天融信防火墙设置

很简单啊，按照规则的执行顺序啊，比如第一条策略19216811这个IP全端口开放，第二条策略就是19216810-1921681255这个网段都限制端口。

这样的话，除了19216811这个IP，其他这个网段内的IP地址都限制了端口。

它会按照执行的顺序先把你这个IP放出去，然后执行第二条，所有的IP都按照你限制的规则做。

网络安全自查报告

　四、加强网络安全技术防范措施，实行科学管理

　我校的技术防范措施主要从以下几个方面来做的：

　1安装了天网防火墙，防止病毒、反动不良信息入侵校园网络。

　2安装网络版的江民杀毒软件，实施监控网络病毒，发现问题立即解决。

　3学校网络与教学楼避雷网相联，计算机所在部门加固门窗，购买灭器，摆放在

　显著位置，做到设备防雷，防盗，防火，保证设备安全、完好。

　4及时修补各种软件的补丁。

　5密切注意CERT消息。

　6对学校重要文件，信息资源做到及时备份。创建系统恢复文件。

　五、加强校园计算机网络安全教育和网管人员队伍建设

　xx小学是从20xx年9月初接入锦州市教育局城域网的单位，每位领导和教师都有自己的计算机登陆城域网和因特网，在查阅资料和进行教学和科研的过程中，我校学校领导非常重视网络安全教育，每学期开始和结束时都进行网络信息安全教育，促使教师们充分认识到网络信息安全对于保证国家和社会生活的重要意义。并要求信息技术教师在备课、上课的过程中，有义务向学生渗透计算机网络安全方面的常识，并对全校学生进行计算机网络安全方面的培训。做到校园计算机网络安全工作万无一失。

　六、我校定期进行网络安全的全面检查

　我校网络安全领导小组每学期初将对学校微机房、领导和教师办公用机、各多媒体教室及学校电教室的环境安全、设备安全、信息安全、管理制度落实情况等内容进行一次全面的检查，对存在的问题要及时进行纠正，消除安全隐患。

　网络安全自查报告范文四：

　根据南信联发[XX]4号文件《关于开展市电子政务网信息安全与网络管理专项检查的通知》文件精神，我局积极组织落实，认真对照，对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查，对我局的网络信息安全建设进行了深刻的剖析，现将自查情况报告如下：

　一、加强领导，成立了网络与信息安全工作领导小组

　为进一步加强全局网络信息系统安全管理工作，我局成立了网络与信息系统安全保密工作领导小组，由局长任组长，下设办公室，做到分工明确,责任具体到人。确保网络信息安全工作顺利实施。

　二、我局网络安全现状

　我局的统计信息自动化建设从一九九七年开始，经过不断发展，逐渐由原来的小型局域网发展成为目前与国家局、自治区局以及县区局实现四级互联互通网络。网络核心采用思科7600和3600交换机，数据中心采用3com4226交换机，汇集层采用3com4226交换机、思科2924交换机和联想天工ispirit 1208e交换机，总共可提供150多个有线接入点，目前为止已使用80个左右。数据中心骨干为千兆交换式，百兆交换到桌面。因特网出口统一由市信息办提供，为双百兆光纤;与自治区统计局采用2兆光纤直联，各县区统计局及三个开发区统计局采用天融信***虚拟专用网络软件从互联网上连接进入到自治区统计局的网络，***入口总带宽为4兆，然后再连接到我局。横向方面，积极推进市统计局与政府网互联，目前已经实现与100多家市级党政部门和12个县区政府的光纤连接。我局采用天融信硬件防火墙对网络进行保护，采用伟思网络隔离卡和文件防弹衣软件对重点计算机进行单机保护，安装正版金山毒霸网络版杀毒软件，对全局计算机进行病毒防治。

　三、我局网络信息化安全管理

　为了做好信息化建设，规范统计信息化管理，我局专门制订了《市统计局信息化规章制度》，对信息化工作管理、内部电脑安全管理、机房管理、机房环境安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定，进一步规范了我局信息安全管理工作。

　针对计算机保密工作，我局制定了《涉密计算机管理制度》，并由计算机使用人员签订了《市统计局计算机保密工作岗位责任书》，对计算机使用做到“谁使用谁负责”;对我局内网产生的数据信息进行严格、规范管理。

　此外，我局在全局范围内每年都组织相关计算机安全技术培训，计算站的同志还积极参加市信息办及其他计算机安全技术培训，提高了网络维护以及安全防护技能和意识，有力地保障我局统计信息网络正常运行。

　四、网络安全存在的不足及整改措施

　目前，我局网络安全仍然存在以下几点不足：一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是遇到恶意攻击、计算机病毒侵袭等突发事件处理不够及时。

