【正文】 24 參考文獻(xiàn) [1]. 劉曉輝 .網(wǎng)絡(luò)安全設(shè)計(jì)、配置與管理大全 .電子工業(yè)出版社， 2021 年第一版 [2]. 崔宇鵬 .校園網(wǎng)安全防御策略研究 .現(xiàn)代企業(yè)文化， 1999 年第一版 [3]. 閆宏生，王雪莉，楊軍 .計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)．電子工業(yè)出版社， 2021年第一版 。讓我更好的將理論和實(shí)踐相結(jié)合，鞏固了以前所學(xué)的知識，更加深了我對網(wǎng)絡(luò)的理解，增強(qiáng)了自己的動手能力，對以后的工作學(xué)習(xí)有了更大的幫助。特別要感謝同窗室友長期以來對我的無私幫助，沒有他們，我的論文無法順利完成。實(shí)際上，保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的各項(xiàng)標(biāo)準(zhǔn)以形成合理的評估準(zhǔn)則，更重要的是必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)的基本原則，分析網(wǎng)絡(luò)系統(tǒng)的各個(gè)不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢 。下面進(jìn)行詳細(xì)說明，并提出相應(yīng)的修改意見。 然后根據(jù)總體評估的結(jié)果，寫出評估分析報(bào)告。此時(shí)，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題 ，其中也會涉及到是否構(gòu)成犯罪行為的問題。如何讓企業(yè)擺脫網(wǎng)絡(luò)安全的威脅，是中小企業(yè)在信息化建設(shè)過程中首要解決的問題。 22 結(jié) 論 隨著中小企業(yè)信息化戰(zhàn)略的推進(jìn)，國內(nèi)企業(yè)的信息化平臺將進(jìn)入高速發(fā)展的階段。 監(jiān)視整個(gè)網(wǎng)絡(luò)的防毒動向：防毒軟件還必須可以顯示所有服務(wù)器和 工作站的防毒情況報(bào)告。 自動更新服務(wù)器和工作站上的防毒軟件：防毒程序必須能自動進(jìn)行更新，并將最新的升級文件自動分發(fā)到網(wǎng)絡(luò)上的每個(gè)工作站。 自動為網(wǎng)絡(luò)工作站安裝防毒軟件：選擇一個(gè)服務(wù)器，那么所有與這個(gè)服務(wù)器相連的工作站都會馬上完成安裝。 一個(gè)好的網(wǎng)絡(luò)防毒軟件，除了能有效殺除病毒外。因此，所有針對網(wǎng)絡(luò)環(huán)境的防毒方案都應(yīng)該提供從一個(gè)網(wǎng)絡(luò)工作站對防毒軟件進(jìn)行安裝和維護(hù)的設(shè)施?；诜?wù)器的防病毒軟件不能保護(hù)本地工作站的硬盤，有效方法是在服務(wù)器上安裝防毒軟件，同時(shí)在上網(wǎng)的工作站內(nèi)存中調(diào)入一個(gè)常駐掃毒程序，實(shí)時(shí)檢測在工作站中運(yùn)行的程序； ⑥ 對用戶 開放的特征接口，對用戶遇到的帶毒文件，經(jīng)過病毒特征分析程序，自動將病毒特征加入特征庫，以隨時(shí)增強(qiáng)抗毒能力。全天 24 小時(shí)臨近網(wǎng)絡(luò)中是否有帶毒文件進(jìn)入服務(wù)器； ③ 服務(wù)器掃描選擇。基于服務(wù)器的防毒技術(shù)一般具有以下功能： ① 服務(wù)器所有 文件掃描。 20 第四章 防火墻典型部署方案分析 第一節(jié) 隔離內(nèi)外網(wǎng)（全部隔離）部署方案 圖 隔離內(nèi)外網(wǎng)（全部隔離）部署 第二節(jié) 服務(wù)器防毒技術(shù) 服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒感染，無法啟動，整個(gè)網(wǎng)絡(luò)就會陷于癱瘓。不過，盡管云火墻相對傳統(tǒng)的防火墻技術(shù)有了很大的提升，但是距離建立起一套真正的現(xiàn)代信息安全防護(hù)體系還有著相當(dāng)?shù)木嚯x，不過，最重要的是，我們可以從中看到邁向未來安全的關(guān)鍵路標(biāo)，而這也正是云安全的本質(zhì)。