重庆住房基金管理中心安全系统方案.doc

重庆住房基金管理中心信息系统安全工程系统设计书二一九二一九年五月广东省技术转移中心广州市众达迅通技术有限公司地址：广州市天河龙口中路173号华天国际广场西苑10楼电话：(020-)38734097 传真：(020-)87589782 Email: 目录1.概述32.公司介绍43.信息安全技术介绍53.1.信息安全的定义53.2.安全的层次53.3.安全的目标53.4.系统的安全威胁53.5.网络安全技术73.6.网络隔离83.7.通信安全技术93.8.客户机安全防护104.天网防火墙简介114.1.什么叫防火墙?114.2.防火墙的用途114.3.天网防火墙的目标114.4.天网防火墙的特点114.4.1.强大的数据加密技术114.4.2.智能的内容过滤系统124.4.3.创新的体系结构144.5.其他特点145.需求分析156.方案设计166.1.总体设计166.2.方案说明167.成功案例187.1.天网防火墙典型用户名录187.2.天网防火墙成功案例选登197.2.1.中央电视台网络安全改造工程197.2.2.人民日报网络安全工程197.2.3.南方航空公司网络平台安全改造计划197.2.4.广东省邮电管理局网络工程197.2.5.广州市电信局个人主页项目197.2.6.珠海邮政局网上邮局工程.15 广东省邮政局183网上支付系统191. 概述随着网络应用的日益广泛，各种大型企业或单位也将通过网络与用户及其他相关行业系统之间进行交流，提供各种网上的信息服务，但这些网络用户中，不乏竞争对手和恶意破坏者，这些人可能会不断地寻找系统内部网络上的漏洞，企图潜入内部网络。一旦网络被人攻破，机密的数据、资料可能会被盗取、网络可能会被破坏，给系统带来难以预测的损失。因此，防火墙便成为网络安全必不可少的产品，天网防火墙在系统网络与外部网络用户之间建起了一道安全的屏障，从而有效地抵御外来攻击，防止不法分子的入侵。2. 公司介绍广州市众达迅通技术有限公司是一家集科研、生产、经营于一体的高科 技产业公司，隶属于广东省科委技术转移中心，主要从事互联网技术及网络 产品的研究开发和生产，为全国的行业用户和广大的上网用户提供网络应用 的软、硬件产品、解决方案以及全方位的专业技术服务。公司成立于1998年，以网络安全产品“天网防火墙”闻名遐尔。“天网防火墙”是我国首个达到国际一流水平、获得国家公安部、国家安全部认证的软硬件一体化网络安全产品，性能及技术指标达到甚至超过世界同类产品水平。公司还独立开发出天网负载分担服务器(SkyNet LB Server)、天网虚拟专网交换机 ( SkyNet VPN Switch)等网络应用硬件系统。在开发出国内第一套拥有自主知识产权、基于Unix系统的Internet应用开发平台的基础上，陆续开发了人民日报网络版新闻发布系统、天网实时聊天系统、天网虚拟主 机系统等一系列的网络应用软件产品。公司利用雄厚的技术力量、完善的研发系统，以及丰富的实践经验，为国内的用户提供全面、高效的网络安全服务，从而改善了国内高水平网络安 全服务的相对空白的局面。公司的规模不断扩大，目前已在南京等地设立了 分支机构，客户遍布全国各地，为全国用户的信息安全服务提供了重要的保障。作为一家网络安全的专业公司，为中央电视台、人民日报社、广州视窗、 21CN、南方航空公司等大型单位的网络安全建设提供了有力的支持，并获得 普遍好评。“不断创新，共同发展”。凝聚大批优秀技术人才的广州市众达迅通技 术有限公司将以振兴中华民族的IT业为己任，努力为中国的网络发展及信息 安全建设做出贡献！ 3. 信息安全技术介绍3.1. 