計算機網(wǎng)絡安全方案設計畢業(yè)論文

1、 23/24防火墻在網(wǎng)絡安全中的應用計算機網(wǎng)絡安全方案設計畢業(yè)論文目錄TOC o 1-2 h u HYPERLINK l _Toc17317 1 我國網(wǎng)絡安全現(xiàn)狀 PAGEREF _Toc17317 2 HYPERLINK l _Toc8815 1.1研究背景 PAGEREF _Toc8815 2 HYPERLINK l _Toc17715 1.2研究意義 PAGEREF _Toc17715 3 HYPERLINK l _Toc29546 1.3 計算機網(wǎng)絡面臨的威脅 PAGEREF _Toc29546 4 HYPERLINK l _Toc26989 2 防火墻的安全功能與安全網(wǎng)絡方案 PAG

2、EREF _Toc26989 7 HYPERLINK l _Toc30945 2.1防火墻具備的安全功能 PAGEREF _Toc30945 7 HYPERLINK l _Toc23483 2.2 計算機網(wǎng)絡面臨的威脅網(wǎng)絡安全的解決方案 2.2.1入侵檢測系統(tǒng)部署 PAGEREF _Toc23483 7 HYPERLINK l _Toc3706 3 計算機網(wǎng)絡安全方案設計并實現(xiàn) PAGEREF _Toc3706 10 HYPERLINK l _Toc30604 3.1桌面安全系統(tǒng) PAGEREF _Toc30604 10 HYPERLINK l _Toc16089 3.2病毒防護系統(tǒng) PAGE

3、REF _Toc16089 10 HYPERLINK l _Toc3607 3.3 動態(tài)口令系統(tǒng) PAGEREF _Toc3607 11 HYPERLINK l _Toc27356 4 防火墻的配置 PAGEREF _Toc27356 13 HYPERLINK l _Toc1858 4.1防火墻的初始配置 PAGEREF _Toc1858 13 HYPERLINK l _Toc9061 4.2 過濾防火墻的訪問配置 PAGEREF _Toc9061 15 HYPERLINK l _Toc7852 4.3雙宿主機網(wǎng)關(Dual Homed Gateway) PAGEREF _Toc7852 19

4、 HYPERLINK l _Toc4787 4.4屏蔽主機網(wǎng)關(Screened Host Gateway) PAGEREF _Toc4787 19 HYPERLINK l _Toc17971 4.5屏蔽子網(wǎng)(Screened Subnet) PAGEREF _Toc17971 20 HYPERLINK l _Toc31078 總 結 PAGEREF _Toc31078 22 HYPERLINK l _Toc16741 致 謝 PAGEREF _Toc16741 23 HYPERLINK l _Toc9362 參考文獻 PAGEREF _Toc9362 241 我國網(wǎng)絡安全現(xiàn)狀1.1研究背景據(jù)

5、美國聯(lián)邦調查局統(tǒng)計，美國每年因網(wǎng)絡安全造成的損失高達75億美元。據(jù)美國金融時報報道，世界上平均每20分鐘就發(fā)生一次人侵國際互聯(lián)網(wǎng)絡的計算機安全事件，1/3的防火墻被突破。美國聯(lián)邦調查局計算機犯罪組負責人吉姆塞特爾稱：給我精選10名“黑客”，組成小組，90天，我將使美國趴下。一位計算機專家毫不夸地說：如果給我一臺普通計算機、一條線和一個調制解調器，就可以令某個地區(qū)的網(wǎng)絡運行失常。據(jù)了解，從1997年底至今，我國的政府部門、證券公司、銀行等機構的計算機網(wǎng)絡相繼遭到多次攻擊。公安機關受理各類信息網(wǎng)絡XX犯罪案件逐年劇增，尤其以電子、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的

6、網(wǎng)絡基礎設施和網(wǎng)絡應用依賴于外國的產品和技術，在電子政務、電子商務和各行業(yè)的計算機網(wǎng)絡應用尚處于發(fā)展階段，以上這些領域的大型計算機網(wǎng)絡工程都由國一些較大的系統(tǒng)集成商負責。有些集成商仍缺乏足夠專業(yè)的安全支撐技術力量，同時一些負責網(wǎng)絡安全的工程技術人員對許多潛在風險認識不足。缺乏必要的技術設施和相關處理經驗，面對形勢日益嚴峻的現(xiàn)狀，很多時候都顯得有些力不從心。也正是由于受技術條件的限制，很多人對網(wǎng)絡安全的意識僅停留在如何防病毒階段，對網(wǎng)絡安全缺乏整體意識。隨著網(wǎng)絡的逐步普與，網(wǎng)絡安全的問題已經日益突。如同其它任何社會一樣，互連網(wǎng)也受到某些無聊之人的困擾，某些人喜愛在網(wǎng)上做這類的事,像在現(xiàn)實中向其他

