第一章網絡安全方案設計根據第二章對蚌埠市懷洪新河管理局的安全需求分析，結合安全設計的策略，我們提出網絡安全設計方案。同時，根據用戶的實際情況結合成本投入等因素，我們將整個方案將首先解決時間緊迫且安全隱患最大的安全問題，即防火墻系統，其他安全產品如入侵監測系統、防病毒系統的部署將根據蚌埠市懷洪新河管理局里的實際情況再分步建設。4.1設計目標1、將蚌埠市懷洪新河管理局內部網與其它外部網絡安全隔離，拒絕非法訪問，惡意攻擊，保護網絡邊界的安全。2、抵擋木馬攻擊、蠕蟲攻擊、后門攻擊、利用漏洞攻擊和拒絕服務攻擊。3、強化對網絡的控制，確保關鍵業務的網絡帶寬。4、確保內部數據庫服務器的數據安全，并方便內、外數據庫數據傳輸管理。5、避免因網絡管理導致的安全風險。4.2解決方案描述部署方案示意圖如下圖所示：附：蚌埠市懷洪新河管理局網絡信息安全拓撲圖蚌埠市懷洪新河管理局網絡拓撲圖水利專網思科2600J&由器核心交換機服苗器1—辦公區1，Switch1——生活區L水利專網思科2600J&由器核心交換機服苗器1—辦公區1，Switch1——生活區L4.3方案選型建議在蚌埠市懷洪新河管理局內部網與外部網之間部署高性能的防火墻——1臺聯想網御PowerV203防火墻。對內、外網訪問進行必要的控制，避免不必要的登陸訪問破壞內部資源。4.3.1選用聯想網御PowerV203防火墻原因基本功能為保證網絡系統安全可靠的運行，保障系統資源受控合法的使用，防火墻應具有或實現以下功能：h包過濾、應用代理和NAT功能：在局域網與外網接點處加入防火墻，實現存取訪問控制。因此選用的防火墻產品必須具有包過濾、應用代理和地址轉換等功能。高性能：對各局域網進行網段劃分，設置服務器網段、管理網段等不同網段通過交換機劃分虛擬子網（VLAN）。服務器網段放置重要的資源服務器、數據庫服務器等，對該網段需設置防火墻特別保護。由于該網段處于局域網內，所有內部、外部用戶均需通過防火墻對服務器進行訪問，因此選用的防火墻產品必須是高性能的，即高帶寬、高并發會話數目、高安全功能、高審計功能及高可靠性等。高可靠性：系統中的一部分應用是實時的，系統要穩定可靠的工作，因此要求防火墻具備雙機熱備份功能，同時具有負載均衡功能，保證系統穩定可靠。日志審計：對重要關鍵資源的使用情況應進行有效的監控，因此要求防火墻系統有較強的日志處理能力和日志分析能力，能夠實現日志的分級管理。身份認證及IP+MAC綁定：防火墻必須能對使用敏感業務的用戶進行身份認證；對重要指定用戶采用MAC地址綁定等手段，保證其身份不被盜用。因此，要求防火墻具有較強的身份認證和MAC地址綁定功能。網絡管理身份認證：聯想防火墻具有USB-KEY認證系統，在用戶名及密碼被盜用但沒有USB-KEY的情況下也能保證網絡的安全。集中管理與遠程管理：電信系統計算機網絡分布面廣，防火墻布控的數量多，因此，防火墻系統應具有良好的遠程集中管理功能，同時遠程集中管理過程必須是安全的。抗攻擊：防火墻本身必須具有強大的抗攻擊性。及時告虹受攻擊后，防火墻系統應能及時通知有關人員，因此要求防火墻系統有良好的告警能力，要求支持Email，SNMP等響應方式。時間控制：防火墻應具備具有良好的基于時間段控制的能力。與IDS互動：防火墻還應具備一定的IDS功能和與其它IDS互動的能力。多協議支持：防火墻應支持多種協議，如:OSPF、RIP、RIPII路由協議，IPX、NETBIOS>VLAN、H.323、VOD、SSH等協議。聯想網御防火墻的技術特色基于狀態檢測的動態包過濾技術聯想網御PowerV203防火墻的動態包過濾技術是基于狀態檢測機制的包過濾技術，它不僅具有狀態包過濾的安全性和高效性，它還可以很好的處理如ftp、H.323等動態協商的協議，它根據協議動態協商的結果，結合定義好的策略，動態生成規則，從而保證網絡的高度安全和數據完整，同時具有很好的網絡處理性能。典型的如ftp協議，ftp協議使用一個控制連接，多個數據連接，數據連接使用的端口是協商決定的，數據傳輸完后連接關閉，并且數據連接存在兩種工作模式：主動模式和被動模式。