基于同构多处理机架构的高性能多功能安全网关产业化项目资金申请报告.doc

基于同构多处理机架构的高性能多功能安全网关产业化资金申请报告 信息安全专项产业化项目 资金申请报告 项目名称：基于同构多处理机架构的高 性能多功能安全网关产业化 109 目 录 2005年信息安全专项产业化项目 I 资金申请报告 I 第1章 项目概述 6 1.1 项目名称 6 1.2 项目承担单位及负责人 6 1.3 建设目标、规模、内容、周期 7 1.4 建设地点 7 1.5 总投资及来源 8 1.6 拟申请国家专项资金 8 1.7 主要技术经济指标 8 1.8 报告编写依据 9 第2章 项目的意义和必要性 9 2.1 项目背景 9 2.2 国内外现状和发展趋势 9 2.3 产业关联度分析 9 2.4 项目建设必要性 9 2.5 项目建设可行性 9 第3章 项目的技术基础 9 3.1 项目的技术基础 9 3.2 成果来源及知识产权情况 9 3.3 项目主要安全技术简介 9 3.4 已完成的研究开发工作及中试情况 9 3.5 技术及产品优势 9 第4章 项目法人单位情况 9 4.1 项目申报单位简介 9 4.2 实施本项目的优势 9 第5章 市场分析 9 5.1 市场前景 9 5.2 目标市场分析 9 5.3 营销策略 9 5.4 销售网络分布 9 5.5 市场风险及对策 9 第6章 建设方案 9 6.1 建设目标、规模、内容、周期 9 6.2 建设思路及建设原则 9 6.3 技术方案 9 6.4 产品方案 9 6.5 建设场地方案 9 6.6 环境技术改造与生产线建设 9 6.7 设备方案 9 第7章 项目实施组织计划 9 7.1 项目组织机构及管理实施 9 7.2 劳动定员 9 7.3 认证计划 9 7.4 人员培训 9 7.5 项目计划进度安排 9 第8章 原材料及外部配套情况 9 8.1 产品元部件构成及外部配套 9 主要元部件清单 9 8.2 9 第9章 环保、节能、消防和职业安全卫生 9 9.1 环境保护 9 9.2 消防 9 9.3 职业安全卫生 9 9.4 节能 9 第10章 投资估算及资金筹措 9 10.1 投资估算依据及有关说明 9 10.2 投资估算结果 9 10.3 资金筹措方案 9 第11章 概算和经济评价 9 11.1 经济评价基础数据及参数 9 11.2 产品销售收入测算 9 11.3 成本费用测算 9 11.4 税金测算 9 11.5 利润估算 9 11.6 项目主要财务评价指标 9 11.7 不确定性分析 9 第12章 社会效益分析 9 12.1 填补国内技术空白 9 12.2 降低社会使用成本 9 12.3 促进行业技术创新和产品创新 9 12.4 培养了一批信息安全研发人才 9 12.5 节省了大量外汇 9 12.6 提高国家信息安全水平 9 第13章 项目风险分析 9 13.1 政策风险 9 13.2 经营风险 9 13.3 技术风险 9 13.4 人才风险 9 第14章 结论 9 附表 9 （1） 总投资估算表 （2） 销售收入、销售税金及附加估算表 （3） 总成本费用估算表 （4） 固定资产折旧及无形资产、递延资产摊销估算表 （5） 利润表 （6） 资金来源与运用表 （7） 财务现金流量表(全部投资) （8） 流动资金估算表 附件 9 （1） 信息安全项目及承担单位基本情况简表 （2） 企业法人营业执照 （3） 企业近三年财务报表 （4） 高新技术企业证书 （5） ISO9000质量体系证书 （6） CMM评估证书 （7） 进出口许可证 （8） 专利授权证书 （9） “无源以太网数据侦听器”专利证书 （10） “无源以太网数据侦听响应器”专利证书 （11） “一种IP网络的组播传输方法”专利申请 （12） “基于应用协议检测引擎的网络入侵检测系统和方法”专利申请 （13） “一种针对分布式拒绝服务攻击的防范系统和方法”专利申请 （14） “一种基于自适应缓存机制实现快速网络报文分发的方法”专利申请 （15） “计算机犯罪侦查技术研究”国家科技攻关计划课题任务书 （16） “方正鲨鱼群网站集群平台”xxx市国家重点技术创新项目合同书 （17） “行业网络安全解决方案”获得首届中国信息化优秀解决方案奖 （18） 国家保密局“方御FireGate防火墙”科学技术成果鉴定证书 （19） 国家信息安全认证产品证书 （20） 军用信息安全产品认证证书 （21） “方正方御1000 M防火墙－FG1000M”认证证书 （22） “方正方御安全评估1.0”认证证书 （23） “方正方御入侵检测1.0”认证证书 （24） “方御防火墙”塞迪评测2002年度精品奖 （25） “方御防火墙”塞迪评测技术创新奖 （26） 公安部“计算机信息系统安全专用产品”销售许可证 （27） “方御防火墙”计算机用户协会信息安全分会“用户推荐产品” （28） 中国计算机报百兆防火墙2003年度编辑选择奖 （29） “网络测评系统”2002年度国家重点新产品证书 第1章 项目概述 1.1 项目名称 基于同构多处理机架构的高性能多功能安全网关产业化。 