【正文】 一套 Intrusion Detection Systems。這樣就可以減少系統(tǒng)分被入侵攻擊造成的損失。 網(wǎng)絡(luò)物理安全管理：保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故和人為地操作失誤導(dǎo)致的破壞。因此，在防火墻系統(tǒng)實(shí)施完成后的第二階段，某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 37 選擇實(shí)施動(dòng)態(tài)認(rèn)證系統(tǒng)將會(huì)取得更好的結(jié)果。在網(wǎng)絡(luò)安全的防范過(guò)程中， VPN 系統(tǒng)的應(yīng)用發(fā)揮著重要的作用，幾乎每一個(gè)企業(yè)網(wǎng)都會(huì)選擇 VPN 技術(shù)來(lái)確保整個(gè)網(wǎng)絡(luò)的安全性。 (4)網(wǎng)絡(luò)構(gòu)架彈性大 VPN 較專線式的架構(gòu)更有彈性，當(dāng)有必要將網(wǎng)絡(luò)擴(kuò)充或是變更網(wǎng)絡(luò)架構(gòu)（增加端口、用戶端設(shè)備更換）時(shí)，VPN 能 夠 實(shí)現(xiàn) 這 些目 標(biāo) 的。 (2)增強(qiáng)安全性 VPN 技術(shù)中對(duì)增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全性發(fā)揮著重要的足以，無(wú)論是通信協(xié)議的使用，還是身份驗(yàn)證以及數(shù)據(jù)加密的途徑都大大保證 了通信過(guò)程的安全性。Intra VPN 是利用互聯(lián)網(wǎng)將公司總部和有固定地點(diǎn)的分公司加以連接，成為一個(gè)企業(yè)總體網(wǎng)絡(luò)，運(yùn)行企業(yè)自己的各種系統(tǒng)軟件（ ERP、財(cái)務(wù)、管理等）。如下圖所示： 圖 22 VPN 圖 VPN 隧道技術(shù)在 VPN 技術(shù)中發(fā)揮著至關(guān)重要的作用，內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)不能公開化，一定要做好加密封閉方面的工作，一些敏感數(shù)據(jù)都是只允許在虛擬的公網(wǎng)隧道進(jìn)行傳送的，一般很難被人侵襲獲取的。近幾年，為了確保網(wǎng)絡(luò)的安全，網(wǎng)絡(luò)數(shù)據(jù)的加密技術(shù)也得到了一定的發(fā)展，現(xiàn)在這種技術(shù)已經(jīng)有對(duì)稱型、不對(duì)稱型和不可逆這 3 種類型的加密方式，其中對(duì)稱型、不對(duì)稱型的加密方式都存在密鑰保管和分發(fā)問題。 VPN 技術(shù) VPN 應(yīng)用是為網(wǎng)絡(luò)通信提供有效的信息加密手段。 Inter 上的操作都會(huì)留下記憶 系統(tǒng)和網(wǎng)絡(luò)中的所有信息都需要經(jīng)過(guò)防火墻處理的，每個(gè)信息都必不能逃脫過(guò)關(guān)的。 防火墻系統(tǒng)在網(wǎng)絡(luò)層安全系統(tǒng)中發(fā)揮重要的作用，包某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 30 括（帶 VPN 功能）實(shí)現(xiàn)訪問控制、網(wǎng)絡(luò)信息檢查、通信加密、非法入侵檢測(cè)和攔截，異常情況告警和審計(jì)幾大功能目標(biāo)。安全運(yùn)作體系提供安全管理和安全操作人員具體的實(shí)施指導(dǎo)，是整個(gè)安全體系的操作基礎(chǔ)。 安全策略體系應(yīng)包括網(wǎng)絡(luò)安全的目標(biāo)、方針、策略、規(guī)范、標(biāo)準(zhǔn)及流程等，并通過(guò)在組織內(nèi)對(duì)安全策略的發(fā)布和落實(shí)來(lái)保證對(duì)網(wǎng)絡(luò)安全的承諾與支持。一般要在網(wǎng)絡(luò)系統(tǒng)中建立安全保密檢測(cè)控制中心，負(fù)責(zé)對(duì)系統(tǒng)安全的監(jiān)測(cè)、控制、處理和審計(jì)。