【正文】 火墻配置文件的導(dǎo)入與導(dǎo)出（防火墻配置文件信息的備份與恢復(fù)）； ? 非協(xié)議支持：支持對非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。但提供了網(wǎng)絡(luò)數(shù)據(jù)在不安全公網(wǎng)中安全傳輸?shù)哪芰ΑＳ脩艨梢暂p松的針對一些典型網(wǎng)絡(luò)應(yīng)用，如 BT、 MSN、 、 Edonkey、 Skype 等實行靈活的訪問控制策略，如禁止、限時、乃至流量控制。 4: 在單機(jī)上功能強(qiáng)大的防毒軟件，若無法在網(wǎng)絡(luò)上有效地管理則可能弊多于利，因為不是每個使用者都知 道如何對防病毒軟件的一些功能選項進(jìn)行設(shè)置。 過濾網(wǎng)關(guān)系統(tǒng) 建議貴單位采用網(wǎng)關(guān)防病毒解決方案 。 網(wǎng)站防護(hù)系統(tǒng) 為了防止貴單位的門戶網(wǎng)站受到來自于互聯(lián)網(wǎng)惡意的篡改，保證網(wǎng)站服務(wù)器安全、穩(wěn)定的允許，建議在外網(wǎng)區(qū)域的門戶網(wǎng)站處部署 WEB 防火墻來重點(diǎn)保護(hù)服務(wù)器。 針對 某企業(yè) 網(wǎng)絡(luò)中心配備的集中式 UPS，應(yīng)該具有以下功能： 浪涌及雷擊保護(hù) 通過網(wǎng)管界面實現(xiàn)網(wǎng)絡(luò)程序化關(guān)機(jī) 模塊化設(shè)計，支持運(yùn)行狀態(tài)下的熱插拔，保證運(yùn)行時間 自動穩(wěn)壓功能，完全的正弦波輸出 具有智能電池管理功能，延長電池壽命，增加工作時間 提供電力質(zhì)量登錄，定時開關(guān)機(jī)及 UPS 自檢 圖形化軟件特性，支持廣域的 SNMP 管理 具有擴(kuò)展性，能夠快速方便地增加運(yùn)行時間的電池模塊 產(chǎn)品選擇 我們選擇美國 APC 公司的 UPS 產(chǎn)品。 產(chǎn)品特點(diǎn) 我們選擇 APC 公司的 MatrixUPS 作為 某企業(yè) 網(wǎng)絡(luò)中心的 UPS。建議使用 GMSMP 主機(jī)監(jiān)控與審計 管理系統(tǒng) 。 病毒 過濾網(wǎng)關(guān)具有真正的即插即用能力，非常易于管理和安裝。 6: 很難分析統(tǒng)計病毒攻擊事件的次數(shù)、原因以及來源。 網(wǎng)絡(luò)衛(wèi)士 VPN 多合一網(wǎng)關(guān) 還 擁有強(qiáng)大的地址轉(zhuǎn)換能力。網(wǎng)絡(luò)衛(wèi)士 IPSec/SSL VPN 多合一網(wǎng)關(guān)構(gòu)建在天融信強(qiáng)大的 TOS 系統(tǒng)平臺基礎(chǔ)上，集成了天融信業(yè)內(nèi)領(lǐng)先的防火墻功能模塊，能夠為用戶的 VPN 網(wǎng)絡(luò)提供高等級的邊界安全防護(hù)。虛擬專用網(wǎng)通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)。 ? 防火墻支持多種工作模式：支持路由模式、透明（橋接）模式（防火墻可不配地址）、混合模式（路由與透明兩種模式同時工作） ? 管理功能：面向基于對象的管理配置方式；支持 GUI 集中管理及命令行管理方式；支持本地管理、遠(yuǎn)程管理和集中管理；支持基于 SSH 的遠(yuǎn)程登陸管理和基于 SSL 的 GUI 方式管理；支持 SNMP 集中管理與監(jiān)控，并與當(dāng)前通用的網(wǎng)絡(luò)管理平臺兼容，如 HP Openview ，方便管理和維護(hù)。 ? 應(yīng)用代理：具有透明應(yīng)用代理功能，支持 FTP、 HTTP、 TELNET、 PING、 SSH、 FTP— DATA、 SMTP、 WINS、TACACS、 DNS、 TFTP、 POP RTELNET、 SQLSERV、 NNTP、 IMAP、 SNMP、 NETBIOS、 DNS、 IPSEC— ISAKMP、RLOGIN、 DHCP、 RTSP、 MSSQL（ S、 M、 R）、 RADIUS164 PPTP、 SQLNET— 152 SQLNET— 15 MSN、 CVSSERVER、 MSTHEATER、 MYSQL、 、 SECURID（ TCP、 UDP） PCANYWHERE、 IGMP、 GRE、PPPOE、 IPV6 等協(xié)議命令級的控制，實現(xiàn)對文件級的過濾。這樣的數(shù)據(jù)對于網(wǎng)絡(luò)安全是十分重要的。實現(xiàn)流量控制，調(diào)整鏈路帶寬利用的功能。 9 第三章 .安全產(chǎn)品的部署 防火墻系統(tǒng) 防火墻作用 ? 通過防火墻連接，對不同安全區(qū)域進(jìn)行隔離。 7 總體設(shè)計 總體設(shè)計效果圖 8 外網(wǎng)網(wǎng)絡(luò)設(shè)計 針對貴單位外網(wǎng)網(wǎng)絡(luò)部分，我方建議整體網(wǎng)絡(luò)采用標(biāo)準(zhǔn)的以太網(wǎng)絡(luò)結(jié)構(gòu)，核心層到匯聚層呈星型拓?fù)浣Y(jié)構(gòu)， 通過部署核心交換機(jī)實現(xiàn)匯聚層交換機(jī)的網(wǎng)絡(luò)連接，在外網(wǎng)用戶接入 inter 時， 如圖所示的方式部署防火墻系統(tǒng)、防病毒系統(tǒng)、入侵防御系統(tǒng)、 網(wǎng)頁防篡改系統(tǒng) 。當(dāng)將來采用新技術(shù)（如 ATM）時原有設(shè)備能繼續(xù)使用，只需增加有限的模塊和設(shè)備，保護(hù)原來的投資。 5 第二章 .網(wǎng)絡(luò)系統(tǒng)設(shè)計 網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)和用戶要求 某企業(yè) 網(wǎng)絡(luò)是 某企業(yè) 總部內(nèi)部辦公以及與下屬 各個規(guī)劃分局、縣市規(guī)劃局 進(jìn)行計算機(jī)信息交流的平臺，是一個跨地區(qū)的大型網(wǎng)絡(luò)系統(tǒng)?？偣?100 多個信息 點(diǎn)分布在總部的 6 層樓內(nèi) 所以待建網(wǎng)絡(luò)系統(tǒng)的目標(biāo)是： 網(wǎng)絡(luò)系統(tǒng)要求能夠支持視頻會議、視頻點(diǎn)播、網(wǎng)上實時交流以及 BBS、新聞組等功能。 靈活性──拓?fù)浣Y(jié)構(gòu)必須靈活，便于進(jìn)行網(wǎng)絡(luò)的管理和調(diào)整。 部署入侵防御系統(tǒng)：對流經(jīng)網(wǎng)絡(luò)流量進(jìn)行分析過濾， 來判斷是否為異常數(shù)據(jù)流量或可疑數(shù)據(jù)流量，并對異常及可疑流量進(jìn)行積極阻斷，同時向管理員通報攻擊信息，從而提供對網(wǎng)絡(luò)資源的安全保護(hù)。 ? 過濾網(wǎng)絡(luò)中不必要傳輸?shù)睦鴶?shù)據(jù)。防火墻可防止黑客通過外部網(wǎng)對重要服務(wù)器的 TCP/UDP 的端口非法掃描，消除系統(tǒng)安全的隱患。