7、人的墻上噴染涂鴉、將他人的推倒或者坐在大街上按汽車喇叭一樣。網(wǎng)絡安全已成為互連網(wǎng)上事實上的焦點問題。它關系到互連網(wǎng)的進一步發(fā)展和普與，甚至關系著互連網(wǎng)的生存。近年來，無論在發(fā)達國家，還是在發(fā)展中國家，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經遭受過黑客的困擾。而與此同時，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客，使學習黑客技術、獲得黑客攻擊工具變的輕而易舉。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。1.2研究意義現(xiàn)在網(wǎng)絡的觀念已經深入人心，越來越多的人們通過網(wǎng)絡來了解世界，同時他們也可以通過網(wǎng)絡發(fā)布消息，與朋友進行

8、交流和溝通，展示自己，以與開展電子商務等等。人們的日常生活也越來越依靠網(wǎng)絡進行。同時網(wǎng)絡攻擊也愈演愈烈，時刻威脅著用戶上網(wǎng)安全，網(wǎng)絡與信息安全已經成為當今社會關注的重要問題之一。黨的十六屆四中全會，把信息安全和政治安全、經濟安全、文化安全并列為國家安全的四大疇之一，信息安全的重要性被提升到一個空前的戰(zhàn)略高度。正是因為安全威脅的無處不在，為了解決這個問題防火墻出現(xiàn)了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災蔓延而建立的墻，而現(xiàn)在意義上的防火墻是指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)，是這一類防措施的總稱。應該說，在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡安全模型，通過它可以隔離風險

9、區(qū)域(即Internet或有一定風險的網(wǎng)絡)與安全區(qū)域(局域網(wǎng))的連接，同時不會妨礙人們對風險區(qū)域的訪問。成而有效的控制用戶的上網(wǎng)安全。防火墻是實施網(wǎng)絡安全控制得一種必要技術，它是一個或一組系統(tǒng)組成，它在網(wǎng)絡之間執(zhí)行訪問控制策略。實現(xiàn)它的實際方式各不相同，但是在原則上，防火墻可以被認為是這樣同一種機制：攔阻不安全的傳輸流，允許安全的傳輸流通過。特定應用程序行為控制等獨特的自我保護機制使它可以監(jiān)控進出網(wǎng)絡的通信信息，僅讓安全的、核準了的信息進入；它可以限制他人進入部網(wǎng)絡，過濾掉不安全服務和非法用戶；它可以封鎖特洛伊木馬，防止數(shù)據(jù)的外泄；它可以限定用戶訪問特殊站點，禁止用戶對某些容不健康站點的訪問

10、；它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便?，F(xiàn)在國外的優(yōu)秀防火墻如Outpost不但能完成以上介紹的基本功能，還能對獨特的私人信息保護如防止密碼泄露、對容進行管理以防止小孩子或員工查看不適宜的網(wǎng)頁容，允許按特定關鍵字以與特定網(wǎng)地進行過濾等、同時還能對DNS 緩存進行保護、對Web 頁面的交互元素進行控制如過濾不需要的GIF， Flash動畫等界面元素。隨著時代的發(fā)展和科技的進步防火墻功能日益完善和強大，但面對日益增多的網(wǎng)絡安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡安全必不可少的工具之一。1.3 計算機網(wǎng)絡面臨的威脅1.3.1 網(wǎng)絡安全脆弱的原因(1)Internet所用底層T

11、CP/IP網(wǎng)絡協(xié)議本身易受到攻擊，該協(xié)議本身的安全問題極大地影響到上層應用的安全。(2)Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡用戶輕易地獲得了攻擊網(wǎng)絡的方法和手段。(3)快速的軟件升級周期，會造成問題軟件的出現(xiàn)，經常會出現(xiàn)操作系統(tǒng)和應用程序存在新的攻擊漏洞。(4)現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計算機與網(wǎng)絡信息保護的條款不細致，網(wǎng)上的法規(guī)制度可操作性不強，執(zhí)行不力。同時，不少單位沒有從管理制度、人員和技術上建立相應的安全防機制。缺乏行之有效的安全檢查保護措施，甚至有一些網(wǎng)絡管理員利用職務之便從事網(wǎng)上XX行為。1.3.1網(wǎng)絡安全面臨的威脅信息安全是一個非常關鍵而又復

12、雜的問題。計算機信息系統(tǒng)安全指計算機信息系統(tǒng)資產(包括網(wǎng)絡)的安全，即計算機信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。計算機信息系統(tǒng)之所以存在著脆弱性，主要是由于技術本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等;計算機信息系統(tǒng)受到的威脅和攻擊除自然災害外，主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰(zhàn)爭和計算機系統(tǒng)故障等。由于計算機信息系統(tǒng)已經成為信息社會另一種形式的“金庫”和“室”，因而，成為一些人窺視的目標。再者，由于計算機信息系統(tǒng)自身所固有的脆弱性，使計算機信息系統(tǒng)面臨威脅和攻擊的考驗。計算機信息系統(tǒng)的安全威脅主要來自于以下幾個方面：(1)自然災害。計

