【正文】 和保護(hù) DMZ區(qū) WEB站點(diǎn)的 CheckPoint防火墻一臺(tái)。這種攻擊方法的重要變化的前提是需要企業(yè)防火墻不僅提供訪問(wèn)控制和網(wǎng)絡(luò)級(jí)攻擊保護(hù)，還要提供對(duì)應(yīng)用程序行為的復(fù)雜智能技術(shù)以抵御攻擊和入侵。對(duì)于其它連接用戶，僅開(kāi)放 DMZ 區(qū) 80、 25 和 110端口，并在 WEB 服務(wù)器上配置 HTTPS服務(wù)。三個(gè)百兆接口分別連接 DMZ、外部接入網(wǎng)和 Inter。 防火墻 Inter接口對(duì)安裝有 VPN客戶端的稅務(wù)移動(dòng)終端進(jìn)行證書(shū)驗(yàn)證并加密，驗(yàn)證通過(guò)的用戶將通過(guò) DHCP 分配訪問(wèn)內(nèi)網(wǎng)的 VLAN 地址、 DNS等參數(shù)，然后開(kāi)放對(duì)內(nèi)網(wǎng)核心防火墻的訪問(wèn)權(quán)限，該訪問(wèn)以NAT方式配置。目前最流行的動(dòng)態(tài)檢測(cè)技術(shù)包括入侵檢測(cè)技術(shù)、網(wǎng)站實(shí)時(shí) 37 保護(hù)技術(shù)和防病毒技術(shù)。它的“攝像頭”連接在網(wǎng)絡(luò)的主要節(jié)點(diǎn)上，偵聽(tīng)、分析網(wǎng)絡(luò)流量；它的“監(jiān)視器”安裝在網(wǎng)絡(luò)安全管理員的主機(jī)上，以便隨時(shí)發(fā)覺(jué)網(wǎng)絡(luò)中的入侵行為。 網(wǎng)絡(luò)傳感器 監(jiān)測(cè)所在網(wǎng)段的所有流量，能產(chǎn)生各類(lèi)報(bào)警事件，并具有部分響應(yīng)功能。主機(jī)入侵檢測(cè)可以實(shí)現(xiàn)對(duì)注冊(cè)表、關(guān)鍵文件、事件日志和撥號(hào)狀態(tài)等方面的監(jiān)測(cè)功能。 基于網(wǎng)絡(luò)的傳感器將以網(wǎng)絡(luò)數(shù)據(jù)包形式將信息發(fā)送到入侵監(jiān)測(cè)系統(tǒng)的檢測(cè)器，進(jìn)一步做攻擊分析。 發(fā)現(xiàn)攻擊行為后，入侵監(jiān)測(cè)系統(tǒng)的響應(yīng)器將根據(jù)預(yù)先設(shè)定的響應(yīng)方式對(duì)攻擊行為做出響應(yīng)，如 中斷 TCP會(huì)話、偽造 ICMP應(yīng)答、通過(guò)防火墻阻斷 等。 防病毒系統(tǒng)設(shè)計(jì) 防毒體系的建立并不單純只是幾種防毒產(chǎn)品的堆積，它的重點(diǎn)在 39 于要針對(duì)現(xiàn)有的網(wǎng)絡(luò)環(huán)境，對(duì)網(wǎng)絡(luò)中所有可能存在的病毒侵入點(diǎn)進(jìn)行詳細(xì)的分析，針對(duì)每一個(gè)可能的入侵點(diǎn)進(jìn)行層層防護(hù)，對(duì)癥下藥，真正使之成為“安全的”企業(yè)網(wǎng)絡(luò)。如果此客戶機(jī)再去訪問(wèn)企業(yè)網(wǎng)絡(luò)內(nèi)的其他資源，它就會(huì)把這些病毒繼續(xù)傳播下去。 在防病毒體系的設(shè)計(jì)上以上四個(gè)環(huán)節(jié)必須予以考慮。 40 4. 應(yīng)該能夠在各條可能感染病毒的途徑上防止病毒。 6. 對(duì)已感染的病毒文件，能夠通過(guò)先 進(jìn)的修復(fù)工具保證文件免受損害。 病毒定義碼和掃描病毒引擎的更新必須快速方便。 從 XX 地稅的應(yīng)用環(huán)境來(lái)看，可以考慮部署以下防毒體系，首先 41 在內(nèi)網(wǎng)建立 TVCS 病毒集中控制系統(tǒng)，該系 統(tǒng)能管理整個(gè)網(wǎng)絡(luò)環(huán)境中的所有殺毒組件，包括客戶端殺毒系統(tǒng)，郵件殺毒系統(tǒng)以及網(wǎng)關(guān)殺毒系統(tǒng)等，制定并監(jiān)督防毒策略的執(zhí)行，可實(shí)現(xiàn)全網(wǎng)范圍一致的殺毒策略，避免遺漏任何病毒，該系統(tǒng)能定義定時(shí)病毒全網(wǎng)升級(jí)、定時(shí)殺毒等一系列防毒策略，這也減輕了管理員的工作負(fù)擔(dān)。