防火墻在中小企業(yè)中的應(yīng)用設(shè)計(jì)論文

.z..--.可修編.畢業(yè)設(shè)計(jì)〔論文〕題目防火墻在中小企業(yè)中的應(yīng)用姓名學(xué)號(hào)專業(yè)系統(tǒng)維護(hù)班級(jí)系統(tǒng)維護(hù)二班指導(dǎo)教師職稱2011年09月-.z..--.可修編.摘要本文闡述了防火墻的原理，詳細(xì)論述了基于中小型企業(yè)的特殊條件下，構(gòu)建網(wǎng)絡(luò)防火墻的思想和步驟。平安是一個(gè)不容無(wú)視的問(wèn)題，當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的方便與快捷的同時(shí)，也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開(kāi)放帶來(lái)的數(shù)據(jù)平安方面的新挑戰(zhàn)和新危險(xiǎn)。為了保障網(wǎng)絡(luò)平安，當(dāng)局域網(wǎng)與外部網(wǎng)連接時(shí)，可以在中間參加一個(gè)或多個(gè)中介系統(tǒng)，防止非法入侵者通過(guò)網(wǎng)絡(luò)進(jìn)展攻擊，非法訪問(wèn)，并提供數(shù)據(jù)可靠性、完整性以及**性等方面的平安和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)。本課題主要研究的是針對(duì)不同企業(yè)的平安需求，制定不同的網(wǎng)絡(luò)平安解決方案，以保障網(wǎng)絡(luò)的平安性。關(guān)鍵詞：防火墻；網(wǎng)絡(luò)平安；企業(yè)-.z.AbstractSecurityisaproblemcannotbeignored,whenpeopleenjoytheconvenienceandfastnetworkstothesametime,wemustalwaysfacethenetworkdatasecurityandopeningofnewchallengesandnewdangers.Inordertoprotectnetworksecurity,LANande*ternalnetworkwhenconnected,youcanjoininthemiddleofoneormoreintermediatesystems,topreventtheillegalintruderattacksthroughthenetwork,unauthorizedaccess,andtoprovidedatareliability,integrityandconfidentiality,etc.safetyandreviewofcontrol,theseintermediatesystemsisafirewall(Firewall)technology.Keywords:Firewall，Networksecurity，Enterprise目錄第1章概述11.1網(wǎng)絡(luò)平安體系介紹11.2網(wǎng)絡(luò)平安與防火墻2第2章防火墻的概念32.1防火墻概述32.1.1防火墻的定義32.1.2為什么使用防火墻32.1.3防火墻的功能42.2防火墻的分類52.2.1按防火墻技術(shù)分類52.2.2按防火墻應(yīng)用部署位置分類72.2.3按防火墻性能分類72.3防火墻在網(wǎng)絡(luò)中的連接72.3.1連接局域網(wǎng)和廣域網(wǎng)72.3.2連接內(nèi)部網(wǎng)和第三方網(wǎng)絡(luò)92.3.3連接不同子網(wǎng)92.4典型硬件防火墻產(chǎn)品推介92.5防火墻最新技術(shù)及開(kāi)展12防火墻包過(guò)濾技術(shù)開(kāi)展趨勢(shì)122.5.2防火墻的體系構(gòu)造開(kāi)展趨勢(shì)122.5.3防火墻的系統(tǒng)管理開(kāi)展趨勢(shì)13第3章防火墻在中小企業(yè)網(wǎng)中的應(yīng)用143.1中小企業(yè)網(wǎng)絡(luò)面臨的平安風(fēng)險(xiǎn)14內(nèi)部竊密和破壞14網(wǎng)絡(luò)竊聽(tīng)14假冒14完整性破壞14其它網(wǎng)絡(luò)的攻擊15管理及操作人員缺乏平安知識(shí)15雷擊153.2企業(yè)防火墻選購(gòu)三要素15第一要素：防火墻的根本功能16第二要素：企業(yè)的特殊要求17第三要素：與用戶網(wǎng)絡(luò)結(jié)合17第4章企業(yè)網(wǎng)網(wǎng)絡(luò)平安總體設(shè)計(jì)194.1平安設(shè)計(jì)總體考慮194.2網(wǎng)絡(luò)平安20網(wǎng)絡(luò)傳輸20訪問(wèn)控制23入侵檢測(cè)24漏洞掃描254.3應(yīng)用系統(tǒng)平安策略25系統(tǒng)平臺(tái)平安25應(yīng)用平臺(tái)平安25病毒防護(hù)26系統(tǒng)設(shè)計(jì)原則26產(chǎn)品應(yīng)用27數(shù)據(jù)備份28平安審計(jì)29認(rèn)證、鑒別、數(shù)字簽名、抗抵賴29第5章方案設(shè)計(jì)與實(shí)現(xiàn)305.1工程背景305.2工程需求31第6章網(wǎng)絡(luò)平安的現(xiàn)狀與展望336.1現(xiàn)階段網(wǎng)絡(luò)平安技術(shù)的局限性336.2防火墻技術(shù)開(kāi)展趨勢(shì)336.3入侵檢測(cè)技術(shù)開(kāi)展趨勢(shì)346.4防病毒技術(shù)開(kāi)展趨勢(shì)35參考文獻(xiàn)39-.z..--.可修編.第1章概述隨著互聯(lián)網(wǎng)的飛速開(kāi)展，網(wǎng)絡(luò)平安逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)平安性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程效勞的人。平安性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。大多數(shù)平安性問(wèn)題的出現(xiàn)都是由于有惡意的人試圖獲得*種好處或損害*些人而成心引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)平安不僅僅是使它沒(méi)有編程錯(cuò)誤。它包括要防*那些聰明的，通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢上是很充足、富有的人。同時(shí)，必須清楚地認(rèn)識(shí)到，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來(lái)說(shuō)，收效甚微。因此網(wǎng)絡(luò)的平安變得尤為重要，防火墻的出現(xiàn)使得這一局面開(kāi)場(chǎng)變得更加穩(wěn)定，各種各樣的攻擊開(kāi)場(chǎng)被防火墻阻止在外，以保證網(wǎng)絡(luò)的平安性。但是隨著網(wǎng)絡(luò)攻擊的日益復(fù)雜，防火墻的防攻擊手段越來(lái)越多，因此對(duì)于防火本身的處理復(fù)雜數(shù)據(jù)的能力出現(xiàn)了隱患。1.1網(wǎng)絡(luò)平安體系介紹每個(gè)網(wǎng)絡(luò)都必須建立起自己的網(wǎng)絡(luò)平安體系構(gòu)造(NSA，NetworkSecurityArchitecture)，包括完善的網(wǎng)絡(luò)信息訪問(wèn)控制策略、**數(shù)據(jù)通信平安與保護(hù)策略、災(zāi)難恢復(fù)規(guī)劃、對(duì)犯罪攻擊的預(yù)防檢測(cè)等。一個(gè)平安系統(tǒng)的建立涉及的因素很多，是一個(gè)龐大的系統(tǒng)工程。一般情況下，采取以下需要措施。(1)物理措施例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計(jì)算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)平安規(guī)章制度，采取防輻射、防火等措施。(2)訪問(wèn)控制對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)展嚴(yán)格的認(rèn)證和控制。例如，進(jìn)展用戶身份認(rèn)證，對(duì)口令加密、更新和鑒別，設(shè)置用戶訪問(wèn)目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。(3)數(shù)據(jù)加密加密是保護(hù)數(shù)據(jù)平安的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。(4)防止計(jì)算機(jī)網(wǎng)絡(luò)病毒病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的危害越來(lái)越嚴(yán)重，必須引起高度重視。