某省地税局网络安全建议书[1]

某省地税局网络安全系统技术建议书上 海 某 网 络 公 司二 三年 八 月2目 录第一章前言 4第二章 某地税基本情况 .62.1 网络拓扑 .62.2 目标需求 .72.3 地税的网络结构和应用 .8第三章 公司内网安全风险分析 .103.1 某地税网络安全隐患 .103.2 防火墙建设的需求 .113.2.1 防火墙与 VPN 的一体化设计 .113.2.2 抵御 DOSDDOS 攻击 .113.2.3 防止入侵者的扫描 .123.2.4 防止非法用户非法访问 .123.2.5 防止合法用户非授权访问 .123.2.6 防止假冒合法用户非法访问 .13第四章 网络安全方案建设原则 .144.1 网络安全方案设计的原则 .144.2 防火墙选型的原则 .15第五章 防火墙配备及说明 .165.1 防火墙的简介 .165.1.1 产品外观 .165.1.2 产品功能 .175.1.3 防火墙的管理 .245.1.4 防火墙性能 .255.2 防火墙在某地税网络中的位置 .255.3 防火墙在公司网络中的作用及规则 .285.3.1 访问控制的配置规则 295.3.2 抵御攻击的规则 .315.3.3 其它功能、规则 .32第六章 技术支持及售后服务 346.1 阿姆瑞特（中国）有限公司组织机构介绍 .346.2 完备的演示环境和培训体系 .356.3 完善的服务体系 .366.3.1 服务内容 366.3.2 服务流程 376.3.3 服务承诺 386.4 安装、调试、验收 396.4.1 现场安装与调试 39某省地税局网络安全建议书 36.4.2 验 收 .394第一章前言以 Internet 为代表的全球性信息化浪潮迅猛发展，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，网络安全也日益成为影响网络效能的重要问题， Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使网络信息系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所必需考虑和解决的重要问题。税收是我国国民经济宏观调控的重要手段之一，在国计民生中占有非常重要的地位。近年来，为了加强税收监管和保障税收来源，我地税务部门将信息化建设作为各项改革的突破口，大力实施“科技兴税 ”战略，广泛推行税收信息管理系统和机关办公自动化系统，使税收管理的现代化水平获得了较大提高。与此同时，我地税收收入持续快速增长，2000 年增收额超过 2000 亿元人民币，税收收入已占到我国 GDP 比重的 14。有关税务专家认为，这一切与我地税务系统突飞猛进的信息化建设是密不可分的。科技加管理代表着税收管理今后的发展方向，税务系统将充分利用信息技术，为税收管理提供现代化服务手段，并在管理观念、管理体制、管理方法等方面不断创新，使之与现代化手段相适应，实现人机的最佳结合，真正建立起一个以税务管理信息系统为核心、以信息化管理为特征、高效优质的现代化税务管理体系。同时，面对我国加入 WTO 的步伐日益加快，如何以更高的效率和准确性为企业、个人提供更好的服务，也对税务行业提出了严峻的挑战，这同样需要通过信息技术建立强大的支撑平台。根据发达国家的经验和我地税务行业的现状，计算机技术在我地税务系统的应用正朝着事务性工作集中、管理分散的模式发展，以便有效地降低税收成本，更好地加强对纳税人的监控和服务。国家税务总局也充分认识到这一点，在“十五”规划中明确将“集中征收”作为信息化建设的发展目标。但目前，各地某省地税局网络安全建议书 5税务所运行的计算机业务处理系统无法形成上述管理模式，因此，建设一个全新的 IT 技术支持系统是实现税收改革的必由之路。6三三三 某地税基本情况2.1 网络拓扑某省地税省市广域联网网络系统网络拓扑如下：租用电信专线实现省局和各地市分局之间的广域互连。采用防火墙实现对各地税分局和省局以及各地税分局之间的访问控制。在省局和各地市分局之间实现 VPN 互连，实现明密结合的 VPN 网络。一般的数据流直接通过明文的方式在专线上传输。对于重要的数据为防止 ISP 搭线窃听，采用 VPN 加密的方式在专线上传输。