【正文】 防火墻開放的合法端口進入內(nèi)部網(wǎng)絡，竊取商業(yè)機密。 面對這些隱藏在 IP 數(shù)據(jù)包應用層的攻擊和信息，傳統(tǒng)的 網(wǎng)絡安全 技術顯得無能為力。 面對 在如此復雜多變的惡意攻擊和網(wǎng)絡應用下孕育而生的， 我們需要將 防火墻、VPN、入侵檢測、防病毒、內(nèi)容過濾 和應用控制等功能結合于一體，提供從物理層到應用層 7 層安全 的 防護。 關鍵詞： 防火墻 ； IP； 規(guī)則 ； 入侵防御 ； VPN； 網(wǎng)絡結構 ； 應用層 江西師范大學 本科畢業(yè)設計（論文） 2 Abstract With the popularization and application of work technology, work security issues have bee increasingly prominent, hacker attacks from the previous TCP/IP protocol vulnerabilities to attack based on operating system and application software and intrusion. for example： Hackers can open through the legal port of the router into the internal work, causing huge losses to the user； Worms, Trojans can be opened through the legitimate port work into the internal work, resulting in work paralysis。 Spyware and other malicious programs can be opened through the firewall to the legitimate port into the internal work, to steal trade secrets. In the face of these attacks and information hiding in the application layer of IP data packets, the traditional work security technology is powerless. In the face of such a plex and changeable malicious attacks and work application birth, we need a firewall, VPN, antivirus, intrusion detection, content filtering and application control functions together, providing protection from physical layer to application layer 7 layer security. Key words： Firewall。 IP。 rule。 intrusion prevention。 VPN。 work structure。 application layer 江西師范大學 本科畢業(yè)設計（論文） 3 第 一 章 引言 本論文 研究企業(yè) 背景 美國獨資 麥迪格醫(yī)療保健品（濟南）有限公司 (以下簡稱麥迪格公司 )成立于1997 年，是一家集科技開發(fā)、生產(chǎn)貿(mào)易于一體的美國獨資企業(yè)。總部位于 美國舊金山 、并在中國濟南、上海等地建設有一流的，達到國際先進水平的科研、生產(chǎn)基地。2021 年以來麥迪格對公司辦公、原材料采購、生 產(chǎn)、銷售、服務流程逐步進行信息化建設。并對全國 31 個分公司及 200 多家聯(lián)營經(jīng)營行為全部納入到信息化操作范圍。在濟南、南京兩地分別建立數(shù)據(jù)管理中心。全國分公司、聯(lián)營店根據(jù)互聯(lián)網(wǎng) +的設計要求實現(xiàn)全國的信息共享與聯(lián)動。 目前麥迪格 南京、濟南數(shù)據(jù)中心；濟南公司總部。分別是 100M 聯(lián)通、電信 雙線接入；全國各 地分公司分別通過 VPN 設備，共享訪問南京、濟南兩地的服務器數(shù)據(jù)。麥迪格公司目前共有服務器 8 臺，分別是辦公 OA、郵件 、收銀、財務、進銷存、生產(chǎn) ERP、 WEB 網(wǎng)站、微商城。 