海南财产保险公司防火墙方案.doc

目录第一章 防火墙(Firewall)简介-21.1.防火墙的应用-21.2.设置防火墙具的必要性-3第二章 Internet Devices简介-5 2.1.公司简介-5 2.2.产品型号-6 2.3.Fort Knox 产品的主要功能-6第三章 保险公司安全需求-8 31.安全需求-8 32.安全需求措施-8第四章 防火墙方案-10 41.区县保险公司方案-1042.总公司方案-13第五章 产品报价及售后服务-1851.报价说明-18 52.售后服务保证-18第一章 防火墙（Firewall）简介 随着计算机网络的迅猛发展，尤其是Interner,LAN和WAN的广泛应用，网络安全逐渐成为日益关注的问题。如何才能快捷地访问外部网络，同时又能有效地保护内部局域网的安全-防火墙是实现网络安全的有效产品。在内部网络和外部网络之间合理有效地使用防火墙成为网络安全的关键。11 防火墙(Firewall)的应用 计算机网络技术的发展给企业带来了革命性的改革和开放，企业正努力通过利用网络来提高市场反应速度和办事效率，以便更具竞争力。企业通过Internet，WAN可以从异地取回重要数据，同时又要面对Internet,WAN开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。在网络系统与Internet和WAN的连接中，第一道屏障就是防火墙。 防火墙是在两个网络之间执行控制策略的系统（包括硬件和软件），目的是不被非法用户侵入。本质上，它遵循的是一种允许或禁止业务来往的网络通信安全机制，也就是提供可控的过滤网络通讯，只允许授权的通讯。按照一个企业的安全体系，一般可以在以下位置部署防火墙：l 局域网内的VLAN之间控制信息流向时；l Intranet与Internet之间连接时；l 在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网PSTN，DDN，Frame Relay,X.25等连接）在总部的局域网和各分支机构连接时采用防火墙隔离。l 总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用VPN组成虚拟专网。l 在远程用户拨号访问时，加入虚拟专网。防火墙的安全性还要来自其良好的技术性能。一般防火墙应具备以下特点：l 广泛的服务支持，通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、FTP、TELNET等；l 对私有数据的加密支持，保证通过Internet进行虚拟私人网络和商务活动不受损坏；l 客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；l 反欺骗，欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部；12 防火墙设置的必要性为什么要引入防火墙呢?这是因为,传统的子网系统,往往把自己完全暴露在一些本身并不安全的服务比如NFS和NIS下,暴露在外界主机的侦探和攻击下。这样,子网的安全就完全依赖于各个主机,而且要求各个主机有相同的安全度。而子网越大,越难以保证各主机都有较高的安全度。况且,随着失误变得越来越普遍,很多入侵是由于配置或密码错误造成的, 而不是故意的、复杂的攻击。防火墙能提高主机整体的安全性,从而给站点带来了数不尽的好处。下面我们就来简单介绍一下使用防火墙究竟有什么好处。1、控制不安全的服务防火墙可以控制不安全的服务,因为只有授权的协议和服务才能通过防火墙。这就大大降低了子网的暴露度,从而提高了网络的安全度。举个例子,防火墙能防止易受攻击的服务,比如NFS,入出子网。这使得子网免于遭受来自外界的基于该服务的攻击。防火墙还能防止基于路由的攻击策略,防火墙会拒绝这种攻击试探并将情况通知系统管理员。2、站点访问控制防火墙还提供了对站点的访问控制,比如,从外界可以访问某些主机,而另一些主机则能有效地防止非法访问。一个站点应该拒绝外部的访问,除了一些特殊情形,比如邮件服务和信息服务等。由于防火墙不允许访问不需要访问的主机或服务,它在网络的边界形成了一道关卡。如果一个用户很少提供网络服务,或几乎不跟别的站点打交道,防火墙就是他保护自己的最好选择。3、集中安全保护如果一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中,而不是分散到每个主机中,这样防火墙的保护就相对集中一些,也相对便宜一点儿。尤其对于密码口令系统或其它的身份认证软件等等,放在防火墙系统中更是优于放在每个Internet能访问的机器上。