曙光电子政务网络安全解决方案（二）

防火墙系统设计方案

（一）防火墙系统

1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域，进行访问控制的功能。通过防火墙的多网口结构设计，控制授权合法用户可以访问到授权服务，而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列，可以根据各局内部网的规模大小选择适合自己的产品。

2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统，超越了传统防火墙中的基于统计异常的入侵检测功能，实现了可扩展的攻击检测库，真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块，可以自动检测网络数据流中潜在的入侵、攻击和滥用方式，通知管理员调整控制规则，为整个网络提供动态的网络保护。

3、利用曙光天罗防火墙自带的VPN功能，实现多级VPN系统。防火墙VPN模块支持两种用户模式：远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示，在省地市三级网络出口处安装曙光天罗防火墙，利用防火墙的VPN模块，实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN)；而对于一些规模比较小的区线或移动用户，通过安装VPN客户端，实现远程访问虚拟网(拨号VPN)，整个构成一个安全的虚拟内部局域网，保障电子政务网络的数据安全传输。

（二）防火墙的VPN功能

VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接，可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。

第一，也是至关重要的一点，它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多；

第二，政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET，所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段，如点对点专线或长途拨号；

第三，VPN不仅可以大幅度削减传输数据的开销，同时可以削减传输话音的开销；

第四，VPN创造了多种伴随着Web发展而出现的新的商业机会，包括：进行全球电子商务，可以在减少销售成本的同时增加销售量；实现外连网，可以使用户获得关键的信息，更加贴近世界；可以访问全球任何角落的电子通勤人员和移动用户。

在当今全球激烈竞争的环境下，最先实现VPN的政府机关将在竞争获得优势已经是不争的事实，许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务，并从中受益：

◆ 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络；
◆ 实现本地拨号接入的功能来取代远距离接入，这样能显著降低远距离通信的费用；
◆ 远端验证拨入用户服务基于标准，基于策略功能的安全服务；
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来；
◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控，可以优化网络资源； 
◆ 极大的可扩展性，简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构，只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用，可以从小的政府机关扩展到最大的政府机关；
◆ 更大的网络灵活性，可以管理和发布不同类型的数据进入同一Internet连接。

VPN代表了当今网络发展演化的最高形式，它综合了传统数据网络的性能优点（安全和QoS）和共享数据网络结构的优点（简单和低成本），必将成为未来传输完全汇聚业务的主要工具。

用户可以通过硬件和软件的方式来实现VPN功能，一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙，就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性，因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。

（三）防火墙对服务器的保护

网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为“黑客”攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。

如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着“黑客”各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。

（四）防火墙对内网的保护

网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、设备接入的可控性比较差，因此，内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽可能防护到网络的每一节点。

对于一般的网络应用，内部用户可以直接接触到网络内部几乎所有的服务，网络服务器对于内部用户缺乏基本的安全防范，特别是在内部网络上，大部分的主机没有进行基本的安全防范处理，整个系统的安全性容易受到内部用户攻击的威胁，安全等级不高。根据国际上流行的处理方法，我们把内部用户跨网段的访问分为两大类：其一，是内部网络用户之间的访问，即单机到单机访问。这一层次上的应用主要有用户共享文件的传输（NETBIOS）应用；其次，是内部网络用户对内部服务器的访问，这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高，如果内部人员发起攻击，内部网络主机将无法避免地遭到损害，特别是针对于NETBIOS文件共享协议，已经有很多的漏洞在网上公开报道，如果网络主机保护不完善，就可能被内部用户利用“黑客”工具造成严重破坏。

由于网络环境的复杂化和网络应用的多样化日益明显，对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为，比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因，内部用户接触网络服务的机会、方法很多，如果没有专门的安全防护，“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击（CRACK），对于内部网络的用户，防范攻击的难度较大。我们主要从以下几个方面考虑：

1)内部网络风险分析：由于内部攻击发生的比较频繁，因此我们首先要分析内部网络的安全隐患，把可能发生的不安定因素找出来进行专门的安全处理；

2)内部用户网络和网络的隔离：把内部比较重要的数据服务器放在专门的区域，加上独立的控制体系，对于内部网的访问同样要进行相应的安全控制；

3)内部网络安全保护：结合物理层和链路层的特点，在物理层和链路层的接口处实施安全控制，实施IP/MAC绑定。