【正文】 捆綁密碼加速器是為了提高VPN的速度。　　對簡單網(wǎng)絡而言，一對一NAT功能就已足夠。NAT使用戶能夠把專用或非法IP地址轉換成合法的公共地址。防火墻的功能與性能考慮　　用戶節(jié)點數(shù)　　在選購防火墻時，用戶需要考慮保護的節(jié)點數(shù)?！　√厥夥阑饓?: 側重于某一應用的防火墻產(chǎn)品。由于互聯(lián)網(wǎng)使用的協(xié)議多種多樣， 所以不是所有的網(wǎng)絡服務都能得到嵌入式防火墻的有效處理。　　對于企業(yè)網(wǎng)絡而言，一個沒有配備防火墻的網(wǎng)絡無異于“開門揖盜”，安全性無從談起?！　?3)支持方面，要求服務商提供災難恢復、實時日志檢索、實時查殺病毒、實時網(wǎng)絡監(jiān)控等技術支持?！　【C上所述，局域網(wǎng)的安全由三大部分組成，涵蓋設備、技術、制度、管理、服務等各個部分?！　崟r檢索日志文件　　支持范圍：　遭到實時的攻擊(如DOS，SYN FLOODING等)，需要及時了解攻擊源以及攻擊強度?！　∽饔茫阂坏┚W(wǎng)絡出現(xiàn)異常，為用戶提供及時、有效的網(wǎng)絡服務?！　∫陨鲜欠战鉀Q方案，眾所周知，安全產(chǎn)品一般是共性的產(chǎn)品，通過安全服務，能夠配制出適合本網(wǎng)絡的安全設備，使得安全產(chǎn)品在特定的網(wǎng)絡中發(fā)揮最大的效能，使得各種設備協(xié)同工作，增強網(wǎng)絡的安全性和可用性?！　“卓蜐B透　　服務對象：對INTERBET提供服務的服務器　　服務周期：半年一次　　服務內容：服務商在用戶指定的時間段內，通過INTERNET，使用各種工具在不破壞應用的前提下攻擊服務器，最終提供檢測報告?！　》兆饔茫?1)　找出對應服務器操作系統(tǒng)中存在的系統(tǒng)漏洞?！　》兆饔茫簢栏窨刂浦行臋C房的人員進出、設備進出并及時登記設備的配置更新情況，有助于網(wǎng)絡核心設備的監(jiān)控，確保網(wǎng)絡的正常運行。　　二、安全服務解決方案　　在安全服務方案中，采用不同的安全服務，定期對網(wǎng)絡進行檢測、改進，以達到動態(tài)增進網(wǎng)絡安全性，最大限度發(fā)揮安全設備作用的目的?！　?3)　限制非業(yè)務流量的帶寬。　　(3)　收集交換機等網(wǎng)絡設備的工作狀況等信息。　　(2)　拒絕轉發(fā)來自局域網(wǎng)用戶的垃圾郵件并將發(fā)垃圾郵件的局域網(wǎng)　　用戶的IP地址通過電子郵件等方式通報網(wǎng)管?！　【W(wǎng)絡防病毒軟件控制中心以及客戶端軟件　　安裝位置：局域網(wǎng)防病毒服務器以及各個終端　　防病毒服務器作用：　　(1)　作為防病毒軟件的控制中心，及時通過INTERNET更新病毒庫，并強制局域網(wǎng)中已開機的終端及時更新病毒庫軟件?！　?5)進行流量控制，確保重要業(yè)務對流量的要求。同時能夠有效降低安全管理的難度，提高安全管理的有效性。防火墻的靈活性主要體現(xiàn)在以下幾點：a． 易于升級b． 支持大量協(xié)議c． 易于管理（如納入通用設備管理體系（支持SNMP）而不是單列出來）d． 功能可擴展這里對功能可擴展做一簡單討論。下邊對一個中小型企業(yè)級防火墻的研發(fā)費用作個簡單的估計。這樣的中高端 防火墻國內較少，有也是25－100用戶的升級版，其可用性令人懷疑。VPN、帶寬管理往往成為標準模塊。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的要求。國內已經(jīng)有部分廠家意識到了這個問題，開始自行設計硬件。目前國內大多防火墻都實現(xiàn)了透明代理，但實現(xiàn)了透明模式的并不多。另外， 防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給本身應用層處理（此時實現(xiàn)應用層代理、過濾等功能），此時需要端口轉發(fā)來實現(xiàn)（？這個地方不是十分清 楚，也沒找到相關資料）。