计算机专网安全产品解决方案网络防火墙.doc

宁波市政府宁波市政府 计算机专网安全产品解决方案计算机专网安全产品解决方案 （网络防火墙）（网络防火墙） 方正数码有限公司方正数码有限公司 2002 年 2 月 1.背景介绍背景介绍.5 1.1.项目总述.5 1.2.网络环境总述.5 1.3.业务现状.6 1.4.网络信息安全概况.7 1.4.1.网络安全现状.8 1.4.2.典型的黑客攻击.8 1.4.3.网络与信息安全平台的任务.10 2.安全架构分析与设计安全架构分析与设计.11 2.1.网络整体结构.11 2.1.1.宁波在全国政府专网中的位置.12 2.1.2.光纤网络平台.12 2.2.宁波政府专网安全风险分析.14 2.2.1.主要应用服务的安全风险.14 2.2.2.网络中主要系统的安全风险.15 2.2.3.数据库系统安全分析.16 2.2.4.Unix系统的安全分析.16 2.2.5.Windows NT系统的安全分析.17 2.2.6.管理系统的安全风险.17 2.3.宁波政府专网安全风险解决方案设计的原则和目标.18 2.3.1.网络安全解决方案的组成.19 2.3.2.超高安全要求下的网络保护.21 2.4.防火墙选型.22 2.5.防火墙设置及工作模式.23 2.6.防火墙功能设置及安全策略.23 2.6.1.完善的访问控制.23 2.6.2.内置入侵检测（IDS）.24 2.6.3.代理服务.24 2.6.4.日志系统及系统报警.24 2.6.5.带宽分配，流量管理.25 2.6.6.H.323支持.25 2.6.7.系统升级.25 2.6.8.双机备份.26 2.6.9.防火墙方案特点.26 2.7.防火墙整体布局.27 2.8.宁波市政府系统计算机专网核心节点市政府办公厅网络.28 2.9.各区及委、办、局的安全网络.28 2.10.集中管理和分级管理.29 3.产品选型产品选型.30 3.1.防火墙与入侵检测的选型.30 3.1.1.方正数码公司简介.30 3.2.方正方御防火墙（100M）.31 3.2.1.产品概述.31 3.2.2.系统特点.31 3.2.3.方御防火墙（百兆）的性能.35 3.2.4.方正方御防火墙功能说明.36 3.3.方正方御防火墙（1000M）.47 3.3.1.产品概述.47 3.3.2.系统特点.48 3.3.3.方正方御千兆防火墙功能说明.49 3.3.4.方御防火墙（千兆）的性能.59 4.工程实施方案工程实施方案.61 4.1.合同签订阶段的工作实施.61 4.2.发货阶段的实施.62 4.3.到货后工作的实施.63 4.4.测试及验收.64 4.4.1.测试及验收描述.64 4.5.系统初验.65 4.5.1.功能测试.65 4.5.2.性能测试.65 4.5.3.实施人员.65 5.培训方案培训方案.66 5.1.培训目标.66 5.2.培训课程.66 5.3.培训方式.66 5.4.培训时长.66 5.5.培训地点.66 5.6.培训人数.67 5.7.培训讲师.67 5.8.入学要求.68 6.售后服务和技术支持售后服务和技术支持.69 6.1.售后服务内容.69 6.2.保修.70 6.3.保修方式.71 6.4.保修范围.71 6.5.保修期的确认.72 6.6.全国服务网络.72 6.7.场地及环境准备.72 6.7.1.常规要求.72 6.7.2.机房电源、地线及同步要求.73 6.7.3.设备场地、通信.73 6.7.4.机房环境.73 6.8.验收清单.75 6.8.1.设备开箱验收清单.75 6.8.2.用户信息清单.75 6.8.3.用户验收清单.76 7.方案整体优势方案整体优势.78 8.方正方御防火墙荣誉证书方正方御防火墙荣誉证书.79 1. 背景介绍背景介绍 1.1.