【正文】 1． 源地址轉(zhuǎn)換 (正向 NAT)，即內(nèi)部地址向外訪問時，發(fā)起訪問的內(nèi)部 IP 地址轉(zhuǎn)換為指定的 IP 地址（可含端口號或者端口范圍），這可以使內(nèi)部使用保留 IP 地址的主機訪問外部網(wǎng)絡(luò)，即內(nèi)部的多個機器可以通 過一個外部有效地址訪問外部網(wǎng)絡(luò)。 全面地址翻譯（ NAT）解決方案 方正防火墻 支持在內(nèi)部網(wǎng)和 DMZ 區(qū)使用保留的 IP 地址，通過動態(tài)的地址轉(zhuǎn)換功能實現(xiàn)對外部網(wǎng)的訪問。用戶可打印和統(tǒng)計有漏洞主機的掃描信息，并查詢漏洞的詳細信息，使用戶全面了解系統(tǒng)的安全狀況，提早做好防范措施。 掃描結(jié)果根據(jù)被掃描主機來判斷和顯示。防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 18 頁 在掃描過程中，能夠提示掃描進度。 方正的安全評估系統(tǒng) 主要針對用戶系統(tǒng)內(nèi)部的各種安全漏洞實施漏洞掃描，借以檢查出系統(tǒng)中主機的安全隱患。 3 入侵檢測和防火墻的互動 通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡(luò)的多種掃描，檢測到對網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M行響應(yīng)，包括自動防范及用戶自定義安全響應(yīng)策略等。 方正防火墻 的報警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測系統(tǒng)檢測到攻擊，報警系統(tǒng)會馬上做出反應(yīng)，通過 Email 或手機通知管理員。 2 在線升級和實時報警 由于入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此 方正防火墻 提供了非常方便的升級接口，可以通過我們的網(wǎng)站進行在線升級，而且我們提供了非常方便的用戶升級界面，使升級工作可以非常方便的完成。 可以對全部端口同時進行監(jiān)控，同時 也可以忽略指定的端口。 防火墻內(nèi)置入侵檢測模塊 在檢測到有黑客掃描服務(wù)器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進行后續(xù)的攻擊。 1 反端口掃描 一般黑客如果要對一個節(jié)點發(fā)動攻擊，首先都要掃描目標服務(wù)器的端防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 17 頁 口，確定開啟的服務(wù)，然后做出相應(yīng)的入侵方式。組裝會話后，防火墻內(nèi)核會根據(jù)會話的特征自動識別會話屬于何種應(yīng)用，并根據(jù)相應(yīng)的安全規(guī)則進 行訪問控制。 應(yīng) 用 層物 理 層鏈 路 層網(wǎng) 絡(luò) 層傳 輸 層會 話 層表 示 層智能 IP 識別新建已建相關(guān)非法會話組裝HT T PF T PS M T PP O P 3 2 3NA T規(guī)則檢查...... 方正防火墻 可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進行訪問控制，同時還對結(jié)合應(yīng)用對網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進行分析和監(jiān)控。 方正防火墻的主要功能是對指定對象進行訪問控制，并且按照設(shè)定策略對網(wǎng)絡(luò)數(shù)據(jù)進行入侵或流量等活動的統(tǒng)計，并記入日志中，供用戶察看。配合原有的特有快速搜索算法技術(shù)，方正防火墻在保證針對應(yīng)用的細致分 析和防護的同時，對產(chǎn)品的性能有大幅的提高，解決了目前內(nèi)容分析型防火墻普遍存在的效率瓶頸問題。 獨有的智能 IP 識別技術(shù)是一種基于狀態(tài)檢測的高效網(wǎng)絡(luò)檢測技術(shù)。 4． 可以定義規(guī)則計劃，使得系統(tǒng)在某一時可以自動啟用和關(guān)閉策略； 5． 具有詳細的日志功能，提供防火墻符合規(guī)則報文的信息、系統(tǒng)管理信息、系統(tǒng)故障信息的記錄，并支持日志服務(wù)器和日志導(dǎo)出； 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 15 頁 6． 具有 IPSec VPN 功能，可以實現(xiàn)跨互聯(lián)網(wǎng)安全的遠程訪問； 7． 具有郵件通知功能，可以將系統(tǒng)的告警通過發(fā)送郵件通知網(wǎng)絡(luò)管理員； 7． 具有攻擊防護功能對不規(guī)則的 IP、 TCP 報或超過經(jīng)驗閥值的 TCP半連接、 UDP 報文以及 ICMP 報文采取丟棄； 防火墻 功能 的實現(xiàn) 根據(jù) 蘭州宏宇企業(yè)狀況， 為提高 企業(yè)網(wǎng)絡(luò)信息安全性，在網(wǎng)絡(luò)結(jié)構(gòu)中使用方正防火墻 。 如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會立即將其阻斷避免其進入防火墻之后的服務(wù)器中。企業(yè)迫切需要一套 真正能夠解決網(wǎng)絡(luò)內(nèi)部和外部，防火墻和防黑客的安全解決方案， 為客戶提供可靠的網(wǎng)絡(luò)安全服務(wù) . 具體功能 事實上，由 于防火墻一般架設(shè)在提供某些服務(wù)的服務(wù)器前。 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 14 頁 第三 章 防火墻在企業(yè)網(wǎng)絡(luò)中具體功能與實現(xiàn) 隨著政府、企業(yè)、個人主機的網(wǎng)絡(luò)安全需求的與日俱增，防火墻技術(shù)應(yīng)運而生。 