石家庄电信分公司网络安全方案25319.docx

《石家庄电信分公司网络安全方案25319.docx》由会员分享，可在线阅读，更多相关《石家庄电信分公司网络安全方案25319.docx（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、石家庄电电信分公公司网络络安全方方案1. 背景介绍绍1.1. 项目总述述石家庄电电信分公公司网络络安全系系统主要要涉及计计费网络络、OAA网络和和客服网网络设计计和布局局。需要要在一些些对外接接口处放放置防火火墙系统统，以保保障数据据和信息息在网络络上传输输的安全全。1.2. 网络环境境总述石家庄电电信分公公司网络络安全系系统是非非涉密的的内部业业务工作作处理网网络，传传输、处处理、查查询工作作中非涉涉密的信信息。防防火墙系系统需要要集中在在数据中中心控制制机上面面进行管管理和审审计。1.3. 信息安全全方案的的组成1.3.1. 信息安全全产品的的选型原原则石家庄电电信分公公司网络络安全系系统

2、是一一个要求求高可靠靠性和安安全性的的网络系系统，若若干重要要的信息息在网络络传输过过程中不不可泄露露，如果果数据被被黑客修修改或者者删除，那那么就会会严重的的影响工工作。所所以石家家庄电信信分公司司网络安安全系统统安全产产品的选选型事关关重大，要要提到国国家战略略的高度度来衡量量，否则则一旦被被黑客或或者敌国国攻入，其其代价将将是不能能想象的的。石家庄电电信分公公司网络络安全系系统网络络安全系系统方案案必须遵遵循如下下原则： 全局性原原则：安安全威胁胁来自最最薄弱的的环节，必必须从全全局出发发规划安安全系统统。石家家庄电信信分公司司网络安安全系统统安全体体系，遵遵循中心心统一规规划，局局部实

3、施施的原则则。 综合性原原则：网网络安全全不单靠靠技术措措施，必必须结合合管理，当当前我国国发生的的网络安安全问题题中，管管理问题题占相当当大的比比例，在在各地方方建立网网络安全全设施体体系的同同时必须须建立相相应的制制度和管管理体系系。 均衡性原原则：安安全措施施的实施施必须以以根据安安全级别别和经费费限度统统一考虑虑。网络络中相同同安全级级别的保保密强度度要一致致。 节约性原原则：整整体方案案的设计计应该尽尽可能的的不改变变原来网网络的设设备和环环境，以以免资源源的浪费费和重复复投资。 集中性原原则：所所有的防防火墙产产品要求求在数据据中心可可以进行行集中管管理，这这样才能能保证在在数据中

4、中心的服服务器上上可以掌掌握全局局。 角色化原原则：防防火墙产产品在管管理上面面不仅在在数据中中心可以以完全控控制外，在在地方还还需要分分配适当当的角色色使地方方可以在在自己的的权利下下修改和和查看防防火墙策策略和审审计。目前，很很多公开开的新闻闻表明美美国国家家安全局局（NSSA）有有可能在在许多美美国大软软件公司司的产品品中安装装“后门”，其中中包括一一些应用用广泛的的操作系系统。为为此德国国军方前前些时候候甚至规规定在所所有牵涉涉到机密密的计算算机里，不不得使用用美国的的操作系系统。作作为信息息安全的的保障，我我们在安安全产品品选型时时强烈建建议使用用国内自自主开发发的优秀秀的网络络安全

5、产产品，将将安全风风险降至至最低。在为各安安全产品品选型时时，我们们立足国国内，同同时保证证所选产产品的先先进性及及可靠性性，并要要求通过过国家各各主要安安全测评评认证。1.3.2. 网络安全全现状Inteerneet正在在越来越越多地融融入到社社会的各各个方面面。一方方面，随随着网络络用户成成分越来来越多样样化，出出于各种种目的的的网络入入侵和攻攻击越来来越频繁繁；另一一方面，随随着Innterrnett和以电电子商务务为代表表的网络络应用的的日益发发展，IInteerneet越来来越深地地渗透到到各行各各业的关关键要害害领域。Internet的安全包括其上的信息数据安全，日益成为与政府、军

6、队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言，如果网络安全问题不能得到妥善的解决，将会对国家安全带来严重的威胁。20000年二月月，在三三天的时时间里，黑黑客使美美国数家家顶级互互联网站站Yaahooo!、Amaazonn、eBBay、CNN陷入瘫痪，造成了十几亿美元的损失，令美国上下如临大敌。黑客使用了DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的时间里，又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。国内网站站也未能能幸免于于难，新新浪、当当当书店店、ECC1233等知名名网站也也先后受受到黑

