【正文】 備的功能，它綜合了防火墻功能、信息包驗(yàn)證和加密功能。NAT技術(shù)是將一個(gè)地址轉(zhuǎn)換為另外一個(gè)IP地址的技術(shù)，具備完整的NAT技術(shù)還可以實(shí)現(xiàn)負(fù)載均衡等功能。252。252。以下為方正FS XX防火墻的抗攻擊能力：方正FS XX防火墻會(huì)檢測并阻止 DoS 攻擊、例如、可導(dǎo)致防火墻產(chǎn)生嚴(yán)重問題的小范圍攻擊或同步大規(guī)模攻擊。252。(b)電子郵件過濾252。此功能既可防止外部網(wǎng)絡(luò)的非法入侵、又可防止內(nèi)部網(wǎng)絡(luò)中出現(xiàn)未經(jīng)授權(quán)的信息。(a)H/W方式的Mac Layer狀態(tài)檢測(b)工作原理——應(yīng)用代理，包過濾方式ApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportNetworkLinkPhysicalTelnet, FTP, HTTP Proxy 等包過濾——H/W方式的Mac Layer狀態(tài)檢測ApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportLinkPhysical包過濾Telnet, FTP, HTTP 狀態(tài)檢測 等Network硬件方式的Mac Layer狀態(tài)檢測功能可適用于包過濾的技術(shù)，同時(shí)也比應(yīng)用代理處理數(shù)據(jù)速度快，并且Mac Layer狀態(tài)檢測方法比應(yīng)用代理更有安全性。狀態(tài)檢測技術(shù)基于防火墻所維護(hù)的狀態(tài)表的內(nèi)容，確定轉(zhuǎn)發(fā)或拒絕數(shù)據(jù)包的傳送，比普通的包過濾有著更好的網(wǎng)絡(luò)性能和安全性。 ——對(duì)網(wǎng)絡(luò)結(jié)構(gòu)影響小，設(shè)備性能高。它可以通過網(wǎng)絡(luò)更新，所以比常用操作系統(tǒng)更新容易?！穹秸阑饓SXX產(chǎn)品介紹（以下防火墻介紹可以根據(jù)用戶的不同需求作不同的刪減）產(chǎn)品功能基于硬件的安全系統(tǒng)方正FS XX防火墻是一種基于硬件的專業(yè)安全系統(tǒng)。防火墻按實(shí)現(xiàn)的方式不同，其基本類型有：包過濾型、代理(應(yīng)用網(wǎng)關(guān))型和復(fù)合型?！耠p機(jī)備份FSXX防火墻具有高可用性和冗余性?！駪?yīng)用級(jí)的帶寬管理(Qos機(jī)制)FSXX防火墻系統(tǒng)為網(wǎng)絡(luò)管理者提供了監(jiān)測和管理網(wǎng)絡(luò)信息流量的手段，可以按照客戶的需求對(duì)流量進(jìn)行控制，通過設(shè)定帶寬分配權(quán)值和流量閾值，以防止帶寬資源的不正常消耗，從而使網(wǎng)絡(luò)在不同的應(yīng)用中合理分配帶寬，保證重要服務(wù)的正常運(yùn)行?！?NAT地址轉(zhuǎn)換將XX信息網(wǎng)內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域網(wǎng)絡(luò)地址通過NAT方式轉(zhuǎn)換，隱藏真實(shí)IP地址，防止內(nèi)部網(wǎng)絡(luò)受到攻擊。另外FSXX防火墻還內(nèi)置入侵檢測功能，可以實(shí)時(shí)和主動(dòng)發(fā)現(xiàn)各種攻擊行為或可疑連接，與FSXX防火墻實(shí)現(xiàn)聯(lián)動(dòng)，即防火墻可以動(dòng)態(tài)建立策略進(jìn)行實(shí)時(shí)攔截網(wǎng)絡(luò)入侵，從而實(shí)現(xiàn)主動(dòng)防御。借助方正防火墻提供的基于狀態(tài)包過濾技術(shù)對(duì)數(shù)據(jù)的各個(gè)方向采用全面安全的技術(shù)策略，制定嚴(yán)格完善的訪問控制策略保證從IP到傳輸層的數(shù)據(jù)安全。對(duì)內(nèi)部員工對(duì)外訪問采用NAT方式訪問。關(guān)閉操作系統(tǒng)提供的除需要以外的所有服務(wù)和應(yīng)用，防止因?yàn)檫@些服務(wù)和應(yīng)用自身的漏洞給系統(tǒng)帶來的風(fēng)險(xiǎn)。