標準的網(wǎng)絡(luò)安全設(shè)計方案

網(wǎng)絡(luò)安全方案TOC\o"1-1"\h\u某校園網(wǎng)方案 2網(wǎng)絡(luò)防火墻設(shè)計中的問題 16如何構(gòu)建網(wǎng)絡(luò)整體安全方案 22四臺Cisco防火墻實現(xiàn)VPN網(wǎng)絡(luò) 27企業(yè)級防火墻選購熱點 30增強路由器安全的十個技巧 32啟明星辰銀行安全防御方案 33神碼基金公司信息安全解決方案 34安天校園網(wǎng)解決方案 37網(wǎng)絡(luò)入侵檢測解決方案 38企業(yè)需要什么樣的IDS測試IDS的幾個性能指標 40東軟安全助力武漢信用風(fēng)險管理信息系統(tǒng) 43某校園網(wǎng)方案1.1設(shè)計原則1.充分滿足現(xiàn)在以及未來3-5年內(nèi)的網(wǎng)絡(luò)需求，既要保證校園網(wǎng)能很好的為學(xué)校服務(wù)，又要保護學(xué)校的投資。2.強大的安全管理措施，四分建設(shè)、六分管理，管理維護的好壞是校園網(wǎng)正常運行的關(guān)鍵3.在滿足學(xué)校的需求的前提下，建出自己的特色1.2網(wǎng)絡(luò)建設(shè)需求網(wǎng)絡(luò)的穩(wěn)定性要求整個網(wǎng)絡(luò)需要具有高度的穩(wěn)定性，能夠滿足不同用戶對網(wǎng)絡(luò)訪問的不同要求網(wǎng)絡(luò)高性能需求整個網(wǎng)絡(luò)系統(tǒng)需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網(wǎng)各種應(yīng)用的暢通無阻認證計費效率高，對用戶的認證和計費不會對網(wǎng)絡(luò)性能造成瓶頸網(wǎng)絡(luò)安全需求防止IP地址沖突非法站點訪問過濾非法言論的準確追蹤惡意攻擊的實時處理記錄訪問日志提供完整審計網(wǎng)絡(luò)管理需求需要方便的進行用戶管理，包括開戶、銷戶、資料修改和查詢需要能夠?qū)W(wǎng)絡(luò)設(shè)備進行集中的統(tǒng)一管理需要對網(wǎng)絡(luò)故障進行快速高效的處理第二章、某校園網(wǎng)方案設(shè)計2.1校園網(wǎng)現(xiàn)網(wǎng)拓撲圖整個網(wǎng)絡(luò)采用二級的網(wǎng)絡(luò)架構(gòu)：核心、接入。核心采用一臺RG－S4909，負責(zé)整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)，同時為接入交換機S1926F+、內(nèi)部服務(wù)器提供百兆接口。網(wǎng)絡(luò)出口采用RG-WALL1200防火墻。原有網(wǎng)絡(luò)設(shè)備功能較少，無法進行安全防護，已經(jīng)不能滿足應(yīng)用的需求。2.2校園網(wǎng)設(shè)備更新方案方案一：不更換核心設(shè)備核心仍然采用銳捷網(wǎng)絡(luò)S4909交換機，在中校區(qū)增加一臺SAM服務(wù)器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+,其中匯聚交換機各采用一臺新增的S2126G，剩余的兩臺S2126G用于加強對關(guān)鍵機器的保護，中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺S2126G做為匯聚設(shè)備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有匯聚層交換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網(wǎng)絡(luò)布局。方案二：更換核心設(shè)備核心采用一臺銳捷網(wǎng)絡(luò)面向10萬兆平臺設(shè)計的多業(yè)務(wù)IPV6路由交換機RG-S8606，負責(zé)整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增加一臺SAM服務(wù)器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設(shè)備，下接三臺S2126G實現(xiàn)安全控制，其它二層交換機分別接入相應(yīng)的S2126G。西校區(qū)匯聚采用一臺S2126G，剩余兩臺S2126G用于保護重點機器，其它交換機接入對應(yīng)的S2126G。中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺S2126G做為匯聚設(shè)備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有匯聚層交換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網(wǎng)絡(luò)布局。2.3骨干網(wǎng)絡(luò)設(shè)計骨干網(wǎng)絡(luò)由RG-S8606構(gòu)成，核心交換機RG-S8606主要具有5特性：1、骨干網(wǎng)帶寬設(shè)計：千兆骨干，可平滑升級到萬兆整個骨干網(wǎng)采用千兆雙規(guī)線路的設(shè)計，二條線路通過VRRP冗余路由協(xié)議和OSPF動態(tài)路由協(xié)議實現(xiàn)負載分擔(dān)和冗余備份，以后，隨著網(wǎng)絡(luò)流量的增加，可以將鏈路升級到萬兆。2、骨干設(shè)備的安全設(shè)計：CSS安全體系架構(gòu)3、CSS之硬件CPPCPP即CPUProtectPolicy，RG-S8606采用硬件來實現(xiàn)，CPP提供管理模塊和線卡CPU的保護功能，對發(fā)往CPU的數(shù)據(jù)流進行帶寬限制（總帶寬、QOS隊列帶寬、類型報文帶寬），這樣，對于ARP攻擊的數(shù)據(jù)流、針對CPU的網(wǎng)絡(luò)攻擊和病毒數(shù)據(jù)流，RG-S8606分配給其的帶寬非常的有限，不會影響其正常工作。由于銳捷10萬兆產(chǎn)品RG-S8606采用硬件的方式實現(xiàn)，不影響整機的運行效率4、CSS之SPOH技術(shù)現(xiàn)在的網(wǎng)絡(luò)需要更安全、需要為不同的業(yè)務(wù)提供不同的處理優(yōu)先級，這樣，大量的ACL和QOS需要部署，需要核心交換機來處理，而這些應(yīng)用屬于對交換機硬件資源消耗非常大的，核心交換機RG-S8606通過在交換機的每一個用戶端口上增加一個FFP(快速過濾處理器)，專門用來處理ACL和QOS，相當于把交換機的每一個端口都變成了一臺獨立的交換機，可以保證在非常復(fù)雜的網(wǎng)絡(luò)環(huán)境中核心交換機的高性能。2.4網(wǎng)絡(luò)安全設(shè)計2.4.1某校園網(wǎng)網(wǎng)絡(luò)安全需求分析1、網(wǎng)絡(luò)病毒的防范病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個特征就是用戶數(shù)比較多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學(xué)生感染上病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務(wù)器。病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問得不到響應(yīng)，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。2、防止IP、MAC地址的盜用IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡(luò)是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò)，因為大量的IP、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時候，自己的電腦上會經(jīng)常彈出MAC地址沖突的對話框。由于擔(dān)心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務(wù)于教學(xué)的作用，造成很大程度上的資源浪費。3、安全事故發(fā)生時候，需要準確定位到用戶安全事故發(fā)生時候，需要準確定位到用戶原因：國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門審計。校園網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學(xué)生會在網(wǎng)絡(luò)中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學(xué)生在校外的某個站點發(fā)布了大量涉及政治的言論，這時候公安部門的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時候，我們無法處理，學(xué)?；蛘哒f網(wǎng)絡(luò)中心只有替學(xué)生背這個黑鍋。4、安全事故發(fā)生時候，不能準確定位到用戶的影響：一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學(xué)校做出處理；同時也會大大降低學(xué)校在社會上的影響力，降低家長、學(xué)生對學(xué)校的滿意度，對以后學(xué)生的招生也是大有影響的。5、用戶上網(wǎng)時間的控制無法控制學(xué)生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學(xué)生可能會利用一切機會上網(wǎng)，會曠課。