我国单位防火墙解决策划方案

123/123xx单位防火墙解决方案2002年3月TOC\o"1-3"\h\z1. 网络信息安全概况 51.1. 网络安全现状 51.2. 在典型的网络攻击中黑客一般会采的步骤 61.3. 黑客的要紧攻击方式 62. 背景介绍 82.1. 项目总述 82.2. XX单位网络整体情况 82.3. XX单位网络结构 82.4. XX单位网络支撑的应用系统 92.5. XX单位网络系统平台 102.6. XX单位网络要紧应用服务的安全风险 102.7. 设备及系统安全分析 103. 方正数码防火墙解决方案 143.1. 本方案设计的原则和目标 143.2. 防火墙选型 153.2.1. 防火墙设置及工作模式 153.2.2. 防火墙功能设置及安全策略 163.2.3. IPMAC地址捆绑： 163.2.4. URL拦截： 163.2.5. 内置入侵检测（IDS） 173.2.6. 代理服务 173.2.7. NAT地址转换 173.2.8. 日志系统及系统报警 173.2.9. 带宽分配，流量治理 183.2.10. 集中治理 183.2.11. 预制模板 193.2.12. H.323支持 193.2.13. 系统升级 193.2.14. 双机备份 193.2.15. 保障系统安全性 193.2.16. 自身安全性 203.2.17. 维护方便性 203.2.18. 系统事件治理 204. 工程实施方案 214.1. 项目实施原则 214.2. 发货时期的实施 224.3. 到货后工作的实施 234.4. 测试及验收 244.4.1. 测试及验收描述 244.4.2. 系统初验 244.5. 实施人员 255. 培训方案 265.1. 培训目标 265.2. 培训课程 265.3. 培训方式 265.4. 培训时长 265.5. 培训地点 265.6. 培训讲师 275.7. 入学要求 276. 方正数码全程服务 296.1. 方正数码售后服务体系结构介绍 296.2. 方正数码售后服务内容 316.2.1. 售后服务内容 316.3. 2．售后维修服务流程 326.4. 方御防火墙部分用户名单 327. 附录A 357.1. 防火墙与入侵检测的选型 357.1.1. 方正数码公司简介 357.2. 方正方御防火墙（100M） 367.2.1. 产品概述 367.2.2. 系统特点 367.2.3. 方御防火墙（百兆）的性能 407.2.4. 方正方御防火墙功能讲明 417.3. 方正方御防火墙（1000M） 557.3.1. 产品概述 557.3.2. 系统特点 567.3.3. 方正方御千兆防火墙功能讲明 577.3.4. 方御防火墙（千兆）的性能 698. 附录B 718.1. 方正方御防火墙荣誉证书 71

网络信息安全概况目前，专门多公开的新闻表明美国国家安全局（NSA）有可能在许多美国大软件公司的产品中安装“后门”，其中包括一些应用广泛的操作系统。为此德国军方前些时候甚至规定在所有牵涉到机密的计算机里，不得使用美国的操作系统。作为信息安全的保障，我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品，将安全风险降至最低。在为各安全产品选型时，我们立足国内，同时保证所选产品的先进性及可靠性，并要求通过国家各要紧安全测评认证。网络安全现状Internet正在越来越多地融入到社会的各个方面。一方面，随着网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随着Internet和以电子商务为代表的网络应用的日益进展，Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全，日益成为与政府、军队、企业、个人的利益休戚相关的“大情况”。尤其关于政府和军队而言，假如网络安全问题不能得到妥善的解决，将会对国家安全带来严峻的威胁。2000年二月，在三天的时刻里，黑客使美国数家顶级互联网站－Yahoo!、Amazon、eBay、CNN陷入瘫痪，造成了十几亿美元的损失，令美国上下如临大敌。黑客使用了DDoS（分布式拒绝服务）的攻击手段，用大量无用信息堵塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的时刻里，又先后有微软、ZDNet和E*TRADE等闻名网站遭受攻击。国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到黑客攻击。国内第一家大型网上连锁商城IT163网站3月客观地讲，没有任何一个网络能够免受安全的困扰，依据FinancialTimes曾做过的统计，平均每20秒钟就有一个网络遭到入侵。仅在美国，每年由于网络安全问题造成的经济损失就超过100亿美元。黑客们进行网络攻击的目的各种各样，有的是出于政治目的，有的是职员内部破坏，还有的是出于好奇或者满足自己的虚荣心。随着Internet的高速进展，也出现了有明确军事目的的军方黑客组织。在典型的网络攻击中黑客一般会采的步骤※自我隐藏，黑客使用通过rsh或telnet在往常攻克的主机上跳转、通过错误配置的proxy主机跳转等各种技术来隐藏他们的IP地址，更高级一点的黑客，精通利用电话交换侵入主机。※网络侦探和信息收集，在利用Internet开始对目标网络进行攻击前，典型的黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表，通常专门容易建立一个主机列表同时开始了解主机之间的联系。黑客在那个时期使用一些简单的命令来获得外部和内部主机的名称：例如，使用nslookup来执行“ls<domainornetwork>”，finger外部主机上的用户等。※确认信任的网络组成，一般而言，网络中的主控主机都会受到良好的安全爱护，黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的，一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通过检查运行nfsd或mountd的那些主机输出的NFS开始入侵，有时候一些重要目录（例如/etc，/home）能被一个信任主机mount。※确认网络组成的弱点，假如一个黑客能建立你的外部和内部主机列表，他就能够用扫描程序（如ADMhack,mscan,nmap等）来扫描一些特定的远程弱点。启动扫描程序的主机系统治理员通常都不明白一个扫描器差不多在他的主机上运行，因为’ps’和’netstat’都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后，黑客就会对主机是否易受攻击或安全有一个正确的推断。※有效利用网络组成的弱点，当黑客确认了一些被信任的外部主机，同时同时确认了一些在外部主机上的弱点，他们就要尝试攻克主机了。黑客将攻击一个被信任的外部主机，用它作为发动攻击内部网络的据点。要攻击大多数的网络组成，黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序，如此的例子包括易受攻击的Sendmail,IMAP,POP3和诸如statd,mountd,pcnfsd等RPC服务。※获得对有弱点的网络组成的访问权，在攻克了一个服务程序后，黑客就要开始清除他在记录文件中所留下的痕迹，然后留下作后门的二进制文件，使其以后能够不被发觉地访问该主机。黑客的要紧攻击方式※欺骗：通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使用，例如盗用拨号帐号。※窃听：利用以太网广播的特性，使用监听程序来截获通过网络的数据包，对信息进行过滤和分析后得到有用的信息，例如使用sniffer程序窃听用户密码。数据窃取：在信息的共享和传递过程中，对信息进行非法的复制，例如，非法拷贝网站数据库内重要的商业信息，盗取网站用户的个人信息等。※数据篡改：在信息的共享和传递过程中，对信息进行非法的修改，例如，删除系统内的重要文件，破坏网站数据库等。※拒绝服务：使用大量无意义的服务请求来占用系统的网络带宽、CPU处理能力和IO能力，造成系统瘫痪，无法对外提供服务。典型的例子确实是2000年年初黑客对Yahoo等大型网站的攻击。黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严峻后果，假如是对军用和政府网络的攻击，还会对国家安全造成严峻威胁。

