1、xx 单位防火墙解决方案1. 网络信息安全概况 51.1. 网络安全现状 51.2. 在典型的网络攻击中黑客一般会采的步骤 61.3. 黑客的主要攻击方式 62. 背景介绍 82.1. 项目总述 82.2. XX 单位网络整体情况 .82.3. XX 单位网络结构 .82.4. XX 单位网络支撑的应用系统 .92.5. XX 单位网络系统平台 .102.6. XX 单位网络主要应用服务的安全风险 .102.7. 设备及系统安全分析 103. 方正数码防火墙解决方案 143.1. 本方案设计的原则和目标 143.2. 防火墙选型 153.2.1. 防火墙设置及工作模式 153.2.2. 防火墙
2、功能设置及安全策略 163.2.3. IPMAC 地址捆绑: 163.2.4. URL 拦截: .163.2.5. 内置入侵检测(IDS) .173.2.6. 代理服务 173.2.7. NAT 地址转换 173.2.8. 日志系统及系统报警 173.2.9. 带宽分配,流量管理 183.2.10. 集中管理 183.2.11. 预制模板 193.2.12. H.323 支持 .193.2.13. 系统升级 193.2.14. 双机备份 193.2.15. 保障系统安全性 193.2.16. 自身安全性 203.2.17. 维护方便性 203.2.18. 系统事件管理 204. 工程实施方案
3、214.1. 项目实施原则 214.2. 发货阶段的实施 224.3. 到货后工作的实施 234.4. 测试及验收 244.4.1. 测试及验收描述 244.4.2. 系统初验 244.5. 实施人员 255. 培训方案 265.1. 培训目标 265.2. 培训课程 265.3. 培训方式 265.4. 培训时长 265.5. 培训地点 265.6. 培训讲师 275.7. 入学要求 276. 方正数码全程服务 296.1. 方正数码售后服务体系结构介绍 296.2. 方正数码售后服务内容 316.2.1. 售后服务内容 316.3. 2售后维修服务流程 326.4. 方御防火墙部分用户名单
4、 327. 附录 A357.1. 防火墙与入侵检测的选型 357.1.1. 方正数码公司简介 357.2. 方正方御防火墙(100M) 367.2.1. 产品概述 367.2.2. 系统特点 367.2.3. 方御防火墙(百兆)的性能 407.2.4. 方正方御防火墙功能说明 417.3. 方正方御防火墙(1000M) 557.3.1. 产品概述 557.3.2. 系统特点 567.3.3. 方正方御千兆防火墙功能说明 577.3.4. 方御防火墙(千兆)的性能 698. 附录 B718.1. 方正方御防火墙荣誉证书 711. 网络信息安全概况目前,很多公开的新闻表明美国国家安全局(NSA)有
5、可能在许多美国大软件公司的产品中安装“后门” ,其中包括一些应用广泛的操作系统。为此德国军方前些时候甚至规定在所有牵涉到机密的计算机里,不得使用美国的操作系统。作为信息安全的保障,我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品,将安全风险降至最低。在为各安全产品选型时,我们立足国内,同时保证所选产品的先进性及可靠性,并要求通过国家各主要安全测评认证。1.1.网络安全现状Internet 正在越来越多地融入到社会的各个方面。一方面,随着网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,随着 Internet 和以电子商务为代表的网络应用的日益发展,In
6、ternet 越来越深地渗透到各行各业的关键要害领域。Internet 的安全包括其上的信息数据安全,日益成为与政府、军队、企业、个人的利益休戚相关的“大事情” 。尤其对于政府和军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重的威胁。2000 年二月,在三天的时间里,黑客使美国数家顶级互联网站Yahoo!、Amazon、eBay 、CNN 陷入瘫痪,造成了十几亿美元的损失,令美国上下如临大敌。黑客使用了 DDoS(分布式拒绝服务)的攻击手段,用大量无用信息阻塞网站的服务器,使其不能提供正常服务。在随后的不到一个月的时间里,又先后有微软、ZDNet 和 E*TRADE 等著名
