计算机专网安全产品解决方案（网络防火墙）.pdf

宁波市政府计算机专网安全产品解决方案（网络防火墙）方正数码有限公司2002年 2 月L背景介绍.51.1.项目总述.51.2.网络环境总述.51.3.业务现状.61.4.网络信息安全概况.71 4 1.网络安全现状.81 4 2.典型的黑客攻击.81.4.3.网络与信息安全平台的任务.1 02安全架构分析与设计.112.1.网络整体结构.1 12.1.L 宁波在全国政府专网中的位置.1 22.1.2.光纤网络平台.1 22 2 宁波政府专网安全风险分析.1 42.2.1.主要应用服务的安全风险.1 42.2.2.网络中主要系统的安全风险.1 52.2.3.数据库系统安全分析.1 62.2 4 U n i x 系统的安全分析.1 62.2.5.o w s NT系统的安全分析.1 72.2.6.管理系统的安全风险.1 72 .3.宁波政府专网安全风险解决方案设计的原则和目标.1 82.3 .网络安全解决方案的组成.1 92.3 .2.超高安全要求下的网络保护.212 .4.防火墙选型.2 22 5 防火墙设置及工作模式.2 32 6 防火墙功能设置及安全策略.2 32.6.1.完善的访问控制.232.6.2.内置入侵检测(ID S).242.6.3.代理服务.242.6.4,日志系统及系统报警.242.6.5.带宽分配,流量管理.2 52.6.6.H.3 23 支持.2 52.6.7.系统升级.2 52.6.8.双机备份.2 62.6.9.防火墙方案特点.262.7.防火墙整体布局.2 72.8.宁波市政府系统计算机专网核心节点市政府办公厅网络.2 82.9.各区及委、办、局的安全网络.2 82.1 0.集中管理和分级管理.2 93.产品选型.303.1.防火墙与入侵检测的选型.3 03.1.1.方正数码公司简介.3 03.2.方正方御防火墙（1 0 0 M）.3 13.2.1.产品概述.3 13.2.2.系统特点.3 13.2.3.方 御 防 火 墙（百兆）的性能.3 53.2.4.方正方御防火墙功能说明.3 63.3.方正方御防火墙（1 0 0 0 M）.4 73 3 1.产品概述.4 73.3.2.系统特点.4 83.3.3.方正方御千兆防火墙功能说明.4 93.3.4.方 御 防 火 墙（千兆）的性能.5 9生工程实施方案.61合同签订阶段的工作实施.6 1发货阶段的实施.6 2到货后工作的实施.6 3测试及验收.6 44.4.1.测试及验收描述.6 4.12.3444生44.5.1.功能测试.6 54.5.2.性能测试.6 54 5 3.实施人员.6 55.培训方案.665.1.培训目标.6 65 2 培训课程.6 65.3.培训方式.6 65.4.培训忖长.6 65.5.培训地点.6 65.6.培训人数.6 75.7.培训讲师.6 75.8.入学要求.6 8鱼售后服务和技术支持.696.1.售后服务内容.6 96 2 保修.7 06 .3.保修方式.7 16 .4.保修范围.7 16 5 保修期的确认.7 26 6 全国服务网络.7 26.7.场地及环境准备.7 26 7 1.常规要求.7 26.7.2.机房电源、地线及同步要求.7 36.7.3.设备场地、通信.7 36.7.4.机房环境.736 8 验收清单.756.8.1.设备开箱验收清单.756.8.2.用户信息清单.756.8.3.用户验收清单.76L 方案整体优势.78&方正方御防火墙荣誉证书.791.背景介绍1.1.项目总述政府专网是宁波市政府信息化建设的基础工程，是以宁波市政府东、北大院计算机局域网为核心，以宽带光纤网络为通信平台，围绕业务管理、数据交换、语音通信、重大事件处理、视频会议等应用，覆盖宁波市各县（市）、区政府，市政府各部门，市委办、人大办、政协办及市委各工作部门等，并与全国、全省政府专网联接，共 约1 2 2个节点的城域网。政府专网是独立于公共网络之外的政府系统专用网络，物理上与外部公共网络隔离。专网内部进行逻辑分割，采用防火墙隔离、审计检测等措施，建立有效的网络安全防范体系，以满足国家党政机关网络可传送普密级信息的通信安全保密要求。政府专网涉及范围广，建设要求高，需分期分批进行建设。