【正文】 狀態(tài)檢測(cè) 方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、33 / 84協(xié)議和端口進(jìn)行訪問(wèn)控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。另外，還得到了國(guó)家”863”計(jì)劃的支持。在寧波市政府系統(tǒng)計(jì)算機(jī)專(zhuān)網(wǎng)網(wǎng)絡(luò)管理中心需要對(duì)各委、辦、局的網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理。自身安全性防火墻作為網(wǎng)絡(luò)系統(tǒng)中的一個(gè)部件，其自身的安全性也是十分重要的，考慮到實(shí)際情況，方正方御防火墻提供單獨(dú)的管理接口，管理接口服務(wù)全部關(guān)閉，同時(shí)管理接口的特殊管理數(shù)據(jù)采用標(biāo)準(zhǔn)加密算法和措施。系統(tǒng)能夠識(shí)別 連接，保證 數(shù)據(jù)通過(guò)。同時(shí)系統(tǒng)提供針對(duì)各種統(tǒng)計(jì)結(jié)果按照用戶要求進(jìn)行報(bào)表打印。通過(guò) IPMAC 地址捆綁，也可以對(duì)后期數(shù)據(jù)日志分析帶來(lái)一定的方便性。綜合考慮寧波市政府網(wǎng)絡(luò)安全實(shí)際情況，在本方案中采用方正數(shù)碼的方正方御復(fù)合型防火墻，放置在網(wǎng)絡(luò)連接的各個(gè)節(jié)點(diǎn)間。但對(duì)于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來(lái)說(shuō)，完全的物理隔離是行不通的。通過(guò) VPN 的加密通道，數(shù)據(jù)被加密后傳輸，保證了遠(yuǎn)程數(shù)據(jù)傳輸?shù)陌踩?。網(wǎng)絡(luò)安全漏洞掃描器是“先敵發(fā)現(xiàn)” ，未雨綢繆。有效防止攻擊行為。通過(guò)一系列的管理工具，以及對(duì)用戶帳號(hào)、口令的管理，對(duì)文件、數(shù)據(jù)授權(quán)訪問(wèn)，執(zhí)行動(dòng)作的限制，以及對(duì)事件的審核可以使 Windows NT達(dá)到 C2 級(jí)安全。這也可能導(dǎo)致某種“拒絕服務(wù)”攻擊。同時(shí)系統(tǒng)的 DNS 采用 UDP 協(xié)議，因?yàn)?UDP 協(xié)議是非面向連接的協(xié)議，對(duì)系統(tǒng)中的 DNS 等相關(guān)應(yīng)用帶來(lái)安全風(fēng)險(xiǎn)。EMail由于郵件服務(wù)器軟件的眾多廣為人知的安全漏洞，郵件服務(wù)器成為15 / 84進(jìn)行遠(yuǎn)程攻擊的首選目標(biāo)之一。12 / 84. 寧波在全國(guó)政府專(zhuān)網(wǎng)中的位置政府專(zhuān)網(wǎng)是由國(guó)家、省、市及縣級(jí)政府部門(mén)共同組成的全國(guó)性廣域網(wǎng)。獲得對(duì)有弱點(diǎn)的網(wǎng)絡(luò)組成的訪問(wèn)權(quán)，在攻克了一個(gè)服務(wù)程序后，黑客就要開(kāi)始清除他在記錄文件中所留下的痕跡，然后留下作后門(mén)的二進(jìn)制文件，使其以后可以不被發(fā)覺(jué)地訪問(wèn)該主機(jī)。僅在美國(guó)，每年由于網(wǎng)絡(luò)安全問(wèn)題造成的經(jīng)濟(jì)損失就超過(guò) 100 億美元。會(huì)計(jì)核算中心：財(cái)務(wù)數(shù)據(jù)在市區(qū)外利用網(wǎng)絡(luò)供應(yīng)商提供的SDH 環(huán)路，各節(jié)點(diǎn)用物理光纖接入 SDH 環(huán)。政府專(zhuān)網(wǎng)建成后，將極大地促進(jìn)政府業(yè)務(wù)規(guī)范化、辦公自動(dòng)化、管理智能化、決策科學(xué)化、提高政府機(jī)關(guān)辦事工作效率，實(shí)現(xiàn)政府各部門(mén)以及上下級(jí)政府部門(mén)之間信息和資源的共享。、通知通告、要聞信息等文字資料為主。國(guó)內(nèi)網(wǎng)站也未能幸免于難，新浪、當(dāng)當(dāng)書(shū)店、EC123 等知名網(wǎng)站也先后受到黑客攻擊。有效利用網(wǎng)絡(luò)組成的弱點(diǎn)，當(dāng)黑客確認(rèn)了一些被信任的外部主機(jī)，并且同時(shí)確認(rèn)了一些在外部主機(jī)上的弱點(diǎn)，他們就要嘗試攻克主機(jī)了。