药监局网络安全方案一期工程.doc

《药监局网络安全方案一期工程.doc》由会员分享，可在线阅读，更多相关《药监局网络安全方案一期工程.doc（49页珍藏版）》请在咨信网上搜索。

1、药监局网络安全方案（一期工程）药监局网络安全方案（一期工程）11.背景介绍31.1.项目总述31.2.网络环境总述31.3.信息安全方案的组成31.3.1.信息安全产品的选型原则31.3.2.网络安全现状51.3.3.典型的黑客袭击51.3.4.网络与信息安全平台的任务71.3.5.网络安全解决方案的组成71.3.6.超高安全规定下的网络保护92.安全架构分析与设计112.1.网络整体结构112.2.集中管理和分级管理122.3.药监局一期网络安全系统管理中心网络132.4.各省局的安全网络143.可扩充性分析153.1.扩充后的中央总局网络中心153.2.扩充后的省局网络164.产品选型17

2、4.1.防火墙与入侵检测的选型174.1.1.方正数码公司简介174.1.2.产品概述184.1.3.系统特点194.1.4.方正方御防火墙功能说明235.工程实行方案315.1.测试及验收315.1.1.测试及验收描述315.2.系统初验315.2.1.功能测试315.2.2.性能测试326.售后服务和技术支持326.1.售后服务内容326.2.保修346.3.保修方式346.4.保修范围346.5.保修期的确认356.6.培训安排356.7.全国服务网络366.8.场地及环境准备376.8.1.常规规定376.8.2.机房电源、地线及同步规定376.8.3.设备场地、通信376.8.4.机

3、房环境386.9.验收清单396.9.1.设备开箱验收清单396.9.2.用户信息清单406.9.3.用户验收清单417.方案整体优势418.方正方御防火墙荣誉证书421. 背景介绍1.1. 项目总述目前，国家药品监督管理局和各省局（共47个）已建成或正在建设自己的局域网络，并将通过专网平台实现互联互通，形成一个与Internet物理隔离的内部网络环境。各单位办公自动化的应用参差不齐，应用系统及其平台各自有别。应用局限于内部办公，各单位之间的公务互换。药监局网络安全一期项目建设目的是运用专用网络平台建立总局和各省局的连接平台，实现电子公文“快速、准确、全面、可靠、安全”的收集、传输、汇总、分析

4、功能。1.2. 网络环境总述药监局一期网络安全系统是非涉密的内部业务工作解决网络，传输、解决、查询工作中非涉密的信息。该网由与政府有行文关系的各省近47个单位组成。在给地方局域网出入口安装防火墙，关键部位需要双机热备。这些防火墙需要集中在总局数据中心进行管理和审计。1.3. 信息安全方案的组成1.3.1. 信息安全产品的选型原则药监局一期网络安全系统是一个规定高可靠性和安全性的网络系统，若干重要的公文信息在网络传输过程中不可泄露，假如数据被黑客修改或者删除，那么就会严重的影响政府的工作。所以，药监局一期网络安全系统安全产品的选型事关重大，要提到国家战略的高度来衡量，否则一旦被黑客或者敌国攻入，

5、其代价将是不能想象的。药监局一期网络安全系统网络安全系统方案必须遵循如下原则： 全局性原则：安全威胁来自最薄弱的环节，必须从全局出发规划安全系统。药监局一期网络安全系统安全体系，遵循中心统一规划，各省局分别实行的原则。 综合性原则：网络安全不单靠技术措施，必须结合管理，当前我国发生的网络安全问题中，管理问题占相称大的比例，在各地方建立网络安全设施体系的同时必须建立相应的制度和管理体系。 均衡性原则：安全措施的实行必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。 节约性原则：整体方案的设计应当尽也许的不改变本来网络的设备和环境，以免资源的浪费和反复投资。 集中性原则：所

6、有的防火墙产品规定在数据中心可以进行集中管理，这样才干保证在数据中心的服务器上可以掌握全局。 角色化原则：防火墙产品在管理上面不仅在数据中心可以完全控制外，在地方还需要分派适当的角色使地方可以在自己的权利下修改和查看防火墙策略和审计。 可靠性原则：由于药监局一期网络安全系统传输的数据都是比较重要的公务数据，因此防火墙产品需要四证齐全，即公安部三所认证、国信安办认证、军队认证和国家保密局认证。同时防火墙产品还需要支持双机热备功能。 可扩充性原则：由于药监局一期网络安全系统建成以后还要二期和三期工程，因此方案中必须考虑到可扩充性，以免导致浪费。目前，很多公开的新闻表白美国国家安全局（NSA）有也许

