第一篇：政府網(wǎng)絡(luò)安全方案和企業(yè)網(wǎng)絡(luò)安全解決方案（大全）

政府網(wǎng)絡(luò)安全方案和企業(yè)網(wǎng)絡(luò)安全解決方案

關(guān)鍵詞：政府網(wǎng)絡(luò)安全方案政府網(wǎng)絡(luò)安全解決方案企業(yè)安全解決方案企業(yè)網(wǎng)絡(luò)安全方案企業(yè)信息化解決方案

概述

隨著信息網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)資源共享的進(jìn)一步加強(qiáng)，如何利用信息網(wǎng)絡(luò)進(jìn)行安全通信的同時又要保護(hù)網(wǎng)絡(luò)信息的安全，成為網(wǎng)絡(luò)建設(shè)中迫在眉睫的問題。目前政府機(jī)關(guān)和企業(yè)的各種業(yè)務(wù)工作對信息網(wǎng)絡(luò)的依賴性越來越強(qiáng)，對信息網(wǎng)絡(luò)安全的要求也越來越高，如果不能解決，勢必將影響到政府機(jī)關(guān)和企業(yè)的信息網(wǎng)絡(luò)化建設(shè)的發(fā)展和生存。目前政府機(jī)關(guān)網(wǎng)絡(luò)存在如下幾方面的問題：

?內(nèi)部網(wǎng)絡(luò)的辦公信息和國家機(jī)密的泄漏。

?內(nèi)部網(wǎng)絡(luò)資源的權(quán)限訪問控制。

?網(wǎng)絡(luò)被外部非法入侵，造成網(wǎng)絡(luò)性能下降或服務(wù)中斷。

?政府對外網(wǎng)站被篡改、破壞，嚴(yán)重影響政府形象。

?政府網(wǎng)絡(luò)被病毒、木馬所感染。

國家保密局2000年1月1日起頒布實施的《計算機(jī)信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》對國家機(jī)要部門使用互聯(lián)網(wǎng)規(guī)定如下：

“涉及國家秘密的計算機(jī)信息系統(tǒng)，不得直接或間接的與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實行”物理隔離“。

防火墻也是一種被人們廣泛使用的連接互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全設(shè)備。然而，人們常常發(fā)現(xiàn)被防火墻防護(hù)的網(wǎng)絡(luò)依然常常被黑客和病毒攻擊?，F(xiàn)在有很多網(wǎng)絡(luò)攻擊都是發(fā)生在有防火墻的情況下。有關(guān)防火墻的弊病以及與網(wǎng)絡(luò)安全隔離網(wǎng)閘的區(qū)別請參閱我公司網(wǎng)站的技術(shù)專欄文章《物理隔離網(wǎng)閘與防火墻的對比》。

物理隔離卡是另一種常用的解決方案。采用物理隔離卡進(jìn)行隔離。有關(guān)隔離卡的弊病可參閱我公司網(wǎng)站的技術(shù)文章《物理隔離網(wǎng)閘與隔離卡的對比》

北京數(shù)碼星辰科技有限公司研制的網(wǎng)絡(luò)安全物理隔離裝置就是為解決政府和企業(yè)所面臨的各種網(wǎng)絡(luò)安全和信息安全問題，專門設(shè)計了針對不同網(wǎng)絡(luò)安全要求的政府網(wǎng)絡(luò)安全解決方案和企業(yè)安全解決方案。這些解決方案使用宇宙盾網(wǎng)絡(luò)安全隔離與信息交換系列產(chǎn)品。網(wǎng)絡(luò)安全隔離與信息交換系列產(chǎn)品的設(shè)計遵循高安全性、高可靠性和方便用戶的原則進(jìn)行設(shè)計。同時把保護(hù)網(wǎng)絡(luò)和設(shè)備的絕對安全作為最高的設(shè)計準(zhǔn)則。”千里之堤潰于蟻穴“，一個防護(hù)再嚴(yán)密的網(wǎng)絡(luò)安全裝置，如果有一個漏洞被忽略就會使整個安全防護(hù)系統(tǒng)崩潰。數(shù)碼星辰清楚地認(rèn)識到 這一問題的重要性和嚴(yán)重性，率先提出了”整體安全防護(hù)技術(shù)“新理念。在系統(tǒng)硬件、操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、訪問控制以及用戶界面等所有的層次均進(jìn)行了安全設(shè)計，形成了一個完整的、無懈可擊的網(wǎng)絡(luò)安全設(shè)備。這一理念不僅僅考慮了來自網(wǎng)絡(luò)的攻擊和破壞，而且也考慮了來自非網(wǎng)絡(luò)的破壞。其中對于防止國外芯片”后門"、操作系統(tǒng)防加載技術(shù)、防止用戶界面的攻擊等等均是基于這一理念的獨特的設(shè)計思路。這一獨創(chuàng)的設(shè)計理念，使得網(wǎng)絡(luò)安全防護(hù)的安全度提升到

了一個無可比擬的新高度。宇宙盾網(wǎng)絡(luò)隔離網(wǎng)閘系列產(chǎn)品分別獲得公安部、和國家保密局的認(rèn)證。

如您需要進(jìn)一步的幫助，請撥打010-82896300，我們的技術(shù)人員將根據(jù)您的具體要求，為您制定符合您要求的網(wǎng)絡(luò)安全解決方案和信息安全解決方案。

第二篇：企業(yè)網(wǎng)絡(luò)安全解決方案畢業(yè)論文

婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

宏錦網(wǎng)絡(luò)有限公司 企業(yè)網(wǎng)絡(luò)安全解決方案

摘 要

近幾年來，Internet技術(shù)日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過渡。這些都促使了計算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。因此本論文為企業(yè)（宏錦企業(yè)網(wǎng)絡(luò)）構(gòu)架網(wǎng)絡(luò)安全體系，主要運用vlan劃分、防火墻技術(shù)、vpn、病毒防護(hù)等技術(shù)，來實現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。

關(guān)鍵詞： 網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒

I

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus

II

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

目 錄

緒 論....................................................................................................................................................................1 第一章 企業(yè)網(wǎng)絡(luò)安全概述...................................................................................................................................2 1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患.......................................................................................................................2

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)...............................................................................................................................2 第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企業(yè)網(wǎng)絡(luò)安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu).............................................................................................................................................5 第三章 企業(yè)網(wǎng)絡(luò)安全解決實施...........................................................................................................................6 3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全.............................................................................................................................6 3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分............................................................................................................................7 3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置.........................................................................................................................9 3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置...........................................................................................................................12 3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施.......................................................................................................................13 第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理.............................................................................................................................16 4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問題........................................................................................................................16 4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實施...........................................................................................................................16 總 結(jié)..................................................................................................................................................................18 致 謝..................................................................................................................................................................19 參考文獻(xiàn)...............................................................................................................................................................20

III

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

緒 論

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計算機(jī)網(wǎng)絡(luò)和計算機(jī)應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動的始終。

網(wǎng)絡(luò)安全問題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說，有網(wǎng)絡(luò)的地方就存在網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類的網(wǎng)絡(luò)安全事件，目前主要是通過網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r每刻都在發(fā)生，遍及全球。除此之外，像惡意軟件入侵、攻擊，用戶的非法訪問和操作，用戶郵件的非法截取和更改等都是普遍存在的安全事實。網(wǎng)絡(luò)安全事件所帶來的危害，相信我們每個計算機(jī)用戶都或多或少地親身體驗過一些：輕則使電腦系統(tǒng)運行不正常，重則使整個計算機(jī)系統(tǒng)中的磁盤數(shù)據(jù)全部覆滅，甚至導(dǎo)致磁盤、計算機(jī)等硬件的損壞。

為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個計算機(jī)用戶，特別是企業(yè)網(wǎng)絡(luò)用戶，必須采取足夠的安全防范措施，甚至可以說要在利益均衡情況下不惜一切代價。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實施是一項系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對來自內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來的安全隱患有足夠的重視，不能孤立地看待任何一個安全隱患和安全措施。因為這些安全隱患爆發(fā)的途徑可以是多方面的，而許多安全措施都是相輔相成的。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

第一章 企業(yè)網(wǎng)絡(luò)安全概述

1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患

現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問，同時企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因為內(nèi)部中實施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來源主要包括。

1)病毒、木馬和惡意軟件的入侵。2)網(wǎng)絡(luò)黑客的攻擊。

3)重要文件或郵件的非法竊取、訪問與操作。4)關(guān)鍵部門的非法訪問和敏感信息外泄。5)外網(wǎng)的非法入侵。

6)備份數(shù)據(jù)和存儲媒體的損壞、丟失。

針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項安全措施，及時安裝系統(tǒng)安全補(bǔ)丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實行“最小權(quán)限”原則，為各個用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時對一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。

1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)

(一)安裝防火墻就安全了

防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。

防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓，而事實上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

(二)安裝了最新的殺毒軟件就不怕病毒了

安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。

(三)在每臺計算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效

網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺服務(wù)器上通過安全中心控制整個網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡(luò)的病毒。同時對于整個網(wǎng)絡(luò)，管理非常方便，對于單機(jī)版是不可能做到的。

(四)只要不上網(wǎng)就不會中毒

雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機(jī)開著，就要防范病毒。

(五)文件設(shè)置只讀就可以避免感染病毒

設(shè)置只讀只是調(diào)用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

(六)網(wǎng)絡(luò)安全主要來自外部

基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

2.1 公司背景

宏錦網(wǎng)絡(luò)有限公司是一家有100名員工的中小型網(wǎng)絡(luò)公司，主要以手機(jī)應(yīng)用開發(fā)為主營項目的軟件企業(yè)。公司有一個局域網(wǎng)，約100臺計算機(jī)，服務(wù)器的操作系統(tǒng)是 Windows Server 2003,客戶機(jī)的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機(jī)辦公。公司對網(wǎng)絡(luò)的依賴性很強(qiáng)，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。

2.2 企業(yè)網(wǎng)絡(luò)安全需求

宏錦網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：

（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性

（4）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5）防范入侵者的惡意攻擊與破壞

（6）保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實現(xiàn)網(wǎng)絡(luò)的安全管理。

