[畢業(yè)論文]防火墻技術在企業(yè)的應用

1、畢 業(yè) 論 文題 目：防火墻技術在xxxx企業(yè)的應用 學習中心： xxxx 層 次： xxxx 專 業(yè)： xxxx 年(班)級： xxxx 學 號： xxxx 學 生： xxxx 指導教師： xxxx 完成日期： xxxx 目 錄摘 要1引 言2第一章需求分析31.1概況31.1.1商業(yè)需求分析31.1.2企業(yè)網(wǎng)絡的現(xiàn)狀與未來41.2安全需求分析51.2.1（統(tǒng)一威脅管理）更能滿足企業(yè)的網(wǎng)絡安全需求5第二章 綜合布線及拓撲結構72.1綜合布線72.1.1蘭州宏宇廣域網(wǎng)方案規(guī)劃72.1.2綜合布線特點82.1.3 vpn系統(tǒng)規(guī)劃建議102.2拓撲結構112.21拓撲結構網(wǎng)絡的基本特點12第三章

2、防火墻在企業(yè)網(wǎng)絡中具體功能與實現(xiàn)143.1具體功能143.2防火墻功能的實現(xiàn)153.2.1多種控制對象153.2.2入侵檢測系統(tǒng)163.2.3安全評估系統(tǒng)173.2.4全面地址翻譯（nat）解決方案18第四章網(wǎng)絡安全措施204.1網(wǎng)絡安全防火墻防病毒軟件204.1.1防病毒軟件204.2網(wǎng)絡安全方案224.2.1 ids實施方案24結束26致謝27參考文獻28 防火墻技術在蘭州宏宇電腦企業(yè)中的應用摘 要隨著政府、企業(yè)、個人主機的網(wǎng)絡安全需求的與日俱增，防火墻技術應運而生。傳統(tǒng)的邊界式防火墻是企業(yè)內(nèi)部網(wǎng)絡與外部網(wǎng)絡的一道屏障，但是其無法對內(nèi)部網(wǎng)絡訪問進行控制，也沒有對黑客行為進行入侵檢測和阻斷的

3、功能。企業(yè)迫切需要一套真正能夠解決網(wǎng)絡內(nèi)部和外部，防火墻和防黑客的安全解決方案。二十一世紀是個信息時代，網(wǎng)絡的迅速發(fā)展，信息在現(xiàn)代生活和工作中發(fā)揮著越來越重要的作用。本方案是結合蘭州宏宇電腦企業(yè)公司的網(wǎng)絡組建工程而設計。在企業(yè)網(wǎng)絡建設中。選擇星型及擴展星型的網(wǎng)絡拓撲結構,通過連接路由器、防火墻、集線器、服務器、工作站等設備構架“堡壘式”的網(wǎng)絡。在實施中,用三層交換機實現(xiàn)vlan管理各部門、車間；在外員工采用vpn接入公司內(nèi)部網(wǎng)絡； 關鍵字 網(wǎng)絡拓撲 ；工作站； 防火墻；集線器引 言隨著網(wǎng)絡技術的進步，特別是90年代以來因特網(wǎng)的迅速普及和發(fā)展，網(wǎng)絡安全問題越來越引起人們的重視，網(wǎng)絡安全技術也成為

4、計算機網(wǎng)絡方向的研究熱點。 網(wǎng)絡安全技術在人們的現(xiàn)實生活中有著廣泛的應用，特別是近幾年電子上午的蓬勃發(fā)展，電子銀行、在線交易等已經(jīng)成為人們?nèi)粘Ｉ畹闹匾M成部分，這就要求網(wǎng)絡服務提供相應的安全措施，以保障廣大用戶的權益。網(wǎng)絡安全問題也為網(wǎng)絡黑客們提供了廣闊的生存空間，他們利用網(wǎng)絡的安全漏洞有意或無意地開展各種各樣的攻擊，直接或間接地影響了人們的生活。當然，也正是在這種攻擊與反攻擊、侵入與反侵入的不斷斗爭中，網(wǎng)絡安全技術才得以全面迅速地發(fā)展。作為信息安全技術的一個方面，網(wǎng)絡安全技術是在互聯(lián)網(wǎng)絡的大規(guī)模應用中才逐漸受到廣泛注意的。tcp/ip協(xié)議中的開放性、透明性等特點是安全風險的一個重要來源；而

5、現(xiàn)代操作系統(tǒng)的日漸復雜，也產(chǎn)生了越來越多的網(wǎng)絡安全問題，正因為如此，從網(wǎng)絡的產(chǎn)生到現(xiàn)在，隨著網(wǎng)絡安全的研究不斷深入，新的理論觀點和體系結構觀念也層出不窮。第一章需求分析在網(wǎng)絡中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問internet，internet上的人也無法和公司內(nèi)部的人進行通信。1.1概況蘭州宏宇電腦是以蘭州大學等一批具有本?？埔陨蠈W歷的技術精英發(fā)起而成立的具有獨立法資格的新技術企業(yè)。