某省地税各地市地税分局网上交税子系统拓扑图：省局各市局某省地税局网络安全建议书 72.2 目标需求某省地税省市广域联网网络安全系统。在广域互连上，由于采用电信专线的方式，相对比较安全，但同样存在安全隐患，比如来自 ISP 的搭线窃听。各地市地税子网之间以及省局与各地市网络之间的安全访问控制问题。以防某部分网络被侵入后，把侵入范围扩展到整个广域网络中，所以广域互连部分的安全系统的实施迫在眉睫。8网上报税是该系统的重要组成部分，它是利用电子信息网络技术实现的报税和纳税的一种新方式，纳税人通过互联网将企业的纳税数据报送给税务局， 从而实现纳税人不必亲临税务机关，即可完成税务申报。同时，纳税人还可以通网上报税系统，委托银行在指定的纳税帐户中 划缴应纳税款，从而代替人工到银行缴纳税款的过程。2.3 地税的网络结构和应用从网络应用上来讲，我地税务行业的典型 IT 应用与税务改革有着密切的关系。目前，我地税务改革主要集中在以下三个方面：一是业务系统的改革，主要是对税收增收的管理，业务系统的改革是税务改革的灵魂，也是改革的主要部分；二是机构改革；三是人事改革。税务改革的三大方向产生了相应的重点项目：金税工程；税收征管业务综合系统，包括从国家到省市、地市的三级征管系统；纳税人服务系统（网上报税、自动报税） ，包括省级地税之间的联网；对汇总数据进行分析的征收系统，包括数据仓库、决策支持系统等基础系统；办公自动化系统。具体而言，我地税务行业的应用内容主要包括以下方面：支持各种申报方式、基层税收征管业务与省（市、县）级管理业务、实现通报通缴、定量考核、提高管理与核算的准确性和规范性、省（市、县）级税收监控和管理、税收分析系统、专家系统、税收辅助决策、提供数据产品和服务（如税收信息综合发布与查询等） 、完善的税收法规库与简明检索系统、外部信息交换（省内信息交换） 。其业务范围涵盖了税收的征收、管理、服务等各个方面，使税务行业全面进入高速信息化建设时代。随着信息化的日益深刻，信息网络技术的应用日益普，网络安全问题也会成为影响网络效能的重要问题。而 Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和病毒的入侵，如何保障数据传输的安全性、可靠性，也是税务信息化过程中所必须考虑的重要事情之一。网络的组成是网络安全设计的依据。省地税局计算机网络系统总体上是一个星型结构的局域网，从管理的分工上可以分为四个层次：第一层次：省地税局内部网，由于整个地税网络的服务器均集中在这个局域网上，所以该局域网是整个系统的心脏部分。该网络向上与地税总局连接，横向与其他各省地税局连接，向下与所辖地市地税局连接。某省地税局网络安全建议书 9第二层：省地税局下属地市地税局网络。该网络向上通过专线与省地税局连接，向下与区县地税局连接。第三层：区县地税局网络。该网络向上与地市地税局连接，向下与基层税务征收点连接。第四层：省地税局 Internet 访问和对外信息发布区域。根据国家政策规定，该网络与地税内部网物理隔离。地税计算机网络系统的应用应该主要包括三个方面：其一是处理地税业务信息，其二是办公自动化、其三是对外发布信息。无论是哪一种应用都会涉及到一些敏感或涉密信息，所以，采取相应的技术措施加强信息系统的安全保密是一项十分重要的工作。10三三三 公司内网安全风险分析3.1 某地税网络安全隐患风险分析的一个步骤是判定需要保护的所有资源，特别是受安全问题影响的资源。这些资源包括：主机、工作站、各种网络设备等硬件；源程序、应用程序、操作系统等软件；在线存储、传输、及备份数据；等等。地税计算机网络系统包含了上述几乎所有的网络资源，系统较为复杂，目前尚未建立系统的安全防护体制，存在着明显的安全威胁。1) 全网易受入侵。首先，网络各个部分没有按照其应用的安全要求不同划分为不同的安全域；同时，整个网络通过基本简单静态的通行字进行身份鉴别，一旦身份鉴别通过，用户即可访问整个网络。侵袭者可以通过三种方式很容易地获取通行字：一是内部的管理人员因安全管理不当而造成泄密；二是通过在公用网上搭线窃取通行字；三是通过假冒，植入嗅探程序，截获通行字。侵袭者一旦掌握了通行字，即可在任何地方通过网络访问全网，并可能造成不可估量的损失。而且由于不可控制的接入点比较多，导致全网受攻击点明显增多。2) Internet 访问和对外信息发布区域与 Internet 直接连接，未采取有效的访问控制措施，该区域将面临着来自 Internet 网络的安全威胁。