【人力資源】計算機專網(wǎng)安全產(chǎn)品解決方案（網(wǎng)絡防火墻）

寧波市政府

計算機專網(wǎng)安全產(chǎn)品解決方案

（網(wǎng)絡防火墻）

方正數(shù)碼有限公司

2002年2月

0方正數(shù)礙

1.背景介紹5

1.1.項目總述5

1.2.網(wǎng)絡環(huán)境總述5

1.3.業(yè)務現(xiàn)狀6

1.4.網(wǎng)絡信息安全概況7

1.4.1.網(wǎng)絡安全現(xiàn)狀8

1.4.2.典型的黑客攻擊8

1.4.3.網(wǎng)絡與信息安全平臺的任務10

2.安全架構分析與設計11

2.1.網(wǎng)絡整體結構11

2.1.1.寧波在全國政府專網(wǎng)中的位置12

2.1.2.光纖網(wǎng)絡平臺12

2.2.寧波政府專網(wǎng)安全風險分析14

2.2.1.主要應用服務的安全風險14

2.2.2.網(wǎng)絡中主要系統(tǒng)的安全風險75

2.2.3.數(shù)據(jù)庫系統(tǒng)安全分析16

2.2.4.Unix系統(tǒng)的安全分析16

2.2.5.WindowsNT系統(tǒng)的安全分析17

2.2.6.管理系統(tǒng)的安全風險17

2.3.寧波政府專網(wǎng)安全風險解決方案設計的原則和目標18

2.3.1.網(wǎng)絡安全解決方案的組成19

2.3.2.超高安全要求下的網(wǎng)絡保護21

2.4.防火墻選型22

2.5.防火墻設置及工作模式23

2.6.防火墻功能設置及安全策略23

2.6.1.完善的訪問控制23

2.6.2.內置入侵檢測(IDS)24

2.6.3.代理服務24

2.6.4.日志系統(tǒng)及系統(tǒng)報警24

2.6.5.帶寬分配,流量管理25

2.6.6.H.323支持25

2.6.7.系統(tǒng)升級25

2.6.8.雙機備份26

2.6.9.防火墻方案特點26

2.7.防火墻整體布局27

2.8.寧波市政府系統(tǒng)計算機專網(wǎng)核心節(jié)點市政府辦公廳網(wǎng)絡28

2.9.各區(qū)及委、辦、局的安全網(wǎng)絡28

2.10.集中管理和分級管理29

3.產(chǎn)品選型30

3.1.防火墻與入侵檢測的選型30

3.1.1.方正數(shù)碼公司簡介,30

0萬正數(shù)再2

3.2.方正方御防火墻（100M）31

3.2.1.產(chǎn)品概述31

3.2.2.系統(tǒng)特點31

3.2.3.方御防火墻（百兆）的性能35

3.2.4.方正方御防火墻功能說明36

3.3.方正方御防火墻（1000M）47

3.3.1.產(chǎn)品概述47

3.3.2.系統(tǒng)特點48

3.3.3.方正方御千兆防火墻功能說明49

3.3.4.方御防火墻（千兆）的性能59

4.工程實施方案61

4.1.合同簽訂階段的工作實施61

4.2.發(fā)貨階段的實施62

4.3.到貨后工作的實施63

4.4.測試及驗收65

4.4.1.測試及驗收描述65

4.5.系統(tǒng)初驗65

4.5.1.功能測試65

4.5.2.性能測試66

4.5.3.實施人員66

5.培訓方案67

5.1.培訓目標67

5.2.培訓課程67

5.3.培訓方式67

5.4.培訓時長67

5.5.培訓地點67

5.6.培訓人數(shù)68

5.7.培訓講師69

5.8.入學要求69

6.售后服務和技術支持70

6.1.售后服務內容70

6.2.保修71

6.3.保修方式72

6.4.保修范圍72

6.5.保修期的確認73

6.6.全國服務網(wǎng)絡73

6.7.場地及環(huán)境準備73

6.7.1.常規(guī)要求73

6.7.2.機房電源、地線及同步要求74

6.7.3.設備場地、通信74

6.7.4.機房環(huán)境74

6.8.驗收清單76

0萬正數(shù)再3

6.8.1.設備開箱驗收清單76

6.8.2.用戶信息清單76

6.8.3.用戶驗收清單77

7.方案整體優(yōu)勢79

8.方正方御防火墻榮譽證書80

0萬正數(shù)碼4

1.背景介紹

1.1.項目總述

政府專網(wǎng)是寧波市政府信息化建設的基礎工程，是以寧波市政府東、北大院

計算機局域網(wǎng)為核心，以寬帶光纖網(wǎng)絡為通信平臺，圍繞業(yè)務管理、數(shù)據(jù)交換、

語音通信、重大事件處理、視頻會議等應用，覆蓋寧波市各縣（市）、區(qū)政府，

市政府各部門，市委辦、人大辦、政協(xié)辦及市委各工作部門等，并與全國、全省

政府專網(wǎng)聯(lián)接，共約122個節(jié)點的城域網(wǎng)。

政府專網(wǎng)是獨立于公共網(wǎng)絡之外的政府系統(tǒng)專用網(wǎng)絡，物理上與外部公共網(wǎng)

絡隔離。專網(wǎng)內部進行邏輯分割，采用防火墻隔離、審計檢測等措施，建立有效

的網(wǎng)絡安全防范體系，以滿足國家黨政機關網(wǎng)絡可傳送普密級信息的通信安全保

密要求。

政府專網(wǎng)涉及范圍廣，建設要求高，需分期分批進行建設。整個建設周期分

為二期，第一期41個節(jié)點于2002年2月底前完成，第二期約81個節(jié)點于2002

年完成。目前已經(jīng)完成網(wǎng)絡平臺、系統(tǒng)集成、系統(tǒng)商務標的招投標工作，正在抓

緊進行網(wǎng)絡平臺建設及相關設備的訂購采購工作。政府專網(wǎng)建成后，將極大地促

進政府業(yè)務規(guī)范化、辦公自動化、管理智能化、決策科學化、提高政府機關辦事

工作效率，實現(xiàn)政府各部門以及上下級政府部門之間信息和資源的共享。

12.網(wǎng)絡環(huán)境總述

市區(qū)內采用千兆以太網(wǎng)技術，市區(qū)外采用IPOVERSDH傳輸技術，各節(jié)點用

物理光纖接入。政府專網(wǎng)以市政府辦公廳為核心節(jié)點，在市區(qū)內采用4個匯集點,

各節(jié)點用物理光纖就近接入?yún)R集點。在市區(qū)外利用網(wǎng)絡供應商提供的SDH環(huán)路，

各節(jié)點用物理光纖接入SDH環(huán)。核心節(jié)點與SDH環(huán)通過物理光纖連接，把市內和

市外兩部分連通，組成完整的政府專網(wǎng)網(wǎng)絡平臺。總體結構請參見網(wǎng)絡總體拓撲

圖。

0萬正數(shù)碼5

市區(qū)外分節(jié)點市區(qū)外分節(jié)點市區(qū)外分節(jié)點

2.5GSDH環(huán)

