防火墻分系統(tǒng)安全方案

1、如有幫助，歡迎下載支持第一章防火墻分系統(tǒng)安全方案設(shè)計(jì)目標(biāo)將Internet與蚌埠廣播電視臺(tái)內(nèi)部網(wǎng)隔離開(kāi)來(lái)，拒絕非法訪問(wèn)，惡意攻 擊，真正保護(hù)網(wǎng)絡(luò)邊界的安全。將各蚌埠廣播電視臺(tái)的內(nèi)部網(wǎng)進(jìn)行隔離，限制用戶非法訪問(wèn)，避免受到 惡意攻擊非法訪問(wèn)、非法連接。保護(hù)蚌埠廣播電視臺(tái)的信息發(fā)布系統(tǒng)，抵御來(lái)自于公網(wǎng)上的攻擊，保護(hù) 網(wǎng)絡(luò)資源安全。功能要求蚌埠廣播電視臺(tái)對(duì)防火墻的功能要求如下：.專有的硬件平臺(tái)，專有的操作系統(tǒng)。.與原有的防火墻、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備功能兼容并有效整合。.網(wǎng)絡(luò)特性：應(yīng)支持至少兩個(gè)端口的LAN接口數(shù)，能有效的保護(hù)以太網(wǎng)、 快速以太網(wǎng)。.應(yīng)支持路由接入、透明接入，如還有其他的接入方式請(qǐng)另

2、外說(shuō)明。.訪問(wèn)控制：千兆級(jí)別的基于狀態(tài)的包過(guò)濾功能，支持動(dòng)態(tài)、靜態(tài)、雙向 的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。.防御功能：可防TCP、UDP等端口掃描、防源路由攻擊、IP碎片包攻擊、 DNS/RIP/ICMP 攻擊、SYN 攻擊、DOS/DDOS 攻擊、可阻止 ActiveX Java Javascript入侵；同時(shí)提供時(shí)間監(jiān)控和告警功能。.能力特性：具備流量控制和統(tǒng)計(jì)。.具備應(yīng)用級(jí)透明代理功能，支持對(duì) HTTP、SMTP、POP3 NNTP等高層 應(yīng)用協(xié)議的代理；支持對(duì)URL的過(guò)濾、對(duì) WEB頁(yè)面中的Java VBscript、 Javascript組件過(guò)濾。.具備完善的日志功能，支持向日志服務(wù)器導(dǎo)出

3、日志，應(yīng)具備日志冗余功如有幫助，歡迎下載支持能。.管理功能： 支持本地管理、遠(yuǎn)程管理和集中管理；支持 SNMP監(jiān)視和 配置，其中遠(yuǎn)程管理應(yīng)該能很好的安全保護(hù)。.支持容錯(cuò)技術(shù)，如雙機(jī)熱備、故障恢復(fù)、雙電源備份等。.提供對(duì)WWW站點(diǎn)的保護(hù)功能。.能夠與第三方安全產(chǎn)品進(jìn)行很好的聯(lián)動(dòng)，尤其是與 IDS產(chǎn)品的聯(lián)動(dòng)。.支持帶寬管理（QoS）。.能很好的防止IP欺騙功能。.認(rèn)證類型：應(yīng)具有一個(gè)或多個(gè)認(rèn)證方案，如OTP認(rèn)證（一次性口令認(rèn)證）、 RADIUS、KERBEROS、TACACS/TACACS+、口令方式、數(shù)字證書等。.應(yīng)支持常見(jiàn)的路由協(xié)議，如：OSPF RIP、RIPIL.支持 IPX、NETBEU

4、I VOD、H.323v1/v2、SSH協(xié)議。.支持分權(quán)管理和信息審計(jì)。.能夠?qū)Ψ阑饓Φ呐渲眯畔⑦M(jìn)行備份。5.4性能要求蚌埠廣播電視臺(tái)對(duì)防火墻的性能要求如下：.最大并發(fā)連接數(shù)在120, 000以上；.內(nèi)核處理速度不低于300M （對(duì)于三個(gè)接口的防火墻）；.對(duì)于10/100M以太網(wǎng)接口，其接口吞吐量應(yīng)不低于 97M;.吞吐量：防火墻加載百條規(guī)則的平均吞吐量應(yīng)不低于17000fps；.延時(shí)：防火墻加載百條規(guī)則的平均延時(shí)不超過(guò) 100, 000ns；.丟包率：防火墻加載百條規(guī)則的丟包率為0;.背靠背：防火墻加載百條規(guī)則的背靠背性能測(cè)試不低于 400, 000frames；. MTBF:不低于3000

