[畢業(yè)論文]防火墻技術(shù)在企業(yè)的應(yīng)用

1、畢 業(yè) 論 文題 目：防火墻技術(shù)在xxxx企業(yè)的應(yīng)用 學(xué)習(xí)中心： xxxx 層 次： xxxx 專 業(yè)： xxxx 年(班)級： xxxx 學(xué) 號： xxxx 學(xué) 生： xxxx 指導(dǎo)教師： xxxx 完成日期： xxxx 目 錄摘 要1引 言2第一章需求分析31.1概況31.1.1商業(yè)需求分析31.1.2企業(yè)網(wǎng)絡(luò)的現(xiàn)狀與未來41.2安全需求分析51.2.1（統(tǒng)一威脅管理）更能滿足企業(yè)的網(wǎng)絡(luò)安全需求5第二章 綜合布線及拓?fù)浣Y(jié)構(gòu)72.1綜合布線72.1.1蘭州宏宇廣域網(wǎng)方案規(guī)劃72.1.2綜合布線特點(diǎn)82.1.3 vpn系統(tǒng)規(guī)劃建議102.2拓?fù)浣Y(jié)構(gòu)112.21拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)的基本特點(diǎn)12第三章

2、防火墻在企業(yè)網(wǎng)絡(luò)中具體功能與實(shí)現(xiàn)143.1具體功能143.2防火墻功能的實(shí)現(xiàn)153.2.1多種控制對象153.2.2入侵檢測系統(tǒng)163.2.3安全評估系統(tǒng)173.2.4全面地址翻譯（nat）解決方案18第四章網(wǎng)絡(luò)安全措施204.1網(wǎng)絡(luò)安全防火墻防病毒軟件204.1.1防病毒軟件204.2網(wǎng)絡(luò)安全方案224.2.1 ids實(shí)施方案24結(jié)束26致謝27參考文獻(xiàn)28 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用摘 要隨著政府、企業(yè)、個(gè)人主機(jī)的網(wǎng)絡(luò)安全需求的與日俱增，防火墻技術(shù)應(yīng)運(yùn)而生。傳統(tǒng)的邊界式防火墻是企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一道屏障，但是其無法對內(nèi)部網(wǎng)絡(luò)訪問進(jìn)行控制，也沒有對黑客行為進(jìn)行入侵檢測和阻斷的

3、功能。企業(yè)迫切需要一套真正能夠解決網(wǎng)絡(luò)內(nèi)部和外部，防火墻和防黑客的安全解決方案。二十一世紀(jì)是個(gè)信息時(shí)代，網(wǎng)絡(luò)的迅速發(fā)展，信息在現(xiàn)代生活和工作中發(fā)揮著越來越重要的作用。本方案是結(jié)合蘭州宏宇電腦企業(yè)公司的網(wǎng)絡(luò)組建工程而設(shè)計(jì)。在企業(yè)網(wǎng)絡(luò)建設(shè)中。選擇星型及擴(kuò)展星型的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),通過連接路由器、防火墻、集線器、服務(wù)器、工作站等設(shè)備構(gòu)架“堡壘式”的網(wǎng)絡(luò)。在實(shí)施中,用三層交換機(jī)實(shí)現(xiàn)vlan管理各部門、車間；在外員工采用vpn接入公司內(nèi)部網(wǎng)絡(luò)； 關(guān)鍵字 網(wǎng)絡(luò)拓?fù)?；工作站； 防火墻；集線器引 言隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步，特別是90年代以來因特網(wǎng)的迅速普及和發(fā)展，網(wǎng)絡(luò)安全問題越來越引起人們的重視，網(wǎng)絡(luò)安全技術(shù)也成為

4、計(jì)算機(jī)網(wǎng)絡(luò)方向的研究熱點(diǎn)。 網(wǎng)絡(luò)安全技術(shù)在人們的現(xiàn)實(shí)生活中有著廣泛的應(yīng)用，特別是近幾年電子上午的蓬勃發(fā)展，電子銀行、在線交易等已經(jīng)成為人們?nèi)粘Ｉ畹闹匾M成部分，這就要求網(wǎng)絡(luò)服務(wù)提供相應(yīng)的安全措施，以保障廣大用戶的權(quán)益。網(wǎng)絡(luò)安全問題也為網(wǎng)絡(luò)黑客們提供了廣闊的生存空間，他們利用網(wǎng)絡(luò)的安全漏洞有意或無意地開展各種各樣的攻擊，直接或間接地影響了人們的生活。當(dāng)然，也正是在這種攻擊與反攻擊、侵入與反侵入的不斷斗爭中，網(wǎng)絡(luò)安全技術(shù)才得以全面迅速地發(fā)展。作為信息安全技術(shù)的一個(gè)方面，網(wǎng)絡(luò)安全技術(shù)是在互聯(lián)網(wǎng)絡(luò)的大規(guī)模應(yīng)用中才逐漸受到廣泛注意的。tcp/ip協(xié)議中的開放性、透明性等特點(diǎn)是安全風(fēng)險(xiǎn)的一個(gè)重要來源；而

5、現(xiàn)代操作系統(tǒng)的日漸復(fù)雜，也產(chǎn)生了越來越多的網(wǎng)絡(luò)安全問題，正因?yàn)槿绱耍瑥木W(wǎng)絡(luò)的產(chǎn)生到現(xiàn)在，隨著網(wǎng)絡(luò)安全的研究不斷深入，新的理論觀點(diǎn)和體系結(jié)構(gòu)觀念也層出不窮。第一章需求分析在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問internet，internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。1.1概況蘭州宏宇電腦是以蘭州大學(xué)等一批具有本?？埔陨蠈W(xué)歷的技術(shù)精英發(fā)起而成立的具有獨(dú)立法資格的新技術(shù)企業(yè)。