背景介绍项目总述XX单位信息化建设的基础工程，是以计算机局域网为核心，以宽带光纤网络为通信平台，围绕业务治理、数据交换、语音通信、重大事件处理、视频会议等应用，覆盖各各工作部门等，并与全国、全省专网联接，共约*个节点的城域网。XX专网是独立于公共网络之外的XX系统专用网络，物理上与外部公共网络隔离。专网内部进行逻辑分割，采纳防火墙隔离、审计检测等措施，建立有效的网络安全防范体系，以满足传送普密级信息的通信安全保密要求。XX专网涉及范围广，建设要求高，需分期分批进行建设。XX专网建成后，将极大地促进XX单位业务规范化、办公自动化、治理智能化、决策科学化、提高XX单位办事工作效率，实现各部门以及上下级部门之间信息和资源的共享。XX单位网络整体情况XX单位是以总部为中心、各个分支区域为基础，覆盖各部门、各层次分支机构，基于TCP/IP协议体系的计算机信息服务网络；是XX单位应用系统的基础网络平台。目前整个系统已网络实现到各部门，系统运行着多种应用系统。其中，这些系统通过与其他单位的互联网络，实现信息交换和共享。XX单位网络结构XX单位网络由广域网和各级机构局域网组成。XX单位网络要紧连接由两个部分组成：一是自己的纵向连网，连接XX单位各级机构；一是和其他单位的横向连网，实现系统之间数据通信。XX单位网络使用独立的地址空间和域名系统。广域网采纳Framerelay技术。全国网络以总部为根节点，形成树形结构，各叶节点是各级机构内部的局域网络，是广域网的信息源和终点，同时也是连接其他单位的起点。纵向连网纵向连网同其他单位互连其他单位内联网其他单位内联网其他单位内联网同时，网络系统中的网络设备以路由器、交换机为主。骨干网上运行OSPF路由协议。XX单位网络支撑的应用系统XX单位网络上差不多或立即运行的要紧应用服务系统包括：政务与办公自动化系统；业务处理系统；治理信息系统；决策支持系统；多媒体应用与会议电视系统；信息咨询服务系统；外汇应用系统；XX单位网络系统平台XX单位网络目前系统平台要紧采纳WindowNT系统；Unix系统；数据库系统；XX单位网络要紧应用服务的安全风险应用服务系统中各个叶节点有各种应用服务，这些应用服务提供给XX单位或其他单位使用。不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统，使得系统数据丢失、数据更改、获得非法数据等。而XX单位的这些应用系统是XX单位网络中最重要的组成部分。DNS服务DNS是网络正常运作的差不多元素，它们是由运行专门的或操作系统提供的服务的Unix或NT主机构成。这些系统专门容易成为外部网络攻击的目标或跳板。对DNS的攻击通常是对其他远程主机进行攻击做预备，如篡改域名解析记录以欺骗被攻击的系统，或通过猎取DNS的区域文件而得到进一步入侵的重要信息。闻名的域名服务系统BIND就存在众多的能够被入侵者利用的漏洞。XX单位对外各种应用，特不是基于URL的应用依靠于DNS系统，DNS的安全性也是网络安全关注的焦点。E-Mail由于邮件服务器软件的众多广为人知的安全漏洞，邮件服务器成为进行远程攻击的首选目标之一。如利用公共的邮件服务器进行的邮件欺骗或邮件炸弹的中转站或引擎；利用sendmail的漏洞直接入侵到邮件服务器的主机等。而XX单位的内部E-mail系统覆盖面广，因此迫切需要使用防火墙来爱护人民银行的内部E-mail系统。WWW利用HTTP服务器的一些漏洞，特不是在大量使用服务器脚本的系统上，利用这些可执行的脚本程序，未经授权的操作者能够专门容易地获得系统的操纵权。在XX单位存在各种WWW服务，这些服务协议或多或少存在安全隐患。FTP一些FTP服务器的缺陷会使服务器专门容易被错误的配置，从而导致安全问题，如被匿名用户上载的木马程序，下载系统中的重要信息（如口令文件）并导致最终的入侵。有些服务器版本带有严峻的错误，比如能够使任何人获得对包括root在内的任何帐号的访问。网络中要紧系统的安全风险设备及系统安全分析整个系统中网络设备要紧采纳路由器设备，有必要分析这些设备的风险。路由器是XX单位网络的核心部件，路由器的安全将直接阻碍整个网络的安全。1．路由器所存在的要紧安全风险：路由器缺省情况下只使用简单的口令验证用户身份，同时远程TELNET登录时以明文传输口令。一旦口令泄密路由器将失去所有的爱护能力。路由器口令的弱点是没有计数器功能，因此每个人都能够不限次数的尝试登录口令，在口令字典等工具的关心下专门容易破解登录口令。每个治理员都可能使用相同的口令，因此，路由器关于谁曾经作过什么修改，系统没有跟踪审计的能力。路由器实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意的攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击做预备的目的。针对这种情况，必须采取措施，有效防止非法对网络设备访问。2．TCP/IP风险：系统采纳TCP/IP协议进行通信，而因为TCP/IP协议中存在固有的漏洞，比如：针对TCP序号的攻击，TCP会话劫持，TCPSYN攻击等。同时系统的DNS采纳UDP协议，因为UDP协议是非面向连接的协议，对系统中的DNS等相关应用带来安全风险。3．数据库系统安全分析数据库系统是存储重要信息的场所并担负着治理这些数据信息的任务。数据库的安全问题，在数据库技术诞生之后就一直存在，并随着数据库技术的进展而不断深化。不法份子利用已有的或者更加先进的技术手段通常对数据库进行伪造数据库中的数据、损坏数据库、窃取数据库中的数据。如何保证和加强数据库系统的安全性和保密性关于网络的正常、安全运行至关重要。4．Unix系统的安全分析 UNIX系统安全具有如下特征：◎操作系统可靠性：它用于保证系统的完整性，系统处于爱护模式下，通过硬件和软件保证系统操作可靠性。◎访问操纵：同意通过改变用户安全级不、访问权限，具有统一的访问操纵表。◎对象可用：当对象不需要时应该立即清除。◎个人身份标识与认证：它要紧为了确定身份，如用户登陆时采纳扩展的DES算法对口令进行加密。◎审计：它要求对使用身份标识和认证的机制，文件的创建，修改，系统治理的所有操作以及其他有关安全事件进行记录，以便系统治理员进行安全跟踪。◎往来文件系统：UNIX系统提供了分布式文件系统（DFS）的网络安全。5．WindowsNT系统的安全分析WindowsNT的安全机制的基础是所有的资源和操作都受到选择访问操纵的爱护，能够为同一目录的不同文件设置不同的权限。这是NT的文件系统的最大特点。NT的安全机制不是外加的，而是建立在操作系统内部的，能够通过一定的设置使文件和其他资源免受在存放的计算机上工作的用户和通过网络接触资源的用户的威胁（破坏、非法的编辑等）。安全机制甚至包含差不多的系统功能，例如设置系统时钟。对用户帐号、用户权限及资源权限的合理组合，能够有效地保证安全性。