人民银行内联网防火墙安全子系统建设方案样本

某人民银行内联网防火墙安全子系统方案方正数码有限公司9月

TOC\o\h\z1 北大方正集团、方正数码公司简介 82 人民银行内联网构造分析 112.1 人民银行内联网整体状况 112.2 人民银行内联网网络构造 112.3 人民银行内联网支撑应用系统 122.4 人民银行系统平台 133 人民银行内联网安全分析 143.1 人民银行内联网安全现状分析 143.2 人民银行内联网安全风险分析 143.2.1 重要应用服务安全风险 153.2.2 网络中重要系统安全风险 163.2.3 数据库系统安全分析 173.2.4 Unix系统安全分析 173.2.5 WindowsNT系统安全分析 193.2.6 管理系统安全风险 193.2.7 业务网络安全风险 204 方正数码防火墙解决方案 214.1 本方案设计原则和目的 214.2 防火墙选型 224.3 防火墙设立及工作模式 224.4 防火墙功能设立及安全方略 244.4.1 完善访问控制 244.4.2 内置入侵检测（IDS） 264.4.3 代理服务 264.4.4 NAT地址转换 264.4.5 日记系统及系统报警 274.4.6 带宽分派，流量管理 274.4.7 集中管理 274.4.8 预制模板 284.4.9 H.323支持 284.4.10 系统升级 284.4.11 双机备份 294.4.12 防火墙方案特点 295 人民银行内联网防火墙安全需求及方案对照阐明 315.1 人民银行内联网防火墙基本规定 315.2 人民银行内联网防火墙功能规定 335.2.1 必备功能 335.2.2 增强功能 365.3 防火墙性能 365.4 防火墙管理 386 人民银行内联网安全管理建议 396.1 整体思路 396.2 集中管理，统一规划 396.3 严格规章安全教诲 406.4 明确责任技术培训 406.5 动态监控专家征询 417 人民银行内联网防火墙安全系统实行方案 427.1 合同订立阶段工作实行 427.2 发货阶段实行 437.3 到货后工作实行 467.4 测试及验收 477.4.1 测试及验收描述 478 人民银行内联网防火墙系统培训 498.1 培训目的 498.2 培训课程 498.3 培训方式 498.4 培训时长 498.5 培训地点 498.6 培训人数 508.7 学员规定 509 方正方御防火墙技术支持与服务 519.1 方正数码绿色服务体系构造简介 519.2 完善技术支持与服务 539.2.1 售前服务内容 549.2.2 售前服务流程 559.2.3 售后服务内容 569.2.4 售后服务流程 579.3 服务方式 589.4 服务监督 5810 方正方御防火墙成功案例 6010.1 鞍山市商业银行应用案例 6010.1.1 鞍山市商业银行需求分析 6010.1.2 系统安全目 6110.1.3 安全体系构造 6110.1.4 安全系统实行 6110.2 沈阳建设银行安全应用实例 6210.2.1 沈阳建设银行需求分析 6210.2.2 系统安全目 6410.2.3 顾客安全需求分析 64 安全性 64 高效性 64 可扩展性 65 易用性（管理控制） 65 完善服务体制 6510.2.4 安全体系构造 6510.2.5 安全系统实行 6710.3 某些方正方御防火墙客户名单 6811 人民银行内联网防火墙安全子系统建设报价 7112 方正数码联系方式 72附录一：授权服务商名单 73附录二：防御防火墙所获证书 78附件三：资格证明文献 83附录四：方正方御防火墙产品阐明 88产品概述 88系统特点 89防火墙功能阐明 92各种工作模式 92包过滤防火墙 94高效过滤 94碎片解决功能 95防SYNFlood袭击 95强大状态检测功能 96轻型/复杂IDS(入侵检测系统) 96反端口扫描 96可以防范20类1500余种袭击方式 97在线升级和实时报警 99入侵检测和防火墙互动 100双向NAT 100带宽管理和流量记录 101代理服务器功能 101双机热备 102强大审计功能 102基于PKI高档授权认证 103集中管理 103实时控制和日记转存 103灵活配备方式 104可视化配备 104预置包过滤规则集 104总结 104

北大方正集团、方正数码公司简介北京北大方正集团公司是北京大学创立高新技术公司。

方正集团拥有３个控股上市公司，方正（控股）有限公司、方正数码有限公司、上海方正延中科技集团股份有限公司，17家独资、合资公司。员工总数约6000人，总资产50亿元，销售规模达101亿元。

1997年，方正集团已成为国家120家大型试点公司集团之一，国家首批６家技术创新试点公司之一，国家重点支持５家PC生产厂家之一。

创造科技与文明，是北大方正一贯宗旨，集团坚持以人为本宗旨，以创新为先导，产、学、研结合，不断以优质产品和技术服务于社会。方正数码有限公司（EC-FounderCo.，Ltd.）是从事发展互联网应用技术及电子商务软件技术公司。其业务专注于互联网安全产品及网络安全服务等领域，是互联网时代软件技术公司。

方正数码借助技术、研发方面优势，借鉴世界上最先进管理运作经验，定位于"电子商务赋能者"（e-commerceenabler），用不断创新技术与优质服务赋予客户新经济时代可持续发展能力，协助政府、行业、公司、网站、电子商务运营者运用先进技术和高效管理手段在互联网时代健康发展，获得成功。

方正数码有限公司业务环绕在互联网安全技术应用、网络安全服务及网络安全知识管理等重要领域，在技术开发、应用解决方案和运营服务方面为顾客提供先进网络安全产品和技术。为此方正数码推出SHARKS互联网安全解决方案。SHARKS解决方案是在进一步研究后，提出一套基于中华人民共和国国情、所有自主开发、具备领先优势解决方案。它是一套整体集群平台，可以解决公司最为关切安全性、高可靠性、可扩展性和易于远程管理问题。当前这套方案已经得到国家关于部门大力支持，被国家经贸委列为国家创新筹划项目之一，还得到了国家“863”筹划必定与支持。方正方御防火墙是SHARKS安全解决方案中重要安全产品之一。方正方御防火墙凭借其独特技术优势，在保证系统自身安全性同步又保证了其运营效率。方正方御防火墙中还融入了入侵检测技术，可以有效地防范袭击企图试探；此外运用先进III技术，方正方御防火墙可以有效滤除知名DDoS袭击，正是这种袭击曾迫使涉及美国雅虎在内若干世界最大网站停止服务。除防火墙之外，方正数码有限公司还向顾客提供VPN、安全扫描系统、入侵检测系统（IDS）等安全产品及方案，从多层次、多角度、全方位保护顾客网络。在立足于自主开发外，方正数码公司还与众多国际、国内知名安全公司保持着良好合伙关系，集成国内外最先进安全产品，为顾客安全建设保驾护航。

人民银行内联网构造分析人民银行内联网整体状况某人民银行内联网是以总行为中心、各个分支区域为基本，覆盖某人民银行全国各部门、各层次分支机构，基于TCP/IP合同体系计算机信息服务网络；是某人民银行应用系统基本网络平台。当前整个系统已网络实现到地市，系统运营着某人民银行各种应用系统。其中，这些系统通过与全国各商业银行以及其她金融机构互联网络，实现信息互换和共享。人民银行内联网网络构造某人民银行内联网由广域网和各级机构局域网构成。某人民银行内联网重要连接由两个某些构成：一是某人民银行自己纵向连网，连接某人民银行各级机构；一是某人民银行和其她商业银行横向连网，实钞票融系统之间数据通信。某人民银行内联网建立在CNFNFramerelay网络之上，使用独立地址空间和域名系统。广域网采用Framerelay技术。全国网络以总行为根节点，形成树形构造，各叶节点是某人民银行各级机构内部局域网络，是广域网信息源和终点，同步也是连接各商业银行起点。人民银行内联网整体构造遵循网络设计三级原则，提成骨干网（核心层）、省域网（互换层）、区域网（访问层）。骨干网由总行、分行营业管理部、省会都市中心支行等节点构成；省域网由省会都市中心支行以及省域内各地市中心支行等节点构成；区域网由地市中心支行以及所辖县支行等节点构成。同步，某人民银行在总行、省（市）、地（市）三个层次上与各个商业银行以及其她金融机构进行互连（系统总体机构如下）某人民银行纵向连网某人民银行纵向连网某人民银行同商业银行及其她金融机构互连商业银行内联网商业银行内联网商业银行内联网同步，网络系统中网络设备以路由器、互换机为主。骨干网上运营OSPF路由合同。人民银行内联网支撑应用系统某人民银行内联网上已经或即将运营重要应用服务系统涉及：政务与办公自动化系统；业务解决系统；管理信息系统；决策支持系统；多媒体应用与会议电视系统；信息征询服务系统；外汇应用系统；人民银行系统平台某人民银行当前系统平台重要采用WindowNT系统；Unix系统；数据库系统；

