JAC江淮汽车网络安全整体解决专项方案.doc

1、 JAC江淮汽车网络安全 解 决 方 案 合肥中方计算机工程有限责任公司 二00四年三月五日 前言 概述 随着公司信息化限度提高，公司对于信息解决手段日益先进，运作效率也日益提高，同步，各单位对其电子化信息系统依赖限度也越来越高。但是由于大多数单位都把网络建立在老式网络架构上，而该架构又缺少对于诸多安全问题考虑，加之人们对网络安全结识局限性、管理松散、专业安全技术人员匮乏、网络安全设施投资缺少、安全制度不完善等因素，使得网络信息安全风险日益加剧。因而，网络安全基本设施建设已经成为刻不

2、容缓重要课题。 方案设计原则 n 符合国家关于规定 国内有关部门已经制定了一系列关于信息安全法律法规，涉及安全方略、密码与安全设备选用、网络互联、安全管理等内容。安全保密建设必要可以符合这些法律法规，保证国家秘密信息安全。 n 整体安全原则 贵单位信息系统是一种复杂系统，对安全需求是任何一种单元技术都无法解决。必要从一种完整安全体系构造出发，综合考虑信息网络各种实体和各个环节，综合使用各层次各种安全手段，为信息网络和业务系统提供全方位服务。 n 全网统一原则 集中关于各方力量和资源，使信息系统设计得更加系统、完善、严密；包容现存和将要改进信息系统对于安全普遍、特殊规定，使体系更趋

3、科学和合用；通盘考虑所有通信分系统安全互通。 n 原则化与一致性原则 网络安全建设是一种庞大系统工程，其安全体系设计必要遵循一系列原则，这样才干保证各个分系统一致性，才干使整个系统安全地互联互通、信息共享。 n 需求、风险、成本折衷原则 任何信息系统都不能做到绝对安全，并且真正绝对安全也是不必要。鉴于这种状况，在设计信息系统安全时，要在安全需求、安全风险和安全成本之间进行平衡和折中。过多安全需求、过低安全风险追求必将导致安全成本迅速增长和复杂性增长。因而，在设计贵单位安全方案时必要遵守三项规定折衷原则。 n 实用、高效、可扩展原则 安全保障系统所采用产品，要以便工作、实用高效。同步

4、随着IT技术不断发展，信息系统将会发生各种变化，信息系统安全设计必要能适应这种变化。在系统实行过程中，系统构造、配备也会发生某些变化，系统安全工程要有一定灵活性来适应这种变化，例如做到层次性、体系性，既有助于系统安全，又有助于系统扩展。 n 技术与管理相结合原则 网络安全建设工程是一种系统工程，单靠技术或单靠管理都不也许实现。各种安全技术应当与运营管理机制、人员思想教诲和技术培训、安全规章制度建设相结合，从社会系统工程角度综合考虑。 方案设计参照原则 本方案在设计过程中重要参照了如下信息安全有关原则： l ISO/IEC TR13335：《信息技术 安全技术 信息产业安全管理指引方

5、针》 l ISO/IEC 15408：《信息技术安全性评估通用准则》 l GB17859：《计算机信息系统安全保护级别划分准则》 l ISO17799/BS7799：《信息安全管理惯例》 l 《信息安全工程质量管理规定》 《系统安全工程能力成熟模型》(SSE-CMM)等 第一章 公司简介 1.1方正数码有限公司—方正数码有限公司（EC-Founder Co.，Ltd.）成立于9月，是方正集团旗下一家独立上市公司。除北京方正数码有限公司外，方正数码在香港、台湾设有分公司，并在上海

6、广州、西安设有办事处。 方正数码重要业务环绕互联网安全技术应用、公司/政府信息化领域，在技术开发、应用解决方案和运营服务方面为顾客提供实用、先进产品和技术。 方正方御防火墙产品是国内领先基于边界网络安全解决方案。为适应广大顾客不断发展需求，方御产品精益求精，不断创新。方御防火墙针对当前网络应用日益复杂趋势，为了弥补老式防火墙控制范畴有限局限性，结合顾客需求推出独创智能IP辨认技术，具备强大信息分析能力和高效数据解决能力，密切配合网络应用，实现各种网络对象高效访问控制。 当前，方御全新推出涉及专业级、公司级和电信级三个系列，各种品种方御防火墙产品，全面扩充方御防火墙产品线。配合原有1U/

