防火墻在中小企業(yè)中的應用設計論文

.z..--.可修編.畢業(yè)設計〔論文〕題目防火墻在中小企業(yè)中的應用姓名學號專業(yè)系統(tǒng)維護班級系統(tǒng)維護二班指導教師職稱2011年09月-.z..--.可修編.摘要本文闡述了防火墻的原理，詳細論述了基于中小型企業(yè)的特殊條件下，構建網(wǎng)絡防火墻的思想和步驟。平安是一個不容無視的問題，當人們在享受網(wǎng)絡帶來的方便與快捷的同時，也要時時面對網(wǎng)絡開放帶來的數(shù)據(jù)平安方面的新挑戰(zhàn)和新危險。為了保障網(wǎng)絡平安，當局域網(wǎng)與外部網(wǎng)連接時，可以在中間參加一個或多個中介系統(tǒng)，防止非法入侵者通過網(wǎng)絡進展攻擊，非法訪問，并提供數(shù)據(jù)可靠性、完整性以及**性等方面的平安和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術。本課題主要研究的是針對不同企業(yè)的平安需求，制定不同的網(wǎng)絡平安解決方案，以保障網(wǎng)絡的平安性。關鍵詞：防火墻；網(wǎng)絡平安；企業(yè)-.z.AbstractSecurityisaproblemcannotbeignored,whenpeopleenjoytheconvenienceandfastnetworkstothesametime,wemustalwaysfacethenetworkdatasecurityandopeningofnewchallengesandnewdangers.Inordertoprotectnetworksecurity,LANande*ternalnetworkwhenconnected,youcanjoininthemiddleofoneormoreintermediatesystems,topreventtheillegalintruderattacksthroughthenetwork,unauthorizedaccess,andtoprovidedatareliability,integrityandconfidentiality,etc.safetyandreviewofcontrol,theseintermediatesystemsisafirewall(Firewall)technology.Keywords:Firewall，Networksecurity，Enterprise目錄第1章概述11.1網(wǎng)絡平安體系介紹11.2網(wǎng)絡平安與防火墻2第2章防火墻的概念32.1防火墻概述32.1.1防火墻的定義32.1.2為什么使用防火墻32.1.3防火墻的功能42.2防火墻的分類52.2.1按防火墻技術分類52.2.2按防火墻應用部署位置分類72.2.3按防火墻性能分類72.3防火墻在網(wǎng)絡中的連接72.3.1連接局域網(wǎng)和廣域網(wǎng)72.3.2連接內部網(wǎng)和第三方網(wǎng)絡92.3.3連接不同子網(wǎng)92.4典型硬件防火墻產品推介92.5防火墻最新技術及開展12防火墻包過濾技術開展趨勢122.5.2防火墻的體系構造開展趨勢122.5.3防火墻的系統(tǒng)管理開展趨勢13第3章防火墻在中小企業(yè)網(wǎng)中的應用143.1中小企業(yè)網(wǎng)絡面臨的平安風險14內部竊密和破壞14網(wǎng)絡竊聽14假冒14完整性破壞14其它網(wǎng)絡的攻擊15管理及操作人員缺乏平安知識15雷擊153.2企業(yè)防火墻選購三要素15第一要素：防火墻的根本功能16第二要素：企業(yè)的特殊要求17第三要素：與用戶網(wǎng)絡結合17第4章企業(yè)網(wǎng)網(wǎng)絡平安總體設計194.1平安設計總體考慮194.2網(wǎng)絡平安20網(wǎng)絡傳輸20訪問控制23入侵檢測24漏洞掃描254.3應用系統(tǒng)平安策略25系統(tǒng)平臺平安25應用平臺平安25病毒防護26系統(tǒng)設計原則26產品應用27數(shù)據(jù)備份28平安審計29認證、鑒別、數(shù)字簽名、抗抵賴29第5章方案設計與實現(xiàn)305.1工程背景305.2工程需求31第6章網(wǎng)絡平安的現(xiàn)狀與展望336.1現(xiàn)階段網(wǎng)絡平安技術的局限性336.2防火墻技術開展趨勢336.3入侵檢測技術開展趨勢346.4防病毒技術開展趨勢35參考文獻39-.z..--.可修編.第1章概述隨著互聯(lián)網(wǎng)的飛速開展，網(wǎng)絡平安逐漸成為一個潛在的巨大問題。網(wǎng)絡平安性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程效勞的人。平安性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。大多數(shù)平安性問題的出現(xiàn)都是由于有惡意的人試圖獲得*種好處或損害*些人而成心引起的?？梢钥闯霰ＷC網(wǎng)絡平安不僅僅是使它沒有編程錯誤。它包括要防*那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。因此網(wǎng)絡的平安變得尤為重要，防火墻的出現(xiàn)使得這一局面開場變得更加穩(wěn)定，各種各樣的攻擊開場被防火墻阻止在外，以保證網(wǎng)絡的平安性。但是隨著網(wǎng)絡攻擊的日益復雜，防火墻的防攻擊手段越來越多，因此對于防火本身的處理復雜數(shù)據(jù)的能力出現(xiàn)了隱患。1.1網(wǎng)絡平安體系介紹每個網(wǎng)絡都必須建立起自己的網(wǎng)絡平安體系構造(NSA，NetworkSecurityArchitecture)，包括完善的網(wǎng)絡信息訪問控制策略、**數(shù)據(jù)通信平安與保護策略、災難恢復規(guī)劃、對犯罪攻擊的預防檢測等。一個平安系統(tǒng)的建立涉及的因素很多，是一個龐大的系統(tǒng)工程。一般情況下，采取以下需要措施。(1)物理措施例如，保護網(wǎng)絡關鍵設備(如交換機、大型計算機等)，制定嚴格的網(wǎng)絡平安規(guī)章制度，采取防輻射、防火等措施。(2)訪問控制對用戶訪問網(wǎng)絡資源的權限進展嚴格的認證和控制。例如，進展用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的權限，控制網(wǎng)絡設備配置的權限，等等。