3) 系统保密性差。由于与外部连接通路采用公用线路连接，全部线路上的信息多以明文的方式传送，其中包括登录通行字和一些敏感信息，可能被侵袭者截获、窃取和篡改，造成泄密。4) 易受欺骗性。由于网络主要采用的是 TCP/IP 协议，不法分子就可能获取 IP 地址，在合法用户关机时，冒充该合法用户，从而窜入网络服务或应用系统，窃取甚至篡改有关信息，乃至会破坏整个网络。5) 数据易损。由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击；同时一旦不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。6) 缺乏对全网的安全控制与管理。当网络出现攻击行为或网络受到其它一些安全威某省地税局网络安全建议书 11胁时（如内部人员的违规操作等） ，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。缺 乏 防 范 泄 密 行 为 的 安 全 措 施 。 地 税 计 算 机 网 络 系 统 目 前 应 该 有 一 些 敏感 信 息 ， 如 果 这 些 信 息 由 内 部 工 作 人 员 有 意 或 无 意 通 过 网 络 传 播 或 扩 散 出 去 ，可 能 造 成 十 分 严 重 的 影 响 和 损 失 。总之，无论入侵者通过何种方式入侵了某台计算机它不但对该计算机的资源进行窃取、破坏外，他还可以通过该台计算机作为跳板入侵公司网络中的其他计算机。3.2 防火墙建设的需求通过对网络安全风险分析，采取必要的手段解决网络安全问题势在必行。我们将结合本网络的具体情况,进行联网防火墙建设需求的分析。 3.2.1 防火墙与 VPN 的一体化设计根据网络安全的水桶原理，所有业务子网的所有机器都不能直接或间接与公网相连，以防黑客攻击。网络需要跨越公网，利用电信的通讯线路，如果采用租用专线的方式实现联网，成本太高。故采用 VPN 虚拟专用网技术建立 VPN 隧道实现各单位之间的相连，利用电信的公用线路建立 VPN 加密隧道，实现某地税的安全互连，大大节省建设投资。VPN 隧道的加密算法要非常安全，管理要规范，加密速度要能满足传输需求。由于 VPN 网关需要直接暴露在公网之上，所以其本身的安全性至关重要，根据阿姆瑞特公司多年的防火墙和 VPN 经验，经过对多种方案的反复比较和实践，我们强烈建议采用防火墙与 VPN 的一体化设计，这样既提供了防火墙的功能，又实现了 VPN 的功能，同时能够对 VPN 网关加以保护，达到极高的安全性。对于本方案我们不建议采用单独的 VPN 加密设备来实现 VPN 隧道，很不安全！3.2.2 抵御 DOSDDOS 攻击入侵者可能对内部网重要服务器、主机进行 DOS（拒绝服务攻击） 、DDOS（分布式拒绝12服务攻击）攻击，使得服务器、主机拒绝正常的服务甚至瘫痪。这种攻击的原理是：攻击者利用 TCP 连接时通过三次握手方式建立而进行的攻击，入侵者向服务器发送大量的 SYN报文后撤掉连接，那么服务器在发出 SYN+ACK 应答报文后是无法收到客户端的 ACK 报文的（第三次握手无法完成） ，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。如果服务器的 TCP/IP 栈不够强大，最后的结果往往是堆栈溢出崩溃，即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的 TCP 连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小） ，此时从正常客户的角度看来，服务器失去响应。 所以通过防火墙上进行规则设置，规定防火墙在单位时间内接到同一个地址的 TCP 全连接、半连接的数量，如果超出这个数量便认为是 DOS/DDOS 攻击，防火墙在设定的时间内就不接受来自于这个地址的数据包，从而抵御了 DOS/DDOS 攻击。3.2.3 防止入侵者的扫描大多数黑客在入侵之前都是通过对攻击对象进行端口扫描，收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息，然后再展开相应的攻击。