網絡安全設計方案

TOC\o"1-1"\h\u27817某校園網方案 224593網絡防火墻設計中的問題 166766如何構建網絡整體安全方案 2224780四臺Cisco防火墻實現VPN網絡 2621439公司級防火墻選購熱點 3030067增強路由器安全的十個技巧 3131391啟明星辰銀行安全防御方案 3224181神碼基金公司信息安全解決方案 33592安天校園網解決方案 3527735網絡入侵檢測解決方案 378809公司需要什么樣的IDS測試IDS的幾個性能指標 391264東軟安全助力武漢信用風險管理信息系統(tǒng) 42某校園網方案1.1設計原則

1.充足滿足現在以及未來3-5年內的網絡需求，既要保證校園網能很好的為學校服務，又要保護學校的投資。

2.強大的安全管理措施，四分建設、六分管理，管理維護的好壞是校園網正常運營的關鍵

3.在滿足學校的需求的前提下，建出自己的特色

1.2網絡建設需求

網絡的穩(wěn)定性規(guī)定

整個網絡需要具有高度的穩(wěn)定性，可以滿足不同用戶對網絡訪問的不同規(guī)定

網絡高性能需求

整個網絡系統(tǒng)需要具有很高的性能，可以滿足各種流媒體的無障礙傳輸，保證校園網各種應用的暢通無阻

認證計費效率高，對用戶的認證和計費不會對網絡性能導致瓶頸

網絡安全需求

防止IP地址沖突

非法站點訪問過濾

非法言論的準確追蹤

惡意襲擊的實時解決

記錄訪問日記提供完整審計

網絡管理需求

需要方便的進行用戶管理，涉及開戶、銷戶、資料修改和查詢

需要可以對網絡設備進行集中的統(tǒng)一管理

需要對網絡故障進行快速高效的解決第二章、某校園網方案設計

2.1校園網現網拓撲圖

整個網絡采用二級的網絡架構：核心、接入。

核心采用一臺RG－S4909，負責整個校園網的數據轉發(fā)，同時為接入互換機S1926F+、內部服務器提供百兆接口。網絡出口采用RG-WALL1200防火墻。原有網絡設備功能較少，無法進行安全防護，已經不能滿足應用的需求。

2.2校園網設備更新方案方案一：不更換核心設備

核心仍然采用銳捷網絡S4909互換機，在中校區(qū)增長一臺SAM服務器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+,其中匯聚互換機各采用一臺新增的S2126G，剩余的兩臺S2126G用于加強對關鍵機器的保護，中校區(qū)的網絡結構也做相應的調整，采用現有的兩臺S2126G做為匯聚設備，其它互換機分別接入這兩臺互換機，從而實現所有匯聚層互換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網絡布局。

方案二：更換核心設備

核心采用一臺銳捷網絡面向10萬兆平臺設計的多業(yè)務IPV6路由互換機RG-S8606，負責整個校園網的數據轉發(fā)。在中校區(qū)增長一臺SAM服務器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設備，下接三臺S2126G實現安全控制，其它二層互換機分別接入相應的S2126G。西校區(qū)匯聚采用一臺S2126G，剩余兩臺S2126G用于保護重點機器，其它互換機接入相應的S2126G。中校區(qū)的網絡結構也做相應的調整，采用現有的兩臺S2126G做為匯聚設備，其它互換機分別接入這兩臺互換機，從而實現所有匯聚層互換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網絡布局。2.3骨干網絡設計

骨干網絡由RG-S8606構成，核心互換機RG-S8606重要具有5特性：

1、骨干網帶寬設計：千兆骨干，可平滑升級到萬兆

整個骨干網采用千兆雙規(guī)線路的設計，二條線路通過VRRP冗余路由協議和OSPF動態(tài)路由協議實現負載分擔和冗余備份，以后，隨著網絡流量的增長，可以將鏈路升級到萬兆。

2、骨干設備的安全設計：CSS安全體系架構

3、CSS之硬件CPP

CPP即CPUProtectPolicy，RG-S8606采用硬件來實現，CPP提供管理模塊和線卡CPU的保護功能，對發(fā)往CPU的數據流進行帶寬限制（總帶寬、QOS隊列帶寬、類型報文帶寬），這樣，對于ARP襲擊的數據流、針對CPU的網絡襲擊和病毒數據流，RG-S8606分派給其的帶寬非常的有限，不會影響其正常工作。

由于銳捷10萬兆產品RG-S8606采用硬件的方式實現，不影響整機的運營效率

4、CSS之SPOH技術

現在的網絡需要更安全、需要為不同的業(yè)務提供不同的解決優(yōu)先級，這樣，大量的ACL和QOS需要部署，需要核心互換機來解決，而這些應用屬于對互換機硬件資源消耗非常大的，核心互換機RG-S8606通過在互換機的每一個用戶端口上增長一個FFP(快速過濾解決器)，專門用來解決ACL和QOS，相稱于把互換機的每一個端口都變成了一臺獨立的互換機，可以保證在非常復雜的網絡環(huán)境中核心互換機的高性能。

2.4網絡安全設計

2.4.1某校園網網絡安全需求分析

1、網絡病毒的防范

病毒產生的因素：某校園網很重要的一個特性就是用戶數比較多，會有很多的PC機缺少有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網共享文獻的時候，通過U盤，光盤拷貝文獻的時候，系統(tǒng)都會感染上病毒，當某個學生感染上病毒后，他會向校園網的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務器。

病毒對校園網的影響：校園網萬兆、千兆、百兆的網絡帶寬都被大量的病毒數據包所消耗，用戶正常的網絡訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學生、老師面臨著看著豐富的校園網資源卻不能使用的尷尬境地。

2、防止IP、MAC地址的盜用

IP、MAC地址的盜用的因素：某校園網采用靜態(tài)IP地址方案，假如缺少有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網卡屬性的高級選項中可以隨意的更改MAC地址。假如用戶故意無意的更改自己的IP、MAC地址，會引起多方沖突，假如與網關地址沖突，同一網段內的所有用戶都不能使用網絡；假如惡意用戶發(fā)送虛假的IP、MAC的相應關系，用戶的大量上網數據包都落入惡意用戶的手中，導致ARP欺騙襲擊。

IP、MAC地址的盜用對校園網的影響：在用戶看來，校園網絡是一個很不可靠是會給我?guī)砗芏嗦闊┑木W絡，由于大量的IP、MAC沖突的現象導致了用戶經常不能使用網絡上的資源，并且，用戶在正常工作和學習時候，自己的電腦上會經常彈出MAC地址沖突的對話框。由于緊張一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網絡的使用，這樣，學生、老師對校園網以及網絡中心的信心會逐漸減弱，投入幾百萬的校園網也就不能充足發(fā)揮其服務于教學的作用，導致很大限度上的資源浪費。

3、安全事故發(fā)生時候，需要準擬定位到用戶

安全事故發(fā)生時候，需要準擬定位到用戶因素：

國家的規(guī)定：2023年，朱镕基簽署了282號令，規(guī)定各大INTERNET運營機構（涉及高校）必須要保存60天的用戶上網記錄，以待相關部門審計。

校園網正常運營的需求：假如說不能準確的定位到用戶，學生會在網絡中肆無忌彈進行各種非法的活動，會使得校園網變成“黑客”娛樂的天堂，更嚴重的是，假如當某個學生在校外的某個站點發(fā)布了大量涉及政治的言論，這時候公安部門的網絡信息安全監(jiān)察科找到我們的時候，我們無法解決，學校或者說網絡中心只有替學生背這個黑鍋。

4、安全事故發(fā)生時候，不能準擬定位到用戶的影響：

一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出解決；同時也會大大減少學校在社會上的影響力，減少家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。