13、算機信息系統(tǒng)僅僅是一個智能的機器，易受自然災害與環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。目前，我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統(tǒng)也疏于周到考慮，抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射，導致網(wǎng)絡信噪比下降，誤碼率增加，信息的安全性、完整性和可用性受到威脅。(2)黑客的威脅和攻擊。計算機信息網(wǎng)絡上的黑客攻擊事件越演越烈，已經成為具有一定經濟條件和技術專長的形形色色攻擊者活動的舞臺。他們具有計算機系統(tǒng)和網(wǎng)絡脆弱性的知識，能使用各種計算機工具。境外黑客攻擊破壞網(wǎng)絡的問題十分嚴重，他們通常采

14、用非法侵人重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關敏感性重要信息，修改和破壞信息網(wǎng)絡的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給國家造成重大政治影響和經濟損失。黑客問題的出現(xiàn)，并非黑客能夠制造入侵的機會，從沒有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡本身的不完善性和缺陷，成為被攻擊的目標或利用為攻擊的途徑，其信息網(wǎng)絡脆弱性引發(fā)了信息社會脆弱性和安全問題，并構成了自然或人為破壞的威脅。(3)計算機病毒。90年代，出現(xiàn)了曾引起世界性恐慌的“計算機病毒”，其蔓延圍廣，增長速度驚人，損失難以估計。它像灰色的幽靈將自己附在其他程序上，在這些程序運行時進人到系統(tǒng)中進行擴散。計算機感染上病毒后，

15、輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。 (4)垃圾和間諜軟件。一些人利用電子地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)、XX、政治等活動，把自己的電子強行“推入”別人的電子，強迫他人承受垃圾。與計算機病毒不同，間諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。事實上，間諜軟件日前還是一個具有爭議的概念，一種被普遍承受的觀點認為間諜軟件是指那些在用戶小知情的情況下進行非法安裝發(fā)裝后很難找到其蹤影，并悄悄把截獲的一些信息提供給第下者的軟件。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設置，威脅用

16、戶隱私和計算機安全，并可能小同程度的影響系統(tǒng)性能。(5)信息戰(zhàn)的嚴重威脅。信息戰(zhàn)，即為了國家的軍事戰(zhàn)略而采取行動，取得信息優(yōu)勢，干擾敵方的信息和信息系統(tǒng)，同時保衛(wèi)自己的信息和信息系統(tǒng)。這種對抗形式的目標，不是集中打擊敵方的人員或戰(zhàn)斗技術裝備，而是集中打擊敵方的計算機信息系統(tǒng)，使其神經中樞的指揮系統(tǒng)癱瘓。信息技術從根本上改變了進行戰(zhàn)爭的方法，其攻擊的首要目標主要是連接國家政治、軍事、經濟和整個社會的計算機網(wǎng)絡系統(tǒng)，信息武器已經成為了繼原子武器、生物武器、化學武器之后的第四類戰(zhàn)略武器?？梢哉f，未來國與國之間的對抗首先將是信息技術的較量。網(wǎng)絡信息安全應該成為國家安全的前提。(6)計算機犯罪。計算機犯

17、罪，通常是利用竊取口令等手段非法侵人計算機信息系統(tǒng)，傳播有害信息，惡意破壞計算機系統(tǒng)，實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網(wǎng)絡環(huán)境中，大量信息在網(wǎng)上流動，這為不法分子提供了攻擊目標。他們利用不同的攻擊手段，獲得訪問或修改在網(wǎng)中流動的敏感信息，闖入用戶或政府部門的計算機系統(tǒng)，進行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統(tǒng)的犯罪活動日益增多。2 防火墻的安全功能與安全網(wǎng)絡方案2.1防火墻具備的安全功能防火墻是網(wǎng)絡安全策略的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全

18、的有效管理。從總體上看，防火墻應該具有以下基本功能：(1)報警功能，將任何有網(wǎng)絡連接請求的程序通知用戶，用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡。(2)黑白功能，可以對現(xiàn)在或曾經請求連接網(wǎng)絡的程序進行規(guī)則設置。包括以后不準許連接網(wǎng)網(wǎng)等功能。(3)局域網(wǎng)查詢功能，可以查詢本局域網(wǎng)其用戶，并顯示各用戶主機名。(4) 流量查看功能，對計算機進出數(shù)據(jù)流量進行查看，直觀的完整的查看實時數(shù)據(jù)量和上傳下載數(shù)據(jù)率。(5)端口掃描功能，戶自可以掃描本機端口，端口圍為0-65535端口，掃描完后將顯示已開放的端口。(6)系統(tǒng)日志功能，日志分為流量日志和安全日志，流量日志是記錄不同時間數(shù)據(jù)包進去計算機的情況，分別