通过在防火墙上设置规则，通过防火墙的 NAT（网络地址转换）和端口映射隐藏内部服务器和主机的地址，此外通过防火墙上设置规则：如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接，便认为是扫描行为，断定这个连接。从而防止入侵者的扫描行为，把入侵行为扼杀在最初阶段。3.2.4 防止非法用户非法访问非法用户（黑客或商业间谍）对网络的非法访问将给网络带来巨大的安全风险。例如：窃取公司网络中重要信息、非法删除重要的资料。同时黑客还会把已入侵过的主机作为跳板，通过它入侵其他主机。所以，必须要采取一定的访问控制手段，防范来自非法用户的非法访问。通过在防火墙上设置规则，可以防止非法用户对公司内部网络的访问行为。3.2.5 防止合法用户非授权访问合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的某省地税局网络安全建议书 13资源。一般来说，每个成员的主机系统中，有一部份信息对外开放，而有些信息是要求保密的，它的公开范围是有限的。例如：子公司的某一合法用户被允许正常访问的一定的信息，如他同时通过一些手段越权访问了网络上不允许他访问的信息，因此而造成他人的信息泄漏。所以，必须加强访问控制的机制，对服务及访问权限需要进行严格控制。通过防火墙设置规则，例如：IP 地址与 MAC 地址绑定、被访问资源进行 IP 地址、MAC地址认证等，严格限制合法用户的访问权限。3.2.6 防止假冒合法用户非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源。但是一些没有获得访问权的人员可能会假冒合法用户的 IP 地址或用户名等资源进行非法访问(例如：等合法用户下班或出差改变 IP 地址等方法)。因此，必需从访问控制上做到防止假冒的非法访问。通过防火墙设置规则，通过 IP 地址与 MAC 地址绑定防止假冒合法用户非法访问。14三三三 网络安全方案建设原则4.1 网络安全方案设计的原则在进行网络系统安全方案的设计和规划时，应遵循以下原则：一、 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定相应的规范和措施，确定系统的安全策略。二、 综合性、整体性原则应运用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节，包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等，在网络安全中的地位和影响作用，只有从系统整体的角度去看待、分析，才可能得到有效、可行的安全措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。三、易操作性原则安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。四、适应性及灵活性原则某省地税局网络安全建议书 15安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级。五、多重保护原则任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。4.2 防火墙选型的原则防火墙必须满足安全性要求、可用性要求和可靠性要求，针对国电媒体网络信息系统，还应满足以下安全基本功能要求。（1）防火墙设备和技术由国家主管部门认证审批，获得销售许可证。（2）防火墙必须具有强大的防御能力，可以防御常见的各种攻击行为。（3）防火墙功能强大，满足国电网络的需求。（4）防火墙所采用的技术，不单纯追求先进、完善，而必须保证实用和成熟性，相关技术标准应采用、引用和接近国家标准。（5）防火墙性能突出，不会因为防火墙的接入影响原网络拓扑结构，安全设备的运行，不明显影响原网络系统的运行效率。（6）防火墙应该便于管理，具有远程集中管理的功能、组策略管理等功能。16三三三 防火墙配备及说明根据某地税内部网的特点与要求，我们在某地税网络系统防火墙子系统建设中配备阿姆瑞特（亚洲）网络有限公司的 AS-F600 VPN，AS-F300VPN 防火墙。有关防火墙的功能、性能、位置、作用在下文中详细说明。