方正FS XX防火墻具有較強(qiáng)的日志記錄、分析，可以對(duì)流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包做詳細(xì)的記錄，這樣可以對(duì)訪問機(jī)密數(shù)據(jù)的用戶進(jìn)行跟蹤、記錄，使惡意破壞有章可尋。同時(shí)，我們方案產(chǎn)品選型時(shí)，考慮了和入侵檢測聯(lián)動(dòng)的效果，在網(wǎng)絡(luò)通訊的邊緣把入侵行為阻斷掉。無論是XX網(wǎng)絡(luò)內(nèi)部的用戶，還是XX以外的用戶，只要想訪問WEB、Mail等服務(wù)器，都必須經(jīng)過防火墻的訪問控制。數(shù)據(jù)的可靠性、安全性是用戶對(duì)于數(shù)據(jù)存儲(chǔ)系統(tǒng)最重要的考慮。防火墻的作用是對(duì)外部互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)和內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)實(shí)施訪問控制策略。對(duì)于XX網(wǎng)絡(luò)與公網(wǎng)的連接出口，首先需要使用防火墻進(jìn)行防護(hù)。此網(wǎng)絡(luò)安全解決方案解決了公網(wǎng)接入?yún)^(qū)、公網(wǎng)服務(wù)器區(qū)、內(nèi)網(wǎng)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層等不同層面存在的網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)脆弱性檢測和系統(tǒng)評(píng)估準(zhǔn)確認(rèn)識(shí)自身網(wǎng)絡(luò)系統(tǒng)的安全狀況，對(duì)于XX如何有效采取安全措施及如何正確制定安全策略是很有指導(dǎo)意義的。一旦有非正常的事件發(fā)生，便可以及時(shí)地報(bào)警或響應(yīng)，也可以根據(jù)相應(yīng)的記錄進(jìn)行事因調(diào)查和責(zé)任追蹤。而且，客戶也可以通過分析參考各個(gè)防護(hù)系統(tǒng)所反饋的信息，充分調(diào)動(dòng)人員的能動(dòng)性，逐步實(shí)現(xiàn)對(duì)自身網(wǎng)絡(luò)資源的高效管理。通過相關(guān)的科學(xué)的設(shè)計(jì)原則，本方案能達(dá)到：層層設(shè)防，立體防護(hù)，策略聯(lián)動(dòng)，管理為上的目標(biāo)。目前，很多公開的新聞表明美國國家安全局（NSA）有可能在許多美國大軟件公司的產(chǎn)品中安裝“后門”，其中包括一些應(yīng)用廣泛的操作系統(tǒng)。252。同時(shí)又由于一些網(wǎng)絡(luò)設(shè)備一旦發(fā)生故障，網(wǎng)絡(luò)便會(huì)斷開，比如防火墻、入侵檢測設(shè)備。252。252。252。Recovery(恢復(fù))災(zāi)難恢復(fù)系統(tǒng)是當(dāng)網(wǎng)絡(luò)、數(shù)據(jù)、服務(wù)受到黑客攻擊并遭到破壞或影響后，通過必要的專業(yè)技術(shù)手段（如備份、冗余等）對(duì)其加以最大程度的恢復(fù)，使系統(tǒng)恢復(fù)正常。Response（響應(yīng)）緊急響應(yīng)在安全系統(tǒng)中占有重要的地位，是解決安全潛在性問題最有效的辦法。對(duì)于一個(gè)策略體系的建立包括：安全策略的制訂、安全策略的評(píng)估、安全策略的執(zhí)行等。方正信息安全公司基于國際權(quán)威的動(dòng)態(tài)信息安全理論提出了自己的立體安全模型：P2DR2F模型，示意如下圖：P2DR2F模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運(yùn)用防護(hù)工具（如：防火墻、CA身份認(rèn)證、加密等手段）的同時(shí)，利用檢測工具（如：安全評(píng)估、入侵檢測等系統(tǒng)）了解和評(píng)估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險(xiǎn)最低”的狀態(tài)，并通過備份容錯(cuò)手段來保證系統(tǒng)在受到攻擊后的迅速恢復(fù)，通過取證系統(tǒng)來實(shí)現(xiàn)對(duì)非法網(wǎng)絡(luò)使用的追查。