【正文】 .......................................788. 方正方御防火墻榮譽證書 ......................................................................................................795 / 841. 背景介紹政府專網(wǎng)是寧波市政府信息化建設的基礎工程，是以寧波市政府東、北大院計算機局域網(wǎng)為核心，以寬帶光纖網(wǎng)絡為通信平臺，圍繞業(yè)務管理、數(shù)據(jù)交換、語音通信、重大事件處理、視頻會議等應用，覆蓋寧波市各縣（市） 、區(qū)政府，市政府各部門，市委辦、人大辦、政協(xié)辦及市委各工作部門等，并與全國、全省政府專網(wǎng)聯(lián)接，共約 122 個節(jié)點的城域網(wǎng)。市區(qū)內(nèi)采用千兆以太網(wǎng)技術(shù)，市區(qū)外采用 IP OVER SDH 傳輸技術(shù)，各節(jié)點用物理光纖接入。市政府西大院所有單位作為一個節(jié)點，用 4 芯光纖接入?yún)R集點。（含與市委、人大、政協(xié)系統(tǒng)之間）內(nèi)部信息交流內(nèi)容，主要有：地理信息系統(tǒng)：規(guī)劃、建筑、地形地貌等方面的數(shù)據(jù)，包括大型圖片。. 網(wǎng)絡安全現(xiàn)狀Inter 正在越來越多地融入到社會的各個方面。國內(nèi)第一家大型網(wǎng)上連鎖商城 IT163 網(wǎng)站 3 月 6 日開始運營，然而僅四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使網(wǎng)站無法運作。通過查看上面查詢來的結(jié)果列表，通常很容易建立一個主機列表并且開始了解主機之間的聯(lián)系。黑客將攻擊一個被信任的外部主機，用它作為發(fā)動攻擊內(nèi)部網(wǎng)絡的據(jù)點。典型的例子就是 2022 年年初黑客對 Yahoo 等大型網(wǎng)站的攻擊。每一個網(wǎng)段必須能夠構(gòu)成一個獨立的、完整的、安全的、可靠的系統(tǒng)。單點接入示意圖如下：13 / 84市區(qū)內(nèi)各部門邏輯分布圖如下圖：、慈溪、奉化、寧海、象山、鎮(zhèn)海、北侖、經(jīng)濟技術(shù)開發(fā)區(qū)、保稅區(qū)、大榭開發(fā)區(qū)、港務局等部門。著名的域名服務系統(tǒng) BIND 就存在眾多的可以被入侵者利用的漏洞。有些服務器版本帶有嚴重的錯誤，比如可以使任何人獲得對包括 root 在內(nèi)的任何帳號的訪問。針對這種情況，必須采取措施，有效防止非法對網(wǎng)絡設備訪問。? 訪問控制：允許通過改變用戶安全級別、訪問權(quán)限，具有統(tǒng)一的訪問控制表。最通常的情況是這種攻擊可能毀壞系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服務時慢的出奇。 ■內(nèi)部泄密 (Internal Exposure): 絕大多數(shù)網(wǎng)絡非法進入皆起因于某個心懷惡意或?qū)ΜF(xiàn)狀不滿的現(xiàn)任或前任雇員濫用對信息的訪問權(quán)或非法闖入您的網(wǎng)絡。安全機制甚至包含基本的系統(tǒng)功能，例如設置系統(tǒng)時鐘。（3）在網(wǎng)絡中通過 TCP/IP 協(xié)議，對服務器進行訪問。原則：從網(wǎng)絡安全整個體系考慮，本次防火墻選擇原則是：安全性：防火墻提供一整套訪問控制/防護的安全策略，保證系統(tǒng)的安全性；開放性：防火墻采用國家防火墻相關標準和網(wǎng)絡安全領域相關技術(shù)標準；高可靠性：防火墻采用軟件、硬件結(jié)合的形式，保證系統(tǒng)長期穩(wěn)定、安全運行；可擴充性：防火墻采用模塊化設計方式，方便產(chǎn)品升級、功能增強、調(diào)整系統(tǒng)結(jié)構(gòu)；可管理性：防火墻采用基于 windows 平臺 GUI 模式進行管理，方便各種安全策略設置；可維護性：防火墻軟件維護方便，便于操作管理；目標：網(wǎng)絡安全包括很多方面，如：訪問控制、身份認證、數(shù)據(jù)加密、入侵檢測、防止病毒、數(shù)據(jù)備份等。