新江淮汽车网络安全整体决方案.doc

JAC安徽江淮汽车股份有限公司投标书 合肥中方计算机工程有限责任公司第一部分:技术标书JAC江淮汽车网络安全 解 决 方 案合肥中方计算机工程有限责任公司 二00四年三月五日目 录前言3第一章 企业介绍. .51.1方正数码有限公司.51.2上海金诺网络安全技术发展股份有限公司.5第二章 江淮汽车网络中心安全需求分析.72.1网络基本安全需求. 72.2江淮汽车网络中心安全需求.7第三章 江淮汽车网络中心安全解决方案设计.83.1防火墙.93.1.1什么是防火墙.93.1.2使用防火墙的必要性.93.1.3方正方御千兆防火墙.11 方御防火墙简介.11 多种工作模式.14 包过滤防火墙.15 防火墙的主要功能说明.163.2虚拟专用网（VPN）.20 3.2.1背景介绍20 3.2.2产品特点213.3入侵检测系统（IDS）22 3.3.1千兆级入侵检测.22 什么是入侵检测.22 入侵检测的必要性.22 金诺网安入侵检测系统.24 3.3.2强化安全管理水平.32 安全管理原则.32 安全管理的实现.33第四章 技术支持及售后服务计划.344.1技术培训计划.34 4.1.1培训.34 标准专业培训.34 4.1.2可选专业培训.354.2售后服务及应急响应.37 4.2.1产品安装及验收流程37 4.2.2售后服务37 售后服务综述37 售后服务机构38 服务内容38 4.2.3应急响应和质量保证39 服务人员.39 响应时间保证.39 规范的内部流程.40 客户档案管理系统.41 统一的服务文档.42附件一：方御8340f防火墙功能列表43附件二：方御8340f防火墙参数列表44附件三：金诺KIDS特性列表.46附件四：金诺KIDS检测攻击类型列表.48前言概述随着企业信息化程度的提高，企业对于信息处理的手段日益先进，运作的效率也日益提高，同时，各单位对其电子化的信息系统的依赖程度也越来越高。但是由于大多数单位都把网络建立在传统的网络架构上，而该架构又缺乏对于诸多安全问题的考虑，加之人们对网络安全认识不足、管理松散、专业安全技术人员匮乏、网络安全设施投资缺乏、安全制度不完善等因素，使得网络信息的安全风险日益加剧。因此，网络安全基础设施的建设已经成为刻不容缓的重要课题。方案设计原则n 符合国家有关规定我国相关部门已经制订了一系列关于信息安全的法律法规，涉及安全策略、密码与安全设备选用、网络互联、安全管理等内容。安全保密建设必须能够符合这些法律法规，确保国家秘密信息的安全。n 整体安全原则贵单位信息系统是一个复杂的系统，对安全的需求是任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为信息网络和业务系统提供全方位的服务。n 全网统一原则集中有关各方的力量和资源，使信息系统设计得更加系统、完善、严密；包容现存的和将要改进的信息系统对于安全普遍的、特殊的要求，使体系更趋科学和适用；通盘考虑所有通信分系统的安全互通。n 标准化与一致性原则网络安全建设是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，才能使整个系统安全地互联互通、信息共享。n 需求、风险、成本折衷原则任何信息系统都不能做到绝对的安全，而且真正绝对的安全也是不必要的。鉴于这种情况，在设计信息系统安全时，要在安全需求、安全风险和安全成本之间进行平衡和折中。过多的安全需求、过低的安全风险追求必将造成安全成本迅速增加和复杂性的增加。因此，在设计贵单位的安全方案时必须遵守三项要求折衷的原则。n 实用、高效、可扩展原则安全保障系统所采用的产品，要方便工作、实用高效。同时，随着IT技术的不断发展，信息系统将会发生各种变化，信息系统安全设计必须能适应这种变化。在系统实施过程中，系统的结构、配置也会发生一些变化，系统的安全工程要有一定的灵活性来适应这种变化，比如做到层次性、体系性，既有利于系统的安全，又有利于系统的扩展。n 技术与管理相结合原则网络安全建设工程是一个系统工程，单靠技术或单靠管理都不可能实现。各种安全技术应该与运行管理机制、人员思想教育和技术培训、安全规章制度建设相结合，从社会系统工程的角度综合考虑。方案设计参考标准本方案在设计过程中主要参考了以下信息安全相关标准：l ISO/IEC TR13335：信息技术 安全技术 信息产业安全管理的指导方针l ISO/IEC 15408：信息技术安全性评估通用准则l GB17859：计算机信息系统安全保护等级划分准则l ISO17799/BS7799：信息安全管理惯例l 信息安全工程质量管理要求系统安全工程能力成熟模型(SSE-CMM)等第一章 企业介绍1.1方正数码有限公司方正数码有限公司（EC-Founder Co., Ltd.）