防火墙配置表型号 数量 位置F600VPN 1台 省地税局F300VPN 16台 各市地税局F100 48台（16*3） 网上交税子系统5.1 防火墙的 简介在 此 方 案 中 ， 我 们 配 备 阿 姆 瑞 特 （ 亚 洲 ） 网 络 有 限 公 司 F600、 F300 和 F100， 这 三种 产 品 均 为 百 兆 产 品 ， 其 中 F600 可 以 升 级 为 千 兆 。5.1.1 产品外观标准 1U 机箱：432（长）331（宽）44（高） （mm）标准 10/100Base-TX(RJ45)接口 5 个串口 1 个硬件配置220V 50Hz 200W 电源 1 个标准 2U 机箱：432（长）660（宽）88（高） （mm）标准 10/100Base-TX(RJ45)接口 2 个（可以扩四个多模或两个单模光口）串口 1 个硬件配置220V 50Hz 200W 电源 2 个（热备）F300防火墙F600防火墙某省地税局网络安全建议书 17标准 1U 机箱：432（长）331（宽）44（高） （mm）标准 10/100Base-TX(RJ45)接口 4 个串口 1 个硬件配置220V 50Hz 200W 电源 1 个5.1.2 产品功能阿 姆 瑞 特 （ 亚 洲 ） 有 限 公 司 防 火 墙 F600、 F300 和 F100 功 能 相 同 ， 不 同 的 只 是 性能 ， 因 此 产 品 的 功 能 放 在 一 起 做 介 绍 。 数据包状态检测过滤阿姆瑞特（亚洲）有限公司防火墙对数据包进行状态检测过滤，不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制，而且能够记录通过防火墙的连接状态，直接对分组里的数据进行处理；具有完备的状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全的过滤。阿姆瑞特（亚洲）有限公司防火墙能够根据数据包报头进行以下控制： 源和目的地址 源和目的接口 “欺诈”的IP地址 IP协议号 TCP和UDP端口号 端口范围 ICMP信息类型 IP和TCP中都有的选项类型 IP和TCP标记组合18 VLAN信息 VPN功能阿姆瑞特（亚洲）有限公司防火墙内置 VPN 模块，并采用国际标准 IPSEC 作为VPN 加密、认证的协议，可以与 VPN 网关、客户端软件建立加密隧道，为企业提供虚拟专用网，保证异地之间安全的进行数据的传输。 支持NAT访问互联网同时与分（总）公司之间建立VPN隧道； 支持明密结合，灵活网络部署； 支持X.509证书和共享密钥，支持第三方CA认证； 支持AES、DES、3DEC、cast128、blowfish、Twofish等加密算法； 支持MD5、SHA-1认证算法； 采用IPSec国际标准协议，提供传输方式和隧道方式建立VPN隧道； 可以与第三方支持IPSEC协议产品建立VPN隧道 用户可自定义选择加密或认证或加密+认证，应用丰富灵活； 提供客户端软件，支持动态IP； 多样化的工作方式，可以实现网关网关、网关客户端、客户端网关-网关-客户端多种加密隧道，提供VPN隧道的嵌套； 支持基于Radius的用户认证功能基于Radius用户认证功能，能够实现内部网访问外部网络的认证，服务器对客户端的认证。大大提高了安全性，并方便了对访问控制的管理。 强大的防御功能阿姆瑞特（亚洲）有限公司防火墙提供对黑客攻击强大的防御功能： 防止黑客对OS fingerprinting 和 Firewalking的企图 防止黑客对网络的TCP/UDP端口扫描 防止Ping Of Death、Syn-Flood、teardrop等多种DOS/DDOS的攻击 可防御源路由攻击、IP 碎片包攻击、假冒IP攻击 支持动态IP用户如果通过城域网、小区宽带等方式接入 Internet 时，其 IP 地址为动态分某省地税局网络安全建议书 19配的。这时候安装防火墙的时候，需要防火墙支持动态 IP 才能对数据包进行访问控制。阿姆瑞特（亚洲）有限公司防火墙支持动态 IP，其接口可以动态的获得 IP 地址，方便灵活的接入用户的网络环境。 支持DHCP Relay阿姆瑞特（亚洲）有限公司防火墙不但可以作为 DHCP 的客户端，同时也可以作为 DHCP Relay。