第一篇：企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)方案論文

編號(hào)：ABS20160501

企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案

關(guān)鍵字：網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒

班 級(jí)：AY 姓 名：AY 日 期：2016-05-19

目 錄

摘 要..........................................................3 第一章 企業(yè)網(wǎng)絡(luò)安全概述........................................4 1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患...................................4 1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū).......................................4 第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析...................................6 2.1 公司背景.................................................6 2.2 企業(yè)網(wǎng)絡(luò)安全需求.........................................6 2.3 需求分析.................................................6 2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu).............................................7 第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施....................................9 3.1物理安全..................................................9 3.2企業(yè)網(wǎng)絡(luò)接入配置.........................................10 3.3網(wǎng)絡(luò)防火墻配置...........................................13 3.4配置驗(yàn)證查看.............................................21 3.5網(wǎng)絡(luò)防病毒措施...........................................24 總 結(jié)........................................................26

摘 要

近幾年來(lái)，Internet技術(shù)日趨成熟，已經(jīng)開(kāi)始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過(guò)渡。這些都促使了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開(kāi)放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問(wèn)題的忽視，以及在管理和使用上的無(wú)政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問(wèn)，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運(yùn)行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽(tīng)等方面。因此本論文為企業(yè)構(gòu)架網(wǎng)絡(luò)安全體系，主要運(yùn)用vlan劃分、防火墻技術(shù)、vpn、病毒防護(hù)等技術(shù)，來(lái)實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。

第一章 企業(yè)網(wǎng)絡(luò)安全概述

1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患

現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問(wèn)，同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來(lái)源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來(lái)源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡(luò)黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問(wèn)與操作。4)關(guān)鍵部門(mén)的非法訪問(wèn)和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。

針對(duì)這些安全隱患，所采取的安全策略可以通過(guò)安裝專(zhuān)業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過(guò)濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過(guò)濾封包，所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過(guò)防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。

防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。

(三)在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效

網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過(guò)安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。

(四)只要不上網(wǎng)就不會(huì)中毒

雖然不少病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤(pán)以及U盤(pán)等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開(kāi)著，就要防范病毒。

(五)文件設(shè)置只讀就可以避免感染病毒

設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過(guò)在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

(六)網(wǎng)絡(luò)安全主要來(lái)自外部

基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過(guò)期帳戶和權(quán)限等方面的管理非常必要了。

第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

2.1 公司背景

XX科技有限公司是一家有100名員工的中小型科技公司，主要以軟件應(yīng)用開(kāi)發(fā)為主營(yíng)項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng)，約100臺(tái)計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 Windows Server 2008,客戶機(jī)的操作系統(tǒng)是 Windows 7，在工作組的模式下一人一機(jī)辦公。公司對(duì)網(wǎng)絡(luò)的依賴(lài)性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。

2.2 企業(yè)網(wǎng)絡(luò)安全需求

XX科技有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門(mén)和業(yè)務(wù)部門(mén)，需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：

（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性

（4）防范網(wǎng)絡(luò)資源的非法訪問(wèn)及非授權(quán)訪問(wèn)（5）防范入侵者的惡意攻擊與破壞

（6）保護(hù)企業(yè)信息通過(guò)網(wǎng)上傳輸過(guò)程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。

2.3 需求分析

通過(guò)了解XX科技有限公司的需求與現(xiàn)狀，為實(shí)現(xiàn)XX科技有限公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過(guò)軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來(lái)計(jì)算機(jī)的侵入而造成破壞。通過(guò)網(wǎng)絡(luò)的改造，使管理

者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要

（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系

（4）建立VPN(虛擬專(zhuān)用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5）安裝防病毒服務(wù)器（6）加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理

2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)絡(luò)拓?fù)鋱D，如下圖所示:

總部網(wǎng)絡(luò)情況：

防火墻FW1作為出口NAT設(shè)備，從網(wǎng)絡(luò)運(yùn)營(yíng)商處獲得接入固定IP為202.10.1.2/30，網(wǎng)關(guān)IP為202.10.1.1/30，經(jīng)由防火墻分為DMZ區(qū)域和trust區(qū)域。

防火墻上FW1做NAT轉(zhuǎn)換。分配給trust區(qū)域的地址為10.1.1.0 /24,通過(guò)FW1上GE0/0/0端口連接網(wǎng)絡(luò)，接口地址為10.1.1.1/24。DMZ內(nèi)主要有各類(lèi)的服務(wù)器，地址分配為10.1.2.0 /24。通過(guò)FW1上GE0/0/1端口連接網(wǎng)絡(luò)，接口地址為10.1.2.1 /24。

建立IPSec隧道，使總部和分支可以互訪。

分部網(wǎng)絡(luò)情況：

防火墻FW2作為出口NAT設(shè)備，從網(wǎng)絡(luò)運(yùn)營(yíng)商處獲得接入固定IP為202.20.1.2/30，網(wǎng)關(guān)IP為202.20.1.1/30。通過(guò)FW1上GE0/0/1端口連接內(nèi)部網(wǎng)絡(luò)，接口地址為10.1.1.1/24。

建立IPSec隧道，使分部和總部可以互訪。

第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施

3.1物理安全

企業(yè)網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。

針對(duì)網(wǎng)絡(luò)的物理安全主要考慮的問(wèn)題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問(wèn)控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面： 1)保證機(jī)房環(huán)境安全

信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理?yè)p壞和設(shè)備故障 b.電磁輻射、乘機(jī)而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質(zhì)

屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。

光纖是超長(zhǎng)距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無(wú)論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽(tīng)或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽(tīng)。3)保證供電安全可靠

計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格，對(duì)交流電的電壓和頻率，對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱(chēng)性，對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。

3.2企業(yè)網(wǎng)絡(luò)接入配置

VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以部署網(wǎng)絡(luò)中按部門(mén)進(jìn)行了VLAN劃分，劃分為以下兩個(gè)VLAN：

業(yè)務(wù)部門(mén) VLAN 10

交換機(jī)SW1接入核心交換機(jī) 財(cái)務(wù)部門(mén) VLAN 20

交換機(jī)SW2接入核心交換機(jī) 核心交換機(jī) VLAN間路由 核心交換機(jī)HSW1 核心交換機(jī)HSW1配置步驟: 1)建立VLAN 10 20 100 2)GE0/0/1加入vlan10, GE0/0/2加入vlan30, GE0/0/24加入vlan100 3)建立SVI并配置相應(yīng)IP地址: Vlanif10:192.168.1.1/24 Vlanif20:192.168.2.1/24 Vlanif100:10.1.1.2/24 4)配置RIP路由協(xié)議：

Network 192.168.1.0 Network 192.168.2.0 Network 10.1.1.0 5)配置ACL拒絕其它部門(mén)對(duì)財(cái)務(wù)部訪問(wèn)，outbound→GE0/0/2。

詳細(xì)配置：

# sysname HSW1 # info-center source DS channel 0 log state off trap state off # vlan batch 10 20 100 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # dhcp enable # diffserv domain default

# acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 15 deny ip source 20.0.0.0 0.255.255.255 destination 192.168.2.0 0.0.0.255 # traffic classifier tc1 operator and if-match acl 3001 # traffic behavior tb1 deny # traffic policy tp1 classifier tc1 behavior tb1 # drop-profile default # ip pool qqww gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 excluded-ip-address 192.168.1.254 # ip pool vlan20 gateway-list 192.168.2.1 network 192.168.2.0 mask 255.255.255.0 excluded-ip-address 192.168.2.200 192.168.2.254 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http # interface Vlanif1 # interface Vlanif10 ip address 192.168.1.1 255.255.255.0 dhcp select global # interface Vlanif20 ip address 192.168.2.1 255.255.255.0 dhcp select global

# interface Vlanif100 ip address 10.1.1.2 255.255.255.0 # interface MEth0/0/1 # interface GigabitEthernet0/0/1 port link-type access port default vlan 10 # interface GigabitEthernet0/0/2 port link-type access port default vlan 20 traffic-policy tp1 outbound # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface GigabitEthernet0/0/9 # interface GigabitEthernet0/0/10 # interface GigabitEthernet0/0/11 # interface GigabitEthernet0/0/12 # interface GigabitEthernet0/0/13 # interface GigabitEthernet0/0/14 # interface GigabitEthernet0/0/15 # interface GigabitEthernet0/0/16 # interface GigabitEthernet0/0/17 # interface GigabitEthernet0/0/18

# interface GigabitEthernet0/0/19 # interface GigabitEthernet0/0/20 # interface GigabitEthernet0/0/21 # interface GigabitEthernet0/0/22 # interface GigabitEthernet0/0/23 # interface GigabitEthernet0/0/24 port link-type access port default vlan 100 # interface NULL0 # rip 1 version 2 network 192.168.1.0 network 192.168.2.0 network 10.0.0.0 # ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 # user-interface con 0 user-interface vty 0 4 # port-group de # return 3.3網(wǎng)絡(luò)防火墻配置

防火墻FW1基本配置步驟：

1)配置GE0/0/0的IP地址10.1.1.1/24，并加入TRUST區(qū)域；

配置GE0/0/1的IP地址10.1.2.1/24，并加入DMZ區(qū)域；

配置GE0/0/2的IP地址202.10.1.2/30，并加入U(xiǎn)NTRUST區(qū)域；

2)配置允許安全區(qū)域間包過(guò)濾。3)配置RIP路由協(xié)議：

Network 10.0.0.0 Network 202.10.1.0

4)配置NAT，出口GE0/0/2。

5)配置總部至分部的點(diǎn)到點(diǎn)IPSce隧道：

? 配置ACL，匹配IPSec流量 ? 配置IPSec安全提議1 ? 配置IKE安全提議 ? 配置IKE PEER ? 配置IPSec安全策略 ? 在接口GE 0/0/2上應(yīng)用策略

詳細(xì)配置：

# CLI_VERSION=V300R001

# Last configuration was changed at 2016/05/18 16:22:21 from console0 #*****BEGIN****public****# # stp region-configuration region-name b05fe31530c0 active region-configuration # acl number 3002 rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 rule 10 permit ip source 10.1.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggressive pre-shared-key %$%$UPiwVOh!8>qmd(CFw@>F+,#w%$%$ ike-proposal 1 remote-address 202.20.1.2 # ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface GigabitEthernet0/0/0 alias GE0/MGMT

ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.1.2.1 255.255.255.0 # interface GigabitEthernet0/0/2 ip address 202.10.1.2 255.255.255.252 ipsec policy map # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface NULL0 alias NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/2 # firewall zone dmz set priority 50 add interface GigabitEthernet0/0/1 # aaa local-user admin password cipher %$%$I$6`RBf34,paQv9B&7i4*“vm%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default

# accounting-scheme default # domain default # # rip 1 version 2 network 10.0.0.0 network 202.10.1.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname FW1 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound # ip df-unreachables enable # firewall ipv6 session link-state check firewall ipv6 statistic system enable # dns resolve #

firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain lic.huawei.com # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # policy interzone trust dmz inbound policy 1 action permit # policy interzone trust dmz outbound policy 1 action permit # nat-policy interzone trust untrust outbound policy 1 action source-nat policy source 192.168.0.0 0.0.255.255 policy source 10.1.0.0 0.0.255.255 easy-ip GigabitEthernet0/0/2 # return #-----END----#

防火墻FW2基本配置步驟如下：

1)配置GE0/0/0的IP地址202.20.1.2/30，并加入U(xiǎn)NTRUST區(qū)域；

配置GE0/0/1的IP地址20.1.1.1/24，并加入TRUST區(qū)域；

2)配置允許安全區(qū)域間包過(guò)濾。3)配置RIP路由協(xié)議：

Network 20.0.0.0 Network 202.10.1.0 4)配置NAT，出口GE0/0/0。

5)配置分部至總部的點(diǎn)到點(diǎn)IPSce隧道：

? 配置ACL，匹配IPSec流量 ? 配置IPSec安全提議1 ? 配置IKE安全提議 ? 配置IKE PEER ? 配置IPSec安全策略 ? 在接口GE 0/0/2上應(yīng)用策略

詳細(xì)配置：

# CLI_VERSION=V300R001 # Last configuration was changed at 2016/05/18 16:22:59 from console0 #*****BEGIN****public****# # stp region-configuration region-name 405fd915c0bf active region-configuration # acl number 3002 rule 5 permit ip source 20.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 rule 10 permit ip source 20.1.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggressive pre-shared-key %$%$;3C|#{7eS#uD2wS|”x<6+=4+%$%$ ike-proposal 1 remote-address 202.10.1.2 #

ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface GigabitEthernet0/0/0 alias GE0/MGMT ip address 202.20.1.2 255.255.255.252 ipsec policy map # interface GigabitEthernet0/0/1 ip address 20.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/2 # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface NULL0 alias NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/0 # firewall zone dmz set priority 50 #

aaa local-user admin password cipher %$%$dJ“t@”DxqH@383<@pQl#*~6-%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # # rip 1 version 2 network 202.20.1.0 network 20.0.0.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname FW2 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound #

ip df-unreachables enable # firewall ipv6 session link-state check firewall ipv6 statistic system enable # dns resolve # firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain lic.huawei.com # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # return #-----END----# 3.4配置驗(yàn)證查看

? 驗(yàn)證路由：

? 連通性測(cè)試

分部網(wǎng)絡(luò)至總部業(yè)務(wù)部網(wǎng)絡(luò)正常連通，至服務(wù)器網(wǎng)絡(luò)正常連通：

分部網(wǎng)絡(luò)至總部財(cái)務(wù)部網(wǎng)絡(luò)不能到達(dá)：

3.5網(wǎng)絡(luò)防病毒措施

針對(duì)網(wǎng)絡(luò)的現(xiàn)狀，在綜合考慮了公司對(duì)防病毒系統(tǒng)的性能要求、成本和安全性以后，我選用瑞星殺毒軟件網(wǎng)絡(luò)版來(lái)在內(nèi)網(wǎng)中進(jìn)行防病毒系統(tǒng)的建立。產(chǎn)品特點(diǎn): 瑞星殺毒軟件網(wǎng)絡(luò)版是為各種簡(jiǎn)單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的計(jì)算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺(tái)主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同城市，包含數(shù)十萬(wàn)臺(tái)主機(jī)的超大型網(wǎng)絡(luò)。網(wǎng)絡(luò)版具有以下顯著特點(diǎn)：

(1)先進(jìn)的體系結(jié)構(gòu)(2)超強(qiáng)的殺毒能力(3)完備的遠(yuǎn)程控制(4)方便的分級(jí)、分組管理

網(wǎng)絡(luò)瑞星殺毒軟件網(wǎng)絡(luò)版的主控制中心部署在DMZ服務(wù)器區(qū)，子控制中心部署在核心層交換機(jī)的一臺(tái)服務(wù)器上。