5、用戶上網時間的控制

無法控制學生上網時間的影響：假如缺少有效的機制來限制用戶的上網時間，學生也許會運用一切機會上網，會曠課。學生家長會對學校產生強烈的不滿，會認為學校及其的不負責任，不是在教書育人。這對學校的聲譽以及學校的長期發(fā)展是及其不利的。

6、用戶網絡權限的控制

在校園網中，不同用戶的訪問權限應當是不同樣的，比如學生應當只可以訪問資源服務器，上網，不能訪問辦公網絡、財務網絡。辦公網絡的用戶因該不能訪問財務網絡。因此，需要對用戶網絡權限進行嚴格的控制。

7、各種網絡襲擊的有效屏蔽

校園網中常見的網絡襲擊比如MACFLOOD、SYNFLOOD、DOS襲擊、掃描襲擊、ARP欺騙襲擊、流量襲擊、非法組播源、非法DHCP服務器及DHCP襲擊、竊取互換機的管理員密碼、發(fā)送大量的廣播報文，這些襲擊的存在，會擾亂網絡的正常運營，減少了校園網的效率。

2.4.2某校園網網絡安全方案設計思想

安全到邊沿的設計思想

用戶在訪問網絡的過程中，一方面要通過的就是互換機，假如我們能在用戶試圖進入網絡的時候，也就是在接入層互換機上部署網絡安全無疑是達成更好的效果。

全局安全的設計思想

銳捷網絡提倡的是從全局的角度來把控網絡安全，安全不是某一個設備的事情，應當讓網絡中的所有設備都發(fā)揮其安全功能，互相協作，形成一個全民皆兵的網絡，最終從全局的角度把控網絡安全。

全程安全的設計思想

用戶的網絡訪問行為可以分為三個階段，涉及訪問網絡前、訪問網絡的時候、訪問網絡后。對著每一個階段，都應當有嚴格的安全控制措施。

2.4.3某校園網網絡安全方案

銳捷網絡結合SAM系統(tǒng)和互換機嵌入式安全防護機制設計的特點，從三個方面實現網絡安全：事前的準確身份認證、事中的實時解決、事后的完整審計。

事前的身份認證

對于每一個需要訪問網絡的用戶，我們需要對其身份進行驗證，身份驗證信息涉及用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在互換機的IP地址、用戶PC所在互換機的端標語、用戶被系統(tǒng)定義的允許訪問網絡的時間，通過以上信息的綁定，可以達成如下的效果：

每一個用戶的身份在整個校園網中是唯一，避免了個人信息被盜用.

當安全事故發(fā)生的時候，只要可以發(fā)現肇事者的一項信息比如IP地址，就可以準擬定位到該用戶，便于事情的解決。

只有通過網絡中心授權的用戶才可以訪問校園網，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網中傳播網絡病毒、黑客程序的通道。

網絡襲擊的防范

1、常見網絡病毒的防范

對于常見的比如沖擊波、振蕩波等對網絡危害特別嚴重的網絡病毒，通過部署擴展的ACL，可以對這些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網絡中的其他用戶，保證了校園網網絡帶寬的合理使用。

2、未知網絡病毒的防范

對于未知的網絡病毒，通過在網絡中部署基于數據流類型的帶寬控制功能，為不同的網絡應用分派不同的網絡帶寬，保證了關鍵應用比如WEB、課件資源庫、郵件數據流有足夠可用的帶寬，當新的病毒產生時，不會影響到重要網絡應用的運營，從而保證了網絡的高可用性。

3、防止IP地址盜用和ARP襲擊

通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，假如不一致，視為更改了IP地址，所有的數據包都不能進入網絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網絡關鍵設備的IP（如服務器），導致網絡通訊混亂。

4、防止假冒IP、MAC發(fā)起的MACFlood\SYNFlood襲擊

通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡樸的一個命令就可以實現）。并實現端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網絡的襲擊，進一步增強網絡的安全性。

5、非法組播源的屏蔽

銳捷產品均支持IMGP源端口檢查，實現全網杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關閉時，從任何端口進入的視頻流均是合法的，互換機會把它們轉發(fā)到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，互換機把它們轉發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產品支持IGMP源端口檢查，有效控制非法組播，實現全網杜絕非法組播源，更好地提高了網絡的安全性和全網的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網流媒體應用多元化和潮流下具有明顯的優(yōu)勢，并且也是網絡帶寬合理的分派所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡樸、更加實用的特點，更加合用于校園運營網絡大規(guī)模的應用環(huán)境。

6、對DOS襲擊，掃描襲擊的屏蔽

通過在校園網中部署防止DOS襲擊，掃描襲擊，可以有效的避免這二種襲擊行為，節(jié)省了網絡帶寬，避免了網絡設備、服務器遭受到此類襲擊時導致的網絡中斷。

事后的完整審計

當用戶訪問完網絡后，會保存有完備的用戶上網日記紀錄，涉及某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺互換機的哪一個端口，什么時候開始訪問網絡，什么時候結束，產生了多少流量。假如安全事故發(fā)生，可以通過查詢該日記，來唯一的擬定該用戶的身份，便于了事情的解決。

2.5網絡管理設計

網絡管理涉及設備管理、用戶管理、網絡故障管理

2.5.1網絡用戶管理

網絡用戶管理見網絡運營設計開戶部分

2.5.2網絡設備管理

網絡設備的管理通過STARVIEW實現，重要提供以下功能，這些功能也是我們常見的解決問題的思緒：

1、網絡現狀及故障的自動發(fā)現和了解

STARVIEW能自動發(fā)現網絡拓撲結構，讓網絡管理員對整個校園網了如指掌，對于用戶私自掛接的HUB、互換機等設備能及時地發(fā)現，提前消除各種安全隱患。

對于網絡中的異常故障，比如某臺互換機的CPU運用率過高，某條鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示，方便管理員及時地發(fā)現網絡中的異常情況。2、網絡流量的查看

STARVIEW在網絡初步異常的情況下，能進一步的察看網絡中的具體流量，從而為網絡故障的定位提供了豐富的數據支持。3、網絡故障的信息自動報告

STARVIEW支持故障信息的自動告警，當網絡設備出現故障時，會通過TRAP的方式進行告警，網絡管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。

4、設備面板管理

STARVIEW的設備面板管理可以很清楚的看到校園中設備的面板，涉及端口數量、狀態(tài)等等，同時可以很方便的登陸到設備上，進行配置的修改，完善以及各種信息的察看。

5、RGNOS操作系統(tǒng)的批量升級

校園網很大的一個特點就是規(guī)模大，需要使用大量的接入層互換機，假如需要對這些互換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，可以很方便的一次對所有的相同型號的互換機進行升級，加大的較少了網絡管理員的工作量。2.5.3網絡故障管理

隨著校園網用戶數的增多，特別是宿舍網運營的開始，用戶網絡故障的排除會成為校園網管理工作的重點和難點，傳統(tǒng)的網絡故障解決方式重要是這樣一個流程：2.6流量管理系統(tǒng)設計

網絡中的流量情況是網絡是否正常的關鍵，網絡中大量的P2P軟件的使用，已經對各種網絡業(yè)務的正常開展產生了非常嚴重的影響，有的學校甚至由于P2P軟件的泛濫，直接導致了網絡出口的癱瘓。

2.6.1方案一：傳統(tǒng)的流量管理方案

傳統(tǒng)的流量管理方案的做法很多就是簡樸的封堵這些P2P軟件，從而達成控制流量的目的，這有三大弊端，

第一：這些軟件之所以有如此強大的生命力，是由于用戶通過使用這些軟件的確能快速的獲取各種有用的資源，假如簡樸的通過嚴禁的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲取。

