计算机专网安全产品解决方案样本

宁波市政府计算机专网安全产品解决方案（网络防火墙）方正数码有限公司

TOC\o"1-3"\h\z1. 背景简介 51.1. 项目总述 51.2. 网络环境总述 51.3. 业务现状 61.4. 网络信息安全概况 71.4.1. 网络安全现状 81.4.2. 典型黑客袭击 81.4.3. 网络与信息安全平台任务 102. 安全架构分析与设计 112.1. 网络整体构造 112.1.1. 宁波在全国政府专网中位置 122.1.2. 光纤网络平台 122.2. 宁波政府专网安全风险分析 142.2.1. 重要应用服务安全风险 142.2.2. 网络中重要系统安全风险 152.2.3. 数据库系统安全分析 162.2.4. Unix系统安全分析 162.2.5. WindowsNT系统安全分析 172.2.6. 管理系统安全风险 172.3. 宁波政府专网安全风险解决方案设计原则和目的 182.3.1. 网络安全解决方案构成 192.3.2. 超高安全规定下网络保护 212.4. 防火墙选型 222.5. 防火墙设立及工作模式 232.6. 防火墙功能设立及安全方略 232.6.1. 完善访问控制 232.6.2. 内置入侵检测（IDS） 242.6.3. 代理服务 242.6.4. 日记系统及系统报警 242.6.5. 带宽分派，流量管理 252.6.6. H.323支持 252.6.7. 系统升级 252.6.8. 双机备份 262.6.9. 防火墙方案特点 262.7. 防火墙整体布局 272.8. 宁波市政府系记录算机专网核心节点市政府办公厅网络 282.9. 各区及委、办、局安全网络 282.10. 集中管理和分级管理 293. 产品选型 303.1. 防火墙与入侵检测选型 303.1.1. 方正数码公司简介 303.2. 方正方御防火墙（100M） 313.2.1. 产品概述 313.2.2. 系统特点 313.2.3. 方御防火墙（百兆）性能 353.2.4. 方正方御防火墙功能阐明 363.3. 方正方御防火墙（1000M） 473.3.1. 产品概述 473.3.2. 系统特点 483.3.3. 方正方御千兆防火墙功能阐明 493.3.4. 方御防火墙（千兆）性能 594. 工程实行方案 614.1. 合同订立阶段工作实行 614.2. 发货阶段实行 624.3. 到货后工作实行 634.4. 测试及验收 644.4.1. 测试及验收描述 644.5. 系统初验 654.5.1. 功能测试 654.5.2. 性能测试 654.5.3. 实行人员 655. 培训方案 665.1. 培训目的 665.2. 培训课程 665.3. 培训方式 665.4. 培训时长 665.5. 培训地点 665.6. 培训人数 675.7. 培训讲师 675.8. 入学规定 686. 售后服务和技术支持 696.1. 售后服务内容 696.2. 保修 706.3. 保修方式 716.4. 保修范畴 716.5. 保修期确认 726.6. 全国服务网络 726.7. 场地及环境准备 726.7.1. 常规规定 726.7.2. 机房电源、地线及同步规定 736.7.3. 设备场地、通信 736.7.4. 机房环境 736.8. 验收清单 756.8.1. 设备开箱验收清单 756.8.2. 顾客信息清单 756.8.3. 顾客验收清单 767. 方案整体优势 788. 方正方御防火墙荣誉证书 79

背景简介项目总述政府专网是宁波市政府信息化建设基本工程，是以宁波市政府东、北大院计算机局域网为核心，以宽带光纤网络为通信平台，环绕业务管理、数据互换、语音通信、重大事件解决、视频会议等应用，覆盖宁波市各县（市）、区政府，市政府各部门，市委办、人大办、政协办及市委各工作部门等，并与全国、全省政府专网联接，共约122个节点城域网。政府专网是独立于公共网络之外政府系统专用网络，物理上与外部公共网络隔离。专网内部进行逻辑分割，采用防火墙隔离、审计检测等办法，建立有效网络安全防范体系，以满足国家党政机关网络可传送普密级信息通信安全保密规定。政府专网涉及范畴广，建设规定高，需分期分批进行建设。整个建设周期分为二期，第一期41个节点于2月底前完毕，第二期约81个节点于完毕。当前已经完毕网络平台、系统集成、系统商务标招投标工作，正在抓紧进行网络平台建设及有关设备订购采购工作。政府专网建成后，将极大地增进政府业务规范化、办公自动化、管理智能化、决策科学化、提高政府机关办事工作效率，实现政府各部门以及上下级政府部门之间信息和资源共享。网络环境总述市区内采用千兆以太网技术，市区外采用IPOVERSDH传播技术，各节点用物理光纤接入。政府专网以市政府办公厅为核心节点，在市区内采用4个汇集点，各节点用物理光纤就近接入汇集点。在市区外运用网络供应商提供SDH环路，各节点用物理光纤接入SDH环。核心节点与SDH环通过物理光纤连接，把市内和市外两某些连通，构成完整政府专网网络平台。总体构造请参见网络总体拓扑图。此外，省政府专网光纤接入到IBM2216路由器，再通过防火墙（上海华堂），以百兆方式接入核心节点接入互换机。国务院专网帧中继专线接入到CISCO路由器，再通过防火墙（中科院安胜（ERCIST）防火墙），以百兆方式接入核心节点接入互换机。宁波市解决重大事件指挥中心（如下简称指挥中心）是一种独立网段，以多模光纤接入核心点接入互换机，中间需以防火墙隔离。市政府西大院所有单位作为一种节点，用4芯光纤接入汇集点。政府专网采用CISCOWORKSFORNT作为网管软件。业务现状一方面，宁波市政府与上级政府部门信息数据互换量非常大。一方面，国务院、省政府需要宁波市政府上报大量信息，如地方经济运营状况、经济规划、社会治安状况等；另一方面，宁波市政府也需要及时理解国家关于政策、法规最新状况。第二，宁波市政府与各县区政府数据互换量也相称大。第三，为了切实做好政府各项综合管理工作，市政府要领导、安排、督促和协调政府各职能部门工作，因而与各部门业务联系十分密切，信息互换量很大。第四，市政府与市委、人大及政协系统之间信息交流也十分频繁。1.宁波市与上级政府部门之间信息交流以公文、告知告示、要闻信息等文字资料为主。2.宁波市政府系统（含与市委、人大、政协系统之间）内部信息交流内容，重要有：·网上办公：公文及业务工作网上办理流转。·宏观信息：涉及国际、国内、省内、省外、市内、市外宏观经济数据，每日信息，重要会议，重大事件。·基本信息：涉及市情、县情，各级领导状况，机构设立、直属机构设立、编制、职能职责、联系电话、邮箱地址等。·告知告示：涉及会议、学习、上报材料等告知，系统内通报等。·工作动态：国家、省、市政府及政府关于部门重要政策信息，政府内部改革思路新经验等。·重大事件解决：综合治理、灾害、汛情、交通等方面文字、图像及视频信息。·政策法规：地方政策法规和国家、浙江省政策法规·行业数据：科技、文化、教诲、交通等方面行业数据。·地理信息系统：规划、建筑、地形地貌等方面数据，涉及大型图片。·会计核算中心：财务数据·经济服务中心：批文、办事程序等数据以上诸项信息内容除已阐明以外，别的都为文字、数字等形式。网络信息安全概况当前，诸多公开新闻表白美国国家安全局（NSA）有也许在许多美国大软件公司产品中安装“后门”，其中涉及某些应用广泛操作系统。为此德国军方前些时候甚至规定在所有牵涉到机密计算机里，不得使用美国操作系统。作为信息安全保障，咱们在安全产品选型时强烈建议使用国内自主开发先进网络安全产品，将安全风险降至最低。在为各安全产品选型时，咱们立足国内，同步保证所选产品先进性及可靠性，并规定通过国家各重要安全测评认证。网络安全现状Internet正在越来越多地融入到社会各个方面。一方面，随着网络顾客成分越来越多样化，出于各种目网络入侵和袭击越来越频繁；另一方面，随着Internet和以电子商务为代表网络应用日益发展，Internet越来越深地渗入到各行各业核心要害领域。