19、記錄目標地址，對方地址，端口號等。安全日志負責記錄請求連接網(wǎng)絡的程序，其中包括記錄下程序的請求連網(wǎng)時間，程序目錄路徑等。(7)系統(tǒng)服務功能，可以方便的查看所以存在于計算機的服務程序?？梢躁P閉，啟動，暫停計算機的服務程序。(8)連網(wǎng)/斷網(wǎng)功能，在不使用物理方法下使用戶計算機連接網(wǎng)絡或斷開網(wǎng)絡。完成以上功能使系統(tǒng)能對程序連接網(wǎng)絡進行管理，大大提高了用戶上網(wǎng)的效率，降低的上網(wǎng)風險。從而用戶上網(wǎng)娛樂的質量達到提高，同時也達到網(wǎng)絡安全保護的目的。2.2 計算機網(wǎng)絡面臨的威脅網(wǎng)絡安全的解決方案2.2.1入侵檢測系統(tǒng)部署入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火

20、墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)部的各種行為進行實時檢測，與時發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應的措施。具體來講，就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡管理和網(wǎng)絡監(jiān)視功能于一身，能實時捕獲外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關事件，作為網(wǎng)絡管理員事后分析的依據(jù)；如果情況嚴重，系統(tǒng)可以發(fā)出實時報警，使得學校管理員能夠與時采取應對措施。2.2.2漏洞掃描系統(tǒng) 采用目前最先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結果向系統(tǒng)管理員提供詳細可靠的安

21、全性分析報告，為提高網(wǎng)絡安全整體水平產生重要依據(jù)。 2.2.3網(wǎng)絡版殺毒產品部署 在該網(wǎng)絡防病毒方案中，我們最終要達到一個目的就是：要在整個局域網(wǎng)杜絕病毒的感染、傳播和發(fā)作，為了實現(xiàn)這一點，我們應該在整個網(wǎng)絡可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。2.2.4 安全服務配置安全服務隔離區(qū)( DMZ) 把服務器機群和系統(tǒng)管理機群單獨劃分出來, 設置為安全服務隔離區(qū), 它既是部網(wǎng)絡的一部分, 又是一個獨立的局域網(wǎng), 單獨劃分出來是為了更好的保護服務器上數(shù)據(jù)和系統(tǒng)管理的正常運行

22、。建議通過NAT( 網(wǎng)絡地址轉換) 技術將受保護的部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng)IP地址。這不僅可以對外屏蔽部網(wǎng)絡結構和IP地址, 保護部網(wǎng)絡的安全, 也可以大大節(jié)省公網(wǎng)IP地址的使用, 節(jié)省了投資成本。如果單位原來已有邊界路由器, 則可充分利用原有設備, 利用邊界路由器的包過濾功能, 添加相應的防火墻配置, 這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的部網(wǎng)絡連接。對于DMZ區(qū)中的公用服務器, 則可直接與邊界路由器相連, 不用經過防火墻。它可只經過路由器的簡單防護。在此拓撲結構中, 邊界路由器與防火墻就一起組成了兩道安全防線, 并且在這兩者之間可

23、以設置一個DMZ區(qū), 用來放置那些允許外部用戶訪問的公用服務器設施。2.2.5 配置訪問策略訪問策略是防火墻的核心安全策略, 所以要經過詳盡的信息統(tǒng)計才可以進行設置。在過程中我們需要了解本單位對對外的應用以與所對應的源地址、目的地址、TCP 或UDP的端口, 并根據(jù)不同應用的執(zhí)行頻繁程度對策略在規(guī)則表中的位置進行排序, 然后才能實施配置。原因是防火墻進行規(guī)則查找時是順序執(zhí)行的, 如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。2.2.6 日志監(jiān)控日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認為只要可以做日志的信息就去采集。如: 所有的告警或所有與策略匹配或不匹配的流量等等, 這樣的做法

24、看似日志信息十分完善, 但每天進出防火墻的數(shù)據(jù)有上百萬甚至更多, 所以, 只有采集到最關鍵的日志才是真正有用的日志。一般而言, 系統(tǒng)的告警信息是有必要記錄的, 對于流量信息進行選擇, 把影響網(wǎng)絡安全有關的流量信息保存下來。3 HYPERLINK :/hi138 /?b105 計算機網(wǎng)絡安全方案設計并實現(xiàn)3.1桌面安全系統(tǒng)用戶的重要信息都是以文件的形式存儲在磁盤上，使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率，但同時也造成用戶的信息易受到攻擊，造成泄密。特別是對于移動辦公的情況更是如此。因此，需要對移動用戶的文件與文件夾進行本地安全管理，防止文件泄密等安全隱患。本設計方案采用清華紫光