整个建设周期分为二期，第一期4 1个节点于2 0 0 2年2月底前完成，第二期约8 1个节点于2 0 0 2年完成。目前已经完成网络平台、系统集成、系统商务标的招投标工作，正在抓紧进行网络平台建设及相关设备的订购采购工作。政府专网建成后，将极大地促进政府业务规范化、办公自动化、管理智能化、决策科学化、提高政府机关办事工作效率，实现政府各部门以及上下级政府部门之间信息和资源的共享。1.2.网络环境总述市区内采用千兆以太网技术，市区外采用I P O V E R S D H传输技术，各节点用物理光纤接入。政府专网以市政府办公厅为核心节点，在市区内采用4个汇集点,各节点用物理光纤就近接入汇集点。在市区外利用网络供应商提供的S D H环路，各节点用物理光纤接入S D H环。核心节点与S D H环通过物理光纤连接，把市内和市外两部分连通，组成完整的政府专网网络平台。总体结构请参见网络总体拓扑图。国务院专网的帧中继专线接入到C I S C O路由器，再经过防火墙（中科院的安 胜（E R C I S T）防火墙），以百兆方式接入核心节点的接入交换机。宁波市处理重大事件指挥中心（以下简称指挥中心）是一个独立的网段，以多模光纤接入核心点的接入交换机，中间需以防火墙隔离。市政府西大院所有单位作为一个节点，用4芯光纤接入汇集点。政府专网采用C I S C O的W O R K S 2 0 0 0 F O R N T作为网管软件。1.3.业务现状首先，宁波市政府与上级政府部门的信息数据交换量非常大。一方面，国务院、省政府需要宁波市政府上报大量信息，如地方经济运行状况、经济规划、社会治安情况等；另一方面，宁波市政府也需要及时了解国家有关政策、法规的最新情况。第二，宁波市政府与各县区政府数据交换量也相当大。第三，为了切实做好政府各项综合管理工作，市政府要领导、安排、督促和协调政府各职能部门工作，因此与各部门业务联系十分密切，信息交换量很大。第四，市政府与市委、人大及政协系统之间信息交流也十分频繁。1.宁波市与上级政府部门之间的信息交流以公文、通知通告、要闻信息等文字资料为主。2.宁波市政府系统（含与市委、人大、政协系统之间）内部信息交流内容，主要有：网上办公：公文及业务工作网上办理流转。宏观信息：包括国际、国内、省内、省外、市内、市外宏观经济数据，每日信息，重要会议，重大事件。基本信息：包括市情、县情，各级领导情况，机构设置、直属机构设置、编制、职能职责、联系电话、邮箱地址等。通知通告：包括会议、学习、上报材料等通知，系统内的通报等。工作动态：国家、省、市政府及政府有关部门的重要政策信息，政府内部改革思路新经验等。重大事件处理：综合治理、灾害、汛情、交通等方面的文字、图像及视频信息。政策法规：地方政策法规和国家、浙江省的政策法规 行业数据：科技、文化、教育、交通等方面的行业数据。地理信息系统：规划、建筑、地形地貌等方面的数据，包括大型图片。会计核算中心：财务数据 经济服务中心：批文、办事程序等数据以上诸项信息内容除已说明以外，其余都为文字、数字等形式。1.4.网络信息安全概况目前，很多公开的新闻表明美国国家安全局（NSA）有可能在许多美国大软件公司的产品中安装“后门”，其中包括一些应用广泛的操作系统。为此德国军方前些时候甚至规定在所有牵涉到机密的计算机里，不得使用美国的操作系统。作为信息安全的保障，我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品，将安全风险降至最低。在为各安全产品选型时，我们立足国内，同时保证所选产品的先进性及可靠性，并要求通过国家各主要安全测评认证。1.4.1.网络安全现状Internet正在越来越多地融入到社会的各个方面。一方面，随着网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随着Internet和以电子商务为代表的网络应用的日益发展，Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全，日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重的威胁。2000年二月，在三天的时间里，黑客使美国数家顶级互联网站一Yahoo!、Amazon、eBay、CNN陷入瘫痪，造成了十儿亿美元的损失，令美国上下如临大敌。