石家庄电信分公司网络安全方案样本.doc

石家庄电信分企业网络安全方案 1. 背景介绍 1.1. 项目总述 石家庄电信分企业网络安全系统关键包含计费网络、OA网络和客服网络设计和布局。需要在部分对外接口处放置防火墙系统，以保障数据和信息在网络上传输安全。 1.2. 网络环境总述 石家庄电信分企业网络安全系统是非涉密内部业务工作处理网络，传输、处理、查询工作中非涉密信息。防火墙系统需要集中在数据中心控制机上面进行管理和审计。 1.3. 信息安全方案组成 1.3.1. 信息安全产品选型标准 石家庄电信分企业网络安全系统是一个要求高可靠性和安全性网络系统，若干关键信息在网络传输过程中不可泄露，假如数据被黑客修改或删除，那么就会严重影响工作。所以石家庄电信分企业网络安全系统安全产品选型事关重大，要提到国家战略高度来衡量，不然一旦被黑客或敌国攻入，其代价将是不能想象。 石家庄电信分企业网络安全系统网络安全系统方案必需遵照以下标准： ü 全局性标准：安全威胁来自最微弱步骤，必需从全局出发计划安全系统。石家庄电信分企业网络安全系统安全体系，遵照中心统一计划，局部实施标准。 ü 综合性标准：网络安全不单靠技术方法，必需结合管理，目前中国发生网络安全问题中，管理问题占相当大百分比，在各地方建立网络安全设施体系同时必需建立对应制度和管理体系。 ü 均衡性标准：安全方法实施必需以依据安全等级和经费程度统一考虑。网络中相同安全等级保密强度要一致。 ü 节省性标准：整体方案设计应该尽可能不改变原来网络设备和环境，以免资源浪费和反复投资。 ü 集中性标准：全部防火墙产品要求在数据中心能够进行集中管理，这么才能确保在数据中心服务器上能够掌握全局。 ü 角色化标准：防火墙产品在管理上面不仅在数据中心能够完全控制外，在地方还需要分配合适角色使地方能够在自己权利下修改和查看防火墙策略和审计。 现在，很多公开新闻表明美国国家安全局（NSA）有可能在很多美国大软件企业产品中安装“后门”，其中包含部分应用广泛操作系统。为此德国军方前些时候甚至要求在全部牵涉到机密计算机里，不得使用美国操作系统。作为信息安全保障，我们在安全产品选型时强烈提议使用中国自主开发优异网络安全产品，将安全风险降至最低。 在为各安全产品选型时，我们立足中国，同时确保所选产品优异性及可靠性，并要求经过国家各关键安全测评认证。 1.3.2. 网络安全现实状况 Internet正在越来越多地融入到社会各个方面。首先，伴随网络用户成份越来越多样化，出于多种目标网络入侵和攻击越来越频繁；其次，伴随Internet和以电子商务为代表网络应用日益发展，Internet越来越深地渗透到各行各业关键要害领域。Internet安全包含其上信息数据安全，日益成为和政府、军队、企业、个人利益休戚相关“大事情”。尤其对于政府和军队而言，假如网络安全问题不能得到妥善处理，将会对国家安全带来严重威胁。 二月，在三天时间里，黑客使美国数家顶级互联网站－Yahoo!、Amazon、eBay、CNN陷入瘫痪，造成了十几亿美元损失，令美国上下如临大敌。黑客使用了DDoS（分布式拒绝服务）攻击手段，用大量无用信息阻塞网站服务器，使其不能提供正常服务。在随即不到30天时间里，又前后有微软、ZDNet和E*TRADE等著名网站遭受攻击。 中国网站也未能幸免于难，新浪、当当书店、EC123等著名网站也前后受到黑客攻击。中国第一家大型网上连锁商城IT163网站3月6日开始运行，然而仅四天，该商城突遭网上黑客攻击，界面文件全部被删除，多种数据库遭到不一样程度破坏，致使网站无法运作。 客观地说，没有任何一个网络能够免受安全困扰，依据Financial Times曾做过统计，平均每20秒钟就有一个网络遭到入侵。仅在美国，每十二个月因为网络安全问题造成经济损失就超出100亿美元。 1.3.3. 经典黑客攻击 黑客们进行网络攻击目标多种多样，有是出于政治目标，有是职员内部破坏，还有是出于好奇或满足自己虚荣心。伴随Internet高速发展，也出现了有明确军事目标军方黑客组织。 在经典网络攻击中，黑客通常会采取以下步骤： 自我隐藏，黑客使用经过rsh或telnet在以前攻克主机上跳转、经过失误配置proxy主机跳转等多种技术来隐藏她们IP地址，更高级一点黑客，精通利用电话交换侵入主机。 网络侦探和信息搜集，在利用Internet开始对目标网络进行攻击前，经典黑客将会对网络外部主机进行部分初步探测。