【正文】 圖41防火墻部署拓撲之所以這樣部署防火墻是應(yīng)為把服務(wù)器統(tǒng)一在一起便于管理，把服務(wù)器群與其他PC機完全通過防火墻隔離開，減少了服務(wù)器被攻擊的可能行，增加了網(wǎng)絡(luò)安全性，而且相對于第二套部署方案而言減少了防火墻的千兆端口數(shù)，IDS也只需要一套，降低了成本。 蘭州宏宇電腦企業(yè)IT系統(tǒng)的建設(shè)與投資過程中，往往較多地考慮了系統(tǒng)的一次性建設(shè)成本和設(shè)備投入，如網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、數(shù)據(jù)庫系統(tǒng)、應(yīng)用開發(fā)、機房環(huán)境建設(shè)、客戶機配置等，對系統(tǒng)將來在管理維護方面的開銷考慮的較少或不全蘭州宏宇電腦企業(yè)網(wǎng)絡(luò)環(huán)境相當?shù)膹?fù)雜，首先是規(guī)模大，服務(wù)器節(jié)點和客戶端上千，系統(tǒng)分布在全國各地，甚至分布在幾個國家，范圍極廣；第二是功能越來越多，從計算、數(shù)據(jù)庫、事務(wù)處理到各種Internet/Intranet 服務(wù)等等； 第三是變化快，硬件、軟件、網(wǎng)絡(luò)和應(yīng)用不斷地更新升級；第四是異構(gòu)性，主要體現(xiàn)為：系統(tǒng)結(jié)構(gòu)異構(gòu)性、平臺異構(gòu)性、網(wǎng)絡(luò)異構(gòu)性、數(shù)據(jù)異構(gòu)性、應(yīng)用異構(gòu)性。大型網(wǎng)絡(luò)的系統(tǒng)管理常常是企業(yè)信息系統(tǒng)建設(shè)中一個較為薄弱的環(huán)節(jié)，蘭州宏宇電腦企業(yè)也不例外。可以實時的掃描郵件中的病毒，包括在附件中壓縮文件的掃描。支持多線程的掃描技術(shù)，提高掃描效率；對系統(tǒng)的資源占用較少。實時的病毒防御：防毒系統(tǒng)駐留在主內(nèi)存中，對一切在計算機上運行的程序進行實時的監(jiān)控。對多種主流的操作系統(tǒng)的平臺和電子郵件平臺的支持。單一網(wǎng)絡(luò)管理：通過單一的主控程序?qū)Χ嘀氐奈募芾矸?wù)器進行單一的管理。全自動的軟件升級：包括了自動更新病毒代碼，掃描引擎和程序，無需人工干預(yù)。企業(yè)級的網(wǎng)絡(luò)防毒軟件應(yīng)當具備以下的一些基本特性：對企業(yè)信息網(wǎng)絡(luò)進行多重防護：包括工作站（PC）級的病毒防治、服務(wù)器級的病毒防治、網(wǎng)關(guān)級的病毒防治、電子郵件系統(tǒng)的病毒防治等。作為網(wǎng)絡(luò)防病毒，還需要一個強大的中央管理控制臺，通過它對網(wǎng)絡(luò)內(nèi)的計算機進行軟件安裝和升級，對網(wǎng)絡(luò)內(nèi)的防病毒軟件的運行情況進行監(jiān)控，從而可以減輕網(wǎng)絡(luò)管理員的工作量和隨時掌握企業(yè)網(wǎng)絡(luò)內(nèi)的防病毒情況。蘭州宏宇電腦公司內(nèi)部擁有大量使用計算機聯(lián)網(wǎng)工作，但是所用的計算機軟件、操作系統(tǒng)種類非常多，涉及UNIX、Windows95／98／NT／、Novell等。因此為自己的網(wǎng)絡(luò)建立相應(yīng)的防火墻，將允許的訪問接入，而將一些非法的訪問請求拒絕已經(jīng)是企業(yè)網(wǎng)絡(luò)必不可缺的一部分了。網(wǎng)絡(luò)的安全隱患不僅僅是企業(yè)內(nèi)部人員操作的問題，越來越多的隱患是出于企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet互聯(lián)網(wǎng)的連接問題。