1988年11月3日，美國(guó)康乃爾大學(xué)一年級(jí)研究生羅特·莫里斯編制的稱為"蠕蟲(chóng)〞的計(jì)算機(jī)病毒通過(guò)Internet網(wǎng)大面積傳播，致使6000多臺(tái)主機(jī)被感染，直接經(jīng)濟(jì)損失超過(guò)6000萬(wàn)美元。(5)其他措施其他措施包括容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等。近年來(lái)，圍繞網(wǎng)絡(luò)平安問(wèn)題提出了許多解決方法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)展加密，到達(dá)目的地后再解密復(fù)原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過(guò)對(duì)網(wǎng)絡(luò)的隔離和限制訪問(wèn)等方法來(lái)控制網(wǎng)絡(luò)的訪問(wèn)權(quán)限，從而保護(hù)網(wǎng)絡(luò)資源。其他平安技術(shù)包括密鑰管理、數(shù)字簽名、認(rèn)證技術(shù)、智能卡技術(shù)和訪問(wèn)控制等。1.2網(wǎng)絡(luò)平安與防火墻所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取平安性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)平安網(wǎng)關(guān)〔SecurityGateway〕，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。該局域網(wǎng)內(nèi)所有的計(jì)算機(jī)流入流出多的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)防火墻。防火墻、IDS、IPS，是解決網(wǎng)絡(luò)平安問(wèn)題的根底設(shè)備，他們所具備的過(guò)濾、平安功能能夠抵抗大多數(shù)來(lái)自外網(wǎng)的攻擊。配備這些傳統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備，實(shí)現(xiàn)面向網(wǎng)絡(luò)層的訪問(wèn)控制，是企業(yè)平安上網(wǎng)的前提。第2章防火墻的概念2.1防火墻概述防火墻的定義所謂"防火墻〞，指的就是一種被放置在自己的計(jì)算機(jī)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過(guò)它的判斷處理后，才會(huì)決定能不能把這些數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會(huì)攔截下來(lái)，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)的保護(hù)功能。進(jìn)出內(nèi)部網(wǎng)的數(shù)據(jù)流都必須通過(guò)防火墻圖2.1數(shù)據(jù)流通過(guò)防火墻示意圖2．只有符合平安策略的數(shù)據(jù)流才能通過(guò)防火墻3．防火墻自身應(yīng)該能夠防止?jié)B透2.1.2為什么使用防火墻防火墻只在已授權(quán)和未授權(quán)通信之間做出決斷。如果周圍沒(méi)有防火墻，平安就完全仰仗主機(jī)自身了。而整個(gè)系統(tǒng)的平安將由系統(tǒng)中平安性最差的主機(jī)所決定。網(wǎng)絡(luò)越大，把網(wǎng)絡(luò)內(nèi)所有主機(jī)維護(hù)至同樣高的平安水平就越復(fù)雜。假設(shè)一時(shí)粗心，就會(huì)因簡(jiǎn)單的配置錯(cuò)誤或未能修補(bǔ)所有漏洞導(dǎo)致入侵的發(fā)生。企業(yè)的系統(tǒng)和數(shù)據(jù)有以下三個(gè)方面受到防火墻保護(hù)：**性的風(fēng)險(xiǎn)包括未經(jīng)授權(quán)就訪問(wèn)敏感數(shù)據(jù)或數(shù)據(jù)的過(guò)早泄露。數(shù)據(jù)完整性的風(fēng)險(xiǎn)包括未經(jīng)授權(quán)就對(duì)數(shù)據(jù)進(jìn)展修改，例如財(cái)務(wù)信息、產(chǎn)品特性或*上商品的價(jià)格?？捎眯缘娘L(fēng)險(xiǎn)系統(tǒng)可用性保證系統(tǒng)可以適時(shí)地為用戶效勞。2.1.3防火墻的功能防火墻的主要功能，一般來(lái)說(shuō)主要有以下幾個(gè)方面：隔離不同的網(wǎng)絡(luò)，防止內(nèi)部信息的泄露強(qiáng)化網(wǎng)絡(luò)平安策略創(chuàng)立一個(gè)阻塞點(diǎn)包過(guò)濾有效地監(jiān)控、審計(jì)和記錄內(nèi)、外部網(wǎng)絡(luò)上的活動(dòng)流量控制和統(tǒng)計(jì)分析、流量計(jì)費(fèi)NAT〔網(wǎng)絡(luò)地址轉(zhuǎn)換〕VPN〔虛擬專用網(wǎng)〕URL級(jí)信息過(guò)濾殺毒技術(shù)〔10〕其他特殊功能2.2防火墻的分類2.2.1按防火墻技術(shù)分類〔1〕包過(guò)濾〔Packetfiltering〕技術(shù)〔2〕應(yīng)用代理網(wǎng)關(guān)技術(shù)〔3〕狀態(tài)檢測(cè)技術(shù)〔4〕復(fù)合型防火墻技術(shù)(1)．包過(guò)濾〔Packetfiltering〕技術(shù)包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，對(duì)數(shù)據(jù)包的源及目地IP具有識(shí)別和控制作用，對(duì)于傳輸層，也只能識(shí)別數(shù)據(jù)包是TCP還是UDP及所用的端口信息，現(xiàn)在的路由器、SwitchRouter以及*些操作系統(tǒng)已經(jīng)具有用PacketFilter控制的能力。由于只對(duì)數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進(jìn)展分析，包過(guò)濾防火墻的處理速度較快，并且易于配置。包過(guò)濾防火墻具有根本的缺陷：〔1〕不能防*黑客攻擊〔2〕不支持應(yīng)用層協(xié)議〔3〕不能處理新的平安威脅(2)．應(yīng)用代理網(wǎng)關(guān)技術(shù)應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問(wèn)變成防火墻對(duì)外網(wǎng)的訪問(wèn)，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問(wèn)者任何時(shí)候都不能與效勞器建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話過(guò)程必須符合代理的平安策略要求。優(yōu)點(diǎn)：可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比擬強(qiáng)。缺點(diǎn)也非常突出，主要有：〔1〕難于配置〔2〕處理速度非常慢(3)．狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)防火墻摒棄了包過(guò)濾防火墻僅考察數(shù)據(jù)包的IP地址等幾個(gè)參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)，在防火墻的核心局部建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)監(jiān)測(cè)對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，因此提供了完整的對(duì)傳輸層的控制能力，如圖2.2所示。圖2.2狀態(tài)檢測(cè)防火墻工作原理圖(4)．復(fù)合型防火墻技術(shù)復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過(guò)濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。圖2.3復(fù)合型防火墻工作原理圖(5)．四類防火墻技術(shù)的比照包過(guò)濾防火墻：包過(guò)濾防火墻不檢查數(shù)據(jù)區(qū)，包過(guò)濾防火墻不建立連接狀態(tài)表，前后報(bào)文無(wú)關(guān)，應(yīng)用層控制很弱。應(yīng)用代理網(wǎng)關(guān)防火墻：不檢查IP、TCP報(bào)頭，不建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)比擬弱。狀態(tài)檢測(cè)防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報(bào)文相關(guān)，應(yīng)用層控制很弱。