第一篇：法院網(wǎng)絡(luò)安全規(guī)劃建設(shè)設(shè)計(jì)方案

****************************************

法院網(wǎng)絡(luò)安全規(guī)劃方案

*****************發(fā)展有限公司

2011年11月

*********************發(fā)展有限公司

第I頁

目錄 方案綜述........................................................................................................................3 2 網(wǎng)絡(luò)出口安全................................................................................................................4

2.1 法院網(wǎng)絡(luò)出口安全設(shè)計(jì).....................................................................................4

2.1.1 網(wǎng)絡(luò)出口定義...........................................................................................4 2.1.2 網(wǎng)絡(luò)出口安全定義...................................................................................4 2.1.3 出口主干安全設(shè)計(jì)...................................................................................5 2.1.4 DMZ區(qū)域安全.........................................................................................9 內(nèi)網(wǎng)與外網(wǎng)安全隔離..................................................................................................13

3.1.1 防火墻的部署.........................................................................................13 3.1.2 安全隔離及數(shù)據(jù)交換系統(tǒng).....................................................................13 安全管理區(qū)..................................................................................................................14 5 互聯(lián)網(wǎng)用戶區(qū)..............................................................................................................15

5.1 網(wǎng)絡(luò)管理系統(tǒng)...................................................................................................16 5.2 可信運(yùn)維系統(tǒng)...................................................................................................16 6 高可用集群軟件..........................................................................................................17

*********************發(fā)展有限公司

第II頁 方案綜述

法院網(wǎng)絡(luò)安全整體規(guī)劃圖如下：

ISP1ISP2網(wǎng)絡(luò)出口網(wǎng)站服務(wù)器網(wǎng)頁防篡改系統(tǒng)網(wǎng)站服務(wù)器網(wǎng)頁防篡改系統(tǒng)路由器? ? ?鏈路負(fù)載OA系統(tǒng)抗DDos攻擊交換機(jī)接入交換機(jī)IDS網(wǎng)閘負(fù)載均衡WEB防火墻防火墻上網(wǎng)行為管理透明橋接（bypass）防火墻入侵防御IDS數(shù)據(jù)庫數(shù)字庭審DMZ區(qū)內(nèi)部專網(wǎng)Si核心交換機(jī)SiSSL VPN雙機(jī)接入交換機(jī)可信運(yùn)維系統(tǒng)IDS審計(jì)監(jiān)控服務(wù)器 網(wǎng)絡(luò)防病毒服務(wù)器互聯(lián)網(wǎng)用戶區(qū)安全管理區(qū)網(wǎng)頁防篡改發(fā)布系統(tǒng)管理服務(wù)器（安裝網(wǎng)絡(luò)管理系統(tǒng)）

將*****法院分為四個(gè)區(qū)域：網(wǎng)絡(luò)出口區(qū)域、內(nèi)部專網(wǎng)區(qū)域、安全管理區(qū)域、互聯(lián)網(wǎng)用戶區(qū)，其中網(wǎng)絡(luò)出口區(qū)包含DMZ區(qū)。

另外采用高可用集群軟件保障服務(wù)器及盤陣的穩(wěn)定運(yùn)行。各個(gè)區(qū)域網(wǎng)絡(luò)安全設(shè)計(jì)在下面章節(jié)詳細(xì)介紹。

**********發(fā)展有限公司

第3頁 網(wǎng)絡(luò)出口安全

2.1

法院網(wǎng)絡(luò)出口安全設(shè)計(jì)

2.1.1

網(wǎng)絡(luò)出口定義

如上圖所示：網(wǎng)絡(luò)出口是指企事業(yè)單位網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)、教育網(wǎng)、銀行專網(wǎng)）連接的網(wǎng)絡(luò)邊界區(qū)域，其范圍一般是指從企事業(yè)單位網(wǎng)絡(luò)核心交換到連接外部網(wǎng)絡(luò)邊界的部分，一個(gè)單位可能存在一個(gè)或多個(gè)網(wǎng)絡(luò)出口。

網(wǎng)絡(luò)出口是一個(gè)單位網(wǎng)絡(luò)連接外界網(wǎng)絡(luò)的紐帶，是對(duì)外提供服務(wù)的窗口，面對(duì)的環(huán)境非常復(fù)雜，變化多端，此網(wǎng)絡(luò)區(qū)域面臨的安全風(fēng)險(xiǎn)最大，需要重點(diǎn)保護(hù)。

2.1.2

網(wǎng)絡(luò)出口安全定義

網(wǎng)絡(luò)出口安全是指通過一些安全措施和管理措施的實(shí)施，制止企事業(yè)單位內(nèi)部人員的反動(dòng)、虛假言論等非法上網(wǎng)行為，確保員工的上網(wǎng)行為符合國家、上級(jí)主管單位及本單位要求；防范來自外部網(wǎng)絡(luò)的各種攻擊行為，確保對(duì)外業(yè)務(wù)的正常運(yùn)行，維護(hù)企事業(yè)單位的形象。

**********發(fā)展有限公司

第4頁

2.1.3

出口主干安全設(shè)計(jì)

ISP1ISP2網(wǎng)站服務(wù)器網(wǎng)頁防篡改系統(tǒng)網(wǎng)站服務(wù)器網(wǎng)頁防篡改系統(tǒng)路由器鏈路負(fù)載抗DDos攻擊接入交換機(jī)IDS入侵防御負(fù)載均衡WEB防火墻防火墻上網(wǎng)行為管理透明橋接（bypass）DMZ區(qū)Si核心交換機(jī)SiSSL VPN雙機(jī)

在出口主干部署負(fù)載均衡、抗DDos攻擊、入侵防御系統(tǒng)、防火墻、上網(wǎng)行為管理、VPN網(wǎng)關(guān)設(shè)備，以上設(shè)備均采用雙機(jī)部署模式，其中上網(wǎng)行為管理具有審計(jì)功能。

下面介紹主要設(shè)備的功能特點(diǎn)。

2.1.3.1

簡介： 負(fù)載均衡

負(fù)載均衡是建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)**********發(fā)展有限公司

第5頁

絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。

功能：

? 全面的負(fù)載均衡

包括動(dòng)態(tài)速率、最少連接和觀察模式的動(dòng)態(tài)平衡，這些方法用于以整體方式跟蹤服務(wù)器的動(dòng)態(tài)性能。這保證了始終選擇最佳的資源，以提高性能?？芍С炙谢赥CP/IP協(xié)議的服務(wù)器負(fù)載均衡。可支持最小連接數(shù)、輪詢、比例、最快響應(yīng)、哈希、預(yù)測(cè)、觀察、動(dòng)態(tài)比例等負(fù)載均衡算法。

? 應(yīng)用狀態(tài)監(jiān)控

用于檢查設(shè)備、應(yīng)用和內(nèi)容的可用性，包括適合多種應(yīng)用的專用監(jiān)視器(包括多種應(yīng)用服務(wù)器、SQL、SIP、LDAP、XML/SOAP、RTSP、SASP、SMB等)，以及用于檢查內(nèi)容和模擬應(yīng)用調(diào)用的定制監(jiān)視器。

? 高可用性和交易保障

無論出現(xiàn)何種系統(tǒng)、服務(wù)器或應(yīng)用故障，都能保證它是一個(gè)高可用的解決方案。BIG-IP LTM可以主動(dòng)檢測(cè)和響應(yīng)任何服務(wù)器或應(yīng)用錯(cuò)誤。

? 支持NAT地址轉(zhuǎn)換

提供NAT地址轉(zhuǎn)換功能，能夠?qū)崿F(xiàn)動(dòng)態(tài)或靜態(tài)地址轉(zhuǎn)換。支持訪問控制列表

能夠?qū)崿F(xiàn)防火墻的基本功能，建立訪問控制列表，拒接IP網(wǎng)段或端口號(hào)嗎。? 支持路由

**********發(fā)展有限公司

第6頁

該功能為多數(shù)設(shè)備中基本功能，但只支持靜態(tài)路由，如果使用較為高級(jí)的OSPF路由協(xié)議，需要購買單獨(dú)的模塊來支持。

2.1.3.2 抗Ddos攻擊

DDoS攻擊一般通過Internet上那些“僵尸”系統(tǒng)完成，由于大量個(gè)人電腦聯(lián)入Internet，且防護(hù)措施非常少，所以極易被黑客利用，通過植入某些代碼，這些機(jī)器就成為DDoS攻擊者的武器。當(dāng)黑客發(fā)動(dòng)大規(guī)模的DDoS時(shí)，只需要同時(shí)向這些將僵尸機(jī)發(fā)送某些命令，就可以由這些“僵尸”機(jī)器完成攻擊。隨著Botnet的發(fā)展，DDoS造成的攻擊流量的規(guī)?？梢苑浅ｓ@人，會(huì)給應(yīng)用系統(tǒng)或是網(wǎng)絡(luò)本身帶來非常大的負(fù)載消耗。

針對(duì)目前流行的DDoS攻擊，包括未知的攻擊形式，綠盟科技提供了自主研發(fā)的抗拒絕服務(wù)產(chǎn)品——NSFOCUS Anti-DDoS System，簡稱NSFOCUS ADS。通過及時(shí)發(fā)現(xiàn)背景流量中各種類型的攻擊流量，NSFOCUS ADS可以迅速對(duì)攻擊流量進(jìn)行過濾或旁路，保證正常流量的通過。產(chǎn)品可以在多種網(wǎng)絡(luò)環(huán)境下輕松部署，不僅能夠避免單點(diǎn)故障的發(fā)生，同時(shí)也能保證網(wǎng)絡(luò)的整體性能和可靠性。2.1.3.3 入侵防御系統(tǒng)

近年來，企業(yè)所面臨的安全問題越來越復(fù)雜，安全威脅正在飛速增長，尤其混合威脅的風(fēng)險(xiǎn)，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡(luò)、垃圾郵件、網(wǎng)絡(luò)資源濫用（P2P下載、IM即時(shí)通訊、網(wǎng)游、視頻）等，極大地困擾著用戶，給企業(yè)的信息網(wǎng)絡(luò)造成嚴(yán)重的破壞。

能否及時(shí)發(fā)現(xiàn)并成功阻止網(wǎng)絡(luò)黑客的入侵、保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行便成為企業(yè)所面臨的一個(gè)重要問題。針對(duì)日趨復(fù)雜的應(yīng)用安全威脅和混合型網(wǎng)絡(luò)攻擊，綠盟科技提供了完善的安全防護(hù)方案。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)（以下簡稱“NSFOCUS NIPS”）是綠盟科技擁有完全自主知識(shí)產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種在線部署的產(chǎn)品，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)應(yīng)對(duì)各類攻擊流量，**********發(fā)展有限公司

第7頁

第一時(shí)間將安全威脅阻隔在企業(yè)網(wǎng)絡(luò)外部。這類產(chǎn)品彌補(bǔ)了防火墻、入侵檢測(cè)等產(chǎn)品的不足，提供動(dòng)態(tài)的、深度的、主動(dòng)的安全防御，為企業(yè)提供了一個(gè)全新的入侵防護(hù)解決方案。

2.1.3.4 下一代應(yīng)用防火墻

*****NGAF系列產(chǎn)品是一款以應(yīng)用安全需求出發(fā)而設(shè)計(jì)的下一代應(yīng)用防火墻。彌補(bǔ)了傳統(tǒng)防火墻基于端口/IP無法防護(hù)應(yīng)用層安全威脅的缺陷；改善了 UTM類設(shè)備簡單功能堆砌，性能瓶頸的弱點(diǎn)。通過單次解析引擎真正做到將防火墻、VPN、入侵防御、服務(wù)器防護(hù)、病毒防護(hù)、內(nèi)容過濾、流量控制等多種安全 技術(shù)有機(jī)的融合到一起，提供多功能、高性能的電信級(jí)安全設(shè)備。與傳統(tǒng)安全設(shè)備相比它可以針對(duì)豐富的應(yīng)用提供更完整的可視化內(nèi)容安全防護(hù)。

NGAF繼承了傳統(tǒng)防火墻的優(yōu)秀品質(zhì)，能夠適應(yīng)各種復(fù)雜的網(wǎng)絡(luò)環(huán)境，同時(shí)通過單次解析引擎、應(yīng)用可視化引擎、灰度威脅關(guān)聯(lián)分析引擎三大創(chuàng)新引擎技術(shù)，提供強(qiáng)大的網(wǎng)絡(luò)安全防護(hù)、可視化的應(yīng)用管控、全面的應(yīng)用安全防護(hù)，形成2-7層一體化安全防護(hù)解決方案。2.1.3.5 VPN網(wǎng)關(guān)

現(xiàn)在，隨著移動(dòng)存儲(chǔ)技術(shù)及商務(wù)模式的發(fā)展，選擇遠(yuǎn)程辦公的人越來越多。隨著中國經(jīng)濟(jì)的騰飛，企事業(yè)單位對(duì)員工移動(dòng)辦公、遠(yuǎn)程接入總部內(nèi)網(wǎng)辦公的需求越來越強(qiáng)，特別是WLAN技術(shù)、無線技術(shù)的發(fā)展更加劇了這種趨勢(shì)。如何實(shí)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)隔離、服務(wù)器隔離，構(gòu)建安全的業(yè)務(wù)子網(wǎng)，供組織日常辦公，這已成為IT管理者面臨的重大挑戰(zhàn)。

*****VPN網(wǎng)關(guān)給遠(yuǎn)程移動(dòng)辦公所達(dá)到的效果

1、通過SSL VPN，遠(yuǎn)程辦公和移動(dòng)用戶可以隨時(shí)訪問內(nèi)部辦公平臺(tái)，獲取、提交信息非常便捷；

2、*****SSL VPN提供目前最豐富的認(rèn)證，包括USB Key、短信口令、軟鍵盤、動(dòng)**********發(fā)展有限公司

第8頁

態(tài)令牌、CA、硬件特征碼等，最大程度上確保接入用戶身份的合法性；

3、*****SSL VPN能夠?qū)?nèi)網(wǎng)的訪問權(quán)限進(jìn)行細(xì)致地設(shè)定，對(duì)不同的用戶分配不同的權(quán)限規(guī)則，避免內(nèi)部出現(xiàn)安全隱患；

4、*****SSL VPN操作簡易，支持多種部署模式，不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)造成任何影響，各種服務(wù)及應(yīng)用均可正常使用，與中國人民銀行的各種IT辦公系統(tǒng)結(jié)合良好。2.1.3.6 上網(wǎng)行為管理系統(tǒng)

*****上網(wǎng)行為管理產(chǎn)品作為中國上網(wǎng)行為管理領(lǐng)域的第一品牌，可助您實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)訪問行為的全面管理。*****上網(wǎng)行為管理產(chǎn)品憑借強(qiáng)大的功能和簡便的操作，可在網(wǎng)頁過濾、行為控制、流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風(fēng)險(xiǎn)、互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全等多個(gè)方面為您提供最有效的解決方案。

2.1.4

DMZ區(qū)域安全

網(wǎng)站服務(wù)器網(wǎng)頁防篡改系統(tǒng)網(wǎng)站服務(wù)器網(wǎng)頁防篡改系統(tǒng)接入交換機(jī)IDS網(wǎng)絡(luò)審計(jì)探針負(fù)載均衡WEB防火墻DMZ區(qū)

