計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案（網(wǎng)絡(luò)防火墻）
寧波市政府 計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案 （網(wǎng)絡(luò)防火墻） 方正數(shù)碼有限公司 2002年2月 1. 背景介紹 5 1.1. 項(xiàng)目總述 5 1.2. 網(wǎng)絡(luò)環(huán)境總述 5 1.3. 業(yè)務(wù)現(xiàn)狀 6 1.4. 網(wǎng)絡(luò)信息安全概況 7 1.4.1. 網(wǎng)絡(luò)安全現(xiàn)狀 8 1.4.2. 典型的黑客攻擊 8 1.4.3. 網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù) 10 2. 安全架構(gòu)分析與設(shè)計(jì) 11 2.1. 網(wǎng)絡(luò)整體結(jié)構(gòu) 11 2.1.1. 寧波在全國(guó)政府專網(wǎng)中的位置 12 2.1.2. 光纖網(wǎng)絡(luò)平臺(tái) 12 2.2. 寧波政府專網(wǎng)安全風(fēng)險(xiǎn)分析 14 2.2.1. 主要應(yīng)用服務(wù)的安全風(fēng)險(xiǎn) 14 2.2.2. 網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn) 15 2.2.3. 數(shù)據(jù)庫系統(tǒng)安全分析 16 2.2.4. Unix系統(tǒng)的安全分析 16 2.2.5. Windows NT系統(tǒng)的安全分析 17 2.2.6. 管理系統(tǒng)的安全風(fēng)險(xiǎn) 17 2.3. 寧波政府專網(wǎng)安全風(fēng)險(xiǎn)解決方案設(shè)計(jì)的原則和目標(biāo) 18 2.3.1. 網(wǎng)絡(luò)安全解決方案的組成 19 2.3.2. 超高安全要求下的網(wǎng)絡(luò)保護(hù) 21 2.4. 防火墻選型 22 2.5. 防火墻設(shè)置及工作模式 23 2.6. 防火墻功能設(shè)置及安全策略 23 2.6.1. 完善的訪問控制 23 2.6.2. 內(nèi)置入侵檢測(cè)（IDS） 24 2.6.3. 代理服務(wù) 24 2.6.4. 日志系統(tǒng)及系統(tǒng)報(bào)警 24 2.6.5. 帶寬分配，流量管理 25 2.6.6. H.323支持 25 2.6.7. 系統(tǒng)升級(jí) 25 2.6.8. 雙機(jī)備份 26 2.6.9. 防火墻方案特點(diǎn) 26 2.7. 防火墻整體布局 27 2.8. 寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)核心節(jié)點(diǎn)市政府辦公廳網(wǎng)絡(luò) 28 2.9. 各區(qū)及委、辦、局的安全網(wǎng)絡(luò) 28 2.10. 集中管理和分級(jí)管理 29 3. 產(chǎn)品選型 30 3.1. 防火墻與入侵檢測(cè)的選型 30 3.1.1. 方正數(shù)碼公司簡(jiǎn)介 30 3.2. 方正方御防火墻（100M） 31 3.2.1. 產(chǎn)品概述 31 3.2.2. 系統(tǒng)特點(diǎn) 31 3.2.3. 方御防火墻（百兆）的性能 35 3.2.4. 方正方御防火墻功能說明 36 3.3. 方正方御防火墻（1000M） 47 3.3.1. 產(chǎn)品概述 47 3.3.2. 系統(tǒng)特點(diǎn) 48 3.3.3. 方正方御千兆防火墻功能說明 49 3.3.4. 方御防火墻（千兆）的性能 59 4. 工程實(shí)施方案 61 4.1. 合同簽訂階段的工作實(shí)施 61 4.2. 發(fā)貨階段的實(shí)施 62 4.3. 到貨后工作的實(shí)施 63 4.4. 測(cè)試及驗(yàn)收 64 4.4.1. 測(cè)試及驗(yàn)收描述 64 4.5. 系統(tǒng)初驗(yàn) 65 4.5.1. 功能測(cè)試 65 4.5.2. 性能測(cè)試 65 4.5.3. 實(shí)施人員 65 5. 培訓(xùn)方案 66 5.1. 培訓(xùn)目標(biāo) 66 5.2. 