《华能电力网络安全项目技术规范书(1)7778.docx》由会员分享,可在线阅读,更多相关《华能电力网络安全项目技术规范书(1)7778.docx(74页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、5.1 附件件1华能电力力网络安安全项目技术术规范书书华能电力力网络安安全解决决方案111.背景景介绍331.1.项目总总述31.2.网络环环境总述述31.3.信息安安全方案案的组成成41.3.1.信信息安全全产品的的选型原原则41.3.2.网网络安全全现状551.3.3.典典型的黑黑客攻击击51.3.4.网网络与信信息安全全平台的的任务771.3.5.网网络安全全解决方方案的组组成71.3.6.超超高安全全要求下下的网络络保护992.安全全架构分分析与设设计1112.1.网络整整体结构构112.2.集中管管理和分分级管理理122.3.华能电电力网络络安全系系统管理理中心网网络1332.4.各
2、地方方公司和和电厂网网络设计计132.5.和Intternnet相相连的外外部网络络设计1143.产品品选型1153.1.防火墙墙的选型型153.1.1.方方正数码码公司简简介1553.1.2.产产品概述述163.1.3.系系统特点点163.1.4.方方正方御御防火墙墙功能说说明2003.2.入侵检检测产品品选型2273.2.1.启启明星辰辰公司介介绍2883.2.2.入入侵检测测系统介介绍2883.2.3.天天阗(ttiann)黑客客入侵检检测系统统功能特特点2993.3.防病毒毒产品的的选型3313.3.1.病病毒介绍绍313.3.2.为为何使用用CA公司司的Kiill220000网络防防
3、病毒3353.3.3.KKILLL的技术术和优势势363.3.4.KKILLL与其他他同类产产品的比比较的相相对优势势383.3.5.KKILLL所获得得的权威威机构认认证3993.3.6.KKILLL病毒防防护系统统部署方方案3994.工程程实施方方案4224.1.测试及及验收4424.1.1.测测试及验验收描述述424.2.系统初初验4224.2.1.功功能测试试424.2.2.性性能测试试435.售后后服务和和技术支支持4335.1.为华能能电力网网络提供供安全评评估4335.2.售后服服务内容容445.3.保修4555.4.保修方方式4555.5.保修范范围4665.6.保修期期的确认
4、认465.7.培训安安排4775.8.全国服服务网络络485.9.场地及及环境准准备4885.9.1.常常规要求求485.9.2.机机房电源源、地线线及同步步要求4485.9.3.设设备场地地、通信信495.9.4.机机房环境境495.100.验收收清单5505.100.1.设备开开箱验收收清单5505.100.2.用户信信息清单单515.100.3.用户验验收清单单526.方案案整体优优势5227.方正正方御防防火墙荣荣誉证书书54附录录一:北北京威通通网讯网网络技术术有限公公司介绍绍1. 背景介绍绍1.1. 项目总述述本项目是是华能国国际电力力股份有有限公司司为其内内网及下下属电厂厂作网络
5、络安全保保护中的的防火墙墙选型和和实施部部分(关关于入侵侵检测系系统和防防病毒系系统,我我们建议议使用启启明星辰辰的天阗阗黑客入入侵检测测与预警警系统和和冠群金金辰的kkilll网络防防病毒系系统)。华华能国际际电力股股份有限限公司网网络整体体结构是是个通过过WANN连接的的二级网网络,整整个网络络分为内内网和外外网两个个网,内内外网之之间物理理隔离。网网络中心心与下属属15个个电厂通通过网络络进行数数据传输输,在网网络每一一级的节节点上具具有一个个局域网网,在二二级网络络上运行行着电力力业务系系统、办办公自动动化服务务等1.2. 网络环境境总述华能电力力网络安安全系统统是非涉涉密的内内部业务
6、务工作处处理网络络,传输输、处理理、查询询工作中中非涉密密的信息息。该网网由与网网络中心心和155个电厂厂单位组组成。在在给地方方局域网网出入口口安装防防火墙。在在关键部部位安放放入侵检检测系统统,而且且所有的的服务器器和普通通PC机机需要安安装防病病毒软件件。而且且这些防防火墙和和入侵检检测系统统需要集集中在数数据中心心进行管管理和审审计。1.3. 信息安全全方案的的组成1.3.1. 信息安全全产品的的选型原原则华能电力力网络安安全系统统是一个个要求高高可靠性性和安全全性的网网络系统统,若干干重要的的公文信信息在网网络传输输过程中中不可泄泄露,如如果数据据被黑客客修改或或者删除除,那么么就会