　针对目前我局网络安全方面存在的不足，提出以下几点整改办法：

　1、加强我局计算机操作技术、网络安全技术方面的培训，强化我局计算机操作人员对网络病毒、信息安全的防范意识;

　2、加强我局计算站同志在计算机技术、网络技术方面的学习，不断提高我局计算机专管人员的技术水平。

　网络安全自查报告范文五：

　学校接到:“重庆市巴南区教育委员会关于转发巴南区信息网络安全大检查专项行动实施方案的通知”后，按文件精神立即落实相关部门进行自查，现将自查情况作如下报告：

　一、充实领导机构，加强责任落实

　接到文件通知后，学校立即召开行政办公会议，进一步落实领导小组及工作组，落实分工与责任人(领导小组见附件一)。鱼洞二小网络安全大检查专项行动由学校统一牵头，统一指挥，学校信息中心具体负责落实实施。信息中心设立工作小组(工作小组见附件一)，小组成员及各自分工落实管理、维护、检查信及培训，层层落实，并坚决执行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的管理原则，保障我校校园网的绝对安全，给全校师生提供一个安全健康的网络使用环境。

　二、开展安全检查，及时整改隐患

　1、我校“网络中心、功能室、微机室、教室、办公室”等都建立了使用及安全管理规章制度，且制度都上墙张贴。

　2、网络中心的安全防护是重中之重，我们分为：物理安全、网络入出口安全、数据安全等。物理安全主要是设施设备的防火防盗、物理损坏等;网络入出口安全是指光纤接入防火墙->路由器->核心交换机及内网访问出去的安全，把握好源头;数据安全是指对校园网的数据备份、对不安全的信息进行处理上报、对信息的过渡等。信息中心有独立的管理制度，如网络更新登记、服务器资源、硬盘分布统计资料、安全日志等，便于发现问题，既时查找。