6、本公司以計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備銷售開發(fā)以及辦公設(shè)備渠道供應(yīng)商為主業(yè)，從事系統(tǒng)網(wǎng)絡(luò)集成，軟件開發(fā)、多媒體系統(tǒng)集成 。同時(shí)作為中國電信蘭州惟一數(shù)據(jù)接入業(yè)務(wù)理商。扎根蘭州，立足西北地區(qū)，致力于計(jì)算機(jī)網(wǎng)絡(luò)通訊普及發(fā)展事業(yè)。為用戶提供綜合網(wǎng)絡(luò)辦公設(shè)備、綜合布線系統(tǒng)、多媒體制作 、intenet接入系統(tǒng)。公司領(lǐng)導(dǎo)決定重審目前的信息技術(shù)運(yùn)用狀況，并結(jié)合公司的整體經(jīng)營戰(zhàn)略目標(biāo)，從總體上對公司的信息技術(shù)提出一個(gè)完善的規(guī)劃方案。為幫助實(shí)現(xiàn)企業(yè)總體目標(biāo)，公司技術(shù)員于6月初開展了更深入和廣泛的調(diào)研與分析，從信息系統(tǒng)的整體架構(gòu)，及其各個(gè)組成部分，從應(yīng)用系統(tǒng)、安全管理、實(shí)施計(jì)劃進(jìn)行討論和分析，從而制訂出一份全面的信息建設(shè)整體規(guī)劃

7、方案。1.1.1商業(yè)需求分析現(xiàn)在信息化發(fā)展的今天，通過大量形象.直觀的多媒體形象信息交流的過程中,客戶不僅能快而準(zhǔn)確 地掌握各種產(chǎn)品信息，更可以通過計(jì)算機(jī)網(wǎng)絡(luò)，在短時(shí)間內(nèi)采集相關(guān)的大量知識信息，豐富、擴(kuò)展這概念的內(nèi)涵和外延，提高公司現(xiàn)代化的辦公管理能力。同時(shí)，借助于internet，把蘭州宏宇電腦產(chǎn)品出市場打破地域概念，將公司家和客戶、產(chǎn)品和學(xué)習(xí)交流的乏味，利用網(wǎng)絡(luò)更好宣傳公司產(chǎn)品網(wǎng)上銷售1.1.2企業(yè)網(wǎng)絡(luò)的現(xiàn)狀與未來 當(dāng)今中小企業(yè)與大企業(yè)一樣，都廣泛使用信息技術(shù)，特別是網(wǎng)絡(luò)技術(shù)，以不斷提高企業(yè)的競爭力。企業(yè)信息設(shè)施在提高企業(yè)效益的同時(shí)，也給企業(yè)增加了風(fēng)險(xiǎn)隱患。大企業(yè)所面臨的安全問題也一直困擾

8、著中小企業(yè)，關(guān)于中小企業(yè)網(wǎng)絡(luò)安全的相關(guān)報(bào)導(dǎo)也一直層不窮。針對中小企業(yè)網(wǎng)絡(luò)安全事故大多不為人所知。由于計(jì)算機(jī)網(wǎng)絡(luò)特有的開放性。網(wǎng)絡(luò)安全問題日益嚴(yán)重。中小企業(yè)所面臨的安全問題主要有以下幾個(gè)方面： 1外網(wǎng)安全駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。 2內(nèi)網(wǎng)安全最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以員工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密。 3內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全隨著企業(yè)的發(fā)展壯大，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動辦公人員這

9、樣的新型互動運(yùn)營模式。怎么處理總部與分支機(jī)構(gòu)、移動辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。 1.2安全需求分析目前的中小企業(yè)由于人力和資金上的限制，網(wǎng)絡(luò)安全產(chǎn)品不僅僅需要簡單的安裝，更重要的是要有針對復(fù)雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案。其著眼點(diǎn)在于：國內(nèi)外領(lǐng)先的廠商產(chǎn)品；具備處理突發(fā)事件的能力；能夠?qū)崟r(shí)監(jiān)控并易于管理；提供安全策略配置定制；是用戶能夠很容易地完善自身安全體系。歸結(jié)起來，應(yīng)充分保證以下幾點(diǎn)： 1 網(wǎng)絡(luò)可用性：網(wǎng)絡(luò)是業(yè)務(wù)系統(tǒng)的載體，防止如dos/ddos這樣的網(wǎng)絡(luò)攻擊

10、破壞網(wǎng)絡(luò)的可用性。 2業(yè)務(wù)系統(tǒng)的可用性：中小企業(yè)主機(jī)、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。 3數(shù)據(jù)機(jī)密性：對于中小企業(yè)網(wǎng)絡(luò)，保密數(shù)據(jù)的泄密將直接帶來企業(yè)商業(yè)利益的損失。網(wǎng)絡(luò)安全系應(yīng)保證機(jī)密信息在存儲與傳輸時(shí)的保密性。 4訪問的可控性：對關(guān)鍵網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這要求系統(tǒng)能夠可靠確認(rèn)訪問者的身份，謹(jǐn)慎授權(quán)，并對任何訪問進(jìn)行跟蹤記錄。 5網(wǎng)絡(luò)操作的可管理性：對于網(wǎng)絡(luò)安全系統(tǒng)應(yīng)具備審計(jì)和日志功能，對相關(guān)重要操作提供可靠而方便的可管理和維護(hù)功能。易用的功能。1.2.1（統(tǒng)一威脅管理）更能滿足企業(yè)的網(wǎng)

11、絡(luò)安全需求 1.網(wǎng)絡(luò)安全系統(tǒng)通常是由防火墻、入侵檢測、漏洞掃描、安全審計(jì)、防病毒、流量監(jiān)控等功能產(chǎn)品組成的。但由于安全產(chǎn)品來自不同的廠商，沒有統(tǒng)一的標(biāo)準(zhǔn)，因此安全產(chǎn)品之間無法進(jìn)行信息交換，形成許多安全孤島和安全盲區(qū)。而企業(yè)用戶目前急需的是建立一個(gè)規(guī)范的安全管理平臺，對各種安全產(chǎn)品進(jìn)行統(tǒng)一管理。于是，utm產(chǎn)品應(yīng)運(yùn)而生，并且正在逐步得到市場的認(rèn)可。utm安全、管理方便的特點(diǎn)，是安全設(shè)備最大的好處，而這往往也是中小企業(yè)對產(chǎn)品的主要需求。 2.中小企業(yè)的資金流比較薄弱，這使得中小企業(yè)在網(wǎng)絡(luò)安全方面的投入總顯得底氣不足。而整合式的utm產(chǎn)品相對于單獨(dú)購置各種功能，可以有效地降低成本投入。且由于utm的