其中每一個(gè)局域網(wǎng)節(jié)點(diǎn)劃分為內(nèi)部操作（控制）區(qū)、信息共享區(qū)兩個(gè)網(wǎng)段，網(wǎng)段之間設(shè)置安全隔離區(qū)。對(duì) DNS 的攻擊通常是對(duì)其他遠(yuǎn)程主機(jī)進(jìn)行攻擊做準(zhǔn)備，如篡改域名解析記錄以欺騙被攻擊的系統(tǒng)，或通過(guò)獲取 DNS 的區(qū)域文件而得到進(jìn)一步入侵的重要信息?！?路由器實(shí)現(xiàn)的某些動(dòng)態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意的攻擊者利用來(lái)破壞網(wǎng)絡(luò)的路由設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或?yàn)楣糇鰷?zhǔn)備的目的。例如，攻擊可能使用大而無(wú)用的流量充斥網(wǎng)絡(luò)，導(dǎo)致無(wú)法向顧客提供服務(wù)。NT 的安全機(jī)制不是外加的，而是建立在操作系統(tǒng)內(nèi)部的，可以通過(guò)一定的設(shè)置使文件和其他資源免受在存放的計(jì)算機(jī)上工作的用戶和通過(guò)網(wǎng)絡(luò)接觸資源的用戶的威脅（破壞、非法的編輯等） 。而由于整個(gè)系統(tǒng)是一個(gè)體系，任何一個(gè)點(diǎn)出現(xiàn)安全問(wèn)題，都可能給相關(guān)人員帶來(lái)?yè)p失。在應(yīng)用防火墻技術(shù)時(shí)，正確的劃分網(wǎng)絡(luò)邊界和制定完善的安全策略是至關(guān)重要的。收集審計(jì)跟蹤的信息，通過(guò)列舉被記錄的安全事件的類(lèi)別（例如對(duì)安全要求的明顯違反或成功操作的完成） ，能適應(yīng)各種不同的需要。方正方御防火墻管理也是用 證書(shū)進(jìn)行認(rèn)證的。防火墻按實(shí)現(xiàn)的方式不同，其基本類(lèi)型有：包過(guò)濾型、代理(應(yīng)用網(wǎng)關(guān))型和復(fù)合型。通過(guò)嚴(yán)格的訪問(wèn)控制表來(lái)進(jìn)行限制。同時(shí)防火墻能夠?qū)窝b IP 地址進(jìn)行識(shí)別。方正方御防火墻能夠準(zhǔn)確識(shí)別 數(shù)據(jù)流，讓數(shù)據(jù)合法通過(guò)。因此方正方御防火墻提供全面的訪問(wèn)控制策略、IPMAC 地址捆綁、IDS 入侵檢測(cè)、反電子欺騙等手段。對(duì)于這些網(wǎng)絡(luò)我們建議使用如下方案：29 / 84. 集中管理和分級(jí)管理由于寧波市政府系統(tǒng)計(jì)算機(jī)專(zhuān)網(wǎng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進(jìn)行審計(jì)管理，日志查詢等操作。方正方御是在經(jīng)過(guò)一年多的大量投入和深入的研究后，提出的一套基于中國(guó)國(guó)情、全部自主開(kāi)發(fā)、具有領(lǐng)先優(yōu)勢(shì)的解決方案。使用在網(wǎng)橋模式時(shí)在 IP 層透明，使用路由模式時(shí)可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、DMZ 到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。代理服務(wù)的訪問(wèn)控制非常的完善，可以對(duì)時(shí)間、協(xié)議、方法、地址、DNS 域、目的端口和 URL 來(lái)進(jìn)行控制。由于防火墻技術(shù)的針對(duì)性很強(qiáng)，它已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保障之一?？梢酝ㄟ^(guò)一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。而防火墻操作系統(tǒng)采用經(jīng)過(guò)嚴(yán)格測(cè)試專(zhuān)有操作系統(tǒng)。保證防火墻產(chǎn)品實(shí)時(shí)和網(wǎng)絡(luò)安全領(lǐng)域技術(shù)同步，防止因?yàn)樾碌陌踩珕?wèn)題給系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)。如果有內(nèi)部人員對(duì)防火墻訪問(wèn)，可以通過(guò)管理數(shù)據(jù)進(jìn)行查詢。