7、严严重的影影响工作作。所以以华能电电力网络络安全系系统安全全产品的的选型事事关重大大,要提提到国家家战略的的高度来来衡量,否否则一旦旦被黑客客或者敌敌国攻入入,其代代价将是是不能想想象的。华能电力力网络安安全系统统网络安安全系统统方案必必须遵循循如下原原则: 全局性原原则:安安全威胁胁来自最最薄弱的的环节,必必须从全全局出发发规划安安全系统统。华能能电力网网络安全全系统安安全体系系,遵循循中心统统一规划划,各电电厂分别别实施的的原则。 综合性原原则:网网络安全全不单靠靠技术措措施,必必须结合合管理,当当前我国国发生的的网络安安全问题题中,管管理问题题占相当当大的比比例,在在各地方方建立网网络安
8、全全设施体体系的同同时必须须建立相相应的制制度和管管理体系系。 均衡性原原则:安安全措施施的实施施必须以以根据安安全级别别和经费费限度统统一考虑虑。网络络中相同同安全级级别的保保密强度度要一致致。 节约性原原则:整整体方案案的设计计应该尽尽可能的的不改变变原来网网络的设设备和环环境,以以免资源源的浪费费和重复复投资。 集中性原原则:所所有的防防火墙产产品要求求在数据据中心可可以进行行集中管管理,这这样才能能保证在在数据中中心的服服务器上上可以掌掌握全局局。 角色化原原则:防防火墙产产品在管管理上面面不仅在在数据中中心可以以完全控控制外,在在地方还还需要分分配适当当的角色色使地方方可以在在自己的
9、的权利下下修改和和查看防防火墙策策略和审审计。目前,很很多公开开的新闻闻表明美美国国家家安全局局(NSSA)有有可能在在许多美美国大软软件公司司的产品品中安装装“后门”,其中中包括一一些应用用广泛的的操作系系统。为为此德国国军方前前些时候候甚至规规定在所所有牵涉涉到机密密的计算算机里,不不得使用用美国的的操作系系统。作作为信息息安全的的保障,我我们在安安全产品品选型时时强烈建建议使用用国内自自主开发发的优秀秀的网络络安全产产品,将将安全风风险降至至最低。在为各安安全产品品选型时时,我们们立足国国内,同同时保证证所选产产品的先先进性及及可靠性性,并要要求通过过国家各各主要安安全测评评认证。1.3
10、.2. 网络安全全现状Inteerneet正在在越来越越多地融融入到社社会的各各个方面面。一方方面,随随着网络络用户成成分越来来越多样样化,出出于各种种目的的的网络入入侵和攻攻击越来来越频繁繁;另一一方面,随随着Innterrnett和以电电子商务务为代表表的网络络应用的的日益发发展,IInteerneet越来来越深地地渗透到到各行各各业的关关键要害害领域。Internet的安全包括其上的信息数据安全,日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重的威胁。20000年二月月,在三三天的时时间里,黑黑
11、客使美美国数家家顶级互互联网站站Yaahooo!、Amaazonn、eBBay、CNN陷入瘫痪,造成了十几亿美元的损失,令美国上下如临大敌。黑客使用了DDoS(分布式拒绝服务)的攻击手段,用大量无用信息阻塞网站的服务器,使其不能提供正常服务。在随后的不到一个月的时间里,又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。国内网站站也未能能幸免于于难,新新浪、当当当书店店、ECC1233等知名名网站也也先后受受到黑客客攻击。国国内第一一家大型型网上连连锁商城城IT1163网网站3月6日开始始运营,然然而仅四四天,该该商城突突遭网上上黑客袭袭击,界界面文件件全部被被删除,各各种数据据库遭到
12、到不同程程度的破破坏,致致使网站站无法运运作。客观地说说,没有有任何一一个网络络能够免免受安全全的困扰扰,依据据Finnancciall Tiimess曾做过过的统计计,平均均每200秒钟就就有一个个网络遭遭到入侵侵。仅在在美国,每每年由于于网络安安全问题题造成的的经济损损失就超超过1000亿美美元。1.3.3. 典型的黑黑客攻击击黑客们进进行网络络攻击的的目的各各种各样样,有的的是出于于政治目目的,有有的是员员工内部部破坏,还还有的是是出于好好奇或者者满足自自己的虚虚荣心。随随着Innterrnett的高速速发展,也也出现了了有明确确军事目目的的军军方黑客客组织。在典型的的网络攻攻击中,黑黑
