【導讀】第一章項目背景概述---------------------------------------------------------------------------------------------------6. 第二章信息安全理論和依據(jù)-----------------------------------------------------------------------------------------7. 信息安全系統(tǒng)工程標準SSE-CMM---------------------------------------------------------------------------7. 信息安全測評認證標準GB/T18336和第三方權威機構----------------------------------------------8. 信息安全行政法規(guī)--------------------------------------------------------------------------------------------9. 第三章項目目標和宗旨------------------------------------------------------------------------------------------------10. 第四章總體需求分析----------------------------------------------------------------------------------------------------11. 第二部分安全系統(tǒng)部署方案------------------------------------------------------------------------------------16. 第二章方案設計結構--------------------------------------------------------------------------------------------------18. 第三章防火墻系統(tǒng)----------------------------------------------------------------------------------------------------19

　　

【正文】 第 19 頁 第三章 防火墻 系統(tǒng) 根據(jù) XXXX 集 團多 年的 安全 經(jīng)驗 ，建 議采 用 天 融信 網(wǎng)絡 衛(wèi) 士NGFW4000UF 千兆級防火墻產(chǎn)品。 一臺保護辦公自動化系統(tǒng)服務器 ,一臺保護案件管理服務器 ,一臺保護其他類型服務器 . 防火墻對服務 器群的保護 由于各種應用服務器等公開服務器屬于對外提供公開服務的主機系統(tǒng)，因此對于這些公開服務器的保護也是十分必要的；具體可以利用天融信防火墻 4000千兆系統(tǒng)的安全服務器網(wǎng)絡（ SSN）的特性，將公開服務器連接在千兆防火墻的SSN 區(qū)上。 對于網(wǎng)絡衛(wèi)士防火墻 4000 千兆系統(tǒng)而言，其接口分別可以自行定義為 SSN（安全服務器網(wǎng)絡）區(qū)、內網(wǎng)區(qū)、外網(wǎng)區(qū)共三個區(qū)域。 SSN（安全服務器網(wǎng)絡）區(qū)是為適應越來越多的用戶向 Inter 上提供服務時對服務器保護的需要，網(wǎng)絡衛(wèi)士防火墻 4000 采用特別的策略對用戶的公開服務器實施保 護，它利用獨立網(wǎng)絡接口連接公開服務器網(wǎng)絡，公開服務器網(wǎng)絡既是內部網(wǎng)的一部份，又與內部網(wǎng)物理隔離， 這就是安全服務器網(wǎng)絡（ SSN）技 術。它既實現(xiàn)了對公開服務器自身的安全保護，同時也避免了公開服務器對內部網(wǎng)的安全威脅。 。 防火墻對核心內部業(yè)務網(wǎng)的保護 對于核心內部業(yè)務網(wǎng)部分在實施策略時，也可以配置防火墻 4000 系統(tǒng)工作與透明模式下，并設置只允許核心內部網(wǎng)能夠訪問外界有限分配資源，而不允許外界網(wǎng)絡訪問核心內部網(wǎng)信息資源或只允許訪問有限資源；也可以在防火墻上配置 NAT 或 MAP 策略，能夠更好地隱藏內部網(wǎng)絡地址結構 等信息，從而更好地保護核心內部網(wǎng)的系統(tǒng)安全。 