成立于2000年9月，是方正集团旗下的一家独立上市公司。除北京方正数码有限公司外，方正数码在香港、台湾设有分公司，并在上海、广州、西安设有办事处。方正数码的主要业务围绕互联网安全技术应用、企业/政府信息化领域，在技术开发、应用解决方案和运营服务方面为用户提供实用、先进的产品和技术。方正方御防火墙产品是国内领先的基于边界的网络安全解决方案。为适应广大用户不断发展的需求，方御产品精益求精，不断创新。方御防火墙针对目前网络应用日益复杂的趋势，为了弥补传统防火墙控制范围有限的不足，结合用户需求推出独创的智能IP识别技术，具有强大的信息分析能力和高效数据处理能力，密切配合网络应用，实现多种网络对象的高效访问控制。目前，方御全新推出包括专业级、企业级和电信级三个系列，多个品种的方御防火墙产品，全面扩充方御防火墙产品线。配合原有1U/2U型防火墙，方御产品从网络适应性、产品核心功能、增值功能和性能方面都有相应的突破。方御防火墙产品既适合行业用户的专业需求，又能满足中小企业用户的安全接入需要，是一套完整的网络边界安全解决方案。1.2上海金诺网络安全技术发展股份有限公司-上海金诺网络安全技术发展股份有限公司()成立于2000年4月，注册资本2518万人民币，由上海精宏投资管理有限公司、上海港机股份有限公司、中油龙昌（集团）股份有限公司等单位共同投资组建，是国内最大的网络安全产品及服务供应商。公司总部位于上海，北京、广州等地设有分公司或办事处，现有员工近百人，其中一半以上的管理人员拥有硕士以上学位，70%以上是多年专业从事技术管理、市场和人力资源管理的职业经理人。金诺网安拥有相当完备的产品线体系，涉及入侵检测、漏洞扫描、上网行为管理、防火墙、防病毒等各个安全领域。公司自主开发的部分产品有：金诺入侵检测系统KIDS、金诺上网行为管理系统EIM、计费系统（校园版、酒店版）、金诺网安Cyberpro扫描器等。这些产品多次受到国家有关部门的肯定，达到了国内领先，国际先进的水平，已经在政府、金融、证券、IDC、ISP、保险、教育等各个行业拥有众多用户群。目前金诺网安国内的代理商数目达到一百多家，在全国范围内拥有了一批金牌、银牌及认证代理，已经形成最具广泛代表性的网络安全产品销售网络。金诺网安技术力量雄厚，除了已有多名信息安全领域的博士、硕士研究人员和海外归来的信息安全专家加盟外，还与国内信息安全研究领域的多家权威机构建立了长期的战略合作关系，掌握着国际、国内信息安全技术的最新发展趋势。公司不仅是国家863计划信息安全领域专项课题研究承担单位，也是上海市首批通过软件企业认定的高新技术企业，同时还参与发起和设立建在浦东的国家信息安全产业化基地，已被上海市政府列入了上海市信息产业重点企业，多次接待过国家有关部门领导的视察，受到中央电视台、人民日报等多家国家级媒体及有关专业报刊的专题报道。受中国国家信息安全测评认证中心的委托，金诺网安全面负责国内规模最大、资料最全、最具权威性的“中国信息安全论坛”()的运营与维护，该网站拥有已知世界上最大的公开漏洞数据库、最大的工具库及内容最丰富的技术资料文档库，已经成为了信息安全领域最具影响力的综合性门户网站。在公安部十一局、公安部第三研究所及公安部计算机信息系统安全产品质量监督检验中心等有关主管部门的指导与委托下，公司还担负着“中国信息网络安全”（）网站的运营与维护工作，网站涉及与计算机信息网络安全相关的政策法规、标准规范、产品名单及最新的病毒公告，为信息网络安全的研究与管理提供了一个全面的权威平台。公司本着“求实、创新、服务社会”的经营理念，以脚踏实地的工作态度、扎实过硬的技术基础，奠定一个高科技企业的立身之本；同时结合现代信息产业的特点，顺应社会信息化发展的潮流，不断研究具有创新思维的新产品、新服务，以最大程度地满足客户的需求。金诺网安拥有高度专业的员工，致力于持续的创新与开发，立志成为中国最优秀的信息安全企业。第二章 江淮汽车网络中心安全需求分析2.1网络基本安全需求满足基本的安全要求，是网络成功运行的必要条件，在此基础上提供强有力的安全保障，是网络系统安全的重要原则。针对目前很多黑客往往专注于攻击企业网站，一旦网络中心本身受到攻击而瘫痪，将直接影响企业的正常运转，因此而承受相当大的责任和损失。因此，需要江淮汽车网络中心对自身网络运行的安全性和稳定性有着极高的重视：既要求网络高带宽，高效率，又要求网络能抵抗黑客攻击和硬件故障稳定运行，不会因为单节点的故障影响整个系统。