計算機專網安全產品解決方案（網絡防火墻）
寧波市政府 計算機專網安全產品解決方案 （網絡防火墻） 方正數(shù)碼有限公司 2002年2月 1. 背景介紹 5 1.1. 項目總述 5 1.2. 網絡環(huán)境總述 5 1.3. 業(yè)務現(xiàn)狀 6 1.4. 網絡信息安全概況 7 1.4.1. 網絡安全現(xiàn)狀 8 1.4.2. 典型的黑客攻擊 8 1.4.3. 網絡與信息安全平臺的任務 10 2. 安全架構分析與設計 11 2.1. 網絡整體結構 11 2.1.1. 寧波在全國政府專網中的位置 12 2.1.2. 光纖網絡平臺 12 2.2. 寧波政府專網安全風險分析 14 2.2.1. 主要應用服務的安全風險 14 2.2.2. 網絡中主要系統(tǒng)的安全風險 15 2.2.3. 數(shù)據(jù)庫系統(tǒng)安全分析 16 2.2.4. Unix系統(tǒng)的安全分析 16 2.2.5. Windows NT系統(tǒng)的安全分析 17 2.2.6. 管理系統(tǒng)的安全風險 17 2.3. 寧波政府專網安全風險解決方案設計的原則和目標 18 2.3.1. 網絡安全解決方案的組成 19 2.3.2. 超高安全要求下的網絡保護 21 2.4. 防火墻選型 22 2.5. 防火墻設置及工作模式 23 2.6. 防火墻功能設置及安全策略 23 2.6.1. 完善的訪問控制 23 2.6.2. 內置入侵檢測（IDS） 24 2.6.3. 代理服務 24 2.6.4. 日志系統(tǒng)及系統(tǒng)報警 24 2.6.5. 帶寬分配，流量管理 25 2.6.6. H.323支持 25 2.6.7. 系統(tǒng)升級 25 2.6.8. 雙機備份 26 2.6.9. 防火墻方案特點 26 2.7. 防火墻整體布局 27 2.8. 寧波市政府系統(tǒng)計算機專網核心節(jié)點市政府辦公廳網絡 28 2.9. 各區(qū)及委、辦、局的安全網絡 28 2.10. 集中管理和分級管理 29 3. 產品選型 30 3.1. 防火墻與入侵檢測的選型 30 3.1.1. 方正數(shù)碼公司簡介 30 3.2. 方正方御防火墻（100M） 31 3.2.1. 產品概述 31 3.2.2. 系統(tǒng)特點 31 3.2.3. 方御防火墻（百兆）的性能 35 3.2.4. 方正方御防火墻功能說明 36 3.3. 方正方御防火墻（1000M） 47 3.3.1. 產品概述 47 3.3.2. 系統(tǒng)特點 48 3.3.3. 方正方御千兆防火墻功能說明 49 3.3.4. 方御防火墻（千兆）的性能 59 4. 工程實施方案 61 4.1. 合同簽訂階段的工作實施 61 4.2. 發(fā)貨階段的實施 62 4.3. 到貨后工作的實施 63 4.4. 測試及驗收 64 4.4.1. 測試及驗收描述 64 4.5. 系統(tǒng)初驗 65 4.5.1. 功能測試 65 4.5.2. 性能測試 65 4.5.3. 實施人員 65 5. 培訓方案 66 5.1. 培訓目標 66 5.2. 培訓課程 66 5.3. 培訓方式 66 5.4. 培訓時長 66 5.5. 培訓地點 66 5.6. 培訓人數(shù) 67 5.7. 培訓講師 67 5.8. 入學要求 68 6. 售后服務和技術支持 69 6.1. 售后服務內容 69 6.2. 保修 70 6.3. 保修方式 71 6.4. 保修范圍 71 6.5. 保修期的確認 72 6.6. 全國服務網絡 72 6.7. 場地及環(huán)境準備 72 6.7.1. 常規(guī)要求 72 6.7.2. 機房電源、地線及同步要求 73 6.7.3. 設備場地、通信 73 6.7.4. 機房環(huán)境 73 6.8. 