三元論將信息安全工作中的“管理中心”的特性突出地描述出來。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。內(nèi)部管理人員或職員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。l 于是，當(dāng)你再次開機(jī)時(shí)，并裝入一個(gè)已被病毒感染的程序，病毒將重新感染內(nèi)存并繼續(xù)感染其他正在支行的程序。l 當(dāng)你執(zhí)行另外一個(gè)程序時(shí)，病毒便將其自身附著在內(nèi)存中的文件上。該文件可能來自盤片介質(zhì)或你所在的局域網(wǎng)及互聯(lián)網(wǎng)。病毒傳播風(fēng)險(xiǎn)網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。這就要求我們必須提高服務(wù)器的抗破壞能力，防止拒絕服務(wù)（）或分布式拒絕服務(wù)（DDOS）之類的惡意攻擊，提高服務(wù)器備份與恢復(fù)、防篡改與自動(dòng)修復(fù)能力。由此就可能存在著：同事有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密. 電子郵件為網(wǎng)絡(luò)系統(tǒng)用戶提供電子郵件應(yīng)用?？梢哉f任何一個(gè)軟件系統(tǒng)都可能會(huì)因?yàn)槌绦騿T的一個(gè)疏忽、設(shè)計(jì)中的一個(gè)缺陷等原因而存在漏洞，這也是XX信息網(wǎng)信息安全的主要威脅之一。系統(tǒng)中各個(gè)節(jié)點(diǎn)有各種應(yīng)用服務(wù)，這些應(yīng)用服務(wù)提供給XX信息網(wǎng)內(nèi)部各級(jí)單位使用，如果不能防止未經(jīng)驗(yàn)證的操作人員利用應(yīng)用系統(tǒng)的脆弱性來攻擊應(yīng)用系統(tǒng)，會(huì)造成系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、非法獲得數(shù)據(jù)等。在服務(wù)器上主要有操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用軟件系統(tǒng)；路由器、交換機(jī)上也有相應(yīng)的操作系統(tǒng)。對(duì)一個(gè)網(wǎng)絡(luò)系統(tǒng)而言操作系統(tǒng)或應(yīng)用系統(tǒng)存在不安全因素，將是黑客攻擊得手的關(guān)鍵因素，因黑客攻擊某網(wǎng)絡(luò)系統(tǒng)，一般都是通過攻擊軟件掃描該網(wǎng)絡(luò)系統(tǒng)中主機(jī)是否存在安全漏洞，并通過可利用的安全漏洞進(jìn)行攻擊或控制這臺(tái)主機(jī)，為以后進(jìn)一步攻擊打下基礎(chǔ)。所以說當(dāng)連入Internet時(shí)，網(wǎng)絡(luò)便面臨著嚴(yán)重的安全威脅。建立一個(gè)完善的網(wǎng)絡(luò)防病毒系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒防護(hù)的集中控制管理。主要是保證XX信息網(wǎng)結(jié)構(gòu)的安全、在網(wǎng)絡(luò)層加強(qiáng)訪問控制能力、加強(qiáng)對(duì)攻擊的實(shí)時(shí)檢測能力和先于入侵者發(fā)現(xiàn)網(wǎng)絡(luò)中存在漏洞的能力；加強(qiáng)全網(wǎng)的病毒防范能力。結(jié)合上面XX信息網(wǎng)，主要的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要體現(xiàn)在如下幾個(gè)方面：應(yīng)用服務(wù)安全風(fēng)險(xiǎn)、內(nèi)部局域網(wǎng)風(fēng)險(xiǎn)、互聯(lián)網(wǎng)風(fēng)險(xiǎn)，我們將對(duì)XX信息網(wǎng)各個(gè)層面存在的安全風(fēng)險(xiǎn)進(jìn)行需求分析：物理設(shè)備是整個(gè)XX信息通信網(wǎng)的基礎(chǔ)，物理安全是整個(gè)XX信息通信網(wǎng)信息系統(tǒng)安全的前提。 