計算機專網(wǎng)安全產(chǎn)品解決方案樣本

寧波市政府計算機專網(wǎng)安全產(chǎn)品解決方案（網(wǎng)絡防火墻）方正數(shù)碼有限公司

TOC\o"1-3"\h\z1. 背景簡介 51.1. 項目總述 51.2. 網(wǎng)絡環(huán)境總述 51.3. 業(yè)務現(xiàn)狀 61.4. 網(wǎng)絡信息安全概況 71.4.1. 網(wǎng)絡安全現(xiàn)狀 81.4.2. 典型黑客襲擊 81.4.3. 網(wǎng)絡與信息安全平臺任務 102. 安全架構分析與設計 112.1. 網(wǎng)絡整體構造 112.1.1. 寧波在全國政府專網(wǎng)中位置 122.1.2. 光纖網(wǎng)絡平臺 122.2. 寧波政府專網(wǎng)安全風險分析 142.2.1. 重要應用服務安全風險 142.2.2. 網(wǎng)絡中重要系統(tǒng)安全風險 152.2.3. 數(shù)據(jù)庫系統(tǒng)安全分析 162.2.4. Unix系統(tǒng)安全分析 162.2.5. WindowsNT系統(tǒng)安全分析 172.2.6. 管理系統(tǒng)安全風險 172.3. 寧波政府專網(wǎng)安全風險解決方案設計原則和目的 182.3.1. 網(wǎng)絡安全解決方案構成 192.3.2. 超高安全規(guī)定下網(wǎng)絡保護 212.4. 防火墻選型 222.5. 防火墻設立及工作模式 232.6. 防火墻功能設立及安全方略 232.6.1. 完善訪問控制 232.6.2. 內(nèi)置入侵檢測（IDS） 242.6.3. 代理服務 242.6.4. 日記系統(tǒng)及系統(tǒng)報警 242.6.5. 帶寬分派，流量管理 252.6.6. H.323支持 252.6.7. 系統(tǒng)升級 252.6.8. 雙機備份 262.6.9. 防火墻方案特點 262.7. 防火墻整體布局 272.8. 寧波市政府系記錄算機專網(wǎng)核心節(jié)點市政府辦公廳網(wǎng)絡 282.9. 各區(qū)及委、辦、局安全網(wǎng)絡 282.10. 集中管理和分級管理 293. 產(chǎn)品選型 303.1. 防火墻與入侵檢測選型 303.1.1. 方正數(shù)碼公司簡介 303.2. 方正方御防火墻（100M） 313.2.1. 產(chǎn)品概述 313.2.2. 系統(tǒng)特點 313.2.3. 方御防火墻（百兆）性能 353.2.4. 方正方御防火墻功能闡明 363.3. 方正方御防火墻（1000M） 473.3.1. 產(chǎn)品概述 473.3.2. 系統(tǒng)特點 483.3.3. 方正方御千兆防火墻功能闡明 493.3.4. 方御防火墻（千兆）性能 594. 工程實行方案 614.1. 合同訂立階段工作實行 614.2. 發(fā)貨階段實行 624.3. 到貨后工作實行 634.4. 測試及驗收 644.4.1. 測試及驗收描述 644.5. 系統(tǒng)初驗 654.5.1. 功能測試 654.5.2. 性能測試 654.5.3. 實行人員 655. 培訓方案 665.1. 培訓目的 665.2. 培訓課程 665.3. 培訓方式 665.4. 培訓時長 665.5. 培訓地點 665.6. 培訓人數(shù) 675.7. 培訓講師 675.8. 入學規(guī)定 686. 售后服務和技術支持 696.1. 售后服務內(nèi)容 696.2. 保修 706.3. 保修方式 716.4. 保修范疇 716.5. 保修期確認 726.6. 全國服務網(wǎng)絡 726.7. 場地及環(huán)境準備 726.7.1. 常規(guī)規(guī)定 726.7.2. 機房電源、地線及同步規(guī)定 736.7.3. 設備場地、通信 736.7.4. 機房環(huán)境 736.8. 驗收清單 756.8.1. 設備開箱驗收清單 756.8.2. 顧客信息清單 756.8.3. 顧客驗收清單 767. 方案整體優(yōu)勢 788. 方正方御防火墻榮譽證書 79

背景簡介項目總述政府專網(wǎng)是寧波市政府信息化建設基本工程，是以寧波市政府東、北大院計算機局域網(wǎng)為核心，以寬帶光纖網(wǎng)絡為通信平臺，環(huán)繞業(yè)務管理、數(shù)據(jù)互換、語音通信、重大事件解決、視頻會議等應用，覆蓋寧波市各縣（市）、區(qū)政府，市政府各部門，市委辦、人大辦、政協(xié)辦及市委各工作部門等，并與全國、全省政府專網(wǎng)聯(lián)接，共約122個節(jié)點城域網(wǎng)。政府專網(wǎng)是獨立于公共網(wǎng)絡之外政府系統(tǒng)專用網(wǎng)絡，物理上與外部公共網(wǎng)絡隔離。專網(wǎng)內(nèi)部進行邏輯分割，采用防火墻隔離、審計檢測等辦法，建立有效網(wǎng)絡安全防范體系，以滿足國家黨政機關網(wǎng)絡可傳送普密級信息通信安全保密規(guī)定。政府專網(wǎng)涉及范疇廣，建設規(guī)定高，需分期分批進行建設。整個建設周期分為二期，第一期41個節(jié)點于2月底前完畢，第二期約81個節(jié)點于完畢。當前已經(jīng)完畢網(wǎng)絡平臺、系統(tǒng)集成、系統(tǒng)商務標招投標工作，正在抓緊進行網(wǎng)絡平臺建設及有關設備訂購采購工作。政府專網(wǎng)建成后，將極大地增進政府業(yè)務規(guī)范化、辦公自動化、管理智能化、決策科學化、提高政府機關辦事工作效率，實現(xiàn)政府各部門以及上下級政府部門之間信息和資源共享。網(wǎng)絡環(huán)境總述市區(qū)內(nèi)采用千兆以太網(wǎng)技術，市區(qū)外采用IPOVERSDH傳播技術，各節(jié)點用物理光纖接入。政府專網(wǎng)以市政府辦公廳為核心節(jié)點，在市區(qū)內(nèi)采用4個匯集點，各節(jié)點用物理光纖就近接入?yún)R集點。在市區(qū)外運用網(wǎng)絡供應商提供SDH環(huán)路，各節(jié)點用物理光纖接入SDH環(huán)。核心節(jié)點與SDH環(huán)通過物理光纖連接，把市內(nèi)和市外兩某些連通，構成完整政府專網(wǎng)網(wǎng)絡平臺?？傮w構造請參見網(wǎng)絡總體拓撲圖。此外，省政府專網(wǎng)光纖接入到IBM2216路由器，再通過防火墻（上海華堂），以百兆方式接入核心節(jié)點接入互換機。國務院專網(wǎng)幀中繼專線接入到CISCO路由器，再通過防火墻（中科院安勝（ERCIST）防火墻），以百兆方式接入核心節(jié)點接入互換機。寧波市解決重大事件指揮中心（如下簡稱指揮中心）是一種獨立網(wǎng)段，以多模光纖接入核心點接入互換機，中間需以防火墻隔離。市政府西大院所有單位作為一種節(jié)點，用4芯光纖接入?yún)R集點。政府專網(wǎng)采用CISCOWORKSFORNT作為網(wǎng)管軟件。業(yè)務現(xiàn)狀一方面，寧波市政府與上級政府部門信息數(shù)據(jù)互換量非常大。一方面，國務院、省政府需要寧波市政府上報大量信息，如地方經(jīng)濟運營狀況、經(jīng)濟規(guī)劃、社會治安狀況等；另一方面，寧波市政府也需要及時理解國家關于政策、法規(guī)最新狀況。第二，寧波市政府與各縣區(qū)政府數(shù)據(jù)互換量也相稱大。第三，為了切實做好政府各項綜合管理工作，市政府要領導、安排、督促和協(xié)調政府各職能部門工作，因而與各部門業(yè)務聯(lián)系十分密切，信息互換量很大。第四，市政府與市委、人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁。1.寧波市與上級政府部門之間信息交流以公文、告知告示、要聞信息等文字資料為主。2.寧波市政府系統(tǒng)（含與市委、人大、政協(xié)系統(tǒng)之間）內(nèi)部信息交流內(nèi)容，重要有：·網(wǎng)上辦公：公文及業(yè)務工作網(wǎng)上辦理流轉?！ず暧^信息：涉及國際、國內(nèi)、省內(nèi)、省外、市內(nèi)、市外宏觀經(jīng)濟數(shù)據(jù)，每日信息，重要會議，重大事件。·基本信息：涉及市情、縣情，各級領導狀況，機構設立、直屬機構設立、編制、職能職責、聯(lián)系電話、郵箱地址等?！じ嬷媸荆荷婕皶h、學習、上報材料等告知，系統(tǒng)內(nèi)通報等?！すぷ鲃討B(tài)：國家、省、市政府及政府關于部門重要政策信息，政府內(nèi)部改革思路新經(jīng)驗等?！ぶ卮笫录鉀Q：綜合治理、災害、汛情、交通等方面文字、圖像及視頻信息?！ふ叻ㄒ?guī)：地方政策法規(guī)和國家、浙江省政策法規(guī)·行業(yè)數(shù)據(jù)：科技、文化、教誨、交通等方面行業(yè)數(shù)據(jù)?！さ乩硇畔⑾到y(tǒng)：規(guī)劃、建筑、地形地貌等方面數(shù)據(jù)，涉及大型圖片?！嫼怂阒行模贺攧諗?shù)據(jù)·經(jīng)濟服務中心：批文、辦事程序等數(shù)據(jù)以上諸項信息內(nèi)容除已闡明以外，別的都為文字、數(shù)字等形式。網(wǎng)絡信息安全概況當前，諸多公開新聞表白美國國家安全局（NSA）有也許在許多美國大軟件公司產(chǎn)品中安裝“后門”，其中涉及某些應用廣泛操作系統(tǒng)。為此德國軍方前些時候甚至規(guī)定在所有牽涉到機密計算機里，不得使用美國操作系統(tǒng)。作為信息安全保障，咱們在安全產(chǎn)品選型時強烈建議使用國內(nèi)自主開發(fā)先進網(wǎng)絡安全產(chǎn)品，將安全風險降至最低。在為各安全產(chǎn)品選型時，咱們立足國內(nèi)，同步保證所選產(chǎn)品先進性及可靠性，并規(guī)定通過國家各重要安全測評認證。網(wǎng)絡安全現(xiàn)狀Internet正在越來越多地融入到社會各個方面。