重慶住房基金管理中心安全系統(tǒng)方案.doc

重慶住房基金管理中心信息系統(tǒng)安全工程系統(tǒng)設計書二二二二年三月廣東省技術轉移中心廣州市眾達迅通技術有限公司地址：廣州市天河龍口中路173號華天國際廣場西苑10樓電話：(020-)38734097 傳真：(020-)87589782 Email: 目錄1.概述32.公司介紹43.信息安全技術介紹53.1.信息安全的定義53.2.安全的層次53.3.安全的目標53.4.系統(tǒng)的安全威脅53.5.網絡安全技術73.6.網絡隔離83.7.通信安全技術93.8.客戶機安全防護104.天網防火墻簡介114.1.什么叫防火墻?114.2.防火墻的用途114.3.天網防火墻的目標114.4.天網防火墻的特點114.4.1.強大的數(shù)據加密技術114.4.2.智能的內容過濾系統(tǒng)124.4.3.創(chuàng)新的體系結構144.5.其他特點145.需求分析156.方案設計166.1.總體設計166.2.方案說明167.成功案例187.1.天網防火墻典型用戶名錄187.2.天網防火墻成功案例選登197.2.1.中央電視臺網絡安全改造工程197.2.2.人民日報網絡安全工程197.2.3.南方航空公司網絡平臺安全改造計劃197.2.4.廣東省郵電管理局網絡工程197.2.5.廣州市電信局個人主頁項目197.2.6.珠海郵政局網上郵局工程.15 廣東省郵政局183網上支付系統(tǒng)191. 概述隨著網絡應用的日益廣泛，各種大型企業(yè)或單位也將通過網絡與用戶及其他相關行業(yè)系統(tǒng)之間進行交流，提供各種網上的信息服務，但這些網絡用戶中，不乏競爭對手和惡意破壞者，這些人可能會不斷地尋找系統(tǒng)內部網絡上的漏洞，企圖潛入內部網絡。一旦網絡被人攻破，機密的數(shù)據、資料可能會被盜取、網絡可能會被破壞，給系統(tǒng)帶來難以預測的損失。因此，防火墻便成為網絡安全必不可少的產品，天網防火墻在系統(tǒng)網絡與外部網絡用戶之間建起了一道安全的屏障，從而有效地抵御外來攻擊，防止不法分子的入侵。2. 公司介紹廣州市眾達迅通技術有限公司是一家集科研、生產、經營于一體的高科 技產業(yè)公司，隸屬于廣東省科委技術轉移中心，主要從事互聯(lián)網技術及網絡 產品的研究開發(fā)和生產，為全國的行業(yè)用戶和廣大的上網用戶提供網絡應用 的軟、硬件產品、解決方案以及全方位的專業(yè)技術服務。公司成立于1998年，以網絡安全產品“天網防火墻”聞名遐爾。“天網防火墻”是我國首個達到國際一流水平、獲得國家公安部、國家安全部認證的軟硬件一體化網絡安全產品，性能及技術指標達到甚至超過世界同類產品水平。公司還獨立開發(fā)出天網負載分擔服務器(SkyNet LB Server)、天網虛擬專網交換機 ( SkyNet VPN Switch)等網絡應用硬件系統(tǒng)。在開發(fā)出國內第一套擁有自主知識產權、基于Unix系統(tǒng)的Internet應用開發(fā)平臺的基礎上，陸續(xù)開發(fā)了人民日報網絡版新聞發(fā)布系統(tǒng)、天網實時聊天系統(tǒng)、天網虛擬主 機系統(tǒng)等一系列的網絡應用軟件產品。公司利用雄厚的技術力量、完善的研發(fā)系統(tǒng)，以及豐富的實踐經驗，為國內的用戶提供全面、高效的網絡安全服務，從而改善了國內高水平網絡安 全服務的相對空白的局面。公司的規(guī)模不斷擴大，目前已在南京等地設立了 分支機構，客戶遍布全國各地，為全國用戶的信息安全服務提供了重要的保障。作為一家網絡安全的專業(yè)公司，為中央電視臺、人民日報社、廣州視窗、 21CN、南方航空公司等大型單位的網絡安全建設提供了有力的支持，并獲得 普遍好評?！安粩鄤?chuàng)新，共同發(fā)展”。