重慶住房基金管理中心安全系統(tǒng)方案.doc

重慶住房基金管理中心信息系統(tǒng)安全工程系統(tǒng)設(shè)計(jì)書二二二二年三月廣東省技術(shù)轉(zhuǎn)移中心廣州市眾達(dá)迅通技術(shù)有限公司地址：廣州市天河龍口中路173號(hào)華天國(guó)際廣場(chǎng)西苑10樓電話：(020-)38734097 傳真：(020-)87589782 Email: 目錄1.概述32.公司介紹43.信息安全技術(shù)介紹53.1.信息安全的定義53.2.安全的層次53.3.安全的目標(biāo)53.4.系統(tǒng)的安全威脅53.5.網(wǎng)絡(luò)安全技術(shù)73.6.網(wǎng)絡(luò)隔離83.7.通信安全技術(shù)93.8.客戶機(jī)安全防護(hù)104.天網(wǎng)防火墻簡(jiǎn)介114.1.什么叫防火墻?114.2.防火墻的用途114.3.天網(wǎng)防火墻的目標(biāo)114.4.天網(wǎng)防火墻的特點(diǎn)114.4.1.強(qiáng)大的數(shù)據(jù)加密技術(shù)114.4.2.智能的內(nèi)容過濾系統(tǒng)124.4.3.創(chuàng)新的體系結(jié)構(gòu)144.5.其他特點(diǎn)145.需求分析156.方案設(shè)計(jì)166.1.總體設(shè)計(jì)166.2.方案說明167.成功案例187.1.天網(wǎng)防火墻典型用戶名錄187.2.天網(wǎng)防火墻成功案例選登197.2.1.中央電視臺(tái)網(wǎng)絡(luò)安全改造工程197.2.2.人民日?qǐng)?bào)網(wǎng)絡(luò)安全工程197.2.3.南方航空公司網(wǎng)絡(luò)平臺(tái)安全改造計(jì)劃197.2.4.廣東省郵電管理局網(wǎng)絡(luò)工程197.2.5.廣州市電信局個(gè)人主頁項(xiàng)目197.2.6.珠海郵政局網(wǎng)上郵局工程.15 廣東省郵政局183網(wǎng)上支付系統(tǒng)191. 概述隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛，各種大型企業(yè)或單位也將通過網(wǎng)絡(luò)與用戶及其他相關(guān)行業(yè)系統(tǒng)之間進(jìn)行交流，提供各種網(wǎng)上的信息服務(wù)，但這些網(wǎng)絡(luò)用戶中，不乏競(jìng)爭(zhēng)對(duì)手和惡意破壞者，這些人可能會(huì)不斷地尋找系統(tǒng)內(nèi)部網(wǎng)絡(luò)上的漏洞，企圖潛入內(nèi)部網(wǎng)絡(luò)。一旦網(wǎng)絡(luò)被人攻破，機(jī)密的數(shù)據(jù)、資料可能會(huì)被盜取、網(wǎng)絡(luò)可能會(huì)被破壞，給系統(tǒng)帶來難以預(yù)測(cè)的損失。因此，防火墻便成為網(wǎng)絡(luò)安全必不可少的產(chǎn)品，天網(wǎng)防火墻在系統(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)用戶之間建起了一道安全的屏障，從而有效地抵御外來攻擊，防止不法分子的入侵。2. 公司介紹廣州市眾達(dá)迅通技術(shù)有限公司是一家集科研、生產(chǎn)、經(jīng)營(yíng)于一體的高科 技產(chǎn)業(yè)公司，隸屬于廣東省科委技術(shù)轉(zhuǎn)移中心，主要從事互聯(lián)網(wǎng)技術(shù)及網(wǎng)絡(luò) 產(chǎn)品的研究開發(fā)和生產(chǎn)，為全國(guó)的行業(yè)用戶和廣大的上網(wǎng)用戶提供網(wǎng)絡(luò)應(yīng)用 的軟、硬件產(chǎn)品、解決方案以及全方位的專業(yè)技術(shù)服務(wù)。公司成立于1998年，以網(wǎng)絡(luò)安全產(chǎn)品“天網(wǎng)防火墻”聞名遐爾?！疤炀W(wǎng)防火墻”是我國(guó)首個(gè)達(dá)到國(guó)際一流水平、獲得國(guó)家公安部、國(guó)家安全部認(rèn)證的軟硬件一體化網(wǎng)絡(luò)安全產(chǎn)品，性能及技術(shù)指標(biāo)達(dá)到甚至超過世界同類產(chǎn)品水平。公司還獨(dú)立開發(fā)出天網(wǎng)負(fù)載分擔(dān)服務(wù)器(SkyNet LB Server)、天網(wǎng)虛擬專網(wǎng)交換機(jī) ( SkyNet VPN Switch)等網(wǎng)絡(luò)應(yīng)用硬件系統(tǒng)。在開發(fā)出國(guó)內(nèi)第一套擁有自主知識(shí)產(chǎn)權(quán)、基于Unix系統(tǒng)的Internet應(yīng)用開發(fā)平臺(tái)的基礎(chǔ)上，陸續(xù)開發(fā)了人民日?qǐng)?bào)網(wǎng)絡(luò)版新聞發(fā)布系統(tǒng)、天網(wǎng)實(shí)時(shí)聊天系統(tǒng)、天網(wǎng)虛擬主 機(jī)系統(tǒng)等一系列的網(wǎng)絡(luò)應(yīng)用軟件產(chǎn)品。公司利用雄厚的技術(shù)力量、完善的研發(fā)系統(tǒng)，以及豐富的實(shí)踐經(jīng)驗(yàn)，為國(guó)內(nèi)的用戶提供全面、高效的網(wǎng)絡(luò)安全服務(wù)，從而改善了國(guó)內(nèi)高水平網(wǎng)絡(luò)安 全服務(wù)的相對(duì)空白的局面。