【文章內(nèi)容簡(jiǎn)介】 防火墻集成所有安全軟件（如口令、加密、認(rèn)證、審計(jì)等），比分散管理更經(jīng)濟(jì)。（C）防火墻強(qiáng)化安全認(rèn)證和監(jiān)控審計(jì)。因?yàn)樗羞M(jìn)出網(wǎng)絡(luò)的通信流都通過(guò)防火墻，使防火墻也能提供日志記錄、統(tǒng)計(jì)數(shù)據(jù)、報(bào)警處理、審計(jì)跟蹤等服務(wù)。（D）防火墻能阻止內(nèi)部信息泄漏。防火墻實(shí)際意義上也是一個(gè)隔離器，即能防外，又能防止內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中未經(jīng)授權(quán)主機(jī)對(duì)服務(wù)器區(qū)域的訪問(wèn)。2 防火墻的安裝部署防火墻部署的目的是隔離不同安全等級(jí)的網(wǎng)絡(luò)區(qū)域，所以我們把XX單位辦公網(wǎng)絡(luò)，XX單位財(cái)務(wù)網(wǎng)絡(luò)分別看作一個(gè)網(wǎng)絡(luò)區(qū)域，同時(shí)XX單位辦公網(wǎng)絡(luò)與財(cái)務(wù)網(wǎng)絡(luò)之外的所有節(jié)點(diǎn)看作另一個(gè)網(wǎng)絡(luò)區(qū)域，防火墻部署在兩個(gè)網(wǎng)絡(luò)區(qū)域之間，即部署在財(cái)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)的接口處。XX單位辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)接口處。3 防火墻的工作模式和接入方式防火墻提供多種工作模式，包括透明接入，路由接入和混合接入。l 連接方式：將百兆天融信防火墻的接口1連接財(cái)務(wù)網(wǎng)絡(luò)區(qū)域交換機(jī)，接口2連接X(jué)X單位辦公網(wǎng)絡(luò)，接口3連接財(cái)務(wù)網(wǎng)絡(luò)服務(wù)器區(qū)域交換機(jī)，千兆天融信防火墻接口1連接X(jué)X單位辦公網(wǎng)絡(luò)，接口2連接互聯(lián)網(wǎng)區(qū)域，這樣我們使用防火墻實(shí)現(xiàn)了各個(gè)安全區(qū)域的隔離作用。l 工作模式：考慮到對(duì)XX單位辦公網(wǎng)絡(luò)和財(cái)務(wù)網(wǎng)絡(luò)的影響盡可能小，建議將百兆防火墻配置成透明工作模式，即防火墻本身不參與路由轉(zhuǎn)發(fā)和運(yùn)算，只提供訪問(wèn)控制等防護(hù)功能，這樣對(duì)網(wǎng)絡(luò)中原有IP地址的配置影響小，互聯(lián)網(wǎng)與XX單位辦公網(wǎng)絡(luò)需要地址轉(zhuǎn)換，將配置成的路由工作模式。4 防火墻的配置和功能1) 通過(guò)防火墻隔離財(cái)務(wù)網(wǎng)絡(luò)的各個(gè)區(qū)域通過(guò)防火墻的連接，原本屬于一個(gè)網(wǎng)絡(luò)（XX單位辦公網(wǎng)絡(luò)）的節(jié)點(diǎn)，被劃分為不同的網(wǎng)絡(luò)區(qū)域（財(cái)務(wù)處辦公區(qū)域、財(cái)務(wù)處服務(wù)器區(qū)域、辦公區(qū)域、互聯(lián)網(wǎng)區(qū)域等），通過(guò)對(duì)訪問(wèn)請(qǐng)求的審核，我們隔離不同網(wǎng)絡(luò)區(qū)域間的網(wǎng)絡(luò)連接，可以達(dá)到保護(hù)脆弱的服務(wù)、控制對(duì)財(cái)務(wù)服務(wù)器的訪問(wèn)、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。