【网络工程】计算机专网安全产品解决方案

【网络工程】计算机专网安全产品解决方案

计算机专网安全产品解决方案

（网络防火墙）

方正数码有限公司

2002年2月

L背景介绍5

1.1.项目总述5

1.2.网络环境总述5

1.3.业务现状6

1.4.网络信息安全概况7

1.4.1.网络安全现状8

1.4.2.典型的黑客攻击8

L4.3.网络与信息安全平台的任务10

2安全架构分析与设计11

2.1.网络整体结构11

2.1.1.宁波在全国政府专网中的位置12

2.12光纤网络平台12

2.2.宁波政府专网安全风险分析14

2.2.1.主要应用服务的安全风险14

2.2.2.网络中主要系统的安全风险15

2.2.3.数据库系统安全分析16

2.2.4.Unix系统的安全分析16

2.2.5.WindowsNT系统的安全分析17

2.2.6.管理系统的安全风险17

2.3.宁波政府专网安全风险解决方案设计的原则和目标18

2.3.1.网络安全解决方案的组成19

2.3.2.超高安全要求下的网络保护21

2.4.防火墙选型22

25防火墙设置及工作模式23

26防火墙功能设置及安全策略23

2.6.1.完善的访问控制23

2.6.2.内置入侵检测(IDS)24

2.6.3.代理服务24

2.6.4.II志系统及系统报警24

2.6.5.带宽分配,流量管理25

2.6.6.H.323支持25

2.6.7.系统升级,25

2.6.8.双机备份26

2.6.9.防火墙方案特点26

2.7.防火墙整体布局27

2.8.宁波市政府系统计算机专网核心节点市政府办公厅网络28

2.9.各区及委、办、局的安全网络28

2.10.集中管理和分级管理29

工产品选型30

3.1.防火墙与入侵检测的选型30

3.1.1.方正数码公司简介30

3.2.方正方御防火墙（100M）31

3.2」.产品概述31

3.22系统特点31

3.2.3.方御防火墙（百兆）的性能35

3.2.4.方正方御防火墙功能说明36

3.3.方正方御防火墙（1000M）47

3.3.1.产品概述47

3.3.2.系统特点48

3.3.3.方正方御千兆防火墙功能说明49

3.3.4.方御防火墙（千兆）的性能59

生工程实施方案61

4.1.合同签订阶段的工作实施61

42发货阶段的实施62

4.3.到货后工作的实施63

4.4.测试及验收64

4.4.1.测试及验收描述64

4.5.系统初验65

4.5.1.功能测试65

4.5.2.性能测试65

453.实施人员65

工培训方案66

5.1.培训I目标66

5.2.培训课程66

5.3.培训方式66

5.4.培训时长66

5.5.培训地点66

5.6.培训人数67

5.7.培训讲师67

5.8.入学要求68

鱼售后服务和技术支持69

6.1.售后服务内容69

6.2.保修70

6.3.保修方式71

6.4.保修范围71

65保修期的确认72

6.6.全国服务网络72

6.7.场地及环境准备72

6.7」.常规要求72

6.7.2.机房电源、地线及同步要求73

6.7.3.设备场地、通信73

6.7.4.机房环境73

6.8.验收清单75

6.8.1.设备开箱验收清单75

6.8.2.用户信息清单75

6.8.3.用户验收清单76

1方案整体优势78

&方正方御防火墙荣誉证书79

1.背景介绍

1.1.项目总述

政府专网是宁波市政府信息化建设的基础工程，是以宁波市政府东、北大院

计算机局域网为核心，以宽带光纤网络为通信平台，围绕业务管理、数据交换、

语音通信、重大事件处理、视频会议等应用，覆盖宁波市各县（市）、区政府，

市政府各部门，市委办、人大办、政协办及市委各工作部门等，并与全国、全省

政府专网联接，共约122个节点的城域网。

政府专网是独立于公共网络之外的政府系统专用网络，物理上与外部公共网

络隔离。专网内部进行逻辑分割，采用防火墙隔离、审计检测等措施，建立有效

的网络安全防范体系，以满足国家党政机关网络可传送普密级信息的通信安全保

密要求。

政府专网涉及范围广，建设要求高，需分期分批进行建设。整个建设周期分

为二期，第一期41个节点于2002年2月底前完成，第二期约81个节点于2002

年完成。目前已经完成网络平台、系统集成、系统商务标的招投标工作，正在抓

紧进行网络平台建设及相关设备的订购采购工作。政府专网建成后，将极大地促

进政府业务规范化、办公自动化、管理智能化、决策科学化、提高政府机关办事

工作效率，实现政府各部门以及上下级政府部门之间信息和资源的共享。

12网络环境总述

市区内采用千兆以太网技术，市区外采用IPOVERSDH传输技术，各节点用

物理光纤接入。政府专网以市政府办公厅为核心节点，在市区内采用4个汇集点，

各节点用物理光纤就近接入汇集点。在市区外利用网络供应商提供的SDH环路，

各节点用物理光纤接入SDH环。核心节点与SDH环通过物理光纤连接，把市内和

市外两部分连通，组成完整的政府专网网络平台。总体结构请参见网络总体拓扑

图。

国务院专网的帧中继专线接入到CISCO路由器，再经过防火墙（中科院的

安胜（ERCIST）防火墙），以百兆方式接入核心节点的接入交换机。

宁波市处理重大事件指挥中心（以下简称指挥中心）是一个独立的网段，以

多模光纤接入核心点的接入交换机，中间需以防火墙隔离。

市政府西大院所有单位作为一个节点，用4芯光纤接入汇集点。

政府专网采用CISCO的WORKS2000FORNT作为网管软件。