黑客使用了 DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的时间里，又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到黑客攻击。国内第一家大型网上连锁商城IT163网站3月6日开始运营，然而仅四天，该商城突遭网上黑客袭击，界面文件全部被删除，各种数据库遭到不同程度的破坏，致使网站无法运作。客观地说，没有任何一个网络能够免受安全的困扰，依 据Financial Times曾做过的统计，平 均每20秒钟就有一个网络遭到入侵。仅在美国，每年由于网络安全问题造成的经济损失就超过100亿美元。1.4.2.典型的黑客攻击黑客们进行网络攻击的目的各种各样，有的是出于政治目的，有的是员工内部破坏，还有的是出于好奇或者满足自己的虚荣心。随 着Internet的高速发展，也出现了有明确军事目的的军方黑客组织。在典型的网络攻击中，黑客一般会采取如下的步骤：自我隐藏，黑客使用通过rsh或telnet在以前攻克的主机上跳转、通过错误配 置 的proxy主机跳转等各种技术来隐藏他们的IP地址，更高级一点的黑客，精通利用电话交换侵入主机。网络侦探和信息收集，在利用Internet开始对目标网络进行攻击前，典型的黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表，通常很容易建立一个主机列表并且开始了解主机之间的联系。黑客在这个阶段使用一些简单的命令来获得外部和内部主机的名称:例如，使 用nslookup来 执 行Is=200,000内核处理速度=750M100M端口吞吐量97M百条规则下平均吞吐量（fp s）94M延时10ms丢 包 率（百条规则）0%MTBF=30000 小时最大规则数=1400 条3.2.4.方正方御防火墙功能说明3.2.4.1.多种工作模式方正方御网络安全产品可以工作在交换和路由两种模式下：A：交换模式：3 个端口构成一个以太网交换机，产品本身没有IP地址，在 IP层透明。可以将任意三个物理网络连接起来构成一个互通的物理网络。当产品工作在交换模式时，内网、DM Z区和路由器的内部端口构成一个统一的交换式物理子网，内网和DM Z区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置。B：路由模式：产品本身构成3 个网络间的路由器，3 个界面分别具有不同的IP 地址。三个网络中的主机通过该路由进行通信。当产品工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DM Z到外网的网络地址转换，也就是说，内网和DM Z都可以使用保留地址，内网用户通过地址转换访问Internet,同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。在没有安装方御网络安全产品的时候典型网络结构图如下:在安装了方御网络安全产品的时候网络结构图如下:3.2.4.2.包过滤防火墙方御防火墙的主要功能是对指定IP包进行包过滤，并且按照设定策略对IP包进行入侵或流量等活动的统计，并记入日志中，供用户察看。主要根据IP包的如下信息进行过滤：IP包的源IP地址 IP包的目的IP地址 IP包的协议类型（包 括 IP、ICMP、TCP、UDP等协、议）IP包的源TCP/UDP端口 IP包的目的TCP/UDP端口 ICMP报文类型域和代码域 碎片包 IP包的其它标志位，如 SYN,ACK位等FinanceServerWWWServer源IP地址，目的地址，协议类型，源端口，目的端口ICMP报文类型域和代码域，碎片包，其它标志位3.2.4.2.1.高效包过滤有些防火墙在安装上以后对WEB服务器的吞吐能力影响很大，造成性能的降低。由于方御防火墙米用了 31智能IP 识别技术(Intelligent IP Identifying),能够实现快速匹配。因此方御防火墙不会对性能造成任何影响。方御防火墙优化了算法，使最大并发连接数可以达到250,000个以上，而一般的防火墙的最大并发连接只能达到几万个左右。3.2.4.2.2.