【正文】 碼更新，防毒軟件要持續(xù)同步、實(shí)時(shí)、有效更新，這些由誰(shuí)來(lái)做？需要多少專人管理。支持依據(jù)源或目的地址指定轉(zhuǎn)換地址的靜態(tài) NAT 方式和從地址緩沖池中隨 14 機(jī)選取轉(zhuǎn)換地址的動(dòng)態(tài) NAT 方式，可以滿足絕大多數(shù)網(wǎng)絡(luò)環(huán)境的需求。 網(wǎng)絡(luò)衛(wèi)士 VPN 多合一網(wǎng)關(guān) 還 擁有強(qiáng)大的地址轉(zhuǎn)換能力。用戶可以輕松的針對(duì)一些典型網(wǎng)絡(luò)應(yīng)用，如 BT、 MSN、 、 Edonkey、 Skype 等實(shí)行靈活的訪問(wèn)控制策略，如禁止、限時(shí)、乃至流量控制。 網(wǎng)絡(luò)衛(wèi)士 VPN 多合一網(wǎng)關(guān) 在 MAC 層提供基于 MAC 地址的過(guò)濾控制能力，同時(shí)支持對(duì)各種二層協(xié)議的過(guò)濾功能；在網(wǎng)絡(luò)層和傳輸層提供基于狀 態(tài)檢測(cè)的分組過(guò)濾，可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及 TCP 、UDP 端口進(jìn)行過(guò)濾，并進(jìn)行完整的協(xié)議狀態(tài)分析；在應(yīng)用層通過(guò)深度內(nèi)容檢測(cè)機(jī)制，可以對(duì)高層應(yīng)用協(xié)議命令、訪問(wèn)路徑、內(nèi)容、訪問(wèn)的文件資源、關(guān)鍵字、移動(dòng)代碼等實(shí)現(xiàn)內(nèi)容安全控制； 從而 形成了立體的、全面的訪問(wèn)控制機(jī)制，實(shí)現(xiàn)了全方位的安全控制。 內(nèi)容檢測(cè)技術(shù)發(fā)展至今，大致經(jīng)歷了三個(gè)階段，從早期的狀態(tài)檢測(cè)（ Status Inspection）到后來(lái)的深度包檢測(cè)（ Deep Packet Inspection），現(xiàn)在已經(jīng)發(fā)展到了最新的完全內(nèi)容檢測(cè)（ CCI， Complete Content Inspection）。網(wǎng)絡(luò)衛(wèi)士 IPSec/SSL VPN 多合一網(wǎng)關(guān)構(gòu)建在天融信強(qiáng)大的 TOS 系統(tǒng)平臺(tái)基礎(chǔ)上，集成了天融信業(yè)內(nèi)領(lǐng)先的防火墻功能模塊，能夠?yàn)橛脩舻?VPN 網(wǎng)絡(luò)提供高等級(jí)的邊界安全防護(hù)。但提供了網(wǎng)絡(luò)數(shù)據(jù)在不安全公網(wǎng)中安全傳輸?shù)哪芰?。隧道技術(shù)的基本過(guò)程是在源內(nèi)部網(wǎng)與公用網(wǎng)的接口處將內(nèi)部網(wǎng)發(fā)送的數(shù)據(jù) (可以是 ISO 七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù) )作為負(fù)載封裝在一種可以在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的內(nèi)部網(wǎng)與公用網(wǎng)的接口處將公用網(wǎng)的數(shù)據(jù)解封裝后，取出負(fù)載即源 13 內(nèi)網(wǎng)發(fā)送的數(shù)據(jù)向目的內(nèi)網(wǎng)傳輸。公共網(wǎng)絡(luò)仿佛是只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此，所以稱之虛擬專用。虛擬專用網(wǎng)通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。支持防火墻配置文件的導(dǎo)入與導(dǎo)出（防火墻配置文件信息的備份與恢復(fù)）； ? 非協(xié)議支持：支持對(duì)非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。