2.3 需求分析

通過了解宏錦網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實現(xiàn)宏錦網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設(shè)計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機(jī)加以保護(hù)，記錄用戶對客戶端計算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機(jī)的使用

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

情況進(jìn)行追蹤，防范外來計算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要

（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系

（4）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5）安裝防病毒服務(wù)器（6）加強(qiáng)企業(yè)對網(wǎng)絡(luò)資源的管理

2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

宏錦網(wǎng)絡(luò)公司網(wǎng)絡(luò)拓?fù)鋱D，如圖2-1所示:

圖2-1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

由于宏錦網(wǎng)絡(luò)公司是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換，分別給客戶機(jī)端的地址為10.1.1.0 255.255.255.0。防火墻接客戶區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主要有各類的服務(wù)器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺2層交換機(jī)做接入。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

第三章 企業(yè)網(wǎng)絡(luò)安全解決實施

3.1 宏錦網(wǎng)絡(luò)企業(yè)物理安全

宏錦企業(yè)網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計算機(jī)犯罪行為導(dǎo)致的破壞。

針對宏錦網(wǎng)絡(luò)企業(yè)的物理安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計劃等。物理安全在整個計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個方面： 1)保證機(jī)房環(huán)境安全

信息系統(tǒng)中的計算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。要從一下三個方面考慮：a.自然災(zāi)害、物理損壞和設(shè)備故障 b.電磁輻射、乘機(jī)而入、痕跡泄漏等 c.操作失誤、意外疏漏等 2)選用合適的傳輸介質(zhì)

屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。

光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3)保證供電安全可靠

計算機(jī)和網(wǎng)絡(luò)主干設(shè)備對交流電源的質(zhì)量要求十分嚴(yán)格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計既要滿足設(shè)備自身運轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運行的可靠性，保證設(shè)備的設(shè)計壽命保證信息安全保證機(jī)房人員的工作環(huán)境。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

3.2宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分

VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以宏錦網(wǎng)絡(luò)有限公司網(wǎng)絡(luò)中按部門進(jìn)行了VLAN劃分，劃分為以下兩個VLAN：

財務(wù)部門 VLAN 10

交換機(jī)S1接入交換機(jī)（神州數(shù)碼DCS-3950）業(yè)務(wù)部門 VLAN 20

交換機(jī)S2接入交換機(jī)（神州數(shù)碼DCS-3950）核心交換機(jī) VLAN間路由 核心交換機(jī)S3（神州數(shù)碼DCRS-5526）S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏錦企業(yè)網(wǎng)絡(luò)防火墻配置

宏錦企業(yè)網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。以下為配置過程：

在防火墻NAT策略下面，新增NAT。如圖3-1:

圖3-1 新增企業(yè)防火墻策略示意圖

源域：untrust； 源地址對象：any； 目的域：trust； 目的地址對象：any；

在全局安全策略設(shè)置里面如圖3-2和圖3-3所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

圖3-2企業(yè)防火墻策略配置示意圖

圖 3-3 企業(yè)防火墻策略配置示意圖

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

圖3-4企業(yè)防火墻策略配置示意圖

可以設(shè)置全局下面訪問策略，以及域內(nèi)和域間的訪問策略。這里我們設(shè)置，內(nèi)部網(wǎng)絡(luò)為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務(wù)器區(qū)域為DMZ區(qū)域。動作包括permit允許，拒絕deny，以及其他的特定的服務(wù)。這里允許內(nèi)部訪問外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪問內(nèi)部。但是處于中間位置的DMZ可以允許Inteneter的訪問。所以要添加好幾條NAT策略。

在網(wǎng)絡(luò)接口處如圖3-5所示:

圖3-5 網(wǎng)絡(luò)接口處配置示意圖

要配置3個以太網(wǎng)接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網(wǎng)的eth0工作模式為路由模式，其余接DMZ和內(nèi)部的都為NAT模式。如圖3-6所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

圖3-6 以太網(wǎng)接口配置示意圖

同時為他們配好相應(yīng)的網(wǎng)絡(luò)地址，eth0為58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。

3.4 宏錦企業(yè)網(wǎng)絡(luò)VPN配置

宏錦企業(yè)網(wǎng)絡(luò)的VPN功能主要也是通過上面的防火墻實現(xiàn)的。如圖3-7,圖3-8所示:

圖3-7 PPTP協(xié)議示意圖

圖3-8 PPTP示意圖

這里我們使用PPTP協(xié)議來實現(xiàn)VPN，首先是新增PPTP地址池，范圍為192.168.20.150-192.168.20.240 如圖3-9所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

圖3-9 PPTP協(xié)議實現(xiàn)VPN示意圖

在PPTP設(shè)置里面，選擇Chap加密認(rèn)證，加密方式mppe-128。DNS分別為61.177.7.1，MTU為500。

3.5 宏錦企業(yè)網(wǎng)絡(luò)防病毒措施

針對宏錦企業(yè)網(wǎng)絡(luò)的現(xiàn)狀，在綜合考慮了公司對防病毒系統(tǒng)的性能要求、成本和安全性以后，我選用江民殺毒軟件KV網(wǎng)絡(luò)版來在內(nèi)網(wǎng)中進(jìn)行防病毒系統(tǒng)的建立。產(chǎn)品特點: KV網(wǎng)絡(luò)版是為各種簡單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計的計算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同城市，包含數(shù)十萬臺主機(jī)的超大型網(wǎng)絡(luò)。KV網(wǎng)絡(luò)版具有以下顯著特點：

(1)先進(jìn)的體系結(jié)構(gòu)(2)超強(qiáng)的殺毒能力(3)完備的遠(yuǎn)程控制(4)方便的分級、分組管理

宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版的主控制中心部署在DMZ服務(wù)器區(qū)，子控制中心部署在3層交換機(jī)的一臺服務(wù)器上。

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-10所示:

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

圖3-10 主控制中心部署圖

子控制中心與主控制中心關(guān)系: 控制中心負(fù)責(zé)整個KV網(wǎng)絡(luò)版的管理與控制，是整個KV網(wǎng)絡(luò)版的核心，在部署KV網(wǎng)絡(luò)時，必須首先安裝。除了對網(wǎng)絡(luò)中的計算機(jī)進(jìn)行日常的管理與控制外，它還實時地記錄著KV網(wǎng)絡(luò)版防護(hù)體系內(nèi)每臺計算機(jī)上的病毒監(jiān)控、查殺病毒和升級等信息。在1個網(wǎng)段內(nèi)僅允許安裝1臺控制中心。根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負(fù)責(zé)與它的上級——主控制中心進(jìn)行通信。這里的“主”和“子”是一個 相對的概念：每個控制中心對于它的下級的網(wǎng)段來說都是主控制中心，對于它的上級的網(wǎng)段來說又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無限的延伸下去。

為宏錦企業(yè)網(wǎng)絡(luò)安裝好KV網(wǎng)絡(luò)版殺毒軟件后，為期配置軟件的安全策略。對宏錦企業(yè)客戶端計算機(jī)的KV軟件實現(xiàn)更為完善的遠(yuǎn)程控制功能，利用KV軟件控制中心的“策略設(shè)置”功能組來實現(xiàn)。在此功能中可以針對單一客戶端、邏輯組、全網(wǎng)進(jìn)行具有針對性的安全策略設(shè)置。在“策略設(shè)置”下拉菜單中，我們可以找到“掃描設(shè)置”、“反垃圾郵件”、“網(wǎng)址過濾”等與平時安全應(yīng)用密切相關(guān)的各項應(yīng)用配置選項，如圖3-11所示。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

圖3-11 “策略設(shè)置”命令菜單

為宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版殺毒軟件配置“掃描設(shè)置”，掃描設(shè)置可對當(dāng)前選擇的任意組或者任意節(jié)點的客戶端進(jìn)行更加細(xì)化的掃描設(shè)置。宏錦企業(yè)可以自己設(shè)定適合于自己網(wǎng)絡(luò)環(huán)境的掃描方案，針對不同的策略對不同的客戶端進(jìn)行分發(fā)不同的掃描命令?？梢韵掳l(fā)以下命令到節(jié)點計算機(jī)：掃描目標(biāo)，定時掃描，分類掃描，不掃描文件夾，掃描報告，簡單而實用的設(shè)置頁大大的增加了網(wǎng)絡(luò)管理的易用性。其中掃描目標(biāo)的設(shè)置界面如圖3-12所示。

圖3-12 掃描目標(biāo)配置

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

第四章 宏錦企業(yè)的網(wǎng)絡(luò)管理

4.1宏錦企業(yè)網(wǎng)絡(luò)管理的問題

（1）計算機(jī)軟、硬件數(shù)量無法確實掌握，盤點困難；（2）單位的計算機(jī)數(shù)量越來越多，無法集中管理；

（3）無法有效防止員工私裝軟件，造成非法版權(quán)使用威脅；（4）硬件設(shè)備私下挪用、竊取，造成財產(chǎn)損失；（5）使用者計算機(jī)IP隨易變更，造成故障頻傳；（6）軟件單機(jī)安裝浪費人力，應(yīng)用軟件版本不易控制；（7）重要資料遭非法拷貝，資料外泄，無法監(jiān)督；（8）設(shè)備故障或資源不足，無法事先得到預(yù)警；

（9）應(yīng)用軟件購買后，員工真正使用狀況如何，無從分析； 居高不下的信息化資源成本，不知如何改善。

4.2 宏錦企業(yè)網(wǎng)絡(luò)管理實施

針對宏錦企業(yè)網(wǎng)絡(luò)的需求，給企業(yè)安裝SmartIPVIew管理軟件實現(xiàn)宏錦企業(yè)網(wǎng)絡(luò)對公司內(nèi)部的設(shè)備以及IP網(wǎng)絡(luò)資源管理。實施步驟安裝SmartIPVIew管理軟件，運行軟件添加宏錦企業(yè)的IP網(wǎng)段如圖4-1.火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

圖4-1 添加企業(yè)IP網(wǎng)段

單擊確認(rèn)，添加宏錦企業(yè)內(nèi)部IP網(wǎng)段便于企業(yè)管理企業(yè)內(nèi)部用戶。對宏錦企業(yè)網(wǎng)絡(luò)內(nèi)部設(shè)備的管理如下圖4-2所示。

