【正文】 ，嵌入式防火墻常常是無監(jiān)控狀態(tài)的，它在傳遞信息包時并不考慮以前的連接狀態(tài)?！　?1)技術(shù)方面，采用反垃圾郵件系統(tǒng)、網(wǎng)絡(luò)管理軟件、QOS流量管理軟件。如果攻擊強(qiáng)度超出網(wǎng)絡(luò)能夠承受的范圍，可采取進(jìn)一步措施進(jìn)行防范。下面將提出技術(shù)支持解決方案。(3)　找出安全強(qiáng)度較低的用戶名和用戶密碼。(2)分析網(wǎng)絡(luò)中存在的安全缺陷并提出整改建議意見?！　?5)　顯示實時網(wǎng)絡(luò)連接情況。　　(3)記錄局域網(wǎng)中計算機(jī)病毒出現(xiàn)的時間、類型以及后續(xù)處理措施?！　》阑饓Α　“惭b位置：局域網(wǎng)與路由器之間。加上前期10－ 15人周論證、定方案，后期20人周（保守數(shù)字）集成、測試，前后總共需要約210人周。相對來說，這個區(qū)間上硬件防火墻價格明顯高于軟件防火墻。另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。這個過程如下：1. 用ARP代理實現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）2. 用路由轉(zhuǎn)發(fā)在IP層實現(xiàn)數(shù)據(jù)包傳遞（IP層）3. 用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）前邊我們討論過透明代理，和這里所說的防火墻的透明模式是兩個概念。C．透明代理的采用應(yīng)用代理防火墻一般是通過設(shè)置不同用戶的訪問權(quán)限來實現(xiàn)，這樣就需要有用戶認(rèn)證體 系。c．特洛伊木馬防火墻本身預(yù)防木馬比較簡單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。a．設(shè)置專門的服務(wù)端口為了減少管理上的風(fēng)險和降低設(shè)計上的難度，有一些防火墻（如東方龍馬）在防火墻上專 門添加了一個服務(wù)端口，這個端口只是用來和管理主機(jī)連接?，F(xiàn)在絕大部 分廠家，甚至包括號稱國內(nèi)最大的天融信，在軟件方面所作的工作無非也就是系統(tǒng)有針對性的裁減、防火墻部分代碼的少量改動（絕大部分還是沒有什么改動）和少 量的系統(tǒng)補(bǔ)丁。網(wǎng)絡(luò)防火墻設(shè)計中的問題方案：硬件？還是軟件？現(xiàn)在防火墻的功能越來越多越花哨，如此多的功能必然要求系統(tǒng)有一個高效的處理能力。 第一：這些軟件之所以有如此強(qiáng)大的生命力，是因為用戶通過使用這些軟件的確能快速的獲取各種有用的資源，如果簡單的通過禁止的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲取。非法組播源的屏蔽銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。安全到邊緣的設(shè)計思想用戶在訪問網(wǎng)絡(luò)的過程中，首先要經(jīng)過的就是交換機(jī)，如果我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時候，也就是在接入層交換機(jī)上部署網(wǎng)絡(luò)安全無疑是達(dá)到更好的效果。 防止IP、MAC地址的盜用 IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改MAC地址。即當(dāng)需要時能否存取所需的信息。均衡性原則：安全措施的實施必須以根據(jù)安全級別和經(jīng)費限度統(tǒng)一考慮。校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)是一個要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的公文信息在網(wǎng)絡(luò)傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會嚴(yán)重的影響工作。 3 2：校園網(wǎng)網(wǎng)絡(luò)安全需求 3第2章 設(shè)計原則 4 實用性與經(jīng)濟(jì)性 4 擴(kuò)展性與兼容性 4 安全性與可維護(hù)性 5 整合型好 6第3章 需求分析 6第4章 項目網(wǎng)絡(luò)安全解決 6 網(wǎng)絡(luò)架構(gòu)圖 6 網(wǎng)絡(luò)病毒的防范 7 防止IP、MAC地址的盜用 8 安全事故發(fā)生時候，需要準(zhǔn)確定位到用戶 9 用戶上網(wǎng)時間的控制 9 用戶網(wǎng)絡(luò)權(quán)限的控制 10 各種網(wǎng)絡(luò)攻擊的有效屏蔽 10 對DOS攻擊，掃描攻擊的屏蔽 14 網(wǎng)絡(luò)設(shè)備管理 14第1章 項目概述 校園網(wǎng)網(wǎng)絡(luò)環(huán)境 全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。 整合型好當(dāng)前采用企業(yè)級的域控制管理模式，方便對所有學(xué)校內(nèi)所有終端用戶的管理，同時又可以將學(xué)校里計算機(jī)的納入管理范圍，極大地降低了網(wǎng)絡(luò)維護(hù)量，并能整體提高當(dāng)前網(wǎng)絡(luò)安全管理！第3章 需求分析216。 國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機(jī)構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門審計。事前的身份認(rèn)證對于每一個需要訪問網(wǎng)絡(luò)的用戶，我們需要對其身份進(jìn)行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時間，通過以上信息的綁定，可以達(dá)到如下的效果：216。 對DOS攻擊，掃描攻擊的屏蔽 通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時導(dǎo)致的網(wǎng)絡(luò)中斷。 第三：我們無法獲取網(wǎng)絡(luò)中的流量信息，無法為校園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。硬件防火墻一種是從硬件到軟件都單獨設(shè)計，典型如Netscreen防火墻不但軟件部分單獨設(shè)計，硬件部分也采用專門的ASIC集成電路。所謂安全操作系統(tǒng)，其實大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡單改造的工作，主要有以下： 取消危險的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動（如加載一些llkm）；限制命令執(zhí)行權(quán)限；取消IP轉(zhuǎn)發(fā)功能；檢查每個分組的接口；采用隨機(jī)連接序號；駐留分組過濾模塊；取消動態(tài)路由功能；采用多個安全內(nèi)核（這個只見有人提出，但未見到實例，對此不是很清楚）。目前國內(nèi)有采用的是使用自定義協(xié)議、一次性口令認(rèn)證。（在管理主機(jī)與防火墻通過單獨接口通信的情況下，口令字攻擊是不存在的）來自外部的攻擊即用窮舉的辦法猜測防火墻管理的口令字，這個很容易解決，只要不把管理部分提供給外部接口即可。