5、0小時(shí)；配置方案由于蚌埠廣播電視臺(tái)是蚌埠廣播電視臺(tái)網(wǎng)的主要組成部分，它的安全性、可 靠性對(duì)其正常行使宏觀經(jīng)濟(jì)調(diào)控職能起著重要的作用，所以對(duì)其防火墻分系統(tǒng)采如有幫助，歡迎下載支持用雙機(jī)備份，而其它省級(jí)蚌埠廣播電視臺(tái)只采用單機(jī)防火墻配置，其系統(tǒng)配置方案如圖5.4所示。在蚌埠廣播電視臺(tái)與專網(wǎng)互聯(lián)處加入一臺(tái)防火墻。 由于蚌埠廣播電視臺(tái)網(wǎng)絡(luò) 需要連接的網(wǎng)絡(luò)有專網(wǎng)以及互聯(lián)網(wǎng)，所以采用雙機(jī)備份的防火墻需要 5個(gè)接口， 如果雙機(jī)切換采用串口連接監(jiān)視 heart-beat信號(hào)，那么需要4個(gè)接口的防火墻即 可；第一個(gè)接口連接專網(wǎng)e0鏈路，第二個(gè)接口連接互聯(lián)網(wǎng)el鏈路，第三個(gè)接口 連接SSN區(qū)（DMZ）,第四個(gè)接口

6、連接內(nèi)部網(wǎng)； 由于采用雙機(jī)備份，所以在接 口處需要配置集線器或交換機(jī)。當(dāng)蚌埠廣播電視臺(tái)網(wǎng)絡(luò)出口的流量超過(guò)一定極限時(shí)，可以將兩臺(tái)防火墻配置成防火墻機(jī)群工作模式，實(shí)現(xiàn)雙機(jī)分流和負(fù)載均衡。根據(jù)安全需求，在專網(wǎng)與Internet互聯(lián)的時(shí)候需要采用NAT技術(shù)，隱藏其內(nèi) 部網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)在擴(kuò)展安全設(shè)備時(shí)不宜改動(dòng)原有的網(wǎng)絡(luò)結(jié)構(gòu)及配置， 因此最好 將防火墻配置為路由模式與透明模式相結(jié)合的混合工作模式。選型建議根據(jù)防火墻分系統(tǒng)的技術(shù)要求，本方案推薦在蚌埠廣播電視臺(tái)使用聯(lián)想針對(duì) 政府各部委辦和金融骨干企業(yè)自主開(kāi)發(fā)的高端防火墻-網(wǎng)御2000 FWP,推薦在省級(jí)蚌埠廣播電視臺(tái)使用聯(lián)想自主開(kāi)發(fā)的標(biāo)準(zhǔn)防火墻一一網(wǎng)御200

7、0 FWE。推薦選用網(wǎng)御2000系列防火墻，是因?yàn)榫W(wǎng)御2000系列防火墻除了完全滿 足“蚌埠廣播電視臺(tái)網(wǎng)安全系統(tǒng)包技術(shù)指標(biāo)要求”規(guī)定的防火墻資質(zhì)要求、功能 要求和性能要求外，還具有以下顯著的技術(shù)特點(diǎn)：三墻合一：網(wǎng)御2000集防火墻、防毒墻、防黑墻三位一體，具有很高 的性能價(jià)格比。智能過(guò)濾：網(wǎng)御2000不但支持狀態(tài)包過(guò)濾和動(dòng)態(tài)包過(guò)濾，還創(chuàng)立了根 據(jù)數(shù)據(jù)包的網(wǎng)絡(luò)特征（源地址、目的地址、協(xié)議號(hào)、端口號(hào)、服務(wù)類型、 傳遞方向等）、時(shí)間特征（可疑連接的時(shí)間間隔等）、空間特征（特定時(shí)如有幫助，歡迎下載支持段內(nèi)可疑連接的相關(guān)程度等）和數(shù)據(jù)結(jié)構(gòu)特征（數(shù)據(jù)包長(zhǎng)度、信息相關(guān) 性等），建立了獨(dú)具特色的動(dòng)態(tài)智能包過(guò)濾