第二：各種新型的，對網絡帶寬消耗更大的應用軟件也在不斷的出現。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠處在被動的局面，顯然不能從主線上解決這個問題。

第三：我們無法獲取網絡中的流量信息，無法為校園網的優(yōu)化，網絡管理，網絡故障防止和排除提供數據支撐。

2.6.2方案二：銳捷的流量管理與控制方案

銳捷網絡的流量管理重要通過RG-NTD+日記解決軟件+RG-SAM系統(tǒng)來實現。

NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計費，銳捷的流量管理方案有三大功能：

第一：為SAM系統(tǒng)對用戶進行流量計費提供原始數據，這是我們已經實現了的功能。該功能能滿足不同消費層次的用戶對帶寬的需求，經濟條件好一點，可以多用點流量，提高了用戶的滿意度。并且，對于以后新出現的功能更加強大的下載軟件，都不必緊張用戶任意使用導致帶寬擁塞。

第二：提供日記審計和帶寬管理功能，通過NTD、SAM、日記系統(tǒng)的結合，可以做到基于用戶身份對用戶進行管理，做到將用戶名、源IP、目的IP直接關聯，通過目的IP，可以直接定位到用戶名，安全事件解決起來非常的方便，同時還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會在明年4月份提供。

第三：可以對網絡中的各種流量了如指掌，可以對用戶經常訪問的資源進行分析對比，為應用系統(tǒng)的建設、服務器的升級改造提供數據支持；可以及時的發(fā)現網絡中的病毒、惡意流量，從而進行有效的防范，結合認證計費系統(tǒng)SAM，可以捕獲到事件源頭，并于做出解決。

總體來說，流量控制和管理和日記系統(tǒng)的整體解決方案對于校園網的長期健康可連續(xù)發(fā)展是很有幫助的。網絡防火墻設計中的問題方案：硬件？還是軟件？

現在防火墻的功能越來越多越花哨，如此多的功能必然規(guī)定系統(tǒng)有一個高效的解決能力。

防火墻從實現上可以分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint公司的Firewall-I為代表，其實現是通過dev_add_pack的辦法加載過濾函數（Linux，其他操作系統(tǒng)沒有作分析，估計類似），通過在操作系統(tǒng)底層做工作來實現防火墻的各種功能和優(yōu)化。國內也有一些所謂的軟件防火墻，但據了解大多是所謂“個人”防火墻，并且功能及其有限，故不在此討論范圍。

在國內目前已通過公安部檢查的防火墻中，硬件防火墻占絕大多數。硬件防火墻一種是從硬件到軟件都單獨設計，典型如Netscreen防火墻不僅軟件部分單獨設計，硬件部分也采用專門的ASIC集成電路。

此外一種就是基于PC架構的使用通過定制的通用操作系統(tǒng)的所謂硬件防火墻。目前國內絕大

多數防火墻都屬于這種類型。

雖然都號稱硬件防火墻，國內廠家和國外廠家還是存在著巨大區(qū)別。硬件防火墻需要在硬件和軟件兩方面同時下功夫，國外廠家的通常做法是軟件運算硬件化，其所設計或選用的運營平臺自身的性能也許并不高，但它將重要的運算程序（查表運算是防火墻的重要工作）做成芯片，以減少主機CPU的運算壓力。國內廠家的防火墻硬件平臺基本上采用通用PC系統(tǒng)或工業(yè)PC架構（直接因素是可以節(jié)省硬件開發(fā)成本），在提高硬件性能方面所能做的工作僅僅是提高系統(tǒng)CPU的解決能力，增大內存容量而已?，F在國內防火墻的一個典型結構就是：工業(yè)主板+x86+128（256）M內存+DOC/DOM+硬盤（或不要硬盤而另增長一個日記服務器）+百兆網卡這

樣一個工業(yè)PC結構。

在軟件性能方面，國內外廠家的差別就更大了，國外（一些著名）廠家均是采用專用的操作系統(tǒng)，自行設計防火墻。而國內所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的Linux，無一例外。各廠家的區(qū)別僅僅在于對Linux系統(tǒng)自身和防火墻部分（2.2內核為ipchains，2.4以后內核為netfilter）所作的改動量有多大。

事實上，Linux只是一個通用操作系統(tǒng)，它并沒有針對防火墻功能做什么優(yōu)化，并且其解決大數據量通信方面的能力一直并不突出，甚至比較低下（這也是Linux一直只是低端服務器的寵兒的重要因素，我自己認為，在這一點上它還不如BSD系列，據說國外有用BSD做防火墻的，國內尚未見到）。現在絕大部分廠家，甚至涉及號稱國內最大的天融信，在軟件方面所作的工作無非也就是系統(tǒng)有針對性的淘汰、防火墻部分代碼的少量改動（絕大部分還是沒有什么改動）和少量的系統(tǒng)補丁。并且我們在分析各廠家產品時可以注意這一點，假如哪個廠家對系統(tǒng)自身做了什么大的改動，它肯定會把這個視為一個重要的賣點，大吹特吹，遺憾的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個類似于checkpoint的功能：開放式的安全應用接口TOPSEC，但它究竟做了多少工作，還需要去仔細了解）。

目前國內廠家也已經結識到這個問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。

在此我們僅針對以Linux（或其他通用操作系統(tǒng)）為基礎的、以PC架構為硬件載體的防火墻做討論，以下如不特別提出，均同。

2．內核和防火墻設計

現在有一種商業(yè)賣點，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關于防火墻分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應用型防火墻（一般結合了包過濾功能，因此也成為混合型防火墻）稱為第二代防火墻，有些廠家把增長了檢測通信信息、狀態(tài)檢測和應用監(jiān)測的防火墻稱為第三代防火墻，更有甚者在此基礎上提出了采用安全操作系統(tǒng)的防火墻，并把這個稱為第四代防火墻）。所謂安全操作系統(tǒng)，其實大多用的還是Linux，所不同的是需要做一些內核加固和簡樸改造的工作，重要有以下：取消危險的系統(tǒng)調用，或者截獲系統(tǒng)調用，稍加改動（如加載一些llkm）；

限制命令執(zhí)行權限；

取消IP轉發(fā)功能；

檢查每個分組的接口；

采用隨機連接序號；

駐留分組過濾模塊；

取消動態(tài)路由功能；

采用多個安全內核（這個只見有人提出，但未見到實例，對此不是很清楚）。

以上諸多工作，其實基本上都沒有對內核源碼做太大改動，因此從個人角度來看算不上可以太夸大的地方。

對于防火墻部分，國內大部分已經升級到2.4內核所支持的netfilter。netfilter已經是一個功能比較完善的防火墻框架，它已經支持基于狀態(tài)的監(jiān)測（通過connectiontrack模塊實現）。并且netfilter是一個設計很合理的框架，可以在適當的位置上登記一些需要的解決函數，正式代碼中已經登記了許多解決函數，如在NF_IP_FORWARD點上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數實現的）。我們也可以登記自己的解決函數，在功能上作擴展（如加入簡樸的IDS功能等等）。這一點是國內廠家可以做文章的地方，至于netfilter源碼的修改，對國內廠家來說似乎不太現實。

至于采用其它防火墻模型的，目前還沒有看到（也許是netfilter已經設計的很成功，不需要我們再去做太多工作）。

3．自我保護能力（安全性）

由于防火墻的特殊功能和特殊位置，它自然是眾多襲擊者的目的，因此它的自我涉及能力在設計過程中應當放在首要的位置。

A．管理上的安全性

防火墻需要一個管理界面，而管理過程如何設計的更安全，是一個很重要的問題。目前有兩種方案。

a．設立專門的服務端口

為了減少管理上的風險和減少設計上的難度，有一些防火墻（如東方龍馬）在防火墻上專門添加了一個服務端口，這個端口只是用來和管理主機連接。除了專用的服務口外，防火墻不接受來自任何其它端口的直接訪問。這樣做的顯著特點就是減少了設計上的難度，由于管理通信是單獨的通道，無論是內網主機、外網主機還是DMZ內主機都無法竊聽到該通信，安全性顯然很高，并且設計時也無需考慮通信過程加密的問題。

