某电力公司网络安全技术规范书

5.1 附件件1华能电力力网络安安全项目技术术规范书书华能电力力网络安安全解决决方案111.背景景介绍331.1.项目总总述31.2.网络环环境总述述31.3.信息安安全方案案的组成成41.3.1.信信息安全全产品的的选型原原则41.3.2.网网络安全全现状551.3.3.典典型的黑黑客攻击击51.3.4.网网络与信信息安全全平台的的任务771.3.5.网网络安全全解决方方案的组组成71.3.6.超超高安全全要求下下的网络络保护992.安全全架构分分析与设设计1112.1.网络整整体结构构112.2.集中管管理和分分级管理理122.3.华能电电力网络络安全系系统管理理中心网网络1332.4.各地方方公司和和电厂网网络设计计132.5.和Intternnet相相连的外外部网络络设计1143.产品品选型1153.1.防火墙墙的选型型153.1.1.方方正数码码公司简简介1553.1.2.产产品概述述163.1.3.系系统特点点163.1.4.方方正方御御防火墙墙功能说说明2003.2.入侵检检测产品品选型2273.2.1.启启明星辰辰公司介介绍2883.2.2.入入侵检测测系统介介绍2883.2.3.天天阗(ttiann)黑客客入侵检检测系统统功能特特点2993.3.防病毒毒产品的的选型3313.3.1.病病毒介绍绍313.3.2.为为何使用用CA公司司的Kiill220000网络防防病毒3353.3.3.KKILLL的技术术和优势势363.3.4.KKILLL与其他他同类产产品的比比较的相相对优势势383.3.5.KKILLL所获得得的权威威机构认认证3993.3.6.KKILLL病毒防防护系统统部署方方案3994.工程程实施方方案4224.1.测试及及验收4424.1.1.测测试及验验收描述述424.2.系统初初验4224.2.1.功功能测试试424.2.2.性性能测试试435.售后后服务和和技术支支持4335.1.为华能能电力网网络提供供安全评评估4335.2.售后服服务内容容445.3.保修4555.4.保修方方式4555.5.保修范范围4665.6.保修期期的确认认465.7.培训安安排4775.8.全国服服务网络络485.9.场地及及环境准准备4885.9.1.常常规要求求485.9.2.机机房电源源、地线线及同步步要求4485.9.3.设设备场地地、通信信495.9.4.机机房环境境495.100.验收收清单5505.100.1.设备开开箱验收收清单5505.100.2.用户信信息清单单515.100.3.用户验验收清单单526.方案案整体优优势5227.方正正方御防防火墙荣荣誉证书书54附录录一：北北京威通通网讯网网络技术术有限公公司介绍绍1. 背景介绍绍1.1. 项目总述述本项目是是华能国国际电力力股份有有限公司司为其内内网及下下属电厂厂作网络络安全保保护中的的防火墙墙选型和和实施部部分(关关于入侵侵检测系系统和防防病毒系系统，我我们建议议使用启启明星辰辰的天阗阗黑客入入侵检测测与预警警系统和和冠群金金辰的kkilll网络防防病毒系系统)。华华能国际际电力股股份有限限公司网网络整体体结构是是个通过过WANN连接的的二级网网络，整整个网络络分为内内网和外外网两个个网，内内外网之之间物理理隔离。网网络中心心与下属属15个个电厂通通过网络络进行数数据传输输，在网网络每一一级的节节点上具具有一个个局域网网，在二二级网络络上运行行着电力力业务系系统、办办公自动动化服务务等1.2. 网络环境境总述华能电力力网络安安全系统统是非涉涉密的内内部业务务工作处处理网络络，传输输、处理理、查询询工作中中非涉密密的信息息。该网网由与网网络中心心和155个电厂厂单位组组成。在在给地方方局域网网出入口口安装防防火墙。在在关键部部位安放放入侵检检测系统统，而且且所有的的服务器器和普通通PC机机需要安安装防病病毒软件件。而且且这些防防火墙和和入侵检检测系统统需要集集中在数数据中心心进行管管理和审审计。1.3. 信息安全全方案的的组成1.3.1. 信息安全全产品的的选型原原则华能电力力网络安安全系统统是一个个要求高高可靠性性和安全全性的网网络系统统，若干干重要的的公文信信息在网网络传输输过程中中不可泄泄露，如如果数据据被黑客客修改或或者删除除，那么么就会严严重的影影响工作作。所以以华能电电力网络络安全系系统安全全产品的的选型事事关重大大，要提提到国家家战略的的高度来来衡量，否否则一旦旦被黑客客或者敌敌国攻入入，其代代价将是是不能想想象的。华能电力力网络安安全系统统网络安安全系统统方案必必须遵循循如下原原则： 全局性原原则：安安全威胁胁来自最最薄弱的的环节，必必须从全全局出发发规划安安全系统统。华能能电力网网络安全全系统安安全体系系，遵循循中心统统一规划划，各电电厂分别别实施的的原则。 综合性原原则：网网络安全全不单靠靠技术措措施，必必须结合合管理，当当前我国国发生的的网络安安全问题题中，管管理问题题占相当当大的比比例，在在各地方方建立网网络安全全设施体体系的同同时必须须建立相相应的制制度和管管理体系系。 均衡性原原则：安安全措施施的实施施必须以以根据安安全级别别和经费费限度统统一考虑虑。网络络中相同同安全级级别的保保密强度度要一致致。 节约性原原则：整整体方案案的设计计应该尽尽可能的的不改变变原来网网络的设设备和环环境，以以免资源源的浪费费和重复复投资。 集中性原原则：所所有的防防火墙产产品要求求在数据据中心可可以进行行集中管管理，这这样才能能保证在在数据中中心的服服务器上上可以掌掌握全局局。 角色化原原则：防防火墙产产品在管管理上面面不仅在在数据中中心可以以完全控控制外，在在地方还还需要分分配适当当的角色色使地方方可以在在自己的的权利下下修改和和查看防防火墙策策略和审审计。