项目总述项目总述 政府专网是宁波市政府信息化建设的基础工程，是以宁波市政府东、北大 院计算机局域网为核心，以宽带光纤网络为通信平台，围绕业务管理、数据交 换、语音通信、重大事件处理、视频会议等应用，覆盖宁波市各县（市） 、区政 府，市政府各部门，市委办、人大办、政协办及市委各工作部门等，并与全国、 全省政府专网联接，共约 122 个节点的城域网。 政府专网是独立于公共网络之外的政府系统专用网络，物理上与外部公共 网络隔离。专网内部进行逻辑分割，采用防火墙隔离、审计检测等措施，建立 有效的网络安全防范体系，以满足国家党政机关网络可传送普密级信息的通信 安全保密要求。 政府专网涉及范围广，建设要求高，需分期分批进行建设。整个建设周期 分为二期，第一期 41 个节点于 2002 年 2 月底前完成，第二期约 81 个节点于 2002 年完成。目前已经完成网络平台、系统集成、系统商务标的招投标工作， 正在抓紧进行网络平台建设及相关设备的订购采购工作。政府专网建成后，将 极大地促进政府业务规范化、办公自动化、管理智能化、决策科学化、提高政 府机关办事工作效率，实现政府各部门以及上下级政府部门之间信息和资源的 共享。 1.2.网络环境总述网络环境总述 市区内采用千兆以太网技术，市区外采用 IP OVER SDH 传输技术，各节点 用物理光纤接入。政府专网以市政府办公厅为核心节点，在市区内采用 4 个汇 集点，各节点用物理光纤就近接入汇集点。在市区外利用网络供应商提供的 SDH 环路，各节点用物理光纤接入 SDH 环。核心节点与 SDH 环通过物理光纤连 接，把市内和市外两部分连通，组成完整的政府专网网络平台。总体结构请参 见网络总体拓扑图。 另外，省政府专网的光纤接入到 IBM2216 路由器，再经过防火墙（上海华 堂） ，以百兆方式接入核心节点的接入交换机。 国务院专网的帧中继专线接入到 CISCO 路由器，再经过防火墙（中科院的 安胜（ERCIST）防火墙） ，以百兆方式接入核心节点的接入交换机。 宁波市处理重大事件指挥中心（以下简称指挥中心）是一个独立的网段， 以多模光纤接入核心点的接入交换机，中间需以防火墙隔离。 市政府西大院所有单位作为一个节点，用 4 芯光纤接入汇集点。 政府专网采用 CISCO 的 WORKS2000 FOR NT 作为网管软件。 1.3.业务现状业务现状 首先，宁波市政府与上级政府部门的信息数据交换量非常大。一方面，国 务院、省政府需要宁波市政府上报大量信息，如地方经济运行状况、经济规划、 社会治安情况等；另一方面，宁波市政府也需要及时了解国家有关政策、法规 的最新情况。第二，宁波市政府与各县区政府数据交换量也相当大。第三，为 了切实做好政府各项综合管理工作，市政府要领导、安排、督促和协调政府各 职能部门工作，因此与各部门业务联系十分密切，信息交换量很大。第四，市 政府与市委、人大及政协系统之间信息交流也十分频繁。 1.宁波市与上级政府部门之间的信息交流以公文、通知通告、要闻信息等 文字资料为主。 2.宁波市政府系统（含与市委、人大、政协系统之间）内部信息交流内容， 主要有： 网上办公：公文及业务工作网上办理流转。 宏观信息：包括国际、国内、省内、省外、市内、市外宏观经济数据， 每日信息，重要会议，重大事件。 基本信息：包括市情、县情，各级领导情况，机构设置、直属机构设置、 编制、职能职责、联系电话、邮箱地址等。 通知通告：包括会议、学习、上报材料等通知，系统内的通报等。 工作动态：国家、省、市政府及政府有关部门的重要政策信息，政府内 部改革思路新经验等。 重大事件处理：综合治理、灾害、汛情、交通等方面的文字、图像及视 频信息。 政策法规：地方政策法规和国家、浙江省的政策法规 行业数据：科技、文化、教育、交通等方面的行业数据。 地理信息系统：规划、建筑、地形地貌等方面的数据，包括大型图片。 会计核算中心：财务数据 经济服务中心：批文、办事程序等数据 以上诸项信息内容除已说明以外，其余都为文字、数字等形式。 1.4.网络信息安全网络信息安全概况概况 目前，很多公开的新闻表明美国国家安全局（NSA）有可能在许多美国大 软件公司的产品中安装“后门” ，其中包括一些应用广泛的操作系统。