泊海

...、北侖,、,

環(huán)155M」奉化

2.5GSDH15就/宓寧海

一市區(qū)外分節(jié)點

于波廣電網(wǎng)

?….…….…移傳輸中心./

余姚

象山

一

市區(qū)夕⑼節(jié)點

市區(qū)外分節(jié)點市區(qū)夕班節(jié)點

1G100M

1G——市區(qū)內分節(jié)點

市區(qū)內分節(jié)點1G

廣電曄儲中心匯編點1G華僑城匯集點

儂機

1G

廣電局匚集點/1G電視中心匯集點

100M100M

1G核心節(jié)點

——市區(qū)內分節(jié)點

市區(qū)內分節(jié)點市政府辦公廳

交換機

交換機

另外，省政府專網(wǎng)的光纖接入到IBM2216路由器，再經(jīng)過防火墻（上海華

堂），以百兆方式接入核心節(jié)點的接入交換機。

國務院專網(wǎng)的幀中繼專線接入到CISCO路由器，再經(jīng)過防火墻（中科院的

安勝（ERCIST）防火墻），以百兆方式接入核心節(jié)點的接入交換機。

寧波市處理重大事件指揮中心（以下簡稱指揮中心）是一個獨立的網(wǎng)段，以

多模光纖接入核心點的接入交換機，中間需以防火墻隔離。

市政府西大院所有單位作為一個節(jié)點，用4芯光纖接入?yún)R集點。

政府專網(wǎng)采用CISCO的WORKS2000FORNT作為網(wǎng)管軟件。

13業(yè)務現(xiàn)狀

首先，寧波市政府與上級政府部門的信息數(shù)據(jù)交換量非常大。一方面，國務

院、省政府需要寧波市政府上報大量信息，如地方經(jīng)濟運行狀況、經(jīng)濟規(guī)劃、社

會治安情況等；另一方面，寧波市政府也需要及時了解國家有關政策、法規(guī)的最

新情況。第二，寧波市政府與各縣區(qū)政府數(shù)據(jù)交換量也相當大。第三，為了切實

做好政府各項綜合管理工作，市政府要領導、安排、督促和協(xié)調政府各職能部門

工作，因此與各部門業(yè)務聯(lián)系十分密切，信息交換量很大。第四，市政府與市委、

0萬正數(shù)碼6

人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁。

1.寧波市與上級政府部門之間的信息交流以公文、通知通告、要聞信息等文

字資料為主。

2.寧波市政府系統(tǒng)（含與市委、人大、政協(xié)系統(tǒng)之間）內部信息交流內容，

主要有：

?網(wǎng)上辦公：公文及業(yè)務工作網(wǎng)上辦理流轉。

?宏觀信息：包括國際、國內、省內、省外、市內、市外宏觀經(jīng)濟數(shù)據(jù)，每

日信息，重要會議，重大事件。

?基本信息：包括市情、縣情，各級領導情況，機構設置、直屬機構設置、

編制、職能職責、聯(lián)系電話、郵箱地址等。

?通知通告：包括會議、學習、上報材料等通知，系統(tǒng)內的通報等。

?工作動態(tài)：國家、省、市政府及政府有關部門的重要政策信息，政府內部

改革思路新經(jīng)驗等。

?重大事件處理：綜合治理、災害、汛情、交通等方面的文字、圖像及視頻

信息。

?政策法規(guī)：地方政策法規(guī)和國家、浙江省的政策法規(guī)

?行業(yè)數(shù)據(jù)：科技、文化、教育、交通等方面的行業(yè)數(shù)據(jù)。

?地理信息系統(tǒng)：規(guī)劃、建筑、地形地貌等方面的數(shù)據(jù)，包括大型圖片。

?會計核算中心：財務數(shù)據(jù)

?經(jīng)濟服務中心：批文、辦事程序等數(shù)據(jù)

以上諸項信息內容除已說明以外，其余都為文字、數(shù)字等形式。

1.4.網(wǎng)絡信息安全概況

目前，很多公開的新聞表明美國國家安全局（NSA）有可能在許多美國大軟

件公司的產(chǎn)品中安裝“后門”，其中包括一些應用廣泛的操作系統(tǒng)。為此德國軍

方前些時候甚至規(guī)定在所有牽涉到機密的計算機里，不得使用美國的操作系統(tǒng)。

作為信息安全的保障，我們在安全產(chǎn)品選型時強烈建議使用國內自主開發(fā)的優(yōu)秀

的網(wǎng)絡安全產(chǎn)品，將安全風險降至最低。

0方正數(shù)碼7

在為各安全產(chǎn)品選型時，我們立足國內，同時保證所選產(chǎn)品的先進性及可靠

性，并要求通過國家各主要安全測評認證。

1.4.1.網(wǎng)絡安全現(xiàn)狀

Internet正在越來越多地融入到社會的各個方面。一方面，隨著網(wǎng)絡用戶成

分越來越多樣化，出于各種目的的網(wǎng)絡入侵和攻擊越來越頻繁；另一方面，隨著

Internet和以電子商務為代表的網(wǎng)絡應用的日益發(fā)展，Internet越來越深地滲透到

各行各業(yè)的關鍵要害領域。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為

與政府、軍隊、企業(yè)、個人的利益休戚相關的“大事情”。尤其對于政府和軍隊

而言，如果網(wǎng)絡安全問題不能得到妥善的解決，將會對國家安全帶來嚴重的威脅。

2000年二月，在三天的時間里，黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站一Yahoo!、

Amazon>eBay、CNN陷入癱瘓，造成了十兒億美元的損失，令美國上下如臨大

敵。黑客使用了DDoS（分布式拒絕服務）的攻擊手段，用大量無用信息阻塞網(wǎng)

