石家莊電信分公司網(wǎng)絡(luò)安全項(xiàng)目解決方案

電信分公司網(wǎng)絡(luò)安全

方案1.背景介紹1.1.項(xiàng)目總述電信分公司網(wǎng)絡(luò)安全系統(tǒng)主要涉及計(jì)費(fèi)網(wǎng)絡(luò)、0A網(wǎng)絡(luò)和客服網(wǎng)絡(luò)設(shè)計(jì)和布局。需要在一些對(duì)外接口處放置防火墻系統(tǒng)，以保障數(shù)據(jù)和信息在網(wǎng)絡(luò)上傳輸?shù)陌踩?.2.網(wǎng)絡(luò)環(huán)境總述電信分公司網(wǎng)絡(luò)安全系統(tǒng)是非涉密的部業(yè)務(wù)工作處理網(wǎng)絡(luò)，傳輸、處理、查詢工作中非涉密的信息。防火墻系統(tǒng)需要集中在數(shù)據(jù)中心控制機(jī)上面進(jìn)行管理和審計(jì)。信息安全方案的組成信息安全產(chǎn)品的選型原則電信分公司網(wǎng)絡(luò)安全系統(tǒng)是一個(gè)要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的信息在網(wǎng)絡(luò)傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會(huì)嚴(yán)重的影響工作。所以電信分公司網(wǎng)絡(luò)安全系統(tǒng)安全產(chǎn)品的選型事關(guān)重大，要提到國(guó)家戰(zhàn)略的高度來衡量，否則一旦被黑客或者敵國(guó)攻入，其代價(jià)將是不能想象的。電信分公司網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)方案必須遵循如下原則：?全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。電信分公司網(wǎng)絡(luò)安全系統(tǒng)安全體系，遵循中心統(tǒng)一規(guī)劃，局部實(shí)施的原則。?綜合性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我國(guó)發(fā)生的網(wǎng)絡(luò)安全問題中，管理問題占相當(dāng)大的比例，在各地方建立網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。?均衡性原則：安全措施的實(shí)施必須以根據(jù)安全級(jí)別和經(jīng)費(fèi)限度統(tǒng)一考慮。網(wǎng)絡(luò)中相同安全級(jí)別的強(qiáng)度要一致。?節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變?cè)瓉砭W(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。?集中性原則：所有的防火墻產(chǎn)品要求在數(shù)據(jù)中心可以進(jìn)行集中管理，這樣才能保證在數(shù)據(jù)中心的服務(wù)器上可以掌握全局。?角色化原則：防火墻產(chǎn)品在管理上面不僅在數(shù)據(jù)中心可以完全控制外，在地方還需要分配適當(dāng)?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和查看防火墻策略和審計(jì)。目前，很多公開的新聞表明美國(guó)國(guó)家安全局（NSA）有可能在許多美國(guó)大軟件公司的產(chǎn)品中安裝“后門”，其中包括一些應(yīng)用廣泛的操作系統(tǒng)。為此德國(guó)軍方前些時(shí)候甚至規(guī)定在所有牽涉到的計(jì)算機(jī)里，不得使用美國(guó)的操作系統(tǒng)。作為信息安全的保障，我們?cè)诎踩a(chǎn)品選型時(shí)強(qiáng)烈建議使用國(guó)自主開發(fā)的優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品，將安全風(fēng)險(xiǎn)降至最低。在為各安全產(chǎn)品選型時(shí)，我們立足國(guó)，同時(shí)保證所選產(chǎn)品的先進(jìn)性及可靠性，并要求通過國(guó)家各主要安全測(cè)評(píng)認(rèn)證。網(wǎng)絡(luò)安全現(xiàn)狀I(lǐng)nternet正在越來越多地融入到社會(huì)的各個(gè)方面。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊(duì)、企業(yè)、個(gè)人的利益休戚相關(guān)的“大事情”。尤其對(duì)于政府和軍隊(duì)而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會(huì)對(duì)國(guó)家安全帶來嚴(yán)重的威脅。2000年二月，在三天的時(shí)間里，黑客使美國(guó)數(shù)家頂級(jí)互聯(lián)一Yahoo!'Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國(guó)上下如臨大敵。黑客使用了DDoS（分布式拒絕服務(wù)）的攻擊手段，用大量無(wú)用信息阻塞的服務(wù)器，使其不能提供正常服務(wù)。在隨后的不到一個(gè)月的時(shí)間里，又先后有微軟、ZDNet和E*TRADE等著名遭受攻擊。國(guó)也未能幸免于難，新浪、當(dāng)當(dāng)書店、EC123等知名也先后受到黑客攻擊。國(guó)第一家大型網(wǎng)上連鎖商城IT1633月6日開始運(yùn)營(yíng)，然而僅四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫(kù)遭到不同程度的破壞，致使無(wú)法運(yùn)作。客觀地說，沒有任何一個(gè)網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)FinancialTimes曾做過的統(tǒng)計(jì)，平均每20秒鐘就有一個(gè)網(wǎng)絡(luò)遭到入侵。僅在美國(guó)，每年由于網(wǎng)絡(luò)安全問題造成的經(jīng)濟(jì)損失就超過100億美元。典型的黑客攻擊黑客們進(jìn)行網(wǎng)絡(luò)攻擊的目的各種各樣，有的是出于政治目的，有的是員工部破壞，還有的是出于好奇或者滿足自己的虛榮心。隨著Internet的高速發(fā)展，也出現(xiàn)了有明確軍事目的的軍方黑客組織。在典型的網(wǎng)絡(luò)攻擊中，黑客一般會(huì)采取如下的步驟：自我隱藏，黑客使用通過rsh或telnet在以前攻克的主機(jī)上跳轉(zhuǎn)、通過錯(cuò)誤配置的proxy主機(jī)跳轉(zhuǎn)等各種技術(shù)來隱藏他們的IP地址，更高級(jí)一點(diǎn)的黑客，精通利用交換侵入主機(jī)。網(wǎng)絡(luò)偵探和信息收集，在利用Internet開始對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊前，典型的黑客將會(huì)對(duì)網(wǎng)絡(luò)的外部主機(jī)進(jìn)行一些初步的探測(cè)。黑客通常在查找其他弱點(diǎn)之前首先試圖收集網(wǎng)絡(luò)結(jié)構(gòu)本身的信息。通過查看上面查詢來的結(jié)果列表，通常很容易建立一個(gè)主機(jī)列表并且開始了解主機(jī)之間的聯(lián)系。黑客在這個(gè)階段使用一些簡(jiǎn)單的命令來獲得外部和部主機(jī)的名稱：例如，使用nslookup來執(zhí)行“l(fā)s〈domainornetwork>”，finger外部主機(jī)上的用戶等。確認(rèn)信任的網(wǎng)絡(luò)組成，一般而言，網(wǎng)絡(luò)中的主控主機(jī)都會(huì)受到良好的安全保護(hù)，黑客對(duì)這些主機(jī)的入侵是通過網(wǎng)絡(luò)中的主控主機(jī)的信任成分來開始攻擊的，一個(gè)網(wǎng)絡(luò)信任成員往往是主控主機(jī)或者被認(rèn)為是安全的主機(jī)。黑客通常通過檢查運(yùn)行nfsd或mountd的那些主機(jī)輸出的NFS開始入侵，有時(shí)候一些重要目錄（例如/etc，/home）能被一個(gè)信任主機(jī)mount°確認(rèn)網(wǎng)絡(luò)組成的弱點(diǎn)，如果一個(gè)黑客能建立你的外部和部主機(jī)列表，他就可以用掃描程序（如ADMhack,mscan,nmap等）來掃描一些特定的遠(yuǎn)程弱點(diǎn)。啟動(dòng)掃描程序的主機(jī)系統(tǒng)管理員通常都不知道一個(gè)掃描器已經(jīng)在他的主機(jī)上運(yùn)行，因?yàn)椤痯s'和’netstat'都被特洛伊化來隱藏掃描程序。在對(duì)外部主機(jī)掃描之后，黑客就會(huì)對(duì)主機(jī)是否易受攻擊或安全有一個(gè)正確的判斷°有效利用網(wǎng)絡(luò)組成的弱點(diǎn)，當(dāng)黑客確認(rèn)了一些被信任的外部主機(jī)，并且同時(shí)確認(rèn)了一些在外部主機(jī)上的弱點(diǎn)，他們就要嘗試攻克主機(jī)了°黑客將攻擊一個(gè)被信任的外部主機(jī)，用它作為發(fā)動(dòng)攻擊部網(wǎng)絡(luò)的據(jù)點(diǎn)°要攻擊大多數(shù)的網(wǎng)絡(luò)組成，黑客就要使用程序來遠(yuǎn)程攻擊在外部主機(jī)上運(yùn)行的易受攻擊服務(wù)程序，這樣的例子包括易受攻擊的Sendmail,IMAP,P0P3和諸如statd,mountd,pcnfsd等RPC服務(wù)°獲得對(duì)有弱點(diǎn)的網(wǎng)絡(luò)組成的訪問權(quán)，在攻克了一個(gè)服務(wù)程序后，黑客就要開始清除他在記錄文件中所留下的痕跡，然后留下作后門的二進(jìn)制文件，使其以后可以不被發(fā)覺地訪問該主機(jī)°目前，黑客的主要攻擊方式有：欺騙：通過偽造IP地址或者盜用用戶等方法來獲得對(duì)系統(tǒng)的非授權(quán)使用，例如盜用撥號(hào)。竊聽：利用以太網(wǎng)廣播的特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡(luò)的數(shù)據(jù)包，對(duì)信息進(jìn)行過濾和分析后得到有用的信息，例如使用sniffer程序竊聽用戶密碼。數(shù)據(jù)竊取：在信息的共享和傳遞過程中，對(duì)信息進(jìn)行非法的復(fù)制，例如，非法拷貝數(shù)據(jù)庫(kù)重要的商業(yè)信息，盜取用戶的個(gè)人信息等。