7、客客攻击。国国内第一一家大型型网上连连锁商城城IT1163网网站3月6日开始始运营，然然而仅四四天，该该商城突突遭网上上黑客袭袭击，界界面文件件全部被被删除，各各种数据据库遭到到不同程程度的破破坏，致致使网站站无法运运作。客观地说说，没有有任何一一个网络络能够免免受安全全的困扰扰，依据据Finnancciall Tiimess曾做过过的统计计，平均均每200秒钟就就有一个个网络遭遭到入侵侵。仅在在美国，每每年由于于网络安安全问题题造成的的经济损损失就超超过1000亿美美元。1.3.3. 典型的黑黑客攻击击黑客们进进行网络络攻击的的目的各各种各样样，有的的是出于于政治目目的，有有的是员员工内部部

8、破坏，还还有的是是出于好好奇或者者满足自自己的虚虚荣心。随随着Innterrnett的高速速发展，也也出现了了有明确确军事目目的的军军方黑客客组织。在典型的的网络攻攻击中，黑黑客一般般会采取取如下的的步骤：自我隐藏藏，黑客客使用通通过rssh或ttelnnet在在以前攻攻克的主主机上跳跳转、通通过错误误配置的的prooxy主主机跳转转等各种种技术来来隐藏他他们的IIP地址址，更高高级一点点的黑客客，精通通利用电电话交换换侵入主主机。网络侦探探和信息息收集，在在利用IInteerneet开始始对目标标网络进进行攻击击前，典典型的黑黑客将会会对网络络的外部部主机进进行一些些初步的的探测。黑黑客通常

9、常在查找找其他弱弱点之前前首先试试图收集集网络结结构本身身的信息息。通过过查看上上面查询询来的结结果列表表，通常常很容易易建立一一个主机机列表并并且开始始了解主主机之间间的联系系。黑客客在这个个阶段使使用一些些简单的的命令来来获得外外部和内内部主机机的名称称：例如如，使用用nsllookkup来来执行 “ls ”， ffingger外外部主机机上的用用户等。确认信任任的网络络组成，一一般而言言，网络络中的主主控主机机都会受受到良好好的安全全保护，黑黑客对这这些主机机的入侵侵是通过过网络中中的主控控主机的的信任成成分来开开始攻击击的，一一个网络络信任成成员往往往是主控控主机或或者被认认为是安安全

10、的主主机。黑黑客通常常通过检检查运行行nfssd或mmounntd的的那些主主机输出出的NFFS开始始入侵，有有时候一一些重要要目录（例例如/eetc，/homme）能能被一个个信任主主机moountt。确认网络络组成的的弱点，如如果一个个黑客能能建立你你的外部部和内部部主机列列表，他他就可以以用扫描描程序（如如ADMMhacck, msccan, nmmap等等）来扫扫描一些些特定的的远程弱弱点。启启动扫描描程序的的主机系系统管理理员通常常都不知知道一个个扫描器器已经在在他的主主机上运运行，因因为ps和nettstaat都被特特洛伊化化来隐藏藏扫描程程序。在在对外部部主机扫扫描之后后，黑客客

11、就会对对主机是是否易受受攻击或或安全有有一个正正确的判判断。有效利用用网络组组成的弱弱点，当当黑客确确认了一一些被信信任的外外部主机机，并且且同时确确认了一一些在外外部主机机上的弱弱点，他他们就要要尝试攻攻克主机机了。黑黑客将攻攻击一个个被信任任的外部部主机，用用它作为为发动攻攻击内部部网络的的据点。要要攻击大大多数的的网络组组成，黑黑客就要要使用程程序来远远程攻击击在外部部主机上上运行的的易受攻攻击服务务程序，这这样的例例子包括括易受攻攻击的SSenddmaiil,IIMAPP,POOP3和和诸如sstattd,mmounntd, pccnfssd 等等RPCC服务。获得对有有弱点的的网络组

12、组成的访访问权，在在攻克了了一个服服务程序序后，黑黑客就要要开始清清除他在在记录文文件中所所留下的的痕迹，然然后留下下作后门门的二进进制文件件，使其其以后可可以不被被发觉地地访问该该主机。目前，黑黑客的主主要攻击击方式有有：欺骗：通通过伪造造IP地地址或者者盗用用用户帐号号等方法法来获得得对系统统的非授授权使用用，例如如盗用拨拨号帐号号。窃听：利利用以太太网广播播的特性性，使用用监听程程序来截截获通过过网络的的数据包包，对信信息进行行过滤和和分析后后得到有有用的信信息，例例如使用用sniiffeer程序序窃听用用户密码码。数据窃取取：在信信息的共共享和传传递过程程中，对对信息进进行非法法的复制

