網(wǎng)絡(luò)安全及防護措施

1網(wǎng)絡(luò)安全及防護措施湖北托普網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第1頁。2概要一、安全隱患及安全認(rèn)識分析二、網(wǎng)絡(luò)安全體系結(jié)構(gòu)三、網(wǎng)絡(luò)安全整體防護思路網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第2頁。3一、安全隱患及安全認(rèn)識分析網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第3頁。4網(wǎng)絡(luò)安全事件

1998/9揚州郝氏兄弟工行竊款案例北京機場票務(wù)系統(tǒng)癱瘓深交所證券交易系統(tǒng)癱瘓二灘電廠網(wǎng)絡(luò)安全事故大量的網(wǎng)站被黑、被攻擊網(wǎng)上信用卡密碼被盜，錢被劃走網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第4頁。5網(wǎng)絡(luò)病毒后門信息外泄信息丟失、篡改資源占用拒絕服務(wù)黑客攻擊木馬邏輯炸彈安全威脅種類分析圖網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第5頁。6常見的攻擊方式介紹網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第6頁。7了解攻擊的作用網(wǎng)絡(luò)管理員對攻擊行為的了解和認(rèn)識，有助于提高危險性認(rèn)識在遭遇到攻擊行為時能夠及時的發(fā)現(xiàn)和應(yīng)對了解攻擊的手段才能更好的防范網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第7頁。8攻擊帶來的后果系統(tǒng)被侵占，并被當(dāng)作跳板進行下一步攻擊文件，重要資料遭到破壞系統(tǒng)瀕臨崩潰，無法正常運行網(wǎng)絡(luò)涌堵，正常通信無法進行重要信息資料被竊取，機密資料泄漏，造成重大經(jīng)濟損失網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第8頁。9常規(guī)攻擊行為的步驟預(yù)攻擊信息探測，使用掃描器獲取目標(biāo)信息，這些信息可以為：主機或設(shè)備上打開的服務(wù)，端口，服務(wù)程序的版本，系統(tǒng)的版本，弱密碼帳號等實施攻擊，手法有很多，要視收集的信息來決定利用的手法如：緩沖區(qū)溢出，密碼強打，字符串解碼，DoS攻擊等留下后門或者木馬，以便再次利用清除攻擊留下的痕跡包括痕跡記錄，審計日志等網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第9頁。10

邏輯炸彈是一段潛伏的程序，它以某種邏輯狀態(tài)為觸發(fā)條件，可以用來釋放病毒和蠕蟲或完成其他攻擊性功能，如破壞數(shù)據(jù)和燒毀芯片。它平時不起作用，只有當(dāng)系統(tǒng)狀態(tài)滿足觸發(fā)條件時才被激活。邏輯炸彈網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第10頁。11郵件炸彈概念：發(fā)送大容量的垃圾郵件如：KaBoomTo、From、Server拒收垃圾郵件、設(shè)置寄信地址黑名單（MailGuard)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第11頁。12OICQ攻擊OICQ本地密碼使用簡單的加密方式OICQ使用明文傳輸黑客可監(jiān)聽信息內(nèi)容網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第12頁。13拒絕服務(wù)攻擊DenialofService----Dos向目標(biāo)主機發(fā)送大量數(shù)據(jù)包，導(dǎo)致主機不能響應(yīng)正常請求，導(dǎo)致癱瘓在目標(biāo)主機上放了木馬，重啟主機，引導(dǎo)木馬為完成IP欺詐，讓被冒充的主機癱瘓在正式進攻之前，要使目標(biāo)主機的日志記錄系統(tǒng)無法正常工作網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第13頁。14拒絕服務(wù)攻擊的種類LandPingofDeathSYNfloodDos/DDdos網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第14頁。15LandAttack在Land攻擊中，黑客利用一個特別打造的SYN包--它的原地址和目標(biāo)地址都被設(shè)置成某一個服務(wù)器地址進行攻擊。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，每一個這樣的連接都將保留直到超時，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢（大約持續(xù)五分鐘）。