站的服務器，使其不能提供正常服務。在隨后的不到一個月的時間里，又先后有

微軟、ZDNet和E*TRADE等著名網(wǎng)站遭受攻擊。

國內網(wǎng)站也未能幸免于難，新浪、當當書店、EC123等知名網(wǎng)站也先后受到

黑客攻擊。國內第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開始運營，然而僅

四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程

度的破壞，致使網(wǎng)站無法運作。

客觀地說，沒有任何一個網(wǎng)絡能夠免受安全的困擾，依據(jù)FinancialTimes曾

做過的統(tǒng)計，平均每20秒鐘就有一個網(wǎng)絡遭到入侵。僅在美國，每年由于網(wǎng)絡

安全問題造成的經(jīng)濟損失就超過100億美元。

1.4.2.典型的黑客攻擊

黑客們進行網(wǎng)絡攻擊的目的各種各樣，有的是出于政治目的，有的是員工內

部破壞，還有的是出于好奇或者滿足自己的虛榮心。隨著Internet的高速發(fā)展，

也出現(xiàn)了有明確軍事目的的軍方黑客組織。

在典型的網(wǎng)絡攻擊中，黑客一般會采取如下的步驟：

自我隱藏，黑客使用通過rsh或telnet在以前攻克的主機上跳轉、通過錯誤

0萬正數(shù)碼8

配置的proxy主機跳轉等各種技術來隱藏他們的IP地址，更高級一點的黑客，

精通利用電話交換侵入主機。

網(wǎng)絡偵探和信息收集，在利用Internet開始對目標網(wǎng)絡進行攻擊前，典型的

黑客將會對網(wǎng)絡的外部主機進行一些初步的探測。黑客通常在查找其他弱點之前

首先試圖收集網(wǎng)絡結構本身的信息。通過查看上面查詢來的結果列表，通常很容

易建立一個主機列表并且開始了解主機之間的聯(lián)系。黑客在這個階段使用一些簡

單的命令來獲得外部和內部主機的名稱:例如，使用nslookup來執(zhí)行"Is〈domain

ornetwork〉"，finger外部主機上的用戶等。

確認信任的網(wǎng)絡組成，一般而言，網(wǎng)絡中的主控主機都會受到良好的安全保

護，黑客對這些主機的入侵是通過網(wǎng)絡中的主控主機的信任成分來開始攻擊的，

一個網(wǎng)絡信任成員往往是主控主機或者被認為是安全的主機。黑客通常通過檢查

運行nfsd或mountd的那些主機輸出的NFS開始入侵，有時候一些重要目錄（例

如/etc,/home）能被一個信任主機mount。

確認網(wǎng)絡組成的弱點，如果一個黑客能建立你的外部和內部主機列表，他就

可以用掃描程序（如ADMhack,mscan,nmap等）來掃描一些特定的遠程弱點。

啟動掃描程序的主機系統(tǒng)管理員通常都不知道一個掃描器已經(jīng)在他的主機上運

行，因為'ps，和，netstat，都被特洛伊化來隱藏掃描程序。在對外部主機掃描之后，

黑客就會對主機是否易受攻擊或安全有一個正確的判斷。

有效利用網(wǎng)絡組成的弱點，當黑客確認了一些被信任的外部主機，并且同時

確認了一些在外部主機上的弱點，他們就要嘗試攻克主機了。黑客將攻擊一個被

信任的外部主機，用它作為發(fā)動攻擊內部網(wǎng)絡的據(jù)點。要攻擊大多數(shù)的網(wǎng)絡組成,

黑客就要使用程序來遠程攻擊在外部主機上運行的易受攻擊服務程序，這樣的例

子包括易受攻擊的Sendmail,IMAP,POP3和諸如statd,mountd,pcnfsd等RPC服

務。

獲得對有弱點的網(wǎng)絡組成的訪問權，在攻克了一個服務程序后，黑客就要開

始清除他在記錄文件中所留下的痕跡，然后留下作后門的二進制文件，使其以后

可以不被發(fā)覺地訪問該主機。

目前，黑客的主要攻擊方式有：

欺騙：通過偽造IP地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權使

0萬正數(shù)碼9

用，例如盜用撥號帳號。

竊聽：利用以太網(wǎng)廣播的特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡的數(shù)據(jù)包，對

信息進行過濾和分析后得到有用的信息，例如使用sniffer程序竊聽用戶密碼。

數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對信息進行非法的復制，例如，非

法拷貝網(wǎng)站數(shù)據(jù)庫內重要的商業(yè)信息，盜取網(wǎng)站用戶的個人信息等。

數(shù)據(jù)篡改：在信息的共享和傳遞過程中，對信息進行非法的修改，例如，刪

除系統(tǒng)內的重要文件，破壞網(wǎng)站數(shù)據(jù)庫等。

拒絕服務：使用大量無意義的服務請求來占用系統(tǒng)的網(wǎng)絡帶寬、CPU處理

能力和10能力，造成系統(tǒng)癱瘓，無法對外提供服務。典型的例子就是2000年年

初黑客對Yahoo等大型網(wǎng)站的攻擊。

黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被利用和網(wǎng)

絡癱瘓等嚴重后果，如果是對軍用和政府網(wǎng)絡的攻擊，還會對國家安全造成嚴重

威脅。

1.4.3.網(wǎng)絡與信息安全平臺的任務

網(wǎng)絡與信息安全平臺的任務就是創(chuàng)建一個完善的安全防護體系，對所有非法

網(wǎng)絡行為，如越權訪問、病毒傳播、惡意破壞等等，事前預防、事中報警并阻止,

事后能有效的將系統(tǒng)恢復。

在上文對黑客行為的描述中，我們可以看出，網(wǎng)絡上任何一個安全漏洞都會

給黑客以可乘之機。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡

安全里尤其適用。所以，我們的方案必須是一個完整的網(wǎng)絡安全解決方案，對網(wǎng)

絡安全的每一個環(huán)節(jié)，都要有仔細的考慮。

0萬正數(shù)碼10

2.安全架構分析與設計

邏輯上，寧波市政府系統(tǒng)計算機專網(wǎng)將劃分為三個區(qū)域：數(shù)據(jù)發(fā)布區(qū)、局

域網(wǎng)用戶、遠程其他用戶。

其中每一個局域網(wǎng)節(jié)點劃分為內部操作（控制）區(qū)、信息共享區(qū)兩個網(wǎng)段，

網(wǎng)段之間設置安全隔離區(qū)。每一個網(wǎng)段必須能夠構成一個獨立的、完整的、安全

的、可靠的系統(tǒng)。

2/L網(wǎng)絡整體結構

寧波市政府系統(tǒng)計算機專網(wǎng)需要涉及若干政府部門，各地方的網(wǎng)絡通過專用

網(wǎng)連接起來。

0萬正數(shù)碼11

2.1.1.寧波在全國政府專網(wǎng)中的位置

政府專網(wǎng)是由國家、省、市及縣級政府部門共同組成的全國性廣域網(wǎng)。整個

廣域網(wǎng)網(wǎng)絡系統(tǒng)是一個典型的星形拓樸型結構，主要負責傳輸國家、省、市、縣

政府間的文字、圖像和視頻信.息。其結構圖如下：

政府系統(tǒng)結構圖

整個區(qū)域網(wǎng)絡拓樸為一倒叉樹結構，國務院為根節(jié)點，寧波市作為網(wǎng)絡中

的一級節(jié)點同時又作為一個區(qū)域中心節(jié)點，它既要與國家、省各部門互聯(lián)，又

要與各縣（市）、區(qū)政府和市政府各部門互聯(lián)，在整個網(wǎng)絡中起著一個承上啟下

的作用。

2.1.2.光纖網(wǎng)絡平臺

光纖網(wǎng)絡平臺的提供商為寧波市廣電網(wǎng)絡傳輸中心。

具體情況如下：

1.市區(qū)范圍內（東北大院以外）73家單位采用物理光纖分別接入四個匯集點。

這四個匯集點分別是廣電網(wǎng)絡傳輸中心匯集點、華僑城匯集點、廣電局匯集點、

電視中心匯集點。單點接入示意圖如下：

0萬正數(shù)碼12

市區(qū)內各部門邏輯分布圖如下圖:

廣電前窗窗中心匯集點覆蓋;建設餒行.西前第團.仙陵公用后,城

華僑城匯集點覆蓋：公交后,中級法

多建委.供儲后,芳動后,水產(chǎn)局,檔案后,耕作辦.民主黨旅及統(tǒng)陵部（西

院.海事法院,人尻蜜行.國瞥際.刖

大曉）,財政后,衣業(yè)案行，房此后,老干部后.幅關,工商甯行.工生后I,

里廝,江東區(qū)政府.國校后.規(guī)劃后.

