XX網(wǎng)絡(luò)安全方案

PAGETOC\o"1-3"\h\z1. 背景介紹 31.1. 項(xiàng)目總述 31.2. 網(wǎng)絡(luò)環(huán)境總述 31.3. 信息安全方案的組成 31.3.1. 信息安全產(chǎn)品的選型原則 31.3.2. 網(wǎng)絡(luò)安全現(xiàn)狀 41.3.3. 典型的黑客攻擊 51.3.4. 網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù) 71.3.5. 網(wǎng)絡(luò)安全解決方案的組成 71.3.6. 超高安全要求下的網(wǎng)絡(luò)保護(hù) 92. 安全架構(gòu)分析與設(shè)計(jì) 102.1. 網(wǎng)絡(luò)整體結(jié)構(gòu) 112.2. 集中管理和分級(jí)管理 132.3. XX安全網(wǎng)絡(luò)系統(tǒng)管理中心網(wǎng)絡(luò) 142.4. 各地方管理局網(wǎng)絡(luò) 163. 產(chǎn)品選型 173.1. 防火墻與入侵檢測的選型 173.1.1. 方正數(shù)碼公司簡介 173.1.2. 產(chǎn)品概述 173.1.3. 系統(tǒng)特點(diǎn) 183.1.4. 方正方御防火墻功能說明 224. 工程實(shí)施方案 304.1. 測試及驗(yàn)收 304.1.1. 測試及驗(yàn)收描述 304.2. 系統(tǒng)初驗(yàn) 304.2.1. 功能測試 304.2.2. 性能測試 315. 方正方御防火墻技術(shù)支持與服務(wù) 315.1. 方正數(shù)碼綠色服務(wù)體系結(jié)構(gòu)介紹 315.2. 完善的技術(shù)支持與服務(wù) 335.2.1. 售前服務(wù)內(nèi)容 335.2.2. 售前服務(wù)流程 345.2.3. 售后服務(wù)內(nèi)容 355.2.4. 售后服務(wù)流程 365.3. 服務(wù)方式 375.4. 服務(wù)監(jiān)督 375.5. 保修 385.6. 保修方式 385.7. 保修范圍 385.8. 保修期的確認(rèn) 395.9. 培訓(xùn)安排 395.10. 全國服務(wù)網(wǎng)絡(luò) 405.11. 場地及環(huán)境準(zhǔn)備 405.11.1. 常規(guī)要求 405.11.2. 機(jī)房電源、地線及同步要求 415.11.3. 設(shè)備場地、通信 415.11.4. 機(jī)房環(huán)境 415.12. 驗(yàn)收清單 435.12.1. 設(shè)備開箱驗(yàn)收清單 435.12.2. 用戶信息清單 435.12.3. 用戶驗(yàn)收清單 446. 方案防火墻數(shù)目 457. 方案整體優(yōu)勢 458. 方正方御防火墻榮譽(yù)證書 478.1. 部分方正方御防火墻客戶名單 529. 方正方御防火墻成功案例 549.1. 人民銀行應(yīng)用案例 549.1.1. 人民銀行需求分析 549.1.2. 系統(tǒng)安全目的 569.1.3. 安全體系結(jié)構(gòu) 569.1.4. 安全系統(tǒng)實(shí)施 579.2. 武警總隊(duì)全國安全應(yīng)用實(shí)例 58背景介紹項(xiàng)目總述目前，XX向下各地方的市、區(qū)、縣局相連，向上和廣東省廳相連。形成一個(gè)內(nèi)部辦公網(wǎng)絡(luò)環(huán)境。該網(wǎng)絡(luò)安全方案的目的，是實(shí)現(xiàn)電子公文、信息數(shù)據(jù)“快速、準(zhǔn)確、全面、可靠、安全”的收集、傳輸、匯總、分析功能。網(wǎng)絡(luò)環(huán)境總述XX安全網(wǎng)絡(luò)系統(tǒng)是涉密的內(nèi)部業(yè)務(wù)工作處理網(wǎng)絡(luò)，傳輸、處理、查詢工作中涉密的信息。該網(wǎng)由與政府有行文關(guān)系的各市縣和管理站組成。在給地方局域網(wǎng)出入口安裝防火墻，關(guān)鍵部位需要雙機(jī)熱備。這些防火墻系統(tǒng)需要集中在XX數(shù)據(jù)中心進(jìn)行管理和審計(jì)。信息安全方案的組成信息安全產(chǎn)品的選型原則XX安全網(wǎng)絡(luò)系統(tǒng)是一個(gè)要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的公文信息在網(wǎng)絡(luò)傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會(huì)嚴(yán)重的影響政府的工作。所以，XX安全網(wǎng)絡(luò)系統(tǒng)安全產(chǎn)品的選型事關(guān)重大，要提到國家戰(zhàn)略的高度來衡量，否則一旦被黑客或者敵國攻入，其代價(jià)將是不能想象的。XX安全網(wǎng)絡(luò)系統(tǒng)方案必須遵循如下原則：全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。XX安全網(wǎng)絡(luò)系統(tǒng)安全體系，遵循中心統(tǒng)一規(guī)劃，各縣、地方分別實(shí)施的原則。綜合性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我國發(fā)生的網(wǎng)絡(luò)安全問題中，管理問題占相當(dāng)大的比例，在各地方建立網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。均衡性原則：安全措施的實(shí)施必須以根據(jù)安全級(jí)別和經(jīng)費(fèi)限度統(tǒng)一考慮。網(wǎng)絡(luò)中相同安全級(jí)別的保密強(qiáng)度要一致。節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變?cè)瓉砭W(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。集中性原則：所有的防火墻產(chǎn)品要求在XX數(shù)據(jù)中心可以進(jìn)行集中管理，這樣才能保證在數(shù)據(jù)中心的服務(wù)器上可以掌握全局。角色化原則：防火墻產(chǎn)品在管理上面不僅在數(shù)據(jù)中心可以完全控制外，在地方還需要分配適當(dāng)?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和查看防火墻策略和審計(jì)?？蓴U(kuò)展原則：由于XX安全網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)地方比較多，是一個(gè)大型的網(wǎng)絡(luò)，因此隨著網(wǎng)絡(luò)規(guī)劃和規(guī)模的改變，以后必然會(huì)有新的需求，因此本方案里面考慮了該因素。目前，很多公開的新聞表明美國國家安全局（NSA）有可能在許多美國大軟件公司的產(chǎn)品中安裝“后門”，其中包括一些應(yīng)用廣泛的操作系統(tǒng)。為此德國軍方前些時(shí)候甚至規(guī)定在所有牽涉到機(jī)密的計(jì)算機(jī)里，不得使用美國的操作系統(tǒng)。作為信息安全的保障，我們?cè)诎踩a(chǎn)品選型時(shí)強(qiáng)烈建議使用國內(nèi)自主開發(fā)的優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品，將安全風(fēng)險(xiǎn)降至最低。在為各安全產(chǎn)品選型時(shí)，我們立足國內(nèi)，同時(shí)保證所選產(chǎn)品的先進(jìn)性及可靠性，并要求通過國家各主要安全測評(píng)認(rèn)證。網(wǎng)絡(luò)安全現(xiàn)狀I(lǐng)nternet正在越來越多地融入到社會(huì)的各個(gè)方面。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊(duì)、企業(yè)、個(gè)人的利益休戚相關(guān)的“大事情”。尤其對(duì)于政府和軍隊(duì)而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會(huì)對(duì)國家安全帶來嚴(yán)重的威脅。2000年二月，在三天的時(shí)間里，黑客使美國數(shù)家頂級(jí)互聯(lián)網(wǎng)站－Yahoo!、Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。黑客使用了DDoS（分布式拒絕服務(wù)）的攻擊手段，用大量無用信息阻塞網(wǎng)站的服務(wù)器，使其不能提供正常服務(wù)。在隨后的不到一個(gè)月的時(shí)間里，又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭受攻擊。國內(nèi)網(wǎng)站也未能幸免于難，新浪、當(dāng)當(dāng)書店、EC123等知名網(wǎng)站也先后受到黑客攻擊。國內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月客觀地說，沒有任何一個(gè)網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)FinancialTimes曾做過的統(tǒng)計(jì)，平均每20秒鐘就有一個(gè)網(wǎng)絡(luò)遭到入侵。僅在美國，每年由于網(wǎng)絡(luò)安全問題造成的經(jīng)濟(jì)損失就超過100億美元。