1.2 项目承担单位及负责人 1.2.1 项目承担单位 本项目由xxx集团公司和xxx大学计算机科学技术研究所联合承担。 单位名称 xxx大学计算机科学技术研究所 通信地址 xxx市xxx区xxx 邮政编码 xxxxxxxxx 法人代表 xxx 联 系 人 xxx 联系方式 电话： xxx 传真： xxx 单位名称 xxx集团公司 通信地址 xxx市xxx区xxx 邮政编码 100871 法人代表 xxx 联 系 人 xxx 联系方式 电话：xxx 传真：xxx 1.2.2 项目负责人 xxx，xxx大学计算机科学技术研究所副所长。 1.3 建设目标、规模、内容、周期 1.3.1 建设目标 充分发挥项目承担单位产学研一体化的优势，开发和完善拥有完全自主知识产权的高性能多功能网关系列产品，实现该系列产品的规模生产，将技术优势迅速转化为产品优势和市场优势，建成一个现代化的网络安全产业化基地，实现180台的年产销规模。 1.3.2 建设内容 在现有基础上，增加高性能多功能安全网关研发测试设备，完善研发测试环境； 建立一支高水平的、稳定的高性能多功能安全网关研发队伍和一套科学的研发管理体系，为企业的技术创新提供良好的物质基础和体制保障； 在现有产品基础上，开发面向应用的新的功能，增强产品的稳定性，降低产品成本； 增添必要的生产测试设备，充分利用现有的生产条件，改建高性能多功能安全网关系列产品生产线； 抓住市场机遇，完善市场销售体系，实现高性能多功能安全网关的批量产销。 1.3.3 建设规模 项目建成后可实现年产高性能多功能安全网关系列产品180台。 1.3.4 建设周期 项目建设期为2年。从2005年8月开始建设，2007年8月建成。 1.4 建设地点 产品研发地点：xxx市xxx区xxx方正大厦 产品中试和生产地点：广东省东莞市石龙镇新城市中心正龙科技园 1.5 总投资及来源 1.5.1 总投资 本项目总投资为5014.7万元，其中建设投资4189.0万元人民币（固定资产投资1609.0万元人民币，无形及递延资产投资2580.0万元人民币）；铺底流动资金616.2万元人民币，不可预见费用209.5万元人民币。 1.5.2 资金来源 项目计划总投资5014.7万元人民币，其中：企业自筹资金4264.7万元，申请国家专项资金750万元。 1.6 拟申请国家专项资金 项目拟申请国家专项资金750万元。 1.7 主要技术经济指标 1.7.1 全投资主要评价指标 1.7.1.1 税前 （1） 财务内部收益率FIRR (12%) =68.0％ （2） 财务净现值（Ic=12%）=15530万元 （3） 投资回收期 =2.91年（含建设期，经营期开始销售） 1.7.1.2 税后 （1） 财务内部收益率FIRR (12%) ＝46.1％ （2） 财务净现值（Ic=12%）＝9239万元 （3） 投资回收期 ＝3.6年（含建设期，从建设期第二年起开始销售） 1.7.2 静态指标 （1） 投资利润率：49.2% （2） 资本金利润率：49.2％ 1.8 报告编写依据 本项目初步设计编制的主要依据如下： （1） 《国家发展改革委办公厅关于组织实施2005年信息安全专项产业化有关事项的通知》（发改办高技[2005]270号）（2005年2月8日） （2） 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发(2003]27号) （3） 国家发展计划委员会、财政部 《国家高技术产业升级发展项目建议书和可行性研究报告编制要点》（2001年11月） （4） 国家发展和改革委员会、科学技术部、商务部《当前优先发展的高技术产业化重点领域指南（2004年度）》 （5） 国家计委、财政部《关于组织国家高技术产业发展项目计划实施意见》（2001年11月） （6） xxx市发展计划委员会/xxx市科学技术委员会《xxx市当前优先发展的高技术产业升级重点领域指南（2003－2004年度）》（2002年12月） （7） 