12、管理比較統(tǒng)一，能夠大大降低在技術(shù)管理方面的要求，彌補(bǔ)中小企業(yè)在技術(shù)力量上的不足。這使得中小企業(yè)可以最大限度地降低對安全供應(yīng)商的技術(shù)服務(wù)要求。網(wǎng)絡(luò)安全方案可行性更強(qiáng)。 3.utm產(chǎn)品更加靈活、易于管理，中小企業(yè)能夠在一個(gè)統(tǒng)一的架構(gòu)上建立安全基礎(chǔ)設(shè)施，相對于提供單一專有功能的安全設(shè)備，utm在一個(gè)通用的平臺上提供多種安全功能。一個(gè)典型的utm產(chǎn)品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全面功能的utm設(shè)備，也可以根據(jù)自己的需要選擇某幾個(gè)方面的功能。更為重要的是，用戶可以隨時(shí)在這個(gè)平臺上增加或調(diào)整安全功能，而任何時(shí)候這些安全功能都可以很好地協(xié)同工作。第二章 綜合布線及

13、拓?fù)浣Y(jié)構(gòu)為適應(yīng)迅速的技術(shù)變化，使得我們必須將建筑物進(jìn)行結(jié)構(gòu)化布線作為一個(gè)策略性投資加以考慮。建筑物綜合布線網(wǎng)絡(luò)，需要滿足用戶的近期和長期工作需求, 使其在計(jì)算機(jī)網(wǎng)絡(luò)、通信系統(tǒng)等方面都達(dá)到較高智能化和現(xiàn)代化的水平滿足。2.1綜合布線蘭州宏宇電腦到目前為止尚未建立公司的廣域網(wǎng)，分公司與公司總部之間使用撥號的方式通過internet連接。以下詳細(xì)對幾種廣域網(wǎng)構(gòu)建方式進(jìn)行了分析和比較，并基于比較分析的結(jié)果，提出蘭州廣域網(wǎng)的構(gòu)建建議、網(wǎng)絡(luò)設(shè)備的規(guī)劃、internet連接的規(guī)劃。2.1.1蘭州宏宇廣域網(wǎng)方案規(guī)劃圖2-1綜合布線（平面圖）1以蘭州宏宇公司總部為中心，各個(gè)分公司通過vpn或fr幀中繼網(wǎng)連接到總

14、部，建立廣域網(wǎng)的主干。各分公司利用已有的isdn電話線路通過遠(yuǎn)程撥號作為主干網(wǎng)絡(luò)的備份網(wǎng)絡(luò)，各個(gè)客戶服務(wù)中心和倉庫通過isdn電話線路連接到距離最近的分公司，通過分公司和總部連接。2公司總部與internet的連接ddn專線線路帶寬擴(kuò)展到4m。公司內(nèi)部上網(wǎng)瀏覽線路使用adsl寬帶網(wǎng)絡(luò)線路。2.1.2綜合布線特點(diǎn)蘭州宏宇方案規(guī)劃的特點(diǎn)1綜合性、兼容性好 傳統(tǒng)的專業(yè)布線方式需要使用不同的電纜、電線、接續(xù)設(shè)備和其它器材，技術(shù)性能差別極大，難以互相通用，彼此不能兼容。綜合布線系統(tǒng)具有綜合所有系統(tǒng)和互相兼容的特點(diǎn)，采用光纜或高質(zhì)量的布線部件和連接硬件，能滿足不同生產(chǎn)廠家終端設(shè)備傳輸信號的需要。 2靈活性

15、、適應(yīng)性強(qiáng) 采用傳統(tǒng)的專業(yè)布線系統(tǒng)時(shí)，如需改變終端設(shè)備的位置和數(shù)量，必須敷設(shè)新的纜線和安裝新的設(shè)備，且在施工中有可能發(fā)生傳送信號中斷或質(zhì)量下降，增加工程投資和施工時(shí)間，因此，傳統(tǒng)的專業(yè)布線系統(tǒng)的靈活性和適應(yīng)性差。在綜合布線系統(tǒng)中任何信息點(diǎn)都能連接不同類型的終端設(shè)備，當(dāng)設(shè)備數(shù)量和位置發(fā)生變化時(shí)，只需采用簡單的插接工序，實(shí)用方便，其靈活性和適應(yīng)性都強(qiáng)、且節(jié)省工程投資。 3便于今后擴(kuò)建和維護(hù)管理 綜合布線系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)一般采用星型結(jié)構(gòu)，各條線路自成獨(dú)立系統(tǒng)，在改建或擴(kuò)建時(shí)互相不會影響。綜合布線系統(tǒng)的所有布線部件采用積木式的標(biāo)準(zhǔn)件和模塊化設(shè)計(jì)。因此，部件容易更換，便于排除障礙，且采用集中管理方式，有利

16、于分析、檢查、測試和維修，節(jié)約維護(hù)費(fèi)用和提高工作效率。 一:應(yīng)用帶寬需求按照應(yīng)用系統(tǒng)架構(gòu)的規(guī)劃，蘭州宏宇廣域網(wǎng)涉及的應(yīng)用主要包括：email系統(tǒng)、知識共享平臺系統(tǒng)、erp 系統(tǒng)（主要為分公司的財(cái)務(wù)和倉庫管理）、crm系統(tǒng)（主要為顧客服務(wù)）。預(yù)計(jì)每一分公司所需帶寬為256k左右。該帶寬是根據(jù)各個(gè)應(yīng)用系統(tǒng)初期可能的應(yīng)用需求估計(jì)得出，隨著應(yīng)用的不斷深化，帶寬可以隨之不斷增加。二:網(wǎng)絡(luò)連接方式規(guī)劃1.根據(jù)電信部門的確認(rèn)，電信已經(jīng)在全國范圍大部分的主要的城市開通了幀中繼業(yè)務(wù)，蘭州宏宇公司分公司所在地已經(jīng)全部開通了幀中繼業(yè)務(wù)。2. 蘭州宏宇到目前為止在總部、分公司和顧客服務(wù)中心都已建立了局域網(wǎng)，因此總部、

17、分公司只需分別通過中國電信提供的專線直接接入中國電信的幀中繼網(wǎng)絡(luò)。客戶服務(wù)中心則根據(jù)就近原則，通過isdn撥號連接到距離最近的分公司，通過分公司和總公司連接。圖2-2網(wǎng)絡(luò)規(guī)劃如上圖所示蘭州宏宇分公司各自通過一條專線接入中國電信的幀中繼主干網(wǎng)，達(dá)到最低的保證速率256k、最高的端口速率512k?？紤]到幀中繼相對昂貴的月租費(fèi)用，而顧客服務(wù)中心和倉庫的應(yīng)用比較單一，因此各顧客服務(wù)中心倉庫分別通過isdn撥號接入分公司網(wǎng)絡(luò)，再通過分公司網(wǎng)絡(luò)與總部相連。蘭州宏宇總部通過一條6m專線接入中國電信幀中繼網(wǎng)絡(luò)，該條專線將采用光纖接入的方式，然后分成三根e1線路接入。分公司利用已有的isdn電話撥號線路遠(yuǎn)程連接