控制中心負(fù)責(zé)整個(gè)網(wǎng)絡(luò)版的管理與控制，是整個(gè)網(wǎng)絡(luò)版的核心，在部署網(wǎng)絡(luò)時(shí)，必須首先安裝。除了對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著 網(wǎng)絡(luò)版防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的病毒監(jiān)控、查殺病毒和升級(jí)等信息。在1個(gè)網(wǎng)段內(nèi)僅允許安裝1臺(tái)控制中心。根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負(fù)責(zé)與它的上級(jí)——主控制中心進(jìn)行通信。這里的“主”和“子”是一個(gè) 相對(duì)的概念：每個(gè)控制中心對(duì)于它的下級(jí)的網(wǎng)段來(lái)說(shuō)都是主控制中心，對(duì)于它的上級(jí)的網(wǎng)段來(lái)說(shuō)又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無(wú)限的延伸下去。

為企業(yè)網(wǎng)絡(luò)安裝好網(wǎng)絡(luò)版殺毒軟件后，為期配置軟件的安全策略。對(duì)企業(yè)客戶端計(jì)算機(jī)的軟件實(shí)現(xiàn)更為完善的遠(yuǎn)程控制功能，利用軟件控制中心的“策略設(shè)置”功能組來(lái)實(shí)現(xiàn)。在此功能中可以針對(duì)單一客戶端、邏輯組、全網(wǎng)進(jìn)行具有針對(duì)性的安全策略設(shè)置。在“策略設(shè)置”下拉菜單中，我們可以找到“掃描設(shè)置”、“反垃圾郵件”、“網(wǎng)址過(guò)濾”等與平時(shí)安全應(yīng)用密切相關(guān)的各項(xiàng)應(yīng)用配置選項(xiàng)。

為企業(yè)網(wǎng)絡(luò) 網(wǎng)絡(luò)版殺毒軟件配置“掃描設(shè)置”，掃描設(shè)置可對(duì)當(dāng)前選擇的任意組或者任意節(jié)點(diǎn)的客戶端進(jìn)行更加細(xì)化的掃描設(shè)置。企業(yè)可以自己設(shè)定適合于自己網(wǎng)絡(luò)環(huán)境的掃描方案，針對(duì)不同的策略對(duì)不同的客戶端進(jìn)行分發(fā)不同的掃描命令。可以下發(fā)以下命令到節(jié)點(diǎn)計(jì)算機(jī)：掃描目標(biāo)，定時(shí)掃描，分類(lèi)掃描，不掃描文件夾，掃描報(bào)告，簡(jiǎn)單而實(shí)用的設(shè)置頁(yè)大大的增加了網(wǎng)絡(luò)管理的易用性。

總 結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。

本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

第二篇：企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案

企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案 企業(yè)網(wǎng)絡(luò)分析

此處請(qǐng)根據(jù)用戶實(shí)際情況做簡(jiǎn)要分析

網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析

針對(duì)XXX企業(yè)現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程，結(jié)合XXX企業(yè)今后進(jìn)行的網(wǎng)絡(luò)化應(yīng)用范圍的拓展考慮，XXX企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：

2.1內(nèi)部竊密和破壞

由于XXX企業(yè)網(wǎng)絡(luò)上同時(shí)接入了其它部門(mén)的網(wǎng)絡(luò)系統(tǒng)，因此容易出現(xiàn)其它部門(mén)不懷好意的人員(或外部非法人員利用其它部門(mén)的計(jì)算機(jī))通過(guò)網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，并進(jìn)一步竊取和破壞其中的重要信息(如領(lǐng)導(dǎo)的網(wǎng)絡(luò)帳號(hào)和口令、重要文件等)，因此這種風(fēng)險(xiǎn)是必須采取措施進(jìn)行防范的。

2.2 搭線(網(wǎng)絡(luò))竊聽(tīng)

這種威脅是網(wǎng)絡(luò)最容易發(fā)生的。攻擊者可以采用如Sniffer等網(wǎng)絡(luò)協(xié)議分析工具，在INTERNET網(wǎng)絡(luò)安全的薄弱處進(jìn)入INTERNET，并非常容易地在信息傳輸過(guò)程中獲取所有信息(尤其是敏感信息)的內(nèi)容。對(duì)XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)來(lái)講，由于存在跨越INTERNET的內(nèi)部通信(與上級(jí)、下級(jí))這種威脅等級(jí)是相當(dāng)高的，因此也是本方案考慮的重點(diǎn)。

2.3 假冒

這種威脅既可能來(lái)自XXX企業(yè)網(wǎng)內(nèi)部用戶，也可能來(lái)自INTERNET內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過(guò)冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進(jìn)一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?；蛘邇?nèi)部用戶通過(guò)假冒的方式獲取其不能閱讀的秘密信息。

2.4 完整性破壞

這種威脅主要指信息在傳輸過(guò)程中或者存儲(chǔ)期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實(shí)性，從而變得不可用或造成廣泛的負(fù)面影響。由于XXX企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會(huì)通過(guò)網(wǎng)絡(luò)對(duì)沒(méi)有采取安全措施的服務(wù)器上的重要文件進(jìn)行修改或傳達(dá)一些虛假信息，從而影響工作的正常進(jìn)行。

2.5 其它網(wǎng)絡(luò)的攻擊

XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)是接入到INTERNET上的，這樣就有可能會(huì)遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡(luò)攻擊，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等。因此這也是需要采取相應(yīng)的安全措施進(jìn)行防范。

2.6 管理及操作人員缺乏安全知識(shí)

由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息的應(yīng)用和安全技術(shù)相對(duì)滯后，用戶在引入和采用安全設(shè)備和系統(tǒng)時(shí)，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對(duì)信息安全的重要性與技術(shù)認(rèn)識(shí)不足，很容易使安全設(shè)備/系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來(lái)對(duì)某些通信和操作需要限制，為了方便，設(shè)置成全開(kāi)放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。

由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因此，對(duì)操作管理人員的培訓(xùn)顯得尤為重要。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免使用上的漏洞。

2.7 雷擊

由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過(guò)通信電纜進(jìn)行傳輸，因此極易受到雷擊，造成連鎖反應(yīng)，使整個(gè)網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。因此，為避免遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。

注：部分描述地方需要進(jìn)行調(diào)整，請(qǐng)根據(jù)用戶實(shí)際情況敘述。

安全系統(tǒng)建設(shè)原則

XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)原則為：

1)系統(tǒng)性原則

XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)整個(gè)安全系統(tǒng)的建設(shè)要有系統(tǒng)性和適應(yīng)性，不因網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展、信息系統(tǒng)攻防技術(shù)的深化和演變、系統(tǒng)升級(jí)和配置的變化，而導(dǎo)致在系統(tǒng)的整個(gè)生命期內(nèi)的安全保護(hù)能力和抗御風(fēng)險(xiǎn)的能力降低。

2)技術(shù)先進(jìn)性原則

XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)整個(gè)安全系統(tǒng)的設(shè)計(jì)采用先進(jìn)的安全體系進(jìn)行結(jié)構(gòu)性設(shè)計(jì)，選用先進(jìn)、成熟的安全技術(shù)和設(shè)備，實(shí)施中采用先進(jìn)可靠的工藝和技術(shù)，提高系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性。

3)管理可控性原則

系統(tǒng)的所有安全設(shè)備(管理、維護(hù)和配置)都應(yīng)自主可控;系統(tǒng)安全設(shè)備的采購(gòu)必須有嚴(yán)格的手續(xù);安全設(shè)備必須有相應(yīng)機(jī)構(gòu)的認(rèn)證或許可標(biāo)記;安全設(shè)備供應(yīng)商應(yīng)具備相應(yīng)資質(zhì)并可信。

安全系統(tǒng)實(shí)施方案的設(shè)計(jì)和施工單位應(yīng)具備相應(yīng)資質(zhì)并可信。

4)適度安全性原則

系統(tǒng)安全方案應(yīng)充分考慮保護(hù)對(duì)象的價(jià)值與保護(hù)成本之間的平衡性，在允許的風(fēng)險(xiǎn)范圍內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執(zhí)行或無(wú)法執(zhí)行。

5)技術(shù)與管理相結(jié)合原則

XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，它包括產(chǎn)品、過(guò)程和人的因素，因此它的安全解決方案，必須在考慮技術(shù)解決方案的同時(shí)充分考慮管理、法律、法規(guī)方面的制約和調(diào)控作用。單靠技術(shù)或單靠管理都不可能真正解決安全問(wèn)題的，必須堅(jiān)持技術(shù)和管理相結(jié)合的原則。

6)測(cè)評(píng)認(rèn)證原則

XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)作為重要的政務(wù)系統(tǒng)，其系統(tǒng)的安全方案和工程設(shè)計(jì)必須通過(guò)國(guó)家有關(guān)部門(mén)的評(píng)審，采用的安全產(chǎn)品和保密設(shè)備需經(jīng)過(guò)國(guó)家主管理部門(mén)的認(rèn)可。

7)系統(tǒng)可伸縮性原則

XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)將隨著網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展而發(fā)生變化，同時(shí)信息安全技術(shù)也在發(fā)展，因此安全系統(tǒng)的建設(shè)必須考慮系統(tǒng)可升級(jí)性和可伸縮性。重要和關(guān)鍵的安全設(shè)備不因網(wǎng)絡(luò)變化或更換而廢棄。

網(wǎng)絡(luò)安全總體設(shè)計(jì)

一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等，而一個(gè)安全系統(tǒng)的安全等級(jí)，又是按照木桶原理來(lái)實(shí)現(xiàn)的。根據(jù)XXX企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn)，本方案主要從以下幾個(gè)方面進(jìn)行安全設(shè)計(jì)：

l 網(wǎng)絡(luò)系統(tǒng)安全;

l 應(yīng)用系統(tǒng)安全;

l 物理安全;

l 安全管理;

4.1 安全設(shè)計(jì)總體考慮

根據(jù)XXX企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢(shì)，主要安全措施從以下幾個(gè)方面進(jìn)行考慮：

l 網(wǎng)絡(luò)傳輸保護(hù)

主要是數(shù)據(jù)加密保護(hù)

l 主要網(wǎng)絡(luò)安全隔離

通用措施是采用防火墻

l 網(wǎng)絡(luò)病毒防護(hù)

采用網(wǎng)絡(luò)防病毒系統(tǒng)

l 廣域網(wǎng)接入部分的入侵檢測(cè)

采用入侵檢測(cè)系統(tǒng)

l 系統(tǒng)漏洞分析

采用漏洞分析設(shè)備

l 定期安全審計(jì)

主要包括兩部分：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)

l 重要數(shù)據(jù)的備份

l 重要信息點(diǎn)的防電磁泄露

l 網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性

包括安全設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時(shí)進(jìn)行規(guī)模、功能擴(kuò)展

l 網(wǎng)絡(luò)防雷

4.2 網(wǎng)絡(luò)安全

作為XXX企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺(tái)，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要。由于許多重要的信息都通過(guò)網(wǎng)絡(luò)進(jìn)行交換，4.2.1 網(wǎng)絡(luò)傳輸

由于XXX企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等;另一套是與INTERNET相連，通過(guò)ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。通過(guò)公共線路建立跨越INTERNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的安全保護(hù)，如果不采取相應(yīng)的安全措施，易受到來(lái)自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽(tīng)而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果。

由于現(xiàn)在越來(lái)越多的政府、金融機(jī)構(gòu)、企業(yè)等用戶采用VPN技術(shù)來(lái)構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對(duì)網(wǎng)絡(luò)傳輸安全部分推薦采用VPN設(shè)備來(lái)構(gòu)建內(nèi)聯(lián)網(wǎng)?？稍诿考?jí)管理域內(nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo(hù)。根據(jù)XXX企業(yè)三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，VPN設(shè)置如下圖所示：

圖4-1三級(jí) VPN設(shè)置拓?fù)鋱D

每一級(jí)的設(shè)置及管理方法相同。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN設(shè)備和一臺(tái)VPN認(rèn)證服務(wù)器(VPN-CA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPN設(shè)備，由上級(jí)的VPN認(rèn)證服務(wù)器通過(guò)網(wǎng)絡(luò)對(duì)下一級(jí)的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理?？蛇_(dá)到以下幾個(gè)目的：

l 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù);

由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時(shí)采取加密或隧道的方式進(jìn)行傳輸

l 網(wǎng)絡(luò)隔離保護(hù);

與INTERNET進(jìn)行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問(wèn)

l 集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性;

l 降低成本(設(shè)備成本和維護(hù)成本);

其中，在各級(jí)中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：

圖4-2 中心網(wǎng)絡(luò)VPN設(shè)置圖

由一臺(tái)VPN管理機(jī)對(duì)CA、中心VPN設(shè)備、分支機(jī)構(gòu)VPN設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。將對(duì)外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問(wèn)內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對(duì)外訪問(wèn)、記錄日志。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。

下級(jí)單位的VPN設(shè)備放置如下圖所示：

圖4-3 下級(jí)單位VPN設(shè)置圖

從圖4-4可知，下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級(jí)機(jī)構(gòu)通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專(zhuān)業(yè)人員，而采取這種管理方式以后，就可以降低下屬機(jī)構(gòu)的維護(hù)成本和對(duì)專(zhuān)業(yè)技術(shù)人員的要求，這對(duì)有著龐大下屬、分支機(jī)構(gòu)的單位來(lái)講將是一筆不小的費(fèi)用。

由于網(wǎng)絡(luò)安全的是一個(gè)綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對(duì)安全設(shè)備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。而用戶的技術(shù)人員往往不可能都是專(zhuān)業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象;同時(shí)，每個(gè)維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專(zhuān)業(yè)人員對(duì)主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。

4.2.2 訪問(wèn)控制

由于XXX企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過(guò)公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來(lái)自INTERNET上許多非法用戶的攻擊和訪問(wèn)，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。通常，對(duì)網(wǎng)絡(luò)的訪問(wèn)控制最成熟的是采用防火墻技術(shù)來(lái)實(shí)現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求：

l 控制外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問(wèn);

l 控制外部合法用戶對(duì)服務(wù)器的訪問(wèn);

l 禁止外部非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn);

l 控制內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò);

l 阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊;

l 防止內(nèi)部主機(jī)的IP欺騙;

l 對(duì)外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);

l 網(wǎng)絡(luò)監(jiān)控;

l 網(wǎng)絡(luò)日志審計(jì);

