某人民银行内联网防火墙安全子系统建设方案.docx

某人民银行内联网防火墙安全子系统建设方案某人民银行内联网防火墙安全子系统方案方正数码有限公司2001年9月1 北大方正集团、方正数码公司简介82 人民银行内联网结构分析112.1 人民银行内联网整体情况112.2 人民银行内联网网络结构112.3 人民银行内联网支撑的应用系统122.4 人民银行系统平台133 人民银行内联网安全分析143.1 人民银行内联网安全现状分析143.2 人民银行内联网安全风险分析143.2.1 要紧应用服务的安全风险153.2.2 网络中要紧系统的安全风险163.2.3 数据库系统安全分析163.2.4 UniX系统的安全分析173.2.5 WindowsNT系统的安全分析183.2.6 管理系统的安全风险193.2.7 业务网络的安全风险194 方正数码防火墙解决方案204.1 本方案设计的原则与目标204.2 防火墙选型214.4 防火墙功能设置及安全策略234.4.1 完善的访问操纵234.4.2 内置入侵检测（IDS）244.4.3 代理服务254.4.4 NAT地址转换254.4.5 日志系统及系统报警254.4.6 带宽分配，流量管理264.4.7 集中管理264.4.8 预制模板264.4.9 H.323支持274.4.10 系统升级274.4.11 双机备份274.4.12 防火墙方案特点275 人民银行内联网防火墙安全需求及方案参照说明295.1 人民银行内联网防火墙基本要求295.2 人民银行内联网防火墙功能要求315.2.1 必备功能315.2.2 增强功能345.3 防火墙性能345.4 防火墙管理366 人民银行内联网安全管理建议376.1 整体思路376.2 集中管理，统一规划376.4 明确责任技术培训386.5 动态监控专家咨询397 人民银行内联网防火墙安全系统实施方案407.1 合同签订阶段的工作实施407.2 发货阶段的实施417.3 到货后工作的实施447.4 测试及验收457.4.1 测试及验收描述458 人民银行内联网防火墙系统培训478.1 培训目标478.2 培训艇478.3 培训方式478.4 培训时长478.5 培训地点478.6 培训人数488.7 学员要求489 方正方御防火墙技术支持与服务499.1 方正数码绿色服务体系结构介绍499.2 完善的技术支持与服务519.2.1 售前服务内容529.2.2 售前服务流程539.2.3 售后服务内容549.2.4 售后服务流程559.3 服务方式569.4 服务监督5610 方正方御防火墙成功案例5710.1 鞍山市商业银行应用案例5710.1.1 鞍山市商业银行需求分析5710.1.2 系统安全目的5810.1.3 安全体系结构5810.1.4 安全系统实施5810.2 沈阳建设银行安全应用实例5910.2.1 沈阳建设银行需求分析5910.2.2 系统安全目的6110.2.3 用户安全需求分析6110.2.3.1 安全性6110.2.3.2 高效性6110.2.3.3 可扩展性6210.2.3.4 易用性（管理操纵）6210.2.3.5 完善的服务体制6210.2.4 安全体系结构6210.2.5 安全系统实施6410.3 部分方正方御防火墙客户名单6511 人民银行内联网防火墙安全子系统建设报价6812 方正数码联系方式69附录一：授权服务商名单70附录二：防御防火墙所获证书75附件三：资格证明文件80附录四：方正方御防火墙产品说明85产品概述85系统特点86防火墙功能说明88多种工作模式88包过滤防火墙91高效的过滤91碎片处理功能92防SYNFlood攻击92强大的状态检测功能93轻型/复杂IDS（入侵检测系统）93反端口扫描93能够防范20类1500余种攻击方式94在线升级与实时报警96入侵检测与防火墙的互动97双向NAT97带宽管理与流量统计98代理服务器功能98双机热备99强大的审计功能99基于PKl的高级授权认证99集中管理100实时操纵与日志转存100灵活的配置方式IOl可视化配置101预置包过滤规则集101总结1011北大方正集团、方正数码公司简介北京北大方正集团公司是北京大学创建的高新技术企业。