【文章內(nèi)容簡(jiǎn)介】 正方御防火墻系統(tǒng)使用流量統(tǒng)計(jì)與控制策略，可方便的根據(jù)網(wǎng)段和主機(jī)等對(duì)流量進(jìn)行統(tǒng)計(jì)與控制管理。用戶可以通過設(shè)置源地址到目的地址單位在時(shí)間內(nèi)允許通過的流量以及協(xié)議和端口來進(jìn)行帶寬控制。日志審計(jì)審計(jì)功能是方正方御防火墻非常強(qiáng)大的一個(gè)部分，目前國內(nèi)防火墻的審計(jì)功能都非常不完善，方正方御防火墻提供了大量的審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容的查詢功能，由于日志可能對(duì)一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而其中每一部分都可以進(jìn)行查詢和管理，這樣用戶就能對(duì)防火墻的情況有一個(gè)非常透徹的了解。入侵檢測(cè)方正方御防火墻入侵檢測(cè)系統(tǒng)采用了可擴(kuò)展的檢測(cè)庫方法，目前可以抵御1000多種攻擊方法，而且可以通過升級(jí)檢測(cè)庫的方法來不斷的抵御新的攻擊方法。用戶還可以自定義攻擊檢測(cè)庫來符合自己的要求。自動(dòng)報(bào)警和防范系統(tǒng)方正方御防火墻一旦檢測(cè)到有黑客進(jìn)行攻擊，會(huì)在第一時(shí)間內(nèi)在控制機(jī)上進(jìn)行報(bào)警，而且同時(shí)會(huì)自動(dòng)封禁掉攻擊者的IP地址，這樣可以做到防火墻的防范完全自動(dòng)化，而不象普通的防火墻那樣需要人工干預(yù)?；赑KI的授權(quán)認(rèn)證方正方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。PKI是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。快速安裝配置方正方御防火墻的安裝和配置非常方便，管理員只要設(shè)定好網(wǎng)絡(luò)設(shè)備的IP地址，然后使用系統(tǒng)提供的一些典型配置模板，適當(dāng)?shù)男薷囊恍┮?guī)則來符合要求。除此以外還可以添加系統(tǒng)提供的一些子模板來實(shí)現(xiàn)一些特定的功能。圖形管理界面用戶可以通過圖形界面對(duì)防火墻進(jìn)行配置和管理。而且也可以通過圖形界面來管理審計(jì)內(nèi)容，而不象有些防火墻是通過命令行方式進(jìn)行配置。完全中國化的設(shè)計(jì)方正方御防火墻是由方正數(shù)碼自行設(shè)計(jì)和制作的，充分考慮了中國國情，除了界面、幫助文檔、使用說明完全中文化外，還加入了一些小型模板用戶給管理員配置防火墻。集中管理方正方御防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。. 方正方御防火墻功能說明. 多種工作模式方正方御防火墻可以工作在網(wǎng)橋和路由兩種模式下：A：網(wǎng)橋模式：3個(gè)端口構(gòu)成一個(gè)以太網(wǎng)交換機(jī)，防火墻本身沒有IP地址，在IP層透明?？梢詫⑷我馊齻€(gè)物理網(wǎng)絡(luò)連接起來構(gòu)成一個(gè)互通的物理網(wǎng)絡(luò)。當(dāng)防火墻工作在交換模式時(shí)，內(nèi)網(wǎng)、DMZ區(qū)和路由器的內(nèi)部端口構(gòu)成一個(gè)統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級(jí)路由器，這種模式不需要改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)和設(shè)備的網(wǎng)絡(luò)設(shè)置。B： 路由模式：防火墻本身構(gòu)成3個(gè)網(wǎng)絡(luò)間的路由器，3個(gè)界面分別具有不同的IP地址。三個(gè)網(wǎng)絡(luò)中的主機(jī)通過該路由進(jìn)行通信。當(dāng)防火墻工作在路由模式時(shí)，可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時(shí)隔絕Internet對(duì)內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對(duì)Internet提供服務(wù)。