圖4-2 添加網(wǎng)絡(luò)設(shè)備

如圖4-2添加宏錦企業(yè)的網(wǎng)絡(luò)設(shè)備，以實現(xiàn)企業(yè)對內(nèi)部網(wǎng)絡(luò)設(shè)備的監(jiān)控和方便管理能有效的提高辦公效率。

SmartIPVIew管理軟件獨創(chuàng)的IP地址資源管理技術(shù)，通過保護(hù)IP地址資源的安全使用，以及對IP地址資源的回收再利用，使有限的IP地址資源得到合理合法的使用，從而可以保證整個網(wǎng)絡(luò)資源的有效利用和安全。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

總 結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從企業(yè)角度描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

致 謝

在這幾個多月的畢業(yè)設(shè)計中，我真誠的感謝老師的指導(dǎo)，在老師的幫助下我才順利的完成畢業(yè)設(shè)計。

做畢業(yè)實際就需要把平時學(xué)到的東西在復(fù)習(xí)一遍，因為平時上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖然也做很多實驗，但當(dāng)把畢業(yè)設(shè)計當(dāng)作一個實際的工程來做的時候就會發(fā)現(xiàn)很多的問題，這就需要老師的指導(dǎo)了，特別是老師讓我們在實訓(xùn)機(jī)房里面，直接就各個硬件進(jìn)行操作，這樣我們就不會空談就會做的更深層次。

所以很感謝老師的幫助，讓我更好的將理論和實踐相結(jié)合，最后完成了此次畢業(yè)設(shè)計，同時也為以后工作做了很好的準(zhǔn)備。

火龍果?整理 uml.org.cn 婁底職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計

參考文獻(xiàn)

[ 1 ] 王達(dá).網(wǎng)管員必讀—網(wǎng)絡(luò)安全.北京：機(jī)械工業(yè)出版社，2009． [ 2 ] 黃傳河.網(wǎng)絡(luò)規(guī)劃設(shè)計師教程.北京：機(jī)械工業(yè)出版社，2009． [ 3 ] 張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003 [ 4 ] 王衛(wèi)紅，李曉明.計算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng).北京：機(jī)械工業(yè)出版社，2009． [ 5 ] 易建勛.計算機(jī)網(wǎng)絡(luò)技術(shù).北京：人民郵電出版社，2007.[ 6 ] 揚(yáng)衛(wèi)東.網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計，2007.[ 7 ] 張千里，陳光英.網(wǎng)絡(luò)安全新技術(shù).北京：人民郵電出版社，2003 [ 8 ] 徐超汗.計算機(jī)網(wǎng)絡(luò)安全實用技術(shù)，電子工業(yè)出版社，2005年3月 [ 9 ] 萬博公司技術(shù)部.網(wǎng)絡(luò)系統(tǒng)集成行業(yè)使用方案,海洋出版社，2006年 [10 ] 高永強(qiáng)，郭世澤.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典.北京：人民郵電出版社，2003

火龍果?整理 uml.org.cn

第三篇：電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全概述

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如行政部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、政府機(jī)關(guān)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

網(wǎng)絡(luò)規(guī)劃

各級網(wǎng)絡(luò)

利用現(xiàn)有線路及網(wǎng)絡(luò)進(jìn)行完善擴(kuò)充，建成互聯(lián)互通、標(biāo)準(zhǔn)統(tǒng)一、結(jié)構(gòu)簡單、功能完善、安全可靠、高速實用、先進(jìn)穩(wěn)定的級別分明卻又統(tǒng)一的網(wǎng)絡(luò)。數(shù)據(jù)中心

建設(shè)集中的數(shù)據(jù)中心，對所有的信息資源、空間、信用等數(shù)據(jù)進(jìn)行集中存放、集中管理。為省及各市部門、單位的關(guān)鍵應(yīng)用及關(guān)鍵設(shè)施提供機(jī)房、安全管理與維護(hù)。網(wǎng)絡(luò)總體結(jié)構(gòu)

政府機(jī)構(gòu)從事的行業(yè)性質(zhì)是跟國家緊密聯(lián)系的，所涉及信息可以說都帶有機(jī)密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計算機(jī)病毒等。都將對政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對其網(wǎng)絡(luò)進(jìn)行專門安全設(shè)計。

所謂電子政務(wù)就是政府機(jī)構(gòu)運用現(xiàn)代計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服務(wù)的職能轉(zhuǎn)移到網(wǎng)絡(luò)上完成，同時實現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時間、空間和部門分隔的制約，向全社會提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的管理與服務(wù)。

實現(xiàn)電子政務(wù)的意義在于突破了傳統(tǒng)的工業(yè)時代“一站式”的政府辦公模式，建立了適應(yīng)網(wǎng)絡(luò)時代的“一網(wǎng)式”和“一表式”的新模式，開辟了推動社會信息化的新途徑，創(chuàng)造了政府實施產(chǎn)業(yè)政策的新手段。電子政務(wù)的出現(xiàn)有利于政府轉(zhuǎn)變職能，提高運作效率。

圖示：原有電子政務(wù)網(wǎng)絡(luò)情況

電子政務(wù)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)連接方式多樣，由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。非法進(jìn)入的攻擊者可能竊聽網(wǎng)絡(luò)上的信息、竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點等等。

因此在電子政務(wù)網(wǎng)絡(luò)的建設(shè)中，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)以確保網(wǎng)絡(luò)信息的安全可靠是非常必要的。

物理安全風(fēng)險分析

網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險主要有： ◆地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀滅；

◆電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失； ◆設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； ◆電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；

◆報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故。鏈路傳輸風(fēng)險分析

網(wǎng)絡(luò)安全不僅是入侵者到政府機(jī)關(guān)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。因此，對于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在鏈路上傳輸必須加密。并通過數(shù)字簽名及認(rèn)證技術(shù)來保障數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭?、機(jī)密性、可靠性及完整性。

遠(yuǎn)程辦公安全接入 目前，政府網(wǎng)絡(luò)應(yīng)用環(huán)境紛亂復(fù)雜，既有內(nèi)部的應(yīng)用如：內(nèi)部OA系統(tǒng)、文件共享、Email等應(yīng)用服務(wù)，又有眾多面向下屬單位、合作伙伴等對外的應(yīng)用。如何地有效解決遠(yuǎn)程用戶安全訪問網(wǎng)絡(luò)內(nèi)部資源？

虛擬專用網(wǎng)技術(shù)(VPN，Virtual PrivateNetwork)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。政府機(jī)關(guān)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機(jī)構(gòu)就可以互相傳遞信息。使用VPN有節(jié)約成本、擴(kuò)展性強(qiáng)、便于管理和實現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。根據(jù)國家有關(guān)規(guī)定，政府網(wǎng)絡(luò)可以通過現(xiàn)有公有平臺搭建自己的內(nèi)部網(wǎng)絡(luò)，但必須通過認(rèn)證和加密技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

單獨的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認(rèn)證，但它沒有很強(qiáng)的訪問控制功能，例如狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防DDoS攻擊等。在這種獨立的防火墻和VPN部署方式下，防火墻無法對VPN的數(shù)據(jù)流量進(jìn)行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。因此，在防火墻安全網(wǎng)關(guān)上集成VPN是當(dāng)前安全產(chǎn)品的發(fā)展趨勢，能提供一個靈活、高效、完整的安全方案。

集成VPN的防火墻安全網(wǎng)關(guān)的優(yōu)點是，它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此，當(dāng)前VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。

政府機(jī)關(guān)Intranet網(wǎng)絡(luò)建設(shè)的VPN連接方案，利用IPsec安全協(xié)議的VPN和加密能力，實現(xiàn)兩個或多個政府機(jī)關(guān)之間跨越因特網(wǎng)的政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)連接，實現(xiàn)了安全的政府機(jī)關(guān)內(nèi)部的數(shù)據(jù)通信。通過防火墻內(nèi)部策略控制體系，對VPN的數(shù)據(jù)可以進(jìn)行有效的控制和管理，使政府機(jī)關(guān)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴(kuò)展性和管理性。

圖示：政府機(jī)關(guān)Intranet網(wǎng)VPN解決方案

如上圖示，原始的數(shù)據(jù)經(jīng)過加密封裝在另外一個IP通道內(nèi)，通道頭部地址就是防火墻外部端口的IP地址，以實現(xiàn)在公網(wǎng)鏈路上的傳輸。利用高強(qiáng)度的、動態(tài)變換的密鑰來保證數(shù)據(jù)的安全，168位的3DES算法更提供了業(yè)界最高級別的安全防御體系，使政府機(jī)關(guān)的內(nèi)部數(shù)據(jù)可以無憂地在公網(wǎng)上傳輸，以達(dá)到政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。

網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析

（一）來自與公網(wǎng)互聯(lián)的安全威脅

如果政府內(nèi)部網(wǎng)絡(luò)與Internet公網(wǎng)有互連?；贗nternet公網(wǎng)的開放性、國際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅。因為，每天黑客都在試圖闖入Internet節(jié)點，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。政府行業(yè)內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機(jī)上都有涉密信息。

假如內(nèi)部網(wǎng)絡(luò)的一臺機(jī)器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。對于政府行業(yè)網(wǎng)絡(luò)系統(tǒng)，國家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間接與相連。

內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易遭到來自外部網(wǎng)絡(luò)不懷好意的入侵者的攻擊。如：

入侵者通過Sniffer等程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。

入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。

惡意攻擊：入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

（三）內(nèi)部局域網(wǎng)的安全威脅

據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部員工編些具有破壞力的程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對整體的網(wǎng)絡(luò)安全構(gòu)成很大的威脅。

系統(tǒng)的安全風(fēng)險分析

所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door（后門）。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應(yīng)用上，系統(tǒng)的安全程度跟對其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。

如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時間。因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小做出相應(yīng)的安全解決方案。

應(yīng)用的安全風(fēng)險分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。應(yīng)用的安全性也是動態(tài)的。這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。

（一）資源共享

政府網(wǎng)絡(luò)系統(tǒng)內(nèi)部必有自動化辦公系統(tǒng)。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件、打印機(jī)共享等。由此就可能存在著：員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略。

電子郵件系統(tǒng)

電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可通過拔號或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會，給系統(tǒng)帶來不安全因素。

