【正文】 sco 的交換機、路由器、集線器和訪問服務器網(wǎng)絡提供一系列強大的監(jiān)控和配置工具。通過使用 Ipswitch 的 WhatsUp Gold，您還可以監(jiān)控打印機、工作站、服務器和重要的網(wǎng)絡服務。 CiscoWorks Windows 含有下列組件： ? CiscoView 版 提供 Cisco 設備的圖形后視圖和前視圖；動態(tài)的色標圖形顯示簡化了設備狀態(tài)監(jiān)控；特定設備的組件診斷、設備配置和應用發(fā)布； ? Ipswitch 公司的 WhatsUp Gold 版 提供網(wǎng)絡發(fā)現(xiàn)、映象、監(jiān)控和報警跟蹤；? 閾值管理器增強了在 Cisco RMON 啟動的設備上設定閾值的能力，降低了管理開銷，改進了故障診斷功能；? StackMaker 允許用戶將特定類型的多個 Cisco 設備結(jié)合在單個堆疊中，并在單個窗口中可視地管理它們；? 顯示命令 顯示詳細的路由器系統(tǒng)和協(xié)議信息，而無需用戶記住復雜的 Cisco IOS 命令行語言和語法。 Cisco Works Windows 提 供 以 下 特 性：? 對連網(wǎng)設備自動識別程序可以用色彩鮮明的分級網(wǎng)絡視 IP IPX 網(wǎng)生成網(wǎng)絡拓樸圖； ? 能為 Cisco 設備獲取端口狀態(tài)，帶寬使用率，流量統(tǒng)計，協(xié)議信息及其它網(wǎng)絡性 能統(tǒng)計等擴展數(shù)據(jù)；? 繪圖功能靈活，可快速記錄和分析可能輸出到文件以備電子數(shù)據(jù)表或其它工具 使用的歷史數(shù)據(jù)；第 24 頁 共 118 頁——————————————————————————————————————————————? 管理信息 率（MIB）編輯器和測覽器可以管理第三方 SNMP 設備；? 可以定多種性能變量設置，以便產(chǎn)生報警或事件通知； ? 事件篩選器可以篩選出有用信息以加速故障排除； ? 設備配置特性用于在 Cisco 交換機內(nèi)配置簡單的虛擬 LAN（VLAN） 。第 25 頁 共 118 頁—————————————————————————————————————————————— 局域網(wǎng)拓撲圖第 26 頁 共 118 頁—————————————————————————————————————————————— 局域網(wǎng)防火墻及防病毒解決方案 網(wǎng)絡安全風險分析 對于信息網(wǎng)所面臨的安全風險涉及網(wǎng)絡環(huán)境多方面，包括：? 自然災害——水災、火災、地震等； ? 電子化系統(tǒng)故障——系統(tǒng)硬件、電力系統(tǒng)故障等； ? 人員無意識行為——編碼缺陷、系統(tǒng)配置漏洞、誤操作及無意泄漏等； ? 人員蓄意行為——網(wǎng)絡環(huán)境可用性破壞、惡意攻擊等。 其中，前三個方面的風險能夠通過增強對網(wǎng)絡環(huán)境的抗自然災害的能力、加強網(wǎng)絡設備管理維護、系統(tǒng)操作管理等手段來加以完善，盡可能將風險降低到能夠被控制和管理的程度。而對于第四方面的安全風險，對整個信息網(wǎng)的安全環(huán)境所構(gòu)成的危害最大，同時也是最難于管理與防范的。且不僅僅能夠通過加強對網(wǎng)絡環(huán)境及人員的安全管理所能夠?qū)崿F(xiàn)的，盡管安全管理非常重要。同時需要相應的安全技術(shù)手段輔助完成。這也是本安全方案所要詳細闡述的。對于在信息網(wǎng)環(huán)境中，采取何種安全技術(shù)手段且如何實現(xiàn)，就需要通過對前面提到第四方面的安全風險的分析的基礎上，針對信息網(wǎng)安全需求來確定。對于風險來說，它應包括那些可以被管理但又不能被清除的，以及那些能夠中斷網(wǎng)絡工作流并對工作環(huán)境造成破壞性的威脅。其中，主要包括：? 對于網(wǎng)絡應用服務的非授權(quán)訪問；第 27 頁 共 118 頁——————————————————————————————————————————————? 信息交互的保密性； ? 網(wǎng)絡病毒的傳播與滲入； ? 網(wǎng)絡黑客行為。通過對以上主要的網(wǎng)絡威脅分析，使我們能夠準確把握信息網(wǎng)的網(wǎng)絡安全需求。 需求分析 網(wǎng)絡安全需求是保護網(wǎng)絡不受破壞，確保網(wǎng)絡服務的可用性。對于信息網(wǎng)絡內(nèi)部安全需求，包括：? 能夠滿足信息網(wǎng)絡內(nèi)的授權(quán)用戶對相關(guān)專用網(wǎng)絡資源訪問； ? 能夠?qū)τ诜鞘跈?quán)用戶的訪問進行有效控制和報警； ? 能夠堅決杜絕病毒和其他危險程序進入網(wǎng)絡； ? 能夠?qū)τ谶h程訪問用戶進行安全管理； ? 加強對于整個信息網(wǎng)絡資源和人員的安全管理與培訓。 安全管理需求分析 如前所述，能否制定一個統(tǒng)一的安全策略，在全網(wǎng)范圍內(nèi)實現(xiàn)統(tǒng)一的安全管理，對于信息網(wǎng)來說就至關(guān)重要了。安全管理主要包括兩個方面：? 