方正集团拥有3个控股的上市公司，方正(控股)有限公司、方正数码有限公司、上海方正延中科技集团股份有限公司，17家独资、合资企业。员工总数约6000人，总资产50亿元，2000年销售规模达101亿元。1997年，方正集团已成为国家120家大型试点企业集团之一，国家首批6家技术创新试点企业之一，国家重点支持的5家PC生产厂家之一。制造科技与文明，是北大方正的一贯宗旨，集团坚持以人为本的宗旨，以创新为先导，产、学、研结合，不断以优质产品与技术服务于社会。方正数码有限公司(EC-FOUnderCo.,Ltd.)是从事进展互联网应用技术及电子商务的软件技术公司。其业务专注于互联网安全产品及网络安全服务等领域，是互联网时代的软件技术公司。方正数码借助技术、研发方面的优势，借鉴世界上最先进的管理运作经验，定位于"电子商务赋能者"(e-commerceenabler),用不断创新的技术与优质的服务给予客户新经济时代可持续进展的能力，帮助政府、行业、企业、网站、电子商务的运营者运用先进技术与高效管理手段在互联网时代健康进展，取得成功。客户：企业、政府、军队、行业仃仃信息安全防火墙系列 整体解决方案 实验体系地理空间企业/政府信息信息化电子金融传统GlS应用LBl物流管理LBl资源管理位置服务LBSEAP策略顾问 系统集成 项目管理 网站建设B2B清算资金实时划拨 代理服务 企业银行方正数码有限公司的业务围绕在互联网安全技术应用、网络安全服务及网络安全知识管理等要紧领域，在技术开发、应用解决方案与运营服务方面为用户提供先进的网络安全产品与技术。为此方正数码推出SHARKS互联网安全解决方案。SHARKS解决方窠是在深入的研究后，提出的一套基于中国国情、全部自主开发、具有领先优势的解决方案。它是一套整体的集群平台，能够解决企业最为关切的安全性、高可靠性、可扩展性与易于远程管理的问题。目前这套方窠已经得到国家有关部门的大力支持，被国家经贸委列为国家创新计划项目之一，还得到了国家“863”计划的确信与支持。方正方御防火墙是SHARKS安全解决方案中的要紧安全产品之一。方正方御防火墙凭借其特殊的技术优势，在保证系统自身的安全性的同时又保证了其运行效率。方正方御防火墙中还融入了入侵检测技术，能够有效地防范攻击企图的试探；另外利用先进的In技术，方正方御防火墙能够有效滤除著名的DDoS攻击，正是这种攻击曾迫使包含美国雅虎在内的若干世界最大的网站停止服务。除防火墙之外，方正数码有限公司还向用户提供VPN、安全扫描系统、入侵检测系统（IDS）等安全产品及方案，从多层次、多角度、全方位保护用户的网络。在立足于自主开发外，方正数码公司还与众多国际、国内知名的安全公司保持着良好的合作关系，集成国内外最优秀的安全产品，为用户的安全建设保驾护航。2人民银行内联网结构分析2.1 人民银行内联网整体情况某人民银行内联网是以总行为中心、各个分支区域为基础，覆盖某人民银行全国各部门、各层次分支机构，基于TCP/IP协议体系的计算机信息服务网络；是某人民银行应用系统的基础网络平台。目前整个系统已网络实现到地市，系统运行着某人民银行多种应用系统。其中，这些系统通过与全国各商业银行与其他金融机构的互联网络，实现信息交换与共享。2.2 人民银行内联网网络结构某人民银行内联网由广域网与各级机构局域网构成。某人民银行内联网要紧连接由两个部分构成：一是某人民银行自己的纵向连网，连接某人民银行各级机构；一是某人民银行与其他商业银行的横向连网，实现金融系统之间数据通信。某人民银行内联网建立在CNFN的Framerelay网络之上，使用独立的地址空间与域名系统。广域网使用Framerelay技术。全国网络以总行为根节点，形成树形结构，各叶节点是某人民银行各级机构内部的局域网络，是广域网的信息源与终点，同时也是连接各商业银行的起点。人民银行内联网整体结构遵循网络设计三级原则，分成骨干网（核心层）、省域网（交换层）、区域网（访问层）。 骨干网由总行、分行营业管理部、省会城市中心支行等节点构成； 省域网由省会城市中心支行与省域内各地市中心支行等节点构成； 区域网由地市中心支行与所辖的县支行等节点构成。