公司的規(guī)模不斷擴(kuò)大，目前已在南京等地設(shè)立了 分支機(jī)構(gòu)，客戶遍布全國(guó)各地，為全國(guó)用戶的信息安全服務(wù)提供了重要的保障。作為一家網(wǎng)絡(luò)安全的專業(yè)公司，為中央電視臺(tái)、人民日?qǐng)?bào)社、廣州視窗、 21CN、南方航空公司等大型單位的網(wǎng)絡(luò)安全建設(shè)提供了有力的支持，并獲得 普遍好評(píng)?！安粩鄤?chuàng)新，共同發(fā)展”。凝聚大批優(yōu)秀技術(shù)人才的廣州市眾達(dá)迅通技 術(shù)有限公司將以振興中華民族的IT業(yè)為己任，努力為中國(guó)的網(wǎng)絡(luò)發(fā)展及信息 安全建設(shè)做出貢獻(xiàn)！ 3. 信息安全技術(shù)介紹3.1. 信息安全的定義要做好網(wǎng)絡(luò)安全工作，首先要了解的是信息安全的定義，對(duì)信息系統(tǒng)安全，計(jì)算機(jī)安全的定義有多種：國(guó)際標(biāo)準(zhǔn)化委員會(huì)（ISO International Standards Organization）的定義是：“為數(shù)據(jù)處理系統(tǒng)和采取的技術(shù)的和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。”美國(guó)國(guó)防部國(guó)家計(jì)算機(jī)安全中心（NCSC DoD）的定義是：“要討論計(jì)算機(jī)安全首先必須討論對(duì)安全需求的陳述，。一般說來，安全的系統(tǒng)會(huì)利用一些專門的安全特性來控制對(duì)信息的訪問，只有經(jīng)過適當(dāng)授權(quán)的人，或者以這些人的名義進(jìn)行的進(jìn)程可以讀、寫、創(chuàng)建和刪除這些信息?！蔽覈?guó)公安部計(jì)算機(jī)管理監(jiān)察司的定義是： “計(jì)算機(jī)安全是指計(jì)算機(jī)資產(chǎn)安全，即計(jì)算機(jī)信息系統(tǒng)資源和信息資源不受自然和認(rèn)為有害因素的威脅和危害”。3.2. 安全的層次網(wǎng)絡(luò)系統(tǒng)的安全包括如下兩個(gè)層次的含義：n 網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)與信息的安全與保密 n 網(wǎng)絡(luò)系統(tǒng)自身的安全3.3. 安全的目標(biāo)網(wǎng)絡(luò)系統(tǒng)安全的最終目標(biāo)是要保證數(shù)據(jù)和信息的安全性。網(wǎng)絡(luò)自身的安全是為數(shù)據(jù)和信息安全服務(wù)的。網(wǎng)絡(luò)系統(tǒng)的安全性主要體現(xiàn)在以下幾個(gè)方面：n 機(jī)密性：防止數(shù)據(jù)被未經(jīng)授權(quán)地泄露 n 數(shù)據(jù)完整性：防止未經(jīng)授權(quán)地對(duì)數(shù)據(jù)進(jìn)行修改或刪除 n 行為完整性：保證數(shù)據(jù)服務(wù)和控制的連續(xù)性3.4. 系統(tǒng)的安全威脅常見的安全危險(xiǎn)是指通過技術(shù)手段對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻，攻擊手法有一般性攻擊、滲透性攻擊與拒絕服務(wù)攻擊。一般性攻擊一般性攻擊主要利用用戶或管理人員的疏忽、利用網(wǎng)絡(luò)協(xié)議或主機(jī)操作系統(tǒng)的漏洞、利用共享傳輸通道的便利，對(duì)系統(tǒng)進(jìn)行直接入侵的攻擊方法。下面是一些典型的攻擊方法：n 口令入侵搜集用戶帳戶資料； 如果能夠獲得口令文件，可對(duì)口令文件進(jìn)行解密； 如果用戶的口令缺乏安全性，可能被輕易地被“字典攻擊”猜到用戶的口令； 如果入侵者可以獲得用戶的口令，則可以冒用此用戶的名義對(duì)系統(tǒng)進(jìn)行進(jìn)一步的破壞和攻擊。n 脆弱的基于主機(jī)認(rèn)證機(jī)制在Internet和Intranet上廣泛使用的TCP/IP協(xié)議中，一些TCP和UDP服務(wù)采用的是基于主機(jī)認(rèn)證方式，而非基于用戶認(rèn)證的方式。入侵者可以利用這種脆弱的機(jī)制進(jìn)行攻擊：IP Spoofing：攻擊者偵測(cè)出一臺(tái)被信任主機(jī)，在該主機(jī)停機(jī)（或遭到拒絕服務(wù)攻擊）之后，冒充該機(jī)?？梢允褂肐P源路由方法，假扮成被信任的主機(jī)，許多UNIX主機(jī)和路由器均設(shè)置成支持源路由封包。 信任主機(jī)的擴(kuò)散攻擊：利用主機(jī)之間的信任關(guān)系，在攻破某一臺(tái)主機(jī)后，可以更加方便地攻擊和它有信任關(guān)系的主機(jī)。 n 協(xié)議攻擊Internet使用的通訊協(xié)議在設(shè)計(jì)時(shí)，并沒有充分考慮到網(wǎng)絡(luò)安全問題。而且TCP/IP協(xié)議是完全公開的，再加上很多UNIX系統(tǒng)的內(nèi)部結(jié)構(gòu)包括源代碼都公開，導(dǎo)致入侵者可以利用網(wǎng)絡(luò)和操作系統(tǒng)的漏洞進(jìn)行攻擊。n 人為的配置失誤網(wǎng)絡(luò)和主機(jī)的安全設(shè)置都比較復(fù)雜，管理者很容易在配置中出現(xiàn)失誤。如果用戶沒有進(jìn)行合適的配置，入侵者就可以輕易的進(jìn)入。比如，缺省帳戶的口令沒有更改等等。如果系統(tǒng)管理人員沒有對(duì)網(wǎng)絡(luò)和操作系統(tǒng)的漏洞及時(shí)打補(bǔ)?。