【正文】 務(wù)可以通過定義特定的資源對象，制定與其它安全策略類似的規(guī)則來完成。l 動(dòng)態(tài)地址翻譯（也稱為隱藏模式）：把一個(gè)內(nèi)部網(wǎng)的地址段轉(zhuǎn)換成一個(gè)合法地址，以解決企業(yè)的合法IP地址太少的問題，同時(shí)隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，提高網(wǎng)絡(luò)安全性能。靜態(tài)源地址翻譯與靜態(tài)目的地址翻譯通常是配合使用的。l FireWall1提供多種認(rèn)證機(jī)制供用戶選擇：S/Key，F(xiàn)ireWall1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。l 會話認(rèn)證（Session Authentication）：提供基于服務(wù)會話的的透明認(rèn)證，與IP無關(guān)?？蛻魴C(jī)不需要添加任何附加的軟件或做修改。l 客戶機(jī)認(rèn)證（Client Authentication）：基于客戶機(jī)IP的認(rèn)證，對訪問的協(xié)議不做直接的限制。FireWall1的認(rèn)證服務(wù)集成在其安全策略中，通過圖形用戶界面集中管理，通過日志管理器監(jiān)視、跟蹤認(rèn)證會話。認(rèn)證（Authentication）遠(yuǎn)程用戶和撥號用戶可以經(jīng)過FireWall1的認(rèn)證后，訪問內(nèi)部資源。防火墻模塊、狀態(tài)檢測模塊以及其它可選模塊用來執(zhí)行安全策略，安裝了這些模塊的系統(tǒng)稱為受保護(hù)對象（Firewalled System），又稱為安全策略執(zhí)行點(diǎn)（Security Enforcement Point）。這些模塊可以通過不同數(shù)量、平臺的組合配置成靈活的客戶機(jī)/服務(wù)器結(jié)構(gòu)。分布的客戶機(jī)/服務(wù)器結(jié)構(gòu)FireWall1通過分布式的客戶機(jī)/服務(wù)器結(jié)構(gòu)管理安全策略，保證高性能、高伸縮性和集中控制。l 日志管理器：提供可視化的對所有通過防火墻網(wǎng)關(guān)的連接的跟蹤、監(jiān)視和統(tǒng)計(jì)信息，提供實(shí)時(shí)報(bào)警和入侵檢測及阻斷功能。FireWall1直觀的圖形用戶界面為集中管理、執(zhí)行企業(yè)安全策略提供了強(qiáng)有力的工具。FireWall1管理員通過一個(gè)防火墻管理工作站管理該規(guī)則庫，建立、維護(hù)安全策略，加載安全規(guī)則到裝載了防火墻或狀態(tài)檢測模塊的系統(tǒng)上。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個(gè)規(guī)則庫里。目前已有包括IBM、HP、Sun、Cisco、BAY等超過135個(gè)公司加入到OPSEC聯(lián)盟。OPSEC允許用戶通過一個(gè)開放的、可擴(kuò)展的框架集成、管理所有的網(wǎng)絡(luò)安全產(chǎn)品。腳本文件是ASCII文件，可以編輯，以滿足用戶特定的安全要求。INSPECT是一個(gè)面向?qū)ο蟮哪_本語言，為狀態(tài)檢測模塊提供安全規(guī)則。狀態(tài)檢測技術(shù)對應(yīng)用程序透明，不需要針對每個(gè)服務(wù)設(shè)置單獨(dú)的代理，使其具有更高的安全性、高性能、更好的伸縮性和擴(kuò)展性，可以很容易把用戶的新應(yīng)用添加到保護(hù)的服務(wù)中去。狀態(tài)檢測模塊檢驗(yàn)IP地址、端口以及其它需要的信息以決定通信包是否滿足安全策略。網(wǎng)絡(luò)和各種應(yīng)用的通信狀態(tài)動(dòng)態(tài)存儲、更新到動(dòng)態(tài)狀態(tài)表中，結(jié)合預(yù)定義好的規(guī)則，實(shí)現(xiàn)安全策略。狀態(tài)檢測模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用。狀態(tài)檢測機(jī)制FireWall1采用CheckPoint公司的狀態(tài)檢測（Stateful Inspection）專利技術(shù)，以不同的服務(wù)區(qū)分應(yīng)用類型，為網(wǎng)絡(luò)提供高安全、高性能和高擴(kuò)展性保證。 