網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備的部署

網(wǎng)絡(luò)安全架構(gòu)設(shè)計和網(wǎng)絡(luò)安全設(shè)備(shèbèi)的部署第一頁，共五十九頁。合理分域，準(zhǔn)確(zhǔnquè)定級信息系統(tǒng)等級保護(hù)以系統(tǒng)所處理信息的最高重要程度來確定安全等級在合理劃分安全域邊界安全可控的情況下，各安全域可根據(jù)信息的最高重要程度單獨定級，實施“分域分級防護(hù)”的策略，從而(cóngér)降低系統(tǒng)建設(shè)成本和管理風(fēng)險信息系統(tǒng)安全域之間的邊界應(yīng)劃分明確，安全域與安全域之間的所有數(shù)據(jù)通信都應(yīng)安全可控對于不同等級的安全域間通信，應(yīng)實施有效的訪問控制策略和機制，控制高密級信息由高等級安全域流向低等級安全域。第二頁，共五十九頁。面對(miànduì)眾多安全威脅該如何防范？口令(kǒulìng)暴解竊聽(qiètīnɡ)SQL注入跨站腳本惡意代碼誤操作系統(tǒng)漏洞系統(tǒng)故障蠕蟲病毒黑客入侵混合攻擊自然災(zāi)害跨站腳本網(wǎng)站掛馬弱點掃描木馬DoS攻擊輕則：

系統(tǒng)不穩(wěn)定網(wǎng)絡(luò)或業(yè)務(wù)訪問緩慢成為攻擊跳板造成信譽影響。。。重則：業(yè)務(wù)不可訪問網(wǎng)絡(luò)中斷、不可用系統(tǒng)宕機數(shù)據(jù)被竊取、篡改造成經(jīng)濟(jì)損失

導(dǎo)致行政處罰或刑事責(zé)任。。。后門第三頁，共五十九頁。傳統(tǒng)安全防護(hù)(fánghù)思想——頭疼醫(yī)頭，腳痛醫(yī)腳安全(ānquán)的組織保障密碼機物理(wùlǐ)隔離卡基本安全機制LAN/WAN的安全TEMPEST外網(wǎng)互連安全網(wǎng)絡(luò)管理防火墻安全應(yīng)用安全數(shù)據(jù)庫CA認(rèn)證個人機安全保護(hù)安全審計Windows安全UNIX安全操作系統(tǒng)PKI入侵檢測防病毒PMI第四頁，共五十九頁。信息安全的內(nèi)涵和外延是什么？什么樣的系統(tǒng)(xìtǒng)是安全的？信息安全保障的目標(biāo)是什么？信息安全的基本概念機密性完整性可用性不可(bùkě)抵賴性可控性可審計(shěnjì)性第五頁，共五十九頁。信息系統(tǒng)等級(děngjí)保護(hù)標(biāo)準(zhǔn)GB/T17859系列(xìliè)標(biāo)準(zhǔn)