廣域網(wǎng)絡(luò)采用TCP/IP協(xié)議。 存儲(chǔ)系統(tǒng)：配置一臺(tái)UNIX服務(wù)器作為所有數(shù)據(jù)的存儲(chǔ)，存儲(chǔ)容量為150G，最大可擴(kuò)充至1000G以上。 XX信息網(wǎng)絡(luò)以一臺(tái)路由器為出口，外部接入電信網(wǎng)。方正信息安全公司作為國內(nèi)一流的安全產(chǎn)品及服務(wù)提供商，秉承“做中國人自己的安全衛(wèi)士”的宗旨，為各行各業(yè)各層次的用戶提供專業(yè)信息化安全教育認(rèn)證課程。公司定位為“中國人自己的信息安全衛(wèi)士”和“中國人自己的網(wǎng)絡(luò)管理先鋒”。方正信息安全在全國設(shè)有30個(gè)銷售和服務(wù)平臺(tái)，遍布全國各省、市、自治區(qū)，現(xiàn)有員工近二百名，其中大學(xué)以上學(xué)歷的人員占98%，擁有碩士學(xué)位人員占30%。這就對(duì)安全廠商提出了比較高的要求，如何為用戶服務(wù)、并使用戶滿意，已經(jīng)成為每個(gè)網(wǎng)絡(luò)安全產(chǎn)品廠商和解決方案提供者需要認(rèn)真思考的問題。在信息化建設(shè)過程中，國內(nèi)用戶面臨的最大問題就是網(wǎng)絡(luò)安全服務(wù)的缺乏。行業(yè)和行業(yè)之間既存在比較大的相似之處，比如這些行業(yè)的網(wǎng)絡(luò)涉及的區(qū)域范圍比較廣泛；網(wǎng)絡(luò)規(guī)模一般比較大，而且網(wǎng)絡(luò)比較復(fù)雜；網(wǎng)絡(luò)需要內(nèi)部網(wǎng)和外部網(wǎng)隔離；網(wǎng)絡(luò)一般不和公網(wǎng)相連，都是自己的專用網(wǎng)絡(luò)。結(jié)合國內(nèi)的實(shí)際情況，網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)系統(tǒng)的多個(gè)層次和多個(gè)方面，而且它也是個(gè)動(dòng)態(tài)變化的過程，因此，國內(nèi)的網(wǎng)絡(luò)安全實(shí)際上是一項(xiàng)系統(tǒng)工程。安全包括其上的信息數(shù)據(jù)安全，日益成為與公安、司法、軍隊(duì)、企業(yè)、個(gè)人的利益息息相關(guān)的“大事情”。2005 方正信息安全技術(shù)有限公司3目 錄第一章 前言 3 概述 3 4 4 4 5 5 5第二章 XX網(wǎng)絡(luò)系統(tǒng)安全需求分析 6 6 XX信息網(wǎng)安全需求分析 7 7 7 8 8 8 9 12第三章XX信息網(wǎng)安全解決方案設(shè)計(jì)與組成 13 13 XX信息網(wǎng)安全系統(tǒng)設(shè)計(jì)的原則和目標(biāo) 15 16 17 19 19 19 20 21 23 32 3內(nèi)網(wǎng)和公網(wǎng)服務(wù)器區(qū)同時(shí)防護(hù) 33 用戶的需求指標(biāo)與功能響應(yīng) 33 35 防病毒網(wǎng)關(guān)子系統(tǒng)設(shè)計(jì) 38 38 40 41 41 42 42 42 42 45 46 46 47 47 XX信息網(wǎng)現(xiàn)狀和需求分析 47 48 52第四章 售后服務(wù) 59 59 62 第一章 前言 概述隨著我國信息化建設(shè)的快速發(fā)展，各級(jí)單位和部門都正在建設(shè)或者已經(jīng)建成自己的信息網(wǎng)絡(luò)，而隨之而來的網(wǎng)絡(luò)安全問題也日益突出。所以，我們必須從網(wǎng)絡(luò)安全可能存在的危機(jī)入手，分析并提出整體的網(wǎng)絡(luò)安全解決方案。現(xiàn)有網(wǎng)絡(luò)安全解決方案涉及的行業(yè)主要集中于政府、軍隊(duì)、電信和金融部門。同時(shí)，網(wǎng)絡(luò)安全服務(wù)在行業(yè)領(lǐng)域已逐漸成為一種產(chǎn)品。