通過安全網關（被動防御體系）與入侵檢測系統（主動防御體系）的互動，實現"主動防御和被動防御"的結合。對在企業內網發起的攻擊和攻破了安全網關第一道關卡的黑客攻擊，可以依靠入侵檢測系統阻斷和發現攻擊的行為，同時通過與安全網關的互動，自動修改策略設置上的漏洞不足，阻擋攻擊的繼續進入。兩者的聯動示意如下圖：

  
方案概述：

某市電力局為安徽省級電力公司下屬的二級單位，信息化程度較高，目前已經建成生產技術和運行子系統、用電管理子系統、辦公自動化子系統、財務子系統、物資子系統和人勞黨政子系統等。

該電力局內部網絡與三個外網相連，分別通過路由器與省電力公司網絡、下屬六個縣局網絡和銀行網絡進行數據交換。

解決方案

通過對該電力局的網絡整體進行系統分析，考慮到目前網上運行的業務需求，本方案對原有網絡系統進行全面的安全加強，主要實現以下目的：

保障現有關鍵應用的長期可靠運行，避免病毒和黑客攻擊；

防止內外部人員的非法訪問，特別是對內部員工的訪問控制；

確保網絡平臺上交換的數據的安全性，杜絕內外部黑客的攻擊；

方便內部授權員工（如：公司領導，出差員工等）從互聯網上遠程方便地、安全地訪問內部網絡，實現信息的最大可用性；

能對網絡的異常行為進行監控，并作出回應，建立動態防護體系。

為了實現上述目的，我們采用了主動防御體系和被動防御體系相結合的全面網絡安全解決方案，如下圖所示。

主動防御體系

主動防御體系由漏洞掃描和入侵檢測及與安全網關的聯動系統組成。

主要在網絡中心增加 “入侵檢測系統”、“漏洞掃描系統”和統一的“安全策略管理”平臺。用戶主動防范攻擊行為，尤其是防范從單位內部發起的攻擊。

對在企業內網發起的攻擊和攻破了安全網關第一道關卡的黑客攻擊，可以依靠入侵檢測系統阻斷和發現攻擊的行為，同時通過與安全網關的互動，自動修改策略設置上的漏洞不足，阻擋攻擊的繼續進入。

本方案在交換機上連入第三方的入侵檢測系統,并將其與交換機相連的端口設置為鏡像端口，由IDS傳感器對防火墻的內口、關鍵服務器進行監聽，并進行分析、報警和響應；在入侵檢測的控制臺上觀察檢測結果，并形成報表，打印。

在實現安全網關和入侵檢測系統的聯動后,可以通過下面方法看到效果：使用大包ping位于安全網關另一邊的主機（這屬于網絡異常行為）。IDS會報警，ping通一個icmp包后無法再ping通。這時檢查安全網關“訪問控制策略”會發現動態地添加了阻斷該icmp的策略。

“漏洞掃描系統”是一種網絡維護人員使用的安全分析工具，主動發現網絡系統中的漏洞，修改安全網關和入侵檢測系統中不適當的設置，防患于未然。

“安全策略管理”統一管理全網的安全策略（包括：安全網關、入侵檢測系統和防病毒等），作到系統安全的最優化。

被動防御體系

被動防御體系主要采用上海安達通公司的SGW系列安全網關(Firewall+VPN)產品。

在Cisco路由器4006與3640之間，插入安全網關SGW25是必須的。主要起到對外防止黑客入侵，對內進行訪問控制和授權員工從外網安全接入的問題，SGW25在這里主要發揮防火墻和VPN的雙重作用。

1) 保障局域網不受來自外網的黑客攻擊，主要擔當防火墻功能；

2) 能夠根據需要，讓外網向Internet的訪問提供服務，如：Web，Mail，DNS等 服務；

3) 對外網用戶訪問（Internet）提供靈活的訪問控制功能。如：可以控制任何一個內部員工能否上網，能訪問哪些網站，能不能收發email、ftp等，能夠在什么時間上網等等。簡而言之，能夠基于“六元組”（源地址，目的地址，源端口號（即：服務），目的端口號（即：服務），協議，時間）進行靈活的訪問控制。

4) 下屬單位能夠通過安全網關與安全客戶端軟件之間的安全互聯，建立通過Internet相連的“虛擬專用網”，徹底解決了在網上傳輸的內部信息安全問題，方便了管理，并極大地降低了成本。各單位間能夠在網上構成安全的數據傳輸通道形成“虛擬專網”。在“虛擬專網”內部傳輸的數據都經過網關的高強度加密和認證，能夠充分確保數據傳輸的安全。

5) 授權的內部員工當出差在外時，可以在外地撥內網的撥號服務器，然后使用“安全網關客戶端軟件”，通過加密隧道從外部安全方便地接入局中心內網。