第一篇：企業(yè)網(wǎng)絡(luò)信息安全解決方案

企業(yè)網(wǎng)絡(luò)信息安全解決方案

一、信息安全化定義

企業(yè)信息安全管理即針對(duì)當(dāng)前企業(yè)面臨的病毒泛濫、黑客入侵、惡意軟件、信息失控等復(fù)雜的應(yīng)用環(huán)境制定相應(yīng)的防御措施，保護(hù)企業(yè)信息和企業(yè)信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)信息和企業(yè)信息系統(tǒng)提供保密性、完整性、真實(shí)性、可用性、不可否認(rèn)性服務(wù)。簡而言之，使非法者看不了、改不了信息，系統(tǒng)癱不了、信息假不了、行為賴不了。

二、企業(yè)信息安全管理現(xiàn)狀

當(dāng)前企業(yè)在信息安全管理中普遍面臨的問題：

(1)缺乏來自法律規(guī)范的推動(dòng)力和約束；

(2)安全管理缺乏系統(tǒng)管理的思想。被動(dòng)應(yīng)付多于主動(dòng)防御，沒有做前期的預(yù)防，而是出現(xiàn)問題才去想補(bǔ)救的辦法，不是建立在風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上的動(dòng)態(tài)的持續(xù)改進(jìn)的管理方法；

(3)重視安全技術(shù)，忽視安全管理。企業(yè)愿意在防火墻等安全技術(shù)上投資，而相應(yīng)的管理水平、手段沒有體現(xiàn)，包括管理的技術(shù)和流程，以及員工的管理；

(4)在安全管理中不夠重視人的因素；(5)缺乏懂得管理的信息安全技術(shù)人員；

(6)企業(yè)安全意識(shí)不強(qiáng)，員工接受的教育和培訓(xùn)不夠。

三、企業(yè)信息安全管理產(chǎn)品

建立完善的企業(yè)信息安全管理系統(tǒng)，必須內(nèi)外兼修，一方面要防止外部入侵，另一方面也要防范內(nèi)部人員泄密可能。所以在選擇企業(yè)信息安全管理產(chǎn)品時(shí)，必須是一個(gè)完整的體系結(jié)構(gòu)。目前，在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類：用戶身份認(rèn)證，如靜態(tài)密碼、動(dòng)態(tài)密碼（短信密碼、動(dòng)態(tài)口令牌、手機(jī)令牌）、USB KEY、IC卡、數(shù)字證書、指紋虹膜等。

防火墻

即訪問控制系統(tǒng)，它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對(duì)內(nèi)部資源的非法訪問，防止內(nèi)部對(duì)外部的不安全訪問。但它其本身可能存在安全問題，也可能會(huì)是一個(gè)潛在的瓶頸。

安全路由器

由于WAN連接需要專用的路由器設(shè)備，因而可通過路由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。

安全服務(wù)器

安全服務(wù)器主要針對(duì)一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ)、傳輸?shù)陌踩Ｃ軉栴}，其實(shí)現(xiàn)功能包括對(duì)局域網(wǎng)資源的管理和控制，對(duì)局域網(wǎng)內(nèi)用戶的管理，以及局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤。

安全管理中心

由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。

入侵檢測系統(tǒng)（IDS）

入侵檢測，作為傳統(tǒng)保護(hù)機(jī)制（比如訪問控制，身份識(shí)別等）的有效補(bǔ)充，形成了信息系統(tǒng)中不可或缺的反饋鏈。

入侵防御系統(tǒng)（IPS）

入侵防御，入侵防御系統(tǒng)作為IDS很好的補(bǔ)充，是信息安全發(fā)展過程中占據(jù)重要位置的計(jì)算機(jī)網(wǎng)絡(luò)硬件。

安全數(shù)據(jù)庫

由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫內(nèi)，有些信息是有價(jià)值的，也是敏感的，需要保護(hù)。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機(jī)密性、可審計(jì)性及存取控制與用戶身份識(shí)別等。

數(shù)據(jù)容災(zāi)設(shè)備

數(shù)據(jù)容災(zāi)作為一個(gè)重要的企業(yè)信息安全管理體系中的一個(gè)重要補(bǔ)救措施，在整個(gè)企業(yè)信息安全管理體系中有著舉足輕重的作用。數(shù)據(jù)容災(zāi)設(shè)備包括數(shù)據(jù)恢復(fù)設(shè)備、數(shù)據(jù)復(fù)制設(shè)備、數(shù)據(jù)銷毀設(shè)備等。目前應(yīng)用較多的數(shù)據(jù)容災(zāi)設(shè)備包括效率源HD Doctor、Data Compass數(shù)據(jù)指南針、Data Copy King硬盤復(fù)制機(jī)、開盤機(jī)等。

編輯本段企業(yè)信息安全管理對(duì)策 1.網(wǎng)絡(luò)管理

一般企業(yè)網(wǎng)與互聯(lián)網(wǎng)物理隔離, 因而與互聯(lián)網(wǎng)相比, 其安全性較高, 但在日常運(yùn)行管理中我們?nèi)匀幻媾R網(wǎng)絡(luò)鏈路維護(hù)、違規(guī)使用網(wǎng)絡(luò)事件等問題, 具體而言：

(1)在IP 資源管理方面, 采用IP MAC 捆綁的技術(shù)手段防止用戶隨意更改IP 地址和隨意更換交換機(jī)上的端口。這分兩種情況實(shí)現(xiàn), 第一種情況是如果客戶機(jī)連在支持網(wǎng)管的交換機(jī)上的, 可以通過網(wǎng)管中心的管理軟件, 對(duì)該交換機(jī)遠(yuǎn)程實(shí)施Port Security 策略, 將客戶端網(wǎng)卡MAC 地址固定綁在相應(yīng)端口上。第二種情況是如果客戶機(jī)連接的交換機(jī)或集線器不支持網(wǎng)管, 則可以通過Web 網(wǎng)頁調(diào)用一個(gè)程序, 通過該程序把MAC 地址和IP 地址捆綁在一起。這樣, 就不會(huì)出現(xiàn)IP 地址被盜用而不能正常使用網(wǎng)絡(luò)的情況。

(2)在網(wǎng)絡(luò)流量監(jiān)測方面, 可使用網(wǎng)絡(luò)監(jiān)測軟件對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)協(xié)議類型進(jìn)行分類統(tǒng)計(jì), 查看數(shù)據(jù)、視頻、語音等各種應(yīng)用的利用帶寬, 防止頻繁進(jìn)行大文件的傳輸, 甚至發(fā)現(xiàn)病毒的轉(zhuǎn)移及傳播方向。

2.服務(wù)器管理

常見應(yīng)用服務(wù)器安裝的操作系統(tǒng)多為Windows 系列,服務(wù)器的管理包括服務(wù)器安全審核、組策略實(shí)施、服務(wù)器的備份策略。服務(wù)器安全審核是網(wǎng)管日常工作項(xiàng)目之一, 審核的范圍包括安全漏洞檢查、日志分析、補(bǔ)丁安裝情況檢查等, 審核的對(duì)象可以是DC、Exchange Server、SQL Server、IIS 等。

在組策略實(shí)施時(shí), 如果想使用軟件限制策略, 即哪些客戶不能使用哪個(gè)軟件, 則需要把操作系統(tǒng)升級(jí)到Windows 2003 Server。服務(wù)器的備份策略包括系統(tǒng)軟件備份和數(shù)據(jù)庫備份兩部分, 系統(tǒng)軟件備份擬利用現(xiàn)有的專用備份程序, 制定一個(gè)合理的備份策略, 如每周日晚上做一次完全備份, 然后周一到周五晚上做增量備份或差額備份;定期對(duì)服務(wù)器備份工作情況等。

3.客戶端管理

對(duì)大多數(shù)單位的網(wǎng)管來說, 客戶端的管理都是最頭痛的問題, 只有得力的措施才能解決這個(gè)問題, 這里介紹以下幾種方法:

1)將客戶端都加入到域中, 這一點(diǎn)很重要, 因?yàn)橹挥羞@樣, 客戶端才能納入管理員集中管理的范圍。

2)只給用戶以普通域用戶的身份登錄到域, 因?yàn)槠胀ㄓ蛴脩舨粚儆诒镜谹dministrators 和Power Users 組, 這樣就可以限制他們在本地計(jì)算機(jī)上安裝大多數(shù)軟件(某些軟件普通用戶也可以安裝)。當(dāng)然為了便于用戶工作, 應(yīng)通過本地安全策略, 授予他們“關(guān)機(jī)”和“修改系統(tǒng)時(shí)間”等權(quán)利。

3)實(shí)現(xiàn)客戶端操作系統(tǒng)補(bǔ)丁程序的自動(dòng)安裝。4)實(shí)現(xiàn)客戶端防病毒軟件的自動(dòng)更新。

5)利用SMS 對(duì)客戶端進(jìn)行不定期監(jiān)控, 發(fā)現(xiàn)不正常情況及時(shí)處理。

4.數(shù)據(jù)備份與數(shù)據(jù)加密

由于應(yīng)用系統(tǒng)的加入, 各種數(shù)據(jù)庫日趨增長, 如何確保數(shù)據(jù)在發(fā)生故障或?yàn)?zāi)難性事件情況下不丟失, 是當(dāng)前面臨的一個(gè)難題。這里介紹四種解決方法: 第一種解決辦法是用磁帶機(jī)或硬盤進(jìn)行數(shù)據(jù)備份。該辦法價(jià)格最低, 保存性最強(qiáng), 不足之處是備份的只是某個(gè)時(shí)間點(diǎn)。第二種方案是采用本地磁盤陣列來分別實(shí)現(xiàn)各服務(wù)器的本地硬盤數(shù)據(jù)冗余。第三種方案是采用雙機(jī)容錯(cuò)方式, 兩臺(tái)機(jī)器系統(tǒng)相互備份, 應(yīng)用層數(shù)據(jù)全部放在共享的磁盤陣列柜中, 這種方式能解決單機(jī)故障或宕機(jī)的問題, 同時(shí)又能防止單個(gè)硬盤故障導(dǎo)致的數(shù)據(jù)丟失, 但前期投資較大。第四種方案是采用NAS 或SAN 來實(shí)現(xiàn)各服務(wù)器的集中區(qū)域存儲(chǔ), 實(shí)現(xiàn)較高級(jí)別的磁盤等硬件故障的數(shù)據(jù)備份, 但是成本較高, 一般不能防止系統(tǒng)層的故障, 如感染病毒或系統(tǒng)崩潰。考慮到網(wǎng)絡(luò)上非認(rèn)證用戶可能試圖旁路系統(tǒng)的情況, 如物理地“取走”數(shù)據(jù)庫, 在通信線路上竊聽截獲。對(duì)這樣的威脅最有效的解決方法就是數(shù)據(jù)加密, 即以加密格式存儲(chǔ)和傳輸敏感數(shù)據(jù)。發(fā)送方用加密密鑰, 通過加密設(shè)備或算法, 將信息加密后發(fā)送出去。接收方在收到密文后, 用解密密鑰將密文解密, 恢復(fù)為明文。如果傳輸中有人竊取,他只能得到無法理解的密文, 從而對(duì)信息起到保密作用。

5.病毒防治

對(duì)防病毒軟件的要求是: 能支持多種平臺(tái), 至少是在Windows 系列操作系統(tǒng)上都能運(yùn)行;能提供中心管理工具, 對(duì)各類服務(wù)器和工作站統(tǒng)一管理和控制;在軟件安裝、病毒代碼升級(jí)等方面, 可通過服務(wù)器直接進(jìn)行分發(fā), 盡可能減少客戶端維護(hù)工作量;病毒代碼的升級(jí)要迅速有效。在實(shí)施過程中, 本單位以一臺(tái)服務(wù)器作為中央控制一級(jí)服務(wù)器, 實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)的保護(hù)和監(jiān)控, 并使用其中有效的管理功能, 如: 管理員可以向客產(chǎn)端發(fā)送病毒警報(bào)、強(qiáng)制對(duì)遠(yuǎn)程客戶端進(jìn)行病毒掃描、鎖定遠(yuǎn)程客產(chǎn)端等。正常情況下, 一級(jí)服務(wù)器病毒代碼庫升級(jí)后半分鐘內(nèi), 客戶端的病毒代碼庫也進(jìn)行了同步更新。

四、企業(yè)網(wǎng)絡(luò)、信息安全解決方案 1）大型企業(yè)

大型企業(yè)部門林立，相當(dāng)一部分會(huì)在外地有分支機(jī)構(gòu)，業(yè)務(wù)系統(tǒng)普遍采用建設(shè)虛擬專網(wǎng)的方式，起到外部分支訪問總部數(shù)據(jù)的通道和安全加密作用。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備基本都已經(jīng)部署，比如防火墻，可以把企業(yè)訪問互聯(lián)網(wǎng)的風(fēng)險(xiǎn)降低，但是大型企業(yè)的網(wǎng)絡(luò)、信息安全威脅主要來源于惡意的攻擊行為和企業(yè)員工有意、無意的操作行為，致使業(yè)務(wù)系統(tǒng)不能正常使用，或者機(jī)密數(shù)據(jù)外泄，對(duì)企業(yè)的網(wǎng)絡(luò)安全，信息保密造成很大的威脅，擁有功能強(qiáng)大的上網(wǎng)行為管理設(shè)備、入侵檢測系統(tǒng)和防泄密系統(tǒng)能有效杜絕各個(gè)環(huán)節(jié)可能出現(xiàn)的不安全隱患，保障業(yè)務(wù)系統(tǒng)的政策正常安全運(yùn)行和企業(yè)機(jī)密數(shù)據(jù)的安全。

建議大型企業(yè)在網(wǎng)絡(luò)中部署：防火墻、IDS、上網(wǎng)行為管理、防泄密系統(tǒng)、VPN、安全服務(wù)器等。

2）中型企業(yè)

中型企業(yè)基本已具備完整的網(wǎng)絡(luò)體系，但是企業(yè)的信息化技術(shù)力量相對(duì)大型企業(yè)可能薄弱一點(diǎn)，對(duì)于員工的上網(wǎng)行為和電腦操作行為可能要求得不會(huì)太嚴(yán)格，即使向員工制定了一定的管理制度，也會(huì)在制度的執(zhí)行過程中因?yàn)槿藶榈囊蛩囟兂梢患埧瘴?，所以用硬件設(shè)備來保障和規(guī)范網(wǎng)絡(luò)、信息的安全尤為重要，中型企業(yè)的網(wǎng)絡(luò)、信息安全威脅主要來源于外網(wǎng)的攻擊、內(nèi)部網(wǎng)絡(luò)使用的不規(guī)范導(dǎo)致的木馬、病毒等安全威脅。

建議中型企業(yè)部署：防火墻、IDS、路由器、上網(wǎng)行為管理、防泄密系統(tǒng)等。

3）小型企業(yè)

小型企業(yè)在人員規(guī)模、基礎(chǔ)建設(shè)、資金實(shí)力等方面都相對(duì)落后于大中型企業(yè)，但是在發(fā)展階段的小型企業(yè)，對(duì)網(wǎng)絡(luò)、信息的安全問題同樣不能忽視，目前各式各樣的聊天工具、視頻網(wǎng)站、網(wǎng)游、P2P下載等，都會(huì)直接影響到員工的工作效率，并且占用了大部分的帶寬，使得業(yè)務(wù)系統(tǒng)和正常的工作無法得到保障，且小型企業(yè)一般不會(huì)配置專業(yè)的網(wǎng)管人員，這就是有的小型企業(yè)配置了好的電腦，夠用的寬帶，但是仍然有大部分員工一直抱怨總是不能上網(wǎng)，或者上網(wǎng)太慢，郵件發(fā)不出去等問題。從綜合實(shí)力來講，小型企業(yè)在網(wǎng)絡(luò)、信息安全方面的投入會(huì)比較有限，建議企業(yè)配置中低端的安全設(shè)備，防火墻，上網(wǎng)行為管理，以研發(fā)和設(shè)計(jì)為主的企業(yè)對(duì)于防泄密系統(tǒng)的部署還是有必要的。

第二篇：典型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

典型中小企業(yè)網(wǎng)絡(luò)邊界安全解決方案

意見征詢稿

Hillstone Networks Inc.2010年9月29日

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

目錄 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析..................................................................................................................6 典型中小企業(yè)網(wǎng)絡(luò)安全威脅..................................................................................................................8 典型中小企業(yè)網(wǎng)絡(luò)安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要進(jìn)行有效的訪問控制..........................................................................................................10 深度應(yīng)用識(shí)別的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要實(shí)現(xiàn)實(shí)名制管理....................................................................................................................11 需要實(shí)現(xiàn)全面URL過濾.............................................................................................................12 需要實(shí)現(xiàn)IPSEC VPN..................................................................................................................12 需要實(shí)現(xiàn)集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6

安全技術(shù)選擇..............................................................................................................................................................13 技術(shù)選型的思路和要點(diǎn)........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可認(rèn)證性........................................................................................................................13 再次保障鏈路暢通性....................................................................................................................14 最后是穩(wěn)定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制與審計(jì)......................................................................................................16 基于深度應(yīng)用識(shí)別的訪問控制.................................................................................................17 深度內(nèi)容安全(UTMPlus?)......................................................................................................17 高性能病毒過濾.............................................................................................................................18 靈活高效的帶寬管理功能..........................................................................................................19 強(qiáng)大的URL地址過濾庫.............................................................................................................21 高性能的應(yīng)用層管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 選擇山石安全網(wǎng)關(guān)的原因....................................................................................................................14 3.2.10 高可靠的冗余備份能力...............................................................................................................22 4 系統(tǒng)部署說明..............................................................................................................................................................23 4.1 4.2 安全網(wǎng)關(guān)部署設(shè)計(jì)..................................................................................................................................24 安全網(wǎng)關(guān)部署說明..................................................................................................................................25 / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5

部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置訪問控制策略........................................................................................................................30 配置帶寬控制策略........................................................................................................................31 上網(wǎng)行為日志管理........................................................................................................................33 實(shí)現(xiàn)URL過濾................................................................................................................................35 實(shí)現(xiàn)網(wǎng)絡(luò)病毒過濾........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 實(shí)現(xiàn)安全移動(dòng)辦公........................................................................................................................38 方案建設(shè)效果..............................................................................................................................................................38 / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 前言

1.1 方案目的

本方案的設(shè)計(jì)對(duì)象為國內(nèi)中小企業(yè)，方案中定義的中小型企業(yè)為：人員規(guī)模在2千人左右，在全國各地有分支機(jī)構(gòu)，有一定的信息化建設(shè)基礎(chǔ)，信息網(wǎng)絡(luò)覆蓋了總部和各個(gè)分支機(jī)構(gòu)，業(yè)務(wù)系統(tǒng)有支撐企業(yè)運(yùn)營的ERP系統(tǒng)，支撐企業(yè)員工處理日常事務(wù)的OA系統(tǒng)，和對(duì)外進(jìn)行宣傳的企業(yè)網(wǎng)站；業(yè)務(wù)集中在總部，各個(gè)分支機(jī)構(gòu)可遠(yuǎn)程訪問業(yè)務(wù)系統(tǒng)完成相關(guān)的業(yè)務(wù)操作。

根據(jù)當(dāng)前國內(nèi)企業(yè)的發(fā)展趨勢，中小企業(yè)呈現(xiàn)出快速增長的勢頭，計(jì)算機(jī)系統(tǒng)為企業(yè)的管理、運(yùn)營、維護(hù)、辦公等提供了高效的運(yùn)行條件，為企業(yè)經(jīng)營決策提供了有力支撐，為企業(yè)的對(duì)外宣傳發(fā)揮了重要的作用，因此企業(yè)對(duì)信息化建設(shè)的依賴也越來越強(qiáng)，但同時(shí)由于計(jì)算機(jī)網(wǎng)絡(luò)所普遍面臨的安全威脅，又給企業(yè)的信息化帶來嚴(yán)重的制約，互聯(lián)網(wǎng)上的黑客攻擊、蠕蟲病毒傳播、非法滲透等，嚴(yán)重威脅著企業(yè)信息系統(tǒng)的正常運(yùn)行；內(nèi)網(wǎng)的非法破壞、非法授權(quán)訪問、員工故意泄密等事件，也是的企業(yè)的正常運(yùn)營秩序受到威脅，如何做到既高效又安全，是大多數(shù)中小企業(yè)信息化關(guān)注的重點(diǎn)。

而作為信息安全體系建設(shè)，涉及到各個(gè)層面的要素，從管理的角度，涉及到組織、制度、流程、監(jiān)督等，從技術(shù)的角度，設(shè)計(jì)到物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和運(yùn)維層，本方案的重點(diǎn)是網(wǎng)絡(luò)層的安全建設(shè)，即通過加強(qiáng)對(duì)基礎(chǔ)網(wǎng)絡(luò)的安全控制和監(jiān)控手段，來提升基礎(chǔ)網(wǎng)絡(luò)的安全性，從而為上層應(yīng)用提供安全的運(yùn)行環(huán)境，保障中小企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的安全性。

