【正文】 覺(jué)地訪問(wèn)該主機(jī)。竊聽(tīng)：利用以太網(wǎng)廣播的特性，使用監(jiān)聽(tīng)程序來(lái)截獲通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)包，對(duì)信息進(jìn)行過(guò)濾和分析后得到有用的信息，例如使用sniffer程序竊聽(tīng)用戶密碼。數(shù)據(jù)篡改：在信息的共享和傳遞過(guò)程中，對(duì)信息進(jìn)行非法的修改，例如，刪除系統(tǒng)內(nèi)的重要文件，破壞網(wǎng)站數(shù)據(jù)庫(kù)等。典型的例子就是2000年年初黑客對(duì)Yahoo等大型網(wǎng)站的攻擊。. 網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)就是創(chuàng)建一個(gè)完善的安全防護(hù)體系，對(duì)所有非法網(wǎng)絡(luò)行為，如越權(quán)訪問(wèn)、病毒傳播、惡意破壞等等，做到事前預(yù)防、事中報(bào)警并阻止，事后能有效的將系統(tǒng)恢復(fù)。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡(luò)安全里尤其適用。. 網(wǎng)絡(luò)安全解決方案的組成針對(duì)前文對(duì)黑客入侵的過(guò)程的描述，為了更為有效的保證網(wǎng)絡(luò)安全，方正數(shù)碼提出了兩個(gè)理念：立體安全防護(hù)體系和安全服務(wù)支持。一個(gè)好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個(gè)部分組成：l 防火墻：對(duì)網(wǎng)絡(luò)攻擊的阻隔防火墻是保證網(wǎng)絡(luò)安全的重要屏障。防火墻最大的意義在網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略，有效的將復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題簡(jiǎn)化，大大降低管理成本和潛在風(fēng)險(xiǎn)。發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。網(wǎng)絡(luò)安全漏洞掃描器是“先敵發(fā)現(xiàn)”，未雨綢繆。甚至由此派生出了P^2DR理論。一旦被發(fā)現(xiàn)，則報(bào)警并作出相應(yīng)處理，同時(shí)可以根據(jù)預(yù)定的措施自動(dòng)反應(yīng)，比如暫時(shí)封掉發(fā)起該掃描的IP。事實(shí)上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進(jìn)行一些較為復(fù)雜的變形，就能做到?jīng)]有入侵檢測(cè)系統(tǒng)能夠識(shí)別出來(lái)。l 安全審計(jì)管理安全審計(jì)系統(tǒng)必須實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡(luò)入侵、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實(shí)記錄，并能對(duì)于嚴(yán)重的違規(guī)行為進(jìn)行阻斷。安全審計(jì)跟蹤機(jī)制的內(nèi)容是在安全審計(jì)跟蹤中記錄有關(guān)安全的信息，而安全審計(jì)管理的內(nèi)容是分析和報(bào)告從安全審計(jì)跟蹤中得來(lái)的信息。收集審計(jì)跟蹤的信息，通過(guò)列舉被記錄的安全事件的類別（例如對(duì)安全要求的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。l 虛擬專用網(wǎng)（VPN）：遠(yuǎn)程傳輸?shù)陌踩玍PN技術(shù)在把分散在各處的服務(wù)器群連成了一個(gè)整體，形成了一個(gè)虛擬的專用網(wǎng)絡(luò)。使用VPN可以象管理本地服務(wù)器一樣去安全的管理遠(yuǎn)程的服務(wù)器。l 防病毒以及特洛伊木馬計(jì)算機(jī)病毒的危害不言而喻，計(jì)算機(jī)病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來(lái)，成為黑客的又一利器。l 安全策略的實(shí)施保證網(wǎng)絡(luò)安全知識(shí)的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。能減少惡意網(wǎng)絡(luò)攻擊或者意外災(zāi)害帶來(lái)的破壞性損失。. 認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)（包括撥號(hào)）時(shí)，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身份滲透進(jìn)內(nèi)部網(wǎng)絡(luò)。（目前最強(qiáng)的認(rèn)證體系）來(lái)進(jìn)行認(rèn)證。. 網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全界的一個(gè)玩笑就是：要想安全，就不要插上網(wǎng)線。但對(duì)于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來(lái)說(shuō)，完全的物理隔離是行不通的。 從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接178。. 實(shí)施保證藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機(jī)制，一方面要能讓藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)?？