【文章內容簡介】 制度等，并采取切實有效的措施保證制度的執(zhí)行。內部安全管理主要采取行政手段和技術手段相結合的方法。 l 網絡安全管理在網絡上設置防病毒安全檢測系統(tǒng)后，必須保證防病毒系統(tǒng)的設置正確，且其配置不允許被隨便修改。采用用戶和口令認證機制加強對用戶的管理，可以通過財務軟件本身和一些網絡層的管理工具來實現(xiàn)。 . 安全方案 根據對信息網現(xiàn)階段的安全需求分析，我們在設計本安全方案時，將采取一切有力的措施，來實現(xiàn)信息網現(xiàn)階段的安全目標，考慮到現(xiàn)階段對網絡病毒的管理要求，本方案提出對網絡病毒防范和管理控制建議，并提出了現(xiàn)階段的網絡安全管理方案。. 網絡設備的安全配置信息網中，整個網絡的安全首先要確保網絡設備的安全，保證非授權用戶不能訪問網絡任意的網絡通訊設備（例如：路由器，集線器等）。對不同型號、廠家的網絡設備，要防范的內容是一樣的，但具體的配置方法須依照設備要求來實現(xiàn)。. 對服務器訪問的控制對于服務器用戶可以設置不同的用戶權限，如“非特權”和“特權”兩種訪問權限，非特權訪問權限允許用戶在服務器上查詢某些公眾信息但無法對服務器進行配置；特權訪問權限則允許用戶對服務器進行完全的配置。 對服務器訪問的控制建議使用以下的方式：l 控制臺訪問控制 l 限制訪問空閑時間 l 口令的保護 l 多級管理員權限 . CheckPoint FireWall1 作為開放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導者之一，CheckPoint公司致力于企業(yè)級網絡安全產品的研發(fā)，據IDC的最近統(tǒng)計，其FireWall1防火墻在市場占有率上已超過44%，《財富》排名前100的大企業(yè)里近80%選用了CheckPoint FireWall1防火墻。CheckPoint FireWall1產品包括以下模塊：l 基本模塊：252。 狀態(tài)檢測模塊（Inspection Module）：提供訪問控制、客戶機認證、會話認證、地址翻譯和審計功能；252。 防火墻模塊（FireWall Module）：包含一個狀態(tài)檢測模塊，另外提供用戶認證、內容安全和多防火墻同步功能；252。 管理模塊（Management Module）：對一個或多個安全策略執(zhí)行點（安裝了FireWall1的某個模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的安全管理功能；l 可選模塊252。 連接控制（Connect Control）：為提供相同服務的多個應用服務器提供負載平衡功能；252。 路由器安全管理模塊（Router Security Management）：提供通過防火墻管理工作站配置、維護3Com，Cisco，Bay等路由器的安全規(guī)則；252。 其它模塊，如加密模塊等。l 圖形用戶界面（GUI）：是管理模塊功能的體現(xiàn)，包括252。 策略編輯器：維護管理對象、建立安全規(guī)則、把安全規(guī)則施加到安全策略執(zhí)行點上去；252。 日志查看器：查看經過防火墻的連接，識別并阻斷攻擊；252。 系統(tǒng)狀態(tài)查看器：查看所有被保護對象的狀態(tài)。FireWall1提供單網關和企業(yè)級兩種產品組合。252。 單網關產品：只有防火墻模塊（包含狀態(tài)檢測模塊）、管理模塊和圖形用戶界面各一個，且防火墻模塊和管理模塊必須安裝在同一臺機器上。252。 企業(yè)級產品：可以有若干基本模塊和可選模塊以及圖形用戶界面組成，特別是可能配置較多的防火墻模塊和獨立的狀態(tài)檢測模塊。企業(yè)級產品的不同模塊可以安裝在不同的機器上。狀態(tài)檢測機制FireWall1采用CheckPoint公司的狀態(tài)檢測（Stateful Inspection）專利技術，以不同的服務區(qū)分應用類型，為網絡提供高安全、高性能和高擴展性保證。FireWall1狀態(tài)檢測模塊分析所有的包通訊層，汲取相關的通信和應用程序的狀態(tài)信息。狀態(tài)檢測模塊能夠理解并學習各種協(xié)議和應用，以支持各種最新的應用。狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據包，保證網絡的高度安全和數(shù)據完整。網絡和各種應用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中，結合預定義好的規(guī)則，實現(xiàn)安全策略。