可以把 DHCP Server 与 DHCP Client 放在防火墙的不同端口之下，这样可以有效的保护 DHCP Server 同时便于用户网络的部署。 支持VLAN阿姆瑞特（亚洲）有限公司防火墙能够支持 802.1Q 封装协议，也就是说可以把防火墙架设在划分 VLAN 的交换机与交换机或交换机与路由器之间。当使用802.1Q 协议时，防火墙还能够利用代理路由功能代替路由器实现 VLAN 间的数据包转发，这样可以使系统具有更好的性能（因为包传输的路径更短了） ；每一个 VLAN 在防火墙的配置中将出现一个虚拟接口，这样可以与物理存在的网卡一样进行具体的过滤并控制带宽，从而具有更高的安全性和配置灵活性。 提供COS/QOS（服务级别/服务质量）服务在信息高速发展的今天，网络不仅仅只需要带宽，而且必须考虑网络流量高峰时期重要数据优先传输。当信息拥塞造成瓶颈时, 网络管理员必须有优先权数据队列机制, 保证那些重要应用的数据比次重要应用数据获得更高的优先传输权。阿姆瑞特（亚洲）有限公司防火墙具有 CoS/QoS 功能，使网络可以支持重要任务或实时数据流与较低优先级别的数据优先传输。阿姆瑞特（亚洲）有限公司防火墙通过定义管道的方式提供 COS/QOS 功能，并且管道没有数量的限制，可以基于 IP、基于协议、基于接口、基于组信息、基于 Vlan 信息、VPN 连接等信息进行带宽管理。并且在管道内部可以实现数据包的负载均衡，从而保证重要数据的服务质量。总体来说，具有以下的特点： 带宽限制20可以对用户 IP 地址、服务等通过防火墙的带宽进行限制，例如：限制某个用户对外访问最大带宽，或者访问某种服务的最大带宽。 带宽保证保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。 优先级控制阿姆瑞特（亚洲）有限公司防火墙通过定义管道的方式提供 COS/QOS 功能，并且管道没有数量的限制，也就是说优先级控制的等级没有数量的限制，同时可在每一个管道中，可以设定 8 个优先级（0-7）,从而可以进行更加细致的流量控制。 动态流量均衡为了保证网络中的所有带宽都得到合理的应用，防火墙提供动态流量均衡功能。例如：假如某网络带宽为 256k，设定主机 A 的带宽为 100k，主机 B 带宽为156k,如果主机 B 目前只用到 120k，而主机 A100k 的带宽不够用，此时主机 A可以动态获得主机 B 剩余的 36K 带宽。如果主机 B 某一时刻的突发速率到156K，他会动态的从主机 A 那里获得属于他的 36K 带宽，从而保证重要服务或者用户优先进行数据传输。 IP地址和MAC地址绑定在内部网络的应用中，经常会遇到内部网络用户擅自修改 IP 地址，以获取一个合法 IP 地址来进行相应的网络应用，这样会使内部网络在地址资源的分配和使用上出现混乱，大大影响内部网络的正常运行。更有甚者使用他人的地址在网上发布非法信息、攻击他人主机、破坏网络安全，其影响将更为严重，而且，在网络事故发生以后，地址追寻的难度很大。为了防止这种地址盗用，阿姆瑞特（亚洲）有限公司防火墙提供了 IP 与 MAC 地某省地税局网络安全建议书 21址绑定的功能。IP 地址与 MAC 地址绑定规定某一 IP 只对应于某一特定的网卡(每个网卡具有唯一的 MAC 地址)，即限定一个 IP 地址只能在一台指定的机器上使用。当某台机器通过防火墙访问 Internet 时，防火墙要检查其发出的数据中的 IP 以及 MAC 是否与防火墙上的规定相符，如果相符就放行。否则不允许通过防火墙，这样可大大方便了网络的 IP 地址管理。 支持双机热备为了保证网络的高可用性与高可靠性，阿姆瑞特（亚洲）有限公司防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。当一台防火墙发生意外 down 机、网络故障、硬件故障等情况时，另一台防火墙自动切换工作状态，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间在 1 秒之内。同时防火墙还可以实现状态表传送，当一台防火墙故障时，这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上，用户不会觉察到。 支持与防病毒网关联动为了防止病毒对网络的侵扰，阿姆瑞特（亚洲）有限公司防火墙支持与网络反病毒联动。