18、到總部，通過該線路實(shí)現(xiàn)對主干線路的備份。一旦主干線路損壞，立即撥號到總公司遠(yuǎn)程撥號接入網(wǎng)（isdn接入isdn路由器，電話撥號接入modem pool），保證網(wǎng)絡(luò)的連通。2.1.3 vpn系統(tǒng)規(guī)劃建議根據(jù)網(wǎng)通公司的確認(rèn)，目前這家公司已經(jīng)在全國范圍大部分的主要的城市開通了vpn業(yè)務(wù)，蘭州宏宇公司分公司所在地已經(jīng)全部開通了vpn業(yè)務(wù)。vpn方案的網(wǎng)絡(luò)連接圖與幀中繼方案基本一致：蘭州宏宇分公司分別通過一條256k 專線接入vpn網(wǎng)絡(luò)，各客服中心倉庫分別通過isdn撥號接入分公司網(wǎng)絡(luò)，再通過分公司網(wǎng)絡(luò)和總部相連。而蘭州宏宇總部通過一條6m專線接入vpn網(wǎng)絡(luò)，該條專線將采用光纖接入。由于采用星型的連接方

19、式構(gòu)建蘭州宏宇廣域網(wǎng)，以后無論是增加新的分公司或是將法人企業(yè)連接進(jìn)入整個(gè)網(wǎng)絡(luò)，都會比較容易：只需要增加一條幀中繼或vpn線路進(jìn)入主干系統(tǒng)就可以，不會對網(wǎng)絡(luò)拓?fù)溆杏绊?。同時(shí)，任何一個(gè)分公司與公司總部的連接線路受損，都不會影響到其他分公司與公司總部的連接。上述兩種線路接入方式采用的線路設(shè)備（dtu）具有可升級性，在以后升級網(wǎng)絡(luò)帶寬時(shí)無須更換設(shè)備，以保護(hù)投資。兩種線路接入方式的備份線路都采用isdn電話線路遠(yuǎn)程撥號的方式，主要有以下考慮：由于該種方式利用已有的線路，十分經(jīng)濟(jì)。由于在大多數(shù)的情況下主干網(wǎng)絡(luò)不會中斷，除非一些特殊情況如電信部門的主干光纖被挖斷。因此該線路平時(shí)不用連通，可以派做他用，不會造

20、成線路浪費(fèi)。一旦出現(xiàn)意外情況主干損壞，再撥號到總部，運(yùn)行成本很低。由于分公司和總公司之間的應(yīng)用系統(tǒng)的實(shí)時(shí)性要求不是很高，因此從應(yīng)用的角度也可以接受以上的備份方式。2.2拓?fù)浣Y(jié)構(gòu)目前，隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)作為一種處理信息的工具、網(wǎng)絡(luò)作為當(dāng)今社會人們獲取信息、知識的重要途徑和手段，它們已在各行各業(yè)發(fā)揮著越來越重要的作用。局域網(wǎng)上具有獨(dú)立工作能力的計(jì)算機(jī)系統(tǒng)被稱之為節(jié)點(diǎn)，這些節(jié)點(diǎn)之間相互連接的方法在網(wǎng)絡(luò)術(shù)語中被稱之為網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開網(wǎng)絡(luò)電纜的物理連接來討論網(wǎng)絡(luò)系統(tǒng)的連接形式，它能表示出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和互相之間的連接。在蘭州宏宇電腦企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中

21、選用的是星型結(jié)構(gòu)：如下是星型拓?fù)浣Y(jié)構(gòu)圖：圖2-3 星型拓?fù)浣Y(jié)構(gòu)示意圖星型結(jié)構(gòu)是以中央節(jié)點(diǎn)為中心與各節(jié)點(diǎn)連接而組成的(如2-3所示)，各節(jié)點(diǎn)與中央節(jié)點(diǎn)通過點(diǎn)與點(diǎn)方式連接，任何兩個(gè)站點(diǎn)要進(jìn)行通信都必須經(jīng)過中央節(jié)點(diǎn)控制。為便于集中連線，目前多采用集線器hub作為星型結(jié)構(gòu)的中央節(jié)點(diǎn)，hub通常有4、8、12、16、24個(gè)端口，每個(gè)端口相對獨(dú)立，因此當(dāng)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)有故障時(shí)，不會影響整個(gè)局域網(wǎng)的運(yùn)行。星型結(jié)構(gòu)的優(yōu)點(diǎn)是：網(wǎng)絡(luò)結(jié)構(gòu)簡單，組網(wǎng)容易，便于管理，故障診斷容易，可同時(shí)連雙絞線、同軸電纜及光纖等多種媒質(zhì)。缺點(diǎn)是：共享能力較差，由于通信線路總長度大，因而組網(wǎng)成本較高。2.21拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)的基本特點(diǎn)1節(jié)

22、點(diǎn)擴(kuò)展、移動方便：節(jié)點(diǎn)擴(kuò)展時(shí)只需要從集線器或交換機(jī)等集中設(shè)備中拉一條線即可，而要移動一個(gè)節(jié)點(diǎn)只需要把相應(yīng)節(jié)點(diǎn)設(shè)備移到新節(jié)點(diǎn)即可，而不會像環(huán)型網(wǎng)絡(luò)那樣牽其一而動全局； 維護(hù)容易；一個(gè)節(jié)點(diǎn)出現(xiàn)故障不會影響其它節(jié)點(diǎn)的連接，可任意拆走故障節(jié)點(diǎn)；2 網(wǎng)絡(luò)傳輸數(shù)據(jù)快：這一點(diǎn)可以從目前最新的1000mbps到10g以太網(wǎng)接入速度可以看出。3這種結(jié)構(gòu)是目前在局域網(wǎng)中應(yīng)用得最為普遍的一種，在很多企業(yè)網(wǎng)絡(luò)中幾乎都是采用這一方式。星型網(wǎng)絡(luò)幾乎是ethernet（以太網(wǎng)）網(wǎng)絡(luò)專用，它是因網(wǎng)絡(luò)中的各工作站節(jié)點(diǎn)設(shè)備通過一個(gè)網(wǎng)絡(luò)集中設(shè)備（如集線器或者交換機(jī)）連接在一起，各節(jié)點(diǎn)呈星狀分布。4各站點(diǎn)通過點(diǎn)到點(diǎn)的鏈路與中心站相連