国家发展计划委员会、建设部《建设项目经济评价方法与参数》； （8） 《中华人民共和国计算机信息系统安全保护条例》（中华人民共和国国务院令[第１４７号]） （9） 《计算机信息系统安全专用产品检测和销售许可证管理办法》1997年6月28日公安部部长办公会议通过1997年12月12日施行中华人民共和国公安部令第32号发布) （10） 《信息安全产品 网络代理服务器的安全技术要求》GB/T17900-1999 （11） 《信息安全产品 路由器安全技术要求》GB/T 18018-1999 （12） 《信息安全产品 信息技术包过滤防火墙安全技术要求》GB/T18019-1999 （13） 《信息安全产品 信息技术应用级防火墙安全技术要求》GB/T18020-1999 （14） 《信息安全产品 计算机病毒防治产品评级准则》GA243-2000 （15） 信息产业部《防火墙设备技术要求》YD/T1132-2001 （16） DB31/T 272：计算机信息系统安全测评通用技术规范 （17） MSCTC-GFJ-06 信息技术信息过滤产品安全检验规范 （18） 项目承担单位提供的有关资料 第2章 项目的意义和必要性 2.1 项目背景 随着互联网的飞速发展，网络安全问题日益突出，网络区域(security zone)对边界控制和保护的要求不断增高，安全网关就是提供网络安全服务的一类网络安全专用设备。安全网关产品通常包括防火墙、VPN(虚拟专用网)网关、NIDS(网络入侵检测系统)和安全路由器等。一些基于高层网络协议的交换机和内容过滤设备，也都在一定程度上扮演着安全网关的角色。 最初的安全网关很自然地由附加在边界路由器上的简单ACL(进出控制表)构成。当时的ACL大多只是在3层网络协议(网络层，network layer)上根据来源地址和目的地址对途经边界的网络数据包(packet)加以转发或丢弃的处理，从而构成了网包过滤防火墙，在一定程度上保护不同网络区域或网段(network segment) 之间连接的安全性。经历了上个世纪90年代到现在的发展，安全网关技术目前发展成熟适应从十兆(10Mbps) 向百兆(100Mbps)迅速升级，千兆(1 Gbps)需求开始形成规模应用的局面，形成的产品形态也有防火墙、VPN网关、IDS等产品。 随着网络带宽的迅速增加和网络应用的日益丰富，对现有安全网关技术提出严峻挑战。一方面千兆网络甚至万兆网络逐渐得到大规模使用，网络流量的增加和安全检查负荷的加重，安全网关始终是高速网络中的瓶颈，滞后于高端路由器、交换机的性能水平。另一方面，网络攻击方式也越来越复杂，网络入侵行为、病毒破坏、垃圾邮件以及混合式攻击成为网络安全最为突出的问题，安全网络不仅要对OSI 3层网络数据包进行检查，而且要对4-7层数据进行安全检查，大大加重了安全网关的负载。 目前为解决多种多样的网络安全问题，传统的技术手段采用“一对一”方式。例如访问控制用防火墙、入侵检测用IDS、防病毒网关等等，导致网络安全解决方案被割裂成若干个孤岛，增加网络管理的复杂性，甚至导致用户没办法协同管理若干个设备，并不能有效的防范网络安全和应急响应。 针对混合攻击和多层次安全的高性能多功能安全网关逐渐成为网络边界安全技术的一大发展趋势。多功能安全网关将防火墙、IDS、VPN、防DDoS、内容过滤、防病毒、防蠕虫和防垃圾邮件等多种安全功能有效集成在单一平台上，综合解决不同网络层次的安全问题。以替代多个独立的网络安全设备，既简化了网络部署、降低了成本，又提高了网络安全等级和管理效率。 针对上述问题，xxx大学计算机科学技术研究所从2001年开始进行“高性能多功能安全网关”相关领域研究，解决在高负荷网络流量(Gbps/Tbps)环境下，具备防火墙、IDS、VPN、防DDoS、内容过滤、防病毒、防蠕虫和防垃圾邮件等综合安全功能的安全网关技术。2001年，在国内首先推出了集成防火墙、VPN、入侵检测、漏洞扫描等功能的多功能安全网关产品，并由此带动国内安全行业在多功能安全网关技术革新的趋势。2002年，在国内较早开始研究基于网络处理器(Network Processor)的高性能安全网关技术，技术指标已达到国际先进水平。2003年，研究针对网络安全处理的实时操作系统技术，在系统通讯，中断，存储管理，同步互斥等方面积累了丰富的设计经验。 2.2 国内外现状和发展趋势 从2002年开始，针对网络的安全威胁越来越多，单一功能产品不能满足需求，国内外开始推出一些多功能网关产品。但是大部分产品的集成度还不高，安全功能和处理带宽的可伸缩性考虑得不够，配置管理的灵活性和单点故障容错方面也还有待加强。