【正文】 把一組DHCP作用域映射到另一組DHCP作用域，這就需要采用多對多NAT尋址。此外，安全信息管理（SIM）設備也可以作為第三方管理控制臺使用。　　購買硬件設備防火墻，往往意味著獲得了一個捆綁在硬盒子里的“交鑰匙”系統(tǒng)。如果用戶是一家小企業(yè)，并且想把防火墻與應用服務器（如網站服務器）結合起來， 添加一個基于軟件的防火墻就是合理之舉。嵌入式防火墻是某些路由器的標準配置?！　∫陨厢槍τ脩艟W絡分別從三個方面提出了安全解決方案，并按照實施的緊迫性分成三個階段來實現，但是實際針對某個用戶，對于安全的要求可能各不相同，具體網絡情況也可能有很大的差異，因此建議用戶根據實際情況建立網絡安全建設的時間表。　　第二階段　　在第一階段安全建設的基礎上，進一步增加網絡安全設備，采納新的安全服務和技術支持來增強網絡的可用性?！　〖磿r網絡監(jiān)控　　支持范圍：　網絡出現異常，但應用基本正常。由此可在最短的時間內恢復整個網絡應用。技術支持主要包括以下幾方面：　　故障排除　　支持范圍：　　(1)　用戶無法訪問網絡(如局域網用戶無法訪問INTERNET)?！　?信息備份系統(tǒng)　　服務對象：所有重要信息　　服務周期：根據網絡情況定完全備份和增量備份的時間　　服務內容：定期備份電子信息　　服務作用：防止核心服務器崩潰導致網絡應用癱瘓。　　入侵檢測等安全設備日志備份　　服務對象：入侵檢測等安全設備　　服務周期：一周一次　　服務內容：備份安全設備日志。(2)防病毒服務器強制所有在線客戶端更新病毒庫。另一方面，通過整體的安全性分析，能夠找出網絡設計上的安全缺陷，找到各種網絡設備在協(xié)同工作中可能產生的安全問題?！　№撁娣来鄹南到y(tǒng)　　安裝位置：WWW服務器　　頁面防篡改系統(tǒng)的作用：　　(1)　定期比對發(fā)布頁面文件與備份文件，一旦發(fā)現不匹配，用備份文件替換發(fā)布文件。部分防火墻本身就有QOS帶寬管理模塊?！　【W絡管理軟件　　安裝位置：局域網中?！　∴]件防病毒服務器　　安裝位置：郵件服務器與防火墻之間　　郵件防病毒軟件：對來自INTERNTE的電子郵件進行檢測，根據預先設定的處理方法處理帶毒郵件。　　IDS的作用：　　(1)　作為旁路設備，監(jiān)控網絡中的信息，統(tǒng)計并記錄網絡中的異常主機以及異常連接。　　(2)　通過防火墻，將整個局域網劃分INTERNET，DMZ區(qū)，內網訪問區(qū)這三個邏輯上分開的區(qū)域，有利于對整個網絡進行管理。另外靈活性也是和具體環(huán)境密切結合的，往往需要在不同的用戶環(huán)境里考慮。8． 可升級能力（適用性）和靈活性對用戶來說，防火墻作為大成本投入的商品，勢必要考慮到可升級性的問題，如果防火墻 不能升級，那它的可用性和可選擇余地勢必要大打折扣。如Netscreen的百兆防火墻： NetScreen100f(AC Power) 帶防火墻+流量控制等功能,交流電源,沒有VPN功能報價在￥260,000而在此基礎上增加了128位VPN功能的報價則高出5萬元： ￥317,5007． 研發(fā)費用如同其他網絡安全產品一樣，防火墻的研發(fā)費用也是很高的。這個區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。這個區(qū)間的防火墻報價一般在萬元以上2萬元以下（沒有VPN和帶寬管理的價格更低）?？偟膩碚f，如同國內大多數行業(yè)（除了少數如航天、航空）一樣，網絡安全產品特別是防火墻的可靠性似乎還沒有引起人們的重視。國外成熟廠商的防火墻產品硬件方面的可靠性一般較高，采用專門硬件架構且不必多說，采用PC架構的其硬件也多是專門設計，系統(tǒng)各個部分從網絡接口到存儲設備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產品的可靠性。需要澄清的一點是，內外網地址的轉換（即NAT，透明代理也是一種特殊的地址轉換）和透明模式之間并沒有必然的聯(lián)系。內網（可以仍含有路由器或子網，依次類推）、防火墻、路由器的位置大致如下：內網―――――防火墻―――――路由器（需要說明的是，這種方式是絕大多數校園網級網絡的實現方式）內網主機要想實現透明訪問，必須能夠透明的傳送內網和路由器之間的ARP包，而此時 由于事實上內網和路由器之間無法連通，防火墻就必須配置成一個ARP代理（ARP Proxy）在內網主機和路由器之間傳遞ARP包。4．透明性防火墻的透明性指防火墻對于用戶是透明的，在防火墻接入網絡時，網絡和用戶無需做任何設置和改動，也根本意識不到防火墻的存在。然而象木馬攻擊一樣，內網主機仍可收發(fā)郵件，郵件詐騙的危險仍然存在，其解決辦法一個是內網主機本身采取措施防止郵件詐騙，另一個是在防火墻上做過濾。