【導(dǎo)讀】防火墻安全系統(tǒng)方案。方正數(shù)碼有限公司

　　

【正文】 ? 電子欺騙：防火墻能夠自動識別各種電子欺騙行為并進(jìn)行阻斷。同時防火墻能夠?qū)窝bIP地址進(jìn)行識別。 ? 代理服務(wù) 方正方御 防火墻對外提供代理服務(wù)功能，證券內(nèi)部網(wǎng)絡(luò)對外訪問可以通過防火墻提供的代理服務(wù)功能，同時代理服務(wù)可以針對 URL,SSL,FTP 進(jìn)行應(yīng)用攔截，防止內(nèi)部人員對外網(wǎng) 的非法訪問。 ? NAT 地址轉(zhuǎn)換 將證券內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū)域網(wǎng)絡(luò)地址通過 NAT 方式轉(zhuǎn)換，隱藏真實 IP 地址，防止內(nèi)部網(wǎng)絡(luò)受到攻擊。具體轉(zhuǎn)換方式就是將內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū)域機(jī)器的地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址，對外證券只有一個地址。而借助防火墻的多映射功能，可以將對外的同一地址映射為內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū)域不同服務(wù)的不同端口。 ? 日志系統(tǒng)及系統(tǒng)報警 方正方御防火墻 提供強(qiáng)大的日志系統(tǒng)，將通過防火墻的數(shù)據(jù)、防火墻管理數(shù)據(jù)、流量、各種攻擊行為統(tǒng)計集成到一起。同時系統(tǒng)提供針對各種統(tǒng)計結(jié)果按照用戶要求進(jìn)行報表打印。 ? 針對通過防火墻數(shù) 據(jù)，可以按照數(shù)據(jù)類型、地址進(jìn)行統(tǒng)計分析。 ? 針對各種管理數(shù)據(jù)，防火墻進(jìn)行詳細(xì)記錄，網(wǎng)管人員可以方便的查看對防火墻管理情況。如果有內(nèi)部人員對防火墻訪問，可以通過管理數(shù)據(jù)進(jìn)行查詢。 ? 流量統(tǒng)計：防火墻提供流量統(tǒng)計功能，可以按照用戶名稱、地址等多種方式進(jìn)行統(tǒng)計。 ? 系統(tǒng)報警：當(dāng)有人非法對內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)進(jìn)行訪問的時候，系統(tǒng)的實時報警會通過 Email和聲音進(jìn)行報警。同時對各種非法的訪問和攻擊行為進(jìn)行記錄。 通過強(qiáng)大的日志系統(tǒng)和實時報警、日志報警等多種方式保證證券內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問題時可以有資料分析；同時也可以通過對 日志系統(tǒng)的分析完善系統(tǒng)安全策略。 ? 帶寬分配，流量管理 在證券內(nèi)聯(lián)網(wǎng)上運(yùn)行著部分重要的業(yè)務(wù)數(shù)據(jù)，這些業(yè)務(wù)數(shù)據(jù)實時性要求高，必須保證這樣的數(shù)據(jù)具有優(yōu)先權(quán)限，防止因為帶寬問題影響證券的應(yīng)用。 方正方御防火墻 可以針對證券實際情況，對部分特殊應(yīng)用提供帶寬管理。給特殊應(yīng)用分配相對高的帶寬。同時 方正方御防火墻 提供流量管理功能，對內(nèi)部網(wǎng)絡(luò)用戶對外網(wǎng)的訪問可以提供流量限制。 ? 集中管理 針對證券網(wǎng)絡(luò)覆蓋面廣、區(qū)域跨度大的特點(diǎn)，防火墻需要集中管理和控制。方正方御防火墻 提供集中管理機(jī)制，支持遠(yuǎn)程管理。利用 NT 域的概念和技術(shù)，方正方御 防火墻 可以對同一個域內(nèi)的不同防火墻進(jìn)行同時管理。