6、本公司以計算機網(wǎng)絡設備銷售開發(fā)以及辦公設備渠道供應商為主業(yè)，從事系統(tǒng)網(wǎng)絡集成，軟件開發(fā)、多媒體系統(tǒng)集成 。同時作為中國電信蘭州惟一數(shù)據(jù)接入業(yè)務理商。扎根蘭州，立足西北地區(qū)，致力于計算機網(wǎng)絡通訊普及發(fā)展事業(yè)。為用戶提供綜合網(wǎng)絡辦公設備、綜合布線系統(tǒng)、多媒體制作 、intenet接入系統(tǒng)。公司領導決定重審目前的信息技術運用狀況，并結合公司的整體經(jīng)營戰(zhàn)略目標，從總體上對公司的信息技術提出一個完善的規(guī)劃方案。為幫助實現(xiàn)企業(yè)總體目標，公司技術員于6月初開展了更深入和廣泛的調(diào)研與分析，從信息系統(tǒng)的整體架構，及其各個組成部分，從應用系統(tǒng)、安全管理、實施計劃進行討論和分析，從而制訂出一份全面的信息建設整體規(guī)劃

7、方案。1.1.1商業(yè)需求分析現(xiàn)在信息化發(fā)展的今天，通過大量形象.直觀的多媒體形象信息交流的過程中,客戶不僅能快而準確 地掌握各種產(chǎn)品信息，更可以通過計算機網(wǎng)絡，在短時間內(nèi)采集相關的大量知識信息，豐富、擴展這概念的內(nèi)涵和外延，提高公司現(xiàn)代化的辦公管理能力。同時，借助于internet，把蘭州宏宇電腦產(chǎn)品出市場打破地域概念，將公司家和客戶、產(chǎn)品和學習交流的乏味，利用網(wǎng)絡更好宣傳公司產(chǎn)品網(wǎng)上銷售1.1.2企業(yè)網(wǎng)絡的現(xiàn)狀與未來 當今中小企業(yè)與大企業(yè)一樣，都廣泛使用信息技術，特別是網(wǎng)絡技術，以不斷提高企業(yè)的競爭力。企業(yè)信息設施在提高企業(yè)效益的同時，也給企業(yè)增加了風險隱患。大企業(yè)所面臨的安全問題也一直困擾

8、著中小企業(yè)，關于中小企業(yè)網(wǎng)絡安全的相關報導也一直層不窮。針對中小企業(yè)網(wǎng)絡安全事故大多不為人所知。由于計算機網(wǎng)絡特有的開放性。網(wǎng)絡安全問題日益嚴重。中小企業(yè)所面臨的安全問題主要有以下幾個方面： 1外網(wǎng)安全駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。 2內(nèi)網(wǎng)安全最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以員工利用網(wǎng)絡處理私人事務。對網(wǎng)絡的不正當使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡、消耗企業(yè)網(wǎng)絡資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡泄漏企業(yè)機密。 3內(nèi)部網(wǎng)絡之間、內(nèi)外網(wǎng)絡之間的連接安全隨著企業(yè)的發(fā)展壯大，逐漸形成了企業(yè)總部、各地分支機構、移動辦公人員這

9、樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機構與總部之間的網(wǎng)絡連接安全直接影響企業(yè)的高效運作。 1.2安全需求分析目前的中小企業(yè)由于人力和資金上的限制，網(wǎng)絡安全產(chǎn)品不僅僅需要簡單的安裝，更重要的是要有針對復雜網(wǎng)絡應用的一體化解決方案。其著眼點在于：國內(nèi)外領先的廠商產(chǎn)品；具備處理突發(fā)事件的能力；能夠?qū)崟r監(jiān)控并易于管理；提供安全策略配置定制；是用戶能夠很容易地完善自身安全體系。歸結起來，應充分保證以下幾點： 1 網(wǎng)絡可用性：網(wǎng)絡是業(yè)務系統(tǒng)的載體，防止如dos/ddos這樣的網(wǎng)絡攻擊

10、破壞網(wǎng)絡的可用性。 2業(yè)務系統(tǒng)的可用性：中小企業(yè)主機、數(shù)據(jù)庫、應用服務器系統(tǒng)的安全運行同樣十分關鍵，網(wǎng)絡安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡的非法訪問、惡意入侵和破壞。 3數(shù)據(jù)機密性：對于中小企業(yè)網(wǎng)絡，保密數(shù)據(jù)的泄密將直接帶來企業(yè)商業(yè)利益的損失。網(wǎng)絡安全系應保證機密信息在存儲與傳輸時的保密性。 4訪問的可控性：對關鍵網(wǎng)絡、系統(tǒng)和數(shù)據(jù)的訪問必須得到有效的控制，這要求系統(tǒng)能夠可靠確認訪問者的身份，謹慎授權，并對任何訪問進行跟蹤記錄。 5網(wǎng)絡操作的可管理性：對于網(wǎng)絡安全系統(tǒng)應具備審計和日志功能，對相關重要操作提供可靠而方便的可管理和維護功能。易用的功能。1.2.1（統(tǒng)一威脅管理）更能滿足企業(yè)的網(wǎng)

11、絡安全需求 1.網(wǎng)絡安全系統(tǒng)通常是由防火墻、入侵檢測、漏洞掃描、安全審計、防病毒、流量監(jiān)控等功能產(chǎn)品組成的。但由于安全產(chǎn)品來自不同的廠商，沒有統(tǒng)一的標準，因此安全產(chǎn)品之間無法進行信息交換，形成許多安全孤島和安全盲區(qū)。而企業(yè)用戶目前急需的是建立一個規(guī)范的安全管理平臺，對各種安全產(chǎn)品進行統(tǒng)一管理。于是，utm產(chǎn)品應運而生，并且正在逐步得到市場的認可。utm安全、管理方便的特點，是安全設備最大的好處，而這往往也是中小企業(yè)對產(chǎn)品的主要需求。 2.中小企業(yè)的資金流比較薄弱，這使得中小企業(yè)在網(wǎng)絡安全方面的投入總顯得底氣不足。而整合式的utm產(chǎn)品相對于單獨購置各種功能，可以有效地降低成本投入。且由于utm的