目前，很很多公开开的新闻闻表明美美国国家家安全局局（NSSA）有有可能在在许多美美国大软软件公司司的产品品中安装装“后门”，其中中包括一一些应用用广泛的的操作系系统。为为此德国国军方前前些时候候甚至规规定在所所有牵涉涉到机密密的计算算机里，不不得使用用美国的的操作系系统。作作为信息息安全的的保障，我我们在安安全产品品选型时时强烈建建议使用用国内自自主开发发的优秀秀的网络络安全产产品，将将安全风风险降至至最低。在为各安安全产品品选型时时，我们们立足国国内，同同时保证证所选产产品的先先进性及及可靠性性，并要要求通过过国家各各主要安安全测评评认证。1.3.2. 网络安全全现状Inteerneet正在在越来越越多地融融入到社社会的各各个方面面。一方方面，随随着网络络用户成成分越来来越多样样化，出出于各种种目的的的网络入入侵和攻攻击越来来越频繁繁；另一一方面，随随着Innterrnett和以电电子商务务为代表表的网络络应用的的日益发发展，IInteerneet越来来越深地地渗透到到各行各各业的关关键要害害领域。Internet的安全包括其上的信息数据安全，日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言，如果网络安全问题不能得到妥善的解决，将会对国家安全带来严重的威胁。20000年二月月，在三三天的时时间里，黑黑客使美美国数家家顶级互互联网站站Yaahooo!、Amaazonn、eBBay、CNN陷入瘫痪，造成了十几亿美元的损失，令美国上下如临大敌。黑客使用了DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的时间里，又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。国内网站站也未能能幸免于于难，新新浪、当当当书店店、ECC1233等知名名网站也也先后受受到黑客客攻击。国国内第一一家大型型网上连连锁商城城IT1163网网站3月6日开始始运营，然然而仅四四天，该该商城突突遭网上上黑客袭袭击，界界面文件件全部被被删除，各各种数据据库遭到到不同程程度的破破坏，致致使网站站无法运运作。客观地说说，没有有任何一一个网络络能够免免受安全全的困扰扰，依据据Finnancciall Tiimess曾做过过的统计计，平均均每200秒钟就就有一个个网络遭遭到入侵侵。仅在在美国，每每年由于于网络安安全问题题造成的的经济损损失就超超过1000亿美美元。1.3.3. 典型的黑黑客攻击击黑客们进进行网络络攻击的的目的各各种各样样，有的的是出于于政治目目的，有有的是员员工内部部破坏，还还有的是是出于好好奇或者者满足自自己的虚虚荣心。随随着Innterrnett的高速速发展，也也出现了了有明确确军事目目的的军军方黑客客组织。在典型的的网络攻攻击中，黑黑客一般般会采取取如下的的步骤：自我隐藏藏，黑客客使用通通过rssh或ttelnnet在在以前攻攻克的主主机上跳跳转、通通过错误误配置的的prooxy主主机跳转转等各种种技术来来隐藏他他们的IIP地址址，更高高级一点点的黑客客，精通通利用电电话交换换侵入主主机。网络侦探探和信息息收集，在在利用IInteerneet开始始对目标标网络进进行攻击击前，典典型的黑黑客将会会对网络络的外部部主机进进行一些些初步的的探测。黑黑客通常常在查找找其他弱弱点之前前首先试试图收集集网络结结构本身身的信息息。通过过查看上上面查询询来的结结果列表表，通常常很容易易建立一一个主机机列表并并且开始始了解主主机之间间的联系系。黑客客在这个个阶段使使用一些些简单的的命令来来获得外外部和内内部主机机的名称称：例如如，使用用nsllookkup来来执行 “ls ”， ffingger外外部主机机上的用用户等。确认信任任的网络络组成，一一般而言言，网络络中的主主控主机机都会受受到良好好的安全全保护，黑黑客对这这些主机机的入侵侵是通过过网络中中的主控控主机的的信任成成分来开开始攻击击的，一一个网络络信任成成员往往往是主控控主机或或者被认认为是安安全的主主机。黑黑客通常常通过检检查运行行nfssd或mmounntd的的那些主主机输出出的NFFS开始始入侵，有有时候一一些重要要目录（例例如/eetc，/homme）能能被一个个信任主主机moountt。确认网络络组成的的弱点，如如果一个个黑客能能建立你你的外部部和内部部主机列列表，他他就可以以用扫描描程序（如如ADMMhacck, msccan, nmmap等等）来扫扫描一些些特定的的远程弱弱点。启启动扫描描程序的的主机系系统管理理员通常常都不知知道一个个扫描器器已经在在他的主主机上运运行，因因为ps和nettstaat都被特特洛伊化化来隐藏藏扫描程程序。在在对外部部主机扫扫描之后后，黑客客就会对对主机是是否易受受攻击或或安全有有一个正正确的判判断。有效利用用网络组组成的弱弱点，当当黑客确确认了一一些被信信任的外外部主机机，并且且同时确确认了一一些在外外部主机机上的弱弱点，他他们就要要尝试攻攻克主机机了。黑黑客将攻攻击一个个被信任任的外部部主机，用用它作为为发动攻攻击内部部网络的的据点。要要攻击大大多数的的网络组组成，黑黑客就要要使用程程序来远远程攻击击在外部部主机上上运行的的易受攻攻击服务务程序，这这样的例例子包括括易受攻攻击的SSenddmaiil,IIMAPP,POOP3和和诸如sstattd,mmounntd, pccnfssd 等等RPCC服务。