湖北电力公司百兆防火墙方案.doc

目 录第一部分 投标函2第二部分 投标保证书3第三部分 总体技术方案4第1章 概述4第2章 总体设计4第3章 营销保证6第4章 工程升级6第四部分 培训8第一部分 投标函第二部分 投标保证书第三部分 总体技术方案目 录第1章 概述61.1 网络安全建设需求61.2 网络安全现状及分析61.3 千兆防火墙需求分析81.4 防火墙实施的目的81.4.1 防火墙选择的依据91.4.2 防火墙安全策略设计的依据10第2章 百兆防火墙方案设计122.1 银电联网百兆防火墙配置方案122.1.1 AS-F100-PRO-NV技术指标122.1.2 银电联防火墙部署方案172.1.3 防火墙作用182.2 广域网百兆防火墙配置方案212.2.1 AS-F300-PRO-NV技术指标212.2.2 广域网百兆防火墙部署方案252.2.3 防火墙作用262.3 湖北各地市百兆防火墙的部署（银电百兆+广域百兆）302.3.1 十堰供电公司防火墙部署302.3.2 咸宁供电公司防火墙部署302.3.3 随州供电公司防火墙部署312.3.4 襄樊供电公司防火墙部署312.3.5 孝感供电公司防火墙部署322.3.6 鄂州供电公司防火墙部署322.3.7 黄石供电公司防火墙部署332.3.8 荆门供电公司防火墙部署332.3.9 荆州供电公司防火墙部署342.3.10 武汉供电公司防火墙部署342.4 百兆防火墙流量Cos/Qos设计352.5 百兆防火墙的流量监控及日志分析设计362.5.1 实时流量监控功能362.5.2 丰富的日志功能392.5.3 强大日志分析功能412.6 百兆防火墙的集中管理功能462.7 百兆防火墙其他功能48第3章 网络升级方案513.1 割接前准备工作523.2 割接步骤一城网核心交换机上线533.3 割接步骤二营销千兆防火墙上线543.4 割接步骤三营销业务网设备增加冗余链路并网553.5 割接步骤四新增银行百兆防火墙上线563.6 割接步骤五切换对银行业务链路573.7 割接步骤六新增链路到营销核心交换机583.8 割接步骤七裁剪原服务器与营销核心交换机连接593.9 割接步骤八新增广域网百兆防火墙和接入交换机603.10 割接步骤九切换对省电力网的设备61第4章 百兆防火墙点对点技术应答624.1 银行联网百兆防火墙点对点应答书624.2 ATM广域网百兆防火墙点对点应答68第5章 百兆防火墙技术差异表77第1章 概述1.1 网络安全建设需求为建立科学、有效的电费帐务管理，湖北省电力公司在全省十二个地市公司(武汉、黄石、鄂州、黄冈、咸宁、孝感、荆州、荆门、宜昌、十堰、襄樊、随州)实施电费帐务集中的项目，提高企业竞争力。为满足电费帐务集中管理项目的高可靠性、高安全性运行要求，决定对全省十二个地市公司的网络系统、机房设施进行改造升级。本次招标为湖北省电力公司下属十二个地市公司电力营销管理信息系统(以下简称电力营销系统)电费帐务集中网络安全改造项目，改造的内容为地市供电公司网络中心网络系统、UPS电源、防火墙，以及县（市）供电公司网络设备。1.2 网络安全现状及分析湖北省电力公司已经建成了ATM622M为核心155M为骨干的全省广域网络，广域网设备主要采用北电PASSPORT6480和PASSPORT15000；全省十二个地市供电公司建成了以千兆为骨干的城域网网络，城域网设备有11个地市公司采用北电PASSPORT8600系列交换机，武汉采用CISCO6500系列交换机；城域网核心千兆交换机加ATM模块与广域网直接连接，采用的协议是基于ATM PVC的RFC1483 Routing方式，即在ATM PVC的两端采用RFC1483路由方式封装IP包，这样passport8610或catalyst6509均对已做的ATM PVC逻辑端口配置相应的广域网IP地址，并且配置相应的OSPF路由协议；各地市配置了一台千兆NETSCREEN500防火墙保护服务器区域，还配备了其它安全手段（百兆防火墙、企业级防病毒系统、入侵检测系统、流量检测系统等）。我们根据对湖北电力系统业务数据流的分析，我们把目前的网络划分5个业务区，如下图：1. 一区营销业务网：是本次改造的重点，将由营销服务器组和相关的千兆网络构成。所有的营销、电费管理的数据处理在这里完成，从安全的角度来看是最重要的部分。2. 二区地市电力公司城域网络，这个区域网络结构各个地市差异很大，环网和星形网络结构都存在，组网技术基本上是千兆以太网。3. 三区县电力公司的城域网络，县区的网络主要是通过千兆方式直接接入到地市电力公司城域网的核心设备上面。4. 