在 DMZ 區(qū)我們針對(duì)郵件服務(wù)建立內(nèi)置于郵件服務(wù)器的郵件網(wǎng)關(guān)防毒系統(tǒng)，該系統(tǒng)以透明方式實(shí)時(shí)清除郵件附件病毒以及宏病毒將報(bào)警信息郵寄管理員并自動(dòng)跟蹤病毒來(lái)源。偉思公司的技術(shù)支持 Email為： 網(wǎng)站支持 各安全廠商將提供在公司網(wǎng)站上發(fā)布有關(guān)產(chǎn)品的信息，如FAQ、產(chǎn)品使用交流 BBS、支持信息等對(duì)客戶進(jìn)行知識(shí)服務(wù)。在確認(rèn)需要現(xiàn)場(chǎng)支持后，按照故障級(jí)別，會(huì)采取不同級(jí)別的現(xiàn)場(chǎng)技術(shù)支持 。 44 培訓(xùn)計(jì)劃 貴單位的網(wǎng)絡(luò)管理人員和業(yè)務(wù)工作人員的培訓(xùn)是本次安全建設(shè)項(xiàng)目的重要組成部分，是實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)安全、提高安全系統(tǒng)效率的重要保證。 培訓(xùn)對(duì)象 培訓(xùn)的對(duì)象主要分為貴單位的安全管理人員、技術(shù)人員，另外，參加培訓(xùn)的人員還會(huì)有相關(guān)的代理商、集成商的技術(shù)人員等。網(wǎng)絡(luò)安全管理人員能夠在培訓(xùn)后了解一般的 安全知識(shí)，掌握防火墻、入侵檢測(cè)以及網(wǎng)絡(luò)防病毒的基礎(chǔ)理論知識(shí)，熟悉這些安全產(chǎn)品的安裝、維護(hù)，能解決一般的常見(jiàn)問(wèn)題，具備安全管理的能力。 ] 46 五、系統(tǒng)預(yù)算 序號(hào) 產(chǎn)品名稱(chēng) 規(guī)格型號(hào) 單位 數(shù)量 單價(jià) 金額 1 隔離網(wǎng)閘 VIGAP 100150 偉思隔離網(wǎng)閘（不含 WEB 和EMAILL 模塊） 臺(tái) 1 2 隔離網(wǎng)閘 ViGAP 100750 偉思隔離網(wǎng)閘（含 WEB 和EMAILL 模塊） 臺(tái) 1 3 防病毒軟件 趨勢(shì)科技防毒墻（網(wǎng)絡(luò)版 +服務(wù)器版 + 網(wǎng)關(guān) + 郵件 + 集中管理，750 用戶） 套 1 總 計(jì) 珠海經(jīng)濟(jì)特區(qū)偉思有限公司 .4 47 目 錄 一、網(wǎng)絡(luò)安全概述 ........................................................... 1 信息系統(tǒng)潛在的安全風(fēng)險(xiǎn)分析 ....................................... 1 網(wǎng)絡(luò)安全設(shè)計(jì)模型 ................................................ 4 二、 XX 市地方稅務(wù)局網(wǎng)絡(luò)安全環(huán)境分析 ......................................... 6 地稅現(xiàn)有網(wǎng)絡(luò)安全環(huán)境 ........................................... 6 目前網(wǎng)絡(luò)環(huán)境存在的安全風(fēng)險(xiǎn) ...................................... 8 重要網(wǎng)絡(luò)資源 ............................................. 8 目前采取的措施及風(fēng)險(xiǎn)分析 ................................. 8 市地方稅務(wù)局的安全目標(biāo) ........................................ 10 整體安全策略 .................................................... 12 三、 XX 地稅系統(tǒng)安全設(shè)計(jì) .................................................... 13 身份認(rèn)證及基礎(chǔ)安全服務(wù)系統(tǒng)設(shè)計(jì) ................................. 14 訪問(wèn)控制與數(shù)據(jù)加密系統(tǒng)設(shè)計(jì) ...................................... 