(3)數(shù)據(jù)加密加密是保護數(shù)據(jù)平安的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。(4)防止計算機網(wǎng)絡病毒病毒對計算機網(wǎng)絡的危害越來越嚴重，必須引起高度重視。1988年11月3日，美國康乃爾大學一年級研究生羅特·莫里斯編制的稱為"蠕蟲〞的計算機病毒通過Internet網(wǎng)大面積傳播，致使6000多臺主機被感染，直接經濟損失超過6000萬美元。(5)其他措施其他措施包括容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等。近年來，圍繞網(wǎng)絡平安問題提出了許多解決方法，例如數(shù)據(jù)加密技術和防火墻技術等。數(shù)據(jù)加密是對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進展加密，到達目的地后再解密復原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術是通過對網(wǎng)絡的隔離和限制訪問等方法來控制網(wǎng)絡的訪問權限，從而保護網(wǎng)絡資源。其他平安技術包括密鑰管理、數(shù)字簽名、認證技術、智能卡技術和訪問控制等。1.2網(wǎng)絡平安與防火墻所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.是一種獲取平安性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個平安網(wǎng)關〔SecurityGateway〕，從而保護內部網(wǎng)免受非法用戶的侵入。該局域網(wǎng)內所有的計算機流入流出多的所有網(wǎng)絡通信均要經過防火墻。防火墻、IDS、IPS，是解決網(wǎng)絡平安問題的根底設備，他們所具備的過濾、平安功能能夠抵抗大多數(shù)來自外網(wǎng)的攻擊。配備這些傳統(tǒng)的網(wǎng)絡防護設備，實現(xiàn)面向網(wǎng)絡層的訪問控制，是企業(yè)平安上網(wǎng)的前提。第2章防火墻的概念2.1防火墻概述防火墻的定義所謂"防火墻〞，指的就是一種被放置在自己的計算機與外界網(wǎng)絡之間的防御系統(tǒng)，從網(wǎng)絡發(fā)往計算機的所有數(shù)據(jù)都要經過它的判斷處理后，才會決定能不能把這些數(shù)據(jù)交給計算機，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會攔截下來，實現(xiàn)了對計算機的保護功能。進出內部網(wǎng)的數(shù)據(jù)流都必須通過防火墻圖2.1數(shù)據(jù)流通過防火墻示意圖2．只有符合平安策略的數(shù)據(jù)流才能通過防火墻3．防火墻自身應該能夠防止?jié)B透2.1.2為什么使用防火墻防火墻只在已授權和未授權通信之間做出決斷。如果周圍沒有防火墻，平安就完全仰仗主機自身了。而整個系統(tǒng)的平安將由系統(tǒng)中平安性最差的主機所決定。網(wǎng)絡越大，把網(wǎng)絡內所有主機維護至同樣高的平安水平就越復雜。假設一時粗心，就會因簡單的配置錯誤或未能修補所有漏洞導致入侵的發(fā)生。企業(yè)的系統(tǒng)和數(shù)據(jù)有以下三個方面受到防火墻保護：**性的風險包括未經授權就訪問敏感數(shù)據(jù)或數(shù)據(jù)的過早泄露。數(shù)據(jù)完整性的風險包括未經授權就對數(shù)據(jù)進展修改，例如財務信息、產品特性或*上商品的價格。可用性的風險系統(tǒng)可用性保證系統(tǒng)可以適時地為用戶效勞。2.1.3防火墻的功能防火墻的主要功能，一般來說主要有以下幾個方面：隔離不同的網(wǎng)絡，防止內部信息的泄露強化網(wǎng)絡平安策略創(chuàng)立一個阻塞點包過濾有效地監(jiān)控、審計和記錄內、外部網(wǎng)絡上的活動流量控制和統(tǒng)計分析、流量計費NAT〔網(wǎng)絡地址轉換〕VPN〔虛擬專用網(wǎng)〕URL級信息過濾殺毒技術〔10〕其他特殊功能2.2防火墻的分類2.2.1按防火墻技術分類〔1〕包過濾〔Packetfiltering〕技術〔2〕應用代理網(wǎng)關技術〔3〕狀態(tài)檢測技術〔4〕復合型防火墻技術(1)．包過濾〔Packetfiltering〕技術包過濾防火墻工作在網(wǎng)絡層，對數(shù)據(jù)包的源及目地IP具有識別和控制作用，對于傳輸層，也只能識別數(shù)據(jù)包是TCP還是UDP及所用的端口信息，現(xiàn)在的路由器、SwitchRouter以及*些操作系統(tǒng)已經具有用PacketFilter控制的能力。由于只對數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進展分析，包過濾防火墻的處理速度較快，并且易于配置。包過濾防火墻具有根本的缺陷：〔1〕不能防*黑客攻擊〔2〕不支持應用層協(xié)議〔3〕不能處理新的平安威脅(2)．應用代理網(wǎng)關技術應用代理網(wǎng)關防火墻徹底隔斷內網(wǎng)與外網(wǎng)的直接通信，內網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，然后再由防火墻轉發(fā)給內網(wǎng)用戶。所有通信都必須經應用層代理軟件轉發(fā)，訪問者任何時候都不能與效勞器建立直接的TCP連接，應用層的協(xié)議會話過程必須符合代理的平安策略要求。優(yōu)點：可以檢查應用層、傳輸層和網(wǎng)絡層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比擬強。缺點也非常突出，主要有：〔1〕難于配置〔2〕處理速度非常慢(3)．狀態(tài)檢測技術狀態(tài)檢測防火墻摒棄了包過濾防火墻僅考察數(shù)據(jù)包的IP地址等幾個參數(shù)，而不關心數(shù)據(jù)包連接狀態(tài)變化的缺點，在防火墻的核心局部建立狀態(tài)連接表，并將進出網(wǎng)絡的數(shù)據(jù)當成一個個的會話，利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力，如圖2.2所示。圖2.2狀態(tài)檢測防火墻工作原理圖(4)．