病毒侵害

自從1983年世界上第一個計算機(jī)病毒出現(xiàn)以來，在20多年的時間里，計算機(jī)病毒已到了無孔不入的地步，有些甚至給我們造成了巨大的破壞。

隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計算機(jī)之間的遠(yuǎn)程控制越來越方便，傳輸文件也變得非?？旖荩驗槿绱?，病毒與黑客程序（木馬病毒）結(jié)合以后的危害更為嚴(yán)重，病毒的發(fā)作往往伴隨著用戶機(jī)密資料的丟失。病毒的傳播可能會具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。

由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識越來越容易獲得。同時，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個具有極強(qiáng)殺傷力的病毒程序。用戶通過網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡單的操作就可以生成破壞性的病毒。

網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺主機(jī)受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。

數(shù)據(jù)信息

數(shù)據(jù)安全對政府行業(yè)來說尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取，篡改?，F(xiàn)今很多先進(jìn)技術(shù)，黑客或一些工業(yè)間諜會通過一些手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息。也就造成的泄密。這對政府行業(yè)用戶來說，是決不允許的。

管理的安全風(fēng)險分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。

機(jī)房重地卻是任何都可以進(jìn)進(jìn)出出，來去自由。存有惡意的入侵者便有機(jī)會得到入侵的條件。

內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險。

管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。即除了從技術(shù)上下功夫外，還得依靠安全管理來實現(xiàn)。

防火墻系統(tǒng)設(shè)計方案

（一）防火墻系統(tǒng)

1、在各網(wǎng)絡(luò)出口處安裝曙光天羅防火墻。防火墻在這里首先起到網(wǎng)絡(luò)隔離、劃分不同安全域，進(jìn)行訪問控制的功能。通過防火墻的多網(wǎng)口結(jié)構(gòu)設(shè)計，控制授權(quán)合法用戶可以訪問到授權(quán)服務(wù)，而限制非授權(quán)的訪問。曙光天羅防火墻分為百兆和千兆兩個系列，可以根據(jù)各局內(nèi)部網(wǎng)的規(guī)模大小選擇適合自己的產(chǎn)品。

2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計異常的入侵檢測功能，實現(xiàn)了可擴(kuò)展的攻擊檢測庫，真正實現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊，可以自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，通知管理員調(diào)整控制規(guī)則，為整個網(wǎng)絡(luò)提供動態(tài)的網(wǎng)絡(luò)保護(hù)。

3、利用曙光天羅防火墻自帶的VPN功能，實現(xiàn)多級VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式：遠(yuǎn)程訪問虛擬網(wǎng)(撥號VPN)和政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對網(wǎng)關(guān)VPN)。如上圖所示，在省地市三級網(wǎng)絡(luò)出口處安裝曙光天羅防火墻，利用防火墻的VPN模塊，實現(xiàn)他們之間分層次的政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對網(wǎng)關(guān)VPN)；而對于一些規(guī)模比較小的區(qū)線或移動用戶，通過安裝VPN客戶端，實現(xiàn)遠(yuǎn)程訪問虛擬網(wǎng)(撥號VPN)，整個構(gòu)成一個安全的虛擬內(nèi)部局域網(wǎng)，保障電子政務(wù)網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸。

（二）防火墻的VPN功能

VPN是平衡Internet的適用性和價格優(yōu)勢的最有前途的新興通信手段之一。利用共享的IP網(wǎng)建立VPN連接，可以使服務(wù)對象減少對昂貴租用線路和復(fù)雜遠(yuǎn)程訪問方案的依賴性。

也是至關(guān)重要的一點，它可以使移動用戶和一些小型的分支機(jī)構(gòu)的網(wǎng)絡(luò)開銷減少達(dá)50%或更多；

政府機(jī)關(guān)新增的分支機(jī)構(gòu)或站點可以非常迅速方便地加入政府機(jī)關(guān)已建的基于VPN的INTRANET，所以VPN的可擴(kuò)展性大大優(yōu)于傳統(tǒng)構(gòu)建政府機(jī)關(guān)INTRANET的技術(shù)手段，如點對點專線或長途撥號；

VPN不僅可以大幅度削減傳輸數(shù)據(jù)的開銷，同時可以削減傳輸話音的開銷；

VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機(jī)會，包括：進(jìn)行全球電子商務(wù)，可以在減少銷售成本的同時增加銷售量；實現(xiàn)外連網(wǎng)，可以使用戶獲得關(guān)鍵的信息，更加貼近世界；可以訪問全球任何角落的電子通勤人員和移動用戶。

在當(dāng)今全球激烈競爭的環(huán)境下，最先實現(xiàn)VPN的政府機(jī)關(guān)將在競爭獲得優(yōu)勢已經(jīng)是不爭的事實，許多政府機(jī)關(guān)也開始紛紛利用經(jīng)濟(jì)有效的VPN來傳送話音業(yè)務(wù)，并從中受益：

◆ 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費用，簡化網(wǎng)絡(luò)； ◆ 實現(xiàn)本地?fù)芴柦尤氲墓δ軄砣〈h(yuǎn)距離接入，這樣能顯著降低遠(yuǎn)距離通信的費用； ◆ 遠(yuǎn)端驗證撥入用戶服務(wù)基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)；

◆ 將工作重心從管理和保留運作撥號網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來； ◆ 強(qiáng)大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網(wǎng)絡(luò)資源；

◆ 極大的可擴(kuò)展性，簡便地對加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度。用戶不需改變網(wǎng)絡(luò)的原來架構(gòu)，只須安裝客戶端軟件并且設(shè)置此軟件的一些參數(shù)即可。同時也支持傳統(tǒng)的應(yīng)用，可以從小的政府機(jī)關(guān)擴(kuò)展到最大的政府機(jī)關(guān)；

◆ 更大的網(wǎng)絡(luò)靈活性，可以管理和發(fā)布不同類型的數(shù)據(jù)進(jìn)入同一Internet連接。VPN代表了當(dāng)今網(wǎng)絡(luò)發(fā)展演化的最高形式，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點（安全和QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點（簡單和低成本），必將成為未來傳輸完全匯聚業(yè)務(wù)的主要工具。

用戶可以通過硬件和軟件的方式來實現(xiàn)VPN功能，一般用戶都會使用硬件設(shè)備。在總部架設(shè)一個帶有VPN功能的防火墻，就可以讓地方聯(lián)到總部的內(nèi)部局域網(wǎng)了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個最大的優(yōu)點是既可以抵御外部的攻擊又可以提高自身網(wǎng)絡(luò)的安全性。

防火墻對服務(wù)器的保護(hù)

網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為“黑客”攻擊的突破口，因此，在實施方案時要對服務(wù)器的安全進(jìn)行一系列安全保護(hù)。

如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對外服務(wù)，就會面臨著“黑客”各種方式的攻擊，安全級別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測。只有訪問服務(wù)器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。

（四）防火墻對內(nèi)網(wǎng)的保護(hù)

網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運行的可靠性和安全性，我們必須要對它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點。

對于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安全防范處理，整個系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級不高。根據(jù)國際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機(jī)到單機(jī)訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸（NETBIOS）應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時。一般內(nèi)部用戶對于網(wǎng)絡(luò)安全防范的意識不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無法避免地遭到損害，特別是針對于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報道，如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就可能被內(nèi)部用戶利用“黑客”工具造成嚴(yán)重破壞。

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜化和網(wǎng)絡(luò)應(yīng)用的多樣化日益明顯，對于內(nèi)部網(wǎng)絡(luò)除了必要的防攻擊設(shè)置外還必須防止內(nèi)部用戶的欺騙行為，比如IP地址欺騙、網(wǎng)絡(luò)連接的欺騙等。由于物理層上的原因，內(nèi)部用戶接觸網(wǎng)絡(luò)服務(wù)的機(jī)會、方法很多，如果沒有專門的安全防護(hù)，“黑客”就可以比較容易地實施欺騙、偽造身份及暴力攻擊（CRACK），對于內(nèi)部網(wǎng)絡(luò)的用戶，防范攻擊的難度較大。我們主要從以下幾個方面考慮：

1)內(nèi)部網(wǎng)絡(luò)風(fēng)險分析：由于內(nèi)部攻擊發(fā)生的比較頻繁，因此我們首先要分析內(nèi)部網(wǎng)絡(luò)的安全隱患，把可能發(fā)生的不安定因素找出來進(jìn)行專門的安全處理；

2)內(nèi)部用戶網(wǎng)絡(luò)和網(wǎng)絡(luò)的隔離：把內(nèi)部比較重要的數(shù)據(jù)服務(wù)器放在專門的區(qū)域，加上獨立的控制體系，對于內(nèi)部網(wǎng)的訪問同樣要進(jìn)行相應(yīng)的安全控制；

3)內(nèi)部網(wǎng)絡(luò)安全保護(hù)：結(jié)合物理層和鏈路層的特點，在物理層和鏈路層的接口處實施安全控制，實施IP/MAC綁定。

IDS詳述

IDS（入侵檢測系統(tǒng)）對于關(guān)心網(wǎng)絡(luò)安全防護(hù)的人們來說已不再是一個陌生的名詞，在許多行業(yè)的計算機(jī)網(wǎng)絡(luò)安全防御工程中除了采用防病毒、防火墻或認(rèn)證加密等系統(tǒng)外，有近15%的安全項目會涉及到IDS系統(tǒng)，而且這些項目一般都對安全等級的要求非常高，對數(shù)據(jù)信息的保密性也有特別的要求。

IDS系統(tǒng)

要想高效使用IDS首先要對它進(jìn)行合理部署。通常IDS監(jiān)控保護(hù)的基本單位是一個網(wǎng)段，單個網(wǎng)段的最小組成元素是各臺主機(jī)，政府機(jī)關(guān)對各主機(jī)、各網(wǎng)段的安全性要求程度一般都不相同，所以確定IDS的保護(hù)對象是合理使用IDS的關(guān)鍵。