作为企业用户首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。为了能够为

用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据，《网络世界》评测实验室

对目前市场上主流的防火墙产品进行了一次比较评测。

《网络世界》评测实验室依然本着科学、客观公正的原则，不向厂商收取费用，向所有

希望参加评测的厂商开放。

我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有来自国内外

12家厂商的14款产品，其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWal

l -100Pro、方正数码的方正方御FGFW，联想网御2000，NetScreen-208、清华得实NetST210

4 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiW

all 防火墙以及卫士通龙马的龙马卫士防火墙，千兆防火墙包括北大青鸟JB-FW1、 NetScre

en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墙和北大青鸟JB-FW1防

火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工程师的共同努力下，顺

利完成了对其他12款产品的评测任务。

测试内容主要涵盖性能、防攻击能力以及功能三个方面，这其中包括按照RFC2504、RFC

2647以及我国标准进行的定量测试和定性测试。我们性能测试和防攻击能力主要采用Spiren

t公司的SmartBits 6000B测试仪作为主要测试设备，利用SmartFlow和WebSuite Firewall测

试软件进行测试。在测防攻击能力时，为准确判定被攻击方收到的包是否是攻击包，我们还

使用NAI公司的Sniffer Pro软件进行了抓包分析。

在功能测试方面，我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管

理性、***、加密认证以及日志审计等多方面功能。

最后，我们还要感谢向我们提供测试工具的思博伦通信公司以及NAI公司，同时也对那些

勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。

性能综述

对于网络设备来说，性能都是率先要考虑的问题。与其他网络设备相比，防火墙的性能

一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火

墙来说是巨大的挑战。

在我们测试的过程中，感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大

差异性，从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲

，目前主要有三种，一种使用ASIC体系，一种采用网络处理器（NP），还有一种也是最常见

的，采用普通计算机体系结构，各种体系结构对数据包的处理能力有着显著的差异。防火墙

软件本身的运行效率也会对性能产生较大影响，目前防火墙软件平台有的是在开放式系统（

如Linux，OpenBSD）上进行了优化，有的使用自己专用的操作系统，还有的根本就没有操作

系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小，测试防火墙性能时

将防火墙配置为最简单的方式：路由模式下内外网全通。

我们此次测试过程中，针对百兆与千兆防火墙的性能测试项目相同，主要包括：双向性

能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线

速下的延迟、吞吐量下的延迟以及帧丢失率；单向性能测试项目包括吞吐量、10%线速下的延

迟；起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。

百兆防火墙性能解析

作为用户选择和衡量防火墙性能最重要的指标之一，吞吐量的高低决定了防火墙在不丢

帧的情况下转发数据包的最大速率。在双向吞吐量中，64字节帧，安氏领信防火墙表现最为

出众，达到了5196%的线速，NetsScreen-208也能够达到4415%，

在单向吞吐量测试中，64字节帧长NetScreen-208防火墙成绩已经达到8360%，位居第一

，其次是方正方御防火墙，结果为7172%。

延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明，联想网御200

0与龙马卫士的数值不分伯仲，名列前茅。

帧丢失率决定防火墙在持续负载状态下应该转发，但由于缺乏资源而无法转发的帧的百

分比。该指标与吞吐量有一定的关联性，吞吐量比较高的防火墙帧丢失率一般比较低。在测

试的5种帧长度下，NetScreen-208在256、512和1518字节帧下结果为0，64字节帧下结果为5

745%。

一般来讲，防火墙起NAT后的性能要比起之前的单向性能略微低一些，因为启用NAT功能

自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST 2104防火墙在起NAT功能后

64字节帧的吞吐量比单向吞吐量结果略高。

最大并发连接数决定了防火墙能够同时支持的并发用户数，这对于防火墙来说也是一个

非常有特色也是非常重要的性能指标，尤其是在受防火墙保护的网络向外部网络提供Web服务

的情况下。天融信NGFW 4000以100万的最大并发连接数名列榜首，而龙马卫士防火墙结果也

达到80万。

我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻击。我们还在防

攻击测试中试图建立5万个TCP/HTTP连接，考察防火墙在启动防攻击能力的同时处理正常连接

的能力。

Syn Flood目前是一种最常见的攻击方式，防火墙对它的防护实现原理也不相同，比如，

安氏领信防火墙与NetScreen-208采用SYN代理的方式，在测试这两款防火墙时我们建立的是

50000个TCP连接背景流，两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TC

P/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping of Death和La

nd-based三种攻击包全部都过滤掉。

Teardrop攻击测试将合法的数据包拆分成三段数据包，其中一段包的偏移量不正常。对

于这种攻击，我们通过Sniffer获得的结果分析防火墙有三种防护方法，一种是将三段攻击包

都丢弃掉，一种是将不正常的攻击包丢弃掉，而将剩余的两段数据包组合成正常的数据包允

许穿过防火墙，还有一种是将第二段丢弃，另外两段分别穿过防火墙，这三种方式都能有效

防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况

，神州数码DCFW-1800、得实NetST2104、联想网御2000属于第二种情况，Netscreen-208属于

第三种情况。

对于Ping Sweep和Ping Flood攻击，所有防火墙都能够防住这两种攻击，SG-300防火墙

过滤掉了所有攻击包，而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些

ping包通过，但大部分攻击包都能够被过滤掉，这种结果主要取决于防火墙软件中设定的每

秒钟通过的ping包数量。

千兆防火墙性能结果分析

由于千兆防火墙主要应用于电信级或者大型的数据中心，因此性能在千兆防火墙中所占

的地位要比百兆防火墙更加重要。总的来说，三款千兆防火墙之间的差异相当大，但性能结

果都明显要高于百兆防火墙。

双向吞吐量测试结果中，NetScreen-5200 64、128、256、512、1518字节帧结果分别为

5899%、7305%、8555%、9453%、9727%线速。千兆防火墙的延迟与百兆防火墙相比降低

都十分明显，NetScreen-5200的双向10%线速下的延迟相当低，64字节帧长仅为468祍，1518纸谥〕さ囊仓挥494祍。起NAT功能后，NetScreen-5200防火墙64字节帧长的吞吐量为62