四区省电力公司ATM网络，是湖北省电力公司的ATM承载网，连接全省的各个地区的网络。5. 五区对银行业务数据网，处理与各个银行间的资金数据。各个直接业务区之间数据进行交换必须在严格的安全控制之下。因此我们在一区与五区之间架设防火墙、一区与二区之间架设防火墙、四区与二区之间架设防护墙。目前主要的安全问题在于：1. 单点失效问题。在一区与五区、一区与二区之间已经架设单台防火墙，当防火墙发生故障或者链路发生故障的时候，整个营销业务完全中断。目前各个电力公司的营销业务、日常办公业务、以及其他电力业务完全在这个数据网上，因此解决单点失效问题非常重要。2. 四区和二区安全无保障。在这两个区域之间没有防火墙等任何安全设备。网络病毒、蠕虫等攻击泛滥，极大的影响了网络的使用效率和安全性，容易爆发大规模的网络DOS攻击，造成网络的拥塞甚至瘫痪。2004年7月底我们协助处理湖北省电力公司中心网络的网络故障时，在广域网汇聚的PP8610上配置了一些流量过滤策略，将这些策略配置到与广域ATM网和专线网等互联的端口上，这些过滤策略主要禁止了如下的容易引发病毒的常见端口：TCPUDP主要防止的典型病毒135445143455541351371391434冲击波震荡波SQL Slammer记录24小时的过滤情况如下：端口过滤包总计过滤字节总计TCP 445415733142942043072TCP 135166786571138079004UDP 139185UDP 143450934647UDP 13500UDP 13786577792894292TCP 143496362468TCP 555427518162由上表可见，只在交换机的部分端口上设置了部分病毒的过滤规则，在24小时内就有59,119,496个网络攻击包被截获，过滤的字节为4173M。由此可见目前网络内部的病毒和蠕虫肆虐，极大的影响了网络的运行效率，给正常的业务运营带来了很大的安全隐患。在本方案中我们重点解决单点失效的问题，也就是增加新的千兆防火墙。1.3 百兆防火墙需求分析1.4 防火墙实施的目的湖北省电力信息广域网网络系统的建立为用户带来极大的方便性。但随着网络应用的扩大，网络安全风险也变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外，加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险可谓日益加重。例如： 入侵者通过对内部网重要服务器进行DOS（拒绝服务攻击）DDOS（分布式拒绝服务攻击），使得服务器拒绝服务甚至系统瘫痪。 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。 入侵者通过scanner等扫描程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。 入侵者利用网络中某台服务器（主机）开放的端口，系统的漏洞等因素入侵这台服务器（主机），肆意的窃取、修改、删除这台计算机的资料、信息。同时入侵者还会把木马等程序拷到这台计算机上，为下一次入侵打开一扇便利之门。之后黑客还会把已入侵过的主机作为跳板，通过它入侵系统内部的其他主机和服务器。 入侵者通过扫描发现公司网络中的某台计算机的管理员口令弱，利用专用的黑客字典进行暴力攻击，探出管理员的密码，然后利用正常的方法远程登陆到这台计算机上，在远程对此台计算机进行控制（包括窃取、修改、删除资料和上传木马程序、远程定时启动木马程序、制作跳板等）。 入侵者通过扫描发现公司网络中的某台服务器上的普通用户口令弱或者允许匿名登陆，它会通过暴力攻击破解普通用户的口令或者匿名登陆到服务器上，然后窃取用户和加密口令文件（例如：NT的此文件保存在Registry中的SAM文件中）。然后利用同样的加密方法（例如：NT系统用RSA MD4加密）在本地对此加密文件进行破解，从而获得管理员口令，在远程对此台计算机完全控制。 入侵者还可以通过其他黑客软件进行普通用户到管理员的权限的提升。（例如：GetAdmin、PipeUpAdmin、Enum等），此外入侵者还可能通过其他方式入侵公司网络中的服务器、主机。总之，无论入侵者通过何种方式入侵了某台计算机它不但对该计算机的资源进行窃取、破坏外，他还可以通过该台计算机作为跳板入侵公司网络中的其他计算机。为了防止以上各种不安全事故的发生，就必须在网络安全规划时，把防火墙的使用放在首位来考虑。1.4.1 防火墙选择的依据在选择一款防火墙的时候，应该考虑到满足安全性要求、可用性要求和可靠性要求，针对湖北省电力信息广域网的具体情况，我们给出一些参考建议：1. 