【正文】 tity address　　isakmp policy 9 authentication preshare　　isakmp policy 9 encryption des　　isakmp policy 9 hash sha　　isakmp policy 9 group 1　　isakmp policy 9 lifetime 86400　　telnet inside　　telnet timeout 5　　ssh timeout 5　　terminal width 80　　Cryptochecksum:f63109daf8abcaf74a4f3b30ab01b48a　　: end　　　　　　pix3配置：　　: Saved　　:　　PIX Version (1)　　nameif ethernet0 outside security0　　nameif ethernet1 inside security100　　enable password X8QPBTnOSyX6X9Y9 encrypted　　passwd X8QPBTnOSyX6X9Y9 encrypted　　hostname pixfirewall　　fixup protocol ftp 21　　fixup protocol 80　　fixup protocol h323 1720　　fixup protocol rsh 514　　fixup protocol smtp 25　　fixup protocol sqlnet 1521　　fixup protocol sip 5060 企業(yè)級(jí)防火墻選購(gòu)熱點(diǎn)防火墻是主要的網(wǎng)絡(luò)安全設(shè)備，一個(gè)配置良好的防火墻，能夠有效地防止外來(lái)的入侵，控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包，提供使用和流量的日志和審計(jì)，隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)，以及提供VPN功能等等?！　∫陨厢槍?duì)用戶網(wǎng)絡(luò)分別從三個(gè)方面提出了安全解決方案，并按照實(shí)施的緊迫性分成三個(gè)階段來(lái)實(shí)現(xiàn)，但是實(shí)際針對(duì)某個(gè)用戶，對(duì)于安全的要求可能各不相同，具體網(wǎng)絡(luò)情況也可能有很大的差異，因此建議用戶根據(jù)實(shí)際情況建立網(wǎng)絡(luò)安全建設(shè)的時(shí)間表?！　?2)服務(wù)方面，采用白客滲透測(cè)試，要求服務(wù)商定期提供整體安全分析報(bào)告?！　〉谌A段　　在這一階段，采取的措施以進(jìn)一步提高網(wǎng)絡(luò)效率為主?！　?2)服務(wù)方面，對(duì)服務(wù)器進(jìn)行定期掃描與加固、對(duì)防火墻日志進(jìn)行備份與分析、對(duì)入侵檢測(cè)設(shè)備的日志進(jìn)行備份、建立設(shè)備備份系統(tǒng)以及文件備份系統(tǒng)。　　第二階段　　在第一階段安全建設(shè)的基礎(chǔ)上，進(jìn)一步增加網(wǎng)絡(luò)安全設(shè)備，采納新的安全服務(wù)和技術(shù)支持來(lái)增強(qiáng)網(wǎng)絡(luò)的可用性?！　?2)服務(wù)方面，進(jìn)行網(wǎng)絡(luò)拓?fù)浞治?、建立中心機(jī)房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級(jí)機(jī)制、對(duì)重要服務(wù)器的訪問(wèn)日志進(jìn)行備份，通過(guò)這些服務(wù)，增強(qiáng)網(wǎng)絡(luò)的抗干擾性?！　∷摹⒎植紝?shí)施建議意見(jiàn)　　網(wǎng)絡(luò)安全涉及面相當(dāng)廣，同時(shí)進(jìn)行建設(shè)的可行性較差，因此，建議按照以下方式進(jìn)行分階段實(shí)施。　　以上是技術(shù)支持解決方案，技術(shù)支持是安全服務(wù)的重要補(bǔ)充部分，即使在完善的安全體系下，也存在不可預(yù)測(cè)的因素導(dǎo)致網(wǎng)絡(luò)故障，此時(shí)，需要及時(shí)、有效的技術(shù)支持服務(wù)，在盡可能短的時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。　　