【正文】 然而，隨著電子政務(wù)的開。要求高的用戶還會(huì)在數(shù)據(jù)轉(zhuǎn)移到目標(biāo)網(wǎng)絡(luò)前將其進(jìn)行殺毒處理。 最初的解 決方案很簡(jiǎn)單，通過(guò)人為的干預(yù)來(lái)實(shí)現(xiàn)。另外，許多來(lái)自外網(wǎng)，與業(yè)務(wù)相關(guān)的資料和文檔也需要傳入數(shù)據(jù)中心小機(jī)，以便數(shù)據(jù)保存。 然而，對(duì)于 榆林市政府應(yīng)急中心 系統(tǒng)而言，很多對(duì)外業(yè)務(wù)服務(wù)必須通過(guò)互聯(lián)網(wǎng)來(lái)完成。 安全隔離子系統(tǒng)規(guī)劃 在信息化的建設(shè)過(guò)程中，為了保證政府網(wǎng)絡(luò)與信息的安全， 2020 年 1 月，國(guó)家保密局頒布了《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》，其中規(guī)定“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互 聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離。 支持主動(dòng)（ Active）和被動(dòng)（ Passive）連接模式，在跨網(wǎng)段和跨防火墻的復(fù)雜網(wǎng)絡(luò)中靈活部署。 ? 分級(jí)部署 ： 對(duì)大型的分布式網(wǎng)絡(luò)環(huán)境提供分級(jí)部署功能，完成總部對(duì)下屬分支機(jī)構(gòu)的集中管理和升 級(jí)文件分發(fā)等功能。 靈活部署功能 ? 開放式接口 ： 支持 PUMA 協(xié)議。在控制臺(tái)端可以對(duì)探測(cè)器遠(yuǎn)程升級(jí)。提供備份文件信息記錄和顯示功能，防止備份文件的丟失。 附加功能 ? 網(wǎng)絡(luò)流量統(tǒng)計(jì) ： 提供對(duì)探測(cè)器監(jiān)視網(wǎng)絡(luò)環(huán)境的流量圖形化統(tǒng)計(jì)功能，可以分不同的探測(cè)器查看 TCP 連接數(shù)目，網(wǎng)絡(luò)字節(jié)流 量統(tǒng)計(jì)，網(wǎng)絡(luò)報(bào)文流量統(tǒng)計(jì)，網(wǎng)絡(luò)報(bào)警事件統(tǒng)計(jì)等多種統(tǒng)計(jì)信息。 ? 日志審計(jì)和報(bào)表 ： 日志審計(jì)功能。 ? 多種響應(yīng)方式 ： 對(duì)告警信息提供了防火墻聯(lián)動(dòng) 、 發(fā)送電子郵件 、 聲音報(bào)警 、 Windows 消息報(bào)警 、 TCP阻斷等多種響應(yīng)方式。對(duì)系 統(tǒng)自身的安全規(guī)則，可以根據(jù)需要修改告警級(jí)別，響應(yīng)方式等內(nèi)容。 ? 基于 SSL 加密和身份認(rèn)證的通訊機(jī)制，保證傳輸安全。 ? 探測(cè)器地址隱藏設(shè)計(jì)。 ? 強(qiáng)大的響應(yīng)功能，提供防火墻聯(lián)動(dòng)，郵件報(bào)警等多種響應(yīng)方式。 ? 支持 PUMA 協(xié)議，具有高擴(kuò)展性。 ? 檢測(cè)規(guī)則庫(kù)和國(guó)家反計(jì)算機(jī)入侵和防病毒研究中心合作建 設(shè) ， 保證了檢測(cè)規(guī)則庫(kù)的權(quán)威性和時(shí)效性。 ? 優(yōu)異的檢測(cè)性能，通過(guò)使用高速數(shù)據(jù)包處理技術(shù)，提高了大流量下的檢測(cè)能力，可以適應(yīng)百兆和千兆的網(wǎng)絡(luò)環(huán)境。 