凝聚大批優(yōu)秀技術人才的廣州市眾達迅通技 術有限公司將以振興中華民族的IT業(yè)為己任，努力為中國的網絡發(fā)展及信息 安全建設做出貢獻！ 3. 信息安全技術介紹3.1. 信息安全的定義要做好網絡安全工作，首先要了解的是信息安全的定義，對信息系統(tǒng)安全，計算機安全的定義有多種：國際標準化委員會（ISO International Standards Organization）的定義是：“為數(shù)據處理系統(tǒng)和采取的技術的和管理的安全保護，保護計算機硬件、軟件、數(shù)據不因偶然的或惡意的原因而遭到破壞、更改、顯露?！泵绹鴩啦繃矣嬎銠C安全中心（NCSC DoD）的定義是：“要討論計算機安全首先必須討論對安全需求的陳述，。一般說來，安全的系統(tǒng)會利用一些專門的安全特性來控制對信息的訪問，只有經過適當授權的人，或者以這些人的名義進行的進程可以讀、寫、創(chuàng)建和刪除這些信息?！蔽覈膊坑嬎銠C管理監(jiān)察司的定義是： “計算機安全是指計算機資產安全，即計算機信息系統(tǒng)資源和信息資源不受自然和認為有害因素的威脅和危害”。3.2. 安全的層次網絡系統(tǒng)的安全包括如下兩個層次的含義：n 網絡系統(tǒng)的數(shù)據與信息的安全與保密 n 網絡系統(tǒng)自身的安全3.3. 安全的目標網絡系統(tǒng)安全的最終目標是要保證數(shù)據和信息的安全性。網絡自身的安全是為數(shù)據和信息安全服務的。網絡系統(tǒng)的安全性主要體現(xiàn)在以下幾個方面：n 機密性：防止數(shù)據被未經授權地泄露 n 數(shù)據完整性：防止未經授權地對數(shù)據進行修改或刪除 n 行為完整性：保證數(shù)據服務和控制的連續(xù)性3.4. 系統(tǒng)的安全威脅常見的安全危險是指通過技術手段對網絡系統(tǒng)進行攻，攻擊手法有一般性攻擊、滲透性攻擊與拒絕服務攻擊。一般性攻擊一般性攻擊主要利用用戶或管理人員的疏忽、利用網絡協(xié)議或主機操作系統(tǒng)的漏洞、利用共享傳輸通道的便利，對系統(tǒng)進行直接入侵的攻擊方法。下面是一些典型的攻擊方法：n 口令入侵搜集用戶帳戶資料； 如果能夠獲得口令文件，可對口令文件進行解密； 如果用戶的口令缺乏安全性，可能被輕易地被“字典攻擊”猜到用戶的口令； 如果入侵者可以獲得用戶的口令，則可以冒用此用戶的名義對系統(tǒng)進行進一步的破壞和攻擊。n 脆弱的基于主機認證機制在Internet和Intranet上廣泛使用的TCP/IP協(xié)議中，一些TCP和UDP服務采用的是基于主機認證方式，而非基于用戶認證的方式。入侵者可以利用這種脆弱的機制進行攻擊：IP Spoofing：攻擊者偵測出一臺被信任主機，在該主機停機（或遭到拒絕服務攻擊）之后，冒充該機?？梢允褂肐P源路由方法，假扮成被信任的主機，許多UNIX主機和路由器均設置成支持源路由封包。 信任主機的擴散攻擊：利用主機之間的信任關系，在攻破某一臺主機后，可以更加方便地攻擊和它有信任關系的主機。 n 協(xié)議攻擊Internet使用的通訊協(xié)議在設計時，并沒有充分考慮到網絡安全問題。而且TCP/IP協(xié)議是完全公開的，再加上很多UNIX系統(tǒng)的內部結構包括源代碼都公開，導致入侵者可以利用網絡和操作系統(tǒng)的漏洞進行攻擊。n 人為的配置失誤網絡和主機的安全設置都比較復雜，管理者很容易在配置中出現(xiàn)失誤。如果用戶沒有進行合適的配置，入侵者就可以輕易的進入。比如，缺省帳戶的口令沒有更改等等。如果系統(tǒng)管理人員沒有對網絡和操作系統(tǒng)的漏洞及時打補丁（patch）。入侵者就可以利用這些公開的漏洞，侵入系統(tǒng)。n 竊聽和監(jiān)視由于在網絡的共享信道上，用明文傳輸?shù)拿舾袛?shù)據，這些信息很可能被竊聽和監(jiān)視。