內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)設計方案

1、 .DOC資料. 證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)方案方正數(shù)碼有限公司2001年12月 TOC o h z HYPERLINK l _Toc532706700 1北大方正集團、方正數(shù)碼公司簡介 PAGEREF _Toc532706700 h 8 HYPERLINK l _Toc532706701 2網(wǎng)絡證券業(yè)務分析 PAGEREF _Toc532706701 h 10 HYPERLINK l _Toc532706702 3網(wǎng)絡證券安全需求分析 PAGEREF _Toc532706702 h 13 HYPERLINK l _Toc532706703 3.1安全性 PAGEREF _Toc53270670

2、3 h 13 HYPERLINK l _Toc532706704 3.2高效性 PAGEREF _Toc532706704 h 14 HYPERLINK l _Toc532706705 3.3可靠性 PAGEREF _Toc532706705 h 15 HYPERLINK l _Toc532706706 3.4可伸縮性 PAGEREF _Toc532706706 h 15 HYPERLINK l _Toc532706707 3.5易用性 PAGEREF _Toc532706707 h 15 HYPERLINK l _Toc532706708 3.6完善的服務體制 PAGEREF _Toc532

3、706708 h 16 HYPERLINK l _Toc532706709 4安全系統(tǒng)結(jié)構(gòu) PAGEREF _Toc532706709 h 16 HYPERLINK l _Toc532706710 5安全系統(tǒng)實施 PAGEREF _Toc532706710 h 19 HYPERLINK l _Toc532706711 5.1.1主要應用服務的安全風險 PAGEREF _Toc532706711 h 22 HYPERLINK l _Toc532706712 5.1.2網(wǎng)絡中主要系統(tǒng)的安全風險 PAGEREF _Toc532706712 h 23 HYPERLINK l _Toc532706713

4、 5.1.3數(shù)據(jù)庫系統(tǒng)安全分析 PAGEREF _Toc532706713 h 23 HYPERLINK l _Toc532706714 5.1.4管理系統(tǒng)的安全風險 PAGEREF _Toc532706714 h 24 HYPERLINK l _Toc532706715 6方正數(shù)碼防火墻解決方案 PAGEREF _Toc532706715 h 24 HYPERLINK l _Toc532706716 6.1本方案設計的原則和目標 PAGEREF _Toc532706716 h 24 HYPERLINK l _Toc532706717 6.2防火墻選型 PAGEREF _Toc53270671

5、7 h 25 HYPERLINK l _Toc532706718 6.3防火墻設置及工作模式 PAGEREF _Toc532706718 h 26 HYPERLINK l _Toc532706719 6.4防火墻功能設置及安全策略 PAGEREF _Toc532706719 h 26 HYPERLINK l _Toc532706720 6.4.1完善的訪問控制 PAGEREF _Toc532706720 h 26 HYPERLINK l _Toc532706721 6.4.2內(nèi)置入侵檢測（IDS） PAGEREF _Toc532706721 h 27 HYPERLINK l _Toc53270

6、6722 6.4.3代理服務 PAGEREF _Toc532706722 h 27 HYPERLINK l _Toc532706723 6.4.4NAT地址轉(zhuǎn)換 PAGEREF _Toc532706723 h 28 HYPERLINK l _Toc532706724 6.4.5日志系統(tǒng)及系統(tǒng)報警 PAGEREF _Toc532706724 h 28 HYPERLINK l _Toc532706725 6.4.6帶寬分配，流量管理 PAGEREF _Toc532706725 h 28 HYPERLINK l _Toc532706726 6.4.7集中管理 PAGEREF _Toc53270672

7、6 h 29 HYPERLINK l _Toc532706727 6.4.8預制模板 PAGEREF _Toc532706727 h 29 HYPERLINK l _Toc532706728 6.4.9系統(tǒng)升級 PAGEREF _Toc532706728 h 29 HYPERLINK l _Toc532706729 6.4.10雙機備份 PAGEREF _Toc532706729 h 30 HYPERLINK l _Toc532706730 6.4.11防火墻方案特點 PAGEREF _Toc532706730 h 30 HYPERLINK l _Toc532706731 7證券內(nèi)聯(lián)網(wǎng)防火墻安

8、全需求及方案對照說明 PAGEREF _Toc532706731 h 31 HYPERLINK l _Toc532706732 7.1內(nèi)聯(lián)網(wǎng)防火墻基本要求 PAGEREF _Toc532706732 h 31 HYPERLINK l _Toc532706733 7.2證券內(nèi)聯(lián)網(wǎng)防火墻功能要求 PAGEREF _Toc532706733 h 33 HYPERLINK l _Toc532706734 7.2.1必備功能 PAGEREF _Toc532706734 h 33 HYPERLINK l _Toc532706735 7.2.2增強功能 PAGEREF _Toc532706735 h 36

9、HYPERLINK l _Toc532706736 7.3防火墻性能 PAGEREF _Toc532706736 h 36 HYPERLINK l _Toc532706737 7.4防火墻管理 PAGEREF _Toc532706737 h 38 HYPERLINK l _Toc532706738 8證券內(nèi)聯(lián)網(wǎng)安全管理建議 PAGEREF _Toc532706738 h 39 HYPERLINK l _Toc532706739 8.1整體思路 PAGEREF _Toc532706739 h 39 HYPERLINK l _Toc532706740 8.2集中管理，統(tǒng)一規(guī)劃 PAGEREF _T

10、oc532706740 h 39 HYPERLINK l _Toc532706741 8.3嚴格規(guī)章 安全教育 PAGEREF _Toc532706741 h 40 HYPERLINK l _Toc532706742 8.4明確責任 技術(shù)培訓 PAGEREF _Toc532706742 h 40 HYPERLINK l _Toc532706743 8.5動態(tài)監(jiān)控 專家咨詢 PAGEREF _Toc532706743 h 41 HYPERLINK l _Toc532706744 9證券內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)實施方案 PAGEREF _Toc532706744 h 42 HYPERLINK l _T

11、oc532706745 9.1合同簽訂階段的工作實施 PAGEREF _Toc532706745 h 42 HYPERLINK l _Toc532706746 9.2發(fā)貨階段的實施 PAGEREF _Toc532706746 h 43 HYPERLINK l _Toc532706747 9.3到貨后工作的實施 PAGEREF _Toc532706747 h 45 HYPERLINK l _Toc532706748 9.4測試及驗收 PAGEREF _Toc532706748 h 46 HYPERLINK l _Toc532706749 9.4.1測試及驗收描述 PAGEREF _Toc5327