學(xué)生家長會對學(xué)校產(chǎn)生強烈的不滿，會認為學(xué)校及其的不負責(zé)任，不是在教書育人。這對學(xué)校的聲譽以及學(xué)校的長期發(fā)展是及其不利的。6、用戶網(wǎng)絡(luò)權(quán)限的控制在校園網(wǎng)中，不同用戶的訪問權(quán)限應(yīng)該是不一樣的，比如學(xué)生應(yīng)該只能夠訪問資源服務(wù)器，上網(wǎng)，不能訪問辦公網(wǎng)絡(luò)、財務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問財務(wù)網(wǎng)絡(luò)。因此，需要對用戶網(wǎng)絡(luò)權(quán)限進行嚴格的控制。7、各種網(wǎng)絡(luò)攻擊的有效屏蔽校園網(wǎng)中常見的網(wǎng)絡(luò)攻擊比如MACFLOOD、SYNFLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務(wù)器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的廣播報文，這些攻擊的存在，會擾亂網(wǎng)絡(luò)的正常運行，降低了校園網(wǎng)的效率。2.4.2某校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計思想安全到邊緣的設(shè)計思想用戶在訪問網(wǎng)絡(luò)的過程中，首先要經(jīng)過的就是交換機，如果我們能在用戶試圖進入網(wǎng)絡(luò)的時候，也就是在接入層交換機上部署網(wǎng)絡(luò)安全無疑是達到更好的效果。全局安全的設(shè)計思想銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)安全，安全不是某一個設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能，互相協(xié)作，形成一個全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)安全。全程安全的設(shè)計思想用戶的網(wǎng)絡(luò)訪問行為可以分為三個階段，包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時候、訪問網(wǎng)絡(luò)后。對著每一個階段，都應(yīng)該有嚴格的安全控制措施。2.4.3某校園網(wǎng)網(wǎng)絡(luò)安全方案銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和交換機嵌入式安全防護機制設(shè)計的特點，從三個方面實現(xiàn)網(wǎng)絡(luò)安全：事前的準確身份認證、事中的實時處理、事后的完整審計。事前的身份認證對于每一個需要訪問網(wǎng)絡(luò)的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時間，通過以上信息的綁定，可以達到如下的效果：每一個用戶的身份在整個校園網(wǎng)中是唯一，避免了個人信息被盜用.當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。網(wǎng)絡(luò)攻擊的防范1、常見網(wǎng)絡(luò)病毒的防范對于常見的比如沖擊波、振蕩波等對網(wǎng)絡(luò)危害特別嚴重的網(wǎng)絡(luò)病毒，通過部署擴展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。2、未知網(wǎng)絡(luò)病毒的防范對于未知的網(wǎng)絡(luò)病毒，通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡(luò)應(yīng)用的運行，從而保證了網(wǎng)絡(luò)的高可用性。3、防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。4、防止假冒IP、MAC發(fā)起的MACFlood\SYNFlood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現(xiàn)）。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡(luò)的攻擊，進一步增強網(wǎng)絡(luò)的安全性。5、非法組播源的屏蔽銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關(guān)閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉(zhuǎn)發(fā)到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。6、對DOS攻擊，掃描攻擊的屏蔽通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時導(dǎo)致的網(wǎng)絡(luò)中斷。事后的完整審計當用戶訪問完網(wǎng)絡(luò)后，會保存有完備的用戶上網(wǎng)日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網(wǎng)絡(luò)，什么時候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。2.5網(wǎng)絡(luò)管理設(shè)計網(wǎng)絡(luò)管理包括設(shè)備管理、用戶管理、網(wǎng)絡(luò)故障管理2.5.1網(wǎng)絡(luò)用戶管理網(wǎng)絡(luò)用戶管理見網(wǎng)絡(luò)運營設(shè)計開戶部分2.5.2網(wǎng)絡(luò)設(shè)備管理網(wǎng)絡(luò)設(shè)備的管理通過STARVIEW實現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路：1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動發(fā)現(xiàn)和了解STARVIEW能自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對整個校園網(wǎng)了如指掌，對于用戶私自掛接的HUB、交換機等設(shè)備能及時地發(fā)現(xiàn)，提前消除各種安全隱患。對于網(wǎng)絡(luò)中的異常故障，比如某臺交換機的CPU利用率過高，某條鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示，方便管理員及時地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。2、網(wǎng)絡(luò)流量的查看STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進一步的察看網(wǎng)絡(luò)中的詳細流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。3、網(wǎng)絡(luò)故障的信息自動報告STARVIEW支持故障信息的自動告警，當網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時，會通過TRAP的方式進行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。4、設(shè)備面板管理STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設(shè)備上，進行配置的修改，完善以及各種信息的察看。5、RGNOS操作系統(tǒng)的批量升級校園網(wǎng)很大的一個特點就是規(guī)模大，需要使用大量的接入層交換機，如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進行升級，加大的較少了網(wǎng)絡(luò)管理員的工作量。2.5.3網(wǎng)絡(luò)故障管理隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運營的開始，用戶網(wǎng)絡(luò)故障的排除會成為校園網(wǎng)管理工作的重點和難點，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個流程：2.6流量管理系統(tǒng)設(shè)計網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的P2P軟件的使用，已經(jīng)對各種網(wǎng)絡(luò)業(yè)務(wù)的正常開展產(chǎn)生了非常嚴重的影響，有的學(xué)校甚至因為P2P軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。2.6.1方案一：傳統(tǒng)的流量管理方案傳統(tǒng)的流量管理方案的做法很多就是簡單的封堵這些P2P軟件，從而達到控制流量的目的，這有三大弊端，第一：這些軟件之所以有如此強大的生命力，是因為用戶通過使用這些軟件的確能快速的獲取各種有用的資源，如果簡單的通過禁止的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲取。第二：各種新型的，對網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠處于被動的局面，顯然不能從根本上解決這個問題。