13业务现状

首先，宁波市政府与上级政府部门的信息数据交换量非常大。一方面，国务

院、省政府需要宁波市政府上报大量信息，如地方经济运行状况、经济规划、社

会治安情况等；另一方面，宁波市政府也需要及时了解国家有关政策、法规的最

新情况。第二，宁波市政府与各县区政府数据交换量也相当大。第三，为了切实

做好政府各项综合管理工作，市政府要领导、安排、督促和协调政府各职能部门

工作，因此与各部门业务联系十分密切，信息交换量很大。第四，市政府与市委、

人大及政协系统之间信息交流也十分频繁。

1.宁波市与上级政府部门之间的信息交流以公文、通知通告、要闻信息等文

字资料为主。

2.宁波市政府系统（含与市委、人大、政协系统之间）内部信息交流内容，

主要有：

•网上办公：公文及业务工作网上办理流转。

•宏观信息：包括国际、国内、省内、省外、市内、市外宏观经济数据，每

日信息，重要会议，重大事件。

・基本信息：包括市情、县情，各级领导情况，机构设置、直属机构设置、

编制、职能职责、联系电话、邮箱地址等。

•通知通告：包括会议、学习、上报材料等通知，系统内的通报等。

•工作动态：国家、省、市政府及政府有关部门的重要政策信息，政府内部

改革思路新经验等。

•重大事件处理：综合治理、灾害、汛情、交通等方面的文字、图像及视频

信息。

•政策法规：地方政策法规和国家、浙江省的政策法规

•行业数据：科技、文化、教育、交通等方面的行业数据。

•地理信息系统：规划、建筑、地形地貌等方面的数据，包括大型图片。

・会计核算中心：财务数据

•经济服务中心：批文、办事程序等数据

以上诸项信息内容除已说明以外，其余都为文字、数字等形式。

14网络信息安全概况

目前，很多公开的新闻表明美国国家安全局（NSA）有可能在许多美国大软

件公司的产品中安装“后门”，其中包括一些应用广泛的操作系统。为此德国军

方前些时候甚至规定在所有牵涉到机密的计算机里，不得使用美国的操作系统。

作为信息安全的保障，我们在安全产品选型时强烈建议使用国内自主开发的优秀

的网络安全产品，将安全风险降至最低。

在为各安全产品选型时，我们立足国内，同时保证所选产品的先进性及可靠

性，并要求通过国家各主要安全测评认证。

1.4.1.网络安全现状

Internet正在越来越多地融入到社会的各个方面。一方面，随着网络用户成

分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随着

Internet和以电子商务为代表的网络应用的日益发展，Internet越来越深地渗透到

各行各业的关键要害领域。Internet的安全包括其上的信息数据安全，日益成为

与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队

而言，如果网络安全问题不能得到妥善的解决，将会对国家安全带来严重的威胁。

2000年二月，在三天的时间里，黑客使美国数家顶级互联网站一Yahoo!、

Amazon.eBay、CNN陷入瘫痪，造成了十几亿美元的损失，令美国上下如临大

敌。黑客使用了DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻塞网

站的服务器，使其不能提供正常服务。在随后的不到一个月的时间里，又先后有

微软、ZDNet和E*TRADE等著名网站遭受攻击。

国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到

黑客攻击。国内第一家大型网上连锁商城IT163网站3月6日开始运营，然而仅

四天，该商城突遭网上黑客袭击，界面文件全部被删除，各种数据库遭到不同程

度的破坏，致使网站无法运作。

客观地说，没有任何一个网络能够免受安全的困扰，依据FinancialTimes曾

做过的统计，平均每20秒钟就有一个网络遭到入侵。仅在美国，每年由于网络

安全问题造成的经济损失就超过100亿美元。

1.4.2.典型的黑客攻击

黑客们进行网络攻击的目的各种各样，有的是出于政治目的，有的是员工内

部破坏，还有的是出于好奇或者满足自己的虚荣心。随着Internet的高速发展，

也出现了有明确军事目的的军方黑客组织。

在典型的网络攻击中，黑客一般会采取如下的步骤：

网络侦探和信息收集，在利用Internet开始对目标网络进行攻击前，典型的

黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前

首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表，通常很容

易建立一个主机列表并且开始了解主机之间的联系。黑客在这个阶段使用一些简

单的命令来获得外部和内部主机的名称:例如，使用nslookup来执行“Is〈domain

ornetwork〉"，finger外部主机上的用户等。

确认信任的网络组成，一般而言，网络中的主控主机都会受到良好的安全保

护，黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的，

一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通过检查

运行nfsd或mountd的那些主机输出的NFS开始入侵，有时候一些重要目录（例

如/etc,/home）能被一个信任主机mount。

确认网络组成的弱点，如果一个黑客能建立你的外部和内部主机列表，他就

可以用扫描程序（如ADMhack,mscan,nmap等）来扫描一些特定的远程弱点。

