【正文】 ratelimit output accessgroup 102 256000 8000 8000 conformaction transmit exceedaction dropAccesslist 102 permit icmp any any echoAccesslist 102 permit icmp any any echoreplyInterface xxRetelimit input accessgroup 103 8000 8000 8000 conformaction transmit exceedaction dropAccesslist 103 deny tcp any host established Accesslist 103 permit tcp any host Interface xxIp accessgroup 101 inAccesslist 101 deny ip anyAccesslist 101 deny ip anyAccesslist 101 deny ip anyAccesslist 101 permit ip any any絕對安全與可靠的信息系統(tǒng)并不存在。一個所謂的安全系統(tǒng)實際上應該是使入侵者花費不可接受的時間與金錢，并且承受很高的風險才能闖入系統(tǒng)。安全性的增加通常導致企業(yè)費用的增長，這些費用包括系統(tǒng)性能下降、系統(tǒng)復雜性增加、系統(tǒng)可用性降低和操作與維護成本增加等等。安全是一個過程而不是目的。弱點與威脅隨時間變化。安全的努力依賴于許多因素，例如職員的調(diào)整、新業(yè)務應用的實施、新攻擊技術與工具的導入和安全漏洞。在具體進行計算機網(wǎng)絡的安全設計、規(guī)劃時，一般應遵循以下原則：1） 需求、風險、代價平衡分析的原則：對任一網(wǎng)絡來說，絕對安全難以達到，也不一定必要。對一個網(wǎng)絡要進行實際分析，對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護成本、被保護信息的價值必須平衡，價值僅1萬元的信息如果用5萬元的技術和設備去保護是一種不適當?shù)谋Ｗo。2） 綜合性、整體性原則：運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡包括個人、設備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們在網(wǎng)絡安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。3） 一致性原則：這主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致。實際上，在網(wǎng)絡建設之初就考慮網(wǎng)絡安全對策，比等網(wǎng)絡建設好后再考慮，不但容易，而且花費也少得多。4） 易操作性原則：安全措施要由人來完成，如果措施過于復雜，對操作人員的要求過高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)的正常運行。5） 適應性、靈活性原則：安全措施必須能隨著網(wǎng)絡性能及安全需求的變化而變化，要容易適應、容易修改，并能切合系統(tǒng)的狀況，滿足分階段實施的要求。網(wǎng)絡安全是一個循序漸進的過程，不可能一蹴而就。所以，要求我們首先定位關鍵資源和關鍵的安全風險，以此為基點，先對關鍵資源和高危風險進行保護， 然后按照發(fā)散性的思路進行縱深層面的安全分析和擴展保護。目前內(nèi)網(wǎng)網(wǎng)絡系統(tǒng)中最為迫切的安全需求包括病毒防御、網(wǎng)絡邊界防御、關鍵業(yè)務系統(tǒng)保護、應用系統(tǒng)保護和基本安全管理制度實現(xiàn)。通過這些安全產(chǎn)品的部署和安全機制的實現(xiàn)，主要解決以下安全問題：216。 通用安全防護，如對病毒的檢測，移動代碼過濾等。216。 內(nèi)外網(wǎng)絡系統(tǒng)間的入侵檢測、信息過濾（惡意代碼、非法信息的傳播）。216。 內(nèi)部人員濫用權(quán)利，有意犯罪，越權(quán)訪問機密信息或惡意篡改等問題。216。 內(nèi)外部人員針對網(wǎng)絡基礎設施、主機系統(tǒng)和應用服務的各種攻擊，造成網(wǎng)絡和系統(tǒng)服務不可用、信息泄密、數(shù)據(jù)被篡改等。216。 