入侵檢測(cè)功能 ? 檢測(cè) 1500 多種攻擊手段。有效降低了漏報(bào)誤報(bào)率，提供了高可用性的告警信息。 3 運(yùn)行性能 ? IDS 采用內(nèi)存零拷貝、零系統(tǒng)調(diào)用以及獨(dú)創(chuàng)的 AMPFAT 等高性能網(wǎng)絡(luò)數(shù)據(jù)包處理技術(shù)，有效降低了網(wǎng)絡(luò)數(shù)據(jù)包的處理開銷，即使在高流量的網(wǎng)絡(luò)環(huán)境下也可以保持出色的運(yùn)行性能。 ? 利用 SSL 加密算法的 控制臺(tái) 和 探測(cè)器 間的通訊加密化 。 重新連接時(shí) 探測(cè)器 向 主控制臺(tái) 發(fā)送斷開期間保存的所有日志數(shù)據(jù) 。 ? 多 個(gè)控制臺(tái) 和多 個(gè)探測(cè)器的 連接 。 主控制臺(tái)和副控制臺(tái)可以記錄探測(cè)器的所有事件，且主控制臺(tái)可以設(shè)置探測(cè)器 的配置。 事件分析示意圖 2 智能管理模式 探測(cè)器和控制臺(tái)間 PeerToPeer 方式的分散性結(jié)構(gòu)，可以使一個(gè)探測(cè)器連接多個(gè)控制臺(tái)，或者一個(gè)控制臺(tái)連接多個(gè)探測(cè)器。 IDS 入侵檢測(cè)系統(tǒng)的核心技術(shù) 1 入侵檢測(cè)引擎 入侵檢測(cè) 引擎綜合使用了特征匹配、 協(xié)議重組、 協(xié)議分析和異常行為檢測(cè)等方法 ： ? 自適應(yīng)多協(xié)議融合分析技術(shù)（ AMPFAT， Adaptive Mutiple Protocol Fusion Analysis Technique） ：綜合采用智能協(xié)議棧判別、會(huì)話重組、依據(jù)協(xié)議的 IP 數(shù)據(jù)包數(shù)據(jù)萃取、依據(jù)協(xié)議的模式匹配、緩存“零拷貝”等 高性 能網(wǎng)絡(luò)數(shù)據(jù)包處理技術(shù) ，提高檢測(cè)效率；采用 安全策略預(yù)檢分流及事件縮略再分析技術(shù)更進(jìn)一步提高檢測(cè)性能。即能夠自動(dòng)響應(yīng)網(wǎng)絡(luò)安全事件，包 括控制臺(tái)報(bào)警；記錄網(wǎng)絡(luò)安全事件的詳細(xì)信息，并提示系統(tǒng)安全管理員采取一定的安全措施；實(shí)時(shí)阻斷連接； 支持多對(duì)多的控制臺(tái)與探測(cè)器連接方式； 支持手動(dòng)在線、離線升級(jí)、自定義自動(dòng)升級(jí)等升級(jí)方式； 1檢測(cè)速率不小于 1000M； 1能夠與防火墻形成聯(lián)動(dòng)； 選型建議 根據(jù)專網(wǎng)安全需求及設(shè)計(jì)方案，我們推薦使用基于網(wǎng)絡(luò)的入侵檢測(cè)及響應(yīng)系統(tǒng)（ NIDS）。入侵檢測(cè)安全服務(wù)中心安裝在內(nèi)部網(wǎng)管理區(qū)的一臺(tái)主機(jī)上，對(duì)入侵檢測(cè)探測(cè)器進(jìn)行控制和管理。 通過(guò)入侵檢測(cè)探測(cè)器和安全服務(wù)中心對(duì)網(wǎng)絡(luò)內(nèi)流動(dòng)的數(shù)據(jù)包進(jìn)行獲取和分析處理，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為或者符合用戶自定義策略的操作，及時(shí)報(bào)警。 入侵檢測(cè)系統(tǒng)應(yīng)能實(shí)時(shí)監(jiān)測(cè)外部黑客入侵、內(nèi)部用戶越權(quán)訪問(wèn)和誤用，并能對(duì)攻擊作出反應(yīng)，以及提供補(bǔ)救措施。 