信息安全的定义要做好网络安全工作，首先要了解的是信息安全的定义，对信息系统安全，计算机安全的定义有多种：国际标准化委员会（ISO International Standards Organization）的定义是：“为数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”美国国防部国家计算机安全中心（NCSC DoD）的定义是：“要讨论计算机安全首先必须讨论对安全需求的陈述，。一般说来，安全的系统会利用一些专门的安全特性来控制对信息的访问，只有经过适当授权的人，或者以这些人的名义进行的进程可以读、写、创建和删除这些信息。”我国公安部计算机管理监察司的定义是： “计算机安全是指计算机资产安全，即计算机信息系统资源和信息资源不受自然和认为有害因素的威胁和危害”。3.2. 安全的层次网络系统的安全包括如下两个层次的含义：n 网络系统的数据与信息的安全与保密 n 网络系统自身的安全3.3. 安全的目标网络系统安全的最终目标是要保证数据和信息的安全性。网络自身的安全是为数据和信息安全服务的。网络系统的安全性主要体现在以下几个方面：n 机密性：防止数据被未经授权地泄露 n 数据完整性：防止未经授权地对数据进行修改或删除 n 行为完整性：保证数据服务和控制的连续性3.4. 系统的安全威胁常见的安全危险是指通过技术手段对网络系统进行攻，攻击手法有一般性攻击、渗透性攻击与拒绝服务攻击。一般性攻击一般性攻击主要利用用户或管理人员的疏忽、利用网络协议或主机操作系统的漏洞、利用共享传输通道的便利，对系统进行直接入侵的攻击方法。下面是一些典型的攻击方法：n 口令入侵搜集用户帐户资料； 如果能够获得口令文件，可对口令文件进行解密； 如果用户的口令缺乏安全性，可能被轻易地被“字典攻击”猜到用户的口令； 如果入侵者可以获得用户的口令，则可以冒用此用户的名义对系统进行进一步的破坏和攻击。n 脆弱的基于主机认证机制在Internet和Intranet上广泛使用的TCP/IP协议中，一些TCP和UDP服务采用的是基于主机认证方式，而非基于用户认证的方式。入侵者可以利用这种脆弱的机制进行攻击：IP Spoofing：攻击者侦测出一台被信任主机，在该主机停机（或遭到拒绝服务攻击）之后，冒充该机。可以使用IP源路由方法，假扮成被信任的主机，许多UNIX主机和路由器均设置成支持源路由封包。 信任主机的扩散攻击：利用主机之间的信任关系，在攻破某一台主机后，可以更加方便地攻击和它有信任关系的主机。 n 协议攻击Internet使用的通讯协议在设计时，并没有充分考虑到网络安全问题。而且TCP/IP协议是完全公开的，再加上很多UNIX系统的内部结构包括源代码都公开，导致入侵者可以利用网络和操作系统的漏洞进行攻击。n 人为的配置失误网络和主机的安全设置都比较复杂，管理者很容易在配置中出现失误。如果用户没有进行合适的配置，入侵者就可以轻易的进入。比如，缺省帐户的口令没有更改等等。如果系统管理人员没有对网络和操作系统的漏洞及时打补丁（patch）。入侵者就可以利用这些公开的漏洞，侵入系统。n 窃听和监视由于在网络的共享信道上，用明文传输的敏感数据，这些信息很可能被窃听和监视。一旦，入侵者监听到用户传输的口令，就可以入侵到系统中了。n 新的安全挑战随着Internet技术的急剧发展，如WWW、Java、ActiveX等技术的大量使用，新的安全问题也不断涌现。一些新的服务未经过严格的安全测试就可能开始使用。象CERT、FIRST这样的计算机安全紧急反映组织不断发布新的攻击事件和新的漏洞；各个主机和网络厂商不断公布自己的补丁；象2600这样的的黑客组织和黑客站点不断出现新的攻击手法。所有这些，都对我们的安全工作提出了挑战。渗透性攻击渗透性攻击一定要通过一些特殊的计算机程序，通过将这些程序象补丁（patch）一样加载在主机上之后，通过程序自身去不断获得系统的控制权，达到破坏系统安全的目的。n 特洛伊木马特洛伊木马是这样一种程序，它在正常功能的程序中，隐藏的了非授权的代码。如果正常程序在系统中运行，那么非授权代码（通常是恶意代码）就获得了与正常程序同样的权限，进行破坏。