但如果防火墻采用了透明模式，即采用類似網(wǎng)橋的方式運行，用戶將不必重新設定和修改路由，也不需要知道防 火墻的位置，防火墻就可以直接安裝和放置到網(wǎng)絡中使用。另外有一些其他的網(wǎng)絡安全性分析工具本身具有雙刃性，這類工具用于攻擊網(wǎng)絡，也可能會很有效的 探測到防火墻和內部網(wǎng)絡的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。內部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。第二，防火墻將內網(wǎng)的實際地址隱蔽起來，外網(wǎng)很難知道內部的IP地址，攻擊難度加大。對加密這個領域了解不多，不做詳細討論。A．管理上的安全性防火墻需要一個管理界面，而管理過程如何設計的更安全，是一個很重要的問題。以上諸多工作，其實基本上都沒有對內核源碼做太大改動，因此從個人角度來看算不上可以太夸大的地方。各廠家的區(qū)別僅僅在于對Linux系統(tǒng)本身和防火墻部分（，）所 作的改動量有多大。另外一種就是基于PC架構的使用經(jīng)過定制的通用操作系統(tǒng)的所謂硬件防火墻。 第三：能夠對網(wǎng)絡中的各種流量了如指掌，可以對用戶經(jīng)常訪問的資源進行分析對比，為應用系統(tǒng)的建設、服務器的升級改造提供數(shù)據(jù)支持；能夠及時的發(fā)現(xiàn)網(wǎng)絡中的病毒、惡意流量，從而進行有效的防范，結合認證計費系統(tǒng)SAM，能夠捕捉到事件源頭，并于做出處理。：銳捷的流量管理與控制方案銳捷網(wǎng)絡的流量管理主要通過RGNTD+日志處理軟件+RGSAM系統(tǒng)來實現(xiàn)。隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運營的開始，用戶網(wǎng)絡故障的排除會成為校園網(wǎng)管理工作的重點和難點，傳統(tǒng)的網(wǎng)絡故障解決方式主要是這樣一個流程：網(wǎng)絡中的流量情況是網(wǎng)絡是否正常的關鍵，網(wǎng)絡中大量的P2P軟件的使用，已經(jīng)對各種網(wǎng)絡業(yè)務的正常開展產(chǎn)生了非常嚴重的影響，有的學校甚至因為P2P軟件的泛濫，直接導致了網(wǎng)絡出口的癱瘓。事后的完整審計 當用戶訪問完網(wǎng)絡后，會保存有完備的用戶上網(wǎng)日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網(wǎng)絡，什么時候結束，產(chǎn)生了多少流量。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。 每一個用戶的身份在整個校園網(wǎng)中是唯一，避免了個人信息被盜用.216。因此，需要對用戶網(wǎng)絡權限進行嚴格的控制。216。 完整審計 第4章 項目網(wǎng)絡安全解決 網(wǎng)絡病毒的防范 病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個特征就是用戶數(shù)比較多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學生感染上病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務器。 網(wǎng)絡病毒的防范 216。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。節(jié)約性原則：整體方案的設計應該盡可能的不改變原來網(wǎng)絡的設備和環(huán)境，以免資源的浪費和重復投資。設計時需考慮統(tǒng)一管理的原則。 校園網(wǎng)的內部網(wǎng)一般由辦公網(wǎng)、機房、教室等多個網(wǎng)絡組成。 第2章 設計原則 實用性與經(jīng)濟性實用性就是能夠最大限度地滿足實際工作的要求，是每個系統(tǒng)平臺在搭建過程中必須考慮的一種系統(tǒng)性能，它是對用戶最基本的承諾。 