防火墻特性與優(yōu)點說明

./購買指引：防火墻特性與優(yōu)點說明天網(wǎng)防火墻工作組型:天網(wǎng)防火墻工作組級防火墻,是適合中小型企業(yè)上網(wǎng)用的防火墻,適用于用戶數(shù)量規(guī)模不大的網(wǎng)絡(luò)環(huán)境〔大約有十幾到幾十臺部工作站。它包括了基本的防火墻系統(tǒng),具體功能特性如下：自行開發(fā)的優(yōu)良的防火墻核 在系統(tǒng)設(shè)計時參考了NetBSD、OpenBSD、Linux、FreeBSD等系統(tǒng)的體系結(jié)構(gòu),吸取以上的系統(tǒng)的優(yōu)點進(jìn)行系統(tǒng)網(wǎng)絡(luò)核心的優(yōu)化處理,同時還針對CPU的計算核心進(jìn)行了優(yōu)化處理。能支持到大量的并發(fā)連接和高性能的IPPacket處理,我們以純匯編編寫這部分的程序,并充分使用CPU的能力,使程序效率平均提高20%,在某些情況下可以提高60%?；跔顟B(tài)檢測的包過濾功能 天網(wǎng)防火墻在核心部分實現(xiàn)了基于狀態(tài)檢測的包過濾功能,通過建立連接狀態(tài)表的方式,提高安全控制表項的輪詢速度,從而提高了包過濾系統(tǒng)的性能和安全性。具有包過濾功能的虛擬網(wǎng)橋功能,可以支持IPTV等多點廣播的網(wǎng)絡(luò)服務(wù),并且可以網(wǎng)橋與路由混合的工作模式進(jìn)行工作,方便靈活天網(wǎng)防火墻系統(tǒng)還支持橋接功能,可以實現(xiàn)局域網(wǎng)之間基于數(shù)據(jù)鏈路層的連接,滿足IPTV等基于多點廣播的多媒體應(yīng)用,而且對于某些已定型的網(wǎng)絡(luò)結(jié)構(gòu),可以在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下加入防火墻,實現(xiàn)包過濾等應(yīng)用。具有國際首創(chuàng)的DOS防御網(wǎng)關(guān)技術(shù),能有效的防止各種類型的DOS攻擊 Internet上DOS攻擊暴虐一時,由于可以通過使用一些公開的軟件進(jìn)行攻擊,它的發(fā)動較為簡單,同時要防止這種攻擊又非常困難。DoS全稱是DenialofService,中文意思是拒絕服務(wù)攻擊。這種攻擊行動使服務(wù)器充斥大量要求回復(fù)的信息,消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。"拒絕服務(wù)"的攻擊方式為：用戶傳送眾多要求確認(rèn)的信息到服務(wù)器,使服務(wù)器里充斥著這種無用的信息。所有的信息都有需回復(fù)的虛假地址,以至于當(dāng)服務(wù)器試圖回傳時,卻無法找到用戶。服務(wù)器于是暫時等候,有時超過一分鐘,然后再切斷連接。服務(wù)器切斷連接時,黑客再度傳送新一批需要確認(rèn)的信息,這個過程周而復(fù)始,最終導(dǎo)致服務(wù)器無法動彈,癱瘓在地。 天網(wǎng)防火墻系統(tǒng)針對各種DOS攻擊做出了防御措施。在信息到達(dá)服務(wù)器之前攔截信息,系統(tǒng)可以根據(jù)設(shè)置智能化地對訪問信息進(jìn)行檢查,從而阻擋住SyncFlood,IGMPNuke,WinNuke等DoS類型攻擊。目前國同類產(chǎn)品尚無同樣功能。具有TCP標(biāo)志位檢測功能 在大多數(shù)的防火墻里,都缺少對連接是從哪方主動發(fā)起進(jìn)行判斷的選項,這將導(dǎo)致一個潛在的安全隱患是攻擊者可能可以從一個外部主機的某個常用服務(wù)端口連入部主機的高端口。