Internet安全涉及其上信息数据安全，日益成为与政府、军队、公司、个人利益休戚有关“大事情”。特别对于政府和军队而言，如果网络安全问题不能得到妥善解决，将会对国家安全带来严重威胁。二月，在三天时间里，黑客使美国数家顶级互联网站－Yahoo!、Amazon、eBay、CNN陷入瘫痪，导致了十几亿美元损失，令美国上下如临大敌。黑客使用了DDoS（分布式回绝服务）袭击手段，用大量无用信息阻塞网站服务器，使其不能提供正常服务。在随后不到一种月时间里，又先后有微软、ZDNet和E*TRADE等知名网站遭受袭击。国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到黑客袭击。国内第一家大型网上连锁商城IT163网站3月客观地说，没有任何一种网络可以免受安全困扰，根据FinancialTimes曾做过记录，平均每20秒钟就有一种网络遭到入侵。仅在美国，每年由于网络安全问题导致经济损失就超过100亿美元。典型黑客袭击黑客们进行网络袭击目各种各样，有是出于政治目，有是员工内部破坏，尚有是出于好奇或者满足自己虚荣心。随着Internet高速发展，也浮现了有明确军事目军方黑客组织。在典型网络袭击中，黑客普通会采用如下环节：自我隐藏，黑客使用通过rsh或telnet在此前攻克主机上跳转、通过错误配备proxy主机跳转等各种技术来隐藏她们IP地址，更高档一点黑客，精通运用电话互换侵入主机。网络侦探和信息收集，在运用Internet开始对目的网络进行袭击前，典型黑客将会对网络外部主机进行某些初步探测。黑客普通在查找其她弱点之前一方面试图收集网络构造自身信息。通过查看上面查询来成果列表，普通很容易建立一种主机列表并且开始理解主机之间联系。黑客在这个阶段使用某些简朴命令来获得外部和内部主机名称：例如，使用nslookup来执行“ls<domainornetwork>”，finger外部主机上顾客等。确认信任网络构成，普通而言，网络中主控主机都会受到良好安全保护，黑客对这些主机入侵是通过网络中主控主机信任成分来开始袭击，一种网络信任成员往往是主控主机或者被以为是安全主机。黑客普通通过检查运营nfsd或mountd那些主机输出NFS开始入侵，有时候某些重要目录（例如/etc，/home）能被一种信任主机mount。确认网络构成弱点，如果一种黑客能建立你外部和内部主机列表，她就可以用扫描程序（如ADMhack，mscan，nmap等）来扫描某些特定远程弱点。启动扫描程序主机系统管理员普通都不懂得一种扫描器已经在她主机上运营，由于’ps’和’netstat’都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后，黑客就会对主机与否易受袭击或安全有一种对的判断。有效运用网络构成弱点，当黑客确认了某些被信任外部主机，并且同步确认了某些在外部主机上弱点，她们就要尝试攻克主机了。黑客将袭击一种被信任外部主机，用它作为发动袭击内部网络据点。要袭击大多数网络构成，黑客就要使用程序来远程袭击在外部主机上运营易受袭击服务程序，这样例子涉及易受袭击Sendmail,IMAP,POP3和诸如statd,mountd，pcnfsd等RPC服务。获得对有弱点网络构成访问权，在攻克了一种服务程序后，黑客就要开始清除她在记录文献中所留下痕迹，然后留下作后门二进制文献，使其后来可以不被发现地访问该主机。当前，黑客重要袭击方式有：欺骗：通过伪造IP地址或者盗用顾客帐号等办法来获得对系统非授权使用，例如盗用拨号帐号。窃听：运用以太网广播特性，使用监听程序来截获通过网络数据包，对信息进行过滤和分析后得到有用信息，例如使用sniffer程序窃听顾客密码。数据窃取：在信息共享和传递过程中，对信息进行非法复制，例如，非法拷贝网站数据库内重要商业信息，盗取网站顾客个人信息等。数据篡改：在信息共享和传递过程中，对信息进行非法修改，例如，删除系统内重要文献，破坏网站数据库等。回绝服务：使用大量无意义服务祈求来占用系统网络带宽、CPU解决能力和IO能力，导致系统瘫痪，无法对外提供服务。典型例子就是年初黑客对Yahoo等大型网站袭击。黑客袭击往往导致重要数据丢失、敏感信息被窃取、主机资源被运用和网络瘫痪等严重后果，如果是对军用和政府网络袭击，还会对国家安全导致严重威胁。网络与信息安全平台任务网络与信息安全平台任务就是创立一种完善安全防护体系，对所有非法网络行为，如越权访问、病毒传播、恶意破坏等等，事前防止、事中报警并制止，事后能有效将系统恢复。在上文对黑客行为描述中，咱们可以看出，网络上任何一种安全漏洞都会给黑客以可乘之机。知名木桶原理（木桶容量由其最短木板决定）在网络安全里特别合用。因此，咱们方案必要是一种完整网络安全解决方案，对网络安全每一种环节，都要有仔细考虑。

安全架构分析与设计逻辑上，宁波市政府系记录算机专网将划分为三个区域：数据发布区、局域网顾客、远程其她顾客。其中每一种局域网节点划分为内部操作（控制）区、信息共享区两个网段，网段之间设立安全隔离区。每一种网段必要可以构成一种独立、完整、安全、可靠系统。网络整体构造宁波市政府系记录算机专网需要涉及若干政府部门，各地方网络通过专用网连接起来。宁波在全国政府专网中位置政府专网是由国家、省、市及县级政府部门共同构成全国性广域网。整个广域网网络系统是一种典型星形拓朴型构造，重要负责传播国家、省、市、县政府间文字、图像和视频信息。其构造图如下：政府系统构造图整个区域网络拓朴为一倒叉树构造，国务院为根节点，宁波市作为网络中一级节点同步又作为一种区域中心节点，它既要与国家、省各部门互联，又要与各县（市）、区政府和市政府各部门互联，在整个网络中起着一种承上启下作用。光纤网络平台光纤网络平台提供商为宁波市广电网络传播中心。详细状况如下：1.市区范畴内（东北大院以外）73家单位采用物理光纤分别接入四个汇集点。这四个汇集点分别是广电网络传播中心汇集点、华侨城汇集点、广电局汇集点、电视中心汇集点。单点接入示意图如下：市区内各部门逻辑分布图如下图：2.市区以外单位重要是余姚、慈溪、奉化、宁海、象山、镇海、北仑、经济技术开发区、保税区、大榭开发区、港务局等部门。这些部门与核心节点之间将借助宁波广电sdh环网。单点接入示意图如下：市区外各部门逻辑分布图如下图：宁波政府专网安全风险分析重要应用服务安全风险应用服务系统中各个节点有各种应用服务，这些应用服务提供应各级部门或单位使用。不能防止未经验证操作人员运用应用系统脆弱性来袭击应用系统，使得系统数据丢失、数据更改、获得非法数据等。而宁波市政府这些应用系统是政府专网中最重要构成某些。DNS服务DNS是网络正常运作基本元素，它们是由运营专门或操作系统提供服务Unix或NT主机构成。这些系统很容易成为外部网络袭击目的或跳板。对DNS袭击普通是对其她远程主机进行袭击做准备，如篡改域名解析记录以欺骗被袭击系统，或通过获取DNS区域文献而得到进一步入侵重要信息。知名域名服务系统BIND就存在众多可以被入侵者运用漏洞。特别是基于URL应用依赖于DNS系统，DNS安全性也是网络安全关注焦点。E-Mail由于邮件服务器软件众多广为人知安全漏洞，邮件服务器成为进行远程袭击首选目的之一。如运用公共邮件服务器进行邮件欺骗或邮件炸弹中转站或引擎；运用sendmail漏洞直接入侵到邮件服务器主机等。而宁波政府专网内部E-mail系统覆盖面广，因此迫切需要使用防火墙来保护内部E-mail系统。WWW运用HTTP服务器某些漏洞，特别是在大量使用服务器脚本系统上，运用这些可执行脚本程序，未经授权操作者可以很容易地获得系统控制权。在宁波市政府存在各种WWW服务，这些服务合同或多或少存在安全隐患。FTP某些FTP服务器缺陷会使服务器很容易被错误配备，从而导致安全问题，如被匿名顾客上载木马程序，下载系统中重要信息（如口令文献）并导致最后入侵。有些服务器版本带有严重错误，例如可以使任何人获得对涉及root在内任何帐号访问。网络中重要系统安全风险整个系统中网络设备重要采用路由器设备，有必要分析这些设备风险。