同时,某人民银行在总行、省（市）、地（市）三个层次上与各个商业银行与其他金融机构进行互连（系统总体机构如下）某人民银行同商业银行及其他金融机构互连某人民银行纵向连网同时，网络系统中的网络设备以路由器、交换机为主。骨干网上运行OSPF路由协议。2.3 人民银行内联网支撑的应用系统某人民银行内联网上已经或者马上运行的要紧应用服务系统包含： 政务与办公自动化系统； 业务处理系统； 管理信息系统； 决策支持系统； 多媒体应用与会议电视系统； 信息咨询服务系统； 外汇应用系统；2.4 人民银行系统平台某人民银行目前系统平台要紧使用 WindowNT系统； Unix系统； 数据库系统；局域工作站工作站）（jjg网-一,人民银行内联网）:厂上级人民银行/机构CJ堂手下级人民银行 机构同城商业银行IT一/ 同城网、空有关政府机构I甘I同城商业银行n机关3 Lo外联外联机关L_J IS二服务器I务器23人民银行内联网安全分析3.1 人民银行内联网安全现状分析某人民银行内联网骨干网有独立的PVC,IP地址与域名系统。广域网基本满足涉密网保密条件。某人民银行与其他商业银行与金融机构连接目前没有采取网络安全措施，为了防范来自外部网络（其他商业银行与金融机构）安全威胁迫切需要进行人民银行内联网防火墙系统基础建设，保障内部网络安全。3.2 人民银行内联网安全风险分析当前，人民银行的系统与外部非信任网络系统之间缺乏完善的安全保护体系。某人民银行内联网各个叶节点网络结构如下：第制文件信贷数据库内部Web服务器I服务器服务器服务器服务器人民甲J印耳与3.2.1 要紧应用服务的安全风险应用服务系统中各个叶节点有各类应用服务，这些应用服务提供给人民银行各级分行或者商业银行使用。不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统，使得系统数据丢失、数据更换、获得非法数据等。而某人民银行的这些应用系统是某人民银行内联网中最重要的构成部分。DNS服务DNS是网络正常运作的基本元素，它们是由运行专门的或者操作系统提供的服务的Unix或者NT主机构成。这些系统很容易成为外部网络攻击的目标或者跳板。对DNS的攻击通常是对其他远程主机进行攻击做准备，如篡改域名解析记录以欺骗被攻击的系统，或者通过获取DNS的区域文件而得到进一步入侵的重要信息。著名的域名服务系统BIND就存在众多的能够被入侵者利用的漏洞。某人民银行对外各类应用，特别是基于URL的应用依靠于DNS系统，DNS的安全性也是网络安全关注的焦点。E-Mail由于邮件服务器软件的众多广为人知的安全漏洞，邮件服务器成为进行远程攻击的首选目标之一。如利用公共的邮件服务器进行的邮件欺骗或者邮件炸弹的中转站或者引擎；利用sendmail的漏洞直接入侵到邮件服务器的主机等。而某人民银行的内部E-mail系统覆盖面广，因此迫切需要使用防火墙来保护人民银行的内部E-mail系统。WWWFTP一些FTP服务器的缺陷会使服务器很容易被错误的配置，从而导致安全问题，如被匿名用户上载的木马程序，下载系统中的重要信息（如口令文件）并导致最终的入侵。有些服务器版本带有严重的错误，比如能够使任何人获得对包含root在内的任何帐号的访问。3.2.2 网络中要紧系统的安全风险整个系统中网络设备要紧使用路由器设备，有必要分析这些设备的风险。路由器是某人民银行内联网的核心部件，路由器的安全将直接影响整个网络的安全。下面列举了一些路由器所存在的要紧安全风险： 路由器缺省情况下只使用简单的口令验证用户身份，同时远程TELNET登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。 路由器口令的弱点是没有计数器功能，因此每个人都能够不限次数的尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。 每个管理员都可能使用相同的口令，因此，路由器关于谁曾经作过什么修改，系统没有跟踪审计的能力。 路由器实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意的攻击者利用来破坏网络的路由设置，达到破坏网络或者为攻击做准备的目的。