【正文】 把一組DHCP作用域映射到另一組DHCP作用域，這就需要采用多對多NAT尋址。此外，安全信息管理（SIM）設(shè)備也可以作為第三方管理控制臺使用?！　≠徺I硬件設(shè)備防火墻，往往意味著獲得了一個(gè)捆綁在硬盒子里的“交鑰匙”系統(tǒng)。如果用戶是一家小企業(yè)，并且想把防火墻與應(yīng)用服務(wù)器（如網(wǎng)站服務(wù)器）結(jié)合起來， 添加一個(gè)基于軟件的防火墻就是合理之舉。嵌入式防火墻是某些路由器的標(biāo)準(zhǔn)配置?！　∫陨厢槍τ脩艟W(wǎng)絡(luò)分別從三個(gè)方面提出了安全解決方案，并按照實(shí)施的緊迫性分成三個(gè)階段來實(shí)現(xiàn)，但是實(shí)際針對某個(gè)用戶，對于安全的要求可能各不相同，具體網(wǎng)絡(luò)情況也可能有很大的差異，因此建議用戶根據(jù)實(shí)際情況建立網(wǎng)絡(luò)安全建設(shè)的時(shí)間表?！　〉诙A段　　在第一階段安全建設(shè)的基礎(chǔ)上，進(jìn)一步增加網(wǎng)絡(luò)安全設(shè)備，采納新的安全服務(wù)和技術(shù)支持來增強(qiáng)網(wǎng)絡(luò)的可用性。　　即時(shí)網(wǎng)絡(luò)監(jiān)控　　支持范圍：　網(wǎng)絡(luò)出現(xiàn)異常，但應(yīng)用基本正常。由此可在最短的時(shí)間內(nèi)恢復(fù)整個(gè)網(wǎng)絡(luò)應(yīng)用。技術(shù)支持主要包括以下幾方面：　　故障排除　　支持范圍：　　(1)　用戶無法訪問網(wǎng)絡(luò)(如局域網(wǎng)用戶無法訪問INTERNET)?！　?信息備份系統(tǒng)　　服務(wù)對象：所有重要信息　　服務(wù)周期：根據(jù)網(wǎng)絡(luò)情況定完全備份和增量備份的時(shí)間　　服務(wù)內(nèi)容：定期備份電子信息　　服務(wù)作用：防止核心服務(wù)器崩潰導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓?！　∪肭謾z測等安全設(shè)備日志備份　　服務(wù)對象：入侵檢測等安全設(shè)備　　服務(wù)周期：一周一次　　服務(wù)內(nèi)容：備份安全設(shè)備日志。(2)防病毒服務(wù)器強(qiáng)制所有在線客戶端更新病毒庫。另一方面，通過整體的安全性分析，能夠找出網(wǎng)絡(luò)設(shè)計(jì)上的安全缺陷，找到各種網(wǎng)絡(luò)設(shè)備在協(xié)同工作中可能產(chǎn)生的安全問題?！　№撁娣来鄹南到y(tǒng)　　安裝位置：WWW服務(wù)器　　頁面防篡改系統(tǒng)的作用：　　(1)　定期比對發(fā)布頁面文件與備份文件，一旦發(fā)現(xiàn)不匹配，用備份文件替換發(fā)布文件。部分防火墻本身就有QOS帶寬管理模塊?！　【W(wǎng)絡(luò)管理軟件　　安裝位置：局域網(wǎng)中。　　郵件防病毒服務(wù)器　　安裝位置：郵件服務(wù)器與防火墻之間　　郵件防病毒軟件：對來自INTERNTE的電子郵件進(jìn)行檢測，根據(jù)預(yù)先設(shè)定的處理方法處理帶毒郵件?！　DS的作用：　　(1)　作為旁路設(shè)備，監(jiān)控網(wǎng)絡(luò)中的信息，統(tǒng)計(jì)并記錄網(wǎng)絡(luò)中的異常主機(jī)以及異常連接。　　(2)　通過防火墻，將整個(gè)局域網(wǎng)劃分INTERNET，DMZ區(qū)，內(nèi)網(wǎng)訪問區(qū)這三個(gè)邏輯上分開的區(qū)域，有利于對整個(gè)網(wǎng)絡(luò)進(jìn)行管理。另外靈活性也是和具體環(huán)境密切結(jié)合的，往往需要在不同的用戶環(huán)境里考慮。8． 可升級能力（適用性）和靈活性對用戶來說，防火墻作為大成本投入的商品，勢必要考慮到可升級性的問題，如果防火墻 不能升級，那它的可用性和可選擇余地勢必要大打折扣。如Netscreen的百兆防火墻： NetScreen100f(AC Power) 帶防火墻+流量控制等功能,交流電源,沒有VPN功能報(bào)價(jià)在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報(bào)價(jià)則高出5萬元： ￥317,5007． 研發(fā)費(fèi)用如同其他網(wǎng)絡(luò)安全產(chǎn)品一樣，防火墻的研發(fā)費(fèi)用也是很高的。這個(gè)區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在萬元以上2萬元以下（沒有VPN和帶寬管理的價(jià)格更低）?？偟膩碚f，如同國內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒有引起人們的重視。