詳細(xì)配置拓?fù)鋱D見(jiàn)圖4-

1、圖4-

2、圖4-3。

由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)：

l 管理、維護(hù)簡(jiǎn)單、方便;

l 安全性高(可有效降低在安全設(shè)備使用上的配置漏洞);

l 硬件成本和維護(hù)成本低;

l 網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高

由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。

4.2.3 入侵檢測(cè)

網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補(bǔ)。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見(jiàn)的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送E-mail)。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)系統(tǒng)一般包括控制臺(tái)和探測(cè)器(網(wǎng)絡(luò)引擎)?？刂婆_(tái)用作制定及管理所有探測(cè)器(網(wǎng)絡(luò)引擎)。探測(cè)器(網(wǎng)絡(luò)引擎)用作監(jiān)聽(tīng)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。由于探測(cè)器采取的是監(jiān)聽(tīng)而不是過(guò)濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。

入侵檢測(cè)系統(tǒng)的設(shè)置如下圖：

從上圖可知，入侵檢測(cè)儀在網(wǎng)絡(luò)接如上與VPN設(shè)備并接使用。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過(guò)VPN設(shè)備，而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽(tīng)，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過(guò)報(bào)警、通知VPN設(shè)備中斷網(wǎng)絡(luò)(即IDS與VPN聯(lián)動(dòng)功能)等方式進(jìn)行控制(即安全設(shè)備自適應(yīng)機(jī)制)，最后將攻擊行為進(jìn)行日志記錄以供以后審查。

第三篇：企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)方案1

題

目：大連理工大學(xué)網(wǎng)絡(luò)高等教育畢業(yè)論文

——網(wǎng)絡(luò)安全設(shè)計(jì)

學(xué)習(xí)中心：XXX

層 次： 高中起點(diǎn)專(zhuān)科

專(zhuān) 業(yè)： 網(wǎng)絡(luò)計(jì)算機(jī)

年 級(jí)： 200X年秋季 學(xué) 號(hào)： 200X106329XX

學(xué) 生： XX 指導(dǎo)教師： 孫晰銳 完成日期： 20XX年 0X月 1X 日

目錄

1、網(wǎng)絡(luò)安全問(wèn)題………………………………………………3

2、設(shè)計(jì)的安全性………………………………………………3 可用性…………………………………………………………..3 機(jī)密性…………………………………………………………..3 完整性…………………………………………………………..3 可控性…………………………………………………………..3 可審查性………………………………………………………..3 訪問(wèn)控制………………………………………………………..3 數(shù)據(jù)加密………………………………………………………..3 安全審計(jì)………………………………………………………..3

3、安全設(shè)計(jì)方案………………………………………………5 設(shè)備選型………………………………………………………..5 網(wǎng)絡(luò)安全………………………………………………………..7 訪問(wèn)控制………………………………………………………...9 入侵檢測(cè)………………………………………………………..104、總結(jié)…………………………………………………………111、網(wǎng)絡(luò)安全問(wèn)題

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。

大多數(shù)安全性問(wèn)題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒(méi)有編程錯(cuò)誤。它包括要防范那些聰明的，通常也是狡猾的、專(zhuān)業(yè)的，并且在時(shí)間和金錢(qián)上是很充足、富有的人。同時(shí)，必須清楚地認(rèn)識(shí)到，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來(lái)說(shuō)，收效甚微。

網(wǎng)絡(luò)安全性可以被粗略地分為4個(gè)相互交織的部分：保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問(wèn)，這是人們提到的網(wǎng)絡(luò)安全性時(shí)最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對(duì)方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過(guò)使用注冊(cè)過(guò)的郵件和文件鎖來(lái)

2、設(shè)計(jì)的安全性

通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問(wèn)題，我們需要制定合理的安全策略及安全方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即，可用性： 授權(quán)實(shí)體有權(quán)訪問(wèn)數(shù)據(jù)

機(jī)密性： 信息不暴露給未授權(quán)實(shí)體或進(jìn)程

完整性： 保證數(shù)據(jù)不被未授權(quán)修改

可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式

可審查性：對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段

訪問(wèn)控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問(wèn)控制。同樣，對(duì)內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離，并實(shí)現(xiàn)相互的訪問(wèn)控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲(chǔ)過(guò)程中防止非法竊取、篡改信息的有效手段。

安全審計(jì)： 是識(shí)別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時(shí)響應(yīng)（如報(bào)警）并進(jìn)行阻斷；二是對(duì)信息內(nèi)容的審計(jì)，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏

針對(duì)企業(yè)現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程，結(jié)合企業(yè)今后進(jìn)行的網(wǎng)絡(luò)

化應(yīng)用范圍的拓展考慮，企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：

（1）內(nèi)部竊密和破壞

由于企業(yè)網(wǎng)絡(luò)上同時(shí)接入了其它部門(mén)的網(wǎng)絡(luò)系統(tǒng)，因此容易出現(xiàn)其它部門(mén)不懷好意的人員(或外部非法人員利用其它部門(mén)的計(jì)算機(jī))通過(guò)網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，并進(jìn)一步竊取和破壞其中的重要信息(如領(lǐng)導(dǎo)的網(wǎng)絡(luò)帳號(hào)和口令、重要文件等)，因此這種風(fēng)險(xiǎn)是必須采取措施進(jìn)行防范的。

（2）搭線(網(wǎng)絡(luò))竊聽(tīng)

這種威脅是網(wǎng)絡(luò)最容易發(fā)生的。攻擊者可以采用如Sniffer等網(wǎng)絡(luò)協(xié)議分析工具，在INTERNET網(wǎng)絡(luò)安全的薄弱處進(jìn)入INTERNET，并非常容易地在信息傳輸過(guò)程中獲取所有信息(尤其是敏感信息)的內(nèi)容。對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)來(lái)講，由于存在跨越INTERNET的內(nèi)部通信(與上級(jí)、下級(jí))這種威脅等級(jí)是相當(dāng)高的，因此也是本方案考慮的重點(diǎn)。

（3）假冒

這種威脅既可能來(lái)自企業(yè)網(wǎng)內(nèi)部用戶，也可能來(lái)自INTERNET內(nèi)的其它用戶。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。攻擊者可能通過(guò)冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進(jìn)一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息?；蛘邇?nèi)部用戶通過(guò)假冒的方式獲取其不能閱讀的秘密信息。

（4）完整性破壞

這種威脅主要指信息在傳輸過(guò)程中或者存儲(chǔ)期間被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實(shí)性，從而變得不可用或造成廣泛的負(fù)面影響。由于XXX企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會(huì)通過(guò)網(wǎng)絡(luò)對(duì)沒(méi)有采取安全措施的服務(wù)器上的重要文件進(jìn)行修改或傳達(dá)一些虛假信息，從而影響工作的正常進(jìn)行。

（5）其它網(wǎng)絡(luò)的攻擊

企業(yè)網(wǎng)絡(luò)系統(tǒng)是接入到INTERNET上的，這樣就有可能會(huì)遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡(luò)攻擊，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等。因此這也是需要采取相應(yīng)的安全措施進(jìn)行防范。

（6）管理及操作人員缺乏安全知識(shí)

由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息的應(yīng)用和安全技術(shù)相對(duì)滯后，用戶在引入和采用安全設(shè)備和系統(tǒng)時(shí)，缺乏全面和深入的培訓(xùn)和學(xué)習(xí)，對(duì)信息安全的重要性與技術(shù)認(rèn)識(shí)不足，很容易使安全設(shè)備/系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來(lái)對(duì)某些通信和操作需要限制，為了方便，設(shè)置成全開(kāi)放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。

由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因此，對(duì)操作管理人員的培訓(xùn)顯得尤為重要。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免使用上的漏洞。

（7）雷擊

由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過(guò)通信電纜進(jìn)行傳輸，因此極易受到雷擊，造成連鎖反應(yīng)，使整個(gè)網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。因此，為避免遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。

3、網(wǎng)絡(luò)安全設(shè)計(jì)方案

（1）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

設(shè)備選型

傳統(tǒng)的組網(wǎng)已經(jīng)不能滿足現(xiàn)在網(wǎng)絡(luò)應(yīng)用的變化了，在組網(wǎng)的初期必須考慮到安全和網(wǎng)絡(luò)的問(wèn)題，考慮到這個(gè)問(wèn)題我們就不能不考慮免疫網(wǎng)絡(luò)的作用以及前景如何。

免疫網(wǎng)絡(luò)——

免疫網(wǎng)絡(luò)是企業(yè)信息網(wǎng)絡(luò)的一種安全形式?！懊庖摺笔巧镝t(yī)學(xué)的名詞，它指的是人體所具有的“生理防御、自身穩(wěn)定與免疫監(jiān)視”的特定功能。

就像我們耳熟能詳?shù)碾娔X病毒一樣，在電腦行業(yè)，“病毒”就是對(duì)醫(yī)學(xué)名詞形象的借用。同樣，“免疫”也被借用于說(shuō)明計(jì)算機(jī)網(wǎng)絡(luò)的一種能力和作用。免疫就是讓企業(yè)的內(nèi)部網(wǎng)絡(luò)也像人體一樣具備“防御、穩(wěn)定、監(jiān)視”的功能。這樣的網(wǎng)絡(luò)就稱(chēng)之為免疫網(wǎng)絡(luò)。

免疫網(wǎng)絡(luò)的主要理念是自主防御和管理，它通過(guò)源頭抑制、群防群控、全網(wǎng)聯(lián)動(dòng)使網(wǎng)絡(luò)內(nèi)每一個(gè)節(jié)點(diǎn)都具有安全功能，在面臨攻擊時(shí)調(diào)動(dòng)各種安全資源進(jìn)行應(yīng)對(duì)。

它具有安全和網(wǎng)絡(luò)功能融合、全網(wǎng)設(shè)備聯(lián)動(dòng)、可信接入、深度防御和控制、精細(xì)帶寬管理、業(yè)務(wù)感知、全網(wǎng)監(jiān)測(cè)評(píng)估等主要特征。下面讓我們看看這幾個(gè)特征的距離內(nèi)容 安全和網(wǎng)絡(luò)功能的融合

①網(wǎng)絡(luò)架構(gòu)的融合，主要包括網(wǎng)關(guān)和終端的融合

網(wǎng)關(guān)方面：ARP先天免疫原理—NAT表中添加源MAC地址濾窗防火墻—封包檢測(cè)，IP分片檢查

UDP洪水終端方面：驅(qū)動(dòng)部分—免疫標(biāo)記 ②網(wǎng)絡(luò)協(xié)議的融合—行為特征和網(wǎng)絡(luò)行為的融合 全網(wǎng)設(shè)備的聯(lián)動(dòng)

①驅(qū)動(dòng)與運(yùn)營(yíng)中心的聯(lián)動(dòng)分收策略 ②驅(qū)動(dòng)與驅(qū)動(dòng)的聯(lián)動(dòng)IP地址沖突 ③網(wǎng)關(guān)和驅(qū)動(dòng)的聯(lián)動(dòng)群防群控

④運(yùn)營(yíng)中心和網(wǎng)關(guān)的聯(lián)動(dòng)（外網(wǎng)攻擊，上下線 可信接入

①M(fèi)AC地址的可信（類(lèi)似于DNA），生物身份 ②傳輸?shù)目尚牛庖邩?biāo)記）深度防御和控制

①深入到每個(gè)終端的網(wǎng)卡 深入到協(xié)議的最低層

深入到二級(jí)路由，多級(jí)路由器下 精細(xì)帶寬管理

①身份精細(xì)—IP/MAC的精確 ②位置精確—終端驅(qū)動(dòng) ③路徑細(xì)分（特殊的IP）④流量去向（內(nèi)，公網(wǎng)）⑤應(yīng)用流控（QQ,MSN）業(yè)務(wù)感知

協(xié)議區(qū)分和應(yīng)用感知

它與防火墻（FW）、入侵檢測(cè)系統(tǒng)（IDS）、防病毒等“老三樣”組成的安全網(wǎng)絡(luò)相比，突破了被動(dòng)防御、邊界防護(hù)的局限，著重從內(nèi)網(wǎng)的角度解決攻擊問(wèn)題，應(yīng)對(duì)目前網(wǎng)絡(luò)攻擊復(fù)雜性、多樣性、更多從內(nèi)網(wǎng)發(fā)起的趨勢(shì)，更有效地解決網(wǎng)絡(luò)威脅。

同時(shí)，安全和管理密不可分。免疫網(wǎng)絡(luò)對(duì)基于可信身份的帶寬管理、業(yè)務(wù)感知和控制，以及對(duì)全網(wǎng)安全問(wèn)題和工作效能的監(jiān)測(cè)、分析、統(tǒng)計(jì)、評(píng)估，保證了企業(yè)網(wǎng)絡(luò)的可管可控，大大提高了通信效率和可靠性。

安全架構(gòu)分析

根據(jù)企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢(shì)，主要安全措施從以下幾個(gè)方面進(jìn)行考慮：

網(wǎng)絡(luò)傳輸保護(hù)

主要是數(shù)據(jù)加密保護(hù)

主要網(wǎng)絡(luò)安全隔離

通用措施是采用防火墻

網(wǎng)絡(luò)病毒防護(hù)

采用網(wǎng)絡(luò)防病毒系統(tǒng)

廣域網(wǎng)接入部分的入侵檢測(cè)

采用入侵檢測(cè)系統(tǒng)

系統(tǒng)漏洞分析

采用漏洞分析設(shè)備

定期安全審計(jì)

主要包括兩部分：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)

重要數(shù)據(jù)的備份

重要信息點(diǎn)的防電磁泄露

網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性

包括安全設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時(shí)進(jìn)行規(guī)模、功能擴(kuò)展

網(wǎng)絡(luò)防雷

（2）網(wǎng)絡(luò)安全

作為企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺(tái)，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要。由于許多重要的信息都通過(guò)網(wǎng)絡(luò)進(jìn)行交換，網(wǎng)絡(luò)傳輸

由于企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等;另一套是與INTERNET相連，通過(guò)ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。通過(guò)公共線路建立跨越INTERNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的安全保護(hù)，如果不采取相應(yīng)的安全措施，易受到來(lái)自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽(tīng)而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果。

由于現(xiàn)在越來(lái)越多的政府、金融機(jī)構(gòu)、企業(yè)等用戶采用VPN技術(shù)來(lái)構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對(duì)網(wǎng)絡(luò)傳輸安全部分推薦采用VPN設(shè)備來(lái)構(gòu)建內(nèi)聯(lián)網(wǎng)?？稍诿考?jí)管理域內(nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo(hù)。根據(jù)企業(yè)三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，VPN設(shè)置如下圖所示：