然而這樣做，我們需要單獨設立一臺管理主機，顯然太過浪費，并且這樣管理起來的靈活性也不好。

b．通信過程加密

這樣無需一個專門的端口，內網任意一臺主機都可以在適當的情況下成為管理主機，管理主

機和防火墻之間采用加密的方式通信。

目前國內有采用的是使用自定義協議、一次性口令認證。對加密這個領域了解不多，不做詳

細討論。

B．對來自外部（和內部）襲擊的反映能力

目前常見的來自外部的襲擊方式重要有：

a．DOS（DDOS）襲擊

（分布式）拒絕服務襲擊是目前一種很普遍的襲擊方式，在防止上也是非常困難的。目前防火墻對于這種襲擊似乎沒有太多的解決辦法，重要是提高防火墻自身的健壯性（如增長緩沖區(qū)大?。Ｔ贚inux內核中有一個防止Synflooding襲擊的選項：CONFIG_SYN_COOKIES，它是通過為每一個Syn建立一個緩沖（cookie）來分辨可信請求和不可信請求。此外對于ICMP襲擊，可以通過關閉ICMP回應來實現。

b．IP假冒（IPspoofing）

IP假冒是指一個非法的主機假冒內部的主機地址，騙取服務器的“信任”，從而達成對網絡的襲擊目的。

第一，防火墻設計上應當知道網絡內外的IP地址分派，從而丟棄所有來自網絡外部但卻有內部地址的數據包。實際實現起來非常簡樸，只要在內核中打開rp_filter功能即可。

第二，防火墻將內網的實際地址隱蔽起來，外網很難知道內部的IP地址，襲擊難度加大。IP假冒重要來自外部，對內網無需考慮此問題（其實同時內網的IP假冒情況也可以得到遏制）。

c．特洛伊木馬

防火墻自身防止木馬比較簡樸，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。

一個需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的襲擊并不意味著內網主機也能防止木馬襲擊。事實上，內網主機也許會透過防火墻下載執(zhí)行攜帶木馬的程序而感染。內網主機的在防止木馬方面的安全性仍然需要主機自己解決（防火墻只能在內網主機感染木馬以后起一定的防范作用）。

d．口令字襲擊

口令字襲擊既也許來自外部，也也許來自內部，重要是來自內部。（在管理主機與防火墻通過單獨接口通信的情況下，口令字襲擊是不存在的）

來自外部的襲擊即用窮舉的辦法猜測防火墻管理的口令字，這個很容易解決，只要不把管理部分提供應外部接口即可。

內部的口令字襲擊重要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監(jiān)測網絡截獲管理主機給防火墻的口令字，假如口令字已加密，則解密得到口令字。目前一般采用一次性口令和嚴禁直接登錄防火墻的措施來防止對口令字的襲擊。

e．郵件詐騙

郵件詐騙是目前越來越突出的襲擊方式。防火墻自身防止郵件詐騙非常簡樸，不接受任何郵件就可以了。然而象木馬襲擊同樣，內網主機仍可收發(fā)郵件，郵件詐騙的危險仍然存在，其解決辦法一個是內網主機自身采用措施防止郵件詐騙，另一個是在防火墻上做過濾。

f．對抗防火墻（anti-firewall）

目前一個網絡安全中一個研究的熱點就是對抗網絡安全產品如防火墻。一種是分析防火墻功能和探測防火墻內部網絡結構，典型的如Firewalk。此外有一些其他的網絡安全性分析工具自身具有雙刃性，這類工具用于襲擊網絡，也也許會很有效的探測到防火墻和內部網絡的安全缺陷，典型的如SATAN和ISS公司的InternetSecurityScanner。目前對于這種探測（襲擊）手段，尚無有效的防止措施，由于防火墻自身是一個被動的東西，它只能靠隱藏內部網絡結構和提高自身的安全性來對抗這些襲擊。

C．透明代理的采用

應用代理防火墻一般是通過設立不同用戶的訪問權限來實現，這樣就需要有用戶認證體系。以前的防火墻在訪問方式上重要是規(guī)定用戶登錄進系統(tǒng)（假如采用sock代理的方式則需要修改客戶應用）。透明代理的采用，可以減少系統(tǒng)登錄固有的安全風險和犯錯概率，從而提高了防火墻的安全性。

4．透明性

防火墻的透明性指防火墻對于用戶是透明的，在防火墻接入網絡時，網絡和用戶無需做任何設立和改動，也主線意識不到防火墻的存在。

防火墻作為一個實際存在的物理設備，要想放入已存在地網絡中又不對網絡有任何影響，就必須以網橋的方式置入網絡。傳統(tǒng)方式下，防火墻安裝時，更象是一臺路由器或者網關，原有網絡拓撲結構往往需要改變，網絡設備（涉及主機和路由器）的設立（IP和網關、DNS、路由表等等）也需要改變。但假如防火墻采用了透明模式，即采用類似網橋的方式運營，用戶將不必重新設定和修改路由，也不需要知道防火墻的位置，防火墻就可以直接安裝和放置到網絡中使用。

透明模式最大的好處在于現有網絡無需做任何改動，這就方便了很多客戶，再者，從透明模式轉換到非透明模式又很容易，合用性顯然較廣。當然，此時的防火墻僅僅起到一個防火墻的作用，其他網關位置的功能如NAT、VPN功能不再合用，當然，其他功能如透明代理還可以繼續(xù)使用。

目前透明模式的實現上可采用ARP代理和路由技術實現。此時防火墻相稱于一個ARP代理的功能。內網（可以仍具有路由器或子網，依次類推）、防火墻、路由器的位置大體如下：

內網―――――防火墻―――――路由器

（需要說明的是，這種方式是絕大多數校園網級網絡的實現方式）

內網主機要想實現透明訪問，必須可以透明的傳送內網和路由器之間的ARP包，而此時由于事實上內網和路由器之間無法連通，防火墻就必須配置成一個ARP代理（ARPProxy）在內網主機和路由器之間傳遞ARP包。防火墻所要做的就是當路由器發(fā)送ARP廣播包詢問內網內的某一主機的硬件地址時，防火墻用和路由器相連接口的MAC地址回送ARP包；內網內某一主機發(fā)送ARP廣播包詢問路由器的硬件地址時，防火墻用和內網相連接口的MAC地址回送ARP包，因此路由器和內網主機都認為將數據包發(fā)給了對方，而事實上是發(fā)給了防火墻轉發(fā)。

顯然，此時防火墻還必須實現路由轉發(fā)，使內外網之間的數據包可以透明的轉發(fā)。此外，防火墻要起到防火墻的作用，顯然還需要把數據包上傳給自身應用層解決（此時實現應用層代理、過濾等功能），此時需要端口轉發(fā)來實現（？這個地方不是十分清楚，也沒找到相關資料）。透明模式和非透明模式在網絡拓撲結構上的最大區(qū)別就是：透明模式的兩塊網卡（與路由器相連的和與內網相連的）在一個網段（也和子網在同一個網段）；而非透明模式的兩塊網卡分別屬于兩個網段（內網也許是內部不可路由地址，外網則是合法地址）。