路由器是网络核心部件，路由器安全将直接影响整个网络安全。下面列举了某些路由器所存在重要安全风险：■ 路由器缺省状况下只使用简朴口令验证顾客身份，并且远程TELNET登录时以明文传播口令。一旦口令泄密路由器将失去所有保护能力。■路由器口令弱点是没有计数器功能，因此每个人都可以不限次数尝试登录口令，在口令字典等工具协助下很容易破解登录口令。■每个管理员都也许使用相似口令，因而，路由器对于谁曾经作过什么修改，系统没有跟踪审计能力。■路由器实现某些动态路由合同存在一定安全漏洞，有也许被恶意袭击者运用来破坏网络路由设立，达到破坏网络或为袭击做准备目。针对这种状况，必要采用办法，有效防止非法对网络设备访问。■TCP/IP风险：系统采用TCP/IP合同进行通信，而由于TCP/IP合同中存在固有漏洞，例如：针对TCP序号袭击，TCP会话劫持，TCPSYN袭击等。同步系统DNS采用UDP合同，由于UDP合同是非面向连接合同，对系统中DNS等有关应用带来安全风险。数据库系统安全分析数据库系统是存储重要信息场合并肩负着管理这些数据信息任务。数据库安全问题，在数据库技术诞生之后就始终存在，并随着数据库技术发展而不断深化。不法份子运用已有或者更加先进技术手段普通对数据库进行伪造数据库中数据、损坏数据库、窃取数据库中数据。如何保证和加强数据库系统安全性和保密性对于网络正常、安全运营至关重要。Unix系统安全分析 UNIX系统安全具备如下特性：操作系统可靠性：它用于保证系统完整性，系统处在保护模式下，通过硬件和软件保证系统操作可靠性。访问控制：容许通过变化顾客安全级别、访问权限，具备统一访问控制表。对象可用：当对象不需要时应当及时清除。个人身份标记与认证：它重要为了拟定身份，如顾客登陆时采用扩展DES算法对口令进行加密。审计：它规定对使用身份标记和认证机制，文献创立，修改，系统管理所有操作以及其她关于安全事件进行记录，以便系统管理员进行安全跟踪。往来文献系统：UNIX系统提供了分布式文献系统（DFS）网络安全。 将网络与外部网络相连接，会使您网络遭受潜在服务中断、未经授权入侵以及相称大破坏。例如下面某些安全隐患：■“回绝服务”袭击(DenialofServiceAttacks)：这些袭击禁止系统向顾客提供服务，使顾客不能得到某种服务。例如，袭击也许使用大而无用流量充斥网络，导致无法向顾客提供服务。最普通状况是这种袭击也许毁坏系统或者只是让系统在向顾客提供服务时慢出奇。■缓冲区溢出袭击(BufferOverrunExploits)：其中涉及运用软件弱点将任意数据添加进某个程序中，从而在它以根身份运营时，有也许赋予剥削者对您系统根访问权。这也也许导致某种“回绝服务”袭击。■窃听和重放袭击(SnoopingandReplayAttacks)：窃听袭击涉及某个对网络上两台机器之间通讯流进行侦听入侵者。通讯流也许包括使用telnet、rlogin或ftp时来回传递未加密口令。这有也许导致某个未经授权个人非法进入您网络或看到机密数据。■IP欺骗(IPSpoofing)：基于IP欺骗袭击涉及对计算机未经授权访问。通过侦听网络通讯流，入侵者找到受信任主机一种IP地址，然后发送消息时批示该消息来自受信任主机。■内部泄密(InternalExposure)：绝大多数网络非法进入皆起因于某个心怀恶意或对现状不满现任或前任雇员滥用对信息访问权或非法闯入您网络。针对Unix系统存在诸多风险，应当采用相应安全办法。必要对这些风险加以控制。针对这个某些安全控制可以采用特殊安全方略，同步运用有关软件对系统进行配备、监控。制定详细访问控制筹划、方略。WindowsNT系统安全分析WindowsNT安全机制基本是所有资源和操作都受到选取访问控制保护，可觉得同一目录不同文献设立不同权限。这是NT文献系统最大特点。NT安全机制不是外加，而是建立在操作系统内部，可以通过一定设立使文献和其她资源免受在存储计算机上工作顾客和通过网络接触资源顾客威胁（破坏、非法编辑等）。安全机制甚至包括基本系统功能，例如设立系统时钟。对顾客帐号、顾客权限及资源权限合理组合，可以有效地保证安全性。通过一系列管理工具，以及对顾客帐号、口令管理，对文献、数据授权访问，执行动作限制，以及对事件审核可以使WindowsNT达到C2级安全。在网络中，有三种方式可以访问NT服务器：（1）通过顾客帐号、密码、顾客组方式登录到服务器上，在服务器容许权限内对资源进行访问、操作。这种方式可控制性较强，可以针对不同顾客。（2）在局部范畴内通过资源共享形式，这种方式建立在NETBIOS基本之上。通过对共享资源共享权限控制达到安全保护。但不能针对不同顾客，当一种顾客在通过共享对某一种资源进行操作时（这时共享权限有所扩大），其她顾客趁虚而入，而导致对资源破坏。（3）在网络中通过TCP/IP合同，对服务器进行访问。当前典型应用有FTP、HTTP、WWW等。通过对文献权限限制和对IP选取，对登录顾客认证可以在安全性上做到一定保护。 由于WindowsNT系统复杂性，以及系统生存周期比较短，系统中存在大量已知和未知漏洞，某些国际上安全组织已经发布了大量安全漏洞，其中某些漏洞可以导致入侵者获得管理员权限，而另某些漏洞则可以被用来实行回绝服务袭击。管理系统安全风险管理系统安全风险除了上面提到系统风险之外，系统构造复杂、管理难度大，存在各种服务，哪些服务对哪些人是开放、哪些是回绝都没有一定安全划分。必要防止内部不有关人员非法访问安全限度规定高数据，并且整个系统正常运营也是保证银行系统寻常工作正常进行一种十分重要方面。必要限制管理系统内各个部门之间访问权限，维护各个系统安全访问。而由于整个系统是一种体系，任何一种点浮现安全问题，都也许给有关人员带来损失。宁波政府专网安全风险解决方案设计原则和目的原则：从网络安全整个体系考虑，本次防火墙选取原则是：安全性：防火墙提供一整套访问控制/防护安全方略，保证系统安全性；开放性：防火墙采用国家防火墙有关原则和网络安全领域有关技术原则；高可靠性：防火墙采用软件、硬件结合形式，保证系统长期稳定、安全运营；可扩充性：防火墙采用模块化设计方式，以便产品升级、功能增强、调节系统构造；可管理性：防火墙采用基于windows平台GUI模式进行管理，以便各种安全方略设立；可维护性：防火墙软件维护以便，便于操作管理；目的：网络安全涉及诸多方面，如：访问控制、身份认证、数据加密、入侵检测、防止病毒、数据备份等。本次防火墙系统建设目的是通过采用防火墙技术，防止不同节点间对内联网数据非法使用和访问，监控整个网络数据过程。有效防止袭击行为。限制对内部资源和系统访问范畴。通过在系统中设立防火墙安全办法将达到如下目的：保护基于专网业务不间断正常运作。涉及构成所有设施、系统、以及系统所解决数据（信息）。重要信息在可控范畴内传播，即有效控制信息传播范畴，防止重要信息泄露解决网络边界安全问题保证网络内部安全实现系统安全及数据安全在顾客和资源之间进行严格访问控制（通过身份认证，访问控制）建立一套数据审计、记录安全管理机制（网络数据采集，审计）融合技术手段和行政手段，形成全局安全管理。为理解决专网面临安全问题，有必要建立一整套安全机制，涉及：访问控制、入侵检测等各种方面。信息系统安全是一种复杂系统工程，涉及到技术和管理等各种层面。为达到以上目的，方正数码在充分调研和分析比较基本上采用合理技术手段和产品以构建一种完整安全技术体系，协助宁波政府建立完善安全管理体系。网络安全解决方案构成针对前文对黑客入侵过程描述，为了更为有效保证网络安全，方正数码提出了两个理念：立体安全防护体系和安全服务支撑体系。一方面网络安全决不但仅是一种防火墙，它应是涉及入侵测检（IDS）、虚拟专用网（VPN）等功能在内立体安全防护体系；另一方面真正网络安全一定要配备完善高质量安全维护服务，以使安全产品充分发挥出其真正安全效力。一种好网络安全解决方案应当由如下几种某些构成：防火墙：对网络袭击阻隔防火墙是保证网络安全重要屏障。防火墙依照网络流来源和访问目的，对网络流进行限制，容许合法网络流，并禁止非法网络流。