【正文】 當(dāng)用戶需要從內(nèi)部 IP 訪問 Inter 時(shí)，NAT系統(tǒng)會(huì)從 IP 池里取出一個(gè)合法的 Inter IP，為該用戶建立映射。代理服務(wù) 用戶可以設(shè)置代理服務(wù)器端口來啟動(dòng)代理服務(wù)器功能，而且通過設(shè)置使用代理服務(wù)器用戶帳號(hào)密碼和訪問控制來維護(hù)安全性。防御 DOS，DDOS 攻擊 普通的防火墻都是采用限制每一網(wǎng)絡(luò)地址單位時(shí)間內(nèi)通過的 SYN 包數(shù)量來抵御DDOS 攻擊，但是通常網(wǎng)絡(luò)攻擊者都會(huì)隨機(jī)的偽造網(wǎng)絡(luò)地址，因此這種方法防范的效果非常差，不能從根本上抵御 DDOS 攻擊。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。方御防火墻保護(hù)如下模塊： 中中中/中 IDS中NAT中中Proxy中中中中中中中中. 系統(tǒng)特點(diǎn)一體化的硬件設(shè)計(jì) 方正方御防火墻采用了一體化的硬件設(shè)計(jì)，采用了自己的操作系統(tǒng)，無需其他操作32 / 84系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時(shí)也提高了系統(tǒng)的安全性。31 / 84（100M）. 產(chǎn)品概述方御防火墻是方正方御中的主要安全產(chǎn)品之一。它是一套整體的集群平臺(tái)，可以解決互聯(lián)網(wǎng)運(yùn)營(yíng)商最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問題。. 方正數(shù)碼公司簡(jiǎn)介作為方正集團(tuán)互聯(lián)網(wǎng)戰(zhàn)略的實(shí)施者，方正數(shù)碼將自身定位于電子商務(wù)的“賦能者” ，其業(yè)務(wù)涉及互聯(lián)網(wǎng)與電子商務(wù)的技術(shù)研究應(yīng)用與系統(tǒng)集成、網(wǎng)絡(luò)市場(chǎng)營(yíng)銷服務(wù)、空間信息應(yīng)用、無線互聯(lián)以及電子商務(wù)的咨詢服務(wù)等方向，以幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子商務(wù)的運(yùn)營(yíng)者在互聯(lián)網(wǎng)時(shí)代健康成功的發(fā)展為己任。這樣他們共同的負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。方正方御防火墻采用基于 Windows GUI 的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。而用戶的權(quán)限機(jī)制分配必須通過網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理。內(nèi)部區(qū)放置控制服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、認(rèn)證服務(wù)器、系統(tǒng)管理服務(wù)器等設(shè)備，公開信息區(qū)放置對(duì)外的信息發(fā)布系統(tǒng)，包括 WEB 服務(wù)器、Mail 服務(wù)器等設(shè)備等。我們建議使用防御防火墻的網(wǎng)橋模式，3 個(gè)端口構(gòu)成一個(gè)以太網(wǎng)交換機(jī)，防火墻本身沒有 IP 地址，在 IP 層透明。同時(shí)，利用 Windows NT 中域技術(shù)，對(duì)防火墻管理時(shí)必須登錄到相應(yīng)的域才能對(duì)域內(nèi)的用戶進(jìn)行管理，保障管理域安全性。這些功能能夠有效的保障內(nèi)部網(wǎng)絡(luò)安全。兩臺(tái)防火墻工作在互備模式中。. 雙機(jī)備份網(wǎng)絡(luò)安全、穩(wěn)定長(zhǎng)期運(yùn)行是最終目標(biāo)，而網(wǎng)絡(luò)硬件可能因?yàn)橐恍┨厥庠虬l(fā)生故障。方正方御防火墻管理界面提供方便的系統(tǒng)升級(jí)和26 / 84IDS 升級(jí)功能。按照正常的狀態(tài)檢測(cè)技術(shù)， 數(shù)據(jù)可能被阻斷。給特殊應(yīng)用分配相對(duì)高的帶寬。同時(shí)對(duì)各種非法的訪問和攻擊行為進(jìn)行記錄。針對(duì)各種管理數(shù)據(jù)，防火墻進(jìn)行詳細(xì)記錄，網(wǎng)管人員可以方便的查看對(duì)防火墻管理情況。. 代理服務(wù)方正方御防火墻對(duì)外提供代理服務(wù)功能，內(nèi)部網(wǎng)絡(luò)對(duì)外訪問可以通過防火墻提供的代理服務(wù)功能，同時(shí)代理服務(wù)可以針對(duì) URL,SSL,FTP 進(jìn)行應(yīng)用攔截，防止內(nèi)部人員對(duì)外網(wǎng)的非法訪問。IDS 和訪問策略形成互動(dòng)。