陕西电力信息安全与系统管理规划.doc

陕西电力信息安全与系统管理规划防火墙部分建议书阿姆瑞特（亚洲）网络有限公司Amaranten (Asia) Network Co.,2003-12目 录前 言1第一章省电力信息网防火墙需求分析31.1用户需求31.2防火墙实施的目的51.3防火墙选择的依据71.4防火墙安全策略设计的依据8第二章省电力信息网防火墙部署建议102.1省电力信息网络公有IP地址的使用102.2省电力信息网络防火墙整体部署102.3省电力信息网Internet出口112.3.1防火墙型号推荐112.3.2防火墙的使用122.4省公司广域网接入点142.4.1防火墙型号推荐142.4.2防火墙的使用152.5省四大供电局广域网接入点162.5.1防火墙型号推荐162.5.2防火墙的使用172.6省其他供电局广域网接入点172.6.1防火墙型号推荐172.6.2防火墙的使用182.7省变电站广域网接入点182.7.1防火墙型号推荐182.7.2防火墙的使用18第三章Amaranten防火墙产品介绍193.1防火墙的组成193.1.1Amaranten防火墙（硬件）193.1.2防火墙内核193.1.3防火墙管理器193.1.4Amaranten防火墙日志服务器203.2防火墙的主要功能203.2.1全状态检测过滤203.2.2支持VLAN213.2.3基于策略的路由（PBR）213.2.4提供CoS/QoS（服务级别/服务质量）服务223.2.5支持双机热备233.2.6支持接口备份233.2.7多重DMZ区保护243.2.8VPN功能243.2.9多种接入模式253.3防火墙的管理方式253.3.1分级管理253.3.2使用对象名称定义253.3.3组策略管理263.3.4预定义通讯服务263.3.5集中远程管理263.3.6专业级协议栈设置273.3.7支持SNMP协议273.3.8远程Console控制283.3.9安全的远程升级283.3.10独特的防火墙监测283.3.11丰富的日志审计283.4防火墙的型号29第四章 项目概算情况304.1首选部署方案设备清单304.2次选部署方案设备清单314.3备选部署方案设备清单324.4 每台设备所配免费附件33前 言Internet的发展给政府机构、银行、证券、企事业单位带来了革命性的改革和变化。互联网技术的迅猛发展使企业通过利用Internet来提高办事效率和市场反应速度，以便更具竞争力。通过使用Internet技术，任何一个单位的数据资料的传输和存取都变得方便、快捷，但同时也面对Internet开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部人员的安全访问；以及保护国家机关、企事业的机密信息不受黑客和商业间谍的入侵。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机入网，拓宽了共享资源。然而，由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理的无政府状态，逐渐使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。如何能够既保证我们网络的正常应用的同时又保证网络的安全性，防火墙是我们必须要考虑到的设备。防火墙是一种高级访问控制设备，它是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。防火墙的工作原理是按照事先规定好的配置和规则，监测并过滤所有通向外部网和从外部网传来的信息，只允许授权的数据通过，防火墙还应该能够记录有关的联接来源、服务器提供的通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪。2000年阿姆瑞特进入中国市场，作为网络安全产品厂商，很快就推出了适合中国市场需求的7款阿姆瑞特F系列防火墙。凭借先进的技术力量和在网络安全领域的丰富经验，灵活地为SOHO、大中企业和电信级用户提供不同需求的产品和服务，阿姆瑞特防火墙每三个月至六个月便更新一次版本，以确保不断领先的技术，使用户及时得到更安全的服务。目前，阿姆瑞特公司已经在北京、西安、南京、广州、成都等地先后建立办事处，并将销售渠道延伸到全国各个省市，建立起遍及全国的销售和服务平台。在金融、电信、教育、广电、电力、制造和政府等行业已经有广泛的应用，并得到了客户的一致好评。显示出了阿姆瑞特防火墙产品的卓越品质和公司雄厚的技术实力。第一章省电力信息网防火墙需求分析1.1 用户需求陕西电力信息网络目前的现状存在如下特点： 各地区供电局、部分县电力局已建立其企业局域网与内部管理信息系统，尚未建立之企业正在积极进行之中。 没有基于全省的安全的、可管理的信息网络，上下级、同级无法及时流通信息。 数据采集途径分散，重复低水平、低速率的电话远程联网。