20 VPN 系統(tǒng)設(shè)計(jì) ............................................ 22 隔離網(wǎng)閘系統(tǒng)設(shè)計(jì) ........................................ 26 內(nèi)網(wǎng)認(rèn)證環(huán)境設(shè)計(jì) ........................................ 32 防火墻設(shè)計(jì) .............................................. 33 動(dòng)態(tài)檢測(cè)系統(tǒng)設(shè)計(jì) ................................................ 36 入侵檢測(cè)系統(tǒng)設(shè)計(jì) ........................................ 37 防病毒系統(tǒng)設(shè)計(jì) .......................................... 38 四、售后服務(wù)與培訓(xùn) ........................................................ 42 售后服務(wù) ............................................................... 42 培訓(xùn)計(jì)劃 ............................................................... 44 五、系統(tǒng)預(yù)算 .............................................................. 46 。 步驟 2：用戶對(duì)培訓(xùn)中存在的問(wèn)題進(jìn)行提問(wèn)，并由培訓(xùn)教師進(jìn)行解答。偉思公司和各相關(guān)安全廠商在培訓(xùn)前會(huì)準(zhǔn)備好相應(yīng)的培訓(xùn)教材 ,包括產(chǎn)品技術(shù)培訓(xùn)教材和相應(yīng)的 PPT 文檔等，培訓(xùn)講師由偉思公司和相關(guān)廠商的資深技術(shù)人員擔(dān)任，培訓(xùn)地點(diǎn)將與貴單位協(xié)商后確定。 培訓(xùn)目的 本 次培訓(xùn)的主要目的是讓貴單位的技術(shù)人員可以系統(tǒng)地了解防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)和 ViGAP 隔離網(wǎng)閘的架構(gòu)、實(shí)現(xiàn)原理、策略設(shè)定及管理方式?？梢酝ㄟ^(guò)網(wǎng)上更新的方式進(jìn)行升級(jí)。偉思公司的網(wǎng)址為： 。如圖 所示： 42 SiI n t e r n e tW E B E m a i lD D N移 移 移 移C h e c k P o i n t F W 1D M Z地 稅 內(nèi) 部 網(wǎng)外 部 連 接 網(wǎng)對(duì) 外 服 務(wù) 網(wǎng)移 移移 移移 移 移 移移 移 移 移V i G a p 隔 離 網(wǎng) 閘移 移 移 移 移 移小 型 機(jī)CC防 病 毒 客 戶 端C郵 件 防 病 毒系 統(tǒng)V i G a p 隔 離 網(wǎng) 閘接 入 路 由 器防 病 毒 網(wǎng) 關(guān)Si 四、售后服務(wù)與培訓(xùn) 售后服務(wù) 我們提供的售后服務(wù)內(nèi)容主要包括以下幾個(gè)方面： 電話支持 提供專(zhuān)用售后服務(wù)技術(shù)電話，為用戶進(jìn)行有關(guān)產(chǎn)品使用的電話答疑和操作指導(dǎo)等。OfficeScan安裝在一臺(tái) PC 上，其客戶端要安裝到每臺(tái)客 戶機(jī)上，以后就可實(shí)現(xiàn)利用 OfficeScan 管理平臺(tái)統(tǒng)一管理各個(gè)客戶端，十分方便。 基于以上考慮，我們建議采用趨勢(shì)防病毒系統(tǒng)，其特點(diǎn)表現(xiàn)在： 采用“層層設(shè)防，集中控管”的網(wǎng)絡(luò)防毒體系結(jié)構(gòu)，其中包括客戶工作站、郵件服務(wù)器 、網(wǎng)關(guān)服務(wù)器以及集中控管工具的完整防毒產(chǎn)品線，為該體系結(jié)構(gòu)的貫徹實(shí)施提供了切實(shí)保證，將所有病毒都拒之于系統(tǒng)以外。 