针对这种情况，务必采取措施，有效防止非法对网络设备访问。 TCP/IP风险：系统使用TCP/IP协议进行通信，而由于TCP/IP协议中存在固有的漏洞，比如：针对TCP序号的攻击，TCP会话劫持，TCPSYN攻击等。同时系统的DNS使用UDP协议，由于UDP协议是非面向连接的协议，对系统中的DNS等有关应用带来安全风险。3.2.3 数据库系统安全分析数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题，在数据库技术诞生之后就一直存在，并随着数据库技术的进展而不断深化。不法份子利用已有的或者者更加先进的技术手段通常对数据库进行伪造数据库中的数据、损坏数据库、窃取数据库中的数据。如何保证与加强数据库系统的安全性与保密性关于网络的正常、安全运行至关重要。3.2.4 UIliX系统的安全分析UNIX系统安全具有如下特征： 操作系统可靠性：它用于保证系统的完整性，系统处于保护模式下，通过硬件与软件保证系统操作可靠性。 访问操纵：同意通过改变用户安全级别、访问权限，具有统一的访问操纵表。 对象可用：当对象不需要时应该立即清除。 个人身份标识与认证：它要紧为了确定身份，如用户登陆时使用扩展的DES算法对口令进行加密。 审计：它要求对使用身份标识与认证的机制，文件的创建，修改，系统管理的所有操作与其他有关安全事件进行记录，以便系统管理员进行安全跟踪。 往来文件系统：UNIX系统提供了分布式文件系统(DFS)的网络安全。将网络与外部网络相连接，会使您的网络遭受潜在的服务中断、未经授权的入侵与相当大的破坏。比如下面的一些安全隐患： “拒绝服务”攻击(DenialofServiceAttacks):这些攻击禁止系统向顾客提供服务，使顾客不能得到某种服务。比如，攻击可能使用大而无用的流量充斥网络，导致无法向顾客提供服务。最通常的情况是这种攻击可能毁坏系统或者者只是让系统在向顾客提供服务时慢的出奇。 缓冲区溢出攻击(BUfferOverrunExploits):其中包含利用软件的弱点将任意数据添加进某个程序中，从而在它以根的身份运行时，有可能给予剥削者对您的系统的根访问权。这也可能导致某种“拒绝服务”攻击。 窃听与重放攻击(SnoOPingandReplayAttacks):窃听攻击涉及某个对网络上的两台机器之间的通讯流进行侦听的入侵者。通讯流可能包含使用telnet、rlogin或者ftp时来回传递的未加密的口令。这有可能造成某个未经授权的个人非法进入您的网络或者看到机密数据。 IP欺骗（IPSpoofing）:基于IP欺骗的攻击涉及对计算机未经授权的访问。通过侦听网络通讯流，入侵者找到受信任主机的一个IP地址，然后发送消息时指示该消息来自受信任主机。 内部泄密（InternaIExposure）:绝大多数网络非法进入皆起因于某个心怀恶意或者对现状不满的现任或者前任雇员滥用对信息的访问权或者非法闯入您的网络。针对Unix系统存在的诸多风险，应该采取相应的安全措施。务必对这些风险加以操纵。针对这个部分的安全操纵能够采取特殊的安全策略，同时利用有关的软件对系统进行配置、监控。制定全面的访问操纵计划、策略。3.2.5 WindowsNT系统的安全分析WindowsNT的安全机制的基础是所有的资源与操作都受到选择访问操纵的保护，能够为同一目录的不一致文件设置不一致的权限。这是NT的文件系统的最大特点。NT的安全机制不是外加的，而是建立在操作系统内部的，能够通过一定的设置使文件与其他资源免受在存放的计算机上工作的用户与通过网络接触资源的用户的威胁（破坏、非法的编辑等）。安全机制甚至包含基本的系统功能，比如设置系统时钟。对用户帐号、用户权限及资源权限的合理组合，能够有效地保证安全性。通过一系列的管理工具，与对用户帐号、口令的管理，对文件、数据授权访问，执行动作的限制，与对事件的审核能够使WindowsNT达到C2级安全。在网络中，有三种方式能够访问NT服务器：（1）通过用户帐号、密码、用户组方式登录到服务器上，在服务器同意的权限内对资源进行访问、操作。这种方式的可操纵性较强，能够针对不一致的用户。