圖為三級(jí) VPN設(shè)置拓?fù)鋱D

每一級(jí)的設(shè)置及管理方法相同。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN設(shè)備和一臺(tái)VPN認(rèn)證服務(wù)器(VPN-CA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPN設(shè)備，由上級(jí)的VPN認(rèn)證服務(wù)器通過(guò)網(wǎng)絡(luò)對(duì)下一級(jí)的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理?？蛇_(dá)到以下幾個(gè)目的：

網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù)

由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時(shí)采取加密或隧道的方式進(jìn)行傳輸

網(wǎng)絡(luò)隔離保護(hù)

與INTERNET進(jìn)行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問(wèn)

集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性

降低成本(設(shè)備成本和維護(hù)成本)

其中，在各級(jí)中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：

圖為中心網(wǎng)絡(luò)VPN設(shè)置圖

由一臺(tái)VPN管理機(jī)對(duì)CA、中心VPN設(shè)備、分支機(jī)構(gòu)VPN設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。將對(duì)外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問(wèn)內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對(duì)外訪問(wèn)、記錄日志。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。

下級(jí)單位的VPN設(shè)備放置如下圖所示：

圖為下級(jí)單位VPN設(shè)置圖

從圖可知，下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級(jí)機(jī)構(gòu)通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專(zhuān)業(yè)人員，而采取這種管理方式以后，就可以降低下屬機(jī)構(gòu)的維護(hù)成本和對(duì)專(zhuān)業(yè)技術(shù)人員的要求，這對(duì)有著龐大下屬、分支機(jī)構(gòu)的單位來(lái)講將是一筆不小的費(fèi)用。

由于網(wǎng)絡(luò)安全的是一個(gè)綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對(duì)安全設(shè)備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。而用戶的技術(shù)人員往往不可能都是專(zhuān)業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象;同時(shí)，每個(gè)維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專(zhuān)業(yè)人員對(duì)主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。

（3）訪問(wèn)控制

由于企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過(guò)公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來(lái)自INTERNET上許多非法用戶的攻擊和訪問(wèn)，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。通常，對(duì)網(wǎng)絡(luò)的訪問(wèn)控制最成熟的是采用防火墻技術(shù)來(lái)實(shí)現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求：

控制外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問(wèn);

控制外部合法用戶對(duì)服務(wù)器的訪問(wèn);

禁止外部非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn);

控制內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò);

阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊;

防止內(nèi)部主機(jī)的IP欺騙;

對(duì)外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);

網(wǎng)絡(luò)監(jiān)控;

網(wǎng)絡(luò)日志審計(jì);

詳細(xì)配置拓?fù)鋱D見(jiàn)圖

由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)：

管理、維護(hù)簡(jiǎn)單、方便;

安全性高(可有效降低在安全設(shè)備使用上的配置漏洞);

硬件成本和維護(hù)成本低;

網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高

由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。

（4）入侵檢測(cè)

網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補(bǔ)。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見(jiàn)的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送E-mail)。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)系統(tǒng)一般包括控制臺(tái)和探測(cè)器(網(wǎng)絡(luò)引擎)?？刂婆_(tái)用作制定及管理所有探測(cè)器(網(wǎng)絡(luò)引擎)。探測(cè)器(網(wǎng)絡(luò)引擎)用作監(jiān)聽(tīng)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。由于探測(cè)器采取的是監(jiān)聽(tīng)而不是過(guò)濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。

入侵檢測(cè)系統(tǒng)的設(shè)置如下圖：

從上圖可知，入侵檢測(cè)儀在網(wǎng)絡(luò)接如上與VPN設(shè)備并接使用。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過(guò)VPN設(shè)備，而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽(tīng)，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過(guò)報(bào)警、通知VPN設(shè)備中斷網(wǎng)絡(luò)(即IDS與VPN聯(lián)動(dòng)功能)等方式進(jìn)行控制(即安全設(shè)備自適應(yīng)機(jī)制)，最后將攻擊行為進(jìn)行日志記錄以供以后審查。

4、總結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。

第四篇：網(wǎng)絡(luò)安全設(shè)計(jì)方案

某校園網(wǎng)方案.........................................................2 網(wǎng)絡(luò)防火墻設(shè)計(jì)中的問(wèn)題..............................................17 如何構(gòu)建網(wǎng)絡(luò)整體安全方案............................................25 四臺(tái)Cisco防火墻實(shí)現(xiàn)VPN網(wǎng)絡(luò)........................................31 企業(yè)級(jí)防火墻選購(gòu)熱點(diǎn)................................................35 增強(qiáng)路由器安全的十個(gè)技巧............................................38 啟明星辰銀行安全防御方案............................................39 神碼基金公司信息安全解決方案........................................40 安天校園網(wǎng)解決方案..................................................43 網(wǎng)絡(luò)入侵檢測(cè)解決方案................................................46 企業(yè)需要什么樣的IDS 測(cè)試IDS的幾個(gè)性能指標(biāo)..........................48 東軟安全助力武漢信用風(fēng)險(xiǎn)管理信息系統(tǒng)................................52 某校園網(wǎng)方案 1.1設(shè)計(jì)原則

1.充分滿足現(xiàn)在以及未來(lái)3-5年內(nèi)的網(wǎng)絡(luò)需求，既要保證校園網(wǎng)能很好的為學(xué)校服務(wù)，又要保護(hù)學(xué)校的投資。

2.強(qiáng)大的安全管理措施，四分建設(shè)、六分管理，管理維護(hù)的好壞是校園網(wǎng)正常運(yùn)行的關(guān)鍵

3.在滿足學(xué)校的需求的前提下，建出自己的特色 1.2網(wǎng)絡(luò)建設(shè)需求 網(wǎng)絡(luò)的穩(wěn)定性要求

? 整個(gè)網(wǎng)絡(luò)需要具有高度的穩(wěn)定性，能夠滿足不同用戶對(duì)網(wǎng)絡(luò)訪問(wèn)的不同要求

網(wǎng)絡(luò)高性能需求

? 整個(gè)網(wǎng)絡(luò)系統(tǒng)需要具有很高的性能，能夠滿足各種流媒體的無(wú)障礙傳輸，保證校園網(wǎng)各種應(yīng)用的暢通無(wú)阻

? 認(rèn)證計(jì)費(fèi)效率高，對(duì)用戶的認(rèn)證和計(jì)費(fèi)不會(huì)對(duì)網(wǎng)絡(luò)性能造成瓶頸 網(wǎng)絡(luò)安全需求 ? 防止IP地址沖突 ? 非法站點(diǎn)訪問(wèn)過(guò)濾 ? 非法言論的準(zhǔn)確追蹤 ? 惡意攻擊的實(shí)時(shí)處理 ? 記錄訪問(wèn)日志提供完整審計(jì) 網(wǎng)絡(luò)管理需求

? 需要方便的進(jìn)行用戶管理，包括開(kāi)戶、銷(xiāo)戶、資料修改和查詢 ? 需要能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行集中的統(tǒng)一管理 ? 需要對(duì)網(wǎng)絡(luò)故障進(jìn)行快速高效的處理 第二章、某校園網(wǎng)方案設(shè)計(jì) 2.1校園網(wǎng)現(xiàn)網(wǎng)拓?fù)鋱D 整個(gè)網(wǎng)絡(luò)采用二級(jí)的網(wǎng)絡(luò)架構(gòu)：核心、接入。

核心采用一臺(tái)RG－S4909，負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)，同時(shí)為接入交換機(jī)S1926F+、內(nèi)部服務(wù)器提供百兆接口。網(wǎng)絡(luò)出口采用RG-WALL1200防火墻。原有網(wǎng)絡(luò)設(shè)備功能較少，無(wú)法進(jìn)行安全防護(hù)，已經(jīng)不能滿足應(yīng)用的需求。

2.2校園網(wǎng)設(shè)備更新方案

方案一：不更換核心設(shè)備

核心仍然采用銳捷網(wǎng)絡(luò)S4909交換機(jī)，在中校區(qū)增加一臺(tái)SAM服務(wù)器，部署SAM系統(tǒng)，同時(shí)東校區(qū)和西校區(qū)各用3臺(tái)S2126G替換原有S1926F+,其中匯聚交換機(jī)各采用一臺(tái)新增的S2126G，剩余的兩臺(tái)S2126G用于加強(qiáng)對(duì)關(guān)鍵機(jī)器的保護(hù)，中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺(tái)S2126G做為匯聚設(shè)備，其它交換機(jī)分別接入這兩臺(tái)交換機(jī)，從而實(shí)現(xiàn)所有匯聚層交換機(jī)都能進(jìn)行安全控制，重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。

方案二：更換核心設(shè)備

核心采用一臺(tái)銳捷網(wǎng)絡(luò)面向10萬(wàn)兆平臺(tái)設(shè)計(jì)的多業(yè)務(wù)IPV6路由交換機(jī)RG-S8606，負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增加一臺(tái)SAM服務(wù)器，部署SAM系統(tǒng)，同時(shí)東校區(qū)和西校區(qū)各用3臺(tái)S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設(shè)備，下接三臺(tái)S2126G實(shí)現(xiàn)安全控制，其它二層交換機(jī)分別接入相應(yīng)的S2126G。西校區(qū)匯聚采用一臺(tái)S2126G，剩余兩臺(tái)S2126G用于保護(hù)重點(diǎn)機(jī)器，其它交換機(jī)接入對(duì)應(yīng)的S2126G。中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺(tái)S2126G做為匯聚設(shè)備，其它交換機(jī)分別接入這兩臺(tái)交換機(jī)，從而實(shí)現(xiàn)所有匯聚層交換機(jī)都能進(jìn)行安全控制，重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。

2.3骨干網(wǎng)絡(luò)設(shè)計(jì)

骨干網(wǎng)絡(luò)由RG-S8606構(gòu)成，核心交換機(jī)RG-S8606主要具有5特性：

1、骨干網(wǎng)帶寬設(shè)計(jì)：千兆骨干，可平滑升級(jí)到萬(wàn)兆

整個(gè)骨干網(wǎng)采用千兆雙規(guī)線路的設(shè)計(jì)，二條線路通過(guò)VRRP冗余路由協(xié)議和OSPF動(dòng)態(tài)路由協(xié)議實(shí)現(xiàn)負(fù)載分擔(dān)和冗余備份，以后，隨著網(wǎng)絡(luò)流量的增加，可以將鏈路升級(jí)到萬(wàn)兆。

2、骨干設(shè)備的安全設(shè)計(jì)：CSS安全體系架構(gòu)

3、CSS之硬件CPP CPP即CPU Protect Policy，RG-S8606采用硬件來(lái)實(shí)現(xiàn)，CPP提供管理模塊和線卡CPU的保護(hù)功能，對(duì)發(fā)往CPU的數(shù)據(jù)流進(jìn)行帶寬限制（總帶寬、QOS隊(duì)列帶寬、類(lèi)型報(bào)文帶寬），這樣，對(duì)于ARP攻擊的數(shù)據(jù)流、針對(duì)CPU的網(wǎng)絡(luò)攻擊和病毒數(shù)據(jù)流，RG-S8606分配給其的帶寬非常的有限，不會(huì)影響其正常工作。

由于銳捷10萬(wàn)兆產(chǎn)品RG-S8606采用硬件的方式實(shí)現(xiàn)，不影響整機(jī)的運(yùn)行效率

4、CSS之SPOH技術(shù)

現(xiàn)在的網(wǎng)絡(luò)需要更安全、需要為不同的業(yè)務(wù)提供不同的處理優(yōu)先級(jí)，這樣，大量的ACL和QOS需要部署，需要核心交換機(jī)來(lái)處理，而這些應(yīng)用屬于對(duì)交換機(jī)硬件資源消耗非常大的，核心交換機(jī)RG-S8606通過(guò)在交換機(jī)的每一個(gè)用戶端口上增加一個(gè)FFP(快速過(guò)濾處理器)，專(zhuān)門(mén)用來(lái)處理ACL和QOS，相當(dāng)于把交換機(jī)的每一個(gè)端口都變成了一臺(tái)獨(dú)立的交換機(jī)，可以保證在非常復(fù)雜的網(wǎng)絡(luò)環(huán)境中核心交換機(jī)的高性

能。

2.4網(wǎng)絡(luò)安全設(shè)計(jì)

2.4.1某校園網(wǎng)網(wǎng)絡(luò)安全需求分析

1、網(wǎng)絡(luò)病毒的防范

病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個(gè)特征就是用戶數(shù)比較多，會(huì)有很多的PC機(jī)缺乏有效的病毒防范手段，這樣，當(dāng)用戶在頻繁的訪問(wèn)INTERNET的時(shí)候，通過(guò)局域網(wǎng)共享文件的時(shí)候，通過(guò)U盤(pán)，光盤(pán)拷貝文件的時(shí)候，系統(tǒng)都會(huì)感染上病毒，當(dāng)某個(gè)學(xué)生感染上病毒后，他會(huì)向校園網(wǎng)的每一個(gè)角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務(wù)器。

病毒對(duì)校園網(wǎng)的影響：校園網(wǎng)萬(wàn)兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問(wèn)得不到響應(yīng)，辦公平臺(tái)不能使用；資源庫(kù)、VOD不能點(diǎn)播；INTERNET上不了，學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的 尷尬境地。

2、防止IP、MAC地址的盜用

IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級(jí)選項(xiàng)中可以隨意的更改MAC地址。如果用戶有意無(wú)意的更改自己的IP、MAC地址，會(huì)引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對(duì)應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。

IP、MAC地址的盜用對(duì)校園網(wǎng)的影響：在用戶看來(lái)，校園網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)?lái)很多麻煩的網(wǎng)絡(luò)，因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時(shí)候，自己的電腦上會(huì)經(jīng)常彈出MAC地址沖突的對(duì)話框。由于擔(dān)心一些機(jī)密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會(huì)盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對(duì)校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會(huì)逐漸減弱，投入幾百萬(wàn)的校園網(wǎng)也就不能充分發(fā)揮其服務(wù)于教學(xué)的作用，造成很大程度上的資源浪費(fèi)。

3、安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶 安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶原因：

? 國(guó)家的要求：2002年，朱镕基簽署了282號(hào)令，要求各大INTERNET運(yùn)營(yíng)機(jī)構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門(mén)審計(jì)。

? 校園網(wǎng)正常運(yùn)行的需求：如果說(shuō)不能準(zhǔn)確的定位到用戶，學(xué)生會(huì)在網(wǎng)絡(luò)中肆無(wú)忌彈進(jìn)行各種非法的活動(dòng)，會(huì)使得校園網(wǎng)變成“黑客”娛樂(lè)的天堂，更嚴(yán)重的是，如

果當(dāng)某個(gè)學(xué)生在校外的某個(gè)站點(diǎn)發(fā)布了大量涉及政治的言論，這時(shí)候公安部門(mén)的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時(shí)候，我們無(wú)法處理，學(xué)校或者說(shuō)網(wǎng)絡(luò)中心只有替學(xué)生背這個(gè)黑鍋。

