【正文】 為更好地管理網(wǎng)絡(luò)，用戶最好選購能夠記錄多種事件的日志、過濾多種事件的防火墻。VPN通過加密隧道發(fā)送數(shù)據(jù)，從而把數(shù)據(jù)與外界隔離開來。這類防火墻通常被用作VPN的端點。一對多尋址則使用于需要把一個IP地址分成兩個地址的負載均衡場合?！　∫粚σ粚ぶ肥荖AT最基本的形式，可以把內(nèi)部IP地址映射到不同的外部公共IP地址。 大多數(shù)防火墻都標明了用戶連接數(shù)。大多數(shù)情況下，SOHO防火墻能夠應(yīng)付50個以內(nèi)的用戶連接請求，如果需要保護50個以上用戶，就必須采用企業(yè)防火墻。如果用戶對防火墻運行的硬件平臺沒有特殊要求，硬件防火墻則是這類用戶理想的選擇。OKENA的StormWatch雖然沒有標明是防火墻， 但也具有防火墻類規(guī)則和應(yīng)用防范禁閉功能。　　基于硬件的防火墻 : 多捆綁于“交鑰匙”系統(tǒng)(Turnkey system)中，是一個已經(jīng)裝有軟件的硬件設(shè)備。就本質(zhì)而言，嵌入式防火墻常常是無監(jiān)控狀態(tài)的，它在傳遞信息包時并不考慮以前的連接狀態(tài)。用戶也可以購買防火墻模塊，安裝到已有的路由器或交換機中。防火墻種類　　在選購之前，企業(yè)用戶首先需要弄清防火墻的種類。　　另外，隨著新技術(shù)、新產(chǎn)品的不斷涌現(xiàn)，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，對于網(wǎng)絡(luò)安全的要求不斷提高，在實際實施過程中采取的措施完全可能超越本文中提及的產(chǎn)品、服務(wù)、支持，這也是安全建設(shè)的最基本原則：不斷改進，不斷增強，安全無止境?！　?1)技術(shù)方面，采用反垃圾郵件系統(tǒng)、網(wǎng)絡(luò)管理軟件、QOS流量管理軟件。　　(1)技術(shù)方面，采用入侵檢測、郵件防病毒軟件、動態(tài)口令認證系統(tǒng)、并在重要客戶端安裝個人版防護軟件。　　第一階段　　(1)技術(shù)方面，采用防火墻、網(wǎng)絡(luò)防病毒軟件、頁面防篡改系統(tǒng)來建立一個結(jié)構(gòu)上較完善的網(wǎng)絡(luò)系統(tǒng)。　　作用：通過網(wǎng)絡(luò)監(jiān)控，近可能發(fā)現(xiàn)網(wǎng)絡(luò)中存在的前期網(wǎng)絡(luò)故障，在故障擴大化以前及時進行防治。如果攻擊強度超出網(wǎng)絡(luò)能夠承受的范圍，可采取進一步措施進行防范?！　〔檎夜粼础　≈С址秶骸【W(wǎng)絡(luò)管理員發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊，并需要確定攻擊來源?！　?zāi)難恢復(fù)　　支持范圍：設(shè)備遇到物理損害網(wǎng)絡(luò)網(wǎng)絡(luò)應(yīng)用異常?！　?2)應(yīng)用服務(wù)無法訪問(如不能對外提供WWW服務(wù))。下面將提出技術(shù)支持解決方案?！　?定期總體安全分析報告　　服務(wù)對象：整個網(wǎng)絡(luò)　　服務(wù)周期：半年一次　　服務(wù)內(nèi)容：綜合網(wǎng)絡(luò)拓撲報告、各種安全設(shè)備日志、服務(wù)器日志等信息，對網(wǎng)絡(luò)進行總體安全綜合性分析，分析內(nèi)容包括網(wǎng)絡(luò)安全現(xiàn)狀、網(wǎng)絡(luò)安全隱患分析，并提出改進建議意見。根據(jù)最終檢測報告進一步增強系統(tǒng)的安全性　　設(shè)備備份系統(tǒng)　　服務(wù)對象：骨干交換機、路由器等網(wǎng)絡(luò)骨干設(shè)備　　服務(wù)周期：實時　　服務(wù)內(nèi)容：根據(jù)用戶的網(wǎng)絡(luò)情況，提供骨干交換機、路由器等核心網(wǎng)絡(luò)設(shè)備的備份。　　服務(wù)作用：防止日志過大導(dǎo)致檢索、分析的難度，另一方面也有利于事后的檢查。(3)　找出安全強度較低的用戶名和用戶密碼?！　》?wù)作用：通過不斷升級病毒庫確保防病毒軟件能夠及時發(fā)現(xiàn)新的病毒。(2)出現(xiàn)大型補丁(如微軟的SP)，及時更新所有相關(guān)系統(tǒng)?！　≈行臋C房管理制度制訂以及修改　　服務(wù)對象：中心機房　　服務(wù)周期：半年一次　　服務(wù)內(nèi)容：協(xié)助用戶制訂并修改機房管理制度。