鄉(xiāng)企后,電工會,電業(yè)局,攵遹索行.坊織第團,新想出版后,行財辦.電

2.市區(qū)以外單位主要是余姚、慈溪、奉化、寧海、象山、鎮(zhèn)海、北侖、經(jīng)濟

技術開發(fā)區(qū)、保稅區(qū)、大榭開發(fā)區(qū)、港務局等部門。這些部門與核心節(jié)點之間將

借助寧波廣電的SDH環(huán)網(wǎng)。單點接入示意圖如下:

市區(qū)外各部門邏輯分布圖如下圖:

0萬正數(shù)碼13

22.寧波政府專網(wǎng)安全風險分析

2.2.1.主要應用服務的安全風險

應用服務

系統(tǒng)中各個節(jié)點有各種應用服務，這些應用服務提供給各級部門或單

位使用。不能防止未經(jīng)驗證的操作人員利用應用系統(tǒng)的脆弱性來攻擊應用

系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。而寧波市政府的

這些應用系統(tǒng)是政府專網(wǎng)中最重要的組成部分。

DNS服務

DNS是網(wǎng)絡正常運作的基本元素，它們是由運行專門的或操作系統(tǒng)提

供的服務的Unix或NT主機構成。這些系統(tǒng)很容易成為外部網(wǎng)絡攻擊的目

標或跳板。對DNS的攻擊通常是對其他遠程主機進行攻擊做準備，如篡

改域名解析記錄以欺騙被攻擊的系統(tǒng)，或通過獲取DNS的區(qū)域文件而得

到進一步入侵的重要信息。著名的域名服務系統(tǒng)BIND就存在眾多的可以

被入侵者利用的漏洞。特別是基于URL的應用依賴于DNS系統(tǒng)，DNS的

安全性也是網(wǎng)絡安全關注的焦點。

E-Mail

由于郵件服務器軟件的眾多廣為人知的安全漏洞，郵件服務器成為進

0萬正數(shù)碼14

行遠程攻擊的首選目標之一。如利用公共的郵件服務器進行的郵件欺騙或

郵件炸彈的中轉站或引擎；利用sendmail的漏洞直接入侵到郵件服務器的

主機等。而寧波政府專網(wǎng)的內部E-mail系統(tǒng)覆蓋面廣，所以迫切需要使用

防火墻來保護內部E-mail系統(tǒng)。

WWW

利用HTTP服務器的一些漏洞，特別是在大量使用服務器腳本的系統(tǒng)

上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權的操作者可以很容易地獲得系

統(tǒng)的控制權。在寧波市政府存在各種WWW服務，這些服務協(xié)議或多或少

存在安全隱患。

FTP

一些FTP服務器的缺陷會使服務器很容易被錯誤的配置，從而導致安

全問題，如被匿名用戶上載的木馬程序，下載系統(tǒng)中的重要信息（如口令

文件）并導致最終的入侵。有些服務器版本帶有嚴重的錯誤，比如可以使

任何人獲得對包括root在內的任何帳號的訪問。

2.2.2.網(wǎng)絡中主要系統(tǒng)的安全風險

整個系統(tǒng)中網(wǎng)絡設備主要采用路由器設備，有必要分析這些設備的風險。路

由器是網(wǎng)絡的核心部件，路由器的安全將直接影響整個網(wǎng)絡的安全。下面列舉了

一些路由器所存在的主要安全風險：

■路由器缺省情況下只使用簡單的口令驗證用戶身份，并且遠程TELNET登錄時

以明文傳輸口令。一旦口令泄密路由器將失去所有的保護能力。

■路由器口令的弱點是沒有計數(shù)器功能，所以每個人都可以不限次數(shù)的嘗試登錄

口令，在口令字典等工具的幫助下很容易破解登錄口令。

■每個管理員都可能使用相同的口令，因此，路由器對于誰曾經(jīng)作過什么修改，

系統(tǒng)沒有跟蹤審計的能力。

■路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在定的安全漏洞，有可能被惡意的攻擊者

利用來破壞網(wǎng)絡的路由設置，達到破壞網(wǎng)絡或為攻擊做準備的目的。針對這種情況,

必須采取措施，有效防止非法對網(wǎng)絡設備訪問。

■TCP/IP風險：系統(tǒng)采用TCP/IP協(xié)議進行通信，而因為TCP/IP協(xié)議中存在固有

的漏洞，比如：針對TCP序號的攻擊，TCP會話劫持，TCPSYN攻擊等。同時系統(tǒng)

的DNS采用UDP協(xié)議，因為UDP協(xié)議是非面向連接的協(xié)議，對系統(tǒng)中的DNS等相關

應用帶來安全風險。

0萬正數(shù)再15

2.2.3.數(shù)據(jù)庫系統(tǒng)安全分析

數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務。數(shù)據(jù)

庫的安全問題，在數(shù)據(jù)庫技術誕生之后就一直存在，并隨著數(shù)據(jù)庫技術的發(fā)展而

不斷深化。不法份子利用已有的或者更加先進的技術手段通常對數(shù)據(jù)庫進行偽造

數(shù)據(jù)庫中的數(shù)據(jù)、損壞數(shù)據(jù)庫、竊取數(shù)據(jù)庫中的數(shù)據(jù)。如何保證和加強數(shù)據(jù)庫系