防火墙的吞吐量吞吐量是指防火墙在不丢包的情况下能够达到的最大包转发速率。随着Internet的日益普及，内部网用户访问Internet的需求在不断增加，一些企业也需要对外提供诸如WWW页面浏览、FTP文件传输、DNS域名解析等服务，这些因素会导致网络流量的急剧增加，而防火墙作为内外网之间的唯一数据通道，如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输效率带来负面影响。因此，考察防火墙的吞吐能力有助于我们更好的评价其性能表现。2. 延时现在网络的应用种类非常复杂，许多应用对延迟非常敏感（例如：音频、视频等），而网络中加入防火墙必然会增加传输延迟，所以较低的延迟对防火墙来说也是不可或缺的。3. 最大并发连接数并发连接数也是衡量防火墙性能的一个重要指标。最大并发连接数指的是防火墙能够同时处理的点对点连接的最大数目。它反映了防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，以及防火墙对业务信息流的处理能力。这个参数的大小会直接影响到防火墙所能支持的最大信息点数。4. 平均无故障时间 平均无故障时间（MTBF）是指系统平均能够正常运行多长时间，才发生一次故障。系统的可靠性越高，平均无故障时间越长。这也是用户在选择产品的重要依据之一。防火墙必须具有强大的防御能力，可以防御常见的各种攻击行为。将一些主要攻击在防火墙上阻止掉，也可以减轻内部的IDS系统的负载压力。5. 适用和实用的功能作为网络安全产品，功能的适用和实用是最为重要的。过多的功能会影响防火墙的整体性能，降低数据处理的效率。造成用户投资的浪费。防火墙应该便于管理，具有远程集中管理的功能是现代网络管理中必不可少的，也是现代网络管理的发展趋势。1.4.2 防火墙安全策略设计的依据防火墙运用的好与坏，主要取决于网络管理员对安全策略设计得是否严谨。许多非法通讯，都是通过安全策略设计上的漏洞而得以实现的。因此，要根据防火墙所处的网络位置，针对可能发生的通讯服务，进行安全策略设计。在进行防火墙安全策略设计和规划时，应遵循以下几方面：1. 需求、风险、代价平衡对任一网络，绝对安全难以达到。对一个网络要进行实际的研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定相应的规范和措施，确定系统的安全策略。2. 综合性、整体性应运用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业技术措施（访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等）。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节，包括个人（使用、维护、管理）、设备（含设施）、软件（含应用系统）、数据等，在网络安全中的地位和影响作用，只有从系统整体的角度去看待、分析，才可能得到有效、可行的安全措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。3. 易操作性安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。4. 适应性及灵活性安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级。5. 多重保护任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。第2章 百兆防火墙方案设计2.1 银电联网百兆防火墙配置方案对于湖北电力网此次银电联网百兆防火墙的选型，我们根据网络情况、标书要求以及防火墙设计的“需求、风险、代价平衡”的原则，我们推荐使用阿姆瑞特公司的AS-F100-PRO-NV防火墙作为银电联网防火墙。2.1.1 AS-F100-PRO-NV技术指标在银电联网方面，我们推荐使用阿姆瑞特公司的AS-F100-PRO-NV防火墙，此防火墙为一款中型企业级百兆防火墙产品，它具有200Mbps的吞吐量和高达20万的并发连接数。