【正文】 備的功能，它綜合了防火墻功能、信息包驗證和加密功能。NAT技術(shù)是將一個地址轉(zhuǎn)換為另外一個IP地址的技術(shù)，具備完整的NAT技術(shù)還可以實現(xiàn)負(fù)載均衡等功能。252。252。以下為方正FS XX防火墻的抗攻擊能力：方正FS XX防火墻會檢測并阻止 DoS 攻擊、例如、可導(dǎo)致防火墻產(chǎn)生嚴(yán)重問題的小范圍攻擊或同步大規(guī)模攻擊。252。(b)電子郵件過濾252。此功能既可防止外部網(wǎng)絡(luò)的非法入侵、又可防止內(nèi)部網(wǎng)絡(luò)中出現(xiàn)未經(jīng)授權(quán)的信息。(a)H/W方式的Mac Layer狀態(tài)檢測(b)工作原理——應(yīng)用代理，包過濾方式ApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportNetworkLinkPhysicalTelnet, FTP, HTTP Proxy 等包過濾——H/W方式的Mac Layer狀態(tài)檢測ApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportLinkPhysical包過濾Telnet, FTP, HTTP 狀態(tài)檢測 等Network硬件方式的Mac Layer狀態(tài)檢測功能可適用于包過濾的技術(shù)，同時也比應(yīng)用代理處理數(shù)據(jù)速度快，并且Mac Layer狀態(tài)檢測方法比應(yīng)用代理更有安全性。狀態(tài)檢測技術(shù)基于防火墻所維護的狀態(tài)表的內(nèi)容，確定轉(zhuǎn)發(fā)或拒絕數(shù)據(jù)包的傳送，比普通的包過濾有著更好的網(wǎng)絡(luò)性能和安全性。 ——對網(wǎng)絡(luò)結(jié)構(gòu)影響小，設(shè)備性能高。它可以通過網(wǎng)絡(luò)更新，所以比常用操作系統(tǒng)更新容易?！穹秸阑饓SXX產(chǎn)品介紹（以下防火墻介紹可以根據(jù)用戶的不同需求作不同的刪減）產(chǎn)品功能基于硬件的安全系統(tǒng)方正FS XX防火墻是一種基于硬件的專業(yè)安全系統(tǒng)。防火墻按實現(xiàn)的方式不同，其基本類型有：包過濾型、代理(應(yīng)用網(wǎng)關(guān))型和復(fù)合型。●雙機備份FSXX防火墻具有高可用性和冗余性?！駪?yīng)用級的帶寬管理(Qos機制)FSXX防火墻系統(tǒng)為網(wǎng)絡(luò)管理者提供了監(jiān)測和管理網(wǎng)絡(luò)信息流量的手段，可以按照客戶的需求對流量進行控制，通過設(shè)定帶寬分配權(quán)值和流量閾值，以防止帶寬資源的不正常消耗，從而使網(wǎng)絡(luò)在不同的應(yīng)用中合理分配帶寬，保證重要服務(wù)的正常運行?！?NAT地址轉(zhuǎn)換將XX信息網(wǎng)內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域網(wǎng)絡(luò)地址通過NAT方式轉(zhuǎn)換，隱藏真實IP地址，防止內(nèi)部網(wǎng)絡(luò)受到攻擊。另外FSXX防火墻還內(nèi)置入侵檢測功能，可以實時和主動發(fā)現(xiàn)各種攻擊行為或可疑連接，與FSXX防火墻實現(xiàn)聯(lián)動，即防火墻可以動態(tài)建立策略進行實時攔截網(wǎng)絡(luò)入侵，從而實現(xiàn)主動防御。借助方正防火墻提供的基于狀態(tài)包過濾技術(shù)對數(shù)據(jù)的各個方向采用全面安全的技術(shù)策略，制定嚴(yán)格完善的訪問控制策略保證從IP到傳輸層的數(shù)據(jù)安全。對內(nèi)部員工對外訪問采用NAT方式訪問。關(guān)閉操作系統(tǒng)提供的除需要以外的所有服務(wù)和應(yīng)用，防止因為這些服務(wù)和應(yīng)用自身的漏洞給系統(tǒng)帶來的風(fēng)險。方正FS XX防火墻具有較強的日志記錄、分析，可以對流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包做詳細(xì)的記錄，這樣可以對訪問機密數(shù)據(jù)的用戶進行跟蹤、記錄，使惡意破壞有章可尋。同時，我們方案產(chǎn)品選型時，考慮了和入侵檢測聯(lián)動的效果，在網(wǎng)絡(luò)通訊的邊緣把入侵行為阻斷掉。無論是XX網(wǎng)絡(luò)內(nèi)部的用戶，還是XX以外的用戶，只要想訪問WEB、Mail等服務(wù)器，都必須經(jīng)過防火墻的訪問控制。數(shù)據(jù)的可靠性、安全性是用戶對于數(shù)據(jù)存儲系統(tǒng)最重要的考慮。防火墻的作用是對外部互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)和內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)實施訪問控制策略。