統(tǒng)的安全性和保密性對于網(wǎng)絡的正常、安全運行至關重要。

2.2.4.Unix系統(tǒng)的安全分析

UNIX系統(tǒng)安全具有如下特征：

?操作系統(tǒng)可靠性：它用于保證系統(tǒng)的完整性，系統(tǒng)處于保護模式下，通過硬件

和軟件保證系統(tǒng)操作可靠性。

?訪問控制：允許通過改變用戶安全級別、訪問權限，具有統(tǒng)?的訪問控制表。

?對象可用：當對象不需要時應該立即清除。

?個人身份標識與認證：它主要為了確定身份，如用戶登陸時采用擴展

的DES算法對口令進行加密。

?審計：它要求對使用身份標識和認證的機制，文件的創(chuàng)建，修改，系

統(tǒng)管理的所有操作以及其他有關安全事件進行記錄，以便系統(tǒng)管理員

進行安全跟蹤。

?往來文件系統(tǒng)：UNIX系統(tǒng)提供了分布式文件系統(tǒng)(DFS)的網(wǎng)絡安全。

將網(wǎng)絡與外部網(wǎng)絡相連接，會使您的網(wǎng)絡遭受潛在的服務中斷、

未經(jīng)授權的入侵以及相當大的破壞。比如下面的一些安全隱患：

■"拒絕服務"攻擊(DenialofServiceAttacks):這些攻擊禁止系統(tǒng)向顧

客提供服務，使顧客不能得到某種服務。例如，攻擊可能使用大而無用的流

量充斥網(wǎng)絡，導致無法向顧客提供服務。最通常的情況是這種攻擊可能毀壞

系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服務時慢的出奇。

■緩沖區(qū)溢出攻擊(BufferOverrunExploits):其中包括利用軟件的弱點將

任意數(shù)據(jù)添加進某個程序中，從而在它以根的身份運行時，有可能賦予剝削

者對您的系統(tǒng)的根訪問權。這也可能導致某種“拒絕服務”攻擊。

■竊聽和重放攻擊(SnoopingandReplayAttacks):竊聽攻擊涉及某個對網(wǎng)

絡卜一的兩臺機器之間的通訊流進行偵聽的入侵者。通訊流可能包含使用

telnet、rlogin或ftp時來回傳遞的未加密的口令。這有可能造成某個未

經(jīng)授權的個人非法進入您的網(wǎng)絡或看到機密數(shù)據(jù)。

■IP欺騙(IPSpoofing):基于IP欺騙的攻擊涉及對計算機未經(jīng)授權的訪問。

通過偵聽網(wǎng)絡通訊流，入侵者找到受信任主機的一個IP地址，然后發(fā)送消

息時指示該消息來自受信任主機。

0萬正數(shù)碼16

■內部泄密(InternalExposure):絕大多數(shù)網(wǎng)絡非法進入皆起因于某個心懷

惡意或對現(xiàn)狀不滿的現(xiàn)任或前任雇員濫用對信息的訪問權或非法闖入您的

網(wǎng)絡。

針對Unix系統(tǒng)存在的諸多風險，應該采取相應的安全措施。必須對這些風

險加以控制。針對這個部分的安全控制可以采取特殊的安全策略，同時利用相關

的軟件對系統(tǒng)進行配置、監(jiān)控。制定詳細的訪問控制計劃、策略。

2.2.5.WindowsNT系統(tǒng)的安全分析

WindowsNT的安全機制的基礎是所有的資源和操作都受到選擇訪問控制的保護，可以

為同一目錄的不同文件設置不同的權限。這是NT的文件系統(tǒng)的最大特點。NT的安全機制不

是外加的，而是建立在操作系統(tǒng)內部的，可以通過定的設置使文件和其他資源免受在存放

的計算機上工作的用戶和通過網(wǎng)絡接觸資源的用戶的威脅(破壞、非法的編輯等)。安全機

制甚至包含基本的系統(tǒng)功能，例如設置系統(tǒng)時鐘。對用戶帳號、用戶權限及資源權限的合理

組合，可以有效地保證安全性。通過一系列的管理工具，以及對用戶帳號、口令的管理，對

文件、數(shù)據(jù)授權訪問，執(zhí)行動作的限制，以及對事件的審核可以使WindowsNT達到C2級安

全。

在網(wǎng)絡中，有三種方式可以訪問NT服務器：

(1)通過用戶帳號、密碼、用戶組方式登錄到服務器上，在服務器允許的權限內對

資源進行訪問、操作。這種方式的可控制性較強，可以針對不同的用戶。

(2)在局部范圍內通過資源共享的形式，這種方式建立在NETBIOS的基礎之上。通過

對共享資源的共享權限的控制達到安全保護。但不能針對不同的用戶，當一個用戶在通過共

享對某一個資源進行操作時(這時共享權限有所擴大)，其他用戶趁虛而入，而造成對資源

的破壞。

(3)在網(wǎng)絡中通過TCP/IP協(xié)議，對服務器進行訪問。目前典型應用有FTP、HTTP、WWW

等。通過對文件權限的限制和對IP的選擇，對登錄用戶的認證可以在安全性上做到一定的

保護。

山于WindowsNT系統(tǒng)的復雜性，以及系統(tǒng)的生存周期比較短，系統(tǒng)中存在大量已知和

未知的漏洞，一些國際上的安全組織已經(jīng)發(fā)布了大量的安全漏洞，其中?些漏洞可以導致入

侵者獲得管理員的權限，而另一些漏洞則可以被用來實施拒絕服務攻擊。

2.2.6.管理系統(tǒng)的安全風險

管理系統(tǒng)的安全風險除了上面提到的系統(tǒng)風險之外，系統(tǒng)結構復雜、管

理難度大，存在各種服務，哪些服務對哪些人是開放的、哪些是拒絕的都沒有一

定的安全劃分。必須防止內部不相關人員非法訪問安全程度要求高的數(shù)據(jù)，而且

整個系統(tǒng)的正常運行也是保證銀行系統(tǒng)日常工作正常進行的一個十分重要的方

面。必須限制管理系統(tǒng)內各個部門之間訪問權限，維護各個系統(tǒng)的安全訪問。而

0萬正數(shù)碼17

由于整個系統(tǒng)是一個體系，任何一個點出現(xiàn)安全問題，都可能給相關人員帶來損

失。

2.3.寧波政府專網(wǎng)安全風險解決方案設計的原則和目標

原則：從網(wǎng)絡安全整個體系考慮，本次防火墻選擇原則是：

安全性：防火墻提供一整套訪問控制/防護的安全策略，保證系統(tǒng)的安全性；

開放性：防火墻采用國家防火墻相關標準和網(wǎng)絡安全領域相關技術標準；

高可靠性：防火墻采用軟件、硬件結合的形式，保證系統(tǒng)長期穩(wěn)定、安全運行；

可擴充性：防火墻采用模塊化設計方式，方便產(chǎn)品升級、功能增強、調整系統(tǒng)結構;