這個過程如下：

1.用ARP代理實現路由器和子網的透明連接（網絡層）

2.用路由轉發(fā)在IP層實現數據包傳遞（IP層）

3.用端口重定向實現IP包上傳到應用層（IP層）

前邊我們討論過透明代理，和這里所說的防火墻的透明模式是兩個概念。透明代理重要是為實現內網主機可以透明的訪問外網，而無需考慮自己是不可路由地址還是可路由地址。內網主機在使用內部網絡地址的情況下仍然可以使用透明代理，此時防火墻既起到網關的作用又起到代理服務器的作用（顯然此時不是透明模式）。

需要澄清的一點是，內外網地址的轉換（即NAT，透明代理也是一種特殊的地址轉換）和透明模式之間并沒有必然的聯系。透明模式下的防火墻能實現透明代理，非透明模式下的防火墻（此時它必然又是一個網關）也能實現透明代理。它們的共同點在于可以簡化內網客戶的設立而已。

目前國內大多防火墻都實現了透明代理，但實現了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來：假如哪個防火墻實現了透明模式，它的廣告中肯定會和透明代理區(qū)分開而大書特書的。

5．可靠性

防火墻系統(tǒng)處在網絡的關鍵部位，其可靠性顯然非常重要。一個故障屢屢、可靠性很差的產品顯然不也許讓人放心，并且防火墻居于內外網交界的關鍵位置，一旦防火墻出現問題，整個內網的主機都將主線無法訪問外網，這甚至比路由器故障（路由器的拓撲結構一般都是冗余設計）更讓人無法承受。

防火墻的可靠性也表現在兩個方面：硬件和軟件。

國外成熟廠商的防火墻產品硬件方面的可靠性一般較高，采用專門硬件架構且不必多說，采用PC架構的其硬件也多是專門設計，系統(tǒng)各個部分從網絡接口到存儲設備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產品的可靠性。

國內則明顯參差不齊，大相徑庭，大多直接使用PC架構，且多為工業(yè)PC，采用現成的網卡，DOC/DOM作為存儲設備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。

國內已有部分廠家意識到了這個問題，開始自行設計硬件。但大多數廠家還是從成本的角度考慮使用通用PC架構。

此外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的重要差別所在。而國內整個軟件行業(yè)的可靠性體系還沒有成熟，軟件可靠性測試大多處在極其初級的水平（可靠性測試和bug測試完全是兩個概念）。一方面是可靠性體系建立不起來，一方面是為了迎合用戶的需求和跟隨網絡應用的不斷發(fā)展，多數防火墻廠商一直處在不斷的擴充和修改中，其可靠性更不能讓人恭維。

總的來說，如同國內大多數行業(yè)（除了少數如航天、航空）同樣，網絡安全產品特別是防火墻的可靠性似乎還沒有引起人們的重視。6．市場定位

市場上防火墻的售價極為懸殊，從數萬元到數十萬元，甚至到百萬元不等。由于用戶數量不同，用戶安全規(guī)定不同，功能規(guī)定不同，因此防火墻的價格也不盡相同。廠商因而也有所區(qū)分，多數廠家還推出模塊化產品，以符合各種不同用戶的規(guī)定。

總的說來，防火墻是以用戶數量作為大的分界線。如checkpoint的一個報價：

CheckPointFirewall-14.125user19000.00

CheckPointFirewall-14.150user31000.00

CheckPointFirewall-14.1100user51000.00

CheckPointFirewall-14.1250user64000.00

CheckPointFirewall-14.1無限用戶131000.00

從用戶量上防火墻可以分為：

a．10－25用戶：

這個區(qū)間重要用戶為單一用戶、家庭、小型辦公室等小型網絡環(huán)境。防火墻一般為10M（針對

硬件防火墻而言），兩網絡接口，涵蓋防火墻基本功能：包過濾、透明模式、網絡地址轉換

、狀態(tài)檢測、管理、實時報警、日記。一般另有可選功能：VPN、帶寬管理等等。

這個區(qū)間的防火墻報價一般在萬元以上2萬元以下（沒有VPN和帶寬管理的價格更低）。

據調查，這個區(qū)間的防火墻反而種類不多，也許是國內廠商不屑于這個市場的緣故？

b．25－100用戶

這個區(qū)間用戶重要為小型公司網。防火墻開始升級到100M，三或更多網絡接口。VPN、帶寬管

理往往成為標準模塊。

這個區(qū)間的防火墻報價從3萬到15萬不等，根據功能價格有較大區(qū)別。相對來說，這個區(qū)間上

硬件防火墻價格明顯高于軟件防火墻。

目前國內防火墻絕大部分集中在這個區(qū)間中。

c．100－數百用戶

這個區(qū)間重要為中型公司網，重要網站、ISP、ASP、數據中心等使用。這個區(qū)間的防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻自身的健壯性。并且開始支持雙機熱備份。這個區(qū)間的防火墻報價一般在20萬以上。這樣的中高端防火墻國內較少，有也是25－100用戶的升級版，其可用性令人懷疑。

d．數百用戶以上

這個區(qū)間是高端防火墻，重要用于校園網、大型IDC等等。我們接觸較少，不多做討論。當然其價格也很高端，從數十萬到數百萬不等。

總的來說，防火墻的價格和用戶數量、功能模塊密切相關，在用戶數量相同的情況下，功能越多，價格就越貴。如Netscreen的百兆防火墻：NetScreen-100f(ACPower)-帶防火墻+流量控制等功能,交流電源,沒有VPN功能報價在￥260,000而在此基礎上增長了128位VPN功能的報價則高出5萬元：￥317,500

7．研發(fā)費用

如同其他網絡安全產品同樣，防火墻的研發(fā)費用也是很高的。防火墻由于技術含量較高，人員技術儲備規(guī)定較高，防火墻核心部分的研發(fā)必須要對操作系統(tǒng)有相稱的熟悉，所需為UNIX系統(tǒng)下開發(fā)人員，而目前國內真正能拿的出手的UNIX程序員數量還是太少（遠遠少于Windows平臺下開發(fā)人員），人員成本很高。

總的來說，防火墻的研發(fā)是一個大項目，并且其前期定位一定要準確，該做什么、不該做什么，哪些功能得實現，哪些功能不必實現、哪些功能可以在后期實現，一定要清楚，否則費用會遠遠超過預計。

下邊對一個中小型公司級防火墻的研發(fā)費用作個簡樸的估計。

研發(fā)時，防火墻可以細分為（當然在具體操作時往往需要再具體劃分）：

內核模塊

防火墻模塊（含狀態(tài)檢測模塊）

NAT模塊

帶寬管理模塊

通信協議模塊

管理模塊

圖形用戶界面模塊（或者Web界面模塊）

透明代理模塊（實質屬于NAT模塊）

透明模式模塊（涉及ARP代理子模塊、路由轉發(fā)子模塊等）

各應用代理模塊（涉及URL過濾模塊）

VPN模塊

流量記錄與計費模塊

審計模塊

其他模塊（如MAC、IP地址綁定模塊、簡樸的IDS、自我保護等等）

上邊把防火墻劃分為12個模塊，其中每一個模塊都有相稱的工作量要做，除了彈性較大的內核模塊和防火墻模塊（它們的工作量也許異常的大，視設計目的不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相稱大），兩個主模塊各按20人周計算，防火墻實現總共需要150人周。加上前期10－15人周論證、定方案，后期20人周（保守數字）集成、測試，前后總共需要約210人周。按每人周1200元開發(fā)費用（折合工資5000月，但由于有運營費用、保險等費用攤分，個人工資應遠低于這個數字），開發(fā)費用約需25萬。

