【正文】 tem)中，是一個已經裝有軟件的硬件設備。用戶也可以購買防火墻模塊，安裝到已有的路由器或交換機中。　　另外，隨著新技術、新產品的不斷涌現，網絡技術的不斷發(fā)展，對于網絡安全的要求不斷提高，在實際實施過程中采取的措施完全可能超越本文中提及的產品、服務、支持，這也是安全建設的最基本原則：不斷改進，不斷增強，安全無止境。　　(1)技術方面，采用入侵檢測、郵件防病毒軟件、動態(tài)口令認證系統(tǒng)、并在重要客戶端安裝個人版防護軟件?！　∽饔茫和ㄟ^網絡監(jiān)控，近可能發(fā)現網絡中存在的前期網絡故障，在故障擴大化以前及時進行防治?！　〔檎夜粼础　≈С址秶骸【W絡管理員發(fā)現網絡遭到攻擊，并需要確定攻擊來源?！　?2)應用服務無法訪問(如不能對外提供WWW服務)?！　?定期總體安全分析報告　　服務對象：整個網絡　　服務周期：半年一次　　服務內容：綜合網絡拓撲報告、各種安全設備日志、服務器日志等信息，對網絡進行總體安全綜合性分析，分析內容包括網絡安全現狀、網絡安全隱患分析，并提出改進建議意見?！　》兆饔茫悍乐谷罩具^大導致檢索、分析的難度，另一方面也有利于事后的檢查。　　服務作用：通過不斷升級病毒庫確保防病毒軟件能夠及時發(fā)現新的病毒?！　≈行臋C房管理制度制訂以及修改　　服務對象：中心機房　　服務周期：半年一次　　服務內容：協(xié)助用戶制訂并修改機房管理制度。　　(2)　通過特殊的認證機制，允許授權用戶修改頁面文件?！　OS流量管理的作用：　　(1)　通過IP地址，為重要用戶分配足夠的帶寬?！　【W絡管理軟件的作用：　　(1)　收集局域網中所有資源的硬件信息。郵件防病毒軟件的監(jiān)控范圍包括所有來自INTERNET的電子郵件以及所屬附件(對于壓縮文件同樣也進行檢測)　　反垃圾郵件系統(tǒng)　　安裝位置：同郵件防病毒軟件，如果軟硬件條件允許的話，建議安裝在同一臺服務器上。　　(2)中斷異常連接?！　?3)局域網所有工作站和服務器處于防火墻地整體防護之下，只要通過防火墻設置的修改，就能有限絕大部分防止來自INTERNET上的攻擊，網絡管理員只需要關注DMZ區(qū)對外提供服務的相關應用的安全漏洞。 如何構建網絡整體安全方案整體的安全方案分成技術方案、服務方案以及支持方案三部分。目前國內防火墻一般都是軟件可升級的，這是因為大多數防火墻采用電子硬盤（少數采用磁盤），實現升級 功能只要很小的工作量要做。防火墻由于技術含量較高， 人員技術儲備要求較高，防火墻核心部分的研發(fā)必須要對操作系統(tǒng)有相當的熟悉，所需為UNIX系統(tǒng)下開發(fā)人員，而目前國內真正能拿的出手的UNIX程序員數 量還是太少（遠遠少于Windows平臺下開發(fā)人員），人員成本很高。并且開始支持雙機熱備份。據調查，這個區(qū)間的防火墻反而種類不多，也許是國內廠商不屑于這個市場的緣故？b． 25－100用戶這個區(qū)間用戶主要為小型企業(yè)網。 6．市場定位市場上防火墻的售價極為懸殊，從數萬元到數十萬元，甚至到百萬元不等。國內則明顯參差不齊，大相徑庭，大多直接使用PC架構，且多為工業(yè)PC，采用現成的網卡，DOC/DOM作為存儲設備。透明模式下的防火墻能實現透明代理，非透明模式下的防火墻（此時它必然又是一個網關）也能實現透明代理。防火墻所要做的就是當路由器發(fā)送ARP廣播包詢問內網內的某一主機的硬件地址時，防火墻用和路由器相連 接口的MAC地址回送ARP包；內網內某一主機發(fā)送ARP廣播包詢問路由器的硬件地址時，防火墻用和內網相連接口的MAC地址回送ARP包，因此路由器和 內網主機都認為將數據包發(fā)給了對方，而實際上是發(fā)給了防火墻轉發(fā)。防火墻作為一個實際存在的物理設備，要想放入已存在地網絡中又不對網絡有任何影響， 就必須以網橋的方式置入網絡。f．對抗防火墻（antifirewall）目前一個網絡安全中一個研究的熱點就是對抗網絡安全產品如防火墻。d．口令字攻擊口令字攻擊既可能來自外部，也可能來自內部，主要是來自內部。第一，防火墻設計上應該知道網絡內外的IP地址分配，從而丟棄所有來自網絡外部但卻有內部地址的數據包。b．通信過程加密這樣無需一個專門的端口，內網任意一臺主機都可以在適當的情況下成為管理主機，管理主機和防火墻之間采用加密的方式通信。至于采用其它防火墻模型的，目前還沒有看到（可能是netfilter已經設計的很成功，不需要我們再去做太多工作）。2．內核和防火墻設計現在有一種商業(yè)賣點，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關于防火墻 分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應用型防火墻（一般結合了包過濾功能，因此也成為混合型防火墻）稱為第二代 防火墻，有些廠家把增加了檢測通信信息、狀態(tài)檢測和應用監(jiān)測的防火墻稱為第三代防火墻，更有甚者在此基礎上提出了采用安全操作系統(tǒng)的防火墻，并把這個稱為 第四代防火墻）。