第三：我們無法獲取網(wǎng)絡(luò)中的流量信息，無法為校園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。2.6.2方案二：銳捷的流量管理與控制方案銳捷網(wǎng)絡(luò)的流量管理主要通過RG-NTD+日志處理軟件+RG-SAM系統(tǒng)來實現(xiàn)。NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計費，銳捷的流量管理方案有三大功能：第一：為SAM系統(tǒng)對用戶進行流量計費提供原始數(shù)據(jù)，這是我們已經(jīng)實現(xiàn)了的功能。該功能能滿足不同消費層次的用戶對帶寬的需求，經(jīng)濟條件好一點，可以多用點流量，提高了用戶的滿意度。而且，對于以后新出現(xiàn)的功能更加強大的下載軟件，都不必擔(dān)心用戶任意使用造成帶寬擁塞。第二：提供日志審計和帶寬管理功能，通過NTD、SAM、日志系統(tǒng)的結(jié)合，能夠做到基于用戶身份對用戶進行管理，做到將用戶名、源IP、目的IP直接關(guān)聯(lián)，通過目的IP，可以直接定位到用戶名，安全事件處理起來非常的方便，同時還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會在明年4月份提供。第三：能夠?qū)W(wǎng)絡(luò)中的各種流量了如指掌，可以對用戶經(jīng)常訪問的資源進行分析對比，為應(yīng)用系統(tǒng)的建設(shè)、服務(wù)器的升級改造提供數(shù)據(jù)支持；能夠及時的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量，從而進行有效的防范，結(jié)合認證計費系統(tǒng)SAM，能夠捕捉到事件源頭，并于做出處理。總體來說，流量控制和管理和日志系統(tǒng)的整體解決方案對于校園網(wǎng)的長期健康可持續(xù)發(fā)展是很有幫助的。網(wǎng)絡(luò)防火墻設(shè)計中的問題方案：硬件？還是軟件？現(xiàn)在防火墻的功能越來越多越花哨，如此多的功能必然要求系統(tǒng)有一個高效的處理能力。防火墻從實現(xiàn)上可以分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint公司的Firewall-I為代表，其實現(xiàn)是通過dev_add_pack的辦法加載過濾函數(shù)（Linux，其他操作系統(tǒng)沒有作分析，估計類似），通過在操作系統(tǒng)底層做工作來實現(xiàn)防火墻的各種功能和優(yōu)化。國內(nèi)也有一些所謂的軟件防火墻，但據(jù)了解大多是所謂“個人”防火墻，而且功能及其有限，故不在此討論范圍。在國內(nèi)目前已通過公安部檢驗的防火墻中，硬件防火墻占絕大多數(shù)。硬件防火墻一種是從硬件到軟件都單獨設(shè)計，典型如Netscreen防火墻不但軟件部分單獨設(shè)計，硬件部分也采用專門的ASIC集成電路。另外一種就是基于PC架構(gòu)的使用經(jīng)過定制的通用操作系統(tǒng)的所謂硬件防火墻。目前國內(nèi)絕大多數(shù)防火墻都屬于這種類型。雖然都號稱硬件防火墻，國內(nèi)廠家和國外廠家還是存在著巨大區(qū)別。硬件防火墻需要在硬件和軟件兩方面同時下功夫，國外廠家的通常做法是軟件運算硬件化，其所設(shè)計或選用的運行平臺本身的性能可能并不高，但它將主要的運算程序（查表運算是防火墻的主要工作）做成芯片，以減少主機CPU的運算壓力。國內(nèi)廠家的防火墻硬件平臺基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是可以節(jié)省硬件開發(fā)成本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量而已?，F(xiàn)在國內(nèi)防火墻的一個典型結(jié)構(gòu)就是：工業(yè)主板+x86+128（256）M內(nèi)存+DOC/DOM+硬盤（或不要硬盤而另增加一個日志服務(wù)器）+百兆網(wǎng)卡這樣一個工業(yè)PC結(jié)構(gòu)。在軟件性能方面，國內(nèi)外廠家的差別就更大了，國外（一些著名）廠家均是采用專用的操作系統(tǒng)，自行設(shè)計防火墻。而國內(nèi)所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的Linux，無一例外。各廠家的區(qū)別僅僅在于對Linux系統(tǒng)本身和防火墻部分（2.2內(nèi)核為ipchains，2.4以后內(nèi)核為netfilter）所作的改動量有多大。事實上，Linux只是一個通用操作系統(tǒng)，它并沒有針對防火墻功能做什么優(yōu)化，而且其處理大數(shù)據(jù)量通信方面的能力一直并不突出，甚至比較低下（這也是Linux一直只是低端服務(wù)器的寵兒的重要原因，我自己認為，在這一點上它還不如BSD系列，據(jù)說國外有用BSD做防火墻的，國內(nèi)尚未見到）?，F(xiàn)在絕大部分廠家，甚至包括號稱國內(nèi)最大的天融信，在軟件方面所作的工作無非也就是系統(tǒng)有針對性的裁減、防火墻部分代碼的少量改動（絕大部分還是沒有什么改動）和少量的系統(tǒng)補丁。而且我們在分析各廠家產(chǎn)品時可以注意這一點，如果哪個廠家對系統(tǒng)本身做了什么大的改動，它肯定會把這個視為一個重要的賣點，大吹特吹，遺憾的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個類似于checkpoint的功能：開放式的安全應(yīng)用接口TOPSEC，但它究竟做了多少工作，還需要去仔細了解）。目前國內(nèi)廠家也已經(jīng)認識到這個問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。在此我們僅針對以Linux（或其他通用操作系統(tǒng)）為基礎(chǔ)的、以PC架構(gòu)為硬件載體的防火墻做討論，以下如不特別提出，均同。2．內(nèi)核和防火墻設(shè)計現(xiàn)在有一種商業(yè)賣點，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關(guān)于防火墻分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應(yīng)用型防火墻（一般結(jié)合了包過濾功能，因此也成為混合型防火墻）稱為第二代防火墻，有些廠家把增加了檢測通信信息、狀態(tài)檢測和應(yīng)用監(jiān)測的防火墻稱為第三代防火墻，更有甚者在此基礎(chǔ)上提出了采用安全操作系統(tǒng)的防火墻，并把這個稱為第四代防火墻）。所謂安全操作系統(tǒng)，其實大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡單改造的工作，主要有以下：取消危險的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動（如加載一些llkm）；限制命令執(zhí)行權(quán)限；取消IP轉(zhuǎn)發(fā)功能；檢查每個分組的接口；采用隨機連接序號；駐留分組過濾模塊；取消動態(tài)路由功能；采用多個安全內(nèi)核（這個只見有人提出，但未見到實例，對此不是很清楚）。以上諸多工作，其實基本上都沒有對內(nèi)核源碼做太大改動，因此從個人角度來看算不上可以太夸大的地方。對于防火墻部分，國內(nèi)大部分已經(jīng)升級到2.4內(nèi)核所支持的netfilter。netfilter已經(jīng)是一個功能比較完善的防火墻框架，它已經(jīng)支持基于狀態(tài)的監(jiān)測（通過connectiontrack模塊實現(xiàn)）。而且netfilter是一個設(shè)計很合理的框架，可以在適當?shù)奈恢蒙系怯浺恍┬枰奶幚砗瘮?shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)，如在NF_IP_FORWARD點上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數(shù)實現(xiàn)的）。我們也可以登記自己的處理函數(shù)，在功能上作擴展（如加入簡單的IDS功能等等）。這一點是國內(nèi)廠家可以做文章的地方，至于netfilter源碼的修改，對國內(nèi)廠家來說似乎不太現(xiàn)實。至于采用其它防火墻模型的，目前還沒有看到（可能是netfilter已經(jīng)設(shè)計的很成功，不需要我們再去做太多工作）。3．自我保護能力（安全性）由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標，因此它的自我包括能力在設(shè)計過程中應(yīng)該放在首要的位置。A．管理上的安全性防火墻需要一個管理界面，而管理過程如何設(shè)計的更安全，是一個很重要的問題。目前有兩種方案。a．設(shè)置專門的服務(wù)端口為了減少管理上的風(fēng)險和降低設(shè)計上的難度，有一些防火墻（如東方龍馬）在防火墻上專門添加了一個服務(wù)端口，這個端口只是用來和管理主機連接。除了專用的服務(wù)口外，防火墻不接受來自任何其它端口的直接訪問。這樣做的顯著特點就是降低了設(shè)計上的難度，由于管理通信是單獨的通道，無論是內(nèi)網(wǎng)主機、外網(wǎng)主機還是DMZ內(nèi)主機都無法竊聽到該通信，安全性顯然很高，而且設(shè)計時也無需考慮通信過程加密的問題。然而這樣做，我們需要單獨設(shè)置一臺管理主機，顯然太過浪費，而且這樣管理起來的靈活性也不好。b．通信過程加密這樣無需一個專門的端口，內(nèi)網(wǎng)任意一臺主機都可以在適當?shù)那闆r下成為管理主機，管理主機和防火墻之間采用加密的方式通信。