u 可用性：可被授權實體訪問并按需求使用的特性。 防止 IP、MAC 地址的盜用 IP、MAC 地址的盜用 216。 病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。 校園網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學生會在網(wǎng)絡中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發(fā)布了大量涉及政治的言論，這時候公安部門的網(wǎng)絡信息安全監(jiān)察科找到我們的時候，我們無法處理，學校或者說網(wǎng)絡中心只有替學生背這個黑鍋。 各種網(wǎng)絡攻擊的有效屏蔽 校園網(wǎng)中常見的網(wǎng)絡攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的廣播報文，這些攻擊的存在，會擾亂網(wǎng)絡的正常運行，降低了校園網(wǎng)的效率。 當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡的攻擊，進一步增強網(wǎng)絡的安全性。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。：傳統(tǒng)的流量管理方案傳統(tǒng)的流量管理方案的做法很多就是簡單的封堵這些P2P軟件，從而達到控制流量的目的，這有三大弊端，216。NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計費，銳捷的流量管理方案有三大功能：216?？傮w來說，流量控制和管理和日志系統(tǒng)的整體解決方案對于校園網(wǎng)的長期健康可持續(xù)發(fā)展是很有幫助的。目前國內絕大多數(shù)防火墻都屬于這種類型。事實上，Linux只是一個通用操作系統(tǒng)，它并沒有針對防火墻功能做什么優(yōu)化，而且 其處理大數(shù)據(jù)量通信方面的能力一直并不突出，甚至比較低下（這也是 Linux一直只是低端服務器的寵兒的重要原因，我自己認為，在這一點上它還不如BSD系列，據(jù)說國外有用BSD做防火墻的，國內尚未見到）。對于防火墻部分。目前有兩種方案。B．對來自外部（和內部）攻擊的反應能力目前常見的來自外部的攻擊方式主要有：a．DOS（DDOS）攻擊（分布式）拒絕服務攻擊是目前一種很普遍的攻擊方式，在預防上也是非常困難的。IP假冒主要來自外部，對內網(wǎng)無需考慮此問題（其實同時內網(wǎng)的IP假冒情況也可以得到遏制）。嗅探指監(jiān)測網(wǎng)絡截獲管理主機給防火墻的口令字，如果口令字已加密，則解密得到口令字。目前對于這種探測（攻擊）手段，尚無有效的預防措施，因為防火墻本身是一個被動的東西，它只能靠隱藏內部網(wǎng)絡結構和提高自身的安全性來對 抗這些攻擊。透明模式最大的好處在于現(xiàn)有網(wǎng)絡無需做任何改動，這就方便了很多客戶，再者，從透明 模式轉換到非透明模式又很容易，適用性顯然較廣。透明模式和非透明模式在網(wǎng)絡拓撲結構上的最大區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內網(wǎng)相連的）在一個網(wǎng)段（也和子 網(wǎng)在同一個網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個網(wǎng)段（內網(wǎng)可能是內部不可路由地址，外網(wǎng)則是合法地址）。這些防火墻可以很明顯的從其廣告中看出來：如果哪個防火墻實現(xiàn)了透明模式，它的廣告中肯定會和透明代理區(qū)分開而大書特書的。但大多數(shù)廠家還是從成本的角度考慮使用通用PC架構?？偟恼f來，防火墻是以用戶數(shù)量作為大的分界線。