重慶住房基金管理中心安全系統(tǒng)設(shè)計方案書--畢業(yè)論文設(shè)計

PAGE第35頁眾達(dá)迅通技術(shù)有限公司:(+86-20-)38734097目錄TOC\o"1-3"\h\z1. 概述 32. 公司介紹 43. 信息安全技術(shù)介紹 53.1. 信息安全的定義 53.2. 安全的層次 53.3. 安全的目標(biāo) 53.4. 系統(tǒng)的安全威脅 53.5. 網(wǎng)絡(luò)安全技術(shù) 73.6. 網(wǎng)絡(luò)隔離 83.7. 通信安全技術(shù) 93.8. 客戶機安全防護 104. 天網(wǎng)防火墻簡介 114.1. 什么叫防火墻? 114.2. 防火墻的用途 114.3. 天網(wǎng)防火墻的目標(biāo) 114.4. 天網(wǎng)防火墻的特點 114.4.1. 強大的數(shù)據(jù)加密技術(shù) 114.4.2. 智能的內(nèi)容過濾系統(tǒng) 124.4.3. 創(chuàng)新的體系結(jié)構(gòu) 144.5. 其他特點 145. 需求分析 156. 方案設(shè)計 166.1. 總體設(shè)計 166.2. 方案說明 167. 成功案例 187.1. 天網(wǎng)防火墻典型用戶名錄 187.2. 天網(wǎng)防火墻成功案例選登 197.2.1. 中央電視臺網(wǎng)絡(luò)安全改造工程 197.2.2. 人民日報網(wǎng)絡(luò)安全工程 197.2.3. 南方航空公司網(wǎng)絡(luò)平臺安全改造計劃 197.2.4. 廣東省郵電管理局網(wǎng)絡(luò)工程 197.2.5. 廣州市電信局個人主頁項目 197.2.6. 珠海郵政局網(wǎng)上郵局工程 197.2.7. 2.15廣東省郵政局183網(wǎng)上支付系統(tǒng) 19概述隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛，各種大型企業(yè)或單位也將通過網(wǎng)絡(luò)與用戶及其他相關(guān)行業(yè)系統(tǒng)之間進行交流，提供各種網(wǎng)上的信息服務(wù)，但這些網(wǎng)絡(luò)用戶中，不乏競爭對手和惡意破壞者，這些人可能會不斷地尋找系統(tǒng)內(nèi)部網(wǎng)絡(luò)上的漏洞，企圖潛入內(nèi)部網(wǎng)絡(luò)。一旦網(wǎng)絡(luò)被人攻破，機密的數(shù)據(jù)、資料可能會被盜取、網(wǎng)絡(luò)可能會被破壞，給系統(tǒng)帶來難以預(yù)測的損失。因此，防火墻便成為網(wǎng)絡(luò)安全必不可少的產(chǎn)品，天網(wǎng)防火墻在系統(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)用戶之間建起了一道安全的屏障，從而有效地抵御外來攻擊，防止不法分子的入侵。公司介紹廣州市眾達(dá)迅通技術(shù)有限公司是一家集科研、生產(chǎn)、經(jīng)營于一體的高科技產(chǎn)業(yè)公司，隸屬于廣東省科委技術(shù)轉(zhuǎn)移中心，主要從事互聯(lián)網(wǎng)技術(shù)及網(wǎng)絡(luò)產(chǎn)品的研究開發(fā)和生產(chǎn)，為全國的行業(yè)用戶和廣大的上網(wǎng)用戶提供網(wǎng)絡(luò)應(yīng)用的軟、硬件產(chǎn)品、解決方案以及全方位的專業(yè)技術(shù)服務(wù)。公司成立于1998年，以網(wǎng)絡(luò)安全產(chǎn)品“天網(wǎng)防火墻”聞名遐爾。“天網(wǎng)防火墻”是我國首個達(dá)到國際一流水平、獲得國家公安部、國家安全部認(rèn)證的軟硬件一體化網(wǎng)絡(luò)安全產(chǎn)品，性能及技術(shù)指標(biāo)達(dá)到甚至超過世界同類產(chǎn)品水平。公司還獨立開發(fā)出天網(wǎng)負(fù)載分擔(dān)服務(wù)器(SkyNetLBServer)、天網(wǎng)虛擬專網(wǎng)交換機(SkyNetVPNSwitch)等網(wǎng)絡(luò)應(yīng)用硬件系統(tǒng)。在開發(fā)出國內(nèi)第一套擁有自主知識產(chǎn)權(quán)、基于Unix系統(tǒng)的Internet應(yīng)用開發(fā)平臺的基礎(chǔ)上，陸續(xù)開發(fā)了人民日報網(wǎng)絡(luò)版新聞發(fā)布系統(tǒng)、天網(wǎng)實時聊天系統(tǒng)、天網(wǎng)虛擬主機系統(tǒng)等一系列的網(wǎng)絡(luò)應(yīng)用軟件產(chǎn)品。公司利用雄厚的技術(shù)力量、完善的研發(fā)系統(tǒng)，以及豐富的實踐經(jīng)驗，為國內(nèi)的用戶提供全面、高效的網(wǎng)絡(luò)安全服務(wù)，從而改善了國內(nèi)高水平網(wǎng)絡(luò)安全服務(wù)的相對空白的局面。