23、。特點(diǎn)是很容易在網(wǎng)絡(luò)中增加新的站點(diǎn)，數(shù)據(jù)的安全性和優(yōu)先級容易控制，易實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控，但中心節(jié)點(diǎn)的故障會引起整個(gè)網(wǎng)絡(luò)癱瘓。第三章 防火墻在企業(yè)網(wǎng)絡(luò)中具體功能與實(shí)現(xiàn)隨著政府、企業(yè)、個(gè)人主機(jī)的網(wǎng)絡(luò)安全需求的與日俱增，防火墻技術(shù)應(yīng)運(yùn)而生。傳統(tǒng)的邊界式防火墻是企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一道屏障,但是其無法對內(nèi)部網(wǎng)絡(luò)訪問進(jìn)行控制，也沒有對黑客行為進(jìn)行入侵檢測和阻斷的功能。企業(yè)迫切需要一套真正能夠解決網(wǎng)絡(luò)內(nèi)部和外部，防火墻和防黑客的安全解決方案，為客戶提供可靠的網(wǎng)絡(luò)安全服務(wù).3.1具體功能1.包的透明轉(zhuǎn)發(fā) 事實(shí)上，由于防火墻一般架設(shè)在提供某些服務(wù)的服務(wù)器前。用戶對服務(wù)器的訪問的請求與服務(wù)器反饋給用戶的信息，都需

24、要經(jīng)過防火墻的轉(zhuǎn)發(fā),因此，很多防火墻具備網(wǎng)關(guān)的能力。 2.阻擋外部攻擊 如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會立即將其阻斷避免其進(jìn)入防火墻之后的服務(wù)器中。 3.記錄攻擊 如果有必要，其實(shí)防火墻是完全可以將攻擊行為都記錄下來的，但是由于出于效率上的考慮，目前一般記錄攻擊的事情都交給ids來完成了。4 可以定義規(guī)則計(jì)劃，使得系統(tǒng)在某一時(shí)可以自動啟用和關(guān)閉策略； 5 具有詳細(xì)的日志功能，提供防火墻符合規(guī)則報(bào)文的信息、系統(tǒng)管理信息、系統(tǒng)故障信息的記錄，并支持日志服務(wù)器和日志導(dǎo)出； 6 具有ipsec vpn功能，可以實(shí)現(xiàn)跨互聯(lián)網(wǎng)安全的遠(yuǎn)程訪問； 7 具有郵件通知功能，可以將系統(tǒng)的告警通過發(fā)

25、送郵件通知網(wǎng)絡(luò)管理員； 7 具有攻擊防護(hù)功能對不規(guī)則的ip、tcp報(bào)或超過經(jīng)驗(yàn)閥值的tcp半連接、udp報(bào)文以及icmp報(bào)文采取丟棄； 3.2防火墻功能的實(shí)現(xiàn)根據(jù)蘭州宏宇企業(yè)狀況，為提高企業(yè)網(wǎng)絡(luò)信息安全性，在網(wǎng)絡(luò)結(jié)構(gòu)中使用方正防火墻 。方正防火墻3000系列防火墻采用專用硬件、具有先進(jìn)的檢測技術(shù)和國內(nèi)自主知識版權(quán)的安全操作系統(tǒng)。獨(dú)有的智能ip識別技術(shù)是一種基于狀態(tài)檢測的高效網(wǎng)絡(luò)檢測技術(shù)。在新一代方正防火墻產(chǎn)品中，對原有的智能ip識別技術(shù)進(jìn)行了大幅度的提升和擴(kuò)充，除了能夠提高網(wǎng)絡(luò)數(shù)據(jù)檢測效率外，還能在防火墻內(nèi)核中針對應(yīng)用進(jìn)行多元化的訪問控制，大大擴(kuò)展了防火墻的控制能力，使得防火墻和應(yīng)用能夠更緊密

26、的結(jié)合。配合原有的特有快速搜索算法技術(shù)，方正防火墻在保證針對應(yīng)用的細(xì)致分析和防護(hù)的同時(shí)，對產(chǎn)品的性能有大幅的提高，解決了目前內(nèi)容分析型防火墻普遍存在的效率瓶頸問題。3.2.1多種控制對象用戶在使用防火墻時(shí)最主要的功能就是通過防火墻進(jìn)行訪問控制，隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，原有針對ip包的控制已經(jīng)不能滿足用戶的需求，用戶希望有一種防火墻可以密切和應(yīng)用相結(jié)合，針對具體的網(wǎng)絡(luò)應(yīng)用進(jìn)行訪問控制。方正防火墻的主要功能是對指定對象進(jìn)行訪問控制，并且按照設(shè)定策略對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵或流量等活動的統(tǒng)計(jì)，并記入日志中，供用戶察看。方正防火墻可控對象除了傳統(tǒng)的ip包的相關(guān)信息（源地址、目的地址、協(xié)議、源端口、目的端口、報(bào)文

27、代碼、碎片和syn/ack等標(biāo)識位）外，還引入了智能ip識別技術(shù)，增加時(shí)間、用戶、應(yīng)用及其操作等控制對象，擴(kuò)展了防火墻的防護(hù)功能，使得防火墻和應(yīng)用的結(jié)合更為緊密。方正防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時(shí)還對結(jié)合應(yīng)用對網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。對于不同的會話，方正防火墻先通過狀態(tài)檢測技術(shù)在內(nèi)核中進(jìn)行會話的組裝，將檢測對象從數(shù)據(jù)包提升到會話，提高了防火墻的過濾效率。組裝會話后，防火墻內(nèi)核會根據(jù)會話的特征自動識別會話屬于何種應(yīng)用，并根據(jù)相應(yīng)的安全規(guī)則進(jìn)行訪問控制。3.2.2入侵檢測系統(tǒng)方正防火墻內(nèi)置獨(dú)立可配置的入侵檢測模塊。1反端口掃描一般黑客如果要對一個(gè)節(jié)點(diǎn)發(fā)動攻

