【正文】 要進行嚴格的限制。防止內部員工對外網資源的非法訪問。同時內部員工對 DMZ 區(qū)域服務器訪問也必須做限制。內部員工對外網 WWW 訪問采用代理方式。■ DMZ 訪問：通常情況下 DMZ 對外部和內部都不能主動進行訪問，除非特殊的應用需要到內部網絡采集數據，可以有限地開放部分服務。借助方正方御防火墻提供的基于狀態(tài)包過濾技術對數據的各個方向采用全面安全的技術策略，制定嚴格完善的訪問控制策略保證從 IP 到傳輸層的數據安全。通過嚴格的訪問控制表來進行限制。IPMAC 地址捆綁 ：方正方御防火墻提供靈活而方式多種的內部網絡、DMZ 區(qū)域、外部網絡 IPMAC 地址捆綁功能，將每臺機器的 IP 地址和它自身的物理地址捆綁，有效防止內部網絡、DMZ 區(qū)域、外部網絡的 IP 地址盜用（該功能實質是將網絡協(xié)議第二層地址和第三層地址進行捆綁，達到一定的安全級別） 。內部系統(tǒng)應該盡量采用固定 IP 分配方案。通過 IPMAC 地址捆綁，也可以對后期數據日志分析帶來一定的方便性。24 / 84URL 攔截：方正方御防火墻實現(xiàn)了透明的 URL 攔截功能，對通過防火墻的應用層URL 進行嚴格的控制和管理，按照用戶的要求進行攔截。外部對 DMZ、內部URL 訪問進行控制，同時也可以限制內部網絡對外部網絡 URL 非法訪問。在該方案中我們將對內部網絡和外部網絡情況具體了解，對 URL 攔截達到頁面級別。有效保護 應用的安全。. 內置入侵檢測（IDS）方正數碼公司和國際網絡安全組織合作，能夠實時獲得最新系統(tǒng)入侵庫代碼，動態(tài)地將這些攻擊技術的解決方案加入到方正方御防火墻中,同時在方正方御防火墻內部采用 3I 技術，加速應用層安全防護查詢過程。方正方御防火墻目前能夠支持 1500 種以上的入侵檢測并能夠成功阻斷這樣的攻擊行為，比如最近的紅色代碼。針對各種攻擊行為，比如 TCP 序列號攻擊、劫持、碎片攻擊、端口掃描能夠識別阻斷。而這個數據庫可以實時更新、升級。升級在方正方御防火墻界面即可完成。IDS 和訪問策略形成互動。通過防火墻嵌入的 IDS 功能能夠有效防范對內部 Windows/NT，Unix 系統(tǒng)的攻擊行為。電子欺騙：防火墻能夠自動識別各種電子欺騙行為并進行阻斷。同時防火墻能夠對偽裝 IP 地址進行識別。. 代理服務方正方御防火墻對外提供代理服務功能，內部網絡對外訪問可以通過防火墻提供的代理服務功能，同時代理服務可以針對 URL,SSL,FTP 進行應用攔截，防止內部人員對外網的非法訪問。. 日志系統(tǒng)及系統(tǒng)報警方正方御防火墻提供強大的日志系統(tǒng)，將通過防火墻的數據、防火墻管理數據、流量、各種攻擊行為統(tǒng)計集成到一起。同時系統(tǒng)提供針對各種統(tǒng)計結果按照用戶要求進行報表打印。25 / 84針對通過防火墻數據，可以按照數據類型、地址進行統(tǒng)計分析。針對各種管理數據，防火墻進行詳細記錄，網管人員可以方便的查看對防火墻管理情況。如果有內部人員對防火墻訪問，可以通過管理數據進行查詢。流量統(tǒng)計：防火墻提供流量統(tǒng)計功能，可以按照用戶名稱、地址等多種方式進行統(tǒng)計。系統(tǒng)報警：當有人非法對內部網絡或者外部網絡進行訪問的時候，系統(tǒng)的實時報警會通過 Email 和聲音進行報警。同時對各種非法的訪問和攻擊行為進行記錄。通過強大的日志系統(tǒng)和實時報警、日志報警等多種方式保證網絡出現(xiàn)安全問題時可以有資料分析；同時也可以通過對日志系統(tǒng)的分析完善系統(tǒng)安全策略。. 帶寬分配，流量管理在專網上運行著部分重要的業(yè)務數據，這些業(yè)務數據實時性要求高，必須保證這樣的數據具有優(yōu)先權限，防止因為帶寬問題影響應用。