7、在许多美国大软件公司的产品中安装“后门”，其中涉及一些应用广泛的操作系统。为此德国军方前些时候甚至规定在所有牵涉到机密的计算机里，不得使用美国的操作系统。作为信息安全的保障，我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品，将安全风险降至最低。在为各安全产品选型时，我们立足国内，同时保证所选产品的先进性及可靠性，并规定通过国家各重要安全测评认证。1.3.2. 网络安全现状Internet正在越来越多地融入到社会的各个方面。一方面，随着网络用户成分越来越多样化，出于各种目的的网络入侵和袭击越来越频繁；另一方面，随着Internet和以电子商务为代表的网络应用的日益发展，Inter

8、net越来越深地渗透到各行各业的关键要害领域。Internet的安全涉及其上的信息数据安全，日益成为与政府、军队、公司、个人的利益休戚相关的“大事情”。特别对于政府和军队而言，假如网络安全问题不能得到妥善的解决，将会对国家安全带来严重的威胁。2023年二月，在三天的时间里，黑客使美国数家顶级互联网站Yahoo!、Amazon、eBay、CNN陷入瘫痪，导致了十几亿美元的损失，令美国上下如临大敌。黑客使用了DDoS（分布式拒绝服务）的袭击手段，用大量无用信息阻塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的时间里，又先后有微软、ZDNet和E*TRADE等著名网站遭受袭击。国内网站也未

9、能幸免于难，新浪、当当书店、EC123等知名网站也先后受到黑客袭击。国内第一家大型网上连锁商城IT163网站3月6日开始运营，然而仅四天，该商城突遭网上黑客袭击，界面文献所有被删除，各种数据库遭到不同限度的破坏，致使网站无法运作。客观地说，没有任何一个网络可以免受安全的困扰，依据Financial Times曾做过的记录，平均每20秒钟就有一个网络遭到入侵。仅在美国，每年由于网络安全问题导致的经济损失就超过100亿美元。1.3.3. 典型的黑客袭击黑客们进行网络袭击的目的各种各样，有的是出于政治目的，有的是员工内部破坏，尚有的是出于好奇或者满足自己的虚荣心。随着Internet的高速发展，也出

10、现了有明确军事目的的军方黑客组织。在典型的网络袭击中，黑客一般会采用如下的环节：自我隐藏，黑客使用通过rsh或telnet在以前攻克的主机上跳转、通过错误配置的proxy主机跳转等各种技术来隐藏他们的IP地址，更高级一点的黑客，精通运用电话互换侵入主机。网络侦探和信息收集，在运用Internet开始对目的网络进行袭击前，典型的黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前一方面试图收集网络结构自身的信息。通过查看上面查询来的结果列表，通常很容易建立一个主机列表并且开始了解主机之间的联系。黑客在这个阶段使用一些简朴的命令来获得外部和内部主机的名称：例如，使用nslooku

11、p来执行 “ls ”， finger外部主机上的用户等。确认信任的网络组成，一般而言，网络中的主控主机都会受到良好的安全保护，黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始袭击的，一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通过检查运营nfsd或mountd的那些主机输出的NFS开始入侵，有时候一些重要目录（例如/etc，/home）能被一个信任主机mount。确认网络组成的弱点，假如一个黑客能建立你的外部和内部主机列表，他就可以用扫描程序（如ADMhack, mscan, nmap等）来扫描一些特定的远程弱点。启动扫描程序的主机系统管理员通常都不知道一个扫描器已

12、经在他的主机上运营，由于ps和netstat都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后，黑客就会对主机是否易受袭击或安全有一个对的的判断。有效运用网络组成的弱点，当黑客确认了一些被信任的外部主机，并且同时确认了一些在外部主机上的弱点，他们就要尝试攻克主机了。黑客将袭击一个被信任的外部主机，用它作为发动袭击内部网络的据点。要袭击大多数的网络组成，黑客就要使用程序来远程袭击在外部主机上运营的易受袭击服务程序，这样的例子涉及易受袭击的Sendmail,IMAP,POP3和诸如statd,mountd, pcnfsd 等RPC服务。获得对有弱点的网络组成的访问权，在攻克了一个服务程序后，黑客就要