12、06749 h 46 HYPERLINK l _Toc532706750 10證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)培訓 PAGEREF _Toc532706750 h 48 HYPERLINK l _Toc532706751 10.1培訓目標 PAGEREF _Toc532706751 h 48 HYPERLINK l _Toc532706752 10.2培訓課程 PAGEREF _Toc532706752 h 48 HYPERLINK l _Toc532706753 10.3培訓方式 PAGEREF _Toc532706753 h 48 HYPERLINK l _Toc532706754 10.4培訓時長

13、PAGEREF _Toc532706754 h 48 HYPERLINK l _Toc532706755 10.5培訓地點 PAGEREF _Toc532706755 h 48 HYPERLINK l _Toc532706756 10.6培訓人數(shù) PAGEREF _Toc532706756 h 49 HYPERLINK l _Toc532706757 10.7學員要求 PAGEREF _Toc532706757 h 49 HYPERLINK l _Toc532706758 11方正方御防火墻技術(shù)支持與服務 PAGEREF _Toc532706758 h 50 HYPERLINK l _Toc5

14、32706759 11.1方正數(shù)碼綠色服務體系結(jié)構(gòu)介紹 PAGEREF _Toc532706759 h 50 HYPERLINK l _Toc532706760 11.2完善的技術(shù)支持與服務 PAGEREF _Toc532706760 h 52 HYPERLINK l _Toc532706761 11.2.1售前服務內(nèi)容 PAGEREF _Toc532706761 h 53 HYPERLINK l _Toc532706762 11.2.2售前服務流程 PAGEREF _Toc532706762 h 54 HYPERLINK l _Toc532706763 11.2.3售后服務內(nèi)容 PAGERE

15、F _Toc532706763 h 55 HYPERLINK l _Toc532706764 11.2.4售后服務流程 PAGEREF _Toc532706764 h 56 HYPERLINK l _Toc532706765 11.3服務方式 PAGEREF _Toc532706765 h 57 HYPERLINK l _Toc532706766 11.4服務監(jiān)督 PAGEREF _Toc532706766 h 57 HYPERLINK l _Toc532706767 12方正方御防火墻成功案例 PAGEREF _Toc532706767 h 59 HYPERLINK l _Toc532706

16、768 12.1鞍山市商業(yè)銀行應用案例 PAGEREF _Toc532706768 h 59 HYPERLINK l _Toc532706769 12.1.1鞍山市商業(yè)銀行需求分析 PAGEREF _Toc532706769 h 59 HYPERLINK l _Toc532706770 12.1.2系統(tǒng)安全目的 PAGEREF _Toc532706770 h 60 HYPERLINK l _Toc532706771 12.1.3安全體系結(jié)構(gòu) PAGEREF _Toc532706771 h 60 HYPERLINK l _Toc532706772 12.1.4安全系統(tǒng)實施 PAGEREF _To

17、c532706772 h 60 HYPERLINK l _Toc532706773 12.2沈陽建設銀行安全應用實例 PAGEREF _Toc532706773 h 61 HYPERLINK l _Toc532706774 12.2.1沈陽建設銀行需求分析 PAGEREF _Toc532706774 h 61 HYPERLINK l _Toc532706775 12.2.2系統(tǒng)安全目的 PAGEREF _Toc532706775 h 63 HYPERLINK l _Toc532706776 12.2.3用戶安全需求分析 PAGEREF _Toc532706776 h 63 HYPERLINK

18、l _Toc532706777 安全性 PAGEREF _Toc532706777 h 63 HYPERLINK l _Toc532706778 高效性 PAGEREF _Toc532706778 h 63 HYPERLINK l _Toc532706779 可擴展性 PAGEREF _Toc532706779 h 64 HYPERLINK l _Toc532706780 易用性（管理控制） PAGEREF _Toc532706780 h 64 HYPERLINK l _Toc532706781 完善的服務體制 PAGEREF _Toc532706781 h 64 HYPERLINK l _T

19、oc532706782 12.2.4安全體系結(jié)構(gòu) PAGEREF _Toc532706782 h 64 HYPERLINK l _Toc532706783 12.2.5安全系統(tǒng)實施 PAGEREF _Toc532706783 h 66 HYPERLINK l _Toc532706784 12.3部分方正方御防火墻客戶名單 PAGEREF _Toc532706784 h 67 HYPERLINK l _Toc532706785 13證券內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)建設報價 PAGEREF _Toc532706785 h 70 HYPERLINK l _Toc532706786 14方正數(shù)碼聯(lián)系方式 P

20、AGEREF _Toc532706786 h 71 HYPERLINK l _Toc532706787 附錄一：授權(quán)服務商名單 PAGEREF _Toc532706787 h 72 HYPERLINK l _Toc532706788 附錄二：防御防火墻所獲證書 PAGEREF _Toc532706788 h 77 HYPERLINK l _Toc532706789 附件三：資格證明文件 PAGEREF _Toc532706789 h 82 HYPERLINK l _Toc532706790 附錄四：方正方御防火墻產(chǎn)品說明 PAGEREF _Toc532706790 h 87 HYPERLINK

21、 l _Toc532706791 產(chǎn)品概述 PAGEREF _Toc532706791 h 87 HYPERLINK l _Toc532706792 系統(tǒng)特點 PAGEREF _Toc532706792 h 88 HYPERLINK l _Toc532706793 防火墻功能說明 PAGEREF _Toc532706793 h 91 HYPERLINK l _Toc532706794 多種工作模式 PAGEREF _Toc532706794 h 91 HYPERLINK l _Toc532706795 包過濾防火墻 PAGEREF _Toc532706795 h 93 HYPERLINK l

22、_Toc532706796 高效的過濾 PAGEREF _Toc532706796 h 93 HYPERLINK l _Toc532706797 碎片處理功能 PAGEREF _Toc532706797 h 94 HYPERLINK l _Toc532706798 防SYN Flood攻擊 PAGEREF _Toc532706798 h 94 HYPERLINK l _Toc532706799 強大的狀態(tài)檢測功能 PAGEREF _Toc532706799 h 95 HYPERLINK l _Toc532706800 輕型/復雜IDS(入侵檢測系統(tǒng)) PAGEREF _Toc532706800