25、公司出品的紫光S鎖產品，“紫光S鎖”是清華紫光“桌面計算機信息安全保護系統(tǒng)”的商品名稱。紫光S鎖的部集成了包括中央處理器（CPU）、加密運算協(xié)處理器（CAU）、只讀存儲器（ROM），隨機存儲器（RAM）、電可擦除可編程只讀存儲器（E2PROM）等，以與固化在ROM部的芯片操作系統(tǒng)COS（ChipOperatingSystem）、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認證的SmartCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止非法軟件對S鎖進行操作。3.2病毒防護系統(tǒng)基于單位目前網(wǎng)絡的現(xiàn)狀，在網(wǎng)絡中添加一臺服務器，用于安裝IMSS。（1)防毒。采用趨勢科技的

26、ScanMailforNotes。該產品可以和Domino的群件服務器無縫相結合并嵌到Notes的數(shù)據(jù)庫中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫與電子，實時掃描并清除隱藏于數(shù)據(jù)庫與信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒 HYPERLINK :/hi138 /?k=%B9%DC%C0%ED%B9%A4%D7%F7 管理工作，并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是NotesDominoServer使用率最高的防病毒軟件。（2)服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是含集中管理的概念，防毒模塊和管理模塊可分開安裝

27、。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響，另一方面使所有服務器的防毒系統(tǒng)可以從單點進行部署，管理和更新。（3)客戶端防毒。采用趨勢科技的OfficeScan。該產品作為網(wǎng)絡版的客戶端防毒系統(tǒng)，使 HYPERLINK :/hi138 /?k=%B9%DC%C0%ED%D5%DF 管理者通過單點控制所有客戶機上的防毒模塊，并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式，不受Windows域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web的部署方式。（4)集中控管TVCS。管理員可以通過此工具在整個企業(yè)圍進行配置、監(jiān)視和維護趨勢科技的防病毒軟件

28、，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務器的防病毒產品狀態(tài)。無論運行于何種平臺和位置，TVCS在整個網(wǎng)絡中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)代理部署，網(wǎng)絡的分析和病毒統(tǒng)計功能以與自動下載病毒代碼文件和病毒爆發(fā)警報，給管理帶來極大的便利。3.3 動態(tài)口令系統(tǒng)動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎上，結合生成動態(tài)口令的特點，加以精心修改，通過十次以上的非線性迭代運算，完成時間參數(shù)與密鑰充分的混合擴散。在此基礎上，采用先進的身份認證與加解密流程、先進的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡部分構成，在控制不可信連接、分辨非法訪問、辨別身份偽裝等方

29、面存在著很大的缺陷，從而構成了對網(wǎng)絡安全的重要隱患。本設計方案選用四臺網(wǎng)御防火墻，分別配置在高性能服務器和三個重要部門的局域網(wǎng)出入口，實現(xiàn)這些重要部門的訪問控制。通過在核心交換機和高性能服務器群之間與核心交換機和重要部門之間部署防火墻，通過防火墻將網(wǎng)絡部不同部門的網(wǎng)絡或關鍵服務器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅保護了單位網(wǎng)絡服務器，使其不受來自部的攻擊，也保護了各部門網(wǎng)絡和數(shù)據(jù)服務器不受來自單位網(wǎng)部其他部門的網(wǎng)絡的攻擊。如果有人闖進您的一個部門，或者如果病毒開始蔓延，網(wǎng)段能夠限制造成的損壞進一步擴大。為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網(wǎng)之間建立起獨立的安全通道，通過嚴格的加密

30、和認證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。SJW-22網(wǎng)絡密碼機系統(tǒng)組成網(wǎng)絡密碼機（硬件）:是一個基于專用核，具有自主的高級通信保護控制系統(tǒng)。本地管理器（軟件）:是一個安裝于密碼機本地管理平臺上的基于網(wǎng)絡或串口方式的網(wǎng)絡密碼機本地管理系統(tǒng)軟件。中心管理器（軟件）:是一個安裝于中心管理平臺（Windows系統(tǒng)）上的對全網(wǎng)的密碼機設備進行統(tǒng)一管理的系統(tǒng)軟件。根據(jù)以上多層次安全防的策略，安全網(wǎng)的安全建設可采取“加密”、“外防”、“審”相結合的方法，“審”是對系統(tǒng)部進行監(jiān)視、審查，識別系統(tǒng)是否正在受到攻擊以與部信息是否泄密，以解決層安全。安全審計系統(tǒng)能幫助用戶對安全網(wǎng)的安全進行實時監(jiān)控