公司的規(guī)模不斷擴大，目前已在南京等地設(shè)立了分支機構(gòu)，客戶遍布全國各地，為全國用戶的信息安全服務(wù)提供了重要的保障。作為一家網(wǎng)絡(luò)安全的專業(yè)公司，為中央電視臺、人民日報社、廣州視窗、21CN、南方航空公司等大型單位的網(wǎng)絡(luò)安全建設(shè)提供了有力的支持，并獲得普遍好評?！安粩鄤?chuàng)新，共同發(fā)展”。凝聚大批優(yōu)秀技術(shù)人才的廣州市眾達(dá)迅通技術(shù)有限公司將以振興中華民族的IT業(yè)為己任，努力為中國的網(wǎng)絡(luò)發(fā)展及信息安全建設(shè)做出貢獻(xiàn)！信息安全技術(shù)介紹信息安全的定義要做好網(wǎng)絡(luò)安全工作，首先要了解的是信息安全的定義，對信息系統(tǒng)安全，計算機安全的定義有多種：國際標(biāo)準(zhǔn)化委員會（ISOInternationalStandardsOrganization）的定義是：“為數(shù)據(jù)處理系統(tǒng)和采取的技術(shù)的和管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露?！泵绹鴩啦繃矣嬎銠C安全中心（NCSCDoD）的定義是：“要討論計算機安全首先必須討論對安全需求的陳述，……。一般說來，安全的系統(tǒng)會利用一些專門的安全特性來控制對信息的訪問，只有經(jīng)過適當(dāng)授權(quán)的人，或者以這些人的名義進行的進程可以讀、寫、創(chuàng)建和刪除這些信息。”我國公安部計算機管理監(jiān)察司的定義是：“計算機安全是指計算機資產(chǎn)安全，即計算機信息系統(tǒng)資源和信息資源不受自然和認(rèn)為有害因素的威脅和危害”。安全的層次網(wǎng)絡(luò)系統(tǒng)的安全包括如下兩個層次的含義：網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)與信息的安全與保密網(wǎng)絡(luò)系統(tǒng)自身的安全安全的目標(biāo)網(wǎng)絡(luò)系統(tǒng)安全的最終目標(biāo)是要保證數(shù)據(jù)和信息的安全性。網(wǎng)絡(luò)自身的安全是為數(shù)據(jù)和信息安全服務(wù)的。網(wǎng)絡(luò)系統(tǒng)的安全性主要體現(xiàn)在以下幾個方面：機密性：防止數(shù)據(jù)被未經(jīng)授權(quán)地泄露數(shù)據(jù)完整性：防止未經(jīng)授權(quán)地對數(shù)據(jù)進行修改或刪除行為完整性：保證數(shù)據(jù)服務(wù)和控制的連續(xù)性系統(tǒng)的安全威脅常見的安全危險是指通過技術(shù)手段對網(wǎng)絡(luò)系統(tǒng)進行攻，攻擊手法有一般性攻擊、滲透性攻擊與拒絕服務(wù)攻擊。一般性攻擊一般性攻擊主要利用用戶或管理人員的疏忽、利用網(wǎng)絡(luò)協(xié)議或主機操作系統(tǒng)的漏洞、利用共享傳輸通道的便利，對系統(tǒng)進行直接入侵的攻擊方法。下面是一些典型的攻擊方法：口令入侵搜集用戶帳戶資料；如果能夠獲得口令文件，可對口令文件進行解密；如果用戶的口令缺乏安全性，可能被輕易地被“字典攻擊”猜到用戶的口令；如果入侵者可以獲得用戶的口令，則可以冒用此用戶的名義對系統(tǒng)進行進一步的破壞和攻擊。脆弱的基于主機認(rèn)證機制在Internet和Intranet上廣泛使用的TCP/IP協(xié)議中，一些TCP和UDP服務(wù)采用的是基于主機認(rèn)證方式，而非基于用戶認(rèn)證的方式。入侵者可以利用這種脆弱的機制進行攻擊：IPSpoofing：攻擊者偵測出一臺被信任主機，在該主機停機（或遭到拒絕服務(wù)攻擊）之后，冒充該機。可以使用IP源路由方法，假扮成被信任的主機，許多UNIX主機和路由器均設(shè)置成支持源路由封包。信任主機的擴散攻擊：利用主機之間的信任關(guān)系，在攻破某一臺主機后，可以更加方便地攻擊和它有信任關(guān)系的主機。協(xié)議攻擊Internet使用的通訊協(xié)議在設(shè)計時，并沒有充分考慮到網(wǎng)絡(luò)安全問題。而且TCP/IP協(xié)議是完全公開的，再加上很多UNIX系統(tǒng)的內(nèi)部結(jié)構(gòu)包括源代碼都公開，導(dǎo)致入侵者可以利用網(wǎng)絡(luò)和操作系統(tǒng)的漏洞進行攻擊。人為的配置失誤網(wǎng)絡(luò)和主機的安全設(shè)置都比較復(fù)雜，管理者很容易在配置中出現(xiàn)失誤。如果用戶沒有進行合適的配置，入侵者就可以輕易的進入。比如，缺省帳戶的口令沒有更改等等。如果系統(tǒng)管理人員沒有對網(wǎng)絡(luò)和操作系統(tǒng)的漏洞及時打補丁（patch）。