23、 h 95 HYPERLINK l _Toc532706801 反端口掃描 PAGEREF _Toc532706801 h 95 HYPERLINK l _Toc532706802 可以防范20類1500余種攻擊方式 PAGEREF _Toc532706802 h 96 HYPERLINK l _Toc532706803 在線升級和實時報警 PAGEREF _Toc532706803 h 98 HYPERLINK l _Toc532706804 入侵檢測和防火墻的互動 PAGEREF _Toc532706804 h 99 HYPERLINK l _Toc532706805 雙向NAT PAGE

24、REF _Toc532706805 h 99 HYPERLINK l _Toc532706806 帶寬管理和流量統(tǒng)計 PAGEREF _Toc532706806 h 100 HYPERLINK l _Toc532706807 代理服務器功能 PAGEREF _Toc532706807 h 100 HYPERLINK l _Toc532706808 雙機熱備 PAGEREF _Toc532706808 h 101 HYPERLINK l _Toc532706809 強大的審計功能 PAGEREF _Toc532706809 h 101 HYPERLINK l _Toc532706810 基于PK

25、I的高級授權(quán)認證 PAGEREF _Toc532706810 h 102 HYPERLINK l _Toc532706811 集中管理 PAGEREF _Toc532706811 h 102 HYPERLINK l _Toc532706812 實時控制和日志轉(zhuǎn)存 PAGEREF _Toc532706812 h 102 HYPERLINK l _Toc532706813 靈活的配置方式 PAGEREF _Toc532706813 h 103 HYPERLINK l _Toc532706814 可視化配置 PAGEREF _Toc532706814 h 103 HYPERLINK l _Toc53

26、2706815 預置包過濾規(guī)則集 PAGEREF _Toc532706815 h 103 HYPERLINK l _Toc532706816 總結(jié) PAGEREF _Toc532706816 h 103北大方正集團、方正數(shù)碼公司簡介北京北大方正集團公司是北京大學創(chuàng)建的高新技術(shù)企業(yè)。方正集團擁有個控股的上市公司，方正（控股）有限公司、方正數(shù)碼有限公司、上海方正延中科技集團股份有限公司，17家獨資、合資企業(yè)。員工總數(shù)約6000人，總資產(chǎn)50億元，2000年銷售規(guī)模達101億元。1997年，方正集團已成為國家120家大型試點企業(yè)集團之一，國家首批家技術(shù)創(chuàng)新試點企業(yè)之一，國家重點支持的家PC生產(chǎn)廠家之

27、一。創(chuàng)造科技與文明，是北大方正的一貫宗旨，集團堅持以人為本的宗旨，以創(chuàng)新為先導，產(chǎn)、學、研結(jié)合，不斷以優(yōu)質(zhì)產(chǎn)品和技術(shù)服務于社會。方正數(shù)碼有限公司（EC-Founder Co., Ltd.）是從事發(fā)展互聯(lián)網(wǎng)應用技術(shù)及電子商務的軟件技術(shù)公司。其業(yè)務專注于互聯(lián)網(wǎng)安全產(chǎn)品及網(wǎng)絡安全服務等領域，是互聯(lián)網(wǎng)時代的軟件技術(shù)公司。 方正數(shù)碼借助技術(shù)、研發(fā)方面的優(yōu)勢，借鑒世界上最先進的管理運作經(jīng)驗，定位于電子商務賦能者（ e-commerce enabler），用不斷創(chuàng)新的技術(shù)與優(yōu)質(zhì)的服務賦予客戶新經(jīng)濟時代可持續(xù)發(fā)展的能力，幫助政府、證券、金融、行業(yè)、企業(yè)、網(wǎng)站、電子商務的運營者運用先進技術(shù)和高效管理手段在互聯(lián)網(wǎng)

28、時代健康發(fā)展，取得成功。 方正數(shù)碼有限公司的業(yè)務圍繞在互聯(lián)網(wǎng)安全技術(shù)應用、網(wǎng)絡安全服務及網(wǎng)絡安全知識管理等主要領域，在技術(shù)開發(fā)、應用解決方案和運營服務方面為用戶提供先進的網(wǎng)絡安全產(chǎn)品和技術(shù)。為此方正數(shù)碼推出SHARKS互聯(lián)網(wǎng)安全解決方案。SHARKS解決方案是在深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領先優(yōu)勢的解決方案。它是一套整體的集群平臺，可以解決企業(yè)最為關(guān)切的安全性、高可靠性、可擴展性和易于遠程管理的問題。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計劃項目之一，還得到了國家“863”計劃的肯定與支持。方正方御防火墻是SHARKS安全解決方案中的主

29、要安全產(chǎn)品之一。方正方御防火墻憑借其獨特的技術(shù)優(yōu)勢，在保證系統(tǒng)自身的安全性的同時又保證了其運行效率。方正方御防火墻中還融入了入侵檢測技術(shù)，可以有效地防范攻擊企圖的試探；另外利用先進的III技術(shù)，方正方御防火墻可以有效濾除著名的DDoS攻擊，正是這種攻擊曾迫使包括美國雅虎在內(nèi)的若干世界最大的網(wǎng)站停止服務。除防火墻之外，方正數(shù)碼有限公司還向用戶提供VPN、安全掃描系統(tǒng)、入侵檢測系統(tǒng)（IDS）等安全產(chǎn)品及方案，從多層次、多角度、全方位保護用戶的網(wǎng)絡。在立身自主開發(fā)外，方正數(shù)碼還與CA、ISS、Symantec等眾多國際知名的安全公司保持著良好的合作關(guān)系，集成國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國內(nèi)Inte

30、rnet的安全建設保駕護航。網(wǎng)絡證券業(yè)務分析證券業(yè)務是改革開放以來，金融系統(tǒng)中增長最快的業(yè)務之一，它從無到有，從小到大。在證券交易所注冊開戶的用戶飛速增長，而關(guān)心證券交易的人更是成倍的增長，不論大人還是小孩，似乎都知道證券一詞。傳統(tǒng)的證券交易大概需要以下幾個步驟：首先，需要到證券交易機構(gòu)注冊開戶；其次，需要將用戶的資金從銀行轉(zhuǎn)入證券交易的賬戶中；第三，進行證券信息處理和各種交易。然而在傳統(tǒng)的證券交易中，用戶需要到證券營業(yè)廳進行交易或通過電話等手段進行交易，雖然其交易速度很快，但是和計算機網(wǎng)絡相比仍然是小巫見大巫。由于不用擔心支付手段、不用擔心實物配送等原因，證券業(yè)是最適合使用互聯(lián)網(wǎng)的行業(yè)之一。

