【正文】 防火墻上 的安全策略可以靈活地配置，比如：禁止外網(wǎng)用戶內(nèi)部網(wǎng)絡(luò)內(nèi)的所有主機；只在數(shù)據(jù)服務(wù)器上開放與應(yīng)用相關(guān)的端口，而其他端口關(guān)閉，禁止對機器的直接訪問；可以控制用戶訪問的時間，并對訪問進行監(jiān)控；禁止訪問內(nèi)部網(wǎng)絡(luò)其他資源；對通過防火墻的用戶進行身份認證；等等。 在圖書館網(wǎng)絡(luò)系統(tǒng)中設(shè)置 SecuiWALL NXG 100 防火墻，可以很好地保護內(nèi)網(wǎng)不受外界的的威脅。它有足夠滿足圖書館網(wǎng)絡(luò)應(yīng)用要求的并發(fā)會話連接數(shù)；有足夠滿足圖書館網(wǎng)絡(luò)系統(tǒng)應(yīng)用的功能；有 4 個 10/100M 獨立的自適應(yīng)網(wǎng)絡(luò)（以太網(wǎng)）接口，因此可以隔離 4 個網(wǎng)段的通信。 中國民航廣漢飛行學(xué)院圖書館 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 由于飛行學(xué)院圖書館內(nèi)部局域網(wǎng)的規(guī)模相對來說比較小，應(yīng)用也比較簡單。同時提供多層防攻擊保護，可有效啟用內(nèi)置 IDS 功能和 CGI 防護 從性能上來講 ： 通過優(yōu)化的、獨創(chuàng)的分類算法及內(nèi)核層流量處理，具備了 與純硬件防火墻抗衡的實力。 用戶評價： 三星防火墻以其強大的功能、卓越的性能充分滿足了圖書館大流量、復(fù) 雜應(yīng)用等各種需求，為圖書館的安全保駕護航?？梢苑奖愕脑诜阑饓ι显O(shè)置相應(yīng)的策略來保護內(nèi)部網(wǎng)的主機，也可以對內(nèi)部網(wǎng)用機進行詳細的訪問控制。應(yīng)用防火墻的一個接口連接主 交換機進入校園網(wǎng)，另兩個接口分別連接工作用機和學(xué)生用機（包括電子閱覽室用機）。防火墻上的安全策略可以靈活地配置，比如：只在數(shù)據(jù)服務(wù)器上開放與應(yīng)用相關(guān)的端口，而其他端口關(guān)閉，禁止對服務(wù)器的直接訪問；可以控制用戶訪問的時間，并對訪問進行監(jiān)控；禁止訪問四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 內(nèi)部網(wǎng)絡(luò)其他資源；對通過防火墻的用戶進行身份認證；等等。此處設(shè)置的 SecuiWALL NXG 100 防火墻可以很好地保護內(nèi)部服務(wù)器群不受外界的的威脅。一個接口連接主交換機連入民院校園網(wǎng)，用另一個接口連接受保護的服務(wù)器群。 一方面，用一臺 SecuiWALL NXG 100 保護服務(wù)器群。 當(dāng)系統(tǒng)需要修改時，包括系統(tǒng)功能增加、操作系統(tǒng)升級等問題可以由用戶直接向我們提出需求，我們將在最短的時間做出回應(yīng)，如遇重大問題由雙方商議完成，人數(shù)根據(jù)需求大小來確定。 現(xiàn)場響應(yīng)：如果用戶問題不能通過電話解決，公司會派出經(jīng)驗豐富的現(xiàn)場工程師到現(xiàn)場為用戶解決問題。 系統(tǒng)維護服務(wù)包括電話支持、現(xiàn)場響應(yīng)、優(yōu)先級服務(wù)、遠程登錄分析、專門客戶支持。 主要培訓(xùn)內(nèi)容： 網(wǎng)絡(luò)信息安全技術(shù)； 三星信息安全產(chǎn)品、技術(shù)； TrendMicro 產(chǎn)品培訓(xùn)； CA 產(chǎn)品培訓(xùn)； 培訓(xùn)地點： 現(xiàn)場培訓(xùn)； 專門培訓(xùn)環(huán)境。 現(xiàn)場服務(wù)： 如果用戶需要，我們會派出工程師到現(xiàn)場為用戶解決困難，其中包括： 現(xiàn)場安裝指導(dǎo)； 安全體系設(shè)計； 系統(tǒng)故障分析； 故障排除； 安全策略制定，分析。禁止某些 r 命令，比如： rlogin， rsh 等； ★ 加強登錄過程的身份認證，設(shè)置復(fù)雜、不易猜測的登錄口令， 嚴密保護帳號口令 并經(jīng)常變更， 防止非法用戶輕易猜出口令， 確保用戶使用的合法性，限 制未授權(quán)的用戶對主機的訪問 ； ★ 嚴格限制系統(tǒng)中關(guān)鍵文件（如 UNIX 下的 /.rhost、 etc/host、 passwd、 shadow、group 等）的使用許可權(quán)限； ★ 嚴格控制登錄訪問者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)； ★ 充分利用系統(tǒng)本身的日志功能，對用戶的所有訪問作記錄， 定期檢查系統(tǒng)安全日志和系統(tǒng)狀態(tài)，以便及早發(fā)現(xiàn)系統(tǒng)中可能出現(xiàn)的非法入侵行為，為管理員的安全決策提供依據(jù)， 為事后審查提供依據(jù)。 