【正文】 和 Advanced Server）VMware ESX Server/ESXi 電源性能電源類型冗余電源電源數量2個電源電壓220V電源功率1975W表5 IBM System x3850 X5(7145N12)詳細參數 IP地址、VLAN規(guī)劃圖19 IP地址、VLAN規(guī)劃 網絡安全策略 建立防火墻網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。 在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。 網絡保密措施（1）堵住服務器操作系統安全漏洞任何網絡操作系統的安全性都是相對的，無論是UNIX還是NT都存在安全漏洞，他們的站點會不定期發(fā)布系統補丁，系統管理員應定期下載，及時堵住系統漏洞。（2）注意保護系統管理員的密碼①用戶名和密碼應當設置合理，口令應大小寫混合，最好加上特殊字符和數字，至少不能少于16位，同時應定期修改；②口令不得以明文方式存放在系統中；③建立帳號鎖定機制，當同一帳號的密碼校驗錯誤若干次時，自動斷開連接并鎖定該帳號。（3）關閉不必要的服務端口。謹慎開放缺乏安全保障的端口：很多黑客攻擊程序是針對特定服務和特定服務端口的。①常用服務端口有：WEB：80，SMTP：25，POP3：110，可根據情況選擇關閉；②比較危險(很可能存在系統漏洞)的服務端口：TELNET：23，FINGER：79，建議關閉掉。③對必須打開的服務(如SQL數據庫等)進行安全檢查。（4）制定完善的安全管理制度定期使用網絡管理軟件對整個局域網進行監(jiān)控，發(fā)現問題及時防范。定期使用黑客軟件攻擊自己的系統，以便發(fā)現漏洞，及時補救。謹慎利用共享軟件，不應隨意下載使用共享軟件。（5）注意WEB服務的安全問題WEB編程人員編寫的CGI、ASP、PHP等程序存在的問題，會暴露系統結構或使服務目錄可讀寫，這樣黑客入侵的發(fā)揮空間就更大。在給WEB服務器上傳前，要進行腳本安全檢查。（6）警惕DOS攻擊和DDOS攻擊DOS攻擊和DDOS攻擊可以使網站系統失去與互聯網通信的能力，甚至于系統崩潰。建議：如果有條件允許的話，可以使用具有DoS和DdoS防護的防火墻。 數據安全性和完整性措施數據安全性和完整性就是數據的安全技術為了解決上述問題，就必須利用另外一種安全技術數字簽名PKI（Publie Key Infrastucture）技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術，他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。它是認證機構（CA）、注冊機構（RA）、策略管理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復、撤消系統等功能模塊的有機結合。 （1）認證機構 CA（Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網絡用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不僅與密碼學有關系，而且與整個PKI系統的構架和模型有關。此外，靈活也是CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標準，能夠很好地和其他廠家的CA產品兼容。 （2）注冊機構 RA（Registration Authorty）是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統的安全、靈活，就必須設計和實現網絡化、安全的且易于操作的RA系統。 （3）策略管理 在PKI系統中，制定并實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求，并且能通過CA和RA技術融入到CA 和RA的系統實現中。同時，這些策略應該符合密碼學和系統安全的要求，科學地應用密碼學與網絡安全的理論，并且具有良好的擴展性和互用性。 （4）密鑰備份和恢復 為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統強健性、安全性、可用性的重要因素。 （5）證書管理與撤消系統 證書是用來證明證書持有者身份的電子介質，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現一個已頒發(fā)證書不再有效的情況這就需要進行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的發(fā)布機制撤消證書或采用在線查詢機制，隨時查詢被撤消的證書。 國外的PKI應用已經開始，開發(fā)PKI的廠商也有多家。許多廠家，如Baltimore,Entrust等推出了可以應用的PKI產品，有些公司如VerySign等已經開始提供PKI服務。網絡許多應用正在使用PKI技術來保證網絡的認證、不可否認、加解密和密鑰管理等。盡管如此，總的說來PKI技術仍在發(fā)展中。按照國外一些調查公司的說法，PKI系統僅僅還是在做示范工程。IDC公司的Internet安全知深分析家認為：PKI技術將成為所有應用的計算基礎結構的核心部件，包括那些越出傳統網絡界限的應用。B2B電子商務活動需要的認證、不可否認等只有PKI產品才有能力提供這些功能。 網絡安全策略與建議（1）根據酒店網絡安全的策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核IP數據包的能容包括：協議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網對酒店內不必要的、非法的訪問，總體上遵從“不被允許的服務就被禁止”的原則。（2）將防火墻配置成過濾掉內網地址進入路由器的IP包，這樣可以防患原源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內部網絡的IP包，防止內部網絡發(fā)起的對外攻擊。（3）在防火墻上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。（4）定期查看防火墻訪問日志，及時發(fā)現攻擊行為和不良的上網記錄。（5）允許通過配置網卡對防火墻管理的安全性。第 28