方正方御防火墻可以針對實際情況，對部分特殊應用提供帶寬管理。給特殊應用分配相對高的帶寬。同時方正方御防火墻提供流量管理功能，對內部網絡用戶對外網的訪問可以提供流量限制。. 支持政府專網運行著視頻會議數據（） 。方正方御防火墻能夠準確識別 數據流，讓數據合法通過。按照正常的狀態(tài)檢測技術， 數據可能被阻斷。在方正方御防火墻內部成功的進行了 UDP、TCP 數據同步分析。系統(tǒng)能夠識別 連接，保證 數據通過。. 系統(tǒng)升級網絡安全技術隨著網絡技術發(fā)展不斷變化，而網絡安全策略和軟件也不能一成不變，需要不斷升級。方正方御防火墻管理界面提供方便的系統(tǒng)升級和26 / 84IDS 升級功能。保證防火墻產品實時和網絡安全領域技術同步，防止因為新的安全問題給系統(tǒng)帶來的安全風險。其中，特別是 IDS 功能，幾乎每天都有新的安全風險和攻擊軟件出現(xiàn)。方正防火墻內嵌 IDS 功能模塊可以動態(tài)升級，保障IDS 數據庫和最新動態(tài)同步。. 雙機備份網絡安全、穩(wěn)定長期運行是最終目標，而網絡硬件可能因為一些特殊原因發(fā)生故障。方正方御防火墻提供雙機備份功能，采用兩種方式進行備份檢測，軟件方式借用 HSRP 技術動態(tài)跟蹤各個區(qū)域運行狀態(tài)，發(fā)現(xiàn)任何一個區(qū)域出現(xiàn)問題即刻進行切換。硬件方式采用心跳線方式，當系統(tǒng)檢測到故障，也將進行切換。而系統(tǒng)的切換不影響業(yè)務。兩臺防火墻工作在互備模式中。. 防火墻方案特點本次防火墻主要設置在連接的節(jié)點上。本方案中，我們主要根據寧波政府專網絡實際情況，針對防火墻的特殊性，從如下幾個方面考慮保障系統(tǒng)安全性防火墻放置在內外網之間用來隔離內部網絡和外部網絡，對內外網絡的通信進行嚴格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證內部系統(tǒng)安全。因此方正方御防火墻提供全面的訪問控制策略、IPMAC 地址捆綁、IDS 入侵檢測、反電子欺騙等手段。這些功能能夠有效的保障內部網絡安全。同時方正方御防火墻也提供帶寬管理、分配，系統(tǒng)報警等措施從側面協(xié)助。自身安全性防火墻作為網絡系統(tǒng)中的一個部件，其自身的安全性也是十分重要的，考慮到實際情況，方正方御防火墻提供單獨的管理接口，管理接口服務全部關閉，同時管理接口的特殊管理數據采用標準加密算法和措施。這樣在遠程管理過程中數據通過專網進行管理能夠有效的保證管理的安全性。同時，利用 Windows NT 中域技術，對防火墻管理時必須登錄到相應的域才能對域內的用戶進行管理，保障管理域安全性。而防火墻操作系統(tǒng)采用經過嚴格測試專有操作系統(tǒng)。27 / 84維護方便性管理的方便性直接關系到系統(tǒng)能否起到安全保護作用，方正方御防火墻提供的專有 GUI 平臺，方便制訂各種安全策略。系統(tǒng)事件管理系統(tǒng)事件和日志的統(tǒng)計直接關系到整個安全平臺的完善和后續(xù)責任追查等多個方面，方正方御防火墻為用戶提供完整、準確的數據統(tǒng)計結果，供查詢、打印等。我們建議使用防御防火墻的網橋模式，3 個端口構成一個以太網交換機，防火墻本身沒有 IP 地址，在 IP 層透明?？梢詫⑷我馊齻€物理網絡連接起來構成一個互通的物理網絡。當防火墻工作在交換模式時，內網、DMZ 區(qū)和路由器的內部端口構成一個統(tǒng)一的交換式物理子網，內網和 DMZ 區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網絡拓撲結構和各主機和設備的網絡設置。