13、制，例如如，非法法拷贝网网站数据据库内重重要的商商业信息息，盗取取网站用用户的个个人信息息等。数据篡改改：在信信息的共共享和传传递过程程中，对对信息进进行非法法的修改改，例如如，删除除系统内内的重要要文件，破破坏网站站数据库库等。拒绝服务务：使用用大量无无意义的的服务请请求来占占用系统统的网络络带宽、CCPU处处理能力力和IOO能力，造造成系统统瘫痪，无无法对外外提供服服务。典典型的例例子就是是20000年年年初黑客客对Yaahooo等大型型网站的的攻击。黑客的攻攻击往往往造成重重要数据据丢失、敏敏感信息息被窃取取、主机机资源被被利用和和网络瘫瘫痪等严严重后果果，如果果是对军军用和政政府网络络

14、的攻击击，还会会对国家家安全造造成严重重威胁。1.3.4. 网络与信信息安全全平台的的任务网络与信信息安全全平台的的任务就就是创建建一个完完善的安安全防护护体系，对对所有非非法网络络行为，如如越权访访问、病病毒传播播、恶意意破坏等等等，事事前预防防、事中中报警并并阻止，事事后能有有效的将将系统恢恢复。在上文对对黑客行行为的描描述中，我我们可以以看出，网网络上任任何一个个安全漏漏洞都会会给黑客客以可乘乘之机。著著名的木木桶原理理（木桶桶的容量量由其最最短的木木板决定定）在网网络安全全里尤其其适用。所所以，我我们的方方案必须须是一个个完整的的网络安安全解决决方案，对对网络安安全的每每一个环环节，都

15、都要有仔仔细的考考虑。1.3.5. 网络安全全解决方方案的组组成针对前文文对黑客客入侵的的过程的的描述，为为了更为为有效的的保证网网络安全全，方正正数码提提出了两两个理念念：立体体安全防防护体系系和安全服服务支持持。首先先网络的的安全决决不仅仅仅是一个个防火墙墙，它应应是包括括入侵测测检（IIDS）、虚虚拟专用用网（VVPN）等等功能在在内的立立体的安安全防护护体系；其次真真正的网网络安全全一定要要配备完完善的高高质量的的安全维维护服务务，以使使安全产产品充分分发挥出出其真正正的安全全效力。一个好的的网络安安全解决决方案应应该由如如下几个个部分组组成：l 防火墙：对网络络攻击的的阻隔防火墙是是

16、保证网网络安全全的重要要屏障。防防火墙根根据网络络流的来来源和访访问的目目标，对对网络流流进行限限制，允允许合法法网络流流，并禁禁止非法法网络流流。防火火墙最大大的意义义在网络络边界处处提供统统一的安安全策略略，有效效的将复复杂的网网络安全全问题简简化，大大大降低低管理成成本和潜潜在风险险。在应应用防火火墙技术术时，正正确的划划分网络络边界和和制定完完善的安安全策略略是至关关重要的的。发展到今今天，好好的防火火墙往往往集成了了其他一一些安全全功能。比比如方正正方御防防火墙在在很好的的实现了了防火墙墙功能的的同时，也也实现了了下面所所说的入入侵检测测功能；l 入侵检测测（IDDS）：对攻击击试探

17、的的预警当黑客试试探攻击击时，大大多采用用一些已已知的攻攻击方法法来试探探。网络络安全漏漏洞扫描描器是“先敌发发现”，未雨雨绸缪。而而从另外外一个角角度考虑虑问题，“实时监测”，发现黑客攻击的企图，对于网络安全来说也是非常有意义的。甚至由此派生出了P2DR理论。入侵检测测系统通通过扫描描网络流流里的特特征字段段（网络络入侵检检测），或或者探测测系统的的异常行行为（主主机入侵侵检测），来来发觉这这类攻击击的存在在。一旦旦被发现现，则报报警并作作出相应应处理，同同时可以以根据预预定的措措施自动动反应，比比如暂时时封掉发发起该扫扫描的IIP。需要注意意的是，入入侵检测测系统目目前不能能，以后后也很难

18、难，精确确的发现现黑客的的攻击痕痕迹。事事实上，黑黑客可以以将一些些广为人人知的网网络攻击击进行一一些较为为复杂的的变形，就就能做到到没有入入侵检测测系统能能够识别别出来。所所以，在在应用入入侵检测测系统时时，千万万不要因因为有了了入侵检检测系统统，就不不对系统统中的安安全隐患患进行及及时补救救。l 安全审计计管理安全审计计系统必必须实时时监测网网络上和和用户系系统中发发生的各各类与安安全有关关的事件件，如网网络入侵侵、内部部资料窃窃取、泄泄密行为为、破坏坏行为、违违规使用用等，将将这些情情况真实实记录，并并能对于于严重的的违规行行为进行行阻断。安安全审计计系统所所做的记记录如同同飞机上上的黑