入侵者就可以利用這些公開的漏洞，侵入系統(tǒng)。竊聽和監(jiān)視由于在網(wǎng)絡(luò)的共享信道上，用明文傳輸?shù)拿舾袛?shù)據(jù)，這些信息很可能被竊聽和監(jiān)視。一旦，入侵者監(jiān)聽到用戶傳輸?shù)目诹?，就可以入侵到系統(tǒng)中了。新的安全挑戰(zhàn)隨著Internet技術(shù)的急劇發(fā)展，如WWW、Java、ActiveX等技術(shù)的大量使用，新的安全問題也不斷涌現(xiàn)。一些新的服務(wù)未經(jīng)過嚴(yán)格的安全測試就可能開始使用。象CERT、FIRST這樣的計算機安全緊急反映組織不斷發(fā)布新的攻擊事件和新的漏洞；各個主機和網(wǎng)絡(luò)廠商不斷公布自己的補?。幌?600這樣的的黑客組織和黑客站點不斷出現(xiàn)新的攻擊手法。所有這些，都對我們的安全工作提出了挑戰(zhàn)。滲透性攻擊滲透性攻擊一定要通過一些特殊的計算機程序，通過將這些程序象補?。╬atch）一樣加載在主機上之后，通過程序自身去不斷獲得系統(tǒng)的控制權(quán)，達(dá)到破壞系統(tǒng)安全的目的。特洛伊木馬特洛伊木馬是這樣一種程序，它在正常功能的程序中，隱藏的了非授權(quán)的代碼。如果正常程序在系統(tǒng)中運行，那么非授權(quán)代碼（通常是惡意代碼）就獲得了與正常程序同樣的權(quán)限，進行破壞。計算機病毒網(wǎng)絡(luò)應(yīng)用的普及，為病毒的傳播提供了方便的渠道。在越來越依賴網(wǎng)絡(luò)的今天，由于病毒導(dǎo)致的系統(tǒng)破壞將帶來巨大的損失。計算機病毒實際上是一種特殊的特洛伊木馬。計算機病毒是一段可執(zhí)行程序，它寄生在其他正常程序上。計算機病毒一般有兩個模塊：傳染模塊、破壞和表現(xiàn)模塊。計算機病毒具有如下一些特點：· 廣泛傳染性· 潛伏性· 可觸發(fā)性· 破壞性· 針對性· 衍生性· 攻擊迅速性蠕蟲蠕蟲也是一種特洛伊木馬。蠕蟲有別于計算機病毒，它一般要寄生在計算機的操作系統(tǒng)中。它同病毒也有一些類似的地方，如：潛伏性、傳染性、破壞性等。從一般意義上說，病毒一般多出現(xiàn)在PC世界，而蠕蟲多出現(xiàn)在Unix世界。拒絕服務(wù)攻擊拒絕服務(wù)（denial-of-service）攻擊，是通過向攻擊目標(biāo)施加超強力的服務(wù)要求，要求提供超出它服務(wù)能力范圍需求，從而引起的攻擊目標(biāo)對正常服務(wù)的拒絕或服務(wù)性能大大降低。下面是一些著名的拒絕服務(wù)攻擊的例子：PingofDeath：給服務(wù)器發(fā)送異常的、巨大的用來進行ping操作的包。它可以導(dǎo)致WindowsNT系統(tǒng)出現(xiàn)藍(lán)屏故障，而且及其狀態(tài)無法恢復(fù)。Syn-Flooder：向服務(wù)器申請一個連接，而在服務(wù)器回答后等待確認(rèn)時，不進行確認(rèn)。不斷進行這樣的操作，導(dǎo)致服務(wù)器的連接緩沖區(qū)溢出后服務(wù)停滯。郵件炸彈E-mailBomb：使得攻擊目標(biāo)主機受到超量的電子郵件，使得主機無法承受導(dǎo)致郵件系統(tǒng)崩潰。網(wǎng)絡(luò)安全技術(shù)計算機網(wǎng)絡(luò)安全技術(shù)的目的是保護以網(wǎng)絡(luò)為代表的系統(tǒng)資源不受攻擊影響、發(fā)現(xiàn)可疑的行為、對可能影響安全的事件作出反應(yīng)。計算機安全技術(shù)主要包括加密技術(shù)與行動技術(shù)兩個方面。加密技術(shù)的主要目標(biāo)是確保數(shù)據(jù)資源的機密性、完整性。行動技術(shù)的目的還包括維持并保護數(shù)據(jù)資源的安全可用性。根據(jù)在入侵行為與入侵目標(biāo)關(guān)系中研究對象的不同，行動技術(shù)可分為主動與被動兩大類型：被動技術(shù)研究的是入侵中處于被動地位的入侵目標(biāo)，它的目的是提高目標(biāo)自身的防御能力，主要代表有：o 隔離技術(shù)：把要保護的計算機系統(tǒng)與較危險的外界隔離開，只允許建立安全的連接；隔離技術(shù)的中心思想是在主機或網(wǎng)絡(luò)與外界連接之間增加檢查，拒絕接受可疑的連接請求。o 安全分析技術(shù)：掃描系統(tǒng)安全漏洞、模擬網(wǎng)絡(luò)攻擊，以檢查系統(tǒng)防御能力。主動技術(shù)研究的對象是入侵行為，它嘗試使計算機系統(tǒng)對入侵行為做出主動積極的反應(yīng)，代表是近年興起的入侵發(fā)現(xiàn)技術(shù)。網(wǎng)絡(luò)隔離最常用的網(wǎng)絡(luò)隔離技術(shù)就是采用防火墻，防火墻可以有效地劃分網(wǎng)絡(luò)間不同的安全區(qū)域，界定不同用戶的訪問范圍。