例如,如果允許部主機訪問外部主機的telnet服務(wù),這個方向連接的所有包應(yīng)該是必須包含ACK位的,也就是說,不是主動發(fā)起的連接。但通常的防火墻的包過濾功能里并沒有檢查ACK位的設(shè)置,因此,攻擊者就可以從外部主機的源23端口發(fā)起連接到部主機的高端口<>1023>。天網(wǎng)防火墻系統(tǒng)通過在安全規(guī)則上的設(shè)置對數(shù)據(jù)包的SYN/ACK等標(biāo)志位進(jìn)行合法性檢測和判斷,防止不法攻擊者利用常用服務(wù)的低端口與部主機的高端口的連接,從而攻擊部主機。國包括國外的許多防火墻系統(tǒng)都無此防護(hù)功能。具有雙向的網(wǎng)絡(luò)地址轉(zhuǎn)換功能 部網(wǎng)絡(luò)用戶一般沒有合法的InternetIP地址〔RegisteredIPAddress,不能直接對外部網(wǎng)絡(luò)進(jìn)行訪問,這可以通過網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)得到完滿的解決。當(dāng)用戶需要對外訪問時,天網(wǎng)郵政防火墻系統(tǒng)將會從IP池中的IP動態(tài)分配給用戶,使用戶得到合法的IP地址與外部訪問。 端口地址轉(zhuǎn)換〔PortAddressTranslation可以擴展公司可使用的InternetIP,用戶的訪問將會映射到IP池中IP的一個端口上去,這使每個合法InternetIP可以映射六萬多個部網(wǎng)主機。 如果企業(yè)希望部網(wǎng)絡(luò)中的服務(wù)器可以讓Internet用戶訪問的話,可以利用反向NAT〔R-NAT或反向PAT〔R-PAT系統(tǒng),為部網(wǎng)絡(luò)服務(wù)器作靜態(tài)地址和端口映射,這樣Internet用戶就可以通過本防火墻系統(tǒng)直接訪問該服務(wù)器了。具有流量統(tǒng)計與流量限制功能 支持一個網(wǎng)絡(luò)端口綁定多個IP地址,從而支持多個子網(wǎng)和多種IP應(yīng)用支持IP與MAC地址綁定,有效地管理IP地址資源 在部網(wǎng)絡(luò)的應(yīng)用中,經(jīng)常會遇到部網(wǎng)絡(luò)用戶擅自修改IP地址,以獲取一個合法IP地址來進(jìn)行相應(yīng)的網(wǎng)絡(luò)應(yīng)用,這樣會使部網(wǎng)絡(luò)在地址資源的分配和使用上出現(xiàn)混亂,大大影響部網(wǎng)絡(luò)的正常運行,而且,在網(wǎng)絡(luò)事故發(fā)生以后,也加大了地址追尋的難度。天網(wǎng)防火墻所具有的MAC地址綁定功能可以很好地解決這個問題。當(dāng)網(wǎng)絡(luò)用戶被分配或自行設(shè)定一個IP地址以后,防火墻系統(tǒng)就能接收到相應(yīng)的地址廣播,在防火墻系統(tǒng)上列出相應(yīng)的IP地址與MAC地址,并可以選擇是否把這個IP地址與相應(yīng)的MAC地址綁定,這樣可限定IP地址只能在一臺指定的工作站上使用,大大方便了網(wǎng)絡(luò)的IP地址管理。具有實時系統(tǒng)監(jiān)控功能,能觀察系統(tǒng)的運行狀態(tài)及網(wǎng)絡(luò)連接狀況 天網(wǎng)防火墻系統(tǒng)可以通過實時觀察系統(tǒng)的運行時間、負(fù)載狀況以及存使用情況等,來了解整個系統(tǒng)的運行狀況,并且還可以在界面上觀察到系統(tǒng)的各種網(wǎng)絡(luò)連接狀況,從而可以根據(jù)系統(tǒng)的負(fù)載情況對系統(tǒng)作出相應(yīng)的調(diào)整。