13、开始清除他在记录文献中所留下的痕迹，然后留下作后门的二进制文献，使其以后可以不被发现地访问该主机。目前，黑客的重要袭击方式有：欺骗：通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使用，例如盗用拨号帐号。窃听：运用以太网广播的特性，使用监听程序来截获通过网络的数据包，对信息进行过滤和分析后得到有用的信息，例如使用sniffer程序窃听用户密码。数据窃取：在信息的共享和传递过程中，对信息进行非法的复制，例如，非法拷贝网站数据库内重要的商业信息，盗取网站用户的个人信息等。数据篡改：在信息的共享和传递过程中，对信息进行非法的修改，例如，删除系统内的重要文献，破坏网站数据库等。拒绝服务：使用

14、大量无意义的服务请求来占用系统的网络带宽、CPU解决能力和IO能力，导致系统瘫痪，无法对外提供服务。典型的例子就是2023年年初黑客对Yahoo等大型网站的袭击。黑客的袭击往往导致重要数据丢失、敏感信息被窃取、主机资源被运用和网络瘫痪等严重后果，假如是对军用和政府网络的袭击，还会对国家安全导致严重威胁。1.3.4. 网络与信息安全平台的任务网络与信息安全平台的任务就是创建一个完善的安全防护体系，对所有非法网络行为，如越权访问、病毒传播、恶意破坏等等，做到事前防止、事中报警并阻止，事后能有效的将系统恢复。在上文对黑客行为的描述中，我们可以看出，网络上任何一个安全漏洞都会给黑客以可乘之机。著名的木

15、桶原理（木桶的容量由其最短的木板决定）在网络安全里特别合用。所以，我们的方案必须是一个完整的网络安全解决方案，对网络安全的每一个环节，都要有仔细的考虑。1.3.5. 网络安全解决方案的组成针对前文对黑客入侵的过程的描述，为了更为有效的保证网络安全，方正数码提出了两个理念：立体安全防护体系和安全服务支持。一方面网络的安全决不仅仅是一个防火墙，它应是涉及入侵测检（IDS）、虚拟专用网（VPN）等功能在内的立体的安全防护体系；另一方面真正的网络安全一定要配备完善的高质量的安全维护服务，以使安全产品充足发挥出其真正的安全效力。一个好的网络安全解决方案应当由如下几个部分组成：l 防火墙：对网络袭击的阻隔

16、防火墙是保证网络安全的重要屏障。防火墙根据网络流的来源和访问的目的，对网络流进行限制，允许合法网络流，并严禁非法网络流。防火墙最大的意义在网络边界处提供统一的安全策略，有效的将复杂的网络安全问题简化，大大减少管理成本和潜在风险。在应用防火墙技术时，对的的划分网络边界和制定完善的安全策略是至关重要的。发展到今天，好的防火墙往往集成了其他一些安全功能。比如方正方御防火墙在很好的实现了防火墙功能的同时，也实现了下面所说的入侵检测功能；l 入侵检测（IDS）：对袭击试探的预警当黑客试探袭击时，大多采用一些已知的袭击方法来试探。网络安全漏洞扫描器是“先敌发现”，未雨绸缪。而从此外一个角度考虑问题，“实时

17、监测”，发现黑客袭击的企图，对于网络安全来说也是非常故意义的。甚至由此派生出了P2DR理论。入侵检测系统通过扫描网络流里的特性字段（网络入侵检测），或者探测系统的异常行为（主机入侵检测），来发现这类袭击的存在。一旦被发现，则报警并作出相应解决，同时可以根据预定的措施自动反映，比如暂时封掉发起该扫描的IP。需要注意的是，入侵检测系统目前不能，以后也很难，精确的发现黑客的袭击痕迹。事实上，黑客可以将一些广为人知的网络袭击进行一些较为复杂的变形，就能做到没有入侵检测系统可以辨认出来。所以，在应用入侵检测系统时，千万不要由于有了入侵检测系统，就不对系统中的安全隐患进行及时补救。l 安全审计管理安全审计