第六頁，共五十九頁。物理(wùlǐ)安全網(wǎng)絡(luò)安全主機(zhǔjī)安全應(yīng)用(yìngyòng)安全數(shù)據(jù)安全身份鑒別（S）安全標(biāo)記（S）訪問控制（S）可信路徑（S）安全審計（G）剩余信息保護(hù)（S）物理位置的選擇（G）物理訪問控制（G）防盜竊和破壞（G）防雷/火/水（G）溫濕度控制（G）電力供應(yīng)（A）數(shù)據(jù)完整性（S）數(shù)據(jù)保密性（S）備份與恢復(fù)（A）防靜電（G）電磁防護(hù)（S）入侵防范（G）資源控制（A）惡意代碼防范（G）結(jié)構(gòu)安全（G）訪問控制（G）安全審計（G）邊界完整性檢查（S）入侵防范（G）惡意代碼防范（G）網(wǎng)絡(luò)設(shè)備防護(hù)（G）身份鑒別（S）剩余信息保護(hù)（S）安全標(biāo)記（S）訪問控制（S）可信路徑（S）安全審計（G）通信完整性（S）通信保密性（S）抗抵賴（G）軟件容錯（A）資源控制（A）技術(shù)要求第七頁，共五十九頁。項目管理安全(ānquán)整改安全(ānquán)巡檢環(huán)境(huánjìng)安全風(fēng)險評估管理體系Management組織體系Organization一體化全局安全管理/監(jiān)控/審計/運維人機界面優(yōu)化加固駐場運維日常維護(hù)安全報告應(yīng)急恢復(fù)運行體系Operation技術(shù)體系Technology風(fēng)險監(jiān)控事件管理脆弱管理性能監(jiān)控安全監(jiān)控中心態(tài)勢感知業(yè)務(wù)監(jiān)控拓?fù)浔O(jiān)控設(shè)備監(jiān)控安全審計中心網(wǎng)絡(luò)審計業(yè)務(wù)審計數(shù)據(jù)審計采集存儲終端審計運維審計合規(guī)審計統(tǒng)計查詢邊界安全傳輸安全環(huán)境安全接入安全入侵檢測漏洞管理準(zhǔn)入管理安全保護(hù)框架基礎(chǔ)設(shè)施邊界安全計算環(huán)境安全支撐設(shè)施IT系統(tǒng)工作臺管理巡檢管理工單管理KPI管理組織人員管理資產(chǎn)管理服務(wù)商管理應(yīng)急管理統(tǒng)計查詢響應(yīng)處置安全運維中心預(yù)警監(jiān)測體系基礎(chǔ)防護(hù)體系安全策略方針角色職責(zé)矩陣安全通報機制安全人員管理教育培訓(xùn)計劃策略制定發(fā)布安全技術(shù)管理安全操作規(guī)范安全設(shè)備管理安全環(huán)境管理安全組織架構(gòu)主管部門公安/保密CNCERT測評機構(gòu)集成商服務(wù)商開發(fā)商供應(yīng)商安全決策機構(gòu)安全執(zhí)行機構(gòu)安全響應(yīng)小組病毒監(jiān)測信息安全體系架構(gòu)第八頁，共五十九頁。IT層次架構(gòu)與安全體系(tǐxì)架構(gòu)的結(jié)合第九頁，共五十九頁。實施企業(yè)(qǐyè)的安全防護(hù)/預(yù)警體系安全防護(hù)(fánghù)體系預(yù)警(yùjǐnɡ)響應(yīng)體系一體化安全運營中心訪問控制傳輸加密流量清洗合規(guī)審計接入安全入侵行為深入檢測精確阻斷漏洞發(fā)現(xiàn)預(yù)警響應(yīng)安全監(jiān)控中心安全審計中心安全運維中心第十頁，共五十九頁。網(wǎng)絡(luò)安全防護(hù)(fánghù)產(chǎn)品防火墻、防水(fánɡshuǐ)墻WEB防火墻、網(wǎng)頁防篡改入侵檢測、入侵防御、防病毒統(tǒng)一威脅管理UTM身份鑒別、虛擬專網(wǎng)加解密、文檔加密、數(shù)據(jù)簽名物理隔離網(wǎng)閘、終端安全與上網(wǎng)行為管理內(nèi)網(wǎng)安全、審計與取證、漏洞掃描、補丁分發(fā)安全管理平臺災(zāi)難備份產(chǎn)品第十一頁，共五十九頁。防火墻安全策略第十二頁，共五十九頁。內(nèi)部(nèibù)工作子網(wǎng)與外網(wǎng)的訪問控制進(jìn)行訪問(fǎngwèn)規(guī)則檢查發(fā)起(fāqǐ)訪問請求合法請求則允許對外訪問將訪問記錄寫進(jìn)日志文件合法請求則允許對外訪問發(fā)起訪問請求防火墻在此處的功能：1、工作子網(wǎng)與外部子網(wǎng)的物理隔離2、訪問控制3、對工作子網(wǎng)做NAT地址轉(zhuǎn)換4、日志記錄