顯然，這個數字只是一個局外人估計的下限，實際的研發(fā)應當超過這個數字很多。

8．可升級能力（合用性）和靈活性

對用戶來說，防火墻作為大成本投入的商品，勢必要考慮到可升級性的問題，假如防火墻不能升級，那它的可用性和可選擇余地勢必要大打折扣。目前國內防火墻一般都是軟件可升級的，這是由于大多數防火墻采用電子硬盤（少數采用磁盤），實現升級功能只要很小的工作量要做。但究竟升級些什么內容？升級周期多長一次？這就涉及到一個靈活性的問題。

防火墻的靈活性重要體現在以下幾點：

a．易于升級

b．支持大量協議

c．易于管理（如納入通用設備管理體系（支持SNMP）而不是單列出來）

d．功能可擴展

這里對功能可擴展做一簡樸討論。一般情況下，防火墻在設計完畢以后，其過濾規(guī)則都是定死的，用戶可定制的余地很小。特別如URL過濾規(guī)則（對支持URL過濾的防火墻而言），當前網絡中的漏洞是不斷發(fā)現的，如最近很猖獗的codered攻擊的就是Windows機器IIS服務器的ida漏洞，而我們假如可以及時定義過濾規(guī)則，對于“GET/default.ida”的請求及時過濾，那么內網主機（此時一般為DMZ內主機）的安全性就會高很多，內網管理人員也不必時時密切關注網絡漏洞（這是個工作量很大，既花費體力又容易出現漏掉的工作）。這樣大部分工作留給防火墻廠家來做（相應需要有一個漏洞監(jiān)測體系），用戶肯定會滿意很多。此外，靈活性一開始也往往不是前期設計所能設計的很完美的，它需要和用戶具體實踐相配合。此外靈活性也是和具體環(huán)境密切結合的，往往需要在不同的用戶環(huán)境里考慮。如何構建網絡整體安全方案整體的安全方案提成技術方案、服務方案以及支持方案三部分。一、技術解決方案安全產品是網絡安全的基石，通過在網絡中安裝一定的安全設備，可以使得網絡的結構更加清楚，安全性得到顯著增強;同時可以有效減少安全管理的難度，提高安全管理的有效性。下面介紹在局域網中增長的安全設備的安裝位置以及他們的作用。1、防火墻安裝位置：局域網與路由器之間;WWW服務器與托管機房局域網之間;局域網防火墻作用：(1)實現單向訪問，允許局域網用戶訪問INTERNET資源，但是嚴格限制INTERNET用戶對局域網資源的訪問;(2)通過防火墻，將整個局域網劃分INTERNET，DMZ區(qū)，內網訪問區(qū)這三個邏輯上分開的區(qū)域，有助于對整個網絡進行管理;(3)局域網所有工作站和服務器處在防火墻地整體防護之下，只要通過防火墻設立的修改，就能有限絕大部分防止來自INTERNET上的襲擊，網絡管理員只需要關注DMZ區(qū)對外提供服務的相關應用的安全漏洞;(4)通過防火墻的過濾規(guī)則，實現端口級控制，限制局域網用戶對INTERNET的訪問;(5)進行流量控制，保證重要業(yè)務對流量的規(guī)定;(6)通過過濾規(guī)則，以時間為控制要素，限制大流量網絡應用在上班時間的使用。托管機房防火墻的作用：(7)通過防火墻的過濾規(guī)則，限制INTERNET用戶對WWW服務器的訪問，將訪問權限控制在最小的限度，在這種情況下，網絡管理員可以忽略服務器系統(tǒng)的安全漏洞，只需要關注WWW應用服務軟件的安全漏洞;(8)通過過濾規(guī)則，對遠程更新的時間、來源(通過IP地址)進行限制。2、入侵檢測安裝位置：局域網DMZ區(qū)以及托管機房服務器區(qū);IDS的作用：(1)作為旁路設備，監(jiān)控網絡中的信息，記錄并記錄網絡中的異常主機以及異常連接;(2)中斷異常連接;(3)通過聯動機制，向防火墻發(fā)送指令，在限定的時間內對特定的IP地址實行封堵。3、網絡防病毒軟件控制中心以及客戶端軟件安裝位置：局域網防病毒服務器以及各個終端防病毒服務器作用：(1)作為防病毒軟件的控制中心，及時通過INTERNET更新病毒庫，并強制局域網中已開機的終端及時更新病毒庫軟件;(2)記錄各個終端的病毒庫升級情況;(3)記錄局域網中計算機病毒出現的時間、類型以及后續(xù)解決措施。防病毒客戶端軟件的作用：(4)對本機的內存、文獻的讀寫進行監(jiān)控，根據預定的解決方法解決帶毒文獻;(5)監(jiān)控郵件收發(fā)軟件，根據預定解決方法解決帶毒郵件;4、郵件防病毒服務器安裝位置：郵件服務器與防火墻之間郵件防病毒軟件：對來自INTERNTE的電子郵件進行檢測，根據預先設定的解決方法解決帶毒郵件。郵件防病毒軟件的監(jiān)控范圍涉及所有來自INTERNET的電子郵件以及所屬附件(對于壓縮文獻同樣也進行檢測)5、反垃圾郵件系統(tǒng)安裝位置：同郵件防病毒軟件，假如軟硬件條件允許的話，建議安裝在同一臺服務器上。反垃圾郵件系統(tǒng)作用：(1)拒絕轉發(fā)來自INTERNET的垃圾郵件;(2)拒絕轉發(fā)來自局域網用戶的垃圾郵件并將發(fā)垃圾郵件的局域網用戶的IP地址通過電子郵件等方式通報網管;(3)記錄發(fā)垃圾郵件的終端地址;(4)通過電子郵件等方式告知網管垃圾郵件的解決情況。6、動態(tài)口令認證系統(tǒng)安裝位置：服務器端安裝在WWW服務器(以及其他需要進行口令加強的敏感服務器)，客戶端配置給網頁更新人員(或者服務器授權訪問用戶);動態(tài)口令認證系統(tǒng)的作用：通過定期修改密碼，保證密碼的不可猜測性。7、網絡管理軟件安裝位置：局域網中。網絡管理軟件的作用：(1)收集局域網中所有資源的硬件信息;(2)收集局域網中所有終端和服務器的操作系統(tǒng)、系統(tǒng)補丁等軟件信息;(3)收集互換機等網絡設備的工作狀況等信息;(4)判斷局域網用戶是否使用了MODEM等非法網絡設備與INTERNET連接;(5)顯示實時網絡連接情況;(6)假如互換機等核心網絡設備出現異常，及時向網管中心報警;8、QOS流量管理安裝位置：假如是專門的產品安裝在路由器和防火墻之間;部分防火墻自身就有QOS帶寬管理模塊。QOS流量管理的作用：(1)通過IP地址，為重要用戶分派足夠的帶寬;(2)通過端口，為重要的應用分派足夠的帶寬資源;(3)限制非業(yè)務流量的帶寬;(4)在資源閑置時期，允許其別人員使用資源，一旦重要用戶或者重要應用需要使用帶寬，則保證它們可以至少使用分派給他們的帶寬資源。9、重要終端個人防護軟件安裝位置：重要終端個人防護軟件的作用：(1)保護個人終端不受襲擊;(2)不允許任何主機(涉及局域網主機)非授權訪問重要終端資源;(3)防止局域網感染病毒主機通過襲擊的方式感染重要終端。10、頁面防篡改系統(tǒng)安裝位置：WWW服務器頁面防篡改系統(tǒng)的作用：(1)定期比對發(fā)布頁面文獻與備份文獻，一旦發(fā)現不匹配，用備份文獻替換發(fā)布文獻;(2)通過特殊的認證機制，允許授權用戶修改頁面文獻;(3)可以對數據庫文獻進行比對。二、安全服務解決方案在安全服務方案中，采用不同的安全服務，定期對網絡進行檢測、改善，以達成動態(tài)增進網絡安全性，最大限度發(fā)揮安全設備作用的目的。安全服務分為以下幾類：1、網絡拓撲分析服務對象：整個網絡服務周期：半年一次服務內容：(1)根據網絡的實際情況，繪制網絡拓撲圖;(2)分析網絡中存在的安全缺陷并提出整改建議意見。服務作用：針對網絡的整體情況，進行總體、框架性分析。一方面，通過網絡拓撲分析，可以形成網絡整體拓撲圖，為網絡規(guī)劃、網絡平常管理等管理行為提供必要的技術資料;另一方面，通過整體的安全性分析，可以找出網絡設計上的安全缺陷，找到各種網絡設備在協同工作中也許產生的安全問題。2、中心機房管理制度制訂以及修改服務對象：中心機房服務周期：半年一次服務內容：協助用戶制訂并修改機房管理制度。制度內容涉及人員進出機房的登記制度、設備進出機房的登記制度、設備配置修改的登記制度等。服務作用：嚴格控制中心機房的人員進出、設備進出并及時登記設備的配置更新情況，有助于網絡核心設備的監(jiān)控，保證網絡的正常運營。