黑客通常在查找其它弱点之前首先试图搜集网络结构本身信息。经过查看上面查询来结果列表，通常很轻易建立一个主机列表而且开始了解主机之间联络。黑客在这个阶段使用部分简单命令来取得外部和内部主机名称：比如，使用nslookup来实施 “ls <domain or network>”， finger外部主机上用户等。 确定信任网络组成，通常而言，网络中主控主机全部会受到良好安全保护，黑客对这些主机入侵是经过网络中主控主机信任成份来开始攻击，一个网络信任组员往往是主控主机或被认为是安全主机。黑客通常经过检验运行nfsd或mountd那些主机输出NFS开始入侵，有时候部分关键目录（比如/etc，/home）能被一个信任主机mount。 确定网络组成弱点，假如一个黑客能建立你外部和内部主机列表，她就能够用扫描程序（如ADMhack, mscan, nmap等）来扫描部分特定远程弱点。开启扫描程序主机系统管理员通常全部不知道一个扫描器已经在她主机上运行，因为’ps’和’netstat’全部被特洛伊化来隐藏扫描程序。在对外部主机扫描以后，黑客就会对主机是否易受攻击或安全有一个正确判定。 有效利用网络组成弱点，当黑客确定了部分被信任外部主机，而且同时确定了部分在外部主机上弱点，她们就要尝试攻克主机了。黑客将攻击一个被信任外部主机，用它作为发动攻击内部网络据点。要攻击大多数网络组成，黑客就要使用程序来远程攻击在外部主机上运行易受攻击服务程序，这么例子包含易受攻击Sendmail,IMAP,POP3和诸如statd,mountd, pcnfsd 等RPC服务。 取得对有弱点网络组成访问权，在攻克了一个服务程序后，黑客就要开始清除她在统计文件中所留下痕迹，然后留下作后门二进制文件，使其以后能够不被发觉地访问该主机。 现在，黑客关键攻击方法有： 欺骗：经过伪造IP地址或盗用用户帐号等方法来取得对系统非授权使用，比如盗用拨号帐号。 窃听：利用以太网广播特征，使用监听程序来截获经过网络数据包，对信息进行过滤和分析后得到有用信息，比如使用sniffer程序窃听用户密码。 数据窃取：在信息共享和传输过程中，对信息进行非法复制，比如，非法拷贝网站数据库内关键商业信息，盗取网站用户个人信息等。 数据篡改：在信息共享和传输过程中，对信息进行非法修改，比如，删除系统内关键文件，破坏网站数据库等。 拒绝服务：使用大量无意义服务请求来占用系统网络带宽、CPU处理能力和IO能力，造成系统瘫痪，无法对外提供服务。经典例子就是年初黑客对Yahoo等大型网站攻击。 黑客攻击往往造成关键数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严重后果，假如是对军用和政府网络攻击，还会对国家安全造成严重威胁。 1.3.4. 网络和信息安全平台任务 网络和信息安全平台任务就是创建一个完善安全防护体系，对全部非法网络行为，如越权访问、病毒传输、恶意破坏等等，事前预防、事中报警并阻止，事后能有效将系统恢复。 在上文对黑客行为描述中，我们能够看出，网络上任何一个安全漏洞全部会给黑客以可乘之机。著名木桶原理（木桶容量由其最短木板决定）在网络安全里尤其适用。所以，我们方案必需是一个完整网络安全处理方案，对网络安全每一个步骤，全部要有仔细考虑。 1.3.5. 网络安全处理方案组成 针对前文对黑客入侵过程描述，为了更为有效确保网络安全，方正数码提出了两个理念：立体安全防护体系和安全服务支持。首先网络安全决不仅仅是一个防火墙，它应是包含入侵测检（IDS）、虚拟专用网（VPN）等功效在内立体安全防护体系；其次真正网络安全一定要配置完善高质量安全维护服务，以使安全产品充足发挥出其真正安全效力。 一个好网络安全处理方案应该由以下多个部分组成： l 防火墙：对网络攻击阻隔 防火墙是确保网络安全关键屏障。防火墙依据网络流起源和访问目标，对网络流进行限制，许可正当网络流，并严禁非法网络流。防火墙最大意义在网络边界处提供统一安全策略，有效将复杂网络安全问题简化，大大降低管理成本和潜在风险。在应用防火墙技术时，正确划分网络边界和制订完善安全策略是至关关键。 发展到今天，好防火墙往往集成了其它部分安全功效。比如方正方御防火墙在很好实现了防火墙功效同时，也实现了下面所说入侵检测功效； l 入侵检测（IDS）：对攻击试探预警 当黑客试探攻击时，大多采取部分已知攻击方法来试探。