DMZ區(qū)域部署WEB防火墻、負(fù)載均衡、IDS。下面介紹主要設(shè)備的功能特點(diǎn)。

**********發(fā)展有限公司

第9頁

2.1.4.1

簡介： Web防火墻

Web防火墻（WAF）是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。

功能：

? 異常檢測(cè)協(xié)議

Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求。并且，它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項(xiàng)。

? 增強(qiáng)的輸入驗(yàn)證

增強(qiáng)輸入驗(yàn)證，可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。

? 及時(shí)補(bǔ)丁

修補(bǔ)Web安全漏洞，是Web應(yīng)用開發(fā)者最頭痛的問題，沒人會(huì)知道下一秒有什么樣的漏洞出現(xiàn)，會(huì)為Web應(yīng)用帶來什么樣的危害?，F(xiàn)在WAF可以為我們做這項(xiàng)工作了——只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞。當(dāng)然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對(duì)應(yīng)的補(bǔ)丁本身就是一種安全威脅，但我們?cè)跊]有選擇的情況下，任何保護(hù)措施都比沒有保護(hù)措施更好。

? 基于規(guī)則的保護(hù)和基于異常的保護(hù)

基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會(huì)維護(hù)這個(gè)規(guī)則**********發(fā)展有限公司

第10頁

庫，并時(shí)時(shí)為其更新。用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。但這需要對(duì)用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實(shí)中這是十分困難的一件事情。

? 狀態(tài)管理

WAF能夠判斷用戶是否是第一次訪問并且將請(qǐng)求重定向到默認(rèn)登錄頁面并且記錄事件。通過檢測(cè)用戶的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理模式還能檢測(cè)出異常事件（比如登陸失?。?，并且在達(dá)到極限值時(shí)進(jìn)行處理。這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的。

? 其他防護(hù)技術(shù)

WAF還有一些安全增強(qiáng)的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如：隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。

2.1.4.2

簡介： 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IDS）就是依照一定的安全策略，通過軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

功能：

? 攻擊檢測(cè)和防護(hù)

例如802.1Q支持、狀態(tài)識(shí)別、協(xié)議解碼、特征匹配、異常檢測(cè)、DoS攻擊、蠕蟲/病毒/木馬、BackDoor、緩沖區(qū)溢出、DoS/DDoS攻擊等。

? 事件響應(yīng)

**********發(fā)展有限公司

第11頁

應(yīng)支持SNMP Trap、Linktrust簡單互動(dòng)協(xié)議（SLP）、控制臺(tái)實(shí)時(shí)顯示、記錄至數(shù)據(jù)庫、Mail郵件響應(yīng)、SSH命令聯(lián)動(dòng)、Syslog日志、用戶定制等。

? 系統(tǒng)管理

IDS在管理上應(yīng)支持串口管理、集中管理平臺(tái)、安全運(yùn)行中心（SOC）、在線/本地升級(jí)、與第三方管理系統(tǒng)集成。

? 故障探測(cè)

對(duì)于故障探測(cè)需支持通信鏈路故障、設(shè)備故障、應(yīng)用服務(wù)故障、監(jiān)控鏈路故障。? 抗逃避保護(hù)

如IP 分段重組、TCP 流重組、Unicode 解析、應(yīng)用層協(xié)議狀態(tài)追蹤。? 安全性

通訊加密、簽名升級(jí)包/本地?cái)?shù)據(jù)加密。

**********發(fā)展有限公司

第12頁 內(nèi)網(wǎng)與外網(wǎng)安全隔離

? ? ?OA系統(tǒng)數(shù)據(jù)庫數(shù)字庭審交換機(jī)IDS網(wǎng)閘防火墻內(nèi)部專網(wǎng)

依據(jù)上圖所示，在內(nèi)外網(wǎng)中間部署防火墻，防火墻后面串接網(wǎng)閘設(shè)備，而入侵檢測(cè)系統(tǒng)（IDS）進(jìn)行旁路部署，通過以上部署實(shí)現(xiàn)立體和多方位的安全防范，保證內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)安全及數(shù)據(jù)安全。

3.1.1

防火墻的部署

在內(nèi)網(wǎng)業(yè)務(wù)網(wǎng)絡(luò)出口部署防火墻，可以抵擋外來的攻擊，將外網(wǎng)核心交換機(jī)連接到防火墻的外網(wǎng)接口上，通過相應(yīng)的策略來保護(hù)和控制內(nèi)部網(wǎng)絡(luò)不受外來的攻擊。

3.1.2

安全隔離及數(shù)據(jù)交換系統(tǒng)

依據(jù)*****法院網(wǎng)絡(luò)隔離及數(shù)據(jù)交換高安全性要求，建議采用安全隔離與信息交換子系統(tǒng)（以下簡稱網(wǎng)閘）實(shí)現(xiàn)法院內(nèi)外和外網(wǎng)之間的安全隔離及數(shù)據(jù)交換。如下圖所示：

**********發(fā)展有限公司

第13頁

外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)交換機(jī)網(wǎng)閘交換機(jī) 采用千兆網(wǎng)閘，實(shí)現(xiàn)法院內(nèi)外網(wǎng)的安全隔離，切斷內(nèi)外網(wǎng)的TCP/IP會(huì)話穿透，有效地防止基于網(wǎng)絡(luò)的各種攻擊如后門木馬攻擊，安全隔離確保了物理鏈路層的安全和上層應(yīng)用的安全，真正實(shí)現(xiàn)了網(wǎng)絡(luò)的隔離，同時(shí)，通過網(wǎng)閘的數(shù)據(jù)庫同步模塊、web訪問模塊、郵件模塊、文件同步模塊、tcp代理模塊、udp代理模塊等實(shí)現(xiàn)內(nèi)外網(wǎng)之間特定的數(shù)據(jù)交換。安全管理區(qū)

接入交換機(jī)可信運(yùn)維系統(tǒng)IDS審計(jì)監(jiān)控服務(wù)器 網(wǎng)絡(luò)防病毒服務(wù)器安全管理區(qū)網(wǎng)頁防篡改發(fā)布系統(tǒng)管理服務(wù)器（安裝網(wǎng)絡(luò)管理系統(tǒng)）

該區(qū)域作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理區(qū)域，其重要性不言而喻，該區(qū)域內(nèi)部署可信運(yùn)維系統(tǒng)、IDS、審計(jì)數(shù)據(jù)服務(wù)器、網(wǎng)絡(luò)管理系統(tǒng)等。

**********發(fā)展有限公司

第14頁 互聯(lián)網(wǎng)用戶區(qū)

互聯(lián)網(wǎng)用戶區(qū)

法院互聯(lián)網(wǎng)用戶區(qū)終端數(shù)量比較多，管理難度很大，有效管理該區(qū)的終端從而有效保障網(wǎng)絡(luò)安全也顯得尤為重要。近兩年的安全防御調(diào)查也表明，政府、企業(yè)以及金融證券等單位中超過80%的管理和安全問題來自終端，計(jì)算機(jī)終端廣泛涉及每個(gè)用戶，由于其分散、不被重視、安全手段缺乏的特點(diǎn)，已使得終端安全成為信息安全體系的薄弱環(huán)節(jié)。因此，網(wǎng)絡(luò)安全呈現(xiàn)出了新的發(fā)展趨勢(shì)，對(duì)于各政府企業(yè)網(wǎng)絡(luò)來說，安全戰(zhàn)場(chǎng)已經(jīng)逐步由核心與主干的防護(hù)，轉(zhuǎn)向網(wǎng)絡(luò)內(nèi)部的每一個(gè)終端。

通過部署桌面安全管理系統(tǒng)來解決互聯(lián)網(wǎng)用戶區(qū)的安全隱患和管理難題。桌面安全管理系統(tǒng)主要著眼于網(wǎng)絡(luò)中臺(tái)式機(jī)、服務(wù)器、便攜機(jī)、網(wǎng)絡(luò)設(shè)備及終端用戶的綜合安全防護(hù)。PC Master 提供網(wǎng)絡(luò)監(jiān)視模塊、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)報(bào)警、軟硬件資產(chǎn)管理、補(bǔ)丁管理和軟件分發(fā)、遠(yuǎn)程桌面管理等功能模塊，通過對(duì)每一個(gè)網(wǎng)絡(luò)設(shè)備的監(jiān)視和控制、網(wǎng)絡(luò)用戶行為的監(jiān)視和記錄，將網(wǎng)絡(luò)的安全隱患可視化，能最大限度地防止敏感信息的泄漏、破壞和違規(guī)外傳，并完整記錄涉及敏感信息的操作日志以便事后審計(jì)和追究泄密責(zé)任，同時(shí)也能對(duì)個(gè)人桌面系統(tǒng)的軟硬件資源實(shí)施安全管理，并對(duì)個(gè)人桌面系統(tǒng)的工作狀況進(jìn)行監(jiān)控和審計(jì)，從而有效的控制和防范信息安全事故。最終實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)始終處于安全、可靠、保密的環(huán)境下運(yùn)行，幫助用戶各類業(yè)務(wù)統(tǒng)一優(yōu)化、規(guī)范管理，保障各類業(yè)務(wù)正常安全運(yùn)行。

**********發(fā)展有限公司

第15頁

5.1

網(wǎng)絡(luò)管理系統(tǒng)

*****網(wǎng)絡(luò)管理系統(tǒng)（*****）是針對(duì)解決各行業(yè)中、小型企事業(yè)單位，目前在IT管理過程中所面臨的3個(gè)挑戰(zhàn)以及所需要克服的1個(gè)矛盾（即內(nèi)、外部客戶滿意度、成本控制與系統(tǒng)安全之間的挑戰(zhàn)；IT系統(tǒng)日益增長的復(fù)雜性與運(yùn)維人數(shù)、專業(yè)知識(shí)結(jié)構(gòu)之間的矛盾）的第五代專家智能型綜合網(wǎng)管系統(tǒng)。*****涵蓋了網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、存儲(chǔ)設(shè)備、通訊設(shè)備、傳輸設(shè)備、數(shù)據(jù)庫應(yīng)用及中間件應(yīng)用等管理，它結(jié)合了大型定制型網(wǎng)管及第三代網(wǎng)管的簡單易用這兩方面的特點(diǎn)，并以非編程擴(kuò)展的方法，滿足了用戶單位不斷增加IT資源管理的要求。同時(shí)系統(tǒng)能兼容整合第三代網(wǎng)管和其它工具，專注于用戶各種設(shè)備、應(yīng)用及服務(wù)等資源的健康度、可用率和服務(wù)水平的管理，保證IT部門用戶的滿意度，并通過智能化專家系統(tǒng)解決了用戶單位日益復(fù)雜的IT資源與運(yùn)維人員數(shù)量不足、專業(yè)知識(shí)結(jié)構(gòu)之間的矛盾，將各種復(fù)雜的網(wǎng)絡(luò)管理工作簡易化、便捷化與自動(dòng)化，有效幫助網(wǎng)絡(luò)管理人員輕松駕馭網(wǎng)絡(luò)，提高網(wǎng)絡(luò)管理效率。

5.2

可信運(yùn)維系統(tǒng)

隨著國家信息化建設(shè)的不斷深入開展，IT系統(tǒng)在各領(lǐng)域發(fā)揮的重要性越來越高。政府、醫(yī)療、運(yùn)營商、金融、大型工業(yè)企業(yè)都高度依賴IT系統(tǒng)進(jìn)行生產(chǎn)和服務(wù)。然而，隨著IT系統(tǒng)規(guī)模的擴(kuò)大，以及IT系統(tǒng)資產(chǎn)價(jià)值的增加，系統(tǒng)面臨的安全威脅也隨之增加。這些威脅中除了來自外部的黑客攻擊以外，更多的是由于內(nèi)部運(yùn)維管理水平的不足而產(chǎn)生的，如：內(nèi)部運(yùn)維人員的惡意破壞操作、誤操作，第三方維護(hù)人員的越權(quán)訪問、數(shù)據(jù)竊取等等。這些由于內(nèi)部(第三方支持人員)而產(chǎn)生的安全事件，對(duì)單位或者企業(yè)造成更大的負(fù)面影響，其所能造成的損失往往是不可估量。

此外，隨著IT管理水平的提升，管理制度的健全，無論是政府還是企業(yè)單位、上市公司，對(duì)于國家或行業(yè)的法律法規(guī)的要求都越來越高，法規(guī)遵從的重點(diǎn)之一就是如何處理來自內(nèi)部的運(yùn)維管理風(fēng)險(xiǎn)日益，規(guī)避內(nèi)部IT操作風(fēng)險(xiǎn)。因此，如何針對(duì)內(nèi)部運(yùn)維人員的運(yùn)維行為進(jìn)行審計(jì)，如何提高系統(tǒng)運(yùn)維管理水平，滿足相關(guān)法規(guī)標(biāo)準(zhǔn)要**********發(fā)展有限公司

第16頁

求，已經(jīng)成為所有信息部門急需解決的問題。

上海金電網(wǎng)安可信運(yùn)維管理系統(tǒng)就是新一代運(yùn)維安全審計(jì)產(chǎn)品，它能夠?qū)\(yùn)維人員的訪問過程進(jìn)行細(xì)粒度的授權(quán)、全過程的操作記錄及控制、全方位的操作審計(jì)、并支持事后操作過程回放功能，實(shí)現(xiàn)運(yùn)維過程的“事前預(yù)防、事中控制、事后審計(jì)”，在簡化運(yùn)維操作的同時(shí)，全面解決各種復(fù)雜環(huán)境下的運(yùn)維安全問題，提升企業(yè)IT運(yùn)維管理水平。高可用集群軟件

隨著中國經(jīng)濟(jì)整體堅(jiān)挺的增長，軟件市場(chǎng)也持續(xù)著高速增長。特別是四川大地震等自然災(zāi)害的影響對(duì)提高系統(tǒng)的高可用性、保證企業(yè)業(yè)務(wù)連續(xù)性的需求逐年遞增。

以前，具有高信賴性的高可用容錯(cuò)集群系統(tǒng)多用于UNIX系統(tǒng)下?，F(xiàn)在,隨著Windows/Linux系統(tǒng)的需求增長，出現(xiàn)對(duì)UNIX系統(tǒng)需求減少的趨勢(shì)。能夠適應(yīng)于Windows/Linux市場(chǎng)需求的，是SIOS Technology Corp（SteelEye）的高可用容錯(cuò)集群系統(tǒng)軟件「LifeKeeper」。

SIOS公司與美國、日本的HP集團(tuán)有著緊密的合作關(guān)系、便于建立良好的合作關(guān)系。

「 LifeKeeper 」的易于配置、堅(jiān)牢的的高可用容錯(cuò)集群的結(jié)構(gòu)與HP系列服務(wù)器和存儲(chǔ)設(shè)備特有的出色的能耗低、電源效率高、高擴(kuò)展性的組合，可以提供具有系統(tǒng)冗余和環(huán)保性能的解決方案。促進(jìn)具有高性能·高可靠性HP服務(wù)器和存儲(chǔ)設(shè)備在高可用容錯(cuò)集群軟件市場(chǎng)的普及，有效地?cái)U(kuò)大HP服務(wù)器和存儲(chǔ)設(shè)備的市場(chǎng)占有率。