12、管理比較統(tǒng)一，能夠大大降低在技術管理方面的要求，彌補中小企業(yè)在技術力量上的不足。這使得中小企業(yè)可以最大限度地降低對安全供應商的技術服務要求。網(wǎng)絡安全方案可行性更強。 3.utm產(chǎn)品更加靈活、易于管理，中小企業(yè)能夠在一個統(tǒng)一的架構上建立安全基礎設施，相對于提供單一專有功能的安全設備，utm在一個通用的平臺上提供多種安全功能。一個典型的utm產(chǎn)品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全面功能的utm設備，也可以根據(jù)自己的需要選擇某幾個方面的功能。更為重要的是，用戶可以隨時在這個平臺上增加或調(diào)整安全功能，而任何時候這些安全功能都可以很好地協(xié)同工作。第二章 綜合布線及

13、拓撲結構為適應迅速的技術變化，使得我們必須將建筑物進行結構化布線作為一個策略性投資加以考慮。建筑物綜合布線網(wǎng)絡，需要滿足用戶的近期和長期工作需求, 使其在計算機網(wǎng)絡、通信系統(tǒng)等方面都達到較高智能化和現(xiàn)代化的水平滿足。2.1綜合布線蘭州宏宇電腦到目前為止尚未建立公司的廣域網(wǎng)，分公司與公司總部之間使用撥號的方式通過internet連接。以下詳細對幾種廣域網(wǎng)構建方式進行了分析和比較，并基于比較分析的結果，提出蘭州廣域網(wǎng)的構建建議、網(wǎng)絡設備的規(guī)劃、internet連接的規(guī)劃。2.1.1蘭州宏宇廣域網(wǎng)方案規(guī)劃圖2-1綜合布線（平面圖）1以蘭州宏宇公司總部為中心，各個分公司通過vpn或fr幀中繼網(wǎng)連接到總

14、部，建立廣域網(wǎng)的主干。各分公司利用已有的isdn電話線路通過遠程撥號作為主干網(wǎng)絡的備份網(wǎng)絡，各個客戶服務中心和倉庫通過isdn電話線路連接到距離最近的分公司，通過分公司和總部連接。2公司總部與internet的連接ddn專線線路帶寬擴展到4m。公司內(nèi)部上網(wǎng)瀏覽線路使用adsl寬帶網(wǎng)絡線路。2.1.2綜合布線特點蘭州宏宇方案規(guī)劃的特點1綜合性、兼容性好 傳統(tǒng)的專業(yè)布線方式需要使用不同的電纜、電線、接續(xù)設備和其它器材，技術性能差別極大，難以互相通用，彼此不能兼容。綜合布線系統(tǒng)具有綜合所有系統(tǒng)和互相兼容的特點，采用光纜或高質(zhì)量的布線部件和連接硬件，能滿足不同生產(chǎn)廠家終端設備傳輸信號的需要。 2靈活性

15、、適應性強 采用傳統(tǒng)的專業(yè)布線系統(tǒng)時，如需改變終端設備的位置和數(shù)量，必須敷設新的纜線和安裝新的設備，且在施工中有可能發(fā)生傳送信號中斷或質(zhì)量下降，增加工程投資和施工時間，因此，傳統(tǒng)的專業(yè)布線系統(tǒng)的靈活性和適應性差。在綜合布線系統(tǒng)中任何信息點都能連接不同類型的終端設備，當設備數(shù)量和位置發(fā)生變化時，只需采用簡單的插接工序，實用方便，其靈活性和適應性都強、且節(jié)省工程投資。 3便于今后擴建和維護管理 綜合布線系統(tǒng)的網(wǎng)絡結構一般采用星型結構，各條線路自成獨立系統(tǒng)，在改建或擴建時互相不會影響。綜合布線系統(tǒng)的所有布線部件采用積木式的標準件和模塊化設計。因此，部件容易更換，便于排除障礙，且采用集中管理方式，有利

16、于分析、檢查、測試和維修，節(jié)約維護費用和提高工作效率。 一:應用帶寬需求按照應用系統(tǒng)架構的規(guī)劃，蘭州宏宇廣域網(wǎng)涉及的應用主要包括：email系統(tǒng)、知識共享平臺系統(tǒng)、erp 系統(tǒng)（主要為分公司的財務和倉庫管理）、crm系統(tǒng)（主要為顧客服務）。預計每一分公司所需帶寬為256k左右。該帶寬是根據(jù)各個應用系統(tǒng)初期可能的應用需求估計得出，隨著應用的不斷深化，帶寬可以隨之不斷增加。二:網(wǎng)絡連接方式規(guī)劃1.根據(jù)電信部門的確認，電信已經(jīng)在全國范圍大部分的主要的城市開通了幀中繼業(yè)務，蘭州宏宇公司分公司所在地已經(jīng)全部開通了幀中繼業(yè)務。2. 蘭州宏宇到目前為止在總部、分公司和顧客服務中心都已建立了局域網(wǎng)，因此總部、