18、系统必须实时监测网络上和用户系统中发生的各类与安全有关的事件，如网络入侵、内部资料窃取、泄密行为、破坏行为、违规使用等，将这些情况真实记录，并能对于严重的违规行为进行阻断。安全审计系统所做的记录如同飞机上的黑匣子，在发生网络犯罪案件时可以提供宝贵的侦破和取证辅助数据，并具有防销毁和篡改的特性。安全审计跟踪机制的内容是在安全审计跟踪中记录有关安全的信息，而安全审计管理的内容是分析和报告从安全审计跟踪中得来的信息。安全审计跟踪将考虑要选择记录什么信息以及在什么条件下记录信息。收集审计跟踪的信息，通过列举被记录的安全事件的类别（例如对安全规定的明显违反或成功操作的完毕），能适应各种不同的需要。已知安

19、全审计的存在可对某些潜在的侵犯安全的袭击源起到威摄作用。l 虚拟专用网（VPN）：远程传输的安全VPN技术在把分散在各处的服务器群连成了一个整体，形成了一个虚拟的专用网络。通过VPN的加密通道，数据被加密后传输，保证了远程数据传输的安全性。使用VPN可以象管理本地服务器同样去安全的管理远程的服务器。VPN带来的最大好处是保证安全性的同时，复用物理信道，减少使用成本。l 防病毒以及特洛伊木马计算机病毒的危害不言而喻，计算机病毒发展到今天，已经和特洛伊木马结合起来，成为黑客的又一利器。微软的原码失窃案，据信，就是一黑客使用特洛伊木马所为。l 安全策略的实行保证网络安全知识的普及，网络安全策略的严格

20、执行，是网络安全最重要的保障。此外，信息备份是信息安全的最起码的规定。能减少恶意网络袭击或者意外灾害带来的破坏性损失。1.3.6. 超高安全规定下的网络保护对于药监局一期网络安全系统数据中心安全而言，安全性需求就更加的高，属于超高安全规定下的网络保护范围，因此需要在这些地方使用2台防火墙进行双机热备，以保证数据稳定传输。1.3.6.1. 认证与授权认证与授权是一切网络安全的根基所在，特别在网络安全管理、外部网络访问内部网络（涉及拨号）时，要有非常严格的认证与授权机制，防止黑客假冒身份渗透进内部网络。对于内部访问，也要有完善的网络行为审计记录和权限限定，防止由内部人员发起的袭击70%以上的袭击都

21、是内部人员发起的。我们建议药监局一期网络安全系统运用基于X.509证书的认证体系（目前最强的认证体系）来进行认证。方正方御防火墙管理也是用X.509证书进行认证的。1.1.1.1. 网络隔离网络安全界的一个玩笑就是：要想安全，就不要插上网线。这是一个简朴的原理：假如网络是隔离开的，那么网络袭击就失去了其存在的介质，皮之不存，毛将焉附。但对于需要和外界沟通的实际应用系统来说，完全的物理隔离是行不通的。方正数码提出了安全数据通道网络隔离解决方案，在网络连通条件下，通过破坏网络袭击得以进行的此外两个重要条件： 从外部网络向内部网络发起连接 将可执行指令传送到内部网络从而保证药监局一期网络安全系统的安

22、全。1.1.1.2. 实行保证药监局一期网络安全系统牵涉网点众多，网络结构复杂。要保护这样一个繁杂的网络系统的网络安全，必须有完善的管理保证。安全系统要可以提供统一的集中的灵活的管理机制，一方面要能让药监局一期网络安全系统网控中心的网管人员监控整体网络安全状况，此外一方面，要能让地方网管人员灵活解决具体事务。方正方御防火墙采用基于Windows GUI的用户界面进行远程集中式管理，配置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行集中式的管理。方正方御防火墙符合国家最新防火墙安全标准，采用了三级权限机制，分为管理员，策略员和审计员。管理员负责防火墙的开关及平常维护，策略员负

23、责配置防火墙的包过滤和入侵检测规则，审计员负责日记的管理和审计中的授权机制，这样他们共同地负责起一个安全的管理平台。事实上，方御防火墙是通过该标准认证的第一个包过滤防火墙。此外，方正方御防火墙还提供了原标准中没有强制执行的实行域分组授权机制，特别适合于药监局一期网络安全系统这样的大型网络。2. 安全架构分析与设计逻辑上，药监局一期网络安全系统将划分为两个区域：数据中心、局域网用户。其中每一个局域网节点划分为内部操作（控制）区、信息共享区两个网段，网段之间设立安全隔离区。每一个网段必须可以构成一个独立的、完整的、安全的、可靠的系统。2.1. 网络整体结构药监局一期网络安全系统需要涉及若干政府部门