復合型防火墻技術復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。圖2.3復合型防火墻工作原理圖(5)．四類防火墻技術的比照包過濾防火墻：包過濾防火墻不檢查數(shù)據(jù)區(qū)，包過濾防火墻不建立連接狀態(tài)表，前后報文無關，應用層控制很弱。應用代理網(wǎng)關防火墻：不檢查IP、TCP報頭，不建立連接狀態(tài)表，網(wǎng)絡層保護比擬弱。狀態(tài)檢測防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報文相關，應用層控制很弱。復合型防火墻：可以檢查整個數(shù)據(jù)包內容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡層保護強，應用層控制細，會話控制較弱。2.2.2按防火墻應用部署位置分類按照這種分類標準又可以將防火墻劃分為：邊界防火墻個人防火墻3.混合型防火墻2.2.3按防火墻性能分類如果按防火墻的性能來分可以分為：1.百兆級防火墻2.千兆級防火墻2.3防火墻在網(wǎng)絡中的連接1.連接局域網(wǎng)和廣域網(wǎng)2.連接內部網(wǎng)和第三方網(wǎng)絡3.連接不同子網(wǎng)2.3.1連接局域網(wǎng)和廣域網(wǎng)(1)．用戶網(wǎng)絡已存在邊界路由器圖2.4邊界路由器示意圖〔2〕．用戶網(wǎng)絡不存在邊界路由器圖2.5不存在邊界路由器的示意圖2.3.2連接內部網(wǎng)和第三方網(wǎng)絡這種連接方式對于一般規(guī)模的網(wǎng)絡應用不是很多，但是在大型企事業(yè)計算機網(wǎng)絡中，往往有多個合作伙伴或者社會構造，此時就需要用到這種連接方式圖2.6內網(wǎng)與外網(wǎng)連接示意圖2.3.3連接不同子網(wǎng)這種連接方式在平安性要求較高的企業(yè)網(wǎng)絡中比擬常見，例如跨國公司等，公司內部網(wǎng)絡包含多個部門的子網(wǎng)絡，而有些局域網(wǎng)的數(shù)據(jù)是不允許其他用戶訪問的，因此，就要在這些局域網(wǎng)中設置防火墻進展隔離。圖2.7防火墻隔離示意圖2.4典型硬件防火墻產品推介〔1〕.國內硬件防火墻產品推介產品名稱：天融信NGFW4000-UF(TG-5366)防火墻硬件配置：標配4個10/100/1000BASE-T千兆電口、6個千兆SFP擴展接口、2個10/100BASE-T端口。適合企業(yè)：大中型企業(yè)級防火墻。圖2.8天融信NGFW4000-UF(TG-5366)防火墻產品名稱：H3CSecPathF1000-S-AC防火墻硬件配置：1個配置口〔CON〕、1個備份口〔AU*〕、2個10/100/1000M以太網(wǎng)口〔支持光口或者電口〕、2個10/100/1000M以太網(wǎng)口〔支持電口〕、2個MIM插槽。適合企業(yè)：大中型企業(yè)級防火墻。圖2.9H3CSecPathF1000-S-AC防火墻產品名稱：RG-WALL1600千兆防火墻/VPN網(wǎng)關硬件配置：固化4個10/100/1000BaseT端口+4個SFP端口。適合企業(yè)：大中型企業(yè)級防火墻。圖2.10RG-WALL1600千兆防火墻/VPN網(wǎng)關(2)．國外硬件防火墻產品推介產品名稱：CiscoSecurePI*515-E防火墻硬件配置：它具有一個集成化的VAC，64MB的RAM，最多可以支持六個10/100快速以太網(wǎng)接口。適合企業(yè)：中小型企業(yè)級防火墻。圖2.11CiscoSecurePI*515-E防火墻產品名稱：JuniperNetScreen208防火墻硬件配置：具有8個自適應10/100M以太網(wǎng)端口。適合企業(yè)：大中型企業(yè)級防火墻。圖2.12JuniperNetScreen208防火墻2.5防火墻最新技術及開展隨著新的網(wǎng)絡攻擊的出現(xiàn)，防火墻技術也有一些新的開展趨勢。這主要可以從：1.包過濾技術2.防火墻體系構造3.防火墻系統(tǒng)管理三方面來表達2.5.1防火墻包過濾技術開展趨勢1．加強了用戶身份認證2．多級過濾技術3．使防火墻具有病毒防護功能。2.5.2防火墻的體系構造開展趨勢隨著網(wǎng)絡應用的增加，對網(wǎng)絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。2.5.3防火墻的系統(tǒng)管理開展趨勢防火墻的系統(tǒng)管理也有一些開展趨勢，主要表達在以下幾個方面：1．首先是集中式管理，分布式和分層的平安構造是將來的趨勢2．強大的審計功能和自動日志分析功能3．網(wǎng)絡平安產品的系統(tǒng)化第3章防火墻在中小企業(yè)網(wǎng)中的應用3.1中小企業(yè)網(wǎng)絡面臨的平安風險3.1.1內部竊密和破壞企業(yè)網(wǎng)絡上同時接入了所有部門的網(wǎng)絡系統(tǒng)，因此容易出現(xiàn)部門內不懷好意的人員〔或外部非法人員利用公司內*部門的計算機〕通過網(wǎng)絡進入內部網(wǎng)絡，并進一步竊取和破壞其中的重要信息〔如領導的網(wǎng)絡賬號和口令、重要文件等〕。3.1.2網(wǎng)絡竊聽攻擊者可以采用如Sniffer等網(wǎng)絡協(xié)議分析工具，在INTERNET網(wǎng)絡平安的薄弱處進入INTERNET，并非常容易地在信息傳輸過程中獲取所有信息〔尤其是敏感信息〕的內容。假冒企業(yè)網(wǎng)內部用戶，也可能來自INTERNET內的其它用戶。如系統(tǒng)內部攻擊者偽裝成系統(tǒng)內部的其他正確用戶。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網(wǎng)絡內的重要信息。或者內部用戶通過假冒的方式獲取其不能閱讀的秘密信息。3.1.4完整性破壞信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實性，從而變得不能用或造成廣泛的負面影響。由于企業(yè)網(wǎng)內有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡對沒有采取平安措施的效勞器上的重要文件進展修改或傳達一些虛假信息，從而影響工作的正常進展。3.1.5其它網(wǎng)絡的攻擊企業(yè)網(wǎng)絡系統(tǒng)是接入到INTERNET上的，這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡攻擊，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)效勞嚴重降低或癱瘓等。