╬atch）。入侵者就可以利用這些公開的漏洞，侵入系統(tǒng)。n 竊聽和監(jiān)視由于在網(wǎng)絡(luò)的共享信道上，用明文傳輸?shù)拿舾袛?shù)據(jù)，這些信息很可能被竊聽和監(jiān)視。一旦，入侵者監(jiān)聽到用戶傳輸?shù)目诹?，就可以入侵到系統(tǒng)中了。n 新的安全挑戰(zhàn)隨著Internet技術(shù)的急劇發(fā)展，如WWW、Java、ActiveX等技術(shù)的大量使用，新的安全問題也不斷涌現(xiàn)。一些新的服務(wù)未經(jīng)過嚴(yán)格的安全測(cè)試就可能開始使用。象CERT、FIRST這樣的計(jì)算機(jī)安全緊急反映組織不斷發(fā)布新的攻擊事件和新的漏洞；各個(gè)主機(jī)和網(wǎng)絡(luò)廠商不斷公布自己的補(bǔ)??；象2600這樣的的黑客組織和黑客站點(diǎn)不斷出現(xiàn)新的攻擊手法。所有這些，都對(duì)我們的安全工作提出了挑戰(zhàn)。滲透性攻擊滲透性攻擊一定要通過一些特殊的計(jì)算機(jī)程序，通過將這些程序象補(bǔ)丁（patch）一樣加載在主機(jī)上之后，通過程序自身去不斷獲得系統(tǒng)的控制權(quán)，達(dá)到破壞系統(tǒng)安全的目的。n 特洛伊木馬特洛伊木馬是這樣一種程序，它在正常功能的程序中，隱藏的了非授權(quán)的代碼。如果正常程序在系統(tǒng)中運(yùn)行，那么非授權(quán)代碼（通常是惡意代碼）就獲得了與正常程序同樣的權(quán)限，進(jìn)行破壞。n 計(jì)算機(jī)病毒網(wǎng)絡(luò)應(yīng)用的普及，為病毒的傳播提供了方便的渠道。在越來越依賴網(wǎng)絡(luò)的今天，由于病毒導(dǎo)致的系統(tǒng)破壞將帶來巨大的損失。計(jì)算機(jī)病毒實(shí)際上是一種特殊的特洛伊木馬。計(jì)算機(jī)病毒是一段可執(zhí)行程序，它寄生在其他正常程序上。計(jì)算機(jī)病毒一般有兩個(gè)模塊：傳染模塊、破壞和表現(xiàn)模塊。計(jì)算機(jī)病毒具有如下一些特點(diǎn)：廣泛傳染性 潛伏性 可觸發(fā)性 破壞性 針對(duì)性 衍生性 攻擊迅速性 n 蠕蟲蠕蟲也是一種特洛伊木馬。蠕蟲有別于計(jì)算機(jī)病毒，它一般要寄生在計(jì)算機(jī)的操作系統(tǒng)中。它同病毒也有一些類似的地方，如：潛伏性、傳染性、破壞性等。從一般意義上說，病毒一般多出現(xiàn)在PC世界，而蠕蟲多出現(xiàn)在Unix世界。拒絕服務(wù)攻擊拒絕服務(wù)（denial-of-service）攻擊，是通過向攻擊目標(biāo)施加超強(qiáng)力的服務(wù)要求，要求提供超出它服務(wù)能力范圍需求，從而引起的攻擊目標(biāo)對(duì)正常服務(wù)的拒絕或服務(wù)性能大大降低。下面是一些著名的拒絕服務(wù)攻擊的例子：Ping of Death：給服務(wù)器發(fā)送異常的、巨大的用來進(jìn)行ping操作的包。它可以導(dǎo)致WindowsNT系統(tǒng)出現(xiàn)藍(lán)屏故障，而且及其狀態(tài)無法恢復(fù)。 Syn-Flooder：向服務(wù)器申請(qǐng)一個(gè)連接，而在服務(wù)器回答后等待確認(rèn)時(shí)，不進(jìn)行確認(rèn)。不斷進(jìn)行這樣的操作，導(dǎo)致服務(wù)器的連接緩沖區(qū)溢出后服務(wù)停滯。 郵件炸彈E-mail Bomb：使得攻擊目標(biāo)主機(jī)受到超量的電子郵件，使得主機(jī)無法承受導(dǎo)致郵件系統(tǒng)崩潰。3.5. 網(wǎng)絡(luò)安全技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的目的是保護(hù)以網(wǎng)絡(luò)為代表的系統(tǒng)資源不受攻擊影響、發(fā)現(xiàn)可疑的行為、對(duì)可能影響安全的事件作出反應(yīng)。計(jì)算機(jī)安全技術(shù)主要包括加密技術(shù)與行動(dòng)技術(shù)兩個(gè)方面。加密技術(shù)的主要目標(biāo)是確保數(shù)據(jù)資源的機(jī)密性、完整性。行動(dòng)技術(shù)的目的還包括維持并保護(hù)數(shù)據(jù)資源的安全可用性。根據(jù)在入侵行為與入侵目標(biāo)關(guān)系中研究對(duì)象的不同，行動(dòng)技術(shù)可分為主動(dòng)與被動(dòng)兩大類型：被動(dòng)技術(shù)研究的是入侵中處于被動(dòng)地位的入侵目標(biāo)，它的目的是提高目標(biāo)自身的防御能力，主要代表有： o隔離技術(shù)：把要保護(hù)的計(jì)算機(jī)系統(tǒng)與較危險(xiǎn)的外界隔離開，只允許建立安全的連接；隔離技術(shù)的中心思想是在主機(jī)或網(wǎng)絡(luò)與外界連接之間增加檢查，拒絕接受可疑的連接請(qǐng)求。 o安全分析技術(shù)：掃描系統(tǒng)安全漏洞、模擬網(wǎng)絡(luò)攻擊，以檢查系統(tǒng)防御能力。 主動(dòng)技術(shù)研究的對(duì)象是入侵行為，它嘗試使計(jì)算機(jī)系統(tǒng)對(duì)入侵行為做出主動(dòng)積極的反應(yīng)，代表是近年興起的入侵發(fā)現(xiàn)技術(shù)。3.6. 網(wǎng)絡(luò)隔離最常用的網(wǎng)絡(luò)隔離技術(shù)就是采用防火墻，防火墻可以有效地劃分網(wǎng)絡(luò)間不同的安全區(qū)域，界定不同用戶的訪問范圍。