方正方御防火墻目前能夠支持 1500 種以上的入侵檢測(cè)并能夠成功阻斷這樣的攻擊行為，比如最近的紅色代碼。外部對(duì) DMZ、內(nèi)部URL 訪問進(jìn)行控制，同時(shí)也可以限制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò) URL 非法訪問。IPMAC 地址捆綁 ：方正方御防火墻提供靈活而方式多種的內(nèi)部網(wǎng)絡(luò)、DMZ 區(qū)域、外部網(wǎng)絡(luò) IPMAC 地址捆綁功能，將每臺(tái)機(jī)器的 IP 地址和它自身的物理地址捆綁，有效防止內(nèi)部網(wǎng)絡(luò)、DMZ 區(qū)域、外部網(wǎng)絡(luò)的 IP 地址盜用（該功能實(shí)質(zhì)是將網(wǎng)絡(luò)協(xié)議第二層地址和第三層地址進(jìn)行捆綁，達(dá)到一定的安全級(jí)別） 。內(nèi)部員工對(duì)外網(wǎng) WWW 訪問采用代理方式。對(duì)內(nèi)部 Email、 FTP、 WWW、數(shù)據(jù)庫的訪問做嚴(yán)格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生。. 完善的訪問控制規(guī)則控制：通過方正方御防火墻提供的基于 TCP/IP 協(xié)議中各個(gè)環(huán)節(jié)進(jìn)行安全控制，生成完整安全的訪問控制表，這個(gè)表包括：■ 外網(wǎng)對(duì) DMZ 內(nèi)服務(wù)訪問控制。復(fù)合型防火墻是在綜合動(dòng)態(tài)包過濾技術(shù)和代理技術(shù)的優(yōu)點(diǎn)的情況下采取的一種更加完善和安全的防火墻技術(shù)。另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)制，尤其適合于寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)這樣的大型網(wǎng)絡(luò)。可以通過一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。22 / 84. 實(shí)施保證寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。. 網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全界的一個(gè)玩笑就是：要想安全，就不要插上網(wǎng)線。. 認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)（包括撥號(hào)）時(shí)，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身份滲透進(jìn)內(nèi)部網(wǎng)絡(luò)。? 安全策略的實(shí)施保證網(wǎng)絡(luò)安全知識(shí)的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。VPN 帶來的最大好處是確保安全性的同時(shí)，復(fù)用物理信道，降低使用成本。已知安全審計(jì)的存在可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用。安全審計(jì)系統(tǒng)所做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。需要注意的是，入侵檢測(cè)系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。甚至由此派生出了 P^2DR 理論。發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。一個(gè)好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個(gè)部分組成：? 防火墻：對(duì)網(wǎng)絡(luò)攻擊的阻隔防火墻是保證網(wǎng)絡(luò)安全的重要屏障。信息系統(tǒng)的安全是一個(gè)復(fù)雜的系統(tǒng)工程，涉及到技術(shù)和管理等多個(gè)層面。通過在系統(tǒng)中設(shè)置防火墻的安全措施將達(dá)到以下目標(biāo)：保護(hù)基于專網(wǎng)的業(yè)務(wù)不間斷的正常運(yùn)作。原則：從網(wǎng)絡(luò)安全整個(gè)體系考慮，本次防火墻選擇原則是：安全性：防火墻提供一整套訪問控制/防護(hù)的安全策略，保證系統(tǒng)的安全性；開放性：防火墻采用國(guó)家防火墻相關(guān)標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全領(lǐng)域相關(guān)技術(shù)標(biāo)準(zhǔn)；高可靠性：防火墻采用軟件、硬件結(jié)合的形式，保證系統(tǒng)長(zhǎng)期穩(wěn)定、安全運(yùn)行；可擴(kuò)充性：防火墻采用模塊化設(shè)計(jì)方式，方便產(chǎn)品升級(jí)、功能增強(qiáng)、調(diào)整系統(tǒng)結(jié)構(gòu)；可管理性：防火墻采用基于 windows 平臺(tái) GUI 模式進(jìn)行管理，方便各種安全策略設(shè)置；可維護(hù)性：防火墻軟件維護(hù)方便，便于操作管理；目標(biāo)：網(wǎng)絡(luò)安全包括很多方面，如：訪問控制、身份認(rèn)證、數(shù)據(jù)加密、入侵檢測(cè)、防止病毒、數(shù)據(jù)備份等。　　