获得对有有弱点的的网络组组成的访访问权，在在攻克了了一个服服务程序序后，黑黑客就要要开始清清除他在在记录文文件中所所留下的的痕迹，然然后留下下作后门门的二进进制文件件，使其其以后可可以不被被发觉地地访问该该主机。目前，黑黑客的主主要攻击击方式有有：欺骗：通通过伪造造IP地地址或者者盗用用用户帐号号等方法法来获得得对系统统的非授授权使用用，例如如盗用拨拨号帐号号。窃听：利利用以太太网广播播的特性性，使用用监听程程序来截截获通过过网络的的数据包包，对信信息进行行过滤和和分析后后得到有有用的信信息，例例如使用用sniiffeer程序序窃听用用户密码码。数据窃取取：在信信息的共共享和传传递过程程中，对对信息进进行非法法的复制制，例如如，非法法拷贝网网站数据据库内重重要的商商业信息息，盗取取网站用用户的个个人信息息等。数据篡改改：在信信息的共共享和传传递过程程中，对对信息进进行非法法的修改改，例如如，删除除系统内内的重要要文件，破破坏网站站数据库库等。拒绝服务务：使用用大量无无意义的的服务请请求来占占用系统统的网络络带宽、CCPU处处理能力力和IOO能力，造造成系统统瘫痪，无无法对外外提供服服务。典典型的例例子就是是20000年年年初黑客客对Yaahooo等大型型网站的的攻击。黑客的攻攻击往往往造成重重要数据据丢失、敏敏感信息息被窃取取、主机机资源被被利用和和网络瘫瘫痪等严严重后果果，如果果是对军军用和政政府网络络的攻击击，还会会对国家家安全造造成严重重威胁。1.3.4. 网络与信信息安全全平台的的任务网络与信信息安全全平台的的任务就就是创建建一个完完善的安安全防护护体系，对对所有非非法网络络行为，如如越权访访问、病病毒传播播、恶意意破坏等等等，做做到事前前预防、事事中报警警并阻止止，事后后能有效效的将系系统恢复复。在上文对对黑客行行为的描描述中，我我们可以以看出，网网络上任任何一个个安全漏漏洞都会会给黑客客以可乘乘之机。著著名的木木桶原理理（木桶桶的容量量由其最最短的木木板决定定）在网网络安全全里尤其其适用。所所以，我我们的方方案必须须是一个个完整的的网络安安全解决决方案，对对网络安安全的每每一个环环节，都都要有仔仔细的考考虑。1.3.5. 网络安全全解决方方案的组组成针对前文文对黑客客入侵的的过程的的描述，为为了更为为有效的的保证网网络安全全，方正正数码提提出了两两个理念念：立体体安全防防护体系系和安全服服务支持持。首先先网络的的安全决决不仅仅仅是一个个防火墙墙，它应应是包括括入侵测测检（IIDS）、防防病毒等等功能在在内的立立体的安安全防护护体系；其次真真正的网网络安全全一定要要配备完完善的高高质量的的安全维维护服务务，以使使安全产产品充分分发挥出出其真正正的安全全效力。一个好的的网络安安全解决决方案应应该由如如下几个个部分组组成：l 防火墙：对网络络攻击的的阻隔防火墙是是保证网网络安全全的重要要屏障。防防火墙根根据网络络流的来来源和访访问的目目标，对对网络流流进行限限制，允允许合法法网络流流，并禁禁止非法法网络流流。防火火墙最大大的意义义在网络络边界处处提供统统一的安安全策略略，有效效的将复复杂的网网络安全全问题简简化，大大大降低低管理成成本和潜潜在风险险。在应应用防火火墙技术术时，正正确的划划分网络络边界和和制定完完善的安安全策略略是至关关重要的的。发展到今今天，好好的防火火墙往往往集成了了其他一一些安全全功能。比比如方正正方御防防火墙在在很好的的实现了了防火墙墙功能的的同时，也也实现了了下面所所说的入入侵检测测功能；l 入侵检测测（IDDS）：对攻击击试探的的预警当黑客试试探攻击击时，大大多采用用一些已已知的攻攻击方法法来试探探。网络络安全漏漏洞扫描描器是“先敌发发现”，未雨雨绸缪。而而从另外外一个角角度考虑虑问题，“实时监测”，发现黑客攻击的企图，对于网络安全来说也是非常有意义的。甚至由此派生出了P2DR理论。入侵检测测系统通通过扫描描网络流流里的特特征字段段（网络络入侵检检测），或或者探测测系统的的异常行行为（主主机入侵侵检测），来来发觉这这类攻击击的存在在。一旦旦被发现现，则报报警并作作出相应应处理，同同时可以以根据预预定的措措施自动动反应，比比如暂时时封掉发发起该扫扫描的IIP。需要注意意的是，入入侵检测测系统目目前不能能，以后后也很难难，精确确的发现现黑客的的攻击痕痕迹。事事实上，黑黑客可以以将一些些广为人人知的网网络攻击击进行一一些较为为复杂的的变形，就就能做到到没有入入侵检测测系统能能够识别别出来。所所以，在在应用入入侵检测测系统时时，千万万不要因因为有了了入侵检检测系统统，就不不对系统统中的安安全隐患患进行及及时补救救。l 安全审计计管理安全审计计系统必必须实时时监测网网络上和和用户系系统中发发生的各各类与安安全有关关的事件件，如网网络入侵侵、内部部资料窃窃取、泄泄密行为为、破坏坏行为、违违规使用用等，将将这些情情况真实实记录，并并能对于于严重的的违规行行为进行行阻断。安安全审计计系统所所做的记记录如同同飞机上上的黑匣匣子，在在发生网网络犯罪罪案件时时能够提提供宝贵贵的侦破破和取证证辅助数数据，并并具有防防销毁和和篡改的的特性。安全审计计跟踪机机制的内内容是在在安全审审计跟踪踪中记录录有关安安全的信信息，而而安全审审计管理理的内容容是分析析和报告告从安全全审计跟跟踪中得得来的信信息。安安全审计计跟踪将将考虑要要选择记记录什么么信息以以及在什什么条件件下记录录信息。收集审计计跟踪的的信息，通通过列举举被记录录的安全全事件的的类别（例例如对安安全要求求的明显显违反或或成功操操作的完完成），能能适应各各种不同同的需要要。已知知安全审审计的存存在可对对某些潜潜在的侵侵犯安全全的攻击击源起到到威摄作作用。l 防病毒以以及特洛洛伊木马马计算机病病毒的危危害不言言而喻，计计算机病病毒发展展到今天天，已经经和特洛洛伊木马马结合起起来，成成为黑客客的又一一利器。