典型的黑客攻擊黑客們進(jìn)行網(wǎng)絡(luò)攻擊的目的各種各樣，有的是出于政治目的，有的是員工內(nèi)部破壞，還有的是出于好奇或者滿足自己的虛榮心。隨著Internet的高速發(fā)展，也出現(xiàn)了有明確軍事目的的軍方黑客組織。在典型的網(wǎng)絡(luò)攻擊中，黑客一般會(huì)采取如下的步驟：自我隱藏，黑客使用通過rsh或telnet在以前攻克的主機(jī)上跳轉(zhuǎn)、通過錯(cuò)誤配置的proxy主機(jī)跳轉(zhuǎn)等各種技術(shù)來隱藏他們的IP地址，更高級(jí)一點(diǎn)的黑客，精通利用電話交換侵入主機(jī)。網(wǎng)絡(luò)偵探和信息收集，在利用Internet開始對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊前，典型的黑客將會(huì)對(duì)網(wǎng)絡(luò)的外部主機(jī)進(jìn)行一些初步的探測。黑客通常在查找其他弱點(diǎn)之前首先試圖收集網(wǎng)絡(luò)結(jié)構(gòu)本身的信息。通過查看上面查詢來的結(jié)果列表，通常很容易建立一個(gè)主機(jī)列表并且開始了解主機(jī)之間的聯(lián)系。黑客在這個(gè)階段使用一些簡單的命令來獲得外部和內(nèi)部主機(jī)的名稱：例如，使用nslookup來執(zhí)行“l(fā)s<domainornetwork>”，finger外部主機(jī)上的用戶等。確認(rèn)信任的網(wǎng)絡(luò)組成，一般而言，網(wǎng)絡(luò)中的主控主機(jī)都會(huì)受到良好的安全保護(hù)，黑客對(duì)這些主機(jī)的入侵是通過網(wǎng)絡(luò)中的主控主機(jī)的信任成分來開始攻擊的，一個(gè)網(wǎng)絡(luò)信任成員往往是主控主機(jī)或者被認(rèn)為是安全的主機(jī)。黑客通常通過檢查運(yùn)行nfsd或mountd的那些主機(jī)輸出的NFS開始入侵，有時(shí)候一些重要目錄（例如/etc，/home）能被一個(gè)信任主機(jī)mount。確認(rèn)網(wǎng)絡(luò)組成的弱點(diǎn)，如果一個(gè)黑客能建立你的外部和內(nèi)部主機(jī)列表，他就可以用掃描程序（如ADMhack,mscan,nmap等）來掃描一些特定的遠(yuǎn)程弱點(diǎn)。啟動(dòng)掃描程序的主機(jī)系統(tǒng)管理員通常都不知道一個(gè)掃描器已經(jīng)在他的主機(jī)上運(yùn)行，因?yàn)椤痯s’和’netstat’都被特洛伊化來隱藏掃描程序。在對(duì)外部主機(jī)掃描之后，黑客就會(huì)對(duì)主機(jī)是否易受攻擊或安全有一個(gè)正確的判斷。有效利用網(wǎng)絡(luò)組成的弱點(diǎn)，當(dāng)黑客確認(rèn)了一些被信任的外部主機(jī)，并且同時(shí)確認(rèn)了一些在外部主機(jī)上的弱點(diǎn)，他們就要嘗試攻克主機(jī)了。黑客將攻擊一個(gè)被信任的外部主機(jī)，用它作為發(fā)動(dòng)攻擊內(nèi)部網(wǎng)絡(luò)的據(jù)點(diǎn)。要攻擊大多數(shù)的網(wǎng)絡(luò)組成，黑客就要使用程序來遠(yuǎn)程攻擊在外部主機(jī)上運(yùn)行的易受攻擊服務(wù)程序，這樣的例子包括易受攻擊的Sendmail,IMAP,POP3和諸如statd,mountd,pcnfsd等RPC服務(wù)。獲得對(duì)有弱點(diǎn)的網(wǎng)絡(luò)組成的訪問權(quán)，在攻克了一個(gè)服務(wù)程序后，黑客就要開始清除他在記錄文件中所留下的痕跡，然后留下作后門的二進(jìn)制文件，使其以后可以不被發(fā)覺地訪問該主機(jī)。目前，黑客的主要攻擊方式有：欺騙：通過偽造IP地址或者盜用用戶帳號(hào)等方法來獲得對(duì)系統(tǒng)的非授權(quán)使用，例如盜用撥號(hào)帳號(hào)。竊聽：利用以太網(wǎng)廣播的特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡(luò)的數(shù)據(jù)包，對(duì)信息進(jìn)行過濾和分析后得到有用的信息，例如使用sniffer程序竊聽用戶密碼。數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對(duì)信息進(jìn)行非法的復(fù)制，例如，非法拷貝網(wǎng)站數(shù)據(jù)庫內(nèi)重要的商業(yè)信息，盜取網(wǎng)站用戶的個(gè)人信息等。數(shù)據(jù)篡改：在信息的共享和傳遞過程中，對(duì)信息進(jìn)行非法的修改，例如，刪除系統(tǒng)內(nèi)的重要文件，破壞網(wǎng)站數(shù)據(jù)庫等。拒絕服務(wù)：使用大量無意義的服務(wù)請(qǐng)求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU處理能力和IO能力，造成系統(tǒng)癱瘓，無法對(duì)外提供服務(wù)。典型的例子就是2000年年初黑客對(duì)Yahoo等大型網(wǎng)站的攻擊。黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機(jī)資源被利用和網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，如果是對(duì)軍用和政府網(wǎng)絡(luò)的攻擊，還會(huì)對(duì)國家安全造成嚴(yán)重威脅。網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)就是創(chuàng)建一個(gè)完善的安全防護(hù)體系，對(duì)所有非法網(wǎng)絡(luò)行為，如越權(quán)訪問、病毒傳播、惡意破壞等等，事前預(yù)防、事中報(bào)警并阻止，事后能有效的將系統(tǒng)恢復(fù)。在上文對(duì)黑客行為的描述中，我們可以看出，網(wǎng)絡(luò)上任何一個(gè)安全漏洞都會(huì)給黑客以可乘之機(jī)。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡(luò)安全里尤其適用。所以，我們的方案必須是一個(gè)完整的網(wǎng)絡(luò)安全解決方案，對(duì)網(wǎng)絡(luò)安全的每一個(gè)環(huán)節(jié)，都要有仔細(xì)的考慮。網(wǎng)絡(luò)安全解決方案的組成針對(duì)前文對(duì)黑客入侵的過程的描述，為了更為有效的保證網(wǎng)絡(luò)安全，方正數(shù)碼提出了兩個(gè)理念：立體安全防護(hù)體系和安全服務(wù)支持。首先網(wǎng)絡(luò)的安全決不僅僅是一個(gè)防火墻，它應(yīng)是包括入侵測檢（IDS）、虛擬專用網(wǎng)（VPN）等功能在內(nèi)的立體的安全防護(hù)體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護(hù)服務(wù)，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。一個(gè)好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個(gè)部分組成：防火墻：對(duì)網(wǎng)絡(luò)攻擊的阻隔防火墻是保證網(wǎng)絡(luò)安全的重要屏障。防火墻根據(jù)網(wǎng)絡(luò)流的來源和訪問的目標(biāo)，對(duì)網(wǎng)絡(luò)流進(jìn)行限制，允許合法網(wǎng)絡(luò)流，并禁止非法網(wǎng)絡(luò)流。防火墻最大的意義在網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略，有效的將復(fù)雜的網(wǎng)絡(luò)安全問題簡化，大大降低管理成本和潛在風(fēng)險(xiǎn)。在應(yīng)用防火墻技術(shù)時(shí)，正確的劃分網(wǎng)絡(luò)邊界和制定完善的安全策略是至關(guān)重要的。發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。比如方正方御防火墻在很好的實(shí)現(xiàn)了防火墻功能的同時(shí)，也實(shí)現(xiàn)了下面所說的入侵檢測功能；入侵檢測（IDS）：對(duì)攻擊試探的預(yù)警當(dāng)黑客試探攻擊時(shí)，大多采用一些已知的攻擊方法來試探。網(wǎng)絡(luò)安全漏洞掃描器是“先敵發(fā)現(xiàn)”，未雨綢繆。而從另外一個(gè)角度考慮問題，“實(shí)時(shí)監(jiān)測”，發(fā)現(xiàn)黑客攻擊的企圖，對(duì)于網(wǎng)絡(luò)安全來說也是非常有意義的。甚至由此派生出了P^2DR理論。入侵檢測系統(tǒng)通過掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測），或者探測系統(tǒng)的異常行為（主機(jī)入侵檢測），來發(fā)覺這類攻擊的存在。一旦被發(fā)現(xiàn)，則報(bào)警并作出相應(yīng)處理，同時(shí)可以根據(jù)預(yù)定的措施自動(dòng)反應(yīng)，比如暫時(shí)封掉發(fā)起該掃描的IP。需要注意的是，入侵檢測系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。事實(shí)上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進(jìn)行一些較為復(fù)雜的變形，就能做到?jīng)]有入侵檢測系統(tǒng)能夠識(shí)別出來。