一方面，隨著網(wǎng)絡顧客成分越來越多樣化，出于各種目網(wǎng)絡入侵和襲擊越來越頻繁；另一方面，隨著Internet和以電子商務為代表網(wǎng)絡應用日益發(fā)展，Internet越來越深地滲入到各行各業(yè)核心要害領域。Internet安全涉及其上信息數(shù)據(jù)安全，日益成為與政府、軍隊、公司、個人利益休戚有關“大事情”。特別對于政府和軍隊而言，如果網(wǎng)絡安全問題不能得到妥善解決，將會對國家安全帶來嚴重威脅。二月，在三天時間里，黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站－Yahoo!、Amazon、eBay、CNN陷入癱瘓，導致了十幾億美元損失，令美國上下如臨大敵。黑客使用了DDoS（分布式回絕服務）襲擊手段，用大量無用信息阻塞網(wǎng)站服務器，使其不能提供正常服務。在隨后不到一種月時間里，又先后有微軟、ZDNet和E*TRADE等知名網(wǎng)站遭受襲擊。國內(nèi)網(wǎng)站也未能幸免于難，新浪、當當書店、EC123等知名網(wǎng)站也先后受到黑客襲擊。國內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月客觀地說，沒有任何一種網(wǎng)絡可以免受安全困擾，根據(jù)FinancialTimes曾做過記錄，平均每20秒鐘就有一種網(wǎng)絡遭到入侵。僅在美國，每年由于網(wǎng)絡安全問題導致經(jīng)濟損失就超過100億美元。典型黑客襲擊黑客們進行網(wǎng)絡襲擊目各種各樣，有是出于政治目，有是員工內(nèi)部破壞，尚有是出于好奇或者滿足自己虛榮心。隨著Internet高速發(fā)展，也浮現(xiàn)了有明確軍事目軍方黑客組織。在典型網(wǎng)絡襲擊中，黑客普通會采用如下環(huán)節(jié)：自我隱藏，黑客使用通過rsh或telnet在此前攻克主機上跳轉、通過錯誤配備proxy主機跳轉等各種技術來隱藏她們IP地址，更高檔一點黑客，精通運用電話互換侵入主機。網(wǎng)絡偵探和信息收集，在運用Internet開始對目的網(wǎng)絡進行襲擊前，典型黑客將會對網(wǎng)絡外部主機進行某些初步探測。黑客普通在查找其她弱點之前一方面試圖收集網(wǎng)絡構造自身信息。通過查看上面查詢來成果列表，普通很容易建立一種主機列表并且開始理解主機之間聯(lián)系。黑客在這個階段使用某些簡樸命令來獲得外部和內(nèi)部主機名稱：例如，使用nslookup來執(zhí)行“l(fā)s<domainornetwork>”，finger外部主機上顧客等。確認信任網(wǎng)絡構成，普通而言，網(wǎng)絡中主控主機都會受到良好安全保護，黑客對這些主機入侵是通過網(wǎng)絡中主控主機信任成分來開始襲擊，一種網(wǎng)絡信任成員往往是主控主機或者被以為是安全主機。黑客普通通過檢查運營nfsd或mountd那些主機輸出NFS開始入侵，有時候某些重要目錄（例如/etc，/home）能被一種信任主機mount。確認網(wǎng)絡構成弱點，如果一種黑客能建立你外部和內(nèi)部主機列表，她就可以用掃描程序（如ADMhack，mscan，nmap等）來掃描某些特定遠程弱點。啟動掃描程序主機系統(tǒng)管理員普通都不懂得一種掃描器已經(jīng)在她主機上運營，由于’ps’和’netstat’都被特洛伊化來隱藏掃描程序。在對外部主機掃描之后，黑客就會對主機與否易受襲擊或安全有一種對的判斷。有效運用網(wǎng)絡構成弱點，當黑客確認了某些被信任外部主機，并且同步確認了某些在外部主機上弱點，她們就要嘗試攻克主機了。黑客將襲擊一種被信任外部主機，用它作為發(fā)動襲擊內(nèi)部網(wǎng)絡據(jù)點。要襲擊大多數(shù)網(wǎng)絡構成，黑客就要使用程序來遠程襲擊在外部主機上運營易受襲擊服務程序，這樣例子涉及易受襲擊Sendmail,IMAP,POP3和諸如statd,mountd，pcnfsd等RPC服務。獲得對有弱點網(wǎng)絡構成訪問權，在攻克了一種服務程序后，黑客就要開始清除她在記錄文獻中所留下痕跡，然后留下作后門二進制文獻，使其后來可以不被發(fā)現(xiàn)地訪問該主機。當前，黑客重要襲擊方式有：欺騙：通過偽造IP地址或者盜用顧客帳號等辦法來獲得對系統(tǒng)非授權使用，例如盜用撥號帳號。竊聽：運用以太網(wǎng)廣播特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡數(shù)據(jù)包，對信息進行過濾和分析后得到有用信息，例如使用sniffer程序竊聽顧客密碼。數(shù)據(jù)竊?。涸谛畔⒐蚕砗蛡鬟f過程中，對信息進行非法復制，例如，非法拷貝網(wǎng)站數(shù)據(jù)庫內(nèi)重要商業(yè)信息，盜取網(wǎng)站顧客個人信息等。數(shù)據(jù)篡改：在信息共享和傳遞過程中，對信息進行非法修改，例如，刪除系統(tǒng)內(nèi)重要文獻，破壞網(wǎng)站數(shù)據(jù)庫等?；亟^服務：使用大量無意義服務祈求來占用系統(tǒng)網(wǎng)絡帶寬、CPU解決能力和IO能力，導致系統(tǒng)癱瘓，無法對外提供服務。典型例子就是年初黑客對Yahoo等大型網(wǎng)站襲擊。黑客襲擊往往導致重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被運用和網(wǎng)絡癱瘓等嚴重后果，如果是對軍用和政府網(wǎng)絡襲擊，還會對國家安全導致嚴重威脅。網(wǎng)絡與信息安全平臺任務網(wǎng)絡與信息安全平臺任務就是創(chuàng)立一種完善安全防護體系，對所有非法網(wǎng)絡行為，如越權訪問、病毒傳播、惡意破壞等等，事前防止、事中報警并制止，事后能有效將系統(tǒng)恢復。在上文對黑客行為描述中，咱們可以看出，網(wǎng)絡上任何一種安全漏洞都會給黑客以可乘之機。知名木桶原理（木桶容量由其最短木板決定）在網(wǎng)絡安全里特別合用。因此，咱們方案必要是一種完整網(wǎng)絡安全解決方案，對網(wǎng)絡安全每一種環(huán)節(jié)，都要有仔細考慮。

安全架構分析與設計邏輯上，寧波市政府系記錄算機專網(wǎng)將劃分為三個區(qū)域：數(shù)據(jù)發(fā)布區(qū)、局域網(wǎng)顧客、遠程其她顧客。其中每一種局域網(wǎng)節(jié)點劃分為內(nèi)部操作（控制）區(qū)、信息共享區(qū)兩個網(wǎng)段，網(wǎng)段之間設立安全隔離區(qū)。每一種網(wǎng)段必要可以構成一種獨立、完整、安全、可靠系統(tǒng)。網(wǎng)絡整體構造寧波市政府系記錄算機專網(wǎng)需要涉及若干政府部門，各地方網(wǎng)絡通過專用網(wǎng)連接起來。寧波在全國政府專網(wǎng)中位置政府專網(wǎng)是由國家、省、市及縣級政府部門共同構成全國性廣域網(wǎng)。整個廣域網(wǎng)網(wǎng)絡系統(tǒng)是一種典型星形拓樸型構造，重要負責傳播國家、省、市、縣政府間文字、圖像和視頻信息。其構造圖如下：政府系統(tǒng)構造圖整個區(qū)域網(wǎng)絡拓樸為一倒叉樹構造，國務院為根節(jié)點，寧波市作為網(wǎng)絡中一級節(jié)點同步又作為一種區(qū)域中心節(jié)點，它既要與國家、省各部門互聯(lián)，又要與各縣（市）、區(qū)政府和市政府各部門互聯(lián)，在整個網(wǎng)絡中起著一種承上啟下作用。光纖網(wǎng)絡平臺光纖網(wǎng)絡平臺提供商為寧波市廣電網(wǎng)絡傳播中心。詳細狀況如下：1.市區(qū)范疇內(nèi)（東北大院以外）73家單位采用物理光纖分別接入四個匯集點。這四個匯集點分別是廣電網(wǎng)絡傳播中心匯集點、華僑城匯集點、廣電局匯集點、電視中心匯集點。單點接入示意圖如下：市區(qū)內(nèi)各部門邏輯分布圖如下圖：2.市區(qū)以外單位重要是余姚、慈溪、奉化、寧海、象山、鎮(zhèn)海、北侖、經(jīng)濟技術開發(fā)區(qū)、保稅區(qū)、大榭開發(fā)區(qū)、港務局等部門。這些部門與核心節(jié)點之間將借助寧波廣電sdh環(huán)網(wǎng)。單點接入示意圖如下：市區(qū)外各部門邏輯分布圖如下圖：寧波政府專網(wǎng)安全風險分析重要應用服務安全風險應用服務系統(tǒng)中各個節(jié)點有各種應用服務，這些應用服務提供應各級部門或單位使用。不能防止未經(jīng)驗證操作人員運用應用系統(tǒng)脆弱性來襲擊應用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。而寧波市政府這些應用系統(tǒng)是政府專網(wǎng)中最重要構成某些。DNS服務DNS是網(wǎng)絡正常運作基本元素，它們是由運營專門或操作系統(tǒng)提供服務Unix或NT主機構成。這些系統(tǒng)很容易成為外部網(wǎng)絡襲擊目的或跳板。對DNS襲擊普通是對其她遠程主機進行襲擊做準備，如篡改域名解析記錄以欺騙被襲擊系統(tǒng)，或通過獲取DNS區(qū)域文獻而得到進一步入侵重要信息。知名域名服務系統(tǒng)BIND就存在眾多可以被入侵者運用漏洞。特別是基于URL應用依賴于DNS系統(tǒng)，DNS安全性也是網(wǎng)絡安全關注焦點。E-Mail由于郵件服務器軟件眾多廣為人知安全漏洞，郵件服務器成為進行遠程襲擊首選目的之一。如運用公共郵件服務器進行郵件欺騙或郵件炸彈中轉站或引擎；運用sendmail漏洞直接入侵到郵件服務器主機等。而寧波政府專網(wǎng)內(nèi)部E-mail系統(tǒng)覆蓋面廣，因此迫切需要使用防火墻來保護內(nèi)部E-mail系統(tǒng)。WWW運用HTTP服務器某些漏洞，特別是在大量使用服務器腳本系統(tǒng)上，運用這些可執(zhí)行腳本程序，未經(jīng)授權操作者可以很容易地獲得系統(tǒng)控制權。