《我国单位防火墙解决策划方案》由会员分享,可在线阅读,更多相关《我国单位防火墙解决策划方案(120页珍藏版)》请在金锄头文库上搜索。
1、121 / 122xx单位防火墙解决方案2002年3月1.网络信息安全概况51.1.网络安全现状51.2.在典型的网络攻击中黑客一般会采的步骤61.3.黑客的要紧攻击方式62.背景介绍82.1.项目总述82.2.XX单位网络整体情况82.3.XX单位网络结构82.4.XX单位网络支撑的应用系统92.5.XX单位网络系统平台102.6.XX单位网络要紧应用服务的安全风险102.7.设备及系统安全分析103.方正数码防火墙解决方案143.1.本方案设计的原则和目标143.2.防火墙选型153.2.1.防火墙设置及工作模式153.2.2.防火墙功能设置及安全策略163.2.3.IPMAC地址捆绑:1
2、63.2.4.URL拦截:163.2.5.内置入侵检测(IDS)173.2.6.代理服务173.2.7.NAT地址转换173.2.8.日志系统及系统报警173.2.9.带宽分配,流量治理183.2.10.集中治理183.2.11.预制模板193.2.12.H.323支持193.2.13.系统升级193.2.14.双机备份193.2.15.保障系统安全性193.2.16.自身安全性203.2.17.维护方便性203.2.18.系统事件治理204.工程实施方案214.1.项目实施原则214.2.发货时期的实施224.3.到货后工作的实施234.4.测试及验收244.4.1.测试及验收描述244.4
3、.2.系统初验244.5.实施人员255.培训方案265.1.培训目标265.2.培训课程265.3.培训方式265.4.培训时长265.5.培训地点265.6.培训讲师275.7.入学要求276.方正数码全程服务296.1.方正数码售后服务体系结构介绍296.2.方正数码售后服务内容316.2.1.售后服务内容316.3.2售后维修服务流程326.4.方御防火墙部分用户名单327.附录A357.1.防火墙与入侵检测的选型357.1.1.方正数码公司简介357.2.方正方御防火墙(100M)367.2.1.产品概述367.2.2.系统特点367.2.3.方御防火墙(百兆)的性能407.2.4.
4、方正方御防火墙功能讲明417.3.方正方御防火墙(1000M)557.3.1.产品概述557.3.2.系统特点567.3.3.方正方御千兆防火墙功能讲明577.3.4.方御防火墙(千兆)的性能698.附录B718.1.方正方御防火墙荣誉证书711. 网络信息安全概况目前,专门多公开的新闻表明美国国家安全局(NSA)有可能在许多美国大软件公司的产品中安装“后门”,其中包括一些应用广泛的操作系统。为此德国军方前些时候甚至规定在所有牵涉到机密的计算机里,不得使用美国的操作系统。作为信息安全的保障,我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品,将安全风险降至最低。在为各安全产品选型
5、时,我们立足国内,同时保证所选产品的先进性及可靠性,并要求通过国家各要紧安全测评认证。1.1. 网络安全现状Internet正在越来越多地融入到社会的各个方面。一方面,随着网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,随着Internet和以电子商务为代表的网络应用的日益进展,Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全,日益成为与政府、军队、企业、个人的利益休戚相关的“大情况”。尤其关于政府和军队而言,假如网络安全问题不能得到妥善的解决,将会对国家安全带来严峻的威胁。2000年二月,在三天的时刻里,黑客使美
6、国数家顶级互联网站Yahoo!、Amazon、eBay、CNN陷入瘫痪,造成了十几亿美元的损失,令美国上下如临大敌。黑客使用了DDoS(分布式拒绝服务)的攻击手段,用大量无用信息堵塞网站的服务器,使其不能提供正常服务。在随后的不到一个月的时刻里,又先后有微软、ZDNet和E*TRADE等闻名网站遭受攻击。国内网站也未能幸免于难,新浪、当当书店、EC123等知名网站也先后受到黑客攻击。国内第一家大型网上连锁商城IT163网站3月6日开始运营,然而仅四天,该商城突遭网上黑客突击,界面文件全部被删除,各种数据库遭到不同程度的破坏,致使网站无法运作。客观地讲,没有任何一个网络能够免受安全的困扰,依据F
7、inancial Times曾做过的统计,平均每20秒钟就有一个网络遭到入侵。仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。黑客们进行网络攻击的目的各种各样,有的是出于政治目的,有的是职员内部破坏,还有的是出于好奇或者满足自己的虚荣心。随着Internet的高速进展,也出现了有明确军事目的的军方黑客组织。1.2. 在典型的网络攻击中黑客一般会采的步骤自我隐藏,黑客使用通过rsh或telnet在往常攻克的主机上跳转、通过错误配置的proxy主机跳转等各种技术来隐藏他们的IP地址,更高级一点的黑客,精通利用电话交换侵入主机。网络侦探和信息收集,在利用Internet开始对目标网络
