【正文】 用戶完全可以通過設(shè)置一定的條件來符合自己的要求。多種工作模式 方正方御防火墻可以工作在網(wǎng)橋路由兩種模式下，這樣可以方便用戶使用。方御防火墻是通過對國外防火墻產(chǎn)品的綜合分析，針對我們國家的具體應(yīng)用環(huán)境，結(jié)合國內(nèi)外防火墻領(lǐng)域里的最新發(fā)展，在面向 IDC 和中小企業(yè)的防火墻的基礎(chǔ)上，提出的一種具有強大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用的安全可靠的專用防火墻系統(tǒng)。方正數(shù)碼首先推出的就是方正方御互聯(lián)網(wǎng)安全解決方案。方正方御防火墻采用了三級權(quán)限機制，分為管理員，策略員和審計員。寧波市政府系統(tǒng)計算機專網(wǎng)核心節(jié)點市政府辦公廳網(wǎng)絡(luò)圖如下：、辦、局的安全網(wǎng)絡(luò)各區(qū)及委、辦、局的網(wǎng)絡(luò)結(jié)構(gòu)節(jié)點也同樣劃分為內(nèi)部操作（控制）區(qū)、公開信息區(qū)兩個網(wǎng)段。27 / 84維護方便性管理的方便性直接關(guān)系到系統(tǒng)能否起到安全保護作用，方正方御防火墻提供的專有 GUI 平臺，方便制訂各種安全策略。本方案中，我們主要根據(jù)寧波政府專網(wǎng)絡(luò)實際情況，針對防火墻的特殊性，從如下幾個方面考慮保障系統(tǒng)安全性防火墻放置在內(nèi)外網(wǎng)之間用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，對內(nèi)外網(wǎng)絡(luò)的通信進行嚴格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證內(nèi)部系統(tǒng)安全。其中，特別是 IDS 功能，幾乎每天都有新的安全風險和攻擊軟件出現(xiàn)。. 支持政府專網(wǎng)運行著視頻會議數(shù)據(jù)（） 。流量統(tǒng)計：防火墻提供流量統(tǒng)計功能，可以按照用戶名稱、地址等多種方式進行統(tǒng)計。電子欺騙：防火墻能夠自動識別各種電子欺騙行為并進行阻斷。有效保護 應(yīng)用的安全。借助方正方御防火墻提供的基于狀態(tài)包過濾技術(shù)對數(shù)據(jù)的各個方向采用全面安全的技術(shù)策略，制定嚴格完善的訪問控制策略保證從 IP 到傳輸層的數(shù)據(jù)安全。利用 DMZ 的隔離效果，盡量將對外服務(wù)的部分服務(wù)器放置在 DMZ 區(qū)域，通過 NAT 方式，保護內(nèi)部網(wǎng)絡(luò)免受攻擊。利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級別區(qū)域間的邊界，并在邊界上對不同區(qū)域間的訪問實施訪問控制、身份鑒別、和安全審計等功能。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機制，一方面要能讓寧波市政府系統(tǒng)計算機專網(wǎng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)。我們建議寧波市政府系統(tǒng)計算機專網(wǎng)利用基于 證書的認證體系（目前最強的認證體系）來進行認證。? 防病毒以及特洛伊木馬計算機病毒的危害不言而喻，計算機病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來，成為黑客的又一利器。安全審計跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。一旦被發(fā)現(xiàn)，則報警并作出相應(yīng)處理，同時可以根據(jù)預(yù)定的措施自動反應(yīng)，比如暫時封掉發(fā)起該掃描的 IP。防火墻最大的意義在網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略，有效的將復(fù)雜的網(wǎng)絡(luò)安全問題簡化，大大降低管理成本和潛在風險。重要信息在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍，防止重要信息泄露解決網(wǎng)絡(luò)的邊界安全問題保證網(wǎng)絡(luò)內(nèi)部的安全實現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全在用戶和資源之間進行嚴格的訪問控制（通過身份認證，訪問控制）建立一套數(shù)據(jù)審計、記錄的安全管理機制（網(wǎng)絡(luò)數(shù)據(jù)采集，審計）融合技術(shù)手段和行政手段，形成全局的安全管理。