网络安全漏洞扫描器是“先敌发觉”，未雨绸缪。而从另外一个角度考虑问题，“实时监测”，发觉黑客攻击企图，对于网络安全来说也是很有意义。甚至由此派生出了P^2DR理论。 入侵检测系统经过扫描网络流里特征字段（网络入侵检测），或探测系统异常行为（主机入侵检测），来发觉这类攻击存在。一旦被发觉，则报警并作出对应处理，同时能够依据预定方法自动反应，比如临时封掉提议该扫描IP。 需要注意是，入侵检测系统现在不能，以后也极难，正确发觉黑客攻击痕迹。实际上，黑客能够将部分广为人知网络攻击进行部分较为复杂变形，就能做到没有入侵检测系统能够识别出来。所以，在应用入侵检测系统时，千万不要因为有了入侵检测系统，就不对系统中安全隐患进行立即补救。 l 安全审计管理 安全审计系统必需实时监测网络上和用户系统中发生各类和安全相关事件，如网络入侵、内部资料窃取、泄密行为、破坏行为、违规使用等，将这些情况真实统计，并能对于严重违规行为进行阻断。安全审计系统所做统计如同飞机上黑匣子，在发生网络犯罪案件时能够提供宝贵侦破和取证辅助数据，并含有防销毁和篡改特征。 安全审计跟踪机制内容是在安全审计跟踪中统计相关安全信息，而安全审计管理内容是分析和汇报从安全审计跟踪中得来信息。安全审计跟踪将考虑要选择统计什么信息和在什么条件下统计信息。 搜集审计跟踪信息，经过列举被统计安全事件类别（比如对安全要求显著违反或成功操作完成），能适应多种不一样需要。已知安全审计存在可对一些潜在侵犯安全攻击源起到威摄作用。 l 防病毒和特洛伊木马 计算机病毒危害不言而喻，计算机病毒发展到今天，已经和特洛伊木马结合起来，成为黑客又一利器。微软原码失窃案，据信，就是一黑客使用特洛伊木马所为。 l 安全策略实施确保 网络安全知识普及，网络安全策略严格实施，是网络安全最关键保障。 另外，信息备份是信息安全最起码要求。能降低恶意网络攻击或意外灾难带来破坏性损失。 1.3.6. 超高安全要求下网络保护 1.3.6.1. 认证和授权 认证和授权是一切网络安全根基所在，尤其在网络安全管理、外部网络访问内部网络（包含拨号）时，要有很严格认证和授权机制，预防黑客假冒身份渗透进内部网络。 对于内部访问，也要有完善网络行为审计统计和权限限定，预防由内部人员提议攻击──70%以上攻击全部是内部人员提议。 我们提议石家庄电信分企业网络安全系统利用基于X.509证书认证体系（现在最强认证体系）来进行认证。 方正方御防火墙管理也是用X.509证书进行认证。 1.3.6.2. 网络隔离 网络安全界一个玩笑就是：要想安全，就不要插上网线。这是一个简单原理：假如网络是隔离开，那么网络攻击就失去了其存在介质，皮之不存，毛将焉附。 但对于需要和外界沟通实际应用系统来说，完全物理隔离是行不通。 方正数码提出了安全数据通道网络隔离处理方案，在网络连通条件下，经过破坏网络攻击得以进行另外两个关键条件： ² 从外部网络向内部网络提议连接 ² 将可实施指令传送到内部网络 从而确保石家庄电信分企业网络安全系统安全。 1.3.6.3. 实施确保 石家庄电信分企业网络安全系统牵涉网点众多，网络结构复杂。要保护这么一个繁杂网络系统网络安全，必需有完善管理确保。安全系统要能够提供统一集中灵活管理机制，首先要能让石家庄电信分企业网络安全系统网控中心网管人员监控整体网络安全情况，另外首先，要能让地方网管人员灵活处理具体事务。 方正方御防火墙采取基于Windows GUI用户界面进行远程集中式管理，配置管理界面直观，易于操作。能够经过一个控制机对多台方正方御防火墙进行集中式管理。 方正方御防火墙符合国家最新防火墙安全标准，采取了三级权限机制，分为管理员，策略员和审计员。管理员负责防火墙开关及日常维护，策略员负责配置防火墙包过滤和入侵检测规则，审计员负责日志管理和审计中授权机制，这么她们共同地负责起一个安全管理平台。实际上，方御防火墙是经过该标准认证第一个包过滤防火墙。 另外，方正方御防火墙还提供了原标准中没有强制实施实施域分组授权机制，尤其适合于石家庄电信分企业网络安全系统这么网络。 2. 安全架构分析和设计 2.1. 网络结构部分一 网络结构以下图所表示： 网络结构部分一 这部分网络关键目标防护内部小型机网络和财务服务器，具体分析以下： 1. 在两台5000上面经过交换技术放置防火墙，能够确保了内部计费服务器系统网络安全。