最近，继去年获得ICSA实验室颁发的防病毒、IPSec和防火墙证书之后又获得第四项认证证书—NIDS的FortiGate病毒防火墙在海关系统得到应用发展。 作为海关网络通信的需求， 安全可靠、 管理方便、 操作灵活、分区域管理和防病毒， 是联网的基本要求。本文通过实例分析，阐述反病毒网关应用于海关和保税区网络达到的保护功能。

用户需求剖析: 海关对网络运行的具体安全要求包括以下几方面：

1． 与外部网相联的安全性 海关需要与保税区企业相联， 与城域网相联， 与Internet相联，并为客户提供一体化服务。预防网络外部非法用户对内部网的恶意攻击是与外部网相联首要解决的问题。 海关要与周边的保税区进行网络数据通信和业务联系， 应该有加密措施， 保证数据安全和传输安全。

2． 对网络内部的访问控制 预防网络内用户对网络设备、主机设备和企业数据进行恶意破坏，控制内部用户对系统资源的非授权访问。

3． 病毒的防范与管理 现网的病毒防治采取的是单机版形式，代码升级由网络用户自行管理，这种分散式管理难以阻止病毒在网上蔓延，也给网络用户带来极大的不便。近年来网络病毒日益严重，为保证城域网的安全运行，应有一个行之有效的在网关端口上防治病毒的解决方案。

4． 实施多区域管理 海关内各个不同执行部门具有不同的权限，使用开放程度不同的资源， 各区域设置不同的配置。

江苏省某市海关的网络系统做了如下的设计: 在海关网络上安装了病毒防火墙FortiGate-500， 在保税区企业网络入口安装FortiGate-100。FortiGate是一个支持中文界面的、 易管理的安全设备，它既具有网络层服务，如防火墙、入侵检测、专用网（VPN）和流量控制等功能， 又有提供应用层服务，如蠕虫／病毒防护和内容过滤的功能。

5. 防火墙功能 防火墙总是用户最基本的需求。 FortiGate 防火墙支持NAT/路由模式和透明模式。安全策略可选择控制所有进入和输出的网络流通，可以成功保护企业网络不受来自公共或其他非信任网络的各种威胁。防火墙可设置为允许用户从受保护内部网络访问Internet，并同时封锁从Internet到内部网的访问，可设置对从内部网到Internet的访问，和从Internet到内部网的访问加以控制。

6. 虚拟专用网VPN 与海关通信的保税区企业网上安装了FortiGate-100防火墙。这是适合小型企业网的安全产品。 使用VPN, 可为分散的办公室网, 或从远程安全通信系统登录到公司网之间提供一个安全的网络连接。特点包括执行行业标准的 IPSec, PPTP、L2TP，支持ESP安全通道模式, DES和3DES 硬件加速加密，支持密钥交换算法, 包括自动IKE和手工密钥交换。在网络之间或网络与客户端之间进行安全通信。

7. 通过IPSec VPN 加密的通道和海关连接, 保证了数据在Internet上传输的安全性, 同时海关总部可以控制保税区企业到海关的数据访问, 保证总部的安全。 对于海关出差的用户， 可以通过VPN连接到总部进行数据访问, 因此建立了移动的办公室网络.

8. 分区管理 FortiGate-500是适合于企业、部门级的细粒度安全和内容控制的专用硬件产品 具有多端口安全控制能力,总共有12个端口。 用户可定义多达8个10/100 Base-TX端口。网络可分段成不同的区，对不同的段配置不同的策略。 这些用户定义的端口可以加到任何缺省的区域, 或建立的任何用户定义的区域。 财务部、工程部、经理部等可以配置各自所需的安全策略，简练而有效。把内部不同的业务和管理部门通过 FortiGate-500物理隔离, 并且通过防火墙的策略控制部门之间的访问, 根据不同的业务精确控制所允许的服务, 大大地提高了内部部门间的安全。

9. 反病毒／过滤扫描蠕虫 病毒防火墙100% 检测到WildList中列举的所有蠕虫／病毒， 检测PKZip格式压缩文件中的病毒和电子邮件附件中的病毒，并对相关动作进行日志记录。可对Web内容过滤，根据URL、关键词模式匹配， 阻止Web站点及页面，阻挡不适当的内容和恶意的脚本。设备的操作很方便， 例如在“病毒检查－保护设置”中， 可选择从内部至外部页面，或从外部至内部页面， 相应有选项HTTP, POP3, SMTP, IMAP协议。在“病毒检查” 的策略应用方面， 从内部至外部访问， 或从外部至外部访问，可选择启用病毒检查和内容过滤。由于是基于网络的防病毒， 它比基于主机的防病毒具有很多优势， 尤其在网络攻击事件中可以有效防御任何危险病毒的入侵和泛滥, 阻挡蠕虫／病毒攻击。

10. 效果分析 海关是国家机关， 网络安全格外重要。 安全设备应该简单， 易于操作， 能抵抗恶意攻击， 降低风险。由于在单台设备上综合了多维功能，不仅大大降低了设备一次性投资，而且也减少了管理和维修成本，保证了总部网络的安全，满足用户需求，值得业界借鉴推广。

（计算机世界报 第36期 E12、E13）