一旦，入侵者監(jiān)聽到用戶傳輸?shù)目诹?，就可以入侵到系統(tǒng)中了。n 新的安全挑戰(zhàn)隨著Internet技術的急劇發(fā)展，如WWW、Java、ActiveX等技術的大量使用，新的安全問題也不斷涌現(xiàn)。一些新的服務未經過嚴格的安全測試就可能開始使用。象CERT、FIRST這樣的計算機安全緊急反映組織不斷發(fā)布新的攻擊事件和新的漏洞；各個主機和網絡廠商不斷公布自己的補丁；象2600這樣的的黑客組織和黑客站點不斷出現(xiàn)新的攻擊手法。所有這些，都對我們的安全工作提出了挑戰(zhàn)。滲透性攻擊滲透性攻擊一定要通過一些特殊的計算機程序，通過將這些程序象補丁（patch）一樣加載在主機上之后，通過程序自身去不斷獲得系統(tǒng)的控制權，達到破壞系統(tǒng)安全的目的。n 特洛伊木馬特洛伊木馬是這樣一種程序，它在正常功能的程序中，隱藏的了非授權的代碼。如果正常程序在系統(tǒng)中運行，那么非授權代碼（通常是惡意代碼）就獲得了與正常程序同樣的權限，進行破壞。n 計算機病毒網絡應用的普及，為病毒的傳播提供了方便的渠道。在越來越依賴網絡的今天，由于病毒導致的系統(tǒng)破壞將帶來巨大的損失。計算機病毒實際上是一種特殊的特洛伊木馬。計算機病毒是一段可執(zhí)行程序，它寄生在其他正常程序上。計算機病毒一般有兩個模塊：傳染模塊、破壞和表現(xiàn)模塊。計算機病毒具有如下一些特點：廣泛傳染性 潛伏性 可觸發(fā)性 破壞性 針對性 衍生性 攻擊迅速性 n 蠕蟲蠕蟲也是一種特洛伊木馬。蠕蟲有別于計算機病毒，它一般要寄生在計算機的操作系統(tǒng)中。它同病毒也有一些類似的地方，如：潛伏性、傳染性、破壞性等。從一般意義上說，病毒一般多出現(xiàn)在PC世界，而蠕蟲多出現(xiàn)在Unix世界。拒絕服務攻擊拒絕服務（denial-of-service）攻擊，是通過向攻擊目標施加超強力的服務要求，要求提供超出它服務能力范圍需求，從而引起的攻擊目標對正常服務的拒絕或服務性能大大降低。下面是一些著名的拒絕服務攻擊的例子：Ping of Death：給服務器發(fā)送異常的、巨大的用來進行ping操作的包。它可以導致WindowsNT系統(tǒng)出現(xiàn)藍屏故障，而且及其狀態(tài)無法恢復。 Syn-Flooder：向服務器申請一個連接，而在服務器回答后等待確認時，不進行確認。不斷進行這樣的操作，導致服務器的連接緩沖區(qū)溢出后服務停滯。 郵件炸彈E-mail Bomb：使得攻擊目標主機受到超量的電子郵件，使得主機無法承受導致郵件系統(tǒng)崩潰。3.5. 網絡安全技術計算機網絡安全技術的目的是保護以網絡為代表的系統(tǒng)資源不受攻擊影響、發(fā)現(xiàn)可疑的行為、對可能影響安全的事件作出反應。計算機安全技術主要包括加密技術與行動技術兩個方面。加密技術的主要目標是確保數(shù)據資源的機密性、完整性。行動技術的目的還包括維持并保護數(shù)據資源的安全可用性。根據在入侵行為與入侵目標關系中研究對象的不同，行動技術可分為主動與被動兩大類型：被動技術研究的是入侵中處于被動地位的入侵目標，它的目的是提高目標自身的防御能力，主要代表有： o隔離技術：把要保護的計算機系統(tǒng)與較危險的外界隔離開，只允許建立安全的連接；隔離技術的中心思想是在主機或網絡與外界連接之間增加檢查，拒絕接受可疑的連接請求。 o安全分析技術：掃描系統(tǒng)安全漏洞、模擬網絡攻擊，以檢查系統(tǒng)防御能力。 主動技術研究的對象是入侵行為，它嘗試使計算機系統(tǒng)對入侵行為做出主動積極的反應，代表是近年興起的入侵發(fā)現(xiàn)技術。3.6. 網絡隔離最常用的網絡隔離技術就是采用防火墻，防火墻可以有效地劃分網絡間不同的安全區(qū)域，界定不同用戶的訪問范圍。