【文章內(nèi)容簡(jiǎn)介】 面的各項(xiàng)措施。其次，對(duì)各級(jí)用戶的培訓(xùn)也十分重要，只有當(dāng)用戶對(duì)網(wǎng)絡(luò)安全性有了深入了解后，才能降低網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)?？傊贫ㄏ到y(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實(shí)施的第一步，只有當(dāng)各級(jí)組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個(gè)系統(tǒng)網(wǎng)絡(luò)的整體安全性。 網(wǎng)絡(luò)安全設(shè)計(jì)由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來(lái)實(shí)現(xiàn)，各個(gè)層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同。物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽(tīng)將是物理層安全措施制定的重點(diǎn)。在鏈路層，通過(guò)“橋”這一互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對(duì)物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離，消除不同安全級(jí)別邏輯網(wǎng)段間的竊聽(tīng)可能。在網(wǎng)絡(luò)層，可通過(guò)對(duì)不同子網(wǎng)的定義和對(duì)路由器的路由表控制來(lái)限制子網(wǎng)間的接點(diǎn)通信，通過(guò)對(duì)主機(jī)路由表的控制來(lái)控制與之直接通信的節(jié)點(diǎn)。同時(shí)，利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點(diǎn)的通信、應(yīng)用服務(wù)，并加強(qiáng)外部用戶識(shí)別和驗(yàn)證能力。對(duì)網(wǎng)絡(luò)進(jìn)行級(jí)別劃分與控制，網(wǎng)絡(luò)級(jí)別的劃分大致包括外網(wǎng)與內(nèi)網(wǎng)等，其中 Inter/外網(wǎng)的接口要采用專(zhuān)用防火墻，各網(wǎng)絡(luò)級(jí)別的接口利用防火墻、物理隔離設(shè)備、路由器的可控路由表、安全郵件服務(wù)器、安全撥號(hào)驗(yàn)證服務(wù)器和安全級(jí)別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過(guò)濾控制，也可以大大提高安全保密性。物理實(shí)體的安全管理現(xiàn)已有大量標(biāo)準(zhǔn)和規(guī)范，如 GB936188《計(jì)算機(jī)場(chǎng)地安全要求》 、14 / 50GFB288788《計(jì)算機(jī)場(chǎng)地技術(shù)條件》等。4． 1 網(wǎng)絡(luò)配置結(jié)構(gòu)圖總體結(jié)構(gòu)示意圖4． 2 安全配置? 在網(wǎng)關(guān)位置配置網(wǎng)御神州 SecGate3600G7 防火墻，以實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)安全邏輯隔離，通過(guò)在防火墻策略設(shè)置可以源地址、目的地址和服務(wù)做出限制，來(lái)保障通信安全。防火墻內(nèi)置強(qiáng)大入侵防護(hù)模塊，即使網(wǎng)絡(luò)遭到黑客攻擊，也能保證網(wǎng)絡(luò)安全，這樣用戶不僅是買(mǎi)一臺(tái)防火墻而且還是一臺(tái) IPS。網(wǎng)御神州 SecGate3600防火墻采用先進(jìn)擁塞控制算法，流量調(diào)度算法及優(yōu)先級(jí)排隊(duì)機(jī)制保證重要服務(wù)或重要用戶的帶寬，并且對(duì) BT 或電驢下載能有效的控制；支持多出口鏈路聚合，可以做到最多六條線路的負(fù)載均衡；15 / 50? 