3.1.6管理及操作人員缺乏平安知識由于信息和網(wǎng)絡技術開展迅猛，信息的應用和平安技術相對滯后，用戶在引入和采用平安設備和系統(tǒng)時，缺乏全面和深入的培訓和學習，對信息平安的重要性與技術認識缺乏，很容易使平安設備/系統(tǒng)成為擺設，不能使其發(fā)揮正確的作用。如本來對*些通信和操作需要限制，為了方便，設置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡漏洞。由于網(wǎng)絡平安產品的技術含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使平安設備能夠盡量發(fā)揮其作用，防止使用上的漏洞。3.1.7雷擊由于網(wǎng)絡系統(tǒng)中涉及很多的網(wǎng)絡設備、終端、線路等，而這些都是通過通信電纜進展傳輸，因此極易受到雷擊，造成連鎖反響，使整個網(wǎng)絡癱瘓，設備損壞，造成嚴重后果。因此，為防止遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網(wǎng)絡系統(tǒng)采取相應的防雷措施。3.2企業(yè)防火墻選購三要素防火墻通常是運行在一臺單獨計算機之上的一個特別的效勞軟件，用來保護由許多臺，計算機組成的內部網(wǎng)絡,它使企業(yè)的網(wǎng)絡規(guī)劃清晰明了，它可以識別并屏蔽非法請求，有效防止跨越權限的數(shù)據(jù)訪問。它既可以是非常簡單的過濾器，也可能是精心配置的網(wǎng)關，但它們的原理是一樣的，都是監(jiān)測并過濾所有內部網(wǎng)和外部網(wǎng)之間的信息交換。在市場上，防火墻的售價極為懸殊，從幾萬元到數(shù)十萬元，甚至到百萬元。因為各企業(yè)用戶使用的平安程度不盡一樣，因此廠商所推出的產品也有所區(qū)分，甚至有些公司還推出類似模塊化的功能產品，以符合各種不同企業(yè)的平安要求。當一個企業(yè)或組織決定采用防火墻來實施保衛(wèi)自己內部網(wǎng)絡的平安策略之后，下一步要做的事情就是選擇一個平安、實惠、適宜的防火墻。第一要素：防火墻的根本功能防火墻系統(tǒng)可以說是網(wǎng)絡的第一道防線，因此一個企業(yè)在決定使用防火墻保護內部網(wǎng)絡的平安時，它首先需要了解一個防火墻系統(tǒng)應具備的根本功能，這是用戶選擇防火墻產品的依據(jù)和前提。一個成功的防火墻產品應該具有下述根本功能：防火墻的設計謀略應遵循平安防*的根本原則——"除非明確允許，否則就制止〞防火墻本身支持平安策略，而不是添加上去的；如果組織機構的平安策略發(fā)生改變，可以參加新的效勞；有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法；如果需要，可以運用過濾技術允許和制止效勞；可以使用FTP和Telnet等效勞代理，以便先進的認證手段可以被安裝和運行在防火墻上；擁有界面友好、易于編程的IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質進展包過濾，數(shù)據(jù)包的性質有目標和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡接口等。如果用戶需要NNTP〔網(wǎng)絡消息傳輸協(xié)議〕、*Window、HTTP和Gopher等效勞，防火墻應該包含相應的代理效勞程序。防火墻也應具有集中的功能，以減少SMTP效勞器和外界效勞器的直接連接，并可以集中處理整個站點的電子。防火墻應允許，公眾對站點的訪問，應把信息效勞器和其他內部效勞器分開。防火墻應該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡流量和可疑的活動。此外，為了使日志具有可讀性，防火墻應具有精簡日志的能力。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內部使用的操作系統(tǒng)一樣，但在防火墻上運行一個管理員熟悉的操作系統(tǒng)會使管理變得簡單。防火墻的強度和正確性應該可被驗證，設計盡量簡單，以便管理員理解和維護。防火墻和相應的操作系統(tǒng)應該用補丁程序進展升級且升級必須定期進展。正像前面提到的那樣，Internet每時每刻都在發(fā)生著變化，新的易攻擊點隨時可能會產生。當新的危險出現(xiàn)時，新的效勞和升級工作可能會對防火墻的安裝產生潛在的阻力，因此防火墻的可適應性是很重要的。3.2.2第二要素：企業(yè)的特殊要求企業(yè)平安政策中往往有些特殊需求不是每一個防火墻都會提供的，這方面常會成為選擇防火墻的考慮因素之一，常見的需求如下：網(wǎng)絡地址轉換功能(NAT)進展地址轉換有兩個好處：其一是隱藏內部網(wǎng)絡真正的IP，這可以使黑客無法直接攻擊內部網(wǎng)絡，這也是筆者之所以要強調防火墻自身平安性問題的主要原因；另一個好處是可以讓內部使用保存的IP，這對許多IP缺乏的企業(yè)是有益的。雙重DNS當內部網(wǎng)絡使用沒有注冊的IP地址，或是防火墻進展IP轉換時，DNS也必須經過轉換，因為，同樣的一個主機在內部的IP與給予外界的IP將會不同，有的防火墻會提供雙重DNS，有的則必須在不同主機上各安裝一個DNS。虛擬專用網(wǎng)絡(VPN)VPN可以在防火墻與防火墻或移動的客戶端之間對所有網(wǎng)絡傳輸?shù)膬热菁用埽⒁粋€虛擬通道，讓兩者感覺是在同一個網(wǎng)絡上，可以平安且不受拘束地互相存取。掃毒功能大局部防火墻都可以與防病毒軟件搭配實現(xiàn)掃毒功能，有的防火墻則可以直接集成掃毒功能，差異只是掃毒工作是由防火墻完成，或是由另一臺專用的計算機完成。特殊控制需求有時候企業(yè)會有特別的控制需求，如限制特定使用者才能發(fā)送，F(xiàn)TP只能下載文件不能上傳文件，限制同時上網(wǎng)人數(shù)，限制使用時間或阻塞Java、Active*控件等，需求不同而定。第三要素：與用戶網(wǎng)絡結合(1)管理的難易度防火墻管理的難易度是防火墻能否到達目的的主要考慮因素之一。一般企業(yè)之所以很少以已有的網(wǎng)絡設備直接當作防火墻的原因，除了先前提到的包過濾，并不能到達完全的控制之外，設定工作困難、須具備完整的知識以及不易出錯等管理問題，更是一般企業(yè)不愿意使用的主要原因。