7、2U型防火墙，方御产品从网络适应性、产品核心功能、增值功能和性能方面均有相应突破。方御防火墙产品既适合行业顾客专业需求，又能满足中小公司顾客安全接入需要，是一套完整网络边界安全解决方案。 1.2上海金诺网络安全技术发展股份有限公司--上海金诺网络安全技术发展股份有限公司(.biz)成立于4月，注册资本2518万人民币，由上海精宏投资管理有限公司、上海港机股份有限公司、中油龙昌（集团）股份有限公司等单位共同投资组建，是国内最大网络安全产品及服务供应商。公司总部位于上海，北京、广州等地设有分公司或办事处，既有员工近百人，其中一半以上管理人员拥有研究生以上学位，70%以上是近年专业从事技术管理、市

8、场和人力资源管理职业经理人。 金诺网安拥有相称完备产品线体系，涉及入侵检测、漏洞扫描、上网行为管理、防火墙、防病毒等各个安全领域。公司自主开发某些产品有：金诺入侵检测系统KIDS、金诺上网行为管理系统EIM、计费系统（校园版、酒店版）、金诺网安Cyberpro扫描器等。这些产品多次受到国家关于部门必定，达到了国内领先，国际先进水平，已经在政府、金融、证券、IDC、ISP、保险、教诲等各个行业拥有众多顾客群。当前金诺网安国内代理商数目达到一百多家，在全国范畴内拥有了一批金牌、银牌及认证代理，已经形成最具广泛代表性网络安全产品销售网络。 金诺网安技术力量雄厚，除了已有多名信息安全领域博士、研究

9、生研究人员和海外归来信息安全专家加盟外，还与国内信息安全研究领域多家权威机构建立了长期战略合伙关系，掌握着国际、国内信息安全技术最新发展趋势。公司不但是国家863筹划信息安全领域专项课题研究承担单位，也是上海市首批通过软件公司认定高新技术公司，同步还参加发起和设立建在浦东国家信息安全产业化基地，已被上海市政府列入了上海市信息产业重点公司，多次接待过国家关于部门领导视察，受到央视、人民日报等多家国家级媒体及关于专业报刊专项报道。 受中华人民共和国国家信息安全测评认证中心委托，金诺网安全面负责国内规模最大、资料最全、最具权威性“中华人民共和国信息安全论坛”()运营与维护，该网站拥有已知世界上最大

10、公开漏洞数据库、最大工具库及内容最丰富技术资料文档库，已经成为了信息安全领域最具影响力综合性门户网站。 在公安部十一局、公安部第三研究所及公安部计算机信息系统安全产品质量监督检查中心等关于主管部门指引与委托下，公司还肩负着“中华人民共和国信息网络安全”（）网站运营与维护工作，网站涉及与计算机信息网络安全有关政策法规、原则规范、产品名单及最新病毒公示，为信息网络安全研究与管理提供了一种全面权威平台。 公司本着“求实、创新、服务社会”经营理念，以脚踏实地工作态度、夯实过硬技术基本，奠定一种高科技公司立身之本；同步结合当代信息产业特点，顺应社会信息化发展潮流，不断研究具备创新思维新产品、新服务，

11、以最大限度地满足客户需求。 金诺网安拥有高度专业员工，致力于持续创新与开发，立志成为中华人民共和国最先进信息安全公司。 第二章 江淮汽车网络中心安全需求分析 2.1江淮汽车网络中心安全需求分析 2.1.1网络基本安全需求 满足基本安全规定，是网络成功运营必要条件，在此基本上提供强有力安全保障，是网络系统安全重要原则。 针对当前诸多黑客往往专注于袭击公司网站，一旦网络中心自身受到袭击而瘫痪，将直接影响公司正常运转，因而而承受相称大责任和损失。因而，需要江淮汽车网络中心对自身网络运营安全性和稳定

12、性有着极高注重：既规定网络高带宽，高效率，又规定网络能抵抗黑客袭击和硬件故障稳定运营，不会由于单节点故障影响整个系统。需要尽量可以对各种异常状况（如黑客入侵、病毒发作等）发生进行事前监控和制止。当异常状况发生时，需要及时网络和解决手段。 对于各种各样网络袭击，如何在提供灵活且高效网络通讯及信息服务同步，抵抗和发现网络袭击，并且提供跟踪袭击手段，是本项目需要解决问题。 网络基本安全规定： n 网络正常运营。在受到袭击状况下，可以保证网络系统继续运营。 n 网络管理/网络布置资料不被窃取。 n 具备先进入侵检测及跟踪体系。 n 提供灵活而高效内外通讯服务。 3.1.2江淮汽车网络中心

13、安全需求 为保障江淮汽车网络中心正常运营，提高防黑反黑手段，构建全面统一网络安全管理架构。采用必要有效办法加以保证，江淮汽车网络中心网络安全建设关于目的有： 接入控制: l 与互联网接入，采用防火墙隔离，并将服务器群放在受防火墙保护安全隔离区。 l 同步，核心业务需要通过VPN安全通道进行传递。 内部检测： l 内部网络在核心节点布置入侵检测产品，生成关于网络各种状况报告，便于管理。 l 内部网络布置漏洞扫描系统，为消除网络隐患做先期准备。 此外，网络安全建设，可以一次性规划、分阶段进行，要易于实行、实现业务无缝割接。具备良好可靠性、可扩展性及维护性，进一步规范IP地址。