具有實時報警功能,通過撥打和Emai*的方式報警 系統(tǒng)提供對任何可疑的行為作出實時的告警提示,告警可疑通過可聞可見的的方式發(fā)出,也可以通過Email發(fā)出信息、發(fā)出SNMP告警到網(wǎng)管系統(tǒng),或者激活一些用戶定義的告警方式,如通過傳呼機呼叫管理員等。可通過界面升級,操作方便具有系統(tǒng)操作記錄,可以記錄系統(tǒng)管理員的所有操作情況典型網(wǎng)絡(luò)方案：小型企業(yè)通常采用2M以下的專線實現(xiàn)與Internet的互連,在線路速度上對防火墻的要求不高。企業(yè)通過路由器與DDN連接上Internet,路由器的以太網(wǎng)接口直接連接到防火墻的網(wǎng)絡(luò)端口1上；企業(yè)的服務(wù)器直接連接在防火墻的網(wǎng)絡(luò)端口2上,如果企業(yè)多有臺服務(wù)器,可以通過集線器連接在防火墻的網(wǎng)絡(luò)端口2上；企業(yè)的工作站通過集線器連接在防火墻的網(wǎng)絡(luò)端口3上；通過這種方式,防火墻可以同時保護(hù)企業(yè)的服務(wù)器和部的工作站。部的所有工作站可以采用部網(wǎng)的私有網(wǎng)絡(luò)地址,例如192網(wǎng)段,通過防火墻的NAT功能連接上Internet,將寶貴的IP地址資源保留給服務(wù)器使用。天網(wǎng)防火墻企業(yè)I型:天網(wǎng)防火墻企業(yè)I型防火墻,是適合大中型企業(yè)上網(wǎng)用的防火墻,適用于用戶數(shù)量規(guī)模較大大的網(wǎng)絡(luò)環(huán)境〔大約有幾十到幾百甚至上千臺部工作站。它包括了基本的防火墻系統(tǒng),網(wǎng)絡(luò)黑洞和數(shù)據(jù)紀(jì)錄功能模塊,具體功能特性如下：基本防火墻系統(tǒng)功能〔同工作組型網(wǎng)絡(luò)黑洞模塊,用于阻擋黑客的網(wǎng)絡(luò)結(jié)構(gòu)探測,返回錯誤的信息給黑客,可以有效的防止外來攻擊網(wǎng)絡(luò)數(shù)據(jù)紀(jì)錄模塊,用于記錄網(wǎng)絡(luò)數(shù)據(jù)流量、用戶流量計費等功能,該模塊需要在一臺PC機上安裝一個客戶端軟件進(jìn)行數(shù)據(jù)收集、分析和處理,還可以把分析結(jié)果導(dǎo)入數(shù)據(jù)庫,實現(xiàn)自動處理。典型網(wǎng)絡(luò)方案：本方案將現(xiàn)有網(wǎng)絡(luò)劃分為物理上相互獨立的三個網(wǎng)段：公共網(wǎng)段〔Public_Nework?；饏^(qū)網(wǎng)段〔DMZ_Network私有網(wǎng)段〔Private_Network其中,公共網(wǎng)段提供面向Internet的廣域網(wǎng)連接和其他各行訪問的支持；?；饏^(qū)網(wǎng)段安放各種數(shù)據(jù)庫、FTP/Web服務(wù)器和企業(yè)部業(yè)務(wù)信息服務(wù)器,提供多種面向Internet的應(yīng)用服務(wù)；部私有網(wǎng)段保障本地用戶安全地訪問外部網(wǎng)絡(luò)資源,以及對?；饏^(qū)各服務(wù)提供設(shè)備進(jìn)行更新和維護(hù)。安全策略：目的：劃分安全區(qū)域。制訂安全策略,包括用戶訪問控制,定義訪問級別,確定服務(wù)類型。審核和過濾,僅符合安全策略的訪問和響應(yīng)過程可以通過,拒絕其他訪問請求。