在寧波市政府存在各種WWW服務，這些服務合同或多或少存在安全隱患。FTP某些FTP服務器缺陷會使服務器很容易被錯誤配備，從而導致安全問題，如被匿名顧客上載木馬程序，下載系統(tǒng)中重要信息（如口令文獻）并導致最后入侵。有些服務器版本帶有嚴重錯誤，例如可以使任何人獲得對涉及root在內(nèi)任何帳號訪問。網(wǎng)絡中重要系統(tǒng)安全風險整個系統(tǒng)中網(wǎng)絡設備重要采用路由器設備，有必要分析這些設備風險。路由器是網(wǎng)絡核心部件，路由器安全將直接影響整個網(wǎng)絡安全。下面列舉了某些路由器所存在重要安全風險：■ 路由器缺省狀況下只使用簡樸口令驗證顧客身份，并且遠程TELNET登錄時以明文傳播口令。一旦口令泄密路由器將失去所有保護能力?！雎酚善骺诹钊觞c是沒有計數(shù)器功能，因此每個人都可以不限次數(shù)嘗試登錄口令，在口令字典等工具協(xié)助下很容易破解登錄口令。■每個管理員都也許使用相似口令，因而，路由器對于誰曾經(jīng)作過什么修改，系統(tǒng)沒有跟蹤審計能力。■路由器實現(xiàn)某些動態(tài)路由合同存在一定安全漏洞，有也許被惡意襲擊者運用來破壞網(wǎng)絡路由設立，達到破壞網(wǎng)絡或為襲擊做準備目。針對這種狀況，必要采用辦法，有效防止非法對網(wǎng)絡設備訪問?！鯰CP/IP風險：系統(tǒng)采用TCP/IP合同進行通信，而由于TCP/IP合同中存在固有漏洞，例如：針對TCP序號襲擊，TCP會話劫持，TCPSYN襲擊等。同步系統(tǒng)DNS采用UDP合同，由于UDP合同是非面向連接合同，對系統(tǒng)中DNS等有關應用帶來安全風險。數(shù)據(jù)庫系統(tǒng)安全分析數(shù)據(jù)庫系統(tǒng)是存儲重要信息場合并肩負著管理這些數(shù)據(jù)信息任務。數(shù)據(jù)庫安全問題，在數(shù)據(jù)庫技術誕生之后就始終存在，并隨著數(shù)據(jù)庫技術發(fā)展而不斷深化。不法份子運用已有或者更加先進技術手段普通對數(shù)據(jù)庫進行偽造數(shù)據(jù)庫中數(shù)據(jù)、損壞數(shù)據(jù)庫、竊取數(shù)據(jù)庫中數(shù)據(jù)。如何保證和加強數(shù)據(jù)庫系統(tǒng)安全性和保密性對于網(wǎng)絡正常、安全運營至關重要。Unix系統(tǒng)安全分析 UNIX系統(tǒng)安全具備如下特性：操作系統(tǒng)可靠性：它用于保證系統(tǒng)完整性，系統(tǒng)處在保護模式下，通過硬件和軟件保證系統(tǒng)操作可靠性。訪問控制：容許通過變化顧客安全級別、訪問權限，具備統(tǒng)一訪問控制表。對象可用：當對象不需要時應當及時清除。個人身份標記與認證：它重要為了擬定身份，如顧客登陸時采用擴展DES算法對口令進行加密。審計：它規(guī)定對使用身份標記和認證機制，文獻創(chuàng)立，修改，系統(tǒng)管理所有操作以及其她關于安全事件進行記錄，以便系統(tǒng)管理員進行安全跟蹤。往來文獻系統(tǒng)：UNIX系統(tǒng)提供了分布式文獻系統(tǒng)（DFS）網(wǎng)絡安全。 將網(wǎng)絡與外部網(wǎng)絡相連接，會使您網(wǎng)絡遭受潛在服務中斷、未經(jīng)授權入侵以及相稱大破壞。例如下面某些安全隱患：■“回絕服務”襲擊(DenialofServiceAttacks)：這些襲擊禁止系統(tǒng)向顧客提供服務，使顧客不能得到某種服務。例如，襲擊也許使用大而無用流量充斥網(wǎng)絡，導致無法向顧客提供服務。最普通狀況是這種襲擊也許毀壞系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服務時慢出奇。■緩沖區(qū)溢出襲擊(BufferOverrunExploits)：其中涉及運用軟件弱點將任意數(shù)據(jù)添加進某個程序中，從而在它以根身份運營時，有也許賦予剝削者對您系統(tǒng)根訪問權。這也也許導致某種“回絕服務”襲擊?！龈`聽和重放襲擊(SnoopingandReplayAttacks)：竊聽襲擊涉及某個對網(wǎng)絡上兩臺機器之間通訊流進行偵聽入侵者。通訊流也許包括使用telnet、rlogin或ftp時來回傳遞未加密口令。這有也許導致某個未經(jīng)授權個人非法進入您網(wǎng)絡或看到機密數(shù)據(jù)?！鯥P欺騙(IPSpoofing)：基于IP欺騙襲擊涉及對計算機未經(jīng)授權訪問。通過偵聽網(wǎng)絡通訊流，入侵者找到受信任主機一種IP地址，然后發(fā)送消息時批示該消息來自受信任主機。■內(nèi)部泄密(InternalExposure)：絕大多數(shù)網(wǎng)絡非法進入皆起因于某個心懷惡意或對現(xiàn)狀不滿現(xiàn)任或前任雇員濫用對信息訪問權或非法闖入您網(wǎng)絡。針對Unix系統(tǒng)存在諸多風險，應當采用相應安全辦法。必要對這些風險加以控制。針對這個某些安全控制可以采用特殊安全方略，同步運用有關軟件對系統(tǒng)進行配備、監(jiān)控。制定詳細訪問控制籌劃、方略。WindowsNT系統(tǒng)安全分析WindowsNT安全機制基本是所有資源和操作都受到選取訪問控制保護，可覺得同一目錄不同文獻設立不同權限。這是NT文獻系統(tǒng)最大特點。NT安全機制不是外加，而是建立在操作系統(tǒng)內(nèi)部，可以通過一定設立使文獻和其她資源免受在存儲計算機上工作顧客和通過網(wǎng)絡接觸資源顧客威脅（破壞、非法編輯等）。安全機制甚至包括基本系統(tǒng)功能，例如設立系統(tǒng)時鐘。對顧客帳號、顧客權限及資源權限合理組合，可以有效地保證安全性。通過一系列管理工具，以及對顧客帳號、口令管理，對文獻、數(shù)據(jù)授權訪問，執(zhí)行動作限制，以及對事件審核可以使WindowsNT達到C2級安全。在網(wǎng)絡中，有三種方式可以訪問NT服務器：（1）通過顧客帳號、密碼、顧客組方式登錄到服務器上，在服務器容許權限內(nèi)對資源進行訪問、操作。這種方式可控制性較強，可以針對不同顧客。（2）在局部范疇內(nèi)通過資源共享形式，這種方式建立在NETBIOS基本之上。通過對共享資源共享權限控制達到安全保護。但不能針對不同顧客，當一種顧客在通過共享對某一種資源進行操作時（這時共享權限有所擴大），其她顧客趁虛而入，而導致對資源破壞。（3）在網(wǎng)絡中通過TCP/IP合同，對服務器進行訪問。當前典型應用有FTP、HTTP、WWW等。通過對文獻權限限制和對IP選取，對登錄顧客認證可以在安全性上做到一定保護。 由于WindowsNT系統(tǒng)復雜性，以及系統(tǒng)生存周期比較短，系統(tǒng)中存在大量已知和未知漏洞，某些國際上安全組織已經(jīng)發(fā)布了大量安全漏洞，其中某些漏洞可以導致入侵者獲得管理員權限，而另某些漏洞則可以被用來實行回絕服務襲擊。管理系統(tǒng)安全風險管理系統(tǒng)安全風險除了上面提到系統(tǒng)風險之外，系統(tǒng)構造復雜、管理難度大，存在各種服務，哪些服務對哪些人是開放、哪些是回絕都沒有一定安全劃分。必要防止內(nèi)部不有關人員非法訪問安全限度規(guī)定高數(shù)據(jù)，并且整個系統(tǒng)正常運營也是保證銀行系統(tǒng)尋常工作正常進行一種十分重要方面。必要限制管理系統(tǒng)內(nèi)各個部門之間訪問權限，維護各個系統(tǒng)安全訪問。而由于整個系統(tǒng)是一種體系，任何一種點浮現(xiàn)安全問題，都也許給有關人員帶來損失。寧波政府專網(wǎng)安全風險解決方案設計原則和目的原則：從網(wǎng)絡安全整個體系考慮，本次防火墻選取原則是：安全性：防火墻提供一整套訪問控制/防護安全方略，保證系統(tǒng)安全性；開放性：防火墻采用國家防火墻有關原則和網(wǎng)絡安全領域有關技術原則；高可靠性：防火墻采用軟件、硬件結合形式，保證系統(tǒng)長期穩(wěn)定、安全運營；可擴充性：防火墻采用模塊化設計方式，以便產(chǎn)品升級、功能增強、調節(jié)系統(tǒng)構造；可管理性：防火墻采用基于windows平臺GUI模式進行管理，以便各種安全方略設立；可維護性：防火墻軟件維護以便，便于操作管理；目的：網(wǎng)絡安全涉及諸多方面，如：訪問控制、身份認證、數(shù)據(jù)加密、入侵檢測、防止病毒、數(shù)據(jù)備份等。本次防火墻系統(tǒng)建設目的是通過采用防火墻技術，防止不同節(jié)點間對內(nèi)聯(lián)網(wǎng)數(shù)據(jù)非法使用和訪問，監(jiān)控整個網(wǎng)絡數(shù)據(jù)過程。有效防止襲擊行為。限制對內(nèi)部資源和系統(tǒng)訪問范疇。通過在系統(tǒng)中設立防火墻安全辦法將達到如下目的：保護基于專網(wǎng)業(yè)務不間斷正常運作。涉及構成所有設施、系統(tǒng)、以及系統(tǒng)所解決數(shù)據(jù)（信息）。重要信息在可控范疇內(nèi)傳播，即有效控制信息傳播范疇，防止重要信息泄露解決網(wǎng)絡邊界安全問題保證網(wǎng)絡內(nèi)部安全實現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全在顧客和資源之間進行嚴格訪問控制（通過身份認證，訪問控制）建立一套數(shù)據(jù)審計、記錄安全管理機制（網(wǎng)絡數(shù)據(jù)采集，審計）融合技術手段和行政手段，形成全局安全管理。為理解決專網(wǎng)面臨安全問題，有必要建立一整套安全機制，涉及：訪問控制、入侵檢測等各種方面。信息系統(tǒng)安全是一種復雜系統(tǒng)工程，涉及到技術和管理等各種層面。為達到以上目的，方正數(shù)碼在充分調研和分析比較基本上采用合理技術手段和產(chǎn)品以構建一種完整安全技術體系，協(xié)助寧波政府建立完善安全管理體系。