需求，也為發展行業應用奠定了堅實的基礎。

　　3．專線APN傳輸方式

　　根據企業對網絡安全的特殊要求
，沈陽移動通信分公司和廈門四信通信科技有限公司合作設計了基於GPRS/EDGE網絡的數據傳輸方案，采用了多種安全措施，主要包括：

　　l  通過一條2M 專線接入某移動GPRS/EDGE網絡，雙方互聯路由器之間采用私有IP地址進行廣域連接，在GGSN與某移動互聯路由器之間采用GRE隧道。

　　l  為某移動的客戶分配專用的APN，普通用戶不得申請該APN。用於GPRS/EDGE專網的SIM卡僅開通該專用APN，限製使用其他APN。

　　l   客戶可自建一套RADIUS服務器和DHCP服務器，GGSN向RADIUS服務器提供用戶主叫號碼，采用主叫號碼和用戶賬號相結合的認證方式；用戶通過認證後由DHCP服務器分配企業內部的靜態IP地址。

　　l   端到端加密：移動終端和服務器平台之間采用端到端加密，避免信息在整個傳輸過程中可能的泄漏。

　　l   雙方采用防火牆進行隔離，並在防火牆上進行IP地址和端口過濾。

　　4．業務流程

　　GPRS/EDGE專網係統終端上網登錄服務器平台的流程為：

　　1）用戶發出GPRS/EDGE登錄請求
，請求中包括由某移動為GPRS/EDGE專網係統專門分配的專網APN；

　　2）根據請求中的APN
，SGSN向DNS服務器發出查詢請求，找到與企業服務器平台連接的GGSN

，並將用戶請求通過GTP隧道封裝送給GGSN；

　　3）GGSN將用戶認證信息（包括手機號碼
、用戶賬號
、密碼等）通過專線送至Radius進行認證

；

　　4）Radius認證服務器看到手機號等認證信息，確認是合法用戶發來的請求，向DHCP服務器請求分配用戶地址
；

　　5）Radius認證通過後，由Radius向GGSN發送攜帶用戶地址的確認信息；

　　6）用戶得到了IP地址
，就可以攜帶數據包
，對GPRS/EDGE專網係統信息查詢和業務處理平台進行訪問。

　　三、網絡安全

　　1．安全方案的設計原則

　　在設計GPRS/EDGE彩票係統網絡的安全係統時
，我們將遵循以下原則：

　　l 體係化設計原則

　　通tong過guo分fen析xi信xin息xi網wang絡luo的de層ceng次ci關guan係xi，提ti出chu科ke學xue的de安an全quan體ti係xi和he安an全quan框kuang架jia，並bing根gen據ju安an全quan體ti係xi分fen析xi存cun在zai的de各ge種zhong安an全quan風feng險xian，從cong而er最zui大da限xian度du地di解jie決jue可ke能neng存cun在zai的de安an全quan問wen題ti。

　　l  全局性、均衡性、綜合性設計原則

　　從(cong)全(quan)局(ju)出(chu)發(fa)
，綜(zong)合(he)考(kao)慮(lv)各(ge)種(zhong)安(an)全(quan)風(feng)險(xian)，采(cai)取(qu)相(xiang)應(ying)的(de)安(an)全(quan)措(cuo)施(shi)，並(bing)根(gen)據(ju)風(feng)險(xian)的(de)大(da)小(xiao)，采(cai)取(qu)不(bu)同(tong)強(qiang)度(du)的(de)安(an)全(quan)措(cuo)施(shi)，提(ti)供(gong)具(ju)有(you)最(zui)優(you)的(de)性(xing)能(neng)價(jia)格(ge)比(bi)的(de)安(an)全(quan)解(jie)決(jue)方(fang)案(an)。

　　l  可行性、可靠性
、安全性

　　在采用安全係統之後，不會對GPRS/EDGE彩票係統網絡原有的網絡和應用係統有大的影響。在保證網絡和應用係統正常運轉的前提下，保證係統的安全。

　　l 統一規劃、分布實施原則

　　針對整個GPRS/EDGE彩票係統網絡統一製定技術方案，采取相同的技術路線，這樣有利於統一安全策略的製定，有利於保護整個GPRS/EDGE彩票係統網絡的安全，並且可以節約投資，減少浪費。

