【正文】 火墻進行詳細記錄，網(wǎng)管人員可以方便的查看對防火墻管理情況。如果有內(nèi)部人員對防火墻訪問，可以通過管理數(shù)據(jù)進行查詢。? 流量統(tǒng)計：防火墻提供流量統(tǒng)計功能，可以按照用戶名稱、地址等多種方式進行統(tǒng)計。? 系統(tǒng)報警：當(dāng)有人非法對內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)進行訪問的時候，系統(tǒng)的實時報警會通過 Email 和聲音進行報警。同時對各種非法的訪問和攻擊行為進行記錄。通過強大的日志系統(tǒng)和實時報警、日志報警等多種方式保證證券內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問題時可以有資料分析；同時也可以通過對日志系統(tǒng)的分析完善系統(tǒng)安全策略。29 / 103 帶寬分配，流量管理在證券內(nèi)聯(lián)網(wǎng)上運行著部分重要的業(yè)務(wù)數(shù)據(jù)，這些業(yè)務(wù)數(shù)據(jù)實時性要求高，必須保證這樣的數(shù)據(jù)具有優(yōu)先權(quán)限，防止因為帶寬問題影響證券的應(yīng)用。方正方御防火墻可以針對證券實際情況，對部分特殊應(yīng)用提供帶寬管理。給特殊應(yīng)用分配相對高的帶寬。同時方正方御防火墻提供流量管理功能，對內(nèi)部網(wǎng)絡(luò)用戶對外網(wǎng)的訪問可以提供流量限制。 集中管理針對證券網(wǎng)絡(luò)覆蓋面廣、區(qū)域跨度大的特點，防火墻需要集中管理和控制。方正方御防火墻提供集中管理機制，支持遠程管理。利用 NT 域的概念和技術(shù)，方正方御防火墻可以對同一個域內(nèi)的不同防火墻進行同時管理。我們考慮在證券的總行以及各個大區(qū)行采取集中管理機制。按照防火墻的分權(quán)原則，將策略管理放置在各個防火墻節(jié)點。策略整體由證券總行策劃，各個節(jié)點自己進行策略管理。而系統(tǒng)管理和日志查詢放置在各個大區(qū)行，統(tǒng)一管理、分析。防火墻提供管理接口，同時支持遠程管理，管理數(shù)據(jù)采用 RC4/MD5 方式加密，可以有效保證管理的安全性，同時管理數(shù)據(jù)只在證券內(nèi)聯(lián)網(wǎng)流動。而防火墻自身可以對管理員地址進行嚴(yán)格限制。 預(yù)制模板證券網(wǎng)絡(luò)復(fù)雜，但是結(jié)構(gòu)清晰，為了更好的維護整個系統(tǒng)安全和適應(yīng)證券統(tǒng)一管理、安全強度一致的原則，方正方御防火墻提供預(yù)制模板功能?？梢酝ㄟ^證券統(tǒng)一制訂一個策略模板，各個節(jié)點網(wǎng)絡(luò)在這個模板基礎(chǔ)上進行規(guī)劃，簡化管理過程，使得系統(tǒng)管理難度降低。 系統(tǒng)升級網(wǎng)絡(luò)安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)發(fā)展不斷變化，而網(wǎng)絡(luò)安全策略和軟件也不能一成不變，需要不斷升級。方正方御防火墻管理界面提供方便的系統(tǒng)升級和30 / 103IDS 升級功能。保證證券防火墻產(chǎn)品實時和網(wǎng)絡(luò)安全領(lǐng)域技術(shù)同步，防止因為新的安全問題給系統(tǒng)帶來的安全風(fēng)險。其中，特別是 IDS 功能，幾乎每天都有新的安全風(fēng)險和攻擊軟件出現(xiàn)。