對于XX網(wǎng)絡(luò)與公網(wǎng)的連接出口，首先需要使用防火墻進行防護。此網(wǎng)絡(luò)安全解決方案解決了公網(wǎng)接入?yún)^(qū)、公網(wǎng)服務(wù)器區(qū)、內(nèi)網(wǎng)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層等不同層面存在的網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)脆弱性檢測和系統(tǒng)評估準(zhǔn)確認(rèn)識自身網(wǎng)絡(luò)系統(tǒng)的安全狀況，對于XX如何有效采取安全措施及如何正確制定安全策略是很有指導(dǎo)意義的。一旦有非正常的事件發(fā)生，便可以及時地報警或響應(yīng)，也可以根據(jù)相應(yīng)的記錄進行事因調(diào)查和責(zé)任追蹤。而且，客戶也可以通過分析參考各個防護系統(tǒng)所反饋的信息，充分調(diào)動人員的能動性，逐步實現(xiàn)對自身網(wǎng)絡(luò)資源的高效管理。通過相關(guān)的科學(xué)的設(shè)計原則，本方案能達到：層層設(shè)防，立體防護，策略聯(lián)動，管理為上的目標(biāo)。目前，很多公開的新聞表明美國國家安全局（NSA）有可能在許多美國大軟件公司的產(chǎn)品中安裝“后門”，其中包括一些應(yīng)用廣泛的操作系統(tǒng)。252。同時又由于一些網(wǎng)絡(luò)設(shè)備一旦發(fā)生故障，網(wǎng)絡(luò)便會斷開，比如防火墻、入侵檢測設(shè)備。252。252。252。Recovery(恢復(fù))災(zāi)難恢復(fù)系統(tǒng)是當(dāng)網(wǎng)絡(luò)、數(shù)據(jù)、服務(wù)受到黑客攻擊并遭到破壞或影響后，通過必要的專業(yè)技術(shù)手段（如備份、冗余等）對其加以最大程度的恢復(fù)，使系統(tǒng)恢復(fù)正常。Response（響應(yīng)）緊急響應(yīng)在安全系統(tǒng)中占有重要的地位，是解決安全潛在性問題最有效的辦法。對于一個策略體系的建立包括：安全策略的制訂、安全策略的評估、安全策略的執(zhí)行等。方正信息安全公司基于國際權(quán)威的動態(tài)信息安全理論提出了自己的立體安全模型：P2DR2F模型，示意如下圖：P2DR2F模型是在整體的安全策略的控制和指導(dǎo)下，在綜合運用防護工具（如：防火墻、CA身份認(rèn)證、加密等手段）的同時，利用檢測工具（如：安全評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)姆磻?yīng)將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險最低”的狀態(tài)，并通過備份容錯手段來保證系統(tǒng)在受到攻擊后的迅速恢復(fù)，通過取證系統(tǒng)來實現(xiàn)對非法網(wǎng)絡(luò)使用的追查。三元論將信息安全工作中的“管理中心”的特性突出地描述出來。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。內(nèi)部管理人員或職員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。l 于是，當(dāng)你再次開機時，并裝入一個已被病毒感染的程序，病毒將重新感染內(nèi)存并繼續(xù)感染其他正在支行的程序。l 當(dāng)你執(zhí)行另外一個程序時，病毒便將其自身附著在內(nèi)存中的文件上。該文件可能來自盤片介質(zhì)或你所在的局域網(wǎng)及互聯(lián)網(wǎng)。病毒傳播風(fēng)險網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。這就要求我們必須提高服務(wù)器的抗破壞能力，防止拒絕服務(wù)（）或分布式拒絕服務(wù)（DDOS）之類的惡意攻擊，提高服務(wù)器備份與恢復(fù)、防篡改與自動修復(fù)能力。由此就可能存在著：同事有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密. 電子郵件為網(wǎng)絡(luò)系統(tǒng)用戶提供電子郵件應(yīng)用。可以說任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽、設(shè)計中的一個缺陷等原因而存在漏洞，這也是XX信息網(wǎng)信息安全的主要威脅之一。