人民银行内联网安全分析人民银行内联网安全现状分析某人民银行内联网骨干网有独立PVC,IP地址以及域名系统。广域网基本满足涉密网保密条件。某人民银行和其她商业银行以及金融机构连接当前没有采用网络安全办法，为了防范来自外部网络（其她商业银行和金融机构）安全威胁，迫切需要进行人民银行内联网防火墙系统基本建设，保障内部网络安全。人民银行内联网安全风险分析当前，人民银行系统与外部非信任网络系统之间缺少完善安全保护体系。某人民银行内联网各个叶节点网络构造如下：重要应用服务安全风险应用服务系统中各个叶节点有各种应用服务，这些应用服务提供应人民银行各级分行或商业银行使用。不能防止未经验证操作人员运用应用系统脆弱性来袭击应用系统，使得系统数据丢失、数据更改、获得非法数据等。而某人民银行这些应用系统是某人民银行内联网中最重要构成某些。DNS服务DNS是网络正常运作基本元素，它们是由运营专门或操作系统提供服务Unix或NT主机构成。这些系统很容易成为外部网络袭击目的或跳板。对DNS袭击普通是对其她远程主机进行袭击做准备，如篡改域名解析记录以欺骗被袭击系统，或通过获取DNS区域文献而得到进一步入侵重要信息。知名域名服务系统BIND就存在众多可以被入侵者运用漏洞。某人民银行对外各种应用，特别是基于URL应用依赖于DNS系统，DNS安全性也是网络安全关注焦点。E-Mail由于邮件服务器软件众多广为人知安全漏洞，邮件服务器成为进行远程袭击首选目的之一。如运用公共邮件服务器进行邮件欺骗或邮件炸弹中转站或引擎；运用sendmail漏洞直接入侵到邮件服务器主机等。而某人民银行内部E-mail系统覆盖面广，因此迫切需要使用防火墙来保护人民银行内部E-mail系统。WWW运用HTTP服务器某些漏洞，特别是在大量使用服务器脚本系统上，运用这些可执行脚本程序，未经授权操作者可以很容易地获得系统控制权。在某人民银行存在各种WWW服务，这些服务合同或多或少存在安全隐患。FTP某些FTP服务器缺陷会使服务器很容易被错误配备，从而导致安全问题，如被匿名顾客上载木马程序，下载系统中重要信息（如口令文献）并导致最后入侵。有些服务器版本带有严重错误，例如可以使任何人获得对涉及root在内任何帐号访问。网络中重要系统安全风险整个系统中网络设备重要采用路由器设备，有必要分析这些设备风险。路由器是某人民银行内联网核心部件，路由器安全将直接影响整个网络安全。下面列举了某些路由器所存在重要安全风险：■ 路由器缺省状况下只使用简朴口令验证顾客身份，并且远程TELNET登录时以明文传播口令。一旦口令泄密路由器将失去所有保护能力。■路由器口令弱点是没有计数器功能，因此每个人都可以不限次数尝试登录口令，在口令字典等工具协助下很容易破解登录口令。■每个管理员都也许使用相似口令，因而，路由器对于谁曾经作过什么修改，系统没有跟踪审计能力。■路由器实现某些动态路由合同存在一定安全漏洞，有也许被恶意袭击者运用来破坏网络路由设立，达到破坏网络或为袭击做准备目。针对这种状况，必要采用办法，有效防止非法对网络设备访问。■TCP/IP风险：系统采用TCP/IP合同进行通信，而由于TCP/IP合同中存在固有漏洞，例如：针对TCP序号袭击，TCP会话劫持，TCPSYN袭击等。同步系统DNS采用UDP合同，由于UDP合同是非面向连接合同，对系统中DNS等有关应用带来安全风险。数据库系统安全分析数据库系统是存储重要信息场合并肩负着管理这些数据信息任务。数据库安全问题，在数据库技术诞生之后就始终存在，并随着数据库技术发展而不断深化。不法份子运用已有或者更加先进技术手段普通对数据库进行伪造数据库中数据、损坏数据库、窃取数据库中数据。如何保证和加强数据库系统安全性和保密性对于网络正常、安全运营至关重要。Unix系统安全分析 UNIX系统安全具备如下特性：操作系统可靠性：它用于保证系统完整性，系统处在保护模式下，通过硬件和软件保证系统操作可靠性。访问控制：容许通过变化顾客安全级别、访问权限，具备统一访问控制表。对象可用：当对象不需要时应当及时清除。个人身份标记与认证：它重要为了拟定身份，如顾客登陆时采用扩展DES算法对口令进行加密。审计：它规定对使用身份标记和认证机制，文献创立，修改，系统管理所有操作以及其她关于安全事件进行记录，以便系统管理员进行安全跟踪。往来文献系统：UNIX系统提供了分布式文献系统（DFS）网络安全。 将网络与外部网络相连接，会使您网络遭受潜在服务中断、未经授权入侵以及相称大破坏。例如下面某些安全隐患：■“回绝服务”袭击(DenialofServiceAttacks)：这些袭击禁止系统向顾客提供服务，使顾客不能得到某种服务。例如，袭击也许使用大而无用流量充斥网络，导致无法向顾客提供服务。最普通状况是这种袭击也许毁坏系统或者只是让系统在向顾客提供服务时慢出奇。■缓冲区溢出袭击(BufferOverrunExploits)：其中涉及运用软件弱点将任意数据添加进某个程序中，从而在它以根身份运营时，有也许赋予剥削者对您系统根访问权。这也也许导致某种“回绝服务”袭击。■窃听和重放袭击(SnoopingandReplayAttacks)：窃听袭击涉及某个对网络上两台机器之间通讯流进行侦听入侵者。通讯流也许包括使用telnet、rlogin或ftp时来回传递未加密口令。这有也许导致某个未经授权个人非法进入您网络或看到机密数据。■IP欺骗(IPSpoofing)：基于IP欺骗袭击涉及对计算机未经授权访问。通过侦听网络通讯流，入侵者找到受信任主机一种IP地址，然后发送消息时批示该消息来自受信任主机。■内部泄密(InternalExposure)：绝大多数网络非法进入皆起因于某个心怀恶意或对现状不满现任或前任雇员滥用对信息访问权或非法闯入您网络。针对Unix系统存在诸多风险，应当采用相应安全办法。必要对这些风险加以控制。针对这个某些安全控制可以采用特殊安全方略，同步运用有关软件对系统进行配备、监控。制定详细访问控制筹划、方略。WindowsNT系统安全分析WindowsNT安全机制基本是所有资源和操作都受到选取访问控制保护，可觉得同一目录不同文献设立不同权限。这是NT文献系统最大特点。NT安全机制不是外加，而是建立在操作系统内部，可以通过一定设立使文献和其她资源免受在存储计算机上工作顾客和通过网络接触资源顾客威胁（破坏、非法编辑等）。安全机制甚至包括基本系统功能，例如设立系统时钟。对顾客帐号、顾客权限及资源权限合理组合，可以有效地保证安全性。通过一系列管理工具，以及对顾客帐号、口令管理，对文献、数据授权访问，执行动作限制，以及对事件审核可以使WindowsNT达到C2级安全。在网络中，有三种方式可以访问NT服务器：（1）通过顾客帐号、密码、顾客组方式登录到服务器上，在服务器容许权限内对资源进行访问、操作。这种方式可控制性较强，可以针对不同顾客。（2）在局部范畴内通过资源共享形式，这种方式建立在NETBIOS基本之上。通过对共享资源共享权限控制达到安全保护。但不能针对不同顾客，当一种顾客在通过共享对某一种资源进行操作时（这时共享权限有所扩大），其她顾客趁虚而入，而导致对资源破坏。（3）在网络中通过TCP/IP合同，对服务器进行访问。当前典型应用有FTP、HTTP、WWW等。通过对文献权限限制和对IP选取，对登录顾客认证可以在安全性上做到一定保护。 由于WindowsNT系统复杂性，以及系统生存周期比较短，系统中存在大量已知和未知漏洞，某些国际上安全组织已经发布了大量安全漏洞，其中某些漏洞可以导致入侵者获得管理员权限，而另某些漏洞则可以被用来实行回绝服务袭击。管理系统安全风险管理系统安全风险除了上面提到系统风险之外，系统之间，特别是其她商业银行和某人民银行之间存在很大安全隐患。系统构造复杂、管理难度大，存在各种服务，哪些服务对哪些人是开放、哪些是回绝都没有一定安全划分。必要防止内部不有关人员非法访问安全限度规定高数据，并且整个系统正常运营也是保证银行系统寻常工作正常进行一种十分重要方面。必要限制管理系统内各个部门之间访问权限，维护各个系统安全访问。而由于整个系统是一种体系，任何一种点浮现安全问题，都也许给有关人员带来损失。业务网络安全风险 业务网络安全限度规定是最高，当前在某人民银行内部运营业务繁多，同步各个商业银行以及其她金融机构通过某人民银行内联网也运营有关业务，给整个系统带来了很大安全隐患。这种隐患也许来自某人民银行内部，也也许来自某人民银行外部网络。特别是外部，必要采用有效办法控制和隔离内联网与其她商业银行和金融机构网络互连，监控某人民银行内联网与其她金融机构之间网络通信，限制对方对某人民银行资源访问范畴，权限，防范也许来自对方安全威胁。保证内部系统安全。