19、匣匣子，在在发生网网络犯罪罪案件时时能够提提供宝贵贵的侦破破和取证证辅助数数据，并并具有防防销毁和和篡改的的特性。安全审计计跟踪机机制的内内容是在在安全审审计跟踪踪中记录录有关安安全的信信息，而而安全审审计管理理的内容容是分析析和报告告从安全全审计跟跟踪中得得来的信信息。安安全审计计跟踪将将考虑要要选择记记录什么么信息以以及在什什么条件件下记录录信息。收集审计计跟踪的的信息，通通过列举举被记录录的安全全事件的的类别（例例如对安安全要求求的明显显违反或或成功操操作的完完成），能能适应各各种不同同的需要要。已知知安全审审计的存存在可对对某些潜潜在的侵侵犯安全全的攻击击源起到到威摄作作用。l 防病毒

20、以以及特洛洛伊木马马计算机病病毒的危危害不言言而喻，计计算机病病毒发展展到今天天，已经经和特洛洛伊木马马结合起起来，成成为黑客客的又一一利器。微微软的原原码失窃窃案，据据信，就就是一黑黑客使用用特洛伊伊木马所所为。l 安全策略略的实施施保证网络安全全知识的的普及，网网络安全全策略的的严格执执行，是是网络安安全最重重要的保保障。此外，信信息备份份是信息息安全的的最起码码的要求求。能减减少恶意意网络攻攻击或者者意外灾灾害带来来的破坏坏性损失失。1.3.6. 超高安全全要求下下的网络络保护1.3.6.1. 认证与授授权认证与授授权是一一切网络络安全的的根基所所在，尤尤其在网网络安全全管理、外外部网络

21、络访问内内部网络络（包括括拨号）时时，要有有非常严严格的认认证与授授权机制制，防止止黑客假假冒身份份渗透进进内部网网络。对于内部部访问，也也要有完完善的网网络行为为审计记记录和权权限限定定，防止止由内部部人员发发起的攻攻击70%以上的的攻击都都是内部部人员发发起的。我们建议议石家庄庄电信分分公司网网络安全全系统利利用基于于X.5509证证书的认认证体系系（目前前最强的的认证体体系）来来进行认认证。方正方御御防火墙墙管理也也是用XX.5009证书书进行认认证的。1.3.6.2. 网络隔离离网络安全全界的一一个玩笑笑就是：要想安安全，就就不要插插上网线线。这是是一个简简单的原原理：如如果网络络是隔

22、离离开的，那那么网络络攻击就就失去了了其存在在的介质质，皮之之不存，毛毛将焉附附。但对于需需要和外外界沟通通的实际际应用系系统来说说，完全全的物理理隔离是是行不通通的。方正数码码提出了了安全数数据通道道网络隔隔离解决决方案，在在网络连连通条件件下，通通过破坏坏网络攻攻击得以以进行的的另外两两个重要要条件： 从外部网网络向内内部网络络发起连连接 将可执行行指令传传送到内内部网络络从而确保保石家庄庄电信分分公司网网络安全全系统的的安全。1.3.6.3. 实施保证证石家庄电电信分公公司网络络安全系系统牵涉涉网点众众多，网网络结构构复杂。要要保护这这样一个个繁杂的的网络系系统的网网络安全全，必须须有完

23、善善的管理理保证。安安全系统统要能够够提供统统一的集集中的灵灵活的管管理机制制，一方方面要能能让石家家庄电信信分公司司网络安安全系统统网控中中心的网网管人员员监控整整体网络络安全状状况，另另外一方方面，要要能让地地方网管管人员灵灵活处理理具体事事务。方正方御御防火墙墙采用基基于Wiindoows GUII的用户户界面进进行远程程集中式式管理，配配置管理理界面直直观，易易于操作作。可以以通过一一个控制制机对多多台方正正方御防防火墙进进行集中中式的管管理。方正方御御防火墙墙符合国国家最新新防火墙墙安全标标准，采采用了三三级权限限机制，分分为管理理员，策策略员和和审计员员。管理理员负责责防火墙墙的开

24、关关及日常常维护，策策略员负负责配置置防火墙墙的包过过滤和入入侵检测测规则，审审计员负负责日志志的管理理和审计计中的授授权机制制，这样样他们共共同地负负责起一一个安全全的管理理平台。事事实上，方方御防火火墙是通通过该标标准认证证的第一一个包过过滤防火火墙。另外，方方正方御御防火墙墙还提供供了原标标准中没没有强制制执行的的实施域域分组授授权机制制，尤其其适合于于石家庄庄电信分分公司网网络安全全系统这这样的网网络。2. 安全架构构分析与与设计2.1. 网络结构构部分一一网络结构构如下图图所示：网络结构构部分一一这部分网网络主要要目的防防护内部部的小型型机网络络和财务务服务器器，详细细分析如如下：1