7、网站遭受攻击。国内网站也未能幸免于难,新浪、当当书店、EC123 等知名网站也先后受到黑客攻击。国内第一家大型网上连锁商城 IT163 网站 3 月 6 日开始运营,然而仅四天,该商城突遭网上黑客袭击,界面文件全部被删除,各种数据库遭到不同程度的破坏,致使网站无法运作。客观地说,没有任何一个网络能够免受安全的困扰,依据 Financial Times曾做过的统计,平均每 20 秒钟就有一个网络遭到入侵。仅在美国,每年由于网络安全问题造成的经济损失就超过 100 亿美元。黑客们进行网络攻击的目的各种各样,有的是出于政治目的,有的是员工内部破坏,还有的是出于好奇或者满足自己的虚荣心。随着 Inte
8、rnet 的高速发展,也出现了有明确军事目的的军方黑客组织。1.2.在典型的网络攻击中黑客一般会采的步骤自我隐藏,黑客使用通过 rsh 或 telnet 在以前攻克的主机上跳转、通过错误配置的 proxy 主机跳转等各种技术来隐藏他们的 IP 地址,更高级一点的黑客,精通利用电话交换侵入主机。网络侦探和信息收集,在利用 Internet 开始对目标网络进行攻击前,典型的黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表,通常很容易建立一个主机列表并且开始了解主机之间的联系。黑客在这个阶段使用一些简单的命令来获得外部
9、和内部主机的名称:例如,使用 nslookup 来执行 “ls ”, finger 外部主机上的用户等。确认信任的网络组成,一般而言,网络中的主控主机都会受到良好的安全保护,黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的,一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通过检查运行 nfsd 或 mountd 的那些主机输出的 NFS 开始入侵,有时候一些重要目录(例如/etc,/home)能被一个信任主机 mount。确认网络组成的弱点,如果一个黑客能建立你的外部和内部主机列表,他就可以用扫描程序(如 ADMhack, mscan, nmap 等)来扫描一些特
10、定的远程弱点。启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运行,因为ps和netstat都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后,黑客就会对主机是否易受攻击或安全有一个正确的判断。有效利用网络组成的弱点,当黑客确认了一些被信任的外部主机,并且同时确认了一些在外部主机上的弱点,他们就要尝试攻克主机了。黑客将攻击一个被信任的外部主机,用它作为发动攻击内部网络的据点。要攻击大多数的网络组成,黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序,这样的例子包括易受攻击的 Sendmail,IMAP,POP3 和诸如 statd,mountd, pcnfsd 等 R
11、PC 服务。获得对有弱点的网络组成的访问权,在攻克了一个服务程序后,黑客就要开始清除他在记录文件中所留下的痕迹,然后留下作后门的二进制文件,使其以后可以不被发觉地访问该主机。1.3.黑客的主要攻击方式欺骗:通过伪造 IP 地址或者盗用用户帐号等方法来获得对系统的非授权使用,例如盗用拨号帐号。窃听:利用以太网广播的特性,使用监听程序来截获通过网络的数据包,对信息进行过滤和分析后得到有用的信息,例如使用 sniffer 程序窃听用户密码。数据窃取:在信息的共享和传递过程中,对信息进行非法的复制,例如,非法拷贝网站数据库内重要的商业信息,盗取网站用户的个人信息等。数据篡改:在信息的共享和传递过程中,
12、对信息进行非法的修改,例如,删除系统内的重要文件,破坏网站数据库等。拒绝服务:使用大量无意义的服务请求来占用系统的网络带宽、CPU 处理能力和 IO 能力,造成系统瘫痪,无法对外提供服务。典型的例子就是 2000 年年初黑客对 Yahoo 等大型网站的攻击。黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严重后果,如果是对军用和政府网络的攻击,还会对国家安全造成严重威胁。2. 背景介绍2.1.项目总述XX 单位信息化建设的基础工程,是以计算机局域网为核心,以宽带光纤网络为通信平台,围绕业务管理、数据交换、语音通信、重大事件处理、视频会议等应用,覆盖各各工作部门等,并与
