【正文】 實(shí)現(xiàn)外網(wǎng)訪問(wèn)內(nèi)網(wǎng)（ DNAT） NAT DNAT 策略”界面，點(diǎn)擊“添加”，做訪問(wèn)規(guī)則，然后設(shè)置規(guī)則參數(shù)，填寫(xiě)目標(biāo) IP、目標(biāo)端口，選擇“啟用”，單擊“保存”。 圖 DNAT 策略編輯界面 把外網(wǎng)地址 的 1080 端口映射到 的 80 端口，當(dāng)訪問(wèn) 1080端口時(shí)，防火墻就會(huì)把這個(gè)地址自動(dòng)映射為 80端口，外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的通道被打開(kāi)。 圖 DNAT 策略設(shè)置列表 17 第三章 實(shí)力分析 第一節(jié) 部署實(shí)例 以上都是對(duì)四代防火墻的典型部署方案實(shí)例的分析，然而在隨著科技不斷發(fā)展的今天， IT 領(lǐng)域的變化讓人應(yīng)接不暇，個(gè)人認(rèn)為，由思科提出的云這一詞，讓防火墻的下一代誕生了，云安全概念給反病毒軟件廠商帶來(lái)了新的活力并迅速獲得了業(yè)界的認(rèn)可，各安全廠商都在實(shí)踐著自己的云安全之路。其做法是， 把防火墻升級(jí)到 “ 云 ” 火墻（簡(jiǎn)稱云火墻），實(shí)現(xiàn)動(dòng)態(tài)防范，主動(dòng)安全 。 所謂的云其實(shí)也就是互聯(lián)網(wǎng)，今天的安全問(wèn)題之所以讓人困擾，根源就在于網(wǎng)絡(luò)的主要特征，正從傳輸向著智能化的云計(jì)算演進(jìn)，正是這一變化，使得新的安全威脅變得更加難以防范。越來(lái) 越大的互聯(lián)網(wǎng)正在逐步具備“智能”與“感知”的特性，而這些特性，也恰恰是今天的信息安全產(chǎn)品所需要具備的，也只有具備了這些特性，新一代的信息安全防護(hù)體系，才能真正發(fā)揮作用，回顧防火墻的發(fā)展史，從最早的軟件防火墻，發(fā)展到硬件防火墻，盡管性能和功能上都有很大提升，但其最基本的原理大多仍然是靜態(tài)的地指表，很顯然，對(duì)于不斷變化的僵尸網(wǎng)絡(luò)，這樣的防火墻即使性能再高，也難以施展，未來(lái)應(yīng)該屬于新一代的防火墻—— 云火墻。 圖 火云墻部署圖 18 第二節(jié) 火云墻與防火墻主要特點(diǎn) （ 1）云檢測(cè)：云檢測(cè)，就是 IPS 的全球聯(lián)動(dòng)。云火墻提供 全球安全威脅實(shí)時(shí)視圖和電子郵件的信用報(bào)告服務(wù)。所提供的最新惡意攻擊信息，云火墻會(huì)實(shí)時(shí)更新到 IPS 中。反過(guò)來(lái)，如果 IPS 發(fā)現(xiàn)了新的可疑攻擊行為， IPS 也會(huì)在第一時(shí)間把特征數(shù)據(jù)同步給云火墻。 （ 2）防木馬：云火墻可以自主的、自動(dòng)的、自適應(yīng)的懷疑和檢查內(nèi)網(wǎng)始發(fā)的流量，不輕易相信任何流量（盡管他來(lái)自于內(nèi)網(wǎng)），這就是網(wǎng)絡(luò)這個(gè)江湖的基本生存法則。自動(dòng)屏蔽這些惡意的訪問(wèn)連接，讓內(nèi)網(wǎng)的僵尸或者傀儡主機(jī)、掛馬程序永遠(yuǎn)的失去與母體的聯(lián)系，最終等待被隨后更新的殺毒軟件殺死！ （ 3）云接入：云接入，就是 SSL VPN 接入，云接入提 供了基于角色的安全控制。有些廠商的 SSL VPN 產(chǎn)品只是 VPN 接入設(shè)備，不支持防火墻、 IPS 功能，無(wú)法實(shí)現(xiàn)安全深入檢測(cè)，是不安全的 VPN 接入。