1.系統(tǒng)方案 省法院專網(wǎng)網(wǎng)絡(luò)安全防護(hù)的建設(shè)應(yīng)達(dá)到功能齊全、運(yùn)行高效、使用靈活、維護(hù)方便��、易于擴(kuò)展�����、安全可靠的要求����,從而在最大限度上滿足省廳網(wǎng)絡(luò)各應(yīng)用系統(tǒng)安全防護(hù)的功能和性能需要����。選型主要遵循以下原則:高可靠性及安全性;、可擴(kuò)充性��、經(jīng)濟(jì)適用性��、可管理性這四項(xiàng)原則�����。
2.選型目標(biāo)及效果 省法院專網(wǎng)網(wǎng)絡(luò)安全防火墻設(shè)備的總選型目標(biāo)是:通過(guò)部署該設(shè)備�,能夠建立一套立體的����、有效、快速的網(wǎng)絡(luò)安全保護(hù)措施(如阻止惡意的數(shù)據(jù)包出入省法院專網(wǎng)網(wǎng)絡(luò))�。防火墻部署后應(yīng)至少具有如下效果:? 是一套人性化、有效的��、可靠的���、高性能的����、立體化的網(wǎng)絡(luò)安全方案���;? 能有效探測(cè)和記錄各種網(wǎng)絡(luò)攻擊的行為���,定位來(lái)源�����;? 能有效阻止惡意程序通過(guò)網(wǎng)絡(luò)進(jìn)入省法院專網(wǎng)網(wǎng)絡(luò)�����;? 能有效阻止惡意程序或網(wǎng)絡(luò)攻擊的數(shù)據(jù)報(bào)文在省法院專網(wǎng)網(wǎng)絡(luò)內(nèi)傳播�����。
3.防火墻技術(shù)現(xiàn)狀與趨勢(shì) 防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)或其一部分的安全網(wǎng)關(guān)設(shè)備��。從技術(shù)上來(lái)下定義��,防火墻是一個(gè)以隔離為目的的安全網(wǎng)關(guān)設(shè)備�����,指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一種安全隔離設(shè)備�。如果該網(wǎng)絡(luò)只有一個(gè)防火墻�����,它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口;如果有多個(gè)出口�,則應(yīng)該是采用分布式防火墻。防火墻能根據(jù)內(nèi)網(wǎng)的安全政策控制(允許���、拒絕���、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流�,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)���,實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施�����。
在邏輯上����,防火墻是一個(gè)隔離器��,一個(gè)控制器����,也是一個(gè)智能分析器�,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)���,保證了內(nèi)部網(wǎng)絡(luò)的安全��。防火墻在技術(shù)上有五次重大的技術(shù)突破��,形成了五大主流防火墻技術(shù)�����。盡管這些技術(shù)在市場(chǎng)上成功的程度各不相同����,但大多數(shù)專家還是以這些技術(shù)為特征對(duì)防火墻進(jìn)行分代���。
目前網(wǎng)絡(luò)安全存在的三大主要問(wèn)題分別是��,以DDOS為代表的拒絕訪問(wèn)攻擊���,以Worm為代表的具有拒絕訪問(wèn)攻擊能力的病毒傳播,以SPAM為代表的垃圾電子郵件��。DDOS利用了TCP/IP協(xié)議的缺陷,Worm利用了系統(tǒng)的漏洞的缺陷���,SPAM利用過(guò)濾技術(shù)無(wú)法區(qū)分善意和惡意內(nèi)容的缺陷���。系統(tǒng)漏洞缺陷還導(dǎo)致廣泛的入侵行為,由于入侵檢測(cè)技術(shù)(IDS)也是基于檢查的機(jī)制���,未能有效的控制入侵行為的發(fā)生�。我公司經(jīng)過(guò)比較����、調(diào)查�、測(cè)試,認(rèn)為本項(xiàng)目選擇網(wǎng)御神州防火墻產(chǎn)品完全滿足招標(biāo)文件的技術(shù)要求�。網(wǎng)御神州SecGate 3600防火墻是面向政府、教育��、電信����、大型企業(yè)用戶開(kāi)發(fā)的新一代專業(yè)防火墻設(shè)備。支持外部攻擊防范��、內(nèi)網(wǎng)安全、流量監(jiān)控���、網(wǎng)頁(yè)過(guò)濾����、郵件過(guò)濾等功能��,能夠有效地保證網(wǎng)絡(luò)的安全���;提供多種智能分析和管理手段�,支持郵件告警���,支持多種日志�����,提供網(wǎng)絡(luò)管理監(jiān)控��,協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理�����;提供基本的路由能力����,支持策略路由;支持豐富的QoS特性�,提供流量監(jiān)管、流量整形及多種隊(duì)列調(diào)度策略���。 11-5防火墻總體部署方案 根據(jù)此次招標(biāo)需求的分析����,我們?cè)诟鱾€(gè)市法院分別部署一臺(tái)防火墻���,其中防火墻的WAN口我們建議和路由器相連�,并且劃分DMZ區(qū)和內(nèi)網(wǎng)區(qū)�����。DMZ區(qū)主要放置服務(wù)器����,如PBX設(shè)備�����。內(nèi)網(wǎng)區(qū)主要連接內(nèi)網(wǎng)用戶,這樣不僅可以很好的保護(hù)服務(wù)器群和內(nèi)網(wǎng)用戶����,而且可以很好的分配數(shù)據(jù)流量,從而使諸如語(yǔ)音視頻系統(tǒng)的應(yīng)用流量帶寬得到很好的保障�。
防火墻安全策略建議方案: 1、對(duì)流入流出的數(shù)據(jù)進(jìn)行過(guò)濾��。例如只允許可信網(wǎng)段的數(shù)據(jù)通過(guò)�,不可信網(wǎng)段的數(shù)據(jù)阻止通過(guò)。 2���、對(duì)病毒端口和極少用到且易受攻擊的端口進(jìn)行封堵��。 3�、對(duì)網(wǎng)絡(luò)中的重要數(shù)據(jù)信息進(jìn)行保護(hù)��,只允許特定機(jī)構(gòu)訪問(wèn)����。 4、啟用防火墻的QoS功能并采取策略路由的手段對(duì)網(wǎng)絡(luò)性能進(jìn)行優(yōu)化��。 5�����、啟用視頻語(yǔ)音系統(tǒng)相關(guān)的協(xié)議,以更好的優(yōu)化視頻語(yǔ)音系統(tǒng)性能�����。 6���、根據(jù)需要可以靈活制定相關(guān)安全策略��,使網(wǎng)絡(luò)性能達(dá)到最佳效果��。 建設(shè)后的基層法院內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D:
