某市公安局网络安全方案(doc 59页)

PAGE广州市公安局网络安全方案第11页TOC\o"1-3"\h\z1.背景介绍31.1.项目总述31.2.网络环境总述31.3.信息安全方案的组成31.3.1.信息安全产品的选型原则31.3.2.网络安全现状41.3.3.典型的黑客攻击51.3.4.网络与信息安全平台的任务71.3.5.网络安全解决方案的组成71.3.6.超高安全要求下的网络保护92.安全架构分析与设计102.1.网络整体结构112.2.集中管理和分级管理132.3.广州市公安局安全网络系统管理中心网络142.4.各地方管理局网络163.产品选型173.1.防火墙与入侵检测的选型173.1.1.方正数码公司简介173.1.2.产品概述173.1.3.系统特点183.1.4.方正方御防火墙功能说明224.工程实施方案304.1.测试及验收304.1.1.测试及验收描述304.2.系统初验304.2.1.功能测试304.2.2.性能测试315.方正方御防火墙技术支持与服务315.1.方正数码绿色服务体系结构介绍315.2.完善的技术支持与服务335.2.1.售前服务内容335.2.2.售前服务流程345.2.3.售后服务内容355.2.4.售后服务流程365.3.服务方式375.4.服务监督375.5.保修385.6.保修方式385.7.保修范围385.8.保修期的确认395.9.培训安排395.10.全国服务网络405.11.场地及环境准备405.11.1.常规要求405.11.2.机房电源、地线及同步要求415.11.3.设备场地、通信415.11.4.机房环境415.12.验收清单435.12.1.设备开箱验收清单435.12.2.用户信息清单435.12.3.用户验收清单446.方案防火墙数目457.方案整体优势458.方正方御防火墙荣誉证书478.1.部分方正方御防火墙客户名单529.方正方御防火墙成功案例549.1.人民银行应用案例549.1.1.人民银行需求分析549.1.2.系统安全目的569.1.3.安全体系结构569.1.4.安全系统实施579.2.武警总队全国安全应用实例581.背景介绍1.1.项目总述目前，广州市公安局向下各地方的市、区、县局相连，向上和广东省厅相连。形成一个内部办公网络环境。该网络安全方案的目的，是实现电子、信息数据“快速、准确、全面、可靠、安全”的收集、传输、汇总、分析功能。1.2.网络环境总述广州市公安局安全网络系统是涉密的内部业务工作处理网络，传输、处理、查询工作中涉密的信息。该网由与政府有行文关系的各市县和管理站组成。在给地方局域网出入口安装防火墙，关键部位需要双机热备。这些防火墙系统需要集中在广州市公安局数据中心进行管理和审计。1.3.信息安全方案的组成1.3.1.信息安全产品的选型原则广州市公安局安全网络系统是一个要求高可靠性和安全性的网络系统，若干重要的公文信息在网络传输过程中不可泄露，如果数据被黑客修改或者删除，那么就会严重的影响政府的工作。所以，广州市公安局安全网络系统安全产品的选型事关重大，要提到国家战略的高度来衡量，否则一旦被黑客或者敌国攻入，其代价将是不能想象的。广州市公安局安全网络系统方案必须遵循如下原则：全局性原则：安全威胁来自最薄弱的环节，必须从全局出发规划安全系统。广州市公安局安全网络系统安全体系，遵循中心统一规划，各县、地方分别实施的原则。综合性原则：网络安全不单靠技术措施，必须结合管理，当前我国发生的网络安全问题中，管理问题占相当大的比例，在各地方建立网络安全设施体系的同时必须建立相应的制度和管理体系。均衡性原则：安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。节约性原则：整体方案的设计应该尽可能的不改变原来网络的设备和环境，以免资源的浪费和重复投资。集中性原则：所有的防火墙产品要求在广州市公安局数据中心可以进行集中管理，这样才能保证在数据中心的服务器上可以掌握全局。角色化原则：防火墙产品在管理上面不仅在数据中心可以完全控制外，在地方还需要分配适当的角色使地方可以在自己的权利下修改和查看防火墙策略和审计。可扩展原则：由于广州市公安局安全网络系统设计地方比较多，是一个大型的网络，因此随着网络规划和规模的改变，以后必然会有新的需求，因此本方案里面考虑了该因素。目前，很多公开的新闻表明美国国家安全局（NSA）有可能在许多美国大软件公司的产品中安装“后门”，其中包括一些应用广泛的操作系统。为此德国军方前些时候甚至规定在所有牵涉到机密的计算机里，不得使用美国的操作系统。作为信息安全的保障，我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品，将安全风险降至最低。在为各安全产品选型时，我们立足国内，同时保证所选产品的先进性及可靠性，并要求通过国家各主要安全测评认证。1.3.2.网络安全现状Internet正在越来越多地融入到社会的各个方面。一方面，随着网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随着Internet和以电子商务为代表的网络应用的日益发展，Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全，日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言，如果网络安全问题不能得到妥善的解决，将会对国家安全带来严重的威胁。2000年二月，在三天的时间里，黑客使美国数家顶级互联网站－Yahoo!、Amazon、eBay、CNN陷入瘫痪，造成了十几亿美元的损失，令美国上下如临大敌。黑客使用了DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的时间里，又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到黑客攻击。