明泰嘉讯科技发展有限公司

联系

网络安全通用解决方案(防火墙）

1.前言

随着计算机技术和通信技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式，成为当今社会发展的一个主题。网络的开放性、互连性、共享性程度的扩大，特别是Internet的出现，使网络的重要性和对社会的影响也越来越大。随着网络上电子商务、电子现金、数字货币、网络国税等新兴业务的兴起，网络安全问题变得越来越重要。计算机网络犯罪所造成的经济损失令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。

1998年起，一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的资料，1998年中国共破获电脑黑客案件近百起，利用计算机网络进行的各类违法行为在中国以每年30％的速度递增。黑客的攻击方法已超过计算机病毒的种类，总数达近千种。公安部官员估计，目前已发现的黑客攻击案件约占总数的15％，多数事件由于没有造成严重危害或商家不愿透露而未被曝光。有媒介报道，中国95％的与Internet相连的网络管理中心都遭到过境内外黑客的攻击或侵入，其中公共互联网发布媒体，银行、金融和证券机构是黑客攻击的重点。

无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息、窃取用户的口令、数据库的信息；还可以篡改数据库内容、伪造用户身份、否认自己的签名；更有甚者，攻击者可以删除数据库内容、摧毁网络节点、释放计算机病毒等等。黑客的威胁见诸报道的已经屡见不鲜，像贵州省城热线、成都艺术节主页等都报道有黑客入侵，他们在主页上发布反动口号，或将主页修改成黄色画面。内部工作人员的不小心甚至充当间谍。内部工作人员能较多地接触内部信息，工作中的任何不小心都可能给信息安全带来危险。这些都使信息安全问题越来越复杂。竞争对手的非法入侵。现在社会竞争越来越激烈，竞争对手通过网络非法访问对方内部信息的事件屡见不鲜。

面对计算机网络的种种安全威胁，必须采取有力的措施来保证安全。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。所谓防患于未然，一旦出了事，亡羊补牢，恐怕为时已晚。根据网络安全监测软件的实际测试情况显示，一个没有安全防护措施的大型网络，其安全漏洞可达1500个左右。在一些网络系统中，虽然采用一些安全产品，有一套安全制度，但由于各种客观和主观的原因仍然存在种种安全上的问题。因此在作全网安全考虑时，除了合理的使用和配置各种安全（软、硬件）产品以外，检测和后续的服务也越来越受到重视。

北京明泰嘉讯科技发展有限公司是一家专业的网络安全公司，主要致力于网络安全整体解决方案，包括网络安全评估、安全策略制定、系统漏洞检测、系统加固和优化网络安全以及网络防病毒等服务。北京明泰嘉讯科技有限公司坚持以技术和服务为本，集成国际上著名安全厂商先进、成熟的硬件和软件平台，向用户提供先进而可靠的技术解决方案及产品。伴随着公司技术实力、规模、业绩等方面的快速增长，北京明泰嘉讯科技有限公司已成为网络安全领域和互联网时代关键行业用户切实信赖的网络安全服务供应商。公司目前已与在国际安全领域享有盛誉的安氏（IS-one）公司、趋势科技（Trend Micro）、公司建立合作伙伴关系,并代理这两个公司的产品。北京明泰嘉讯科技有限公司拥有数十名防病毒安全工程师和防火墙高级工程师，全部参加过：趋势（Trend Micro）公司培训，并获得TCSE资格证书。作为网络安全中的重要的部分---防病毒，北京明泰嘉讯科技有限公司与Trend Micro公司共同携手，为许多国内著名企业的办公自动化系统、金融及保险业计算机网络系统以及军队、政府部门提供了完善的病毒防护技术、产品和服务。

北京明泰嘉讯科技有限公司有能力为大型网络提供所需的各种安全产品，同时为客户提供高水平的服务项目。北京明泰嘉讯科技有限公司和国内外主要安全厂商有良好的合作关系，可以按照客户的实际需求出发，制订可行的实施方案，来满足用户的需求。

2.xxxxx网络安全工程项目分析

2.1网络安全分析

xxxxx的网络是接入互联网的网络办公系统，计算机网络按区域可划分为两部分，一部分是内部网络，另一部分是外联网络。

内部网络指xxxxx的局域网络，它是内部办公系统的基本部分，是典型的客户端――服务器结构。主要由一台主服务器（藏品信息管理系统、图书信息管理系统、办公自动化系统）和20余台PC工作站直接相连组成计算机网络。