(2)自身的平安性大多數(shù)人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種效勞，但往往忽略了一點，防火墻也是網(wǎng)絡上的主機之一，也可能存在平安問題，防火墻如果不能確保自身平安，則防火墻的控制功能再強，也終究不能完全保護內部網(wǎng)絡。大局部防火墻都安裝在一般的操作系統(tǒng)上，如Uni*、NT系統(tǒng)等。在防火墻主機上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來自于操作系統(tǒng)本身的原有程序。當防火墻主機上所執(zhí)行的軟件出現(xiàn)平安漏洞時，防火墻本身也將受到威脅。此時，任何的防火墻控制機制都可能失效，因為當一個黑客取得了防火墻上的控制權以后，黑客幾乎可為所欲為地修改防火墻上的訪問規(guī)則，進而侵入更多的系統(tǒng)。因此防火墻自身應有相當高的平安保護。(3)完善的售后效勞我們認為，用戶在選購防火墻產品時，除了從以上的功能特點考慮之外，還應該注意好的防火墻應該是企業(yè)整體網(wǎng)絡的保護者，并能彌補其它操作系統(tǒng)的缺乏，使操作系統(tǒng)的平安性不會對企業(yè)網(wǎng)絡的整體平安造成影響。防火墻應該能夠支持多種平臺，因為使用者才是完全的控制者，而使用者的平臺往往是多種多樣的，它們應選擇一套符合現(xiàn)有環(huán)境需求的防火墻產品。由于新產品的出現(xiàn)，就會有人研究新的破解方法，所以好的防火墻產品應擁有完善及時的售后效勞體系。(4)完整的平安檢查好的防火墻還應該向使用者提供完整的平安檢查功能，但是一個平安的網(wǎng)絡仍必須依靠使用者的觀察及改良，因為防火墻并不能有效地杜絕所有的惡意封包，企業(yè)想要到達真正的平安仍然需要內部人員不斷記錄、改良、追蹤。防火墻可以限制唯有合法的使用者才能進展連接，但是否存在利用合法掩護非法的情形仍需依靠管理者來發(fā)現(xiàn)。第4章企業(yè)網(wǎng)網(wǎng)絡平安總體設計根據(jù)企業(yè)各級內部網(wǎng)絡機構、廣域網(wǎng)構造、和三級網(wǎng)絡管理、應用業(yè)務系統(tǒng)的特點，本方案主要從以下幾個方面進展平安設計：網(wǎng)絡系統(tǒng)平安；應用系統(tǒng)平安；物理平安；平安管理；4.1平安設計總體考慮根據(jù)企業(yè)網(wǎng)絡現(xiàn)狀及開展趨勢，主要平安措施從以下幾個方面進展考慮：〔1〕網(wǎng)絡傳輸保護主要是數(shù)據(jù)加密保護主要網(wǎng)絡平安隔離通用措施是采用防火墻〔2〕網(wǎng)絡病毒防護采用網(wǎng)絡防病毒系統(tǒng)廣域網(wǎng)接入局部的入侵檢測采用入侵檢測系統(tǒng)〔3〕系統(tǒng)漏洞分析采用漏洞分析設備〔4〕定期平安審計主要包括兩局部：內容審計和網(wǎng)絡通信審計〔5〕重要數(shù)據(jù)的備份重要信息點的防電磁泄露〔6〕網(wǎng)絡平安構造的可伸縮性包括平安設備的可伸縮性，即能根據(jù)用戶的需要隨時進展規(guī)模、功能擴展網(wǎng)絡防雷4.2網(wǎng)絡平安作為企業(yè)應用業(yè)務系統(tǒng)的承載平臺，由于許多重要的信息都通過網(wǎng)絡進展交換，網(wǎng)絡系統(tǒng)的平安顯得尤為重要。4.2.1網(wǎng)絡傳輸由于企業(yè)中心內部網(wǎng)絡存在兩套網(wǎng)絡系統(tǒng)，其中一套為企業(yè)內部網(wǎng)絡，主要運行的是內部辦公、業(yè)務系統(tǒng)等；另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內部的上、下級機構網(wǎng)絡相連。通過公共線路建立跨越INTERNET的企業(yè)集團內部局域網(wǎng)，并通過網(wǎng)絡進展數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的平安保護，如果不采取相應的平安措施，易受到來自網(wǎng)絡上任意主機的監(jiān)聽而造成重要信息的泄密或非法篡改，產生嚴重的后果。由于現(xiàn)在越來越多的政府、金融機構、企業(yè)等用戶采用VPN技術來構建它們的跨越公共網(wǎng)絡的內聯(lián)網(wǎng)系統(tǒng)，因此解決方案中對網(wǎng)絡傳輸平安局部推薦采用VPN設備來構建內聯(lián)網(wǎng)。可在每級管理域內設置一套VPN設備，由VPN設備實現(xiàn)網(wǎng)絡傳輸?shù)募用鼙Ｗo。根據(jù)企業(yè)三級網(wǎng)絡構造，VPN設置如下列圖所示：圖4.1三級VPN設置拓撲圖每一級的設置及管理方法一樣。即在每一級的中心網(wǎng)絡安裝一臺VPN設備和一臺VPN認證效勞器〔VPN-CA〕，在所屬的直屬單位的網(wǎng)絡接入處安裝一臺VPN設備，由上級的VPN認證效勞器通過網(wǎng)絡對下一級的VPN設備進展集中統(tǒng)一的網(wǎng)絡化管理。可到達以下幾個目的：〔1〕網(wǎng)絡傳輸數(shù)據(jù)保護由安裝在網(wǎng)絡上的VPN設備實現(xiàn)各內部網(wǎng)絡之間的數(shù)據(jù)傳輸加密保護，并可同時采取加密或隧道的方式進展傳輸網(wǎng)絡隔離保護；與INTERNET進展隔離，控制內網(wǎng)與INTERNET的相互訪問(2)集中統(tǒng)一管理，提高網(wǎng)絡平安性(3)降低本錢〔設備本錢和維護本錢〕其中，在各級中心網(wǎng)絡的VPN設備設置如下列圖：圖4.2中心網(wǎng)絡VPN設置圖由一臺VPN管理機對CA、中心VPN設備、分支機構VPN設備進展統(tǒng)一網(wǎng)絡管理。將對外效勞器放置于VPN設備的DMZ口與內部網(wǎng)絡進展隔離，制止外網(wǎng)直接訪問內網(wǎng)，控制內網(wǎng)的對外訪問、記錄日志。這樣即使效勞器被攻破，內部網(wǎng)絡仍然平安。下級單位的VPN設備放置如下列圖所示：圖4.3下級單位VPN設置圖從圖4.3可知，下屬機構的VPN設備放置于內部網(wǎng)絡與路由器之間，其配置、管理由上級機構通過網(wǎng)絡實現(xiàn)，下屬機構不需要做任何的管理，僅需要檢查是否通電即可。由于平安設備屬于特殊的網(wǎng)絡設備，其維護、管理需要相應的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構的維護本錢和對專業(yè)技術人員的要求，這對有著龐大下屬、分支機構的單位來講將是一筆不小的費用。