企業(yè)級產(chǎn)品：可以有若干基本模塊和可選模塊以及圖形用戶界面組成，特別是可能配置較多的防火墻模塊和獨(dú)立的狀態(tài)檢測模塊。 單網(wǎng)關(guān)產(chǎn)品：只有防火墻模塊（包含狀態(tài)檢測模塊）、管理模塊和圖形用戶界面各一個(gè)，且防火墻模塊和管理模塊必須安裝在同一臺機(jī)器上。FireWall1提供單網(wǎng)關(guān)和企業(yè)級兩種產(chǎn)品組合。 日志查看器：查看經(jīng)過防火墻的連接，識別并阻斷攻擊；252。l 圖形用戶界面（GUI）：是管理模塊功能的體現(xiàn)，包括252。 路由器安全管理模塊（Router Security Management）：提供通過防火墻管理工作站配置、維護(hù)3Com，Cisco，Bay等路由器的安全規(guī)則；252。 管理模塊（Management Module）：對一個(gè)或多個(gè)安全策略執(zhí)行點(diǎn)（安裝了FireWall1的某個(gè)模塊，如狀態(tài)檢測模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的安全管理功能；l 可選模塊252。 狀態(tài)檢測模塊（Inspection Module）：提供訪問控制、客戶機(jī)認(rèn)證、會話認(rèn)證、地址翻譯和審計(jì)功能；252。 對服務(wù)器訪問的控制建議使用以下的方式：l 控制臺訪問控制 l 限制訪問空閑時(shí)間 l 口令的保護(hù) l 多級管理員權(quán)限 . CheckPoint FireWall1 作為開放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導(dǎo)者之一，CheckPoint公司致力于企業(yè)級網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)，據(jù)IDC的最近統(tǒng)計(jì)，其FireWall1防火墻在市場占有率上已超過44%，《財(cái)富》排名前100的大企業(yè)里近80%選用了CheckPoint FireWall1防火墻。對不同型號、廠家的網(wǎng)絡(luò)設(shè)備，要防范的內(nèi)容是一樣的，但具體的配置方法須依照設(shè)備要求來實(shí)現(xiàn)。 . 安全方案 根據(jù)對信息網(wǎng)現(xiàn)階段的安全需求分析，我們在設(shè)計(jì)本安全方案時(shí)，將采取一切有力的措施，來實(shí)現(xiàn)信息網(wǎng)現(xiàn)階段的安全目標(biāo)，考慮到現(xiàn)階段對網(wǎng)絡(luò)病毒的管理要求，本方案提出對網(wǎng)絡(luò)病毒防范和管理控制建議，并提出了現(xiàn)階段的網(wǎng)絡(luò)安全管理方案。 l 網(wǎng)絡(luò)安全管理在網(wǎng)絡(luò)上設(shè)置防病毒安全檢測系統(tǒng)后，必須保證防病毒系統(tǒng)的設(shè)置正確，且其配置不允許被隨便修改。安全管理主要包括兩個(gè)方面：l 內(nèi)部安全管理主要是建立內(nèi)部安全管理制度，如機(jī)房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行。對于信息網(wǎng)絡(luò)內(nèi)部安全需求，包括：l 能夠滿足信息網(wǎng)絡(luò)內(nèi)的授權(quán)用戶對相關(guān)專用網(wǎng)絡(luò)資源訪問； l 能夠?qū)τ诜鞘跈?quán)用戶的訪問進(jìn)行有效控制和報(bào)警； l 能夠堅(jiān)決杜絕病毒和其他危險(xiǎn)程序進(jìn)入網(wǎng)絡(luò)； l 能夠?qū)τ谶h(yuǎn)程訪問用戶進(jìn)行安全管理； l 加強(qiáng)對于整個(gè)信息網(wǎng)絡(luò)資源和人員的安全管理與培訓(xùn)。其中，主要包括：l 對于網(wǎng)絡(luò)應(yīng)用服務(wù)的非授權(quán)訪問 l 信息交互的保密性 l 網(wǎng)絡(luò)病毒的傳播與滲入 l 網(wǎng)絡(luò)黑客行為 通過對以上主要的網(wǎng)絡(luò)威脅分析，使我們能夠準(zhǔn)確把握信息網(wǎng)的網(wǎng)絡(luò)安全需求。對于在信息網(wǎng)環(huán)境中，采取何種安全技術(shù)手段且如何實(shí)現(xiàn)，就需要通過對前面提到第四方面的安全風(fēng)險(xiǎn)的分析的基礎(chǔ)上，針對信息網(wǎng)安全需求來確定。