重庆住房基金管理中心安全系统方案.doc-道客多多

资源描述

1、重庆住房基金管理中心信息系统安全工程系统设计书二一八二一八年九月广东省技术转移中心广州市众达迅通技术有限公司地址：广州市天河龙口中路 173 号华天国际广场西苑 10 楼电话： (020-)38734097 传真：(020-)87589782 Email: 众达迅通技术有限公司 : (+86-20-)38734097 第 2 页目录1. 概述 32. 公司介绍 43. 信息安全技术介绍 53.1. 信息安全的定义 53.2. 安全的层次 53.3. 安全的目标 53.4. 系统的安全威胁 53.5. 网络安全技术 73.6. 网络隔离 83.7. 通信安全技术 93.8. 客户机安全防

2、护 104. 天网防火墙简介 114.1. 什么叫防火墙? 114.2. 防火墙的用途 114.3. 天网防火墙的目标 114.4. 天网防火墙的特点 114.4.1. 强大的数据加密技术 114.4.2. 智能的内容过滤系统 124.4.3. 创新的体系结构 144.5. 其他特点 145. 需求分析 156. 方案设计 166.1. 总体设计 166.2. 方案说明 167. 成功案例 187.1. 天网防火墙典型用户名录 187.2. 天网防火墙成功案例选登 197.2.1. 中央电视台网络安全改造工程 197.2.2. 人民日报网络安全工程 197.2.3. 南方航空公司网络平台安全改

3、造计划 197.2.4. 广东省邮电管理局网络工程 197.2.5. 广州市电信局个人主页项目 197.2.6. 珠海邮政局网上邮局工程 197.2.7. 2.15 广东省邮政局 183 网上支付系统 .19众达迅通技术有限公司 : (+86-20-)38734097 第 3 页1. 概述随着网络应用的日益广泛，各种大型企业或单位也将通过网络与用户及其他相关行业系统之间进行交流，提供各种网上的信息服务，但这些网络用户中，不乏竞争对手和恶意破坏者，这些人可能会不断地寻找系统内部网络上的漏洞，企图潜入内部网络。一旦网络被人攻破，机密的数据、资料可能会被盗取、网络可能会被破坏，给系统带来难以预测

4、的损失。因此，防火墙便成为网络安全必不可少的产品，天网防火墙在系统网络与外部网络用户之间建起了一道安全的屏障，从而有效地抵御外来攻击，防止不法分子的入侵。众达迅通技术有限公司 : (+86-20-)38734097 第 4 页2. 公司介绍广州市众达迅通技术有限公司是一家集科研、生产、经营于一体的高科技产业公司，隶属于广东省科委技术转移中心，主要从事互联网技术及网络产品的研究开发和生产，为全国的行业用户和广大的上网用户提供网络应用的软、硬件产品、解决方案以及全方位的专业技术服务。公司成立于 1998 年，以网络安全产品“天网防火墙”闻名遐尔。 “天网防火墙”是我国首个达到国际一流水平、获

5、得国家公安部、国家安全部认证的软硬件一体化网络安全产品，性能及技术指标达到甚至超过世界同类产品水平。公司还独立开发出天网负载分担服务器(SkyNet LB Server)、天网虚拟专网交换机 ( SkyNet VPN Switch)等网络应用硬件系统。在开发出国内第一套拥有自主知识产权、基于 Unix 系统的 Internet 应用开发平台的基础上，陆续开发了人民日报网络版新闻发布系统、天网实时聊天系统、天网虚拟主机系统等一系列的网络应用软件产品。公司利用雄厚的技术力量、完善的研发系统，以及丰富的实践经验，为国内的用户提供全面、高效的网络安全服务，从而改善了国内高水平网络安全服务的相对空白

6、的局面。公司的规模不断扩大，目前已在南京等地设立了分支机构，客户遍布全国各地，为全国用户的信息安全服务提供了重要的保障。作为一家网络安全的专业公司，为中央电视台、人民日报社、广州视窗、 21CN、南方航空公司等大型单位的网络安全建设提供了有力的支持，并获得普遍好评。“不断创新，共同发展” 。凝聚大批优秀技术人才的广州市众达迅通技术有限公司将以振兴中华民族的 IT 业为己任，努力为中国的网络发展及信息安全建设做出贡献！众达迅通技术有限公司 : (+86-20-)38734097 第 5 页3. 信息安全技术介绍3.1. 信息安全的定义要做好网络安全工作，首先要了解的是信息安全的定义，对