5%。由于ServGate SG2000H不支持路由模式，所有只测了NAT 结果，该防火墙在1518字节帧

长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结

果表明，NetScreen-5200防火墙达到100万。

在防攻击能力测试中， 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好，没

有一个攻击包通过防火墙。对于Ping of Death攻击， NetScreen-5200和阿姆瑞特F600+防火

墙丢弃了所有的攻击包，SG2000H防火墙测试时对发送的45个攻击包，丢弃了后面的两个攻击

包，这样也不会对网络造成太大的危害。在防护Teardrop攻击时，F600+防火墙丢弃了所有的

攻击包，ServGate-2000防火墙只保留了第一个攻击包，NetSreen-5200防火墙则保留了第一

和第三个攻击包，这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击

测试结果为1000个攻击包全都过滤掉。

功能综述

在我们此次测试防火墙的过程中，感受到了不同防火墙产品之间的千差万别，并通过亲

自配置体会到防火墙在易用性、管理性以及日志审计等方面的各自特色。

包过滤、状态检测和应用层代理是防火墙主要的三种实现技术，从此次参测的防火墙产

品中我们可以明显地看到状态检测或将状态检测与其他两种技术混合在一起是主流的实现原

理。

在工作方式方面，大部分防火墙都支持路由模式和桥模式（透明模式），来自ServGate

公司的SG300和SG2000H，其工作方式主要是桥模式和 NAT模式，没有一般产品所具有的路由

模式。天融信NGFW 4000和卫士通龙马的龙马卫士防火墙还支持混合模式。

百兆防火墙

与交换机走向融合？

当我们拿到要测试的防火墙时，有一个非常直观的感觉是防火墙不再只是传统的三个端

口，正在朝向多个端口方向发展，带有4个端口的防火墙非常常见，我们都知道三个端口是用

来划分内网、外网和DMZ区，那么增加的第4个端口有什么用呢？不同产品差别很大，但以用

作配置管理的为主，安氏的防火墙将该端口作为与IDS互动的端口，比较独特。像天融信网络

卫士NGFW4000则可以最多扩展到12个端口，Netscreen-208有8个固定端口，Netscreen-5200

则是模块化的千兆防火墙，可以插带8个miniGBIC 1000Base-SX/LX千兆端口或24个百锥丝的模块，这显示了防火墙与交换机融合的市场趋势。

对DHCP协议的支持方面，防火墙一般可以作为DHCP信息的中继代理，安氏领信防火墙、

清华得实NetST2104、天融信NGFW4000都有这个功能。而Netscreen-208、SG300还可以作为D

HCP 服务器和客户端，这是非常独特的地方。

在VLAN支持方面，Netscreen防火墙又一次显示了强大的实力。与交换机类似，Netscre

en-208支持每个端口划分为子端口，每个子端口属于不同的VLAN，支持8021Q，并且不同子

端口还可以属于不同区域。安氏领信、联想网御2000、天融信NGFW4000防火墙则有相应选项

支持VLAN，主要支持8021Q和Cisco的ISL。

管理特色凸现

管理功能是一个产品是否易用的重要标志，对此我们考察了防火墙对管理员的权限设置

、各种管理方式的易用性以及带宽管理特性。

不同的防火墙对管理员的权限分级方式不同，但总的来说，不同的管理员权限在保护防

火墙的信息的同时，通过三权分立确保了防火墙的管理者职责分明，各司其职。方正方御FG

FW通过实施域管理权、策略管理、审计管理、日志查看四个不同权限对管理员权限进行限制

。

目前，对防火墙的管理一般分为本地管理和远程管理两种方式，具体来说，主要包括串

口命令行、Telnet、GUI管理工具以及Web管理。总的来讲，像Netscreen-208、神州数码防火

墙支持命令行、Telnet、GUI管理工具以及Web管理这几种方式，非常方便用户从中选择自己

喜欢的方式。但我们在测试过程中发现不少防火墙的命令行比较难懂，对于很多用户来说使

用会比较困难，而安氏、Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明

了，这为喜欢用命令行进行防火墙配置的用户来说带来了便捷。当然，很多防火墙的CLI命令

功能比较简单，主要功能还是留给了GUI管理软件，方正、联想防火墙是非常典型的例子。

从易用性的角度来讲，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面给我

们留下了最深刻的印象，漂亮的界面以及非常清晰的菜单选项可以使用户轻松配置管理防火

墙的各方面，同时Web管理一般都支持基于SSL加密的HTTPS方式访问。当然，对于要集中管理

多台防火墙来说，GUI管理软件应该是不错的选择。联想网御2000、天融信、清华得实、方正

方御的GUI管理软件安装和使用都比较容易。

带宽管理正在成为防火墙中必不可少的功能，通过带宽管理和流量控制在为用户提供更

好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送测的9款百兆防火墙都支

持带宽管理。比如神州数码DCFW-1800防火墙能够实时检测用户流量，对不同的用户，每天分

配固定的流量，当流量达到时切断该用户的访问。龙马卫士防火墙通过支持基于IP和用户的

流量控制实现对防火墙各个接口的带宽控制。

***和加密认证

防火墙与***的集成是一个重要发展方向。此次参测的防火墙中安氏领信防火墙、方正网