1.2 方案概述

本方案涉及的典型中小型企業(yè)的網(wǎng)絡(luò)架構(gòu)為：兩級(jí)結(jié)構(gòu)，縱向上劃分為總部與分支機(jī)構(gòu)，總部/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

集中了所有的重要業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫，分支機(jī)構(gòu)只有終端，業(yè)務(wù)訪問則是通過專線鏈路直接訪問到總部；總部及分支機(jī)構(gòu)均有互聯(lián)網(wǎng)出口，提供給員工進(jìn)行上網(wǎng)訪問，同時(shí)總部的互聯(lián)網(wǎng)出口也作為網(wǎng)站發(fā)布的鏈路途徑。典型中小型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)可表示如下：

典型中小型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)示意圖

為保障中小企業(yè)網(wǎng)絡(luò)層面的安全防護(hù)能力，本方案結(jié)合山石網(wǎng)科集成化安全平臺(tái)，在對(duì)中小企業(yè)信息網(wǎng)絡(luò)安全域劃分的基礎(chǔ)上，從邊界安全防護(hù)的角度，實(shí)現(xiàn)以下的安全建設(shè)效果：

? 實(shí)現(xiàn)有效的訪問控制：對(duì)員工訪問互聯(lián)網(wǎng)，以及員工訪問業(yè)務(wù)系統(tǒng)的行為進(jìn)行有效控制，杜絕非法訪問，禁止非授權(quán)訪問，保障訪問的合法性和合規(guī)性； ? 實(shí)現(xiàn)有效的集中安全管理：中小型企業(yè)的管理特點(diǎn)為總部高度集中模式，通過網(wǎng)關(guān)的集中管理系統(tǒng)，中小企業(yè)能夠集中監(jiān)控總部及各個(gè)分支機(jī)構(gòu)員工的網(wǎng)絡(luò)訪問行為，做到可視化的安全。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

? 保障安全健康上網(wǎng)：對(duì)員工的上網(wǎng)行為進(jìn)行有效監(jiān)控，禁止員工在上班時(shí)間使用P2P、網(wǎng)游、網(wǎng)絡(luò)視頻等過度占用帶寬的應(yīng)用，提高員工辦公效率；對(duì)員工訪問的網(wǎng)站進(jìn)行實(shí)時(shí)監(jiān)控，限制員工訪問不健康或不安全的網(wǎng)站，從而造成病毒的傳播等；

? ? 保護(hù)網(wǎng)站安全：對(duì)企業(yè)網(wǎng)站進(jìn)行有效保護(hù)，防范來自互聯(lián)網(wǎng)上黑客的故意滲透和破壞行為； 保護(hù)關(guān)鍵業(yè)務(wù)安全性：對(duì)重要的應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器實(shí)施保護(hù)，防范病毒和內(nèi)部的非授權(quán)訪問；

? 實(shí)現(xiàn)實(shí)名制的安全監(jiān)控：中小型企業(yè)的特點(diǎn)是，主機(jī)IP地址不固定，但全公司有統(tǒng)一的用戶管理措施，通常通過AD域的方式來實(shí)現(xiàn)，因此對(duì)于訪問控制和行為審計(jì)，可實(shí)現(xiàn)基于身份的監(jiān)控，實(shí)現(xiàn)所謂的實(shí)名制管理；

? 實(shí)現(xiàn)總部與分支機(jī)構(gòu)的可靠遠(yuǎn)程傳輸：典型中小型企業(yè)的鏈路使用模式為，專線支撐重要的業(yè)務(wù)類訪問，互聯(lián)網(wǎng)鏈路平時(shí)作為員工上網(wǎng)使用，當(dāng)專線鏈路故障可作為備份鏈路，為此通過總部與分支機(jī)構(gòu)部署網(wǎng)關(guān)的IPSEC VPN功能，可在利用備份鏈路進(jìn)行遠(yuǎn)程通訊中，保障數(shù)據(jù)傳輸?shù)陌踩裕?/p>

? 對(duì)移動(dòng)辦公的安全保障：利用安全網(wǎng)關(guān)的SSL VPN功能，提供給移動(dòng)辦公人員進(jìn)行遠(yuǎn)程安全傳輸保護(hù)，確保數(shù)據(jù)的傳輸安全性； 安全需求分析

2.1 典型中小企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析

中小企業(yè)的典型架構(gòu)為兩級(jí)部署，從縱向上劃分為總部及分支機(jī)構(gòu)，總部集中了所有的重要業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫，分支機(jī)構(gòu)只有終端，業(yè)務(wù)訪問則是通過專線鏈路直接訪問到總部；總部及分支/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

機(jī)構(gòu)均有互聯(lián)網(wǎng)出口，提供給員工進(jìn)行上網(wǎng)訪問，同時(shí)總部的互聯(lián)網(wǎng)出口也作為網(wǎng)站發(fā)布的鏈路途徑。

雙鏈路給中小企業(yè)應(yīng)用訪問帶來的好處是，業(yè)務(wù)訪問走專線，可保障業(yè)務(wù)的高可靠性；上網(wǎng)走互聯(lián)網(wǎng)鏈路，增加靈活性，即各個(gè)分支機(jī)構(gòu)可根據(jù)自己的人員規(guī)模，采用合理的價(jià)格租用電信寬帶；從網(wǎng)絡(luò)設(shè)計(jì)上，中小企業(yè)各個(gè)節(jié)點(diǎn)的結(jié)構(gòu)比較簡單，為典型的星形結(jié)構(gòu)設(shè)計(jì)，總部因用戶量和服務(wù)器數(shù)量較高，因此核心往往采用三層交換機(jī)，通過VLAN來劃分不同的子網(wǎng)，并在子網(wǎng)內(nèi)部署終端及各類應(yīng)用服務(wù)器，有些中小型企業(yè)在VLAN的基礎(chǔ)上還配置了ACL，對(duì)不同VLAN間的訪問實(shí)行控制；各分支機(jī)構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)則相對(duì)簡單，通過堆疊二層交換連接到不同終端。具體的組網(wǎng)結(jié)構(gòu)可參考下圖：

典型中小企業(yè)組網(wǎng)結(jié)構(gòu)示意圖 / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

2.2 典型中小企業(yè)網(wǎng)絡(luò)安全威脅

在沒有采取有效的安全防護(hù)措施，典型的中小型企業(yè)由于分布廣，并且架構(gòu)在TCP/IP網(wǎng)絡(luò)上，由于主機(jī)、網(wǎng)絡(luò)、通信協(xié)議等存在的先天性安全弱點(diǎn)，使得中小型企業(yè)往往面臨很多的安全威脅，其中典型的網(wǎng)絡(luò)安全威脅包括： 【非法和越權(quán)的訪問】

中小型企業(yè)信息網(wǎng)絡(luò)內(nèi)承載了與生產(chǎn)經(jīng)營息息相關(guān)的ERP、OA和網(wǎng)站系統(tǒng)，在缺乏訪問控制的前提下很容易受到非法和越權(quán)的訪問；雖然大多數(shù)軟件都實(shí)現(xiàn)了身份認(rèn)證和授權(quán)訪問的功能，但是這種控制只體現(xiàn)在應(yīng)用層，如果遠(yuǎn)程通過網(wǎng)絡(luò)層的嗅探或攻擊工具（因?yàn)樵诰W(wǎng)絡(luò)層應(yīng)用服務(wù)器與任何一臺(tái)企業(yè)網(wǎng)內(nèi)的終端都是相通的），有可能會(huì)獲得上層的身份和口令信息，從而對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行非法及越權(quán)訪問，破壞業(yè)務(wù)的正常運(yùn)行，或非法獲得企業(yè)的商業(yè)秘密，造成泄露； 【惡意代碼傳播】

大多數(shù)的中小企業(yè)，都在終端上安裝了防病毒軟件，以有效杜絕病毒在網(wǎng)絡(luò)中的傳播，但是隨著蠕蟲、木馬等網(wǎng)絡(luò)型病毒的出現(xiàn)，單純依靠終端層面的查殺病毒顯現(xiàn)出明顯的不足，這種類型病毒的典型特征是，在網(wǎng)絡(luò)中能夠進(jìn)行大量的掃描，當(dāng)發(fā)現(xiàn)有弱點(diǎn)的主機(jī)后快速進(jìn)行自我復(fù)制，并通過網(wǎng)絡(luò)傳播過去，這就使得一旦網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)（可能是臺(tái)主機(jī)，也可能是服務(wù)器）被感染病毒，該病毒能夠在網(wǎng)絡(luò)中傳遞大量的掃描和嗅探性質(zhì)的數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)有限的帶寬資源造成損害。【防范ARP欺騙】

大多數(shù)的中小企業(yè)都遭受過此類攻擊行為，這種行為的典型特點(diǎn)是利用了網(wǎng)絡(luò)的先天性缺陷，即兩臺(tái)主機(jī)需要通訊時(shí)，必須先相互廣播ARP地址，在相互交換IP地址和ARP地址后方可通訊，特別是中小企業(yè)都需要通過邊界的網(wǎng)關(guān)設(shè)備，實(shí)現(xiàn)分支機(jī)構(gòu)和總部的互訪；ARP欺騙就是某臺(tái)主機(jī)偽裝成網(wǎng)關(guān)，發(fā)布虛假的ARP信息，讓內(nèi)網(wǎng)的主機(jī)誤認(rèn)為該主機(jī)就是網(wǎng)關(guān)，從而把跨越網(wǎng)段的訪問/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

數(shù)據(jù)包（比如分支機(jī)構(gòu)人員訪問互聯(lián)網(wǎng)或總部的業(yè)務(wù)系統(tǒng)）都傳遞給該主機(jī)，輕微的造成無法正常訪問網(wǎng)絡(luò)，嚴(yán)重的則將會(huì)引起泄密； 【惡意訪問】

對(duì)于中小型企業(yè)網(wǎng)而言，各個(gè)分支機(jī)構(gòu)的廣域網(wǎng)鏈路帶寬是有限的，因此必須有計(jì)劃地分配帶寬資源，保障關(guān)鍵業(yè)務(wù)的進(jìn)行，這就要求無論針對(duì)專線所轉(zhuǎn)發(fā)的訪問，還是互聯(lián)網(wǎng)出口鏈路轉(zhuǎn)發(fā)的訪問，都要求對(duì)那些過度占用帶寬的行為加以限制，避免因某幾臺(tái)終端過度搶占帶寬資源而影響他人對(duì)網(wǎng)絡(luò)的使用。

這種惡意訪問行為包括：過度使用P2P進(jìn)行大文件下載，長時(shí)間訪問網(wǎng)游，長時(shí)間訪問視頻網(wǎng)站，訪問惡意網(wǎng)站而引發(fā)病毒傳播，直接攻擊網(wǎng)絡(luò)等行為?！旧矸菖c行為的脫節(jié)】

常見的訪問控制措施，還是QOS措施，其控制依據(jù)都是IP地址，而眾所周知IP地址是很容易偽造的，即使大多數(shù)的防火墻都支持IP+MAC地址綁定，MAC地址也是能被偽造的，這樣一方面造成策略的制定非常麻煩，因?yàn)橹行⌒推髽I(yè)內(nèi)員工的身份是分級(jí)的，每個(gè)員工因崗位不同需要訪問的目標(biāo)是不同的，需要提供的帶寬保障也是不同的，這就需要在了解每個(gè)人的IP地址后來制定策略；另一方面容易形成控制缺陷，即低級(jí)別員工偽裝成高級(jí)別員工的地址，從而可占用更多的資源。

身份與行為的脫節(jié)的影響還在于日志記錄上，由于日志的依據(jù)也是根據(jù)IP地址，這樣對(duì)發(fā)生違規(guī)事件后的追查造成極大的障礙，甚至無法追查?！揪芙^服務(wù)攻擊】

大多數(shù)中小型企業(yè)都建有自己的網(wǎng)站，進(jìn)行對(duì)外宣傳，是企業(yè)對(duì)外的窗口，但是由于該平臺(tái)面向互聯(lián)網(wǎng)開放，很容易受到黑客的攻擊，其中最典型的就是拒絕服務(wù)攻擊，該行為也利用了現(xiàn)有TCP/IP網(wǎng)絡(luò)傳輸協(xié)議的先天性缺陷，大量發(fā)送請求連接的信息，而不發(fā)送確認(rèn)信息，使得遭受攻擊/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 的主機(jī)或網(wǎng)絡(luò)設(shè)備長時(shí)間處于等待狀態(tài)，導(dǎo)致緩存被占滿，而無法響應(yīng)正常的訪問請求，表現(xiàn)為就是拒絕服務(wù)。這種攻擊常常針對(duì)企業(yè)的網(wǎng)站，使得網(wǎng)站無法被正常訪問，破壞企業(yè)形象； 【不安全的遠(yuǎn)程訪問】

對(duì)于中小型企業(yè)，利用互聯(lián)網(wǎng)平臺(tái)，作為專線的備份鏈路，實(shí)現(xiàn)分支機(jī)構(gòu)與總部的連接，是很一種提高系統(tǒng)可靠性，并充分利用現(xiàn)有網(wǎng)絡(luò)資源的極好辦法；另外遠(yuǎn)程移動(dòng)辦公的人員也需要通過互聯(lián)網(wǎng)來訪問企業(yè)網(wǎng)的信息平臺(tái)，進(jìn)行相關(guān)的業(yè)務(wù)處理；而互聯(lián)網(wǎng)的開放性使得此類訪問往往面臨很多的安全威脅，最為典型的就是攻擊者嗅探數(shù)據(jù)包，或篡改數(shù)據(jù)包，破壞正常的業(yè)務(wù)訪問，或者泄露企業(yè)的商業(yè)秘密，使企業(yè)遭受到嚴(yán)重的損失?！救狈斜O(jiān)控措施】

典型中小型企業(yè)的特點(diǎn)是，集中管理，分布監(jiān)控，但是在安全方面目前尚缺乏集中的監(jiān)控手段，對(duì)于各分支機(jī)構(gòu)員工的上網(wǎng)行為，訪問業(yè)務(wù)的行為，以及總部重要資源的受訪問狀態(tài)，都沒有集中的監(jiān)控和管理手段，一旦發(fā)生安全事件，將很難快速進(jìn)行察覺，也很難有效做出反應(yīng)，事后也很難取證，使得企業(yè)的安全管理無法真正落地。

2.3 典型中小企業(yè)網(wǎng)絡(luò)安全需求

針對(duì)中小企業(yè)在安全建設(shè)及運(yùn)維管理中所暴露出的問題，山石網(wǎng)科認(rèn)為，應(yīng)當(dāng)進(jìn)行有針對(duì)性的設(shè)計(jì)和建設(shè)，最大化降低威脅，并實(shí)現(xiàn)有效的管理。

2.3.1 需要進(jìn)行有效的訪問控制

網(wǎng)絡(luò)安全建設(shè)的首要因素就是訪問控制，控制的核心是訪問行為，應(yīng)實(shí)現(xiàn)對(duì)非許可訪問的杜絕，限制員工對(duì)網(wǎng)絡(luò)資源的使用方式。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

中小企業(yè)的業(yè)務(wù)多樣化，必然造成訪問行為的多樣化，因此如何有效鑒別正常的訪問，和非法的訪問是非常必要的，特別是針對(duì)中小企業(yè)員工對(duì)互聯(lián)網(wǎng)的訪問行為，應(yīng)當(dāng)采取有效的控制措施，杜絕過度占用帶寬的訪問行為，保障正常的業(yè)務(wù)和上網(wǎng)訪問。

對(duì)于中小企業(yè)重要的應(yīng)用服務(wù)器和數(shù)據(jù)庫資源，應(yīng)當(dāng)有效鑒別出合法的業(yè)務(wù)訪問，和可能的攻擊訪問行為，并分別采取必要的安全控制手段，保障關(guān)鍵的業(yè)務(wù)訪問。

2.3.2 深度應(yīng)用識(shí)別的需求

引入的安全控制系統(tǒng)，應(yīng)當(dāng)能夠支持深度應(yīng)用識(shí)別功能，特別是對(duì)使用動(dòng)態(tài)端口的P2P和IM應(yīng)用，能夠做到精準(zhǔn)鑒別，并以此為基礎(chǔ)實(shí)現(xiàn)基于應(yīng)用的訪問控制和QOS，提升控制和限制的精度和力度。

對(duì)于分支機(jī)構(gòu)外來用戶，在利用分支機(jī)構(gòu)互聯(lián)網(wǎng)出口進(jìn)行訪問時(shí)，基于身份識(shí)別做到差異化的控制，提升系統(tǒng)總體的維護(hù)效率。

2.3.3 需要有效防范病毒

在訪問控制的技術(shù)上，需要在網(wǎng)絡(luò)邊界進(jìn)行病毒過濾，防范病毒的傳播；在互聯(lián)網(wǎng)出口上要能夠有效檢測出掛馬網(wǎng)站，對(duì)訪問此類網(wǎng)站而造成的病毒下發(fā)，能夠快速檢測并響應(yīng)；同時(shí)也能夠防范來自其他節(jié)點(diǎn)的病毒傳播。

2.3.4 需要實(shí)現(xiàn)實(shí)名制管理

應(yīng)對(duì)依托IP地址進(jìn)行控制，QOS和日志的缺陷，應(yīng)實(shí)現(xiàn)基于用戶身份的訪問控制、QOS、日志記錄，應(yīng)能夠與中小企業(yè)現(xiàn)有的安全準(zhǔn)入系統(tǒng)整合起來，當(dāng)員工接入辦公網(wǎng)并對(duì)互聯(lián)網(wǎng)訪問時(shí)，/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

先進(jìn)行準(zhǔn)入驗(yàn)證，驗(yàn)證通過后將驗(yàn)證信息PUSH給網(wǎng)關(guān)，網(wǎng)關(guān)拿到此信息，在用戶發(fā)出上網(wǎng)請求時(shí)，根據(jù)IP地址來索引相關(guān)的認(rèn)證信息，確定其角色，最后再根據(jù)角色來執(zhí)行訪問控制和帶寬管理。

在日志記錄中，也能夠根據(jù)確定的身份來記錄，使得日志可以方便地追溯到具體的員工。

2.3.5 需要實(shí)現(xiàn)全面URL過濾

應(yīng)引入專業(yè)性的URL地址庫，并能夠分類和及時(shí)更新，保障各個(gè)分支機(jī)構(gòu)在執(zhí)行URL過濾策略是，能夠保持一致和同步。

2.3.6 需要實(shí)現(xiàn)IPSEC VPN 利用中小企業(yè)現(xiàn)有的互聯(lián)網(wǎng)出口，作為專線的備份鏈路，在不增加鏈路投資的前提下，使分支機(jī)構(gòu)和總公司的通信得到更高的可靠性保障。

但是由于互聯(lián)網(wǎng)平臺(tái)的開放性，如果將原本在專線上運(yùn)行的ERP、OA、視頻會(huì)議等應(yīng)用切換到互聯(lián)網(wǎng)鏈路上時(shí)，容易遭到竊聽和篡改的風(fēng)險(xiǎn)，為此需要設(shè)備提供IPSEC VPN功能，對(duì)傳輸數(shù)據(jù)進(jìn)行加密和完整性保護(hù)，保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>

2.3.7 需要實(shí)現(xiàn)集中化的管理

集中化的管理首先要求日志信息的集中分析，各個(gè)分支機(jī)構(gòu)既能夠在本地查看詳細(xì)的訪問日志，總部也能夠統(tǒng)一查看各個(gè)分支機(jī)構(gòu)的訪問日志，從而實(shí)現(xiàn)總部對(duì)分支機(jī)構(gòu)的有效監(jiān)管。

總部能夠統(tǒng)一對(duì)各個(gè)分支機(jī)構(gòu)的安全設(shè)備進(jìn)行全局性配置管理，各個(gè)分支機(jī)構(gòu)也能夠在不違背全局性策略的前提下，配置符合本節(jié)點(diǎn)特點(diǎn)的個(gè)性化策略。

由于各個(gè)廠商的技術(shù)壁壘，不同產(chǎn)品的功能差異，因此要實(shí)現(xiàn)集中化管理的前提就是統(tǒng)一品牌，/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

統(tǒng)一設(shè)備，而從投資保護(hù)和便于維護(hù)的角度，中小企業(yè)應(yīng)當(dāng)選擇具有多種功能的安全網(wǎng)關(guān)設(shè)備。安全技術(shù)選擇

3.1 技術(shù)選型的思路和要點(diǎn)

現(xiàn)有的安全設(shè)備無法解決當(dāng)前切實(shí)的安全問題，也無法進(jìn)一步擴(kuò)展以適應(yīng)當(dāng)前管理的需要，因此必須進(jìn)行改造，統(tǒng)一引入新的設(shè)備，來更好地滿足運(yùn)行維護(hù)的要求，在引入新設(shè)備的時(shí)候，必須遵循下屬的原則和思路。

