【正文】 現負載分擔，應用服務器不要求都放在防火墻后面。OPSEC提供應用開發(fā)接口（API）以集成第三方內容過濾系統(tǒng)。內容安全服務可以通過定義特定的資源對象，制定與其它安全策略類似的規(guī)則來完成。l 動態(tài)地址翻譯（也稱為隱藏模式）：把一個內部網的地址段轉換成一個合法地址，以解決企業(yè)的合法IP地址太少的問題，同時隱藏內部網絡結構，提高網絡安全性能。靜態(tài)源地址翻譯與靜態(tài)目的地址翻譯通常是配合使用的。l FireWall1提供多種認證機制供用戶選擇：S/Key，FireWall1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。l 會話認證（Session Authentication）：提供基于服務會話的的透明認證，與IP無關?？蛻魴C不需要添加任何附加的軟件或做修改。l 客戶機認證（Client Authentication）：基于客戶機IP的認證，對訪問的協議不做直接的限制。FireWall1的認證服務集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認證會話。認證（Authentication）遠程用戶和撥號用戶可以經過FireWall1的認證后，訪問內部資源。防火墻模塊、狀態(tài)檢測模塊以及其它可選模塊用來執(zhí)行安全策略，安裝了這些模塊的系統(tǒng)稱為受保護對象（Firewalled System），又稱為安全策略執(zhí)行點（Security Enforcement Point）。這些模塊可以通過不同數量、平臺的組合配置成靈活的客戶機/服務器結構。分布的客戶機/服務器結構FireWall1通過分布式的客戶機/服務器結構管理安全策略，保證高性能、高伸縮性和集中控制。l 日志管理器：提供可視化的對所有通過防火墻網關的連接的跟蹤、監(jiān)視和統(tǒng)計信息，提供實時報警和入侵檢測及阻斷功能。FireWall1直觀的圖形用戶界面為集中管理、執(zhí)行企業(yè)安全策略提供了強有力的工具。FireWall1管理員通過一個防火墻管理工作站管理該規(guī)則庫，建立、維護安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)檢測模塊的系統(tǒng)上。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個規(guī)則庫里。目前已有包括IBM、HP、Sun、Cisco、BAY等超過135個公司加入到OPSEC聯盟。OPSEC允許用戶通過一個開放的、可擴展的框架集成、管理所有的網絡安全產品。腳本文件是ASCII文件，可以編輯，以滿足用戶特定的安全要求。INSPECT是一個面向對象的腳本語言，為狀態(tài)檢測模塊提供安全規(guī)則。狀態(tài)檢測技術對應用程序透明，不需要針對每個服務設置單獨的代理，使其具有更高的安全性、高性能、更好的伸縮性和擴展性，可以很容易把用戶的新應用添加到保護的服務中去。狀態(tài)檢測模塊檢驗IP地址、端口以及其它需要的信息以決定通信包是否滿足安全策略。網絡和各種應用的通信狀態(tài)動態(tài)存儲、更新到動態(tài)狀態(tài)表中，結合預定義好的規(guī)則，實現安全策略。狀態(tài)檢測模塊能夠理解并學習各種協議和應用，以支持各種最新的應用。狀態(tài)檢測機制FireWall1采用CheckPoint公司的狀態(tài)檢測（Stateful Inspection）專利技術，以不同的服務區(qū)分應用類型，為網絡提供高安全、高性能和高擴展性保證。 企業(yè)級產品：可以有若干基本模塊和可選模塊以及圖形用戶界面組成，特別是可能配置較多的防火墻模塊和獨立的狀態(tài)檢測模塊。 單網關產品：只有防火墻模塊（包含狀態(tài)檢測模塊）、管理模塊和圖形用戶界面各一個，且防火墻模塊和管理模塊必須安裝在同一臺機器上。FireWall1提供單網關和企業(yè)級兩種產品組合。 日志查看器：查看經過防火墻的連接，識別并阻斷攻擊；252。l 圖形用戶界面（GUI）：是管理模塊功能的體現，包括252。 路由器安全管理模塊（Router Security Management）：提供通過防火墻管理工作站配置、維護3Com，Cisco，Bay等路由器的安全規(guī)則；252。 