驗收清單 75 6.8.1. 設備開箱驗收清單 75 6.8.2. 用戶信息清單 75 6.8.3. 用戶驗收清單 76 7. 方案整體優(yōu)勢 78 8. 方正方御防火墻榮譽證書 79 背景介紹 1 項目總述 政府專網是寧波市政府信息化建設的基礎工程，是以寧波市政府東、北大院計算機局 域網為核心，以寬帶光纖網絡為通信平臺，圍繞業(yè)務管理、數(shù)據(jù)交換、語音通信、重大 事件處理、視頻會議等應用，覆蓋寧波市各縣（市）、區(qū)政府，市政府各部門，市委辦 、人大辦、政協(xié)辦及市委各工作部門等，并與全國、全省政府專網聯(lián)接，共約122個節(jié)點 的城域網。 政府專網是獨立于公共網絡之外的政府系統(tǒng)專用網絡，物理上與外部公共網絡隔離。 專網內部進行邏輯分割，采用防火墻隔離、審計檢測等措施，建立有效的網絡安全防范 體系，以滿足國家黨政機關網絡可傳送普密級信息的通信安全保密要求。 政府專網涉及范圍廣，建設要求高，需分期分批進行建設。整個建設周期分為二期， 第一期41個節(jié)點于2002年2月底前完成，第二期約81個節(jié)點于2002年完成。目前已經完成 網絡平臺、系統(tǒng)集成、系統(tǒng)商務標的招投標工作，正在抓緊進行網絡平臺建設及相關設 備的訂購采購工作。政府專網建成后，將極大地促進政府業(yè)務規(guī)范化、辦公自動化、管 理智能化、決策科學化、提高政府機關辦事工作效率，實現(xiàn)政府各部門以及上下級政府 部門之間信息和資源的共享。 2 網絡環(huán)境總述 市區(qū)內采用千兆以太網技術，市區(qū)外采用IP OVER SDH傳輸技術，各節(jié)點用物理光纖接入。政府專網以市政府辦公廳為核心節(jié)點，在市區(qū)內 采用4個匯集點，各節(jié)點用物理光纖就近接入?yún)R集點。在市區(qū)外利用網絡供應商提供的S DH環(huán)路，各節(jié)點用物理光纖接入SDH環(huán)。核心節(jié)點與SDH環(huán)通過物理光纖連接，把市內和 市外兩部分連通，組成完整的政府專網網絡平臺?？傮w結構請參見網絡總體拓撲圖。 [pic] 另外，省政府專網的光纖接入到IBM2216路由器，再經過防火墻（上海華堂），以百 兆方式接入核心節(jié)點的接入交換機。 國務院專網的幀中繼專線接入到CISCO路由器，再經過防火墻（中科院的安勝（ERCI ST）防火墻），以百兆方式接入核心節(jié)點的接入交換機。 寧波市處理重大事件指揮中心（以下簡稱指揮中心）是一個獨立的網段，以多模光纖 接入核心點的接入交換機，中間需以防火墻隔離。 市政府西大院所有單位作為一個節(jié)點，用4芯光纖接入?yún)R集點。 政府專網采用CISCO的WORKS2000 FOR NT作為網管軟件。 3 業(yè)務現(xiàn)狀 首先，寧波市政府與上級政府部門的信息數(shù)據(jù)交換量非常大。一方面，國務院、省政 府需要寧波市政府上報大量信息，如地方經濟運行狀況、經濟規(guī)劃、社會治安情況等； 另一方面，寧波市政府也需要及時了解國家有關政策、法規(guī)的最新情況。第二，寧波市 政府與各縣區(qū)政府數(shù)據(jù)交換量也相當大。第三，為了切實做好政府各項綜合管理工作， 市政府要領導、安排、督促和協(xié)調政府各職能部門工作，因此與各部門業(yè)務聯(lián)系十分密 切，信息交換量很大。第四，市政府與市委、人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁 。 1.寧波市與上級政府部門之間的信息交流以公文、通知通告、要聞信息等文字資料為 主。 2.