這兩種模式的主要區別是它們發起連接的方向截然相反，主動模式是從服務器端向客戶端發起；被動模式是客戶端向服務器端發起連接。動態包過濾可以自動識別出數據連接的工作模式以及協商的服務端口，自動開放端口，數據連接完成后自動關閉端口。主動式防火墻技術傳統的包過濾防火墻和應用網關防火墻都是被動的在相應的層上等待到達該層的數據包，然后決定是允許還是禁止，并不能根據用戶策略主動地控制數據包的流動，而主動式防火墻技術，可以根據安全策略主動地控制數據包在不同協議層之間傳遞，為用戶提供透明、安全、高效的防火墻。聯想網御PowerV203防火墻采用主動式防火墻技術，在鏈路層截獲數據包，然后送給主動式狀態包過濾器，在這里根據用戶的安全策略決定該如何處理該數據包。如果策略是轉發，防火墻直接將該數據包從鏈路層轉發，并不上傳網絡層，提高了效率；如果策略是NAT、路由轉發和應用代理，則將狀態信息保存在數據包中，然后直接送到網絡層。在網絡層并不再進行安全策略檢查，而是根據保存的狀態信息，決定數據包是NAT、路由轉發還是需要送往應用層處理。我們可以清楚的看到主動式防火墻在鏈路層就已經知道了數據包的流向，并在鏈路層開始分流，和傳統的防火墻必須到達網絡層才能決定相比，減少了許多不必要的處理，提高了網絡的處理性能，并且將包過濾和應用代理有機的結合起來，可以為用戶提供一個全透明、安全、高防火墻。支持VLAN聯想網御PowerV203防火墻完全支持工業標準的802.1Q封裝協議和Cisco專有的Trunk封裝協議ISL，能對這兩種協議的包進行動態包過濾處理。另外，在使用802.1Q協議時，網御防火墻還可以在IP層對VLAN間的數據包進行NAT，也可以使用代理實現VLAN間的數據包轉發，具有更高的安全性。應用層協議分析與過濾技術聯想網御PowerV203防火墻可以根據用戶需要在鏈路層進行應用層協議分析和過濾，提供和應用代理同等的保護能力，如URL過濾，用戶不需要使用HTTP代理就可以實現對URL的訪問控制和防范針對Web服務器的攻擊。全透明網關技術聯想網御PowerV203防火墻采用基于鏈路層的全透明交換工作模式，當防火墻接收到一個以太幀的時候，防火墻并不是將該幀去除幀頭后交由IP層處理，而是直接在鏈路層檢查該幀內含的IP報文的頭信息以及連接信息進行分析過濾，不合法的幀被丟棄，合法幀將根據該幀的MAC信息和防火墻內核維護的端口狀態信息被轉發，由于在鏈路層的轉發完全于IP層（如頭地址、路由表）無關，所以網御防火墻是一種無IP的透明網關技術。這樣一方面大大降低了防火墻自身受到攻擊的可能性，另一方面也使系統安裝變得十分簡單，不再需要改變原有的網絡拓撲結構和各主機與設備的網絡設置，即不需要重新劃分網段和調整網絡結構，減少了網絡管理員的工作量。聯想網御PowerV203防火墻還提供透明的代理服務，管理員可以設置允許通過代理訪問的IP范圍，則來自于于該范圍的客戶端訪問請求都會自動重定向到防火墻的高層協議實體、在應用層與防火墻的應用代理建立連接、防火墻的應用代理在進行必要的用戶認證、會話檢查后再進而與訪問目的建立連接，從而完成一次訪問。由于客戶端的請求是在防火墻的處理下主動完成的重定向，所以客戶端的用戶感覺不到代理的存在，這樣不必改變客戶端配置，就能在授權范圍內與外網通信，網御2000防火墻可透明地級連原代理，支持常用的HTTP、FTP（可限制GET、PUT命令）、Telnet、SMTP等協議，同時提供針對用戶自定義的透明代理功能。工作模式自適應技術聯想網御PowerV203防火墻采用了基于鏈路層的全透明交換工作模式，并不是說網御防火墻只能工作于鏈路層，網御防火墻采用了全新的自適應技術，可以讓防火墻在必要時無切換地工作于IP層、或混合工作于鏈路層與IP層之間。如果防火墻的不同網口所接的局域網都位于同一網段時，由于IP層的路由表里無法表征這種轉發路由，傳統的工作于IP層的防火墻是無法完成這種方式的包轉發的，網御防火墻在這時就直接在鏈路層經過規則檢查之后、根據幀頭的MAC地址完成幀的轉發；而如果防火墻的不同網口分別接在不同網段時，來自于這些網段的報文在轉發時就會自動上傳到IP層、并在IP層匹配路由表、最后轉發出去。