尤为严重的是，随着网络流量的增加和安全工作负荷的加重，安全网关容易成为高速网络中的瓶颈，尤其在处理应用层安全功能时性能大幅下降，使得“All-in-One”(一体式安全)很难真正发挥作用 国外同类技术产品有：FortiNet、Symantec、Secure Computing、ServGate和NetScreen/Juniper等。其中FotiNet功能较全，包含防火墙、VPN、防病毒等功能；但主要针对百兆(100Mbps)网络环境，其性能不足以处理大流量网络数据，在高速网络中成为瓶颈。其他几家采用的是软件模块，或者仅集成1－2项功能。综上所述，能够集成多种安全功能，并具备高性能的安全网关设备，国外产品也在发展过程中。 国内同类技术有联想、安氏等产品，大都集成防火墙、VPN、入侵检测等1-2种功能。不具备防病毒、防垃圾邮件功能，不能全面防护各种安全威胁。同样它们也大都采用通用CPU架构，在高速网络环境下会成为网络瓶颈。 2.3 产业关联度分析 2.3.1 促进网络应用的发展 目前的网络安全设备由防火墙、反病毒软件、入侵检测、虚拟专用网、防拒绝服务攻击、内容过虑软件、防蠕虫、防垃圾邮件的多种安全工具构成，产品功能单一，购置成本高昂，配置、管理、维护、升级极其复杂，综合使用成本很高，很多单位由于没有相应的技术人员或无力承担多种安全工具的购置和使用费用，从而对重要的业务应用裹足不前。 xxx的高性能多功能安全网关产品具有多种安全功能，单一产品就能满足绝大部分客户的安全需要，购置使用成本相对较低，使用非常方便，该系列产品的产业必将极大地促进我国互联网应用发展。以电子商务、电子政务为代表的对安全性要求较高的网络应用将以此为契机迎来高速发展时期，应用的广度和深度都会极大的提高。 2.3.2 推动安全技术更新换代 安全网关是一类重要的网络产品，它的成功研制必将推动并行处理和高速交换技术、网络安全技术、网络管理技术、实时多任务操作系统技术等高新技术国产化的发展。项目承担单位开发和生产的高性能多功能安全网关系列产品更将有力的推动我国网络安全技术的进步与更新换代。 2.3.3 推动信息产业和网络经济的发展 安全问题和缺少服务质量（QoS）是基于TCP/IP协议的互联网最致命的两大缺陷，严重制约了互联网的发展和重要商业应用的开展。长期以来安全和性能更是一对难以协调的矛盾。 随着以高性能多功能安全网关的产业化和大面积应用，将从根本上优化互联网的应用环境，在各类基于互联网应用高速增长的同时，将带动互联网本身的建设，进而推动网络设备制造、电信业、互联网内容生产等相关信息产业的发展。 随着国际互联网的飞速发展，不仅带动了传统经济的发展，同时也形成了网络经济这一新兴的经济领域。向社会各行各业提供性能更好、价格更低、更为安全的国产网络安全产品，不仅能推动我国计算机网络的发展，同时也能推动网络经济的发展。 2.3.4 拉动传统产业的发展 作为网络建设主要设备的高性能多功能安全网关，特别是具有自主知识产权的安全产品将成为军队、国家保密部门等敏感部门网络建设的关键因素。信息技术对于传统工业而言具有倍增器和催化剂的作用，网络信息系统建设成功后往往推动该行业的其他技术进步，作为建网关键设备之一的安全网关的生产应被看作信息产业的基础工业。同时，由于安全网关技术牵涉到软硬件的设计、实验与实现，它涉及到微电子、软件等多种核心技术，覆盖了科研、加工与制造业等多个环节，对传统产业发展起到显著的拉动作用。 2.4 项目建设必要性 2.4.1 是解决日益严重的网络安全问题的需要 随着网络应用水平的提高，各种网络入侵、蠕虫病毒、垃圾邮件、DDos攻击等安全问题层出不穷。传统的安全技术仅针对一种或几种安全问题，迫切需要一种能对各种安全问题综合防范的设备，提高目前的网络安全防护水平。 2.4.2 是适应网络带宽高速增长的需要 安全网关在高速网络环境中成为网络瓶颈，影响到用户的正常网络使用。需要高性能的安全网关，不仅能够进行OSI2－7层网络数据包的安全检查，而且还具备高性能，保证网络通畅。 2.4.3 是网络应用进一步普及的需要 基于现有技术解决多种网络安全问题的方法是将多个不同功能安全网关罗列在网络边界上，这导致安全管理的复杂和成本高昂，安全设备的普及受到技术人员和资金的限制，进而影响到网络应用的开展。因此，网络应用要进一步普及，必须开发和生产能解决多种安全威胁的单一安全产品，真正做到简单易用、价格合理。 2.4.4 是提高我国信息安全水平的需要 相对于高速发展的信息产业，中国的信息安全产品和服务市场的发展却很滞后，自主版权的信息安全产品仅占市场份额的小部分。