【正文】 在應用系統(tǒng)安全上，主要考慮通信的授權 ，傳輸?shù)募用芎蛯徲嬘涗?。對于操作系統(tǒng)的安全防范可以 采取如下策略：網(wǎng)絡上的服務器和網(wǎng)絡設備絕對不能采取同一家的產(chǎn)品 ；系統(tǒng)內(nèi)部調(diào)用不對 Inter 公開 ；關鍵性信息不直接公開。能夠從多層次進行病毒防范，第一層工作站、第二層服務器、第三層網(wǎng)關都能有相應的防毒軟件提供完整的、全面的防病毒保護。 防病毒客戶端安裝在系統(tǒng)的關鍵主機中，如關鍵服務器、工作站和網(wǎng)管終端。支持對網(wǎng)絡、服務器和工作站的實時病毒監(jiān)控；能夠在中心控制臺向多個目標分發(fā)新版殺毒軟件，并監(jiān)視多個目標的病毒防治情況；支持多種平臺的 病毒防范；能夠識別廣泛的已知和未知病毒，包括宏病毒；支持對 Inter/Intra 服務器的病毒防治，能 夠 阻止惡意的 Java 或 Active X 小程序的破壞；支持對電子郵件附件的病毒防治，包括 WORD、 EXCEL 中的宏病毒；支持對壓縮文件的病毒檢測；支持廣泛的病毒處理選項，如對染毒文件進行實時殺毒，移出，刪除，重新命名等；支持病毒隔離，當客戶機試圖上載一個染毒文件時，服務器可自動關閉對該工作站的連接；提供對病毒特征信息和檢測引擎的定期在線更新服務；支持日志記錄功能；支持多種方式的告警功能（聲音、圖象、 EMAIL 等）等。 在教育網(wǎng)網(wǎng)絡系統(tǒng)中，所選的防毒軟件應該構造全網(wǎng)統(tǒng)一的防病毒體系。 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術在網(wǎng)絡安全中的應用 第 30 頁 ? 消毒技術：它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復原文件的軟件。這類技術有，加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。 校園網(wǎng) 防火墻配置方案， 如下圖所示： 121 校園 網(wǎng) 安全解決方案 防病毒 (IDS/IPS) 由于在網(wǎng)絡環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，因此計算機病毒的防范是網(wǎng)絡安全性建設中重要的一環(huán)。而 IDS 是旁路監(jiān)聽設備，它放置在需要保護的網(wǎng)絡之中，當網(wǎng)絡內(nèi)部有攻擊出現(xiàn)時它將信息交給防火墻，防火墻對這些攻擊進行控制或隔離。 ? 防火墻主要是針對非法訪問攻擊進行限制防御，而 IDS（入侵監(jiān)測系統(tǒng)）則針對合法訪問形成的攻擊進行檢測，并通過防火墻進行限制，所以對于一個安全的網(wǎng)絡 IDS 也是必不可少的。 ? 由于防火墻采用專用操作系統(tǒng)，而且源代碼不為大眾所知，所以有很好的安全性。在 防火墻 中還有針對 HTTP、 FTP 的命令級控制，可以針對對象組進行命令的限制，這樣保證了合法訪問的不安全命令。而且防火墻 都可以將日志定向到日志服務器上，將網(wǎng)絡訪問的細節(jié)記錄下來。另外還支持帶寬借用功能，在主應用帶寬有富余的時候其他應用可以借用它的帶寬，這樣使得整個學校有限的帶寬得到了合理的使用。網(wǎng)管人員只要將常見的不良信息站點添加到過濾規(guī)則中或者添入關鍵字即可屏蔽掉這些不良站點。這樣就不需要管理人員一臺一臺去檢查計算機的 IP 了。如果在校園網(wǎng)出口防止 防火墻則可以防止Inter 或者本校之外的用戶攻擊校園網(wǎng)，如果在學院與校園網(wǎng)接口處放置防火墻則可以將本學院與校園網(wǎng)隔離，防止處本院以外的其他攻擊，還可以按照訪問規(guī)則將本院內(nèi)部的攻擊限定在本學院內(nèi)部，以免影中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術在網(wǎng)絡安全中的應用 第 28 頁 響其他學院。