該技術的使用可以使防火墻工作于任何復雜的工作環境，并極大地方便了管理員地配置與使用。入侵檢測與實時響應技術聯想網御PowerV203防火墻的入侵檢測模塊包括包解碼、規則解析及檢測引擎、日志記錄及報警等子模塊。防火墻在被保護網絡的邊界對所有進出被保護網絡的通信進行檢查，對每一個防火墻接收的包，將由包入侵檢測的包解碼子模塊負責抓包和解碼工作，包解碼子模塊對捕獲到的每一個數據包在不同的網絡層次進行協議解析，在數據鏈路層，系統可針對以太網、令牌環及PPP協議等進行解碼；在網絡層，系統可針對IP、IPX、ARP及ICMP等協議進行解碼；在傳輸層，系統可針對TCP和UDP協議進行解碼，在應用層，系統可針對HTTP、TELNET、RPC等多種常見的應用協議進行解碼分析。解碼工作完成后，由檢測引擎讀入解碼后的數據包并與預先設置好的檢測規則進行模式匹配。如果匹配成功，防火墻日志會記入寫報警信息外，同時往預先設置的報警郵箱發送報警郵件，并亮起防火墻的入侵報警燈，提醒系統管理員有入侵事件發生。聯想網御PowerV203防火墻支持入侵檢測庫升級，為查出最新的攻擊手段提供保障。同時，用戶可以定制入侵檢測策略，可以自定義檢測規則，建立自己的入侵檢測規則庫。由于防火墻預置了大量檢測規則，有些規則可能不適用于某些網絡環境。該系統提供調整規則的功能，管理員可將不適用的檢測規則禁用，以減少誤報警的數量。當然，管理員也可將禁用的規則恢復，從而提高了入侵檢測功能的自適應性。為了最大限度地保護內部可信任網絡，防火墻采用了自動響應技術。防火墻可以對本機入侵檢測系統或其它入侵檢測系統發出的告警信息進行處理，實時阻斷危險的源地址、源端口，或者是正處于危險中的目的地址及端口。自動響應技術可以全方位地保證被防火墻保護的網絡的安全，實現了對安全功能的邏輯補償。安全管理聯想網御PowerV203防火墻可選用多種安全管理模式：本地串口web管理——通過本地串口進入web方式的配置界面進行配置管理，提供了管理的安全、方便與靈活性；遠程安全管理——采用基于密碼技術的PKI-CA證書認證和基于雙因子硬件一次性口令認證技術的管理員身份認證，使得只有認證通過的管理員才能通過遠程訪問配置管理界面、操作相關文件，所有防火墻配置文件及與安全有關的數據都經加密處理存放；集中式安全管理——集中管理員通過集中管理中心可以對全局網絡中的防火墻進行統一的配置與管理，該集中管理中心支持SNMT、SSL協議，具有設備（防火墻）自動發現功能、設備運行狀態監控功能，同時利用SNMP的trap機制實現安全事件報警，并采用基于密碼技術的PKI-CA證書認證和基于雙因子硬件一次性口令認證的實現集中管理員的身份認證，這種分級分層的管理模式可提高防火墻整體管理的方便性與安全性。日志審計聯想網御PowerV203防火墻提供防火墻日志管理和日志服務器（支持Linux和windows平臺）兩種記錄日志的功能，具有實時監控、審計、報警和自動備份功能，同時日志服務器管理員與防火墻管理員實行分權管理；聯想網御PowerV203防火墻可為管理員提供豐富完整的日志信息和強大完善的安全審計，允許管理員設定審計查詢規則，以可理解的格式輸出查詢結果，生成HTML格式的日志文件，具有日志存儲溢出報警和補救功能。10VPN功能聯想網御PowerV203防火墻集成的VPN功能使得您可以在Internet上構建基于IPSec技術的一系列加密認證技術以及密鑰交換方案，使得在公共網絡上組建的VPN具有同本地私有網絡一樣的安全性、可靠性和可管理性等特點，同時大大降低了建設本地私有網絡的費用。聯想信息安全業務具體優勢體現在?對用戶需求的深刻理解：聯想在系統集成領域多年的經驗，使我們對行業的應用與網絡環境有比較深入的了解，這使我們可以根據用戶的需求設計優秀的集成方案；?對信息安全技術的深入掌握：以聯想研究院為核心的公司級研發平臺將長期對信息安全技術進行全面的，深入的跟蹤研究。?