24、，各地方的网络通过Frame Relay连接起来（一条ISDN作为备份线路）。网络整体结构如下图所示：2.2. 集中管理和分级管理由于药监局一期网络安全系统涉及的网络安全设备繁多，因此在管理上面需要既能集中管理，又可以在本地进行审计管理，日记查询等操作。而用户的权限机制分派必须通过网络管理中心统一分派和管理。需要集中管理的网络设备涉及防火墙设备。在药监局一期网络安全系统网络管理中心需要对各省局的网络安全设备进行集中管理。分析药监局一期网络安全系统的特点和需求，方正方御防火墙的集中管理功能和权限管理机制完全可以满足这些需求。方正方御防火墙采用基于Windows GUI的用户界面进行远程集中式管理

25、，配置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行集中式的管理。方正方御防火墙采用了三级权限机制，分为管理员，策略员和审计员。管理员负责防火墙的开关及平常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日记的管理和审计中的授权机制。这样他们共同的负责起一个安全的管理平台。药监局一期网络安全系统的集中管理图如下所示：2.3. 药监局一期网络安全系统管理中心网络药监局一期网络安全系统管理中心除了需要提供信息服务外，还需要对各区及委、办、局的网络设备进行集中管理，因此网络的安全性和可靠性特别的重要。内部区放置控制服务器、数据库服务器、文献服务器、Lotus服务器和系

26、统管理服务器等设备，公开信息区放置对外的信息发布系统，涉及WEB服务器、Mail服务器，FTP服务器等设备等。出于稳定性的考虑，防火墙使用双机热备的方式，以保证网络的不间断性。药监局一期网络安全系统管理中心网络图如下：2.4. 各省局的安全网络各省局的网络结构节点也同样划分为内部操作（控制）区、公开信息区两个网段。对于这些网络我们建议使用如下方案：3. 可扩充性分析由于本方案只考虑了药监局一期的网络安全系统，因此在设计的时候还需要考虑二期和三期工程的扩充性。一期工程将在各省局1516个点进行实行，因此二期和三期工程将完全实行全国47个点。我们建议在二期和三期工程中考虑布置入侵检测系统、防病毒系

27、统、VPN系统和进一步完善防火墙产品。3.1. 扩充后的中央总局网络中心二期和三期工程中中央总局网络需要布置上入侵检测系统，如下图所示：3.2. 扩充后的省局网络地方省局网络由于有连接到Internet部分，因此后期工程中必须考虑到这部分的安全，因此扩充后的省局网络如下所示：4. 产品选型4.1. 防火墙与入侵检测的选型我们采用方正最新型方正方御防火墙。方正方御防火墙是一个很优秀的防火墙，同时它集成强大的入侵检测功能。方正方御防火墙是国内第一个通过公安部公共信息网络安全监督局新防火墙认证标准的包过滤级防火墙产品，同时通过了中国人民解放军安全测评认证中心、中国国家信息安全测评认证中心和国家保密局

28、的严格认证。4.1.1. 方正数码公司简介作为方正集团互联网战略的实行者，方正数码将自身定位于电子商务的“赋能者”，其业务涉及互联网与电子商务的技术研究应用与系统集成、网络市场营销服务、空间信息应用、无线互联以及电子商务的征询服务等方向，以帮助政府、行业、公司、网站、电子商务的运营者在互联网时代健康成功的发展为己任。要给电子商务运营者赋能，先要给安全赋能。方正数码一方面推出的就是方正方御互联网安全解决方案。方正方御是在通过一年多的大量投入和进一步的研究后，提出的一套基于中国国情、所有自主开发、具有领先优势的解决方案。它是一套整体的集群平台，可以解决互联网运营商最为关切的安全性、高可靠性、可扩展

