【正文】 擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被利用和網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，如果是對軍用和政府網(wǎng)絡(luò)的攻擊，還會對國家安全造成嚴(yán)重威脅。在上文對黑客行為的描述中，我們可以看出，網(wǎng)絡(luò)上任何一個安全漏洞都會給黑客以可乘之機。所以，我們的方案必須是一個完整的網(wǎng)絡(luò)安全解決方案，對網(wǎng)絡(luò)安全的每一個環(huán)節(jié)，都要有仔細(xì)的考慮。首先網(wǎng)絡(luò)的安全決不僅僅是一個防火墻，它應(yīng)是包括入侵測檢（IDS）、虛擬專用網(wǎng)（VPN）等功能在內(nèi)的立體的安全防護(hù)體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護(hù)服務(wù)，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。防火墻根據(jù)網(wǎng)絡(luò)流的來源和訪問的目標(biāo)，對網(wǎng)絡(luò)流進(jìn)行限制，允許合法網(wǎng)絡(luò)流，并禁止非法網(wǎng)絡(luò)流。在應(yīng)用防火墻技術(shù)時，正確的劃分網(wǎng)絡(luò)邊界和制定完善的安全策略是至關(guān)重要的。比如方正方御防火墻在很好的實現(xiàn)了防火墻功能的同時，也實現(xiàn)了下面所說的入侵檢測功能；l 入侵檢測（IDS）：對攻擊試探的預(yù)警當(dāng)黑客試探攻擊時，大多采用一些已知的攻擊方法來試探。而從另外一個角度考慮問題，“實時監(jiān)測”，發(fā)現(xiàn)黑客攻擊的企圖，對于網(wǎng)絡(luò)安全來說也是非常有意義的。入侵檢測系統(tǒng)通過掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測），或者探測系統(tǒng)的異常行為（主機入侵檢測），來發(fā)覺這類攻擊的存在。需要注意的是，入侵檢測系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。所以，在應(yīng)用入侵檢測系統(tǒng)時，千萬不要因為有了入侵檢測系統(tǒng)，就不對系統(tǒng)中的安全隱患進(jìn)行及時補救。安全審計系統(tǒng)所做的記錄如同飛機上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。安全審計跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。已知安全審計的存在可對某些潛在的侵犯安全的攻擊源起到威攝作用。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。此外，信息備份是信息安全的最起碼的要求。. 超高安全要求下的網(wǎng)絡(luò)保護(hù). 認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)（包括撥號）時，要有非常嚴(yán)格的認(rèn)證與授權(quán)機制，防止黑客假冒身份滲透進(jìn)內(nèi)部網(wǎng)絡(luò)。（目前最強的認(rèn)證體系）來進(jìn)行認(rèn)證。. 網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全界的一個玩笑就是：要想安全，就不要插上網(wǎng)線。但對于需要和外界溝通的實際應(yīng)用系統(tǒng)來說，完全的物理隔離是行不通的。 從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接178。. 實施保證石家莊電信分公司網(wǎng)絡(luò)安全系統(tǒng)牽涉網(wǎng)點眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機制，一方面要能讓石家莊電信分公司網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)?？梢酝ㄟ^一個控制機對多臺方正方御防火墻進(jìn)行集中式的管理。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計員負(fù)責(zé)日志的管理和審計中的授權(quán)機制，這樣他們共同地負(fù)責(zé)起一個安全的管理平臺。另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒有強制執(zhí)行的實施域分組授權(quán)機制，尤其適合于石家莊電信分公司網(wǎng)絡(luò)安全系統(tǒng)這樣的網(wǎng)絡(luò)?？紤]以后的擴(kuò)展性，建議使用方御專業(yè)級防火墻。3. 由于撥號服務(wù)器上面配置了認(rèn)證模塊，因此為了保障二級訪問的可靠性，可以以后考慮在認(rèn)證后面放置防火墻。. 集中管理和分級管理由于石家莊電信分公司網(wǎng)絡(luò)安全系統(tǒng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進(jìn)行審計管理，日志查詢等操作。需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備。分析石家莊電信分公司網(wǎng)絡(luò)安全系統(tǒng)的特點和需求，方正方御防火墻的集中管理功能和權(quán)限管理機制完全可以滿足這些需求?？梢酝ㄟ^一個控制機對多臺方正方御防火墻進(jìn)行集中式的管理。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計員負(fù)責(zé)日志的管理和審計中的授權(quán)機制。石家莊電信分公司網(wǎng)絡(luò)安全系統(tǒng)的集中管理圖如下所示：防火墻集中管理示意圖3. 產(chǎn)品選型. 防火墻與入侵檢測的選型我們采用方正最新型方正方御防火墻。方正方御防火墻是國內(nèi)第一個通過公安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認(rèn)證標(biāo)準(zhǔn)的包過濾級防火墻產(chǎn)品，同時通過了中國人民解放軍安全測評認(rèn)證中心和中國國家信息安全測評認(rèn)證中心的嚴(yán)格認(rèn)證。