管理模塊（Management Module）：對一個或多個安全策略執(zhí)行點（安裝了FireWall1的某個模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的安全管理功能；l 可選模塊252。 狀態(tài)檢測模塊（Inspection Module）：提供訪問控制、客戶機認證、會話認證、地址翻譯和審計功能；252。 對服務器訪問的控制建議使用以下的方式：l 控制臺訪問控制 l 限制訪問空閑時間 l 口令的保護 l 多級管理員權限 . CheckPoint FireWall1 作為開放安全企業(yè)互聯聯盟(OPSEC)的組織和倡導者之一，CheckPoint公司致力于企業(yè)級網絡安全產品的研發(fā)，據IDC的最近統(tǒng)計，其FireWall1防火墻在市場占有率上已超過44%，《財富》排名前100的大企業(yè)里近80%選用了CheckPoint FireWall1防火墻。對不同型號、廠家的網絡設備，要防范的內容是一樣的，但具體的配置方法須依照設備要求來實現。 . 安全方案 根據對信息網現階段的安全需求分析，我們在設計本安全方案時，將采取一切有力的措施，來實現信息網現階段的安全目標，考慮到現階段對網絡病毒的管理要求，本方案提出對網絡病毒防范和管理控制建議，并提出了現階段的網絡安全管理方案。 l 網絡安全管理在網絡上設置防病毒安全檢測系統(tǒng)后，必須保證防病毒系統(tǒng)的設置正確，且其配置不允許被隨便修改。安全管理主要包括兩個方面：l 內部安全管理主要是建立內部安全管理制度，如機房管理制度、設備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應急制度等，并采取切實有效的措施保證制度的執(zhí)行。對于信息網絡內部安全需求，包括：l 能夠滿足信息網絡內的授權用戶對相關專用網絡資源訪問； l 能夠對于非授權用戶的訪問進行有效控制和報警； l 能夠堅決杜絕病毒和其他危險程序進入網絡； l 能夠對于遠程訪問用戶進行安全管理； l 加強對于整個信息網絡資源和人員的安全管理與培訓。其中，主要包括：l 對于網絡應用服務的非授權訪問 l 信息交互的保密性 l 網絡病毒的傳播與滲入 l 網絡黑客行為 通過對以上主要的網絡威脅分析，使我們能夠準確把握信息網的網絡安全需求。對于在信息網環(huán)境中，采取何種安全技術手段且如何實現，就需要通過對前面提到第四方面的安全風險的分析的基礎上，針對信息網安全需求來確定。同時需要相應的安全技術手段輔助完成。而對于第四方面的安全風險，對整個信息網的安全環(huán)境所構成的危害最大，同時也是最難于管理與防范的。. 局域網拓撲圖. 局域網防火墻及防病毒解決方案 . 網絡安全風險分析 對于信息網所面臨的安全風險涉及網絡環(huán)境多方面，包括：l 自然災害——水災、火災、地震等； l 電子化系統(tǒng)故障——系統(tǒng)硬件、電力系統(tǒng)故障等； l 人員無意識行為——編碼缺陷、系統(tǒng)配置漏洞、誤操作及無意泄漏等； l 人員蓄意行為——網絡環(huán)境可用性破壞、惡意攻擊等。產品特性： l 全面保護Windows操作系統(tǒng)l 支持打開文件備份l 支持對各種數據庫如Betrieve、Sybase、Oracle等的備份l 支持從服務器到工作站的全面網絡備份l 可以實現無人值守的自動備份l 備份前掃描病毒，可以實現無毒備份l 支 持災難恢復. Cisco網絡管理CiscoWorksWindows是全面的網絡管理軟件，它提供一整套強有力的工具，可用于管理小型到中型企業(yè)網或工作組。CA公司的軟件產品涵蓋大型網絡管理、數據庫系統(tǒng)和工具軟件等諸多方面。根據系統(tǒng)自身的特點和對備份功能的要求，我們建議 在本系統(tǒng)中采用CA公司的ARC serve備份系統(tǒng)。 一旦發(fā)生數據失效， 企業(yè)就會陷入困境： 客戶資料、 技術文件、 財務賬目等數據可能被破壞得面 目全非， 如果系統(tǒng)無法順利恢復， 最終結局將不堪設想。6）多媒體信息傳輸根據客戶的需求，本系統(tǒng)采用Microsoft NetMeeting構建多媒體會議系統(tǒng)。使用Microsoft Visual InterDev ，您可以快速建立您的電子商務系統(tǒng)，也可以建立一個復雜但是功能強勁的電子商務系統(tǒng)。ASP提供了強大的功能和與Windows的緊密集成，同時ASP 。這為電子商務系統(tǒng)提供了即靈活又可靠的對用戶身份的確認。