【正文】 ，造成網(wǎng)絡(luò)擁塞。. 強(qiáng)大的狀態(tài)檢測(cè)功能方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問(wèn)控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。1：沒(méi)有安裝方御防火墻2：安裝方御防火墻方正方御防火墻使用了兩種方式來(lái)反Syn Flood攻擊，一種方法就是通過(guò)設(shè)置單位時(shí)間內(nèi)的SYN包數(shù)量來(lái)控制，另外一種方法修改了TCP/IP堆棧的算法，使得新Syn包始終可以獲得連接位。典型的就是Syn Flood攻擊,通過(guò)大量的虛假的Syn包使服務(wù)器速度變慢，甚至是死機(jī)。. 碎片處理功能由于很多系統(tǒng)平臺(tái)，包括一些路由器對(duì)IP碎片的處理存在問(wèn)題，容易產(chǎn)生欺騙和拒絕服務(wù)等攻擊，方正方御防火墻能夠識(shí)別出IP碎片并且進(jìn)行控制，這樣一來(lái)通過(guò)禁止IP碎片通過(guò)方正方御防火墻，防止了這樣的問(wèn)題的產(chǎn)生。因此方正方御防火墻不會(huì)對(duì)性能造成任何影響。在沒(méi)有安裝方正方御防火墻的時(shí)候典型網(wǎng)絡(luò)結(jié)構(gòu)圖如下:在安裝了方正方御防火墻的時(shí)候網(wǎng)絡(luò)結(jié)構(gòu)圖如下:. 包過(guò)濾防火墻方正方御防火墻包過(guò)濾的功能是對(duì)指定IP包進(jìn)行包過(guò)濾，并且按照設(shè)定策略對(duì)IP包進(jìn)行統(tǒng)計(jì)和日志記錄，主要根據(jù)IP包的如下信息進(jìn)行過(guò)濾：l 源IP地址l 目的IP地址l 協(xié)議類型（IP、ICMP、TCP、UDP）l 源TCP/UDP端口l 目的TCP/UDP端口l ICMP報(bào)文類型域和代碼域l 碎片包l 其它標(biāo)志位，如SYN，ACK位. 高效的過(guò)濾有些防火墻在安裝上以后對(duì)WEB服務(wù)器的吞吐能力影響很大，造成性能的降低。三個(gè)網(wǎng)絡(luò)中的主機(jī)通過(guò)該路由進(jìn)行通信。當(dāng)防火墻工作在交換模式時(shí)，內(nèi)網(wǎng)、DMZ區(qū)和路由器的內(nèi)部端口構(gòu)成一個(gè)統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級(jí)路由器，這種模式不需要改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)和設(shè)備的網(wǎng)絡(luò)設(shè)置。. 方正方御防火墻功能說(shuō)明. 多種工作模式方正方御防火墻可以工作在網(wǎng)橋和路由兩種模式下：A：網(wǎng)橋模式：3個(gè)端口構(gòu)成一個(gè)以太網(wǎng)交換機(jī)，防火墻本身沒(méi)有IP地址，在IP層透明。集中管理方正方御防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。而且也可以通過(guò)圖形界面來(lái)管理審計(jì)內(nèi)容，而不象有些防火墻是通過(guò)命令行方式進(jìn)行配置。除此以外還可以添加系統(tǒng)提供的一些子模板來(lái)實(shí)現(xiàn)一些特定的功能。PKI是一種新的安全技術(shù)，它由公開(kāi)密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開(kāi)密鑰的安全策略等基本成分共同組成的。自動(dòng)報(bào)警和防范系統(tǒng)方正方御防火墻一旦檢測(cè)到有黑客進(jìn)行攻擊，會(huì)在第一時(shí)間內(nèi)在控制機(jī)上進(jìn)行報(bào)警，而且同時(shí)會(huì)自動(dòng)封禁掉攻擊者的IP地址，這樣可以做到防火墻的防范完全自動(dòng)化，而不象普通的防火墻那樣需要人工干預(yù)。入侵檢測(cè)方正方御防火墻入侵檢測(cè)系統(tǒng)采用了可擴(kuò)展的檢測(cè)庫(kù)方法，目前可以抵御1000多種攻擊方法，而且可以通過(guò)升級(jí)檢測(cè)庫(kù)的方法來(lái)不斷的抵御新的攻擊方法。用戶可以通過(guò)設(shè)置源地址到目的地址單位在時(shí)間內(nèi)允許通過(guò)的流量以及協(xié)議和端口來(lái)進(jìn)行帶寬控制。如建立DMZ（軍事獨(dú)立區(qū)），在其中放置公共應(yīng)用服務(wù)器。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換為企業(yè)用戶連接到Internet提供了良好的網(wǎng)絡(luò)地址隱蔽，并且能減少IP占用，替用戶節(jié)省費(fèi)用。當(dāng)用戶需要從內(nèi)部IP訪問(wèn)Internet時(shí)，NAT系統(tǒng)會(huì)從IP池里取出一個(gè)合法的Internet IP，為該用戶建立映射。用戶完全可以通過(guò)設(shè)置一定的條件來(lái)符合自己的要求。代理服務(wù)用戶可以設(shè)置代理服務(wù)器端口來(lái)啟動(dòng)代理服務(wù)器功能，而且通過(guò)設(shè)置使用代理服務(wù)器用戶帳號(hào)密碼和訪問(wèn)控制來(lái)維護(hù)安全性。狀態(tài)檢測(cè)方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問(wèn)控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。