御FGFW、Netscreen-208、SG300、清华得实NetST 2104、龙马卫士防火墙这6款防火墙都有

***功能或***模块。作为构建***最主要的协议IPSec，这6款防火墙都提供了良好的支持。

安氏领信防火墙的***模块在对各种协议和算法的方面支持得非常全面，包括DES、3DES

、AES、CAST、BLF、RC2/R4等在内的主流加密算法都在该产品中得到了支持。主要的认证算

法MD5在6款防火墙中都得到了较好支持。不同加密算法与认证算法的组合将会产生不同的算

法，如3DES-MD5就是3DES加密算法和MD5算法的组合结果。安氏和NetScreen-208能够很好地

支持这种不同算法之间的组合。 方正网御、清华得实NetST2104和卫士通龙马的龙马卫士防

火墙则以支持国家许可专用加密算法而具有自己的特点。当然，加密除了用于***之外，远程

管理、远程日志等功能通过加密也能够提升其安全性。

在身份认证方面，防火墙支持的认证方法很重要。安氏领信防火墙支持本地、RADIUS、

SecureID、NT域、数字证书、MSCHAP等多种认证方式和标准，这也是所有参测防火墙中支持

得比较全的。非常值得一提的是联想网御2000所提供的网御电子钥匙。带USB接口的电子钥匙

主要用来实现管理员身份认证，认证过程采用一次性口令(OTP)的协议SKEY，可以抵抗网络窃

听。

防御功能

防火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒

扫描，使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防

护能力。

在病毒扫描方面，表现最突出的当属联想网御2000，它集成了病毒扫描引擎，具有防病

毒网关的作用，能够实时监控HTTP、FTP、SMTP数据流，使各种病毒和恶意文件在途径防火墙

时就被捕获。

在内容过滤方面，大部分防火墙都支持URL过滤功能，可有效防止对某些URL的访问。清

华得实NetST2104、安氏防火墙内置的内容过滤模块，为用户提供对HTTP、FTP、SMTP、POP3

协议内容过滤，能够针对邮件的附件文件类型进行过滤。联想网御2000还支持邮件内容过滤

的功能。

在防御攻击方面，Netscreen-208、方正方御、联想网御2000、SG300以及安氏领信防火

墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的设置选项，用户可以自主设

置实现对这些攻击的防护。安氏领信防火墙除了本身带有入侵检测模块之外，还有一个专门

端口与IDS互动。天融信NGFW 4000则通过TOPSEC协议与其他入侵检测或防病毒产品系统实现

互动，以实现更强劲的防攻击能力。

安全特性

代理机制通过阻断内部网络与外部网络的直接联系，保证了内部网的拓扑结构等重要信

息被限制在代理网关的内侧。

参测的百兆防火墙大都能够支持大多数应用层协议的代理功能，包括HTTP、SMTP、POP3

、FTP等，从而能够屏蔽某些特殊的命令，并能过滤不安全的内容。

NAT通过隐藏内部网络地址，使其不必暴露在Internet上 从而使外界无法直接访问内部

网络设备,而内部网络通过NAT以公开的IP地址访问外部网络，从而可以在一定程度上保护内

部网络。另一方面，NAT也解决了目前IP地址资源不足的问题。此次参测的防火墙对于NAT都

有较强的支持功能，虽然大家叫的名称不同，但主要方式包括一对一、多对一NAT、多对多N

AT以及端口NAT。

高可用性

负载均衡的功能现在在防火墙身上也开始有所体现，Netscreen-208支持防火墙之间的负

载分担，而其他防火墙则支持服务器之间的负载均衡。

目前用户对于防火墙高可用性的需求越来越强烈。此次参测的9款百兆防火墙都支持双机

热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高可用端口，实现防火墙之

间的Active-Active高可用性。

日志审计和警告功能

防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量

的日志信息，为了在繁多的日志中进行查询和分析，有必要对这些日志进行审计和管理，同

时防火墙存储空间较小，因此单独安装一台服务器用来存放和审计管理防火墙的各种日志都

非常必要。

安氏、方正防御、联想网御2000、清华得实NetST2104、神州数码DCFW-1800、天融信NG

FW4000以及龙马卫士防火墙都提供了日志管理软件实现对日志服务器的配置和管理，可以利

用管理软件对日志信息进行查询、统计和提供审计报表。而NetScreen-208支持多种日志服务

器的存储方式，包括Internal、Syslog、WebTrends、flash卡等。

当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时，根据设定的规则，

防火墙应该向管理员发出报警信号。安氏、Netscreen-208在警告通知方式方面支持E-mail、

Syslog、SNMP trap等。而方正方御则支持通过LogService消息、E-mail、声音、无线、运行

报警程序等方式进行报警。

对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、

天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同等级的日志。龙马卫士防火墙将

日志级别分为调试信息、消息、警告、错误、严重错误5种级别。NetScreen-208则将日志分