國外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專門硬件架構(gòu)且不必多說，采用PC架構(gòu)的其硬件也多是專門設(shè)計(jì)，系統(tǒng)各個(gè)部分從網(wǎng)絡(luò)接口到存儲(chǔ)設(shè)備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。需要澄清的一點(diǎn)是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒有必然的聯(lián)系。內(nèi)網(wǎng)（可以仍含有路由器或子網(wǎng)，依次類推）、防火墻、路由器的位置大致如下：內(nèi)網(wǎng)―――――防火墻―――――路由器（需要說明的是，這種方式是絕大多數(shù)校園網(wǎng)級網(wǎng)絡(luò)的實(shí)現(xiàn)方式）內(nèi)網(wǎng)主機(jī)要想實(shí)現(xiàn)透明訪問，必須能夠透明的傳送內(nèi)網(wǎng)和路由器之間的ARP包，而此時(shí) 由于事實(shí)上內(nèi)網(wǎng)和路由器之間無法連通，防火墻就必須配置成一個(gè)ARP代理（ARP Proxy）在內(nèi)網(wǎng)主機(jī)和路由器之間傳遞ARP包。4．透明性防火墻的透明性指防火墻對于用戶是透明的，在防火墻接入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)和用戶無需做任何設(shè)置和改動(dòng)，也根本意識不到防火墻的存在。然而象木馬攻擊一樣，內(nèi)網(wǎng)主機(jī)仍可收發(fā)郵件，郵件詐騙的危險(xiǎn)仍然存在，其解決辦法一個(gè)是內(nèi)網(wǎng)主機(jī)本身采取措施防止郵件詐騙，另一個(gè)是在防火墻上做過濾。內(nèi)網(wǎng)主機(jī)的在預(yù)防木馬方面的安全性仍然需要主機(jī)自己解決（防火墻只能 在內(nèi)網(wǎng)主機(jī)感染木馬以后起一定的防范作用）。b．IP假冒（IP spoofing）IP假冒是指一個(gè)非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)到對網(wǎng)絡(luò)的攻擊目的。然而這樣做，我們需要單獨(dú)設(shè)置一臺管理主機(jī)，顯然太過浪費(fèi)，而且這樣管理起來的靈活性也不好。這一點(diǎn)是國內(nèi)廠家可以做文章的地方，至于netfilter源碼的修改，對國內(nèi)廠家來說似乎不太現(xiàn)實(shí)。在此我們僅針對以Linux（或其他通用操作系統(tǒng)）為基礎(chǔ)的、以PC架構(gòu)為硬件載體的防火墻做討論，以下如不特別提出，均同?，F(xiàn)在國內(nèi)防火墻的一個(gè)典型結(jié)構(gòu)就是：工業(yè)主板+x86+128 （256）M內(nèi)存+DOC/DOM+硬盤（或不要硬盤而另增加一個(gè)日志服務(wù)器）+百兆網(wǎng)卡這樣一個(gè)工業(yè)PC結(jié)構(gòu)。國內(nèi)也有一些所謂的軟件防火墻，但據(jù)了解大多是所謂“個(gè)人”防火墻，而且功能及其有限，故不在此討論范圍。216。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠(yuǎn)處于被動(dòng)的局面，顯然不能從根本上解決這個(gè)問題。網(wǎng)絡(luò)故障的信息自動(dòng)報(bào)告STARVIEW支持故障信息的自動(dòng)告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，會(huì)通過TRAP的方式進(jìn)行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。未知網(wǎng)絡(luò)病毒的防范對于未知的網(wǎng)絡(luò)病毒，通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時(shí)，不會(huì)影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行，從而保證了網(wǎng)絡(luò)的高可用性。對著每一個(gè)階段，都應(yīng)該有嚴(yán)格的安全控制措施。這對學(xué)校的聲譽(yù)以及學(xué)校的長期發(fā)展是及其不利的。由于擔(dān)心一些機(jī)密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會(huì)盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會(huì)逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務(wù)于教學(xué)的作用，造成很大程度上的資源浪費(fèi)。 用戶網(wǎng)絡(luò)權(quán)限的控制 216。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，避免對社會(huì)產(chǎn)生危害，對國家造成巨大損失。