同時(shí)需要相應(yīng)的安全技術(shù)手段輔助完成。而對于第四方面的安全風(fēng)險(xiǎn)，對整個(gè)信息網(wǎng)的安全環(huán)境所構(gòu)成的危害最大，同時(shí)也是最難于管理與防范的。. 局域網(wǎng)拓?fù)鋱D. 局域網(wǎng)防火墻及防病毒解決方案 . 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 對于信息網(wǎng)所面臨的安全風(fēng)險(xiǎn)涉及網(wǎng)絡(luò)環(huán)境多方面，包括：l 自然災(zāi)害——水災(zāi)、火災(zāi)、地震等； l 電子化系統(tǒng)故障——系統(tǒng)硬件、電力系統(tǒng)故障等； l 人員無意識行為——編碼缺陷、系統(tǒng)配置漏洞、誤操作及無意泄漏等； l 人員蓄意行為——網(wǎng)絡(luò)環(huán)境可用性破壞、惡意攻擊等。產(chǎn)品特性： l 全面保護(hù)Windows操作系統(tǒng)l 支持打開文件備份l 支持對各種數(shù)據(jù)庫如Betrieve、Sybase、Oracle等的備份l 支持從服務(wù)器到工作站的全面網(wǎng)絡(luò)備份l 可以實(shí)現(xiàn)無人值守的自動(dòng)備份l 備份前掃描病毒，可以實(shí)現(xiàn)無毒備份l 支 持災(zāi)難恢復(fù). Cisco網(wǎng)絡(luò)管理CiscoWorksWindows是全面的網(wǎng)絡(luò)管理軟件，它提供一整套強(qiáng)有力的工具，可用于管理小型到中型企業(yè)網(wǎng)或工作組。CA公司的軟件產(chǎn)品涵蓋大型網(wǎng)絡(luò)管理、數(shù)據(jù)庫系統(tǒng)和工具軟件等諸多方面。根據(jù)系統(tǒng)自身的特點(diǎn)和對備份功能的要求，我們建議 在本系統(tǒng)中采用CA公司的ARC serve備份系統(tǒng)。 一旦發(fā)生數(shù)據(jù)失效， 企業(yè)就會陷入困境： 客戶資料、 技術(shù)文件、 財(cái)務(wù)賬目等數(shù)據(jù)可能被破壞得面 目全非， 如果系統(tǒng)無法順利恢復(fù)， 最終結(jié)局將不堪設(shè)想。6）多媒體信息傳輸根據(jù)客戶的需求，本系統(tǒng)采用Microsoft NetMeeting構(gòu)建多媒體會議系統(tǒng)。使用Microsoft Visual InterDev ，您可以快速建立您的電子商務(wù)系統(tǒng)，也可以建立一個(gè)復(fù)雜但是功能強(qiáng)勁的電子商務(wù)系統(tǒng)。ASP提供了強(qiáng)大的功能和與Windows的緊密集成，同時(shí)ASP 。這為電子商務(wù)系統(tǒng)提供了即靈活又可靠的對用戶身份的確認(rèn)。這大大提高了Web服務(wù)器的可靠性和穩(wěn)定性，是您建立的電子商務(wù)站點(diǎn)運(yùn)行的更加可靠。5）Web服務(wù)Windows 2000服務(wù)器中內(nèi)置了一個(gè)新的Web服務(wù)器Internet Information Server(IIS) 。4）遠(yuǎn)程訪問服務(wù)RAS（遠(yuǎn)程訪問服務(wù)）接入提供了協(xié)議封裝和數(shù)據(jù)加密功能，允許移動(dòng)用戶通過Internet 或公共網(wǎng)絡(luò)建立虛擬專用網(wǎng)絡(luò)（VPN）模擬點(diǎn)對點(diǎn)專用連接，在計(jì)算機(jī)之間收發(fā)數(shù)據(jù)，其效果與在專用線路上進(jìn)行數(shù)據(jù)傳輸一樣安全、有效。Windows2000包括的DNS系統(tǒng)支持新的DDNS標(biāo)準(zhǔn)，既支持動(dòng)態(tài)更新，又可以兼容于NT4網(wǎng)絡(luò)，支持手工刷新，結(jié)合了WINS的動(dòng)態(tài)能力和傳統(tǒng)DNS的穩(wěn)定性和健壯性。對于企業(yè)來說，域名是企業(yè)在網(wǎng)上的標(biāo)志，也是企業(yè)推廣自身形象的網(wǎng)絡(luò)門戶。n 在SQL Serve數(shù)據(jù)庫的基礎(chǔ)上，可利用各種數(shù)據(jù)庫開發(fā)工具開發(fā)數(shù)據(jù)庫管理系統(tǒng)，也可使用現(xiàn)在流行的基于Windows平臺的MIS管理系統(tǒng)。