所以，在應(yīng)用入侵檢測系統(tǒng)時(shí)，千萬不要因?yàn)橛辛巳肭謾z測系統(tǒng)，就不對(duì)系統(tǒng)中的安全隱患進(jìn)行及時(shí)補(bǔ)救。安全審計(jì)管理安全審計(jì)系統(tǒng)必須實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡(luò)入侵、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實(shí)記錄，并能對(duì)于嚴(yán)重的違規(guī)行為進(jìn)行阻斷。安全審計(jì)系統(tǒng)所做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。安全審計(jì)跟蹤機(jī)制的內(nèi)容是在安全審計(jì)跟蹤中記錄有關(guān)安全的信息，而安全審計(jì)管理的內(nèi)容是分析和報(bào)告從安全審計(jì)跟蹤中得來的信息。安全審計(jì)跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。收集審計(jì)跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對(duì)安全要求的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。已知安全審計(jì)的存在可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用。虛擬專用網(wǎng)（VPN）：遠(yuǎn)程傳輸?shù)陌踩玍PN技術(shù)在把分散在各處的服務(wù)器群連成了一個(gè)整體，形成了一個(gè)虛擬的專用網(wǎng)絡(luò)。通過VPN的加密通道，數(shù)據(jù)被加密后傳輸，保證了遠(yuǎn)程數(shù)據(jù)傳輸?shù)陌踩浴Ｊ褂肰PN可以象管理本地服務(wù)器一樣去安全的管理遠(yuǎn)程的服務(wù)器。VPN帶來的最大好處是確保安全性的同時(shí)，復(fù)用物理信道，降低使用成本。防病毒以及特洛伊木馬計(jì)算機(jī)病毒的危害不言而喻，計(jì)算機(jī)病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來，成為黑客的又一利器。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。由于在金卡工程中沒有辦公系統(tǒng)部分，所以這部分不多加解釋。安全策略的實(shí)施保證網(wǎng)絡(luò)安全知識(shí)的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。此外，信息備份是信息安全的最起碼的要求。能減少惡意網(wǎng)絡(luò)攻擊或者意外災(zāi)害帶來的破壞性損失。超高安全要求下的網(wǎng)絡(luò)保護(hù)對(duì)于XX安全網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)中心安全而言，安全性需求就更加的高，屬于超高安全要求下的網(wǎng)絡(luò)保護(hù)范圍，因此需要在這些地方使用2臺(tái)防火墻進(jìn)行雙機(jī)熱備，以保證數(shù)據(jù)穩(wěn)定傳輸。認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)（包括撥號(hào)）時(shí)，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身份滲透進(jìn)內(nèi)部網(wǎng)絡(luò)。對(duì)于內(nèi)部訪問，也要有完善的網(wǎng)絡(luò)行為審計(jì)記錄和權(quán)限限定，防止由內(nèi)部人員發(fā)起的攻擊。我們建議XX安全網(wǎng)絡(luò)系統(tǒng)利用基于X.509證書的認(rèn)證體系（目前最強(qiáng)的認(rèn)證體系）來進(jìn)行認(rèn)證。方正方御防火墻管理也是用X.509證書進(jìn)行認(rèn)證的。網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全界的一個(gè)玩笑就是：要想安全，就不要插上網(wǎng)線。這是一個(gè)簡單的原理：如果網(wǎng)絡(luò)是隔離開的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。但對(duì)于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來說，完全的物理隔離是行不通的。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過破壞網(wǎng)絡(luò)攻擊得以進(jìn)行的另外兩個(gè)重要條件：從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò)從而確保XX安全網(wǎng)絡(luò)系統(tǒng)的安全。實(shí)施保證XX安全網(wǎng)絡(luò)系統(tǒng)牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。要保護(hù)這樣一個(gè)繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機(jī)制，一方面要能讓XX安全網(wǎng)絡(luò)系統(tǒng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)。方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制，這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。事實(shí)上，方御防火墻是通過該標(biāo)準(zhǔn)認(rèn)證的第一個(gè)包過濾防火墻。另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)制，尤其適合于XX安全網(wǎng)絡(luò)系統(tǒng)這樣的大型網(wǎng)絡(luò)。安全架構(gòu)分析與設(shè)計(jì)邏輯上，XX安全網(wǎng)絡(luò)系統(tǒng)將劃分為2個(gè)區(qū)域：內(nèi)部網(wǎng)絡(luò)，外部互連網(wǎng)絡(luò)。其中每一個(gè)局域網(wǎng)節(jié)點(diǎn)劃分為內(nèi)部操作（控制）區(qū)、信息共享區(qū)兩個(gè)網(wǎng)段，網(wǎng)段之間設(shè)置安全隔離區(qū)。每一個(gè)網(wǎng)段必須能夠構(gòu)成一個(gè)獨(dú)立的、完整的、安全的、可靠的系統(tǒng)。網(wǎng)絡(luò)整體結(jié)構(gòu)XX安全網(wǎng)絡(luò)系統(tǒng)需要涉及若干部門，各地方的網(wǎng)絡(luò)通過專用網(wǎng)連接起來。網(wǎng)絡(luò)整體結(jié)構(gòu)如下圖所示：雙機(jī)熱備雙機(jī)熱備廣州市公安局及分局網(wǎng)絡(luò)結(jié)構(gòu)圖廣州市公安局網(wǎng)絡(luò)廣東省公安廳網(wǎng)絡(luò)DDN數(shù)據(jù)網(wǎng)DDN數(shù)據(jù)網(wǎng)各區(qū)、地市公安局DDN數(shù)據(jù)網(wǎng)DDN數(shù)據(jù)網(wǎng)各地市公安局下級(jí)分支機(jī)構(gòu)網(wǎng)絡(luò)XX網(wǎng)絡(luò)整體結(jié)構(gòu)注：廣東省局連接出口處防火墻使用雙機(jī)熱備的方式。集中管理和分級(jí)管理由于XX安全網(wǎng)絡(luò)系統(tǒng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進(jìn)行審計(jì)管理，日志查詢等操作。而用戶的權(quán)限機(jī)制分配必須通過網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理。需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備。在XX安全網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)管理中心需要對(duì)各管理局的網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理。分析XX安全網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)和需求，方正方御防火墻的集中管理功能和權(quán)限管理機(jī)制完全可以滿足這些需求。方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。這樣他們共同的負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。XX安全網(wǎng)絡(luò)系統(tǒng)的集中管理圖如下所示：防火墻產(chǎn)品集中管理示意圖在集中管理的過程中，就涉及到用戶角色的問題，因此防火墻必須擁有多級(jí)的管理機(jī)制，這樣在保證XX數(shù)據(jù)中心掌控全部防火墻使用情況的前提下，又可以使地方的管理人員可以在自己的權(quán)限內(nèi)使用和配置防火墻。