入侵檢測(cè)子系統(tǒng)規(guī)劃 設(shè)計(jì)目標(biāo) 入侵檢測(cè)系統(tǒng)是控制黑客最有效的手段之一，包括監(jiān)測(cè)和預(yù)警兩大功能，它也是對(duì)防火墻功能的合理補(bǔ)充，是防范網(wǎng)絡(luò)攻擊的又一道防線。 防火墻基本安全策略： ? 防火墻以路由方式接入； ? 防火墻通過(guò) NAT 地址轉(zhuǎn)換隱藏 榆林市政府應(yīng)急中心 系統(tǒng) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)； ? Inter 網(wǎng)絡(luò)用戶只允許訪問(wèn) 榆林市政府應(yīng)急中心 系 統(tǒng) 網(wǎng)絡(luò)的網(wǎng)上查詢服務(wù)器的受理端口； ? 只允許查詢受理服務(wù)器訪問(wèn)數(shù)據(jù)中心區(qū)的數(shù)據(jù)服務(wù)器的特定端口； ? 公共服務(wù)區(qū)的計(jì)算機(jī)只允許訪問(wèn) Inter。如下圖所示： 防火墻部署示意圖 通過(guò)對(duì)以上部署示意圖的分析，在本方案中充分考慮了設(shè)備的高可用性，因此在 局域網(wǎng)外網(wǎng)與 榆林市電子政務(wù)內(nèi) 網(wǎng)之間部署了一臺(tái)防火墻。 防火墻部署方案 根據(jù)前文描述， 榆林市政府應(yīng)急中心 系統(tǒng)網(wǎng)絡(luò)可以劃分為局域網(wǎng)外網(wǎng)邊界和數(shù)據(jù)中心網(wǎng)絡(luò)邊界，外聯(lián)網(wǎng)絡(luò)邊界和內(nèi)網(wǎng)邊界，以下主要討論局域網(wǎng)外網(wǎng)邊界的安全問(wèn)題。 （ 6） 實(shí)現(xiàn)深層次的安全 對(duì)系統(tǒng)的任何改動(dòng)都可能會(huì)影響安全，因此系統(tǒng)管理員、程序員和用戶需要充分考慮變動(dòng)將會(huì)造成的附帶影響。 （ 5） 充分考慮人的因素 在構(gòu)建安全體系時(shí)，人的因素是非常重要的。 （ 4） 明確安全設(shè)想 每個(gè)安全系統(tǒng)都有一定的假設(shè)。通常是通過(guò)網(wǎng)絡(luò)連接、撥號(hào)訪問(wèn)以及配置不當(dāng)?shù)闹鳈C(jī)入侵系統(tǒng)。 防火墻安全解決方案 安全域劃分的原則 榆林市政府應(yīng)急中心 系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)安全域的設(shè)計(jì)主要遵循以下設(shè)計(jì)原則： （ 1） 明確網(wǎng)絡(luò)資源 事實(shí)上我們不能確定誰(shuí)會(huì)來(lái)攻擊系統(tǒng)，所以在制訂安全策略 和框架 之初應(yīng)當(dāng)充分了解 部門的內(nèi)部構(gòu)架，了解要保護(hù)什么，需要什么樣的訪問(wèn)，以及如何協(xié)調(diào)所有的網(wǎng)絡(luò)資源和訪問(wèn)。 邊界保護(hù)機(jī)制的需求 1. 對(duì)源地址、目的地址和服務(wù)做出限制，并阻斷危險(xiǎn)的協(xié)議，比如 ICMP 協(xié)議。一些防火墻偏重?cái)r阻傳輸流的通行，而另一些防火墻則偏重允許傳輸流通過(guò)。 防火墻是一個(gè)或一組系統(tǒng)，它在網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略。這種網(wǎng)關(guān)的一個(gè)例子就是通常所說(shuō)的防火墻。這種邊界的實(shí)施可通過(guò)在相連的兩個(gè)網(wǎng)絡(luò)之間安全網(wǎng)關(guān)來(lái)控制其間訪問(wèn)和信息流。