可管理性：防火墻采用基于windows平臺GUI模式進行管理，方便各種安全策略設

置；

可維護性：防火墻軟件維護方便，便于操作管理；

目標：網(wǎng)絡安全包括很多方面，如：訪問控制、身份認證、數(shù)據(jù)加密、入侵檢測、防止病毒、

數(shù)據(jù)備份等。本次防火墻系統(tǒng)建設的目標是通過采用防火墻技術，防止不同節(jié)點間對

內聯(lián)網(wǎng)數(shù)據(jù)的非法使用和訪問，監(jiān)控整個網(wǎng)絡數(shù)據(jù)過程。有效防止攻擊行為。限制對

內部資源和系統(tǒng)的訪問范圍。

通過在系統(tǒng)中設置防火墻的安全措施將達到以卜.目標：

保護基于專網(wǎng)的業(yè)務不間斷的正常運作。包括構成所有設施、系統(tǒng)、以及系統(tǒng)所處

理的數(shù)據(jù)（信息）。

重要信息在可控的范圍內傳播，即有效的控制信息傳播的范圍，防止重要信息泄露

解決網(wǎng)絡的邊界安全問題

保證網(wǎng)絡內部的安全

實現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全

在用戶和資源之間進行嚴格的訪問控制（通過身份認證，訪問控制）

建立一套數(shù)據(jù)審計、記錄的安全管理機制（網(wǎng)絡數(shù)據(jù)采集，審計）

融合技術手段和行政手段，形成全局的安全管理。

為了解決專網(wǎng)面臨的安全問題，有必要建立一整套安全機制，包括：訪問控

制、入侵檢測等多個方面。信息系統(tǒng)的安全是一個復雜的系統(tǒng)工程，涉及到技術

和管理等多個層面。為達成以上目標，方正數(shù)碼在充分調研和分析比較的基礎上

采用合理的技術手段和產(chǎn)品以構建一個完整的安全技術體系，協(xié)助寧波政府建立

完善的安全管理體系。

0萬正數(shù)碼18

2.3.1.網(wǎng)絡安全解決方案的組成

針對前文對黑客入侵的過程的描述，為了更為有效的保證網(wǎng)絡安全，方正數(shù)

碼提出了兩個理念：立體安全防護體系和安全服務支撐體系。首先網(wǎng)絡的安全決

不僅僅是一個防火墻，它應是包括入侵測檢（IDS）、虛擬專用網(wǎng)（VPN）等功

能在內的立體的安全防護體系；其次真正的網(wǎng)絡安全一定要配備完善的高質量的

安全維護服務，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。

一個好的網(wǎng)絡安全解決方案應該由如下兒個部分組成：

?防火墻：對網(wǎng)絡攻擊的阻隔

防火墻是保證網(wǎng)絡安全的重要屏障。防火墻根據(jù)網(wǎng)絡流的來源和訪問的目

標，對網(wǎng)絡流進行限制，允許合法網(wǎng)絡流，并禁止非法網(wǎng)絡流。防火墻最大的意

義在網(wǎng)絡邊界處提供統(tǒng)一的安全策略，有效的將復雜的網(wǎng)絡安全問題簡化，大大

降低管理成本和潛在風險。在應用防火墻技術時，正確的劃分網(wǎng)絡邊界和制定完

善的安全策略是至關重要的。

發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。比如方正方御防火

墻在很好的實現(xiàn)了防火墻功能的同時，也實現(xiàn)了下面所說的入侵檢測功能；

?入侵檢測（IDS）：對攻擊試探的預警

當黑客試探攻擊時，大多采用一些已知的攻擊方法來試探。網(wǎng)絡安全漏洞掃

描器是“先敵發(fā)現(xiàn)”，未雨綢繆。而從另外一個角度考慮問題，“實時監(jiān)測”，發(fā)

現(xiàn)黑客攻擊的企圖，對于網(wǎng)絡安全來說也是非常有意義的。甚至由此派生出了

PA2DR理論。

入侵檢測系統(tǒng)通過掃描網(wǎng)絡流里的特征字段（網(wǎng)絡入侵檢測），或者探測系

統(tǒng)的異常行為（主機入侵檢測），來發(fā)覺這類攻擊的存在。一旦被發(fā)現(xiàn)，則報警

并作出相應處理，同時可以根據(jù)預定的措施自動反應，比如暫時封掉發(fā)起該掃描

的IPo方正方御防火墻已經(jīng)內置的了一套網(wǎng)絡版的IDS系統(tǒng)能夠快速并有效的

發(fā)現(xiàn)1500余種攻擊行為。

需要注意的是，入侵檢測系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻

擊痕跡。事實上，黑客可以將一些廣為人知的網(wǎng)絡攻擊進行一些較為復雜的變形,

就能做到?jīng)]有入侵檢測系統(tǒng)能夠識別出來。所以，在應用入侵檢測系統(tǒng)時，千萬

0萬正數(shù)碼19

不要因為有了入侵檢測系統(tǒng)，就不對系統(tǒng)中的安全隱患進行及時補救。

?安全審計管理

安全審計系統(tǒng)必須實時監(jiān)測網(wǎng)絡上和用戶系統(tǒng)中發(fā)生的各類與安全有關的

事件，如網(wǎng)絡入侵、內部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些

情況真實記錄，并能對于嚴重的違規(guī)行為進行阻斷。安全審計系統(tǒng)所做的記錄如

同飛機上的黑匣子，在發(fā)生網(wǎng)絡犯罪案件時能夠提供寶貴的偵破和取證輔助數(shù)