網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第15頁。16PingofdeathICMP(InternetControlMessageProtocol，Internet控制信息協(xié)議)在Internet上用于錯誤處理和傳遞控制信息。它的功能之一是與主機聯(lián)系，通過發(fā)送一個“回音請求”（echorequest）信息包看看主機是否“活著”。最普通的ping程序就是這個功能。而在TCP/IP的RFC文檔中對包的最大尺寸都有嚴(yán)格限制規(guī)定，許多操作系統(tǒng)的TCP/IP協(xié)議棧都規(guī)定ICMP包大小為64KB，且在對包的標(biāo)題頭進行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。

網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第16頁。17PingofdeathPingofdeath就是故意產(chǎn)生畸形的測試Ping包，聲稱自己的尺寸超過ICMP上限，也就是加載的尺寸超過64KB上限，使未采取保護措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP協(xié)議棧崩潰，最終接收方宕機。

網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第17頁。18SYNFlooding攻擊SYNFlooding三段握手內(nèi)核處理網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第18頁。19攻擊者利用因特網(wǎng)上成百上千的“Zombie”(僵尸)-即被利用主機，對攻擊目標(biāo)發(fā)動威力巨大的拒絕服務(wù)攻擊。DenialofService(DoS)

拒絕服務(wù)攻擊DistributedDenialofService(DDoS)分布式拒絕服務(wù)攻擊攻擊者利用大量的數(shù)據(jù)包“淹沒”目標(biāo)主機，耗盡可用資源乃至系統(tǒng)崩潰，而無法對合法用戶作出響應(yīng)。什么是DoS/DdoS攻擊網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第19頁。20DdoS攻擊過程主控主機合法用戶服務(wù)請求掃描程序黑客Internet非安全主機被控主機服務(wù)響應(yīng)應(yīng)用服務(wù)器服務(wù)請求服務(wù)響應(yīng)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第20頁。21IP欺騙攻擊讓被信任主機癱瘓聯(lián)接目標(biāo)主機猜測ISN基值和增加規(guī)律將源地址偽裝成被信任主機，發(fā)送SYN數(shù)據(jù)段請求連接黑客等待目標(biāo)機發(fā)送ACK包給已經(jīng)癱瘓的主機黑客偽裝成被信任主機，發(fā)送SYN數(shù)據(jù)段給目標(biāo)主機建立連接網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第21頁。22IP碎片攻擊網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第22頁。23IP碎片攻擊只有第一個分段包含了上層協(xié)議信息包過濾將丟棄第一個分段其他分段允許通過將在目的地被重組目的主機需等待重傳不完全的包,最后返回一個“packetreassemblytimeexpired”信息可能被攻擊者利用作為DoS攻擊手段直接丟棄網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第23頁。24DNS欺騙攻擊冒充DNSServer向域名解析請求發(fā)送錯誤的解析結(jié)果網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第24頁。25利用Web進行攻擊CGI、ASPWeb的非交互性，CGI、ASP的交互性網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第25頁。26Web欺騙攻擊創(chuàng)造某個網(wǎng)站的復(fù)制影像用戶輸入戶名、口令用戶下載信息，病毒、木馬也下載網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第26頁。27掃描器的功能簡介掃描器是網(wǎng)絡(luò)攻擊中最常用的工具，并不直接攻擊目標(biāo)，而是為攻擊提供信息掃描器至少應(yīng)有三種功能：發(fā)現(xiàn)一個主機或網(wǎng)絡(luò)的能力；一旦發(fā)現(xiàn)，探測其存在的服務(wù)及對應(yīng)的端口；通過測試這些服務(wù)，發(fā)現(xiàn)漏洞編寫掃描器需要很多tcp/ip編程和c,perl和shell和socket編程的知識攻擊利用的掃描技術(shù)必須有很快的速度和很好的隱身能力，否則會被發(fā)現(xiàn)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第27頁。28針對互連設(shè)備的攻擊網(wǎng)絡(luò)上的大部分設(shè)備如路由器和交換機大多支持Snmp網(wǎng)管協(xié)議，支持snmp的設(shè)備都維護著自己接口等運行狀態(tài)的信息庫稱為MIBS庫?，F(xiàn)行版本中網(wǎng)管端和設(shè)備間的通信只需經(jīng)過一個叫做community值的簡單驗證，管理端提供readonly的community值時可以讀取該設(shè)備的常規(guī)運行信息，如提供readwrite值時，這可以完全管理該設(shè)備。攻擊網(wǎng)絡(luò)互連設(shè)備的一條捷徑，而且不太被注意網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第28頁。29Snmp的安全驗證機制GET請求ROcommunityMIBS常規(guī)配置信息SET請求RWcommunity修改或下載所有狀態(tài)信息網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第29頁。30設(shè)備攻擊的形式內(nèi)部網(wǎng)絡(luò)INTERNET其它網(wǎng)絡(luò)攻擊者控制對內(nèi)部攻擊切斷跳板攻擊網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第30頁。31