25、. 在两台550000上面通通过交换换技术放放置防火火墙，可可以保证证了内部部计费服服务器系系统的网网络安全全。考虑虑以后的的扩展性性，建议议使用方方御专业业级防火火墙。2. 财务服务务器和550000连接，因因此其中中放置一一台防火火墙，可可以保障障合法的的访问，由由于这种种情况可可以使用用方御桥桥式防火火墙。3. 由于拨号号服务器器上面配配置了认认证模块块，因此此为了保保障二级级访问的的可靠性性，可以以以后考考虑在认认证后面面放置防防火墙。2.2. 网络结构构部分二二这部分主主要防护护OA系系统和客客服系统统，网络络结构图图如下所所示：网络结构构示意图图二防火墙在在中心三三层交换换机前面面

26、进行放放置，可可以有效效的包含含后面所所以的服服务器，包包括应用用服务器器、OAA服务器器、数据据库服务务器、CCTI/CCSS/IVVR服务务器、短短信息服服务器和和语音/传真服服务器。2.3. 集中管理理和分级级管理由于石家家庄电信信分公司司网络安安全系统统涉及的的网络安安全设备备繁多，因因此在管管理上面面需要既既能集中中管理，又又可以在在本地进进行审计计管理，日日志查询询等操作作。而用用户的权权限机制制分配必必须通过过网络管管理中心心统一分分配和管管理。需要集中中管理的的网络设设备包括括防火墙墙设备。在在石家庄庄电信分分公司网网络安全全系统网网络管理理中心需需要对各各地方的的网络安安全设

27、备备进行集集中管理理。分析石家家庄电信信分公司司网络安安全系统统的特点点和需求求，方正正方御防防火墙的的集中管管理功能能和权限限管理机机制完全全可以满满足这些些需求。方正方御御防火墙墙采用基基于Wiindoows GUII的用户户界面进进行远程程集中式式管理，配配置管理理界面直直观，易易于操作作。可以以通过一一个控制制机对多多台方正正方御防防火墙进进行集中中式的管管理。方正方御御防火墙墙采用了了三级权权限机制制，分为为管理员员，策略略员和审审计员。管管理员负负责防火火墙的开开关及日日常维护护，策略略员负责责配置防防火墙的的包过滤滤和入侵侵检测规规则，审审计员负负责日志志的管理理和审计计中的授授

28、权机制制。这样样他们共共同的负负责起一一个安全全的管理理平台。石家庄电电信分公公司网络络安全系系统的集集中管理理图如下下所示：防火墙集集中管理理示意图图3. 产品选型型3.1. 防火墙与与入侵检检测的选选型我们采用用方正最最新型方方正方御御防火墙墙。方正正方御防防火墙是是一个很很优秀的的防火墙墙，同时时它集成成强大的的入侵检检测功能能。方正正方御防防火墙是是国内第第一个通通过公安安部公共共信息网网络安全全监督局局新防火火墙认证证标准的的包过滤滤级防火火墙产品品，同时时通过了了中国人人民解放放军安全全测评认认证中心心和中国国国家信信息安全全测评认认证中心心的严格格认证。3.1.1. 方正数码码公

29、司简简介作为方正正集团互互联网战战略的实实施者，方方正数码码将自身身定位于于电子商商务的“赋能者者”，其业业务涉及及互联网网与电子子商务的的技术研研究应用用与系统统集成、网网络市场场营销服服务、空空间信息息应用、无无线互联联以及电电子商务务的咨询询服务等等方向，以以帮助政政府、行行业、企企业、网网站、电电子商务务的运营营者在互互联网时时代健康康成功的的发展为为己任。要给电子子商务运运营者赋赋能，先先要给安安全赋能能。方正正数码首首先推出出的就是是方正方方御互联联网安全全解决方方案。方方正方御御是在经经过一年年多的大大量投入入和深入入的研究究后，提提出的一一套基于于中国国国情、全全部自主主开发、

30、具具有领先先优势的的解决方方案。它它是一套套整体的的集群平平台，可可以解决决互联网网运营商商最为关关切的安安全性、高高可靠性性、可扩扩展性和和易于远远程管理理的问题题。目前前这套方方案已经经得到国国家有关关部门的的大力支支持，被被国家经经贸委列列为国家家创新计计划项目目之一。另另外，还还得到了了国家”8863”计划的支持。在立身自自主开发发外，方方正数码码还与众众多国际际知名的的安全公公司保持持着良好好的合作作关系，并并集成了了国内外外最优秀秀的公司司安全产产品，为为国内IInteerneet的安安全建设设保驾护护航。3.1.2. 产品概述述方御防火火墙是方方正方御御中的主主要安全全产品之之一