31、網(wǎng)絡證券交易，就是要將傳統(tǒng)的證券交易轉(zhuǎn)變?yōu)橐杂嬎銠C互聯(lián)網(wǎng)絡為基礎的交易方式。用戶可以充分利用Internet或無線互聯(lián)網(wǎng)的優(yōu)勢，快捷方便的進行交易。網(wǎng)絡證券交易主要業(yè)務包括以下幾個方面：用戶注冊開戶網(wǎng)上身份驗證證券信息瀏覽在線證券交易證券交易和用戶的網(wǎng)絡化管理維護與安全相關(guān)業(yè)務：在以上幾個方面中，用戶的網(wǎng)上身份驗證、證券信息傳輸、在線交易和在線管理與維護是非常需要安全保護的，而用戶的注冊開戶是要到證券機構(gòu)進行申請的，所以不涉及網(wǎng)絡的安全性的。涉密信息：上面我們分析了需要安全保護的網(wǎng)絡證券交易業(yè)務，那么，哪些信息是涉及加密的呢？首先，用戶的身份、賬戶等信息是用戶進行交易是需要進行驗證的，這些信息

32、若被竊取或破壞，不但無法進行網(wǎng)上的交易，更為嚴重的可能直接影響用戶使用傳統(tǒng)形式進行交易，所以需要安全加密；其次，交易數(shù)據(jù)是涉及用戶直接的經(jīng)濟利益，也是需要安全加密的；第三，網(wǎng)絡證券交易的管理與維護是網(wǎng)絡化的，而這些信息是直接關(guān)系到網(wǎng)絡證券交易系統(tǒng)自身的安全性的，這些信息是需要安全加密的。經(jīng)過分析，涉密信息主要有用戶信息、交易數(shù)據(jù)、管理信息三個方面。網(wǎng)絡證券的管理模式：由于網(wǎng)絡證券交易時使用Internet或無線互聯(lián)網(wǎng)，用戶信息，證券信息，交易數(shù)據(jù)等是由多臺不同的服務器來承擔的，同時在其上要運行多種服務的，所以應該采用集中管理的方式對網(wǎng)絡證券交易進行管理，這樣能減輕管理員的勞動強度，提高工作效率

33、。安全風險及威脅：前面我們分析了網(wǎng)上證券交易需要安全保護的業(yè)務，也分析了有哪些是涉密信息。通過這些分析我們可以很容易的得出網(wǎng)絡證券交易的安全風險及威脅來自以下幾個方面：用戶信息會受到黑客的竊取、破壞以及病毒的破壞交易數(shù)據(jù)會受到黑客的竊取、破壞以及病毒的破壞系統(tǒng)信息會受到黑客的竊取、破壞以及病毒的破壞服務的正常運行會受到黑客的攻擊、破壞以及病毒的破壞系統(tǒng)安全目的：通過以上的分析，網(wǎng)絡證券交易系統(tǒng)的安全目的是：要保護用戶的信息和數(shù)據(jù)、系統(tǒng)的資源和信息不被非法竊取和破壞，保護各項網(wǎng)絡服務能正常運轉(zhuǎn)，免受入侵和攻擊。網(wǎng)絡證券安全需求分析前面分析了網(wǎng)絡證券業(yè)務是需要安全保障的。由于證券業(yè)自身的特殊性，對

34、安全性也有不同于其他行業(yè)的要求。網(wǎng)絡證券業(yè)務中對安全的要求為安全性、高效性、可靠性、可伸縮性、易于使用性和安全服務體制。安全性證券的網(wǎng)上交易往往涉及巨額資金，一旦受外部攻擊造成系統(tǒng)中斷，或網(wǎng)絡犯罪使信息泄露，將會造成重大損失。證券的網(wǎng)上交易的安全性主要有以下幾個方面：網(wǎng)絡環(huán)境、操作系統(tǒng)與數(shù)據(jù)的安全性證券交易通過網(wǎng)絡來實現(xiàn)，如果這個網(wǎng)絡環(huán)境直接暴露于Internet上，那么將是可怕的，所以我們需要用防火墻來隔離Internet和網(wǎng)絡證券交易系統(tǒng)。由于防火墻能夠阻擋黑客的攻擊行為和異常的網(wǎng)絡事件，這樣可以保護我們的網(wǎng)絡交易環(huán)境、網(wǎng)絡中計算機的操作系統(tǒng)和數(shù)據(jù)。防火墻是網(wǎng)絡安全的第一道屏障，單有防火墻

35、是不能進行全面保護的，我們還需要入侵監(jiān)測系統(tǒng)（IDS）來對黑客的攻擊進行報警和自動防范，并使用防病毒模塊來保證我們的操作系統(tǒng)和存儲的數(shù)據(jù)免遭病毒的侵害。系統(tǒng)的數(shù)據(jù)和用戶的數(shù)據(jù)有可能遭到破壞，那么需要應急恢復系統(tǒng)ERS來幫助解決這些問題。用戶標識與鑒別，抗抵賴程度用戶在網(wǎng)上進行證券交易前，必須要用到自己的身份信息，而這些信息必須加以保護，以防止被不法之徒竊取或利用給用戶造成不必要的損失。為此，在登錄環(huán)節(jié)就要開始實施防護。為達到保護目的，使用CA技術(shù)，利用數(shù)字證書來確保雙方是可以互相信任的。并需要使用加密措施來保護用戶的標識。密碼支持的安全程度和可信信道的安全性整個信息傳輸過程使用SSL進行加密傳

36、輸，傳輸信息和存儲信息加密后，就把計算機數(shù)據(jù)變成一堆無規(guī)律的、雜亂無章的字符。攻擊者即使得到經(jīng)過加密的信息即密文、也無法辨認原文，防止信息被竊取。交易服務的防攻擊能力保護證券交易的各項網(wǎng)上服務正常的運行，能過濾主要的攻擊和異常的網(wǎng)絡事件，使用防火墻來完成要求；保護用戶的數(shù)據(jù)和交易的信息不被非法竊取、破壞，擁有入侵檢測系統(tǒng)（IDS）進行預警和自動防護，防治病毒的破壞，在緊急情況下能獲得最快的服務響應高效性 證券的網(wǎng)上交易集中在幾個特定的時段，對系統(tǒng)的反應速度有相當高的要求。要求安全系統(tǒng)具有優(yōu)秀的數(shù)據(jù)吞吐能力，在保證安全的同時，效率的損失要減到最小。需要達到這個要求，就需要防火墻和IDS系統(tǒng)盡可能