考虑以后扩展性，提议使用方御专业级防火墙。 2. 财务服务器和5000连接，所以其中放置一台防火墙，能够保障正当访问，因为这种情况能够使用方御桥式防火墙。 3. 因为拨号服务器上面配置了认证模块，所以为了保障二级访问可靠性，能够以后考虑在认证后面放置防火墙。 2.2. 网络结构部分二 这部分关键防护OA系统和客服系统，网络结构图以下所表示： 网络结构示意图二 防火墙在中心三层交换机前面进行放置，能够有效包含后面所以服务器，包含应用服务器、OA服务器、数据库服务器、CTI/CCS/IVR服务器、短信息服务器和语音/传真服务器。 2.3. 集中管理和分级管理 因为石家庄电信分企业网络安全系统包含网络安全设备繁多，所以在管理上面需要既能集中管理，又能够在当地进行审计管理，日志查询等操作。而用户权限机制分配必需经过网络管理中心统一分配和管理。 需要集中管理网络设备包含防火墙设备。在石家庄电信分企业网络安全系统网络管理中心需要对各地方网络安全设备进行集中管理。 分析石家庄电信分企业网络安全系统特点和需求，方正方御防火墙集中管理功效和权限管理机制完全能够满足这些需求。 方正方御防火墙采取基于Windows GUI用户界面进行远程集中式管理，配置管理界面直观，易于操作。能够经过一个控制机对多台方正方御防火墙进行集中式管理。 方正方御防火墙采取了三级权限机制，分为管理员，策略员和审计员。管理员负责防火墙开关及日常维护，策略员负责配置防火墙包过滤和入侵检测规则，审计员负责日志管理和审计中授权机制。这么她们共同负责起一个安全管理平台。 石家庄电信分企业网络安全系统集中管理图以下所表示： 防火墙集中管理示意图 3. 产品选型 3.1. 防火墙和入侵检测选型 我们采取方正最新型方正方御防火墙。方正方御防火墙是一个很优异防火墙，同时它集成强大入侵检测功效。方正方御防火墙是中国第一个经过公安部公共信息网络安全监督局新防火墙认证标准包过滤级防火墙产品，同时经过了中国人民解放军安全测评认证中心和中国国家信息安全测评认证中心严格认证。 3.1.1. 方正数码企业介绍 作为方正集团互联网战略实施者，方正数码将本身定在电子商务“赋能者”，其业务包含互联网和电子商务技术研究应用和系统集成、网络市场营销服务、空间信息应用、无线互联和电子商务咨询服务等方向，以帮助政府、行业、企业、网站、电子商务运行者在互联网时代健康成功发展为己任。 要给电子商务运行者赋能，先要给安全赋能。方正数码首先推出就是方正方御互联网安全处理方案。方正方御是在经过十二个月多大量投入和深入研究后，提出一套基于中国国情、全部自主开发、含有领先优势处理方案。它是一套整体集群平台，能够处理互联网运行商最为关切安全性、高可靠性、可扩展性和易于远程管理问题。现在这套方案已经得到国家相关部门大力支持，被国家经贸委列为国家创新计划项目之一。另外，还得到了国家”863”计划支持。 在立身自主开发外，方正数码还和众多国际著名安全企业保持着良好合作关系，并集成了中国外最优异企业安全产品，为中国Internet安全建设保驾护航。 3.1.2. 产品概述 方御防火墙是方正方御中关键安全产品之一。因为防火墙技术针对性很强，它已成为实现网络安全关键保障之一。方御防火墙是经过对国外防火墙产品综合分析，针对我们国家具体应用环境，结合中国外防火墙领域里最新发展，在面向IDC和中小企业FireBridge防火墙基础上，提出一个含有强大信息分析功效、高效包过滤功效、多个反电子欺骗手段、多个安全方法综合利用安全可靠专用防火墙系统。 方正方御防火墙不仅仅是一个包过滤防火墙，而且包含了大量实用模块，能够为用户提供多方面服务。 方御防火墙保护以下模块： 3.1.3. 系统特点 一体化硬件设计 方正方御防火墙采取了一体化硬件设计，采取了自己操作系统，无需其它操作系统支持，这么能够发挥硬件最大性能，同时也提升了系统安全性。 双机热备份 经过双机热备份，本系统提供可靠容错/热待机功效。备份防火墙服务器中存有主防火墙服务器设置镜像，当主防火墙因为一些原因不能正常运作，备份服务器能够在12秒钟内替换主服务器运作，充足确保整个网络系统运作稳定性。 完善访问控制 方正方御防火墙符合国家最新防火墙安全标准，采取了三级权限机制，分为管理员，策略员和审计员。管理员负责防火墙开关及日常维护，策略员负责配置防火墙包过滤和入侵检测规则，审计员负责日志管理和审计中授权机制。