梢酝ㄟ^(guò)一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理。管理員負(fù)責(zé)防火墻的開(kāi)關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過(guò)濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制，這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒(méi)有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)制，尤其適合于藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)這樣的大型網(wǎng)絡(luò)。其中每一個(gè)局域網(wǎng)節(jié)點(diǎn)劃分為內(nèi)部操作（控制）區(qū)、信息共享區(qū)兩個(gè)網(wǎng)段，網(wǎng)段之間設(shè)置安全隔離區(qū)。. 網(wǎng)絡(luò)整體結(jié)構(gòu)藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)需要涉及若干政府部門，各地方的網(wǎng)絡(luò)通過(guò)Frame Relay連接起來(lái)（一條ISDN作為備份線路）。而用戶的權(quán)限機(jī)制分配必須通過(guò)網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理。在藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)管理中心需要對(duì)各省局的網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理。方正方御防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。方正方御防火墻采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。這樣他們共同的負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。內(nèi)部區(qū)放置控制服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、Lotus服務(wù)器和系統(tǒng)管理服務(wù)器等設(shè)備，公開(kāi)信息區(qū)放置對(duì)外的信息發(fā)布系統(tǒng)，包括WEB服務(wù)器、Mail服務(wù)器，F(xiàn)TP服務(wù)器等設(shè)備等。藥監(jiān)局一期網(wǎng)絡(luò)安全系統(tǒng)管理中心網(wǎng)絡(luò)圖如下：. 各省局的安全網(wǎng)絡(luò)各省局的網(wǎng)絡(luò)結(jié)構(gòu)節(jié)點(diǎn)也同樣劃分為內(nèi)部操作（控制）區(qū)、公開(kāi)信息區(qū)兩個(gè)網(wǎng)段。一期工程將在各省局15－16個(gè)點(diǎn)進(jìn)行實(shí)施，因此二期和三期工程將完全實(shí)施全國(guó)47個(gè)點(diǎn)。. 擴(kuò)充后的中央總局網(wǎng)絡(luò)中心二期和三期工程中中央總局網(wǎng)絡(luò)需要布置上入侵檢測(cè)系統(tǒng)，如下圖所示：. 擴(kuò)充后的省局網(wǎng)絡(luò)地方省局網(wǎng)絡(luò)由于有連接到Internet部分，因此后期工程中必須考慮到這部分的安全，因此擴(kuò)充后的省局網(wǎng)絡(luò)如下所示：4. 產(chǎn)品選型. 防火墻與入侵檢測(cè)的選型我們采用方正最新型方正方御防火墻。方正方御防火墻是國(guó)內(nèi)第一個(gè)通過(guò)公安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認(rèn)證標(biāo)準(zhǔn)的包過(guò)濾級(jí)防火墻產(chǎn)品，同時(shí)通過(guò)了中國(guó)人民解放軍安全測(cè)評(píng)認(rèn)證中心、中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心和國(guó)家保密局的嚴(yán)格認(rèn)證。要給電子商務(wù)運(yùn)營(yíng)者賦能，先要給安全賦能。方正方御是在經(jīng)過(guò)一年多的大量投入和深入的研究后，提出的一套基于中國(guó)國(guó)情、全部自主開(kāi)發(fā)、具有領(lǐng)先優(yōu)勢(shì)的解決方案。目前這套方案已經(jīng)得到國(guó)家有關(guān)部門的大力支持，被國(guó)家經(jīng)貿(mào)委列為國(guó)家創(chuàng)新計(jì)劃項(xiàng)目之一。在立身自主開(kāi)發(fā)外，方正數(shù)碼還與眾多國(guó)際知名的安全公司保持著良好的合作關(guān)系，并集成了國(guó)內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國(guó)內(nèi)Internet的安全建設(shè)保駕護(hù)航。由于防火墻技術(shù)的針對(duì)性很強(qiáng)，它已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保障之一。方正方御防火墻不僅僅是一個(gè)包過(guò)濾的防火墻，而且包括了大量的實(shí)用模塊，可以為用戶提供多方面的服務(wù)。