需要提出的是有了較完善產(chǎn)品部署只是對(duì)抗安全風(fēng)險(xiǎn)的一部分，更重要的是建立完善的安全管理制度、明確安全管理職責(zé)、重視日常安全運(yùn)維、樹立安全意識(shí)，這樣才能保證安全產(chǎn)品真正有效地發(fā)揮作用，從多方面、多層次構(gòu)建一個(gè)深度防御體系。在 榆林市政府應(yīng)急中心 系統(tǒng)的網(wǎng)絡(luò)環(huán)境中，防殺毒不能再采用傳統(tǒng)的單機(jī)殺毒方式，而應(yīng)該采用網(wǎng)絡(luò)殺毒工具和方法。 計(jì)算機(jī)病毒對(duì)主機(jī) /服務(wù)器同樣會(huì)造成極大的破壞，尤其是 Windows 2020 和 NT 服務(wù)器更容易感染病毒，病毒感染方式的多樣性、攻擊方式的復(fù)雜性和網(wǎng)絡(luò)交叉?zhèn)鞑サ奶匦远际怪鳈C(jī) /服務(wù)器時(shí)刻都面臨安全威脅。 因此，首先我們需要在 榆林市政府應(yīng)急中心 系統(tǒng)的全網(wǎng)絡(luò)系統(tǒng)中部署防病毒軟件，并且建成后的網(wǎng)絡(luò)防病毒系統(tǒng)要具有以下功能特點(diǎn)： ? 網(wǎng)絡(luò)集中分布式管理 ? 基于策略的防病毒管理 ? 客戶端策略鎖定 ? 策略強(qiáng)制執(zhí)行 ? 網(wǎng)絡(luò)自動(dòng)安裝 ? 網(wǎng)絡(luò)智能化增量升級(jí) ? 網(wǎng)絡(luò)集中報(bào)警功能 ? 新病毒樣本收集與提交 ? 管理高效性 客戶 PC 是用戶訪問(wèn)業(yè)務(wù)信息、進(jìn)行業(yè)務(wù)操作的前臺(tái)，很多客戶 PC 都是基于微軟 Windows平 臺(tái)的。 對(duì)于 榆林市政府應(yīng)急中心 系統(tǒng)網(wǎng)絡(luò)來(lái)說(shuō)，一個(gè)完整的立體的病毒防護(hù)機(jī)制是十分必要的，網(wǎng)絡(luò)中病毒的安全防護(hù)，是要建立企業(yè)整體防病毒體系，對(duì)從網(wǎng)絡(luò)入口到網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計(jì)算機(jī)設(shè)備采取全面病毒防護(hù)， 并且需要在網(wǎng)絡(luò)中心設(shè)置病毒防護(hù)管理中心，可以使反病毒工作按照不同部門或地域的實(shí)際情況，分組設(shè)置反病毒管理工作。 當(dāng)前的病毒發(fā)展呈現(xiàn)出復(fù)合型威脅態(tài)勢(shì)，傳播方式多樣化、速度極快，在網(wǎng)絡(luò)中極易形成交叉感染的狀況，同時(shí)計(jì)算機(jī)病毒的危害也不再只限于破壞文件和本機(jī)，它甚至可以發(fā)動(dòng)網(wǎng)絡(luò)攻擊，導(dǎo)致網(wǎng)絡(luò)設(shè)備和服務(wù)器崩潰。 ? 服務(wù)要求 入侵檢測(cè)系統(tǒng)必須提供全面的服務(wù)，入侵特征庫(kù)的升級(jí)必須要及時(shí)，并且要提供對(duì)入侵檢測(cè)報(bào)表的分析幫助。報(bào)警信息要分為不同的級(jí)別：對(duì)有入侵動(dòng)機(jī)的行為向用戶顯示提示信息、對(duì)嚴(yán)重的違規(guī)現(xiàn)象實(shí)行警告通知、對(duì)極其危險(xiǎn)的攻擊可通過(guò)網(wǎng)管或者互動(dòng)防火墻進(jìn)行及時(shí)阻斷、以及向安全管理中心報(bào)告。 ? 