**********發(fā)展有限公司

第17頁

**********發(fā)展有限公司

第18頁

第二篇：網(wǎng)絡(luò)安全設(shè)計(jì)方案

某校園網(wǎng)方案.........................................................2 網(wǎng)絡(luò)防火墻設(shè)計(jì)中的問題..............................................17 如何構(gòu)建網(wǎng)絡(luò)整體安全方案............................................25 四臺(tái)Cisco防火墻實(shí)現(xiàn)VPN網(wǎng)絡(luò)........................................31 企業(yè)級(jí)防火墻選購熱點(diǎn)................................................35 增強(qiáng)路由器安全的十個(gè)技巧............................................38 啟明星辰銀行安全防御方案............................................39 神碼基金公司信息安全解決方案........................................40 安天校園網(wǎng)解決方案..................................................43 網(wǎng)絡(luò)入侵檢測(cè)解決方案................................................46 企業(yè)需要什么樣的IDS 測(cè)試IDS的幾個(gè)性能指標(biāo)..........................48 東軟安全助力武漢信用風(fēng)險(xiǎn)管理信息系統(tǒng)................................52 某校園網(wǎng)方案 1.1設(shè)計(jì)原則

1.充分滿足現(xiàn)在以及未來3-5年內(nèi)的網(wǎng)絡(luò)需求，既要保證校園網(wǎng)能很好的為學(xué)校服務(wù)，又要保護(hù)學(xué)校的投資。

2.強(qiáng)大的安全管理措施，四分建設(shè)、六分管理，管理維護(hù)的好壞是校園網(wǎng)正常運(yùn)行的關(guān)鍵

3.在滿足學(xué)校的需求的前提下，建出自己的特色 1.2網(wǎng)絡(luò)建設(shè)需求 網(wǎng)絡(luò)的穩(wěn)定性要求

? 整個(gè)網(wǎng)絡(luò)需要具有高度的穩(wěn)定性，能夠滿足不同用戶對(duì)網(wǎng)絡(luò)訪問的不同要求

網(wǎng)絡(luò)高性能需求

? 整個(gè)網(wǎng)絡(luò)系統(tǒng)需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網(wǎng)各種應(yīng)用的暢通無阻

? 認(rèn)證計(jì)費(fèi)效率高，對(duì)用戶的認(rèn)證和計(jì)費(fèi)不會(huì)對(duì)網(wǎng)絡(luò)性能造成瓶頸 網(wǎng)絡(luò)安全需求 ? 防止IP地址沖突 ? 非法站點(diǎn)訪問過濾 ? 非法言論的準(zhǔn)確追蹤 ? 惡意攻擊的實(shí)時(shí)處理 ? 記錄訪問日志提供完整審計(jì) 網(wǎng)絡(luò)管理需求

? 需要方便的進(jìn)行用戶管理，包括開戶、銷戶、資料修改和查詢 ? 需要能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行集中的統(tǒng)一管理 ? 需要對(duì)網(wǎng)絡(luò)故障進(jìn)行快速高效的處理 第二章、某校園網(wǎng)方案設(shè)計(jì) 2.1校園網(wǎng)現(xiàn)網(wǎng)拓?fù)鋱D 整個(gè)網(wǎng)絡(luò)采用二級(jí)的網(wǎng)絡(luò)架構(gòu)：核心、接入。

核心采用一臺(tái)RG－S4909，負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)，同時(shí)為接入交換機(jī)S1926F+、內(nèi)部服務(wù)器提供百兆接口。網(wǎng)絡(luò)出口采用RG-WALL1200防火墻。原有網(wǎng)絡(luò)設(shè)備功能較少，無法進(jìn)行安全防護(hù)，已經(jīng)不能滿足應(yīng)用的需求。

2.2校園網(wǎng)設(shè)備更新方案

方案一：不更換核心設(shè)備

核心仍然采用銳捷網(wǎng)絡(luò)S4909交換機(jī)，在中校區(qū)增加一臺(tái)SAM服務(wù)器，部署SAM系統(tǒng)，同時(shí)東校區(qū)和西校區(qū)各用3臺(tái)S2126G替換原有S1926F+,其中匯聚交換機(jī)各采用一臺(tái)新增的S2126G，剩余的兩臺(tái)S2126G用于加強(qiáng)對(duì)關(guān)鍵機(jī)器的保護(hù)，中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺(tái)S2126G做為匯聚設(shè)備，其它交換機(jī)分別接入這兩臺(tái)交換機(jī)，從而實(shí)現(xiàn)所有匯聚層交換機(jī)都能進(jìn)行安全控制，重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。

方案二：更換核心設(shè)備

核心采用一臺(tái)銳捷網(wǎng)絡(luò)面向10萬兆平臺(tái)設(shè)計(jì)的多業(yè)務(wù)IPV6路由交換機(jī)RG-S8606，負(fù)責(zé)整個(gè)校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增加一臺(tái)SAM服務(wù)器，部署SAM系統(tǒng)，同時(shí)東校區(qū)和西校區(qū)各用3臺(tái)S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設(shè)備，下接三臺(tái)S2126G實(shí)現(xiàn)安全控制，其它二層交換機(jī)分別接入相應(yīng)的S2126G。西校區(qū)匯聚采用一臺(tái)S2126G，剩余兩臺(tái)S2126G用于保護(hù)重點(diǎn)機(jī)器，其它交換機(jī)接入對(duì)應(yīng)的S2126G。中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺(tái)S2126G做為匯聚設(shè)備，其它交換機(jī)分別接入這兩臺(tái)交換機(jī)，從而實(shí)現(xiàn)所有匯聚層交換機(jī)都能進(jìn)行安全控制，重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。

2.3骨干網(wǎng)絡(luò)設(shè)計(jì)

骨干網(wǎng)絡(luò)由RG-S8606構(gòu)成，核心交換機(jī)RG-S8606主要具有5特性：

1、骨干網(wǎng)帶寬設(shè)計(jì)：千兆骨干，可平滑升級(jí)到萬兆

整個(gè)骨干網(wǎng)采用千兆雙規(guī)線路的設(shè)計(jì)，二條線路通過VRRP冗余路由協(xié)議和OSPF動(dòng)態(tài)路由協(xié)議實(shí)現(xiàn)負(fù)載分擔(dān)和冗余備份，以后，隨著網(wǎng)絡(luò)流量的增加，可以將鏈路升級(jí)到萬兆。

2、骨干設(shè)備的安全設(shè)計(jì)：CSS安全體系架構(gòu)

3、CSS之硬件CPP CPP即CPU Protect Policy，RG-S8606采用硬件來實(shí)現(xiàn)，CPP提供管理模塊和線卡CPU的保護(hù)功能，對(duì)發(fā)往CPU的數(shù)據(jù)流進(jìn)行帶寬限制（總帶寬、QOS隊(duì)列帶寬、類型報(bào)文帶寬），這樣，對(duì)于ARP攻擊的數(shù)據(jù)流、針對(duì)CPU的網(wǎng)絡(luò)攻擊和病毒數(shù)據(jù)流，RG-S8606分配給其的帶寬非常的有限，不會(huì)影響其正常工作。

由于銳捷10萬兆產(chǎn)品RG-S8606采用硬件的方式實(shí)現(xiàn)，不影響整機(jī)的運(yùn)行效率

4、CSS之SPOH技術(shù)

現(xiàn)在的網(wǎng)絡(luò)需要更安全、需要為不同的業(yè)務(wù)提供不同的處理優(yōu)先級(jí)，這樣，大量的ACL和QOS需要部署，需要核心交換機(jī)來處理，而這些應(yīng)用屬于對(duì)交換機(jī)硬件資源消耗非常大的，核心交換機(jī)RG-S8606通過在交換機(jī)的每一個(gè)用戶端口上增加一個(gè)FFP(快速過濾處理器)，專門用來處理ACL和QOS，相當(dāng)于把交換機(jī)的每一個(gè)端口都變成了一臺(tái)獨(dú)立的交換機(jī)，可以保證在非常復(fù)雜的網(wǎng)絡(luò)環(huán)境中核心交換機(jī)的高性

能。

2.4網(wǎng)絡(luò)安全設(shè)計(jì)

2.4.1某校園網(wǎng)網(wǎng)絡(luò)安全需求分析

1、網(wǎng)絡(luò)病毒的防范

病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個(gè)特征就是用戶數(shù)比較多，會(huì)有很多的PC機(jī)缺乏有效的病毒防范手段，這樣，當(dāng)用戶在頻繁的訪問INTERNET的時(shí)候，通過局域網(wǎng)共享文件的時(shí)候，通過U盤，光盤拷貝文件的時(shí)候，系統(tǒng)都會(huì)感染上病毒，當(dāng)某個(gè)學(xué)生感染上病毒后，他會(huì)向校園網(wǎng)的每一個(gè)角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務(wù)器。

病毒對(duì)校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問得不到響應(yīng)，辦公平臺(tái)不能使用；資源庫、VOD不能點(diǎn)播；INTERNET上不了，學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的 尷尬境地。

2、防止IP、MAC地址的盜用

IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級(jí)選項(xiàng)中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會(huì)引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對(duì)應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。

IP、MAC地址的盜用對(duì)校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò)，因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時(shí)候，自己的電腦上會(huì)經(jīng)常彈出MAC地址沖突的對(duì)話框。由于擔(dān)心一些機(jī)密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會(huì)盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對(duì)校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會(huì)逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務(wù)于教學(xué)的作用，造成很大程度上的資源浪費(fèi)。

3、安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶 安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶原因：

? 國家的要求：2002年，朱镕基簽署了282號(hào)令，要求各大INTERNET運(yùn)營機(jī)構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門審計(jì)。

? 校園網(wǎng)正常運(yùn)行的需求：如果說不能準(zhǔn)確的定位到用戶，學(xué)生會(huì)在網(wǎng)絡(luò)中肆無忌彈進(jìn)行各種非法的活動(dòng)，會(huì)使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴(yán)重的是，如

果當(dāng)某個(gè)學(xué)生在校外的某個(gè)站點(diǎn)發(fā)布了大量涉及政治的言論，這時(shí)候公安部門的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時(shí)候，我們無法處理，學(xué)?；蛘哒f網(wǎng)絡(luò)中心只有替學(xué)生背這個(gè)黑鍋。

4、安全事故發(fā)生時(shí)候，不能準(zhǔn)確定位到用戶的影響：

一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會(huì)上廣泛傳播，上級(jí)主管部門會(huì)對(duì)學(xué)校做出處理；同時(shí)也會(huì)大大降低學(xué)校在社會(huì)上的影響力，降低家長、學(xué)生對(duì)學(xué)校的滿意度，對(duì)以后學(xué)生的招生也是大有影響的。

5、用戶上網(wǎng)時(shí)間的控制

無法控制學(xué)生上網(wǎng)時(shí)間的影響：如果缺乏有效的機(jī)制來限制用戶的上網(wǎng)時(shí)間，學(xué)生可能會(huì)利用一切機(jī)會(huì)上網(wǎng)，會(huì)曠課。學(xué)生家長會(huì)對(duì)學(xué)校產(chǎn)生強(qiáng)烈的不滿，會(huì)認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書育人。這對(duì)學(xué)校的聲譽(yù)以及學(xué)校的長期發(fā)展是及其不利的。

6、用戶網(wǎng)絡(luò)權(quán)限的控制

在校園網(wǎng)中，不同用戶的訪問權(quán)限應(yīng)該是不一樣的，比如學(xué)生應(yīng)該只能夠訪問資源服務(wù)器，上網(wǎng)，不能訪問辦公網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問財(cái)務(wù)網(wǎng)絡(luò)。因此，需要對(duì)用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。

7、各種網(wǎng)絡(luò)攻擊的有效屏蔽

校園網(wǎng)中常見的網(wǎng)絡(luò)攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務(wù)器及DHCP攻擊、竊取交換機(jī)的管理員密碼、發(fā)送大量的廣播報(bào)文，這些攻擊的存在，會(huì)擾亂網(wǎng)絡(luò)的正常運(yùn)行，降低了校園網(wǎng)的效率。

2.4.2某校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)思想 2.4.2.1安全到邊緣的設(shè)計(jì)思想

用戶在訪問網(wǎng)絡(luò)的過程中，首先要經(jīng)過的就是交換機(jī)，如果我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時(shí)候，也就是在接入層交換機(jī)上部署網(wǎng)絡(luò)安全無疑是達(dá)到更好的效果。2.4.2.2全局安全的設(shè)計(jì)思想

銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)安全，安全不是某一個(gè)設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能，互相協(xié)作，形成一個(gè)全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)安全。2.4.2.3全程安全的設(shè)計(jì)思想

用戶的網(wǎng)絡(luò)訪問行為可以分為三個(gè)階段，包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時(shí)候、訪問網(wǎng)絡(luò)后。對(duì)著每一個(gè)階段，都應(yīng)該有嚴(yán)格的安全控制措施。2.4.3某校園網(wǎng)網(wǎng)絡(luò)安全方案

銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和交換機(jī)嵌入式安全防護(hù)機(jī)制設(shè)計(jì)的特點(diǎn)，從三個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)安全：事前的準(zhǔn)確身份認(rèn)證、事中的實(shí)時(shí)處理、事后的完整審計(jì)。2.4.3.1事前的身份認(rèn)證

對(duì)于每一個(gè)需要訪問網(wǎng)絡(luò)的用戶，我們需要對(duì)其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號(hào)、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時(shí)間，通過以上信息的綁定，可以達(dá)到如下的效果：

? 每一個(gè)用戶的身份在整個(gè)校園網(wǎng)中是唯一，避免了個(gè)人信息被盜用.? 當(dāng)安全事故發(fā)生的時(shí)候，只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比如IP地址，就可以準(zhǔn)確定位到該用戶，便于事情的處理。

? 只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。2.4.3.2網(wǎng)絡(luò)攻擊的防范

1、常見網(wǎng)絡(luò)病毒的防范

對(duì)于常見的比如沖擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過部署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。

2、未知網(wǎng)絡(luò)病毒的防范

對(duì)于未知的網(wǎng)絡(luò)病毒，通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。

3、防止IP地址盜用和ARP攻擊

通過對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè)ARP報(bào)文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。

4、防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊 通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個(gè)命令就可以實(shí)現(xiàn)）。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。

5、非法組播源的屏蔽

銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。當(dāng)IGMP源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時(shí)可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢(shì)，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查，具有效率更高、配置更簡單、更加實(shí)用的特點(diǎn)，更加適用于校園運(yùn)營網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。

6、對(duì)DOS攻擊，掃描攻擊的屏蔽

通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。

2.4.3.3事后的完整審計(jì)

當(dāng)用戶訪問完網(wǎng)絡(luò)后，會(huì)保存有完備的用戶上網(wǎng)日志紀(jì)錄，包括某個(gè)用戶名，使用那個(gè)IP地址，MAC地址是多少，通過那一臺(tái)交換機(jī)的哪一個(gè)端口，什么時(shí)候開始訪問網(wǎng)絡(luò)，什么時(shí)候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過查詢?cè)撊罩?，來唯一的確定該用戶的身份，便于了事情的處理。2.5網(wǎng)絡(luò)管理設(shè)計(jì)

網(wǎng)絡(luò)管理包括設(shè)備管理、用戶管理、網(wǎng)絡(luò)故障管理 2.5.1網(wǎng)絡(luò)用戶管理

網(wǎng)絡(luò)用戶管理見網(wǎng)絡(luò)運(yùn)營設(shè)計(jì)開戶部分 2.5.2網(wǎng)絡(luò)設(shè)備管理

網(wǎng)絡(luò)設(shè)備的管理通過STARVIEW實(shí)現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路：