我們可將云火墻劃歸到云安全，云安全的實(shí)現(xiàn)方式是通過分布在各地的計(jì)算機(jī)終端來捕捉最新可 疑的病毒信息，并及時(shí)反饋到安全軟件廠商進(jìn)行代碼解析，將分析結(jié)果保存于病毒代碼庫并及時(shí)將更新計(jì)算機(jī)終端用戶代碼庫，來迅速阻止病毒的擴(kuò)散和蔓延。然而，在實(shí)際應(yīng)用中，這一防火墻新技術(shù)，并且通過新一代云火墻系統(tǒng)，企業(yè)可以不用一下子購買服務(wù)器、防火墻等許多硬件設(shè)備，可以直接使用云火墻等安全服務(wù)，這將為企業(yè)，特別是中小企業(yè)節(jié)省很多成本，這又是它一大優(yōu)點(diǎn)。NetFlow 把防火墻變成了網(wǎng)元設(shè)備。 （ 4）云監(jiān)控：云火墻實(shí)現(xiàn)了云監(jiān)控。有些廠商的 SSL VPN 產(chǎn)品只是 VPN 接入設(shè)備，不支持防火墻、 IPS 功能，無法實(shí)現(xiàn)安全深入檢測，是不安全的 VPN 接入。 （ 2）防木馬：云火墻可以自主的、自動的、自適應(yīng)的懷疑和檢查內(nèi)網(wǎng)始發(fā)的流量，不輕易相信任何流量（盡管他來自于內(nèi)網(wǎng)），這就是網(wǎng)絡(luò)這個(gè)江湖的基本生存法則。所提供的最新惡意攻擊信息，云火墻會實(shí)時(shí)更新到 IPS 中。 圖 火云墻部署圖 18 第二節(jié) 火云墻與防火墻主要特點(diǎn) （ 1）云檢測：云檢測，就是 IPS 的全球聯(lián)動。 所謂的云其實(shí)也就是互聯(lián)網(wǎng)，今天的安全問題之所以讓人困擾，根源就在于網(wǎng)絡(luò)的主要特征，正從傳輸向著智能化的云計(jì)算演進(jìn)，正是這一變化，使得新的安全威脅變得更加難以防范。 圖 DNAT 策略設(shè)置列表 17 第三章 實(shí)力分析 第一節(jié) 部署實(shí)例 以上都是對四代防火墻的典型部署方案實(shí)例的分析，然而在隨著科技不斷發(fā)展的今天， IT 領(lǐng)域的變化讓人應(yīng)接不暇，個(gè)人認(rèn)為，由思科提出的云這一詞，讓防火墻的下一代誕生了，云安全概念給反病毒軟件廠商帶來了新的活力并迅速獲得了業(yè)界的認(rèn)可，各安全廠商都在實(shí)踐著自己的云安全之路。 16 圖 訪問策略編輯界面 實(shí)現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)（ DNAT） NAT DNAT 策略”界面，點(diǎn)擊“添加”，做訪問規(guī)則，然后設(shè)置規(guī)則參數(shù)，填寫目標(biāo) IP、目標(biāo)端口，選擇“啟用”，單擊“保存”。 ③ NAT SNAT策略”界面，點(diǎn)擊“添加”，做訪問規(guī)則，然后設(shè)置規(guī)則參數(shù)，填寫目標(biāo) IP、目標(biāo)端口，選擇“啟用”，單擊“保存”。 實(shí)現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)（ SNAT） ① 配置 SNAT 映射可以讓所 有內(nèi)部 IP 做地址轉(zhuǎn)換訪問外部。 檢查各點(diǎn)網(wǎng)絡(luò)狀況 ① 外部主機(jī) pc1（ ），可以 ping 通防火墻的 WAN 口地址，但 14 是沒有辦法到達(dá) DMZ 區(qū)的 Web 服務(wù)器，因?yàn)閷τ? 來說， Web 服務(wù)器的地址是一個(gè)其他網(wǎng)絡(luò)的內(nèi)網(wǎng)地址： 圖 外部主機(jī)與 WAN 口連通性測試 圖 外部主機(jī)與 Web 服務(wù)器連通性測試 ② Web 服務(wù)器（ ）主機(jī)，無法 ping 通外網(wǎng) PC，因?yàn)榉阑饓ι夏J(rèn)是拒絕連出的，它也無法 ping 通外網(wǎng) PC： 圖 Web 服務(wù)器與外部主機(jī)連通性測試 ③ LAN 區(qū)主機(jī) pc1（ ），無法 ping 通外網(wǎng)主機(jī)。 ② 內(nèi)網(wǎng)訪問外網(wǎng)是通過設(shè)置訪問規(guī)則控制。 圖 橋接設(shè)定界面 定義一條橋接規(guī)則：選擇 LAN、 WAN，雙擊“ ”移到右邊的框中，然后添加，添加成功，在“現(xiàn)有規(guī)則”中會出現(xiàn)一條定義好的規(guī)則，然后重啟。 