【文章內(nèi)容簡介】 制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié)合的方法。 l 網(wǎng)絡(luò)安全管理在網(wǎng)絡(luò)上設(shè)置防病毒安全檢測系統(tǒng)后，必須保證防病毒系統(tǒng)的設(shè)置正確，且其配置不允許被隨便修改。采用用戶和口令認(rèn)證機(jī)制加強(qiáng)對用戶的管理，可以通過財(cái)務(wù)軟件本身和一些網(wǎng)絡(luò)層的管理工具來實(shí)現(xiàn)。 . 安全方案 根據(jù)對信息網(wǎng)現(xiàn)階段的安全需求分析，我們在設(shè)計(jì)本安全方案時(shí)，將采取一切有力的措施，來實(shí)現(xiàn)信息網(wǎng)現(xiàn)階段的安全目標(biāo)，考慮到現(xiàn)階段對網(wǎng)絡(luò)病毒的管理要求，本方案提出對網(wǎng)絡(luò)病毒防范和管理控制建議，并提出了現(xiàn)階段的網(wǎng)絡(luò)安全管理方案。. 網(wǎng)絡(luò)設(shè)備的安全配置信息網(wǎng)中，整個(gè)網(wǎng)絡(luò)的安全首先要確保網(wǎng)絡(luò)設(shè)備的安全，保證非授權(quán)用戶不能訪問網(wǎng)絡(luò)任意的網(wǎng)絡(luò)通訊設(shè)備（例如：路由器，集線器等）。對不同型號、廠家的網(wǎng)絡(luò)設(shè)備，要防范的內(nèi)容是一樣的，但具體的配置方法須依照設(shè)備要求來實(shí)現(xiàn)。. 對服務(wù)器訪問的控制對于服務(wù)器用戶可以設(shè)置不同的用戶權(quán)限，如“非特權(quán)”和“特權(quán)”兩種訪問權(quán)限，非特權(quán)訪問權(quán)限允許用戶在服務(wù)器上查詢某些公眾信息但無法對服務(wù)器進(jìn)行配置；特權(quán)訪問權(quán)限則允許用戶對服務(wù)器進(jìn)行完全的配置。 對服務(wù)器訪問的控制建議使用以下的方式：l 控制臺(tái)訪問控制 l 限制訪問空閑時(shí)間 l 口令的保護(hù) l 多級管理員權(quán)限 . CheckPoint FireWall1 作為開放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導(dǎo)者之一，CheckPoint公司致力于企業(yè)級網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)，據(jù)IDC的最近統(tǒng)計(jì)，其FireWall1防火墻在市場占有率上已超過44%，《財(cái)富》排名前100的大企業(yè)里近80%選用了CheckPoint FireWall1防火墻。CheckPoint FireWall1產(chǎn)品包括以下模塊：l 基本模塊：252。 狀態(tài)檢測模塊（Inspection Module）：提供訪問控制、客戶機(jī)認(rèn)證、會(huì)話認(rèn)證、地址翻譯和審計(jì)功能；252。 防火墻模塊（FireWall Module）：包含一個(gè)狀態(tài)檢測模塊，另外提供用戶認(rèn)證、內(nèi)容安全和多防火墻同步功能；252。 管理模塊（Management Module）：對一個(gè)或多個(gè)安全策略執(zhí)行點(diǎn)（安裝了FireWall1的某個(gè)模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的安全管理功能；l 可選模塊252。 連接控制（Connect Control）：為提供相同服務(wù)的多個(gè)應(yīng)用服務(wù)器提供負(fù)載平衡功能；252。 路由器安全管理模塊（Router Security Management）：提供通過防火墻管理工作站配置、維護(hù)3Com，Cisco，Bay等路由器的安全規(guī)則；252。 其它模塊，如加密模塊等。l 圖形用戶界面（GUI）：是管理模塊功能的體現(xiàn)，包括252。 策略編輯器：維護(hù)管理對象、建立安全規(guī)則、把安全規(guī)則施加到安全策略執(zhí)行點(diǎn)上去；252。 日志查看器：查看經(jīng)過防火墻的連接，識別并阻斷攻擊；252。 