一、北京市某区电子政务网概况



随着北京某区信息化建设的大力开展，某区已经形成了覆盖全区范围，包括机关大院，以及分布在不同地点的区委办局、街道、社区在内的电子政务综合网络。 目前，某区电子政务综合网是以区电子政务中心网络交换平台为核心，分别通过光纤连接区委区政府大院局域网和北京电信ATM网、PSTN网、CPIP网连接各委办局街道、区属企业、市委市政府、各委办局、区、县的电子政务网。



目前，某区电子政务综合网已经采取的安全措施有：



在物理安全上：中心机房采用门禁和监视双系统，并配备了UPS备份恢复系统，对重要的服务器采取了双机热备、光纤实时备份等措施，设置了专门的备份服务器和磁带库。

  

在网络安全上：通过专用拨号设备接入中心平台，宽带用户采用防火墙通过ATM接入中心平台，且互联网与政务专网完全物理隔离。



在系统安全上：重要服务器的操作系统、数据库都做了初步的安全设置；管理员还不定期给系统升级和打补丁，系统的一些常见漏洞问题已经得到了解决。



在应用安全上：开通网上办公系统、政务地理信息平台等，采用统一分发用户名/口令的方式，对用户进行身份认证。



在管理安全上：成立信息安全领导小组办公室，统一部署和协调区电子政务信息化建设，相应部门配备专门的管理和维护人员，制订了相关的管理制度。



二、某区电子政务网防火墙产品安全方案



1）网络安全建设原则



网络安全建设是一个系统工程，该区电子政务网网络安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。



在实际建设中应遵循以下指导思想：宏观上统一规划，同步开展，相互配套；在具体设计中结构上一体化，标准化，平台化；安全保密功能上多级化，对信道适应多元化。同时网络安全设备对不同网络结构要有很好的适应能力，满足不同网络应用的具体需求，在网络环境发生变化时，安全设施能随网络扩展要求进行灵活的扩充而不改变原来的结构。

2）防火墙产品技术方案



依据天融信对该区电子政务网的理解，同时得力于该区有关人员和领导对网络安全的重视以及建设原则，天融信制定了如下信息安全解决方案，见下图：







对公开服务器区的保护：由于该区电子政务网拥有域名服务器、拨号服务器等对外提供公开服务的主机系统，为了简单、灵活地控制对公开服务器的授权访问控制，只需将网络卫士防火墙4000放置于交换机的前面，并将原来连接公开服务器的交换机连接在防火墙的SSN区端口上，再配置防火墙工作在透明模式下即可。最后还要设置防火墙安全策略，只允许外部访问限定的服务端口，同时也只允许服务器响应必要的外界限定端口。



对核心内部网的保护：配置防火墙4000工作于透明模式下，设置只允许核心内部网能够访问外界有限分配资源，而不允许外界网络访问核心内部网信息资源或只允许访问有限资源；也可以在防火墙上配置NAT或MAP策略，能够更好地隐藏内部网络地址结构等信息，从而更好地保护核心内部网的系统安全。



建立完整、动态的安全防护平台：在防火墙4000上除了通过设置安全策略来增加对服务器或内部网的保护以外，同时还可以启用防火墙4000日志服务器记录功能来记录所有的访问情况，对非法访问进行监控；此外，在使用防火墙4000与入侵检测系统时共同联动功能形成动态、完整的、安全的防护平台。

三、特性描述



1、架构描述



专用安全操作系统：网络卫士防火墙4000是天融信自主开发的专用安全操作系统，支持众多网络通信协议和应用协议，如DHCP、VLAN、ADSL、IPX、RIP、ISL、802.1Q、Spanning tree、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、H.323、BOOTP等，使4000防火墙适用网络的范围更加广泛，保证用户的网络应用；方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用；



网络卫士防火墙4000具有优良的性能指标：平均无故障时间大于60000小时；并发链接数：最高为120万 ；设计性能：100M(100M环境下)；950M(1000M环境下)。



采用独创的最新最先进的技术：核检测技术，即基于OS内核的会话检测技术，在OS内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能。