国内第一家大型网上连锁商城IT163网站3月6日开始运营，然而仅四天，该商城突遭网上黑客袭击，界面文件全部被删除，各种数据库遭到不同程度的破坏，致使网站无法运作。客观地说，没有任何一个网络能够免受安全的困扰，依据FinancialTimes曾做过的统计，平均每20秒钟就有一个网络遭到入侵。仅在美国，每年由于网络安全问题造成的经济损失就超过100亿美元。1.3.3.典型的黑客攻击黑客们进行网络攻击的目的各种各样，有的是出于政治目的，有的是员工内部破坏，还有的是出于好奇或者满足自己的虚荣心。随着Internet的高速发展，也出现了有明确军事目的的军方黑客组织。在典型的网络攻击中，黑客一般会采取如下的步骤：自我隐藏，黑客使用通过rsh或telnet在以前攻克的主机上跳转、通过错误配置的proxy主机跳转等各种技术来隐藏他们的IP地址，更高级一点的黑客，精通利用电话交换侵入主机。网络侦探和信息收集，在利用Internet开始对目标网络进行攻击前，典型的黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表，通常很容易建立一个主机列表并且开始了解主机之间的联系。黑客在这个阶段使用一些简单的命令来获得外部和内部主机的名称：例如，使用nslookup来执行“ls”，finger外部主机上的用户等。确认信任的网络组成，一般而言，网络中的主控主机都会受到良好的安全保护，黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的，一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通过检查运行nfsd或mountd的那些主机输出的NFS开始入侵，有时候一些重要目录（例如/etc，/home）能被一个信任主机mount。确认网络组成的弱点，如果一个黑客能建立你的外部和内部主机列表，他就可以用扫描程序（如ADMhack,mscan,nmap等）来扫描一些特定的远程弱点。启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运行，因为’ps’和’netstat’都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后，黑客就会对主机是否易受攻击或安全有一个正确的判断。有效利用网络组成的弱点，当黑客确认了一些被信任的外部主机，并且同时确认了一些在外部主机上的弱点，他们就要尝试攻克主机了。黑客将攻击一个被信任的外部主机，用它作为发动攻击内部网络的据点。要攻击大多数的网络组成，黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序，这样的例子包括易受攻击的Sendmail,IMAP,POP3和诸如statd,mountd,pcnfsd等RPC服务。获得对有弱点的网络组成的访问权，在攻克了一个服务程序后，黑客就要开始清除他在记录文件中所留下的痕迹，然后留下作后门的二进制文件，使其以后可以不被发觉地访问该主机。目前，黑客的主要攻击方式有：欺骗：通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使用，例如盗用拨号帐号。窃听：利用以太网广播的特性，使用监听程序来截获通过网络的数据包，对信息进行过滤和分析后得到有用的信息，例如使用sniffer程序窃听用户密码。数据窃取：在信息的共享和传递过程中，对信息进行非法的复制，例如，非法拷贝网站数据库内重要的商业信息，盗取网站用户的个人信息等。数据篡改：在信息的共享和传递过程中，对信息进行非法的修改，例如，删除系统内的重要文件，破坏网站数据库等。拒绝服务：使用大量无意义的服务请求来占用系统的网络带宽、CPU处理能力和IO能力，造成系统瘫痪，无法对外提供服务。典型的例子就是2000年年初黑客对Yahoo等大型网站的攻击。黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严重后果，如果是对军用和政府网络的攻击，还会对国家安全造成严重威胁。1.3.4.网络与信息安全平台的任务网络与信息安全平台的任务就是创建一个完善的安全防护体系，对所有非法网络行为，如越权访问、病毒传播、恶意破坏等等，事前预防、事中报警并阻止，事后能有效的将系统恢复。在上文对黑客行为的描述中，我们可以看出，网络上任何一个安全漏洞都会给黑客以可乘之机。著名的木桶原理（木桶的容量由其最短的木板决定）在网络安全里尤其适用。所以，我们的方案必须是一个完整的网络安全解决方案，对网络安全的每一个环节，都要有仔细的考虑。1.3.5.网络安全解决方案的组成针对前文对黑客入侵的过程的描述，为了更为有效的保证网络安全，方正数码提出了两个理念：立体安全防护体系和安全服务支持。首先网络的安全决不仅仅是一个防火墙，它应是包括入侵测检（IDS）、虚拟专用网（VPN）等功能在内的立体的安全防护体系；其次真正的网络安全一定要配备完善的高质量的安全维护服务，以使安全产品充分发挥出其真正的安全效力。一个好的网络安全解决方案应该由如下几个部分组成：防火墙：对网络攻击的阻隔防火墙是保证网络安全的重要屏障。防火墙根据网络流的来源和访问的目标，对网络流进行限制，允许合法网络流，并禁止非法网络流。防火墙最大的意义在网络边界处提供统一的安全策略，有效的将复杂的网络安全问题简化，大大降低管理成本和潜在风险。在应用防火墙技术时，正确的划分网络边界和制定完善的安全策略是至关重要的。发展到今天，好的防火墙往往集成了其他一些安全功能。比如方正方御防火墙在很好的实现了防火墙功能的同时，也实现了下面所说的入侵检测功能；入侵检测（IDS）：对攻击试探的预警当黑客试探攻击时，大多采用一些已知的攻击方法来试探。网络安全漏洞扫描器是“先敌发现”，未雨绸缪。而从另外一个角度考虑问题，“实时监测”，发现黑客攻击的企图，对于网络安全来说也是非常有意义的。甚至由此派生出了P^2DR理论。