功能上据有多种访问控制、应用网关、OSPF、VLAN 路由、VLAN TRUNK等多种高级功能，完全满足标书中对百兆防火墙的要求（请参见百兆防火墙点对点应答部分），具体功能、性能指标请参见下表：AS - F100 Pro-NV性 能并发连接数200,000吞吐量 (Mbps)200网 络 接 口100BASE-T (RJ-45)41000BASE-T (RJ-45)-1000BASE-SX (LC)-1000BASE-LX (LC)-防火墙接口数量4对称式设计VLAN (IEEE 802.1Q) 支持VLAN 数量256每个 VLAN 的访问和带宽控制接口组定义访 问 控 制最大规则数量16,000预定义的 UDP/TCP/IP 服务过滤IP子协议过滤TCP/UDP 端口过滤源/目的的端口,端口范围预定义 ICMP 消息类型Echo Request, Echo Reply, Destination unreachable,Source Quenching, Redirect, Time Exceeded, Parameter Problem自定义 ICMP 消息自定义 ICMP 代码预定义服务FTP 代理 (应用层网关)H.323代理(应用层网关)随机额TCP ISN地 址 转 换NAT(符合RFC 1631标准)SAT (静态地址转换)针对规则的地址转换多对一的地址SAT地址解析和路由静态 IP 地址IP 地址范围对的动态路由协议的支持OSPF双WAN链路间的接口备份静态 ARP 数量1,024在 ARP 中试用动态发布的 IP 地址在 ARP 中试用动态发布的 MAC 地址虚拟路由器IP和MAC地址绑定ARP 代理DHCP 中继代理DHCP 客户端静态路由路由数量128基于规则的路由一致性检测和强大的防御功能非法地址检测IP 校验和检测TTL 控制IP 包长度一致性检查IP 源路由项检查IP Timestamp 检查IP 包错误选项检查IP 包保留标志位检查TCP Blind Spoofing 保护TCP 包头的选项长度检查TCP MSS 控制TCP 可选条件下的 ACK 标志位检查TCP Timestamp 检查TCP 校验和检查TCP Connection CountTCP 错误选项检查TCP 标志位组合检查TCP 保留字段检查TCP 空包检查ICMP 相应控制防止 ARP 欺诈严格的接口匹配连接超时控制负载大小控制分段重组时间控制对非法分段的检查重复段的检查分段的 ICM 包控制宽 带 管 理操作模式管道优先级每个管道具有8个优先级可应用的限制宽带, 每秒数据 (IP) 包数粒度每条规则 / 1 Kbps / 1 pps流量平衡管道链高 可 用 性 (HA)高可用性支持状态同步VPN 同步设备故障检测同步的方法防火墙上任意以太网接口平均故障恢复时间 (ms) 800日 志网络日志存储本地日志存储-阿姆瑞特日志服务器Microsoft Windows NT, 2000, XPSyslog实时日志查看器最大日志服务器数量8日志服务器分组针对非条规则记录日志Drop Entry Byte Dump (150 bytes)自动压缩日志文件日志文件包装图形化日志分析器包含在阿姆瑞特防火墙管理工具中基于命令行的日志查询工具Microsoft Windows, Linux日志文件导出格式CSVNetIQ WebTrends 支持防火墙监控实时性能监视包含在阿姆瑞特防火墙管理工具中SNMP Polling可监视的项CPU Load, Forwarded bps, Forwarded pps, Buffer usage, Connection, Rule usage, pps in/out/total per interface/VLAN/VPN Tunnel/Pipe, bps in/pout/total per interface/VLAN/VPN Tunnerl/Pipe, Drops, IP errors, Send fails, ICMP received, Frags received, Frag reass OK, Frag reass fail, Num users, Dyn Limit bps, Delayed Packets, Dropped Packets, Dyn User Limit Bps, Rx/Tx Ring Counters防火墙管理本地控制口管理RS232本地控制口认证Password集中图形化管理阿姆瑞特防火墙管理工具 可运行于 Windows98, ME,NT, 2000, XP 等操作系统远程管理加密算法CAST-128，SHA-1远程管理认证Yarrow-generated PSK, 源网络接口和源 IP 地址自动防故障操作恢复到最近一次的正确配置多重管理是管理员限制无限制管理多台防火墙是可管理的防火墙数量32.768管理网络不限制配置文件版本的修改历史Complete