網(wǎng)絡安全解決方案構成針對前文對黑客入侵過程描述，為了更為有效保證網(wǎng)絡安全，方正數(shù)碼提出了兩個理念：立體安全防護體系和安全服務支撐體系。一方面網(wǎng)絡安全決不但僅是一種防火墻，它應是涉及入侵測檢（IDS）、虛擬專用網(wǎng)（VPN）等功能在內(nèi)立體安全防護體系；另一方面真正網(wǎng)絡安全一定要配備完善高質量安全維護服務，以使安全產(chǎn)品充分發(fā)揮出其真正安全效力。一種好網(wǎng)絡安全解決方案應當由如下幾種某些構成：防火墻：對網(wǎng)絡襲擊阻隔防火墻是保證網(wǎng)絡安全重要屏障。防火墻依照網(wǎng)絡流來源和訪問目的，對網(wǎng)絡流進行限制，容許合法網(wǎng)絡流，并禁止非法網(wǎng)絡流。防火墻最大意義在網(wǎng)絡邊界處提供統(tǒng)一安全方略，有效將復雜網(wǎng)絡安全問題簡化，大大減少管理成本和潛在風險。在應用防火墻技術時，對的劃分網(wǎng)絡邊界和制定完善安全方略是至關重要。發(fā)展到今天，好防火墻往往集成了其她某些安全功能。例如方正方御防火墻在較好實現(xiàn)了防火墻功能同步，也實現(xiàn)了下面所說入侵檢測功能；入侵檢測（IDS）：對襲擊試探預警當黑客試探襲擊時，大多采用某些已知襲擊辦法來試探。網(wǎng)絡安全漏洞掃描器是“先敵發(fā)現(xiàn)”，未雨綢繆。而從此外一種角度考慮問題，“實時監(jiān)測”，發(fā)現(xiàn)黑客襲擊企圖，對于網(wǎng)絡安全來說也是非常故意義。甚至由此派生出了P^2DR理論。入侵檢測系統(tǒng)通過掃描網(wǎng)絡流里特性字段（網(wǎng)絡入侵檢測），或者探測系統(tǒng)異常行為（主機入侵檢測），來發(fā)現(xiàn)此類襲擊存在。一旦被發(fā)現(xiàn)，則報警并作出相應解決，同步可以依照預定辦法自動反映，例如暫時封掉發(fā)起該掃描IP。方正方御防火墻已經(jīng)內(nèi)置了一套網(wǎng)絡版IDS系統(tǒng)可以迅速并有效發(fā)現(xiàn)1500余種襲擊行為。需要注意是，入侵檢測系統(tǒng)當前不能，后來也很難，精準發(fā)現(xiàn)黑客襲擊痕跡。事實上，黑客可以將某些廣為人知網(wǎng)絡襲擊進行某些較為復雜變形，就能做到?jīng)]有入侵檢測系統(tǒng)可以辨認出來。因此，在應用入侵檢測系統(tǒng)時，千萬不要由于有了入侵檢測系統(tǒng)，就不對系統(tǒng)中安全隱患進行及時補救。安全審計管理安全審計系統(tǒng)必要實時監(jiān)測網(wǎng)絡上和顧客系統(tǒng)中發(fā)生各類與安全關于事件，如網(wǎng)絡入侵、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些狀況真實記錄，并能對于嚴重違規(guī)行為進行阻斷。安全審計系統(tǒng)所做記錄猶如飛機上黑匣子，在發(fā)生網(wǎng)絡犯罪案件時可以提供寶貴偵破和取證輔助數(shù)據(jù)，并具備防銷毀和篡改特性。安全審計跟蹤機制內(nèi)容是在安全審計跟蹤中記錄關于安全信息，而安全審計管理內(nèi)容是分析和報告從安全審計跟蹤中得來信息。安全審計跟蹤將考慮要選取記錄什么信息以及在什么條件下記錄信息。收集審計跟蹤信息，通過列舉被記錄安全事件類別（例如對安全規(guī)定明顯違背或成功操作完畢），能適應各種不同需要。已知安全審計存在可對某些潛在侵犯安全襲擊源起到威攝作用。虛擬專用網(wǎng)（VPN）：遠程傳播安全VPN技術在把分散在各處服務器群連成了一種整體，形成了一種虛擬專用網(wǎng)絡。通過VPN加密通道，數(shù)據(jù)被加密后傳播，保證了遠程數(shù)據(jù)傳播安全性。使用VPN可以象管理本地服務器同樣去安全管理遠程服務器。VPN帶來最大好處是保證安全性同步，復用物理信道，減少使用成本。方正方御防火墻提供了軟、硬兩種方式來實現(xiàn)VPN。防病毒以及特洛伊木馬計算機病毒危害不言而喻，計算機病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結合起來，成為黑客又一利器。微軟原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。安全方略實行保證網(wǎng)絡安全知識普及，網(wǎng)絡安全方略嚴格執(zhí)行，是網(wǎng)絡安全最重要保障。此外，信息備份是信息安全最起碼規(guī)定。能減少惡意網(wǎng)絡襲擊或者意外災害帶來破壞性損失。超高安全規(guī)定下網(wǎng)絡保護對于寧波市政府系記錄算機專網(wǎng)數(shù)據(jù)中心安全而言，安全性需求就更加高，屬于超高安全規(guī)定下網(wǎng)絡保護范疇，因而需要在這些地方使用2臺防火墻進行雙機熱備，以保證數(shù)據(jù)穩(wěn)定傳播。認證與授權認證與授權是一切網(wǎng)絡安全根基所在，特別在網(wǎng)絡安全管理、外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡（涉及撥號）時，要有非常嚴格認證與授權機制，防止黑客假冒身份滲入進內(nèi)部網(wǎng)絡。對于內(nèi)部訪問，也要有完善網(wǎng)絡行為審計記錄和權限限定，防止由內(nèi)部人員發(fā)起襲擊──70%以上襲擊都是內(nèi)部人員發(fā)起。咱們建議寧波市政府系記錄算機專網(wǎng)運用基于X.509證書認證體系（當前最強認證體系）來進行認證。方正方御防火墻管理也是用X.509證書進行認證。網(wǎng)絡隔離網(wǎng)絡安全界一種玩笑就是：要想安全，就不要插上網(wǎng)線。這是一種簡樸原理：如果網(wǎng)絡是隔離開，那么網(wǎng)絡襲擊就失去了其存在介質，皮之不存，毛將焉附。但對于需要和外界溝通實際應用系統(tǒng)來說，完全物理隔離是行不通。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡隔離解決方案，在網(wǎng)絡連通條件下，通過破壞網(wǎng)絡襲擊得以進行此外兩個重要條件：從外部網(wǎng)絡向內(nèi)部網(wǎng)絡發(fā)起連接將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡從而保證寧波市政府系記錄算機專網(wǎng)安全。實行保證寧波市政府系記錄算機專網(wǎng)牽涉網(wǎng)點眾多，網(wǎng)絡構造復雜。要保護這樣一種繁雜網(wǎng)絡系統(tǒng)網(wǎng)絡安全，必要有完善管理保證。安全系統(tǒng)要可以提供統(tǒng)一集中靈活管理機制，一方面要能讓寧波市政府系記錄算機專網(wǎng)網(wǎng)控中心網(wǎng)管人員監(jiān)控整體網(wǎng)絡安全狀況，此外一方面，要能讓地方網(wǎng)管人員靈活解決詳細事務。方正方御防火墻采用基于WindowsGUI顧客界面進行遠程集中式管理，配備管理界面直觀，易于操作。可以通過一種控制機對多臺方正方御防火墻進行集中式管理。方正方御防火墻符合國家最新防火墻安全原則，采用了三級權限機制，分為管理員，方略員和審計員。管理員負責防火墻開關及尋常維護，方略員負責配備防火墻包過濾和入侵檢測規(guī)則，審計員負責日記管理和審計中授權機制，這樣她們共同地負責起一種安全管理平臺。事實上，方御防火墻是通過該原則認證第一種狀態(tài)檢測型包過濾防火墻。此外，方正方御防火墻還提供了原原則中沒有強制執(zhí)行實行域分組授權機制，特別適合于寧波市政府系記錄算機專網(wǎng)這樣大型網(wǎng)絡。防火墻選型防火墻是網(wǎng)絡安全領域首要、基本設施，它對維護內(nèi)部網(wǎng)絡安全起著重要作用。運用防火墻可以有效地劃分網(wǎng)絡不同安全級別區(qū)域間邊界，并在邊界上對不同區(qū)域間訪問實行訪問控制、身份鑒別、和安全審計等功能。防火墻按實現(xiàn)方式不同，其基本類型有：包過濾型、代理(應用網(wǎng)關)型和復合型。復合型防火墻是在綜合動態(tài)包過濾技術和代理技術長處狀況下采用一種更加完善和安全防火墻技術。其功能強大，是將來防火墻技術發(fā)展一種重要趨勢。綜合考慮寧波市政府網(wǎng)絡安全實際狀況，在本方案中采用方正數(shù)碼方正方御復合型防火墻，放置在網(wǎng)絡連接各個節(jié)點間。防火墻設立及工作模式防火墻提供三個接口：內(nèi)網(wǎng)、外網(wǎng)、DMZ；防火墻工作在橋模式，這樣不需要改動既有網(wǎng)絡拓撲構造；將對外服務各種服務設備放置在DMZ區(qū)域，和內(nèi)部網(wǎng)絡嚴格區(qū)別開，保證內(nèi)部系統(tǒng)安全。防火墻功能設立及安全方略完善訪問控制規(guī)則控制：通過方正方御防火墻提供基于TCP/IP合同中各個環(huán)節(jié)進行安全控制，生成完整安全訪問控制表，這個表涉及：■外網(wǎng)對DMZ內(nèi)服務訪問控制。將外部對內(nèi)部、DMZ內(nèi)服務訪問明確限制，防止非法對內(nèi)部重要系統(tǒng)，特別是業(yè)務系統(tǒng)訪問。運用DMZ隔離效果，盡量將對外服務某些服務器放置在DMZ區(qū)域，通過NAT方式，保護內(nèi)部網(wǎng)絡免受襲擊。關閉操作系統(tǒng)提供除需要以外所有服務和應用，防止由于這些服務和應用自身漏洞給系統(tǒng)帶來風險。對內(nèi)部E-mail、FTP、WWW、數(shù)據(jù)庫訪問做嚴格規(guī)劃和限制，防止惡意襲擊行為發(fā)生?！鰞?nèi)部網(wǎng)絡：內(nèi)部網(wǎng)絡對外部網(wǎng)絡訪問也要進行嚴格限制。防止內(nèi)部員工對外網(wǎng)資源非法訪問。同步內(nèi)部員工對DMZ區(qū)域服務器訪問也必要做限制。內(nèi)部員工對外網(wǎng)WWW訪問采用代理方式?！鯠MZ訪問：普通狀況下DMZ對外部和內(nèi)部都不能積極進行訪問，除非特殊應用需要到內(nèi)部網(wǎng)絡采集數(shù)據(jù)，可以有限地開放某些服務。