這個區(qū)間的防火墻報價從3萬到15萬不等，根據(jù)功能價格有較大區(qū)別。d． 數(shù)百用戶以上這個區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。研發(fā)時，防火墻可以細分為（當然在具體操作時往往需要再具體劃分）：內核模塊防火墻模塊（含狀態(tài)檢測模塊）NAT模塊帶寬管理模塊通信協(xié)議模塊管理模塊圖形用戶界面模塊（或者Web界面模塊）透明代理模塊（實質屬于NAT模塊）透明模式模塊（包括ARP代理子模塊、路由轉發(fā)子模塊等）各應用代理模塊（包括URL過濾模塊）VPN模塊流量統(tǒng)計與計費模塊審計模塊其他模塊（如MAC、IP地址綁定模塊、簡單的IDS、自我保護等等）上邊把防火墻劃分為12個模塊，其中每一個模塊都有相當?shù)墓ぷ髁恳?，除了彈性較大 的內核模塊和防火墻模塊（它們的工作量可能異常的大，視設計目標不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相當大），兩個主模塊 各按20人周計算，防火墻實現(xiàn)總共需要150人周。一般情況下，防火墻在設計完成以后，其過濾規(guī)則都是 定死的，用戶可定制的余地很小?！　∠旅娼榻B在局域網(wǎng)中增加的安全設備的安裝位置以及他們的作用?！　?6)通過過濾規(guī)則，以時間為控制要素，限制大流量網(wǎng)絡應用在上班時間的使用?！　?2)記錄各個終端的病毒庫升級情況?！　?3)　記錄發(fā)垃圾郵件的終端地址?！　?4)　判斷局域網(wǎng)用戶是否使用了MODEM等非法網(wǎng)絡設備與INTERNET連接?！　?4)　在資源閑置時期，允許其他人員使用資源，一旦重要用戶或者重要應用需要使用帶寬，則確保它們能夠至少使用分配給他們的帶寬資源。安全服務分為以下幾類：　　網(wǎng)絡拓撲分析　　服務對象：整個網(wǎng)絡　　服務周期：半年一次　　服務內容：(1)根據(jù)網(wǎng)絡的實際情況，繪制網(wǎng)絡拓撲圖?！　〔僮飨到y(tǒng)補丁升級　　服務對象：服務器、工作站、終端　　服務周期：不定期　　服務內容：(1)　一旦出現(xiàn)重大安全補丁，及時更新所有相關系統(tǒng)。(2)　找出服務器對應應用服務中存在的系統(tǒng)漏洞?！　》兆饔茫合扔诤诳瓦M行探測性攻擊以檢測系統(tǒng)漏洞?！　‘斎唬诰W(wǎng)絡中，不安全是絕對的，即使采取種種措施，網(wǎng)絡也可能遭到應用某種原因無法正常運作，這時候，就需要有及時有效的技術支持，使得網(wǎng)絡在盡可能短的時間內恢復正常。在最短的時間內恢復網(wǎng)絡應用?！　∽饔茫和ㄟ^實時檢索日志文件，可以當時存在的針對本網(wǎng)絡的攻擊并查找出攻擊源。　　四、分布實施建議意見　　網(wǎng)絡安全涉及面相當廣，同時進行建設的可行性較差，因此，建議按照以下方式進行分階段實施。　　第三階段　　在這一階段，采取的措施以進一步提高網(wǎng)絡效率為主。那么，如何選擇合適的防火墻呢？本文從技術角度出發(fā)，談談企業(yè)級防火墻的選購要點。嵌入式防火墻工作于IP層，所以無法保護網(wǎng)絡免受病毒、 蠕蟲和特洛伊木馬程序等來自應用層的威脅。目前，市場上有一類防火墻是專門為過濾內容而設計的，MailMarshal和WebMarshal就是側重于消息發(fā)送與內容過濾的特殊防火墻。從最簡單的分類上來說，要加以保護的結點數(shù)決定了采用企業(yè)級防火墻還是采用SOHO防火墻。 NAT結構可分為四類：一對一尋址、多對一尋址、一對多尋址和多對多尋址。　　VPN　　大部分企業(yè)級防火墻具有VPN功能。　　日志功能　　日志功能是防火墻的重要特性之一。加密過程需要額外的處理能力，如果用戶準備為電信級網(wǎng)絡建立VPN，這就需要捆綁具有密碼加速器或允許添加密碼加速器的VPN防火墻。如果用戶需要部署一個龐大、復雜的電信級網(wǎng)絡，這就需要使用NAT的高級特性?！　AT　　如今，幾乎所有防火墻都捆綁了網(wǎng)絡地址轉換（NA