方正数码防火墙解决方案本方案设计原则和目的原则：从网络安全整个体系考虑，本次防火墙选取原则是：安全性：防火墙提供一整套访问控制/防护安全方略，保证系统安全性；开放性：防火墙采用国家防火墙有关原则和网络安全领域有关技术原则；高可靠性：防火墙采用软件、硬件结合形式，保证系统长期稳定、安全运营；可扩充性：防火墙采用模块化设计方式，以便产品升级、功能增强、调节系统构造；可管理性：防火墙采用基于windows平台GUI模式进行管理，以便各种安全方略设立；可维护性：防火墙软件维护以便，便于操作管理；目的：网络安全涉及诸多方面，如：访问控制、身份认证、数据加密、入侵检测、防止病毒、数据备份等。本次某人民银行内联网防火墙系统建设目的是通过在某人民银行同其她商业银行、金融机构连接处采用防火墙技术，防止外部网络对某人民银行内联网数据非法使用和访问，监控整个网络数据过程。有效防止来自外部袭击行为。限制对内部资源和系统访问范畴。通过在某人民银行内联网系统中设立防火墙安全办法将达到如下目的：保护基于某人民银行内联网业务不间断正常运作。涉及构成某人民银行系统网络所有设施、系统、以及系统所解决数据（信息）。某人民银行重要信息在可控范畴内传播，即有效控制信息传播范畴，防止重要信息泄露给某人民银行外部组织或人员。解决网络边界安全问题保证网络内部安全实现系统安全及数据安全在顾客和资源之间进行严格访问控制（通过身份认证，访问控制）建立一套数据审计、记录安全管理机制（网络数据采集，审计）融合技术手段和行政手段，形成全局安全管理。为理解决人民银行内联网面临安全问题，有必要建立一整套安全机制，涉及：访问控制、入侵检测等各种方面。信息系统安全是一种复杂系统工程，涉及到技术和管理等各种层面。为达到以上目的，方正数码在充分调研和分析比较基本上采用合理技术手段和产品以构建一种完整安全技术体系，同步通过与某人民银行共同工作，协助某人民银行建立完善安全管理体系。防火墙选型防火墙是网络安全领域首要、基本设施，它对维护内部网络安全起着重要作用。运用防火墙可以有效地划分网络不同安全级别区域间边界，并在边界上对不同区域间访问实行访问控制、身份鉴别、和安全审计等功能。防火墙按实现方式不同，其基本类型有：包过滤型、代理(应用网关)型和复合型。复合型防火墙是在综合动态包过滤技术和代理技术长处状况下采用一种更加完善和安全防火墙技术。其功能强大，是将来防火墙技术发展一种重要趋势。综合考虑人民银行网络安全实际状况，在本方案中采用方正数码方正方御（FG-P）复合型防火墙，放置在某人民银行与各个商业银行以及其他金融机构连接各个叶节点。防火墙设立及工作模式依照某人民银行内联网防火墙规定和实际状况，防火墙整体布局如下：在人民银行与各商业银行以及其她金融机构有连接点采用防火墙技术。每个节点防火墙设立详细如下图：●防火墙提供三个接口：内网、外网、DMZ；●防火墙工作在路由模式，对外采用NAT技术，隐藏内部真实地址；●将对外服务各种服务设备放置在DMZ区域，和内部网络严格区别开，保证内部系统安全。考虑到安全问题，系统中构造需要调节，将本来各商业银行对某人民银行内部网络访问调节到对DMZ访问。不容易容许各商业银行对某人民银行内部网络进行访问。防火墙功能设立及安全方略完善访问控制规则控制：通过方正方御防火墙提供基于TCP/IP合同中各个环节进行安全控制，生成完整安全访问控制表，这个表涉及：■外网（商业银行和其她金融机构）对DMZ内服务访问控制。将外部对内部、DMZ内服务访问明确限制，防止非法对内部重要系统，特别是业务系统访问。运用DMZ隔离效果，尽量将对外服务某些服务器放置在DMZ区域，通过NAT方式，保护内部网络免受袭击。关闭操作系统提供除需要以外所有服务和应用，防止由于这些服务和应用自身漏洞给系统带来风险。对内部E-mail、FTP、WWW、数据库访问做严格规划和限制，防止恶意袭击行为发生。■内部网络：内部网络对外部网络（商业银行和其她金融机构）访问也要进行严格限制。防止内部员工对外网资源非法访问。对内部员工对外访问采用NAT方式访问。同步内部员工对DMZ区域服务器访问也必要做限制。内部员工对外网WWW访问采用代理方式。■DMZ访问：普通状况下DMZ对外部和内部都不能积极进行访问，除非特殊应用需要到内部网络采集数据，可以有限地开放某些服务。借助方正方御防火墙提供基于状态包过滤技术对数据各个方向采用全面安全技术方略，制定严格完善访问控制方略保证从IP到传播层数据安全。针对某人民银行系统中网络风险可以通过严格访问控制表来进行限制。IPMAC地址捆绑：方正方御防火墙提供灵活而方式各种内部网络、DMZ区域、外部网络IPMAC地址捆绑功能，将每台机器IP地址和它自身物理地址捆绑，有效防止内部网络、DMZ区域、外部网络IP地址盗用（该功能实质是将网络合同第二层地址和第三层地址进行捆绑，达到一定安全级别）。内部系统应当尽量采用固定IP分派方案。通过IPMAC地址捆绑，也可以对后期数据日记分析带来一定以便性。URL拦截：在某人民银行内联网上存在各种需要对外保密信息。方正方御防火墙实现了透明URL拦截功能，对通过防火墙应用层URL进行严格控制和管理，按照顾客规定进行拦截。外部对DMZ、内部URL访问进行控制，同步也可以限制内部网络对外部网络URL非法访问。在该方案中咱们将对内部网络和外部网络状况详细理解，对URL拦截达到页面级别。有效保护www应用安全。内置入侵检测（IDS）方正数码公司和国际网络安全组织合伙，可以实时获得最新系统入侵库代码，动态地将这些袭击技术解决方案加入到方正方御防火墙中,同步在方正方御防火墙内部采用3I技术，加速应用层安全防护查询过程。方正方御防火墙当前可以支持1500种以上入侵检测并可以成功阻断这样袭击行为，例如近来红色代码。针对各种袭击行为，例如TCP序列号袭击、劫持、碎片袭击、端口扫描可以辨认阻断。而这个数据库可以实时更新、升级。升级在方正方御防火墙界面即可完毕。IDS和访问方略形成互动。通过防火墙嵌入IDS功能可以有效防范对内部Windows/NT，Unix系统袭击行为。电子欺骗：防火墙可以自动辨认各种电子欺骗行为并进行阻断。同步防火墙可以对伪装IP地址进行辨认。代理服务方正方御防火墙对外提供代理服务功能，某人民银行内部网络对外访问可以通过防火墙提供代理服务功能，同步代理服务可以针对URL,SSL,FTP进行应用拦截，防止内部人员对外网非法访问。NAT地址转换将某人民银行内部网络和DMZ区域网络地址通过NAT方式转换，隐藏真实IP地址，防止内部网络受到袭击。详细转换方式就是将内部网络和DMZ区域机器地址所有转换成防火墙外网卡地址，对外某人民银行只有一种地址。而借助防火墙多映射功能，可以将对外同一地址映射为内部网络和DMZ区域不同服务不同端口。日记系统及系统报警方正方御防火墙提供强大日记系统，将通过防火墙数据、防火墙管理数据、流量、各种袭击行为记录集成到一起。同步系统提供针对各种记录成果按照顾客规定进行报表打印。针对通过防火墙数据，可以按照数据类型、地址进行记录分析。针对各种管理数据，防火墙进行详细记录，网管人员可以以便查看对防火墙管理状况。如果有内部人员对防火墙访问，可以通过管理数据进行查询。流量记录：防火墙提供流量记录功能，可以按照顾客名称、地址等各种方式进行记录。系统报警：当有人非法对内部网络或者外部网络进行访问时候，系统实时报警会通过E-mail和声音进行报警。同步对各种非法访问和袭击行为进行记录。通过强大日记系统和实时报警、日记报警等各种方式保证某人民银行内部网络浮现安全问题时可以有资料分析；同步也可以通过对日记系统分析完善系统安全方略。带宽分派，流量管理在某人民银行内联网上运营着某些重要业务数据，这些业务数据实时性规定高，必要保证这样数据具备优先权限，防止由于带宽问题影响某人民银行应用。方正方御防火墙可以针对某人民银行实际状况，对某些特殊应用提供带宽管理。给特殊应用分派相对高带宽。同步方正方御防火墙提供流量管理功能，对内部网络顾客对外网访问可以提供流量限制。集中管理针对某人民银行网络覆盖面广、区域跨度大特点，防火墙需要集中管理和控制。方正方御防火墙提供集中管理机制，支持远程管理。运用NT域概念和技术，方正方御防火墙可以对同一种域内不同防火墙进行同步管理。咱们考虑在某人民银行总行以及各个大区行采用集中管理机制。按照防火墙分权原则，将方略管理放置在各个防火墙节点。方略整体由某人民银行总行策划，各个节点自己进行方略管理。而系统管理和日记查询放置在各个大区行，统一管理、分析。防火墙提供管理接口，同步支持远程管理，管理数据采用RC4/MD5方式加密，可以有效保证管理安全性，同步管理数据只在某人民银行内联网流动。而防火墙自身可以对管理员地址进行严格限制。预制模板某人民银行网络复杂，但是构造清晰，为了更好维护整个系统安全和适应某人民银行统一管理、安全强度一致原则，方正方御防火墙提供预制模板功能。可以通过某人民银行统一制定一种方略模板，各个节点网络在这个模板基本上进行规划，简化管理过程，使得系统管理难度减少。H.323支持某人民银行内联网运营着视频会议数据（H.323）。方正方御防火墙可以精确辨认H.323数据流，让数据合法通过。按照正常状态检测技术，H.323数据也许被阻断。在方正方御防火墙内部成功进行了UDP、TCP数据同步分析。系统可以辨认H.323连接，保证H.323数据通过。系统升级网络安全技术随着网络技术发展不断变化，而网络安全方略和软件也不能一成不变，需要不断升级。方正方御防火墙管理界面提供以便系统升级和IDS升级功能。保证某人民银行防火墙产品实时和网络安全领域技术同步，防止由于新安全问题给系统带来安全风险。其中，特别是IDS功能，几乎每天均有新安全风险和袭击软件浮现。方正防火墙内嵌IDS功能模块可以动态升级，保障IDS数据库和最新动态同步。双机备份网络安全、稳定长期运营是某人民银行最后目的，而网络硬件也许由于某些特殊因素发生故障。方正方御防火墙提供双机备份功能，采用两种方式进行备份检测，软件方式借用HSRP技术动态跟踪各个区域运营状态，发现任何一种区域浮现问题即刻进行切换。硬件方式采专心跳线方式，当系统检测到故障，也将进行切换。而系统切换不影响某人民银行业务。两台防火墙工作在互备模式中。防火墙方案特点本次某人民银行内联网防火墙重要设立在和其她商业银行连接节点上。本方案中，咱们重要依照某人民银行网络实际状况，针对防火墙特殊性，从如下几种方面考虑保障系统安全性防火墙放置在内外网之间用来隔离内部网络和外部网络，对内外网络通信进行严格管理和监控，防火墙必要提供全面安全方略保证内部系统安全。因而方正方御防火墙提供全面访问控制方略、IPMAC地址捆绑、IDS入侵检测、反电子欺骗等手段。这些功能可以有效保障内部网络安全。同步方正方御防火墙也提供带宽管理、分派，系统报警等办法从侧面协助。自身安全性防火墙作为网络系统中一种部件，其自身安全性也是十分重要，考虑到实际状况，方正方御防火墙提供单独管理接口，管理接口服务所有关闭，同步管理接口特殊管理数据采用原则加密算法和办法。某人民银行远程管理过程中数据通过某人民银行内联网进行管理可以有效保证管理安全性。同步，运用WindowsNT中域技术，对防火墙管理时必要登录到相应域才干对域内顾客进行管理，保障管理域安全性。而防火墙操作系统采用通过严格测试专有操作系统。维护以便性管理以便性直接关系到系统能否起到安全保护作用，方正方御防火墙提供专有GUI平台，以便制定各种安全方略。系统事件管理系统事件和日记记录直接关系到整个安全平台完善和后续责任追查等各种方面，方正方御防火墙为顾客提供完整、精确数据记录成果，供查询、打印等。

