第一章方案设计
1一、部署方案一(地市支行旁路部署模式)
1、方案拓扑图
2、方案部署描述
(1)在地市支行和省会中心支行的三层交换机上分别旁路部署一台立统科技视频综合安全网关,每台三层交换机分别开一个镜像端口和一个管理端口给立统科技视频综合安全网关,立统科技视频综合安全网关首先采用主动扫描全网设备,定义网络中设备的资产信息、漏洞信息和弱口令信息,多种属性信息合并形成资产库,然后网络流量镜像到视频综合安全网关后进行安全准入的资产库匹配,发现不匹配的,视频综合安全网关通过发送TCP阻断报文或者通知交换机直接进行阻断;
(2)在省会中心支行部署一台服务器安装立统科技视频安全集中管控平台,全省部署的视频综合安全网关可以通过此平台进行设备的统一管理、设备策略的统一部署下发、设备固体版本的统一升级、设备各种特征库和病毒库的统一更新,同时生成全网正常注册资产的资产库,前端视频设备和各种IP设备的在线状态统计和离线报警,全网非法接入/仿冒私接行为的审计和报警,全网视频监控摄像机的安全风险评估报告。
二、部署方案二(县支行串接模式)
1、方案拓扑图
2、方案部署描述
(1)在各个县支行到地市支行的链路上串接部署一台立统科技视频综合安全网关,立统科技视频综合安全网关首先采用主动扫描各个县支行的视频设备,定义网络中设备的资产信息、漏洞信息和弱口令信息,多种属性信息合并形成资产库,然后网络流量到视频综合安全网关后进行安全准入的资产库匹配,发现不匹配的,视频综合安全网关直接进行阻断;
(2)通过串接的方式把每个县支行的视频监控网络分割成每个独立的安全域,视频综合安全网关可以进行双NAT地址转换,保障各个县支行的视频监控网络安全,同时立统科技视频综合安全网关为视频监控网络提供了防火墙、IPS入侵防御、病毒过滤、服务器安全漏洞防护、应用协议准出、非法外联监测、视频信令审计与控制,在有需要的情况下,还能提供非标转国标和GB35114适配改造的功能;
(3)在地市支行和省会中心支行的三层交换机上分别旁路部署一台立统科技视频综合安全网关,此设备主要进行各地市支行和省会中心支行自身的视频监控网络管理,,立统科技视频综合安全网关首先采用主动扫描全网设备,定义网络中设备的资产信息、漏洞信息和弱口令信息,多种属性信息合并形成资产库,然后网络流量镜像到视频综合安全网关后进行安全准入的资产库匹配,发现不匹配的,视频综合安全网关通过发送TCP阻断报文或者通知交换机直接进行阻断;
(4)在省会中心支行部署一台服务器安装立统科技视频安全集中管控平台,全省部署的视频综合安全网关可以通过此平台进行设备的统一管理、设备策略的统一部署下发、设备固体版本的统一升级、设备各种特征库和病毒库的统一更新,同时生成全网正常注册资产的资产库,前端视频设备和各种IP设备的在线状态统计和离线报警,全网非法接入/仿冒私接行为的审计和报警,全网视频监控摄像机的安全风险评估报告,可以提供全网的IPS报告、病毒报告。
第二章解决方案综述
一、解决方案关键技术
1.2.3.4.1、多核并行网络数据包处理技术
为了更好地发挥多核平台的性能,立统科技视频安全设备会根据硬件平台的不同调整CP(控制层面)和DP(数据层面)的实例数,以实现性能的最大化。在处理业务数据的过程中,每个DP(数据层面)都采用Run-to-completion的方式,即一个数据包从接收到所有业务处理完毕,均在同一个DP(数据层面)中完成,这种处理方式能够显著提高处理性能。
2、高性能转发引擎技术
网络设备(路由器、交换机、媒体网关、SBC、PS网关等)需要在瞬间进行大量的报文收发,因此在传统的网络设备上,往往能够看到专门的NP(Network Process)处理器,有的用FPGA,有的用ASIC。这些专用器件通过内置的硬件电路(或通过编程形成的硬件电路)高效转发报文,只有需要对报文进行深度处理的时候才需要CPU干涉。
而网络安全产品都是需要进行深度报文处理的,所以大多数网络安全产品都是基于X86硬件架构进行开发,采用CPU进行数据包处理是现在用X86架构开发的网络安全产品通常使用的设计框架。
DPDK是Data Plane Development Kit的缩写。简单说,DPDK应用程序运行在操作系统的User Space,利用自身提供的数据面库进行收发包处理,绕过了Linux内核态协议栈,以提升报文处理效率。
立统科技的视频安全产品采用DPDK作为数据报文转发引擎框架,极大的提高了报文转发处理效率。
3、主动扫描终端技术
对全网资产进行主动扫描识别,可以发现全网网络资产,并识别终端类型,针对其他终端如电脑,手机终端,根据终端的应用流量特征识别终端的类型,可识别Windows、Linux、网络设备、苹果终端、安卓终端等终端。