信息系統(tǒng)的安全是一個復雜的系統(tǒng)工程，涉及到技術(shù)和管理等多個層面。發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。需要注意的是，入侵檢測系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。已知安全審計的存在可對某些潛在的侵犯安全的攻擊源起到威攝作用。? 安全策略的實施保證網(wǎng)絡安全知識的普及，網(wǎng)絡安全策略的嚴格執(zhí)行，是網(wǎng)絡安全最重要的保障。. 網(wǎng)絡隔離網(wǎng)絡安全界的一個玩笑就是：要想安全，就不要插上網(wǎng)線?？梢酝ㄟ^一個控制機對多臺方正方御防火墻進行集中式的管理。復合型防火墻是在綜合動態(tài)包過濾技術(shù)和代理技術(shù)的優(yōu)點的情況下采取的一種更加完善和安全的防火墻技術(shù)。對內(nèi)部 Email、 FTP、 WWW、數(shù)據(jù)庫的訪問做嚴格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生。IPMAC 地址捆綁 ：方正方御防火墻提供靈活而方式多種的內(nèi)部網(wǎng)絡、DMZ 區(qū)域、外部網(wǎng)絡 IPMAC 地址捆綁功能，將每臺機器的 IP 地址和它自身的物理地址捆綁，有效防止內(nèi)部網(wǎng)絡、DMZ 區(qū)域、外部網(wǎng)絡的 IP 地址盜用（該功能實質(zhì)是將網(wǎng)絡協(xié)議第二層地址和第三層地址進行捆綁，達到一定的安全級別） 。方正方御防火墻目前能夠支持 1500 種以上的入侵檢測并能夠成功阻斷這樣的攻擊行為，比如最近的紅色代碼。. 代理服務方正方御防火墻對外提供代理服務功能，內(nèi)部網(wǎng)絡對外訪問可以通過防火墻提供的代理服務功能，同時代理服務可以針對 URL,SSL,FTP 進行應用攔截，防止內(nèi)部人員對外網(wǎng)的非法訪問。同時對各種非法的訪問和攻擊行為進行記錄。按照正常的狀態(tài)檢測技術(shù)， 數(shù)據(jù)可能被阻斷。. 雙機備份網(wǎng)絡安全、穩(wěn)定長期運行是最終目標，而網(wǎng)絡硬件可能因為一些特殊原因發(fā)生故障。這些功能能夠有效的保障內(nèi)部網(wǎng)絡安全。我們建議使用防御防火墻的網(wǎng)橋模式，3 個端口構(gòu)成一個以太網(wǎng)交換機，防火墻本身沒有 IP 地址，在 IP 層透明。而用戶的權(quán)限機制分配必須通過網(wǎng)絡管理中心統(tǒng)一分配和管理。這樣他們共同的負責起一個安全的管理平臺。它是一套整體的集群平臺，可以解決互聯(lián)網(wǎng)運營商最為關切的安全性、高可靠性、可擴展性和易于遠程管理的問題。方御防火墻保護如下模塊： 中中中/中 IDS中NAT中中Proxy中中中中中中中中. 系統(tǒng)特點一體化的硬件設計 方正方御防火墻采用了一體化的硬件設計，采用了自己的操作系統(tǒng)，無需其他操作32 / 84系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時也提高了系統(tǒng)的安全性。防御 DOS，DDOS 攻擊 普通的防火墻都是采用限制每一網(wǎng)絡地址單位時間內(nèi)通過的 SYN 包數(shù)量來抵御DDOS 攻擊，但是通常網(wǎng)絡攻擊者都會隨機的偽造網(wǎng)絡地址，因此這種方法防范的效果非常差，不能從根本上抵御 DDOS 攻擊。當用戶需要從內(nèi)部 IP 訪問 Inter 時，NAT系統(tǒng)會從 IP 池里取出一個合法的 Inter IP，為該用戶建立映射。代理服務 用戶可以設置代理服務器端口來啟動代理服務器功能，而且通過設置使用代理服務器用戶帳號密碼和訪問控制來維護安全性。管理員負責防火墻的開關及日常維護，策略員負責配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權(quán)機制。31 / 84（100M）. 產(chǎn)品概述方御防火墻是方正方御中的主要安全產(chǎn)品之一。. 