《安全生产_计算机专网安全产品解决方案》由会员分享,可在线阅读,更多相关《安全生产_计算机专网安全产品解决方案(84页珍藏版)》请在金锄头文库上搜索。
1、宁波市政府宁波市政府 计算机专网安全产品解决方案计算机专网安全产品解决方案 (网络防火墙)(网络防火墙) 方正数码有限公司方正数码有限公司 1.背景介绍背景介绍5 1.1.项目总述5 1.2.网络环境总述5 1.3.业务现状6 1.4.网络信息安全概况7 1.4.1.网络安全现状8 1.4.2.典型的黑客攻击8 1.4.3.网络与信息安全平台的任务10 2.安全架构分析与设计安全架构分析与设计11 2.1.网络整体结构11 2.1.1.宁波在全国政府专网中的位置12 2.1.2.光纤网络平台12 2.2.宁波政府专网安全风险分析14 2.2.1.主要应用服务的安全风险14 2.2.2.网络中主
2、要系统的安全风险15 2.2.3.数据库系统安全分析16 2.2.4.Unix系统的安全分析.16 2.2.5.Windows NT系统的安全分析17 2.2.6.管理系统的安全风险17 2.3.宁波政府专网安全风险解决方案设计的原则和目标18 2.3.1.网络安全解决方案的组成19 2.3.2.超高安全要求下的网络保护21 2.4.防火墙选型22 2.5.防火墙设置及工作模式23 2.6.防火墙功能设置及安全策略23 2.6.1.完善的访问控制23 2.6.2.内置入侵检测(IDS).24 2.6.3.代理服务24 2.6.4.日志系统及系统报警24 2.6.5.带宽分配,流量管理25 2.
3、6.6.H.323支持.25 2.6.7.系统升级25 2.6.8.双机备份26 2.6.9.防火墙方案特点26 2.7.防火墙整体布局27 2.8.宁波市政府系统计算机专网核心节点市政府办公厅网络28 2.9.各区及委、办、局的安全网络28 2.10.集中管理和分级管理29 3.产品选型产品选型30 3.1.防火墙与入侵检测的选型30 3.1.1.方正数码公司简介30 3.2.方正方御防火墙(100M)31 3.2.1.产品概述31 3.2.2.系统特点31 3.2.3.方御防火墙(百兆)的性能35 3.2.4.方正方御防火墙功能说明36 3.3.方正方御防火墙(1000M)47 3.3.1
4、.产品概述47 3.3.2.系统特点48 3.3.3.方正方御千兆防火墙功能说明49 3.3.4.方御防火墙(千兆)的性能59 4.工程实施方案工程实施方案61 4.1.合同签订阶段的工作实施61 4.2.发货阶段的实施62 4.3.到货后工作的实施63 4.4.测试及验收64 4.4.1.测试及验收描述64 4.5.系统初验65 4.5.1.功能测试65 4.5.2.性能测试65 4.5.3.实施人员65 5.培训方案培训方案66 5.1.培训目标66 5.2.培训课程66 5.3.培训方式66 5.4.培训时长66 5.5.培训地点66 5.6.培训人数67 5.7.培训讲师67 5.8.