培訓(xùn)課程 66 5.3. 培訓(xùn)方式 66 5.4. 培訓(xùn)時(shí)長(zhǎng) 66 5.5. 培訓(xùn)地點(diǎn) 66 5.6. 培訓(xùn)人數(shù) 67 5.7. 培訓(xùn)講師 67 5.8. 入學(xué)要求 68 6. 售后服務(wù)和技術(shù)支持 69 6.1. 售后服務(wù)內(nèi)容 69 6.2. 保修 70 6.3. 保修方式 71 6.4. 保修范圍 71 6.5. 保修期的確認(rèn) 72 6.6. 全國(guó)服務(wù)網(wǎng)絡(luò) 72 6.7. 場(chǎng)地及環(huán)境準(zhǔn)備 72 6.7.1. 常規(guī)要求 72 6.7.2. 機(jī)房電源、地線及同步要求 73 6.7.3. 設(shè)備場(chǎng)地、通信 73 6.7.4. 機(jī)房環(huán)境 73 6.8. 驗(yàn)收清單 75 6.8.1. 設(shè)備開箱驗(yàn)收清單 75 6.8.2. 用戶信息清單 75 6.8.3. 用戶驗(yàn)收清單 76 7. 方案整體優(yōu)勢(shì) 78 8. 方正方御防火墻榮譽(yù)證書 79 背景介紹 1 項(xiàng)目總述 政府專網(wǎng)是寧波市政府信息化建設(shè)的基礎(chǔ)工程，是以寧波市政府東、北大院計(jì)算機(jī)局 域網(wǎng)為核心，以寬帶光纖網(wǎng)絡(luò)為通信平臺(tái)，圍繞業(yè)務(wù)管理、數(shù)據(jù)交換、語音通信、重大 事件處理、視頻會(huì)議等應(yīng)用，覆蓋寧波市各縣（市）、區(qū)政府，市政府各部門，市委辦 、人大辦、政協(xié)辦及市委各工作部門等，并與全國(guó)、全省政府專網(wǎng)聯(lián)接，共約122個(gè)節(jié)點(diǎn) 的城域網(wǎng)。 政府專網(wǎng)是獨(dú)立于公共網(wǎng)絡(luò)之外的政府系統(tǒng)專用網(wǎng)絡(luò)，物理上與外部公共網(wǎng)絡(luò)隔離。 專網(wǎng)內(nèi)部進(jìn)行邏輯分割，采用防火墻隔離、審計(jì)檢測(cè)等措施，建立有效的網(wǎng)絡(luò)安全防范 體系，以滿足國(guó)家黨政機(jī)關(guān)網(wǎng)絡(luò)可傳送普密級(jí)信息的通信安全保密要求。 政府專網(wǎng)涉及范圍廣，建設(shè)要求高，需分期分批進(jìn)行建設(shè)。整個(gè)建設(shè)周期分為二期， 第一期41個(gè)節(jié)點(diǎn)于2002年2月底前完成，第二期約81個(gè)節(jié)點(diǎn)于2002年完成。目前已經(jīng)完成 網(wǎng)絡(luò)平臺(tái)、系統(tǒng)集成、系統(tǒng)商務(wù)標(biāo)的招投標(biāo)工作，正在抓緊進(jìn)行網(wǎng)絡(luò)平臺(tái)建設(shè)及相關(guān)設(shè) 備的訂購(gòu)采購(gòu)工作。政府專網(wǎng)建成后，將極大地促進(jìn)政府業(yè)務(wù)規(guī)范化、辦公自動(dòng)化、管 理智能化、決策科學(xué)化、提高政府機(jī)關(guān)辦事工作效率，實(shí)現(xiàn)政府各部門以及上下級(jí)政府 部門之間信息和資源的共享。 2 網(wǎng)絡(luò)環(huán)境總述 市區(qū)內(nèi)采用千兆以太網(wǎng)技術(shù)，市區(qū)外采用IP OVER SDH傳輸技術(shù)，各節(jié)點(diǎn)用物理光纖接入。政府專網(wǎng)以市政府辦公廳為核心節(jié)點(diǎn)，在市區(qū)內(nèi) 采用4個(gè)匯集點(diǎn)，各節(jié)點(diǎn)用物理光纖就近接入?yún)R集點(diǎn)。在市區(qū)外利用網(wǎng)絡(luò)供應(yīng)商提供的S DH環(huán)路，各節(jié)點(diǎn)用物理光纖接入SDH環(huán)。核心節(jié)點(diǎn)與SDH環(huán)通過物理光纖連接，把市內(nèi)和 市外兩部分連通，組成完整的政府專網(wǎng)網(wǎng)絡(luò)平臺(tái)?？傮w結(jié)構(gòu)請(qǐng)參見網(wǎng)絡(luò)總體拓?fù)鋱D。 [pic] 另外，省政府專網(wǎng)的光纖接入到IBM2216路由器，再經(jīng)過防火墻（上海華堂），以百 兆方式接入核心節(jié)點(diǎn)的接入交換機(jī)。 國(guó)務(wù)院專網(wǎng)的幀中繼專線接入到CISCO路由器，再經(jīng)過防火墻（中科院的安勝（ERCI ST）防火墻），以百兆方式接入核心節(jié)點(diǎn)的接入交換機(jī)。 寧波市處理重大事件指揮中心（以下簡(jiǎn)稱指揮中心）是一個(gè)獨(dú)立的網(wǎng)段，以多模光纖 接入核心點(diǎn)的接入交換機(jī)，中間需以防火墻隔離。 市政府西大院所有單位作為一個(gè)節(jié)點(diǎn)，用4芯光纖接入?yún)R集點(diǎn)。 政府專網(wǎng)采用CISCO的WORKS2000 FOR NT作為網(wǎng)管軟件。 3 業(yè)務(wù)現(xiàn)狀 首先，寧波市政府與上級(jí)政府部門的信息數(shù)據(jù)交換量非常大。一方面，國(guó)務(wù)院、省政 府需要寧波市政府上報(bào)大量信息，如地方經(jīng)濟(jì)運(yùn)行狀況、經(jīng)濟(jì)規(guī)劃、社會(huì)治安情況等； 另一方面，寧波市政府也需要及時(shí)了解國(guó)家有關(guān)政策、法規(guī)的最新情況。第二，寧波市 政府與各縣區(qū)政府?dāng)?shù)據(jù)交換量也相當(dāng)大。第三，為了切實(shí)做好政府各項(xiàng)綜合管理工作， 市政府要領(lǐng)導(dǎo)、安排、督促和協(xié)調(diào)政府各職能部門工作，因此與各部門業(yè)務(wù)聯(lián)系十分密 切，信息交換量很大。第四，市政府與市委、人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁 。 1.寧波市與上級(jí)政府部門之間的信息交流以公文、通知通告、要聞信息等文字資料為 主。 2.寧波市政府系統(tǒng)（含與市委、人大、政協(xié)系統(tǒng)之間）內(nèi)部信息交流內(nèi)容，主要有： ·網(wǎng)上辦公：公文及業(yè)務(wù)工作網(wǎng)上辦理流轉(zhuǎn)。 ·宏觀信息：包括國(guó)際、國(guó)內(nèi)、省內(nèi)、省外、市內(nèi)、市外宏觀經(jīng)濟(jì)數(shù)據(jù)，每日信息， 重要會(huì)議，重大事件。 ·基本信息：包括市情、縣情，各級(jí)領(lǐng)導(dǎo)情況，機(jī)構(gòu)設(shè)置、直屬機(jī)構(gòu)設(shè)置、編制、職 能職責(zé)、聯(lián)系電話、郵箱地址等。 ·通知通告：包括會(huì)議、學(xué)習(xí)、上報(bào)材料等通知，系統(tǒng)內(nèi)的通報(bào)等。 ·工作動(dòng)態(tài)：國(guó)家、省、市政府及政府有關(guān)部門的重要政策信息，政府內(nèi)部改革思路 新經(jīng)驗(yàn)等。 ·重大事件處理：綜合治理、災(zāi)害、汛情、交通等方面的文字、圖像及視頻信息。 ·政策法規(guī)：地方政策法規(guī)和國(guó)家、浙江省的政策法規(guī) ·行業(yè)數(shù)據(jù)：科技、文化、教育、交通等方面的行業(yè)數(shù)據(jù)。 ·地理信息系統(tǒng)：規(guī)劃、建筑、地形地貌等方面的數(shù)據(jù)，包括大型圖片。 ·會(huì)計(jì)核算中心：財(cái)務(wù)數(shù)據(jù) ·經(jīng)濟(jì)服務(wù)中心：批文、辦事程序等數(shù)據(jù) 以上諸項(xiàng)信息內(nèi)容除已說明以外，其余都為文字、數(shù)字等形式。 4 網(wǎng)絡(luò)信息安全概況 目前，很多公開的新聞表明美國(guó)國(guó)家安全局（NSA）有可能在許多美國(guó)大軟件公司的 產(chǎn)品中安裝“后門”，其中包括一些應(yīng)用廣泛的操作系統(tǒng)。為此德國(guó)軍方前些時(shí)候甚至規(guī) 定在所有牽涉到機(jī)密的計(jì)算機(jī)里，不得使用美國(guó)的操作系統(tǒng)。作為信息安全的保障，我 們?cè)诎踩a(chǎn)品選型時(shí)強(qiáng)烈建議使用國(guó)內(nèi)自主開發(fā)的優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品，將安全風(fēng)險(xiǎn)降 至最低。 