復(fù)合型防火墻：可以檢查整個(gè)數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)強(qiáng)，應(yīng)用層控制細(xì)，會(huì)話控制較弱。2.2.2按防火墻應(yīng)用部署位置分類按照這種分類標(biāo)準(zhǔn)又可以將防火墻劃分為：邊界防火墻個(gè)人防火墻3.混合型防火墻2.2.3按防火墻性能分類如果按防火墻的性能來(lái)分可以分為：1.百兆級(jí)防火墻2.千兆級(jí)防火墻2.3防火墻在網(wǎng)絡(luò)中的連接1.連接局域網(wǎng)和廣域網(wǎng)2.連接內(nèi)部網(wǎng)和第三方網(wǎng)絡(luò)3.連接不同子網(wǎng)2.3.1連接局域網(wǎng)和廣域網(wǎng)(1)．用戶網(wǎng)絡(luò)已存在邊界路由器圖2.4邊界路由器示意圖〔2〕．用戶網(wǎng)絡(luò)不存在邊界路由器圖2.5不存在邊界路由器的示意圖2.3.2連接內(nèi)部網(wǎng)和第三方網(wǎng)絡(luò)這種連接方式對(duì)于一般規(guī)模的網(wǎng)絡(luò)應(yīng)用不是很多，但是在大型企事業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中，往往有多個(gè)合作伙伴或者社會(huì)構(gòu)造，此時(shí)就需要用到這種連接方式圖2.6內(nèi)網(wǎng)與外網(wǎng)連接示意圖2.3.3連接不同子網(wǎng)這種連接方式在平安性要求較高的企業(yè)網(wǎng)絡(luò)中比擬常見(jiàn)，例如跨國(guó)公司等，公司內(nèi)部網(wǎng)絡(luò)包含多個(gè)部門(mén)的子網(wǎng)絡(luò)，而有些局域網(wǎng)的數(shù)據(jù)是不允許其他用戶訪問(wèn)的，因此，就要在這些局域網(wǎng)中設(shè)置防火墻進(jìn)展隔離。圖2.7防火墻隔離示意圖2.4典型硬件防火墻產(chǎn)品推介〔1〕.國(guó)內(nèi)硬件防火墻產(chǎn)品推介產(chǎn)品名稱：天融信NGFW4000-UF(TG-5366)防火墻硬件配置：標(biāo)配4個(gè)10/100/1000BASE-T千兆電口、6個(gè)千兆SFP擴(kuò)展接口、2個(gè)10/100BASE-T端口。適合企業(yè)：大中型企業(yè)級(jí)防火墻。圖2.8天融信NGFW4000-UF(TG-5366)防火墻產(chǎn)品名稱：H3CSecPathF1000-S-AC防火墻硬件配置：1個(gè)配置口〔CON〕、1個(gè)備份口〔AU*〕、2個(gè)10/100/1000M以太網(wǎng)口〔支持光口或者電口〕、2個(gè)10/100/1000M以太網(wǎng)口〔支持電口〕、2個(gè)MIM插槽。適合企業(yè)：大中型企業(yè)級(jí)防火墻。圖2.9H3CSecPathF1000-S-AC防火墻產(chǎn)品名稱：RG-WALL1600千兆防火墻/VPN網(wǎng)關(guān)硬件配置：固化4個(gè)10/100/1000BaseT端口+4個(gè)SFP端口。適合企業(yè)：大中型企業(yè)級(jí)防火墻。圖2.10RG-WALL1600千兆防火墻/VPN網(wǎng)關(guān)(2)．國(guó)外硬件防火墻產(chǎn)品推介產(chǎn)品名稱：CiscoSecurePI*515-E防火墻硬件配置：它具有一個(gè)集成化的VAC，64MB的RAM，最多可以支持六個(gè)10/100快速以太網(wǎng)接口。適合企業(yè)：中小型企業(yè)級(jí)防火墻。圖2.11CiscoSecurePI*515-E防火墻產(chǎn)品名稱：JuniperNetScreen208防火墻硬件配置：具有8個(gè)自適應(yīng)10/100M以太網(wǎng)端口。適合企業(yè)：大中型企業(yè)級(jí)防火墻。圖2.12JuniperNetScreen208防火墻2.5防火墻最新技術(shù)及開(kāi)展隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的開(kāi)展趨勢(shì)。這主要可以從：1.包過(guò)濾技術(shù)2.防火墻體系構(gòu)造3.防火墻系統(tǒng)管理三方面來(lái)表達(dá)2.5.1防火墻包過(guò)濾技術(shù)開(kāi)展趨勢(shì)1．加強(qiáng)了用戶身份認(rèn)證2．多級(jí)過(guò)濾技術(shù)3．使防火墻具有病毒防護(hù)功能。2.5.2防火墻的體系構(gòu)造開(kāi)展趨勢(shì)隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。為了滿足這種需要，一些防火墻制造商開(kāi)發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。2.5.3防火墻的系統(tǒng)管理開(kāi)展趨勢(shì)防火墻的系統(tǒng)管理也有一些開(kāi)展趨勢(shì)，主要表達(dá)在以下幾個(gè)方面：1．首先是集中式管理，分布式和分層的平安構(gòu)造是將來(lái)的趨勢(shì)2．強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能3．網(wǎng)絡(luò)平安產(chǎn)品的系統(tǒng)化第3章防火墻在中小企業(yè)網(wǎng)中的應(yīng)用3.1中小企業(yè)網(wǎng)絡(luò)面臨的平安風(fēng)險(xiǎn)3.1.1內(nèi)部竊密和破壞企業(yè)網(wǎng)絡(luò)上同時(shí)接入了所有部門(mén)的網(wǎng)絡(luò)系統(tǒng)，因此容易出現(xiàn)部門(mén)內(nèi)不懷好意的人員〔或外部非法人員利用公司內(nèi)*部門(mén)的計(jì)算機(jī)〕通過(guò)網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，并進(jìn)一步竊取和破壞其中的重要信息〔如領(lǐng)導(dǎo)的網(wǎng)絡(luò)賬號(hào)和口令、重要文件等〕。3.1.2網(wǎng)絡(luò)竊聽(tīng)攻擊者可以采用如Sniffer等網(wǎng)絡(luò)協(xié)議分析工具，在INTERNET網(wǎng)絡(luò)平安的薄弱處進(jìn)入INTERNET，并非常容易地在信息傳輸過(guò)程中獲取所有信息〔尤其是敏感信息〕的內(nèi)容。假冒企業(yè)網(wǎng)內(nèi)部用戶，也可能來(lái)自INTERNET內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過(guò)冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進(jìn)一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?；蛘邇?nèi)部用戶通過(guò)假冒的方式獲取其不能閱讀的秘密信息。3.1.4完整性破壞信息在傳輸過(guò)程中或者存儲(chǔ)期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實(shí)性，從而變得不能用或造成廣泛的負(fù)面影響。由于企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會(huì)通過(guò)網(wǎng)絡(luò)對(duì)沒(méi)有采取平安措施的效勞器上的重要文件進(jìn)展修改或傳達(dá)一些虛假信息，從而影響工作的正常進(jìn)展。3.1.5其它網(wǎng)絡(luò)的攻擊企業(yè)網(wǎng)絡(luò)系統(tǒng)是接入到INTERNET上的，這樣就有可能會(huì)遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡(luò)攻擊，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)效勞嚴(yán)重降低或癱瘓等。3.1.6管理及操作人員缺乏平安知識(shí)由于信息和網(wǎng)絡(luò)技術(shù)開(kāi)展迅猛，信息的應(yīng)用和平安技術(shù)相對(duì)滯后，用戶在引入和采用平安設(shè)備和系統(tǒng)時(shí)，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對(duì)信息平安的重要性與技術(shù)認(rèn)識(shí)缺乏，很容易使平安設(shè)備/系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來(lái)對(duì)*些通信和操作需要限制，為了方便，設(shè)置成全開(kāi)放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。由于網(wǎng)絡(luò)平安產(chǎn)品的技術(shù)含量大，因此，對(duì)操作管理人員的培訓(xùn)顯得尤為重要。這樣，使平安設(shè)備能夠盡量發(fā)揮其作用，防止使用上的漏洞。