　　在統一規劃的基礎上，可以采取分步實施的策略，在資金允許條件下，先解決有迫切安全需求、而且技術成熟的問題。

　　2．安全體係

　　安全方案的科學性、可行性是其可順利實施的保障。

　　安全方案必須架構在科學的安全體係和安全框架之上，因為安全框架是安全方案設計和分析的基礎。

　　為了係統
、科學地分析安全方案涉及的各種安全問題，在大量調查研究的基礎上，我們提出了下麵的安全體係（見下圖），它反映了信息係統安全需求和體係結構的共性。具體說明如下：

　　安全體係是一個三維結構：

　　l    第一維（X軸）是安全服務特性
，給出了7種安全屬性；

　　l     第二維（Y軸）是係統單元
，給出了信息網絡係統的組成；

　　l     第三維（Z軸）是協議層次，給出了國際標準化組織ISO的開放係統互連（OSI）模型。

　　安全體係的具體模型和介紹如下：

　　安全管理

　　貫(guan)穿(chuan)於(yu)上(shang)述(shu)三(san)個(ge)方(fang)麵(mian)各(ge)個(ge)層(ceng)次(ci)的(de)是(shi)安(an)全(quan)管(guan)理(li)。通(tong)過(guo)技(ji)術(shu)手(shou)段(duan)和(he)行(xing)政(zheng)管(guan)理(li)手(shou)段(duan)，安(an)全(quan)管(guan)理(li)將(jiang)涉(she)及(ji)到(dao)各(ge)係(xi)統(tong)單(dan)元(yuan)在(zai)各(ge)個(ge)協(xie)議(yi)層(ceng)次(ci)提(ti)供(gong)的(de)各(ge)種(zhong)安(an)全(quan)服(fu)務(wu)。

　　安全技術體係

　　通tong過guo對dui網wang絡luo應ying用yong的de全quan麵mian了le解jie
，安an全quan風feng險xian存cun在zai於yu網wang絡luo係xi統tong的de各ge個ge層ceng次ci

，那na麼me
，在zai網wang絡luo係xi統tong的de各ge個ge層ceng次ci之zhi中zhong都dou應ying有you相xiang應ying的de安an全quan解jie決jue技ji術shu，包bao括kuo：物理層安全、鏈路層安全、網絡層安全、操作係統安全以及管理安全。隻有這樣的安全技術體係才是完整的
、全麵的。下圖列出了各網絡安全設備在網絡安全三維體係中的應用。

　　3．安全子係統劃分

　　在安全方案設計中，首先要確定安全方案所涉及到的係統單元，其次要考慮該係統單元在各個層次所提供的安全服務（功能）
，最zui後hou還hai應ying考kao慮lv這zhe些xie單dan元yuan係xi統tong之zhi間jian的de邏luo輯ji關guan係xi
，在zai整zheng體ti安an全quan體ti係xi框kuang架jia下xia
，劃hua分fen成cheng不bu同tong的de安an全quan子zi係xi統tong，分fen別bie提ti供gong相xiang應ying的de安an全quan解jie決jue方fang案an，才cai能neng提ti供gong全quan麵mian的de

、合理的

、有機的安全服務。

　　因在GPRS/EDGE專網係統中以包含RADIUS身份認證係統，本方案中針對GPRS/EDGE彩票係統的網絡層安全係統（包括防火牆和入侵檢測係統）進行論述

　　網絡層安全係統：zhuyaotongguofanghuoqiangfenbushigelilaishixian，jizaicaipiaozongbushujuzhongxinwangluohegeyingyedianjuntongguofanghuoqiangjinxinganquangeli
，jiangweixianquyujinxingfenhuadaomeigequyuziwang，shiweixianquyukongzhizaixiaodequyuqujiannei。duimouyigequyudegongjibuhuiyingxiangdaobiedequyu
，tongshitongguoanquanguizedexihua
，jinliangbimianlegequyuziwangzhijiandegongjikuosan。tongshi，duiyucaipiaozongbushujuzhongxinwangluozhongyaodefuwuqiziwangcaiyongruqinjiancexitong，zuoweishishidefangwenjiankong，jishideduiwailaigongjizuochubaojingjizuduandexiangying。