不仅浪费投资、通信资源，功能简单，更不利于管理和信息交换。 全省光纤网络正在积极建设之中。为了充分利用现有资源的优势，并对结构欠合理的已有设计进行改造，为以后企业的发展打下良好的发展基础，就需要建成各局本地的OA、MIS、用电营销支持系统、全省视频会议系统、实现部分专业应用的互联，为了在通畅的同时保证安全，还必须要实现初步的网络访问控制功能和防病毒功能。分析以上现状和实现目标，可以总结出陕西电力信息系统需求具有如下特点： 高安全性、高稳定性 大规模 综合业务 信息相对集中 集成化企业应用因此，该系统从应用类别的角度来看，应该满足数据、视频、语音同时进行通信的需要，从地域需求的角度来看，要满足近距离传输到远程传输的需要，同时从带宽需求的角度来看，还要满足高带宽、低误码、低延迟的要求，当然还应该重点考虑满足高可靠性、安全性的需求。同时要有为建成信息安全、统一的管理平台、业务性能管理、系统配置、系统监控和系统操作管理等系统并实现系统智能诊断与顾问、事件关联和自动化处理等功能奠定良好的基础。对于其中包含的安全系统，应该同时从物理层、网络层、系统层（主机/OS）、数据、应用、用户、安全管理等各方面来综合考虑，才可满足一个安全的网络建设的需要。从整个系统的技术角度来看，应该符合安全、可靠、开放性、可扩展性、集成性、分布式管理的要求，以满足高数据吞吐量、高可靠性、高冗余性、较好的可扩展性、先进的流量管理与控制（QOS保证）、较好的安全性、保护现有投资、支持多媒体综合业务的整体需求。整个系统应该遵循先进、实用、可靠、安全、全面规划、分步实施、重在实用的建设原则，并严格遵守ISO9001质量体系标准，把陕西电力信息广域网工程建成一个以光纤为主、微波为辅覆盖全省各地区供电局及直调变电站，主干带宽达到1000兆，接入为10兆或100兆的信息网络，构成全省的综合业务传输、交换平台，实现数据、视频、语音三网合一，并建成全省统一的电子邮件系统，全省统一的网络管理系统，全省统一的安全、信息内容审计系统，全省统一的WEB系统。该网络将为陕西省电力公司的生产、经营、管理和决策的信息化提供一个基础平台。到2005年，网络将覆盖到各县供电局和营业站所，接入速率达到百兆的大型安全网络。该项目的建设范围共包含了西安供电局、西安高压局、咸阳供电局、渭南供电局、汉中供电局、安康供电局、宝鸡供电局、延安供电局、商洛供电局、铜川供电局、榆林供电局共11个供电局，还包括了马营、汉中、洋县、北郊、南郊、枣园、周至、桃曲、渭南、罗敷、庄头、沣河、张村、东郊、阎良、勉县变、金锁变、西高明变、桥陵变、柞水变、延安变、大杨变各直调变电站共22个。并同时包含对省电力公司局域网划分互联VLAN、为核心交换机提供上联接口、规范业务VLAN、规范服务器IP等内容。涉及的地域范围广、使用的设备种类繁多、型号复杂。因此，在该系统中使用的所有设备，特别是相关的安全设备，应该与省电力公司数据库服务器如：采用p670双机热备4*1.1G RISC CPU/8G内存/2*6G/光纤通道卡的主数据库服务器、采用IBM X345双机 2*2.8G XEON CPU/8G内存/4*73G的中间件服务器以及其他相关网络设备具如：Quidway NE80、Quidway NE40-8、Quidway NE16E、Quidway NE05E、Quidway S8016具有良好的兼容性。为最终建成全省MIS与全省OA系统、客户服务支持系统、调度生产管理信息系统、全省视频会议、视频广播系统、全省电力地理信息系统（数字化电网）提供最有力的支持与保障，并有力地支持整个系统中涉及的远程教育、Internet服务与电子商务、全省电力邮件系统、IP Phone技术。1.2 防火墙实施的目的陕西省电力信息广域网网络系统的建立为用户带来极大的方便性。但随着网络应用的扩大，网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外，加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险可谓日益加重。例如：入侵者通过对内部网重要服务器进行DOS（拒绝服务攻击）DDOS（分布式拒绝服务攻击），使得服务器拒绝服务甚至系统瘫痪。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。入侵者通过scanner等扫描程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。入侵者利用网络中某台服务器（主机）开放的端口，系统的漏洞等因素入侵这台服务器（主机），肆意的窃取、修改、删除这台计算机的资料、信息。同时入侵者还会把木马等程序拷到这台计算机上，为下一次入侵打开一扇便利之门。之后黑客还会把已入侵过的主机作为跳板，通过它入侵系统内部的其他主机和服务器。