1、說明

　　本文是北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司對某市電子政務(wù)工程信息網(wǎng)絡(luò)系統(tǒng)實施的網(wǎng)絡(luò)安全整體解決方案。

　　2、某市政府電子政務(wù)工程網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析

　　某市電子政務(wù)工程主要有二部分構(gòu)成。一部分是位于市信息中心的網(wǎng)絡(luò)信息交換平臺以及應(yīng)用服務(wù)器<群；二是位于市政府大院辦公樓（包括主樓）內(nèi)的各級政府部門局域網(wǎng)以及分布在全市范圍內(nèi)的各委辦局、區(qū)政府局域網(wǎng)。該市電子政務(wù)工程就是通過位于市信息中心的網(wǎng)絡(luò)交換平臺將各級政府部門連接起來，其最終目的是架構(gòu)一個安全的，開放的，多功能的，穩(wěn)定的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用平臺；建立一個安全的，系統(tǒng)的，可靠的網(wǎng)絡(luò)交換平臺；建立一個安全的，系統(tǒng)的，可靠的操作系統(tǒng)平臺；建立一個安全的，系統(tǒng)的，穩(wěn)定的應(yīng)用系統(tǒng)平臺；建立一個全面的，合理的網(wǎng)絡(luò)安全管理制度。

　　3、某市政府電子政務(wù)工程網(wǎng)絡(luò)安全解決方案

　　北京天融信公司提供并實施的網(wǎng)絡(luò)安全解決方案主要有二部分：

　　一部分是位于市信息中心的電子政務(wù)工程信息網(wǎng)絡(luò)交換平臺的安全建設(shè)。由四部分構(gòu)成：

　　·主要是使用防火墻產(chǎn)品（北京天融信公司生產(chǎn)的網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)）實現(xiàn)各種關(guān)鍵應(yīng)用服務(wù)器與其它所有外部網(wǎng)絡(luò)的隔離與訪問控制，通過配置防火墻安全策略對所有服務(wù)器的請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)服務(wù)器，其它的請求服務(wù)在到達(dá)主前就遭到拒絕，當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時，進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警和及時阻斷。同時，當(dāng)事故發(fā)生后，應(yīng)提供黑客攻擊行為的追蹤線索及破案依據(jù)，有對網(wǎng)絡(luò)的可控性與可審查性；

　　·其次，使用與網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)聯(lián)動的專用入侵檢測系統(tǒng)（IDS）對服務(wù)器與重保護(hù)網(wǎng)段加以監(jiān)控、記錄，并與防火墻一起構(gòu)成一個動態(tài)的防御、報警系統(tǒng)；

　　·第三，將計算機(jī)網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)架構(gòu)在多種平臺的服務(wù)器群上：HPUX（分別安裝LotusDomino，用戶郵件系統(tǒng)，oracle）、Linux（安裝Web,TRS）,SUNSolarisDNS,WindowsNT/2000Server上，構(gòu)成一個病毒防護(hù)系統(tǒng)；

　　·第四，使用一套網(wǎng)絡(luò)安全掃描系統(tǒng)定期檢查整個網(wǎng)絡(luò)交換平臺上主要網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)的安全漏洞，并建議安全措施，以達(dá)到不斷增強(qiáng)網(wǎng)絡(luò)安全性的目的。

　　另外一部分是市政府主樓內(nèi)各單位局域網(wǎng)以及各委辦局局域網(wǎng)接入的安全建設(shè)問題。主要是通過采用防火墻技術(shù)將主樓內(nèi)各單位局域網(wǎng)（可信網(wǎng)絡(luò)）同其他單位網(wǎng)絡(luò)（不可信網(wǎng)絡(luò)）隔離開來，并進(jìn)行相互之間的訪問控制與安全審計。

　　4、本方案技術(shù)特點

　　1）應(yīng)用了網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)的混合工作模式。網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)支持多種工作模式：

　　·透明工作模式橋接模式：可以透明接入與透明連接，不影響原有網(wǎng)絡(luò)設(shè)計和配置；防火墻在透明方式下則類似于網(wǎng)橋，使用戶不需要對保護(hù)網(wǎng)絡(luò)主機(jī)屬性進(jìn)行重新設(shè)置，極大地方便了用戶的使用。

　　·由工作模式：防火墻相當(dāng)于靜態(tài)路由器，提供路由功能。

　　·混合工作模式：防火墻在透明模式和路由模式同時工作，極大提高網(wǎng)絡(luò)應(yīng)用的靈活性。

　　在下面圖示的內(nèi)網(wǎng)1和內(nèi)網(wǎng)2屬于同一內(nèi)網(wǎng)（192.1.1.0/24）的防火墻解決方案中，就需要使用防火墻的混合工作模式。

　　圖：內(nèi)網(wǎng)1和內(nèi)網(wǎng)2屬于同一內(nèi)網(wǎng)（192.1.1.0/24）的防火墻解決方案

　　在內(nèi)網(wǎng)1與內(nèi)網(wǎng)2之間的訪問行為控制使用防火墻NGFW3000的透明工作模式實現(xiàn)：

　　防火墻的透明接入其含義就是：內(nèi)網(wǎng)1的客戶端與內(nèi)網(wǎng)2的服務(wù)器無需做任何改變，就可實現(xiàn)各種信息訪問控制；現(xiàn)有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也無需變動。防火墻的透明功能提供了方便性，但又不減低網(wǎng)絡(luò)的安全性。在內(nèi)網(wǎng)1、內(nèi)網(wǎng)2與外網(wǎng)之間的通信行為控制使用防火墻NGFW3000的路由模式實現(xiàn)。

　　2）運(yùn)用了防火墻與入侵檢測系統(tǒng)的TOPSEC聯(lián)動技術(shù)

　　由于防火墻內(nèi)置的入侵檢測模塊功能較為單一，因此為增加防火墻的防御能力以及主動響應(yīng)能力，天融信公司與國內(nèi)或國外著名入侵的生產(chǎn)入侵檢測系統(tǒng)的廠家聯(lián)合，推出了支持與入侵檢測系統(tǒng)聯(lián)動的防火墻系統(tǒng)。這樣，作為整個網(wǎng)絡(luò)安全體系平臺的核心，網(wǎng)絡(luò)衛(wèi)士防火墻通過TOPSEC協(xié)議接口與外圍的入侵檢測系統(tǒng)密切交互，使原本孤立的各種不同安全產(chǎn)品和系統(tǒng)與網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)的有機(jī)聯(lián)動和協(xié)同工作，構(gòu)成一個完整的積極防御的安全體系平臺。通過防火墻與入侵檢測系統(tǒng)的聯(lián)動，實現(xiàn)了動態(tài)地、自適應(yīng)地調(diào)整安全策略，通過配置動態(tài)規(guī)則實現(xiàn)了動態(tài)過濾，從而大大提高了整個系統(tǒng)的安全性。

　　如：IDS在網(wǎng)絡(luò)/機(jī)上檢測到入侵后通知FW，F(xiàn)W生成動態(tài)規(guī)則實現(xiàn)對入侵行為的控制和阻斷，如結(jié)束當(dāng)前會話或在一定時段阻斷來自特定源的所有連接請求；最后FW將處理結(jié)果通知IDS。

文章作者：國脈電子政務(wù)網(wǎng)