17、分公司只需分別通過中國電信提供的專線直接接入中國電信的幀中繼網(wǎng)絡?？蛻舴罩行膭t根據(jù)就近原則，通過isdn撥號連接到距離最近的分公司，通過分公司和總公司連接。圖2-2網(wǎng)絡規(guī)劃如上圖所示蘭州宏宇分公司各自通過一條專線接入中國電信的幀中繼主干網(wǎng)，達到最低的保證速率256k、最高的端口速率512k?？紤]到幀中繼相對昂貴的月租費用，而顧客服務中心和倉庫的應用比較單一，因此各顧客服務中心倉庫分別通過isdn撥號接入分公司網(wǎng)絡，再通過分公司網(wǎng)絡與總部相連。蘭州宏宇總部通過一條6m專線接入中國電信幀中繼網(wǎng)絡，該條專線將采用光纖接入的方式，然后分成三根e1線路接入。分公司利用已有的isdn電話撥號線路遠程連接

18、到總部，通過該線路實現(xiàn)對主干線路的備份。一旦主干線路損壞，立即撥號到總公司遠程撥號接入網(wǎng)（isdn接入isdn路由器，電話撥號接入modem pool），保證網(wǎng)絡的連通。2.1.3 vpn系統(tǒng)規(guī)劃建議根據(jù)網(wǎng)通公司的確認，目前這家公司已經(jīng)在全國范圍大部分的主要的城市開通了vpn業(yè)務，蘭州宏宇公司分公司所在地已經(jīng)全部開通了vpn業(yè)務。vpn方案的網(wǎng)絡連接圖與幀中繼方案基本一致：蘭州宏宇分公司分別通過一條256k 專線接入vpn網(wǎng)絡，各客服中心倉庫分別通過isdn撥號接入分公司網(wǎng)絡，再通過分公司網(wǎng)絡和總部相連。而蘭州宏宇總部通過一條6m專線接入vpn網(wǎng)絡，該條專線將采用光纖接入。由于采用星型的連接方

19、式構建蘭州宏宇廣域網(wǎng)，以后無論是增加新的分公司或是將法人企業(yè)連接進入整個網(wǎng)絡，都會比較容易：只需要增加一條幀中繼或vpn線路進入主干系統(tǒng)就可以，不會對網(wǎng)絡拓撲有影響。同時，任何一個分公司與公司總部的連接線路受損，都不會影響到其他分公司與公司總部的連接。上述兩種線路接入方式采用的線路設備（dtu）具有可升級性，在以后升級網(wǎng)絡帶寬時無須更換設備，以保護投資。兩種線路接入方式的備份線路都采用isdn電話線路遠程撥號的方式，主要有以下考慮：由于該種方式利用已有的線路，十分經(jīng)濟。由于在大多數(shù)的情況下主干網(wǎng)絡不會中斷，除非一些特殊情況如電信部門的主干光纖被挖斷。因此該線路平時不用連通，可以派做他用，不會造

20、成線路浪費。一旦出現(xiàn)意外情況主干損壞，再撥號到總部，運行成本很低。由于分公司和總公司之間的應用系統(tǒng)的實時性要求不是很高，因此從應用的角度也可以接受以上的備份方式。2.2拓撲結構目前，隨著信息技術和網(wǎng)絡技術的發(fā)展，計算機作為一種處理信息的工具、網(wǎng)絡作為當今社會人們獲取信息、知識的重要途徑和手段，它們已在各行各業(yè)發(fā)揮著越來越重要的作用。局域網(wǎng)上具有獨立工作能力的計算機系統(tǒng)被稱之為節(jié)點，這些節(jié)點之間相互連接的方法在網(wǎng)絡術語中被稱之為網(wǎng)絡的拓撲結構，網(wǎng)絡的拓撲結構是拋開網(wǎng)絡電纜的物理連接來討論網(wǎng)絡系統(tǒng)的連接形式，它能表示出網(wǎng)絡服務器、工作站的網(wǎng)絡配置和互相之間的連接。在蘭州宏宇電腦企業(yè)的網(wǎng)絡拓撲結構中

21、選用的是星型結構：如下是星型拓撲結構圖：圖2-3 星型拓撲結構示意圖星型結構是以中央節(jié)點為中心與各節(jié)點連接而組成的(如2-3所示)，各節(jié)點與中央節(jié)點通過點與點方式連接，任何兩個站點要進行通信都必須經(jīng)過中央節(jié)點控制。為便于集中連線，目前多采用集線器hub作為星型結構的中央節(jié)點，hub通常有4、8、12、16、24個端口，每個端口相對獨立，因此當網(wǎng)絡中的一個節(jié)點有故障時，不會影響整個局域網(wǎng)的運行。星型結構的優(yōu)點是：網(wǎng)絡結構簡單，組網(wǎng)容易，便于管理，故障診斷容易，可同時連雙絞線、同軸電纜及光纖等多種媒質(zhì)。缺點是：共享能力較差，由于通信線路總長度大，因而組網(wǎng)成本較高。2.21拓撲結構網(wǎng)絡的基本特點1節(jié)

22、點擴展、移動方便：節(jié)點擴展時只需要從集線器或交換機等集中設備中拉一條線即可，而要移動一個節(jié)點只需要把相應節(jié)點設備移到新節(jié)點即可，而不會像環(huán)型網(wǎng)絡那樣牽其一而動全局； 維護容易；一個節(jié)點出現(xiàn)故障不會影響其它節(jié)點的連接，可任意拆走故障節(jié)點；2 網(wǎng)絡傳輸數(shù)據(jù)快：這一點可以從目前最新的1000mbps到10g以太網(wǎng)接入速度可以看出。3這種結構是目前在局域網(wǎng)中應用得最為普遍的一種，在很多企業(yè)網(wǎng)絡中幾乎都是采用這一方式。星型網(wǎng)絡幾乎是ethernet（以太網(wǎng)）網(wǎng)絡專用，它是因網(wǎng)絡中的各工作站節(jié)點設備通過一個網(wǎng)絡集中設備（如集線器或者交換機）連接在一起，各節(jié)點呈星狀分布。4各站點通過點到點的鏈路與中心站相連