第四章網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全在網(wǎng)絡(luò)中是很重要的，現(xiàn)在黑客的腳步以前走在網(wǎng)絡(luò)安全的前面了，只所以我們因該注意網(wǎng)絡(luò)安全，盡量避免黑客的攻擊。FireGateInternet1． 源地址轉(zhuǎn)換(正向NAT)，即內(nèi)部地址向外訪問時，發(fā)起訪問的內(nèi)部IP地址轉(zhuǎn)換為指定的IP地址（可含端口號或者端口范圍），這可以使內(nèi)部使用保留IP地址的主機訪問外部網(wǎng)絡(luò)，即內(nèi)部的多個機器可以通過一個外部有效地址訪問外部網(wǎng)絡(luò)。（NAT）解決方案方正防火墻支持在內(nèi)部網(wǎng)和DMZ區(qū)使用保留的IP地址，通過動態(tài)的地址轉(zhuǎn)換功能實現(xiàn)對外部網(wǎng)的訪問。用戶可打印和統(tǒng)計有漏洞主機的掃描信息，并查詢漏洞的詳細信息，使用戶全面了解系統(tǒng)的安全狀況，提早做好防范措施。掃描結(jié)果根據(jù)被掃描主機來判斷和顯示。在掃描過程中，能夠提示掃描進度。方正的安全評估系統(tǒng)主要針對用戶系統(tǒng)內(nèi)部的各種安全漏洞實施漏洞掃描，借以檢查出系統(tǒng)中主機的安全隱患。3入侵檢測和防火墻的互動通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡(luò)的多種掃描，檢測到對網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M行響應(yīng)，包括自動防范及用戶自定義安全響應(yīng)策略等。 方正防火墻的報警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測系統(tǒng)檢測到攻擊，報警系統(tǒng)會馬上做出反應(yīng)，通過Email或手機通知管理員。2在線升級和實時報警由于入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此方正防火墻提供了非常方便的升級接口，可以通過我們的網(wǎng)站進行在線升級，而且我們提供了非常方便的用戶升級界面，使升級工作可以非常方便的完成。 可以對全部端口同時進行監(jiān)控，同時也可以忽略指定的端口。防火墻內(nèi)置入侵檢測模塊在檢測到有黑客掃描服務(wù)器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進行后續(xù)的攻擊。1反端口掃描一般黑客如果要對一個節(jié)點發(fā)動攻擊，首先都要掃描目標服務(wù)器的端口，確定開啟的服務(wù)，然后做出相應(yīng)的入侵方式。組裝會話后，防火墻內(nèi)核會根據(jù)會話的特征自動識別會話屬于何種應(yīng)用，并根據(jù)相應(yīng)的安全規(guī)則進行訪問控制。方正防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進行訪問控制，同時還對結(jié)合應(yīng)用對網(wǎng)絡(luò)連接和會話的當前狀態(tài)進行分析和監(jiān)控。方正防火墻的主要功能是對指定對象進行訪問控制，并且按照設(shè)定策略對網(wǎng)絡(luò)數(shù)據(jù)進行入侵或流量等活動的統(tǒng)計，并記入日志中，供用戶察看。配合原有的特有快速搜索算法技術(shù)，方正防火墻在保證針對應(yīng)用的細致分析和防護的同時，對產(chǎn)品的性能有大幅的提高，解決了目前內(nèi)容分析型防火墻普遍存在的效率瓶頸問題。獨有的智能IP識別技術(shù)是一種基于狀態(tài)檢測的高效網(wǎng)絡(luò)檢測技術(shù)。4． 可以定義規(guī)則計劃，使得系統(tǒng)在某一時可以自動啟用和關(guān)閉策略； 5． 具有詳細的日志功能，提供防火墻符合規(guī)則報文的信息、系統(tǒng)管理信息、系統(tǒng)故障信息的記錄，并支持日志服務(wù)器和日志導(dǎo)出； 6． 