（2）在局部范围内通过资源共享的形式，这种方式建立在NETBlOS的基础之上。通过对共享资源的共享权限的操纵达到安全保护。但不能针对不一致的用户，当一个用户在通过共享对某一个资源进行操作时（这时共享权限有所扩大）,其他用户趁虚而入，而造成对资源的破坏。由于WindowsNT系统的复杂性，与系统的生存周期比较短，系统中存在大量已知与未知的漏洞，一些国际上的安全组织已经公布了大量的安全漏洞，其中一些漏洞能够导致入侵者获得管理员的权限，而另一些漏洞则能够被用来实施拒绝服务攻击。3.2.6 管理系统的安全风险管理系统的安全风险除了上面提到的系统风险之外，系统之间，特别是其他商业银行与某人民银行之间存在很大的安全隐患。系统结构复杂、管理难度大，存在各类服务，什么服务对什么人是开放的、什么是拒绝的都没有一定的安全划分。务必防止内部不有关人员非法访问安全程度要求高的数据，而且整个系统的正常运行也是保证银行系统日常工作正常进行的一个十分重要的方面。务必限制管理系统内各个部门之间访问权限，保护各个系统的安全访问。而由于整个系统是一个体系，任何一个点出现安全问题，都可能给有关人员带来缺失。3.2.7 业务网络的安全风险业务网络的安全程度要求是最高的，目前在某人民银行内部运行的业务繁多，同时各个商业银行与其他金融机构通过某人民银行内联网也运行有关业务，给整个系统带来了很大的安全隐患。这种隐患可能来自某人民银行内部，也可能来自某人民银行外部网络。特别是外部，务必采取有效的措施操纵与隔离内联网与其他商业银行与金融机构的网络互连,监控某人民银行内联网与其他金融机构之间的网络通信，限制对方对某人民银行资源访问范围，权限，防范可能来自对方的安全威胁。保证内部系统安全。4方正数码防火墙解决方案4.1 本方案设计的原则与目标原则：从网络安全整个体系考虑，本次防火墙选择原则是： 安全性：防火墙提供一整套访问操纵/防护的安全策略，保证系统的安全性； 开放性：防火墙使用国家防火墙有关标准与网络安全领域有关技术标准； 高可靠性：防火墙使用软件、硬件结合的形式，保证系统长期稳固、安全运行； 可扩充性：防火墙使用模块化设计方式，方便产品升级、功能增强、调整系统结构； 可管理性：防火墙使用基于windows平台GUI模式进行管理，方便各类安全策略设置； 可保护性：防火墙软件保护方便，便于操作管理；目标：网络安全包含很多方面，如：访问操纵、身份认证、数据加密、入侵检测、防止病毒、数据备份等。本次某人民银行内联网防火墙系统建设的目标是通过在某人民银行同其他商业银行、金融机构连接处使用防火墙技术，防止外部网络对某人民银行内联网数据的非法使用与访问，监控整个网络数据过程。有效防止来自外部的攻击行为。限制对内部资源与系统的访问范围。通过在某人民银行内联网系统中设置防火墙的安全措施将达到下列目标： 保护基于某人民银行内联网的业务不间断的正常运作。包含构成某人民银行系统网络的所有设施、系统、与系统所处理的数据（信息）。 某人民银行的重要信息在可控的范围内传播，即有效的操纵信息传播的范围，防止重要信息泄露给某人民银行外部的组织或者人员。 解决网络的边界安全问题 保证网络内部的安全 实现系统安全及数据安全 在用户与资源之间进行严格的访问操纵（通过身份认证，访问操纵） 建立一套数据审计、记录的安全管理机制（网络数据采集，审计） 融合技术手段与行政手段，形成全局的安全管理。为熟悉决人民银行内联网面临的安全问题，有必要建立一整套安全机制，包含：访问操纵、入侵检测等多个方面。信息系统的安全是一个复杂的系统工程，涉及到技术与管理等多个层面。为达成以上目标，方正数码在充分调研与分析比较的基础上使用合理的技术手段与产品以构建一个完整的安全技术体系，同时通过与某人民银行的共同工作，协助某人民银行建立完善的安全管理体系。4.2 防火墙选型防火墙是网络安全领域首要的、基础的设施，它对保护内部网络的安全起着重要的作用。利用防火墙能够有效地划分网络不一致安全级别区域间的边界，并在边界上对不一致区域间的访问实施访问操纵、身份鉴别、与安全审计等功能。防火墙按实现的方式不一致，其基本类型有：包过滤型、代理（应用网关）型与复合型。