防火墻技術概述防火墻技術的目標是保護網絡的一段或整個內部網絡不受外界入侵影響。防火墻將安全管理“相對”寬松的“內網”與外部網絡隔離開來。防火墻由一組硬件和軟件的組成，用于檢查網絡通訊與服務請求流。它的目的是剔除通訊流中那些不符合安全標準的數(shù)據包或請求。防火墻通過包過濾、應用網關等技術，使用具有過濾功能的路由器和堡壘主機等設備，使所有涉及被保護網段的網絡通訊都經過防火墻過濾或轉接，對被保護網段實行訪問控制，把它和外界隔離開來，達到不受外界侵犯的目的。防火墻通常是防范入侵的第一道防線，但不同的產品對惡意攻擊的屏蔽程度不同，防火墻的設置也經常很復雜，設置不好的防火墻不能有效完成隔離功能，可能成為潛在的安全隱患。使用防火墻還必須保證它不能被訪問繞過。比如在防火墻內部私自連入 Modem, 使連接不經過防火墻的檢查，就會造成隔離的破壞。防火墻的優(yōu)勢保護脆弱的服務：通過過濾不安全的服務，防火墻可以極大地提高網絡安全和減少網中主機的風險。如，防火墻可以禁止NIS、NFS服務通過。防火墻同時可以拒絕源路由和ICMP重定向封包。 控制對系統(tǒng)的訪問：防火墻可以實現(xiàn)對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。如防火墻只允許外部訪問外部Web Server。 集中的安全管理和策略的制定：防火墻對企業(yè)內部網實現(xiàn)集中的安全管理，提供了制定和執(zhí)行網絡安全策略的手段。在防火墻定義的安全規(guī)則可以用于整個內部網絡系統(tǒng)，而無需在內部網每臺機器上分別設立安全策略。如防火墻可以定義不同的認證方法，而不需在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。 增強的保密性：使用防火墻可以阻止攻擊者獲取攻擊網絡系統(tǒng)的有用信息。 記錄和統(tǒng)計網絡利用數(shù)據以及非法使用數(shù)據：防火墻可以記錄和統(tǒng)計通過防火墻的網絡通訊，提供關于網絡使用的統(tǒng)計數(shù)據。并且可以根據統(tǒng)計數(shù)據來判斷可能攻擊和探測。 在網絡系統(tǒng)中的應用n ?；饏^(qū)在網絡系統(tǒng)的Intranet中設立一個DMZ（?；饏^(qū)）：或者稱作屏蔽子網。這個?；饏^(qū)將網上辦稅系統(tǒng)的內部局域網和Internet、撥號接入服務隔離開。內部網絡與?；饏^(qū)之間有防火墻來保證安全。在這里專門提供對外的公共服務，如外部WWW服務、外部DNS服務、撥號接入服務等。在DMZ的服務器可以使用在公網的IP地址，也可以通過防火墻的反向地址轉換功能使用私網IP地址。n 設置路由器的包過濾功能?；饏^(qū)和Internet之間通過路由器連接。在這個路由器合理地設置包過濾功能，將?；饏^(qū)不提供的服務包過濾掉。比如：可以過濾掉Internet流向停火區(qū)的telnet包、SNMP包等，避免網絡黑客利用這些協(xié)議進行攻擊。內網劃分了VLAN，有路由器負責內部VLAN之間的路由?？梢赃m當?shù)卦O置內部路由的包過濾功能，避免或減少內部黑客或已經侵入內部的黑客對其他為授權網絡的攻擊。n 內網和?；饏^(qū)之間的防火墻在網上辦稅系統(tǒng)中主要利用現(xiàn)有的防火墻提供強大的網絡安全服務，它在保證高級的安全性能的同時，提供了良好的吞吐性、靈活性和管理特性。防火墻對Intranet與Internet進行隔離，隔離的主要內容是內部網不應提供的服務、信息及傳輸通道。此外它在保證高級安全性能的同時，能夠提供良好的吞吐性、靈活性和管理特性。為了消除防火墻的單點故障，可以設計采用雙機熱備份的防火墻系統(tǒng)，兩臺防火墻一臺作為主防火墻，一臺作為從防火墻。