n 计算机病毒网络应用的普及，为病毒的传播提供了方便的渠道。在越来越依赖网络的今天，由于病毒导致的系统破坏将带来巨大的损失。计算机病毒实际上是一种特殊的特洛伊木马。计算机病毒是一段可执行程序，它寄生在其他正常程序上。计算机病毒一般有两个模块：传染模块、破坏和表现模块。计算机病毒具有如下一些特点：广泛传染性 潜伏性 可触发性 破坏性 针对性 衍生性 攻击迅速性 n 蠕虫蠕虫也是一种特洛伊木马。蠕虫有别于计算机病毒，它一般要寄生在计算机的操作系统中。它同病毒也有一些类似的地方，如：潜伏性、传染性、破坏性等。从一般意义上说，病毒一般多出现在PC世界，而蠕虫多出现在Unix世界。拒绝服务攻击拒绝服务（denial-of-service）攻击，是通过向攻击目标施加超强力的服务要求，要求提供超出它服务能力范围需求，从而引起的攻击目标对正常服务的拒绝或服务性能大大降低。下面是一些著名的拒绝服务攻击的例子：Ping of Death：给服务器发送异常的、巨大的用来进行ping操作的包。它可以导致WindowsNT系统出现蓝屏故障，而且及其状态无法恢复。 Syn-Flooder：向服务器申请一个连接，而在服务器回答后等待确认时，不进行确认。不断进行这样的操作，导致服务器的连接缓冲区溢出后服务停滞。 邮件炸弹E-mail Bomb：使得攻击目标主机受到超量的电子邮件，使得主机无法承受导致邮件系统崩溃。3.5. 网络安全技术计算机网络安全技术的目的是保护以网络为代表的系统资源不受攻击影响、发现可疑的行为、对可能影响安全的事件作出反应。计算机安全技术主要包括加密技术与行动技术两个方面。加密技术的主要目标是确保数据资源的机密性、完整性。行动技术的目的还包括维持并保护数据资源的安全可用性。根据在入侵行为与入侵目标关系中研究对象的不同，行动技术可分为主动与被动两大类型：被动技术研究的是入侵中处于被动地位的入侵目标，它的目的是提高目标自身的防御能力，主要代表有： o隔离技术：把要保护的计算机系统与较危险的外界隔离开，只允许建立安全的连接；隔离技术的中心思想是在主机或网络与外界连接之间增加检查，拒绝接受可疑的连接请求。 o安全分析技术：扫描系统安全漏洞、模拟网络攻击，以检查系统防御能力。 主动技术研究的对象是入侵行为，它尝试使计算机系统对入侵行为做出主动积极的反应，代表是近年兴起的入侵发现技术。3.6. 网络隔离最常用的网络隔离技术就是采用防火墙，防火墙可以有效地划分网络间不同的安全区域，界定不同用户的访问范围。防火墙技术概述防火墙技术的目标是保护网络的一段或整个内部网络不受外界入侵影响。防火墙将安全管理“相对”宽松的“内网”与外部网络隔离开来。防火墙由一组硬件和软件的组成，用于检查网络通讯与服务请求流。它的目的是剔除通讯流中那些不符合安全标准的数据包或请求。防火墙通过包过滤、应用网关等技术，使用具有过滤功能的路由器和堡垒主机等设备，使所有涉及被保护网段的网络通讯都经过防火墙过滤或转接，对被保护网段实行访问控制，把它和外界隔离开来，达到不受外界侵犯的目的。防火墙通常是防范入侵的第一道防线，但不同的产品对恶意攻击的屏蔽程度不同，防火墙的设置也经常很复杂，设置不好的防火墙不能有效完成隔离功能，可能成为潜在的安全隐患。使用防火墙还必须保证它不能被访问绕过。比如在防火墙内部私自连入 Modem, 使连接不经过防火墙的检查，就会造成隔离的破坏。防火墙的优势保护脆弱的服务：通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少网中主机的风险。如，防火墙可以禁止NIS、NFS服务通过。防火墙同时可以拒绝源路由和ICMP重定向封包。 控制对系统的访问：防火墙可以实现对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。如防火墙只允许外部访问外部Web Server。 