XX单位防火墙解决方案Word格式文档下载.doc
《XX单位防火墙解决方案Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《XX单位防火墙解决方案Word格式文档下载.doc(73页珍藏版)》请在冰豆网上搜索。
3.2.1. 防火墙设置及工作模式 15
3.2.2. 防火墙功能设置及安全策略 16
3.2.3. IPMAC地址捆绑:
16
3.2.4. URL拦截:
3.2.5. 内置入侵检测(IDS) 17
3.2.6. 代理服务 17
3.2.7. NAT地址转换 17
3.2.8. 日志系统及系统报警 17
3.2.9. 带宽分配,流量管理 18
3.2.10. 集中管理 18
3.2.11. 预制模板 19
3.2.12. H.323支持 19
3.2.13. 系统升级 19
3.2.14. 双机备份 19
3.2.15. 保障系统安全性 19
3.2.16. 自身安全性 20
3.2.17. 维护方便性 20
3.2.18. 系统事件管理 20
4. 工程实施方案 21
4.1. 项目实施原则 21
4.2. 发货阶段的实施 22
4.3. 到货后工作的实施 23
4.4. 测试及验收 24
4.4.1. 测试及验收描述 24
4.4.2. 系统初验 24
4.5. 实施人员 25
5. 培训方案 26
5.1. 培训目标 26
5.2. 培训课程 26
5.3. 培训方式 26
5.4. 培训时长 26
5.5. 培训地点 26
5.6. 培训讲师 27
5.7. 入学要求 27
6. 方正数码全程服务 29
6.1. 方正数码售后服务体系结构介绍 29
6.2. 方正数码售后服务内容 31
6.2.1. 售后服务内容 31
6.3. 2.售后维修服务流程 32
6.4. 方御防火墙部分用户名单 32
7. 附录A 35
7.1. 防火墙与入侵检测的选型 35
7.1.1. 方正数码公司简介 35
7.2. 方正方御防火墙(100M) 36
7.2.1. 产品概述 36
7.2.2. 系统特点 36
7.2.3. 方御防火墙(百兆)的性能 40
7.2.4. 方正方御防火墙功能说明 41
7.3. 方正方御防火墙(1000M) 55
7.3.1. 产品概述 55
7.3.2. 系统特点 56
7.3.3. 方正方御千兆防火墙功能说明 57
7.3.4. 方御防火墙(千兆)的性能 69
8. 附录B 71
8.1. 方正方御防火墙荣誉证书 71
1.网络信息安全概况
目前,很多公开的新闻表明美国国家安全局(NSA)有可能在许多美国大软件公司的产品中安装“后门”,其中包括一些应用广泛的操作系统。
为此德国军方前些时候甚至规定在所有牵涉到机密的计算机里,不得使用美国的操作系统。
作为信息安全的保障,我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品,将安全风险降至最低。
在为各安全产品选型时,我们立足国内,同时保证所选产品的先进性及可靠性,并要求通过国家各主要安全测评认证。
1.1.网络安全现状
Internet正在越来越多地融入到社会的各个方面。
一方面,随着网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;
另一方面,随着Internet和以电子商务为代表的网络应用的日益发展,Internet越来越深地渗透到各行各业的关键要害领域。
Internet的安全包括其上的信息数据安全,日益成为与政府、军队、企业、个人的利益休戚相关的“大事情”。
尤其对于政府和军队而言,如果网络安全问题不能得到妥善的解决,将会对国家安全带来严重的威胁。
2000年二月,在三天的时间里,黑客使美国数家顶级互联网站-Yahoo!
、Amazon、eBay、CNN陷入瘫痪,造成了十几亿美元的损失,令美国上下如临大敌。
黑客使用了DDoS(分布式拒绝服务)的攻击手段,用大量无用信息阻塞网站的服务器,使其不能提供正常服务。
在随后的不到一个月的时间里,又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。
国内网站也未能幸免于难,新浪、当当书店、EC123等知名网站也先后受到黑客攻击。
国内第一家大型网上连锁商城IT163网站3月6日开始运营,然而仅四天,该商城突遭网上黑客袭击,界面文件全部被删除,各种数据库遭到不同程度的破坏,致使网站无法运作。
客观地说,没有任何一个网络能够免受安全的困扰,依据FinancialTimes曾做过的统计,平均每20秒钟就有一个网络遭到入侵。
仅在美国,每年由于网络安全问题造成的经济损失就超过100亿美元。
黑客们进行网络攻击的目的各种各样,有的是出于政治目的,有的是员工内部破坏,还有的是出于好奇或者满足自己的虚荣心。
随着Internet的高速发展,也出现了有明确军事目的的军方黑客组织。
1.2.在典型的网络攻击中黑客一般会采的步骤
※自我隐藏,黑客使用通过rsh或telnet在以前攻克的主机上跳转、通过错误配置的proxy主机跳转等各种技术来隐藏他们的IP地址,更高级一点的黑客,精通利用电话交换侵入主机。
※网络侦探和信息收集,在利用Internet开始对目标网络进行攻击前,典型的黑客将会对网络的外部主机进行一些初步的探测。
黑客通常在查找其他弱点之前首先试图收集网络结构本身的信息。
通过查看上面查询来的结果列表,通常很容易建立一个主机列表并且开始了解主机之间的联系。
黑客在这个阶段使用一些简单的命令来获得外部和内部主机的名称:
例如,使用nslookup来执行“ls<