7、信息系统安全，计算机安全的定义有多种：国际标准化委员会（ISO International Standards Organization）的定义是：“为数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。 ”美国国防部国家计算机安全中心（NCSC DoD）的定义是：“要讨论计算机安全首先必须讨论对安全需求的陈述，。一般说来，安全的系统会利用一些专门的安全特性来控制对信息的访问，只有经过适当授权的人，或者以这些人的名义进行的进程可以读、写、创建和删除这些信息。 ”我国公安部计算机管理监察司的定义是： “计算机安全是指计算机资产安全，

8、即计算机信息系统资源和信息资源不受自然和认为有害因素的威胁和危害” 。3.2. 安全的层次网络系统的安全包括如下两个层次的含义：网络系统的数据与信息的安全与保密网络系统自身的安全3.3. 安全的目标网络系统安全的最终目标是要保证数据和信息的安全性。网络自身的安全是为数据和信息安全服务的。网络系统的安全性主要体现在以下几个方面：机密性：防止数据被未经授权地泄露数据完整性：防止未经授权地对数据进行修改或删除行为完整性：保证数据服务和控制的连续性3.4. 系统的安全威胁常见的安全危险是指通过技术手段对网络系统进行攻，攻击手法有一般性攻击、渗透性攻击与拒绝服务攻击。一般性攻击一般性

9、攻击主要利用用户或管理人员的疏忽、利用网络协议或主机操作系统的漏洞、利用共享传输通道的便利，对系统进行直接入侵的攻击方法。下面是一些典型的攻击方法：口令入侵搜集用户帐户资料；众达迅通技术有限公司 : (+86-20-)38734097 第 6 页如果能够获得口令文件，可对口令文件进行解密；如果用户的口令缺乏安全性，可能被轻易地被“字典攻击”猜到用户的口令；如果入侵者可以获得用户的口令，则可以冒用此用户的名义对系统进行进一步的破坏和攻击。脆弱的基于主机认证机制在 Internet 和 Intranet 上广泛使用的 TCP/IP 协议中，一些 TCP 和 UDP 服务采用的是基于主机认

10、证方式，而非基于用户认证的方式。入侵者可以利用这种脆弱的机制进行攻击：IP Spoofing：攻击者侦测出一台被信任主机，在该主机停机（或遭到拒绝服务攻击）之后，冒充该机。可以使用 IP 源路由方法，假扮成被信任的主机，许多 UNIX 主机和路由器均设置成支持源路由封包。信任主机的扩散攻击：利用主机之间的信任关系，在攻破某一台主机后，可以更加方便地攻击和它有信任关系的主机。协议攻击Internet 使用的通讯协议在设计时，并没有充分考虑到网络安全问题。而且 TCP/IP协议是完全公开的，再加上很多 UNIX 系统的内部结构包括源代码都公开，导致入侵者可以利用网络和操作系统的漏洞进行攻击。

11、人为的配置失误网络和主机的安全设置都比较复杂，管理者很容易在配置中出现失误。如果用户没有进行合适的配置，入侵者就可以轻易的进入。比如，缺省帐户的口令没有更改等等。如果系统管理人员没有对网络和操作系统的漏洞及时打补丁（patch）。入侵者就可以利用这些公开的漏洞，侵入系统。窃听和监视由于在网络的共享信道上，用明文传输的敏感数据，这些信息很可能被窃听和监视。一旦，入侵者监听到用户传输的口令，就可以入侵到系统中了。新的安全挑战随着 Internet 技术的急剧发展，如 WWW、Java、ActiveX 等技术的大量使用，新的安全问题也不断涌现。一些新的服务未经过严格的安全测试就可能开始使用。象