31、。由由于防火火墙技术术的针对对性很强强，它已已成为实实现网络络安全的的重要保保障之一一。方御御防火墙墙是通过过对国外外防火墙墙产品的的综合分分析，针针对我们们国家的的具体应应用环境境，结合合国内外外防火墙墙领域里里的最新新发展，在在面向IIDC和和中小企企业的FFireeBriidgee防火墙墙的基础础上，提提出的一一种具有有强大的的信息分分析功能能、高效效包过滤滤功能、多多种反电电子欺骗骗手段、多多种安全全措施综综合运用用的安全全可靠的的专用防防火墙系系统。方正方御御防火墙墙不仅仅仅是一个个包过滤滤的防火火墙，而而且包括括了大量量的实用用模块，可可以为用用户提供供多方面面的服务务。方御防火火

32、墙保护护如下模模块：3.1.3. 系统特点点一体化的的硬件设设计方正方御御防火墙墙采用了了一体化化的硬件件设计，采采用了自自己的操操作系统统，无需需其他操操作系统统的支持持，这样样能够发发挥硬件件的最大大性能，同同时也提提高了系系统的安安全性。双机热备备份通过双机机热备份份，本系系统提供供可靠的的容错/热待机机功能。备备份防火火墙服务务器中存存有主防防火墙服服务器的的设置镜镜像，当当主防火火墙因为为某些原原因不能能正常运运作，备备份服务务器可以以在122秒钟内内取代主主服务器器运作，充充分保证证整个网网络系统统运作的的稳定性性。完善的访访问控制制方正方御御防火墙墙符合国国家最新新防火墙墙安全标

33、标准，采采用了三三级权限限机制，分分为管理理员，策策略员和和审计员员。管理理员负责责防火墙墙的开关关及日常常维护，策策略员负负责配置置防火墙墙的包过过滤和入入侵检测测规则，审审计员负负责日志志的管理理和审计计中的授授权机制制。这样样他们共共同地负负责起一一个安全全的管理理平台。多种工作作模式方正方御御防火墙墙可以工工作在网网桥路由由两种模模式下，这这样可以以方便用用户使用用。使用用在网桥桥模式时时在IPP层透明明，使用用路由模模式时可可以作为为三个区区之间的的路由器器，同时时提供内内网到外外网、DDMZ到到外网的的网络地地址转换换。防御DOOS，DDDOSS攻击普通的防防火墙都都是采用用限制每

34、每一网络络地址单单位时间间内通过过的SYYN包数数量来抵抵御DDDOS攻攻击，但但是通常常网络攻攻击者都都会随机机的伪造造网络地地址，因因此这种种方法防防范的效效果非常常差，不不能从根根本上抵抵御DDDOS攻攻击。方方正方御御防火墙墙修改了了TCPP/IPP堆栈的的算法，使使得新的的synn连接包包可以正正常通过过，避免免了由于于大量的的攻击SSYN包包造成网网络的阻阻塞。状态检测测方正方御御防火墙墙可以根根据数据据包的地地址、协协议和端端口进行行访问控控制，同同时还对对任何网网络连接接和会话话的当前前状态进进行分析析和监控控。传统统的防火火墙的包包过滤只只是根据据规则表表进行匹匹配，而而方正

35、方方御防火火墙对每每个连接接，作为为一个数数据流，通通过规则则表与连连接表共共同配合合来对网网络状态态进行控控制。代理服务务用户可以以设置代代理服务务器端口口来启动动代理服服务器功功能，而而且通过过设置使使用代理理服务器器用户帐帐号密码码和访问问控制来来维护安安全性。代代理服务务的访问问控制非非常的完完善，可可以对时时间、协协议、方方法、地地址、DDNS域域、目的的端口和和URLL来进行行控制。用用户完全全可以通通过设置置一定的的条件来来符合自自己的要要求。双向网络络地址转转换系统支持持动态、静静态、双双向的NNAT。当当用户需需要从内内部IPP访问Innterrnett时，NAAT系统统会从

36、IIP池里里取出一一个合法法的Innterrnett IPP，为该该用户建建立映射射。如果果需要在在Inttrannet提提供让外外部访问问的服务务（如WWWW、FTPP等），NNAT系系统可以以为Inntraanett里的服服务器建建立静态态映射，外外部用户户可以直直接访问问该服务务器。双双向网络络地址转转换为企企业用户户连接到到Intternnet提提供了良良好的网网络地址址隐蔽，并并且能减减少IPP占用，替替用户节节省费用用。提供DMMZ区除了内部部网络界界面和外外部网络络界面，系系统还可可以再增增加一个个网络界界面，让让管理员员灵活应应用。如如建立DDMZ（军军事独立立区），在在其中放