安全威脅不僅來自外部，企業(yè)內(nèi)部的不當互聯(lián)網(wǎng)訪 問、濫用互聯(lián)網(wǎng)以及泄密行為等等，同樣會帶來安全問題。據(jù) IDC 報告， 70%的安全損失是由企業(yè)內(nèi)部原因造成的，而不當?shù)馁Y源利用及員工上網(wǎng)行為往往是 “ 罪魁禍首 ” 。比如：網(wǎng)頁瀏覽、 BT 下載、IM 實時通信、 P2P 文件共享等行為。不當?shù)馁Y源利用及員工上網(wǎng)行為帶來了間諜軟件、惡意程序和計算機病毒，導致了企業(yè)網(wǎng)絡資源耗盡、機密信息泄漏、內(nèi)網(wǎng)病毒泛濫等一系列安全問題。 同時，隨著互聯(lián)網(wǎng)的吸引力和互動性與日俱增，員工正花費越來越多的辦公時間上網(wǎng)處理私人事務。據(jù)公布的最新統(tǒng)計顯示，中國員工每周上班花在網(wǎng)上處理私人事務的時間高達 小時，平均每天超過 1 小時。有 60%的中國員工在工作時間上網(wǎng)瀏覽個人信件，有 83%中層管理人員由于在辦公時間內(nèi)瀏覽與工作無關的網(wǎng)站，使得企業(yè)遭受到仿冒詐騙、間諜軟件和其它網(wǎng)上攻擊的威脅增大。在中國，大約有 8%的員工在上班時間上網(wǎng)進入聊天室，大約有 16%的員工上網(wǎng)下載音樂，大約有 12%員工在上班時間玩游戲的。互聯(lián)網(wǎng)濫用，造成工作效率下降，給中國企業(yè)帶來了巨大的損失。 本論文研究企業(yè)所面臨的實際問題 麥迪格公司的網(wǎng)絡現(xiàn)狀：總部的出口設備是一臺普通的 TPLINK 路由器，進線有兩條，電信（ CTC）、 聯(lián)通（ CUC）各 100M 光纖，辦公 系統(tǒng)共 有 約 120 臺 PC 終端，文江西師范大學 本科畢業(yè)設計（論文） 4 件服務器， OA 服務器， 數(shù)據(jù) 服務器，三臺服務器直接連到路由器上面。全國共計還有 31 處分部，這些分部通過 VPN 接入總部的辦公系統(tǒng)，共享文件服務器。 麥迪格公司的現(xiàn)有出口安全功能缺乏，存在以下幾點問題： 1. 整個公司網(wǎng)絡通過一臺普通路由器和外網(wǎng)互聯(lián)互動，沒有防護措施。整個計算機網(wǎng)絡等同于毫無防護的“暴露”在互聯(lián)網(wǎng)中。 2. 公司 三臺服務器直連到路由器下面，接入到內(nèi)網(wǎng)中，很容易遭受來自 外網(wǎng)的入侵和 攻擊，導致服務器 文件內(nèi)容外泄和系統(tǒng) 故障，一旦這三臺服務 器出現(xiàn)故障，那么 31 處分部與總部辦公系統(tǒng)之間的信息交互就會完全斷掉，嚴重影響工作效率。 3. 對整個網(wǎng)絡內(nèi)運行的關鍵業(yè)務帶寬不能夠得到有效的保證，空有兩條 100M的帶寬，但是缺乏有效管控運用。麥迪格公司網(wǎng)絡系統(tǒng)中包含有許多關鍵業(yè)務的運行，包括 ERP、辦公應用服務系統(tǒng)等，一旦內(nèi)部有大量的下載或者其他帶寬被占用，這樣就會導致關鍵應用帶寬不能得到保證，麥迪格公司的業(yè)務不能良好運行。 總之，為了達到網(wǎng)絡安全的要求對整個網(wǎng)絡采用一些可靠的網(wǎng)絡安全技術手段和措施是非常有必要的。為了加強網(wǎng)絡安全防護措施，增強網(wǎng)絡安全防護 意識，必須對網(wǎng)絡安全建設進行統(tǒng)一規(guī)劃和建設。因此必須要配置一臺 全 新的安全設備。 本論文的 理論依據(jù) 本論文 設計過程理論依據(jù)： 《 計算機網(wǎng)絡原理 》 《 計算機系統(tǒng)結構 》 《 操作系統(tǒng) 》 《 計算機網(wǎng)絡與通信 》 《 軟件工程 》 《互聯(lián)網(wǎng)信息服務管理辦法》 《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》 《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》 《互聯(lián)網(wǎng)電子公告服務管理規(guī)定》 《計算機信息網(wǎng)絡國際互聯(lián)網(wǎng)安全保護管理辦法》 江西師范大學 本科畢業(yè)設計（論文） 5 第二章 安全網(wǎng)關應用的 理論研究 2． 1 完善出口安全管理 抵御 DoS\DDoS 攻擊 入 侵者可能對內(nèi)部網(wǎng)重要服務器、主機進行 DoS（拒絕服務攻擊）、 DDoS（分布式拒絕服務攻擊）攻擊，使得服務器、主機拒絕正常的服務甚至癱瘓。這種攻擊的原理是：攻擊者利用 TCP 連接時通過三次握手方式建立而進行的攻擊，入侵者向服務器發(fā)送大量