傳統(tǒng)方式下，防火墻安裝時，更象是一臺路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（包括主機(jī)和路由器）的設(shè)置 （IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。它們的共同點在于可以簡化內(nèi)網(wǎng)客戶的設(shè)置而已。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價格也不盡相同。這個區(qū)間的防火墻報價一般在20萬以上。但究竟升級些什么內(nèi)容？升級周期多長一次？這就涉及到一個靈活性的問題?！　?4)通過防火墻的過濾規(guī)則，實現(xiàn)端口級控制，限制局域網(wǎng)用戶對INTERNET的訪問?！　》蠢]件系統(tǒng)作用：　　(1)　拒絕轉(zhuǎn)發(fā)來自INTERNET的垃圾郵件?！　?2)　通過端口，為重要的應(yīng)用分配足夠的帶寬資源。制度內(nèi)容涉及人員進(jìn)出機(jī)房的登記制度、設(shè)備進(jìn)出機(jī)房的登記制度、設(shè)備配置修改的登記制度等?！　》?wù)器日志備份　　服務(wù)對象：主要服務(wù)器(如WWW服務(wù)器、文件服務(wù)器等)　　服務(wù)周期：一周一次　　服務(wù)內(nèi)容：備份服務(wù)器訪問日志　　服務(wù)作用：　防止日志過大導(dǎo)致檢索、分析的難度，另一方面也有利于事后的檢查?！　?3)網(wǎng)絡(luò)訪問異常(如訪問速度慢)。　　以上是技術(shù)支持解決方案，技術(shù)支持是安全服務(wù)的重要補(bǔ)充部分，即使在完善的安全體系下，也存在不可預(yù)測的因素導(dǎo)致網(wǎng)絡(luò)故障，此時，需要及時、有效的技術(shù)支持服務(wù)，在盡可能短的時間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運行。四臺Cisco防火墻實現(xiàn)VPN網(wǎng)絡(luò)其實四臺Cisco防火墻的VPN同兩臺防火墻做VPN沒什么大的區(qū)別，只是一定要注意路由的配置；在四臺Cisco pix做VPN中，有兩種方式，一種是采用一個中心的方式，另一種就是分散式的，前者，也就是說以一個PIX點為中心，其它的機(jī)器都 連到本機(jī)上，在通過本機(jī)做路由；后者，則是在每一個路由上都要寫出到另外三臺的加密方式，這里采用的就是第一種類型；　　以下，是施工圖以及四個Cisco pix的詳細(xì)配置：　　詳細(xì)配置如下：　　中心pix1：　　: Saved　　: Written by enable_15 at 23:10: UTC Thu Apr 24 2003　　PIX Version (2)　　nameif ethernet0 outside security0　　nameif ethernet1 inside security100　　enable password NHvIO9dsDwOK8b/k encrypted　　passwd NHvIO9dsDwOK8b/k encrypted　　hostname pixfirewall　　fixup protocol ftp 21　　fixup protocol 80　　fixup protocol h323 h225 1720　　fixup protocol h323 ras 17181719　　fixup protocol ils 389　　fixup protocol rsh 514　　fixup protocol rtsp 554　　fixup protocol smtp 25　　fixup protocol sqlnet 1521　　fixup protocol sip 5060　　fixup protocol skinny 2000　　names　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist 101 permit ip 　　accesslist hyzc permit icmp any any　　accesslist hyzc permit tcp any any　　accesslist hyzc permit udp any any　　pager lines 24　　interface ethernet0 auto　　interface ethernet1 auto　　mtu outside 1500　　mtu inside 1500　　ip address outside 　　ip address inside 　　ip audit info action alarm　　ip audit attack action alarm　　pdm history enable　　arp timeout 14400　　nat (outside) 1 0 0　　nat (inside) 1 0 0　　accessgroup hyzc in interface outside　　route outside 1　　route inside 1　　route outside 1　　route outside 1　　route outside 1　　route outside 1　　route outside 1　　route outside 1　　timeout xlate 3:00:00　　timeout conn 1:00:00 halfclosed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00　　timeout uauth 0:05:00 absolute　　aaaserver TACACS+ protocol tacacs+　　aaaserver RADIUS protocol radius　　aaaserver LOCAL protocol local　　no snmpserver location　　no snmpserver contact　　snmpserver munity public　　no snmpserver enable traps　　floodguard enable　　sysopt connection permitipsec　　no sysopt route dnat　　crypto ipsec transformset strong espdes espshahmac　　crypto map tohyjt 20 ipsecisakmp　　crypto map tohyjt 20 match address 101　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set peer 　　crypto map tohyjt 20 set transformset strong　　crypto map tohyjt interface outside　　isakmp enable outside　　isakmp key cisco address netmask 　　isakmp key cisco address netmask 　　isakmp key cisco address netmask 　　isakmp identity address　　isakmp policy 9 authentication preshare　　isakmp policy 9 encryption des　　isakmp policy 9 hash sha　　isakmp policy 9 group 1　　isakmp policy 9 lifetime 86400　　telnet inside　　telnet inside　　telnet timeout 5　　ssh timeout 5　　terminal width 80　　Cryptochecksum:8982919a8bfa