在沒有安裝方正方御防火墻的時(shí)候典型網(wǎng)絡(luò)結(jié)構(gòu)圖如下:在安裝了方正方御防火墻的時(shí)候網(wǎng)絡(luò)結(jié)構(gòu)圖如下:. 包過濾防火墻方正方御防火墻包過濾的功能是對(duì)指定IP包進(jìn)行包過濾，并且按照設(shè)定策略對(duì)IP包進(jìn)行統(tǒng)計(jì)和日志記錄，主要根據(jù)IP包的如下信息進(jìn)行過濾：l 源IP地址l 目的IP地址l 協(xié)議類型（IP、ICMP、TCP、UDP）l 源TCP/UDP端口l 目的TCP/UDP端口l ICMP報(bào)文類型域和代碼域l 碎片包l 其它標(biāo)志位，如SYN，ACK位. 高效的過濾有些防火墻在安裝上以后對(duì)WEB服務(wù)器的吞吐能力影響很大，造成性能的降低。由于方正方御防火墻采用了3I（Intelligent IP Identifying）技術(shù)，能夠?qū)崿F(xiàn)快速匹配。因此方正方御防火墻不會(huì)對(duì)性能造成任何影響。方正方御防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到300,000個(gè)以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬個(gè)左右。. 碎片處理功能由于很多系統(tǒng)平臺(tái)，包括一些路由器對(duì)IP碎片的處理存在問題，容易產(chǎn)生欺騙和拒絕服務(wù)等攻擊，方正方御防火墻能夠識(shí)別出IP碎片并且進(jìn)行控制，這樣一來通過禁止IP碎片通過方正方御防火墻，防止了這樣的問題的產(chǎn)生。. 防SYN Flood攻擊一些TCP/IP棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來的ACK消息，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。典型的就是Syn Flood攻擊,通過大量的虛假的Syn包使服務(wù)器速度變慢，甚至是死機(jī)。一般的防火墻是通過限制每秒鐘通過的Syn包數(shù)量來組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。1：沒有安裝方御防火墻2：安裝方御防火墻方正方御防火墻使用了兩種方式來反Syn Flood攻擊，一種方法就是通過設(shè)置單位時(shí)間內(nèi)的SYN包數(shù)量來控制，另外一種方法修改了TCP/IP堆棧的算法，使得新Syn包始終可以獲得連接位。避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。. 強(qiáng)大的狀態(tài)檢測(cè)功能方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而方正方御防火墻對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對(duì)應(yīng)用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢(shì)必會(huì)使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。. IDS(入侵檢測(cè)系統(tǒng)). 反端口掃描一般黑客如果要對(duì)一個(gè)網(wǎng)站發(fā)動(dòng)攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開啟的服務(wù)，然后做出相應(yīng)的入侵方式。 方正方御防火墻入侵檢測(cè)系統(tǒng)能夠在黑客掃描網(wǎng)站的時(shí)候就能檢測(cè)到并報(bào)警，這樣就能提前將黑客拒之于門外。方正方御防火墻入侵檢測(cè)系統(tǒng)在檢測(cè)到有黑客掃描服務(wù)器端口的時(shí)候會(huì)立即在攻擊者的視野中消失，從而使黑客無法進(jìn)行后面的攻擊。方正方御防火墻入侵檢測(cè)系統(tǒng)根據(jù)配置文件監(jiān)控任何和TCP、UDP端口的連接。 