這樣在工作主機(jī)訪問(wèn)財(cái)務(wù)服務(wù)器時(shí)，全部通信都受到防火墻的監(jiān)控，通過(guò)防護(hù)墻的策略可以設(shè)置成相應(yīng)的保護(hù)級(jí)別，以保證系統(tǒng)的安全。2) 通過(guò)防火墻保護(hù)財(cái)務(wù)服務(wù)器通過(guò)在防火墻上設(shè)置詳細(xì)的訪問(wèn)控制規(guī)則，各個(gè)區(qū)域，各個(gè)IP節(jié)點(diǎn)間的通信，必須要符合防火墻的訪問(wèn)控制規(guī)則，例如當(dāng)工作主機(jī)向服務(wù)器請(qǐng)求訪問(wèn)時(shí)，也只能訪問(wèn)服務(wù)器的相應(yīng)服務(wù)端口，在保護(hù)了服務(wù)器的同時(shí)，也清除了網(wǎng)絡(luò)中傳輸?shù)牟槐匾臄?shù)據(jù)。保證了整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的純凈，提高了網(wǎng)絡(luò)的品質(zhì)。通過(guò)防火墻的阻斷功能，使得內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)各個(gè)區(qū)域不受到惡意的攻擊，攻擊者無(wú)法通過(guò)防火墻進(jìn)行掃描、攻擊等非法動(dòng)作。防火墻可防止攻擊者對(duì)重要服務(wù)器的TCP/UDP的端口非法掃描，消除系統(tǒng)安全的隱患。可防止攻擊者通過(guò)外部網(wǎng)對(duì)重要服務(wù)器的源路由攻擊、IP碎片包攻擊、DNS / RIP / ICMP攻擊、SYN攻擊、拒絕服務(wù)攻擊等多種攻擊。測(cè)的功能.3) 通過(guò)防火墻限制對(duì)服務(wù)器的訪問(wèn)權(quán)限 通過(guò)在防火墻上進(jìn)行嚴(yán)格的訪問(wèn)控制，通過(guò)對(duì)不同的用戶進(jìn)行分組，對(duì)于不同的用戶組，給予不同的訪問(wèn)權(quán)限進(jìn)行訪問(wèn)服務(wù)器，減小用戶對(duì)于服務(wù)器可以進(jìn)行操作的權(quán)限，極大地降低了服務(wù)器面臨的風(fēng)險(xiǎn)。4) 通過(guò)防火墻限制財(cái)務(wù)網(wǎng)用戶向外的訪問(wèn) 通常大多數(shù)用戶認(rèn)為從財(cái)務(wù)網(wǎng)絡(luò)向外部的訪問(wèn)不會(huì)造成風(fēng)險(xiǎn)和威脅，這種想法是錯(cuò)誤的，例如反彈型木馬就是借助這種麻痹大意的想法進(jìn)行侵入的。缺乏安全控制的濫用互聯(lián)網(wǎng)絡(luò)，可能導(dǎo)致：組織內(nèi)部重要資料和秘密資料通過(guò) BBS、Email、 和 MSN 等途徑向外散發(fā)，或被別有用心的人截獲而加以利用，或是進(jìn)行不當(dāng)互聯(lián)網(wǎng)訪問(wèn)而引起組織內(nèi)部計(jì)算機(jī)感染木馬病毒，加大了組織重要及秘密信息的曝光率，給組織信息安全帶來(lái)隱患：對(duì)于政府、事業(yè)單位以及其他公共服務(wù)單位，如果互聯(lián)網(wǎng)管理的不夠完善，將會(huì)帶來(lái)極大信息安全隱患，例如經(jīng)濟(jì)等類型的重要的信息被通過(guò)非法渠道泄漏，此舉必然會(huì)有損組織的權(quán)威及名譽(yù)，并導(dǎo)致組織的公信力下降。對(duì)于公司企業(yè)等盈利性機(jī)構(gòu)而言，企業(yè)的機(jī)密信息等同于企業(yè)的生命。而在互聯(lián)網(wǎng)極度開放的今天，任何的疏忽都有可能導(dǎo)致企業(yè)機(jī)密信息外泄；而一旦發(fā)生企業(yè)機(jī)密信息外泄的情況，企業(yè)因此而投入了的大量人力物力將會(huì)付諸東流，此類案例在互聯(lián)網(wǎng)廣泛使用的今天是屢見(jiàn)不鮮的。