当然,还有一些关于网络安全的处理方法,比如KerberosNIST94C,包含了每一主机系统的改动。也许,在某些特定场合,Kerberos 或其它类似的技术比防火墙系统更好一些,但有一点不容忽视,由于只需在防火墙上运行特定的软件,防火墙系统实现起来要简单许多。4、强化私有权对一些站点而言,私有性是很重要的,因为,某些看似不甚重要的信息往往会成为攻击者灵感的源泉。使用防火墙系统,站点可以防止finger以及DNS域名服务。finger会列出当前使用者名单,他们上次登录的时间,以及是否读过邮件等等。但finger同时会不经意地告诉攻击者该系统的使用频率,是否有用户正在使用,以及是否可能发动攻击而不被发现。防火墙也能封锁域名服务信息,从而使Internet外部主机无法获取站点名和IP地址。通过封锁这些信息,可以防止攻击者从中获得另一些有用信息。5、网络连接的日志记录及使用统计当防火墙系统被配置为所有内部网络与外部Internet连接均需经过的安全系统时,防火墙系统就能够对所有的访问作出日志记录。日志是对一些可能的攻击进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况作出统计。通过对统计结果的分析,可以使得网络资源到更好的使用。6、其它安全控制各组织机构可以根据本单位的特殊要求来配置防火墙系统,从而使自己单位的网络安全运行工作。第二章Internet Devices 简介21 Internet Devices 公司简介Internet Devices 公司成立于一九九五年四月，总部设在加利福利亚的Sunnyvale专门从事高性能计算机网络安全系统的设计、开发、销售和服务，现有产品系列Internet Devices 1000、Internet Devices3000、Internet Devices5000 及Internet Devices10K分别适用于小型、中型、大型网络环境。其中Internet Devices3000、Internet Devices5000 及Internet Devices10K带有VPN功能，支持VPN 移动用户。Internet Devices系列产品带有双链路远程技术服务支持，在售后服务上提供最可靠的保证，使用户感到网络既安全服务又有保证，无后顾之忧。Internet Devices 在美获奖总括:Fort Knox Policy Router 工业界的荣耀l 获1998年美国INFO WORLD PRODUCT最佳产品奖。l 获1999年一月美国DATACOMM杂志HOT PRODUCT奖。 速度达到T3 45Mbps。l 获1998年亚特兰大NET WORLD +Interop 的网络安全和IP TOOLS最佳 展示及 性能：（45+Mbps 3ES，87Mbps DES）奖。l 获PC-computing优胜奖。l 因设置简单，具有很强的集中管理以及顶尖的最新的VPN功能而获 TEST Info World TEST CENTER大奖。l 因其灵活性，功能强大的VPN和最简单的设置和维护PC Magazine奖。l 因其超值的VPN而获1998RESELLER NEW 奖。l 通过测试中心检测获最强的带宽管理功能INFO WORLD奖。l 因其牢不可破的安全性，灵活的特性和即插即用的特性。FORT KNOX 获 INTERNETWEEK 最佳产品奖。2.2 产品型号 其产品目前四种型号: F-1000 ，F-3000 ，F-5000, F-10K 每一种产品都支持自定义插件组合，所有的型号包括以下特性：1. 企业级防火墙安全2. 集中策略管理3. 网络地址转换(NAT)4. 完整的LDAP数据库5. SPAM E-mail 过滤器6. Web 高速缓存7. 全面的报告8. 广泛的诊断2.3 Fort Knox 产品主要功能:1. 在Internet， 局域网，广域网上安全保护内部网络资源目前，全球有超过2百万的访问路由，明确无误的网络交易的安全策略是通过防火墙设备来实现的。同时，企业内部也存在严重的不安全因素，很多网络虽然没有与Internet互联，但由于计算机数量众多，并且与分支机构的网络互联，因而遭受攻击的可能性也大大提高。防治内部攻击的重要性还在于内部人员对数据的储存位置，信息重要性非常了解，使得内部攻击更容易奏效，有统计数字表明有70%的攻击来自内部。商业寻求安全设备来保护他们的网络,而Fort Knox 防火墙是网络安全完美的解决方案。2. SoftStack 技术Fort Knox 中的SoftStack 技术的创造者从事投资保护和总成本计算。它允许客户和服务供给者通过软件升级发展网络。当企业在网络建设初期购买功能较少的该防火墙，而网络发展以后，只需要升级所需要的软件模块，即可实现,不用更换新设备。