在中心交換機(jī)上配置基于網(wǎng)絡(luò)的 IDS 系統(tǒng)——網(wǎng)御神州 SecIDS3600，通過(guò)實(shí)時(shí)偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，或執(zhí)行用戶自定義的安全策略等；? 在 Web logic 服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器之間配置網(wǎng)御神州 SecSIS3600 網(wǎng)閘，能夠有效實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全隔離，數(shù)據(jù)只能以專(zhuān)有數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)絡(luò)間進(jìn)行“擺渡” ，從而切斷了內(nèi)外網(wǎng)絡(luò)之間的所有直接連接，保證內(nèi)外網(wǎng)數(shù)據(jù)能夠安全、可靠地交換；? 在安全管理主機(jī)上安裝網(wǎng)御神州 SecFoxSIM 安全事件管理 ,使之能夠?qū)崟r(shí)不間斷地將來(lái)自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到管理中心，實(shí)現(xiàn)海量信息的集中存儲(chǔ)和可靠保存，消除了安全防御的孤島。5 安全產(chǎn)品選型 網(wǎng)御神州 SECGATE 3600G7 防火墻 概述SecGate 3600G7 防火墻是基于狀態(tài)檢測(cè)包過(guò)濾和應(yīng)用級(jí)代理的復(fù)合型硬件防火墻，是專(zhuān)門(mén)面向大中型企業(yè)、政府、軍隊(duì)、高校等用戶開(kāi)發(fā)的新一代專(zhuān)業(yè)防火墻設(shè)備，支持外部攻擊防范、內(nèi)網(wǎng)安全、網(wǎng)絡(luò)訪問(wèn)權(quán)限控制、網(wǎng)絡(luò)流量監(jiān)控和帶寬管理、網(wǎng)頁(yè)內(nèi)容過(guò)濾、郵件內(nèi)容過(guò)濾等功能，能夠有效地保證網(wǎng)絡(luò)的安全；產(chǎn)品提供靈活的網(wǎng)絡(luò)路由/橋接能力，支持策略路由，多出口鏈路聚合；提供多種智能分析和管理手段，支持郵件告警，支持日志審計(jì)，提供全面的網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。SecGate 3600G7 防火墻已獲得公安部等部門(mén)頒發(fā)的信息安全產(chǎn)品銷(xiāo)售許可證。 防火墻主要功能列表功能分類(lèi) 功能概要16 / 50功能分類(lèi) 功能概要狀態(tài)檢測(cè) 針對(duì) TCP/IP 協(xié)議的 TCP/UDP/ICMP 數(shù)據(jù)包，實(shí)現(xiàn)完整的狀態(tài)包過(guò)濾，完全達(dá)到 GB/T18019《包過(guò)濾防火墻技術(shù)要求》的要求。智能過(guò)濾針對(duì)動(dòng)態(tài)協(xié)議（包括但不限于 、FTP、 TFTP 、Oracle TNS、SIP 等通信協(xié)議），提供基于協(xié)議分析的智能化動(dòng)態(tài)包過(guò)濾功能，實(shí)時(shí)開(kāi)閉應(yīng)用程序動(dòng)態(tài)協(xié)商的 TCP/UDP 端口，最大程度地提升防火墻的安全性。支持動(dòng)態(tài)地址轉(zhuǎn)換，包括多對(duì)一的地址轉(zhuǎn)換，多對(duì)多的地址轉(zhuǎn)換。支持靜態(tài)地址轉(zhuǎn)換，包括對(duì)內(nèi)部服務(wù)器提供一對(duì)一的地址轉(zhuǎn)換。支持雙向地址轉(zhuǎn)換，滿足對(duì)等網(wǎng)絡(luò)間雙方隱藏內(nèi)部 IP 地址的要求。地址轉(zhuǎn)換支持基于下一跳路由的地址轉(zhuǎn)換，滿足多出口網(wǎng)絡(luò)地址轉(zhuǎn)換負(fù)載均衡的要求。支持將內(nèi)部提供不同服務(wù)的多個(gè)服務(wù)器地址映射成外部相同地址下的不同端口，在端口映射狀態(tài)下，可同時(shí)提供多種安全的網(wǎng)絡(luò)服務(wù)。端口映射支持對(duì)內(nèi)部鏡像服務(wù)器訪問(wèn)的負(fù)載均衡支持 VPN 通訊參數(shù)的設(shè)置。