我們考慮在證券的總行以及各個大區(qū)行采取集中管理機(jī)制。按照防火墻的分權(quán)原則，將策略管理放置在各個防火墻節(jié)點(diǎn)。策略整體由證券總行策劃，各個節(jié)點(diǎn)自己進(jìn)行策略管理。而系統(tǒng)管理和日志查詢放置在各個大區(qū)行，統(tǒng)一管理、分析。防火墻提供管理接口，同時支持遠(yuǎn)程管理，管理數(shù)據(jù)采用 RC4/MD5 方式加密，可以有效保證管理的安全性，同時管理數(shù)據(jù)只在證券內(nèi)聯(lián)網(wǎng)流動。而防火墻自身可以對管理員地址進(jìn)行嚴(yán)格限制。 ? 預(yù)制模板 證券網(wǎng)絡(luò)復(fù)雜，但是結(jié)構(gòu)清晰，為了更好的維護(hù)整個系統(tǒng)安全和適應(yīng)證券統(tǒng)一管理、安全強(qiáng)度一致的原則， 方正方御防火墻 提供預(yù)制模板功能。可以通過證券統(tǒng)一制訂一個策略模板，各個節(jié)點(diǎn)網(wǎng)絡(luò)在這個模板基礎(chǔ)上進(jìn)行規(guī)劃，簡化管理過程，使得系統(tǒng)管理難度降低。 ? 系統(tǒng)升級 網(wǎng)絡(luò)安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)發(fā)展不斷變化，而網(wǎng)絡(luò)安全策略和軟件也不能一成不變，需要不斷升級。 方正方御防火墻 管理界面提供方便的系統(tǒng)升級和 IDS升級功能。保證證券防火墻產(chǎn)品實時和網(wǎng)絡(luò)安全領(lǐng)域技術(shù)同步，防止因為新的安全問題給系統(tǒng)帶來的安全風(fēng)險。其中，特別是 IDS 功能，幾乎每天都有新的安全風(fēng)險和攻擊軟件出現(xiàn)。方正防火墻內(nèi)嵌 IDS 功能模塊可以動 態(tài)升級，保障 IDS數(shù)據(jù)庫和最新動態(tài)同步。 ? 雙機(jī)備份 網(wǎng)絡(luò)安全、穩(wěn)定長期運(yùn)行是證券最終目標(biāo)，而網(wǎng)絡(luò)硬件可能因為一些特殊原因發(fā)生故障。 方正方御防火墻 提供雙機(jī)備份功能，采用兩種方式進(jìn)行備份檢測，軟件方式借用 HSRP 技術(shù)動態(tài)跟蹤各個區(qū)域運(yùn)行狀態(tài)，發(fā)現(xiàn)任何一個區(qū)域出現(xiàn)問題即刻進(jìn)行切換。硬件方式采用心跳線方式，當(dāng)系統(tǒng)檢測到故障，也將進(jìn)行切換。而系統(tǒng)的切換不影響證券的業(yè)務(wù)。兩臺防火墻工作在互備模式中。 ? 防火墻方案特點(diǎn) 本次證券內(nèi)聯(lián)網(wǎng)防火墻主要設(shè)置在內(nèi)網(wǎng)與外網(wǎng)和其他商業(yè)銀行連接的節(jié)點(diǎn)上。本方案中，我們主要根據(jù)證券網(wǎng)絡(luò)實 際情況，針對防火墻的特殊性，從如下幾個方面考慮 保障系統(tǒng)安全性 防火墻放置在內(nèi)外網(wǎng)之間用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，對內(nèi)外網(wǎng)絡(luò)的通信進(jìn)行嚴(yán)格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證內(nèi)部系統(tǒng)安全。因此 方正方御防火墻 提供全面的訪問控制策略、 IPMAC 地址捆綁、 IDS 入侵檢測、反電子欺騙等手段。這些功能能夠有效的保障內(nèi)部網(wǎng)絡(luò)安全。同時 方正方御防火墻 也提供帶寬管理、分配，系統(tǒng)報警等措施從側(cè)面協(xié)助。 自身安全性 防火墻作為網(wǎng)絡(luò)系統(tǒng)中的一個部件，其自身的安全性也是十分重要的，考慮到實際情況， 方正方御防火墻 提供單獨(dú)的 管理接口，管理接口服務(wù)全部關(guān)閉，同時管理接口的特殊管理數(shù)據(jù)采用標(biāo)準(zhǔn)加密算法和措施。