1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動(dòng)發(fā)現(xiàn)和了解

STARVIEW能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對(duì)整個(gè)校園網(wǎng)了如指掌，對(duì)于用戶私自掛接的HUB、交換機(jī)等設(shè)備能及時(shí)地發(fā)現(xiàn)，提前消除各種安全隱患。對(duì)于網(wǎng)絡(luò)中的異常故障，比如某臺(tái)交換機(jī)的CPU利用率過高，某條鏈路上的流量負(fù)載過大，STARVIEW都可以以不同的顏色進(jìn)行顯示，方便管理員及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。

2、網(wǎng)絡(luò)流量的查看

STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的察看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。

3、網(wǎng)絡(luò)故障的信息自動(dòng)報(bào)告

STARVIEW支持故障信息的自動(dòng)告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，會(huì)通過TRAP的方式進(jìn)行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故

障排除提供了豐富的信息。

4、設(shè)備面板管理

STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時(shí)可以很方便的登陸到設(shè)備上，進(jìn)行配置的修改，完善以及各種信息

的察看。

5、RGNOS操作系統(tǒng)的批量升級(jí)

校園網(wǎng)很大的一個(gè)特點(diǎn)就是規(guī)模大，需要使用大量的接入層交換機(jī)，如果需要對(duì)這些交換機(jī)進(jìn)行升級(jí)，一臺(tái)一臺(tái)的操作，會(huì)給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級(jí)功能，能夠很方便的一次對(duì)所有的相同型號(hào)的交換機(jī)進(jìn)行升級(jí)，加大的較少了網(wǎng)絡(luò)管理員的工作量。

2.5.3網(wǎng)絡(luò)故障管理

隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運(yùn)營的開始，用戶網(wǎng)絡(luò)故障的排除會(huì)成為校園網(wǎng)管理工作的重點(diǎn)和難點(diǎn)，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個(gè)流程：

2.6流量管理系統(tǒng)設(shè)計(jì)

網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的P2P軟件的使用，已經(jīng)對(duì)各種網(wǎng)絡(luò)業(yè)務(wù)的正常開展產(chǎn)生了非常嚴(yán)重的影響，有的學(xué)校甚至因?yàn)镻2P軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。2.6.1方案一：傳統(tǒng)的流量管理方案

傳統(tǒng)的流量管理方案的做法很多就是簡單的封堵這些P2P軟件，從而達(dá)到控制流量的目的，這有三大弊端，? 第一：這些軟件之所以有如此強(qiáng)大的生命力，是因?yàn)橛脩敉ㄟ^使用這些軟件的確能快速的獲取各種有用的資源，如果簡單的通過禁止的方式，用戶的意見會(huì)非常的大，同時(shí)，各種有用的資源我們很難獲取。

? 第二：各種新型的，對(duì)網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠(yuǎn)處于被動(dòng)的局面，顯然不能從根本上解決這個(gè)問題。

? 第三：我們無法獲取網(wǎng)絡(luò)中的流量信息，無法為校園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。

2.6.2方案二：銳捷的流量管理與控制方案

銳捷網(wǎng)絡(luò)的流量管理主要通過RG-NTD+日志處理軟件+RG-SAM系統(tǒng)來實(shí)現(xiàn)。

NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計(jì)費(fèi)，銳捷的流量管理方案有三大功能：

? 第一：為SAM系統(tǒng)對(duì)用戶進(jìn)行流量計(jì)費(fèi)提供原始數(shù)據(jù)，這是我們已經(jīng)實(shí)現(xiàn)了的功能。該功能能滿足不同消費(fèi)層次的用戶對(duì)帶寬的需求，經(jīng)濟(jì)條件好一點(diǎn)，可以多用點(diǎn)流量，提高了用戶的滿意度。而且，對(duì)于以后新出現(xiàn)的功能更加強(qiáng)大的下載軟件，都不必?fù)?dān)心用戶任意使用造成帶寬擁塞。

? 第二：提供日志審計(jì)和帶寬管理功能，通過NTD、SAM、日志系統(tǒng)的結(jié)合，能夠做到基于用戶身份對(duì)用戶進(jìn)行管理，做到將用戶名、源IP、目的IP直接關(guān)聯(lián)，通過目的IP，可以直接定位到用戶名，安全事件處理起來非常的方便，同時(shí)還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會(huì)在明年4月份提供。? 第三：能夠?qū)W(wǎng)絡(luò)中的各種流量了如指掌，可以對(duì)用戶經(jīng)常訪問的資源進(jìn)行分析對(duì)比，為應(yīng)用系統(tǒng)的建設(shè)、服務(wù)器的升級(jí)改造提供數(shù)據(jù)支持；能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量，從而進(jìn)行有效的防范，結(jié)合認(rèn)證計(jì)費(fèi)系統(tǒng)SAM，能夠捕捉到事件源頭，并于做出處理。

總體來說，流量控制和管理和日志系統(tǒng)的整體解決方案對(duì)于校園網(wǎng)的長期健康可持續(xù)發(fā)展是很有幫助的。

網(wǎng)絡(luò)防火墻設(shè)計(jì)中的問題

1．方案：硬件？還是軟件？

現(xiàn)在防火墻的功能越來越多越花哨，如此多的功能必然要求系統(tǒng)有一個(gè)高效的處理能力。

防火墻從實(shí)現(xiàn)上可以分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint 公司的Firewall-I為代表，其實(shí)現(xiàn)是通過 dev_add_pack的辦法加載過濾函數(shù)（Linux，其他操作系統(tǒng)沒有作分析，估計(jì)類似），通過在操作系統(tǒng)底層做工作來實(shí)現(xiàn)防火墻的各種功能和優(yōu) 化。國內(nèi)也有一些所謂的軟件防火墻，但據(jù)了解大多是所謂“個(gè)人”防火墻，而且功能及其有限，故不在此討論范圍。

在國內(nèi)目前已通過公安部檢驗(yàn)的防火墻中，硬件防火墻占絕大多數(shù)。硬件防火墻一種是從硬件到軟件都單獨(dú)設(shè)計(jì)，典型如Netscreen防火墻不但軟件部分單獨(dú)設(shè)計(jì)，硬件部分也采用專門的ASIC集成電路。

另外一種就是基于PC架構(gòu)的使用經(jīng)過定制的通用操作系統(tǒng)的所謂硬件防火墻。目前國內(nèi)絕大

多數(shù)防火墻都屬于這種類型。

雖然都號(hào)稱硬件防火墻，國內(nèi)廠家和國外廠家還是存在著巨大區(qū)別。硬件防火墻需要在硬 件和軟件兩方面同時(shí)下功夫，國外廠家的通常做法是軟件運(yùn)算硬件化，其所設(shè)計(jì)或選用的運(yùn)行平臺(tái)本身的性能可能并不高，但它將主要的運(yùn)算程序（查表運(yùn)算是防火 墻的主要工作）做成芯片，以減少主機(jī)CPU的運(yùn)算壓力。國內(nèi)廠家的防火墻硬件平臺(tái)基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是可以節(jié)省硬件開發(fā)成 本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量而已?，F(xiàn)在國內(nèi)防火墻的一個(gè)典型結(jié)構(gòu)就是：工業(yè)主板+x86+128（256）M內(nèi)存+DOC/DOM+硬盤（或不要硬盤而另增加一個(gè)日志服務(wù)器）+百兆網(wǎng)卡 這 樣一個(gè)工業(yè)PC結(jié)構(gòu)。

在軟件性能方面，國內(nèi)外廠家的差別就更大了，國外（一些著名）廠家均是采用專用的操 作系統(tǒng)，自行設(shè)計(jì)防火墻。而國內(nèi)所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的 Linux，無一例外。各廠家的區(qū)別僅僅在于對(duì)Linux系統(tǒng)本身和防火墻部分（2.2內(nèi)核為ipchains，2.4以后內(nèi)核為netfilter）所 作的改動(dòng)量有多大。

事實(shí)上，Linux只是一個(gè)通用操作系統(tǒng)，它并沒有針對(duì)防火墻功能做什么優(yōu)化，而且 其處理大數(shù)據(jù)量通信方面的能力一直并不突出，甚至比較低下（這也是 Linux一直只是低端服務(wù)器的寵兒的重要原因，我自己認(rèn)為，在這一點(diǎn)上它還不如BSD系列，據(jù)說國外有用BSD做防火墻的，國內(nèi)尚未見到）?，F(xiàn)在絕大部 分廠家，甚至包括號(hào)稱國內(nèi)最大的天融信，在軟件方面所作的工作無非也就是系統(tǒng)有針對(duì)性的裁減、防火墻部分代碼的少量改動(dòng)（絕大部分還是沒有什么改動(dòng)）和少 量的系統(tǒng)補(bǔ)丁。而且我們?cè)诜治龈鲝S家產(chǎn)品時(shí)可以注意這一點(diǎn)，如果哪個(gè)廠家對(duì)系統(tǒng)本身做了什么大的改動(dòng)，它肯定會(huì)把這個(gè)視為一個(gè)重要的賣點(diǎn)，大吹特吹，遺憾 的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個(gè)類似于checkpoint的功能：開放式的安全應(yīng)用接口 TOPSEC，但它究竟做了多少工作，還需要去仔細(xì)了解）。

目前國內(nèi)廠家也已經(jīng)認(rèn)識(shí)到這個(gè)問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。

在此我們僅針對(duì)以Linux（或其他通用操作系統(tǒng)）為基礎(chǔ)的、以PC架構(gòu)為硬件載體的防火墻做討論，以下如不特別提出，均同。2．內(nèi)核和防火墻設(shè)計(jì)

現(xiàn)在有一種商業(yè)賣點(diǎn)，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關(guān)于防火墻 分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應(yīng)用型防火墻（一般結(jié)合了包過濾功能，因此也成為混合型防火墻）稱為第二代 防火墻，有些廠家把增加了檢測(cè)通信信息、狀態(tài)檢測(cè)和應(yīng)用監(jiān)測(cè)的防火墻稱為第三代防火墻，更有甚者在此基礎(chǔ)上提出了采用安全操作系統(tǒng)的防火墻，并把這個(gè)稱為 第四代防火墻）。所謂安全操作系統(tǒng)，其實(shí)大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡單改造的工作，主要有以下： 取消危險(xiǎn)的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動(dòng)（如加載一些llkm）； 限制命令執(zhí)行權(quán)限； 取消IP轉(zhuǎn)發(fā)功能； 檢查每個(gè)分組的接口； 采用隨機(jī)連接序號(hào)； 駐留分組過濾模塊； 取消動(dòng)態(tài)路由功能；

采用多個(gè)安全內(nèi)核（這個(gè)只見有人提出，但未見到實(shí)例，對(duì)此不是很清楚）。以上諸多工作，其實(shí)基本上都沒有對(duì)內(nèi)核源碼做太大改動(dòng)，因此從個(gè)人角度來看算不上可以太夸大的地方。

對(duì)于防火墻部分，國內(nèi)大部分已經(jīng)升級(jí)到2.4內(nèi)核所支持的netfilter。netfilter已經(jīng)是一個(gè)功能比較完善的防火墻框架，它已經(jīng)支持基于狀態(tài)的監(jiān)測(cè)（通過connection track模塊實(shí)現(xiàn)）。而且netfilter是一個(gè)設(shè)計(jì)很合理的框架，可以在適當(dāng)?shù)奈恢蒙系怯浺恍┬枰奶幚砗瘮?shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)，如在NF_IP_FORWARD點(diǎn)上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數(shù)實(shí)現(xiàn)的）。我們也可以登記自己的處理函數(shù)，在功能上作 擴(kuò)展（如加入簡單的IDS功能等等）。這一點(diǎn)是國內(nèi)廠家可以做文章的地方，至于netfilter源碼的修改，對(duì)國內(nèi)廠家來說似乎不太現(xiàn)實(shí)。

至于采用其它防火墻模型的，目前還沒有看到（可能是netfilter已經(jīng)設(shè)計(jì)的很成功，不需要我們?cè)偃プ鎏喙ぷ鳎?．自我保護(hù)能力（安全性）

由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標(biāo)，因此它的自我包括能力在設(shè)計(jì)過程中應(yīng)該放在首要的位置。A．管理上的安全性

防火墻需要一個(gè)管理界面，而管理過程如何設(shè)計(jì)的更安全，是一個(gè)很重要的問題。目前有兩種方案。

a．設(shè)置專門的服務(wù)端口

為了減少管理上的風(fēng)險(xiǎn)和降低設(shè)計(jì)上的難度，有一些防火墻（如東方龍馬）在防火墻上專 門添加了一個(gè)服務(wù)端口，這個(gè)端口只是用來和管理主機(jī)連接。除了專用的服務(wù)口外，防火墻不接受來自任何其它端口的直接訪問。這樣做的顯著特點(diǎn)就是降低了設(shè)計(jì) 上的難度，由于管理通信是單獨(dú)的通道，無論是內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)還是DMZ內(nèi)主機(jī)都無法竊聽到該通信，安全性顯然很高，而且設(shè)計(jì)時(shí)也無需考慮通信過程加密 的問題。

然而這樣做，我們需要單獨(dú)設(shè)置一臺(tái)管理主機(jī)，顯然太過浪費(fèi)，而且這樣管理起來的靈活性也不好。b．通信過程加密

這樣無需一個(gè)專門的端口，內(nèi)網(wǎng)任意一臺(tái)主機(jī)都可以在適當(dāng)?shù)那闆r下成為管理主機(jī)，管理主

機(jī)和防火墻之間采用加密的方式通信。

目前國內(nèi)有采用的是使用自定義協(xié)議、一次性口令認(rèn)證。對(duì)加密這個(gè)領(lǐng)域了解不多，不做詳 細(xì)討論。

B．對(duì)來自外部（和內(nèi)部）攻擊的反應(yīng)能力 目前常見的來自外部的攻擊方式主要有： a．DOS（DDOS）攻擊

（分布式）拒絕服務(wù)攻擊是目前一種很普遍的攻擊方式，在預(yù)防上也是非常困難的。目前 防火墻對(duì)于這種攻擊似乎沒有太多的解決辦法，主要是提高防火墻本身的健壯性（如增加緩沖區(qū)大小）。在Linux內(nèi)核中有一個(gè)防止Syn flooding攻擊的選項(xiàng)：CONFIG_SYN_COOKIES，它是通過為每一個(gè)Syn建立一個(gè)緩沖（cookie）來分辨可信請(qǐng)求和不可信請(qǐng)求。另外對(duì)于ICMP攻擊，可以通過關(guān)閉ICMP 回應(yīng)來實(shí)現(xiàn)。

b．IP假冒（IP spoofing）

IP假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對(duì)網(wǎng)絡(luò)的攻擊目的。

第一，防火墻設(shè)計(jì)上應(yīng)該知道網(wǎng)絡(luò)內(nèi)外的IP地址分配，從而丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包。實(shí)際實(shí)現(xiàn)起來非常簡單，只要在內(nèi)核中打開rp_filter功能即可。

第二，防火墻將內(nèi)網(wǎng)的實(shí)際地址隱蔽起來，外網(wǎng)很難知道內(nèi)部的IP地址，攻擊難度加大。IP假冒主要來自外部，對(duì)內(nèi)網(wǎng)無需考慮此問題（其實(shí)同時(shí)內(nèi)網(wǎng)的IP假冒情況也可以得到遏制）。c．特洛伊木馬

防火墻本身預(yù)防木馬比較簡單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。

一個(gè)需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內(nèi)網(wǎng)主機(jī) 也能防止木馬攻擊。事實(shí)上，內(nèi)網(wǎng)主機(jī)可能會(huì)透過防火墻下載執(zhí)行攜帶木馬的程序而感染。內(nèi)網(wǎng)主機(jī)的在預(yù)防木馬方面的安全性仍然需要主機(jī)自己解決（防火墻只能 在內(nèi)網(wǎng)主機(jī)感染木馬以后起一定的防范作用）。d．口令字攻擊