3.1.1 首要保障可管理性

網(wǎng)絡(luò)安全設(shè)備應(yīng)當(dāng)能夠被集中監(jiān)控，由于安全網(wǎng)關(guān)部署在中小企業(yè)辦公網(wǎng)的重要出口上，詳細(xì)記錄了各節(jié)點(diǎn)的上網(wǎng)訪問行為，因此對(duì)全網(wǎng)監(jiān)控有著非常重要的意義，因此系統(tǒng)必須能夠被統(tǒng)一管理起來，實(shí)現(xiàn)日志行為，特別是各種防護(hù)手段形成的記錄進(jìn)行集中的記錄與分析。

此外，策略也需要分級(jí)集中下發(fā)，總部能夠統(tǒng)一下發(fā)集中性的策略，各分支機(jī)構(gòu)可根據(jù)自身的特點(diǎn)，在不違背全局性策略的前提下，進(jìn)行靈活定制。

3.1.2 其次提供可認(rèn)證性

設(shè)備必須能夠?qū)崿F(xiàn)基于身份和角色的管理，設(shè)備無論在進(jìn)行訪問控制，還是在QOS，還是在日志記錄過程中，依據(jù)必須是真實(shí)的訪問者身份，做到精細(xì)化管理，可追溯性記錄。

對(duì)于中小企業(yè)而言，設(shè)備必須能夠與中小企業(yè)的AD域管理整合，通過AD域來鑒別用戶的身份和角色信息，并根據(jù)角色執(zhí)行訪問控制和QOS，根據(jù)身份來記錄上網(wǎng)行為日志。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

3.1.3 再次保障鏈路暢通性

對(duì)于多出口鏈路的分支機(jī)構(gòu)，引入的安全設(shè)備應(yīng)當(dāng)支持多鏈路負(fù)載均衡，正常狀態(tài)下設(shè)備能夠根據(jù)出口鏈路的繁忙狀態(tài)自動(dòng)分配負(fù)載，使得兩條鏈路都能夠得到充分利用；在某條鏈路異常的狀態(tài)下，能夠自動(dòng)切換負(fù)載，保障員工的正常上網(wǎng)。

目前中小企業(yè)利用互聯(lián)網(wǎng)的主要應(yīng)用就是上網(wǎng)瀏覽，因此系統(tǒng)應(yīng)提供強(qiáng)大的URL地址過濾功能，對(duì)員工訪問非法網(wǎng)站能夠做到有效封堵，這就要求設(shè)備應(yīng)提供強(qiáng)大的URL地址庫，并能夠自動(dòng)升級(jí)，降低管理難度，提高控制精度。

中小企業(yè)的鏈路是有限的，因此應(yīng)有效封堵P2P、IM等過度占用帶寬的業(yè)務(wù)訪問，保障鏈路的有效性。

3.1.4 最后是穩(wěn)定性

選擇的產(chǎn)品必須可靠穩(wěn)定，選擇產(chǎn)品形成的方案應(yīng)盡量避免單點(diǎn)故障，傳統(tǒng)的網(wǎng)絡(luò)安全方案總是需要一堆的產(chǎn)品去解決不同的問題，但這些產(chǎn)品接入到網(wǎng)絡(luò)中，任何一臺(tái)設(shè)備故障都會(huì)造成全網(wǎng)通信的故障，因此采取集成化的安全產(chǎn)品應(yīng)當(dāng)是必然選擇。

另外，安全產(chǎn)品必須有多種穩(wěn)定性的考慮，既要有整機(jī)穩(wěn)定性措施，也要有接口穩(wěn)定性措施，還要有系統(tǒng)穩(wěn)定性措施，產(chǎn)品能夠充分應(yīng)對(duì)各種突發(fā)的情況，并保持系統(tǒng)整體工作的穩(wěn)定性。

3.2 選擇山石安全網(wǎng)關(guān)的原因

基于中小企業(yè)的產(chǎn)品選型原則，方案建議采用的山石網(wǎng)科安全網(wǎng)關(guān)，在多核Plus G2硬件架構(gòu)的基礎(chǔ)上，采用全并行架構(gòu)，實(shí)現(xiàn)更高的執(zhí)行效率。并綜合實(shí)現(xiàn)了多個(gè)安全功能，完全能夠滿足中小企業(yè)安全產(chǎn)品的選型要求。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

山石網(wǎng)科安全網(wǎng)關(guān)在技術(shù)上具有如下的安全技術(shù)優(yōu)勢，包括：

3.2.1 安全可靠的集中化管理

山石網(wǎng)科安全管理中心采用了一種全新的方法來實(shí)現(xiàn)設(shè)備安全管理，通過提供集中的端到端生命周期管理來實(shí)現(xiàn)精細(xì)的設(shè)備配置、網(wǎng)絡(luò)設(shè)置、VPN配置和安全策略控制。山石網(wǎng)科安全管理中心可以清楚地分配角色和職責(zé)，從而使設(shè)備技術(shù)人員、網(wǎng)絡(luò)管理員和安全管理員通過相互協(xié)作來提高網(wǎng)絡(luò)管理效率，減少開銷并降低運(yùn)營成本。

利用山石網(wǎng)科安全管理中心，可以為特定用戶分配適當(dāng)?shù)墓芾斫尤霗?quán)限（從只讀到全面的編輯權(quán)限）來完成多種工作?？梢栽试S或限制用戶接入信息，從而使用戶可以作出與他們的角色相適應(yīng)的決策。

山石網(wǎng)科安全管理中心的一個(gè)關(guān)鍵設(shè)計(jì)理念是降低安全設(shè)備管理的復(fù)雜性，同時(shí)保證足夠的靈活性來滿足每個(gè)用戶的不同需求。為了實(shí)現(xiàn)這一目標(biāo)，山石網(wǎng)科安全管理中心提供了一個(gè)綜合管理界面以便從一個(gè)集中位置上控制所有設(shè)備參數(shù)。管理員只需要點(diǎn)擊幾下鼠標(biāo)就可以配置設(shè)備、創(chuàng)建安全策略或管理軟件升級(jí)。同時(shí)，只要是能夠通過山石網(wǎng)科安全管理中心進(jìn)行配置的設(shè)備都可以通過CLI接入。

山石網(wǎng)科安全管理中心還帶有一種高性能日志存儲(chǔ)機(jī)制，使IT部門可以收集并監(jiān)控關(guān)鍵方面的詳細(xì)信息，如網(wǎng)絡(luò)流量、設(shè)備狀態(tài)和安全事件等。利用內(nèi)置的報(bào)告功能，管理員還可以迅速生成報(bào)告來進(jìn)行調(diào)查研究或查看是否符合要求。

山石網(wǎng)科安全管理中心采用了一種3層的體系結(jié)構(gòu)，該結(jié)構(gòu)通過一條基于TCP的安全通信信道－安全服務(wù)器協(xié)議（SSP）相連接。SSP可以通過AES加密和SHA1認(rèn)證來提供受到有效保護(hù)的端到端的安全通信功能。利用經(jīng)過認(rèn)證的加密TCP通信鏈路，就不需要在不同分層之間建立VPN隧/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 道，從而大大提高了性能和靈活性。

山石網(wǎng)科安全管理中心提供統(tǒng)一管理功能，在一個(gè)統(tǒng)一界面中集成了配置、日志記錄、監(jiān)控和報(bào)告功能，同時(shí)還使網(wǎng)絡(luò)管理中心的所有工作人員可以協(xié)同工作。山石網(wǎng)科網(wǎng)絡(luò)公司的集中管理方法使用戶可以在安全性和接入便利性之間達(dá)成平衡，對(duì)于安全網(wǎng)關(guān)這類安全設(shè)備的大規(guī)模部署非常重要。

3.2.2 基于角色的安全控制與審計(jì)

針對(duì)傳統(tǒng)基于IP的訪問控制和資源控制缺陷，山石網(wǎng)科采用RBNS（基于身份和角色的管理）技術(shù)讓網(wǎng)絡(luò)配置更加直觀和精細(xì)化，不同基于角色的管理模式主要包含基于“人”的訪問控制、基于“人”的網(wǎng)絡(luò)資源(服務(wù))的分配、基于”人“的日志審計(jì)三大方面?；诮巧墓芾砟Ｊ娇梢酝ㄟ^對(duì)訪問者身份審核和確認(rèn)，確定訪問者的訪問權(quán)限，分配相應(yīng)的網(wǎng)絡(luò)資源。在技術(shù)上可避免IP盜用或者PC終端被盜用引發(fā)的數(shù)據(jù)泄露等問題。

另外，在采用了RBNS技術(shù)后，使得審計(jì)記錄可以直接反追溯到真實(shí)的訪問者，更便于安全事件的定位。

在本方案中，利用山石網(wǎng)科安全網(wǎng)關(guān)的身份認(rèn)證功能，可結(jié)合AD域認(rèn)證等技術(shù)，提供集成化的認(rèn)證+控制+深度檢測+行為審計(jì)的解決方案，當(dāng)訪問者需跨網(wǎng)關(guān)訪問時(shí)，網(wǎng)關(guān)會(huì)根據(jù)確認(rèn)的訪問者身份，自動(dòng)調(diào)用郵件系統(tǒng)內(nèi)的郵件組信息，確定訪問者角色，隨后根據(jù)角色執(zhí)行訪問控制，限制其訪問范圍，然后再對(duì)訪問數(shù)據(jù)包進(jìn)行深度檢測，根據(jù)角色執(zhí)行差異化的QOS，并在發(fā)現(xiàn)非法的訪問，或者存在可疑行為的訪問時(shí)，記錄到日志提供給系統(tǒng)員進(jìn)行事后的深度分析。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

3.2.3 基于深度應(yīng)用識(shí)別的訪問控制

中小型企業(yè)的主要業(yè)務(wù)應(yīng)用系統(tǒng)都建立在HTTP/HTTPS等應(yīng)用層協(xié)議之上，新的安全威脅也隨之嵌入到應(yīng)用之中，而傳統(tǒng)基于狀態(tài)檢測的防火墻只能依據(jù)端口或協(xié)議去設(shè)置安全策略，根本無法識(shí)別應(yīng)用，更談不上安全防護(hù)。

Hillstone山石網(wǎng)科新一代防火墻可以根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對(duì)應(yīng)用的識(shí)別和控制，而不依賴于端口或協(xié)議，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。

StoneOS?識(shí)別的應(yīng)用多達(dá)幾百種，而且跟隨著應(yīng)用的發(fā)展每天都在增加；其中包括P2P、IM(即時(shí)通訊)、游戲、辦公軟件以及基于SIP、H.323、HTTP等協(xié)議的應(yīng)用。同時(shí)，應(yīng)用特征庫通過網(wǎng)絡(luò)服務(wù)可以實(shí)時(shí)更新，無須等待新版本軟件發(fā)布。

3.2.4 深度內(nèi)容安全(UTMPlus?)

山石網(wǎng)科安全網(wǎng)關(guān)可選UTMPlus?軟件包提供病毒過濾，入侵防御，內(nèi)容過濾，上網(wǎng)行為管理和應(yīng)用流量整形等功能，可以防范病毒，間諜軟件，蠕蟲，木馬等網(wǎng)絡(luò)的攻擊。關(guān)鍵字過濾和基于超過2000萬域名的Web頁面分類數(shù)據(jù)庫可以幫助管理員輕松設(shè)置工作時(shí)間禁止訪問的網(wǎng)頁，提高工作效率和控制對(duì)不良網(wǎng)站的訪問。病毒庫，攻擊庫，URL庫可以通過網(wǎng)絡(luò)服務(wù)實(shí)時(shí)下載，確保對(duì)新爆發(fā)的病毒、攻擊、新的URL做到及時(shí)響應(yīng)。

由于中小企業(yè)包含了多個(gè)分支機(jī)構(gòu)，一旦因某個(gè)節(jié)點(diǎn)遭到惡意代碼的傳播，病毒將會(huì)很快在企業(yè)的網(wǎng)絡(luò)內(nèi)傳播，造成全網(wǎng)故障。在使用了山石網(wǎng)科安全網(wǎng)關(guān)后，并在全網(wǎng)各個(gè)節(jié)點(diǎn)的邊界部署后，將在邏輯上形成不同的隔離區(qū)，一旦某個(gè)節(jié)點(diǎn)遭遇到病毒攻擊/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

后，不會(huì)影響到其他節(jié)點(diǎn)。并且山石支持硬件病毒過濾技術(shù)，在邊界進(jìn)行病毒查殺的時(shí)候，對(duì)性能不會(huì)造成過多影響。

3.2.5 高性能病毒過濾

對(duì)于中小企業(yè)而言，在邊界進(jìn)行病毒的過濾與查殺，是有效防范蠕蟲、木馬等網(wǎng)絡(luò)型病毒的有效工具，但是傳統(tǒng)病毒過濾技術(shù)由于需要在應(yīng)用層解析數(shù)據(jù)包，因此效率很低，導(dǎo)致開啟病毒過濾后對(duì)全網(wǎng)的通信速度形成很大影響。

山石安全網(wǎng)關(guān)在多核的技術(shù)上，對(duì)病毒過濾采取了全新的流掃描技術(shù)，也就是所謂的邊檢測邊傳輸技術(shù)，從而大大提升了病毒檢測與過濾的效率。

? 流掃描策略

傳統(tǒng)的病毒過濾掃描是基于文件的。這種方法是基于主機(jī)的病毒過濾解決方案實(shí)現(xiàn)的，并且舊一代病毒過濾解決方案也繼承這一方法。使用這種方法，首先需要下載整個(gè)文件，然后開始掃描，最后再將文件發(fā)送出去。從發(fā)送者發(fā)送出文件到接收者完成文件接收，會(huì)經(jīng)歷長時(shí)間延遲。對(duì)于大文件，用戶應(yīng)用程序可能出現(xiàn)超時(shí)。

文件接受掃描文件發(fā)送延遲

山石網(wǎng)科掃描引擎是基于流的，病毒過濾掃描引擎在數(shù)據(jù)包流到達(dá)時(shí)進(jìn)行檢查，如果沒有檢查到病毒，則發(fā)送數(shù)據(jù)包流。由此，用戶將看到明顯的延遲改善，并且他們的應(yīng)用程序也將更快響應(yīng)。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

文件接收掃描文件發(fā)送延遲

流掃描技術(shù)僅需要緩存有限數(shù)量的數(shù)據(jù)包。它也不像文件掃描那樣受文件大小的限制。低資源利用率也意味著更多文件流的同時(shí)掃描。出于對(duì)高性能、低延遲、高可升級(jí)性的首要考慮，流掃描技術(shù)適合網(wǎng)關(guān)病毒過濾解決方案。

? 基于策略的病毒過濾功能

山石網(wǎng)科病毒過濾功能與策略引擎完全集成。管理員能夠完全控制以下各方面：哪些域的流量需要進(jìn)行病毒過濾掃描，哪些用戶或者用戶組進(jìn)行掃描，以及哪些服務(wù)器和應(yīng)用被保護(hù)。

3.2.6 靈活高效的帶寬管理功能

山石網(wǎng)科產(chǎn)品提供專有的智能應(yīng)用識(shí)別(Intelligent Application Identification)功能，稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進(jìn)行分類，甚至包括對(duì)加密的P2P應(yīng)用（Bit Torrent、迅雷、Emule、Edonkey等）和即時(shí)消息流量進(jìn)行分類。山石網(wǎng)科QoS首先根據(jù)流量的應(yīng)用類型對(duì)流量進(jìn)行識(shí)別和標(biāo)記。然后，根據(jù)應(yīng)用識(shí)別和標(biāo)記結(jié)果對(duì)流量帶寬進(jìn)行控制并且區(qū)分優(yōu)先級(jí)。一個(gè)典型應(yīng)用實(shí)例是：用戶可以為關(guān)鍵網(wǎng)頁瀏覽設(shè)置高優(yōu)先級(jí)保證它們的帶寬使用；對(duì)于P2P下載流量，用戶可以為它們設(shè)置最低優(yōu)先級(jí)并且限制它們的最大帶寬使用量。

將山石網(wǎng)科的角色鑒別以及IP QoS結(jié)合使用，用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級(jí)。山石網(wǎng)科設(shè)備最多可支持20,000個(gè)不同IP地址及用戶角色的流量優(yōu)先級(jí)區(qū)分和帶寬/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

控制（入方向和出方向），這就相當(dāng)于系統(tǒng)中可容納最多40,000的QoS隊(duì)列。

結(jié)合應(yīng)用QoS，山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個(gè)用戶控制應(yīng)用流量并對(duì)該用戶的應(yīng)用流量區(qū)分優(yōu)先級(jí)。例如，對(duì)于同一個(gè)IP地址產(chǎn)生的不同流量，用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級(jí)。在IP QoS里面使用應(yīng)用QoS，甚至可以對(duì)每個(gè)IP地址進(jìn)行流量控制的同時(shí)，還能夠?qū)υ揑P地址內(nèi)部應(yīng)用類型的流量進(jìn)行有效管控。

除了高峰時(shí)間，用戶經(jīng)常會(huì)發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒有被充分利用。山石網(wǎng)科的彈性QoS功能（FlexQoS）能夠?qū)崟r(shí)探測網(wǎng)絡(luò)的出入帶寬利用率，進(jìn)而動(dòng)態(tài)調(diào)整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時(shí)段的網(wǎng)絡(luò)使用性能。

總之，通過采取山石網(wǎng)科產(chǎn)品所集成的帶寬管理功能，可以在用戶網(wǎng)絡(luò)中做到關(guān)鍵應(yīng)用優(yōu)先，領(lǐng)導(dǎo)信息流量優(yōu)先，非業(yè)務(wù)應(yīng)用限速或禁用，VoIP、視頻應(yīng)用保證時(shí)延低、無抖動(dòng)、音質(zhì)清晰、圖片清楚，這些有效管理帶寬資源和區(qū)分網(wǎng)絡(luò)應(yīng)用的效果都能給用戶帶來更高效、更靈活、更合理的帶寬應(yīng)用，使得昂貴的帶寬能獲取最高的效益和高附加值應(yīng)用。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

3.2.7 強(qiáng)大的URL地址過濾庫

山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實(shí)時(shí)保持同步更新，當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動(dòng)、不安全的網(wǎng)站時(shí)，系統(tǒng)會(huì)根據(jù)不同的策略，進(jìn)行報(bào)警、日志、阻斷等動(dòng)作，實(shí)現(xiàn)健康上網(wǎng)；

全面的URL地址庫也改變了現(xiàn)在各個(gè)分支機(jī)構(gòu)自行手動(dòng)配置URL地址的局限性，當(dāng)時(shí)設(shè)備被部署到網(wǎng)絡(luò)中后，各個(gè)設(shè)備均采用統(tǒng)一標(biāo)準(zhǔn)的過濾地址庫，在進(jìn)行URL訪問日志中也可以保持日志內(nèi)容的一致性。

3.2.8 高性能的應(yīng)用層管控能力

安全和速度始終是兩個(gè)對(duì)立面的事物。追求更高的網(wǎng)絡(luò)安全是需要以犧牲網(wǎng)絡(luò)通訊速度為代價(jià)的，而追求更高的網(wǎng)絡(luò)通訊速度則需要降低網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。在目前依賴于網(wǎng)絡(luò)應(yīng)用的時(shí)代，能夠做到應(yīng)用層的安全檢測以及安全防護(hù)功能是所有安全廠商的目標(biāo)。由于應(yīng)用層的檢測需要進(jìn)行深度的數(shù)據(jù)包解析，而使用傳統(tǒng)網(wǎng)絡(luò)平臺(tái)所帶來的網(wǎng)絡(luò)延遲將是不可接受的。好的安全功能同樣需要好的硬件平臺(tái)去實(shí)現(xiàn)。

山石網(wǎng)科安全網(wǎng)關(guān)具有豐富的應(yīng)用層管控能力，包括URL地址過濾功能、網(wǎng)頁內(nèi)容關(guān)鍵字過濾功能、網(wǎng)頁敏感文件過濾功能、網(wǎng)頁控件過濾功能、協(xié)議命令控制功能等，能夠通過簡單的配置來實(shí)現(xiàn)敏感的URL地址、敏感關(guān)鍵字以及敏感文件等內(nèi)容過濾，防止?jié)撛诘陌踩L(fēng)險(xiǎn)。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

此外，山石網(wǎng)科安全網(wǎng)關(guān)均采用多核系統(tǒng)架構(gòu)，在性能上具有很高的處理能力，能夠?qū)崿F(xiàn)大并發(fā)處理。

3.2.9 高效IPSEC VPN 所有的山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備都支持對(duì)IPSec的硬件加速。每一個(gè)CPU核都有一個(gè)內(nèi)嵌的IPSec處理引擎，這保證了在CPU核數(shù)增加時(shí)，IPSec的性能得到相應(yīng)提高，不會(huì)成為瓶頸。山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備的IPSec吞吐率最高可以達(dá)到8Gbps，達(dá)到和防火墻一樣的性能和設(shè)備極限。

山石網(wǎng)科安全網(wǎng)關(guān)設(shè)備支持標(biāo)準(zhǔn)IPSec協(xié)議，能夠保障與第三方VPN進(jìn)行通訊，建立隧道并實(shí)現(xiàn)安全的數(shù)據(jù)傳輸。