31、，與時發(fā)現(xiàn)整個網(wǎng)絡上的動態(tài)，發(fā)現(xiàn)網(wǎng)絡入侵和違規(guī)行為，忠實記錄網(wǎng)絡上發(fā)生的一切，提供取證手段。作為網(wǎng)絡安全十分重要的一種手段，安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關行為有關的信息。在安全網(wǎng)中使用的安全審計系統(tǒng)應實現(xiàn)如下功能：安全審計自動響應、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。本設計方案選用“漢邦軟科”的安全審計系統(tǒng)作為安全審計工具。漢邦安全審計系統(tǒng)是針對目前網(wǎng)絡發(fā)展現(xiàn)狀與存在的安全問題，面向企事業(yè)的網(wǎng)絡管理人員而設計的一套網(wǎng)絡安全產品，是一個分布在整個安全網(wǎng)圍的網(wǎng)絡安全監(jiān)視監(jiān)測、控制系統(tǒng)。（1）安全審計系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個

32、部分構成。主機傳感器安裝在要監(jiān)視的目標主機上，其監(jiān)視目標主機的人機界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡連接情況與共享資源的使用情況。安全監(jiān)控中心是管理平臺和監(jiān)控平臺，網(wǎng)絡管理員通過安全監(jiān)控中心為主機傳感器設定監(jiān)控規(guī)則，同時獲得監(jiān)控結果、報警信息以與日志的審計。主要功能有文件保護審計和主機信息審計。文件保護審計：文件保護安裝在審計中心，可有效的對被審計主機端的文件進行管理規(guī)則設置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以與對文件保護進行用戶管理。主機信息審計:對網(wǎng)絡公共資源中，所有主機進行審計，可以審計到主機的機器名、當前用戶、操作系統(tǒng)類型、IP地址信息

33、。（2)資源監(jiān)控系統(tǒng)主要有四類功能。監(jiān)視屏幕:在用戶指定的時間段，系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實時控制屏幕截獲的開始和完畢。4 防火墻的配置4.1防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進行介紹。 防火墻的初始配置也是通過控制端口（Console）與PC機（通常是便于移動的筆記本電腦）的串口連接，再通過Windows系統(tǒng)自帶的超級終端（HyperTerminal）程序進行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法一樣，參見圖1所示。 防火墻除了以上所

34、說的通過控制端口（Console）進行初始配置外，也可以通過telnet和Tffp配置方式進行高級配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務器軟件，但配置界面比較友好。 防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進入這四種用戶模式的命令也與路由器一樣： 普通用戶模式無需特別命令，啟動后即進入； 進入特權用戶模式的命令為enable；進入配置模式的命令為con

35、fig terminal；而進入端口模式的命令為interface ethernet（）。不過因為防火墻的端口沒有路由器那么復雜，所以通常把端口模式歸為配置模式，統(tǒng)稱為全局配置模式。 防火墻的具體配置步驟如下： 1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上，參見圖1。 2. 打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機。 3. 運行筆記本電腦Windows系統(tǒng)中的超級終端（HyperTerminal）程序（通常在附件程序組中）。對超級終端的配置與交換機或路由器的配置一樣，參見本教程前面有關介紹。 4. 當PIX防火墻進入系統(tǒng)后

36、即顯示pixfirewall的提示符，這就證明防火墻已啟動成功，所進入的是防火墻用戶模式?？梢赃M行進一步的配置了。 5. 輸入命令：enable,進入特權用戶模式，此時系統(tǒng)提示為：pixfirewall#。 6. 輸入命令： configure terminal,進入全局配置模式，對系統(tǒng)進行初始化設置。 （1）. 首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個LAN和1個WAN接口的防火墻配置為例） Interface ethernet0 auto # 0號網(wǎng)卡系統(tǒng)自動分配為WAN網(wǎng)卡，auto選項為系統(tǒng)自適應網(wǎng)卡類型 Interface ethernet1 auto （2）. 配置防火墻、外部網(wǎng)卡的I

37、P地址 IP address inside ip_address netmask # Inside代表部網(wǎng)卡 IP address outside ip_address netmask # outside代表外部網(wǎng)卡 （3）. 指定外部網(wǎng)卡的IP地址圍： global 1 ip_address-ip_address （4）. 指定要進行轉換的部地址 nat 1 ip_address netmask （5）. 配置某些控制選項： conduit global_ip port-port protocol foreign_ip netmask 其中，global_ip：指的是要控制的地址；port：

38、指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項，代表要控制的子網(wǎng)掩碼。 7. 配置保存：wr mem 8. 退出當前模式 此命令為exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當簡單，只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權模式，再退到普通模式下的操作步驟。 pixfirewall(config)# exit pixfirewall# exit pixfirewall 9. 查看當前用戶模式下的所有可用命令：sho