大量关键部门使用的信息安全产品还是国外技术，尤其是高端产品，留下了较多隐患。需要研究自主创新、具备国际先进水平的技术，打破国外高端产品的垄断，提高我国网络安全综合防护水平。 在上述背景下，研究具有自有核心技术、高性能多功能的安全网关具备较强迫切性，对提升国内网络安全综合防护水平有较好的促进作用。 2.5 项目建设可行性 2.5.1 国家高度重视为项目建设营造了良好的外部环境 2001年，国家自然科学基金委启动了“网络和信息安全”重大专项，其中网络安全设备的研制作为重点项目得到了重点支持。 2003年，国家信息化领导小组再《关于加强信息安全保障工作的意见》(中办发(2003]27号)中，明确提出“加强信息安全技术研究开发,推进信息安全产业发展”。 2005年2月，国家发展改革委办公厅发布了《关于组织实施2005年信息安全专项产业化有关事项的通知》（发改办高技[2005]270号），对符合条件的信息安全设备的产业化项目明确给予资金支持。 2.5.2 项目现有核心技术居国内领先地位 本项目的核心技术由xxx大学计算机科学技术研究所和xxx集团公司的科研小组研发，xxx大学计算机科学技术研究所和xxx集团公司拥有完全自主知识产权，其核心技术国际先进、国内领先，部分技术国际领先。 2.5.3 已初步具备产业化基础 项目承担单位具有较强的后续技术开发能力，具备丰富的项目建设经验和组织能力，企业经济效益良好，资产负债在合理范围；项目建设资金已经落实；项目建设方案经过了论证；产品研发、中试、生产的场地已经落实；主要原材料等外部配套条件已经落实；项目已经具备开工条件。总之，本项目的产业化基础已经具备。 2.5.4 市场前景广阔 以互联网为代表的网络建设方兴未艾，网络安全问题日益突出，网络安全需求空前高涨。 目前国内高性能多功能安全网关市场正处于上升期，应用的范围广泛，但需求机构的装备量很低，据估算我国安全网关目前市场需求约为3000台左右，预计将在未来5－10年内，这个需求将大幅增长，预计每年销售将达到10，000台以上。国际市场的需求保守估计将达到国内市场的10倍，预计在未来5至10年内，每年销售将达到100，000台以上，市场前景非常广阔。 第3章 项目的技术基础 3.1 项目的技术基础 本项目核心技术部分地继承了项目承担单位多年来在相关技术和产品的研发成果，其中技术渊源比较密切的技术主要有以下几个方面。 3.1.1 密码应用开发 （1） 研发标准化安全中间件，支持常用安全服务类型并具有可扩充性，为密码（安全）供应商的密码模块提供可替换的接口，为用户提供通用安全调用接口； （2） 研发高速、接口规范的密码卡； （3） 研发密码管理系统，解决内网与外网交互中信息控制问题； （4） 应用国家973工程项目研究成果“KDP（新型密钥分发协议）”，研发新型VPN（虚拟专用网络）系统。 3.1.2 网络攻防技术研究 （1） 基于具有自主知识产权的网安软硬件底层平台，研发入侵检测、网络监控、VPN、无线、网络测试等高速网安设备，以及针对下一代互联网（如IPv6、SIP等）的网络安全技术和相关设备； （2） 深入研究基本入侵检测、复杂入侵检测、入侵报警关联、漏洞扫描与修补、安全反应、攻防知识库建模与构建等技术，在基本入侵检测系统的基础上，构建一个完整的入侵检测体系，使其能够实时准确地给出当前的安全态势、攻击者的攻击场景，并能预测出攻击者的攻击意图和下一步规划。另外结合漏洞扫描和修补、安全反应等技术，构建一个完整的主动防御系统，并开发相应的产品； （3） 深入研究分布式拒绝服务攻击防范技术，研究源端、骨干网、受攻击端，自主式、协作式、资源耗尽型、带宽耗尽型等分布式拒绝服务攻击的防范方法，开发千兆网络下的下一代DDoS攻击防范技术和产品（SynGate）； （4） 研发成功安全邮件网关产品，实现实时的安全邮件过滤，支持多种附件和邮件格式。并对重点客户进行了上线，受到客户的极大好评。 （5） 研发完成防虫墙产品，能够防止和阻断蠕虫攻击，并对网络数据进行在线杀毒，是一个实时的安全病毒网关产品； （6） 研发成功基于网络处理器技术的高性能的千兆防火墙产品，完成实时网络操作系统的研究，掌握基于网络处理器技术的网络安全产品的软件框架设计，解决并行处理，操作系统间通讯，信号中断等多项软件设计开发课题。 3.1.3 计算机犯罪取证 （1） 将目前研制成功的计算机与网络犯罪证据固定与保全技术进行实用化，研究支持多平台/多介质/多接口的便携式取证技术，提高取证技术的易用性、适应性； （2） 开展计算机取证协议与步骤的标准化研究； （3） 开展计算机犯罪证据的提取与分析技术研究，开发相应的实用化产品。 