【正文】 方御防火墻符合國(guó)家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。這是一個(gè)簡(jiǎn)單的原理：如果網(wǎng)絡(luò)是隔離開的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。此外，信息備份是信息安全的最起碼的要求。? 虛擬專用網(wǎng)（VPN）：遠(yuǎn)程傳輸?shù)陌踩玍PN 技術(shù)在把分散在各處的服務(wù)器群連成了一個(gè)整體，形成了一個(gè)虛擬的專用網(wǎng)絡(luò)。事實(shí)上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進(jìn)行一些較為復(fù)雜的變形，就能做到?jīng)]有入侵檢測(cè)系統(tǒng)能夠識(shí)別出來。比如方正方御防火墻在很好的實(shí)現(xiàn)了防火墻功能的同時(shí)，也實(shí)現(xiàn)了下面所說的入侵檢測(cè)功能；? 入侵檢測(cè)（IDS）：對(duì)攻擊試探的預(yù)警當(dāng)黑客試探攻擊時(shí)，大多采用一些已知的攻擊方法來試探。為達(dá)成以上目標(biāo)，方正數(shù)碼在充分調(diào)研和分析比較的基礎(chǔ)上采用合理的技術(shù)手段和產(chǎn)品以構(gòu)建一個(gè)完整的安全技術(shù)體系，協(xié)助寧波政府建立完善的安全管理體系。本次防火墻系統(tǒng)建設(shè)的目標(biāo)是通過采用防火墻技術(shù)，防止不同節(jié)點(diǎn)間對(duì)內(nèi)聯(lián)網(wǎng)數(shù)據(jù)的非法使用和訪問，監(jiān)控整個(gè)網(wǎng)絡(luò)數(shù)據(jù)過程。目前典型應(yīng)用有FTP、HTTP、WWW 等。對(duì)用戶帳號(hào)、用戶權(quán)限及資源權(quán)限的合理組合，可以有效地保證安全性。針對(duì) Unix 系統(tǒng)存在的諸多風(fēng)險(xiǎn)，應(yīng)該采取相應(yīng)的安全措施。 ■緩沖區(qū)溢出攻擊 (Buffer Overrun Exploits): 其中包括利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，從而在它以根的身份運(yùn)行時(shí)，有可能賦予剝削者對(duì)您的系統(tǒng)的根訪問權(quán)。? 對(duì)象可用：當(dāng)對(duì)象不需要時(shí)應(yīng)該立即清除。■ TCP/IP 風(fēng)險(xiǎn)：系統(tǒng)采用 TCP/IP 協(xié)議進(jìn)行通信，而因?yàn)?TCP/IP 協(xié)議中存在固有的漏洞，比如：針對(duì) TCP 序號(hào)的攻擊，TCP 會(huì)話劫持，TCP SYN 攻擊等。. 網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn)整個(gè)系統(tǒng)中網(wǎng)絡(luò)設(shè)備主要采用路由器設(shè)備，有必要分析這些設(shè)備的風(fēng)險(xiǎn)。特別是基于 URL 的應(yīng)用依賴于 DNS 系統(tǒng)，DNS 的安全性也是網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。這些部門與核心節(jié)點(diǎn)之間將借助寧波廣電的 SDH 環(huán)網(wǎng)。寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)需要涉及若干政府部門，各地方的網(wǎng)絡(luò)通過專用網(wǎng)連接起來。黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機(jī)資源被利用和網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，如果是對(duì)軍用和政府網(wǎng)絡(luò)的攻擊，還會(huì)對(duì)國(guó)家安全造成嚴(yán)重威脅。要攻擊大多數(shù)的網(wǎng)絡(luò)組成，黑客就要使用程序來遠(yuǎn)程攻擊在外部主機(jī)上運(yùn)行的易受攻擊服務(wù)程序，這樣的例子包括易受攻擊的 Sendmail,IMAP,POP3 和諸如 statd,mountd, pfsd 等 RPC 服務(wù)。黑客在這個(gè)階段使用一些簡(jiǎn)單的命令來獲得外部和內(nèi)部主機(jī)的名稱：例如，使用 nslookup 來執(zhí)行 “l(fā)s domain or work”， finger 外部主機(jī)上的用戶等?？陀^地說，沒有任何一個(gè)網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù) Financial Times曾做過的統(tǒng)計(jì)，平均每 20 秒鐘就有一個(gè)網(wǎng)絡(luò)遭到入侵。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著 Inter 和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Inter 越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。工作動(dòng)態(tài)：國(guó)家、省、市政府及政府有關(guān)部門的重要政策信息，政府內(nèi)部改革思路新經(jīng)驗(yàn)等。網(wǎng)上辦公：公文及業(yè)務(wù)工作網(wǎng)上辦理流轉(zhuǎn)。政府專網(wǎng)采用 CISCO 的 WORKS2022 FOR NT 作為網(wǎng)管軟件。政府專網(wǎng)以市政府辦公廳為核心節(jié)點(diǎn)，在市區(qū)內(nèi)采用 4 個(gè)匯集點(diǎn)，各節(jié)點(diǎn)用物理光纖就近接入?yún)R集點(diǎn)。1 / 84寧波市政府計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案（網(wǎng)絡(luò)防火墻）方正數(shù)碼有限公司2022 年 2 月2 / 841. 背景介紹 ....................................................................................................................................5. 項(xiàng)目總述 ............................................................................................................................5. 網(wǎng)絡(luò)環(huán)境總述 ....................................................................................................................5. 業(yè)務(wù)現(xiàn)狀 ........................................................................................................................6. 網(wǎng)絡(luò)信息安全概況 ............................................................................................................7. 網(wǎng)絡(luò)安全現(xiàn)狀 ............................................................................................................8. 典型的黑客攻擊 ........................................................................................................8. 