防火墻技術(shù)概述防火墻技術(shù)的目標(biāo)是保護網(wǎng)絡(luò)的一段或整個內(nèi)部網(wǎng)絡(luò)不受外界入侵影響。防火墻將安全管理“相對”寬松的“內(nèi)網(wǎng)”與外部網(wǎng)絡(luò)隔離開來。防火墻由一組硬件和軟件的組成，用于檢查網(wǎng)絡(luò)通訊與服務(wù)請求流。它的目的是剔除通訊流中那些不符合安全標(biāo)準(zhǔn)的數(shù)據(jù)包或請求。防火墻通過包過濾、應(yīng)用網(wǎng)關(guān)等技術(shù)，使用具有過濾功能的路由器和堡壘主機等設(shè)備，使所有涉及被保護網(wǎng)段的網(wǎng)絡(luò)通訊都經(jīng)過防火墻過濾或轉(zhuǎn)接，對被保護網(wǎng)段實行訪問控制，把它和外界隔離開來，達(dá)到不受外界侵犯的目的。防火墻通常是防范入侵的第一道防線，但不同的產(chǎn)品對惡意攻擊的屏蔽程度不同，防火墻的設(shè)置也經(jīng)常很復(fù)雜，設(shè)置不好的防火墻不能有效完成隔離功能，可能成為潛在的安全隱患。使用防火墻還必須保證它不能被訪問繞過。比如在防火墻內(nèi)部私自連入Modem,使連接不經(jīng)過防火墻的檢查，就會造成隔離的破壞。防火墻的優(yōu)勢· 保護脆弱的服務(wù)：通過過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少網(wǎng)中主機的風(fēng)險。如，防火墻可以禁止NIS、NFS服務(wù)通過。防火墻同時可以拒絕源路由和ICMP重定向封包。· 控制對系統(tǒng)的訪問：防火墻可以實現(xiàn)對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。如防火墻只允許外部訪問外部WebServer。· 集中的安全管理和策略的制定：防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。在防火墻定義的安全規(guī)則可以用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無需在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略。如防火墻可以定義不同的認(rèn)證方法，而不需在每臺機器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。· 增強的保密性：使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息。· 記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)：防火墻可以記錄和統(tǒng)計通過防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)。并且可以根據(jù)統(tǒng)計數(shù)據(jù)來判斷可能攻擊和探測。在網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用?；饏^(qū)在網(wǎng)絡(luò)系統(tǒng)的Intranet中設(shè)立一個DMZ（停火區(qū)）：或者稱作屏蔽子網(wǎng)。這個?；饏^(qū)將網(wǎng)上辦稅系統(tǒng)的內(nèi)部局域網(wǎng)和Internet、撥號接入服務(wù)隔離開。內(nèi)部網(wǎng)絡(luò)與停火區(qū)之間有防火墻來保證安全。在這里專門提供對外的公共服務(wù)，如外部WWW服務(wù)、外部DNS服務(wù)、撥號接入服務(wù)等。在DMZ的服務(wù)器可以使用在公網(wǎng)的IP地址，也可以通過防火墻的反向地址轉(zhuǎn)換功能使用私網(wǎng)IP地址。設(shè)置路由器的包過濾功能停火區(qū)和Internet之間通過路由器連接。在這個路由器合理地設(shè)置包過濾功能，將?；饏^(qū)不提供的服務(wù)包過濾掉。比如：可以過濾掉Internet流向停火區(qū)的telnet包、SNMP包等，避免網(wǎng)絡(luò)黑客利用這些協(xié)議進行攻擊。內(nèi)網(wǎng)劃分了VLAN，有路由器負(fù)責(zé)內(nèi)部VLAN之間的路由?？梢赃m當(dāng)?shù)卦O(shè)置內(nèi)部路由的包過濾功能，避免或減少內(nèi)部黑客或已經(jīng)侵入內(nèi)部的黑客對其他為授權(quán)網(wǎng)絡(luò)的攻擊。內(nèi)網(wǎng)和?；饏^(qū)之間的防火墻在網(wǎng)上辦稅系統(tǒng)中主要利用現(xiàn)有的防火墻提供強大的網(wǎng)絡(luò)安全服務(wù)，它在保證高級的安全性能的同時，提供了良好的吞吐性、靈活性和管理特性。