【正文】 道防御系統(tǒng)，是這一類防范措施的總稱。成而有 效的控制用戶的上網(wǎng)安全。實現(xiàn)它的實際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣同一種機(jī)制：攔阻不安全的傳輸流，允許安全的傳輸流通過。現(xiàn)在國外的優(yōu)秀防火墻如 Outpost不但能完成以上介紹的基本功能，還能對獨特的私人信息保護(hù)如防止密碼泄露、對內(nèi)容進(jìn)行管理以防止小孩子或員工查看不合適的網(wǎng)頁內(nèi)容，允許按特定關(guān)鍵字以及特定網(wǎng)地進(jìn)行過濾等、同時還能對 DNS 緩存進(jìn)行保護(hù)、對 Web 頁面的交互元 素進(jìn)行控制如過濾不需要的GIF， Flash 動畫等界面元素。但不管如何變化防火墻仍然是網(wǎng)絡(luò)安全必不可少的工具之一。 (2)Inter 上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。 (4)現(xiàn)行法規(guī)政策和管理方面存在不足。同時，不少單位沒有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機(jī)制。 網(wǎng)絡(luò)安全面臨的威脅 信息安全是一個非常關(guān)鍵而又復(fù)雜的問題。 計算機(jī)信息系統(tǒng)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等 。 由于計算機(jī)信息系統(tǒng)已經(jīng)成為信息社會另一種形式的“金庫”和“保密室”，因而，成為一些人窺視的目標(biāo)。計算機(jī)信息系統(tǒng)的安全威脅主要來自于以下幾個方面： (1)自 然災(zāi)害。目前，我們不少計算機(jī)房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災(zāi)害和意外事故的能力較差。由于噪音和電磁輻射，導(dǎo)致網(wǎng)絡(luò)信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。計算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件越演越烈，已經(jīng)成為具有一定經(jīng)濟(jì)條件和技術(shù)專長的形形色色攻擊者活動的舞臺。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴(yán)重，他們通常采用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經(jīng)濟(jì)損失。即信息網(wǎng)絡(luò)本身的不完善性和缺陷，成為被攻擊的目標(biāo)或利用為攻擊的途徑，其信息網(wǎng)絡(luò)脆弱性引發(fā)了信息社會脆弱性和安全問題，并構(gòu)成了自然或人為破壞的威脅。 90 年代，出現(xiàn)了曾引起世界性恐慌的“計算機(jī)病毒”，其蔓延范圍廣，增長速度驚人，損失難以估計。計算機(jī)感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機(jī)主板等部件的損壞。一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進(jìn)行商業(yè)、宗教、政治等活動，把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱，強(qiáng)迫他人接受垃圾郵件。事實上，間諜軟件日前還是一個具有爭議的概念，一種被普遍接受的觀點認(rèn)為間諜軟件是指那些在用戶小知情的情況下進(jìn)行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些機(jī)密信息提供給第下者的軟件。 (5)信息戰(zhàn)的嚴(yán)重威脅。這種對抗形式的目標(biāo) ，不是集中打擊敵方的人員或戰(zhàn)斗技術(shù)裝備，而是集中打擊敵方的計算機(jī)信息系統(tǒng)，使其神經(jīng)中樞的指揮系統(tǒng)癱瘓?？梢哉f，未來國與國之間的對抗首先將是信息技術(shù)的較量。 (6)計算機(jī)犯罪。 在一個開放的網(wǎng)絡(luò)環(huán)境中，大量信息在網(wǎng)上流動，這為不法分子提供了攻擊目標(biāo)。不受時間、地點、條件限制的網(wǎng)絡(luò)詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長。 2 防火墻的安全功能及安全網(wǎng)絡(luò)方案 防火墻具備的安全功能 防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管 理。 (2)黑白名單功能，可以對現(xiàn)在或曾經(jīng)請求連接網(wǎng)絡(luò)的程序進(jìn)行規(guī)則設(shè)置。 (3)局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)內(nèi)其用戶，并顯示各用戶主機(jī)名。 (5)端口掃描功能，戶自可以掃描本機(jī)端口，端口范圍為 065535 端口，掃描完后將顯示已開放的端 口。安全日志負(fù)責(zé)記錄請求連接網(wǎng)絡(luò)的程序，其中包括記錄下程序的請求連網(wǎng)時間，程序目錄路徑等?？梢躁P(guān)閉，啟動，暫停計算機(jī)內(nèi)的服務(wù)程序。 完成以上功能使系統(tǒng)能對程序連接網(wǎng)絡(luò)進(jìn)行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風(fēng)險。 網(wǎng)絡(luò)安全的解決方案 入侵檢測系統(tǒng)部署 入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強(qiáng)大完整的入侵檢測體系可以彌補(bǔ)防火墻相對靜態(tài)防御的不足。具體來講，就是將入侵檢測引擎接入中心交換機(jī)上。 防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 漏洞掃描系統(tǒng) 采用目前最先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能。建議通過NAT( 網(wǎng)絡(luò)地址轉(zhuǎn)換 ) 技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個有效 公網(wǎng) IP 地址。 如果單位原來已有邊界路由器 , 則可充分利用原有設(shè)備 , 利用邊界路由器的包過濾功能 , 添加相應(yīng)的防火墻配置 , 這樣原來的路由器也就具有防火墻功能了。