目前國內(nèi)有采用的是使用自定義協(xié)議、一次性口令認證。對加密這個領(lǐng)域了解不多，不做詳細討論。B．對來自外部（和內(nèi)部）攻擊的反應(yīng)能力目前常見的來自外部的攻擊方式主要有：a．DOS（DDOS）攻擊（分布式）拒絕服務(wù)攻擊是目前一種很普遍的攻擊方式，在預(yù)防上也是非常困難的。目前防火墻對于這種攻擊似乎沒有太多的解決辦法，主要是提高防火墻本身的健壯性（如增加緩沖區(qū)大小）。在Linux內(nèi)核中有一個防止Synflooding攻擊的選項：CONFIG_SYN_COOKIES，它是通過為每一個Syn建立一個緩沖（cookie）來分辨可信請求和不可信請求。另外對于ICMP攻擊，可以通過關(guān)閉ICMP回應(yīng)來實現(xiàn)。b．IP假冒（IPspoofing）IP假冒是指一個非法的主機假冒內(nèi)部的主機地址，騙取服務(wù)器的“信任”，從而達到對網(wǎng)絡(luò)的攻擊目的。第一，防火墻設(shè)計上應(yīng)該知道網(wǎng)絡(luò)內(nèi)外的IP地址分配，從而丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包。實際實現(xiàn)起來非常簡單，只要在內(nèi)核中打開rp_filter功能即可。第二，防火墻將內(nèi)網(wǎng)的實際地址隱蔽起來，外網(wǎng)很難知道內(nèi)部的IP地址，攻擊難度加大。IP假冒主要來自外部，對內(nèi)網(wǎng)無需考慮此問題（其實同時內(nèi)網(wǎng)的IP假冒情況也可以得到遏制）。c．特洛伊木馬防火墻本身預(yù)防木馬比較簡單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。一個需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內(nèi)網(wǎng)主機也能防止木馬攻擊。事實上，內(nèi)網(wǎng)主機可能會透過防火墻下載執(zhí)行攜帶木馬的程序而感染。內(nèi)網(wǎng)主機的在預(yù)防木馬方面的安全性仍然需要主機自己解決（防火墻只能在內(nèi)網(wǎng)主機感染木馬以后起一定的防范作用）。d．口令字攻擊口令字攻擊既可能來自外部，也可能來自內(nèi)部，主要是來自內(nèi)部。（在管理主機與防火墻通過單獨接口通信的情況下，口令字攻擊是不存在的）來自外部的攻擊即用窮舉的辦法猜測防火墻管理的口令字，這個很容易解決，只要不把管理部分提供給外部接口即可。內(nèi)部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監(jiān)測網(wǎng)絡(luò)截獲管理主機給防火墻的口令字，如果口令字已加密，則解密得到口令字。目前一般采用一次性口令和禁止直接登錄防火墻的措施來防止對口令字的攻擊。e．郵件詐騙郵件詐騙是目前越來越突出的攻擊方式。防火墻本身防止郵件詐騙非常簡單，不接收任何郵件就可以了。然而象木馬攻擊一樣，內(nèi)網(wǎng)主機仍可收發(fā)郵件，郵件詐騙的危險仍然存在，其解決辦法一個是內(nèi)網(wǎng)主機本身采取措施防止郵件詐騙，另一個是在防火墻上做過濾。f．對抗防火墻（anti-firewall）目前一個網(wǎng)絡(luò)安全中一個研究的熱點就是對抗網(wǎng)絡(luò)安全產(chǎn)品如防火墻。一種是分析防火墻功能和探測防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，典型的如Firewalk。另外有一些其他的網(wǎng)絡(luò)安全性分析工具本身具有雙刃性，這類工具用于攻擊網(wǎng)絡(luò)，也可能會很有效的探測到防火墻和內(nèi)部網(wǎng)絡(luò)的安全缺陷，典型的如SATAN和ISS公司的InternetSecurityScanner。目前對于這種探測（攻擊）手段，尚無有效的預(yù)防措施，因為防火墻本身是一個被動的東西，它只能靠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和提高自身的安全性來對抗這些攻擊。C．透明代理的采用應(yīng)用代理防火墻一般是通過設(shè)置不同用戶的訪問權(quán)限來實現(xiàn)，這樣就需要有用戶認證體系。以前的防火墻在訪問方式上主要是要求用戶登錄進系統(tǒng)（如果采用sock代理的方式則需要修改客戶應(yīng)用）。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風(fēng)險和出錯概率，從而提高了防火墻的安全性。4．透明性防火墻的透明性指防火墻對于用戶是透明的，在防火墻接入網(wǎng)絡(luò)時，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動，也根本意識不到防火墻的存在。防火墻作為一個實際存在的物理設(shè)備，要想放入已存在地網(wǎng)絡(luò)中又不對網(wǎng)絡(luò)有任何影響，就必須以網(wǎng)橋的方式置入網(wǎng)絡(luò)。傳統(tǒng)方式下，防火墻安裝時，更象是一臺路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓撲結(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（包括主機和路由器）的設(shè)置（IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。但如果防火墻采用了透明模式，即采用類似網(wǎng)橋的方式運行，用戶將不必重新設(shè)定和修改路由，也不需要知道防火墻的位置，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用。透明模式最大的好處在于現(xiàn)有網(wǎng)絡(luò)無需做任何改動，這就方便了很多客戶，再者，從透明模式轉(zhuǎn)換到非透明模式又很容易，適用性顯然較廣。當然，此時的防火墻僅僅起到一個防火墻的作用，其他網(wǎng)關(guān)位置的功能如NAT、VPN功能不再適用，當然，其他功能如透明代理還可以繼續(xù)使用。目前透明模式的實現(xiàn)上可采用ARP代理和路由技術(shù)實現(xiàn)。此時防火墻相當于一個ARP代理的功能。內(nèi)網(wǎng)（可以仍含有路由器或子網(wǎng)，依次類推）、防火墻、路由器的位置大致如下：內(nèi)網(wǎng)―――――防火墻―――――路由器（需要說明的是，這種方式是絕大多數(shù)校園網(wǎng)級網(wǎng)絡(luò)的實現(xiàn)方式）內(nèi)網(wǎng)主機要想實現(xiàn)透明訪問，必須能夠透明的傳送內(nèi)網(wǎng)和路由器之間的ARP包，而此時由于事實上內(nèi)網(wǎng)和路由器之間無法連通，防火墻就必須配置成一個ARP代理（ARPProxy）在內(nèi)網(wǎng)主機和路由器之間傳遞ARP包。防火墻所要做的就是當路由器發(fā)送ARP廣播包詢問內(nèi)網(wǎng)內(nèi)的某一主機的硬件地址時，防火墻用和路由器相連接口的MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機發(fā)送ARP廣播包詢問路由器的硬件地址時，防火墻用和內(nèi)網(wǎng)相連接口的MAC地址回送ARP包，因此路由器和內(nèi)網(wǎng)主機都認為將數(shù)據(jù)包發(fā)給了對方，而實際上是發(fā)給了防火墻轉(zhuǎn)發(fā)。顯然，此時防火墻還必須實現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。另外，防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時實現(xiàn)應(yīng)用層代理、過濾等功能），此時需要端口轉(zhuǎn)發(fā)來實現(xiàn)（？這個地方不是十分清楚，也沒找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡(luò)拓撲結(jié)構(gòu)上的最大區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個網(wǎng)段（也和子網(wǎng)在同一個網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。這個過程如下：1.用ARP代理實現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）2.用路由轉(zhuǎn)發(fā)在IP層實現(xiàn)數(shù)據(jù)包傳遞（IP層）3.用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）前邊我們討論過透明代理，和這里所說的防火墻的透明模式是兩個概念。透明代理主要是為實現(xiàn)內(nèi)網(wǎng)主機可以透明的訪問外網(wǎng)，而無需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時防火墻既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時不是透明模式）。需要澄清的一點是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒有必然的聯(lián)系。透明模式下的防火墻能實現(xiàn)透明代理，非透明模式下的防火墻（此時它必然又是一個網(wǎng)關(guān)）也能實現(xiàn)透明代理。它們的共同點在于可以簡化內(nèi)網(wǎng)客戶的設(shè)置而已。