针对视频摄像头可以通过ONVIF接口中携带的信息对终端进行识别,识别出摄像头的序列号、型号、品牌等信息。
主动扫描前端视频摄像头和NVR的开放端口、漏洞扫描、弱口令扫描。
4、终端指纹生成技术
对全网资产进行扫描识别后,发现全网网络资产,并对各种终端形成多重不同的属性,比如IP、MAC、设备品牌、设备型号、设备SN码和设备应用协议等,这些属性可以进行组合形成设备的指纹,通过指纹模糊算法,进行设备唯一性的标定,防止设备伪造。
5、终端应用协议学习技术
由于视频监控网络多数是哑终端,这些终端的正常应用协议相对来说比较固定,带有自学习功能的协议识别分析技术,长时间在网络中采集设备的数据包进行深度分析,会逐渐生成每个设备的正常应用协议分析库,这样大大提高后期系统的识别正确率和安全防护能力。
6、异常流量控制技术
控制异常流量首先是要能够准确地基于应用进行精细化的访问控制,而这依赖于高效、精确的应用识别。本产品支持基于深度包检测,深度流检测以及智能行为分析三种应用识别技术。准确识别视频网络中各种视频流量。
7、视频特有漏洞识别技术
支持对多达上万种漏洞进行识别,并已经加入视频专网中特有漏洞,漏洞库一直在持续维护更新。
可以在视频专网漏洞被发现后,通过及时的漏洞库升级,对还未进行安全固件更新的漏洞终端设备进行及时有效的防护。
二、解决方案功能
21、视频终端安全准入功能
通过多重指纹识别准入机制对未准入的视频设备定义为私接设备,对私接/仿冒设备进行阻断、告警。
对于私接/仿冒终端可以根据阻断策略,进行流量阻断或者交换机联动阻断。
串接部署:可以直接对网络流量进行数据包阻断。
旁路部署:(1)支持通过SNMP协议和交换机联动,配置MAC阻断列表到交换机中,从接入层面对终端进行阻断;(2)通过发送数据包阻断TCP reset报文达到阻断效果。
2、视频终端-风险发现功能
主动进行漏洞扫描,定期更新视频网络定制的漏洞特征库,主动采用视频网络专有协议进行弱口令扫描,支持ONVIF,FTP,TELNET,SSH,RDP等协议,实时掌握所有摄像头风险情况,快速搭建灵活有效的纵深防御体系。
3、状态检测安全功能
标准的状态检测安全设计,能对网络通信的各层实行检测,它能够检测通过IP地址、端口号以及TCP标记,过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过己知合法数据包的模式来比较进出数据包,这样就能比应用级代理在过滤数据包上更有效。
4、IPS入侵防御功能
通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而从根本上避免攻击行为。入侵防御的主要优势有如下几点:
实时阻断攻击:设备采用直路方式部署在网络中,能够在检测到入侵时,实时对入侵活动和攻击性网络流量进行拦截,把其对网络的入侵降到最低。
深层防护:由于新型的攻击都隐藏在TCP/IP协议的应用层里,入侵防御能检测报文应用层的内容,还可以对网络数据流重组进行协议分析和检测,并根据攻击类型、策略等来确定哪些流量应该被拦截。
全方位防护:入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施,全方位防御各种攻击,保护网络安全。
内外兼防:入侵防御不但可以防止来自于外部的攻击,还可以防止发自于内部的攻击。系统对经过的流量都可以进行检测,既可以对服务器进行防护,也可以对客户端进行防护。
不断升级,精准防护:入侵防御特征库会持续的更新,以保持最高水平的安全性。
5、网络防病毒功能
采用独特的虚拟并行系统检测技术,在对数据进行网络病毒等恶意软件扫描的同时,会实时同步传送视频数据。这一技术的在系统中的应用,从根本上解决了以往对视频数据进行扫描操作时,普遍存在的性能瓶颈问题。
在线不影响业务的情况下对HTTP、FTP中上传下载的文件进行病毒查杀,有效防止在视频终端设备被攻破的情况下,对终端植入病毒,避免造成更广泛的传播,形成更大的危害。
6、服务器漏洞防护功能
提供URL过滤、文件过滤、ActiveX过滤、脚本过滤等多种WEB安全防护手段通过对应用流中的数据报文内容进行探测,通过主动防御已知和未知攻击,实时阻断各种黑客攻击,如SQL注入、XSS攻击、网站扫描、WEB SHELL、会话劫持攻击等。
7、抗DOS攻击功能
根据各种DOS攻击的特征库对DOS攻击进行基础防护和数据清洗,在一定程度上保护视频终端不被这种手段进行野蛮攻击或者是资源耗尽。
8、信令审计与控制功能
对GB28181协议信令进行审计,对于视频的播放、回放、下载、控制、注册的过程进行全程记录,做到视频操作行为有据可循。
