网络安全背景

　　伴随着因特网（internet）在全球范围的推广普及，全社会的信息网络化建设进入了飞速发展的崭新阶段，“知识经济”时代已经来临。1999年启动的“政府上网”工程，是我国政府部门信息化建设的良好开端。在我们看来，政府机关的信息网络安全，尤其是作为各级政府机关在网络世界中的服务窗口的因特网站点的安全问题，关系到国家主权和形象，必须慎重对待、妥善解决。目前，我国因特网信息网站的安全现状普遍令人担忧，由于各方面的原因，经常遭受国内外的敌对势力、网络黑客的攻击和破坏，网站主页内容被篡改、网络服务陷于瘫痪。据公安部的不完全统计，1999年的前8个月中，我国中央、国务院各部委和省级政府与金融服务机构的因特网公共网站受到网络黑客攻击，造成不良影响和严重损失的案例已超过20起。

　　正是由于政府机关和企事业单位不断地受到来自安全方面的威胁，因此对于河南省某统计局整个网络的安全保护和实施更是显得迫在眉睫。

　　总体建设目标

　　计算机资源的共享性和通信网络的开放性是信息系统的重要特征，而信息系统的开放性和信息的安全性是一对矛盾，如何保证合法用户对系统资源的合法访问，以及如何防止网络黑客的攻击，成为计算机网络信息安全必须解决的首要任务和重大课题。

　　根据河南省某统计局的网络需求，本防火墙安全产品方案应在技术上具有先进性，在设备选型方面具有适当的超前性和较强的可扩充性，保证系统在3-5年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性能价格比，系统应充分利用现有的通讯方式，实现最有效的信息沟通，采用开放式和具有可扩展性的结构方案，保证系统的不断扩充。

　　本方案是天融信在了解并分析了河南省某统计局网络结构和应用的基础之上，而提出的切实可行的防火墙安全产品解决方案。

　　河南省某统计局系统概述

　　河南省某统计局概况

　　河南省某统计局是政府对外发布信息重要的渠道，河南省某统计局采用国际上先进的、成熟的、开放的网络技术建立起来的管理网络。

　　河南省某统计局的建成，为河南省某统计局拥有多渠道、多功能、多层次、多手段的新闻报道和发布体系起到了积极的作用。

　　河南省某统计局整体结构是通过专线从电信的骨干网直接接入到河南省某统计局，河南省某统计局是通过internet业务的出口，各个机构向外发布信息也是通过河南省某统计局这个出口实现的。

　　河南省某统计局现有安全措施

　　河南省某统计局作为国家级的政府网络，其整个网络的安全性是致关重要的。由此，河南省某统计局已经采取部分安全防护措施，主要包括：

　　· 利用操作系统、数据库、电子邮件、应用系统本身的安全性，对用户进行权限控制。

　　· 连接到核心交换机的其他网络出口已经设置了防火墙进行保护

　　河南省某统计局网络安全隐患

　　由于河南省某统计局网络结构体系非常复杂，应用系统越来越多，网络规模也在不断的扩大，而网络安全主要由已经配置的防火墙及利用系统本身的安全性来实现。通过具体分析，对河南省某统计局网络安全构成威胁的主要因素有以下几项：

　　a.来自内、外部网络攻击的主要途径：

　　· 本出口internet连接的部分；

　　b.网络病毒的破坏

　　c.内部用户的恶意攻击、误操作。

　　d.来自外部攻击的主要方式：

　　· 黑客用户的恶意攻击、窃取信息；

　　· 通过网络传送的病毒和internet的电子邮件夹带的病毒；

　　· 来自internet 的web浏览可能存在的恶意java/activex控件。

　　e.缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如unix服务器，nt服务器及windows桌面pc。

　　其中，对于以上安全风险威胁中，目前最主要的安全威胁则是来自网络外部用户（internet用户）的攻击。

　　河南省某统计局安全需求分析

　　由以上安全隐患的分析，可以看出尽管河南省某统计局目前已经在安全防护上采取了一定的措施，例如在交换机上设置vlan等，但是鉴于河南省某统计局作为政府的重要网络， 负责政府所有重大事件、信息的发布与宣传，是政府对外宣传、开放的窗口，整个河南省某统计局网络运行状况的好坏直接关系到政府对外的形象；而且保障河南省某统计局信息发布的实时性、准确性是一件非常艰巨的任务，靠上述安全措施还是不够十分完善的。

　　天融信在仔细了解了河南省某统计局网络结构的基础上，分析了网络安全中存在的隐患而编写的关于防火墙产品的安全防护方案。

　　河南省某统计局防火墙产品安全方案

　　防火墙产品技术方案

　　河南省某统计局的安全建设，必须依照安全“平台化”的建设思想，针对系统业务的共性，构建一个“统一规划、统筹安排，统一标准、相互配套”的安全平台。依据我们对河南省某统计局网络的理解，同时得力于河南省某统计局有关人员和领导对网络安全的重视，天融信制定了如下防火墙解决方案，并供参考。

　　· 防火墙产品方案

　　网络卫士防火墙4000的实施

　　河南省某统计局网络中，由于以web服务器为主的服务器群、域名服务器以及核心内部业务网属于整个河南省某统计局系统中最为重要的网络部分，因此所有于核心交换机相联的其他接入网部分都必须配备防火墙系统。

　　防火墙对核心交换机上服务器群的保护

　　由于以web服务器为首的服务器群也是河南省某统计局中十分重要的网络系统，必须重点予以保护。在核心交换机与出口路由器之间设置一台网络卫士防火墙4000系统，并设置其工作于透明模式下，这样核心交换机连接的服务器群无需更改地址、路由等信息。通过在网络卫士防火墙4000系统上设置详细的访问控制策略，如只允许外部用户访问服务器群的有限资源，并将服务器放置与防火墙的ssn区内，能够更好地保护核心交换机上主机系统的整体安全。

　　防火墙对核心内部业务网的保护

　　对于核心内部业务网部分，通过在网络卫士防火墙4000上设置内部区域来实现对内部网的保护。在实施策略时，也可以配置防火墙4000工作与透明模式下，并设置只允许核心内部网能够访问外界有限分配资源，而不允许外界网络访问核心内部网信息资源或只允许访问有限资源；也可以在防火墙上配置nat或map策略，能够更好地隐藏内部网络地址结构等信息，从而更好地保护核心内部网的系统安全。

　　建立完整、动态的安全防护体系

　　在防火墙4000上除了通过设置安全策略来增加对服务器或内部网的保护以外，同时还可以启用防火墙4000日志服务器记录功能来记录所有的访问情况，对非法访问进行监控；还可以使用防火墙4000与将要实施的入侵检测系统之间的实时联动功能，形成动态、完整的、安全的防护体系。