微微软的原原码失窃窃案，据据信，就就是一黑黑客使用用特洛伊伊木马所所为。l 安全策略略的实施施保证网络安全全知识的的普及，网网络安全全策略的的严格执执行，是是网络安安全最重重要的保保障。此外，信信息备份份是信息息安全的的最起码码的要求求。能减减少恶意意网络攻攻击或者者意外灾灾害带来来的破坏坏性损失失。1.3.6. 超高安全全要求下下的网络络保护对于华能能电力网网络安全全系统数数据中心心安全而而言，安安全性需需求就更更加的高高，属于于超高安安全要求求下的网网络保护护范围，因因此需要要在这些些地方使使用2台台防火墙墙进行双双机热备备，以保保证数据据稳定传传输。1.3.6.1. 认证与授授权认证与授授权是一一切网络络安全的的根基所所在，尤尤其在网网络安全全管理、外外部网络络访问内内部网络络（包括括拨号）时时，要有有非常严严格的认认证与授授权机制制，防止止黑客假假冒身份份渗透进进内部网网络。对于内部部访问，也也要有完完善的网网络行为为审计记记录和权权限限定定，防止止由内部部人员发发起的攻攻击70%以上的的攻击都都是内部部人员发发起的。我们建议议华能电电力网络络安全系系统利用用基于XX.5009证书书的认证证体系（目目前最强强的认证证体系）来来进行认认证。方正方御御防火墙墙管理也也是用XX.5009证书书进行认认证的。1.1.1.1. 网络隔离离网络安全全界的一一个玩笑笑就是：要想安安全，就就不要插插上网线线。这是是一个简简单的原原理：如如果网络络是隔离离开的，那那么网络络攻击就就失去了了其存在在的介质质，皮之之不存，毛毛将焉附附。但对于需需要和外外界沟通通的实际际应用系系统来说说，完全全的物理理隔离是是行不通通的。方正数码码提出了了安全数数据通道道网络隔隔离解决决方案，在在网络连连通条件件下，通通过破坏坏网络攻攻击得以以进行的的另外两两个重要要条件： 从外部网网络向内内部网络络发起连连接 将可执行行指令传传送到内内部网络络从而确保保华能电电力网络络安全系系统的安安全。1.1.1.2. 实施保证证华能电力力网络安安全系统统牵涉网网点众多多，网络络结构复复杂。要要保护这这样一个个繁杂的的网络系系统的网网络安全全，必须须有完善善的管理理保证。安安全系统统要能够够提供统统一的集集中的灵灵活的管管理机制制，一方方面要能能让华能能电力网网络安全全系统网网控中心心的网管管人员监监控整体体网络安安全状况况，另外外一方面面，要能能让地方方网管人人员灵活活处理具具体事务务。方正方御御防火墙墙采用基基于Wiindoows GUII的用户户界面进进行远程程集中式式管理，配配置管理理界面直直观，易易于操作作。可以以通过一一个控制制机对多多台方正正方御防防火墙进进行集中中式的管管理。方正方御御防火墙墙符合国国家最新新防火墙墙安全标标准，采采用了三三级权限限机制，分分为管理理员，策策略员和和审计员员。管理理员负责责防火墙墙的开关关及日常常维护，策策略员负负责配置置防火墙墙的包过过滤和入入侵检测测规则，审审计员负负责日志志的管理理和审计计中的授授权机制制，这样样他们共共同地负负责起一一个安全全的管理理平台。事事实上，方方御防火火墙是通通过该标标准认证证的第一一个包过过滤防火火墙。另外，方方正方御御防火墙墙还提供供了原标标准中没没有强制制执行的的实施域域分组授授权机制制，尤其其适合于于华能电电力网络络安全系系统这样样的大型型网络。2. 安全架构构分析与与设计逻辑上，华能电力网络安全系统将划分为三个区域：数据中心、局域网用户和外网。其中每一一个局域域网节点点划分为为内部操操作（控控制）区区、信息息共享区区两个网网段，网网段之间间设置安安全隔离离区。每每一个网网段必须须能够构构成一个个独立的的、完整整的、安安全的、可可靠的系系统。2.1. 网络整体体结构华能电力力网络安安全系统统需要涉涉及若干干电力部部门，各各地方的的网络通通过专用用网连接接起来，网网络安全全通过防防火墙设设备和入入侵检测测设备实实现。网络整体体结构如如下图所所示：网络整体体结构示示意图2.2. 集中管理理和分级级管理由于华能能电力网网络安全全系统涉涉及的网网络安全全设备繁繁多，因因此在管管理上面面需要既既能集中中管理，又又可以在在本地进进行审计计管理，日日志查询询等操作作。而用用户的权权限机制制分配必必须通过过网络管管理中心心统一分分配和管管理。需要集中中管理的的网络设设备包括括防火墙墙设备、入入侵检测测设备和和防病毒毒软件。在在华能电电力网络络安全系系统网络络管理中中心需要要对各公公司，电电厂的网网络安全全设备进进行集中中管理。分析华能能电力网网络安全全系统的的特点和和需求，方方正方御御防火墙墙的集中中管理功功能和权权限管理理机制完完全可以以满足这这些需求求。方正方御御防火墙墙采用基基于Wiindoows GUII的用户户界面进进行远程程集中式式管理，配配置管理理界面直直观，易易于操作作。可以以通过一一个控制制机对多多台方正正方御防防火墙进进行集中中式的管管理。方正方御御防火墙墙采用了了三级权权限机制制，分为为管理员员，策略略员和审审计员。管管理员负负责防火火墙的开开关及日日常维护护，策略略员负责责配置防防火墙的的包过滤滤和入侵侵检测规规则，审审计员负负责日志志的管理理和审计计中的授授权机制制。这样样他们共共同的负负责起一一个安全全的管理理平台。华能电力力网络安安全系统统的集中中管理图图如下所所示：网络安全全产品集集中管理理示意图图2.3. 华能电力力网络安安全系统统管理中中心网络络华能电力力网络安安全系统统管理中中心除了了需要提提供信息息服务外外，还需需要对各各公司和和电厂的的网络设设备进行行集中管管理，因因此网络络的安全全性和可可靠性尤尤其的重重要。