强大的状态检测功能方御防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配，而方御防火墙对每个连接，作为个数据流，通过规则表与连接表共同配合，在继承了传统包过滤系统对应用透明的特性外，还大大的提高了系统的性能和安全性。其他的防火墙大多采用传统的规则表的匹配方法，随着安全规则的增加，势必会使防火墙的性能大幅度的减少，造成网络拥塞。建建关法新已相非状态检测的具体过程如下:状 态 检 测 图 示3.2.4.3.防火墙的其它功能3.2.4.3.1.双向 N A T方御防火墙支持在内部网和D M Z 区使用保留的IP地址，通过动态的地址转换功能实现对外部网的访问。方御防火墙以两种方式支持N A T：V 源地址转换（正向N A T）,即内部地址向外访问时，发起访问的内部I P 地址转换为指定的 I P 地 址（可含端口号或者端口范围），这可以使内部使用保留I P 地址的主机访问外部网络，即内部的多个机器可以通过一个外部有效地址访问外部网络。例如，内部地址1 9 2.1 6 8.1.2对外部的访问可以被修改为一个合法的互联网地址2 0 2.1 1 8.6.1 0 0,并且可以限定其端口范围为 8 0-8 2 =3 0 0 0 0 小时最大规则数=1 4 0 0 条4.工程实施方案项目实施原则考虑到本项目是个涉及分布宁波市政府各级分支机构且对参与技术支持的单位及使用单位要求很高，所以我们认为本项目应在宁波市政府集中领导、协调，方正数码公司全力支持的情况下进行，以上是本项目实施的基本思路。4.1.合同签订阶段的工作实施本阶段应是项目实施的重要阶段，宁波市政府与方正数码公司双方应协调本方相关单位,为项目的实际进行建立起有效的协调体系及最大限度地做好准备工作。为达到上述目的，双方应做如下工作：1.建立协调领导小组协调小组组成人员及联络表如下:项目组联系表部门人员责任分配联系方式项目总负责防火墙负责人系统及网络部分负责人商务实施负责人说明：具体信息需宁波市政府相关单位提供。方正数码公司协调小组组成人员及联络表如下:2.方正数码公司及授权服务商工作准备首先方正数码公司将防火墙发送到授权服务商处，组织服务商进行项目培训并完成防火墙规则的配置。最终发送到用户现场，由方正数码有限公司工程师安装、调试，保证系统平稳过渡，保证系统安全。授权服务商负责协助工作4.2.发货阶段的实施i.宁波市政府负责：提供本方使用单位的详细信息，所需信息列表如下：用户分布及联系表说明：具体信息需宁波市政府各单位用户在到货前提供。单位名称负责人工程师联系方式地址建议安装顺序配置为使安装、测试、发货工作更好地实施，上表应在合同签订阶段向方正数码公司提供。1.方正数码公司为做到发货清晰、准确，方正数码公司将在设备包装箱上做出明显标示。标签样本如下:项目名称:接收单位名称:地址：联系人：电话：防火墙型号：4.3.到货后工作的实施1.宁 波 市 政 府 组 织 地 市 行 人 员 在 固 定 地 点 集 中 培 训（准 备 培 训 环境）。2.方 正 数 码 公 司 协 调 服 务 商 配 合 宁 波 政 府 组 织 的 培 训。3.方 正 数 码 公 司 工 程 师 上 门 培 训4,方 正 数 码 公 司 工 程 师 协 助 宁 波 市 政 府 各 单 位 制 定 防 火 墙 实 施 方 案及 安 全 策 略5.在 规 定 时 间 内 实 施本进程表所有时间以合同签订之日开始计算，合同签订当日记作零11日期内容负责/参加者第 1 日联系厂商发货获得用户技术人员培训清单宁波市政府准备培训文件和教材方正数码培训中心布置培训场地宁波市政府、方正数码培训教师第 2 日到第8 日网络安全培训（具体培训安排见培训方案P 页）方正数码培训教师第 9 日获得各单位据体网络拓扑结构，检查到货设备硬件设备清单宁波市政府技术人员方正数码技术工程师第 10 日到第13日开始工程实施东、北大院内部门共31个单位实施小组人员各单位的技术人员设备安装配置、验收实施小组人员各单位的技术人员第 14 日到第16日开始工程实施11个 县（市）区政府：余姚、慈溪、奉化、郸县、宁海、象山、海曙、江东、江北、镇海、北仑。