29、性和易于远程管理的问题。目前这套方案已经得到国家有关部门的大力支持，被国家经贸委列为国家创新计划项目之一。此外，还得到了国家”863”计划的支持。在立身自主开发外，方正数码还与众多国际知名的安全公司保持着良好的合作关系，并集成了国内外最优秀的公司安全产品，为国内Internet的安全建设保驾护航。4.1.2. 产品概述方御防火墙是方正方御中的重要安全产品之一。由于防火墙技术的针对性很强，它已成为实现网络安全的重要保障之一。方御防火墙是通过对国外防火墙产品的综合分析，针对我们国家的具体应用环境，结合国内外防火墙领域里的最新发展，在面向IDC和中小公司的FireBridge防火墙的基础上，提出的一

30、种具有强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用的安全可靠的专用防火墙系统。方正方御防火墙不仅仅是一个包过滤的防火墙，并且涉及了大量的实用模块，可认为用户提供多方面的服务。方御防火墙保护如下模块：4.1.3. 系统特点一体化的硬件设计方正方御防火墙采用了一体化的硬件设计，采用了自己的操作系统，无需其他操作系统的支持，这样可以发挥硬件的最大性能，同时也提高了系统的安全性。双机热备份通过双机热备份，本系统提供可靠的容错/热待机功能。备份防火墙服务器中存有主防火墙服务器的设立镜像，当主防火墙由于某些因素不能正常运作，备份服务器可以在12秒钟内取代主服务器运作，充足保

31、证整个网络系统运作的稳定性。完善的访问控制方正方御防火墙符合国家最新防火墙安全标准，采用了三级权限机制，分为管理员，策略员和审计员。管理员负责防火墙的开关及平常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日记的管理和审计中的授权机制。这样他们共同地负责起一个安全的管理平台。多种工作模式方正方御防火墙可以工作在网桥路由两种模式下，这样可以方便用户使用。使用在网桥模式时在IP层透明，使用路由模式时可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换。防御DOS，DDOS袭击普通的防火墙都是采用限制每一网络地址单位时间内通过的SYN包数量来抵御DDOS袭击，但是

32、通常网络袭击者都会随机的伪造网络地址，因此这种方法防范的效果非常差，不能从主线上抵御DDOS袭击。方正方御防火墙修改了TCP/IP堆栈的算法，使得新的syn连接包可以正常通过，避免了由于大量的袭击SYN包导致网络的阻塞。状态检测方正方御防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是根据规则表进行匹配，而方正方御防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合来对网络状态进行控制。代理服务用户可以设立代理服务器端口来启动代理服务器功能，并且通过设立使用代理服务器用户帐号密码和访问控制来维护安全性。代理服

33、务的访问控制非常的完善，可以对时间、协议、方法、地址、DNS域、目的端口和URL来进行控制。用户完全可以通过设立一定的条件来符合自己的规定。双向网络地址转换系统支持动态、静态、双向的NAT。当用户需要从内部IP访问Internet时，NAT系统会从IP池里取出一个合法的Internet IP，为该用户建立映射。假如需要在Intranet提供让外部访问的服务（如WWW、FTP等），NAT系统可认为Intranet里的服务器建立静态映射，外部用户可以直接访问该服务器。双向网络地址转换为公司用户连接到Internet提供了良好的网络地址隐蔽，并且能减少IP占用，替用户节省费用。提供DMZ区除了内部网

34、络界面和外部网络界面，系统还可以再增长一个网络界面，让管理员灵活应用。如建立DMZ（军事独立区），在其中放置公共应用服务器。带宽管理和流量记录方正方御防火墙系统使用流量记录与控制策略，可方便的根据网段和主机等对流量进行记录与控制管理。用户可以通过设立源地址到目的地址单位在时间内允许通过的流量以及协议和端口来进行带宽控制。日记审计审计功能是方正方御防火墙非常强大的一个部分，目前国内防火墙的审计功能都非常不完善，方正方御防火墙提供了大量的审计内容和对审计内容的查询功能，由于日记也许对一般用户比较难以理解，而我们将日记记录提成了若干部分，而其中每一部分都可以进行查询和管理，这样用户就能对防火墙的情况

35、有一个非常透彻的了解。入侵检测方正方御防火墙入侵检测系统采用了可扩展的检测库方法，目前可以抵御1000多种袭击方法，并且可以通过升级检测库的方法来不断的抵御新的袭击方法。用户还可以自定义袭击检测库来符合自己的规定。自动报警和防范系统方正方御防火墙一旦检测到有黑客进行袭击，会在第一时间内在控制机上进行报警，并且同时会自动封禁掉袭击者的IP地址，这样可以做到防火墙的防范完全自动化，而不象普通的防火墙那样需要人工干预。基于PKI的授权认证方正方御防火墙的授权认证是基于PKI基础之上，因此完全性极高。PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略