4 各站點通過點到點的鏈路與中心站相連。 3 這種結(jié)構(gòu)是目前在局域網(wǎng)中應(yīng)用得最為普遍的一種，在 很多 企業(yè)網(wǎng)絡(luò)中幾乎都是采用這一方式。缺點是：共享能力較差，由于通信線路總長度大，因而組網(wǎng)成本較高。為便于集中連線，目前多采用集線器 Hub 作為星型結(jié)構(gòu)的中央節(jié)點， Hub 通常有 1 1 24 個端口，每個端口相對獨立，因此當(dāng)網(wǎng)絡(luò)中的一個節(jié)點有故障時，不會影響整個局域網(wǎng)的運行。 局域網(wǎng)上具有獨立工作能力的計算機系統(tǒng)被稱之為節(jié)點，這些節(jié)點之間相互連接的方法在網(wǎng)絡(luò)術(shù)語中被稱之為網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是拋開網(wǎng)絡(luò)電纜的物理連接來討論網(wǎng)絡(luò)系統(tǒng)的連接形式，它能表示出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和互相之間的連接。 由于分公司和總公司之間的應(yīng)用系統(tǒng)的實時性要求不是很高，因此從應(yīng)用的角度也可以接受以上的備份方式。因此該線路平時不用連通，可以派做他用，不會造成線路浪費。 兩種線路接入方式的備份線路都采用 ISDN／電話線路遠程撥號的方式，主要有以下考慮： 由于該種方式利用已有的線路，十分經(jīng)濟。同時，任何一個分公司與公司總部的連接線路受損，都不會影響到其他分公司與公司總部的連接。而 蘭州宏宇 總部通過一條 6M 專線接入 VPN 網(wǎng)絡(luò)，該條專線將采用光纖接入。 VPN 系統(tǒng)規(guī)劃建議 根據(jù)網(wǎng)通公司的確認，目前這家公司已經(jīng)在全國范圍大部分的主要的城市開通了 VPN業(yè)務(wù)， 蘭州宏宇 公司分公司所在地已經(jīng)全部開通了 VPN業(yè)務(wù)。 分公司利用已有的 ISDN／電話撥號線路遠程連接到總部，通過該線路實現(xiàn)對主干線路的備份。考慮到幀中繼相對昂貴的月租費用，而顧客服務(wù)中心和倉庫的應(yīng)用比較單一，因此各顧客服務(wù)中心／倉庫分別通過 ISDN 撥號接入分公司網(wǎng)絡(luò)，再通過分公司網(wǎng)絡(luò)與總部相連。客戶服務(wù)中心則根據(jù)就近原則，通過 ISDN撥號連接到距離最近的分公司，通過分公司和總公司連接。 二 :網(wǎng)絡(luò)連接方式規(guī)劃 ，電信已經(jīng)在全國范圍大部分的主要的城市開通了幀中繼業(yè)務(wù)， 蘭州宏宇 公司分公司所在地已經(jīng)全部開通了幀中繼業(yè)務(wù)。預(yù)計每一分公司所需帶寬為 256K 左右。因此，部件容易更換，便于排除障礙，防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 9 頁 且采用集中管理方式，有利于分析、檢查、測試和維修，節(jié)約維護費用和提高工作效率。 3 便于今后擴建和維護管理 綜合布線系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)一般采用星型結(jié)構(gòu)，各條線路自成獨立系統(tǒng)，在改建或擴建時互相不會影響。 2 靈活性、適應(yīng)性強 采用傳統(tǒng)的專業(yè)布線系統(tǒng)時，如需改變終端設(shè)備的位置和數(shù)量，必須敷設(shè)新的纜線和安裝新的設(shè)備，且在施工中有可能發(fā)生傳送信號中斷或質(zhì)量下降，增加工程投資和施工時間，因此，傳統(tǒng)的專業(yè)布線系統(tǒng)的靈活性和適應(yīng)性差。 綜合布線 特點 蘭 州宏宇方案規(guī)劃的特點 1 綜合性、兼容性好 傳統(tǒng)的專業(yè)布線方式需要使用不同的電纜、電線、接續(xù)設(shè)備和其它器材，技術(shù)性能差別極大，難以互相通用，彼此不能兼容。 2 公司總部與 Inter 的連接 DDN 專線線路帶寬擴展到 4M。 蘭州宏宇 廣域網(wǎng) 方案規(guī)劃 圖 21 綜合布線（ 平面 圖 ） 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 8 頁 1 以 蘭州宏宇 公司總部為中心，各個分公司通過 VPN 或 FR 幀中繼網(wǎng) 連接到總部，建立廣域網(wǎng)的主干。 綜合布線 蘭州宏宇電腦到目前為止尚未建立公司的廣域網(wǎng)，分公司與公司總部之間使用撥號的方式通過 Inter 連接。 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 7 頁 第 二 章 綜合布線及拓撲結(jié) 構(gòu) 為適應(yīng)迅速的技術(shù)變化，使得我們必須將建筑物進行結(jié)構(gòu)化布線作為一個策略性投資加以考慮。一個典型的 UTM 產(chǎn)品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全面功能的 UTM 設(shè)備，也可以根據(jù)自己的需要選擇某幾個方面的功能。網(wǎng)絡(luò)安全方案可行性更強。且由于 UTM 的管理比較統(tǒng)一，能夠大大降低在技術(shù)管理方面的 要求，彌補中小企業(yè)在技術(shù)力量上的不足。 ，這使得中小企業(yè)在網(wǎng)絡(luò)安全方面的投入總顯得底氣不足。于是， UTM 產(chǎn)品應(yīng)運而生，并且正在逐步得到市場的認可。但由于安全產(chǎn)品來自不同的廠商，沒 有統(tǒng)一的標準，因此安全產(chǎn)品之間無法進行信息交換，形成許多安全孤島和安全盲區(qū)。易用的功能。 4．訪問的可控性：對關(guān)