复合型防火墙是在综合动态包过滤技术与代理技术的优点的情况下采取的一种更加完善与安全的防火墙技术。其功能强大，是未来防火墙技术进展的一个要紧趋势。综合考虑人民银行网络安全实际情况，在本方案中使用方正数码的方正方御（FG-P）复合型防火墙，放置在某人民银行与各个商业银行与其它金融机构连接的各个叶节点。4.3 防火墙设置及工作模式根据某人民银行内联网防火墙要求与实际情况，防火墙整体布局如下:在人民银行与各商业银行与其他金融机构有连接的点使用防火墙技术。每个节点防火墙设置具体如下图:下级人民银行机构同城商业银行1防火墙提供三个接口：内网、外网、DMZ；防火墙工作在路由模式，对外使用NAT技术，隐藏内部真实地址；将对外服务的各类服务设备放置在DMZ区域，与内部网络严格区分开，保证内部系统安全。考虑到安全问题，系统中的结构需要调整，将原先各商业银行对某人民银行内部网络的访问调整到对DMZ的访问。不轻易同意各商业银行对某人民银行内部网络进行访问。4.4 防火墙功能设置及安全策略4.4.1 完善的访问操纵规则操纵：通过方正方御防火墙提供的基于TCP/IP协议中各个环节进行安全操纵，生成完整安全的访问操纵表，这个表包含：外网（商业银行与其他金融机构）对DMZ内服务访问操纵。将外部对内部、DMZ内服务访问明确限制，防止非法对内部重要系统，特别是业务系统的访问。利用DMZ的隔离效果，尽量将对外服务的部分服务器放置在DMZ区域，通过NAT方式，保护内部网络免受攻击。关闭操作系统提供的除需要以外的所有服务与应用，防止由于这些服务与应用自身的漏洞给系统带来的风险。对内部E-mail.FTP、WWW.数据库的访问做严格的规划与限制，防止恶意攻击行为发生。内部网络：内部网络对外部网络（商业银行与其他金融机构）的访问也要进行严格的限制。防止内部员工对外网资源的非法访问。对内部员工对外访问使用NAT方式访问。同时内部员工对DMZ区域服务器访问也务必做限制。内部员工对外网WWW访问使用代理方式。DMZ访问：通常情况下DMZ对外部与内部都不能主动进行访问，除非特殊的应用需要到内部网络采集数据，能够有限地开放部分服务。借助方正方御防火墙提供的基于状态包过滤技术对数据的各个方向使用全面安全的技术策略，制定严格完善的访问操纵策略保证从IP到传输层的数据安全。针对某人民银行系统中的网络风险能够通过严格的访问操纵表来进行限制。IPMAC地址捆绑：方正方御防火墙提供灵活而方式多种的内部网络、DMZ区域、外部网络IPMAC地址捆绑功能，将每台机器的IP地址与它自身的物理地址捆绑，有效防止内部网络、DMZ区域、外部网络的IP地址盗用(该功能实质是将网络协议第二层地址与第三层地址进行捆绑，达到一定的安全级别)。内部系统应该尽量使用固定IP分配方案。通过IPMAC地址捆绑，也能够对后期数据日志分析带来一定的方便性。URL拦截：在某人民银行内联网上存在各类需要对外保密的信息。方正方御防火墙实现了透明的URL拦截功能，对通过防火墙的应用层URL进行严格的操纵与管理，按照用户的要求进行拦截。外部对DMZ、内部URL访问进行操纵，同时也能够限制内部网络对外部网络URL非法访问。在该方案中我们将对内部网络与外部网络情况具体熟悉，对URL拦截达到页面级别。有效保护www应用的安全。4.4.2 内置入侵检测(IDS)方正数码公司与国际网络安全组织合作，能够实时获得最新系统入侵库代码，动态地将这些攻击技术的解决方案加入到方正方御防火墙中，同时在方正方御防火墙内部使用31技术，加速应用层安全防护查询过程。方正方御防火墙目前能够支持1500种以上的入侵检测并能够成功阻断这样的攻击行为，比如最近的红色代码。针对各类攻击行为，比如TCP序列号攻击、劫持、碎片攻击、端口扫描能够识别阻断。而这个数据库能够实时更新、升级。升级在方正方御防火墙界面即可完成。IDS与访问策略形成互动。通过防火墙嵌入的IDS功能能够有效防范对内部Windows/NT,Unix系统的攻击行为。电子欺骗：防火墙能够自动识别各类电子欺骗行为并进行阻断。同时防火墙能够对伪装IP地址进行识别。