36、等基本成分共同组成的。快速安装配置方正方御防火墙的安装和配置非常方便，管理员只要设定好网络设备的IP地址，然后使用系统提供的一些典型配置模板，适当的修改一些规则来符合规定。除此以外还可以添加系统提供的一些子模板来实现一些特定的功能。图形管理界面用户可以通过图形界面对防火墙进行配置和管理。并且也可以通过图形界面来管理审计内容，而不象有些防火墙是通过命令行方式进行配置。完全中国化的设计方正方御防火墙是由方正数码自行设计和制作的，充足考虑了中国国情，除了界面、帮助文档、使用说明完全中文化外，还加入了一些小型模板用户给管理员配置防火墙。集中管理方正方御防火墙采用基于Windows GUI的用户界面进行

37、远程集中式管理，配置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行集中式的管理。4.1.4. 方正方御防火墙功能说明4.1.4.1. 多种工作模式方正方御防火墙可以工作在网桥和路由两种模式下：A：网桥模式：3个端口构成一个以太网互换机，防火墙自身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一个互通的物理网络。当防火墙工作在互换模式时，内网、DMZ区和路由器的内部端口构成一个统一的互换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设立。B： 路由模式：防火墙自身构成3个网络间的路由器，3个界面分

38、别具有不同的IP地址。三个网络中的主机通过该路由进行通信。当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都可以使用保存地址，内网用户通过地址转换访问Internet，同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。在没有安装方正方御防火墙的时候典型网络结构图如下:在安装了方正方御防火墙的时候网络结构图如下:4.1.4.2. 包过滤防火墙方正方御防火墙包过滤的功能是对指定IP包进行包过滤，并且按照设定策略对IP包进行记录和日记记录，重要根据IP包的如下信息进行过滤：l 源IP地

39、址l 目的IP地址l 协议类型（IP、ICMP、TCP、UDP）l 源TCP/UDP端口l 目的TCP/UDP端口l ICMP报文类型域和代码域l 碎片包l 其它标志位，如SYN，ACK位4.1.4.2.1. 高效的过滤有些防火墙在安装上以后对WEB服务器的吞吐能力影响很大，导致性能的减少。由于方正方御防火墙采用了3I（Intelligent IP Identifying）技术，可以实现快速匹配。因此方正方御防火墙不会对性能导致任何影响。方正方御防火墙优化了算法，使最大并发连接数可以达成300,000个以上，而一般的防火墙的最大并发连接只可以达成几万个左右。4.1.4.2.2. 碎片解决功能由

40、于很多系统平台，涉及一些路由器对IP碎片的解决存在问题，容易产生欺骗和拒绝服务等袭击，方正方御防火墙可以辨认出IP碎片并且进行控制，这样一来通过严禁IP碎片通过方正方御防火墙，防止了这样的问题的产生。4.1.4.2.3. 防SYN Flood袭击一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，由于他们只有有限的内存缓冲区用于创建连接，假如这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。典型的就是Syn Flood袭击,通过大量的虚假的Syn包使服务器速度变慢，甚至是死机。一般的防火墙是通过限制每秒钟通过的Syn包数量来组织

41、Syn Flood袭击，这种方法可以在一定意义上阻止Syn Flood袭击，但是也有也许将正常的Syn包忽略掉，因此不是一种非常好的方法。1：没有安装方御防火墙2：安装方御防火墙方正方御防火墙使用了两种方式来反Syn Flood袭击，一种方法就是通过设立单位时间内的SYN包数量来控制，此外一种方法修改了TCP/IP堆栈的算法，使得新Syn包始终可以获得连接位。避免了由于大量的袭击SYN包导致网络的阻塞。4.1.4.2.4. 强大的状态检测功能方正方御防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配，