防火墻技術(shù)概述防火墻技術(shù)的目標(biāo)是保護(hù)網(wǎng)絡(luò)的一段或整個(gè)內(nèi)部網(wǎng)絡(luò)不受外界入侵影響。防火墻將安全管理“相對(duì)”寬松的“內(nèi)網(wǎng)”與外部網(wǎng)絡(luò)隔離開來。防火墻由一組硬件和軟件的組成，用于檢查網(wǎng)絡(luò)通訊與服務(wù)請(qǐng)求流。它的目的是剔除通訊流中那些不符合安全標(biāo)準(zhǔn)的數(shù)據(jù)包或請(qǐng)求。防火墻通過包過濾、應(yīng)用網(wǎng)關(guān)等技術(shù)，使用具有過濾功能的路由器和堡壘主機(jī)等設(shè)備，使所有涉及被保護(hù)網(wǎng)段的網(wǎng)絡(luò)通訊都經(jīng)過防火墻過濾或轉(zhuǎn)接，對(duì)被保護(hù)網(wǎng)段實(shí)行訪問控制，把它和外界隔離開來，達(dá)到不受外界侵犯的目的。防火墻通常是防范入侵的第一道防線，但不同的產(chǎn)品對(duì)惡意攻擊的屏蔽程度不同，防火墻的設(shè)置也經(jīng)常很復(fù)雜，設(shè)置不好的防火墻不能有效完成隔離功能，可能成為潛在的安全隱患。使用防火墻還必須保證它不能被訪問繞過。比如在防火墻內(nèi)部私自連入 Modem, 使連接不經(jīng)過防火墻的檢查，就會(huì)造成隔離的破壞。防火墻的優(yōu)勢(shì)保護(hù)脆弱的服務(wù)：通過過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。如，防火墻可以禁止NIS、NFS服務(wù)通過。防火墻同時(shí)可以拒絕源路由和ICMP重定向封包。 控制對(duì)系統(tǒng)的訪問：防火墻可以實(shí)現(xiàn)對(duì)系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時(shí)禁止訪問另外的主機(jī)。如防火墻只允許外部訪問外部Web Server。 集中的安全管理和策略的制定：防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。在防火墻定義的安全規(guī)則可以用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無需在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。如防火墻可以定義不同的認(rèn)證方法，而不需在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。 增強(qiáng)的保密性：使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息。 記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)：防火墻可以記錄和統(tǒng)計(jì)通過防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)。并且可以根據(jù)統(tǒng)計(jì)數(shù)據(jù)來判斷可能攻擊和探測(cè)。 在網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用n ?；饏^(qū)在網(wǎng)絡(luò)系統(tǒng)的Intranet中設(shè)立一個(gè)DMZ（?；饏^(qū)）：或者稱作屏蔽子網(wǎng)。這個(gè)?；饏^(qū)將網(wǎng)上辦稅系統(tǒng)的內(nèi)部局域網(wǎng)和Internet、撥號(hào)接入服務(wù)隔離開。內(nèi)部網(wǎng)絡(luò)與停火區(qū)之間有防火墻來保證安全。在這里專門提供對(duì)外的公共服務(wù)，如外部WWW服務(wù)、外部DNS服務(wù)、撥號(hào)接入服務(wù)等。在DMZ的服務(wù)器可以使用在公網(wǎng)的IP地址，也可以通過防火墻的反向地址轉(zhuǎn)換功能使用私網(wǎng)IP地址。n 設(shè)置路由器的包過濾功能?；饏^(qū)和Internet之間通過路由器連接。在這個(gè)路由器合理地設(shè)置包過濾功能，將停火區(qū)不提供的服務(wù)包過濾掉。比如：可以過濾掉Internet流向?；饏^(qū)的telnet包、SNMP包等，避免網(wǎng)絡(luò)黑客利用這些協(xié)議進(jìn)行攻擊。內(nèi)網(wǎng)劃分了VLAN，有路由器負(fù)責(zé)內(nèi)部VLAN之間的路由?？梢赃m當(dāng)?shù)卦O(shè)置內(nèi)部路由的包過濾功能，避免或減少內(nèi)部黑客或已經(jīng)侵入內(nèi)部的黑客對(duì)其他為授權(quán)網(wǎng)絡(luò)的攻擊。n 內(nèi)網(wǎng)和停火區(qū)之間的防火墻在網(wǎng)上辦稅系統(tǒng)中主要利用現(xiàn)有的防火墻提供強(qiáng)大的網(wǎng)絡(luò)安全服務(wù)，它在保證高級(jí)的安全性能的同時(shí)，提供了良好的吞吐性、靈活性和管理特性。防火墻對(duì)Intranet與Internet進(jìn)行隔離，隔離的主要內(nèi)容是內(nèi)部網(wǎng)不應(yīng)提供的服務(wù)、信息及傳輸通道。此外它在保證高級(jí)安全性能的同時(shí)，能夠提供良好的吞吐性、靈活性和管理特性。為了消除防火墻的單點(diǎn)故障，可以設(shè)計(jì)采用雙機(jī)熱備份的防火墻系統(tǒng)，兩臺(tái)防火墻一臺(tái)作為主防火墻，一臺(tái)作為從防火墻。