實(shí)時(shí)響應(yīng)要求 當(dāng)入侵檢測(cè)報(bào)警系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)入侵和內(nèi)部的違規(guī)操作時(shí)，將針對(duì)預(yù)先設(shè)置的規(guī)則，對(duì)事件進(jìn)行實(shí)時(shí)應(yīng)急 響應(yīng)?？梢赃x擇不同的時(shí)間間隔生成報(bào)表，反映用戶在一定時(shí)期內(nèi)受到的攻擊類型、嚴(yán)重程度、發(fā)生頻率、攻擊來(lái)源等信息，使管理員隨時(shí)對(duì)網(wǎng)絡(luò)安全狀況有正確的了解。 ? 日志審計(jì)要求 系統(tǒng)能對(duì)入侵警報(bào)信息分類過(guò)濾、進(jìn)行統(tǒng)計(jì)或生成報(bào)表。 針對(duì) 榆林市政府應(yīng)急中心 系統(tǒng) 的具體情況和行業(yè)特點(diǎn)，我們得到的入侵檢測(cè)的需求包括以下幾個(gè)方面： ? 入侵檢測(cè)要求 能夠?qū)粜袨檫M(jìn)行檢測(cè)，是對(duì)入侵檢測(cè)設(shè)備的核心需求，要求可以檢測(cè)的種類包括：異常行為檢測(cè)（包括針對(duì)各種服務(wù)器的攻擊等）、可移動(dòng)存儲(chǔ)設(shè)備檢測(cè)、撥號(hào)上網(wǎng)檢測(cè)等等。 因此，入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全體系的第二道防線，對(duì)在防火墻系統(tǒng)阻斷攻擊失敗時(shí)，最大限度地減少相應(yīng)的損失。 ? 在遭到黑客攻擊后，因防火墻不保留數(shù)據(jù)包內(nèi)容的日志，所以事后無(wú)法把日志作為監(jiān)查日志，而入侵檢測(cè)系統(tǒng)把數(shù)據(jù)包內(nèi)容完整的作為日志保留，可用于事后的審計(jì)。防 火墻在進(jìn)行邊界防護(hù)方面，其局限性主要體現(xiàn)在以下幾個(gè)方面： ? 防火墻無(wú)法探測(cè)及完全防御流行的拒絕服務(wù)攻擊 (DoS/DDoS)及尼姆達(dá) (Nimda)病毒等的攻擊。 防火墻系統(tǒng)是基于策略的對(duì)網(wǎng)絡(luò)邊界實(shí)施靜態(tài)安全防范的技術(shù)，根據(jù)系統(tǒng)的策略 (IP Address/port/…) 只允許通過(guò)策略所允許的數(shù)據(jù)包，但不能切斷隱藏在正常數(shù)據(jù)包中的黑客攻擊試圖。同時(shí)， 入侵檢測(cè)系統(tǒng) 還 可以形象地重現(xiàn)操作的過(guò)程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，或執(zhí)行用戶自定義的安全策略等。 入侵檢測(cè) 需求 利用防火墻技術(shù)，經(jīng)過(guò)仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了 網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)，但是入侵者可尋找防火墻背后可能敞開的后門，或者入侵者也可能就在防火墻內(nèi)。 ? 具有自定義傳輸協(xié)議要求 系統(tǒng)能夠支持自定義信息交換報(bào)文和協(xié)議進(jìn)行信息傳遞和交換，防止黑客利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的各種漏洞進(jìn)行攻擊 ? 具有可審計(jì)功能要求 所有數(shù)據(jù)交換操作都必須有詳細(xì)的日志記錄，配合數(shù)字簽名等措施，系統(tǒng)必須提供有效的審計(jì)數(shù)據(jù)，和審計(jì)工具。 ? 