内部区放放置控制制服务器器、数据据库服务务器、文文件服务务器、系系统管理理服务器器等设备备。华能电力力网络安安全系统统管理中中心的网网管工作作站负责责对给地地方公司司和电厂厂的所有有的安全全产品进进行集中中管理和和权利分分配任务务。而且且安全产产品的审审计工作作也都是是在网管管中心进进行统计计和备份份。2.4. 各地方公公司和电电厂网络络设计各地方公公司和电电厂的网网络结构构节点也也同样划划分为内内部操作作（控制制）区、公公开信息息区两个个网段。对对于这些些网络我我们建议议使用如如下方案案：地方公司司和电厂厂网络示示意图2.5. 和Intternnet相相连的外外部网络络设计由于华能能电力网网络安全全系统的的内网和和外网是是物理隔隔离的，因因此保障障了内部部网络的的安全同同时，还还需要对对外部网网络进行行适当的的安全防防护。对于外网网我们建建议使用用如下方方案：外部网络络示意图图3. 产品选型型3.1. 防火墙的的选型我们采用用方正最最新型方方正方御御防火墙墙。方正正方御防防火墙是是一个很很优秀的的防火墙墙，同时时它集成成强大的的入侵检检测功能能。方正正方御防防火墙是是国内第第一个通通过公安安部公共共信息网网络安全全监督局局新防火火墙认证证标准的的包过滤滤级防火火墙产品品，同时时通过了了中国人人民解放放军安全全测评认认证中心心、国家家保密局局和中国国国家信信息安全全测评认认证中心心的严格格认证。3.1.1. 方正数码码公司简简介作为方正正集团互互联网战战略的实实施者，方方正数码码将自身身定位于于电子商商务的“赋能者者”，其业业务涉及及互联网网与电子子商务的的技术研研究应用用与系统统集成、网网络市场场营销服服务、空空间信息息应用、无无线互联联以及电电子商务务的咨询询服务等等方向，以以帮助政政府、行行业、企企业、网网站、电电子商务务的运营营者在互互联网时时代健康康成功的的发展为为己任。要给电子子商务运运营者赋赋能，先先要给安安全赋能能。方正正数码首首先推出出的就是是方正方方御互联联网安全全解决方方案。方方正方御御是在经经过一年年多的大大量投入入和深入入的研究究后，提提出的一一套基于于中国国国情、全全部自主主开发、具具有领先先优势的的解决方方案。它它是一套套整体的的集群平平台，可可以解决决互联网网运营商商最为关关切的安安全性、高高可靠性性、可扩扩展性和和易于远远程管理理的问题题。目前前这套方方案已经经得到国国家有关关部门的的大力支支持，被被国家经经贸委列列为国家家创新计计划项目目之一。另另外，还还得到了了国家”8863”计划的支持。在立身自自主开发发外，方方正数码码还与众众多国际际知名的的安全公公司保持持着良好好的合作作关系，并并集成了了国内外外最优秀秀的公司司安全产产品，为为国内IInteerneet的安安全建设设保驾护护航。3.1.2. 产品概述述方御防火火墙是方方正方御御中的主主要安全全产品之之一。由由于防火火墙技术术的针对对性很强强，它已已成为实实现网络络安全的的重要保保障之一一。方御御防火墙墙是通过过对国外外防火墙墙产品的的综合分分析，针针对我们们国家的的具体应应用环境境，结合合国内外外防火墙墙领域里里的最新新发展，在在面向IIDC和和中小企企业的FFireeBriidgee防火墙墙的基础础上，提提出的一一种具有有强大的的信息分分析功能能、高效效包过滤滤功能、多多种反电电子欺骗骗手段、多多种安全全措施综综合运用用的安全全可靠的的专用防防火墙系系统。方正方御御防火墙墙不仅仅仅是一个个包过滤滤的防火火墙，而而且包括括了大量量的实用用模块，可可以为用用户提供供多方面面的服务务。方御防火火墙保护护如下模模块：3.1.3. 系统特点点一体化的的硬件设设计方正方御御防火墙墙采用了了一体化化的硬件件设计，采采用了自自己的操操作系统统，无需需其他操操作系统统的支持持，这样样能够发发挥硬件件的最大大性能，同同时也提提高了系系统的安安全性。双机热备备份通过双机机热备份份，本系系统提供供可靠的的容错/热待机机功能。备备份防火火墙服务务器中存存有主防防火墙服服务器的的设置镜镜像，当当主防火火墙因为为某些原原因不能能正常运运作，备备份服务务器可以以在122秒钟内内取代主主服务器器运作，充充分保证证整个网网络系统统运作的的稳定性性。完善的访访问控制制方正方御御防火墙墙符合国国家最新新防火墙墙安全标标准，采采用了三三级权限限机制，分为管理员，策略员和审计员。管理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的管理和审计中的授权机制。这样他们共同地负责起一个安全的管理平台。多种工作作模式方正方御御防火墙墙可以工工作在网网桥路由由两种模模式下，这这样可以以方便用用户使用用。使用用在网桥桥模式时时在IPP层透明明，使用用路由模模式时可可以作为为三个区区之间的的路由器器，同时时提供内内网到外外网、DDMZ到到外网的的网络地地址转换换。防御DOOS，DDDOSS攻击普通的防防火墙都都是采用用限制每每一网络络地址单单位时间间内通过过的SYYN包数数量来抵抵御DDDOS攻攻击，但但是通常常网络攻攻击者都都会随机机的伪造造网络地地址，因因此这种种方法防防范的效效果非常常差，不不能从根根本上抵抵御DDDOS攻攻击。方方正方御御防火墙墙修改了了TCPP/IPP堆栈的的算法，使使得新的的synn连接包包可以正正常通过过，避免免了由于于大量的的攻击SSYN包包造成网网络的阻阻塞。状态检测测方正方御御防火墙墙可以根根据数据据包的地地址、协协议和端端口进行行访问控控制，同同时还对对任何网网络连接接和会话话的当前前状态进进行分析析和监控控。