入侵者通过扫描发现公司网络中的某台计算机的管理员口令弱，利用专用的黑客字典进行暴力攻击，探出管理员的密码，然后利用正常的方法远程登陆到这台计算机上，在远程对此台计算机进行控制（包括窃取、修改、删除资料和上传木马程序、远程定时启动木马程序、制作跳板等）。入侵者通过扫描发现公司网络中的某台服务器上的普通用户口令弱或者允许匿名登陆，它会通过暴力攻击破解普通用户的口令或者匿名登陆到服务器上，然后窃取用户和加密口令文件（例如：NT的此文件保存在Registry中的SAM文件中）。然后利用同样的加密方法（例如：NT系统用RSA MD4加密）在本地对此加密文件进行破解，从而获得管理员口令，在远程对此台计算机完全控制。入侵者还可以通过其他黑客软件进行普通用户到管理员的权限的提升。（例如：GetAdmin、PipeUpAdmin、Enum等），此外入侵者还可能通过其他方式入侵公司网络中的服务器、主机。总之，无论入侵者通过何种方式入侵了某台计算机它不但对该计算机的资源进行窃取、破坏外，他还可以通过该台计算机作为跳板入侵公司网络中的其他计算机。为了防止以上各种不安全事故的发生，就必须在网络安全规划时，把防火墙的使用放在首位来考虑。1.3 防火墙选择的依据在选择一款防火墙的时候，应该考虑到满足安全性要求、可用性要求和可靠性要求，针对陕西省电力信息广域网的具体情况，我们给出一些参考建议：1、 防火墙的吞吐量吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。随着Internet的日益普及，内部网用户访问Internet的需求在不断增加，一些企业也需要对外提供诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务，这些因素会导致网络流量的急剧增加，而防火墙作为内外网之间的唯一数据通道，如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输效率带来负面影响。因此，考察防火墙的吞吐能力有助于我们更好的评价其性能表现。2、 延时现在网络的应用种类非常复杂，许多应用对延迟非常敏感（例如：音频、视频等），而网络中加入防火墙必然会增加传输延迟，所以较低的延迟对防火墙来说也是不可或缺的。3、 最大并发连接数并发连接数也是衡量防火墙性能的一个重要指标。最大并发连接数指的是防火墙能够同时处理的点对点连接的最大数目。它反映了防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，以及防火墙对业务信息流的处理能力。这个参数的大小会直接影响到防火墙所能支持的最大信息点数。4、 平均无故障时间 平均无故障时间（MTBF）是指系统平均能够正常运行多长时间，才发生一次故障。系统的可靠性越高，平均无故障时间越长。这也是用户在选择产品的重要依据之一。5、 防火墙必须具有强大的防御能力，可以防御常见的各种攻击行为。将一些主要攻击在防火墙上阻止掉，也可以减轻内部的IDS系统的负载压力。6、 适用和实用的功能作为网络安全产品，功能的适用和实用是最为重要的。过多的功能会影响防火墙的整体性能，降低数据处理的效率。造成用户投资的浪费。7、 防火墙应该便于管理，具有远程集中管理的功能是现代网络管理中必不可少的，也是现代网络管理的发展趋势。1.4 防火墙安全策略设计的依据防火墙运用的好与坏，主要取决于网络管理员对安全策略设计得是否严谨。许多非法通讯，都是通过安全策略设计上的漏洞而得以实现的。因此，要根据防火墙所处的网络位置，针对可能发生的通讯服务，进行安全策略设计。在进行防火墙安全策略设计和规划时，应遵循以下几方面：1、 需求、风险、代价平衡对任一网络，绝对安全难以达到。对一个网络要进行实际的研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定相应的规范和措施，确定系统的安全策略。2、 综合性、整体性应运用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业技术措施（访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等）。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节，包括个人（使用、维护、管理）、设备（含设施）、软件（含应用系统）、数据等，在网络安全中的地位和影响作用，只有从系统整体的角度去看待、分析，才可能得到有效、可行的安全措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。3、 易操作性安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。4、 适应性及灵活性安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级。5、 多重保护任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。