集中的安全管理和策略的制定：防火墙对企业内部网实现集中的安全管理，提供了制定和执行网络安全策略的手段。在防火墙定义的安全规则可以用于整个内部网络系统，而无需在内部网每台机器上分别设立安全策略。如防火墙可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。 增强的保密性：使用防火墙可以阻止攻击者获取攻击网络系统的有用信息。 记录和统计网络利用数据以及非法使用数据：防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据。并且可以根据统计数据来判断可能攻击和探测。 在网络系统中的应用n 停火区在网络系统的Intranet中设立一个DMZ（停火区）：或者称作屏蔽子网。这个停火区将网上办税系统的内部局域网和Internet、拨号接入服务隔离开。内部网络与停火区之间有防火墙来保证安全。在这里专门提供对外的公共服务，如外部WWW服务、外部DNS服务、拨号接入服务等。在DMZ的服务器可以使用在公网的IP地址，也可以通过防火墙的反向地址转换功能使用私网IP地址。n 设置路由器的包过滤功能停火区和Internet之间通过路由器连接。在这个路由器合理地设置包过滤功能，将停火区不提供的服务包过滤掉。比如：可以过滤掉Internet流向停火区的telnet包、SNMP包等，避免网络黑客利用这些协议进行攻击。内网划分了VLAN，有路由器负责内部VLAN之间的路由。可以适当地设置内部路由的包过滤功能，避免或减少内部黑客或已经侵入内部的黑客对其他为授权网络的攻击。n 内网和停火区之间的防火墙在网上办税系统中主要利用现有的防火墙提供强大的网络安全服务，它在保证高级的安全性能的同时，提供了良好的吞吐性、灵活性和管理特性。防火墙对Intranet与Internet进行隔离，隔离的主要内容是内部网不应提供的服务、信息及传输通道。此外它在保证高级安全性能的同时，能够提供良好的吞吐性、灵活性和管理特性。为了消除防火墙的单点故障，可以设计采用双机热备份的防火墙系统，两台防火墙一台作为主防火墙，一台作为从防火墙。正常工作时，运行主防火墙系统，当主防火墙系统发生故障时，从防火墙系统自动接替其工作，保证了防火墙系统的连续性。通过防火墙控制台定义网络对象、网络资源、用户及安全规则。原则上，大楼Intranet出口处防火墙的安全规则只定义必要的网络连接（如单向DNS查询、限制的http、https、ldap，仅允许DMZ内主机与内部网的其它必要通讯等）。3.7. 通信安全技术搭线窃听是对通信保密安全的严重威胁。在互联网出现后，由于使用者到服务器之间将经过不可预测的节点，中间极可以出现数据被窃取和被篡改的危险。解决的方法有两个方面：n 通过加密措施，使非法窃听者即使截获部分信息也无法理解这些信息。n 通过防篡改技术，使数据被篡改后可以有机制去识别被篡改的内容。n 综合以上的方法，目前流行的方式是采用虚拟专网（VPN）技术来实现通信安全。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件：n 保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。n 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。n 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。n 提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。n 提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（Access Control）。3.8. 