高速網(wǎng)絡(luò)切換要求 由于 榆林市政府應(yīng)急中心 系統(tǒng)有網(wǎng)上數(shù)據(jù)查詢系統(tǒng)，因此要求隔離交換系統(tǒng)能夠有比較快的數(shù)據(jù)交換能力，不影響處理業(yè)務(wù)的正常效率。 針對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)，由于兩個(gè)區(qū)域要求的安全級(jí)別不同，那么最安全的方式就是物理隔離，使數(shù)據(jù)中心網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)在物理隔離的前提下，還能夠確小機(jī)中的數(shù)據(jù)通 過(guò)網(wǎng)閘“擺渡”到辦公網(wǎng)絡(luò)進(jìn)行處理。當(dāng)外網(wǎng)需要向內(nèi)網(wǎng)傳遞數(shù)據(jù)時(shí)（反之也亦然），數(shù)據(jù)首先被傳遞到外網(wǎng)主機(jī)模塊，然后在系統(tǒng)內(nèi)被送往安全通道；安全通道采用“信息擺渡”技術(shù)，使信息能夠從外網(wǎng)主機(jī)模塊“擺渡”到和內(nèi)網(wǎng)主機(jī)模塊，進(jìn)一步被傳遞到內(nèi)網(wǎng)。 隔離 交換 技術(shù) 隔離交換技術(shù)是針對(duì)不同安全級(jí)別網(wǎng)絡(luò)之間的隔離需求而研制的一種新型物理隔離系統(tǒng)，工作在不同安全級(jí)別的網(wǎng)段之間，利用“信 息擺渡技術(shù)”，終斷了原有的 TCP/IP 連接，使得沒(méi)有任何存活的 TCP/IP 連接能穿過(guò)該系統(tǒng)，從而有效防止針對(duì)網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)漏洞的各種攻擊，并且在物理上斷開內(nèi)外網(wǎng)絡(luò)連接的同時(shí)，還能夠?qū)崿F(xiàn)適度的、可控的內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)交換，其工作原理如下圖所示： 安全隔離網(wǎng)閘工作原理圖 隔離交換系統(tǒng)主要有外網(wǎng)主機(jī)模塊、外網(wǎng)通信網(wǎng)口、內(nèi)網(wǎng)主機(jī)模塊、內(nèi)網(wǎng)通信網(wǎng)口和安全通道組成，外網(wǎng)主機(jī)模塊和內(nèi)網(wǎng)主機(jī)模塊采用獨(dú)立的系統(tǒng)，包含各自的處理單元和存儲(chǔ)單元， 分別連接可信內(nèi)網(wǎng)和非可信的網(wǎng)絡(luò)，負(fù)責(zé)對(duì)應(yīng)用數(shù)據(jù)進(jìn)行預(yù)處理及安全檢查。 ? 易于管理 系統(tǒng) 的安裝、配置與管理盡可能的簡(jiǎn)潔，安裝便捷、配置靈活、操作簡(jiǎn)單?？梢杂行У挚咕芙^服務(wù)攻擊的能力，防范攻擊者利用 TCP/IP 協(xié)議自身弱點(diǎn)發(fā)起對(duì) 榆林市政府應(yīng)急中心 專網(wǎng)系統(tǒng)的攻擊。 ? 身份認(rèn)證 防火墻本身必須支持身份認(rèn)證的功能，在簡(jiǎn)單的地方可以實(shí)現(xiàn)防火墻本身自帶數(shù)據(jù)庫(kù)的身份認(rèn)證，在大型的情況下，可以支持與 RADIUS 等認(rèn)證服務(wù)器的結(jié)合使用。 ? 高可靠性 由于防火墻是網(wǎng)絡(luò)中的重要設(shè)備，意外的宕機(jī)都會(huì)造成網(wǎng)絡(luò)的癱瘓，因此防火墻必須是運(yùn)行穩(wěn)定，故障率低的系統(tǒng)，并且要求能夠?qū)崿F(xiàn)雙機(jī)熱備，最好能夠?qū)崿F(xiàn)防火墻集群技術(shù)，以保證不間斷的網(wǎng)絡(luò)服務(wù)。 I N