沒(méi)有防火墻與 IPS 功能的 VPN 接入產(chǎn)品如同鎖了后門卻開(kāi)著前門， Inter 上類似 kiosks 的信息查詢終端將威脅其內(nèi)網(wǎng)安全。 （ 4）云監(jiān)控：云火墻實(shí)現(xiàn)了云監(jiān)控。云火墻是唯一支持 NetFlow 的防火墻。NetFlow 把防火墻變成了網(wǎng)元設(shè)備。 Netflow V9 實(shí)現(xiàn)了 NOC/SOC 二合一 以上特點(diǎn)，充分說(shuō)明了云火墻這一新技術(shù)在安全領(lǐng)域上起到了更為重要的作用，云火 墻不僅包涵了傳統(tǒng)意義防火墻的優(yōu)點(diǎn)，再結(jié)合自身的優(yōu)點(diǎn)，可謂是防火墻中的佼佼者。然而，在實(shí)際應(yīng)用中，這一防火墻新技術(shù)，并且通過(guò)新一代云火墻系統(tǒng)，企業(yè)可以不用一下子購(gòu)買服務(wù)器、防火墻等許多硬件設(shè)備，可以直接使用云火墻等安全服務(wù)，這將為企業(yè)，特別是中小企業(yè)節(jié)省很多成本，這又是它一大優(yōu)點(diǎn)。云火墻最本質(zhì)的特點(diǎn)，就是它的動(dòng)態(tài)化和智能化，而其技術(shù)實(shí)現(xiàn)的途徑，就是充分利用云進(jìn)行動(dòng)態(tài)實(shí)時(shí)的威脅信息集中采樣與分享，從而最終實(shí)現(xiàn)主動(dòng)應(yīng)變的安全服務(wù)。我們可將云火墻劃歸到云安全，云安全的實(shí)現(xiàn)方式是通過(guò)分布在各地的計(jì)算機(jī)終端來(lái)捕捉最新可 疑的病毒信息，并及時(shí)反饋到安全軟件廠商進(jìn)行代碼解析，將分析結(jié)果保存于病毒代碼庫(kù)并及時(shí)將更新計(jì)算機(jī)終端用戶代碼庫(kù)，來(lái)迅速阻止病毒的擴(kuò)散和蔓延。云火墻與這個(gè)差不多，通過(guò)部署在全球的終 19 端傳感器，收集全球各地的網(wǎng)絡(luò)信息并加以分析，從而給用戶提供防護(hù)功能。不過(guò)，盡管云火墻相對(duì)傳統(tǒng)的防火墻技術(shù)有了很大的提升，但是距離建立起一套真正的現(xiàn)代信息安全防護(hù)體系還有著相當(dāng)?shù)木嚯x，不過(guò)，最重要的是，我們可以從中看到邁向未來(lái)安全的關(guān)鍵路標(biāo)，而這也正是云安全的本質(zhì)。 第三節(jié) 內(nèi)網(wǎng)安全的架構(gòu)與實(shí)現(xiàn)效果驗(yàn)證 網(wǎng)絡(luò)訪問(wèn)時(shí)留下的網(wǎng)絡(luò)日志： 圖 網(wǎng)頁(yè)瀏覽網(wǎng)絡(luò)日志列表 監(jiān)控策略的使用： 圖 監(jiān)控策略列表 由上面這些圖片可以看出，方案中的網(wǎng)絡(luò)安全架構(gòu)均能實(shí)現(xiàn)。 20 第四章 防火墻典型部署方案分析 第一節(jié) 隔離內(nèi)外網(wǎng)（全部隔離）部署方案 圖 隔離內(nèi)外網(wǎng)（全部隔離）部署 第二節(jié) 服務(wù)器防毒技術(shù) 服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，無(wú)法啟動(dòng)，整個(gè)網(wǎng)絡(luò)就會(huì)陷于癱瘓。目前基于服務(wù)器的防治病毒方法主要以 NLM 可裝載模塊技術(shù)進(jìn)行程序設(shè)計(jì)，以服務(wù)器為基礎(chǔ)，提供實(shí)時(shí)掃描病毒能力。基于服務(wù)器的防毒技術(shù)一般具有以下功能： ① 服務(wù)器所有 文件掃描。對(duì)服務(wù)器中的所有文件集中檢查是否帶毒，若有帶毒文件，則提供 Supervisory 等幾種處理方法； ② 實(shí)時(shí)在線掃描。