12、 CERT、FIRST 这样的计算机安全紧急反映组织不断发布新的攻击事件和新的漏洞；各个主机和网络厂商不断公布自己的补丁；象 2600 这样的的黑客组织和黑客站点不断出现新的攻击手法。所有这些，都对我们的安全工作提出了挑战。渗透性攻击渗透性攻击一定要通过一些特殊的计算机程序，通过将这些程序象补丁（patch）一样加载在主机上之后，通过程序自身去不断获得系统的控制权，达到破坏系统安全的目的。特洛伊木马众达迅通技术有限公司 : (+86-20-)38734097 第 7 页特洛伊木马是这样一种程序，它在正常功能的程序中，隐藏的了非授权的代码。如果正常程序在系统中运行，那么非授权代码（通常

13、是恶意代码）就获得了与正常程序同样的权限，进行破坏。计算机病毒网络应用的普及，为病毒的传播提供了方便的渠道。在越来越依赖网络的今天，由于病毒导致的系统破坏将带来巨大的损失。计算机病毒实际上是一种特殊的特洛伊木马。计算机病毒是一段可执行程序，它寄生在其他正常程序上。计算机病毒一般有两个模块：传染模块、破坏和表现模块。计算机病毒具有如下一些特点：广泛传染性潜伏性可触发性破坏性针对性衍生性攻击迅速性蠕虫蠕虫也是一种特洛伊木马。蠕虫有别于计算机病毒，它一般要寄生在计算机的操作系统中。它同病毒也有一些类似的地方，如：潜伏性、传染性、破坏性等。从一般意义上说，病毒一般多出现在 PC 世界

14、，而蠕虫多出现在 Unix 世界。拒绝服务攻击拒绝服务（denial-of-service）攻击，是通过向攻击目标施加超强力的服务要求，要求提供超出它服务能力范围需求，从而引起的攻击目标对正常服务的拒绝或服务性能大大降低。下面是一些著名的拒绝服务攻击的例子：Ping of Death：给服务器发送异常的、巨大的用来进行 ping 操作的包。它可以导致WindowsNT 系统出现蓝屏故障，而且及其状态无法恢复。 Syn-Flooder：向服务器申请一个连接，而在服务器回答后等待确认时，不进行确认。不断进行这样的操作，导致服务器的连接缓冲区溢出后服务停滞。邮件炸弹 E-mail Bom

15、b：使得攻击目标主机受到超量的电子邮件，使得主机无法承受导致邮件系统崩溃。3.5. 网络安全技术计算机网络安全技术的目的是保护以网络为代表的系统资源不受攻击影响、发现可疑的行为、对可能影响安全的事件作出反应。计算机安全技术主要包括加密技术与行动技术两个方面。加密技术的主要目标是确保数据资源的机密性、完整性。行动技术的目的还包括维持并保护数据资源的安全可用性。根据在入侵行为与入侵目标关系中研究对象的不同，行动技术可分为主动与被动两大类型：被动技术众达迅通技术有限公司 : (+86-20-)38734097 第 8 页研究的是入侵中处于被动地位的入侵目标，它的目的是提高目标自身的防御能力，主要代表

16、有： o 隔离技术：把要保护的计算机系统与较危险的外界隔离开，只允许建立安全的连接；隔离技术的中心思想是在主机或网络与外界连接之间增加检查，拒绝接受可疑的连接请求。 o 安全分析技术：扫描系统安全漏洞、模拟网络攻击，以检查系统防御能力。主动技术研究的对象是入侵行为，它尝试使计算机系统对入侵行为做出主动积极的反应，代表是近年兴起的入侵发现技术。3.6. 网络隔离最常用的网络隔离技术就是采用防火墙，防火墙可以有效地划分网络间不同的安全区域，界定不同用户的访问范围。防火墙技术概述防火墙技术的目标是保护网络的一段或整个内部网络不受外界入侵影响。防火墙将安全管理“相对”宽松的“内网”与外部

17、网络隔离开来。防火墙由一组硬件和软件的组成，用于检查网络通讯与服务请求流。它的目的是剔除通讯流中那些不符合安全标准的数据包或请求。防火墙通过包过滤、应用网关等技术，使用具有过滤功能的路由器和堡垒主机等设备，使所有涉及被保护网段的网络通讯都经过防火墙过滤或转接，对被保护网段实行访问控制，把它和外界隔离开来，达到不受外界侵犯的目的。防火墙通常是防范入侵的第一道防线，但不同的产品对恶意攻击的屏蔽程度不同，防火墙的设置也经常很复杂，设置不好的防火墙不能有效完成隔离功能，可能成为潜在的安全隐患。使用防火墙还必须保证它不能被访问绕过。比如在防火墙内部私自连入 Modem, 使连接不经过防火墙的检查，就会造