3.2.10 高可靠的冗余備份能力

山石網(wǎng)科安全網(wǎng)關(guān)能夠支持設(shè)備級(jí)別的HA解決方案，如A-P和A-A架構(gòu)。山石網(wǎng)科的HA解決方案能夠?yàn)榫W(wǎng)絡(luò)層提供會(huì)話級(jí)別的狀態(tài)同步機(jī)制，保證在設(shè)備切換過程中數(shù)據(jù)傳輸?shù)倪B續(xù)性及網(wǎng)絡(luò)的持久暢通，甚至在設(shè)備進(jìn)行主備切換的時(shí)候都不會(huì)中斷會(huì)話，為企業(yè)提供真正意義的網(wǎng)絡(luò)冗余/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

解決方案。山石網(wǎng)科安全甚至還能夠提供VPN傳輸?shù)臓顟B(tài)同步，并包括SA狀態(tài)的同步。系統(tǒng)部署說明

對(duì)于中小企業(yè)，在設(shè)計(jì)邊界安全防護(hù)時(shí)，首要進(jìn)行的就是安全區(qū)域的劃分，劃分安全域是信息安全建設(shè)常采用的方法，其好處在與可以將原本比較龐大的網(wǎng)絡(luò)劃分為多個(gè)單元，根據(jù)不同單元的資產(chǎn)特點(diǎn)、支撐業(yè)務(wù)類型分別進(jìn)行安全防護(hù)系統(tǒng)的設(shè)計(jì)，保障了安全建設(shè)的針對(duì)性和差異性。

安全域的定義是同一安全域內(nèi)的系統(tǒng)有相同安全保護(hù)需求、并相互信任。但以此作為安全區(qū)域劃分原則，可操作性不強(qiáng)，在實(shí)際劃分過程中有很多困難。在本方案中，建議按照資產(chǎn)重要性以及支撐的業(yè)務(wù)類型，縱向上可劃分為總部及分支機(jī)構(gòu)域，從資產(chǎn)角度可根據(jù)業(yè)務(wù)類型的不同，將總部/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

信息網(wǎng)絡(luò)劃分為ERP域、OA域、網(wǎng)站域、終端域和運(yùn)維域等，而分支機(jī)構(gòu)的域相對(duì)簡單，由于只有終端，因此不再細(xì)分。

4.1 安全網(wǎng)關(guān)部署設(shè)計(jì)

劃分安全域后，可在所有安全域的邊界，特別是重要的業(yè)務(wù)系統(tǒng)安全域的邊界配置安全網(wǎng)關(guān)即可，配置后形成的邊界安全部署方案可參考下圖：

部署要點(diǎn)： ? 通過總部配置的山石網(wǎng)科安全管理中心，集中監(jiān)管各個(gè)分支機(jī)構(gòu)邊界部署的山石網(wǎng)科安全網(wǎng)關(guān)，對(duì)日志進(jìn)行集中管理；同時(shí)各個(gè)分支機(jī)構(gòu)本地也部署管理終端，在本地對(duì)網(wǎng)關(guān)進(jìn)行監(jiān)管； / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

? 縱向鏈路的出口分別部署安全網(wǎng)關(guān)，實(shí)現(xiàn)對(duì)中小企業(yè)網(wǎng)的縱向隔離，對(duì)分支機(jī)構(gòu)的上訪行為進(jìn)行嚴(yán)格控制，杜絕非法或非授權(quán)的訪問；

? 安全網(wǎng)關(guān)啟用源地址轉(zhuǎn)換策略，在終端上網(wǎng)過程中進(jìn)行轉(zhuǎn)換，保障內(nèi)網(wǎng)用戶上網(wǎng)的要求，同時(shí)啟用相應(yīng)的日志，對(duì)上網(wǎng)行為進(jìn)行有效記錄；

? 安全網(wǎng)關(guān)在分支機(jī)構(gòu)上網(wǎng)出口的鏈路上，運(yùn)用深度應(yīng)用識(shí)別技術(shù)，有效鑒別出哪些是合法的HTTP應(yīng)用，哪些是過度占用帶寬的P2P和IM應(yīng)用，對(duì)P2P和IM通過嚴(yán)格的帶寬限制功能能進(jìn)行及限制，并對(duì)HTTP執(zhí)行保障帶寬策略，保障員工正常上網(wǎng)行為；

? 安全網(wǎng)關(guān)與中小企業(yè)的AD域認(rèn)證整合，在確認(rèn)訪問者身份的基礎(chǔ)上，進(jìn)行實(shí)名制的訪問控制，QOS控制，以及上網(wǎng)行為審計(jì)；

? 安全網(wǎng)關(guān)內(nèi)置全面的URL地址庫，用以對(duì)員工的訪問目標(biāo)地址進(jìn)行分類，對(duì)于非法網(wǎng)站進(jìn)行封堵，且URL地址庫能夠自動(dòng)升級(jí)，保障了該功能的持續(xù)性和完整性；

? 安全網(wǎng)關(guān)運(yùn)用IPSEC VPN技術(shù)，實(shí)現(xiàn)與總部的加密傳輸，作為現(xiàn)有專線的備份鏈路，在不增加投資的前提下提升系統(tǒng)的可靠性。

? 安全網(wǎng)關(guān)運(yùn)用SSL VPN技術(shù)，對(duì)移動(dòng)辦公用戶配發(fā)USB KEY，當(dāng)其需要遠(yuǎn)程訪問企業(yè)網(wǎng)時(shí)，利用USB KEY與總部互聯(lián)網(wǎng)出口的安全網(wǎng)關(guān)建立VPN加密隧道，從而實(shí)現(xiàn)了安全可靠的遠(yuǎn)程訪問。

4.2 安全網(wǎng)關(guān)部署說明

4.2.1 部署集中安全管理中心

通過在總部部署山石網(wǎng)科安全管理中心，然后對(duì)分布在各個(gè)分支機(jī)構(gòu)邊界的安全網(wǎng)關(guān)進(jìn)行配置，/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

使網(wǎng)關(guān)接受管理中心的集中管理來實(shí)現(xiàn)，并執(zhí)行如下的集中監(jiān)管。

設(shè)備管理

設(shè)備管理包括域管理和設(shè)備組管理，域和設(shè)備組都是用來組織被管理設(shè)備的邏輯組，域包含設(shè)備組。通過域的使用，可以實(shí)現(xiàn)設(shè)備的區(qū)域化管理；而通過設(shè)備組的使用，可以進(jìn)一步將域中的設(shè)備進(jìn)行細(xì)化分組管理。一臺(tái)設(shè)備可以同時(shí)屬于多個(gè)域或者設(shè)備組。只有超級(jí)管理員可以執(zhí)行域的操作以及添加設(shè)備和徹底刪除設(shè)備，普通管理員可以執(zhí)行設(shè)備組的操作，將設(shè)備從設(shè)備組中刪除。

設(shè)備基本信息監(jiān)管

顯示設(shè)備的基本信息，例如設(shè)備主機(jī)名稱、設(shè)備序列號(hào)、管理IP、設(shè)備運(yùn)行時(shí)間、接口狀態(tài)以及AV相關(guān)信息等。

通過客戶端可查看的設(shè)備屬性信息包括：設(shè)備基本信息以及設(shè)備實(shí)時(shí)統(tǒng)計(jì)信息，包括實(shí)時(shí)資源使用狀態(tài)、會(huì)話數(shù)、總流量、VPN隧道數(shù)、攻擊數(shù)以及病毒數(shù)。系統(tǒng)通過曲線圖顯示以上實(shí)時(shí)信息，使用戶能夠直觀的了解當(dāng)前設(shè)備的各種狀態(tài)。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

日志瀏覽

山石網(wǎng)科安全管理中心接收設(shè)備發(fā)送的多種日志信息，經(jīng)過系統(tǒng)處理后，用戶可通過客戶端進(jìn)行多維度、多條件的瀏覽。山石網(wǎng)科安全管理中心支持通過以下種類進(jìn)行日志瀏覽：

●系統(tǒng)日志 ●配置日志 ●會(huì)話日志 ●地址轉(zhuǎn)換日志 ●上網(wǎng)日志

流量監(jiān)控

山石網(wǎng)科安全管理中心可以實(shí)時(shí)監(jiān)控以下對(duì)象的流量，并在客戶端通過餅狀圖或者柱狀圖直觀顯示：

●設(shè)備接口（TOP 10）/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

●指定接口TOP 10 IP，進(jìn)而可以查看指定IP的TOP 10應(yīng)用的流量 ●指定接口TOP 10應(yīng)用，進(jìn)而可以查看指定應(yīng)用的TOP 10 IP的流量

柱狀圖可分別按照上行流量、下行流量或者總流量進(jìn)行排序；餅狀圖可分別根據(jù)上行流量、下行流量或者總流量顯示不同的百分比。

攻擊監(jiān)控

山石網(wǎng)科安全管理中心可以實(shí)時(shí)監(jiān)控以下對(duì)象的攻擊情況，并在客戶端通過餅狀圖或者柱狀圖直觀顯示：

●設(shè)備接口遭受攻擊（TOP 10）

●指定接口發(fā)起攻擊TOP 10 IP，進(jìn)而可以查看指定IP發(fā)起的TOP 10攻擊類型 ●指定接口TOP 10攻擊類型，進(jìn)而可以查看發(fā)起指定攻擊類型的TOP 10 IP

VPN監(jiān)控

山石網(wǎng)科安全管理中心可以實(shí)時(shí)監(jiān)控被管理設(shè)備的IPSec VPN和SCVPN隧道流量，并在客戶端通過餅狀圖或者柱狀圖直觀顯示。/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

4.2.2 基于角色的管理配置

對(duì)于中小企業(yè)辦公網(wǎng)而言，終端使用者的身份不盡相同，因此其訪問權(quán)限，對(duì)資源的要求等也不盡相同，實(shí)現(xiàn)差異化的訪問控制與資源保障。對(duì)此可通過山石網(wǎng)科安全網(wǎng)關(guān)的RBNS（基于身份和角色的管理）策略來實(shí)現(xiàn)。RBNS包含三個(gè)部分：用戶身份的認(rèn)證、用戶角色的確定、基于角色控制和服務(wù)。

? ? 在訪問控制部分，通過RBNS實(shí)現(xiàn)了基于用戶角色的訪問控制，使得控制更加精準(zhǔn)； 在QOS部分，通過RBNS實(shí)現(xiàn)了基于角色的帶寬控制，使得資源分配更加貼近中小企業(yè)辦公網(wǎng)的管理模式； ? 在會(huì)話限制部分，通過RBNS實(shí)現(xiàn)了基于角色的并發(fā)限制，對(duì)于重要用戶放寬并發(fā)連接的數(shù)量，對(duì)于非重要用戶則壓縮并發(fā)連接的數(shù)量； ? ? 在上網(wǎng)行為管理部分，通過RBNS實(shí)現(xiàn)了基于角色的上網(wǎng)行為管理；

在審計(jì)部分，通過RBNS實(shí)現(xiàn)實(shí)名制審計(jì)，使審計(jì)記錄能夠便捷地追溯到現(xiàn)實(shí)的人員。

在整合了AD域以及郵件系統(tǒng)后的實(shí)名制管理與控制方案后，在員工上網(wǎng)訪問過程中實(shí)現(xiàn)精細(xì)化的管理，大大降低了單純依靠IP地址帶來的安全隱患，也降低了配置策略的難度，還提升了日志的可追溯性； / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

整合后實(shí)名制監(jiān)管過程示意圖

4.2.3 配置訪問控制策略

山石網(wǎng)科多核安全網(wǎng)關(guān)可提供廣泛的應(yīng)用層監(jiān)控、統(tǒng)計(jì)和控制過濾功能。該功能能夠?qū)TP、HTTP、P2P應(yīng)用、IM以及VoIP語音數(shù)據(jù)等應(yīng)用進(jìn)行識(shí)別，并根據(jù)安全策略配置規(guī)則，保證應(yīng)用的正常通信或?qū)ζ溥M(jìn)行指定的操作，如監(jiān)控、流量統(tǒng)計(jì)、流量控制和阻斷等。StoneOS利用分片重組及傳輸層代理技術(shù)，使設(shè)備能夠適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境，即使在完整的應(yīng)用層數(shù)據(jù)被分片傳送且分片出現(xiàn)失序、亂序的情況下，也能有效的獲取應(yīng)用層信息，從而保證安全策略的有效實(shí)施。

山石網(wǎng)科安全網(wǎng)關(guān)，作用在中小企業(yè)的互聯(lián)網(wǎng)出口鏈路上，通過訪問控制策略，針對(duì)訪問數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的應(yīng)用訪問類型，進(jìn)行控制，包括： / 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

? 限制不被許可的訪問類型：比如在只允許進(jìn)行網(wǎng)頁瀏覽、電子郵件、文件傳輸，此時(shí)當(dāng)終端用戶進(jìn)行其他訪問（比如P2P），即使在網(wǎng)絡(luò)層同樣使用TCP 80口進(jìn)行訪問數(shù)據(jù)包的傳送，但經(jīng)過山石網(wǎng)科安全網(wǎng)關(guān)的深度應(yīng)用識(shí)別后，分析出真實(shí)的應(yīng)用后，對(duì)P2P和IM等過度占用帶寬的行為進(jìn)行限制；

? 限制不被許可的訪問地址：山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實(shí)時(shí)保持同步更新，當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動(dòng)、不安全的網(wǎng)站時(shí)，系統(tǒng)會(huì)根據(jù)不同的策略，進(jìn)行報(bào)警、日志、阻斷等動(dòng)作，實(shí)現(xiàn)健康上網(wǎng)；

? 基于身份的訪問控制：傳統(tǒng)訪問控制的基礎(chǔ)是IP地址，但是由于IP地址的可修改性，使得控制的精度大打折扣，特別是根據(jù)不同IP地址配置不同強(qiáng)度的訪問控制規(guī)則時(shí)，通過修改IP地址可以獲得較寬松的訪問限制，及時(shí)采用了IP+MAC綁定，但修改MAC也不是難事。山石網(wǎng)科安全網(wǎng)關(guān)支持與第三方認(rèn)證的結(jié)合，可實(shí)現(xiàn)基于“實(shí)名制”下的訪問控制，將大大提升了訪問控制的精度。

4.2.4 配置帶寬控制策略

針對(duì)外網(wǎng)的互聯(lián)網(wǎng)出口鏈路，承載了員工上網(wǎng)的訪問，因此必須應(yīng)采取帶寬控制，來針對(duì)不同訪問的重要級(jí)別，提供差異化的帶寬資源。(可以實(shí)現(xiàn)基于角色的QOS)? 基于角色的流量管理

基于山石網(wǎng)科的多核 Plus G2安全架構(gòu)，StoneOS? Qos將Hillstone 山石網(wǎng)科的行為控制以及IP QoS結(jié)合使用，用戶可以很容易地為關(guān)鍵用戶控制流量并區(qū)分流量優(yōu)先級(jí)。山石網(wǎng)科設(shè)備最多可支持20,000個(gè)不同角色的流量優(yōu)先級(jí)區(qū)分和帶寬控制（入方向和出方向），這就相當(dāng)于系統(tǒng)

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

中可容納多于40,000的QoS隊(duì)列。結(jié)合應(yīng)用QoS，山石網(wǎng)科設(shè)備可提供另一層的流量控制。山石網(wǎng)科設(shè)備可以為每個(gè)用戶控制應(yīng)用流量并對(duì)該用戶的應(yīng)用流量區(qū)分優(yōu)先級(jí)。例如，對(duì)于同一個(gè)角色產(chǎn)生的不同流量，用戶可以基于應(yīng)用分類結(jié)果指定流量的優(yōu)先級(jí)。

? 對(duì)應(yīng)用控制流量和區(qū)分優(yōu)先級(jí)

山石網(wǎng)科提供專有的智能應(yīng)用識(shí)別（Intelligent Application Identification）功能，簡稱為IAI。IAI能夠?qū)Π儆喾N網(wǎng)絡(luò)應(yīng)用進(jìn)行分類，甚至包括對(duì)加密的P2P應(yīng)用（Bit Torrent、迅雷、Emule、Edonkey等）和即時(shí)消息流量進(jìn)行分類；Hillstone 山石網(wǎng)科還支持用戶自定義的流量，并對(duì)自定義流量進(jìn)行分類；同時(shí)山石網(wǎng)科可以結(jié)合強(qiáng)大的policy對(duì)流量進(jìn)行分類。山石網(wǎng)科 QoS首先根據(jù)流量的應(yīng)用類型對(duì)流量進(jìn)行識(shí)別和標(biāo)記。然后，根據(jù)應(yīng)用識(shí)別和標(biāo)記結(jié)果對(duì)流量帶寬進(jìn)行控制并且區(qū)分優(yōu)先級(jí)。一個(gè)典型應(yīng)用實(shí)例是：用戶可以為關(guān)鍵的ERP和OA流量設(shè)置高優(yōu)先級(jí)保證它們的帶寬使用；對(duì)于網(wǎng)頁瀏覽和P2P下載流量，用戶可以為它們設(shè)置最低優(yōu)先級(jí)并且限制它們的最大帶寬使用量。網(wǎng)吧用戶可以用這種方法控制娛樂流量并對(duì)娛樂流量區(qū)分優(yōu)先級(jí)。

? 帶寬利用率最大化

除了高峰時(shí)間，用戶經(jīng)常會(huì)發(fā)現(xiàn)他們的網(wǎng)絡(luò)帶寬并沒有被充分利用。Hillstone 山石網(wǎng)科的彈性QoS功能（FlexQoS）能夠?qū)崟r(shí)探測網(wǎng)絡(luò)的出入帶寬的利用率，進(jìn)而動(dòng)態(tài)調(diào)整特定用戶的帶寬。彈性QoS（FlexQoS）既能為用戶充分利用帶寬資源提供極大的靈活性，又能保證高峰時(shí)段的網(wǎng)絡(luò)使用性能。彈性QoS還允許用戶進(jìn)行更加精細(xì)的控制，允許某一類的網(wǎng)絡(luò)使用者享有彈性QoS，另外一類不享有彈性QoS。以此功能用戶可以為網(wǎng)絡(luò)使用者提供差分服務(wù)。

? 實(shí)時(shí)流量監(jiān)控和統(tǒng)計(jì)

山石網(wǎng)科 QoS解決方案提供各種靈活報(bào)告和監(jiān)控方法，幫助用戶查看網(wǎng)絡(luò)狀況。用戶可以輕松查看接口帶寬使用情況、不同應(yīng)用帶寬使用情況以及不同IP地址的帶寬使用情況。山石網(wǎng)科設(shè)備

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

提供帶寬使用情況的歷史記錄，為將來分析提供方便。同時(shí)用戶還可以自己定制想要的統(tǒng)計(jì)數(shù)據(jù)。

4.2.5 上網(wǎng)行為日志管理

通過山石網(wǎng)科安全網(wǎng)關(guān)，在實(shí)現(xiàn)分支機(jī)構(gòu)員工上網(wǎng)訪問控制和QOS控制的基礎(chǔ)上，對(duì)行為進(jìn)行全面記錄，來控制威脅的上網(wǎng)行為，并結(jié)合基于角色的管理技術(shù)，實(shí)現(xiàn)“實(shí)名制”審計(jì)，在本方案中將配置執(zhí)行如下的安全策略：

? 網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則

網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則，是根據(jù)名稱、優(yōu)先級(jí)、用戶、時(shí)間表、網(wǎng)絡(luò)行為以及控制動(dòng)作構(gòu)成上網(wǎng)行為管理策略規(guī)則的基本元素。通過WebUI配置上網(wǎng)行為管理策略規(guī)則，需要進(jìn)行下列基本元素的配置：

? ? 策略規(guī)則名稱 – 上網(wǎng)行為管理策略規(guī)則的名稱。

優(yōu)先級(jí)-上網(wǎng)行為管理策略規(guī)則的優(yōu)先級(jí)。當(dāng)有多條匹配策略規(guī)則的時(shí)候，優(yōu)先級(jí)高的策略規(guī)則會(huì)被優(yōu)先使用。? 用戶 – 上網(wǎng)行為管理策略規(guī)則的用戶，即發(fā)起網(wǎng)絡(luò)行為的主體，比如某個(gè)用戶、用戶組、角色、IP地址等。? 時(shí)間表 – 上網(wǎng)行為管理策略規(guī)則的生效時(shí)間，可以針對(duì)不同用戶控制其在特定時(shí)間段內(nèi)的網(wǎng)絡(luò)行為。? 網(wǎng)絡(luò)行為 – 具體的網(wǎng)絡(luò)應(yīng)用行為，比如MSN聊天、網(wǎng)頁訪問、郵件發(fā)送、論壇發(fā)帖等。? 控制動(dòng)作 – 針對(duì)用戶的網(wǎng)絡(luò)行為所采取的控制動(dòng)作，比如允許、拒絕某網(wǎng)絡(luò)行為或者對(duì)該行為或者內(nèi)容進(jìn)行日志記錄等。