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)第十三頁，共五十九頁。內(nèi)部(nèibù)子網(wǎng)與DMZ區(qū)的訪問控制進(jìn)行(jìnxíng)訪問規(guī)則檢查發(fā)起(fāqǐ)訪問請求合法請求則允許對外訪問將訪問記錄寫進(jìn)日志文件禁止對工作子網(wǎng)發(fā)起連結(jié)請求發(fā)起訪問請求

Internet區(qū)域Internet邊界路由器DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)第十四頁，共五十九頁。DMZ區(qū)域(qūyù)與外網(wǎng)的訪問控制

Internet區(qū)域Internet邊界路由器進(jìn)行訪問規(guī)則(guīzé)檢查發(fā)起訪問(fǎngwèn)請求合法請求則允許對外訪問將訪問記錄寫進(jìn)日志文件禁止對外發(fā)起連結(jié)請求發(fā)起訪問請求防火墻在此處的功能：1、DMZ網(wǎng)段與外部子網(wǎng)的物理隔離2、訪問控制3、對DMZ子網(wǎng)做MAP映射4、日志記錄DMZ區(qū)域WWWMailDNS內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)第十五頁，共五十九頁。防火墻的不足(bùzú)防火墻并非萬能(wànnéng)，防火墻不能完成的工作：源于內(nèi)部的攻擊不通過防火墻的連接完全新的攻擊手段不能防病毒第十六頁，共五十九頁。防火墻的局限性防火墻不能防止通向站點的后門。防火墻一般不提供對內(nèi)部的保護(hù)。防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊。防火墻本身的防攻擊能力不夠，容易成為被攻擊的首要目標(biāo)。防火墻不能根據(jù)網(wǎng)絡(luò)被惡意(èyì)使用和攻擊的情況動態(tài)調(diào)整自己的策略。第十七頁，共五十九頁。什么(shénme)是VPNVPN(VirtualPrivateNetwork)是通過(tōngguò)

internet公共網(wǎng)絡(luò)在局域網(wǎng)絡(luò)之間或單點之間安全地傳遞數(shù)據(jù)的技術(shù)VPN可以省去專線租用費用或者長距離電話費用，大大降低成本(chéngběn)VPN可以充分利用internet公網(wǎng)資源，快速地建立起公司的廣域連接ISPModemsVPNGatewayVPNGateway總部網(wǎng)絡(luò)遠(yuǎn)程局域網(wǎng)絡(luò)總部分支機構(gòu)單個用戶Internet第十八頁，共五十九頁。傳統(tǒng)VPN聯(lián)網(wǎng)(liánwǎnɡ)方式公司總部辦事處/SOHO公共(gōnggòng)網(wǎng)絡(luò)VPN通道(tōngdào)VPN設(shè)備VPN設(shè)備VPN設(shè)備VPNclient第十九頁，共五十九頁。VPN解決方案遠(yuǎn)程訪問Internet分支機構(gòu)虛擬(xūnǐ)私有網(wǎng)虛擬(xūnǐ)私有網(wǎng)虛擬(xūnǐ)私有網(wǎng)合作伙伴內(nèi)部網(wǎng)第二十頁，共五十九頁?；?jīyú)PPTP/L2TP的撥號VPN在Internal端網(wǎng)絡(luò)定義遠(yuǎn)程地址池每個客戶端動態(tài)地在地址池中為VPN會話獲取地址客戶端先得撥號（163/169）得到一個(yīɡè)公網(wǎng)地址，然后和公司的防火墻設(shè)備利用PPTP/L2TP協(xié)議進(jìn)行VPN的建立建立VPN的用戶可以訪問公司內(nèi)部網(wǎng)絡(luò)的所有資源，就象在內(nèi)部網(wǎng)中一樣客戶端不需要附加軟件的安裝，簡單方便Dial-UpNATPool/24---0