3.1.7雷擊由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過(guò)通信電纜進(jìn)展傳輸，因此極易受到雷擊，造成連鎖反響，使整個(gè)網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。因此，為防止遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。3.2企業(yè)防火墻選購(gòu)三要素防火墻通常是運(yùn)行在一臺(tái)單獨(dú)計(jì)算機(jī)之上的一個(gè)特別的效勞軟件，用來(lái)保護(hù)由許多臺(tái)，計(jì)算機(jī)組成的內(nèi)部網(wǎng)絡(luò),它使企業(yè)的網(wǎng)絡(luò)規(guī)劃清晰明了，它可以識(shí)別并屏蔽非法請(qǐng)求，有效防止跨越權(quán)限的數(shù)據(jù)訪問(wèn)。它既可以是非常簡(jiǎn)單的過(guò)濾器，也可能是精心配置的網(wǎng)關(guān)，但它們的原理是一樣的，都是監(jiān)測(cè)并過(guò)濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。在市場(chǎng)上，防火墻的售價(jià)極為懸殊，從幾萬(wàn)元到數(shù)十萬(wàn)元，甚至到百萬(wàn)元。因?yàn)楦髌髽I(yè)用戶使用的平安程度不盡一樣，因此廠商所推出的產(chǎn)品也有所區(qū)分，甚至有些公司還推出類似模塊化的功能產(chǎn)品，以符合各種不同企業(yè)的平安要求。當(dāng)一個(gè)企業(yè)或組織決定采用防火墻來(lái)實(shí)施保衛(wèi)自己內(nèi)部網(wǎng)絡(luò)的平安策略之后，下一步要做的事情就是選擇一個(gè)平安、實(shí)惠、適宜的防火墻。第一要素：防火墻的根本功能防火墻系統(tǒng)可以說(shuō)是網(wǎng)絡(luò)的第一道防線，因此一個(gè)企業(yè)在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的平安時(shí)，它首先需要了解一個(gè)防火墻系統(tǒng)應(yīng)具備的根本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提。一個(gè)成功的防火墻產(chǎn)品應(yīng)該具有下述根本功能：防火墻的設(shè)計(jì)謀略應(yīng)遵循平安防*的根本原則——"除非明確允許，否則就制止〞防火墻本身支持平安策略，而不是添加上去的；如果組織機(jī)構(gòu)的平安策略發(fā)生改變，可以參加新的效勞；有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法；如果需要，可以運(yùn)用過(guò)濾技術(shù)允許和制止效勞；可以使用FTP和Telnet等效勞代理，以便先進(jìn)的認(rèn)證手段可以被安裝和運(yùn)行在防火墻上；擁有界面友好、易于編程的IP過(guò)濾語(yǔ)言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)展包過(guò)濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。如果用戶需要NNTP〔網(wǎng)絡(luò)消息傳輸協(xié)議〕、*Window、HTTP和Gopher等效勞，防火墻應(yīng)該包含相應(yīng)的代理效勞程序。防火墻也應(yīng)具有集中的功能，以減少SMTP效勞器和外界效勞器的直接連接，并可以集中處理整個(gè)站點(diǎn)的電子。防火墻應(yīng)允許，公眾對(duì)站點(diǎn)的訪問(wèn)，應(yīng)把信息效勞器和其他內(nèi)部效勞器分開(kāi)。防火墻應(yīng)該能夠集中和過(guò)濾撥入訪問(wèn)，并可以記錄網(wǎng)絡(luò)流量和可疑的活動(dòng)。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡(jiǎn)日志的能力。雖然沒(méi)有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運(yùn)行一個(gè)管理員熟悉的操作系統(tǒng)會(huì)使管理變得簡(jiǎn)單。防火墻的強(qiáng)度和正確性應(yīng)該可被驗(yàn)證，設(shè)計(jì)盡量簡(jiǎn)單，以便管理員理解和維護(hù)。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補(bǔ)丁程序進(jìn)展升級(jí)且升級(jí)必須定期進(jìn)展。正像前面提到的那樣，Internet每時(shí)每刻都在發(fā)生著變化，新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。當(dāng)新的危險(xiǎn)出現(xiàn)時(shí)，新的效勞和升級(jí)工作可能會(huì)對(duì)防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的可適應(yīng)性是很重要的。3.2.2第二要素：企業(yè)的特殊要求企業(yè)平安政策中往往有些特殊需求不是每一個(gè)防火墻都會(huì)提供的，這方面常會(huì)成為選擇防火墻的考慮因素之一，常見(jiàn)的需求如下：網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)進(jìn)展地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP，這可以使黑客無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)，這也是筆者之所以要強(qiáng)調(diào)防火墻自身平安性問(wèn)題的主要原因；另一個(gè)好處是可以讓內(nèi)部使用保存的IP，這對(duì)許多IP缺乏的企業(yè)是有益的。雙重DNS當(dāng)內(nèi)部網(wǎng)絡(luò)使用沒(méi)有注冊(cè)的IP地址，或是防火墻進(jìn)展IP轉(zhuǎn)換時(shí)，DNS也必須經(jīng)過(guò)轉(zhuǎn)換，因?yàn)?，同樣的一個(gè)主機(jī)在內(nèi)部的IP與給予外界的IP將會(huì)不同，有的防火墻會(huì)提供雙重DNS，有的則必須在不同主機(jī)上各安裝一個(gè)DNS。虛擬專用網(wǎng)絡(luò)(VPN)VPN可以在防火墻與防火墻或移動(dòng)的客戶端之間對(duì)所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個(gè)虛擬通道，讓兩者感覺(jué)是在同一個(gè)網(wǎng)絡(luò)上，可以平安且不受拘束地互相存取。掃毒功能大局部防火墻都可以與防病毒軟件搭配實(shí)現(xiàn)掃毒功能，有的防火墻則可以直接集成掃毒功能，差異只是掃毒工作是由防火墻完成，或是由另一臺(tái)專用的計(jì)算機(jī)完成。特殊控制需求有時(shí)候企業(yè)會(huì)有特別的控制需求，如限制特定使用者才能發(fā)送，F(xiàn)TP只能下載文件不能上傳文件，限制同時(shí)上網(wǎng)人數(shù)，限制使用時(shí)間或阻塞Java、Active*控件等，需求不同而定。第三要素：與用戶網(wǎng)絡(luò)結(jié)合(1)管理的難易度防火墻管理的難易度是防火墻能否到達(dá)目的的主要考慮因素之一。一般企業(yè)之所以很少以已有的網(wǎng)絡(luò)設(shè)備直接當(dāng)作防火墻的原因，除了先前提到的包過(guò)濾，并不能到達(dá)完全的控制之外，設(shè)定工作困難、須具備完整的知識(shí)以及不易出錯(cuò)等管理問(wèn)題，更是一般企業(yè)不愿意使用的主要原因。(2)自身的平安性大多數(shù)人在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種效勞，但往往忽略了一點(diǎn)，防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在平安問(wèn)題，防火墻如果不能確保自身平安，則防火墻的控制功能再?gòu)?qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。大局部防火墻都安裝在一般的操作系統(tǒng)上，如Uni*、NT系統(tǒng)等。在防火墻主機(jī)上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來(lái)自于操作系統(tǒng)本身的原有程序。當(dāng)防火墻主機(jī)上所執(zhí)行的軟件出現(xiàn)平安漏洞時(shí)，防火墻本身也將受到威脅。此時(shí)，任何的防火墻控制機(jī)制都可能失效，因?yàn)楫?dāng)一個(gè)黑客取得了防火墻上的控制權(quán)以后，黑客幾乎可為所欲為地修改防火墻上的訪問(wèn)規(guī)則，進(jìn)而侵入更多的系統(tǒng)。因此防火墻自身應(yīng)有相當(dāng)高的平安保護(hù)。