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

? 網(wǎng)頁內(nèi)容控制策略規(guī)則

網(wǎng)頁內(nèi)容控制策略規(guī)則包括URL過濾策略規(guī)則和關(guān)鍵字過濾策略規(guī)則。網(wǎng)頁內(nèi)容控制策略規(guī)則能夠?qū)τ脩粼L問的網(wǎng)頁進(jìn)行控制。URL過濾策略規(guī)則可以基于系統(tǒng)預(yù)定義的URL類別和用戶自定義的URL類別，對(duì)用戶所訪問的網(wǎng)頁進(jìn)行過濾。關(guān)鍵字過濾策略規(guī)則可以基于用戶自定義的關(guān)鍵字類別，對(duì)用戶所訪問的網(wǎng)頁進(jìn)行過濾，同時(shí)，能夠通過SSL代理功能對(duì)用戶所訪問的含有某特定關(guān)鍵字的HTTPS加密網(wǎng)頁進(jìn)行過濾。

? 外發(fā)信息控制策略規(guī)則

外發(fā)信息控制策略規(guī)則包括Email控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則，能夠?qū)τ脩舻耐獍l(fā)信息進(jìn)行控制。Email控制策略規(guī)則能夠?qū)νㄟ^SMTP協(xié)議發(fā)送的郵件和Webmail外發(fā)郵件進(jìn)行控制，可以根據(jù)郵件的收件人、發(fā)件人、內(nèi)容關(guān)鍵字、附件名稱和附件大小對(duì)郵件的發(fā)送進(jìn)行限制。同時(shí)，能夠通過SSL代理功能控制Gmail加密郵件的發(fā)送。論壇發(fā)帖控制策略規(guī)則能夠?qū)νㄟ^HTTP Post方法上傳的含有某關(guān)鍵字的內(nèi)容進(jìn)行控制，如阻斷內(nèi)網(wǎng)用戶在論壇發(fā)布含有指定關(guān)鍵字的帖子。

? 例外設(shè)置

對(duì)于特殊情況下不需要上網(wǎng)行為管理策略規(guī)則進(jìn)行控制的對(duì)象，可以通過例外設(shè)置實(shí)現(xiàn)。例外設(shè)置包括免監(jiān)督用戶、黑白名單和Bypass域名。

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

分級(jí)日志管理模式示意圖

4.2.6 實(shí)現(xiàn)URL過濾

山石網(wǎng)科結(jié)合中國地區(qū)內(nèi)容訪問的政策、法規(guī)和習(xí)慣量身定制了強(qiáng)大的URL地址庫，包含數(shù)千萬條域名的分類web頁面庫，并能夠?qū)崟r(shí)同步更新，該地址庫將被配置在所有分支機(jī)構(gòu)出口的山石安全網(wǎng)關(guān)上，對(duì)員工訪問的目標(biāo)站點(diǎn)進(jìn)行檢查，保障健康上網(wǎng)。

山石網(wǎng)科提供的URL過濾功能包含以下組成部分： ? ? ? 黑名單：包含不可以訪問的URL。不同平臺(tái)黑名單包含的最大URL條數(shù)不同。白名單：包含允許訪問URL。不同平臺(tái)白名單包含的最大URL條數(shù)不同。

關(guān)鍵字列表：如果URL中包含有關(guān)鍵字列表中的關(guān)鍵字，則PC不可以訪問該URL。不同平臺(tái)關(guān)鍵字列表包含的關(guān)鍵字條目數(shù)不同。

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

? ? 不受限IP：不受URL過濾配置影響，可以訪問任何網(wǎng)站。

只允許用域名訪問：如果開啟該功能，用戶只可以通過域名訪問Internet，IP地址類型的URL將被拒絕訪問。

? 只允許訪問白名單里的URL：如果開啟該功能，用戶只可以訪問白名單中的URL，其它地址都會(huì)被拒絕。

4.2.7 實(shí)現(xiàn)網(wǎng)絡(luò)病毒過濾

隨著病毒技術(shù)的發(fā)展，網(wǎng)絡(luò)型病毒（比如蠕蟲、木馬等）已經(jīng)被廣泛應(yīng)用了，這種病毒的特點(diǎn)是沒有宿主就可以傳播，在網(wǎng)絡(luò)中快速掃描，只要發(fā)現(xiàn)網(wǎng)絡(luò)有許可的行為，就能夠快速傳播，其危害除了對(duì)目標(biāo)主機(jī)造成破壞，在傳播過程中也產(chǎn)生大量的訪問，對(duì)網(wǎng)絡(luò)流量造成影響，對(duì)此傳統(tǒng)在主機(jī)上進(jìn)行病毒查殺是不足的，對(duì)此問題就產(chǎn)生了病毒過濾網(wǎng)關(guān)，該系統(tǒng)類似于防火墻，采用“空中抓毒“技術(shù)，工作在網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)，對(duì)經(jīng)過網(wǎng)關(guān)的數(shù)據(jù)包進(jìn)行過濾，在判斷為是病毒的時(shí)候進(jìn)行阻斷，防止病毒利用網(wǎng)絡(luò)進(jìn)行傳播。

這里建議中小企業(yè)可利用安全網(wǎng)關(guān)的病毒過濾技術(shù)，對(duì)各個(gè)安全域在實(shí)行訪問控制的同時(shí)，進(jìn)行有效的病毒過濾，杜絕某個(gè)安全域內(nèi)（比如終端區(qū)域）的主機(jī)感染了病毒，該病毒無法穿越病毒過濾網(wǎng)關(guān)，從而無法在全企業(yè)網(wǎng)蔓延，造成更大的破壞。

山石網(wǎng)科的病毒過濾能夠有效解析出上十萬種病毒，能夠偵測病毒、木馬、蠕蟲、間諜軟件和其他惡意軟件?；诙嗪薖lus? G2架構(gòu)的設(shè)計(jì)提供了病毒過濾需要的高處理能力，其提供的應(yīng)用處理擴(kuò)展模塊進(jìn)一步的提高了病毒過濾的處理能力和總計(jì)處理能力，全并行流檢測引擎則使用較少的系統(tǒng)資源，并且在并行掃描會(huì)話和最大可掃描文件

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

方面提供高升級(jí)性。

病毒過濾系統(tǒng)同樣也大大提升了服務(wù)器的安全性，在當(dāng)前訪問控制的基礎(chǔ)上，進(jìn)一步保障了關(guān)鍵業(yè)務(wù)的安全性。

4.2.8 部署IPSEC VPN 山石網(wǎng)科安全網(wǎng)關(guān)支持的IPSec VPN技術(shù)，作用于中小企業(yè)，可實(shí)現(xiàn)總部與分支機(jī)構(gòu)之間通過互聯(lián)網(wǎng)的縱向互聯(lián)，并作為現(xiàn)有專線的備份鏈路，在不增加額外投資的基礎(chǔ)上，提升了系統(tǒng)總體的安全效率。（當(dāng)然需要總部的互聯(lián)網(wǎng)出口也部署有標(biāo)準(zhǔn)IPSEC VPN系統(tǒng)）

在通過互聯(lián)網(wǎng)實(shí)現(xiàn)縱向互聯(lián)的過程中，通過IPSEC VPN技術(shù)，將實(shí)現(xiàn)如下的保護(hù)： ? ? 機(jī)密性保護(hù)：在傳輸過程中對(duì)數(shù)據(jù)進(jìn)行加密，從而防范了被篡改的風(fēng)險(xiǎn)；

完整性保護(hù)：在傳輸過程中，通過HASH算法，對(duì)文件進(jìn)行摘要處理，當(dāng)?shù)竭_(dá)接收端時(shí)再次進(jìn)行HASH，并與發(fā)送端HASH后形成的摘要進(jìn)行批對(duì)，如果完全相同則證明數(shù)據(jù)沒有

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

被篡改，從而保障了傳輸過程的完整性； ? ? 抗抵賴：IPSEC VPN運(yùn)用了數(shù)字簽名技術(shù)，采用對(duì)稱密鑰算法防范傳輸數(shù)據(jù)被抵賴的風(fēng)險(xiǎn)； 抗重放：IPSEC VPN運(yùn)用系列號(hào)，一旦某個(gè)數(shù)據(jù)包被處理，序列號(hào)自動(dòng)加一，防范攻擊者在收取到數(shù)據(jù)包，以自己的身份重新發(fā)送的風(fēng)險(xiǎn)； 山石網(wǎng)科安全網(wǎng)關(guān)IPSec VPN支持的主要技術(shù)包括： ? 標(biāo)準(zhǔn)的技術(shù)使Hillstone IPSec VPN能和國際VPN廠商互通，只要對(duì)端采用標(biāo)準(zhǔn)IPSEC協(xié)議，即可實(shí)現(xiàn)互聯(lián)互通； ? ? 全面的加密算法支持，包括AES256、Diffie-Hellman Group 5；

支持靜態(tài)IP對(duì)端、動(dòng)態(tài)IP對(duì)端、撥號(hào)VPN對(duì)端，可以很好地使用各個(gè)分支機(jī)構(gòu)實(shí)際的網(wǎng)絡(luò)環(huán)境； ? 支持VPN上的應(yīng)用控制，在隧道內(nèi)針對(duì)中小企業(yè)，提供更完善的訪問控制。

4.2.9 實(shí)現(xiàn)安全移動(dòng)辦公

山石網(wǎng)科安全網(wǎng)關(guān)支持的SSL VPN技術(shù)，針對(duì)移動(dòng)辦公人員，在不需要配置任何客戶端的情況下，實(shí)現(xiàn)安全可靠的接入。通過USB KEY的方式，配發(fā)證書，移動(dòng)辦公人員必須在提交KEY證書后，安全網(wǎng)關(guān)方可允許其通過互聯(lián)網(wǎng)接入到企業(yè)網(wǎng)內(nèi)，實(shí)現(xiàn)安全快捷的訪問。方案建設(shè)效果

本方案利用山石網(wǎng)科安全網(wǎng)關(guān)，作用于中小企業(yè)各個(gè)分支機(jī)構(gòu)的互聯(lián)網(wǎng)出口，對(duì)員工上網(wǎng)行為進(jìn)行有效控制和記錄，對(duì)比現(xiàn)有的安全手段，將在如下層面提升安全性：

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

總體部署效果示意圖

【實(shí)現(xiàn)集中監(jiān)控】

在采取了統(tǒng)一品牌的山石網(wǎng)科安全網(wǎng)關(guān)后，通過部署在總部的安全管理中心，實(shí)現(xiàn)對(duì)分布在各個(gè)分支機(jī)構(gòu)互聯(lián)網(wǎng)出口的安全設(shè)備的集中管理，重點(diǎn)對(duì)日志進(jìn)行集中的收集和分析，確保在發(fā)生安全事件后能夠快速傳遞到總部，以便采取必要的保障措施?！緦?shí)現(xiàn)有效訪問控制】

通過嚴(yán)格的訪問控制，限制了內(nèi)、外部用戶對(duì)企業(yè)各種資源的訪問，限制員工對(duì)ERP和OA的訪問，限制互聯(lián)網(wǎng)用戶對(duì)企業(yè)網(wǎng)站的訪問，由于這些人員只能通過許可的方式，因此大大降低了重要信息資產(chǎn)的暴露程度，提升了系統(tǒng)的安全性； 【有效保護(hù)關(guān)鍵資產(chǎn)】

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

對(duì)于中小企業(yè)而言，關(guān)鍵的信息資產(chǎn)就是各類應(yīng)用服務(wù)器，和數(shù)據(jù)庫，由于本方案采取安全域劃分的方式，將這些關(guān)鍵資產(chǎn)集中起來進(jìn)行有效防護(hù)，因此大大提升了系統(tǒng)的總體安全性； 【有效防范攻擊】

山石安全網(wǎng)關(guān)支持超過3,000種的攻擊檢測和防御，支持攻擊特征庫離線在線更新，定期自動(dòng)更新多種方式。

山石安全網(wǎng)關(guān)內(nèi)置的入侵防御系統(tǒng)重點(diǎn)實(shí)現(xiàn)了對(duì)重要服務(wù)器的保護(hù)，當(dāng)其他主機(jī)訪問業(yè)務(wù)系統(tǒng)時(shí)，發(fā)起對(duì)服務(wù)器的訪問，山石入侵防御系統(tǒng)會(huì)在線分析這些數(shù)據(jù)包，并從中剝離出哪些是正常訪問的數(shù)據(jù)包，哪些是存在攻擊行為的數(shù)據(jù)包，在此基礎(chǔ)上對(duì)攻擊包采取有效的封堵行為，從而保障了安全可靠的訪問，進(jìn)一步保護(hù)了易程公司關(guān)鍵的應(yīng)用服務(wù)器。

【有效過濾病毒】

與防范攻擊的作用類似，科山石安全網(wǎng)關(guān)內(nèi)置的過濾網(wǎng)關(guān)部署在重要的安全域邊界，當(dāng)重要的服務(wù)器接受訪問時(shí)，病毒過濾網(wǎng)關(guān)深入分析數(shù)據(jù)包，檢測出是否攜帶病毒，或者數(shù)據(jù)包本身就是由一些惡意病毒（比如木馬、蠕蟲等）引發(fā)的，并采取有效的查殺，或者將數(shù)據(jù)包直接丟棄。

【基于角色的控制與資源保障】

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案

中小企業(yè)的上網(wǎng)人員是多個(gè)層面多種角色的，因角色不同，在訪問控制和資源保障部分，需要有不同的策略與力度。山石安全網(wǎng)關(guān)能夠與第三方身份認(rèn)證有效整合，在控制（比如訪問控制、日志審計(jì)）和資源保障（比如QOS）方面能夠根據(jù)用戶身份以及對(duì)應(yīng)的角色來進(jìn)行配置，解決了傳統(tǒng)以IP地址為依據(jù)時(shí)，IP地址容易被偽造的問題； 【上網(wǎng)行為實(shí)名制審查】

國家相關(guān)監(jiān)管部門要求提供上網(wǎng)的機(jī)構(gòu)，應(yīng)當(dāng)對(duì)上網(wǎng)人員的行為進(jìn)行記錄，以備在員工進(jìn)行違規(guī)訪問（比如發(fā)布發(fā)動(dòng)言論，訪問非法網(wǎng)站）時(shí)，能夠進(jìn)行追溯。而目前中小企業(yè)員工均通過NAT來上網(wǎng)，這樣單純在互聯(lián)網(wǎng)上無法準(zhǔn)確定位訪問者，即使有些分支機(jī)構(gòu)采取了NAT和上網(wǎng)行為管理設(shè)備，但這些設(shè)備對(duì)行為之記錄到IP地址，很難對(duì)應(yīng)到具體的人員。

對(duì)此山石安全網(wǎng)關(guān)能夠在身份識(shí)別和角色確定的基礎(chǔ)上，對(duì)上網(wǎng)人員的行為（訪問了什么地址、進(jìn)行了什么操作、訪問的時(shí)間、訪問產(chǎn)生的流量等）進(jìn)行有效記錄，從而做到實(shí)名制審計(jì)?！居行Х舛翽2P和IM】

P2P和IM的特點(diǎn)是，運(yùn)用動(dòng)態(tài)端口進(jìn)行訪問，對(duì)此傳統(tǒng)訪問控制的基礎(chǔ)是地址、協(xié)議和端口，這種控制方法根本無法從根本上封堵P2P和IM。

山石安全網(wǎng)關(guān)支持的深度應(yīng)用識(shí)別，通過協(xié)議分析能夠有效鑒別出真實(shí)的應(yīng)用，再此基礎(chǔ)上進(jìn)行控制，方可實(shí)現(xiàn)對(duì)P2P和IM等通過動(dòng)態(tài)端口的應(yīng)用?！靖娴腢RL過濾】

目前中小企業(yè)的URL過濾庫采用手工方式維護(hù)，這種方式無論從實(shí)效性、全面性上都存在明顯不足，山石網(wǎng)科安全網(wǎng)關(guān)內(nèi)置了一套完整的URL地址庫，具有超過2000萬條域名的分類Web頁面庫，并實(shí)時(shí)保持同步更新，當(dāng)中小企業(yè)辦公網(wǎng)用戶訪問了不健康、反動(dòng)、不安全的網(wǎng)站時(shí)，系統(tǒng)會(huì)根據(jù)不同的策略，進(jìn)行報(bào)警、日志、阻斷等動(dòng)作，實(shí)現(xiàn)健康上網(wǎng)。

/ 42

典型中小型企業(yè)網(wǎng)絡(luò)邊界安全解決方案 【對(duì)專線形成補(bǔ)充】

目前中小企業(yè)各個(gè)分支機(jī)構(gòu)與總公司之間，通過專線實(shí)現(xiàn)縱向鏈接，并支撐縱向的業(yè)務(wù)訪問，而總公司和各個(gè)分支機(jī)構(gòu)都有互聯(lián)網(wǎng)的通道，該通道也可作為專線的備份鏈路，并且從節(jié)約投資的角度，甚至可以用互聯(lián)網(wǎng)通道取代專線，降低系統(tǒng)總體成本。

山石安全網(wǎng)關(guān)支持的IPSEC VPN技術(shù)，可以在互聯(lián)網(wǎng)通道上提供安全保護(hù)，數(shù)據(jù)傳輸過程中采用加密、完整性校驗(yàn)措施，保障了數(shù)據(jù)的安全性?！緦?shí)現(xiàn)安全移動(dòng)辦公】

通過SSL VPN解決了遠(yuǎn)程辦公的安全隱患，使移動(dòng)人員能夠安全、可靠地訪問企業(yè)網(wǎng)資源。

/ 42

第三篇：校園網(wǎng)絡(luò)管理與信息安全解決方案

河北金融學(xué)院校園網(wǎng)絡(luò)管理與信息安

全解決方案

目 錄

摘要..............................................................1 一 概述...........................................................1 二 對(duì)當(dāng)前校園網(wǎng)絡(luò)現(xiàn)狀的研究分析...................................1 三 河北金融學(xué)院網(wǎng)絡(luò)拓?fù)鋱D........................................1 四 校園網(wǎng)主要面臨的安全威脅......................................1 4.1 計(jì)算機(jī)病毒破壞............................................1 4.2 校園網(wǎng)絡(luò)設(shè)備管理不健全....................................2 4.3 計(jì)算機(jī)系統(tǒng)漏洞............................................2 4.4 用戶對(duì)校園網(wǎng)網(wǎng)絡(luò)資源的濫用...............................3 4.5 校園網(wǎng)安全管理制度缺失...................................3 4.6 網(wǎng)絡(luò)管理者和使用者的安全技術(shù)能力低........................3 五 網(wǎng)絡(luò)安全解決方案設(shè)計(jì)..........................................4 5.1 身份認(rèn)證..................................................4 5.2 部署網(wǎng)絡(luò)防病毒系統(tǒng)........................................4 5.3 防止IP地址盜用和ARP攻擊.................................4 5.4 設(shè)置漏洞管理系統(tǒng)..........................................5 5.5 設(shè)置防火墻保護(hù)網(wǎng)絡(luò)安全....................................5 5.6 設(shè)置WEB應(yīng)用防護(hù)系統(tǒng)......................................6 5.7 定期對(duì)服務(wù)器進(jìn)行備份和維護(hù)................................6 5.8 加強(qiáng)校園管理..............................................6 六 結(jié)束語........................................................7 參考文獻(xiàn)..........................................................7 摘要：隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全已成為一個(gè)不可忽視的問題。而校園網(wǎng)絡(luò)的安全是一個(gè)普遍存在較為復(fù)雜的系統(tǒng)工程，需要引起每個(gè)使用校園網(wǎng)的人足夠的重視并全方位地加以防范．本文針對(duì)目前校園網(wǎng)面臨的現(xiàn)狀進(jìn)行了分析。列舉出了影響校園網(wǎng)安全的主要因素，并提出了解決方案。關(guān)鍵詞

校園網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全措施 解決方案

一

概述

隨著信息化程度的提高，計(jì)算機(jī)網(wǎng)絡(luò)得到了飛速發(fā)展，校園網(wǎng)絡(luò)信息化也逐步發(fā)展起來了。而高校校園信息化建設(shè)工作的整體推進(jìn), 應(yīng)用系統(tǒng)的整合、統(tǒng)一門戶平臺(tái)的實(shí)施、數(shù)據(jù)存儲(chǔ)中心的建立以及各種信息的共享與交流, 都需要切實(shí)做好校園網(wǎng)絡(luò)安全體系建設(shè), 建立事故預(yù)警機(jī)制,做好善后處理工作, 結(jié)合硬件、軟件, 采取各種技術(shù)措施, 建立一個(gè)基于管理措施和多種技術(shù)的高校校園網(wǎng)絡(luò)安全體系, 確保校園信息化各類基礎(chǔ)設(shè)施不受來自網(wǎng)內(nèi)和網(wǎng)外用戶非法訪問和破壞, 管理內(nèi)部用戶對(duì)外部資源的合法訪問, 全面做好校園信息化的安全保衛(wèi)工作。保證校園內(nèi)外信息資料順暢的交流, 面對(duì)校園網(wǎng)絡(luò)中的種種安全威脅，必須采取及時(shí)有效的措施來解決。