數(shù)據(jù)篡改：在信息的共享和傳遞過程中，對(duì)信息進(jìn)行非法的修改，例如，刪除系統(tǒng)的重要文件，破壞數(shù)據(jù)庫(kù)等。拒絕服務(wù)：使用大量無(wú)意義的服務(wù)請(qǐng)求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU處理能力和10能力，造成系統(tǒng)癱瘓，無(wú)法對(duì)外提供服務(wù)。典型的例子就是2000年年初黑客對(duì)Yahoo等大型的攻擊。黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機(jī)資源被利用和網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，如果是對(duì)軍用和政府網(wǎng)絡(luò)的攻擊，還會(huì)對(duì)國(guó)家安全造成嚴(yán)重威脅。網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)就是創(chuàng)建一個(gè)完善的安全防護(hù)體系，對(duì)所有非法網(wǎng)絡(luò)行為，如越權(quán)訪問、病毒傳播、惡意破壞等等，事前預(yù)防、事中報(bào)警并阻止，事后能有效的將系統(tǒng)恢復(fù)。在上文對(duì)黑客行為的描述中，我們可以看出，網(wǎng)絡(luò)上任何一個(gè)安全漏洞都會(huì)給黑客以可乘之機(jī)。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡(luò)安全里尤其適用。所以，我們的方案必須是一個(gè)完整的網(wǎng)絡(luò)安全解決方案，對(duì)網(wǎng)絡(luò)安全的每一個(gè)環(huán)節(jié)，都要有仔細(xì)的考慮。網(wǎng)絡(luò)安全解決方案的組成針對(duì)前文對(duì)黑客入侵的過程的描述，為了更為有效的保證網(wǎng)絡(luò)安全，方正數(shù)碼提出了兩個(gè)理念：立體安全防護(hù)體系和安全服務(wù)支持。首先網(wǎng)絡(luò)的安全決不僅僅是一個(gè)防火墻，它應(yīng)是包括入侵測(cè)檢（IDS）、虛擬專用網(wǎng)（VPN）等功能在的立體的安全防護(hù)體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護(hù)服務(wù)，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。一個(gè)好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個(gè)部分組成：防火墻：對(duì)網(wǎng)絡(luò)攻擊的阻隔防火墻是保證網(wǎng)絡(luò)安全的重要屏障。防火墻根據(jù)網(wǎng)絡(luò)流的來源和訪問的目標(biāo)，對(duì)網(wǎng)絡(luò)流進(jìn)行限制，允許合法網(wǎng)絡(luò)流，并禁止非法網(wǎng)絡(luò)流。防火墻最大的意義在網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略，有效的將復(fù)雜的網(wǎng)絡(luò)安全問題簡(jiǎn)化，大大降低管理成本和潛在風(fēng)險(xiǎn)。在應(yīng)用防火墻技術(shù)時(shí)，正確的劃分網(wǎng)絡(luò)邊界和制定完善的安全策略是至關(guān)重要的。發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。比如方正方御防火墻在很好的實(shí)現(xiàn)了防火墻功能的同時(shí)，也實(shí)現(xiàn)了下面所說的入侵檢測(cè)功能；入侵檢測(cè)（IDS）:對(duì)攻擊試探的預(yù)警當(dāng)黑客試探攻擊時(shí)，大多采用一些已知的攻擊方法來試探。網(wǎng)絡(luò)安全漏洞掃描器是“先敵發(fā)現(xiàn)”，未雨綢繆。而從另外一個(gè)角度考慮問題，“實(shí)時(shí)監(jiān)測(cè)”，發(fā)現(xiàn)黑客攻擊的企圖，對(duì)于網(wǎng)絡(luò)安全來說也是非常有意義的。甚至由此派生出了P'2DR理論。入侵檢測(cè)系統(tǒng)通過掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測(cè)），或者探測(cè)系統(tǒng)的異常行為（主機(jī)入侵檢測(cè)），來發(fā)覺這類攻擊的存在。一旦被發(fā)現(xiàn)，則報(bào)警并作出相應(yīng)處理，同時(shí)可以根據(jù)預(yù)定的措施自動(dòng)反應(yīng)，比如暫時(shí)封掉發(fā)起該掃描的IP。需要注意的是，入侵檢測(cè)系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。事實(shí)上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進(jìn)行一些較為復(fù)雜的變形，就能做到?jīng)]有入侵檢測(cè)系統(tǒng)能夠識(shí)別出來。所以，在應(yīng)用入侵檢測(cè)系統(tǒng)時(shí)，千萬(wàn)不要因?yàn)橛辛巳肭謾z測(cè)系統(tǒng)，就不對(duì)系統(tǒng)中的安全隱患進(jìn)行及時(shí)補(bǔ)救。安全審計(jì)管理安全審計(jì)系統(tǒng)必須實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡(luò)入侵、部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實(shí)記錄，并能對(duì)于嚴(yán)重的違規(guī)行為進(jìn)行阻斷。安全審計(jì)系統(tǒng)所做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。安全審計(jì)跟蹤機(jī)制的容是在安全審計(jì)跟蹤中記錄有關(guān)安全的信息，而安全審計(jì)管理的容是分析和報(bào)告從安全審計(jì)跟蹤中得來的信息。安全審計(jì)跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。收集審計(jì)跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對(duì)安全要求的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。已知安全審計(jì)的存在可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用。防病毒以及特洛伊木馬計(jì)算機(jī)病毒的危害不言而喻，計(jì)算機(jī)病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來，成為黑客的又一利器。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。?安全策略的實(shí)施保證網(wǎng)絡(luò)安全知識(shí)的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。此外，信息備份是信息安全的最起碼的要求。能減少惡意網(wǎng)絡(luò)攻擊或者意外災(zāi)害帶來的破壞性損失。超高安全要求下的網(wǎng)絡(luò)保護(hù)認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問部網(wǎng)絡(luò)（包括撥號(hào)）時(shí)，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身份滲透進(jìn)部網(wǎng)絡(luò)。對(duì)于部訪問，也要有完善的網(wǎng)絡(luò)行為審計(jì)記錄和權(quán)限限定，防止由部人員發(fā)起的攻擊 70%以上的攻擊都是部人員發(fā)起的。我們建議電信分公司網(wǎng)絡(luò)安全系統(tǒng)利用基于X.509證書的認(rèn)證體系（目前最強(qiáng)的認(rèn)證體系）來進(jìn)行認(rèn)證。方正方御防火墻管理也是用X.509證書進(jìn)行認(rèn)證的。網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全界的一個(gè)玩笑就是：要想安全，就不要插上網(wǎng)線。這是一個(gè)簡(jiǎn)單的原理：如果網(wǎng)絡(luò)是隔離開的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。但對(duì)于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來說，完全的物理隔離是行不通的。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過破壞網(wǎng)絡(luò)攻擊得以進(jìn)行的另外兩個(gè)重要條件：?從外部網(wǎng)絡(luò)向部網(wǎng)絡(luò)發(fā)起連接?將可執(zhí)行指令傳送到部網(wǎng)絡(luò)從而確保電信分公司網(wǎng)絡(luò)安全系統(tǒng)的安全。.實(shí)施保證電信分公司網(wǎng)絡(luò)安全系統(tǒng)牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。要保護(hù)這樣一個(gè)繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機(jī)制，一方面要能讓電信分公司網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)。方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻符合國(guó)家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制，這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。事實(shí)上，方御防火墻是通過該標(biāo)準(zhǔn)認(rèn)證的第一個(gè)包過濾防火墻。另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)制，尤其適合于電信分公司網(wǎng)絡(luò)安全系統(tǒng)這樣的網(wǎng)絡(luò)。