借助方正方御防火墻提供基于狀態(tài)包過濾技術對數(shù)據(jù)各個方向采用全面安全技術方略，制定嚴格完善訪問控制方略保證從IP到傳播層數(shù)據(jù)安全。通過嚴格訪問控制表來進行限制。IPMAC地址捆綁：方正方御防火墻提供靈活而方式各種內(nèi)部網(wǎng)絡、DMZ區(qū)域、外部網(wǎng)絡IPMAC地址捆綁功能，將每臺機器IP地址和它自身物理地址捆綁，有效防止內(nèi)部網(wǎng)絡、DMZ區(qū)域、外部網(wǎng)絡IP地址盜用（該功能實質是將網(wǎng)絡合同第二層地址和第三層地址進行捆綁，達到一定安全級別）。內(nèi)部系統(tǒng)應當盡量采用固定IP分派方案。通過IPMAC地址捆綁，也可以對后期數(shù)據(jù)日記分析帶來一定以便性。URL攔截：方正方御防火墻實現(xiàn)了透明URL攔截功能，對通過防火墻應用層URL進行嚴格控制和管理，按照顧客規(guī)定進行攔截。外部對DMZ、內(nèi)部URL訪問進行控制，同步也可以限制內(nèi)部網(wǎng)絡對外部網(wǎng)絡URL非法訪問。在該方案中咱們將對內(nèi)部網(wǎng)絡和外部網(wǎng)絡狀況詳細理解，對URL攔截達到頁面級別。有效保護www應用安全。內(nèi)置入侵檢測（IDS）方正數(shù)碼公司和國際網(wǎng)絡安全組織合伙，可以實時獲得最新系統(tǒng)入侵庫代碼，動態(tài)地將這些襲擊技術解決方案加入到方正方御防火墻中,同步在方正方御防火墻內(nèi)部采用3I技術，加速應用層安全防護查詢過程。方正方御防火墻當前可以支持1500種以上入侵檢測并可以成功阻斷這樣襲擊行為，例如近來紅色代碼。針對各種襲擊行為，例如TCP序列號襲擊、劫持、碎片襲擊、端口掃描可以辨認阻斷。而這個數(shù)據(jù)庫可以實時更新、升級。升級在方正方御防火墻界面即可完畢。IDS和訪問方略形成互動。通過防火墻嵌入IDS功能可以有效防范對內(nèi)部Windows/NT，Unix系統(tǒng)襲擊行為。電子欺騙：防火墻可以自動辨認各種電子欺騙行為并進行阻斷。同步防火墻可以對偽裝IP地址進行辨認。代理服務方正方御防火墻對外提供代理服務功能，內(nèi)部網(wǎng)絡對外訪問可以通過防火墻提供代理服務功能，同步代理服務可以針對URL,SSL,FTP進行應用攔截，防止內(nèi)部人員對外網(wǎng)非法訪問。日記系統(tǒng)及系統(tǒng)報警方正方御防火墻提供強大日記系統(tǒng)，將通過防火墻數(shù)據(jù)、防火墻管理數(shù)據(jù)、流量、各種襲擊行為記錄集成到一起。同步系統(tǒng)提供針對各種記錄成果按照顧客規(guī)定進行報表打印。針對通過防火墻數(shù)據(jù)，可以按照數(shù)據(jù)類型、地址進行記錄分析。針對各種管理數(shù)據(jù)，防火墻進行詳細記錄，網(wǎng)管人員可以以便查看對防火墻管理狀況。如果有內(nèi)部人員對防火墻訪問，可以通過管理數(shù)據(jù)進行查詢。流量記錄：防火墻提供流量記錄功能，可以按照顧客名稱、地址等各種方式進行記錄。系統(tǒng)報警：當有人非法對內(nèi)部網(wǎng)絡或者外部網(wǎng)絡進行訪問時候，系統(tǒng)實時報警會通過E-mail和聲音進行報警。同步對各種非法訪問和襲擊行為進行記錄。通過強大日記系統(tǒng)和實時報警、日記報警等各種方式保證網(wǎng)絡浮現(xiàn)安全問題時可以有資料分析；同步也可以通過對日記系統(tǒng)分析完善系統(tǒng)安全方略。帶寬分派，流量管理在專網(wǎng)上運營著某些重要業(yè)務數(shù)據(jù)，這些業(yè)務數(shù)據(jù)實時性規(guī)定高，必要保證這樣數(shù)據(jù)具備優(yōu)先權限，防止由于帶寬問題影響應用。方正方御防火墻可以針對實際狀況，對某些特殊應用提供帶寬管理。給特殊應用分派相對高帶寬。同步方正方御防火墻提供流量管理功能，對內(nèi)部網(wǎng)絡顧客對外網(wǎng)訪問可以提供流量限制。H.323支持政府專網(wǎng)運營著視頻會議數(shù)據(jù)（H.323）。方正方御防火墻可以精確辨認H.323數(shù)據(jù)流，讓數(shù)據(jù)合法通過。按照正常狀態(tài)檢測技術，H.323數(shù)據(jù)也許被阻斷。在方正方御防火墻內(nèi)部成功進行了UDP、TCP數(shù)據(jù)同步分析。系統(tǒng)可以辨認H.323連接，保證H.323數(shù)據(jù)通過。系統(tǒng)升級網(wǎng)絡安全技術隨著網(wǎng)絡技術發(fā)展不斷變化，而網(wǎng)絡安全方略和軟件也不能一成不變，需要不斷升級。方正方御防火墻管理界面提供以便系統(tǒng)升級和IDS升級功能。保證防火墻產(chǎn)品實時和網(wǎng)絡安全領域技術同步，防止由于新安全問題給系統(tǒng)帶來安全風險。其中，特別是IDS功能，幾乎每天均有新安全風險和襲擊軟件浮現(xiàn)。方正防火墻內(nèi)嵌IDS功能模塊可以動態(tài)升級，保障IDS數(shù)據(jù)庫和最新動態(tài)同步。雙機備份網(wǎng)絡安全、穩(wěn)定長期運營是最后目的，而網(wǎng)絡硬件也許由于某些特殊因素發(fā)生故障。方正方御防火墻提供雙機備份功能，采用兩種方式進行備份檢測，軟件方式借用HSRP技術動態(tài)跟蹤各個區(qū)域運營狀態(tài)，發(fā)現(xiàn)任何一種區(qū)域浮現(xiàn)問題即刻進行切換。硬件方式采專心跳線方式，當系統(tǒng)檢測到故障，也將進行切換。而系統(tǒng)切換不影響業(yè)務。兩臺防火墻工作在互備模式中。防火墻方案特點本次防火墻重要設立在連接節(jié)點上。本方案中，咱們重要依照寧波政府專網(wǎng)絡實際狀況，針對防火墻特殊性，從如下幾種方面考慮保障系統(tǒng)安全性防火墻放置在內(nèi)外網(wǎng)之間用來隔離內(nèi)部網(wǎng)絡和外部網(wǎng)絡，對內(nèi)外網(wǎng)絡通信進行嚴格管理和監(jiān)控，防火墻必要提供全面安全方略保證內(nèi)部系統(tǒng)安全。因而方正方御防火墻提供全面訪問控制方略、IPMAC地址捆綁、IDS入侵檢測、反電子欺騙等手段。這些功能可以有效保障內(nèi)部網(wǎng)絡安全。同步方正方御防火墻也提供帶寬管理、分派，系統(tǒng)報警等辦法從側面協(xié)助。自身安全性防火墻作為網(wǎng)絡系統(tǒng)中一種部件，其自身安全性也是十分重要，考慮到實際狀況，方正方御防火墻提供單獨管理接口，管理接口服務所有關閉，同步管理接口特殊管理數(shù)據(jù)采用原則加密算法和辦法。這樣在遠程管理過程中數(shù)據(jù)通過專網(wǎng)進行管理可以有效保證管理安全性。同步，運用WindowsNT中域技術，對防火墻管理時必要登錄到相應域才干對域內(nèi)顧客進行管理，保障管理域安全性。而防火墻操作系統(tǒng)采用通過嚴格測試專有操作系統(tǒng)。維護以便性管理以便性直接關系到系統(tǒng)能否起到安全保護作用，方正方御防火墻提供專有GUI平臺，以便制定各種安全方略。系統(tǒng)事件管理系統(tǒng)事件和日記記錄直接關系到整個安全平臺完善和后續(xù)責任追查等各種方面，方正方御防火墻為顧客提供完整、精確數(shù)據(jù)記錄成果，供查詢、打印等。防火墻整體布局咱們建議使用防御防火墻網(wǎng)橋模式，3個端口構成一種以太網(wǎng)互換機，防火墻自身沒有IP地址，在IP層透明?？梢詫⑷我馊齻€物理網(wǎng)絡連接起來構成一種互通物理網(wǎng)絡。當防火墻工作在互換模式時，內(nèi)網(wǎng)、DMZ區(qū)和路由器內(nèi)部端口構成一種統(tǒng)一互換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己第二級路由器，這種模式不需要變化原有網(wǎng)絡拓撲構造和各主機和設備網(wǎng)絡設立。如下圖所示：寧波市政府系記錄算機專網(wǎng)核心節(jié)點市政府辦公廳網(wǎng)絡寧波市政府系記錄算機專網(wǎng)核心節(jié)點管理除了需要提供信息服務外，還需要對各區(qū)及委、辦、局網(wǎng)絡設備進行集中管理，因而網(wǎng)絡安全性和可靠性特別重要。內(nèi)部區(qū)放置控制服務器、數(shù)據(jù)庫服務器、文獻服務器、認證服務器、系統(tǒng)管理服務器等設備，公開信息區(qū)放置對外信息發(fā)布系統(tǒng)，涉及WEB服務器、Mail服務器等設備等。出于穩(wěn)定性考慮，防火墻使用雙機熱備方式，以保證網(wǎng)絡不間斷性。寧波市政府系記錄算機專網(wǎng)核心節(jié)點市政府辦公廳網(wǎng)絡圖如下：各區(qū)及委、辦、局安全網(wǎng)絡各區(qū)及委、辦、局網(wǎng)絡構造節(jié)點也同樣劃分為內(nèi)部操作（控制）區(qū)、公開信息區(qū)兩個網(wǎng)段。對于這些網(wǎng)絡咱們建議使用如下方案：集中管理和分級管理由于寧波市政府系記錄算機專網(wǎng)涉及網(wǎng)絡安全設備繁多，因而在管理上面需要既能集中管理，又可以在本地進行審計管理，日記查詢等操作。而顧客權限機制分派必要通過網(wǎng)絡管理中心統(tǒng)一分派和管理。需要集中管理網(wǎng)絡設備涉及防火墻設備和VPN設備。在寧波市政府系記錄算機專網(wǎng)網(wǎng)絡管理中心需要對各委、辦、局網(wǎng)絡安全設備進行集中管理。分析寧波市政府系記錄算機專網(wǎng)特點和需求，方正方御防火墻集中管理功能和權限管理機制完全可以滿足這些需求。方正方御防火墻采用基于WindowsGUI顧客界面進行遠程集中式管理，配備管理界面直觀，易于操作?？梢酝ㄟ^一種控制機對多臺方正方御防火墻進行集中式管理。方正方御防火墻采用了三級權限機制，分為管理員，方略員和審計員。管理員負責防火墻開關及尋常維護，方略員負責配備防火墻包過濾和入侵檢測規(guī)則，審計員負責日記管理和審計中授權機制。這樣她們共同負責起一種安全管理平臺。