configurations配置文件集中归档是防火墙内核升级通过认证和加密方式进行远程升级记忆命令行的远程管理Microsoft Windows, Linux其 它 的内核体系结构阿姆瑞特专用硬件平台操作系统无 引导媒体PC-card Flash Disk规 格高44mm宽 435mm深320mm总重量3.5kg能否安装到机构-电源110-240 VAC 50/60 Hz冗余电源,热切换-平均无故障时间 MTBF (Bellocor Model)30,000 hr说明: - 表示没有此项功能 表示有此项功能本技术规范适用于阿姆瑞特防火墙 V8.50.00版本版本更新时间: 2005.01.012.1.2 银电联防火墙部署方案在各大银行与湖北电力各省市营销网络之间的访问控制，推荐使用两台阿姆瑞特AS-F100-PRO-NV防火墙作双机热备，同时开启链路备份功能，保证网络不会出现单点故障。在各大银行与湖北电力各省市营销网络之间，推荐使用两台AS-F100-PRO-NV防火墙作双机热备。对于已经拥有东软Neteye4032防火墙的地市，我们赠送一台AS-F100_Pro-NV，根据统计共计5台。防火墙放置于银行互联三层交换机于应用服务器三层交换机之间，并且阿姆瑞特AS-F100-PRO-NV防火墙A与阿姆瑞特AS-F100-PRO-NV防火墙B工作在双机热备的状况，并且开启链路备份功能，从而保证网络中任何一台设备或者任何一条链路发生问题都不会对数据包流向产生影响，从而避免了网络中的单点故障问题。此外，根据实际的情况设置好对应的访问控制规则，从而保证从各大银行访问营销服务器的安全性。对于银行前置机，我们建议设立单独的DMZ区域加以保护，而不是把他们毫无安全控制的暴露在银行网络面前。结构如下图所示： 2.1.3 防火墙作用防火墙放置在核心三层交换机和应用服务器三层中心交换机之间，所有到达银行前置机、营销业务服务器的数据包的访问都经过防火墙的检查、过滤，使得所有的访问都是安全管理员所制定的、认可的行为。防范不安全的非法访问以及恶意攻击。在实际的应用过程中，根据实际应用以及安全需求，配置防火墙，防火墙将依据这些安全策略严格把守进出网络的通道，真正做到保护网络安全的作用。在安装配置防火墙系统时，必须详细了解清楚用户网络应用情况以及安全需求情况后，认真、细致地制定安全访问规则。以至防火墙真正起到安全防作用的同时，不至于影响网络的正常应用。以下是对防火墙的一些安全策略。仅供了解及参考。 安全访问规则设计湖北省电力公司各地市营销业务网络于银行网络之间安装防火墙后，能够实现与用户访问营销网络的隔离，所有对营销网络的访问都必须通过防火墙，通过在防火墙上设置规则，只允许用户访问营销网络服务器的特定端口，其他端口全部屏蔽，这样在保证应用正常的基础上，起到安全的作用。阿姆瑞特防火墙对数据包进行状态检测过滤，不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制，而且能够记录通过防火墙的连接状态，直接对分组里的数据进行处理；具有完备的状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全的过滤。阿姆瑞特防火墙能够根据数据包报头进行以下控制： 源和目的地址 源和目的接口 欺诈”的IP地址 IP协议号 TCP和UDP端口号 ICMP信息类型 已建立的/新连接 IP和TCP中都有的选项类型 IP和TCP标记组合 叠加或非法的段 VLAN标识 路由协议 IPSEC、PPTP、L2TP等协议支持双机热备为了保证网络的高可用性与高可靠性，阿姆瑞特防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。当一台防火墙发生意外宕机、网络故障、硬件故障等情况时，另一台防火墙自动切换工作状态，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间在0.6秒之内。同时防火墙还可以实现状态表传送，当一台防火墙故障时，这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上，用户不会觉察到。支持接口备份阿姆瑞特防火墙除了支持双机热备外，还支持链路备份。当连接防火墙的某条线路端掉，或者某个接口出现故障，防火墙同样可以察觉，并进行切换，从而保证网络的应用。同双机热备一样，防火墙在作接口备份的时候切换时间为0.6秒，同时防火墙还可以实现状态表传送，从而保证了用户数据的高效的通讯。全面支持VLAN阿姆瑞特防火墙能够支持802.1Q封装协议，也就是说可以把防火墙架设在划分VLAN的交换机与交换机或交换机与路由器之间。