13、全国、全省专网联接,共约*个节点的城域网。XX 专网是独立于公共网络之外的 XX 系统专用网络,物理上与外部公共网络隔离。专网内部进行逻辑分割,采用防火墙隔离、审计检测等措施,建立有效的网络安全防范体系,以满足传送普密级信息的通信安全保密要求。XX 专网涉及范围广,建设要求高,需分期分批进行建设。XX 专网建成后,将极大地促进 XX 单位业务规范化、办公自动化、管理智能化、决策科学化、提高 XX 单位办事工作效率,实现各部门以及上下级部门之间信息和资源的共享。2.2.XX 单位网络整体情况XX 单位是以总部为中心、各个分支区域为基础,覆盖各部门、各层次分支机构,基于 TCP/IP 协议体系的计
14、算机信息服务网络;是 XX 单位应用系统的基础网络平台。目前整个系统已网络实现到各部门,系统运行着多种应用系统。其中,这些系统通过与其他单位的互联网络,实现信息交换和共享。2.3.XX 单位网络结构XX 单位网络由广域网和各级机构局域网组成。XX 单位网络主要连接由两个部分组成:一是自己的纵向连网,连接 XX 单位各级机构;一是和其他单位的横向连网,实现系统之间数据通信。XX 单位网络使用独立的地址空间和域名系统。广域网采用 Frame relay 技术。全国网络以总部为根节点,形成树形结构,各叶节点是各级机构内部的局域网络,是广域网的信息源和终点,同时也是连接其他单位的起点。同时,网络系统中
15、的网络设备以路由器、交换机为主。骨干网上运行OSPF 路由协议。2.4.XX 单位网络支撑的应用系统XX 单位网络上已经或即将运行的主要应用服务系统包括: 政务与办公自动化系统; 业务处理系统; 管理信息系统; 决策支持系统; 多媒体应用与会议电视系统;省 域 网 省 域 网区 域 网 区 域 网 区 域 网 区 域 网区 域 网区 域 网骨 干 网纵向连网同其他单位互连商 业 银 行 内 联 网 商 业 银 行 内 联 网 商 业 银 行 内 联 网 其他单位内联网其他单位内联网其他单位内联网 信息咨询服务系统; 外汇应用系统;2.5.XX 单位网络系统平台XX 单位网络目前系统平台主要采用
16、 Window NT 系统; Unix 系统; 数据库系统;2.6.XX 单位网络主要应用服务的安全风险应用服务系统中各个叶节点有各种应用服务,这些应用服务提供给 XX 单位或其他单位使用。不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统,使得系统数据丢失、数据更改、获得非法数据等。而 XX 单位的这些应用系统是 XX 单位网络中最重要的组成部分。DNS 服务DNS 是网络正常运作的基本元素,它们是由运行专门的或操作系统提供的服务的 Unix 或 NT主机构成。这些系统很容易成为外部网络攻击的目标或跳板。对 DNS 的攻击通常是对其他远程主机进行攻击做准备,如篡改域名解析记录以欺骗
17、被攻击的系统,或通过获取 DNS 的区域文件而得到进一步入侵的重要信息。著名的域名服务系统 BIND 就存在众多的可以被入侵者利用的漏洞。XX 单位对外各种应用,特别是基于 URL 的应用依赖于 DNS 系统,DNS 的安全性也是网络安全关注的焦点。E-Mail由于邮件服务器软件的众多广为人知的安全漏洞,邮件服务器成为进行远程攻击的首选目标之一。如利用公共的邮件服务器进行的邮件欺骗或邮件炸弹的中转站或引擎;利用sendmail 的漏洞直接入侵到邮件服务器的主机等。而 XX 单位的内部 E-mail 系统覆盖面广,所以迫切需要使用防火墙来保护人民银行的内部 E-mail 系统。WWW利用 HTT
18、P 服务器的一些漏洞,特别是在大量使用服务器脚本的系统上,利用这些可执行的脚本程序,未经授权的操作者可以很容易地获得系统的控制权。在 XX 单位存在各种 WWW 服务,这些服务协议或多或少存在安全隐患。FTP一些 FTP 服务器的缺陷会使服务器很容易被错误的配置,从而导致安全问题,如被匿名用户上载的木马程序,下载系统中的重要信息(如口令文件)并导致最终的入侵。有些服务器版本带有严重的错误,比如可以使任何人获得对包括 root 在内的任何帐号的访问。网络中主要系统的安全风险2.7.设备及系统安全分析整个系统中网络设备主要采用路由器设备,有必要分析这些设备的风险。路由器是 XX 单位网络的核心部件