防火墙最大意义在网络边界处提供统一安全方略，有效将复杂网络安全问题简化，大大减少管理成本和潜在风险。在应用防火墙技术时，对的划分网络边界和制定完善安全方略是至关重要。发展到今天，好防火墙往往集成了其她某些安全功能。例如方正方御防火墙在较好实现了防火墙功能同步，也实现了下面所说入侵检测功能；入侵检测（IDS）：对袭击试探预警当黑客试探袭击时，大多采用某些已知袭击办法来试探。网络安全漏洞扫描器是“先敌发现”，未雨绸缪。而从此外一种角度考虑问题，“实时监测”，发现黑客袭击企图，对于网络安全来说也是非常故意义。甚至由此派生出了P^2DR理论。入侵检测系统通过扫描网络流里特性字段（网络入侵检测），或者探测系统异常行为（主机入侵检测），来发现此类袭击存在。一旦被发现，则报警并作出相应解决，同步可以依照预定办法自动反映，例如暂时封掉发起该扫描IP。方正方御防火墙已经内置了一套网络版IDS系统可以迅速并有效发现1500余种袭击行为。需要注意是，入侵检测系统当前不能，后来也很难，精准发现黑客袭击痕迹。事实上，黑客可以将某些广为人知网络袭击进行某些较为复杂变形，就能做到没有入侵检测系统可以辨认出来。因此，在应用入侵检测系统时，千万不要由于有了入侵检测系统，就不对系统中安全隐患进行及时补救。安全审计管理安全审计系统必要实时监测网络上和顾客系统中发生各类与安全关于事件，如网络入侵、内部资料窃取、泄密行为、破坏行为、违规使用等，将这些状况真实记录，并能对于严重违规行为进行阻断。安全审计系统所做记录犹如飞机上黑匣子，在发生网络犯罪案件时可以提供宝贵侦破和取证辅助数据，并具备防销毁和篡改特性。安全审计跟踪机制内容是在安全审计跟踪中记录关于安全信息，而安全审计管理内容是分析和报告从安全审计跟踪中得来信息。安全审计跟踪将考虑要选取记录什么信息以及在什么条件下记录信息。收集审计跟踪信息，通过列举被记录安全事件类别（例如对安全规定明显违背或成功操作完毕），能适应各种不同需要。已知安全审计存在可对某些潜在侵犯安全袭击源起到威摄作用。虚拟专用网（VPN）：远程传播安全VPN技术在把分散在各处服务器群连成了一种整体，形成了一种虚拟专用网络。通过VPN加密通道，数据被加密后传播，保证了远程数据传播安全性。使用VPN可以象管理本地服务器同样去安全管理远程服务器。VPN带来最大好处是保证安全性同步，复用物理信道，减少使用成本。方正方御防火墙提供了软、硬两种方式来实现VPN。防病毒以及特洛伊木马计算机病毒危害不言而喻，计算机病毒发展到今天，已经和特洛伊木马结合起来，成为黑客又一利器。微软原码失窃案，据信，就是一黑客使用特洛伊木马所为。安全方略实行保证网络安全知识普及，网络安全方略严格执行，是网络安全最重要保障。此外，信息备份是信息安全最起码规定。能减少恶意网络袭击或者意外灾害带来破坏性损失。超高安全规定下网络保护对于宁波市政府系记录算机专网数据中心安全而言，安全性需求就更加高，属于超高安全规定下网络保护范畴，因而需要在这些地方使用2台防火墙进行双机热备，以保证数据稳定传播。认证与授权认证与授权是一切网络安全根基所在，特别在网络安全管理、外部网络访问内部网络（涉及拨号）时，要有非常严格认证与授权机制，防止黑客假冒身份渗入进内部网络。对于内部访问，也要有完善网络行为审计记录和权限限定，防止由内部人员发起袭击──70%以上袭击都是内部人员发起。咱们建议宁波市政府系记录算机专网运用基于X.509证书认证体系（当前最强认证体系）来进行认证。方正方御防火墙管理也是用X.509证书进行认证。网络隔离网络安全界一种玩笑就是：要想安全，就不要插上网线。这是一种简朴原理：如果网络是隔离开，那么网络袭击就失去了其存在介质，皮之不存，毛将焉附。但对于需要和外界沟通实际应用系统来说，完全物理隔离是行不通。方正数码提出了安全数据通道网络隔离解决方案，在网络连通条件下，通过破坏网络袭击得以进行此外两个重要条件：从外部网络向内部网络发起连接将可执行指令传送到内部网络从而保证宁波市政府系记录算机专网安全。实行保证宁波市政府系记录算机专网牵涉网点众多，网络构造复杂。要保护这样一种繁杂网络系统网络安全，必要有完善管理保证。安全系统要可以提供统一集中灵活管理机制，一方面要能让宁波市政府系记录算机专网网控中心网管人员监控整体网络安全状况，此外一方面，要能让地方网管人员灵活解决详细事务。方正方御防火墙采用基于WindowsGUI顾客界面进行远程集中式管理，配备管理界面直观，易于操作。可以通过一种控制机对多台方正方御防火墙进行集中式管理。方正方御防火墙符合国家最新防火墙安全原则，采用了三级权限机制，分为管理员，方略员和审计员。管理员负责防火墙开关及寻常维护，方略员负责配备防火墙包过滤和入侵检测规则，审计员负责日记管理和审计中授权机制，这样她们共同地负责起一种安全管理平台。事实上，方御防火墙是通过该原则认证第一种状态检测型包过滤防火墙。此外，方正方御防火墙还提供了原原则中没有强制执行实行域分组授权机制，特别适合于宁波市政府系记录算机专网这样大型网络。防火墙选型防火墙是网络安全领域首要、基本设施，它对维护内部网络安全起着重要作用。运用防火墙可以有效地划分网络不同安全级别区域间边界，并在边界上对不同区域间访问实行访问控制、身份鉴别、和安全审计等功能。防火墙按实现方式不同，其基本类型有：包过滤型、代理(应用网关)型和复合型。复合型防火墙是在综合动态包过滤技术和代理技术长处状况下采用一种更加完善和安全防火墙技术。其功能强大，是将来防火墙技术发展一种重要趋势。综合考虑宁波市政府网络安全实际状况，在本方案中采用方正数码方正方御复合型防火墙，放置在网络连接各个节点间。防火墙设立及工作模式防火墙提供三个接口：内网、外网、DMZ；防火墙工作在桥模式，这样不需要改动既有网络拓扑构造；将对外服务各种服务设备放置在DMZ区域，和内部网络严格区别开，保证内部系统安全。防火墙功能设立及安全方略完善访问控制规则控制：通过方正方御防火墙提供基于TCP/IP合同中各个环节进行安全控制，生成完整安全访问控制表，这个表涉及：■外网对DMZ内服务访问控制。将外部对内部、DMZ内服务访问明确限制，防止非法对内部重要系统，特别是业务系统访问。运用DMZ隔离效果，尽量将对外服务某些服务器放置在DMZ区域，通过NAT方式，保护内部网络免受袭击。关闭操作系统提供除需要以外所有服务和应用，防止由于这些服务和应用自身漏洞给系统带来风险。对内部E-mail、FTP、WWW、数据库访问做严格规划和限制，防止恶意袭击行为发生。■内部网络：内部网络对外部网络访问也要进行严格限制。防止内部员工对外网资源非法访问。同步内部员工对DMZ区域服务器访问也必要做限制。内部员工对外网WWW访问采用代理方式。■DMZ访问：普通状况下DMZ对外部和内部都不能积极进行访问，除非特殊应用需要到内部网络采集数据，可以有限地开放某些服务。借助方正方御防火墙提供基于状态包过滤技术对数据各个方向采用全面安全技术方略，制定严格完善访问控制方略保证从IP到传播层数据安全。通过严格访问控制表来进行限制。IPMAC地址捆绑：方正方御防火墙提供灵活而方式各种内部网络、DMZ区域、外部网络IPMAC地址捆绑功能，将每台机器IP地址和它自身物理地址捆绑，有效防止内部网络、DMZ区域、外部网络IP地址盗用（该功能实质是将网络合同第二层地址和第三层地址进行捆绑，达到一定安全级别）。内部系统应当尽量采用固定IP分派方案。通过IPMAC地址捆绑，也可以对后期数据日记分析带来一定以便性。URL拦截：方正方御防火墙实现了透明URL拦截功能，对通过防火墙应用层URL进行严格控制和管理，按照顾客规定进行拦截。外部对DMZ、内部URL访问进行控制，同步也可以限制内部网络对外部网络URL非法访问。在该方案中咱们将对内部网络和外部网络状况详细理解，对URL拦截达到页面级别。有效保护www应用安全。内置入侵检测（IDS）方正数码公司和国际网络安全组织合伙，可以实时获得最新系统入侵库代码，动态地将这些袭击技术解决方案加入到方正方御防火墙中,同步在方正方御防火墙内部采用3I技术，加速应用层安全防护查询过程。