口令字攻擊既可能來自外部，也可能來自內(nèi)部，主要是來自內(nèi)部。（在管理主機(jī)與防火墻通過單獨(dú)接口通信的情況下，口令字攻擊是不存在的）

來自外部的攻擊即用窮舉的辦法猜測(cè)防火墻管理的口令字，這個(gè)很容易解決，只要不把管理部分提供給外部接口即可。

內(nèi)部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監(jiān)測(cè)網(wǎng)絡(luò)截獲管理主機(jī)給防火墻的口令字，如果口令字已加密，則解密得到口令字。目前一般采用一次性口令和禁止直接登錄防火墻的措施來防止對(duì)口令字的攻擊。e．郵件詐騙

郵件詐騙是目前越來越突出的攻擊方式。防火墻本身防止郵件詐騙非常簡單，不接收任何郵件就可以了。然而象木馬攻擊一樣，內(nèi)網(wǎng)主機(jī)仍可收發(fā)郵件，郵件詐騙的危險(xiǎn)仍然存在，其解決辦法一個(gè)是內(nèi)網(wǎng)主機(jī)本身采取措施防止郵件詐騙，另一個(gè)是在防火墻上做過濾。

f．對(duì)抗防火墻（anti-firewall）

目前一個(gè)網(wǎng)絡(luò)安全中一個(gè)研究的熱點(diǎn)就是對(duì)抗網(wǎng)絡(luò)安全產(chǎn)品如防火墻。一種是分析防火墻 功能和探測(cè)防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，典型的如Firewalk。另外有一些其他的網(wǎng)絡(luò)安全性分析工具本身具有雙刃性，這類工具用于攻擊網(wǎng)絡(luò)，也可能會(huì)很有效的 探測(cè)到防火墻和內(nèi)部網(wǎng)絡(luò)的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。目前對(duì)于這種探測(cè)（攻擊）手段，尚無有效的預(yù)防措施，因?yàn)榉阑饓Ρ旧硎且粋€(gè)被動(dòng)的東西，它只能靠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和提高自身的安全性來對(duì) 抗這些攻擊。

C．透明代理的采用 應(yīng)用代理防火墻一般是通過設(shè)置不同用戶的訪問權(quán)限來實(shí)現(xiàn)，這樣就需要有用戶認(rèn)證體 系。以前的防火墻在訪問方式上主要是要求用戶登錄進(jìn)系統(tǒng)（如果采用 sock代理的方式則需要修改客戶應(yīng)用）。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率，從而提高了防火墻的安全性。4．透明性

防火墻的透明性指防火墻對(duì)于用戶是透明的，在防火墻接入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動(dòng)，也根本意識(shí)不到防火墻的存在。

防火墻作為一個(gè)實(shí)際存在的物理設(shè)備，要想放入已存在地網(wǎng)絡(luò)中又不對(duì)網(wǎng)絡(luò)有任何影響，就必須以網(wǎng)橋的方式置入網(wǎng)絡(luò)。傳統(tǒng)方式下，防火墻安裝時(shí)，更象是一臺(tái)路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（包括主機(jī)和路由器）的設(shè)置（IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。但如果防火墻采用了透明模式，即采用類似網(wǎng)橋的方式運(yùn)行，用戶將不必重新設(shè)定和修改路由，也不需要知道防 火墻的位置，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用。

透明模式最大的好處在于現(xiàn)有網(wǎng)絡(luò)無需做任何改動(dòng)，這就方便了很多客戶，再者，從透明 模式轉(zhuǎn)換到非透明模式又很容易，適用性顯然較廣。當(dāng)然，此時(shí)的防火墻僅僅起到一個(gè)防火墻的作用，其他網(wǎng)關(guān)位置的功能如NAT、VPN功能不再適用，當(dāng)然，其他功能如透明代理還可以 繼續(xù)使用。

目前透明模式的實(shí)現(xiàn)上可采用ARP代理和路由技術(shù)實(shí)現(xiàn)。此時(shí)防火墻相當(dāng)于一個(gè)ARP代理的功能。內(nèi)網(wǎng)（可以仍含有路由器或子網(wǎng)，依次類推）、防火墻、路由器的位置大致如下：

內(nèi)網(wǎng)―――――防火墻―――――路由器

（需要說明的是，這種方式是絕大多數(shù)校園網(wǎng)級(jí)網(wǎng)絡(luò)的實(shí)現(xiàn)方式）

內(nèi)網(wǎng)主機(jī)要想實(shí)現(xiàn)透明訪問，必須能夠透明的傳送內(nèi)網(wǎng)和路由器之間的ARP包，而此時(shí) 由于事實(shí)上內(nèi)網(wǎng)和路由器之間無法連通，防火墻就必須配置成一個(gè)ARP代理（ARP Proxy）在內(nèi)網(wǎng)主機(jī)和路由器之間傳遞ARP包。防火墻所要做的就是當(dāng)路由器發(fā)送ARP廣播包詢問內(nèi)網(wǎng)內(nèi)的某一主機(jī)的硬件地址時(shí)，防火墻用和路由器相連 接口的MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機(jī)發(fā)送ARP廣播包詢問路由器的硬件地址時(shí)，防火墻用和內(nèi)網(wǎng)相連接口的MAC地址回送ARP包，因此路由器和 內(nèi)網(wǎng)主機(jī)都認(rèn)為將數(shù)據(jù)包發(fā)給了對(duì)方，而實(shí)際上是發(fā)給了防火墻轉(zhuǎn)發(fā)。

顯然，此時(shí)防火墻還必須實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。另外，防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應(yīng)用層處理（此時(shí)實(shí)現(xiàn)應(yīng)用層代理、過濾等功能），此時(shí)需要端口轉(zhuǎn)發(fā)來實(shí)現(xiàn)（？這個(gè)地方不是十分清 楚，也沒找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上的最大區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個(gè)網(wǎng)段（也和子 網(wǎng)在同一個(gè)網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個(gè)網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。這個(gè)過程如下：

1.用ARP代理實(shí)現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）2.用路由轉(zhuǎn)發(fā)在IP層實(shí)現(xiàn)數(shù)據(jù)包傳遞（IP層）3.用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）

前邊我們討論過透明代理，和這里所說的防火墻的透明模式是兩個(gè)概念。透明代理主要是 為實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以透明的訪問外網(wǎng)，而無需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機(jī)在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時(shí)防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時(shí)不是透明模式）。

需要澄清的一點(diǎn)是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒有必然的聯(lián)系。透明模式下的防火墻能實(shí)現(xiàn)透明代理，非透明模式下的防火墻（此時(shí)它必然又是一個(gè)網(wǎng)關(guān)）也能實(shí)現(xiàn)透明代理。它們的共同點(diǎn)在于可以簡化內(nèi)網(wǎng)客戶的設(shè)置而已。

目前國內(nèi)大多防火墻都實(shí)現(xiàn)了透明代理，但實(shí)現(xiàn)了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來：如果哪個(gè)防火墻實(shí)現(xiàn)了透明模式，它的廣告中肯定會(huì)和透明代理區(qū)分開而大書特書的。5．可靠性

防火墻系統(tǒng)處于網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。一個(gè)故障頻頻、可靠性很差的 產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問題，整個(gè)內(nèi)網(wǎng)的主機(jī)都將根本無法訪問外網(wǎng)，這甚至比路由器故障（路由器的 拓?fù)浣Y(jié)構(gòu)一般都是冗余設(shè)計(jì)）更讓人無法承受。防火墻的可靠性也表現(xiàn)在兩個(gè)方面：硬件和軟件。

國外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專門硬件架構(gòu)且不必多說，采用PC架構(gòu)的其硬件也多是專門設(shè)計(jì)，系統(tǒng)各個(gè)部分從網(wǎng)絡(luò)接口到存儲(chǔ)設(shè)備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。國內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲(chǔ)設(shè)備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。

國內(nèi)已經(jīng)有部分廠家意識(shí)到了這個(gè)問題，開始自行設(shè)計(jì)硬件。但大多數(shù)廠家還是從成本的角度考慮使用通用PC架構(gòu)。

另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。而國內(nèi)整個(gè)軟件行業(yè)的 可靠性體系還沒有成熟，軟件可靠性測(cè)試大多處于極其初級(jí)的水平（可靠性測(cè)試和bug測(cè)試完全是兩個(gè)概念）。一方面是可靠性體系建立不起來，一方面是為了迎 合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴(kuò)充和修改中，其可靠性更不能讓人恭維。

總的來說，如同國內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒有引起人們的重視。6．市場(chǎng)定位

市場(chǎng)上防火墻的售價(jià)極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元不等。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價(jià)格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求?？偟恼f來，防火墻是以用戶數(shù)量作為大的分界線。如checkpoint的一個(gè)報(bào)價(jià)： CheckPoint Firewall-1 4.1 25user 19000.00 CheckPoint Firewall-1 4.1 50user 31000.00 CheckPoint Firewall-1 4.1 100user 51000.00 CheckPoint Firewall-1 4.1 250user 64000.00 CheckPoint Firewall-1 4.1 無限用戶 131000.00 從用戶量上防火墻可以分為： a． 10－25用戶：

這個(gè)區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。防火墻一般為10M（針對(duì)

硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：包過濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測(cè)、管理、實(shí)時(shí)報(bào)警、日志。一般另有可選功能：VPN、帶寬管理等等。

這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在萬元以上2萬元以下（沒有VPN和帶寬管理的價(jià)格更低）。

據(jù)調(diào)查，這個(gè)區(qū)間的防火墻反而種類不多，也許是國內(nèi)廠商不屑于這個(gè)市場(chǎng)的緣故？

b． 25－100用戶

這個(gè)區(qū)間用戶主要為小型企業(yè)網(wǎng)。防火墻開始升級(jí)到100M，三或更多網(wǎng)絡(luò)接口。VPN、帶寬管

理往往成為標(biāo)準(zhǔn)模塊。

這個(gè)區(qū)間的防火墻報(bào)價(jià)從3萬到15萬不等，根據(jù)功能價(jià)格有較大區(qū)別。相對(duì)來說，這個(gè)區(qū)間上

硬件防火墻價(jià)格明顯高于軟件防火墻。

目前國內(nèi)防火墻絕大部分集中在這個(gè)區(qū)間中。c． 100－數(shù)百用戶

這個(gè)區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個(gè)區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。并且開始支持雙機(jī)熱備份。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在20萬以上。這樣的中高端 防火墻國內(nèi)較少，有也是25－100用戶的升級(jí)版，其可用性令人懷疑。d． 數(shù)百用戶以上

這個(gè)區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當(dāng)然其價(jià)格也很高端，從數(shù)十萬到數(shù)百萬不等。

總的來說，防火墻的價(jià)格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功 能越多，價(jià)格就越貴。如Netscreen的百兆防火墻： NetScreen-100f(AC Power)-帶防火墻+流量控制等功能,交流電源,沒有VPN功能報(bào)價(jià)在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報(bào)價(jià)則高出5萬元： ￥317,500 7． 研發(fā)費(fèi)用

如同其他網(wǎng)絡(luò)安全產(chǎn)品一樣，防火墻的研發(fā)費(fèi)用也是很高的。防火墻由于技術(shù)含量較高，人員技術(shù)儲(chǔ)備要求較高，防火墻核心部分的研發(fā)必須要對(duì)操作系統(tǒng)有相當(dāng)?shù)氖煜?，所需為UNIX系統(tǒng)下開發(fā)人員，而目前國內(nèi)真正能拿的出手的UNIX程序員數(shù) 量還是太少（遠(yuǎn)遠(yuǎn)少于Windows平臺(tái)下開發(fā)人員），人員成本很高。

總的來說，防火墻的研發(fā)是一個(gè)大項(xiàng)目，而且其前期定位一定要準(zhǔn)確，該做什么、不該做什么，哪些功能得實(shí)現(xiàn)，哪些功能不必實(shí)現(xiàn)、哪些功能可以在后期實(shí)現(xiàn)，一定要清楚，否則費(fèi)用會(huì)遠(yuǎn)遠(yuǎn)超出預(yù)計(jì)。

下邊對(duì)一個(gè)中小型企業(yè)級(jí)防火墻的研發(fā)費(fèi)用作個(gè)簡單的估計(jì)。研發(fā)時(shí)，防火墻可以細(xì)分為（當(dāng)然在具體操作時(shí)往往需要再具體劃分）： 內(nèi)核模塊

防火墻模塊（含狀態(tài)檢測(cè)模塊）NAT模塊 帶寬管理模塊 通信協(xié)議模塊 管理模塊

圖形用戶界面模塊（或者Web界面模塊）透明代理模塊（實(shí)質(zhì)屬于NAT模塊）

透明模式模塊（包括ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等）各應(yīng)用代理模塊（包括URL過濾模塊）VPN模塊

流量統(tǒng)計(jì)與計(jì)費(fèi)模塊 審計(jì)模塊

其他模塊（如MAC、IP地址綁定模塊、簡單的IDS、自我保護(hù)等等）

上邊把防火墻劃分為12個(gè)模塊，其中每一個(gè)模塊都有相當(dāng)?shù)墓ぷ髁恳觯藦椥暂^大 的內(nèi)核模塊和防火墻模塊（它們的工作量可能異常的大，視設(shè)計(jì)目標(biāo)不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相當(dāng)大），兩個(gè)主模塊 各按20人周計(jì)算，防火墻實(shí)現(xiàn)總共需要150人周。加上前期10－ 15人周論證、定方案，后期20人周（保守?cái)?shù)字）集成、測(cè)試，前后總共需要約210人周。按每人周1200元開發(fā)費(fèi)用（折合工資5000月，但由于有運(yùn)行 費(fèi)用、保險(xiǎn)等費(fèi)用攤分，個(gè)人工資應(yīng)遠(yuǎn)低于這個(gè)數(shù)字），開發(fā)費(fèi)用約需25萬。

顯然，這個(gè)數(shù)字只是一個(gè)局外人估計(jì)的下限，實(shí)際的研發(fā)應(yīng)該超出這個(gè)數(shù)字很多。8． 可升級(jí)能力（適用性）和靈活性