13、客一般般会采取取如下的的步骤:自我隐藏藏,黑客客使用通通过rssh或ttelnnet在在以前攻攻克的主主机上跳跳转、通通过错误误配置的的prooxy主主机跳转转等各种种技术来来隐藏他他们的IIP地址址,更高高级一点点的黑客客,精通通利用电电话交换换侵入主主机。网络侦探探和信息息收集,在在利用IInteerneet开始始对目标标网络进进行攻击击前,典典型的黑黑客将会会对网络络的外部部主机进进行一些些初步的的探测。黑黑客通常常在查找找其他弱弱点之前前首先试试图收集集网络结结构本身身的信息息。通过过查看上上面查询询来的结结果列表表,通常常很容易易建立一一个主机机列表并并且开始始了解主主机之间间的联系
14、系。黑客客在这个个阶段使使用一些些简单的的命令来来获得外外部和内内部主机机的名称称:例如如,使用用nsllookkup来来执行 “ls ”, ffingger外外部主机机上的用用户等。确认信任任的网络络组成,一一般而言言,网络络中的主主控主机机都会受受到良好好的安全全保护,黑黑客对这这些主机机的入侵侵是通过过网络中中的主控控主机的的信任成成分来开开始攻击击的,一一个网络络信任成成员往往往是主控控主机或或者被认认为是安安全的主主机。黑黑客通常常通过检检查运行行nfssd或mmounntd的的那些主主机输出出的NFFS开始始入侵,有有时候一一些重要要目录(例例如/eetc,/homme)能能被一个
15、个信任主主机moountt。确认网络络组成的的弱点,如如果一个个黑客能能建立你你的外部部和内部部主机列列表,他他就可以以用扫描描程序(如如ADMMhacck, msccan, nmmap等等)来扫扫描一些些特定的的远程弱弱点。启启动扫描描程序的的主机系系统管理理员通常常都不知知道一个个扫描器器已经在在他的主主机上运运行,因因为ps和nettstaat都被特特洛伊化化来隐藏藏扫描程程序。在在对外部部主机扫扫描之后后,黑客客就会对对主机是是否易受受攻击或或安全有有一个正正确的判判断。有效利用用网络组组成的弱弱点,当当黑客确确认了一一些被信信任的外外部主机机,并且且同时确确认了一一些在外外部主机机上
16、的弱弱点,他他们就要要尝试攻攻克主机机了。黑黑客将攻攻击一个个被信任任的外部部主机,用用它作为为发动攻攻击内部部网络的的据点。要要攻击大大多数的的网络组组成,黑黑客就要要使用程程序来远远程攻击击在外部部主机上上运行的的易受攻攻击服务务程序,这这样的例例子包括括易受攻攻击的SSenddmaiil,IIMAPP,POOP3和和诸如sstattd,mmounntd, pccnfssd 等等RPCC服务。获得对有有弱点的的网络组组成的访访问权,在在攻克了了一个服服务程序序后,黑黑客就要要开始清清除他在在记录文文件中所所留下的的痕迹,然然后留下下作后门门的二进进制文件件,使其其以后可可以不被被发觉地地访
17、问该该主机。目前,黑黑客的主主要攻击击方式有有:欺骗:通通过伪造造IP地地址或者者盗用用用户帐号号等方法法来获得得对系统统的非授授权使用用,例如如盗用拨拨号帐号号。窃听:利利用以太太网广播播的特性性,使用用监听程程序来截截获通过过网络的的数据包包,对信信息进行行过滤和和分析后后得到有有用的信信息,例例如使用用sniiffeer程序序窃听用用户密码码。数据窃取取:在信信息的共共享和传传递过程程中,对对信息进进行非法法的复制制,例如如,非法法拷贝网网站数据据库内重重要的商商业信息息,盗取取网站用用户的个个人信息息等。数据篡改改:在信信息的共共享和传传递过程程中,对对信息进进行非法法的修改改,例如如
18、,删除除系统内内的重要要文件,破破坏网站站数据库库等。拒绝服务务:使用用大量无无意义的的服务请请求来占占用系统统的网络络带宽、CCPU处处理能力力和IOO能力,造造成系统统瘫痪,无无法对外外提供服服务。典典型的例例子就是是20000年年年初黑客客对Yaahooo等大型型网站的的攻击。黑客的攻攻击往往往造成重重要数据据丢失、敏敏感信息息被窃取取、主机机资源被被利用和和网络瘫瘫痪等严严重后果果,如果果是对军军用和政政府网络络的攻击击,还会会对国家家安全造造成严重重威胁。1.3.4. 网络与信信息安全全平台的的任务网络与信信息安全全平台的的任务就就是创建建一个完完善的安安全防护护体系,对对所有非非法