19、,路由器的安全将直接影响整个网络的安全。1路由器所存在的主要安全风险:路由器缺省情况下只使用简单的口令验证用户身份,并且远程 TELNET 登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数的尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,因此,路由器对于谁曾经作过什么修改,系统没有跟踪审计的能力。路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击做准备的目的。针对这种情况,必须采取措施,有效防止非法对网络设备访问。2T
20、CP/IP 风险:系统采用 TCP/IP 协议进行通信,而因为 TCP/IP 协议中存在固有的漏洞,比如:针对 TCP 序号的攻击,TCP 会话劫持,TCP SYN 攻击等。同时系统的DNS 采用 UDP 协议,因为 UDP 协议是非面向连接的协议,对系统中的 DNS等相关应用带来安全风险。3数据库系统安全分析数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发展而不断深化。不法份子利用已有的或者更加先进的技术手段通常对数据库进行伪造数据库中的数据、损坏数据库、窃取数据库中的数据。如何保证和加强数据库系统的安全性和
21、保密性对于网络的正常、安全运行至关重要。4Unix 系统的安全分析UNIX 系统安全具有如下特征: 操作系统可靠性:它用于保证系统的完整性,系统处于保护模式下,通过硬件和软件保证系统操作可靠性。 访问控制:允许通过改变用户安全级别、访问权限,具有统一的访问控制表。 对象可用:当对象不需要时应该立即清除。 个人身份标识与认证:它主要为了确定身份,如用户登陆时采用扩展的DES 算法对口令进行加密。 审计:它要求对使用身份标识和认证的机制,文件的创建,修改,系统管理的所有操作以及其他有关安全事件进行记录,以便系统管理员进行安全跟踪。 往来文件系统:UNIX 系统提供了分布式文件系统( DFS)的网络
22、安全。5Windows NT 系统的安全分析Windows NT 的安全机制的基础是所有的资源和操作都受到选择访问控制的保护,可以为同一目录的不同文件设置不同的权限。这是 NT 的文件系统的最大特点。NT 的安全机制不是外加的,而是建立在操作系统内部的,可以通过一定的设置使文件和其他资源免受在存放的计算机上工作的用户和通过网络接触资源的用户的威胁(破坏、非法的编辑等) 。安全机制甚至包含基本的系统功能,例如设置系统时钟。对用户帐号、用户权限及资源权限的合理组合,可以有效地保证安全性。通过一系列的管理工具,以及对用户帐号、口令的管理,对文件、数据授权访问,执行动作的限制,以及对事件的审核可以使
23、Windows NT 达到 C2 级安全。在网络中,有三种方式可以访问 NT 服务器:(1)通过用户帐号、密码、用户组方式登录到服务器上,在服务器允许的权限内对资源进行访问、操作。这种方式的可控制性较强,可以针对不同的用户。(2)在局部范围内通过资源共享的形式,这种方式建立在 NETBIOS 的基础之上。通过对共享资源的共享权限的控制达到安全保护。但不能针对不同的用户,当一个用户在通过共享对某一个资源进行操作时(这时共享权限有所扩大) ,其他用户趁虚而入,而造成对资源的破坏。(3)在网络中通过 TCP/IP 协议,对服务器进行访问。目前典型应用有FTP、 HTTP、WWW 等。通过对文件权限的
24、限制和对 IP 的选择,对登录用户的认证可以在安全性上做到一定的保护。由于 Windows NT 系统的复杂性,以及系统的生存周期比较短,系统中存在大量已知和未知的漏洞,一些国际上的安全组织已经发布了大量的安全漏洞,其中一些漏洞可以导致入侵者获得管理员的权限,而另一些漏洞则可以被用来实施拒绝服务攻击。 6管理系统的安全风险管理系统的安全风险除了上面提到的系统风险之外,系统之间,特别是其他单位和 XX单位网络之间存在很大的安全隐患。系统结构复杂、管理难度大,存在各种服务,哪些服务对哪些人是开放的、哪些是拒绝的都没有一定的安全划分。必须防止内部不相关人员非法访问安全程度要求高的数据,而且整个系统的
25、正常运行也是保证银行系统日常工作正常进行的一个十分重要的方面。必须限制管理系统内各个部门之间访问权限,维护各个系统的安全访问。而由于整个系统是一个体系,任何一个点出现安全问题,都可能给相关人员带来损失。7业务网络的安全风险业务网络的安全程度要求是最高的,目前在 XX 单位网络内部运行的业务繁多,同时各其他单位通过 XX 单位网络也运行相关业务,给整个系统带来了很大的安全隐患。这种隐患可能来自 XX 单位网络内部,也可能来自 XX 单位网络外部。特别是外部,必须采取有效的措施控制和隔离 XX 单位网络与其他单位的网络互连,监控 XX 单位网络与其他单位之间的网络通信,限制对方对 XX 单位网络资