　　4．總體網絡安全邏輯結構示意

　　根據以上分析，我們得出GPRS/EDGE彩票係統網絡安全如下：

　　1） 網絡安全示意圖：

　　5．安全方案的選型

　　1）網絡係統安全係統

　　主要依靠防火牆、基本入侵檢測等技術，在網絡層構築一道安全屏障，並依靠分布式的產品部署，集成在同一個安全管理平台上
，實現網絡層的統一
、集中的安全管理。

　　2)網絡層安全管理平台

　　選(xuan)擇(ze)網(wang)絡(luo)層(ceng)安(an)全(quan)管(guan)理(li)平(ping)台(tai)時(shi)主(zhu)要(yao)考(kao)慮(lv)這(zhe)個(ge)安(an)全(quan)管(guan)理(li)平(ping)台(tai)能(neng)否(fou)與(yu)其(qi)它(ta)相(xiang)關(guan)的(de)網(wang)絡(luo)安(an)全(quan)產(chan)品(pin)集(ji)成(cheng)，能(neng)否(fou)對(dui)這(zhe)些(xie)安(an)全(quan)產(chan)品(pin)進(jin)行(xing)統(tong)一(yi)的(de)管(guan)理(li)，包(bao)括(kuo)配(pei)置(zhi)各(ge)相(xiang)關(guan)安(an)全(quan)產(chan)品(pin)的(de)安(an)全(quan)策(ce)略(lve)
、維護相關安全產品的係統配置、檢查並調整相關安全產品的係統狀態等。

　　在這個前提下，我們建議在GPRS/EDGE彩票係統網絡中采用由清華得實公司提供的網絡層安全管理平台。

　　3）安全網絡拓撲結構劃分

　　劃hua分fen網wang絡luo拓tuo撲pu結jie構gou，一yi方fang麵mian要yao保bao證zheng網wang絡luo的de安an全quan，另ling一yi方fang麵mian，不bu能neng對dui原yuan有you網wang絡luo結jie構gou做zuo太tai大da的de更geng改gai。為wei此ci我wo們men建jian議yi采cai用yong下xia圖tu所suo示shi的de支zhi持chi非fei軍jun事shi化hua區qu的de三san網wang段duan安an全quan網wang絡luo拓tuo撲pu結jie構gou。

　　用非軍事化區的安全網絡拓撲示意圖

　　這種安全網絡拓撲圖主要從保護重要服務器的安全出發考慮，把網絡劃分成三個網段：外網

、非軍事化區網段和安全內網。

　　非軍事化區網段（DMZ）主要放置一些對外提供服務的服務器，包括WEB服務器
、DB、網管工作站。安全係統的一些安全服務器、管理服務器等也都放在非軍事化區內。

　　安全內網主要放置一些不對外直接開放的重要服務器
，如各種數據庫服務器、WWW服務器等。在這種網絡結構中
，通過防火牆等安全設備的配置，可以確保：

　　l        可以拒絕從外網對安全內網的各種直接的訪問連接；

　　l        可以在非軍事化區內對外網開放一些服務器和服務端口，如WEB服務器的80端口等
；

　　l        可以限製內網中用戶能夠訪問外網的某些服務端口，如隻允許訪問HTTP
、FTP等服務。

　　tongguozhezhongpeizhi
，keyibaozhengzaiduiwaitigongzhengchangfuwudetongshi
，chongfenbaozhengfuwuqiheshujudeanquan。xiamiandefanghuoqiangpeizhijiangyizhezhongzhichifeijunshihuaqudesanwangduananquanwangluotuopujiegouweijichu。

　　4）防火牆配置

　　我們建議如“GPRS/EDGE彩票係統網絡安全示意圖”所示配置防火牆設備：

　　在彩票係統中心網絡的外聯出口采用一台清華得實NetST2104企業級防火牆，保護彩票係統中心網絡；

　　在自己允許的情況下，可在每個營業點機構，安裝一台經濟適用的清華得實NetST1000小型部門級防火牆，保護各營業點係統；

　　5）NetST防火牆產品

　　A.選型原則

　　在本方案中
，我們選擇了清華得實防火牆NetST產品。

　　綜合考慮到安全、性能
、價格等因素，我們建議在配置防火牆時
，采取國內防火牆產品：即防火牆NetST。選擇國內產品主要考慮自主研發的
、具有自主版權的、技術成熟且安全可靠、性能優越的防火牆產品。所選產品經過國家有關部門的認證
，有銷售許可。