系統(tǒng)狀態(tài)查看器：查看所有被保護(hù)對象的狀態(tài)。FireWall1提供單網(wǎng)關(guān)和企業(yè)級兩種產(chǎn)品組合。252。 單網(wǎng)關(guān)產(chǎn)品：只有防火墻模塊（包含狀態(tài)檢測模塊）、管理模塊和圖形用戶界面各一個(gè)，且防火墻模塊和管理模塊必須安裝在同一臺(tái)機(jī)器上。252。 企業(yè)級產(chǎn)品：可以有若干基本模塊和可選模塊以及圖形用戶界面組成，特別是可能配置較多的防火墻模塊和獨(dú)立的狀態(tài)檢測模塊。企業(yè)級產(chǎn)品的不同模塊可以安裝在不同的機(jī)器上。狀態(tài)檢測機(jī)制FireWall1采用CheckPoint公司的狀態(tài)檢測（Stateful Inspection）專利技術(shù)，以不同的服務(wù)區(qū)分應(yīng)用類型，為網(wǎng)絡(luò)提供高安全、高性能和高擴(kuò)展性保證。FireWall1狀態(tài)檢測模塊分析所有的包通訊層，汲取相關(guān)的通信和應(yīng)用程序的狀態(tài)信息。狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用。狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動(dòng)態(tài)存儲(chǔ)、更新到動(dòng)態(tài)狀態(tài)表中，結(jié)合預(yù)定義好的規(guī)則，實(shí)現(xiàn)安全策略。狀態(tài)檢測模塊可以識別不同應(yīng)用的服務(wù)類型，還可以通過以前的通信及其它應(yīng)用程序分析出狀態(tài)信息。狀態(tài)檢測模塊檢驗(yàn)IP地址、端口以及其它需要的信息以決定通信包是否滿足安全策略。狀態(tài)檢測模塊把相關(guān)的狀態(tài)和狀態(tài)之間的關(guān)聯(lián)信息存儲(chǔ)到動(dòng)態(tài)連接表中并隨時(shí)更新，通過這些數(shù)據(jù)，F(xiàn)ireWall1可以檢測到后繼的通信。狀態(tài)檢測技術(shù)對應(yīng)用程序透明，不需要針對每個(gè)服務(wù)設(shè)置單獨(dú)的代理，使其具有更高的安全性、高性能、更好的伸縮性和擴(kuò)展性，可以很容易把用戶的新應(yīng)用添加到保護(hù)的服務(wù)中去。FireWall1提供的INSPECT語言，結(jié)合FireWall1的安全規(guī)則、應(yīng)用識別知識、狀態(tài)關(guān)聯(lián)信息以及通信數(shù)據(jù)構(gòu)成了一個(gè)強(qiáng)大的安全系統(tǒng)。INSPECT是一個(gè)面向?qū)ο蟮哪_本語言，為狀態(tài)檢測模塊提供安全規(guī)則。通過策略編輯器制定的規(guī)則存為一個(gè)用INSPECT寫成的腳本文件，經(jīng)過編譯生成代碼并被加載到安裝有狀態(tài)檢測模塊的系統(tǒng)上。腳本文件是ASCII文件，可以編輯，以滿足用戶特定的安全要求。OPSECCheckPoint是開放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導(dǎo)者之一。OPSEC允許用戶通過一個(gè)開放的、可擴(kuò)展的框架集成、管理所有的網(wǎng)絡(luò)安全產(chǎn)品。OPSEC通過把FireWall1嵌入到已有的網(wǎng)絡(luò)平臺(tái)（如Unix、NT服務(wù)器、路由器、交換機(jī)以及防火墻產(chǎn)品），或把其它安全產(chǎn)品無縫集成到FireWall1中，為用戶提供一個(gè)開放的、可擴(kuò)展的安全框架。目前已有包括IBM、HP、Sun、Cisco、BAY等超過135個(gè)公司加入到OPSEC聯(lián)盟。企業(yè)級防火墻安全管理FireWall1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個(gè)規(guī)則庫里。規(guī)則庫里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務(wù)類型（HTTP、FTP、TELNET等）、針對該連接的安全措施（放行、拒絕、丟棄或者是需要通過認(rèn)證等）、需要采取的行動(dòng)（日志記錄、報(bào)警等）、以及安全策略執(zhí)行點(diǎn)（是在防火墻網(wǎng)關(guān)還是在路由器或者其它保護(hù)對象上上實(shí)施該規(guī)則）。