23、。特點是很容易在網(wǎng)絡中增加新的站點，數(shù)據(jù)的安全性和優(yōu)先級容易控制，易實現(xiàn)網(wǎng)絡監(jiān)控，但中心節(jié)點的故障會引起整個網(wǎng)絡癱瘓。第三章 防火墻在企業(yè)網(wǎng)絡中具體功能與實現(xiàn)隨著政府、企業(yè)、個人主機的網(wǎng)絡安全需求的與日俱增，防火墻技術應運而生。傳統(tǒng)的邊界式防火墻是企業(yè)內(nèi)部網(wǎng)絡與外部網(wǎng)絡的一道屏障,但是其無法對內(nèi)部網(wǎng)絡訪問進行控制，也沒有對黑客行為進行入侵檢測和阻斷的功能。企業(yè)迫切需要一套真正能夠解決網(wǎng)絡內(nèi)部和外部，防火墻和防黑客的安全解決方案，為客戶提供可靠的網(wǎng)絡安全服務.3.1具體功能1.包的透明轉(zhuǎn)發(fā) 事實上，由于防火墻一般架設在提供某些服務的服務器前。用戶對服務器的訪問的請求與服務器反饋給用戶的信息，都需

24、要經(jīng)過防火墻的轉(zhuǎn)發(fā),因此，很多防火墻具備網(wǎng)關的能力。 2.阻擋外部攻擊 如果用戶發(fā)送的信息是防火墻設置所不允許的，防火墻會立即將其阻斷避免其進入防火墻之后的服務器中。 3.記錄攻擊 如果有必要，其實防火墻是完全可以將攻擊行為都記錄下來的，但是由于出于效率上的考慮，目前一般記錄攻擊的事情都交給ids來完成了。4 可以定義規(guī)則計劃，使得系統(tǒng)在某一時可以自動啟用和關閉策略； 5 具有詳細的日志功能，提供防火墻符合規(guī)則報文的信息、系統(tǒng)管理信息、系統(tǒng)故障信息的記錄，并支持日志服務器和日志導出； 6 具有ipsec vpn功能，可以實現(xiàn)跨互聯(lián)網(wǎng)安全的遠程訪問； 7 具有郵件通知功能，可以將系統(tǒng)的告警通過發(fā)

25、送郵件通知網(wǎng)絡管理員； 7 具有攻擊防護功能對不規(guī)則的ip、tcp報或超過經(jīng)驗閥值的tcp半連接、udp報文以及icmp報文采取丟棄； 3.2防火墻功能的實現(xiàn)根據(jù)蘭州宏宇企業(yè)狀況，為提高企業(yè)網(wǎng)絡信息安全性，在網(wǎng)絡結構中使用方正防火墻 。方正防火墻3000系列防火墻采用專用硬件、具有先進的檢測技術和國內(nèi)自主知識版權的安全操作系統(tǒng)。獨有的智能ip識別技術是一種基于狀態(tài)檢測的高效網(wǎng)絡檢測技術。在新一代方正防火墻產(chǎn)品中，對原有的智能ip識別技術進行了大幅度的提升和擴充，除了能夠提高網(wǎng)絡數(shù)據(jù)檢測效率外，還能在防火墻內(nèi)核中針對應用進行多元化的訪問控制，大大擴展了防火墻的控制能力，使得防火墻和應用能夠更緊密

26、的結合。配合原有的特有快速搜索算法技術，方正防火墻在保證針對應用的細致分析和防護的同時，對產(chǎn)品的性能有大幅的提高，解決了目前內(nèi)容分析型防火墻普遍存在的效率瓶頸問題。3.2.1多種控制對象用戶在使用防火墻時最主要的功能就是通過防火墻進行訪問控制，隨著網(wǎng)絡應用的發(fā)展，原有針對ip包的控制已經(jīng)不能滿足用戶的需求，用戶希望有一種防火墻可以密切和應用相結合，針對具體的網(wǎng)絡應用進行訪問控制。方正防火墻的主要功能是對指定對象進行訪問控制，并且按照設定策略對網(wǎng)絡數(shù)據(jù)進行入侵或流量等活動的統(tǒng)計，并記入日志中，供用戶察看。方正防火墻可控對象除了傳統(tǒng)的ip包的相關信息（源地址、目的地址、協(xié)議、源端口、目的端口、報文

27、代碼、碎片和syn/ack等標識位）外，還引入了智能ip識別技術，增加時間、用戶、應用及其操作等控制對象，擴展了防火墻的防護功能，使得防火墻和應用的結合更為緊密。方正防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進行訪問控制，同時還對結合應用對網(wǎng)絡連接和會話的當前狀態(tài)進行分析和監(jiān)控。對于不同的會話，方正防火墻先通過狀態(tài)檢測技術在內(nèi)核中進行會話的組裝，將檢測對象從數(shù)據(jù)包提升到會話，提高了防火墻的過濾效率。組裝會話后，防火墻內(nèi)核會根據(jù)會話的特征自動識別會話屬于何種應用，并根據(jù)相應的安全規(guī)則進行訪問控制。3.2.2入侵檢測系統(tǒng)方正防火墻內(nèi)置獨立可配置的入侵檢測模塊。1反端口掃描一般黑客如果要對一個節(jié)點發(fā)動攻