二

對(duì)當(dāng)前校園網(wǎng)絡(luò)現(xiàn)狀的研究分析

當(dāng)前校園網(wǎng)絡(luò)普遍面臨著網(wǎng)絡(luò)規(guī)模大，設(shè)備多。從網(wǎng)絡(luò)結(jié)構(gòu)上看，可分為核心、匯聚和接入3個(gè)層次，包含很多的路由器，交換機(jī)等網(wǎng)絡(luò)設(shè)備和服務(wù)器、微機(jī)等主機(jī)設(shè)備等問題。校園網(wǎng)通常是雙出口結(jié)構(gòu)，分別與 Cerner、Internet 互聯(lián)。而且用戶種類豐富。不同用戶對(duì)網(wǎng)絡(luò)功能的要求不同。教學(xué)區(qū)和辦公區(qū)要求局域網(wǎng)絡(luò)共享，實(shí)現(xiàn)基于網(wǎng)絡(luò)的應(yīng)用，并能接入INTERNET。學(xué)生區(qū)主要是接入INTERNET的需求。應(yīng)用系統(tǒng)豐富。校園網(wǎng)單位眾多，有很多基于局域網(wǎng)的應(yīng)用，如多媒體教學(xué)系統(tǒng)，圖書館管理系統(tǒng)，學(xué)生檔案管理系統(tǒng)，財(cái)務(wù)處理系統(tǒng)等。這些應(yīng)用之間互相隔離。還有很多基于INTERTNET的應(yīng)用，如WWW、E-MAIL等，需要和INTERNET的交互。各種應(yīng)用服務(wù)器，如DNS，WWW，課 程 設(shè) 計(jì)

報(bào) 告

E-MAIL，F(xiàn)TP等與核心交換機(jī)高速連接，對(duì)內(nèi)外網(wǎng)提供服務(wù)。

三

河北金融學(xué)院網(wǎng)絡(luò)拓?fù)鋱D

四

校園網(wǎng)主要面臨的安全威脅 4.1 計(jì)算機(jī)病毒破壞

計(jì)算機(jī)病毒已經(jīng)成為影響校園網(wǎng)絡(luò)安全的重要因素，它不僅影響系統(tǒng)的正常

課 程 設(shè) 計(jì)

報(bào) 告

運(yùn)行、破壞系統(tǒng)軟件及文件系統(tǒng)、使整個(gè)網(wǎng)絡(luò)運(yùn)行效率下降，甚至造成計(jì)算機(jī)和整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。制病毒在校園網(wǎng)中的廣泛傳播: 一是在網(wǎng)關(guān)處禁止常見病毒的入侵, 關(guān)閉校園網(wǎng)絡(luò)對(duì)外的可能產(chǎn)生病毒入侵的端口;二是在校園網(wǎng)內(nèi)安裝具有計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計(jì)算機(jī)病毒防治產(chǎn)品, 在整個(gè)校園網(wǎng)內(nèi)采取病毒防范措施;三是查找到病毒宿主機(jī), 對(duì)其實(shí)施隔離措施, 將用戶的網(wǎng)絡(luò)訪問強(qiáng)行定向到校內(nèi)在線殺毒站點(diǎn)進(jìn)行病毒查殺;四是對(duì)服務(wù)器等重要設(shè)備設(shè)定安全策略,監(jiān)控系統(tǒng)狀態(tài), 有效防范校園網(wǎng)絡(luò)內(nèi)的病毒和惡意入侵。

4.2 校園網(wǎng)絡(luò)設(shè)備管理不健全

校園網(wǎng)絡(luò)涉及硬件的設(shè)備分布在整個(gè)校同內(nèi)，管理起來有一定的難度。從網(wǎng)絡(luò)設(shè)備所處層級(jí)看, 校園網(wǎng)網(wǎng)絡(luò)層級(jí)一般可分為核心層、匯聚層、接入層, 要確保各個(gè)層級(jí)的安全, 網(wǎng)絡(luò)設(shè)備本身的安全可靠是前提, 否則網(wǎng)絡(luò)設(shè)備所配置的安全策略就失去了其意義。為了集中管理存放在校內(nèi)各樓宇中的交換機(jī)設(shè)備, 學(xué)校一般會(huì)購置具備遠(yuǎn)程管理功能的交換機(jī), 也同樣是出于集中管理的目的, 網(wǎng)絡(luò)管理者往往會(huì)將交換機(jī)的遠(yuǎn)程登陸帳戶設(shè)置成一模一樣或者就干脆采用設(shè)備的出廠默認(rèn)值, 如果攻擊者獲取到設(shè)備的登陸帳號(hào), 將會(huì)給用戶和網(wǎng)絡(luò)管理帶來無法想象的威脅。暴露在外面的設(shè)施，可能遭到有意或無意的損壞，這就會(huì)造成校園網(wǎng)絡(luò)全部或部分癱瘓的嚴(yán)重后果，而且大多數(shù)校園網(wǎng)絡(luò)信息化設(shè)備投入由于資金投入不足，致使校園網(wǎng)絡(luò)建設(shè)方面存在著各種開放式的安全隱患。

4.3 計(jì)算機(jī)系統(tǒng)漏洞

入侵者攻擊校園網(wǎng)主要是利用軟件或攻擊代碼對(duì)網(wǎng)絡(luò)軟件或硬件的安全漏洞加以攻擊, 獲得相應(yīng)權(quán)限后, 非法獲取目標(biāo)主機(jī)的資源, 也可能會(huì)在控制目標(biāo)主機(jī)后, 以其為跳板(俗稱肉雞), 對(duì)其他計(jì)算機(jī)或網(wǎng)絡(luò)實(shí)施攻擊和非法訪問并隱藏真實(shí)身份。終端系統(tǒng)漏洞主要有三個(gè)方面:一是普通計(jì)算機(jī)和服務(wù)器操作系統(tǒng)等軟件漏洞。校園網(wǎng)中廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是Windows 操作系統(tǒng), 也有較少部分的其他類型操作系統(tǒng), 這些系統(tǒng)都存在各種各樣的安全漏洞, 許多計(jì)算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染的。二是校園網(wǎng)絡(luò)硬件設(shè)備漏

課 程 設(shè) 計(jì)

報(bào) 告

洞。連接校園網(wǎng)絡(luò)各基礎(chǔ)設(shè)施的硬件設(shè)備(如交換機(jī)、防火墻等), 基本工作原理是運(yùn)行存儲(chǔ)在芯片中的程序, 實(shí)現(xiàn)一系列功能, 這些程序或多或少的都會(huì)存在一些漏洞, 這些漏洞給入侵者提供了攻擊網(wǎng)絡(luò)的可能。三是校園網(wǎng)站、各單位基于WEB 的業(yè)務(wù)管理系統(tǒng)等代碼漏洞。校園網(wǎng)絡(luò)上運(yùn)行著大量的網(wǎng)站和眾多的業(yè)務(wù)管理系統(tǒng), 對(duì)校內(nèi)和校外提供豐富多彩的工作、學(xué)習(xí)和娛樂等內(nèi)容, 但這些站點(diǎn)的代碼在編寫過程中, 存在很多不嚴(yán)謹(jǐn)?shù)牡胤? 甚至有些程序設(shè)計(jì)人員可能會(huì)在代碼中留下一些后門程序, 這給攻擊者留下了攻擊的途徑。

4.4 用戶對(duì)校園網(wǎng)網(wǎng)絡(luò)資源的濫用

實(shí)際上有相當(dāng)一部分的因特網(wǎng)訪問是與正常的工作無關(guān)的，有人利用校園網(wǎng)資源從事商業(yè)活動(dòng)或大量的視頻、軟件資源下載服務(wù)，有人甚至去訪問一些不健康的甚至反動(dòng)站點(diǎn)，從而導(dǎo)致大量非法內(nèi)容或垃圾郵件甚至一些木馬程序的進(jìn)入，占用了大量珍貴的網(wǎng)絡(luò)資源，嚴(yán)重浪費(fèi)了校園網(wǎng)資源，造成流量堵寨、子網(wǎng)速度慢等問題。

4.5 校園網(wǎng)安全管理制度缺失

隨著校同內(nèi)對(duì)計(jì)算機(jī)虛用的需求，接入校園網(wǎng)的計(jì)算機(jī)日益增加，校園網(wǎng)安全管理制度缺失問題也越發(fā)嚴(yán)重。校園網(wǎng)經(jīng)常會(huì)發(fā)生計(jì)算機(jī)病毒泛濫、信息丟失數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重情況。校園網(wǎng)的建設(shè)普遍存在著重運(yùn)行、輕管理的現(xiàn)象。而且當(dāng)前很多高校校園網(wǎng)絡(luò)建設(shè)存在重硬件、輕軟件及重運(yùn)行、輕管理的兩種極端現(xiàn)象, 網(wǎng)絡(luò)建設(shè)者通常將網(wǎng)絡(luò)系統(tǒng)作為一項(xiàng)純技術(shù)工程來實(shí)施, 沒有建立一套完善的安全管理方案,網(wǎng)絡(luò)管理員只需將精力集中于日常的簡單事務(wù)管理上, 如上網(wǎng)線路的故障維護(hù)、賬號(hào)的開通和維護(hù)、服務(wù)器的日常管理和業(yè)務(wù)應(yīng)用系統(tǒng)的日常維護(hù)等, 網(wǎng)絡(luò)規(guī)范化、安全化管理嚴(yán)重不足, 很少關(guān)注和研究網(wǎng)絡(luò)入侵手段、防范措施、安全機(jī)制等內(nèi)容。

4.6 網(wǎng)絡(luò)管理者和使用者的安全技術(shù)能力低

雖然高校校園網(wǎng)絡(luò)建設(shè)者和使用者具備足夠的安全意識(shí), 但可能會(huì)陷于安全技術(shù)能力不足的缺憾。網(wǎng)絡(luò)管理者不具備豐富的安全管理經(jīng)驗(yàn)和技術(shù)能力, 就

課 程 設(shè) 計(jì)

報(bào) 告

無從談起對(duì)網(wǎng)絡(luò)的安全保障, 至多只能防范和處理一些簡單的安全威脅, 遇到重大問題, 通常只能求助于校外專業(yè)人士。網(wǎng)絡(luò)使用者的安全技術(shù)能力更是嚴(yán)重不足, 絕大多數(shù)的用戶只是簡單的使用計(jì)算機(jī)和網(wǎng)絡(luò), 安全防范措施一般只是安裝殺毒軟件, 期望殺毒軟件能解決所有安全問題, 但這往往是不可能的。

五

網(wǎng)絡(luò)安全解決方案設(shè)計(jì) 5.1 身份認(rèn)證

對(duì)于每一個(gè)入校園網(wǎng)的用戶，我們需要對(duì)其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名、密碼、用戶PC機(jī)的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)，通過以上的信息的綁定，可以避免了個(gè)人信息被盜用，當(dāng)安全事故發(fā)生的時(shí)候，只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息就可以準(zhǔn)確定位到該用戶，便于事情的處理。

5.2 部署網(wǎng)絡(luò)防病毒系統(tǒng)

網(wǎng)絡(luò)管理者一般應(yīng)通過四種策略來防范和控制病毒在校園網(wǎng)中的廣泛傳播: 一是在網(wǎng)關(guān)處禁止常見病毒的入侵, 關(guān)閉校園網(wǎng)絡(luò)對(duì)外的可能產(chǎn)生病毒入侵的端口;二是在校園網(wǎng)內(nèi)安裝具有計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計(jì)算機(jī)病毒防治產(chǎn)品, 在整個(gè)校園網(wǎng)內(nèi)采取病毒防范措施;三是查找到病毒宿主機(jī), 對(duì)其實(shí)施隔離措施, 將用戶的網(wǎng)絡(luò)訪問強(qiáng)行定向到校內(nèi)在線殺毒站點(diǎn)進(jìn)行病毒查殺;四是對(duì)服務(wù)器等重要設(shè)備設(shè)定安全策略(如固定端口開放、審核策略、網(wǎng)絡(luò)訪問許可策略等),監(jiān)控系統(tǒng)狀態(tài), 有效防范校園網(wǎng)絡(luò)內(nèi)的病毒和惡意入侵。

5.3 防止IP地址盜用和ARP攻擊

通過對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測，即檢測ARP報(bào)文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所以的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP，造成網(wǎng)絡(luò)通訊的混

課 程 設(shè) 計(jì)

報(bào) 告

亂。

5.4 設(shè)置漏洞管理系統(tǒng)

設(shè)置漏洞管理系統(tǒng)，能夠有效避免由漏洞攻擊導(dǎo)致的安全問題。它從漏洞的整個(gè)生命周期著手，在周期的不同階段采取不同的措施，是一個(gè)循環(huán)、周期執(zhí)行的工作流程。對(duì)用戶網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行自動(dòng)發(fā)現(xiàn)并按照資產(chǎn)重要性進(jìn)行分類；自動(dòng)周期對(duì)網(wǎng)絡(luò)資產(chǎn)的漏洞進(jìn)行評(píng)估并將結(jié)果自動(dòng)發(fā)送和保存；采用業(yè)界權(quán)威的分析模型對(duì)漏洞評(píng)估的結(jié)果進(jìn)行定性和定量的風(fēng)險(xiǎn)分析，并根據(jù)資產(chǎn)重要性給出可操作性強(qiáng)的漏洞修復(fù)方案；根據(jù)漏洞修復(fù)方案，對(duì)網(wǎng)絡(luò)資產(chǎn)中存在的漏洞進(jìn)行合理的修復(fù)或者調(diào)整網(wǎng)絡(luò)的整體安全策略進(jìn)行規(guī)避；對(duì)修復(fù)完畢的漏洞進(jìn)行修復(fù)確認(rèn)：定期重復(fù)上述步驟。

通過漏洞管理將網(wǎng)絡(luò)資產(chǎn)按照重要性進(jìn)行分類，自動(dòng)周期升級(jí)并對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行評(píng)估，最后自動(dòng)將風(fēng)險(xiǎn)評(píng)估結(jié)果自動(dòng)發(fā)送給相關(guān)責(zé)任人，大大降低人工維護(hù)成本。漏洞管理系統(tǒng)包括硬件平臺(tái)和管理控制臺(tái)，部署在網(wǎng)絡(luò)的核心交換機(jī)處，對(duì)整個(gè)網(wǎng)絡(luò)中的資產(chǎn)提供漏洞管理功能。

5.5 設(shè)置防火墻保護(hù)網(wǎng)絡(luò)安全

防火墻系統(tǒng)是一種建立在現(xiàn)在同學(xué)網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)的應(yīng)用性安全技術(shù)產(chǎn)品，是一種使用較早的，也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品。防火墻通過控制和檢測網(wǎng)絡(luò)之中的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。在需要隔離的網(wǎng)絡(luò)區(qū)域之間設(shè)置防火墻。典型地，在 Internet 與校園網(wǎng)之間部署一臺(tái)防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。將WWW、MAIL、FTP、DNS 等服務(wù)器連接在防火墻的 DMZ 區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過路由器與 Internet 連接。那么，通過 Internet 進(jìn)來的公眾用戶只能訪問到對(duì)外公開的一些服務(wù)（如

課 程 設(shè) 計(jì)

報(bào) 告

WWW、MAIL、FTP、DNS 等），既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。

5.6 設(shè)置WEB應(yīng)用防護(hù)系統(tǒng)

高校網(wǎng)絡(luò)安全體系中，需要新型的技術(shù)和設(shè)備來應(yīng)對(duì)WEB攻擊，保證網(wǎng)站安全，維護(hù)高校聲譽(yù)；為廣大師生等用戶提供持續(xù)優(yōu)質(zhì)服務(wù)。這種新型的技術(shù)就是WEB防火墻。

傳統(tǒng)的邊界安全設(shè)備，如防火墻，局限于自身的產(chǎn)品定位和防護(hù)深度，不能有效地提供針對(duì) Web 應(yīng)用攻擊完善的防御能力。Web 應(yīng)用防火墻（Web Application Firewall, 簡稱：WAF）代表了一類新興的信息安全技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的 Web 應(yīng)用安全問題。與傳統(tǒng)防火墻不同，WAF 工作在應(yīng)用層，因此對(duì) Web 應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢?；趯?duì) Web 應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF 對(duì)來自 Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請求予以實(shí)時(shí)阻斷，從而對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。

5.7 定期對(duì)服務(wù)器進(jìn)行備份和維護(hù)

為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作，系統(tǒng)管理管理員需要定期備份服務(wù)器上的重要系統(tǒng)文件。比如用戶賬戶。文件資料可以用RAID方式進(jìn)行每周備份，重要的資料還應(yīng)用保存在另外的服務(wù)器上或者備份在光盤中。監(jiān)視服務(wù)器上資源的使用情況，刪除過期和無用的文件，確保服務(wù)器高效運(yùn)行。

5.8 加強(qiáng)校園管理

校園網(wǎng)絡(luò)安全保障是一個(gè)硬件、軟件和人力資源有機(jī)結(jié)合的整體, 三方面相輔相成, 缺一不可。因此, 在有足夠可靠的安全軟硬件的前提下, 必須加強(qiáng)校園

課 程 設(shè) 計(jì)

報(bào) 告

網(wǎng)絡(luò)管理人員安全技術(shù)能力和安全管理能力的培養(yǎng), 鼓勵(lì)其參加相關(guān)的技術(shù)培訓(xùn), 拓展專業(yè)能力, 建立一支職責(zé)明確、技術(shù)全面、知識(shí)豐富的網(wǎng)絡(luò)管理人才隊(duì)伍, 全力保障校園網(wǎng)絡(luò)安全。另一方面，應(yīng)制定有關(guān)規(guī)章制度，確定安全管理等級(jí)和安全管理范圍，制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)章制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制定和應(yīng)急措施，構(gòu)建安全管理平臺(tái)，組成安全管理子網(wǎng)，安裝統(tǒng)一的安安全管理軟件，如網(wǎng)絡(luò)設(shè)備管理系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備管理軟件，實(shí)現(xiàn)校園網(wǎng)的安全管理。

六

結(jié)束語

校園網(wǎng)面臨著一系列的安全問題受到來自外部和內(nèi)部的攻擊。目前國內(nèi)許多高校存在校區(qū)分散的狀況，各校區(qū)間通信的安全連接還存在問題。計(jì)算機(jī)網(wǎng)絡(luò)安全取決于安全技術(shù)與網(wǎng)絡(luò)管理兩大方面。同時(shí)校園網(wǎng)絡(luò)安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程, 需要在充分了解現(xiàn)有網(wǎng)絡(luò)安全狀況的前提下,通過管理和技術(shù)兩個(gè)策略層次全方位進(jìn)行防范, 設(shè)計(jì)合理的安全規(guī)劃方案, 有效防止有害信息的流入、防止非法攻擊和未經(jīng)授權(quán)訪問、防止竊取內(nèi)部信息和對(duì)網(wǎng)絡(luò)資源的盜用、濫用等, 充分發(fā)揮校園網(wǎng)絡(luò)安全穩(wěn)定的管理與服務(wù)功能, 使校園網(wǎng)絡(luò)建設(shè)朝一個(gè)全面的、集成的、個(gè)性化的、開放的、安全的方向邁進(jìn), 為學(xué)校的跨越式發(fā)展提供現(xiàn)代化的基礎(chǔ)平臺(tái)。

參考文獻(xiàn)

[1] 張堯?qū)W、王曉春、趙艷標(biāo).《計(jì)算機(jī)網(wǎng)絡(luò)與Internet教程》.清華大學(xué)出版社，1999年.[2] 肖德寶.《計(jì)算機(jī)網(wǎng)絡(luò)》.華中出版社.2002年.[3] 林永菁.《多層次校園網(wǎng)絡(luò)安全設(shè)計(jì)》.吉林師范大學(xué)學(xué)報(bào)(自然科學(xué)版), 2009.[4] 王睿、林海波.《網(wǎng)絡(luò)安全與防火墻技術(shù)》.清華大學(xué)出版社，2000年.