通过一系列的治理工具，以及对用户帐号、口令的治理，对文件、数据授权访问，执行动作的限制，以及对事件的审核能够使WindowsNT达到C2级安全。在网络中，有三种方式能够访问NT服务器：（1）通过用户帐号、密码、用户组方式登录到服务器上，在服务器同意的权限内对资源进行访问、操作。这种方式的可操纵性较强，能够针对不同的用户。（2）在局部范围内通过资源共享的形式，这种方式建立在NETBIOS的基础之上。通过对共享资源的共享权限的操纵达到安全爱护。但不能针对不同的用户，当一个用户在通过共享对某一个资源进行操作时（这时共享权限有所扩大），其他用户趁虚而入，而造成对资源的破坏。（3）在网络中通过TCP/IP协议，对服务器进行访问。目前典型应用有FTP、HTTP、WWW等。通过对文件权限的限制和对IP的选择，对登录用户的认证能够在安全性上做到一定的爱护。由于WindowsNT系统的复杂性，以及系统的生存周期比较短，系统中存在大量已知和未知的漏洞，一些国际上的安全组织差不多公布了大量的安全漏洞，其中一些漏洞能够导致入侵者获得治理员的权限，而另一些漏洞则能够被用来实施拒绝服务攻击。6．治理系统的安全风险治理系统的安全风险除了上面提到的系统风险之外，系统之间，特不是其他单位和XX单位网络之间存在专门大的安全隐患。系统结构复杂、治理难度大，存在各种服务，哪些服务对哪些人是开放的、哪些是拒绝的都没有一定的安全划分。必须防止内部不相关人员非法访问安全程度要求高的数据，而且整个系统的正常运行也是保证银行系统日常工作正常进行的一个十分重要的方面。必须限制治理系统内各个部门之间访问权限，维护各个系统的安全访问。而由于整个系统是一个体系，任何一个点出现安全问题，都可能给相关人员带来损失。7．业务网络的安全风险 业务网络的安全程度要求是最高的，目前在XX单位网络内部运行的业务繁多，同时各其他单位通过XX单位网络也运行相关业务，给整个系统带来了专门大的安全隐患。这种隐患可能来自XX单位网络内部，也可能来自XX单位网络外部。特不是外部，必须采取有效的措施操纵和隔离XX单位网络与其他单位的网络互连，监控XX单位网络与其他单位之间的网络通信，限制对方对XX单位网络资源访问范围，权限，防范可能来自对方的安全威胁。保证内部系统安全。

方正数码防火墙解决方案本方案设计的原则和目标1．从网络安全整个体系考虑，本次防火墙选择原则是：安全性：防火墙提供一整套访问操纵/防护的安全策略，保证系统的安全性；开放性：防火墙采纳国家防火墙相关标准和网络安全领域相关技术标准；高可靠性：防火墙采纳软件、硬件结合的形式，保证系统长期稳定、安全运行；可扩充性：防火墙采纳模块化设计方式，方便产品升级、功能增强、调整系统结构；可治理性：防火墙采纳基于windows平台GUI模式进行治理，方便各种安全策略设置；可维护性：防火墙软件维护方便，便于操作治理；2．通过在XX单位网络系统中设置防火墙的安全措施将达到以下目标：爱护基于XX单位网络的业务不间断的正常运作。包括构成XX单位网络的所有设施、系统、以及系统所处理的数据（信息）。XX单位的重要信息在可控的范围内传播，即有效的操纵信息传播的范围，防止重要信息泄露给XX单位外部的组织或人员。解决网络的边界安全问题保证网络内部的安全实现系统安全及数据安全在用户和资源之间进行严格的访问操纵（通过身份认证，访问操纵）建立一套数据审计、记录的安全治理机制（网络数据采集，审计）融合技术手段和行政手段，形成全局的安全治理。为了解决人民银行内联网面临的安全问题，有必要建立一整套安全机制，包括：访问操纵、入侵检测等多个方面。信息系统的安全是一个复杂的系统工程，涉及到技术和治理等多个层面。为达成以上目标，方正数码在充分调研和分析比较的基础上采纳合理的技术手段和产品以构建一个完整的安全技术体系，同时通过与XX单位的共同工作，协助XX单位建立完善的安全治理体系。防火墙选型防火墙是网络安全领域首要的、基础的设施，它对维护内部网络的安全起着重要的作用。利用防火墙能够有效地划分网络不同安全级不区域间的边界，并在边界上对不同区域间的访问实施访问操纵、身份鉴不、和安全审计等功能。防火墙按实现的方式不同，其差不多类型有：包过滤型、代理(应用网关)型和复合型。复合型防火墙是在综合动态包过滤技术和代理技术的优点的情况下采取的一种更加完善和安全的防火墙技术。其功能强大，是以后防火墙技术进展的一个要紧趋势。综合考虑人民银行网络安全实际情况，在本方案中采纳方正数码的方正方御（FG-P）复合型防火墙，放置在XX单位与其他单位连接的各个叶节点。防火墙设置及工作模式依照XX单位网络防火墙要求和实际情况，防火墙整体布局如下：插入图片在XX单位与其他单位有连接的点采纳防火墙技术。每个节点防火墙设置具体如下图：插入图片1.防火墙提供三个接口：内网、外网、DMZ；2.防火墙工作在路由模式，对外采纳NAT技术，隐藏内部真实地址；3.将对外服务的各种服务设备放置在DMZ区域，和内部网络严格区分开，保证内部系统安全。考虑到安全问题，系统中的结构需要调整，将原来其他单位对XX单位内部网络的访问调整到对DMZ的访问。不轻易同意其他单位对XX单位内部网络进行访问。防火墙功能设置及安全策略规则操纵：通过方正方御防火墙提供的基于TCP/IP协议中各个环节进行安全操纵，生成完整安全的访问操纵表，那个表包括：■外网对DMZ内服务访问操纵。将外部对内部、DMZ内服务访问明确限制，防止非法对内部重要系统，特不是业务系统的访问。利用DMZ的隔离效果，尽量将对外服务的部分服务器放置在DMZ区域，通过NAT方式，爱护内部网络免受攻击。关闭操作系统提供的除需要以外的所有服务和应用，防止因为这些服务和应用自身的漏洞给系统带来的风险。对内部E-mail、FTP、WWW、数据库的访问做严格的规划和限制，防止恶意攻击行为发生。■内部网络：内部网络对外部网络的访问也要进行严格的限制。防止内部职员对外网资源的非法访问。对内部职员对外访问采纳NAT方式访问。同时内部职员对DMZ区域服务器访问也必须做限制。内部职员对外网WWW访问采纳代理方式。■DMZ访问：通常情况下DMZ对外部和内部都不能主动进行访问，除非专门的应用需要到内部网络采集数据，能够有限地开放部分服务。借助方正方御防火墙提供的基于状态包过滤技术对数据的各个方向采纳全面安全的技术策略，制定严格完善的访问操纵策略保证从IP到传输层的数据安全。针对XX单位系统中的网络风险能够通过严格的访问操纵表来进行限制。IPMAC地址捆绑：方正方御防火墙提供灵活而方式多种的内部网络、DMZ区域、外部网络IPMAC地址捆绑功能，将每台机器的IP地址和它自身的物理地址捆绑，有效防止内部网络、DMZ区域、外部网络的IP地址盗用（该功能实质是将网络协议第二层地址和第三层地址进行捆绑，达到一定的安全级不）。内部系统应该尽量采纳固定IP分配方案。通过IPMAC地址捆绑，也能够对后期数据日志分析带来一定的方便性。URL拦截：在XX单位网络上存在各种需要对外保密的信息。方正方御防火墙实现了透明的URL拦截功能，对通过防火墙的应用层URL进行严格的操纵和治理，按照用户的要求进行拦截。外部对DMZ、内部URL访问进行操纵，同时也能够限制内部网络对外部网络URL非法访问。在该方案中我们将对内部网络和外部网络情况具体了解，对URL拦截达到页面级不。有效爱护www应用的安全。内置入侵检测（IDS）方正数码公司和国际网络安全组织合作，能够实时获得最新系统入侵库代码，动态地将这些攻击技术的解决方案加入到方正方御防火墙中,同时在方正方御防火墙内部采纳3I技术，加速应用层安全防护查询过程。方正方御防火墙目前能够支持1500种以上的入侵检测并能够成功阻断如此的攻击行为，比如最近的红色代码。针对各种攻击行为，比如TCP序列号攻击、劫持、碎片攻击、端口扫描能够识不阻断。