方正防火墻內(nèi)嵌 IDS 功能模塊可以動態(tài)升級，保障 IDS 數(shù)據(jù)庫和最新動態(tài)同步。 雙機備份網(wǎng)絡(luò)安全、穩(wěn)定長期運行是證券最終目標(biāo)，而網(wǎng)絡(luò)硬件可能因為一些特殊原因發(fā)生故障。方正方御防火墻提供雙機備份功能，采用兩種方式進行備份檢測，軟件方式借用 HSRP 技術(shù)動態(tài)跟蹤各個區(qū)域運行狀態(tài)，發(fā)現(xiàn)任何一個區(qū)域出現(xiàn)問題即刻進行切換。硬件方式采用心跳線方式，當(dāng)系統(tǒng)檢測到故障，也將進行切換。而系統(tǒng)的切換不影響證券的業(yè)務(wù)。兩臺防火墻工作在互備模式中。 防火墻方案特點本次證券內(nèi)聯(lián)網(wǎng)防火墻主要設(shè)置在內(nèi)網(wǎng)與外網(wǎng)和其他商業(yè)銀行連接的節(jié)點上。本方案中，我們主要根據(jù)證券網(wǎng)絡(luò)實際情況，針對防火墻的特殊性，從如下幾個方面考慮保障系統(tǒng)安全性防火墻放置在內(nèi)外網(wǎng)之間用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，對內(nèi)外網(wǎng)絡(luò)的通信進行嚴(yán)格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證內(nèi)部系統(tǒng)安全。因此方正方御防火墻提供全面的訪問控制策略、IPMAC 地址捆綁、IDS 入侵檢測、反電子欺騙等手段。這些功能能夠有效的保障內(nèi)部網(wǎng)絡(luò)安全。同時方正方御防火墻也提供帶寬管理、分配，系統(tǒng)報警等措施從側(cè)面協(xié)助。自身安全性防火墻作為網(wǎng)絡(luò)系統(tǒng)中的一個部件，其自身的安全性也是十分重要的，考慮到實際情況，方正方御防火墻提供單獨的管理接口，管理接口服務(wù)全部關(guān)閉，同時管理接口的特殊管理數(shù)據(jù)采用標(biāo)準(zhǔn)加密算法和措施。證券遠程管理過程中數(shù)據(jù)通過證券內(nèi)聯(lián)網(wǎng)進行管理能夠有效的保證管理的安全性。同時，利用Windows NT 中域技術(shù)，對防火墻管理時必須登錄到相應(yīng)的域才能對域內(nèi)的用戶進行管理，保障管理域安全性。而防火墻操作系統(tǒng)采用經(jīng)過嚴(yán)格測試專有操作31 / 103系統(tǒng)。維護方便性管理的方便性直接關(guān)系到系統(tǒng)能否起到安全保護作用，方正方御防火墻提供的專有 GUI 平臺，方便制訂各種安全策略。系統(tǒng)事件管理系統(tǒng)事件和日志的統(tǒng)計直接關(guān)系到整個安全平臺的完善和后續(xù)責(zé)任追查等多個方面，方正方御防火墻為用戶提供完整、準(zhǔn)確的數(shù)據(jù)統(tǒng)計結(jié)果，供查詢、打印等。7 證券內(nèi)聯(lián)網(wǎng)防火墻安全需求及方案對照說明 內(nèi)聯(lián)網(wǎng)防火墻基本要求內(nèi)聯(lián)網(wǎng)設(shè)置防火墻的目的是隔離內(nèi)部網(wǎng)、外部網(wǎng)和 DMZ 區(qū)（非軍事區(qū)） ，抵御多種模式的網(wǎng)絡(luò)攻擊，保護內(nèi)部網(wǎng)絡(luò)不受攻擊。? 方 正 方 御 防 火 墻 是 基 于 狀 態(tài) 檢 測 技 術(shù) 的 包 過 濾 防 火 墻 ， 擁 有 完 整 的 客體 訪 問 控 制 能 力 。 