安全產(chǎn)品配置示意圖如下： 系統(tǒng)的安全維護 針對 電子科技大學(xué)圖書館網(wǎng)絡(luò)總的各個 系統(tǒng)中存在的諸多風(fēng)險，建議采取相應(yīng)的安全維護措施： ★ 及時安裝操作系統(tǒng)和服務(wù)器軟件的最新版本和修補程序。天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)采用了多種響應(yīng)方式：主要是分為報警、阻斷等。 同時天闐“獲取原始報文”的功能，令管理員可以通過原始報文定義來獲取某個可疑地址發(fā)出的所有原始數(shù)據(jù)，從而給管理員制服黑客提供了最原始 的證據(jù)。天闐對所記錄的日志進行綜合 分析，為用戶提供詳細的審計分析報告，包括 : ? 網(wǎng)絡(luò)狀況報告和流量分析 ? 分布式系統(tǒng)報告和探測引擎狀態(tài) 硅谷黑客研究中心 漏洞掃描探測 拒絕服務(wù)攻擊 緩沖區(qū)溢出攻擊 電子郵件攻擊 WEB服務(wù)攻擊 病毒蠕蟲木馬 非授權(quán)訪問 …… 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 ? 慢掃描分析 ? 網(wǎng)絡(luò)相關(guān)行為分析 ? 主機相關(guān)行為分析 天闐黑客入侵檢測與預(yù)警系統(tǒng)支持 Access,SQL Server 數(shù)據(jù)庫和任何提供 ODBC通用數(shù)據(jù)庫接口的數(shù)據(jù)庫系統(tǒng)。 狀態(tài)遷徙技術(shù)應(yīng)用于主機 入侵檢測系統(tǒng)中，以發(fā)現(xiàn)不同狀態(tài)間的關(guān)聯(lián)，檢測可能的入侵行為。 行為關(guān)聯(lián)的技術(shù)的引入是因為 一個真正的攻擊不是一個單獨的行為就可以發(fā)現(xiàn)，必須分析一系列的單獨行為，找到其中的行為關(guān)聯(lián)關(guān)系，才能更好的認識攻擊。 天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)能識別、防范探測攻擊、拒絕服務(wù)攻擊、緩沖溢出攻擊、web 攻擊、 攻 擊、非授權(quán)訪問、網(wǎng)絡(luò)服務(wù)缺陷攻擊等多種攻擊； 國內(nèi)最完備的事件庫 天闐事件庫 啟明星辰研發(fā)中心 積極防御實驗室 博士后工作站 中國漏洞庫 CNCVE 中國計算機網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心 CNCERT/CC 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 （三）多種先進入侵檢測技術(shù)全面融合 對入侵行為的分析技術(shù)是入侵檢測技術(shù)的核心，啟明星辰在這方面的積累和探索已經(jīng)跨入國際領(lǐng)先水平，目前天闐中應(yīng)用的入侵檢測技術(shù)一般包括： ? 模式匹配 ? 異常分析 ? 行為關(guān)聯(lián) ? 狀態(tài)遷徙 天闐的模式匹配依托于國內(nèi)最完備的入侵檢測事件庫以及用戶的自定義事件庫。權(quán)威意味著信任、意味著安全！ （二）國內(nèi)最完備攻擊特征事件庫 啟明星辰公司目前的反入侵技術(shù)研究支撐來自四方面：研發(fā)中心，積極防御實驗室，博士后工作站，美國硅谷黑客研究中心 ,天闐目前的漏洞庫積累和對于最新攻擊特征的捕捉代表了中國的最新、最高的水平。 關(guān)閉所有端口及服務(wù)，對于外界它是個透明的設(shè)備，是無法通過掃描等手段在網(wǎng)絡(luò)中找到它的位置的。管理網(wǎng)口不開放連接端口，提高自身的隱藏性 。 控制中心與探測引擎 通信加密，探測器和控制中心互相認證，防止欺騙。 配置入侵檢測系統(tǒng)后網(wǎng)絡(luò)拓樸圖如下： 配置 IDS 后網(wǎng)絡(luò)拓樸圖 啟明星辰入侵檢測（ IDS）――天闐 （一）高度的 安全性和穩(wěn)定性 堡壘最容易從內(nèi)部攻破，因此安全產(chǎn)品要保證自身的安全性尤為重要，很難相信一個自身漏洞百出的產(chǎn)品能夠保證他人的安全。 