这么她们共同地负责起一个安全管理平台。 多个工作模式 方正方御防火墙能够工作在网桥路由两种模式下，这么能够方便用户使用。使用在网桥模式时在IP层透明，使用路由模式时能够作为三个区之间路由器，同时提供内网到外网、DMZ到外网网络地址转换。 防御DOS，DDOS攻击 一般防火墙全部是采取限制每一网络地址单位时间内经过SYN包数量来抵御DDOS攻击，不过通常网络攻击者全部会随机伪造网络地址，所以这种方法防范效果很差，不能从根本上抵御DDOS攻击。方正方御防火墙修改了TCP/IP堆栈算法，使得新syn连接包能够正常经过，避免了因为大量攻击SYN包造成网络阻塞。 状态检测 方正方御防火墙能够依据数据包地址、协议和端口进行访问控制，同时还对任何网络连接和会话目前状态进行分析和监控。传统防火墙包过滤只是依据规则表进行匹配，而方正方御防火墙对每个连接，作为一个数据流，经过规则表和连接表共同配合来对网络状态进行控制。 代理服务 用户能够设置代理服务器端口来开启代理服务器功效，而且经过设置使用代理服务器用户帐号密码和访问控制来维护安全性。代理服务访问控制很完善，能够对时间、协议、方法、地址、DNS域、目标端口和URL来进行控制。用户完全能够经过设置一定条件来符合自己要求。 双向网络地址转换 系统支持动态、静态、双向NAT。当用户需要从内部IP访问Internet时，NAT系统会从IP池里取出一个正当Internet IP，为该用户建立映射。假如需要在Intranet提供让外部访问服务（如WWW、FTP等），NAT系统能够为Intranet里服务器建立静态映射，外部用户能够直接访问该服务器。双向网络地址转换为企业用户连接到Internet提供了良好网络地址隐蔽，而且能降低IP占用，替用户节省费用。 提供DMZ区 除了内部网络界面和外部网络界面，系统还能够再增加一个网络界面，让管理员灵活应用。如建立DMZ（军事独立区），在其中放置公共应用服务器。 带宽管理和流量统计 方正方御防火墙系统使用流量统计和控制策略，可方便依据网段和主机等对流量进行统计和控制管理。用户能够经过设置源地址到目标地址单位在时间内许可经过流量和协议和端口来进行带宽控制。 日志审计 审计功效是方正方御防火墙很强大一个部分，现在中国防火墙审计功效全部很不完善，方正方御防火墙提供了大量审计内容和对审计内容查询功效，因为日志可能对通常见户比较难以了解，而我们将日志统计分成了若干部分，而其中每一部分全部能够进行查询和管理，这么用户就能对防火墙情况有一个很透彻了解。 入侵检测 方正方御防火墙入侵检测系统采取了可扩展检测库方法，现在能够抵御1000多个攻击方法，而且能够经过升级检测库方法来不停抵御新攻击方法。用户还能够自定义攻击检测库来符合自己要求。 自动报警和防范系统 方正方御防火墙一旦检测到有黑客进行攻击，会在第一时间内在控制机上进行报警，而且同时会自动封禁掉攻击者IP地址，这么能够做到防火墙防范完全自动化，而不象一般防火墙那样需要人工干预。 基于PKI授权认证 方正方御防火墙授权认证是基于PKI基础之上，所以完全性极高。PKI是一个新安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和相关公开密钥安全策略等基础成份共同组成。 快速安装配置 方正方御防火墙安装和配置很方便，管理员只要设定好网络设备IP地址，然后使用系统提供部分经典配置模板，合适修改部分规则来符合要求。除此以外还能够添加系统提供部分子模板来实现部分特定功效。 图形管理界面 用户能够经过图形界面对防火墙进行配置和管理。而且也能够经过图形界面来管理审计内容，而不象有些防火墙是经过命令行方法进行配置。 完全中国化设计 方正方御防火墙是由方正数码自行设计和制作，充足考虑了中国国情，除了界面、帮助文档、使用说明完全汉字化外，还加入了部分小型模板用户给管理员配置防火墙。 集中管理 方正方御防火墙采取基于Windows GUI用户界面进行远程集中式管理，配置管理界面直观，易于操作。能够经过一个控制机对多台方正方御防火墙进行集中式管理。 3.1.4. 方正方御防火墙功效说明 3.1.4.1. 多个工作模式 方正方御防火墙能够工作在网桥和路由两种模式下： A：网桥模式：3个端口组成一个以太网交换机，防火墙本身没有IP地址，在IP层透明。能够将任意三个物理网络连接起来组成一个互通物理网络。