XX安全網(wǎng)絡(luò)系統(tǒng)管理中心網(wǎng)絡(luò)XX安全網(wǎng)絡(luò)系統(tǒng)管理中心除了需要提供信息服務(wù)外，還需要對(duì)各管理局的網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理，因此網(wǎng)絡(luò)的安全性和可靠性尤其的重要。出于穩(wěn)定性的考慮，推薦在和廣東省廳連接的出口處的防火墻使用雙機(jī)熱備的方式，以保證網(wǎng)絡(luò)的不間斷性。XX安全網(wǎng)絡(luò)系統(tǒng)管理中心網(wǎng)絡(luò)圖如下：……………..……………..天河區(qū)公安分局南海市公安局連接省廳連接地方各管理中心廣州市公安局網(wǎng)絡(luò)管理中心XX網(wǎng)絡(luò)結(jié)構(gòu)各地方管理局網(wǎng)絡(luò)各地方管理局的網(wǎng)絡(luò)結(jié)構(gòu)節(jié)點(diǎn)劃分為內(nèi)部操作（控制）區(qū)、公開信息區(qū)兩個(gè)網(wǎng)段。對(duì)于這些網(wǎng)絡(luò)我們建議使用如下方案（以天河區(qū)公安局管理中心為例）：100M100M外連線路DMZ區(qū)內(nèi)網(wǎng)區(qū)南海公安局網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)產(chǎn)品選型防火墻與入侵檢測的選型我們采用方正最新型方正方御防火墻。方正方御防火墻是一個(gè)很優(yōu)秀的防火墻，同時(shí)它集成強(qiáng)大的入侵檢測功能。方正方御防火墻是國內(nèi)第一個(gè)通過公安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認(rèn)證標(biāo)準(zhǔn)的包過濾級(jí)防火墻產(chǎn)品，同時(shí)通過了中國人民解放軍安全測評(píng)認(rèn)證中心、中國國家信息安全測評(píng)認(rèn)證中心和國家保密局的嚴(yán)格認(rèn)證。方正數(shù)碼公司簡介作為方正集團(tuán)互聯(lián)網(wǎng)戰(zhàn)略的實(shí)施者，方正數(shù)碼將自身定位于電子商務(wù)的“賦能者”，其業(yè)務(wù)涉及互聯(lián)網(wǎng)與電子商務(wù)的技術(shù)研究應(yīng)用與系統(tǒng)集成、網(wǎng)絡(luò)市場營銷服務(wù)、空間信息應(yīng)用、無線互聯(lián)以及電子商務(wù)的咨詢服務(wù)等方向，以幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子商務(wù)的運(yùn)營者在互聯(lián)網(wǎng)時(shí)代健康成功的發(fā)展為己任。要給電子商務(wù)運(yùn)營者賦能，先要給安全賦能。方正數(shù)碼首先推出的就是方正方御互聯(lián)網(wǎng)安全解決方案。方正方御是在經(jīng)過一年多的大量投入和深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢的解決方案。它是一套整體的集群平臺(tái)，可以解決互聯(lián)網(wǎng)運(yùn)營商最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問題。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計(jì)劃項(xiàng)目之一。另外，還得到了國家”863”計(jì)劃的支持。在立身自主開發(fā)外，方正數(shù)碼還與ISS等眾多國際知名的安全公司保持著良好的合作關(guān)系，并集成了國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國內(nèi)Internet的安全建設(shè)保駕護(hù)航。產(chǎn)品概述方御防火墻是方正方御中的主要安全產(chǎn)品之一。由于防火墻技術(shù)的針對(duì)性很強(qiáng)，它已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保障之一。方御防火墻是通過對(duì)國外防火墻產(chǎn)品的綜合分析，針對(duì)我們國家的具體應(yīng)用環(huán)境，結(jié)合國內(nèi)外防火墻領(lǐng)域里的最新發(fā)展，在面向IDC和中小企業(yè)的FireBridge防火墻的基礎(chǔ)上，提出的一種具有強(qiáng)大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運(yùn)用的安全可靠的專用防火墻系統(tǒng)。方正方御防火墻不僅僅是一個(gè)包過濾的防火墻，而且包括了大量的實(shí)用模塊，可以為用戶提供多方面的服務(wù)。方御防火墻保護(hù)如下模塊：系統(tǒng)特點(diǎn)一體化的硬件設(shè)計(jì)方正方御防火墻采用了一體化的硬件設(shè)計(jì)，采用了自己的操作系統(tǒng)，無需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時(shí)也提高了系統(tǒng)的安全性。雙機(jī)熱備份通過雙機(jī)熱備份，本系統(tǒng)提供可靠的容錯(cuò)/熱待機(jī)功能。備份防火墻服務(wù)器中存有主防火墻服務(wù)器的設(shè)置鏡像，當(dāng)主防火墻因?yàn)槟承┰虿荒苷＿\(yùn)作，備份服務(wù)器可以在12秒鐘內(nèi)取代主服務(wù)器運(yùn)作，充分保證整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)作的穩(wěn)定性。完善的訪問控制方正方御防火墻符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。多種工作模式方正方御防火墻可以工作在網(wǎng)橋路由兩種模式下，這樣可以方便用戶使用。使用在網(wǎng)橋模式時(shí)在IP層透明，使用路由模式時(shí)可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。防御DOS，DDOS攻擊普通的防火墻都是采用限制每一網(wǎng)絡(luò)地址單位時(shí)間內(nèi)通過的SYN包數(shù)量來抵御DDOS攻擊，但是通常網(wǎng)絡(luò)攻擊者都會(huì)隨機(jī)的偽造網(wǎng)絡(luò)地址，因此這種方法防范的效果非常差，不能從根本上抵御DDOS攻擊。方正方御防火墻修改了TCP/IP堆棧的算法，使得新的syn連接包可以正常通過，避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。狀態(tài)檢測方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是根據(jù)規(guī)則表進(jìn)行匹配，而方正方御防火墻對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過規(guī)則表與連接表共同配合來對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行控制。代理服務(wù)用戶可以設(shè)置代理服務(wù)器端口來啟動(dòng)代理服務(wù)器功能，而且通過設(shè)置使用代理服務(wù)器用戶帳號(hào)密碼和訪問控制來維護(hù)安全性。代理服務(wù)的訪問控制非常的完善，可以對(duì)時(shí)間、協(xié)議、方法、地址、DNS域、目的端口和URL來進(jìn)行控制。用戶完全可以通過設(shè)置一定的條件來符合自己的要求。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)支持動(dòng)態(tài)、靜態(tài)、雙向的NAT。當(dāng)用戶需要從內(nèi)部IP訪問Internet時(shí)，NAT系統(tǒng)會(huì)從IP池里取出一個(gè)合法的InternetIP，為該用戶建立映射。如果需要在Intranet提供讓外部訪問的服務(wù)（如WWW、FTP等），NAT系統(tǒng)可以為Intranet里的服務(wù)器建立靜態(tài)映射，外部用戶可以直接訪問該服務(wù)器。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換為企業(yè)用戶連接到Internet提供了良好的網(wǎng)絡(luò)地址隱蔽，并且能減少IP占用，替用戶節(jié)省費(fèi)用。提供DMZ區(qū)除了內(nèi)部網(wǎng)絡(luò)界面和外部網(wǎng)絡(luò)界面，系統(tǒng)還可以再增加一個(gè)網(wǎng)絡(luò)界面，讓管理員靈活應(yīng)用。如建立DMZ（軍事獨(dú)立區(qū)），在其中放置公共應(yīng)用服務(wù)器。帶寬管理和流量統(tǒng)計(jì)方正方御防火墻系統(tǒng)使用流量統(tǒng)計(jì)與控制策略，可方便的根據(jù)網(wǎng)段和主機(jī)等對(duì)流量進(jìn)行統(tǒng)計(jì)與控制管理。用戶可以通過設(shè)置源地址到目的地址單位在時(shí)間內(nèi)允許通過的流量以及協(xié)議和端口來進(jìn)行帶寬控制。日志審計(jì)審計(jì)功能是方正方御防火墻非常強(qiáng)大的一個(gè)部分，目前國內(nèi)防火墻的審計(jì)功能都非常不完善，方正方御防火墻提供了大量的審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容的查詢功能，由于日志可能對(duì)一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而其中每一部分都可以進(jìn)行查詢和管理，這樣用戶就能對(duì)防火墻的情況有一個(gè)非常透徹的了解。