2.安全架構(gòu)分析與設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)部分一網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示：網(wǎng)絡(luò)結(jié)構(gòu)部分一這部分網(wǎng)絡(luò)主要目的防護(hù)部的小型機(jī)網(wǎng)絡(luò)和財(cái)務(wù)服務(wù)器，詳細(xì)分析如下：在兩臺(tái)5000上面通過交換技術(shù)放置防火墻，可以保證了部計(jì)費(fèi)服務(wù)器系統(tǒng)的網(wǎng)絡(luò)安全。考慮以后的擴(kuò)展性，建議使用方御專業(yè)級(jí)防火墻。財(cái)務(wù)服務(wù)器和5000連接，因此其中放置一臺(tái)防火墻，可以保障合法的訪問，由于這種情況可以使用方御橋式防火墻。由于撥號(hào)服務(wù)器上面配置了認(rèn)證模塊，因此為了保障二級(jí)訪問的可靠

性，可以以后考慮在認(rèn)證后面放置防火墻。網(wǎng)絡(luò)結(jié)構(gòu)部分二語(yǔ)音/傳真

服務(wù)器甯語(yǔ)音/傳真

服務(wù)器甯??霍隹網(wǎng)絡(luò)結(jié)構(gòu)示意圖二防火墻在中心三層交換機(jī)前面進(jìn)行放置，可以有效的包含后面所以的服務(wù)器，包括應(yīng)用服務(wù)器、OA服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、CTI/CCS/IVR服務(wù)器、短信息服務(wù)器和語(yǔ)音/傳真服務(wù)器。集中管理和分級(jí)管理由于電信分公司網(wǎng)絡(luò)安全系統(tǒng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進(jìn)行審計(jì)管理，日志查詢等操作。而用戶的權(quán)限機(jī)制分配必須通過網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理。需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備。在電信分公司網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)管理中心需要對(duì)各地方的網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理。分析電信分公司網(wǎng)絡(luò)安全系統(tǒng)的特點(diǎn)和需求，方正方御防火墻的集中管理功能和權(quán)限管理機(jī)制完全可以滿足這些需求。方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。這樣他們共同的負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。電信分公司網(wǎng)絡(luò)安全系統(tǒng)的集中管理圖如下所示：

3.產(chǎn)品選型防火墻與入侵檢測(cè)的選型我們采用方正最新型方正方御防火墻。方正方御防火墻是一個(gè)很優(yōu)秀的防火墻，同時(shí)它集成強(qiáng)大的入侵檢測(cè)功能。方正方御防火墻是國(guó)第一個(gè)通過公安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認(rèn)證標(biāo)準(zhǔn)的包過濾級(jí)防火墻產(chǎn)品，同時(shí)通過了中國(guó)人民解放軍安全測(cè)評(píng)認(rèn)證中心和中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心的嚴(yán)格認(rèn)證。方正數(shù)碼公司簡(jiǎn)介作為方正集團(tuán)互聯(lián)網(wǎng)戰(zhàn)略的實(shí)施者，方正數(shù)碼將自身定位于電子商務(wù)的“賦能者”，其業(yè)務(wù)涉及互聯(lián)網(wǎng)與電子商務(wù)的技術(shù)研究應(yīng)用與系統(tǒng)集成、網(wǎng)絡(luò)市場(chǎng)營(yíng)銷服務(wù)、空間信息應(yīng)用、無(wú)線互聯(lián)以及電子商務(wù)的咨詢服務(wù)等方向，以幫助政府、行業(yè)、企業(yè)、、電子商務(wù)的運(yùn)營(yíng)者在互聯(lián)網(wǎng)時(shí)代健康成功的發(fā)展為己任。要給電子商務(wù)運(yùn)營(yíng)者賦能，先要給安全賦能。方正數(shù)碼首先推出的就是方正方御互聯(lián)網(wǎng)安全解決方案。方正方御是在經(jīng)過一年多的大量投入和深入的研究后，提出的一套基于中國(guó)國(guó)情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢(shì)的解決方案。它是一套整體的集群平臺(tái)，可以解決互聯(lián)網(wǎng)運(yùn)營(yíng)商最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問題。目前這套方案已經(jīng)得到國(guó)家有關(guān)部門的大力支持，被國(guó)家經(jīng)貿(mào)委列為國(guó)家創(chuàng)新計(jì)劃項(xiàng)目之一。另外，還得到了國(guó)家”863”計(jì)劃的支持。在立身自主開發(fā)外，方正數(shù)碼還與眾多國(guó)際知名的安全公司保持著良好的合作關(guān)系，并集成了國(guó)外最優(yōu)秀的公司安全產(chǎn)品，為國(guó)Internet的安全建設(shè)保駕護(hù)航。產(chǎn)品概述方御防火墻是方正方御中的主要安全產(chǎn)品之一。由于防火墻技術(shù)的針對(duì)性很強(qiáng)，它已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保障之一。方御防火墻是通過對(duì)國(guó)外防火墻產(chǎn)品的綜合分析，針對(duì)我們國(guó)家的具體應(yīng)用環(huán)境，結(jié)合國(guó)外防火墻領(lǐng)域里的最新發(fā)展，在面向IDC和中小企業(yè)的FireBridge防火墻的基礎(chǔ)上，提出的一種具有強(qiáng)大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運(yùn)用的安全可靠的專用防火墻系統(tǒng)。方正方御防火墻不僅僅是一個(gè)包過濾的防火墻，而且包括了大量的實(shí)用模