第二十一頁，共五十九頁。SSLVPNSSLVPN是解決遠(yuǎn)程用戶訪問(fǎngwèn)敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過簡單易用的方法實現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機器都可以使用SSLVPN，這是因為SSL內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件。第二十二頁，共五十九頁。入侵(rùqīn)檢測系統(tǒng)IDS第二十三頁，共五十九頁。入侵預(yù)防系統(tǒng)也像入侵偵查系統(tǒng)一樣，專門深入網(wǎng)路數(shù)據(jù)內(nèi)部，查找它所認(rèn)識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進(jìn)行記載，以便事后分析。除此之外，更重要的是，大多數(shù)入侵預(yù)防系統(tǒng)同時結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸中的異常情況，來輔助識別入侵和攻擊。比如，用戶或用戶程序違反安全條例、數(shù)據(jù)包在不應(yīng)該出現(xiàn)的時段出現(xiàn)、作業(yè)系統(tǒng)或應(yīng)用程序弱點的空子正在被利用等等現(xiàn)象(xiànxiàng)。入侵預(yù)防系統(tǒng)雖然也考慮已知病毒特征，但是它并不僅僅依賴于已知病毒特征。第二十四頁，共五十九頁。入侵檢測(jiǎncè)的概念和作用入侵檢測即通過(tōngguò)從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點收集并分析信息，監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為。它能夠提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，對內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實時監(jiān)控，在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用。第二十五頁，共五十九頁。入侵檢測(jiǎncè)系統(tǒng)的作用實時檢測實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文安全審計對系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計分析發(fā)現(xiàn)異?，F(xiàn)象得出系統(tǒng)(xìtǒng)的安全狀態(tài)，找出所需要的證據(jù)主動響應(yīng)主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理第二十六頁，共五十九頁。入侵檢測(jiǎncè)系統(tǒng)工作原理：實時監(jiān)控網(wǎng)絡(luò)(wǎngluò)數(shù)據(jù)，與已知的攻擊手段進(jìn)行匹配，從而發(fā)現(xiàn)網(wǎng)絡(luò)(wǎngluò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。使用方式：作為防火墻后的第二道防線。第二十七頁，共五十九頁。入侵(rùqīn)檢測系統(tǒng)FirewallInternetServersDMZIDSAgentIntranet監(jiān)控(jiānkònɡ)中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警(bàojǐng)報警IDSAgent第二十八頁，共五十九頁。利用(lìyòng)RealSecure進(jìn)行可適應(yīng)性

攻擊檢測和響應(yīng)DMZ?E-Mail

?FileTransfer?HTTPIntranet企業(yè)(qǐyè)網(wǎng)絡(luò)生產(chǎn)(shēngchǎn)部工程部市場部人事部路由Internet中繼外部攻擊警告!記錄攻擊外部攻擊終止連接入侵檢測工具舉例第二十九頁，共五十九頁。DMZ?E-Mail

?FileTransfer?HTTPIntranet企業(yè)(qǐyè)網(wǎng)絡(luò)生產(chǎn)(shēngchǎn)部工程部市場部人事部路由Internet中繼內(nèi)部攻擊警告!啟動事件日志,發(fā)送消息入侵(rùqīn)檢測工具舉例第三十頁，共五十九頁。DMZ?E-Mail