防火墻對網(wǎng)絡邊界的保護 對于 XXX 網(wǎng)絡而言，外接網(wǎng)絡系統(tǒng)和內網(wǎng)都是一個獨立的網(wǎng)絡安全區(qū)域， 科技 XXXX 產(chǎn)業(yè)立地 第 20 頁 因此在網(wǎng)絡邊界處配置天融信網(wǎng)絡衛(wèi)士防火墻 4000 系統(tǒng)，制定安全的訪問策略，不僅可以有效地保護內部網(wǎng)絡中的系統(tǒng)和數(shù)據(jù)安全，還可以防止各網(wǎng)絡之間有意無意地探測和攻擊行為。 建立完整、動態(tài)的安全防護體系 在防火墻 4000 上除了通過設置安全策略來增加對服務器或內部網(wǎng)的保護以外，同時還可以啟用防火墻 4000 日志服務器記錄功能來記錄所有的訪問情況，對非法訪問進行監(jiān)控；還可以 使用防火墻 4000 與本次一起實施的入侵檢測系統(tǒng)之間的實時聯(lián)動功能，形成動態(tài)、完整的、安全的防護體系。 網(wǎng)絡衛(wèi)士防火墻 4000 功能特點 a. 專用安全操作系統(tǒng) 網(wǎng)絡衛(wèi)士 防火墻 4000采用的是專用安全操作系統(tǒng)，保證了防火墻自身的安全性：一般建立在通用操作系統(tǒng)之上的防火墻，它的安全性很大程度上依賴操作系統(tǒng)本身的安全性；而采用專用操作系統(tǒng)的防火墻，則極大提高了防火墻自身和所保護網(wǎng)絡的安全性。 b. 模塊化結構設計 網(wǎng)絡衛(wèi)士 防火墻 4000的架構為 模塊化結構設計：可擴展性好，方便用戶定制與升級；它使用工控級專用硬件，采用嵌入 式模塊設計，支持雙電源和雙機備份；獨特的設計方式，確保了防火墻本身的安全性和高可靠性。 c. 靈活的工作模式 網(wǎng)絡衛(wèi)士 防火墻 4000 采用 多種靈活的工作模式，方便接入和部署：網(wǎng)絡衛(wèi)士防火墻支持多種工作模式，可以透明接入，不影響原有網(wǎng)絡的設計和配置；也可以路由模式接入，提供路由功能；還有獨創(chuàng)的綜合工作模式，即透明模式和路由模式同時工作，極大提高網(wǎng)絡應用的靈活性。 d. 先進獨創(chuàng)的設計思想 網(wǎng)絡衛(wèi)士 防火墻 4000采用 面向資源的設計思想，對象是由許多種資源組成的實體，規(guī)則既是建立在這種實體的基礎上，而資源的概念比對象控制更加細 化，簡化了用戶規(guī)則，使規(guī)則更為直觀，提高了配置的效率和靈活性；提出了面向資 科技 XXXX 產(chǎn)業(yè)立地 第 21 頁 源的防火墻策略體系，首次引入了區(qū)域控制的概念，防火墻的每個物理接口對應一個獨立的防火區(qū)域，每個區(qū)域的安全策略只對該區(qū)域有效；每個區(qū)域可以單獨設置自己的默認安全策略，所有對該區(qū)域的訪問都將匹配與該區(qū)域對應的安全策略，從而使防火墻的策略配置更加簡單，且便于維護。 e. 采用源地址路由功能 一般的路由技術只根據(jù)目標地址來做出路由選擇，而 網(wǎng)絡衛(wèi)士 防火墻 4000則根據(jù)信息的源地址和目標地址來做出路由選擇。這種源、目地址路由技術可以很好的適應有多個網(wǎng)絡 出口的環(huán)境。比如對于某些教育系統(tǒng)的網(wǎng)絡可能同時有兩條互聯(lián)網(wǎng)出口，一條是通過專有線路連接到 教育網(wǎng) ，另一條是經(jīng)由電信的線路直接連接到 Inter；對于這種環(huán)境即可利用防火墻的源、目的地址路由技術進行恰當?shù)呐渲谩? f. IP 地址綁定功能 IP和 MAC地址綁定功能是為了防止防火墻廣播域內主機的 IP地址不被另一臺機器盜用。也就是說，如果要保護的主機與防火墻直接相連，可以將此機器的 IP 與其物理網(wǎng)卡地址捆綁，這樣其他內部機器就不可能使用這個 IP通過防火墻。 而 IP 與用戶綁定 則是 綁定一次性口令用戶到定義 IP 列表上，防止綁 定用戶從非許可區(qū)域 登錄并 通過防火墻 系統(tǒng)，其中被綁定的 IP 可以是單個 IP 地址，也可以是某個 IP 地址區(qū)間 。 