4、安全事故發(fā)生時(shí)候，不能準(zhǔn)確定位到用戶的影響：

一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會(huì)上廣泛傳播，上級(jí)主管部門(mén)會(huì)對(duì)學(xué)校做出處理；同時(shí)也會(huì)大大降低學(xué)校在社會(huì)上的影響力，降低家長(zhǎng)、學(xué)生對(duì)學(xué)校的滿意度，對(duì)以后學(xué)生的招生也是大有影響的。

5、用戶上網(wǎng)時(shí)間的控制

無(wú)法控制學(xué)生上網(wǎng)時(shí)間的影響：如果缺乏有效的機(jī)制來(lái)限制用戶的上網(wǎng)時(shí)間，學(xué)生可能會(huì)利用一切機(jī)會(huì)上網(wǎng)，會(huì)曠課。學(xué)生家長(zhǎng)會(huì)對(duì)學(xué)校產(chǎn)生強(qiáng)烈的不滿，會(huì)認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書(shū)育人。這對(duì)學(xué)校的聲譽(yù)以及學(xué)校的長(zhǎng)期發(fā)展是及其不利的。

6、用戶網(wǎng)絡(luò)權(quán)限的控制

在校園網(wǎng)中，不同用戶的訪問(wèn)權(quán)限應(yīng)該是不一樣的，比如學(xué)生應(yīng)該只能夠訪問(wèn)資源服務(wù)器，上網(wǎng)，不能訪問(wèn)辦公網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問(wèn)財(cái)務(wù)網(wǎng)絡(luò)。因此，需要對(duì)用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。

7、各種網(wǎng)絡(luò)攻擊的有效屏蔽

校園網(wǎng)中常見(jiàn)的網(wǎng)絡(luò)攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務(wù)器及DHCP攻擊、竊取交換機(jī)的管理員密碼、發(fā)送大量的廣播報(bào)文，這些攻擊的存在，會(huì)擾亂網(wǎng)絡(luò)的正常運(yùn)行，降低了校園網(wǎng)的效率。

2.4.2某校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)思想 2.4.2.1安全到邊緣的設(shè)計(jì)思想

用戶在訪問(wèn)網(wǎng)絡(luò)的過(guò)程中，首先要經(jīng)過(guò)的就是交換機(jī)，如果我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時(shí)候，也就是在接入層交換機(jī)上部署網(wǎng)絡(luò)安全無(wú)疑是達(dá)到更好的效果。2.4.2.2全局安全的設(shè)計(jì)思想

銳捷網(wǎng)絡(luò)提倡的是從全局的角度來(lái)把控網(wǎng)絡(luò)安全，安全不是某一個(gè)設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能，互相協(xié)作，形成一個(gè)全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)安全。2.4.2.3全程安全的設(shè)計(jì)思想

用戶的網(wǎng)絡(luò)訪問(wèn)行為可以分為三個(gè)階段，包括訪問(wèn)網(wǎng)絡(luò)前、訪問(wèn)網(wǎng)絡(luò)的時(shí)候、訪問(wèn)網(wǎng)絡(luò)后。對(duì)著每一個(gè)階段，都應(yīng)該有嚴(yán)格的安全控制措施。2.4.3某校園網(wǎng)網(wǎng)絡(luò)安全方案

銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和交換機(jī)嵌入式安全防護(hù)機(jī)制設(shè)計(jì)的特點(diǎn)，從三個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)安全：事前的準(zhǔn)確身份認(rèn)證、事中的實(shí)時(shí)處理、事后的完整審計(jì)。2.4.3.1事前的身份認(rèn)證

對(duì)于每一個(gè)需要訪問(wèn)網(wǎng)絡(luò)的用戶，我們需要對(duì)其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)、用戶被系統(tǒng)定義的允許訪問(wèn)網(wǎng)絡(luò)的時(shí)間，通過(guò)以上信息的綁定，可以達(dá)到如下的效果：

? 每一個(gè)用戶的身份在整個(gè)校園網(wǎng)中是唯一，避免了個(gè)人信息被盜用.? 當(dāng)安全事故發(fā)生的時(shí)候，只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比如IP地址，就可以準(zhǔn)確定位到該用戶，便于事情的處理。

? 只有經(jīng)過(guò)網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問(wèn)校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。2.4.3.2網(wǎng)絡(luò)攻擊的防范

1、常見(jiàn)網(wǎng)絡(luò)病毒的防范

對(duì)于常見(jiàn)的比如沖擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過(guò)部署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類(lèi)型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。

2、未知網(wǎng)絡(luò)病毒的防范

對(duì)于未知的網(wǎng)絡(luò)病毒，通過(guò)在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類(lèi)型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫(kù)、郵件數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。

3、防止IP地址盜用和ARP攻擊

通過(guò)對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè)ARP報(bào)文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。

4、防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊 通過(guò)部署IP、MAC、端口綁定和IP+MAC綁定（只需簡(jiǎn)單的一個(gè)命令就可以實(shí)現(xiàn)）。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪問(wèn)，追查惡意用戶。有效的防止通過(guò)假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。

5、非法組播源的屏蔽

銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。當(dāng)IGMP源端口檢查打開(kāi)時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時(shí)可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢(shì)，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查，具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn)，更加適用于校園運(yùn)營(yíng)網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。

6、對(duì)DOS攻擊，掃描攻擊的屏蔽

通過(guò)在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類(lèi)攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。

2.4.3.3事后的完整審計(jì)

當(dāng)用戶訪問(wèn)完網(wǎng)絡(luò)后，會(huì)保存有完備的用戶上網(wǎng)日志紀(jì)錄，包括某個(gè)用戶名，使用那個(gè)IP地址，MAC地址是多少，通過(guò)那一臺(tái)交換機(jī)的哪一個(gè)端口，什么時(shí)候開(kāi)始訪問(wèn)網(wǎng)絡(luò)，什么時(shí)候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過(guò)查詢?cè)撊罩?，?lái)唯一的確定該用戶的身份，便于了事情的處理。2.5網(wǎng)絡(luò)管理設(shè)計(jì)

網(wǎng)絡(luò)管理包括設(shè)備管理、用戶管理、網(wǎng)絡(luò)故障管理 2.5.1網(wǎng)絡(luò)用戶管理

網(wǎng)絡(luò)用戶管理見(jiàn)網(wǎng)絡(luò)運(yùn)營(yíng)設(shè)計(jì)開(kāi)戶部分 2.5.2網(wǎng)絡(luò)設(shè)備管理

網(wǎng)絡(luò)設(shè)備的管理通過(guò)STARVIEW實(shí)現(xiàn)，主要提供以下功能，這些功能也是我們常見(jiàn)的解決問(wèn)題的思路：

1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動(dòng)發(fā)現(xiàn)和了解

STARVIEW能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對(duì)整個(gè)校園網(wǎng)了如指掌，對(duì)于用戶私自掛接的HUB、交換機(jī)等設(shè)備能及時(shí)地發(fā)現(xiàn)，提前消除各種安全隱患。對(duì)于網(wǎng)絡(luò)中的異常故障，比如某臺(tái)交換機(jī)的CPU利用率過(guò)高，某條鏈路上的流量負(fù)載過(guò)大，STARVIEW都可以以不同的顏色進(jìn)行顯示，方便管理員及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。

2、網(wǎng)絡(luò)流量的查看

STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的察看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。

3、網(wǎng)絡(luò)故障的信息自動(dòng)報(bào)告

STARVIEW支持故障信息的自動(dòng)告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，會(huì)通過(guò)TRAP的方式進(jìn)行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故

障排除提供了豐富的信息。

4、設(shè)備面板管理

STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時(shí)可以很方便的登陸到設(shè)備上，進(jìn)行配置的修改，完善以及各種信息

的察看。

5、RGNOS操作系統(tǒng)的批量升級(jí)

校園網(wǎng)很大的一個(gè)特點(diǎn)就是規(guī)模大，需要使用大量的接入層交換機(jī)，如果需要對(duì)這些交換機(jī)進(jìn)行升級(jí)，一臺(tái)一臺(tái)的操作，會(huì)給管理員的工作帶來(lái)很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級(jí)功能，能夠很方便的一次對(duì)所有的相同型號(hào)的交換機(jī)進(jìn)行升級(jí)，加大的較少了網(wǎng)絡(luò)管理員的工作量。

2.5.3網(wǎng)絡(luò)故障管理

隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運(yùn)營(yíng)的開(kāi)始，用戶網(wǎng)絡(luò)故障的排除會(huì)成為校園網(wǎng)管理工作的重點(diǎn)和難點(diǎn)，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個(gè)流程：

2.6流量管理系統(tǒng)設(shè)計(jì)

網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的P2P軟件的使用，已經(jīng)對(duì)各種網(wǎng)絡(luò)業(yè)務(wù)的正常開(kāi)展產(chǎn)生了非常嚴(yán)重的影響，有的學(xué)校甚至因?yàn)镻2P軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。2.6.1方案一：傳統(tǒng)的流量管理方案

傳統(tǒng)的流量管理方案的做法很多就是簡(jiǎn)單的封堵這些P2P軟件，從而達(dá)到控制流量的目的，這有三大弊端，? 第一：這些軟件之所以有如此強(qiáng)大的生命力，是因?yàn)橛脩敉ㄟ^(guò)使用這些軟件的確能快速的獲取各種有用的資源，如果簡(jiǎn)單的通過(guò)禁止的方式，用戶的意見(jiàn)會(huì)非常的大，同時(shí)，各種有用的資源我們很難獲取。

? 第二：各種新型的，對(duì)網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠(yuǎn)處于被動(dòng)的局面，顯然不能從根本上解決這個(gè)問(wèn)題。

? 第三：我們無(wú)法獲取網(wǎng)絡(luò)中的流量信息，無(wú)法為校園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。

2.6.2方案二：銳捷的流量管理與控制方案

銳捷網(wǎng)絡(luò)的流量管理主要通過(guò)RG-NTD+日志處理軟件+RG-SAM系統(tǒng)來(lái)實(shí)現(xiàn)。

NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計(jì)費(fèi)，銳捷的流量管理方案有三大功能：

? 第一：為SAM系統(tǒng)對(duì)用戶進(jìn)行流量計(jì)費(fèi)提供原始數(shù)據(jù)，這是我們已經(jīng)實(shí)現(xiàn)了的功能。該功能能滿足不同消費(fèi)層次的用戶對(duì)帶寬的需求，經(jīng)濟(jì)條件好一點(diǎn)，可以多用點(diǎn)流量，提高了用戶的滿意度。而且，對(duì)于以后新出現(xiàn)的功能更加強(qiáng)大的下載軟件，都不必?fù)?dān)心用戶任意使用造成帶寬擁塞。

? 第二：提供日志審計(jì)和帶寬管理功能，通過(guò)NTD、SAM、日志系統(tǒng)的結(jié)合，能夠做到基于用戶身份對(duì)用戶進(jìn)行管理，做到將用戶名、源IP、目的IP直接關(guān)聯(lián)，通過(guò)目的IP，可以直接定位到用戶名，安全事件處理起來(lái)非常的方便，同時(shí)還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會(huì)在明年4月份提供。? 第三：能夠?qū)W(wǎng)絡(luò)中的各種流量了如指掌，可以對(duì)用戶經(jīng)常訪問(wèn)的資源進(jìn)行分析對(duì)比，為應(yīng)用系統(tǒng)的建設(shè)、服務(wù)器的升級(jí)改造提供數(shù)據(jù)支持；能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量，從而進(jìn)行有效的防范，結(jié)合認(rèn)證計(jì)費(fèi)系統(tǒng)SAM，能夠捕捉到事件源頭，并于做出處理。

總體來(lái)說(shuō)，流量控制和管理和日志系統(tǒng)的整體解決方案對(duì)于校園網(wǎng)的長(zhǎng)期健康可持續(xù)發(fā)展是很有幫助的。

網(wǎng)絡(luò)防火墻設(shè)計(jì)中的問(wèn)題

1．方案：硬件？還是軟件？

現(xiàn)在防火墻的功能越來(lái)越多越花哨，如此多的功能必然要求系統(tǒng)有一個(gè)高效的處理能力。

防火墻從實(shí)現(xiàn)上可以分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint 公司的Firewall-I為代表，其實(shí)現(xiàn)是通過(guò) dev_add_pack的辦法加載過(guò)濾函數(shù)（Linux，其他操作系統(tǒng)沒(méi)有作分析，估計(jì)類(lèi)似），通過(guò)在操作系統(tǒng)底層做工作來(lái)實(shí)現(xiàn)防火墻的各種功能和優(yōu) 化。國(guó)內(nèi)也有一些所謂的軟件防火墻，但據(jù)了解大多是所謂“個(gè)人”防火墻，而且功能及其有限，故不在此討論范圍。

在國(guó)內(nèi)目前已通過(guò)公安部檢驗(yàn)的防火墻中，硬件防火墻占絕大多數(shù)。硬件防火墻一種是從硬件到軟件都單獨(dú)設(shè)計(jì)，典型如Netscreen防火墻不但軟件部分單獨(dú)設(shè)計(jì)，硬件部分也采用專(zhuān)門(mén)的ASIC集成電路。

另外一種就是基于PC架構(gòu)的使用經(jīng)過(guò)定制的通用操作系統(tǒng)的所謂硬件防火墻。目前國(guó)內(nèi)絕大

多數(shù)防火墻都屬于這種類(lèi)型。

雖然都號(hào)稱(chēng)硬件防火墻，國(guó)內(nèi)廠家和國(guó)外廠家還是存在著巨大區(qū)別。硬件防火墻需要在硬 件和軟件兩方面同時(shí)下功夫，國(guó)外廠家的通常做法是軟件運(yùn)算硬件化，其所設(shè)計(jì)或選用的運(yùn)行平臺(tái)本身的性能可能并不高，但它將主要的運(yùn)算程序（查表運(yùn)算是防火 墻的主要工作）做成芯片，以減少主機(jī)CPU的運(yùn)算壓力。國(guó)內(nèi)廠家的防火墻硬件平臺(tái)基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是可以節(jié)省硬件開(kāi)發(fā)成 本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量而已?，F(xiàn)在國(guó)內(nèi)防火墻的一個(gè)典型結(jié)構(gòu)就是：工業(yè)主板+x86+128（256）M內(nèi)存+DOC/DOM+硬盤(pán)（或不要硬盤(pán)而另增加一個(gè)日志服務(wù)器）+百兆網(wǎng)卡 這 樣一個(gè)工業(yè)PC結(jié)構(gòu)。