26、源访问范围,权限,防范可能来自对方的安全威胁。保证内部系统安全。3. 方正数码防火墙解决方案3.1.本方案设计的原则和目标1从网络安全整个体系考虑,本次防火墙选择原则是:安全性:防火墙提供一整套访问控制/防护的安全策略,保证系统的安全性;开放性:防火墙采用国家防火墙相关标准和网络安全领域相关技术标准;高可靠性:防火墙采用软件、硬件结合的形式,保证系统长期稳定、安全运行;可扩充性:防火墙采用模块化设计方式,方便产品升级、功能增强、调整系统结构;可管理性:防火墙采用基于 windows 平台 GUI 模式进行管理,方便各种安全策略设置;可维护性:防火墙软件维护方便,便于操作管理;2通过在 XX 单
27、位网络系统中设置防火墙的安全措施将达到以下目标:保护基于 XX 单位网络的业务不间断的正常运作。包括构成 XX 单位网络的所有设施、系统、以及系统所处理的数据(信息) 。XX 单位的重要信息在可控的范围内传播,即有效的控制信息传播的范围,防止重要信息泄露给 XX 单位外部的组织或人员。解决网络的边界安全问题保证网络内部的安全实现系统安全及数据安全在用户和资源之间进行严格的访问控制(通过身份认证,访问控制)建立一套数据审计、记录的安全管理机制(网络数据采集,审计)融合技术手段和行政手段,形成全局的安全管理。为了解决人民银行内联网面临的安全问题,有必要建立一整套安全机制,包括:访问控制、入侵检测等
28、多个方面。信息系统的安全是一个复杂的系统工程,涉及到技术和管理等多个层面。为达成以上目标,方正数码在充分调研和分析比较的基础上采用合理的技术手段和产品以构建一个完整的安全技术体系,同时通过与 XX 单位的共同工作,协助 XX 单位建立完善的安全管理体系。3.2.防火墙选型防火墙是网络安全领域首要的、基础的设施,它对维护内部网络的安全起着重要的作用。利用防火墙可以有效地划分网络不同安全级别区域间的边界,并在边界上对不同区域间的访问实施访问控制、身份鉴别、和安全审计等功能。防火墙按实现的方式不同,其基本类型有:包过滤型、代理(应用网关)型和复合型。复合型防火墙是在综合动态包过滤技术和代理技术的优点
29、的情况下采取的一种更加完善和安全的防火墙技术。其功能强大,是未来防火墙技术发展的一个主要趋势。综合考虑人民银行网络安全实际情况,在本方案中采用方正数码的方正方御(FG-P)复合型防火墙,放置在 XX 单位与其他单位连接的各个叶节点。3.2.1. 防火墙设置及工作模式根据 XX 单位网络防火墙要求和实际情况,防火墙整体布局如下:插入图片在 XX 单位与其他单位有连接的点采用防火墙技术。每个节点防火墙设置具体如下图:插入图片1. 防火墙提供三个接口:内网、外网、DMZ;2. 防火墙工作在路由模式,对外采用 NAT 技术,隐藏内部真实地址;3. 将对外服务的各种服务设备放置在 DMZ 区域,和内部网
30、络严格区分开,保证内部系统安全。考虑到安全问题,系统中的结构需要调整,将原来其他单位对 XX 单位内部网络的访问调整到对 DMZ 的访问。不轻易允许其他单位对 XX 单位内部网络进行访问。3.2.2. 防火墙功能设置及安全策略规则控制:通过方正方御防火墙提供的基于 TCP/IP 协议中各个环节进行安全控制,生成完整安全的访问控制表,这个表包括: 外网对 DMZ 内服务访问控制。将外部对内部、DMZ 内服务访问明确限制,防止非法对内部重要系统,特别是业务系统的访问。利用 DMZ 的隔离效果,尽量将对外服务的部分服务器放置在 DMZ 区域,通过 NAT 方式,保护内部网络免受攻击。关闭操作系统提供
31、的除需要以外的所有服务和应用,防止因为这些服务和应用自身的漏洞给系统带来的风险。对内部 E-mail、 FTP、 WWW、数据库的访问做严格的规划和限制,防止恶意攻击行为发生。 内部网络:内部网络对外部网络的访问也要进行严格的限制。防止内部员工对外网资源的非法访问。对内部员工对外访问采用 NAT 方式访问。同时内部员工对 DMZ 区域服务器访问也必须做限制。内部员工对外网 WWW 访问采用代理方式。 DMZ 访问:通常情况下 DMZ 对外部和内部都不能主动进行访问,除非特殊的应用需要到内部网络采集数据,可以有限地开放部分服务。借助方正方御防火墙提供的基于状态包过滤技术对数据的各个方向采用全面安