神州數(shù)碼防火墻 可以在網(wǎng)絡層、傳輸層和應用層上進行數(shù)據(jù)的安全保護和過濾。如何實現(xiàn)這一功能 呢？對訪問如何進行控制，如何進行記錄呢？ 校園 網(wǎng)安全解決方案 防火墻 防火墻主要用于對網(wǎng)絡和系統(tǒng)的保護，它是通過允許或禁止數(shù)據(jù)包經(jīng)過網(wǎng)絡的不同層來實現(xiàn)的，而網(wǎng)絡本身是一個層次結構，因此安全問題也是分層次的。 教育網(wǎng)安全需求 隨著對教育信息化的投入，針對學校的特殊情況，網(wǎng)絡建設好 以后將會面臨一系列的問題： ? 學校連接 Inter，如何避免外界入侵？如何保證校園網(wǎng)正常運行？ ? 對于 各大高 校來說每個學院都有自己的機房，自己的實驗網(wǎng)，加之學校的學生對什么都比較好奇，網(wǎng)絡上黑客工具泛濫，如何將網(wǎng)絡攻擊隔離在一個很小的范圍內(nèi)？ ? 如何檢測網(wǎng)絡上的攻擊，又如何將攻擊阻斷？ ? 如何在一個攻擊還沒有形成就發(fā)現(xiàn)系統(tǒng)存在的漏洞，盡量將事后轉化到事前解決？ 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術在網(wǎng)絡安全中的應用 第 27 頁 ? 學校計算機數(shù)目比較多，這樣就對整個網(wǎng)絡的管理造成了不便。責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。應用的安全性也涉及到信息的安全性，它包括很多方面，如應用廣泛的電子郵件服務、 WWW 服務、 DNS 服務等等。 應用層 安全風險 應用系統(tǒng)的安全跟具體的應用是有關的，它涉及很多方面。 網(wǎng)絡層安全風險 網(wǎng)絡結構的安全涉及到網(wǎng)絡拓撲結構、網(wǎng)絡路由狀況及網(wǎng)絡的環(huán)境中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術在網(wǎng)絡安全中的應用 第 26 頁 等，除此之外還包括網(wǎng)絡設備，如交換機、路由器本身是否存在安全隱患或錯誤的配置。以及高可用性的硬件、雙機多冗余的設計、機房環(huán)境及報警系統(tǒng)、安全意識等。 物理層安全風險 網(wǎng)絡的物理安全是整個教育網(wǎng)網(wǎng)絡系 統(tǒng)安全的前提。 針對教育網(wǎng)絡的安全隱患和漏洞，非法用戶和黑客可以制造出各種安全風險，這些風險由多種因素引起，與教育網(wǎng)的系統(tǒng)結構和應用，教育網(wǎng)的服務器和終端的可靠性等因素息息相關。 校園 網(wǎng)安全現(xiàn)狀分析 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術在網(wǎng)絡安全中的應用 第 25 頁 隨著網(wǎng)絡的高速發(fā)展，網(wǎng)絡的安全問題日益突出，近兩年間，黑客攻擊、網(wǎng)絡病毒等等已經(jīng)屢屢曝光，國家相關部門也一再三令五申要求切實做好網(wǎng)絡安全建設和管理工作。在互聯(lián)網(wǎng)時代，教育事業(yè)現(xiàn)代化的進程將與教育網(wǎng)絡的建設程度緊密相連，加快教育網(wǎng)絡信息化建設日顯重要。甚至部分程序不需要人為的參與，非常智能化的掃描和破壞整個網(wǎng)絡。網(wǎng)絡中有大量的攻擊工具和攻擊文章等資源，可以任意使用和共享。 幾乎所有接觸網(wǎng)絡的人都知道網(wǎng)絡中有一些費盡心機闖入他人計算機系統(tǒng)的人，他們利用各種網(wǎng)絡和系統(tǒng)的漏洞，非法獲得未授權的訪問信息。隨著網(wǎng)絡的延伸，安全問題受到人們越來越多的關注。我們通過網(wǎng)絡獲得信息，共享資源。 