【正文】 解。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索，從而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。 3．對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。它安裝在信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間，通過它可以隔離非信任網(wǎng)絡(luò) (即 Inter 或局域網(wǎng)的一部分 )與信任網(wǎng)絡(luò) (局域網(wǎng) )的連接，同時(shí)不會(huì)妨礙人們對非信任網(wǎng)絡(luò)的訪問。它能允許用戶 “ 同意 ” 的人和數(shù)據(jù)進(jìn)入用戶的網(wǎng)絡(luò)，同時(shí)將用戶 “ 不同意 ” 的人和數(shù)據(jù)拒之網(wǎng)外。 防火墻的概述 防火墻的定義 1. 從邏輯上講 ， 防火墻既是一個(gè)分離器 、 限制器也是一個(gè)分析器； 2. 從具體實(shí)現(xiàn)上講 ， 防火墻是一個(gè)獨(dú)立的進(jìn)程或一組緊密聯(lián)系的進(jìn)程 ， 運(yùn)行在路由器或服務(wù)器上； 3. 防火墻三大要素：安全 、 管理和速度 。 ⑦加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。 ③建立辦公網(wǎng)絡(luò)各主機(jī)和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全。如果第一道防線沒有經(jīng)過安全的配置，這道防線就形同虛設(shè)，那么這個(gè)網(wǎng)絡(luò)就沒有安全性可言了。由于專線在和工廠互聯(lián)的同時(shí)也承擔(dān)公司日常辦公任務(wù)，所以經(jīng)常會(huì)遭到來自互聯(lián)網(wǎng)絡(luò)的攻擊或入侵。其科研生產(chǎn)基地坐落于北京昌平科技園區(qū)，擁有國內(nèi)先進(jìn) 制藥生產(chǎn)設(shè)備，生產(chǎn)有膠囊、顆粒、丸劑、口服液等劑型，分裝車間共 16000m，并具有國內(nèi)先進(jìn)水平 的年處理中藥材 6000t 的中藥提取車間及配套的生產(chǎn)設(shè)備。該公司以科研生產(chǎn)生物制品、中成藥為主，全廠已通過國家藥品監(jiān)督管理局認(rèn)證中心組織的 GMP 認(rèn)證。 2．需求分析 如果辦公網(wǎng)絡(luò)遭受入侵，將很有可能導(dǎo)致各部門的機(jī)密資料外泄，甚至泄露重要的商業(yè)機(jī)密。 3．系統(tǒng)安全目標(biāo) 基于以上的分析，瑞星公司認(rèn)為亞東制藥有限公司的網(wǎng)絡(luò)系統(tǒng)安全應(yīng)該實(shí)現(xiàn)以下目標(biāo)。 ④ 對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕。 4．方案設(shè)計(jì)概述 根據(jù)需求，在方案中將防火墻系統(tǒng)保護(hù)的安全區(qū)域定義為亞東制藥公司及大興制藥廠；防火墻部署在 亞東制藥公司邊界網(wǎng)關(guān)處，即公司局域網(wǎng)及外連路由器之間；防火墻部署采用 “ 路由 ” 模式加 NAT 的模式。 防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)之間 ， 執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng) ， 是一類防范措施的總稱 。防火墻是一類防范措施的總稱，不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。 內(nèi)部可信任網(wǎng)絡(luò) 外部非信任網(wǎng)絡(luò) Inter 防火墻 防火墻的功能 防火墻具有如下幾個(gè)基本功能 1．訪問控制 防火墻是網(wǎng)絡(luò)安全的屏障，通過設(shè)置防火墻的過濾規(guī)則，可以實(shí)現(xiàn)對數(shù)據(jù)流的訪問控制。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。