而那个数据库能够实时更新、升级。升级在方正方御防火墙界面即可完成。IDS和访问策略形成互动。通过防火墙嵌入的IDS功能能够有效防范对内部Windows/NT，Unix系统的攻击行为。代理服务方正方御防火墙对外提供代理服务功能，XX单位内部网络对外访问能够通过防火墙提供的代理服务功能，同时代理服务能够针对URL,SSL,FTP进行应用拦截，防止内部人员对外网的非法访问。NAT地址转换将XX单位内部网络和DMZ区域网络地址通过NAT方式转换，隐藏真实IP地址，防止内部网络受到攻击。具体转换方式确实是将内部网络和DMZ区域机器的地址全部转换成防火墙外网卡地址，对外XX单位只有一个地址。而借助防火墙的多映射功能，能够将对外的同一地址映射为内部网络和DMZ区域不同服务的不同端口。日志系统及系统报警方正方御防火墙提供强大的日志系统，将通过防火墙的数据、防火墙治理数据、流量、各种攻击行为统计集成到一起。同时系统提供针对各种统计结果按照用户要求进行报表打印。针对通过防火墙数据，能够按照数据类型、地址进行统计分析。针对各种治理数据，防火墙进行详细记录，网管人员能够方便的查看对防火墙治理情况。假如有内部人员对防火墙访问，能够通过治理数据进行查询。流量统计：防火墙提供流量统计功能，能够按照用户名称、地址等多种方式进行统计。系统报警：当有人非法对内部网络或者外部网络进行访问的时候，系统的实时报警会通过E-mail和声音进行报警。同时对各种非法的访问和攻击行为进行记录。通过强大的日志系统和实时报警、日志报警等多种方式保证XX单位内部网络出现安全问题时能够有资料分析；同时也能够通过对日志系统的分析完善系统安全策略。带宽分配，流量治理在XX单位网络上运行着部分重要的业务数据，这些业务数据实时性要求高，必须保证如此的数据具有优先权限，防止因为带宽问题阻碍XX单位的应用。方正方御防火墙能够针对XX单位实际情况，对部分专门应用提供带宽治理。给专门应用分配相对高的带宽。同时方正方御防火墙提供流量治理功能，对内部网络用户对外网的访问能够提供流量限制。集中治理针对XX单位网络覆盖面广、区域跨度大的特点，防火墙需要集中治理和操纵。方正方御防火墙提供集中治理机制，支持远程治理。利用NT域的概念和技术，方正方御防火墙能够对同一个域内的不同防火墙进行同时治理。我们考虑在XX单位的总行以及各个大区行采取集中治理机制。按照防火墙的分权原则，将策略治理放置在各个防火墙节点。策略整体由XX单位总行策划，各个节点自己进行策略治理。而系统治理和日志查询放置在各个大区行，统一治理、分析。防火墙提供治理接口，同时支持远程治理，治理数据采纳RC4/MD5方式加密，能够有效保证治理的安全性，同时治理数据只在XX单位网络流淌。而防火墙自身能够对治理员地址进行严格限制。预制模板XX单位网络复杂，然而结构清晰，为了更好的维护整个系统安全和适应XX单位统一治理、安全强度一致的原则，方正方御防火墙提供预制模板功能。能够通过XX单位统一制订一个策略模板，各个节点网络在那个模板基础上进行规划，简化治理过程，使得系统治理难度降低。H.323支持XX单位网络运行着视频会议数据（H.323）。方正方御防火墙能够准确识不H.323数据流，让数据合法通过。按照正常的状态检测技术，H.323数据可能被阻断。在方正方御防火墙内部成功的进行了UDP、TCP数据同步分析。系统能够识不H.323连接，保证H.323数据通过。系统升级网络安全技术随着网络技术进展不断变化，而网络安全策略和软件也不能一成不变，需要不断升级。方正方御防火墙治理界面提供方便的系统升级和IDS升级功能。保证XX单位防火墙产品实时和网络安全领域技术同步，防止因为新的安全问题给系统带来的安全风险。其中，特不是IDS功能，几乎每天都有新的安全风险和攻击软件出现。方正防火墙内嵌IDS功能模块能够动态升级，保障IDS数据库和最新动态同步。双机备份网络安全、稳定长期运行是XX单位最终目标，而网络硬件可能因为一些专门缘故发生故障。方正方御防火墙提供双机备份功能，采纳两种方式进行备份检测，软件方式借用HSRP技术动态跟踪各个区域运行状态，发觉任何一个区域出现问题即刻进行切换。硬件方式采纳心跳线方式，当系统检测到故障，也将进行切换。而系统的切换不阻碍XX单位的业务。两台防火墙工作在互备模式中。防火墙方案特点本次XX单位网络防火墙要紧设置在和其他单位连接的节点上。本方案中，我们要紧依照XX单位网络实际情况，针对防火墙的专门性，从如下几个方面考虑保障系统安全性防火墙放置在内外网之间用来隔离内部网络和外部网络，对内外网络的通信进行严格的治理和监控，防火墙必须提供全面的安全策略保证内部系统安全。因此方正方御防火墙提供全面的访问操纵策略、IPMAC地址捆绑、IDS入侵检测、反电子欺骗等手段。这些功能能够有效的保障内部网络安全。同时方正方御防火墙也提供带宽治理、分配，系统报警等措施从侧面协助。自身安全性防火墙作为网络系统中的一个部件，其自身的安全性也是十分重要的，考虑到实际情况，方正方御防火墙提供单独的治理接口，治理接口服务全部关闭，同时治理接口的专门治理数据采纳标准加密算法和措施。XX单位远程治理过程中数据通过XX单位网络进行治理能够有效的保证治理的安全性。同时，利用WindowsNT中域技术，对防火墙治理时必须登录到相应的域才能对域内的用户进行治理，保障治理域安全性。而防火墙操作系统采纳通过严格测试专有操作系统。维护方便性治理的方便性直接关系到系统能否起到安全爱护作用，方正方御防火墙提供的专有GUI平台，方便制订各种安全策略。系统事件治理系统事件和日志的统计直接关系到整个安全平台的完善和后续责任追查等多个方面，方正方御防火墙为用户提供完整、准确的数据统计结果，供查询、打印等。

工程实施方案项目实施原则考虑到本项目是一个涉及分布XX单位分支机构且对参与技术支持的单位及使用单位要求专门高，因此我们认为本项目应在XX单位集中领导、协调，方正数码公司全力支持的情况下进行，以上是本项目实施的差不多思路。合同签订时期的工作实施本时期应是项目实施的重要时期，XX单位与方正数码公司双方应协调本方相关单位,为项目的实际进行建立起有效的协调体系及最大限度地做好预备工作。为达到上述目的，双方应做如下工作：1．建立协调领导小组协调小组组成人员及联络表如下:项目组联系表部门人员责任分配联系方式项目总负责防火墙负责人系统及网络部分负责人商务实施负责人…………讲明：具体信息需XX单位提供。方正数码公司协调小组组成人员及联络表如下:

2．方正数码公司及授权服务商工作预备首先方正数码公司将防火墙发送到授权服务商处，组织服务商进行项目培训并完成防火墙规则的配置。最终发送到用户现场，由方正数码有限公司工程师安装、调试，保证系统平稳过渡，保证系统安全。授权服务商负责协助工作发货时期的实施1.XX单位负责：提供本方使用单位的详细信息，所需信息列表如下:用户分布及联系表单位名称负责人工程师联系方式地址建议安装顺序配置讲明：具体信息需XX单位用户在到货前提供。为使安装、测试、发货工作更好地实施，上表应在合同签订时期向方正数码公司提供。