14、 第三章 江淮汽车集团网络中心安全 解决方案设计 全方位安全体系 一种完整安全体系应包括： l 访问控制，通过对特定网段、服务建立访问控制体系，将绝大多数袭击制止在到达被袭击目的之前； l 检查安全漏洞，通过对网络和系统安全漏洞周期检查，虽然袭击可到达被袭击目的，也可使绝大多数袭击失效； l 袭击检测，通过对特定网段、服务建立袭击监控体系，可实时检测出绝大多数袭击，并采用相应行动（如断开网络连接、记录袭击过程、跟踪袭击源等）； l 多层防御，袭击者在突破第一道防线后，延缓或阻断其到达被袭击目的； l 隐藏内部信息，使袭击者不能理解系统内基本状况

15、 l 设立安全监控中心，为信息系统提供安全体系管理、监控，维护及紧急状况服务。 江淮汽车网络中心安全解决方案 依照江淮汽车网络中心实际网络建设规划，咱们公司为江淮汽车网络中心提出了全方位综合网络解决方案，布置图如下： 图表 三1 江淮汽车网络中心网络安全解决方案布置图 技术安全设备保障 咱们在网络中各个某些采用了各种防范手段，使用了各种安全防范技术。相应客户计算机网络所面临安全问题，咱们应用了如下几项技术逐个解决： l 防火墙技术 l VPN技术 l 入侵检测技术 通过以上几项技术运用再加上强化安全管理水平，咱们相信江淮汽车网络中心计算机网络安全将获得全面加

16、强。 第一节 防火墙 3.1.1什么是防火墙 当前，网络袭击和入侵手段各种各样，重要可以分为如下几大类： ※欺骗：通过伪造IP地址或者盗用顾客帐号等办法来获得对系统非授权使用，例如盗用拨号帐号。 ※窃听：运用以太网广播特性，使用监听程序来截获通过网络数据包，对信息进行过滤和分析后得到有用信息，例如使用sniffer程序窃听顾客密码。 数据窃取：在信息共享和传递过程中，对信息进行非法复制，例如，非法拷贝网站数据库内重要商业信息，盗取网站顾客个人信息等。 ※数据篡改：在信息共享和传递过程中，对信息进行非法修改，例如，删除系统内重要文献，破坏网站数据库等。 ※回绝服务：使用大量无

17、意义服务祈求来占用系统网络带宽、CPU解决能力和IO能力，导致系统瘫痪，无法对外提供服务。典型例子就是年初黑客对Yahoo等大型网站袭击。 黑客袭击往往导致重要数据丢失、敏感信息被窃取、主机资源被运用和网络瘫痪等严重后果，如果是对军用和政府网络袭击，还会对国家安全导致严重威胁。 防火墙可以依照源地址、目地址、端标语、时间、顾客、URL等控制数据包通过还是回绝通过，从而将非法数据包回绝在防火墙之外。防火墙普通布置在可信任网络与不可信任网络之间，以保证需要保护网络数据安全。 3.1.2使用防火墙必要性 Internet正在越来越多地融入到社会各个方面。一方面，随着网络顾客成分越来越

18、多样化，出于各种目网络入侵和袭击越来越频繁；另一方面，随着Internet和以电子商务为代表网络应用日益发展，Internet越来越深地渗入到各行各业核心要害领域。Internet安全涉及其上信息数据安全，日益成为与政府、军队、公司、个人利益休戚有关“大事情”。特别对于政府和军队而言，如果网络安全问题不能得到妥善解决，将会对国家安全带来严重威胁。 二月，在三天时间里，黑客使美国数家顶级互联网站－Yahoo!、Amazon、eBay、CNN陷入瘫痪，导致了十几亿美元损失，令美国上下如临大敌。黑客使用了DDoS（分布式回绝服务）袭击手段，用大量无用信息阻塞网站服务器，使其不能提供正常服务。在随后

19、不到一种月时间里，又先后有微软、ZDNet和E*TRADE等知名网站遭受袭击。 国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到黑客袭击。国内第一家大型网上连锁商城IT163网站3月6日开始运营，然而仅四天，该商城突遭网上黑客袭击，界面文献所有被删除，各种数据库遭到不同限度破坏，致使网站无法运作。 客观地说，没有任何一种网络可以免受安全困扰，根据Financial Times曾做过记录，平均每20秒钟就有一种网络遭到入侵。仅在美国，每年由于网络安全问题导致经济损失就超过100亿美元。 黑客们进行网络袭击目各种各样，有是出于政治目，有是员工内部破坏，尚有是出于好奇或者

