【正文】 道防御系統(tǒng)，是這一類防范措施的總稱。成而有 效的控制用戶的上網(wǎng)安全。實現(xiàn)它的實際方式各不相同，但是在原則上，防火墻可以被認為是這樣同一種機制：攔阻不安全的傳輸流，允許安全的傳輸流通過。現(xiàn)在國外的優(yōu)秀防火墻如 Outpost不但能完成以上介紹的基本功能，還能對獨特的私人信息保護如防止密碼泄露、對內(nèi)容進行管理以防止小孩子或員工查看不合適的網(wǎng)頁內(nèi)容，允許按特定關鍵字以及特定網(wǎng)地進行過濾等、同時還能對 DNS 緩存進行保護、對 Web 頁面的交互元 素進行控制如過濾不需要的GIF， Flash 動畫等界面元素。但不管如何變化防火墻仍然是網(wǎng)絡安全必不可少的工具之一。 (2)Inter 上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡用戶輕易地獲得了攻擊網(wǎng)絡的方法和手段。 (4)現(xiàn)行法規(guī)政策和管理方面存在不足。同時，不少單位沒有從管理制度、人員和技術上建立相應的安全防范機制。 網(wǎng)絡安全面臨的威脅 信息安全是一個非常關鍵而又復雜的問題。 計算機信息系統(tǒng)之所以存在著脆弱性，主要是由于技術本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等 。 由于計算機信息系統(tǒng)已經(jīng)成為信息社會另一種形式的“金庫”和“保密室”，因而，成為一些人窺視的目標。計算機信息系統(tǒng)的安全威脅主要來自于以下幾個方面： (1)自 然災害。目前，我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災害和意外事故的能力較差。由于噪音和電磁輻射，導致網(wǎng)絡信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。計算機信息網(wǎng)絡上的黑客攻擊事件越演越烈，已經(jīng)成為具有一定經(jīng)濟條件和技術專長的形形色色攻擊者活動的舞臺。境內(nèi)外黑客攻擊破壞網(wǎng)絡的問題十分嚴重，他們通常采用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關敏感性重要信息，修改和破壞信息網(wǎng)絡的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟損失。即信息網(wǎng)絡本身的不完善性和缺陷，成為被攻擊的目標或利用為攻擊的途徑，其信息網(wǎng)絡脆弱性引發(fā)了信息社會脆弱性和安全問題，并構成了自然或人為破壞的威脅。 90 年代，出現(xiàn)了曾引起世界性恐慌的“計算機病毒”，其蔓延范圍廣，增長速度驚人，損失難以估計。計算機感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)、宗教、政治等活動，把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受垃圾郵件。事實上，間諜軟件日前還是一個具有爭議的概念，一種被普遍接受的觀點認為間諜軟件是指那些在用戶小知情的情況下進行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些機密信息提供給第下者的軟件。 (5)信息戰(zhàn)的嚴重威脅。這種對抗形式的目標 ，不是集中打擊敵方的人員或戰(zhàn)斗技術裝備，而是集中打擊敵方的計算機信息系統(tǒng)，使其神經(jīng)中樞的指揮系統(tǒng)癱瘓?？梢哉f，未來國與國之間的對抗首先將是信息技術的較量。 (6)計算機犯罪。 在一個開放的網(wǎng)絡環(huán)境中，大量信息在網(wǎng)上流動，這為不法分子提供了攻擊目標。不受時間、地點、條件限制的網(wǎng)絡詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長。 2 防火墻的安全功能及安全網(wǎng)絡方案 防火墻具備的安全功能 防火墻是網(wǎng)絡安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管 理。 (2)黑白名單功能，可以對現(xiàn)在或曾經(jīng)請求連接網(wǎng)絡的程序進行規(guī)則設置。 (3)局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)內(nèi)其用戶，并顯示各用戶主機名。 (5)端口掃描功能，戶自可以掃描本機端口，端口范圍為 065535 端口，掃描完后將顯示已開放的端 口。安全日志負責記錄請求連接網(wǎng)絡的程序，其中包括記錄下程序的請求連網(wǎng)時間，程序目錄路徑等。可以關閉，啟動，暫停計算機內(nèi)的服務程序。 完成以上功能使系統(tǒng)能對程序連接網(wǎng)絡進行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風險。 網(wǎng)絡安全的解決方案 入侵檢測系統(tǒng)部署 入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。具體來講，就是將入侵檢測引擎接入中心交換機上。 防火墻在網(wǎng)絡安全中的應用 漏洞掃描系統(tǒng) 采用目前最先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結果向系統(tǒng)管理員提供詳細可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。建議通過NAT( 網(wǎng)絡地址轉換 ) 技術將受保護的內(nèi)部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效 公網(wǎng) IP 地址。 如果單位原來已有邊界路由器 , 則可充分利用原有設備 , 利用邊界路由器的包過濾功能 , 添加相應的防火墻配置 , 這樣原來的路由器也就具有防火墻功能了。對于 DMZ區(qū)中的公用服務器 , 則可直接與邊界路由器相連 , 不用經(jīng)過防火墻。