实施小组人员各单位的技术人员设备安装配置、验收实施小组人员各单位的技术人员第 17 日到第19日开始工程实施市政府办公厅（核心节点）7 家单位实施小组人员各单位的技术人员设备安装配置、验收实施小组人员各单位的技术人员第 2 0 日到第2 1 日开始工程实施5 个管委会实施小组人员各单位的技术人员设备安装配置、验收实施小组人员各单位的技术人员第 2 2 日到第3 0 日开始工程实施39家部门（在市区范围内）实施小组人员各单位的技术人员设备安装配置、验收实施小组人员各单位的技术人员第 3 1 日到第3 4 日开始工程实施民主党派及统 战 部（西大院）以及其它28个实施小组人员各单位的技术人员设备安装配置、验收实施小组人员各单位的技术人员第 3 5 日到第3 8 日工程终验宁波市政府实施小组人员注：以上时间安排，按照具体情况和宁波市政府的统一安排，可以作相应调整4.4.测试及验收4.4.1.测试及验收描述在 整 个 项 目 实 施 过 程 中，有 3 个 重 要 的 验 收，它 们 是 单 点 验 收、初 验 和 终 验。下 面 是 这 三 个 验 收 通 过 的 描 述：（1）单点验收通过的条件：设备数量与合同相符完成h 机、加电、连接网络及配置 移交（初验）双瓶的定义：买方技术人员按各方商定好的测试项目及方法对系统进行测试。止匕测试的目的是使整个网络系统具有开放业务的条件。详细的测试方案将和用户协商后确定。移交（初验）测试通过的条件：买方按测试计划完成并通过网络测试或买方开通业务。终验通过的条件：没有出现双方认可的由于安全产品设备造成全网不可恢复的瘫痪没有出现双方认可的由于安全产品设备造成单点不可恢复的瘫痪在试运行期间解决了初验遗留的有关卖方设备的主要技术问题及试运行期间出现的有关卖方设备的主要技术问题。4 5 系统初验初验测试是对网络验收所必须进行的一项工作,是验证网络与应用系统是否达到合同所规定的要求的必要的手段。初验测试所需要进行的工作有：4.5.1.功能测试功 能 测 试 主 耍 是 为 了 验 证 所 完 成 的 网 络 系 统 是 否 具 有 合 同 所 描 述 的 或 超 过合 同 要 求 的 各 项 功 能，主 要 有：网络的连通性测试各应用系统功能的实现网络管理功能的实现实际数据传输的测试4.5.2.性能测试性能测主要是检验所完成的网络系统的性能优劣，主要有:网络的承载能力各网络设备相应速度各应用系统的服务提供功能和能力4.5.3.实施人员总调度人：马虔资深网络安全专家，现任方正数码安全服务中心服务经理曾任美国iss（安氏）公司资深网络安全工程师实施人：王辉现任方正数码安全服务中心高级工程师实施人：贾爽现任方正数码安全南方服务中心高级工程师实施人：韦巍现任方正数码安全北方服务中心高级工程师实施人：赵学峰现任方正数码安全南方服务中心高级工程师安全顾问：朱圣波现任方正数码资深安全服务顾问5.培训方案为保证用户对系统的熟练掌握，方正数码公司为用户提供完善的培训课程。5.1.培训目标掌握网络安全的基本知识掌握各产品的工作原理能熟练操作配置系统能进行日常维护能熟练地根据业务需要进行一定的系统调整。5.2.培训课程TCP/IP基础网络安全基础防火墙的实施和使用防火墙规则配置分析5.3.培训方式理论授课、上机实习5.4.培训时长2-4工作日5 5培训地点由宁波市政府统一安排在宁波市进行培训5.6.培训人数及时间安排1、普通用户培训：每个用户2个培训名额，时间为2天，内容包括防火墙的基本知识、常规配置、故障的应急处理、简单的日志分析等。第一天上午：网络安全及黑客攻击手段概述第一天下午：防火墙基本知识第二天上午：防火墙安装与配置第二天下午：上机实习第三天上午：防火墙规则分析与日志分析第三天下午：上机实习第四天上午：故障排除第四天下午：技术答疑2、专业技术人员培训：约20个培训名额，时间4天，内容除普通用户培训内容外，还包括根据自身的安全需求制定本局域网的安全策略，对日志进行分析,并根据分析结果完善安全策略等高级应用服务。第一天上午：网络安全概述第一天下午：黑客攻击手段概述第二天上午：防火墙基本知识（上）第二天下午：防火墙基本知识（下）第三天上午：防火墙软硬件安装配置第三天下午：上机实习第四天上午：防火墙配置方法（一）第四天下午：上机实习第五天上午：防火墙配置方法（二）第五天下午：上机实习第六天上午：防火墙规则分析与日志分析（一）第六天下午：上机实习第七天上午：防火墙规则分析与日志分析（二）第七天下午：上机实习第八天上午：故障排除第八天下午：技术答疑注：以上培训内容和时间安排，按照具体情况和宁波市政府的统一安排，可以作相应调整5 7培训讲师马玉书现任方正数码网络安全技术培训中心负责人、高级讲师曾经负责中国人民银行内联网安全培训中国武装警察部队网络安全培训中国人民解放军总参网络安全培训方正数码网络安全工程师认证培训等5 8入学要求计算机使用熟练：熟 悉 windows系统具有基本网络知识：熟悉路由器、交换机、集线器等基本网络设备。