8、进行攻击前,典型的黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表,通常专门容易建立一个主机列表同时开始了解主机之间的联系。黑客在那个时期使用一些简单的命令来获得外部和内部主机的名称:例如,使用nslookup来执行 “ls ”, finger外部主机上的用户等。确认信任的网络组成,一般而言,网络中的主控主机都会受到良好的安全爱护,黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的,一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通过检查运行nfsd或mountd的那些主机输出的NFS
9、开始入侵,有时候一些重要目录(例如/etc,/home)能被一个信任主机mount。确认网络组成的弱点,假如一个黑客能建立你的外部和内部主机列表,他就能够用扫描程序(如ADMhack, mscan, nmap等)来扫描一些特定的远程弱点。启动扫描程序的主机系统治理员通常都不明白一个扫描器差不多在他的主机上运行,因为ps和netstat都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后,黑客就会对主机是否易受攻击或安全有一个正确的推断。有效利用网络组成的弱点,当黑客确认了一些被信任的外部主机,同时同时确认了一些在外部主机上的弱点,他们就要尝试攻克主机了。黑客将攻击一个被信任的外部主机,用它作为发动
10、攻击内部网络的据点。要攻击大多数的网络组成,黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序,如此的例子包括易受攻击的Sendmail,IMAP,POP3和诸如statd,mountd, pcnfsd 等RPC服务。获得对有弱点的网络组成的访问权,在攻克了一个服务程序后,黑客就要开始清除他在记录文件中所留下的痕迹,然后留下作后门的二进制文件,使其以后能够不被发觉地访问该主机。1.3. 黑客的要紧攻击方式欺骗:通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使用,例如盗用拨号帐号。窃听:利用以太网广播的特性,使用监听程序来截获通过网络的数据包,对信息进行过滤和分析后得到有用
11、的信息,例如使用sniffer程序窃听用户密码。数据窃取:在信息的共享和传递过程中,对信息进行非法的复制,例如,非法拷贝网站数据库内重要的商业信息,盗取网站用户的个人信息等。数据篡改:在信息的共享和传递过程中,对信息进行非法的修改,例如,删除系统内的重要文件,破坏网站数据库等。拒绝服务:使用大量无意义的服务请求来占用系统的网络带宽、CPU处理能力和IO能力,造成系统瘫痪,无法对外提供服务。典型的例子确实是2000年年初黑客对Yahoo等大型网站的攻击。黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严峻后果,假如是对军用和政府网络的攻击,还会对国家安全造成严峻威胁。2
12、. 背景介绍2.1. 项目总述XX单位信息化建设的基础工程,是以计算机局域网为核心,以宽带光纤网络为通信平台,围绕业务治理、数据交换、语音通信、重大事件处理、视频会议等应用,覆盖各各工作部门等,并与全国、全省专网联接,共约*个节点的城域网。XX专网是独立于公共网络之外的XX系统专用网络,物理上与外部公共网络隔离。专网内部进行逻辑分割,采纳防火墙隔离、审计检测等措施,建立有效的网络安全防范体系,以满足传送普密级信息的通信安全保密要求。XX专网涉及范围广,建设要求高,需分期分批进行建设。XX专网建成后,将极大地促进XX单位业务规范化、办公自动化、治理智能化、决策科学化、提高XX单位办事工作效率,实
13、现各部门以及上下级部门之间信息和资源的共享。2.2. XX单位网络整体情况XX单位是以总部为中心、各个分支区域为基础,覆盖各部门、各层次分支机构,基于TCP/IP协议体系的计算机信息服务网络;是XX单位应用系统的基础网络平台。目前整个系统已网络实现到各部门,系统运行着多种应用系统。其中,这些系统通过与其他单位的互联网络,实现信息交换和共享。2.3. XX单位网络结构XX单位网络由广域网和各级机构局域网组成。XX单位网络要紧连接由两个部分组成:一是自己的纵向连网,连接XX单位各级机构;一是和其他单位的横向连网,实现系统之间数据通信。XX单位网络使用独立的地址空间和域名系统。广域网采纳Frame
14、relay技术。全国网络以总部为根节点,形成树形结构,各叶节点是各级机构内部的局域网络,是广域网的信息源和终点,同时也是连接其他单位的起点。纵向连网同其他单位互连其他单位内联网其他单位内联网其他单位内联网同时,网络系统中的网络设备以路由器、交换机为主。骨干网上运行OSPF 路由协议。2.4. XX单位网络支撑的应用系统XX单位网络上差不多或立即运行的要紧应用服务系统包括:l 政务与办公自动化系统;l 业务处理系统;l 治理信息系统;l 决策支持系统;l 多媒体应用与会议电视系统;l 信息咨询服务系统;l 外汇应用系统;2.5. XX单位网络系统平台XX单位网络目前系统平台要紧采纳l Window NT系统;l Unix系统;l 数据库系统;2.6. XX单位网络要紧应用服务的安全风险应用服务系统中各个叶节点有各种应用服务,这些应用服务提供给XX单位或其他单位使用。不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统,使得系统数据丢失、数据更改、获得非法数据等。而XX单位的这些应用系统是XX单位网络中最重要的组成部分。DNS服务DNS是网络正常运作的差不多元素,它们是由运行专门的或操作系统提供的服务的Unix或NT主机构成。这些系统专门容易