系統(tǒng)中各個節(jié)點有各種應(yīng)用服務(wù)，這些應(yīng)用服務(wù)提供給XX信息網(wǎng)內(nèi)部各級單位使用，如果不能防止未經(jīng)驗證的操作人員利用應(yīng)用系統(tǒng)的脆弱性來攻擊應(yīng)用系統(tǒng)，會造成系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、非法獲得數(shù)據(jù)等。在服務(wù)器上主要有操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應(yīng)用軟件系統(tǒng)；路由器、交換機上也有相應(yīng)的操作系統(tǒng)。對一個網(wǎng)絡(luò)系統(tǒng)而言操作系統(tǒng)或應(yīng)用系統(tǒng)存在不安全因素，將是黑客攻擊得手的關(guān)鍵因素，因黑客攻擊某網(wǎng)絡(luò)系統(tǒng)，一般都是通過攻擊軟件掃描該網(wǎng)絡(luò)系統(tǒng)中主機是否存在安全漏洞，并通過可利用的安全漏洞進行攻擊或控制這臺主機，為以后進一步攻擊打下基礎(chǔ)。所以說當(dāng)連入Internet時，網(wǎng)絡(luò)便面臨著嚴(yán)重的安全威脅。建立一個完善的網(wǎng)絡(luò)防病毒系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)病毒防護的集中控制管理。主要是保證XX信息網(wǎng)結(jié)構(gòu)的安全、在網(wǎng)絡(luò)層加強訪問控制能力、加強對攻擊的實時檢測能力和先于入侵者發(fā)現(xiàn)網(wǎng)絡(luò)中存在漏洞的能力；加強全網(wǎng)的病毒防范能力。結(jié)合上面XX信息網(wǎng)，主要的網(wǎng)絡(luò)安全風(fēng)險主要體現(xiàn)在如下幾個方面：應(yīng)用服務(wù)安全風(fēng)險、內(nèi)部局域網(wǎng)風(fēng)險、互聯(lián)網(wǎng)風(fēng)險，我們將對XX信息網(wǎng)各個層面存在的安全風(fēng)險進行需求分析：物理設(shè)備是整個XX信息通信網(wǎng)的基礎(chǔ)，物理安全是整個XX信息通信網(wǎng)信息系統(tǒng)安全的前提。 廣域網(wǎng)絡(luò)采用TCP/IP協(xié)議。 存儲系統(tǒng)：配置一臺UNIX服務(wù)器作為所有數(shù)據(jù)的存儲，存儲容量為150G，最大可擴充至1000G以上。 XX信息網(wǎng)絡(luò)以一臺路由器為出口，外部接入電信網(wǎng)。方正信息安全公司作為國內(nèi)一流的安全產(chǎn)品及服務(wù)提供商，秉承“做中國人自己的安全衛(wèi)士”的宗旨，為各行各業(yè)各層次的用戶提供專業(yè)信息化安全教育認(rèn)證課程。公司定位為“中國人自己的信息安全衛(wèi)士”和“中國人自己的網(wǎng)絡(luò)管理先鋒”。方正信息安全在全國設(shè)有30個銷售和服務(wù)平臺，遍布全國各省、市、自治區(qū)，現(xiàn)有員工近二百名，其中大學(xué)以上學(xué)歷的人員占98%，擁有碩士學(xué)位人員占30%。這就對安全廠商提出了比較高的要求，如何為用戶服務(wù)、并使用戶滿意，已經(jīng)成為每個網(wǎng)絡(luò)安全產(chǎn)品廠商和解決方案提供者需要認(rèn)真思考的問題。在信息化建設(shè)過程中，國內(nèi)用戶面臨的最大問題就是網(wǎng)絡(luò)安全服務(wù)的缺乏。行業(yè)和行業(yè)之間既存在比較大的相似之處，比如這些行業(yè)的網(wǎng)絡(luò)涉及的區(qū)域范圍比較廣泛；網(wǎng)絡(luò)規(guī)模一般比較大，而且網(wǎng)絡(luò)比較復(fù)雜；網(wǎng)絡(luò)需要內(nèi)部網(wǎng)和外部網(wǎng)隔離；網(wǎng)絡(luò)一般不和公網(wǎng)相連，都是自己的專用網(wǎng)絡(luò)。結(jié)合國內(nèi)的實際情況，網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)系統(tǒng)的多個層次和多個方面，而且它也是個動態(tài)變化的過程，因此，國內(nèi)的網(wǎng)絡(luò)安全實際上是一項系統(tǒng)工程。安全包括其上的信息數(shù)據(jù)安全，日益成為與公安、司法、軍隊、企業(yè)、個人的利益息息相關(guān)的“大事情”。2005 方正信息安全技術(shù)有限公司3目 錄第一章 前言 3 概述 3 4 4 4 5 5 5第二章 XX網(wǎng)絡(luò)系統(tǒng)安全需求分析 6 6 XX信息網(wǎng)安全需求分析 7 7 7 8 8 8 9 12第三章XX信息網(wǎng)安全解決方案設(shè)計與組成 13 13 XX信息網(wǎng)安全系統(tǒng)設(shè)計的原則和目標(biāo) 15 16 17 19 19 19 20 21 23 32 3內(nèi)網(wǎng)和公網(wǎng)服務(wù)器區(qū)同時防護 33 用戶的需求指標(biāo)與功能響應(yīng) 33 35 防病毒網(wǎng)關(guān)子系統(tǒng)設(shè)計 38 38 40 41 41 42 42 42 42 45 46 46 47 47 XX信息網(wǎng)現(xiàn)狀和需求分析 47 48 52第四章 售后服務(wù) 59 59 62 第一章 前言 概述隨著我國信息化建設(shè)的快速發(fā)展，各級單位和部門都正在建設(shè)或者已經(jīng)建成自己的信息網(wǎng)絡(luò)，而隨之而來的網(wǎng)絡(luò)安全問題也日益突出。