可以對(duì)全部端口同時(shí)進(jìn)行監(jiān)控，同時(shí)也可以忽略指定的端口。這樣就能滿足不同的需求方式。. 可以防范1000余種攻擊方式1. 檢測(cè)多種DoS攻擊2. 檢測(cè)多種DDoS攻擊3. 檢測(cè)保護(hù)子網(wǎng)中是否存在后門和木馬程序4. 檢測(cè)多種針對(duì)Finger服務(wù)的攻擊5. 檢測(cè)多種針對(duì)FTP服務(wù)的攻擊6. 檢測(cè)基于NetBIOS的攻擊7. 檢測(cè)緩沖區(qū)溢出類型攻擊8. 檢測(cè)基于RPC的攻擊9. 檢測(cè)基于SMTP的攻擊10. 檢測(cè)基于Telnet的攻擊11. 檢測(cè)網(wǎng)絡(luò)上傳輸?shù)牟《竞腿湎x12. 檢測(cè)CGI攻擊13. 檢測(cè)針對(duì)WEB Server的FrontPage擴(kuò)展進(jìn)行的攻擊14. 檢測(cè)針對(duì)WEB Server的ColdFusion擴(kuò)展進(jìn)行的攻擊15. 檢測(cè)針對(duì) MicroSoft IIS server進(jìn)行的攻擊16. 檢測(cè)利用ICMP進(jìn)行的掃描和攻擊。17. 檢測(cè)利用Traceroute對(duì)網(wǎng)絡(luò)的探測(cè)18. 檢測(cè)ActiveX，JaveApplet的傳輸19. 檢測(cè)對(duì)其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊. 在線升級(jí)和實(shí)時(shí)報(bào)警由于入侵檢測(cè)系統(tǒng)的庫文件是需要不斷的更新，因此方正方御防火墻提供了非常方便的升級(jí)接口，可以通過我們的網(wǎng)站進(jìn)行在線升級(jí)，而且我們提供了非常方便的用戶升級(jí)界面，使升級(jí)工作可以非常方便的完成。報(bào)警是否能夠及時(shí)是衡量一個(gè)入侵檢測(cè)系統(tǒng)的重要因素之一，如果在黑客剛剛進(jìn)行攻擊的時(shí)候就能夠做出響應(yīng)，那么管理員會(huì)有足夠的時(shí)間進(jìn)行防護(hù)。 方正方御防火墻的報(bào)警系統(tǒng)和入侵檢測(cè)系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測(cè)系統(tǒng)檢測(cè)到攻擊，報(bào)警系統(tǒng)會(huì)馬上做出反應(yīng)，通過Email或手機(jī)通知管理員。同時(shí)會(huì)啟動(dòng)自動(dòng)防范系統(tǒng)進(jìn)行防范。. 入侵檢測(cè)和防火墻的互動(dòng)通過通信行為跟蹤，防火墻能夠檢測(cè)到對(duì)網(wǎng)絡(luò)的多種掃描，檢測(cè)到對(duì)網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M(jìn)行響應(yīng)，包括自動(dòng)防范及用戶自定義安全響應(yīng)策略等。. 雙機(jī)熱備方正方御防火墻系統(tǒng)能夠在網(wǎng)絡(luò)中智能地尋找與其對(duì)等的備份機(jī)，并且使備份機(jī)自動(dòng)進(jìn)入等待狀態(tài)，而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效，可及時(shí)自動(dòng)啟動(dòng)，防止網(wǎng)絡(luò)中斷事故的發(fā)生。 其智能識(shí)別技術(shù)甚至可以支持多于兩臺(tái)以上的方正方御防火墻在網(wǎng)絡(luò)上互為備份，適用于對(duì)可靠性要求極高的場(chǎng)合。. 強(qiáng)大的審計(jì)功能審計(jì)功能是方正方御防火墻非常強(qiáng)大的一個(gè)部分，目前國內(nèi)防火墻的審計(jì)功能都非常不完善，方正方御防火墻提供了大量的審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容的查詢功能，由于日志可能對(duì)一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而且就每一個(gè)部分都是可以進(jìn)行查詢和管理的，這樣一來就可以使用戶對(duì)防火墻的情況有一個(gè)非常透徹的了解。