以Internet为代表的全球性信息化浪潮迅猛发展，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，网络安全也日益成为影响网络效能的重要问题，Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使网络信息系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所必需考虑和解决的重要问题。

　　一、 系统简要描述

　　公司网络为24个节点。网络中包括：业务网、办公网系统，同时为方便该公司办公人员与外部的沟通，办公网络用ADSL接入Internet。

　　二、 网络安全风险分析

　　1、 内部办公网之间的安全隐患由于该公司办公网络除了有正常的办公功能以外还与其他主机相连接，如果办公网络遭到恶意攻击，直接会影响到其他主机的安全性。比如：(1)入侵者使用Sniffer等嗅探程序通过网络探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放的TCP端口、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。(2)入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。(3)入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。

　　2、 内部局域网带来安全威胁在已知的网络安全事件中,约70%的攻击是来自内部网。首先，各节点内部网中用户之间通过网络共享网络资源。对于常用的操作系统Windows 98/2000，其网络共享的数据便是局域网所有用户都可读甚至可写，这样就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏。另外，内部管理人员有意或者无意泄漏系统管理员的用户名、口令等关键信息；泄漏内部网的网络结构以及重要信息的分布情况，甚至存在内部人员编写程序通过网络进行传播，或者故意把黑客程序放在共享资源目录做个陷阱，乘机控制并入侵他人主机。因此，网络安全不仅要防范外部网，同时更防范内部网。

　　3、 电子邮件应用安全电子邮件是最为广泛的网络应用之一。内部网用户可能通过拔号或其它方式进行电子邮件发送和接收。这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等。由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因素。

　　4、 网上浏览应用安全网上浏览也是网络系统被入侵的一个不安全因素。我们都知道，网络具有地域广、自由度大等特点，同时上网的有各种各样的人，网上浏览不安全因素如从网上下载资料可能带来病毒程序或者是特洛伊木马程序；还有利用假冒手段骗取你的关键信息，比如，入侵者首先伪造一个用户登录界面，当你输入用户名及口令时，系统提示你用户名或口令不正确要求重新输入，但其实你第一次输入的也是正确信息，只是第一次信息已经被入侵者传送到他的邮箱中去了，你也就因此泄漏了你的用户名及口令字。这将对你的主机受到攻击埋下的安全隐患。

三、 方案实施：

　　针对以上需求在此建议配备一台硬件守护神?防火墙，防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略进行检查，来决定是否允许网络间的通信。其中被保护的网络称为内部网络，另一方则称为外部网络或公用网络，它能有效地控制内部网络与外部网络之间的访问及数据传输，从而过到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个完善的防火墙系统应具有3方面的特性：

　　<一>所有在内部网络和外部网络之间传输的数据必须通过防火墙；

　　<二>只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙；

　　<三>防火墙本身不受各种攻击的影响。

　　守护神防火墙的优点：

　　1、 自主产权

　　软硬件一体化设计，采用专用安全操作系统，拥有软件和硬件的全部自主产权。

　　2、 多工作模式

　　StopHacker守护神防火墙的工作模式有三种：路由模式、透明网桥模式、混合模式。

　　* 路由模式

　　路由模式是防火墙的基本工作模式，该模式运行在网络层。在路由模式下，一般要做NAT地址转换，这时防火墙的各个端口IP地址都位于不同的网段。在路由模式支持NAT地址转换和PAT端口转换。

　　* 透明网桥模式

　　透明网桥模式在数据链路层实现。防火墙在该模式下工作时，可以透明的接入到网络的任何部位，无需改动用户网络结构和配置，即插即用，简便高效，使用方便。

　　* 混合模式

　　在混合模式下，防火墙可以有部分端口在路由模式下工作，部分端口在透明模式下工作。

　　3、 一次性口令用户认证模块

　　一次性口令(OTP，One-Time Password)机制是一种高强度的认证，它无须在网上传输用户的真实口令，并且由于具有一次性的特点，可以有效防止重放攻击(Replay Attack)。

　　在采用了一次性口令认证机制后，即使有窃听者在网络上截取网络传输信息，由于该信息的有效期仅为一次，故也无法再利用这个信息进行认证鉴别。

　　StopHacker守护神防火墙的功能一次性口令认证还可以结合智能IC卡、ikey等硬件进行辅助认证。

　　4、 计费

　　StopHacker守护神防火墙支持按用户或者IP地址进行计费，可按时间或者流量设置计费规则，支持预交费管理，并可以结合一次性口令用户认证实现使用智能IC卡等硬件计费管理。