?FileTransfer?HTTPIntranet企業(yè)(qǐyè)網(wǎng)絡(luò)生產(chǎn)(shēngchǎn)部工程部市場部人事部路由Internet中繼外部攻擊商務(wù)(shāngwù)伙伴警告!記錄進(jìn)攻,發(fā)送消息,終止連接外部攻擊中止連接重新配置路由或防火墻以便隱藏IP地址入侵檢測工具舉例第三十一頁，共五十九頁。入侵(rùqīn)檢測基本原理：利用sniffer方式獲取網(wǎng)絡(luò)數(shù)據(jù)(shùjù)，根據(jù)已知特征判斷是否存在網(wǎng)絡(luò)攻擊優(yōu)點：能及時獲知網(wǎng)絡(luò)安全狀況，借助分析發(fā)現(xiàn)安全隱患或攻擊信息，便于及時采取措施。不足：準(zhǔn)確性：誤報率和漏報率有效性：難以及時阻斷危險行為第三十二頁，共五十九頁。物理隔離(gélí)裝置第三十三頁，共五十九頁。物理(wùlǐ)隔離主要分兩種：雙網(wǎng)隔離(gélí)計算機物理隔離網(wǎng)閘第三十四頁，共五十九頁。雙網(wǎng)隔離(gélí)計算機解決每人2臺計算機的問題1臺計算機，可以分時使用內(nèi)網(wǎng)或外網(wǎng)關(guān)鍵部件硬盤網(wǎng)線軟盤(ruǎnpán)/USB/MODEM等共享部件顯示器鍵盤/鼠標(biāo)主板/電源硬盤*原理切換關(guān)鍵部件第三十五頁，共五十九頁。簡單(jiǎndān)雙網(wǎng)隔離計算機外網(wǎng)硬盤內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共(gōnggòng)部件控制卡控制(kòngzhì)開關(guān)第三十六頁，共五十九頁。復(fù)雜(fùzá)雙網(wǎng)隔離計算機內(nèi)網(wǎng)硬盤外網(wǎng)網(wǎng)線內(nèi)網(wǎng)網(wǎng)線公共(gōnggòng)部件控制卡遠(yuǎn)端設(shè)備(shèbèi)使用控制卡上的翻譯功能將硬盤分為邏輯上獨立的部分充分使用UTP中的8芯，減少一根網(wǎng)線第三十七頁，共五十九頁。物理(wùlǐ)隔離網(wǎng)閘的基本原理采用(cǎiyòng)數(shù)據(jù)“擺渡”的方式實現(xiàn)兩個網(wǎng)絡(luò)之間的信息交換在任意時刻，物理隔離設(shè)備只能與一個網(wǎng)絡(luò)的主機系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)連接，即當(dāng)它與外部網(wǎng)絡(luò)相連接時，它與內(nèi)部網(wǎng)絡(luò)的主機是斷開的，反之亦然。任何形式的數(shù)據(jù)包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離設(shè)備。物理隔離設(shè)備在網(wǎng)絡(luò)的第7層講數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”形式傳遞原始數(shù)據(jù)。第三十八頁，共五十九頁。物理(wùlǐ)隔離實現(xiàn)基本原理第三十九頁，共五十九頁。物理(wùlǐ)隔離實現(xiàn)基本原理內(nèi)外網(wǎng)模塊連接相應(yīng)網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)的接收及預(yù)處理等操作；交換模塊采用專用的高速(ɡāosù)隔離電子開關(guān)實現(xiàn)與內(nèi)外網(wǎng)模塊的數(shù)據(jù)交換，保證任意時刻內(nèi)外網(wǎng)間沒有鏈路層連接；數(shù)據(jù)只能以專用數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)間通過網(wǎng)閘進(jìn)行“擺渡”，傳送到網(wǎng)閘另一側(cè)；集成多種安全技術(shù)手段，采用強制安全策略，對數(shù)據(jù)內(nèi)容進(jìn)行安全檢測，保障數(shù)據(jù)安全、可靠的交換。第四十頁，共五十九頁。

對請求數(shù)據(jù)進(jìn)行(jìnxíng)合法性檢查，剝離原有協(xié)議成裸數(shù)據(jù)，進(jìn)行內(nèi)容檢查，然后重組

對收到外網(wǎng)的數(shù)據(jù)(shùjù)進(jìn)行病毒檢查、解析、過濾和重組等處理隔離網(wǎng)閘的工作(gōngzuò)流程將重組的數(shù)據(jù)還原為標(biāo)準(zhǔn)通訊協(xié)議，回傳到內(nèi)網(wǎng)

將重組的數(shù)據(jù)還原為標(biāo)準(zhǔn)通訊協(xié)議，向外網(wǎng)發(fā)送專用隔離硬件、專用通訊協(xié)議專用隔離硬件、專用通訊協(xié)議第四十一頁，共五十九頁。安全隔離(gélí)工作示意圖安全(ānquán)隔離系統(tǒng)非信任(xìnrèn)網(wǎng)絡(luò)或Internet信任網(wǎng)絡(luò)隔離裝置連接系統(tǒng)連接系統(tǒng)第四十二頁，共五十九頁。物理隔離技術(shù)(jìshù)的應(yīng)用內(nèi)網(wǎng)和外部(wàibù)網(wǎng)之間第四十三頁，共五十九頁。網(wǎng)閘隔離(gélí)網(wǎng)閘和防火墻區(qū)別