人民银行内联网防火墙安全需求及方案对照阐明人民银行内联网防火墙基本规定人民银行内联网设立防火墙目是隔离内部网、外部网和DMZ区（非军事区），抵抗各种模式网络袭击，保护内部网络不受袭击。方正方御防火墙是基于状态检测技术包过滤防火墙，拥有完整客体访问控制能力。可以对控制范畴内任何主体和客体执行端到端方略。通过对主、客体规则方略配备可以控制主、客体访问。方正方御防火墙通过设立容许、禁止以及对已建、新建、有关、非法四种状态检测访问，拥有授权与回绝能力。为主体和客体安全属性提供明确访问保障和回绝。方正方御防火墙拥有各种安全属性访问控制。防火墙方略控制范畴涉及：源地址、目地址、源端标语、目端标语、传播合同，连接状态，以及碎片检测等所有要素。方正方御防火墙具备安全审计功能模块。可以对入侵检测、流量控制、防火墙自身操作、代理服务器等进行安全审计，并且将其审计成果详细记录在日记中，通过自带记录模块，管理人员可以自动或者手动地将其记录成为报表。方正方御防火墙安全方略采用了非旁路性设计，即所有流过防火墙信息包都要通过防火墙配备规则检测，不会浮现信息包绕过防火墙配备方略进入受保护网络状况。防火墙可以充分保证任何与安全关于操作被执行前，均通过安全方略检查。方正方御防火墙自身拥有非常高安全性。方正方御防火墙采用专用操作系统，顾客或者黑客不会理解其操作系统任何信息，无从对防火墙操作系统进行袭击。同步在管理上使用专有控制接口，将管理信息与其她信息隔离开同步还采用了基于PKI方式保证管理信息安全性。方正方御防火墙拥有完善管理功能，可以支持安全集中管理，能区别安全管理角色，采用了三级管理体系，将管理人员分为管理员、审计员、方略员三种。结合人民银行内联网树型构造特点，使管理员可以对防火墙实行安全远程管理及维护，并可以通过加密保护远程管理睬话。基本配备管理功能，顾客数据保护中管理员属性修改和查询功能，标记与鉴别功能。人民银行内联网防火墙功能规定必备功能包过滤方正方御防火墙是基于包过滤防火墙，通过对所有流经防火墙信息包内包头信息进行检查，容许或制止数据包传播，以实现对网络安全控制。它可以制止畸型报文和回绝服务，防止外部IPSpoofing，并可限制内部职工对外网访问祈求。同步防火墙内置强大IDS系统可以实时封禁可疑IP及黑客各种袭击行为并报警。应用代理方正方御防火墙提供应用代理功能，是针相应用层服务，对顾客应用提供代理服务，即接受顾客访问祈求、分析顾客数据，然后以自己身份向内容服务器提出祈求，并把内容服务器响应传回给顾客。DMZ划分方正方御防火墙提供DMZ划分，可以实现安全功能区域分割，把控制范畴内各主体安全区域分开。防火墙除了提供内部接口和外部接口外，还提供一种DMZ区（非军事区）网络接口。在DMZ区中，可以设立公共应用服务设备，供外部网络有条件地访问其中资源。地址转换方正方御防火墙拥有双向地址转换功能（NAT），它是基于网络层应用，通过把内部网络（或DMZ区）信息包内源地址修改为防火墙外部端口地址传向外部网络，同步隐藏了内部网络（或DMZ区）IP地址。详细做法为，当顾客需要对外访问时，防火墙会将顾客IP地址转换为防火墙外部端口IP地址，并将得到响应再转换回顾客IP地址发回给顾客，从而达到内部网络（或DMZ区）顾客访问外部网络资源目。这种做法既可以使外部网络无法理解内部网络（或DMZ区）网络构造，又可以节约外部合法IP地址空间。此外，方正方御防火墙提供反向地址转换功能，支持DMZ区中某个服务端口到内部地址一对一映射，即DMZ区中地址向内部网络地址访问时，被访问IP地址被转换为指定DMZ区中IP地址。完整日记功能方正方御防火墙提供了完整日记功能，由于防火墙安全特性，使防火墙日记成为及时发现系统漏洞、分析系统也许受到袭击、判断系统运营状态及系统配备错误等问题重要手段，因而方正方御防火墙可以提供完整日记功能。防火墙运营日记可以依照管理员管理规定进行针对性设立，实时记录到目的文献或目的数据库中，并提供必要手段使管理员可以查阅当前及历史日记文献。高安全性防火墙操作系统和软件内核由于防火墙软件是基于特定操作系统之上，因而必要对防火墙所使用操作系统安全提出规定，以免因操作系统自身漏洞导致防火墙安全受到影响。方正方御防火墙采用是专用操作系统，安全性高，在操作系统上不会给黑客任何可趁之机。增强功能按照“三级互联处强度一致，功能规定有所区别”建设方针，在总行、分行营业管理部/省会都市中心支行二级网络互联区与商业银行等其她金融机构内部网络对接处防火墙配备规定具备或将来需要时可扩充至此增强功能。双机热备方正方御防火墙提供双机热备功能，在网络中设立两台同等地位防火墙产品，一主一从，从用防火墙中存有主用防火墙设立镜像，当主用防火墙因故无法正常运营时，从用防火墙可以自动取代主用防火墙运作，提供应急办法，从而保证整个网络系统稳定运营。防火墙性能防火墙系统不但要有完善功能，还要有最佳性能保证,保证安全与效率平衡，人民银行内联网中使用防火墙必要符合国家有关原则和规范。方正方御防火墙提供原则以太网接口，适合某人民银行内联网网络接入模式、接口规范、网络带宽，方正方御防火墙拥有高吞吐量、高性能；时延小、时延抖动小等特点；包转发率达到网络规定；30万并发连接数不会限制既有应用系统正常使用。不会成为网络瓶颈，或明显影响网络工作效率。方正方御防火墙具备较高可靠性，不会减少某人民银行信息系统既有可靠性。方正方御防火墙采用是专用操作系统，具备很高安全性，不存在也许被她人非法运用安全漏洞。方正方御防火墙将内网、外网、DMZ和防火墙配备端分别连接于不同网卡，实现最底层网络驱动隔离。提供三个10M/100M自适应以太网口，及一种CONSOLE口。方正方御防火墙在管理上易管理、易维护。提供图形化管理界面，易于理解配备规则，简捷配备办法，最大限度地简化管理员对防火墙产品管理与维护工作。防火墙管理防火墙能否充分发挥作用，不但与产品功能性能紧密有关，寻常运营管理也是至关重要。相称多网络入侵事件发生，并非是防火墙不起作用，而是由于防火墙管理不善、操作和配备不当，才使防火墙失去了应有防范作用。因而，网络管理中心要进行一定限度下防火墙系统集中管理。对于方正方御防火墙，管理员可以通过一台控制机对全网范畴内任何一台防火墙设备进行远程管理，实现对防火墙配备、启动、关闭、备份和恢复。通过提供多层登录权限设立功能，灵活设立防火墙访问权限。此外，为保证集中管理（即通过远程方式对防火墙产品进行管理与维护）安全性规定，方正方御防火墙可以限制进行远程管理IP地址；可以加密保护远程管理睬话，且方正方御防火墙加密是符合国家密码委关于规定。