为负载日志、事件日志、自我日志三种，事件日志分为8个不同等级。

优秀的文档很关键

大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印象的是联想

、方正与安氏防火墙的印刷文档非常精美全面，内容涵盖了主流的防火墙技术以及产品的详

细配置介绍，还举了很多实用的例子帮助用户比较快地配好防火墙，使用各种功能。得实Ne

tST 2104防火墙用户手册、天融信NGFW 4000电子文档都对CLI命令进行了详细解释，非常有

利于那些习惯使用命令行进行配置的防火墙管理员使用。Netscreen网站上有非常完整的用户

手册，但缺憾在于它们全部是英文的。

千兆防火墙

此次总共收集到4款千兆防火墙产品，但北大青鸟在性能测试尚未完成时就自行退出，所

以共测试完成了三款千兆防火墙，它们都是来自国外厂商的产品: NetScreen-5200、阿姆瑞

特F600+和ServGate SG2000H。NetScreen-5200是采用ASIC处理器的代表，而SG2000H则是采

用网络处理器的例子。

从实现原理来看，三者都主要是基于状态检测技术，而在工作方式上，NetScreen-5200

、阿姆瑞特F600+主要支持路由模式和桥模式，而ServGate SG2000H则支持桥模式和NAT模式

。

F600+支持DHCP中继代理，而NetScreen-5200可以作为DHCP服务器、客户端或中继代理。

在VLAN支持方面，NetScreen-5200的每个端口可以设定不同子端口，每个子端口可以支持不

同的VLAN，可以非常容易集成到交换网络中。据称，该设备能够支持4000个VLAN。F600+与S

G2000H也支持8021Q VLAN。而且，还有一点可以指出的是NetScreen-5200支持OSPF、BGP路

由协议。

从管理上来看，NetScreen-5200和SG2000H主要通过Web和命令行进行管理。而F600+则主

要通过在客户端安装GUI管理软件来进行管理，串口CLI命令功能很简单。从配置上来说，Ne

tScreen-5200配置界面非常美观，菜单清晰，并提供了向导可以指导用户快速配置一些策略

和建立***通道。SG2000H功能也比较强大，但配置起来比较复杂一点。阿姆瑞特的F600+在安

装Armarenten管理器的同时还将其中文快速安装手册以及中文用户指南都安装上，非常方便

用户使用，而该管理软件与防火墙之间则通过128位加密进行通信，有利于对多台防火墙

的管理。

在带宽管理上，F600+很有特色，它通过“管道”概念实现，每个管道可以具有优先级、

限制和分组等特点，可以给防火墙规则分配一个或多个管道，还可以动态分配不同管道的带

宽。NetScreen-5200则支持对不同端口分配带宽以及根据不同应用在策略中设定优先级控制

进出的网络流量。

在***支持方面，NetScreen-5200不仅支持通过IPSec、L2TP和IKE建立***隧道，还支持

DES、3DES、AES加密算法和MD5 、SHA-1认证算法。F600+支持通过IPSec建立***，而SG2000

H未加***模块。在认证方法上，只有Netscreen-5200支持内置数据库、RADIUS、SecurID和L

DAP。

F600+还有一个非常显著的特点就是提供了一个功能强大的日志管理器，它虽然不支持在

防火墙中记录日志，但能够在防火墙管理器中实时显示日志数据，还支持Syslog 日志服务器

,提供灵活的审计报表，并将日志进行分类。NetScreen-5200和SG2000H在日志报表和审计报

表方面都支持著名的WebTrends软件和Syslog日志服务器，NetScreen还支持将日志通过flas

h卡、NetScreen Global Pro等方式进行处理。

电脑保密中转机是一种安全网络传输解决方案，能够在不同网络之间进行数据传输，并保证数据传输的安全性和机密性。下面是电脑保密中转机的设置方法：

步骤1：选择一台专用电脑作为中转机，该电脑需要安装并运行中转软件；

步骤2：将需要进行传输的文件先发送到中转机上；

步骤3：在另一台电脑上也安装并运行中转软件，并连接到中转机上；

步骤4：在中转软件中设置传输的文件类型、传输的目标地址等信息；

步骤5：开始传输文件。

原因：电脑保密中转机的设置可以有效地保障数据的安全性和机密性。因为在传输过程中，数据会先发送到中转机上，然后再由中转机转发到目标电脑上，这样可以避免直接在不同网络之间传输数据，减少数据被窃取或篡改的风险。同时，中转机还可以对传输的数据进行加密处理，增强数据的安全性。

拓展：除了保密中转机，还有一些其他的安全网络传输解决方案，如***、SSH等，它们也都可以保证数据传输的安全性和机密性。这些工具的使用范围广泛，不仅可以应用在企业、政府机构等需要保密传输的场合，也可以应用在个人用户进行网络传输时，保障个人信息不被泄露。

1 政府行业的信息化现状

政务电子化是信息社会政府管理发展的一种新趋势，已成为世界各国政府关注的焦点。

随着政务信息化的不断推进，业务应用、办公系统、商务平台的推出和投入运行，信息系统在企业的运营中全面渗透。使用数量较多的服务器主机来运行关键业务，提供电子政务、数据库应用、运维管理、ERP和协同工作群件等服务。由于服务器众多，系统管理员压力太大等因素，人为误操作的可能性时有发生，这会对部门或者企业声誉造成重大影响，并严重影响其经济运行效能。黑客和恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器上用户行为，降低运维成本，提供控制和审计依据，成为企业越来越关心的问题。