从而有效的保护了用户的投资。3. 带宽管理带宽管理实现对网络中传输速度的测量和网络中拥塞情况的监控和解决。解决网络中的瓶颈问题。基于路由器的IP包没有QoS(Quality of Service),而该防火墙的带宽管理功能则具有QoS,并具有如下功能：1） 能区分不同的服务级别。重要的传输服务具有较高的优先级，次要的传输服务具有较低的优先级。从而保证重要的服务优先传输。2） 能区分用户级别。重要用户和普通用户具有不同的优先级。保证重要的用户优先传输。3） 对带宽进行分配。不同的用户和服务具有不同的带宽。4） 不同的分公司具有不同的优先级。5） 对上传和下传可以设置不同的优先级。Internet Devices 带宽管理解决方案是第一个允许商业快速，直接监视和设置基于带宽流的多种IP应用策略的工具。不论网络管理者在世界的任何地方利用Netscape 还是IE 浏览器都能对流量优先级进行最大或最小的调整。4. 虚拟专用网(VPN)服务器对服务器考虑到作为一个企业在Internet 上租用一条专用线的花费是很巨大的。如果公司的网络资源在Internet 上被刺探，那么什么能够减弱公司在租用线上的安全冒险呢？VPN将是解决这个问题的办法，它通过在两个站点之间实行数据加密的手段，使刺探行为不能被实现。防火墙设备Fort Knox 的VPN功能在两个或多设备之间利用成为VPN标准的IPSec规范实现安全通信起着重要的作用。5. VPN 远程客户VPN远程客户功能使移动用户通过Internet访问内部网络资源，实现远程办公。基于IPSec 标准的关键技术在远程客户与公司网络实行可靠的通信所耗去的成本是价有所值的。Internet Devices 的VPN 客户解决方案是升级远程客户而不需要增加任何硬件的SoftStack 项目。被工业认可的IPSec标准，它是一个基于管理系统和支持LAN客户的浏览器的远程配置。它有利于私域网络中各个部门，诸如统计，人事，财务部门的运作。它解决了不同部门的设备的需求，通过当地的Internet 服务提供者，实现安全连接，节约远程访问所耗去的长途电话费与维护费。6. 集中管理 集中管理功能提供，在全球范围内任何地点远程监控和管理Fort Knox Policy Routers 的能力。可以做到实时监控。第三章 保险公司安全需求 3.1 安全需求 保险公司为了实现保险业务的高度信息化，已经建立了内部的专有局域网和广域网，并随着业务的需要不断升级，网络的规模不断扩大。随着计算机网络的发展，网络安全问题日益成为关键。在共享资源的同时保护系统和信息的安全，构建防火墙系统已经成为迫在眉睫的问题。其主要的需求如下：1 各分公司之间禁止相互访问。2 控制telnet访问的主机和权限。3 隐藏内部IP 地址及网络结构。4 保证重要的服务，重要部门和人员有足够的带宽。5 远程用户数据传递的保密问题。6 总公司安全的策略问题。3.2 需求解决措施 针对安全需求简单采取的措施:1.各分公司之间禁止相互访问。答：在各分公司的网络前端设置防火墙，保护各分公司的内部资料数据的可靠，防止内部数据被非法窃取。2控制telnet访问的主机和权限。答：设置认证功能，可加强对用户的身份认证，防止非法的用户伪装合法IP地址对服务器进行访问。3隐藏内部IP 地址及网络结构。答：设置NAT 模式，保护内部的网络结构，防止非法用户入侵内部网络，造成破坏和损失。4保证重要的服务, 重要部门和人员有足够的带宽。答：设置合理的流量控制，保证重要的服务足够的带宽。5远程用户数据传递的保密问题。答：对于远程用户可安装VPN Site-site或VPN Client 软件，传递加密的信息。6总公司安全的策略问题。答：可将总部对外提供访问服务的服务器统一放置在DMZ 区域，使外部只能telnet至DMZ区域，彻底将网络内外隔离。所有的访问都具有详尽的原始日志纪录，包括日期、源地址、目的地址、时间、字节等，实时分析访问的流量和信息。同时具有防止IP Spoofing,Syn flood,denial of service,ping of death 等手段的攻击。 第四章 防火墙方案设计 根据保险公司具体的安全需求，我们分三步实现保险公司方案。4.1 省公司方案省公司网络结构如图所示：4.1.1 省公司和县公司之间的连接在省公司局域网的入口处，即CISCO 2611 Router与局域网的连接处添加Internet Devices防火墙设备,基于保证业务和将来扩容的需要,采用带Internet Devices3000或Internet Devices5000（带宽为100M）硬件防火墙,保证有足够的带宽，避免网络瓶颈。具体的实现功能和措施如下： 1.