寧波市政府系統(tǒng)（含與市委、人大、政協(xié)系統(tǒng)之間）內部信息交流內容，主要有： ·網上辦公：公文及業(yè)務工作網上辦理流轉。 ·宏觀信息：包括國際、國內、省內、省外、市內、市外宏觀經濟數(shù)據(jù)，每日信息， 重要會議，重大事件。 ·基本信息：包括市情、縣情，各級領導情況，機構設置、直屬機構設置、編制、職 能職責、聯(lián)系電話、郵箱地址等。 ·通知通告：包括會議、學習、上報材料等通知，系統(tǒng)內的通報等。 ·工作動態(tài)：國家、省、市政府及政府有關部門的重要政策信息，政府內部改革思路 新經驗等。 ·重大事件處理：綜合治理、災害、汛情、交通等方面的文字、圖像及視頻信息。 ·政策法規(guī)：地方政策法規(guī)和國家、浙江省的政策法規(guī) ·行業(yè)數(shù)據(jù)：科技、文化、教育、交通等方面的行業(yè)數(shù)據(jù)。 ·地理信息系統(tǒng)：規(guī)劃、建筑、地形地貌等方面的數(shù)據(jù)，包括大型圖片。 ·會計核算中心：財務數(shù)據(jù) ·經濟服務中心：批文、辦事程序等數(shù)據(jù) 以上諸項信息內容除已說明以外，其余都為文字、數(shù)字等形式。 4 網絡信息安全概況 目前，很多公開的新聞表明美國國家安全局（NSA）有可能在許多美國大軟件公司的 產品中安裝“后門”，其中包括一些應用廣泛的操作系統(tǒng)。為此德國軍方前些時候甚至規(guī) 定在所有牽涉到機密的計算機里，不得使用美國的操作系統(tǒng)。作為信息安全的保障，我 們在安全產品選型時強烈建議使用國內自主開發(fā)的優(yōu)秀的網絡安全產品，將安全風險降 至最低。 在為各安全產品選型時，我們立足國內，同時保證所選產品的先進性及可靠性，并要 求通過國家各主要安全測評認證。 1 網絡安全現(xiàn)狀 Internet正在越來越多地融入到社會的各個方面。一方面，隨著網絡用戶成分越來越 多樣化，出于各種目的的網絡入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電 子商務為代表的網絡應用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關鍵要害 領域。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊、企業(yè)、個人 的利益休戚相關的“大事情”。尤其對于政府和軍隊而言，如果網絡安全問題不能得到妥 善的解決，將會對國家安全帶來嚴重的威脅。 2000年二月，在三天的時間里，黑客使美國數(shù)家頂級互聯(lián)網站－Yahoo!、Amazon、e Bay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。黑客使用了DDoS （分布式拒絕服務）的攻擊手段，用大量無用信息阻塞網站的服務器，使其不能提供正 常服務。在隨后的不到一個月的時間里，又先后有微軟、ZDNet和E*TRADE等著名網站遭 受攻擊。 國內網站也未能幸免于難，新浪、當當書店、EC123等知名網站也先后受到黑客攻擊 。國內第一家大型網上連鎖商城IT163網站3月6日開始運營，然而僅四天，該商城突遭網 上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使網站無法運 作。 客觀地說，沒有任何一個網絡能夠免受安全的困擾，依據(jù)Financial Times曾做過的統(tǒng)計，平均每20秒鐘就有一個網絡遭到入侵。僅在美國，每年由于網絡安 全問題造成的經濟損失就超過100億美元。 2 典型的黑客攻擊 黑客們進行網絡攻擊的目的各種各樣，有的是出于政治目的，有的是員工內部破壞， 還有的是出于好奇或者滿足自己的虛榮心。