外联网络指与内部办公系统以外的计算机网络进行信息交流的部分，主要是指Internet。

2.2安全威胁

人们通常所说的网络安全，一般是指网络系统的硬件、软件及其系统中的数据受到保护，不会因为偶然的或者恶意的攻击而遭到破坏、更改、泄漏，系统能够连续、可靠、正常地运行，网络服务不中断。因此，网络安全包括数据安全和系统安全两方面。

其中恶意对网络进行攻击的行为，又分两种类型，第一类为系统型攻击，它所威胁的是系统安全，其特点是：在网络层进行；破坏系统的可用性，使系统不能正常工作；留下明显的攻击痕迹。第二类为数据型攻击，它所威胁的是数据安全，其特点是：在网络的应用层进行；面向信息，主要目的是获得或修改数据；不会留下明显的痕迹。

●来自外部网络的攻击

由于不同局域网络之间的通信电路基本都是租用电信部门的公众通信网络，因此，内部网络面临着外部攻击者从电信公众通信网络入手进行攻击的威胁。来自外部的攻击既可能是数据型攻击、也可能是系统型攻击。虽然主通信电路一般是DDN或帧中继，相对来说是安全的，但并不能排除从这些电路上非法连接到系统网络进行攻击的可能。另外，那些少数通过电话拨号线进行通信的局域网，如果不采取一定的安全措施，这些电话线将成为外部攻击者非法进入的很好的途径。

2.3保护网络安全的技术手段

网络安全是相对的，安全的程度与付出的代价是密切相连的，除资金之外，相关安全措施也会影响网络性能和管理难度等，安全程度越高这些影响越大。因此，解决安全的方案应该是平衡安全与代价的结果。

对待网络安全不同的威胁人群，应采取不同的手段，从而以较小的代价取得较好的效果。对外部攻击者，必须采取强硬有力的抗攻击手段; 而对内部用户，则在适当增加其攻击难度的前提下，建立完善有效的审计机制作为威慑，其根本目的都在于防止其实施攻击。网络安全实质上是一个综合性问题，技术手段必须与有效的管理相配合，才能发挥最大的功效。

3.xxxxx网络安全解决方案

3.1防火墙技术介绍

随着政府上网、企业上网、电子商务、远程教育、远程医疗等一系列网络应用的蓬勃发展，Internet 正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。换言之，Internet 网的安全，包括其上的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的“大事情”。

“防火墙的目的是在内部、外部两个网络之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制”（参见国标GB/T 18019-1999）。防火墙技术当前已经成为网络安全领域的最为重要的、活跃的领域之一，成为保证网络安全、保护网络数据的重要手段，必选的网络安全设备之一。

一个好的防火墙防御体系应该具有以下五方面的特性：

☆所有在内部网络和外部网络之间传输的数据必须通过防火墙

☆只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙

☆防火墙本身运行稳定，不受各种攻击的影响

☆使用目前最新的信息安全技术，例如现代密码技术等

☆人机界面良好，用户配置使用方便，易管理

随着防火墙技术的日益成熟以及网络攻击技术的发展，许多防火墙防御体系失败的原因不再是防火墙系统本身，而是防火墙系统的策略制定和管理维护。所以，在用户考察、选择产品提供者时，防火墙策略咨询、评估以及外包管理（MSS）等形式的售后服务的提供能力成为非常重要的因素。

3.2xxxxx网络安全解决方案设计

根据xxxxx的网络现状提出如下解决方案：

通过在内部网络和外部网络之间通过安装防火墙实现访问控制，保障内部网络的安全。在此我们建议采用LinkTrust CyberWall（领信防火墙）。

LinkTrust CyberWall 领信数码墙系统提供多种网络接口，标准配置的三个接口分别为：Intranet（内部网）、DMZ（Demilitarized Zone）以及外部网。其中Intranet 是不对外开放的区域，外部用户检测不到它的IP 地址，难以对它进行攻击，DMZ 区又称为停火区，或安全网络（SSN），它对外提供服务，系统的开放信息都放在该区（如HTTP、SMTP、DNS、FTP 等）。由于DMZ 和内部网是互相隔离的，所以即使受到攻击也不会危及内部网。这种安全的体系结构使得Intranet、DMZ 和外部网分工明确，界限分明，防止其中一部分瘫痪而影响整个网络。

3.3LinkTrust CyberWall（领信防火墙）产品介绍

安氏中国集多年的网络安全产品开发及工程实施经验，采用源自硅谷的，当今世界先进的防火墙开发模型及相关的核心技术，与国内外有关的科研机构及著名高等院校合作，遵循软件开发工程理论，由数名博士参与组成的开发团队协同工作，完成了LinkTrust CyberWall 的设计、开发、产品化和测试等方面的工作。

