【文章內容簡介】 火墻的這種高要求的需要?在安全域二和核心交換機之間部署一臺清華德實公司的防火墻，這樣不僅能夠保護原有的設備投資，也能夠滿足基本的訪問控制的要求?在安全域三中部署了很多常見應用服務器，包括WEB服務器、郵件服務器、DNS服務器等，這些服務器對網(wǎng)絡的穩(wěn)定性、轉發(fā)速率和安全性有非常高的要求，一旦這些服務器出現(xiàn)問題整個辦公系統(tǒng)將會癱瘓，嚴重影響辦公效率，因此在安全域三和核心交換機之間部署一臺天融信公司的NGFW4000防火墻，并且在郵件服務器的前端部署冠群金辰公司的KSG防病毒過濾網(wǎng)關，以滿足基本的訪問控制的要求和系統(tǒng)對網(wǎng)絡的穩(wěn)定性、轉發(fā)速率和安全性的高要求? 安全域四是內部終端用戶區(qū)，分部在各個樓層，并且鏈路是光纖接口，如果部署防火墻系統(tǒng)，一是設備數(shù)量很多，二是光纖設備非常昂貴，這樣部署防火墻設備的造價很高，大量的投入也并不能提高網(wǎng)絡的安全狀況，但我們可以在連接終端用戶的三層交換機端口上進行簡單的訪問控制，滿足基本的訪問控制要求?能否實現(xiàn)這個功能要看三層交換機的功能。在安全域五和核心交換機之間部署一臺清華德實公司的防火墻，這樣不僅能夠保護原有的設備投資，也能夠滿足基本的訪問控制的要求?在安全域六和核心交換機之間部署一臺清華德實公司的防火墻，這樣不僅能夠保護原有的設備投資，也能夠滿足基本的訪問控制的要求?天融信防火墻NGFW4000在保證高可用性和高可靠性的同時還在以下幾個方面起著重要的作用：1. 通過防火墻的規(guī)則設置隔離了數(shù)據(jù)庫安全域與其它安全域，實現(xiàn)了保護關鍵業(yè)務的應用、控制對服務器的訪問、記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。到數(shù)據(jù)庫安全域的全部通信都受到防火墻的監(jiān)控，通過防護墻的策略可以設置成相應的保護級別，以保證系統(tǒng)的安全?2. 過濾網(wǎng)絡中不必要傳輸?shù)臒o用數(shù)據(jù)?防火墻是一種網(wǎng)關型的設備，各個區(qū)域之間的通信，可以通過防火墻的添加規(guī)則策略保障，如果在防火墻上添加一些有關重要應用的策略，就可以過濾掉部分無用的信息，只要網(wǎng)絡中傳輸必要的應用數(shù)據(jù)，比如封閉目前常見的蠕蟲病毒使用的端口?3. 防火墻具有流量控制的特性，可以依據(jù)應用來限制流量，來調整鏈路的帶寬利用，如：在網(wǎng)絡中，有數(shù)據(jù)庫調用應用、域登陸應用等等，可以在防火墻中直接加載控制策略，使數(shù)據(jù)庫調用應用、域登陸應用按照預定的帶寬進行數(shù)據(jù)交換?實現(xiàn)流量控制，調整鏈路帶寬利用的功能?4. 在天融信防火墻上還可以防止惡意的內部員工通過網(wǎng)絡對數(shù)據(jù)庫安全域的服務器TCP/UDP端口進行非法掃描，消除系統(tǒng)安全的隱患?可防止惡意的內部員工通過網(wǎng)絡對數(shù)據(jù)庫安全域的服務器進行源路由攻擊、IP碎片包攻擊、DNS / RIP / ICMP攻擊、SYN攻擊、拒絕服務攻擊等多種攻擊?天融信防火墻提供入侵檢測的功能，當發(fā)現(xiàn)重要服務器被攻擊時，防火墻將自動報警并根據(jù)策略進行響應?5. 對于防火墻自身來說，日志的導出、日志服務器的安裝，可使得通過防火墻的數(shù)據(jù)訪問加以統(tǒng)計，為優(yōu)化網(wǎng)絡提供必要的數(shù)據(jù)，日志服務器可以完成，每個不同的源訪問的流量統(tǒng)計，可以了解到每個源的流量是否在正常范圍內，等等?這樣的數(shù)據(jù)對于網(wǎng)絡安全是十分重要的?6. 防火墻提供應用級透明代理，可以對高層應用(HTTP、FTP、SMTP、POPNNTP)做了更詳細控制，如HTTP命令(GET，POST，HEAD)及URL，F(xiàn)TP命令(GEI，PUT)及文件控制，也就是說，在的網(wǎng)絡中當通過防火墻對數(shù)據(jù)庫安全域進行訪問時，可在應用層上做更詳細的訪問控制?7. 通過在數(shù)據(jù)庫安全域添加入侵檢測系統(tǒng)，保證入侵檢測系統(tǒng)與防火墻產生聯(lián)動?當網(wǎng)絡中發(fā)生攻擊時，向防火墻發(fā)送策略，將攻擊行為進行過濾，使攻擊行為的數(shù)據(jù)無法到達目的主機，實際上是斬斷了攻擊的路徑?如此往復，可以提供大量時間來追測攻擊源，采取相應措施?