對于 DMZ區(qū)中的公用服務(wù)器 , 則可直接與邊界路由器相連 , 不用經(jīng)過防火墻。在此拓?fù)浣Y(jié)構(gòu)中 , 邊界路由器與防火墻就一起組成了兩道安全防線 , 并且在這兩者之間可 以設(shè)置一個 DMZ區(qū) , 用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。在過程中我們需要了解本單位對內(nèi)對外的應(yīng)用以及所對應(yīng)的源地址、目的地址、 TCP 或 UDP 的端口 , 并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對策略在規(guī)則表中的位置進(jìn)行排序 , 然后才能實施配置。 日志監(jiān)控 日志監(jiān)控是十分有效的安全管理手段。如 : 所有的告警或所有與策略匹配或不匹配的流量等等 , 這樣的做法看似日志信息十分完善 , 但每天進(jìn)出防火墻的數(shù)據(jù)有上百萬甚至更多 , 所以 , 只有采集到最關(guān)鍵的日志才是真正有用的日志。 計算機(jī)網(wǎng)絡(luò) 安全方案設(shè)計并實現(xiàn) 用戶的重要信息都是以文件的形式存儲在磁盤上，使用戶可 以方便地存取、修改、分發(fā)。特別是對于移動辦公的情況更是如此。 本設(shè)計方案采用清華紫光公司出品的紫光 S 鎖產(chǎn)品， “紫光 S 鎖 ”是清華紫光“桌面計算機(jī)信息安全保護(hù)系統(tǒng) ”的商品名稱。紫光 S 鎖采用了通過中國人民銀行認(rèn)證的 SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止非法軟件對 S 鎖進(jìn)行操作。 （ 1)郵件防毒。該產(chǎn)品可以和 Domino 的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到 Notes 的數(shù)據(jù)庫中，可防止病毒入侵到LotueNotes 的數(shù)據(jù)庫及電子 郵件，實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒。 ScanMail 是 Notes Domino Server 使用率最高的防病毒軟件。采用趨勢科技的 ServerProtect。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響，另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點進(jìn)行部署，管理和更新。采用趨勢科技的 OfficeScan。其最大特點是擁有靈活的產(chǎn)品集中部署方式，不受Windows 域管理模式的約束，除支持 SMS，登錄域腳本，共享安裝以外，還支持純 Web 的部署方式。管理員可以通過此工具在整個企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。簡便的安裝和分發(fā)代理部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報，給管理帶來極大的便利。在此基礎(chǔ)上，采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。本設(shè)計方案選用四臺網(wǎng)御防火墻，分別配置在高性能服務(wù)器和三個重要部門的局域網(wǎng)出入口，實現(xiàn)這些重要部門的訪問控制。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來自內(nèi)部的攻擊，也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。 、信息完整性校驗 為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網(wǎng)之間建立起獨立的安全通道，通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。 本地管理器（軟件） :是一個安裝于密碼機(jī)本地管理平臺上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。 根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取 “加密 ”、 “外防 ”、“內(nèi)審 ”相結(jié)合的方法， “內(nèi)審 ”是對系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查，識別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密，以解決內(nèi)層安全。作為網(wǎng)絡(luò)安全十分重要的一種手段，安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關(guān)行為有關(guān)的信息。 本設(shè)計方案選用 “漢邦軟科 ”的安全審計系統(tǒng)作為安全審計工具。 （ 1）安全審計系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個部分構(gòu)成。安全監(jiān)控中心是管理平臺和監(jiān)控平臺，網(wǎng)絡(luò)管理員通過安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則，同時獲得監(jiān)控結(jié)果、報警信息以及日志的審計。 ① 文件保護(hù)審計：文件保護(hù)安裝在審計中心，可有效的對被審計主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。 ② 主機(jī)信息審計 :對網(wǎng)絡(luò)內(nèi)公共資源中，所有主機(jī)進(jìn)行審計，可以審計到主防火墻在網(wǎng)絡(luò)安全中的應(yīng)用 機(jī)的機(jī)器名、當(dāng)前用戶、操作系統(tǒng)類型、 IP 地址信息。 ① 監(jiān)視屏幕 :在用戶指定的時間段內(nèi)，系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕 。 3 防火墻的配置 防火墻的初始配置 像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。 防火墻的初始配置也是通過控制端口（ Console）與 PC 機(jī)（通常是便于移動的筆記本電腦）的串口連接，再通過 Windows 系統(tǒng)自帶的超級終端（ HyperTerminal）程序進(jìn)行選項配置。 防火墻除了以上所說的通過控制端口（ Console）進(jìn)行初始配置外，也可以通過 tel