在該方案中我們將對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)情況具體了解，對(duì) URL 攔截達(dá)到頁(yè)面級(jí)別。將外部對(duì)內(nèi)部、DMZ 內(nèi)服務(wù)訪問(wèn)明確限制，防止非法對(duì)內(nèi)部重要系統(tǒng)，特別是業(yè)務(wù)系統(tǒng)的訪問(wèn)。要保護(hù)這樣一個(gè)繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。方正方御防火墻提供了軟、硬兩種方式來(lái)實(shí)現(xiàn) VPN。入侵檢測(cè)系統(tǒng)通過(guò)掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測(cè)） ，或者探測(cè)系統(tǒng)的異常行為（主機(jī)入侵檢測(cè)） ，來(lái)發(fā)覺(jué)這類(lèi)攻擊的存在。包括構(gòu)成所有設(shè)施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)（信息） ?！　。?）在局部范圍內(nèi)通過(guò)資源共享的形式，這種方式建立在 NETBIOS 的基礎(chǔ)之上。這有可能造成某個(gè)未經(jīng)授權(quán)的個(gè)人非法進(jìn)入您的網(wǎng)絡(luò)或看到機(jī)密數(shù)據(jù)。不法份子利用已有的或者更加先進(jìn)的技術(shù)手段通常對(duì)數(shù)據(jù)庫(kù)進(jìn)行偽造數(shù)據(jù)庫(kù)中的數(shù)據(jù)、損壞數(shù)據(jù)庫(kù)、竊取數(shù)據(jù)庫(kù)中的數(shù)據(jù)。WWW利用 HTTP 服務(wù)器的一些漏洞，特別是在大量使用服務(wù)器腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權(quán)的操作者可以很容易地獲得系統(tǒng)的控制權(quán)。. 光纖網(wǎng)絡(luò)平臺(tái)光纖網(wǎng)絡(luò)平臺(tái)的提供商為寧波市廣電網(wǎng)絡(luò)傳輸中心。數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過(guò)程中，對(duì)信息進(jìn)行非法的復(fù)制，例如，非法拷貝網(wǎng)站數(shù)據(jù)庫(kù)內(nèi)重要的商業(yè)信息，盜取網(wǎng)站用戶的個(gè)人信息等。在典型的網(wǎng)絡(luò)攻擊中，黑客一般會(huì)采取如下的步驟：9 / 84自我隱藏，黑客使用通過(guò) rsh 或 tel 在以前攻克的主機(jī)上跳轉(zhuǎn)、通過(guò)錯(cuò)誤配置的 proxy 主機(jī)跳轉(zhuǎn)等各種技術(shù)來(lái)隱藏他們的 IP 地址，更高級(jí)一點(diǎn)的黑客，精通利用電話交換侵入主機(jī)。為此德國(guó)軍方前些時(shí)候甚至規(guī)定在所有牽涉到機(jī)密的計(jì)算機(jī)里，不得使用美國(guó)的操作系統(tǒng)?；拘畔ⅲ喊ㄊ星椤⒖h情，各級(jí)領(lǐng)導(dǎo)情況，機(jī)構(gòu)設(shè)置、直屬機(jī)構(gòu)設(shè)置、編制、職能職責(zé)、聯(lián)系電話、郵箱地址等。6 / 84另 外 ， 省 政 府 專(zhuān) 網(wǎng) 的 光 纖 接 入 到 IBM2216 路 由 器 ， 再 經(jīng) 過(guò) 防 火 墻 （ 上 海 華堂 ） ， 以 百 兆 方 式 接 入 核 心 節(jié) 點(diǎn) 的 接 入 交 換 機(jī) 。政府專(zhuān)網(wǎng)涉及范圍廣，建設(shè)要求高，需分期分批進(jìn)行建設(shè)。第二，寧波市政府與各縣區(qū)政府?dāng)?shù)據(jù)交換量也相當(dāng)大。2022 年二月，在三天的時(shí)間里，黑客使美國(guó)數(shù)家頂級(jí)互聯(lián)網(wǎng)站－Yahoo!、Amazon、eBay 、CNN 陷入癱瘓，造成了十幾億美元的損失，令美國(guó)上下如臨大敵。確認(rèn)網(wǎng)絡(luò)組成的弱點(diǎn)，如果一個(gè)黑客能建立你的外部和內(nèi)部主機(jī)列表，他就可以用掃描程序（如 ADMhack, mscan, nmap 等）來(lái)掃描一些特定的遠(yuǎn)程弱點(diǎn)。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡(luò)安全里尤其適用。