蠕蟲是一段獨立的可執(zhí)行程序，它可以通過計算機網(wǎng)絡(luò)把自身的拷貝（復(fù)制品）傳給其他的計算機。蠕蟲可以修改、刪除別的程序，但它也可以通過瘋狂的自我復(fù)制來占盡網(wǎng)絡(luò)資源，從而使網(wǎng)絡(luò)癱瘓。蠕蟲網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第31頁。32蠕蟲攻擊技術(shù)蠕蟲技術(shù)是病毒和黑客攻擊手法的結(jié)合，包含兩者的技術(shù)，這種攻擊造成的后果比單一的黑客攻擊和病毒傳染要大的多攻擊的第一步是掃描，找出符合攻擊漏洞的主機，這其中包括端口掃描和脆弱性掃描網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第32頁。33蠕蟲攻擊技術(shù)實施攻擊，現(xiàn)在的手法大多是緩沖區(qū)溢出和系統(tǒng)自身的解碼漏洞如Codered的.ida/idq溢出和Lion的wu-ftpd緩沖區(qū)溢出成功后在目標(biāo)主機上自我復(fù)制攻擊程序，感染文件，瘋狂調(diào)用進程。與發(fā)起者脫離關(guān)系直接成為下一次攻擊發(fā)起者，換個網(wǎng)段繼續(xù)掃描，攻擊，以此類推，這種擴散是最大的網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第33頁。34Codered蠕蟲攻擊原理攻擊發(fā)起者.ida漏洞服務(wù)器掃描和攻擊.ida漏洞服務(wù)器.ida漏洞服務(wù)器.ida漏洞服務(wù)器.ida漏洞服務(wù)器.ida漏洞服務(wù)器地址段A地址段B地址段C地址段D網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第34頁。35特洛伊木馬概念：古希臘人同特洛伊人的戰(zhàn)爭非法駐留在目標(biāo)計算機里的執(zhí)行事先約定操作的程序危害：復(fù)制、更改、刪除文件，查獲密碼、口令，并發(fā)送到指定的信箱，監(jiān)視被控計算機。BO、國產(chǎn)木馬冰河查看注冊表：有無陌生項網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第35頁。36木馬技術(shù)攻擊者在成功侵占系統(tǒng)后往往會留下能夠以特殊端口監(jiān)聽用戶請求并且能夠繞過系統(tǒng)身份驗證的進程。改進程在系統(tǒng)中運行具有隱秘性質(zhì)，管理員用常規(guī)的系統(tǒng)監(jiān)視工具不容易發(fā)現(xiàn)攻擊者利用該進程可以方便的再次進入系統(tǒng)而不用身份驗證；攻擊者可以利用這個后門向新的目標(biāo)發(fā)起攻擊通?？刂贫撕湍抉R植入端的通信是加密處理的，很難發(fā)現(xiàn)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第36頁。37常見的木馬工具NetbusBo2kSubsevenDoly冰河網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第37頁。38Unix后門技術(shù)管理員通過改變所有密碼類似的方法來提高安全性，仍然能再次侵入大多數(shù)后門能躲過日志，大多數(shù)情況下，即使入侵者正在使用系統(tǒng)也無法顯示他在線的情況和記錄后門往往被反復(fù)利用來攻擊該主機，發(fā)現(xiàn)主機的變化，除掉新裝上的監(jiān)控系統(tǒng)后門攻擊對unix有很大的危害性網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第38頁。39密碼破解后門入侵者通過一個弱密碼和默認(rèn)密碼帳號進行弱點攻擊取得了系統(tǒng)的控制權(quán)取得shadow文件和passwd文件，其中passwd文件的加密機制較弱，但對shadow文件的破解技術(shù)也在發(fā)展攻擊者取得文件后crack密碼文件，擴大戰(zhàn)果，造成主機系統(tǒng)的眾多用戶口令丟失優(yōu)點是管理員很難確定到底那個帳號被竊取了網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第39頁。