【文章內(nèi)容簡介】 0 家庭醫(yī)生 :吃止瀉藥最好配點小米湯！小米湯能保護胃氣，減少苦寒藥對胃腸的刺激，如用其送服止瀉藥，可減輕胃腸負擔。 ☆ 產(chǎn)品優(yōu)勢： a） 信息源來源與中國最大的專業(yè)媒體－《家庭醫(yī)生》雜志社的獨家授權提供 。 b） 能夠滿足家庭用戶對 健康類產(chǎn)品的需求。 c）營銷力度強大，廣告，電臺，電視臺，服務網(wǎng)站，娛樂網(wǎng)站 。 11 第 四 部分 技術實現(xiàn)方案 12 整個網(wǎng)絡使用兩道防火墻體系分為內(nèi)外兩塊，兩道防火墻之間為?；饏^(qū)。最前面防火墻使用兩個服務器實 現(xiàn)，一個為主防火墻，一個為冗余，在主防火墻出現(xiàn)故障的時候，將自動切換為冗余防火墻。后面的一個防火墻主要是在四層交換機上做訪問控制列表來實現(xiàn)。第一道防火墻的作用是僅允許指定端口號的連接請求通過，減少來自其他非指定端口號的攻擊行為。第二道防火墻是僅允許位于停火區(qū)內(nèi)的服務器以規(guī)定的端口號向內(nèi)部網(wǎng)絡建立連接，或由內(nèi)部網(wǎng)絡服務器向?；饏^(qū)內(nèi)代理類網(wǎng)關服務器發(fā)送查詢信息。 兩道防火墻的采用充分隔絕了內(nèi)部網(wǎng)絡與外部網(wǎng)絡，因此工作效率及安全強度都比較高。 各個服務器功能說明 服務器、郵件中繼服務器：公司網(wǎng)站、郵件服務器 。 短信、游戲類服務器：這類服務器是公司內(nèi)容服務器，公司所提供的所有業(yè)務的功能都由它們來實現(xiàn)。如：移動短信網(wǎng)關、聯(lián)通移動網(wǎng)關、數(shù)據(jù)庫服務器、分發(fā)服務器、內(nèi)容服務器等等。 身份鑒別服務器：負責用戶的身份認證。 數(shù)據(jù)庫服務類服務器：這類服務器主要是后臺數(shù)據(jù)庫支持 計費、日志管理類終端：這些機器是后臺管理的終端，管理員使用這些終端對整個系統(tǒng)的日志、計費等等事項進行日常的維護和管理。 主要設備： 設備產(chǎn)家和設備名 具體配置 數(shù)量 CISCO 3640 路由器 1 CISCO Catalyst 4006 交換機 1 CISCO Catalyst 2924 2 DELL 2400 服務器 P4 2/ 2GMEM/73GSCSI 6 DELL 1600 服務器 P4 2/ 2GMEM/73GSCSI 8 SUN E250服務器 4GMEM/36GSCSI * 4 1 超微 T200服務器 P4 2/ 2GMEM/36GSCSI 1 13 信息安全措施 現(xiàn)今的網(wǎng)絡安全的威脅大體可分為兩種：一是對網(wǎng)絡數(shù)據(jù)的威脅； 二是對網(wǎng)絡設備的威脅。這些威脅可能來源于各種各樣的因素： 可能是有 意的，也可能是無意的；可能是來源于企業(yè)外部的， 也可能是內(nèi)部人員造成的；可能是人為的，也可能是自然力造成的。 總結起來，大致有下面幾種主要威脅： A、人為、自然力造成的數(shù)據(jù)丟失、設備失效、線路阻斷。 B、人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失。 C、來自外部和內(nèi)部人員的惡意攻擊和入侵。 前面兩種的預防與傳統(tǒng)電信網(wǎng)絡基本相同。 最后一種是當前 Inter網(wǎng)絡所面臨的最大威脅，是電子商務、政府上網(wǎng)工程等順利發(fā)展的最大障礙，也是企業(yè)網(wǎng)絡安全策略最需要解決的問題。 網(wǎng)絡安全是一個復雜的問題，只依靠 1～ 2種網(wǎng) 絡安全產(chǎn)品是不能解決問題的，必須綜合應用多種安全技術，并將其功能有機地整合到一起，進而構成統(tǒng)一的網(wǎng)絡安全基礎設施。 入侵檢測系統(tǒng) 本系統(tǒng)被部署在網(wǎng)絡服務器所處的 DMZ區(qū)，用來監(jiān)控來自互聯(lián)網(wǎng)和內(nèi)網(wǎng)的網(wǎng)絡流量。 負責監(jiān)控的網(wǎng)絡探測器 Snort使用無 IP地址的網(wǎng)卡進行監(jiān)聽，以保證 NIDS自身的安全 。 通過另一塊網(wǎng)卡接入內(nèi)網(wǎng)，并為其分配內(nèi)網(wǎng)所使用的私有 IP地址，以便從內(nèi)網(wǎng)訪問分析控制臺程序 ACID。 通過啟用 Apache 服務器的用戶身份驗證和訪問控制機制，并結合 SSL，保證系統(tǒng)的訪問安全。 首次運行時，控制臺會提示用戶對入侵事件數(shù)據(jù)庫進行擴展，按照提示擴展完畢后，控制臺主界面出現(xiàn)。如圖 1所示。 14 圖 1 一天之內(nèi)的報警頻率 主界面里顯示的信息包括：觸發(fā)安全規(guī)則的網(wǎng)絡流量中各種協(xié)議所占的比例、警報的數(shù)量、入侵主機和目標主機的 IP地址及端口號等。 ACID控制臺還提供強大的搜索功能，用戶可根據(jù)時間、 IP地址、端口號、協(xié)議類型以及數(shù)據(jù)凈荷（ payload）等多種條件的靈活組合，在入侵事件數(shù)據(jù)庫中進行查詢，以幫助網(wǎng)管人員進行分析。 入侵特征庫是否豐富對一個 NIDS非常重要，本系統(tǒng)同時支持多種有影響的 入侵特征庫，包括 CERT/CC、 arachNIDS 和 CVE等。在警報中除了列出入侵事件的命名外，還有到相應入侵特征庫的 Web鏈接，如果某個警報存在多個命名，則同時予以列出，以便參考。網(wǎng)絡管理人員可通過這些鏈接去查找在線入侵特征庫，以便獲得關于特定入侵事件更加詳細的信息和相應的解決辦法。 應用 ACID提供的制圖功能可以直觀地對網(wǎng)絡入侵事件進行分析，而生成的圖表又可進一步豐富網(wǎng)管人員編制的報告。例如 ACID分析控制臺可以按用戶指定的時間段生成入侵事件的頻率圖，如圖 2所示。 15 圖 2 一周報警頻率 防火墻的 安全措施 防電子欺騙術 防電子欺騙術功能是保證數(shù)據(jù)包的 IP地址與網(wǎng)關接口相符，防止通過修改 IP地址的方法進行非授權訪問，對可疑信息進行鑒別，并向網(wǎng)絡管理員報警。 網(wǎng)絡地址轉(zhuǎn)移 地址轉(zhuǎn)移是對 Inter隱藏內(nèi)部地址，防止內(nèi)部地址公開。這一功能可以克服 IP尋址方式的諸多限制，完善內(nèi)部尋址模式。把未注冊 IP 地址映射成合法地址，就可以對Inter 進行訪問。 開放式結構設計 開放式結構設計使得防火墻與相關應用程序和外部用戶數(shù)據(jù)庫的連接相當容易，典型的應用程序連接如 財務軟件包、病毒掃描、登錄分析等。 路由器安全管理程序 它為路由器提供集中管理和訪問列表控制。 數(shù)據(jù)備份 在保證其他安全措施都到位以后，我們?nèi)匀惶岢鰧ο到y(tǒng)需要有自動的備份系統(tǒng)解決方案。從而在任何時候，都可以在系統(tǒng)出現(xiàn)故障的時候，把系統(tǒng)恢復到故障以前的狀態(tài)。 16 備份有三種方式： 本地自動備份 異地自動備份 遠程手動備份 17