防火墻對Intranet與Internet進行隔離，隔離的主要內(nèi)容是內(nèi)部網(wǎng)不應(yīng)提供的服務(wù)、信息及傳輸通道。此外它在保證高級安全性能的同時，能夠提供良好的吞吐性、靈活性和管理特性。為了消除防火墻的單點故障，可以設(shè)計采用雙機熱備份的防火墻系統(tǒng)，兩臺防火墻一臺作為主防火墻，一臺作為從防火墻。正常工作時，運行主防火墻系統(tǒng)，當(dāng)主防火墻系統(tǒng)發(fā)生故障時，從防火墻系統(tǒng)自動接替其工作，保證了防火墻系統(tǒng)的連續(xù)性。通過防火墻控制臺定義網(wǎng)絡(luò)對象、網(wǎng)絡(luò)資源、用戶及安全規(guī)則。原則上，大樓Intranet出口處防火墻的安全規(guī)則只定義必要的網(wǎng)絡(luò)連接（如單向DNS查詢、限制的http、https、ldap，僅允許DMZ內(nèi)主機與內(nèi)部網(wǎng)的其它必要通訊等）。通信安全技術(shù)搭線竊聽是對通信保密安全的嚴(yán)重威脅。在互聯(lián)網(wǎng)出現(xiàn)后，由于使用者到服務(wù)器之間將經(jīng)過不可預(yù)測的節(jié)點，中間極可以出現(xiàn)數(shù)據(jù)被竊取和被篡改的危險。解決的方法有兩個方面：通過加密措施，使非法竊聽者即使截獲部分信息也無法理解這些信息。通過防篡改技術(shù)，使數(shù)據(jù)被篡改后可以有機制去識別被篡改的內(nèi)容。綜合以上的方法，目前流行的方式是采用虛擬專網(wǎng)（VPN）技術(shù)來實現(xiàn)通信安全。虛擬專網(wǎng)的重點在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件：保證數(shù)據(jù)的真實性，通信主機必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)（IPSpoofing）的能力。保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。保證通道的機密性，提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。提供動態(tài)密鑰交換功能，提供密鑰中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演（Replay）的功能，保證通道不能被重演。提供安全防護措施和訪問控制，要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進行訪問控制（AccessControl）?？蛻魴C安全防護網(wǎng)絡(luò)系統(tǒng)中用戶操作的微機多數(shù)采用Windows9X操作系統(tǒng)。Windows9X操作系統(tǒng)的安全級別遠(yuǎn)遠(yuǎn)不如Unix系統(tǒng)和WindowsNT系統(tǒng)高。除了系統(tǒng)本身的各種弱點外，還有許多病毒與木馬系統(tǒng)在Windows上橫行，如果不小心，用戶的各種操作數(shù)據(jù)很容易被不法分子竊取。為了保證安全，Windows9X用戶可以采用本公司個人級防火墻產(chǎn)品，保證數(shù)據(jù)安全。天網(wǎng)防火墻簡介什么叫防火墻?講到防火墻，很多人可能一下反應(yīng)覺得是一些建筑用的東西，雖然在這里講的防火墻的所處的位置很象是建筑上說的防火墻，不過，它卻是與建筑一點關(guān)系都沒有的東西。這里所說的防火墻是安裝在計算機網(wǎng)絡(luò)上，防止內(nèi)部的網(wǎng)絡(luò)系統(tǒng)被人惡意破壞的一個網(wǎng)絡(luò)安全產(chǎn)品。防火墻的用途Internet技術(shù)帶領(lǐng)我們進入新的科技信息時代。許多企業(yè)、單位都紛紛建立與互聯(lián)網(wǎng)絡(luò)相連的內(nèi)部網(wǎng)，使用戶可以通過網(wǎng)絡(luò)查詢信息。這時企業(yè)Intranet的安全性就受到了考驗，網(wǎng)絡(luò)上的不法分子不斷的尋找網(wǎng)絡(luò)上的漏洞，企圖潛入內(nèi)部網(wǎng)絡(luò)。一旦Intranet被人攻破，一些機密的資料可能會被盜、網(wǎng)絡(luò)可能會被破壞，給網(wǎng)絡(luò)所屬單位帶來難以預(yù)測的損害。而使用了防火墻后，防火墻可以有效地?fù)踝⊥鈦淼墓?，對進出的數(shù)據(jù)進行監(jiān)視。此外，目前防火墻除了可以作為網(wǎng)絡(luò)門戶的保護外，還提供了許多網(wǎng)絡(luò)連接時的應(yīng)用，如包含代理服務(wù)器的功能，提高內(nèi)部網(wǎng)絡(luò)對外訪問的速度；采用加密連接方式，使企業(yè)通過公網(wǎng)安全地傳輸數(shù)據(jù)等。