传统统的防火火墙的包包过滤只只是根据据规则表表进行匹匹配，而而方正方方御防火火墙对每每个连接接，作为为一个数数据流，通通过规则则表与连连接表共共同配合合来对网网络状态态进行控控制。代理服务务用户可以以设置代代理服务务器端口口来启动动代理服服务器功功能，而而且通过过设置使使用代理理服务器器用户帐帐号密码码和访问问控制来来维护安安全性。代代理服务务的访问问控制非非常的完完善，可可以对时时间、协协议、方方法、地地址、DDNS域域、目的的端口和和URLL来进行行控制。用用户完全全可以通通过设置置一定的的条件来来符合自自己的要要求。双向网络络地址转转换系统支持持动态、静静态、双双向的NNAT。当当用户需需要从内内部IPP访问Innterrnett时，NAAT系统统会从IIP池里里取出一一个合法法的Innterrnett IPP，为该该用户建建立映射射。如果果需要在在Inttrannet提提供让外外部访问问的服务务（如WWWW、FTPP等），NNAT系系统可以以为Inntraanett里的服服务器建建立静态态映射，外外部用户户可以直直接访问问该服务务器。双双向网络络地址转转换为企企业用户户连接到到Intternnet提提供了良良好的网网络地址址隐蔽，并并且能减减少IPP占用，替替用户节节省费用用。提供DMMZ区除了内部部网络界界面和外外部网络络界面，系系统还可可以再增增加一个个网络界界面，让让管理员员灵活应应用。如如建立DDMZ（军军事独立立区），在在其中放放置公共共应用服服务器。带宽管理理和流量量统计方正方御御防火墙墙系统使使用流量量统计与与控制策策略，可可方便的的根据网网段和主主机等对对流量进进行统计计与控制制管理。用用户可以以通过设设置源地地址到目目的地址址单位在在时间内内允许通通过的流流量以及及协议和和端口来来进行带带宽控制制。日志审计计审计功能能是方正正方御防防火墙非非常强大大的一个个部分，目目前国内内防火墙墙的审计计功能都都非常不不完善，方方正方御御防火墙墙提供了了大量的的审计内内容和对对审计内内容的查查询功能能，由于于日志可可能对一一般用户户比较难难以理解解，而我我们将日日志记录录分成了了若干部部分，而而其中每每一部分分都可以以进行查查询和管管理，这这样用户户就能对对防火墙墙的情况况有一个个非常透透彻的了了解。入侵检测测方正方御御防火墙墙入侵检检测系统统采用了了可扩展展的检测测库方法法，目前前可以抵抵御10000多多种攻击击方法，而而且可以以通过升升级检测测库的方方法来不不断的抵抵御新的的攻击方方法。用用户还可可以自定定义攻击击检测库库来符合合自己的的要求。自动报警警和防范范系统方正方御御防火墙墙一旦检检测到有有黑客进进行攻击击，会在在第一时时间内在在控制机机上进行行报警，而而且同时时会自动动封禁掉掉攻击者者的IPP地址，这这样可以以做到防防火墙的的防范完完全自动动化，而而不象普普通的防防火墙那那样需要要人工干干预。基于PKKI的授授权认证证方正方御御防火墙墙的授权权认证是是基于PPKI基基础之上上，因此此完全性性极高。PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。快速安装装配置方正方御御防火墙墙的安装装和配置置非常方方便，管管理员只只要设定定好网络络设备的的IP地址址，然后后使用系系统提供供的一些些典型配配置模板板，适当当的修改改一些规规则来符符合要求求。除此此以外还还可以添添加系统统提供的的一些子子模板来来实现一一些特定定的功能能。图形管理理界面用户可以以通过图图形界面面对防火火墙进行行配置和和管理。而而且也可可以通过过图形界界面来管管理审计计内容，而而不象有有些防火火墙是通通过命令令行方式式进行配配置。完全中国国化的设设计方正方御御防火墙墙是由方方正数码码自行设设计和制制作的，充充分考虑虑了中国国国情，除除了界面面、帮助助文档、使使用说明明完全中中文化外外，还加加入了一一些小型型模板用用户给管管理员配配置防火火墙。集中管理理方正方御御防火墙墙采用基基于Wiindoows GUII的用户户界面进进行远程程集中式式管理，配配置管理理界面直直观，易易于操作作。可以以通过一一个控制制机对多多台方正正方御防防火墙进进行集中中式的管管理。3.1.4. 方正方御御防火墙墙功能说说明3.1.4.1. 多种工作作模式方正方御御防火墙墙可以工工作在网网桥和路路由两种种模式下下：A：网桥桥模式：3个端口口构成一一个以太太网交换换机，防防火墙本本身没有有IP地址址，在IIP层透透明。可可以将任任意三个个物理网网络连接接起来构构成一个个互通的的物理网网络。当当防火墙墙工作在在交换模模式时，内内网、DDMZ区区和路由由器的内内部端口口构成一一个统一一的交换换式物理理子网，内内网和DDMZ区区还可以以有自己己的第二二级路由由器，这这种模式式不需要要改变原原有的网网络拓扑扑结构和和各主机机和设备备的网络络设置。B：路由由模式：防火墙墙本身构构成3个网络络间的路路由器，3个界面分别具有不同的IP地址。三个网络中的主机通过该路由进行通信。当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都可以使用保留地址，内网用户通过地址转换访问Internet，同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。在没有安安装方正正方御防防火墙的的时候典典型网络络结构图图如下:在安装了了方正方方御防火火墙的时时候网络络结构图图如下:3.1.4.2. 