28、擊，首先都要掃描目標服務器的端口，確定開啟的服務，然后做出相應的入侵方式。 防火墻內(nèi)置入侵檢測模塊能夠在黑客掃描節(jié)點的時候就能檢測到并報警，這樣就能提前將黑客拒之于門外。防火墻內(nèi)置入侵檢測模塊在檢測到有黑客掃描服務器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進行后續(xù)的攻擊。防火墻內(nèi)置入侵檢測模塊根據(jù)配置文件監(jiān)控任何和tcp，udp端口的連接。 可以對全部端口同時進行監(jiān)控，同時也可以忽略指定的端口。這樣就能滿足不同的需求方式。2在線升級和實時報警由于入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此方正防火墻提供了非常方便的升級接口，可以通過我們的網(wǎng)站進行在線升級，而且我們提供了非常方便的用戶升

29、級界面，使升級工作可以非常方便的完成。報警是否能夠及時是衡量一個入侵檢測系統(tǒng)的重要因素之一，如果在黑客剛剛進行攻擊的時候就能夠做出響應，那么管理員會有足夠的時間進行防護。 方正防火墻的報警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測系統(tǒng)檢測到攻擊，報警系統(tǒng)會馬上做出反應，通過email或手機通知管理員。同時會啟動自動防范系統(tǒng)進行防范。3入侵檢測和防火墻的互動通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡的多種掃描，檢測到對網(wǎng)絡的攻擊行為，并能夠?qū)粜袨檫M行響應，包括自動防范及用戶自定義安全響應策略等。3.2.3安全評估系統(tǒng)方正防火墻可增加安全評估模塊。方正的安全評估系統(tǒng)主要針對用戶系統(tǒng)內(nèi)

30、部的各種安全漏洞實施漏洞掃描，借以檢查出系統(tǒng)中主機的安全隱患。檢測內(nèi)容包括各種端口掃描，各種服務掃描和cgi掃描，還可以獲取被掃描主機的信息。在掃描過程中，能夠提示掃描進度。完成漏洞掃描后，管理員可以查看掃描結果和統(tǒng)計信息，及時獲取掃描的結果信息，以便針對系統(tǒng)中的漏洞進行補救，達到防范非法攻擊的目的。掃描結果根據(jù)被掃描主機來判斷和顯示。系統(tǒng)會列出所有被掃描的主機，管理員可以有選擇的查看主機的掃描信息，以及相關的端口掃描結果、帳號和弱密碼的情況和系統(tǒng)中漏洞的信息。用戶可打印和統(tǒng)計有漏洞主機的掃描信息，并查詢漏洞的詳細信息，使用戶全面了解系統(tǒng)的安全狀況，提早做好防范措施。方正防火墻還給出了漏洞的類

31、型，以及受影響的操作系統(tǒng)、漏洞描述和解決方法等，為管理員及時發(fā)現(xiàn)系統(tǒng)漏洞和采取補救，例如升級系統(tǒng)等，提供了方便。3.2.4全面地址翻譯（nat）解決方案方正防火墻支持在內(nèi)部網(wǎng)和dmz區(qū)使用保留的ip地址，通過動態(tài)的地址轉(zhuǎn)換功能實現(xiàn)對外部網(wǎng)的訪問。方正防火墻支持源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換等nat模式，可以實現(xiàn)一對多，多對多，動態(tài)地址轉(zhuǎn)換等多種nat應用方式。firegateinternet001 源地址轉(zhuǎn)換(正向nat)，即內(nèi)部地址向外訪問時，發(fā)起訪問的內(nèi)部ip地址轉(zhuǎn)換為指定的ip地址（可

32、含端口號或者端口范圍），這可以使內(nèi)部使用保留ip地址的主機訪問外部網(wǎng)絡，即內(nèi)部的多個機器可以通過一個外部有效地址訪問外部網(wǎng)絡。2 目的地址轉(zhuǎn)換（反向nat），即外部地址向內(nèi)訪問時，被訪問的ip地址（可含端口號或者端口范圍）被轉(zhuǎn)換為指定的內(nèi)部ip地址（可含端口號或者端口范圍），可以支持針對外部地址服務端口到內(nèi)部地址的一對一映射，內(nèi)部的多臺機器的服務端口可以分別映射到外部地址的若干個端口，通過這些端口對外部提供服務。第四章網(wǎng)絡安全措施網(wǎng)絡安全在網(wǎng)絡中是很重要的，現(xiàn)在黑客的腳步以前走在網(wǎng)絡安全的前面了，只所以我們因該注意網(wǎng)絡安全，盡量避免黑客的攻擊。4.1網(wǎng)絡安全防火墻防病毒軟件隨著互聯(lián)網(wǎng)的快速發(fā)展