32、全的技术策略,制定严格完善的访问控制策略保证从 IP 到传输层的数据安全。针对 XX 单位系统中的网络风险可以通过严格的访问控制表来进行限制。3.2.3. IPMAC 地址捆绑:方正方御防火墙提供灵活而方式多种的内部网络、DMZ 区域、外部网络IPMAC 地址捆绑功能,将每台机器的 IP 地址和它自身的物理地址捆绑,有效防止内部网络、DMZ 区域、外部网络的 IP 地址盗用(该功能实质是将网络协议第二层地址和第三层地址进行捆绑,达到一定的安全级别) 。内部系统应该尽量采用固定 IP 分配方案。通过 IPMAC 地址捆绑,也可以对后期数据日志分析带来一定的方便性。3.2.4. URL 拦截:在
33、XX 单位网络上存在各种需要对外保密的信息。方正方御防火墙实现了透明的 URL 拦截功能,对通过防火墙的应用层 URL 进行严格的控制和管理,按照用户的要求进行拦截。外部对 DMZ、内部 URL 访问进行控制,同时也可以限制内部网络对外部网络 URL 非法访问。在该方案中我们将对内部网络和外部网络情况具体了解,对 URL 拦截达到页面级别。有效保护 www 应用的安全。3.2.5. 内置入侵检测(IDS)方正数码公司和国际网络安全组织合作,能够实时获得最新系统入侵库代码,动态地将这些攻击技术的解决方案加入到方正方御防火墙中,同时在方正方御防火墙内部采用 3I 技术,加速应用层安全防护查询过程。
34、方正方御防火墙目前能够支持 1500 种以上的入侵检测并能够成功阻断这样的攻击行为,比如最近的红色代码。针对各种攻击行为,比如 TCP 序列号攻击、劫持、碎片攻击、端口扫描能够识别阻断。而这个数据库可以实时更新、升级。升级在方正方御防火墙界面即可完成。IDS 和访问策略形成互动。通过防火墙嵌入的 IDS 功能能够有效防范对内部 Windows/NT,Unix 系统的攻击行为。3.2.6. 代理服务方正方御防火墙对外提供代理服务功能,XX 单位内部网络对外访问可以通过防火墙提供的代理服务功能,同时代理服务可以针对 URL,SSL,FTP 进行应用拦截,防止内部人员对外网的非法访问。3.2.7.
35、NAT 地址转换将 XX 单位内部网络和 DMZ 区域网络地址通过 NAT 方式转换,隐藏真实IP 地址,防止内部网络受到攻击。具体转换方式就是将内部网络和 DMZ 区域机器的地址全部转换成防火墙外网卡地址,对外 XX 单位只有一个地址。而借助防火墙的多映射功能,可以将对外的同一地址映射为内部网络和 DMZ 区域不同服务的不同端口。3.2.8. 日志系统及系统报警方正方御防火墙提供强大的日志系统,将通过防火墙的数据、防火墙管理数据、流量、各种攻击行为统计集成到一起。同时系统提供针对各种统计结果按照用户要求进行报表打印。针对通过防火墙数据,可以按照数据类型、地址进行统计分析。针对各种管理数据,防
36、火墙进行详细记录,网管人员可以方便的查看对防火墙管理情况。如果有内部人员对防火墙访问,可以通过管理数据进行查询。流量统计:防火墙提供流量统计功能,可以按照用户名称、地址等多种方式进行统计。系统报警:当有人非法对内部网络或者外部网络进行访问的时候,系统的实时报警会通过 E-mail 和声音进行报警。同时对各种非法的访问和攻击行为进行记录。通过强大的日志系统和实时报警、日志报警等多种方式保证 XX 单位内部网络出现安全问题时可以有资料分析;同时也可以通过对日志系统的分析完善系统安全策略。3.2.9. 带宽分配,流量管理在 XX 单位网络上运行着部分重要的业务数据,这些业务数据实时性要求高,必须保证
37、这样的数据具有优先权限,防止因为带宽问题影响 XX 单位的应用。方正方御防火墙可以针对 XX 单位实际情况,对部分特殊应用提供带宽管理。给特殊应用分配相对高的带宽。同时方正方御防火墙提供流量管理功能,对内部网络用户对外网的访问可以提供流量限制。3.2.10. 集中管理针对 XX 单位网络覆盖面广、区域跨度大的特点,防火墙需要集中管理和控制。方正方御防火墙提供集中管理机制,支持远程管理。利用 NT 域的概念和技术,方正方御防火墙可以对同一个域内的不同防火墙进行同时管理。我们考虑在 XX 单位的总行以及各个大区行采取集中管理机制。按照防火墙的分权原则,将策略管理放置在各个防火墙节点。策略整体由 X