支持不同認(rèn)證算法(MD5/SHA1/…)、不同加密算法(3DES/AES/…)、不同封裝模式(ESP/AH)的選擇。支持 IKE 認(rèn)證方式的選擇（預(yù)共享密鑰/PKI 證書(shū)模式）。支持固定網(wǎng)關(guān)之間的 VPN 通訊，支持動(dòng)態(tài)網(wǎng)關(guān)與固定網(wǎng)關(guān)之間的 VPN 通訊，支持動(dòng)態(tài)網(wǎng)關(guān)與動(dòng)態(tài)網(wǎng)關(guān)間的 VPN 通訊，支持客戶端與網(wǎng)關(guān)間的VPN 通訊，支持 PPTP 和 L2TP 網(wǎng)關(guān)之間的 VPN 通訊，支持存在于 NAT設(shè)備后的網(wǎng)關(guān)和客戶端之間的 VPN 通訊。支持星型結(jié)構(gòu)和網(wǎng)狀結(jié)構(gòu)下的 VPN 隧道建立。IPSec VPN完整兼容 IPSec 協(xié)議，能夠與 CISCO、NETSCREEN、WIN2022 的 VPN互通。提供基于 TCP 的 HTTP 代理、SMTP 代理、FTP 代理、TELNET 代理、POP3 代理以及基于策略的通用代理。應(yīng)用代理支持在透明代理下基于 HTTP、FTP、SMTP、POP3 協(xié)議的內(nèi)容過(guò)濾。針對(duì) HTTP，對(duì)網(wǎng)頁(yè)中 java、javascrip、activeX 進(jìn)行過(guò)濾。針對(duì) SMTP、POP3，基于發(fā)信人地址、收信人地址、收信人數(shù)、文件大小、郵件主題、正文內(nèi)容、發(fā)件人姓名、收件人姓名、附件文件名、附件內(nèi)容等進(jìn)行關(guān)鍵字匹配過(guò)濾。內(nèi)容過(guò)濾在狀態(tài)包過(guò)濾方式下，支持 URL 過(guò)濾和特殊代碼剝離，并支持黑/白名單過(guò)濾策略。提供內(nèi)網(wǎng)實(shí)時(shí)監(jiān)控統(tǒng)計(jì)功能，以?xún)?nèi)網(wǎng) IP 為對(duì)象，實(shí)時(shí)地監(jiān)視統(tǒng)計(jì)內(nèi)網(wǎng)連主機(jī)連接數(shù)量和流量。提供外網(wǎng)實(shí)時(shí)監(jiān)控統(tǒng)計(jì)功能，實(shí)時(shí)地監(jiān)視統(tǒng)計(jì)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的地址的連接數(shù)量和流量。提供 DMZ 實(shí)時(shí)監(jiān)控統(tǒng)計(jì)功能，實(shí)時(shí)地監(jiān)視統(tǒng)計(jì) DMZ 區(qū)內(nèi)主機(jī)被訪問(wèn)的連接數(shù)量和流量。連接監(jiān)控提供內(nèi)外網(wǎng)監(jiān)控統(tǒng)計(jì)功能，實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)訪問(wèn)指定外網(wǎng)主機(jī)的連接數(shù)量和流量。17 / 50功能分類(lèi) 功能概要連接管理提供保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)。保護(hù)服務(wù)器或服務(wù)器上提供的某項(xiàng)服務(wù)，限制對(duì)服務(wù)器過(guò)于頻繁的訪問(wèn)。在規(guī)定的時(shí)間內(nèi)，如果某臺(tái)主機(jī)訪問(wèn)服務(wù)器超過(guò)了所限制的次數(shù)，則會(huì)對(duì)該主機(jī)實(shí)行阻斷，在阻斷時(shí)間段內(nèi)，拒絕其對(duì)服務(wù)器的所有訪問(wèn)。也可以應(yīng)用此功能對(duì)使用 BT/電驢等連接數(shù)目過(guò)大嚴(yán)重影響網(wǎng)絡(luò)流量的用戶加以限制。支持網(wǎng)絡(luò)協(xié)議層用戶認(rèn)證，可以為包過(guò)濾、雙向 NAT、代理等訪問(wèn)控制提供用戶認(rèn)證功能。提供基于電子鑰匙的用戶身份認(rèn)證。支持用戶和組管理，支持用戶策略控制（源 IP 綁定、可訪問(wèn)目的 IP 和服務(wù)），支持對(duì)用戶帳號(hào)的流量控制和時(shí)間控制。