包过滤防防火墙方正方御御防火墙墙包过滤滤的功能能是对指指定IPP包进行行包过滤滤，并且且按照设设定策略略对IPP包进行行统计和和日志记记录，主主要根据据IP包的的如下信信息进行行过滤：l 源IP地地址l 目的IPP地址l 协议类型型（IPP、ICMMP、TCPP、UDPP）l 源TCPP/UDDP端口口l 目的TCCP/UUDP端端口l ICMPP报文类类型域和和代码域域l 碎片包l 其它标志志位，如如SYNN，ACCK位3.1.4.2.1. 高效的过过滤有些防火火墙在安安装上以以后对WWEB服服务器的的吞吐能能力影响响很大，造造成性能能的降低低。由于于方正方方御防火火墙采用用了3II（Inntellliggentt IPP Iddenttifyyingg）技术术，能够够实现快快速匹配配。因此此方正方方御防火火墙不会会对性能能造成任任何影响响。方正方御御防火墙墙优化了了算法，使使最大并并发连接接数可以以达到3300,0000个以上上，而一一般的防防火墙的的最大并并发连接接只可以以达到几几万个左左右。3.1.4.2.2. 碎片处理理功能由于很多多系统平平台，包包括一些些路由器器对IPP碎片的的处理存存在问题题，容易易产生欺欺骗和拒拒绝服务务等攻击击，方正正方御防防火墙能能够识别别出IPP碎片并并且进行行控制，这这样一来来通过禁禁止IPP碎片通通过方正正方御防防火墙，防防止了这这样的问问题的产产生。3.1.4.2.3. 防SYNN Flloodd攻击一些TCCP/IIP栈的的实现只只能等待待从有限限数量的的计算机机发来的的ACKK消息，因因为他们们只有有有限的内内存缓冲冲区用于于创建连连接，如如果这一一缓冲区区充满了了虚假连连接的初初始信息息，该服服务器就就会对接接下来的的连接停停止响应应，直到到缓冲区区里的连连接企图图超时。典典型的就就是Syyn FFloood攻击击,通过过大量的的虚假的的Synn包使服服务器速速度变慢慢，甚至至是死机机。一般般的防火火墙是通通过限制制每秒钟钟通过的的Synn包数量量来组织织Synn Flloodd攻击，这这种方法法可以在在一定意意义上阻阻止Syyn FFloood攻击击，但是是也有可可能将正正常的SSyn包包忽略掉掉，因此此不是一一种非常常好的方方法。1：没有安装方御防火墙2：安装方御防火墙方正方御御防火墙墙使用了了两种方方式来反反Synn Flloodd攻击，一一种方法法就是通通过设置置单位时时间内的的SYNN包数量量来控制制，另外外一种方方法修改改了TCCP/IIP堆栈栈的算法法，使得得新Syyn包始始终可以以获得连连接位。避避免了由由于大量量的攻击击SYNN包造成成网络的的阻塞。3.1.4.2.4. 强大的状状态检测测功能方正方御御防火墙墙可以根根据数据据包的地地址、协协议和端端口进行行访问控控制，同同时还对对任何网网络连接接和会话话的当前前状态进进行分析析和监控控。传统统的防火火墙的包包过滤只只是与规规则表进进行匹配配，而方方正方御御防火墙墙对每个个连接，作作为一个个数据流流，通过过规则表表与连接接表共同同配合，在在继承了了传统包包过滤系系统对应应用透明明的特性性外，还还极大地地提高了了系统的的性能和和安全性性。其他的防防火墙大大多采用用传统的的规则表表的匹配配方法，随随着安全全规则的的增加，势势必会使使防火墙墙的性能能大幅度度的减少少，造成成网络拥拥塞。3.1.4.3. IDS(入侵检检测系统统)3.1.4.3.1. 反端口扫扫描一般黑客客如果要要对一个个网站发发动攻击击，首先先都要扫扫描目标标服务器器的端口口，确定定服务器器上开启启的服务务，然后后做出相相应的入入侵方式式。方正正方御防防火墙入入侵检测测系统能能够在黑黑客扫描描网站的的时候就就能检测测到并报报警，这这样就能能提前将将黑客拒拒之于门门外。方方正方御御防火墙墙入侵检检测系统统在检测测到有黑黑客扫描描服务器器端口的的时候会会立即在在攻击者者的视野野中消失失，从而而使黑客客无法进进行后面面的攻击击。方正正方御防防火墙入入侵检测测系统根根据配置置文件监监控任何何和TCCP、UDPP端口的的连接。可以对全部端口同时进行监控，同时也可以忽略指定的端口。这样就能满足不同的需求方式。3.1.4.3.2. 可以防范范15000余种种攻击方方式1. 检测多种种DoSS攻击2. 检测多种种DDooS攻击击3. 检测保护护子网中中是否存存在后门门和木马马程序4. 检测多种种针对FFingger服服务的攻攻击5. 检测多种种针对FFTP服服务的攻攻击6. 检测基于于NettBIOOS的攻攻击7. 检测缓冲冲区溢出出类型攻攻击8. 检测基于于RPCC的攻击击9. 检测基于于SMTTP的攻攻击10. 检测基于于Tellnett的攻击击11. 检测网络络上传输输的病毒毒和蠕虫虫12. 检测CGGI攻击击13. 检测针对对WEBB Seerveer的FroontPPagee扩展进进行的攻攻击14. 检测针对对WEBB Seerveer的ColldFuusioon扩展展进行的的攻击15. 检测针对对 MiicrooSofft IIIS serrverr进行的的攻击16. 检测利用用ICMMP进行行的扫描描和攻击击。17. 检测利用用Traacerroutte对网网络的探探测18. 检测AcctivveX，JavveApppleet的传传输19. 检测对其其他可能能的网络络服务进进行的攻攻击3.1.4.3.3. 在线升级级和实时时报警由于入侵侵检测系系统的库库文件是是需要不不断的更更新，因因此方正正方御防防火墙提提供了非非常方便便的升级级接口，可可以通过过我们的的网站进进行在线线升级，而而且我们们提供了了非常方方便的用用户升级级界面，使使升级工工作可以以非常方方便的完完成。报警是否否能够及及时是衡衡量一个个入侵检检测系统统的重要要因素之之一，如如果在黑黑客刚刚刚进行攻攻击的时时候就能能够做出出响应，那那么管理理员会有有足够的的时间进进行防护护。