正常工作時(shí)，運(yùn)行主防火墻系統(tǒng)，當(dāng)主防火墻系統(tǒng)發(fā)生故障時(shí)，從防火墻系統(tǒng)自動(dòng)接替其工作，保證了防火墻系統(tǒng)的連續(xù)性。通過防火墻控制臺(tái)定義網(wǎng)絡(luò)對(duì)象、網(wǎng)絡(luò)資源、用戶及安全規(guī)則。原則上，大樓Intranet出口處防火墻的安全規(guī)則只定義必要的網(wǎng)絡(luò)連接（如單向DNS查詢、限制的http、https、ldap，僅允許DMZ內(nèi)主機(jī)與內(nèi)部網(wǎng)的其它必要通訊等）。3.7. 通信安全技術(shù)搭線竊聽是對(duì)通信保密安全的嚴(yán)重威脅。在互聯(lián)網(wǎng)出現(xiàn)后，由于使用者到服務(wù)器之間將經(jīng)過不可預(yù)測(cè)的節(jié)點(diǎn)，中間極可以出現(xiàn)數(shù)據(jù)被竊取和被篡改的危險(xiǎn)。解決的方法有兩個(gè)方面：n 通過加密措施，使非法竊聽者即使截獲部分信息也無法理解這些信息。n 通過防篡改技術(shù)，使數(shù)據(jù)被篡改后可以有機(jī)制去識(shí)別被篡改的內(nèi)容。n 綜合以上的方法，目前流行的方式是采用虛擬專網(wǎng)（VPN）技術(shù)來實(shí)現(xiàn)通信安全。虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件：n 保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)（IP Spoofing）的能力。n 保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。n 保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。n 提供動(dòng)態(tài)密鑰交換功能，提供密鑰中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演（Replay）的功能，保證通道不能被重演。n 提供安全防護(hù)措施和訪問控制，要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對(duì)VPN通道進(jìn)行訪問控制（Access Control）。3.8. 客戶機(jī)安全防護(hù)網(wǎng)絡(luò)系統(tǒng)中用戶操作的微機(jī)多數(shù)采用Windows 9X操作系統(tǒng)。Windows 9X操作系統(tǒng)的安全級(jí)別遠(yuǎn)遠(yuǎn)不如Unix系統(tǒng)和Windows NT系統(tǒng)高。除了系統(tǒng)本身的各種弱點(diǎn)外，還有許多病毒與木馬系統(tǒng)在Windows上橫行，如果不小心，用戶的各種操作數(shù)據(jù)很容易被不法分子竊取。為了保證安全，Windows 9X用戶可以采用本公司個(gè)人級(jí)防火墻產(chǎn)品，保證數(shù)據(jù)安全。4. 天網(wǎng)防火墻簡(jiǎn)介4.1. 什么叫防火墻?講到防火墻，很多人可能一下反應(yīng)覺得是一些建筑用的東西，雖然在這里講的防火墻的所處的位置很象是建筑上說的防火墻，不過，它卻是與建筑一點(diǎn)關(guān)系都沒有的東西。這里所說的防火墻是安裝在計(jì)算機(jī)網(wǎng)絡(luò)上，防止內(nèi)部的網(wǎng)絡(luò)系統(tǒng)被人惡意破壞的一個(gè)網(wǎng)絡(luò)安全產(chǎn)品。4.2. 防火墻的用途Internet 技術(shù)帶領(lǐng)我們進(jìn)入新的科技信息時(shí)代。許多企業(yè)、單位都紛紛建立與互聯(lián)網(wǎng)絡(luò)相連的內(nèi)部網(wǎng)，使用戶可以通過網(wǎng)絡(luò)查詢信息。這時(shí)企業(yè)Intranet的安全性就受到了考驗(yàn)，網(wǎng)絡(luò)上的不法分子不斷的尋找網(wǎng)絡(luò)上的漏洞，企圖潛入內(nèi)部網(wǎng)絡(luò)。一旦Intranet被人攻破，一些機(jī)密的資料可能會(huì)被盜、網(wǎng)絡(luò)可能會(huì)被破壞，給網(wǎng)絡(luò)所屬單位帶來難以預(yù)測(cè)的損害。而使用了防火墻后，防火墻可以有效地?fù)踝⊥鈦淼墓簦瑢?duì)進(jìn)出的數(shù)據(jù)進(jìn)行監(jiān)視。此外，目前防火墻除了可以作為網(wǎng)絡(luò)門戶的保護(hù)外，還提供了許多網(wǎng)絡(luò)連接時(shí)的應(yīng)用，如包含代理服務(wù)器的功能，提高內(nèi)部網(wǎng)絡(luò)對(duì)外訪問的速度；采用加密連接方式，使企業(yè)通過公網(wǎng)安全地傳輸數(shù)據(jù)等。4.3. 天網(wǎng)防火墻的目標(biāo)長(zhǎng)期以來，國(guó)內(nèi)開發(fā)的防火墻大都只有簡(jiǎn)單的數(shù)據(jù)包過濾，只能實(shí)現(xiàn)簡(jiǎn)單地控制允許或不允許數(shù)據(jù)的通過，而最新防火墻的關(guān)鍵技術(shù)都被國(guó)外所壟斷，例如網(wǎng)絡(luò)數(shù)據(jù)通道加密，網(wǎng)絡(luò)地址轉(zhuǎn)換等，美國(guó)政府甚至明令禁止這些高新技術(shù)的出口，企圖以技術(shù)壟斷的方式阻止別國(guó)信息產(chǎn)業(yè)的發(fā)展。