第二章 省电力信息网防火墙部署建议2.1 省电力信息网络防火墙整体部署根据陕西电力信息安全与系统管理规划，我们初步进行了全省安全基础设备防火墙产品的部署和设备型号推荐，如下： 省Internet出口处，部署千兆防火墙1台，推荐使用F1800Pro 省公司广域网接入点，部署千兆防火墙1台，推荐使用F1800Pro 省宝鸡供电局广域网接入点，部署千兆防火墙1台，推荐使用F600Pro 省咸阳供电局广域网接入点，部署千兆防火墙1台，推荐使用F600Pro 省西安供电局广域网接入点，部署千兆防火墙1台，推荐使用F600Pro 省西安高压供电局广域网接入点，部署千兆防火墙1台，推荐使用F600Pro 省其他供电局广域网接入点，部署百兆防火墙各1台，推荐使用F600UP/F300Pro/F100Pro 省变电站广域网接入点，部署百兆防火墙各1台，推荐使用F300Pro/F100Pro省电力信息网络防火墙整体部署图2.2 省电力信息网Internet出口2.2.1 防火墙型号推荐在省电力信息网Internet出口处，部署千兆防火墙1台，推荐使用Amaranten F1800Pro。省Internet出口，是全省电力信息网络连接Internet的主要出口。由于地理位置的特点，需要一台处理能力强，稳定性高的防火墙设备，担负隔离安全网络（企业内网）与不安全网络（Internet）的任务。这样的防火墙设备，应该具备线性的千兆处理能力，支持大数量的并发连接数，同时稳定性也是极为重要的。在此，我们推荐使用Amaranten F1800Pro。该产品具备线性的全双工千兆处理能力，当网络中以太网数据报长度在1024字节时，F1800Pro的2个通讯端口就可以达到双向2Gbps的处理能力。F1800Pro属Amaranten公司的千兆级中端产品F1800Pro的最大并发连接数达到2,000,000。作为整个省电力信息网络的出口处防火墙设备，必须具备充足的并发连接数量。通过该处防火墙的数据流，不仅仅是内部电力系统用户到外部Internet的资源访问，还有许多是Internet用户对内部的服务主机进行的资源访问数据流。因此，该设备必须有充足的能力，建立并维持足够多的并发连接数，才可以更好地保证正常的数据通讯。2.2.2 防火墙的使用首先确定IP地址的使用方式。在这里，我们给出几种可能的使用。1、 在F1800Pro上执行双向的网络地址映射。将省电力信息网络中内部用户的私有IP地址转换为公有IP地址，访问Internet；将省电力信息网络获得的公有IP地址，映射到需要对外提供服务的主机上，从而为Internet用户访问。这种方式，保证了省电力信息网络的出口处，控制全部公有IP地址的使用；在整个网络中，没有以公有IP地址为源地址的数据包通讯。这种方式下的公有IP利用率是最高的。对于网络内部的路由器来说，不需要配置关于公有IP地址的路由信息，简化了路由配置和路由表的复杂性。这种方式，对防火墙性能的要求较高。因为要完成大量的地址转换工作，从而会在一定程度上降低防火墙的性能。同时，防火墙单点的故障，会影响到整个省电力信息网络与Internet的相互访问。这一点是值得重视的。2、 在F1800Pro上，以路由模式（或透明模式）工作，允许公有IP双向通讯。这种方式，不需要完成网络地址转换，因而对防火墙的性能消耗不大，从而防火墙可以调用更多的资源用与维护状态表。我们推荐使用这种方式使用防火墙。在确定了IP地址使用方式后，就可以确定在防火墙上配置的路由表，及防火墙安全策略将使用的动作。在安全策略设计上，应全面考虑省电力信息网络内部与Internet之间的可能的数据通讯。一般的，有两种方式进行安全策略设计。1、 在防火墙上严格控制双向通讯服务。在防火墙上，如果进行严格的通讯服务控制，就需要事先统计好要对Internet开放的通讯，和允许到Internet的通讯。在省电力信息网络中，在网络的总出口处来严格控制所有的通讯服务，是比较头痛的问题。因为内部的用户很多，需要对外的通讯服务也很多，随着Internet应用的日益丰富，严格控制通讯服务似乎是不太容易的事情。同时，严格控制通讯服务，与这个企业的内部管理制度也是密不可分的。所以，要做到严格控制双向通讯服务，固然是很好的防火墙管理方式，但与我们的实际情况可能相差太远了。2、 在防火墙上相对宽松地开放通讯服务。这是一个相对宽松的防火墙安全策略设计方式。但这个宽松是有条件的。首先，必须明确的是，由Internet对内部资源的访问，包括web服务器、mail服务器、ftp服务器等，必须做到严格控制通讯服务。仅开放有限的通讯服务对Internet。其次，对省电力信息网络内部用户到Internet的通讯，可以开放全部的TCP/UDP端口，ICMP可以选择性开放部分协议类型。针对已知的不安全通讯服务，如NetBIOS、SMB、典型受控通讯服务端口等应该予以关闭。这种在全开放内部到外部通讯的前提下，逐条封闭不安全的通讯服务，是目前比较适用的方法。