5、入学要求68 6.售后服务和技术支持售后服务和技术支持69 6.1.售后服务内容69 6.2.保修70 6.3.保修方式71 6.4.保修范围71 6.5.保修期的确认72 6.6.全国服务网络72 6.7.场地及环境准备72 6.7.1.常规要求72 6.7.2.机房电源、地线及同步要求73 6.7.3.设备场地、通信73 6.7.4.机房环境73 6.8.验收清单75 6.8.1.设备开箱验收清单75 6.8.2.用户信息清单75 6.8.3.用户验收清单76 7.方案整体优势方案整体优势78 8.方正方御防火墙荣誉证书方正方御防火墙荣誉证书79 1. 背景介绍背景介绍 1.1.项目总述项
6、目总述 政府专网是宁波市政府信息化建设的基础工程,是以宁波市政府东、北大 院计算机局域网为核心,以宽带光纤网络为通信平台,围绕业务管理、数据交 换、语音通信、重大事件处理、视频会议等应用,覆盖宁波市各县(市) 、区政 府,市政府各部门,市委办、人大办、政协办及市委各工作部门等,并与全国、 全省政府专网联接,共约 122 个节点的城域网。 政府专网是独立于公共网络之外的政府系统专用网络,物理上与外部公共 网络隔离。专网内部进行逻辑分割,采用防火墙隔离、审计检测等措施,建立 有效的网络安全防范体系,以满足国家党政机关网络可传送普密级信息的通信 安全保密要求。 政府专网涉及范围广,建设要求高,需分期
7、分批进行建设。整个建设周期 分为二期,第一期 41 个节点于 2002 年 2 月底前完成,第二期约 81 个节点于 2002 年完成。目前已经完成网络平台、系统集成、系统商务标的招投标工作, 正在抓紧进行网络平台建设及相关设备的订购采购工作。政府专网建成后,将 极大地促进政府业务规范化、办公自动化、管理智能化、决策科学化、提高政 府机关办事工作效率,实现政府各部门以及上下级政府部门之间信息和资源的 共享。 1.2.网络环境总述网络环境总述 市区内采用千兆以太网技术,市区外采用 IP OVER SDH 传输技术,各节点 用物理光纤接入。政府专网以市政府办公厅为核心节点,在市区内采用 4 个汇
8、集点,各节点用物理光纤就近接入汇集点。在市区外利用网络供应商提供的 SDH 环路,各节点用物理光纤接入 SDH 环。核心节点与 SDH 环通过物理光纤连 接,把市内和市外两部分连通,组成完整的政府专网网络平台。总体结构请参 见网络总体拓扑图。 另外,省政府专网的光纤接入到 IBM2216 路由器,再经过防火墙(上海华 堂) ,以百兆方式接入核心节点的接入交换机。 国务院专网的帧中继专线接入到 CISCO 路由器,再经过防火墙(中科院的 安胜(ERCIST)防火墙) ,以百兆方式接入核心节点的接入交换机。 宁波市处理重大事件指挥中心(以下简称指挥中心)是一个独立的网段, 以多模光纤接入核心点的接
9、入交换机,中间需以防火墙隔离。 市政府西大院所有单位作为一个节点,用 4 芯光纤接入汇集点。 政府专网采用 CISCO 的 WORKS2000 FOR NT 作为网管软件。 1.3.业务现状业务现状 首先,宁波市政府与上级政府部门的信息数据交换量非常大。一方面,国 务院、省政府需要宁波市政府上报大量信息,如地方经济运行状况、经济规划、 社会治安情况等;另一方面,宁波市政府也需要及时了解国家有关政策、法规 的最新情况。第二,宁波市政府与各县区政府数据交换量也相当大。第三,为 了切实做好政府各项综合管理工作,市政府要领导、安排、督促和协调政府各 职能部门工作,因此与各部门业务联系十分密切,信息交换
10、量很大。第四,市 政府与市委、人大及政协系统之间信息交流也十分频繁。 1.宁波市与上级政府部门之间的信息交流以公文、通知通告、要闻信息等 文字资料为主。 2.宁波市政府系统(含与市委、人大、政协系统之间)内部信息交流内容, 主要有: 网上办公:公文及业务工作网上办理流转。 宏观信息:包括国际、国内、省内、省外、市内、市外宏观经济数据, 每日信息,重要会议,重大事件。 基本信息:包括市情、县情,各级领导情况,机构设置、直属机构设置、 编制、职能职责、联系电话、邮箱地址等。 通知通告:包括会议、学习、上报材料等通知,系统内的通报等。 工作动态:国家、省、市政府及政府有关部门的重要政策信息,政府内
11、部改革思路新经验等。 重大事件处理:综合治理、灾害、汛情、交通等方面的文字、图像及视 频信息。 政策法规:地方政策法规和国家、浙江省的政策法规 行业数据:科技、文化、教育、交通等方面的行业数据。 地理信息系统:规划、建筑、地形地貌等方面的数据,包括大型图片。 会计核算中心:财务数据 经济服务中心:批文、办事程序等数据 以上诸项信息内容除已说明以外,其余都为文字、数字等形式。 1.4.网络信息安全网络信息安全概况概况 目前,很多公开的新闻表明美国国家安全局(NSA)有可能在许多美国大 软件公司的产品中安装“后门” ,其中包括一些应用广泛的操作系统。为此德国 军方前些时候甚至规定在所有牵涉到机密的