37、放置公共共应用服服务器。带宽管理理和流量量统计方正方御御防火墙墙系统使使用流量量统计与与控制策策略，可可方便的的根据网网段和主主机等对对流量进进行统计计与控制制管理。用用户可以以通过设设置源地地址到目目的地址址单位在在时间内内允许通通过的流流量以及及协议和和端口来来进行带带宽控制制。日志审计计审计功能能是方正正方御防防火墙非非常强大大的一个个部分，目目前国内内防火墙墙的审计计功能都都非常不不完善，方方正方御御防火墙墙提供了了大量的的审计内内容和对对审计内内容的查查询功能能，由于于日志可可能对一一般用户户比较难难以理解解，而我我们将日日志记录录分成了了若干部部分，而而其中每每一部分分都可以以进行

38、查查询和管管理，这这样用户户就能对对防火墙墙的情况况有一个个非常透透彻的了了解。入侵检测测方正方御御防火墙墙入侵检检测系统统采用了了可扩展展的检测测库方法法，目前前可以抵抵御10000多多种攻击击方法，而而且可以以通过升升级检测测库的方方法来不不断的抵抵御新的的攻击方方法。用用户还可可以自定定义攻击击检测库库来符合合自己的的要求。自动报警警和防范范系统方正方御御防火墙墙一旦检检测到有有黑客进进行攻击击，会在在第一时时间内在在控制机机上进行行报警，而而且同时时会自动动封禁掉掉攻击者者的IPP地址，这这样可以以做到防防火墙的的防范完完全自动动化，而而不象普普通的防防火墙那那样需要要人工干干预。基于

39、PKKI的授授权认证证方正方御御防火墙墙的授权权认证是是基于PPKI基基础之上上，因此此完全性性极高。PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。快速安装装配置方正方御御防火墙墙的安装装和配置置非常方方便，管管理员只只要设定定好网络络设备的的IP地址址，然后后使用系系统提供供的一些些典型配配置模板板，适当当的修改改一些规规则来符符合要求求。除此此以外还还可以添添加系统统提供的的一些子子模板来来实现一一些特定定的功能能。图形管理理界面用户可以以通过图图形界面面对防火火墙进行行配置和和管理。而而且也可可以通过过图形界界

40、面来管管理审计计内容，而而不象有有些防火火墙是通通过命令令行方式式进行配配置。完全中国国化的设设计方正方御御防火墙墙是由方方正数码码自行设设计和制制作的，充充分考虑虑了中国国国情，除除了界面面、帮助助文档、使使用说明明完全中中文化外外，还加加入了一一些小型型模板用用户给管管理员配配置防火火墙。集中管理理方正方御御防火墙墙采用基基于Wiindoows GUII的用户户界面进进行远程程集中式式管理，配配置管理理界面直直观，易易于操作作。可以以通过一一个控制制机对多多台方正正方御防防火墙进进行集中中式的管管理。3.1.4. 方正方御御防火墙墙功能说说明3.1.4.1. 多种工作作模式方正方御御防火墙

41、墙可以工工作在网网桥和路路由两种种模式下下：A：网桥桥模式：3个端口口构成一一个以太太网交换换机，防防火墙本本身没有有IP地址址，在IIP层透透明。可可以将任任意三个个物理网网络连接接起来构构成一个个互通的的物理网网络。当当防火墙墙工作在在交换模模式时，内内网、DDMZ区区和路由由器的内内部端口口构成一一个统一一的交换换式物理理子网，内内网和DDMZ区区还可以以有自己己的第二二级路由由器，这这种模式式不需要要改变原原有的网网络拓扑扑结构和和各主机机和设备备的网络络设置。B：路由由模式：防火墙墙本身构构成3个网络络间的路路由器，3个界面分别具有不同的IP地址。三个网络中的主机通过该路由进行通信。

42、当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都可以使用保留地址，内网用户通过地址转换访问Internet，同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。在没有安安装方正正方御防防火墙的的时候典典型网络络结构图图如下:在安装了了方正方方御防火火墙的时时候网络络结构图图如下:3.1.4.2. 包过滤防防火墙方正方御御防火墙墙包过滤滤的功能能是对指指定IPP包进行行包过滤滤，并且且按照设设定策略略对IPP包进行行统计和和日志记记录，主主要根据据IP包的的如下信信息进行行过滤：l