18、成隔离的破坏。防火墙的优势保护脆弱的服务：通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少网中主机的风险。如，防火墙可以禁止 NIS、NFS 服务通过。防火墙同时可以拒绝源路由和 ICMP 重定向封包。控制对系统的访问：防火墙可以实现对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。如防火墙只允许外部访问外部 Web Server。集中的安全管理和策略的制定：防火墙对企业内部网实现集中的安全管理，提供了制定和执行网络安全策略的手段。在防火墙定义的安全规则可以用于整个内部网络系统，而无需在内部网每台机器上分别设立安全策略。如防火墙可以定义不同的认证方法，

19、而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。增强的保密性：使用防火墙可以阻止攻击者获取攻击网络系统的有用信息。记录和统计网络利用数据以及非法使用数据：防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据。并且可以根据统计数据来判断可能攻击和探测。众达迅通技术有限公司 : (+86-20-)38734097 第 9 页在网络系统中的应用停火区在网络系统的 Intranet 中设立一个 DMZ（停火区）：或者称作屏蔽子网。这个停火区将网上办税系统的内部局域网和 Internet、拨号接入服务隔离开。内部网络与停火区之

20、间有防火墙来保证安全。在这里专门提供对外的公共服务，如外部 WWW 服务、外部 DNS 服务、拨号接入服务等。在 DMZ 的服务器可以使用在公网的 IP 地址，也可以通过防火墙的反向地址转换功能使用私网 IP 地址。设置路由器的包过滤功能停火区和 Internet 之间通过路由器连接。在这个路由器合理地设置包过滤功能，将停火区不提供的服务包过滤掉。比如：可以过滤掉 Internet 流向停火区的 telnet 包、SNMP包等，避免网络黑客利用这些协议进行攻击。内网划分了 VLAN，有路由器负责内部 VLAN 之间的路由。可以适当地设置内部路由的包过滤功能，避免或减少内部黑客或已经侵入内部的

21、黑客对其他为授权网络的攻击。内网和停火区之间的防火墙在网上办税系统中主要利用现有的防火墙提供强大的网络安全服务，它在保证高级的安全性能的同时，提供了良好的吞吐性、灵活性和管理特性。防火墙对 Intranet 与 Internet 进行隔离，隔离的主要内容是内部网不应提供的服务、信息及传输通道。此外它在保证高级安全性能的同时，能够提供良好的吞吐性、灵活性和管理特性。为了消除防火墙的单点故障，可以设计采用双机热备份的防火墙系统，两台防火墙一台作为主防火墙，一台作为从防火墙。正常工作时，运行主防火墙系统，当主防火墙系统发生故障时，从防火墙系统自动接替其工作，保证了防火墙系统的连续性。通过防火墙控制

22、台定义网络对象、网络资源、用户及安全规则。原则上，大楼Intranet 出口处防火墙的安全规则只定义必要的网络连接（如单向 DNS 查询、限制的http、https、ldap，仅允许 DMZ 内主机与内部网的其它必要通讯等）。3.7. 通信安全技术搭线窃听是对通信保密安全的严重威胁。在互联网出现后，由于使用者到服务器之间将经过不可预测的节点，中间极可以出现数据被窃取和被篡改的危险。解决的方法有两个方面：通过加密措施，使非法窃听者即使截获部分信息也无法理解这些信息。通过防篡改技术，使数据被篡改后可以有机制去识别被篡改的内容。综合以上的方法，目前流行的方式是采用虚拟专网（VPN）技术来实现

23、通信安全。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件：众达迅通技术有限公司 : (+86-20-)38734097 第 10 页保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。提供安全防护措施和访问控制，要有抵抗黑客通过 VPN 通道攻击企