需要尽量的能够对各种异常情况（如黑客入侵、病毒发作等）的发生进行事前的监控和阻止。当异常情况发生时，需要及时的采取处理手段。对于各种各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题。网络基本安全要求：n 网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行。n 网络管理/网络部署的资料不被窃取。n 具备先进的入侵检测及跟踪体系。n 提供灵活而高效的内外通讯服务。2.2江淮汽车网络中心安全需求为保障江淮汽车网络中心的正常运行，提高防黑反黑手段，构建全面统一的网络安全管理架构。采取必要有效措施加以保证，江淮汽车网络中心网络安全建设的有关目标有：接入控制:l 与互联网的接入，采用防火墙隔离，并将服务器群放在受防火墙保护的安全隔离区。l 同时，关键业务需要通过VPN安全通道进行传递。内部检测：l 内部网络在关键节点部署入侵检测产品，生成有关网络各种状况的报告，便于管理。l 内部网络部署漏洞扫描系统，为消除网络隐患做先期准备。另外，网络安全的建设，可以一次性规划、分阶段进行，要易于实施、实现业务的无缝割接。具有良好的可靠性、可扩展性及维护性，进一步规范IP地址。第三章 江淮汽车集团网络中心安全 解决方案设计全方位的安全体系一个完整的安全体系应包含：l 访问控制，通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达被攻击目标之前；l 检查安全漏洞，通过对网络和系统安全漏洞的周期检查，即使攻击可到达被攻击目标，也可使绝大多数攻击失效；l 攻击检测，通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）；l 多层防御，攻击者在突破第一道防线后，延缓或阻断其到达被攻击目标；l 隐藏内部信息，使攻击者不能了解系统内的基本情况；l 设立安全监控中心，为信息系统提供安全体系管理、监控，维护及紧急情况服务。江淮汽车网络中心安全解决方案根据江淮汽车网络中心实际网络建设规划，我们公司为江淮汽车网络中心提出了全方位综合网络解决方案，部署图如下：图表 三1 江淮汽车网络中心网络安全解决方案部署图技术安全设备保障我们在网络中的各个部分采取了多种防范手段，使用了各种安全防范技术。对应客户计算机网络的所面临的安全问题，我们应用了以下几项技术逐一解决：l 防火墙技术l VPN技术l 入侵检测技术通过以上几项技术的运用再加上强化的安全管理水平，我们相信江淮汽车网络中心的计算机网络的安全将获得全面加强。3.1防火墙3.1.1什么是防火墙目前，网络攻击和入侵的手段多种多样，主要可以分为以下几大类：欺骗：通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使用，例如盗用拨号帐号。窃听：利用以太网广播的特性，使用监听程序来截获通过网络的数据包，对信息进行过滤和分析后得到有用的信息，例如使用sniffer程序窃听用户密码。数据窃取：在信息的共享和传递过程中，对信息进行非法的复制，例如，非法拷贝网站数据库内重要的商业信息，盗取网站用户的个人信息等。数据篡改：在信息的共享和传递过程中，对信息进行非法的修改，例如，删除系统内的重要文件，破坏网站数据库等。拒绝服务：使用大量无意义的服务请求来占用系统的网络带宽、CPU处理能力和IO能力，造成系统瘫痪，无法对外提供服务。典型的例子就是2000年年初黑客对Yahoo等大型网站的攻击。黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严重后果，如果是对军用和政府网络的攻击，还会对国家安全造成严重威胁。 防火墙能够根据源地址、目的地址、端口号、时间、用户、URL等控制数据包的通过还是拒绝通过，从而将非法的数据包拒绝在防火墙之外。防火墙一般布置在可信任网络与不可信任网络之间，以确保需要保护网络的数据安全。3.1.2使用防火墙的必要性Internet正在越来越多地融入到社会的各个方面。一方面，随着网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随着Internet和以电子商务为代表的网络应用的日益发展，Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全，日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言，如果网络安全问题不能得到妥善的解决，将会对国家安全带来严重的威胁。