37、小的對網(wǎng)絡的吞吐量產(chǎn)生影響。而我們向用戶提供的防火墻產(chǎn)品和IDS產(chǎn)品在安裝到系統(tǒng)中去后能夠完美滿足用戶的要求，這主要來自產(chǎn)品的優(yōu)秀性能和針對行業(yè)的專門設計，具體性能請參看產(chǎn)品介紹與性能參數(shù)?？煽啃栽诜罩聞俚慕裉欤盏闹袛嗑鸵馕吨L險。在Internet上，早已不再沿用傳統(tǒng)上朝九晚五的商業(yè)時間。365247的不間斷運營對系統(tǒng)的可靠性提出了挑戰(zhàn)?？煽啃灾饕憩F(xiàn)在：安全功能和機制的可靠程度在網(wǎng)絡環(huán)境下，安全功能和機制本身就會成為黑客入侵和破壞的目標，所以安全的可靠性成為網(wǎng)絡安全不可缺少的一環(huán)。只有在保證了安全功能和機制自身安全下，才能更好的保護網(wǎng)絡的安全性。對于防火墻來講，使用雙機熱備的方法是目

38、前最可靠，最實用的提高可靠性的手段。數(shù)據(jù)存儲的可靠程度，數(shù)據(jù)的備份與恢復除了安全功能和機制的可靠性外，數(shù)據(jù)存儲的可靠性也是不可忽視的重要環(huán)節(jié)。這就必須使用備份與恢復系統(tǒng)，來確保數(shù)據(jù)損壞后能及時的恢復。可伸縮性證券網(wǎng)絡會隨著證券業(yè)務的發(fā)展而迅速壯大。一個優(yōu)秀的安全解決方案必須從開始就考慮到這種需求。系統(tǒng)需要基于高可伸縮便于擴充的集群構(gòu)架。以跟上券商發(fā)展的腳步，防止出現(xiàn)大量的設備淘汰造成的資源浪費。易用性不易使用的安全系統(tǒng)是不安全的。充斥著英文術(shù)語的管理界面會大大的增加系統(tǒng)管理人員的工作量，也容易導致不應有的漏洞的出現(xiàn)或安全策略的僵化。易用性主要包括：要界面清晰易懂方便的集中管理安全性的實時監(jiān)控。

39、完善的服務體制券商不是專業(yè)的安全公司。不可能隨時全面的跟蹤安全動態(tài)。安全是動態(tài)的過程，今天安全的系統(tǒng)明天就可能不安全，這就要求提供安全方案的公司有優(yōu)秀的服務體制進行跟蹤服務。再嚴密的系統(tǒng)也可能出現(xiàn)漏洞，當緊急事件發(fā)生時，能不能在最短時間內(nèi)獲得緊急響應服務經(jīng)常決定了損失的大小，而且這種時候，需要的是極其專業(yè)的服務，沒有強大開發(fā)實力的公司是無法滿足這種需求的，而在國內(nèi)沒有開發(fā)部門的國外著名公司則往往鞭長莫及。安全系統(tǒng)結(jié)構(gòu)為了滿足上述需求，從安全方面就需以下模塊：防火墻、入侵檢測、防病毒、CA和加密。在系統(tǒng)設計一級，就要考慮到各模塊的位置。同時，整個系統(tǒng)需要按照業(yè)務流程來進行設計。4.1 多級用戶身

40、份驗證登錄保護：網(wǎng)上證券的用戶與服務器之間需要建立一種信任關(guān)系。必須要防止入侵者通過種種手段進行冒充和欺騙。為此，在登錄環(huán)節(jié)就要開始實施防護。首先使用CA技術(shù)，利用數(shù)字證書來確保雙方是可以互相信任的。其次，在登錄時進行用戶名、密碼驗證。整個登錄過程使用SSL加密傳輸，防止登錄信息被竊取。密碼保護：對于前面提到的用戶信息、交易數(shù)據(jù)、管理信息等涉密信息，提供全程的密碼保護。在系統(tǒng)訪問層，通過授權(quán)和認證機制，保證涉密信息只提供給有訪問權(quán)限的人員。訪問密碼和交易密碼分開，加強高敏感的涉密信息的安全級別。4.2 密鑰密碼體系在網(wǎng)上證券應用中，使用基于公開密鑰密碼體系（PKI）的加密安全體系。其目的是保證

41、以下四點：可信任的服務器可信任的用戶可信任的傳輸不容抵賴的審計使用密鑰密碼的主要目的是防止信息的非授權(quán)泄露。加密用于傳輸信息和存儲信息，把計算機數(shù)據(jù)變成一堆無規(guī)律的、雜亂無章的字符。攻擊者即使得到經(jīng)過加密的信息即密文、也無法辨認原文。因此，加密可以有效地對抗截收、非法訪問數(shù)據(jù)庫竊取信息等威脅。為保證安全，組合應用對稱密碼算法和非對稱密碼算法，對稱密碼算法用于信息加密、非對稱密碼算法用于密鑰分發(fā)、數(shù)字簽名、完整性及身份鑒別等。如果一個加密系統(tǒng)的加密密鑰和解密密鑰相同，或者雖然不相同，但是由其中任意一個可以很容易地推導出另一個，所采用的就是對稱密碼算法。如果一個加密系統(tǒng)的加密密鑰和解密密鑰不相同、