必須限制管理系統(tǒng)內(nèi)各個部門之間訪問權(quán)限，維護各個系統(tǒng)的安全訪18 / 84問。通過對共享資源的共享權(quán)限的控制達到安全保護。這是 NT 的文件系統(tǒng)的最大特點?！鯥P 欺騙 (IP Spoofing): 基于 IP 欺騙的攻擊涉及對計算機未經(jīng)授權(quán)的訪問。比如下面的一些安全隱患：■“拒絕服務(wù)”攻擊 (Denial of Service Attacks): 這些攻擊禁止系統(tǒng)向顧客提供服務(wù)，使顧客不能得到某種服務(wù)。如何保證和加強數(shù)據(jù)庫系統(tǒng)的安全性和保密性對于網(wǎng)絡(luò)的正常、安全運行至關(guān)重要。■ 每個管理員都可能使用相同的口令，因此，路由器對于誰曾經(jīng)作過什么修改，系統(tǒng)沒有跟蹤審計的能力。在寧波市政府存在各種 WWW 服務(wù)，這些服務(wù)協(xié)議或多或少存在安全隱患。這些系統(tǒng)很容易成為外部網(wǎng)絡(luò)攻擊的目標或跳板。具體情況如下：（東北大院以外）73 家單位采用物理光纖分別接入四個匯集點。11 / 842. 安全架構(gòu)分析與設(shè)計邏輯上，寧波市政府系統(tǒng)計算機專網(wǎng)將劃分為三個區(qū)域：數(shù)據(jù)發(fā)布區(qū)、局域網(wǎng)用戶、遠程其他用戶。數(shù)據(jù)篡改：在信息的共享和傳遞過程中，對信息進行非法的修改，例如，刪除系統(tǒng)內(nèi)的重要文件，破壞網(wǎng)站數(shù)據(jù)庫等。在對外部主機掃描之后，黑客就會對主機是否易受攻擊或安全有一個正確的判斷。網(wǎng)絡(luò)偵探和信息收集，在利用 Inter 開始對目標網(wǎng)絡(luò)進行攻擊前，典型的黑客將會對網(wǎng)絡(luò)的外部主機進行一些初步的探測。在隨后的不到一個月的時間里，又先后有微軟、ZDNet 和 E*TRADE 等著名網(wǎng)站遭受攻擊。作為信息安全的保障，我們在安全產(chǎn)品選型時強烈建議使用國內(nèi)自主開發(fā)的優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品，將安全風險降至最低。行業(yè)數(shù)據(jù)：科技、文化、教育、交通等方面的行業(yè)數(shù)據(jù)。第四，市7 / 84政府與市委、人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁。國 務(wù) 院 專 網(wǎng) 的 幀 中 繼 專 線 接 入 到 CISCO 路 由 器 ， 再 經(jīng) 過 防 火 墻 （ 中 科 院 的安 勝 （ ERCIST） 防 火 墻 ） ， 以 百 兆 方 式 接 入 核 心 節(jié) 點 的 接 入 交 換 機 。目前已經(jīng)完成網(wǎng)絡(luò)平臺、系統(tǒng)集成、系統(tǒng)商務(wù)標的招投標工作，正在抓緊進行網(wǎng)絡(luò)平臺建設(shè)及相關(guān)設(shè)備的訂購采購工作。專網(wǎng)內(nèi)部進行邏輯分割，采用防火墻隔離、審計檢測等措施，建立有效的網(wǎng)絡(luò)安全防范體系，以滿足國家黨政機關(guān)網(wǎng)絡(luò)可傳送普密級信息的通信安全保密要求。核心節(jié)點與 SDH 環(huán)通過物理光纖連接，把市內(nèi)和市外兩部分連通，組成完整的政府專網(wǎng)網(wǎng)絡(luò)平臺。一方面，國務(wù)院、省政府需要寧波市政府上報大量信息，如地方經(jīng)濟運行狀況、經(jīng)濟規(guī)劃、社會治安情況等；另一方面，寧波市政府也需要及時了解國家有關(guān)政策、法規(guī)的最新情況。宏觀信息：包括國際、國內(nèi)、省內(nèi)、省外、市內(nèi)、市外宏觀經(jīng)濟數(shù)據(jù)，每日信息，重要會議，重大事件。重大事件處理：綜合治理、災(zāi)害、汛情、交通等方面的文字、圖像及視頻信息。經(jīng)濟服務(wù)中心：批文、辦事程序等數(shù)據(jù)以上諸項信息內(nèi)容除已說明以外，其余都為文字、數(shù)字等形式。尤其對于政府和軍隊而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會對國家安全帶來嚴重的威脅。. 典型的黑客攻擊黑客們進行網(wǎng)絡(luò)攻擊的目的各種各樣，有的是出于政治目的，有的是員工內(nèi)部破壞，還有的是出于好奇或者滿足自己的虛榮心。黑客通常通過檢查運行 nfsd 或 mountd 的那些主機輸出的 NFS 開始入侵，有時候一些重要目錄（例如/etc，/home ）能被一個信任主機 mount。目前，黑客的主要攻擊方式有：10 / 84欺騙：通過偽造 IP 地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權(quán)使用，例如盜用撥號帳號。