当使用802.1Q协议时，防火墙还能够利用代理路由功能代替路由器实现VLAN间的数据包转发，这样可以使系统具有更好的性能（因为包传输的路径更短了）；每一个VLAN在防火墙的配置中将出现一个虚拟接口，这样可以与物理存在的网卡一样进行具体的过滤并控制带宽，从而具有更高的安全性和配置灵活性。 支持VLAN间路由 支持VLAN的Trunk(802.1q) 支持VLAN的透明穿透 抵抗攻击规则设计恶意的用户可能对湖北省电力公司各地市业务服务器进行各种各样的攻击，通过在防火墙上设置相应的规则，可以抵御或者阻止这些攻击。例如： 抗DOS/DDOS攻击拒绝服务攻击（DOS）、分布式拒绝服务攻击（DDOS）就是攻击者过多的占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制，防止DOS黑客攻击。所以通过防火墙上进行规则设置，规定防火墙在单位时间内接到同一个地址的TCP全连接、半连接的数量，如果超出这个数量便认为是DOS/DDOS攻击，防火墙在设定的时间内就不接受来自于这个地址的数据包，从而抵御了DOS/DDOS攻击。 防止入侵者的扫描大多数黑客在入侵之前都是通过对攻击对象进行端口扫描，收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息，然后再展开相应的攻击。通过防火墙上设置规则：如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接，便认为是扫描行为，断定这个连接。从而防止入侵者的扫描行为，把入侵行为扼杀在最初阶段。 防止源路由攻击源路由攻击是指黑客抓到数据包后改变数据包中的路由选项，把数据包路由到它可以控制的一台路由器上，进行路由欺骗或者得到该数据包的返回信息。通过在防火墙上配置规则，禁止TCP/IP数据包中的源路由选项，防止源路由攻击 防止IP碎片攻击IP碎片攻击是指黑客把一个攻击数据包中的分成多个数据据包，从而隐藏了该数据包的攻击特征。通过在防火墙上设置规则防火墙在进行检查之前必须将IP分片重组为一个IP报文，而且这个报文必须具有一个最小长度以包含必要的信息以供检查，从而防止了IP碎片攻击。 防止ICMP/IGMP攻击许多拒绝服务攻击是通过发送大量的ICMP数据包、IGMP数据包实现的。通过在防火墙上设置规则，禁止ICMP/IGMP数据包的通过防火墙，保证系统的安全。 提供实时监控、审计和告警防火墙提供对网络的实时监控，当发现攻击和危险代码时，防火墙提供告警功能。2.2 广域网百兆防火墙配置方案对于湖北电力网此次广域网百兆防火墙的选型，我们根据网络情况、标书要求以及防火墙设计的“需求、风险、代价平衡”的原则，我们推荐使用阿姆瑞特公司的AS-F300-PRO-NV防火墙作为银电联网防火墙。2.2.1 AS-F300-PRO-NV技术指标在广域网方面，我们推荐使用阿姆瑞特公司的AS-F300-PRO-NV防火墙，此防火墙为一款大中型企业级百兆防火墙产品，它具有400Mbps的吞吐量和高达32万的并发连接数。功能上据有多种访问控制、应用网关、OSPF、VLAN 路由、VLAN TRUNK等多种高级功能，完全满足标书中对百兆防火墙的要求（请参见百兆防火墙点对点应答部分），具体功能、性能指标请参见下表：AS - F300 Pro-NV性 能并发连接数320,000吞吐量 (Mbps)400网 络 接 口100BASE-T (RJ-45)51000BASE-T (RJ-45)-1000BASE-SX (LC)-1000BASE-LX (LC)-防火墙接口数量5对称式设计VLAN (IEEE 802.1Q) 支持VLAN 数量512每个 VLAN 的访问和带宽控制接口组定义访 问 控 制最大规则数量2,000预定义的 UDP/TCP/IP 服务过滤IP子协议过滤TCP/UDP 端口过滤源/目的的端口,端口范围预定义 ICMP 消息类型Echo Request, Echo Reply, Destination unreachable,Source Quenching, Redirect, Time Exceeded, Parameter Problem自定义 ICMP 消息自定义 ICMP 代码预定义服务FTP 代理 (应用层网关)H.323代理(应用层网关)随机额TCP ISN地 址 转 换NAT(符合RFC 1631标准)SAT (静态地址转换)针对规则的地址转换多对一的地址SAT地址解析和路由静态 IP 地址IP 地址范围对的动态路由协议的支持OSPF双WAN链路间的接口备份静态 