正常工作時，運行主防火墻系統(tǒng)，當主防火墻系統(tǒng)發(fā)生故障時，從防火墻系統(tǒng)自動接替其工作，保證了防火墻系統(tǒng)的連續(xù)性。通過防火墻控制臺定義網絡對象、網絡資源、用戶及安全規(guī)則。原則上，大樓Intranet出口處防火墻的安全規(guī)則只定義必要的網絡連接（如單向DNS查詢、限制的http、https、ldap，僅允許DMZ內主機與內部網的其它必要通訊等）。3.7. 通信安全技術搭線竊聽是對通信保密安全的嚴重威脅。在互聯(lián)網出現(xiàn)后，由于使用者到服務器之間將經過不可預測的節(jié)點，中間極可以出現(xiàn)數(shù)據被竊取和被篡改的危險。解決的方法有兩個方面：n 通過加密措施，使非法竊聽者即使截獲部分信息也無法理解這些信息。n 通過防篡改技術，使數(shù)據被篡改后可以有機制去識別被篡改的內容。n 綜合以上的方法，目前流行的方式是采用虛擬專網（VPN）技術來實現(xiàn)通信安全。虛擬專網的重點在于建立安全的數(shù)據通道，構造這條安全通道的協(xié)議必須具備以下條件：n 保證數(shù)據的真實性，通信主機必須是經過授權的，要有抵抗地址冒認（IP Spoofing）的能力。n 保證數(shù)據的完整性，接收到的數(shù)據必須與發(fā)送時的一致，要有抵抗不法分子纂改數(shù)據的能力。n 保證通道的機密性，提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據。n 提供動態(tài)密鑰交換功能，提供密鑰中心管理服務器，必須具備防止數(shù)據重演（Replay）的功能，保證通道不能被重演。n 提供安全防護措施和訪問控制，要有抵抗黑客通過VPN通道攻擊企業(yè)網絡的能力，并且可以對VPN通道進行訪問控制（Access Control）。3.8. 客戶機安全防護網絡系統(tǒng)中用戶操作的微機多數(shù)采用Windows 9X操作系統(tǒng)。Windows 9X操作系統(tǒng)的安全級別遠遠不如Unix系統(tǒng)和Windows NT系統(tǒng)高。除了系統(tǒng)本身的各種弱點外，還有許多病毒與木馬系統(tǒng)在Windows上橫行，如果不小心，用戶的各種操作數(shù)據很容易被不法分子竊取。為了保證安全，Windows 9X用戶可以采用本公司個人級防火墻產品，保證數(shù)據安全。4. 天網防火墻簡介4.1. 什么叫防火墻?講到防火墻，很多人可能一下反應覺得是一些建筑用的東西，雖然在這里講的防火墻的所處的位置很象是建筑上說的防火墻，不過，它卻是與建筑一點關系都沒有的東西。這里所說的防火墻是安裝在計算機網絡上，防止內部的網絡系統(tǒng)被人惡意破壞的一個網絡安全產品。4.2. 防火墻的用途Internet 技術帶領我們進入新的科技信息時代。許多企業(yè)、單位都紛紛建立與互聯(lián)網絡相連的內部網，使用戶可以通過網絡查詢信息。這時企業(yè)Intranet的安全性就受到了考驗，網絡上的不法分子不斷的尋找網絡上的漏洞，企圖潛入內部網絡。一旦Intranet被人攻破，一些機密的資料可能會被盜、網絡可能會被破壞，給網絡所屬單位帶來難以預測的損害。而使用了防火墻后，防火墻可以有效地擋住外來的攻擊，對進出的數(shù)據進行監(jiān)視。此外，目前防火墻除了可以作為網絡門戶的保護外，還提供了許多網絡連接時的應用，如包含代理服務器的功能，提高內部網絡對外訪問的速度；采用加密連接方式，使企業(yè)通過公網安全地傳輸數(shù)據等。4.3. 天網防火墻的目標長期以來，國內開發(fā)的防火墻大都只有簡單的數(shù)據包過濾，只能實現(xiàn)簡單地控制允許或不允許數(shù)據的通過，而最新防火墻的關鍵技術都被國外所壟斷，例如網絡數(shù)據通道加密，網絡地址轉換等，美國政府甚至明令禁止這些高新技術的出口，企圖以技術壟斷的方式阻止別國信息產業(yè)的發(fā)展。