入侵检测系统通过扫描网络流里的特征字段（网络入侵检测），或者探测系统的异常行为（主机入侵检测），来发觉这类攻击的存在。一旦被发现，则报警并作出相应处理，同时可以根据预定的措施自动反应，比如暂时封掉发起该扫描的IP。需要注意的是，入侵检测系统目前不能，以后也很难，精确的发现黑客的攻击痕迹。事实上，黑客可以将一些广为人知的网络攻击进行一些较为复杂的变形，就能做到没有入侵检测系统能够识别出来。所以，在应用入侵检测系统时，千万不要因为有了入侵检测系统，就不对系统中的安全隐患进行及时补救。安全审计管理安全审计系统必须实时监测网络上和用户系统中发生的各类与安全有关的事件，如网络入侵、内部资料窃取、泄密行为、破坏行为、违规使用等，将这些情况真实记录，并能对于严重的违规行为进行阻断。安全审计系统所做的记录如同飞机上的黑匣子，在发生网络犯罪案件时能够提供宝贵的侦破和取证辅助数据，并具有防销毁和篡改的特性。安全审计跟踪机制的内容是在安全审计跟踪中记录有关安全的信息，而安全审计管理的内容是分析和报告从安全审计跟踪中得来的信息。安全审计跟踪将考虑要选择记录什么信息以及在什么条件下记录信息。收集审计跟踪的信息，通过列举被记录的安全事件的类别（例如对安全要求的明显违反或成功操作的完成），能适应各种不同的需要。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威摄作用。虚拟专用网（VPN）：远程传输的安全VPN技术在把分散在各处的服务器群连成了一个整体，形成了一个虚拟的专用网络。通过VPN的加密通道，数据被加密后传输，保证了远程数据传输的安全性。使用VPN可以象管理本地服务器一样去安全的管理远程的服务器。VPN带来的最大好处是确保安全性的同时，复用物理信道，降低使用成本。防病毒以及特洛伊木马计算机病毒的危害不言而喻，计算机病毒发展到今天，已经和特洛伊木马结合起来，成为黑客的又一利器。微软的原码失窃案，据信，就是一黑客使用特洛伊木马所为。由于在金卡工程中没有办公系统部分，所以这部分不多加解释。安全策略的实施保证网络安全知识的普及，网络安全策略的严格执行，是网络安全最重要的保障。此外，信息备份是信息安全的最起码的要求。能减少恶意网络攻击或者意外灾害带来的破坏性损失。1.3.6.超高安全要求下的网络保护对于广州市公安局安全网络系统数据中心安全而言，安全性需求就更加的高，属于超高安全要求下的网络保护范围，因此需要在这些地方使用2台防火墙进行双机热备，以保证数据稳定传输。1.3.6.1.认证与授权认证与授权是一切网络安全的根基所在，尤其在网络安全管理、外部网络访问内部网络（包括拨号）时，要有非常严格的认证与授权机制，防止黑客假冒身份渗透进内部网络。对于内部访问，也要有完善的网络行为审计记录和权限限定，防止由内部人员发起的攻击。我们建议广州市公安局安全网络系统利用基于X.509证书的认证体系（目前最强的认证体系）来进行认证。方正方御防火墙管理也是用X.509证书进行认证的。1.1.1.1.网络隔离网络安全界的一个玩笑就是：要想安全，就不要插上网线。这是一个简单的原理：如果网络是隔离开的，那么网络攻击就失去了其存在的介质，皮之不存，毛将焉附。但对于需要和外界沟通的实际应用系统来说，完全的物理隔离是行不通的。方正数码提出了安全数据通道网络隔离解决方案，在网络连通条件下，通过破坏网络攻击得以进行的另外两个重要条件：从外部网络向内部网络发起连接将可执行指令传送到内部网络从而确保广州市公安局安全网络系统的安全。1.1.1.2.实施保证广州市公安局安全网络系统牵涉网点众多，网络结构复杂。要保护这样一个繁杂的网络系统的网络安全，必须有完善的管理保证。安全系统要能够提供统一的集中的灵活的管理机制，一方面要能让广州市公安局安全网络系统网控中心的网管人员监控整体网络安全状况，另外一方面，要能让地方网管人员灵活处理具体事务。方正方御防火墙采用基于WindowsGUI的用户界面进行远程集中式管理，配置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行集中式的管理。方正方御防火墙符合国家最新防火墙安全

标准

excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载

，采用了三级权限机制，分为管理员，策略员和审计员。管理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的管理和审计中的授权机制，这样他们共同地负责起一个安全的管理平台。事实上，方御防火墙是通过该标准认证的第一个包过滤防火墙。另外，方正方御防火墙还提供了原标准中没有强制执行的实施域分组授权机制，尤其适合于广州市公安局安全网络系统这样的大型网络。2.安全架构分析与设计逻辑上，广州市公安局安全网络系统将划分为2个区域：内部网络，外部互连网络。其中每一个局域网节点划分为内部操作（控制）区、信息共享区两个网段，网段之间设置安全隔离区。每一个网段必须能够构成一个独立的、完整的、安全的、可靠的系统。2.1.网络整体结构广州市公安局安全网络系统需要涉及若干部门，各地方的网络通过专用网连接起来。网络整体结构如下图所示：广州市公安局网络整体结构注：广东省局连接出口处防火墙使用双机热备的方式。2.2.集中管理和分级管理由于广州市公安局安全网络系统涉及的网络安全设备繁多，因此在管理上面需要既能集中管理，又可以在本地进行审计管理，日志查询等操作。而用户的权限机制分配必须通过网络管理中心统一分配和管理。需要集中管理的网络设备包括防火墙设备。在广州市公安局安全网络系统网络管理中心需要对各管理局的网络安全设备进行集中管理。分析广州市公安局安全网络系统的特点和需求，方正方御防火墙的集中管理功能和权限管理机制完全可以满足这些需求。方正方御防火墙采用基于WindowsGUI的用户界面进行远程集中式管理，配置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行集中式的管理。方正方御防火墙采用了三级权限机制，分为管理员，策略员和审计员。