20、满足自己虚荣心。随着Internet高速发展，也浮现了有明确军事目军方黑客组织。 通过上面现状描述，那么，咱们既有网络安全隐患在哪里呢？ 下面咱们将从袭击手段、袭击线路等几种方面来分析： 1）从袭击手段来看，由于整个网络当前仅建成了网络层，做到了互联互通。但在此之上网络规划和安全防护并未较好考虑。事实上是不设防网络，可以被各种袭击手段（涉及病毒、木马、扫描等）袭击。 Ø 当前出于政治目和商业竞争目网络袭击日益增多。网络袭击和入侵对于获取其他目的机构机密信息是一种非常重要手段。对于一种重要部门，信息安全尤为重要。具备先进功能防火墙也是网络安全防护体系非常重要一某些。 Ø 鉴于当今网络安

21、全形势严峻，问题复杂，对于防止网络入侵、非法访问和防病毒来说，动态防护体系是一种非常先进、安全系数最高安全网路，因此，拥有入侵检测网络狙击手是使网络安全性达到质奔腾必要手段。 2）从袭击线路来看，从外到内可以通过拨号顾客通过INTERNET直接进入；在业务网内部是直接互联，未做有效隔离；没有网络控制中心对全网进行有效监控。 基于以上分析，因而，咱们需要从如下几种方面考虑网络安全问题： Ø 如何在网络网络层实现安全控制？ Ø 在连接Internet时，如何控制远程顾客访问，保证网络安全性？ Ø 如何保证系统内各网络间安全？ Ø 如何保证系统内重要部门安全？ Ø 如何保证系统软件及其

22、应用系统安全性？ Ø 如何保证系统重要数据资源完整性？ Ø 如何保证网络内重要服务器安全？ Ø 如何保证对外WEB服务器安全？ Ø 如何防止也许来自内部非法访问或恶意袭击？ Ø 如何防止来自外部互联网上也许恶意袭击？ 。。。。。。 3.1.3方正方御千兆防火墙 3.1.3.1御防火墙简介 领先智能IP辨认技术 方御防火墙智能IP辨认技术是方正数码针对网络应用不断发展需求，自行研发高效网络检测技术，创新性地采用零拷贝流分析、特有迅速搜索算法等技术，针对网络流2-7层数据进行高效辨认。方御防火墙可控对象除了老式IP包有关信息外，还引入时间、顾客、应用及其操作等控制对象，大大扩

23、展了防火墙防护功能，并且在保证针相应用细致分析和防护同步，对产品性能有大幅提高，解决了当前内容分析型防火墙普遍存在效率瓶颈问题。 立体安全防护体系 方正方御防火墙秉承立体防护理念，防火墙功能实现遭遇网络袭击前安全方略定制，使用入侵检测功能进行袭击过程中防范与报警，辅以日记系统完毕袭击后分析。实现事前、事中、事后全面防护。再通过虚拟专用网功能进一步将安全保护延伸到数据传播过程。更引入安全评估观念，积极对网络进行模仿袭击，检查整个网络安全性。良好升级机制保证了整个安全系统可以随着技术进步不断增强。概言之，方御防火墙涵盖了整个网络空间范畴和时间范畴，从积极及被动多方面进行立体防护，真正实现全面安

24、全。 杰出工作效率 方正方御防火墙性能优秀，先进状态检测技术和独特智能IP辨认技术保证了杰出工作效率。网络吞吐能力达到线速，支持高达100万并发连接，在多次产品评测中性能领先。使用方御防火墙可以保证网络实时畅通，不会像老式防火墙同样成为网络瓶颈。 稳定可靠 作为网络核心设备，方正方御防火墙对自身稳定性提出了严格规定。方御防火墙采用高度集成工业级硬件设计，适应各种复杂环境条件。每台方御防火墙出厂前均在方正独有“网际飓风”高压力网络环境中通过100小时全负荷测试，保证产品万无一失。 灵活适应不同网络环境 方正方御防火墙通过引入互换模式、路由模式和全新推出混和模式，可以依照顾客网络环境规

25、定，灵活将防火墙接入顾客网络中。同步方御防火墙支持VLAN功能，支持各种网络路由合同，能适应复杂网络环境。 超强增值功能 方正方御防火墙除提供全面网络安全防护功能外，还提供了涉及代理服务器、带宽管理、地址转换等增值功能，使顾客在实行和步署安全方略时，获得更多网络产品功能。 简朴实用使用方式 人性化设计全中文图形界面，虽然非专业人员也能轻松掌握。支持远程管理和集中管理，支持SNMP管理，减少寻常维护成本。可切换路由或桥式接入方式以及新加入混和接入方式可以轻松配合顾客原有网络环境。在普通状况下，只需不到1个小时就可以完毕安全产品实行，对客户应用影响更是可以减少到只需几秒。 方正智能IP辨