塊，可以為用戶提供多方面的服務(wù)。方御防火墻保護(hù)如下模塊：集中管理集中管理系統(tǒng)特點(diǎn)一體化的硬件設(shè)計(jì)方正方御防火墻采用了一體化的硬件設(shè)計(jì)，采用了自己的操作系統(tǒng)，無(wú)需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時(shí)也提高了系統(tǒng)的安全性。雙機(jī)熱備份通過雙機(jī)熱備份，本系統(tǒng)提供可靠的容錯(cuò)/熱待機(jī)功能。備份防火墻服務(wù)器中存有主防火墻服務(wù)器的設(shè)置鏡像，當(dāng)主防火墻因?yàn)槟承┰虿荒苷＿\(yùn)作，備份服務(wù)器可以在

12秒鐘取代主服務(wù)器運(yùn)作，充分保證整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)作的穩(wěn)定性。完善的訪問控制方正方御防火墻符合國(guó)家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制吩為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。多種工作模式方正方御防火墻可以工作在網(wǎng)橋路由兩種模式下，這樣可以方便用戶使用。使用在網(wǎng)橋模式時(shí)在IP層透明，使用路由模式時(shí)可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。防御DOS，DDOS攻擊普通的防火墻都是采用限制每一網(wǎng)絡(luò)地址單位時(shí)間通過的SYN包數(shù)量來抵御DDOS攻擊，但是通常網(wǎng)絡(luò)攻擊者都會(huì)隨機(jī)的偽造網(wǎng)絡(luò)地址，因此這種方法防的效果非常差，不能從根本上抵御DDOS攻擊。方正方御防火墻修改了TCP/IP堆棧的算法，使得新的syn連接包可以正常通過，避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。

狀態(tài)檢測(cè)方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是根據(jù)規(guī)則表進(jìn)行匹配，而方正方御防火墻對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過規(guī)則表與連接表共同配合來對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行控制。代理服務(wù)用戶可以設(shè)置代理服務(wù)器端口來啟動(dòng)代理服務(wù)器功能，而且通過設(shè)置使用代理服務(wù)器用戶密碼和訪問控制來維護(hù)安全性。代理服務(wù)的訪問控制非常的完善，可以對(duì)時(shí)間、協(xié)議、方法、地址、DNS域、目的端口和URL來進(jìn)行控制。用戶完全可以通過設(shè)置一定的條件來符合自己的要求。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)支持動(dòng)態(tài)、靜態(tài)、雙向的NAT。當(dāng)用戶需要從部IP訪問Internet時(shí)，NAT系統(tǒng)會(huì)從IP池里取出一個(gè)合法的InternetIP，為該用戶建立映射。如果需要在Intranet提供讓外部訪問的服務(wù)（如WWW、FTP等），NAT系統(tǒng)可以為Intranet里的服務(wù)器建立靜態(tài)映射，外部用戶可以直接訪問該服務(wù)器。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換為企業(yè)用戶連接到Internet

提供了良好的網(wǎng)絡(luò)地址隱蔽，并且能減少IP占用，替用戶節(jié)省費(fèi)用。提供DMZ區(qū)除了部網(wǎng)絡(luò)界面和外部網(wǎng)絡(luò)界面，系統(tǒng)還可以再增加一個(gè)網(wǎng)絡(luò)界面，讓管理員靈活應(yīng)用。如建立DMZ（軍事獨(dú)立區(qū)），在其中放置公共應(yīng)用服務(wù)器。帶寬管理和流量統(tǒng)計(jì)方正方御防火墻系統(tǒng)使用流量統(tǒng)計(jì)與控制策略，可方便的根據(jù)網(wǎng)段和主機(jī)等對(duì)流量進(jìn)行統(tǒng)計(jì)與控制管理。用戶可以通過設(shè)置源地址到目的地址單位在時(shí)間允許通過的流量以及協(xié)議和端口來進(jìn)行帶寬控制。日志審計(jì)審計(jì)功能是方正方御防火墻非常強(qiáng)大的一個(gè)部分，目前國(guó)防火墻的審計(jì)功能都非常不完善，方正方御防火墻提供了大量的審計(jì)容和對(duì)審計(jì)容的查詢功能，由于日志可能對(duì)一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而其中每一部分都可以進(jìn)行查詢和管理，這樣用戶就能對(duì)防火墻的情況有一個(gè)非常透徹的了解。入侵檢測(cè)方正方御防火墻入侵檢測(cè)系統(tǒng)采用了可擴(kuò)展的檢測(cè)庫(kù)方法目前可以抵御1000多種攻擊方法，而且可以通過升級(jí)檢測(cè)庫(kù)的方法

來不斷的抵御新的攻擊方法。用戶還可以自定義攻擊檢測(cè)庫(kù)來符合自己的要求。自動(dòng)報(bào)警和防系統(tǒng)方正方御防火墻一旦檢測(cè)到有黑客進(jìn)行攻擊，會(huì)在第一時(shí)間在控制機(jī)上進(jìn)行報(bào)警，而且同時(shí)會(huì)自動(dòng)封禁掉攻擊者的IP地址，這樣可以做到防火墻的防完全自動(dòng)化，而不象普通的防火墻那樣需要人工干預(yù)?；赑KI的授權(quán)認(rèn)證方正方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。PKI是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的?？焖侔惭b配置方正方御防火墻的安裝和配置非常方便，管理員只要設(shè)定好網(wǎng)絡(luò)設(shè)備的地址，然后使用系統(tǒng)提供的一些典型配置模板，適當(dāng)?shù)男薷囊恍┮?guī)則來符合要求。除此以外還可以添加系統(tǒng)提供的一些子模板來實(shí)現(xiàn)一些特定的功能。圖形管理界面用戶可以通過圖形界面對(duì)防火墻進(jìn)行配置和管理。而且也可以通過圖形界面來管理審計(jì)容，而不象有些防火墻是通過命令行方式進(jìn)行配置。