為了更完備的防御來自內(nèi)網(wǎng)和外網(wǎng)的入侵和破壞，到達更好的防御保護效果，建議在需要重點防護的網(wǎng)絡(luò) 匯聚處采用基于硬件的網(wǎng)絡(luò)入侵檢測系統(tǒng)。 SecuiWALL NXG 的入侵檢測設(shè)置界面可以提供強大的入侵檢測和防范選項，如下圖： SecuiWALL NXG 檢測到入侵后實時向管理員報警，報警方式包括郵件和短信息等，并提供攻擊的詳盡日志。防火墻為抵御入侵行為，需具備實時檢測及攔截功能，并及時向管理員報警，以有效防范各類入侵行為。由于在內(nèi)核層進行過濾，因此其處理效率大大提高。 URL 攔截，在圖書館網(wǎng)絡(luò)上存在各種需要對外保密的信息。同時圖書館內(nèi)部網(wǎng)絡(luò)對外訪問可以通過防火墻提供的代理服務(wù)功能，并可以過濾各種 CGI 攻擊。通過，反向 HTTP代理可以進行對 WWW 服務(wù)器的負載均衡－基于 地址的負載均衡和基于內(nèi)容的負載均衡。 代理服務(wù)，三星 SecuiWALL NXG 防火墻提供透明代理功能，因此無需在客戶端進行額外配置。此外還提供了加權(quán)的負載均衡地址翻譯功能（ LSNAT）。 NAT 地址轉(zhuǎn)換，將圖書館內(nèi)部網(wǎng) 絡(luò)和 DMZ 區(qū)域網(wǎng)絡(luò)地址通過 NAT 方式轉(zhuǎn)換，隱藏真實 IP 地址，防止內(nèi)部網(wǎng)絡(luò)受到攻擊。 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 有害網(wǎng)站的過濾 三星 SecuiWALL NXG 防火墻通過帶寬管理，針對時間、 IP、應(yīng)用等的帶寬使用率，確保業(yè)務(wù)數(shù)據(jù)流量的帶寬，提高網(wǎng)絡(luò)管理效率。系統(tǒng)能夠識別 ，保證 數(shù)據(jù)通過。而普遍的狀態(tài)檢測技術(shù)， 數(shù)據(jù)可能被阻斷。電子科大圖書館網(wǎng)絡(luò)運行會運行 FTP、 等數(shù)據(jù)。不僅可以使防火墻作為路由設(shè)備，把內(nèi)網(wǎng) IP 地址轉(zhuǎn)換為公網(wǎng) IP 節(jié)約公網(wǎng)地址，而且可對多種應(yīng)用進行代理（ HTTP,SMTP 等）過濾有害的網(wǎng)站、代碼，讓我們的網(wǎng)絡(luò)更強壯、安全。三星 SecuiWALL NXG 防火墻采用了取得國際專利的分類算法，可區(qū)分通信流量類型，并根據(jù)相關(guān)策略進行實時篩選，真正解決了傳統(tǒng)防火墻因處理速度慢而引發(fā)的瓶頸問題。 SecuiWALL NXG 系列主要功能如下： 特性 NXG 2021 NXG 200 NXG 100 并發(fā)會話 1,000,000 200,000 100,000 每秒處理的新會話數(shù) 80,000 40,000 20,000 防火墻流量能力 (單向 ) 2Gbps 350Mbps 200Mbps 3DES(168 位 ) 300Mbps 200Mbps 50Mbps 策略數(shù)（ Policies） 80,000 30,000 20,000 VPN通道數(shù) 50,000 5,000 400 接口 1 個 10/100BaseT 7 個 10/100BaseT 6 個 10/100BaseT 4 個 GBIC 2 個 1000BaseT 四川太平洋電子科技發(fā)展有限公司 地址 :成都市合江亭天仙橋南路 2 號 4 樓 電話 :02886670025 86670059 傳真 :02886660383 轉(zhuǎn) 8003 全中文的圖形化控 制方式 由于邊界防火墻起著封堵黑客行為和國外不良站點的雙重任務(wù)，必然導(dǎo)致其過濾規(guī)則不斷膨脹。 SecuiWALL NXG 系列防火墻主要性能指標(biāo)如下： SecuiWALL NXG 防火墻主要功能介紹 SecuiWALL NXG200 防火墻是一款性能強大、功能豐富的網(wǎng)絡(luò)安全產(chǎn)品，其配置強大而穩(wěn) 定的硬件系統(tǒng) , 將 Firewall、 VPN、 IPS 集成一體，以高性能、高安全性、高性價比、高兼容性等優(yōu)勢，為大中小型網(wǎng)絡(luò)環(huán)境量身定制整體網(wǎng)絡(luò)安全解決方案。防火墻作為外界網(wǎng)絡(luò)和內(nèi)部網(wǎng)之間信息訪問的唯一通道，這樣所有的訪問必須通過防火墻的過