26、认技术：2到7层安全防护 随着国内防火墙系统应用迅速推广普及，顾客对防火墙系统有了越来越进一步理解，走出了初期功能堆砌攀比误区，逐渐明晰了防火墙作为网络边界安全设备首要位置和核心性作用。 与此同步，在实际应用中，顾客也从各种角度发现了当前防火墙缺憾和局限性，对防火墙产品提出了更高规定。这些从实际应用中产生需求大多集中在如下几种问题上。 一方面，是防火墙性能问题。 在实际应用中，银行、电信、大中型网站等大型顾客对防火墙性能需求是勿庸置疑；就是对于普通顾客，随着多媒体应用广泛应用，对防火墙性能也提出了很高规定。在实际顾客使用中，还浮现了Nimda病毒传播时大量病毒扫描连接导致某些低效率防火

27、墙崩溃实际案例。业务需求、应用需求和安全防护需求，从三方面都提出了对防火墙高性能规定。如果没有性能作为基本和保障，那么再多再好功能和合同支持都只能是绣花枕头，经受不住顾客实际应用考验。 另一方面，是网络适应性问题。 随着网络高速发展，网络设备和环境也越来越复杂，VLAN/TRUNK、Bridge/STP、Multicast、VPN、NAT、OSPF/RIP、热备等网络技术和合同层出不穷，这些问题还经常交织在一起，使得问题加倍复杂化。有诸多网络是先建设，后防护，这时防火墙必要可以融入各种各样已有网络环境。于是顾客经常头痛一种问题就是：防火墙如何布置到自己网络环境？老式防火墙适应能力局限性，特

28、别在各种合同支持混杂在一起时，更是无计可施；有时甚至为了实行，被迫牺牲安全性，把某些应用放置在防火墙保护之外。 然后，是应用过滤问题。 防火墙安全防护要从简朴IP端口向更高层合同应用过滤方向发展，是所有人共识，特别是呼之欲出WebService，更加提高了相应用过滤需求重要性和急迫性。但是，当前有两大难题困扰着应用过滤在实际中应用。其一，应用过滤大大减少了防火墙性能，涉及吞吐量、时延、并发连接数等，都大受影响；其二，应用过滤控制对象复杂限度远远超过了IP端口复杂限度，顾客往往没有足够精力进行有效安全方略制定和维护。如何解决应用过滤性能问题和方略可维护性问题，将是摆在防火墙厂商面前两座大山。

29、只有真正解决了这两个问题，应用过滤才干真正为广大顾客服务。 最后，此外一种需求广泛是多媒体（网络视频、音频等）支持。 多媒体应用是包括视频、音频、顾客数据等各种数据流综合应用，是宽带网络最重要应用之一。随着网络基本带宽增大，对于多媒体应用（IP电话，视频会议等）需求也在不断增长，诸多客户在购买防火墙时候常会提出对于多媒体应用支持。多媒体应用数据量大，数据传播合同复杂，数据流众多，每种数据对于网络传播质量规定不尽相似。其中代表如H.323、UPnP合同，合同都非常复杂，需要打开大量动态端口。为此，防火墙要有强大高层合同分析能力，要能动态跟踪和维持大量动态协商创立网络连接，要可以满足有关网络连

30、接带宽和时延规定，并解决其中碎片等问题。这使防火墙对多媒体支持变得复杂，因此诸多防火墙在支持多媒体应用时会功能无法正常使用或是使用时经常浮现掉线或是数据丢失状况。甚至有些防火墙在支持多媒体合同时，通过设立全通规则来解决这些问题，导致了严重安全漏洞，使顾客网络增大了安全风险，因此防火墙对于多媒体应用支持也成为衡量防火墙功能一种重要方面。 综合这些重要顾客需求，方正数码公司以为当今防火墙系统作为首要网络边界安全设备，已经从初期三层合同安全网关，向2－7层全面安全网关方向发展，并且要有强大性能作为支撑，如图所示。2层合同支持是为了使防火墙有良好网络适应性；7层合同支持，是为了防火墙有强大多媒体支持

31、能力，以及应用过滤能力。而高性能，使得这一切得以真正实用化，而不但仅是某些理论原型。 为了支持这样新防火墙发展趋势，方正数码自行研发新一代防火墙技术――智能IP辨认技术。智能IP辨认技术采用先进内核调度算法、零拷贝流分析算法和迅速搜索算法实现高效数据应用分类和规则迅速定位；再通过将其与状态检测技术相结合，对会话进行访问控制，做到了针对多元化应用进行有效访问控制同步，保持了高速网络数据检测效率，为2－7层网络合同和应用提供了强有力支撑。 特别值得一提是，智能IP辨认技术中先进零拷贝流分析算法（ZeSA算法，Zero-copy Stream Analysis）。老式流过滤算法，必要要在内存中组