對(duì)用戶來說，防火墻作為大成本投入的商品，勢(shì)必要考慮到可升級(jí)性的問題，如果防火墻 不能升級(jí)，那它的可用性和可選擇余地勢(shì)必要大打折扣。目前國內(nèi)防火墻一般都是軟件可升級(jí)的，這是因?yàn)榇蠖鄶?shù)防火墻采用電子硬盤（少數(shù)采用磁盤），實(shí)現(xiàn)升級(jí) 功能只要很小的工作量要做。但究竟升級(jí)些什么內(nèi)容？升級(jí)周期多長一次？這就涉及到一個(gè)靈活性的問題。防火墻的靈活性主要體現(xiàn)在以下幾點(diǎn)： a． 易于升級(jí)

b． 支持大量協(xié)議

c． 易于管理（如納入通用設(shè)備管理體系（支持SNMP）而不是單列出來）d． 功能可擴(kuò)展

這里對(duì)功能可擴(kuò)展做一簡單討論。一般情況下，防火墻在設(shè)計(jì)完成以后，其過濾規(guī)則都是 定死的，用戶可定制的余地很小。特別如URL過濾規(guī)則（對(duì)支持URL過濾的防火墻而言），當(dāng)前網(wǎng)絡(luò)中的漏洞是不斷發(fā)現(xiàn)的，如最近很猖獗的codered攻 擊的就是Windows機(jī)器IIS服務(wù)器的ida漏洞，而我們?nèi)绻軌蚣皶r(shí)定義過濾規(guī)則，對(duì)于“GET /default.ida”的請(qǐng)求及時(shí)過濾，那么內(nèi)網(wǎng)主機(jī)（此時(shí)一般為DMZ內(nèi)主機(jī)）的安全性就會(huì)高很多，內(nèi)網(wǎng)管理人員也不必時(shí)時(shí)密切關(guān)注網(wǎng)絡(luò)漏洞（這是 個(gè)工作量很大，既耗費(fèi)體力又容易出現(xiàn)遺漏的工作）。這樣大部分工作留給防火墻廠家來做（相應(yīng)需要有一個(gè)漏洞監(jiān)測(cè)體系），用戶肯定會(huì)滿意很多。另外，靈活性 一開始也往往不是前期設(shè)計(jì)所能設(shè)計(jì)的很完美的，它需要和用戶具體實(shí)踐相配合。另外靈活性也是和具體環(huán)境密切結(jié)合的，往往需要在不同的用戶環(huán)境里考慮。

如何構(gòu)建網(wǎng)絡(luò)整體安全方案

整體的安全方案分成技術(shù)方案、服務(wù)方案以及支持方案三部分。

一、技術(shù)解決方案

安全產(chǎn)品是網(wǎng)絡(luò)安全的基石，通過在網(wǎng)絡(luò)中安裝一定的安全設(shè)備，能夠使得網(wǎng)絡(luò)的結(jié)構(gòu)更加清晰，安全性得到顯著增強(qiáng);同時(shí)能夠有效降低安全管理的難度，提高安全管理的有效性。

下面介紹在局域網(wǎng)中增加的安全設(shè)備的安裝位置以及他們的作用。

1、防火墻

安裝位置：局域網(wǎng)與路由器之間;%3Fid%3D1974 上下載Stick，其編譯起來并不麻煩，只需查看幫助即可。需要指出的是，絕大多數(shù)的IDS都是從Snort得到眾多借鑒的，建議用戶試用一下 Stick。

2．IDS漏報(bào)

和IDS誤報(bào)相比，漏報(bào)其實(shí)更危險(xiǎn)。采用IDS技術(shù)就是為了在發(fā)現(xiàn)入侵時(shí)給出告警信息。如果入侵者入侵成功而IDS尚未告警，IDS便失去存在的意義。筆者從國外網(wǎng)站上看到一篇文章，它對(duì)利用TCP連接特點(diǎn)讓 IDS做漏報(bào)進(jìn)行了詳細(xì)的描述，同時(shí)還給出一些實(shí)現(xiàn)漏報(bào)的辦法，給筆者提供了一種新思路: IDS想要防止欺騙，就要盡可能地模仿TCP/IP棧的實(shí)現(xiàn)。但是從效率和實(shí)現(xiàn)的復(fù)雜性考慮，IDS并不能很容易地做到這一點(diǎn)。

這種方法比較適合智能化的IDS，好的IDS一般為了減少誤報(bào)，會(huì)像現(xiàn)在一些高端的防火墻一樣基于狀態(tài)進(jìn)行判斷，而不是根據(jù)單個(gè)的報(bào)文進(jìn)行判斷。這樣上面談到的Stick對(duì)這種IDS一般不起作用。但是用戶應(yīng)該注意到，這種簡單的IDS只是字符串匹配，一旦匹配成功，即可報(bào)警。

2001年4月，又出了一個(gè)讓IDS漏報(bào)的程序ADMmutate，據(jù)說它可以動(dòng)態(tài)改變Shellcode。本來IDS依靠提取公開的溢出程序的特征碼來報(bào)警，特征碼變了以后，IDS就報(bào)不出來了。但是程序還一樣起作用，服務(wù)器一樣被黑。這個(gè)程序的作者是ktwo(http: //www.ktwo.ca)，我們可以從http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz上下載該程序。用戶不妨也試試它，以檢測(cè)自己的IDS產(chǎn)品性能。不過，ADMmutate只能對(duì)依靠檢查字符串匹配告警的IDS起作用，如果IDS還依靠長度和可打印字符等綜合指標(biāo)，則ADMmutate將很容易被IDS監(jiān)控到。

第三篇：校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案

[摘要] 計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)是涉及我國經(jīng)濟(jì)發(fā)展、社會(huì)發(fā)展和國家安全的重大問題。本文結(jié)合網(wǎng)絡(luò)安全建設(shè)的全面信息，在對(duì)網(wǎng)絡(luò)系統(tǒng)詳細(xì)的需求分析基礎(chǔ)上，依照計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)和計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃，設(shè)計(jì)了一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全方案設(shè)計(jì)實(shí)現(xiàn)

一、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)概述

影響網(wǎng)絡(luò)安全的因素很多，全的主要技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù)，等等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，行整合，建立一個(gè)完整的、立體的、解決方案，可以防止安全風(fēng)險(xiǎn)的各個(gè)方面的問題。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)

1.桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤上，這樣可以提高辦公的效率，動(dòng)辦公的情況更是如此。件泄密等安全隱患。

本設(shè)計(jì)方案采用清華紫光公司出品的紫光信息安全保護(hù)系統(tǒng)”的商品名稱。紫光算協(xié)處理器（CAU）、只讀存儲(chǔ)器（儲(chǔ)器（E2PROM）等，以及固化在tem）、硬件ID號(hào)、各種密鑰和加密算法等。紫光artCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，2.病毒防護(hù)系統(tǒng)

基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器，用于安裝必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全措施進(jìn)多層次的網(wǎng)絡(luò)安全防御體系，SS鎖的內(nèi)部集成了包括中央處理器（ROM），隨機(jī)存儲(chǔ)器（ROM內(nèi)部的芯片操作系統(tǒng)這樣一個(gè)全面的網(wǎng)絡(luò)安全使用戶可以方便地存取、修改、分發(fā)。造成泄密。特別是對(duì)于移防止文“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)CPU）、加密運(yùn)RAM）、電可擦除可編程只讀存COS（Chip Operating SysS鎖采用了通過中國人民銀行認(rèn)證的Sm防止非法軟件對(duì)S鎖進(jìn)行操作。IMSS。

保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來說，保護(hù)網(wǎng)絡(luò)安但同時(shí)也造成用戶的信息易受到攻擊，因此，需要對(duì)移動(dòng)用戶的文件及文件夾進(jìn)行本地安全管理，鎖產(chǎn)品，（1)郵件防毒。采用趨勢(shì)科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件，實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒?？赏ㄟ^任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。

（2)服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署，管理和更新。（3)客戶端防毒。采用趨勢(shì)科技的使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊，更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受支持SMS，登錄域腳本，共享安裝以外，還支持純（4)集中控管TVCS。管理員可以通過此工具在整個(gè)趨勢(shì)科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，無論運(yùn)行于何種平臺(tái)和位置，裝和分發(fā)代理部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào)，給管理帶來極大的便利。3.動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)動(dòng)態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上，通過十次以上的非線性迭代運(yùn)算，先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。4.訪問控制“防火墻”

單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，訪問、辨別身份偽裝等方面存在著很大的缺陷，方案選用四臺(tái)網(wǎng)御防火墻，這些重要部門的訪問控制。通過在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門之間部署防火墻，過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來自內(nèi)部的攻擊，來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，另

OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行Windows域管理模式的約束，除Web的部署方式。

企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡便的安

結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上，采用在控制不可信連接、分辨非法從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。本設(shè)計(jì)實(shí)現(xiàn)通彼此隔離。這樣不僅也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受如果有人闖進(jìn)您的一個(gè)部門，或者如果病毒開始蔓

分別配置在高性能服務(wù)器和三個(gè)重要部門的局域網(wǎng)出入口，延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。5.信息加密、信息完整性校驗(yàn)

為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道，通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成網(wǎng)絡(luò)密碼機(jī)（硬件）:是一個(gè)基于專用內(nèi)核，具有自主版權(quán)的高級(jí)通信保護(hù)控制系統(tǒng)。本地管理器（軟件）絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。中心管理器（軟件）機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。6.安全審計(jì)系統(tǒng)根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取的方法，“內(nèi)審息是否泄密，以解決內(nèi)層安全。安全審計(jì)系統(tǒng)能幫助用戶對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，重要的一種手段，安全審計(jì)系統(tǒng)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。

在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能：成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。本設(shè)計(jì)方案選用漢邦安全審計(jì)系統(tǒng)是針對(duì)目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問題，人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品，制系統(tǒng)。

（1）安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個(gè)部分構(gòu)成。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上，其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作、監(jiān)控及共享資源的使用情況。心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。①文件保護(hù)審計(jì)：:是一個(gè)安裝于密碼機(jī)本地管理平臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)

:是一個(gè)安裝于中心管理平臺(tái)（忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切，”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。是一個(gè)分布在整個(gè)安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測(cè)、同時(shí)獲得監(jiān)控結(jié)果、Windows系統(tǒng)）上的對(duì)全網(wǎng)的密碼“加密”、“外防”、“內(nèi)審”相結(jié)合提供取證手段。作為網(wǎng)絡(luò)安全十分安全審計(jì)數(shù)據(jù)生

面向企事業(yè)的網(wǎng)絡(luò)管理控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況網(wǎng)絡(luò)管理員通過安全監(jiān)控中主要功能有

”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查，識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信安全審計(jì)自動(dòng)響應(yīng)、“漢邦軟科安全監(jiān)控中心是管理平臺(tái)和監(jiān)控平臺(tái)，報(bào)警信息以及日志的審計(jì)。文件保護(hù)安裝在審計(jì)中心，可有效的對(duì)被審計(jì)主機(jī)端的文件進(jìn)行管理

規(guī)則設(shè)置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報(bào)警等功能。以及對(duì)文件保護(hù)進(jìn)行用戶管理。

②主機(jī)信息審計(jì):對(duì)網(wǎng)絡(luò)內(nèi)公共資源中，所有主機(jī)進(jìn)行審計(jì)，可以審計(jì)到主機(jī)的機(jī)器名、當(dāng)前用戶、操作系統(tǒng)類型、IP地址信息。

（2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時(shí)間段內(nèi)，系統(tǒng)自動(dòng)每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實(shí)時(shí)控制屏幕截獲的開始和結(jié)束。

②監(jiān)視鍵盤:在用戶指定的時(shí)間段內(nèi)，截獲戶實(shí)時(shí)控制鍵盤截獲的開始和結(jié)束。③監(jiān)測(cè)監(jiān)控RAS連接：在用戶指定的時(shí)間段內(nèi)，記錄所有的時(shí)控制ass連接信息截獲的開始和結(jié)束。當(dāng)連接的操作。

④監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)連接：在用戶指定的時(shí)間段內(nèi)，記錄所有的網(wǎng)絡(luò)連接信息UDP，NetBios）。用戶實(shí)時(shí)控制網(wǎng)絡(luò)連接信息截獲的開始和結(jié)束。由用戶指定非法的網(wǎng)絡(luò)連接列表，當(dāng)出現(xiàn)非法連接時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。單位內(nèi)網(wǎng)中安全審計(jì)系統(tǒng)采集的數(shù)據(jù)來源于安全傳感器，保證探頭能夠采集進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)。上，負(fù)責(zé)為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。內(nèi)網(wǎng)中的安全計(jì)算機(jī)為600臺(tái)，需要安裝7.入侵檢測(cè)系統(tǒng)IDS

入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，可以看出。

根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度，選擇的交換機(jī)處放置，核心交換機(jī)放置控制臺(tái)，和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。在單位安全內(nèi)網(wǎng)中，入侵檢測(cè)系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個(gè)要害部門子網(wǎng)和其他部門子網(wǎng)之間，通過實(shí)時(shí)截取網(wǎng)絡(luò)上的是數(shù)據(jù)流，他網(wǎng)絡(luò)違規(guī)活動(dòng)。8.漏洞掃描系統(tǒng)

本內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個(gè)系統(tǒng)的安全性?；紥呙鐸型聯(lián)動(dòng)型產(chǎn)品。I型聯(lián)動(dòng)型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶，持式掃描儀和機(jī)架型掃描服務(wù)器結(jié)合一體，網(wǎng)管人員就可以很方便的實(shí)現(xiàn)了集中管理的功能。網(wǎng)絡(luò)人員使用I型聯(lián)動(dòng)型產(chǎn)品，程較高的掃描速度的掃描，可以實(shí)現(xiàn)和策略。同時(shí)移動(dòng)式掃描儀可以跨越網(wǎng)段、支持定時(shí)和多IP地址的自動(dòng)掃描，網(wǎng)管人員可以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描，根據(jù)系統(tǒng)提供的掃描報(bào)告，配合我們提供的三級(jí)服務(wù)體系，高了工作效率。

聯(lián)動(dòng)掃描系統(tǒng)支持多線程掃描，網(wǎng)管人員可以很輕松的對(duì)自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時(shí)提供了Host Sensor Programgas連接非法時(shí)，系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷計(jì)算機(jī)，所以應(yīng)在安全計(jì)算機(jī)安裝主機(jī)安全監(jiān)控中心安裝在信息中心的一臺(tái)主機(jī)600個(gè)傳感器。提供了對(duì)內(nèi)部攻擊、從網(wǎng)絡(luò)安全的立體縱深、這從國際入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃IDS探測(cè)器（百兆）配置在內(nèi)部關(guān)鍵子網(wǎng)監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊分析網(wǎng)絡(luò)通訊會(huì)話軌跡，在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺(tái)網(wǎng)絡(luò)隱200信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò)進(jìn)行多線IDS、防火墻聯(lián)動(dòng)，尤其適合于制定全網(wǎng)統(tǒng)一的安全穿透防火墻，實(shí)現(xiàn)分布式掃描，服務(wù)器和掃描儀都大大的減輕了工作負(fù)擔(dān)，支持定時(shí)和多RAS連接信息。用戶實(shí)(外部攻擊和誤操作的 尋找網(wǎng)絡(luò)攻擊模式和其I型聯(lián)動(dòng)型產(chǎn)品由手IP地址的自動(dòng)掃描，Web，單位發(fā)展就用戶的所有鍵盤輸入，用

包括:TCP多層次防御 就可以很方便的對(duì)極大的提有較高的掃描速度，方式的遠(yuǎn)程

管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對(duì)于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II型移動(dòng)式掃描儀。移動(dòng)式掃描儀使用靈活，可以跨越網(wǎng)段、穿透防火墻，對(duì)重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù)，這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能地消除安全隱患。

在防火墻處部署聯(lián)動(dòng)掃描系統(tǒng)，在部門交換機(jī)處部署移動(dòng)式掃描儀，實(shí)現(xiàn)放火墻、聯(lián)動(dòng)掃描系統(tǒng)和移動(dòng)式掃描儀之間的聯(lián)動(dòng)，保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，優(yōu)化資源，提高網(wǎng)絡(luò)的運(yùn)行效率和安全性。

三、結(jié)束語

隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)安全越來越重要，有了更高的要求。一個(gè)特定系統(tǒng)的網(wǎng)絡(luò)安全方案，系統(tǒng)的實(shí)際應(yīng)用而做。由于各個(gè)系統(tǒng)的應(yīng)用不同，化為一個(gè)模式，用這個(gè)模子去套所有的信息系統(tǒng)。本文根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的總體規(guī)劃控制、信息加密、信息完整性校驗(yàn)、抗抵賴、安全審計(jì)、入侵檢測(cè)、漏洞掃描等方面安全技術(shù)和管理措施設(shè)計(jì)出一整套解決方案，目的是建立一個(gè)完整的、防御體系。