4.4.3 代理服务方正方御防火墙对外提供代理服务功能，某人民银行内部网络对外访问能够通过防火墙提供的代理服务功能，同时代理服务能够针对URL,SSL,FTP进行应用拦截，防止内部人员对外网的非法访问。4.4.4 NAT地址转换将某人民银行内部网络与DMZ区域网络地址通过NAT方式转换，隐藏真实IP地址，防止内部网络受到攻击。具体转换方式就是将内部网络与DMZ区域机器的地址全部转换成防火墙外网卡地址，对外某人民银行只有一个地址。而借助防火墙的多映射功能，能够将对外的同一地址映射为内部网络与DMZ区域不一致服务的不一致端口。4.4.5 日志系统及系统报警方正方御防火墙提供强大的日志系统，将通过防火墙的数据、防火墙管理数据、流量、各类攻击行为统计集成到一起。同时系统提供针对各类统计结果按照用户要求进行报表打印。 针对通过防火墙数据，能够按照数据类型、地址进行统计分析。 针对各类管理数据，防火墙进行全面记录，网管人员能够方便的查看对防火墙管理情况。假如有内部人员对防火墙访问，能够通过管理数据进行查询。 流量统计：防火墙提供流量统计功能，能够按照用户名称、地址等多种方式进行统计。 系统报警：当有人非法对内部网络或者者外部网络进行访问的时候，系统的实时报警会通过E-mail与声音进行报警。同时对各类非法的访问与攻击行为进行记录。通过强大的日志系统与实时报警、日志报警等多种方式保证某人民银行内部网络出现安全问题时能够有资料分析；同时也能够通过对日志系统的分析完善系统安全策略。4.4.6 带宽分配，流量管理在某人民银行内联网上运行着部分重要的业务数据，这些业务数据实时性要求高，务必保证这样的数据具有优先权限，防止由于带宽问题影响某人民银行的应用。方正方御防火墙能够针对某人民银行实际情况，对部分特殊应用提供带宽管理。给特殊应用分配相对高的带宽。同时方正方御防火墙提供流量管理功能，对内部网络用户对外网的访问能够提供流量限制。4.4.7 集中管理针对某人民银行网络覆盖面广、区域跨度大的特点，防火墙需要集中管理与操纵。方正方御防火墙提供集中管理机制，支持远程管理。利用NT域的概念与技术，方正方御防火墙能够对同一个域内的不一致防火墙进行同时管理。我们考虑在某人民银行的总行与各个大区行采取集中管理机制。按照防火墙的分权原则，将策略管理放置在各个防火墙节点。策略整体由某人民银行总行策划，各个节点自己进行策略管理。而系统管理与日志查询放置在各个大区行，统一管理、分析。防火墙提供管理接口，同时支持远程管理，管理数据使用RC4/MD5方式加密，能够有效保证管理的安全性，同时管理数据只在某人民银行内联网流淌。而防火墙自身能够对管理员地址进行严格限制。4.4.8 预制模板某人民银行网络复杂，但是结构清晰，为了更好的保护整个系统安全与习惯某人民银行统一管理、安全强度一致的原则，方正方御防火墙提供预制模板功能。能够通过某人民银行统一制订一个策略模板，各个节点网络在这个模板基础上进行规划，简化管理过程，使得系统管理难度降低。4.4.9 H.323支持某人民银行内联网运行着视频会议数据（H.323）。方正方御防火墙能够准确识别H.323数据流，让数据合法通过。按照正常的状态检测技术，H.323数据可能被阻断。在方正方御防火墙内部成功的进行了UDP、TCP数据同步分析。系统能够识别H.323连接,保证H.323数据通过。4.4.10 系统升级网络安全技术随着网络技术进展不断变化，而网络安全策略与软件也不能一成不变，需要不断升级。方正方御防火墙管理界面提供方便的系统升级与IDS升级功能。保证某人民银行防火墙产品实时与网络安全领域技术同步，防止由于新的安全问题给系统带来的安全风险。其中，特别是IDS功能，几乎每天都有新的安全风险与攻击软件出现。方正防火墙内嵌IDS功能模块能够动态升级，保障IDS数据库与最新动态同步。4.4.11 双机备份网络安全、稳固长期运行是某人民银行最终目标，而网络硬件可能由于一些特殊原因发生故障。方正方御防火墙提供双机备份功能，使用两种方式进行备份检测，软件方式借用HSRP技术动态跟踪各个区域运行状态，发现任何一个区域出现问题即刻进行切换。硬件方式使用心跳线方式，当系统检测到故障，也将进行切换。而系统的切换不影响某人民银行的业务。两台防火墙工作在互备模式中。