项目名称：接收单位名称：地址：联系人：电话：防火墙型号：项目名称：接收单位名称：地址：联系人：电话：防火墙型号：到货后工作的实施XX单位组织人员在固定地点集中培训（预备培训环境）。方正数码公司协调服务商配合XX单位组织的培训。方正数码公司工程师上门培训方正数码公司工程师协助XX单位制定防火墙实施方案及安全策略在规定时刻内实施本进程表所有时刻以合同签订之日开始计算，合同签订当日记作零日日期内容负责/参加者第1日联系厂商发货获得用户技术人员培训清单XX单位预备培训文件和教材方正数码培训中心布置培训场地XX单位、方正数码培训教师第2日到第8日网络安全培训（具体培训安排见培训方案P页）方正数码培训教师第9日获得各单位据体网络拓扑结构，检查到货设备硬件设备清单XX单位技术人员方正数码技术工程师第10日到第*日开始工程实施实施小组人员各单位的技术人员第*日到第*日工程终验XX单位实施小组人员注：以上时刻安排，按照具体情况和XX单位的统一安排，能够作相应调整测试及验收测试及验收描述在整个项目实施过程中，有3个重要的验收，它们是单点验收、初验和终验。下面是这三个验收通过的描述：系统初验功能测试功能测试要紧是为了验证所完成的网络系统是否具有合同所描述的或超过合同要求的各项功能，要紧有：1.网络的连通性测试2.各应用系统功能的实现3.网络治理功能的实现4.实际数据传输的测试性能测试性能测要紧是检验所完成的网络系统的性能优劣，要紧有：1.网络的承载能力2.各网络设备相应速度3.各应用系统的服务提供功能和能力实施人员总调度人：马虔资深网络安全专家，现任方正数码安全服务中心服务经理曾任美国ISS（安氏）公司资深网络安全工程师实施人：王辉现任方正数码安全服务中心高级工程师实施人：贾爽现任方正数码安全南方服务中心高级工程师实施人：韦巍现任方正数码安全北方服务中心高级工程师实施人：赵学峰现任方正数码安全南方服务中心高级工程师安全顾问：朱圣波现任方正数码资深安全服务顾问

培训方案为保证用户对系统的熟练掌握，方正数码公司为用户提供完善的培训课程。培训目标掌握网络安全的差不多知识掌握各产品的工作原理能熟练操作配置系统能进行日常维护能熟练地依照业务需要进行一定的系统调整。培训课程TCP/IP基础网络安全基础防火墙基础方正方御信息安全产品介绍防火墙的实施和使用防火墙规则配置分析常见故障的推断与排除培训方式理论授课、上机实习培训时长2-4工作日培训地点由XX单位统一安排进行培训培训人数及时刻安排1、一般用户培训：每个用户*个培训名额，时刻为*天，内容包括防火墙的差不多知识、常规配置、故障的应急处理、简单的日志分析等。第一天上午：网络安全基础概述第一天下午：防火墙差不多知识第二天上午：防火墙安装与配置第二天下午：上机实习第三天上午：防火墙规则分析与日志分析第三天下午：上机实习第四天上午：故障排除第四天下午：技术答疑2、专业技术人员培训：约*个培训名额，时刻*天，内容除一般用户培训内容外，还包括依照自身的安全需求制定本局域网的安全策略，对日志进行分析，并依照分析结果完善安全策略等高级应用服务。第一天上午：TCP/IP基础概述第一天下午：网络安全基础概述第二天上午：方正方御信息安全产品介绍第二天下午：防火墙差不多知识第三天上午：防火墙软硬件安装配置第三天下午：上机实习第四天上午：防火墙配置方法（一）第四天下午：上机实习第五天上午：防火墙配置方法（二）第五天下午：上机实习第六天上午：防火墙规则分析与日志分析（一）第六天下午：上机实习第七天上午：防火墙规则分析与日志分析（二）第七天下午：上机实习第八天上午：故障排除第八天下午：技术答疑注：以上培训内容和时刻安排，按照具体情况和宁波市政府的统一安排，能够作相应调整培训讲师马玉书现任方正数码网络安全技术培训中心负责人、高级讲师曾经负责中国人民银行网络安全培训中国武装警察部队网络安全培训中国人民解放军总参网络安全培训方正数码网络安全工程师认证培训等入学要求计算机使用熟练：熟悉windows系统具有差不多网络知识：熟悉路由器、交换机、集线器等差不多网络设备。有组建简单局域网络的能力。有组建简单TCP/IP网络的能力。（有防火墙此类安全产品使用经验者更佳）

方正数码全程服务方正数码有限公司是一家研发和制造网络安全设备的专业厂商。利用先进的产品和完善的服务协助用户保证网络的正常运行方正数码有限公司在强化自身网络安全产品性能和质量优势的同时，还与方正电脑强强联合建立了遍布全国各省、自治区、直辖市的售后服务全国联保体系，为用户提供真正的无处不在的“方御全程服务”。便捷、亲切、快速的服务网络能够在最短时刻内关心用户维修或更换网络安全设备，排除故障，有效的保证用户的网络安全防护体系的不间断性和高可靠性。方正数码有限公司服务的宗旨是追求客户100％的中意，客户是服务的核心。一支优秀的服务队伍应该能为客户排忧解难、为客户出谋划策、为客户制造价值，“产品的服务”必需延伸为“客户的服务＋技术的服务”。为此，方正数码有限公司在推出网络安全解决方案之初就同步构建了完善的服务体系，方正数码有限公司服务的竞争力正是来源于对技术领域的不断投入和对客户需求的正确理解。因此方正数码在提供全线的网络安全产品的同时，还向用户提供网络安全咨询、网络安全评估、网络安全培训、网络安全增值等服务模块，全面关心用户解决信息安全的各种困扰和难题，让用户全无后顾之忧，轻松应对。“客户是服务的核心，技术是服务的保障”，这确实是方正数码的服务价值观。方正数码售后服务体系结构介绍方正数码有限公司以北京为核心，在全国范围内建设三层结构安全服务体系，为用户提供全方位的网络安全服务。全国授权服务商全国授权服务商大区平台（北京，上海）方正数码用户技术支持技术支持技术支持技术培训技术培训技术支持方正数码有限公司安全产品技术支持中心（TechnicalSupportCenter）是售后服务体系的服务治理中心和技术支持核心。作为技术支持的核心，方正数码有限公司继承了方正集团的传统技术优势，有着一批以北大，清华博士，硕士为核心的技术专家，技术支持中心协助各大区平台、服务商、代理商向用户提供完善的售后服务，关心解决下属技术支持部门不能解决的问题，保证防火墙等安全产品在用户网络上的正常运行。技术支持中心向用户和第一、二层技术支持提供电话咨询。技术支持部向用户提供产品培训，协助用户掌握产品信息、产品特性以及产品的实施和使用。还向用户提供完整的网络安全方案的咨询，产品咨询，安全服务咨询。在用户需要时，也能够提供提供收费的安装调试服务。电话：（010）68419468售后服务部向用户提供问题解答、软件升级、网络安全培训等服务。解除用户在产品使用中的后顾之忧，关心用户保证网络正常运行。售后服务热线：8008101353。未开通800免费业务的地区和手机用户请拨打（010）68425375服务网站：电子邮件：sharks@方正数码安全产品授权服务商为用户提供一线服务：方正数码通过与方正电脑强强联合，在全国30个省、自治区、直辖市建立专业的方御全程授权服务网络，为用户提供本地化的售后服务。每个授权服务商处都有备机备件库，以最快捷的速度协助客户解决问题。“方御全程服务”遍布全国所有直辖市及省会都市为客户提供优质快捷的售后维修服务，给客户以信心的保证方正数码售后服务内容售后服务内容技术培训:为了让用户能够更好的架构自己的网络安全系统，方正数码培训中心提供网络基础、防火墙知识及网络安全培训。培训课程包括TCP/IP基础、网络安全基础、防火墙的实施和使用以及防火墙规则配置分析。假如用户通过了方正数码培训中心的防火墙及网络安全工程师的认证考试，能够获得方正数码网络安全工程师认证证书。（详见培训方案）产品答疑：假如用户在产品使用过程中有任何问题能够拨打我们的免费热线电话800-810-1353(未开通800免费业务的地区请拨或给我们发电子邮件(sharks@)进行咨询，我们会在第一时刻解答您的疑问。故障诊断：当我们的产品出现故障时，用户能够通过我们的热线电话800-810-1353(未开通800免费业务的地区请拨通知我们，我们能够提供包括电话指导、上门服务等形式关心用户诊断故障并快速解决。现场支持(周一至周五9:00-18:00，节假日除外)：关于通过电话无法解决的问题，方正数码或授权代理服务中心将派出工程师到用户现场为用户提供现场产品调试服务，保证网络安全产品在客户的网络系统上正常运行。版本升级：我们会不定期地提供防火墙的内核及入侵检测库的升级包，用户能够通过我们的网站（）下载升级包，升级自己的防火墙。