FireWall1管理員通過一個(gè)防火墻管理工作站管理該規(guī)則庫，建立、維護(hù)安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)檢測模塊的系統(tǒng)上。這些系統(tǒng)和管理工作站之間的通信必須先經(jīng)過認(rèn)證，然后通過加密信道傳輸。FireWall1直觀的圖形用戶界面為集中管理、執(zhí)行企業(yè)安全策略提供了強(qiáng)有力的工具。l 安全策略編輯器：維護(hù)被保護(hù)對象，維護(hù)規(guī)則庫，添加、編輯、刪除規(guī)則，加載規(guī)則到安裝了狀態(tài)檢測模塊的系統(tǒng)上。l 日志管理器：提供可視化的對所有通過防火墻網(wǎng)關(guān)的連接的跟蹤、監(jiān)視和統(tǒng)計(jì)信息，提供實(shí)時(shí)報(bào)警和入侵檢測及阻斷功能。l 系統(tǒng)狀態(tài)查看器：提供實(shí)時(shí)的系統(tǒng)狀態(tài)、審計(jì)和報(bào)警功能。分布的客戶機(jī)/服務(wù)器結(jié)構(gòu)FireWall1通過分布式的客戶機(jī)/服務(wù)器結(jié)構(gòu)管理安全策略，保證高性能、高伸縮性和集中控制。FireWall1由基本模塊（防火墻模塊、狀態(tài)檢測模塊和管理模塊）和一些可選模塊組成。這些模塊可以通過不同數(shù)量、平臺(tái)的組合配置成靈活的客戶機(jī)/服務(wù)器結(jié)構(gòu)。管理模塊包括了圖形用戶界面和管理員定義的相關(guān)管理對象—規(guī)則庫，網(wǎng)絡(luò)對象，服務(wù)、用戶等。防火墻模塊、狀態(tài)檢測模塊以及其它可選模塊用來執(zhí)行安全策略，安裝了這些模塊的系統(tǒng)稱為受保護(hù)對象（Firewalled System），又稱為安全策略執(zhí)行點(diǎn)（Security Enforcement Point）。FireWall1的客戶機(jī)/服務(wù)器結(jié)構(gòu)是完全集成的，只有一個(gè)統(tǒng)一的安全策略和一個(gè)規(guī)則庫，通過一個(gè)單一的防火墻管理工作站，管理多個(gè)裝載了防火墻模塊、狀態(tài)檢測模塊或可選模塊的系統(tǒng)。認(rèn)證（Authentication）遠(yuǎn)程用戶和撥號用戶可以經(jīng)過FireWall1的認(rèn)證后，訪問內(nèi)部資源。FireWall1可以在不修改本地服務(wù)器或客戶應(yīng)用程序的情況下，對試圖訪問內(nèi)部服務(wù)器的用戶進(jìn)行身份認(rèn)證。FireWall1的認(rèn)證服務(wù)集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認(rèn)證會(huì)話。FireWall1提供三種認(rèn)證方法：l 用戶認(rèn)證（User Authentication）：針對特定服務(wù)提供的基于用戶的透明的身份認(rèn)證，服務(wù)限于FTP、TELNET、HTTP、HTTPS、RLOGIN。l 客戶機(jī)認(rèn)證（Client Authentication）：基于客戶機(jī)IP的認(rèn)證，對訪問的協(xié)議不做直接的限制?？蛻魴C(jī)認(rèn)證不是透明的，需要用戶先登錄到防火墻認(rèn)證IP和用戶身份之后，才允許訪問應(yīng)用服務(wù)器?？蛻魴C(jī)不需要添加任何附加的軟件或做修改。當(dāng)用戶通過用戶認(rèn)證或會(huì)話認(rèn)證后，同時(shí)也就已經(jīng)通過客戶機(jī)認(rèn)證。l 會(huì)話認(rèn)證（Session Authentication）：提供基于服務(wù)會(huì)話的的透明認(rèn)證，與IP無關(guān)。采用會(huì)話認(rèn)證的客戶機(jī)必須安裝一個(gè)會(huì)話認(rèn)證代理，訪問不同的服務(wù)時(shí)必須單獨(dú)認(rèn)證。l FireWall1提供多種認(rèn)證機(jī)制供用戶選擇：S/Key，F(xiàn)ireWall1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。