28、擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定開啟的服務(wù)，然后做出相應(yīng)的入侵方式。 防火墻內(nèi)置入侵檢測模塊能夠在黑客掃描節(jié)點(diǎn)的時(shí)候就能檢測到并報(bào)警，這樣就能提前將黑客拒之于門外。防火墻內(nèi)置入侵檢測模塊在檢測到有黑客掃描服務(wù)器端口的時(shí)候會立即在攻擊者的視野中消失，從而使黑客無法進(jìn)行后續(xù)的攻擊。防火墻內(nèi)置入侵檢測模塊根據(jù)配置文件監(jiān)控任何和tcp，udp端口的連接。 可以對全部端口同時(shí)進(jìn)行監(jiān)控，同時(shí)也可以忽略指定的端口。這樣就能滿足不同的需求方式。2在線升級和實(shí)時(shí)報(bào)警由于入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此方正防火墻提供了非常方便的升級接口，可以通過我們的網(wǎng)站進(jìn)行在線升級，而且我們提供了非常方便的用戶升

29、級界面，使升級工作可以非常方便的完成。報(bào)警是否能夠及時(shí)是衡量一個(gè)入侵檢測系統(tǒng)的重要因素之一，如果在黑客剛剛進(jìn)行攻擊的時(shí)候就能夠做出響應(yīng)，那么管理員會有足夠的時(shí)間進(jìn)行防護(hù)。 方正防火墻的報(bào)警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測系統(tǒng)檢測到攻擊，報(bào)警系統(tǒng)會馬上做出反應(yīng)，通過email或手機(jī)通知管理員。同時(shí)會啟動自動防范系統(tǒng)進(jìn)行防范。3入侵檢測和防火墻的互動通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡(luò)的多種掃描，檢測到對網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M(jìn)行響應(yīng)，包括自動防范及用戶自定義安全響應(yīng)策略等。3.2.3安全評估系統(tǒng)方正防火墻可增加安全評估模塊。方正的安全評估系統(tǒng)主要針對用戶系統(tǒng)內(nèi)

30、部的各種安全漏洞實(shí)施漏洞掃描，借以檢查出系統(tǒng)中主機(jī)的安全隱患。檢測內(nèi)容包括各種端口掃描，各種服務(wù)掃描和cgi掃描，還可以獲取被掃描主機(jī)的信息。在掃描過程中，能夠提示掃描進(jìn)度。完成漏洞掃描后，管理員可以查看掃描結(jié)果和統(tǒng)計(jì)信息，及時(shí)獲取掃描的結(jié)果信息，以便針對系統(tǒng)中的漏洞進(jìn)行補(bǔ)救，達(dá)到防范非法攻擊的目的。掃描結(jié)果根據(jù)被掃描主機(jī)來判斷和顯示。系統(tǒng)會列出所有被掃描的主機(jī)，管理員可以有選擇的查看主機(jī)的掃描信息，以及相關(guān)的端口掃描結(jié)果、帳號和弱密碼的情況和系統(tǒng)中漏洞的信息。用戶可打印和統(tǒng)計(jì)有漏洞主機(jī)的掃描信息，并查詢漏洞的詳細(xì)信息，使用戶全面了解系統(tǒng)的安全狀況，提早做好防范措施。方正防火墻還給出了漏洞的類

31、型，以及受影響的操作系統(tǒng)、漏洞描述和解決方法等，為管理員及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和采取補(bǔ)救，例如升級系統(tǒng)等，提供了方便。3.2.4全面地址翻譯（nat）解決方案方正防火墻支持在內(nèi)部網(wǎng)和dmz區(qū)使用保留的ip地址，通過動態(tài)的地址轉(zhuǎn)換功能實(shí)現(xiàn)對外部網(wǎng)的訪問。方正防火墻支持源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換等nat模式，可以實(shí)現(xiàn)一對多，多對多，動態(tài)地址轉(zhuǎn)換等多種nat應(yīng)用方式。firegateinternet001 源地址轉(zhuǎn)換(正向nat)，即內(nèi)部地址向外訪問時(shí)，發(fā)起訪問的內(nèi)部ip地址轉(zhuǎn)換為指定的ip地址（可

32、含端口號或者端口范圍），這可以使內(nèi)部使用保留ip地址的主機(jī)訪問外部網(wǎng)絡(luò)，即內(nèi)部的多個(gè)機(jī)器可以通過一個(gè)外部有效地址訪問外部網(wǎng)絡(luò)。2 目的地址轉(zhuǎn)換（反向nat），即外部地址向內(nèi)訪問時(shí)，被訪問的ip地址（可含端口號或者端口范圍）被轉(zhuǎn)換為指定的內(nèi)部ip地址（可含端口號或者端口范圍），可以支持針對外部地址服務(wù)端口到內(nèi)部地址的一對一映射，內(nèi)部的多臺機(jī)器的服務(wù)端口可以分別映射到外部地址的若干個(gè)端口，通過這些端口對外部提供服務(wù)。第四章網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全在網(wǎng)絡(luò)中是很重要的，現(xiàn)在黑客的腳步以前走在網(wǎng)絡(luò)安全的前面了，只所以我們因該注意網(wǎng)絡(luò)安全，盡量避免黑客的攻擊。4.1網(wǎng)絡(luò)安全防火墻防病毒軟件隨著互聯(lián)網(wǎng)的快速發(fā)展

33、，網(wǎng)絡(luò)安全也越來越重要。網(wǎng)絡(luò)的安全隱患不僅僅是企業(yè)內(nèi)部人員操作的問題，越來越多的隱患是出于企業(yè)內(nèi)部網(wǎng)絡(luò)和internet互聯(lián)網(wǎng)的連接問題。由于互聯(lián)網(wǎng)的開放性，使得所有的網(wǎng)絡(luò)終端都可以通過它互相訪問。因此為自己的網(wǎng)絡(luò)建立相應(yīng)的防火墻，將允許的訪問接入，而將一些非法的訪問請求拒絕已經(jīng)是企業(yè)網(wǎng)絡(luò)必不可缺的一部分了。4.1.1防病毒軟件為了擺脫病毒的威脅，企業(yè)必須在其系統(tǒng)內(nèi)部署和實(shí)施整體的反病毒體系。蘭州宏宇電腦公司內(nèi)部擁有大量使用計(jì)算機(jī)聯(lián)網(wǎng)工作，但是所用的計(jì)算機(jī)軟件、操作系統(tǒng)種類非常多，涉及unix、windows9598nt3.x、novell等。為了使內(nèi)部網(wǎng)絡(luò)能夠遠(yuǎn)離病毒侵?jǐn)_，需要防病毒軟件能夠