7. 對(duì)總體網(wǎng)絡(luò)性能的影響應(yīng)該非常小。 5. 應(yīng)具備最先進(jìn)的檢測(cè)清除病毒的功能。 2. 網(wǎng)關(guān)處實(shí)現(xiàn)對(duì) HTTP、 SMTP的自動(dòng)過(guò)濾。 ? 文件 /應(yīng)用服務(wù)器 一旦文件 /應(yīng)用服務(wù)器遭到病毒的侵害，任何訪問(wèn)此服務(wù)器上以受病毒感染的資源的客戶機(jī)，都將難逃厄運(yùn)。網(wǎng)絡(luò)中的任何一個(gè)漏洞，都將成為病毒傳播和擴(kuò)散的致命點(diǎn)，最終造成滿盤(pán)皆輸。目前關(guān)鍵的是實(shí)現(xiàn)與防火墻的聯(lián)動(dòng)， ISS 支持 OPENSEC協(xié)議，能很好地支持目前我們升級(jí)的 CheckPiont 防火墻實(shí)現(xiàn)聯(lián)動(dòng)，從而增加動(dòng)態(tài)響應(yīng)攻擊事件的能力。 入侵監(jiān)測(cè)系統(tǒng)的檢測(cè)器一旦發(fā)現(xiàn)網(wǎng)絡(luò)流量中有攻擊特征或可疑的行為，將觸發(fā)報(bào)警器向控制臺(tái)發(fā)出攻擊事件報(bào)警信息。 管理控制臺(tái)對(duì)所有的傳感器進(jìn)行統(tǒng)一的集中式管理和監(jiān)控。主機(jī)傳感器安裝在需要重點(diǎn)保護(hù)的主機(jī)上，采取分布式探測(cè)、集中報(bào)警的形式。 入侵檢測(cè)系統(tǒng)是由傳感器（ Sensor）和管理控制臺(tái) (Console)組成的分布式系統(tǒng)。 入侵檢測(cè)系統(tǒng)設(shè)計(jì) 入侵檢測(cè)（ Intrusion Detection）技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)信息系統(tǒng)中違反安全策略行為的技術(shù)。這些措施 將保證來(lái)自互聯(lián)網(wǎng)的用戶被嚴(yán)格區(qū)別以及關(guān)鍵服務(wù)的信息加密，內(nèi)網(wǎng)僅對(duì)稅務(wù)移動(dòng)用戶開(kāi)放。允許內(nèi)網(wǎng)和撥號(hào)接入用戶訪問(wèn)服務(wù)器網(wǎng)段的業(yè)務(wù)系統(tǒng)，僅允許 DMZ 區(qū)的 WEB 服務(wù)器訪問(wèn)指定的數(shù)據(jù)庫(kù)，銀行等外部網(wǎng)絡(luò)僅能連接服務(wù)器網(wǎng)段的指定系統(tǒng)，拒絕除這 些規(guī)則以外的其它訪問(wèn)請(qǐng)求，如銀行主機(jī)試圖訪問(wèn)地稅內(nèi)部網(wǎng)的行為等。 Inter訪問(wèn)：關(guān)閉所有外網(wǎng)對(duì)內(nèi)訪問(wèn)端口和服務(wù)，僅允許內(nèi)網(wǎng)訪問(wèn)請(qǐng)求通過(guò) checkpoint內(nèi)網(wǎng) LAN端口以 NAT 方式訪問(wèn)外網(wǎng)，禁止 36 所有端口對(duì) LAN 的訪問(wèn)連接，這些措施將保護(hù)地稅內(nèi)網(wǎng)避免遭到外網(wǎng)的直接攻擊。 3. 升級(jí)后的 chckpoint性能可以達(dá)到背板交換能力 ，最大支持1， 000， 000 并發(fā)連接， VPN 速率 154M/s，以及 2萬(wàn)個(gè) VPN 并發(fā)連接，這些指標(biāo)完全滿足 XX地稅的使用環(huán)境要求。 通過(guò)升級(jí) Checkponit防火墻后完全勝任以上工作： 1. 升級(jí)后的 checkpint 具有 VPN 支持能力，通過(guò) VPN1 模塊和Secureremote和 SecureClient客戶端模塊可以完成各類(lèi) VPN的部署。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。 證書(shū)格式必須兼容 V3版本，該證書(shū)以?xún)煞N方式存儲(chǔ)，對(duì)于地稅一般用戶可以將證書(shū)直接嵌入廠家提供的客戶端證書(shū)管理 33 器中。 31 所有 ViGap100設(shè)備包含以下功能： ? 反射 GAP功能 ? 支持基于標(biāo)準(zhǔn)的 UDP、 TCP協(xié)議 ? 系統(tǒng)日志和報(bào)警顯示 ? 日志存檔和備份功能 ? 流量控制特性