　　B.NetST簡介

　　作為國內最早自主開發的防火牆係統之一，新一代NetST防fang火huo牆qiang引yin擎qing采cai用yong了le國guo際ji先xian進jin的de狀zhuang態tai檢jian測ce技ji術shu
，實shi時shi在zai線xian監jian測ce當dang前qian內nei外wai網wang絡luo的de各ge種zhong連lian接jie狀zhuang態tai
，並bing根gen據ju連lian接jie狀zhuang態tai動dong態tai配pei置zhi規gui則ze
，對dui異yi常chang的de連lian接jie狀zhuang態tai進jin行xing阻zu斷duan。

　　NetST防火牆為用戶提供了強大的包過濾功能，支持TCP/IP協議族內各種主流網絡協議
，可以根據網絡流量的類型、網絡地址、應用服務等條件進行過濾。

　　NetST提供了包括網絡層訪問控製、地址轉換、liuliangxianzhidengduozhongfanghuoqiangjibengongneng，haitigongjiyuyonghushenfendeanquancelvekongzhi，haikeyishishizaixianjianshiwangluodegezhonglianjie，yonghukeyisuishizhangwowangluozhongfashengdegezhongqingkuang
，bingzairizhizhongjilusuoyouduifanghuoqiangdepeizhicaozuo、異常的連接、被防火牆拒絕的連接、可能的入侵等信息，並提供友好的管理界麵進行管理。

　　NetST還提供係統安全防範功能，可以對多種網絡入侵，包括多種拒絕服務攻擊（如ping of death，land，syn flooding，tear drop等）、端口掃描、IP欺騙等攻擊行為，進行辨別和有效阻斷。

　　NetST通過采用工業級硬件係統
，可靠的專用安全操作係統、穩定的防火牆引擎，保證了整個係統具有極高的性能和可靠性。

　　NetST已經通過了公安部采用最新包過濾防火牆國家標準（GB18019-1999）進行的安全產品認證（序號：010128，銷售許可證號：XKC33129）和中國國家信息安全測評認證中心的認證（CNISTEC1999TYP009）。

　　C.防火牆的特點：

　　l        最大支持100Mbps線速狀態檢測。

　　l        防火牆滿足網絡間的單向訪問需求、過濾不安全的服務。

　　l        最大並發連接數達到60,000個以上
，遠遠滿足用戶的需求。

　　l        支持VPN功能。

　　l        可以針對協議、端口號、時間
、流量等條件實現安全的訪問控製。

　　l        可以根據如下信息進行過濾：

　　a)      －源IP地址

　　b)      －目的IP地址   

　　c)      －協議類型(IP、ICMP、TCP
、UDP)

　　d)      －源TCP/UDP端口

　　e)      －目的TCP／UDP端口

　　f)      －ICMP報文類型域和代碼域

　　g)      －碎片包

　　h)      －其它標誌位，如SYN、ACK位

　　l        自動掃描主機打開的端口。

　　l        防火牆支持高可用性和負載均衡。

　　l        防火牆初始狀態應關閉所有端口，根據客戶需要一個個打開。具備反端口掃描功能。

　　l        可以斷開任一網絡接口的連接。

　　l        網絡地址轉換NAT技術

、MAC地址綁定技術。

　　l        NetST防火牆支持在內部網使用保留的IP地址，通過動態的地址轉換功能實現對外部網的訪問。NetST防火牆具有動態和靜態地址NAT兩種轉換方式，滿足用戶的不同需求。