为此德国 军方前些时候甚至规定在所有牵涉到机密的计算机里，不得使用美国的操作系 统。作为信息安全的保障，我们在安全产品选型时强烈建议使用国内自主开发 的优秀的网络安全产品，将安全风险降至最低。 在为各安全产品选型时，我们立足国内，同时保证所选产品的先进性及可 靠性，并要求通过国家各主要安全测评认证。 1.4.1. 网络安全现状网络安全现状 Internet 正在越来越多地融入到社会的各个方面。一方面，随着网络用户成 分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随 着 Internet 和以电子商务为代表的网络应用的日益发展，Internet 越来越深地渗 透到各行各业的关键要害领域。Internet 的安全包括其上的信息数据安全，日益 成为与政府、军队、企业、个人的利益休戚相关的“大事情” 。尤其对于政府和 军队而言，如果网络安全问题不能得到妥善的解决，将会对国家安全带来严重 的威胁。 2000 年二月，在三天的时间里，黑客使美国数家顶级互联网站 Yahoo!、Amazon、eBay、CNN 陷入瘫痪，造成了十几亿美元的损失，令美 国上下如临大敌。黑客使用了 DDoS（分布式拒绝服务）的攻击手段，用大量 无用信息阻塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的 时间里，又先后有微软、ZDNet 和 E*TRADE 等著名网站遭受攻击。 国内网站也未能幸免于难，新浪、当当书店、EC123 等知名网站也先后受 到黑客攻击。国内第一家大型网上连锁商城 IT163 网站 3 月 6 日开始运营，然 而仅四天，该商城突遭网上黑客袭击，界面文件全部被删除，各种数据库遭到 不同程度的破坏，致使网站无法运作。 客观地说，没有任何一个网络能够免受安全的困扰，依据 Financial Times 曾做过的统计，平均每 20 秒钟就有一个网络遭到入侵。仅在美国，每年由于网 络安全问题造成的经济损失就超过 100 亿美元。 1.4.2. 典型的黑客攻击典型的黑客攻击 黑客们进行网络攻击的目的各种各样，有的是出于政治目的，有的是员工 内部破坏，还有的是出于好奇或者满足自己的虚荣心。随着 Internet 的高速发展， 也出现了有明确军事目的的军方黑客组织。 在典型的网络攻击中，黑客一般会采取如下的步骤： 自我隐藏自我隐藏，黑客使用通过 rsh 或 telnet 在以前攻克的主机上跳转、通过错误 配置的 proxy 主机跳转等各种技术来隐藏他们的 IP 地址，更高级一点的黑客， 精通利用电话交换侵入主机。 网络侦探和信息收集网络侦探和信息收集，在利用 Internet 开始对目标网络进行攻击前，典型的 黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之 前首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表，通常 很容易建立一个主机列表并且开始了解主机之间的联系。黑客在这个阶段使用 一些简单的命令来获得外部和内部主机的名称：例如，使用 nslookup 来执行 “ls ” ， finger 外部主机上的用户等。 确认信任的网络组成确认信任的网络组成，一般而言，网络中的主控主机都会受到良好的安全 保护，黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击 的，一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通 过检查运行 nfsd 或 mountd 的那些主机输出的 NFS 开始入侵，有时候一些重要 目录（例如/etc，/home）能被一个信任主机 mount。 