由于網(wǎng)絡平安的是一個綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的平安產品就能解決，因此對平安設備的管理就顯得尤為重要。由于一般的平安產品在管理上是各自管理，因而很容易因為*個設備的設置不當，而使整個網(wǎng)絡出現(xiàn)重大的平安隱患。而用戶的技術人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象；同時，每個維護人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網(wǎng)絡中斷。所以，在平安設備的選擇上應中選擇可以進展網(wǎng)絡化集中管理的設備，這樣，由少量的專業(yè)人員對主要平安設備進展管理、配置，提高整體網(wǎng)絡的平安性和穩(wěn)定性。4.2.2訪問控制企業(yè)廣域網(wǎng)網(wǎng)絡局部通過公共網(wǎng)絡建立，其在網(wǎng)絡上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)效勞嚴重降低或癱瘓等，因此，采取相應的平安措施是必不可少的。通常，對網(wǎng)絡的訪問控制最成熟的是采用防火墻技術來實現(xiàn)的，選擇帶防火墻功能的VPN設備來實現(xiàn)網(wǎng)絡平安隔離，可滿足以下幾個方面的要求：控制外部合法用戶對內部網(wǎng)絡的網(wǎng)絡訪問；控制外部合法用戶對效勞器的訪問；制止外部非法用戶對內部網(wǎng)絡的訪問；控制內部用戶對外部網(wǎng)絡的網(wǎng)絡；阻止外部用戶對內部的網(wǎng)絡攻擊；防止內部主機的IP欺騙；對外隱藏內部IP地址和網(wǎng)絡拓撲構造；網(wǎng)絡監(jiān)控；網(wǎng)絡日志審計；由于采用防火墻、VPN技術融為一體的平安設備，并采取網(wǎng)絡化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：管理、維護簡單、方便；平安性高〔可有效降低在平安設備使用上的配置漏洞〕；硬件本錢和維護本錢低；網(wǎng)絡運行的穩(wěn)定性更高。由于是采用一體化設備，比之傳統(tǒng)解決方案中采用防火墻和加密機器兩個設備而言，其穩(wěn)定性更高，故障率更低。4.2.3入侵檢測網(wǎng)絡平安不可能完全依靠單一產品來實現(xiàn)，網(wǎng)絡平安是個整體的，必須配應相應的平安產品。作為必要的補充，入侵檢測系統(tǒng)〔IDS〕可與平安VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和預見性的攻擊手段的信息代碼對進出網(wǎng)絡的所有操作行為進展實時監(jiān)控、記錄，并按制定的策略實行響應〔阻斷、報警、發(fā)送〕。從而防止針對網(wǎng)絡的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器〔網(wǎng)絡引擎〕。控制臺用作制定及管理所有探測器〔網(wǎng)絡引擎〕。探測器〔網(wǎng)絡引擎〕用作監(jiān)聽進出網(wǎng)絡的訪問行為，根據(jù)控制臺的指令執(zhí)行相應行為。由于探測器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應用不會對網(wǎng)絡系統(tǒng)性能造成多大影響。入侵檢測系統(tǒng)的設置如下列圖：圖4.4入侵檢測系統(tǒng)示意圖從上圖可知，入侵檢測儀在網(wǎng)絡接如上，與VPN設備并接使用。入侵檢測儀在使用上是獨立網(wǎng)絡使用的，網(wǎng)絡數(shù)據(jù)全部通過VPN設備，而入侵檢測設備在網(wǎng)絡上進展疹聽，監(jiān)控網(wǎng)絡狀況，一旦發(fā)現(xiàn)攻擊行為將通過報警、通知VPN設備中斷網(wǎng)絡〔即IDS與VPN聯(lián)動功能〕等方式進展控制〔即平安設備自適應機制〕，最后將攻擊行為進展日志記錄以供以后審查。4.2.4漏洞掃描為一個完善的通用平安系統(tǒng)，應當包含完善的平安措施，定期的平安評估及平安分析同樣相當重要。由于網(wǎng)絡平安系統(tǒng)在建立后并不是長期保持很高的平安性，而是隨著時間的推移和技術的開展而不斷下降的，同時，在使用過程中會出現(xiàn)新的平安問題，因此，作為平安系統(tǒng)建立的補充，采取相應的措施也是必然。采用漏洞掃描設備對網(wǎng)絡系統(tǒng)進展定期掃描，對存在的系統(tǒng)漏洞、網(wǎng)絡漏洞、應用程序漏洞、操作系統(tǒng)漏洞等進展探測、掃描，發(fā)現(xiàn)相應的漏洞并告警，自動提出解決措施，或參考意見，提醒網(wǎng)絡平安管理員作好相應調整。4.3應用系統(tǒng)平安策略系統(tǒng)平臺平安企業(yè)各級網(wǎng)絡系統(tǒng)平臺平安主要是指操作系統(tǒng)的平安。由于目前主要的操作系統(tǒng)平臺是建立在國外產品的根底上，因而存在很大的平安隱患。企業(yè)網(wǎng)絡系統(tǒng)在主要的應用效勞平臺中采用國內自主開發(fā)的平安操作系統(tǒng)，針對通用OS的平安問題，對操作系統(tǒng)平臺的登錄方式、文件系統(tǒng)、網(wǎng)絡傳輸、平安日志審計、加密算法及算法替換的支持和完整性保護等方面進展平安改造和性能增強。一般用戶運行在PC機上的NT平臺，在選擇性地用好NT平安機制的同時，應加強監(jiān)控管理。4.3.2應用平臺平安企業(yè)網(wǎng)絡系統(tǒng)的應用平臺平安，一方面涉及用戶進入系統(tǒng)的身份鑒別與控制，以及使用網(wǎng)絡資源的權限管理和訪問控制，對平安相關操作進展的審計等。其中的用戶應同時包括各級管理員用戶和各類業(yè)務用戶。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、效勞、效勞、FTP和TELNET應用中效勞器系統(tǒng)自身的平安以及提供效勞的平安。在選擇這些應用系統(tǒng)時，應當盡量選擇國內軟件開發(fā)商進展開發(fā)，系統(tǒng)類型也應當盡量采用國內自主開發(fā)的應用系統(tǒng)。4.3.3病毒防護因為病毒在網(wǎng)絡中存儲、傳播、感染的方式各異途徑多種多樣，相應地企業(yè)在構建網(wǎng)絡防病毒系統(tǒng)時，應利用全方位的企業(yè)防毒產品，實施"層層設防、集中控制、以防為主、防殺結合〞的策略。