40Rhosts++后門聯(lián)網(wǎng)的unix主機，像rsh和rlogin這樣的服務(wù)是基于rhosts文件里的主機名的簡單驗證攻擊者只需向可訪問的某用戶的主目錄的rhosts文件中輸入“++”表示所有的主機均可以利用該帳號就可以無需口令進入該帳號Home目錄通過NFS向外共享時，如權(quán)限設(shè)置有誤，更容易成為攻擊的對象攻擊者更喜歡使用rsh這樣的工具，因為這種連接缺少日志記錄能力，不易被發(fā)現(xiàn)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第40頁。41Suid和sgid進程后門Uid是unix中的用戶標(biāo)志，標(biāo)志用戶的身份和權(quán)限，suid進程則表示該進程歸該用戶所有，具有該用戶的身份權(quán)限攻擊者通常通過溢出和其他的手法取得root權(quán)限，然后使用root身份屬主一個文件如chownroot.root/bin/ls;suid這個文件如chmod4755/bin/ls;然后將其移到一個不起眼的位置，這樣任何一個普通用戶登陸導(dǎo)系統(tǒng)后只要執(zhí)行該/bin/ls就可提升到root身份優(yōu)點：suid進程在系統(tǒng)中有很多，但并不都屬于root身份，很多是正常進程，難以查找即便使用find/-perm4700-print網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第41頁。42Login后門Unix中，login程序通，常對telnet的用戶進行驗證，入侵者在取得最高權(quán)限后獲取login.c的源代碼修改，讓它在比較口令與存儲口令時先檢查后門口令，這樣攻擊者可以登錄系統(tǒng)不需系統(tǒng)的驗證由于后門口令是在用戶真實登陸之前進行的，所以不會被記錄到utmp和wtmp日志的，所以攻擊者可以獲得shell而不暴露為了防止管理員使用strings查找login文件的文本信息，新的手法會將后門口令部分加密缺點是如果管理員使用MD5校驗的話，會被發(fā)現(xiàn)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第42頁。43Telnetd后門用戶telnet到系統(tǒng)，監(jiān)聽端口的inetd服務(wù)接受聯(lián)接，隨后傳給in.telnetd,由他調(diào)用login進程，在in.telnetd中也有對用戶的驗證信息如登陸終端有Xterm,VT100等，但當(dāng)終端設(shè)為“l(fā)etmein”時就會產(chǎn)生一個不需要身份驗證的shell來攻擊者知道管理員會檢查login程序，故會修改in.telnetd程序，將終端設(shè)為“l(fā)etmein”就可以輕易的做成后門網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第43頁。44文件系統(tǒng)后門攻擊者需要在已占領(lǐng)的主機上存儲一些腳本工具，后門集，偵聽日志和sniffer信息等，為了防止被發(fā)現(xiàn)，故修改ls,du,fsck以隱藏這些文件手法是用專用的格式在硬盤上劃出一塊，向系統(tǒng)表示為壞扇區(qū)，而攻擊者會使用特定的工具訪問這些文件對于系統(tǒng)維護工具已被修改的管理員來說，發(fā)現(xiàn)這些問題是很困難的網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第44頁。45隱匿進程后門攻擊者在獲得最高權(quán)限后，將自己編寫監(jiān)聽程序加載到系統(tǒng)中以一個很不起眼的高位端口監(jiān)聽攻擊者修改自己的argv（）使他看起來像其他的進程名攻擊者修改系統(tǒng)的ps進程，使他不能顯示所有的進程；攻擊者將后門程序嵌入中斷驅(qū)動程序使他不會在進程表中顯現(xiàn)一個出名的例子：amod.tar.gz網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第45頁。