即時(shí)網(wǎng)絡(luò)監(jiān)控　　支持范圍：　網(wǎng)絡(luò)出現(xiàn)異常，但應(yīng)用基本正常。　　即時(shí)查殺病毒　　支持范圍：　由不可確定的因素導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)計(jì)算機(jī)病毒?！　∽饔茫和ㄟ^(guò)實(shí)時(shí)檢索日志文件，可以當(dāng)時(shí)存在的針對(duì)本網(wǎng)絡(luò)的攻擊并查找出攻擊源?！　∽饔茫骸⊥ㄟ^(guò)日志文件等信息，確定攻擊的來(lái)源，為進(jìn)一步采取措施提供依據(jù)。由此可在最短的時(shí)間內(nèi)恢復(fù)整個(gè)網(wǎng)絡(luò)應(yīng)用?！　∽饔茫和ㄟ^(guò)備品備件，快速恢復(fù)網(wǎng)絡(luò)硬件環(huán)境。在最短的時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)應(yīng)用。　　(3)網(wǎng)絡(luò)訪問(wèn)異常(如訪問(wèn)速度慢)。技術(shù)支持主要包括以下幾方面：　　故障排除　　支持范圍：　　(1)　用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)(如局域網(wǎng)用戶無(wú)法訪問(wèn)INTERNET)。　　三、技術(shù)支持解決方案　　技術(shù)支持是整個(gè)安全方案的重要補(bǔ)充?！　‘?dāng)然，在網(wǎng)絡(luò)中，不安全是絕對(duì)的，即使采取種種措施，網(wǎng)絡(luò)也可能遭到應(yīng)用某種原因無(wú)法正常運(yùn)作，這時(shí)候，就需要有及時(shí)有效的技術(shù)支持，使得網(wǎng)絡(luò)在盡可能短的時(shí)間內(nèi)恢復(fù)正常?！　》?wù)作用：提供綜合性、全面的安全報(bào)告，針對(duì)全網(wǎng)絡(luò)進(jìn)行安全性討論，為全面提高網(wǎng)絡(luò)的安全性提供技術(shù)資料?！　?信息備份系統(tǒng)　　服務(wù)對(duì)象：所有重要信息　　服務(wù)周期：根據(jù)網(wǎng)絡(luò)情況定完全備份和增量備份的時(shí)間　　服務(wù)內(nèi)容：定期備份電子信息　　服務(wù)作用：防止核心服務(wù)器崩潰導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓。備份設(shè)備可以在段時(shí)間內(nèi)替代網(wǎng)絡(luò)中實(shí)際使用的設(shè)備?！　》?wù)作用：先于黑客進(jìn)行探測(cè)性攻擊以檢測(cè)系統(tǒng)漏洞?！　》?wù)器日志備份　　服務(wù)對(duì)象：主要服務(wù)器(如WWW服務(wù)器、文件服務(wù)器等)　　服務(wù)周期：一周一次　　服務(wù)內(nèi)容：備份服務(wù)器訪問(wèn)日志　　服務(wù)作用：　防止日志過(guò)大導(dǎo)致檢索、分析的難度，另一方面也有利于事后的檢查?！　∪肭謾z測(cè)等安全設(shè)備日志備份　　服務(wù)對(duì)象：入侵檢測(cè)等安全設(shè)備　　服務(wù)周期：一周一次　　服務(wù)內(nèi)容：備份安全設(shè)備日志。　　6　、防火墻日志備份、分析　　服務(wù)對(duì)象：防火墻設(shè)備　　服務(wù)周期：一周一次　　服務(wù)內(nèi)容：導(dǎo)出防火墻日志并進(jìn)行分析。(2)　找出服務(wù)器對(duì)應(yīng)應(yīng)用服務(wù)中存在的系統(tǒng)漏洞?！》?wù)器定期掃描、加固　　服務(wù)對(duì)象：服務(wù)器　　服務(wù)周期：半年一次　　服務(wù)內(nèi)容：使用專用的掃描工具，在用戶網(wǎng)絡(luò)管理人員的配合，對(duì)主要的服務(wù)器進(jìn)行掃描。(2)防病毒服務(wù)器強(qiáng)制所有在線客戶端更新病毒庫(kù)。　　服務(wù)作用：通過(guò)及時(shí)、有效的補(bǔ)丁升級(jí)，能夠有效防止局域網(wǎng)主機(jī)和服務(wù)器相互之間的攻擊，降低現(xiàn)代網(wǎng)絡(luò)蠕蟲病毒對(duì)網(wǎng)絡(luò)的整體影響，增加網(wǎng)絡(luò)帶寬的有效利用率?！　