它應(yīng)維護(hù)網(wǎng)絡(luò)的正常運(yùn)行，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)能及時(shí)報(bào)告和處理，并協(xié)調(diào)、保持網(wǎng)絡(luò)系統(tǒng)的高效運(yùn)行等。這些安全工具的種類很多。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置，在黑客攻擊前進(jìn)行防范。網(wǎng)絡(luò)安全掃描技術(shù)主要針對(duì)系統(tǒng)中不合適的設(shè)置脆弱的口令，以及針對(duì)其它同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查等；而主機(jī)安全掃描技術(shù)則是通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。 防火墻不能防范病毒：防火墻不能消除網(wǎng)絡(luò)上的 PC 機(jī)的病毒。對(duì)于來(lái)自知情者的威脅只能要求加強(qiáng)內(nèi)部管 理，如主機(jī)安全和用戶教育等。T 的兩位工程師 Willam Cheswick 和 steven Beellovin，他們將防火墻定義為置于兩個(gè)網(wǎng)絡(luò)之間的一組構(gòu)件或一個(gè)系統(tǒng)，它具有以下屬性： 雙向流通信息必須經(jīng)過(guò)它；只有被預(yù)定本定安全策略授權(quán)的信息流才被允許通過(guò)；該系統(tǒng)本身具有很高的抗攻擊性能； 防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)，它用于保護(hù)可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅，同時(shí)，仍允許雙方通信，目前，許多防火墻都用于 Inter 內(nèi)部網(wǎng)之間，但在任何網(wǎng)間和企業(yè)網(wǎng)內(nèi)部均可使用防火墻。 系統(tǒng)單元維（ Z 軸）描述了信息網(wǎng)絡(luò)基礎(chǔ)構(gòu)件的各個(gè)成分。具體說(shuō)明如下： 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 22 圖 22 安全框架示意圖 1. 安全服務(wù)維 安全服務(wù)維（第一維， X 軸）定義了 7 種主要完全屬性。 9．易操作性原則 第一個(gè)方面，任何一項(xiàng)安全措施都離不開 人的操作，因此，為了提高安全性，在采取措施方面要傾向于操作的簡(jiǎn)便性。 6．統(tǒng)籌規(guī)劃，分步實(shí)施原則 由于相關(guān)法律沒有明確的規(guī)定，同時(shí)政策也沒有對(duì)其格外的重視，并且攻擊手段各種各樣等，使得安全防護(hù)的工作一直沒有取得很好的效果，因此，為了確保網(wǎng)絡(luò)安全性問題得到真正的解決，政府對(duì)其來(lái)自統(tǒng)籌規(guī)劃，分步實(shí)施計(jì)劃是非常有必要的。 3．安全性評(píng)價(jià)與平衡原則 安全體系設(shè)計(jì)的過(guò)程并不是隨便盲目的，這個(gè)過(guò)程中一定要權(quán)衡好需求、風(fēng)險(xiǎn)與代價(jià)方面的重要性，要保證在確保安全 性的情況下，還具有很好的可用性，在操作是具有可行性。 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 19 2．網(wǎng)絡(luò)信息安全的整體性原則 安全系統(tǒng)是為了確保網(wǎng)絡(luò)信息安全，在這個(gè)過(guò)程中與系統(tǒng)安全防護(hù)、檢測(cè)、恢復(fù)這些操作是 密不可分的。例如，如果企業(yè)的客戶數(shù)據(jù)（如信用卡信息）被竊并被公布到其他 Web 站點(diǎn)上，該企業(yè)可能會(huì)陷入難以使客戶對(duì)其品牌恢復(fù)信任的困境。這一過(guò)程將極大地消耗員工的工作效率和企業(yè)的資金流。