在上文對黑客行為的描述中，我們可以看出，網(wǎng)絡(luò)上任何一個安全漏洞都會給黑客以可乘之機。整個廣域網(wǎng)網(wǎng)絡(luò)系統(tǒng)是一個典型的星形拓樸型結(jié)構(gòu)，主要負責傳輸國家、省、市、縣政府間的文字、圖像和視頻信息。不能防止未經(jīng)驗證的操作人員利用應(yīng)用系統(tǒng)的脆弱性來攻擊應(yīng)用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。如利用公共的郵件服務(wù)器進行的郵件欺騙或郵件炸彈的中轉(zhuǎn)站或引擎；利用 sendmail 的漏洞直接入侵到郵件服務(wù)器的主機等。下面列舉了一些路由器所存在的主要安全風險：■ 路由器缺省情況下只使用簡單的口令驗證用戶身份，并且遠程 TELNET 登錄時以明文傳輸口令。16 / 84. 數(shù)據(jù)庫系統(tǒng)安全分析數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務(wù)。? 審計：它要求對使用身份標識和認證的機制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進行記錄，以便系統(tǒng)管理員進行安全跟蹤。■竊聽和重放攻擊 (Snooping and Replay Attacks): 竊聽攻擊涉及某個對網(wǎng)絡(luò)上的兩臺機器之間的通訊流進行偵聽的入侵者。針對這個部分的安全控制可以采取特殊的安全策略，同時利用相關(guān)的軟件對系統(tǒng)進行配置、監(jiān)控。在網(wǎng)絡(luò)中，有三種方式可以訪問 NT 服務(wù)器：　?。?）通過用戶帳號、密碼、用戶組方式登錄到服務(wù)器上，在服務(wù)器允許的權(quán)限內(nèi)對資源進行訪問、操作。由于 Windows NT 系統(tǒng)的復(fù)雜性，以及系統(tǒng)的生存周期比較短，系統(tǒng)中存在大量已知和未知的漏洞，一些國際上的安全組織已經(jīng)發(fā)布了大量的安全漏洞，其中一些漏洞可以導致入侵者獲得管理員的權(quán)限，而另一些漏洞則可以被用來實施拒絕服務(wù)攻擊。限制對內(nèi)部資源和系統(tǒng)的訪問范圍。首先網(wǎng)絡(luò)的安全決不僅僅是一個防火墻，它應(yīng)是包括入侵測檢（IDS） 、虛擬專用網(wǎng)（VPN）等功能在內(nèi)的立體的安全防護體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護服務(wù)，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。而從另外一個角度考慮問題， “實時監(jiān)測” ，發(fā)現(xiàn)黑客攻擊的企圖，對于網(wǎng)絡(luò)安全來說也是非常有意義的。? 安全審計管理安全審計系統(tǒng)必須實時監(jiān)測網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡(luò)入侵、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實記錄，并能對于嚴重的違規(guī)行為進行阻斷。使用 VPN 可以象管理本地服務(wù)器一樣去安全的管理遠程的服務(wù)器。21 / 84. 超高安全要求下的網(wǎng)絡(luò)保護對于寧波市政府系統(tǒng)計算機專網(wǎng)數(shù)據(jù)中心安全而言，安全性需求就更加的高，屬于超高安全要求下的網(wǎng)絡(luò)保護范圍，因此需要在這些地方使用 2 臺防火墻進行雙機熱備，以保證數(shù)據(jù)穩(wěn)定傳輸。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過破壞網(wǎng)絡(luò)攻擊得以進行的另外兩個重要條件：? 從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接? 將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò)從而確保寧波市政府系統(tǒng)計算機專網(wǎng)的安全。事實上，方御防火墻是通過該標準認證的第一個狀態(tài)檢測型包過濾防火墻。23 / 84 ? 防火墻提供三個接口：內(nèi)網(wǎng)、外網(wǎng)、DMZ；? 防火墻工作在橋模式，這樣不需要改動現(xiàn)有網(wǎng)絡(luò)的拓撲結(jié)構(gòu)；? 將對外服務(wù)的各種服務(wù)設(shè)備放置在 DMZ 區(qū)域，和內(nèi)部網(wǎng)絡(luò)嚴格區(qū)分開，保證內(nèi)部系統(tǒng)安全。