19、网络络行为,如如越权访访问、病病毒传播播、恶意意破坏等等等,做做到事前前预防、事事中报警警并阻止止,事后后能有效效的将系系统恢复复。在上文对对黑客行行为的描描述中,我我们可以以看出,网网络上任任何一个个安全漏漏洞都会会给黑客客以可乘乘之机。著著名的木木桶原理理(木桶桶的容量量由其最最短的木木板决定定)在网网络安全全里尤其其适用。所所以,我我们的方方案必须须是一个个完整的的网络安安全解决决方案,对对网络安安全的每每一个环环节,都都要有仔仔细的考考虑。1.3.5. 网络安全全解决方方案的组组成针对前文文对黑客客入侵的的过程的的描述,为为了更为为有效的的保证网网络安全全,方正正数码提提出了两两个理念
20、念:立体体安全防防护体系系和安全服服务支持持。首先先网络的的安全决决不仅仅仅是一个个防火墙墙,它应应是包括括入侵测测检(IIDS)、防防病毒等等功能在在内的立立体的安安全防护护体系;其次真真正的网网络安全全一定要要配备完完善的高高质量的的安全维维护服务务,以使使安全产产品充分分发挥出出其真正正的安全全效力。一个好的的网络安安全解决决方案应应该由如如下几个个部分组组成:l 防火墙:对网络络攻击的的阻隔防火墙是是保证网网络安全全的重要要屏障。防防火墙根根据网络络流的来来源和访访问的目目标,对对网络流流进行限限制,允允许合法法网络流流,并禁禁止非法法网络流流。防火火墙最大大的意义义在网络络边界处处提
21、供统统一的安安全策略略,有效效的将复复杂的网网络安全全问题简简化,大大大降低低管理成成本和潜潜在风险险。在应应用防火火墙技术术时,正正确的划划分网络络边界和和制定完完善的安安全策略略是至关关重要的的。发展到今今天,好好的防火火墙往往往集成了了其他一一些安全全功能。比比如方正正方御防防火墙在在很好的的实现了了防火墙墙功能的的同时,也也实现了了下面所所说的入入侵检测测功能;l 入侵检测测(IDDS):对攻击击试探的的预警当黑客试试探攻击击时,大大多采用用一些已已知的攻攻击方法法来试探探。网络络安全漏漏洞扫描描器是“先敌发发现”,未雨雨绸缪。而而从另外外一个角角度考虑虑问题,“实时监测”,发现黑客攻
22、击的企图,对于网络安全来说也是非常有意义的。甚至由此派生出了P2DR理论。入侵检测测系统通通过扫描描网络流流里的特特征字段段(网络络入侵检检测),或或者探测测系统的的异常行行为(主主机入侵侵检测),来来发觉这这类攻击击的存在在。一旦旦被发现现,则报报警并作作出相应应处理,同同时可以以根据预预定的措措施自动动反应,比比如暂时时封掉发发起该扫扫描的IIP。需要注意意的是,入入侵检测测系统目目前不能能,以后后也很难难,精确确的发现现黑客的的攻击痕痕迹。事事实上,黑黑客可以以将一些些广为人人知的网网络攻击击进行一一些较为为复杂的的变形,就就能做到到没有入入侵检测测系统能能够识别别出来。所所以,在在应用
23、入入侵检测测系统时时,千万万不要因因为有了了入侵检检测系统统,就不不对系统统中的安安全隐患患进行及及时补救救。l 安全审计计管理安全审计计系统必必须实时时监测网网络上和和用户系系统中发发生的各各类与安安全有关关的事件件,如网网络入侵侵、内部部资料窃窃取、泄泄密行为为、破坏坏行为、违违规使用用等,将将这些情情况真实实记录,并并能对于于严重的的违规行行为进行行阻断。安安全审计计系统所所做的记记录如同同飞机上上的黑匣匣子,在在发生网网络犯罪罪案件时时能够提提供宝贵贵的侦破破和取证证辅助数数据,并并具有防防销毁和和篡改的的特性。安全审计计跟踪机机制的内内容是在在安全审审计跟踪踪中记录录有关安安全的信信
24、息,而而安全审审计管理理的内容容是分析析和报告告从安全全审计跟跟踪中得得来的信信息。安安全审计计跟踪将将考虑要要选择记记录什么么信息以以及在什什么条件件下记录录信息。收集审计计跟踪的的信息,通通过列举举被记录录的安全全事件的的类别(例例如对安安全要求求的明显显违反或或成功操操作的完完成),能能适应各各种不同同的需要要。已知知安全审审计的存存在可对对某些潜潜在的侵侵犯安全全的攻击击源起到到威摄作作用。l 防病毒以以及特洛洛伊木马马计算机病病毒的危危害不言言而喻,计计算机病病毒发展展到今天天,已经经和特洛洛伊木马马结合起起来,成成为黑客客的又一一利器。微微软的原原码失窃窃案,据据信,就就是一黑黑客