13 配置橋接 ① 接要求網(wǎng) 口不能是內(nèi)網(wǎng)口，并且在該網(wǎng)口上沒有配置外線連接，將 LAN3 口（ LAN）、 LAN4 口（ WAN）上的 IP 全部去掉。 將防火墻接入當(dāng)前網(wǎng)絡(luò) ① 將防火墻按照拓?fù)渌窘尤氘?dāng)前網(wǎng)絡(luò)，由路由器引入的外線接 WAN 口，由交換機(jī)引出的內(nèi)部網(wǎng)線接 LAN 口。 圖 SNAT 策略編輯界面 二、透明模式的安裝與部署 在透明模式 (橋接模式 )下，防火墻相當(dāng)于一個(gè)網(wǎng)橋，通過將兩個(gè)網(wǎng)口橋接起來，也即將交換機(jī)和路由器直接連接起來，從而無需改動原有網(wǎng)絡(luò)結(jié)構(gòu)，將防火墻透明的加入網(wǎng)絡(luò)。 打開 IE 瀏覽器，輸入管理地址 防火墻的歡迎界面輸入用戶名和密碼，點(diǎn)擊“登錄”進(jìn)入防火墻管理系統(tǒng)。 第三節(jié) 防火墻的構(gòu)架與實(shí)現(xiàn) 一、連接與登陸配置 設(shè)備的選型 針對興渝物流有限公司的網(wǎng)絡(luò)分析，經(jīng)過研究實(shí)驗(yàn)，決定采用藍(lán)盾公司型號為 BDFWM3000 的防火墻。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Inter 及內(nèi)部網(wǎng)絡(luò)分離。這種結(jié)合通常是以下兩種方案。它工 10 作在 OSI 模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。 代理服務(wù)型防火墻 代理服務(wù) (Proxy Service)也稱鏈路級網(wǎng)關(guān)或 TCP 通道 (Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。如果某種應(yīng)用沒有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過防火墻進(jìn)行轉(zhuǎn)發(fā) 。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。它的代理功能，就是在防火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。 應(yīng)用級代理防火墻 應(yīng)用級代理技術(shù)通過在 OSI 的最高層檢查每一個(gè) IP 包，從 而實(shí)現(xiàn)安全策略。包過濾防火墻的維護(hù)比較困難，定義過濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過濾規(guī)則的不完善都會給網(wǎng)絡(luò)黑客造成可乘之機(jī)。通常是使用 80端口。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。如果沒有匹配規(guī)則，則按缺省情況處理。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理 。過濾規(guī)則是基于網(wǎng)絡(luò)層 IP包包頭信息的比較。 三、防火墻的原理及分配 國際計(jì)算機(jī)安全委員會 ICSA 將防火墻分成三大類 :包過濾防火墻，應(yīng)用級代理服務(wù)器以及狀態(tài)包檢測防火墻。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時(shí)阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問 。同時(shí)支持 URL 過濾功能。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫 。 DNAT 主要用于外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)主機(jī)。 地址轉(zhuǎn)換 網(wǎng)絡(luò)地址變換是將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 8 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT) SNAT 用于對內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。 二、防火墻的主要功能 包過濾 包過濾是一種網(wǎng)絡(luò)的