2000年二月，在三天的时间里，黑客使美国数家顶级互联网站Yahoo!、Amazon、eBay、CNN陷入瘫痪，造成了十几亿美元的损失，令美国上下如临大敌。黑客使用了DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的时间里，又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到黑客攻击。国内第一家大型网上连锁商城IT163网站3月6日开始运营，然而仅四天，该商城突遭网上黑客袭击，界面文件全部被删除，各种数据库遭到不同程度的破坏，致使网站无法运作。客观地说，没有任何一个网络能够免受安全的困扰，依据Financial Times曾做过的统计，平均每20秒钟就有一个网络遭到入侵。仅在美国，每年由于网络安全问题造成的经济损失就超过100亿美元。黑客们进行网络攻击的目的各种各样，有的是出于政治目的，有的是员工内部破坏，还有的是出于好奇或者满足自己的虚荣心。随着Internet的高速发展，也出现了有明确军事目的的军方黑客组织。通过上面的现状描述，那么，我们现有网络的安全隐患在哪里呢？下面我们将从攻击手段、攻击线路等几个方面来分析：1）从攻击手段来看，因为整个网络目前仅建成了网络层，做到了互联互通。但在此之上的网络规划和安全防护并未很好的考虑。实际上是不设防的网络，可以被各种攻击手段（包括病毒、木马、扫描等）攻击。 当前出于政治目的和商业竞争目的的网络攻击日益增多。网络攻击和入侵对于获取其它目标机构的机密信息是一种非常重要的手段。对于一个重要的部门，信息的安全尤为重要。具有优秀功能的防火墙也是网络安全防护体系的非常重要的一部分。 鉴于当今网络安全形势严峻，问题复杂，对于防止网络入侵、非法访问和防病毒来说，动态的防护体系是一个非常优秀的、安全系数最高的安全网路，所以，拥有入侵检测网络狙击手是使网络的安全性达到质的飞跃的必要手段。2）从攻击线路来看，从外到内可以通过拨号用户通过INTERNET直接进入；在业务网内部是直接互联，未做有效隔离；没有网络控制中心对全网进行有效的监控。基于以上分析，因此，我们需要从以下几个方面考虑网络安全问题： 如何在网络的网络层实现安全控制？ 在连接Internet时，如何控制远程用户访问，保证网络的安全性？ 如何保证系统内各网络间的安全？ 如何保证系统内重要部门的安全？ 如何保证系统软件及其应用系统的安全性？ 如何保证系统重要数据资源的完整性？ 如何保证网络内重要服务器的安全？ 如何保证对外WEB服务器的安全？ 如何防止可能来自内部的非法访问或恶意攻击？ 如何防止来自外部互联网上可能的恶意攻击？。3.1.3方正方御千兆防火墙 方御防火墙简介领先的智能IP识别技术方御防火墙智能IP识别技术是方正数码针对网络应用不断发展的需求，自行研发的高效网络检测技术，创新性地采用零拷贝流分析、特有快速搜索算法等技术，针对网络流2-7层数据进行高效识别。方御防火墙可控对象除了传统的IP包相关信息外，还引入时间、用户、应用及其操作等控制对象，大大扩展了防火墙的防护功能，并且在保证针对应用的细致分析和防护的同时，对产品的性能有大幅的提高，解决了目前内容分析型防火墙普遍存在的效率瓶颈问题。立体安全防护体系方正方御防火墙秉承立体防护的理念，防火墙功能实现遭遇网络攻击前安全策略的定制，使用入侵检测功能进行攻击过程中的防范与报警，辅以日志系统完成攻击后的分析。实现事前、事中、事后的全面防护。再通过虚拟专用网功能进一步将安全保护延伸到数据的传输过程。更引入安全评估观念，主动对网络进行模拟攻击，检验整个网络的安全性。良好的升级机制保证了整个安全系统能够随着技术的进步不断增强。概言之，方御防火墙涵盖了整个网络的空间范围和时间范围，从主动及被动多方面进行立体防护，真正实现全面安全。杰出的工作效率方正方御防火墙性能优异，先进的状态检测技术和独特的智能IP识别技术保证了杰出的工作效率。网络吞吐能力达到线速，支持高达100万并发连接，在多次产品评测中性能领先。使用方御防火墙可以保证网络的实时畅通，不会像传统防火墙一样成为网络瓶颈。稳定可靠作为网络关键设备，方正方御防火墙对自身的稳定性提出了严格的要求。方御防火墙采用高度集成的工业级硬件设计，适应各种复杂的环境条件。每台方御防火墙出厂前均在方正独有“网际飓风”高压力网络环境中经过100小时全负荷测试，确保产品万无一失。灵活适应不同网络环境方正方御防火墙通过引入交换模式、路由模式和全新推出的混和模式，可以根据用户的网络环境要求，灵活的将防火墙接入用户网络中。