这就需要管理员不停的去维护防火墙的安全策略，从而封闭逐渐出现的不安全通讯服务。2.3 省公司广域网接入点2.3.1 防火墙型号推荐在省公司广域网接入点，部署千兆防火墙1台，推荐使用Amaranten F1800Pro。省公司广域网接入点，是省公司内部办公信息网络连接省电力信息骨干网络的主要出口。由于地理位置重要和内部应用复杂的特点，需要一台处理能力强，稳定性高的防火墙设备，担负隔离安全网络（企业内网）与不安全网络（省电力信息骨干网络）的任务。这样的防火墙设备，应该具备线性的千兆处理能力，支持大数量的并发连接数，同时稳定性也是极为重要的。在此，我们推荐使用Amaranten F1800Pro。该产品具备线性的全双工千兆处理能力，当网络中以太网数据报长度在1024字节时，F1800Pro的2个通讯端口就可以达到双向2Gbps的处理能力。F1800Pro的最大并发连接数达到2,000,000。作为整个省公司内部信息网络的出口处防火墙设备，必须具备充足的并发连接数量。通过该处防火墙的数据流，不仅仅是内部用户到外部其他下属机构和Internet的资源访问，还有许多是下属机构对内部办公资源的访问数据流，及可能的Internet用户对内部的服务主机进行的资源访问数据流。因此，该设备必须有充足的能力，建立并维持足够多的并发连接数，才可以更好地保证正常的数据通讯。如果用户希望有更高的双向处理能力,可以考虑换用Aamaranten的F3000，防火墙，当网络中以太网数据报长度在1024字节时，F3000的2个通讯端口就可以达到双向2Gbps的处理能力。最大并发连接数达到3,000,000。2.3.2 防火墙的使用省公司内部信息网络出口处的防火墙的使用思想，同上面介绍的思想基本一致，我们不过多的复述了。需要提出注意的是，尽量将对外提供服务的主机迁移到省电力信息网络出口处的F1800Pro上，建立DMZ区域。这样可以避免Internet用户对服务主机访问产生的数据流，同省内部通讯数据流混杂，造成对网络带宽的利用，并加重IDS系统的负担。DMZ区域的建立，是对服务主机提供有限度的保护。服务主机的作用是对外（包括其他公司用户、Internet用户）提供有限的服务。既要提供服务，就要开放通讯端口，用于外部的访问。因此，要做到严格控制通讯端口。对自己内部的用户也是如此。仅对管理人员开放较多的通讯服务，用与对主机的维护和管理。有一点需要注意的，DMZ内的主机，是不可以主动对外进行数据通讯的（包括对Internet和对公司内部）。这样做可以避免主机被人利用，对外发起攻击。对于公司内部网络，一般的，认为是个安全区域。通常防火墙不对这个区域内的用户再进行划分，进行安全控制。但有数据表明，内部攻击的几率比来自Internet的攻击要高很多。因此，在这里我们强调，要重视企业内部的网络安全问题。利用Amaranten防火墙“对称式端口设计”的特点，充分利用防火墙的端口，对内部敏感子网进行单独保护。形成到内部敏感子网的通讯，也必须受到防火墙的控制。这样，真正意义地充分使用了防火墙设备，作到了物尽其用，减少资源的浪费。2.4 省四大供电局广域网接入点2.4.1 防火墙型号推荐在省四大供电局（宝鸡、咸阳、西安、西安高压）广域网接入点，各部署千兆防火墙1台，推荐使用Amaranten F600-Pro。省四大供电局广域网接入点，是省四大供电局内部办公信息网络连接省电力信息骨干网络的主要出口。由于地理位置重要和内部应用复杂的特点，和与骨干网络的千兆网络链路连接，需要一台处理能力强，稳定性高的防火墙设备，担负隔离安全网络（企业内网）与不安全网络（省电力信息骨干网络）的任务。这样的防火墙设备，应该具备线性的千兆处理能力，支持大数量的并发连接数，同时稳定性也是极为重要的。在此，我们推荐使用Amaranten F600-Pro。该产品具备准线性的双工千兆处理能力，当网络中以太网数据报长度在512字节时，F600-Pro的2个通讯端口可以达到单向1Gbps的处理能力。这是一款性价比很好的准千兆级防火墙，属Amaranten公司的千兆级低端产品。F600-Pro的最大并发连接数达到1,000,000。作为整个供电局内部信息网络的出口处防火墙设备，这个并发连接数量应该满足了内部用户的需要。通过该处防火墙的数据流，不仅仅是内部用户到外部其他下属机构和Internet的资源访问，还有许多是其他机构对内部办公资源的访问数据流，及可能的Internet用户对内部的服务主机进行的资源访问数据流。因此，该设备必须有充足的能力，建立并维持足够多的并发连接数，才可以更好地保证正常的数据通讯。2.4.2 防火墙的使用省供电局内部信息网络出口处的防火墙的使用思想，同上面介绍的思想基本一致，我们不过多的复述了。需要提出注意的是，各个供电局可能会面临多Internet出口的问题。因为各个供电局所在地区不同，由于网络速度、资费、地方关系等诸多因素，很可能会出现多Internet出口的问题。