42、并且由加密密鑰推導出解密密鑰(或者由解密密鑰推導出加密密鑰)是計算上不可行的、所采用的就是非對稱密碼算法。信息加密傳輸?shù)膶嶋H過程包括四步：第一步，信息發(fā)送方產(chǎn)生一個對稱密鑰，并將此密鑰用信息接收方的公鑰加密后，通過網(wǎng)絡傳送給接收方。第二步，信息發(fā)送方用對稱密鑰將需要傳輸?shù)奈募用芎螅ㄟ^網(wǎng)絡傳送給接收方。第三步，接收方用自己的私鑰將收到的經(jīng)過加密的對稱密鑰進行解密，得到發(fā)送方的對稱密鑰。第四步，接收方用得到的對稱密鑰將接收到的經(jīng)過加密的信息進行解密，從而得到信息的原文。4.3 結(jié)構(gòu)框架說明系統(tǒng)結(jié)構(gòu)框架如下：用戶使用PC或手機接入互聯(lián)網(wǎng)，在穿過防火墻以后，連接上券商的Internet Serve

43、r。在用戶端和Internet Server端，均使用CA證書，以保證用戶和服務器的可相互信任。傳輸過程中，對涉密信息均使用SSL加密。在服務器與Internet之間，使用防火墻隔離，使用IDS系統(tǒng)進行預警。同時IDS與防火墻聯(lián)動，在遭PC手機Interner防火墻/IDS券商Internet Server防火墻券商Intranet Server日志數(shù)據(jù)庫控制中心券商柜臺交易系統(tǒng)IDS模塊防病毒模塊SSL加密傳輸CACA遇高風險性攻擊時，實施自動阻斷。根據(jù)國家要求，券商的Internet Server和Intranet Server再利用一道防火墻物理隔離。在Intranet內(nèi)部，使用IDS對

44、系統(tǒng)內(nèi)異常事件進行監(jiān)控。為了保護數(shù)據(jù)的完整性和安全性，在整個系統(tǒng)中，還要布署完整的防病毒體系。在控制中心?？梢詫φ麄€安全系統(tǒng)進行實時監(jiān)控和集中管理。對所有的安全事件，保留詳細的日志記錄，以備定期的安全審計使用。最后，券商的Intranet Server接入券商柜臺交易系統(tǒng)，最終實現(xiàn)網(wǎng)上證券交易。整個安全系統(tǒng)結(jié)構(gòu)可以總結(jié)為：多層隔離、實時監(jiān)控、立體防護、集中管理。安全系統(tǒng)實施通過上面對需求的分析，我們提出了解決需求所要使用到的安全模塊，主要由防火墻來對網(wǎng)絡上的入侵、攻擊以及異常的行為進行阻擋。使用方正數(shù)碼的FireBridge防火墻作為系統(tǒng)安全的第一道屏障，F(xiàn)ireBridge防火墻的優(yōu)異性能及

45、雙機熱備的方式可以滿足網(wǎng)絡安全性及可靠性的要求。對于IDS使用ISS公司的產(chǎn)品，這樣不但可以檢測來自外部的威脅，還可以檢測來自系統(tǒng)內(nèi)部的侵害。防病毒模塊使用業(yè)內(nèi)著名的冠群金辰公司的KILL產(chǎn)品保障系統(tǒng)免受病毒侵擾。還有CA系統(tǒng)保證用戶的身份鑒定。具體實施如下圖所示：說明：如圖所示安全系統(tǒng)的實施主要在兩個部分，網(wǎng)上證券交易平臺和證券公司總部。在網(wǎng)上證券交易平臺中，Router與第一層Switch或Hub相連接，Switch或Hub與兩臺FireBridge防火墻相連接，然后兩臺FireBridge防火墻再與第二層Switch或Hub相連接。這樣就構(gòu)成了一個防火墻的雙機熱備方式，保證了網(wǎng)絡的安全性

46、，同時提供了安全機制的可靠性。第二層Switch或Hub與交易服務器、WEB服務器、Router連接，并在服務器上安裝IDS、防病毒模塊、CA模塊，這樣在網(wǎng)上證券交易平臺上實現(xiàn)了整體的多層次的安全防護措施。在證券公司總部里，在Router后安裝一道FireBridge防火墻，其后部是證券公司總部的證券交易網(wǎng)絡，在這個網(wǎng)絡里需要安裝一臺控制主機，通過它對網(wǎng)上證券交易平臺里的服務器、防火墻進行集中管理，同時對系統(tǒng)及其安全性、可靠性進行集中管理。除了上面所說的兩個部分外，我們需要在用戶端，安裝CA的客戶模塊，認證的流程見下圖：按照上面的方法來實施網(wǎng)絡證券的安全解決方案，就可以完整的實現(xiàn)立體的安全防護

47、體系，從多層次、多角度來保護用戶和券商的交易安全。我們的方案里使用的產(chǎn)品將在下面有進一步的介紹。主要應用服務的安全風險應用服務系統(tǒng)中各個葉節(jié)點有各種應用服務，這些應用服務提供給證券各級營業(yè)點或合作的商業(yè)銀行使用。不能防止未經(jīng)驗證的操作人員利用應用系統(tǒng)的脆弱性來攻擊應用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。而證券機房的這些應用系統(tǒng)是證券內(nèi)聯(lián)網(wǎng)中最重要的組成部分。DNS服務DNS是網(wǎng)絡正常運作的基本元素，它們是由運行專門的或操作系統(tǒng)提供的服務的Unix或NT主機構(gòu)成。這些系統(tǒng)很容易成為外部網(wǎng)絡攻擊的目標或跳板。對DNS的攻擊通常是對其他遠程主機進行攻擊做準備，如篡改域名解析記錄以欺騙被

48、攻擊的系統(tǒng)，或通過獲取DNS的區(qū)域文件而得到進一步入侵的重要信息。著名的域名服務系統(tǒng)BIND就存在眾多的可以被入侵者利用的漏洞。證券商對外各種應用，特別是基于URL的應用依賴于DNS系統(tǒng)，DNS的安全性也是網(wǎng)絡安全關(guān)注的焦點。E-Mail由于郵件服務器軟件的眾多廣為人知的安全漏洞，郵件服務器成為進行遠程攻擊的首選目標之一。如利用公共的郵件服務器進行的郵件欺騙或郵件炸彈的中轉(zhuǎn)站或引擎；利用sendmail的漏洞直接入侵到郵件服務器的主機等。而證券營業(yè)的內(nèi)部E-mail系統(tǒng)覆蓋面廣，所以迫切需要使用防火墻來保護證券業(yè)的內(nèi)部E-mail系統(tǒng)。WWW利用HTTP服務器的一些漏洞，特別是在大量使用服務器