n MICROSOFT SQL Server 與Windows 2000 連接緊密：目前SQL Server 產(chǎn)品較多，但與Windows 2000連接緊密且性能優(yōu)越的當(dāng)數(shù)MICROSOFT SQL Server。n 分布式數(shù)據(jù)庫支持：MICROSOFT SQL Server 便于廣域網(wǎng)絡(luò)環(huán)境下管理數(shù)據(jù)的復(fù)制和分布。在單用戶的開發(fā)環(huán)境下開發(fā)的應(yīng)用能夠延伸到多用戶開發(fā)平臺上運(yùn)行，并且它便于向大型、具有并行處理能力的開放系統(tǒng)硬件環(huán)境轉(zhuǎn)移。MICROSOFT SQL Server 具有開放的體系結(jié)構(gòu)，由于其公開的接口規(guī)格，使得現(xiàn)在多數(shù)4GL程序開發(fā)語言均支持對SQL Server的聯(lián)接，因此MICROSOFT SQL Server 能夠面向多種系統(tǒng)的開發(fā)，便于處理與其它系統(tǒng)的接口問題。其原因主要有以下幾點(diǎn)：n 由于本系統(tǒng)的體系結(jié)構(gòu)采用客戶/服務(wù)器模式，MicrosoftSQL Server擁有廣泛的客戶基礎(chǔ)，考慮到本模塊主要與控制中心進(jìn)行數(shù)據(jù)交換及處理，因此充分估計(jì)其它業(yè)務(wù)及相關(guān)系統(tǒng)的要求，采用MicrosoftSQL Server 便于進(jìn)行與其它系統(tǒng)的數(shù)據(jù)轉(zhuǎn)換及處理。通過電子公告板和WWW構(gòu)建信息發(fā)布和查詢應(yīng)用，構(gòu)建與Internet Information Server和Microsoft SQL Server的基礎(chǔ)上，形成內(nèi)部的Intranet。l 部門級的應(yīng)用通過Microsoft Exchange Server的Schedule+和Microsoft Office 97 / 2000的Outlook來協(xié)調(diào)部門工作，處理會議請求、資源分配和工作安排等。完成文書處理、電子表格、電子傳真、電子郵件、個(gè)人日程安排等功能。與微軟BackOffice產(chǎn)品相結(jié)合，使用通用、熟悉的開發(fā)工具， Exchange Server可以快速提供和實(shí)施強(qiáng)大的業(yè)務(wù)協(xié)作解決方案，滿足用戶對Intranet協(xié)作的多層次的需求，提高企業(yè)競爭實(shí)力。它在單一的平臺上結(jié)合電子郵件、群組工作表、電子表格和組件應(yīng)用程序，可以通過一個(gè)集中化的管理程序進(jìn)行管理。我們建議采用Windows 2000 Advance Server作為網(wǎng)絡(luò)服務(wù)器的操作系統(tǒng)，用Windows 2000 Server作為應(yīng)用服務(wù)器的操作系統(tǒng)。利用IIS，可以部署靈活可靠、基于Web的應(yīng)用程序，并可將現(xiàn)有的數(shù)據(jù)和應(yīng)用程序轉(zhuǎn)移到Web上。活動(dòng)目錄有靈活的目錄結(jié)構(gòu)，允許委派對目錄安全的管理，提供更有效率的權(quán)限管理。Windows 2000用Kerberos驗(yàn)證，提供更快、更安全的驗(yàn)證和響應(yīng)，允許用戶只登陸一次就可以訪問網(wǎng)絡(luò)資源。強(qiáng)有力的集中式安全管理,即統(tǒng)一帳號、集中驗(yàn)證、安全備份管理。3）兼容性 Windows 2000支持Windows應(yīng)用程序,以及NTFS、FAT和FAT32文件系統(tǒng)。2）可擴(kuò)展性 它可以擴(kuò)展到對稱多處理器上,使得需要高性能處理器時(shí)還可以加上額外的處理器，支持?jǐn)?shù)達(dá)到8路。Windows 2000 Advanced Server具有以下特點(diǎn): 1） 平臺無關(guān)性 Windows 2000 Advanced Server是一個(gè)與硬件平臺無關(guān)的,可伸縮的服務(wù)器操作系統(tǒng)。. 網(wǎng)絡(luò)服務(wù). 網(wǎng)絡(luò)操作系統(tǒng)