地址翻譯（NAT）FireWall1支持三種不同的地址翻譯模式：l 靜態(tài)源地址翻譯：當(dāng)內(nèi)部的一個(gè)數(shù)據(jù)包通過防火墻出去時(shí)，把其源地址（一般是一個(gè)內(nèi)部保留地址）轉(zhuǎn)換成一個(gè)合法地址。靜態(tài)源地址翻譯與靜態(tài)目的地址翻譯通常是配合使用的。l 靜態(tài)目的地址翻譯：當(dāng)外部的一個(gè)數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)部網(wǎng)時(shí)，把其目的地址（合法地址）轉(zhuǎn)換成一個(gè)內(nèi)部使用的地址（一般是內(nèi)部保留地址）。l 動(dòng)態(tài)地址翻譯（也稱為隱藏模式）：把一個(gè)內(nèi)部網(wǎng)的地址段轉(zhuǎn)換成一個(gè)合法地址，以解決企業(yè)的合法IP地址太少的問題，同時(shí)隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，提高網(wǎng)絡(luò)安全性能。內(nèi)容安全FireWall1的內(nèi)容安全服務(wù)保護(hù)網(wǎng)絡(luò)免遭各種威脅，包括病毒、Jave和ActiveX代碼攻擊等。內(nèi)容安全服務(wù)可以通過定義特定的資源對象，制定與其它安全策略類似的規(guī)則來完成。內(nèi)容安全與FireWall1的其它安全特性集成在一起，通過圖形用戶界面集中管理。OPSEC提供應(yīng)用開發(fā)接口（API）以集成第三方內(nèi)容過濾系統(tǒng)。FireWall1的內(nèi)容安全服務(wù)包括：l 利用第三方的防病毒服務(wù)器，通過防火墻規(guī)則配置，掃描通過防火墻的文件，清除計(jì)算機(jī)病毒；l 根據(jù)安全策略，在訪問WEB資源時(shí)，從HTTP頁面剝離Java Applet，ActiveX等小程序及Java，Script等代碼；l 用戶定義過濾條件，過濾URL；l 控制FTP的操作，過濾FTP傳輸?shù)奈募?nèi)容；l SMTP的內(nèi)容安全（隱藏內(nèi)部地址、剝離特定類型的附件等）；l 可以設(shè)置在發(fā)現(xiàn)異常時(shí)進(jìn)行記錄或報(bào)警；l 通過控制臺(tái)集中管理、配置、維護(hù)。連接控制FireWall1的連接控制模塊提供了負(fù)載平衡功能，在提供相同服務(wù)的多個(gè)應(yīng)用服務(wù)器之間實(shí)現(xiàn)負(fù)載分擔(dān)，應(yīng)用服務(wù)器不要求都放在防火墻后面。用戶可選用不同的負(fù)載均衡算法：l Server Load—該方法由服務(wù)器提供負(fù)載均衡算法，需要在應(yīng)用服務(wù)器端安裝負(fù)載測量引擎；l Round Trip—FireWall1利用ping命令測定防火墻到各個(gè)應(yīng)用服務(wù)器之間的循回時(shí)間，選用循回時(shí)間最小者響應(yīng)用戶請求；l Round Robin—FireWall1根據(jù)其記錄表中的情況，簡單地指定下一個(gè)應(yīng)用服務(wù)器響應(yīng)；l Random—FireWall1隨機(jī)選取應(yīng)用服務(wù)器響應(yīng)；l Domain—FireWall1按照域名最近的原則，指定最近的應(yīng)用服務(wù)器響應(yīng)。路由器安全管理l 可以通過FireWall1的管理工作站對企業(yè)范圍內(nèi)的路由器提供集中的安全管理：l 通過圖形用戶界面生成路由器的過濾和配置；l 引入、維護(hù)路由器的訪問控制列表；l 記錄路由器事件（需要路由器支持日志功能）；l 在路由器上執(zhí)行通過圖形用戶界面制定的安全策略。FireWall1可以集中管理以下路由器：l Bay Networks routers, version l Cisco routers, IOS version 9 11l Cisco PIX Firewall，version , l 3Com NetBuilder, version l Microsoft RAS(Steelhead) Routers for Windows NT server  防火墻及防病毒