方正方御防火墙当前可以支持1500种以上入侵检测并可以成功阻断这样袭击行为，例如近来红色代码。针对各种袭击行为，例如TCP序列号袭击、劫持、碎片袭击、端口扫描可以辨认阻断。而这个数据库可以实时更新、升级。升级在方正方御防火墙界面即可完毕。IDS和访问方略形成互动。通过防火墙嵌入IDS功能可以有效防范对内部Windows/NT，Unix系统袭击行为。电子欺骗：防火墙可以自动辨认各种电子欺骗行为并进行阻断。同步防火墙可以对伪装IP地址进行辨认。代理服务方正方御防火墙对外提供代理服务功能，内部网络对外访问可以通过防火墙提供代理服务功能，同步代理服务可以针对URL,SSL,FTP进行应用拦截，防止内部人员对外网非法访问。日记系统及系统报警方正方御防火墙提供强大日记系统，将通过防火墙数据、防火墙管理数据、流量、各种袭击行为记录集成到一起。同步系统提供针对各种记录成果按照顾客规定进行报表打印。针对通过防火墙数据，可以按照数据类型、地址进行记录分析。针对各种管理数据，防火墙进行详细记录，网管人员可以以便查看对防火墙管理状况。如果有内部人员对防火墙访问，可以通过管理数据进行查询。流量记录：防火墙提供流量记录功能，可以按照顾客名称、地址等各种方式进行记录。系统报警：当有人非法对内部网络或者外部网络进行访问时候，系统实时报警会通过E-mail和声音进行报警。同步对各种非法访问和袭击行为进行记录。通过强大日记系统和实时报警、日记报警等各种方式保证网络浮现安全问题时可以有资料分析；同步也可以通过对日记系统分析完善系统安全方略。带宽分派，流量管理在专网上运营着某些重要业务数据，这些业务数据实时性规定高，必要保证这样数据具备优先权限，防止由于带宽问题影响应用。方正方御防火墙可以针对实际状况，对某些特殊应用提供带宽管理。给特殊应用分派相对高带宽。同步方正方御防火墙提供流量管理功能，对内部网络顾客对外网访问可以提供流量限制。H.323支持政府专网运营着视频会议数据（H.323）。方正方御防火墙可以精确辨认H.323数据流，让数据合法通过。按照正常状态检测技术，H.323数据也许被阻断。在方正方御防火墙内部成功进行了UDP、TCP数据同步分析。系统可以辨认H.323连接，保证H.323数据通过。系统升级网络安全技术随着网络技术发展不断变化，而网络安全方略和软件也不能一成不变，需要不断升级。方正方御防火墙管理界面提供以便系统升级和IDS升级功能。保证防火墙产品实时和网络安全领域技术同步，防止由于新安全问题给系统带来安全风险。其中，特别是IDS功能，几乎每天均有新安全风险和袭击软件浮现。方正防火墙内嵌IDS功能模块可以动态升级，保障IDS数据库和最新动态同步。双机备份网络安全、稳定长期运营是最后目的，而网络硬件也许由于某些特殊因素发生故障。方正方御防火墙提供双机备份功能，采用两种方式进行备份检测，软件方式借用HSRP技术动态跟踪各个区域运营状态，发现任何一种区域浮现问题即刻进行切换。硬件方式采专心跳线方式，当系统检测到故障，也将进行切换。而系统切换不影响业务。两台防火墙工作在互备模式中。防火墙方案特点本次防火墙重要设立在连接节点上。本方案中，咱们重要依照宁波政府专网络实际状况，针对防火墙特殊性，从如下几种方面考虑保障系统安全性防火墙放置在内外网之间用来隔离内部网络和外部网络，对内外网络通信进行严格管理和监控，防火墙必要提供全面安全方略保证内部系统安全。因而方正方御防火墙提供全面访问控制方略、IPMAC地址捆绑、IDS入侵检测、反电子欺骗等手段。这些功能可以有效保障内部网络安全。同步方正方御防火墙也提供带宽管理、分派，系统报警等办法从侧面协助。自身安全性防火墙作为网络系统中一种部件，其自身安全性也是十分重要，考虑到实际状况，方正方御防火墙提供单独管理接口，管理接口服务所有关闭，同步管理接口特殊管理数据采用原则加密算法和办法。这样在远程管理过程中数据通过专网进行管理可以有效保证管理安全性。同步，运用WindowsNT中域技术，对防火墙管理时必要登录到相应域才干对域内顾客进行管理，保障管理域安全性。而防火墙操作系统采用通过严格测试专有操作系统。维护以便性管理以便性直接关系到系统能否起到安全保护作用，方正方御防火墙提供专有GUI平台，以便制定各种安全方略。系统事件管理系统事件和日记记录直接关系到整个安全平台完善和后续责任追查等各种方面，方正方御防火墙为顾客提供完整、精确数据记录成果，供查询、打印等。防火墙整体布局咱们建议使用防御防火墙网桥模式，3个端口构成一种以太网互换机，防火墙自身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一种互通物理网络。当防火墙工作在互换模式时，内网、DMZ区和路由器内部端口构成一种统一互换式物理子网，内网和DMZ区还可以有自己第二级路由器，这种模式不需要变化原有网络拓扑构造和各主机和设备网络设立。如下图所示：宁波市政府系记录算机专网核心节点市政府办公厅网络宁波市政府系记录算机专网核心节点管理除了需要提供信息服务外，还需要对各区及委、办、局网络设备进行集中管理，因而网络安全性和可靠性特别重要。内部区放置控制服务器、数据库服务器、文献服务器、认证服务器、系统管理服务器等设备，公开信息区放置对外信息发布系统，涉及WEB服务器、Mail服务器等设备等。出于稳定性考虑，防火墙使用双机热备方式，以保证网络不间断性。宁波市政府系记录算机专网核心节点市政府办公厅网络图如下：各区及委、办、局安全网络各区及委、办、局网络构造节点也同样划分为内部操作（控制）区、公开信息区两个网段。对于这些网络咱们建议使用如下方案：集中管理和分级管理由于宁波市政府系记录算机专网涉及网络安全设备繁多，因而在管理上面需要既能集中管理，又可以在本地进行审计管理，日记查询等操作。而顾客权限机制分派必要通过网络管理中心统一分派和管理。需要集中管理网络设备涉及防火墙设备和VPN设备。在宁波市政府系记录算机专网网络管理中心需要对各委、办、局网络安全设备进行集中管理。分析宁波市政府系记录算机专网特点和需求，方正方御防火墙集中管理功能和权限管理机制完全可以满足这些需求。方正方御防火墙采用基于WindowsGUI顾客界面进行远程集中式管理，配备管理界面直观，易于操作。可以通过一种控制机对多台方正方御防火墙进行集中式管理。方正方御防火墙采用了三级权限机制，分为管理员，方略员和审计员。管理员负责防火墙开关及寻常维护，方略员负责配备防火墙包过滤和入侵检测规则，审计员负责日记管理和审计中授权机制。这样她们共同负责起一种安全管理平台。

产品选型防火墙与入侵检测选型咱们采用方正最新型方正方御防火墙。方正方御防火墙是一种很先进防火墙，同步它集成强大入侵检测功能。方正方御防火墙是国内第一种通过公安部公共信息网络安全监督局新防火墙认证原则包过滤级防火墙产品，同步通过了中华人民共和国人民解放军安全测评认证中心、国家保密局和中华人民共和国国家信息安全测评认证中心严格认证。方正数码公司简介作为方正集团互联网战略实行者，方正数码将自身定位于电子商务“赋能者”，其业务涉及互联网与电子商务技术研究应用与系统集成、网络市场营销服务、空间信息应用、无线互联以及电子商务征询服务等方向，以协助政府、行业、公司、网站、电子商务运营者在互联网时代健康成功发展为己任。要给电子商务运营者赋能，先要给安全赋能。方正数码一方面推出就是方正方御互联网安全解决方案。方正方御是在通过一年多大量投入和进一步研究后，提出一套基于中华人民共和国国情、所有自主开发、具备领先优势解决方案。它是一套整体集群平台，可以解决互联网运营商最为关切安全性、高可靠性、可扩展性和易于远程管理问题。当前这套方案已经得到国家关于部门大力支持，被国家经贸委列为国家创新筹划项目之一。此外，还得到了国家”863”筹划支持。在立身自主开发外，方正数码还与众多国际知名安全公司保持着良好合伙关系，并集成了国内外最先进公司安全产品，为国内Internet安全建设保驾护航。