但現(xiàn)在，我們可以站出來說：“中國(guó)人有了自己的防火墻！”在天網(wǎng)防火墻上，不但研究出并使用了美國(guó)政府禁止出口的168位加密技術(shù)，實(shí)現(xiàn)了高速的網(wǎng)絡(luò)地址轉(zhuǎn)換功能，而且，還針對(duì)Internet魚龍混雜的局面，創(chuàng)造性地開發(fā)出了智能內(nèi)容過濾系統(tǒng)，使到天網(wǎng)防火墻不單單能保護(hù)網(wǎng)絡(luò)的安全，而且，可以令充滿了黃色和反動(dòng)內(nèi)容的Internet網(wǎng)絡(luò)恢復(fù)清純。4.4. 天網(wǎng)防火墻的特點(diǎn)4.4.1. 強(qiáng)大的數(shù)據(jù)加密技術(shù)在國(guó)外，利用公共的計(jì)算機(jī)信息網(wǎng)絡(luò)，企業(yè)可以建造一個(gè)安全的內(nèi)部網(wǎng)，連接不同地域的機(jī)構(gòu)，這種技術(shù)，在術(shù)語中稱為虛擬專用網(wǎng)（VPN），而這個(gè)技術(shù)中的關(guān)鍵就是一個(gè)叫IPSEC的數(shù)據(jù)加密技術(shù)，沒有這項(xiàng)技術(shù)，企業(yè)在公共網(wǎng)絡(luò)中傳遞的數(shù)據(jù)可以輕易地被截取和破解，等于把企業(yè)的所有秘密公之于眾；然而，國(guó)外的廠商在中國(guó)推廣的設(shè)備中，卻沒有一個(gè)提到IPSEC的加密技術(shù)的，即使有順帶提到的，也會(huì)推搪說暫時(shí)無法提供此技術(shù)，請(qǐng)耐心等候。原因很簡(jiǎn)單，這種IPSEC技術(shù)正是被美國(guó)政府嚴(yán)禁出口的高科技技術(shù)之一。我們經(jīng)過努力，終于在天網(wǎng)防火墻的IPSEC加密功能上實(shí)現(xiàn)了56 Bits DES、168Bits 3DES、MD5、RC4、SHA1、IDEA等多種加密算法。天網(wǎng)防火墻系統(tǒng)通過符合IPSEC標(biāo)準(zhǔn)的高保密性虛擬專用網(wǎng)技術(shù)，可以建立真正的虛擬專用網(wǎng)系統(tǒng)，這樣，系統(tǒng)才具有完善的安全特性，包括： 真實(shí)性：與你通信的計(jì)算機(jī)主機(jī)是真正的授權(quán)后的計(jì)算機(jī)主機(jī)，而不是他人假冒的計(jì)算機(jī)。 完整性：我方接收到的數(shù)據(jù)包與對(duì)方發(fā)送時(shí)是完全一致的。 機(jī)密性：在數(shù)據(jù)傳輸過程中，數(shù)據(jù)不能被不法分子解密。在設(shè)計(jì)時(shí),我們還充分考慮到防火墻系統(tǒng)是作為網(wǎng)絡(luò)安全的守護(hù)者，除了考慮用戶認(rèn)證、數(shù)據(jù)傳輸時(shí)數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性以外，我們還考慮到不法分子在截取到加密的數(shù)據(jù)后，雖然無法將數(shù)據(jù)解密，但將數(shù)據(jù)原封不動(dòng)地重新發(fā)送的可能性。因此我們?cè)谔炀W(wǎng)防火墻中加入了防止數(shù)據(jù)重演（Replay）的功能，以杜絕這種可能性。有了天網(wǎng)防火墻系統(tǒng)，用戶可以不再被迫使用功能殘缺的國(guó)外網(wǎng)絡(luò)安全產(chǎn)品，而網(wǎng)絡(luò)安全也可以得到真正的保護(hù)。4.4.2. 智能的內(nèi)容過濾系統(tǒng)Internet給我們帶來了無比豐富的最新信息，改變了我們生活、工作的模式。但是，Internet缺乏適當(dāng)?shù)谋O(jiān)管機(jī)構(gòu)，導(dǎo)致在網(wǎng)上充斥著各種色情、反動(dòng)的信息，我們不能不警惕這些信息對(duì)我們的毒害，我國(guó)政府也采取了一定的防御措施?？上鎸?duì)日新月異的網(wǎng)絡(luò)技術(shù)發(fā)展，現(xiàn)在的措施有點(diǎn)力不從心。目前存在的問題主要有： 目前的監(jiān)管工作完全靠人手動(dòng)進(jìn)行，發(fā)現(xiàn)一個(gè)攔截一個(gè)。而且Internet網(wǎng)絡(luò)信息不斷改變，更新速度驚人，缺少計(jì)算機(jī)的輔助和統(tǒng)計(jì)功能，目前的攔截功能實(shí)際上的作用并不明顯。 目前攔截是以一個(gè)信息點(diǎn)為單位，過于粗糙。通常一個(gè)Internet信息點(diǎn)上有很多不同的內(nèi)容，如果單單為了防止一、兩個(gè)非法的內(nèi)容而禁止訪問整個(gè)信息點(diǎn)，是因噎廢食的做法。 雖然攔截可以禁止直接訪問信息點(diǎn)，但是用戶可以利用一種叫代理服務(wù)的技術(shù)，利用不被攔截的國(guó)外信息點(diǎn)收取信息后轉(zhuǎn)發(fā)到國(guó)內(nèi)來，令防御措施形同虛設(shè)。為了解決這個(gè)問題，我們首先對(duì)現(xiàn)狀進(jìn)行分析，得出了解決問題的關(guān)鍵： Internet上雖然有無法統(tǒng)計(jì)數(shù)量的節(jié)點(diǎn)和連接，但是我們只需要對(duì)內(nèi)部網(wǎng)絡(luò)所訪問的信息進(jìn)行監(jiān)管就可以保證禁止非法信息的流入了。這使自動(dòng)監(jiān)控有了實(shí)現(xiàn)的可能。 