內網主機的在預防木馬方面的安全性仍然需要主機自己解決（防火墻只能 在內網主機感染木馬以后起一定的防范作用）。b．IP假冒（IP spoofing）IP假冒是指一個非法的主機假冒內部的主機地址，騙取服務器的“信任”，從而達到對網絡的攻擊目的。然而這樣做，我們需要單獨設置一臺管理主機，顯然太過浪費，而且這樣管理起來的靈活性也不好。這一點是國內廠家可以做文章的地方，至于netfilter源碼的修改，對國內廠家來說似乎不太現實。在此我們僅針對以Linux（或其他通用操作系統(tǒng)）為基礎的、以PC架構為硬件載體的防火墻做討論，以下如不特別提出，均同?，F在國內防火墻的一個典型結構就是：工業(yè)主板+x86+128 （256）M內存+DOC/DOM+硬盤（或不要硬盤而另增加一個日志服務器）+百兆網卡這樣一個工業(yè)PC結構。國內也有一些所謂的軟件防火墻，但據了解大多是所謂“個人”防火墻，而且功能及其有限，故不在此討論范圍。216。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠處于被動的局面，顯然不能從根本上解決這個問題。網絡故障的信息自動報告STARVIEW支持故障信息的自動告警，當網絡設備出現故障時，會通過TRAP的方式進行告警，網絡管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。銳捷產品支持IGMP源端口檢查，有效控制非法組播，實現全網杜絕非法組播源，更好地提高了網絡的安全性和全網的性能，而且也是網絡帶寬合理的分配所必須的。未知網絡病毒的防范對于未知的網絡病毒，通過在網絡中部署基于數據流類型的帶寬控制功能，為不同的網絡應用分配不同的網絡帶寬，保證了關鍵應用比如WEB、課件資源庫、郵件數據流有足夠可用的帶寬，當新的病毒產生時，不會影響到主要網絡應用的運行，從而保證了網絡的高可用性。對著每一個階段，都應該有嚴格的安全控制措施。這對學校的聲譽以及學校的長期發(fā)展是及其不利的。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網絡的使用，這樣，學生、老師對校園網以及網絡中心的信心會逐漸減弱，投入幾百萬的校園網也就不能充分發(fā)揮其服務于教學的作用，造成很大程度上的資源浪費。 用戶網絡權限的控制 216。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。同時考慮整個平臺的統(tǒng)一管理，監(jiān)控，降低管理成本 安全性與可維護性隨著應用的發(fā)展，系統(tǒng)需要處理的數據量將有較大的增長，并且將涉及到各類的關鍵性應用，系統(tǒng)的穩(wěn)定性和安全性要求都相對較高，任意時刻系統(tǒng)的安全隱患都可能給用戶帶來不可估量的損失。 綜合性原則：網絡安全不單靠技術措施，必須結合管理，當前我國發(fā)生的網絡安全問題中，管理問題占相當大的比例，因此建立網絡安全設施體系的同時必須建立相應的制度和管理體系。校園網內部網運行著辦公業(yè)務系統(tǒng)、多媒體教學等等多種業(yè)務系統(tǒng)。.. . . ..園區(qū)網絡安全整體解決方案設計戴彬彬 計網0931目錄第1章 項目概述 3 校園網網絡環(huán)境 而且WWW、MAIL等服務器也直接連接到了三層核心交換機中。該校園網網絡安全系統(tǒng)方案必須遵循如下原則：通過采用先進的存儲平臺，保證對海量數據的存取、查詢以及統(tǒng)計等的高性能和高效率。 u 可審查性：出現的安全問題時提供依據與手段 　　從網絡運行和管理者角度說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅，制止和防御網絡黑客的攻擊。 學生用戶上網時間的控制 216。 IP、MAC地址的盜用對校園網的影響：在用戶看來，校園網絡是一個很不可靠是會給我?guī)砗芏嗦闊┑木W絡，因為大量的IP、MAC沖突的現象導致了用戶經常不能使用網絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經常彈出MAC地址沖突的對話框。學生家長會對學校產生強烈的不滿，會認為學校及其的不負責任，不是在教書育人。全程安全的設計思想 用戶的網絡訪問行為可以分為三個階段，包括訪問網絡前、訪問網絡的時候、訪問網絡后。網絡攻擊的防范 常見網絡病毒的防范對于常見的比如沖擊波、振蕩波等對網絡危害特別嚴重的網絡病毒，通過部署擴展的ACL，能夠對這些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網絡中的其他用戶，保證了校園網網絡帶寬的合理使用。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。 