〔僮飨到y(tǒng)補(bǔ)丁升級(jí)　　服務(wù)對(duì)象：服務(wù)器、工作站、終端　　服務(wù)周期：不定期　　服務(wù)內(nèi)容：(1)　一旦出現(xiàn)重大安全補(bǔ)丁，及時(shí)更新所有相關(guān)系統(tǒng)。制度內(nèi)容涉及人員進(jìn)出機(jī)房的登記制度、設(shè)備進(jìn)出機(jī)房的登記制度、設(shè)備配置修改的登記制度等。另一方面，通過(guò)整體的安全性分析，能夠找出網(wǎng)絡(luò)設(shè)計(jì)上的安全缺陷，找到各種網(wǎng)絡(luò)設(shè)備在協(xié)同工作中可能產(chǎn)生的安全問(wèn)題。　　服務(wù)作用：針對(duì)網(wǎng)絡(luò)的整體情況，進(jìn)行總體、框架性分析。安全服務(wù)分為以下幾類：　　網(wǎng)絡(luò)拓?fù)浞治觥　》?wù)對(duì)象：整個(gè)網(wǎng)絡(luò)　　服務(wù)周期：半年一次　　服務(wù)內(nèi)容：(1)根據(jù)網(wǎng)絡(luò)的實(shí)際情況，繪制網(wǎng)絡(luò)拓?fù)鋱D?！　?3)　能夠?qū)?shù)據(jù)庫(kù)文件進(jìn)行比對(duì)?！　№?yè)面防篡改系統(tǒng)　　安裝位置：WWW服務(wù)器　　頁(yè)面防篡改系統(tǒng)的作用：　　(1)　定期比對(duì)發(fā)布頁(yè)面文件與備份文件，一旦發(fā)現(xiàn)不匹配，用備份文件替換發(fā)布文件?！　?2)　不允許任何主機(jī)(包括局域網(wǎng)主機(jī))非授權(quán)訪問(wèn)重要終端資源?！　?4)　在資源閑置時(shí)期，允許其他人員使用資源，一旦重要用戶或者重要應(yīng)用需要使用帶寬，則確保它們能夠至少使用分配給他們的帶寬資源?！　?2)　通過(guò)端口，為重要的應(yīng)用分配足夠的帶寬資源。部分防火墻本身就有QOS帶寬管理模塊。　　(6)　如果交換機(jī)等核心網(wǎng)絡(luò)設(shè)備出現(xiàn)異常，及時(shí)向網(wǎng)管中心報(bào)警。　　(4)　判斷局域網(wǎng)用戶是否使用了MODEM等非法網(wǎng)絡(luò)設(shè)備與INTERNET連接。　　(2)　收集局域網(wǎng)中所有終端和服務(wù)器的操作系統(tǒng)、系統(tǒng)補(bǔ)丁等軟件信息?！　【W(wǎng)絡(luò)管理軟件　　安裝位置：局域網(wǎng)中?！　?dòng)態(tài)口令認(rèn)證系統(tǒng)　　安裝位置：服務(wù)器端安裝在WWW服務(wù)器(以及其他需要進(jìn)行口令加強(qiáng)的敏感服務(wù)器)，客戶端配置給網(wǎng)頁(yè)更新人員(或者服務(wù)器授權(quán)訪問(wèn)用戶)。　　(3)　記錄發(fā)垃圾郵件的終端地址?！　》蠢]件系統(tǒng)作用：　　(1)　拒絕轉(zhuǎn)發(fā)來(lái)自INTERNET的垃圾郵件。　　郵件防病毒服務(wù)器　　安裝位置：郵件服務(wù)器與防火墻之間　　郵件防病毒軟件：對(duì)來(lái)自INTERNTE的電子郵件進(jìn)行檢測(cè)，根據(jù)預(yù)先設(shè)定的處理方法處理帶毒郵件?！　》啦《究蛻舳塑浖淖饔茫骸　?4)　對(duì)本機(jī)的內(nèi)存、文件的讀寫進(jìn)行監(jiān)控，根據(jù)預(yù)定的處理方法處理帶毒文件。　　(2)記錄各個(gè)終端的病毒庫(kù)升級(jí)情況。　　(3)通過(guò)聯(lián)動(dòng)機(jī)制，向防火墻發(fā)送指令，在限定的時(shí)間內(nèi)對(duì)特定的IP地址實(shí)施封堵。　　IDS的作用：　　(1)　作為旁路設(shè)備，監(jiān)控網(wǎng)絡(luò)中的信息，統(tǒng)計(jì)并記錄網(wǎng)絡(luò)中的異常主機(jī)以及異常連接?！　?8)通過(guò)過(guò)濾規(guī)則，對(duì)遠(yuǎn)程更新的時(shí)間、來(lái)源(通過(guò)IP地址)進(jìn)行限制?！　?6)通過(guò)過(guò)濾規(guī)則，以時(shí)間為控制要素，限制大流量網(wǎng)絡(luò)應(yīng)用在上班時(shí)間的使用?！　?4)通過(guò)防火墻的過(guò)濾規(guī)則，實(shí)現(xiàn)端口級(jí)控制，限制局域網(wǎng)用戶對(duì)INTERNET的訪問(wèn)。　　