(2)分析網(wǎng)絡(luò)中存在的安全缺陷并提出整改建議意見?！　?2)　通過特殊的認證機制，允許授權(quán)用戶修改頁面文件?！　≈匾K端個人防護軟件　　安裝位置：重要終端　　個人防護軟件的作用：　　(1)　保護個人終端不受攻擊?！　OS流量管理的作用：　　(1)　通過IP地址，為重要用戶分配足夠的帶寬。　　(5)　顯示實時網(wǎng)絡(luò)連接情況?！　【W(wǎng)絡(luò)管理軟件的作用：　　(1)　收集局域網(wǎng)中所有資源的硬件信息?！　?4)　通過電子郵件等方式通知網(wǎng)管垃圾郵件的處理情況。郵件防病毒軟件的監(jiān)控范圍包括所有來自INTERNET的電子郵件以及所屬附件(對于壓縮文件同樣也進行檢測)　　反垃圾郵件系統(tǒng)　　安裝位置：同郵件防病毒軟件，如果軟硬件條件允許的話，建議安裝在同一臺服務(wù)器上。　　(3)記錄局域網(wǎng)中計算機病毒出現(xiàn)的時間、類型以及后續(xù)處理措施?！　?2)中斷異常連接?！　⊥泄軝C房防火墻的作用：　　(7)　通過防火墻的過濾規(guī)則，限制INTERNET用戶對WWW服務(wù)器的訪問，將訪問權(quán)限控制在最小的限度，在這種情況下，網(wǎng)絡(luò)管理員可以忽略服務(wù)器系統(tǒng)的安全漏洞，只需要關(guān)注WWW應(yīng)用服務(wù)軟件的安全漏洞?！　?3)局域網(wǎng)所有工作站和服務(wù)器處于防火墻地整體防護之下，只要通過防火墻設(shè)置的修改，就能有限絕大部分防止來自INTERNET上的攻擊，網(wǎng)絡(luò)管理員只需要關(guān)注DMZ區(qū)對外提供服務(wù)的相關(guān)應(yīng)用的安全漏洞?！　》阑饓Α　“惭b位置：局域網(wǎng)與路由器之間。 如何構(gòu)建網(wǎng)絡(luò)整體安全方案整體的安全方案分成技術(shù)方案、服務(wù)方案以及支持方案三部分。特別如URL過濾規(guī)則（對支持URL過濾的防火墻而言），當(dāng)前網(wǎng)絡(luò)中的漏洞是不斷發(fā)現(xiàn)的，如最近很猖獗的codered攻 擊的就是Windows機器IIS服務(wù)器的ida漏洞，而我們?nèi)绻軌蚣皶r定義過濾規(guī)則，對于“GET /”的請求及時過濾，那么內(nèi)網(wǎng)主機（此時一般為DMZ內(nèi)主機）的安全性就會高很多，內(nèi)網(wǎng)管理人員也不必時時密切關(guān)注網(wǎng)絡(luò)漏洞（這是 個工作量很大，既耗費體力又容易出現(xiàn)遺漏的工作）。目前國內(nèi)防火墻一般都是軟件可升級的，這是因為大多數(shù)防火墻采用電子硬盤（少數(shù)采用磁盤），實現(xiàn)升級 功能只要很小的工作量要做。加上前期10－ 15人周論證、定方案，后期20人周（保守數(shù)字）集成、測試，前后總共需要約210人周。防火墻由于技術(shù)含量較高， 人員技術(shù)儲備要求較高，防火墻核心部分的研發(fā)必須要對操作系統(tǒng)有相當(dāng)?shù)氖煜ぃ铻閁NIX系統(tǒng)下開發(fā)人員，而目前國內(nèi)真正能拿的出手的UNIX程序員數(shù) 量還是太少（遠遠少于Windows平臺下開發(fā)人員），人員成本很高。我們接觸較少，不多做討論。并且開始支持雙機熱備份。相對來說，這個區(qū)間上硬件防火墻價格明顯高于軟件防火墻。據(jù)調(diào)查，這個區(qū)間的防火墻反而種類不多，也許是國內(nèi)廠商不屑于這個市場的緣故？b． 25－100用戶這個區(qū)間用戶主要為小型企業(yè)網(wǎng)。如checkpoint的一個報價：CheckPoint Firewall1 25user CheckPoint Firewall1 50user CheckPoint Firewall1 100user CheckPoint Firewall1 250user CheckPoint Firewall1 無限用戶 從用戶量上防火墻可以分為：a． 10－25用戶：這個區(qū)間主要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。 6．市場定位市場上防火墻的售價極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元不等。另外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的主要差別所在。國內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲設(shè)備。