如下圖所示：28 / 84寧波市政府系統(tǒng)計算機專網核心節(jié)點管理除了需要提供信息服務外，還需要對各區(qū)及委、辦、局的網絡設備進行集中管理，因此網絡的安全性和可靠性尤其的重要。內部區(qū)放置控制服務器、數據庫服務器、文件服務器、認證服務器、系統(tǒng)管理服務器等設備，公開信息區(qū)放置對外的信息發(fā)布系統(tǒng)，包括 WEB 服務器、Mail 服務器等設備等。出于穩(wěn)定性的考慮，防火墻使用雙機熱備的方式，以保證網絡的不間斷性。寧波市政府系統(tǒng)計算機專網核心節(jié)點市政府辦公廳網絡圖如下：、辦、局的安全網絡各區(qū)及委、辦、局的網絡結構節(jié)點也同樣劃分為內部操作（控制）區(qū)、公開信息區(qū)兩個網段。對于這些網絡我們建議使用如下方案：29 / 84. 集中管理和分級管理由于寧波市政府系統(tǒng)計算機專網涉及的網絡安全設備繁多，因此在管理上面需要既能集中管理，又可以在本地進行審計管理，日志查詢等操作。而用戶的權限機制分配必須通過網絡管理中心統(tǒng)一分配和管理。需要集中管理的網絡設備包括防火墻設備和 VPN 設備。在寧波市政府系統(tǒng)計算機專網網絡管理中心需要對各委、辦、局的網絡安全設備進行集中管理。分析寧波市政府系統(tǒng)計算機專網的特點和需求，方正方御防火墻的集中管理功能和權限管理機制完全可以滿足這些需求。方正方御防火墻采用基于 Windows GUI 的用戶界面進行遠程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個控制機對多臺方正方御防火墻進行集中式的管理。方正方御防火墻采用了三級權限機制，分為管理員，策略員和審計員。管理員負責防火墻的開關及日常維護，策略員負責配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權機制。這樣他們共同的負責起一個安全的管理平臺。30 / 843. 產品選型我們采用方正最新型方正方御防火墻。方正方御防火墻是一個很優(yōu)秀的防火墻，同時它集成強大的入侵檢測功能。方正方御防火墻是國內第一個通過公安部公共信息網絡安全監(jiān)督局新防火墻認證標準的包過濾級防火墻產品，同時通過了中國人民解放軍安全測評認證中心、國家保密局和中國國家信息安全測評認證中心的嚴格認證。. 方正數碼公司簡介作為方正集團互聯(lián)網戰(zhàn)略的實施者，方正數碼將自身定位于電子商務的“賦能者” ，其業(yè)務涉及互聯(lián)網與電子商務的技術研究應用與系統(tǒng)集成、網絡市場營銷服務、空間信息應用、無線互聯(lián)以及電子商務的咨詢服務等方向，以幫助政府、行業(yè)、企業(yè)、網站、電子商務的運營者在互聯(lián)網時代健康成功的發(fā)展為己任。要給電子商務運營者賦能，先要給安全賦能。方正數碼首先推出的就是方正方御互聯(lián)網安全解決方案。方正方御是在經過一年多的大量投入和深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領先優(yōu)勢的解決方案。它是一套整體的集群平臺，可以解決互聯(lián)網運營商最為關切的安全性、高可靠性、可擴展性和易于遠程管理的問題。目前這套方案已經得到國家有關部門的大力支持，被國家經貿委列為國家創(chuàng)新計劃項目之一。另外，還得到了國家”863”計劃的支持。在立身自主開發(fā)外，方正數碼還與眾多國際知名的安全公司保持著良好的合作關系，并集成了國內外最優(yōu)秀的公司安全產品，為國內 Inter 的安全建設保駕護航。