根據(jù)對用戶需求的分析,企業(yè)部網(wǎng)絡(luò)可以劃分為以下幾個安全區(qū)域：部網(wǎng)段公共網(wǎng)段外部網(wǎng)段分屬三個安全區(qū)域的網(wǎng)段通過天網(wǎng)防火墻進(jìn)行互連。No.安全區(qū)域安全級別訪問級別1外部網(wǎng)段低級無。提供網(wǎng)絡(luò)連接。2公共網(wǎng)段中級外部可訪問符合安全策略的網(wǎng)絡(luò)資源；部可以更新和維護(hù)。3部網(wǎng)段高級可自由訪問外部網(wǎng)絡(luò)資源；對外不可見?，F(xiàn)有需要進(jìn)行審核和過濾的應(yīng)用和服務(wù)類型包括：服務(wù)類型端口圍/協(xié)議類型說明DNS53,tcp/udp域名服務(wù)WWW80,tcpWWW服務(wù)SMTP/POP325/110,tcp電子FTP21/20,tcp文件傳輸服務(wù)Etc.自定義用戶自定義天網(wǎng)防火墻企業(yè)II型:天網(wǎng)防火墻企業(yè)II型防火墻,同樣是適合大中型企業(yè)上網(wǎng)用的防火墻,適用于用戶數(shù)量規(guī)模較大大的網(wǎng)絡(luò)環(huán)境〔大約有幾十到幾百甚至上千臺部工作站。它加入了透明代理服務(wù)器,能滿足許多大中型企業(yè)對部用戶進(jìn)行控制管理的需求,它包括了基本的防火墻系統(tǒng),數(shù)據(jù)記錄模塊、網(wǎng)絡(luò)黑洞模塊、透明代理模塊以及URL攔截模塊〔可選和容過濾模塊〔可選,具體功能特性如下：基本防火墻系統(tǒng)功能〔同工作組型* 網(wǎng)絡(luò)黑洞模塊,用于阻擋黑客的網(wǎng)絡(luò)結(jié)構(gòu)探測,返回錯誤的信息給黑客,可以有效的防止外來攻擊網(wǎng)絡(luò)數(shù)據(jù)紀(jì)錄模塊,用于記錄網(wǎng)絡(luò)數(shù)據(jù)流量、用戶流量計費等功能,該模塊需要在一臺PC機上安裝一個客戶端軟件進(jìn)行數(shù)據(jù)收集、分析和處理,還可以把分析結(jié)果導(dǎo)入數(shù)據(jù)庫,實現(xiàn)自動處理。透明代理功能 天網(wǎng)防火墻系統(tǒng)使用了先進(jìn)的透明代理服務(wù)機制,從安全、性能、兼容性上遠(yuǎn)超出一般的代理服務(wù)器。本代理服務(wù)器是建立在網(wǎng)絡(luò)核心中的,一個通過代理服務(wù)器的訪問請求在認(rèn)證通過,正式建立連接后,代理服務(wù)器就可以直接把連接交由IP處理層管理,縮短了處理的時間。而其它基于應(yīng)用層的代理服務(wù)器必須一直管理有關(guān)聯(lián)接,增加了系統(tǒng)的負(fù)擔(dān)。使用透明的代理服務(wù)器機制可以減輕系統(tǒng)負(fù)擔(dān)、加快響應(yīng)速度、提高系統(tǒng)整體性能。 同時天網(wǎng)防火墻系統(tǒng)可以自動把用戶的訪問請求重定向到對應(yīng)的透明代理服務(wù)器,這樣用戶端可免去Proxy的設(shè)置工作,方便了廣大的用戶?？蓪τ脩羯暇W(wǎng)時間作限制可進(jìn)行URL攔截可進(jìn)行基于中文的容過濾可根據(jù)用戶進(jìn)行統(tǒng)計計費典型網(wǎng)絡(luò)方案：章丘廣電安全方案本方案的設(shè)計遵循以下思想是：風(fēng)險、成本、效率平衡原則綜合性、整體性考慮保證系統(tǒng)可用性,安全系統(tǒng)對于應(yīng)用有很好的透明性集中管理,易于維護(hù)實用的安全產(chǎn)品必須是經(jīng)過公安部門檢驗的合法產(chǎn)品。