客户机安全防护网络系统中用户操作的微机多数采用Windows 9X操作系统。Windows 9X操作系统的安全级别远远不如Unix系统和Windows NT系统高。除了系统本身的各种弱点外，还有许多病毒与木马系统在Windows上横行，如果不小心，用户的各种操作数据很容易被不法分子窃取。为了保证安全，Windows 9X用户可以采用本公司个人级防火墙产品，保证数据安全。4. 天网防火墙简介4.1. 什么叫防火墙?讲到防火墙，很多人可能一下反应觉得是一些建筑用的东西，虽然在这里讲的防火墙的所处的位置很象是建筑上说的防火墙，不过，它却是与建筑一点关系都没有的东西。这里所说的防火墙是安装在计算机网络上，防止内部的网络系统被人恶意破坏的一个网络安全产品。4.2. 防火墙的用途Internet 技术带领我们进入新的科技信息时代。许多企业、单位都纷纷建立与互联网络相连的内部网，使用户可以通过网络查询信息。这时企业Intranet的安全性就受到了考验，网络上的不法分子不断的寻找网络上的漏洞，企图潜入内部网络。一旦Intranet被人攻破，一些机密的资料可能会被盗、网络可能会被破坏，给网络所属单位带来难以预测的损害。而使用了防火墙后，防火墙可以有效地挡住外来的攻击，对进出的数据进行监视。此外，目前防火墙除了可以作为网络门户的保护外，还提供了许多网络连接时的应用，如包含代理服务器的功能，提高内部网络对外访问的速度；采用加密连接方式，使企业通过公网安全地传输数据等。4.3. 天网防火墙的目标长期以来，国内开发的防火墙大都只有简单的数据包过滤，只能实现简单地控制允许或不允许数据的通过，而最新防火墙的关键技术都被国外所垄断，例如网络数据通道加密，网络地址转换等，美国政府甚至明令禁止这些高新技术的出口，企图以技术垄断的方式阻止别国信息产业的发展。但现在，我们可以站出来说：“中国人有了自己的防火墙！”在天网防火墙上，不但研究出并使用了美国政府禁止出口的168位加密技术，实现了高速的网络地址转换功能，而且，还针对Internet鱼龙混杂的局面，创造性地开发出了智能内容过滤系统，使到天网防火墙不单单能保护网络的安全，而且，可以令充满了黄色和反动内容的Internet网络恢复清纯。4.4. 天网防火墙的特点4.4.1. 强大的数据加密技术在国外，利用公共的计算机信息网络，企业可以建造一个安全的内部网，连接不同地域的机构，这种技术，在术语中称为虚拟专用网（VPN），而这个技术中的关键就是一个叫IPSEC的数据加密技术，没有这项技术，企业在公共网络中传递的数据可以轻易地被截取和破解，等于把企业的所有秘密公之于众；然而，国外的厂商在中国推广的设备中，却没有一个提到IPSEC的加密技术的，即使有顺带提到的，也会推搪说暂时无法提供此技术，请耐心等候。原因很简单，这种IPSEC技术正是被美国政府严禁出口的高科技技术之一。我们经过努力，终于在天网防火墙的IPSEC加密功能上实现了56 Bits DES、168Bits 3DES、MD5、RC4、SHA1、IDEA等多种加密算法。天网防火墙系统通过符合IPSEC标准的高保密性虚拟专用网技术，可以建立真正的虚拟专用网系统，这样，系统才具有完善的安全特性，包括： 真实性：与你通信的计算机主机是真正的授权后的计算机主机，而不是他人假冒的计算机。 完整性：我方接收到的数据包与对方发送时是完全一致的。 机密性：在数据传输过程中，数据不能被不法分子解密。在设计时,我们还充分考虑到防火墙系统是作为网络安全的守护者，除了考虑用户认证、数据传输时数据的机密性、完整性、真实性以外，我们还考虑到不法分子在截取到加密的数据后，虽然无法将数据解密，但将数据原封不动地重新发送的可能性。因此我们在天网防火墙中加入了防止数据重演（Replay）的功能，以杜绝这种可能性。有了天网防火墙系统，用户可以不再被迫使用功能残缺的国外网络安全产品，而网络安全也可以得到真正的保护。4.4.2. 