全天 24 小時(shí)臨近網(wǎng)絡(luò)中是否有帶毒文件進(jìn)入服務(wù)器； ③ 服務(wù)器掃描選擇。系統(tǒng)管理員（ Supervisor）定期檢查服務(wù)器中是否帶毒，可按月、周或天集中掃描一下網(wǎng)絡(luò)服務(wù)器； 21 ④ 自動(dòng)報(bào)告功能及病毒存檔； ⑤ 工作站掃描?；诜?wù)器的防病毒軟件不能保護(hù)本地工作站的硬盤，有效方法是在服務(wù)器上安裝防毒軟件，同時(shí)在上網(wǎng)的工作站內(nèi)存中調(diào)入一個(gè)常駐掃毒程序，實(shí)時(shí)檢測(cè)在工作站中運(yùn)行的程序； ⑥ 對(duì)用戶 開(kāi)放的特征接口，對(duì)用戶遇到的帶毒文件，經(jīng)過(guò)病毒特征分析程序，自動(dòng)將病毒特征加入特征庫(kù)，以隨時(shí)增強(qiáng)抗毒能力。 第三節(jié) 網(wǎng)絡(luò)環(huán)境下的病毒防護(hù) 安裝和維護(hù)整個(gè) PC系統(tǒng)的防毒軟件是一項(xiàng)昂貴和復(fù)雜的工作。因此，所有針對(duì)網(wǎng)絡(luò)環(huán)境的防毒方案都應(yīng)該提供從一個(gè)網(wǎng)絡(luò)工作站對(duì)防毒軟件進(jìn)行安裝和維護(hù)的設(shè)施。我們應(yīng)該可以對(duì)所有網(wǎng)絡(luò)元素的防毒軟件進(jìn)行安裝、升級(jí)、設(shè)置以及監(jiān)視它們的防毒情況。 一個(gè)好的網(wǎng)絡(luò)防毒軟件，除了能有效殺除病毒外。 我 認(rèn)為它還必須有以下特點(diǎn)： *自動(dòng)為網(wǎng)絡(luò)服務(wù)器安裝防毒軟件：你只需在服務(wù)器列表中選擇需要保護(hù)的服務(wù) 器 毒軟件就會(huì)自動(dòng)安裝常駐內(nèi)存病毒保護(hù)軟件。 自動(dòng)為網(wǎng)絡(luò)工作站安裝防毒軟件：選擇一個(gè)服務(wù)器，那么所有與這個(gè)服務(wù)器相連的工作站都會(huì)馬上完成安裝。防毒軟件會(huì)確保所有工作站都有常駐內(nèi)存保護(hù)，既使某些工作站在安裝過(guò)程中沒(méi)有連到網(wǎng)絡(luò)上。 自動(dòng)更新服務(wù)器和工作站上的防毒軟件：防毒程序必須能自動(dòng)進(jìn)行更新，并將最新的升級(jí)文件自動(dòng)分發(fā)到網(wǎng)絡(luò)上的每個(gè)工作站。 設(shè)置服務(wù)器和工作站上的防毒軟件：可以設(shè)置定期分析、掃描某種擴(kuò)展名的文件、 CPU 占用等級(jí)、報(bào)警信息的接收者等等。 監(jiān)視整個(gè)網(wǎng)絡(luò)的防毒動(dòng)向：防毒軟件還必須可以顯示所有服務(wù)器和 工作站的防毒情況報(bào)告。有必要的話可在服務(wù)器或者主交換機(jī)上設(shè)置流量控制，因?yàn)楹枚嗖《臼且詳?shù)據(jù)包形式傳送的 。 22 結(jié) 論 隨著中小企業(yè)信息化戰(zhàn)略的推進(jìn)，國(guó)內(nèi)企業(yè)的信息化平臺(tái)將進(jìn)入高速發(fā)展的階段。與此同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也被越來(lái)越多的企業(yè)所重視，垃圾郵件、企業(yè)機(jī)密泄露、網(wǎng)絡(luò)資源濫用、病毒泛濫以及網(wǎng)絡(luò)攻擊成為企業(yè)最為頭疼的網(wǎng)絡(luò)安全問(wèn)題。如何讓企業(yè)擺脫網(wǎng)絡(luò)安全的威脅，是中小企業(yè)在信息化建設(shè)過(guò)程中首要解決的問(wèn)題。 網(wǎng)絡(luò)設(shè)計(jì)技術(shù)非常復(fù)雜而且更新很快，因此我們必須根據(jù)實(shí)際情況具體分析。