将公开信息、省公司查询信息、县公司上传数据的服务分别在不同的主机上进行;通过防火墙设置,特定主机上的服务只对授权IP的主机开放,而且只允许做授权的操作，其他的主机和授权之外的服务被禁止；提供信息查询的主机只允许读操作的进行,而提供数据存储的主机只允许写操作的进行。2.供查询的主机上的帐号只允许读操作而不允许写操作；所有供查询的信息在安全区（LAN段）的主机上备份；定期查看供查询的数据，及时更正错误，减少数据被修改造成的影响。3.提供数据存储的主机上的帐号只允许写操作而禁止读操作，及时将上传的数据移动到安全区的主机上，减少被非法用户查看的可能性。4.采用强制口令和合法用户验证的方法来保护系统安全。 5.通过设置带宽管理，使重要的业务服务和重要的用户具有较高的优先级。确保关键任务的快速传输。 6.除了对网络系统加强访问控制,还可以利用操作系统的安全控制功能来对系统的安全进行加强;UNIX,NT,NOVELL等网络操作系统自身可以达到C2级的安全控制,只需很好地利用其中的安全机制就可以较好地实现系统的安全控制。7.实际上许多非法访问是在非工作时间段内内发生的。针对这种情况，可以在防火墙上设置访问的时间表，只有在规定的时间内，才可以得到相应的服务。8.除了添加防火墙确保所有的外来访问处于防火墙的有效控制下外,还必须加强局域网及各主机的管理,局域网必须有专人负责管理,对局域网的控制策略、结构的更改以及各主机上帐号的管理等必须由指定人员进行。9.对于重要数据所在的主机采用更高级的安全设置，加强帐号和口令管理，口令尽量采用无规则可寻的组合，定期更改口令，对可能不安全的帐号和口令及时挂起，确保安全后重新使用或直接更换帐号。10.利用防火墙的日志纪录功能,根据需要设置所需的日志纪录项,定期检查日志,及时发现可疑的访问和系统安全的漏洞，进行跟踪和纠正。11.利用主机系统的操作纪录日志，检查是否有滥用高级帐号及帐号盗用的可疑现象，检查系统的安全设置如口令系统等是否已被更改，及时予以纠正。412 局域网内重要部门的保护： 对于某些部门来说，如人事部门，可能只允许访问，有些数据只允许特定的人员查询。而对于另外一些部门，如财务部门，可能允许上传数据、提供特定数据供指定部门的指定人员查阅。针对不同情况采用不同的策略，进行数据资源的安全使用。下面以人事部门为例，其他重要部门的防火墙的建设与之类似。人事部门防火墙系统的实现：1. 在人事部门的主机(或局域网)前添加Internet Devices-1000防火墙硬 件 设备，各个部门的安全控制策略可参照人事部门的策略进行构建，总的数据查询和数据传送按如下原则进行： 1） 数据的读写使用可有效控制的服务进行，建议使用Ftp进行数据的传输。 为每个用户指定一个帐号，作为使用数据传输的帐号。 2）上传数据和供查阅的数据应存放不同的目录下，最好是存放在不同的主机上。对于上传数据禁止读操作，及时移动到安全的地方，避免被非授权用户查看；供查阅的数据禁止写操作，定期检查和修改，避免被非授权用户修改。 如果有多台主机可供使用，将上传数据和可供查阅的数据存放在不同的主机上，这时可通过防火墙很好地实现数据的保护。对于供查阅的数据，防火墙将禁止写指令的执行，主机指定的帐户只提供读的操作。对于上传数据区，主机对指定帐号只提供在指定目录写的权限，禁止访问其他目录及写的权限。图3-人事部门的访问控制结构图:按如上方法连接防火墙，访问者、保密数据和公开数据从物理上分割开。对保密数据和公开数据分别采用不同的访问策略，所有外来的访问都通过防火墙来控制，确保访问的可知性。这样所有的访问都通过防火墙，对于公开数据可以采用比较低的控制策略，允许授权的用户访问；对于保密数据必须采用比较严格的控制策略，只允许指定的人员访问；所有的数据的修改都必须有专人来负责，保证所有数据的可靠性。2. 在需防护的主机前加防火墙，如上图所示。对特定的资源指定可以访问的IP地址及对相应IP地址所提供的服务，除此之外的任何服务申请将被拒绝。这样可以避免不可知的访问，同时保证当一个人离开相应部门之后，其访问权限也将随之取消。3. 除了设置IP地址和服务控制之外，可以采用强制口令验证策略，除了必须从规定的IP地址发出服务请求外，还必须是知道帐户和相应口令的人员才可以对资源进行访问。由于防火墙是唯一的进出通道，而且口令验证是在防火墙自身的操作系统上完成的，这样可以将避开口令验证和识破口令的可能减至最低。4. 实际上许多非法访问是在非工作时间段内内发生的。针对这种情况，可以在防火墙上设置访问的时间表，只有在规定的时间内，才可以得到相应的服务。5.为保证口令的可靠性，必须定期更改口令，以可靠的方式传递口令。6.利用防火墙的系统纪录和访问纪录，了解策略修改和资源访问的情况。通过定期检查纪录，对可疑访问进行追踪，对系统的安全缺陷进行弥补。4.1.3 与Internet的连接将来，当保险