34、部署在網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)上，在病毒的各個(gè)入口點(diǎn)進(jìn)行防范，同時(shí)還要能夠迅速升級，不但能夠殺毒、防毒，還能在最短的時(shí)間內(nèi)發(fā)現(xiàn)新病毒并在它還沒有發(fā)作前將病毒殺死。作為網(wǎng)絡(luò)防病毒，還需要一個(gè)強(qiáng)大的中央管理控制臺，通過它對網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)進(jìn)行軟件安裝和升級，對網(wǎng)絡(luò)內(nèi)的防病毒軟件的運(yùn)行情況進(jìn)行監(jiān)控，從而可以減輕網(wǎng)絡(luò)管理員的工作量和隨時(shí)掌握企業(yè)網(wǎng)絡(luò)內(nèi)的防病毒情況。對于病毒防護(hù)而言，蘭州宏宇電腦企業(yè)迫切需要購置并安裝一套企業(yè)級的網(wǎng)絡(luò)防毒軟件。企業(yè)級的網(wǎng)絡(luò)防毒軟件應(yīng)當(dāng)具備以下的一些基本特性：對企業(yè)信息網(wǎng)絡(luò)進(jìn)行多重防護(hù)：包括工作站（pc）級的病毒防治、服務(wù)器級的病毒防治、網(wǎng)關(guān)級的病毒防治、電子郵件系統(tǒng)的病毒防治等。

35、集中式管理：可以在網(wǎng)絡(luò)服務(wù)器中統(tǒng)一查殺網(wǎng)絡(luò)中各聯(lián)網(wǎng)pc工作站的病毒。全自動的軟件升級：包括了自動更新病毒代碼，掃描引擎和程序，無需人工干預(yù)。自動安裝和部署：一旦安裝完成，客戶端程序會自動和主服務(wù)器聯(lián)系，并從服務(wù)器哪里獲得最新的病毒碼和更新程序。單一網(wǎng)絡(luò)管理：通過單一的主控程序?qū)Χ嘀氐奈募芾矸?wù)器進(jìn)行單一的管理。病毒入侵的警告：可以通過傳真、電郵、傳呼機(jī)或手機(jī)短消息等方式一旦監(jiān)測到有病毒入侵，可以通過以上的方式通知網(wǎng)絡(luò)管理員。對多種主流的操作系統(tǒng)的平臺和電子郵件平臺的支持。智能的病毒掃描功能：通過先進(jìn)的引擎?zhèn)蓽y和清除已知的和未知的病毒。實(shí)時(shí)的病毒防御：防毒系統(tǒng)駐留在主內(nèi)存中，對一切在計(jì)算機(jī)上運(yùn)

36、行的程序進(jìn)行實(shí)時(shí)的監(jiān)控。 不論是來自internet、email、光盤、軟盤、網(wǎng)絡(luò)，一旦發(fā)現(xiàn)病毒，立刻通知使用者清除。支持多線程的掃描技術(shù)，提高掃描效率；對系統(tǒng)的資源占用較少。病毒活動記錄報(bào)告：可以完整的紀(jì)錄病毒感染的文件，病毒碼和程序更新，掃描時(shí)間紀(jì)錄等相關(guān)重要信息?？梢詫?shí)時(shí)的掃描郵件中的病毒，包括在附件中壓縮文件的掃描。對木馬和黑客程序具有徹底的消除能力。4.2網(wǎng)絡(luò)安全方案大型網(wǎng)絡(luò)的系統(tǒng)管理常常是企業(yè)信息系統(tǒng)建設(shè)中一個(gè)較為薄弱的環(huán)節(jié)，蘭州宏宇電腦企業(yè)也不例外。綜合來看，造成這一狀況的原因主要表現(xiàn)在以下三個(gè)方面：蘭州宏宇電腦企業(yè)的的it系統(tǒng)中，擁有諸如網(wǎng)絡(luò)管理、數(shù)據(jù)庫管理、應(yīng)用管理、客戶機(jī)管

37、理等等分散存在、功能單一的多個(gè)系統(tǒng)，這種方式不僅割裂了系統(tǒng)之間的有機(jī)聯(lián)系，使得it資源的管理者難以從整體上掌握系統(tǒng)運(yùn)營狀況，管理環(huán)節(jié)較多，構(gòu)成較為復(fù)雜，資源重復(fù)浪費(fèi)，最終加大了運(yùn)營維護(hù)成本，還無法保障整體系統(tǒng)運(yùn)營的高可用性。 蘭州宏宇電腦企業(yè)it系統(tǒng)的建設(shè)與投資過程中，往往較多地考慮了系統(tǒng)的一次性建設(shè)成本和設(shè)備投入，如網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、數(shù)據(jù)庫系統(tǒng)、應(yīng)用開發(fā)、機(jī)房環(huán)境建設(shè)、客戶機(jī)配置等，對系統(tǒng)將來在管理維護(hù)方面的開銷考慮的較少或不全蘭州宏宇電腦企業(yè)網(wǎng)絡(luò)環(huán)境相當(dāng)?shù)膹?fù)雜，首先是規(guī)模大，服務(wù)器節(jié)點(diǎn)和客戶端上千，系統(tǒng)分布在全國各地，甚至分布在幾個(gè)國家，范圍極廣；第二是功能越來越多，從計(jì)算、數(shù)據(jù)庫、事

38、務(wù)處理到各種internet/intranet 服務(wù)等等； 第三是變化快，硬件、軟件、網(wǎng)絡(luò)和應(yīng)用不斷地更新升級；第四是異構(gòu)性，主要體現(xiàn)為：系統(tǒng)結(jié)構(gòu)異構(gòu)性、平臺異構(gòu)性、網(wǎng)絡(luò)異構(gòu)性、數(shù)據(jù)異構(gòu)性、應(yīng)用異構(gòu)性。未來蘭州宏宇電腦企業(yè)欲構(gòu)建集成的大規(guī)模的企業(yè)信息系統(tǒng)應(yīng)用，就必須加強(qiáng)網(wǎng)絡(luò)的系統(tǒng)管理，提高網(wǎng)絡(luò)管理的技術(shù)水平和管理水平。圖4-1防火墻部署拓?fù)渲赃@樣部署防火墻是應(yīng)為把服務(wù)器統(tǒng)一在一起便于管理，把服務(wù)器群與其他pc機(jī)完全通過防火墻隔離開，減少了服務(wù)器被攻擊的可能行，增加了網(wǎng)絡(luò)安全性，而且相對于第二套部署方案而言減少了防火墻的千兆端口數(shù)，ids也只需要一套，降低了成本。而且不用再從計(jì)算中心機(jī)房鋪設(shè)