人民银行内联网安全管理建议整体思路依照某人民银行内联网网络状况提出相应管理建议。本建议仅包括了基本原则和思路，需要某人民银行系统有关人员通过协同工作，使安全管理与银行自身管理体系相融合，最后得到详细化贯彻和实行。某人民银行内联网网络是一种比较完善综合网络，整体构造是—个通过WAN连接多级网络，在网络每一级节点上具备一种局域网，在多级网络上运营着各个业务系统、服务系统、办公自动化系统等，由于应用系统复杂性、管理人员复杂性，制定一种适当全网安全管理制度和安全方略是十分必要。良好管理平台有助于增强系统安全性，可以作到：及时发现系统安全漏洞适时审查系统安全体系加强对使用人员安全知识教诲建立完善系统管理制度集中管理，统一规划防火墙能不能对的发挥它应有作用，核心在于管理，某人民银行内联网机构复杂、覆盖面广，如何管理将是对全网安全有一大难题和考验，咱们建议以人民银行总行及大区行为中心，集中管理，某人民银行统一规划。总行及大区行负责防火墙寻常运营状况监测和管理，同步大区行制定统一安全办法，保证防火墙可以对的统一发挥其作用。当前某人民银行各节点接入方式多样，这无形中给某人民银行内联网带来了巨大安全隐患，咱们以为在统一管理上还应当统一某人民银行内部网络出口。同步杜绝拨号登录某人民银行内联网。严格规章安全教诲健全管理体制是维护网络正常安全运营核心。诸多系统由于没有健全安全管理体制经常浮现由于管理疏忽而导致严重问题。咱们以为如下问题应当成为安全管理首要解决问题：在组织机构上对安全管理有一种保证——明确制定安全管理人员在管理上权利和义务。对于安全管理员，明确指定每个人应当对什么事故负什么样责任，责任贯彻到人头。明确指定什么人可以管理什么网络设备（防火墙、路由器、互换机等等），作到专门产品维护由专人负责。同步，对网络安全管理，咱们应当在某人民银行进行统一网络安全教诲，让某人民银行员工将网络安全意识带到工作中去，提高员工网络安全整体结识水平。加强口令管理（例如设立其生效期、频繁更改口令等）；在口令管理上一方面杜绝不设口令帐号存在，缩短口令有效期时间；注意保证每个顾客ID是唯一；对于过期帐号要及时注销。加强对网络系统管理,在新网络顾客注册时，对其进行必要定义，明确其授权范畴，建立有益于顾客安全管理机制。在网络顾客准备登录时，应当对其进行严格身份认证。可以通过此顾客所属主机以及采用基于一次性口令顾客验证系统（例如SecurID等），检查进入网络顾客与否合法，防止非法顾客进入网络.明确责任技术培训网络管理员是决定系统网络与否可以安全、有效运营主线因素。网络管理员技术水平是在很大方面限制了安全系统有效运营，例如错误配备网络设备（路由器、互换机等）、安全产品（防火墙、入侵检测产品等）都可以导致网络“千里之堤毁于蚁穴”。因而，需要网络管理人员不断提高自己技术水平，查找各种有关资料，跟踪最新网络安全技术，防病毒技术等等，使安全之钥掌握在自己手里。动态监控专家征询安全系统复杂性和安全产品多样性导致诸多时候公司并没有能力解决网络中浮现所有涉及安全产品问题。这需要安全产品生产厂商、软件公司等定期提供网络安全风险分析和针对新产品、新原则培训。建议在某人民银行内部成立专门网络安全征询安全小组，由理解某人民银行内部构造专业人士和专业网络安全技术人员构成，同步动态地监控整个系统网络安全状况，发现异常及时解决。构成一种快捷有效应急响应小组，响应小组可以有选取邀请国内、外某些网络安全专家担任特聘顾问，例如方正数码安全专家等，以便在发生袭击事件时在最短时间内提供最有利支持。

