【正文】 進(jìn)行的截獲 篡改攻擊，保證網(wǎng)站的安全。 7 總體設(shè)計(jì) 總體設(shè)計(jì)效果圖 8 外網(wǎng)網(wǎng)絡(luò)設(shè)計(jì) 針對(duì)貴單位外網(wǎng)網(wǎng)絡(luò)部分，我方建議整體網(wǎng)絡(luò)采用標(biāo)準(zhǔn)的以太網(wǎng)絡(luò)結(jié)構(gòu)，核心層到匯聚層呈星型拓?fù)浣Y(jié)構(gòu)， 通過部署核心交換機(jī)實(shí)現(xiàn)匯聚層交換機(jī)的網(wǎng)絡(luò)連接，在外網(wǎng)用戶接入 inter 時(shí)， 如圖所示的方式部署防火墻系統(tǒng)、防病毒系統(tǒng)、入侵防御系統(tǒng)、 網(wǎng)頁防篡改系統(tǒng) 。 可維護(hù)性──網(wǎng)絡(luò)系統(tǒng)便于管理和維護(hù)，配置功能強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)集中維護(hù)和檢測(cè)。當(dāng)將來采用新技術(shù)（如 ATM）時(shí)原有設(shè)備能繼續(xù)使用，只需增加有限的模塊和設(shè)備，保護(hù)原來的投資。 某企業(yè) 的網(wǎng)絡(luò)系統(tǒng)應(yīng)采用國際、國內(nèi)應(yīng)用比較廣泛且相對(duì)先進(jìn)的技術(shù)和產(chǎn)品，且易于操作、維護(hù)：選用 TCP/IP 協(xié)議、 UNIX 操作系統(tǒng)、 SQL 數(shù)據(jù)庫。 5 第二章 .網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) 網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)和用戶要求 某企業(yè) 網(wǎng)絡(luò)是 某企業(yè) 總部?jī)?nèi)部辦公以及與下屬 各個(gè)規(guī)劃分局、縣市規(guī)劃局 進(jìn)行計(jì)算機(jī)信息交流的平臺(tái)，是一個(gè)跨地區(qū)的大型網(wǎng)絡(luò)系統(tǒng)。 將 石家莊規(guī)劃局 與 各個(gè)規(guī)劃分局 、 縣市規(guī)劃局 互連，建立整個(gè) 某企業(yè) 系統(tǒng)的互連網(wǎng)絡(luò)。總共 100 多個(gè)信息 點(diǎn)分布在總部的 6 層樓內(nèi) 所以待建網(wǎng)絡(luò)系統(tǒng)的目標(biāo)是： 計(jì)算機(jī)系統(tǒng)需求 目前公司總部只完成了結(jié)構(gòu)化布線工作。 需求分析 為實(shí)現(xiàn)上述目標(biāo)，可以把整個(gè)系統(tǒng)建設(shè)分成兩個(gè)部分，即： 外網(wǎng)平臺(tái)建 設(shè)及專網(wǎng)平臺(tái)建設(shè)，針對(duì)這兩個(gè)平臺(tái)的建設(shè)我們要 做到“整體規(guī)劃，分布實(shí)施”。網(wǎng)絡(luò)系統(tǒng)要求能夠支持視頻會(huì)議、視頻點(diǎn)播、網(wǎng)上實(shí)時(shí)交流以及 BBS、新聞組等功能。 擴(kuò)展能力──充分考慮到目前的業(yè)務(wù)需求和今后長(zhǎng)時(shí)間內(nèi)業(yè)務(wù)發(fā)展的需要，系統(tǒng)可方便地實(shí)現(xiàn)升級(jí)。 靈活性──拓?fù)浣Y(jié)構(gòu)必須靈活，便于進(jìn)行網(wǎng)絡(luò)的管理和調(diào)整。 先進(jìn)性──支持任務(wù)優(yōu)先級(jí)的劃分，具有適當(dāng)?shù)亩嗝襟w應(yīng)用支持。 部署入侵防御系統(tǒng)：對(duì)流經(jīng)網(wǎng)絡(luò)流量進(jìn)行分析過濾， 來判斷是否為異常數(shù)據(jù)流量或可疑數(shù)據(jù)流量，并對(duì)異常及可疑流量進(jìn)行積極阻斷，同時(shí)向管理員通報(bào)攻擊信息，從而提供對(duì)網(wǎng)絡(luò)資源的安全保護(hù)。