12、计算机里,不得使用美国的操作系 统。作为信息安全的保障,我们在安全产品选型时强烈建议使用国内自主开发 的优秀的网络安全产品,将安全风险降至最低。 在为各安全产品选型时,我们立足国内,同时保证所选产品的先进性及可 靠性,并要求通过国家各主要安全测评认证。 1.4.1. 网络安全现状网络安全现状 Internet 正在越来越多地融入到社会的各个方面。一方面,随着网络用户成 分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,随 着 Internet 和以电子商务为代表的网络应用的日益发展,Internet 越来越深地渗 透到各行各业的关键要害领域。Internet 的安全包括其上的信
13、息数据安全,日益 成为与政府、军队、企业、个人的利益休戚相关的“大事情” 。尤其对于政府和 军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重 的威胁。 2000 年二月,在三天的时间里,黑客使美国数家顶级互联网站 Yahoo!、Amazon、eBay、CNN 陷入瘫痪,造成了十几亿美元的损失,令美 国上下如临大敌。黑客使用了 DDoS(分布式拒绝服务)的攻击手段,用大量 无用信息阻塞网站的服务器,使其不能提供正常服务。在随后的不到一个月的 时间里,又先后有微软、ZDNet 和 E*TRADE 等著名网站遭受攻击。 国内网站也未能幸免于难,新浪、当当书店、EC123 等知名网
14、站也先后受 到黑客攻击。国内第一家大型网上连锁商城 IT163 网站 3 月 6 日开始运营,然 而仅四天,该商城突遭网上黑客袭击,界面文件全部被删除,各种数据库遭到 不同程度的破坏,致使网站无法运作。 客观地说,没有任何一个网络能够免受安全的困扰,依据 Financial Times 曾做过的统计,平均每 20 秒钟就有一个网络遭到入侵。仅在美国,每年由于网 络安全问题造成的经济损失就超过 100 亿美元。 1.4.2. 典型的黑客攻击典型的黑客攻击 黑客们进行网络攻击的目的各种各样,有的是出于政治目的,有的是员工 内部破坏,还有的是出于好奇或者满足自己的虚荣心。随着 Internet 的高
15、速发展, 也出现了有明确军事目的的军方黑客组织。 在典型的网络攻击中,黑客一般会采取如下的步骤: 自我隐藏自我隐藏,黑客使用通过 rsh 或 telnet 在以前攻克的主机上跳转、通过错误 配置的 proxy 主机跳转等各种技术来隐藏他们的 IP 地址,更高级一点的黑客, 精通利用电话交换侵入主机。 网络侦探和信息收集网络侦探和信息收集,在利用 Internet 开始对目标网络进行攻击前,典型的 黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之 前首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表,通常 很容易建立一个主机列表并且开始了解主机之间的联系。黑客在这个
16、阶段使用 一些简单的命令来获得外部和内部主机的名称:例如,使用 nslookup 来执行 “ls ” , finger 外部主机上的用户等。 确认信任的网络组成确认信任的网络组成,一般而言,网络中的主控主机都会受到良好的安全 保护,黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击 的,一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通 过检查运行 nfsd 或 mountd 的那些主机输出的 NFS 开始入侵,有时候一些重要 目录(例如/etc,/home)能被一个信任主机 mount。 确认网络组成的弱点确认网络组成的弱点,如果一个黑客能建立你的外部和内部主机列表,他 就可以用扫描程序(如 ADMhack, mscan, nmap 等)来扫描一些特定的远程弱点。 启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运 行,因为ps和netstat都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后, 黑客就会对主机是否易受攻击或安全有一个正确的判断。 有效利用网络组成的弱点有效利用网络组成的弱点,当黑客确认了一些被