32、包，进行额外拷贝、对齐等操作，大大减少了防火墙解决效率，严重影响了吞吐量、时延和总并发连接数等核心指标。智能IP辨认技术ZeSA算法，可以省去这一环节，通过高效偏序匹配，以及网络包安全模式辨认，在进行有效流解决同步，保持防火墙解决高效率。结合智能IP辨认技术独有内核调度算法、迅速搜索算法，方正方御防火墙在国内历次评测中性能指标都遥遥领先。 在ZeSA强有力支持下，方正方御防火墙多媒体支持功能和应用过滤功能都非常出众。方正方御防火墙可以全面支持H.323、UPnP等多媒体合同，支持netmeeting、msn、realplay、mediaplay、iptv等核心多媒体应用。在不减少顾客网络安全

33、级别和性能前提下，智能IP辨认技术支持这些合同和应用进行完整状态检测，并且提供完整NAT支持；方正方御防火墙应用过滤功能效率出众，不再成为网络瓶颈，为应用过滤真正到应用迈出了重要一步。方正数码会和其她安全公司一起，努力解决应用过滤安全方略实用化问题，真正为顾客提供有效应用过滤支持。 此外，智能IP辨认技术提供了完整2－7层合同分析框架，对各种底层合同，如VLAN/TRUNK、Bridge/STP、高效热备合同、VPN合同、动态路由、ARP代理等均有良好支持，提供了透明、路由、混杂等模式。在复杂网络拓扑下，还能有效支持VPNNAT穿越，H.323、UPnP等多媒体合同NAT支持等。在实行时，对

34、原有网络拓扑改动很小，给顾客提供最大便捷和安全。 方正方御防火墙凭借先进智能IP辨认技术，提供了完整高效2－7层网络安全防护，较好解决了顾客在实际应用中性能、适应性、应用过滤、多媒体应用等重要方面需求。 3.1.3.2各种工作模式 方正方御网络安全产品可以工作在互换和路由两种模式下： A： 互换模式：3个端口构成一种以太网互换机，产品自身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一种互通物理网络。当产品工作在互换模式时，内网、DMZ区和路由器内部端口构成一种统一互换式物理子网，内网和DMZ区还可以有自己第二级路由器，这种模式不需要变化原有网络拓扑构造和各主机和设备网

35、络设立。 B： 路由模式：产品自身构成3个网络间路由器，3个界面分别具备不同IP地址。三个网络中主机通过该路由进行通信。当产品工作在路由模式时，可以作为三个区之间路由器，同步提供内网到外网、DMZ到外网网络地址转换，也就是说，内网和DMZ都可以使用保存地址，内网顾客通过地址转换访问Internet，同步隔绝Internet对内网访问，DMZ区通过反向地址转换对Internet提供服务。 在没有安装方御网络安全产品时候典型网络构造图如下: 在安装了方御网络安全产品时候网络构造图如下: 3.1.3.3包过滤防火墙 方御防火墙重要功能是对指定IP包进行包过滤，并且按照设定方略对

36、IP包进行入侵或流量等活动记录，并记入日记中，供顾客察看。重要依照IP包如下信息进行过滤： l IP包源IP地址 l IP包目IP地址 l IP包合同类型（涉及IP、ICMP、TCP、UDP等合同） l IP包源TCP/UDP端口 l IP包目TCP/UDP端口 l ICMP报文类型域和代码域 l 碎片包 l IP包其他标志位，如SYN，ACK位等 高效包过滤 有些防火墙在安装上后来对WEB服务器吞吐能力影响很大，导致性能减少。由于方御防火墙采用了3I智能IP辨认技术（Intelligent IP Identifying），可以实现迅速匹配。因而方御防火墙不会对性能导致

37、任何影响。 方御防火墙优化了算法，使最大并发连接数可以达到200,000个以上，而普通防火墙最大并发连接只能达到几万个左右。 强大状态检测功能 方御防火墙可以依照数据包地址、合同和端口进行访问控制，同步还对任何网络连接和会话当前状态进行分析和监控。老式防火墙包过滤只是与规则表进行匹配，而方御防火墙对每个连接，作为一种数据流，通过规则表与连接表共同配合，在继承了老式包过滤系统相应用透明特性外，还大大提高了系统性能和安全性。 其她防火墙大多采用老式规则表匹配办法，随着安全规则增长，势必会使防火墙性能大幅度减少，导致网络拥塞。 状态检测详细过程如下： 3.1.3.4防火墙其他功能