同时方御防火墙支持VLAN功能，支持多种网络路由协议，能适应复杂的网络环境。超强的增值功能方正方御防火墙除提供全面的网络安全防护功能外，还提供了包括代理服务器、带宽管理、地址转换等增值功能，使用户在实施和步署安全策略时，获得更多的网络产品功能。简单实用的使用方式人性化设计的全中文图形界面，即使非专业人员也能轻松掌握。支持远程管理和集中管理，支持SNMP管理，降低日常维护成本。可切换的路由或桥式接入方式以及新加入的混和接入方式可以轻松配合用户原有的网络环境。在一般情况下，只需不到1个小时就可以完成安全产品的实施，对客户应用的影响更是可以减少到只需几秒。方正智能IP识别技术：2到7层的安全防护随着国内防火墙系统应用的迅速推广普及，用户对防火墙系统有了越来越深入的了解，走出了初期功能堆砌攀比的误区，逐渐明晰了防火墙作为网络边界安全设备的首要位置和关键性作用。与此同时，在实际应用中，用户也从各种角度发现了当前防火墙的缺憾和不足，对防火墙产品提出了更高的要求。这些从实际应用中产生的需求大多集中在如下几个问题上。首先，是防火墙性能问题。在实际应用中，银行、电信、大中型网站等大型用户对防火墙性能的需求是勿庸置疑的；就是对于普通用户，随着多媒体应用的广泛应用，对防火墙的性能也提出了很高的要求。在实际用户使用中，还出现了Nimda病毒传播时大量的病毒扫描连接导致某些低效率防火墙崩溃的实际案例。业务需求、应用需求和安全防护需求，从三方面都提出了对防火墙高性能的要求。如果没有性能作为基础和保障，那么再多再好的功能和协议支持都只能是绣花枕头，经受不住用户实际应用的考验。其次，是网络适应性问题。随着网络的高速发展，网络设备和环境也越来越复杂，VLAN/TRUNK、Bridge/STP、Multicast、VPN、NAT、OSPF/RIP、热备等网络技术和协议层出不穷，这些问题还经常交织在一起，使得问题加倍的复杂化。有很多网络是先建设，后防护，这时防火墙必须能够融入各种各样已有的网络环境。于是用户常常头痛的一个问题就是：防火墙如何部署到自己的网络环境？传统的防火墙适应能力不足，尤其在各种协议支持混杂在一起时，更是无计可施；有时甚至为了实施，被迫牺牲安全性，把某些应用放置在防火墙保护之外。然后，是应用过滤问题。防火墙的安全防护要从简单的IP端口向更高层协议的应用过滤方向发展，是所有人的共识，尤其是呼之欲出的WebService，更加提升了对应用过滤需求的重要性和急迫性。但是，目前有两大难题困扰着应用过滤在实际中的应用。其一，应用过滤大大降低了防火墙的性能，包括吞吐量、时延、并发连接数等，都大受影响；其二，应用过滤控制的对象复杂程度远远超出了IP端口的复杂程度，用户往往没有足够的精力进行有效的安全策略制定和维护。如何解决应用过滤性能问题和策略可维护性问题，将是摆在防火墙厂商面前的两座大山。只有真正解决了这两个问题，应用过滤才能真正为广大用户服务。最后，另外一个需求广泛的是多媒体（网络视频、音频等）支持。多媒体应用是包含视频、音频、用户数据等多种数据流的综合应用，是宽带网络最重要的应用之一。随着网络基础带宽的增大，对于多媒体应用（IP电话，视频会议等）的需求也在不断增长，很多客户在购置防火墙的时候常会提出对于多媒体应用的支持。多媒体应用的数据量大，数据传输协议复杂，数据流众多，每种数据对于网络传输质量的要求不尽相同。其中的代表如H.323、UPnP协议，协议都非常复杂，需要打开大量的动态端口。为此，防火墙要有强大的高层协议分析能力，要能动态跟踪和维持大量动态协商创建的网络连接，要能够满足相关网络连接的带宽和时延要求，并处理其中的碎片等问题。这使防火墙对多媒体的支持变得复杂，所以很多防火墙在支持多媒体应用时会功能无法正常使用或是使用时经常出现掉线或是数据丢失的情况。甚至有些防火墙在支持多媒体协议时，通过设置全通规则来解决这些问题，造成了严重的安全漏洞，使用户的网络增大了安全风险，所以防火墙对于多媒体应用的支持也成为衡量防火墙功能的一个重要方面。综合这些重要的用户需求，方正数码公司认为当今的防火墙系统作为首要的网络边界安全设备，已经从初期的三层协议安全网关，向27层全面的安全网关方向发展，并且要有强大的性能作为支撑，如图所示。2层协议的支持是为了使防火墙有良好的网络适应性；7层协议的支持，是为了防火墙有强大的多媒体支持能力，以及应用过滤能力。而高性能，使得这一切得以真正实用化，而不仅仅是一些理论原型。为了支持这样新的防火墙发展趋势，方正数码自行研发的新一代防火墙技术智能IP识别技术。