24、业网络的能力，并且可以对 VPN 通道进行访问控制（Access Control）。3.8. 客户机安全防护网络系统中用户操作的微机多数采用 Windows 9X 操作系统。Windows 9X 操作系统的安全级别远远不如 Unix 系统和 Windows NT 系统高。除了系统本身的各种弱点外，还有许多病毒与木马系统在 Windows 上横行，如果不小心，用户的各种操作数据很容易被不法分子窃取。为了保证安全，Windows 9X 用户可以采用本公司个人级防火墙产品，保证数据安全。众达迅通技术有限公司 : (+86-20-)38734097 第 11 页4. 天网防火墙简介4.1. 什么叫防

25、火墙?讲到防火墙，很多人可能一下反应觉得是一些建筑用的东西，虽然在这里讲的防火墙的所处的位置很象是建筑上说的防火墙，不过，它却是与建筑一点关系都没有的东西。这里所说的防火墙是安装在计算机网络上，防止内部的网络系统被人恶意破坏的一个网络安全产品。4.2. 防火墙的用途Internet 技术带领我们进入新的科技信息时代。许多企业、

26、单位都纷纷建立与互联网络相连的内部网，使用户可以通过网络查询信息。这时企业Intranet 的安全性就受到了考验，网络上的不法分子不断的寻找网络上的漏洞，企图潜入内部网络。一旦 Intranet 被人攻破，一些机密的资料可能会被盗、网络可能会被破坏，给网络所属单位带来难以预测的损害。而使用了防火墙后，防火墙可以有效地挡住外来

27、的攻击，对进出的数据进行监视。此外，目前防火墙除了可以作为网络门户的保护外，还提供了许多网络连接时的应用，如包含代理服务器的功能，提高内部网络对外访问的速度；采用加密连接方式，使企业通过公网安全地传输数据等。4.3. 天网防火墙的目标长期以来，国内开发的防火墙大都只有简单的数据包过滤，只能实现简单地控制允许或不允许数

28、据的通过，而最新防火墙的关键技术都被国外所垄断，例如网络数据通道加密，网络地址转换等，美国政府甚至明令禁止这些高新技术的出口，企图以技术垄断的方式阻止别国信息产业的发展。但现在，我们可以站出来说：“中国人有了自己的防火墙！ ”在天网防火墙上，不但研究出并使用了美国政府禁止出口的 168 位加密技术，实现了高速的网

29、络地址转换功能，而且，还针对Internet 鱼龙混杂的局面，创造性地开发出了智能内容过滤系统，使到天网防火墙不单单能保护网络的安全，而且，可以令充满了黄色和反动内容的 Internet网络恢复清纯。4.4. 天网防火墙的特点4.4.1. 强大的数据加密技术在国外，利用公共的计算机信息网络，企业可以建造一个安全的内部网，连接不同地域的机构，这种技术，

30、在术语中称为虚拟专用网（ VPN），而这个技术中的关键就是一个叫 IPSEC 的数据加密技术，没有这项技术，企业在公共网络中传递的数据可以轻易地被截取和破解，等于把企业的所有秘密公之于众；然而，国外的厂商在中国推广的设备中，却没有一个提到 IPSEC 的加密技术的，众达迅通技术有限公司 : (+86-20-)38734097 第 12 页即使有顺带提到的，也会

31、推搪说暂时无法提供此技术，请耐心等候。原因很简单，这种 IPSEC 技术正是被美国政府严禁出口的高科技技术之一。我们经过努力，终于在天网防火墙的 IPSEC 加密功能上实现了 56 Bits DES、 168Bits 3DES、 MD5、 RC4、 SHA1、 IDEA 等多种加密算法。天网防火墙系统通过符合 IPSEC 标准的高保密性虚拟专用网技术，可以建立真正的虚拟专用网

32、系统，这样，系统才具有完善的安全特性，包括：真实性：与你通信的计算机主机是真正的授权后的计算机主机，而不是他人假冒的计算机。完整性：我方接收到的数据包与对方发送时是完全一致的。机密性：在数据传输过程中，数据不能被不法分子解密。在设计时 ,我们还充分考虑到防火墙系统是作为网络安全的守护者，除了考虑用户认证、

33、数据传输时数据的机密性、完整性、真实性以外，我们还考虑到不法分子在截取到加密的数据后，虽然无法将数据解密，但将数据原封不动地重新发送的可能性。因此我们在天网防火墙中加入了防止数据重演（ Replay）的功能，以杜绝这种可能性。有了天网防火墙系统，用户可以不再被迫使用功能残缺的国外网络安全产品，而网络安全也可以得