同時內(nèi)部員工對 DMZ 區(qū)域服務(wù)器訪問也必須做限制。24 / 84URL 攔截：方正方御防火墻實現(xiàn)了透明的 URL 攔截功能，對通過防火墻的應(yīng)用層URL 進行嚴格的控制和管理，按照用戶的要求進行攔截。升級在方正方御防火墻界面即可完成。25 / 84針對通過防火墻數(shù)據(jù)，可以按照數(shù)據(jù)類型、地址進行統(tǒng)計分析。方正方御防火墻可以針對實際情況，對部分特殊應(yīng)用提供帶寬管理。. 系統(tǒng)升級網(wǎng)絡(luò)安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)發(fā)展不斷變化，而網(wǎng)絡(luò)安全策略和軟件也不能一成不變，需要不斷升級。而系統(tǒng)的切換不影響業(yè)務(wù)。這樣在遠程管理過程中數(shù)據(jù)通過專網(wǎng)進行管理能夠有效的保證管理的安全性。如下圖所示：28 / 84寧波市政府系統(tǒng)計算機專網(wǎng)核心節(jié)點管理除了需要提供信息服務(wù)外，還需要對各區(qū)及委、辦、局的網(wǎng)絡(luò)設(shè)備進行集中管理，因此網(wǎng)絡(luò)的安全性和可靠性尤其的重要。分析寧波市政府系統(tǒng)計算機專網(wǎng)的特點和需求，方正方御防火墻的集中管理功能和權(quán)限管理機制完全可以滿足這些需求。方正方御防火墻是國內(nèi)第一個通過公安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認證標準的包過濾級防火墻產(chǎn)品，同時通過了中國人民解放軍安全測評認證中心、國家保密局和中國國家信息安全測評認證中心的嚴格認證。在立身自主開發(fā)外，方正數(shù)碼還與眾多國際知名的安全公司保持著良好的合作關(guān)系，并集成了國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國內(nèi) Inter 的安全建設(shè)保駕護航。完善的訪問控制 方正方御防火墻符合國家最新防火墻安全標準，采用了三級權(quán)限機制，分為管理員，策略員和審計員。傳統(tǒng)的防火墻的包過濾只是根據(jù)規(guī)則表進行匹配，而方正方御防火墻對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合來對網(wǎng)絡(luò)狀態(tài)進行控制。如果需要在Intra 提供讓外部訪問的服務(wù)（如WWW、FTP 等） ，NAT 系統(tǒng)可以為 Intra里的服務(wù)器建立靜態(tài)映射，外部用戶可以直接訪問該服務(wù)器。方正方御防火墻修改了 TCP/IP 堆棧的算法，使得新的 syn 連接包可以正常通過，避免了由于大量的攻擊 SYN 包造成網(wǎng)絡(luò)的阻塞。雙機熱備份 通過雙機熱備份，本系統(tǒng)提供可靠的容錯/ 熱待機功能。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計劃項目之一。30 / 843. 產(chǎn)品選型我們采用方正最新型方正方御防火墻。需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備和 VPN 設(shè)備?？梢詫⑷我馊齻€物理網(wǎng)絡(luò)連接起來構(gòu)成一個互通的物理網(wǎng)絡(luò)。同時方正方御防火墻也提供帶寬管理、分配，系統(tǒng)報警等措施從側(cè)面協(xié)助。方正方御防火墻提供雙機備份功能，采用兩種方式進行備份檢測，軟件方式借用 HSRP 技術(shù)動態(tài)跟蹤各個區(qū)域運行狀態(tài)，發(fā)現(xiàn)任何一個區(qū)域出現(xiàn)問題即刻進行切換。在方正方御防火墻內(nèi)部成功的進行了 UDP、TCP 數(shù)據(jù)同步分析。通過強大的日志系統(tǒng)和實時報警、日志報警等多種方式保證網(wǎng)絡(luò)出現(xiàn)安全問題時可以有資料分析；同時也可以通過對日志系統(tǒng)的分析完善系統(tǒng)安全策略。. 日志系統(tǒng)及系統(tǒng)報警方正方御防火墻提供強大的日志系統(tǒng)，將通過防火墻的數(shù)據(jù)、防火墻管理數(shù)據(jù)、流量、各種攻擊行為統(tǒng)計集成到一起。針對各種攻擊行為，比如 TCP 序列號攻擊、劫持、碎片攻擊、端口掃描能夠識別阻斷。內(nèi)部系統(tǒng)應(yīng)該盡量采用固定 IP 分配方案。■ 內(nèi)部網(wǎng)絡(luò)：內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問也要進行嚴格的限制。其功能強大，是未來防火墻技術(shù)發(fā)展的一個主要趨勢。方正