具體而言，就是針對網(wǎng)絡中所有可能的病毒攻擊設置對應的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。本方案中在選擇殺毒軟件時應當注意幾個方面的要求：具有卓越的病毒防治技術、程序內核平安可靠、對付國產和國外病毒能力超群、全中文產品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產品集成度高、高可靠性、可調配系統(tǒng)資源占用率、便捷的網(wǎng)絡化自動升級等優(yōu)點。病毒對信息系統(tǒng)的正常工作運行產生很大影響，據(jù)統(tǒng)計，信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。4.3.4系統(tǒng)設計原則為了更好的解決病毒的防*，一般要求病毒防*系統(tǒng)滿足如下要求：采用世界最先進的防毒產品與網(wǎng)絡網(wǎng)絡系統(tǒng)的實際需要相結合，確保網(wǎng)絡系統(tǒng)具有最正確的病毒防護能力的情況下，綜合本錢最少。貫徹"層層設防，集中控管，以防為主、防治結合〞的企業(yè)防毒策略。在網(wǎng)絡中所有可能的病毒攻擊點或通道中設置對應的防病毒軟件，通過這種全方位的、多層次的防毒系統(tǒng)配置，使企業(yè)網(wǎng)絡免遭所有病毒的入侵和危害。充分考慮網(wǎng)絡的系統(tǒng)數(shù)據(jù)、文件的平安可靠性，所選產品與現(xiàn)在系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對現(xiàn)有系統(tǒng)運行產生不良影響。應用全球最為先進的"實時監(jiān)控〞技術，充分表達趨勢科技"以防為主〞的反病毒思想。所選用產品具備對多種壓縮格式文件的病毒檢測。所選用產品易于安裝、操作簡便、便于管理和維護，具有友好的用戶界面。應用經由ICSA〔國際電腦平安協(xié)會〕技術認證的掃描引擎，保證對包括各種千面人病毒、變種病毒和黑客程序等具有最正確的病毒偵測率，除對病毒具備全面的反偵察防能力，對未知病毒亦有良好的偵測能力。強調在網(wǎng)絡防毒系統(tǒng)內，實施統(tǒng)一的防病毒策略、集中的防毒管理和維護，最大限度地減輕使用人員和維護人員的工作量。完全自動化的日常維護，便于進展病毒及掃描引擎的更新。提供良好的售后效勞及技術支持。具有良好的可擴大性，充分保護用戶的現(xiàn)有投資，適應網(wǎng)絡系統(tǒng)的今后開展需要4.3.5產品應用根據(jù)企業(yè)網(wǎng)絡系統(tǒng)的構造和應用特點，病毒防御可采取多種措施：網(wǎng)關防毒；效勞器防毒；客戶端防毒；防毒；應用拓撲如下列圖：圖4.5病毒應用拓撲圖在網(wǎng)絡骨干接入處，安裝防毒墻〔即安裝有網(wǎng)關殺毒軟件的獨立網(wǎng)關設備〕，由防火墻實現(xiàn)網(wǎng)絡接入處的病毒防護。由于是安裝在網(wǎng)絡接入處，因此，對主要網(wǎng)絡協(xié)議進展殺毒處理〔SMTP、FTP、HTTP〕。在效勞器上安裝單獨的效勞器殺毒產品，對效勞器進展病毒保護。由于內部存在幾十個網(wǎng)絡客戶端，如采用普通殺毒軟件會造成升級麻煩、使用不便等問題。可在效勞器上安裝客戶端防病毒產品〔客戶端殺毒軟件的工作模式是效勞器端、客戶端的方式〕的效勞器端，由客戶端通過網(wǎng)絡與效勞器端連接后進展網(wǎng)絡化安裝。對產品升級，可通過在效勞器端進展設置，自動通過INETRNET進展升級，再由客戶端到效勞器端進展升級，大大簡化升級過程，并且整個升級是自動完成，不需要人工操作。對系統(tǒng)，可采取安裝專用殺毒產品，通過在效勞器上安裝殺毒程序，實現(xiàn)對內部的殺毒，保證在收、發(fā)時都是經過檢查的，確保無毒。通過這種方法，可以到達層層設防的作用，最終實現(xiàn)病毒防護。4.3.6數(shù)據(jù)備份作為國家機關，企業(yè)內部存在大量的數(shù)據(jù)，而這里面又有許多重要的、**的信息。而整個數(shù)據(jù)的平安保護就顯得特別重要，對數(shù)據(jù)進展定期備份是必不可少的平安措施。在采取數(shù)據(jù)備份時應該注意以下幾點：存儲介質平安在選擇存儲介質上應選擇保存時間長，對環(huán)境要求低的存儲產品，并采取多種存儲介質備份。如同時采用硬盤、光盤備份的方式。數(shù)據(jù)平安即數(shù)據(jù)在備份前是真實數(shù)據(jù)，沒有經過篡改或含有病毒。備份過程平安確保數(shù)據(jù)在備份時是沒有受到外界任何干擾，包括因異常斷電而使數(shù)據(jù)備份中斷的或其它情況。備份數(shù)據(jù)的保管對存有備份數(shù)據(jù)的存儲介質，應保存在平安的地方，防火、防盜及各種災害，并注意保存環(huán)境〔溫度、濕度等〕的正常。同時對特別重要的備份數(shù)據(jù)，還應當采取異地備份保管的方式，來確保數(shù)據(jù)平安。對重要備份數(shù)據(jù)的異地、多處備份〔防止類似美國911事件為各公司產生的影響〕4.3.7平安審計作為一個良好的平安系統(tǒng)，平安審計必不可少。由于企業(yè)網(wǎng)是一個非常龐大的網(wǎng)絡系統(tǒng)，因而對整個網(wǎng)絡〔或重要網(wǎng)絡局部〕運行進展記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數(shù)據(jù)進展分析、比擬，找出發(fā)生的網(wǎng)絡平安問題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡平安調整提供依據(jù)。4.3.8認證、鑒別、數(shù)字簽名、抗抵賴由于企業(yè)網(wǎng)絡系統(tǒng)龐大，上面存在很多分級的重要信息；同時，由于現(xiàn)在國家正在大力推進電子政務的開展，網(wǎng)上辦公已經越來越多的被應用到各級政府部門當中，因此，需要對網(wǎng)上用戶的身份、操作權限等進展控制和授權。對不同等級、類型的信息只允許相應級別的人進展審閱；對網(wǎng)上公文的處理采取數(shù)字簽名、抗抵賴等相應的平安措施。第5章方案設計與實現(xiàn)5.1工程背景茉莉花公司主干網(wǎng)絡系統(tǒng)包括環(huán)形的千兆的核心網(wǎng)、千兆鏈路連接的分支節(jié)點和網(wǎng)絡邊界〔Internet、Cernet〕。