《(工程安全)网络工程计算机专网安全产品解决方案网络防火墙精品》由会员分享,可在线阅读,更多相关《(工程安全)网络工程计算机专网安全产品解决方案网络防火墙精品(84页珍藏版)》请在金锄头文库上搜索。
1、宁波市政府计算机专网安全产品解决方案(网络防火墙)方正数码有限公司2002年2月1.背景介绍51.1.项目总述51.2.网络环境总述51.3.业务现状61.4.网络信息安全概况71.4.1.网络安全现状81.4.2.典型的黑客攻击81.4.3.网络与信息安全平台的任务102.安全架构分析与设计112.1.网络整体结构112.1.1.宁波在全国政府专网中的位置122.1.2.光纤网络平台122.2.宁波政府专网安全风险分析142.2.1.主要应用服务的安全风险142.2.2.网络中主要系统的安全风险152.2.3.数据库系统安全分析162.2.4.Unix系统的安全分析162.2.5.Windo
2、ws NT系统的安全分析172.2.6.管理系统的安全风险172.3.宁波政府专网安全风险解决方案设计的原则和目标182.3.1.网络安全解决方案的组成192.3.2.超高安全要求下的网络保护212.4.防火墙选型222.5.防火墙设置及工作模式232.6.防火墙功能设置及安全策略232.6.1.完善的访问控制232.6.2.内置入侵检测(IDS)242.6.3.代理服务242.6.4.日志系统及系统报警242.6.5.带宽分配,流量管理252.6.6.H.323支持252.6.7.系统升级252.6.8.双机备份262.6.9.防火墙方案特点262.7.防火墙整体布局272.8.宁波市政府系
3、统计算机专网核心节点市政府办公厅网络282.9.各区及委、办、局的安全网络282.10.集中管理和分级管理293.产品选型303.1.防火墙与入侵检测的选型303.1.1.方正数码公司简介303.2.方正方御防火墙(100M)313.2.1.产品概述313.2.2.系统特点313.2.3.方御防火墙(百兆)的性能353.2.4.方正方御防火墙功能说明363.3.方正方御防火墙(1000M)473.3.1.产品概述473.3.2.系统特点483.3.3.方正方御千兆防火墙功能说明493.3.4.方御防火墙(千兆)的性能594.工程实施方案614.1.合同签订阶段的工作实施614.2.发货阶段的实
4、施624.3.到货后工作的实施634.4.测试及验收644.4.1.测试及验收描述644.5.系统初验654.5.1.功能测试654.5.2.性能测试654.5.3.实施人员655.培训方案665.1.培训目标665.2.培训课程665.3.培训方式665.4.培训时长665.5.培训地点665.6.培训人数675.7.培训讲师675.8.入学要求686.售后服务和技术支持696.1.售后服务内容696.2.保修706.3.保修方式716.4.保修范围716.5.保修期的确认726.6.全国服务网络726.7.场地及环境准备726.7.1.常规要求726.7.2.机房电源、地线及同步要求736
5、.7.3.设备场地、通信736.7.4.机房环境736.8.验收清单756.8.1.设备开箱验收清单756.8.2.用户信息清单756.8.3.用户验收清单767.方案整体优势788.方正方御防火墙荣誉证书791. 背景介绍1.1. 项目总述政府专网是宁波市政府信息化建设的基础工程,是以宁波市政府东、北大院计算机局域网为核心,以宽带光纤网络为通信平台,围绕业务管理、数据交换、语音通信、重大事件处理、视频会议等应用,覆盖宁波市各县(市)、区政府,市政府各部门,市委办、人大办、政协办及市委各工作部门等,并与全国、全省政府专网联接,共约122个节点的城域网。政府专网是独立于公共网络之外的政府系统专用
6、网络,物理上与外部公共网络隔离。专网内部进行逻辑分割,采用防火墙隔离、审计检测等措施,建立有效的网络安全防范体系,以满足国家党政机关网络可传送普密级信息的通信安全保密要求。政府专网涉及范围广,建设要求高,需分期分批进行建设。整个建设周期分为二期,第一期41个节点于2002年2月底前完成,第二期约81个节点于2002年完成。目前已经完成网络平台、系统集成、系统商务标的招投标工作,正在抓紧进行网络平台建设及相关设备的订购采购工作。政府专网建成后,将极大地促进政府业务规范化、办公自动化、管理智能化、决策科学化、提高政府机关办事工作效率,实现政府各部门以及上下级政府部门之间信息和资源的共享。1.2.