在為各安全產(chǎn)品選型時(shí)，我們立足國(guó)內(nèi)，同時(shí)保證所選產(chǎn)品的先進(jìn)性及可靠性，并要 求通過國(guó)家各主要安全測(cè)評(píng)認(rèn)證。 1 網(wǎng)絡(luò)安全現(xiàn)狀 Internet正在越來越多地融入到社會(huì)的各個(gè)方面。一方面，隨著網(wǎng)絡(luò)用戶成分越來越 多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電 子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害 領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊(duì)、企業(yè)、個(gè)人 的利益休戚相關(guān)的“大事情”。尤其對(duì)于政府和軍隊(duì)而言，如果網(wǎng)絡(luò)安全問題不能得到妥 善的解決，將會(huì)對(duì)國(guó)家安全帶來嚴(yán)重的威脅。 2000年二月，在三天的時(shí)間里，黑客使美國(guó)數(shù)家頂級(jí)互聯(lián)網(wǎng)站－Yahoo!、Amazon、e Bay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國(guó)上下如臨大敵。黑客使用了DDoS （分布式拒絕服務(wù)）的攻擊手段，用大量無用信息阻塞網(wǎng)站的服務(wù)器，使其不能提供正 常服務(wù)。在隨后的不到一個(gè)月的時(shí)間里，又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭 受攻擊。 國(guó)內(nèi)網(wǎng)站也未能幸免于難，新浪、當(dāng)當(dāng)書店、EC123等知名網(wǎng)站也先后受到黑客攻擊 。國(guó)內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開始運(yùn)營(yíng)，然而僅四天，該商城突遭網(wǎng) 上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使網(wǎng)站無法運(yùn) 作。 客觀地說，沒有任何一個(gè)網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)Financial Times曾做過的統(tǒng)計(jì)，平均每20秒鐘就有一個(gè)網(wǎng)絡(luò)遭到入侵。僅在美國(guó)，每年由于網(wǎng)絡(luò)安 全問題造成的經(jīng)濟(jì)損失就超過100億美元。 2 典型的黑客攻擊 黑客們進(jìn)行網(wǎng)絡(luò)攻擊的目的各種各樣，有的是出于政治目的，有的是員工內(nèi)部破壞， 還有的是出于好奇或者滿足自己的虛榮心。隨著Internet的高速發(fā)展，也出現(xiàn)了有明確 軍事目的的軍方黑客組織。 在典型的網(wǎng)絡(luò)攻擊中，黑客一般會(huì)采取如下的步驟： 自我隱藏，黑客使用通過rsh或telnet在以前攻克的主機(jī)上跳轉(zhuǎn)、通過錯(cuò)誤配置的pr oxy主機(jī)跳轉(zhuǎn)等各種技術(shù)來隱藏他們的IP地址，更高級(jí)一點(diǎn)的黑客，精通利用電話交換侵 入主機(jī)。 網(wǎng)絡(luò)偵探和信息收集，在利用Internet開始對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊前，典型的黑客將會(huì) 對(duì)網(wǎng)絡(luò)的外部主機(jī)進(jìn)行一些初步的探測(cè)。黑客通常在查找其他弱點(diǎn)之前首先試圖收集網(wǎng) 絡(luò)結(jié)構(gòu)本身的信息。通過查看上面查詢來的結(jié)果列表，通常很容易建立一個(gè)主機(jī)列表并 且開始了解主機(jī)之間的聯(lián)系。黑客在這個(gè)階段使用一些簡(jiǎn)單的命令來獲得外部和內(nèi)部主 機(jī)的名稱：例如，使用nslookup來執(zhí)行 “l(fā)s ”， finger外部主機(jī)上的用戶等。 