同時(shí)考慮整個(gè)平臺的統(tǒng)一管理，監(jiān)控，降低管理成本 安全性與可維護(hù)性隨著應(yīng)用的發(fā)展，系統(tǒng)需要處理的數(shù)據(jù)量將有較大的增長，并且將涉及到各類的關(guān)鍵性應(yīng)用，系統(tǒng)的穩(wěn)定性和安全性要求都相對較高，任意時(shí)刻系統(tǒng)的安全隱患都可能給用戶帶來不可估量的損失。 綜合性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我國發(fā)生的網(wǎng)絡(luò)安全問題中，管理問題占相當(dāng)大的比例，因此建立網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。校園網(wǎng)內(nèi)部網(wǎng)運(yùn)行著辦公業(yè)務(wù)系統(tǒng)、多媒體教學(xué)等等多種業(yè)務(wù)系統(tǒng)。.. . . ..園區(qū)網(wǎng)絡(luò)安全整體解決方案設(shè)計(jì)戴彬彬 計(jì)網(wǎng)0931目錄第1章 項(xiàng)目概述 3 校園網(wǎng)網(wǎng)絡(luò)環(huán)境 而且WWW、MAIL等服務(wù)器也直接連接到了三層核心交換機(jī)中。該校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)方案必須遵循如下原則：通過采用先進(jìn)的存儲(chǔ)平臺，保證對海量數(shù)據(jù)的存取、查詢以及統(tǒng)計(jì)等的高性能和高效率。 u 可審查性：出現(xiàn)的安全問題時(shí)提供依據(jù)與手段 　　從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。 學(xué)生用戶上網(wǎng)時(shí)間的控制 216。 IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò)，因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時(shí)候，自己的電腦上會(huì)經(jīng)常彈出MAC地址沖突的對話框。學(xué)生家長會(huì)對學(xué)校產(chǎn)生強(qiáng)烈的不滿，會(huì)認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書育人。全程安全的設(shè)計(jì)思想 用戶的網(wǎng)絡(luò)訪問行為可以分為三個(gè)階段，包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時(shí)候、訪問網(wǎng)絡(luò)后。網(wǎng)絡(luò)攻擊的防范 常見網(wǎng)絡(luò)病毒的防范對于常見的比如沖擊波、振蕩波等對網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過部署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。當(dāng)IGMP源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。 網(wǎng)絡(luò)流量的查看STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的察看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。 第二：各種新型的，對網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。而且，對于以后新出現(xiàn)的功能更加強(qiáng)大的下載軟件，都不必?fù)?dān)心用戶任意使用造成帶寬擁塞。軟件防火墻以checkpoint 公司的FirewallI為代表，其實(shí)現(xiàn)是通過 dev_add_pack的辦法加載過濾函數(shù)（Linux，其他操作系統(tǒng)沒有作分析，估計(jì)類似），通過在操作系統(tǒng)底層做工作來實(shí)現(xiàn)防火墻的各種功能和優(yōu) 化。國內(nèi)廠家的防火墻硬件平臺基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是可以節(jié)省硬件開發(fā)成 本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量而已。目前國內(nèi)廠家也已經(jīng)認(rèn)識到這個(gè)問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。我們也可以登記自己的處理函數(shù)，在功能上作 擴(kuò)展（如加入簡單的IDS功能等等）。這樣做的顯著特點(diǎn)就是降低了設(shè)計(jì) 上的難度，由于管理通信是單獨(dú)的通道，無論是內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)還是DMZ內(nèi)主機(jī)都無法竊聽到該通信，安全性顯然很高，而且設(shè)計(jì)時(shí)也無需考慮通信過程加密 的問題。 