要給電子商務(wù)運營者賦能，先要給安全賦能。方正方御是在經(jīng)過一年多的大量投入和深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢的解決方案。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計劃項目之一。在立身自主開發(fā)外，方正數(shù)碼還與眾多國際知名的安全公司保持著良好的合作關(guān)系，并集成了國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國內(nèi)Internet的安全建設(shè)保駕護(hù)航。由于防火墻技術(shù)的針對性很強，它已成為實現(xiàn)網(wǎng)絡(luò)安全的重要保障之一。方正方御防火墻不僅僅是一個包過濾的防火墻，而且包括了大量的實用模塊，可以為用戶提供多方面的服務(wù)。雙機熱備份通過雙機熱備份，本系統(tǒng)提供可靠的容錯/熱待機功能。完善的訪問控制方正方御防火墻符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級權(quán)限機制，分為管理員，策略員和審計員。這樣他們共同地負(fù)責(zé)起一個安全的管理平臺。使用在網(wǎng)橋模式時在IP層透明，使用路由模式時可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。方正方御防火墻修改了TCP/IP堆棧的算法，使得新的syn連接包可以正常通過，避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。傳統(tǒng)的防火墻的包過濾只是根據(jù)規(guī)則表進(jìn)行匹配，而方正方御防火墻對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合來對網(wǎng)絡(luò)狀態(tài)進(jìn)行控制。代理服務(wù)的訪問控制非常的完善，可以對時間、協(xié)議、方法、地址、DNS域、目的端口和URL來進(jìn)行控制。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)支持動態(tài)、靜態(tài)、雙向的NAT。如果需要在Intranet提供讓外部訪問的服務(wù)（如WWW、FTP等），NAT系統(tǒng)可以為Intranet里的服務(wù)器建立靜態(tài)映射，外部用戶可以直接訪問該服務(wù)器。提供DMZ區(qū)除了內(nèi)部網(wǎng)絡(luò)界面和外部網(wǎng)絡(luò)界面，系統(tǒng)還可以再增加一個網(wǎng)絡(luò)界面，讓管理員靈活應(yīng)用。帶寬管理和流量統(tǒng)計方正方御防火墻系統(tǒng)使用流量統(tǒng)計與控制策略，可方便的根據(jù)網(wǎng)段和主機等對流量進(jìn)行統(tǒng)計與控制管理。日志審計審計功能是方正方御防火墻非常強大的一個部分，目前國內(nèi)防火墻的審計功能都非常不完善，方正方御防火墻提供了大量的審計內(nèi)容和對審計內(nèi)容的查詢功能，由于日志可能對一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而其中每一部分都可以進(jìn)行查詢和管理，這樣用戶就能對防火墻的情況有一個非常透徹的了解。用戶還可以自定義攻擊檢測庫來符合自己的要求?；赑KI的授權(quán)認(rèn)證方正方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高?？焖侔惭b配置方正方御防火墻的安裝和配置非常方便，管理員只要設(shè)定好網(wǎng)絡(luò)設(shè)備的IP地址，然后使用系統(tǒng)提供的一些典型配置模板，適當(dāng)?shù)男薷囊恍┮?guī)則來符合要求。圖形管理界面用戶可以通過圖形界面對防火墻進(jìn)行配置和管理。完全中國化的設(shè)計方正方御防火墻是由方正數(shù)碼自行設(shè)計和制作的，充分考慮了中國國情，除了界面、幫助文檔、使用說明完全中文化外，還加入了一些小型模板用戶給管理員配置防火墻?？梢酝ㄟ^一個控制機對多臺方正方御防火墻進(jìn)行集中式的管理。可以將任意三個物理網(wǎng)絡(luò)連接起來構(gòu)成一個互通的物理網(wǎng)絡(luò)。B： 路由模式：防火墻本身構(gòu)成3個網(wǎng)絡(luò)間的路由器，3個界面分別具有不同的IP地址。當(dāng)防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時隔絕Internet對內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對Internet提供服務(wù)。由于方正方御防火墻采用了3I（Intelligent IP Identifying）技術(shù)，能夠?qū)崿F(xiàn)快速匹配。方正方御防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到300,000個以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬個左右。. 防SYN Flood攻擊一些TCP/IP棧的實現(xiàn)只能等待從有限數(shù)量的計算機發(fā)來的ACK消息，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會對接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時。一般的防火墻是通過限制每秒鐘通過的Syn包數(shù)量來組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而方正方御防火墻對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應(yīng)用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。. IDS(入侵檢測系統(tǒng)). 反端口掃描一般黑客如果要對一個網(wǎng)站發(fā)動攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開啟的服務(wù)，然后做出相