在此拓撲結構中 , 邊界路由器與防火墻就一起組成了兩道安全防線 , 并且在這兩者之間可 以設置一個 DMZ區(qū) , 用來放置那些允許外部用戶訪問的公用服務器設施。在過程中我們需要了解本單位對內(nèi)對外的應用以及所對應的源地址、目的地址、 TCP 或 UDP 的端口 , 并根據(jù)不同應用的執(zhí)行頻繁程度對策略在規(guī)則表中的位置進行排序 , 然后才能實施配置。 日志監(jiān)控 日志監(jiān)控是十分有效的安全管理手段。如 : 所有的告警或所有與策略匹配或不匹配的流量等等 , 這樣的做法看似日志信息十分完善 , 但每天進出防火墻的數(shù)據(jù)有上百萬甚至更多 , 所以 , 只有采集到最關鍵的日志才是真正有用的日志。 計算機網(wǎng)絡 安全方案設計并實現(xiàn) 用戶的重要信息都是以文件的形式存儲在磁盤上，使用戶可 以方便地存取、修改、分發(fā)。特別是對于移動辦公的情況更是如此。 本設計方案采用清華紫光公司出品的紫光 S 鎖產(chǎn)品， “紫光 S 鎖 ”是清華紫光“桌面計算機信息安全保護系統(tǒng) ”的商品名稱。紫光 S 鎖采用了通過中國人民銀行認證的 SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止非法軟件對 S 鎖進行操作。 （ 1)郵件防毒。該產(chǎn)品可以和 Domino 的群件服務器無縫相結合并內(nèi)嵌到 Notes 的數(shù)據(jù)庫中，可防止病毒入侵到LotueNotes 的數(shù)據(jù)庫及電子 郵件，實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒。 ScanMail 是 Notes Domino Server 使用率最高的防病毒軟件。采用趨勢科技的 ServerProtect。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響，另一方面使所有服務器的防毒系統(tǒng)可以從單點進行部署，管理和更新。采用趨勢科技的 OfficeScan。其最大特點是擁有靈活的產(chǎn)品集中部署方式，不受Windows 域管理模式的約束，除支持 SMS，登錄域腳本，共享安裝以外，還支持純 Web 的部署方式。管理員可以通過此工具在整個企業(yè)范圍內(nèi)進行配置、監(jiān)視和維護趨勢科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務器的防病毒產(chǎn)品狀態(tài)。簡便的安裝和分發(fā)代理部署，網(wǎng)絡的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報，給管理帶來極大的便利。在此基礎上，采用先進的身份認證及加解密流程、先進的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。本設計方案選用四臺網(wǎng)御防火墻，分別配置在高性能服務器和三個重要部門的局域網(wǎng)出入口，實現(xiàn)這些重要部門的訪問控制。這樣不僅保護了單位網(wǎng)絡服務器，使其不受來自內(nèi)部的攻擊，也保護了各部門網(wǎng)絡和數(shù)據(jù)服務器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡的攻擊。 、信息完整性校驗 為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網(wǎng)之間建立起獨立的安全通道，通過嚴格的加密和認證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。 本地管理器（軟件） :是一個安裝于密碼機本地管理平臺上的基于網(wǎng)絡或串口方式的網(wǎng)絡密碼機本地管理系統(tǒng)軟件。 根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設可采取 “加密 ”、 “外防 ”、“內(nèi)審 ”相結合的方法， “內(nèi)審 ”是對系統(tǒng)內(nèi)部進行監(jiān)視、審查，識別系統(tǒng)是否正在受到攻擊以及內(nèi)部機密信息是否泄密，以解決內(nèi)層安全。作為網(wǎng)絡安全十分重要的一種手段，安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關行為有關的信息。 本設計方案選用 “漢邦軟科 ”的安全審計系統(tǒng)作為安全審計工具。 （ 1）安全審計系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個部分構成。安全監(jiān)控中心是管理平臺和監(jiān)控平臺，網(wǎng)絡管理員通過安全監(jiān)控中心為主機傳感器設定監(jiān)控規(guī)則，同時獲得監(jiān)控結果、報警信息以及日志的審計。 ① 文件保護審計：文件保護安裝在審計中心，可有效的對被審計主機端的文件進行管理規(guī)則設置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。 ② 主機信息審計 :對網(wǎng)絡內(nèi)公共資源中，所有主機進行審計，可以審計到主防火墻在網(wǎng)絡安全中的應用 機的機器名、當前用戶、操作系統(tǒng)類型、 IP 地址信息。 ① 監(jiān)視屏幕 :在用戶指定的時間段內(nèi)，系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕 。 3 防火墻的配置 防火墻的初始配置 像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。 防火墻的初始配置也是通過控制端口（ Console）與 PC 機（通常是便于移動的筆記本電腦）的串口連接，再通過 Windows 系統(tǒng)自帶的超級終端（ HyperTerminal）程序進行選項配置。 防火墻除了以上所說的通過控制端口（ Console）進行初始配置外，也可以通過 tel