3.1.4 安全测试与评估 （1） 开发百万级IP和连接的骨干网网络流量（分布式）仿真和测试系统； （2） 研发流量分布、流向、协议组成等比例可调的网络仿真和测试技术； （3） 研发高精度网络仿真与测量技术，系统同步、流量发生的时间精度控制在100纳秒以内，允许针对不同的数据包或连接对设备功能/性能进行精确测量。 3.2 成果来源及知识产权情况 xxx大学计算机科学技术研究所曾经多次承担863计划课题、国家科技攻关计划课题、国家火炬计划课题等多种国家级信息安全研究课题，积累了大量的安全研究成果，培养了一大批安全研发人员。在此基础之上，xxx大学计算机科学技术研究所联合xxx集团公司共同研发了基于同构多处理架构的高性能多功能安全网关系列产品，项目的知识产权由xxx大学计算机科学技术研究所和xxx集团公司共同拥有。 3.3 项目主要安全技术简介 3.3.1 防火墙 3.3.1.1 防火墙的概念 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 3.3.1.2 防火墙的基本功能 （1） 防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，同时可以保护网络免受基于路由的攻击。 （2） 防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。 （3） 对网络存取和访问进行监控审计 防火墙记录下所有经过的访问这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 （4） 防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。 3.3.1.3 防火墙的种类 防火墙根据技术防范的方式和侧重点分为以下类型： （1） 分组过滤型防火墙 分组过滤或包过滤在网络层和传输层起作用。它根据分组包的源、宿地址，端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP、TCP或UDP包头。包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。 （2） 应用代理型防火墙 应用代理型防火墙也叫应用网关(Application Gateway)，是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。 （3） 多功能防火墙 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成多功能防火墙产品。这种结合通常是以下两种方案。 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。 屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。 3.3.1.4 防火墙的局限性 存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。 3.3.2 虚拟专用网络 3.3.2.1 虚拟专用网概念 虚拟专用网（Virtal Private Network，VPN）不是真正的专用网络，却能够实现专用网络的功能。虚拟专用网络是指依靠ISP（Internet服务提供商和其他NSP（网络服务提供商）在公共网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户自己制定一个最符合自己需求的网络。 VPN是在Internet上临时建立的安全专用虚拟网络，为用户节省了租用专线的费用。Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络，随着电子商务的蓬勃发展，基于Internet的商务活动就面临非善意的信息威胁和安全隐患，虚拟专用网技术是解决问题的关键。 3.3.2.2 VPN的功能与特点 （1） 安全保障 VPN应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。 （2） 服务质量保证（QoS） VPN网应当为企业数据提供不同等级的服务质量保证。对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。