. 管理系統(tǒng)的安全風(fēng)險(xiǎn) 管理系統(tǒng)的安全風(fēng)險(xiǎn)除了上面提到的系統(tǒng)風(fēng)險(xiǎn)之外，系統(tǒng)結(jié)構(gòu)復(fù)雜、管理難度大，存在各種服務(wù)，哪些服務(wù)對(duì)哪些人是開放的、哪些是拒絕的都沒有一定的安全劃分。（3）在網(wǎng)絡(luò)中通過 TCP/IP 協(xié)議，對(duì)服務(wù)器進(jìn)行訪問。這種方式的可控制性較強(qiáng)，可以針對(duì)不同的用戶。安全機(jī)制甚至包含基本的系統(tǒng)功能，例如設(shè)置系統(tǒng)時(shí)鐘。制定詳細(xì)的訪問控制計(jì)劃、策略。 ■內(nèi)部泄密 (Internal Exposure): 絕大多數(shù)網(wǎng)絡(luò)非法進(jìn)入皆起因于某個(gè)心懷惡意或?qū)ΜF(xiàn)狀不滿的現(xiàn)任或前任雇員濫用對(duì)信息的訪問權(quán)或非法闖入您的網(wǎng)絡(luò)。通訊流可能包含使用 tel、rlogin 或 ftp 時(shí)來回傳遞的未加密的口令。最通常的情況是這種攻擊可能毀壞系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服務(wù)時(shí)慢的出奇。? 往來文件系統(tǒng)：UNIX 系統(tǒng)提供了分布式文件系統(tǒng)（DFS）的網(wǎng)絡(luò)安全。? 訪問控制：允許通過改變用戶安全級(jí)別、訪問權(quán)限，具有統(tǒng)一的訪問控制表。數(shù)據(jù)庫的安全問題，在數(shù)據(jù)庫技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)庫技術(shù)的發(fā)展而不斷深化。針對(duì)這種情況，必須采取措施，有效防止非法對(duì)網(wǎng)絡(luò)設(shè)備訪問。一旦口令泄密路由器將失去所有的保護(hù)能力。有些服務(wù)器版本帶有嚴(yán)重的錯(cuò)誤，比如可以使任何人獲得對(duì)包括 root 在內(nèi)的任何帳號(hào)的訪問。而寧波政府專網(wǎng)的內(nèi)部 Email 系統(tǒng)覆蓋面廣，所以迫切需要使用防火墻來保護(hù)內(nèi)部 Email 系統(tǒng)。著名的域名服務(wù)系統(tǒng) BIND 就存在眾多的可以被入侵者利用的漏洞。而寧波市政府的這些應(yīng)用系統(tǒng)是政府專網(wǎng)中最重要的組成部分。單點(diǎn)接入示意圖如下：13 / 84市區(qū)內(nèi)各部門邏輯分布圖如下圖：、慈溪、奉化、寧海、象山、鎮(zhèn)海、北侖、經(jīng)濟(jì)技術(shù)開發(fā)區(qū)、保稅區(qū)、大榭開發(fā)區(qū)、港務(wù)局等部門。其結(jié)構(gòu)圖如下：政府系統(tǒng)結(jié)構(gòu)圖整 個(gè) 區(qū) 域 網(wǎng) 絡(luò) 拓 樸 為 一 倒 叉 樹 結(jié) 構(gòu) ， 國(guó) 務(wù) 院 為 根 節(jié) 點(diǎn) ， 寧 波 市 作 為 網(wǎng) 絡(luò) 中的 一 級(jí) 節(jié) 點(diǎn) 同 時(shí) 又 作 為 一 個(gè) 區(qū) 域 中 心 節(jié) 點(diǎn) ， 它 既 要 與 國(guó) 家 、 省 各 部 門 互 聯(lián) ， 又要 與 各 縣 （ 市 ） 、 區(qū) 政 府 和 市 政 府 各 部 門 互 聯(lián) ， 在 整 個(gè) 網(wǎng) 絡(luò) 中 起 著 一 個(gè) 承 上 啟下 的 作 用 。每一個(gè)網(wǎng)段必須能夠構(gòu)成一個(gè)獨(dú)立的、完整的、安全的、可靠的系統(tǒng)。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡(luò)安全里尤其適用。典型的例子就是 2022 年年初黑客對(duì) Yahoo 等大型網(wǎng)站的攻擊。竊聽：利用以太網(wǎng)廣播的特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡(luò)的數(shù)據(jù)包，對(duì)信息進(jìn)行過濾和分析后得到有用的信息，例如使用 sniffer 程序竊聽用戶密碼。黑客將攻擊一個(gè)被信任的外部主機(jī)，用它作為發(fā)動(dòng)攻擊內(nèi)部網(wǎng)絡(luò)的據(jù)點(diǎn)。確認(rèn)網(wǎng)絡(luò)組成的弱點(diǎn)，如果一個(gè)黑客能建立你的外部和內(nèi)部主機(jī)列表，他就可以用掃描程序（如 ADMhack, mscan, nmap 等）來掃描一些特定的遠(yuǎn)程弱點(diǎn)。