保修服务：方正数码对本公司的网络安全产品制订了为期一年的免费保修期，在此期间，方正数码将通过遍布全国30个省市、自治区的专业授权维修站对本公司产品进行免费维修。免费保修期后，方正数码仍然提供完善的服务来保证网络安全产品的正常运行。保驾服务：为了保证用户购买的方御网络安全产品长期正常运转，如用户需要，方正数码能够安排专业的网络安全工程师对用户的网络安全产品进行定期巡检服务，包括定期回访、设备检测及设备调试等服务。具体服务内容包括：设备状态检测，保证方正数码网络安全产品长期稳定的运行设备调试，保证方正数码网络安全产品以最佳状态运行检查用户的方正数码网络安全产品部署、配置情况，提出网络安全建议用户安全规则的范围内，协助用户配置方正数码网络安全产品用户意见处理：方正数码始终认为用户提出的意见和建议是推动我们前进的动力之一，为此我们会及时、快速地处理用户的意见和建议，将其分类、汇总并记入我们的数据库，以便于我们不断地对产品进行改进和完善。用户可通过免费热线800-810-1353(未开通800免费业务的地区请拨反映意见和建议。2．售后维修服务流程方御防火墙部分用户名单政府/军队：银行：中国武警总部及全国武警总队中国人民银行总行国家药监局中国人民银行上海分行国家中纪委中国人民银行浙江分行空军气象局中国人民银行福建分行北京工商局中国人民银行湖南分行上海海关中国人民银行湖北分行云南国土资源厅中国人民银行安徽分行四川国土资源厅中国人民银行江西分行四川交警总队中国人民银行广西分行重庆计生委中国人民银行海南分行南京财政局山西农行包头工商局沈阳建行温州国税合肥商行上海浦东财政局辽宁鞍山商行南海市劳动局辽宁葫芦岛商行镇江供电局温州建行温州气象局河南新乡隧道局企业：电信：方正科技中国电信总公司方正电子北京电信方正数码上海电信南京普天中国网通深圳人保北京网通河南许继集团河北电信河北省电建二公司辽宁移动哈尔滨电机厂山西移动内蒙通辽发电总厂宁夏移动北京安好网络技术有限公司皖能集团秦皇岛国际信托公司教育及科研机构：网站：国家人类基因组北方研究中心2008北京官方申奥网站山东财经学院YAHOO中国浙江大学中社网浙江武装警察学校香港珠宝网安徽中医学院方正网商承德医学院中国体育在线中国教育网河北师大节点上海在线7135.COM河北邢台师专陕西校校通工程上海OA365.COM华义游戏网广电报业：湖南经济电视台合肥有线电视台芜湖有线电视台山东济南广电局安徽芜湖广电局江苏江阴广电局广西柳州广电局山东聊城广电宽带网中国证券报网络版安徽日报南京日报郑州日报扬子晚报沈阳晚报北方晨报浙江舟山日报合肥新安晚报

附录A防火墙与入侵检测的选型我们采纳方正最新型方正方御防火墙。方正方御防火墙是一个专门优秀的防火墙，同时它集成强大的入侵检测功能。方正方御防火墙是国内第一个通过公安部公共信息网络安全监督局新防火墙认证标准的包过滤级防火墙产品，同时通过了XX单位解放军安全测评认证中心、国家保密局和中国国家信息安全测评认证中心的严格认证。方正数码公司简介作为方正集团互联网战略的实施者，方正数码将自身定位于电子商务的“赋能者”，其业务涉及互联网与电子商务的技术研究应用与系统集成、网络市场营销服务、空间信息应用、无线互联以及电子商务的咨询服务等方向，以关心政府、行业、企业、网站、电子商务的运营者在互联网时代健康成功的进展为己任。要给电子商务运营者赋能，先要给安全赋能。方正数码首先推出的确实是方正方御互联网安全解决方案。方正方御是在通过一年多的大量投入和深入的研究后，提出的一套基于中国国情、全部自主开发、具有领先优势的解决方案。它是一套整体的集群平台，能够解决互联网运营商最为关切的安全性、高可靠性、可扩展性和易于远程治理的问题。目前这套方案差不多得到国家有关部门的大力支持，被国家经贸委列为国家创新打算项目之一。另外，还得到了国家”863”打算的支持。在立身自主开发外，方正数码还与众多国际知名的安全公司保持着良好的合作关系，并集成了国内外最优秀的公司安全产品，为国内Internet的安全建设保驾护航。方正方御防火墙（100M）产品概述方御防火墙是方正方御中的要紧安全产品之一。由于防火墙技术的针对性专门强，它已成为实现网络安全的重要保障之一。方御防火墙是通过对国外防火墙产品的综合分析，针对我们国家的具体应用环境，结合国内外防火墙领域里的最新进展，在面向IDC和中小企业的防火墙的基础上，提出的一种具有强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的安全可靠的专用防火墙系统。方正方御防火墙不仅仅是一个包过滤的防火墙，而且包括了大量的有用模块，能够为用户提供多方面的服务。方御防火墙爱护如下模块：系统特点一体化的硬件设计方正方御防火墙采纳了一体化的硬件设计，采纳了自己的操作系统，无需其他操作系统的支持，如此能够发挥硬件的最大性能，同时也提高了系统的安全性。双机热备份通过双机热备份，本系统提供可靠的容错/热待机功能。备份防火墙服务器中存有主防火墙服务器的设置镜像，当主防火墙因为某些缘故不能正常运作，备份服务器能够在12秒钟内取代主服务器运作，充分保证整个网络系统运作的稳定性。完善的访问操纵方正方御防火墙符合国家最新防火墙安全标准，采纳了三级权限机制，分为治理员，策略员和审计员。治理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的治理和审计中的授权机制。如此他们共同地负责起一个安全的治理平台。多种工作模式方正方御防火墙能够工作在网桥路由两种模式下，如此能够方便用户使用。使用在网桥模式时在IP层透明，使用路由模式时能够作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换。防备DOS，DDOS攻击一般的防火墙差不多上采纳限制每一网络地址单位时刻内通过的SYN包数量来抵御DDOS攻击，然而通常网络攻击者都会随机的伪造网络地址，因此这种方法防范的效果特不差，不能从全然上抵御DDOS攻击。方正方御防火墙修改了TCP/IP堆栈的算法，使得新的syn连接包能够正常通过，幸免了由于大量的攻击SYN包造成网络的堵塞。状态检测方正方御防火墙能够依照数据包的地址、协议和端口进行访问操纵，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是依照规则表进行匹配，而方正方御防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合来对网络状态进行操纵。代理服务用户能够设置代理服务器端口来启动代理服务器功能，而且通过设置使用代理服务器用户帐号密码和访问操纵来维护安全性。代理服务的访问操纵特不的完善，能够对时刻、协议、方法、地址、DNS域、目的端口和URL来进行操纵。用户完全能够通过设置一定的条件来符合自己的要求。双向网络地址转换系统支持动态、静态、双向的NAT。当用户需要从内部IP访问Internet时，NAT系统会从IP池里取出一个合法的InternetIP，为该用户建立映射。假如需要在Intranet提供让外部访问的服务（如WWW、FTP等），NAT系统能够为Intranet里的服务器建立静态映射，外部用户能够直接访问该服务器。双向网络地址转换为企业用户连接到Internet提供了良好的网络地址隐蔽，同时能减少IP占用，替用户节约费用。提供DMZ区除了内部网络界面和外部网络界面，系统还能够再增加一个网络界面，让治理员灵活应用。如建立DMZ（军事独立区），在其中放置公共应用服务器。带宽治理和流量统计方正方御防火墙系统使用流量统计与操纵策略，可方便的依照网段和主机等对流量进行统计与操纵治理。