其中千兆鏈路主要承載整個公司信息系統(tǒng)的跨節(jié)點的信息交換傳輸工作，為各種應用系統(tǒng)的數(shù)據(jù)流提供高速網(wǎng)絡通訊支持。網(wǎng)絡邊界〔Internet、Cernet〕負責為整個公司提供互聯(lián)網(wǎng)、接入功能，極大的擴展了公司信息系統(tǒng)的信息量，為檢索外部的海量信息提供了通路。拓撲如下圖：圖5.1茉莉花公司主干網(wǎng)絡拓撲圖茉莉花公司的信息化建立，是表達**公司國際性、時代性和開放性特征的重要環(huán)節(jié)，在當前全球經濟一體化的時代大背景下通過提高信息化水平來提升公司的綜合競爭力是一個有效的途徑，應用信息化理念和技術實現(xiàn)經營、科研和管理工作的創(chuàng)新已成為必然的趨勢。經過兩年多的開展，公司信息化已經初步形成了一定的規(guī)模。目前公司的客戶端數(shù)量到達了500多臺，已有20多臺效勞器為公司提供域控、、內部主頁、OA、財務軟件、人力軟件等效勞，并且外部主頁效勞器和效勞器分別對外網(wǎng)提供效勞。因此保證公司效勞器平安和內部主機平安，對公司網(wǎng)絡穩(wěn)定運行具有重要的意義。所以為了使公司網(wǎng)絡不受Internet外來攻擊，我們在核心交換機前部署了一臺防火墻，用于公司內網(wǎng)與Internet的連接。5.2工程需求公司采用了PI*535防火墻作為出口，在眾多的企業(yè)級主流防火墻中，思科PI*防火墻是所有同類產品性能最好的一種。思科PI*系列防火墻目前有5種型號PI*506,515,520,525,535。其中PI*535是PI*500系列中最新，功能也是最強大的一款。它可以提供運營商級別的處理能力，適用于大型的ISP等效勞提供商。但是PI*特有的操作系統(tǒng)，使得大多數(shù)管理是通過命令行來實現(xiàn)的，不像其他同類的防火墻通過Web管理界面來進展網(wǎng)絡管理。PI*防火墻主要實現(xiàn)以下兩個功能：一是將內網(wǎng)中不同的職能部門私有網(wǎng)絡通過防火墻做邏輯隔離，將內網(wǎng)IP轉換為Internet公網(wǎng)IP，從而實現(xiàn)內網(wǎng)主機可以訪問Internet。二是允許互聯(lián)網(wǎng)用戶訪問公司有關部門發(fā)布的官方，從而實現(xiàn)公司多臺效勞器通過一條線路為Internet提供各種效勞。表5.2防火墻接口參數(shù)的配置接口名稱平安級別IP地址Gb-eth0Intf210Gb-eth0Inside100Eth0Outside0Eth1Intf315表5.3各個部門IP地址規(guī)劃單位名稱網(wǎng)絡IP地址網(wǎng)絡掩碼部門1部門2部門3部門4部門5〔3〕配置要求：將部門4的所有內網(wǎng)IP通過防火墻轉換為互聯(lián)網(wǎng)IP53，使得部門4的所有內網(wǎng)主機都可以訪問互聯(lián)網(wǎng)。互聯(lián)網(wǎng)的網(wǎng)關IP地址為。創(chuàng)立內部IP地址62和互聯(lián)網(wǎng)IP地址50之間的靜態(tài)映射，使得內網(wǎng)效勞器利用公網(wǎng)IP向互聯(lián)網(wǎng)用戶提供效勞。第6章網(wǎng)絡平安的現(xiàn)狀與展望6.1現(xiàn)階段網(wǎng)絡平安技術的局限性談及網(wǎng)絡平安技術，就必須提到網(wǎng)絡平安技術的三大主流—防火墻技術、入侵檢測技術以及防病毒技術。任何一個用戶，在剛剛開場面對平安問題的時候，考慮的往往就是這"老三樣〞?？梢哉f，這三種網(wǎng)絡平安技術為整個網(wǎng)絡平安建立起到了功不可沒的作用，但是傳統(tǒng)的平安"老三樣〞或者說是以其為主的平安產品正面臨著許多新的問題。(1)從用戶角度來看，雖然系統(tǒng)中安裝了防火墻，但是仍然防止不了蠕蟲泛濫、垃圾、病毒傳播以及拒絕效勞的侵擾。(2)未經大規(guī)模部署的入侵檢測單個產品在提前預警方面存在著先天的缺乏，且在準確定位和全局管理方面還有很大的空間。(3)雖然很多用戶在單機、終端上都安裝了防病毒產品，但是內網(wǎng)的平安并不僅僅是防病毒的問題，還包括平安策略的執(zhí)行、外來非法侵入、補丁管理以及合理管理等方面。所以說，雖然"老三樣〞已經立下了赫赫戰(zhàn)功，仍然發(fā)揮著重要作用，但是用戶已漸漸感覺到其缺乏之處。其次，從網(wǎng)絡平安的整體技術框架來看，網(wǎng)絡平安技術同樣面臨著很大的問題，"老三樣〞根本上還是針對數(shù)據(jù)、單個系統(tǒng)、軟硬件以及程序本身平安的保障。應用層面的平安，需要將側重點集中在信息語義*疇的"內容〞和網(wǎng)絡虛擬世界的"行為〞上。6.2防火墻技術開展趨勢在混合攻擊肆虐的時代，單一功能的防火墻遠不能滿足業(yè)務的需要，而具備多種平安功能，基于應用協(xié)議層防御、低誤報率檢測、高可靠高性能平臺和統(tǒng)一的組件化管理技術。(1)網(wǎng)絡平安協(xié)議層防御。防火墻作為簡單的第二到第四層的防護，主要針對像IP、端口等靜態(tài)的信息進展防護和控制，但是真正的平安不能只停留在底層，我們需要構建一個更高、更強、更可靠的墻，除了傳統(tǒng)的訪問控制之外，還需要對垃圾、拒絕效勞、黑客攻擊等外部威脅起到綜合檢測和治理的作用，實現(xiàn)七層協(xié)議的保護，而不僅限于第二到第四層。(2)通過分類檢測技術降低誤報率。串聯(lián)接入的網(wǎng)關設備一旦誤報過高，將會對用戶帶來災難性的后果。IPS理念在20世紀90年代就已經被提出，但是目前全世界對IPS的部署非常有限，影響其部署的一個重要問題就是誤報率。分類檢測技術可以大幅度降低誤報率，針對不同的攻擊，采取不同的檢測技術，比方防止拒絕效勞攻擊、防蠕蟲和黑客攻擊、防垃圾攻擊、防違規(guī)短信攻擊等，從而顯著降低誤報率。(3)有高可靠性、高性能的硬件平臺支撐。(4)一體化的統(tǒng)一管理。由于UTM設備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺，使用戶能夠有效地管理。這樣，設備平臺可以實現(xiàn)標準化并具有可擴展性，用戶可在統(tǒng)一的平臺上進展組件管理，同時，一體化管理也能消除信息產品之間由于無法溝通而帶來的信息孤島，從而在應對各種各樣攻擊威脅的時候，能夠更好地保障用戶的網(wǎng)絡平安。6.3入侵檢測技術開展趨勢入侵檢測技術將從簡單的事件報