33、，網(wǎng)絡安全也越來越重要。網(wǎng)絡的安全隱患不僅僅是企業(yè)內(nèi)部人員操作的問題，越來越多的隱患是出于企業(yè)內(nèi)部網(wǎng)絡和internet互聯(lián)網(wǎng)的連接問題。由于互聯(lián)網(wǎng)的開放性，使得所有的網(wǎng)絡終端都可以通過它互相訪問。因此為自己的網(wǎng)絡建立相應的防火墻，將允許的訪問接入，而將一些非法的訪問請求拒絕已經(jīng)是企業(yè)網(wǎng)絡必不可缺的一部分了。4.1.1防病毒軟件為了擺脫病毒的威脅，企業(yè)必須在其系統(tǒng)內(nèi)部署和實施整體的反病毒體系。蘭州宏宇電腦公司內(nèi)部擁有大量使用計算機聯(lián)網(wǎng)工作，但是所用的計算機軟件、操作系統(tǒng)種類非常多，涉及unix、windows9598nt3.x、novell等。為了使內(nèi)部網(wǎng)絡能夠遠離病毒侵擾，需要防病毒軟件能夠

34、部署在網(wǎng)絡內(nèi)的所有計算機上，在病毒的各個入口點進行防范，同時還要能夠迅速升級，不但能夠殺毒、防毒，還能在最短的時間內(nèi)發(fā)現(xiàn)新病毒并在它還沒有發(fā)作前將病毒殺死。作為網(wǎng)絡防病毒，還需要一個強大的中央管理控制臺，通過它對網(wǎng)絡內(nèi)的計算機進行軟件安裝和升級，對網(wǎng)絡內(nèi)的防病毒軟件的運行情況進行監(jiān)控，從而可以減輕網(wǎng)絡管理員的工作量和隨時掌握企業(yè)網(wǎng)絡內(nèi)的防病毒情況。對于病毒防護而言，蘭州宏宇電腦企業(yè)迫切需要購置并安裝一套企業(yè)級的網(wǎng)絡防毒軟件。企業(yè)級的網(wǎng)絡防毒軟件應當具備以下的一些基本特性：對企業(yè)信息網(wǎng)絡進行多重防護：包括工作站（pc）級的病毒防治、服務器級的病毒防治、網(wǎng)關級的病毒防治、電子郵件系統(tǒng)的病毒防治等。

35、集中式管理：可以在網(wǎng)絡服務器中統(tǒng)一查殺網(wǎng)絡中各聯(lián)網(wǎng)pc工作站的病毒。全自動的軟件升級：包括了自動更新病毒代碼，掃描引擎和程序，無需人工干預。自動安裝和部署：一旦安裝完成，客戶端程序會自動和主服務器聯(lián)系，并從服務器哪里獲得最新的病毒碼和更新程序。單一網(wǎng)絡管理：通過單一的主控程序?qū)Χ嘀氐奈募芾矸掌鬟M行單一的管理。病毒入侵的警告：可以通過傳真、電郵、傳呼機或手機短消息等方式一旦監(jiān)測到有病毒入侵，可以通過以上的方式通知網(wǎng)絡管理員。對多種主流的操作系統(tǒng)的平臺和電子郵件平臺的支持。智能的病毒掃描功能：通過先進的引擎?zhèn)蓽y和清除已知的和未知的病毒。實時的病毒防御：防毒系統(tǒng)駐留在主內(nèi)存中，對一切在計算機上運

36、行的程序進行實時的監(jiān)控。 不論是來自internet、email、光盤、軟盤、網(wǎng)絡，一旦發(fā)現(xiàn)病毒，立刻通知使用者清除。支持多線程的掃描技術，提高掃描效率；對系統(tǒng)的資源占用較少。病毒活動記錄報告：可以完整的紀錄病毒感染的文件，病毒碼和程序更新，掃描時間紀錄等相關重要信息。可以實時的掃描郵件中的病毒，包括在附件中壓縮文件的掃描。對木馬和黑客程序具有徹底的消除能力。4.2網(wǎng)絡安全方案大型網(wǎng)絡的系統(tǒng)管理常常是企業(yè)信息系統(tǒng)建設中一個較為薄弱的環(huán)節(jié)，蘭州宏宇電腦企業(yè)也不例外。綜合來看，造成這一狀況的原因主要表現(xiàn)在以下三個方面：蘭州宏宇電腦企業(yè)的的it系統(tǒng)中，擁有諸如網(wǎng)絡管理、數(shù)據(jù)庫管理、應用管理、客戶機管

37、理等等分散存在、功能單一的多個系統(tǒng)，這種方式不僅割裂了系統(tǒng)之間的有機聯(lián)系，使得it資源的管理者難以從整體上掌握系統(tǒng)運營狀況，管理環(huán)節(jié)較多，構成較為復雜，資源重復浪費，最終加大了運營維護成本，還無法保障整體系統(tǒng)運營的高可用性。 蘭州宏宇電腦企業(yè)it系統(tǒng)的建設與投資過程中，往往較多地考慮了系統(tǒng)的一次性建設成本和設備投入，如網(wǎng)絡設備、服務器設備、數(shù)據(jù)庫系統(tǒng)、應用開發(fā)、機房環(huán)境建設、客戶機配置等，對系統(tǒng)將來在管理維護方面的開銷考慮的較少或不全蘭州宏宇電腦企業(yè)網(wǎng)絡環(huán)境相當?shù)膹碗s，首先是規(guī)模大，服務器節(jié)點和客戶端上千，系統(tǒng)分布在全國各地，甚至分布在幾個國家，范圍極廣；第二是功能越來越多，從計算、數(shù)據(jù)庫、事