　　5、 用户与MAC地址、IP地址的绑定

　　在网络管理中IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因此也会对用户造成大量的经济上的损失和潜在的安全隐患；守护神防火墙支持MAC地址和IP地址绑定。另外，通过使用一次性口令用户认证，可以实现跨网段的用户、MAC和IP地址的绑定。

　　6、 支持和StopHacker守护神系列安全产品联动。
守护神防火墙的功能

　　1、基于IP地址、协议、端口、方向等的包过滤和访问控制IP报文的报头及所承载的上层协议(如TCP)报头的每个字段包含了可以由防火墙进行处理的信息。包过滤通常用到的属性有：

　　* IP的源和目的地址；
　　* 所使用的协议；
　　* TCP/UDP的端口；
　　* ICMP的类型；
　　* TCP的标志位；
　　* 表示请求连接的单独的SYN；
　　* 表示连接确认的SYN/ACK；
　　* 表示正在使用的一个会话连接；
　　* 表示连接终端的FIN；

　　可以由这些属性的各式各样的组合形成不同规则。StopHacker守护神防火墙提供了基于接口的包过滤，即可以在一个接口的进出两个方向上对报文进行过滤。

　　2、基于时间的访问控制

　　基于时间段的包过滤，可以规定过滤规则发生作用的时间范围。

　　3、IP地址转换(NAT)功能

　　StopHacker守护神防火墙拥有强大的地址转换能力。 同时支持正向、反向地址转换，能为用户提供完整的地址转换解决方案。

　　正向地址转换。用于使用保留IP 地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，自身使用保留IP     地址就可以正常访问公众网，有效的解决了全局IP 地址不足的问题。

　　反向地址转换。内部网用户对公众网提供访问服务(如Web、FTP 服务等)的所在服务器如果是放置在局域网中，使用虚拟IP 地址，或者想隐藏服务器的真实IP 地址，都可以使用防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留IP 地址的服务器提供服务，同样既可以解决全局IP 地址不足的问题，又能有效的隐藏内部服务器信息，对服务器进行保护。防火墙能提供端口映射和IP 映射两种反向地址转换方式，端口映射安全性更高、更节省全局IP 地址，IP 映射则更为灵活方便。

　　4、 全面支持TCP/IP协议；

　　5、 透明代理：

　　提供对常用的应用协议如HTTP、FTP等的透明代理服务；

　　6、 两种对资源使用的用户身份认证：

　　网络为本地用户、移动用户和各种远程用户提供信息资源，所以为了保护网络和信息安全，必须对访问连接用户采用有效的权限控制和身份识别，以确保系统安全。

　　* 透明代理用户认证

　　针对HTTP和FTP协议的代理级的用户认证。当用户使用浏览器上网时，弹出用户认证对话框，要求输入用户名称和口令。

　　* 一次性口令用户认证

　　和协议无关的用户认证机制，用户口令不真正在网上传输，安全性高。 由于采用一次性的口令认证机制，即使窃听者在网络上截取到口令，也无法再利用这个口令与内部网建立连接，并支持使用IC卡、ikey等硬件方式辅助认证。
 7、 完善的计费功能

　　支持按流量、用户、IP地址或时间进行统计计费，并支持预缴费方式；

　　8、 审计日志；

　　提供日志下载、备份和报表式、统计图式查询功能：防火墙的日志管理方式包括日志下载、备份和日志查询，这为用户进行日志的审计和分析提供了方便。防火墙还提供日志导出工具，将各种日志信息导出到管理服务器，方便进一步处理。日志包括管理日志和运行日志。其中，运行日志又包括简洁日志和祥细日志两种；

　　9、 标准Windows配置界面

　　图形化的配置界面，对防火墙进行远程控制，更方便于配置管理；

　　10、 对防火墙访问配置的用户分级控制

　　提供管理员、操作员和审记员的分权管理安全机制，且不同用户级别，所能行使的权限不同；防火墙使用唯一锁定技术对远程控制软件进行识别。

　　11、 提供安全策略检测机制，对规则进行控制逻辑检查，保证用户配置规则的正确性；

　　12、 URL拦截与内容过滤；

　　13、 防御攻击功能

　　* 防TCP、UDP等端口扫描；
　　* 抗DOS/DDOS攻击；
　　* 可防御源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN等多种攻击；
　　* 阻止ActiveX、Java、Javascript等侵入；

14、 双机热备份

　　提供防火墙的双机热备份，提高系统可靠性和性能。热备份通过多种方式触发工作模式切换，模式切换时间短。

　　15、 VPN模块

　　16、 流量控制

　　守护神防火墙拓扑结构图