(3)完善的售后效勞我們認(rèn)為，用戶在選購(gòu)防火墻產(chǎn)品時(shí)，除了從以上的功能特點(diǎn)考慮之外，還應(yīng)該注意好的防火墻應(yīng)該是企業(yè)整體網(wǎng)絡(luò)的保護(hù)者，并能彌補(bǔ)其它操作系統(tǒng)的缺乏，使操作系統(tǒng)的平安性不會(huì)對(duì)企業(yè)網(wǎng)絡(luò)的整體平安造成影響。防火墻應(yīng)該能夠支持多種平臺(tái)，因?yàn)槭褂谜卟攀峭耆目刂普?，而使用者的平臺(tái)往往是多種多樣的，它們應(yīng)選擇一套符合現(xiàn)有環(huán)境需求的防火墻產(chǎn)品。由于新產(chǎn)品的出現(xiàn)，就會(huì)有人研究新的破解方法，所以好的防火墻產(chǎn)品應(yīng)擁有完善及時(shí)的售后效勞體系。(4)完整的平安檢查好的防火墻還應(yīng)該向使用者提供完整的平安檢查功能，但是一個(gè)平安的網(wǎng)絡(luò)仍必須依靠使用者的觀察及改良，因?yàn)榉阑饓Σ⒉荒苡行У囟沤^所有的惡意封包，企業(yè)想要到達(dá)真正的平安仍然需要內(nèi)部人員不斷記錄、改良、追蹤。防火墻可以限制唯有合法的使用者才能進(jìn)展連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來(lái)發(fā)現(xiàn)。第4章企業(yè)網(wǎng)網(wǎng)絡(luò)平安總體設(shè)計(jì)根據(jù)企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)構(gòu)造、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn)，本方案主要從以下幾個(gè)方面進(jìn)展平安設(shè)計(jì)：網(wǎng)絡(luò)系統(tǒng)平安；應(yīng)用系統(tǒng)平安；物理平安；平安管理；4.1平安設(shè)計(jì)總體考慮根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及開(kāi)展趨勢(shì)，主要平安措施從以下幾個(gè)方面進(jìn)展考慮：〔1〕網(wǎng)絡(luò)傳輸保護(hù)主要是數(shù)據(jù)加密保護(hù)主要網(wǎng)絡(luò)平安隔離通用措施是采用防火墻〔2〕網(wǎng)絡(luò)病毒防護(hù)采用網(wǎng)絡(luò)防病毒系統(tǒng)廣域網(wǎng)接入局部的入侵檢測(cè)采用入侵檢測(cè)系統(tǒng)〔3〕系統(tǒng)漏洞分析采用漏洞分析設(shè)備〔4〕定期平安審計(jì)主要包括兩局部：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)〔5〕重要數(shù)據(jù)的備份重要信息點(diǎn)的防電磁泄露〔6〕網(wǎng)絡(luò)平安構(gòu)造的可伸縮性包括平安設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時(shí)進(jìn)展規(guī)模、功能擴(kuò)展網(wǎng)絡(luò)防雷4.2網(wǎng)絡(luò)平安作為企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺(tái)，由于許多重要的信息都通過(guò)網(wǎng)絡(luò)進(jìn)展交換，網(wǎng)絡(luò)系統(tǒng)的平安顯得尤為重要。4.2.1網(wǎng)絡(luò)傳輸由于企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等；另一套是與INTERNET相連，通過(guò)ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。通過(guò)公共線路建立跨越INTERNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過(guò)網(wǎng)絡(luò)進(jìn)展數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的平安保護(hù)，如果不采取相應(yīng)的平安措施，易受到來(lái)自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽(tīng)而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果。由于現(xiàn)在越來(lái)越多的政府、金融機(jī)構(gòu)、企業(yè)等用戶采用VPN技術(shù)來(lái)構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此解決方案中對(duì)網(wǎng)絡(luò)傳輸平安局部推薦采用VPN設(shè)備來(lái)構(gòu)建內(nèi)聯(lián)網(wǎng)?？稍诿考?jí)管理域內(nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo(hù)。根據(jù)企業(yè)三級(jí)網(wǎng)絡(luò)構(gòu)造，VPN設(shè)置如下列圖所示：圖4.1三級(jí)VPN設(shè)置拓?fù)鋱D每一級(jí)的設(shè)置及管理方法一樣。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN設(shè)備和一臺(tái)VPN認(rèn)證效勞器〔VPN-CA〕，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPN設(shè)備，由上級(jí)的VPN認(rèn)證效勞器通過(guò)網(wǎng)絡(luò)對(duì)下一級(jí)的VPN設(shè)備進(jìn)展集中統(tǒng)一的網(wǎng)絡(luò)化管理?？傻竭_(dá)以下幾個(gè)目的：〔1〕網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù)由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時(shí)采取加密或隧道的方式進(jìn)展傳輸網(wǎng)絡(luò)隔離保護(hù)；與INTERNET進(jìn)展隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問(wèn)(2)集中統(tǒng)一管理，提高網(wǎng)絡(luò)平安性(3)降低本錢〔設(shè)備本錢和維護(hù)本錢〕其中，在各級(jí)中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下列圖：圖4.2中心網(wǎng)絡(luò)VPN設(shè)置圖由一臺(tái)VPN管理機(jī)對(duì)CA、中心VPN設(shè)備、分支機(jī)構(gòu)VPN設(shè)備進(jìn)展統(tǒng)一網(wǎng)絡(luò)管理。將對(duì)外效勞器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)展隔離，制止外網(wǎng)直接訪問(wèn)內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對(duì)外訪問(wèn)、記錄日志。這樣即使效勞器被攻破，內(nèi)部網(wǎng)絡(luò)仍然平安。下級(jí)單位的VPN設(shè)備放置如下列圖所示：圖4.3下級(jí)單位VPN設(shè)置圖從圖4.3可知，下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級(jí)機(jī)構(gòu)通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于平安設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機(jī)構(gòu)的維護(hù)本錢和對(duì)專業(yè)技術(shù)人員的要求，這對(duì)有著龐大下屬、分支機(jī)構(gòu)的單位來(lái)講將是一筆不小的費(fèi)用。由于網(wǎng)絡(luò)平安的是一個(gè)綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的平安產(chǎn)品就能解決，因此對(duì)平安設(shè)備的管理就顯得尤為重要。由于一般的平安產(chǎn)品在管理上是各自管理，因而很容易因?yàn)?個(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的平安隱患。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象；同時(shí)，每個(gè)維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。所以，在平安設(shè)備的選擇上應(yīng)中選擇可以進(jìn)展網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對(duì)主要平安設(shè)備進(jìn)展管理、配置，提高整體網(wǎng)絡(luò)的平安性和穩(wěn)定性。