【正文】 兩個學(xué)科之間的橋梁，又是信號與信息處理、通信、控制、計算機乃至電力、電子等諸方面研究和開發(fā)的理論與技術(shù)基礎(chǔ)。優(yōu)秀的碩士論文能夠反映出作者對所學(xué)習(xí)專業(yè)的理論 知識掌握的程度和水平，能夠幫助作者構(gòu)建起良好的完整的知識體系，還能防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 29 頁 夠反映作者獨立的科研能力和學(xué)術(shù)理論的應(yīng)用水平，對研究的課題的思考和獨立見解。 作者 :XXX X 年 X 月 X 日 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 27 頁 致謝 大學(xué)三年生活即將結(jié)束，在這里我非常感謝所有教導(dǎo)我的老師，他不但教會我門知識，在指導(dǎo)我的論文上非常盡心，不厭其煩的幫助指導(dǎo)，幫助我在三年的大學(xué)生活畫上完美的句號。 從正式開始搞畢業(yè)設(shè)計通過書本，網(wǎng)絡(luò)，討論等多方面的學(xué)習(xí)收集整理而成的這份方案。 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 26 頁 結(jié)束 隨著 lnter 在我過的迅速的發(fā)展，網(wǎng)絡(luò)安全 的問題越來越得到重視。便于查看當前網(wǎng)絡(luò)狀況，分析網(wǎng)絡(luò)問題。 3 入侵檢測能夠?qū)崟r分析網(wǎng)絡(luò)中活動，發(fā)現(xiàn)入侵行為可以采取預(yù)先設(shè)定的動作響應(yīng)（報警、切斷網(wǎng)絡(luò)連接、記錄日志等等）。 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 24 頁 IDS 實施方案 圖 42 網(wǎng)絡(luò)安全拓撲 IDS 部署的好處 1 入侵檢測系統(tǒng)能夠?qū)W(wǎng)絡(luò)流量進行實時監(jiān)控，能夠準確有效地識別所有網(wǎng)絡(luò)活動中的已知攻擊、未知攻擊行為，一旦發(fā)現(xiàn)攻擊，立即報警，并采取響應(yīng)措施。 蘭州宏宇電腦企業(yè) IT 系統(tǒng)的建設(shè)與投資過程中，往往較多地考慮了系統(tǒng)的一次性建設(shè)成本和設(shè)備投入，如網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、數(shù)據(jù)庫系統(tǒng)、應(yīng)用開發(fā)、機房環(huán)境建設(shè)、客戶機配置等，對系統(tǒng)將來在管理維護方面的開銷考慮的較少或不全 蘭州宏宇電腦企業(yè)網(wǎng)絡(luò)環(huán)境相當?shù)膹?fù)雜， 首先是規(guī)模大，服務(wù)器節(jié)點和客戶端上千，系統(tǒng) 分布在全國各地， 甚至分布在幾個國家 ，范圍極廣 ；第二是功能越來越多，從 計算、數(shù)據(jù)庫、事務(wù)處理到各種Inter/Intra 服務(wù)等等； 第三是變化快，硬件、軟件、網(wǎng)絡(luò)和應(yīng)用不斷地更新升級；第四是異構(gòu)性 ，主要體現(xiàn)為： 系統(tǒng)結(jié)構(gòu)異構(gòu)性 、平臺異構(gòu)性 、 網(wǎng)絡(luò)異構(gòu)性 、 數(shù)據(jù)異構(gòu)性 、 應(yīng)用異構(gòu)性 。 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 22 頁 可以實時的掃描郵件中的病毒，包括在附件中壓縮文件的掃描。 實時的病毒防御：防毒系統(tǒng)駐留在主內(nèi)存中，對一切在計算機上運行的程序進行實時的監(jiān)控。 單一網(wǎng)絡(luò)管理：通過單一的主控 程序?qū)Χ嘀氐奈募芾矸?wù)器進行單一的管理。企業(yè)級的網(wǎng)絡(luò)防毒軟件應(yīng)當具備以下的一些基本特性： 對企業(yè)信息網(wǎng)絡(luò)進行多重防護：包括工作站（ PC）級的病毒防治、服務(wù)器級的病毒防治、網(wǎng)關(guān)級的病毒防治、電子郵件系統(tǒng)的病毒防治等。 蘭州宏宇電腦 公司內(nèi)部擁有 大量使用計算機聯(lián)網(wǎng)工作，但是所用的計算機軟件、操 作系統(tǒng)種類非常多，涉及 UNIX、 Windows95／ 98／ NT／ 、 Novell 等。 網(wǎng)絡(luò)的安全隱患不僅僅是企業(yè)內(nèi)部人員操作的問題，越來越多的隱患是出于企業(yè)內(nèi)部網(wǎng)絡(luò)和 Inter 互聯(lián)網(wǎng)的連接問題。 FireGate Inter 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 19 頁 1． 源地址轉(zhuǎn)換 (正向 NAT)，即內(nèi)部地址向外訪問時，發(fā)起訪問的內(nèi)部 IP 地址轉(zhuǎn)換為指定的 IP 地址（可含端口號或者端口范圍），這可以使內(nèi)部使用保留 IP 地址的主機訪問外部網(wǎng)絡(luò)，即內(nèi)部的多個機器可以通 過一個外部有效地址訪問外部網(wǎng)絡(luò)。用戶可打印和統(tǒng)計有漏洞主機的掃描信息，并查詢漏洞的詳細信息，使用戶全面了解系統(tǒng)的安全狀況，提早做好防范措施。防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 18 頁 在掃描過程中，能夠提示掃描進度。 3 入侵檢測和防火墻的互動 通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡(luò)的多種掃描，檢測到對網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M行響應(yīng)，包括自動防范及用戶自定義安全響應(yīng)策略等。 