在優(yōu)先保護(hù)的網(wǎng)段中部署IDS系統(tǒng)，并配置合適的檢測策略，如在防火墻之內(nèi)部署IDS則可把安全策略配置得緊一些，即使用最大化的檢測策略，而在防火墻之外部署則可采用較為寬松的策略，因為經(jīng)過防火墻過濾后，內(nèi)部網(wǎng)絡(luò)的安全狀況相對比較簡單，而外部的情況則較為復(fù)雜，誤報的可能性也較大。另外，在一定的情況下有些內(nèi)部信任的主機(jī)也可能會觸發(fā)IDS的檢測引擎，從而形成報警，而對于用戶來說，這些報警事件是沒有什么參考價值的，所以需要在檢測范圍中排除這些主機(jī)的IP地址；通常IDS系統(tǒng)中都有一個過濾器（FILTER）模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項，可以允許用戶加入所有他們所信任的主機(jī)IP地址。

目前大多數(shù)的IDS系統(tǒng)主要采用基于包特征的檢測技術(shù)來組建，它們的基本原理是對網(wǎng)絡(luò)上的所有數(shù)據(jù)包進(jìn)行復(fù)制并檢測，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫（規(guī)則庫）進(jìn)行匹配比較，如果相符即產(chǎn)生報警或響應(yīng)。這種檢測方式雖然比異常統(tǒng)計檢測技術(shù)要更加精確，但會給IDS帶來較大的負(fù)載，所以需要對檢測策略作進(jìn)一步的調(diào)整和優(yōu)化。具體做法是根據(jù)政府機(jī)關(guān)自身網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用情況，選擇最適合的檢測策略（可根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等），并對所選的策略進(jìn)行修改，選擇具有參考價值的檢測規(guī)則，而去除一些無關(guān)緊要的選項，如對于全部是Windows的應(yīng)用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測規(guī)則的定制功能外，還提供了對端口掃描檢測規(guī)則的自定義，如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機(jī)地址排除和掃描模式等參數(shù)，這些參數(shù)的合理配置都能將IDS的檢測能力優(yōu)化到最理想的狀態(tài)。

IDS監(jiān)控

IDS除了能對網(wǎng)絡(luò)上各種非法行為產(chǎn)生報警外還能對一些特定的事件進(jìn)行實時的響應(yīng)，因為只有采取及時的響應(yīng)才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應(yīng)方式是對網(wǎng)絡(luò)中的非法連接進(jìn)行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進(jìn)行監(jiān)控時，不但需要查看它的報警提示，而且需要參考它所提供的實時狀態(tài)信息。因為在網(wǎng)絡(luò)中發(fā)生異常行為時，網(wǎng)絡(luò)中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機(jī)正遭到拒絕服務(wù)攻擊時（DoS或DDoS），網(wǎng)絡(luò)中的數(shù)據(jù)流量便可能會急速上升，這時可以從包流量或字節(jié)流量等實時的狀態(tài)圖表中發(fā)現(xiàn)這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實時狀態(tài)信息還包括當(dāng)前的活動TCP連接、TCP/UDP/IP/ICMP等協(xié)議的包或字節(jié)流量等。IDS的最重要價值之一是它能提供事后統(tǒng)計分析，所有安全事件或?qū)徲嬍录男畔⒍紝⒈挥涗浽跀?shù)據(jù)庫中，可以從各個角度來對這些事件進(jìn)行分析歸類，以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢，及時發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問題或漏洞，并可歸納出相應(yīng)的解決方案。

電子政務(wù)整體網(wǎng)絡(luò)安全解決方案

電子政務(wù)系統(tǒng)中存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計一個高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬無一失。

各局的局域網(wǎng)計算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到本局的主干交換機(jī)上。由于工作站分布較廣且全部連接，可以通過電子政務(wù)網(wǎng)絡(luò)進(jìn)行相互訪問，服務(wù)器就有可能收到攻擊。因此，必須在各局之間相互進(jìn)行隔離防護(hù)。

如下圖，我們在各局路由器后安裝曙光TLFW千兆防火墻，以有三千用戶在同時上Internet網(wǎng)計算，千兆防火墻的并發(fā)連接超過600,000，完全可以滿足整個網(wǎng)絡(luò)的需求，穩(wěn)定性上也滿足要求。同時，將局內(nèi)網(wǎng)與其他區(qū)域邏輯隔離開來，在數(shù)據(jù)中心內(nèi)，根據(jù)不同的服務(wù)器對安全性的不同需求，將它們分等級劃分為不同的區(qū)域，并通過詳細(xì)的包過濾規(guī)則制定，將這些服務(wù)器徹底保護(hù)起來，保證它們之間不能跨級別訪問，這樣實現(xiàn)分級的安全性。

通過安裝防火墻，可以實現(xiàn)下列的安全目標(biāo)：

1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

2)利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

3)利用防火墻對來自非內(nèi)部網(wǎng)的服務(wù)請求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問認(rèn)證，同時在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；

5)利用防火墻全面監(jiān)視對服務(wù)器的訪問，及時發(fā)現(xiàn)和阻止非法操作；

6)利用防火墻及服務(wù)器上的審計記錄，形成一個完善的審計體系，建立第二條防線； 7)根據(jù)需要設(shè)置流量控制規(guī)則，實現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時間段的訪問控制。下圖是電子政務(wù)網(wǎng)絡(luò)安全解決方案設(shè)計拓?fù)鋱D：

圖示：電子政務(wù)網(wǎng)絡(luò)安全總體拓?fù)?/p>

根據(jù)以上的分析，在整個政府網(wǎng)絡(luò)安全體系中，除了負(fù)責(zé)邊界安全的防火墻設(shè)備以外，還選擇了入侵檢測系統(tǒng)進(jìn)行共同防范，達(dá)到整個系統(tǒng)的高安全性。

同時因為用戶有撥號VPN的需求，而曙光的天羅防火墻自身具備了VPN的功能，可以滿足遠(yuǎn)程連接用戶的安全要求。

具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴(kuò)展等產(chǎn)品特色。易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，擁有自行設(shè)計的全中文化WWW管理界面，通過直觀、易用的界面來管理強(qiáng)大、復(fù)雜的系統(tǒng)功能。

可根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則（Security Rules）把守網(wǎng)絡(luò)的大門，提供強(qiáng)大的訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、帶寬控制、P2P協(xié)議過濾等功能。

根據(jù)電子政務(wù)的實際需要，充分利用了曙光天羅防火墻的各功能模塊，實現(xiàn)了各功能模塊(防火墻模塊、入侵檢測模塊、VPN模塊等)的協(xié)同工作，再加上NIDS網(wǎng)絡(luò)入侵檢測系統(tǒng)的重點防護(hù)，構(gòu)建了一個整合的動態(tài)安全門戶，以比較經(jīng)濟(jì)實惠的方式，實現(xiàn)了對電子政務(wù)網(wǎng)絡(luò)的整體安全防護(hù)。

第四篇：政府網(wǎng)絡(luò)安全自查報告（精選）

****鎮(zhèn)網(wǎng)絡(luò)安全自查報告

根據(jù)縣委辦關(guān)于開展網(wǎng)絡(luò)信息安全考核的通知精神，我鎮(zhèn)積極組織落實，對網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)情況、網(wǎng)絡(luò)安全防范技術(shù)情況及網(wǎng)絡(luò)信息安全保密管理情況進(jìn)行了自查，對我鎮(zhèn)的網(wǎng)絡(luò)信息安全建設(shè)進(jìn)行了深刻的剖析，現(xiàn)將自查情況報告如下：

一、成立領(lǐng)導(dǎo)小組

為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全管理工作，我鎮(zhèn)成立了網(wǎng)絡(luò)信息工作領(lǐng)導(dǎo)小組，由鎮(zhèn)長任組長，分管副書記任常務(wù)副組長，下設(shè)辦公室，做到分工明確，責(zé)任具體到人，確保網(wǎng)絡(luò)信息安全工作順利實施。

二、我鎮(zhèn)網(wǎng)絡(luò)安全現(xiàn)狀

我鎮(zhèn)的政府信息化建設(shè)從2008年開始，經(jīng)過不斷發(fā)展，逐漸由原來的小型局域網(wǎng)發(fā)展成為目前的互聯(lián)互通網(wǎng)絡(luò)。目前我鎮(zhèn)共有電腦29臺，采用防火墻對網(wǎng)絡(luò)進(jìn)行保護(hù)，均安裝了殺毒軟件對全鎮(zhèn)計算機(jī)進(jìn)行病毒防治。

三、我鎮(zhèn)網(wǎng)絡(luò)安全管理

為了做好信息化建設(shè)，規(guī)范政府信息化管理，我鎮(zhèn)專門制訂了《****鎮(zhèn)網(wǎng)絡(luò)安全管理制度》、《****鎮(zhèn)網(wǎng)絡(luò)信息安全保障工作方案》、《****鎮(zhèn)病毒檢測和網(wǎng)絡(luò)安全漏洞檢測制度》等多項制度，對信息化工作管理、內(nèi)部電腦安全管理、計算機(jī)及網(wǎng)絡(luò)設(shè)備管理、數(shù)據(jù)、資料和信息的安全管理、網(wǎng)絡(luò)安全管理、計算機(jī)操作人員管理、網(wǎng)站內(nèi)容管理、網(wǎng)站維護(hù)責(zé)任等各方面都作了詳細(xì)規(guī)定，進(jìn)一步規(guī)范了我鎮(zhèn)信息安全管理工作。針對計算機(jī)保密工作，我鎮(zhèn)制定了《****鎮(zhèn)信息發(fā)布審核、登記制度》、《****鎮(zhèn)突發(fā)信息網(wǎng)絡(luò)事件應(yīng)急預(yù)案》等相關(guān)制度，通過定期對網(wǎng)站上的所有信息進(jìn)行整理，未發(fā)現(xiàn)涉及到安全保密內(nèi)容的信息；與網(wǎng)絡(luò)安全小組成員簽訂了《****鎮(zhèn)2010年網(wǎng)絡(luò)信息安全管理責(zé)任書》，確保計算機(jī)使用做到“誰使用、誰負(fù)責(zé)”；對我鎮(zhèn)內(nèi)網(wǎng)產(chǎn)生的數(shù)據(jù)信息進(jìn)行嚴(yán)格、規(guī)范管理，并及時存檔備份；此外，我鎮(zhèn)在全鎮(zhèn)范圍內(nèi)組織相關(guān)計算機(jī)安全技術(shù)培訓(xùn)，并開展有針對性的“網(wǎng)絡(luò)信息安全”教育及演練，積極參加其他計算機(jī)安全技術(shù)培訓(xùn)，提高了網(wǎng)絡(luò)維護(hù)以及安全防護(hù)技能和意識，有力地保障我鎮(zhèn)政府信息網(wǎng)絡(luò)正常運行。