5) 通過(guò)防火墻調(diào)整網(wǎng)絡(luò)使用效率通過(guò)防火墻具有帶寬控制的特性，可以依據(jù)應(yīng)用來(lái)限制流量，來(lái)調(diào)整鏈路的帶寬利用如：在網(wǎng)絡(luò)中如果有工作主機(jī)向服務(wù)器區(qū)域FTP的訪問(wèn)、Web訪問(wèn)等等，可以在防火墻中直接加載控制策略，使FTP訪問(wèn)、Web訪問(wèn)按照預(yù)定的帶寬進(jìn)行數(shù)據(jù)交換。實(shí)現(xiàn)每個(gè)用戶、每個(gè)服務(wù)的帶寬控制，調(diào)整鏈路帶寬利用的效率。6) 通過(guò)防火前完善日志通過(guò)防火墻可以采集所有流經(jīng)防火墻的數(shù)據(jù)，記錄到防火墻的日志服務(wù)器中，通過(guò)日志服務(wù)器的日志分析和統(tǒng)計(jì)功能，在對(duì)收集的事件進(jìn)行詳盡分析及統(tǒng)計(jì)的基礎(chǔ)上輸出豐富的報(bào)表，實(shí)現(xiàn)分析結(jié)果的可視化；系統(tǒng)提供多達(dá)300多種的報(bào)表模板，不僅支持對(duì)網(wǎng)絡(luò)事件按條件統(tǒng)計(jì)，更提供了對(duì)流量等變化趨勢(shì)的形象表現(xiàn)；對(duì)于分析結(jié)果系統(tǒng)提供了表格及多種圖形表現(xiàn)形式（柱狀圖、曲線圖），使管理員一目了然。同時(shí)采用多種告警方式，通知網(wǎng)絡(luò)管理人員。7) 實(shí)現(xiàn)了重要財(cái)務(wù)工作人員直接訪問(wèn)財(cái)務(wù)處網(wǎng)絡(luò) 通過(guò)天融信防火墻的訪問(wèn)控制能力，我們可以控制各個(gè)訪問(wèn)者訪問(wèn)的權(quán)限，同時(shí)我們采用用戶名，口令，證書等驗(yàn)證方式，徹底實(shí)現(xiàn)了對(duì)于訪問(wèn)者身份驗(yàn)證的目的。五．入侵防御子系統(tǒng)通常通過(guò)防火墻進(jìn)行網(wǎng)絡(luò)安全防范。從理論上分，防火墻可以說(shuō)是第一層安全防范手段，通常安裝在網(wǎng)絡(luò)入口來(lái)保護(hù)來(lái)自外部的攻擊。其主要防范原理為基于TCP/IP的IP地址和及端口進(jìn)行過(guò)濾、限制。由于防火墻本身為穿透型（所有數(shù)據(jù)流需要經(jīng)過(guò)防火墻才能到達(dá)目的地），因此為了提高其過(guò)濾、轉(zhuǎn)發(fā)效率，通常不會(huì)對(duì)每個(gè)數(shù)據(jù)報(bào)文或者數(shù)據(jù)流進(jìn)行過(guò)多的、細(xì)致地分析、檢查。但是恰恰很多符合防火墻的TCP/IP過(guò)濾安全策略的數(shù)據(jù)流或者報(bào)文中參雜著惡意的攻擊企圖。雖然目前一些防火墻增強(qiáng)了對(duì)于應(yīng)用層內(nèi)容分析的功能，但是考慮其因分析、處理應(yīng)用層內(nèi)容而導(dǎo)致的網(wǎng)絡(luò)延遲的增加，因此從其實(shí)際應(yīng)用角度來(lái)說(shuō)，存在一些局限性。但是網(wǎng)絡(luò)入侵防御系統(tǒng)由于其以串接模式部署到現(xiàn)有網(wǎng)絡(luò)中，執(zhí)行各種復(fù)雜的應(yīng)用層分析工作。因此可以成為防火墻有效的擴(kuò)展。同時(shí)自帶阻斷功能，可以實(shí)現(xiàn)整體的安全防范體系。1入侵防御產(chǎn)品概述天融信公司新版本的“網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng) TopIDP”是基于新一代并行處理技術(shù)，它通過(guò)設(shè)置檢測(cè)與阻斷策略對(duì)流經(jīng)TopIDP的網(wǎng)絡(luò)流量進(jìn)行分析過(guò)濾，并對(duì)異常及可疑流量進(jìn)行積極阻斷，同時(shí)向管理員通報(bào)攻擊信息，從而提供對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護(hù)。