能 夠 對 控 制 范 圍 內(nèi) 任 何 主 體 和 客 體 執(zhí) 行 端 到 端 策 略 。通 過 對 主 、 客 體 的 規(guī) 則 策 略 的 配 置 可 以 控 制 主 、 客 體 的 訪 問 。? 方 正 方 御 防 火 墻 通 過 設(shè) 置 允 許 、 禁 止 以 及 對 已 建 、 新 建 、 相 關(guān) 、 非 法四 種 狀 態(tài) 的 檢 測 訪 問 ， 擁 有 授 權(quán) 與 拒 絕 能 力 。 為 主 體 和 客 體 的 安 全 屬性 提 供 明 確 的 訪 問 保 障 和 拒 絕 。32 / 103? 方 正 方 御 防 火 墻 擁 有 多 種 安 全 屬 性 訪 問 控 制 。 防 火 墻 的 策 略 控 制 范 圍包 括 ： 源 地 址 、 目 的 地 址 、 源 端 口 號 、 目 的 端 口 號 、 傳 輸 協(xié) 議 ， 連 接狀 態(tài) ， 以 及 碎 片 檢 測 等 所 有 要 素 。? 方 正 方 御 防 火 墻 具 備 安 全 審 計 功 能 模 塊 。 能 夠 對 入 侵 檢 測 、 流 量 控 制 、防 火 墻 自 身 操 作 、 代 理 服 務(wù) 器 等 進 行 安 全 審 計 ， 并 且 將 其 審 計 結(jié) 果 詳細 的 記 錄 在 日 志 中 ， 通 過 自 帶 的 統(tǒng) 計 模 塊 ， 管 理 人 員 可 以 自 動 或 者 手動 地 將 其 統(tǒng) 計 成 為 報 表 。? 方 正 方 御 防 火 墻 安 全 策 略 采 用 了 非 旁 路 性 的 設(shè) 計 ， 即 所 有 流 過 防 火 墻的 信 息 包 都 要 經(jīng) 過 防 火 墻 的 配 置 規(guī) 則 的 檢 測 ， 不 會 出 現(xiàn) 信 息 包 繞 過 防火 墻 的 配 置 策 略 進 入 受 保 護 網(wǎng) 絡(luò) 的 情 況 。 防 火 墻 能 夠 充 分 保 證 任 何 與安 全 有 關(guān) 的 操 作 被 執(zhí) 行 前 ， 均 通 過 安 全 策 略 的 檢 查 。33 / 103? 方 正 方 御 防 火 墻 自 身 擁 有 非 常 高 的 安 全 性 。 方 正 方 御 防 火 墻 采 用 專 用的 操 作 系 統(tǒng) ， 用 戶 或 者 黑 客 不 會 了 解 其 操 作 系 統(tǒng) 的 任 何 信 息 ， 無 從 對防 火 墻 的 操 作 系 統(tǒng) 進 行 攻 擊 。 同 時 在 管 理 上 使 用 專 有 的 控 制 接 口 ， 將管 理 信 息 與 其 他 信 息 隔 離 開 的 同 時 還 采 用 了 基 于 PKI 的 方 式 確 保 管 理信 息 的 安 全 性 。? 方 正 方 御 防 火 墻 擁 有 完 善 的 管 理 功 能 ， 能 夠 支 持 安 全 的 集 中 管 理 ， 能區(qū) 分 安 全 管 理 角 色 ， 采 用 了 三 級 管 理 體 系 ， 將 管 理 人 員 分 為 管 理 員 、審 計 員 、 策 略 員 三 種 。 結(jié) 合 證 券 內(nèi) 聯(lián) 網(wǎng) 樹 型 結(jié) 構(gòu) 的 特 點 ， 使 管 理 員 可以 對 防 火 墻 實 施 安 全 的 遠 程 管 理 及 維 護 ， 并 能 夠 通 過 加 密 保 護 遠 程 管理 會 話 。? 基 本 的 配 置 管 理 功 能 ， 用 戶 數(shù) 據(jù) 保 護 中 的 管 理 員 屬 性 的 修 改 和 查 詢 功能 ， 標(biāo) 識 與 鑒 別 功 能 。 證券內(nèi)聯(lián)網(wǎng)防火墻功能要求 必備功能? 