智能的内容过滤系统Internet给我们带来了无比丰富的最新信息，改变了我们生活、工作的模式。但是，Internet缺乏适当的监管机构，导致在网上充斥着各种色情、反动的信息，我们不能不警惕这些信息对我们的毒害，我国政府也采取了一定的防御措施。可惜面对日新月异的网络技术发展，现在的措施有点力不从心。目前存在的问题主要有： 目前的监管工作完全靠人手动进行，发现一个拦截一个。而且Internet网络信息不断改变，更新速度惊人，缺少计算机的辅助和统计功能，目前的拦截功能实际上的作用并不明显。 目前拦截是以一个信息点为单位，过于粗糙。通常一个Internet信息点上有很多不同的内容，如果单单为了防止一、两个非法的内容而禁止访问整个信息点，是因噎废食的做法。 虽然拦截可以禁止直接访问信息点，但是用户可以利用一种叫代理服务的技术，利用不被拦截的国外信息点收取信息后转发到国内来，令防御措施形同虚设。为了解决这个问题，我们首先对现状进行分析，得出了解决问题的关键： Internet上虽然有无法统计数量的节点和连接，但是我们只需要对内部网络所访问的信息进行监管就可以保证禁止非法信息的流入了。这使自动监控有了实现的可能。 通过对使用代理服务访问的机制进行了彻底的研究，了解到这种机制的原理后，可以轻易地实现拦截。 计算机必须根据具体情况，依据有效的算法对流入数据进行分析，找出最有嫌疑、的信息内容，这样才能解决问题的关键。 由于需要对所有的流入信息进行过滤，系统负担将十分沉重。监管系统必须采用并行式处理体系，采用多套系统协同工作，才能面对大量的用户访问，避免产生网络的堵塞、延误的严重后果。 网络内容监管在国际上早已受到广泛的重视，许多团体已经在这个方面作了大量的工作，我们的系统必须具有有效使用这些成果的能力。PICS是W3C（互联网页协会）推出的内容分级数据库协议，受到广泛的支持，Internet上绝大多数的正式网页都根据PICS协议进行了分级。拦截服务器必须能定时从PICS分级数据服务器上提取数据，储存到本地数据库中，并以分级数据库作为依据，进行网络监管工作。通过对实际需要的分析，我们在天网防火墙系统中实现可以说是世界上第一套采用分布式并行处理结构的计算机辅助监管、精确信息源定位拦截系统。基本功能有：智能内容分析系统:系统对流经的网络信息进行关键字过滤，可以支持多个关键字逻辑过滤操作，同时可以根据关键字权重、重复次数计算信息的可疑程度。系统对用户访问信息的精确定位进行记录，统计访问量、可疑程度等指标，返回可疑信息源精确位置表，根据该表自动将信息源精确位置加入黑名单采取拦截行动或作为系统管理员控制拦截的依据。信息监管系统:系统可以根据黑名单和白名单对用户访问的精确信息源位置进行拦截或放行的处理，而且可以根据智能内容分析系统和统计系统的结果自动增减名单。代理服务器拦截系统系统根据代理服务器工作原理，对向代理服务器的信息访问请求进行解码分析，得出真正访问位置，根据黑名单进行拦截，放行正常信息。分布并行式处理：当需要负责大量的用户访问时（如Internet出口），系统可以组成分布并行式处理系统，用户的访问控制工作将分布到多台防火墙服务器上。天网防火墙系统的信息监管模块使用了各种先进的办法，可以有效地拦截非法信息的流入，为用户提供一个清洁的Internet网络，是建立Internet的必备工具。4.4.3. 创新的体系结构传统的防火墙多数是软件，因此，用户在购买了防火墙后，还需要购买昂贵的工作站或服务器才能够使用防火墙。而天网防火墙创新地采用了硬件一体化的体系。而天网防火墙创新地采用了硬件一体化的设计，从底层操作系统到防火墙应用都与硬件紧密结合。这种设计有两个好处：1. 系统效率高。传统软件防火墙是安装在计算机上的，由于无法控制网络底层，导致系统效率受到计算机操作系统的牵制，对网络的数据传输有较大的影响。