确认网络组成的弱点确认网络组成的弱点，如果一个黑客能建立你的外部和内部主机列表，他 就可以用扫描程序（如 ADMhack, mscan, nmap 等）来扫描一些特定的远程弱点。 启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运 行，因为ps和netstat都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后， 黑客就会对主机是否易受攻击或安全有一个正确的判断。 有效利用网络组成的弱点有效利用网络组成的弱点，当黑客确认了一些被信任的外部主机，并且同 时确认了一些在外部主机上的弱点，他们就要尝试攻克主机了。黑客将攻击一 个被信任的外部主机，用它作为发动攻击内部网络的据点。要攻击大多数的网 络组成，黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序， 这样的例子包括易受攻击的 Sendmail,IMAP,POP3 和诸如 statd,mountd, pcnfsd 等 RPC 服务。 获得对有弱点的网络组成的访问权获得对有弱点的网络组成的访问权，在攻克了一个服务程序后，黑客就要 开始清除他在记录文件中所留下的痕迹，然后留下作后门的二进制文件，使其 以后可以不被发觉地访问该主机。 目前，黑客的主要攻击方式有： 欺骗：通过伪造 IP 地址或者盗用用户帐号等方法来获得对系统的非授权使 用，例如盗用拨号帐号。 窃听：利用以太网广播的特性，使用监听程序来截获通过网络的数据包， 对信息进行过滤和分析后得到有用的信息，例如使用 sniffer 程序窃听用户密码。 数据窃取：在信息的共享和传递过程中，对信息进行非法的复制，例如， 非法拷贝网站数据库内重要的商业信息，盗取网站用户的个人信息等。 数据篡改：在信息的共享和传递过程中，对信息进行非法的修改，例如， 删除系统内的重要文件，破坏网站数据库等。 拒绝服务：使用大量无意义的服务请求来占用系统的网络带宽、CPU 处理 能力和 IO 能力，造成系统瘫痪，无法对外提供服务。典型的例子就是 2000 年 年初黑客对 Yahoo 等大型网站的攻击。 黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和 网络瘫痪等严重后果，如果是对军用和政府网络的攻击，还会对国家安全造成 严重威胁。 1.4.3. 网络与信息安全平台的任务网络与信息安全平台的任务 网络与信息安全平台的任务就是创建一个完善的安全防护体系，对所有非 法网络行为，如越权访问、病毒传播、恶意破坏等等，事前预防、事中报警并 阻止，事后能有效的将系统恢复。 在上文对黑客行为的描述中，我们可以看出，网络上任何一个安全漏洞都 会给黑客以可乘之机。著名的木桶原理（木桶的容量由其最短的木板决定）在 网络安全里尤其适用。所以，我们的方案必须是一个完整的网络安全解决方案， 对网络安全的每一个环节，都要有仔细的考虑。 2. 安全架构分析与设计安全架构分析与设计 逻辑上，宁波市政府系统计算机专网将划分为三个区域：数据发布区、局 域网用户、远程其他用户。 其中每一个局域网节点划分为内部操作（控制）区、信息共享区两个网段， 网段之间设置安全隔离区。每一个网段必须能够构成一个独立的、完整的、安 全的、可靠的系统。 2.1.网络整体结构网络整体结构 宁波市政府系统计算机专网需要涉及若干政府部门，各地方的网络通过专 用网连接起来。 2.1.1. 宁波在全国政府专网中的位置宁波在全国政府专网中的位置 政府专网是由国家、省、市及县级政府部门共同组成的全国性广域网。整 个广域网网络系统是一个典型的星形拓朴型结构，主要负责传输国家、省、市、 县政府间的文字、图像和视频信息。其结构图如下： 政府系统结构图 整个区域网络拓朴为一倒叉树结构，国务院为根节点，宁波市作为网络中 的一级节点同时又作为一个区域中心节点，它既要与国家、省各部门互联，又 要与各县（市） 、区政府和市政府各部门互联，在整个网络中起着一个承上启 下的作用。 