包過濾方正方御防火墻是基于包過濾的防火墻，通過對所有流經(jīng)防火墻的信息包內(nèi)的包頭信息進行檢查，允許或阻止數(shù)據(jù)包的傳輸，以實現(xiàn)對網(wǎng)絡(luò)的安全控制。它可以阻止畸型報文和拒絕服務(wù)，防止外部 IP Spoofing，并可限制內(nèi)部職工對外網(wǎng)的訪問請求。同時防火墻內(nèi)置的強大的 IDS 系統(tǒng)可以實時的封禁可疑的 IP 及黑客的各種攻擊行為并報警。34 / 103? 應(yīng)用代理方正方御防火墻提供應(yīng)用代理的功能，是針對應(yīng)用層的服務(wù)，對用戶應(yīng)用提供代理服務(wù)，即接收用戶的訪問請求、分析用戶數(shù)據(jù)，然后以自己的身份向內(nèi)容服務(wù)器提出請求，并把內(nèi)容服務(wù)器的響應(yīng)傳回給用戶。? DMZ 的 劃 分方 正 方 御 防 火 墻 提 供 DMZ 的 劃 分 ， 能 夠 實 現(xiàn) 安 全 功 能 區(qū) 域 分 割 ， 把 控 制范 圍 內(nèi) 各 主 體 的 安 全 區(qū) 域 分 開 。 防 火 墻 除 了 提 供 內(nèi) 部 接 口 和 外 部 接 口 外 ， 還 提供 一 個 DMZ 區(qū) （ 非 軍 事 區(qū) ） 的 網(wǎng) 絡(luò) 接 口 。 在 DMZ 區(qū) 中 ， 可 以 設(shè) 置 公 共 應(yīng) 用 的服 務(wù) 設(shè) 備 ， 供 外 部 網(wǎng) 絡(luò) 有 條 件 地 訪 問 其 中 的 資 源 。? 地 址 轉(zhuǎn) 換方 正 方 御 防 火 墻 擁 有 雙 向 地 址 轉(zhuǎn) 換 功 能 （ NAT） ， 它 是 基 于 網(wǎng) 絡(luò) 層 的 應(yīng) 用 ，通 過 把 內(nèi) 部 網(wǎng) 絡(luò) （ 或 DMZ 區(qū) ） 的 信 息 包 內(nèi) 的 源 地 址 修 改 為 防 火 墻 的 外 部 端 口地 址 傳 向 外 部 網(wǎng) 絡(luò) ， 同 時 隱 藏 了 內(nèi) 部 網(wǎng) 絡(luò) （ 或 DMZ 區(qū) ） 的 IP 地 址 。 具 體 做 法為 ， 當(dāng) 用 戶 需 要 對 外 訪 問 時 ， 防 火 墻 會 將 用 戶 的 IP 地 址 轉(zhuǎn) 換 為 防 火 墻 的 外 部端 口 IP 地 址 ， 并 將 得 到 的 響 應(yīng) 再 轉(zhuǎn) 換 回 用 戶 的 IP 地 址 發(fā) 回 給 用 戶 ， 從 而 達到 內(nèi) 部 網(wǎng) 絡(luò) （ 或 DMZ 區(qū) ） 用 戶 訪 問 外 部 網(wǎng) 絡(luò) 資 源 的 目 的 。 這 種 做 法 既 可 以 使外 部 網(wǎng) 絡(luò) 無 法 了 解 內(nèi) 部 網(wǎng) 絡(luò) （ 或 DMZ 區(qū) ） 的 網(wǎng) 絡(luò) 結(jié) 構(gòu) ， 又 可 以 節(jié) 約 外 部 合 法的 IP 地 址 空 間 。 此 外 ， 方 正 方 御 防 火 墻 提 供 反 向 的 地 址 轉(zhuǎn) 換 功 能 ， 支 持 DMZ35 / 103區(qū) 中 的 某 個 服 務(wù) 端 口 到 內(nèi) 部 地 址 的 一 對 一 映 射 ， 即 DMZ 區(qū) 中 的 地 址 向 內(nèi) 部 網(wǎng)絡(luò) 地 址 訪 問 時 ， 被 訪 問 的 IP 地 址 被 轉(zhuǎn) 換 為 指 定 的 DMZ 區(qū) 中 的 IP 地 址 。? 