天網(wǎng)防火墻的目標(biāo)長期以來，國內(nèi)開發(fā)的防火墻大都只有簡單的數(shù)據(jù)包過濾，只能實現(xiàn)簡單地控制允許或不允許數(shù)據(jù)的通過，而最新防火墻的關(guān)鍵技術(shù)都被國外所壟斷，例如網(wǎng)絡(luò)數(shù)據(jù)通道加密，網(wǎng)絡(luò)地址轉(zhuǎn)換等，美國政府甚至明令禁止這些高新技術(shù)的出口，企圖以技術(shù)壟斷的方式阻止別國信息產(chǎn)業(yè)的發(fā)展。但現(xiàn)在，我們可以站出來說：“中國人有了自己的防火墻！”在天網(wǎng)防火墻上，不但研究出并使用了美國政府禁止出口的168位加密技術(shù)，實現(xiàn)了高速的網(wǎng)絡(luò)地址轉(zhuǎn)換功能，而且，還針對Internet魚龍混雜的局面，創(chuàng)造性地開發(fā)出了智能內(nèi)容過濾系統(tǒng)，使到天網(wǎng)防火墻不單單能保護網(wǎng)絡(luò)的安全，而且，可以令充滿了黃色和反動內(nèi)容的Internet網(wǎng)絡(luò)恢復(fù)清純。天網(wǎng)防火墻的特點強大的數(shù)據(jù)加密技術(shù)在國外，利用公共的計算機信息網(wǎng)絡(luò)，企業(yè)可以建造一個安全的內(nèi)部網(wǎng)，連接不同地域的機構(gòu)，這種技術(shù)，在術(shù)語中稱為虛擬專用網(wǎng)（VPN），而這個技術(shù)中的關(guān)鍵就是一個叫IPSEC的數(shù)據(jù)加密技術(shù)，沒有這項技術(shù)，企業(yè)在公共網(wǎng)絡(luò)中傳遞的數(shù)據(jù)可以輕易地被截取和破解，等于把企業(yè)的所有秘密公之于眾；然而，國外的廠商在中國推廣的設(shè)備中，卻沒有一個提到IPSEC的加密技術(shù)的，即使有順帶提到的，也會推搪說暫時無法提供此技術(shù)，請耐心等候。原因很簡單，這種IPSEC技術(shù)正是被美國政府嚴(yán)禁出口的高科技技術(shù)之一。我們經(jīng)過努力，終于在天網(wǎng)防火墻的IPSEC加密功能上實現(xiàn)了56BitsDES、168Bits3DES、MD5、RC4、SHA1、IDEA等多種加密算法。天網(wǎng)防火墻系統(tǒng)通過符合IPSEC標(biāo)準(zhǔn)的高保密性虛擬專用網(wǎng)技術(shù)，可以建立真正的虛擬專用網(wǎng)系統(tǒng)，這樣，系統(tǒng)才具有完善的安全特性，包括：真實性：與你通信的計算機主機是真正的授權(quán)后的計算機主機，而不是他人假冒的計算機。完整性：我方接收到的數(shù)據(jù)包與對方發(fā)送時是完全一致的。機密性：在數(shù)據(jù)傳輸過程中，數(shù)據(jù)不能被不法分子解密。在設(shè)計時,我們還充分考慮到防火墻系統(tǒng)是作為網(wǎng)絡(luò)安全的守護者，除了考慮用戶認(rèn)證、數(shù)據(jù)傳輸時數(shù)據(jù)的機密性、完整性、真實性以外，我們還考慮到不法分子在截取到加密的數(shù)據(jù)后，雖然無法將數(shù)據(jù)解密，但將數(shù)據(jù)原封不動地重新發(fā)送的可能性。因此我們在天網(wǎng)防火墻中加入了防止數(shù)據(jù)重演（Replay）的功能，以杜絕這種可能性。有了天網(wǎng)防火墻系統(tǒng)，用戶可以不再被迫使用功能殘缺的國外網(wǎng)絡(luò)安全產(chǎn)品，而網(wǎng)絡(luò)安全也可以得到真正的保護。智能的內(nèi)容過濾系統(tǒng)Internet給我們帶來了無比豐富的最新信息，改變了我們生活、工作的模式。但是，Internet缺乏適當(dāng)?shù)谋O(jiān)管機構(gòu)，導(dǎo)致在網(wǎng)上充斥著各種色情、反動的信息，我們不能不警惕這些信息對我們的毒害，我國政府也采取了一定的防御措施?？上鎸θ招略庐惖木W(wǎng)絡(luò)技術(shù)發(fā)展，現(xiàn)在的措施有點力不從心。目前存在的問題主要有：目前的監(jiān)管工作完全靠人手動進行，發(fā)現(xiàn)一個攔截一個。而且Internet網(wǎng)絡(luò)信息不斷改變，更新速度驚人，缺少計算機的輔助和統(tǒng)計功能，目前的攔截功能實際上的作用并不明顯。目前攔截是以一個信息點為單位，過于粗糙。通常一個Internet信息點上有很多不同的內(nèi)容，如果單單為了防止一、兩個非法的內(nèi)容而禁止訪問整個信息點，是因噎廢食的做法。雖然攔截可以禁止直接訪問信息點，但是用戶可以利用一種叫代理服務(wù)的技術(shù)，利用不被攔截的國外信息點收取信息后轉(zhuǎn)發(fā)到國內(nèi)來，令防御措施形同虛設(shè)。為了解決這個問題，我們首先對現(xiàn)狀進行分析，得出了解決問題的關(guān)鍵：Internet上雖然有無法統(tǒng)計數(shù)量的節(jié)點和連接，但是我們只需要對內(nèi)部網(wǎng)絡(luò)所訪問的信息進行監(jiān)管就可以保證禁止非法信息的流入了。