目前國內(nèi)大多防火墻都實現(xiàn)了透明代理，但實現(xiàn)了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來：如果哪個防火墻實現(xiàn)了透明模式，它的廣告中肯定會和透明代理區(qū)分開而大書特書的。5．可靠性防火墻系統(tǒng)處于網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。一個故障頻頻、可靠性很差的產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問題，整個內(nèi)網(wǎng)的主機都將根本無法訪問外網(wǎng)，這甚至比路由器故障（路由器的拓撲結(jié)構(gòu)一般都是冗余設(shè)計）更讓人無法承受。防火墻的可靠性也表現(xiàn)在兩個方面：硬件和軟件。國外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專門硬件架構(gòu)且不必多說，采用PC架構(gòu)的其硬件也多是專門設(shè)計，系統(tǒng)各個部分從網(wǎng)絡(luò)接口到存儲設(shè)備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。國內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲設(shè)備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。國內(nèi)已經(jīng)有部分廠家意識到了這個問題，開始自行設(shè)計硬件。但大多數(shù)廠家還是從成本的角度考慮使用通用PC架構(gòu)。另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。而國內(nèi)整個軟件行業(yè)的可靠性體系還沒有成熟，軟件可靠性測試大多處于極其初級的水平（可靠性測試和bug測試完全是兩個概念）。一方面是可靠性體系建立不起來，一方面是為了迎合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴充和修改中，其可靠性更不能讓人恭維?？偟膩碚f，如同國內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒有引起人們的重視。6．市場定位市場上防火墻的售價極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元不等。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求?？偟恼f來，防火墻是以用戶數(shù)量作為大的分界線。如checkpoint的一個報價：CheckPointFirewall-14.125user19000.00CheckPointFirewall-14.150user31000.00CheckPointFirewall-14.1100user51000.00CheckPointFirewall-14.1250user64000.00CheckPointFirewall-14.1無限用戶131000.00從用戶量上防火墻可以分為：a．10－25用戶：這個區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。防火墻一般為10M（針對硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：包過濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測、管理、實時報警、日志。一般另有可選功能：VPN、帶寬管理等等。這個區(qū)間的防火墻報價一般在萬元以上2萬元以下（沒有VPN和帶寬管理的價格更低）。據(jù)調(diào)查，這個區(qū)間的防火墻反而種類不多，也許是國內(nèi)廠商不屑于這個市場的緣故？b．25－100用戶這個區(qū)間用戶主要為小型企業(yè)網(wǎng)。防火墻開始升級到100M，三或更多網(wǎng)絡(luò)接口。VPN、帶寬管理往往成為標準模塊。這個區(qū)間的防火墻報價從3萬到15萬不等，根據(jù)功能價格有較大區(qū)別。相對來說，這個區(qū)間上硬件防火墻價格明顯高于軟件防火墻。目前國內(nèi)防火墻絕大部分集中在這個區(qū)間中。c．100－數(shù)百用戶這個區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個區(qū)間的防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。并且開始支持雙機熱備份。這個區(qū)間的防火墻報價一般在20萬以上。這樣的中高端防火墻國內(nèi)較少，有也是25－100用戶的升級版，其可用性令人懷疑。d．數(shù)百用戶以上這個區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當然其價格也很高端，從數(shù)十萬到數(shù)百萬不等。總的來說，防火墻的價格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功能越多，價格就越貴。如Netscreen的百兆防火墻：NetScreen-100f(ACPower)-帶防火墻+流量控制等功能,交流電源,沒有VPN功能報價在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報價則高出5萬元：￥317,5007．研發(fā)費用如同其他網(wǎng)絡(luò)安全產(chǎn)品一樣，防火墻的研發(fā)費用也是很高的。防火墻由于技術(shù)含量較高，人員技術(shù)儲備要求較高，防火墻核心部分的研發(fā)必須要對操作系統(tǒng)有相當?shù)氖煜?，所需為UNIX系統(tǒng)下開發(fā)人員，而目前國內(nèi)真正能拿的出手的UNIX程序員數(shù)量還是太少（遠遠少于Windows平臺下開發(fā)人員），人員成本很高?？偟膩碚f，防火墻的研發(fā)是一個大項目，而且其前期定位一定要準確，該做什么、不該做什么，哪些功能得實現(xiàn)，哪些功能不必實現(xiàn)、哪些功能可以在后期實現(xiàn)，一定要清楚，否則費用會遠遠超出預(yù)計。下邊對一個中小型企業(yè)級防火墻的研發(fā)費用作個簡單的估計。研發(fā)時，防火墻可以細分為（當然在具體操作時往往需要再具體劃分）：內(nèi)核模塊防火墻模塊（含狀態(tài)檢測模塊）NAT模塊帶寬管理模塊通信協(xié)議模塊管理模塊圖形用戶界面模塊（或者Web界面模塊）透明代理模塊（實質(zhì)屬于NAT模塊）透明模式模塊（包括ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等）各應(yīng)用代理模塊（包括URL過濾模塊）VPN模塊流量統(tǒng)計與計費模塊審計模塊其他模塊（如MAC、IP地址綁定模塊、簡單的IDS、自我保護等等）上邊把防火墻劃分為12個模塊，其中每一個模塊都有相當?shù)墓ぷ髁恳?，除了彈性較大的內(nèi)核模塊和防火墻模塊（它們的工作量可能異常的大，視設(shè)計目標不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相當大），兩個主模塊各按20人周計算，防火墻實現(xiàn)總共需要150人周。加上前期10－15人周論證、定方案，后期20人周（保守數(shù)字）集成、測試，前后總共需要約210人周。按每人周1200元開發(fā)費用（折合工資5000月，但由于有運行費用、保險等費用攤分，個人工資應(yīng)遠低于這個數(shù)字），開發(fā)費用約需25萬。顯然，這個數(shù)字只是一個局外人估計的下限，實際的研發(fā)應(yīng)該超出這個數(shù)字很多。8．可升級能力（適用性）和靈活性對用戶來說，防火墻作為大成本投入的商品，勢必要考慮到可升級性的問題，如果防火墻不能升級，那它的可用性和可選擇余地勢必要大打折扣。目前國內(nèi)防火墻一般都是軟件可升級的，這是因為大多數(shù)防火墻采用電子硬盤（少數(shù)采用磁盤），實現(xiàn)升級功能只要很小的工作量要做。但究竟升級些什么內(nèi)容？升級周期多長一次？這就涉及到一個靈活性的問題。防火墻的靈活性主要體現(xiàn)在以下幾點：a．易于升級b．支持大量協(xié)議c．易于管理（如納入通用設(shè)備管理體系（支持SNMP）而不是單列出來）d．功能可擴展這里對功能可擴展做一簡單討論。一般情況下，防火墻在設(shè)計完成以后，其過濾規(guī)則都是定死的，用戶可定制的余地很小。特別如URL過濾規(guī)則（對支持URL過濾的防火墻而言），當前網(wǎng)絡(luò)中的漏洞是不斷發(fā)現(xiàn)的，如最近很猖獗的codered攻擊的就是Windows機器IIS服務(wù)器的ida漏洞，而我們?nèi)绻軌蚣皶r定義過濾規(guī)則，對于“GET/default.ida”的請求及時過濾，那么內(nèi)網(wǎng)主機（此時一般為DMZ內(nèi)主機）的安全性就會高很多，內(nèi)網(wǎng)管理人員也不必時時密切關(guān)注網(wǎng)絡(luò)漏洞（這是個工作量很大，既耗費體力又容易出現(xiàn)遺漏的工作）。這樣大部分工作留給防火墻廠家來做（相應(yīng)需要有一個漏洞監(jiān)測體系），用戶肯定會滿意很多。另外，靈活性一開始也往往不是前期設(shè)計所能設(shè)計的很完美的，它需要和用戶具體實踐相配合。另外靈活性也是和具體環(huán)境密切結(jié)合的，往往需要在不同的用戶環(huán)境里考慮。如何構(gòu)建網(wǎng)絡(luò)整體安全方案整體的安全方案分成技術(shù)方案、服務(wù)方案以及支持方案三部分。