在軟件性能方面，國(guó)內(nèi)外廠家的差別就更大了，國(guó)外（一些著名）廠家均是采用專(zhuān)用的操 作系統(tǒng)，自行設(shè)計(jì)防火墻。而國(guó)內(nèi)所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的 Linux，無(wú)一例外。各廠家的區(qū)別僅僅在于對(duì)Linux系統(tǒng)本身和防火墻部分（2.2內(nèi)核為ipchains，2.4以后內(nèi)核為netfilter）所 作的改動(dòng)量有多大。

事實(shí)上，Linux只是一個(gè)通用操作系統(tǒng)，它并沒(méi)有針對(duì)防火墻功能做什么優(yōu)化，而且 其處理大數(shù)據(jù)量通信方面的能力一直并不突出，甚至比較低下（這也是 Linux一直只是低端服務(wù)器的寵兒的重要原因，我自己認(rèn)為，在這一點(diǎn)上它還不如BSD系列，據(jù)說(shuō)國(guó)外有用BSD做防火墻的，國(guó)內(nèi)尚未見(jiàn)到）?，F(xiàn)在絕大部 分廠家，甚至包括號(hào)稱(chēng)國(guó)內(nèi)最大的天融信，在軟件方面所作的工作無(wú)非也就是系統(tǒng)有針對(duì)性的裁減、防火墻部分代碼的少量改動(dòng)（絕大部分還是沒(méi)有什么改動(dòng)）和少 量的系統(tǒng)補(bǔ)丁。而且我們?cè)诜治龈鲝S家產(chǎn)品時(shí)可以注意這一點(diǎn)，如果哪個(gè)廠家對(duì)系統(tǒng)本身做了什么大的改動(dòng)，它肯定會(huì)把這個(gè)視為一個(gè)重要的賣(mài)點(diǎn)，大吹特吹，遺憾 的是似乎還沒(méi)有什么廠家有能力去做宣傳（天融信似乎有一個(gè)類(lèi)似于checkpoint的功能：開(kāi)放式的安全應(yīng)用接口 TOPSEC，但它究竟做了多少工作，還需要去仔細(xì)了解）。

目前國(guó)內(nèi)廠家也已經(jīng)認(rèn)識(shí)到這個(gè)問(wèn)題，有些在做一些底層的工作，但有明顯成效的，似乎還沒(méi)有。

在此我們僅針對(duì)以Linux（或其他通用操作系統(tǒng)）為基礎(chǔ)的、以PC架構(gòu)為硬件載體的防火墻做討論，以下如不特別提出，均同。2．內(nèi)核和防火墻設(shè)計(jì)

現(xiàn)在有一種商業(yè)賣(mài)點(diǎn)，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關(guān)于防火墻 分代的問(wèn)題，目前有很多討論，比較一致的是把包過(guò)濾防火墻稱(chēng)為第一代防火墻，把應(yīng)用型防火墻（一般結(jié)合了包過(guò)濾功能，因此也成為混合型防火墻）稱(chēng)為第二代 防火墻，有些廠家把增加了檢測(cè)通信信息、狀態(tài)檢測(cè)和應(yīng)用監(jiān)測(cè)的防火墻稱(chēng)為第三代防火墻，更有甚者在此基礎(chǔ)上提出了采用安全操作系統(tǒng)的防火墻，并把這個(gè)稱(chēng)為 第四代防火墻）。所謂安全操作系統(tǒng)，其實(shí)大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡(jiǎn)單改造的工作，主要有以下： 取消危險(xiǎn)的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動(dòng)（如加載一些llkm）； 限制命令執(zhí)行權(quán)限； 取消IP轉(zhuǎn)發(fā)功能； 檢查每個(gè)分組的接口； 采用隨機(jī)連接序號(hào)； 駐留分組過(guò)濾模塊； 取消動(dòng)態(tài)路由功能；

采用多個(gè)安全內(nèi)核（這個(gè)只見(jiàn)有人提出，但未見(jiàn)到實(shí)例，對(duì)此不是很清楚）。以上諸多工作，其實(shí)基本上都沒(méi)有對(duì)內(nèi)核源碼做太大改動(dòng)，因此從個(gè)人角度來(lái)看算不上可以太夸大的地方。

對(duì)于防火墻部分，國(guó)內(nèi)大部分已經(jīng)升級(jí)到2.4內(nèi)核所支持的netfilter。netfilter已經(jīng)是一個(gè)功能比較完善的防火墻框架，它已經(jīng)支持基于狀態(tài)的監(jiān)測(cè)（通過(guò)connection track模塊實(shí)現(xiàn)）。而且netfilter是一個(gè)設(shè)計(jì)很合理的框架，可以在適當(dāng)?shù)奈恢蒙系怯浺恍┬枰奶幚砗瘮?shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)，如在NF_IP_FORWARD點(diǎn)上登記了裝發(fā)的包過(guò)濾功能（包過(guò)濾等功能便是由這些正式登記的函數(shù)實(shí)現(xiàn)的）。我們也可以登記自己的處理函數(shù)，在功能上作 擴(kuò)展（如加入簡(jiǎn)單的IDS功能等等）。這一點(diǎn)是國(guó)內(nèi)廠家可以做文章的地方，至于netfilter源碼的修改，對(duì)國(guó)內(nèi)廠家來(lái)說(shuō)似乎不太現(xiàn)實(shí)。

至于采用其它防火墻模型的，目前還沒(méi)有看到（可能是netfilter已經(jīng)設(shè)計(jì)的很成功，不需要我們?cè)偃プ鎏喙ぷ鳎?．自我保護(hù)能力（安全性）

由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標(biāo)，因此它的自我包括能力在設(shè)計(jì)過(guò)程中應(yīng)該放在首要的位置。A．管理上的安全性

防火墻需要一個(gè)管理界面，而管理過(guò)程如何設(shè)計(jì)的更安全，是一個(gè)很重要的問(wèn)題。目前有兩種方案。

a．設(shè)置專(zhuān)門(mén)的服務(wù)端口

為了減少管理上的風(fēng)險(xiǎn)和降低設(shè)計(jì)上的難度，有一些防火墻（如東方龍馬）在防火墻上專(zhuān) 門(mén)添加了一個(gè)服務(wù)端口，這個(gè)端口只是用來(lái)和管理主機(jī)連接。除了專(zhuān)用的服務(wù)口外，防火墻不接受來(lái)自任何其它端口的直接訪問(wèn)。這樣做的顯著特點(diǎn)就是降低了設(shè)計(jì) 上的難度，由于管理通信是單獨(dú)的通道，無(wú)論是內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)還是DMZ內(nèi)主機(jī)都無(wú)法竊聽(tīng)到該通信，安全性顯然很高，而且設(shè)計(jì)時(shí)也無(wú)需考慮通信過(guò)程加密 的問(wèn)題。

然而這樣做，我們需要單獨(dú)設(shè)置一臺(tái)管理主機(jī)，顯然太過(guò)浪費(fèi)，而且這樣管理起來(lái)的靈活性也不好。b．通信過(guò)程加密

這樣無(wú)需一個(gè)專(zhuān)門(mén)的端口，內(nèi)網(wǎng)任意一臺(tái)主機(jī)都可以在適當(dāng)?shù)那闆r下成為管理主機(jī)，管理主

機(jī)和防火墻之間采用加密的方式通信。

目前國(guó)內(nèi)有采用的是使用自定義協(xié)議、一次性口令認(rèn)證。對(duì)加密這個(gè)領(lǐng)域了解不多，不做詳 細(xì)討論。

B．對(duì)來(lái)自外部（和內(nèi)部）攻擊的反應(yīng)能力 目前常見(jiàn)的來(lái)自外部的攻擊方式主要有： a．DOS（DDOS）攻擊

（分布式）拒絕服務(wù)攻擊是目前一種很普遍的攻擊方式，在預(yù)防上也是非常困難的。目前 防火墻對(duì)于這種攻擊似乎沒(méi)有太多的解決辦法，主要是提高防火墻本身的健壯性（如增加緩沖區(qū)大?。?。在Linux內(nèi)核中有一個(gè)防止Syn flooding攻擊的選項(xiàng)：CONFIG_SYN_COOKIES，它是通過(guò)為每一個(gè)Syn建立一個(gè)緩沖（cookie）來(lái)分辨可信請(qǐng)求和不可信請(qǐng)求。另外對(duì)于ICMP攻擊，可以通過(guò)關(guān)閉ICMP 回應(yīng)來(lái)實(shí)現(xiàn)。

b．IP假冒（IP spoofing）

IP假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對(duì)網(wǎng)絡(luò)的攻擊目的。

第一，防火墻設(shè)計(jì)上應(yīng)該知道網(wǎng)絡(luò)內(nèi)外的IP地址分配，從而丟棄所有來(lái)自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包。實(shí)際實(shí)現(xiàn)起來(lái)非常簡(jiǎn)單，只要在內(nèi)核中打開(kāi)rp_filter功能即可。

第二，防火墻將內(nèi)網(wǎng)的實(shí)際地址隱蔽起來(lái)，外網(wǎng)很難知道內(nèi)部的IP地址，攻擊難度加大。IP假冒主要來(lái)自外部，對(duì)內(nèi)網(wǎng)無(wú)需考慮此問(wèn)題（其實(shí)同時(shí)內(nèi)網(wǎng)的IP假冒情況也可以得到遏制）。c．特洛伊木馬

防火墻本身預(yù)防木馬比較簡(jiǎn)單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。

一個(gè)需要說(shuō)明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內(nèi)網(wǎng)主機(jī) 也能防止木馬攻擊。事實(shí)上，內(nèi)網(wǎng)主機(jī)可能會(huì)透過(guò)防火墻下載執(zhí)行攜帶木馬的程序而感染。內(nèi)網(wǎng)主機(jī)的在預(yù)防木馬方面的安全性仍然需要主機(jī)自己解決（防火墻只能 在內(nèi)網(wǎng)主機(jī)感染木馬以后起一定的防范作用）。d．口令字攻擊

口令字攻擊既可能來(lái)自外部，也可能來(lái)自內(nèi)部，主要是來(lái)自內(nèi)部。（在管理主機(jī)與防火墻通過(guò)單獨(dú)接口通信的情況下，口令字攻擊是不存在的）

來(lái)自外部的攻擊即用窮舉的辦法猜測(cè)防火墻管理的口令字，這個(gè)很容易解決，只要不把管理部分提供給外部接口即可。

內(nèi)部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監(jiān)測(cè)網(wǎng)絡(luò)截獲管理主機(jī)給防火墻的口令字，如果口令字已加密，則解密得到口令字。目前一般采用一次性口令和禁止直接登錄防火墻的措施來(lái)防止對(duì)口令字的攻擊。e．郵件詐騙

郵件詐騙是目前越來(lái)越突出的攻擊方式。防火墻本身防止郵件詐騙非常簡(jiǎn)單，不接收任何郵件就可以了。然而象木馬攻擊一樣，內(nèi)網(wǎng)主機(jī)仍可收發(fā)郵件，郵件詐騙的危險(xiǎn)仍然存在，其解決辦法一個(gè)是內(nèi)網(wǎng)主機(jī)本身采取措施防止郵件詐騙，另一個(gè)是在防火墻上做過(guò)濾。

f．對(duì)抗防火墻（anti-firewall）

目前一個(gè)網(wǎng)絡(luò)安全中一個(gè)研究的熱點(diǎn)就是對(duì)抗網(wǎng)絡(luò)安全產(chǎn)品如防火墻。一種是分析防火墻 功能和探測(cè)防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，典型的如Firewalk。另外有一些其他的網(wǎng)絡(luò)安全性分析工具本身具有雙刃性，這類(lèi)工具用于攻擊網(wǎng)絡(luò)，也可能會(huì)很有效的 探測(cè)到防火墻和內(nèi)部網(wǎng)絡(luò)的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。目前對(duì)于這種探測(cè)（攻擊）手段，尚無(wú)有效的預(yù)防措施，因?yàn)榉阑饓Ρ旧硎且粋€(gè)被動(dòng)的東西，它只能靠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和提高自身的安全性來(lái)對(duì) 抗這些攻擊。

C．透明代理的采用 應(yīng)用代理防火墻一般是通過(guò)設(shè)置不同用戶的訪問(wèn)權(quán)限來(lái)實(shí)現(xiàn)，這樣就需要有用戶認(rèn)證體 系。以前的防火墻在訪問(wèn)方式上主要是要求用戶登錄進(jìn)系統(tǒng)（如果采用 sock代理的方式則需要修改客戶應(yīng)用）。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率，從而提高了防火墻的安全性。4．透明性

防火墻的透明性指防火墻對(duì)于用戶是透明的，在防火墻接入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)和用戶無(wú)需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻的存在。

防火墻作為一個(gè)實(shí)際存在的物理設(shè)備，要想放入已存在地網(wǎng)絡(luò)中又不對(duì)網(wǎng)絡(luò)有任何影響，就必須以網(wǎng)橋的方式置入網(wǎng)絡(luò)。傳統(tǒng)方式下，防火墻安裝時(shí)，更象是一臺(tái)路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（包括主機(jī)和路由器）的設(shè)置（IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。但如果防火墻采用了透明模式，即采用類(lèi)似網(wǎng)橋的方式運(yùn)行，用戶將不必重新設(shè)定和修改路由，也不需要知道防 火墻的位置，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用。

透明模式最大的好處在于現(xiàn)有網(wǎng)絡(luò)無(wú)需做任何改動(dòng)，這就方便了很多客戶，再者，從透明 模式轉(zhuǎn)換到非透明模式又很容易，適用性顯然較廣。當(dāng)然，此時(shí)的防火墻僅僅起到一個(gè)防火墻的作用，其他網(wǎng)關(guān)位置的功能如NAT、VPN功能不再適用，當(dāng)然，其他功能如透明代理還可以 繼續(xù)使用。

目前透明模式的實(shí)現(xiàn)上可采用ARP代理和路由技術(shù)實(shí)現(xiàn)。此時(shí)防火墻相當(dāng)于一個(gè)ARP代理的功能。內(nèi)網(wǎng)（可以仍含有路由器或子網(wǎng)，依次類(lèi)推）、防火墻、路由器的位置大致如下：