31 / 84（100M）. 產品概述方御防火墻是方正方御中的主要安全產品之一。由于防火墻技術的針對性很強，它已成為實現(xiàn)網絡安全的重要保障之一。方御防火墻是通過對國外防火墻產品的綜合分析，針對我們國家的具體應用環(huán)境，結合國內外防火墻領域里的最新發(fā)展，在面向 IDC 和中小企業(yè)的防火墻的基礎上，提出的一種具有強大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用的安全可靠的專用防火墻系統(tǒng)。方正方御防火墻不僅僅是一個包過濾的防火墻，而且包括了大量的實用模塊，可以為用戶提供多方面的服務。方御防火墻保護如下模塊： 中中中/中 IDS中NAT中中Proxy中中中中中中中中. 系統(tǒng)特點一體化的硬件設計 方正方御防火墻采用了一體化的硬件設計，采用了自己的操作系統(tǒng)，無需其他操作32 / 84系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時也提高了系統(tǒng)的安全性。雙機熱備份 通過雙機熱備份，本系統(tǒng)提供可靠的容錯/ 熱待機功能。備份防火墻服務器中存有主防火墻服務器的設置鏡像，當主防火墻因為某些原因不能正常運作，備份服務器可以在 12 秒鐘內取代主服務器運作，充分保證整個網絡系統(tǒng)運作的穩(wěn)定性。完善的訪問控制 方正方御防火墻符合國家最新防火墻安全標準，采用了三級權限機制，分為管理員，策略員和審計員。管理員負責防火墻的開關及日常維護，策略員負責配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權機制。這樣他們共同地負責起一個安全的管理平臺。多種工作模式 方正方御防火墻可以工作在網橋路由兩種模式下，這樣可以方便用戶使用。使用在網橋模式時在 IP 層透明，使用路由模式時可以作為三個區(qū)之間的路由器，同時提供內網到外網、DMZ 到外網的網絡地址轉換。防御 DOS，DDOS 攻擊 普通的防火墻都是采用限制每一網絡地址單位時間內通過的 SYN 包數量來抵御DDOS 攻擊，但是通常網絡攻擊者都會隨機的偽造網絡地址，因此這種方法防范的效果非常差，不能從根本上抵御 DDOS 攻擊。方正方御防火墻修改了 TCP/IP 堆棧的算法，使得新的 syn 連接包可以正常通過，避免了由于大量的攻擊 SYN 包造成網絡的阻塞。狀態(tài)檢測 方正方御防火墻可以根據數據包的地址、33 / 84協(xié)議和端口進行訪問控制，同時還對任何網絡連接和會話的當前狀態(tài)進行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是根據規(guī)則表進行匹配，而方正方御防火墻對每個連接，作為一個數據流，通過規(guī)則表與連接表共同配合來對網絡狀態(tài)進行控制。代理服務 用戶可以設置代理服務器端口來啟動代理服務器功能，而且通過設置使用代理服務器用戶帳號密碼和訪問控制來維護安全性。代理服務的訪問控制非常的完善，可以對時間、協(xié)議、方法、地址、DNS 域、目的端口和 URL 來進行控制。用戶完全可以通過設置一定的條件來符合自己的要求。雙向網絡地址轉換 系統(tǒng)支持動態(tài)、靜態(tài)、雙向的 NAT。當用戶需要從內部 IP 訪問 Inter 時，NAT系統(tǒng)會從 IP 池里取出一個合法的 Inter IP，為該用戶建立映射。如果需要在Intra 提供讓外部訪問的服務（如WWW、FTP 等） ，NAT 系統(tǒng)可以為 Intra里的服務器建立靜態(tài)映射，外部用戶可以直接訪問該服務器。雙向網絡地址轉換為企業(yè)用戶連接到 Inter 提供了