管理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的管理和审计中的授权机制。这样他们共同的负责起一个安全的管理平台。广州市公安局安全网络系统的集中管理图如下所示：防火墙产品集中管理示意图在集中管理的过程中，就涉及到用户角色的问题，因此防火墙必须拥有多级的管理机制，这样在保证广州市公安局数据中心掌控全部防火墙使用情况的前提下，又可以使地方的管理人员可以在自己的权限内使用和配置防火墙。2.3.广州市公安局安全网络系统管理中心网络广州市公安局安全网络系统管理中心除了需要提供信息服务外，还需要对各管理局的网络设备进行集中管理，因此网络的安全性和可靠性尤其的重要。出于稳定性的考虑，推荐在和广东省厅连接的出口处的防火墙使用双机热备的方式，以保证网络的不间断性。广州市公安局安全网络系统管理中心网络图如下：广州市公安局网络结构2.4.各地方管理局网络各地方管理局的网络结构节点划分为内部操作（控制）区、公开信息区两个网段。对于这些网络我们建议使用如下方案（以天河区公安局管理中心为例）：南海公安局网络管理中心网络3.产品选型3.1.防火墙与入侵检测的选型我们采用方正最新型方正方御防火墙。方正方御防火墙是一个很优秀的防火墙，同时它集成强大的入侵检测功能。方正方御防火墙是国内第一个通过公安部公共信息网络安全监督局新防火墙认证标准的包过滤级防火墙产品，同时通过了中国人民解放军安全测评认证中心、中国国家信息安全测评认证中心和国家保密局的严格认证。3.1.1.方正数码公司简介作为方正集团互联网战略的实施者，方正数码将自身定位于电子商务的“赋能者”，其业务涉及互联网与电子商务的技术研究应用与系统集成、网络市场营销服务、空间信息应用、无线互联以及电子商务的咨询服务等方向，以帮助政府、行业、企业、网站、电子商务的运营者在互联网时代健康成功的发展为己任。要给电子商务运营者赋能，先要给安全赋能。方正数码首先推出的就是方正方御互联网安全解决方案。方正方御是在经过一年多的大量投入和深入的研究后，提出的一套基于中国国情、全部自主开发、具有领先优势的解决方案。它是一套整体的集群平台，可以解决互联网运营商最为关切的安全性、高可靠性、可扩展性和易于远程管理的问题。目前这套方案已经得到国家有关部门的大力支持，被国家经贸委列为国家创新

计划

项目进度计划表范例计划下载计划下载计划下载课程教学计划下载

项目之一。另外，还得到了国家”863”计划的支持。在立身自主开发外，方正数码还与ISS等众多国际知名的安全公司保持着良好的合作关系，并集成了国内外最优秀的公司安全产品，为国内Internet的安全建设保驾护航。3.1.2.产品概述方御防火墙是方正方御中的主要安全产品之一。由于防火墙技术的针对性很强，它已成为实现网络安全的重要保障之一。方御防火墙是通过对国外防火墙产品的综合分析，针对我们国家的具体应用环境，结合国内外防火墙领域里的最新发展，在面向IDC和中小企业的FireBridge防火墙的基础上，提出的一种具有强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的安全可靠的专用防火墙系统。方正方御防火墙不仅仅是一个包过滤的防火墙，而且包括了大量的实用模块，可以为用户提供多方面的服务。方御防火墙保护如下模块：3.1.3.系统特点一体化的硬件设计方正方御防火墙采用了一体化的硬件设计，采用了自己的操作系统，无需其他操作系统的支持，这样能够发挥硬件的最大性能，同时也提高了系统的安全性。双机热备份通过双机热备份，本系统提供可靠的容错/热待机功能。备份防火墙服务器中存有主防火墙服务器的设置镜像，当主防火墙因为某些原因不能正常运作，备份服务器可以在12秒钟内取代主服务器运作，充分保证整个网络系统运作的稳定性。完善的访问控制方正方御防火墙符合国家最新防火墙安全标准，采用了三级权限机制，分为管理员，策略员和审计员。管理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的管理和审计中的授权机制。这样他们共同地负责起一个安全的管理平台。多种工作模式方正方御防火墙可以工作在网桥路由两种模式下，这样可以方便用户使用。使用在网桥模式时在IP层透明，使用路由模式时可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换。防御DOS，DDOS攻击普通的防火墙都是采用限制每一网络地址单位时间内通过的SYN包数量来抵御DDOS攻击，但是通常网络攻击者都会随机的伪造网络地址，因此这种方法防范的效果非常差，不能从根本上抵御DDOS攻击。方正方御防火墙修改了TCP/IP堆栈的算法，使得新的syn连接包可以正常通过，避免了由于大量的攻击SYN包造成网络的阻塞。状态检测方正方御防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是根据规则表进行匹配，而方正方御防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合来对网络状态进行控制。代理服务用户可以设置代理服务器端口来启动代理服务器功能，而且通过设置使用代理服务器用户帐号密码和访问控制来维护安全性。代理服务的访问控制非常的完善，可以对时间、协议、方法、地址、DNS域、目的端口和URL来进行控制。用户完全可以通过设置一定的条件来符合自己的要求。双向网络地址转换系统支持动态、静态、双向的NAT。当用户需要从内部IP访问Internet时，NAT系统会从IP池里取出一个合法的InternetIP，为该用户建立映射。如果需要在Intranet提供让外部访问的服务（如WWW、FTP等），NAT系统可以为Intranet里的服务器建立静态映射，外部用户可以直接访问该服务器。双向网络地址转换为企业用户连接到Internet提供了良好的网络地址隐蔽，并且能减少IP占用，替用户节省费用。提供DMZ区除了内部网络界面和外部网络界面，系统还可以再增加一个网络界面，让管理员灵活应用。