4.2.2訪問(wèn)控制企業(yè)廣域網(wǎng)網(wǎng)絡(luò)局部通過(guò)公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來(lái)自INTERNET上許多非法用戶的攻擊和訪問(wèn)，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)效勞嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的平安措施是必不可少的。通常，對(duì)網(wǎng)絡(luò)的訪問(wèn)控制最成熟的是采用防火墻技術(shù)來(lái)實(shí)現(xiàn)的，選擇帶防火墻功能的VPN設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)平安隔離，可滿足以下幾個(gè)方面的要求：控制外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問(wèn)；控制外部合法用戶對(duì)效勞器的訪問(wèn)；制止外部非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)；控制內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò)；阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊；防止內(nèi)部主機(jī)的IP欺騙；對(duì)外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)錁?gòu)造；網(wǎng)絡(luò)監(jiān)控；網(wǎng)絡(luò)日志審計(jì)；由于采用防火墻、VPN技術(shù)融為一體的平安設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)：管理、維護(hù)簡(jiǎn)單、方便；平安性高〔可有效降低在平安設(shè)備使用上的配置漏洞〕；硬件本錢和維護(hù)本錢低；網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高。由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)器兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。4.2.3入侵檢測(cè)網(wǎng)絡(luò)平安不可能完全依靠單一產(chǎn)品來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)平安是個(gè)整體的，必須配應(yīng)相應(yīng)的平安產(chǎn)品。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng)〔IDS〕可與平安VPN系統(tǒng)形成互補(bǔ)。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和預(yù)見(jiàn)性的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)展實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)〔阻斷、報(bào)警、發(fā)送〕。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)系統(tǒng)一般包括控制臺(tái)和探測(cè)器〔網(wǎng)絡(luò)引擎〕?？刂婆_(tái)用作制定及管理所有探測(cè)器〔網(wǎng)絡(luò)引擎〕。探測(cè)器〔網(wǎng)絡(luò)引擎〕用作監(jiān)聽(tīng)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。由于探測(cè)器采取的是監(jiān)聽(tīng)而不是過(guò)濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。入侵檢測(cè)系統(tǒng)的設(shè)置如下列圖：圖4.4入侵檢測(cè)系統(tǒng)示意圖從上圖可知，入侵檢測(cè)儀在網(wǎng)絡(luò)接如上，與VPN設(shè)備并接使用。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過(guò)VPN設(shè)備，而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)展疹聽(tīng)，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過(guò)報(bào)警、通知VPN設(shè)備中斷網(wǎng)絡(luò)〔即IDS與VPN聯(lián)動(dòng)功能〕等方式進(jìn)展控制〔即平安設(shè)備自適應(yīng)機(jī)制〕，最后將攻擊行為進(jìn)展日志記錄以供以后審查。4.2.4漏洞掃描為一個(gè)完善的通用平安系統(tǒng)，應(yīng)當(dāng)包含完善的平安措施，定期的平安評(píng)估及平安分析同樣相當(dāng)重要。由于網(wǎng)絡(luò)平安系統(tǒng)在建立后并不是長(zhǎng)期保持很高的平安性，而是隨著時(shí)間的推移和技術(shù)的開(kāi)展而不斷下降的，同時(shí)，在使用過(guò)程中會(huì)出現(xiàn)新的平安問(wèn)題，因此，作為平安系統(tǒng)建立的補(bǔ)充，采取相應(yīng)的措施也是必然。采用漏洞掃描設(shè)備對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)展定期掃描，對(duì)存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)展探測(cè)、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動(dòng)提出解決措施，或參考意見(jiàn)，提醒網(wǎng)絡(luò)平安管理員作好相應(yīng)調(diào)整。4.3應(yīng)用系統(tǒng)平安策略系統(tǒng)平臺(tái)平安企業(yè)各級(jí)網(wǎng)絡(luò)系統(tǒng)平臺(tái)平安主要是指操作系統(tǒng)的平安。由于目前主要的操作系統(tǒng)平臺(tái)是建立在國(guó)外產(chǎn)品的根底上，因而存在很大的平安隱患。企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用效勞平臺(tái)中采用國(guó)內(nèi)自主開(kāi)發(fā)的平安操作系統(tǒng)，針對(duì)通用OS的平安問(wèn)題，對(duì)操作系統(tǒng)平臺(tái)的登錄方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、平安日志審計(jì)、加密算法及算法替換的支持和完整性保護(hù)等方面進(jìn)展平安改造和性能增強(qiáng)。一般用戶運(yùn)行在PC機(jī)上的NT平臺(tái)，在選擇性地用好NT平安機(jī)制的同時(shí)，應(yīng)加強(qiáng)監(jiān)控管理。4.3.2應(yīng)用平臺(tái)平安企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺(tái)平安，一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制，以及使用網(wǎng)絡(luò)資源的權(quán)限管理和訪問(wèn)控制，對(duì)平安相關(guān)操作進(jìn)展的審計(jì)等。其中的用戶應(yīng)同時(shí)包括各級(jí)管理員用戶和各類業(yè)務(wù)用戶。另一方面涉及各種數(shù)據(jù)庫(kù)系統(tǒng)、效勞、效勞、FTP和TELNET應(yīng)用中效勞器系統(tǒng)自身的平安以及提供效勞的平安。在選擇這些應(yīng)用系統(tǒng)時(shí)，應(yīng)當(dāng)盡量選擇國(guó)內(nèi)軟件開(kāi)發(fā)商進(jìn)展開(kāi)發(fā)，系統(tǒng)類型也應(yīng)當(dāng)盡量采用國(guó)內(nèi)自主開(kāi)發(fā)的應(yīng)用系統(tǒng)。4.3.3病毒防護(hù)因?yàn)椴《驹诰W(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異途徑多種多樣，相應(yīng)地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實(shí)施"層層設(shè)防、集中控制、以防為主、防殺結(jié)合〞的策略。具體而言，就是針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對(duì)應(yīng)的防毒軟件，通過(guò)全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒(méi)有薄弱環(huán)節(jié)成為病毒入侵的缺口。