狀態(tài)檢測模塊可以識別不同應用的服務類型，還可以通過以前的通信及其它應用程序分析出狀態(tài)信息。狀態(tài)檢測模塊檢驗IP地址、端口以及其它需要的信息以決定通信包是否滿足安全策略。狀態(tài)檢測模塊把相關的狀態(tài)和狀態(tài)之間的關聯(lián)信息存儲到動態(tài)連接表中并隨時更新，通過這些數(shù)據，F(xiàn)ireWall1可以檢測到后繼的通信。狀態(tài)檢測技術對應用程序透明，不需要針對每個服務設置單獨的代理，使其具有更高的安全性、高性能、更好的伸縮性和擴展性，可以很容易把用戶的新應用添加到保護的服務中去。FireWall1提供的INSPECT語言，結合FireWall1的安全規(guī)則、應用識別知識、狀態(tài)關聯(lián)信息以及通信數(shù)據構成了一個強大的安全系統(tǒng)。INSPECT是一個面向對象的腳本語言，為狀態(tài)檢測模塊提供安全規(guī)則。通過策略編輯器制定的規(guī)則存為一個用INSPECT寫成的腳本文件，經過編譯生成代碼并被加載到安裝有狀態(tài)檢測模塊的系統(tǒng)上。腳本文件是ASCII文件，可以編輯，以滿足用戶特定的安全要求。OPSECCheckPoint是開放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導者之一。OPSEC允許用戶通過一個開放的、可擴展的框架集成、管理所有的網絡安全產品。OPSEC通過把FireWall1嵌入到已有的網絡平臺（如Unix、NT服務器、路由器、交換機以及防火墻產品），或把其它安全產品無縫集成到FireWall1中，為用戶提供一個開放的、可擴展的安全框架。目前已有包括IBM、HP、Sun、Cisco、BAY等超過135個公司加入到OPSEC聯(lián)盟。企業(yè)級防火墻安全管理FireWall1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個規(guī)則庫里。規(guī)則庫里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務類型（HTTP、FTP、TELNET等）、針對該連接的安全措施（放行、拒絕、丟棄或者是需要通過認證等）、需要采取的行動（日志記錄、報警等）、以及安全策略執(zhí)行點（是在防火墻網關還是在路由器或者其它保護對象上上實施該規(guī)則）。FireWall1管理員通過一個防火墻管理工作站管理該規(guī)則庫，建立、維護安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)檢測模塊的系統(tǒng)上。這些系統(tǒng)和管理工作站之間的通信必須先經過認證，然后通過加密信道傳輸。FireWall1直觀的圖形用戶界面為集中管理、執(zhí)行企業(yè)安全策略提供了強有力的工具。l 安全策略編輯器：維護被保護對象，維護規(guī)則庫，添加、編輯、刪除規(guī)則，加載規(guī)則到安裝了狀態(tài)檢測模塊的系統(tǒng)上。l 日志管理器：提供可視化的對所有通過防火墻網關的連接的跟蹤、監(jiān)視和統(tǒng)計信息，提供實時報警和入侵檢測及阻斷功能。l 系統(tǒng)狀態(tài)查看器：提供實時的系統(tǒng)狀態(tài)、審計和報警功能。分布的客戶機/服務器結構FireWall1通過分布式的客戶機/服務器結構管理安全策略，保證高性能、高伸縮性和集中控制。FireWall1由基本模塊（防火墻模塊、狀態(tài)檢測模塊和管理模塊）和一些可選模塊組成。這些模塊可以通過不同數(shù)量、平臺的組合配置成靈活的客戶機/服務器結構。管理模塊包括了圖形用戶界面和管理員定義的相關管理對象—規(guī)則庫，網絡對象，服務、用戶等。防火墻模塊、狀態(tài)檢測模塊以及其它可選模塊用來執(zhí)行安全策略，安裝了這些模塊的系統(tǒng)稱為受保護對象（Firewalled System），又稱為安全策略執(zhí)行點（Security Enforcement Point）。FireWall1的客戶機/服務器結構是完全集成的，只有一個統(tǒng)一的安全策略和一個規(guī)則庫，通過一個單一的防火墻管理工作站，管理多個裝載了防火墻模塊、狀態(tài)檢測模塊或可選模塊的系統(tǒng)。認證（Authentication）遠程用戶和撥號用戶可以經過FireWall1的認證后，訪問內部資源。