雙機(jī)熱備份通過(guò)雙機(jī)熱備份，本系統(tǒng)提供可靠的容錯(cuò)/熱待機(jī)功能。完善的訪問(wèn)控制方正方御防火墻符合國(guó)家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。使用在網(wǎng)橋模式時(shí)在IP層透明，使用路由模式時(shí)可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。方正方御防火墻修改了TCP/IP堆棧的算法，使得新的syn連接包可以正常通過(guò)，避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。傳統(tǒng)的防火墻的包過(guò)濾只是根據(jù)規(guī)則表進(jìn)行匹配，而方正方御防火墻對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過(guò)規(guī)則表與連接表共同配合來(lái)對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行控制。代理服務(wù)的訪問(wèn)控制非常的完善，可以對(duì)時(shí)間、協(xié)議、方法、地址、DNS域、目的端口和URL來(lái)進(jìn)行控制。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)支持動(dòng)態(tài)、靜態(tài)、雙向的NAT。如果需要在Intranet提供讓外部訪問(wèn)的服務(wù)（如WWW、FTP等），NAT系統(tǒng)可以為Intranet里的服務(wù)器建立靜態(tài)映射，外部用戶可以直接訪問(wèn)該服務(wù)器。提供DMZ區(qū)除了內(nèi)部網(wǎng)絡(luò)界面和外部網(wǎng)絡(luò)界面，系統(tǒng)還可以再增加一個(gè)網(wǎng)絡(luò)界面，讓管理員靈活應(yīng)用。帶寬管理和流量統(tǒng)計(jì)方正方御防火墻系統(tǒng)使用流量統(tǒng)計(jì)與控制策略，可方便的根據(jù)網(wǎng)段和主機(jī)等對(duì)流量進(jìn)行統(tǒng)計(jì)與控制管理。日志審計(jì)審計(jì)功能是方正方御防火墻非常強(qiáng)大的一個(gè)部分，目前國(guó)內(nèi)防火墻的審計(jì)功能都非常不完善，方正方御防火墻提供了大量的審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容的查詢功能，由于日志可能對(duì)一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而其中每一部分都可以進(jìn)行查詢和管理，這樣用戶就能對(duì)防火墻的情況有一個(gè)非常透徹的了解。用戶還可以自定義攻擊檢測(cè)庫(kù)來(lái)符合自己的要求。基于PKI的授權(quán)認(rèn)證方正方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高?？焖侔惭b配置方正方御防火墻的安裝和配置非常方便，管理員只要設(shè)定好網(wǎng)絡(luò)設(shè)備的IP地址，然后使用系統(tǒng)提供的一些典型配置模板，適當(dāng)?shù)男薷囊恍┮?guī)則來(lái)符合要求。圖形管理界面用戶可以通過(guò)圖形界面對(duì)防火墻進(jìn)行配置和管理。完全中國(guó)化的設(shè)計(jì)方正方御防火墻是由方正數(shù)碼自行設(shè)計(jì)和制作的，充分考慮了中國(guó)國(guó)情，除了界面、幫助文檔、使用說(shuō)明完全中文化外，還加入了一些小型模板用戶給管理員配置防火墻?？梢酝ㄟ^(guò)一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集中式的管理?？梢詫⑷我馊齻€(gè)物理網(wǎng)絡(luò)連接起來(lái)構(gòu)成一個(gè)互通的物理網(wǎng)絡(luò)。B： 路由模式：防火墻本身構(gòu)成3個(gè)網(wǎng)絡(luò)間的路由器，3個(gè)界面分別具有不同的IP地址。當(dāng)防火墻工作在路由模式時(shí)，可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說(shuō)，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過(guò)地址轉(zhuǎn)換訪問(wèn)Internet，同時(shí)隔絕Internet對(duì)內(nèi)網(wǎng)的訪問(wèn)，DMZ區(qū)通過(guò)反向地址轉(zhuǎn)換對(duì)Internet提供服務(wù)。由于方正方御防火墻采用了3I（Intelligent IP Identifying）技術(shù)，能夠?qū)崿F(xiàn)快速匹配。方正方御防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到300,000個(gè)以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬(wàn)個(gè)左右。. 防SYN Flood攻擊一些TCP/IP棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來(lái)的ACK消息，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來(lái)的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。一般的防火墻是通過(guò)限制每秒鐘通過(guò)的Syn包數(shù)量來(lái)組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。