3、操作系統(tǒng)補丁升級服務對象：服務器、工作站、終端服務周期：不定期服務內容：(1)一旦出現重大安全補丁，及時更新所有相關系統(tǒng);(2)出現大型補丁(如微軟的SP)，及時更新所有相關系統(tǒng);服務作用：通過及時、有效的補丁升級，可以有效防止局域網主機和服務器互相之間的襲擊，減少現代網絡蠕蟲病毒對網絡的整體影響，增長網絡帶寬的有效運用率。4、防病毒軟件病毒庫定期升級服務對象：防病毒服務器、安裝防病毒客戶端的終端服務周期：每周一次服務內容：(1)防病毒服務器通過INTERNET更新病毒庫;(2)防病毒服務器強制所有在線客戶端更新病毒庫;服務作用：通過不斷升級病毒庫保證防病毒軟件可以及時發(fā)現新的病毒。5、服務器定期掃描、加固服務對象：服務器服務周期：半年一次服務內容：使用專用的掃描工具，在用戶網絡管理人員的配合，對重要的服務器進行掃描。服務作用：(1)找出相應服務器操作系統(tǒng)中存在的系統(tǒng)漏洞;(2)找出服務器相應應用服務中存在的系統(tǒng)漏洞;(3)找出安全強度較低的用戶名和用戶密碼。6、防火墻日記備份、分析服務對象：防火墻設備服務周期：一周一次服務內容：導出防火墻日記并進行分析。服務作用：通過流量簡圖找出流量異常的時間段，通過檢查流量較大的主機，找出局域網中的異常主機。7、入侵檢測等安全設備日記備份服務對象：入侵檢測等安全設備服務周期：一周一次服務內容：備份安全設備日記。服務作用：防止日記過大導致檢索、分析的難度，另一方面也有助于事后的檢查。8、服務器日記備份服務對象：重要服務器(如WWW服務器、文獻服務器等)服務周期：一周一次服務內容：備份服務器訪問日記服務作用：防止日記過大導致檢索、分析的難度，另一方面也有助于事后的檢查。9、白客滲透服務對象：對INTERBET提供服務的服務器服務周期：半年一次服務內容：服務商在用戶指定的時間段內，通過INTERNET，使用各種工具在不破壞應用的前提下襲擊服務器，最終提供檢測報告。服務作用：先于黑客進行探測性襲擊以檢測系統(tǒng)漏洞。根據最終檢測報告進一步增強系統(tǒng)的安全性10、設備備份系統(tǒng)服務對象：骨干互換機、路由器等網絡骨干設備服務周期：實時服務內容：根據用戶的網絡情況，提供骨干互換機、路由器等核心網絡設備的備份。備份設備可以在段時間內替代網絡中實際使用的設備。服務作用：一旦核心設備出現故障，使用備件替換以減少網絡故障時間。11、信息備份系統(tǒng)服務對象：所有重要信息服務周期：根據網絡情況定完全備份和增量備份的時間服務內容：定期備份電子信息服務作用：防止核心服務器崩潰導致網絡應用癱瘓。12、定期總體安全分析報告服務對象：整個網絡服務周期：半年一次服務內容：綜合網絡拓撲報告、各種安全設備日記、服務器日記等信息，對網絡進行總體安全綜合性分析，分析內容涉及網絡安全現狀、網絡安全隱患分析，并提出改善建議意見。服務作用：提供綜合性、全面的安全報告，針對全網絡進行安全性討論，為全面提高網絡的安全性提供技術資料。以上是服務解決方案，眾所周知，安全產品一般是共性的產品，通過安全服務，可以配制出適合本網絡的安全設備，使得安全產品在特定的網絡中發(fā)揮最大的效能，使得各種設備協同工作，增強網絡的安全性和可用性。當然，在網絡中，不安全是絕對的，即使采用種種措施，網絡也也許遭到應用某種因素無法正常運作，這時候，就需要有及時有效的技術支持，使得網絡在盡也許短的時間內恢復正常。下面將提出技術支持解決方案。三、技術支持解決方案技術支持是整個安全方案的重要補充。其重要作用是在用戶網絡發(fā)生重要安全事件后，通過及時、高效的安全服務，達成盡快恢復網絡應用的目的。技術支持重要涉及以下幾方面：1、故障排除支持范圍：(1)用戶無法訪問網絡(如局域網用戶無法訪問INTERNET);(2)應用服務無法訪問(如不能對外提供WWW服務);(3)網絡訪問異常(如訪問速度慢)。作用：一旦網絡出現異常，為用戶提供及時、有效的網絡服務。在最短的時間內恢復網絡應用。2、劫難恢復支持范圍：設備碰到物理損害網絡網絡應用異常。作用：通過備品備件，快速恢復網絡硬件環(huán)境;通過備份文獻的復原，盡快恢復網絡的電子資源;由此可在最短的時間內恢復整個網絡應用。3、查找襲擊源支持范圍：網絡管理員發(fā)現網絡遭到襲擊，并需要擬定襲擊來源。作用：通過日記文獻等信息，擬定襲擊的來源，為進一步采用措施提供依據。4、實時檢索日記文獻支持范圍：遭到實時的襲擊(如DOS，SYNFLOODING等)，需要及時了解襲擊源以及襲擊強度。作用：通過實時檢索日記文獻，可以當時存在的針對本網絡的襲擊并查找出襲擊源。假如襲擊強度超過網絡可以承受的范圍，可采用進一步措施進行防范。5、即時查殺病毒支持范圍：由不可擬定的因素導致網絡中出現計算機病毒。作用：即使網絡中出現病毒，通過及時有效的技術支持，在最短的時間內查處感染病毒的主機并即時查殺病毒，恢復網絡應用。6、即時網絡監(jiān)控支持范圍：網絡出現異常，但應用基本正常。作用：通過網絡監(jiān)控，近也許發(fā)現網絡中存在的前期網絡故障，在故障擴大化以前及時進行防治。以上是技術支持解決方案，技術支持是安全服務的重要補充部分，即使在完善的安全體系下，也存在不可預測的因素導致網絡故障，此時，需要及時、有效的技術支持服務，在盡也許短的時間內恢復網絡的正常運營。綜上所述，局域網的安全由三大部分組成，涵蓋設備、技術、制度、管理、服務等各個部分。四、分布實行建議意見網絡安全涉及面相稱廣，同時進行建設的可行性較差，因此，建議按照以下方式進行分階段實行。1、第一階段(1)技術方面，采用防火墻、網絡防病毒軟件、頁面防篡改系統(tǒng)來建立一個結構上較完善的網絡系統(tǒng)。(2)服務方面，進行網絡拓撲分析、建立中心機房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級機制、對重要服務器的訪問日記進行備份，通過這些服務，增強網絡的抗干擾性。(3)支持方面，規(guī)定服務商提供故障排除服務，以提高網絡的可靠性，減少網絡故障對網絡的整體影響。2、第二階段在第一階段安全建設的基礎上，進一步增長網絡安全設備，采納新的安全服務和技術支持來增強網絡的可用性。(1)技術方面，采用入侵檢測、郵件防病毒軟件、動態(tài)口令認證系統(tǒng)、并在重要客戶端安裝個人版防護軟件。(2)服務方面，對服務器進行定期掃描與加固、對防火墻日記進行備份與分析、對入侵檢測設備的日記進行備份、建立設備備份系統(tǒng)以及文獻備份系統(tǒng)。(3)支持方面，規(guī)定服務商提供劫難恢復、實時日記檢索、實時查殺病毒、實時網絡監(jiān)控等技術支持。3、第三階段在這一階段，采用的措施以進一步提高網絡效率為主。(1)技術方面，采用反垃圾郵件系統(tǒng)、網絡管理軟件、QOS流量管理軟件。(2)服務方面，采用白客滲透測試，規(guī)定服務商定期提供整體安全分析報告。(3)支持方面，規(guī)定可以實時或者時候查找襲擊源。以上針對用戶網絡分別從三個方面提出了安全解決方案，并按照實行的緊迫性提成三個階段來實現，但是實際針對某個用戶，對于安全的規(guī)定也許各不相同，具體網絡情況也也許有很大的差異，因此建議用戶根據實際情況建立網絡安全建設的時間表。此外，隨著新技術、新產品的不斷涌現，網絡技術的不斷發(fā)展，對于網絡安全的規(guī)定不斷提高，在實際實行過程中采用的措施完全也許超越本文中提及的產品、服務、支持，這也是安全建設的最基本原則：不斷改善，不斷增強，安全無止境。四臺Cisco防火墻實現VPN網絡其實四臺Cisco防火墻的VPN同兩臺防火墻做VPN沒什么大的區(qū)別，只是一定要注意路由的配置；在四臺Ciscopix做VPN中，有兩種方式，一種是采用一個中心的方式，另一種就是分散式的，前者，也就是說以一個PIX點為中心，其它的機器都連到本機上，在通過本機做路由；后者，則是在每一個路由上都要寫出到此外三臺的加密方式，這里采用的就是第一種類型；