而寧波市政府的這些應(yīng)用系統(tǒng)是政府專(zhuān)網(wǎng)中最重要的組成部分。一旦口令泄密路由器將失去所有的保護(hù)能力。? 往來(lái)文件系統(tǒng)：UNIX 系統(tǒng)提供了分布式文件系統(tǒng)（DFS）的網(wǎng)絡(luò)安全。制定詳細(xì)的訪問(wèn)控制計(jì)劃、策略?！　? 管理系統(tǒng)的安全風(fēng)險(xiǎn) 管理系統(tǒng)的安全風(fēng)險(xiǎn)除了上面提到的系統(tǒng)風(fēng)險(xiǎn)之外，系統(tǒng)結(jié)構(gòu)復(fù)雜、管理難度大，存在各種服務(wù)，哪些服務(wù)對(duì)哪些人是開(kāi)放的、哪些是拒絕的都沒(méi)有一定的安全劃分。一個(gè)好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個(gè)部分組成：? 防火墻：對(duì)網(wǎng)絡(luò)攻擊的阻隔防火墻是保證網(wǎng)絡(luò)安全的重要屏障。安全審計(jì)系統(tǒng)所做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷(xiāo)毀和篡改的特性。. 認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)（包括撥號(hào)）時(shí)，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身份滲透進(jìn)內(nèi)部網(wǎng)絡(luò)。另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒(méi)有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)制，尤其適合于寧波市政府系統(tǒng)計(jì)算機(jī)專(zhuān)網(wǎng)這樣的大型網(wǎng)絡(luò)。內(nèi)部員工對(duì)外網(wǎng) WWW 訪問(wèn)采用代理方式。IDS 和訪問(wèn)策略形成互動(dòng)。給特殊應(yīng)用分配相對(duì)高的帶寬。兩臺(tái)防火墻工作在互備模式中。內(nèi)部區(qū)放置控制服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、認(rèn)證服務(wù)器、系統(tǒng)管理服務(wù)器等設(shè)備，公開(kāi)信息區(qū)放置對(duì)外的信息發(fā)布系統(tǒng)，包括 WEB 服務(wù)器、Mail 服務(wù)器等設(shè)備等。. 方正數(shù)碼公司簡(jiǎn)介作為方正集團(tuán)互聯(lián)網(wǎng)戰(zhàn)略的實(shí)施者，方正數(shù)碼將自身定位于電子商務(wù)的“賦能者” ，其業(yè)務(wù)涉及互聯(lián)網(wǎng)與電子商務(wù)的技術(shù)研究應(yīng)用與系統(tǒng)集成、網(wǎng)絡(luò)市場(chǎng)營(yíng)銷(xiāo)服務(wù)、空間信息應(yīng)用、無(wú)線互聯(lián)以及電子商務(wù)的咨詢服務(wù)等方向，以幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子商務(wù)的運(yùn)營(yíng)者在互聯(lián)網(wǎng)時(shí)代健康成功的發(fā)展為己任。管理員負(fù)責(zé)防火墻的開(kāi)關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過(guò)濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。當(dāng)用戶需要從內(nèi)部 IP 訪問(wèn) Inter 時(shí)，NAT系統(tǒng)會(huì)從 IP 池里取出一個(gè)合法的 Inter IP，為該用戶建立映射。方御防火墻保護(hù)如下模塊： 中中中/中 IDS中NAT中中Proxy中中中中中中中中. 系統(tǒng)特點(diǎn)一體化的硬件設(shè)計(jì) 方正方御防火墻采用了一體化的硬件設(shè)計(jì)，采用了自己的操作系統(tǒng)，無(wú)需其他操作32 / 84系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時(shí)也提高了系統(tǒng)的安全性。這樣他們共同的負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。