用户能够通过设置源地址到目的地址单位在时刻内同意通过的流量以及协议和端口来进行带宽操纵。日志审计审计功能是方正方御防火墙特不强大的一个部分，目前国内防火墙的审计功能都特不不完善，方正方御防火墙提供了大量的审计内容和对审计内容的查询功能，由于日志可能对一般用户比较难以理解，而我们将日志记录分成了若干部分，而其中每一部分都能够进行查询和治理，如此用户就能对防火墙的情况有一个特不透彻的了解。入侵检测方正方御防火墙入侵检测系统采纳了可扩展的检测库方法，目前能够抵御1000多种攻击方法，而且能够通过升级检测库的方法来不断的抵御新的攻击方法。用户还能够自定义攻击检测库来符合自己的要求。自动报警和防范系统方正方御防火墙一旦检测到有黑客进行攻击，会在第一时刻内在操纵机上进行报警，而且同时会自动封禁掉攻击者的IP地址，如此能够做到防火墙的防范完全自动化，而不象一般的防火墙那样需要人工干预。基于PKI的授权认证方正方御防火墙的授权认证是基于PKI基础之上，因此完全性极高。PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等差不多成分共同组成的。快速安装配置方正方御防火墙的安装和配置特不方便，治理员只要设定好网络设备的IP地址，然后使用系统提供的一些典型配置模板，适当的修改一些规则来符合要求。除此以外还能够添加系统提供的一些子模板来实现一些特定的功能。图形治理界面用户能够通过图形界面对防火墙进行配置和治理。而且也能够通过图形界面来治理审计内容，而不象有些防火墙是通过命令行方式进行配置。完全中国化的设计方正方御防火墙是由方正数码自行设计和制作的，充分考虑了中国国情，除了界面、关心文档、使用讲明完全中文化外，还加入了一些小型模板用户给治理员配置防火墙。集中治理方正方御防火墙采纳基于WindowsGUI的用户界面进行远程集中式治理，配置治理界面直观，易于操作。能够通过一个操纵机对多台方正方御防火墙进行集中式的治理。方御防火墙（百兆）的性能项目指标最大并发连接数>=200,000内核处理速度>=750M100M端口吞吐量>97M百条规则下平均吞吐量(fps)>94M延时10ms丢包率（百条规则）0%MTBF>=30000小时最大规则数>=1400条方正方御防火墙功能讲明多种工作模式方正方御网络安全产品能够工作在交换和路由两种模式下：A：交换模式：3个端口构成一个以太网交换机，产品本身没有IP地址，在IP层透明。能够将任意三个物理网络连接起来构成一个互通的物理网络。当产品工作在交换模式时，内网、DMZ区和路由器的内部端口构成一个统一的交换式物理子网，内网和DMZ区还能够有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置。B：路由模式：产品本身构成3个网络间的路由器，3个界面分不具有不同的IP地址。三个网络中的主机通过该路由进行通信。当产品工作在路由模式时，能够作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也确实是讲，内网和DMZ都能够使用保留地址，内网用户通过地址转换访问Internet，同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。在没有安装方御网络安全产品的时候典型网络结构图如下:在安装了方御网络安全产品的时候网络结构图如下:包过滤防火墙方御防火墙的要紧功能是对指定IP包进行包过滤，同时按照设定策略对IP包进行入侵或流量等活动的统计，并记入日志中，供用户察看。要紧依照IP包的如下信息进行过滤：IP包的源IP地址IP包的目的IP地址IP包的协议类型（包括IP、ICMP、TCP、UDP等协议）IP包的源TCP/UDP端口IP包的目的TCP/UDP端口ICMP报文类型域和代码域碎片包IP包的其它标志位，如SYN，ACK位等高效包过滤有些防火墙在安装上以后对WEB服务器的吞吐能力阻碍专门大，造成性能的降低。由于方御防火墙采纳了3I智能IP识不技术（IntelligentIPIdentifying），能够实现快速匹配。因此方御防火墙可不能对性能造成任何阻碍。方御防火墙优化了算法，使最大并发连接数能够达到250,000个以上，而一般的防火墙的最大并发连接只能达到几万个左右。强大的状态检测功能方御防火墙能够依照数据包的地址、协议和端口进行访问操纵，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配，而方御防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合，在继承了传统包过滤系统对应用透明的特性外，还大大的提高了系统的性能和安全性。其他的防火墙大多采纳传统的规则表的匹配方法，随着安全规则的增加，势必会使防火墙的性能大幅度的减少，造成网络拥塞。状态检测的具体过程如下：防火墙的其它功能双向NAT方御防火墙支持在内部网和DMZ区使用保留的IP地址，通过动态的地址转换功能实现对外部网的访问。方御防火墙以两种方式支持NAT：√源地址转换(正向NAT)，即内部地址向外访问时，发起访问的内部IP地址转换为指定的IP地址（可含端口号或者端口范围），这能够使内部使用保留IP地址的主机访问外部网络，即内部的多个机器能够通过一个外部有效地址访问外部网络。例如，内部地址对外部的访问能够被修改为一个合法的互联网地址00，同时能够限定其端口范围为80~82。√目的地址转换（反向NAT），即外部地址向内访问时，被访问的IP地址（可含端口号或者端口范围）被转换为指定的内部IP地址（可含端口号或者端口范围），能够支持针对外部地址服务端口到内部地址的一对一映射，内部的多台机器的服务端口能够分不映射到外部地址的若干个端口，通过这些端口对外部提供服务。例如。假如外部的计算机要访问地址为00的主机时，他实际上访问的会是一台IP地址为的主机，外部的计算机能够任意的访问00主机上面的所有端口，这些访问都会转到的相同端口上，如此就突破了以往防火墙做反向NAT时都必须和服务端口绑定的限制（即00:80:80），因此，假如用户需要，也能够和以往的防火墙一样，做端口绑定。带宽治理和流量统计方御防火墙系统使用流量统计与操纵策略，可方便地依照网段和主机等对流量进行统计与操纵治理，以防止线路资源的非许可消耗，有效地治理带宽资源，从而使网络得到有效利用。方御通过设置每小时同意通过的网络流量和最大突发流量来实现带宽治理和流量统计的功能。代理服务器功能关于扫瞄器用户来讲，方御是一个高性能的代理缓存服务器，方御支持FTP、HTTP协议。和一般的代理缓存软件不同，方御用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。方御将数据元缓存在内存中，同时也缓存DNS查询的结果，除此之外，它还支持非模块化的DNS查询，对失败的请求进行消极缓存。方御支持SSL，支持访问操纵。由于使用了ICP（轻量Internet缓存协议），方御能够实现层叠的代理阵列，从而最大限度地节约带宽。用户能够在客户治理中，通过设置客户权限，为用户提供代理服务模式，在访问规则中设置“禁止用户访问的站点”和“仅同意访问的站点”，同时还能够建立URL级的访问限制，通过建立禁止用户访问的URL列表，方御防火墙能够对该列表进行匹配，禁止对列表中的URL的访问。违反限制规则的访问企图将被记录到系统日志中。方御防火墙提供的URL级的屏蔽功能，能够使治理员屏蔽某些URL，如色情、反动的主页等。另外通过对内部网的WWW服务器的某些URL屏蔽，能够消除服务器本身的安全漏洞，从而对WWW服务器进行爱护。IP地址和MAC地址绑定计算机中每一块网卡都具有一个唯一的硬件物理地址标识号码，即网卡的MAC地址，MAC地址与网卡一一对应。