完整的日志功能方正方御防火墻提供了完整的日志功能，由于防火墻的安全特性，使防火墻的日志成為及時發(fā)現(xiàn)系統(tǒng)的漏洞、分析系統(tǒng)可能受到的攻擊、判斷系統(tǒng)運行的狀態(tài)及系統(tǒng)配置錯誤等問題的重要手段，因此方正方御防火墻能夠提供完整的日志功能。防火墻的運行日志可以根據(jù)管理員的管理要求進行針對性的設(shè)置，實時記錄到目標(biāo)文件或目標(biāo)數(shù)據(jù)庫中，并提供必要的手段使管理員可以查閱當(dāng)前及歷史的日志文件。? 高安全性的防火墻操作系統(tǒng)和軟件內(nèi)核由于防火墻軟件是基于特定操作系統(tǒng)之上的，因此必須對防火墻所使用操作系統(tǒng)的安全提出要求，以免因操作系統(tǒng)自身的漏洞導(dǎo)致防火墻的安全受到影36 / 103響。方正方御防火墻采用的是專用的操作系統(tǒng)，安全性高，在操作系統(tǒng)上不會給黑客任何可趁之機。 增強功能按照“三級互聯(lián)處強度一致，功能要求有所區(qū)別”的建設(shè)方針，在總行、分行營業(yè)管理部/省會城市中心支行二級網(wǎng)絡(luò)互聯(lián)區(qū)與商業(yè)銀行等其他金融機構(gòu)內(nèi)部網(wǎng)絡(luò)對接處的防火墻配置要求具備或?qū)硇枰獣r可擴充至此增強功能。? 雙機熱備方正方御防火墻提供雙機熱備功能，在網(wǎng)絡(luò)中設(shè)置兩臺同等地位的防火墻產(chǎn)品，一主一從，從用防火墻中存有主用防火墻的設(shè)置鏡像，當(dāng)主用防火墻因故無法正常運行時，從用防火墻可以自動取代主用防火墻運作，提供應(yīng)急措施，從而保證整個網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運行。 防火墻性能防火墻系統(tǒng)不但要有完善的功能，還要有最佳的性能保證,確保安全與效率的平衡，內(nèi)聯(lián)網(wǎng)中使用的防火墻必須符合國家相關(guān)標(biāo)準(zhǔn)和規(guī)范。? 方正方御防火墻提供標(biāo)準(zhǔn)的以太網(wǎng)接口，適合證券內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)接入模式、接口規(guī)范、網(wǎng)絡(luò)帶寬，方正方御防火墻擁有高吞吐量、高性能；時延小、時延抖動小等特點；包轉(zhuǎn)發(fā)率達到網(wǎng)絡(luò)要求；30 萬并發(fā)連接數(shù)不會限制現(xiàn)有應(yīng)用系統(tǒng)的正常使用。不會成為網(wǎng)絡(luò)瓶頸，或明顯影響網(wǎng)絡(luò)工作效率。37 / 103? 方正方御防火墻具有較高可靠性，不會降低證券信息系統(tǒng)現(xiàn)有的可靠性。? 方正方御防火墻采用的是專用的操作系統(tǒng)，具有很高的安全性，不存在可能被他人非法利用的安全漏洞。? 方正方御防火墻將內(nèi)網(wǎng)、外網(wǎng)、DMZ 和防火墻配置端分別連接于不同的網(wǎng)卡，實現(xiàn)最底層的網(wǎng)絡(luò)驅(qū)動隔離。提供三個 10M/100M 自適應(yīng)以太網(wǎng)口，及一個CONSOLE 口。38 / 103? 方正方御防火墻在管理上易管理、易維護。提供圖形化管理界面，易于理解的配置規(guī)則，簡捷的配置方法，最大限度地簡化管理員對防火墻產(chǎn)品的管理與維護工作。 防火墻管理