隨著Internet的高速發(fā)展，也出現(xiàn)了有明確 軍事目的的軍方黑客組織。 在典型的網絡攻擊中，黑客一般會采取如下的步驟： 自我隱藏，黑客使用通過rsh或telnet在以前攻克的主機上跳轉、通過錯誤配置的pr oxy主機跳轉等各種技術來隱藏他們的IP地址，更高級一點的黑客，精通利用電話交換侵 入主機。 網絡偵探和信息收集，在利用Internet開始對目標網絡進行攻擊前，典型的黑客將會 對網絡的外部主機進行一些初步的探測。黑客通常在查找其他弱點之前首先試圖收集網 絡結構本身的信息。通過查看上面查詢來的結果列表，通常很容易建立一個主機列表并 且開始了解主機之間的聯(lián)系。黑客在這個階段使用一些簡單的命令來獲得外部和內部主 機的名稱：例如，使用nslookup來執(zhí)行 “l(fā)s ”， finger外部主機上的用戶等。 確認信任的網絡組成，一般而言，網絡中的主控主機都會受到良好的安全保護，黑客 對這些主機的入侵是通過網絡中的主控主機的信任成分來開始攻擊的，一個網絡信任成 員往往是主控主機或者被認為是安全的主機。黑客通常通過檢查運行nfsd或mountd的那 些主機輸出的NFS開始入侵，有時候一些重要目錄（例如/etc，/home）能被一個信任主 機mount。 確認網絡組成的弱點，如果一個黑客能建立你的外部和內部主機列表，他就可以用掃 描程序（如ADMhack, mscan, nmap等）來掃描一些特定的遠程弱點。啟動掃描程序的主機系統(tǒng)管理員通常都不知道一 個掃描器已經在他的主機上運行，因為’ps’和’netstat’都被特洛伊化來隱藏掃描程序。 在對外部主機掃描之后，黑客就會對主機是否易受攻擊或安全有一個正確的判斷。 有效利用網絡組成的弱點，當黑客確認了一些被信任的外部主機，并且同時確認了一 些在外部主機上的弱點，他們就要嘗試攻克主機了。黑客將攻擊一個被信任的外部主機 ，用它作為發(fā)動攻擊內部網絡的據(jù)點。要攻擊大多數(shù)的網絡組成，黑客就要使用程序來 遠程攻擊在外部主機上運行的易受攻擊服務程序，這樣的例子包括易受攻擊的Sendmail ,IMAP,POP3和諸如statd,mountd, pcnfsd 等RPC服務。 獲得對有弱點的網絡組成的訪問權，在攻克了一個服務程序后，黑客就要開始清除他 在記錄文件中所留下的痕跡，然后留下作后門的二進制文件，使其以后可以不被發(fā)覺地 訪問該主機。 目前，黑客的主要攻擊方式有： 欺騙：通過偽造IP地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權使用，例如盜 用撥號帳號。 竊聽：利用以太網廣播的特性，使用監(jiān)聽程序來截獲通過網絡的數(shù)據(jù)包，對信息進行 過濾和分析后得到有用的信息，例如使用sniffer程序竊聽用戶密碼。 數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對信息進行非法的復制，例如，非法拷貝網 站數(shù)據(jù)庫內重要的商業(yè)信息，盜取網站用戶的個人信息等。 數(shù)據(jù)篡改：在信息的共享和傳遞過程中，對信息進行非法的修改，例如，刪除系統(tǒng)內 的重要文件，破壞網站數(shù)據(jù)庫等。 拒絕服務：使用大量無意義的服務請求來占用系統(tǒng)的網絡帶寬、CPU處理能力和IO能 力，造成系統(tǒng)癱瘓，無法對外提供服務。典型的例子就是2000年年初黑客對Yahoo等大型 網站的攻擊。 黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被利用和網絡癱瘓等 嚴重后果，如果是對軍用和政府網絡的攻擊，還會對國家安全造成嚴重威脅。 3 網絡與信息安全平臺的任務 網絡...
計算機專網安全產品解決方案（網絡防火墻）