第四篇：【企業(yè)網(wǎng)絡(luò)】網(wǎng)絡(luò)信息安全報(bào)告

XX中型企業(yè)網(wǎng)安全 網(wǎng)絡(luò)信息安全報(bào)告

一、實(shí)驗(yàn)?zāi)康募耙?/p>

該專周的目標(biāo)是讓學(xué)生掌握網(wǎng)絡(luò)安全的基本框架，網(wǎng)絡(luò)安全的基本理論。以及了解計(jì)算機(jī)網(wǎng)絡(luò)安全方面的管理、配置和維護(hù)。

本課程要求在理論教學(xué)上以必需夠用為原則，應(yīng)盡量避免過深過繁的理論探討，重在理解網(wǎng)絡(luò)安全的基本框架，網(wǎng)絡(luò)安全的基本理論。掌握數(shù)據(jù)加密、防火墻技術(shù)、入侵檢測技術(shù)以及學(xué)習(xí)網(wǎng)絡(luò)病毒防治。了解Windows 2000的安全、Web的安全、網(wǎng)絡(luò)安全工程以及黑客常用的系統(tǒng)攻擊方法。本課程要求學(xué)生對(duì)計(jì)算機(jī)的使用有一定了解（了解Windows的使用，具有鍵盤操作和文件處理的基礎(chǔ)），并已經(jīng)掌握計(jì)算機(jī)網(wǎng)絡(luò)的基本原理。

二、專周內(nèi)容

1、安全需求分析

（1）網(wǎng)絡(luò)安全問題主要集中在對(duì)服務(wù)器的安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)及管理安全上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：

A、公開服務(wù)器的安全保護(hù) B、防止黑客從外部攻擊 C、入侵檢測與監(jiān)控 D、病毒防護(hù) E、數(shù)據(jù)安全保護(hù) F、網(wǎng)絡(luò)的安全管理

（2）解決網(wǎng)絡(luò)安全問題的一些要求

A、大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）；

B、保持網(wǎng)絡(luò)原有的特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有良好的透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置；

C、易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；

D、盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；

E、安全保密系統(tǒng)具有較好的性能價(jià)格比。一次性投資，可以長期使用；

F、安全產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證；

（3）系統(tǒng)安全目標(biāo)

A、建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略；

B、將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

C、建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證他們的系統(tǒng)安全；

D、加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)將用戶的訪問權(quán)限控制在最低限度；

E、全面監(jiān)視對(duì)公開服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為；

F、加強(qiáng)對(duì)各種訪問的審計(jì)工作，詳細(xì)記錄對(duì)網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完整的系統(tǒng)日志；

2、網(wǎng)絡(luò)拓?fù)?/p>

3、網(wǎng)絡(luò)安全的基本內(nèi)容

（1）基本網(wǎng)絡(luò)命令

A、ping命令： ping –t IP，向指定的計(jì)算機(jī)不停的發(fā)送數(shù)據(jù)包，按Ctr+Break快捷鍵可以查看統(tǒng)計(jì)信息并繼續(xù)運(yùn)行，按 Ctr+C可中止運(yùn)行。

B、Tracert命令：tracert IP 顯示從本地計(jì)算機(jī)到目標(biāo)服務(wù)器所經(jīng)過的計(jì)算機(jī)：

C、pathping pop.pcpop.com 除了顯示路由外，還提供325S的分析，計(jì)算丟失包的%

（2）操作系統(tǒng)安全

A、屏蔽不需要的服務(wù)組件

開始——程序——管理工具——服務(wù) 出現(xiàn)以下窗口：

然后在該對(duì)話框中選中需要屏蔽的程序，并單擊右鍵，然后選擇“停止”命令，同時(shí)將“啟動(dòng)類型”設(shè)置為“手動(dòng)”或“已禁用”，這樣就可以對(duì)指定的服務(wù)組進(jìn)行屏蔽了。B、關(guān)閉默認(rèn)共享：“開始”——“程序”——“管理工具”——“服務(wù)”——“Server”

（3）數(shù)據(jù)庫系統(tǒng)安全

A、使用安全的帳號(hào)策略和Windows認(rèn)證模式

由于SQL Server不能更改sa用戶名稱，也不能刪除這個(gè)超級(jí)用戶，所以，我們必須對(duì)這個(gè)帳號(hào)進(jìn)行最強(qiáng)的保護(hù)，當(dāng)然，包括使用一個(gè)非常強(qiáng)壯的密碼，最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號(hào)，只有當(dāng)沒有其它方法登錄到 SQL Server 實(shí)例(例如，當(dāng)其它系統(tǒng)管理員不可用或忘記了密碼)時(shí)才使用 sa。可以新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來管理數(shù)據(jù)庫。安全的帳號(hào)策略還包括不要讓管理員權(quán)限的帳號(hào)泛濫。

SQL Server的認(rèn)證模式有Windows身份認(rèn)證和混合身份認(rèn)證兩種。在任何可能的時(shí)候，應(yīng)該對(duì)指向SQL Server的連接要求Windows身份驗(yàn)證模式。

Windows認(rèn)證模式比混合模式更優(yōu)越，原因在以下：

1)它通過限制對(duì)Microsoft Windows用戶和域用戶帳戶的連接，保護(hù)SQL Server免受大部分Internet工具的侵害。

2)服務(wù)器將從Windows安全增強(qiáng)機(jī)制中獲益，例如更強(qiáng)的身份驗(yàn)證協(xié)議以及強(qiáng)制的密碼復(fù)雜性和過期時(shí)間。

3)使用Windows認(rèn)證，不需要將密碼存放在連接字符串中。存儲(chǔ)密碼是使用標(biāo)準(zhǔn)SQL Server登錄的應(yīng)用程序的主要漏洞之一。

4)Windows認(rèn)證意味著你只需要將密碼存放在一個(gè)地方。

要在SQL Server的Enterprise Manager安裝Windows身份驗(yàn)證模式，步驟操作： 展開服務(wù)器組——右鍵點(diǎn)擊服務(wù)器——然后點(diǎn)擊“屬性”——在安全性選項(xiàng)卡的身份驗(yàn)證中——點(diǎn)擊“僅限Windows”。（4）網(wǎng)絡(luò)防火墻工具：紅墻主機(jī)網(wǎng)絡(luò)防火墻 安裝

1.具體操作如下：

第一步： 將“愛思紅墻主機(jī)網(wǎng)絡(luò)防火墻”的安裝光盤插入驅(qū)動(dòng)器，運(yùn)行根目錄下的Setup文件來運(yùn)行其安裝程序，進(jìn)入“愛思紅墻主機(jī)網(wǎng)絡(luò)防火墻安裝”窗口；

第二步：

在“歡迎安裝愛思紅墻主機(jī)網(wǎng)絡(luò)防火墻”對(duì)話框中，單擊“下一步”按鈕；

第三步： 在“軟件許可協(xié)議”對(duì)話框，接受協(xié)議點(diǎn)擊“是”；

第四步： 點(diǎn)擊“是”按鈕，出現(xiàn)顯示您計(jì)算機(jī)的相關(guān)信息，即判斷是否可以安裝本軟件；

第五步： 單擊“下一步”按鈕，出現(xiàn)“選擇目標(biāo)位置”對(duì)話框；

第六步： 在該對(duì)話框中，單擊“瀏覽”按鈕，并在“選擇文件夾”對(duì)話框中選擇盤符作為驅(qū)動(dòng)器，再指定相應(yīng)的文件夾及路徑，然后單擊“確定”按鈕；

第七步： 單擊“下一步”按鈕，出現(xiàn)“選擇安裝程序名稱”對(duì)話框，您可自定義程序名稱；

第八步： 單擊“下一步”按鈕，系統(tǒng)開始復(fù)制文件；

第九步： 進(jìn)入“紅墻主機(jī)網(wǎng)絡(luò)防火墻配置”窗口，作出是否運(yùn)行“紅墻應(yīng)用程序掃描系統(tǒng)”的選擇后，點(diǎn)擊“完成”。

相關(guān)設(shè)置：告警設(shè)置：系統(tǒng)提供了兩種情況下的告警，即需要系統(tǒng)告警和不需要系統(tǒng)告警，您可據(jù)需要選取告警設(shè)置。

點(diǎn)擊主界面中的“規(guī)則管理”按鈕，彈出相應(yīng)窗口，如下圖：

網(wǎng)絡(luò)監(jiān)控中心：

（5）網(wǎng)絡(luò)攻擊工具：“廣外女生”

它的基本功能有：文件管理方面有上傳，下載，刪除，改名，設(shè)置屬性，建立文件夾和運(yùn)行指定文件等功能；注冊表操作方面：全面模擬WINDOWS的注冊表編輯器，讓遠(yuǎn)程注冊表編輯工作有如在本機(jī)上操作一樣方便；屏幕控制方面：可以自定義圖片的質(zhì)量來減少傳輸?shù)臅r(shí)間，在局域網(wǎng)或高網(wǎng)速的地方還可以全屏操作對(duì)方的鼠標(biāo)及鍵盤，就像操縱自己的計(jì)算機(jī)一樣；遠(yuǎn)程任務(wù)管理方面，可以直觀地瀏覽對(duì)方窗體，隨意殺掉對(duì)方窗體或其中的控件；其他功能還有郵件IP通知等。

主要步驟：首先運(yùn)行“gwg.exe”，出現(xiàn)如圖窗口：

選中“服務(wù)端設(shè)置”，生成“GDUFS.exe”木馬：

然后將“GDUFS.exe”復(fù)制到自己的C盤中，再根據(jù)一些命令把“GDUFS.exe”復(fù)制到目標(biāo)主機(jī)的盤中，再進(jìn)行運(yùn)行。目標(biāo)主機(jī)的IP：191.168.12.38 具體步驟及命令：

“開始”——“運(yùn)行”——“cmd”

命令：net use 191.168.12.38ipc$ 123 /user:administrator 與目標(biāo)主機(jī)之間建立聯(lián)系

命令：net time 191.168.12.38 獲取目標(biāo)主機(jī)的時(shí)間

命令：at 191.168.12.38 08:21 net share c$=c: 與目標(biāo)主機(jī)的C盤建立通道

命令：copy c:GDUFS.exe 191.168.12.38c$ 復(fù)制“GDUFS.exe”文件到目標(biāo)主機(jī)的C盤中：

命令：191.168.12.38 10:49 c:GDUFS.exe 指定“GDUFS.exe”在目標(biāo)主機(jī)中什么時(shí)候運(yùn)行。

三、專周小結(jié)：

通過這次網(wǎng)絡(luò)安全專周，我不僅僅是學(xué)到了很多知識(shí)，更是透徹的理解到了網(wǎng)絡(luò)安全對(duì)生活已經(jīng)將來工作的意義。

網(wǎng)絡(luò)安全分為軟件網(wǎng)絡(luò)安全和硬件網(wǎng)絡(luò)安全。一般我們說的網(wǎng)絡(luò)安全就是軟件上的網(wǎng)絡(luò)安全，即局域網(wǎng)，互聯(lián)網(wǎng)安全。

網(wǎng)絡(luò)安全又分為內(nèi)網(wǎng)安全和外網(wǎng)安全。在內(nèi)外網(wǎng)安全中，內(nèi)網(wǎng)安全則是重中之重。畢竟是家賊難防。據(jù)不完全統(tǒng)計(jì)，全國因?yàn)閮?nèi)網(wǎng)安全的問題，至少每年算是幾億美元。所以，網(wǎng)絡(luò)安全特別重要。

至于在將來的工作中，我們也要嚴(yán)格尊市網(wǎng)絡(luò)設(shè)備管理原則和使用秩序，對(duì)設(shè)備進(jìn)行統(tǒng)一管理專人負(fù)責(zé)，嚴(yán)格要求自己對(duì)設(shè)備進(jìn)行安全操作，保持強(qiáng)烈的責(zé)任感和服務(wù)意識(shí)，做好每一個(gè)細(xì)節(jié)，重點(diǎn)做好以下幾項(xiàng)工作：

1，及時(shí)準(zhǔn)確判斷網(wǎng)絡(luò)故障，做好上門維護(hù)工作或及時(shí)提醒網(wǎng)絡(luò)合作商進(jìn)行維護(hù)。

2，定期檢查維護(hù)各網(wǎng)絡(luò)設(shè)備的運(yùn)行情況并進(jìn)行維護(hù)。3，不定期對(duì)服務(wù)器進(jìn)行更新和檢查。

4，遇到特殊情況，及時(shí)向領(lǐng)導(dǎo)和老師匯報(bào)，努力提高應(yīng)急處理問題和獨(dú)立處理問題的能力。

感謝老師對(duì)我們的教導(dǎo)。

第五篇：企業(yè)網(wǎng)絡(luò)建設(shè)整體解決方案

大型企業(yè)網(wǎng)絡(luò)工程解決方案，本方案是一個(gè)典型的實(shí)際工程可以根據(jù)需要和可能，參照此方案靈活應(yīng)用。

一、企業(yè)網(wǎng)絡(luò)設(shè)計(jì)（1）主干網(wǎng)設(shè)計(jì)

采用千兆以太網(wǎng)技術(shù)。千兆以太網(wǎng)技術(shù)特點(diǎn)是具有高速數(shù)據(jù)傳輸帶寬，基本能滿足高速交換及多媒體對(duì)服務(wù)質(zhì)量的要求。易于網(wǎng)絡(luò)升級(jí)、易于維護(hù)、易于管理，具有良好的價(jià)格比。

傳輸介質(zhì)。千兆傳輸距離500m以內(nèi)采用50/125多模光纜；千兆傳輸距離大于500m、小于5000m時(shí)采用9/125單模光纜；百兆傳輸距離2000m以內(nèi)采用50/125多模光纜；百兆傳輸距離大于2000m采用9/125單模光纜。

交換機(jī)。主干交換機(jī)的基本要求：機(jī)箱式結(jié)構(gòu)，便于擴(kuò)展；支持多種網(wǎng)絡(luò)方式，如快速以太網(wǎng)、千兆以太網(wǎng)等；高性能，高背板帶寬及中心交換吞吐量；支持第二、第三交換，支持各種IP應(yīng)用；高可靠性設(shè)計(jì)，如多電源/管理模塊、熱插拔；豐富的可管理能力等。

中心機(jī)房配置企業(yè)級(jí)交換機(jī)作為網(wǎng)絡(luò)中心交換機(jī)。為實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)管理和虛擬局域網(wǎng)，在中心交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊。主干各結(jié)點(diǎn)采用1000Mbps連接，服務(wù)器采用雙網(wǎng)卡鏈路聚合200Mbps連接，客戶采用交換式10/1000Mbps連接。（2）樓宇內(nèi)局域網(wǎng)設(shè)計(jì)

要求采用支持802.1Q的10/100Mbps工作組以太網(wǎng)交換機(jī)，交換機(jī)的數(shù)據(jù)依據(jù)用戶端口數(shù)、可靠性及網(wǎng)管要求配置網(wǎng)絡(luò)接入交換機(jī)，使10/100Mbps流量接至桌面。（3）接入Internet設(shè)計(jì)

Internet接入系統(tǒng)由位于網(wǎng)絡(luò)中心的非軍事區(qū)（DMZ）交換機(jī)、WWW服務(wù)、E-mail服務(wù)、防火墻、路由器、Internet光纖接入組成。（4）虛擬局域網(wǎng)VLAN設(shè)計(jì)

通過VLAN將相同業(yè)務(wù)的用戶劃分在一個(gè)邏輯子網(wǎng)內(nèi)，既可以防止不同業(yè)務(wù)的用戶非法監(jiān)聽保密信息、又可隔離廣播風(fēng)暴。不同子網(wǎng)的通信采用三層路由交換完成。

各工作組交換機(jī)采用基于端口的VLAN劃分策略，劃分出多個(gè)不同的VLAN組，分隔廣播域。每個(gè)VLAN是一個(gè)子網(wǎng)，由子網(wǎng)中信息點(diǎn)的數(shù)量確定子網(wǎng)的大小。

同樣在千兆/百兆以太網(wǎng)上聯(lián)端口上設(shè)置802.1Q協(xié)議，設(shè)置通信干道(Truck)，將每個(gè)VLAN的數(shù)據(jù)流量添加標(biāo)記，轉(zhuǎn)發(fā)到主干交換機(jī)上實(shí)現(xiàn)網(wǎng)絡(luò)多層交換。（5）虛擬專用網(wǎng)VPN設(shè)計(jì)

如果公司跨地區(qū)經(jīng)營，自己鋪設(shè)專線不劃算，可以通過Internet采用VPN數(shù)據(jù)加密技術(shù)，構(gòu)成企業(yè)內(nèi)部虛擬專用網(wǎng)。（6）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。這部分待續(xù)

二、網(wǎng)絡(luò)安全性設(shè)計(jì)

網(wǎng)絡(luò)系統(tǒng)的可靠與安全問題：

a.物理信息安全，主要防止物理通路的損壞和對(duì)物理通路的攻擊（干擾等）。

b.鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被GG。主要采用劃分VLAN、加密通信等手段。

c.網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽。

d.操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。

e.應(yīng)用平臺(tái)的安全要求保證應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)、電子郵件服務(wù)器、Web服務(wù)器、ERP服務(wù)器的安全。

（1）物理安全

機(jī)房要上鎖，出入人員要嚴(yán)加限制。注意不可讓人從天花板、窗戶進(jìn)入房間。

機(jī)房電力要充足、制冷要合適，環(huán)境要清潔。

從工作站到配線柜的配線應(yīng)該布在偷聽設(shè)備接觸不到的地方。配線不應(yīng)該直接布在地板或天花板上，而應(yīng)該隱藏在線槽或其他管道里。

應(yīng)該包括諸如火災(zāi)、水災(zāi)等自然災(zāi)害后的恢復(fù)流程。如美國911世貿(mào)中心崩塌，大多數(shù)公司的數(shù)據(jù)得不到恢復(fù)。

（2）防火墻

防火墻應(yīng)具管理簡單、功能先進(jìn)等特點(diǎn)，并且能夠保證對(duì)所有系統(tǒng)實(shí)施“防彈”保護(hù)。一個(gè)優(yōu)秀的防火墻具有內(nèi)網(wǎng)保護(hù)、靈活的部署、非軍事區(qū)（DMZ）范圍的保護(hù)、TCP狀態(tài)提醒、包過濾技術(shù)、TCP/IP堆棧保護(hù)、網(wǎng)絡(luò)地址翻譯、VPN等功能。

（3）網(wǎng)絡(luò)病毒

在網(wǎng)絡(luò)中心主機(jī)安裝一臺(tái)網(wǎng)絡(luò)病毒控制中心服務(wù)器，該服務(wù)器既要與Internet相連，又要與企業(yè)內(nèi)網(wǎng)相連。該服務(wù)器通過Internet每每更病毒代碼及相關(guān)文件，企業(yè)內(nèi)部網(wǎng)絡(luò)中的服務(wù)器、客戶時(shí)刻處于網(wǎng)絡(luò)病毒控制中心服務(wù)的監(jiān)控下，更新本機(jī)的病毒代碼庫及相文件，對(duì)計(jì)算機(jī)的所有文件和內(nèi)存實(shí)施動(dòng)態(tài)、實(shí)時(shí)、定時(shí)等多種病毒防殺策略，以確保網(wǎng)絡(luò)系統(tǒng)安全。

（4）網(wǎng)絡(luò)容錯(cuò)

集群技術(shù)。一個(gè)服務(wù)器集群包含多臺(tái)擁有共享數(shù)據(jù)存儲(chǔ)空間的服務(wù)器，各服務(wù)器之間通過內(nèi)部局域網(wǎng)進(jìn)行相互通信。當(dāng)其中一臺(tái)服務(wù)器發(fā)生故障時(shí)，它所運(yùn)行的應(yīng)用程序?qū)⒂善渌姆?wù)器自動(dòng)接管。在大多數(shù)情況下，集群中所有的計(jì)算機(jī)都擁有一個(gè)共同的名稱，集群系統(tǒng)內(nèi)任意一臺(tái)服務(wù)器都可被所有的網(wǎng)絡(luò)用戶所使用。

（5）安全備份與災(zāi)難恢復(fù)

企業(yè)信息管理最重要的資產(chǎn)不是網(wǎng)絡(luò)硬件，而是網(wǎng)絡(luò)運(yùn)行的數(shù)據(jù)。

理想的備份系統(tǒng)是在軟件備份的基礎(chǔ)上增加硬件容錯(cuò)系統(tǒng)，使網(wǎng)絡(luò)更加安全可靠。實(shí)際上，備份不僅僅是文件備份，而是整個(gè)網(wǎng)絡(luò)的一套備份體系。備份應(yīng)包括文件備份和恢復(fù)，數(shù)據(jù)庫備份和恢復(fù)、系統(tǒng)災(zāi)難恢復(fù)和備份任務(wù)管理。

（6）網(wǎng)絡(luò)入侵檢測、報(bào)警、審計(jì)技術(shù)

入侵檢測系統(tǒng)（IDS-Intrusin Detection System）執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。

常見的IDS產(chǎn)品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網(wǎng)安、東軟的網(wǎng)眼等。

（7）局域網(wǎng)信息的安全保護(hù)技術(shù)

密碼采用9位以上，每周修改1次

采用多層交換網(wǎng)絡(luò)的虛擬網(wǎng)劃分技術(shù)，防止在內(nèi)部網(wǎng)監(jiān)聽數(shù)據(jù)

采用NTFS磁盤分區(qū)加密技術(shù)，使網(wǎng)上鄰居只能是信任用戶

采用Windows域控制技術(shù)，對(duì)網(wǎng)絡(luò)資源實(shí)行統(tǒng)一管理

采用SAN（Storage Area Network存儲(chǔ)區(qū)域網(wǎng)絡(luò)）與NAS（Network Attached Storage網(wǎng)絡(luò)連接存儲(chǔ)）保護(hù)數(shù)據(jù)。

SAN技術(shù)允許將獨(dú)立的存儲(chǔ)設(shè)備連接至一臺(tái)或多臺(tái)服務(wù)器，專用于服務(wù)器，而服務(wù)器則控制了網(wǎng)絡(luò)其他部分對(duì)它的訪問。

