石家庄电信分公司网络安全方案(编辑修改稿)

石家庄电信分公司网络安全方案(编辑修改稿)内容摘要：

制，分为管理员，策略员和审计员。 管理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的管理和审计中的授权机制。 这样他们共同地负责起一个安全的管理平台。 多种工作模式 方正方御防火墙可以工作在网桥路由两种模式下，这 样可以方便用户使用。 使用在网桥模式时在 IP 层透明，使用路由模式时 可以作为三个区之间的路由器，同时提供内网到外网、 DMZ 到外网的网络地址转换。 防御 DOS， DDOS 攻击 普通的防火墙都是采用限制每一网络地址单位时间内通过的 SYN 包数量来抵御DDOS 攻击，但是通常网络攻击者都会随机的伪造网络地址，因此这种方法防范的效果非常差，不能从根本上抵御 DDOS 攻击。 方正方御防火墙修改了 TCP/IP 堆栈的算法，使得新的 syn 连接包可以正常通过，避免了由于大量的攻击 SYN 包造成网络的阻塞。 状态检测 方正方御防火墙 可以根 据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。 传统的防火墙的包过滤只是根据规则表进行匹配，而 方正方御防火墙 对每个连接，作为一个数据流，通过规则表与连接表共同配合来对网络状态进行控制。 代理服务 用户可以设置代理服务器端口来启动代理服务器功能，而且通过设置使用代理服务器用户帐号密码和访问控制来维护安全性。 代理服务的访问控制非常的完善，可以对时间、协议、方法、地址、 DNS 域、目的端口和 URL 来进行控制。 用户完全可以通过设置一定的条件来符合自己的要求。 双向网络地 址转换 系统支持动态、静态、双向的 NAT。 当用户需要从内部 IP 访问 Inter 时， NAT 系统会从 IP 池里取出一个合法的 Inter IP，为该用户建立映射。 如果需要在 Intra 提供让外部访问的服务（如 WWW、 FTP 等），NAT 系统可以为 Intra 里的服务器建立静态映射，外部用户可以直接访问该服务器。 双向网络地址转 换为企业用 户连接到Inter 提供了良好的网络地址隐蔽，并且能减少 IP 占用，替用户节省费用。 提供 DMZ 区 除了内部网络界面和外部网络界面，系统还可以再增加一个网络界面，让 管理员灵活应用。 如建立 DMZ（军事独立区） ，在其中放置公共应用服务器。 带宽管理和流量统计 方正方御防火墙 系统使用流量统计与控制策略，可方便的根据网段和主机等对流量进行统计与控制管理。 用户可以通过设置源地址到目的地址单位在时间内允许通过的流量以及协议和端口来进行带宽控制。 日志审计 审计功能是方正方御防火墙非常强大的一个部分，目前国内防火墙的审计功能都非常不完善，方正方御防火墙提供了大量的审计内容和对审计内容的查询功能，由于日志可能对一般用户比较难以理解，而我们将日志记录分成了若干部分，而其中每一部分都可以进行查询和管理，这样用户就能对防火墙的情况有一个非常透彻的了解。 入侵检测 方正方御防火墙入侵检测系统采用了可扩展的检测库方法，目前可以抵御 1000 多种攻击方法，而且可以通过升级检测库的方法来不断的抵御新的攻击方法。 用户还可以自定义攻击检测库来符合自己的要求。 自动报警和防范系统 方正方御防火墙一旦检测到有黑客进行攻击，会在第一时间内在控制机上进行报警，而且同时会自动封禁掉攻击者的 IP 地址，这样可以做到防火墙的防范完全自动化，而不象普通的防火墙那样需要人工干预。 基于 PKI 的授权认证 方正方御防火 墙的授权认证是基于 PKI基础之上，因此完全性极高。 PKI 是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（ CA）和关于公开密钥的安全策略等基本成分共同组成的。 快速安装配置 方正方御防火墙的安装和配置非常方便，管理员只要设定好网络设备的 IP 地址，然后使用系统提供的一些典型配置模板，适当的修改一些规则来符合要求。 除此以外还可以添加系统提供的一些子模板来实现一些特定的功能。 图形管理界面 用户可以通过图形界面对防火墙进行配置和管理。 而且也可以通过图形界面来管理审计内容，而不象有些防火墙是通过 命令行方式进行配置。 完全中国化的设计 方正方御防火墙是由方正数码自行设计和制作的，充分考虑了中国国情，除了界面、帮助文档、使用说明完全中文化外，还加入了一些小型模板用户给管理员配置防火墙。 集中管理 方正方御防火墙采用基于 Windows GUI的用户界面进行远程集中式管理，配置管理界面直观，易于操作。 可以通过一个控制机对多台方正方御防火墙进行集中式的管理。 . 方正方御防火墙功能说明 . 