網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù) ..................................................................................102. 安全架構(gòu)分析與設(shè)計(jì) ..............................................................................................................11. 網(wǎng)絡(luò)整體結(jié)構(gòu) ..................................................................................................................11. 寧波在全國(guó)政府專網(wǎng)中的位置 ..............................................................................12. 光纖網(wǎng)絡(luò)平臺(tái) ..........................................................................................................12. 寧波政府專網(wǎng)安全風(fēng)險(xiǎn)分析 ..........................................................................................14. 主要應(yīng)用服務(wù)的安全風(fēng)險(xiǎn) ......................................................................................14. 網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn) ..................................................................................15. 數(shù)據(jù)庫(kù)系統(tǒng)安全分析 ..............................................................................................16. Unix 系統(tǒng)的安全分析 .............................................................................................16. Windows NT 系統(tǒng)的安全分析 ................................................................................17. 管理系統(tǒng)的安全風(fēng)險(xiǎn) ..............................................................................................17. 寧波政府專網(wǎng)安全風(fēng)險(xiǎn)解決方案設(shè)計(jì)的原則和目標(biāo) ..................................................18. 網(wǎng)絡(luò)安全解決方案的組成 ......................................................................................19. 超高安全要求下的網(wǎng)絡(luò)保護(hù) ..................................................................................21. 防火墻選型 ......................................................................................................................22. 防火墻設(shè)置及工作模式 ..................................................................................................23. 防火墻功能設(shè)置及安全策略 ..........................................................................................23. 完善的訪問控制 ......................................................................................................23. 內(nèi)置入侵檢測(cè)（ IDS） ...........................................................................................24. 代理服務(wù) ..................................................................................................................24. 日志系統(tǒng)及系統(tǒng)報(bào)警 ..............................................................................................24. 帶寬分配，流量管理 ..............................................................................................25. 支持 ...............................................................................................................25. 系統(tǒng)升級(jí) ..................................................................................................................25. 雙機(jī)備份 ..................................................................................................................26. 防火墻方案特點(diǎn) ......................................................................................................26. 防火墻整體布局 ..............................................................................................................27. 寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)核心節(jié)點(diǎn)市政府辦公廳網(wǎng)絡(luò) ..........................................28. 各區(qū)及委、辦、局的安全網(wǎng)絡(luò) ......................................................................................28. 集中管理和分級(jí)管理 ..................................................................................................293. 產(chǎn)品選型 .......................................