当病毒服务器发现用户通过网络浏览或者收发邮件的数据中含有病毒会通知防火墙，防火墙根据病毒服务器的报告会动态的产生新的规则，阻断含有病毒数据包与网络的连接，从而阻止了病毒对网络的侵扰。 NAT地址转换地址转换用于使用保留 IP 地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。阿姆瑞特（亚洲）有限公司防火墙提供了多种转换方式，包括一对一、多对一和多对多的转换方式，即在防火墙的外端口可以绑定一个ip 也可以绑定多个 ip，可以满足绝大多数网络环境的需求。对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，自身使用保留 IP 地址就可以正常访问公众网，有效的解决了全局 IP 地22址不足的问题。 反向地址映射如果企业提供的对外公开服务器（如 Web 、FTP 服务等）使用的是保留 IP 地址，或者想隐藏服务器的真实 IP 地址，这时候可以使用阿姆瑞特（亚洲）有限公司防火墙的反向地址转换来对目的地址进行转换。同样既可以解决全局 IP 地址不足的问题，又能有效的隐藏内部服务器信息，对服务器进行保护。阿姆瑞特（亚洲）有限公司防火墙提供端口映射和 IP 映射两种反向地址转换方式，方便用户的部署。 多重DMZ区保护阿姆瑞特（亚洲）有限公司防火墙的所有接口出厂时不做任何定义，也就是说防火墙的任意接口都可以是内网、外网、DMZ 区。同时阿姆瑞特（亚洲）网络有限公司所有型号的防火墙都是多端口设计（F300VPN 防火墙标配为 5 个接口，F600+可扩展到 10 个接口） ，这样对网络可以进行多重 DMZ 隔离区保护（例如：财务、重要部门、一般部门可以在不同的区域） ，从而在不增加用户投资的情况下，使网络更加安全。 丰富的日志审计日志纪录是对进出网络的数据包进行审计的依据，同时也是网络出现安全问题后最佳的查询方式，因此防火墙的日志是产品的重要组成部分。阿姆瑞特（亚洲）有限公司防火墙提供多种类型的日志纪录方式： 在防火墙中实时显示 日志纪录到防火墙的日志服务器 日志记录到syslog日志服务器 通过阿姆瑞特（中国）有限公司提供的免费软件导入WebTrends日志分析工具进行日志的分析。 多种接入模式某省地税局网络安全建议书 23阿姆瑞特（亚洲）有限公司防火墙支持透明、路由、混合（同时存在透明、路由的接入）三种接入模式。当防火墙工作在透明模式时，防火墙此时工作类似于一个网桥，不需要用户对网络的拓扑做出任何调整；当防火墙工作在路由模式时，防火墙此时工作类似于一个静态的路由器，可以提供静态路由功能；防火墙还可以工作在混合模式下，即防火墙的不同端口有的在同一网段上（透明） ，有的在不同网段上（路由） ，这样更方便用户的接入。 安全的远程升级阿姆瑞特（亚洲）有限公司防火墙提供远程升级功能，在升级前对远程客户端进行身份认证。当客户端认证通过以后，便可以对防火墙进行远程升级。并且升级以后防火墙的配置规则会自动的保存在防火墙新的版本之中，不需要管理员进行重新配置。 独特的防火墙状态监测提供对防火墙的内核、规则、QOS、接口、RAM、Buffer、连接等数据等进行详细的统计和图形报表。可以实时掌握防火墙的运行状态，网络的流量情况，及时发现可能发生的非法攻击。并且提供对多台产品同时监控，从而保证对全网的防火墙进行实时监控。245.1.3 防火墙的管理阿姆瑞特（亚洲）有限公司防火墙 F300VPN 管理方式。 分级管理阿姆瑞特（亚洲）有限公司防火墙提供分级管理机制，系统分为系统管理员、管理员和审计员三个等级。通过分级管理可以使防火墙管理者权责分明、便于管理。 基于名称的管理阿姆瑞特（亚洲）有限公司防火墙在管理时，可以先设置网络属性（地址、网段、主机、管道、Vlan 等）的名称。通过名称使规则更为直观；同一名称可以同时在不同规则中使用，提高了配置管理员的效率；名称可以被修改和编辑，只要不删除名称，规则本身可以不必修改，提高了配置的灵活性。 组策略管理阿姆瑞特（亚洲）网络有限公司防火墙在配置规则时候可以对多个具有相同属性的名称归为一个组，在设置规则的时候可以基于组进行规则设置，通过组的概念可以减少防火墙的规则数量，简化了管理员的管理工作。 