43、 源IP地地址l 目的IPP地址l 协议类型型（IPP、ICMMP、TCPP、UDPP）l 源TCPP/UDDP端口口l 目的TCCP/UUDP端端口l ICMPP报文类类型域和和代码域域l 碎片包l 其它标志志位，如如SYNN，ACCK位3.1.4.2.1. 高效的过过滤有些防火火墙在安安装上以以后对WWEB服服务器的的吞吐能能力影响响很大，造造成性能能的降低低。由于于方正方方御防火火墙采用用了3II（Inntellliggentt IPP Iddenttifyyingg）技术术，能够够实现快快速匹配配。因此此方正方方御防火火墙不会会对性能能造成任任何影响响。方正方御御防火墙墙优化了了算法，

44、使使最大并并发连接接数可以以达到3300,0000个以上上，而一一般的防防火墙的的最大并并发连接接只可以以达到几几万个左左右。3.1.4.2.2. 碎片处理理功能由于很多多系统平平台，包包括一些些路由器器对IPP碎片的的处理存存在问题题，容易易产生欺欺骗和拒拒绝服务务等攻击击，方正正方御防防火墙能能够识别别出IPP碎片并并且进行行控制，这这样一来来通过禁禁止IPP碎片通通过方正正方御防防火墙，防防止了这这样的问问题的产产生。3.1.4.2.3. 防SYNN Flloodd攻击一些TCCP/IIP栈的的实现只只能等待待从有限限数量的的计算机机发来的的ACKK消息，因因为他们们只有有有限的内内存缓

45、冲冲区用于于创建连连接，如如果这一一缓冲区区充满了了虚假连连接的初初始信息息，该服服务器就就会对接接下来的的连接停停止响应应，直到到缓冲区区里的连连接企图图超时。典典型的就就是Syyn FFloood攻击击,通过过大量的的虚假的的Synn包使服服务器速速度变慢慢，甚至至是死机机。一般般的防火火墙是通通过限制制每秒钟钟通过的的Synn包数量量来组织织Synn Flloodd攻击，这这种方法法可以在在一定意意义上阻阻止Syyn FFloood攻击击，但是是也有可可能将正正常的SSyn包包忽略掉掉，因此此不是一一种非常常好的方方法。1：没有安装方御防火墙2：安装方御防火墙方正方御御防火墙墙使用了了两

46、种方方式来反反Synn Flloodd攻击，一一种方法法就是通通过设置置单位时时间内的的SYNN包数量量来控制制，另外外一种方方法修改改了TCCP/IIP堆栈栈的算法法，使得得新Syyn包始始终可以以获得连连接位。避避免了由由于大量量的攻击击SYNN包造成成网络的的阻塞。3.1.4.2.4. 强大的状状态检测测功能方正方御御防火墙墙可以根根据数据据包的地地址、协协议和端端口进行行访问控控制，同同时还对对任何网网络连接接和会话话的当前前状态进进行分析析和监控控。传统统的防火火墙的包包过滤只只是与规规则表进进行匹配配，而方方正方御御防火墙墙对每个个连接，作作为一个个数据流流，通过过规则表表与连接接

47、表共同同配合，在在继承了了传统包包过滤系系统对应应用透明明的特性性外，还还极大地地提高了了系统的的性能和和安全性性。其他的防防火墙大大多采用用传统的的规则表表的匹配配方法，随随着安全全规则的的增加，势势必会使使防火墙墙的性能能大幅度度的减少少，造成成网络拥拥塞。3.1.4.3. IDS(入侵检检测系统统)3.1.4.3.1. 反端口扫扫描一般黑客客如果要要对一个个网站发发动攻击击，首先先都要扫扫描目标标服务器器的端口口，确定定服务器器上开启启的服务务，然后后做出相相应的入入侵方式式。方正正方御防防火墙入入侵检测测系统能能够在黑黑客扫描描网站的的时候就就能检测测到并报报警，这这样就能能提前将将黑

48、客拒拒之于门门外。方方正方御御防火墙墙入侵检检测系统统在检测测到有黑黑客扫描描服务器器端口的的时候会会立即在在攻击者者的视野野中消失失，从而而使黑客客无法进进行后面面的攻击击。方正正方御防防火墙入入侵检测测系统根根据配置置文件监监控任何何和TCCP、UDPP端口的的连接。可以对全部端口同时进行监控，同时也可以忽略指定的端口。这样就能满足不同的需求方式。3.1.4.3.2. 可以防范范10000余种种攻击方方式1. 检测多种种DoSS攻击2. 检测多种种DDooS攻击击3. 检测保护护子网中中是否存存在后门门和木马马程序4. 检测多种种针对FFingger服服务的攻攻击5. 检测多种种针对FFTP服服务的攻攻击6. 检测基于于NettBIOOS的攻攻击7. 检测缓冲冲区溢出出类型攻攻击8. 检测基于于RPCC的攻击击9. 检测基于于SMTTP的攻攻击10. 检测基于于Tellnett的攻击击11. 检测