防御DOS，DDOS攻擊普通的防火墻都是采用限制每一網(wǎng)絡(luò)地址單位時(shí)間內(nèi)通過(guò)的SYN包數(shù)量來(lái)抵御DDOS攻擊，但是通常網(wǎng)絡(luò)攻擊者都會(huì)隨機(jī)的偽造網(wǎng)絡(luò)地址，因此這種方法防范的效果非常差，不能從根本上抵御DDOS攻擊。多種工作模式方正方御防火墻可以工作在網(wǎng)橋路由兩種模式下，這樣可以方便用戶使用。管理員負(fù)責(zé)防火墻的開(kāi)關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過(guò)濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。備份防火墻服務(wù)器中存有主防火墻服務(wù)器的設(shè)置鏡像，當(dāng)主防火墻因?yàn)槟承┰虿荒苷＿\(yùn)作，備份服務(wù)器可以在12秒鐘內(nèi)取代主服務(wù)器運(yùn)作，充分保證整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)作的穩(wěn)定性。方御防火墻保護(hù)如下模塊：. 系統(tǒng)特點(diǎn)一體化的硬件設(shè)計(jì)方正方御防火墻采用了一體化的硬件設(shè)計(jì)，采用了自己的操作系統(tǒng)，無(wú)需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時(shí)也提高了系統(tǒng)的安全性。方御防火墻是通過(guò)對(duì)國(guó)外防火墻產(chǎn)品的綜合分析，針對(duì)我們國(guó)家的具體應(yīng)用環(huán)境，結(jié)合國(guó)內(nèi)外防火墻領(lǐng)域里的最新發(fā)展，在面向IDC和中小企業(yè)的FireBridge防火墻的基礎(chǔ)上，提出的一種具有強(qiáng)大的信息分析功能、高效包過(guò)濾功能、多種反電子欺騙手段、多種安全措施綜合運(yùn)用的安全可靠的專用防火墻系統(tǒng)。. 產(chǎn)品概述方御防火墻是方正方御中的主要安全產(chǎn)品之一。另外，還得到了國(guó)家”863”計(jì)劃的支持。它是一套整體的集群平臺(tái)，可以解決互聯(lián)網(wǎng)運(yùn)營(yíng)商最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問(wèn)題。方正數(shù)碼首先推出的就是方正方御互聯(lián)網(wǎng)安全解決方案。. 方正數(shù)碼公司簡(jiǎn)介作為方正集團(tuán)互聯(lián)網(wǎng)戰(zhàn)略的實(shí)施者，方正數(shù)碼將自身定位于電子商務(wù)的“賦能者”，其業(yè)務(wù)涉及互聯(lián)網(wǎng)與電子商務(wù)的技術(shù)研究應(yīng)用與系統(tǒng)集成、網(wǎng)絡(luò)市場(chǎng)營(yíng)銷服務(wù)、空間信息應(yīng)用、無(wú)線互聯(lián)以及電子商務(wù)的咨詢服務(wù)等方向，以幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子商務(wù)的運(yùn)營(yíng)者在互聯(lián)網(wǎng)時(shí)代健康成功的發(fā)展為己任。方正方御防火墻是一個(gè)很優(yōu)秀的防火墻，同時(shí)它集成強(qiáng)大的入侵檢測(cè)功能。我們建議在二期和三期工程中考慮布置入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)、VPN系統(tǒng)和進(jìn)一步完善防火墻產(chǎn)品。對(duì)于這些網(wǎng)絡(luò)我們建議使用如下方案：3. 可擴(kuò)充性分析由于本方案只考慮了藥監(jiān)局一期的網(wǎng)絡(luò)安全系統(tǒng)，因此在設(shè)計(jì)的時(shí)候還需要考慮二期和三期工程的擴(kuò)充性。出于穩(wěn)定性的考慮，防火墻使用雙機(jī)熱備的方式，以保證網(wǎng)絡(luò)的不間斷性。藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)的集中管理圖如下所示：. 藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)管理中心網(wǎng)絡(luò)藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)管理中心除了需要提供信息服務(wù)外，還需要對(duì)各區(qū)及委、辦、局的網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理，因此網(wǎng)絡(luò)的安全性和可靠性尤其的重要。管理員負(fù)責(zé)防火墻的開(kāi)關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過(guò)濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制?？梢酝ㄟ^(guò)一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。分析藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)的特點(diǎn)和需求，方正方御防火墻的集中管理功能和權(quán)限管理機(jī)制完全可以滿足這些需求。