5．可靠性防火墻系統(tǒng)處于網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。透明模式下的防火墻能實現(xiàn)透明代理，非透明模式下的防火墻（此時它必然又是一個網(wǎng)關(guān)）也能實現(xiàn)透明代理。這個過程如下：1. 用ARP代理實現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）2. 用路由轉(zhuǎn)發(fā)在IP層實現(xiàn)數(shù)據(jù)包傳遞（IP層）3. 用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）前邊我們討論過透明代理，和這里所說的防火墻的透明模式是兩個概念。防火墻所要做的就是當(dāng)路由器發(fā)送ARP廣播包詢問內(nèi)網(wǎng)內(nèi)的某一主機的硬件地址時，防火墻用和路由器相連 接口的MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機發(fā)送ARP廣播包詢問路由器的硬件地址時，防火墻用和內(nèi)網(wǎng)相連接口的MAC地址回送ARP包，因此路由器和 內(nèi)網(wǎng)主機都認為將數(shù)據(jù)包發(fā)給了對方，而實際上是發(fā)給了防火墻轉(zhuǎn)發(fā)。當(dāng)然，此時的防火墻僅僅起到一個防火墻的作用，其他網(wǎng)關(guān)位置的功能如NAT、VPN功能不再適用，當(dāng)然， 其他功能如透明代理還可以 繼續(xù)使用。防火墻作為一個實際存在的物理設(shè)備，要想放入已存在地網(wǎng)絡(luò)中又不對網(wǎng)絡(luò)有任何影響， 就必須以網(wǎng)橋的方式置入網(wǎng)絡(luò)。C．透明代理的采用應(yīng)用代理防火墻一般是通過設(shè)置不同用戶的訪問權(quán)限來實現(xiàn)，這樣就需要有用戶認證體 系。f．對抗防火墻（antifirewall）目前一個網(wǎng)絡(luò)安全中一個研究的熱點就是對抗網(wǎng)絡(luò)安全產(chǎn)品如防火墻。目前一般采用一次性口令和禁止直接登錄防火墻的措施來防止對口令字的攻擊。d．口令字攻擊口令字攻擊既可能來自外部，也可能來自內(nèi)部，主要是來自內(nèi)部。c．特洛伊木馬防火墻本身預(yù)防木馬比較簡單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。第一，防火墻設(shè)計上應(yīng)該知道網(wǎng)絡(luò)內(nèi)外的IP地址分配，從而丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包。目前 防火墻對于這種攻擊似乎沒有太多的解決辦法，主要是提高防火墻本身的健壯性（如增加緩沖區(qū)大?。．通信過程加密這樣無需一個專門的端口，內(nèi)網(wǎng)任意一臺主機都可以在適當(dāng)?shù)那闆r下成為管理主機，管理主機和防火墻之間采用加密的方式通信。a．設(shè)置專門的服務(wù)端口為了減少管理上的風(fēng)險和降低設(shè)計上的難度，有一些防火墻（如東方龍馬）在防火墻上專 門添加了一個服務(wù)端口，這個端口只是用來和管理主機連接。至于采用其它防火墻模型的，目前還沒有看到（可能是netfilter已經(jīng)設(shè)計的很成功，不需要我們再去做太多工作）。 netfilter已經(jīng)是一個功能比較完善的防火墻框架，它已經(jīng)支持基于狀態(tài)的監(jiān)測（通過connection track模塊實現(xiàn)）。2．內(nèi)核和防火墻設(shè)計現(xiàn)在有一種商業(yè)賣點，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關(guān)于防火墻 分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應(yīng)用型防火墻（一般結(jié)合了包過濾功能，因此也成為混合型防火墻）稱為第二代 防火墻，有些廠家把增加了檢測通信信息、狀態(tài)檢測和應(yīng)用監(jiān)測的防火墻稱為第三代防火墻，更有甚者在此基礎(chǔ)上提出了采用安全操作系統(tǒng)的防火墻，并把這個稱為 第四代防火墻）?，F(xiàn)在絕大部 分廠家，甚至包括號稱國內(nèi)最大的天融信，在軟件方面所作的工作無非也就是系統(tǒng)有針對性的裁減、防火墻部分代碼的少量改動（絕大部分還是沒有什么改動）和少 量的系統(tǒng)補丁。