方正方御防火墙（100M）产品概述方御防火墙是方正方御中重要安全产品之一。由于防火墙技术针对性很强，它已成为实现网络安全重要保障之一。方御防火墙是通过对国外防火墙产品综合分析，针对咱们国家详细应用环境，结合国内外防火墙领域里最新发展，在面向IDC和中小公司防火墙基本上，提出一种具备强大信息分析功能、高效包过滤功能、各种反电子欺骗手段、各种安全办法综合运用安全可靠专用防火墙系统。方正方御防火墙不但仅是一种包过滤防火墙，并且涉及了大量实用模块，可觉得顾客提供多方面服务。方御防火墙保护如下模块：系统特点一体化硬件设计方正方御防火墙采用了一体化硬件设计，采用了自己操作系统，无需其她操作系统支持，这样可以发挥硬件最大性能，同步也提高了系统安全性。双机热备份通过双机热备份，本系统提供可靠容错/热待机功能。备份防火墙服务器中存有主防火墙服务器设立镜像，当主防火墙由于某些因素不能正常运作，备份服务器可以在12秒钟内取代主服务器运作，充分保证整个网络系统运作稳定性。完善访问控制方正方御防火墙符合国家最新防火墙安全原则，采用了三级权限机制，分为管理员，方略员和审计员。管理员负责防火墙开关及寻常维护，方略员负责配备防火墙包过滤和入侵检测规则，审计员负责日记管理和审计中授权机制。这样她们共同地负责起一种安全管理平台。各种工作模式方正方御防火墙可以工作在网桥路由两种模式下，这样可以以便顾客使用。使用在网桥模式时在IP层透明，使用路由模式时可以作为三个区之间路由器，同步提供内网到外网、DMZ到外网网络地址转换。防御DOS，DDOS袭击普通防火墙都是采用限制每一网络地址单位时间内通过SYN包数量来抵抗DDOS袭击，但是普通网络袭击者都会随机伪造网络地址，因而这种办法防范效果非常差，不能从主线上抵抗DDOS袭击。方正方御防火墙修改了TCP/IP堆栈算法，使得新syn连接包可以正常通过，避免了由于大量袭击SYN包导致网络阻塞。状态检测方正方御防火墙可以依照数据包地址、合同和端口进行访问控制，同步还对任何网络连接和会话当前状态进行分析和监控。老式防火墙包过滤只是依照规则表进行匹配，而方正方御防火墙对每个连接，作为一种数据流，通过规则表与连接表共同配合来对网络状态进行控制。代理服务顾客可以设立代理服务器端口来启动代理服务器功能，并且通过设立使用代理服务器顾客帐号密码和访问控制来维护安全性。代理服务访问控制非常完善，可以对时间、合同、办法、地址、DNS域、目端口和URL来进行控制。顾客完全可以通过设立一定条件来符合自己规定。双向网络地址转换系统支持动态、静态、双向NAT。当顾客需要从内部IP访问Internet时，NAT系统会从IP池里取出一种合法InternetIP，为该顾客建立映射。如果需要在Intranet提供让外部访问服务（如WWW、FTP等），NAT系统可觉得Intranet里服务器建立静态映射，外部顾客可以直接访问该服务器。双向网络地址转换为公司顾客连接到Internet提供了良好网络地址隐蔽，并且能减少IP占用，替顾客节约费用。提供DMZ区除了内部网络界面和外部网络界面，系统还可以再增长一种网络界面，让管理员灵活应用。如建立DMZ（军事独立区），在其中放置公共应用服务器。带宽管理和流量记录方正方御防火墙系统使用流量记录与控制方略，可以便依照网段和主机等对流量进行记录与控制管理。顾客可以通过设立源地址到目地址单位在时间内容许通过流量以及合同和端口来进行带宽控制。日记审计审计功能是方正方御防火墙非常强大一种某些，当前国内防火墙审计功能都非常不完善，方正方御防火墙提供了大量审计内容和对审计内容查询功能，由于日记也许对普通顾客比较难以理解，而咱们将日记记录提成了若干某些，而其中每一某些都可以进行查询和管理，这样顾客就能对防火墙状况有一种非常透彻理解。入侵检测方正方御防火墙入侵检测系统采用了可扩展检测库办法，当前可以抵抗1000各种袭击办法，并且可以通过升级检测库办法来不断抵抗新袭击办法。顾客还可以自定义袭击检测库来符合自己规定。自动报警和防范系统方正方御防火墙一旦检测到有黑客进行袭击，会在第一时间内在控制机上进行报警，并且同步会自动封禁掉袭击者IP地址，这样可以做到防火墙防范完全自动化，而不象普通防火墙那样需要人工干预。基于PKI授权认证方正方御防火墙授权认证是基于PKI基本之上，因而完全性极高。PKI是一种新安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥安全方略等基本成分共同构成。迅速安装配备方正方御防火墙安装和配备非常以便，管理员只要设定好网络设备IP地址，然后使用系统提供某些典型配备模板，恰当修改某些规则来符合规定。除此以外还可以添加系统提供某些子模板来实现某些特定功能。图形管理界面顾客可以通过图形界面对防火墙进行配备和管理。并且也可以通过图形界面来管理审计内容，而不象有些防火墙是通过命令行方式进行配备。完全中华人民共和国化设计方正方御防火墙是由方正数码自行设计和制作，充分考虑了中华人民共和国国情，除了界面、协助文档、使用阐明完全中文化外，还加入了某些小型模板顾客给管理员配备防火墙。集中管理方正方御防火墙采用基于WindowsGUI顾客界面进行远程集中式管理，配备管理界面直观，易于操作。可以通过一种控制机对多台方正方御防火墙进行集中式管理。方御防火墙（百兆）性能项目指标最大并发连接数>=200,000内核解决速度>=750M100M端口吞吐量>97M百条规则下平均吞吐量(fps)>94M延时10ms丢包率（百条规则）0%MTBF>=30000小时最大规则数>=1400条方正方御防火墙功能阐明各种工作模式方正方御网络安全产品可以工作在互换和路由两种模式下：A：互换模式：3个端口构成一种以太网互换机，产品自身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一种互通物理网络。当产品工作在互换模式时，内网、DMZ区和路由器内部端口构成一种统一互换式物理子网，内网和DMZ区还可以有自己第二级路由器，这种模式不需要变化原有网络拓扑构造和各主机和设备网络设立。B：路由模式：产品自身构成3个网络间路由器，3个界面分别具备不同IP地址。三个网络中主机通过该路由进行通信。当产品工作在路由模式时，可以作为三个区之间路由器，同步提供内网到外网、DMZ到外网网络地址转换，也就是说，内网和DMZ都可以使用保存地址，内网顾客通过地址转换访问Internet，同步隔绝Internet对内网访问，DMZ区通过反向地址转换对Internet提供服务。在没有安装方御网络安全产品时候典型网络构造图如下:在安装了方御网络安全产品时候网络构造图如下:包过滤防火墙方御防火墙重要功能是对指定IP包进行包过滤，并且按照设定方略对IP包进行入侵或流量等活动记录，并记入日记中，供顾客察看。重要依照IP包如下信息进行过滤：IP包源IP地址IP包目IP地址IP包合同类型（涉及IP、ICMP、TCP、UDP等合同）IP包源TCP/UDP端口IP包目TCP/UDP端口ICMP报文类型域和代码域碎片包IP包其他标志位，如SYN，ACK位等高效包过滤有些防火墙在安装上后来对WEB服务器吞吐能力影响很大，导致性能减少。由于方御防火墙采用了3I智能IP辨认技术（IntelligentIPIdentifying），可以实现迅速匹配。因而方御防火墙不会对性能导致任何影响。方御防火墙优化了算法，使最大并发连接数可以达到250,000个以上，而普通防火墙最大并发连接只能达到几万个左右。强大状态检测功能方御防火墙可以依照数据包地址、合同和端口进行访问控制，同步还对任何网络连接和会话当前状态进行分析和监控。老式防火墙包过滤只是与规则表进行匹配，而方御防火墙对每个连接，作为一种数据流，通过规则表与连接表共同配合，在继承了老式包过滤系统相应用透明特性外，还大大提高了系统性能和安全性。其她防火墙大多采用老式规则表匹配办法，随着安全规则增长，势必会使防火墙性能大幅度减少，导致网络拥塞。