另外值得一提的是，伴隨著防火墻技術的不斷發(fā)展，人們選擇防火墻的標準 將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環(huán)境和硬件要求、 VPN 的功能與 CA 的功能、接口的數(shù)量、成本等幾個方面。 5)對網(wǎng)絡攻擊的檢測和各種告警將成為防火墻的重要功能。 中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術在網(wǎng)絡安全中的應用 第 24 頁 3)利用防火墻建立專用網(wǎng)是較長一段時間用戶使用的主流， IP 的加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點。下面諸點可能是下一步的走向和選擇： 1)防火墻將從目前對子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠程上網(wǎng)集中管理的方式發(fā)展。 11 防火墻的反戰(zhàn)前景以及技術方向 伴隨著 Inter 的飛速發(fā)展，防火墻技術與產(chǎn)品的更新步伐必然會加強，而要全面展望防火墻技術的發(fā)展幾乎是不可能的。像 SYN 泛濫這類更復雜的拒絕服務攻擊需要廠商部署更先進的檢測和避免方案來對付。 雖然沒有防火墻可以防止所有的拒絕服務攻擊，但防火墻廠商一直在盡其可能阻止拒絕服務攻擊。在拒絕服務攻擊中，攻擊者試圖使企業(yè) Inter 服務飽和或使與它連接的系統(tǒng)崩潰，使 Inter無法供企業(yè)使用。防火墻還在它們的 Web 代理中包括時間限制功能，允許非工作時間的沖浪和登錄，并提供沖浪活動的報告。例如，許多防火墻具有內(nèi)置病毒和內(nèi)容掃描功能或允許用戶與病毒與內(nèi)容掃描程序進行集成。盡管基于 NT 的防火墻通常落后于基于 Unix 的防火墻，但 NT 平臺的簡單性以及它方便的可用性大大推動了基于 NT 的防火墻的銷售。 NT 防火墻 市場的發(fā)展證明了這種趨勢。同時，若防火墻的管理過于困難，則可能會造成設定上的錯誤，反而不能達到其功能。防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達到目的的主要考慮因素之一。 簡化的安裝與管理 防火墻的確可以幫助管理員加強內(nèi)部網(wǎng)的安全性。選擇哪種防火墻，除了應考慮它的基本性能之外，毫無疑問，還應考慮用戶的實際需求與未來網(wǎng)絡的升級。另外防火墻系統(tǒng)中集成的VPN 解決方案必須是真正的線速運行，否則將成為網(wǎng)絡通信的瓶頸?，F(xiàn)在大多數(shù)的防火墻產(chǎn)品都支持 NAT 功能，它可以讓防火墻受保護的 一邊的 IP 地址不至于暴露在沒有保護的另一邊，但是啟用 NAT 后勢必會對防火墻系統(tǒng)的性能有所影響。數(shù)據(jù)通過率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過防火墻時會產(chǎn)生延時。 10 防火墻的發(fā)展趨勢 優(yōu)良的性能 新一代的防火墻系統(tǒng)不僅應該能夠更好地保護防火墻后面內(nèi)部網(wǎng)絡的安全，而且應該具有更為優(yōu)良的整體性能。第四代防火墻采用了地址轉換技術，將內(nèi)部網(wǎng)絡隱蔽起來，使網(wǎng)絡安全分析工具無法從外部對內(nèi)部網(wǎng)絡做分析。 4 抗網(wǎng)絡安全性分析 網(wǎng)絡安全性分析工具是提供管理人員分析網(wǎng)絡安全性之用的，一旦這類工具用作攻 擊網(wǎng)絡的手段，則能夠比較方便地探測到內(nèi)部網(wǎng)絡的安全缺陷和弱點所在。此外，攻擊者還常常利用一些常用口令字直接登錄。 3 抗口令字探尋攻擊 在網(wǎng)絡中探尋口令的方法很多，最常見的是口令嗅探和口令解密。必須指出的是，防火墻能抗特洛伊木馬的攻擊并不表明其保護的某個主機也能防止這類攻擊。 