ARP 数量1,024在 ARP 中试用动态发布的 IP 地址虚拟路由器在 ARP 中试用动态发布的 MAC 地址IP和MAC地址绑定ARP 代理DHCP 中继代理DHCP 客户端静态路由路由数量512基于规则的路由一致性检测和强大的防御功能非法地址检测IP 校验和检测TTL 控制IP 包长度一致性检查IP 源路由项检查IP Timestamp 检查IP 包错误选项检查IP 包保留标志位检查TCP Blind Spoofing 保护TCP 包头的选项长度检查TCP MSS 控制TCP 可选条件下的 ACK 标志位检查TCP Timestamp 检查TCP 校验和检查TCP Connection CountTCP 错误选项检查TCP 标志位组合检查TCP 保留字段检查TCP 空包检查ICMP 相应控制防止 ARP 欺诈严格的接口匹配连接超时控制负载大小控制分段重组时间控制对非法分段的检查重复段的检查分段的 ICM 包控制宽 带 管 理操作模式管道优先级每个管道具有8个优先级可应用的限制宽带, 每秒数据 (IP) 包数粒度每条规则 / 1 Kbps / 1 pps流量平衡管道链高 可 用 性 (HA)高可用性支持状态同步设备故障检测同步的方法防火墙上任意以太网接口平均故障恢复时间 (ms) 600日 志网络日志存储本地日志存储-阿姆瑞特日志服务器Microsoft Windows NT, 2000, XPSyslog实时日志查看器最大日志服务器数量8日志服务器分组针对非条规则记录日志Drop Entry Byte Dump (150 bytes)自动压缩日志文件日志文件包装图形化日志分析器包含在阿姆瑞特防火墙管理工具中基于命令行的日志查询工具Microsoft Windows, Linux日志文件导出格式CSVNetIQ WebTrends 支持防火墙监控实时性能监视包含在阿姆瑞特防火墙管理工具中SNMP Polling可监视的项CPU Load, Forwarded bps, Forwarded pps, Buffer usage, Connection, Rule usage, pps in/out/total per interface/VLAN/VPN Tunnel/Pipe, bps in/pout/total per interface/VLAN/VPN Tunnerl/Pipe, Drops, IP errors, Send fails, ICMP received, Frags received, Frag reass OK, Frag reass fail, Num users, Dyn Limit bps, Delayed Packets, Dropped Packets, Dyn User Limit Bps, Rx/Tx Ring Counters防火墙管理本地控制口管理RS232本地控制口认证Password集中图形化管理阿姆瑞特防火墙管理工具 可运行于 Windows98, ME,NT, 2000, XP 等操作系统远程管理加密算法CAST-128，SHA-1远程管理认证Yarrow-generated PSK, 源网络接口和源 IP 地址自动防故障操作恢复到最近一次的正确配置多重管理是管理员限制无限制管理多台防火墙是可管理的防火墙数量32.768管理网络不限制配置文件版本的修改历史Complete configurations配置文件集中归档是防火墙内核升级通过认证和加密方式进行远程升级记忆命令行的远程管理Microsoft Windows, Linux其 它 的内核体系结构阿姆瑞特专用硬件平台操作系统无 引导媒体PC-card Flash Disk规 格高44mm宽 435mm深350mm总重量3.5kg能否安装到机构-电源110-240 VAC 50/60 Hz冗余电源,热切换-平均无故障时间 MTBF (Bellocor Model)40,000 hr说明: - 表示没有此项功能 表示有此项功能本技术规范适用于阿姆瑞特防火墙 V8.50.00版本版本更新时间: 2005.01.012.2.2 广域网百兆防火墙部署方案在省电力公司与湖北电力各市电力公司网络之间的访问控制，推荐使用一台阿姆瑞特AS-F300-PRO-NV防火墙作访问控制。在省电力公司与湖北电力各市电力公司网络之间的访问控制，推荐使用一台AS-F300-PRO-NV防火墙作访问控制。防火墙放置于广域网与各市电力系统网络之间，从而保证省电力公司与地市电力公司之间的访问、各地市电力公司之间相互访问的安全性。