状态检测详细过程如下：防火墙其他功能双向NAT方御防火墙支持在内部网和DMZ区使用保存IP地址，通过动态地址转换功能实现对外部网访问。方御防火墙以两种方式支持NAT：√源地址转换(正向NAT)，即内部地址向外访问时，发起访问内部IP地址转换为指定IP地址（可含端标语或者端口范畴），这可以使内部使用保存IP地址主机访问外部网络，即内部各种机器可以通过一种外部有效地址访问外部网络。例如，内部地址对外部访问可以被修改为一种合法互联网地址00，并且可以限定其端口范畴为80~82。√目地址转换（反向NAT），即外部地址向内访问时，被访问IP地址（可含端标语或者端口范畴）被转换为指定内部IP地址（可含端标语或者端口范畴），可以支持针对外部地址服务端口到内部地址一对一映射，内部多台机器服务端口可以分别映射到外部地址若干个端口，通过这些端口对外部提供服务。例如。如果外部计算机要访问地址为00主机时，她事实上访问会是一台IP地址为主机，外部计算机可以任意访问00主机上面所有端口，这些访问都会转到相似端口上，这样就突破了以往防火墙做反向NAT时都必要和服务端口绑定限制（即00:80:80），固然，如果顾客需要，也可以和以往防火墙同样，做端口绑定。带宽管理和流量记录方御防火墙系统使用流量记录与控制方略，可以便地依照网段和主机等对流量进行记录与控制管理，以防止线路资源非允许消耗，有效地管理带宽资源，从而使网络得到有效运用。方御通过设立每小时容许通过网络流量和最大突发流量来实现带宽管理和流量记录功能。代理服务器功能对于浏览器顾客来说，方御是一种高性能代理缓存服务器，方御支持FTP、HTTP合同。和普通代理缓存软件不同，方御用一种单独、非模块化、I/O驱动进程来解决所有客户端祈求。方御将数据元缓存在内存中，同步也缓存DNS查询成果，除此之外，它还支持非模块化DNS查询，对失败祈求进行悲观缓存。方御支持SSL，支持访问控制。由于使用了ICP（轻量Internet缓存合同），方御可以实现层叠代理阵列，从而最大限度地节约带宽。顾客可以在客户管理中，通过设立客户权限，为顾客提供代理服务模式，在访问规则中设立“禁止顾客访问站点”和“仅容许访问站点”，同步还可以建立URL级访问限制，通过建立禁止顾客访问URL列表，方御防火墙可以对该列表进行匹配，禁止对列表中URL访问。违背限制规则访问企图将被记录到系统日记中。方御防火墙提供URL级屏蔽功能，可以使管理员屏蔽某些URL，如色情、反动主页等。此外通过对内部网WWW服务器某些URL屏蔽，可以消除服务器自身安全漏洞，从而对WWW服务器进行保护。IP地址和MAC地址绑定计算机中每一块网卡都具备一种唯一硬件物理地址标记号码，即网卡MAC地址，MAC地址与网卡一一相应。为解决IP地址欺骗和盗用问题，系统提供了IP地址和MAC地址（网卡）一一绑定功能，重要用于绑定某些重要管理员IP地址和特权IP地址。IP地址和MAC地址绑定后，虽然某个顾客盗用了此网卡IP地址，在通过防火墙时也会因网卡MAC地址不匹配而回绝通过。双机热备方御在桥模式下可以在网络中智能寻找其对等备份机，并且使备份机自动进入等待状态，而一旦备份机发现主工作机失效，可及时启动，防止网络中断事故发生。在路由模式下，方御提供手工设立双机热备功能。当前，可以支持两台方御在网络上进行主从备份，或者互为备份。复杂别名机制复杂别名机制是方御防火墙一类以便实用，也很重要功能，方御防火墙使用端口别名和子网别名来代替有关端标语和子网地址，协助顾客管理各种网段和各种端口地址。顾客可以在混合模式里用一种别名来管理一组离散网段地址，或者是离散端口值。在大某些其她功能模块里都要使用这些别名来进行配备。授权级别遵循国家关于安全原则规定，方御作了四级授权：实行域管理权、方略管理权、审计管理权、日记查看权。实行域管理权涉及：向实行域中增删管理员帐号，增删防火墙设备，设立双机热备，切换防火墙桥/路由模式，为管理员授方略管理权和审计管理权；方略管理权涉及：配备防火墙各个模块方略，如包过滤方略，入侵检测方略，NAT方略，流量控制方略，顾客认证管理、Proxy方略等等；审计管理权涉及：设立日记满时系统方略，为管理员授日记查看权，清空日记等；日记查看权涉及：查询日记，生成记录报表等。拥有实行域管理权仅有Admin帐号；且Admin也仅有实行域管理权，而没有方略管理权及审计管理权。其她管理员（指除了Admin以外管理员）方略管理权和审计管理权由Admin授予，日记查看权由拥有审计管理权管理员授予。可定制防火墙模板方御防火墙预置模板功能是将针对典型应用几条防火墙规则整合成为模板，运用填空方式配备，简化了顾客配备工作。强大审计功能方御防火墙提供了大量审计内容和对审计内容查询功能，由于日记也许对普通顾客比较难以理解，而咱们将日记记录提成了若干某些，并且就每一种某些都是可以进行查询和管理，这样一来就可以是顾客对防火墙状况有一种非常透彻理解。方御防火墙中审计功能有着非常完善权限管理，有专门审计员来对审计内容进行管理，在审计中又提成了若干级别权限。这样可以以便管理员管理审计内容。基于PKI高档授权认证PKI是一种新安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥安全方略等基本成分共同构成。PKI是运用公钥技术实现电子商务安全一种体系，是一种基本设施，网络通讯、网上交易是运用它来保证安全。从某种意义上讲，PKI包括了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺构成某些。方御防火墙授权认证是基于PKI基本之上，因而完全性极高。集中管理依照美国财经杂志记录资料表白，30%入侵发生在有防火墙状况下，这些入侵重要因素并非是防火墙无用，而是由于普通防火墙管理及配备相称复杂，要想成功维护防火墙，规定防火墙管理员对网络安全袭击手段及其与系统配备关系有相称深刻理解，并且防火墙安全方略无法进行集中管理，这些都导致了网络安全失败。而方御防火墙采用基于WindowsGUI顾客界面进行远程集中式管理，配备管理界面直观，易于操作。可以通过一种控制机对多台方御进行集中式管理。实时控制和日记转存管理员可以通过控制界面对防火墙进行实时控制和调节，可以修改其方略和工作方式。管理员可以将日记保存起来，供后来分析使用，由于方御防火墙每天都会记录大量日记信息，并且某些日记记录是非常有用信息，因而方御日记监视系统会将服务器上面日记下载到管理员机器上面，管理员可以对它进行编辑和保存。路由选取合同控制 桥接模式下，防火墙内部口三层互换机和外部路由器进行路由信息互换，互换机和路由器之间运营了RIP，EIGRP，IGRP，OSPF等IGP路由合同，防火墙必要辨认这些合同，让它们通过防火墙，否则，内部网络数据将无法路由。这些合同特点是目地址为多播地址，对此防火墙需要辨认并对的解决，在桥模式下可以灵活地控制这些包通过或不通过。支持SNMP管理方御网络安全产品提供对简朴网络管理合同(SNMP)支持，支持V1、V2等不同版本，可与当前主流网络管理平台如HPOpenview、CAUnicenter、CiscoWorks等联用，通过专业网管软件兼控方御产品运营状况。此外通过SNMP管理，方御防火墙还可以对袭击事件进行收集，转发给SNMP服务器，顾客可以通过对SNMP管理，发现产品问题。H.323支持随着语音/影像数据流行，网络上流动大量H.323数据。H.323数据流特点是同一种数据流在不同步间使用不同UDP端口，而这种端口变化普通是靠分析数据流内容得到，方御防火墙采用特殊技术对实际数据流状况作出判断，以鉴别数据合法性，在保证网络安全前提下支持H.323数据合法通过。入侵检测系统反端口扫描普通黑客如果要对一种网站发动袭击，一方面都要扫描目的服务器端口，拟定服务器上启动服务，然后选取相应入侵方式。方御入侵检测系统可以在黑客扫描网站时候就能检测到并报警，这样在就能提前将黑客拒之于门外。方御入侵检测系统在检测到有黑客扫描服务器端口时候会及时在袭击者视野中消失，从而使黑客无法进行背面袭击。