據(jù)，并具有防銷毀和篡改的特性。

安全審計跟蹤機制的內容是在安全審計跟蹤中記錄有關安全的信息，而安全

審計管理的內容是分析和報告從安全審計跟蹤中得來的信息。安全審計跟蹤將考

慮要選擇記錄什么信息以及在什么條件下記錄信息。

收集審計跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對安全要求

的明顯違反或成功操作的完成），能適應各種不同的需要。已知安全審計的存在

可對某些潛在的侵犯安全的攻擊源起到威攝作用。

?虛擬專用網(wǎng)（VPN）：遠程傳輸?shù)陌踩?/p>

VPN技術在把分散在各處的服務器群連成了一個整體，形成了一個虛擬的

專用網(wǎng)絡。通過VPN的加密通道，數(shù)據(jù)被加密后傳輸，保證了遠程數(shù)據(jù)傳輸?shù)?/p>

安全性。使用VPN可以象管理本地服務器一-樣去安全的管理遠程的服務器。

VPN帶來的最大好處是確保安全性的同時，復用物理信道，降低使用成本。

方正方御防火墻提供了軟、硬兩種方式來實現(xiàn)VPN。

?防病毒以及特洛伊木馬

計算機病毒的危害不言而喻，計算機病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結

合起來，成為黑客的又一利器。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛

伊木馬所為。

?安全策略的實施保證

網(wǎng)絡安全知識的普及，網(wǎng)絡安全策略的嚴格執(zhí)行，是網(wǎng)絡安全最重要的保障。

止匕外，信息備份是信息安全的最起碼的要求。能減少惡意網(wǎng)絡攻擊或者意外

災害帶來的破壞性損失。

0萬正數(shù)碼20

2.3.2.超高安全要求下的網(wǎng)絡保護

對于寧波市政府系統(tǒng)計算機專網(wǎng)數(shù)據(jù)中心安全而言，安全性需求就更加的

高，屬于超高安全要求下的網(wǎng)絡保護范圍，因此需要在這些地方使用2臺防火墻

進行雙機熱備，以保證數(shù)據(jù)穩(wěn)定傳輸。

.認證與授權

認證與授權是一切網(wǎng)絡安全的根基所在，尤其在網(wǎng)絡安全管理、外部網(wǎng)絡訪

問內部網(wǎng)絡（包括撥號）時，要有非常嚴格的認證與授權機制，防止黑客假冒身

份滲透進內部網(wǎng)絡。

對于內部訪問，也要有完善的網(wǎng)絡行為審計記錄和權限限定，防止由內部人

員發(fā)起的攻擊——70%以上的攻擊都是內部人員發(fā)起的。

我們建議寧波市政府系統(tǒng)計算機專網(wǎng)利用基于X.509證書的認證體系（目前

最強的認證體系）來進行認證。

方正方御防火墻管理也是用X.509證書進行認證的。

.網(wǎng)絡隔離

網(wǎng)絡安全界的一個玩笑就是：要想安全，就不要插上網(wǎng)線。這是一個簡單的

原理：如果網(wǎng)絡是隔離開的，那么網(wǎng)絡攻擊就失去了其存在的介質，皮之不存，

毛將焉附。

但對于需要和外界溝通的實際應用系統(tǒng)來說，完全的物理隔離是行不通的。

方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡隔離解決方案，在網(wǎng)絡連通條件下，通過

破壞網(wǎng)絡攻擊得以進行的另外兩個重要條件：

令從外部網(wǎng)絡向內部網(wǎng)絡發(fā)起連接

令將可執(zhí)行指令傳送到內部網(wǎng)絡

從而確保寧波市政府系統(tǒng)計算機專網(wǎng)的安全。

0萬正數(shù)碼21

.實施保證

寧波市政府系統(tǒng)計算機專網(wǎng)牽涉網(wǎng)點眾多，網(wǎng)絡結構復雜。要保護這樣一個

繁雜的網(wǎng)絡系統(tǒng)的網(wǎng)絡安全，必須有完善的管理保證。安全系統(tǒng)要能夠提供統(tǒng)一

的集中的靈活的管理機制，一方面要能讓寧波市政府系統(tǒng)計算機專網(wǎng)網(wǎng)控中心的

網(wǎng)管人員監(jiān)控整體網(wǎng)絡安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具

體事務。

方正方御防火墻采用基于WindowsGUI的用戶界面進行遠程集中式管理，配

置管理界面直觀，易于操作?？梢酝ㄟ^一個控制機對多臺方正方御防火墻進行集

中式的管理。

方正方御防火墻符合國家最新防火墻安全標準，采用了三級權限機制，分為

管理員，策略員和審計員。管理員負責防火墻的開關及日常維護，策略員負責配

置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權機

制，這樣他們共同地負責起?個安全的管理平臺。事實上，方御防火墻是通過該

標準認證的第一個狀態(tài)檢測型包過濾防火墻。

另外，方正方御防火墻還提供了原標準中沒有強制執(zhí)行的實施域分組授權機

制，尤其適合于寧波市政府系統(tǒng)計算機專網(wǎng)這樣的大型網(wǎng)絡。

2.4.防火墻選型

防火墻是網(wǎng)絡安全領域首要的、基礎的設施，它對維護內部網(wǎng)絡的安全起著

重要的作用。利用防火墻可以有效地劃分網(wǎng)絡不同安全級別區(qū)域間的邊界，并在

邊界上對不同區(qū)域間的訪問實施訪問控制、身份鑒別、和安全審計等功能。

防火墻按實現(xiàn)的方式不同，其基本類型有：包過濾型、代理（應用網(wǎng)關）型和

復合型。

復合型防火墻是在綜合動態(tài)包過濾技術和代理技術的優(yōu)點的情況下采取的

一種更加完善和安全的防火墻技術。其功能強大，是未來防火墻技術發(fā)展的一個

主要趨勢。綜合考慮寧波市政府網(wǎng)絡安全實際情況，在本方案中采用方正數(shù)碼的

方正方御復合型防火墻，放置在網(wǎng)絡連接的各個節(jié)點間。

0萬正數(shù)碼22

2.5.防火墻設置及工作模式

■防火墻提供三個接口：內網(wǎng)、外網(wǎng)、DMZ；

■防火墻工作在橋模式，這樣不需要改動現(xiàn)有網(wǎng)絡的拓撲結構；

■將對外服務的各種服務設備放置在DMZ區(qū)域，和內部網(wǎng)絡嚴格區(qū)分開，保證內部系

統(tǒng)安全。

2.6.防火墻功能設置及安全策略

2.6.1.完善的訪問控制

規(guī)則控制：通過方正方御防火墻提供的基于TCP/IP協(xié)議中各個環(huán)節(jié)進行安全控制，生

成完整安全的訪問控制表，這個表包括：

■外網(wǎng)對DMZ內服務訪問控制。將外部對內部、DMZ內服務訪問明確限制，防止非

法對內部重要系統(tǒng)，特別是業(yè)務系統(tǒng)的訪問。利用DMZ的隔離效果，盡量將對外

服務的部分服務器放置在DMZ區(qū)域，通過NAT方式，保護內部網(wǎng)絡免受攻擊。關

閉操作系統(tǒng)提供的除需要以外的所有服務和應用，防止因為這些服務和應用自身

的漏洞給系統(tǒng)帶來的風險。對內部E-mail,FTP、WWW、數(shù)據(jù)庫的訪問做嚴格的

規(guī)劃和限制，防止惡意攻擊行為發(fā)生。

■內部網(wǎng)絡：內部網(wǎng)絡對外部網(wǎng)絡的訪問也要進行嚴格的限制。防止內部員工對外

網(wǎng)資源的非法訪問。同時內部員工對DMZ區(qū)域服務器訪問也必須做限制。內部員

工對外網(wǎng)WWW訪問采用代理方式。

■DMZ訪問：通常情況下DMZ對外部和內部都不能主動進行訪問，除非特殊的應用

需要到內部網(wǎng)絡采集數(shù)據(jù)，可以有限地開放部分服務。

借助方正方御防火墻提供的基于狀態(tài)包過濾技術對數(shù)據(jù)的各個方向采用全面安全

的技術策略，制定嚴格完善的訪問控制策略保證從IP到傳輸層的數(shù)據(jù)安全。通過

嚴格的訪問控制表來進行限制。

IPMAC地址捆綁：

方正方御防火墻提供靈活而方式多種的內部網(wǎng)絡、DMZ區(qū)域、外部網(wǎng)