這使自動監(jiān)控有了實現(xiàn)的可能。通過對使用代理服務(wù)訪問的機制進行了徹底的研究，了解到這種機制的原理后，可以輕易地實現(xiàn)攔截。計算機必須根據(jù)具體情況，依據(jù)有效的算法對流入數(shù)據(jù)進行分析，找出最有嫌疑、的信息內(nèi)容，這樣才能解決問題的關(guān)鍵。由于需要對所有的流入信息進行過濾，系統(tǒng)負(fù)擔(dān)將十分沉重。監(jiān)管系統(tǒng)必須采用并行式處理體系，采用多套系統(tǒng)協(xié)同工作，才能面對大量的用戶訪問，避免產(chǎn)生網(wǎng)絡(luò)的堵塞、延誤的嚴(yán)重后果。網(wǎng)絡(luò)內(nèi)容監(jiān)管在國際上早已受到廣泛的重視，許多團體已經(jīng)在這個方面作了大量的工作，我們的系統(tǒng)必須具有有效使用這些成果的能力。PICS是W3C（互聯(lián)網(wǎng)頁協(xié)會）推出的內(nèi)容分級數(shù)據(jù)庫協(xié)議，受到廣泛的支持，Internet上絕大多數(shù)的正式網(wǎng)頁都根據(jù)PICS協(xié)議進行了分級。攔截服務(wù)器必須能定時從PICS分級數(shù)據(jù)服務(wù)器上提取數(shù)據(jù)，儲存到本地數(shù)據(jù)庫中，并以分級數(shù)據(jù)庫作為依據(jù)，進行網(wǎng)絡(luò)監(jiān)管工作。通過對實際需要的分析，我們在天網(wǎng)防火墻系統(tǒng)中實現(xiàn)可以說是世界上第一套采用分布式并行處理結(jié)構(gòu)的計算機輔助監(jiān)管、精確信息源定位攔截系統(tǒng)?；竟δ苡校褐悄軆?nèi)容分析系統(tǒng):系統(tǒng)對流經(jīng)的網(wǎng)絡(luò)信息進行關(guān)鍵字過濾，可以支持多個關(guān)鍵字邏輯過濾操作，同時可以根據(jù)關(guān)鍵字權(quán)重、重復(fù)次數(shù)計算信息的可疑程度。系統(tǒng)對用戶訪問信息的精確定位進行記錄，統(tǒng)計訪問量、可疑程度等指標(biāo)，返回可疑信息源精確位置表，根據(jù)該表自動將信息源精確位置加入黑名單采取攔截行動或作為系統(tǒng)管理員控制攔截的依據(jù)。信息監(jiān)管系統(tǒng):系統(tǒng)可以根據(jù)黑名單和白名單對用戶訪問的精確信息源位置進行攔截或放行的處理，而且可以根據(jù)智能內(nèi)容分析系統(tǒng)和統(tǒng)計系統(tǒng)的結(jié)果自動增減名單。代理服務(wù)器攔截系統(tǒng)系統(tǒng)根據(jù)代理服務(wù)器工作原理，對向代理服務(wù)器的信息訪問請求進行解碼分析，得出真正訪問位置，根據(jù)黑名單進行攔截，放行正常信息。分布并行式處理：當(dāng)需要負(fù)責(zé)大量的用戶訪問時（如Internet出口），系統(tǒng)可以組成分布并行式處理系統(tǒng)，用戶的訪問控制工作將分布到多臺防火墻服務(wù)器上。天網(wǎng)防火墻系統(tǒng)的信息監(jiān)管模塊使用了各種先進的辦法，可以有效地攔截非法信息的流入，為用戶提供一個清潔的Internet網(wǎng)絡(luò)，是建立Internet的必備工具。創(chuàng)新的體系結(jié)構(gòu)傳統(tǒng)的防火墻多數(shù)是軟件，因此，用戶在購買了防火墻后，還需要購買昂貴的工作站或服務(wù)器才能夠使用防火墻。而天網(wǎng)防火墻創(chuàng)新地采用了硬件一體化的體系。而天網(wǎng)防火墻創(chuàng)新地采用了硬件一體化的設(shè)計，從底層操作系統(tǒng)到防火墻應(yīng)用都與硬件緊密結(jié)合。這種設(shè)計有兩個好處：系統(tǒng)效率高。傳統(tǒng)軟件防火墻是安裝在計算機上的，由于無法控制網(wǎng)絡(luò)底層，導(dǎo)致系統(tǒng)效率受到計算機操作系統(tǒng)的牽制，對網(wǎng)絡(luò)的數(shù)據(jù)傳輸有較大的影響。而在天網(wǎng)防火墻設(shè)計時，我們針對系統(tǒng)特定硬件進行優(yōu)化處理，底層操作系統(tǒng)采用匯編語言編寫，防火墻應(yīng)用融入系統(tǒng)操作系統(tǒng)，因此數(shù)據(jù)傳輸效率比同類產(chǎn)品高出30％～60％。系統(tǒng)安全性高。傳統(tǒng)的軟件防火墻都是基于UNIX或WindowsNT平臺，這些操作系統(tǒng)平臺本身容易受到黑客（Hacker）的攻擊，使防火墻所在的計算機成為網(wǎng)絡(luò)安全的突破點。而天網(wǎng)防火墻采用硬件一體化結(jié)構(gòu)，專用的高安全度操作系統(tǒng)使不法分子無從下手。