7、网络环境总述市区内采用千兆以太网技术,市区外采用IP OVER SDH传输技术,各节点用物理光纤接入。政府专网以市政府办公厅为核心节点,在市区内采用4个汇集点,各节点用物理光纤就近接入汇集点。在市区外利用网络供应商提供的SDH环路,各节点用物理光纤接入SDH环。核心节点与SDH环通过物理光纤连接,把市内和市外两部分连通,组成完整的政府专网网络平台。总体结构请参见网络总体拓扑图。另外,省政府专网的光纤接入到IBM2216路由器,再经过防火墙(上海华堂),以百兆方式接入核心节点的接入交换机。国务院专网的帧中继专线接入到CISCO路由器,再经过防火墙(中科院的安胜(ERCIST)防火墙),以百兆方式
8、接入核心节点的接入交换机。宁波市处理重大事件指挥中心(以下简称指挥中心)是一个独立的网段,以多模光纤接入核心点的接入交换机,中间需以防火墙隔离。市政府西大院所有单位作为一个节点,用4芯光纤接入汇集点。政府专网采用CISCO的WORKS2000 FOR NT作为网管软件。1.3. 业务现状首先,宁波市政府与上级政府部门的信息数据交换量非常大。一方面,国务院、省政府需要宁波市政府上报大量信息,如地方经济运行状况、经济规划、社会治安情况等;另一方面,宁波市政府也需要及时了解国家有关政策、法规的最新情况。第二,宁波市政府与各县区政府数据交换量也相当大。第三,为了切实做好政府各项综合管理工作,市政府要领
9、导、安排、督促和协调政府各职能部门工作,因此与各部门业务联系十分密切,信息交换量很大。第四,市政府与市委、人大及政协系统之间信息交流也十分频繁。1.宁波市与上级政府部门之间的信息交流以公文、通知通告、要闻信息等文字资料为主。2.宁波市政府系统(含与市委、人大、政协系统之间)内部信息交流内容,主要有:网上办公:公文及业务工作网上办理流转。宏观信息:包括国际、国内、省内、省外、市内、市外宏观经济数据,每日信息,重要会议,重大事件。基本信息:包括市情、县情,各级领导情况,机构设置、直属机构设置、编制、职能职责、联系电话、邮箱地址等。通知通告:包括会议、学习、上报材料等通知,系统内的通报等。工作动态:
10、国家、省、市政府及政府有关部门的重要政策信息,政府内部改革思路新经验等。重大事件处理:综合治理、灾害、汛情、交通等方面的文字、图像及视频信息。政策法规:地方政策法规和国家、浙江省的政策法规行业数据:科技、文化、教育、交通等方面的行业数据。地理信息系统:规划、建筑、地形地貌等方面的数据,包括大型图片。会计核算中心:财务数据经济服务中心:批文、办事程序等数据以上诸项信息内容除已说明以外,其余都为文字、数字等形式。1.4. 网络信息安全概况目前,很多公开的新闻表明美国国家安全局(NSA)有可能在许多美国大软件公司的产品中安装“后门”,其中包括一些应用广泛的操作系统。为此德国军方前些时候甚至规定在所有
11、牵涉到机密的计算机里,不得使用美国的操作系统。作为信息安全的保障,我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品,将安全风险降至最低。在为各安全产品选型时,我们立足国内,同时保证所选产品的先进性及可靠性,并要求通过国家各主要安全测评认证。1.4.1. 网络安全现状Internet正在越来越多地融入到社会的各个方面。一方面,随着网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,随着Internet和以电子商务为代表的网络应用的日益发展,Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全包括其上的信息数据安全,日益成为与政府、
12、军队、企业、个人的利益休戚相关的“大事情”。尤其对于政府和军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重的威胁。2000年二月,在三天的时间里,黑客使美国数家顶级互联网站Yahoo!、Amazon、eBay、CNN陷入瘫痪,造成了十几亿美元的损失,令美国上下如临大敌。黑客使用了DDoS(分布式拒绝服务)的攻击手段,用大量无用信息阻塞网站的服务器,使其不能提供正常服务。在随后的不到一个月的时间里,又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。国内网站也未能幸免于难,新浪、当当书店、EC123等知名网站也先后受到黑客攻击。国内第一家大型网上连锁商城IT163网站
13、3月6日开始运营,然而仅四天,该商城突遭网上黑客袭击,界面文件全部被删除,各种数据库遭到不同程度的破坏,致使网站无法运作。客观地说,没有任何一个网络能够免受安全的困扰,依据Financial Times曾做过的统计,平均每20秒钟就有一个网络遭到入侵。仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。1.4.2. 典型的黑客攻击黑客们进行网络攻击的目的各种各样,有的是出于政治目的,有的是员工内部破坏,还有的是出于好奇或者满足自己的虚荣心。随着Internet的高速发展,也出现了有明确军事目的的军方黑客组织。在典型的网络攻击中,黑客一般会采取如下的步骤:自我隐藏,黑客使用通过rsh
14、或telnet在以前攻克的主机上跳转、通过错误配置的proxy主机跳转等各种技术来隐藏他们的IP地址,更高级一点的黑客,精通利用电话交换侵入主机。网络侦探和信息收集,在利用Internet开始对目标网络进行攻击前,典型的黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表,通常很容易建立一个主机列表并且开始了解主机之间的联系。黑客在这个阶段使用一些简单的命令来获得外部和内部主机的名称:例如,使用nslookup来执行 “ls ”, finger外部主机上的用户等。确认信任的网络组成,一般而言,网络中的主控主机都会受到良好的安全保护,黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的,一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通过检查运行nfsd或mountd的那些主机输出的NFS开始入侵,有时候一些重要目录(例如/etc,/home)能被一个信任主机mount。确认网络组成的弱点,如果一个黑客能建立你的外部和内部主机列表,他就可以用扫描程序(如ADMhack, mscan, nmap等)来扫描一些特定的远程弱点。启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运行,因为ps和netstat都被特洛伊化来隐藏扫描程序。在对