启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运

行，因为'ps崎『netstat，都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后，

黑客就会对主机是否易受攻击或安全有一个正确的判断。

有效利用网络组成的弱点，当黑客确认了一些被信任的外部主机，并且同时

确认了一些在外部主机上的弱点，他们就要尝试攻克主机了。黑客将攻击一个被

信任的外部主机，用它作为发动攻击内部网络的据点。要攻击大多数的网络组成,

黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序，这样的例

子包括易受攻击的Sendmail,IMAP,POP3和诸如statd,mountd,pcnfsd等RPC服

务。

获得对有弱点的网络组成的访问权，在攻克了一个服务程序后，黑客就要开

始清除他在记录文件中所留下的痕迹，然后留下作后门的二进制文件，使其以后

可以不被发觉地访问该主机。

目前，黑客的主要攻击方式有：

欺骗：通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使

用，例如盗用拨号帐号。

窃听：利用以太网广播的特性，使用监听程序来截获通过网络的数据包，对

信息进行过滤和分析后得到有用的信息，例如使用sniffer程序窃听用户密码。

数据窃取：在信息的共享和传递过程中，对信息进行非法的复制，例如，非

法拷贝网站数据库内重要的商业信息，盗取网站用户的个人信息等。

数据篡改：在信息的共享和传递过程中，对信息进行非法的修改，例如，删

除系统内的重要文件，破坏网站数据库等。

拒绝服务：使用大量无意义的服务请求来占用系统的网络带宽、CPU处理

能力和10能力，造成系统瘫痪，无法对外提供服务。典型的例子就是2000年年

初黑客对Yahoo等大型网站的攻击。

黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网

络瘫痪等严重后果，如果是对军用和政府网络的攻击，还会对国家安全造成严重

威胁。

1.4.3.网络与信息安全平台的任务

网络与信息安全平台的任务就是创建一个完善的安全防护体系，对所有非法

网络行为，如越权访问、病毒传播、恶意破坏等等，事前预防、事中报警并阻止,

事后能有效的将系统恢复。

在上文对黑客行为的描述中，我们可以看出，网络上任何一个安全漏洞都会

给黑客以可乘之机。著名的木桶原理（木桶的容量由其最短的木板决定）在网络

安全里尤其适用。所以，我们的方案必须是一个完整的网络安全解决方案，对网

络安全的每一个环节，都要有仔细的考虑。

2.安全架构分析与设计

逻辑上，宁波市政府系统计算机专网将划分为三个区域：数据发布区、局

域网用户、远程其他用户。

其中每一个局域网节点划分为内部操作（控制）区、信息共享区两个网段，

网段之间设置安全隔离区。每一个网段必须能够构成一个独立的、完整的、安全

的、可靠的系统。

21网络整体结构

宁波市政府系统计算机专网需要涉及若干政府部门，各地方的网络通过专用

网连接起来。

2.1.1.宁波在全国政府专网中的位置

政府专网是由国家、省、市及县级政府部门共同组成的全国性广域网。整个

广域网网络系统是一个典型的星形拓朴型结构，主要负责传输国家、省、市、县

政府间的文字、图像和视频信息。其结构图如下：

政府系统结构图

整个区域网络拓朴为一倒叉树结构，国务院为根节点，宁波市作为网络中

的一级节点同时又作为一个区域中心节点，它既要与国家、省各部门互联，又

要与各县（市）、区政府和市政府各部门互联，在整个网络中起着一个承上启下

的作用。

2.1.2.光纤网络平台

光纤网络平台的提供商为宁波市广电网络传输中心。

具体情况如下：

1.市区范围内（东北大院以外）73家单位采用物理光纤分别接入四个汇集点。

这四个汇集点分别是广电网络传输中心汇集点、华侨城汇集点、广电局汇集点、

电视中心汇集点。单点接入示意图如下：

市区内各部门逻辑分布图如下图:

广电糜件中心汇电电覆盖:建设霞行,盲蜀第团.仙政公用后,城

华侨城汇集点覆盖：公安局,中级法

乡建委,供储际.劳动后,水产后,超案际,协隹办.民主党修及统雄制（西

及.海事法院,人民集行,E臂后,烟

大院）,财政后.农业像行.房世后，老干部后.潟关.工商修行.卫士际.

乡企后.总工会，电业局,交遹像行.坊织货团，新想出版后.神财办,电里后,江东区政府.国牧后.规划厮.

建材祭团,技激际.史遗姿.安全局.

临师.团仙委.妇联.经济研究中心,机标冷金控股望团,何事局,江北区

科技园区

敬及斯昌口电府.粮食后,氏族宗教后.东钱湖旅监开发区

1G

广电网络传输中心1G华侨城汇集点

汇集点

核心遁机

1G

广电局汇集点1G电视中心汇集点

1G核心节点

市政府办公厅交换机

:换机

电神心汇集点歪盖二气象后,神要党校,检察

广电局t集电覆盖：物资包公司，化工拄服篁团,中国像行,广电际,无

督办,葡6区政府.外经贸委，轻工拄版奥团,工商局,旅前公司,土留国.院.将像后,极入喳后.衣业而I.工商联，桃畋后,

司法局.电干信息便团人防办.衣机站.尻政后

2.市区以外单位主要是余姚、慈溪、奉化、宁海、象山、镇海、北仑、经济

技术开发区、保税区、大榭开发区、港务局等部门。这些部门与核心节点之间将

借助宁波广电的SDH环网。单点接入示意图如下：

市区外各部门逻辑分布图如下图:

22.宁波政府专网安全风险分析

2.2.1.主要应用服务的安全风险

应用服务

系统中各个节点有各种应用服务，这些应用服务提供给各级部门或单

位使用。不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用

系统，使得系统数据丢失、数据更改、获得非法数据等。而宁波市政府的

这些应用系统是政府专网中最重要的组成部分。

DNS服务

DNS是网络正常运作的基本元素，它们是由运行专门的或操作系统提

供的服务的Unix或NT主机构成。这些系统很容易成为外部网络攻击的目

标或跳板。对DNS的攻击通常是对其他远程主机进行攻击做准备，如篡改

域名解析记录以欺骗被攻击的系统，或通过获取DNS的区域文件而得到进

一步入侵的重要信息、。著名的域名服务系统BIND就存在众多的可以被入

侵者利用的漏洞。特别是基于URL的应用依赖于DNS系统，DNS的安全

性也是网络安全关注的焦点。

WWW

利用HTTP服务器的一些漏洞，特别是在大量使用服务器脚本的系统

上，利用这些可执行的脚本程序，未经授权的操作者可以很容易地获得系

统的控制权。在宁波市政府存在各种WWW服务，这些服务协议或多或少

存在安全隐患。

FTP

一些FTP服务器的缺陷会使服务器很容易被错误的配置，从而导致安

全问题，如被匿名用户上载的木马程序，下载系统中的重要信息（如口令

文件）并导致最终的入侵。有些服务器版本带有严重的错误，比如可以使

任何人获得对包括root在内的任何帐号的访问。

2.2.2.网络中主要系统的安全风险

整个系统中网络设备主要采用路由器设备，有必要分析这些设备的风险。路

由器是网络的核心部件，路由器的安全将直接影响整个网络的安全。下面列举了

一些路由器所存在的主要安全风险：

■路由器口令的弱点是没有计数器功能，所以每个人都可以不限次数的尝试登录

口令，在口令字典等工具的帮助下很容易破解登录口令。

■每个管理员都可能使用相同的口令，因此，路由器对于谁曾经作过什么修改，

系统没有跟踪审计的能力。

■路由器实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意的攻击者

利用来破坏网络的路由设置,达到破坏网络或为攻击做准备的目的。针对这种情况,

必须采取措施，有效防止非法对网络设备访问。

■TCP/IP风险：系统采用TCP/IP协议进行通信，而因为TCP/IP协议中存在固有

的漏洞，比如：针对TCP序号的攻击，TCP会话劫持，TCPSYN攻击等。同时系统

的DNS采用UDP协议，因为UDP协议是非面向连接的协议，对系统中的DNS等相关

应用带来安全风险。

2.2.3.数据库系统安全分析

数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据

库的安全问题，在数据库技术诞生之后就一直存在，并随着数据库技术的发展而

不断深化。不法份子利用已有的或者更加先进的技术手段通常对数据库进行伪造

数据库中的数据、损坏数据库、窃取数据库中的数据。如何保证和加强数据库系

统的安全性和保密性对于网络的正常、安全运行至关重要。

2.2.4.Unix系统的安全分析

UNIX系统安全具有如下特征：

•操作系统可靠性：它用于保证系统的完整性，系统处于保护模式下，通过硬件和

软件保证系统操作可靠性。

•对象可用：当对象不需要时应该立即清除。

♦个人身份标识与认证：它主要为了确定身份，如用户登陆时采用扩展的

DES算法对口令进行加密。

♦审计：它要求对使用身份标识和认证的机制，文件的创建，修改，系统

管理的所有操作以及其他有关安全事件进行记录，以便系统管理员进行

安全跟踪。

♦往来文件系统：UNIX系统提供了分布式文件系统(DFS)的网络安全.