人民银行内联网防火墙安全系统实行方案由于本次某人民银行内联网防火墙安全子系统涉及全国范畴，因而方正数码公司将通过全国授权服务商（见附录一）来为某人民银行各地机构提供本地化服务。同步，咱们乐意与人民银行内联网工程建设系统集成商紧密合伙。项目实行原则考虑到本项目是一种涉及分布全国人民银行各级分支机构且对参加技术支持单位及使用单位规定很高，因此咱们以为本项目应在人民银行集中领导、协调，方正数码公司全力支持状况下进行，以上是本项目实行基本思路。合同订立阶段工作实行本阶段应是项目实行重要阶段，人民银行与方正数码公司双方应协调本方有关单位，为项目实际进行建立起有效协调体系及最大限度地做好准备工作。为达到上述目，双方应做如下工作：1．建立协调领导小组人民银行协调小组构成人员及联系表如下:某人民银行项目组联系表部门人员责任分派联系方式项目总负责防火墙负责人系统及网络某些负责人商务实行负责人…………阐明：详细信息需某人民银行提供。方正数码公司协调小组构成人员及联系表如下:

2．方正数码公司及授权服务商工作准备一方面方正数码公司将防火墙发送到授权服务商处，组织服务商进行项目培训并完毕防火墙规则配备。最后发送到顾客现场，由方正数码有限公司授权专业工程师安装、调试，保证系统平稳过渡，保证系统安全。发货阶段实行1.人民银行负责：提供本方使用单位详细信息，所需信息列表如下:顾客分布及联系表项目分区区辖地市负责人工程师联系方式地址建议安装顺序配备总行营业部沈阳西安济南成都武汉上海南京天津广州…阐明：详细信息需某人民银行顾客在到货前提供。为使安装、测试、发货工作更好地实行，上表应在合同订立阶段向方正数码公司提供。

2.方正数码公司

为做到发货清晰、精确，方正数码公司将在设备包装箱上做出明显标示。标签样本如下：

项目名称：项目名称：接受单位名称：地址：联系人：电话：防火墙型号：到货后工作实行1.人民银行组织地市行人员在大区行集中培训（在大区行准备培训环境）。2.方正数码公司协调服务商配合人民银行大区行组织培训。测试及验收测试及验收描述在整个项目实行过程中，有3个重要验收，它们是单点验收、初验和终验。下面是这三个验收通过描述：没有浮现双方承认由于安全产品设备导致全网不可恢复瘫痪；没有浮现双方承认由于安全产品设备导致单点不可恢复瘫痪；在试运营期间解决了初验遗留关于设备重要技术问题及试运营期间出既关于设备重要技术问题。验收项目通过不通过验收人硬件加电启动无异常声响系统自检过程无错误提示信息防火墙必备功能测试防火墙重要性能测试防火墙管理测试方正数码工程师 顾客代表（签字） （签字）日期： 日期：人民银行内联网防火墙系统培训培训目的掌握网络安全基本知识掌握产品工作原理能纯熟操作配备系统能进行寻常维护能纯熟地依照业务需要进行一定系统调节。培训课程TCP/IP基本网络安全基本防火墙实行和使用防火墙规则配备分析培训方式理论授课、上机实习。培训时长4个工作日/场次培训地点在人民银行大区行集中培训，地点由人民银行总行或大区行指定并提供培训场合。培训人数以人民银行地市支行为基本单位，每支行参加培训人数1-2人。学员规定熟悉windows系统，具备基本网络知识，熟悉路由器、互换机、集线器等基本网络设备。有组建简朴局域网络能力。有组建简朴TCP/IP网络能力。（有防火墙此类安全产品使用经验者更佳）

方正方御防火墙技术支持与服务方正数码绿色服务体系构造简介方正数码有限公司以北京为核心，在全国范畴内建设三层构造技术支持及售后服务体系，为顾客提供全方位服务。授权服务商授权服务商大区平台方正数码顾客技术支持技术支持技术支持技术培训技术培训技术支持方正数码有限公司安全产品技术支持中心（TechnicalSupportCenter）是第三层服务：方正数码安全产品技术支持中心，是三层构造售后服务体系服务管理中心和技术支持核心。作为技术支持核心，技术支持中心协助向顾客提供完善售后服务，协助解决第一层、第二层技术支持服务不能解决问题，保证防火墙在顾客网络上正常运营。技术支持中心提供服务热线（），可以进行远程诊断，解决顾客和第一、第二层技术支持服务电话征询。技术支持中心提供在线服务，为顾客提供产品信息有关发布，产品升级服务、产品在线技术支持（E-mail、Web论坛）、产品资料文档下载服务。技术支持中心为第一层和第二层技术支持服务提供产品培训，协助其掌握产品信息、产品特性以及产品实行和使用。技术支持中心还提供产品远程调试服务，当第一层和第二层技术支持服务不能解决顾客问题时，可以在得到顾客授权后通过产品远程调试接口直接提供技术支持。技术支持中心制定产品售后服务方略，提供售后服务作业指引文档，协助第一、第二层服务支持机构完毕产品实行、售后支持服务所有过程。方正数码安全产品大区平台是第二层服务：方正数码大区平台是方正数码重要销售和技术支持中心，它可以提供方正方御防火墙售前、售后各项支持。方正数码安全产品大区平台技术支持中心每个技术支持工程师，都通过方正数码专业化学习和培训，拥有一流技术和一流敬业精神，支持第一层技术支持机构进行产品技术支持和服务。方正数码安全产品授权服务商是第一层服务：方正数码有限公司为每个方正方御防火墙授权服务商都提供了原则化、专业化技术支持培训和严格上岗认证和服务授权，逐渐形成本地化服务网络。技术服务本地化，使遍及全国顾客都能享有到亲切和便捷技术支持服务。授权服务商技术支持人员直接面向最后顾客，重要负责本地和相邻区域产品售后支持服务，为顾客提供上门服务，涉及产品实行、诊断、维修和保驾等。授权服务商技术支持人员按照服务流程文档和作业指引书规范向顾客提供服务，并向方正数码技术支持中心返回顾客信息（顾客电话以及其她联系方式、产品序号、产品实行网络拓扑图等），以便于方正数码对顾客进行定期回访。完善技术支持与服务方正数码对安全产品提供售前、售后等服务，全面协助代理商、服务商和最后顾客迅速、以便使用方正数码安全产品，并且提供各种服务包，满足不同顾客特殊需求，以达到协助顾客实现网络安全目的。咱们服务准时间划分为：售前阶段：售前阶段是指从获得顾客需求到安全产品第一次安装。在这个阶段咱们售前工程师会分析顾客需求、设计方案、方案测试及安装、布置网络安全产品，直至顾客满意并订立验收报告。售后阶段：从顾客购买咱们安全产品开始，咱们售后工程师会协助顾客解决使用中遇到各种问题。售前服务内容技术征询：如果顾客或代理商在网络安全面有疑问或需要协助可以拨打热线电话征询，技术征询热线将解答关于网络安全面疑问。售前技术培训：提供防火墙及安全产品售前技术培训，让代理商、授权服务商和顾客理解网络安全有关信息和知识，熟悉方正数码产品，可以使用方正数码产品构建网络安全解决方案。分析顾客需求：当顾客提供了需求阐明后，工程师会认真分析顾客需求，为顾客提供最有效、最实用安全方案。设计解决方案：在分析顾客需求后，协助顾客设计一套多层次、多角度、易实行、全面网络安全解决方案。方案布置实行：顾客购买了方正方御安全产品后，协助顾客按照设计方案布置、实行。售前服务流程设备验收应当在顾客设备到位后5个工作日内完毕。其中顾客信息涉及：产品序号、产品序列号、单位名称、网络名称、地址、联系人、电话（座机、手机）、Email地址、实行网络图等其她和顾客保修有关信息。顾客会通过电话和Email形式得到方正数码返回服务号，以保证顾客能享有方正数码提供售后服务。售后服务内容技术培训：为了让顾客可以更好架构自己网络安全系统，方正数码培训中心提供网络基本、防火墙知识及网络安全培训。培训课程涉及TCP/IP基本、网络安全基本、防火墙实行和使用以及防火墙规则配备分析。如果顾客通过了方正数码培训中心防火墙及网络安全工程师认证考试，可以获得方正数码网络安全工程师认证证书。产品培训：为了保证顾客可以轻松、迅速、对的使用咱们产品，方正数码培训中心提供安全产品使用、维修培训。系统加固：普通公司在网络安全面没有专业知识和技能，为此方正数码可以协助顾客检测网络系统安全强度，并协助顾客弥补安全上现存漏洞，提高顾客网络安全级别，增强网络系统安全性。顾客意看法决：我公司始终以为顾客提出意见和建议是推动咱们迈进动力之一，为此咱们会及时、迅速地解决顾客意见和建议，将其分类、汇总并记入咱们数据库，以便于咱们不断地对产品进行改进和完善。顾客可通过热线电话010－68419468或Email:反映意见和建议。产品答疑：如果顾客在产品使用过程中有任何问题可以拨打咱们热线电话或给咱们发电子邮件，咱们会在第一时间解答您疑问。故障诊断：当咱们产品浮现故障时，顾客可以通过咱们热线电话告知咱们，咱们可以提供涉及电话指引、上门服务等形式协助顾客诊断故障并迅速解决。版本升级：咱们会不定期地提供防火墙内核及入侵检测库升级包，顾客可以通过咱们网站（.）下载升级包，升级自己防火墙。保修服务：方正数码对方正方御防火墙网络安全产品承诺为期三年免费保修。免费保修期后，方正数码依然提供完善服务来保证顾客系统正常运营。售后服务流程为更好地向顾客提供方正方御防火墙服务，方正数码提供了金牌服务、银牌服务、普通服务三个不同档次服务包供顾客挑选。对于购买了这三种服务包顾客方正数码将按照服务包内容更好为顾客服务。金牌服务：为更好向顾客提供方正方御防火墙服务，方正数码提供了金牌服务包，它涉及安装服务、维修服务、保驾服务（4次）、备机使用、应急响应服务等服务内容。银牌服务：顾客可以购买方正数码提供银牌服务包，它涉及安装服务、维修服务、保驾服务（4次）、备机使用等服务内容。普通服务：方正数码还提供了普通服务包，它涉及安装服务、维修服务、保驾服务（4次）等服务内容。服务方式电话支持(周一至周五9:00-18:00，节假日除外)：顾客在使用我司网络安全产品时如遇到问题，无论是软件，硬件或是网络，都可以从方正数码得到电话支持（），顾客可以指定一名重要联系人及两名替补联系人与方正数码技术支持中心联系。一旦接到顾客祈求电话，方正数码技术人员将在规定期间内通过电话解决或回答顾客问题。对于非工作日接到故障电话，最迟将在下一种工作日响应。在线支持：HYPERLINK.是一种网络安全专项网站，其中涉及方正数码网络安全系列产品信息、网络安全各种攻防信息、最新网络安全资料、顾客经常提出问题及解答、网络安全产品版本内升级程序、补丁程序以及其他对顾客解决技术问题有协助信息。Website每天更新，顾客可以通过Internet实时读取关于信息。现场支持(周一至周五9:00-18:00，节假日除外)：对于通过电话无法解决问题，方正数码或授权服务中心将派出工程师到顾客现场为顾客提供现场产品调试服务，保证网络安全产品在顾客网络上正常运营。服务监督为了向您提供更优质售后服务，保护您权益，如果在咱们承诺服务范畴内您对我公司网络安全产品技术支持中心或者授权维修中心提供服务有异议时，我公司欢迎您对咱们工作进行监督，咱们将以最迅速度给您一种满意答复。投诉热线：传真： E-mail：HYPERLINKmailto：网站：HYPERLINK.信函：100089北京市海淀区西三环北路27号北科大厦4层方正数码网络安全产品技术支持中心