4.4.12 防火墙方案特点本次某人民银行内联网防火墙要紧设置在与其他商业银行连接的节点上。本方案中，我们要紧根据某人民银行网络实际情况，针对防火墙的特殊性，从如下几个方面考虑1、保障系统安全性防火墙放置在内外网之间用来隔离内部网络与外部网络，对内外网络的通信进行严格的管理与监控，防火墙务必提供全面的安全策略保证内部系统安全。因此方正方御防火墙提供全面的访问操纵策略、IPMAC地址捆绑、IDS入侵检测、反电子欺骗等手段。这些功能能够有效的保障内部网络安全。同时方正方御防火墙也提供带宽管理、分配，系统报警等措施从侧面协助。2、自身安全性防火墙作为网络系统中的一个部件，其自身的安全性也是十分重要的，考虑到实际情况，方正方御防火墙提供单独的管理接口，管理接口服务全部关闭，同时管理接口的特殊管理数据使用标准加密算法与措施。某人民银行远程管理过程中数据通过某人民银行内联网进行管理能够有效的保证管理的安全性。同时，利用WindowSNT中域技术，对防火墙管理时务必登录到相应的域才能对域内的用户进行管理，保障管理域安全性。而防火墙操作系统使用通过严格测试专有操作系统。3、保护方便性管理的方便性直接关系到系统能否起到安全保护作用，方正方御防火墙提供的专有GUl平台，方便制订各类安全策略。4、系统事件管理系统事件与日志的统计直接关系到整个安全平台的完善与后续责任追查等多个方面，方正方御防火墙为用户提供完整、准确的数据统计结果，供查询、打印等。5人民银行内联网防火墙安全需求及方案参照说明5.1 人民银行内联网防火墙基本要求人民银行内联网设置防火墙的目的是隔离内部网、外部网与DMZ区（非军事区），抵御多种模式的网络攻击，保护内部网络不受攻击。 方正方御防火墙是基于状态检测技术的包过滤防火墙，拥有完整的客体访问操纵能力。能够对操纵范围内任何主体与客体执行端到端策略。通过对主、客体的规则策略的配置能够操纵主、客体的访问。 方正方御防火墙通过设置同意、禁止与对已建、新建、有关、非法四种状态的检测访问，拥有授权与拒绝能力。为主体与客体的安全属性提供明确的访问保障与拒绝。新已相非建建关法状态检测 方正方御防火墙拥有多种安全属性访问操纵。防火墙的策略操纵范围包含：源地址、目的地址、源端口号、目的端口号、传输协议，连接状态，与碎片检测等所有要素。方正方御防火墙具备安全审计功能模块。能够对入侵检测、流量操纵、防火墙自身操作、代理服务器等进行安全审计，同时将其审计结果全面的记录在日志中，通过自带的统计模块，管理人员能够自动或者者手动地将其统计成为报表。方正方御防火墙安全策略使用了非旁路性的设计，即所有流过防火墙的信息包都要通过防火墙的配置规则的检测，不可能出现信息包绕过防火墙的配置策略进入受保护网络的情况。防火墙能够充分保证任何与安全有关的操作被执行前，均通过安全策略的检查。1创“本II 8剧摩国Q*>iMW,r> 否 , M ¾UTMgM,¾<s> I M) IurTTiKKti址龙出方正方御防火墙自身拥有非常高的安全性。方正方御防火墙使用专用的操作系统，用户或者者黑客不可能熟悉其操作系统的任何信息，无从对防火墙的操作系统进行攻击。同时在管理上使用专有的操纵接口，将管理信息与其他信息隔离开的同时还使用了基于PKI的方式确保管理信息的安全性。方正方御防火墙拥有完善的管理功能，能够支持安全的集中管理，能区分安全管理角色，使用了三级管理体系，将管理人员分为管理员、审计员、策略员三种。结合人民银行内联网树型结构的特点，使管理员能够对防火墙实施安全的远程管理及保护，并能够通过加密保护远程管理会话。基本的配置管理功能，用户数据保护中的管理员属性的修改与查询功能，标识与鉴别功能。5.2 人民银行内联网防火墙功能要求5.2.1 必备功能包过滤方正方御防火墙是基于包过滤的防火墙，通过对所有流经防火墙的信息包内的包头信息进行检查，同意或者阻止数据包的传输，以实现对网络的安全操纵。它能够阻止畸型报文与拒绝服务，防止外部IPSpoofing,并可限制内部职工对外网的访问请求。同时防火墙内置的强大的IDS系统能够实时的封禁可疑的IP及黑客的各类攻击行为并报警。应用代理方正方御防火墙提供应用代理的功能，是针对应用层的服务，对用户应用提供代理服务