多种工作模式 方正方御防火墙可以工作在网桥和路由两种模式下： A：网桥模式： 3 个端口构成一个以太网交换机，防火墙本身没有 IP 地址，在 IP 层透明。 可以将任意三个物理网络连接起来构成一个互通的物理网络。 当防火墙工作在交换模式时，内网、 DMZ 区和路由器的内部端口构成一个统一的交换式物理子网，内网和 DMZ 区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置。 B： 路由模式： 防火墙本身构成 3 个网络间的路由器， 3 个界面分别具有不同的 IP 地址。 三个网络中的主机通过该路由进行通信。 当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、 DMZ 到外网的网络地址转换，也就是说，内网和 DMZ 都可以使用保留地址，内网用户通过地址转换访问 Inter，同时隔绝 Inter 对内网的访问， DMZ 区通过反向地址转换对Inter 提供服务。 在没有安装方正方御防火墙的时候典型网络结构图如下 : I n t e r n e t交 换机交 换机服务器路由 器用户 在安装了方正方御防火墙的时候网络结构图如下 : In t e rn e t路由 器交 换机用户服务器服务器D M Z 区内 部网F i r e G a t e . 包过滤防火墙 方正方御防火墙 包过滤的功能是对指定 IP 包进行包过滤，并且按照设定策略对 IP 包进行统计和日志记录，主要根据 IP 包的如下信息进行过滤：  源 IP 地 址  目的 IP 地址  协议类型（ IP、 ICMP、 TCP、 UDP）  源 TCP/UDP 端口  目的 TCP/UDP 端口  ICMP 报文类型域和代码域  碎片包  其它标志位，如 SYN， ACK 位 源 IP 地址，目的地址，协议类型，源端口，目的端口ICMP 报文类型域和代码域，碎片包，其它标志位InterHackerUserWebDataBase . 高效的过滤 有些防火墙在安装上以后对 WEB 服务器的吞吐能力影响很大，造成性能的降低。 由于方正方御防火墙采用了 3I（ Intelligent IP Identifying）技术，能够实现快速匹配。 因此方正方御防火墙不会对性能造成任何影响。 方正方御防火墙优化了算法，使最大并发连接数可以达到 300,000 个以上，而一般的防火墙的最大并发连接只可以达到几万个左右。 . 碎片处理功能 由于很多系统平台，包括一些路由器对 IP 碎片的处理存在问题，容易产生欺骗和拒绝服务等攻击，方正方御防火墙能够识别出 IP 碎片并且进行控制，这样一来通过禁止 IP 碎片通过方正方御防火墙，防止了这样的问题的产生。 . 防 SYN Flood 攻击 一些 TCP/IP 栈的实现只能等待从有限数量的计算机发来的 ACK 消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲 区里的连接企图超时。 典型的就是 Syn Flood 攻击 ,通过大量的虚假的 Syn 包使服务器速度变慢，甚至是死机。 一般的防火墙是通过限制每秒钟通过的 Syn 包数量来组织 Syn Flood攻击，这种方法可以在一定意义上阻止 Syn Flood 攻击，但是也有可能将正常的Syn 包忽略掉，因此不是一种非常好的方法。 方正方御防火墙使用了两种方式来反 Syn Flood 攻击，一种方法就是通过设置单位时间内的 SYN 包数量来控制，另外一种方法修改了 TCP/IP 堆栈的算法，使得新 Syn 包始终可以获得连接位。 避免了由于大量的攻击 SYN 包造成网络的阻塞。 . 强大的状态检测功能 方正方御防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。 传统的防火墙的包过滤只是1：没有安装 方御防火墙 2：安装方御防火墙 与规则表进行匹配，而方正方御防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合，在继承了传统包过滤系统对应用透明的特性外，还极大地提高了系统的性能和安全性。 其他的防火墙大多采用传统的规则表的匹配方法，随着安全规则的增加，势必会使防火墙的性能大幅度的减少，造成网络拥塞。 应 用 层物 理 层链 路 层网 络 层传 输 层会 话 层表 示 层新建已建相关非法状态检测新建已建相关非法 1 号包和1 号相关的包和1 号不相关的包服务器外部机器 . IDS(入侵检测系统 ) . 反端口扫描 一般黑客如果要对一个网站发动攻击，首先都要扫描目标服务器的端口，确定服务器上开启的服务，然后做出相应的入侵方式。 方正方御防火墙入侵检测系统能够在黑客扫描网站的时候就能检测到并报警，这样就能提前将黑客拒之于门外。 方正方御防火墙。