便捷的策略模版阿姆瑞特（亚洲）网络有限公司防火墙管理器提供一些常用的策略模版，用户可以根据自身的网络环境选择类似的策略模版生成防火墙配置文件，再修改其中的内容，如 IP 地址，而其他的配置可以不用改变，极大的减少管理员的工作量。 集中远程管理阿姆瑞特（亚洲）有限公司防火墙的管理器可以对多台防火墙进行统一的、集中的管理，方便用户在一台管理器上对多个防火墙的远程管理。并提供规则上某省地税局网络安全建议书 25传、下载功能，当用户网络中不同防火墙的规则比较类似时候，可以将防火墙的规则方便的导入到其他防火墙中，简化了管理员的管理。并且所有的管理都是通过 128Bits 的密钥进行加密传输，保证了远程管理的安全性。 专业级防火墙管理阿姆瑞特（亚洲）有限公司防火墙提供专业的 TCP/IP 设置，可以对 IP 协议、TCP 协议、ARP 协议、Ipsec 协议、DHCP 协议、SNMP 协议、VLAN 信息等的系统选项做出修改，通过配置可以使防火墙的设置更加科学、安全。 支持 SNMP 协议阿姆瑞特（亚洲）有限公司防火墙支持 SNMP 协议，可通过防火墙自身的管理器或通用的网管软件（例如：Open View、Net View 等）对防火墙的运行状况进行监控，并接收通过 SNMP TRAP 发送的报警信息，帮助网络管理员找出并纠正TCP/IP 互联网中的故障。为了避免由于 SNMP 本身的安全性上的缺陷而导致防火墙本身的安全性受到威胁，系统仅允许网管系统查询信息，而不允许改变防火墙的配置。同时，可以设置允许从防火墙的那个端口对防火墙进行 SNMP 管理，以及网关软件和防火墙进行认证的口令，从而保障了防火墙管理的安全性。5.1.4 防火墙性能阿姆瑞特（亚洲）有限公司防火墙内核直接嵌入在操作系统之中，直接在硬件上运行，所有的硬件能力都用于流量处理，所以可以得到高吞吐量。产品型号 吞吐量（M）VPN（ M） 延时（s） 并发连接数 平均无故障时间F300 300 70 25 200,000 40,000F600 590 180 25 256,000 40,000F100 150 70 25 16,000 40,000265.2 防火墙在某地税网络中的位置本方案中提供的防火墙系统，作为访问控制和 VPN 加密设备，其主要作用是隔离安全网与不安全网络；隔离信任网络与不信任网络，对它们之间的访问进行控制，并且在防火墙和防火墙之间建立 VPN 隧道。同时对于网络中传输的重要语音、视频等数据提供 COS/QOS 带宽保证。鉴于防火墙本身的功能特点，决定它的配置位置是在两个不同网络或者安全域之间的连接处，使得防火墙成为两个不同网络之间访问的唯一通道，这样防火墙就可以都所有进出它的数据进行检查、过滤，真正发挥防火墙最大功效。根据某地税网络的特点，我们把阿姆瑞特（亚洲）有限公司防火墙放置在外网路由器、与中心交换机之间，这样可以对所有内网用户进行控制，使网络更加安全。防火墙具体配置如下：某省地税省市广域联网网络系统网络拓扑如下：租用电信专线实现省局和各地市分局之间的广域互连。采用防火墙实现对各地税分局和省局以及各地税分局之间的访问控制。在省局和各地市分局之间实现 VPN 互连，实现明密结合的 VPN 网络。一般的数据流某省地税局网络安全建议书 27直接通过明文的方式在专线上传输。对于重要的数据为防止 ISP 搭线窃听，采用 VPN 加密的方式在专线上传输。某省地税各地市地税分局网上交税子系统拓扑图：网 上 交 税 子 系 统 设 计 分 为 以 下 几 部 分 ：281. 地税局域网安全保护的基本措施，是采用防火墙进行访问控制。关于这一措施应该从两个层次进行考虑，即对于局域网与外部网之间的访问控制和内部网中各个安全域之间的访问控制。1） 局域网与银行网络之间的访问控制在局域网与银行前置机之间安装防火墙，来实现对地税局域网的安全保护，利用防火墙的过滤来实现它与外部网之间相互访问控制。2） 省级、地市级地税网络与地税用户之间的访问控制地税用户主要是通过 Internet 访问地税网络，可在地税网络与 Internet 接入路由器之间安装防火墙，来实现对地税局域网的安全保护，利用防火墙的过滤来实现它与外部网之间相互访问控制。2. Amaranten 防火墙自带的认证功能，可以实现内部用户认证，同时可以结合用户原有的域用户认证或者 radius 认证，实现用户级的访问控制。3. 建成之后的计算机信息网络系统将是一个比较复杂的系统，因此需要对网