当防火墙工作在交换模式时，内网、DMZ区和路由器内部端口组成一个统一交换式物理子网，内网和DMZ区还能够有自己第二级路由器，这种模式不需要改变原有网络拓扑结构和各主机和设备网络设置。 B： 路由模式：防火墙本身组成3个网络间路由器，3个界面分别含有不一样IP地址。三个网络中主机经过该路由进行通信。当防火墙工作在路由模式时，能够作为三个区之间路由器，同时提供内网到外网、DMZ到外网网络地址转换，也就是说，内网和DMZ全部能够使用保留地址，内网用户经过地址转换访问Internet，同时隔绝Internet对内网访问，DMZ区经过反向地址转换对Internet提供服务。 在没有安装方正方御防火墙时候经典网络结构图以下: 在安装了方正方御防火墙时候网络结构图以下: 3.1.4.2. 包过滤防火墙 方正方御防火墙包过滤功效是对指定IP包进行包过滤，而且根据设定策略对IP包进行统计和日志统计，关键依据IP包以下信息进行过滤： l 源IP地址 l 目标IP地址 l 协议类型（IP、ICMP、TCP、UDP） l 源TCP/UDP端口 l 目标TCP/UDP端口 l ICMP报文类型域和代码域 l 碎片包 l 其它标志位，如SYN，ACK位 3.1.4.2.1. 高效过滤 有些防火墙在安装上以后对WEB服务器吞吐能力影响很大，造成性能降低。因为方正方御防火墙采取了3I（Intelligent IP Identifying）技术，能够实现快速匹配。所以方正方御防火墙不会对性能造成任何影响。 方正方御防火墙优化了算法，使最大并发连接数能够达成300,000个以上，而通常防火墙最大并发连接只能够达成几万个左右。 3.1.4.2.2. 碎片处理功效 因为很多系统平台，包含部分路由器对IP碎片处理存在问题，轻易产生欺骗和拒绝服务等攻击，方正方御防火墙能够识别出IP碎片而且进行控制，这么一来经过严禁IP碎片经过方正方御防火墙，预防了这么问题产生。 3.1.4.2.3. 防SYN Flood攻击 部分TCP/IP栈实现只能等候从有限数量计算机发来ACK消息，因为她们只有有限内存缓冲区用于创建连接，假如这一缓冲区充满了虚假连接初始信息，该服务器就会对接下来连接停止响应，直到缓冲区里连接企图超时。经典就是Syn Flood攻击,经过大量虚假Syn包使服务器速度变慢，甚至是死机。通常防火墙是经过限制每秒钟经过Syn包数量来组织Syn Flood攻击，这种方法能够在一定意义上阻止Syn Flood攻击，不过也有可能将正常Syn包忽略掉，所以不是一个很好方法。 1：没有安装方御防火墙 2：安装方御防火墙 方正方御防火墙使用了两种方法来反Syn Flood攻击，一个方法就是经过设置单位时间内SYN包数量来控制，另外一个方法修改了TCP/IP堆栈算法，使得新Syn包一直能够取得连接位。避免了因为大量攻击SYN包造成网络阻塞。 3.1.4.2.4. 强大状态检测功效 方正方御防火墙能够依据数据包地址、协议和端口进行访问控制，同时还对任何网络连接和会话目前状态进行分析和监控。传统防火墙包过滤只是和规则表进行匹配，而方正方御防火墙对每个连接，作为一个数据流，经过规则表和连接表共同配合，在继承了传统包过滤系统对应用透明特征外，还极大地提升了系统性能和安全性。 其它防火墙大多采取传统规则表匹配方法，伴随安全规则增加，势必会使防火墙性能大幅度降低，造成网络拥塞。 3.1.4.3. IDS(入侵检测系统) 3.1.4.3.1. 反端口扫描 通常黑客假如要对一个网站发动攻击，首先全部要扫描目标服务器端口，确定服务器上开启服务，然后做出对应入侵方法。 方正方御防火墙入侵检测系统能够在黑客扫描网站时候就能检测到并报警，这么就能提前将黑客拒之于门外。方正方御防火墙入侵检测系统在检测到有黑客扫描服务器端口时候会立即在攻击者视野中消失，从而使黑客无法进行后面攻击。方正方御防火墙入侵检测系统依据配置文件监控任何和TCP、UDP端口连接。 能够对全部端口同时进行监控，同时也能够忽略指定端口。这么就能满足不一样需求方法。 3.1.4.3.2. 能够防范1000余种攻击方法 1. 检测多个DoS攻击 2. 检测多个DDoS攻击 3. 检测保护子网中是否存在后门和木马程序 4. 检测多个针对Finger服务攻击 5. 检测多个针对FTP服务攻击 6. 检测基于NetBIOS攻击 7. 检测缓冲区溢出类型攻击 8. 