產(chǎn)品選型防火墻與入侵檢測選型咱們采用方正最新型方正方御防火墻。方正方御防火墻是一種很先進防火墻，同步它集成強大入侵檢測功能。方正方御防火墻是國內(nèi)第一種通過公安部公共信息網(wǎng)絡安全監(jiān)督局新防火墻認證原則包過濾級防火墻產(chǎn)品，同步通過了中華人民共和國人民解放軍安全測評認證中心、國家保密局和中華人民共和國國家信息安全測評認證中心嚴格認證。方正數(shù)碼公司簡介作為方正集團互聯(lián)網(wǎng)戰(zhàn)略實行者，方正數(shù)碼將自身定位于電子商務“賦能者”，其業(yè)務涉及互聯(lián)網(wǎng)與電子商務技術研究應用與系統(tǒng)集成、網(wǎng)絡市場營銷服務、空間信息應用、無線互聯(lián)以及電子商務征詢服務等方向，以協(xié)助政府、行業(yè)、公司、網(wǎng)站、電子商務運營者在互聯(lián)網(wǎng)時代健康成功發(fā)展為己任。要給電子商務運營者賦能，先要給安全賦能。方正數(shù)碼一方面推出就是方正方御互聯(lián)網(wǎng)安全解決方案。方正方御是在通過一年多大量投入和進一步研究后，提出一套基于中華人民共和國國情、所有自主開發(fā)、具備領先優(yōu)勢解決方案。它是一套整體集群平臺，可以解決互聯(lián)網(wǎng)運營商最為關切安全性、高可靠性、可擴展性和易于遠程管理問題。當前這套方案已經(jīng)得到國家關于部門大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新籌劃項目之一。此外，還得到了國家”863”籌劃支持。在立身自主開發(fā)外，方正數(shù)碼還與眾多國際知名安全公司保持著良好合伙關系，并集成了國內(nèi)外最先進公司安全產(chǎn)品，為國內(nèi)Internet安全建設保駕護航。方正方御防火墻（100M）產(chǎn)品概述方御防火墻是方正方御中重要安全產(chǎn)品之一。由于防火墻技術針對性很強，它已成為實現(xiàn)網(wǎng)絡安全重要保障之一。方御防火墻是通過對國外防火墻產(chǎn)品綜合分析，針對咱們國家詳細應用環(huán)境，結合國內(nèi)外防火墻領域里最新發(fā)展，在面向IDC和中小公司防火墻基本上，提出一種具備強大信息分析功能、高效包過濾功能、各種反電子欺騙手段、各種安全辦法綜合運用安全可靠專用防火墻系統(tǒng)。方正方御防火墻不但僅是一種包過濾防火墻，并且涉及了大量實用模塊，可覺得顧客提供多方面服務。方御防火墻保護如下模塊：系統(tǒng)特點一體化硬件設計方正方御防火墻采用了一體化硬件設計，采用了自己操作系統(tǒng)，無需其她操作系統(tǒng)支持，這樣可以發(fā)揮硬件最大性能，同步也提高了系統(tǒng)安全性。雙機熱備份通過雙機熱備份，本系統(tǒng)提供可靠容錯/熱待機功能。備份防火墻服務器中存有主防火墻服務器設立鏡像，當主防火墻由于某些因素不能正常運作，備份服務器可以在12秒鐘內(nèi)取代主服務器運作，充分保證整個網(wǎng)絡系統(tǒng)運作穩(wěn)定性。完善訪問控制方正方御防火墻符合國家最新防火墻安全原則，采用了三級權限機制，分為管理員，方略員和審計員。管理員負責防火墻開關及尋常維護，方略員負責配備防火墻包過濾和入侵檢測規(guī)則，審計員負責日記管理和審計中授權機制。這樣她們共同地負責起一種安全管理平臺。各種工作模式方正方御防火墻可以工作在網(wǎng)橋路由兩種模式下，這樣可以以便顧客使用。使用在網(wǎng)橋模式時在IP層透明，使用路由模式時可以作為三個區(qū)之間路由器，同步提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)網(wǎng)絡地址轉換。防御DOS，DDOS襲擊普通防火墻都是采用限制每一網(wǎng)絡地址單位時間內(nèi)通過SYN包數(shù)量來抵抗DDOS襲擊，但是普通網(wǎng)絡襲擊者都會隨機偽造網(wǎng)絡地址，因而這種辦法防范效果非常差，不能從主線上抵抗DDOS襲擊。方正方御防火墻修改了TCP/IP堆棧算法，使得新syn連接包可以正常通過，避免了由于大量襲擊SYN包導致網(wǎng)絡阻塞。狀態(tài)檢測方正方御防火墻可以依照數(shù)據(jù)包地址、合同和端口進行訪問控制，同步還對任何網(wǎng)絡連接和會話當前狀態(tài)進行分析和監(jiān)控。老式防火墻包過濾只是依照規(guī)則表進行匹配，而方正方御防火墻對每個連接，作為一種數(shù)據(jù)流，通過規(guī)則表與連接表共同配合來對網(wǎng)絡狀態(tài)進行控制。代理服務顧客可以設立代理服務器端口來啟動代理服務器功能，并且通過設立使用代理服務器顧客帳號密碼和訪問控制來維護安全性。代理服務訪問控制非常完善，可以對時間、合同、辦法、地址、DNS域、目端口和URL來進行控制。顧客完全可以通過設立一定條件來符合自己規(guī)定。雙向網(wǎng)絡地址轉換系統(tǒng)支持動態(tài)、靜態(tài)、雙向NAT。當顧客需要從內(nèi)部IP訪問Internet時，NAT系統(tǒng)會從IP池里取出一種合法InternetIP，為該顧客建立映射。如果需要在Intranet提供讓外部訪問服務（如WWW、FTP等），NAT系統(tǒng)可覺得Intranet里服務器建立靜態(tài)映射，外部顧客可以直接訪問該服務器。雙向網(wǎng)絡地址轉換為公司顧客連接到Internet提供了良好網(wǎng)絡地址隱蔽，并且能減少IP占用，替顧客節(jié)約費用。提供DMZ區(qū)除了內(nèi)部網(wǎng)絡界面和外部網(wǎng)絡界面，系統(tǒng)還可以再增長一種網(wǎng)絡界面，讓管理員靈活應用。如建立DMZ（軍事獨立區(qū)），在其中放置公共應用服務器。帶寬管理和流量記錄方正方御防火墻系統(tǒng)使用流量記錄與控制方略，可以便依照網(wǎng)段和主機等對流量進行記錄與控制管理。顧客可以通過設立源地址到目地址單位在時間內(nèi)容許通過流量以及合同和端口來進行帶寬控制。日記審計審計功能是方正方御防火墻非常強大一種某些，當前國內(nèi)防火墻審計功能都非常不完善，方正方御防火墻提供了大量審計內(nèi)容和對審計內(nèi)容查詢功能，由于日記也許對普通顧客比較難以理解，而咱們將日記記錄提成了若干某些，而其中每一某些都可以進行查詢和管理，這樣顧客就能對防火墻狀況有一種非常透徹理解。入侵檢測方正方御防火墻入侵檢測系統(tǒng)采用了可擴展檢測庫辦法，當前可以抵抗1000各種襲擊辦法，并且可以通過升級檢測庫辦法來不斷抵抗新襲擊辦法。顧客還可以自定義襲擊檢測庫來符合自己規(guī)定。自動報警和防范系統(tǒng)方正方御防火墻一旦檢測到有黑客進行襲擊，會在第一時間內(nèi)在控制機上進行報警，并且同步會自動封禁掉襲擊者IP地址，這樣可以做到防火墻防范完全自動化，而不象普通防火墻那樣需要人工干預?；赑KI授權認證方正方御防火墻授權認證是基于PKI基本之上，因而完全性極高。PKI是一種新安全技術，它由公開密鑰密碼技術、數(shù)字證書、證書發(fā)放機構（CA）和關于公開密鑰安全方略等基本成分共同構成。迅速安裝配備方正方御防火墻安裝和配備非常以便，管理員只要設定好網(wǎng)絡設備IP地址，然后使用系統(tǒng)提供某些典型配備模板，恰當修改某些規(guī)則來符合規(guī)定。除此以外還可以添加系統(tǒng)提供某些子模板來實現(xiàn)某些特定功能。圖形管理界面顧客可以通過圖形界面對防火墻進行配備和管理。并且也可以通過圖形界面來管理審計內(nèi)容，而不象有些防火墻是通過命令行方式進行配備。完全中華人民共和國化設計方正方御防火墻是由方正數(shù)碼自行設計和制作，充分考慮了中華人民共和國國情，除了界面、協(xié)助文檔、使用闡明完全中文化外，還加入了某些小型模板顧客給管理員配備防火墻。集中管理方正方御防火墻采用基于WindowsGUI顧客界面進行遠程集中式管理，配備管理界面直觀，易于操作。可以通過一種控制機對多臺方正方御防火墻進行集中式管理。方御防火墻（百兆）性能項目指標最大并發(fā)連接數(shù)>=200,000內(nèi)核解決速度>=750M100M端口吞吐量>97M百條規(guī)則下平均吞吐量(fps)>94M延時10ms丟包率（百條規(guī)則）0%MTBF>=30000小時最大規(guī)則數(shù)>=1400條方正方御防火墻功能闡明各種工作模式方正方御網(wǎng)絡安全產(chǎn)品可以工作在互換和路由兩種模式下：A：互換模式：3個端口構成一種以太網(wǎng)互換機，產(chǎn)品自身沒有IP地址，在IP層透明?？梢詫⑷我馊齻€物理網(wǎng)絡連接起來構成一種互通物理網(wǎng)絡。當產(chǎn)品工作在互換模式時，內(nèi)網(wǎng)、DMZ區(qū)和路由器內(nèi)部端口構成一種統(tǒng)一互換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己第二級路由器，這種模式不需要變化原有網(wǎng)絡拓撲構造和各主機和設備網(wǎng)絡設立。B：路由模式：產(chǎn)品自身構成3個網(wǎng)絡間路由器，3個界面分別具備不同IP地址。三個網(wǎng)絡中主機通過該路由進行通信。當產(chǎn)品工作在路由模式時，可以作為三個區(qū)之間路由器，同步提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)網(wǎng)絡地址轉換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保存地址，內(nèi)網(wǎng)顧客通過地址轉換訪問Internet，同步隔絕Internet對內(nèi)網(wǎng)訪問，DMZ區(qū)通過反向地址轉換對Internet提供服務。