智能IP识别技术采用先进的内核调度算法、零拷贝流分析算法和快速搜索算法实现高效的数据应用分类和规则快速定位；再通过将其与状态检测技术相结合，对会话进行访问控制，做到了针对多元化应用进行有效的访问控制的同时，保持了高速的网络数据检测效率，为27层网络协议和应用提供了强有力的支撑。尤其值得一提的是，智能IP识别技术中先进的零拷贝流分析算法（ZeSA算法，Zero-copy Stream Analysis）。传统的流过滤算法，必须要在内存中组包，进行额外的拷贝、对齐等操作，大大降低了防火墙的处理效率，严重影响了吞吐量、时延和总并发连接数等关键指标。智能IP识别技术的ZeSA算法，可以省去这一步骤，通过高效偏序匹配，以及网络包的安全模式识别，在进行有效流处理的同时，保持防火墙处理的高效率。结合智能IP识别技术独有的内核调度算法、快速搜索算法，方正方御防火墙在国内历次评测中性能指标都遥遥领先。在ZeSA强有力的支持下，方正方御防火墙的多媒体支持功能和应用过滤功能都非常出色。方正方御防火墙可以全面的支持H.323、UPnP等多媒体协议，支持netmeeting、msn、 realplay、mediaplay、iptv等关键多媒体应用。在不降低用户网络安全级别和性能的前提下，智能IP识别技术支持这些协议和应用进行完整的状态检测，并且提供完整的NAT支持；方正方御防火墙的应用过滤功能效率出众，不再成为网络瓶颈，为应用过滤真正的到应用迈出了重要一步。方正数码会和其他安全公司一起，努力解决应用过滤安全策略的实用化问题，真正为用户提供有效的应用过滤支持。此外，智能IP识别技术提供了完整的27层协议分析的框架，对各种底层协议，如VLAN/TRUNK、Bridge/STP、高效热备协议、VPN协议、动态路由、ARP代理等都有良好的支持，提供了透明、路由、混杂等模式。在复杂网络拓扑下，还能有效的支持VPN的NAT穿越，H.323、UPnP等多媒体协议的NAT支持等。在实施时，对原有网络拓扑的改动很小，给用户提供最大的便捷和安全。方正方御防火墙凭借先进的智能IP识别技术，提供了完整高效的27层的网络安全防护，很好的解决了用户在实际应用中的性能、适应性、应用过滤、多媒体应用等重要方面的需求。多种工作模式方正方御网络安全产品可以工作在交换和路由两种模式下：A： 交换模式：3个端口构成一个以太网交换机，产品本身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一个互通的物理网络。当产品工作在交换模式时，内网、DMZ区和路由器的内部端口构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置。B： 路由模式：产品本身构成3个网络间的路由器，3个界面分别具有不同的IP地址。三个网络中的主机通过该路由进行通信。当产品工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都可以使用保留地址，内网用户通过地址转换访问Internet，同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。在没有安装方御网络安全产品的时候典型网络结构图如下:在安装了方御网络安全产品的时候网络结构图如下:包过滤防火墙方御防火墙的主要功能是对指定IP包进行包过滤，并且按照设定策略对IP包进行入侵或流量等活动的统计，并记入日志中，供用户察看。主要根据IP包的如下信息进行过滤：l IP包的源IP地址l IP包的目的IP地址l IP包的协议类型（包括IP、ICMP、TCP、UDP等协议）l IP包的源TCP/UDP端口l IP包的目的TCP/UDP端口l ICMP报文类型域和代码域l 碎片包l IP包的其它标志位，如SYN，ACK位等高效包过滤有些防火墙在安装上以后对WEB服务器的吞吐能力影响很大，造成性能的降低。由于方御防火墙采用了3I智能IP识别技术（Intelligent IP Identifying），能够实现快速匹配。因此方御防火墙不会对性能造成任何影响。方御防火墙优化了算法，使最大并发连接数可以达到200,000个以上，而一般的防火墙的最大并发连接只能达到几万个左右。强大的状态检测功能方御防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配，而方御防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合，在继承了传统包过滤系统对应用透明的特性外，还大大的提高了系统的性能和安全性。