一、技術(shù)解決方案安全產(chǎn)品是網(wǎng)絡(luò)安全的基石，通過在網(wǎng)絡(luò)中安裝一定的安全設(shè)備，能夠使得網(wǎng)絡(luò)的結(jié)構(gòu)更加清晰，安全性得到顯著增強;同時能夠有效降低安全管理的難度，提高安全管理的有效性。下面介紹在局域網(wǎng)中增加的安全設(shè)備的安裝位置以及他們的作用。1、防火墻安裝位置：局域網(wǎng)與路由器之間;WWW服務(wù)器與托管機房局域網(wǎng)之間;局域網(wǎng)防火墻作用：(1)實現(xiàn)單向訪問，允許局域網(wǎng)用戶訪問INTERNET資源，但是嚴格限制INTERNET用戶對局域網(wǎng)資源的訪問;(2)通過防火墻，將整個局域網(wǎng)劃分INTERNET，DMZ區(qū)，內(nèi)網(wǎng)訪問區(qū)這三個邏輯上分開的區(qū)域，有利于對整個網(wǎng)絡(luò)進行管理;(3)局域網(wǎng)所有工作站和服務(wù)器處于防火墻地整體防護之下，只要通過防火墻設(shè)置的修改，就能有限絕大部分防止來自INTERNET上的攻擊，網(wǎng)絡(luò)管理員只需要關(guān)注DMZ區(qū)對外提供服務(wù)的相關(guān)應(yīng)用的安全漏洞;(4)通過防火墻的過濾規(guī)則，實現(xiàn)端口級控制，限制局域網(wǎng)用戶對INTERNET的訪問;(5)進行流量控制，確保重要業(yè)務(wù)對流量的要求;(6)通過過濾規(guī)則，以時間為控制要素，限制大流量網(wǎng)絡(luò)應(yīng)用在上班時間的使用。托管機房防火墻的作用：(7)通過防火墻的過濾規(guī)則，限制INTERNET用戶對WWW服務(wù)器的訪問，將訪問權(quán)限控制在最小的限度，在這種情況下，網(wǎng)絡(luò)管理員可以忽略服務(wù)器系統(tǒng)的安全漏洞，只需要關(guān)注WWW應(yīng)用服務(wù)軟件的安全漏洞;(8)通過過濾規(guī)則，對遠程更新的時間、來源(通過IP地址)進行限制。2、入侵檢測安裝位置：局域網(wǎng)DMZ區(qū)以及托管機房服務(wù)器區(qū);IDS的作用：(1)作為旁路設(shè)備，監(jiān)控網(wǎng)絡(luò)中的信息，統(tǒng)計并記錄網(wǎng)絡(luò)中的異常主機以及異常連接;(2)中斷異常連接;(3)通過聯(lián)動機制，向防火墻發(fā)送指令，在限定的時間內(nèi)對特定的IP地址實施封堵。3、網(wǎng)絡(luò)防病毒軟件控制中心以及客戶端軟件安裝位置：局域網(wǎng)防病毒服務(wù)器以及各個終端防病毒服務(wù)器作用：(1)作為防病毒軟件的控制中心，及時通過INTERNET更新病毒庫，并強制局域網(wǎng)中已開機的終端及時更新病毒庫軟件;(2)記錄各個終端的病毒庫升級情況;(3)記錄局域網(wǎng)中計算機病毒出現(xiàn)的時間、類型以及后續(xù)處理措施。防病毒客戶端軟件的作用：(4)對本機的內(nèi)存、文件的讀寫進行監(jiān)控，根據(jù)預(yù)定的處理方法處理帶毒文件;(5)監(jiān)控郵件收發(fā)軟件，根據(jù)預(yù)定處理方法處理帶毒郵件;4、郵件防病毒服務(wù)器安裝位置：郵件服務(wù)器與防火墻之間郵件防病毒軟件：對來自INTERNTE的電子郵件進行檢測，根據(jù)預(yù)先設(shè)定的處理方法處理帶毒郵件。郵件防病毒軟件的監(jiān)控范圍包括所有來自INTERNET的電子郵件以及所屬附件(對于壓縮文件同樣也進行檢測)5、反垃圾郵件系統(tǒng)安裝位置：同郵件防病毒軟件，如果軟硬件條件允許的話，建議安裝在同一臺服務(wù)器上。反垃圾郵件系統(tǒng)作用：(1)拒絕轉(zhuǎn)發(fā)來自INTERNET的垃圾郵件;(2)拒絕轉(zhuǎn)發(fā)來自局域網(wǎng)用戶的垃圾郵件并將發(fā)垃圾郵件的局域網(wǎng)用戶的IP地址通過電子郵件等方式通報網(wǎng)管;(3)記錄發(fā)垃圾郵件的終端地址;(4)通過電子郵件等方式通知網(wǎng)管垃圾郵件的處理情況。6、動態(tài)口令認證系統(tǒng)安裝位置：服務(wù)器端安裝在WWW服務(wù)器(以及其他需要進行口令加強的敏感服務(wù)器)，客戶端配置給網(wǎng)頁更新人員(或者服務(wù)器授權(quán)訪問用戶);動態(tài)口令認證系統(tǒng)的作用：通過定期修改密碼，確保密碼的不可猜測性。7、網(wǎng)絡(luò)管理軟件安裝位置：局域網(wǎng)中。網(wǎng)絡(luò)管理軟件的作用：(1)收集局域網(wǎng)中所有資源的硬件信息;(2)收集局域網(wǎng)中所有終端和服務(wù)器的操作系統(tǒng)、系統(tǒng)補丁等軟件信息;(3)收集交換機等網(wǎng)絡(luò)設(shè)備的工作狀況等信息;(4)判斷局域網(wǎng)用戶是否使用了MODEM等非法網(wǎng)絡(luò)設(shè)備與INTERNET連接;(5)顯示實時網(wǎng)絡(luò)連接情況;(6)如果交換機等核心網(wǎng)絡(luò)設(shè)備出現(xiàn)異常，及時向網(wǎng)管中心報警;8、QOS流量管理安裝位置：如果是專門的產(chǎn)品安裝在路由器和防火墻之間;部分防火墻本身就有QOS帶寬管理模塊。QOS流量管理的作用：(1)通過IP地址，為重要用戶分配足夠的帶寬;(2)通過端口，為重要的應(yīng)用分配足夠的帶寬資源;(3)限制非業(yè)務(wù)流量的帶寬;(4)在資源閑置時期，允許其他人員使用資源，一旦重要用戶或者重要應(yīng)用需要使用帶寬，則確保它們能夠至少使用分配給他們的帶寬資源。9、重要終端個人防護軟件安裝位置：重要終端個人防護軟件的作用：(1)保護個人終端不受攻擊;(2)不允許任何主機(包括局域網(wǎng)主機)非授權(quán)訪問重要終端資源;(3)防止局域網(wǎng)感染病毒主機通過攻擊的方式感染重要終端。10、頁面防篡改系統(tǒng)安裝位置：WWW服務(wù)器頁面防篡改系統(tǒng)的作用：(1)定期比對發(fā)布頁面文件與備份文件，一旦發(fā)現(xiàn)不匹配，用備份文件替換發(fā)布文件;(2)通過特殊的認證機制，允許授權(quán)用戶修改頁面文件;(3)能夠?qū)?shù)據(jù)庫文件進行比對。二、安全服務(wù)解決方案在安全服務(wù)方案中，采用不同的安全服務(wù)，定期對網(wǎng)絡(luò)進行檢測、改進，以達到動態(tài)增進網(wǎng)絡(luò)安全性，最大限度發(fā)揮安全設(shè)備作用的目的。安全服務(wù)分為以下幾類：1、網(wǎng)絡(luò)拓撲分析服務(wù)對象：整個網(wǎng)絡(luò)服務(wù)周期：半年一次服務(wù)內(nèi)容：(1)根據(jù)網(wǎng)絡(luò)的實際情況，繪制網(wǎng)絡(luò)拓撲圖;(2)分析網(wǎng)絡(luò)中存在的安全缺陷并提出整改建議意見。服務(wù)作用：針對網(wǎng)絡(luò)的整體情況，進行總體、框架性分析。一方面，通過網(wǎng)絡(luò)拓撲分析，能夠形成網(wǎng)絡(luò)整體拓撲圖，為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)日常管理等管理行為提供必要的技術(shù)資料;另一方面，通過整體的安全性分析，能夠找出網(wǎng)絡(luò)設(shè)計上的安全缺陷，找到各種網(wǎng)絡(luò)設(shè)備在協(xié)同工作中可能產(chǎn)生的安全問題。2、中心機房管理制度制訂以及修改服務(wù)對象：中心機房服務(wù)周期：半年一次服務(wù)內(nèi)容：協(xié)助用戶制訂并修改機房管理制度。制度內(nèi)容涉及人員進出機房的登記制度、設(shè)備進出機房的登記制度、設(shè)備配置修改的登記制度等。服務(wù)作用：嚴格控制中心機房的人員進出、設(shè)備進出并及時登記設(shè)備的配置更新情況，有助于網(wǎng)絡(luò)核心設(shè)備的監(jiān)控，確保網(wǎng)絡(luò)的正常運行。3、操作系統(tǒng)補丁升級服務(wù)對象：服務(wù)器、工作站、終端服務(wù)周期：不定期服務(wù)內(nèi)容：(1)一旦出現(xiàn)重大安全補丁，及時更新所有相關(guān)系統(tǒng);(2)出現(xiàn)大型補丁(如微軟的SP)，及時更新所有相關(guān)系統(tǒng);服務(wù)作用：通過及時、有效的補丁升級，能夠有效防止局域網(wǎng)主機和服務(wù)器相互之間的攻擊，降低現(xiàn)代網(wǎng)絡(luò)蠕蟲病毒對網(wǎng)絡(luò)的整體影響，增加網(wǎng)絡(luò)帶寬的有效利用率。4、防病毒軟件病毒庫定期升級服務(wù)對象：防病毒服務(wù)器、安裝防病毒客戶端的終端服務(wù)周期：每周一次服務(wù)內(nèi)容：(1)防病毒服務(wù)器通過INTERNET更新病毒庫;(2)防病毒服務(wù)器強制所有在線客戶端更新病毒庫;服務(wù)作用：通過不斷升級病毒庫確保防病毒軟件能夠及時發(fā)現(xiàn)新的病毒。5、服務(wù)器定期掃描、加固服務(wù)對象：服務(wù)器服務(wù)周期：半年一次服務(wù)內(nèi)容：使用專用的掃描工具，在用戶網(wǎng)絡(luò)管理人員的配合，對主要的服務(wù)器進行掃描。服務(wù)作用：(1)找出對應(yīng)服務(wù)器操作系統(tǒng)中存在的系統(tǒng)漏洞;(2)找出服務(wù)器對應(yīng)應(yīng)用服務(wù)中存在的系統(tǒng)漏洞;(3)找出安全強度較低的用戶名和用戶密碼。6、防火墻日志備份、分析服務(wù)對象：防火墻設(shè)備服務(wù)周期：一周一次服務(wù)內(nèi)容：導(dǎo)出防火墻日志并進行分析。