一旦受到攻擊，某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 17 企業(yè)通常 會(huì)部署解決團(tuán)隊(duì)來(lái)幫助客戶、員工以及合作伙伴盡快恢復(fù)業(yè)務(wù)。它在所有破壞性設(shè)備中最具危險(xiǎn)性。木馬也可以通過(guò) Script、 ActiveX 及 Asp、 Cgi 交互腳本的方式植入。 5. 偽裝 IP 攻擊 : 指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī) ip 地址 ,騙取服務(wù)器的“信任” ,從而達(dá)到對(duì)網(wǎng)絡(luò)的攻擊目的。 服務(wù)攻擊 : 拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)，是黑客常用的攻擊手段之一。 3. 網(wǎng)絡(luò)監(jiān)聽 : 網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接受方是誰(shuí)。大多數(shù)攻擊成功的范例還是利用了系統(tǒng)軟件本身的漏洞。其主要有段見下表： 某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 13 圖 21 黑客攻擊手段分類圖 1. 口令入侵 : 所謂口令入侵，就是指用一些軟件解開已經(jīng)得到但被人加密的口令文檔，不過(guò)許多黑客已大量采用一種可以繞開或屏蔽口令保護(hù)的程序來(lái)完成 這項(xiàng)工作。 第五章為公司網(wǎng)絡(luò)安全系統(tǒng)的實(shí)施測(cè)試，主要對(duì)整合式網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)性能做了測(cè)試，以此改善該公司的網(wǎng)絡(luò)安全問題和提升公司的網(wǎng)絡(luò)運(yùn)行環(huán)境。 論文章節(jié)安排 第一章為緒論，在了解了企業(yè)網(wǎng)絡(luò)安全研究現(xiàn)狀的基礎(chǔ)上，提出 了本文的研究目的和意義。所以本文通過(guò)對(duì) 50100 個(gè)員工規(guī)模的杭州數(shù)媒企訓(xùn)科技有限公司網(wǎng)絡(luò)安全系某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 10 統(tǒng)的深層次研究，從層次結(jié)構(gòu)的角度詳細(xì)分析了該企業(yè)內(nèi)部各個(gè)層次可能存在的安全隱患及風(fēng)險(xiǎn)，按照 整 體，平衡，技管結(jié)合等原則，提出了一個(gè)符合企業(yè)要求的網(wǎng)絡(luò)安全目標(biāo)，并以此為基礎(chǔ)提出了一個(gè)整體網(wǎng)絡(luò)安全方案。 ，因此能夠?yàn)樗姓哔Y產(chǎn)提供更全面的保護(hù)。 研究目的 事實(shí)上，目前采用整合安全策略的企業(yè)在利用下一階段的整合安全技術(shù)（即集成并集中管理所有的網(wǎng)絡(luò)層）方面將占據(jù)非常有利的形勢(shì)。這種階段性的 方法開始將涉及到部分安全功能的集成。因此，系統(tǒng)的備份與恢復(fù)對(duì)整個(gè)網(wǎng)絡(luò)的安全方面發(fā)揮著至關(guān)重要的作用，即使是出現(xiàn)了災(zāi)難性的障故對(duì)計(jì)某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 8 算機(jī)系統(tǒng)并不會(huì)造成很大的影響。 5. 加密技術(shù) 為了確保網(wǎng)絡(luò)的安全，網(wǎng)絡(luò)數(shù)據(jù)的加密技術(shù)也得到某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 7 了一定的發(fā)展，現(xiàn)在這種技術(shù)已經(jīng)有對(duì)稱型、不對(duì)稱型和不可逆這 3 種類型的加密方式，其中對(duì)稱型、不對(duì)稱型的加密方式都存在密鑰保管和分發(fā)問題，因此，分布式網(wǎng)絡(luò)系統(tǒng)一般適合選擇不可逆形式，并且計(jì)算機(jī)系統(tǒng)中的口令中也是選擇這種加密形式的，但是這種加密方式也存在一定的缺陷，在算法上比較的復(fù)雜，因此當(dāng)數(shù)據(jù)量非常大的情形下不適合這種加密方式。 