另外對于ICMP攻擊，可以通過關(guān)閉ICMP 回應(yīng)來實(shí)現(xiàn)。事實(shí)上，內(nèi)網(wǎng)主機(jī)可能會(huì)透過防火墻下載執(zhí)行攜帶木馬的程序而感染。防火墻本身防止郵件詐騙非常簡單，不接收任何郵件就可以了。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率，從而提高了防火墻的安全性。此時(shí)防火墻相當(dāng)于一個(gè)ARP代理的功能。內(nèi)網(wǎng)主機(jī)在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時(shí)防火墻 既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時(shí)不是透明模式）。防火墻的可靠性也表現(xiàn)在兩個(gè)方面：硬件和軟件。一方面是可靠性體系建立不起來，一方面是為了迎 合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處于不斷的擴(kuò)充和修改中，其可靠性更不能讓人恭維。一般另有可選功能：VPN、帶寬管理等等。c． 100－數(shù)百用戶這個(gè)區(qū)間主要為中型企業(yè)網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用?？偟膩碚f，防火墻的價(jià)格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功 能越多，價(jià)格就越貴。顯然，這個(gè)數(shù)字只是一個(gè)局外人估計(jì)的下限，實(shí)際的研發(fā)應(yīng)該超出這個(gè)數(shù)字很多。另外，靈活性 一開始也往往不是前期設(shè)計(jì)所能設(shè)計(jì)的很完美的，它需要和用戶具體實(shí)踐相配合?！　【钟蚓W(wǎng)防火墻作用：　　(1)　實(shí)現(xiàn)單向訪問，允許局域網(wǎng)用戶訪問INTERNET資源，但是嚴(yán)格限制INTERNET用戶對局域網(wǎng)資源的訪問?！　∪肭謾z測　　安裝位置：局域網(wǎng)DMZ區(qū)以及托管機(jī)房服務(wù)器區(qū)?！　?5)　監(jiān)控郵件收發(fā)軟件，根據(jù)預(yù)定處理方法處理帶毒郵件?！　?dòng)態(tài)口令認(rèn)證系統(tǒng)的作用：　　通過定期修改密碼，確保密碼的不可猜測性?！　OS流量管理　　安裝位置：如果是專門的產(chǎn)品安裝在路由器和防火墻之間。　　(3)　防止局域網(wǎng)感染病毒主機(jī)通過攻擊的方式感染重要終端。一方面，通過網(wǎng)絡(luò)拓?fù)浞治?，能夠形成網(wǎng)絡(luò)整體拓?fù)鋱D，為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)日常管理等管理行為提供必要的技術(shù)資料?！　》啦《拒浖《編於ㄆ谏墶　》?wù)對象：防病毒服務(wù)器、安裝防病毒客戶端的終端　　服務(wù)周期：每周一次　　服務(wù)內(nèi)容：(1)　防病毒服務(wù)器通過INTERNET更新病毒庫。　　服務(wù)作用：通過流量簡圖找出流量異常的時(shí)間段，通過檢查流量較大的主機(jī)，找出局域網(wǎng)中的異常主機(jī)。　　服務(wù)作用：一旦核心設(shè)備出現(xiàn)故障，使用備件替換以減少網(wǎng)絡(luò)故障時(shí)間。其主要作用是在用戶網(wǎng)絡(luò)發(fā)生重要安全事件后，通過及時(shí)、高效的安全服務(wù)，達(dá)到盡快恢復(fù)網(wǎng)絡(luò)應(yīng)用的目的。通過備份文件的復(fù)原，盡快恢復(fù)網(wǎng)絡(luò)的電子資源?！　∽饔茫杭词咕W(wǎng)絡(luò)中出現(xiàn)病毒，通過及時(shí)有效的技術(shù)支持，在最短的時(shí)間內(nèi)查處感染病毒的主機(jī)并即時(shí)查殺病毒，恢復(fù)網(wǎng)絡(luò)應(yīng)用。　　(3)支持方面，要求服務(wù)商提供故障排除服務(wù)，以提高網(wǎng)絡(luò)的可靠性，降低網(wǎng)絡(luò)故障對網(wǎng)絡(luò)的整體影響?！　?3)支持方面，要求能夠?qū)崟r(shí)或者時(shí)候查找攻擊源。　　嵌入式防火墻 : 就是內(nèi)嵌于路由器或交換機(jī)的防火墻。如果用戶的服務(wù)器裝有企業(yè)級操作系統(tǒng)，購買基于軟件的防火墻則是合理的選擇。而硬件防火墻經(jīng)過廠商的預(yù)先包裝，啟動(dòng)及運(yùn)作要比軟件防火墻快得多。生產(chǎn)企業(yè)防火墻的供應(yīng)商大都提供作為選件的中央管理控制臺。多對多尋址將其他網(wǎng)絡(luò)上幾組不同的IP地址映射成內(nèi)部或外部的IP地址。用戶要牢記VPN必須有兩