證券遠(yuǎn)程管理過程中數(shù)據(jù)通過證券內(nèi)聯(lián)網(wǎng)進(jìn)行管理能夠有效的保證管理的安全性。同時，利用 Windows NT中域技術(shù)，對防火墻管理時必須登錄到相應(yīng)的域才能對域內(nèi)的用戶進(jìn)行管理，保障管理域安全性。而防火墻操作系統(tǒng)采用經(jīng)過嚴(yán)格測試專有操作系統(tǒng)。 維護(hù)方便性 管理的方便性直接關(guān)系到系統(tǒng)能否起到安全保護(hù)作用， 方正方御防火墻 提供的專有 GUI 平臺，方便制訂各種安全策略。 系統(tǒng)事件管理 系統(tǒng)事件和日志的統(tǒng)計直接關(guān)系到整個安全平臺的完善和后續(xù)責(zé)任追 查等多個方面， 方正方御防火墻 為用戶提供完整、準(zhǔn)確的數(shù)據(jù)統(tǒng)計結(jié)果，供查詢、打印等。 ? 證券內(nèi)聯(lián)網(wǎng)防火墻安全需求及方案對照說明 ? 內(nèi)聯(lián)網(wǎng)防火墻基本要求 內(nèi)聯(lián)網(wǎng)設(shè)置防火墻的目的是隔離內(nèi)部網(wǎng)、外部網(wǎng)和 DMZ 區(qū)（非軍事區(qū)），抵御多種模式的網(wǎng)絡(luò)攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊。 ? 方正方御防火墻是基于狀態(tài)檢測技術(shù)的包過濾防火墻，擁有完整的客體訪問控制能力。能夠?qū)刂品秶鷥?nèi)任何主體和客體執(zhí)行端到端策略。通過對主、客體的規(guī)則策略的配置可以控制主、客體的訪問。 ? 方正方御防火墻通過設(shè)置允許、禁止以及對已建、新建、相關(guān)、非法四種狀態(tài)的檢測訪 問，擁有授權(quán)與拒絕能力。為主體和客體的安全屬性提供明確的訪問保障和拒絕。 ? 方正方御防火墻擁有多種安全屬性訪問控制。防火墻的策略控制范圍包括：源地址、目的地址、源端口號、目的端口號、傳輸協(xié)議，連接狀態(tài)，以及碎片檢測等所有要素。 ? 方正方御防火墻具備安全審計功能模塊。能夠?qū)θ肭謾z測、流量控制、防火墻自身操作、代理服務(wù)器等進(jìn)行安全審計，并且將其審計結(jié)果詳細(xì)的記錄在日志中，通過自帶的統(tǒng)計模塊，管理人員可以自動或者手動地將其統(tǒng)計成為報表。 ? 方正方御防火墻安全策略采用了非旁路性的設(shè)計，即所有流過防火墻的信息包都要經(jīng)過 防火墻的配置規(guī)則的檢測，不會出現(xiàn)信息包繞過防火墻的配置策略進(jìn)入受保護(hù)網(wǎng)絡(luò)的情況。防火墻能夠充分保證任何與安全有關(guān)的操作被執(zhí)行前，均通過安全策略的檢查。 ? 方正方御防火墻自身擁有非常高的安全性。 方正 方御防火墻采用專用的操作系統(tǒng)，用戶或者黑客不會了解其操作系統(tǒng)的任何信息，無從對防火墻的操作系統(tǒng)進(jìn)行攻擊。同時在管理上使用專有的控制接口，將管理信息與其他信息隔離開的同時還采用了基于 PKI 的方式確保管理信息的安全性。 ? 方正方御防火墻擁有完善的管理功能，能夠支持安全的集中管理，能區(qū)分安全管理角色，采用 了三級管理體系，將管理人員分為管理員、審計員、策略員三種。結(jié)合證券內(nèi)聯(lián)網(wǎng)樹型結(jié)構(gòu)的特點(diǎn)，使管理員可以對防火墻實施安全的遠(yuǎn)程管理及維護(hù)，并能夠通過加密保護(hù)遠(yuǎn)程管理會話。 ? 基本的配置管理功能，用戶數(shù)據(jù)保護(hù)中的管理員屬性的修改和查詢功能，標(biāo)識與鑒別功能。 ? 證券內(nèi)聯(lián)網(wǎng)防火墻功能要求 ? 必備功能 ? 