在沒有安裝方御網(wǎng)絡安全產(chǎn)品時候典型網(wǎng)絡構造圖如下:在安裝了方御網(wǎng)絡安全產(chǎn)品時候網(wǎng)絡構造圖如下:包過濾防火墻方御防火墻重要功能是對指定IP包進行包過濾，并且按照設定方略對IP包進行入侵或流量等活動記錄，并記入日記中，供顧客察看。重要依照IP包如下信息進行過濾：IP包源IP地址IP包目IP地址IP包合同類型（涉及IP、ICMP、TCP、UDP等合同）IP包源TCP/UDP端口IP包目TCP/UDP端口ICMP報文類型域和代碼域碎片包IP包其他標志位，如SYN，ACK位等高效包過濾有些防火墻在安裝上后來對WEB服務器吞吐能力影響很大，導致性能減少。由于方御防火墻采用了3I智能IP辨認技術（IntelligentIPIdentifying），可以實現(xiàn)迅速匹配。因而方御防火墻不會對性能導致任何影響。方御防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達到250,000個以上，而普通防火墻最大并發(fā)連接只能達到幾萬個左右。強大狀態(tài)檢測功能方御防火墻可以依照數(shù)據(jù)包地址、合同和端口進行訪問控制，同步還對任何網(wǎng)絡連接和會話當前狀態(tài)進行分析和監(jiān)控。老式防火墻包過濾只是與規(guī)則表進行匹配，而方御防火墻對每個連接，作為一種數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了老式包過濾系統(tǒng)相應用透明特性外，還大大提高了系統(tǒng)性能和安全性。其她防火墻大多采用老式規(guī)則表匹配辦法，隨著安全規(guī)則增長，勢必會使防火墻性能大幅度減少，導致網(wǎng)絡擁塞。狀態(tài)檢測詳細過程如下：防火墻其他功能雙向NAT方御防火墻支持在內(nèi)部網(wǎng)和DMZ區(qū)使用保存IP地址，通過動態(tài)地址轉換功能實現(xiàn)對外部網(wǎng)訪問。方御防火墻以兩種方式支持NAT：√源地址轉換(正向NAT)，即內(nèi)部地址向外訪問時，發(fā)起訪問內(nèi)部IP地址轉換為指定IP地址（可含端標語或者端口范疇），這可以使內(nèi)部使用保存IP地址主機訪問外部網(wǎng)絡，即內(nèi)部各種機器可以通過一種外部有效地址訪問外部網(wǎng)絡。例如，內(nèi)部地址對外部訪問可以被修改為一種合法互聯(lián)網(wǎng)地址00，并且可以限定其端口范疇為80~82。√目地址轉換（反向NAT），即外部地址向內(nèi)訪問時，被訪問IP地址（可含端標語或者端口范疇）被轉換為指定內(nèi)部IP地址（可含端標語或者端口范疇），可以支持針對外部地址服務端口到內(nèi)部地址一對一映射，內(nèi)部多臺機器服務端口可以分別映射到外部地址若干個端口，通過這些端口對外部提供服務。例如。如果外部計算機要訪問地址為00主機時，她事實上訪問會是一臺IP地址為主機，外部計算機可以任意訪問00主機上面所有端口，這些訪問都會轉到相似端口上，這樣就突破了以往防火墻做反向NAT時都必要和服務端口綁定限制（即00:80:80），固然，如果顧客需要，也可以和以往防火墻同樣，做端口綁定。帶寬管理和流量記錄方御防火墻系統(tǒng)使用流量記錄與控制方略，可以便地依照網(wǎng)段和主機等對流量進行記錄與控制管理，以防止線路資源非允許消耗，有效地管理帶寬資源，從而使網(wǎng)絡得到有效運用。方御通過設立每小時容許通過網(wǎng)絡流量和最大突發(fā)流量來實現(xiàn)帶寬管理和流量記錄功能。代理服務器功能對于瀏覽器顧客來說，方御是一種高性能代理緩存服務器，方御支持FTP、HTTP合同。和普通代理緩存軟件不同，方御用一種單獨、非模塊化、I/O驅動進程來解決所有客戶端祈求。方御將數(shù)據(jù)元緩存在內(nèi)存中，同步也緩存DNS查詢成果，除此之外，它還支持非模塊化DNS查詢，對失敗祈求進行悲觀緩存。方御支持SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存合同），方御可以實現(xiàn)層疊代理陣列，從而最大限度地節(jié)約帶寬。顧客可以在客戶管理中，通過設立客戶權限，為顧客提供代理服務模式，在訪問規(guī)則中設立“禁止顧客訪問站點”和“僅容許訪問站點”，同步還可以建立URL級訪問限制，通過建立禁止顧客訪問URL列表，方御防火墻可以對該列表進行匹配，禁止對列表中URL訪問。違背限制規(guī)則訪問企圖將被記錄到系統(tǒng)日記中。方御防火墻提供URL級屏蔽功能，可以使管理員屏蔽某些URL，如色情、反動主頁等。此外通過對內(nèi)部網(wǎng)WWW服務器某些URL屏蔽，可以消除服務器自身安全漏洞，從而對WWW服務器進行保護。IP地址和MAC地址綁定計算機中每一塊網(wǎng)卡都具備一種唯一硬件物理地址標記號碼，即網(wǎng)卡MAC地址，MAC地址與網(wǎng)卡一一相應。為解決IP地址欺騙和盜用問題，系統(tǒng)提供了IP地址和MAC地址（網(wǎng)卡）一一綁定功能，重要用于綁定某些重要管理員IP地址和特權IP地址。IP地址和MAC地址綁定后，雖然某個顧客盜用了此網(wǎng)卡IP地址，在通過防火墻時也會因網(wǎng)卡MAC地址不匹配而回絕通過。雙機熱備方御在橋模式下可以在網(wǎng)絡中智能尋找其對等備份機，并且使備份機自動進入等待狀態(tài)，而一旦備份機發(fā)現(xiàn)主工作機失效，可及時啟動，防止網(wǎng)絡中斷事故發(fā)生。在路由模式下，方御提供手工設立雙機熱備功能。當前，可以支持兩臺方御在網(wǎng)絡上進行主從備份，或者互為備份。復雜別名機制復雜別名機制是方御防火墻一類以便實用，也很重要功能，方御防火墻使用端口別名和子網(wǎng)別名來代替有關端標語和子網(wǎng)地址，協(xié)助顧客管理各種網(wǎng)段和各種端口地址。顧客可以在混合模式里用一種別名來管理一組離散網(wǎng)段地址，或者是離散端口值。在大某些其她功能模塊里都要使用這些別名來進行配備。授權級別遵循國家關于安全原則規(guī)定，方御作了四級授權：實行域管理權、方略管理權、審計管理權、日記查看權。實行域管理權涉及：向實行域中增刪管理員帳號，增刪防火墻設備，設立雙機熱備，切換防火墻橋/路由模式，為管理員授方略管理權和審計管理權；方略管理權涉及：配備防火墻各個模塊方略，如包過濾方略，入侵檢測方略，NAT方略，流量控制方略，顧客認證管理、Proxy方略等等；審計管理權涉及：設立日記滿時系統(tǒng)方略，為管理員授日記查看權，清空日記等；日記查看權涉及：查詢?nèi)沼洠捎涗泩蟊淼?。擁有實行域管理權僅有Admin帳號；且Admin也僅有實行域管理權，而沒有方略管理權及審計管理權。其她管理員（指除了Admin以外管理員）方略管理權和審計管理權由Admin授予，日記查看權由擁有審計管理權管理員授予?？啥ㄖ品阑饓δ０宸接阑饓︻A置模板功能是將針對典型應用幾條防火墻規(guī)則整合成為模板，運用填空方式配備，簡化了顧客配備工作。強大審計功能方御防火墻提供了大量審計內(nèi)容和對審計內(nèi)容查詢功能，由于日記也許對普通顧客比較難以理解，而咱們將日記記錄提成了若干某些，并且就每一種某些都是可以進行查詢和管理，這樣一來就可以是顧客對防火墻狀況有一種非常透徹理解。方御防火墻中審計功能有著非常完善權限管理，有專門審計員來對審計內(nèi)容進行管理，在審計中又提成了若干級別權限。這樣可以以便管理員管理審計內(nèi)容?；赑KI高檔授權認證PKI是一種新安全技術，它由公開密鑰密碼技術、數(shù)字證書、證書發(fā)放機構（CA）和關于公開密鑰安全方略等基本成分共同構成。PKI是運用公鑰技術實現(xiàn)電子商務安全一種體系，是一種基本設施，網(wǎng)絡通訊、網(wǎng)上交易是運用它來保證安全。從某種意義上講，PKI包括了安全認證系統(tǒng)，即安全認證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺構成某些。方御防火墻授權認證是基于PKI基本之上，因而完全性極高。集中管理依照美國財經(jīng)雜志記錄資料表白，30%入侵發(fā)生在有防火墻狀況下，這些入侵重要因素并非是防火墻無用，而是由于普通防火墻管理及配備相稱復雜，要想成功維護防火墻，規(guī)定防火墻管理員對網(wǎng)絡安全襲擊手段及其與系統(tǒng)配備關系有相稱深刻理解，并且防火墻安全方略無法進行集中管理，這些都導致了網(wǎng)絡安全失敗。而方御防火墻采用基于WindowsGUI顧客界面進行遠程集中式管理，配備管理界面直觀，易于操作?？梢酝ㄟ^一種控制機對多臺方御進行集中式管理。實時控制和日記轉存管理員可以通過控制界面對防火墻進行實時控制和調節(jié)，可以修改其方略和工作方式。管理員可以將日記保存起來，供后來分析使用，由于方御防火墻每天都會記錄大量日記信息，并且某些日記記錄是非常有用信息，因而方御日記監(jiān)視系統(tǒng)會將服務器上面日記下載到管理員機器上面，管理員可以對它進行編輯和保存。路由選取合同控制 橋接模式下，防火墻內(nèi)部口三層互換機和外部路由器進行路由信息互換，互換機和路由器之間運營了RIP，EIGRP，IGRP，OSPF等IGP路由合同，防火墻必要辨認這些合同，讓它們通過防火墻，否則，內(nèi)部網(wǎng)絡數(shù)據(jù)將無法路由。這些合同特點是目地址為多播地址，對此防火墻需要辨認并對的解決，在橋模式下可以靈活地控制這些包通過或不通過。支持SNMP管理方御網(wǎng)絡安全產(chǎn)品提供對簡樸網(wǎng)絡管理合同(SNMP)支持，支持V1、V2等不同版本，可與當前主流網(wǎng)絡管理平臺如HPOpenview、CAUnicenter、CiscoWorks等聯(lián)用，通過專業(yè)網(wǎng)管軟件兼控方御產(chǎn)品運營狀況。此外通過SNMP管理，方御防火墻還可以對襲擊事件進行收集，轉發(fā)給SNMP服務器，顧客可以通過對SNMP管理，發(fā)現(xiàn)產(chǎn)品問題。