2.1.2. 光纤网络平台光纤网络平台 光纤网络平台的提供商为宁波市广电网络传输中心。 具体情况如下： 1.市区范围内（东北大院以外）73 家单位采用物理光纤分别接入四个汇集 点。这四个汇集点分别是广电网络传输中心汇集点、华侨城汇集点、广电局汇 集点、电视中心汇集点。单点接入示意图如下： 市区内各部门逻辑分布图如下图： 2.市区以外单位主要是余姚、慈溪、奉化、宁海、象山、镇海、北仑、经 济技术开发区、保税区、大榭开发区、港务局等部门。这些部门与核心节点之 间将借助宁波广电的 SDH 环网。单点接入示意图如下： 市区外各部门逻辑分布图如下图： 2.2.宁波政府专网安全风险分析宁波政府专网安全风险分析 2.2.1. 主要应用服务的安全风险主要应用服务的安全风险 应用服务应用服务 系统中各个节点有各种应用服务，这些应用服务提供给各级部门或单 位使用。不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用 系统，使得系统数据丢失、数据更改、获得非法数据等。而宁波市政府的 这些应用系统是政府专网中最重要的组成部分。 DNSDNS 服务服务 DNS 是网络正常运作的基本元素，它们是由运行专门的或操作系统 提供的服务的 Unix 或 NT 主机构成。这些系统很容易成为外部网络攻击 的目标或跳板。对 DNS 的攻击通常是对其他远程主机进行攻击做准备， 如篡改域名解析记录以欺骗被攻击的系统，或通过获取 DNS 的区域文件 而得到进一步入侵的重要信息。著名的域名服务系统 BIND 就存在众多的 可以被入侵者利用的漏洞。特别是基于 URL 的应用依赖于 DNS 系统， DNS 的安全性也是网络安全关注的焦点。 E-MailE-Mail 由于邮件服务器软件的众多广为人知的安全漏洞，邮件服务器成为进 行远程攻击的首选目标之一。如利用公共的邮件服务器进行的邮件欺骗或 邮件炸弹的中转站或引擎；利用 sendmail 的漏洞直接入侵到邮件服务器 的主机等。而宁波政府专网的内部 E-mail 系统覆盖面广，所以迫切需要 使用防火墙来保护内部 E-mail 系统。 WWWWWW 利用 HTTP 服务器的一些漏洞，特别是在大量使用服务器脚本的系统 上，利用这些可执行的脚本程序，未经授权的操作者可以很容易地获得系 统的控制权。在宁波市政府存在各种 WWW 服务，这些服务协议或多或 少存在安全隐患。 FTPFTP 一些 FTP 服务器的缺陷会使服务器很容易被错误的配置，从而导致 安全问题，如被匿名用户上载的木马程序，下载系统中的重要信息（如口 令文件）并导致最终的入侵。有些服务器版本带有严重的错误，比如可以 使任何人获得对包括 root 在内的任何帐号的访问。 2.2.2. 网络中主要系统的安全风险网络中主要系统的安全风险 整个系统中网络设备主要采用路由器设备，有必要分析这些设备的风险。 路由器是网络的核心部件，路由器的安全将直接影响整个网络的安全。下面列 举了一些路由器所存在的主要安全风险： 路由器缺省情况下只使用简单的口令验证用户身份，并且远程 TELNET 登录时 以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。 路由器口令的弱点是没有计数器功能，所以每个人都可以不限次数的尝试登录 口令，在口令字典等工具的帮助下很容易破解登录口令。 每个管理员都可能使用相同的口令，因此，路由器对于谁曾经作过什么修改， 系统没有跟踪审计的能力。 路由器实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意的攻击者 利用来破坏网络的路由设置，达到破坏网络或为攻击做准备的目的。针对这种情 况，必须采取措施，有效防止非法对网络设备访问。 