如建立DMZ（军事独立区），在其中放置公共应用服务器。带宽管理和流量统计方正方御防火墙系统使用流量统计与控制策略，可方便的根据网段和主机等对流量进行统计与控制管理。用户可以通过设置源地址到目的地址单位在时间内允许通过的流量以及协议和端口来进行带宽控制。日志审计审计功能是方正方御防火墙非常强大的一个部分，目前国内防火墙的审计功能都非常不完善，方正方御防火墙提供了大量的审计内容和对审计内容的查询功能，由于日志可能对一般用户比较难以理解，而我们将日志记录分成了若干部分，而其中每一部分都可以进行查询和管理，这样用户就能对防火墙的情况有一个非常透彻的了解。入侵检测方正方御防火墙入侵检测系统采用了可扩展的检测库方法，目前可以抵御1000多种攻击方法，而且可以通过升级检测库的方法来不断的抵御新的攻击方法。用户还可以自定义攻击检测库来符合自己的要求。自动报警和防范系统方正方御防火墙一旦检测到有黑客进行攻击，会在第一时间内在控制机上进行报警，而且同时会自动封禁掉攻击者的IP地址，这样可以做到防火墙的防范完全自动化，而不象普通的防火墙那样需要人工干预。基于PKI的授权认证方正方御防火墙的授权认证是基于PKI基础之上，因此完全性极高。PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。快速安装配置方正方御防火墙的安装和配置非常方便，管理员只要设定好网络设备的IP地址，然后使用系统提供的一些典型配置模板，适当的修改一些规则来符合要求。除此以外还可以添加系统提供的一些子模板来实现一些特定的功能。图形管理界面用户可以通过图形界面对防火墙进行配置和管理。而且也可以通过图形界面来管理审计内容，而不象有些防火墙是通过命令行方式进行配置。完全中国化的设计方正方御防火墙是由方正数码自行设计和制作的，充分考虑了中国国情，除了界面、帮助文档、使用说明完全中文化外，还加入了一些小型模板用户给管理员配置防火墙。集中管理方正方御防火墙采用基于WindowsGUI的用户界面进行远程集中式管理，配置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行集中式的管理。3.1.4.方正方御防火墙功能说明3.1.4.1.多种工作模式方正方御防火墙可以工作在网桥和路由两种模式下：A：网桥模式：3个端口构成一个以太网交换机，防火墙本身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一个互通的物理网络。当防火墙工作在交换模式时，内网、DMZ区和路由器的内部端口构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置。B：路由模式：防火墙本身构成3个网络间的路由器，3个界面分别具有不同的IP地址。三个网络中的主机通过该路由进行通信。当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都可以使用保留地址，内网用户通过地址转换访问Internet，同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。在没有安装方正方御防火墙的时候典型网络结构图如下:在安装了方正方御防火墙的时候网络结构图如下:3.1.4.2.包过滤防火墙方正方御防火墙包过滤的功能是对指定IP包进行包过滤，并且按照设定策略对IP包进行统计和日志记录，主要根据IP包的如下信息进行过滤：源IP地址目的IP地址协议类型（IP、ICMP、TCP、UDP）源TCP/UDP端口目的TCP/UDP端口ICMP报文类型域和代码域碎片包其它标志位，如SYN，ACK位3.1.4.2.1.高效的过滤有些防火墙在安装上以后对WEB服务器的吞吐能力影响很大，造成性能的降低。由于方正方御防火墙采用了3I（IntelligentIPIdentifying）技术，能够实现快速匹配。因此方正方御防火墙不会对性能造成任何影响。方正方御防火墙优化了算法，使最大并发连接数可以达到300,000个以上，而一般的防火墙的最大并发连接只可以达到几万个左右。3.1.4.2.2.碎片处理功能由于很多系统平台，包括一些路由器对IP碎片的处理存在问题，容易产生欺骗和拒绝服务等攻击，方正方御防火墙能够识别出IP碎片并且进行控制，这样一来通过禁止IP碎片通过方正方御防火墙，防止了这样的问题的产生。3.1.4.2.3.防SYNFlood攻击一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。典型的就是SynFlood攻击,通过大量的虚假的Syn包使服务器速度变慢，甚至是死机。一般的防火墙是通过限制每秒钟通过的Syn包数量来组织SynFlood攻击，这种方法可以在一定意义上阻止SynFlood攻击，但是也有可能将正常的Syn包忽略掉，因此不是一种非常好的方法。方正方御防火墙使用了两种方式来反SynFlood攻击，一种方法就是通过设置单位时间内的SYN包数量来控制，另外一种方法修改了TCP/IP堆栈的算法，使得新Syn包始终可以获得连接位。避免了由于大量的攻击SYN包造成网络的阻塞。3.1.4.2.4.强大的状态检测功能方正方御防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配，而方正方御防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合，在继承了传统包过滤系统对应用透明的特性外，还极大地提高了系统的性能和安全性。其他的防火墙大多采用传统的规则表的匹配方法，随着安全规则的增加，势必会使防火墙的性能大幅度的减少，造成网络拥塞。3.1.4.3.IDS(入侵检测系统)3.1.4.3.1.反端口扫描一般黑客如果要对一个网站发动攻击，首先都要扫描目标服务器的端口，确定服务器上开启的服务，然后做出相应的入侵方式。