確認(rèn)信任的網(wǎng)絡(luò)組成，一般而言，網(wǎng)絡(luò)中的主控主機(jī)都會(huì)受到良好的安全保護(hù)，黑客 對(duì)這些主機(jī)的入侵是通過網(wǎng)絡(luò)中的主控主機(jī)的信任成分來開始攻擊的，一個(gè)網(wǎng)絡(luò)信任成 員往往是主控主機(jī)或者被認(rèn)為是安全的主機(jī)。黑客通常通過檢查運(yùn)行nfsd或mountd的那 些主機(jī)輸出的NFS開始入侵，有時(shí)候一些重要目錄（例如/etc，/home）能被一個(gè)信任主 機(jī)mount。 確認(rèn)網(wǎng)絡(luò)組成的弱點(diǎn)，如果一個(gè)黑客能建立你的外部和內(nèi)部主機(jī)列表，他就可以用掃 描程序（如ADMhack, mscan, nmap等）來掃描一些特定的遠(yuǎn)程弱點(diǎn)。啟動(dòng)掃描程序的主機(jī)系統(tǒng)管理員通常都不知道一 個(gè)掃描器已經(jīng)在他的主機(jī)上運(yùn)行，因?yàn)椤痯s’和’netstat’都被特洛伊化來隱藏掃描程序。 在對(duì)外部主機(jī)掃描之后，黑客就會(huì)對(duì)主機(jī)是否易受攻擊或安全有一個(gè)正確的判斷。 有效利用網(wǎng)絡(luò)組成的弱點(diǎn)，當(dāng)黑客確認(rèn)了一些被信任的外部主機(jī)，并且同時(shí)確認(rèn)了一 些在外部主機(jī)上的弱點(diǎn)，他們就要嘗試攻克主機(jī)了。黑客將攻擊一個(gè)被信任的外部主機(jī) ，用它作為發(fā)動(dòng)攻擊內(nèi)部網(wǎng)絡(luò)的據(jù)點(diǎn)。要攻擊大多數(shù)的網(wǎng)絡(luò)組成，黑客就要使用程序來 遠(yuǎn)程攻擊在外部主機(jī)上運(yùn)行的易受攻擊服務(wù)程序，這樣的例子包括易受攻擊的Sendmail ,IMAP,POP3和諸如statd,mountd, pcnfsd 等RPC服務(wù)。 獲得對(duì)有弱點(diǎn)的網(wǎng)絡(luò)組成的訪問權(quán)，在攻克了一個(gè)服務(wù)程序后，黑客就要開始清除他 在記錄文件中所留下的痕跡，然后留下作后門的二進(jìn)制文件，使其以后可以不被發(fā)覺地 訪問該主機(jī)。 目前，黑客的主要攻擊方式有： 欺騙：通過偽造IP地址或者盜用用戶帳號(hào)等方法來獲得對(duì)系統(tǒng)的非授權(quán)使用，例如盜 用撥號(hào)帳號(hào)。 竊聽：利用以太網(wǎng)廣播的特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡(luò)的數(shù)據(jù)包，對(duì)信息進(jìn)行 過濾和分析后得到有用的信息，例如使用sniffer程序竊聽用戶密碼。 數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對(duì)信息進(jìn)行非法的復(fù)制，例如，非法拷貝網(wǎng) 站數(shù)據(jù)庫內(nèi)重要的商業(yè)信息，盜取網(wǎng)站用戶的個(gè)人信息等。 數(shù)據(jù)篡改：在信息的共享和傳遞過程中，對(duì)信息進(jìn)行非法的修改，例如，刪除系統(tǒng)內(nèi) 的重要文件，破壞網(wǎng)站數(shù)據(jù)庫等。 拒絕服務(wù)：使用大量無意義的服務(wù)請(qǐng)求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU處理能力和IO能 力，造成系統(tǒng)癱瘓，無法對(duì)外提供服務(wù)。典型的例子就是2000年年初黑客對(duì)Yahoo等大型 網(wǎng)站的攻擊。 黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機(jī)資源被利用和網(wǎng)絡(luò)癱瘓等 嚴(yán)重后果，如果是對(duì)軍用和政府網(wǎng)絡(luò)的攻擊，還會(huì)對(duì)國(guó)家安全造成嚴(yán)重威脅。 3 網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù) 網(wǎng)絡(luò)...
計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案（網(wǎng)絡(luò)防火墻）