49、腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權(quán)的操作者可以很容易地獲得系統(tǒng)的控制權(quán)。在證券存在各種WWW服務，這些服務協(xié)議或多或少存在安全隱患。FTP一些FTP服務器的缺陷會使服務器很容易被錯誤的配置，從而導致安全問題，如被匿名用戶上載的木馬程序，下載系統(tǒng)中的重要信息（如口令文件）并導致最終的入侵。有些服務器版本帶有嚴重的錯誤，比如可以使任何人獲得對包括root在內(nèi)的任何帳號的訪問。網(wǎng)絡中主要系統(tǒng)的安全風險整個系統(tǒng)中網(wǎng)絡設備主要采用路由器設備，有必要分析這些設備的風險。路由器是證券內(nèi)聯(lián)網(wǎng)的核心部件，路由器的安全將直接影響整個網(wǎng)絡的安全。下面列舉了一些路由器所存在的主要安全風險：路由器缺省情況

50、下只使用簡單的口令驗證用戶身份，并且遠程TELNET登錄時以明文傳輸口令。一旦口令泄密路由器將失去所有的保護能力。 路由器口令的弱點是沒有計數(shù)器功能，所以每個人都可以不限次數(shù)的嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。 每個管理員都可能使用相同的口令，因此，路由器對于誰曾經(jīng)作過什么修改，系統(tǒng)沒有跟蹤審計的能力。 路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意的攻擊者利用來破壞網(wǎng)絡的路由設置，達到破壞網(wǎng)絡或為攻擊做準備的目的。針對這種情況，必須采取措施，有效防止非法對網(wǎng)絡設備訪問。 TCP/IP風險：系統(tǒng)采用TCP/IP協(xié)議進行通信，而因為TCP/IP協(xié)議中存在固有

51、的漏洞，比如：針對TCP序號的攻擊，TCP會話劫持，TCP SYN攻擊等。同時系統(tǒng)的DNS采用UDP協(xié)議，因為UDP協(xié)議是非面向連接的協(xié)議，對系統(tǒng)中的DNS等相關(guān)應用帶來安全風險。數(shù)據(jù)庫系統(tǒng)安全分析數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務。數(shù)據(jù)庫的安全問題，在數(shù)據(jù)庫技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)庫技術(shù)的發(fā)展而不斷深化。不法份子利用已有的或者更加先進的技術(shù)手段通常對數(shù)據(jù)庫進行偽造數(shù)據(jù)庫中的數(shù)據(jù)、損壞數(shù)據(jù)庫、竊取數(shù)據(jù)庫中的數(shù)據(jù)。如何保證和加強數(shù)據(jù)庫系統(tǒng)的安全性和保密性對于網(wǎng)絡的正常、安全運行至關(guān)重要。管理系統(tǒng)的安全風險 管理系統(tǒng)的安全風險除了上面提到的系統(tǒng)風險之外，系統(tǒng)之間

52、，特別是其他商業(yè)銀行和證券之間存在很大的安全隱患。系統(tǒng)結(jié)構(gòu)復雜、管理難度大，存在各種服務，哪些服務對哪些人是開放的、哪些是拒絕的都沒有一定的安全劃分。必須防止內(nèi)部不相關(guān)人員非法訪問安全程度要求高的數(shù)據(jù)，而且整個系統(tǒng)的正常運行也是保證證券系統(tǒng)日常工作正常進行的一個十分重要的方面。必須限制管理系統(tǒng)內(nèi)各個部門之間訪問權(quán)限，維護各個系統(tǒng)的安全訪問。而由于整個系統(tǒng)是一個體系，任何一個點出現(xiàn)安全問題，都可能給相關(guān)人員帶來損失。方正數(shù)碼防火墻解決方案本方案設計的原則和目標原則：從網(wǎng)絡安全整個體系考慮，本次防火墻選擇原則是：安全性：防火墻提供一整套訪問控制/防護的安全策略，保證系統(tǒng)的安全性；開放性：防火墻采用

53、國家防火墻相關(guān)標準和網(wǎng)絡安全領域相關(guān)技術(shù)標準；高可靠性：防火墻采用軟件、硬件結(jié)合的形式，保證系統(tǒng)長期穩(wěn)定、安全運行；可擴充性：防火墻采用模塊化設計方式，方便產(chǎn)品升級、功能增強、調(diào)整系統(tǒng)結(jié)構(gòu)；可管理性：防火墻采用基于windows平臺GUI模式進行管理，方便各種安全策略設置；可維護性：防火墻軟件維護方便，便于操作管理；目標：網(wǎng)絡安全包括很多方面，如：訪問控制、身份認證、數(shù)據(jù)加密、入侵檢測、防止病毒、數(shù)據(jù)備份等。本次證券內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)建設的目標是通過在證券同外部遠程交易以及其他商業(yè)銀行、金融機構(gòu)連接處采用防火墻技術(shù)，防止外部網(wǎng)絡和用戶對證券內(nèi)聯(lián)網(wǎng)數(shù)據(jù)的非法使用和訪問，監(jiān)控整個網(wǎng)絡數(shù)據(jù)過程。有效防

54、止來自外部的攻擊行為。限制對內(nèi)部資源和系統(tǒng)的訪問范圍。通過在證券內(nèi)聯(lián)網(wǎng)系統(tǒng)中設置防火墻的安全措施將達到以下目標：保護基于證券內(nèi)聯(lián)網(wǎng)的業(yè)務不間斷的正常運作。包括構(gòu)成證券系統(tǒng)網(wǎng)絡的所有設施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)（信息）。證券的重要信息在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍，防止重要信息泄露給證券外部的組織或人員。解決網(wǎng)絡的邊界安全問題保證網(wǎng)絡內(nèi)部的安全實現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全在用戶和資源之間進行嚴格的訪問控制（通過身份認證，訪問控制）建立一套數(shù)據(jù)審計、記錄的安全管理機制（網(wǎng)絡數(shù)據(jù)采集，審計）融合技術(shù)手段和行政手段，形成全局的安全管理。為了解決證券內(nèi)聯(lián)網(wǎng)面臨的安全問題，有必要建立一整套安