并且必須是國產(chǎn)安全產(chǎn)品。與應(yīng)用系統(tǒng)結(jié)合,提供網(wǎng)絡(luò)與應(yīng)用結(jié)合的一體化安全方案本方案是用防火墻技術(shù)把要保護(hù)的計算機系統(tǒng)與較危險的外界隔離開,只允許建立安全的連接,中心思想是在主機或網(wǎng)絡(luò)與外界連接之間增加檢查,拒絕接受可疑的連接請求。系統(tǒng)總體結(jié)構(gòu)圖如圖3所示：防火墻防火墻技術(shù)的目標(biāo)是保護(hù)網(wǎng)絡(luò)的一段或整個部網(wǎng)絡(luò)不受外界入侵影響。網(wǎng)上辦稅系統(tǒng)采用天網(wǎng)防火墻將安全管理"相對"寬松的"網(wǎng)"與外部網(wǎng)絡(luò)隔離開來。安全區(qū)域按照服務(wù)性質(zhì)和管理區(qū)域劃分：1．DMZ<非軍事區(qū)>：提供對外服務(wù)。2．部網(wǎng)絡(luò)：部用戶。3．外部網(wǎng)絡(luò)如下圖所示：其中,章丘廣電外部網(wǎng)絡(luò)連接廣電網(wǎng),通過廣電網(wǎng)連接到Internet上；DMZ網(wǎng)段安放Web,Mail服務(wù)器和計費服務(wù)器,提供基于Web的應(yīng)用服務(wù)Email服務(wù)和網(wǎng)絡(luò)計費服務(wù)；我們可以利用防火墻的重定向功能,使用私有地址來保護(hù)服務(wù)器。另外,章丘廣電部網(wǎng)段上是普通用戶,能夠通過防火墻連接Internet,而外部網(wǎng)絡(luò)不能訪問部用戶的機器。部用戶使用防火墻的透明代理上連Internet,可以利用防火墻進(jìn)行用戶計費和用戶認(rèn)證。安全策略制定安全策略的目的：劃分安全區(qū)域。制訂安全策略,包括用戶訪問控制,定義訪問級別,確定服務(wù)類型。審核和過濾,僅符合安全策略的訪問和響應(yīng)過程可以通過,拒絕其他訪問請求。網(wǎng)絡(luò)系統(tǒng)的主要服務(wù)類型是：HTTP〔WEB服務(wù)其他Internet應(yīng)用服務(wù)其它的網(wǎng)絡(luò)服務(wù)由于不會跨越不同的安全區(qū)域,在防火墻部分不必考慮。根據(jù)以上需求制訂出安全策略。No.安全區(qū)域安全級別訪問級別1Internet低提供公共客戶的網(wǎng)絡(luò)連接。2非軍事區(qū)中外部可訪問符合安全策略的網(wǎng)絡(luò)資源；部可以更新和維護(hù)。3部網(wǎng)高可與非軍事區(qū)的Web服務(wù)器進(jìn)行數(shù)據(jù)交換；對外不可見。現(xiàn)有需要進(jìn)行審核和過濾的應(yīng)用和服務(wù)類型包括：服務(wù)類型端口圍/協(xié)議類型說明DNS53,tcp/udp域名服務(wù)80,tcpWWW服務(wù)ftp21,tcpftp服務(wù)mail25,110.tcpMail服務(wù)攻擊防御攻擊防御系統(tǒng)黑客使用的網(wǎng)絡(luò)攻擊的方式及天網(wǎng)防火墻的抵御措施：Denial-Of-Service〔DOS攻擊最近在Internet上DOS攻擊暴虐一時。由于可以通過使用一些公開的軟件進(jìn)行攻擊,它的發(fā)動較為簡單。同時要防止這種攻擊又非常困難,天網(wǎng)防火墻系統(tǒng)針對各種DOS攻擊做出了較全面的防御措施。SYNFlood這是一種較為常見的攻擊,不法分子會向攻擊目標(biāo)發(fā)出大量TCPSYN請求,具有SynFloodDefend技術(shù)的防火墻可以有效的的分辨出黑客攻擊與正常連接,因此可以抵擋該攻擊。