FireWall1可以在不修改本地服務器或客戶應用程序的情況下，對試圖訪問內部服務器的用戶進行身份認證。FireWall1的認證服務集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。FireWall1提供三種認證方法：l 用戶認證（User Authentication）：針對特定服務提供的基于用戶的透明的身份認證，服務限于FTP、TELNET、HTTP、HTTPS、RLOGIN。l 客戶機認證（Client Authentication）：基于客戶機IP的認證，對訪問的協(xié)議不做直接的限制?？蛻魴C認證不是透明的，需要用戶先登錄到防火墻認證IP和用戶身份之后，才允許訪問應用服務器?？蛻魴C不需要添加任何附加的軟件或做修改。當用戶通過用戶認證或會話認證后，同時也就已經通過客戶機認證。l 會話認證（Session Authentication）：提供基于服務會話的的透明認證，與IP無關。采用會話認證的客戶機必須安裝一個會話認證代理，訪問不同的服務時必須單獨認證。l FireWall1提供多種認證機制供用戶選擇：S/Key，F(xiàn)ireWall1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。地址翻譯（NAT）FireWall1支持三種不同的地址翻譯模式：l 靜態(tài)源地址翻譯：當內部的一個數(shù)據包通過防火墻出去時，把其源地址（一般是一個內部保留地址）轉換成一個合法地址。靜態(tài)源地址翻譯與靜態(tài)目的地址翻譯通常是配合使用的。l 靜態(tài)目的地址翻譯：當外部的一個數(shù)據包通過防火墻進入內部網時，把其目的地址（合法地址）轉換成一個內部使用的地址（一般是內部保留地址）。l 動態(tài)地址翻譯（也稱為隱藏模式）：把一個內部網的地址段轉換成一個合法地址，以解決企業(yè)的合法IP地址太少的問題，同時隱藏內部網絡結構，提高網絡安全性能。內容安全FireWall1的內容安全服務保護網絡免遭各種威脅，包括病毒、Jave和ActiveX代碼攻擊等。內容安全服務可以通過定義特定的資源對象，制定與其它安全策略類似的規(guī)則來完成。內容安全與FireWall1的其它安全特性集成在一起，通過圖形用戶界面集中管理。OPSEC提供應用開發(fā)接口（API）以集成第三方內容過濾系統(tǒng)。FireWall1的內容安全服務包括：l 利用第三方的防病毒服務器，通過防火墻規(guī)則配置，掃描通過防火墻的文件，清除計算機病毒；l 根據安全策略，在訪問WEB資源時，從HTTP頁面剝離Java Applet，ActiveX等小程序及Java，Script等代碼；l 用戶定義過濾條件，過濾URL；l 控制FTP的操作，過濾FTP傳輸?shù)奈募热?；l SMTP的內容安全（隱藏內部地址、剝離特定類型的附件等）；l 可以設置在發(fā)現(xiàn)異常時進行記錄或報警；l 通過控制臺集中管理、配置、維護。連接控制FireWall1的連接控制模塊提供了負載平衡功能，在提供相同服務的多個應用服務器之間實現(xiàn)負載分擔，應用服務器不要求都放在防火墻后面。用戶可選用不同的負載均衡算法：l Server Load—該方法由服務器提供負載均衡算法，需要在應用服務器端安裝負載測量引擎；l Round Trip—FireWall1利用ping命令測定防火墻到各個應用服務器之間的循回時間，選用循回時間最小者響應用戶請求；l Round Robin—FireWall1根據其記錄表中的情況，簡單地指定下一個應用服務器響應；l Random—FireWall1隨機選取應用服務器響應；l Domain—FireWall1按照域名最近的原則，指定最近的應用服務器響應。路由器安全管理l 可以通過FireWall1的管理工作站對企業(yè)范圍內的路由器提供集中的安全管理：l 通過圖形用戶界面生成路由器的過濾和配置；l 引入、維護路由器的訪問控制列表；l 記錄路由器事件（需要路由器支持日志功能）；l 在路由器上執(zhí)行通過圖形用戶界面制定的安全策略。FireWall1可以集中管理以下路由器：l Bay Networks routers, version l Cisco routers, IOS version 9 11l Cisco PIX Firewall，version , l 3Com NetBuilder, version l Microsoft RAS(Steelhead) Routers for Windows NT server  防火墻及防病毒