提供與標(biāo)準(zhǔn) radius 服務(wù)器(PAP) 聯(lián)動(dòng)的用戶認(rèn)證。提供本地認(rèn)證庫(kù)實(shí)現(xiàn)基于角色的用戶策略，并與安全規(guī)則策略配合完成強(qiáng)訪問(wèn)控制。支持客戶端修改密碼。支持服務(wù)器端檢查用戶在線狀態(tài)。支持 PAP 和 S/Key 認(rèn)證協(xié)議。用戶認(rèn)證提供在線用戶監(jiān)控功能。支持安全規(guī)則時(shí)間調(diào)度。支持用戶策略時(shí)間調(diào)度。時(shí)間控制支持一次性與周期性時(shí)間調(diào)度規(guī)則。支持基于 IP 地址、應(yīng)用協(xié)議的帶寬管理。支持基于用戶的帶寬管理（通過(guò)身份認(rèn)證的用戶，可以指定帶寬）。支持最小保證帶寬和最大限制帶寬設(shè)置。帶寬管理支持帶寬優(yōu)先級(jí)的設(shè)定。支持以簡(jiǎn)化防火墻安全規(guī)則定義為目的的面向?qū)ο蟮馁Y源定義和組管理?？梢远x地址資源（地址、地址組、服務(wù)器地址、NAT 地址池）?？梢远x服務(wù)資源（服務(wù)、服務(wù)組）?？梢远x代理資源（預(yù)定義的HTTP、FTP 、TELNET、SMTP 、POP3 、SOCKS 代理、自定義代理）?？梢远x時(shí)間資源（時(shí)間、時(shí)間組，一次性調(diào)度和周期性調(diào)度）?？梢远x帶寬資源。對(duì)象管理可以定義 URL 資源（URL 黑名單、URL 白名單）。提供 IP/MAC 地址綁定檢查功能，可有效解決網(wǎng)絡(luò)管理中 IP 地址盜用問(wèn)題?？梢栽O(shè)置綁定的默認(rèn)策略，提供 IP/MAC 對(duì)的唯一性檢查。提供地址對(duì)與網(wǎng)口的綁定功能，可以及時(shí)定位盜用合法 IP/MAC 地址對(duì)的非法用戶。地址綁定提供 IP/MAC 自動(dòng)探測(cè)功能?？?DoS 攻擊支持對(duì)拒絕服務(wù)攻擊的防范，可以防范 syn_flood 、ping flood、 udp flood 、teardrop 、 sweep、 land、 ping of death、 smurf、碎片攻擊、WINNUKE、圣誕樹(shù)攻擊等。配合防火墻上的 IDS 功能，可以抵抗更多種類(lèi)的攻擊。18 / 50功能分類(lèi) 功能概要入侵聯(lián)動(dòng) 支持與網(wǎng)御神州、啟明星晨、中科網(wǎng)威、北方計(jì)算中心等主流入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)。提供專(zhuān)門(mén)的聯(lián)動(dòng)協(xié)議和 API 接口程序，可以幫助其它入侵檢測(cè)廠商快速實(shí)現(xiàn)與網(wǎng)御神州防火墻的聯(lián)動(dòng)。雙機(jī)熱備 支持雙機(jī)熱備工作模式，當(dāng)主防火墻遭遇宕機(jī)、網(wǎng)絡(luò)故障、硬件故障等故障時(shí)，從防火墻可以自動(dòng)檢測(cè)到并在小于 1 秒的時(shí)間范圍內(nèi)快速切換到主工作狀態(tài)，接管主防火墻的工作。多機(jī)集群 支持 2 及兩臺(tái)以上防火墻組成多機(jī)集群工作模式，在實(shí)現(xiàn)高可靠性的前提下，提供真正意義的負(fù)載均衡功能。負(fù)載均衡 支持多機(jī)集群模式下防火墻處理能力方面的負(fù)載均衡。支持 DMZ 區(qū)服務(wù)器組基于應(yīng)用的負(fù)載均衡?；诙丝谕掏履芰Ψ矫娴逆溌肪酆县?fù)載均衡。狀態(tài)同步 在多機(jī)集群狀態(tài)下，支持多臺(tái)防火墻共享虛擬的 IP 地址，在雙機(jī)熱備狀態(tài)下，支持主機(jī)的連接狀態(tài)信息與備機(jī)保持同步更新，從而可保障冗余系統(tǒng)切換時(shí)連接不中斷，徹底消除單點(diǎn)故障。策略路由 提供目的路由和源地址路由功能以及目的路由負(fù)載均衡。安全管理 提供遠(yuǎn)程安全管理和本地管理功能。提供全中文 web 界面和專(zhuān)業(yè)化的命令行界面管理方式。提供專(zhuān)用帶外管理口。