有组建简单局域网络的能力。有组建简单TCP/IP网络的能力。（有防火墙此类安全产品使用经验者更佳）6.售后服务和技术支持方正数码有限公司一贯以来遵行服务至上的观念，既为客户提供高效可靠的网络安全产品，也为客户提供优质及时的售后服务。对宁波市政府系统计算机专网这样的大型项目，专门提供了完整的服务解决方案，使客户无后顾之忧。服务解决方案由热线支持、服务网站、安装调试、现场维护、产品保修和用户培训等模块组成，用户也可以根据实际情况灵活选择模块，获得量身定作的服务。6.1.售后服务内容为了保证宁波市政府系统计算机专网的安全畅通，方正数码有限公司对其网络安全产品承诺如下售后服务：电话支持(周一至周五9:00-18:00,节假日除外)：宁波市政府系统计算机专网管理中心在使用本公司网络安全产品时如遇到问题，无论是软件，硬件或是网络，都可以从方正数码得到电话支持(0 1 0-6841 9468),宁波市政府系统计算机专网管理中心可以指定一名主要联系人及两名替补联系人与方正数码技术支持中心联系。一旦接到宁波市政府系统计算机专网管理中心请求电话，方正数码技术人员将在规定时间内通过电话解决或回答宁波市政府系统计算机专网管理中心的问题。对于非工作日接到的故障电话，最迟将在下一个工作日响应。在线支持：是一个网络安全专题网站，其中包括方正数码的网络安全系列产品信息、网络安全的各种攻防信息、最新的网络安全资料、宁波市政府系统计算机专网管理中心提出的问题及解答、网络安全产品版本内升级程序、补丁程序以及其它对用户解决技术问题有帮助的信息。W ebsite每天更新，宁波市政府系统计算机专网管理中心可以通过Internet实时读取有关信息。现场支持（周一至周五9:00-18:00,节假日除外）：对于通过电话无法解决的问题，方正数码或授权代理服务中心将派出工程师到用户现场为用户提供现场产品调试服务，保证网络安全产品在宁波市政府系统计算机专网上正常运行。保修服务：方正数码对本公司的网络安全产品制订了为期三年的免费保修期，在此期间，方正数码将通过遍布全国3 1个省市、自治区的专业授权维修站对本公司产品进行免费维修。免费保修期后，方正数码仍然提供完善的服务来保证宁波市政府系统计算机专网的正常运行。安装服务：由于网络安全产品涉及到较多的网络知识和安全知识，如果宁波市政府系统计算机专网管理人员无法自行安装、配置购买的方正数码网络安全产品，方正数码或授权代理服务中心可以派出工程师到用户现场为用户提供现场产品安装服务。版本升级：我们会通知宁波市政府系统计算机专网管理人员所购产品的版本最新更新信息和最新的黑客攻防情况，确定用户是否升级。保驾服务：为了保证宁波市政府系统计算机专网购买的方正数码网络安全产品长期正常运转，如宁波市政府系统计算机专网管理人员需要时，我们可以安排工程师对产品及宁波市政府系统计算机专网产品进行定期巡检服务，包括定期回访、设备检测、设备调试服务。用户培训：为用户提供产品使用和网络安全方面的全面培训，协助用户提高网络安全管理水平，具备一定的网络攻防保护能力。6 2保修方正数码有限公司对其防火墙产品承诺如下保修服务：产品三年免费保修，随机资料及光盘、软盘、电源线、串口线、网线、包装材料等不属于保修范围。6 3保修方式1.故障潸别：当客户购买的网络安全产品发生故障时，方正数码可以提供故障请别服务。工程师判断故障类型后，由客户决定是否维修。2.维修服务：如果产品的保修类别是现场维修，则产品的维修将在客户的使用现场进行。但如果是某些特殊的故障，经客户同意，方正数码授权工程师会将产品带回维修，并提供一台备机以保证用户网络的正常运行，在修复后将原产品送还客户，并取回备机。3.备件更换：经过诊断，产品故障较为严重无法通过其它维修方式进行维修的，方正数码提供备件更换服务，并恢复原用户产品的配置，以保证用户网络的正常运行。6.4.