防火墻主要是將內(nèi)部網(wǎng)絡(luò)與 Inter 之間或者與其他外部網(wǎng)絡(luò)之間不存在連接接觸的關(guān)系，所以一般它的位置一般都是選擇在企業(yè)網(wǎng)絡(luò)的邊緣，這樣一來(lái)網(wǎng)絡(luò)之間的互訪就會(huì)受到限制從而達(dá)到保護(hù)網(wǎng)絡(luò)安全的目地。 2. 網(wǎng)絡(luò)分段 企業(yè)網(wǎng)中 一般包含很多的以太網(wǎng)，以太網(wǎng)的最基本劃分根據(jù)都是廣播的形式，以太網(wǎng)的作用主要是連接任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包。通過(guò)這四個(gè)層次就可以組建成一個(gè)比較完善的安全技術(shù)防范系統(tǒng)，針對(duì)網(wǎng)絡(luò)安全方面發(fā)某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 5 展起來(lái)了一系列的企業(yè)網(wǎng)安全技術(shù)，先對(duì)各項(xiàng)技術(shù)分析如下： (虛擬局域網(wǎng) )技術(shù) 網(wǎng)絡(luò)安全保障方面的工作做好了，對(duì)網(wǎng)絡(luò)的整體性安全有著重要的影響，而保障方面的工作要做好最基本的就是鏈路層，鏈路層的安全一般選擇 VLAN 技術(shù)來(lái)確保。同時(shí)，在實(shí)施了上網(wǎng)行為管理的企業(yè)中，對(duì)惡意網(wǎng)站進(jìn)行過(guò)濾的超過(guò)了一半；對(duì)電子郵件過(guò)濾的超過(guò)了 1/3；其他各項(xiàng)大都也在 24%～ 28%之間。 國(guó)內(nèi)外企業(yè)網(wǎng)絡(luò)安全研究現(xiàn)狀 國(guó)際咨詢服務(wù)機(jī)構(gòu) FrostandSullivan 近日宣稱，逾七成亞洲企業(yè)遭遇過(guò)網(wǎng)絡(luò)安全入侵，由于經(jīng)濟(jì)的飛速發(fā)展和隨之而來(lái)的與日俱增的網(wǎng)絡(luò)攻擊行為，亞太地區(qū)的網(wǎng)絡(luò)安全市場(chǎng)在未來(lái)三年內(nèi)將以 %的年增長(zhǎng)率向前發(fā)展。企業(yè)對(duì)安全策略的高度支持以及員工意識(shí)的加強(qiáng)將有助于成功實(shí)現(xiàn)策略。于那些包含對(duì)商務(wù)至關(guān)重要的敏感信息資產(chǎn)的系統(tǒng)和設(shè)備，企業(yè)可以應(yīng)用統(tǒng)一的方法，從而確保能夠?qū)Σ《咎卣魑募?、入侵檢測(cè)特征、防火墻配置以及安全系統(tǒng)的其它關(guān)鍵方面進(jìn)行集成式某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 3 更新。對(duì)于大多數(shù)網(wǎng)絡(luò)黑客來(lái)說(shuō)，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明和炫耀其 “ 能耐 ” 的價(jià)值，盡管這種行為的初衷也許并不具有惡意的目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實(shí)和長(zhǎng)遠(yuǎn)的商業(yè)價(jià)值。據(jù)我國(guó)公安部統(tǒng)計(jì)， 70%的泄密犯罪來(lái)自于內(nèi)部，電腦應(yīng)用 80%未設(shè)立相應(yīng)的安全管理系統(tǒng)、技術(shù)措施和制度。因此，企業(yè)網(wǎng)的安全問題主要來(lái)源有兩個(gè)方面。分層防護(hù) 。該方案具有高實(shí)用性、高 安全性、較好的性價(jià)比、可操作性強(qiáng)、配置較為先進(jìn)、可擴(kuò)展性良好等優(yōu)點(diǎn)。