38、X 单位总行策划,各个节点自己进行策略管理。而系统管理和日志查询放置在各个大区行,统一管理、分析。防火墙提供管理接口,同时支持远程管理,管理数据采用 RC4/MD5方式加密,可以有效保证管理的安全性,同时管理数据只在 XX 单位网络流动。而防火墙自身可以对管理员地址进行严格限制。3.2.11. 预制模板XX 单位网络复杂,但是结构清晰,为了更好的维护整个系统安全和适应 XX 单位统一管理、安全强度一致的原则,方正方御防火墙提供预制模板功能。可以通过 XX 单位统一制订一个策略模板,各个节点网络在这个模板基础上进行规划,简化管理过程,使得系统管理难度降低。3.2.12. H.323 支持XX 单
39、位网络运行着视频会议数据(H.323) 。方正方御防火墙能够准确识别 H.323 数据流,让数据合法通过。按照正常的状态检测技术,H.323 数据可能被阻断。在方正方御防火墙内部成功的进行了 UDP、TCP 数据同步分析。系统能够识别 H.323 连接,保证 H.323 数据通过。3.2.13. 系统升级网络安全技术随着网络技术发展不断变化,而网络安全策略和软件也不能一成不变,需要不断升级。方正方御防火墙管理界面提供方便的系统升级和 IDS 升级功能。保证 XX 单位防火墙产品实时和网络安全领域技术同步,防止因为新的安全问题给系统带来的安全风险。其中,特别是 IDS 功能,几乎每天都有新的安全
40、风险和攻击软件出现。方正防火墙内嵌IDS 功能模块可以动态升级,保障 IDS 数据库和最新动态同步。3.2.14. 双机备份网络安全、稳定长期运行是 XX 单位最终目标,而网络硬件可能因为一些特殊原因发生故障。方正方御防火墙提供双机备份功能,采用两种方式进行备份检测,软件方式借用 HSRP 技术动态跟踪各个区域运行状态,发现任何一个区域出现问题即刻进行切换。硬件方式采用心跳线方式,当系统检测到故障,也将进行切换。而系统的切换不影响 XX 单位的业务。两台防火墙工作在互备模式中。防火墙方案特点本次 XX 单位网络防火墙主要设置在和其他单位连接的节点上。本方案中,我们主要根据XX 单位网络实际情况
41、,针对防火墙的特殊性,从如下几个方面考虑3.2.15. 保障系统安全性防火墙放置在内外网之间用来隔离内部网络和外部网络,对内外网络的通信进行严格的管理和监控,防火墙必须提供全面的安全策略保证内部系统安全。因此方正方御防火墙提供全面的访问控制策略、IPMAC 地址捆绑、IDS 入侵检测、反电子欺骗等手段。这些功能能够有效的保障内部网络安全。同时方正方御防火墙也提供带宽管理、分配,系统报警等措施从侧面协助。3.2.16. 自身安全性防火墙作为网络系统中的一个部件,其自身的安全性也是十分重要的,考虑到实际情况,方正方御防火墙提供单独的管理接口,管理接口服务全部关闭,同时管理接口的特殊管理数据采用标准
42、加密算法和措施。XX 单位远程管理过程中数据通过 XX 单位网络进行管理能够有效的保证管理的安全性。同时,利用 Windows NT 中域技术,对防火墙管理时必须登录到相应的域才能对域内的用户进行管理,保障管理域安全性。而防火墙操作系统采用经过严格测试专有操作系统。3.2.17. 维护方便性管理的方便性直接关系到系统能否起到安全保护作用,方正方御防火墙提供的专有 GUI 平台,方便制订各种安全策略。3.2.18. 系统事件管理系统事件和日志的统计直接关系到整个安全平台的完善和后续责任追查等多个方面,方正方御防火墙为用户提供完整、准确的数据统计结果,供查询、打印等。4. 工程实施方案4.1.项目
43、实施原则考虑到本项目是一个涉及分布 XX 单位分支机构且对参与技术支持的单位及使用单位要求很高,所以我们认为本项目应在 XX 单位集中领导、协调,方正数码公司全力支持的情况下进行,以上是本项目实施的基本思路。合同签订阶段的工作实施本阶段应是项目实施的重要阶段,XX 单位与方正数码公司双方应协调本方相关单位, 为项目的实际进行建立起有效的协调体系及最大限度地做好准备工作。为达到上述目的,双方应做如下工作:1建立协调领导小组协调小组组成人员及联络表如下:项目组联系表部门 人员 责任分配 联系方式项目总负责防火墙负责人系统及网络部分负责人商务实施负责人说明:具体信息需 XX 单位提供。方正数码公司协
44、调小组组成人员及联络表如下:2 方正数码公司及授权服务商工作准备首先方正数码公司将防火墙发送到授权服务商处,组织服务商进行项目培训并完成防火墙规则的配置。最终发送到用户现场,由方正数码有限公司工程师安装、调试,保证系统平稳过渡,保证系统安全。授权服务商负责协助工作4.2.发货阶段的实施1. XX 单位负责:提供本方使用单位的详细信息,所需信息列表如下:用户分布及联系表单位名称 负责人 工程师 联系方式 地址 建议安装顺序 配置说明:具体信息需 XX 单位用户在到货前提供。为使安装、测试、发货工作更好地实施,上表应在合同签订阶段向方正数码公司提供。方正数码公司为做到发货清晰、准确,方正数码公司将