方正正方御防防火墙的的报警系系统和入入侵检测测系统的的协调工工作几乎乎是一致致的，一一旦入侵侵检测系系统检测测到攻击击，报警警系统会会马上做做出反应应，通过过Emaail或或手机通知知管理员员。同时时会启动动自动防防范系统统进行防防范。3.1.4.3.4. 入侵检测测和防火火墙的互互动通过通信信行为跟跟踪，防防火墙能能够检测测到对网网络的多多种扫描描，检测测到对网网络的攻攻击行为为，并能能够对攻攻击行为为进行响响应，包包括自动动防范及及用户自自定义安安全响应应策略等等。3.1.4.4. 双机热备备方正方御御防火墙墙系统能能够在网网络中智智能地寻寻找与其其对等的的备份机机，并且且使备份份机自动动进入等等待状态态，而一一旦备份份机发现现主工作作机失效效，可及及时自动动启动，防防止网络络中断事事故的发发生。 其智能能识别技技术甚至至可以支支持多于于两台以以上的方方正方御御防火墙墙在网络络上互为为备份，适适用于对对可靠性性要求极极高的场场合。3.1.4.5. 强大的审审计功能能审计功能能是方正正方御防防火墙非非常强大大的一个个部分，目目前国内内防火墙墙的审计计功能都都非常不不完善，方方正方御御防火墙墙提供了了大量的的审计内内容和对对审计内内容的查查询功能能，由于于日志可可能对一一般用户户比较难难以理解解，而我我们将日日志记录录分成了了若干部部分，而而且就每每一个部部分都是是可以进进行查询询和管理理的，这这样一来来就可以以使用户户对防火火墙的情情况有一一个非常常透彻的的了解。方正方御御防火墙墙中审计计功能有有着非常常完善的的权限管管理，有有专门的的审计员员来对审审计内容容进行管管理，在在审计中中又分成成了若干干级别的的权限。这这样可以以方便管管理员管管理审计计内容。3.1.4.6. 基于PKKI的高高级授权权认证PKI（Pubblicc Keey IInfrrasttruccturre）是是一种新新的安全全技术，它它由公开开密钥密密码技术术、数字字证书、证证书发放放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。网络，特别是Internet网络的安全应用已经离不开 PKI技术的支持。网络应用中的机密性、真实性、完整性、不可否认性和存取控制等安全需求只有PKI技术才能满足。PKI在国外已经开始实际应用。在美国，随着电子商务的日益兴旺，电子签名、数字证书已经在实际中得到了一定程度的应用，就连某些国家都已经开始接受电子签名的档案。方正方御御防火墙墙的授权权认证是是基于PPKI基基础之上上，因此此完全性性极高。有有些防火火墙的认认证机制制采用OOTP（OOncee Tiime Passswoord），或或者采用用了静态态口令机机制。比比如说，静静态密码码是用户户和机器器之间共共知的一一种信息息，而其其他人不不知道，这这样用户户若知道道这个口口令，就就说明用用户是机机器所认认为的那那个人，那那么就很很容易的的控制防防火墙。而而一次性性口令也也一样，用用户和机机器之间间必须共共知一条条通行短短语，而而这通行行短语对对外界是是完全保保密的。和和静态口口令不同同的是，这这个通行行短语并并不在网网络上进进行传输输，所以以黑客通通过网络络窃听是是不可能能的。当当时使用用起来没没有使用用证书认认证方便便。因此方正正方御防防火墙基基于PKKI的高高级授权权认证机机制在技技术上面面非常的的先进，超超越了大大部分的的防火墙墙产品。3.1.4.7. 集中管理理根据美国国财经杂杂志统计计资料表表明，330%的的入侵发发生在有有防火墙墙的情况况下，这这些入侵侵的主要要原因并并非是防防火墙无无用，而而是由于于一般的的防火墙墙的管理理及配置置相当复复杂，要要想成功功的维护护防火墙墙，要求求防火墙墙管理员员对网络络安全攻攻击的手手段及其其与系统统配置的的关系有有相当深深刻的了了解，而而且防火火墙的安安全策略略无法进进行集中中管理，这这些都造造成了网网络安全全的失败败。而方方正方御御防火墙墙采用基基于Wiindoows GUII的用户户界面进进行远程程集中式式管理，配配置管理理界面直直观，易易于操作作。可以以通过一一个控制制机对多多台方正正方御防防火墙进进行集中中式的管管理。3.2. 入侵检测测产品选选型对于入侵侵检测产产品我们们选用启启明星辰辰信息技技术有限限公司的的天阗(tiaan)黑黑客入侵侵检测系系统。3.2.1. 启明星辰辰公司介介绍启明星辰辰公司自自19996年成成立以来来，已经经开发了了黑客防防范与反反攻击产产品线、采采用国际际著名厂厂商芬兰兰F-SSecuure公公司杀毒毒技术形形成的网网络病毒毒防杀产产品线、以以网站安安全扫描描与个人人主机保保护为代代表的网网络安全全管理产产品线，以以及几大大产品线线之间互互动的网网络资源源管理平平台，成成为具有有自主知知识产权权、覆盖盖防病毒毒和反黑黑客两大大领域的的高科技技含量的的网络安安全产品品研发与与生产基基地。启启明星辰辰公司产产品均获获得了计计算机信信息系统统安全专专用产品品销售许许可证，国国家信息息安全产产品测评评认证证证书和和军用用信息安安全产品品认证证证书，在在政府、银银行、证证券、电电信和军军队等领领域得到到了广泛泛的使用用。3.2.2. 入侵检测测系统介介绍防火墙与与IDSS谈到网网络安全全，人们们第一个个想到的的是防火火墙。但但随着技技术的发发展，网网络日趋趋复杂，传传统防火火墙所暴暴露出来来的不足足和弱点点引出了了人们对对入侵检检测系统统(IDDS)技技术的研研究和开开发。首首先，传传统的防防火墙在在工作时时，就像像深宅大大院虽有有高大的的院墙，却却不能挡挡住小老老鼠甚至至是家贼贼的偷袭袭一样，因因为入侵侵者