例如針對(duì) FTP 協(xié)議，日志會(huì)話只記錄下讀、寫(xiě)文件的動(dòng)作；日志命令則是在訪問(wèn)日志的基礎(chǔ)之上，記錄如用戶發(fā)送的郵件，用戶取下的網(wǎng)頁(yè)等。日志會(huì)話也就是傳統(tǒng)的防火墻日志，負(fù)責(zé)記錄通訊時(shí)間、源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過(guò)。 ? 防火墻支持多種工作模式：支持路由模式、透明（橋接）模式（防火墻可不配地址）、混合模式（路由與透明兩種模式同時(shí)工作） ? 管理功能：面向基于對(duì)象的管理配置方式；支持 GUI 集中管理及命令行管理方式；支持本地管理、遠(yuǎn)程管理和集中管理；支持基于 SSH 的遠(yuǎn)程登陸管理和基于 SSL 的 GUI 方式管理；支持 SNMP 集中管理與監(jiān)控，并與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如 HP Openview ，方便管理和維護(hù)。 ? 防御功能：可防 TCP、 UDP 等端口掃描；防源路由攻擊、 IP 碎片包攻擊、 DNS/RIP/ICMP 攻擊、 SYN 攻擊 ； 抗 DOS、 DDOS 攻擊；可阻止 ActiveX、 Java、 Javascript 入侵。 ? 地址綁定：實(shí)現(xiàn) IP 地址與 MAC 地址捆綁，防止 IP 地址非法盜用； ? 安全服務(wù)器（ SSN）保護(hù)：具有對(duì)公開(kāi)服務(wù)器保護(hù)功能，一旦服務(wù)器內(nèi)容被非法篡改，可以進(jìn)行快速恢復(fù) ? 源、目地址路由功能：根據(jù)通訊的源地址和目標(biāo)地址來(lái)做出路由選擇，適應(yīng)有多個(gè)網(wǎng)絡(luò)出口的環(huán)境。 ? 支持交換機(jī)主干鏈路：防火墻的物理接口實(shí)現(xiàn)了 D0t1q 封裝格式，能夠同交換機(jī)的 Trunk 接口對(duì)接，實(shí)現(xiàn)了 Vlan 間路由的功能，保證了防火墻對(duì)于各種網(wǎng)絡(luò)環(huán)境的易接入性。 ? 應(yīng)用代理：具有透明應(yīng)用代理功能，支持 FTP、 HTTP、 TELNET、 PING、 SSH、 FTP— DATA、 SMTP、 WINS、TACACS、 DNS、 TFTP、 POP RTELNET、 SQLSERV、 NNTP、 IMAP、 SNMP、 NETBIOS、 DNS、 IPSEC— ISAKMP、RLOGIN、 DHCP、 RTSP、 MSSQL（ S、 M、 R）、 RADIUS164 PPTP、 SQLNET— 152 SQLNET— 15 MSN、 CVSSERVER、 MSTHEATER、 MYSQL、 、 SECURID（ TCP、 UDP） PCANYWHERE、 IGMP、 GRE、PPPOE、 IPV6 等協(xié)議命令級(jí)的控制，實(shí)現(xiàn)對(duì)文件級(jí)的過(guò)濾。防火墻提供應(yīng)用級(jí)透明代理，可以對(duì)高層應(yīng)用（ HTTP、 FTP、 SMTP、 POP NNTP）做了更詳細(xì)控制，如 HTTP 命令（ GET， POST， HEAD）及 URL， FTP 命令（ GEI， PUT）及文件控制。所以，安裝防火墻的同時(shí)，也提供病毒防火的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。防火墻既然可以通過(guò)聯(lián)動(dòng)實(shí)現(xiàn)攻擊 的阻斷，同樣可以通過(guò)聯(lián)動(dòng)實(shí)現(xiàn)病毒傳輸?shù)淖钄?，而且病毒?lián)動(dòng)已經(jīng)成為現(xiàn)實(shí)。這樣的數(shù)據(jù)對(duì)于網(wǎng)絡(luò)安全是十分重要的。 ? 如果加裝日志、審計(jì)服務(wù)器，可以進(jìn)一步加強(qiáng)網(wǎng)絡(luò)的可控性。可防止黑客通過(guò)外部網(wǎng)對(duì)重要服務(wù)器的源路由攻擊、 IP 碎片包攻擊、DNS / RIP / ICMP 攻擊、 SYN 攻擊、拒絕服務(wù)攻擊等多種攻擊。