如果面对多个Internet出口呢？Amaranten公司的防火墙技术可以很好地解决这个问题。在后面有对该功能的详细描述。2.5 省其他供电局广域网接入点2.5.1 防火墙型号推荐在省其他供电局广域网接入点，各部署百兆防火墙1台，推荐使用Amaranten F600-UP或F300-Pro。根据各个供电局内部网络规模的大小，选择不同型号的百兆防火墙产品。2.5.2 防火墙的使用省其他供电局内部信息网络出口处的防火墙的使用思想，同上面介绍的思想基本一致，我们不过多的复述了。2.6 省变电站广域网接入点2.6.1 防火墙型号推荐在省其他供电局广域网接入点，各部署百兆防火墙1台，推荐使用Amaranten F300-Pro或F100-Pro。根据各个供电局内部网络规模的大小，选择不同型号的百兆防火墙产品。2.6.2 防火墙的使用省其他供电局内部信息网络出口处的防火墙的使用思想，同上面介绍的思想基本一致，我们不过多的复述了。2.7 防火墙管理集中远程管理阿姆瑞特防火墙的管理器可以对多台防火墙进行统一的、集中的管理，方便用户在一台管理器上对多个防火墙的远程管理。并且可以定义全局的服务、对象名称，提供对所有防火墙策略修改、上传、下载功能。这样具有共性的设置在全局配置中统一设置，每台防火墙只需定义个性的配置就可以了，从而减少规则数量、简化管理。并且所有的管理都是通过密钥进行加密传输，而且密钥随机生成，保证了远程管理的安全性。同时我们通过在防火墙上定义只可以从防火墙的那个接口进行管理以及只可以从某一个网络甚至从某一个IP来管理防火墙进一步加强防火墙的管理安全性。专业级防火墙管理阿姆瑞特防火墙提供专业的TCP/IP设置，可以对IP协议、TCP协议、ARP协议、Ipsec协议、DHCP协议、SNMP协议、VLAN信息等的系统选项做出修改，通过配置可以使防火墙的设置更加科学、详细和安全。支持SNMP协议阿姆瑞特防火墙支持SNMP协议，可通过防火墙自身的管理器或通用的网管软件（例如：Open View、Net View等）对防火墙的运行状况进行监控。为了避免由于SNMP 本身的安全性上的缺陷而导致防火墙本身的安全性受到威胁，系统仅允许网管系统查询信息，而不允许改变防火墙的配置。同时，可以设置允许从防火墙的那个端口对防火墙进行SNMP管理，以及网关软件和防火墙进行认证的口令，从而保障了防火墙管理的安全性。 远程Console控制为了便于防火墙的调测、管理，阿姆瑞特防火墙具有一个模拟的远程Console控制器，他可以在远程模拟本地Console口对防火墙进行管理，这样在作远程管理的时候，可以从远程Console中获得非常详细的防火墙信息（例如：路由、接口状态、arp表等），非常便于在远程对防火墙管理。第三章Amaranten防火墙产品介绍3.1 防火墙的组成3.1.1 Amaranten防火墙（硬件）Amaranten防火墙采用专用硬件，采用高性能的CPU和大容量的内存保证硬件的高性能。不同型号的产品具有不同端口数量和外形。3.1.2 防火墙内核Amaranten防火墙为“无通用操作系统内核”，即：防火墙的运行不需要任何通用操作系统的支持，因此不会存在通用操作系统的漏洞，从而在底层保证防火墙的安全性；同时，因为操作系统需要不断地去维护、升级，无操作系统就不存在此类问题，这也排除了因为系统升级、而破坏防火墙功能、性能的问题。Amaranten防火墙内核启动后，可直接管理防火墙的所有硬件（CPU、网卡、总线等），它可以在底层从硬件设备中接管进出防火墙数据并进行处理，利用了所有可能的硬件资源，同时避免了通用操作系统的开销，因此可以最快地处理数据，使其成为市场上现有的最快的防火墙之一。3.1.3 防火墙管理器Amaranten防火墙管理器的作用是对防火墙进行管理、配置、监控和日志查询。该程序可在Windows 95, 98, NT 4.0, 2000, Windows ME和 Windows XP上安装并运行。可以对Amaranten公司的所有型号防火墙进行集中管理，最多可以管理3万台防火墙。3.1.4 Amaranten防火墙日志服务器Amaranten防火墙日志服务器可以用来接收并存储防火墙的日志数据。为了提高系统性能的同时把对硬件的需求降到最低，防火墙里不记录日志数据，日志数据全部存储在安装了Amaranten防火墙日志服务器的机器上。Amaranten防火墙日志服务器作为一种服务，可以安装在运行Windows NT 4.0、Windows 2000、Windows XP服务器或工作站。每个防火墙能够分类向多达8个防火墙日志服务器发送日志数据。Amaranten防火墙也支持向Syslog服务器发送日志数据，这样可以用更专业的日志分析器（如WebTrends）对日志数据进行分析。3.2 防火墙的主要功能3.2.1 全状态检测过滤Amaranten防火墙对数据包进行全状态检测过滤。