H.323支持隨著語音/影像數(shù)據(jù)流行，網(wǎng)絡上流動大量H.323數(shù)據(jù)。H.323數(shù)據(jù)流特點是同一種數(shù)據(jù)流在不同步間使用不同UDP端口，而這種端口變化普通是靠分析數(shù)據(jù)流內(nèi)容得到，方御防火墻采用特殊技術對實際數(shù)據(jù)流狀況作出判斷，以鑒別數(shù)據(jù)合法性，在保證網(wǎng)絡安全前提下支持H.323數(shù)據(jù)合法通過。入侵檢測系統(tǒng)反端口掃描普通黑客如果要對一種網(wǎng)站發(fā)動襲擊，一方面都要掃描目的服務器端口，擬定服務器上啟動服務，然后選取相應入侵方式。方御入侵檢測系統(tǒng)可以在黑客掃描網(wǎng)站時候就能檢測到并報警，這樣在就能提前將黑客拒之于門外。方御入侵檢測系統(tǒng)在檢測到有黑客掃描服務器端口時候會及時在襲擊者視野中消失，從而使黑客無法進行背面襲擊。方御入侵檢測系統(tǒng)依照配備文獻監(jiān)控任何和TCP，UDP端口連接。可以對所有端口同步進行監(jiān)控，同步也可以忽視指定端口。這樣就能滿足不同需求方式?？梢苑婪?500余種襲擊方式檢測各種DoS襲擊DoS(回絕服務襲擊)涉及諸多不同方式。在這些方式中，三種最流行方式為使服務失效、獨占或盜用資源以及刪除數(shù)據(jù)。最常用就是服務失效方式，通過DoS襲擊可以使一種服務器停止服務，從而導致巨大損失。方御入侵檢測系統(tǒng)可以檢測涉及IGMP襲擊，TearDrop，LAND，WinNuke等各種DoS襲擊。從而使被托管服務器處在安全保護之中。和其他同樣，方御入侵檢測系統(tǒng)一旦發(fā)既有DoS襲擊，及時在線報警，記錄日記。檢測各種DDoS襲擊Yahoo、CNN等知名網(wǎng)站被黑客襲擊使得防黑客成了人們關注熱點。DDoS(分布式回絕服務)是本次襲擊重要手段。DDoS襲擊原理是入侵者控制了某些節(jié)點，將它們設計成控制點，這些控制點控制了Internet大量主機，將它們設計成襲擊點，襲擊點中裝載了襲擊程序，正是由這些襲擊點計算機對襲擊目的發(fā)動襲擊。這種構造使入侵者遠離襲擊目的，隱藏了入侵者詳細位置。方御入侵檢測系統(tǒng)可以檢測涉及TFN，Trin00，shaftsynflood等各種DDoS工具襲擊。而這些襲擊都是進行DDoS襲擊重要工具。檢測保護子網(wǎng)中與否存在后門和木馬程序后門和木馬程序如果存在于網(wǎng)絡中，會導致嚴重后果，有些后門程序導致管理員密碼被盜取，因而檢測保護子網(wǎng)中與否存在后門和木馬程序成為入侵檢測一種重要構成某些。方御入侵檢測系統(tǒng)可以檢測網(wǎng)絡中與否存在流行BO，BO，NetSphere，DeepThroat，WinCrash，BackConstruction等各種后門或木馬程序。檢測各種針對Finger服務襲擊Finger服務于查詢顧客信息，涉及網(wǎng)上成員真實姓名、顧客名、近來登錄時間、地點等，也可以用來顯示當前登錄在機器上所有顧客名，這對于入侵者來說是無價之寶，由于它能告訴她在本機上有效登錄名。方御入侵檢測系統(tǒng)可以檢測針對Finger服務襲擊如FingerBomb，F(xiàn)ingersearch，F(xiàn)INGER-ProbeNull等掃描和襲擊。檢測各種針對FTP服務襲擊方御入侵檢測系統(tǒng)可以檢測針對不同F(xiàn)TPserver，涉及AIXFTPD，WuFTP，ProFTPD，Serv-UFTPD，NCFTPD，MsFTPD發(fā)起FTP-site-exec，F(xiàn)TP-user-root，BufferOverflow等各種嘗試和襲擊行為。檢測基于NetBIOS襲擊方御入侵檢測系統(tǒng)可以對基于NetBIOS如NETBIOS-SMB-IPC$access，NETBIOS-SMB-ADMIN$access，NETBIOS-SNMP-NT-UserList等各種嘗試和襲擊行為進行檢測。檢測緩沖區(qū)溢出類型襲擊方御入侵檢測系統(tǒng)可以對OVERFLOW-x86-solaris-nlps，OVERFLOW-x86-windows-MailMax，OVERFLOW-x86-linux-ntalkd，OVERFLOW-DNS-sparc等近百種堆棧溢出襲擊進行檢測。檢測基于RPC襲擊方御入侵檢測系統(tǒng)可以對基于RPC如portmap-request-amountd，portmap-request-bootparam，RPCInfoQuery，portmap-request-ypserv，RPCttdbservSolarisOverflow等各種嘗試和襲擊行為進行檢測。檢測基于SMTP襲擊方御入侵檢測系統(tǒng)可以對針對各種SMTPserver，涉及Sendmail，ExchangeServer，Qmail等所發(fā)起SMTP-expn-root，SMTPRelayingDenied等試探和襲擊進行檢測。檢測基于Telnet襲擊方御入侵檢測系統(tǒng)能針對基于Telnet涉及AttemptedSUfromwronggroup，setld_preload，setld_library_path，LoginIncorrect等各種嘗試和襲擊。檢測網(wǎng)絡上傳播病毒和蠕蟲方御入侵檢測系統(tǒng)能在計算機病毒和蠕蟲傳播到宿主機之前檢測出來，涉及流行Happy99，IloveU，PrettyPark等百種蠕蟲和病毒，防患于未然。檢測CGI襲擊方御入侵檢測系統(tǒng)能檢測出涉及針對PHF，NPH，pfdisplay。cgi等已知上百種有安全隱患CGI進行探測和襲擊方式。檢測針對WEBServerFrontPage擴展進行襲擊檢測針對WEBServerColdFusion擴展進行襲擊檢測針對MicroSoftIISserver進行襲擊方御入侵檢測系統(tǒng)能檢測ViewSourceexploit，IIS-exec-srch，IIS-asp-srch等已知漏洞和弱點襲擊行為。檢測運用ICMP進行掃描和襲擊方御入侵檢測系統(tǒng)能對運用這種方式進行網(wǎng)絡拓撲探測所產(chǎn)生PING-ICMPDestinationUnreachable，PING-ICMPTimeExceeded等ICMP包進行檢測。檢測運用Traceroute對網(wǎng)絡探測檢測ActiveX，JaveApplet傳播方御入侵檢測系統(tǒng)能通過匹配網(wǎng)絡包內(nèi)容，可以檢測特定ActiveX，JaveApplet等程序在網(wǎng)絡上傳播。19檢測對其她也許網(wǎng)絡服務進行襲擊在線升級和實時報警由于入侵檢測系統(tǒng)庫文獻是需要不斷更新，因而方御提供了非常以便升級接口，可以通過咱們網(wǎng)站進行在線升級，并且咱們提供了非常以便顧客升級界面，使升級工作可以非常以便完畢。報警與否可以及時是衡量一種入侵檢測系統(tǒng)重要因素之一，如果在黑客剛剛進行襲擊時候就可以做出響應，那么管理員會有足夠時間進行防護。方御報警系統(tǒng)和入侵檢測系統(tǒng)協(xié)調工作幾乎是一致，一旦入侵檢測系統(tǒng)檢測到襲擊，報警系統(tǒng)會立即做出反映，通過Email或手機告知管理員。同步會啟動自動防范系統(tǒng)進行防范。入侵檢測和防火墻互動通過通信行為跟蹤，防火墻可以檢測到對網(wǎng)絡各種掃描，檢測到對網(wǎng)絡襲擊行為，并可以對襲擊行為進行響應，涉及自動防范及顧客自定義安全響應方略等。安全評估系統(tǒng)方御安全評估系統(tǒng)重要針對顧客系統(tǒng)內(nèi)部各種安全漏洞實行漏洞掃描，借以檢查出系統(tǒng)中主機安全隱患，例如，各種常用服務端口狀況，各種常用服務狀況，和弱密碼探測等，并提供相應掃描成果報告，顧客可打印和記錄有漏洞主機掃描信息，并查詢漏洞詳細信息，使顧客全面理解系統(tǒng)安全狀況，提早做好防范辦法。虛擬專用網(wǎng)虛擬專用網(wǎng)技術（VPN，VirtualPrivateNetwork）是指在公共網(wǎng)絡中建立專用網(wǎng)絡，數(shù)據(jù)通過安全“加密通道”在公共網(wǎng)絡中傳播。公司只需要租用本地數(shù)據(jù)專線，連接上本地公眾信息網(wǎng)，那么各地機構就可以互相傳遞信息。使用VPN有節(jié)約成本、擴展性強、便于管理和實現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間連接并沒有老式專網(wǎng)所需端到端物理鏈路，而是運用某種公眾網(wǎng)資源動態(tài)構成，是通過私有隧道技術在公共數(shù)據(jù)網(wǎng)絡上仿真一條點到點專線技術。所謂虛擬，是指顧客不再需要擁有實際長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡長途數(shù)據(jù)線路。所謂專用網(wǎng)絡，是指顧客可覺得自己制定一種最符合自己需求網(wǎng)絡。而在Internet上，VPN使用者可以控制自己與其她使用者聯(lián)系，同步支持撥號顧客。當前VPN重要采用四項技術來保證安全，這四項技術分別是隧道技術（Tunneling）、加解密技術（Encryption&Decryption）、密鑰管理技術（KeyManagement）、使用者與設備身份認證技術（Authentication）。方御虛擬專用網(wǎng)（VPN）中這幾種技術都使用了，涉及軟件加密和硬件加密，例如：使用IPSEC技術進行隧道通訊，使用3DES技術等進行加解密，使用IKE進行密鑰管理，使用X.509進行身份認證等。方御虛擬專用網(wǎng)支持兩種顧客模式：遠程訪問虛擬網(wǎng)（AccessVPN）和公司內(nèi)部虛擬網(wǎng)（IntranetVPN）。如果公司內(nèi)部人員有移動或遠程辦公需要，或者商家要提供B2C安全訪問服務，就可以考慮使用遠程訪問虛擬網(wǎng)，方御遠程訪問模式使用IPSEC技術進行隧