四、網(wǎng)絡(luò)安全存在的不足及整改措施

目前，我鎮(zhèn)網(wǎng)絡(luò)安全仍然存在以下幾點不足：一是安全防范意識較為薄弱；二是病毒監(jiān)控能力有待提高；三是對移動存儲介質(zhì)的使用管理還不夠規(guī)范；四是遇到惡意攻擊、計算機(jī)病毒侵襲等突發(fā)事件處理能力不夠。

針對目前我鎮(zhèn)網(wǎng)絡(luò)安全方面存在的不足，提出以下幾點整改意見：

1、進(jìn)一步加強(qiáng)我鎮(zhèn)網(wǎng)絡(luò)安全小組成員計算機(jī)操作技術(shù)、網(wǎng)絡(luò)安全技術(shù)方面的培訓(xùn)，強(qiáng)化我鎮(zhèn)計算機(jī)操作人員對網(wǎng)絡(luò)病毒、信息安全威脅的防范意識，做到早發(fā)現(xiàn)，早報告、早處理。

2、加強(qiáng)我鎮(zhèn)干部職工在計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)方面的學(xué)習(xí)，不斷提高干部計算機(jī)技術(shù)水平。

3、進(jìn)一步加強(qiáng)對各部門移動存儲介質(zhì)的管理，要求個人移動存儲介質(zhì)與部門移動存儲介質(zhì)分開，部門移動存儲介質(zhì)作為保存部門重要工作材料和內(nèi)部辦公使用，不得將個人移動存儲介質(zhì)與部門移動存儲介質(zhì)混用。

4、加強(qiáng)設(shè)備維護(hù)，及時更換和維護(hù)好故障設(shè)備，以免出現(xiàn)重大安全隱患，為我鎮(zhèn)網(wǎng)絡(luò)的穩(wěn)定運行提供硬件保障。

五、對信息安全檢查工作的意見和建議

隨著信息化水平不斷提高，人們對網(wǎng)絡(luò)信息依賴也越來越大，保障網(wǎng)絡(luò)與信息安全，維護(hù)國家安全和社會穩(wěn)定，已經(jīng)成為信息化發(fā)展中迫切需要解決的問題，由于我鎮(zhèn)網(wǎng)絡(luò)信息方面專業(yè)人才不足，對信息安全技術(shù)了解還不夠，在其他兄弟鄉(xiāng)鎮(zhèn)或多或少存在類似情況，希望縣委辦及有關(guān)方面加強(qiáng)相關(guān)知識的培訓(xùn)與演練，以提高我們的防范能力。

****鎮(zhèn)人民政府

2011年12月3日

第五篇：企業(yè)網(wǎng)絡(luò)安全NGFW+ICG方案

安全解決方案

北京網(wǎng)康科技有限公司

/ 12

目錄 安全風(fēng)險分析.....................................3 1.1 來自公網(wǎng)的安全風(fēng)險分析.........................3 1.2 來自內(nèi)部人員及分部的安全威脅...................3 2 安全方案設(shè)計.....................................4 2.1 方案概述.......................................4 2.2 總體設(shè)計.......................................4 2.3 詳細(xì)設(shè)計.......................................5 2.3.1 外部安全防護(hù)................................5 2.3.2 內(nèi)部安全防護(hù)................................7 3 網(wǎng)康方案價值與產(chǎn)品優(yōu)勢..........................10 3.1 易用性........................................10 3.2 健壯性........................................11 3.3 產(chǎn)品優(yōu)勢......................................11

/ 12 安全風(fēng)險分析

1.1 來自公網(wǎng)的安全風(fēng)險分析

由于內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機(jī)上都有涉密信息。假如內(nèi)部網(wǎng)絡(luò)的一臺機(jī)器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)。

如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外網(wǎng)一些不懷好意的入侵者的攻擊。如：

? 入侵者通過漏洞掃描、Sniffer嗅探等工具來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)類型、開放哪些服務(wù)端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊；

? 入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息；

? 惡意攻擊:入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓； ? 發(fā)送大量包含惡意代碼或病毒程序的郵件。

1.2 來自內(nèi)部人員及分部的安全威脅

據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。來自機(jī)構(gòu)內(nèi)部局域網(wǎng)的威脅包括：

? 誤用和濫用關(guān)鍵、敏感數(shù)據(jù)和計算資源。無論是有不滿情緒的員工的故意破壞，還是沒有訪問關(guān)鍵系統(tǒng)權(quán)限的員工因誤操作而進(jìn)入關(guān)鍵系統(tǒng)，由此而造成的數(shù)據(jù)泄露、偷竊、損壞或刪除將給企業(yè)帶來很大的負(fù)面影響。

? 因不當(dāng)使用Internet接入而降低生產(chǎn)率。不當(dāng)使用Internet資源不但會浪費工人的時間，還能增加計算機(jī)網(wǎng)絡(luò)的負(fù)擔(dān)，降低了人員與網(wǎng)絡(luò)的工作效率。

? 如果工作人員發(fā)送、接收和查看攻擊性材料，可能會形成敵意的工作環(huán)境，從而增大內(nèi)耗。

? 內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；

/ 12

? 內(nèi)部不懷好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去；

? 內(nèi)部人員利用公司網(wǎng)絡(luò)訪問黃色網(wǎng)站、反動網(wǎng)站和其他與工作無關(guān)的網(wǎng)站； ? 內(nèi)部人員訪問不良網(wǎng)站時，無意中執(zhí)行了網(wǎng)頁上的惡意代碼或病毒程序； ? 內(nèi)部人員使用移動存儲設(shè)備，不小心涉帶有關(guān)病毒，導(dǎo)致網(wǎng)絡(luò)癱瘓； ? 內(nèi)部人員使用BT、P2P下載，嚴(yán)重影響網(wǎng)絡(luò)使用 安全方案設(shè)計 2.1 方案概述

我們?yōu)橘F單位網(wǎng)絡(luò)構(gòu)架了一個整套的安全體系結(jié)構(gòu)，整個體系中最基本單元是每臺在線主機(jī)的安全，即安全體系中的每一個點；子網(wǎng)/局域網(wǎng)是體系中的塊狀組成部分，是安全體系中的各個面；整個安全體系由各個層次和面組成，形成安全體系的立體框架。我們知道實現(xiàn)網(wǎng)絡(luò)安全不是一次可以完成的任務(wù)，需要不斷根據(jù)網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)管理進(jìn)行調(diào)整，我們設(shè)計的解決方案充分兼容今后的安全管理及優(yōu)化的需求。

基于以上的分析，我們建議以系統(tǒng)的內(nèi)部安全優(yōu)化修復(fù)，清除網(wǎng)絡(luò)安全漏洞為主要手段，提高網(wǎng)絡(luò)內(nèi)每個點的安全系數(shù)，清除各點的安全隱患，以網(wǎng)絡(luò)優(yōu)化系統(tǒng)、防火墻和防毒軟件等安全產(chǎn)品對網(wǎng)絡(luò)施以自動監(jiān)控和防御，在各個面形成有效的防御體系，最后通過加強(qiáng)人員培訓(xùn)，提高管理水平，制定先進(jìn)的安全策略，消除全網(wǎng)的各種安全威脅，全面提高軟件、硬件和人員的安全水平，形成一個牢固的，立體的網(wǎng)絡(luò)安全防御體系。

2.2 總體設(shè)計

依據(jù)我們的安全系統(tǒng)設(shè)計原則，并結(jié)合貴單位網(wǎng)絡(luò)系統(tǒng)的實際情況和需求，采用一系列產(chǎn)品搭建安全防范體系，通過安全技術(shù)和管理手段，使安全產(chǎn)品充分發(fā)揮其安全保護(hù)的作用。

首先，從安全區(qū)域上，我們將網(wǎng)絡(luò)劃分為：服務(wù)器區(qū)、辦公區(qū)，并采用防火墻將上述各個區(qū)域進(jìn)行隔離，以對各個區(qū)域之間的相互訪問進(jìn)行訪問控制，構(gòu)成第一道安全防護(hù)體系。對于接入Internet的區(qū)域，都將Internet的LAN接口接在防火墻的接口上，從而實現(xiàn)對來自Internet的入侵的防護(hù)。

/ 12

第二，為了對保護(hù)公司本部的重要服務(wù)器（如管理服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器），特將這些重要的服務(wù)器放在同一網(wǎng)段，用防火墻進(jìn)行訪問控制，該網(wǎng)段稱為非軍事化區(qū)（DMZ區(qū)）。再使用SSL VPN設(shè)備將重要服務(wù)器進(jìn)行發(fā)布，對外呈現(xiàn)只有SSL VPN一個服務(wù)，并根據(jù)具體要求配置SSL VPN安全訪問策略，保護(hù)公司本部的重要服務(wù)器。

第三，在網(wǎng)絡(luò)出口防火墻與核心交換機(jī)間部署網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān)（ICG）設(shè)備，對內(nèi)網(wǎng)的所有網(wǎng)絡(luò)行為進(jìn)行審計和記錄，及時有效地管理辦公人員的上網(wǎng)行為，包括網(wǎng)頁服務(wù)、即時聊天、論壇言論發(fā)布、郵件收發(fā)等；除此之外還可進(jìn)行全網(wǎng)的流量分析，并阻斷P2P及與辦公無關(guān)的應(yīng)用，保證帶寬的使用價值，提升網(wǎng)絡(luò)的可用性，減少投資。并可以分析網(wǎng)絡(luò)帶寬利用狀況，方便排除網(wǎng)絡(luò)故障。

第四，通過網(wǎng)康防火墻的部署，全面地保護(hù)內(nèi)部各區(qū)域網(wǎng)絡(luò)不受到病毒的入侵和破壞。利用全方位的企業(yè)防毒產(chǎn)品，實施“層層設(shè)防，集中控管，以防為主、防治結(jié)合”的策略，使網(wǎng)絡(luò)沒有能成為病毒入侵的薄弱環(huán)節(jié)。