38、務處理到各種internet/intranet 服務等等； 第三是變化快，硬件、軟件、網(wǎng)絡和應用不斷地更新升級；第四是異構性，主要體現(xiàn)為：系統(tǒng)結構異構性、平臺異構性、網(wǎng)絡異構性、數(shù)據(jù)異構性、應用異構性。未來蘭州宏宇電腦企業(yè)欲構建集成的大規(guī)模的企業(yè)信息系統(tǒng)應用，就必須加強網(wǎng)絡的系統(tǒng)管理，提高網(wǎng)絡管理的技術水平和管理水平。圖4-1防火墻部署拓撲之所以這樣部署防火墻是應為把服務器統(tǒng)一在一起便于管理，把服務器群與其他pc機完全通過防火墻隔離開，減少了服務器被攻擊的可能行，增加了網(wǎng)絡安全性，而且相對于第二套部署方案而言減少了防火墻的千兆端口數(shù)，ids也只需要一套，降低了成本。而且不用再從計算中心機房鋪設

39、光纖到技術中心。4.2.1 ids實施方案圖4-2網(wǎng)絡安全拓撲ids部署的好處1入侵檢測系統(tǒng)能夠?qū)W(wǎng)絡流量進行實時監(jiān)控，能夠準確有效地識別所有網(wǎng)絡活動中的已知攻擊、未知攻擊行為，一旦發(fā)現(xiàn)攻擊，立即報警，并采取響應措施。要求報警準確，避免漏報和誤報。入侵監(jiān)測系統(tǒng)具備分析采用躲避入侵檢測技術的通信數(shù)據(jù)的能力，能夠有效的檢測針對ids進行的躲避行為。2.入侵檢測能夠通過分析網(wǎng)絡中的數(shù)據(jù)，記錄入侵的完整過程，為安全事件的調(diào)查提供證據(jù)。3入侵檢測能夠?qū)崟r分析網(wǎng)絡中活動，發(fā)現(xiàn)入侵行為可以采取預先設定的動作響應（報警、切斷網(wǎng)絡連接、記錄日志等等）。4.能夠依據(jù)定制的過濾條件獲取某一特定網(wǎng)絡協(xié)議、端口的原始報

40、文數(shù)據(jù)；并對http、ftp、smtp、pop3、telnet等主要的網(wǎng)絡協(xié)議通信進行內(nèi)容恢復、事件回放。5.入侵檢測產(chǎn)品能夠提供缺省策略，可以靈活通過自定義制定新的符合用戶特征的策略，便于管理、維護，并且可依據(jù)事件報警的概率分析對事件策略集進行動態(tài)調(diào)整。6.能夠提供與其他網(wǎng)絡嗅探器和掃描器等輔助工具的集成，可與防火墻、漏洞掃描、驗證系統(tǒng)、ip定系統(tǒng)、網(wǎng)管系統(tǒng)進行聯(lián)動。便于查看當前網(wǎng)絡狀況，分析網(wǎng)絡問題。7.能夠提供完整的網(wǎng)絡事件記錄，對網(wǎng)絡中發(fā)生的所有事件進行記錄，生成完整的網(wǎng)絡審計日志持對大量審計日志的數(shù)據(jù)庫存儲和對日志的多種查詢方式。8. 能夠?qū)崿F(xiàn)背景流量過濾。對用戶指定的端口、協(xié)議、地

41、址和應用相關的高數(shù)據(jù)流自動免檢。結束隨著lnternet在我過的迅速的發(fā)展，網(wǎng)絡安全的問題越來越得到重視。防火墻的技術也引起了各方面的廣泛關注。我們國家除了自行開展了對防火墻的研究，使得更快網(wǎng)絡方面的信息，防火墻能保護網(wǎng)絡安全，但并不是絕對安全的。防火墻還處于發(fā)展階段，仍須許多問題解決。從正式開始搞畢業(yè)設計通過書本，網(wǎng)絡，討論等多方面的學習收集整理而成的這份方案。通過本次設計我們比較系統(tǒng)掌握了3年所學的網(wǎng)絡知識，并能有效分析、解決實際問題，提出相對應的網(wǎng)絡管理；病毒防范措施。但是由于時間有限，在時間的過程中還有很多不足的地方，在以后的工作學習中繼續(xù)努力改進。經(jīng)過這幾個月的設計，我深刻體會到要做

42、好一個完整的事情，需要有系統(tǒng)的思維方式和方法，對待一個新的問題，要耐心、要善于運用已有的資源來充實自己。 作者:xxx x年x月x日致謝大學三年生活即將結束，在這里我非常感謝所有教導我的老師，他不但教會我門知識，在指導我的論文上非常盡心，不厭其煩的幫助指導，幫助我在三年的大學生活畫上完美的句號。感謝我的父母。沒有他們支持我就沒有機會接受教育，也沒有機會認識這么多良師益友，感謝我的指導老師郭玉潔，在我設計的日子里督促指導我完成論文，感謝所有幫助我的人，謝謝你們.參考文獻1 陳斌 等譯,網(wǎng)絡設計，電子工業(yè)出版社,2005年9月.2朱雁輝 著,wlndows防火墻與網(wǎng)絡技術,電子工業(yè)出版社，2002年4月.3常紅等 著,網(wǎng)絡安全技術與反黑客,冶金工業(yè)出版社，2001年6月.4袁家政 著,計算機網(wǎng)絡安全與應用技術,清華大學出版社,2002年5月.5胡道元 著,計算機網(wǎng)絡,清華大學出版社， 1999年1月.6刑鈞 著，網(wǎng)絡安全與防火墻技術,電子科技大學出版社,2004年3月7謝希仁 著，計算機網(wǎng)絡工程基礎, 電子工業(yè)出版社,2002年5月. 8石彥杰 著，計算機網(wǎng)絡系統(tǒng)集成技術