本方案中在選擇殺毒軟件時(shí)應(yīng)當(dāng)注意幾個(gè)方面的要求：具有卓越的病毒防治技術(shù)、程序內(nèi)核平安可靠、對(duì)付國(guó)產(chǎn)和國(guó)外病毒能力超群、全中文產(chǎn)品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動(dòng)升級(jí)等優(yōu)點(diǎn)。病毒對(duì)信息系統(tǒng)的正常工作運(yùn)行產(chǎn)生很大影響，據(jù)統(tǒng)計(jì)，信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。4.3.4系統(tǒng)設(shè)計(jì)原則為了更好的解決病毒的防*，一般要求病毒防*系統(tǒng)滿足如下要求：采用世界最先進(jìn)的防毒產(chǎn)品與網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)的實(shí)際需要相結(jié)合，確保網(wǎng)絡(luò)系統(tǒng)具有最正確的病毒防護(hù)能力的情況下，綜合本錢最少。貫徹"層層設(shè)防，集中控管，以防為主、防治結(jié)合〞的企業(yè)防毒策略。在網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)或通道中設(shè)置對(duì)應(yīng)的防病毒軟件，通過(guò)這種全方位的、多層次的防毒系統(tǒng)配置，使企業(yè)網(wǎng)絡(luò)免遭所有病毒的入侵和危害。充分考慮網(wǎng)絡(luò)的系統(tǒng)數(shù)據(jù)、文件的平安可靠性，所選產(chǎn)品與現(xiàn)在系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對(duì)現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影響。應(yīng)用全球最為先進(jìn)的"實(shí)時(shí)監(jiān)控〞技術(shù)，充分表達(dá)趨勢(shì)科技"以防為主〞的反病毒思想。所選用產(chǎn)品具備對(duì)多種壓縮格式文件的病毒檢測(cè)。所選用產(chǎn)品易于安裝、操作簡(jiǎn)便、便于管理和維護(hù)，具有友好的用戶界面。應(yīng)用經(jīng)由ICSA〔國(guó)際電腦平安協(xié)會(huì)〕技術(shù)認(rèn)證的掃描引擎，保證對(duì)包括各種千面人病毒、變種病毒和黑客程序等具有最正確的病毒偵測(cè)率，除對(duì)病毒具備全面的反偵察防能力，對(duì)未知病毒亦有良好的偵測(cè)能力。強(qiáng)調(diào)在網(wǎng)絡(luò)防毒系統(tǒng)內(nèi)，實(shí)施統(tǒng)一的防病毒策略、集中的防毒管理和維護(hù)，最大限度地減輕使用人員和維護(hù)人員的工作量。完全自動(dòng)化的日常維護(hù)，便于進(jìn)展病毒及掃描引擎的更新。提供良好的售后效勞及技術(shù)支持。具有良好的可擴(kuò)大性，充分保護(hù)用戶的現(xiàn)有投資，適應(yīng)網(wǎng)絡(luò)系統(tǒng)的今后開(kāi)展需要4.3.5產(chǎn)品應(yīng)用根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的構(gòu)造和應(yīng)用特點(diǎn)，病毒防御可采取多種措施：網(wǎng)關(guān)防毒；效勞器防毒；客戶端防毒；防毒；應(yīng)用拓?fù)淙缦铝袌D：圖4.5病毒應(yīng)用拓?fù)鋱D在網(wǎng)絡(luò)骨干接入處，安裝防毒墻〔即安裝有網(wǎng)關(guān)殺毒軟件的獨(dú)立網(wǎng)關(guān)設(shè)備〕，由防火墻實(shí)現(xiàn)網(wǎng)絡(luò)接入處的病毒防護(hù)。由于是安裝在網(wǎng)絡(luò)接入處，因此，對(duì)主要網(wǎng)絡(luò)協(xié)議進(jìn)展殺毒處理〔SMTP、FTP、HTTP〕。在效勞器上安裝單獨(dú)的效勞器殺毒產(chǎn)品，對(duì)效勞器進(jìn)展病毒保護(hù)。由于內(nèi)部存在幾十個(gè)網(wǎng)絡(luò)客戶端，如采用普通殺毒軟件會(huì)造成升級(jí)麻煩、使用不便等問(wèn)題?？稍谛谄魃习惭b客戶端防病毒產(chǎn)品〔客戶端殺毒軟件的工作模式是效勞器端、客戶端的方式〕的效勞器端，由客戶端通過(guò)網(wǎng)絡(luò)與效勞器端連接后進(jìn)展網(wǎng)絡(luò)化安裝。對(duì)產(chǎn)品升級(jí)，可通過(guò)在效勞器端進(jìn)展設(shè)置，自動(dòng)通過(guò)INETRNET進(jìn)展升級(jí)，再由客戶端到效勞器端進(jìn)展升級(jí)，大大簡(jiǎn)化升級(jí)過(guò)程，并且整個(gè)升級(jí)是自動(dòng)完成，不需要人工操作。對(duì)系統(tǒng)，可采取安裝專用殺毒產(chǎn)品，通過(guò)在效勞器上安裝殺毒程序，實(shí)現(xiàn)對(duì)內(nèi)部的殺毒，保證在收、發(fā)時(shí)都是經(jīng)過(guò)檢查的，確保無(wú)毒。通過(guò)這種方法，可以到達(dá)層層設(shè)防的作用，最終實(shí)現(xiàn)病毒防護(hù)。4.3.6數(shù)據(jù)備份作為國(guó)家機(jī)關(guān)，企業(yè)內(nèi)部存在大量的數(shù)據(jù)，而這里面又有許多重要的、**的信息。而整個(gè)數(shù)據(jù)的平安保護(hù)就顯得特別重要，對(duì)數(shù)據(jù)進(jìn)展定期備份是必不可少的平安措施。在采取數(shù)據(jù)備份時(shí)應(yīng)該注意以下幾點(diǎn)：存儲(chǔ)介質(zhì)平安在選擇存儲(chǔ)介質(zhì)上應(yīng)選擇保存時(shí)間長(zhǎng)，對(duì)環(huán)境要求低的存儲(chǔ)產(chǎn)品，并采取多種存儲(chǔ)介質(zhì)備份。如同時(shí)采用硬盤(pán)、光盤(pán)備份的方式。數(shù)據(jù)平安即數(shù)據(jù)在備份前是真實(shí)數(shù)據(jù)，沒(méi)有經(jīng)過(guò)篡改或含有病毒。備份過(guò)程平安確保數(shù)據(jù)在備份時(shí)是沒(méi)有受到外界任何干擾，包括因異常斷電而使數(shù)據(jù)備份中斷的或其它情況。備份數(shù)據(jù)的保管對(duì)存有備份數(shù)據(jù)的存儲(chǔ)介質(zhì)，應(yīng)保存在平安的地方，防火、防盜及各種災(zāi)害，并注意保存環(huán)境〔溫度、濕度等〕的正常。同時(shí)對(duì)特別重要的備份數(shù)據(jù)，還應(yīng)當(dāng)采取異地備份保管的方式，來(lái)確保數(shù)據(jù)平安。對(duì)重要備份數(shù)據(jù)的異地、多處備份〔防止類似美國(guó)911事件為各公司產(chǎn)生的影響〕4.3.7平安審計(jì)作為一個(gè)良好的平安系統(tǒng)，平安審計(jì)必不可少。由于企業(yè)網(wǎng)是一個(gè)非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對(duì)整個(gè)網(wǎng)絡(luò)〔或重要網(wǎng)絡(luò)局部〕運(yùn)行進(jìn)展記錄、分析是非常重要的，它可以讓用戶通過(guò)對(duì)記錄的日志數(shù)據(jù)進(jìn)展分析、比擬，找出發(fā)生的網(wǎng)絡(luò)平安問(wèn)題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)平安調(diào)整提供依據(jù)。4.3.8認(rèn)證、鑒別、數(shù)字簽名、抗抵賴由于企業(yè)網(wǎng)絡(luò)系統(tǒng)龐大，上面存在很多分級(jí)的重要信息；同時(shí)，由于現(xiàn)在國(guó)家正在大力推進(jìn)電子政務(wù)的開(kāi)展，網(wǎng)上辦公已經(jīng)越來(lái)越多的被應(yīng)用到各級(jí)政府部門(mén)當(dāng)中，因此，需要對(duì)網(wǎng)上用戶的身份、操作權(quán)限等進(jìn)展控制和授權(quán)。對(duì)不同等級(jí)、類型的信息只允許相應(yīng)級(jí)別的人進(jìn)展審閱；對(duì)網(wǎng)上公文的處理采取數(shù)字簽名、抗抵賴等相應(yīng)的平安措施。第5章方案設(shè)計(jì)與實(shí)現(xiàn)5.1工程背景茉莉花公司主干網(wǎng)絡(luò)系統(tǒng)包括環(huán)形的千兆的核心網(wǎng)、千兆鏈路連接的分支節(jié)點(diǎn)和網(wǎng)絡(luò)邊界〔Internet、Cernet〕。其中千兆鏈路主要承載整個(gè)公司信息系統(tǒng)的跨節(jié)點(diǎn)的信息交換傳輸工作，為各種應(yīng)用系統(tǒng)的數(shù)據(jù)流提供高速網(wǎng)絡(luò)通訊支持。