在軟件性能方面，國內外廠家的差別就更大了，國外（一些著名）廠家均是采用專用的操 作系統(tǒng)，自行設計防火墻。在國內目前已通過公安部檢驗的防火墻中，硬件防火墻占絕大多數。 第二：提供日志審計和帶寬管理功能，通過NTD、SAM、日志系統(tǒng)的結合，能夠做到基于用戶身份對用戶進行管理，做到將用戶名、源IP、目的IP直接關聯，通過目的IP，可以直接定位到用戶名，安全事件處理起來非常的方便，同時還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會在明年4月份提供。216。設備面板管理STARVIEW的設備面板管理能夠很清楚的看到校園中設備的面板，包括端口數量、狀態(tài)等等，同時可以很方便的登陸到設備上，進行配置的修改，完善以及各種信息的察看。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網絡大規(guī)模的應用環(huán)境。防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數據包都不能進入網絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網絡關鍵設備的IP（如服務器），造成網絡通訊混亂。某校園網網絡安全方案銳捷網絡結合SAM系統(tǒng)和交換機嵌入式安全防護機制設計的特點，從三個方面實現網絡安全：事前的準確身份認證、事中的實時處理、事后的完整審計。 用戶網絡權限的控制 在校園網中，不同用戶的訪問權限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網，不能訪問辦公網絡、財務網絡。 安全事故發(fā)生時候，需要準確定位到用戶安全事故發(fā)生時候，需要準確定位到用戶原因：216。 各種網絡攻擊的有效屏蔽216。從社會教育和意識形態(tài)角度來講，網絡上不健康的內容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。網絡安全應具有以下五個方面的特征： u 保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。 2：校園網網絡安全需求同時三層核心交換機提供連接到教育網的WAN（10/100M）鏈路，作為校園網的外網出口。所以校園網網絡安全系統(tǒng)安全產品的選型事關重大，一旦被遭受黑客攻擊病毒的侵襲，將會給該學校正常的教學及業(yè)務帶來嚴重的影響。網絡中相同安全級別的保密強度要一致。 擴展性與兼容性系統(tǒng)設計除了可以適應目前的應用需要以外，應充分考慮日后的應用發(fā)展需要，隨著數據量的擴大，用戶數的增加以及應用范圍的拓展，只要相應的調整硬件設備即可滿足需求。例如網絡環(huán)境下拒絕服務、破壞網絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊； u 可控性：對信息的傳播及內容具有控制能力。 安全事故發(fā)生時候，不能準確定位到用戶的影響216。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方沖突，如果與網關地址沖突，同一網段內的所有用戶都不能使用網絡；如果惡意用戶發(fā)送虛假的IP、MAC的對應關系，用戶的大量上網數據包都落入惡意用戶的手中，造成ARP欺騙攻擊。 用戶上網時間的控制 無法控制學生上網時間的影響：如果缺乏有效的機制來限制用戶的上網時間，學生可能會利用一切機會上網，會曠課。全局安全的設計思想銳捷網絡提倡的是從全局的角度來把控網絡安全，安全不是某一個設備的事情，應該讓網絡中的所有設備都發(fā)揮其安全功能，互相協(xié)作，形成一個全民皆兵的網絡，最終從全局的角度把控網絡安全。 只有經過網絡中心授權的用戶才能夠訪問校園網，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網中傳播網絡病毒、黑客程序的通道。當IGMP源端口檢查關閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉發(fā)到已注冊的端口。對于網絡中的異常故障，比如某臺交換機的CPU利用率過高，某條鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示，方便管理員及時地發(fā)現網絡中的異常情況。216。該功能能滿足不同消費層次的用戶對帶寬的需求，經濟條件好一點，可以多用點流量，提高了用戶的滿意度。防火墻從實現上可以分為軟件防火墻和硬件防火墻。硬件防火墻需要在硬 件和軟件兩方面同時下功夫，國外廠家的通常做法是軟件運算硬件化，其所設計或選用的運行平臺本身的性能可能并不高，但它將主要的運算程序（查表運算是防火 墻的主要工作）做成芯片，以減少主機CPU的運算壓力。