方正方御防火墻中審計(jì)功能有著非常完善的權(quán)限管理，有專門的審計(jì)員來對(duì)審計(jì)內(nèi)容進(jìn)行管理，在審計(jì)中又分成了若干級(jí)別的權(quán)限。這樣可以方便管理員管理審計(jì)內(nèi)容。. 基于PKI的高級(jí)授權(quán)認(rèn)證PKI（Public Key Infrastructure）是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)CA/RA系統(tǒng)是PKI不可缺的組成部分。網(wǎng)絡(luò)，特別是Internet網(wǎng)絡(luò)的安全應(yīng)用已經(jīng)離不開 PKI技術(shù)的支持。網(wǎng)絡(luò)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全需 求只有PKI技術(shù)才能滿足。PKI在國外已經(jīng)開始實(shí)際應(yīng)用。在美國，隨著電 子商務(wù)的日益興旺，電子簽名、數(shù)字證書已經(jīng)在實(shí)際中得到了一定程度的應(yīng)用，就連某些國家都已經(jīng)開始接受電子簽名的檔案。方正方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。有些防火墻的認(rèn)證機(jī)制采用OTP（Once Time Password），或者采用了靜態(tài)口令機(jī)制。比如說，靜態(tài)密碼是用戶和機(jī)器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個(gè)口令，就說明用戶是機(jī)器所認(rèn)為的那個(gè)人，那么就很容易的控制防火墻。而一次性口令也一樣，用戶和機(jī)器之間必須共知一條通行短語，而這通行短語對(duì)外界是完全保密的。和靜態(tài)口令不同的是，這個(gè)通行短語并不在網(wǎng)絡(luò)上進(jìn)行傳輸，所以黑客通過網(wǎng)絡(luò)竊聽是不可能的。當(dāng)時(shí)使用起來沒有使用證書認(rèn)證方便。因此方正方御防火墻基于PKI的高級(jí)授權(quán)認(rèn)證機(jī)制在技術(shù)上面非常的先進(jìn)，超越了大部分的防火墻產(chǎn)品。. 集中管理根據(jù)美國財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無用，而是由于一般的防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護(hù)防火墻，要求防火墻管理員對(duì)網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解，而且防火墻的安全策略無法進(jìn)行集中管理，這些都造成了網(wǎng)絡(luò)安全的失敗。而方正方御防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。4. 工程實(shí)施方案. 測(cè)試及驗(yàn)收. 測(cè)試及驗(yàn)收描述在整個(gè)項(xiàng)目實(shí)施過程中，有3個(gè)重要的驗(yàn)收，它們是單點(diǎn)驗(yàn)收、初驗(yàn)和終驗(yàn)。下面是這三個(gè)驗(yàn)收通過的描述：(1)單點(diǎn)驗(yàn)收通過的條件：設(shè)備數(shù)量與合同相符完成上機(jī)、加電、連接網(wǎng)絡(luò)及配置(2)移交(初驗(yàn))測(cè)試的定義：買方技術(shù)人員按各方商定好的測(cè)試項(xiàng)目及方法對(duì)系統(tǒng)進(jìn)行測(cè)試。此測(cè)試的目的是使整個(gè)網(wǎng)絡(luò)系統(tǒng)具有開放業(yè)務(wù)的條件。詳細(xì)的測(cè)試方案將和用戶協(xié)商后確定。移交(初驗(yàn))測(cè)試通過的條件：買方按測(cè)試計(jì)劃完成并通過網(wǎng)絡(luò)測(cè)試或買方開通業(yè)務(wù)。(3)終驗(yàn)通過的條件：沒有出現(xiàn)雙方認(rèn)可的由于安全產(chǎn)品設(shè)備造成全網(wǎng)不可恢復(fù)的癱瘓沒有出現(xiàn)雙方認(rèn)可的由于安全產(chǎn)品設(shè)備造成單點(diǎn)不可恢復(fù)