【正文】 用，網(wǎng)絡安全成為日益迫切的重要需求。最近拒絕服務攻擊又有了新的發(fā)展，出現(xiàn)了分布式拒絕服務攻擊， Distributed Denial Of Service，簡稱 DDOS。然后利用這些漏洞對路由器進行 攻擊，使得路由器整個 DOWN 掉或無法正常運行。通過 Inter 的數(shù)據(jù)傳輸，存在時間上的延遲，更存在地理位置上的跨越，要避免數(shù)據(jù)徹底不受竊聽，基本是不 可能的。 目 錄 1 網(wǎng)絡安全方案摘要 ...........................................................................................................................3 網(wǎng)絡安全方案描述 ....................................................................................................................3 網(wǎng)絡安全解決思路 ....................................................................................................................5 網(wǎng)絡安全 問題解決建議 ............................................................................................................6 2 網(wǎng)絡安全詳細技術建議書 ...............................................................................................................7 網(wǎng)絡架構分析 ............................................................................................................................7 應用系統(tǒng)架構 .....................................................................................................................7 應用系 統(tǒng)平臺 .....................................................................................................................8 系統(tǒng)風險分析 ............................................................................................................................8 網(wǎng)絡架構風險分析 .............................................................................................................8 應用系統(tǒng)風險分析 ........................................................................................................... 11 安全 風險分析匯總 ...........................................................................................................16 安全需求分析 ..........................................................................................................................18 邊界防護的需求 ...............................................................................................................18 入侵檢測需求 .....................................................................................................................22 病毒防護安全需求 ...........................................................................................................25 系統(tǒng)安全建議 ..........................................................................................................................26 防火墻子系統(tǒng)規(guī)劃 ...........................................................................................................27 入侵檢測子系統(tǒng)規(guī)劃 .......................................................................................................30 安全隔離子系統(tǒng)規(guī)劃 .......................................................................................................36 病毒防護規(guī)劃 ...................................................................................................................40 安全產(chǎn)品選型 ..........................................................................................................................42 防火墻產(chǎn)品選型 ...............................................................................................................42 入侵檢測產(chǎn)品選型 ...........................................................................................................44 安全隔離產(chǎn)品選型 ...........................................................................................................47 病毒防護產(chǎn)品選型 ...........................................................................................................48 SAV 主要功能、特點 ...................................................................................................................48 建立防病毒系統(tǒng)主要考慮內(nèi)容 ...................................................................................................51 MCAFEE 公司防病毒產(chǎn)品介紹 ........................................................................................................51 主要功能： .......................................................................................................................52 集中管理的防病毒管理體系 .......................................................................................................54 防病毒管理系統(tǒng)的主要特點及功能 ...........................................................................................54 強大的廣域網(wǎng)管理能力 ...............................................................................................................54 防病毒軟件的管理： ...................................................................................................................56 配置和集中管理 ..............................................................................................................................56 任務調(diào)度和執(zhí)行 ..............................................................................................................................57 病毒自動更新和升級 ......................................................................................................................57 小結 ..................................................................................................................................................59 產(chǎn)品清單 ...........................................................................................................................60 1 網(wǎng)絡安全方案摘要 網(wǎng)絡安全方案描述 眾所周知，網(wǎng)絡為人們提 供了極大的便利。 IP地址欺騙 —— 攻擊者通過改變自己的 IP地址來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡用戶，發(fā)送特定的報文以擾亂正常的網(wǎng)絡數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報文（如發(fā)送 ICMP 的特定報文）來更改路由信息，以竊取信息。 拒絕服務攻擊 —— 攻擊者的目的是阻止合法用戶對資源的訪問。許多大型網(wǎng)站都曾被黑客用 DDOS 方式攻擊而造成很大的損失。網(wǎng)絡安全包括兩層內(nèi)容：其一是網(wǎng)絡資源的安全性，其二是數(shù)據(jù)交換的安全性。 從網(wǎng)絡、系統(tǒng)和應用出發(fā)，網(wǎng)絡的安全因素可以劃分到如下的五個安全層中，即 物理層、網(wǎng)絡層、系統(tǒng)層、應用層和安全管理。例如：設備被盜、被毀壞；設備老化、意外故障；計算機系統(tǒng)通過無線電輻射泄露秘密信息等。 重要業(yè)務數(shù)據(jù)泄漏：由于在同級局域網(wǎng)和上下級網(wǎng)絡數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時局域網(wǎng)絡內(nèi)部也存在著內(nèi)部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。 網(wǎng)絡安全不僅來自外部網(wǎng)絡，同樣存在于內(nèi)部網(wǎng)，而且來自內(nèi)部的攻擊更嚴重、更難防范。 應用層安全－ 網(wǎng)絡應用系統(tǒng)中主要存在以下安全風險：業(yè)務網(wǎng)之間的非法訪問；中間業(yè)務的安全；用戶提交的業(yè)務信息被監(jiān)聽或修改；用戶對成功提交的業(yè)務進行事后抵賴。 管理層安全－ 再安全的網(wǎng)絡設備離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復雜的網(wǎng)絡，更是如此。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。在物理層次的安全主要