方御入侵检测系统依照配备文献监控任何和TCP，UDP端口连接。可以对所有端口同步进行监控，同步也可以忽视指定端口。这样就能满足不同需求方式。可以防范1500余种袭击方式检测各种DoS袭击DoS(回绝服务袭击)涉及诸多不同方式。在这些方式中，三种最流行方式为使服务失效、独占或盗用资源以及删除数据。最常用就是服务失效方式，通过DoS袭击可以使一种服务器停止服务，从而导致巨大损失。方御入侵检测系统可以检测涉及IGMP袭击，TearDrop，LAND，WinNuke等各种DoS袭击。从而使被托管服务器处在安全保护之中。和其他同样，方御入侵检测系统一旦发既有DoS袭击，及时在线报警，记录日记。检测各种DDoS袭击Yahoo、CNN等知名网站被黑客袭击使得防黑客成了人们关注热点。DDoS(分布式回绝服务)是本次袭击重要手段。DDoS袭击原理是入侵者控制了某些节点，将它们设计成控制点，这些控制点控制了Internet大量主机，将它们设计成袭击点，袭击点中装载了袭击程序，正是由这些袭击点计算机对袭击目的发动袭击。这种构造使入侵者远离袭击目的，隐藏了入侵者详细位置。方御入侵检测系统可以检测涉及TFN，Trin00，shaftsynflood等各种DDoS工具袭击。而这些袭击都是进行DDoS袭击重要工具。检测保护子网中与否存在后门和木马程序后门和木马程序如果存在于网络中，会导致严重后果，有些后门程序导致管理员密码被盗取，因而检测保护子网中与否存在后门和木马程序成为入侵检测一种重要构成某些。方御入侵检测系统可以检测网络中与否存在流行BO，BO，NetSphere，DeepThroat，WinCrash，BackConstruction等各种后门或木马程序。检测各种针对Finger服务袭击Finger服务于查询顾客信息，涉及网上成员真实姓名、顾客名、近来登录时间、地点等，也可以用来显示当前登录在机器上所有顾客名，这对于入侵者来说是无价之宝，由于它能告诉她在本机上有效登录名。方御入侵检测系统可以检测针对Finger服务袭击如FingerBomb，Fingersearch，FINGER-ProbeNull等扫描和袭击。检测各种针对FTP服务袭击方御入侵检测系统可以检测针对不同FTPserver，涉及AIXFTPD，WuFTP，ProFTPD，Serv-UFTPD，NCFTPD，MsFTPD发起FTP-site-exec，FTP-user-root，BufferOverflow等各种尝试和袭击行为。检测基于NetBIOS袭击方御入侵检测系统可以对基于NetBIOS如NETBIOS-SMB-IPC$access，NETBIOS-SMB-ADMIN$access，NETBIOS-SNMP-NT-UserList等各种尝试和袭击行为进行检测。检测缓冲区溢出类型袭击方御入侵检测系统可以对OVERFLOW-x86-solaris-nlps，OVERFLOW-x86-windows-MailMax，OVERFLOW-x86-linux-ntalkd，OVERFLOW-DNS-sparc等近百种堆栈溢出袭击进行检测。检测基于RPC袭击方御入侵检测系统可以对基于RPC如portmap-request-amountd，portmap-request-bootparam，RPCInfoQuery，portmap-request-ypserv，RPCttdbservSolarisOverflow等各种尝试和袭击行为进行检测。检测基于SMTP袭击方御入侵检测系统可以对针对各种SMTPserver，涉及Sendmail，ExchangeServer，Qmail等所发起SMTP-expn-root，SMTPRelayingDenied等试探和袭击进行检测。检测基于Telnet袭击方御入侵检测系统能针对基于Telnet涉及AttemptedSUfromwronggroup，setld_preload，setld_library_path，LoginIncorrect等各种尝试和袭击。检测网络上传播病毒和蠕虫方御入侵检测系统能在计算机病毒和蠕虫传播到宿主机之前检测出来，涉及流行Happy99，IloveU，PrettyPark等百种蠕虫和病毒，防患于未然。检测CGI袭击方御入侵检测系统能检测出涉及针对PHF，NPH，pfdisplay。cgi等已知上百种有安全隐患CGI进行探测和袭击方式。检测针对WEBServerFrontPage扩展进行袭击检测针对WEBServerColdFusion扩展进行袭击检测针对MicroSoftIISserver进行袭击方御入侵检测系统能检测ViewSourceexploit，IIS-exec-srch，IIS-asp-srch等已知漏洞和弱点袭击行为。检测运用ICMP进行扫描和袭击方御入侵检测系统能对运用这种方式进行网络拓扑探测所产生PING-ICMPDestinationUnreachable，PING-ICMPTimeExceeded等ICMP包进行检测。检测运用Traceroute对网络探测检测ActiveX，JaveApplet传播方御入侵检测系统能通过匹配网络包内容，可以检测特定ActiveX，JaveApplet等程序在网络上传播。19检测对其她也许网络服务进行袭击在线升级和实时报警由于入侵检测系统库文献是需要不断更新，因而方御提供了非常以便升级接口，可以通过咱们网站进行在线升级，并且咱们提供了非常以便顾客升级界面，使升级工作可以非常以便完毕。报警与否可以及时是衡量一种入侵检测系统重要因素之一，如果在黑客刚刚进行袭击时候就可以做出响应，那么管理员会有足够时间进行防护。方御报警系统和入侵检测系统协调工作几乎是一致，一旦入侵检测系统检测到袭击，报警系统会立即做出反映，通过Email或手机告知管理员。同步会启动自动防范系统进行防范。入侵检测和防火墙互动通过通信行为跟踪，防火墙可以检测到对网络各种扫描，检测到对网络袭击行为，并可以对袭击行为进行响应，涉及自动防范及顾客自定义安全响应方略等。安全评估系统方御安全评估系统重要针对顾客系统内部各种安全漏洞实行漏洞扫描，借以检查出系统中主机安全隐患，例如，各种常用服务端口状况，各种常用服务状况，和弱密码探测等，并提供相应扫描成果报告，顾客可打印和记录有漏洞主机扫描信息，并查询漏洞详细信息，使顾客全面理解系统安全状况，提早做好防范办法。虚拟专用网虚拟专用网技术（VPN，VirtualPrivateNetwork）是指在公共网络中建立专用网络，数据通过安全“加密通道”在公共网络中传播。公司只需要租用本地数据专线，连接上本地公众信息网，那么各地机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中，任意两个节点之间连接并没有老式专网所需端到端物理链路，而是运用某种公众网资源动态构成，是通过私有隧道技术在公共数据网络上仿真一条点到点专线技术。所谓虚拟，是指顾客不再需要拥有实际长途数据线路，而是使用Internet公众数据网络长途数据线路。所谓专用网络，是指顾客可觉得自己制定一种最符合自己需求网络。而在Internet上，VPN使用者可以控制自己与其她使用者联系，同步支持拨号顾客。当前VPN重要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption&Decryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）。方御虚拟专用网（VPN）中这几种技术都使用了，涉及软件加密和硬件加密，例如：使用IPSEC技术进行隧道通讯，使用3DES技术等进行加解密，使用IKE进行密钥管理，使用X.509进行身份认证等。方御虚拟专用网支持两种顾客模式：远程访问虚拟网（AccessVPN）和公司内部虚拟网（IntranetVPN）。如果公司内部人员有移动或远程办公需要，或者商家要提供B2C安全访问服务，就可以考虑使用远程访问虚拟网，方御远程访问模式使用IPSEC技术进行隧