網絡流量的查看STARVIEW在網絡初步異常的情況下，能進一步的察看網絡中的詳細流量，從而為網絡故障的定位提供了豐富的數據支持。 第二：各種新型的，對網絡帶寬消耗更大的應用軟件也在不斷的出現。而且，對于以后新出現的功能更加強大的下載軟件，都不必擔心用戶任意使用造成帶寬擁塞。軟件防火墻以checkpoint 公司的FirewallI為代表，其實現是通過 dev_add_pack的辦法加載過濾函數（Linux，其他操作系統(tǒng)沒有作分析，估計類似），通過在操作系統(tǒng)底層做工作來實現防火墻的各種功能和優(yōu) 化。國內廠家的防火墻硬件平臺基本上采用通用PC系統(tǒng)或工業(yè)PC架構（直接原因是可以節(jié)省硬件開發(fā)成 本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內存容量而已。目前國內廠家也已經認識到這個問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。我們也可以登記自己的處理函數，在功能上作 擴展（如加入簡單的IDS功能等等）。這樣做的顯著特點就是降低了設計 上的難度，由于管理通信是單獨的通道，無論是內網主機、外網主機還是DMZ內主機都無法竊聽到該通信，安全性顯然很高，而且設計時也無需考慮通信過程加密 的問題。 另外對于ICMP攻擊，可以通過關閉ICMP 回應來實現。事實上，內網主機可能會透過防火墻下載執(zhí)行攜帶木馬的程序而感染。防火墻本身防止郵件詐騙非常簡單，不接收任何郵件就可以了。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風險和出錯概率，從而提高了防火墻的安全性。此時防火墻相當于一個ARP代理的功能。內網主機在使用內部網絡地址的情況下仍然可以使用透明代理，此時防火墻 既起到網關的作用又起到代理服務器的作用（顯然此時不是透明模式）。防火墻的可靠性也表現在兩個方面：硬件和軟件。一方面是可靠性體系建立不起來，一方面是為了迎 合用戶的需求和跟隨網絡應用的不斷發(fā)展，多數防火墻廠商一直處于不斷的擴充和修改中，其可靠性更不能讓人恭維。一般另有可選功能：VPN、帶寬管理等等。c． 100－數百用戶這個區(qū)間主要為中型企業(yè)網，重要網站、ISP、ASP、數據中心等使用?？偟膩碚f，防火墻的價格和用戶數量、功能模塊密切相關，在用戶數量相同的情況下，功 能越多，價格就越貴。顯然，這個數字只是一個局外人估計的下限，實際的研發(fā)應該超出這個數字很多。另外，靈活性 一開始也往往不是前期設計所能設計的很完美的，它需要和用戶具體實踐相配合?！　【钟蚓W防火墻作用：　　(1)　實現單向訪問，允許局域網用戶訪問INTERNET資源，但是嚴格限制INTERNET用戶對局域網資源的訪問。　　入侵檢測　　安裝位置：局域網DMZ區(qū)以及托管機房服務器區(qū)?！　?5)　監(jiān)控郵件收發(fā)軟件，根據預定處理方法處理帶毒郵件?！　討B(tài)口令認證系統(tǒng)的作用：　　通過定期修改密碼，確保密碼的不可猜測性。　　QOS流量管理　　安裝位置：如果是專門的產品安裝在路由器和防火墻之間。　　(3)　防止局域網感染病毒主機通過攻擊的方式感染重要終端。一方面，通過網絡拓撲分析，能夠形成網絡整體拓撲圖，為網絡規(guī)劃、網絡日常管理等管理行為提供必要的技術資料?！　》啦《拒浖《編於ㄆ谏墶　》諏ο螅悍啦《痉掌?、安裝防病毒客戶端的終端　　服務周期：每周一次　　服務內容：(1)　防病毒服務器通過INTERNET更新病毒庫?！　》兆饔茫和ㄟ^流量簡圖找出流量異常的時間段，通過檢查流量較大的主機，找出局域網中的異常主機。　　服務作用：一旦核心設備出現故障，使用備件替換以減少網絡故障時間。其主要作用是在用戶網絡發(fā)生重要安全事件后，通過及時、高效的安全服務，達到盡快恢復網絡應用的目的。通過備份文件的復原，盡快恢復網絡的電子資源?！　∽饔茫杭词咕W絡中出現病毒，通過及時有效的技術支持，在最短的時間內查處感染病毒的主機并即時查殺病毒，恢復網絡應用?！　?3)支持方面，要求服務商提供故障排除服務，以提高網絡的可靠性，降低網絡故障對網絡的整體影響?！　?3)支持方面，要求能夠實時或者時候查找攻擊源?！　∏度胧椒阑饓?: 就是內嵌于路由器或交換機的防火墻。如果用戶的服務器裝有企業(yè)級操作系統(tǒng)，購買基于軟件的防火墻則是合理的選擇。而硬件防火墻經過廠商的預先包裝，啟動及運作要比軟件防火墻快得多。生產企業(yè)防火墻的供應商大都提供作為選件的中央管理控制臺。多對多尋址將其他網絡上幾組不同的IP地址映射成內部或外部的IP地址。用戶要牢記VPN必須有兩