2 在線升級和實時報警 由于入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此 方正防火墻 提供了非常方便的升級接口，可以通過我們的網(wǎng)站進行在線升級，而且我們提供了非常方便的用戶升級界面，使升級工作可以非常方便的完成。 防火墻內(nèi)置入侵檢測模塊 在檢測到有黑客掃描服務(wù)器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進行后續(xù)的攻擊。組裝會話后，防火墻內(nèi)核會根據(jù)會話的特征自動識別會話屬于何種應(yīng)用，并根據(jù)相應(yīng)的安全規(guī)則進 行訪問控制。 方正防火墻的主要功能是對指定對象進行訪問控制，并且按照設(shè)定策略對網(wǎng)絡(luò)數(shù)據(jù)進行入侵或流量等活動的統(tǒng)計，并記入日志中，供用戶察看。 獨有的智能 IP 識別技術(shù)是一種基于狀態(tài)檢測的高效網(wǎng)絡(luò)檢測技術(shù)。 如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會立即將其阻斷避免其進入防火墻之后的服務(wù)器中。 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 14 頁 第三 章 防火墻在企業(yè)網(wǎng)絡(luò)中具體功能與實現(xiàn) 隨著政府、企業(yè)、個人主機的網(wǎng)絡(luò)安全需求的與日俱增，防火墻技術(shù)應(yīng)運而生。 3 這種結(jié)構(gòu)是目前在局域網(wǎng)中應(yīng)用得最為普遍的一種，在 很多 企業(yè)網(wǎng)絡(luò)中幾乎都是采用這一方式。為便于集中連線，目前多采用集線器 Hub 作為星型結(jié)構(gòu)的中央節(jié)點， Hub 通常有 1 1 24 個端口，每個端口相對獨立，因此當網(wǎng)絡(luò)中的一個節(jié)點有故障時，不會影響整個局域網(wǎng)的運行。 由于分公司和總公司之間的應(yīng)用系統(tǒng)的實時性要求不是很高，因此從應(yīng)用的角度也可以接受以上的備份方式。 兩種線路接入方式的備份線路都采用 ISDN／電話線路遠程撥號的方式，主要有以下考慮： 由于該種方式利用已有的線路，十分經(jīng)濟。而 蘭州宏宇 總部通過一條 6M 專線接入 VPN 網(wǎng)絡(luò)，該條專線將采用光纖接入。 分公司利用已有的 ISDN／電話撥號線路遠程連接到總部，通過該線路實現(xiàn)對主干線路的備份?？蛻舴?wù)中心則根據(jù)就近原則，通過 ISDN撥號連接到距離最近的分公司，通過分公司和總公司連接。預(yù)計每一分公司所需帶寬為 256K 左右。 3 便于今后擴建和維護管理 綜合布線系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)一般采用星型結(jié)構(gòu)，各條線路自成獨立系統(tǒng)，在改建或擴建時互相不會影響。 綜合布線 特點 蘭 州宏宇方案規(guī)劃的特點 1 綜合性、兼容性好 傳統(tǒng)的專業(yè)布線方式需要使用不同的電纜、電線、接續(xù)設(shè)備和其它器材，技術(shù)性能差別極大，難以互相通用，彼此不能兼容。 蘭州宏宇 廣域網(wǎng) 方案規(guī)劃 圖 21 綜合布線（ 平面 圖 ） 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 8 頁 1 以 蘭州宏宇 公司總部為中心，各個分公司通過 VPN 或 FR 幀中繼網(wǎng) 連接到總部，建立廣域網(wǎng)的主干。 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 7 頁 第 二 章 綜合布線及拓撲結(jié) 構(gòu) 為適應(yīng)迅速的技術(shù)變化，使得我們必須將建筑物進行結(jié)構(gòu)化布線作為一個策略性投資加以考慮。網(wǎng)絡(luò)安全方案可行性更強。 ，這使得中小企業(yè)在網(wǎng)絡(luò)安全方面的投入總顯得底氣不足。但由于安全產(chǎn)品來自不同的廠商，沒 有統(tǒng)一的標準，因此安全產(chǎn)品之間無法進行信息交換，形成許多安全孤島和安全盲區(qū)。 4．訪問的可控性：對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這要求系統(tǒng)能夠可靠確認訪問者的身份，謹慎授權(quán)，并對任何訪問進行跟蹤記錄。歸結(jié)起來，應(yīng)充分保證以下幾點： 1． 網(wǎng)絡(luò)可用性：網(wǎng)絡(luò)是業(yè)務(wù)系統(tǒng)的載體，防止如 DOS/DDOS 這樣的網(wǎng)絡(luò)攻擊破壞網(wǎng)絡(luò)的可用性。怎么處理總部與分支機構(gòu)、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。中小企業(yè)所面臨的安全問題主要有以下幾個方面： 1．外網(wǎng)安全 —— 駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。大企業(yè)所面臨的安全問題也一直困擾著中小企業(yè)，關(guān)于中小企業(yè)網(wǎng)絡(luò)安全的相關(guān)報導(dǎo)也一直層不窮。為幫助實現(xiàn)企業(yè)總體目標，公司技術(shù)員于 6 月初開展了更深入和廣泛的調(diào)研與分析，從信息系統(tǒng)的整體架構(gòu)，及其各個組成部分，從應(yīng)用系統(tǒng)、安全管理、實施計劃進行討論和分析，從而制訂出一份全面的信息建設(shè)整體規(guī)劃方案。同時作為中國電信蘭州惟一數(shù)據(jù)接入業(yè)務(wù)理商。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度， 它 最大限度地