考慮到貴單位業(yè)務(wù)系統(tǒng)運(yùn)行的實(shí)時(shí)性要求高，為了防止來自于互聯(lián)網(wǎng)的惡意攻擊，建議在服務(wù)器區(qū)域部署應(yīng)用層防護(hù)設(shè)備 入侵防御系統(tǒng)。 ? 過濾網(wǎng)絡(luò)中不必要傳輸?shù)睦鴶?shù)據(jù)。同樣由于防火墻是一種網(wǎng)關(guān)型的設(shè)備，而且防火墻具有流量控制的特性， 可以依據(jù)應(yīng)用來限制流量，來調(diào)整鏈路的帶寬利用如：在網(wǎng)絡(luò)中，有 FTP 的訪問、 Web 訪問等等，可以在防火墻中直接加載控制策略，使 FTP 訪問、 Web 訪問按照預(yù)定的帶寬進(jìn)行數(shù)據(jù)交換。防火墻可防止黑客通過外部網(wǎng)對(duì)重要服務(wù)器的 TCP/UDP 的端口非法掃描，消除系統(tǒng)安全的隱患。對(duì)于防火墻自身來說，日志的導(dǎo)出、計(jì)費(fèi)服務(wù)器的安裝，可以使得每臺(tái)防火墻來往的數(shù)據(jù)訪問的目的加以統(tǒng)計(jì)，為優(yōu)化網(wǎng)絡(luò)提供必要的數(shù)據(jù)，計(jì)費(fèi)服務(wù)器可以完成，每個(gè)不同的源訪問的流量的統(tǒng)計(jì)，可以了解到每個(gè)源的流量是否在正常范圍內(nèi)，等等。在骨干網(wǎng)與下屬單位連接連路上添加防火墻，等于在該鏈路上安裝了一個(gè)病毒聯(lián)動(dòng)的控制機(jī)構(gòu)（網(wǎng)關(guān)）。 防火墻功能 ? 平臺(tái)支持：采用專用硬件平臺(tái)與專用的安全操作系 統(tǒng) ? 基于會(huì)話檢測(cè)的防火墻實(shí)現(xiàn)機(jī)制：采用基于操作系統(tǒng)內(nèi)核的會(huì)話檢測(cè)技術(shù) ? 硬件上支持對(duì)接口的靈活擴(kuò)展，可以通過靈活的擴(kuò)展來適應(yīng)業(yè)務(wù)發(fā)展的需要，從而保護(hù)投資。 ? 地址轉(zhuǎn)換：采用雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（雙向 NAT）技術(shù)，支持靜態(tài) NAT 及動(dòng)態(tài) NAT（ IP POOL），并能夠?qū)崿F(xiàn)一對(duì)一、一對(duì)多的地址映射； 11 ? 支持多種身份認(rèn)證：如 OTP 、 RADIUS 、 S/KEY 、 SECUREID 、 TACACS/TACACS+、口令方式、數(shù)字證書（ CA ），更好更廣泛的實(shí)現(xiàn)了 用戶鑒別和訪問控制。 ? 防火墻支持 TopsecManager 與 SAS：支持 TopsecManager 綜合管理系統(tǒng)，支持 TopSEC 安全審計(jì)系統(tǒng)； ? 實(shí)時(shí)監(jiān)控：實(shí)時(shí)察看防火墻主機(jī)的當(dāng)前負(fù)載情況，包括內(nèi)存的使用情況和連接狀況等。日志會(huì)話信息用來進(jìn)行流量分析已經(jīng)足夠，但是用來進(jìn)行安全性分析還遠(yuǎn)遠(yuǎn)不夠；應(yīng)用層日志命令在日 志會(huì)話的基礎(chǔ)之上記錄下各個(gè)應(yīng)用層命令及其參數(shù)，比如 HTTP 請(qǐng)求及其要取的網(wǎng)頁名；訪問日志則是在應(yīng)用層命令日志的基礎(chǔ)之上記錄下用戶對(duì)網(wǎng)絡(luò)資源的訪問，它和應(yīng)用層日 12 志命令的區(qū)別是：應(yīng)用層日志命令可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。 內(nèi)網(wǎng) VPN系統(tǒng) VPN作用 虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。之所以采用虛擬專用網(wǎng)是因?yàn)?VPN有以下幾方面 優(yōu)點(diǎn)： ? 降低成本 ? 容易擴(kuò)展 ? 完全控制主動(dòng)權(quán) ? 全方位的安全保護(hù) ? 高的性價(jià)比 ? 使用和管理方便 ? 投資保護(hù) 虛擬專用網(wǎng) VPN 采用了一種稱之為隧道的技術(shù)。 