這大大提高了Web服務器的可靠性和穩(wěn)定性，是您建立的電子商務站點運行的更加可靠。5）Web服務Windows 2000服務器中內置了一個新的Web服務器Internet Information Server(IIS) 。4）遠程訪問服務RAS（遠程訪問服務）接入提供了協議封裝和數據加密功能，允許移動用戶通過Internet 或公共網絡建立虛擬專用網絡（VPN）模擬點對點專用連接，在計算機之間收發(fā)數據，其效果與在專用線路上進行數據傳輸一樣安全、有效。Windows2000包括的DNS系統(tǒng)支持新的DDNS標準，既支持動態(tài)更新，又可以兼容于NT4網絡，支持手工刷新，結合了WINS的動態(tài)能力和傳統(tǒng)DNS的穩(wěn)定性和健壯性。對于企業(yè)來說，域名是企業(yè)在網上的標志，也是企業(yè)推廣自身形象的網絡門戶。n 在SQL Serve數據庫的基礎上，可利用各種數據庫開發(fā)工具開發(fā)數據庫管理系統(tǒng)，也可使用現在流行的基于Windows平臺的MIS管理系統(tǒng)。n MICROSOFT SQL Server 與Windows 2000 連接緊密：目前SQL Server 產品較多，但與Windows 2000連接緊密且性能優(yōu)越的當數MICROSOFT SQL Server。n 分布式數據庫支持：MICROSOFT SQL Server 便于廣域網絡環(huán)境下管理數據的復制和分布。在單用戶的開發(fā)環(huán)境下開發(fā)的應用能夠延伸到多用戶開發(fā)平臺上運行，并且它便于向大型、具有并行處理能力的開放系統(tǒng)硬件環(huán)境轉移。MICROSOFT SQL Server 具有開放的體系結構，由于其公開的接口規(guī)格，使得現在多數4GL程序開發(fā)語言均支持對SQL Server的聯接，因此MICROSOFT SQL Server 能夠面向多種系統(tǒng)的開發(fā)，便于處理與其它系統(tǒng)的接口問題。其原因主要有以下幾點：n 由于本系統(tǒng)的體系結構采用客戶/服務器模式，MicrosoftSQL Server擁有廣泛的客戶基礎，考慮到本模塊主要與控制中心進行數據交換及處理，因此充分估計其它業(yè)務及相關系統(tǒng)的要求，采用MicrosoftSQL Server 便于進行與其它系統(tǒng)的數據轉換及處理。通過電子公告板和WWW構建信息發(fā)布和查詢應用，構建與Internet Information Server和Microsoft SQL Server的基礎上，形成內部的Intranet。l 部門級的應用通過Microsoft Exchange Server的Schedule+和Microsoft Office 97 / 2000的Outlook來協調部門工作，處理會議請求、資源分配和工作安排等。完成文書處理、電子表格、電子傳真、電子郵件、個人日程安排等功能。與微軟BackOffice產品相結合，使用通用、熟悉的開發(fā)工具， Exchange Server可以快速提供和實施強大的業(yè)務協作解決方案，滿足用戶對Intranet協作的多層次的需求，提高企業(yè)競爭實力。它在單一的平臺上結合電子郵件、群組工作表、電子表格和組件應用程序，可以通過一個集中化的管理程序進行管理。我們建議采用Windows 2000 Advance Server作為網絡服務器的操作系統(tǒng)，用Windows 2000 Server作為應用服務器的操作系統(tǒng)。利用IIS，可以部署靈活可靠、基于Web的應用程序，并可將現有的數據和應用程序轉移到Web上?；顒幽夸浻徐`活的目錄結構，允許委派對目錄安全的管理，提供更有效率的權限管理。Windows 2000用Kerberos驗證，提供更快、更安全的驗證和響應，允許用戶只登陸一次就可以訪問網絡資源。強有力的集中式安全管理,即統(tǒng)一帳號、集中驗證、安全備份管理。3）兼容性 Windows 2000支持Windows應用程序,以及NTFS、FAT和FAT32文件系統(tǒng)。2）可擴展性 它可以擴展到對稱多處理器上,使得需要高性能處理器時還可以加上額外的處理器，支持數達到8路。Windows 2000 Advanced Server具有以下特點: 1） 平臺無關性 Windows 2000 Advanced Server是一個與硬件平臺無關的