38、 ●双向NAT 方御防火墙支持在内部网和DMZ区使用保存IP地址，通过动态地址转换功能实现对外部网访问。 方御防火墙以两种方式支持NAT： √ 源地址转换(正向NAT)，即内部地址向外访问时，发起访问内部IP地址转换为指定IP地址（可含端标语或者端口范畴），这可以使内部使用保存IP地址主机访问外部网络，即内部各种机器可以通过一种外部有效地址访问外部网络。例如，内部地址192.168.1.2对外部访问可以被修改为一种合法互联网地址202.118.6.100，并且可以限定其端口范畴为80~82。 √ 目地址转换（反向NAT），即外部地址向内访问时，被访问IP地址（可含端标语或者端口范畴）

39、被转换为指定内部IP地址（可含端标语或者端口范畴），可以支持针对外部地址服务端口到内部地址一对一映射，内部多台机器服务端口可以分别映射到外部地址若干个端口，通过这些端口对外部提供服务。例如。如果外部计算机要访问地址为202.118.6.100主机时，她事实上访问会是一台IP地址为192.168.1.2主机，外部计算机可以任意访问202.118.6.100主机上面所有端口，这些访问都会转到192.168.1.2相似端口上，这样就突破了以往防火墙做反向NAT时都必要和服务端口绑定限制（即202.118.6.100:80à192.168.1.2:80），固然，如果顾客需要，也可以和以往防火墙同样，做

40、端口绑定。 ●带宽管理和流量记录 方御防火墙系统使用流量记录与控制方略，可以便地依照网段和主机等对流量进行记录与控制管理，以防止线路资源非允许消耗，有效地管理带宽资源，从而使网络得到有效运用。方御通过设立每小时容许通过网络流量和最大突发流量来实现带宽管理和流量记录功能。 ●代理服务器功能 对于浏览器顾客来说，方御是一种高性能代理缓存服务器，方御支持FTP、HTTP合同。和普通代理缓存软件不同，方御用一种单独、非模块化、I/O驱动进程来解决所有客户端祈求。 方御将数据元缓存在内存中，同步也缓存DNS查询成果，除此之外，它还支持非模块化DNS查询，对失败祈求进行悲观缓存。方御支持SS

41、L，支持访问控制。由于使用了ICP（轻量Internet缓存合同），方御可以实现层叠代理阵列，从而最大限度地节约带宽。 顾客可以在客户管理中，通过设立客户权限，为顾客提供代理服务模式，在访问规则中设立“禁止顾客访问站点”和“仅容许访问站点”，同步还可以建立URL级访问限制，通过建立禁止顾客访问URL列表，方御防火墙可以对该列表进行匹配，禁止对列表中URL访问。违背限制规则访问企图将被记录到系统日记中。方御防火墙提供URL级屏蔽功能，可以使管理员屏蔽某些URL，如色情、反动主页等。此外通过对内部网WWW服务器某些URL屏蔽，可以消除服务器自身安全漏洞，从而对WWW服务器进行保护。 ●IP地址

42、和MAC地址绑定 计算机中每一块网卡都具备一种唯一硬件物理地址标记号码，即网卡MAC地址，MAC地址与网卡一一相应。为解决IP地址欺骗和盗用问题，系统提供了IP地址和MAC地址（网卡）一一绑定功能，重要用于绑定某些重要管理员IP地址和特权IP地址。IP地址和MAC地址绑定后，虽然某个顾客盗用了此网卡IP地址，在通过防火墙时也会因网卡MAC地址不匹配而回绝通过。 ●双机热备 方御在桥模式下可以在网络中智能寻找其对等备份机，并且使备份机自动进入等待状态，而一旦备份机发现主工作机失效，可及时启动，防止网络中断事故发生。 在路由模式下，方御提供手工设立双机热备功能。当前，可以支持两台方御在网络

43、上进行主从备份，或者互为备份。 ●复杂别名机制 复杂别名机制是FG一类以便实用，也很重要功能，FG使用端口别名和子网别名来代替有关端标语和子网地址，协助顾客管理各种网段和各种端口地址。顾客可以在混合模式里用一种别名来管理一组离散网段地址，或者是离散端口值。 在大某些其她功能模块里都要使用这些别名来进行配备。 ●授权级别 遵循国家关于安全原则规定，方御作了四级授权：实行域管理权、方略管理权、审计管理权、日记查看权。 l 实行域管理权涉及：向实行域中增删管理员帐号，增删FireGate，设立FireGate双机热备，切换FireGate桥/路由模式，为管理员授方略管理权和审计管理权；