缺少必要的安全管理制度來保證系統(tǒng)安全的實現(xiàn)。針對這些安全問題，我們可以采用的安全防護技術包括：病毒防御 － 企業(yè)級防病毒系統(tǒng)內(nèi)網(wǎng)網(wǎng)絡系統(tǒng)中應該部署網(wǎng)絡級防病毒軟件，實現(xiàn)統(tǒng)一、跨平臺的分級管理，即：管理策略、病毒特征代碼可以進行統(tǒng)一的管理和分發(fā)，并可以實現(xiàn)分級管理。對病毒的防御不應該僅僅停留在查殺病毒和將病毒抵御在系統(tǒng)之外。更高層次的病毒防御目標是對病毒感染、發(fā)作、爆發(fā)的追蹤和控制。從紅色代碼、nimda等蠕蟲病毒開始，新型的病毒已經(jīng)表現(xiàn)出一些新的特征，如利用網(wǎng)絡快速傳播、利用系統(tǒng)漏洞進行感染和結(jié)合黑客手段等，因此在病毒爆發(fā)時，如果我們不能對病毒的傳播源和傳播途徑進行控制，勢必無法完全防范病毒的發(fā)作。 內(nèi)網(wǎng)系統(tǒng)設計的安全防護系統(tǒng)主要考慮以下幾個方面：1) 整體和各級網(wǎng)絡結(jié)構(gòu)的正確規(guī)劃，網(wǎng)絡中設備的正確配置；2) 整體安全規(guī)范制度的確立，各級系統(tǒng)進行信息進行時需要正確依照安全通訊規(guī)則；3) 數(shù)據(jù)傳輸?shù)囊恢滦?、完整性以及保密性，確保數(shù)據(jù)在各級網(wǎng)絡中傳輸?shù)陌踩?，以及明確各級信息的重要程度與不可否認性；4) 網(wǎng)絡安全防護，即數(shù)據(jù)出入各級網(wǎng)絡的安全檢查以及網(wǎng)絡內(nèi)部數(shù)據(jù)傳輸?shù)陌踩珜徲嬇c管理如，安全網(wǎng)關，入侵檢測系統(tǒng)，網(wǎng)絡審計等技術的實施。5) 關鍵設備的重點保護，即對于承擔系統(tǒng)中重要工作如，數(shù)據(jù)計算，數(shù)據(jù)存儲，信息傳輸?shù)确掌鬟M行有針對性的系統(tǒng)安全操作規(guī)則的制定；6) 人員管理，對于使用系統(tǒng)的所有人員進行統(tǒng)一管理，明確劃分其在不同網(wǎng)絡中的職責權(quán)力；7) 通用安全防護，如對個人PC機的病毒檢測，移動代碼過濾等。網(wǎng)絡安全是一個循序漸進的過程，不可能一蹴而就。所以，本著首先定位關鍵資源，然后以主動保護關鍵資源為基點，先對關鍵資源進行保護, 然后按照發(fā)散性的思路進行縱深層面的安全分析和擴展保護。216。 信息系統(tǒng)安全與保密的“木桶原則”：對信息均衡、全面地進行安全保護。216。 信息安全系統(tǒng)的“整體性原則”：包括安全防護、監(jiān)測和應急恢復。216。 信息安全系統(tǒng)的“有效性與實用性”原則：不影響系統(tǒng)正常運行和合法用戶的操作活動。216。 信息安全系統(tǒng)的“安全性評價”原則：實用安全性與用戶需求和應用環(huán)境緊密相關。 216。 信息安全系統(tǒng)的“等級性”原則 216。 信息安全系統(tǒng)的“動態(tài)化”原則：引入盡可能多的可變因素，并具有良好的擴展性。216。 設計為本原則：安全與保密系統(tǒng)的設計應與網(wǎng)絡設計相結(jié)合，即在網(wǎng)絡進行總體設計時考慮安全系統(tǒng)的設計，二者合二為一。216。 自主和可控性原則：解決網(wǎng)絡安全產(chǎn)品的自主權(quán)和自控權(quán)問題，建立我們自主的網(wǎng)絡安全產(chǎn)品和產(chǎn)業(yè)。 216。 權(quán)限分割、互相制約、最小化原則：實現(xiàn)權(quán)限最小原則。216。 有的放矢、各取所需原則：考慮性能價格的平衡，根據(jù)不同的網(wǎng)絡系統(tǒng)，側(cè)重不同求的安全需求。、分階段實現(xiàn)安全建設安全產(chǎn)品的部署應該是一個有步驟、分階段的過程，因此內(nèi)網(wǎng)的信息安全系統(tǒng)設計了三個階段的建設過程。216。 在安全建設初期，我們考慮立竿見影的安全效果，著重保護重點資產(chǎn)。因此關鍵服務器和網(wǎng)絡主干設備等是我們考慮的重點。在這個階段，防火墻、入侵檢測和防病毒等技術是需要優(yōu)先考慮的技術?？蛻舳说谋Ｗo側(cè)重在防病毒和終端用戶管理方面，隨著安全管理的需求增加，我們建議考慮建立一個基本的安全管理制度。216。 在安全建設中期，我們考慮關鍵服務器、客戶端和網(wǎng)絡主干設備的進一步保護。