入侵檢測方正方御防火墻入侵檢測系統(tǒng)采用了可擴(kuò)展的檢測庫方法，目前可以抵御1000多種攻擊方法，而且可以通過升級(jí)檢測庫的方法來不斷的抵御新的攻擊方法。用戶還可以自定義攻擊檢測庫來符合自己的要求。自動(dòng)報(bào)警和防范系統(tǒng)方正方御防火墻一旦檢測到有黑客進(jìn)行攻擊，會(huì)在第一時(shí)間內(nèi)在控制機(jī)上進(jìn)行報(bào)警，而且同時(shí)會(huì)自動(dòng)封禁掉攻擊者的IP地址，這樣可以做到防火墻的防范完全自動(dòng)化，而不象普通的防火墻那樣需要人工干預(yù)。基于PKI的授權(quán)認(rèn)證方正方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。PKI是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的?？焖侔惭b配置方正方御防火墻的安裝和配置非常方便，管理員只要設(shè)定好網(wǎng)絡(luò)設(shè)備的IP地址，然后使用系統(tǒng)提供的一些典型配置模板，適當(dāng)?shù)男薷囊恍┮?guī)則來符合要求。除此以外還可以添加系統(tǒng)提供的一些子模板來實(shí)現(xiàn)一些特定的功能。圖形管理界面用戶可以通過圖形界面對(duì)防火墻進(jìn)行配置和管理。而且也可以通過圖形界面來管理審計(jì)內(nèi)容，而不象有些防火墻是通過命令行方式進(jìn)行配置。完全中國化的設(shè)計(jì)方正方御防火墻是由方正數(shù)碼自行設(shè)計(jì)和制作的，充分考慮了中國國情，除了界面、幫助文檔、使用說明完全中文化外，還加入了一些小型模板用戶給管理員配置防火墻。集中管理方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻功能說明多種工作模式方正方御防火墻可以工作在網(wǎng)橋和路由兩種模式下：A：網(wǎng)橋模式：3個(gè)端口構(gòu)成一個(gè)以太網(wǎng)交換機(jī)，防火墻本身沒有IP地址，在IP層透明?？梢詫⑷我馊齻€(gè)物理網(wǎng)絡(luò)連接起來構(gòu)成一個(gè)互通的物理網(wǎng)絡(luò)。當(dāng)防火墻工作在交換模式時(shí)，內(nèi)網(wǎng)、DMZ區(qū)和路由器的內(nèi)部端口構(gòu)成一個(gè)統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級(jí)路由器，這種模式不需要改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)和設(shè)備的網(wǎng)絡(luò)設(shè)置。B：路由模式：防火墻本身構(gòu)成3個(gè)網(wǎng)絡(luò)間的路由器，3個(gè)界面分別具有不同的IP地址。三個(gè)網(wǎng)絡(luò)中的主機(jī)通過該路由進(jìn)行通信。當(dāng)防火墻工作在路由模式時(shí)，可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時(shí)隔絕Internet對(duì)內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對(duì)Internet提供服務(wù)。

在沒有安裝方正方御防火墻的時(shí)候典型網(wǎng)絡(luò)結(jié)構(gòu)圖如下:在安裝了方正方御防火墻的時(shí)候網(wǎng)絡(luò)結(jié)構(gòu)圖如下:包過濾防火墻方正方御防火墻包過濾的功能是對(duì)指定IP包進(jìn)行包過濾，并且按照設(shè)定策略對(duì)IP包進(jìn)行統(tǒng)計(jì)和日志記錄，主要根據(jù)IP包的如下信息進(jìn)行過濾：源IP地址目的IP地址協(xié)議類型（IP、ICMP、TCP、UDP）源TCP/UDP端口目的TCP/UDP端口ICMP報(bào)文類型域和代碼域碎片包其它標(biāo)志位，如SYN，ACK位高效的過濾有些防火墻在安裝上以后對(duì)WEB服務(wù)器的吞吐能力影響很大，造成性能的降低。由于方正方御防火墻采用了3I（IntelligentIPIdentifying）技術(shù)，能夠?qū)崿F(xiàn)快速匹配。因此方正方御防火墻不會(huì)對(duì)性能造成任何影響。方正方御防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到300,000個(gè)以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬個(gè)左右。碎片處理功能由于很多系統(tǒng)平臺(tái)，包括一些路由器對(duì)IP碎片的處理存在問題，容易產(chǎn)生欺騙和拒絕服務(wù)等攻擊，方正方御防火墻能夠識(shí)別出IP碎片并且進(jìn)行控制，這樣一來通過禁止IP碎片通過方正方御防火墻，防止了這樣的問題的產(chǎn)生。防SYNFlood攻擊一些TCP/IP棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來的ACK消息，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。典型的就是SynFlood攻擊,通過大量的虛假的Syn包使服務(wù)器速度變慢，甚至是死機(jī)。一般的防火墻是通過限制每秒鐘通過的Syn包數(shù)量來組織SynFlood攻擊，這種方法可以在一定意義上阻止SynFlood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。1：沒有安裝1：沒有安裝方御防火墻2：安裝方御防火墻強(qiáng)大的狀態(tài)檢測功能方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而方正方御防火墻對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對(duì)應(yīng)用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢必會(huì)使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。IDS(入侵檢測系統(tǒng))反端口掃描一般黑客如果要對(duì)一個(gè)網(wǎng)站發(fā)動(dòng)攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開啟的服務(wù)，然后做出相應(yīng)的入侵方式。方正方御防火墻入侵檢測系統(tǒng)能夠在黑客掃描網(wǎng)站的時(shí)候就能檢測到并報(bào)警，這樣就能提前將黑客拒之于門外。方正方御防火墻入侵檢測系統(tǒng)在檢測到有黑客掃描服務(wù)器端口的時(shí)候會(huì)立即在攻擊者的視野中消失，從而使黑客無法進(jìn)行后面的攻擊。方正方御防火墻入侵檢測系統(tǒng)根據(jù)配置文件監(jiān)控任何和TCP、UDP端口的連接?？梢詫?duì)全部端口同時(shí)進(jìn)行監(jiān)控，同時(shí)也可以忽略指定的端口。這樣就能滿足不同的需求方式?？梢苑婪?000余種攻擊方式檢測多種DoS攻擊檢測多種DDoS攻擊檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序檢測多種針對(duì)Finger服務(wù)的攻擊檢測多種針對(duì)FTP服務(wù)的攻擊檢測基于NetBIOS的攻擊檢測緩沖區(qū)溢出類型攻擊檢測基于RPC的攻擊檢測基于SMTP的攻擊檢測基于Telnet的攻擊檢測網(wǎng)絡(luò)上傳輸?shù)牟《竞腿湎x檢測CGI攻擊檢測針對(duì)WEBServer的FrontPage擴(kuò)展進(jìn)行的攻擊檢測針對(duì)WEBServer的ColdFusion擴(kuò)展進(jìn)行的攻擊檢測針對(duì)MicroSoftIISserver進(jìn)行的攻擊檢測利用ICMP進(jìn)行的掃描和攻擊。檢測利用Traceroute對(duì)網(wǎng)絡(luò)的探測檢測ActiveX，JaveApplet的傳輸檢測對(duì)其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊在線升級(jí)和實(shí)時(shí)報(bào)警由于入侵檢測系統(tǒng)的庫文件是需要不斷的更新，因此方正方御防火墻提供了非常方便的升級(jí)接口，可以通過我們的網(wǎng)站進(jìn)行在線升級(jí)，而且我們提供了非常方便的用戶升級(jí)界面，使升級(jí)工作可以非常方便的完成。報(bào)警是否能夠及時(shí)是衡量一個(gè)入侵檢測系統(tǒng)的重要因素之一，如果在黑客剛剛進(jìn)行攻擊的時(shí)候就能夠做出響應(yīng)，那么管理員會(huì)有足夠的時(shí)間進(jìn)行防護(hù)。方正方御防火墻的報(bào)警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測系統(tǒng)檢測到攻擊，報(bào)警系統(tǒng)會(huì)馬上做出反應(yīng)，通過Email或手機(jī)通知管理員。同時(shí)會(huì)啟動(dòng)自動(dòng)防范系統(tǒng)進(jìn)行防范。入侵檢測和防火墻的互動(dòng)通過通信行為跟蹤，防火墻能夠檢測到對(duì)網(wǎng)絡(luò)的多種掃描，檢測到對(duì)網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M(jìn)行響應(yīng)，包括自動(dòng)防范及用戶自定義安全響應(yīng)策略等。