25、使用用特洛伊伊木马所所为。l 安全策略略的实施施保证网络安全全知识的的普及,网网络安全全策略的的严格执执行,是是网络安安全最重重要的保保障。此外,信信息备份份是信息息安全的的最起码码的要求求。能减减少恶意意网络攻攻击或者者意外灾灾害带来来的破坏坏性损失失。1.3.6. 超高安全全要求下下的网络络保护对于华能能电力网网络安全全系统数数据中心心安全而而言,安安全性需需求就更更加的高高,属于于超高安安全要求求下的网网络保护护范围,因因此需要要在这些些地方使使用2台台防火墙墙进行双双机热备备,以保保证数据据稳定传传输。1.3.6.1. 认证与授授权认证与授授权是一一切网络络安全的的根基所所在,尤尤其在
26、网网络安全全管理、外外部网络络访问内内部网络络(包括括拨号)时时,要有有非常严严格的认认证与授授权机制制,防止止黑客假假冒身份份渗透进进内部网网络。对于内部部访问,也也要有完完善的网网络行为为审计记记录和权权限限定定,防止止由内部部人员发发起的攻攻击70%以上的的攻击都都是内部部人员发发起的。我们建议议华能电电力网络络安全系系统利用用基于XX.5009证书书的认证证体系(目目前最强强的认证证体系)来来进行认认证。方正方御御防火墙墙管理也也是用XX.5009证书书进行认认证的。1.1.1.1. 网络隔离离网络安全全界的一一个玩笑笑就是:要想安安全,就就不要插插上网线线。这是是一个简简单的原原理:
27、如如果网络络是隔离离开的,那那么网络络攻击就就失去了了其存在在的介质质,皮之之不存,毛毛将焉附附。但对于需需要和外外界沟通通的实际际应用系系统来说说,完全全的物理理隔离是是行不通通的。方正数码码提出了了安全数数据通道道网络隔隔离解决决方案,在在网络连连通条件件下,通通过破坏坏网络攻攻击得以以进行的的另外两两个重要要条件: 从外部网网络向内内部网络络发起连连接 将可执行行指令传传送到内内部网络络从而确保保华能电电力网络络安全系系统的安安全。1.1.1.2. 实施保证证华能电力力网络安安全系统统牵涉网网点众多多,网络络结构复复杂。要要保护这这样一个个繁杂的的网络系系统的网网络安全全,必须须有完善善
28、的管理理保证。安安全系统统要能够够提供统统一的集集中的灵灵活的管管理机制制,一方方面要能能让华能能电力网网络安全全系统网网控中心心的网管管人员监监控整体体网络安安全状况况,另外外一方面面,要能能让地方方网管人人员灵活活处理具具体事务务。方正方御御防火墙墙采用基基于Wiindoows GUII的用户户界面进进行远程程集中式式管理,配配置管理理界面直直观,易易于操作作。可以以通过一一个控制制机对多多台方正正方御防防火墙进进行集中中式的管管理。方正方御御防火墙墙符合国国家最新新防火墙墙安全标标准,采采用了三三级权限限机制,分分为管理理员,策策略员和和审计员员。管理理员负责责防火墙墙的开关关及日常常维
29、护,策策略员负负责配置置防火墙墙的包过过滤和入入侵检测测规则,审审计员负负责日志志的管理理和审计计中的授授权机制制,这样样他们共共同地负负责起一一个安全全的管理理平台。事事实上,方方御防火火墙是通通过该标标准认证证的第一一个包过过滤防火火墙。另外,方方正方御御防火墙墙还提供供了原标标准中没没有强制制执行的的实施域域分组授授权机制制,尤其其适合于于华能电电力网络络安全系系统这样样的大型型网络。2. 安全架构构分析与与设计逻辑上,华能电力网络安全系统将划分为三个区域:数据中心、局域网用户和外网。其中每一一个局域域网节点点划分为为内部操操作(控控制)区区、信息息共享区区两个网网段,网网段之间间设置安
30、安全隔离离区。每每一个网网段必须须能够构构成一个个独立的的、完整整的、安安全的、可可靠的系系统。2.1. 网络整体体结构华能电力力网络安安全系统统需要涉涉及若干干电力部部门,各各地方的的网络通通过专用用网连接接起来,网网络安全全通过防防火墙设设备和入入侵检测测设备实实现。网络整体体结构如如下图所所示:网络整体体结构示示意图2.2. 集中管理理和分级级管理由于华能能电力网网络安全全系统涉涉及的网网络安全全设备繁繁多,因因此在管管理上面面需要既既能集中中管理,又又可以在在本地进进行审计计管理,日日志查询询等操作作。而用用户的权权限机制制分配必必须通过过网络管管理中心心统一分分配和管管理。需要集中中