WindowsOOBAttack：對于沒有Patch過的Windows95/NT系統(tǒng),不法分子可以利用向NetBIOS〔Port139發(fā)送OutOfBand數(shù)據(jù),這可以導(dǎo)致被攻擊機器死機。天網(wǎng)防火墻系統(tǒng)會分析通往NetBios的信息,檢查是否OOB數(shù)據(jù),如果檢查出有問題,將會拒絕該IP包,同時把來源IP紀(jì)錄并發(fā)出系統(tǒng)警告。PINGDOSAttack許多Unix-Like系統(tǒng)在接收到一個長度大于65535的IP包碎片時,會錯誤處理,導(dǎo)致系統(tǒng)死機或重起。這種攻擊又稱為"PingOfDeathAttack"。天網(wǎng)防火墻系統(tǒng)會自動檢查IP包,當(dāng)發(fā)現(xiàn)它是PingOfDeathAttack的數(shù)據(jù),會拒絕其進(jìn)入,紀(jì)錄來源IP并發(fā)出系統(tǒng)警告。IPSpoof不法分子可以使用IPSpoof的辦法偽造來源IP,由于防火墻系統(tǒng)本身具有路由功能,如果沒有防御措施,將會被騙,把該虛假來源的IP包發(fā)送到局部網(wǎng)絡(luò)中去,這使非常危險的。天網(wǎng)防火墻系統(tǒng)會根據(jù)IP的來源設(shè)備進(jìn)行分析,如果超出該設(shè)備的網(wǎng)絡(luò)圍,將會拒絕該IP包,紀(jì)錄并發(fā)出警告。這樣在不同物理網(wǎng)絡(luò)/邏輯網(wǎng)絡(luò)之間虛假IP包不能通過,保證了系統(tǒng)的安全。 網(wǎng)絡(luò)黑洞對系統(tǒng)進(jìn)攻的第一步,是探測對方的網(wǎng)絡(luò)結(jié)構(gòu)。天網(wǎng)防火墻的網(wǎng)絡(luò)黑洞可以吸收網(wǎng)絡(luò)探測,并且返回虛假信息,使攻擊者獲得錯誤的信息,并且制造陷阱,引誘攻擊者進(jìn)行攻擊,同時記錄攻擊并且報警。天網(wǎng)防火墻ICPI型: 天網(wǎng)防火墻ICP－I型防火墻,是適合應(yīng)用與業(yè)務(wù)比較簡單的ICP使用的防火墻,天網(wǎng)防火墻ICP型是專為ICP設(shè)計的大容量防火墻,能支持大量的峰值訪問與并發(fā)連接數(shù),滿足ICP的需求。它包括了基本的防火墻系統(tǒng),網(wǎng)絡(luò)黑洞和數(shù)據(jù)紀(jì)錄功能模塊,具體功能特性如下：基本系統(tǒng)功能 網(wǎng)絡(luò)黑洞,用于阻擋非法的網(wǎng)絡(luò)探測 網(wǎng)絡(luò)數(shù)據(jù)記錄,用于記錄通過防火墻的數(shù)據(jù)類型和流量 雙機熱備份,可以在10秒鐘自動切換不正常工作的防火墻系統(tǒng) 負(fù)載均衡,可以智能地將用戶的請求分布到多臺服務(wù)器上 天網(wǎng)防火墻的負(fù)載均衡模塊,可以智能地將用戶的服務(wù)請求分布到多臺服務(wù)器上面,同時,提供容錯功能,可以自動隔離出問題的服務(wù)器。系統(tǒng)具體功能如下： 1動態(tài)負(fù)載均衡 天網(wǎng)防火墻的負(fù)載分布模塊可以根據(jù)服務(wù)器的負(fù)載情況,包括CPU占用量,系統(tǒng)Load等情況,自動選擇負(fù)載最小的服務(wù)器,將用戶的服務(wù)請求發(fā)送到該機器上。 