NAS將存儲(chǔ)設(shè)備直接連接至網(wǎng)絡(luò)，使網(wǎng)絡(luò)中的用戶和網(wǎng)絡(luò)服務(wù)器可以共享此設(shè)備，網(wǎng)絡(luò)對(duì)存儲(chǔ)設(shè)備的訪問則由文件管理器這一類設(shè)備進(jìn)行管理。

利用SAN結(jié)合集群技術(shù)提高系統(tǒng)可靠性、可擴(kuò)充性和抗災(zāi)難性；利用NAS文件服務(wù)統(tǒng)一存放管理全公司桌面系統(tǒng)數(shù)據(jù)。

（8）網(wǎng)絡(luò)代理

采用Proxy對(duì)訪問Internet實(shí)行統(tǒng)一監(jiān)控。限制用戶訪問的時(shí)間、訪問的內(nèi)容、訪問的網(wǎng)址、訪問的協(xié)議等等，同時(shí)對(duì)用戶的訪問進(jìn)行審計(jì)。

（9）郵件過濾技術(shù)。

采用具有過濾技術(shù)郵件管理系統(tǒng)，一般是針對(duì)“主題詞”、“關(guān)鍵字”、“地址（IP、域名）”等信息過濾，防止非法信息的侵入。

（10）重視網(wǎng)絡(luò)安全的教育，提高安全意識(shí)。

三、綜合布線與機(jī)房設(shè)計(jì)

1.把服務(wù)器、UPS、防火墻、路由器及中心交換機(jī)放置在中心機(jī)房，把各子系統(tǒng)的配線柜設(shè)置在各子系統(tǒng)所在的樓層。

2.樓宇間光纜敷設(shè)

采用4芯以上的單?；蚨嗄Ｊ彝饨饘俟饫|架空或埋地敷設(shè)。

3.樓宇內(nèi)UTP布線

采用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實(shí)現(xiàn)垂直系統(tǒng)、水平子系統(tǒng)、工作區(qū)的布線。

4.機(jī)房裝修

（1）地板。鋪設(shè)抗靜電三防地板，規(guī)格600*600*27，板面標(biāo)高0.20m，地板應(yīng)符合GB6650-82《計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件》

（2）吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。

（3）墻面。涂刮防防瓷、墻壁面刷乳膠漆。

（4）窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾。

（5）出入門。安裝鋁合金玻璃隔斷推拉門。

（6）照明。采用高效格柵雙管日光燈嵌入安裝。

（7）配電。機(jī)房配電采用三相五線制，多種電源（動(dòng)力三相380V、普通220V和UPS輸出220V）配電箱。為UPS、空調(diào)機(jī)、照明等供電。配電箱設(shè)有空氣開關(guān)，線路全部用銅芯穿PVC管。

（8）接地。根據(jù)要求設(shè)計(jì)接地系統(tǒng)，其直流接地電阻小于1Ω、工作保護(hù)地和防雷地接地電阻小于4Ω。為保證優(yōu)良的接地性能，采用JD—1型接地和化學(xué)降阻劑，此外，考慮機(jī)房抗靜電的需求，對(duì)抗靜電活動(dòng)地板進(jìn)行可靠的接地處理，以保證設(shè)備和工作人員的安全要求。

（9）空調(diào)。主機(jī)房3P柜機(jī)；分機(jī)房1.5壁掛式空調(diào)機(jī)。

5.UPS后備電源。

采用分散保護(hù)，集中管理電源的策略，考慮APC公司提供的電源解決方案。

四、企業(yè)網(wǎng)應(yīng)用系統(tǒng)

1.應(yīng)用服務(wù)器。IBM服務(wù)器首選，當(dāng)然，也可以采用高檔PC機(jī)，PC機(jī)的優(yōu)點(diǎn)是便于更新?lián)Q代。

2.軟件平臺(tái)。采用Windows 2003（主要使用Domain域控制器,集成DNS服務(wù)），Redhat 9.0，Solaris 9.0（在unix/linux上運(yùn)行Oracle數(shù)據(jù)庫，SAP/R3系統(tǒng)，基于Lotus Domino/Notes的OA系統(tǒng)）

3.數(shù)據(jù)庫系統(tǒng)。采用Oracle大型數(shù)據(jù)庫，或SQL Server2000數(shù)據(jù)庫。

4.OA辦公系統(tǒng)。基于Lotus Domino/Notes的OA系統(tǒng)，Lotus Domino集成Email/HTTP等服務(wù)。

5.企業(yè)管理綜合軟件ERP。采用SAP/R3系統(tǒng)，一步解決未來企業(yè)國際化問題；或是用友ERP—U8系統(tǒng)。

6.網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)。

五、網(wǎng)絡(luò)系統(tǒng)管理

1.交換機(jī)、路由器管理。設(shè)備均是Cisco產(chǎn)品，使用Cisco Works 2000。

2.網(wǎng)絡(luò)綜合管理。HP OpenView集成網(wǎng)絡(luò)管理和系統(tǒng)管理。OpenView 實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)作從被動(dòng)無序到主動(dòng)控制的過渡，使IT部門及時(shí)了解整個(gè)網(wǎng)絡(luò)當(dāng)前的真實(shí)狀況，實(shí)現(xiàn)主動(dòng)控制。OpenView系統(tǒng)產(chǎn)品包括了統(tǒng)一管理平臺(tái)、全面的服務(wù)和資產(chǎn)管理、網(wǎng)絡(luò)安全、服務(wù)質(zhì)量保障、故障自動(dòng)監(jiān)測和處理、設(shè)備搜索、網(wǎng)絡(luò)存儲(chǔ)、智能代理、Internet環(huán)境的開放式服務(wù)等豐富的功能特性。

3.桌面系統(tǒng)管理。LanDesk工作站配置和管理工具，利用它的遠(yuǎn)程控制、遠(yuǎn)程軟件分發(fā)和軟件計(jì)量功能可以節(jié)省大量的時(shí)間。本方案是一個(gè)典型的大型企業(yè)網(wǎng)絡(luò)工程解決方案，實(shí)際工程可以根據(jù)需要和可能，參照此方案靈活應(yīng)用。

一、企業(yè)網(wǎng)絡(luò)設(shè)計(jì)

（1）主干網(wǎng)設(shè)計(jì)

采用千兆以太網(wǎng)技術(shù)。千兆以太網(wǎng)技術(shù)特點(diǎn)是具有高速數(shù)據(jù)傳輸帶寬，基本能滿足高速交換及多媒體對(duì)服務(wù)質(zhì)量的要求。易于網(wǎng)絡(luò)升級(jí)、易于維護(hù)、易于管理，具有良好的價(jià)格比。

傳輸介質(zhì)。千兆傳輸距離500m以內(nèi)采用50/125多模光纜；千兆傳輸距離大于500m、小于5000m時(shí)采用9/125單模光纜；百兆傳輸距離2000m以內(nèi)采用50/125多模光纜；百兆傳輸距離大于2000m采用9/125單模光纜。

交換機(jī)。主干交換機(jī)的基本要求：機(jī)箱式結(jié)構(gòu)，便于擴(kuò)展；支持多種網(wǎng)絡(luò)方式，如快速以太網(wǎng)、千兆以太網(wǎng)等；高性能，高背板帶寬及中心交換吞吐量；支持第二、第三交換，支持各種IP應(yīng)用；高可靠性設(shè)計(jì)，如多電源/管理模塊、熱插拔；豐富的可管理能力等。

中心機(jī)房配置企業(yè)級(jí)交換機(jī)作為網(wǎng)絡(luò)中心交換機(jī)。為實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)管理和虛擬局域網(wǎng)，在中心交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊。主干各結(jié)點(diǎn)采用1000Mbps連接，服務(wù)器采用雙網(wǎng)卡鏈路聚合200Mbps連接，客戶采用交換式10/1000Mbps連接。

（2）樓宇內(nèi)局域網(wǎng)設(shè)計(jì)

要求采用支持802.1Q的10/100Mbps工作組以太網(wǎng)交換機(jī)，交換機(jī)的數(shù)據(jù)依據(jù)用戶端口數(shù)、可靠性及網(wǎng)管要求配置網(wǎng)絡(luò)接入交換機(jī)，使10/100Mbps流量接至桌面。

（3）接入Internet設(shè)計(jì)

Internet接入系統(tǒng)由位于網(wǎng)絡(luò)中心的非軍事區(qū)（DMZ）交換機(jī)、WWW服務(wù)、E-mail服務(wù)、防火墻、路由器、Internet光纖接入組成。

（4）虛擬局域網(wǎng)VLAN設(shè)計(jì)

通過VLAN將相同業(yè)務(wù)的用戶劃分在一個(gè)邏輯子網(wǎng)內(nèi)，既可以防止不同業(yè)務(wù)的用戶非法監(jiān)聽保密信息、又可隔離廣播風(fēng)暴。不同子網(wǎng)的通信采用三層路由交換完成。

各工作組交換機(jī)采用基于端口的VLAN劃分策略，劃分出多個(gè)不同的VLAN組，分隔廣播域。每個(gè)VLAN是一個(gè)子網(wǎng)，由子網(wǎng)中信息點(diǎn)的數(shù)量確定子網(wǎng)的大小。

同樣在千兆/百兆以太網(wǎng)上聯(lián)端口上設(shè)置802.1Q協(xié)議，設(shè)置通信干道(Truck)，將每個(gè)VLAN的數(shù)據(jù)流量添加標(biāo)記，轉(zhuǎn)發(fā)到主干交換機(jī)上實(shí)現(xiàn)網(wǎng)絡(luò)多層交換。

（5）虛擬專用網(wǎng)VPN設(shè)計(jì)

如果公司跨地區(qū)經(jīng)營，自己鋪設(shè)專線不劃算，可以通過Internet采用VPN數(shù)據(jù)加密技術(shù)，構(gòu)成企業(yè)內(nèi)部虛擬專用網(wǎng)。

（6）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。這部分待續(xù)

二、網(wǎng)絡(luò)安全性設(shè)計(jì)

網(wǎng)絡(luò)系統(tǒng)的可靠與安全問題：

a.物理信息安全，主要防止物理通路的損壞和對(duì)物理通路的攻擊（干擾等）。

b.鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被GG。主要采用劃分VLAN、加密通信等手段。

c.網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽。

d.操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。

e.應(yīng)用平臺(tái)的安全要求保證應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)、電子郵件服務(wù)器、Web服務(wù)器、ERP服務(wù)器的安全。

（1）物理安全

機(jī)房要上鎖，出入人員要嚴(yán)加限制。注意不可讓人從天花板、窗戶進(jìn)入房間。

機(jī)房電力要充足、制冷要合適，環(huán)境要清潔。

從工作站到配線柜的配線應(yīng)該布在偷聽設(shè)備接觸不到的地方。配線不應(yīng)該直接布在地板或天花板上，而應(yīng)該隱藏在線槽或其他管道里。

應(yīng)該包括諸如火災(zāi)、水災(zāi)等自然災(zāi)害后的恢復(fù)流程。如美國911世貿(mào)中心崩塌，大多數(shù)公司的數(shù)據(jù)得不到恢復(fù)。

（2）防火墻

防火墻應(yīng)具管理簡單、功能先進(jìn)等特點(diǎn)，并且能夠保證對(duì)所有系統(tǒng)實(shí)施“防彈”保護(hù)。一個(gè)優(yōu)秀的防火墻具有內(nèi)網(wǎng)保護(hù)、靈活的部署、非軍事區(qū)（DMZ）范圍的保護(hù)、TCP狀態(tài)提醒、包過濾技術(shù)、TCP/IP堆棧保護(hù)、網(wǎng)絡(luò)地址翻譯、VPN等功能。

（3）網(wǎng)絡(luò)病毒

在網(wǎng)絡(luò)中心主機(jī)安裝一臺(tái)網(wǎng)絡(luò)病毒控制中心服務(wù)器，該服務(wù)器既要與Internet相連，又要與企業(yè)內(nèi)網(wǎng)相連。該服務(wù)器通過Internet每每更病毒代碼及相關(guān)文件，企業(yè)內(nèi)部網(wǎng)絡(luò)中的服務(wù)器、客戶時(shí)刻處于網(wǎng)絡(luò)病毒控制中心服務(wù)的監(jiān)控下，更新本機(jī)的病毒代碼庫及相文件，對(duì)計(jì)算機(jī)的所有文件和內(nèi)存實(shí)施動(dòng)態(tài)、實(shí)時(shí)、定時(shí)等多種病毒防殺策略，以確保網(wǎng)絡(luò)系統(tǒng)安全。

（4）網(wǎng)絡(luò)容錯(cuò)

集群技術(shù)。一個(gè)服務(wù)器集群包含多臺(tái)擁有共享數(shù)據(jù)存儲(chǔ)空間的服務(wù)器，各服務(wù)器之間通過內(nèi)部局域網(wǎng)進(jìn)行相互通信。當(dāng)其中一臺(tái)服務(wù)器發(fā)生故障時(shí)，它所運(yùn)行的應(yīng)用程序?qū)⒂善渌姆?wù)器自動(dòng)接管。在大多數(shù)情況下，集群中所有的計(jì)算機(jī)都擁有一個(gè)共同的名稱，集群系統(tǒng)內(nèi)任意一臺(tái)服務(wù)器都可被所有的網(wǎng)絡(luò)用戶所使用。

（5）安全備份與災(zāi)難恢復(fù)

企業(yè)信息管理最重要的資產(chǎn)不是網(wǎng)絡(luò)硬件，而是網(wǎng)絡(luò)運(yùn)行的數(shù)據(jù)。

理想的備份系統(tǒng)是在軟件備份的基礎(chǔ)上增加硬件容錯(cuò)系統(tǒng)，使網(wǎng)絡(luò)更加安全可靠。實(shí)際上，備份不僅僅是文件備份，而是整個(gè)網(wǎng)絡(luò)的一套備份體系。備份應(yīng)包括文件備份和恢復(fù)，數(shù)據(jù)庫備份和恢復(fù)、系統(tǒng)災(zāi)難恢復(fù)和備份任務(wù)管理。

（6）網(wǎng)絡(luò)入侵檢測、報(bào)警、審計(jì)技術(shù)

入侵檢測系統(tǒng)（IDS-Intrusin Detection System）執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。

常見的IDS產(chǎn)品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網(wǎng)安、東軟的網(wǎng)眼等。

（7）局域網(wǎng)信息的安全保護(hù)技術(shù)

密碼采用9位以上，每周修改1次

采用多層交換網(wǎng)絡(luò)的虛擬網(wǎng)劃分技術(shù)，防止在內(nèi)部網(wǎng)監(jiān)聽數(shù)據(jù)

采用NTFS磁盤分區(qū)加密技術(shù)，使網(wǎng)上鄰居只能是信任用戶

采用Windows域控制技術(shù)，對(duì)網(wǎng)絡(luò)資源實(shí)行統(tǒng)一管理

采用SAN（Storage Area Network存儲(chǔ)區(qū)域網(wǎng)絡(luò)）與NAS（Network Attached Storage網(wǎng)絡(luò)連接存儲(chǔ)）保護(hù)數(shù)據(jù)。

SAN技術(shù)允許將獨(dú)立的存儲(chǔ)設(shè)備連接至一臺(tái)或多臺(tái)服務(wù)器，專用于服務(wù)器，而服務(wù)器則控制了網(wǎng)絡(luò)其他部分對(duì)它的訪問。

NAS將存儲(chǔ)設(shè)備直接連接至網(wǎng)絡(luò)，使網(wǎng)絡(luò)中的用戶和網(wǎng)絡(luò)服務(wù)器可以共享此設(shè)備，網(wǎng)絡(luò)對(duì)存儲(chǔ)設(shè)備的訪問則由文件管理器這一類設(shè)備進(jìn)行管理。

利用SAN結(jié)合集群技術(shù)提高系統(tǒng)可靠性、可擴(kuò)充性和抗災(zāi)難性；利用NAS文件服務(wù)統(tǒng)一存放管理全公司桌面系統(tǒng)數(shù)據(jù)。

（8）網(wǎng)絡(luò)代理

采用Proxy對(duì)訪問Internet實(shí)行統(tǒng)一監(jiān)控。限制用戶訪問的時(shí)間、訪問的內(nèi)容、訪問的網(wǎng)址、訪問的協(xié)議等等，同時(shí)對(duì)用戶的訪問進(jìn)行審計(jì)。

（9）郵件過濾技術(shù)。

采用具有過濾技術(shù)郵件管理系統(tǒng)，一般是針對(duì)“主題詞”、“關(guān)鍵字”、“地址（IP、域名）”等信息過濾，防止非法信息的侵入。

（10）重視網(wǎng)絡(luò)安全的教育，提高安全意識(shí)。

三、綜合布線與機(jī)房設(shè)計(jì)

1.把服務(wù)器、UPS、防火墻、路由器及中心交換機(jī)放置在中心機(jī)房，把各子系統(tǒng)的配線柜設(shè)置在各子系統(tǒng)所在的樓層。

2.樓宇間光纜敷設(shè)

采用4芯以上的單?；蚨嗄Ｊ彝饨饘俟饫|架空或埋地敷設(shè)。

3.樓宇內(nèi)UTP布線

采用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實(shí)現(xiàn)垂直系統(tǒng)、水平子系統(tǒng)、工作區(qū)的布線。

4.機(jī)房裝修

（1）地板。鋪設(shè)抗靜電三防地板，規(guī)格600*600*27，板面標(biāo)高0.20m，地板應(yīng)符合GB6650-82《計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件》

（2）吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。

（3）墻面。涂刮防防瓷、墻壁面刷乳膠漆。

（4）窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾。

（5）出入門。安裝鋁合金玻璃隔斷推拉門。

（6）照明。采用高效格柵雙管日光燈嵌入安裝。

（7）配電。機(jī)房配電采用三相五線制，多種電源（動(dòng)力三相380V、普通220V和UPS輸出220V）配電箱。為UPS、空調(diào)機(jī)、照明等供電。配電箱設(shè)有空氣開關(guān)，線路全部用銅芯穿PVC管。

（8）接地。根據(jù)要求設(shè)計(jì)接地系統(tǒng)，其直流接地電阻小于1Ω、工作保護(hù)地和防雷地接地電阻小于4Ω。為保證優(yōu)良的接地性能，采用JD—1型接地和化學(xué)降阻劑，此外，考慮機(jī)房抗靜電的需求，對(duì)抗靜電活動(dòng)地板進(jìn)行可靠的接地處理，以保證設(shè)備和工作人員的安全要求。

（9）空調(diào)。主機(jī)房3P柜機(jī)；分機(jī)房1.5壁掛式空調(diào)機(jī)。

5.UPS后備電源。

采用分散保護(hù)，集中管理電源的策略，考慮APC公司提供的電源解決方案。

四、企業(yè)網(wǎng)應(yīng)用系統(tǒng)

1.應(yīng)用服務(wù)器。IBM服務(wù)器首選，當(dāng)然，也可以采用高檔PC機(jī)，PC機(jī)的優(yōu)點(diǎn)是便于更新?lián)Q代。

2.軟件平臺(tái)。采用Windows 2003（主要使用Domain域控制器,集成DNS服務(wù)），Redhat 9.0，Solaris 9.0（在unix/linux上運(yùn)行Oracle數(shù)據(jù)庫，SAP/R3系統(tǒng)，基于Lotus Domino/Notes的OA系統(tǒng)）

3.數(shù)據(jù)庫系統(tǒng)。采用Oracle大型數(shù)據(jù)庫，或SQL Server2000數(shù)據(jù)庫。

4.OA辦公系統(tǒng)。基于Lotus Domino/Notes的OA系統(tǒng)，Lotus Domino集成Email/HTTP等服務(wù)。

5.企業(yè)管理綜合軟件ERP。采用SAP/R3系統(tǒng)，一步解決未來企業(yè)國際化問題；或是用友ERP—U8系統(tǒng)。

6.網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)。

五、網(wǎng)絡(luò)系統(tǒng)管理

1.交換機(jī)、路由器管理。設(shè)備均是Cisco產(chǎn)品，使用Cisco Works 2000。

2.網(wǎng)絡(luò)綜合管理。HP OpenView集成網(wǎng)絡(luò)管理和系統(tǒng)管理。OpenView 實(shí)現(xiàn)了網(wǎng)絡(luò)運(yùn)作從被動(dòng)無序到主動(dòng)控制的過渡，使IT部門及時(shí)了解整個(gè)網(wǎng)絡(luò)當(dāng)前的真實(shí)狀況，實(shí)現(xiàn)主動(dòng)控制。OpenView系統(tǒng)產(chǎn)品包括了統(tǒng)一管理平臺(tái)、全面的服務(wù)和資產(chǎn)管理、網(wǎng)絡(luò)安全、服務(wù)質(zhì)量保障、故障自動(dòng)監(jiān)測和處理、設(shè)備搜索、網(wǎng)絡(luò)存儲(chǔ)、智能代理、Internet環(huán)境的開放式服務(wù)等豐富的功能特性。

3.桌面系統(tǒng)管理。LanDesk工作站配置和管理工具，利用它的遠(yuǎn)程控制、遠(yuǎn)程軟件分發(fā)和軟件計(jì)量功能可以節(jié)省大量的時(shí)間。