而且我們在分析各廠家產品時可以注意這一點，如果哪個廠家對系統(tǒng)本身做了什么大的改動，它肯定會把這個視為一個重要的賣點，大吹特吹，遺憾 的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個類似于checkpoint的功能：開放式的安全應用接口 TOPSEC，但它究竟做了多少工作，還需要去仔細了解）。而且netfilter是一個設計很合理的框架，可以在適當的位置上登記一些需要的處理函數，正式代碼中已經登記了許多處理函數， 如在NF_IP_FORWARD點上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數實現的）。除了專用的服務口外，防火墻不接受來自任何其它端口的直接訪問。在Linux內核中有一個防止Syn flooding攻擊的選項：CONFIG_SYN_COOKIES，它是通過為每一個Syn建立一個緩沖（cookie）來分辨可信請求和不可信請求。一個需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內網主機 也能防止木馬攻擊。e．郵件詐騙郵件詐騙是目前越來越突出的攻擊方式。以前的防火墻在訪問方式上主要是要求用戶登錄進系統(tǒng)（如果采用 sock代理的方式則需要修改客戶應用）。目前透明模式的實現上可采用ARP代理和路由技術實現。透明代理主要是 為實現內網主機可以透明的訪問外網，而無需考慮自己是不可路由地址還是可路由地址。一個故障頻頻、可靠性很差的 產品顯然不可能讓人放心，而且防火墻居于內外網交界的關鍵位置，一旦防火墻出現問題，整個內網的主機都將根本無法訪問外網，這甚至比路由器故障（路由器的 拓撲結構一般都是冗余設計）更讓人無法承受。而國內整個軟件行業(yè)的 可靠性體系還沒有成熟，軟件可靠性測試大多處于極其初級的水平（可靠性測試和bug測試完全是兩個概念）。防火墻一般為10M（針對硬件防火墻而言），兩網絡接口，涵蓋防火墻基本功能：包過濾、透明模式、網絡地址轉換、狀態(tài)檢測、管理、實時報警、日志。目前國內防火墻絕大部分集中在這個區(qū)間中。當然其價格也很高端，從數十萬到數百萬不等。按每人周1200元開發(fā)費用（折合工資5000月，但由于有運行 費用、保險等費用攤分，個人工資應遠低于這個數字），開發(fā)費用約需25萬。這樣大部分工作留給防火墻廠家來做（相應需要有一個漏洞監(jiān)測體系），用戶肯定會滿意很多。WWW服務器與托管機房局域網之間。　　(8)通過過濾規(guī)則，對遠程更新的時間、來源(通過IP地址)進行限制?！　》啦《究蛻舳塑浖淖饔茫骸　?4)　對本機的內存、文件的讀寫進行監(jiān)控，根據預定的處理方法處理帶毒文件?！　討B(tài)口令認證系統(tǒng)　　安裝位置：服務器端安裝在WWW服務器(以及其他需要進行口令加強的敏感服務器)，客戶端配置給網頁更新人員(或者服務器授權訪問用戶)。　　(6)　如果交換機等核心網絡設備出現異常，及時向網管中心報警?！　?2)　不允許任何主機(包括局域網主機)非授權訪問重要終端資源?！　》兆饔茫横槍W絡的整體情況，進行總體、框架性分析?！　》兆饔茫和ㄟ^及時、有效的補丁升級，能夠有效防止局域網主機和服務器相互之間的攻擊，降低現代網絡蠕蟲病毒對網絡的整體影響，增加網絡帶寬的有效利用率。　　6　、防火墻日志備份、分析　　服務對象：防火墻設備　　服務周期：一周一次　　服務內容：導出防火墻日志并進行分析。備份設備可以在段時間內替代網絡中實際使用的設備?！　∪⒓夹g支持解決方案　　技術支持是整個安全方案的重要補充。　　作用：通過備品備件，快速恢復網絡硬件環(huán)境?！　〖磿r查殺病毒　　支持范圍：　由不可確定的因素導致網絡中出現計算機病毒?！　?2)服務方面，進行網絡拓撲分析、建立中心機房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級機制、對重要服務器的訪問日志進行備份，通過這些服務，增強網絡的抗干擾性?！　?2)服務方面，采用白客滲透測試，要求服務商定期提供整體安全分析報告。目前，市場有六種基本類型的防火墻，分別是嵌入式防火墻、 基于企業(yè)軟件的防火墻、基于企業(yè)硬件的防火墻、SOHO軟件防火墻、SOHO硬件防火墻和特殊防火墻?！　』谲浖姆阑饓?: 指能夠安裝在操作系統(tǒng)和硬件平臺上的防火墻軟件包。防火墻“軟”與“硬”的折衷　　一般說來，軟件防火墻具有比硬件防火墻更靈活的性能，但是安裝軟件防火墻需要用戶選擇硬件平臺和操作系統(tǒng)?！　∑髽I(yè)防火墻往往具有管理多個防火墻的功能，即企業(yè)防火墻能夠與中央管理控制臺進行通信。 多對一尋址意味著多個內部IP地址可以映射到一個外部IP地址，如果用戶有一個內部DHCP作用域，并想把它映射到一個外部IP地址，建議這類用戶采用多對一尋址。VPN能夠確保隱私和數據的完整性?！　≡诜阑饓Φ娜罩竟δ芊矫?，要注意的包括。如果用戶沒有第二個端點連接至VPN，就沒有購買具有VPN功能的防火墻的必要。如果用戶準備