34、到真正的保护。4.4.2. 智能的内容过滤系统Internet 给我们带来了无比丰富的最新信息，改变了我们生活、工作的模式。但是， Internet 缺乏适当的监管机构，导致在网上充斥着各种色情、反动的信息，我们不能不警惕这些信息对我们的毒害，我国政府也采取了一定的防御措施。可惜面对日新月异的网络技术发展，现在的措施有点力不从心。目前存在

35、的问题主要有：目前的监管工作完全靠人手动进行，发现一个拦截一个。而且 Internet网络信息不断改变，更新速度惊人，缺少计算机的辅助和统计功能，目前的拦截功能实际上的作用并不明显。目前拦截是以一个信息点为单位，过于粗糙。通常一个 Internet 信息点上有很多不同的内容，如果单单为了防止一、两个非法的内容而禁止访问整个

36、信息点，是因噎废食的做法。虽然拦截可以禁止直接访问信息点，但是用户可以利用一种叫代理服务的技术，利用不被拦截的国外信息点收取信息后转发到国内来，令防御措施形同虚设。为了解决这个问题，我们首先对现状进行分析，得出了解决问题的关键： Internet 上虽然有无法统计数量的节点和连接，但是我们只需要对内部网络所访问的

37、信息进行监管就可以保证禁止非法信息的流入了。这使自动监控有了实现的可能。通过对使用代理服务访问的机制进行了彻底的研究，了解到这种机制的原理后，可以轻易地实现拦截。计算机必须根据具体情况，依据有效的算法对流入数据进行分析，找出最有嫌疑、的信息内容，这样才能解决问题的关键。众达迅通技术有限公司 : (+86-20-)38734097 第 1

38、3 页由于需要对所有的流入信息进行过滤，系统负担将十分沉重。监管系统必须采用并行式处理体系，采用多套系统协同工作，才能面对大量的用户访问，避免产生网络的堵塞、延误的严重后果。网络内容监管在国际上早已受到广泛的重视，许多团体已经在这个方面作了大量的工作，我们的系统必须具有有效使用这些成果的能力。 PICS 是W3C（

39、互联网页协会）推出的内容分级数据库协议，受到广泛的支持，Internet 上绝大多数的正式网页都根据 PICS 协议进行了分级。拦截服务器必须能定时从 PICS 分级数据服务器上提取数据，储存到本地数据库中，并以分级数据库作为依据，进行网络监管工作。通过对实际需要的分析，我们在天网防火墙系统中实现可以说是世界上第一套采用分布式

40、并行处理结构的计算机辅助监管、精确信息源定位拦截系统。基本功能有：智能内容分析系统 :系统对流经的网络信息进行关键字过滤，可以支持多个关键字逻辑过滤操作，同时可以根据关键字权重、重复次数计算信息的可疑程度。系统对用户访问信息的精确定位进行记录，统计访问量、可疑程度等指标，返回可疑信息源精确位置表，根据该表自

41、动将信息源精确位置加入黑名单采取拦截行动或作为系统管理员控制拦截的依据。信息监管系统 :系统可以根据黑名单和白名单对用户访问的精确信息源位置进行拦截或放行的处理，而且可以根据智能内容分析系统和统计系统的结果自动增减名单。代理服务器拦截系统系统根据代理服务器工作原理，对向代理服务器的信息访问请求进行解码分析，得

42、出真正访问位置，根据黑名单进行拦截，放行正常信息。分布并行式处理：当需要负责大量的用户访问时（如 Internet 出口），系统可以组成分布并行式处理系统，用户的访问控制工作将分布到多台防火墙服务器上。天网防火墙系统的信息监管模块使用了各种先进的办法，可以有效地拦截非法信息的流入，为用户提供一个清洁的 Internet 网络

43、，是建立 Internet 的必备工具。4.4.3. 创新的体系结构传统的防火墙多数是软件，因此，用户在购买了防火墙后，还需要购买昂贵的工作站或服务器才能够使用防火墙。而天网防火墙创新地采用了硬件一体化的体众达迅通技术有限公司 : (+86-20-)38734097 第 14 页系。而天网防火墙创新地采用了硬件一体化的设计，从底层操作系统到防火墙应用都与硬件紧密结合