42、而方正方御防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合，在继承了传统包过滤系统相应用透明的特性外，还极大地提高了系统的性能和安全性。其他的防火墙大多采用传统的规则表的匹配方法，随着安全规则的增长，势必会使防火墙的性能大幅度的减少，导致网络拥塞。4.1.4.3. IDS(入侵检测系统)4.1.4.3.1. 反端口扫描一般黑客假如要对一个网站发动袭击，一方面都要扫描目的服务器的端口，拟定服务器上启动的服务，然后做出相应的入侵方式。 方正方御防火墙入侵检测系统可以在黑客扫描网站的时候就能检测到并报警，这样就能提前将黑客拒之于门外。方正方御防火墙入侵检测系统在检测到有黑客扫描服务器端口

43、的时候会立即在袭击者的视野中消失，从而使黑客无法进行后面的袭击。方正方御防火墙入侵检测系统根据配置文献监控任何和TCP、UDP端口的连接。 可以对所有端口同时进行监控，同时也可以忽略指定的端口。这样就能满足不同的需求方式。4.1.4.3.2. 可以防范1500余种袭击方式1. 检测多种DoS袭击2. 检测多种DDoS袭击3. 检测保护子网中是否存在后门和木马程序4. 检测多种针对Finger服务的袭击5. 检测多种针对FTP服务的袭击6. 检测基于NetBIOS的袭击7. 检测缓冲区溢出类型袭击8. 检测基于RPC的袭击9. 检测基于SMTP的袭击10. 检测基于Telnet的袭击11. 检测

44、网络上传输的病毒和蠕虫12. 检测CGI袭击13. 检测针对WEB Server的FrontPage扩展进行的袭击14. 检测针对WEB Server的ColdFusion扩展进行的袭击15. 检测针对 MicroSoft IIS server进行的袭击16. 检测运用ICMP进行的扫描和袭击。17. 检测运用Traceroute对网络的探测18. 检测ActiveX，JaveApplet的传输19. 检测对其他也许的网络服务进行的袭击4.1.4.3.3. 在线升级和实时报警由于入侵检测系统的库文献是需要不断的更新，因此方正方御防火墙提供了非常方便的升级接口，可以通过我们的网站进行在线升级，并

45、且我们提供了非常方便的用户升级界面，使升级工作可以非常方便的完毕。报警是否可以及时是衡量一个入侵检测系统的重要因素之一，假如在黑客刚刚进行袭击的时候就可以做出响应，那么管理员会有足够的时间进行防护。 方正方御防火墙的报警系统和入侵检测系统的协调工作几乎是一致的，一旦入侵检测系统检测到袭击，报警系统会立即做出反映，通过Email或手机告知管理员。同时会启动自动防范系统进行防范。4.1.4.3.4. 入侵检测和防火墙的互动通过通信行为跟踪，防火墙可以检测到对网络的多种扫描，检测到对网络的袭击行为，并可以对袭击行为进行响应，涉及自动防范及用户自定义安全响应策略等。4.1.4.4. 双机热备方正方御防

46、火墙系统可以在网络中智能地寻找与其对等的备份机，并且使备份机自动进入等待状态，而一旦备份机发现主工作机失效，可及时自动启动，防止网络中断事故的发生。 其智能辨认技术甚至可以支持多于两台以上的方正方御防火墙在网络上互为备份，合用于对可靠性规定极高的场合。4.1.4.5. 强大的审计功能审计功能是方正方御防火墙非常强大的一个部分，目前国内防火墙的审计功能都非常不完善，方正方御防火墙提供了大量的审计内容和对审计内容的查询功能，由于日记也许对一般用户比较难以理解，而我们将日记记录提成了若干部分，并且就每一个部分都是可以进行查询和管理的，这样一来就可以使用户对防火墙的情况有一个非常透彻的了解。方正方御防

47、火墙中审计功能有着非常完善的权限管理，有专门的审计员来对审计内容进行管理，在审计中又提成了若干级别的权限。这样可以方便管理员管理审计内容。4.1.4.6. 基于PKI的高级授权认证PKI（Public Key Infrastructure）是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是运用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是运用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。网络，特别是Internet网络的安全应用已经离不开 PKI技术的支持。网络应用中的机密性、真实性、完整性、不可否认性和存取控制等安全需 求只有PKI技术才干满足。PKI在国外已经开始实际应用。在美国，随着电 子商务的日益兴旺，电子署名、数字证书已经在实际中得到了一定限度的应用，就连某些国家都已经开始接受电子署名的档案。方正方御防火墙的授权认证是基于PKI基础之上，因