但現(xiàn)在，我們可以站出來說：“中國人有了自己的防火墻！”在天網防火墻上，不但研究出并使用了美國政府禁止出口的168位加密技術，實現(xiàn)了高速的網絡地址轉換功能，而且，還針對Internet魚龍混雜的局面，創(chuàng)造性地開發(fā)出了智能內容過濾系統(tǒng)，使到天網防火墻不單單能保護網絡的安全，而且，可以令充滿了黃色和反動內容的Internet網絡恢復清純。4.4. 天網防火墻的特點4.4.1. 強大的數(shù)據加密技術在國外，利用公共的計算機信息網絡，企業(yè)可以建造一個安全的內部網，連接不同地域的機構，這種技術，在術語中稱為虛擬專用網（VPN），而這個技術中的關鍵就是一個叫IPSEC的數(shù)據加密技術，沒有這項技術，企業(yè)在公共網絡中傳遞的數(shù)據可以輕易地被截取和破解，等于把企業(yè)的所有秘密公之于眾；然而，國外的廠商在中國推廣的設備中，卻沒有一個提到IPSEC的加密技術的，即使有順帶提到的，也會推搪說暫時無法提供此技術，請耐心等候。原因很簡單，這種IPSEC技術正是被美國政府嚴禁出口的高科技技術之一。我們經過努力，終于在天網防火墻的IPSEC加密功能上實現(xiàn)了56 Bits DES、168Bits 3DES、MD5、RC4、SHA1、IDEA等多種加密算法。天網防火墻系統(tǒng)通過符合IPSEC標準的高保密性虛擬專用網技術，可以建立真正的虛擬專用網系統(tǒng)，這樣，系統(tǒng)才具有完善的安全特性，包括： 真實性：與你通信的計算機主機是真正的授權后的計算機主機，而不是他人假冒的計算機。 完整性：我方接收到的數(shù)據包與對方發(fā)送時是完全一致的。 機密性：在數(shù)據傳輸過程中，數(shù)據不能被不法分子解密。在設計時,我們還充分考慮到防火墻系統(tǒng)是作為網絡安全的守護者，除了考慮用戶認證、數(shù)據傳輸時數(shù)據的機密性、完整性、真實性以外，我們還考慮到不法分子在截取到加密的數(shù)據后，雖然無法將數(shù)據解密，但將數(shù)據原封不動地重新發(fā)送的可能性。因此我們在天網防火墻中加入了防止數(shù)據重演（Replay）的功能，以杜絕這種可能性。有了天網防火墻系統(tǒng)，用戶可以不再被迫使用功能殘缺的國外網絡安全產品，而網絡安全也可以得到真正的保護。4.4.2. 智能的內容過濾系統(tǒng)Internet給我們帶來了無比豐富的最新信息，改變了我們生活、工作的模式。但是，Internet缺乏適當?shù)谋O(jiān)管機構，導致在網上充斥著各種色情、反動的信息，我們不能不警惕這些信息對我們的毒害，我國政府也采取了一定的防御措施。可惜面對日新月異的網絡技術發(fā)展，現(xiàn)在的措施有點力不從心。目前存在的問題主要有： 目前的監(jiān)管工作完全靠人手動進行，發(fā)現(xiàn)一個攔截一個。而且Internet網絡信息不斷改變，更新速度驚人，缺少計算機的輔助和統(tǒng)計功能，目前的攔截功能實際上的作用并不明顯。 目前攔截是以一個信息點為單位，過于粗糙。通常一個Internet信息點上有很多不同的內容，如果單單為了防止一、兩個非法的內容而禁止訪問整個信息點，是因噎廢食的做法。 雖然攔截可以禁止直接訪問信息點，但是用戶可以利用一種叫代理服務的技術，利用不被攔截的國外信息點收取信息后轉發(fā)到國內來，令防御措施形同虛設。為了解決這個問題，我們首先對現(xiàn)狀進行分析，得出了解決問題的關鍵： Internet上雖然有無法統(tǒng)計數(shù)量的節(jié)點和連接，但是我們只需要對內部網絡所訪問的信息進行監(jiān)管就可以保證禁止非法信息的流入了。