2 抗特洛伊木馬攻擊 特洛伊木馬能將病毒或破壞性程序傳入計算機網(wǎng)絡，且通常是將這些惡意程序隱蔽在正常的程序之中，尤其是熱門程序或游戲，一些用戶下載并執(zhí)行這中南林業(yè)科技大學 本 科畢 業(yè) 設計 防火墻技術在網(wǎng)絡安全中的應用 第 21 頁 一程序，其中的病毒便會發(fā)作。 1 抗 IP 假冒攻擊 IP 假冒是指一個非法的主機假冒內(nèi)部的主機地址， 騙取服務器的 “信任 ”，從而達到對網(wǎng)絡的攻擊目的。 第四代防火墻的抗攻擊能力 作為一種安全防護設備，防火墻在網(wǎng)絡中自然是眾多攻擊者的目標，故抗攻擊能力也是防火墻的必備功能。告警功能會守住每一個 TCP 或 UDP探尋，并能以發(fā)出郵件、聲響等多種方式報警。 9) 用戶定制服 務 為了滿足特定用戶的特定需求，第四代防火墻在提供眾多服務的同時，還為用戶定制提供支持，這類選項有：通用 TCP、出站 UDP、 FTP、 SMTP 等，如果某一用戶需要建立一個數(shù)據(jù)庫的代理，便可以利用這些支持，方便設置。 8) 用戶鑒別與加密 為了減低防火墻產(chǎn)品在 Tnl、 FTP 等服務和遠程管理上的安全風險，鑒別功能必不可少。 SSN 方法提供的安全性要比傳統(tǒng)的 “隔離區(qū) (DMZ)”方法好得多，因為 SSN與外部網(wǎng)之間有防火墻保護， SSN 與風部網(wǎng)之間也有防火墻的保護，而 DMZ只是一種在內(nèi)、外部網(wǎng)絡網(wǎng)關之間存在的一種防火墻方式。 7) 安全服務器網(wǎng)絡 為了適應越來越多的用戶向 Inter 上提供服務時對服務器的需要，第四代防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務器實施保護，它利用一張網(wǎng)卡將對外服務器作為一個獨立網(wǎng)絡處理，對外服務器既是內(nèi)部網(wǎng)絡的一部分，又與內(nèi)部網(wǎng)關完全隔離，這就是安全服務器網(wǎng)絡 (SSN)技術。 SMTP 與 POP 郵件服務器要對所有進、出防火墻的郵件做處理，并利用郵件映射與標頭剝除的方法隱除內(nèi)部的郵 件環(huán)境。在 WWW 服務器中，只支持靜態(tài)的網(wǎng)頁，而不允許圖形或 CGI 代碼等在防火墻內(nèi)運行。 在域名服務方面，第四代防火墻采用兩種獨立的域名服務器：一種是內(nèi)部DNS 服務器，主要處理內(nèi)部網(wǎng)絡和 DNS 信息；另一種是外部 DNS 服務器，專門用于處理機構內(nèi)部向 Inter 提供的部分 DNS 信息 。 6) Inter 網(wǎng)關技術 由于是直接串聯(lián)在網(wǎng)絡之中，第四代防火墻必須支持用戶在 Inter 互聯(lián)的所有服務，同時還要防止與 Inter 服務有關的安全漏洞，故它要能夠以多種安全的應用服務器 (包括 FTP、 Finger、 mail、 Ident、 News、 WWW 等 )來實現(xiàn)網(wǎng)關功能。在分組過濾一級，能過濾掉所有的源路由分組和假冒 IP 地址；在應用級網(wǎng)關一級，能利用 FTP、 SMTP 等各種網(wǎng)關，控制和監(jiān)測 Inter 提供的所有通用服務；在電路網(wǎng)關一級，實現(xiàn)內(nèi)部主機與外部站點的透明連接 ，并對服務的通行實行嚴格控制。前者采用網(wǎng)絡地址轉接 (NIT)技術來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術來解決。第四代防火墻利用了透明的代理系統(tǒng)技術，從而降低了系統(tǒng)登錄固有的安全風險和出錯概率。 1) 雙端口或三端口的結構 新一代防火墻產(chǎn)品具有兩 個或三個獨立的網(wǎng)卡，內(nèi)外兩個網(wǎng)卡可不做 IP 轉化而串接于內(nèi)部與外部之間，另一個網(wǎng)卡可專用于對服務器的安全保護。 操 作系統(tǒng)上的防火墻 的缺點 1)作為基礎的操作系統(tǒng)及其內(nèi)核往往不為 防火墻管理者所知，由于源碼的保密，其安全性 無從保證； 2)