完全中國(guó)化的設(shè)計(jì) 方正方御防火墻是由方正數(shù)碼自行設(shè)計(jì)和制作的，充分考慮了中國(guó)國(guó)情，除了界面、幫助文檔、使用說明完全中文化外，還加入了一些小型模板用戶給管理員配置防火墻。集中管理 方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。可以通過一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻功能說明.多種工作模式方正方御防火墻可以工作在網(wǎng)橋和路由兩種模式下：A:網(wǎng)橋模式：3個(gè)端口構(gòu)成一個(gè)以太網(wǎng)交換機(jī)，防火墻本身沒有IP地址，在IP層透明?？梢詫⑷我馊齻€(gè)物理網(wǎng)絡(luò)連接起來構(gòu)成一個(gè)互通的物理網(wǎng)絡(luò)。當(dāng)防火墻工作在交換模式時(shí)，網(wǎng)、DMZ區(qū)和路由器的部端口構(gòu)成一個(gè)統(tǒng)一的交換式物理子網(wǎng)，網(wǎng)和DMZ區(qū)還可以有自己的第二級(jí)路由器，這種模式不需要改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)和設(shè)備的網(wǎng)絡(luò)設(shè)置。B:路由模式：防火墻本身構(gòu)成3個(gè)網(wǎng)絡(luò)間的路由器，3個(gè)界面分別具有不同的IP地址。三個(gè)網(wǎng)絡(luò)中的主機(jī)通過該路由進(jìn)行通信。當(dāng)防火墻工作在路由模式時(shí)，可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，網(wǎng)和DMZ都可以使用保留地址，網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時(shí)隔絕Internet對(duì)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對(duì)Internet提供服務(wù)。在安裝了方正方御防火墻的時(shí)候網(wǎng)絡(luò)結(jié)構(gòu)圖如下:DataBaseDataBase.包過濾防火墻方正方御防火墻包過濾的功能是對(duì)指定IP包進(jìn)行包過濾，并且按照設(shè)定策略對(duì)IP包進(jìn)行統(tǒng)計(jì)和日志記錄，主要根據(jù)IP包的如下信息進(jìn)行過濾：源IP地址目的IP地址協(xié)議類型(IP、ICMP、TCP、UDP)源TCP/UDP端口目的TCP/UDP端口ICMP報(bào)文類型域和代碼域?碎片包其它標(biāo)志位，如SYN，ACK位Web.1.高效的過濾有些防火墻在安裝上以后對(duì)WEB服務(wù)器的吞吐能力影響很大造成性能的降低。由于方正方御防火墻采用了3I(IntelligentIPIdentifying)技術(shù)，能夠?qū)崿F(xiàn)快速匹配。因此方正方御防火墻不會(huì)對(duì)性能造成任何影響。方正方御防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到300,000個(gè)以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬(wàn)個(gè)左右。.2.碎片處理功能由于很多系統(tǒng)平臺(tái)，包括一些路由器對(duì)IP碎片的處理存在問題，容易產(chǎn)生欺騙和拒絕服務(wù)等攻擊，方正方御防火墻能夠識(shí)別出IP碎片并且進(jìn)行控制，這樣一來通過禁止IP碎片通過方正方御防火墻，防止了這樣的問題的產(chǎn)生。防SYNFlood攻擊一些TCP/IP棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來的ACK消息，因?yàn)樗麄冎挥杏邢薜拇婢彌_區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。典型的就是SynFlood攻擊，通過大量的虛假的Syn包使服務(wù)器速度變慢，甚至是死機(jī)。一般的防火墻是通過限制每秒鐘通過的Syn包數(shù)量來組織SynFlood攻擊，這種方法可以在一定意義上阻止SynFlood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。方正方御防火墻使用了兩種方式來反SynFlood攻擊，一種方法就是通過設(shè)置單位時(shí)間的SYN包數(shù)量來控制，另外一種方法修改了TCP/IP堆棧的算法，使得新Syn包始終可以獲得連接位避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。.4.強(qiáng)大的狀態(tài)檢測(cè)功能方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而方正方御防火墻對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對(duì)應(yīng)用透明的特性外，還極提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢(shì)必會(huì)使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。1：沒有安裝方御防火墻