31、管理的的网络设设备包括括防火墙墙设备、入入侵检测测设备和和防病毒毒软件。在在华能电电力网络络安全系系统网络络管理中中心需要要对各公公司,电电厂的网网络安全全设备进进行集中中管理。分析华能能电力网网络安全全系统的的特点和和需求,方方正方御御防火墙墙的集中中管理功功能和权权限管理理机制完完全可以以满足这这些需求求。方正方御御防火墙墙采用基基于Wiindoows GUII的用户户界面进进行远程程集中式式管理,配配置管理理界面直直观,易易于操作作。可以以通过一一个控制制机对多多台方正正方御防防火墙进进行集中中式的管管理。方正方御御防火墙墙采用了了三级权权限机制制,分为为管理员员,策略略员和审审计员。管
32、管理员负负责防火火墙的开开关及日日常维护护,策略略员负责责配置防防火墙的的包过滤滤和入侵侵检测规规则,审审计员负负责日志志的管理理和审计计中的授授权机制制。这样样他们共共同的负负责起一一个安全全的管理理平台。华能电力力网络安安全系统统的集中中管理图图如下所所示:网络安全全产品集集中管理理示意图图2.3. 华能电力力网络安安全系统统管理中中心网络络华能电力力网络安安全系统统管理中中心除了了需要提提供信息息服务外外,还需需要对各各公司和和电厂的的网络设设备进行行集中管管理,因因此网络络的安全全性和可可靠性尤尤其的重重要。内部区放放置控制制服务器器、数据据库服务务器、文文件服务务器、系系统管理理服务
33、器器等设备备。华能电力力网络安安全系统统管理中中心的网网管工作作站负责责对给地地方公司司和电厂厂的所有有的安全全产品进进行集中中管理和和权利分分配任务务。而且且安全产产品的审审计工作作也都是是在网管管中心进进行统计计和备份份。2.4. 各地方公公司和电电厂网络络设计各地方公公司和电电厂的网网络结构构节点也也同样划划分为内内部操作作(控制制)区、公公开信息息区两个个网段。对对于这些些网络我我们建议议使用如如下方案案:地方公司司和电厂厂网络示示意图2.5. 和Intternnet相相连的外外部网络络设计由于华能能电力网网络安全全系统的的内网和和外网是是物理隔隔离的,因因此保障障了内部部网络的的安全
34、同同时,还还需要对对外部网网络进行行适当的的安全防防护。对于外网网我们建建议使用用如下方方案:外部网络络示意图图3. 产品选型型3.1. 防火墙的的选型我们采用用方正最最新型方方正方御御防火墙墙。方正正方御防防火墙是是一个很很优秀的的防火墙墙,同时时它集成成强大的的入侵检检测功能能。方正正方御防防火墙是是国内第第一个通通过公安安部公共共信息网网络安全全监督局局新防火火墙认证证标准的的包过滤滤级防火火墙产品品,同时时通过了了中国人人民解放放军安全全测评认认证中心心、国家家保密局局和中国国国家信信息安全全测评认认证中心心的严格格认证。3.1.1. 方正数码码公司简简介作为方正正集团互互联网战战略的
35、实实施者,方方正数码码将自身身定位于于电子商商务的“赋能者者”,其业业务涉及及互联网网与电子子商务的的技术研研究应用用与系统统集成、网网络市场场营销服服务、空空间信息息应用、无无线互联联以及电电子商务务的咨询询服务等等方向,以以帮助政政府、行行业、企企业、网网站、电电子商务务的运营营者在互互联网时时代健康康成功的的发展为为己任。要给电子子商务运运营者赋赋能,先先要给安安全赋能能。方正正数码首首先推出出的就是是方正方方御互联联网安全全解决方方案。方方正方御御是在经经过一年年多的大大量投入入和深入入的研究究后,提提出的一一套基于于中国国国情、全全部自主主开发、具具有领先先优势的的解决方方案。它它是
36、一套套整体的的集群平平台,可可以解决决互联网网运营商商最为关关切的安安全性、高高可靠性性、可扩扩展性和和易于远远程管理理的问题题。目前前这套方方案已经经得到国国家有关关部门的的大力支支持,被被国家经经贸委列列为国家家创新计计划项目目之一。另另外,还还得到了了国家”8863”计划的支持。在立身自自主开发发外,方方正数码码还与众众多国际际知名的的安全公公司保持持着良好好的合作作关系,并并集成了了国内外外最优秀秀的公司司安全产产品,为为国内IInteerneet的安安全建设设保驾护护航。3.1.2. 产品概述述方御防火火墙是方方正方御御中的主主要安全全产品之之一。由由于防火火墙技术术的针对对性很强强