所以，我們必須從網(wǎng)絡(luò)安全可能存在的危機入手，分析并提出整體的網(wǎng)絡(luò)安全解決方案?，F(xiàn)有網(wǎng)絡(luò)安全解決方案涉及的行業(yè)主要集中于政府、軍隊、電信和金融部門。同時，網(wǎng)絡(luò)安全服務(wù)在行業(yè)領(lǐng)域已逐漸成為一種產(chǎn)品。服務(wù)水平的高低，在一定程度上反映了廠商的實力，廠商的安全管理水平也成為阻礙用戶對安全問題認(rèn)識的一個主要方面。方正信息安全技術(shù)有限公司（以下簡稱方正信息安全）總部位于北京，控股了兩家公司：方正盼達信息安全技術(shù)有限公司和方正未來信息安全技術(shù)有限公司，擁有兩個專業(yè)研發(fā)機構(gòu)：信息安全研發(fā)中心和網(wǎng)絡(luò)管理研發(fā)中心。這些產(chǎn)品多次受到國家有關(guān)部門的肯定，達到了國內(nèi)領(lǐng)先，國際先進的水平。目前方正信息安全在國內(nèi)的代理商數(shù)目達到一百多家，已經(jīng)形成最具廣泛代表性的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理產(chǎn)品銷售網(wǎng)絡(luò)。第二章 XX網(wǎng)絡(luò)系統(tǒng)安全需求分析（此圖需要根據(jù)具體情況更改）XX網(wǎng)絡(luò)拓?fù)涫疽鈭D網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)說明 （這里需要根據(jù)實際情況具體分析）216。216。216。因此通過對XX信息網(wǎng)安全風(fēng)險三方面內(nèi)容的分析，提出全面的綜合防護措施，可以有效降低安全風(fēng)險。并通過數(shù)字簽名及認(rèn)證技術(shù)來保數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭浴C密性、可靠性及完整性。在XX信息網(wǎng)上，一般來說，只允許內(nèi)部用戶訪問Internet上的HTTP、FTP、TELNET、郵件等服務(wù)，而不允許訪問更多的服務(wù)；更進一步的是要能夠控制內(nèi)部用戶訪問外部的非授權(quán)色情暴力等非法網(wǎng)站、網(wǎng)頁，以防單位職工利用網(wǎng)絡(luò)之便上黃色網(wǎng)站、炒股、聊天、打網(wǎng)絡(luò)游戲等，導(dǎo)致工作效率降低。同時網(wǎng)上有各種各樣的人，他們的意圖也是形形色色的。系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。在整個XX信息網(wǎng)系統(tǒng)中，包含的設(shè)備有各種服務(wù)器、路由器/交換機、工作站等。操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手，如果進行安全配置，比如：填補安全漏洞、關(guān)閉一些不常用的服務(wù)、禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時間，因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險，并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小做出相應(yīng)的安全解決方案。軟件的漏洞或者“后門”隨著軟件類型的多樣化，軟件上的漏洞也是日益增加，一些系統(tǒng)軟件、桌面軟件等等都被發(fā)現(xiàn)過存在安全隱患。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共享、打印機共享等。系統(tǒng)中的BUG，使得黑客可以遠(yuǎn)程對公開服務(wù)器發(fā)出指令，從而導(dǎo)致對系統(tǒng)進行修改和損壞，包括無限制地向服務(wù)器發(fā)出大量指令，以至于服務(wù)器“拒絕服務(wù)”，最終引起整個系統(tǒng)的崩潰。對于XX信息網(wǎng)信息通信網(wǎng)來說，數(shù)據(jù)丟失、破壞、被修改或泄漏等情況都是不允許發(fā)生的。l 首先，你一定把一個感染的文件裝入計算機內(nèi)存。本質(zhì)上，病毒是在內(nèi)存中等待新的載體，就仿佛感冒病毒漂浮在空氣中