方正方御防火墙入侵检测系统能够在黑客扫描网站的时候就能检测到并报警，这样就能提前将黑客拒之于门外。方正方御防火墙入侵检测系统在检测到有黑客扫描服务器端口的时候会立即在攻击者的视野中消失，从而使黑客无法进行后面的攻击。方正方御防火墙入侵检测系统根据配置文件监控任何和TCP、UDP端口的连接。可以对全部端口同时进行监控，同时也可以忽略指定的端口。这样就能满足不同的需求方式。3.1.4.3.2.可以防范1000余种攻击方式1.检测多种DoS攻击2.检测多种DDoS攻击3.检测保护子网中是否存在后门和木马程序4.检测多种针对Finger服务的攻击5.检测多种针对FTP服务的攻击6.检测基于NetBIOS的攻击7.检测缓冲区溢出类型攻击8.检测基于RPC的攻击9.检测基于SMTP的攻击10.检测基于Telnet的攻击11.检测网络上传输的病毒和蠕虫12.检测CGI攻击13.检测针对WEBServer的FrontPage扩展进行的攻击14.检测针对WEBServer的ColdFusion扩展进行的攻击15.检测针对MicroSoftIISserver进行的攻击16.检测利用ICMP进行的扫描和攻击。17.检测利用Traceroute对网络的探测18.检测ActiveX，JaveApplet的传输19.检测对其他可能的网络服务进行的攻击3.1.4.3.3.在线升级和实时报警由于入侵检测系统的库文件是需要不断的更新，因此方正方御防火墙提供了非常方便的升级接口，可以通过我们的网站进行在线升级，而且我们提供了非常方便的用户升级界面，使升级工作可以非常方便的完成。报警是否能够及时是衡量一个入侵检测系统的重要因素之一，如果在黑客刚刚进行攻击的时候就能够做出响应，那么管理员会有足够的时间进行防护。方正方御防火墙的报警系统和入侵检测系统的协调工作几乎是一致的，一旦入侵检测系统检测到攻击，报警系统会马上做出反应，通过Email或手机

通知

关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知

管理员。同时会启动自动防范系统进行防范。3.1.4.3.4.入侵检测和防火墙的互动通过通信行为跟踪，防火墙能够检测到对网络的多种扫描，检测到对网络的攻击行为，并能够对攻击行为进行响应，包括自动防范及用户自定义安全响应策略等。3.1.4.4.双机热备方正方御防火墙系统能够在网络中智能地寻找与其对等的备份机，并且使备份机自动进入等待状态，而一旦备份机发现主工作机失效，可及时自动启动，防止网络中断事故的发生。其智能识别技术甚至可以支持多于两台以上的方正方御防火墙在网络上互为备份，适用于对可靠性要求极高的场合。3.1.4.5.强大的审计功能审计功能是方正方御防火墙非常强大的一个部分，目前国内防火墙的审计功能都非常不完善，方正方御防火墙提供了大量的审计内容和对审计内容的查询功能，由于日志可能对一般用户比较难以理解，而我们将日志记录分成了若干部分，而且就每一个部分都是可以进行查询和管理的，这样一来就可以使用户对防火墙的情况有一个非常透彻的了解。方正方御防火墙中审计功能有着非常完善的权限管理，有专门的审计员来对审计内容进行管理，在审计中又分成了若干级别的权限。这样可以方便管理员管理审计内容。3.1.4.6.基于PKI的高级授权认证PKI（PublicKeyInfrastructure）是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。网络，特别是Internet网络的安全应用已经离不开PKI技术的支持。网络应用中的机密性、真实性、完整性、不可否认性和存取控制等安全需求只有PKI技术才能满足。PKI在国外已经开始实际应用。在美国，随着电子商务的日益兴旺，电子签名、数字证书已经在实际中得到了一定程度的应用，就连某些国家都已经开始接受电子签名的档案。方正方御防火墙的授权认证是基于PKI基础之上，因此完全性极高。有些防火墙的认证机制采用OTP（OnceTimePassword），或者采用了静态口令机制。比如说，静态密码是用户和机器之间共知的一种信息，而其他人不知道，这样用户若知道这个口令，就说明用户是机器所认为的那个人，那么就很容易的控制防火墙。而一次性口令也一样，用户和机器之间必须共知一条通行短语，而这通行短语对外界是完全保密的。和静态口令不同的是，这个通行短语并不在网络上进行传输，所以黑客通过网络窃听是不可能的。当时使用起来没有使用证书认证方便。因此方正方御防火墙基于PKI的高级授权认证机制在技术上面非常的先进，超越了大部分的防火墙产品。3.1.4.7.集中管理根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下，这些入侵的主要原因并非是防火墙无用，而是由于一般的防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解，而且防火墙的安全策略无法进行集中管理，这些都造成了网络安全的失败。而方正方御防火墙采用基于WindowsGUI的用户界面进行远程集中式管理，配置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行集中式的管理。4.工程实施方案4.1.测试及验收4.1.1.测试及验收描述在整个项目实施过程中，有3个重要的验收，它们是单点验收、初验和终验。下面是这三个验收通过的描述：(1)单点验收通过的条件：设备数量与

合同

劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载