37、,它已已成为实实现网络络安全的的重要保保障之一一。方御御防火墙墙是通过过对国外外防火墙墙产品的的综合分分析,针针对我们们国家的的具体应应用环境境,结合合国内外外防火墙墙领域里里的最新新发展,在在面向IIDC和和中小企企业的FFireeBriidgee防火墙墙的基础础上,提提出的一一种具有有强大的的信息分分析功能能、高效效包过滤滤功能、多多种反电电子欺骗骗手段、多多种安全全措施综综合运用用的安全全可靠的的专用防防火墙系系统。方正方御御防火墙墙不仅仅仅是一个个包过滤滤的防火火墙,而而且包括括了大量量的实用用模块,可可以为用用户提供供多方面面的服务务。方御防火火墙保护护如下模模块:3.1.3. 系统
38、特点点一体化的的硬件设设计方正方御御防火墙墙采用了了一体化化的硬件件设计,采采用了自自己的操操作系统统,无需需其他操操作系统统的支持持,这样样能够发发挥硬件件的最大大性能,同同时也提提高了系系统的安安全性。双机热备备份通过双机机热备份份,本系系统提供供可靠的的容错/热待机机功能。备备份防火火墙服务务器中存存有主防防火墙服服务器的的设置镜镜像,当当主防火火墙因为为某些原原因不能能正常运运作,备备份服务务器可以以在122秒钟内内取代主主服务器器运作,充充分保证证整个网网络系统统运作的的稳定性性。完善的访访问控制制方正方御御防火墙墙符合国国家最新新防火墙墙安全标标准,采采用了三三级权限限机制,分分为
39、管理理员,策策略员和和审计员员。管理理员负责责防火墙墙的开关关及日常常维护,策策略员负负责配置置防火墙墙的包过过滤和入入侵检测测规则,审审计员负负责日志志的管理理和审计计中的授授权机制制。这样样他们共共同地负负责起一一个安全全的管理理平台。多种工作作模式方正方御御防火墙墙可以工工作在网网桥路由由两种模模式下,这这样可以以方便用用户使用用。使用用在网桥桥模式时时在IPP层透明明,使用用路由模模式时可可以作为为三个区区之间的的路由器器,同时时提供内内网到外外网、DDMZ到到外网的的网络地地址转换换。防御DOOS,DDDOSS攻击普通的防防火墙都都是采用用限制每每一网络络地址单单位时间间内通过过的S
40、YYN包数数量来抵抵御DDDOS攻攻击,但但是通常常网络攻攻击者都都会随机机的伪造造网络地地址,因因此这种种方法防防范的效效果非常常差,不不能从根根本上抵抵御DDDOS攻攻击。方方正方御御防火墙墙修改了了TCPP/IPP堆栈的的算法,使使得新的的synn连接包包可以正正常通过过,避免免了由于于大量的的攻击SSYN包包造成网网络的阻阻塞。状态检测测方正方御御防火墙墙可以根根据数据据包的地地址、协协议和端端口进行行访问控控制,同同时还对对任何网网络连接接和会话话的当前前状态进进行分析析和监控控。传统统的防火火墙的包包过滤只只是根据据规则表表进行匹匹配,而而方正方方御防火火墙对每每个连接接,作为为一
41、个数数据流,通通过规则则表与连连接表共共同配合合来对网网络状态态进行控控制。代理服务务用户可以以设置代代理服务务器端口口来启动动代理服服务器功功能,而而且通过过设置使使用代理理服务器器用户帐帐号密码码和访问问控制来来维护安安全性。代代理服务务的访问问控制非非常的完完善,可可以对时时间、协协议、方方法、地地址、DDNS域域、目的的端口和和URLL来进行行控制。用用户完全全可以通通过设置置一定的的条件来来符合自自己的要要求。双向网络络地址转转换系统支持持动态、静静态、双双向的NNAT。当当用户需需要从内内部IPP访问Innterrnett时,NAAT系统统会从IIP池里里取出一一个合法法的Innt
42、errnett IPP,为该该用户建建立映射射。如果果需要在在Inttrannet提提供让外外部访问问的服务务(如WWWW、FTPP等),NNAT系系统可以以为Intrraneet里的的服务器器建立静静态映射射,外部部用户可可以直接接访问该该服务器器。双向向网络地地址转换换为企业业用户连连接到IInteerneet提供供了良好好的网络络地址隐隐蔽,并并且能减减少IPP占用,替替用户节节省费用用。提供DMMZ区除了内部部网络界界面和外外部网络络界面,系系统还可可以再增增加一个个网络界界面,让让管理员员灵活应应用。如如建立DDMZ(军军事独立立区),在在其中放放置公共共应用服服务器。带宽管理理和流