內(nèi)網(wǎng)―――――防火墻―――――路由器

（需要說(shuō)明的是，這種方式是絕大多數(shù)校園網(wǎng)級(jí)網(wǎng)絡(luò)的實(shí)現(xiàn)方式）

內(nèi)網(wǎng)主機(jī)要想實(shí)現(xiàn)透明訪問(wèn)，必須能夠透明的傳送內(nèi)網(wǎng)和路由器之間的ARP包，而此時(shí) 由于事實(shí)上內(nèi)網(wǎng)和路由器之間無(wú)法連通，防火墻就必須配置成一個(gè)ARP代理（ARP Proxy）在內(nèi)網(wǎng)主機(jī)和路由器之間傳遞ARP包。防火墻所要做的就是當(dāng)路由器發(fā)送ARP廣播包詢問(wèn)內(nèi)網(wǎng)內(nèi)的某一主機(jī)的硬件地址時(shí)，防火墻用和路由器相連 接口的MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機(jī)發(fā)送ARP廣播包詢問(wèn)路由器的硬件地址時(shí)，防火墻用和內(nèi)網(wǎng)相連接口的MAC地址回送ARP包，因此路由器和 內(nèi)網(wǎng)主機(jī)都認(rèn)為將數(shù)據(jù)包發(fā)給了對(duì)方，而實(shí)際上是發(fā)給了防火墻轉(zhuǎn)發(fā)。

顯然，此時(shí)防火墻還必須實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。另外，防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時(shí)實(shí)現(xiàn)應(yīng)用層代理、過(guò)濾等功能），此時(shí)需要端口轉(zhuǎn)發(fā)來(lái)實(shí)現(xiàn)（？這個(gè)地方不是十分清 楚，也沒(méi)找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上的最大區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個(gè)網(wǎng)段（也和子 網(wǎng)在同一個(gè)網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個(gè)網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。這個(gè)過(guò)程如下：

1.用ARP代理實(shí)現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）2.用路由轉(zhuǎn)發(fā)在IP層實(shí)現(xiàn)數(shù)據(jù)包傳遞（IP層）3.用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）

前邊我們討論過(guò)透明代理，和這里所說(shuō)的防火墻的透明模式是兩個(gè)概念。透明代理主要是 為實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以透明的訪問(wèn)外網(wǎng)，而無(wú)需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機(jī)在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時(shí)防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時(shí)不是透明模式）。

需要澄清的一點(diǎn)是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒(méi)有必然的聯(lián)系。透明模式下的防火墻能實(shí)現(xiàn)透明代理，非透明模式下的防火墻（此時(shí)它必然又是一個(gè)網(wǎng)關(guān)）也能實(shí)現(xiàn)透明代理。它們的共同點(diǎn)在于可以簡(jiǎn)化內(nèi)網(wǎng)客戶的設(shè)置而已。

目前國(guó)內(nèi)大多防火墻都實(shí)現(xiàn)了透明代理，但實(shí)現(xiàn)了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來(lái)：如果哪個(gè)防火墻實(shí)現(xiàn)了透明模式，它的廣告中肯定會(huì)和透明代理區(qū)分開(kāi)而大書(shū)特書(shū)的。5．可靠性

防火墻系統(tǒng)處于網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。一個(gè)故障頻頻、可靠性很差的 產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問(wèn)題，整個(gè)內(nèi)網(wǎng)的主機(jī)都將根本無(wú)法訪問(wèn)外網(wǎng)，這甚至比路由器故障（路由器的 拓?fù)浣Y(jié)構(gòu)一般都是冗余設(shè)計(jì)）更讓人無(wú)法承受。防火墻的可靠性也表現(xiàn)在兩個(gè)方面：硬件和軟件。

國(guó)外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專(zhuān)門(mén)硬件架構(gòu)且不必多說(shuō)，采用PC架構(gòu)的其硬件也多是專(zhuān)門(mén)設(shè)計(jì)，系統(tǒng)各個(gè)部分從網(wǎng)絡(luò)接口到存儲(chǔ)設(shè)備（一般為電子硬盤(pán)）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。國(guó)內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲(chǔ)設(shè)備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。

國(guó)內(nèi)已經(jīng)有部分廠家意識(shí)到了這個(gè)問(wèn)題，開(kāi)始自行設(shè)計(jì)硬件。但大多數(shù)廠家還是從成本的角度考慮使用通用PC架構(gòu)。

另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。而國(guó)內(nèi)整個(gè)軟件行業(yè)的 可靠性體系還沒(méi)有成熟，軟件可靠性測(cè)試大多處于極其初級(jí)的水平（可靠性測(cè)試和bug測(cè)試完全是兩個(gè)概念）。一方面是可靠性體系建立不起來(lái)，一方面是為了迎 合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴(kuò)充和修改中，其可靠性更不能讓人恭維。

總的來(lái)說(shuō)，如同國(guó)內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒(méi)有引起人們的重視。6．市場(chǎng)定位

市場(chǎng)上防火墻的售價(jià)極為懸殊，從數(shù)萬(wàn)元到數(shù)十萬(wàn)元，甚至到百萬(wàn)元不等。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價(jià)格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求。總的說(shuō)來(lái)，防火墻是以用戶數(shù)量作為大的分界線。如checkpoint的一個(gè)報(bào)價(jià)： CheckPoint Firewall-1 4.1 25user 19000.00 CheckPoint Firewall-1 4.1 50user 31000.00 CheckPoint Firewall-1 4.1 100user 51000.00 CheckPoint Firewall-1 4.1 250user 64000.00 CheckPoint Firewall-1 4.1 無(wú)限用戶 131000.00 從用戶量上防火墻可以分為： a． 10－25用戶：

這個(gè)區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。防火墻一般為10M（針對(duì)

硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：包過(guò)濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測(cè)、管理、實(shí)時(shí)報(bào)警、日志。一般另有可選功能：VPN、帶寬管理等等。

這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在萬(wàn)元以上2萬(wàn)元以下（沒(méi)有VPN和帶寬管理的價(jià)格更低）。

據(jù)調(diào)查，這個(gè)區(qū)間的防火墻反而種類(lèi)不多，也許是國(guó)內(nèi)廠商不屑于這個(gè)市場(chǎng)的緣故？

b． 25－100用戶

這個(gè)區(qū)間用戶主要為小型企業(yè)網(wǎng)。防火墻開(kāi)始升級(jí)到100M，三或更多網(wǎng)絡(luò)接口。VPN、帶寬管

理往往成為標(biāo)準(zhǔn)模塊。

這個(gè)區(qū)間的防火墻報(bào)價(jià)從3萬(wàn)到15萬(wàn)不等，根據(jù)功能價(jià)格有較大區(qū)別。相對(duì)來(lái)說(shuō)，這個(gè)區(qū)間上

硬件防火墻價(jià)格明顯高于軟件防火墻。

目前國(guó)內(nèi)防火墻絕大部分集中在這個(gè)區(qū)間中。c． 100－數(shù)百用戶

這個(gè)區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個(gè)區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。并且開(kāi)始支持雙機(jī)熱備份。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在20萬(wàn)以上。這樣的中高端 防火墻國(guó)內(nèi)較少，有也是25－100用戶的升級(jí)版，其可用性令人懷疑。d． 數(shù)百用戶以上

這個(gè)區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當(dāng)然其價(jià)格也很高端，從數(shù)十萬(wàn)到數(shù)百萬(wàn)不等。

總的來(lái)說(shuō)，防火墻的價(jià)格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功 能越多，價(jià)格就越貴。如Netscreen的百兆防火墻： NetScreen-100f(AC Power)-帶防火墻+流量控制等功能,交流電源,沒(méi)有VPN功能報(bào)價(jià)在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報(bào)價(jià)則高出5萬(wàn)元： ￥317,500 7． 研發(fā)費(fèi)用

如同其他網(wǎng)絡(luò)安全產(chǎn)品一樣，防火墻的研發(fā)費(fèi)用也是很高的。防火墻由于技術(shù)含量較高，人員技術(shù)儲(chǔ)備要求較高，防火墻核心部分的研發(fā)必須要對(duì)操作系統(tǒng)有相當(dāng)?shù)氖煜?，所需為UNIX系統(tǒng)下開(kāi)發(fā)人員，而目前國(guó)內(nèi)真正能拿的出手的UNIX程序員數(shù) 量還是太少（遠(yuǎn)遠(yuǎn)少于Windows平臺(tái)下開(kāi)發(fā)人員），人員成本很高。

總的來(lái)說(shuō)，防火墻的研發(fā)是一個(gè)大項(xiàng)目，而且其前期定位一定要準(zhǔn)確，該做什么、不該做什么，哪些功能得實(shí)現(xiàn)，哪些功能不必實(shí)現(xiàn)、哪些功能可以在后期實(shí)現(xiàn)，一定要清楚，否則費(fèi)用會(huì)遠(yuǎn)遠(yuǎn)超出預(yù)計(jì)。

下邊對(duì)一個(gè)中小型企業(yè)級(jí)防火墻的研發(fā)費(fèi)用作個(gè)簡(jiǎn)單的估計(jì)。研發(fā)時(shí)，防火墻可以細(xì)分為（當(dāng)然在具體操作時(shí)往往需要再具體劃分）： 內(nèi)核模塊

防火墻模塊（含狀態(tài)檢測(cè)模塊）NAT模塊 帶寬管理模塊 通信協(xié)議模塊 管理模塊

圖形用戶界面模塊（或者Web界面模塊）透明代理模塊（實(shí)質(zhì)屬于NAT模塊）

透明模式模塊（包括ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等）各應(yīng)用代理模塊（包括URL過(guò)濾模塊）VPN模塊

流量統(tǒng)計(jì)與計(jì)費(fèi)模塊 審計(jì)模塊

其他模塊（如MAC、IP地址綁定模塊、簡(jiǎn)單的IDS、自我保護(hù)等等）

上邊把防火墻劃分為12個(gè)模塊，其中每一個(gè)模塊都有相當(dāng)?shù)墓ぷ髁恳?，除了彈性較大 的內(nèi)核模塊和防火墻模塊（它們的工作量可能異常的大，視設(shè)計(jì)目標(biāo)不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相當(dāng)大），兩個(gè)主模塊 各按20人周計(jì)算，防火墻實(shí)現(xiàn)總共需要150人周。加上前期10－ 15人周論證、定方案，后期20人周（保守?cái)?shù)字）集成、測(cè)試，前后總共需要約210人周。按每人周1200元開(kāi)發(fā)費(fèi)用（折合工資5000月，但由于有運(yùn)行 費(fèi)用、保險(xiǎn)等費(fèi)用攤分，個(gè)人工資應(yīng)遠(yuǎn)低于這個(gè)數(shù)字），開(kāi)發(fā)費(fèi)用約需25萬(wàn)。

顯然，這個(gè)數(shù)字只是一個(gè)局外人估計(jì)的下限，實(shí)際的研發(fā)應(yīng)該超出這個(gè)數(shù)字很多。8． 可升級(jí)能力（適用性）和靈活性

對(duì)用戶來(lái)說(shuō)，防火墻作為大成本投入的商品，勢(shì)必要考慮到可升級(jí)性的問(wèn)題，如果防火墻 不能升級(jí)，那它的可用性和可選擇余地勢(shì)必要大打折扣。目前國(guó)內(nèi)防火墻一般都是軟件可升級(jí)的，這是因?yàn)榇蠖鄶?shù)防火墻采用電子硬盤(pán)（少數(shù)采用磁盤(pán)），實(shí)現(xiàn)升級(jí) 功能只要很小的工作量要做。但究竟升級(jí)些什么內(nèi)容？升級(jí)周期多長(zhǎng)一次？這就涉及到一個(gè)靈活性的問(wèn)題。防火墻的靈活性主要體現(xiàn)在以下幾點(diǎn)： a． 易于升級(jí)

b． 支持大量協(xié)議

c． 易于管理（如納入通用設(shè)備管理體系（支持SNMP）而不是單列出來(lái)）d． 功能可擴(kuò)展

這里對(duì)功能可擴(kuò)展做一簡(jiǎn)單討論。一般情況下，防火墻在設(shè)計(jì)完成以后，其過(guò)濾規(guī)則都是 定死的，用戶可定制的余地很小。特別如URL過(guò)濾規(guī)則（對(duì)支持URL過(guò)濾的防火墻而言），當(dāng)前網(wǎng)絡(luò)中的漏洞是不斷發(fā)現(xiàn)的，如最近很猖獗的codered攻 擊的就是Windows機(jī)器IIS服務(wù)器的ida漏洞，而我們?nèi)绻軌蚣皶r(shí)定義過(guò)濾規(guī)則，對(duì)于“GET /default.ida”的請(qǐng)求及時(shí)過(guò)濾，那么內(nèi)網(wǎng)主機(jī)（此時(shí)一般為DMZ內(nèi)主機(jī)）的安全性就會(huì)高很多，內(nèi)網(wǎng)管理人員也不必時(shí)時(shí)密切關(guān)注網(wǎng)絡(luò)漏洞（這是 個(gè)工作量很大，既耗費(fèi)體力又容易出現(xiàn)遺漏的工作）。這樣大部分工作留給防火墻廠家來(lái)做（相應(yīng)需要有一個(gè)漏洞監(jiān)測(cè)體系），用戶肯定會(huì)滿意很多。另外，靈活性 一開(kāi)始也往往不是前期設(shè)計(jì)所能設(shè)計(jì)的很完美的，它需要和用戶具體實(shí)踐相配合。另外靈活性也是和具體環(huán)境密切結(jié)合的，往往需要在不同的用戶環(huán)境里考慮。

如何構(gòu)建網(wǎng)絡(luò)整體安全方案

整體的安全方案分成技術(shù)方案、服務(wù)方案以及支持方案三部分。

一、技術(shù)解決方案

安全產(chǎn)品是網(wǎng)絡(luò)安全的基石，通過(guò)在網(wǎng)絡(luò)中安裝一定的安全設(shè)備，能夠使得網(wǎng)絡(luò)的結(jié)構(gòu)更加清晰，安全性得到顯著增強(qiáng);同時(shí)能夠有效降低安全管理的難度，提高安全管理的有效性。

下面介紹在局域網(wǎng)中增加的安全設(shè)備的安裝位置以及他們的作用。

1、防火墻

安裝位置：局域網(wǎng)與路由器之間;%3Fid%3D1974 上下載Stick，其編譯起來(lái)并不麻煩，只需查看幫助即可。需要指出的是，絕大多數(shù)的IDS都是從Snort得到眾多借鑒的，建議用戶試用一下 Stick。

2．IDS漏報(bào)

和IDS誤報(bào)相比，漏報(bào)其實(shí)更危險(xiǎn)。采用IDS技術(shù)就是為了在發(fā)現(xiàn)入侵時(shí)給出告警信息。如果入侵者入侵成功而IDS尚未告警，IDS便失去存在的意義。筆者從國(guó)外網(wǎng)站上看到一篇文章，它對(duì)利用TCP連接特點(diǎn)讓 IDS做漏報(bào)進(jìn)行了詳細(xì)的描述，同時(shí)還給出一些實(shí)現(xiàn)漏報(bào)的辦法，給筆者提供了一種新思路: IDS想要防止欺騙，就要盡可能地模仿TCP/IP棧的實(shí)現(xiàn)。但是從效率和實(shí)現(xiàn)的復(fù)雜性考慮，IDS并不能很容易地做到這一點(diǎn)。