检测基于RPC攻击 9. 检测基于SMTP攻击 10. 检测基于Telnet攻击 11. 检测网络上传输病毒和蠕虫 12. 检测CGI攻击 13. 检测针对WEB ServerFrontPage扩展进行攻击 14. 检测针对WEB ServerColdFusion扩展进行攻击 15. 检测针对 MicroSoft IIS server进行攻击 16. 检测利用ICMP进行扫描和攻击。 17. 检测利用Traceroute对网络探测 18. 检测ActiveX，JaveApplet传输 19. 检测对其它可能网络服务进行攻击 3.1.4.3.3. 在线升级和实时报警 因为入侵检测系统库文件是需要不停更新，所以方正方御防火墙提供了很方便升级接口，能够经过我们网站进行在线升级，而且我们提供了很方便用户升级界面，使升级工作能够很方便完成。 报警是否能够立即是衡量一个入侵检测系统关键原因之一，假如在黑客刚刚进行攻击时候就能够做出响应，那么管理员会有足够时间进行防护。 方正方御防火墙报警系统和入侵检测系统协调工作几乎是一致，一旦入侵检测系统检测到攻击，报警系统会立即做出反应，经过Email或手机通知管理员。同时会开启自动防范系统进行防范。 3.1.4.3.4. 入侵检测和防火墙互动 经过通信行为跟踪，防火墙能够检测到对网络多个扫描，检测到对网络攻击行为，并能够对攻击行为进行响应，包含自动防范及用户自定义安全响应策略等。 3.1.4.4. 双机热备 方正方御防火墙系统能够在网络中智能地寻求和其对等备份机，而且使备份机自动进入等候状态，而一旦备份机发觉主工作机失效，可立即自动开启，预防网络中止事故发生。 其智能识别技术甚至能够支持多于两台以上方正方御防火墙在网络上互为备份，适适用于对可靠性要求极高场所。 3.1.4.5. 强大审计功效 审计功效是方正方御防火墙很强大一个部分，现在中国防火墙审计功效全部很不完善，方正方御防火墙提供了大量审计内容和对审计内容查询功效，因为日志可能对通常见户比较难以了解，而我们将日志统计分成了若干部分，而且就每一个部分全部是能够进行查询和管理，这么一来就能够使用户对防火墙情况有一个很透彻了解。 方正方御防火墙中审计功效有着很完善权限管理，有专门审计员来对审计内容进行管理，在审计中又分成了若干等级权限。这么能够方便管理员管理审计内容。 3.1.4.6. 基于PKI高级授权认证 PKI（Public Key Infrastructure）是一个新安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和相关公开密钥安全策略等基础成份共同组成。PKI是利用公钥技术实现电子商务安全一个体系，是一个基础设施，网络通讯、网上交易是利用它来确保安全。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺组成部分。网络，尤其是Internet网络安全应用已经离不开 PKI技术支持。网络应用中机密性、真实性、完整性、不可否认性和存取控制等安全需 求只有PKI技术才能满足。PKI在国外已经开始实际应用。在美国，伴随电 子商务日益兴旺，电子署名、数字证书已经在实际中得到了一定程度应用，就连一些国家全部已经开始接收电子署名档案。 方正方御防火墙授权认证是基于PKI基础之上，所以完全性极高。有些防火墙认证机制采取OTP（Once Time Password），或采取了静态口令机制。比如说，静态密码是用户和机器之间共知一个信息，而其它人不知道，这么用户若知道这个口令，就说明用户是机器所认为那个人，那么就很轻易控制防火墙。而一次性口令也一样，用户和机器之间必需共知一条通行短语，而这通行短语对外界是完全保密。和静态口令不一样是，这个通行短语并不在网络上进行传输，所以黑客经过网络窃听是不可能。当初使用起来没有使用证书认证方便。 所以方正方御防火墙基于PKI高级授权认证机制在技术上面很优异，超越了大部分防火墙产品。 3.1.4.7. 集中管理 依据美国财经杂志统计资料表明，30%入侵发生在有防火墙情况下，这些入侵关键原因并非是防火墙无用，而是因为通常防火墙管理及配置相当复杂，要想成功维护防火墙，要求防火墙管理员对网络安全攻击手段及其和系统配置关系有相当深刻了解，而且防火墙安全策略无法进行集中管理，这些全部造成了网络安全失败。