我們建議使用防御防火墻的網(wǎng)橋模式，3 個(gè)端口構(gòu)成一個(gè)以太網(wǎng)交換機(jī)，防火墻本身沒(méi)有 IP 地址，在 IP 層透明。. 雙機(jī)備份網(wǎng)絡(luò)安全、穩(wěn)定長(zhǎng)期運(yùn)行是最終目標(biāo)，而網(wǎng)絡(luò)硬件可能因?yàn)橐恍┨厥庠虬l(fā)生故障。同時(shí)對(duì)各種非法的訪問(wèn)和攻擊行為進(jìn)行記錄。方正方御防火墻目前能夠支持 1500 種以上的入侵檢測(cè)并能夠成功阻斷這樣的攻擊行為，比如最近的紅色代碼。對(duì)內(nèi)部 Email、 FTP、 WWW、數(shù)據(jù)庫(kù)的訪問(wèn)做嚴(yán)格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生。可以通過(guò)一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。? 安全策略的實(shí)施保證網(wǎng)絡(luò)安全知識(shí)的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。需要注意的是，入侵檢測(cè)系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。信息系統(tǒng)的安全是一個(gè)復(fù)雜的系統(tǒng)工程，涉及到技術(shù)和管理等多個(gè)層面。（3）在網(wǎng)絡(luò)中通過(guò) TCP/IP 協(xié)議，對(duì)服務(wù)器進(jìn)行訪問(wèn)。 ■內(nèi)部泄密 (Internal Exposure): 絕大多數(shù)網(wǎng)絡(luò)非法進(jìn)入皆起因于某個(gè)心懷惡意或?qū)ΜF(xiàn)狀不滿的現(xiàn)任或前任雇員濫用對(duì)信息的訪問(wèn)權(quán)或非法闖入您的網(wǎng)絡(luò)。? 訪問(wèn)控制：允許通過(guò)改變用戶安全級(jí)別、訪問(wèn)權(quán)限，具有統(tǒng)一的訪問(wèn)控制表。有些服務(wù)器版本帶有嚴(yán)重的錯(cuò)誤，比如可以使任何人獲得對(duì)包括 root 在內(nèi)的任何帳號(hào)的訪問(wèn)。單點(diǎn)接入示意圖如下：13 / 84市區(qū)內(nèi)各部門(mén)邏輯分布圖如下圖：、慈溪、奉化、寧海、象山、鎮(zhèn)海、北侖、經(jīng)濟(jì)技術(shù)開(kāi)發(fā)區(qū)、保稅區(qū)、大榭開(kāi)發(fā)區(qū)、港務(wù)局等部門(mén)。典型的例子就是 2022 年年初黑客對(duì) Yahoo 等大型網(wǎng)站的攻擊。通過(guò)查看上面查詢來(lái)的結(jié)果列表，通常很容易建立一個(gè)主機(jī)列表并且開(kāi)始了解主機(jī)之間的聯(lián)系。. 網(wǎng)絡(luò)安全現(xiàn)狀I(lǐng)nter 正在越來(lái)越多地融入到社會(huì)的各個(gè)方面。市政府西大院所有單位作為一個(gè)節(jié)點(diǎn)，用 4 芯光纖接入?yún)R集點(diǎn)。1 / 84寧波市政府計(jì)算機(jī)專(zhuān)網(wǎng)安全產(chǎn)品解決方案（網(wǎng)絡(luò)防火墻）方正數(shù)碼有限公司2022 年 2 月2 / 841. 背景介紹 ....................................................................................................................................5. 項(xiàng)目總述 ............................................................................................................................5. 網(wǎng)絡(luò)環(huán)境總述 ....................................................................................................................5. 業(yè)務(wù)現(xiàn)狀 ........................................................................................................................6. 網(wǎng)絡(luò)