對當前安全產品與技術的準確把握：聯想信息安全服務事業部對市場上被廣泛應用的系列安全軟硬件產品進行專業評測，使我們得以準確把握當前的信息安全產品與技術，從而使得安全方案的先進性、適用性、針對性具備了堅實的技術保障。?優秀的專業人員儲備：經過幾年的努力，聯想研究院，信息安全事業部已儲備了大量優秀的信息安全專業技術人員，有豐富的信息安全方案集成與產品研發經驗。?出色的項目管理能力：聯想擁有了一支由近百人組成的信息安全解決方案與專業服務隊伍，擁有精專的技能和豐富的項目管理經驗。聯想網御防火墻功能及技術參數（網御powerV203）產品概述網御強五系列防火墻是專門為企業級用戶打造的高可用的安全產品。利用精心設計的網御放火墻操作系統，基于IA架構，充分發揮了硬件的高效數據交換能力和系統并行處理能力，實現了高性能與高安全性的完美結合。產品特點強試用性：網絡部署靈活，適應多種復雜網絡環境和接入模式支持常見應用代理及多種基于動態協議的復雜應用提供多樣的VPN可護短介入方式強安全性：采用增強型抗攻擊技術，可防范各種常見類型的網絡攻擊強可靠性：擁有國內唯一的放火墻HA集群技術，可實現四個防火墻集群的主動負載均衡強擴展性：軟件設計采用安全功能模塊化和核心模塊核外化技術，模塊升級簡便，充分保障用戶的投資利益強管理性：支持多種管理方式，提供完善的日志管理和審計功能，有效降低管理成本

產品功能網絡適應性適應多種復雜網絡環境支持透明模式、純路由模式、混合模式、NAT模式支持VLAN安全功能提供狀態檢測的動態過濾支持H.323、RTSP、upnp、FTP等復雜動態協議支持IPX、NETBEUI等非IP協議支持雙向NAT提供透明網關式應用代理支持URL智能過濾支持郵件動態過濾提供與應用服務無關的用戶認證支持IP/MAC地址綁定全面防范常見的網絡攻擊支持多種IDS產品聯動和自動響應阻斷方式提供目的路由和源地址路由提供標準的IPSecVPN網關解決方案管理功能提供QoS帶寬管理提供方便且安全的配置管理提供遠程安全管理和集中安全管理支持遠程維護和系統升級支持防火墻系統的實時監控提供強大的日志管理和日志審計與網御集中安全管理系統無縫聯動管理員身份認證支持電子鑰匙認證或證書認證集群特性支持防火墻雙機熱備份支持防火墻集群，可實現2-4臺防火墻的負載產品型號與指標設備類型：百兆級防火墻并發連接數：600000網絡吞吐量（Mpps）：200用戶數限制：無用戶數限制VPN支持：支持產品性能指標基本規格設備類型百兆級防火墻挑錯硬件參數10/100以太網口*3并發連接數600000挑錯VPN支持支持挑錯網絡網絡吞吐量（Mpps）200

安全性用戶數限制無用戶數限制入侵檢測IDS主要功能動態檢測包過濾，支持雙向NAT,全面支持VLAN,支持復雜動態協議，提供透明網關式應用代理，抗DoS/DdoS攻擊,IPSecVPN網關，與IDS聯動,雙機熱備和多機集群，流量管理,遠程安全管理，安全集中管理,日志管理安全標準FCCClassA其它控制端口無管理遠程管理電氣規格電源電壓（V）100-250環境參數工作溫度（°C）0-50工作濕度0%-90%存儲溫度（C）-40-80存儲濕度0%-90%第二章聯想信息安全業務關鍵能力5.1具備長期履行承諾的能力信息安全技術和產品需要隨著網絡攻防技術的發展而不斷發展，因此特別需要信息安全產品和服務供應商具有長期履行承諾的能力。聯想是國內排名第一的IT廠商，其市值達300多億港幣，根據公司的信譽度和綜合實力可以看出，聯想具備長期履行承諾的能力。5.2具備持續發展信息安全技術的能力信息安全是涉及多種技術的高科技產業，要保持其持續發展，需要大量的人力物力財力投入。聯想以中科院計算所和聯想研究院等公司級研發平臺為依托，以信息安全事業部為基礎，將信息安全業務當作長期的事業，僅2001年一年，公司就對信息安全業務投入了數千萬元，今后每年還將繼續加大投入，因此具有持續發展的能力。5.3具備幫助客戶規避安全風險的能力信息安全產品與技術將隨著網絡攻防技術的不斷發展而發展，當用戶購買的信息安全產品不能抵御新的攻擊手段時，用戶的信息系統將面臨安全風險。憑聯想的技術實力和資源投入