(2)　通過(guò)防火墻，將整個(gè)局域網(wǎng)劃分INTERNET，DMZ區(qū)，內(nèi)網(wǎng)訪問(wèn)區(qū)這三個(gè)邏輯上分開的區(qū)域，有利于對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行管理。WWW服務(wù)器與托管機(jī)房局域網(wǎng)之間?！　∠旅娼榻B在局域網(wǎng)中增加的安全設(shè)備的安裝位置以及他們的作用?！　∫?、技術(shù)解決方案　　安全產(chǎn)品是網(wǎng)絡(luò)安全的基石，通過(guò)在網(wǎng)絡(luò)中安裝一定的安全設(shè)備，能夠使得網(wǎng)絡(luò)的結(jié)構(gòu)更加清晰，安全性得到顯著增強(qiáng)。另外靈活性也是和具體環(huán)境密切結(jié)合的，往往需要在不同的用戶環(huán)境里考慮。這樣大部分工作留給防火墻廠家來(lái)做（相應(yīng)需要有一個(gè)漏洞監(jiān)測(cè)體系），用戶肯定會(huì)滿意很多。一般情況下，防火墻在設(shè)計(jì)完成以后，其過(guò)濾規(guī)則都是 定死的，用戶可定制的余地很小。但究竟升級(jí)些什么內(nèi)容？升級(jí)周期多長(zhǎng)一次？這就涉及到一個(gè)靈活性的問(wèn)題。8． 可升級(jí)能力（適用性）和靈活性對(duì)用戶來(lái)說(shuō)，防火墻作為大成本投入的商品，勢(shì)必要考慮到可升級(jí)性的問(wèn)題，如果防火墻 不能升級(jí)，那它的可用性和可選擇余地勢(shì)必要大打折扣。按每人周1200元開發(fā)費(fèi)用（折合工資5000月，但由于有運(yùn)行 費(fèi)用、保險(xiǎn)等費(fèi)用攤分，個(gè)人工資應(yīng)遠(yuǎn)低于這個(gè)數(shù)字），開發(fā)費(fèi)用約需25萬(wàn)。研發(fā)時(shí)，防火墻可以細(xì)分為（當(dāng)然在具體操作時(shí)往往需要再具體劃分）：內(nèi)核模塊防火墻模塊（含狀態(tài)檢測(cè)模塊）NAT模塊帶寬管理模塊通信協(xié)議模塊管理模塊圖形用戶界面模塊（或者Web界面模塊）透明代理模塊（實(shí)質(zhì)屬于NAT模塊）透明模式模塊（包括ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等）各應(yīng)用代理模塊（包括URL過(guò)濾模塊）VPN模塊流量統(tǒng)計(jì)與計(jì)費(fèi)模塊審計(jì)模塊其他模塊（如MAC、IP地址綁定模塊、簡(jiǎn)單的IDS、自我保護(hù)等等）上邊把防火墻劃分為12個(gè)模塊，其中每一個(gè)模塊都有相當(dāng)?shù)墓ぷ髁恳?，除了彈性較大 的內(nèi)核模塊和防火墻模塊（它們的工作量可能異常的大，視設(shè)計(jì)目標(biāo)不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相當(dāng)大），兩個(gè)主模塊 各按20人周計(jì)算，防火墻實(shí)現(xiàn)總共需要150人周?？偟膩?lái)說(shuō)，防火墻的研發(fā)是一個(gè)大項(xiàng)目，而且其前期定位一定要準(zhǔn)確，該做什么、不該做什么，哪些功能得實(shí)現(xiàn)，哪些功能不必實(shí)現(xiàn)、哪些功能可以在后期實(shí)現(xiàn)，一定要清楚，否則費(fèi)用會(huì)遠(yuǎn)遠(yuǎn)超出預(yù)計(jì)。如Netscreen的百兆防火墻： NetScreen100f(AC Power) 帶防火墻+流量控制等功能,交流電源,沒(méi)有VPN功能報(bào)價(jià)在￥260,000而在此基礎(chǔ)上增加了128位VPN功能的報(bào)價(jià)則高出5萬(wàn)元： ￥317,5007． 研發(fā)費(fèi)用如同其他網(wǎng)絡(luò)安全產(chǎn)品一樣，防火墻的研發(fā)費(fèi)用也是很高的。當(dāng)然其價(jià)格也很高端，從數(shù)十萬(wàn)到數(shù)百萬(wàn)不等。d． 數(shù)百用戶以上這個(gè)區(qū)間是高端防火墻，主要用于校園網(wǎng)、大型IDC等等。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在20萬(wàn)以上。這個(gè)區(qū)間的 防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻本身的健壯性。