網(wǎng)絡(luò)層網(wǎng)絡(luò)層.IDS（入侵檢測(cè)系統(tǒng)）.1.反端口掃描一般黑客如果要對(duì)一個(gè)發(fā)動(dòng)攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開啟的服務(wù)，然后做出相應(yīng)的入侵方式。方正方御防火墻入侵檢測(cè)系統(tǒng)能夠在黑客掃描的時(shí)候就能檢測(cè)到并報(bào)警，這樣就能提前將黑客拒之于門外。方正方御防火墻入侵檢測(cè)系統(tǒng)在檢測(cè)到有黑客掃描服務(wù)器端口的時(shí)候會(huì)立即在攻擊者的視野中消失，從而使黑客無(wú)法進(jìn)行后面的攻擊。方正方御防火墻入侵檢測(cè)系統(tǒng)根據(jù)配置文件監(jiān)控任何和TCP、UDP端口的連接?？梢詫?duì)全部端口同時(shí)進(jìn)行監(jiān)控，同時(shí)也可以忽略指定的端口。這樣就能滿足不同的需求方式。.2.可以防1000余種攻擊方式檢測(cè)多種DoS攻擊檢測(cè)多種DDoS攻擊檢測(cè)保護(hù)子網(wǎng)中是否存在后門和木馬程序檢測(cè)多種針對(duì)Finger服務(wù)的攻擊檢測(cè)多種針對(duì)FTP服務(wù)的攻擊檢測(cè)基于NetBIOS的攻擊檢測(cè)緩沖區(qū)溢出類型攻擊&檢測(cè)基于RPC的攻擊檢測(cè)基于SMTP的攻擊檢測(cè)基于Telnet的攻擊檢測(cè)網(wǎng)絡(luò)上傳輸?shù)牟《竞腿湎x檢測(cè)CGI攻擊檢測(cè)針對(duì)WEBServer的FrontPage擴(kuò)展進(jìn)行的攻擊檢測(cè)針對(duì)WEBServer的ColdFusion擴(kuò)展進(jìn)行的攻擊檢測(cè)針對(duì)MicrosoftIISserver進(jìn)行的攻擊檢測(cè)利用ICMP進(jìn)行的掃描和攻擊。檢測(cè)利用Traceroute對(duì)網(wǎng)絡(luò)的探測(cè)檢測(cè)ActiveX，JaveApplet的傳輸檢測(cè)對(duì)其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊.3.在線升級(jí)和實(shí)時(shí)報(bào)警由于入侵檢測(cè)系統(tǒng)的庫(kù)文件是需要不斷的更新，因此方正方御防火墻提供了非常方便的升級(jí)接口，可以通過我們的進(jìn)行在線升級(jí)，而且我們提供了非常方便的用戶升級(jí)界面，使升級(jí)工作可以非常方便的完成。報(bào)警是否能夠及時(shí)是衡量一個(gè)入侵檢測(cè)系統(tǒng)的重要因素之一，如果在黑客剛剛進(jìn)行攻擊的時(shí)候就能夠做出響應(yīng)，那么管理員會(huì)有足夠的時(shí)間進(jìn)行防護(hù)。方正方御防火墻的報(bào)警系統(tǒng)和入侵檢測(cè)系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測(cè)系統(tǒng)檢測(cè)到攻擊，報(bào)警系統(tǒng)會(huì)馬上做出反應(yīng)，通過Email或手機(jī)通知管理員。同時(shí)會(huì)啟動(dòng)自動(dòng)防系統(tǒng)進(jìn)行防。入侵檢測(cè)和防火墻的互動(dòng)通過通信行為跟蹤，防火墻能夠檢測(cè)到對(duì)網(wǎng)絡(luò)的多種掃描，檢測(cè)到對(duì)網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M(jìn)行響應(yīng)，包括自動(dòng)防及用戶自定義安全響應(yīng)策略等。雙機(jī)熱備方正方御防火墻系統(tǒng)能夠在網(wǎng)絡(luò)中智能地尋找與其對(duì)等的備份機(jī)，并且使備份機(jī)自動(dòng)進(jìn)入等待狀態(tài)，而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效，可及時(shí)自動(dòng)啟動(dòng)，防止網(wǎng)絡(luò)中斷事故的發(fā)生。其智能識(shí)別技術(shù)甚至可以支持多于兩臺(tái)以上的方正方御防火墻在網(wǎng)絡(luò)上互為備份，適用于對(duì)可靠性要求極高的場(chǎng)合。強(qiáng)大的審計(jì)功能審計(jì)功能是方正方御防火墻非常強(qiáng)大的一個(gè)部分，目前國(guó)防火墻的審計(jì)功能都非常不完善，方正方御防火墻提供了大量的審計(jì)容和對(duì)審計(jì)容的查詢功能，由于日志可能對(duì)一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而且就每一個(gè)部分都是可以進(jìn)行查詢和管理的，這樣一來就可以使用戶對(duì)防火墻的情況有一個(gè)非常透徹的了解。方正方御防火墻中審計(jì)功能有著非常完善的權(quán)限管理，有專門的審計(jì)員來對(duì)審計(jì)容進(jìn)行管理，在審計(jì)中又分成了若干級(jí)別的權(quán)限。這樣可以方便管理員管理審計(jì)容。.基于PKI的高級(jí)授權(quán)認(rèn)證PKI(PublicKeyInfrastrueture)是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。網(wǎng)絡(luò)，特別是Internet網(wǎng)絡(luò)的安全應(yīng)用已經(jīng)離不開PKI技術(shù)的支持。網(wǎng)絡(luò)應(yīng)用中的性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全需求只有PKI技術(shù)才能滿足°PKI在國(guó)外已經(jīng)開始實(shí)際應(yīng)用。在美國(guó)，隨著電子商務(wù)的日益興旺，電子簽名、數(shù)字證書已經(jīng)在實(shí)際中得到了一定程度的應(yīng)用，就連某些國(guó)家都已經(jīng)開始接受電子簽名的檔案。方正方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。有些防火墻的認(rèn)證機(jī)制采用OTP(OnceTimePassword)，或者采用了靜態(tài)口令機(jī)制。比如說，靜態(tài)密碼是用戶和機(jī)器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個(gè)口令，就說明用戶是機(jī)器所認(rèn)為的那個(gè)人，那么就很容易的控制防火墻。而一次性口令也一樣，用戶和機(jī)器之間必須共知一條通行短語(yǔ)，而這通行短語(yǔ)對(duì)外界是完全的。和靜態(tài)口令不同的是，這個(gè)通行短語(yǔ)并不在網(wǎng)絡(luò)上進(jìn)行傳輸，所以黑客通過網(wǎng)絡(luò)竊聽是不可能的。當(dāng)時(shí)使用起來沒有使用證書認(rèn)證方便。因此方正方御防火墻基于PKI的高級(jí)授權(quán)認(rèn)證機(jī)制在技術(shù)上面非常的先進(jìn)，超越了大部分的防火墻產(chǎn)品。.集中管理根據(jù)美國(guó)財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無(wú)用，而是由于一般的防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護(hù)防火墻，要求防火墻管理員對(duì)網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解，而且防火墻的安全策略無(wú)法進(jìn)行集中管理，這些都造成了網(wǎng)絡(luò)安全的失敗。而方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。