漏洞掃描技術和終端安全管理系統(tǒng)，安全管理制度的進一步完善是本階段的工作重點，安全審計技術也為安全管理制度的落實提供了技術上的保證?？蛻舳说谋Ｗo也是本階段的重點。在內(nèi)網(wǎng)的信息系統(tǒng)運行了一至兩年后，各種應用基本趨于完善，業(yè)務流程也基本穩(wěn)定，建議考慮建設CA認證系統(tǒng)，強調(diào)對客戶端的完整管理和保護。216。 最后，在整個信息系統(tǒng)允許3至5年后，整個信息系統(tǒng)的運行已經(jīng)比較成熟，系統(tǒng)管理員對于整個網(wǎng)絡架構(gòu)有了深入的理解，網(wǎng)絡設備、安全產(chǎn)品的數(shù)量也不斷增加。我們建議在這個階段考慮實現(xiàn)完整的安全生命周期和建設統(tǒng)一的安全管理平臺。完整的安全生命周期遵循安全的動態(tài)性原則。安全統(tǒng)一管理平臺實現(xiàn)對所有安全設備和網(wǎng)絡設備的單點、集中管理，并在更高的層面上接收各種安全事件對這些事件進行深層的分析，統(tǒng)計和關聯(lián)，提供處理方法和建議，實現(xiàn)專家分析系統(tǒng)。完整的安全生命周期應該是由評估、檢測、預防和管理幾個部分組成的動態(tài)系統(tǒng)。數(shù)量眾多的設備、系統(tǒng)和應用是導致安全隱患不斷出現(xiàn)的根本原因，我們不能指望通過一次的安全建設就達到完全的安全保護效果。安全檢測、預防和管理可以通過入侵檢測、防火墻等手段實現(xiàn)，安全評估則可以通過漏洞掃描工具和人工評估的方式實現(xiàn)。因此我們建議在項目建設的中期或后期采用安全評估和安全加固服務，在漏洞掃描系統(tǒng)供管理員日常對系統(tǒng)進行安全掃描的基礎上，根據(jù)掃描報告的加固建議進行安全隱患修復，還通過人工服務的方式進行安全隱患的發(fā)現(xiàn)和修復。 網(wǎng)絡區(qū)域劃分與安全隱患作為一個整體的安全防護體系，我們首先對內(nèi)網(wǎng)信息系統(tǒng)進行區(qū)域劃分，針對不同區(qū)域的特點來部署不同的安全技術和安全產(chǎn)品。同時，各個不同區(qū)域的安全管理制度也應該根據(jù)區(qū)域的特點而有所不同。保護目標內(nèi)部網(wǎng)絡的各類服務器、網(wǎng)絡設備和客戶端。服務器和網(wǎng)絡設備是我們保護的主要目標，但實際發(fā)生的安全問題往往是由于客戶端的安全問題引起的。因此，不應該忽視對客戶端的完善防護。威脅來源來自內(nèi)部環(huán)境的安全威脅主要有：216。 感染病毒，病毒、惡意代碼的傳播，并導致系統(tǒng)遭到破壞；216。 口令管理不善會造成來自內(nèi)部用戶的對服務器的入侵和破壞； 216。 UNIX和NT系統(tǒng)的缺陷和漏洞也為內(nèi)部用戶的入侵創(chuàng)造了條件； 216。 數(shù)據(jù)庫的安全隱患使內(nèi)部用戶有機會篡改或破壞數(shù)據(jù)，或在數(shù)據(jù)庫系統(tǒng)中隱藏邏輯炸彈，構(gòu)成對企業(yè)核心業(yè)務的重大威脅；216。 內(nèi)部用戶濫用權(quán)利、越權(quán)訪問；216。 內(nèi)部用戶的網(wǎng)絡濫用和非法網(wǎng)絡行為；216。 重要數(shù)據(jù)在傳輸過程中可能被泄密或被篡改；216。 硬件故障等災難性事故。安全策略在初期的安全部署中，我們建議采用以下技術防范上述的安全威脅：1. 網(wǎng)絡防病毒技術在系統(tǒng)內(nèi)所有服務器和客戶端部署統(tǒng)一管理的企業(yè)級防病毒系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。這可以解決常見的計算機癱瘓、網(wǎng)絡阻塞等安全問題。2. 網(wǎng)關過濾技術在之間通過網(wǎng)關過濾系統(tǒng)進行隔離，并合理的配置限制來自多種協(xié)議的病毒蠕蟲等攻擊，減少網(wǎng)絡和主機受攻擊的風險。尤其是實現(xiàn)自動的更新和升級，即使防御最新型的混合型威脅。此外，還可以通過網(wǎng)關過濾系統(tǒng)來保護免遭垃圾郵件的威脅。3. 入侵檢測技術在核心交換機上安裝一臺硬件入侵檢測系統(tǒng)對核心交換區(qū)域進行實時的入侵行為發(fā)現(xiàn)。