而方正方御防火墙采取基于Windows GUI用户界面进行远程集中式管理，配置管理界面直观，易于操作。能够经过一个控制机对多台方正方御防火墙进行集中式管理。 4. 工程实施方案 4.1. 测试及验收 4.1.1. 测试及验收描述 在整个项目实施过程中，有3个关键验收，它们是单点验收、初验和终验。下面是这三个验收经过描述： (1)单点验收经过条件： 设备数量和协议相符 完成上机、加电、连接网络及配置 (2)移交(初验)测试定义：买方技术人员按各方约定好测试项目及方法对系统进行测试。此测试目标是使整个网络系统含有开放业务条件。具体测试方案将和用户协商后确定。 移交(初验)测试经过条件：买方按测试计划完成并经过网络测试或买方开通业务。 (3)终验经过条件： 没有出现双方认可因为安全产品设备造成全网不可恢复瘫痪 没有出现双方认可因为安全产品设备造成单点不可恢复瘫痪 在试运行期间处理了初验遗留相关卖方设备关键技术问题及试运行期间出现相关卖方设备关键技术问题。 4.2. 系统初验 初验测试是对网络验收所必需进行一项工作,是验证网络和应用系统是否达成协议所要求要求必需手段。初验测试所需要进行工作有： 4.2.1. 功效测试 功效测试关键是为了验证所完成网络系统是否含有协议所描述或超出协议要求各项功效，关键有： Ø 网络连通性测试 Ø 各应用系统功效实现 Ø 网络管理功效实现 Ø 实际数据传输测试 4.2.2. 性能测试 性能测关键是检验所完成网络系统性能优劣，关键有： Ø 网络承载能力 Ø 各网络设备对应速度 Ø 各应用系统服务提供功效和能力 5. 售后服务和技术支持 方正数码一贯以来遵行服务至上观念，既为用户提供高效可靠网络安全产品，也为用户提供优质立即售后服务。对石家庄电信分企业网络安全系统这么大型项目，专门提供了完整服务处理方案，使用户无后顾之忧。服务处理方案由热线支持、服务网站、安装调试、现场维护、产品保修和用户培训等模块组成，用户也能够依据实际情况灵活选择模块，取得量身定作服务。 5.1. 售后服务内容 为了确保石家庄电信分企业网络安全系统安全通畅，方正数码对其网络安全产品承诺以下售后服务： Ø 电话支持(周一至周五9:00-18:00，节假日除外)：石家庄电信分企业网络安全系统管理中心在使用本企业网络安全产品时如碰到问题，不管是软件，硬件或是网络，全部能够从方正数码得到电话支持（），石家庄电信分企业网络安全系统管理中心能够指定一名关键联络人及两名替补联络人和方正数码技术支持中心联络。一旦接到石家庄电信分企业网络安全系统管理中心请求电话，方正数码技术人员将在要求时间内经过电话处理或回复石家庄电信分企业网络安全系统管理中心问题。对于非工作日接到故障电话，最迟将在下一个工作日响应。 Ø 在线支持： 是一个网络安全专题网站，其中包含方正数码网络安全系列产品信息、网络安全多种攻防信息、最新网络安全资料、石家庄电信分企业网络安全系统管理中心提出问题及解答、网络安全产品版本内升级程序、补丁程序和其它对用户处理技术问题有帮助信息。Website天天更新，石家庄电信分企业网络安全系统管理中心能够经过Internet实时读取相关信息。 Ø 现场支持(周一至周五9:00-18:00，节假日除外)：对于经过电话无法处理问题，方正数码或授权代理服务中心将派出工程师到用户现场为用户提供现场产品调试服务，确保网络安全产品在石家庄电信分企业网络安全系统上正常运行。 Ø 保修服务：方正数码对本企业网络安全产品制订了为期十二个月无偿保修期，在此期间，方正数码将对本企业产品进行无偿维修。无偿保修期后，方正数码仍然提供完善服务来确保石家庄电信分企业网络安全系统正常运行。 Ø 安装服务：因为网络安全产品包含到较多网络知识和安全知识，假如石家庄电信分企业网络安全系统管理人员无法自行安装、配置购置方正数码网络安全产品，方正数码或授权代理服务中心能够派出工程师到用户现场为用户提供现场产品安装服务。 Ø 版本升级：我们会通知石家庄电信分企业网络安全系统管理人员所购产品版本最新更新信息和最新黑客攻防情况，确定用户是否升级。 Ø 保驾服务：为了确保石家庄电信分企业网络安全系统购置方正数码网络安全产品长久正常运转，如石家庄电信分企业网络安全系统管理人员需要时，我们能够安排工程师对产品及石家庄电信分企业网络安全系统产品进行定时巡检服务，包含定时回访、设备检测、设备调试服务。 Ø 用户培训：为用户提供产品使用和网络安全方