≤1ms防火墻是單主機系統(tǒng)(xìtǒng)

防火墻采用通用通訊協(xié)議即TCP/IP協(xié)議

防火墻必須保證實時連接防火墻是主動響應(yīng)網(wǎng)閘采用雙主機系統(tǒng)，內(nèi)端機與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接，外端機與外網(wǎng)連接。這種雙系統(tǒng)模式徹底將內(nèi)網(wǎng)保護(hù)起來網(wǎng)閘采用自身定義的私有通訊協(xié)議，避免了通用協(xié)議存在的漏洞。

網(wǎng)閘采用專用硬件控制技術(shù)保證內(nèi)外網(wǎng)之間沒有實時連接。

網(wǎng)閘對外網(wǎng)的任何響應(yīng)都保證是內(nèi)網(wǎng)合法用戶發(fā)出的請求應(yīng)答(yìngdá)，即被動響應(yīng)，而防火墻則不會對外網(wǎng)響應(yīng)進(jìn)行判斷，也即主動響應(yīng)。這樣，網(wǎng)閘就避免了木馬和黑客的攻擊。防火墻第四十四頁，共五十九頁。物理(wùlǐ)隔離技術(shù)的優(yōu)缺點優(yōu)點：

中斷直接連接

強大的檢查機制(jīzhì)

最高的安全性缺點：

對協(xié)議不透明，對每一種協(xié)議都要一種具體的實現(xiàn) 效率低第四十五頁，共五十九頁。防病毒軟件第四十六頁，共五十九頁。網(wǎng)絡(luò)(wǎngluò)防病毒基本功能：串接于網(wǎng)絡(luò)中，根據(jù)網(wǎng)絡(luò)病毒的特征在網(wǎng)絡(luò)數(shù)據(jù)中比對，從而(cóngér)發(fā)現(xiàn)并阻斷病毒傳播優(yōu)點：能有效阻斷已知網(wǎng)絡(luò)病毒的傳播不足：只能檢查已經(jīng)局部發(fā)作的病毒對網(wǎng)絡(luò)有一定影響第四十七頁，共五十九頁。堡壘(bǎolěi)機第四十八頁，共五十九頁。堡壘機又被稱為“堡壘主機”，是一個主機系統(tǒng)，其自身通常經(jīng)過了一定的加固，具有較高的安全性，可抵御一定的攻擊，其作用主要是將需要保護(hù)的信息系統(tǒng)資源與安全威脅的來源進(jìn)行隔離，從而在被保護(hù)的資源前面(qiánmian)形成一個堅固的“堡壘”，并且在抵御威脅的同時又不影響普通用戶對資源的正常訪問。第四十九頁，共五十九頁。運維審計型堡壘機運維審計型堡壘機被部署在內(nèi)網(wǎng)中的服務(wù)器和網(wǎng)絡(luò)設(shè)備等核心資源的前面，對運維人員的操作權(quán)限進(jìn)行控制和操作行為審計；運維審計型堡壘機即解決了運維人員權(quán)限難以控制混亂局面，又可對違規(guī)操作行為進(jìn)行控制和審計，而且由于運維操作本身不會產(chǎn)生大規(guī)模的流量，堡壘機不會成為性能的瓶頸，所以堡壘機作為運維操作審計的手段得到了快速(kuàisù)發(fā)展。

第五十頁，共五十九頁。第五十一頁，共五十九頁。選擇(xuǎnzé)要點管理方便提供一套簡單直觀的賬號管理、授權(quán)管理策略，管理員可快速方便地查找某個用戶，查詢修改訪問權(quán)限；同時(tóngshí)用戶能夠方便的通過登錄堡壘機對自己的基本信息進(jìn)行管理，包括賬號、口令等進(jìn)行修改更新?？蓴U展性當(dāng)進(jìn)行新系統(tǒng)建設(shè)或擴容時，需要增加新的設(shè)備到堡壘機時，系統(tǒng)應(yīng)能方便的增加設(shè)備數(shù)量