将网络与外部网络相连接，会使您的网络遭受潜在的服务中断、

未经授权的入侵以及相当大的破坏。比如下面的一些安全隐患：

■"拒绝服务"攻击(DenialofServiceAttacks):这些攻击禁止系统向顾

客提供服务，使顾客不能得到某种服务。例如，攻击可能使用大而无用的流

量充斥网络，导致无法向顾客提供服务。最通常的情况是这种攻击可能毁坏

系统或者只是让系统在向顾客提供服务时慢的出奇。

■缓冲区溢出攻击(BufferOverrunExploits):其中包括利用软件的弱点将

任意数据添加进某个程序中，从而在它以根的身份运行时，有可能赋予剥削

者对您的系统的根访问权。这也可能导致某种“拒绝服务”攻击。

■IP欺骗(IPSpoofing):基于IP欺骗的攻击涉及对计算机未经授权的访问。

通过侦听网络通讯流，入侵者找到受信任主机的一个IP地址，然后发送消息

时指示该消息来自受信任主机。

■内部泄密(InternalExposure):绝大多数网络非法进入皆起因于某个心怀

恶意或对现状不满的现任或前任雇员滥用对信息的访问权或非法闯入您的网

络。

针对Unix系统存在的诸多风险，应该采取相应的安全措施。必须对这些风

险加以控制。针对这个部分的安全控制可以采取特殊的安全策略，同时利用相关

的软件对系统进行配置、监控。制定详细的访问控制计划、策略。

2.2.5.WindowsNT系统的安全分析

WindowsNT的安全机制的基础是所有的资源和操作都受到选择访问控制的保护，可以

为同一目录的不同文件设置不同的权限。这是NT的文件系统的最大特点。NT的安全机制不

是外加的，而是建立在操作系统内部的，可以通过一定的设置使文件和其他资源免受在存放

的计算机上工作的用户和通过网络接触资源的用户的威胁(破坏、非法的编辑等)。安全机

制甚至包含基本的系统功能，例如设置系统时钟。对用户帐号、用户权限及资源权限的合理

组合，可以有效地保证安全性。通过一系列的管理工具，以及对用户帐号、口令的管理，对

文件、数据授权访问，执行动作的限制，以及对事件的审核可以使WindowsNT达到C2级安

全。

在网络中，有三种方式可以访问NT服务器：

(1)通过用户帐号、密码、用户组方式登录到服务器上，在服务器允许的权限内对

资源进行访问、操作。这种方式的可控制性较强，可以针对不同的用户。

(2)在局部范围内通过资源共享的形式，这种方式建立在NETBIOS的基础之上。通过

对共享资源的共享权限的控制达到安全保护。但不能针对不同的用户，当一个用户在通过共

享对某一个资源进行操作时(这时共享权限有所扩大)，其他用户趁虚而入，而造成对资源

的破坏。

(3)在网络中通过TCP/IP协议，对服务器进行访问。目前典型应用有FTP、HTTP、WWW

等。通过对文件权限的限制和对IP的选择，对登录用户的认证可以在安全性上做到一定的

保护。

由于WindowsNT系统的复杂性，以及系统的生存周期比较短，系统中存在大量已知和

未知的漏洞，一些国际上的安全组织己经发布了大量的安全漏洞，其中一些漏洞可以导致入

侵者获得管理员的权限，而另一些漏洞则可以被用来实施拒绝服务攻击。

2.2.6.管理系统的安全风险

管理系统的安全风险除了上面提到的系统风险之外，系统结构复杂、管

理难度大，存在各种服务，哪些服务对哪些人是开放的、哪些是拒绝的都没有一

定的安全划分。必须防止内部不相关人员非法访问安全程度要求高的数据，而且

整个系统的正常运行也是保证银行系统日常工作正常进行的一个十分重要的方

面。必须限制管理系统内各个部门之间访问权限，维护各个系统的安全访问。而

由于整个系统是一个体系，任何一个点出现安全问题，都可能给相关人员带来损

失。

2.3.宁波政府专网安全风险解决方案设计的原则和目标

原则：从网络安全整个体系考虑，本次防火墙选择原则是：

安全性：防火墙提供一整套访问控制/防护的安全策略，保证系统的安全性；

开放性：防火墙采用国家防火墙相关标准和网络安全领域相关技术标准；

高可靠性：防火墙采用软件、硬件结合的形式，保证系统长期稳定、安全运行；

可扩充性：防火墙采用模块化设计方式，方便产品升级、功能增强、调整系统结构；

可管理性：防火墙采用基于windows平台GUI模式进行管理，方便各种安全策略设

置；

可维护性：防火墙软件维护方便，便于操作管理；

目标：网络安全包括很多方面，如：访问控制、身份认证、数据加密、入侵检测、防止病毒、

数据备份等。本次防火墙系统建设的目标是通过采用防火墙技术，防止不同节点间对内

联网数据的非法使用和访问，监控整个网络数据过程。有效防止攻击行为。限制对内部

资源和系统的访问范围。

通过在系统中设置防火墙的安全措施将达到以下目标：

保护基于专网的业务不间断的正常运作。包括构成所有设施、系统、以及系统所处

理的数据（信息）。

重要信息在可控的范围内传播，即有效的控制信息传播的范围，防止重要信息泄露

解决网络的边界安全问题

保证网络内部的安全

实现系统安全及数据安全

在用户和资源之间进行严格的访问控制（通过身份认证，访问控制）

建立一套数据审计、记录的安全管理机制（网络数据采集，审计）

融合技术手段和行政手段，形成全局的安全管理。

为了解决专网面临的安全问题，有必要建立一整套安全机制，包括：访问控

制、入侵检测等多个方面。信息系统的安全是一个复杂的系统工程，涉及到技术

和管理等多个层面。为达成以上目标，方正数码在充分调研和分析比较的基础上

采用合理的技术手段和产品以构建一个完整的安全技术体系，协助宁波政府建立

完善的安全管理体系。

2.3.1.网络安全解决方案的组成

针对前文对黑客入侵的过程的描述，为了更为有效的保证网络安全，方正数

码提出了两个理念：立体安全防护体系和安全服务支撑体系。首先网络的安全决

不仅仅是一个防火墙，它应是包括入侵测检（IDS）、虚拟专用网（VPN）等功能

在内的立体的安全防护体系；其次真正的网络安全一定要配备完善的高质量的安

全维护服务，以使安全产品充分发挥出其真正的安全效力。

一个好的网络安全解决方案应该由如下几个部分组成：

•防火墙：对网络攻击的阻隔

防火墙是保证网络安全的重要屏障。防火墙根据网络流的来源和访问的目