包過濾 方正 方御防火墻是基于包過濾的防火墻，通過對所有流經(jīng)防火墻的信息包內(nèi)的包頭信息進(jìn)行檢查，允許或阻止數(shù)據(jù)包的傳輸，以實現(xiàn)對網(wǎng)絡(luò)的安全控制。它可以阻止畸型報文和拒絕服務(wù)，防止外部 IP Spoofing，并可限制內(nèi)部職工對外網(wǎng) 的訪問請求。同時防火墻內(nèi)置的強(qiáng)大的 IDS系統(tǒng)可以實時的封禁可疑的 IP及黑客的各種攻擊行為并報警。 ? 應(yīng)用代理 方正方御防火墻提供應(yīng)用代理的功能，是針對應(yīng)用層的服務(wù)，對用戶應(yīng)用提供代理服務(wù)，即接收用戶的訪問請求、分析用戶數(shù)據(jù)，然后以自己的身份向內(nèi)容服務(wù)器提出請求，并把內(nèi)容服務(wù)器的響應(yīng)傳回給用戶。 ? DMZ 的劃分 方正 方御防火墻提供 DMZ 的劃分，能夠?qū)崿F(xiàn)安全功能區(qū)域分割，把控制范圍內(nèi)各主體的安全區(qū)域分開。防火墻除了提供內(nèi)部接口和外部接口外，還提供一個 DMZ 區(qū)（非軍事區(qū)）的網(wǎng)絡(luò)接口。在 DMZ 區(qū)中，可以 設(shè)置公共應(yīng)用的服務(wù)設(shè)備，供外部網(wǎng)絡(luò)有條件地訪問其中的資源。 ? 地址轉(zhuǎn)換 方正 方御防火墻擁有雙向地址轉(zhuǎn)換功能（ NAT），它是基于網(wǎng)絡(luò)層的應(yīng)用，通過把內(nèi)部網(wǎng)絡(luò)（或 DMZ 區(qū)）的信息包內(nèi)的源地址修改為防火墻的外部端口地址傳向外部網(wǎng)絡(luò)，同時隱藏了內(nèi)部網(wǎng)絡(luò)（或 DMZ 區(qū)）的 IP 地址。具體做法為，當(dāng)用戶需要對外訪問時，防火墻會將用戶的 IP地址轉(zhuǎn)換為防火墻的外部端口 IP 地址，并將得到的響應(yīng)再轉(zhuǎn)換回用戶的 IP 地址發(fā)回給用戶，從而達(dá)到內(nèi)部網(wǎng)絡(luò)（或 DMZ 區(qū)）用戶訪問外部網(wǎng)絡(luò)資源的目的。這種做法既可以使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)（或 DMZ 區(qū)）的網(wǎng)絡(luò)結(jié)構(gòu)，又可以節(jié)約外部合法的 IP 地址空間。此外，方正方御防火墻提供反向的地址轉(zhuǎn)換功能，支持 DMZ區(qū)中的某個服務(wù)端口到內(nèi)部地址的一對一映射，即 DMZ 區(qū)中的地址向內(nèi)部網(wǎng)絡(luò)地址訪問時，被訪問的 IP 地址被轉(zhuǎn)換為指定的 DMZ 區(qū)中的 IP 地址。 ? 完整的日志功能 方正方御防火墻提供了完整的日志功能，由于防火墻的安全特性，使防火墻的日志成為及時發(fā)現(xiàn)系統(tǒng)的漏洞、分析系統(tǒng)可能受到的攻擊、判斷系統(tǒng)運(yùn)行的狀態(tài)及系統(tǒng)配置錯誤等問題的重要手段，因此方正方御防火墻能夠提供完整的日志功能。防火墻的運(yùn)行日志可以根據(jù)管理員的 管理要求進(jìn)行針對性的設(shè)置，實時記錄到目標(biāo)文件或目標(biāo)數(shù)據(jù)庫中，并提供必要的手段使管理員可以查閱當(dāng)前及歷史的日志文件。 ? 高安全性的防火墻操作系統(tǒng)和軟件內(nèi)核 由于防火墻軟件是基于特定操作系統(tǒng)之上的，因此必須對防火墻所使用操作系統(tǒng)的安全提出要求，以免因操作系統(tǒng)自身的漏洞導(dǎo)致防火墻的安全受到影響。方正方御防火墻采用的是專用的操作系統(tǒng)，安全性高，在操作系統(tǒng)上不會給黑客任何可趁之機(jī)。 ? 增強(qiáng)功能 按照“三級互聯(lián)處強(qiáng)度一致，功能要求有所區(qū)別”的建設(shè)方針，在總行、分行營業(yè)管理部 /省會城市中心支行二級網(wǎng)絡(luò)互聯(lián)區(qū)與商業(yè)銀行等其他 金融機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)對接處的防火墻配置要求具備或?qū)硇枰獣r可擴(kuò)充至此增強(qiáng)功能。 ? 雙機(jī)熱備 方正方御防火墻提供雙機(jī)熱備功能，在網(wǎng)絡(luò)中設(shè)置兩臺同等地位的防火墻產(chǎn)品，一主一從，從用防火墻中存有主用防火墻的設(shè)置鏡像，當(dāng)主用防火墻因故無法正常運(yùn)行時，從用防火墻可以自動取代主用防火墻運(yùn)作，提供應(yīng)急措施，從而保證整個網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行。 ? 防火墻性能 防火墻系統(tǒng)不但要有完善的功能，還要有最佳的性能保證 ,確保安全與效率的平衡，內(nèi)聯(lián)網(wǎng)中使用的防火墻必須符合國家相關(guān)標(biāo)準(zhǔn)和規(guī)范。 ? 方正 方御防火墻提供標(biāo)準(zhǔn)的以太網(wǎng)接口，適合證券內(nèi)聯(lián)網(wǎng)的網(wǎng) 絡(luò)接入模式、接口規(guī)范、網(wǎng)絡(luò)帶寬， 方正 方御防火墻擁有高吞吐量、高性能；時延小、時延抖動小等特點(diǎn)；包轉(zhuǎn)發(fā)率達(dá)到網(wǎng)絡(luò)要求； 30 萬并發(fā)連接數(shù)不會限制現(xiàn)有應(yīng)用系統(tǒng)的正常使用。不會成為網(wǎng)絡(luò)瓶頸，或明顯影響網(wǎng)絡(luò)工作效率。 ? 方正 方御防火墻具有較高可靠性，不會降低證券信息系統(tǒng)現(xiàn)有的可靠性。 ? 方正 方御防火墻采用的是專用的操作系統(tǒng)，具有很高的安全性，不存在可能被他人非法利用的安全漏洞。 ? 方正 方御防火墻將內(nèi)網(wǎng)、外網(wǎng)、 DMZ和防火墻配置端分別連接于不同的網(wǎng)卡，實現(xiàn)最底層的網(wǎng)絡(luò)驅(qū)動隔離。提供三個 10M/100M自適應(yīng)以太網(wǎng)口， 及一個 CONSOLE 口。 ? 方正 方御防火墻在管理上易管理、易維護(hù)。提供圖形化管理界面，易于理解的配置規(guī)則，簡捷的配置方法，最大限度地簡化管理員對防火墻產(chǎn)品的管理與維護(hù)工作。 ? 防火墻管理 防火墻能否充分發(fā)揮作用，不僅與產(chǎn)品功能性能緊密相關(guān)，日常的運(yùn)行管理也是至關(guān)重要的。相當(dāng)多的網(wǎng)絡(luò)入侵事件的發(fā)生，并非是防火墻不起作用，而是由于防火墻管理不善、操作和配置不當(dāng)，才使防火墻失去了應(yīng)有的防范作用。因此，網(wǎng)絡(luò)管理中心要進(jìn)行一定程度下的防火墻系統(tǒng)集中管理。對于 方正 方御防火墻，管理員可以通過一臺控制機(jī)對全網(wǎng)范圍內(nèi)的任何 一臺防火墻設(shè)備進(jìn)行遠(yuǎn)程管理，實現(xiàn)對防火墻的配置、啟動、關(guān)閉、備份和恢復(fù)。通過提供多層登錄權(quán)限設(shè)置功能，靈活設(shè)置防火墻的訪問權(quán)限。此外，為保證集中管理（即通過遠(yuǎn)程方式對防火墻產(chǎn)品進(jìn)行管理與維護(hù)）的安全性要求， 方正 方御防火墻能夠限制進(jìn)行遠(yuǎn)程管理的 IP 地址；能夠加密保護(hù)遠(yuǎn)程管理會話，且 方正 方御防火墻的加密是符合國家密碼委的有關(guān)規(guī)定的。 ? 證券內(nèi)聯(lián)網(wǎng)安全管理建議 ? 整體思路 根據(jù)證券內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)的情況提出對應(yīng)的管理建議。本建議僅包含了基本的原則和思路，需要證券系統(tǒng)相關(guān)人員通過協(xié)同工作，使安全管理與銀行本身