工程實(shí)施方案測(cè)試及驗(yàn)收測(cè)試及驗(yàn)收描述在整個(gè)項(xiàng)目實(shí)施過程中，有3個(gè)重要的驗(yàn)收，它們是單點(diǎn)驗(yàn)收、初驗(yàn)和終驗(yàn)。下面是這三個(gè)驗(yàn)收通過的描述：?jiǎn)吸c(diǎn)驗(yàn)收通過的條件：設(shè)備數(shù)量與合同相符完成上機(jī)、加電、連接網(wǎng)絡(luò)及配置移交(初驗(yàn))測(cè)試的定義：買方技術(shù)人員按各方商定好的測(cè)試項(xiàng)目及方法對(duì)系統(tǒng)進(jìn)行測(cè)試。此測(cè)試的目的是使整個(gè)網(wǎng)絡(luò)系統(tǒng)具有開放業(yè)務(wù)的條件。詳細(xì)的測(cè)試方案將和用戶協(xié)商后確定。移交(初驗(yàn))測(cè)試通過的條件：買方按測(cè)試計(jì)劃完成并通過網(wǎng)絡(luò)測(cè)試或買方開通業(yè)務(wù)。終驗(yàn)通過的條件：沒有出現(xiàn)雙方認(rèn)可的由于安全產(chǎn)品設(shè)備造成全網(wǎng)不可恢復(fù)的癱瘓沒有出現(xiàn)雙方認(rèn)可的由于安全產(chǎn)品設(shè)備造成單點(diǎn)不可恢復(fù)的癱瘓?jiān)谠囘\(yùn)行期間解決了初驗(yàn)遺留的有關(guān)賣方設(shè)備的主要技術(shù)問題及試運(yùn)行期間出現(xiàn)的有關(guān)賣方設(shè)備的主要技術(shù)問題。系統(tǒng)初驗(yàn)初驗(yàn)測(cè)試是對(duì)網(wǎng)絡(luò)驗(yàn)收所必須進(jìn)行的一項(xiàng)工作,是驗(yàn)證網(wǎng)絡(luò)與應(yīng)用系統(tǒng)是否達(dá)到合同所規(guī)定的要求的必要的手段。初驗(yàn)測(cè)試所需要進(jìn)行的工作有：功能測(cè)試功能測(cè)試主要是為了驗(yàn)證所完成的網(wǎng)絡(luò)系統(tǒng)是否具有合同所描述的或超過合同要求的各項(xiàng)功能，主要有：>網(wǎng)絡(luò)的連通性測(cè)試>各應(yīng)用系統(tǒng)功能的實(shí)現(xiàn)網(wǎng)絡(luò)管理功能的實(shí)現(xiàn)實(shí)際數(shù)據(jù)傳輸?shù)臏y(cè)試性能測(cè)試性能測(cè)主要是檢驗(yàn)所完成的網(wǎng)絡(luò)系統(tǒng)的性能優(yōu)劣，主要有：網(wǎng)絡(luò)的承載能力>各網(wǎng)絡(luò)設(shè)備相應(yīng)速度各應(yīng)用系統(tǒng)的服務(wù)提供功能和能力售后服務(wù)和技術(shù)支持方正數(shù)碼一貫以來遵行服務(wù)至上的觀念，既為客戶提供高效可靠的網(wǎng)絡(luò)安全產(chǎn)品，也為客戶提供優(yōu)質(zhì)及時(shí)的售后服務(wù)。對(duì)電信分公司網(wǎng)絡(luò)安全系統(tǒng)這樣的大型項(xiàng)目，專門提供了完整的服務(wù)解決方案，使客戶無(wú)后顧之憂。服務(wù)解決方案由熱線支持、服務(wù)、安裝調(diào)試、現(xiàn)場(chǎng)維護(hù)、產(chǎn)品保修和用戶培訓(xùn)等模塊組成，用戶也可以根據(jù)實(shí)際情況靈活選擇模塊，獲得量身定作的服務(wù)。5.1.售后服務(wù)容為了保證電信分公司網(wǎng)絡(luò)安全系統(tǒng)的安全暢通，方正數(shù)碼對(duì)其網(wǎng)絡(luò)安全產(chǎn)品承諾如下售后服務(wù)：支持（周一至周五9:00-18:00，節(jié)假日除外）：電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心在使用本公司網(wǎng)絡(luò)安全產(chǎn)品時(shí)如遇到問題，無(wú)論是軟件，硬件或是網(wǎng)絡(luò)，都可以從方正數(shù)碼得到支持（8），電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心可以指定一名主要聯(lián)系人及兩名替補(bǔ)聯(lián)系人與方正數(shù)碼技術(shù)支持中心聯(lián)系。一旦接到電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心請(qǐng)求，方正數(shù)碼技術(shù)人員將在規(guī)定時(shí)間通過解決或回答電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心的問題。對(duì)于非工作日接到的故障，最遲將在下一個(gè)工作日響應(yīng)。在線支持：.是一個(gè)網(wǎng)絡(luò)安全專題，其中包括方正數(shù)碼的網(wǎng)絡(luò)安全系列產(chǎn)品信息、網(wǎng)絡(luò)安全的各種攻防信息、最新的網(wǎng)絡(luò)安全資料、電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心提出的問題及解答、網(wǎng)絡(luò)安全產(chǎn)品版本升級(jí)程序、補(bǔ)丁程序以及其它對(duì)用戶解決技術(shù)問題有幫助的信息。Website每天更新，電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心可以通過Internet實(shí)時(shí)讀取有關(guān)信息?，F(xiàn)場(chǎng)支持（周一至周五9:00-18:00，節(jié)假日除外）：對(duì)于通過無(wú)法解決的問題，方正數(shù)碼或授權(quán)代理服務(wù)中心將派出工程師到用戶現(xiàn)場(chǎng)為用戶提供現(xiàn)場(chǎng)產(chǎn)品調(diào)試服務(wù)，保證網(wǎng)絡(luò)安全產(chǎn)品在電信分公司網(wǎng)絡(luò)安全系統(tǒng)上正常運(yùn)行。保修服務(wù)：方正數(shù)碼對(duì)本公司的網(wǎng)絡(luò)安全產(chǎn)品制訂了為期一年的免費(fèi)保修期，在此期間，方正數(shù)碼將對(duì)本公司產(chǎn)品進(jìn)行免費(fèi)維修。免費(fèi)保修期后，方正數(shù)碼仍然提供完善的服務(wù)來保證電信分公司網(wǎng)絡(luò)安全系統(tǒng)的正常運(yùn)行。A安裝服務(wù)：由于網(wǎng)絡(luò)安全產(chǎn)品涉及到較多的網(wǎng)絡(luò)知識(shí)和安全知識(shí)，如果電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理人員無(wú)法自行安裝、配置購(gòu)買的方正數(shù)碼網(wǎng)絡(luò)安全產(chǎn)品，方正數(shù)碼或授權(quán)代理服務(wù)中心可以派出工程師到用戶現(xiàn)場(chǎng)為用戶提供現(xiàn)場(chǎng)產(chǎn)品安裝服務(wù)。版本升級(jí)：我們會(huì)通知電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理人員所購(gòu)產(chǎn)品的版本最新更新信息和最新的黑客攻防情況，確定用戶是否升級(jí)。保駕服務(wù)：為了保證電信分公司網(wǎng)絡(luò)安全系統(tǒng)購(gòu)買的方正數(shù)碼網(wǎng)絡(luò)安全產(chǎn)品長(zhǎng)期正常運(yùn)轉(zhuǎn)，如電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理人員需要時(shí)，我們可以安排工程師對(duì)產(chǎn)品及電信分公司網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)品進(jìn)行定期巡檢服務(wù)，包括定期回訪、設(shè)備檢測(cè)、設(shè)備調(diào)試服務(wù)。