8、安全防護(hù)體系，可以顯著提 高包過(guò)濾防火墻的安全特性，并擁有 5項(xiàng)專利技術(shù)?；旌夏Ｊ剑壕W(wǎng)御2000不僅支持路由模式和橋模式，還支持兩者融為一體的混合模式，以及具有負(fù)載均衡功能的防火墻機(jī)群工作模式，能夠適 應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)應(yīng)用，并且安裝配置極其簡(jiǎn)便。透明代理：在應(yīng)用代理設(shè)計(jì)方面，網(wǎng)御 2000不僅提供各種標(biāo)準(zhǔn)應(yīng)用和 特定應(yīng)用的透明式代理服務(wù)，而且還支持用戶自定義的透明式代理服 務(wù)，并可根據(jù)特殊需要方便地實(shí)現(xiàn)代理的級(jí)連。用戶認(rèn)證：網(wǎng)御2000支持基于USB安全裝置和智能IC卡的用戶強(qiáng)身 份認(rèn)證體系。底座安全：網(wǎng)御2000采用聯(lián)想自主研發(fā)的服務(wù)器硬件平臺(tái)和專用安全操作系統(tǒng)平臺(tái)，較好地解決了 “底

9、座安全”問(wèn)題，具有很高的自身安全 性能。在線升級(jí)：網(wǎng)御2000的安全防護(hù)軟件、入侵檢測(cè)特征規(guī)則庫(kù)和病毒庫(kù) 均支持網(wǎng)絡(luò)在線升級(jí)，因此可以隨著網(wǎng)絡(luò)攻擊手段的變化地不斷地更新 和提高防火墻的安全防護(hù)能力。高效可靠：網(wǎng)御2000防火墻在100兆以太網(wǎng)口、100條規(guī)則的情況下， 數(shù)據(jù)吞吐率可達(dá)到線速（100Mbps）,并發(fā)連接數(shù)在13萬(wàn)以上，平均延 時(shí)不超過(guò)100微秒，應(yīng)用級(jí)代理可以同時(shí)響應(yīng) 200個(gè)HTTP請(qǐng)求；整機(jī) MTBF可達(dá)35000小時(shí)。具有極高的時(shí)效和可靠性。第二章安全脆弱性掃描分系統(tǒng)安全方案設(shè)計(jì)目標(biāo)掃描內(nèi)部網(wǎng)絡(luò)或者掃描不同的操作系統(tǒng)，了解網(wǎng)絡(luò)或主機(jī)有可能受到入侵部分的具體細(xì)節(jié)，并提出評(píng)估報(bào)

10、告，以便管理員針對(duì)漏洞進(jìn)行修補(bǔ)。從外部對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描，檢查路由器和防火墻是否存在漏洞，并提供網(wǎng)絡(luò)安全評(píng)估報(bào)告。如有幫助，歡迎下載支持技術(shù)要求蚌埠廣播電視臺(tái)對(duì)安全脆弱性掃描的功能要求如下：.覆蓋主流操作系統(tǒng)，如：SUN SOLARIS , HP-UX , IBM AIX , DIGITAL UNIX , LINUX , WINDOWS NT 等。.檢測(cè)方法不少于600種。.嚴(yán)格按照國(guó)際慣例，對(duì)掃描強(qiáng)度和系統(tǒng)風(fēng)險(xiǎn)級(jí)別實(shí)行分級(jí)制。掃描強(qiáng)度 分為重度掃描，中度掃描，輕度掃描和自定義強(qiáng)度掃描。.可支持多種網(wǎng)絡(luò)漏洞掃描，如：網(wǎng)絡(luò)服務(wù)、WEB服務(wù)、FTP服務(wù)、守護(hù)進(jìn)程、電子郵件服務(wù)、CGI BIN、瀏覽

11、器設(shè)置、RPC攻擊、特定的強(qiáng)力 攻擊選項(xiàng)、拒絕服務(wù)攻擊檢測(cè)、拒絕服務(wù)攻擊檢測(cè)、安全區(qū)檢測(cè)、 WINDOWS NT 配置、UNIX 配置、LINUX 配置。.可發(fā)現(xiàn)的系統(tǒng)問(wèn)題包括：系統(tǒng)開(kāi)放了不必要的服務(wù)；軟件版本問(wèn)題、缺省配置、具有弱點(diǎn)、未裝補(bǔ)丁；NT服務(wù)器的配置問(wèn)題；WEB服務(wù)器的配置問(wèn)題；防火墻的配置和路由器的訪問(wèn)控制表的配置問(wèn)題；信息泄露一TELNET 旗標(biāo)、FINGER、SNMP、SMTP;信任關(guān)系一RLOGIN、RSH、REXEC;口令弱點(diǎn)；檢測(cè)類似BO、NETBUS等特洛伊木馬；文件共享不合適一NETBIOS NETWARE ;遠(yuǎn)程訪問(wèn)不安全；.具有遠(yuǎn)程和本地兩種工作模式。.具有生成