QoS通过流量预测与流量控制策略，可以按照优先级合理地分配带宽资源，实现带宽管理，使得各类数据能够被先后发送，并预防阻塞的发生。 （3） 可扩充性和灵活性 VPN必须能够支持通过Intranet和Ext ranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。 （4） 可管理性 VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。 3.3.2.3 VPN实现技术 由于传输的是私有信息，VPN用户对数据的安全性都比较关心。 目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & D ecryption）、密钥管理技术（K ey Management）、使用者与设备身份认证技术（Authentication）。 1）.隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。 2） 加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。 3）密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。 4）身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 3.3.3 拒绝服务式攻击 3.3.3.1 拒绝服务攻击概念 DoS的英文全称是Denial of Service，是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问，破坏组织的正常运行，最终它会使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务。　　 DDoS(分布式拒绝服务)，它的英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，来势迅猛的攻击令人难以防备，因此具有较大的破坏性。主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站点。 3.3.3.2 DoS 原理 DoS（Denial of Service）拒绝服务攻击广义上可以指任何导致你的服务器不能正常提供服务的攻击。 （1） 利用软件实现的缺陷 OOB攻击（常用工具winnuke），teardrop攻击（常用工具teardrop.c boink.c bonk.c），land攻击，IGMP碎片包攻击，jolt攻击，Cisco 2600路由器IOS version 12.0(10)远程拒绝服务攻击等等，这些攻击都是利用了被攻击软件的实现上的缺陷完成DoS攻击的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文，这些攻击通常都是致命的，一般都是一击致死，而且很多攻击是可以伪造源地址的，所以即使通过IDS或者别的sniffer软件记录到攻击报文也不能找到谁发动的攻击，而且此类型的攻击多是特定类型的几个报文，非常短暂的少量的报文，如果伪造源IP地址的话，使追查工作几乎是不可能。　 （2） 利用协议的漏洞 最经典的攻击是synflood攻击，它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端，服务器分配一定的资源给这里连接并返回SYN/ACK包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者之间的连接建立起来，并可以通过连接传送数据了。而攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。 由于TCP/IP协议相信报文的源地址，另一种攻击方式是反射拒绝服务攻击，另外可以利用还有广播地址，和组播协议辅助反射拒绝服务攻击效果更好。不过大多数路由器都禁止广播地址和组播协议的地址。 （3） 进行资源比拼 凭借着手中的资源丰富，发送大量的垃圾数据侵占完你的资源，导致DoS。比如，ICMP flood，mstream flood，Connection flood。为了获得比目标系统更多资源，通常攻击者会发动DDoS（Distributed Dos 分布式拒绝服务）攻击者控制多个攻击傀儡发动攻击，这样才能产生预期的效果。前两类攻