入侵檢測系統(tǒng)可以實時監(jiān)控網(wǎng)絡上和主機上的事件，基于入侵的知識庫，可以有效的防止大多數(shù)的攻擊手段和訪問異常，并提供報警機和在線監(jiān)控能力，使管理員隨時獲得服務器網(wǎng)絡的安裝狀況的信息。入侵檢測和強化的訪問控制機制可以為系統(tǒng)提供堅固的審計功能。這樣的可靠和完備的審計機制對內(nèi)部入侵可以起到良好的預防作用，能夠被系統(tǒng)記錄下操作的痕跡，并有可能被追究責任而受到嚴厲的懲罰，對企圖破壞系統(tǒng)的內(nèi)部員工會起到威懾力量。在中期和遠期的安全部署中，我們建議考慮以下技術，進一步完善安全體系。1. 身份認證技術用戶的訪問權(quán)限和口令的保護是提高系統(tǒng)安全性的重要保障。但目前的用戶認證和訪問控制系統(tǒng)仍存在很多的安全隱患，如對用戶訪問權(quán)限的定義比較模糊，采用的用戶名/口令的保護仍屬于弱認證機制等。這些安全隱患必須從應用系統(tǒng)本身進行保護，實現(xiàn)統(tǒng)一用戶管理和統(tǒng)一授權(quán)。2. 第三方主機保護和審計技術主機保護軟件的口令策略機制統(tǒng)一服務器的口令質(zhì)量、口令生命周期等，并在全網(wǎng)絡范圍內(nèi)部署策略。主機保護軟件分割管理員權(quán)限，實施集中管理的強制訪問控制。這種強制的訪問控制和對root權(quán)限的分割可以增強對系統(tǒng)中的審計機制的保護，而在普通的操作系統(tǒng)，獲得管理員身份的入侵者可疑任意刪除和修改系統(tǒng)的審計信息。管理員能夠通過一個中央控制臺實現(xiàn)對所有的主機進行安全保護。 防火墻系統(tǒng)的設計思想在計算機網(wǎng)絡中，一個網(wǎng)絡防火墻扮演著防備潛在的惡意的活動的屏障，并可通過一個”門”來允許人們在你的安全網(wǎng)絡和開放的不安全的網(wǎng)絡之間通信。原來，一個防火墻是由一個單獨的機器組成的，放置在你的私有網(wǎng)絡和公網(wǎng)之間。近些年來，防火墻機制已發(fā)展到不僅僅是”firlwall box”，更多提及到的是堡壘主機。它現(xiàn)在涉及到整個從內(nèi)部網(wǎng)絡到外部網(wǎng)絡的區(qū)域，由一系列復雜的機器和程序組成。簡單來說，今天防火墻的主要概念就是多個組件的應用。到現(xiàn)在你要準備實施你的防火墻，需要知道你的公司需要什么樣的服務并且什么樣的服務對于內(nèi)部用戶和外部用戶都是有效的。 配置防火墻是保證網(wǎng)絡系統(tǒng)安全的第一步，也是系統(tǒng)建設時首要考慮的問題。防火墻通過監(jiān)測、限制、更改通過”防火墻”的數(shù)據(jù)流，可以保護網(wǎng)絡系統(tǒng)不受來自外部的攻擊。防火墻處于網(wǎng)絡安全體系中的最底層，屬于網(wǎng)絡層安全技術范疇。作為內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡安全的最底層，負責網(wǎng)絡間的安全認證與傳輸，但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化，現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網(wǎng)絡應用提供相應的安全服務。防火墻是一個或一組用于過濾進、出網(wǎng)絡的數(shù)據(jù)包的系統(tǒng)。它基于多種標準對數(shù)據(jù)包進行過濾，包括特定的應用、網(wǎng)絡服務、源/目的地址等，同時使用單一的規(guī)則為整體網(wǎng)絡提供一致的安全策略。 防火墻的目的 防火墻的主要意圖是強制執(zhí)行你的安全策略。在前面的課程提到過在適當?shù)木W(wǎng)絡安全中安全策略的重要性。舉個例子，也許你的安全策略只需對MAIL服務器的SMTP流量作些限制，那么你要直接在防火墻強制這些策略。 防火墻在一個公司私有網(wǎng)絡和分網(wǎng)問建立一個檢查點。這種實現(xiàn)要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設備就可以監(jiān)視，過濾和檢查所有進來和出去的流量。網(wǎng)絡安全產(chǎn)業(yè)稱這些檢查點為阻塞點。通過強制所有進出流量都通過這些檢查點，網(wǎng)絡管理員可以集中在較少的方來實現(xiàn)安全目的。如果沒有這樣一個供監(jiān)視和控制信息的點，系統(tǒng)或安全管理員則要在大量的地方來進行監(jiān)測。檢查點的另一個名字叫做網(wǎng)絡邊界