标，对网络流进行限制，允许合法网络流，并禁止非法网络流。防火墙最大的意

义在网络边界处提供统一的安全策略，有效的将复杂的网络安全问题简化，大大

降低管理成本和潜在风险。在应用防火墙技术时，正确的划分网络边界和制定完

善的安全策略是至关重要的。

发展到今天，好的防火墙往往集成了其他一些安全功能。比如方正方御防火

墙在很好的实现了防火墙功能的同时，也实现了下面所说的入侵检测功能；

•入侵检测（IDS）：对攻击试探的预警

当黑客试探攻击时，大多采用一些已知的攻击方法来试探。网络安全漏洞扫

描器是“先敌发现”，未雨绸缪。而从另外一个角度考虑问题，“实时监测”，发

现黑客攻击的企图，对于网络安全来说也是非常有意义的。甚至由此派生出了

PA2DR理论。

入侵检测系统通过扫描网络流里的特征字段（网络入侵检测），或者探测系

统的异常行为（主机入侵检测），来发觉这类攻击的存在。一旦被发现，则报警

并作出相应处理，同时可以根据预定的措施自动反应，比如暂时封掉发起该扫描

的IPo方正方御防火墙已经内置的了一套网络版的IDS系统能够快速并有效的

发现1500余种攻击行为。

需要注意的是，入侵检测系统目前不能，以后也很难，精确的发现黑客的攻

击痕迹。事实上，黑客可以将一些广为人知的网络攻击进行一些较为复杂的变形,

就能做到没有入侵检测系统能够识别出来。所以，在应用入侵检测系统时，千万

不要因为有了入侵检测系统，就不对系统中的安全隐患进行及时补救。

•安全审计管理

安全审计系统必须实时监测网络上和用户系统中发生的各类与安全有关的

事件，如网络入侵、内部资料窃取、泄密行为、破坏行为、违规使用等，将这些

情况真实记录，并能对于严重的违规行为进行阻断。安全审计系统所做的记录如

同飞机上的黑匣子，在发生网络犯罪案件时能够提供宝贵的侦破和取证辅助数

据，并具有防销毁和篡改的特性。

安全审计跟踪机制的内容是在安全审计跟踪中记录有关安全的信息，而安全

审计管理的内容是分析和报告从安全审计跟踪中得来的信息。安全审计跟踪将考

虑要选择记录什么信息以及在什么条件下记录信息。

收集审计跟踪的信息，通过列举被记录的安全事件的类别（例如对安全要求

的明显违反或成功操作的完成），能适应各种不同的需要。已知安全审计的存在

可对某些潜在的侵犯安全的攻击源起到威摄作用。

•虚拟专用网（VPN）：远程传输的安全

VPN技术在把分散在各处的服务器群连成了一个整体，形成了一个虚拟的

专用网络。通过VPN的加密通道，数据被加密后传输，保证了远程数据传输的

安全性。使用VPN可以象管理本地服务器一样去安全的管理远程的服务器。

VPN带来的最大好处是确保安全性的同时，复用物理信道，降低使用成本。

方正方御防火墙提供了软、硬两种方式来实现VPN。

•防病毒以及特洛伊木马

计算机病毒的危害不言而喻，计算机病毒发展到今天，已经和特洛伊木马结

合起来，成为黑客的又一利器。微软的原码失窃案，据信，就是一黑客使用特洛

伊木马所为。

•安全策略的实施保证

网络安全知识的普及，网络安全策略的严格执行，是网络安全最重要的保障。

此外，信息备份是信息安全的最起码的要求。能减少恶意网络攻击或者意外

灾害带来的破坏性损失。

2.3.2.超高安全要求下的网络保护

对于宁波市政府系统计算机专网数据中心安全而言，安全性需求就更加的

高，属于超高安全要求下的网络保护范围，因此需要在这些地方使用2台防火墙

进行双机热备，以保证数据稳定传输。

.认证与授权

认证与授权是一切网络安全的根基所在，尤其在网络安全管理、外部网络访

问内部网络（包括拨号）时，要有非常严格的认证与授权机制，防止黑客假冒身

份渗透进内部网络。

对于内部访问，也要有完善的网络行为审计记录和权限限定，防止由内部人

员发起的攻击——70%以上的攻击都是内部人员发起的。

我们建议宁波市政府系统计算机专网利用基于X.509证书的认证体系（目前

最强的认证体系）来进行认证。

方正方御防火墙管理也是用X.509证书进行认证的。

.网络隔离

网络安全界的一个玩笑就是：要想安全，就不要插上网线。这是一个简单的

原理：如果网络是隔离开的，那么网络攻击就失去了其存在的介质，皮之不存，

毛将焉附。

但对于需要和外界沟通的实际应用系统来说，完全的物理隔离是行不通的。

方正数码提出了安全数据通道网络隔离解决方案，在网络连通条件下，通过

破坏网络攻击得以进行的另外两个重要条件：

令从外部网络向内部网络发起连接

令将可执行指令传送到内部网络

从而确保宁波市政府系统计算机专网的安全。

.实施保证

宁波市政府系统计算机专网牵涉网点众多，网络结构复杂。要保护这样一个

繁杂的网络系统的网络安全，必须有完善的管理保证。安全系统要能够提供统一

的集中的灵活的管理机制，一方面要能让宁波市政府系统计算机专网网控中心的

网管人员监控整体网络安全状况，另外一方面，要能让地方网管人员灵活处理具

体事务。

方正方御防火墙采用基于WindowsGUI的用户界面进行远程集中式管理，配

置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行集

中式的管理。

方正方御防火墙符合国家最新防火墙安全标准，采用了三级权限机制，分为

管理员，策略员和审计员。管理员负责防火墙的开关及日常维护，策略员负责配

置防火墙的包过滤和入侵检测规则，审计员负责日志的管理和审计中的授权机

制，这样他们共同地负责起一个安全的管理平台。事实上，方御防火墙是通过该

标准认证的第一个状态检测型包过滤防火墙。

另外，方正方御防火墙还提供了原标准中没有强制执行的实施域分组授权机

制，尤其适合于宁波市政府系统计算机专网这样的大型网络。

2.4.防火墙选型

防火墙是网络安全领域首要的、基础的设施，它对维护内部网络的安全起着

重要的作用。利用防火墙可以有效地划分网络不同安全级别区域间的边界，并在

边界上对不同区域间的访问实施访问控制、身份鉴别、和安全审计等功能。

防火墙按实现的方式不同，其基本类型有：包过滤型、代理（应用网关）型和

复合型。

复合型防火墙是在综合动态包过滤技术和代理技术的优点的情况下采取的

一种更加完善和安全的防火墙技术。其功能强大，是未来防火墙技术发展的一个

主要趋势。综合考虑宁波市政府网络安全实际情况，在本方案中采用方正数码的