通過(guò)管理員身份認(rèn)證（電子鑰匙認(rèn)證或證書(shū)認(rèn)證）、管理員級(jí)授權(quán)（包括超級(jí)管理員、配置管理員、策略管理員、審計(jì)管理員）、管理主機(jī)限制、防火墻管理 IP 限制、防火墻管理方式定義（web 管理/命令行管理/SSH 方式/PPP+SSH 連接）、配置信息加密（支持 SSL 協(xié)議和 SSH 協(xié)議），提供方便且安全的配置管理。配置備份支持配置的本地下載和上載。提供恢復(fù)防火墻出廠配置功能。模塊升級(jí)提供靈活的軟件升級(jí)方式，適應(yīng)安全需求的快速響應(yīng)。時(shí)鐘調(diào)整 提供防火墻系統(tǒng)時(shí)鐘與管理主機(jī)時(shí)間同步的時(shí)鐘調(diào)整功能。提供防火墻系統(tǒng)時(shí)鐘與網(wǎng)絡(luò)時(shí)鐘服務(wù)器同步（NTP 協(xié)議）的時(shí)鐘調(diào)整功能。網(wǎng)絡(luò)調(diào)試工具 ping TracerouteRoute系統(tǒng)監(jiān)控提供網(wǎng)口激活信息統(tǒng)計(jì)與連接信息監(jiān)控。提供當(dāng)前 CPU 和內(nèi)存利用率監(jiān)控。提供 HA 高可用狀態(tài)監(jiān)控。提供用戶在線狀況監(jiān)控，顯示用戶名、登錄 IP、登錄時(shí)間、在線時(shí)間、流入流量和流出流量，可根據(jù)安全策略實(shí)時(shí)中斷某用戶的連接。提供連接數(shù)量和流量監(jiān)控。在防火墻本地能夠靈活地設(shè)置監(jiān)測(cè)的時(shí)間間隔和顯示方式。日志審計(jì)日志審計(jì)功能提供對(duì)防火墻系統(tǒng)事件和網(wǎng)絡(luò)事件的統(tǒng)計(jì)、查詢(xún)、分析。19 / 50功能分類(lèi) 功能概要所有的防火墻事件都有相關(guān)日志記錄，包括包過(guò)濾日志、系統(tǒng)日志、內(nèi)容過(guò)濾日志、VPN 日志、HA 日志、攻擊日志等，每種日志都有固定的格式，結(jié)構(gòu)嚴(yán)謹(jǐn)，條理清楚，可讀性強(qiáng)。提供以下三種日志管理方式： ● 支持本機(jī)管理，日志信息采取先進(jìn)先出的滾動(dòng)刷新方式，且斷電即丟失，只適應(yīng)流量小、對(duì)日志審計(jì)要求低的環(huán)境，提供有限的查詢(xún)功能（按日志類(lèi)型、日志級(jí)別和關(guān)鍵詞進(jìn)行查找）；● 支持 SecGateManager 安全管理，是 SecGate 防火墻的專(zhuān)業(yè)管理工具，支持日志的海量存儲(chǔ)，支持安全事件的歸并和關(guān)聯(lián)分析，支持圖形化的直觀審計(jì)分析；● 支持其它安全管理系統(tǒng)管理，如：Webtrends、用戶自主開(kāi)發(fā)的安全管理中心等，防火墻通過(guò) SNMP 模塊與安全管理中心通信，為安全管理人員提供全面、易用、高效、實(shí)時(shí)的全局日志與安全事件審計(jì)分析，此方式需要額外投資。集中管理支持 SNMPv2，v3，可以與 SecGateManager 安全管理系統(tǒng)無(wú)縫聯(lián)動(dòng)（集中管理、設(shè)備監(jiān)控和事件審計(jì)）。通過(guò) SecGateManager 安全管理系統(tǒng)能夠?qū)Ψ阑饓顟B(tài)信息進(jìn)行實(shí)時(shí)監(jiān)控與統(tǒng)計(jì)分析。網(wǎng)絡(luò)適應(yīng)性具有多個(gè)自適應(yīng)網(wǎng)絡(luò)接口，網(wǎng)口數(shù)目可擴(kuò)展，在保證網(wǎng)絡(luò)高度安全和數(shù)據(jù)完整的前提下，同時(shí)具有線速或接近線速的網(wǎng)絡(luò)處理性能。支持每個(gè)網(wǎng)絡(luò)接口設(shè)定多個(gè) IP 地址，支持網(wǎng)絡(luò)接口模式的設(shè)定。支持 ADSL 撥號(hào)連接，自動(dòng)以 ADSL 獲得的地址為公網(wǎng)地址，用此地址對(duì)內(nèi)部 IP 做地址轉(zhuǎn)換。適應(yīng)多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和 VLAN 環(huán)境（支持 協(xié)議、Trunk 協(xié)