2 政府行业的运维管理需求

21 满足国家等级保护的政策性审核

1、用户账号权限需要得到严格管理控制，用户账号口令安全与登录安全需要得到加强监管；

2、信息系统的各种访问操作日志需要全面审计，包括网络、系统、数据、应用等几个方面；

3、进行远程信息系统操作时，能够保障通信链路可信、及通讯数据加密。

22 符合企业内部控制基本规范的要求

2010年，财政部、证监会、审计署、银监会、保监会印发的《企业内部控制应用指引第18号――信息系统》中第十二条明确要求“企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作”。

23 管理复杂，工作效率不高

1、支撑企业业务运行的IT系统主要由大量的网络设备、主机系统和应用系统组成，这些设备和系统从应用角度来分又分别属于不同的业务系统和部门，网络设备、主机系统等分别具备独立的用户管理、认证授权和审计系统。

2、各种系统由不同的系统管理员负责维护和管理，维护人员面对这些系统时，工作复杂程度成倍增加，并且需要频繁的登录注销，影响了工作效率。

24 账号共享、密码简单等网络安全隐患不可避免

1、 为了降低管理复杂度和难度，有些帐号被多人共用，这些帐号的扩散不容易控制，账号和密码信息容易外泄，安全事故也多由于这种帐号共用发生；

2、 对于维护人员来讲，频繁的切换系统，需要输入不同系统的用户名和口令进行登录，为了便于记忆，常有维护人员会采用比较简单的口令或多个系统使用同样的口令，紧急情况下还可能将自己的用户名和口令共享给他人使用，这些都对整个系统的安全性产生极大威胁。

25 对系统和网络设备的审计不集中、不全面

1、由于各个系统独立运行，对于系统运行日志、维护人员操作审计也只能分系统独立进行，系统发生故障时，必须逐个系统去排查问题，无法进行统一集中的问题排查，极大的降低工作效率，也造成了损失扩大的可能性；

2、并且不能做到实名审计，只能审计到账号，不能关联到自然人。

3 政府行业堡垒主机产品技术解决方案

基于天融信堡垒主机（TA-SAG）政府行业技术解决方案是出于4A统一网络安全管理平台的理念，通过账号的集中管理、认证机制、授权机制、以及用户的操作行为审计等策略来对企业中的服务器、数据库、交换机、路由器(防火墙)等网络设备进行有效的控制和统一的管理以及全程的操作审计。

根据政府行业的现状和需求，天融信公司使用TA-SAG平台提出针对性的解决方案。该方案主要从以下六点着重考虑。

31 遵循与参考的标准和规范

1、国家保密标准BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》

2、国家保密标准BMZ1-2000，《涉及国家秘密的计算机信息系统保密技术要求

3、国家保密标准《计算机信息系统保密管理暂行规定》（国保发{1998}1号）

4、国家标准GB17859-1999，《计算机信息系统安全保护等级划分准则》

5、国家标准GB/T183362-2001，《信息技术 安全技术 信息技术安全性 评估准则 第2部分: 安全功能要求》

6、ISO27001/ISO17799:2005/BS7799,《信息安全管理技术规范》。

32 统一的帐号管理

1、管理员通过主帐号信息管理界面维护主帐号的整个生命周期，对主帐号进行增加、修改、删除及锁定、解锁等操作，同时设置主帐号的密码使用策略及用户的级别定义。

2、主帐号用户可以通过自服务功能管理自身帐号信息，对手机、邮件及密码等个人信息进行修改。

3、通过主账号与资源账号进行关联，同时也满足了实名审计的需要。

33 多种认证方式进行统一部署

1、用户通过用户名密码方式登录到天融信TA-SAG（堡垒主机）管理平台，选择资产从帐号，直接登录目标资产。

2、用户通过数字证书、动态令牌等方式登录到管理单元，由管理单元向执行单元发放一次性口令登录目标资产。

34 SSO单点登录

1、用户登录到天融信TA-SAG（堡垒主机）管理平台后，能够看到已授权的资源列表，直接选择目标资产及从帐号，由堡垒主机完成帐号及密码的代填，实现自动登录。

2、 同时减少了对服务器频繁登录注销的繁琐性，提高了工作效率。

35 更全面、更集中的日志审计

1、堡垒主机将每个自然人账号对其资源的操作进行全面的日志审计。

2、 日志审计支持通过服务器查询、自然人查询、登录地址等自定义条件的查询。

36 支持双机热备、可安全稳定的运行

堡垒主机支持双机热备，拥有完善的高可用性，可以保证系统长期、可靠的运行。

6月份西北工业大学曾发布声明称，有来自境外的黑客组织对西北工业大学服务器实施攻击。相关部门调查显示针对西北工业大学的网络攻击来自美国国家安全局特定入侵行动办公室。