使用防火墻就可以隱蔽那些透露內(nèi)部細(xì)節(jié)的服務(wù)，如 Finger、 DNS 等。 5．支持 VPN 功能 除了安全作用，防火墻還支持具有 Inter服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系 VPN 。 NAT 常用于私有地址域與公有地址域的轉(zhuǎn)換，以解決 IP 地址匱乏問題。過濾規(guī)則是基于可以提供給 IP 轉(zhuǎn)發(fā)過程的包頭信息的。 2．代理防火墻 第二代防火墻工作在應(yīng)用層，能夠根據(jù)具體的應(yīng)用對數(shù)據(jù)進(jìn)行過濾或者轉(zhuǎn)發(fā)，也就是常說的代理服務(wù)器、應(yīng)用網(wǎng)關(guān)。 3．動(dòng)態(tài)包過濾防火墻 1992 年 USC 信息科學(xué)的 BobBraden 開發(fā)出了基于動(dòng)態(tài)包過濾 (Dynamic Packet Filter)技術(shù)的防火墻，也就是目前所說的狀態(tài)檢測 (State Inspection)技術(shù)。它將網(wǎng)關(guān)與安全系統(tǒng)合二為一，在功能上包括了靈活的代理系統(tǒng)、多級的過濾技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及Inter 網(wǎng)關(guān)技術(shù)，且具有審計(jì)和報(bào)警、加密與鑒別等功能，透明性好，易于使用。 1986年美國 Digital公司再 Inter上安裝了第一個(gè)商用防火墻 ， 之后防火墻得到飛速發(fā)展 。 第三代防火墻有以軟件實(shí)現(xiàn)的 ， 也有以硬件實(shí)現(xiàn)的 ， 特點(diǎn)： ?批量上市的專用防火墻； ?集成多種功能； ?保護(hù)用戶編程空間和可配置內(nèi)核參數(shù)的設(shè)置； ?防火墻依賴兩方面的安全支持： ?防火墻廠商； ?操作系統(tǒng)廠商 。 第一代防火墻 第二代防火墻 第三代防火墻 第四代防火墻 下一代防火墻 下一代防火墻： ?多級過濾技術(shù)的發(fā)展和應(yīng)用； ?胖技術(shù)路線和技術(shù)路線； ?實(shí)現(xiàn)和配置都十分復(fù)雜； ?管理平臺(tái)的通用化； ?防火墻性能的提高和自身的安全性加強(qiáng) 。對符合規(guī)則的數(shù)據(jù)包，防火墻可以發(fā)給發(fā)送方一個(gè)消息，也可以不發(fā)。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。 (4) 對用戶來說是透明的，用戶的應(yīng)用層不受影響。 (3) 不支持應(yīng)用層協(xié)議，無法發(fā)現(xiàn)基于應(yīng)用層的攻擊。 3．設(shè)計(jì)訪問控制列表的注意點(diǎn) 包過濾防火墻基本通過路由器的訪問控制列表 (Access Control List， ACL)方式來實(shí)現(xiàn)， 設(shè)置訪問控制列表時(shí)應(yīng)該注意以下幾點(diǎn)。 (3) 訪問控制列表的位置。有的路由器默認(rèn)設(shè)置是允許，有的是拒絕，后者比前者更加安全簡便。代理服務(wù)器對內(nèi)網(wǎng)的客戶機(jī)來說像是一臺(tái)服務(wù)器，而對于外網(wǎng)的服務(wù)器來說，它又像是一臺(tái)客戶機(jī)。它同時(shí)提供了多種方法認(rèn)證用戶。 代理服務(wù)器的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強(qiáng)。 (2) 處理速度比較慢。這種技術(shù)就是所謂的包狀態(tài)監(jiān)測 (State Inspection)技術(shù)。狀態(tài)監(jiān)測表是位于內(nèi)核模式中的，所有的數(shù)據(jù)包與狀態(tài)檢測表的比較都在內(nèi)核模式下進(jìn)行，所以速度很快。這種設(shè)計(jì)方式可以避免一些 DoS 攻擊。如果沒有堡壘主機(jī)，網(wǎng)絡(luò)之間將不能相互訪問。 (3) DMZ(Demilitarized Zone，非軍事區(qū)或?