在軟件性能方面，國內(nèi)外廠家的差別就更大了，國外（一些著名）廠家均是采用專用的操 作系統(tǒng)，自行設(shè)計防火墻。雖然都號稱硬件防火墻，國內(nèi)廠家和國外廠家還是存在著巨大區(qū)別。在國內(nèi)目前已通過公安部檢驗的防火墻中，硬件防火墻占絕大多數(shù)。網(wǎng)絡(luò)防火墻設(shè)計中的問題方案：硬件？還是軟件？現(xiàn)在防火墻的功能越來越多越花哨，如此多的功能必然要求系統(tǒng)有一個高效的處理能力。 第二：提供日志審計和帶寬管理功能，通過NTD、SAM、日志系統(tǒng)的結(jié)合，能夠做到基于用戶身份對用戶進行管理，做到將用戶名、源IP、目的IP直接關(guān)聯(lián)，通過目的IP，可以直接定位到用戶名，安全事件處理起來非常的方便，同時還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會在明年4月份提供。 第一：為SAM系統(tǒng)對用戶進行流量計費提供原始數(shù)據(jù)，這是我們已經(jīng)實現(xiàn)了的功能。216。 第一：這些軟件之所以有如此強大的生命力，是因為用戶通過使用這些軟件的確能快速的獲取各種有用的資源，如果簡單的通過禁止的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲取。設(shè)備面板管理STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設(shè)備上，進行配置的修改，完善以及各種信息的察看。 網(wǎng)絡(luò)設(shè)備管理網(wǎng)絡(luò)設(shè)備的管理通過STARVIEW實現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路：網(wǎng)絡(luò)現(xiàn)狀及故障的自動發(fā)現(xiàn)和了解STARVIEW能自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對整個校園網(wǎng)了如指掌，對于用戶私自掛接的HUB、交換機等設(shè)備能及時地發(fā)現(xiàn)，提前消除各種安全隱患。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。非法組播源的屏蔽銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。216。某校園網(wǎng)網(wǎng)絡(luò)安全方案銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和交換機嵌入式安全防護機制設(shè)計的特點，從三個方面實現(xiàn)網(wǎng)絡(luò)安全：事前的準確身份認證、事中的實時處理、事后的完整審計。安全到邊緣的設(shè)計思想用戶在訪問網(wǎng)絡(luò)的過程中，首先要經(jīng)過的就是交換機，如果我們能在用戶試圖進入網(wǎng)絡(luò)的時候，也就是在接入層交換機上部署網(wǎng)絡(luò)安全無疑是達到更好的效果。 用戶網(wǎng)絡(luò)權(quán)限的控制 在校園網(wǎng)中，不同用戶的訪問權(quán)限應(yīng)該是不一樣的，比如學(xué)生應(yīng)該只能夠訪問資源服務(wù)器，上網(wǎng)，不能訪問辦公網(wǎng)絡(luò)、財務(wù)網(wǎng)絡(luò)。安全事故發(fā)生時候，不能準確定位到用戶的影響：一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學(xué)校做出處理；同時也會大大降低學(xué)校在社會上的影響力，降低家長、學(xué)生對學(xué)校的滿意度，對以后學(xué)生的招生也是大有影響的。 安全事故發(fā)生時候，需要準確定位到用戶安全事故發(fā)生時候，需要準確定位到用戶原因：216。 防止IP、MAC地址的盜用 IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改MAC地址。 各種網(wǎng)絡(luò)攻擊的有效屏蔽216。 安全事故發(fā)生時候，需要準確定位到用戶的原因 216。從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。即當(dāng)需要時能否存取所需的信息。網(wǎng)絡(luò)安全應(yīng)具有以下五個方面