網(wǎng)絡(luò)邊界〔Internet、Cernet〕負(fù)責(zé)為整個(gè)公司提供互聯(lián)網(wǎng)、接入功能，極大的擴(kuò)展了公司信息系統(tǒng)的信息量，為檢索外部的海量信息提供了通路。拓?fù)淙缦聢D：圖5.1茉莉花公司主干網(wǎng)絡(luò)拓?fù)鋱D茉莉花公司的信息化建立，是表達(dá)**公司國(guó)際性、時(shí)代性和開(kāi)放性特征的重要環(huán)節(jié)，在當(dāng)前全球經(jīng)濟(jì)一體化的時(shí)代大背景下通過(guò)提高信息化水平來(lái)提升公司的綜合競(jìng)爭(zhēng)力是一個(gè)有效的途徑，應(yīng)用信息化理念和技術(shù)實(shí)現(xiàn)經(jīng)營(yíng)、科研和管理工作的創(chuàng)新已成為必然的趨勢(shì)。經(jīng)過(guò)兩年多的開(kāi)展，公司信息化已經(jīng)初步形成了一定的規(guī)模。目前公司的客戶端數(shù)量到達(dá)了500多臺(tái)，已有20多臺(tái)效勞器為公司提供域控、、內(nèi)部主頁(yè)、OA、財(cái)務(wù)軟件、人力軟件等效勞，并且外部主頁(yè)效勞器和效勞器分別對(duì)外網(wǎng)提供效勞。因此保證公司效勞器平安和內(nèi)部主機(jī)平安，對(duì)公司網(wǎng)絡(luò)穩(wěn)定運(yùn)行具有重要的意義。所以為了使公司網(wǎng)絡(luò)不受Internet外來(lái)攻擊，我們?cè)诤诵慕粨Q機(jī)前部署了一臺(tái)防火墻，用于公司內(nèi)網(wǎng)與Internet的連接。5.2工程需求公司采用了PI*535防火墻作為出口，在眾多的企業(yè)級(jí)主流防火墻中，思科PI*防火墻是所有同類產(chǎn)品性能最好的一種。思科PI*系列防火墻目前有5種型號(hào)PI*506,515,520,525,535。其中PI*535是PI*500系列中最新，功能也是最強(qiáng)大的一款。它可以提供運(yùn)營(yíng)商級(jí)別的處理能力，適用于大型的ISP等效勞提供商。但是PI*特有的操作系統(tǒng)，使得大多數(shù)管理是通過(guò)命令行來(lái)實(shí)現(xiàn)的，不像其他同類的防火墻通過(guò)Web管理界面來(lái)進(jìn)展網(wǎng)絡(luò)管理。PI*防火墻主要實(shí)現(xiàn)以下兩個(gè)功能：一是將內(nèi)網(wǎng)中不同的職能部門(mén)私有網(wǎng)絡(luò)通過(guò)防火墻做邏輯隔離，將內(nèi)網(wǎng)IP轉(zhuǎn)換為Internet公網(wǎng)IP，從而實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以訪問(wèn)Internet。二是允許互聯(lián)網(wǎng)用戶訪問(wèn)公司有關(guān)部門(mén)發(fā)布的官方，從而實(shí)現(xiàn)公司多臺(tái)效勞器通過(guò)一條線路為Internet提供各種效勞。表5.2防火墻接口參數(shù)的配置接口名稱平安級(jí)別IP地址Gb-eth0Intf210Gb-eth0Inside100Eth0Outside0Eth1Intf315表5.3各個(gè)部門(mén)IP地址規(guī)劃單位名稱網(wǎng)絡(luò)IP地址網(wǎng)絡(luò)掩碼部門(mén)1部門(mén)2部門(mén)3部門(mén)4部門(mén)5〔3〕配置要求：將部門(mén)4的所有內(nèi)網(wǎng)IP通過(guò)防火墻轉(zhuǎn)換為互聯(lián)網(wǎng)IP53，使得部門(mén)4的所有內(nèi)網(wǎng)主機(jī)都可以訪問(wèn)互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)的網(wǎng)關(guān)IP地址為。創(chuàng)立內(nèi)部IP地址62和互聯(lián)網(wǎng)IP地址50之間的靜態(tài)映射，使得內(nèi)網(wǎng)效勞器利用公網(wǎng)IP向互聯(lián)網(wǎng)用戶提供效勞。第6章網(wǎng)絡(luò)平安的現(xiàn)狀與展望6.1現(xiàn)階段網(wǎng)絡(luò)平安技術(shù)的局限性談及網(wǎng)絡(luò)平安技術(shù)，就必須提到網(wǎng)絡(luò)平安技術(shù)的三大主流—防火墻技術(shù)、入侵檢測(cè)技術(shù)以及防病毒技術(shù)。任何一個(gè)用戶，在剛剛開(kāi)場(chǎng)面對(duì)平安問(wèn)題的時(shí)候，考慮的往往就是這"老三樣〞?？梢哉f(shuō)，這三種網(wǎng)絡(luò)平安技術(shù)為整個(gè)網(wǎng)絡(luò)平安建立起到了功不可沒(méi)的作用，但是傳統(tǒng)的平安"老三樣〞或者說(shuō)是以其為主的平安產(chǎn)品正面臨著許多新的問(wèn)題。(1)從用戶角度來(lái)看，雖然系統(tǒng)中安裝了防火墻，但是仍然防止不了蠕蟲(chóng)泛濫、垃圾、病毒傳播以及拒絕效勞的侵?jǐn)_。(2)未經(jīng)大規(guī)模部署的入侵檢測(cè)單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的缺乏，且在準(zhǔn)確定位和全局管理方面還有很大的空間。(3)雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的平安并不僅僅是防病毒的問(wèn)題，還包括平安策略的執(zhí)行、外來(lái)非法侵入、補(bǔ)丁管理以及合理管理等方面。所以說(shuō)，雖然"老三樣〞已經(jīng)立下了赫赫戰(zhàn)功，仍然發(fā)揮著重要作用，但是用戶已漸漸感覺(jué)到其缺乏之處。其次，從網(wǎng)絡(luò)平安的整體技術(shù)框架來(lái)看，網(wǎng)絡(luò)平安技術(shù)同樣面臨著很大的問(wèn)題，"老三樣〞根本上還是針對(duì)數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身平安的保障。應(yīng)用層面的平安，需要將側(cè)重點(diǎn)集中在信息語(yǔ)義*疇的"內(nèi)容〞和網(wǎng)絡(luò)虛擬世界的"行為〞上。6.2防火墻技術(shù)開(kāi)展趨勢(shì)在混合攻擊肆虐的時(shí)代，單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要，而具備多種平安功能，基于應(yīng)用協(xié)議層防御、低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)和統(tǒng)一的組件化管理技術(shù)。(1)網(wǎng)絡(luò)平安協(xié)議層防御。防火墻作為簡(jiǎn)單的第二到第四層的防護(hù)，主要針對(duì)像IP、端口等靜態(tài)的信息進(jìn)展防護(hù)和控制，但是真正的平安不能只停留在底層，我們需要構(gòu)建一個(gè)更高、更強(qiáng)、更可靠的墻，除了傳統(tǒng)的訪問(wèn)控制之外，還需要對(duì)垃圾、拒絕效勞、黑客攻擊等外部威脅起到綜合檢測(cè)和治理的作用，實(shí)現(xiàn)七層協(xié)議的保護(hù)，而不僅限于第二到第四層。(2)通過(guò)分類檢測(cè)技術(shù)降低誤報(bào)率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報(bào)過(guò)高，將會(huì)對(duì)用戶帶來(lái)災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出，但是目前全世界對(duì)IPS的部署非常有限，影響其部署的一個(gè)重要問(wèn)題就是誤報(bào)率。分類檢測(cè)技術(shù)可以大幅度降低誤報(bào)率，針對(duì)不同的攻擊，采取不同的檢測(cè)技術(shù)，比方防止拒絕效勞攻擊、防蠕蟲(chóng)和黑客攻擊、防垃圾攻擊、防違規(guī)短信攻擊等，從而顯著降低誤報(bào)率。(3)有高可靠性、高性能的硬件平臺(tái)支撐。(4)一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺(tái)，使用戶能夠有效地管理。這樣，設(shè)備平臺(tái)可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性，用戶可在統(tǒng)一的平臺(tái)上進(jìn)展組件管理，同時(shí)，一體化管理也能消除信息產(chǎn)品之間由于無(wú)法溝通而帶來(lái)的信息孤島，從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候，能夠更好地保障用戶的網(wǎng)絡(luò)平安。6.3入侵檢測(cè)技術(shù)開(kāi)展趨勢(shì)入侵檢測(cè)技術(shù)將從簡(jiǎn)單的事件報(bào)