保修范围方正数码提供的保修服务不适用于向非授权代理商处购买的任何网络安全产品。也不适用于因以下原因而遭受损坏或出现缺陷的任何网络安全产品：地震、火灾等自然灾害及意外事故所造成的损坏擅自更换或修改原网络安全产品硬件部件因使用网络安全产品不当造成的任何间接损失经方正数码或方正数码授权服务供应商之外的人士进行修理或维修（以设备封条为准）人为 原 因（有可见的物理性损坏等）造成的硬件损坏误用或滥用磨损或损耗6.5.保修期的确认保修期始于购买之日。含有网络安全产品购买日期的购买收据，即为您购买日期的证明。此保修条款仅适用于原始购买人享有。购买网络安全产品后，请填妥保修卡并将此卡口联 以及用户信息登记卡寄回方正数码进行用户注册，公司收到后，会寄回注册确认函（包含用户的产品服务号），用户凭保修卡及服务号就可享受各项保修服务。如果您没有进行用户注册，维修时，您需要出示原始购买凭证。若用户无法提供以上证明，方正数码将根据产品序列号来计算保修日期，即产品出产之日起三（3）个月算起。6.6.全国服务网络方正数码公司利用其全国服务网络，可以为宁波市政府系统计算机专网在各省市、地方的机构提供本地化的快捷服务。目前方正数码有限公司总部在北京，已在上海、广州开设办事处，并在北京、上海、广州分别设技术支持中心，在全国范围内签有多家授权服务提供商。同时，方正数码还与方正科技强强联手，在全 国30个省市、自治区建立了专业的授权“全程服务”维修站，为用户提供快速便捷的本地化维修服务。每星期一至星期五（国家法定节假日除外），每天9:00-18:00可 拨 打010-68419468热线电话享受技术支持，或者访问我们的网站,也可直接与距您最近的办事处联系。我们将调度最近的服务商在第一时间提供专为大客户设计的更优质的服务。6.7.场地及环境准备6.7.1.常规要求这一部分描述的工程设计数据是计算机及网络设备的规划和安装的必要环境条件标准。6.7.2.机房电源、地线及同步要求 要求使用不间断稳压电源供电。提供稳压的标准交流电源（含 UPS）的输入中心线和输出中心线不能相联，需分别接地，各自构成回路，不能交叉。提供稳压的一48V直流电源。地线：机房设备机架全部接地，要求接地电阻不大于4 欧姆；同时要求从程控电话交换机接出的E1中继所在机架接地。照明、办公设备不得与设备电源相联。电源：电源为单相220伏稳压交流电源。直流电源要求为DC-48 V 电源。电源输出距设备位置不应超过3 米。6.7.3.设备场地、通信设备场地在每一处地点的设备包括如下内容：机架。容纳防火墙的工作台。机房应配备计算机地板，或相应的布线槽位及走线。通用的工具、工作桌、工作椅应准备好。普通网线至少4 根。普通PC机一台。如果需要防火墙远程管理，需要一个静态IP地址。6.7.4.机房环境机房设计的环境如下表：No.项目参考值1房间尺寸请参照所附的规划书2空气条件尘埃，低于OJmg/n?3振动机房内部地面低于0.25G4有害气体气体浓度不能高于危害操作员健康和机器寿命的限度.5地板强度大于等于500kg/m2（相当于一般写字楼地面）6地板表面防静电材料防尘封材料7楼层高度大于等于2.2m8墙壁和天花板防静电材料防尘封材料阻燃材料吸音和隔音材料9窗户为防止阳光对设备损害，应加窗帘防尘和防止盐类与有害气体的腐蚀10门最窄不小于1.2m,最高不少于2.0m11保安能防火、防洪水与地震和操作员及设备安全12卫生条件能防鼠患和昆虫13防火安装自动火警装置和灭火器14电场强度20dB(IV/m),频 率 范 围 从 10KHZ到1GHZ15磁场强度W50Oe（显示器要求为0.015 Oe）16静电W6KV（试验设备的要求为150PF/3300hm）17照明300到700流 明（luX）高于地顿85cmC 推荐500流明18温度1528摄氏度，每小时变化不超过10%。19湿度30%-80%,不结露对于VPN产品的电源要求：为密码机及管理中心提供不间断电源：密码机每台：AC220V(+10%,-1 5%),功耗：W250W密码机网管中心每部：AC220V(+10%,-1 5%),功耗：W350W密钥配发中心每套：AC220V(+10%,-1 5%),功耗：W700W6.8.验收清单6.8.1.