具有IPSec VPN功能，可以實現(xiàn)跨互聯(lián)網(wǎng)安全的遠程訪問； 7． 具有郵件通知功能，可以將系統(tǒng)的告警通過發(fā)送郵件通知網(wǎng)絡(luò)管理員； 7． 具有攻擊防護功能對不規(guī)則的IP、TCP報或超過經(jīng)驗閥值的TCP半連接、UDP報文以及ICMP報文采取丟棄； 根據(jù)蘭州宏宇企業(yè)狀況，為提高企業(yè)網(wǎng)絡(luò)信息安全性，在網(wǎng)絡(luò)結(jié)構(gòu)中使用方正防火墻 。 如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會立即將其阻斷避免其進入防火墻之后的服務(wù)器中。企業(yè)迫切需要一套真正能夠解決網(wǎng)絡(luò)內(nèi)部和外部，防火墻和防黑客的安全解決方案，為客戶提供可靠的網(wǎng)絡(luò)安全服務(wù). 事實上，由于防火墻一般架設(shè)在提供某些服務(wù)的服務(wù)器前。第三章 防火墻在企業(yè)網(wǎng)絡(luò)中具體功能與實現(xiàn)隨著政府、企業(yè)、個人主機的網(wǎng)絡(luò)安全需求的與日俱增，防火墻技術(shù)應(yīng)運而生。4各站點通過點到點的鏈路與中心站相連。3這種結(jié)構(gòu)是目前在局域網(wǎng)中應(yīng)用得最為普遍的一種，在很多企業(yè)網(wǎng)絡(luò)中幾乎都是采用這一方式。缺點是：共享能力較差，由于通信線路總長度大，因而組網(wǎng)成本較高。為便于集中連線，目前多采用集線器Hub作為星型結(jié)構(gòu)的中央節(jié)點，Hub通常有1124個端口，每個端口相對獨立，因此當網(wǎng)絡(luò)中的一個節(jié)點有故障時，不會影響整個局域網(wǎng)的運行。局域網(wǎng)上具有獨立工作能力的計算機系統(tǒng)被稱之為節(jié)點，這些節(jié)點之間相互連接的方法在網(wǎng)絡(luò)術(shù)語中被稱之為網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，網(wǎng)絡(luò)的拓撲結(jié)構(gòu)是拋開網(wǎng)絡(luò)電纜的物理連接來討論網(wǎng)絡(luò)系統(tǒng)的連接形式，它能表示出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和互相之間的連接。由于分公司和總公司之間的應(yīng)用系統(tǒng)的實時性要求不是很高，因此從應(yīng)用的角度也可以接受以上的備份方式。因此該線路平時不用連通，可以派做他用，不會造成線路浪費。兩種線路接入方式的備份線路都采用ISDN／電話線路遠程撥號的方式，主要有以下考慮：由于該種方式利用已有的線路，十分經(jīng)濟。同時，任何一個分公司與公司總部的連接線路受損，都不會影響到其他分公司與公司總部的連接。而蘭州宏宇總部通過一條6M專線接入VPN網(wǎng)絡(luò)，該條專線將采用光纖接入。 VPN系統(tǒng)規(guī)劃建議根據(jù)網(wǎng)通公司的確認，目前這家公司已經(jīng)在全國范圍大部分的主要的城市開通了VPN業(yè)務(wù)，蘭州宏宇公司分公司所在地已經(jīng)全部開通了VPN業(yè)務(wù)。分公司利用已有的ISDN／電話撥號線路遠程連接到總部，通過該線路實現(xiàn)對主干線路的備份?？紤]到幀中繼相對昂貴的月租費用，而顧客服務(wù)中心和倉庫的應(yīng)用比較單一，因此各顧客服務(wù)中心／倉庫分別通過ISDN撥號接入分公司網(wǎng)絡(luò)，再通過分公司網(wǎng)絡(luò)與總部相連。客戶服務(wù)中心則根據(jù)就近原則，通過ISDN撥號連接到距離最近的分公司，通過分公司和總公司連接。二:網(wǎng)絡(luò)連接方式規(guī)劃，電信已經(jīng)