全面的聯(lián)動延長了安全管理的觸角，增加了安全管理的手段，加大了安全管理的強度? 防火墻的主要功能是對進出防火墻的數(shù)據(jù)進行訪問控制，防火墻無法阻止由于防火墻配置有誤或者繞過防火墻而進入網(wǎng)絡的非法數(shù)據(jù)?數(shù)據(jù)一旦通過防火墻進入網(wǎng)絡后，如果操作系統(tǒng)或者應用系統(tǒng)本身存在漏洞，由于防火墻系統(tǒng)是一個靜態(tài)、被動的設備，這時候就無能為力了，入侵檢測系統(tǒng)作為防火墻的一個有益補充，完全可以勝任此工作?入侵檢測是根據(jù)已有的、最新的攻擊手段的信息代碼對進出各個安區(qū)域的所有操作進行主動的實時監(jiān)控、審查，并按制定的策略實行響應(阻斷、報警、發(fā)送Email)，同時進行日志記錄，并且入侵檢測系統(tǒng)的動態(tài)防御還能實現(xiàn)入侵檢測系統(tǒng)和防火墻及其它特定網(wǎng)絡安全系統(tǒng)之間的互動(如路由器)，動態(tài)的保護網(wǎng)絡不受惡意的入侵及來自于內部的攻擊?根據(jù)企業(yè)內網(wǎng)的實際網(wǎng)絡環(huán)境以及應用情況，我們方案目前只在數(shù)據(jù)庫安全域部署一套入侵檢測系統(tǒng)，以后可以根據(jù)業(yè)務的重要程度在需要的安全域添加入侵檢測系統(tǒng)，以實現(xiàn)對數(shù)據(jù)進行主動的實時監(jiān)控、審查，以發(fā)現(xiàn)違規(guī)行為，并對違規(guī)行為進行處理(報警、阻斷、與防火墻進行聯(lián)動等)?管理員也可以定期的生產各種報表，根據(jù)報表及時的調整安全策略，完善網(wǎng)絡中存在的安全問題。目前企業(yè)內網(wǎng)已經部署了一套完整的防病毒解決系統(tǒng)，包括客戶端防病毒、服務器防病毒、群件系統(tǒng)防病毒、網(wǎng)關防病毒系統(tǒng)以及統(tǒng)一的升級、管理、監(jiān)控，但面對日益猖狂的病毒，特別是蠕蟲型的病毒，單靠一套完整的防病毒系統(tǒng)已經難以解決問題?一套優(yōu)秀的防病毒解決方案不但要有一套完整的技術解決方案，還要有一個勤奮努力的網(wǎng)絡管理員和嚴格的管理制度?備份系統(tǒng)為一個目的而存在：存檔備份；當需要時，盡可能快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息?根據(jù)系統(tǒng)安全需求可選擇的備份機制有：場地內高速、高容量自動的數(shù)據(jù)存儲、備份與恢復，場地外的數(shù)據(jù)存儲、備份與恢復；對系統(tǒng)設備的備份?備份不僅在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網(wǎng)絡攻擊破壞數(shù)據(jù)完整性時起到保護作用，同時亦是系統(tǒng)災難恢復的前提之一?一般的數(shù)據(jù)備份操作有三種?一是全盤備份，即將所有文件寫入備份介質；二是增量備份，只備份那些上次備份之后更改過的文件，是最有效的備份方法；三是差量備份，備份上次全盤備份之后更改過的所有文件，其優(yōu)點是只需兩組磁帶就可恢復最后一次全盤備份的磁帶和最后一次差分備份的磁帶?在進行備份的過程中，常使用備份軟件，它一般應具有以下功能?備份數(shù)據(jù)的完整性，并具有對備份介質的管理能力；支持多種備份方式，可以定時自動備份，還可設置備份自動啟動和停止日期；支持多種文件格式的備份；支持多種校驗手段(如字節(jié)校驗、CRC循環(huán)冗余校驗、快速磁帶掃描)，以保證備份的正確性；提供聯(lián)機數(shù)據(jù)備份功能；支持RAID容錯技術和圖像備份功能?在企業(yè)網(wǎng)絡系統(tǒng)中，已經根據(jù)自己實際的業(yè)務需求建立了比較完善的備份及恢復系統(tǒng)。 安全管理面對網(wǎng)絡安全的脆弱性，除了在網(wǎng)絡設計上增加安全服務功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網(wǎng)絡的安全管理規(guī)范的建立，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡安全所必須考慮的基本問題，所以應引起各計算機網(wǎng)絡應用部門領導的重視?安全管理可以通過相應的規(guī)章制度來實現(xiàn)?制訂完善的管理制度，包括：機房安全管理制度，安全設施系統(tǒng)操作制度，網(wǎng)絡、系統(tǒng)安全操作規(guī)程，數(shù)據(jù)備份制度，普通用