雙機(jī)熱備方正方御防火墻系統(tǒng)能夠在網(wǎng)絡(luò)中智能地尋找與其對(duì)等的備份機(jī)，并且使備份機(jī)自動(dòng)進(jìn)入等待狀態(tài)，而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效，可及時(shí)自動(dòng)啟動(dòng)，防止網(wǎng)絡(luò)中斷事故的發(fā)生。其智能識(shí)別技術(shù)甚至可以支持多于兩臺(tái)以上的方正方御防火墻在網(wǎng)絡(luò)上互為備份，適用于對(duì)可靠性要求極高的場合。強(qiáng)大的審計(jì)功能審計(jì)功能是方正方御防火墻非常強(qiáng)大的一個(gè)部分，目前國內(nèi)防火墻的審計(jì)功能都非常不完善，方正方御防火墻提供了大量的審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容的查詢功能，由于日志可能對(duì)一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而且就每一個(gè)部分都是可以進(jìn)行查詢和管理的，這樣一來就可以使用戶對(duì)防火墻的情況有一個(gè)非常透徹的了解。方正方御防火墻中審計(jì)功能有著非常完善的權(quán)限管理，有專門的審計(jì)員來對(duì)審計(jì)內(nèi)容進(jìn)行管理，在審計(jì)中又分成了若干級(jí)別的權(quán)限。這樣可以方便管理員管理審計(jì)內(nèi)容。基于PKI的高級(jí)授權(quán)認(rèn)證PKI（PublicKeyInfrastructure）是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。網(wǎng)絡(luò)，特別是Internet網(wǎng)絡(luò)的安全應(yīng)用已經(jīng)離不開PKI技術(shù)的支持。網(wǎng)絡(luò)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全需求只有PKI技術(shù)才能滿足。PKI在國外已經(jīng)開始實(shí)際應(yīng)用。在美國，隨著電子商務(wù)的日益興旺，電子簽名、數(shù)字證書已經(jīng)在實(shí)際中得到了一定程度的應(yīng)用，就連某些國家都已經(jīng)開始接受電子簽名的檔案。方正方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。有些防火墻的認(rèn)證機(jī)制采用OTP（OnceTimePassword），或者采用了靜態(tài)口令機(jī)制。比如說，靜態(tài)密碼是用戶和機(jī)器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個(gè)口令，就說明用戶是機(jī)器所認(rèn)為的那個(gè)人，那么就很容易的控制防火墻。而一次性口令也一樣，用戶和機(jī)器之間必須共知一條通行短語，而這通行短語對(duì)外界是完全保密的。和靜態(tài)口令不同的是，這個(gè)通行短語并不在網(wǎng)絡(luò)上進(jìn)行傳輸，所以黑客通過網(wǎng)絡(luò)竊聽是不可能的。當(dāng)時(shí)使用起來沒有使用證書認(rèn)證方便。因此方正方御防火墻基于PKI的高級(jí)授權(quán)認(rèn)證機(jī)制在技術(shù)上面非常的先進(jìn)，超越了大部分的防火墻產(chǎn)品。集中管理根據(jù)美國財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無用，而是由于一般的防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護(hù)防火墻，要求防火墻管理員對(duì)網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解，而且防火墻的安全策略無法進(jìn)行集中管理，這些都造成了網(wǎng)絡(luò)安全的失敗。而方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。工程實(shí)施方案測試及驗(yàn)收測試及驗(yàn)收描述在整個(gè)項(xiàng)目實(shí)施過程中，有3個(gè)重要的驗(yàn)收，它們是單點(diǎn)驗(yàn)收、初驗(yàn)和終驗(yàn)。下面是這三個(gè)驗(yàn)收通過的描述：系統(tǒng)初驗(yàn)功能測試功能測試主要是為了驗(yàn)證所完成的網(wǎng)絡(luò)系統(tǒng)是否具有合同所描述的或超過合同要求的各項(xiàng)功能，主要有：網(wǎng)絡(luò)的連通性測試各應(yīng)用系統(tǒng)功能的實(shí)現(xiàn)網(wǎng)絡(luò)管理功能的實(shí)現(xiàn)實(shí)際數(shù)據(jù)傳輸?shù)臏y試性能測試性能測主要是檢驗(yàn)所完成的網(wǎng)絡(luò)系統(tǒng)的性能優(yōu)劣，主要有：網(wǎng)絡(luò)的承載能力各網(wǎng)絡(luò)設(shè)備相應(yīng)速度各應(yīng)用系統(tǒng)的服務(wù)提供功能和能力方正方御防火墻技術(shù)支持與服務(wù)方正數(shù)碼綠色服務(wù)體系結(jié)構(gòu)介紹方正數(shù)碼有限公司以北京為核心，在全國范圍內(nèi)建設(shè)三層結(jié)構(gòu)技術(shù)支持及售后服務(wù)體系，為用戶提供全方位的服務(wù)。授權(quán)服務(wù)商授權(quán)服務(wù)商大區(qū)平臺(tái)方正數(shù)碼用戶技術(shù)支持技術(shù)支持技術(shù)支持技術(shù)培訓(xùn)技術(shù)培訓(xùn)技術(shù)支持方正數(shù)碼有限公司安全產(chǎn)品技術(shù)支持中心（TechnicalSupportCenter）是第三層服務(wù)：方正數(shù)碼安全產(chǎn)品技術(shù)支持中心，是三層結(jié)構(gòu)售后服務(wù)體系的服務(wù)管理中心和技術(shù)支持核心。作為技術(shù)支持的核心，技術(shù)支持中心協(xié)助向用戶提供完善的售后服務(wù)，幫助解決第一層、第二層技術(shù)支持服務(wù)不能解決的問題，保證防火墻在用戶網(wǎng)絡(luò)上的正常運(yùn)行。技術(shù)支持中心提供服務(wù)熱線，可以進(jìn)行遠(yuǎn)程診斷，解決用戶和第一、第二層技術(shù)支持服務(wù)的電話咨詢。技術(shù)支持中心提供在線服務(wù)，為用戶提供產(chǎn)品信息相關(guān)發(fā)布，產(chǎn)品升級(jí)服務(wù)、產(chǎn)品在線技術(shù)支持（E-mail、Web論壇）、產(chǎn)品資料文檔下載服務(wù)。技術(shù)支持中心為第一層和第二層技術(shù)支持服務(wù)提供產(chǎn)品培訓(xùn)，協(xié)助其掌握產(chǎn)品信息、產(chǎn)品特性以及產(chǎn)品的實(shí)施和使用。技術(shù)支持中心還提供產(chǎn)品的遠(yuǎn)程調(diào)試服務(wù)，當(dāng)?shù)谝粚雍偷诙蛹夹g(shù)支持服務(wù)不能解決用戶問題時(shí)，可以在得到用戶授權(quán)后通過產(chǎn)品遠(yuǎn)程調(diào)試接口直接提供技術(shù)支持。技術(shù)支持中心制定產(chǎn)品的售后服務(wù)策略，提供售后服務(wù)的作業(yè)指導(dǎo)文檔，協(xié)助第一、第二層服務(wù)支持機(jī)構(gòu)完成產(chǎn)品的實(shí)施、售后支持服務(wù)的全部過程。方正數(shù)碼安全產(chǎn)品大區(qū)平臺(tái)是第二層服務(wù)：方正數(shù)碼大區(qū)平臺(tái)是方正數(shù)碼重要的銷售和技術(shù)支持中心，它可以提供方正方御防火墻的售前、售后的各項(xiàng)支持。方正數(shù)碼安全產(chǎn)品大區(qū)平臺(tái)技術(shù)支持中心的每個(gè)技術(shù)支持工程師，都經(jīng)過方正數(shù)碼專業(yè)化的學(xué)習(xí)和培訓(xùn)，擁有一流的技術(shù)和一流的敬業(yè)精神，支持第一層技術(shù)支持機(jī)構(gòu)進(jìn)行產(chǎn)品技術(shù)支持和服務(wù)。方正數(shù)碼安全產(chǎn)品授權(quán)服務(wù)商是第一層服務(wù)：方正數(shù)碼有限公司為每個(gè)方正方御防火墻授權(quán)服務(wù)商都提供了標(biāo)準(zhǔn)化、專業(yè)化的技術(shù)支持培訓(xùn)和嚴(yán)格的上崗認(rèn)證和服務(wù)授權(quán)，逐漸形成本地化的服務(wù)網(wǎng)絡(luò)。技術(shù)服務(wù)的本地化，使遍布全國的用戶都能享受到親切和便捷的技術(shù)支持服務(wù)。授權(quán)服務(wù)商的技術(shù)支持人員直接面向最終用戶，主要負(fù)責(zé)本地和相鄰區(qū)域產(chǎn)品的售后支持服務(wù)，為用戶提供上門服務(wù)，包括產(chǎn)品的實(shí)施、診斷、維修和保駕等。授權(quán)服務(wù)商的技術(shù)支持人員按照服務(wù)流程文檔和作業(yè)指導(dǎo)書的規(guī)范向用戶提供服務(wù)，并向方正數(shù)碼技術(shù)支持中心返回用戶信息（用戶電話以及其他聯(lián)系方式、產(chǎn)品序號(hào)、產(chǎn)品實(shí)施網(wǎng)絡(luò)拓?fù)鋱D等），以便于方正數(shù)碼對(duì)用戶進(jìn)行定期回訪。