論文參考

國家和企業(yè)都對(duì)建立一個(gè)安全的網(wǎng)絡(luò)應(yīng)建立在對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的基礎(chǔ)上，結(jié)合不能簡單地把信息系統(tǒng)的網(wǎng)絡(luò)安全方案固,從桌面系統(tǒng)安全、病毒防護(hù)、身份鑒別、訪問立體的、多層次的網(wǎng)絡(luò)安全

第四篇：XX公司網(wǎng)絡(luò)安全設(shè)計(jì)方案

XX公司網(wǎng)絡(luò)信息系統(tǒng)的安全方案設(shè)計(jì)書

XX公司網(wǎng)絡(luò)安全隱患與需求分析

1.1網(wǎng)絡(luò)現(xiàn)狀

公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過內(nèi)部網(wǎng)相互連接與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各服務(wù)部門計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。如下圖所示：

1.2安全隱患分析

1.2.1應(yīng)用系統(tǒng)的安全隱患

應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性，它包括很多方面。應(yīng)用的安全性也是動(dòng)態(tài)的。需要對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。主要有文件服務(wù)器的安全風(fēng)險(xiǎn)、數(shù)據(jù)庫服務(wù)器的安全風(fēng)險(xiǎn)、病毒侵害的安全風(fēng)險(xiǎn)、數(shù)據(jù)信息的安全風(fēng)險(xiǎn)等

1.2.2管理的安全隱患

管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。用戶權(quán)限設(shè)置過大﹑開放不必要的服務(wù)端口，或者一般用戶因?yàn)槭韬?，丟失帳號(hào)和口令，從而造成非授權(quán)訪問，以及把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險(xiǎn)。

1.2.3操作系統(tǒng)的安全漏洞

計(jì)算機(jī)操作系統(tǒng)尤其服務(wù)器系統(tǒng)是被攻擊的重點(diǎn)，如果操作系統(tǒng)因本身遭到攻擊，則不僅影響機(jī)器本身而且會(huì)消耗大量的網(wǎng)絡(luò)資源，致使整個(gè)網(wǎng)絡(luò)陷入癱瘓。1.2.4病毒侵害

網(wǎng)絡(luò)是病毒傳播最好、最快的途徑之一。一旦有主機(jī)受病毒感染，病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器不能正常運(yùn)行等。

2.1需求分析

XX公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時(shí)由于考慮到Internet的安全性，以及網(wǎng)絡(luò)安全等一些因素。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：

1.根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃；2.保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性；3.保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性；4.防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問；5.防范入侵者的惡意攻擊與破壞；6.保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性；7.防范病毒的侵害；8.實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。

通過了解XX公司的虛求與現(xiàn)狀，為實(shí)現(xiàn)XX網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來計(jì)算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要

（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系（4）安裝防病毒服務(wù)器（5）加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理

如前所述，XX公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，網(wǎng)絡(luò)信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)XX公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使XX公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運(yùn)行，使其成為一個(gè)具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是XX公司面臨的重要課題。

網(wǎng)絡(luò)信息安全策略及整體方案

信息安全的目標(biāo)是通過系統(tǒng)及網(wǎng)絡(luò)安全配置，應(yīng)用防火墻及入侵檢測(cè)、安全掃描、網(wǎng)絡(luò)防病毒等技術(shù)，對(duì)出入口的信息進(jìn)行嚴(yán)格的控制；對(duì)網(wǎng)絡(luò)中所有的裝置（如Web服務(wù)器、路由器和內(nèi)部網(wǎng)絡(luò)等）進(jìn)行檢測(cè)、分析和評(píng)估，發(fā)現(xiàn)并報(bào)告系統(tǒng)內(nèi)存在的弱點(diǎn)和漏洞，評(píng)估安全風(fēng)險(xiǎn)，建議補(bǔ)救措施，并有效地防止黑客入侵和病毒擴(kuò)散，監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況。

3.1 方案綜述

XX公司整個(gè)網(wǎng)絡(luò)安全系統(tǒng)從物理上劃分4個(gè)部分，即計(jì)算機(jī)網(wǎng)絡(luò)中心、財(cái)務(wù)部、業(yè)務(wù)部及網(wǎng)絡(luò)開發(fā)中心。從而在結(jié)構(gòu)上形成以計(jì)算機(jī)網(wǎng)絡(luò)中心為中心，對(duì)其他部分進(jìn)行統(tǒng)一的網(wǎng)絡(luò)規(guī)劃和管理。每個(gè)安全區(qū)域有一套相對(duì)獨(dú)立的網(wǎng)絡(luò)安全系統(tǒng)，這些相對(duì)獨(dú)立的網(wǎng)絡(luò)安全系統(tǒng)能被計(jì)算機(jī)網(wǎng)絡(luò)中心所管理。同時(shí)每個(gè)安全區(qū)域都要進(jìn)行有效的安全控制，防止安全事件擴(kuò)散，將事件控制在最小范圍。通過對(duì)XX公司現(xiàn)狀的分析與研究以及對(duì)當(dāng)前安全技術(shù)的研究分析，我們制定如下企業(yè)信息安全策略。

3．1．1防火墻實(shí)施方案

根據(jù)網(wǎng)絡(luò)整體安全及保證財(cái)務(wù)部的安全考慮，采用兩臺(tái)cisco pix535防火墻，一防火墻對(duì)財(cái)務(wù)部與企業(yè)內(nèi)網(wǎng)進(jìn)行隔離，另一防火墻對(duì)Internet與企業(yè)內(nèi)網(wǎng)之間進(jìn)行隔離，其中DNS、郵件等對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進(jìn)行隔離。

防火墻設(shè)置原則如下所示：建立合理有效的安全過濾原則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶非法訪問；防火墻DMZ區(qū)訪問控制，只打開服務(wù)必須的HTTP、FTP、SMTP、POP3以及所需的其他服務(wù)，防范外部來的拒絕服務(wù)攻擊；定期查看防火墻訪問日志；對(duì)防火墻的管理員權(quán)限嚴(yán)格控制。

3．1．2 Internet連接與備份方案

防火墻經(jīng)外網(wǎng)交換機(jī)接入Internet。此區(qū)域當(dāng)前存在一定的安全隱患：首先，防火墻作為企業(yè)接入Internet的出口，占有及其重要的作用，一旦此防火墻出現(xiàn)故障或防火墻與主交換機(jī)連接鏈路出現(xiàn)問題，都會(huì)造成全臺(tái)與Internet失去連接；其次，當(dāng)前的防火墻無法對(duì)進(jìn)入網(wǎng)絡(luò)的病毒進(jìn)行有效的攔截。

為此，新增加一臺(tái)防火墻和一臺(tái)防病毒過濾網(wǎng)關(guān)與核心交換機(jī)。防病毒網(wǎng)關(guān)可對(duì)進(jìn)入網(wǎng)絡(luò)的流量進(jìn)行有效過濾，使病毒數(shù)據(jù)包無法進(jìn)入網(wǎng)絡(luò)，提高內(nèi)網(wǎng)的安全性。防火墻連接只在主核心交換機(jī)上，并且采用兩臺(tái)防火墻進(jìn)行熱備配置，分別連接兩臺(tái)核心交換機(jī)。設(shè)備及鏈路都進(jìn)行了冗余配置，提高了網(wǎng)絡(luò)的健壯性。

根據(jù)改企業(yè)未來的應(yīng)用需求，可考慮網(wǎng)絡(luò)改造后，將Internet連接帶寬升級(jí)為100M。

3．1．3入侵檢測(cè)方案

在核心交換機(jī)監(jiān)控端口部署CA入侵檢測(cè)系統(tǒng)(eTrust Intrusion Detection)，并在不同網(wǎng)段(本地或遠(yuǎn)程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)代理，對(duì)網(wǎng)絡(luò)入侵進(jìn)行檢測(cè)和響應(yīng)。

3．1．4 VPN系統(tǒng)

考慮到改公司和其子公司與其它兄弟公司的通信，通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集中的安全策略管理可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

3．1．5網(wǎng)絡(luò)安全漏洞

企業(yè)網(wǎng)絡(luò)擁有WWW、郵件、域、視頻等服務(wù)器，還有重要的數(shù)據(jù)庫服務(wù)器，對(duì)于管理人員來說，無法確切了解和解決每個(gè)服務(wù)器系統(tǒng)和整個(gè)網(wǎng)絡(luò)的安全缺陷及安全漏洞.因此需要借助漏洞掃描工具定期掃描、分析和評(píng)估，發(fā)現(xiàn)并報(bào)告系統(tǒng)內(nèi)存在的弱點(diǎn)和漏洞，評(píng)估安全風(fēng)險(xiǎn)，建議補(bǔ)救措施，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。

3．1．6防病毒方案

采用Symantec網(wǎng)絡(luò)防病毒軟件，建立企業(yè)整體防病毒體系，對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計(jì)算機(jī)設(shè)備采取全面病毒防護(hù)。并且需要在網(wǎng)絡(luò)中心設(shè)置病毒防護(hù)管理中心，通過防病毒管理中心將局域網(wǎng)內(nèi)所有計(jì)算機(jī)創(chuàng)建在同一防病毒管理域內(nèi)。通過防病毒管理域的主服務(wù)器，對(duì)整個(gè)域進(jìn)行防病毒管理，制定統(tǒng)一的防毒策略，設(shè)定域掃描作業(yè)，安排系統(tǒng)自動(dòng)查、殺病毒。

可實(shí)現(xiàn)對(duì)病毒侵入情況、各系統(tǒng)防毒情況、防毒軟件的工作情況等的集中監(jiān)控；可實(shí)現(xiàn)對(duì)所有防毒軟件的集中管理、集中設(shè)置、集中維護(hù)；可集中反映整個(gè)系統(tǒng)內(nèi)的病毒入侵情況,設(shè)置各種消息通報(bào)方式，對(duì)病毒的爆發(fā)進(jìn)行報(bào)警；可集中獲得防毒系統(tǒng)的日志信息；管理人員可方便地對(duì)系統(tǒng)情況進(jìn)行匯總和分析。

根據(jù)企業(yè)內(nèi)部通知或官方網(wǎng)站公布的流行性或重大惡性病毒及時(shí)下載系統(tǒng)補(bǔ)丁和殺毒工具，采取相關(guān)措施，防范于未然。3．1．7訪問控制管理

實(shí)施有效的用戶口令和訪問控制，確保只有合法用戶才能訪問合法資源。在內(nèi)網(wǎng)中系統(tǒng)管理員必須管理好所有的設(shè)備口令，不要在不同系統(tǒng)上使用同一口令；口令中最好要有大小寫字母、字符、數(shù)字；定期改變自己的口令。3．1．8重要文件及內(nèi)部資料管理

定期對(duì)重要資料進(jìn)行備份，以防止因?yàn)楦鞣N軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰，進(jìn)而蒙受重大損失?？蛇x擇功能完善、使用靈活的備份軟件配合各種災(zāi)難恢復(fù)軟件，全面地保護(hù)數(shù)據(jù)的安全。

系統(tǒng)軟件、應(yīng)用軟件及信息數(shù)據(jù)要實(shí)施保密，并自覺對(duì)文件進(jìn)行分級(jí)管理，注意對(duì)系統(tǒng)文件、重要的可執(zhí)行文件進(jìn)行寫保護(hù)。對(duì)于重要的服務(wù)器，利用RAID5等數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施。

3．2網(wǎng)絡(luò)信息管理策略 計(jì)算機(jī)網(wǎng)絡(luò)中心設(shè)計(jì)即公司網(wǎng)絡(luò)安全管理策略的建設(shè)如下：

（1）身份認(rèn)證中心建設(shè)。身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。

基于PKI的USB Key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

（2）安全登錄系統(tǒng)。由于網(wǎng)絡(luò)開發(fā)中心以及財(cái)務(wù)部門涉及公司的網(wǎng)絡(luò)部署以及財(cái)務(wù)狀況，需要高度保密，只有公司網(wǎng)絡(luò)安全主管、財(cái)務(wù)主管以及公司法人才可以登錄相應(yīng)的網(wǎng)絡(luò)，而安全登錄系統(tǒng)正是提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證，使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

（3）文件加密系統(tǒng)。與普通網(wǎng)絡(luò)應(yīng)用不同的是，業(yè)務(wù)系統(tǒng)是企業(yè)應(yīng)用的核心。對(duì)于業(yè)務(wù)系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施，文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

（4）防毒中心建設(shè)。病毒對(duì)公司網(wǎng)絡(luò)的攻擊對(duì)公司的整體運(yùn)轉(zhuǎn)造成威脅，因此公司各部門均需要建設(shè)完善的防毒中心，使用企業(yè)版的防病毒系統(tǒng)的分級(jí)管理功能，對(duì)網(wǎng)絡(luò)進(jìn)行管理單元?jiǎng)澐帧Ｔ诰W(wǎng)絡(luò)中心建立以及防病毒服務(wù)器，負(fù)責(zé)所有二級(jí)防病毒服務(wù)器的統(tǒng)一管理。在不同的子系統(tǒng)建立二級(jí)防病毒服務(wù)器，負(fù)責(zé)本部的防病毒客戶端管理。

第五篇：網(wǎng)絡(luò)安全設(shè)計(jì)方案供借鑒

網(wǎng)絡(luò)安全設(shè)計(jì)方案3篇供借鑒

一、培養(yǎng)目標(biāo)

本專業(yè)培養(yǎng)系統(tǒng)掌握信息安全的基礎(chǔ)理論與方法，具備系統(tǒng)工程、計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)等方面的專業(yè)知識(shí)和綜合能力，能夠從事計(jì)算機(jī)、通信、電子信息、電子商務(wù)、電子金融、電子政務(wù)等領(lǐng)域的信息安全研究、應(yīng)用、開發(fā)、管理等方面工作的應(yīng)用性高級(jí)信息安全專門人才。

二、培養(yǎng)規(guī)格

（一）畢業(yè)生應(yīng)掌握以下知識(shí):

1.專業(yè)必須的基礎(chǔ)理論知識(shí)，包括高等數(shù)學(xué)、大學(xué)英語、大學(xué)物理、線性代數(shù)等；

2.計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)基礎(chǔ)知識(shí)，包括計(jì)算機(jī)科學(xué)導(dǎo)論、計(jì)算機(jī)組成原理、離散數(shù)學(xué)、數(shù)據(jù)結(jié)構(gòu)、C語言程序設(shè)計(jì)、面向?qū)ο蟪绦蛟O(shè)計(jì)、數(shù)據(jù)庫原理、計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)程序設(shè)計(jì)等；

3.本專業(yè)方向的理論知識(shí)，包括網(wǎng)絡(luò)安全基礎(chǔ)、應(yīng)用密碼學(xué)、操作系統(tǒng)安全、數(shù)據(jù)備份與災(zāi)難恢復(fù)、計(jì)算機(jī)病毒原理與防范、安全認(rèn)證技術(shù)、安全掃描技術(shù)、計(jì)算機(jī)取證技術(shù)等；

4.具有本專業(yè)先進(jìn)的和面向現(xiàn)代人才市場(chǎng)需求所需要的科學(xué)知識(shí)。

（二）畢業(yè)生應(yīng)具備以下能力:

1.基本能力

（1）具備運(yùn)用辯證唯物主義的基本觀點(diǎn)和方法去認(rèn)識(shí)，分析和解決問題的能力；

（2）具備較強(qiáng)的語言及文字表達(dá)能力；

（3）具備運(yùn)用外語進(jìn)行簡單會(huì)話，能夠閱讀本專業(yè)外語期刊，并具有一定的聽、說、讀、寫、譯能力；

（4）具備利用計(jì)算機(jī)常用應(yīng)用軟件進(jìn)行文字及其他信息處理的能力；

（5）具備撰寫專業(yè)科技文檔和軟件文檔寫作的基本能力；

（6）具有掌握新知識(shí)、新技術(shù)的自學(xué)和繼續(xù)學(xué)習(xí)及自主創(chuàng)業(yè)的能力；

（7）具有自尊、自愛、自律、自強(qiáng)的優(yōu)良品格和人際交往及企業(yè)管理能力。

2.專業(yè)能力

（1）具備根據(jù)實(shí)際應(yīng)用需求進(jìn)行信息安全系統(tǒng)規(guī)劃設(shè)計(jì)與開發(fā)，信息安全管理，信息安全技術(shù)服務(wù)的能力；

（2）具有較強(qiáng)的信息安全系統(tǒng)分析與設(shè)計(jì)、安全防護(hù)、安全策略制訂、操作管理、綜合集成、工程設(shè)計(jì)和技術(shù)開發(fā)能力；

（3）具有信息安全產(chǎn)品性能分析、應(yīng)用選擇、管理維護(hù)、故障檢測(cè)及排除、設(shè)計(jì)信息安全實(shí)驗(yàn)等專業(yè)能力；

（4）掌握信息系統(tǒng)安全策略設(shè)計(jì)及設(shè)置、信息系統(tǒng)數(shù)據(jù)備份及恢復(fù)、信息系統(tǒng)數(shù)據(jù)保護(hù)等專業(yè)技能能力；

（5）職業(yè)技能或崗位資格水平達(dá)到國家有關(guān)部門規(guī)定的相應(yīng)職業(yè)資格認(rèn)證的要求或通過計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)資格（水平）考試。

3.綜合能力

（1）具有從事本專業(yè)相關(guān)職業(yè)活動(dòng)所需要的方法能力、社會(huì)行為能力和創(chuàng)新能力；

（2）具備獲取新知識(shí)、不斷開發(fā)自身潛能和適應(yīng)知識(shí)經(jīng)濟(jì)、技術(shù)進(jìn)步及崗位要求變更的能力；

（3）具有較強(qiáng)的組織、協(xié)調(diào)能力；

（4）具備將自身技能與群體技能融合以及積極探索、開拓進(jìn)取、勇于創(chuàng)新、自主創(chuàng)業(yè)的能力；

（5）具有良好的社會(huì)公德、職業(yè)道德和安心生產(chǎn)第一線，嚴(yán)格認(rèn)真，求實(shí)守紀(jì)的敬業(yè)精神。

（三）畢業(yè)生應(yīng)具備以下素質(zhì):

1.具備良好的思想品德、行為規(guī)范以及職業(yè)道德；

2.具備大學(xué)層次的文化素質(zhì)和人文素質(zhì)；

3.具備創(chuàng)新、實(shí)踐、創(chuàng)業(yè)的專業(yè)技術(shù)開發(fā)素質(zhì)；

4.具備競(jìng)爭意識(shí)、合作精神、堅(jiān)強(qiáng)毅力；

5.具有健康的體魄、良好的體能和適應(yīng)本崗位工作的身體素質(zhì)和心理素質(zhì)；

6.具有良好的氣質(zhì)和形象，較強(qiáng)的語言與文字表達(dá)能力及人際溝通能力。

三、學(xué)制與學(xué)位

學(xué)制：四年

學(xué)位：授予工學(xué)學(xué)士學(xué)位

四、主要課程

本專業(yè)主要課程包括大學(xué)語文、大學(xué)英語、汽車駕駛、C語言程序設(shè)計(jì)、數(shù)據(jù)通信原理、計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)安全基礎(chǔ)、操作系統(tǒng)安全、數(shù)據(jù)庫原理與應(yīng)用、網(wǎng)絡(luò)程序設(shè)計(jì)、算法設(shè)計(jì)與分析、應(yīng)用密碼學(xué)、軟件工程、數(shù)據(jù)庫安全、計(jì)算機(jī)病毒原理與防范、安全認(rèn)證技術(shù)、數(shù)據(jù)備份與災(zāi)難恢復(fù)、計(jì)算機(jī)取證技術(shù)、電子商務(wù)安全、安全掃描技術(shù)、防火墻原理與技術(shù)等。

五、實(shí)踐教學(xué)

（一）校內(nèi)、校外實(shí)訓(xùn)。

加大各類課程尤其是專業(yè)課程的實(shí)踐課時(shí)比例，注重以提高學(xué)生動(dòng)手能力為重點(diǎn)的操作性實(shí)驗(yàn)實(shí)訓(xùn)，主干課程中設(shè)置綜合設(shè)計(jì)與實(shí)踐環(huán)節(jié)。

（二）假期見習(xí)或社會(huì)調(diào)查。

時(shí)間原則上不少于9周，安排在假期進(jìn)行。

（三）畢業(yè)實(shí)習(xí)。

第八個(gè)學(xué)期進(jìn)行，實(shí)習(xí)時(shí)間為3個(gè)月。

（四）畢業(yè)設(shè)計(jì)或畢業(yè)論文。

畢業(yè)實(shí)習(xí)期間收集與畢業(yè)設(shè)計(jì)或畢業(yè)論文相關(guān)的資料，緊密結(jié)合實(shí)踐，完成畢業(yè)設(shè)計(jì)或畢業(yè)論文，時(shí)間為4周。

六、考核辦法

（一）課程考核包括考試和考查，成績?cè)u(píng)定一律采用百分制計(jì)分。

實(shí)訓(xùn)比較多的課程，分理論和操作兩個(gè)部分進(jìn)行考核。要不斷改革考核方法，豐富考試考查載體和手段，采用開卷、閉卷，筆試、口試、機(jī)試、實(shí)訓(xùn)操作、綜合設(shè)計(jì)等多種考核形式，加強(qiáng)對(duì)學(xué)生動(dòng)手能力、實(shí)踐能力、分析解決問題能力和綜合素質(zhì)的全面考核。成績合格者給予學(xué)分。

（二）畢業(yè)設(shè)計(jì)或畢業(yè)論文成績?cè)u(píng)定采用五級(jí)制（優(yōu)、良、中、及格和不及格），由指導(dǎo)老師寫出評(píng)語，學(xué)院組織論文答辯。

（三）每位學(xué)生必須選修滿選修課14個(gè)學(xué)分，方可畢業(yè)。

其中限選課中，《形勢(shì)與政策》、《當(dāng)代世界經(jīng)濟(jì)與政治》等限選課，要求每個(gè)學(xué)生必選；《藝術(shù)導(dǎo)論》、《音樂鑒賞》、《美術(shù)鑒賞》、《影視鑒賞》、《舞蹈鑒賞》、《書法鑒賞》、《戲劇鑒賞》、《戲曲鑒賞》等8門公共藝術(shù)教育類限選課，要求每個(gè)學(xué)生必須選修兩門或兩門以上。

（四）學(xué)生畢業(yè)時(shí)必須達(dá)到大學(xué)生體質(zhì)健康標(biāo)準(zhǔn)。

網(wǎng)絡(luò)安全設(shè)計(jì)方案3篇供借鑒

為增強(qiáng)我區(qū)教育系統(tǒng)網(wǎng)絡(luò)安全意識(shí)，提高網(wǎng)絡(luò)安全防護(hù)技能，根據(jù)中央網(wǎng)信辦、市區(qū)網(wǎng)信辦相關(guān)要求，我校決定開展網(wǎng)絡(luò)安全宣傳周活動(dòng)，現(xiàn)制定方案如下。

一、活動(dòng)主題

網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民

二、活動(dòng)時(shí)間

xxxx年9月19日——9月25日，其中9月20為主題教育日。

三、參加對(duì)象

全校教職工、學(xué)生和家長。

四、活動(dòng)形式

（一）氛圍營造

學(xué)校在宣傳活動(dòng)期間，用LED電子顯示屏、微信公眾號(hào)、網(wǎng)站、Q群等多種形式宣傳網(wǎng)絡(luò)安全，營造良好的宣傳氛圍。

（二）電子屏滾動(dòng)播出

利用學(xué)校大門處的LED電子屏，滾動(dòng)播出網(wǎng)絡(luò)安全宣傳知識(shí)，介紹防信息泄露、防網(wǎng)絡(luò)詐騙等網(wǎng)絡(luò)安全相關(guān)知識(shí)。

（三）開展活動(dòng)

學(xué)校以網(wǎng)絡(luò)安全宣傳為主題，通過開展主題隊(duì)會(huì)、舉辦講座、國旗下講話等形式開展網(wǎng)絡(luò)安全宣傳活動(dòng)。（班主任和德育處提供圖片）

（四）網(wǎng)絡(luò)宣傳

學(xué)校網(wǎng)站、學(xué)校Q群、班級(jí)Q群和翼校通多渠道宣傳網(wǎng)絡(luò)安全知識(shí)。（班主任提供發(fā)家長Q群、發(fā)翼校通的圖片）

五、活動(dòng)要求

（一）各部門、每一位教師要高度重視此次宣傳活動(dòng)，按學(xué)校方案落實(shí)好每一項(xiàng)工作，學(xué)校將組織人員對(duì)活動(dòng)情況進(jìn)行檢查。

（二）各班主任務(wù)必將活動(dòng)開展圖片于9月23日上午12：00前傳余xx，郵箱：xx，聯(lián)系電話xx。

網(wǎng)絡(luò)安全設(shè)計(jì)方案3篇供借鑒

為了進(jìn)一步提升全系統(tǒng)網(wǎng)絡(luò)信息安全工作水平，加強(qiáng)網(wǎng)絡(luò)安全教育宣傳，營造安全健康文明和諧的網(wǎng)絡(luò)環(huán)境。按照省市有關(guān)工作安排，現(xiàn)就開展第五屆國家網(wǎng)絡(luò)安全宣傳周活動(dòng)制定如下方案。

一、活動(dòng)時(shí)間

20xx年9月17至9月23日

二、活動(dòng)主題

網(wǎng)絡(luò)安全為人民

網(wǎng)絡(luò)安全靠人民

三、活動(dòng)形式

（一）懸掛網(wǎng)絡(luò)安全宣傳橫幅。

活動(dòng)期間，利用LED大屏、橫幅、板報(bào)等載體刊載網(wǎng)絡(luò)安全宣傳標(biāo)語，營造良好的活動(dòng)氛圍。

（二）認(rèn)真學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)。

堅(jiān)持問題導(dǎo)向，認(rèn)真學(xué)習(xí)網(wǎng)絡(luò)安全法律法規(guī)和技術(shù)，深入學(xué)習(xí)市教育局《關(guān)于進(jìn)一步加強(qiáng)全系統(tǒng)網(wǎng)絡(luò)與信息安全工作的通知》和《加強(qiáng)新媒體管理的實(shí)施意見（試行）》。集中開展一次網(wǎng)絡(luò)安全知識(shí)學(xué)習(xí)，對(duì)路由器、U盤、電子郵箱等網(wǎng)絡(luò)和存儲(chǔ)設(shè)備使用的基本技能、網(wǎng)絡(luò)應(yīng)急基礎(chǔ)知識(shí)涉密信息的存儲(chǔ)傳輸程序等進(jìn)行培訓(xùn)，提高普及率。各科室、局直各單位和招生、學(xué)籍、財(cái)務(wù)等涉及關(guān)鍵基礎(chǔ)信息的領(lǐng)域要進(jìn)一步加強(qiáng)對(duì)涉及網(wǎng)絡(luò)信息安全工作人員的培訓(xùn)，提高網(wǎng)絡(luò)安全意識(shí)和防范應(yīng)急能力。

（三）開展網(wǎng)絡(luò)安全知識(shí)專題宣傳活動(dòng)。

各園校要以信息技術(shù)課堂、板報(bào)、專欄為載體，大力宣傳網(wǎng)絡(luò)安全知識(shí)；要?jiǎng)訂T教師和家長利用微信、微博等平臺(tái)學(xué)習(xí)宣傳相關(guān)網(wǎng)絡(luò)安全知識(shí)；要結(jié)合實(shí)際自制宣傳資料、通過宣傳活動(dòng)進(jìn)社區(qū)等方式擴(kuò)大活動(dòng)的覆蓋面和影響力。

（四）召開網(wǎng)絡(luò)安全知識(shí)主題班會(huì)。

要利用9月18日“校園日”活動(dòng)契機(jī)，結(jié)合學(xué)生認(rèn)知特點(diǎn)，以班級(jí)為單位召開主題班會(huì)，通過分享故事、體會(huì)和交流發(fā)言、觀看視頻等形式，重點(diǎn)做好網(wǎng)絡(luò)安全、防范電信詐騙、合理使用手機(jī)上網(wǎng)等方面基礎(chǔ)知識(shí)的普及，提高學(xué)生網(wǎng)絡(luò)安全意識(shí)，增強(qiáng)識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)危險(xiǎn)的能力。

（五）開展網(wǎng)絡(luò)安全科普教育活動(dòng)。

要開展“小手拉大手、網(wǎng)絡(luò)安全同參與”家?；?dòng)活動(dòng)。9月22日，本屆“青少年日”活動(dòng)當(dāng)天，要引導(dǎo)廣大家長和學(xué)生一起學(xué)習(xí)網(wǎng)絡(luò)安全科普知識(shí)，通過家長的微信和微博推送一條網(wǎng)絡(luò)安全信息。

（六）開展成果檢驗(yàn)活動(dòng)。

各園校要結(jié)合實(shí)際，開展一次以網(wǎng)絡(luò)安全知識(shí)為主要內(nèi)容的小知識(shí)競(jìng)賽、手抄報(bào)展示、主題演講等活動(dòng)，提升宣傳教育的效果。

四、活動(dòng)要求

（一）加強(qiáng)組織領(lǐng)導(dǎo)。

各園校、各單位要加強(qiáng)對(duì)此次活動(dòng)的組織領(lǐng)導(dǎo)，主要負(fù)責(zé)同志（網(wǎng)絡(luò)和信息安全工作領(lǐng)導(dǎo)小組組長）要充分認(rèn)識(shí)加強(qiáng)師生網(wǎng)絡(luò)安全教育的重要性，有始有終安排落實(shí)好此項(xiàng)活動(dòng)。

（二）創(chuàng)新活動(dòng)載體。

要結(jié)合學(xué)生認(rèn)知特點(diǎn)和教師培訓(xùn)實(shí)際，創(chuàng)新思路開展工作，積極創(chuàng)設(shè)適合師生的學(xué)習(xí)宣傳環(huán)境和活動(dòng)載體，提高活動(dòng)的參與度和效果。

（三）做好宣傳總結(jié)。

活動(dòng)期間要及時(shí)報(bào)送信息，以大家喜聞樂見的形式開展宣傳。同時(shí)，認(rèn)真做好總結(jié)，9月24日前將總結(jié)報(bào)送市教育局綜合宣傳科（局直單位、市屬學(xué)校直接報(bào)送，各園校由教育組統(tǒng)一報(bào)送）。