方正方御防火墙成功案例鞍山市商业银行应用案例鞍山市商业银行需求分析重要保护两台互为备份RS/6000服务器和一台WindowsNT服务器。由于这两台互为备份RS/6000服务器会有大量顾客访问，因此要保证网络流量，即新增安全产品不能成为网络瓶颈。在管理上，使用集中式管理可以以便快捷，并可以简化管理员工作，提高工作效率。网络中心拓扑构造：系统安全目保护鞍山市商业银行RS/6000和NT服务器正常运转，避免恶意袭击、破坏，重要数据库数据，防止被窃取、修改、破坏安全体系构造一方面需要使用方正方御防火墙作为网络安全屏障来与其她网络进行隔离，这样可以防止其她网络非法顾客非法侵害；对于IDS系统方正方御防火墙里已经内置了一套网络IDS系统。整个安全系统构造可以总结为：多层隔离、实时监控、立体防护、集中管理。安全系统实行咱们提出理解决需求所要使用到安全模块，重要由防火墙来对网络上入侵、袭击以及异常行为进行阻挡。使用方正方御防火墙作为系统安全屏障。详细实行如下图所示：拓扑连接如上图所示，在访问线路上添加方正方御防火墙，防火墙设立为桥接模式，不需要给内、外部接口配备IP地址，将防火墙外部接口使用直连线与互换连接，将防火墙内部接口使用直连线（交叉线）与RS/6000和NT服务器相连接即可。整个安全实行，除了增长防火墙外，不需要在购买其她网络设备，同步也不需要改动网络拓扑构造，在实行上非常以便。（顾客联系方式：于家禧，）沈阳建设银行安全应用实例沈阳建设银行需求分析保护沈阳建行网络系统，保证各项业务正常运营，防止非法行为侵犯和病毒破坏。由于当前沈阳建行没有采用安全保护办法，使得自己业务系统完全暴露在网络环境中，因而容易受到黑客和不法人员侵害，因此应当实行一套完整安全方案来保护业务网络，同步由于银行每天均有大量数据通过网络，因此要保证网络流量，即新增安全产品不能成为网络瓶颈。在管理上，使用集中式管理可以以便快捷，并可以简化管理员工作，提高工作效率。从安全角度来看，复杂、分散管理方式在安全上是存在很大隐患和漏洞，使用集中管理也是提高安全级别一项重要内容。网络重要安全风险和漏洞:数据库数据会受到黑客窃取、破坏以及病毒破坏系统信息会受到黑客窃取、破坏以及病毒破坏服务正常运营会受到黑客袭击、破坏以及病毒破坏网络中心拓扑构造：从上图中可以看出，当前沈阳建行网络比较复杂，设备众多，型号也非常多，一方面在管理上很不以便，另一方面从安全性角度讲，它使得网络安全级别也减少了，因而咱们需要简化网络构造，并对网络进行集中管理。系统安全目目是：保护沈阳建设银行内部网络计算机系统正常运转，避免恶意袭击、破坏；重要数据库数据，防止被窃取、修改、破坏。顾客安全需求分析安全性网络环境、操作系统与数据安全性当前这个网络环境直接暴露，是处在非常不安全状态，因此咱们需要用防火墙来隔离沈阳建行内部生产网络，保护各种业务服务器，其中涉及AS/400等重要业务机。由于防火墙可以阻挡黑客袭击行为和异常网络事件，这样可以保护咱们网络环境、网络中计算机操作系统和数据。防火墙是网络安全第一道屏障，单有防火墙是不能进行全面保护，咱们还需要入侵监测系统（IDS）来对黑客袭击进行报警和自动防范。高效性由于每天有大量信息访问要保护生产系统服务器，这就规定网络拥有很高数据吞吐能力，也就意味着网络安全产品不能对网络流量导致影响。而当前老式防火墙动辄导致15%以上效率损失相比，这就导致了一种矛盾。方正方御防火墙充分考虑了顾客对效率注重性，拥有足以自豪数据吞吐能力。在500条规则如下应用（占所有应用95%以上）中，基本不影响网络传播，有绝对优势。可扩展性银行是国内重要金融机构，新业务会不断开展，同步也会应用大量新技术新设备，同步网络发展日新月异，因此网络扩展性好坏关系到日后公司发展。这就规定在网络建设时留余地。这样不会由于当前投资给将来网络发展和升级带来影响。易用性（管理控制）不易使用安全系统是不安全。充斥着英文术语管理界面会大大增长系统管理人员工作量，也容易导致不应有漏洞浮现或安全方略僵化。易用性重要涉及：要界面清晰易懂管理集中以便安全性时实监控完善服务体制网络安全实行还需要完善服务体制来保障，普通公司不是专业网络安全公司，安全是动态过程，今天安全系统明天就也许不安全，这就规定提供安全方案公司有先进服务体制进行跟踪服务。需要有一支专业网络安全队伍来协助公司解决关于安全问题。再严密系统也也许浮现漏洞，当紧急事件发生时，能不能在最短时间内获得紧急响应服务经常决定了损失大小，并且这种时候，需要是极其专业服务，没有强大开发实力公司是无法满足这种需求，而在国内没有开发部门国外知名公司则往往鞭长莫及。安全体系构造通过前面分析，顾客一方面需要使用防火墙作为网络安全屏障来与其她网络进行隔离，这样可以防止其她网络非法顾客非法侵害，在这里咱们建议使用方正数码方正方御防火墙。作为网络安全必备第二道警戒线咱们需要布置IDS（入侵监测系统），IDS系统重要涉及网络IDS、主机IDS等某些，对于IDS系统方正方御防火墙里已经内置了一套网络IDS系统。同步要在网络中布置一套网络防病毒系统，以达到对病毒防御。由于防火墙是网络中核心设备之一，有时候某些不可预见因素也许会使防火墙浮现故障而导致网络不畅通或安全性失效，因此咱们要采用双机热备方案，提高安全可靠性。此外需要咱们注意是加入数据备份产品，来保护数据库。安全体系构造图：安全解决方案体系所使用模块：防火墙（方正方御防火墙）IDS（ISS产品）病毒模块（KiLL网络防毒产品）网络冗余数据备份整个安全系统构造可以总结为：多层隔离、实时监控、立体防护、集中管理。安全系统实行通过上面对需求分析，咱们提出理解决需求所要使用到安全模块，重要由防火墙来对网络上入侵、袭击以及异常行为进行阻挡。使用方正数码方御防火墙作为系统安全屏障。详细实行如下图所示：拓扑构造如上图所示，在访问线路上添加方御防火墙双机热备方案，防火墙设立为桥接模式，不需要给内、外部接口配备IP地址，将防火墙外部接口使用直连线与互换机连接，将防火墙内部接口使用直连线与相连接即可。在网络主互换机上安装一台带有IDS系记录算机，作为第二道安全防护屏障，同步在每台计算机上安装Kill网络版防病毒模块和E-trust单机版IDS模块。作为防御病毒屏障。对于数据备份系统，相应数据库都提供备份办法，也可以使用磁带机等。整个安全实行，除了增长防火墙和防病毒模块外，不需要在购买其她网络设备，在实行上非常以便。（顾客联系方式：孙文革，）某些方正方御防火墙客户名单金融：辽宁鞍山商业银行辽宁葫芦岛商业银行沈阳市建设银行新疆中华人民共和国银行湖北建设银行山西农业银行河南工商银行合肥商业银行深圳人保……电信：中华人民共和国电信集团总公司中华人民共和国网通上海电信局北京电信局石家庄电信局西安市电信局……公司：北大方正科技电脑公司南京普天电子北京永辉国际集团北京万柳智能社区新纪元国际旅行社……网站：北京申奥网站上海OA365.COM上海在线7135.COM香港珠宝网……政府：北京市工商局南京市财政局上海浦东财政局广东顺德市劳动局上海海关广东鹤山电力局内蒙包头市工商局云南省政府办公厅重庆市公安局南京市建委……教诲及研究所：北京人类基因组北方研究中心山东财政学院合肥中医大学上海南江教委河北邢台师专中华人民共和国教诲网河北师大节点……广电报业：湖南经济电视台南京市广电局扬州市广电局广西柳州广电局山东济南广电局山东聊城广电宽带网安徽日报沈阳晚报扬子晚报……