某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 I 摘 要 本文作者根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)安全的基本理論及知識(shí)，提出了計(jì)算機(jī)分層的安全防護(hù)設(shè)計(jì)思想及其實(shí)現(xiàn)方案。同時(shí)，論文還對(duì)網(wǎng)絡(luò)安全硬件設(shè)備的類型選擇、配置、安全管理制度的建立和實(shí)施給出了說(shuō)明。安全體系 。任何事物的影響都具有兩面性， Inter 的發(fā)展也不例外，企業(yè)網(wǎng)的發(fā)展肯定從 Inter 成熟的應(yīng)用技術(shù)方面受益，但同時(shí)，Inter 的發(fā)展也給企業(yè)網(wǎng)的安全問題帶來(lái)了一些負(fù)面影響；另一方面，企業(yè)網(wǎng)的安全性問題也有部分是因?yàn)槠髽I(yè)內(nèi)部的網(wǎng)絡(luò)的方面，包括企業(yè)內(nèi)部的人員和企業(yè)內(nèi)部的信息資源的遺漏。網(wǎng)絡(luò)安全問題 著因特網(wǎng)的迅速普及而激增，據(jù)美國(guó) FBI 統(tǒng)某企業(yè)防火墻技術(shù)分析與應(yīng)用部署設(shè)計(jì)與實(shí)施 2 計(jì)， 83%的信息安全事故為內(nèi)部人員和內(nèi)外勾結(jié)所為。 企業(yè)的網(wǎng)絡(luò)同樣存在安全方面的風(fēng)險(xiǎn)問題。因此，只有不斷獲得病毒和其他軟件的最近更新才能確保安全性。強(qiáng)健的安全策略和標(biāo)準(zhǔn)定義了需要保護(hù)的內(nèi)容，應(yīng)該授予權(quán)限的人員，以及需要授予其權(quán)限的原因。這點(diǎn)對(duì)于維持安全的關(guān)鍵基礎(chǔ)架構(gòu)非常重要。其中， %的企業(yè)對(duì)上述 7 種行為均沒有任何管理措施，而僅有 5%的企業(yè)對(duì)全部 7 種行為均進(jìn)行了管理。對(duì)企業(yè)網(wǎng)安全保障體系進(jìn)行層次 劃分，一般可以 可以分為 4 個(gè)層次，最高層次上企業(yè)安全策略層，最低的層次上是安全服務(wù)層，也是最基本的層次，中間的兩個(gè)層次分別是企業(yè)用戶層、企業(yè)網(wǎng) 絡(luò)與信息資源層。同時(shí)，當(dāng)某一虛擬子網(wǎng)被黑客侵襲了并不會(huì)對(duì)整個(gè)網(wǎng)絡(luò)的信息造成任何的損失。 3. 硬件防火墻技術(shù) 在網(wǎng)絡(luò)安全的防范過(guò)程中，硬件防火墻技術(shù)發(fā)揮著重要的作用，幾乎每一個(gè)企業(yè)網(wǎng)都會(huì)選擇硬件防火墻技術(shù)來(lái)確保整個(gè)網(wǎng)絡(luò)的安全性。在防火墻、代理服務(wù)器或網(wǎng)絡(luò)服務(wù)器上，為了阻止病毒的侵犯，可以通過(guò)病毒檢測(cè)技術(shù)來(lái)實(shí)現(xiàn)，或者在企業(yè)局域網(wǎng)上，這些電腦病毒能夠利用網(wǎng)絡(luò)版殺毒軟件來(lái)進(jìn)行清除。 7. 系統(tǒng)備份和恢復(fù)技術(shù) 防范手段無(wú)論做的有多么的細(xì)致還是會(huì)存在一定的疏漏之處，突發(fā)性事 件是不可避免的，也是人們不可預(yù)測(cè)的，同時(shí)帶來(lái)的后果有些可能是巨大的災(zāi)難般。因此，企業(yè)有可能逐漸遷移到應(yīng)用整合的安全解決方案，從而確保每個(gè)網(wǎng)絡(luò)層中各個(gè)相互競(jìng)爭(zhēng)的安全產(chǎn)品之間的互操作性和集成性。它使用的是深入的防護(hù)原理，并在 IT 基礎(chǔ)架構(gòu)內(nèi)的多個(gè)層次中都采用了補(bǔ)充的安全功能。 所以本文通過(guò)對(duì)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)整合，