VPN功能 VPN 網(wǎng)關(guān)作為網(wǎng)絡(luò)邊界設(shè)備，除了完成遠(yuǎn)端網(wǎng)絡(luò)或移動(dòng)用戶的遠(yuǎn)程接入功能外，對(duì)用戶網(wǎng)絡(luò)邊界安全也是至關(guān)重要的。狀態(tài)檢測(cè)只檢查數(shù)據(jù)包的包頭，深度包檢測(cè)可對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行檢查，而 CCI 則可實(shí)時(shí)將網(wǎng)絡(luò)層數(shù)據(jù)還原為完整的應(yīng)用層對(duì)象（如文件、網(wǎng)頁、郵件等），并對(duì)這些完整內(nèi)容進(jìn)行全面檢查，實(shí)現(xiàn)徹底的內(nèi)容防護(hù)。網(wǎng)絡(luò)衛(wèi)士防火墻還提供了定制功 能，可以對(duì)用戶所關(guān)心的網(wǎng)絡(luò)應(yīng)用進(jìn)行全面控制。 網(wǎng)絡(luò)衛(wèi)士 VPN 多合一網(wǎng)關(guān)集成了天融信高級(jí)的 Intelligent Guard 技術(shù)提供了強(qiáng)大的入侵防護(hù)功能，能抵御常見的各種攻擊，包括 Syn Flood、 Smurf、 Targa Syn Attack、 ICMP flood、 Ping of death、 Ping Sweep、Land attack、 Tear drop attack、 IP address sweep option、 Filter IP source route option、 Syn fragments、 No flags in TCP、 ICMP 碎片、大包 ICMP 攻擊、不明協(xié)議攻擊、 IP 欺騙、 IP security options、 IP source route、 IP record route 、 IP bad options、 IP 碎片、端口掃描等幾十種攻擊。是否可以透過某種的輕松方式一次性設(shè)定，也就是說，能否使軟件的安裝、防病毒策略的定義、實(shí)施以及病毒定義碼和掃描引擎的更新和升級(jí)變得非常簡(jiǎn)單，甚至完全自動(dòng)化？ 5: 標(biāo)準(zhǔn)預(yù)設(shè)的防毒選項(xiàng)設(shè)置不一定適用所有的工作站。 9：是否能夠很方便地在多種平臺(tái)下進(jìn)行安裝、維護(hù)升級(jí)等工作。 病毒過濾網(wǎng)關(guān) 被設(shè)計(jì)成安裝在網(wǎng)絡(luò)的邊緣，在病毒侵入網(wǎng)絡(luò)之前實(shí)時(shí)的阻止它們，并且沒有傳統(tǒng)解決方案通常都有的延時(shí)。 入侵防御 系統(tǒng) 入侵防御的作用 對(duì)于貴單位網(wǎng)絡(luò)系統(tǒng)安全體系而言，必須建立一個(gè) 實(shí)時(shí)、主動(dòng)的網(wǎng)絡(luò)架構(gòu)防護(hù)能力，對(duì) 專網(wǎng)業(yè)務(wù)服務(wù)器 進(jìn)行實(shí)時(shí)防護(hù)，具有流量管理功能，對(duì)可能出現(xiàn)的異常流量，提供抗拒絕服務(wù)攻擊功能。 內(nèi)網(wǎng)綜合管理平臺(tái)建設(shè) 為了提高對(duì)單位內(nèi)部計(jì)算機(jī)的可控性，防止移動(dòng)存儲(chǔ)介質(zhì)在網(wǎng)絡(luò)中文件的拷貝導(dǎo)致的病毒傳播現(xiàn)象，建議在貴單位網(wǎng)絡(luò)中部署內(nèi)網(wǎng)綜合管理平臺(tái)。即使電力恢復(fù)，其連接也要在一段時(shí)間后才能恢復(fù)。這是因?yàn)椋? 浪涌及雷擊保護(hù) APC 是全球最大的 UPS 廠商 APC 所獲美國權(quán)威中介機(jī)構(gòu)的各種獎(jiǎng)勵(lì)超過所有其他 UPS 廠商之和 APC 是唯一有能力提供完整的容錯(cuò)系統(tǒng)的 UPS 公司 APC 的產(chǎn)品還得到大多數(shù)世界著名的計(jì)算機(jī)軟硬件廠商的認(rèn)證，如 Novell、 Microsoft、 IBM、SCO、 SUN 等等 國內(nèi)大中型計(jì)算機(jī)系統(tǒng)大多數(shù)選用 APC 的 UPS 電源保護(hù)，普遍反應(yīng)良