方正數(shù)碼公司簡介作為方正集團互聯(lián)網(wǎng)戰(zhàn)略的實施者，方正數(shù)碼將自身定位于電子商務的“賦能者” ，其業(yè)務涉及互聯(lián)網(wǎng)與電子商務的技術(shù)研究應用與系統(tǒng)集成、網(wǎng)絡市場營銷服務、空間信息應用、無線互聯(lián)以及電子商務的咨詢服務等方向，以幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子商務的運營者在互聯(lián)網(wǎng)時代健康成功的發(fā)展為己任。方正方御防火墻采用基于 Windows GUI 的用戶界面進行遠程集中式管理，配置管理界面直觀，易于操作。內(nèi)部區(qū)放置控制服務器、數(shù)據(jù)庫服務器、文件服務器、認證服務器、系統(tǒng)管理服務器等設備，公開信息區(qū)放置對外的信息發(fā)布系統(tǒng)，包括 WEB 服務器、Mail 服務器等設備等。同時，利用 Windows NT 中域技術(shù)，對防火墻管理時必須登錄到相應的域才能對域內(nèi)的用戶進行管理，保障管理域安全性。兩臺防火墻工作在互備模式中。方正方御防火墻管理界面提供方便的系統(tǒng)升級和26 / 84IDS 升級功能。給特殊應用分配相對高的帶寬。針對各種管理數(shù)據(jù)，防火墻進行詳細記錄，網(wǎng)管人員可以方便的查看對防火墻管理情況。IDS 和訪問策略形成互動。外部對 DMZ、內(nèi)部URL 訪問進行控制，同時也可以限制內(nèi)部網(wǎng)絡對外部網(wǎng)絡 URL 非法訪問。內(nèi)部員工對外網(wǎng) WWW 訪問采用代理方式。. 完善的訪問控制規(guī)則控制：通過方正方御防火墻提供的基于 TCP/IP 協(xié)議中各個環(huán)節(jié)進行安全控制，生成完整安全的訪問控制表，這個表包括：■ 外網(wǎng)對 DMZ 內(nèi)服務訪問控制。另外，方正方御防火墻還提供了原標準中沒有強制執(zhí)行的實施域分組授權(quán)機制，尤其適合于寧波市政府系統(tǒng)計算機專網(wǎng)這樣的大型網(wǎng)絡。22 / 84. 實施保證寧波市政府系統(tǒng)計算機專網(wǎng)牽涉網(wǎng)點眾多，網(wǎng)絡結(jié)構(gòu)復雜。. 認證與授權(quán)認證與授權(quán)是一切網(wǎng)絡安全的根基所在，尤其在網(wǎng)絡安全管理、外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡（包括撥號）時，要有非常嚴格的認證與授權(quán)機制，防止黑客假冒身份滲透進內(nèi)部網(wǎng)絡。VPN 帶來的最大好處是確保安全性的同時，復用物理信道，降低使用成本。安全審計系統(tǒng)所做的記錄如同飛機上的黑匣子，在發(fā)生網(wǎng)絡犯罪案件時能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。甚至由此派生出了 P^2DR 理論。一個好的網(wǎng)絡安全解決方案應該由如下幾個部分組成：? 防火墻：對網(wǎng)絡攻擊的阻隔防火墻是保證網(wǎng)絡安全的重要屏障。通過在系統(tǒng)中設置防火墻的安全措施將達到以下目標：保護基于專網(wǎng)的業(yè)務不間斷的正常運作?！　? 管理系統(tǒng)的安全風險 管理系統(tǒng)的安全風險除了上面提到的系統(tǒng)風險之外，系統(tǒng)結(jié)構(gòu)復雜、管理難度大，存在各種服務，哪些服務對哪些人是開放的、哪些是拒絕的都沒有一定的安全劃分。這種方式的可控制性較強，可以針對不同的用戶。制定詳細的訪問控制計劃、策略。通訊流可能包含使用 tel、rlogin 或 ftp 時來回傳遞的未加密的口令。? 往來文件系統(tǒng)：UNIX 系統(tǒng)提供了分布式文件系統(tǒng)（DFS）的網(wǎng)絡安全。數(shù)據(jù)庫的安全問題，在數(shù)據(jù)庫技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)庫技術(shù)的發(fā)展而不斷深化。一旦口令泄密路由器將失去所有的保護能力。而寧波政府專網(wǎng)的內(nèi)部 Email 系統(tǒng)覆蓋面廣，所以迫切需要使用防火墻來保護內(nèi)部 Email 系統(tǒng)。而寧波市政府的這些應用系統(tǒng)是政府專網(wǎng)中最重要的組成部分。