需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備。網(wǎng)絡(luò)整體結(jié)構(gòu)如下圖所示：. 集中管理和分級(jí)管理由于藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進(jìn)行審計(jì)管理，日志查詢等操作。每一個(gè)網(wǎng)段必須能夠構(gòu)成一個(gè)獨(dú)立的、完整的、安全的、可靠的系統(tǒng)。2. 安全架構(gòu)分析與設(shè)計(jì)邏輯上，藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)將劃分為兩個(gè)區(qū)域：數(shù)據(jù)中心、局域網(wǎng)用戶。事實(shí)上，方御防火墻是通過(guò)該標(biāo)準(zhǔn)認(rèn)證的第一個(gè)包過(guò)濾防火墻。方正方御防火墻符合國(guó)家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。方正方御防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。要保護(hù)這樣一個(gè)繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。 將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò)從而確保藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)的安全。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過(guò)破壞網(wǎng)絡(luò)攻擊得以進(jìn)行的另外兩個(gè)重要條件：178。這是一個(gè)簡(jiǎn)單的原理：如果網(wǎng)絡(luò)是隔離開(kāi)的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。對(duì)于內(nèi)部訪問(wèn)，也要有完善的網(wǎng)絡(luò)行為審計(jì)記錄和權(quán)限限定，防止由內(nèi)部人員發(fā)起的攻擊──70%以上的攻擊都是內(nèi)部人員發(fā)起的。. 超高安全要求下的網(wǎng)絡(luò)保護(hù)對(duì)于藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)數(shù)據(jù)中心安全而言，安全性需求就更加的高，屬于超高安全要求下的網(wǎng)絡(luò)保護(hù)范圍，因此需要在這些地方使用2臺(tái)防火墻進(jìn)行雙機(jī)熱備，以保證數(shù)據(jù)穩(wěn)定傳輸。此外，信息備份是信息安全的最起碼的要求。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。VPN帶來(lái)的最大好處是確保安全性的同時(shí)，復(fù)用物理信道，降低使用成本。通過(guò)VPN的加密通道，數(shù)據(jù)被加密后傳輸，保證了遠(yuǎn)程數(shù)據(jù)傳輸?shù)陌踩浴Ｒ阎踩珜徲?jì)的存在可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用。安全審計(jì)跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。安全審計(jì)系統(tǒng)所做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。所以，在應(yīng)用入侵檢測(cè)系統(tǒng)時(shí)，千萬(wàn)不要因?yàn)橛辛巳肭謾z測(cè)系統(tǒng)，就不對(duì)系統(tǒng)中的安全隱患進(jìn)行及時(shí)補(bǔ)救。需要注意的是，入侵檢測(cè)系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。入侵檢測(cè)系統(tǒng)通過(guò)掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測(cè)），或者探測(cè)系統(tǒng)的異常行為（主機(jī)入侵檢測(cè)），來(lái)發(fā)覺(jué)這類攻擊的存在。而從另外一個(gè)角度考慮問(wèn)題，“實(shí)時(shí)監(jiān)測(cè)”，發(fā)現(xiàn)黑客攻擊的企圖，對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)也是非常有意義的。比如方正方御防火墻在很好的實(shí)現(xiàn)了防火墻功能的同時(shí)，也實(shí)現(xiàn)了下面所說(shuō)的入侵檢測(cè)功能；l 入侵檢測(cè)（IDS）：對(duì)攻擊試探的預(yù)警當(dāng)黑客試探攻擊時(shí)，大多采用一些已知的攻擊方法來(lái)試探。在應(yīng)用防火墻技術(shù)時(shí)，正確的劃分網(wǎng)絡(luò)邊界和制定完善的安全策略是至關(guān)重要的。防火墻根據(jù)網(wǎng)絡(luò)流的來(lái)源和訪問(wèn)的目標(biāo)，對(duì)網(wǎng)絡(luò)流進(jìn)行限制，允許合法網(wǎng)絡(luò)流，并禁止非法網(wǎng)絡(luò)流。首先網(wǎng)絡(luò)的安全決不僅僅是一個(gè)防火墻，它應(yīng)是包括入侵測(cè)檢（IDS）、虛擬專用網(wǎng)（VPN）等功能