內(nèi)部安全管理主要是建立內(nèi)部安全管理制度，如機房管理制度、設備管理制度、安全系第 28 頁 共 118 頁——————————————————————————————————————————————統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應急制度等，并采取切實有效的措施保證制度的執(zhí)行。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié)合的方法。 第 29 頁 共 118 頁——————————————————————————————————————————————? 網(wǎng)絡安全管理在網(wǎng)絡上設置防病毒安全檢測系統(tǒng)后，必須保證防病毒系統(tǒng)的設置正確，且其配置不允許被隨便修改。采用用戶和口令認證機制加強對用戶的管理，可以通過財務軟件本身和一些網(wǎng)絡層的管理工具來實現(xiàn)。 安全方案 根據(jù)對信息網(wǎng)現(xiàn)階段的安全需求分析，我們在設計本安全方案時，將采取一切有力的措施，來實現(xiàn)信息網(wǎng)現(xiàn)階段的安全目標，考慮到現(xiàn)階段對網(wǎng)絡病毒的管理要求，本方案提出對網(wǎng)絡病毒防范和管理控制建議，并提出了現(xiàn)階段的網(wǎng)絡安全管理方案。 網(wǎng)絡設備的安全配置信息網(wǎng)中，整個網(wǎng)絡的安全首先要確保網(wǎng)絡設備的安全，保證非授權(quán)用戶不能訪問網(wǎng)絡任意的網(wǎng)絡通訊設備（例如：路由器，集線器等） 。對不同型號、廠家的網(wǎng)絡設備，要防范的內(nèi)容是一樣的，但具體的配置方法須依照設備要求來實現(xiàn)。 對服務器訪問的控制對于服務器用戶可以設置不同的用戶權(quán)限，如“非特權(quán)”和“特權(quán)”兩種訪問權(quán)限，非特權(quán)訪問權(quán)限允許用戶在服務器上查詢某些公眾信息但無法對服務器進行配置；特權(quán)訪問權(quán)限則允許用戶對服務器進行完全的配置。第 30 頁 共 118 頁——————————————————————————————————————————————對服務器訪問的控制建議使用以下的方式：? 控制臺訪問控制 ? 限制訪問空閑時間 ? 口令的保護 ? 多級管理員權(quán)限 CheckPoint FireWall1 產(chǎn)品簡介作為開放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導者之一， CheckPoint 公司致力于企業(yè)級網(wǎng)絡安全產(chǎn)品的研發(fā)，據(jù) IDC 的最近統(tǒng)計，其 FireWall1 防火墻在市場占有率上已超過 44%， 《財富》排名前 100 的大企業(yè)里近 80%選用了CheckPoint FireWall1 防火墻。CheckPoint FireWall1 產(chǎn)品包括以下模塊：1) 基本模塊：狀態(tài)檢測模塊（Inspection Module）：提供訪問控制、客戶機認證、會話認證、地址翻譯和審計功能；防火墻模塊（FireWall Module）：包含一個狀態(tài)檢測模塊，另外提供用戶認證、內(nèi)容安全和多防火墻同步功能；管理模塊（Management Module）：對一個或多個安全策略執(zhí)行點（安裝了FireWall1的某個模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的安全管理功能；第 31 頁 共 118 頁——————————————————————————————————————————————第 32 頁 共 118 頁——————————————————————————————————————————————2) 可選模塊連接控制（Connect Control）：為提供相同服務的多個應用服務器提供負載平衡功能；路由器安全管理模塊（Router Security Management）：提供通過防火墻管理工作站配置、維護3Com，Cisco，Bay等路由器的安全規(guī)則；其它模塊，如加密模塊等。? 圖形用戶界面（GUI）：是管理模塊功能的體現(xiàn)，包括策略編輯器：維護管理對象、建立安全規(guī)則、把安全規(guī)則施加到安全策略執(zhí)行點上去；日志查看器：查看經(jīng)過防火墻的連接，識別并阻斷攻擊；系統(tǒng)狀態(tài)查看器：查看所有被保護對象的狀態(tài)。FireWall1提供單網(wǎng)關(guān)和企業(yè)級兩種產(chǎn)品組合：單網(wǎng)關(guān)產(chǎn)品：只有防火墻模塊（包含狀態(tài)檢測模塊）、管理模塊和圖形用戶界面各一個，且防火墻模塊和管理模塊必須安裝在同一臺機器上。企業(yè)級產(chǎn)品：可以有若干基本模塊和可選模塊以及圖形用戶界面組成，特別是可能配置較多的防火墻模塊和獨立的狀態(tài)檢測模塊。企業(yè)級產(chǎn)品的不同模塊可以安裝在不同的機器上。第 33 頁 共 118 頁—————————————————————————————————————————————— 狀態(tài)檢測機制FireWall1 采用 CheckPoint 公司的狀態(tài)檢測（Stateful Inspection）專利技術(shù)，以不同的服務區(qū)分應用類型，為網(wǎng)絡提供高安全、高性能和高擴展性保證。