服務(wù)水平的高低，在一定程度上反映了廠商的實(shí)力，廠商的安全管理水平也成為阻礙用戶對(duì)安全問題認(rèn)識(shí)的一個(gè)主要方面。方正信息安全技術(shù)有限公司（以下簡稱方正信息安全）總部位于北京，控股了兩家公司：方正盼達(dá)信息安全技術(shù)有限公司和方正未來信息安全技術(shù)有限公司，擁有兩個(gè)專業(yè)研發(fā)機(jī)構(gòu)：信息安全研發(fā)中心和網(wǎng)絡(luò)管理研發(fā)中心。這些產(chǎn)品多次受到國家有關(guān)部門的肯定，達(dá)到了國內(nèi)領(lǐng)先，國際先進(jìn)的水平。目前方正信息安全在國內(nèi)的代理商數(shù)目達(dá)到一百多家，已經(jīng)形成最具廣泛代表性的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理產(chǎn)品銷售網(wǎng)絡(luò)。第二章 XX網(wǎng)絡(luò)系統(tǒng)安全需求分析（此圖需要根據(jù)具體情況更改）XX網(wǎng)絡(luò)拓?fù)涫疽鈭D網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明 （這里需要根據(jù)實(shí)際情況具體分析）216。216。216。因此通過對(duì)XX信息網(wǎng)安全風(fēng)險(xiǎn)三方面內(nèi)容的分析，提出全面的綜合防護(hù)措施，可以有效降低安全風(fēng)險(xiǎn)。并通過數(shù)字簽名及認(rèn)證技術(shù)來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸?shí)性、機(jī)密性、可靠性及完整性。在XX信息網(wǎng)上，一般來說，只允許內(nèi)部用戶訪問Internet上的HTTP、FTP、TELNET、郵件等服務(wù)，而不允許訪問更多的服務(wù)；更進(jìn)一步的是要能夠控制內(nèi)部用戶訪問外部的非授權(quán)色情暴力等非法網(wǎng)站、網(wǎng)頁，以防單位職工利用網(wǎng)絡(luò)之便上黃色網(wǎng)站、炒股、聊天、打網(wǎng)絡(luò)游戲等，導(dǎo)致工作效率降低。同時(shí)網(wǎng)上有各種各樣的人，他們的意圖也是形形色色的。系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。在整個(gè)XX信息網(wǎng)系統(tǒng)中，包含的設(shè)備有各種服務(wù)器、路由器/交換機(jī)、工作站等。操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手，如果進(jìn)行安全配置，比如：填補(bǔ)安全漏洞、關(guān)閉一些不常用的服務(wù)、禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時(shí)間，因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)，并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小做出相應(yīng)的安全解決方案。軟件的漏洞或者“后門”隨著軟件類型的多樣化，軟件上的漏洞也是日益增加，一些系統(tǒng)軟件、桌面軟件等等都被發(fā)現(xiàn)過存在安全隱患。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共享、打印機(jī)共享等。系統(tǒng)中的BUG，使得黑客可以遠(yuǎn)程對(duì)公開服務(wù)器發(fā)出指令，從而導(dǎo)致對(duì)系統(tǒng)進(jìn)行修改和損壞，包括無限制地向服務(wù)器發(fā)出大量指令，以至于服務(wù)器“拒絕服務(wù)”，最終引起整個(gè)系統(tǒng)的崩潰。對(duì)于XX信息網(wǎng)信息通信網(wǎng)來說，數(shù)據(jù)丟失、破壞、被修改或泄漏等情況都是不允許發(fā)生的。l 首先，你一定把一個(gè)感染的文件裝入計(jì)算機(jī)內(nèi)存。本質(zhì)上，病毒是在內(nèi)存中等待新的載體，就仿佛感冒病毒漂浮在空氣中