不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制，而且能够记录通过防火墙的连接状态，直接对分组里的数据进行处理；具有完备的状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全的过滤。3.2.2 支持VLANAmaranten防火墙能够全面地支持802.1Q封装协议，也就是说可以把防火墙架设在划分VLAN的交换机与交换机，或交换机与路由器之间。当使用802.1Q协议时，防火墙还能够利用路由功能代替路由器实现VLAN间的数据包转发，这样可以使系统具有更好的性能（因为包传输的路径更短了）。每一个VLAN在防火墙的配置中将出现一个虚拟端口，这样可以与物理存在的端口一样进行具体的安全策略，并可以控制带宽，从而具有更高的安全性和配置灵活性。VLAN间路由Trunk扩展端口Trunk穿越Trunk LinkTrunk LinkVLAN10VLAN20VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20VLAN10VLAN20透明模式3.2.3 基于策略的路由（PBR）Amaranten防火墙可以针对不同的安全策略，使用不同的路由表，因此可以在目的IP地址不详的情况下，根据源IP地址、通讯服务等条件，将数据流发向不同的上联网关。从而达到不需要其他设备可以连接多个ISP，应用在多个出口的环境下。此外，通过PBR可以支持WEB Cache（例如：免费的Squid）从而达到利用免费的软件实现URL过滤、应用代理的目的，同时可用作支持病毒扫描服务器等。InternetInternetInternetLAN3.2.4 提供CoS/QoS（服务级别/服务质量）服务在信息高速发展的今天，网络不仅仅只需要带宽，而且必须考虑网络流量高峰时期重要数据优先传输。当信息拥塞造成瓶颈时, 网络设备必须有优先权数据队列机制, 保证那些重要应用的数据比次重要应用数据获得更高的优先传输权。Amaranten防火墙具有CoS/QoS功能，使网络可以支持重要任务或实时数据流与较低优先级别的数据优先传输。防火墙通过定义管道的方式提供CoS/QoS功能，并且管道没有数量的限制，可以基于IP、基于协议、基于接口、基于组信息、基于VlAN信息、VPN连接等信息进行带宽管理。并且在管道内部可以实现数据包的负载均衡，从而保证重要数据的服务质量。总体来说，具有以下的特点： 带宽限制可以对用户IP地址、服务等通过防火墙的带宽进行限制，例如：限制某个用户对外访问最大带宽，或者访问某种服务的最大带宽。 带宽保证保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。 优先级控制Amaranten防火墙通过定义管道的方式提供CoS/QoS功能，并且管道没有数量的限制，也就是说优先级控制的等级没有数量的限制，同时可在每一个管道中，可以设定8个优先级（0-7）,从而可以进行更加细致的流量控制。 动态流量均衡为了保证网络中的所有带宽都得到合理的应用，防火墙提供动态流量均衡功能。例如：假如某网络带宽为256k，设定主机A的带宽为100k，主机B带宽为156k,如果主机B目前只用到120k，而主机A100k的带宽不够用，此时主机A可以动态获得主机B剩余的36K带宽。如果主机B某一时刻的突发速率到156K，他会动态的从主机A那里获得属于他的36K带宽，从而保证重要服务或者用户优先进行数据传输。 3.2.5 支持双机热备为了保证网络的高可用性与高可靠性，Amaranten防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。当一台防火墙发生意外down 机、网络链路故障、硬件故障等情况时，另一台防火墙自动切换工作状态，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间在1秒钟之内。同时防火墙实现了状态表传送，从防火墙在不停的学习主防火墙的状态表。当主防火墙故障时，从防火墙可以继续保证用户的连接不丢失，使用户不会觉察到防火墙的切换。3.2.6 支持接口备份Amaranten防火墙除了支持双机热备以外，还支持链路备份。当连接防火墙的某条线路端掉，或者某个接口出现故障，防火墙同样可以察觉，并进行切换，从而保证网络的应用。该功能与双机热备配合使用才有意义。3.2.7 多重DMZ区保护Amaranten防火墙的所有接口出厂时不做任何定义，也就是说防火墙的任意接口都可以是内网、外网、DMZ区。同时Amaranten所有型号的防火墙都是多端口设计（F300防火墙标配为5个接口，F600可扩展到10个接口），这样对网络可以进行多重DMZ隔离区保护（例如：财务、重要部门、一般部门可以在不同的区域），从而在不增加用户投资的情况下，使网络更加安全。3.2.8 VPN功能Amaranten防火墙内置VPN模块，并采用国际标准IPSEC作为VPN加密、认证的协议，可以与VPN网关、客户端软件建立加密隧道，为企业提供虚拟专用网，保证异地之间安全的进行数据的传输。 