其他的防火墙大多采用传统的规则表的匹配方法，随着安全规则的增加，势必会使防火墙的性能大幅度的减少，造成网络拥塞。状态检测的具体过程如下：防火墙的其它功能双向NAT方御防火墙支持在内部网和DMZ区使用保留的IP地址，通过动态的地址转换功能实现对外部网的访问。方御防火墙以两种方式支持NAT： 源地址转换(正向NAT)，即内部地址向外访问时，发起访问的内部IP地址转换为指定的IP地址（可含端口号或者端口范围），这可以使内部使用保留IP地址的主机访问外部网络，即内部的多个机器可以通过一个外部有效地址访问外部网络。例如，内部地址对外部的访问可以被修改为一个合法的互联网地址00，并且可以限定其端口范围为8082。 目的地址转换（反向NAT），即外部地址向内访问时，被访问的IP地址（可含端口号或者端口范围）被转换为指定的内部IP地址（可含端口号或者端口范围），可以支持针对外部地址服务端口到内部地址的一对一映射，内部的多台机器的服务端口可以分别映射到外部地址的若干个端口，通过这些端口对外部提供服务。例如。如果外部的计算机要访问地址为00的主机时，他实际上访问的会是一台IP地址为的主机，外部的计算机可以任意的访问00主机上面的所有端口，这些访问都会转到的相同端口上，这样就突破了以往防火墙做反向NAT时都必须和服务端口绑定的限制（即00:80:80），当然，如果用户需要，也可以和以往的防火墙一样，做端口绑定。带宽管理和流量统计方御防火墙系统使用流量统计与控制策略，可方便地根据网段和主机等对流量进行统计与控制管理，以防止线路资源的非许可消耗，有效地管理带宽资源，从而使网络得到有效利用。方御通过设置每小时允许通过的网络流量和最大突发流量来实现带宽管理和流量统计的功能。代理服务器功能对于浏览器用户来说，方御是一个高性能的代理缓存服务器，方御支持FTP、HTTP协议。和一般的代理缓存软件不同，方御用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。方御将数据元缓存在内存中，同时也缓存DNS查询的结果，除此之外，它还支持非模块化的DNS查询，对失败的请求进行消极缓存。方御支持SSL，支持访问控制。由于使用了ICP（轻量Internet缓存协议），方御能够实现层叠的代理阵列，从而最大限度地节约带宽。用户可以在客户管理中，通过设置客户权限，为用户提供代理服务模式，在访问规则中设置“禁止用户访问的站点”和“仅允许访问的站点”，同时还可以建立URL级的访问限制，通过建立禁止用户访问的URL列表，方御防火墙可以对该列表进行匹配，禁止对列表中的URL的访问。违反限制规则的访问企图将被记录到系统日志中。方御防火墙提供的URL级的屏蔽功能，可以使管理员屏蔽某些URL，如色情、反动的主页等。另外通过对内部网的WWW服务器的某些URL屏蔽，可以消除服务器本身的安全漏洞，从而对WWW服务器进行保护。IP地址和MAC地址绑定计算机中每一块网卡都具有一个唯一的硬件物理地址标识号码，即网卡的MAC地址，MAC地址与网卡一一对应。为解决IP地址欺骗和盗用的问题，系统提供了IP地址和MAC地址（网卡）一一绑定的功能，主要用于绑定一些重要的管理员IP地址和特权IP地址。IP地址和MAC地址绑定后，即使某个用户盗用了此网卡的IP地址，在通过防火墙时也会因网卡的MAC地址不匹配而拒绝通过。双机热备方御在桥模式下能够在网络中智能的寻找其对等的备份机，并且使备份机自动进入等待状态，而一旦备份机发现主工作机失效，可及时的启动，防止网络中断事故的发生。在路由模式下，方御提供手工设置双机热备功能。目前，可以支持两台方御在网络上进行主从备份，或者互为备份。复杂别名机制复杂别名机制是FG的一类方便实用，也很重要的功能，FG使用端口别名和子网别名来代替相关的端口号和子网地址，帮助用户管理多个网段和多个端口的地址。用户可以在混合模式里用一个别名来管理一组离散的网段地址，或者是离散的端口值。在大部分的其他功能模块里都要使用这些别名来进行配置。授权等级遵循国家有关安全标准规定，方御作了四级授权：实施域管理权、策略管理权、审计管理权、日志查看权。l 实施域管理权包括：向实施域中增删管理员帐号，增删FireGate，设置FireGate双机热备，切换FireGate桥/路由模式，为管理员授策略管理权和审计管理权；l 策略管理权包括：配置FireGate各个模块的策略，如包过滤策略，入侵检测策略，NAT策略，流量控制策略，用户认证管理、Proxy策略等等；l 审计管理权包括：设置日志满时系统的策略，为管理员授日志查看权，清空日志等；l 日志查看权包括：查询日志，生成统计报表等。