通過對(duì)使用代理服務(wù)訪問的機(jī)制進(jìn)行了徹底的研究，了解到這種機(jī)制的原理后，可以輕易地實(shí)現(xiàn)攔截。 計(jì)算機(jī)必須根據(jù)具體情況，依據(jù)有效的算法對(duì)流入數(shù)據(jù)進(jìn)行分析，找出最有嫌疑、的信息內(nèi)容，這樣才能解決問題的關(guān)鍵。 由于需要對(duì)所有的流入信息進(jìn)行過濾，系統(tǒng)負(fù)擔(dān)將十分沉重。監(jiān)管系統(tǒng)必須采用并行式處理體系，采用多套系統(tǒng)協(xié)同工作，才能面對(duì)大量的用戶訪問，避免產(chǎn)生網(wǎng)絡(luò)的堵塞、延誤的嚴(yán)重后果。 網(wǎng)絡(luò)內(nèi)容監(jiān)管在國(guó)際上早已受到廣泛的重視，許多團(tuán)體已經(jīng)在這個(gè)方面作了大量的工作，我們的系統(tǒng)必須具有有效使用這些成果的能力。PICS是W3C（互聯(lián)網(wǎng)頁協(xié)會(huì)）推出的內(nèi)容分級(jí)數(shù)據(jù)庫協(xié)議，受到廣泛的支持，Internet上絕大多數(shù)的正式網(wǎng)頁都根據(jù)PICS協(xié)議進(jìn)行了分級(jí)。攔截服務(wù)器必須能定時(shí)從PICS分級(jí)數(shù)據(jù)服務(wù)器上提取數(shù)據(jù)，儲(chǔ)存到本地?cái)?shù)據(jù)庫中，并以分級(jí)數(shù)據(jù)庫作為依據(jù)，進(jìn)行網(wǎng)絡(luò)監(jiān)管工作。通過對(duì)實(shí)際需要的分析，我們?cè)谔炀W(wǎng)防火墻系統(tǒng)中實(shí)現(xiàn)可以說是世界上第一套采用分布式并行處理結(jié)構(gòu)的計(jì)算機(jī)輔助監(jiān)管、精確信息源定位攔截系統(tǒng)?；竟δ苡校褐悄軆?nèi)容分析系統(tǒng):系統(tǒng)對(duì)流經(jīng)的網(wǎng)絡(luò)信息進(jìn)行關(guān)鍵字過濾，可以支持多個(gè)關(guān)鍵字邏輯過濾操作，同時(shí)可以根據(jù)關(guān)鍵字權(quán)重、重復(fù)次數(shù)計(jì)算信息的可疑程度。系統(tǒng)對(duì)用戶訪問信息的精確定位進(jìn)行記錄，統(tǒng)計(jì)訪問量、可疑程度等指標(biāo)，返回可疑信息源精確位置表，根據(jù)該表自動(dòng)將信息源精確位置加入黑名單采取攔截行動(dòng)或作為系統(tǒng)管理員控制攔截的依據(jù)。信息監(jiān)管系統(tǒng):系統(tǒng)可以根據(jù)黑名單和白名單對(duì)用戶訪問的精確信息源位置進(jìn)行攔截或放行的處理，而且可以根據(jù)智能內(nèi)容分析系統(tǒng)和統(tǒng)計(jì)系統(tǒng)的結(jié)果自動(dòng)增減名單。代理服務(wù)器攔截系統(tǒng)系統(tǒng)根據(jù)代理服務(wù)器工作原理，對(duì)向代理服務(wù)器的信息訪問請(qǐng)求進(jìn)行解碼分析，得出真正訪問位置，根據(jù)黑名單進(jìn)行攔截，放行正常信息。分布并行式處理：當(dāng)需要負(fù)責(zé)大量的用戶訪問時(shí)（如Internet出口），系統(tǒng)可以組成分布并行式處理系統(tǒng)，用戶的訪問控制工作將分布到多臺(tái)防火墻服務(wù)器上。天網(wǎng)防火墻系統(tǒng)的信息監(jiān)管模塊使用了各種先進(jìn)的辦法，可以有效地?cái)r截非法信息的流入，為用戶提供一個(gè)清潔的Internet網(wǎng)絡(luò)，是建立Internet的必備工具。4.4.3. 創(chuàng)新的體系結(jié)構(gòu)傳統(tǒng)的防火墻多數(shù)是軟件，因此，用戶在購買了防火墻后，還需要購買昂貴的工作站或服務(wù)器才能夠使用防火墻。而天網(wǎng)防火墻創(chuàng)新地采用了硬件一體化的體系。而天網(wǎng)防火墻創(chuàng)新地采用了硬件一體化的設(shè)計(jì)，從底層操作系統(tǒng)到防火墻應(yīng)用都與硬件緊密結(jié)合。這種設(shè)計(jì)有兩個(gè)好處：1. 系統(tǒng)效率高。傳統(tǒng)軟件防火墻是安裝在計(jì)算機(jī)上的，由于無法控制網(wǎng)絡(luò)底層，導(dǎo)致系統(tǒng)效率受到計(jì)算機(jī)操作系統(tǒng)的牽制，對(duì)網(wǎng)絡(luò)的數(shù)據(jù)傳輸有較大的影響。而在天網(wǎng)防火墻設(shè)計(jì)時(shí)，我們針對(duì)系統(tǒng)特定硬件進(jìn)行優(yōu)化處理，底層操作系統(tǒng)采用匯編語言編寫，防火墻應(yīng)用融入系統(tǒng)操作系統(tǒng)，因此數(shù)據(jù)傳輸效率比同類產(chǎn)品高出3060。2. 系統(tǒng)安全性高。傳統(tǒng)的軟件防火墻都是基于UNIX或Windows NT平臺(tái)，這些操作系統(tǒng)平臺(tái)本身容易受到黑客（Hacker）的攻擊，使防火墻所在的計(jì)算機(jī)成為網(wǎng)絡(luò)安全的突破點(diǎn)。而天網(wǎng)防火墻采用硬件一體化結(jié)構(gòu)，專用的高安全度操作系統(tǒng)使不法分子無從下手。4.5. 其他特點(diǎn)此外，天網(wǎng)防火墻還包含了網(wǎng)絡(luò)信息流量控制（QoS），透明代理服務(wù)器、雙向網(wǎng)絡(luò)地址轉(zhuǎn)換、針對(duì)性防御措施、負(fù)載均衡、雙機(jī)熱備份等功能。