模块化结构设计：网络卫士防火墙4000的架构为模块化结构设计，可扩展性好，方便用户定制与升级；它使用工控级专用硬件，采用嵌入式模块设计，支持双电源和双机备份；独特的设计方式，确保了防火墙本身的安全性和高可靠性。



先进独创的设计思想：网络卫士防火墙4000采用面向资源的设计思想，首次引入了区域控制的概念，防火墙的每个物理接口对应一个独立的防火区域，每个区域的安全策略只对该区域有效；每个区域可以单独设置自己的默认安全策略，所有对该区域的访问都将匹配与该区域对应的安全策略，从而使防火墙的策略配置更加简单，且便于维护。



2、管理方式



中央管理接口功能：网络卫士防火墙4000的管理接口首次在该类型产品中具有了中央属性，此功能使得防火墙的管理接口不属于具体的物理接口，而属于防火墙管理协议，管理员可以从防火墙的任何接口登录防火墙的管理接口，实现了类似交换机设备的中央管理IP接口，并且支持一台管理终端同时管理不同防火墙的功能。



管理端口协议：网络卫士防火墙支持本地管理和远程管理两种管理方式。管理通信协议可以基于telnet，ftp，http等。网络卫士防火墙4000的远程管理执行防火墙的多项管理功能，为减少防火墙的服务端口，防火墙实现了全新的管理端口协议，该协议功能可以实现在防火墙的唯一TCP服务端口上同时运行多个管理事务服务模块。



管理员分权功能：系统内置一个系统超级帐号，具有防火墙安全策略的完全配置权限，其可以编辑防火墙的全部安全策略，策略审查员可以直接审查防火墙的策略配置情况，其执行两方面的作用：检查策略的合理性，避免因策略管理员疏忽而造成安全隐患，为策略管理员提供帮助；策略制定的同一性，安全策略同一由安全管理员制订；监督作用，可以监督安全管理的管理结果。



集中管理方便灵活、安全：网络卫士防火墙4000经过简单的配置即可接入网络进行通信和访问控制，同时支持对缺省防火墙设备的远程集中管理，实现统一的安全策略部署，提高整个系统的安全强度，减少管理复杂性，而利用TOPSEC集中管理器可以同时安全管理多台分布在不同地域的防火墙。



支持SSL协议：为了保证远程管理的安全性，防止远程管理过程被监听和修改，网络卫士防火墙4000还支持基于SSL协议公钥证书的数据加密传输方式，将管理主机和防火墙之间的通讯进行加密以保证安全。



支持SNMP网管协议：网络卫士防火墙4000提供了对SNMP网管协议不同版本的支持，并与当前通用的网络管理平台兼容，此外还可以通过这些管理平台对防火墙的运行状况进行监控，并接收通过SNMP TRAP发送的报警信息，帮助网络管理员找出网络中的故障。



深层日志及灵活、强大日志报表分析功能：网络卫士防火墙4000提供丰富的日志信息，用户可根据特定的需要进行日志选项。独创的网络实时监测信息，可详细审计命令级操作，便于入侵行为的分析和追踪，大大提高防火墙的审计分析的有效性。



能够与Topsec Manager安全管理平台无缝集成：天融信公司的Topsec Manager安全管理平台是建立在对路由器、交换机以及防火墙、入侵检测系统、网络扫描系统等所有的网络设备和安全设备的基础上开发的统一安全管理平台。它主要包含了网络构成管理、网络故障管理、网络性能管理、网络安全管理和网络自动化管理等五大主要功能，提供对网络结构的可视化管理；该管理平台支持多厂商、多品种的网络设备，对网络故障能够瞬间感知，对跨地域的网络能够集中控制和管理，保证网络连续可靠地工作，真正实现了网络安全的集中管理。



四、结束语



任何网络的安全都不单靠先进的安全技术或安全产品来实现的，必须结合管理。尤其是当前我国发生的网络安全问题中，管理问题占相当大的比例。因此，在建立网络安全技术设施体系的同时，必须建立相应的制度和管理体系，才能保证网络持续和整体的安全。

（出处：飓风网络）