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題 ，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。 然后根據(jù)總體評(píng)估的結(jié)果，寫(xiě)出評(píng)估分析報(bào)告。如經(jīng)過(guò)對(duì)管理制度的評(píng)估、物理安全的評(píng)估、計(jì)算機(jī)系統(tǒng)安全評(píng)估、網(wǎng)絡(luò)與通信安全的評(píng)估、日志與統(tǒng)計(jì)安全的評(píng)估、安全保障措施的評(píng)估等六個(gè)方面的評(píng)估，我們可以得出結(jié)論，該企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)的安全存在的問(wèn)題以 及不足還有優(yōu)點(diǎn)。下面進(jìn)行詳細(xì)說(shuō)明，并提出相應(yīng)的修改意見(jiàn)。 23 結(jié)束語(yǔ) 由于互聯(lián)網(wǎng)絡(luò)的開(kāi)放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對(duì)其訪問(wèn)與處理的分布性特點(diǎn)，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。實(shí)際上，保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的各項(xiàng)標(biāo)準(zhǔn)以形成合理的評(píng)估準(zhǔn)則，更重要的是必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)的基本原則，分析網(wǎng)絡(luò)系統(tǒng)的各個(gè)不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢 。 在我學(xué)習(xí)和撰寫(xiě)論文期間，朝 夕相處共同生活學(xué)習(xí)的同學(xué)們的熱情幫助。特別要感謝同窗室友長(zhǎng)期以來(lái)對(duì)我的無(wú)私幫助，沒(méi)有他們，我的論文無(wú)法順利完成。 做畢業(yè)實(shí)際就需要把平時(shí)學(xué)到的東西在復(fù)習(xí)一遍，因?yàn)槠綍r(shí)上課還有課后自己的學(xué)習(xí)，都主要在基于理論方面的，雖然也做很多實(shí)驗(yàn)，但當(dāng)把畢業(yè)設(shè)計(jì)當(dāng)作一個(gè)實(shí)際的工程來(lái)做的時(shí)候就會(huì)發(fā)現(xiàn)很多的問(wèn)題，多虧了張老師和同學(xué)們的幫助，使我解決了困惑自己的很多問(wèn)題。讓我更好的將理論和實(shí)踐相結(jié)合，鞏固了以前所學(xué)的知識(shí)，更加深了我對(duì)網(wǎng)絡(luò)的理解，增強(qiáng)了自己的動(dòng)手能力，對(duì)以后的工作學(xué)習(xí)有了更大的幫助。最后完成了此次畢業(yè)設(shè)計(jì)，同時(shí)也 為以后工作做了很好的準(zhǔn)備。 24 參考文獻(xiàn) [1]. 劉曉輝 .網(wǎng)絡(luò)安全設(shè)計(jì)、配置與管理大全 .電子工業(yè)出版社， 2021 年第一版 [2]. 崔宇鵬 .校園網(wǎng)安全防御策略研究 .現(xiàn)代企業(yè)文化， 1999 年第一版 [3]. 閆宏生，王雪莉，楊軍 .計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)．電子工業(yè)出版社， 2021年第一版