人民银行内联网防火墙安全子系统建设报价单价表产品名称型号数量单价(元)方正方御防火墙FG-P50台-100台46，000方正方御防火墙FG-P100台-150台44，000方正方御防火墙FG-P150台以上41，500注：以上报价有效期三个月

方正数码联系方式方正数码有限公司为保证本次人行网络安全项目顺利实行，特设立专项小组，专项小组联系人名单如下：张大箭刘峰周峥顾培梁诚马虔传真： E-mail：HYPERLINKmailto：网站：HYPERLINK.信函：100089北京市海淀区西三环北路27号北科大厦4层方正数码网络安全产品技术支持中心

附录一：授权服务商名单北京成思计算机系统技术有限公司联系人：郭子宝电话：地址：北京海淀区人大北路33号2号楼沁园公寓305室上海怡友华晨网络系统集成有限责任公司联系人：沈逢权电话：地址：上海市江宁路212号广州市金海晨科技有限公司联系人：刘华电话：地址：广州市天河区龙口东路蓄能大厦1706南京南大瑞禾新科技有限公司联系人：李炯电话：地址：江苏南京市珠江路370号7楼702室沈阳任君计算机公司联系人：杨玉庆电话：地址：沈阳市和平区南三好街头75甲16号陕西研通信息工程有限公司联系人：罗永电话：地址：西安市雁塔路中段测绘路东口第一家山东山大华天科技股份有限公司联系人：郭东海电话：地址：济南市千佛山路3号华天大厦成都联捷科技有限公司联系人：彭宇电话：地址：龙信大厦512号湖北伟博信息技术有限公司联系人：萧辉电话：地址：武汉市台北路195号联合大厦1705室杭州颐和电脑有限公司联系人：王学东电话：地址：杭州市文三路352号内蒙同方计算机网络技术有限公司联系人：周平电话：地址：呼和浩特市乌兰察布西路163号郑州伟鹏科技有限公司联系人：陈维鹏电话：地址：郑州市文化路与东风路交叉口欧洲花园米兰座7层广西运通数据设备有限责任公司联系人：谭心电话：地址：广西南宁市江南路17号国际金贸大厦4层深圳市金证科技股份有限公司联系人：余棕兴电话：-2201地址：深圳福田区福华路322号文蔚大厦20-22层石家庄捷成网络科技开发有限公司联系人：李敬梅电话：地址：石家庄体育南大街81号附1号湖南联合网络工程有限公司联系人：田天电话：地址：长沙市五一东路60号省外贸大楼第26层合肥中方计算机工程有限责任公司联系人：寿志勤电话：地址：合肥市金寨路92号高科技广场南2座23号重庆精业电子有限公司联系人：闻震电话：地址：渝州路31号

附录二：防御防火墙所获证书

附件三：资格证明文献营业执照副本（复印件）财务报告财务资料人民币(元)

注册资本：8，467，079.00

固定资产：7，304，035.46

流动资产：28，092，299.33速动资产：20，012，810.65总资产：41，433，197.09长期负债：0.00流动负债：66，911，095.89总负债：66，911，095.89净值：--25，477，898.80查询银行名单(名称、地址、传真及联系人)名称：建行南礼士路分理处地址：北京市西城区南礼士路甲3号传真：68025941联系人：丁苹近来三年年营业总额单位（元）年份营业总额国内9，112，747.006，016，638.849，112，747.006，016，638.84设备销售状况生产能力工厂名称及地址生产产品年生产能力方正数码有限公司北京海淀区西三环北路27号北科大厦4层方正方御系列防火墙3000台方御防火墙销售状况单位（万元）1季度2季度3季度4季度预测共计2574155276001799ISO9001体系质量认证证书

附录四：方正方御防火墙产品阐明产品概述方正方御防火墙是SHARKS中重要安全产品之一。由于防火墙技术针对性很强，它已成为实现网络安全重要保障之一。方正方御防火墙是通过对国外防火墙产品综合分析，针对中华人民共和国详细应用环境，结合国内外防火墙领域里最新发展，提出一种具备强大信息分析功能、高效包过滤功能、各种反电子欺骗手段、各种安全办法综合运用安全可靠专用防火墙系统。方正方御防火墙不但仅是一种包过滤防火墙，并且涉及了大量实用模块，可觉得顾客提供多方面服务。方正方御防火墙所包括模块示意图如下：系统特点一体化硬件设计采用了一体化硬件设计，采用了专用操作系统，无需其她操作系统支持，这样可以发挥硬件最大性能，同步也提高了系统安全性。双机热备份通过双机热备份，本系统提供可靠容错/热待机功能。备份防火墙中存有主防火墙设立镜像，当主防