；饏^(qū) )。 (2) 被屏蔽主機(jī)體系結(jié)構(gòu)。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能，因而， IP 數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)(如 Inter)并不是直接發(fā)送到其他網(wǎng)絡(luò) (如內(nèi)部的、被保護(hù)的網(wǎng)絡(luò) )。 外部網(wǎng)絡(luò) 多端口主機(jī) 內(nèi)部 網(wǎng)絡(luò) 被屏蔽主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)提供來自多個(gè)網(wǎng)絡(luò)相連的主機(jī)的服務(wù) (但路由關(guān)閉 )，而被屏蔽 主機(jī)體系結(jié)構(gòu)通過使用一個(gè)單獨(dú)的路由器提供來自僅與內(nèi)網(wǎng)相連的主機(jī)的服務(wù)。進(jìn)而言之，保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┓浅Ｓ邢薜姆?wù)組。如果路由器被損害，整個(gè)網(wǎng)絡(luò)對侵襲者來說是開放的。 這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè) “ 隔離帶 ” 。 周邊網(wǎng)絡(luò)是另一個(gè)安全層，是在外部網(wǎng)絡(luò)與用戶的被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間附加的網(wǎng)絡(luò)。例如以下幾方面。 另外，其出站服務(wù) (從內(nèi)部的客戶端到 Inter 上的服務(wù)器 )按如下任一方法處理。但是禁止內(nèi)部的客戶端與外部直接通信 (即撥號(hào)入網(wǎng)方式 )。它允許從內(nèi)部網(wǎng)到 Inter的有選擇的出站服務(wù)。 (4) 外部路由器 理論上，外部路由器 (在有關(guān)防火墻著作中有時(shí)被稱為訪問路由器 )保護(hù)周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)使之免受來自 Inter 的侵犯。外部群組可能放入一些通用型數(shù)據(jù)包過濾規(guī)則來維護(hù)路由器，但是不使用維護(hù)復(fù)雜或頻繁變化的規(guī)則組。 個(gè)人版防火墻的應(yīng)用 個(gè)人版的防火墻安裝在用戶的 PC 系統(tǒng)上，用于保護(hù)個(gè)人系統(tǒng)，在不妨礙用戶正常上網(wǎng)的同時(shí)，能阻止Inter 上其他用戶對自己的計(jì)算機(jī)系統(tǒng)進(jìn)行非法訪問。默認(rèn)情況下，它的作用很強(qiáng)大。 IP 規(guī)則設(shè)置，一般默認(rèn)即可，未經(jīng)修改的自定義 IP 規(guī)則與默認(rèn)中級規(guī)則是一樣的。默認(rèn)情況下日志基本都是拒絕操作。 2. 防火墻開放端口應(yīng)用 如果想開放端口就得創(chuàng)建新的 IP 規(guī)則，新建一個(gè) IP 規(guī)則，如圖 所示，在自定義 IP 規(guī)則中單擊進(jìn)行新規(guī)則設(shè)置 單擊 【 增加規(guī)則 】 圖標(biāo)后就會(huì)出現(xiàn)如圖 所示的界面，它分成 4 部分 . (1) 規(guī)則。分為任何地址、局域網(wǎng)內(nèi)地址、指定地址、指定網(wǎng)絡(luò)地址 4 種。可根據(jù)具體情況選用并設(shè)置。下面以打開 6881～ 6889 端口為例說明 如何打開端口。然后可以進(jìn)行在線端口測試，測試 BT 的連接端口是否已經(jīng)開放。安裝完成后， Windows 桌面有一個(gè)CCProxy 的綠色圖標(biāo)，雙擊即可啟動(dòng) CCProxy 了，其主界面如圖 所示。單擊 【 新建 】 按鈕，如圖 所示，用戶可根據(jù)實(shí)際情況，輸入需要代理上網(wǎng)的客戶機(jī)的 IP 及 MAC地址，帶寬用戶自己考慮限制，至此服務(wù)器端設(shè)置完成。 程序代理設(shè)置。 1．吞吐量測試 這項(xiàng)測試用來確定