拥有实施域管理权的仅有Admin帐号；且Admin也仅有实施域管理权，而没有策略管理权及审计管理权。其他管理员（指除了Admin以外的管理员）的策略管理权和审计管理权由Admin授予，日志查看权由拥有审计管理权的管理员授予。可定制的防火墙模板方御防火墙的预置模板功能是将针对典型应用的几条防火墙规则整合成为模板，利用填空方式配置，简化了用户的配置工作。强大的审计功能方御提供了大量的审计内容和对审计内容的查询功能，由于日志可能对一般用户比较难以理解，而我们将日志记录分成了若干部分，而且就每一个部分都是可以进行查询和管理的，这样一来就可以是用户对防火墙的情况有一个非常透彻的了解。方御中审计功能有着非常完善的权限管理，有专门的审计员来对审计内容进行管理，在审计中又分成了若干级别的权限。这样可以方便管理员管理审计内容。基于PKI的高级授权认证PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。方御的授权认证是基于PKI基础之上，因此完全性极高。集中管理根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下，这些入侵的主要原因并非是防火墙无用，而是由于一般的防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解，而且防火墙的安全策略无法进行集中管理，这些都造成了网络安全的失败。而方御防火墙采用基于Windows GUI的用户界面进行远程集中式管理，配置管理界面直观，易于操作。可以通过一个控制机对多台方御进行集中式的管理。实时控制和日志转存管理员可以通过控制界面对防火墙进行实时的控制和调整，可以修改其策略和工作方式。管理员可以将日志保存起来，供以后分析使用，由于方御每天都会记录大量的日志信息，而且一些日志记录是非常有用的信息，因此方御的日志监视系统会将服务器上面的日志下载到管理员的机器上面，管理员可以对它进行编辑和保存。支持SNMP管理方御网络安全产品提供对简单网络管理协议(SNMP)的支持，支持V1、V2等不同版本，可与当前主流的网络管理平台如HP Openview、CA Unicenter等联用，通过专业网管软件兼控方御产品运行状况。此外通过SNMP管理，方御还可以对攻击事件进行收集，转发给SNMP服务器，用户可以通过对SNMP的管理，发现产品问题。H.323支持随着语音/影像数据的流行，网络上流动大量的H.323数据。H.323数据流的特点是同一个数据流在不同的时间使用不同的UDP端口，而这种端口的变化通常是靠分析数据流的内容得到的，方御防火墙采用特殊技术对实际数据流情况作出判断，以判别数据的合法性，在保证网络安全的前提下支持H.323数据合法通过。3.2虚拟专用网（VPN）3.2.1背景介绍越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的企业内部虚拟网。FG的企业内部虚拟网采用网关-网关的加密通道模式，用户可灵活设置软、硬件加密算法的优先顺序。例如：某公司的总部与分公司的远程办公网络通过Internet进行联系，在公司的两台FG之间由于建立了企业内部虚拟网络，使两个公司之间的通讯就象在一个内部网中通讯一样。虚拟专用网技术（VPN，Virtual Private Network）是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。而在Internet上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。方御虚拟专用网中应用了上述全部技术，包括软件加密和硬件加密，例如：使用IPSEC技术进行隧道通讯，使用3DES技术等进行加解密，使用IKE进行密钥管理，使用X.509进行身份认证等。3.2.2产品特点支持多种应用模式方御虚拟专用网支持两种用户模式：远程访问虚拟网（AccessVPN）和企业内部虚拟网（IntranetVPN）。身份授权与鉴别体系方御虚拟专用网系统内置CA中心模块，管理员可独立完成VPN用户的身份授权工作。系统采用PKI技术，使用标准的X.509证书体系，支持客户/服务器双向身份鉴别和客户份鉴别机制。方御虚拟专用网身份授权与鉴别体系有效降低了系统维护和客户使用的复杂性，并保证身份授予权过程的安全性。安全加密方御虚拟专用网建立加密通讯隧道，保证私密数据传输的安全性。方御虚拟专用网支持3DES和国家认可的对称加密算法，完成对数据包的加密；同时采用MD5、SHA-1算法对所传