　　l        有智能的過濾

、攔截功能。   

　　l        防火牆具有惡意入侵檢測與報警。通過NetST防火牆的報警係統和入侵檢測係統的協同工作，實現對入侵攻擊及早防禦。同時會啟動自動防範係統進行防範。

　　l        防火牆具有強大的審計功能和統計報表功能。

　　l        防火牆具有集中管理的功能。

　　l        防火牆具有備份功能。

　　l        NetST防火牆提供非常方便的升級方式。

　　l        支持DHCP功能。

　　D.防火牆防範的種類的攻擊：

　　l        檢測多種DOS攻擊

　　l        檢測保護子網中是否存在後門和木馬程序

　　l        測多種針對FTP服務的攻擊

　　l        檢測多種DDOS攻擊

　　l        檢測多種針對Finger服務的攻擊

　　l        檢測基於NetBi0S的攻擊

　　l        檢測緩衝區溢出類型攻擊

　　l        檢測基於RPC的攻擊

　　l        檢測基於SMTP的攻擊

　　l        檢測基於Telnet的攻擊   

　　l        檢測CGI攻擊

　　l        檢測針對WEB Server的FrontPage擴展進行的攻擊

　　l        檢測針對WEB Server的ColdFusion擴展進行的攻擊

　　l        檢測針對MicroSoft IIS server進行的攻擊

　　l        檢測利用ICMP進行的掃描和攻擊。

　　l        檢測利用Traceroute對網絡的探測

　　l        檢測ActiveX，JaveApplet的傳輸

　　l        檢測對其他可能的網絡服務進行的攻擊。

　　E. 入侵檢測係統配置

　　針對以上需求情況：我們在彩票中心網絡中都設置一台NetDT入侵檢測係統。

　　設置安全檢測和攻擊預警係統的目的是：運用成熟的攻擊、反fan攻gong擊ji技ji術shu，分fen析xi已yi知zhi的de係xi統tong安an全quan漏lou洞dong和he薄bo弱ruo環huan節jie。安an全quan檢jian測ce可ke以yi在zai不bu安an全quan因yin素su被bei誘you發fa之zhi前qian，消xiao除chu係xi統tong可ke能neng的de安an全quan隱yin患huan。攻gong擊ji預yu警jing係xi統tong可ke以yi實shi時shi發fa現xian網wang絡luo攻gong擊ji，阻zu撓nao不bu安an全quan用yong戶hu進jin入ru係xi統tong。

　　F.入侵檢測係統的建設目標

　　根據彩票投注對安全的需求，我們認為對該係統入侵檢測係統的建設目標應該是：

　　l        對外


，需要能夠及時發現針對彩票中心網的服務器以及內部網絡的各種攻擊能夠及時被發現和阻斷。

　　l        對內
，要保證針對彩票中心網的重要服務器的各種攻擊企圖要能夠及時被發現和阻斷。

　　入侵檢測係統有基於主機和基於網絡的兩種模式的技術和產品。

　　基於網絡的入侵檢測係統,通過在計算機網絡中的某些點,被動地監聽網絡上傳輸的原始流量，對獲取的網絡數據進行處理，從中獲取有用的信息，再與已知攻擊特征相匹配,或與正常網絡行為原型相比較,來識別攻擊事件。

　　基ji於yu主zhu機ji的de產chan品pin隻zhi能neng針zhen對dui某mou一yi個ge服fu務wu器qi的de訪fang問wen行xing為wei進jin行xing檢jian測ce，一yi般ban是shi通tong過guo檢jian查zha係xi統tong的de訪fang問wen日ri誌zhi進jin行xing判pan別bie，識shi別bie率lv較jiao高gao
，但dan實shi時shi性xing較jiao差cha。此ci外wai，基ji於yu主zhu機ji的de產chan品pin與yu服fu務wu器qi的de操cao作zuo係xi統tong關guan係xi密mi切qie，一yi般ban隻zhi支zhi持chi主zhu流liu的de操cao作zuo係xi統tong（如Windows NT
，Solaris等）。