同时对GB28181协议信令进行管理控制,可以进行阻断、限流、指点专用IP访问等等手段进行信令的控制。
9、非法外联监测功能
由于视频终端多数为类似LINUX的系统,在这些终端上安装客户端软件是很困难的事情,所有对于视频监控网络的非法外联监测也多是采用应用协议识别的方式进行,一旦识别出视频终端发送的数据包中包含了互联网的应用协议,就会进行主动报警,并记录下痕迹。
10、非标转国标功能
提供国标协议转换功能,将各种非国标行业协议、第三方厂家私有协议进行 统一转换为国标GB/T28181标准协议。
11、GB35114适配功能
提供GB35114证书导入模块,快速提供GB35114A级改造方案。
10、集中管控平台功能
(1)终端-资产管理功能
识别全网所有的视频设备、windows、Linux主机、网络设备以及移动终端等类型,支持海康、大华、宇视、天地伟业、科达等视频设备的指纹信息识别,实现一机一档资产管理。
(2)在线率统计功能
由于视频综合安全网关部署于视频监控局域网内,可以对前端的视频监控摄像头和其它IP设备进行主动探测发现,在集中管理平台中形成更加真实完整的在线率统计报表。
(3)设备统一管理功能
对部署在全网的视频综合安全网关进行统一配置管理、修改、版本升级,对全网的视频综合安全网关的运行状态进行统一汇总展示。
(4)非法接入告警功能
对网络中出现非法接入和私自接入的情况,会汇总汇报,并实时报警提醒,做到“私接必报警、接入必留痕”。
(5)安全报告汇总
对网络中摄像机的风险漏洞、弱口令漏洞进行汇总报告,非法入侵、非法攻击、病毒攻击的现象进行汇总报告,让管理人员全面掌握监控网络的安全状况。
第三章两种方案对比
一、方案一优势
1、价格相对便宜;
2、不在各县支行部署设备,维护量相对来说小。
二、方案二优势
1、安全防护更加立体,安全域划分清晰;
2、设备串接在网络内,对前端和后端均提供更完善的安全防护;
3、设备部署在最前端,整体网络的安全状态可以更加清晰掌握。
三、设备清单
1、方案一设备清单
序号 产品名称 产品型号 产品描述 数量 单位 备注
1 视频监控综合安全网关 管理1000个视频终端,网络吞吐量8G,七层数据处理性能4G,6xGbE+4xSPF,支持一组BYPASS,功能支持:视频安全准入、视频终端漏洞扫描、弱口令扫描、防火墙、IPS、防病毒、抗DOS攻击、信令控制、非标转国标、35114适配 台 地市支行部署设备
2 视频监控综合安全网关 管理2000个视频终端,网络吞吐量16G,七层数据处理性能8G,6xGbE+4xSPF,支持一组BYPASS,功能支持:视频安全准入、视频终端漏洞扫描、弱口令扫描、防火墙、IPS、防病毒、抗DOS攻击、非标转国标、35114适配 台 省会中心支行部署设备
3 视频安全集中管控平台 基础版软件 设备统一管理、策略统一下发、版本统一升级、特征库和病毒库统一更新、全网在线率统计、资产管理、安全日志、病毒日志、行为审计日志 套 省会中心支行安装软件
2、方案二设备清单
序号 产品名称 产品型号 产品描述 数量 单位 备注
1 视频监控综合安全网关 管理100个视频终端,网络吞吐量800M,七层数据处理性能400M,4xGbE,支持一组BYPASS,功能支持:视频安全准入、视频终端漏洞扫描、弱口令扫描、防火墙、IPS、防病毒、抗DOS攻击、信令控制、非标转国标、35114适配 台 无库县支行部署
2 视频综合安全网关 管理200个视频终端,网络吞吐量1.6G,七层数据处理性能800M,6xGbE,支持一组BYPASS,功能支持:视频安全准入、视频终端漏洞扫描、弱口令扫描、防火墙、IPS、防病毒、抗DOS攻击、信令控制、非标转国标、35114适配 台 有库县支行部署
3 视频综合安全网关 管理500个视频终端,网络吞吐量4G,七层数据处理性能2G,6xGbE+4xSPF,支持一组BYPASS,功能支持:视频安全准入、视频终端漏洞扫描、弱口令扫描、防火墙、IPS、防病毒、抗DOS攻击、信令控制、非标转国标、35114适配 台 地市支行部署
4 视频综合安全网关 管理1000个视频终端,网络吞吐量8G,七层数据处理性能4G,6xGbE+4xSPF,支持一组BYPASS,功能支持:视频安全准入、视频终端漏洞扫描、弱口令扫描、防火墙、IPS、防病毒、抗DOS攻击、信令控制、非标转国标、35114适配 台 省会中心支行部署
5 视频安全集中管控平台 基础版软件 设备统一管理、策略统一下发、版本统一升级、特征库和病毒库统一更新、全网在线率统计、资产管理、安全日志、病毒日志、行为审计日志 套 省会中心支行安装
扫一扫
461
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