44、 l 方略管理权涉及：配备FireGate各个模块方略，如包过滤方略，入侵检测方略，NAT方略，流量控制方略，顾客认证管理、Proxy方略等等； l 审计管理权涉及：设立日记满时系统方略，为管理员授日记查看权，清空日记等； l 日记查看权涉及：查询日记，生成记录报表等。 拥有实行域管理权仅有Admin帐号；且Admin也仅有实行域管理权，而没有方略管理权及审计管理权。其她管理员（指除了Admin以外管理员）方略管理权和审计管理权由Admin授予，日记查看权由拥有审计管理权管理员授予。 ●可定制防火墙模板 方御防火墙预置模板功能是将针对典型应用几条防火墙规则整合成为模板，运用填空方式配

45、备，简化了顾客配备工作。 ●强大审计功能 方御提供了大量审计内容和对审计内容查询功能，由于日记也许对普通顾客比较难以理解，而咱们将日记记录提成了若干某些，并且就每一种某些都是可以进行查询和管理，这样一来就可以是顾客对防火墙状况有一种非常透彻理解。 方御中审计功能有着非常完善权限管理，有专门审计员来对审计内容进行管理，在审计中又提成了若干级别权限。这样可以以便管理员管理审计内容。●基于PKI高档授权认证 PKI是一种新安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥安全方略等基本成分共同构成。PKI是运用公钥技术实现电子商务安全一种体系，是一种基本设施，网络通

46、讯、网上交易是运用它来保证安全。从某种意义上讲，PKI包括了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺构成某些。方御授权认证是基于PKI基本之上，因而完全性极高。 ●集中管理 依照美国财经杂志记录资料表白，30%入侵发生在有防火墙状况下，这些入侵重要因素并非是防火墙无用，而是由于普通防火墙管理及配备相称复杂，要想成功维护防火墙，规定防火墙管理员对网络安全袭击手段及其与系统配备关系有相称深刻理解，并且防火墙安全方略无法进行集中管理，这些都导致了网络安全失败。而方御防火墙采用基于Windows GUI顾客界面进行远程集中式管理，配备管理界面直观，易于操作。可以通过一种控制机对多

47、台方御进行集中式管理。 ●实时控制和日记转存 管理员可以通过控制界面对防火墙进行实时控制和调节，可以修改其方略和工作方式。 管理员可以将日记保存起来，供后来分析使用，由于方御每天都会记录大量日记信息，并且某些日记记录是非常有用信息，因而方御日记监视系统会将服务器上面日记下载到管理员机器上面，管理员可以对它进行编辑和保存。 ●支持SNMP管理 方御网络安全产品提供对简朴网络管理合同(SNMP)支持，支持V1、V2等不同版本，可与当前主流网络管理平台如HP Openview、CA Unicenter等联用，通过专业网管软件兼控方御产品运营状况。此外通过SNMP管理，方御还可以对袭

48、击事件进行收集，转发给SNMP服务器，顾客可以通过对SNMP管理，发现产品问题。 ●H.323支持 随着语音/影像数据流行，网络上流动大量H.323数据。H.323数据流特点是同一种数据流在不同步间使用不同UDP端口，而这种端口变化普通是靠分析数据流内容得到，方御防火墙采用特殊技术对实际数据流状况作出判断，以鉴别数据合法性，在保证网络安全前提下支持H.323数据合法通过。 第二节 虚拟专用网（VPN） 3.2.1背景简介 越来越多公司需要在全国乃至世界范畴内建立各种办事机构、分公司、研究所等，各个分公司之间老式网络连接方式普通是租用专线。显然，在分公司增多、业务开展越来越广泛时，

49、网络构造趋于复杂，费用昂贵。运用VPN特性可以在Internet上组建世界范畴内公司内部虚拟网。FG公司内部虚拟网采用网关-网关加密通道模式，顾客可灵活设立软、硬件加密算法优先顺序。例如：某公司总部与分公司远程办公网络通过Internet进行联系，在公司两台FG之间由于建立了公司内部虚拟网络，使两个公司之间通讯就象在一种内部网中通讯同样。 虚拟专用网技术（VPN，Virtual Private Network）是指在公共网络中建立专用网络，数据通过安全“加密通道”在公共网络中传播。公司只需要租用本地数据专线，连接上本地公众信息网，那么各地机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中，任意两个节点之间连接并没有老式专网所需端到端物理链路，而是运用某种公众网资源动态构成，是通过私有隧道技术在公共数据网络上仿真一条点到点专线技术。所谓虚拟，是指顾客不再需要拥有实际长途数据线路，而是使用Internet公众数据网络长途数据线路。所谓专用网络，是指顾客可觉得自己制定一种最符合自己需求网络。而在Internet上，VPN使用者可以控制自己与其她使用者联系，同步支持拨号顾客。 当前VPN重要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decry