55、全機制，包括：訪問控制、入侵檢測等多個方面。信息系統(tǒng)的安全是一個復雜的系統(tǒng)工程，涉及到技術(shù)和管理等多個層面。為達成以上目標，方正數(shù)碼在充分調(diào)研和分析比較的基礎上采用合理的技術(shù)手段和產(chǎn)品以構(gòu)建一個完整的安全技術(shù)體系，同時通過與證券的共同工作，協(xié)助證券建立完善的安全管理體系。防火墻選型防火墻是網(wǎng)絡安全領域首要的、基礎的設施，它對維護內(nèi)部網(wǎng)絡的安全起著重要的作用。利用防火墻可以有效地劃分網(wǎng)絡不同安全級別區(qū)域間的邊界，并在邊界上對不同區(qū)域間的訪問實施訪問控制、身份鑒別、和安全審計等功能。防火墻按實現(xiàn)的方式不同，其基本類型有：包過濾型、代理(應用網(wǎng)關(guān))型和復合型。復合型防火墻是在綜合動態(tài)包過濾技術(shù)和代理

56、技術(shù)的優(yōu)點的情況下采取的一種更加完善和安全的防火墻技術(shù)。其功能強大，是未來防火墻技術(shù)發(fā)展的一個主要趨勢。綜合考慮證券網(wǎng)絡安全實際情況，在本方案中采用方正數(shù)碼的方正方御（FG-P）復合型防火墻，放置在證券與遠程交易和各個商業(yè)銀行以及其它金融機構(gòu)連接的各個葉節(jié)點。防火墻設置及工作模式防火墻提供三個接口：內(nèi)網(wǎng)、外網(wǎng)、DMZ；防火墻工作在路由模式，對外采用NAT技術(shù)，隱藏內(nèi)部真實地址；將對外服務的各種服務設備放置在DMZ區(qū)域，和內(nèi)部網(wǎng)絡嚴格區(qū)分開，保證內(nèi)部系統(tǒng)安全?？紤]到安全問題，系統(tǒng)中的結(jié)構(gòu)需要調(diào)整，將原來各商業(yè)銀行對證券內(nèi)部網(wǎng)絡的訪問調(diào)整到對DMZ的訪問。不輕易允許各商業(yè)銀行對證券內(nèi)部網(wǎng)絡進行訪問

57、。防火墻功能設置及安全策略完善的訪問控制規(guī)則控制：通過方正方御防火墻提供的基于TCP/IP協(xié)議中各個環(huán)節(jié)進行安全控制，生成完整安全的訪問控制表，這個表包括： 外網(wǎng)（商業(yè)銀行和其他金融機構(gòu)）對DMZ內(nèi)服務訪問控制。將外部對內(nèi)部、DMZ內(nèi)服務訪問明確限制，防止非法對內(nèi)部重要系統(tǒng)，特別是業(yè)務系統(tǒng)的訪問。利用DMZ的隔離效果，盡量將對外服務的部分服務器放置在DMZ區(qū)域，通過NAT方式，保護內(nèi)部網(wǎng)絡免受攻擊。關(guān)閉操作系統(tǒng)提供的除需要以外的所有服務和應用，防止因為這些服務和應用自身的漏洞給系統(tǒng)帶來的風險。對內(nèi)部E-mail、 FTP、 WWW、數(shù)據(jù)庫的訪問做嚴格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生。 內(nèi)部網(wǎng)

58、絡：內(nèi)部網(wǎng)絡對外部網(wǎng)絡（商業(yè)銀行和其他金融機構(gòu)）的訪問也要進行嚴格的限制。防止內(nèi)部員工對外網(wǎng)資源的非法訪問。對內(nèi)部員工對外訪問采用NAT方式訪問。同時內(nèi)部員工對DMZ區(qū)域服務器訪問也必須做限制。內(nèi)部員工對外網(wǎng)WWW訪問采用代理方式。 DMZ訪問：通常情況下DMZ對外部和內(nèi)部都不能主動進行訪問，除非特殊的應用需要到內(nèi)部網(wǎng)絡采集數(shù)據(jù)，可以有限地開放部分服務。借助方正方御防火墻提供的基于狀態(tài)包過濾技術(shù)對數(shù)據(jù)的各個方向采用全面安全的技術(shù)策略，制定嚴格完善的訪問控制策略保證從IP到傳輸層的數(shù)據(jù)安全。針對證券系統(tǒng)中的網(wǎng)絡風險可以通過嚴格的訪問控制表來進行限制。內(nèi)置入侵檢測（IDS）方正數(shù)碼公司和國際網(wǎng)絡安

59、全組織合作，能夠?qū)崟r獲得最新系統(tǒng)入侵庫代碼，動態(tài)地將這些攻擊技術(shù)的解決方案加入到方正方御防火墻中,同時在方正方御防火墻內(nèi)部采用3I技術(shù)，加速應用層安全防護查詢過程。方正方御防火墻目前能夠支持1500種以上的入侵檢測并能夠成功阻斷這樣的攻擊行為，比如最近的紅色代碼。針對各種攻擊行為，比如TCP序列號攻擊、劫持、碎片攻擊、端口掃描能夠識別阻斷。而這個數(shù)據(jù)庫可以實時更新、升級。升級在方正方御防火墻界面即可完成。IDS和訪問策略形成互動。通過防火墻嵌入的IDS功能能夠有效防范對內(nèi)部Windows/NT，Unix、Novell系統(tǒng)的攻擊行為。電子欺騙：防火墻能夠自動識別各種電子欺騙行為并進行阻斷。同時防

60、火墻能夠?qū)窝bIP地址進行識別。代理服務方正方御防火墻對外提供代理服務功能，證券內(nèi)部網(wǎng)絡對外訪問可以通過防火墻提供的代理服務功能，同時代理服務可以針對URL,SSL,FTP進行應用攔截，防止內(nèi)部人員對外網(wǎng)的非法訪問。NAT地址轉(zhuǎn)換將證券內(nèi)部網(wǎng)絡和DMZ區(qū)域網(wǎng)絡地址通過NAT方式轉(zhuǎn)換，隱藏真實IP地址，防止內(nèi)部網(wǎng)絡受到攻擊。具體轉(zhuǎn)換方式就是將內(nèi)部網(wǎng)絡和DMZ區(qū)域機器的地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址，對外證券只有一個地址。而借助防火墻的多映射功能，可以將對外的同一地址映射為內(nèi)部網(wǎng)絡和DMZ區(qū)域不同服務的不同端口。日志系統(tǒng)及系統(tǒng)報警方正方御防火墻提供強大的日志系統(tǒng)，將通過防火墻的數(shù)據(jù)、防火墻管理數(shù)據(jù)