拓?fù)鋱D如下：

2.3 詳細(xì)設(shè)計

2.3.1 外部安全防護(hù)

網(wǎng)康下一代防火墻NGFW。通過深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容，并借助全新

/ 12 的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠為用戶提供有效的應(yīng)用層一體化安全防護(hù)，幫助幫助用戶安全地開展業(yè)務(wù)并簡化用戶的網(wǎng)絡(luò)安全架構(gòu)。入侵、病毒、木馬防護(hù)

網(wǎng)康下一代防火墻NGFW提供了對黑客入侵、上傳或下載病毒和木馬的防護(hù)手段。通過在“策略配置”界面配置“安全策略”，用戶可以非常方便地實現(xiàn)基于用戶、應(yīng)用、服務(wù)和時間的一體化防護(hù)。

針對企業(yè)的具體情況，建議采用開啟對服務(wù)器域從外到內(nèi)的IPS和AV防護(hù)，防范從外部發(fā)起的網(wǎng)絡(luò)攻擊、傳病毒、傳木馬等行為；開啟從內(nèi)到外的IPS、AV防護(hù)和URL過濾，防范內(nèi)部用戶的攻擊、染毒、僵尸主機(jī)或訪問惡意網(wǎng)站等行為。

策略配置完成后可以在設(shè)備首頁實時看到當(dāng)前網(wǎng)絡(luò)的威脅和告警信息，同時也可以在監(jiān)控中心的威脅日志、告警日志和網(wǎng)址過濾日志中看到更多的細(xì)節(jié)信息。DoS防護(hù)

網(wǎng)康下一代防火墻NGFW提供了對DoS攻擊的防護(hù)功能，可以配置策略針對不同的DoS攻擊類型進(jìn)行聚合防護(hù)和分類防護(hù)。

針對企業(yè)的具體情況，建議分別對從內(nèi)到外和從外到內(nèi)的DoS攻擊防護(hù)進(jìn)行配置。其中，服務(wù)器域的連接數(shù)閾值要相應(yīng)提高。ARP防護(hù)

網(wǎng)康下一代防火墻NGFW支持通過綁定靜態(tài)ARP的方式防止ARP攻擊。

建議企業(yè)根據(jù)實際網(wǎng)絡(luò)拓?fù)淝闆r在各核心設(shè)備上開啟靜態(tài)ARP功能，進(jìn)行IP和MAC的綁定，防止ARP欺騙造成的無法聯(lián)網(wǎng)或無法訪問某些網(wǎng)站的現(xiàn)象產(chǎn)生。網(wǎng)絡(luò)攻擊防護(hù)

網(wǎng)康下一代防火墻NGFW支持通過對常見網(wǎng)絡(luò)攻擊進(jìn)行防護(hù)，如TearDrop、LAND、WinNuke、Smurf、Fraggle和Ping Of Death等。

建議企業(yè)開啟網(wǎng)絡(luò)攻擊防護(hù)功能，保障網(wǎng)絡(luò)服務(wù)器的安全。主動發(fā)現(xiàn)服務(wù)器是否被植入木馬

網(wǎng)康下一代防火墻NGFW提供了深入的應(yīng)用洞察能力，用戶可以通過簡單的配置方便地主動發(fā)現(xiàn)服務(wù)器是否有異常行為，從而發(fā)現(xiàn)服務(wù)器中隱藏的木馬。主動發(fā)現(xiàn)網(wǎng)絡(luò)中存在風(fēng)險的服務(wù)器或僵尸主機(jī)

建議采用以下方式主動發(fā)現(xiàn)網(wǎng)絡(luò)中存在風(fēng)險的服務(wù)器或僵尸主機(jī)。

1.定期查看“應(yīng)用分析”模塊，篩選應(yīng)用名稱為“木馬”、“遠(yuǎn)程桌面”、“ssh”、“HTTP

/ 12

PROXY”等高風(fēng)險應(yīng)用，查看產(chǎn)生這些應(yīng)用流量的IP地址，根據(jù)需要進(jìn)行防護(hù)和整改。

2.定期查看“應(yīng)用分析”模塊，篩選網(wǎng)址類別為“木馬病毒”、“釣魚網(wǎng)站”等高風(fēng)險網(wǎng)址，查看排名前幾名的IP，主動對這些IP進(jìn)行殺毒。

3.定期查看“監(jiān)控中心”的應(yīng)用對比統(tǒng)計功能，查看網(wǎng)絡(luò)中同一時段的應(yīng)用連接數(shù)和流量變化，當(dāng)高風(fēng)險應(yīng)用連接數(shù)和流量較大時，可在“應(yīng)用分析”和“流量日志”中找到相應(yīng)時段的流量細(xì)節(jié)。

主動檢測網(wǎng)站是否被掛黑鏈或掛馬

建議采用以下方式主動網(wǎng)站是否被掛黑鏈或掛馬。

1.在網(wǎng)站服務(wù)器或其他無人使用的服務(wù)器上設(shè)定計劃任務(wù)，定時訪問xxx政府機(jī)關(guān)官方網(wǎng)站首頁。

2.定期查看“應(yīng)用分析”模塊，篩選源地址為服務(wù)器IP，篩選普通HTTP應(yīng)用，查看目的IP地址是否正常，若出現(xiàn)異常IP地址即為被掛黑鏈，若篩選的IP地址出現(xiàn)較大HTTP下載流量即為被掛馬。

2.3.2 內(nèi)部安全防護(hù)

網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān)（ICG），為用戶提供專業(yè)的用戶管理、應(yīng)用控制、網(wǎng)頁過濾、內(nèi)容審計、流量管理和行為分析等功能。可以幫助客戶達(dá)成上網(wǎng)行為可視、減少安全風(fēng)險，減少信息泄密、遵從法律法規(guī)、提升工作效率、優(yōu)化帶寬資源。

1、內(nèi)容審計

外發(fā)信息審計

通過互聯(lián)網(wǎng)傳遞信息已經(jīng)成為企業(yè)的關(guān)鍵應(yīng)用，然而信息的機(jī)密性、健康性、政治性等問題也隨之而來。本方案提供全方位的審計功能，可實現(xiàn)針對IM、郵件、FTP、論壇發(fā)帖等應(yīng)用的內(nèi)容審計。

審計功能在默認(rèn)配置下關(guān)閉，需要管理員手動打開審計功能，方可實現(xiàn)全方位的審計。同時，可通過分級分權(quán)功能，收回設(shè)備管理員審計功能的權(quán)限，以徹底關(guān)閉審計功能，在這種情況，打開審計功能的權(quán)限僅超級管理員擁有。

郵件收發(fā)審計和過濾

網(wǎng)康ICG不但可以審計通過任意端口的POP3和SMTP協(xié)議收發(fā)郵件內(nèi)容，同時還可以審計通過WEB-MAIL發(fā)送郵件的內(nèi)容，實現(xiàn)對用戶郵件收發(fā)內(nèi)容的全面審計。

/ 12

2、行為管理 網(wǎng)頁過濾

Web是互聯(lián)網(wǎng)上內(nèi)容最豐富、訪問量最大的應(yīng)用，然而網(wǎng)頁內(nèi)容良莠不齊，充斥許多反動、暴力、色情以及其它不健康的信息；此外，大量網(wǎng)絡(luò)應(yīng)用，如P2P，IM，網(wǎng)絡(luò)電視、游戲等等，也借助HTTP協(xié)議或者80端口，一方面躲避防火墻的封堵，一方面攜帶病毒、惡意軟件，為內(nèi)網(wǎng)用戶帶來安全風(fēng)險，擠占網(wǎng)絡(luò)帶寬。網(wǎng)康ICG通過預(yù)分類過濾技術(shù)、URL自動分類引擎以及靈活的策略設(shè)置，對違反國家法律、危害企業(yè)安全的內(nèi)容進(jìn)行過濾，避免用戶有意無意訪問包含非法內(nèi)容的網(wǎng)頁，凈化網(wǎng)絡(luò)，減少病毒進(jìn)入局域網(wǎng)的幾率，降低企業(yè)法律風(fēng)險，創(chuàng)造文明健康的上網(wǎng)環(huán)境。

? 最領(lǐng)先的中文URL分類數(shù)據(jù)庫

網(wǎng)頁內(nèi)容浩如煙海，URL數(shù)目數(shù)以千萬計。傳統(tǒng)的網(wǎng)頁過濾通過預(yù)設(shè)的關(guān)鍵字，對網(wǎng)頁內(nèi)容進(jìn)行匹配，效率很低，而且誤封率居高不下，已經(jīng)退出應(yīng)用的主流。另外一種方法是預(yù)先設(shè)置需要封堵的URL列表，對URL進(jìn)行實時的匹配過濾，這也存在很大的缺陷，由于URL數(shù)量巨大，依靠手工添加方式不可能實現(xiàn)完整的過濾，而且對URL列表的更新管理幾乎不可能。目前國際上最先進(jìn)的方式是將URL按照一定的標(biāo)準(zhǔn)進(jìn)行預(yù)分類，然后由網(wǎng)關(guān)設(shè)備對類別進(jìn)行過濾，既解決了過濾效率的問題，又保證了過濾的完整性與實效性。應(yīng)用控制

隨著技術(shù)的迅猛發(fā)展，各種互聯(lián)網(wǎng)應(yīng)用層出不窮，如即時通訊（IM）、網(wǎng)絡(luò)游戲、在線炒股以及在線音樂視頻等等。未加管理的使用，不可避免地影響員工的工作效率。在一項調(diào)查中，超過80%的員工在上班時間做過與工作無關(guān)的工作，其中，有60%的被調(diào)查員工承認(rèn)其主要是在玩網(wǎng)絡(luò)游戲、用QQ / MSN等即時通訊軟件聊天，以及炒股等等。這些不當(dāng)網(wǎng)絡(luò)活動大大降低了員工的工作效率，造成了企業(yè)人力資源的嚴(yán)重浪費。同時，與工作無關(guān)的應(yīng)用，如P2P下載、在線視頻等對帶寬資源的擠占，使得關(guān)鍵業(yè)務(wù)的使用質(zhì)量無法保障，大大降低了出口鏈路的利用率，造成了企業(yè)帶寬資源的嚴(yán)重浪費。