设备开箱验收清单运抵日期：开箱日期:合同号:_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _产品序号：_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _产品序列号：_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _合同产品已经运抵安装现场(用户下属机构)。6.8.2.用户信息清单该清单对于由R 用户全称1 下属机构的设备安装环境进行现场勘探。安装现场基本信息用户下属机构名称安装环境负责人办公室电名：通信地址:话:安装用户基本信息用户下属机构名称负 责 人 名(1):通信地址：办公室电话：负 责 人 名(2)：通信地址：办公室电话：安装工程师基本信息用户下属机构名称安装工程师名：通信地址：办公室电话：6.8.3.用户验收清单最 终 用 户K用户全称对整体系统试运行验收,该验收起始于 结束于下列技术问题在整体系统试运行期间曾经发生，但这些问题并不对系统的正常运行产生重要影响。但是，供应商将尽快解决下列技术问题。序列号技术问题描述主要技术原因7.方案整体优势方正数码为宁波市政府系统计算机专网涉及的安全方案考虑到了宁波市政府系统计算机专网的实际情况，均衡了性能价格比，从整个系统的可靠性，稳定性，安全性和可扩展性多方面进行了考虑，有如下优势：防火墙产品集中管理方案里面涉及的网络安全产品都可以远程集中管理，这样在宁波市政府系统计算机专网管理中心就可以对各地方的安全产品进行集中管理和配置。确保使用的方便性和安全性。不同的用户权限方正数码的防火墙产品安装国标的要求将用户分为了管理员、策略员和审计员三种。这样网络管理中心可以按照具体的要求进行用户权利的分配和使用。可靠性方案中涉及的网络安全产品都支持双机热备功能，因此是整个网络的可靠性有较大幅度的提高。譬如网控中心所采用的防火墙均实施了双机热备，以防止单点故障。8.方正方御防火墙荣誉证书计 算 机 信 息 系 统 安 全 专 用 产 品销 售 许 可 证证书城号：XKC33103有 效 期：自2001年0阴12日至2003年0阴12 0北京方正数码有限公司根据公安部 计算机信息系统安全专用产品枝潮和销售许可证管理办法及有关规定,经 审 查.准 许 你 单 位 生 产 的（代理）方F lreG ale防火墙Y1.0版_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _安全专用产品进入市场镇售，特发此证.中华人民共和国公安部监制方正方御防火墙销售许可证国家信息安全认证产品型号证书(注册号 CMISTEC2OO1TYPO77技证明：北京方正公司(It京市海淀M西二环北路27，；北 科 大 位 超&IOWKM开发的下列产品：方簿昉火墙(VI.0)经中国国家信息安至赛谆认金中心测试.检胎.符合：(H I IX1U.200I 信息技术安全投术信息技术安全性评估准则和GB.a IWI9-IH9 信息技术包过淖防火地安全技术要求标准的要求,薮准国家信息安全产品型号认证国旅必可注册号，一HxnM*.*国信安办证书军 用 信 息 安 全 产 品以 证 证 书军密认字第0 0 2 0 号C 3 3产 品 名 称：F i r e G a t e 方御防火墙研 制 单 位：北京北大方正集团公司认 证 等 级：_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _有 效 期：2 0 0 1年 0 5 月 至 2 0 0 3年05月军队认证证书科学技术成果鉴定证书编 号（2 0 0 1 ）叁 字 1 4 号成果名称：方御F i r c G a te 防火墙成果完成度位：北京方正鉴定形式：专家评说组织等定单位：国家保密局霎定日期：2 0 0 1.8.1 6保密局认证（一）三 鬟 定 见1-iftGaH-n Hi*r 9 K2001 tt ；|16日.E9本仅能同&北市工挎开丁也方.（H4柯.少全瞥理中心可嬖某观!?与台 通 女 施 巧 爆 中 吃 一C；京戏 雄样笈!痈&（t i l 加在不用布，弓旧爆国苏科生视起WL.*定。员会伏力t 次 的 火 设 计 壮 能 强,可 京 实 刖.找木文档齐金.规贰.同*以技术容企.警定收外主任，I的废U2 0 3 年8 月I，日L_保 密 局 认 证（二）