39、w，在相應用戶模式下鍵入這個命令后，即顯示出當前所有可用的命令與簡單功能描述。 10. 查看端口狀態(tài)：show interface，這個命令需在特權用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。 11. 查看靜態(tài)地址映射:show static，這個命令也須在特權用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當前靜態(tài)地址映射情況。4.2 過濾防火墻的訪問配置除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對訪問控制列表（ACL）進行配有關置。下面介紹一些用于此方面配置的基本命令。 1. access-list：用于創(chuàng)建訪問規(guī)則 這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進行。同一個序號

40、的規(guī)則可以看作一類規(guī)則，同一個序號之間的規(guī)則按照一定的原則進行排列和選擇，這個順序可以通過 show access-list 命令看到。在這個命令中，又有幾種命令格式，分別執(zhí)行不同的命令。 （1）創(chuàng)建標準訪問列表 命令格式：access-list normal special listnumber1 permit deny source-addr source-mask （2）創(chuàng)建擴展訪問列表 命令格式：access-list normal special listnumber2 permit deny protocol source-addr source-mask operator por

41、t1 port2 dest-addr dest-mask operator port1 port2 icmp-type icmp-code log （3）刪除訪問列表 命令格式：no access-list normal special all listnumber subitem 上述命令參數(shù)說明如下： normal：指定規(guī)則加入普通時間段。 special：指定規(guī)則加入特殊時間段。 listnumber1：是1到99之間的一個數(shù)值，表示規(guī)則是標準訪問列表規(guī)則。 listnumber2：是100到199之間的一個數(shù)值，表示規(guī)則是擴展訪問列表規(guī)則。 permit：說明允許滿足條件的報文通過。

42、deny：說明禁止?jié)M足條件的報文通過。 protocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時沒有端口比較的概念；為IP時有特殊含義，代表所有的IP協(xié)議。 source-addr：為源IP地址。 source-mask：為源IP地址的子網(wǎng)掩碼，在標準訪問列表中是可選項，不輸入則代表通配位為。 dest-addr：為目的IP地址。 dest-mask：為目的地址的子網(wǎng)掩碼。 operator：端口操作符，在協(xié)議類型為TCP或UDP時支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，

43、則后面需要跟兩個端口。 port1 在協(xié)議類型為TCP或UDP時出現(xiàn)，可以為關鍵字所設定的預設值（如telnet）或065535之間的一個數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn)；可以為關鍵字所設定的預設值（如telnet）或065535之間的一個數(shù)值。 icmp-type：在協(xié)議為ICMP時出現(xiàn)，代表ICMP報文類型；可以是關鍵字所設定的預設值（如echo-reply）或者是0255之間的一個數(shù)值。 icmp-code：在協(xié)議為ICMP，且沒有選擇所設定的預設值時出現(xiàn)；代表ICMP碼，是0255之間的一個數(shù)值。 log：表示如果報文符合條件，需要做日志。 li

44、stnumber：為刪除的規(guī)則序號，是1199之間的一個數(shù)值。 subitem：指定刪除序號為listnumber的訪問列表中規(guī)則的序號。 例如，現(xiàn)要在華為的一款防火墻上配置一個允許源地址為 網(wǎng)絡、目的地址為網(wǎng)絡的WWW訪問，但不允許使用FTP的訪問規(guī)則。相應配置語句只需兩行即可，如下： Quidway (config)#access-list 100 permit tcp eq Quidway (config)#access-list 100 deny tcp eq ftp 2. clear access-list counters：清除訪問列表規(guī)則的統(tǒng)計信息 命令格式：clear acce

45、ss-list counters listnumber 這一命令必須在特權用戶模式下進行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計信息的規(guī)則號，如不指定，則清除所有的規(guī)則的統(tǒng)計信息。 如要在華為的一款包過濾路由器上清除當前所使用的規(guī)則號為100的訪問規(guī)則統(tǒng)計信息。訪問配置語句為： clear access-list counters 100 如有清除當前所使用的所有規(guī)則的統(tǒng)計信息，則以上語句需改為：Quidway#clear access-list counters 3. ip access-group 使用此命令將訪問規(guī)則應用到相應接口上。使用此命令的no形式來刪除相應的設置，對應格

46、式為： ip access-group listnumber in out 此命令須在端口用戶模式下配置，進入端口用戶模式的命令為：interface ethernet（），括號中為相應的端口號，通常0為外部接口，而1為部接口。進入后再用ip access-group 命令來配置訪問規(guī)則。listnumber參數(shù)為訪問規(guī)則號，是1199之間的一個數(shù)值（包括標準訪問規(guī)則和擴展訪問規(guī)則兩類）；in 表示規(guī)則應用于過濾從接口接收到的報文；而out表示規(guī)則用于過濾從接口轉發(fā)出去的報文。一個接口的一個方向上最多可以應用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號的大小進行排列，序號大的排在前面，也就是優(yōu)先