安氏中国的“入侵检测（ISS Realsecure）”和“漏洞评估（ISS Internet Scanner）”是国际著名品牌。CyberWall 可与RealScure 紧密耦合，协同工作。防火墙可以保护自己和IDS 系统不受网络攻击和入侵的危害，IDS 系统检查到的攻击和入侵信息可以实时地通知防火墙，相应的修改安全策略，起到进一步保护内部网络的目的。

CyberWall 通过了ISS Internet Scanner 的强力扫描测试。

CyberWall 属于基于状态检查的包过滤和应用级防火墙的混合型防火墙，带有一个集成的

网络地址翻译器和一组专用安全过滤器，以及大多数常见的应用层网络协议的代理，集状态检查防火墙的灵活高效与应用代理的安全性于一身。秉承安氏产品一贯的高、精、尖品质，CyberWall 帮助用户建立完善的安全防御体系。

CyberWall 虚拟专网的设计可以帮助用户低成本的建立符合国际标准的安全网络。

CyberWall 属于固态专用防火墙，采用专门设计的硬件搭载平台和操作系统（LTOS），标准1U 高度机箱，符合国际通用的电气标准。如图1 所示。

★状态检查包过滤

    ☆LinkTrust CyberWall 采用基于状态检查的包过滤技术，快速实现基于源/目的IP 地址、服务、用户、组（网络，服务）的精细粒度的访问控制
    ☆支持快速通道技术,大大加强防火墙的包通过能力
★透明代理和应用代理
    ☆LinkTrust CyberWall 提供较为丰富全面的应用代理，覆盖大多数用户常用应用程序，包括TELNET、HTTP 等。同时，多线程的代理提供较高性能的连接速度
    ☆LinkTrust CyberWall 提供多种内核级别代理机制，例如FTP 代理和ICMP 代理可以大大增强特殊网络应用安全性。
★网络地址翻译
    ☆LinkTrust CyberWall 支持多种方式的网络地址翻译，包括：

静态地址翻译（1:1）

动态地址翻译（N:1）

DMZ 区的特殊地址翻译，即端口翻译能力，加强DMZ 区的安全保护

☆利用反向地址翻译功能可以提供负载均衡能力

★用户认证
☆LinkTrust CyberWall 内置认证数据库，支持用户名、口令及用户地址等在本地的认证
★内容安全过滤
☆LinkTrust CyberWall 下列网络内容安全控制手段，包括：

URL 屏蔽（HTTP 代理）

Java/Active-X 过滤封堵（HTTP 代理）

FTP 命令控制(GET, PUT)

★日志、审计

☆LinkTrust CyberWall 提供完整的系统运行日志

☆LinkTrust CyberWall 支持标准的Syslog 日志

★告警

☆CyberWall 支持多种事件告警方式，包括：

控制台

SNMP（v2）Trap

★统计

☆支持防火墙的流量统计，并提供直观的图形显示，支持统计查阅功能

★命令行

☆CyberWall 提供专业人员熟悉和喜欢的快速的命令行配置界面

★图形界面的配置管理

☆CyberWall 提供安全的、友好的、易用的图形用户界面配置管理手段：

全中文Web 管理界面

基于目标管理（网络，服务，用户，组）

支持56 位SSL（安全套接字层）加密

系统配置备份，提供安全应急能力

系统在线升级能力

★与RealSecure的互操作能力

☆CyberWall 领信数码墙支持与世界领先的入侵检测系统（IDS）RealSecure 的互操作能力，即在CyberWall 的插件后，RealSecure 在特定事件配置其响应策略时，可以选择通过CyberWall 禁止特定数据包来进行访问控制，达到保护内部网络和IDS 系统的双重目的

★虚拟专网

☆使用CyberWall 领信数码墙可以利用因特网（ Internet）IP 通道为用户提供具有保密性，安全性，低成本，配置简单等特性的虚拟专网服务

☆使用CyberWall 领信数码墙可以为移动的用户,提供一个安全访问公司内部资源的途径，通过对pptp 协议的支持.用户可以从外部虚拟拨号,从而进入公司内部网络

★双机热备份功能

☆LinkTrust CyberWall 支持双机备份功能，通过加强的VRRP 协议，CyberWall 为用户提供最高可用性的产品

★透明网桥功能

☆CyberWall 领信数码墙提供包过滤网桥功能，在不改变用户的拓扑的情况,为用户提供最大的安全性，同时CyberWall 网口mac 地址自动学习功能

4 CyberWall 领信数码墙技术支持

安氏中国为CyberWall 领信数码墙提供专业的防火墙策略制定和管理服务，以及完善的售前、售后技术支持服务。

安氏中国作为专业的网络安全公司，提供出色的防火墙产品，并致力于成为广大用户的安全合作伙伴和顾问。安氏中国通过提供完善的、多元化的技术服务，竭诚为广大用户服务，满足用户不同程度的需要，最大限度地保障用户的信息安全。