? 基于特征識別的覆蓋全面的應(yīng)用協(xié)議數(shù)據(jù)庫

欲控制各種網(wǎng)絡(luò)應(yīng)用，必先準(zhǔn)確識別。傳統(tǒng)安全產(chǎn)品通過IP或者端口封堵各種協(xié)議，只能局限于標(biāo)準(zhǔn)的協(xié)議，如HTTP，SMTP，且主要是在網(wǎng)絡(luò)層以及傳輸層進(jìn)行，對應(yīng)用層的內(nèi)容無能為力，而且，如果IP與端口經(jīng)過動態(tài)協(xié)商建立，比如QQ，P2P下載等，則完全不能勝任。網(wǎng)康ICG對應(yīng)用的識別是通過應(yīng)用特征與行為特征實現(xiàn)的。所謂應(yīng)用特征，是指在成序列的數(shù)據(jù)包的應(yīng)用層信息中，存在有規(guī)律的字節(jié)特征，它可以唯一地標(biāo)識某種應(yīng)用協(xié)議，8 / 12

就如同一個人無論穿什么顏色的衣服，其指紋特征不會改變，而且是唯一的。類似地，ICG可以通過特征值準(zhǔn)確地識別網(wǎng)絡(luò)應(yīng)用；而行為特征，是指連續(xù)多個包或者多個并發(fā)的網(wǎng)絡(luò)連接表現(xiàn)出來的某種行為模式具有一定規(guī)律性，通過這些行為模式可以識別特征值不明顯的應(yīng)用類型。

網(wǎng)康ICG擁有國內(nèi)最全面的網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)庫，分為20余種大類，共2000多種協(xié)議。

3、帶寬管理

? 網(wǎng)絡(luò)感知

網(wǎng)康行為管理設(shè)備提供豐富的監(jiān)控界面，可以實時顯示網(wǎng)絡(luò)運行情況，以圖標(biāo)形式顯示設(shè)備實時流速、用戶實時流速、應(yīng)用實時流速、實時審計日志等，如下圖：

? 支持靈活的流量限額手段 流量限速

流量限速功能可以基于時間、VLAN、對從源用戶（組）去往目的用戶（組）的網(wǎng)絡(luò)應(yīng)用上傳、下載流速進(jìn)行限制。每用戶帶寬上限

每用戶帶寬上限功能可以對每個用戶的帶寬進(jìn)行管理，具體分為每用戶的帶寬上限控制和通道內(nèi)每用戶的帶寬上限控制。流量限額

網(wǎng)康 ITM 還可以從流量的角度對網(wǎng)絡(luò)應(yīng)用進(jìn)行管理，通過每用戶的流量限額和通道整體的流量限額功能，為某種網(wǎng)絡(luò)應(yīng)用設(shè)定流量限額閥值，在預(yù)定的周期性時間段范圍內(nèi)，限

/ 12

制此應(yīng)用的流量總額連接控制 ? 支持豐富的流量保障手段 帶寬保證

帶寬保證功能可以在帶寬資源有限而多種網(wǎng)絡(luò)應(yīng)用并存的情況下，通過為關(guān)鍵業(yè)務(wù)建立并指定帶寬通道的方式，從而避免了關(guān)鍵業(yè)務(wù)應(yīng)用與非關(guān)鍵業(yè)務(wù)應(yīng)用共同爭用帶寬，有效保障了關(guān)鍵業(yè)務(wù)應(yīng)用的正常使用。帶寬預(yù)留

在保障關(guān)鍵業(yè)務(wù)應(yīng)用時，既可以通過通道的帶寬保證來實現(xiàn)，也可以通過帶寬預(yù)留來實現(xiàn)。帶寬預(yù)留可以對對進(jìn)入特定通道的某（些）關(guān)鍵業(yè)務(wù)的應(yīng)用架設(shè)“帶寬專線”，通過劃分專門的帶寬，使關(guān)鍵業(yè)務(wù)在任何時候都可以獨享該通道全部的帶寬資源，徹底避免非關(guān)鍵業(yè)務(wù)無序搶占此專線帶寬資源，從而使關(guān)鍵業(yè)務(wù)應(yīng)用的帶寬需求能獲得可靠保障。帶寬平均

根據(jù)通道里用戶數(shù)量的動態(tài)變化實時調(diào)整各用戶的帶寬分配，保證流經(jīng)通道里的所有用戶動態(tài)平均享用該通道的全部帶寬資源，實現(xiàn)帶寬資源得到高效與公平地利用。網(wǎng)康方案價值與產(chǎn)品優(yōu)勢 3.1 易用性

該方案可以支持透明橋接、網(wǎng)關(guān)、旁路鏡像、代理模式等多種部署方式，可以最大程度兼容各種網(wǎng)絡(luò)環(huán)境下的部署需求，同時最大程度地減少對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的改造需求，設(shè)備上線十分簡單，操作量小，實施快速。

修改任何設(shè)備配置無需重啟，滿足不間斷運營的要求；采用圖形化報警方式，使得風(fēng)險可快速被管理員獲得；管理采用HTTPS方式，對瀏覽器無插件依賴；系統(tǒng)健康參數(shù)一目了然，CPU，內(nèi)存，硬盤使用率，持續(xù)運行時間一目了然；排錯簡單，一鍵bypass功能按下后，可直接定位問題是否由設(shè)備造成；各分支設(shè)備可集中管理，實現(xiàn)設(shè)備狀況統(tǒng)一監(jiān)控，策略集中下發(fā)，集中回收；通過圖形化的操作方式，以及標(biāo)準(zhǔn)的配置過程模式，利用鼠標(biāo)的勾勾選選即可實現(xiàn)策略的完整配置，滿足非專業(yè)人員的快速使用。

設(shè)備版本一鍵升級，用戶只需點擊升級按鈕即可實現(xiàn)全版本的更新，原有配

/ 12

置與日志數(shù)據(jù)可完全保留； 整個升級過程不依賴客戶端，沒有任何需要判斷的分支步驟 ；URL數(shù)據(jù)庫與應(yīng)用協(xié)議庫保持以天為單位的快速更新。

3.2 健壯性

網(wǎng)康設(shè)備提供硬件bypass與軟件bypass雙重保護(hù)，確保發(fā)生異常時網(wǎng)絡(luò)依然暢通。通過帶電模式下的智能bypass功能，當(dāng)系統(tǒng)出現(xiàn)宕機(jī)等嚴(yán)重異常時，工作接口可以自動的物理導(dǎo)通，同時管理接口還可以繼續(xù)排查設(shè)備的問題。在不影響用戶正常使用的同時，還能定位問題的來源。

網(wǎng)康科技的產(chǎn)品擁有多項高性能優(yōu)化專利，在同等級的硬件平臺上可以提供更強(qiáng)的處理轉(zhuǎn)發(fā)性能，從而有效的避免新添加的設(shè)備帶來的網(wǎng)絡(luò)延時，在提供上網(wǎng)行為管理功能的同時，不會影響原有線路的質(zhì)量。

網(wǎng)康科技采用了自主研發(fā)的NSOS操作系統(tǒng)，并進(jìn)行了專門安全加固，可有效的防護(hù)對設(shè)備的攻擊和入侵，全面保障設(shè)備自身的安全。

網(wǎng)康科技采用了獨有的用戶交互隱身技術(shù)，無論是對用戶彈出的認(rèn)證登錄框，還是行為阻塞的提示框，或者客戶端下載框都采用了設(shè)備隱身技術(shù)，使得最終用戶無法獲取設(shè)備本身的地址。避免了可能的有針對性的嘗試攻擊，或者DOS攻擊。

3.3 產(chǎn)品優(yōu)勢

? 網(wǎng)康下一代防火墻 領(lǐng)先的應(yīng)用識別技術(shù)

憑借網(wǎng)康科技在應(yīng)用識別和內(nèi)容控制領(lǐng)域8年的技術(shù)積累，實現(xiàn)了對2000種以上網(wǎng)絡(luò)應(yīng)用的識別，其中包含了300多種高風(fēng)險應(yīng)用，從各種維度對不同應(yīng)用做出評價。先進(jìn)的主動防御技術(shù)

基于行為分析感知僵尸主機(jī)，通過多維度的數(shù)據(jù)分析和多種類型日志的智能關(guān)聯(lián)集成，實現(xiàn)應(yīng)用威脅的可視化，便于用戶提早發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的威脅，并主動調(diào)整安全策略。高性能的應(yīng)用安全防護(hù)

/ 12

采用網(wǎng)康獨有專利技術(shù)的多核加速轉(zhuǎn)發(fā)引擎，充分發(fā)揮硬件優(yōu)勢，實現(xiàn)高性能的應(yīng)用安全防護(hù)。移動識別和管理

支持超過500種移動互聯(lián)網(wǎng)應(yīng)用，覆蓋蘋果、安卓、塞班等多種移動平臺，涵蓋聊天、微博、視頻、地圖等多種主流應(yīng)用類型。? 網(wǎng)康上網(wǎng)行為管理（ICG）豐富的用戶識別類型

支持基于IP/MAC、計算機(jī)名、POP3、Proxy、LDAP、AD域、Radius、Portal進(jìn)行認(rèn)證，同時支持和多種認(rèn)證系統(tǒng)聯(lián)動，實現(xiàn)單點認(rèn)證。國內(nèi)最大的URL庫

擁有國內(nèi)最大且唯一擁有自主知識產(chǎn)權(quán)的、包含3000萬中文網(wǎng)頁的URL庫，每日更新，即時發(fā)現(xiàn)惡意網(wǎng)站。精確網(wǎng)頁內(nèi)容審計

可針對必要的分類進(jìn)行分類網(wǎng)頁快照留存設(shè)計，滿足審計全面性的同時，不消耗過多的存儲資源。精確搜索引擎關(guān)鍵字審計，可針對不用的搜索分類進(jìn)行不同關(guān)鍵字的設(shè)置，例如對圖片視頻類要控制色情類的詞語，文字網(wǎng)頁類的搜索要控制政治類的詞語。

/ 12