FireWall1 狀態(tài)檢測模塊分析所有的包通訊層，汲取相關(guān)的通信和應用程序的狀態(tài)信息。狀態(tài)檢測模塊能夠理解并學習各種協(xié)議和應用，以支持各種最新的應用。狀態(tài)檢測模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡的高度安全和數(shù)據(jù)完整。網(wǎng)絡和各種應用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中，結(jié)合預定義好的規(guī)則，實現(xiàn)安全策略。狀態(tài)檢測模塊可以識別不同應用的服務類型，還可以通過以前的通信及其它應用程序分析出狀態(tài)信息。狀態(tài)檢測模塊檢驗 IP 地址、端口以及其它需要的信息以決定通信包是否滿足安全策略。狀態(tài)檢測模塊把相關(guān)的狀態(tài)和狀態(tài)之間的關(guān)聯(lián)信息存儲到動態(tài)連接表中并隨時更新，通過這些數(shù)據(jù)，F(xiàn)ireWall1 可以檢測到后繼的通信。狀態(tài)檢測技術(shù)對應用程序透明，不需要針對每個服務設置單獨的代理，使其具有更高的安全性、高性能、更好的伸縮性和擴展性，可以很容易把用戶的新應用添加到保護的服務中去。FireWall1 提供的 INSPECT 語言，結(jié)合 FireWall1 的安全規(guī)則、應用識別知識、狀態(tài)關(guān)聯(lián)信息以及通信數(shù)據(jù)構(gòu)成了一個強大的安全系統(tǒng)。 Applications Presentations Sessions Transport DataLink Physical DataLink Physical Applications Presentations Sessions Transport DataLink Physical Network Network Network Presentations Sessions Transport INSPECT Engine Applications li tiDynamic State Tables Dynamic iState Tables lDynamic State Tables 第 34 頁 共 118 頁——————————————————————————————————————————————INSPECT 是一個面向?qū)ο蟮哪_本語言，為狀態(tài)檢測模塊提供安全規(guī)則。通過策略編輯器制定的規(guī)則存為一個用 INSPECT 寫成的腳本文件，經(jīng)過編譯生成代碼并被加載到安裝有狀態(tài)檢測模塊的系統(tǒng)上。腳本文件是 ASCII 文件，可以編輯，以滿足用戶特定的安全要求。 OPSECCheckPoint 是開放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導者之一。OPSEC允許用戶通過一個開放的、可擴展的框架集成、管理所有的網(wǎng)絡安全產(chǎn)品。OPSEC 通過把 FireWall1 嵌入到已有的網(wǎng)絡平臺（如 Unix、NT 服務器、路由器、交換機以及防火墻產(chǎn)品） ，或把其它安全產(chǎn)品無縫集成到 FireWall1 中，為用戶提供一個開放的、可擴展的安全框架。目前已有包括 IBM、HP、Sun、Cisco、BAY 等超過 135 個公司加入到 OPSEC聯(lián)盟。 企業(yè)級防火墻安全管理FireWall1 允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個規(guī)則庫里。規(guī)則庫里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務類型（HTTP、FTP、TELNET 等） 、針對該連接的安全措施（放行、拒絕、丟棄或者是需要通過認證等） 、需要采取的行動（日志記錄、報警等） 、以及安全策略執(zhí)行點（是在防火墻網(wǎng)關(guān)還是在路由器或者其它保護對象上上實施該規(guī)則） 。FireWall1 管理員通過一個防火墻管理工作站管理該規(guī)則庫，建立、維護安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)檢測模塊的系統(tǒng)上。這些系統(tǒng)和管理工作站之間的通信必須先經(jīng)過認證，然后通過加密信道傳輸。第 35 頁 共 118 頁——————————————————————————————————————————————FireWall1 直觀的圖形用戶界面為集中管理、執(zhí)行企業(yè)安全策略提供了強有力的工具:? 安全策略編輯器：維護被保護對象，維護規(guī)則庫，添加、編輯、刪除規(guī)則，加載規(guī)則到安裝了狀態(tài)檢測模塊的系統(tǒng)上。? 日志管理器：提供可視化的對所有通過防火墻網(wǎng)關(guān)的連接的跟蹤、監(jiān)視和統(tǒng)計信息，提供實時報警和入侵檢測及阻斷功能。? 系統(tǒng)狀態(tài)查看器：提供實時的系統(tǒng)狀態(tài)、審計和報警功能。 分布的客戶機/服務器結(jié)構(gòu)FireWall1 通過分布式的客戶機/服務器結(jié)構(gòu)管理安全策略，保證高性能、高伸