這種方法比較適合智能化的IDS，好的IDS一般為了減少誤報(bào)，會(huì)像現(xiàn)在一些高端的防火墻一樣基于狀態(tài)進(jìn)行判斷，而不是根據(jù)單個(gè)的報(bào)文進(jìn)行判斷。這樣上面談到的Stick對(duì)這種IDS一般不起作用。但是用戶應(yīng)該注意到，這種簡(jiǎn)單的IDS只是字符串匹配，一旦匹配成功，即可報(bào)警。

2001年4月，又出了一個(gè)讓IDS漏報(bào)的程序ADMmutate，據(jù)說(shuō)它可以動(dòng)態(tài)改變Shellcode。本來(lái)IDS依靠提取公開(kāi)的溢出程序的特征碼來(lái)報(bào)警，特征碼變了以后，IDS就報(bào)不出來(lái)了。但是程序還一樣起作用，服務(wù)器一樣被黑。這個(gè)程序的作者是ktwo(http: //www.ktwo.ca)，我們可以從http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz上下載該程序。用戶不妨也試試它，以檢測(cè)自己的IDS產(chǎn)品性能。不過(guò)，ADMmutate只能對(duì)依靠檢查字符串匹配告警的IDS起作用，如果IDS還依靠長(zhǎng)度和可打印字符等綜合指標(biāo)，則ADMmutate將很容易被IDS監(jiān)控到。

第五篇：校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案

[摘要] 計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)是涉及我國(guó)經(jīng)濟(jì)發(fā)展、社會(huì)發(fā)展和國(guó)家安全的重大問(wèn)題。本文結(jié)合網(wǎng)絡(luò)安全建設(shè)的全面信息，在對(duì)網(wǎng)絡(luò)系統(tǒng)詳細(xì)的需求分析基礎(chǔ)上，依照計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)和計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃，設(shè)計(jì)了一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全方案設(shè)計(jì)實(shí)現(xiàn)

一、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)概述

影響網(wǎng)絡(luò)安全的因素很多，全的主要技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù)，等等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，行整合，建立一個(gè)完整的、立體的、解決方案，可以防止安全風(fēng)險(xiǎn)的各個(gè)方面的問(wèn)題。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)

1.桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤(pán)上，這樣可以提高辦公的效率，動(dòng)辦公的情況更是如此。件泄密等安全隱患。

本設(shè)計(jì)方案采用清華紫光公司出品的紫光信息安全保護(hù)系統(tǒng)”的商品名稱(chēng)。紫光算協(xié)處理器（CAU）、只讀存儲(chǔ)器（儲(chǔ)器（E2PROM）等，以及固化在tem）、硬件ID號(hào)、各種密鑰和加密算法等。紫光artCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，2.病毒防護(hù)系統(tǒng)

基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器，用于安裝必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全措施進(jìn)多層次的網(wǎng)絡(luò)安全防御體系，SS鎖的內(nèi)部集成了包括中央處理器（ROM），隨機(jī)存儲(chǔ)器（ROM內(nèi)部的芯片操作系統(tǒng)這樣一個(gè)全面的網(wǎng)絡(luò)安全使用戶可以方便地存取、修改、分發(fā)。造成泄密。特別是對(duì)于移防止文“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)CPU）、加密運(yùn)RAM）、電可擦除可編程只讀存COS（Chip Operating SysS鎖采用了通過(guò)中國(guó)人民銀行認(rèn)證的Sm防止非法軟件對(duì)S鎖進(jìn)行操作。IMSS。

保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來(lái)說(shuō)，保護(hù)網(wǎng)絡(luò)安但同時(shí)也造成用戶的信息易受到攻擊，因此，需要對(duì)移動(dòng)用戶的文件及文件夾進(jìn)行本地安全管理，鎖產(chǎn)品，（1)郵件防毒。采用趨勢(shì)科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無(wú)縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫(kù)中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫(kù)及電子郵件，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫(kù)及信件附件中的病毒?？赏ㄟ^(guò)任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。

（2)服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開(kāi)安裝。一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新。（3)客戶端防毒。采用趨勢(shì)科技的使管理者通過(guò)單點(diǎn)控制所有客戶機(jī)上的防毒模塊，更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受支持SMS，登錄域腳本，共享安裝以外，還支持純（4)集中控管TVCS。管理員可以通過(guò)此工具在整個(gè)趨勢(shì)科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，無(wú)論運(yùn)行于何種平臺(tái)和位置，裝和分發(fā)代理部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào)，給管理帶來(lái)極大的便利。3.動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開(kāi)的密碼算法基礎(chǔ)上，通過(guò)十次以上的非線性迭代運(yùn)算，先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。4.訪問(wèn)控制“防火墻”

單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，訪問(wèn)、辨別身份偽裝等方面存在著很大的缺陷，方案選用四臺(tái)網(wǎng)御防火墻，這些重要部門(mén)的訪問(wèn)控制。通過(guò)在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門(mén)之間部署防火墻，過(guò)防火墻將網(wǎng)絡(luò)內(nèi)部不同部門(mén)的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來(lái)自內(nèi)部的攻擊，來(lái)自單位網(wǎng)內(nèi)部其他部門(mén)的網(wǎng)絡(luò)的攻擊。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，另

OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行Windows域管理模式的約束，除Web的部署方式。

企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡(jiǎn)便的安

結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上，采用在控制不可信連接、分辨非法從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。本設(shè)計(jì)實(shí)現(xiàn)通彼此隔離。這樣不僅也保護(hù)了各部門(mén)網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受如果有人闖進(jìn)您的一個(gè)部門(mén)，或者如果病毒開(kāi)始蔓

分別配置在高性能服務(wù)器和三個(gè)重要部門(mén)的局域網(wǎng)出入口，延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。5.信息加密、信息完整性校驗(yàn)

為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道，通過(guò)嚴(yán)格的加密和認(rèn)證措施來(lái)保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成網(wǎng)絡(luò)密碼機(jī)（硬件）:是一個(gè)基于專(zhuān)用內(nèi)核，具有自主版權(quán)的高級(jí)通信保護(hù)控制系統(tǒng)。本地管理器（軟件）絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。中心管理器（軟件）機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。6.安全審計(jì)系統(tǒng)根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取的方法，“內(nèi)審息是否泄密，以解決內(nèi)層安全。安全審計(jì)系統(tǒng)能幫助用戶對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，重要的一種手段，安全審計(jì)系統(tǒng)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。

在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能：成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。本設(shè)計(jì)方案選用漢邦安全審計(jì)系統(tǒng)是針對(duì)目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問(wèn)題，人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品，制系統(tǒng)。

（1）安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個(gè)部分構(gòu)成。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上，其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作、監(jiān)控及共享資源的使用情況。心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。①文件保護(hù)審計(jì)：:是一個(gè)安裝于密碼機(jī)本地管理平臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)

:是一個(gè)安裝于中心管理平臺(tái)（忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。是一個(gè)分布在整個(gè)安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測(cè)、同時(shí)獲得監(jiān)控結(jié)果、Windows系統(tǒng)）上的對(duì)全網(wǎng)的密碼“加密”、“外防”、“內(nèi)審”相結(jié)合提供取證手段。作為網(wǎng)絡(luò)安全十分安全審計(jì)數(shù)據(jù)生

面向企事業(yè)的網(wǎng)絡(luò)管理控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況網(wǎng)絡(luò)管理員通過(guò)安全監(jiān)控中主要功能有

”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查，識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信安全審計(jì)自動(dòng)響應(yīng)、“漢邦軟科安全監(jiān)控中心是管理平臺(tái)和監(jiān)控平臺(tái)，報(bào)警信息以及日志的審計(jì)。文件保護(hù)安裝在審計(jì)中心，可有效的對(duì)被審計(jì)主機(jī)端的文件進(jìn)行管理

規(guī)則設(shè)置，包括禁止讀、禁止寫(xiě)、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報(bào)警等功能。以及對(duì)文件保護(hù)進(jìn)行用戶管理。

②主機(jī)信息審計(jì):對(duì)網(wǎng)絡(luò)內(nèi)公共資源中，所有主機(jī)進(jìn)行審計(jì)，可以審計(jì)到主機(jī)的機(jī)器名、當(dāng)前用戶、操作系統(tǒng)類(lèi)型、IP地址信息。

（2)資源監(jiān)控系統(tǒng)主要有四類(lèi)功能。①監(jiān)視屏幕:在用戶指定的時(shí)間段內(nèi)，系統(tǒng)自動(dòng)每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實(shí)時(shí)控制屏幕截獲的開(kāi)始和結(jié)束。

②監(jiān)視鍵盤(pán):在用戶指定的時(shí)間段內(nèi)，截獲戶實(shí)時(shí)控制鍵盤(pán)截獲的開(kāi)始和結(jié)束。③監(jiān)測(cè)監(jiān)控RAS連接：在用戶指定的時(shí)間段內(nèi)，記錄所有的時(shí)控制ass連接信息截獲的開(kāi)始和結(jié)束。當(dāng)連接的操作。

④監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)連接：在用戶指定的時(shí)間段內(nèi)，記錄所有的網(wǎng)絡(luò)連接信息UDP，NetBios）。用戶實(shí)時(shí)控制網(wǎng)絡(luò)連接信息截獲的開(kāi)始和結(jié)束。由用戶指定非法的網(wǎng)絡(luò)連接列表，當(dāng)出現(xiàn)非法連接時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。單位內(nèi)網(wǎng)中安全審計(jì)系統(tǒng)采集的數(shù)據(jù)來(lái)源于安全傳感器，保證探頭能夠采集進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)。上，負(fù)責(zé)為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。內(nèi)網(wǎng)中的安全計(jì)算機(jī)為600臺(tái)，需要安裝7.入侵檢測(cè)系統(tǒng)IDS

入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，可以看出。

根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度，選擇的交換機(jī)處放置，核心交換機(jī)放置控制臺(tái)，和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。在單位安全內(nèi)網(wǎng)中，入侵檢測(cè)系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個(gè)要害部門(mén)子網(wǎng)和其他部門(mén)子網(wǎng)之間，通過(guò)實(shí)時(shí)截取網(wǎng)絡(luò)上的是數(shù)據(jù)流，他網(wǎng)絡(luò)違規(guī)活動(dòng)。8.漏洞掃描系統(tǒng)

本內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個(gè)系統(tǒng)的安全性?；紥呙鐸型聯(lián)動(dòng)型產(chǎn)品。I型聯(lián)動(dòng)型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶，持式掃描儀和機(jī)架型掃描服務(wù)器結(jié)合一體，網(wǎng)管人員就可以很方便的實(shí)現(xiàn)了集中管理的功能。網(wǎng)絡(luò)人員使用I型聯(lián)動(dòng)型產(chǎn)品，程較高的掃描速度的掃描，可以實(shí)現(xiàn)和策略。同時(shí)移動(dòng)式掃描儀可以跨越網(wǎng)段、支持定時(shí)和多IP地址的自動(dòng)掃描，網(wǎng)管人員可以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描，根據(jù)系統(tǒng)提供的掃描報(bào)告，配合我們提供的三級(jí)服務(wù)體系，高了工作效率。

聯(lián)動(dòng)掃描系統(tǒng)支持多線程掃描，網(wǎng)管人員可以很輕松的對(duì)自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時(shí)提供了Host Sensor Programgas連接非法時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷計(jì)算機(jī)，所以應(yīng)在安全計(jì)算機(jī)安裝主機(jī)安全監(jiān)控中心安裝在信息中心的一臺(tái)主機(jī)600個(gè)傳感器。提供了對(duì)內(nèi)部攻擊、從網(wǎng)絡(luò)安全的立體縱深、這從國(guó)際入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃IDS探測(cè)器（百兆）配置在內(nèi)部關(guān)鍵子網(wǎng)監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊分析網(wǎng)絡(luò)通訊會(huì)話軌跡，在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺(tái)網(wǎng)絡(luò)隱200信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò)進(jìn)行多線IDS、防火墻聯(lián)動(dòng)，尤其適合于制定全網(wǎng)統(tǒng)一的安全穿透防火墻，實(shí)現(xiàn)分布式掃描，服務(wù)器和掃描儀都大大的減輕了工作負(fù)擔(dān)，支持定時(shí)和多RAS連接信息。用戶實(shí)(外部攻擊和誤操作的 尋找網(wǎng)絡(luò)攻擊模式和其I型聯(lián)動(dòng)型產(chǎn)品由手IP地址的自動(dòng)掃描，Web，單位發(fā)展就用戶的所有鍵盤(pán)輸入，用

包括:TCP多層次防御 就可以很方便的對(duì)極大的提有較高的掃描速度，方式的遠(yuǎn)程

管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對(duì)于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II型移動(dòng)式掃描儀。移動(dòng)式掃描儀使用靈活，可以跨越網(wǎng)段、穿透防火墻，對(duì)重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù)，這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能地消除安全隱患。

在防火墻處部署聯(lián)動(dòng)掃描系統(tǒng)，在部門(mén)交換機(jī)處部署移動(dòng)式掃描儀，實(shí)現(xiàn)放火墻、聯(lián)動(dòng)掃描系統(tǒng)和移動(dòng)式掃描儀之間的聯(lián)動(dòng)，保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率和安全性。

三、結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)安全越來(lái)越重要，有了更高的要求。一個(gè)特定系統(tǒng)的網(wǎng)絡(luò)安全方案，系統(tǒng)的實(shí)際應(yīng)用而做。由于各個(gè)系統(tǒng)的應(yīng)用不同，化為一個(gè)模式，用這個(gè)模子去套所有的信息系統(tǒng)。本文根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的總體規(guī)劃控制、信息加密、信息完整性校驗(yàn)、抗抵賴(lài)、安全審計(jì)、入侵檢測(cè)、漏洞掃描等方面安全技術(shù)和管理措施設(shè)計(jì)出一整套解決方案，目的是建立一個(gè)完整的、防御體系。

論文參考

國(guó)家和企業(yè)都對(duì)建立一個(gè)安全的網(wǎng)絡(luò)應(yīng)建立在對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的基礎(chǔ)上，結(jié)合不能簡(jiǎn)單地把信息系統(tǒng)的網(wǎng)絡(luò)安全方案固,從桌面系統(tǒng)安全、病毒防護(hù)、身份鑒別、訪問(wèn)立體的、多層次的網(wǎng)絡(luò)安全