完善的技術(shù)支持與服務(wù)方正數(shù)碼對(duì)安全產(chǎn)品提供售前、售后等服務(wù)，全面的幫助代理商、服務(wù)商和最終用戶快速、方便的使用方正數(shù)碼的安全產(chǎn)品，并且提供多種服務(wù)包，滿足不同用戶的特殊需求，以達(dá)到協(xié)助用戶實(shí)現(xiàn)網(wǎng)絡(luò)安全的目標(biāo)。我們的服務(wù)按時(shí)間劃分為：售前階段：售前階段是指從獲得用戶的需求到安全產(chǎn)品的第一次安裝。在這個(gè)階段我們的售前工程師會(huì)分析用戶需求、設(shè)計(jì)方案、方案測試及安裝、布置網(wǎng)絡(luò)安全產(chǎn)品，直至用戶滿意并簽署驗(yàn)收?qǐng)?bào)告。售后階段：從用戶購買我們的安全產(chǎn)品開始，我們的售后工程師會(huì)幫助用戶解決使用中的遇到的各種問題。售前服務(wù)內(nèi)容技術(shù)咨詢：如果用戶或代理商在網(wǎng)絡(luò)安全方面有疑問或需要幫助可以撥打熱線電話咨詢，技術(shù)咨詢熱線將解答關(guān)于網(wǎng)絡(luò)安全方面的疑問。售前技術(shù)培訓(xùn)：提供防火墻及安全產(chǎn)品的售前技術(shù)培訓(xùn)，讓代理商、授權(quán)服務(wù)商和用戶了解網(wǎng)絡(luò)安全的相關(guān)信息和知識(shí)，熟悉方正數(shù)碼的產(chǎn)品，能夠使用方正數(shù)碼的產(chǎn)品構(gòu)建網(wǎng)絡(luò)安全解決方案。分析用戶需求：當(dāng)用戶提供了需求說明后，工程師會(huì)認(rèn)真的分析用戶的需求，為用戶提供最有效、最實(shí)用的安全方案。設(shè)計(jì)解決方案：在分析用戶的需求后，幫助用戶設(shè)計(jì)一套多層次、多角度、易實(shí)施、全面的網(wǎng)絡(luò)安全解決方案。方案布置實(shí)施：用戶購買了方正方御安全產(chǎn)品后，協(xié)助用戶按照設(shè)計(jì)的方案布置、實(shí)施。售前服務(wù)流程設(shè)備驗(yàn)收應(yīng)該在用戶設(shè)備到位后5個(gè)工作日內(nèi)完成。其中用戶信息包括：產(chǎn)品序號(hào)、產(chǎn)品序列號(hào)、單位名稱、網(wǎng)絡(luò)名稱、地址、聯(lián)系人、電話（座機(jī)、手機(jī)）、Email地址、實(shí)施網(wǎng)絡(luò)圖等其他和用戶保修相關(guān)信息。用戶會(huì)通過電話和Email形式得到方正數(shù)碼返回的服務(wù)號(hào)，以確保用戶能享受方正數(shù)碼提供的售后服務(wù)。售后服務(wù)內(nèi)容技術(shù)培訓(xùn):為了讓用戶能夠更好的架構(gòu)自己的網(wǎng)絡(luò)安全系統(tǒng)，方正數(shù)碼培訓(xùn)中心提供網(wǎng)絡(luò)基礎(chǔ)、防火墻知識(shí)及網(wǎng)絡(luò)安全培訓(xùn)。培訓(xùn)課程包括TCP/IP基礎(chǔ)、網(wǎng)絡(luò)安全基礎(chǔ)、防火墻的實(shí)施和使用以及防火墻規(guī)則配置分析。如果用戶通過了方正數(shù)碼培訓(xùn)中心的防火墻及網(wǎng)絡(luò)安全工程師的認(rèn)證考試，可以獲得方正數(shù)碼網(wǎng)絡(luò)安全工程師認(rèn)證證書。產(chǎn)品培訓(xùn):為了保證用戶能夠輕松、快速、正確的使用我們的產(chǎn)品，方正數(shù)碼培訓(xùn)中心提供安全產(chǎn)品的使用、維修培訓(xùn)。系統(tǒng)加固：一般的企業(yè)在網(wǎng)絡(luò)安全方面沒有專業(yè)的知識(shí)和技能，為此方正數(shù)碼可以協(xié)助用戶檢測網(wǎng)絡(luò)系統(tǒng)的安全強(qiáng)度，并幫助用戶彌補(bǔ)安全上現(xiàn)存的漏洞，提高用戶的網(wǎng)絡(luò)安全等級(jí)，增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性。用戶意見處理：我公司始終認(rèn)為用戶提出的意見和建議是推動(dòng)我們前進(jìn)的動(dòng)力之一，為此我們會(huì)及時(shí)、快速地處理用戶的意見和建議，將其分類、匯總并記入我們的數(shù)據(jù)庫，以便于我們不斷地對(duì)產(chǎn)品進(jìn)行改進(jìn)和完善。用戶可通過熱線電話010－68419468或Email:sharks@反映意見和建議。產(chǎn)品答疑：如果用戶在產(chǎn)品使用過程中有任何問題可以撥打我們的熱線電話或給我們發(fā)電子郵件，我們會(huì)在第一時(shí)間解答您的疑問。故障診斷：當(dāng)我們的產(chǎn)品出現(xiàn)故障時(shí)，用戶可以通過我們的熱線電話通知我們，我們可以提供包括電話指導(dǎo)、上門服務(wù)等形式幫助用戶診斷故障并快速解決。版本升級(jí)：我們會(huì)不定期地提供防火墻的內(nèi)核及入侵檢測庫的升級(jí)包，用戶可以通過我們的網(wǎng)站（）下載升級(jí)包，升級(jí)自己的防火墻。保修服務(wù)：方正數(shù)碼對(duì)方正方御防火墻網(wǎng)絡(luò)安全產(chǎn)品承諾為期一年的免費(fèi)保修。免費(fèi)保修期后，方正數(shù)碼仍然提供完善的服務(wù)來保證用戶系統(tǒng)的正常運(yùn)行。售后服務(wù)流程為更好地向用戶提供方正方御防火墻的服務(wù)，方正數(shù)碼提供了金牌服務(wù)、銀牌服務(wù)、普通服務(wù)三個(gè)不同檔次的服務(wù)包供用戶挑選。對(duì)于購買了這三種服務(wù)包的用戶方正數(shù)碼將按照服務(wù)包的內(nèi)容更好的為用戶服務(wù)。金牌服務(wù)：為更好的向用戶提供方正方御防火墻的服務(wù)，方正數(shù)碼提供了金牌服務(wù)包，它包括安裝服務(wù)、維修服務(wù)、保駕服務(wù)（4次）、備機(jī)使用、應(yīng)急響應(yīng)服務(wù)等服務(wù)內(nèi)容。銀牌服務(wù)：用戶可以購買方正數(shù)碼提供的銀牌服務(wù)包，它包括安裝服務(wù)、維修服務(wù)、保駕服務(wù)（4次）、備機(jī)使用等服務(wù)內(nèi)容。普通服務(wù)：方正數(shù)碼還提供了普通服務(wù)包，它包括安裝服務(wù)、維修服務(wù)、保駕服務(wù)（4次）等服務(wù)內(nèi)容。服務(wù)方式電話支持(周一至周五9:00-18:00，節(jié)假日除外)：用戶在使用本公司網(wǎng)絡(luò)安全產(chǎn)品時(shí)如遇到問題，無論是軟件，硬件或是網(wǎng)絡(luò)，都可以從方正數(shù)碼得到電話支持，用戶可以指定一名主要聯(lián)系人及兩名替補(bǔ)聯(lián)系人與方正數(shù)碼技術(shù)支持中心聯(lián)系。一旦接到用戶請(qǐng)求電話，方正數(shù)碼技術(shù)人員將在規(guī)定時(shí)間內(nèi)通過電話解決或回答用戶的問題。對(duì)于非工作日接到的故障電話，最遲將在下一個(gè)工作日響應(yīng)。在線支持：HYPERLINK是一個(gè)網(wǎng)絡(luò)安全專題網(wǎng)站，其中包括方正數(shù)碼的網(wǎng)絡(luò)安全系列產(chǎn)品信息、網(wǎng)絡(luò)安全的各種攻防信息、最新的網(wǎng)絡(luò)安全資料、用戶經(jīng)常提出的問題及解答、網(wǎng)絡(luò)安全產(chǎn)品版本內(nèi)升級(jí)程序、補(bǔ)丁程序以及其它對(duì)用戶解決技術(shù)問題有幫助的信息。Website每天更新，用戶可以通過Internet實(shí)時(shí)讀取有關(guān)信息?，F(xiàn)場支持(周一至周五9:00-18:00，節(jié)假日除外)：對(duì)于通過電話無法解決的問題，方正數(shù)碼或授權(quán)服務(wù)中心將派出工程師到用戶現(xiàn)場為用戶提供現(xiàn)場產(chǎn)品調(diào)試服務(wù)，保證網(wǎng)絡(luò)安全產(chǎn)品在用戶網(wǎng)絡(luò)上正常運(yùn)行。服務(wù)監(jiān)督為了向您提供更優(yōu)質(zhì)的售后服務(wù)，保護(hù)您的權(quán)益，如果在我們承諾的服務(wù)范圍內(nèi)您對(duì)我公司網(wǎng)絡(luò)安全產(chǎn)品技術(shù)支持中心或者授權(quán)維修中心提供的服務(wù)有異議時(shí)，我公司歡迎您對(duì)我們的工作進(jìn)行監(jiān)督，我們將以最快的速度給您一個(gè)滿意的答復(fù)。投訴熱線真010-68419253E-mail：HYPERLINKmailto:Sharks@ESharks@E網(wǎng)站：HYPERLINK信函：100089北京市海淀區(qū)西三環(huán)北路27號(hào)北科大廈4層方正數(shù)碼網(wǎng)絡(luò)安全產(chǎn)品技術(shù)支持中心