服務(wù)作用：通過流量簡圖找出流量異常的時間段，通過檢查流量較大的主機，找出局域網(wǎng)中的異常主機。7、入侵檢測等安全設(shè)備日志備份服務(wù)對象：入侵檢測等安全設(shè)備服務(wù)周期：一周一次服務(wù)內(nèi)容：備份安全設(shè)備日志。服務(wù)作用：防止日志過大導(dǎo)致檢索、分析的難度，另一方面也有利于事后的檢查。8、服務(wù)器日志備份服務(wù)對象：主要服務(wù)器(如WWW服務(wù)器、文件服務(wù)器等)服務(wù)周期：一周一次服務(wù)內(nèi)容：備份服務(wù)器訪問日志服務(wù)作用：防止日志過大導(dǎo)致檢索、分析的難度，另一方面也有利于事后的檢查。9、白客滲透服務(wù)對象：對INTERBET提供服務(wù)的服務(wù)器服務(wù)周期：半年一次服務(wù)內(nèi)容：服務(wù)商在用戶指定的時間段內(nèi)，通過INTERNET，使用各種工具在不破壞應(yīng)用的前提下攻擊服務(wù)器，最終提供檢測報告。服務(wù)作用：先于黑客進行探測性攻擊以檢測系統(tǒng)漏洞。根據(jù)最終檢測報告進一步增強系統(tǒng)的安全性10、設(shè)備備份系統(tǒng)服務(wù)對象：骨干交換機、路由器等網(wǎng)絡(luò)骨干設(shè)備服務(wù)周期：實時服務(wù)內(nèi)容：根據(jù)用戶的網(wǎng)絡(luò)情況，提供骨干交換機、路由器等核心網(wǎng)絡(luò)設(shè)備的備份。備份設(shè)備可以在段時間內(nèi)替代網(wǎng)絡(luò)中實際使用的設(shè)備。服務(wù)作用：一旦核心設(shè)備出現(xiàn)故障，使用備件替換以減少網(wǎng)絡(luò)故障時間。11、信息備份系統(tǒng)服務(wù)對象：所有重要信息服務(wù)周期：根據(jù)網(wǎng)絡(luò)情況定完全備份和增量備份的時間服務(wù)內(nèi)容：定期備份電子信息服務(wù)作用：防止核心服務(wù)器崩潰導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓。12、定期總體安全分析報告服務(wù)對象：整個網(wǎng)絡(luò)服務(wù)周期：半年一次服務(wù)內(nèi)容：綜合網(wǎng)絡(luò)拓撲報告、各種安全設(shè)備日志、服務(wù)器日志等信息，對網(wǎng)絡(luò)進行總體安全綜合性分析，分析內(nèi)容包括網(wǎng)絡(luò)安全現(xiàn)狀、網(wǎng)絡(luò)安全隱患分析，并提出改進建議意見。服務(wù)作用：提供綜合性、全面的安全報告，針對全網(wǎng)絡(luò)進行安全性討論，為全面提高網(wǎng)絡(luò)的安全性提供技術(shù)資料。以上是服務(wù)解決方案，眾所周知，安全產(chǎn)品一般是共性的產(chǎn)品，通過安全服務(wù)，能夠配制出適合本網(wǎng)絡(luò)的安全設(shè)備，使得安全產(chǎn)品在特定的網(wǎng)絡(luò)中發(fā)揮最大的效能，使得各種設(shè)備協(xié)同工作，增強網(wǎng)絡(luò)的安全性和可用性。當然，在網(wǎng)絡(luò)中，不安全是絕對的，即使采取種種措施，網(wǎng)絡(luò)也可能遭到應(yīng)用某種原因無法正常運作，這時候，就需要有及時有效的技術(shù)支持，使得網(wǎng)絡(luò)在盡可能短的時間內(nèi)恢復(fù)正常。下面將提出技術(shù)支持解決方案。三、技術(shù)支持解決方案技術(shù)支持是整個安全方案的重要補充。其主要作用是在用戶網(wǎng)絡(luò)發(fā)生重要安全事件后，通過及時、高效的安全服務(wù)，達到盡快恢復(fù)網(wǎng)絡(luò)應(yīng)用的目的。技術(shù)支持主要包括以下幾方面：1、故障排除支持范圍：(1)用戶無法訪問網(wǎng)絡(luò)(如局域網(wǎng)用戶無法訪問INTERNET);(2)應(yīng)用服務(wù)無法訪問(如不能對外提供WWW服務(wù));(3)網(wǎng)絡(luò)訪問異常(如訪問速度慢)。作用：一旦網(wǎng)絡(luò)出現(xiàn)異常，為用戶提供及時、有效的網(wǎng)絡(luò)服務(wù)。在最短的時間內(nèi)恢復(fù)網(wǎng)絡(luò)應(yīng)用。2、災(zāi)難恢復(fù)支持范圍：設(shè)備遇到物理損害網(wǎng)絡(luò)網(wǎng)絡(luò)應(yīng)用異常。作用：通過備品備件，快速恢復(fù)網(wǎng)絡(luò)硬件環(huán)境;通過備份文件的復(fù)原，盡快恢復(fù)網(wǎng)絡(luò)的電子資源;由此可在最短的時間內(nèi)恢復(fù)整個網(wǎng)絡(luò)應(yīng)用。3、查找攻擊源支持范圍：網(wǎng)絡(luò)管理員發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊，并需要確定攻擊來源。作用：通過日志文件等信息，確定攻擊的來源，為進一步采取措施提供依據(jù)。4、實時檢索日志文件支持范圍：遭到實時的攻擊(如DOS，SYNFLOODING等)，需要及時了解攻擊源以及攻擊強度。作用：通過實時檢索日志文件，可以當時存在的針對本網(wǎng)絡(luò)的攻擊并查找出攻擊源。如果攻擊強度超出網(wǎng)絡(luò)能夠承受的范圍，可采取進一步措施進行防范。5、即時查殺病毒支持范圍：由不可確定的因素導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)計算機病毒。作用：即使網(wǎng)絡(luò)中出現(xiàn)病毒，通過及時有效的技術(shù)支持，在最短的時間內(nèi)查處感染病毒的主機并即時查殺病毒，恢復(fù)網(wǎng)絡(luò)應(yīng)用。6、即時網(wǎng)絡(luò)監(jiān)控支持范圍：網(wǎng)絡(luò)出現(xiàn)異常，但應(yīng)用基本正常。作用：通過網(wǎng)絡(luò)監(jiān)控，近可能發(fā)現(xiàn)網(wǎng)絡(luò)中存在的前期網(wǎng)絡(luò)故障，在故障擴大化以前及時進行防治。以上是技術(shù)支持解決方案，技術(shù)支持是安全服務(wù)的重要補充部分，即使在完善的安全體系下，也存在不可預(yù)測的因素導(dǎo)致網(wǎng)絡(luò)故障，此時，需要及時、有效的技術(shù)支持服務(wù)，在盡可能短的時間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運行。綜上所述，局域網(wǎng)的安全由三大部分組成，涵蓋設(shè)備、技術(shù)、制度、管理、服務(wù)等各個部分。四、分布實施建議意見網(wǎng)絡(luò)安全涉及面相當廣，同時進行建設(shè)的可行性較差，因此，建議按照以下方式進行分階段實施。1、第一階段(1)技術(shù)方面，采用防火墻、網(wǎng)絡(luò)防病毒軟件、頁面防篡改系統(tǒng)來建立一個結(jié)構(gòu)上較完善的網(wǎng)絡(luò)系統(tǒng)。(2)服務(wù)方面，進行網(wǎng)絡(luò)拓撲分析、建立中心機房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級機制、對重要服務(wù)器的訪問日志進行備份，通過這些服務(wù)，增強網(wǎng)絡(luò)的抗干擾性。(3)支持方面，要求服務(wù)商提供故障排除服務(wù)，以提高網(wǎng)絡(luò)的可靠性，降低網(wǎng)絡(luò)故障對網(wǎng)絡(luò)的整體影響。2、第二階段在第一階段安全建設(shè)的基礎(chǔ)上，進一步增加網(wǎng)絡(luò)安全設(shè)備，采納新的安全服務(wù)和技術(shù)支持來增強網(wǎng)絡(luò)的可用性。(1)技術(shù)方面，采用入侵檢測、郵件防病毒軟件、動態(tài)口令認證系統(tǒng)、并在重要客戶端安裝個人版防護軟件。(2)服務(wù)方面，對服務(wù)器進行定期掃描與加固、對防火墻日志進行備份與分析、對入侵檢測設(shè)備的日志進行備份、建立設(shè)備備份系統(tǒng)以及文件備份系統(tǒng)。(3)支持方面，要求服務(wù)商提供災(zāi)難恢復(fù)、實時日志檢索、實時查殺病毒、實時網(wǎng)絡(luò)監(jiān)控等技術(shù)支持。3、第三階段在這一階段，采取的措施以進一步提高網(wǎng)絡(luò)效率為主。(1)技術(shù)方面，采用反垃圾郵件系統(tǒng)、網(wǎng)絡(luò)管理軟件、QOS流量管理軟件。(2)服務(wù)方面，采用白客滲透測試，要求服務(wù)商定期提供整體安全分析報告。(3)支持方面，要求能夠?qū)崟r或者時候查找攻擊源。以上針對用戶網(wǎng)絡(luò)分別從三個方面提出了安全解決方案，并按照實施的緊迫性分成三個階段來實現(xiàn)，但是實際針對某個用戶，對于安全的要求可能各不相同，具體網(wǎng)絡(luò)情況也可能有很大的差異，因此建議用戶根據(jù)實際情況建立網(wǎng)絡(luò)安全建設(shè)的時間表。另外，隨著新技術(shù)、新產(chǎn)品的不斷涌現(xiàn)，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，對于網(wǎng)絡(luò)安全的要求不斷提高，在實際實施過程中采取的措施完全可能超越本文中提及的產(chǎn)品、服務(wù)、支持，這也是安全建設(shè)的最基本原則：不斷改進，不斷增強，安全無止境。