　　為此
，我們建議采用基於網絡的入侵檢測係統。如圖2
、3所示，我們建議入侵檢測係統的配置是：

　　在內部網，配置入侵檢測係統的監控中心
，對彩票中心網的所有入侵檢測係統的探測頭進行集中、統一的管理和監控；

　　我們選用的清華得實NetDT入侵檢測產品功能如下：

　　網絡入侵檢測NetDT係統是北京清華得實科技股份有限公司網絡安全係統產品之一。該係統采用分布式入侵偵測係統構架
，國際先進的反IDS欺騙技術、底層協議分析技術
、智能規則技術、實(shi)時(shi)顯(xian)示(shi)技(ji)術(shu)和(he)網(wang)絡(luo)數(shu)據(ju)監(jian)控(kong)技(ji)術(shu)，全(quan)麵(mian)監(jian)視(shi)各(ge)個(ge)子(zi)網(wang)絡(luo)的(de)通(tong)信(xin)情(qing)況(kuang)，及(ji)時(shi)捕(bu)獲(huo)入(ru)侵(qin)行(xing)為(wei)，並(bing)針(zhen)對(dui)網(wang)絡(luo)上(shang)的(de)可(ke)疑(yi)入(ru)侵(qin)行(xing)為(wei)，做(zuo)出(chu)策(ce)略(lve)反(fan)應(ying)
，及(ji)時(shi)告(gao)警(jing)和(he)日(ri)誌(zhi)記(ji)錄(lu)等(deng)
，最(zui)大(da)限(xian)度(du)地(di)保(bao)障(zhang)係(xi)統(tong)安(an)全(quan)，是(shi)一(yi)套(tao)擁(yong)有(you)完(wan)全(quan)自(zi)主(zhu)版(ban)權(quan)、實用性強的安全產品，適用於政府、銀行、證券
、電子商務、數據中心等單位和部門。

　　清華得實NetDT入侵檢測係統功能如下：

　　l  分布式係統架構：偵聽器可安裝在網絡的各物理網段上，一台服務器管理多個偵聽器
，從而達到分布安裝，全網監控，集中管理。

　　l  高效的檢測能力：係統提供100Mbps最大監控網絡流量。

　　l  自動的防禦能力：中斷當前攻擊行為

，維護係統和數據安全。

　　l  強大的偵聽能力：記錄攻擊行為的屬性、特征和來源。

　　l  有效的分析能力：對入侵行為進行統計、分類和等級劃分，提供客觀的分析和防禦基礎。

　　l  靈活準確的報警方式，使管理員及時了解網絡狀況。

　　l  說盡的日誌說錄，靈活的日誌查詢手段。

　　l  多樣化的報表形式
，可生成多種樣式的報表。

　　l  優越的數據處理能力，可應對龐大的數據流。

　　l  係統廣泛的可適用性：適合於大、中、小各種規模、不同應用的網絡的內部濫用行業和外部入侵行為的共同檢測與防禦。

　　l  圖形化管理能辦：可視的管理、監視、控製和分析操作界麵
，方便使用。

　　6)網絡安全設備的實施效果

　　A. 防黑客功能實現

　　防(fang)黑(hei)客(ke)功(gong)能(neng)在(zai)網(wang)絡(luo)安(an)全(quan)中(zhong)占(zhan)據(ju)了(le)主(zhu)要(yao)的(de)作(zuo)用(yong)
，幾(ji)乎(hu)任(ren)何(he)一(yi)個(ge)網(wang)絡(luo)首(shou)先(xian)考(kao)慮(lv)的(de)就(jiu)是(shi)防(fang)黑(hei)客(ke)，在(zai)本(ben)方(fang)案(an)中(zhong)
，各(ge)個(ge)點(dian)所(suo)采(cai)用(yong)的(de)防(fang)黑(hei)客(ke)技(ji)術(shu)主(zhu)要(yao)是(shi)防(fang)火(huo)牆(qiang)係(xi)統(tong)的(de)主(zhu)要(yao)功(gong)能(neng)為(wei)：

　　l        防止來自外網的黑客攻擊；

　　l        及時提供攻擊報警和記錄等響應

　　l        防止來自內網的惡意入侵
、掃描
；

　　l        對內網的服務器等作漏洞掃描，做到防患於未然。

　　當一個黑客或惡意入侵者想探測或攻擊企業的服務器時

，防火牆會阻擋這些攻擊信息，並且記錄該攻擊者的IP、端口、采用的攻擊手段等信息，使得黑客無法獲得他想要得到的信息。

　　B.訪問控製功能的實現

　　通過防火牆實現對訪問主機IP進行過濾，防止非法訪問。

　　有效控製訪問端口
，避免對內部網絡的非授權端口受到攻擊。