用戶培訓(xùn)：為用戶提供產(chǎn)品使用和網(wǎng)絡(luò)安全方面的全面培訓(xùn)，協(xié)助用戶提高網(wǎng)絡(luò)安全管理水平，具備一定的網(wǎng)絡(luò)攻防保護(hù)能力。保修方正數(shù)碼對(duì)其防火墻產(chǎn)品承諾如下保修服務(wù)：產(chǎn)品一年免費(fèi)保修，隨機(jī)資料及光盤、軟盤、電源線、串口線、網(wǎng)線、包裝材料等不屬于保修圍。保修方式故障譖別：當(dāng)客戶購(gòu)買的網(wǎng)絡(luò)安全產(chǎn)品發(fā)生故障時(shí)，方正數(shù)碼可以提供故障譖別服務(wù)。工程師判斷故障類型后，由客戶決定是否維修。維修服務(wù)：如果產(chǎn)品的保修類別是現(xiàn)場(chǎng)維修，則產(chǎn)品的維修將在客戶的使用現(xiàn)場(chǎng)進(jìn)行。但如果是某些特殊的故障，經(jīng)客戶同意，方正數(shù)碼授權(quán)工程師會(huì)將產(chǎn)品帶回維修，并提供一臺(tái)備機(jī)以保證用戶網(wǎng)絡(luò)的正常運(yùn)行，在修復(fù)后將原產(chǎn)品送還客戶，并取回備機(jī)。備件更換：經(jīng)過診斷，產(chǎn)品故障較為嚴(yán)重?zé)o法通過其它維修方式進(jìn)行維修的，方正數(shù)碼提供備件更換服務(wù)，并恢復(fù)原用戶產(chǎn)品的配置，以保證用戶網(wǎng)絡(luò)的正常運(yùn)行。保修圍方正數(shù)碼提供的保修服務(wù)不適用于向非授權(quán)代理商處購(gòu)買的任何網(wǎng)絡(luò)安全產(chǎn)品。也不適用于因以下原因而遭受損壞或出現(xiàn)缺陷的任何網(wǎng)絡(luò)安全產(chǎn)品：地震、火災(zāi)等自然災(zāi)害及意外事故所造成的損壞擅自更換或修改原網(wǎng)絡(luò)安全產(chǎn)品硬件部件因使用網(wǎng)絡(luò)安全產(chǎn)品不當(dāng)造成的任何間接損失經(jīng)方正數(shù)碼或方正數(shù)碼授權(quán)服務(wù)供應(yīng)商之外的人士進(jìn)行修理或維修（以設(shè)備封條為準(zhǔn)）人為原因（有可見的物理性損壞等）造成的硬件損壞＞誤用或?yàn)E用＞磨損或損耗5.5.保修期的確認(rèn)保修期始于購(gòu)買之日。含有網(wǎng)絡(luò)安全產(chǎn)品購(gòu)買日期的購(gòu)買收據(jù)，即為您購(gòu)買日期的證明。此保修條款僅適用于原始購(gòu)買人享有。購(gòu)買網(wǎng)絡(luò)安全產(chǎn)品后，請(qǐng)?zhí)钔妆Ｐ蘅ú⒋丝ǎ跧聯(lián)］以及用戶信息登記卡寄回方正數(shù)碼進(jìn)行用戶注冊(cè)，公司收到后，會(huì)寄回注冊(cè)確認(rèn)函（包含用戶的產(chǎn)品服務(wù)號(hào)），用戶憑保修卡及服務(wù)號(hào)就可享受各項(xiàng)保修服務(wù)。如果您沒有進(jìn)行用戶注冊(cè)，維修時(shí)，您需要出示原始購(gòu)買憑證。若用戶無(wú)法提供以上證明，方正數(shù)碼將根據(jù)產(chǎn)品序列號(hào)來計(jì)算保修日期，即產(chǎn)品出產(chǎn)之日起三（3）個(gè)月算起。5.6.培訓(xùn)安排為保證用戶對(duì)系統(tǒng)的熟練掌握，方正數(shù)碼公司為用戶提供完善的培訓(xùn)課程。培訓(xùn)目標(biāo)：掌握網(wǎng)絡(luò)安全的基本知識(shí)掌握各產(chǎn)品的工作原理能熟練操作配置系統(tǒng)能進(jìn)行日常維護(hù)能熟練地根據(jù)業(yè)務(wù)需要進(jìn)行一定的系統(tǒng)調(diào)整。培訓(xùn)課程：TCP/IP基礎(chǔ)網(wǎng)絡(luò)安全基礎(chǔ)防火墻的實(shí)施和使用防火墻規(guī)則配置分析培訓(xùn)方式：理論授課、上機(jī)實(shí)習(xí)培訓(xùn)時(shí)長(zhǎng)：3工作日培訓(xùn)地點(diǎn)：方正數(shù)碼培訓(xùn)教室培訓(xùn)人數(shù)：35人入學(xué)要求：計(jì)算機(jī)使用熟練：熟悉windows系統(tǒng)具有基本網(wǎng)絡(luò)知識(shí)：熟悉路由器、交換機(jī)、集線器等基本網(wǎng)絡(luò)設(shè)備。有組建簡(jiǎn)單局域網(wǎng)絡(luò)的能力。有組建簡(jiǎn)單TCP/IP網(wǎng)絡(luò)的能力。（有防火墻此類安全產(chǎn)品使用經(jīng)驗(yàn)者更佳）5.7.全國(guó)服務(wù)網(wǎng)絡(luò)方正數(shù)碼公司利用其全國(guó)服務(wù)網(wǎng)絡(luò)，可以為電信分公司網(wǎng)絡(luò)安全系統(tǒng)在各省市、地方的機(jī)構(gòu)提供本地化的快捷服務(wù)。目前方正數(shù)碼總部在，已在、開設(shè)辦事處，并在、、分別設(shè)技術(shù)支持中心，在全國(guó)圍簽有多家授權(quán)服務(wù)提供商。每星期一至星期五（國(guó)家法定節(jié)假日除外），每天9:00~18:00可撥打8熱線享受技術(shù)支持，或者訪問我們的.，也可直接與距您最近的辦事處聯(lián)系。我們將調(diào)度最近的服務(wù)商在第一時(shí)間提供專為大客戶設(shè)計(jì)的更優(yōu)質(zhì)的服務(wù)。場(chǎng)地及環(huán)境準(zhǔn)備常規(guī)要求這一部分描述的工程設(shè)計(jì)數(shù)據(jù)是計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的規(guī)劃和安裝的必要環(huán)境條件標(biāo)準(zhǔn)。機(jī)房電源、地線及同步要求>要求使用不間斷穩(wěn)壓電源供電。>提供穩(wěn)壓的標(biāo)準(zhǔn)交流電源（含UPS）的輸入中心線和輸出中心線不能相聯(lián)，需分別接地，各自構(gòu)成回路，不能交叉。>提供穩(wěn)壓的一48V直流電源。A地線：機(jī)房設(shè)備機(jī)架全部接地，要求接地電阻不大于4歐姆；同時(shí)要求從程控交換機(jī)接出的E1中繼所在機(jī)架接地。照明、辦公設(shè)備不得與設(shè)備電源相聯(lián)。電源：電源為單相220伏穩(wěn)壓交流電源。直流電源要求為DC-48V電源。電源輸出距設(shè)備位置不應(yīng)超過3米。設(shè)備場(chǎng)地、通信設(shè)備場(chǎng)地在每一處地點(diǎn)的設(shè)備包括如下容：>機(jī)架。容納防火墻的工作臺(tái)。A機(jī)房應(yīng)配備計(jì)算機(jī)地板，或相應(yīng)的布線槽位及走線。A通用的工具、工作桌、工作椅應(yīng)準(zhǔn)備好。普通網(wǎng)線至少4根。A普通PC機(jī)一臺(tái)。如果需要防火墻遠(yuǎn)程管理，需要一個(gè)靜態(tài)IP地址。機(jī)房環(huán)境機(jī)房設(shè)計(jì)的環(huán)境如下表：No.項(xiàng)目參考值1房間尺寸請(qǐng)參照所附的規(guī)劃書2空氣條件塵埃，低于0.3mg/m33振動(dòng)機(jī)房部地面低于0.25G4有害氣體氣體濃度不能高于危害操作員健康和機(jī)器壽命的限度.5地板強(qiáng)度大于等于500kg/m（相當(dāng)于一般寫字樓地面）

6地板表面防靜電材料防塵封材料7樓層高度大于等于2.2m8墻壁和天花板防靜電材料防塵封材料阻燃材料吸音和隔音材料9窗戶為防止對(duì)設(shè)備損害，應(yīng)加窗簾防塵和防止鹽類與有害氣體的腐蝕10門最窄不小于1.2m,最高不少于2.0m11保安能防火、防洪水與地震和操作員及設(shè)備安全12衛(wèi)生條件能防鼠患和昆蟲13防火安裝自動(dòng)火警裝置和滅火器14電場(chǎng)強(qiáng)度W120dB(1V/m)，頻率圍從10KHZ到1GHZ15磁場(chǎng)強(qiáng)度<50Oe（顯示器要求為0.015Oe）16靜電W6KV（試驗(yàn)設(shè)備的要求為150PF/330Ohn）17照明300到700