任何购买安氏中国网络安全产品的用户，都能够享受安氏中国全面周到的产品技术服务。

为了保证购买安氏中国安全产品的用户能够更好地使用安氏中国产品，建议用户配套采用安氏中国提供产品技术服务。

4.1 安氏中国的承诺

?? 产品到货期承诺 ——保证在合同交货日期内，安氏中国产品到货

?? 公安部销售许可证承诺 ——保证产品拥有中华人民共和国公安部颁发的销售许可证

?? Y2K 承诺 ——安氏中国保证自己的产品不存在计算机两千年问题

?? 正版承诺 ——保证向用户提供正版的安氏中国产品

?? 中文手册承诺 ——安氏中国将为用户提供完全中文的产品手册和其它文档

4.1.1 技术支持服务承诺

?? 请求渠道畅通承诺 ——安氏中国承诺用户可以通过热线电话、热线手机、电子邮件、传真等方式，将用户的技术支持服务要求有效地传达到安氏中国的客户服务中心和技术支持中心

?? 现场服务响应时间承诺 ——如果用户所在城市有安氏中国的分公司或者办事机构，安氏中国工程师将立即出发赶赴用户现场；如果用户所在城市没有安氏中国的分公司或者办公机构，安氏中国工程师将在有飞机、火车、汽车等交通条件下，选择实际可能的最快方式到达用户现场

?? 问题解决承诺 ——安氏中国技术支持工程师将及时、准确地回答用户提出的问题。对于一般技术问题，做到当时解决；对于无法立即答复的问题，做到4 个工作日内给予响应；对于无法解答的问题，安氏中国工程师将对用户提出的问题备案，在寻求到解决方案后通知用户

?? 技术支持体系承诺 ——安氏中国技术支持拥有有效的支撑体系，面对用户的技术支持人员背后有多种层次的支持，包括当地的技术支持中心以及设在北京的总技术支持中心

?? 安氏中国将为用户提供一年时间的免费硬件维修服务

4.1.2 产品升级服务承诺

?? 及时升级承诺 ——安氏中国承诺在产品的升级版本发布的3 天内，向用户发出产品升级通知。如果没有收到用户的确认信息，安氏中国将每周试图联络1 次，直到用户收到升级通知并给予确认。如果联系到用户，对于需要递送介质的用户，升级的产品介质将在联系到的1 周内寄出或送出。

?? 最新安全消息承诺 ——安氏中国将把用户主要联系人员的邮件地址添加到用户升级邮件列表中，定期向用户发布产品最新动态、产品升级内容、最新安全信息、最新黑客攻击手法警告等，最大限度地保证用户的网络安全，使用户紧跟安全技术的发展。

   安氏领信防火墙是著名的信息安全实验室"iS-One Security Lab"成功推出的最新一代防火墙,产品迅速获得国家认证,被中国人民银行评选为金融系统指定防火墙产品之一。
    领信防火墙的设计理念从"顶尖技术+人性化"出发,充分考虑防火墙的五大要素:功能、性能、管理能力、易用性和配置,体贴用户的真正安全需求。领信防火墙采用专门设计的安全操作系统LTOS和专用搭载平台,提供高度可靠性和可用性。利用安氏安全实验室申请专利LinkTrust^TM POlling技术,提升防火墙的吞吐速度,达到内核级安全代理机制,是国丙唯一在线速状态下工作的最新一代防火墙。安氏安全实验室采用多种先进数据加密算法,最大限度提高VPN吞吐量。领信防火墙具有业界唯一的端口流量镜像功能,实现与世界最先进入侵检测系统互动；并为用户提供友好Web管理界面、命令行管理界面和LCD界面。
    领信防火墙的特色包括:第三代状态检测包过滤技术；多种服务的内核级安全代理；全面的网络地址翻译(NAT)；IPsec VPN和拨号VPN；高可靠性(HA)；支持流量管理；内容安全过滤；多种用户认证方案；完整日志、审计,告警和统计模块；抗DOS攻击能力(支持SYN Proxy )；内嵌入侵检测模块(SmartProtector)；支持多个ISP接入的负载均衡解决方案；支持诡异木马的抵御；对ICMP攻击免疫,基于时间的对象访问控制；支持按策略与IDS协作。

　* 服务热线 *

86-10-8207-8266

　* 合作伙伴 *