12、分析報(bào)告的能力。.具有自我保護(hù)能力。.可提供相應(yīng)硬件設(shè)備。.提供安全漏洞掃描特征升級(jí)。如有幫助，歡迎下載支持配置方案在蚌埠廣播電視臺(tái)內(nèi)部網(wǎng)的管理區(qū)一臺(tái)主機(jī)中安裝掃描評(píng)估系統(tǒng)。其配置示意圖如圖4.3.1所示。產(chǎn)品運(yùn)行環(huán)境為 Windows 2000 Professional或 Windows 2000 server選型建議本方案推薦使用中科網(wǎng)威公司的“火眼”3.x網(wǎng)絡(luò)安全評(píng)估分析系統(tǒng)。選擇“火眼” 3.x是因?yàn)樵摦a(chǎn)品能夠滿足 “蚌埠廣播電視臺(tái)網(wǎng)安全系統(tǒng)包技 術(shù)指標(biāo)要求”規(guī)定的安全脆弱性掃描系統(tǒng)技術(shù)要求，同時(shí)該產(chǎn)品還具有以下顯著 的技術(shù)特點(diǎn)：結(jié)構(gòu)合理、穩(wěn)定性強(qiáng)：系統(tǒng)是以數(shù)據(jù)庫(kù)為核心的評(píng)估分析系統(tǒng)，

13、在 實(shí)現(xiàn)上采用了桌面數(shù)據(jù)庫(kù)技術(shù)。 這使得各部分的耦合程度大為降低， 極大地提高了系統(tǒng)的可靠性。只要數(shù)據(jù)庫(kù)數(shù)據(jù)信息正確無(wú)誤，就可 以得到準(zhǔn)確的結(jié)果。在數(shù)據(jù)庫(kù)的設(shè)計(jì)中，對(duì)數(shù)據(jù)域和數(shù)據(jù)表單的讀 寫都作了嚴(yán)格的界定，保證了數(shù)據(jù)庫(kù)的正確性。分類齊全、分析項(xiàng)目完備：根據(jù)目標(biāo)主機(jī)可能出現(xiàn)的安全隱患，檢 測(cè)項(xiàng)目分為郵件服務(wù)、網(wǎng)絡(luò)相關(guān)、文件服務(wù)、遠(yuǎn)程調(diào)用、后門相關(guān)、 缺省賬號(hào)、網(wǎng)絡(luò)共享、域名服務(wù)、無(wú)連接協(xié)議、常見(jiàn)服務(wù)、注冊(cè)表、 拒絕服務(wù)、微軟系統(tǒng)、瀏覽相關(guān)、其他項(xiàng)目等15個(gè)類別，能全面評(píng)估目標(biāo)主機(jī)及系統(tǒng)的安全風(fēng)險(xiǎn)。完備的網(wǎng)絡(luò)安全薄弱環(huán)節(jié)數(shù)據(jù)庫(kù)：鑒于目前WINDOWS操作系統(tǒng)的廣泛應(yīng)用，本版本大幅增加了相關(guān)的評(píng)估

14、分析項(xiàng)目數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù) 中所有類別的評(píng)估分析項(xiàng)目共有 600多項(xiàng)，完全能夠滿足用戶的需 求。獨(dú)有的用戶自定義規(guī)則：用戶可以根據(jù)自己的需要，為每臺(tái)主機(jī)制 定不同的評(píng)估策略。良好的實(shí)用性： 火眼”網(wǎng)絡(luò)安全評(píng)估系統(tǒng)是中科網(wǎng)威公司自己設(shè)計(jì) 的系統(tǒng)，具有良好的使用性。在管理界面上使用了全中文化的設(shè)計(jì)，如有幫助，歡迎下載支持操作使用符合標(biāo)準(zhǔn)的 WINDOWS風(fēng)格，用戶大部分操作只要通過(guò)點(diǎn) 擊鼠標(biāo)就可達(dá)到目的。因此使管理工作更加方便，其輸出的統(tǒng)計(jì)結(jié) 果也更加有價(jià)值。評(píng)估分析速度快，準(zhǔn)確性高： 用戶可以一次對(duì)任意多個(gè)目標(biāo)進(jìn)行測(cè) 試，對(duì)每個(gè)主機(jī)的測(cè)試都是并發(fā)地進(jìn)行，評(píng)估分析的速度非?？?。在評(píng)估的過(guò)程中，可以根據(jù)用戶的意愿隨