這使自動監(jiān)控有了實現(xiàn)的可能。 通過對使用代理服務訪問的機制進行了徹底的研究，了解到這種機制的原理后，可以輕易地實現(xiàn)攔截。 計算機必須根據具體情況，依據有效的算法對流入數(shù)據進行分析，找出最有嫌疑、的信息內容，這樣才能解決問題的關鍵。 由于需要對所有的流入信息進行過濾，系統(tǒng)負擔將十分沉重。監(jiān)管系統(tǒng)必須采用并行式處理體系，采用多套系統(tǒng)協(xié)同工作，才能面對大量的用戶訪問，避免產生網絡的堵塞、延誤的嚴重后果。 網絡內容監(jiān)管在國際上早已受到廣泛的重視，許多團體已經在這個方面作了大量的工作，我們的系統(tǒng)必須具有有效使用這些成果的能力。PICS是W3C（互聯(lián)網頁協(xié)會）推出的內容分級數(shù)據庫協(xié)議，受到廣泛的支持，Internet上絕大多數(shù)的正式網頁都根據PICS協(xié)議進行了分級。攔截服務器必須能定時從PICS分級數(shù)據服務器上提取數(shù)據，儲存到本地數(shù)據庫中，并以分級數(shù)據庫作為依據，進行網絡監(jiān)管工作。通過對實際需要的分析，我們在天網防火墻系統(tǒng)中實現(xiàn)可以說是世界上第一套采用分布式并行處理結構的計算機輔助監(jiān)管、精確信息源定位攔截系統(tǒng)?；竟δ苡校褐悄軆热莘治鱿到y(tǒng):系統(tǒng)對流經的網絡信息進行關鍵字過濾，可以支持多個關鍵字邏輯過濾操作，同時可以根據關鍵字權重、重復次數(shù)計算信息的可疑程度。系統(tǒng)對用戶訪問信息的精確定位進行記錄，統(tǒng)計訪問量、可疑程度等指標，返回可疑信息源精確位置表，根據該表自動將信息源精確位置加入黑名單采取攔截行動或作為系統(tǒng)管理員控制攔截的依據。信息監(jiān)管系統(tǒng):系統(tǒng)可以根據黑名單和白名單對用戶訪問的精確信息源位置進行攔截或放行的處理，而且可以根據智能內容分析系統(tǒng)和統(tǒng)計系統(tǒng)的結果自動增減名單。代理服務器攔截系統(tǒng)系統(tǒng)根據代理服務器工作原理，對向代理服務器的信息訪問請求進行解碼分析，得出真正訪問位置，根據黑名單進行攔截，放行正常信息。分布并行式處理：當需要負責大量的用戶訪問時（如Internet出口），系統(tǒng)可以組成分布并行式處理系統(tǒng)，用戶的訪問控制工作將分布到多臺防火墻服務器上。天網防火墻系統(tǒng)的信息監(jiān)管模塊使用了各種先進的辦法，可以有效地攔截非法信息的流入，為用戶提供一個清潔的Internet網絡，是建立Internet的必備工具。4.4.3. 創(chuàng)新的體系結構傳統(tǒng)的防火墻多數(shù)是軟件，因此，用戶在購買了防火墻后，還需要購買昂貴的工作站或服務器才能夠使用防火墻。而天網防火墻創(chuàng)新地采用了硬件一體化的體系。而天網防火墻創(chuàng)新地采用了硬件一體化的設計，從底層操作系統(tǒng)到防火墻應用都與硬件緊密結合。這種設計有兩個好處：1. 系統(tǒng)效率高。傳統(tǒng)軟件防火墻是安裝在計算機上的，由于無法控制網絡底層，導致系統(tǒng)效率受到計算機操作系統(tǒng)的牽制，對網絡的數(shù)據傳輸有較大的影響。而在天網防火墻設計時，我們針對系統(tǒng)特定硬件進行優(yōu)化處理，底層操作系統(tǒng)采用匯編語言編寫，防火墻應用融入系統(tǒng)操作系統(tǒng)，因此數(shù)據傳輸效率比同類產品高出3060。2. 系統(tǒng)安全性高。傳統(tǒng)的軟件防火墻都是基于UNIX或Windows NT平臺，這些操作系統(tǒng)平臺本身容易受到黑客（Hacker）的攻擊，使防火墻所在的計算機成為網絡安全的突破點。