为解决IP地址欺骗和盗用的问题，系统提供了IP地址和MAC地址（网卡）一一绑定的功能，要紧用于绑定一些重要的治理员IP地址和特权IP地址。IP地址和MAC地址绑定后，即使某个用户盗用了此网卡的IP地址，在通过防火墙时也会因网卡的MAC地址不匹配而拒绝通过。双机热备方御在桥模式下能够在网络中智能的查找其对等的备份机，同时使备份机自动进入等待状态，而一旦备份机发觉主工作机失效，可及时的启动，防止网络中断事故的发生。在路由模式下，方御提供手工设置双机热备功能。目前，能够支持两台方御在网络上进行主从备份，或者互为备份。复杂不名机制复杂不名机制是方御防火墙的一类方便有用，也专门重要的功能，方御防火墙使用端口不名和子网不名来代替相关的端口号和子网地址，关心用户治理多个网段和多个端口的地址。用户能够在混合模式里用一个不名来治理一组离散的网段地址，或者是离散的端口值。在大部分的其他功能模块里都要使用这些不名来进行配置。授权等级遵循国家有关安全标准规定，方御作了四级授权：实施域治理权、策略治理权、审计治理权、日志查看权。实施域治理权包括：向实施域中增删治理员帐号，增删防火墙设备，设置双机热备，切换防火墙桥/路由模式，为治理员授策略治理权和审计治理权；策略治理权包括：配置防火墙各个模块的策略，如包过滤策略，入侵检测策略，NAT策略，流量操纵策略，用户认证治理、Proxy策略等等；审计治理权包括：设置日志满时系统的策略，为治理员授日志查看权，清空日志等；日志查看权包括：查询日志，生成统计报表等。拥有实施域治理权的仅有Admin帐号；且Admin也仅有实施域治理权，而没有策略治理权及审计治理权。其他治理员（指除了Admin以外的治理员）的策略治理权和审计治理权由Admin授予，日志查看权由拥有审计治理权的治理员授予。可定制的防火墙模板方御防火墙的预置模板功能是将针对典型应用的几条防火墙规则整合成为模板，利用填空方式配置，简化了用户的配置工作。强大的审计功能方御防火墙提供了大量的审计内容和对审计内容的查询功能，由于日志可能对一般用户比较难以理解，而我们将日志记录分成了若干部分，而且就每一个部分差不多上能够进行查询和治理的，如此一来就能够是用户对防火墙的情况有一个特不透彻的了解。方御防火墙中审计功能有着特不完善的权限治理，有专门的审计员来对审计内容进行治理，在审计中又分成了若干级不的权限。如此能够方便治理员治理审计内容。基于PKI的高级授权认证PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等差不多成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。方御防火墙的授权认证是基于PKI基础之上，因此完全性极高。集中治理依照美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下，这些入侵的要紧缘故并非是防火墙无用，而是由于一般的防火墙的治理及配置相当复杂，要想成功的维护防火墙，要求防火墙治理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解，而且防火墙的安全策略无法进行集中治理，这些都造成了网络安全的失败。而方御防火墙采纳基于WindowsGUI的用户界面进行远程集中式治理，配置治理界面直观，易于操作。能够通过一个操纵机对多台方御进行集中式的治理。实时操纵和日志转存治理员能够通过操纵界面对防火墙进行实时的操纵和调整，能够修改其策略和工作方式。治理员能够将日志保存起来，供以后分析使用，由于方御防火墙每天都会记录大量的日志信息，而且一些日志记录是特不有用的信息，因此方御的日志监视系统会将服务器上面的日志下载到治理员的机器上面，治理员能够对它进行编辑和保存。路由选择协议操纵 桥接模式下，防火墙内部口的三层交换机和外部路由器进行路由信息交换，交换机和路由器之间运行了RIP，EIGRP，IGRP，OSPF等IGP路由协议，防火墙必须识不这些协议，让它们通过防火墙，否则，内部网络数据将无法路由。这些协议的特点是目的地址为多播地址，对此防火墙需要识不并正确处理，在桥模式下能够灵活地操纵这些包通过或不通过。支持SNMP治理方御网络安全产品提供对简单网络治理协议(SNMP)的支持，支持V1、V2等不同版本，可与当前主流的网络治理平台如HPOpenview、CAUnicenter、CiscoWorks2000等联用，通过专业网管软件兼控方御产品运行状况。此外通过SNMP治理，方御防火墙还能够对攻击事件进行收集，转发给SNMP服务器，用户能够通过对SNMP的治理，发觉产品问题。H.323支持随着语音/影像数据的流行，网络上流淌大量的H.323数据。H.323数据流的特点是同一个数据流在不同的时刻使用不同的UDP端口，而这种端口的变化通常是靠分析数据流的内容得到的，方御防火墙采纳专门技术对实际数据流情况作出推断，以判不数据的合法性，在保证网络安全的前提下支持H.323数据合法通过。入侵检测系统反端口扫描一般黑客假如要对一个网站发动攻击，首先都要扫描目标服务器的端口，确定服务器上开启的服务，然后选择相应的入侵方式。方御入侵检测系统能够在黑客扫描网站的时候就能检测到并报警，如此在就能提早将黑客拒之于门外。方御入侵检测系统在检测到有黑客扫描服务器端口的时候会立即在攻击者的视野中消逝，从而使黑客无法进行后面的攻击。方御入侵检测系统依照配置文件监控任何和TCP，UDP端口的连接。能够对全部端口同时进行监控，同时也能够忽略指定的端口。如此就能满足不同的需求方式。能够防范1500余种攻击方式检测多种DoS攻击DoS(拒绝服务攻击)包括专门多不同的方式。在这些方式中，三种最流行的方式为使服务失效、独占或盗用资源以及删除数据。最常见的确实是服务失效方式，通过DoS攻击能够使一个服务器停止服务，从而造成巨大的损失。方御入侵检测系统能够检测包括IGMP攻击，TearDrop，LAND，WinNuke等多种DoS攻击。从而使被托管的服务器处于安全的爱护之中。和其它一样，方御入侵检测系统一旦发觉有DoS攻击，立即在线报警，记录日志。检测多种DDoS攻击Yahoo、CNN等闻名网站被黑客攻击使得防黑客成了大伙儿关注的热点。DDoS(分布式拒绝服务)是本次攻击的要紧手段。DDoS攻击的原理是入侵者操纵了一些节点，将它们设计成操纵点，这些操纵点操纵了Internet大量的主机，将它们设计成攻击点，攻击点中装载了攻击程序，正是由这些攻击点计算机对攻击目标发动的攻击。这种结构使入侵者远离攻击的目标，隐藏了入侵者的具体位置。方御入侵检测系统能够检测包括TFN，Trin00，shaftsynflood等多种DDoS工具的攻击。而这些攻击差不多上进行DDoS攻击的要紧工具。检测爱护子网中是否存在后门和木马程序后门和木马程序假如存在于网络中，会造成严峻的后果，有些后门程序导致治理员的密码被盗取，因此检测爱护子网中是否存在后门和木马程序成为入侵检测的一个重要的组成部分。方御入侵检测系统能够检测网络中是否存在流行的BO，BO2000，NetSphere，DeepThroat，WinCrash，BackConstruction等多种后门或木马程序。检测多种针对Finger服务的攻击Finger服务于查询用户的信息，包括网上成员的真实姓名、用户名、最近的登录时刻、地点等，也能够用来显示当前登录在机器上的所有用户名，这关于入侵者来讲是无价之宝，因为它能告诉他在本机上的有效的登录名。方御入侵检测系统能够检测针对Finger服务攻击的如FingerBomb，Fingersearch，FINGER-ProbeNull等扫描和攻击。检测多种针对FTP服务的攻击方御入侵检测系