47、級高。對報文進行過濾時，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結果的方法來加快過濾速度。所以，建議在配置規(guī)則時，盡量將對同一個網(wǎng)絡配置的規(guī)則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。 例如將規(guī)則100應用于過濾從外部網(wǎng)絡接口上接收到的報文，配置語句為（同樣為在傾為包過濾路由器上）： ip access-group 100 in 如果要刪除某個訪問控制表列綁定設置，則可用no ip access-group listnumber in out 命令。 4. show access-list 此配置命令用于顯示包過濾規(guī)則

48、在接口上的應用情況。命令格式為：show access-list all listnumber interface interface-name 這一命令須在特權用戶模式下進行配置，其中all參數(shù)表示顯示所有規(guī)則的應用情況，包括普通時間段與特殊時間段的規(guī)則；如果選擇listnumber參數(shù)，則僅需顯示指定規(guī)則號的過濾規(guī)則；interface 表示要顯示在指定接口上應用的所有規(guī)則序號；interface-name參數(shù)為接口的名稱。 使用此命令來顯示所指定的規(guī)則，同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應的計數(shù)器，如果用此規(guī)則過濾了一個報文，則計數(shù)器加1；通過對計數(shù)器的觀察可以看出所配置的規(guī)

49、則中，哪些規(guī)則是比較有效，而哪些基本無效。例如，現(xiàn)在要顯示當前所使用序號為100的規(guī)則的使用情況，可執(zhí)行Quidway#show access-list 100語句即可，隨即系統(tǒng)即顯示這條規(guī)則的使用情況，格式如下： Using normal packet-filtering access rules now. 100 deny icmp 55 any host-redirect (3 matches,252 bytes - rule 1) 100 permit icmp 55 any echo (no matches - rule 2) 100 deny udp any any eq rip

50、(no matches - rule 3) 5. show firewall 此命令須在特權用戶模式下執(zhí)行，它顯示當前防火墻狀態(tài)。命令格式非常簡單，也為：show firewall。這里所說的防火墻狀態(tài)，包括防火墻是否被啟用，啟用防火墻時是否采用了時間段包過濾與防火墻的一些統(tǒng)計信息。 6. Telnet 這是用于定義能過防火配置控制端口進行遠程登錄的有關參數(shù)選項，也須在全局配置用戶模式下進行配置。 命令格式為：telnet ip_address netmask if_name 其中的ip_address參數(shù)是用來指定用于Telnet登錄的IP地址，netmask為子網(wǎng)掩碼，if_name用于指

51、定用于Telnet登錄的接口，通常不用指定，則表示此IP地址適用于所有端口。如： telnet 如果要清除防火墻上某個端口的Telnet參數(shù)配置，則須用clear telnet命令，其格式為：clear telnet ip_address netmask if_name，其中各選項說明同上。它與另一個命令no telnet功能基本一樣，不過它是用來刪除某接口上的Telnet配置，命令格式為：no telnet ip_address netmask if_name。 如果要顯示當前所有的Telnet配置，則可用show telnet命令。 最簡單的防火墻配置，就是直接在部網(wǎng)和外部網(wǎng)之間加裝一個包

52、過濾路由器或者應用網(wǎng)關。為更好地實現(xiàn)網(wǎng)絡安全，有時還要將幾種防火墻技術組合起來構建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。4.3雙宿主機網(wǎng)關(Dual Homed HYPERLINK :/whatis.ctocio .cn/searchwhatis/110/6093110.shtml t _bank Gateway)這種配置是用一臺裝有兩個網(wǎng)絡適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡適配器分別連接兩個網(wǎng)絡，又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務器)，可以轉發(fā)應用程序，提供服務等。雙宿主機網(wǎng)關有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任

53、何網(wǎng)上用戶均可以隨便訪問有保護的部網(wǎng)絡(如圖1)。三種流行防火墻配置方案分析(圖一)4.4屏蔽主機網(wǎng)關(Screened HYPERLINK :/whatis.ctocio .cn/searchwhatis/128/5948128.shtml t _bank Host Gateway)屏蔽主機網(wǎng)關易于實現(xiàn)，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網(wǎng)絡，同時一個堡壘主機安裝在部網(wǎng)絡上。堡壘主機只有一個網(wǎng)卡，與部網(wǎng)絡連接(如圖2)。通常在路由器上設立過濾規(guī)則，并使這個單宿堡壘主機成為從 Internet惟一可以訪問的主機，確保了部網(wǎng)絡不受未被授權的外部用戶的 HYPERLINK :/whatis.ctocio .cn/searchwhatis/308/7333808.shtml t _bank 攻擊。而 HYPERLINK :/whatis.ctocio .cn/se