1、说明

　　本文是北京天融信网络安全技术有限公司对某市电子政务工程信息网络系统实施的网络安全整体解决方案。

　　2、某市政府电子政务工程网络系统现状分析

　　某市电子政务工程主要有二部分构成。一部分是位于市信息中心的网络信息交换平台以及应用服务器群；二是位于市政府大院办公楼（包括主楼）内的各级政府部门局域网以及分布在全市范围内的各委办局、区政府局域网。该市电子政务工程就是通过位于市信息中心的网络交换平台将各级政府部门连接起来，其最终目的是架构一个安全的，开放的，多功能的，稳定的网络业务应用平台；建立一个安全的，系统的，可靠的网络交换平台；建立一个安全的，系统的，可靠的操作系统平台；建立一个安全的，系统的，稳定的应用系统平台；建立一个全面的，合理的网络安全管理制度。

　　3、某市政府电子政务工程网络安全解决方案

　　北京天融信公司提供并实施的网络安全解决方案主要有二部分：

　　一部分是位于市信息中心的电子政务工程信息网络交换平台的安全建设。由四部分构成：

　　· 主要是使用防火墙产品（北京天融信公司生产的网络卫士防火墙系统）实现各种关键应用服务器与其它所有外部网络的隔离与访问控制，通过配置防火墙安全策略对所有服务器的请求加以过滤，只允许正常通信的数据包到达相应服务器，其它的请求服务在到达主前就遭到拒绝，当网络出现攻击行为或网络受到其它一些安全威胁时，进行实时的检测、监控、报告与预警和及时阻断。同时，当事故发生后，应提供黑客攻击行为的追踪线索及破案依据，有对网络的可控性与可审查性；

　　· 其次，使用与网络卫士防火墙系统联动的专用入侵检测系统（IDS）对服务器与重保护网段加以监控、记录，并与防火墙一起构成一个动态的防御、报警系统；

　　· 第三，将计算机网络病毒防护系统架构在多种平台的服务器群上：HP UX（分别安装Lotus Domino ，用户邮件系统，oracle）、Linux（安装Web,TRS）,SUN Solaris(DNS),Windows NT/2000 Server上，构成一个病毒防护系统；

　　· 第四，使用一套网络安全扫描系统定期检查整个网络交换平台上主要网络设备、服务器、操作系统的安全漏洞，并建议安全措施，以达到不断增强网络安全性的目的。

　　另外一部分是市政府主楼内各单位局域网以及各委办局局域网接入的安全建设问题。主要是通过采用防火墙技术将主楼内各单位局域网（可信网络）同其他单位网络（不可信网络）隔离开来，并进行相互之间的访问控制与安全审计。

　　4、本方案技术特点

　　1）应用了网络卫士防火墙系统的混合工作模式。网络卫士防火墙系统支持多种工作模式：

　　· 透明工作模式（桥接模式）：可以透明接入与透明连接，不影响原有网络设计和配置；防火墙在透明方式下则类似于网桥，使用户不需要对保护网络主机属性进行重新设置，极大地方便了用户的使用。

　　· 由工作模式：防火墙相当于静态路由器，提供路由功能。

　　· 混合工作模式：防火墙在透明模式和路由模式同时工作，极大提高网络应用的灵活性。

　　在下面图示的内网1和内网2属于同一内网（192.1.1.0/24）的防火墙解决方案中，就需要使用防火墙的混合工作模式。

　　图：内网1和内网2属于同一内网（192.1.1.0/24）的防火墙解决方案

　　在内网1与内网2之间的访问行为控制使用防火墙NGFW3000的透明工作模式实现：

　　防火墙的透明接入其含义就是：内网1的客户端与内网2的服务器无需做任何改变，就可实现各种信息访问控制；现有的网络拓扑结构也无需变动。防火墙的透明功能提供了方便性，但又不减低网络的安全性。在内网1、内网2与外网之间的通信行为控制使用防火墙NGFW3000的路由模式实现。

　　2）运用了防火墙与入侵检测系统的TOPSEC联动技术

　　由于防火墙内置的入侵检测模块功能较为单一，因此为增加防火墙的防御能力以及主动响应能力，天融信公司与国内或国外著名入侵的生产入侵检测系统的厂家联合，推出了支持与入侵检测系统联动的防火墙系统。这样，作为整个网络安全体系平台的核心，网络卫士防火墙通过TOPSEC协议接口与外围的入侵检测系统密切交互，使原本孤立的各种不同安全产品和系统与网络卫士防火墙系统的有机联动和协同工作，构成一个完整的积极防御的安全体系平台。通过防火墙与入侵检测系统的联动，实现了动态地、自适应地调整安全策略，通过配置动态规则实现了动态过滤，从而大大提高了整个系统的安全性。

　　如：IDS在网络/机上检测到入侵后通知FW，FW生成动态规则实现对入侵行为的控制和阻断，如结束当前会话或在一定时段阻断来自特定源的所有连接请求；最后FW将处理结果通知IDS。