方正方御复合型防火墙，放置在网络连接的各个节点间。

25防火墙设置及工作模式

■防火墙提供三个接口：内网、外网、DMZ；

■防火墙工作在桥模式，这样不需要改动现有网络的拓扑结构；

■将对外服务的各种服务设备放置在DMZ区域，和内部网络严格区分开，保证内部系

统安全。

2.6.防火墙功能设置及安全策略

2.6.1.完善的访问控制

■内部网络：内部网络对外部网络的访问也要进行严格的限制。防止内部员工对外

网资源的非法访问。同时内部员工对DMZ区域服务器访问也必须做限制。内部员

工对外网WWW访问采用代理方式。

■DMZ访问：通常情况下DMZ对外部和内部都不能主动进行访问，除非特殊的应用

需要到内部网络采集数据，可以有限地开放部分服务。

借助方正方御防火墙提供的基于状态包过滤技术对数据的各个方向采用全面安全

的技术策略，制定严格完善的访问控制策略保证从IP到传输层的数据安全。通过

严格的访问控制表来进行限制。

IPMAC地址捆绑：

方正方御防火墙提供灵活而方式多种的内部网络、DMZ区域、外部网

络IPMAC地址捆绑功能，将每台机器的IP地址和它自身的物理地址捆绑，

有效防止内部网络、DMZ区域、外部网络的IP地址盗用（该功能实质是将

网络协议第二层地址和第三层地址进行捆绑，达到一定的安全级别）。内部

系统应该尽量采用固定IP分配方案。通过IPMAC地址捆绑，也可以对后期

数据日志分析带来一定的方便性。

URL拦截：

方正方御防火墙实现了透明的URL拦截功能，对通过防火墙的应用层URL

进行严格的控制和管理，按照用户的要求进行拦截。外部对DMZ、内部URL

访问进行控制，同时也可以限制内部网络对外部网络URL非法访问。在该方

案中我们将对内部网络和外部网络情况具体了解，对URL拦截达到页面级

别。有效保护www应用的安全。

2.6.2.内置入侵检测（IDS）

方正数码公司和国际网络安全组织合作，能够实时获得最新系统入侵库代

码，动态地将这些攻击技术的解决方案加入到方正方御防火墙中,同时在方正方

御防火墙内部采用31技术，加速应用层安全防护查询过程。方正方御防火墙目

前能够支持1500种以上的入侵检测并能够成功阻断这样的攻击行为，比如最近

的红色代码。针对各种攻击行为，比如TCP序列号攻击、劫持、碎片攻击、端

口扫描能够识别阻断。而这个数据库可以实时更新、升级。升级在方正方御防火

墙界面即可完成。IDS和访问策略形成互动。通过防火墙嵌入的IDS功能能够有

效防范对内部Windows/NT,Unix系统的攻击行为。

电子欺骗：防火墙能够自动识别各种电子欺骗行为并进行阻断。同时防火墙

能够对伪装IP地址进行识别。

2.6.3.代理服务

方正方御防火墙对外提供代理服务功能，内部网络对外访问可以通过防火墙

提供的代理服务功能，同时代理服务可以针对URL,SSL,FTP进行应用拦截，防止

内部人员对外网的非法访问。

2.6.4.日志系统及系统报警

方正方御防火墙提供强大的日志系统，将通过防火墙的数据、防火墙管理数

据、流量、各种攻击行为统计集成到一起。同时系统提供针对各种统计结果按照

用户要求进行报表打印。

针对通过防火墙数据，可以按照数据类型、地址进行统计分析。

针对各种管理数据，防火墙进行详细记录，网管人员可以方便的查看对防火

墙管理情况。如果有内部人员对防火墙访问，可以通过管理数据进行查询。

流量统计：防火墙提供流量统计功能，可以按照用户名称、地址等多种方式

进行统计。

通过强大的日志系统和实时报警、日志报警等多种方式保证网络出现安全问

题时可以有资料分析；同时也可以通过对日志系统的分析完善系统安全策略。

2.6.5.带宽分配，流量管理

在专网上运行着部分重要的业务数据，这些业务数据实时性要求高，必须保

证这样的数据具有优先权限，防止因为带宽问题影响应用。方正方御防火墙可以

针对实际情况，对部分特殊应用提供带宽管理。给特殊应用分配相对高的带宽。

同时方正方御防火墙提供流量管理功能，对内部网络用户对外网的访问可以提供

流量限制。

2.6.6.H.323支持

政府专网运行着视频会议数据（H.323）。方正方御防火墙能够准确识别H.323

数据流，让数据合法通过。按照正常的状态检测技术，H.323数据可能被阻断。

在方正方御防火墙内部成功的进行了UDP、TCP数据同步分析。系统能够识别

H.323连接，保证H.323数据通过。

2.6.7.系统升级

网络安全技术随着网络技术发展不断变化，而网络安全策略和软件也不能一

成不变，需要不断升级。方正方御防火墙管理界面提供方便的系统升级和IDS升

级功能。保证防火墙产品实时和网络安全领域技术同步，防止因为新的安全问题

给系统带来的安全风险。其中，特别是IDS功能，几乎每天都有新的安全风险和

攻击软件出现。方正防火墙内嵌IDS功能模块可以动态升级，保障IDS数据库和

最新动态同步。

2.6.8.双机备份

网络安全、稳定长期运行是最终目标，而网络硬件可能因为一些特殊原因发

生故障。方正方御防火墙提供双机备份功能，采用两种方式进行备份检测，软件

方式借用HSRP技术动态跟踪各个区域运行状态，发现任何一个区域出现问题即

刻进行切换。硬件方式采用心跳线方式，当系统检测到故障，也将进行切换。而

系统的切换不影响业务。两台防火墙工作在互备模式中。

2.6.9.防火墙方案特点

本次防火墙主要设置在连接的节点上。本方案中，我们主要根据宁波政府专

网络实际情况，针对防火墙的特殊性，从如下几个方面考虑

保障系统安全性

防火墙放置在内外网之间用来隔离内部网络和外部网络，对内外网络的通信

进行严格的管理和监控，防火墙必须提供全面的安全策略保证内部系统安全。因

此方正方御防火墙提供全面的访问控制策略、IPMAC地址捆绑、IDS入侵检测、

反电子欺骗等手段。这些功能能够有效的保障内部网络安全。同时方正方御防火

墙也提供带宽管理、分配，系统报警等措施从侧面协助。

自身安全性

防火墙作为网络系统中的一个部件，其自身的安全性也是十分重要的，考虑

到实际情况，方正方御防火墙提供单独的管理接口，管理接口服务全部关闭，同

时管理接口的特殊管理数据采用标准加密算法和措施。这样在远程管理过程中数