其結(jié)構(gòu)圖如下：政府系統(tǒng)結(jié)構(gòu)圖整 個 區(qū) 域 網(wǎng) 絡 拓 樸 為 一 倒 叉 樹 結(jié) 構(gòu) ， 國 務 院 為 根 節(jié) 點 ， 寧 波 市 作 為 網(wǎng) 絡 中的 一 級 節(jié) 點 同 時 又 作 為 一 個 區(qū) 域 中 心 節(jié) 點 ， 它 既 要 與 國 家 、 省 各 部 門 互 聯(lián) ， 又要 與 各 縣 （ 市 ） 、 區(qū) 政 府 和 市 政 府 各 部 門 互 聯(lián) ， 在 整 個 網(wǎng) 絡 中 起 著 一 個 承 上 啟下 的 作 用 。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡安全里尤其適用。竊聽：利用以太網(wǎng)廣播的特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡的數(shù)據(jù)包，對信息進行過濾和分析后得到有用的信息，例如使用 sniffer 程序竊聽用戶密碼。確認網(wǎng)絡組成的弱點，如果一個黑客能建立你的外部和內(nèi)部主機列表，他就可以用掃描程序（如 ADMhack, mscan, nmap 等）來掃描一些特定的遠程弱點。隨著 Inter 的高速發(fā)展，也出現(xiàn)了有明確軍事目的的軍方黑客組織。2022 年二月，在三天的時間里，黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站－Yahoo!、Amazon、eBay 、CNN 陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。目前，很多公開的新聞表明美國國家安全局（NSA）有可能在許多美國大軟件公司的產(chǎn)品中安裝“后門” ，其中包括一些應用廣泛的操作系統(tǒng)。第二，寧波市政府與各縣區(qū)政府數(shù)據(jù)交換量也相當大?？傮w結(jié)構(gòu)請參見網(wǎng)絡總體拓撲圖。政府專網(wǎng)涉及范圍廣，建設要求高，需分期分批進行建設。整個建設周期分為二期，第一期 41 個節(jié)點于 2022 年 2 月底前完成，第二期約 81 個節(jié)點于2022 年完成。6 / 84另 外 ， 省 政 府 專 網(wǎng) 的 光 纖 接 入 到 IBM2216 路 由 器 ， 再 經(jīng) 過 防 火 墻 （ 上 海 華堂 ） ， 以 百 兆 方 式 接 入 核 心 節(jié) 點 的 接 入 交 換 機 。第三，為了切實做好政府各項綜合管理工作，市政府要領導、安排、督促和協(xié)調(diào)政府各職能部門工作，因此與各部門業(yè)務聯(lián)系十分密切，信息交換量很大?；拘畔ⅲ喊ㄊ星椤⒖h情，各級領導情況，機構(gòu)設置、直屬機構(gòu)設置、編制、職能職責、聯(lián)系電話、郵箱地址等。政策法規(guī)：地方政策法規(guī)和國家、浙江省的政策法規(guī)為此德國軍方前些時候甚至規(guī)定在所有牽涉到機密的計算機里，不得使用美國的操作系統(tǒng)。黑客使用了 DDoS（分布式拒絕服務）的攻擊手段，用大量無用信息阻塞網(wǎng)站的服務器，使其不能提供正常服務。在典型的網(wǎng)絡攻擊中，黑客一般會采取如下的步驟：9 / 84自我隱藏，黑客使用通過 rsh 或 tel 在以前攻克的主機上跳轉(zhuǎn)、通過錯誤配置的 proxy 主機跳轉(zhuǎn)等各種技術(shù)來隱藏他們的 IP 地址，更高級一點的黑客，精通利用電話交換侵入主機。啟動掃描程序的主機系統(tǒng)管理員通常都不知道一個掃描器已經(jīng)在他的主機上運行，因為’ps’和’stat’ 都被特洛伊化來隱藏掃描程序。數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對信息進行非法的復制，例如，非法拷貝網(wǎng)站數(shù)據(jù)庫內(nèi)重要的商業(yè)信息，盜取網(wǎng)站用戶的個人信息等。所以，我們的方案必須是一個完整的網(wǎng)絡安全解決方案，對網(wǎng)絡安全的每一個環(huán)節(jié)，都要有仔細的考慮。. 光纖網(wǎng)絡平臺光纖網(wǎng)絡平臺的提供商為寧波市廣電網(wǎng)絡傳輸中心。DNS 服務DNS 是網(wǎng)絡正常運作的基本元素，它們是由運行專門的或操作系統(tǒng)提供的服務的 Unix 或 NT 主機構(gòu)成。WWW利用 HTTP 服務器的一些漏洞