而天網防火墻采用硬件一體化結構，專用的高安全度操作系統(tǒng)使不法分子無從下手。4.5. 其他特點此外，天網防火墻還包含了網絡信息流量控制（QoS），透明代理服務器、雙向網絡地址轉換、針對性防御措施、負載均衡、雙機熱備份等功能。5. 需求分析根據重慶住房基金管理中心信息系統(tǒng)安全工程需求，作如下分析：1. 內部通過劃分VLAN，防止內部網絡用戶對網絡攻擊，保證網絡安全可靠。分析：完全滿足。天網防火墻的網絡接口可以綁定多個網段地址，最多可以支持1024個網段。2. 網絡拓撲結構應保證安全性，提供備份迂回路由。分析：天網防火墻有備份功能擴展，可以升級為雙機備份防火墻。3. 應能定期自動掃描各種服務器和數(shù)據庫系統(tǒng)以發(fā)現(xiàn)影響系統(tǒng)性能安全和設置上的漏洞。分析：該功能可以由第三方軟件廠商的漏洞檢測軟件實現(xiàn)。4. 應具有對安全攻擊的快速響應能力，能夠在黑客對重要資源產生威脅之前識別并阻止攻擊。分析：天網防火墻具有快速響應能力，能夠在黑客對重要資源產生威脅之前識別并阻止攻擊。5. 應能搜集、綜合和分析安全軟件得到的數(shù)據，自動快速的作出安全決策并進行實施。分析：天網防火墻的企業(yè)I型和II型均具有以上功能。6. 方案設計6.1. 總體設計系統(tǒng)拓撲圖：6.2. 方案說明根據重慶市住房基金管理中心的網絡狀況和應用，建議在內網的switch和路由器4700之間接天網防火墻企業(yè)I型，通過對防火墻的安全規(guī)則的設定可有效的保護內網服務器和工作站不受攻擊。天網防火墻企業(yè)級- I型，規(guī)格如下：LicenseTypeDescriptionSNFW-NATunlimitedSNFW-FT-BH網絡黑洞SNFW-FT-LOG網絡數(shù)據記錄Features* 基于狀態(tài)檢測的包過濾* 具有包過濾功能的虛擬網橋* DOS防御網關能有效的防止各種類型的DOS攻擊* TCP標志位檢測* 雙向網絡地址轉換(NAT)* 流量統(tǒng)計與流量限制* 網絡端口可以綁定多個IP地址* IP地址與MAC地址綁定* 實時系統(tǒng)監(jiān)控，能觀察系統(tǒng)的運行狀態(tài)及網絡連接狀況* 實時報警，通過撥打電話和Email的方式報警 (Syslog Daemon)* 系統(tǒng)操作記錄，可以記錄系統(tǒng)管理員的所有操作情況* 界面升級，操作方便* 網絡黑洞，用于阻擋非法的網絡探測* 網絡數(shù)據記錄, 用于記錄通過防火墻的數(shù)據類型和流量實現(xiàn)功能： 使用NAT把DMZ區(qū)的服務器和內部端口影射到Firewall的對外端口； 允許Internet公網用戶訪問到DMZ區(qū)的應用服務：http、ftp、smtp、dns； 允許DMZ區(qū)內的工作站與應用服務器訪問Internet公網； 允許內部企業(yè)用戶訪問DMZ的應用服務：http、ftp、smtp、dns 、pop3、https； 允許內部企業(yè)用戶訪問或通過代理訪問Internet公網； 禁止Internet公網非法用戶入侵內部企業(yè)網絡和DMZ區(qū)應用服務器； 禁止Internet公網用戶對內部網絡http、ftp、telnet、traceroute、rlogin等端口訪問； 通過對數(shù)據包的SYN/ACK等標志位進行合法性檢測和判斷，嫩構進行單向攔截（即防火墻的內部用戶可以對外訪問，而外部的非法訪問將被攔截）。 禁止區(qū)的公開服務器訪問內部網絡； 透明代理內含用戶口令認證，并設置其訪問權限； 設置防黑客或入侵監(jiān)測的范圍，實行實時入侵監(jiān)測；7. 成功案例7.1. 天網防火墻典型用戶名錄l 中央電視臺網絡安全改造工程l 人民日報網絡安全改造工程l 南方航空公司網絡平臺安全改造計劃l 廣東省郵電管理局ww