相符完成上机、加电、连接网络及配置(2)移交(初验)测试的定义：买方技术人员按各方商定好的测试项目及方法对系统进行测试。此测试的目的是使整个网络系统具有开放业务的条件。详细的测试方案将和用户协商后确定。移交(初验)测试通过的条件：买方按测试计划完成并通过网络测试或买方开通业务。(3)终验通过的条件：没有出现双方认可的由于安全产品设备造成全网不可恢复的瘫痪没有出现双方认可的由于安全产品设备造成单点不可恢复的瘫痪在试运行期间解决了初验遗留的有关卖方设备的主要技术问题及试运行期间出现的有关卖方设备的主要技术问题。4.2.系统初验初验测试是对网络验收所必须进行的一项工作,是验证网络与应用系统是否达到合同所规定的要求的必要的手段。初验测试所需要进行的工作有：4.2.1.功能测试功能测试主要是为了验证所完成的网络系统是否具有合同所描述的或超过合同要求的各项功能，主要有：网络的连通性测试各应用系统功能的实现网络管理功能的实现实际数据传输的测试4.2.2.性能测试性能测主要是检验所完成的网络系统的性能优劣，主要有：网络的承载能力各网络设备相应速度各应用系统的服务提供功能和能力5.方正方御防火墙技术支持与服务5.1.方正数码绿色服务体系结构介绍方正数码有限公司以北京为核心，在全国范围内建设三层结构技术支持及售后服务体系，为用户提供全方位的服务。方正数码有限公司安全产品技术支持中心（TechnicalSupportCenter）是第三层服务：方正数码安全产品技术支持中心，是三层结构售后服务体系的服务管理中心和技术支持核心。作为技术支持的核心，技术支持中心协助向用户提供完善的售后服务，帮助解决第一层、第二层技术支持服务不能解决的问题，保证防火墙在用户网络上的正常运行。技术支持中心提供服务热线（010-68419468），可以进行远程诊断，解决用户和第一、第二层技术支持服务的电话咨询。技术支持中心提供在线服务，为用户提供产品信息相关发布，产品升级服务、产品在线技术支持（E-mail、Web论坛）、产品资料文档下载服务。技术支持中心为第一层和第二层技术支持服务提供产品培训，协助其掌握产品信息、产品特性以及产品的实施和使用。技术支持中心还提供产品的远程调试服务，当第一层和第二层技术支持服务不能解决用户问题时，可以在得到用户授权后通过产品远程调试接口直接提供技术支持。技术支持中心制定产品的售后服务策略，提供售后服务的作业指导文档，协助第一、第二层服务支持机构完成产品的实施、售后支持服务的全部过程。方正数码安全产品大区平台是第二层服务：方正数码大区平台是方正数码重要的销售和技术支持中心，它可以提供方正方御防火墙的售前、售后的各项支持。方正数码安全产品大区平台技术支持中心的每个技术支持工程师，都经过方正数码专业化的学习和培训，拥有一流的技术和一流的敬业精神，支持第一层技术支持机构进行产品技术支持和服务。方正数码安全产品授权服务商是第一层服务：方正数码有限公司为每个方正方御防火墙授权服务商都提供了标准化、专业化的技术支持培训和严格的上岗认证和服务授权，逐渐形成本地化的服务网络。技术服务的本地化，使遍布全国的用户都能享受到亲切和便捷的技术支持服务。授权服务商的技术支持人员直接面向最终用户，主要负责本地和相邻区域产品的售后支持服务，为用户提供上门服务，包括产品的实施、诊断、维修和保驾等。授权服务商的技术支持人员按照服务流程文档和作业指导书的规范向用户提供服务，并向方正数码技术支持中心返回用户信息（用户电话以及其他联系方式、产品序号、产品实施网络拓扑图等），以便于方正数码对用户进行定期回访。5.2.完善的技术支持与服务方正数码对安全产品提供售前、售后等服务，全面的帮助代理商、服务商和最终用户快速、方便的使用方正数码的安全产品，并且提供多种服务包，满足不同用户的特殊需求，以达到协助用户实现网络安全的目标。我们的服务按时间划分为：售前阶段：售前阶段是指从获得用户的需求到安全产品的第一次安装。在这个阶段我们的售前工程师会分析用户需求、设计方案、方案测试及安装、布置网络安全产品，直至用户满意并签署验收报告。售后阶段：从用户购买我们的安全产品开始，我们的售后工程师会帮助用户解决使用中的遇到的各种问题。5.2.1.售前服务内容技术咨询：如果用户或代理商在网络安全方面有疑问或需要帮助可以拨打热线电话咨询，技术咨询热线将解答关于网络安全方面的疑问。售前技术培训：提供防火墙及安全产品的售前技术培训，让代理商、授权服务商和用户了解网络安全的相关信息和知识，熟悉方正数码的产品，能够使用方正数码的产品构建网络安全解决方案。分析用户需求：当用户提供了需求说明后，工程师会认真的分析用户的需求，为用户提供最有效、最实用的安全方案。设计解决方案：在分析用户的需求后，帮助用户设计一套多层次、多角度、易实施、全面的网络安全解决方案。方案布置实施：用户购买了方正方御安全产品后，协助用户按照设计的方案布置、实施。5.2.2.售前服务流程设备验收应该在用户设备到位后5个工作日内完成。其中用户信息包括：产品序号、产品序列号、单位名称、网络名称、地址、联系人、电话（座机、手机）、Email地址、实施网络图等其他和用户保修相关信息。用户会通过电话和Email形式得到方正数码返回的服务号，以确保用户能享受方正数码提供的售后服务。5.2.3.售后服务内容技术培训:为了让用户能够更好的架构自己的网络安全系统，方正数码培训中心提供网络基础、防火墙知识及网络安全培训。培训课程包括TCP/IP基础、网络安全基础、防火墙的实施和使用以及防火墙规则配置分析。如果用户通过了方正数码培训中心的防火墙及网络安全工程师的认证考试，可以获得方正数码网络安全工程师认证证书。产品培训:为了保证用户能够轻松、快速、正确的使用我们的产品，方正数码培训中心提供安全产品的使用、维修培训。系统加固：一般的企业在网络安全方面没有专业的知识和技能，为此方正数码可以协助用户检测网络系统的安全强度，并帮助用户弥补安全上现存的漏洞，提高用户的网络安全等级，增强网络系统的安全性。用户意见处理：我公司始终认为用户提出的意见和建议是推动我们前进的动力之一，为此我们会及时、快速地处理用户的意见和建议，将其分类、汇总并记入我们的数据库，以便于我们不断地对产品进行改进和完善。用户可通过热线电话010－68419468或Email:sharks@ecfounder.com(​mailto:用户可通过热线电话010－68419468或Email:sharks@ecfounder.com​)反映意见和建议。产品答疑：如果用户在产品使用过程中有任何问题可以拨打我们的热线电话或给我们发电子邮件，我们会在第一时间解答您的疑问。