防火墙系统设计方案

（一）防火墙系统

1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域，进行访问控制的功能。通过防火墙的多网口结构设计，控制授权合法用户可以访问到授权服务，而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列，可以根据各局内部网的规模大小选择适合自己的产品。

2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统，超越了传统防火墙中的基于统计异常的入侵检测功能，实现了可扩展的攻击检测库，真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块，可以自动检测网络数据流中潜在的入侵、攻击和滥用方式，通知管理员调整控制规则，为整个网络提供动态的网络保护。

3、利用曙光天罗防火墙自带的VPN功能，实现多级VPN系统。防火墙VPN模块支持两种用户模式：远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示，在省地市三级网络出口处安装曙光天罗防火墙，利用防火墙的VPN模块，实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN)；而对于一些规模比较小的区线或移动用户，通过安装VPN客户端，实现远程访问虚拟网(拨号VPN)，整个构成一个安全的虚拟内部局域网，保障电子政务网络的数据安全传输。

（二）防火墙的VPN功能

VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接，可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。

第一，也是至关重要的一点，它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多；

第二，政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET，所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段，如点对点专线或长途拨号；

第三，VPN不仅可以大幅度削减传输数据的开销，同时可以削减传输话音的开销；

第四，VPN创造了多种伴随着Web发展而出现的新的商业机会，包括：进行全球电子商务，可以在减少销售成本的同时增加销售量；实现外连网，可以使用户获得关键的信息，更加贴近世界；可以访问全球任何角落的电子通勤人员和移动用户。

在当今全球激烈竞争的环境下，最先实现VPN的政府机关将在竞争获得优势已经是不争的事实，许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务，并从中受益：

◆ 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络；
◆ 实现本地拨号接入的功能来取代远距离接入，这样能显著降低远距离通信的费用；
◆ 远端验证拨入用户服务基于标准，基于策略功能的安全服务；
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来；
◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控，可以优化网络资源； 
◆ 极大的可扩展性，简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构，只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用，可以从小的政府机关扩展到最大的政府机关；
◆ 更大的网络灵活性，可以管理和发布不同类型的数据进入同一Internet连接。

VPN代表了当今网络发展演化的最高形式，它综合了传统数据网络的性能优点（安全和QoS）和共享数据网络结构的优点（简单和低成本），必将成为未来传输完全汇聚业务的主要工具。

用户可以通过硬件和软件的方式来实现VPN功能，一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙，就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性，因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。

（三）防火墙对服务器的保护

网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为“黑客”攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。

如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着“黑客”各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。

（四）防火墙对内网的保护

网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、设备接入的可控性比较差，因此，内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽可能防护到网络的每一节点。

对于一般的网络应用，内部用户可以直接接触到网络内部几乎所有的服务，网络服务器对于内部用户缺乏基本的安全防范，特别是在内部网络上，大部分的主机没有进行基本的安全防范处理，整个系统的安全性容易受到内部用户攻击的威胁，安全等级不高。根据国际上流行的处理方法，我们把内部用户跨网段的访问分为两大类：其一，是内部网络用户之间的访问，即单机到单机访问。这一层次上的应用主要有用户共享文件的传输（NETBIOS）应用；其次，是内部网络用户对内部服务器的访问，这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高，如果内部人员发起攻击，内部网络主机将无法避免地遭到损害，特别是针对于NETBIOS文件共享协议，已经有很多的漏洞在网上公开报道，如果网络主机保护不完善，就可能被内部用户利用“黑客”工具造成严重破坏。

由于网络环境的复杂化和网络应用的多样化日益明显，对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为，比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因，内部用户接触网络服务的机会、方法很多，如果没有专门的安全防护，“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击（CRACK），对于内部网络的用户，防范攻击的难度较大。我们主要从以下几个方面考虑：

1)内部网络风险分析：由于内部攻击发生的比较频繁，因此我们首先要分析内部网络的安全隐患，把可能发生的不安定因素找出来进行专门的安全处理；

2)内部用户网络和网络的隔离：把内部比较重要的数据服务器放在专门的区域，加上独立的控制体系，对于内部网的访问同样要进行相应的安全控制；

3)内部网络安全保护：结合物理层和链路层的特点，在物理层和链路层的接口处实施安全控制，实施IP/MAC绑定。

IDS详述

IDS（入侵检测系统）对于关心网络安全防护的人们来说已不再是一个陌生的名词，在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外，有近15%的安全项目会涉及到IDS系统，而且这些项目一般都对安全等级的要求非常高，对数据信息的保密性也有特别的要求。