絡IPMAC地址捆綁功能，將每臺機器的IP地址和它自身的物理地址捆綁，

有效防止內部網(wǎng)絡、DMZ區(qū)域、外部網(wǎng)絡的IP地址盜用（該功能實質是將

網(wǎng)絡協(xié)議第二層地址和第三層地址進行捆綁，達到一定的安全級別）。內部

系統(tǒng)應該盡量采用固定IP分配方案。通過IPMAC地址捆綁，也可以對后期

數(shù)據(jù)日志分析帶來一定的方便性。

0萬正數(shù)碼23

URL攔截：

方正方御防火墻實現(xiàn)了透明的URL攔截功能，對通過防火墻的應用層

URL進行嚴格的控制和管理，按照用戶的要求進行攔截。外部對DMZ、內部

URL訪問進行控制，同時也可以限制內部網(wǎng)絡對外部網(wǎng)絡URL非法訪問。在

該方案中我們將對內部網(wǎng)絡和外部網(wǎng)絡情況具體了解，對URL攔截達到頁面

級別。有效保護WWW應用的安全。

2.6.2.內置入侵檢測(IDS)

方正數(shù)碼公司和國際網(wǎng)絡安全組織合作，能夠實時獲得最新系統(tǒng)入侵庫代

碼，動態(tài)地將這些攻擊技術的解決方案加入到方正方御防火墻中,同時在方正方

御防火墻內部采用31技術，加速應用層安全防護查詢過程。方正方御防火墻目

前能夠支持1500種以上的入侵檢測并能夠成功阻斷這樣的攻擊行為，比如最近

的紅色代碼。針對各種攻擊行為，比如TCP序列號攻擊、劫持、碎片攻擊、端

口掃描能夠識別阻斷。而這個數(shù)據(jù)庫可以實時更新、升級。升級在方正方御防火

墻界面即可完成。IDS和訪問策略形成互動。通過防火墻嵌入的IDS功能能夠有

效防范對內部Windows/NT,Unix系統(tǒng)的攻擊行為。

電子欺騙：防火墻能夠自動識別各種電子欺騙行為并進行阻斷。同時防火墻

能夠對偽裝IP地址進行識別。

2.6.3.代理服務

方正方御防火墻對外提供代理服務功能，內部網(wǎng)絡對外訪問可以通過防火墻

提供的代理服務功能，同時代理服務可以針對URL,SSL,FTP進行應用攔截，防止

內部人員對外網(wǎng)的非法訪問。

2.6.4.日志系統(tǒng)及系統(tǒng)報警

方正方御防火墻提供強大的日志系統(tǒng)，將通過防火墻的數(shù)據(jù)、防火墻管理數(shù)

據(jù)、流量、各種攻擊行為統(tǒng)計集成到一起。同時系統(tǒng)提供針對各種統(tǒng)計結果按照

用戶要求進行報表打印。

0萬正數(shù)碼24

針對通過防火墻數(shù)據(jù)，可以按照數(shù)據(jù)類型、地址進行統(tǒng)計分析。

針對各種管理數(shù)據(jù)，防火墻進行詳細記錄，網(wǎng)管人員可以方便的查看對防火

墻管理情況。如果有內部人員對防火墻訪問，可以通過管理數(shù)據(jù)進行查詢。

流量統(tǒng)計：防火墻提供流量統(tǒng)計功能，可以按照用戶名稱、地址等多種方式

進行統(tǒng)計。

系統(tǒng)報警：當有人非法對內部網(wǎng)絡或者外部網(wǎng)絡進行訪問的時候，系統(tǒng)的實

時報警會通過E-mail和聲音進行報警。同時對各種非法的訪問和攻擊行為進行

記錄。

通過強大的日志系統(tǒng)和實時報警、日志報警等多種方式保證網(wǎng)絡出現(xiàn)安全問

題時可以有資料分析；同時也可以通過對日志系統(tǒng)的分析完善系統(tǒng)安全策略。

2.6.5.帶寬分配，流量管理

在專網(wǎng)上運行著部分重要的業(yè)務數(shù)據(jù)，這些業(yè)務數(shù)據(jù)實時性要求高，必須保

證這樣的數(shù)據(jù)具有優(yōu)先權限，防止因為帶寬問題影響應用。方正方御防火墻可以

針對實際情況，對部分特殊應用提供帶寬管理。給特殊應用分配相對高的帶寬。

同時方正方御防火墻提供流量管理功能，對內部網(wǎng)絡用戶對外網(wǎng)的訪問可以提供

流量限制。

2.6.6.H.323支持

政府專網(wǎng)運行著視頻會議數(shù)據(jù)（H.323）。方正方御防火墻能夠準確識別

H.323數(shù)據(jù)流，讓數(shù)據(jù)合法通過。按照正常的狀態(tài)檢測技術，H.323數(shù)據(jù)可能被

阻斷。在方正方御防火墻內部成功的進行了UDP、TCP數(shù)據(jù)同步分析。系統(tǒng)能夠

識別H.323連接，保證H.323數(shù)據(jù)通過。

2.6.7.系統(tǒng)升級

網(wǎng)絡安全技術隨著網(wǎng)絡技術發(fā)展不斷變化，而網(wǎng)絡安全策略和軟件也不能一

成不變，需要不斷升級。方正方御防火墻管理界面提供方便的系統(tǒng)升級和IDS

升級功能。保證防火墻產(chǎn)品實時和網(wǎng)絡安全領域技術同步，防止因為新的安全問

0萬正數(shù)碼25

題給系統(tǒng)帶來的安全風險。其中，特別是IDS功能，幾乎每天都有新的安全風險

和攻擊軟件出現(xiàn)。方正防火墻內嵌IDS功能模塊可以動態(tài)升級，保障IDS數(shù)據(jù)庫

和最新動態(tài)同步。

2.6.8.雙機備份

網(wǎng)絡安全、穩(wěn)定長期運行是最終目標，而網(wǎng)絡硬件可能因為一些特殊原因發(fā)

生故障。方正方御防火墻提供雙機備份功能，采用兩種方式進行備份檢測，軟件

方式借用HSRP技術動態(tài)跟蹤各個區(qū)域運行狀態(tài)，發(fā)現(xiàn)任何一個區(qū)域出現(xiàn)問題即

刻進行切換。硬件方式采用心跳線方式，當系統(tǒng)檢測到故障，也將進行切換。而

系統(tǒng)的切換不影響業(yè)務。兩臺防火墻工作在互備模式中。

2.6.9.防火墻方案特點

本次防火墻主要設置在連接的節(jié)點上。本方案中，我們主要根據(jù)寧波政府專

網(wǎng)絡實際情況，針對防火墻的特殊性，從如下幾個方面考慮

保障系統(tǒng)安全性

防火墻放置在內外網(wǎng)之間用來隔離內部網(wǎng)絡和外部網(wǎng)絡，對內外網(wǎng)絡的通信

進行嚴格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證內部系統(tǒng)安全。因

此方正方御防火墻提供全面的訪問控制策略、IPMAC地址捆綁、IDS入侵檢測、

反電子欺騙等手段。這些功能能夠有效的保障內部網(wǎng)絡安全。同時方正方御防火

墻也提供帶寬管理、分配，系統(tǒng)報警等措施從側面協(xié)助。

自身安全性

防火墻作為網(wǎng)絡系統(tǒng)中的一個部件，其自身的安全性也是十分重要的，考慮

到