使得各個(gè)服務(wù)器區(qū)不受到黑客的攻擊，黑客無(wú)法通過(guò)防火墻進(jìn)行掃描、攻擊等非法動(dòng)作。實(shí)現(xiàn)流量控制，調(diào)整鏈路帶寬利用的功能。 ? 通過(guò)防火墻的流量控制，調(diào)整鏈路的帶寬利用。防火墻是一種網(wǎng)關(guān)型的設(shè)備，各個(gè)區(qū)域之間的通信，可以通過(guò)防火墻的添加，保障如果在其上添加一些策略，就可以過(guò)濾掉部分無(wú)用的信息，只要網(wǎng)絡(luò)中傳輸必要的應(yīng)用數(shù)據(jù)。這樣在外部網(wǎng)絡(luò)接入時(shí)，全部通信都受到防火墻的監(jiān)控，通過(guò)防護(hù)墻的策略可 以設(shè)置成相應(yīng)的保護(hù)級(jí)別，以保證系統(tǒng)的安全。 9 第三章 .安全產(chǎn)品的部署 防火墻系統(tǒng) 防火墻作用 ? 通過(guò)防火墻連接，對(duì)不同安全區(qū)域進(jìn)行隔離。到達(dá)區(qū)、縣級(jí)單位的安全接入，建議申請(qǐng)獨(dú)立的互聯(lián)網(wǎng)專線，采用 IPSEC VPN 方式實(shí)現(xiàn)聯(lián)網(wǎng)，同時(shí)滿足了移動(dòng)辦公用戶的需 求，同時(shí)建議把到政務(wù)網(wǎng)的接入部署到防火墻 +VPN 設(shè)備獨(dú)立的安全區(qū)域，通過(guò)設(shè)置嚴(yán)密的訪問(wèn)控制規(guī)則保證貴單位內(nèi)網(wǎng)的安全。 部署門(mén)戶網(wǎng)站前端的 WEB 防火墻，防止黑客在網(wǎng)絡(luò)上可能進(jìn)行的截獲 篡改攻擊，保證網(wǎng)站的安全。 部署防病毒系統(tǒng)：采用網(wǎng)關(guān) +服務(wù)器 +客戶端的方式建立完善病毒防御體系，首先，防病毒網(wǎng)關(guān)可以抵御蠕蟲(chóng)病毒的攻擊，這是傳統(tǒng)的防病毒軟件無(wú)法做到的；其次，作為防病毒體系的邊界保護(hù)層，防病毒網(wǎng)關(guān)可以拒絕病毒和蠕蟲(chóng)于門(mén)外（部署在出口處）；最后，如果客戶端或服務(wù)器上的防病毒軟件沒(méi)有及時(shí)更新、被禁用或未及時(shí)安裝的話，則很有可能被病毒感染；而部署防病毒網(wǎng)關(guān)則可以及時(shí)查殺病毒，避免客戶端和服務(wù)器感染病毒。 7 總體設(shè)計(jì) 總體設(shè)計(jì)效果圖 8 外網(wǎng)網(wǎng)絡(luò)設(shè)計(jì) 針對(duì)貴單位外網(wǎng)網(wǎng)絡(luò)部分，我方建議整體網(wǎng)絡(luò)采用標(biāo)準(zhǔn)的以太網(wǎng)絡(luò)結(jié)構(gòu)，核心層到匯聚層呈星型拓?fù)浣Y(jié)構(gòu)， 通過(guò)部署核心交換機(jī)實(shí)現(xiàn)匯聚層交換機(jī)的網(wǎng)絡(luò)連接，在外網(wǎng)用戶接入 inter 時(shí)， 如圖所示的方式部署防火墻系統(tǒng)、防病毒系統(tǒng)、入侵防御系統(tǒng)、 網(wǎng)頁(yè)防篡改系統(tǒng) 。 經(jīng)濟(jì)性──一次性投資，長(zhǎng)年受益，維護(hù)費(fèi)用低，使整體性價(jià)比達(dá)到最優(yōu)。 可維護(hù)性──網(wǎng)絡(luò)系統(tǒng)便于管理和維護(hù)，配置功能強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)集中維護(hù)和檢測(cè)。 開(kāi)放性──網(wǎng)絡(luò)體系結(jié)構(gòu)與系統(tǒng)應(yīng)用各自獨(dú)立，與服務(wù)器、工作站的操作模式 無(wú)關(guān)，支持各種通訊協(xié)議，各種數(shù)據(jù)庫(kù)和客戶機(jī) /服務(wù)器以及 Inter/Intra 的應(yīng)用，并能方便地和其它機(jī)構(gòu)、企業(yè)的主機(jī)和網(wǎng)絡(luò)互連通訊。當(dāng)將來(lái)采用新技術(shù)（如 ATM）時(shí)原有設(shè)備能繼續(xù)使用，只需增加有限的模塊和設(shè)備，保護(hù)原來(lái)的投資。