44、。这种设计有两个好处：1. 系统效率高。传统软件防火墙是安装在计算机上的，由于无法控制网络底层，导致系统效率受到计算机操作系统的牵制，对网络的数据传输有较大的影响。而在天网防火墙设计时，我们针对系统特定硬件进行优化处理，底层操作系统采用汇编语言编写，防火墙应用融入系统操作系统，因此数据传输效率比同类产品高出

45、 30 60 。2. 系统安全性高。传统的软件防火墙都是基于 UNIX 或 Windows NT平台，这些操作系统平台本身容易受到黑客（ Hacker）的攻击，使防火墙所在的计算机成为网络安全的突破点。而天网防火墙采用硬件一体化结构，专用的高安全度操作系统使不法分子无从下手。4.5. 其他特点此外，天网防火墙还包含了网络信息流量控制（ QoS），透明代理

46、服务器、双向网络地址转换、针对性防御措施、负载均衡、双机热备份等功能。众达迅通技术有限公司 : (+86-20-)38734097 第 15 页5. 需求分析根据重庆住房基金管理中心信息系统安全工程需求，作如下分析：1. 内部通过划分 VLAN，防止内部网络用户对网络攻击，保证网络安全可靠。分析：完全满足。天网防火墙的网络接口可以绑定多个网段地址，最多可以支持 1024 个网段。2. 网络拓扑结构应保证安全性，提供备份迂回路由。分析：天网防火墙有备份功能扩展，可以升级为双机备份防火墙。3. 应能定期自动扫描各种服务器和数据库系

47、统以发现影响系统性能安全和设置上的漏洞。分析：该功能可以由第三方软件厂商的漏洞检测软件实现。4. 应具有对安全攻击的快速响应能力，能够在黑客对重要资源产生威胁之前识别并阻止攻击。分析：天网防火墙具有快速响应能力，能够在黑客对重要资源产生威胁之前识别并阻止攻击。5. 应能搜集、综合和分析安全软件得到的数据，自动快速的作出安全决策并进行实施。分析：天网防火墙的企业 I 型和 II 型均具有以上功能。众达迅通技术有限公司 : (+86-20-)38734097 第 16 页6. 方案设计6.1. 总体设计系统拓扑图：6.2. 方案说明根据重庆市住房基金管理中心的网络状况和应用，建议在内网的 swit

48、ch 和路由器4700 之间接天网防火墙企业 I 型，通过对防火墙的安全规则的设定可有效的保护内网服务器和工作站不受攻击。天网防火墙企业级- I 型，规格如下：License Type DescriptionSNFW-NAT unlimitedSNFW-FT-BH 网络黑洞SNFW-FT-LOG 网络数据记录Features * 基于状态检测的包过滤* 具有包过滤功能的虚拟网桥* DOS 防御网关能有效的防止各种类型的 DOS 攻击* TCP 标志位检测* 双向网络地址转换(NAT)* 流量统计与流量限制众达迅通技术有限公司 : (+86-20-)38734097 第 17 页* 网络端口可以

49、绑定多个 IP 地址* IP 地址与 MAC 地址绑定* 实时系统监控，能观察系统的运行状态及网络连接状况* 实时报警，通过拨打电话和 Email 的方式报警 (Syslog Daemon)* 系统操作记录，可以记录系统管理员的所有操作情况* 界面升级，操作方便* 网络黑洞，用于阻挡非法的网络探测* 网络数据记录, 用于记录通过防火墙的数据类型和流量实现功能：使用 NAT 把 DMZ 区的服务器和内部端口影射到 Firewall 的对外端口；允许 Internet 公网用户访问到 DMZ 区的应用服务：http、ftp、smtp、dns；允许 DMZ 区内的工作站与应用服务器访问 Internet 公网；允许内部企业用户访问 DMZ 的应用服务：http 、ftp、smtp 、dns 、pop3、https；允许内部企业用户访问或通过代理访问 Internet 公网；禁止 Internet 公网非法用户入侵内部企业网络和 DMZ 区应用服务器；禁止 Internet 公网用户对内部网络 http、ftp、telnet、tr

展开阅读全文