而在天网防火墙设计时，我们针对系统特定硬件进行优化处理，底层操作系统采用汇编语言编写，防火墙应用融入系统操作系统，因此数据传输效率比同类产品高出3060。2. 系统安全性高。传统的软件防火墙都是基于UNIX或Windows NT平台，这些操作系统平台本身容易受到黑客（Hacker）的攻击，使防火墙所在的计算机成为网络安全的突破点。而天网防火墙采用硬件一体化结构，专用的高安全度操作系统使不法分子无从下手。4.5. 其他特点此外，天网防火墙还包含了网络信息流量控制（QoS），透明代理服务器、双向网络地址转换、针对性防御措施、负载均衡、双机热备份等功能。5. 需求分析根据重庆住房基金管理中心信息系统安全工程需求，作如下分析：1. 内部通过划分VLAN，防止内部网络用户对网络攻击，保证网络安全可靠。分析：完全满足。天网防火墙的网络接口可以绑定多个网段地址，最多可以支持1024个网段。2. 网络拓扑结构应保证安全性，提供备份迂回路由。分析：天网防火墙有备份功能扩展，可以升级为双机备份防火墙。3. 应能定期自动扫描各种服务器和数据库系统以发现影响系统性能安全和设置上的漏洞。分析：该功能可以由第三方软件厂商的漏洞检测软件实现。4. 应具有对安全攻击的快速响应能力，能够在黑客对重要资源产生威胁之前识别并阻止攻击。分析：天网防火墙具有快速响应能力，能够在黑客对重要资源产生威胁之前识别并阻止攻击。5. 应能搜集、综合和分析安全软件得到的数据，自动快速的作出安全决策并进行实施。分析：天网防火墙的企业I型和II型均具有以上功能。6. 方案设计6.1. 总体设计系统拓扑图：6.2. 方案说明根据重庆市住房基金管理中心的网络状况和应用，建议在内网的switch和路由器4700之间接天网防火墙企业I型，通过对防火墙的安全规则的设定可有效的保护内网服务器和工作站不受攻击。天网防火墙企业级- I型，规格如下：LicenseTypeDescriptionSNFW-NATunlimitedSNFW-FT-BH网络黑洞SNFW-FT-LOG网络数据记录Features* 基于状态检测的包过滤* 具有包过滤功能的虚拟网桥* DOS防御网关能有效的防止各种类型的DOS攻击* TCP标志位检测* 双向网络地址转换(NAT)* 流量统计与流量限制* 网络端口可以绑定多个IP地址* IP地址与MAC地址绑定* 实时系统监控，能观察系统的运行状态及网络连接状况* 实时报警，通过拨打电话和Email的方式报警 (Syslog Daemon)* 系统操作记录，可以记录系统管理员的所有操作情况* 界面升级，操作方便* 网络黑洞，用于阻挡非法的网络探测* 网络数据记录, 用于记录通过防火墙的数据类型和流量实现功能： 使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口； 允许Internet公网用户访问到DMZ区的应用服务：http、ftp、smtp、dns； 允许DMZ区内的工作站与应用服务器访问Internet公网； 允许内部企业用户访问DMZ的应用服务：http、ftp、smtp、dns 、pop3、https； 允许内部企业用户访问或通过代理访问Internet公网； 禁止Internet公网非法用户入侵内部企业网络和DMZ区应用服务器； 禁止Internet公网用户对内部网络http、ftp、telnet、traceroute、rlogin等端口访问； 通过对数据包的SYN/ACK等标志位进行合法性检测和判断，嫩构进行单向拦截（即防火墙的内部用户可以对外访问，而外部的非法访问将被拦截）。 禁止区的公开服务器访问内部网络； 透明代理内含用户口令认证，并设置其访问权限； 设置防黑客或入侵监测的范围，实行实时入侵监测；7. 成功案例7.1. 天网防火墙典型用户名录l 中央电视台网络安全改造工程l 人民日报网络安全改造工程l 南方航空公司网络平台安全改造计划l 广东省邮电管理局www.2