TopIDP能夠阻斷各種非法攻擊行為，比如利用薄弱點(diǎn)進(jìn)行的直接攻擊和增加網(wǎng)絡(luò)流量負(fù)荷造成網(wǎng)絡(luò)環(huán)境惡化的DoS攻擊等，安全地保護(hù)內(nèi)部IT資源。網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署于網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)，實(shí)時(shí)監(jiān)控各種數(shù)據(jù)報(bào)文及網(wǎng)絡(luò)行為，提供及時(shí)的報(bào)警及響應(yīng)機(jī)制。其動(dòng)態(tài)的安全響應(yīng)體系與防火墻、路由器等靜態(tài)的安全體系形成強(qiáng)大的協(xié)防體系，大大增強(qiáng)了用戶的整體安全防護(hù)強(qiáng)度。2入侵防御系統(tǒng)產(chǎn)品特點(diǎn)強(qiáng)大的高性能并行處理架構(gòu)TopIDP應(yīng)用了先進(jìn)的多核處理器硬件平臺(tái)，將并行處理技術(shù)成功融入天融信自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)TOS（Topsec Operating System）系統(tǒng)，集成多項(xiàng)發(fā)明專利，形成了先進(jìn)的多核架構(gòu)技術(shù)體系。在此基礎(chǔ)上的TopIDP產(chǎn)品具有高速的數(shù)據(jù)并行檢測(cè)處理和轉(zhuǎn)發(fā)能力，能夠勝任高速網(wǎng)絡(luò)的安全防護(hù)要求。 精確的基于目標(biāo)系統(tǒng)的流重組檢測(cè)引擎?zhèn)鹘y(tǒng)的基于單個(gè)數(shù)據(jù)包檢測(cè)的入侵防御產(chǎn)品無(wú)法有效抵御TCP流分段重疊的攻擊，任何一個(gè)攻擊行為通過(guò)簡(jiǎn)單的TCP流分段組合即可輕松穿透這種引擎，在受保護(hù)的目標(biāo)服務(wù)器主機(jī)上形成真正的攻擊。TopIDP產(chǎn)品采用了先進(jìn)的基于目標(biāo)系統(tǒng)的流重組檢測(cè)引擎，首先對(duì)到達(dá)的TCP數(shù)據(jù)包按照其目標(biāo)服務(wù)器主機(jī)的操作系統(tǒng)類型進(jìn)行流重組，然后對(duì)重組后的完整數(shù)據(jù)進(jìn)行攻擊檢測(cè)，從而從根源上徹底阻斷了TCP流分段重疊攻擊行為。準(zhǔn)確與完善的檢測(cè)能力TopIDP產(chǎn)品的智能檢測(cè)引擎可分析網(wǎng)絡(luò)攻擊的組合行為特征來(lái)準(zhǔn)確識(shí)別各種攻擊，準(zhǔn)確性更高；可以智能地識(shí)別出多種攻擊隱藏手段及變種攻擊，帶來(lái)更高安全性；通過(guò)智能化檢測(cè)引擎，能夠識(shí)別出多種高危網(wǎng)絡(luò)行為，并可以將此類行為以告警方式通知管理員，達(dá)到防患于未然的目的，帶來(lái)更高網(wǎng)絡(luò)安全性；同時(shí)新版TopIDP具有強(qiáng)大的木馬檢測(cè)與識(shí)別能力；完善的應(yīng)用攻擊檢測(cè)與防護(hù)能力；豐富的網(wǎng)絡(luò)應(yīng)用控制能力和及時(shí)的應(yīng)急響應(yīng)能力。豐富靈活的自定義規(guī)則能力TopIDP產(chǎn)品內(nèi)置了豐富靈活的自定義規(guī)則能力，能夠根據(jù)協(xié)議、源端口、目的端口及協(xié)議內(nèi)容自行定義攻擊行為，其中協(xié)議內(nèi)容支持強(qiáng)大靈活的PCRE（兼容perl的正則表達(dá)式）語(yǔ)法