中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析。

研究团队经过持续攻坚，成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端，发现了攻击实施者的身份线索，并成功查明了13名攻击者的真实身份。最新的调查报告进一步表明，TAO长期隐蔽控制西北工业大学的运维管理服务器，同时采取替换系统文件和擦除系统日志的方式消痕隐身，规避溯源。网络安全技术人员根据TAO攻击西北工业大

学的隐蔽链路、渗透工具、木马样本等特征关联发现，TAO对我国基础设施运营商核心数据网络实

施了渗透控制。

不仅如此，TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口

令，以“合法”身份进入运营商网络，随后实施内网渗透拓展。

分别控制相关运营商的服务质量监控系统和短信网关服务器，利用“魔法学校”等专门针对运营商设备的武器工具，查询了一批中国境内敏感身份人员，并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。根据对相关网络攻击行为的大数据分析，对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间，该时段对应着美国东部时间9时至16时，属于美国国内的工作时间段。

其次美国时间的全部周六、周日时间内均未发生对西北工业大学的网络攻击行动。第三，分析美国特有的节

假日，发现美国的“阵亡将士纪念日”放假3天，美国“独立日”放假1天，在这四天中攻击方没有

实施任何攻击窃密行动。第四，长时间对攻击行为密切跟踪发现，在历年圣诞节期间，所有网络攻

击活动都处于静默状态。科技成为武器，科学家的国界概念就更明显了，美国华裔科学家和在美国工作的中国科学家最近准

备回国发展是在未雨绸缪。

美国NSA网络攻击中国西北工业大学网络系统，这是在看不见的战场对中国实施网络空间作战，美

国中情局以同样的“酸狐狸”网络作战模板已经控制了八十多个国家基础设施系统。

如果美国愿意的话，这八十多个国家的电力和交通及水利等核心民生保障设施都会遭到攻击从而陷入瘫痪。美国为首的北约组织在对南联盟进行战争过程中采取是热战形式切断其国家基础设施供应

链从而迫使南联盟政治屈服，黑山，克罗地亚等独立从南联盟独立。

美国希望用这种看不见的战争来控制中国核心科技人员机密信息，从而运用中情局遍布全球的爪牙

进行策反或者谋害等行动，这种事情美国中情局在第二次世界大战后针对苏联阵营国家干过太多。大政治公关能力来调动美国国家力量来打击这些竞争对手以维护其行业垄断地位，中情局通过窃取

中国顶尖大学核心科研数据和高科技项目情报为美国国会和白宫有针对性制裁中国相关产业提供支撑，这是一条完整路径。

中国国家信息安全实验室和360公司合作建立的防火墙系统可以溯源到美国中情局此次进攻心中路径和攻击特征及服务器运行程序，沿着大数据线路溯源到美国中情局遍布其合作伙伴国家服务器，

这个溯源报告构成一个完整的证据链。

对于中国公布的美国中情局攻击西北大学报告，美国中情局的回复是美国拿这些数据是为了维护国家安全而不会将其转发给商业公司，而中国对美国科技情报窃取则是应用到商业领域。理直气壮的入侵中国网络信息安全，毫无愧色的对中国大学进行黑客犯罪行动，一切都是那么美国。 

作为回应，我们公布了美国黑客帝国犯罪链条，下一步中国会推出相应的防御机制和反击系统，中国的网军也不是吃素的，美国糟糕的基础设施物联系统将会是我们实验室的小白鼠。美国国家安全局“特定入侵行动办公室”长期攻击入侵西北工业大学网络运维管理服务器，秘密窃取网络设备运维配置文件和日志文件。这个犯罪事实清楚且证据确凿，西安市碑林区警方推动立案程序，下一步是移送西安市检察院申请逮捕令，十三名攻击西北工业大学黑客身份确认，他们将是中国司法程序启动后全球通缉令对象，美国中情局负责人将收到中国警方传唤公文，美国驻华大使伯恩斯可以作为中情局受托人前往西安市警局说明情况。

对于网络犯罪，中国法律是明确程序和法律处罚后果的，美国中情局不享有外交豁免权。

综合而言，机关算尽太聪明，反误了卿卿性命，美国不能指望其控制世界互联网根服务器和拥有互

联网核心技术就想着可以跨越主权边境到中国网络空间为非作歹，中国具备防御和反击及进攻综合能力，美国已经开了第一枪，中国的依法依规反击，美国准备好了吗？

针对网络攻击行为，受攻击国采取相应的网络自卫措施时，不外乎两种途径，针对敌方网络攻击，通过网电技术手段进行网络自卫反击。是针对敌方发起网络攻击的网电设施，通过必要的军事打击如电子脉冲炸 弹或石墨炸弹等对敌方网络攻击源进行定点清除。这种反击方式也完全符合

武装冲突法中国家自卫权行使的初衷和目的。