TCP/IP 风险：系统采用 TCP/IP 协议进行通信，而因为 TCP/IP 协议中存在固 有的漏洞，比如：针对 TCP 序号的攻击，TCP 会话劫持，TCP SYN 攻击等。同时系 统的 DNS 采用 UDP 协议，因为 UDP 协议是非面向连接的协议，对系统中的 DNS 等 相关应用带来安全风险。 2.2.3. 数据库系统安全分析数据库系统安全分析 数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数 据库的安全问题，在数据库技术诞生之后就一直存在，并随着数据库技术的发 展而不断深化。不法份子利用已有的或者更加先进的技术手段通常对数据库进 行伪造数据库中的数据、损坏数据库、窃取数据库中的数据。如何保证和加强 数据库系统的安全性和保密性对于网络的正常、安全运行至关重要。 2.2.4. Unix 系统的安全分析系统的安全分析 UNIXUNIX 系统安全具有如下特征系统安全具有如下特征： 操作系统可靠性：它用于保证系统的完整性，系统处于保护模式下，通过硬件 和软件保证系统操作可靠性。 访问控制：允许通过改变用户安全级别、访问权限，具有统一的访问控制表。 对象可用：当对象不需要时应该立即清除。 个人身份标识与认证：它主要为了确定身份，如用户登陆时采用扩展 的 DES 算法对口令进行加密。 审计：它要求对使用身份标识和认证的机制，文件的创建，修改，系 统管理的所有操作以及其他有关安全事件进行记录，以便系统管理员 进行安全跟踪。 往来文件系统：UNIX 系统提供了分布式文件系统（DFS）的网络安全。 将网络与外部网络相连接，会使您的网络遭受潜在的服务中断、 未经授权的入侵以及相当大的破坏。比如下面的一些安全隐患： “拒绝服务”攻击 (Denial of Service Attacks): 这些攻击禁止系统向 顾客提供服务，使顾客不能得到某种服务。例如，攻击可能使用大而无用 的流量充斥网络，导致无法向顾客提供服务。最通常的情况是这种攻击可 能毁坏系统或者只是让系统在向顾客提供服务时慢的出奇。 缓冲区溢出攻击 (Buffer Overrun Exploits): 其中包括利用软件的弱点将 任意数据添加进某个程序中，从而在它以根的身份运行时，有可能赋予剥削 者对您的系统的根访问权。这也可能导致某种“拒绝服务”攻击。 窃听和重放攻击 (Snooping and Replay Attacks): 窃听攻击涉及某个对网 络上的两台机器之间的通讯流进行侦听的入侵者。通讯流可能包含使用 telnet、rlogin 或 ftp 时来回传递的未加密的口令。这有可能造成某个未 经授权的个人非法进入您的网络或看到机密数据。 IP 欺骗 (IP Spoofing): 基于 IP 欺骗的攻击涉及对计算机未经授权的访问。 通过侦听网络通讯流，入侵者找到受信任主机的一个 IP 地址，然后发送消 息时指示该消息来自受信任主机。 内部泄密 (Internal Exposure): 绝大多数网络非法进入皆起因于某个心怀 恶意或对现状不满的现任或前任雇员滥用对信息的访问权或非法闯入您的网 络。 针对 Unix 系统存在的诸多风险，应该采取相应的安全措施。必须对这些风 险加以控制。针对这个部分的安全控制可以采取特殊的安全策略，同时利用相 关的软件对系统进行配置、监控。制定详细的访问控制计划、策略。 2.2.5. Windows NT 系统的安全分析系统的安全分析 Windows NT 的安全机制的基础是所有的资源和操作都受到选择访问控制的保护，可 以为同一目录的不同文件设置不同的权限。这是 NT 的文件系统的最大特点。NT 的安全机 制不是外加的，而是建立在操作系统内部的，可以通过一定的设置使文件和其他资源免受 在存放的计算机上工作的用户和通过网络接触资源的用户的威胁（破坏、非法的编辑等） 。 安全机制甚至包含基本的系统功能，例如设置系统时钟。对用户帐号、用户权限及资源权 限的合理组合，可以有效地保证安全性。通过一系列的管理工具，以及对用户帐号、口令 的管