通過查看上面查詢來的結(jié)果列表，通常很容易建立一個(gè)主機(jī)列表并且開始了解主機(jī)之間的聯(lián)系。隨著 Inter 的高速發(fā)展，也出現(xiàn)了有明確軍事目的的軍方黑客組織。國(guó)內(nèi)第一家大型網(wǎng)上連鎖商城 IT163 網(wǎng)站 3 月 6 日開始運(yùn)營(yíng)，然而僅四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使網(wǎng)站無法運(yùn)作。2022 年二月，在三天的時(shí)間里，黑客使美國(guó)數(shù)家頂級(jí)互聯(lián)網(wǎng)站－Yahoo!、Amazon、eBay 、CNN 陷入癱瘓，造成了十幾億美元的損失，令美國(guó)上下如臨大敵。. 網(wǎng)絡(luò)安全現(xiàn)狀I(lǐng)nter 正在越來越多地融入到社會(huì)的各個(gè)方面。目前，很多公開的新聞表明美國(guó)國(guó)家安全局（NSA）有可能在許多美國(guó)大軟件公司的產(chǎn)品中安裝“后門” ，其中包括一些應(yīng)用廣泛的操作系統(tǒng)。地理信息系統(tǒng)：規(guī)劃、建筑、地形地貌等方面的數(shù)據(jù)，包括大型圖片。（含與市委、人大、政協(xié)系統(tǒng)之間）內(nèi)部信息交流內(nèi)容，主要有：第二，寧波市政府與各縣區(qū)政府?dāng)?shù)據(jù)交換量也相當(dāng)大。市政府西大院所有單位作為一個(gè)節(jié)點(diǎn)，用 4 芯光纖接入?yún)R集點(diǎn)?？傮w結(jié)構(gòu)請(qǐng)參見網(wǎng)絡(luò)總體拓?fù)鋱D。市區(qū)內(nèi)采用千兆以太網(wǎng)技術(shù)，市區(qū)外采用 IP OVER SDH 傳輸技術(shù)，各節(jié)點(diǎn)用物理光纖接入。政府專網(wǎng)涉及范圍廣，建設(shè)要求高，需分期分批進(jìn)行建設(shè)。1 / 84寧波市政府計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案（網(wǎng)絡(luò)防火墻）方正數(shù)碼有限公司2022 年 2 月2 / 841. 背景介紹 ....................................................................................................................................5. 項(xiàng)目總述 ............................................................................................................................5. 網(wǎng)絡(luò)環(huán)境總述 ....................................................................................................................5. 業(yè)務(wù)現(xiàn)狀 ........................................................................................................................6. 網(wǎng)絡(luò)信息安全概況 ............................................................................................................7. 網(wǎng)絡(luò)安全現(xiàn)狀 ............................................................................................................8. 典型的黑客攻擊 ........................................................................................................8. 網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù) ..................................................................................102. 安全架構(gòu)分析與設(shè)計(jì) ..............................................................................................................11. 網(wǎng)絡(luò)整體結(jié)構(gòu) ................