g. 強大的地址轉換功能 網(wǎng)絡衛(wèi)士 防火墻 4000同時支持地址（靜態(tài)和動態(tài)）轉換和地址（或端口）映射功能。地址轉換用于使用保留 IP地址的內部網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址時對源地址進行轉換。對外部用戶來說，地址轉換能夠有效的隱藏內部網(wǎng)絡的拓撲結構等信息；同時有效的解決了公有 IP地址不足的問題。 h. 支持 DHCP 協(xié)議 網(wǎng)絡衛(wèi)士 防火墻 4000支持運行 DHCP 、 BOOTP 等協(xié)議的動態(tài) IP地址主機。對于使用 DHCP 服務器來動態(tài)分配 IP地址的網(wǎng)絡環(huán)境，很難使用 IP地址來進行訪問控制，因為網(wǎng)絡中的主機沒有固定的靜態(tài) IP地址。而此時 防火墻系統(tǒng) 則使用相關主機的 MAC地址來實行策略控制，這樣即可解決了服務器主機 IP地址不固定、無法控制的問題。 i. 支持 SSL、 SSH 協(xié)議 科技 XXXX 產(chǎn)業(yè)立地 第 22 頁 為了保證遠程管理的安全性，防止遠程管理過程被監(jiān)聽和修改， 網(wǎng)絡衛(wèi)士 防火墻 4000還支持基于 SSH的遠程登錄管理和基于 SSL機制的 的數(shù)據(jù)加密傳輸方式，將管理主機和防火墻之間的通訊進行加密以保證安全。 j. 支持 SNMP 網(wǎng)管協(xié)議 防火墻作為一種網(wǎng)絡安全訪問控制的基礎網(wǎng)絡設備， 為了更好地使它支持網(wǎng)絡集中監(jiān)控，因此 網(wǎng)絡衛(wèi)士 防火墻 4000提供了對 SNMP網(wǎng)管協(xié)議 不同版本的支持；并與當前通用的網(wǎng)絡管理平臺兼容，如 HP Openview 、 Cisco works 等，可以通過這些管理平臺對防火墻的運行狀況進行監(jiān)控，并接收通過 SNMP TRAP發(fā)送的報警信息，幫助網(wǎng)絡管理員找出網(wǎng)絡中的故障。 k. 分布式帶寬管理功能 網(wǎng)絡衛(wèi)士 防火墻 4000的 帶寬管理功能實現(xiàn)了多層次的分布式管理模式，避免了單層集中管理的缺點；可以實現(xiàn)帶寬分層、帶寬分級、帶寬分配、帶寬優(yōu)化等管理等，優(yōu)化了網(wǎng)絡資源的應用，提高了網(wǎng)絡 資源應用效率。 在實際應用中， 防火墻系統(tǒng) 允許管理員定義任意兩個網(wǎng)絡對象之間通信時的最大帶寬，而且?guī)捒梢允欠謱拥?，例如部門帶寬下面有小組帶寬，而后是主機帶寬等，防止帶寬被濫用，保證重要的通信的順暢。 l. 支持第三方用戶認證功能 網(wǎng)絡衛(wèi)士 防火墻 4000支持第三方用戶軟件的認證，如 RADIUS、 TACACS+等認證系統(tǒng)，更好更廣泛的實現(xiàn)了用戶鑒別和訪問控制，可以用于對遠程移動用戶的身份認證、控制等。 m. 內置抗攻擊功能 網(wǎng)絡衛(wèi)士 防火墻 4000內置 防 TCP 、 UDP 等端口掃描和抗抗 DOS/DDOS 攻擊功能： 防火墻 可以 檢測到對網(wǎng)絡或內部主機的所有 TCP/UDP掃描并主動切斷已經(jīng)定義的非法的網(wǎng)絡掃描；拒絕服務攻擊（ DOS ）就是攻擊者過多的占用共享資源，導致服務器超載或系統(tǒng)崩潰，而使正常用戶無法享有服務或沒有資源可用； 防火墻 通過內置的抗攻擊模塊控制、檢測并阻斷 DOS攻擊。 n. 強大的深層日志還原功能 網(wǎng)絡衛(wèi)士 防火墻 4000提供了非常強大的日志功能，用戶可以根據(jù)需要對不同的通訊會話記錄不同的日志。 防火墻 系統(tǒng) 的審計日志包括如下幾個部分：通訊日志、應用層命令日志、訪問日志、內容日志。通訊日志也就是傳統(tǒng)的防火墻日志， 科技 XXXX 產(chǎn)業(yè)立地 第 23 頁 負責記錄通訊時間、 源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過；應用層命令日志在通訊日志的基礎之上記錄下各個應用層命令及其參數(shù)，比如 HTTP 請求及其要取的網(wǎng)頁名；訪問日志則是在應用層命令日志的基礎之上記錄下用戶對網(wǎng)絡資源的訪問。 