以下，是施工圖以及四個Ciscopix的具體配置：

具體配置如下：

中心pix1：

:Saved

:Writtenbyenable_15at23:10:31.763UTCThuApr242023

PIXVersion6.2(2)

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100

enablepasswordNHvIO9dsDwOK8b/kencrypted

passwdNHvIO9dsDwOK8b/kencrypted

hostnamepixfirewall

fixupprotocolftp21

fixupprotocolhttp80

fixupprotocolh323h2251720

fixupprotocolh323ras1718-1719

fixupprotocolils389

fixupprotocolrsh514

fixupprotocolrtsp554

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060

fixupprotocolskinny2023

names

access-list101permitip

access-list101permitip

access-list101permitip

access-list101permitip

access-list101permitip

access-list101permitip

access-listhyzcpermiticmpanyany

access-listhyzcpermittcpanyany

access-listhyzcpermitudpanyany

pagerlines24

interfaceethernet0auto

interfaceethernet1auto

mtuoutside1500

mtuinside1500

ipaddressoutside40

ipaddressinside

ipauditinfoactionalarm

ipauditattackactionalarm

pdmhistoryenable

arptimeout14400

nat(outside)100

nat(inside)100

access-grouphyzcininterfaceoutside

routeoutside91

routeinside01

routeoutside1

routeoutside1

routeoutside1

routeoutside21

routeoutside491

routeoutside005291

timeoutxlate3:00:00

timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00

timeoutuauth0:05:00absolute

aaa-serverTACACS+protocoltacacs+

aaa-serverRADIUSprotocolradius

aaa-serverLOCALprotocollocal

nosnmp-serverlocation

nosnmp-servercontact

snmp-servercommunitypublic

nosnmp-serverenabletraps

floodguardenable

sysoptconnectionpermit-ipsec

nosysoptroutednat

cryptoipsectransform-setstrongesp-desesp-sha-hmac

cryptomaptohyjt20ipsec-isakmp

cryptomaptohyjt20matchaddress101

cryptomaptohyjt20setpeer

cryptomaptohyjt20setpeer

cryptomaptohyjt20setpeer

cryptomaptohyjt20settransform-setstrong

cryptomaptohyjtinterfaceoutside

isakmpenableoutside

isakmpkeyciscoaddressnetmask55

isakmpkeyciscoaddressnetmask55

isakmpkeyciscoaddressnetmask55

isakmpidentityaddress

isakmppolicy9authenticationpre-share

isakmppolicy9encryptiondes

isakmppolicy9hashsha

isakmppolicy9group1

isakmppolicy9lifetime86400

telnet955inside

telnet055inside

telnettimeout5

sshtimeout5

terminalwidth80

Cryptochecksum:8982919a8bfa10ba09cddee3f2da0e6a

:end

pix2配置：

:Saved

:Writtenbyenable_15at00:00:48.042UTCFriApr252023

PIXVersion6.2(2)

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100

enablepasswordN.swjdczcTdUzgrSencrypted

passwdN.swjdczcTdUzgrSencrypted

hostnameHYZCrc

fixupprotocolftp21

fixupprotocolhttp80

fixupprotocolh323h2251720

fixupprotocolh323ras1718-1719

fixupprotocolils389

fixupprotocolrsh514

fixupprotocolrtsp554

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060

fixupprotocolskinny2023

names

access-list101permitip

access-list101permitip

access-listhyzcpermiticmpanyany

access-listhyzcpermittcpanyany

access-listhyzcpermitudpanyany

pagerlines24

interfaceethernet0auto

interfaceethernet1auto

mtuoutside1500

mtuinside1500

ipaddressoutside52

ipaddressinside54

ipauditinfoactionalarm

ipauditattackactionalarm

pdmhistoryenable

arptimeout14400

nat(outside)100

nat(inside)0access-list101

nat(inside)100

routeoutside1

timeoutxlate3:00:00

timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00

timeoutuauth0:05:00absolute

aaa-serverTACACS+protocoltacacs+

aaa-serverRADIUSprotocolradius

aaa-serverLOCALprotocollocal

nosnmp-serverlocation

nosnmp-servercontact

snmp-servercommunitypublic

nosnmp-serverenabletraps

floodguardenable

sysoptconnectionpermit-ipsec

nosysoptroutednat

cryptoipsectransform-setstrongesp-desesp-sha-hmac

cryptomaptohyzc20ipsec-isakmp

cryptomaptohyzc20matchaddress101

cryptomaptohyzc20setpeer

cryptomaptohyzc20settransform-setstrong

cryptomaptohyzcinterfaceoutside

isakmpenableoutside

isakmpkeyciscoaddressnetmask55

isakmpidentityaddress

isakmppolicy9authenticationpre-share

isakmppolicy9encryptiondes

isakmppolicy9hashsha

isakmppolicy9group1

isakmppolicy9lifetime86400

telnet5355inside

telnettimeout5

sshtimeout5

terminalwidth80

Cryptochecksum:f63109daf8abcaf74a4f3b30ab01b48a公司級防火墻選購熱點防火墻是重要的網絡安全設備，一個配置良好的防火墻，可以有效地防止外來的入侵，控制進出網絡的信息流向和信