在骨干網(wǎng)與下屬單位連接連路上添加防火墻，等于在該鏈路上安裝了一個病毒聯(lián)動的控制機(jī)構(gòu)（網(wǎng)關(guān)）。 ? 地址轉(zhuǎn)換：采用雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（雙向 NAT）技術(shù)，支持靜態(tài) NAT 及動態(tài) NAT（ IP POOL），并能夠?qū)崿F(xiàn)一對一、一對多的地址映射； 11 ? 支持多種身份認(rèn)證：如 OTP 、 RADIUS 、 S/KEY 、 SECUREID 、 TACACS/TACACS+、口令方式、數(shù)字證書（ CA ），更好更廣泛的實現(xiàn)了 用戶鑒別和訪問控制。日志會話信息用來進(jìn)行流量分析已經(jīng)足夠，但是用來進(jìn)行安全性分析還遠(yuǎn)遠(yuǎn)不夠；應(yīng)用層日志命令在日 志會話的基礎(chǔ)之上記錄下各個應(yīng)用層命令及其參數(shù)，比如 HTTP 請求及其要取的網(wǎng)頁名；訪問日志則是在應(yīng)用層命令日志的基礎(chǔ)之上記錄下用戶對網(wǎng)絡(luò)資源的訪問，它和應(yīng)用層日 12 志命令的區(qū)別是：應(yīng)用層日志命令可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。之所以采用虛擬專用網(wǎng)是因為 VPN有以下幾方面 優(yōu)點(diǎn)： ? 降低成本 ? 容易擴(kuò)展 ? 完全控制主動權(quán) ? 全方位的安全保護(hù) ? 高的性價比 ? 使用和管理方便 ? 投資保護(hù) 虛擬專用網(wǎng) VPN 采用了一種稱之為隧道的技術(shù)。狀態(tài)檢測只檢查數(shù)據(jù)包的包頭，深度包檢測可對數(shù)據(jù)包內(nèi)容進(jìn)行檢查，而 CCI 則可實時將網(wǎng)絡(luò)層數(shù)據(jù)還原為完整的應(yīng)用層對象（如文件、網(wǎng)頁、郵件等），并對這些完整內(nèi)容進(jìn)行全面檢查，實現(xiàn)徹底的內(nèi)容防護(hù)。 網(wǎng)絡(luò)衛(wèi)士 VPN 多合一網(wǎng)關(guān)集成了天融信高級的 Intelligent Guard 技術(shù)提供了強(qiáng)大的入侵防護(hù)功能，能抵御常見的各種攻擊，包括 Syn Flood、 Smurf、 Targa Syn Attack、 ICMP flood、 Ping of death、 Ping Sweep、Land attack、 Tear drop attack、 IP address sweep option、 Filter IP source route option、 Syn fragments、 No flags in TCP、 ICMP 碎片、大包 ICMP 攻擊、不明協(xié)議攻擊、 IP 欺騙、 IP security options、 IP source route、 IP record route 、 IP bad options、 IP 碎片、端口掃描等幾十種攻擊。 9：是否能夠很方便地在多種平臺下進(jìn)行安裝、維護(hù)升級等工作。 入侵防御 系統(tǒng) 入侵防御的作用 對于貴單位網(wǎng)絡(luò)系統(tǒng)安全體系而言，必須建立一個 實時、主動的網(wǎng)絡(luò)架構(gòu)防護(hù)能力，對 專網(wǎng)業(yè)務(wù)服務(wù)器 進(jìn)行實時防護(hù)，具有流量管理功能，對可能出現(xiàn)的異常流量，提供抗拒絕服務(wù)攻擊功能。即使電力恢復(fù)，其連接也要在一段時間后才能恢