domainornetwork>
”,finger外部主机上的用户等。
※确认信任的网络组成,一般而言,网络中的主控主机都会受到良好的安全保护,黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的,一个网络信任成员往往是主控主机或者被认为是安全的主机。
黑客通常通过检查运行nfsd或mountd的那些主机输出的NFS开始入侵,有时候一些重要目录(例如/etc,/home)能被一个信任主机mount。
※确认网络组成的弱点,如果一个黑客能建立你的外部和内部主机列表,他就可以用扫描程序(如ADMhack,mscan,nmap等)来扫描一些特定的远程弱点。
启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运行,因为’ps’和’netstat’都被特洛伊化来隐藏扫描程序。
在对外部主机扫描之后,黑客就会对主机是否易受攻击或安全有一个正确的判断。
※有效利用网络组成的弱点,当黑客确认了一些被信任的外部主机,并且同时确认了一些在外部主机上的弱点,他们就要尝试攻克主机了。
黑客将攻击一个被信任的外部主机,用它作为发动攻击内部网络的据点。
要攻击大多数的网络组成,黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序,这样的例子包括易受攻击的Sendmail,IMAP,POP3和诸如statd,mountd,pcnfsd等RPC服务。
※获得对有弱点的网络组成的访问权,在攻克了一个服务程序后,黑客就要开始清除他在记录文件中所留下的痕迹,然后留下作后门的二进制文件,使其以后可以不被发觉地访问该主机。
1.3.黑客的主要攻击方式
※欺骗:
通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使用,例如盗用拨号帐号。
※窃听:
利用以太网广播的特性,使用监听程序来截获通过网络的数据包,对信息进行过滤和分析后得到有用的信息,例如使用sniffer程序窃听用户密码。
数据窃取:
在信息的共享和传递过程中,对信息进行非法的复制,例如,非法拷贝网站数据库内重要的商业信息,盗取网站用户的个人信息等。
※数据篡改:
在信息的共享和传递过程中,对信息进行非法的修改,例如,删除系统内的重要文件,破坏网站数据库等。
※拒绝服务:
使用大量无意义的服务请求来占用系统的网络带宽、CPU处理能力和IO能力,造成系统瘫痪,无法对外提供服务。
典型的例子就是2000年年初黑客对Yahoo等大型网站的攻击。
黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网络瘫痪等严重后果,如果是对军用和政府网络的攻击,还会对国家安全造成严重威胁。
2.背景介绍
2.1.项目总述
XX单位信息化建设的基础工程,是以计算机局域网为核心,以宽带光纤网络为通信平台,围绕业务管理、数据交换、语音通信、重大事件处理、视频会议等应用,覆盖各各工作部门等,并与全国、全省专网联接,共约*个节点的城域网。
XX专网是独立于公共网络之外的XX系统专用网络,物理上与外部公共网络隔离。
专网内部进行逻辑分割,采用防火墙隔离、审计检测等措施,建立有效的网络安全防范体系,以满足传送普密级信息的通信安全保密要求。
XX专网涉及范围广,建设要求高,需分期分批进行建设。
XX专网建成后,将极大地促进XX单位业务规范化、办公自动化、管理智能化、决策科学化、提高XX单位办事工作效率,实现各部门以及上下级部门之间信息和资源的共享。
2.2.XX单位网络整体情况
XX单位是以总部为中心、各个分支区域为基础,覆盖各部门、各层次分支机构,基于TCP/IP协议体系的计算机信息服务网络;
是XX单位应用系统的基础网络平台。
目前整个系统已网络实现到各部门,系统运行着多种应用系统。
其中,这些系统通过与其他单位的互联网络,实现信息交换和共享。
2.3.XX单位网络结构
XX单位网络由广域网和各级机构局域网组成。
XX单位网络主要连接由两个部分组成:
一是自己的纵向连网,连接XX单位各级机构;
一是和其他单位的横向连网,实现系统之间数据通信。
XX单位网络使用独立的地址空间和域名系统。
广域网采用Framerelay技术。
全国网络以总部为根节点,形成树形结构,各叶节点是各级机构内部的局域网络,是广域网的信息源和终点,同时也是连接其他单位的起点。
纵向连网
同其他单位互连
其他单位内联网
同时,网络系统中的网络设备以路由器、交换机为主。
骨干网上运行OSPF路由协议。
2.4.XX单位网络支撑的应用系统
XX单位网络上已经或即将运行的主要应用服务系统包括:
l政务与办公自动化系统;
l业务处理系统;
l管理信息系统;
l决策支持系统;
l多媒体应用与会议电视系统;
l信息咨询服务系统;
l外汇应用系统;
2.5.XX单位网络系统平台
XX单位网络目前系统平台主要采用
lWindowNT系统;
lUnix系统;
l数据库系统;
2.6.XX单位网络主要应用服务的安全风险
应用服务
系统中各个叶节点有各种应用服务,这些应用服务提供给XX单位或其他单位使用。
不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统,使得系统数据丢失、数据更改、获得非法数据等。
而XX单位的这些应用系统是XX单位网络中最重要的组成部分。
DNS服务
DNS是网络正常运作的基本元素,它们是由运行专门的或操作系统提供的服务的Unix或NT主机构成。
这些系统很容易成为外部网络攻击的目标或跳板。
对DN
升级会员 