故障诊断：当我们的产品出现故障时，用户可以通过我们的热线电话通知我们，我们可以提供包括电话指导、上门服务等形式帮助用户诊断故障并快速解决。版本升级：我们会不定期地提供防火墙的内核及入侵检测库的升级包，用户可以通过我们的网站（www.sharks.net.cn(​http:​/​​/​www.sharks.net.cn​)）下载升级包，升级自己的防火墙。保修服务：方正数码对方正方御防火墙网络安全产品承诺为期一年的免费保修。免费保修期后，方正数码仍然提供完善的服务来保证用户系统的正常运行。5.2.4.售后服务流程为更好地向用户提供方正方御防火墙的服务，方正数码提供了金牌服务、银牌服务、普通服务三个不同档次的服务包供用户挑选。对于购买了这三种服务包的用户方正数码将按照服务包的内容更好的为用户服务。金牌服务：为更好的向用户提供方正方御防火墙的服务，方正数码提供了金牌服务包，它包括安装服务、维修服务、保驾服务（4次）、备机使用、应急响应服务等服务内容。银牌服务：用户可以购买方正数码提供的银牌服务包，它包括安装服务、维修服务、保驾服务（4次）、备机使用等服务内容。普通服务：方正数码还提供了普通服务包，它包括安装服务、维修服务、保驾服务（4次）等服务内容。5.3.服务方式电话支持(周一至周五9:00-18:00，节假日除外)：用户在使用本公司网络安全产品时如遇到问题，无论是软件，硬件或是网络，都可以从方正数码得到电话支持（010-68419468），用户可以指定一名主要联系人及两名替补联系人与方正数码技术支持中心联系。一旦接到用户请求电话，方正数码技术人员将在规定时间内通过电话解决或回答用户的问题。对于非工作日接到的故障电话，最迟将在下一个工作日响应。在线支持：www.sharks.net.cn是一个网络安全专题网站，其中包括方正数码的网络安全系列产品信息、网络安全的各种攻防信息、最新的网络安全资料、用户经常提出的问题及解答、网络安全产品版本内升级程序、补丁程序以及其它对用户解决技术问题有帮助的信息。Website每天更新，用户可以通过Internet实时读取有关信息。现场支持(周一至周五9:00-18:00，节假日除外)：对于通过电话无法解决的问题，方正数码或授权服务中心将派出工程师到用户现场为用户提供现场产品调试服务，保证网络安全产品在用户网络上正常运行。5.4.服务监督为了向您提供更优质的售后服务，保护您的权益，如果在我们承诺的服务范围内您对我公司网络安全产品技术支持中心或者授权维修中心提供的服务有异议时，我公司欢迎您对我们的工作进行监督，我们将以最快的速度给您一个满意的答复。投诉热线：010-68419468传真：010-68426754010-68419253E-mail：Sharks@Ecfounder.com网站：www.sharks.net.cn信函：100089北京市海淀区西三环北路27号北科大厦4层方正数码网络安全产品技术支持中心5.5.保修方正数码有限公司对其防火墙产品承诺如下保修服务：产品一年免费保修，随机资料及光盘、软盘、电源线、串口线、网线、包装材料等不属于保修范围。5.6.保修方式1.故障谮别：当客户购买的网络安全产品发生故障时，方正数码可以提供故障谮别服务。工程师判断故障类型后，由客户决定是否维修。2.维修服务：如果产品的保修类别是现场维修，则产品的维修将在客户的使用现场进行。但如果是某些特殊的故障，经客户同意，方正数码授权工程师会将产品带回维修，并提供一台备机以保证用户网络的正常运行，在修复后将原产品送还客户，并取回备机。3.备件更换：经过诊断，产品故障较为严重无法通过其它维修方式进行维修的，方正数码提供备件更换服务，并恢复原用户产品的配置，以保证用户网络的正常运行。5.7.保修范围方正数码提供的保修服务不适用于向非授权代理商处购买的任何网络安全产品。也不适用于因以下原因而遭受损坏或出现缺陷的任何网络安全产品：地震、火灾等自然灾害及意外事故所造成的损坏擅自更换或修改原网络安全产品硬件部件因使用网络安全产品不当造成的任何间接损失经方正数码或方正数码授权服务供应商之外的人士进行修理或维修（以设备封条为准）人为原因（有可见的物理性损坏等）造成的硬件损坏误用或滥用磨损或损耗5.8.保修期的确认保修期始于购买之日。含有网络安全产品购买日期的购买收据，即为您购买日期的证明。此保修条款仅适用于原始购买人享有。购买网络安全产品后，请填妥保修卡并将此卡[I联]以及用户信息登记卡寄回方正数码进行用户注册，公司收到后，会寄回注册确认函（包含用户的产品服务号），用户凭保修卡及服务号就可享受各项保修服务。如果您没有进行用户注册，维修时，您需要出示原始购买凭证。若用户无法提供以上证明，方正数码将根据产品序列号来计算保修日期，即产品出产之日起三（3）个月算起。5.9.培训安排为保证用户对系统的熟练掌握，方正数码公司为用户提供完善的培训课程。培训目标：掌握网络安全的基本知识掌握各产品的工作原理能熟练操作配置系统能进行日常维护能熟练地根据业务需要进行一定的系统调整。培训课程：TCP/IP基础网络安全基础防火墙的实施和使用防火墙规则配置分析VPN产品的实施和使用培训方式：理论授课、上机实习培训时长：3工作日培训地点：北京方正数码有限公司培训教室培训人数：35人入学要求：计算机使用熟练：熟悉windows系统具有基本网络知识：熟悉路由器、交换机、集线器等基本网络设备。有组建简单局域网络的能力。有组建简单TCP/IP网络的能力。（有防火墙此类安全产品使用经验者更佳）5.10.全国服务网络方正数码公司利用其全国服务网络，可以为广州市公安局网络安全系统在各省市、地方的机构提供本地化的快捷服务。目前方正数码有限公司总部在北京，已在上海、广州开设办事处，并在北京、上海、广州分别设技术支持中心，在全国范围内签有多家授权服务提供商。每星期一至星期五（国家法定节假日除外），每天9:00~18:00可拨打010-68419468热线电话享受技术支持，或者访问我们的网站www.sharks.net.cn，也可直