其他特點此外，天網(wǎng)防火墻還包含了網(wǎng)絡(luò)信息流量控制（QoS），透明代理服務(wù)器、雙向網(wǎng)絡(luò)地址轉(zhuǎn)換、針對性防御措施、負(fù)載均衡、雙機熱備份等功能。需求分析根據(jù)《重慶住房基金管理中心信息系統(tǒng)安全工程》需求，作如下分析：內(nèi)部通過劃分VLAN，防止內(nèi)部網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)攻擊，保證網(wǎng)絡(luò)安全可靠。分析：完全滿足。天網(wǎng)防火墻的網(wǎng)絡(luò)接口可以綁定多個網(wǎng)段地址，最多可以支持1024個網(wǎng)段。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)保證安全性，提供備份迂回路由。分析：天網(wǎng)防火墻有備份功能擴展，可以升級為雙機備份防火墻。應(yīng)能定期自動掃描各種服務(wù)器和數(shù)據(jù)庫系統(tǒng)以發(fā)現(xiàn)影響系統(tǒng)性能安全和設(shè)置上的漏洞。分析：該功能可以由第三方軟件廠商的漏洞檢測軟件實現(xiàn)。應(yīng)具有對安全攻擊的快速響應(yīng)能力，能夠在黑客對重要資源產(chǎn)生威脅之前識別并阻止攻擊。分析：天網(wǎng)防火墻具有快速響應(yīng)能力，能夠在黑客對重要資源產(chǎn)生威脅之前識別并阻止攻擊。應(yīng)能搜集、綜合和分析安全軟件得到的數(shù)據(jù)，自動快速的作出安全決策并進行實施。分析：天網(wǎng)防火墻的企業(yè)I型和II型均具有以上功能。方案設(shè)計總體設(shè)計系統(tǒng)拓?fù)鋱D：方案說明根據(jù)重慶市住房基金管理中心的網(wǎng)絡(luò)狀況和應(yīng)用，建議在內(nèi)網(wǎng)的switch和路由器4700之間接天網(wǎng)防火墻企業(yè)I型，通過對防火墻的安全規(guī)則的設(shè)定可有效的保護內(nèi)網(wǎng)服務(wù)器和工作站不受攻擊。天網(wǎng)防火墻企業(yè)級-I型，規(guī)格如下：LicenseTypeDescriptionSNFW-NATunlimitedSNFW-FT-BH網(wǎng)絡(luò)黑洞SNFW-FT-LOG網(wǎng)絡(luò)數(shù)據(jù)記錄Features*基于狀態(tài)檢測的包過濾*具有包過濾功能的虛擬網(wǎng)橋*DOS防御網(wǎng)關(guān)能有效的防止各種類型的DOS攻擊*TCP標(biāo)志位檢測*雙向網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)*流量統(tǒng)計與流量限制*網(wǎng)絡(luò)端口可以綁定多個IP地址*IP地址與MAC地址綁定*實時系統(tǒng)監(jiān)控，能觀察系統(tǒng)的運行狀態(tài)及網(wǎng)絡(luò)連接狀況*實時報警，通過撥打電話和Email的方式報警(SyslogDaemon)*系統(tǒng)操作記錄，可以記錄系統(tǒng)管理員的所有操作情況*界面升級，操作方便*網(wǎng)絡(luò)黑洞，用于阻擋非法的網(wǎng)絡(luò)探測*網(wǎng)絡(luò)數(shù)據(jù)記錄,用于記錄通過防火墻的數(shù)據(jù)類型和流量實現(xiàn)功能：使用NAT把DMZ區(qū)的服務(wù)器和內(nèi)部端口影射到Firewall的對外端口；允許Internet公網(wǎng)用戶訪問到DMZ區(qū)的應(yīng)用服務(wù)：http、ftp、smtp、dns；允許DMZ區(qū)內(nèi)的工作站與應(yīng)用服務(wù)器訪問Internet公網(wǎng)；允許內(nèi)部企業(yè)用戶訪問DMZ的應(yīng)用服務(wù)：http、ftp、smtp、dns、pop3、https；允許內(nèi)部企業(yè)用戶訪問或通過代理訪問Internet公網(wǎng)；禁止Internet公網(wǎng)非法用戶入侵內(nèi)部企業(yè)網(wǎng)絡(luò)和DMZ區(qū)應(yīng)用服務(wù)器；禁止Internet公網(wǎng)用戶對內(nèi)部網(wǎng)絡(luò)http、ftp、telnet、traceroute、rlogin等端口訪問；通過對數(shù)據(jù)包的SYN/ACK等標(biāo)志位進行合法性檢測和判斷，嫩構(gòu)進行單向攔截（即防火墻的內(nèi)部用戶可以對外訪問，而外部的非法訪問將被攔截）。禁止ＤＭＺ區(qū)的公開服務(wù)器訪問內(nèi)部網(wǎng)絡(luò)；透明代理內(nèi)含用戶口令認(rèn)證，并設(shè)置其訪問權(quán)限；設(shè)置防黑客或入侵監(jiān)測的范圍，實行實時入侵監(jiān)測；成功案例天網(wǎng)防火墻典