39、光纖到技術(shù)中心。4.2.1 ids實(shí)施方案圖4-2網(wǎng)絡(luò)安全拓?fù)鋓ds部署的好處1入侵檢測系統(tǒng)能夠?qū)W(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控，能夠準(zhǔn)確有效地識別所有網(wǎng)絡(luò)活動中的已知攻擊、未知攻擊行為，一旦發(fā)現(xiàn)攻擊，立即報(bào)警，并采取響應(yīng)措施。要求報(bào)警準(zhǔn)確，避免漏報(bào)和誤報(bào)。入侵監(jiān)測系統(tǒng)具備分析采用躲避入侵檢測技術(shù)的通信數(shù)據(jù)的能力，能夠有效的檢測針對ids進(jìn)行的躲避行為。2.入侵檢測能夠通過分析網(wǎng)絡(luò)中的數(shù)據(jù)，記錄入侵的完整過程，為安全事件的調(diào)查提供證據(jù)。3入侵檢測能夠?qū)崟r(shí)分析網(wǎng)絡(luò)中活動，發(fā)現(xiàn)入侵行為可以采取預(yù)先設(shè)定的動作響應(yīng)（報(bào)警、切斷網(wǎng)絡(luò)連接、記錄日志等等）。4.能夠依據(jù)定制的過濾條件獲取某一特定網(wǎng)絡(luò)協(xié)議、端口的原始報(bào)

40、文數(shù)據(jù)；并對http、ftp、smtp、pop3、telnet等主要的網(wǎng)絡(luò)協(xié)議通信進(jìn)行內(nèi)容恢復(fù)、事件回放。5.入侵檢測產(chǎn)品能夠提供缺省策略，可以靈活通過自定義制定新的符合用戶特征的策略，便于管理、維護(hù)，并且可依據(jù)事件報(bào)警的概率分析對事件策略集進(jìn)行動態(tài)調(diào)整。6.能夠提供與其他網(wǎng)絡(luò)嗅探器和掃描器等輔助工具的集成，可與防火墻、漏洞掃描、驗(yàn)證系統(tǒng)、ip定系統(tǒng)、網(wǎng)管系統(tǒng)進(jìn)行聯(lián)動。便于查看當(dāng)前網(wǎng)絡(luò)狀況，分析網(wǎng)絡(luò)問題。7.能夠提供完整的網(wǎng)絡(luò)事件記錄，對網(wǎng)絡(luò)中發(fā)生的所有事件進(jìn)行記錄，生成完整的網(wǎng)絡(luò)審計(jì)日志持對大量審計(jì)日志的數(shù)據(jù)庫存儲和對日志的多種查詢方式。8. 能夠?qū)崿F(xiàn)背景流量過濾。對用戶指定的端口、協(xié)議、地

41、址和應(yīng)用相關(guān)的高數(shù)據(jù)流自動免檢。結(jié)束隨著lnternet在我過的迅速的發(fā)展，網(wǎng)絡(luò)安全的問題越來越得到重視。防火墻的技術(shù)也引起了各方面的廣泛關(guān)注。我們國家除了自行開展了對防火墻的研究，使得更快網(wǎng)絡(luò)方面的信息，防火墻能保護(hù)網(wǎng)絡(luò)安全，但并不是絕對安全的。防火墻還處于發(fā)展階段，仍須許多問題解決。從正式開始搞畢業(yè)設(shè)計(jì)通過書本，網(wǎng)絡(luò)，討論等多方面的學(xué)習(xí)收集整理而成的這份方案。通過本次設(shè)計(jì)我們比較系統(tǒng)掌握了3年所學(xué)的網(wǎng)絡(luò)知識，并能有效分析、解決實(shí)際問題，提出相對應(yīng)的網(wǎng)絡(luò)管理；病毒防范措施。但是由于時(shí)間有限，在時(shí)間的過程中還有很多不足的地方，在以后的工作學(xué)習(xí)中繼續(xù)努力改進(jìn)。經(jīng)過這幾個(gè)月的設(shè)計(jì)，我深刻體會到要做

42、好一個(gè)完整的事情，需要有系統(tǒng)的思維方式和方法，對待一個(gè)新的問題，要耐心、要善于運(yùn)用已有的資源來充實(shí)自己。 作者:xxx x年x月x日致謝大學(xué)三年生活即將結(jié)束，在這里我非常感謝所有教導(dǎo)我的老師，他不但教會我門知識，在指導(dǎo)我的論文上非常盡心，不厭其煩的幫助指導(dǎo)，幫助我在三年的大學(xué)生活畫上完美的句號。感謝我的父母。沒有他們支持我就沒有機(jī)會接受教育，也沒有機(jī)會認(rèn)識這么多良師益友，感謝我的指導(dǎo)老師郭玉潔，在我設(shè)計(jì)的日子里督促指導(dǎo)我完成論文，感謝所有幫助我的人，謝謝你們.參考文獻(xiàn)1 陳斌 等譯,網(wǎng)絡(luò)設(shè)計(jì)，電子工業(yè)出版社,2005年9月.2朱雁輝 著,wlndows防火墻與網(wǎng)絡(luò)技術(shù),電子工業(yè)出版社，2002年4月.3常紅等 著,網(wǎng)絡(luò)安全技術(shù)與反黑客,冶金工業(yè)出版社，2001年6月.4袁家政 著,計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù),清華大學(xué)出版社,2002年5月.5胡道元 著,計(jì)算機(jī)網(wǎng)絡(luò),清華大學(xué)出版社， 1999年1月.6刑鈞 著，網(wǎng)絡(luò)安全與防火墻技術(shù),電子科技大學(xué)出版社,2004年3月7謝希仁 著，計(jì)算機(jī)網(wǎng)絡(luò)工程基礎(chǔ), 電子工業(yè)出版社,2002年5月. 8石彥杰 著，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成技術(shù)