2容錯處理 天網(wǎng)防火墻的負(fù)載分布模塊可以自動檢測服務(wù)器的可用性,當(dāng)某一臺服務(wù)器出現(xiàn)故障的時候,分布式系統(tǒng)會自動繞開發(fā)生故障的機器,不會將用戶的服務(wù)請求發(fā)送到該機器上,保證了系統(tǒng)的正常運作。典型網(wǎng)絡(luò)方案：假設(shè)準(zhǔn)備使用十臺服務(wù)器對外提供Web服務(wù),使用四臺服務(wù)器作為Smtp服務(wù)器,兩臺服務(wù)器作為POP3服務(wù)器,對外進(jìn)行服務(wù),估計將有23—25M的流入數(shù)據(jù)量和12—14M的外流數(shù)據(jù)量：公共網(wǎng)絡(luò)。提供的Web界面訪問,收發(fā)電子服務(wù)。外部網(wǎng)絡(luò)。提供到Internet連接。主要應(yīng)用類型包括：Web應(yīng)用POP3及Smtp電子應(yīng)用DNS服務(wù)FTP服務(wù)安全策略為先關(guān)閉全部服務(wù)和端口,在開放部分服務(wù)和端口。網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)當(dāng)前的網(wǎng)絡(luò)需求,我們建議使用基于天網(wǎng)防火墻ICP-I型的安全解決方案。下圖為本建議方案的網(wǎng)絡(luò)拓?fù)涫疽鈭D。為了保證站點的穩(wěn)定性、容錯性,本方案使用天網(wǎng)防火墻III型,通過防火墻劃分為物理上相互獨立的兩個網(wǎng)段：公共網(wǎng)段〔PublicNetwork私有網(wǎng)段〔PrivateNetwork其中,公共網(wǎng)段提供面向Internet的廣域網(wǎng)連接和接受互聯(lián)網(wǎng)用戶訪問的支持；私有網(wǎng)段安放十臺Web服務(wù)器、四臺Smtp服務(wù)器和兩臺POP3服務(wù)器,提供Web和電子應(yīng)用服務(wù)。安全策略目的：劃分安全區(qū)域。制訂安全策略,包括用戶訪問控制,定義訪問級別,確定服務(wù)類型。審核和過濾,僅符合安全策略的訪問和響應(yīng)過程可以通過,拒絕其他訪問請求。根據(jù)對用戶需求的分析,網(wǎng)絡(luò)可以劃分為以下幾個安全區(qū)域：部網(wǎng)段外部網(wǎng)段分屬兩個安全區(qū)域的網(wǎng)段通過天網(wǎng)防火墻進(jìn)行互連。No.安全區(qū)域安全級別訪問級別1外部網(wǎng)段低級無。提供網(wǎng)絡(luò)連接。2部網(wǎng)段高級可自由訪問外部網(wǎng)絡(luò)資源；對外不可見?，F(xiàn)有需要進(jìn)行審核和過濾的應(yīng)用和服務(wù)類型包括：服務(wù)類型端口圍/協(xié)議類型說明WWW80,tcpWWW服務(wù)FTP21,tcp文件傳輸服務(wù)DNS53,tcp/udp域名解析服務(wù)SMTP/POP325/110,tcp電子天網(wǎng)防火墻ICP－II型: 天網(wǎng)防火墻ICP－II型防火墻,是適合應(yīng)用與業(yè)務(wù)比較復(fù)雜的ICP使用的防火墻,天網(wǎng)防火墻ICP型是專為ICP設(shè)計的大容量防火墻,能支持大量的峰值訪問與并發(fā)連接數(shù),滿足ICP的需求。它包括了基本的防火墻系統(tǒng),網(wǎng)絡(luò)黑洞和數(shù)據(jù)紀(jì)錄功能模塊,具體功能特性如下：基本系統(tǒng)功能 網(wǎng)絡(luò)黑洞,用于阻擋非法的網(wǎng)絡(luò)探測 網(wǎng)絡(luò)數(shù)據(jù)記錄,用于記錄通過防火墻的數(shù)據(jù)類型和流量 雙機熱備份,可以在