目前國(guó)內(nèi)防火墻絕大部分集中在這個(gè)區(qū)間中。這個(gè)區(qū)間的防火墻報(bào)價(jià)從3萬(wàn)到15萬(wàn)不等，根據(jù)功能價(jià)格有較大區(qū)別。防火墻開始升級(jí)到100M，三或更多網(wǎng)絡(luò)接口。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在萬(wàn)元以上2萬(wàn)元以下（沒(méi)有VPN和帶寬管理的價(jià)格更低）。防火墻一般為10M（針對(duì)硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：包過(guò)濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測(cè)、管理、實(shí)時(shí)報(bào)警、日志?？偟恼f(shuō)來(lái)，防火墻是以用戶數(shù)量作為大的分界線。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價(jià)格也不盡相同。總的來(lái)說(shuō)，如同國(guó)內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）一樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒(méi)有引起人們的重視。而國(guó)內(nèi)整個(gè)軟件行業(yè)的 可靠性體系還沒(méi)有成熟，軟件可靠性測(cè)試大多處于極其初級(jí)的水平（可靠性測(cè)試和bug測(cè)試完全是兩個(gè)概念）。但大多數(shù)廠家還是從成本的角度考慮使用通用PC架構(gòu)。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。國(guó)外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專門硬件架構(gòu)且不必多說(shuō)，采用PC架構(gòu)的其硬件也多是專門設(shè)計(jì)，系統(tǒng)各個(gè)部分從網(wǎng)絡(luò)接口到存儲(chǔ)設(shè)備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。一個(gè)故障頻頻、可靠性很差的 產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問(wèn)題，整個(gè)內(nèi)網(wǎng)的主機(jī)都將根本無(wú)法訪問(wèn)外網(wǎng)，這甚至比路由器故障（路由器的 拓?fù)浣Y(jié)構(gòu)一般都是冗余設(shè)計(jì)）更讓人無(wú)法承受。這些防火墻可以很明顯的從其廣告中看出來(lái)：如果哪個(gè)防火墻實(shí)現(xiàn)了透明模式，它的廣告中肯定會(huì)和透明代理區(qū)分開而大書特書的。它們的共同點(diǎn)在于可以簡(jiǎn)化內(nèi)網(wǎng)客戶的設(shè)置而已。需要澄清的一點(diǎn)是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒(méi)有必然的聯(lián)系。透明代理主要是 為實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以透明的訪問(wèn)外網(wǎng)，而無(wú)需考慮自己是不可路由地址還是可路由地址。透明模式和非透明模式在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上的最大區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個(gè)網(wǎng)段（也和子 網(wǎng)在同一個(gè)網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個(gè)網(wǎng)段（內(nèi)網(wǎng)可能是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。顯然，此時(shí)防火墻還必須實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。內(nèi)網(wǎng)（可以仍含有路由器或子網(wǎng)，依次類推）、防火墻、路由器的位置大致如下：內(nèi)網(wǎng)―――――防火