（一）IDS系统

要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段，单个网段的最小组成元素是各台主机，政府机关对各主机、各网段的安全性要求程度一般都不相同，所以确定IDS的保护对象是合理使用IDS的关键。

在优先保护的网段中部署IDS系统，并配置合适的检测策略，如在防火墙之内部署IDS则可把安全策略配置得紧一些，即使用最大化的检测策略，而在防火墙之外部署则可采用较为宽松的策略，因为经过防火墙过滤后，内部网络的安全状况相对比较简单，而外部的情况则较为复杂，误报的可能性也较大。另外，在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎，从而形成报警，而对于用户来说，这些报警事件是没有什么参考价值的，所以需要在检测范围中排除这些主机的IP地址；通常IDS系统中都有一个过滤器（FILTER）模块或像KIDS那样所具有的“非阻断列表”的功能选项，可以允许用户加入所有他们所信任的主机IP地址。

目前大多数的IDS系统主要采用基于包特征的检测技术来组建，它们的基本原理是对网络上的所有数据包进行复制并检测，然后与内部的攻击特征数据库（规则库）进行匹配比较，如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确，但会给IDS带来较大的负载，所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况，选择最适合的检测策略（可根据操作系统、应用服务或部署位置等），并对所选的策略进行修改，选择具有参考价值的检测规则，而去除一些无关紧要的选项，如对于全部是Windows的应用环境，则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外，还提供了对端口扫描检测规则的自定义，如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数，这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。

（二）IDS监控

IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应，因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断，如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。

在利用IDS进行监控时，不但需要查看它的报警提示，而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时，网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时（DoS或DDoS），网络中的数据流量便可能会急速上升，这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。

IDS的最重要价值之一是它能提供事后统计分析，所有安全事件或审计事件的信息都将被记录在数据库中，可以从各个角度来对这些事件进行分析归类，以总结出被保护网络的安全状态的现状和趋势，及时发现网络或主机中存在的问题或漏洞，并可归纳出相应的解决方案。

电子政务整体网络安全解决方案

电子政务系统中存在大量敏感数据和应用，因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统，确保数据和应用万无一失。

各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接，可以通过电子政务网络进行相互访问，服务器就有可能收到攻击。因此，必须在各局之间相互进行隔离防护。

如下图，我们在各局路由器后安装曙光TLFW千兆防火墙，以有三千用户在同时上Internet网计算，千兆防火墙的并发连接超过600,000，完全可以满足整个网络的需求，稳定性上也满足要求。同时，将局内网与其他区域逻辑隔离开来，在数据中心内，根据不同的服务器对安全性的不同需求，将它们分等级划分为不同的区域，并通过详细的包过滤规则制定，将这些服务器彻底保护起来，保证它们之间不能跨级别访问，这样实现分级的安全性。

通过安装防火墙，可以实现下列的安全目标：

1)利用防火墙将内部网络、Internet外部网络进行有效隔离，避免与外部网络直接通信；
2)利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全；
3)利用防火墙对来自非内部网的服务请求进行控制，使非法访问在到达主机前被拒绝；
4)利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内；
5)利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作；
6)利用防火墙及服务器上的审计记录，形成一个完善的审计体系，建立第二条防线；
7)根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。

下图是电子政务网络安全解决方案设计拓扑图：
 

图示：电子政务网络安全总体拓扑

根据以上的分析，在整个政府网络安全体系中，除了负责边界安全的防火墙设备以外，还选择了入侵检测系统进行共同防范，达到整个系统的高安全性。

同时因为用户有拨号VPN的需求，而曙光的天罗防火墙自身具备了VPN的功能，可以满足远程连接用户的安全要求。

具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用，网络性能和透明性好，拥有自行设计的全中文化WWW管理界面，通过直观、易用的界面来管理强大、复杂的系统功能。

可根据系统管理者设定的安全规则（Security Rules）把守网络的大门，提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。

根据电子政务的实际需要，充分利用了曙光天罗防火墙的各功能模块，实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作，再加上NIDS网络入侵检测系统的重点防护，构建了一个整合的动态安全门户，以比较经济实惠的方式，实现了对电子政务网络的整体安全防护。