5. 需求分析根據(jù)重慶住房基金管理中心信息系統(tǒng)安全工程需求，作如下分析：1. 內(nèi)部通過劃分VLAN，防止內(nèi)部網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)攻擊，保證網(wǎng)絡(luò)安全可靠。分析：完全滿足。天網(wǎng)防火墻的網(wǎng)絡(luò)接口可以綁定多個(gè)網(wǎng)段地址，最多可以支持1024個(gè)網(wǎng)段。2. 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)保證安全性，提供備份迂回路由。分析：天網(wǎng)防火墻有備份功能擴(kuò)展，可以升級(jí)為雙機(jī)備份防火墻。3. 應(yīng)能定期自動(dòng)掃描各種服務(wù)器和數(shù)據(jù)庫系統(tǒng)以發(fā)現(xiàn)影響系統(tǒng)性能安全和設(shè)置上的漏洞。分析：該功能可以由第三方軟件廠商的漏洞檢測(cè)軟件實(shí)現(xiàn)。4. 應(yīng)具有對(duì)安全攻擊的快速響應(yīng)能力，能夠在黑客對(duì)重要資源產(chǎn)生威脅之前識(shí)別并阻止攻擊。分析：天網(wǎng)防火墻具有快速響應(yīng)能力，能夠在黑客對(duì)重要資源產(chǎn)生威脅之前識(shí)別并阻止攻擊。5. 應(yīng)能搜集、綜合和分析安全軟件得到的數(shù)據(jù)，自動(dòng)快速的作出安全決策并進(jìn)行實(shí)施。分析：天網(wǎng)防火墻的企業(yè)I型和II型均具有以上功能。6. 方案設(shè)計(jì)6.1. 總體設(shè)計(jì)系統(tǒng)拓?fù)鋱D：6.2. 方案說明根據(jù)重慶市住房基金管理中心的網(wǎng)絡(luò)狀況和應(yīng)用，建議在內(nèi)網(wǎng)的switch和路由器4700之間接天網(wǎng)防火墻企業(yè)I型，通過對(duì)防火墻的安全規(guī)則的設(shè)定可有效的保護(hù)內(nèi)網(wǎng)服務(wù)器和工作站不受攻擊。天網(wǎng)防火墻企業(yè)級(jí)- I型，規(guī)格如下：LicenseTypeDescriptionSNFW-NATunlimitedSNFW-FT-BH網(wǎng)絡(luò)黑洞SNFW-FT-LOG網(wǎng)絡(luò)數(shù)據(jù)記錄Features* 基于狀態(tài)檢測(cè)的包過濾* 具有包過濾功能的虛擬網(wǎng)橋* DOS防御網(wǎng)關(guān)能有效的防止各種類型的DOS攻擊* TCP標(biāo)志位檢測(cè)* 雙向網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)* 流量統(tǒng)計(jì)與流量限制* 網(wǎng)絡(luò)端口可以綁定多個(gè)IP地址* IP地址與MAC地址綁定* 實(shí)時(shí)系統(tǒng)監(jiān)控，能觀察系統(tǒng)的運(yùn)行狀態(tài)及網(wǎng)絡(luò)連接狀況* 實(shí)時(shí)報(bào)警，通過撥打電話和Email的方式報(bào)警 (Syslog Daemon)* 系統(tǒng)操作記錄，可以記錄系統(tǒng)管理員的所有操作情況* 界面升級(jí)，操作方便* 網(wǎng)絡(luò)黑洞，用于阻擋非法的網(wǎng)絡(luò)探測(cè)* 網(wǎng)絡(luò)數(shù)據(jù)記錄, 用于記錄通過防火墻的數(shù)據(jù)類型和流量實(shí)現(xiàn)功能： 使用NAT把DMZ區(qū)的服務(wù)器和內(nèi)部端口影射到Firewall的對(duì)外端口； 允許Internet公網(wǎng)用戶訪問到DMZ區(qū)的應(yīng)用服務(wù)：http、ftp、smtp、dns； 允許DMZ區(qū)內(nèi)的工作站與應(yīng)用服務(wù)器訪問Internet公網(wǎng)； 允許內(nèi)部企業(yè)用戶訪問DMZ的應(yīng)用服務(wù)：http、ftp、smtp、dns 、pop3、https； 允許內(nèi)部企業(yè)用戶訪問或通過代理訪問Internet公網(wǎng)； 禁止Internet公網(wǎng)非法用戶入侵內(nèi)部企業(yè)網(wǎng)絡(luò)和DMZ區(qū)應(yīng)用服務(wù)器； 禁止Internet公網(wǎng)用戶對(duì)內(nèi)部網(wǎng)絡(luò)http、ftp、telnet、traceroute、rlogin等端口訪問； 通過對(duì)數(shù)據(jù)包的SYN/ACK等標(biāo)志位進(jìn)行合法性檢測(cè)和判斷，嫩構(gòu)進(jìn)行單向攔截（即防火墻的內(nèi)部用戶可以對(duì)外訪問，而外部的非法訪問將被攔截）。 禁止區(qū)的公開服務(wù)器訪問內(nèi)部網(wǎng)絡(luò)； 透明代理內(nèi)含用戶口令認(rèn)證，并設(shè)置其訪問權(quán)限； 設(shè)置防黑客或入侵監(jiān)測(cè)的范圍，實(shí)行實(shí)時(shí)入侵監(jiān)測(cè)；7. 成功案例7.1. 天網(wǎng)防火墻典型用戶名錄l 中央電視臺(tái)網(wǎng)絡(luò)安全改造工程l 人民日?qǐng)?bào)網(wǎng)絡(luò)安全改造工程l 南方航空公司網(wǎng)絡(luò)平臺(tái)安全改造計(jì)劃l 廣東省郵電管理局ww