支持NAT访问互联网同时与分（总）公司之间建立VPN隧道； 支持明密结合，灵活网络部署； 支持NAT穿越 支持星型拓扑VPN 支持DHCP OVER IPSEC 支持动态IP接入的VPN建设 支持X.509证书和共享密钥，支持第三方CA认证； 支持AES、DES、3DEC、cast128、blowfish、Twofish等加密算法； 支持MD5、SHA-1认证算法； 采用IPSec国际标准协议，提供传输方式和隧道方式建立VPN隧道； 可以与第三方支持IPSEC协议产品建立VPN隧道 用户可自定义选择加密或认证或加密+认证，应用丰富灵活； 提供客户端软件，支持动态IP； 多样化的工作方式，可以实现网关网关、网关客户端、客户端网关-网关-客户端多种加密隧道，提供VPN隧道的嵌套；3.2.9 多种接入模式Amaranten防火墙支持透明、路由、混合（同时存在透明、路由的接入）三种接入模式。当防火墙工作在透明模式时，防火墙此时工作类似于一个网桥，不需要用户对网络的拓扑做出任何调整；当防火墙工作在路由模式时，防火墙此时工作类似于一个静态的路由器，可以提供静态路由功能；防火墙还可以工作在混合模式下，即防火墙的不同端口有的在同一网段上（透明），有的在不同网段上（路由），这样更方便用户的接入。3.3 防火墙的管理方式3.3.1 分级管理Amaranten防火墙提供分级管理机制，系统分为系统管理员、管理员和审计员三个等级。通过分级管理可以使防火墙管理者权责分明、便于管理。通过对IP地址的限制，可以控制某台主机对防火墙的访问权限。3.3.2 使用对象名称定义Amaranten防火墙访问控制规则可以基于对象名称或者IP地址两种方式进行过滤，可以将单个地址、一段IP地址的范围、子网、IP组等设置为一个对象名称。这样配置出的规则具有很强的可读性，非常便于理解。同一对象名称可以同时在不同规则中使用，提高了配置管理员的效率；名称可以被修改和编辑，只要不删除名称，规则本身可以不必修改，提高了配置的灵活性。当用户的某个地址发生了变化，只需在对象名称定义选项中做出相应的调整，而不需对规则作任何变化，从而减少了规则的变动，减轻了网管人员的工作量（因为针对与此地址的规则可能有多条）。3.3.3 组策略管理Amaranten墙在配置规则时候可以对多个具有相同属性的名称归为一个组（例如：IP地址、服务端口、网络端口等）。在设置规则的时候可以使用已定义好的组进行规则设置，通过组的概念可以减少防火墙的规则数量。并且在多台防火墙管理时，通过在全局模式下对组进行定义，然后将这些组应用到多台防火墙中，简化了管理员的管理工作。3.3.4 预定义通讯服务为了方便管理，Amaranten防火墙预定义100多个常用TCP/UCP通讯服务。配置规则时可以针对这些通讯服务进行定义，不需要网管人员具有非常高的网络知识便可以轻松配置。并且还可以通过自定义服务增加用户网络中的一些特殊应用，进行个性化设置，使定义的服务更加适应用户的环境。3.3.5 集中远程管理Amaranten防火墙的管理器允许用户在一台管理器上对多台防火墙进行统一的、集中的远程管理。可以定义全局的服务、对象名称，这样具有共性的设置在全局配置中统一设置，每台防火墙只需定义个性的配置就可以了，从而减少规则数量、简化管理。提供对所有防火墙的修改配置、上传、下载配置，及统一升级等功能。所有管理器与防火墙间的通讯，都是通过128位密钥进行加密传输的，而且密钥随机生成，保证了远程通讯的安全性。可以通过在防火墙上指定，只从防火墙的某个端口接收管理信息，以及只可以接收从某一个网络甚至从某一个IP来的管理信息，从而进一步加强了防火墙的管理安全性。3.3.6 专业级协议栈设置Amaranten防火墙提供了专业的TCP/IP协议栈参数设置，可以对IP协议、TCP协议、ARP协议、Ipsec协议、DHCP协议、SNMP协议、VLAN信息等的系统参数做出修改，通过配置可以使防火墙的设置更加科学、详细和安全。对协议栈参数的修改，需要管理员对TCP/IP协议有较深入的理解。3.3.7 支持SNMP协议Amaranten防火墙支持SNMP协议，可通过防火墙自身的管理器或通用的网管软件（例如：Open View、Net View等）对防火墙的运行状况进行监控。为了避免由于SNMP 本身的安全性上的缺陷而导致防火墙本身的安全性受到威胁，系统仅允许网管系统查询信息，而不允许改变防火墙的配置。同时，可以设置允许从防火墙的某个端口对防火墙进行SNMP管理，以及管理软件和防火墙进行认证的口令，从而保障了防火墙管理的安全性。3.3.8 远程Console控制为了便于防火墙的调测、管理，Amaranten防火墙具有一个模拟的远程Console控制器，他可以在远程模拟本地Console口对防火墙进行管理，这样在作远程管理的时候，可以从远程Console中获得非常详细的防火墙信息（例如：路由、接口状态、a