o. 保持超長 TCP 連接功能 對一般的 TCP 連接，我們希望超時時間不要太長，因為超時太長，防火墻或服務器會被占用過多資源，容易受到強力攻擊而造成拒絕服務。而有一些應用往往要求一個正常的 TCP連接保持很長時間（如 ATM和 POS機與數(shù)據(jù)處理中心的連接），這會與 防火墻 安全政策中連接配置的超時時間 相矛盾。因此對類似訪問數(shù)據(jù)處理中心這樣的超長時間 TCP連接， 網(wǎng)絡衛(wèi)士 防火墻 4000通過超長 TCP連接設置，對它們進行特殊處理，從而保證正常的 TCP連接能夠在預定的時間內不中斷，使得數(shù)據(jù)處理得以順利進行。 p. 支持雙機熱備和負載均衡功能 為了保證網(wǎng)絡的高可用性與高可靠性， 網(wǎng)絡衛(wèi)士 防火墻 4000提供了雙機熱備份功能，即在同一個網(wǎng)絡節(jié)點使用兩個配置相同的防火墻。正常情況下一個處于工作狀態(tài)，為主防火墻，另一個處于備份狀態(tài)，為從防火墻。當主防火墻發(fā)生意外 故障 或網(wǎng)絡鏈路出現(xiàn)故障等情況時，主從防火墻自動切換工作狀態(tài)，從防火墻代替主防火墻正常工作，從而保證了網(wǎng)絡的正常使用；同時 防火墻系統(tǒng) 還實現(xiàn)了狀態(tài)傳送協(xié)議 STP ，當一臺防火墻故障時，此防火墻上的連接不需要重新建立就可以透明地遷移到另一臺防火墻上。 網(wǎng)絡衛(wèi)士 防火墻 4000還支持服務器負載均衡功能，服務器陣列經(jīng)過 防火墻系統(tǒng) 對外表現(xiàn)為單臺的機器，而防火墻將外部來的訪問在這些服務器之間進行流量均衡，同時防火墻還可以識別出故障的服務器。 q. 可擴展支持 VPN 功能模塊 網(wǎng)絡衛(wèi)士 防火墻 4000內置的 VPN主要功能，可以實現(xiàn)不同安全域或網(wǎng)絡之間傳輸?shù)陌踩浴Ｒ坏┠徺I了此項功能模塊，就能夠與其它 VPN網(wǎng)關 、 VPN客戶端建立加密隧道互通，形成虛擬專用網(wǎng)，為遠程接入應用和點到點應用提供全面的 VPN支持。 科技 XXXX 產(chǎn)業(yè)立地 第 24 頁 第四章 入侵檢測系統(tǒng) 根據(jù) XXXX 集團多年的安全經(jīng)驗建議采用 天融信 NG IDS UF 入侵檢測產(chǎn)品 IDS Sensor 1 和 IDS Sensor 2 分別將監(jiān)控 Firewall 1， Firewall 2 與服務器區(qū)連接的線路上。用于捕捉數(shù)據(jù)包進行分析，從而判斷是否為可疑或入侵行為，而后進一步采取相應的動作進行防御。它可以收集訪問服務器的數(shù)據(jù)包，并分析所有數(shù)據(jù)包，然后將分析后發(fā)現(xiàn)的攻擊或威脅事件信息發(fā)送 到入侵檢測系統(tǒng)監(jiān)控中心。并定期更新攻擊事件特征庫，使其具有最新的攻擊識別能力。根據(jù)用戶的網(wǎng)絡環(huán)境可以指定 Sensor對不同的端口或 VLAN 實現(xiàn)監(jiān)控。 入侵檢測系統(tǒng)技術安全防護方案 利用防火墻技術，經(jīng)過仔細的配置，通常能夠在內外網(wǎng)之間提供安全的網(wǎng)絡保護，降低了網(wǎng)絡安全風險。 而 入侵檢測系統(tǒng)可以說是防火墻系統(tǒng)的合理補充和延伸，如果說防火墻是第一道安全閘門，入侵檢測系統(tǒng)可以說是第二道安全閘門。入侵檢測系統(tǒng) (Intrusion Detection System)是從計算機網(wǎng)絡中的關鍵點收集信息，并分析這些信息， 查看網(wǎng)絡中是否存在違反安全策略的行為。入侵檢測系統(tǒng)在不影響網(wǎng)絡性能的前提下，實時、動態(tài)地保護來自內部和外部的各種攻擊，同時有效地彌補了防火墻所能達到的防護極限。 下面將介紹入侵檢測系統(tǒng)在 XXX 的部署方案。 入侵檢測系統(tǒng)對網(wǎng)絡的保護 入侵檢測技術是主動保護自己免受攻擊的一種網(wǎng)絡安全技術。作為防火墻的合理補充，入侵檢測技術能夠幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了