据通过专网进行管理能够有效的保证管理的安全性。同时，利用WindowsNT中

域技术，对防火墙管理时必须登录到相应的域才能对域内的用户进行管理，保障

管理域安全性。而防火墙操作系统采用经过严格测试专有操作系统。

维护方便性

管理的方便性直接关系到系统能否起到安全保护作用，方正方御防火墙提供

的专有GUI平台，方便制订各种安全策略。

系统事件管理

系统事件和日志的统计直接关系到整个安全平台的完善和后续责任追查等

多个方面，方正方御防火墙为用户提供完整、准确的数据统计结果，供查询、打

印等。

27防火墙整体布局

我们建议使用防御防火墙的网桥模式，3个端口构成一个以太网交换机，防

火墙本身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一

个互通的物理网络。当防火墙工作在交换模式时，内网、DMZ区和路由器的内部

端口构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由

器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置。如下

图所示：

2.8.宁波市政府系统计算机专网核心节点市政府办公厅网络

宁波市政府系统计算机专网核心节点管理除了需要提供信息服务外，还需要

对各区及委、办、局的网络设备进行集中管理，因此网络的安全性和可靠性尤其

的重要。

内部区放置控制服务器、数据库服务器、文件服务器、认证服务器、系统管

理服务器等设备，公开信息区放置对外的信息发布系统，包括WEB服务器、Mail

服务器等设备等。

出于稳定性的考虑，防火墙使用双机热备的方式，以保证网络的不间断性。

宁波市政府系统计算机专网核心节点市政府办公厅网络图如下：

2.9.各区及委、办、局的安全网络

各区及委、办、局的网络结构节点也同样划分为内部操作（控制）区、公开

信息区两个网段。对于这些网络我们建议使用如下方案：

2.10.集中管理和分级管理

由于宁波市政府系统计算机专网涉及的网络安全设备繁多，因此在管理上面

需要既能集中管理，又可以在本地进行审计管理，日志查询等操作。而用户的权

限机制分配必须通过网络管理中心统一分配和管理。

需要集中管理的网络设备包括防火墙设备和VPN设备。在宁波市政府系统

计算机专网网络管理中心需要对各委、办、局的网络安全设备进行集中管理。

分析宁波市政府系统计算机专网的特点和需求，方正方御防火墙的集中管理

功能和权限管理机制完全可以满足这些需求。

方正方御防火墙采用基于WindowsGUI的用户界面进行远程集中式管理，

配置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行

集中式的管理。

方正方御防火墙采用了三级权限机制，分为管理员，策略员和审计员。管理

员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规

则，审计员负责日志的管理和审计中的授权机制。这样他们共同的负责起一个安

全的管理平台。

3.产品选型

3.1.防火墙与入侵检测的选型

我们采用方正最新型方正方御防火墙。方正方御防火墙是一个很优秀的防火

墙，同时它集成强大的入侵检测功能。方正方御防火墙是国内第一个通过公安部

公共信息网络安全监督局新防火墙认证标准的包过滤级防火墙产品，同时通过了

中国人民解放军安全测评认证中心、国家保密局和中国国家信息安全测评认证中

心的严格认证。

3.1.1.方正数码公司简介

作为方正集团互联网战略的实施者，方正数码将自身定位于电子商务的“赋

能者”，其业务涉及互联网与电子商务的技术研究应用与系统集成、网络市场营

销服务、空间信息应用、无线互联以及电子商务的咨询服务等方向，以帮助政府、

行业、企业、网站、电子商务的运营者在互联网时代健康成功的发展为己任。

要给电子商务运营者赋能，先要给安全赋能。方正数码首先推出的就是方正

方御互联网安全解决方案。方正方御是在经过一年多的大量投入和深入的研究

后，提出的一套基于中国国情、全部自主开发、具有领先优势的解决方案。它是

一套整体的集群平台，可以解决互联网运营商最为关切的安全性、高可靠性、可

扩展性和易于远程管理的问题。目前这套方案已经得到国家有关部门的大力支

持，被国家经贸委列为国家创新计划项目之一。另外，还得到了国家“863”计划

的支持。

在立身自主开发外，方正数码还与众多国际知名的安全公司保持着良好的合

作关系，并集成了国内外最优秀的公司安全产品，为国内Internet的安全建设保

驾护航。

32方正方御防火墙(100M)

3.2.1.产品概述

方御防火墙是方正方御中的主要安全产品之一。由于防火墙技术的针对性很

强，它已成为实现网络安全的重要保障之一。方御防火墙是通过对国外防火墙产

品的综合分析，针对我们国家的具体应用环境，结合国内外防火墙领域里的最新

发展，在面向IDC和中小企业的防火墙的基础上，提出的一种具有强大的信息

分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的安

全可靠的专用防火墙系统。

方正方御防火墙不仅仅是一个包过滤的防火墙，而且包括了大量的实用模

块，可以为用户提供多方面的服务。

方御防火墙保护如下模块：

3

集中管理

3.2.2.系统特点

一体化的硬件设计方正方御防火墙采用了一体化的硬件设

计，采用了自己的操作系统，无需其他操作

系统的支持，这样能够发挥硬件的最大性能，

同时也提高了系统的安全性。

双机热备份通过双机热备份，本系统提供可靠的容

错/热待机功能。备份防火墙服务器中存有主

防火墙服务器的设置镜像，当主防火墙因为

某些原因不能正常运作，备份服务器可以在

12秒钟内取代主服务器运作，充分保证整个

网络系统运作的稳定性。

完善的访问控制方正方御防火墙符合国家最新防火墙安

全标准，采用了三级权限机制，分为管理员，

策略员和审计员。管理员负责防火墙的开关

及日常维护，策略员负责配置防火墙的包过

滤和入侵检测规则，审计员负责日志的管理

和审计中的授权机制。这样他们共同地负责

起一个安全的管理平台。

多种工作模式