四臺Cisco防火墻實現(xiàn)VPN網(wǎng)絡(luò)其實四臺Cisco防火墻的VPN同兩臺防火墻做VPN沒什么大的區(qū)別，只是一定要注意路由的配置；在四臺Ciscopix做VPN中，有兩種方式，一種是采用一個中心的方式，另一種就是分散式的，前者，也就是說以一個PIX點為中心，其它的機器都連到本機上，在通過本機做路由；后者，則是在每一個路由上都要寫出到另外三臺的加密方式，這里采用的就是第一種類型；以下，是施工圖以及四個Ciscopix的詳細配置：詳細配置如下：中心pix1：:Saved:Writtenbyenable_15at23:10:31.763UTCThuApr242003PIXVersion6.2(2)nameifethernet0outsideifethernet1insidesecurity100enablepasswordNHvIO9dsDwOK8b/kencryptedpasswdNHvIO9dsDwOK8b/kencryptedhostnamepixfirewallfixupprotocolftp21fixupprotocolhttp80fixupprotocolh323h2251720fixupprotocolh323ras1718-1719fixupprotocolils389fixupprotocolrsh514fixupprotocolrtsp554fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060fixupprotocolskinny2000namesaccess-list101permitipaccess-list101permitipaccess-list101permitipaccess-list101permitipaccess-list101permitipaccess-list101permitipaccess-listhyzcpermiticmpanyanyaccess-listhyzcpermittcpanyanyaccess-listhyzcpermitudpanyanypagerlines24interfaceethernet0erfaceethernet1automtuoutside1500mtuinside1500ipaddressoutside40ipaddressinsideipauditinfoactionalarmipauditattackactionalarmpdmhistoryenablearptimeout14400nat(outside)100nat(inside)100access-grouphyzcininterfaceoutsiderouteoutside91routeinside01routeoutside1routeoutside1routeoutside1routeoutside21routeoutside491routeoutside005291timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absoluteaaa-serverTACACS+protocoltacacs+aaa-serverRADIUSprotocolradiusaaa-serverLOCALprotocollocalnosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublicnosnmp-serverenabletrapsfloodguardenablesysoptconnectionpermit-ipsecnosysoptroutednatcryptoipsectransform-setstrongesp-desesp-sha-hmaccryptomaptohyjt20ipsec-isakmpcryptomaptohyjt20matchaddress101cryptomaptohyjt20setpeercryptomaptohyjt20setpeercryptomaptohyjt20setpeercryptomaptohyjt20settransform-setstrongcryptomaptohyjtinterfaceoutsideisakmpenableoutsideisakmpkeyciscoaddressnetmask55isakmpkeyciscoaddressnetmask55isakmpkeyciscoaddressnetmask55isakmpidentityaddressisakmppolicy9authenticationpre-shareisakmppolicy9encryptiondesisakmppolicy9hashshaisakmppolicy9group1isakmppolicy9lifetime86400telnet955insidetelnet055insidetelnettimeout5sshtimeout5terminalwidth80Cryptochecksum:8982919a8bfa10ba09cddee3f2da0e6a:endpix2配置：:Saved:Writtenbyenable_15at00:00:48.042UTCFriApr252003PIXVersion6.2(2)nameifethernet0outsideifethernet1insidesecurity100enablepasswordN.swjdczcTdUzgrSencryptedpasswdN.swjdczcTdUzgrSencryptedhostnameHYZCrcfixupprotocolftp21fixupprotocolhttp80fixupprotocolh323h2251720fixupprotocolh323ras1718-1719fixupprotocolils389fixupprotocolrsh514fixupprotocolrtsp554fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060fixupprotocolskinny2000namesaccess-list101permitipaccess-list101permitipaccess-listhyzcpermiticmpanyanyaccess-listhyzcpermittcpanyanyaccess-listhyzcpermitudpanyanypagerlines24interfaceethernet0erfaceethernet1automtuoutside1500mtuinside1500ipaddressoutside52ipaddressinside54ipauditinfoactionalarmipauditattackactionalarmpdmhistoryenablearptimeout14400nat(outside)100nat(inside)0access-list101nat(inside)100routeoutside1timeoutxlate3:00:00timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absoluteaaa-serverTACACS+protocoltacacs+aaa-serverRADIUSprotocolradiusaaa-serverLOCALprotocollocalnosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublicnosnmp-serverenabletrapsfloodguardenablesysoptconnectionpermit-ipsecnosysoptroutednatcryptoipsectransform-setstrongesp-desesp-sha-hmaccryptomaptohyzc20ipsec-isakmpcryptomaptohyzc20matchaddress101cryptomaptohyzc20setpeercryptomaptohyzc20settransform-setstrongcryptomaptohyzcinterfaceoutsideisakmpenableoutsideisakmpkeyciscoaddressnetmask55isakmpidentityaddressisakmppolicy9authenticationpre-shareisakmppolicy9encryptiondesisakmppolicy9hashshaisakmppolicy9group1isakmppolicy9lifetime86400telnet5355insidetelnettimeout5sshtimeout5terminalwidth80Cryptochecksum:f63109daf8abcaf74a4f3b30ab01b:endpix3配置：:Saved:PIXVersion6.0(1)nameifethernet0outsideifethernet1insidesecurity100enablepasswordX8QPBTnOSyX6X9Y9encryptedpasswdX8QPBTnOSyX6X9Y9encryptedhostnamepixfirewallfixupprotocolftp21fixupprotocolhttp80fixupprotocolh3231720fixupprotocolrsh514fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060企業(yè)級防火墻選購熱點防火墻是主要的網(wǎng)絡(luò)安全設(shè)備，一個配置良好的防火墻，能夠有效地防止外來的入侵，控制進出網(wǎng)絡(luò)的信息流向和信息包，提供使用和流量的日志和審計，隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細節(jié)，以及提供VPN功能等等。對于企業(yè)網(wǎng)絡(luò)而言，一個沒有配備防火墻的網(wǎng)絡(luò)無異于“開門揖盜”，安全性無從談起。那么，如何選擇合適的防火墻呢？本文從技術(shù)角度出發(fā)，談?wù)勂髽I(yè)級防火墻的選購要點。