43、量量统计方正方御御防火墙墙系统使使用流量量统计与与控制策策略,可可方便的的根据网网段和主主机等对对流量进进行统计计与控制制管理。用用户可以以通过设设置源地地址到目目的地址址单位在在时间内内允许通通过的流流量以及及协议和和端口来来进行带带宽控制制。日志审计计审计功能能是方正正方御防防火墙非非常强大大的一个个部分,目目前国内内防火墙墙的审计计功能都都非常不不完善,方方正方御御防火墙墙提供了了大量的的审计内内容和对对审计内内容的查查询功能能,由于于日志可可能对一一般用户户比较难难以理解解,而我我们将日日志记录录分成了了若干部部分,而而其中每每一部分分都可以以进行查查询和管管理,这这样用户户就能对对防
44、火墙墙的情况况有一个个非常透透彻的了了解。入侵检测测方正方御御防火墙墙入侵检检测系统统采用了了可扩展展的检测测库方法法,目前前可以抵抵御10000多多种攻击击方法,而而且可以以通过升升级检测测库的方方法来不不断的抵抵御新的的攻击方方法。用用户还可可以自定定义攻击击检测库库来符合合自己的的要求。自动报警警和防范范系统方正方御御防火墙墙一旦检检测到有有黑客进进行攻击击,会在在第一时时间内在在控制机机上进行行报警,而而且同时时会自动动封禁掉掉攻击者者的IPP地址,这这样可以以做到防防火墙的的防范完完全自动动化,而而不象普普通的防防火墙那那样需要要人工干干预。基于PKKI的授授权认证证方正方御御防火墙
45、墙的授权权认证是是基于PPKI基基础之上上,因此此完全性性极高。PKI是一种新的安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。快速安装装配置方正方御御防火墙墙的安装装和配置置非常方方便,管管理员只只要设定定好网络络设备的的IP地址址,然后后使用系系统提供供的一些些典型配配置模板板,适当当的修改改一些规规则来符符合要求求。除此此以外还还可以添添加系统统提供的的一些子子模板来来实现一一些特定定的功能能。图形管理理界面用户可以以通过图图形界面面对防火火墙进行行配置和和管理。而而且也可可以通过过图形界界面来管管理审计计内容,而而不象有有些防
46、火火墙是通通过命令令行方式式进行配配置。完全中国国化的设设计方正方御御防火墙墙是由方方正数码码自行设设计和制制作的,充充分考虑虑了中国国国情,除除了界面面、帮助助文档、使使用说明明完全中中文化外外,还加加入了一一些小型型模板用用户给管管理员配配置防火火墙。集中管理理方正方御御防火墙墙采用基基于Wiindoows GUII的用户户界面进进行远程程集中式式管理,配配置管理理界面直直观,易易于操作作。可以以通过一一个控制制机对多多台方正正方御防防火墙进进行集中中式的管管理。3.1.4. 方正方御御防火墙墙功能说说明3.1.4.1. 多种工作作模式方正方御御防火墙墙可以工工作在网网桥和路路由两种种模式
47、下下:A:网桥桥模式:3个端口口构成一一个以太太网交换换机,防防火墙本本身没有有IP地址址,在IIP层透透明。可可以将任任意三个个物理网网络连接接起来构构成一个个互通的的物理网网络。当当防火墙墙工作在在交换模模式时,内内网、DDMZ区区和路由由器的内内部端口口构成一一个统一一的交换换式物理理子网,内内网和DDMZ区区还可以以有自己己的第二二级路由由器,这这种模式式不需要要改变原原有的网网络拓扑扑结构和和各主机机和设备备的网络络设置。B:路由由模式:防火墙墙本身构构成3个网络络间的路路由器,3个界面分别具有不同的IP地址。三个网络中的主机通过该路由进行通信。当防火墙工作在路由模式时,可以作为三个区之间的路由器,同时提供内网到外网、DMZ到外网的网络地址转换,也就是说,内网和DMZ都可以使用保留地址,内网用户通过地址转换访问Internet,同时隔绝Internet对内网的访问,DMZ区通过反向地址转换对Internet提供服务。在没有安安装方正正方御防防火墙的的时候典典型网络络结构图图如下:在安装了了方正方方御防火火墙的时时候网络络结构图图如下:3.1.4.2. 包过滤防防火墙方正方御御防火墙墙包过滤滤的功能能是对指指定IPP包进行行包过滤滤,并且且按照设设定策略略对IPP包进行行统计和和日志记记录,主主要根据据IP包的的如下信信息进行行过滤:l 源IP
限制150内