保修方正數(shù)碼有限公司對(duì)其防火墻產(chǎn)品承諾如下保修服務(wù)：產(chǎn)品一年免費(fèi)保修，隨機(jī)資料及光盤、軟盤、電源線、串口線、網(wǎng)線、包裝材料等不屬于保修范圍。保修方式故障譖別：當(dāng)客戶購買的網(wǎng)絡(luò)安全產(chǎn)品發(fā)生故障時(shí)，方正數(shù)碼可以提供故障譖別服務(wù)。工程師判斷故障類型后，由客戶決定是否維修。維修服務(wù)：如果產(chǎn)品的保修類別是現(xiàn)場維修，則產(chǎn)品的維修將在客戶的使用現(xiàn)場進(jìn)行。但如果是某些特殊的故障，經(jīng)客戶同意，方正數(shù)碼授權(quán)工程師會(huì)將產(chǎn)品帶回維修，并提供一臺(tái)備機(jī)以保證用戶網(wǎng)絡(luò)的正常運(yùn)行，在修復(fù)后將原產(chǎn)品送還客戶，并取回備機(jī)。備件更換：經(jīng)過診斷，產(chǎn)品故障較為嚴(yán)重?zé)o法通過其它維修方式進(jìn)行維修的，方正數(shù)碼提供備件更換服務(wù)，并恢復(fù)原用戶產(chǎn)品的配置，以保證用戶網(wǎng)絡(luò)的正常運(yùn)行。保修范圍方正數(shù)碼提供的保修服務(wù)不適用于向非授權(quán)代理商處購買的任何網(wǎng)絡(luò)安全產(chǎn)品。也不適用于因以下原因而遭受損壞或出現(xiàn)缺陷的任何網(wǎng)絡(luò)安全產(chǎn)品：地震、火災(zāi)等自然災(zāi)害及意外事故所造成的損壞擅自更換或修改原網(wǎng)絡(luò)安全產(chǎn)品硬件部件因使用網(wǎng)絡(luò)安全產(chǎn)品不當(dāng)造成的任何間接損失經(jīng)方正數(shù)碼或方正數(shù)碼授權(quán)服務(wù)供應(yīng)商之外的人士進(jìn)行修理或維修（以設(shè)備封條為準(zhǔn)）人為原因（有可見的物理性損壞等）造成的硬件損壞誤用或?yàn)E用磨損或損耗保修期的確認(rèn)保修期始于購買之日。含有網(wǎng)絡(luò)安全產(chǎn)品購買日期的購買收據(jù)，即為您購買日期的證明。此保修條款僅適用于原始購買人享有。購買網(wǎng)絡(luò)安全產(chǎn)品后，請(qǐng)?zhí)钔妆Ｐ蘅ú⒋丝╗I聯(lián)]以及用戶信息登記卡寄回方正數(shù)碼進(jìn)行用戶注冊(cè)，公司收到后，會(huì)寄回注冊(cè)確認(rèn)函（包含用戶的產(chǎn)品服務(wù)號(hào)），用戶憑保修卡及服務(wù)號(hào)就可享受各項(xiàng)保修服務(wù)。如果您沒有進(jìn)行用戶注冊(cè)，維修時(shí)，您需要出示原始購買憑證。若用戶無法提供以上證明，方正數(shù)碼將根據(jù)產(chǎn)品序列號(hào)來計(jì)算保修日期，即產(chǎn)品出產(chǎn)之日起三（3）個(gè)月算起。培訓(xùn)安排為保證用戶對(duì)系統(tǒng)的熟練掌握，方正數(shù)碼公司為用戶提供完善的培訓(xùn)課程。培訓(xùn)目標(biāo)：掌握網(wǎng)絡(luò)安全的基本知識(shí)掌握各產(chǎn)品的工作原理能熟練操作配置系統(tǒng)能進(jìn)行日常維護(hù)能熟練地根據(jù)業(yè)務(wù)需要進(jìn)行一定的系統(tǒng)調(diào)整。培訓(xùn)課程：TCP/IP基礎(chǔ)網(wǎng)絡(luò)安全基礎(chǔ)防火墻的實(shí)施和使用防火墻規(guī)則配置分析VPN產(chǎn)品的實(shí)施和使用培訓(xùn)方式：理論授課、上機(jī)實(shí)習(xí)培訓(xùn)時(shí)長：3工作日培訓(xùn)地點(diǎn)：北京方正數(shù)碼有限公司培訓(xùn)教室培訓(xùn)人數(shù)：35人入學(xué)要求：計(jì)算機(jī)使用熟練：熟悉windows系統(tǒng)具有基本網(wǎng)絡(luò)知識(shí)：熟悉路由器、交換機(jī)、集線器等基本網(wǎng)絡(luò)設(shè)備。有組建簡單局域網(wǎng)絡(luò)的能力。有組建簡單TCP/IP網(wǎng)絡(luò)的能力。（有防火墻此類安全產(chǎn)品使用經(jīng)驗(yàn)者更佳）全國服務(wù)網(wǎng)絡(luò)方正數(shù)碼公司利用其全國服務(wù)網(wǎng)絡(luò)，可以為XX網(wǎng)絡(luò)安全系統(tǒng)在各省市、地方的機(jī)構(gòu)提供本地化的快捷服務(wù)。目前方正數(shù)碼有限公司總部在北京，已在上海、廣州開設(shè)辦事處，并在北京、上海、廣州分別設(shè)技術(shù)支持中心，在全國范圍內(nèi)簽有多家授權(quán)服務(wù)提供商。每星期一至星期五（國家法定節(jié)假日除外），每天9:00~18:00可撥線電話享受技術(shù)支持，或者訪問我們的網(wǎng)站HYPERLINK，也可直接與距您最近的辦事處聯(lián)系。我們將調(diào)度最近的服務(wù)商在第一時(shí)間提供專為大客戶設(shè)計(jì)的更優(yōu)質(zhì)的服務(wù)。場地及環(huán)境準(zhǔn)備常規(guī)要求這一部分描述的工程設(shè)計(jì)數(shù)據(jù)是計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的規(guī)劃和安裝的必要環(huán)境條件標(biāo)準(zhǔn)。機(jī)房電源、地線及同步要求要求使用不間斷穩(wěn)壓電源供電。提供穩(wěn)壓的標(biāo)準(zhǔn)交流電源（含UPS）的輸入中心線和輸出中心線不能相聯(lián)，需分別接地，各自構(gòu)成回路，不能交叉。提供穩(wěn)壓的－48V直流電源。地線：機(jī)房設(shè)備機(jī)架全部接地，要求接地電阻不大于4歐姆；同時(shí)要求從程控電話交換機(jī)接出的E1中繼所在機(jī)架接地。照明、辦公設(shè)備不得與設(shè)備電源相聯(lián)。電源：電源為單相220伏穩(wěn)壓交流電源。直流電源要求為DC-48V電源。電源輸出距設(shè)備位置不應(yīng)超過3米設(shè)備場地、通信設(shè)備場地在每一處地點(diǎn)的設(shè)備包括如下內(nèi)容：機(jī)架。容納防火墻的工作臺(tái)。機(jī)房應(yīng)配備計(jì)算機(jī)地板，或相應(yīng)的布線槽位及走線。通用的工具、工作桌、工作椅應(yīng)準(zhǔn)備好。普通網(wǎng)線至少4根。普通PC機(jī)一臺(tái)。如果需要防火墻遠(yuǎn)程管理，需要一個(gè)靜態(tài)IP地址。機(jī)房環(huán)境機(jī)房設(shè)計(jì)的環(huán)境如下表：No.項(xiàng)目參考值1房間尺寸請(qǐng)參照所附的規(guī)劃書2空氣條件塵埃，低于0.3mg/m33振動(dòng)機(jī)房內(nèi)部地面低于0.25G4有害氣體氣體濃度不能高于危害操作員健康和機(jī)器壽命的限度.5地板強(qiáng)度大于等于500kg/m2(相當(dāng)于一般寫字樓地面)6地板表面防靜電材料防塵封材料7樓層高度大于等于2.2m8墻壁和天花板防靜電材料防塵封材料阻燃材料吸音和隔音材料9窗戶為防止陽光對(duì)設(shè)備損害,應(yīng)加窗簾防塵和防止鹽類與有害氣體的腐蝕10門最窄不小于1.2m,最高不少于2.0m11保安能防火、防洪水與地震和操作員及設(shè)備安全12衛(wèi)生條件能防鼠患和昆蟲13防火安裝自動(dòng)火警裝置和滅火器14電場強(qiáng)度≤120dB(1V/m)，頻率范圍從10KHZ到1GHZ15磁場強(qiáng)度≤50Oe（顯示器要求為0.015Oe）16靜電≤6KV（試驗(yàn)設(shè)備的要求為150PF/330Ohm）17照明300到700流明（luX）高于地頓85cmC推薦500流明18溫度15~28攝氏度，每小時(shí)變化不超過10%。19濕度30%-80%，不結(jié)露對(duì)于VPN產(chǎn)品的電源要求：為密碼機(jī)及管理中心提供不間斷電源：密碼機(jī)每臺(tái)：AC220Ｖ（＋10％，－15％），功耗：≤250Ｗ密碼機(jī)網(wǎng)管中心每部：AC220Ｖ（＋10％，－15％），功耗：≤350W密鑰配發(fā)中心每套：AC220Ｖ（＋10％，－15％），功耗：≤700W驗(yàn)收清單設(shè)備開箱驗(yàn)收清單合同號(hào):__________________________產(chǎn)品序號(hào)：________________________________________________產(chǎn)品序列號(hào)：_______________________________________________合同產(chǎn)品已經(jīng)運(yùn)抵安裝現(xiàn)場 （用戶下屬機(jī)構(gòu)）。運(yùn)抵日期： ，開箱日期： 由買賣雙方表確認(rèn)，下列產(chǎn)品出現(xiàn)短缺和損壞：序列號(hào)產(chǎn)品型號(hào)短缺數(shù)量損壞數(shù)量說明除了上述所列產(chǎn)品以外，其它合同產(chǎn)品均被買方接收。用戶信息清單該清單對(duì)于由〖用戶全稱〗下屬機(jī)構(gòu)的設(shè)備安裝環(huán)境進(jìn)行現(xiàn)場勘探。安裝現(xiàn)場基本信息用戶下屬機(jī)構(gòu)名稱安裝環(huán)境負(fù)責(zé)人名：辦公室電話：通信地址：安裝用戶基本信息用戶下屬機(jī)構(gòu)名稱負(fù)責(zé)人名（1）：辦公室電話：通信地址：負(fù)責(zé)人名（2）：辦公室電話：通信地址：安裝工程師基本信息用戶下屬機(jī)構(gòu)名稱安裝工程師名：辦公室電話：通信地址：用戶驗(yàn)收清單最終用戶〖用戶全稱〗對(duì)整體系統(tǒng)試運(yùn)行驗(yàn)收，該驗(yàn)收起始于 ____結(jié)束于_______ 下列技術(shù)問題在整體系統(tǒng)試運(yùn)行期間曾經(jīng)發(fā)生，但這些問題并不對(duì)系統(tǒng)的正常運(yùn)行產(chǎn)生重要影響。但是，供應(yīng)商將盡快解決下列技術(shù)問題。序列號(hào)技術(shù)問題描述主要技術(shù)原因方