45、在设备包装箱上做出明显标示。标签样本如下:4.3.到货后工作的实施XX 单位组织人员在固定地点集中培训(准备培训环境) 。方正数码公司协调服务商配合 XX 单位组织的培训。方正数码公司工程师上门培训方正数码公司工程师协助 XX 单位制定防火墙实施方案及安全策略在规定时间内实施本进程表所有时间以合同签订之日开始计算,合同签订当日记作零日日期 内容 负责/参加者第 1 日 联系厂商发货获得用户技术人员培训清单XX 单位项目名称:接收单位名称:地址:联系人:电话:防火墙型号:准备培训文件和教材 方正数码培训中心布置培训场地 XX 单位、方正数码培训教师第 2 日到第 8 日 网络安全培训(具体培训安
46、排见培训方案 P 页)方正数码培训教师第 9 日 获得各单位据体网络拓扑结构,检查到货设备硬件设备清单XX 单位技术人员方正数码技术工程师第 10 日到第*日 开始工程实施 实施小组人员各 单 位 的 技 术 人 员第*日到第*日 工程终验 XX 单位实施小组人员注:以上时间安排,按照具体情况和 XX 单位的统一安排,可以作相应调整4.4.测试及验收4.4.1. 测试及验收描述在整个项目实施过程中,有 3 个重要的验收,它们是单点验收、初验和终验。下面是这三个验收通过的描述:(1)单 点 验 收 通 过 的 条 件 :设 备 数 量 与 合 同 相 符完 成 上 机 、 加 电 、 连 接 网
47、 络 及 配 置(2)移 交 (初 验 )测 试 的 定 义 : 买 方 技 术 人 员 按 各 方 商 定 好 的 测 试 项 目 及 方 法 对 系 统 进行 测 试 。 此 测 试 的 目 的 是 使 整 个 网 络 系 统 具 有 开 放 业 务 的 条 件 。 详 细 的 测 试 方 案 将和 用 户 协 商 后 确 定 。移 交 (初 验 )测 试 通 过 的 条 件 : 买 方 按 测 试 计 划 完 成 并 通 过 网 络 测 试 或 买 方 开 通 业 务 。(3)终 验 通 过 的 条 件 :没 有 出 现 双 方 认 可 的 由 于 安 全 产 品 设 备 造 成 全 网
48、 不 可 恢 复 的 瘫 痪没 有 出 现 双 方 认 可 的 由 于 安 全 产 品 设 备 造 成 单 点 不 可 恢 复 的 瘫 痪在 试 运 行 期 间 解 决 了 初 验 遗 留 的 有 关 卖 方 设 备 的 主 要 技 术 问 题 及 试 运 行 期 间 出 现 的有 关 卖 方 设 备 的 主 要 技 术 问 题 。4.4.2. 系统初验初 验 测 试 是 对 网 络 验 收 所 必 须 进 行 的 一 项 工 作,是 验 证 网 络 与 应 用 系 统 是 否 达 到 合 同 所规 定 的 要 求 的 必 要 的 手 段 。 初 验 测 试 所 需 要 进 行 的 工 作 有
49、 :4.4.2.1. 功能测试功能测试主要是为了验证所完成的网络系统是否具有合同所描述的或超过合同要求的各项功能,主要有:1. 网络的连通性测试2. 各应用系统功能的实现3. 网络管理功能的实现4. 实际数据传输的测试4.4.2.2. 性能测试性能测主要是检验所完成的网络系统的性能优劣,主要有:1. 网络的承载能力2. 各网络设备相应速度3. 各应用系统的服务提供功能和能力4.5.实施人员总调度人:马虔资深网络安全专家,现任方正数码安全服务中心服务经理曾任美国 ISS(安氏)公司资深网络安全工程师实施人:王辉现任方正数码安全服务中心高级工程师实施人:贾爽现任方正数码安全南方服务中心高级工程师实施人:韦巍现任方正数码安全北方服务中心高级工程师实施人:赵学峰现任方正数码安全南方服务中心高级工程师安全顾问:朱圣波现任方正数码资深安全服务顾问5. 培训方案为保证用户对系统的熟练掌握,方正数码公司为用户提供完善的培训课程。5.1.培训目标掌握网络安全的基本知识掌握各产品的工作原理能熟练操作配置系统能进行日常维护能熟练地根据业务需要进行一定的系统调整。5.2.培训课程TCP/IP 基础网络安全基础防火墙基础方正方御信息安全产品介绍防火墙的实施和使用防火墙规则配置分析常见故障的判断与排除5.3.培