广域网防火墙配置示意图如下：结构如下图所示： 2.2.3 防火墙作用防火墙放置在广域网和地市局域网之间，所有从省电力公司与地市电力公司之间的访问、各地市电力公司之间相互访问的数据包的访问都经过防火墙的检查、过滤，使得所有的访问都是安全管理员所制定的、认可的行为。防范不安全的非法访问以及恶意攻击。在实际的应用过程中，根据实际应用以及安全需求，配置防火墙，防火墙将依据这些安全策略严格把守进出网络的通道，真正做到保护网络安全的作用。在安装配置防火墙系统时，必须详细了解清楚用户网络应用情况以及安全需求情况后，认真、细致地制定安全访问规则。以至防火墙真正起到安全防作用的同时，不至于影响网络的正常应用。以下是对防火墙的一些安全策略。仅供了解及参考。 安全访问规则设计湖北省广域网安装防火墙后，能够实现省电力公司与地市电力公司之间的访问、各地市电力公司之间相互访问的数据包的访问的隔离，所有对业务服务器的访问都必须通过防火墙，通过在防火墙上设置规则，只允许相应的源地址用户访问相应目标地址服务器或主机的特定端口，其他端口全部屏蔽，这样在保证应用正常的基础上，起到安全的作用。阿姆瑞特防火墙对数据包进行状态检测过滤，不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制，而且能够记录通过防火墙的连接状态，直接对分组里的数据进行处理；具有完备的状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过，通过连接状态进行更迅速更安全的过滤。阿姆瑞特防火墙能够根据数据包报头进行以下控制： 源和目的地址 源和目的接口 欺诈”的IP地址 IP协议号 TCP和UDP端口号 ICMP信息类型 已建立的/新连接 IP和TCP中都有的选项类型 IP和TCP标记组合 叠加或非法的段 VLAN标识 路由协议 IPSEC、PPTP、L2TP等协议支持双机热备为了保证网络的高可用性与高可靠性，阿姆瑞特防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。当一台防火墙发生意外宕机、网络故障、硬件故障等情况时，另一台防火墙自动切换工作状态，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间在0.6秒之内。同时防火墙还可以实现状态表传送，当一台防火墙故障时，这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上，用户不会觉察到。支持接口备份阿姆瑞特防火墙除了支持双机热备外，还支持链路备份。当连接防火墙的某条线路端掉，或者某个接口出现故障，防火墙同样可以察觉，并进行切换，从而保证网络的应用。同双机热备一样，防火墙在作接口备份的时候切换时间为0.6秒，同时防火墙还可以实现状态表传送，从而保证了用户数据的高效的通讯。全面支持VLAN阿姆瑞特防火墙能够支持802.1Q封装协议，也就是说可以把防火墙架设在划分VLAN的交换机与交换机或交换机与路由器之间。当使用802.1Q协议时，防火墙还能够利用代理路由功能代替路由器实现VLAN间的数据包转发，这样可以使系统具有更好的性能（因为包传输的路径更短了）；每一个VLAN在防火墙的配置中将出现一个虚拟接口，这样可以与物理存在的网卡一样进行具体的过滤并控制带宽，从而具有更高的安全性和配置灵活性。 支持VLAN间路由 支持VLAN的Trunk(802.1q) 支持VLAN的透明穿透 抵抗攻击规则设计恶意的用户可能对湖北省电力公司各地市业务服务器进行各种各样的攻击，通过在防火墙上设置相应的规则，可以抵御或者阻止这些攻击。例如： 抗DOS/DDOS攻击拒绝服务攻击（DOS）、分布式拒绝服务攻击（DDOS）就是攻击者过多的占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制，防止DOS黑客攻击。所以通过防火墙上进行规则设置，规定防火墙在单位时间内接到同一个地址的TCP全连接、半连接的数量，如果超出这个数量便认为是DOS/DDOS攻击，防火墙在设定的时间内就不接受来自于这个地址的数据包，从而抵御了DOS/DDOS攻击。 防止入侵者的扫描大多数黑客在入侵之前都是通过对攻击对象进行端口扫描，收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息，然后再展开相应的攻击。通过防火墙上设置规则：如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接，