46文件系統(tǒng)，進程后門源ls源ps修改修改顯示文件顯示進程后門工具后門進程返回不存在返回不存在網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第46頁。47內(nèi)核后門內(nèi)核后門是最新的技術(shù)，和以往的后門都有所不同，他的修改和隱匿都體現(xiàn)在底層函數(shù)上面攻擊者直接修改系統(tǒng)調(diào)用列表sys_call_table將正常進程的函數(shù)調(diào)用接口轉(zhuǎn)向為攻擊者插入的內(nèi)核模塊接口，而不改變該進程，這樣用戶執(zhí)行的命令調(diào)用如ls,du,ps等的最終調(diào)用結(jié)果是攻擊者的自定義模塊現(xiàn)在的很多LKM技術(shù)的后門就是利用這個原理，這種技術(shù)用通常的檢測手法很難發(fā)現(xiàn)，檢查sys_call_table的接口調(diào)用是目前唯一的辦法著名的knark就是利用的這種技術(shù)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第47頁。48痕跡清除技術(shù)攻擊系統(tǒng)過后，很多操作和行為都有可能被記錄日志，因為這些往往都和系統(tǒng)的安全策略有關(guān)系系統(tǒng)的安全策略會定義那些服務(wù)和行為必須記錄日志攻擊完后必須清除自己的行為可能被那些日志記錄找出這些日志文件，予以清除或修改網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第48頁。49Windows的日志W(wǎng)indows的日志主要是兩個方面，第一個是web等服務(wù)系統(tǒng)的訪問日志，這其中包括ftp,mail等；第二個是系統(tǒng)的安全日志，由系統(tǒng)的安全策略來指定服務(wù)系統(tǒng)的日志文件默認(rèn)情況下的權(quán)限給予較低，一般用戶都可以清除，這是一個很大的問題Windows的服務(wù)日志如iis的日志是攻擊的主要對象，在現(xiàn)今的攻擊中體現(xiàn)的尤為充分網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第49頁。50Unix日志處理服務(wù)進程都有自己的日志記錄如常用的web服務(wù)器apache，ftp服務(wù)器和sendmail服務(wù)等，這些服務(wù)器包都有自己的日志定制系統(tǒng)Syslogd守護進程定義的選項內(nèi)容，很多進程如telnet等都是在syslogd進程中定義的，攻擊者查看syslog.conf就可發(fā)現(xiàn)有哪些進程在定義范圍之內(nèi)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第50頁。51需要處理的日志舉例Sulog:系統(tǒng)中所有的su操作Lastlog:記錄某用戶最后一次的登陸時間和地址Utmp：記錄以前登陸到系統(tǒng)中的所有用戶Wtmp:記錄用戶登陸和退出的事件Access_log:apache服務(wù)器的訪問訪問日志.bash_history:shell記錄的用戶操作命令歷史sh_history:shshell記錄的使用該shell的用戶操作命令歷史網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第51頁。52清除的方法使用重定向符“>”可以予以清除如cat>/var/log/wtmp;cat>/var/log/utmp;但清除日志太過于明顯，很容易讓管理員發(fā)現(xiàn)計算機被入侵了刪除日志，將整個日志文件刪除，屬于惡意的報復(fù)行為rm–rf/var/log/utmp使用特定的工具按照ip地址，用戶身份等條件篩選刪除，這是常用的方法網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第52頁。53二、網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第53頁。54安全體系模型系統(tǒng)安全應(yīng)用安全管理安全

物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第54頁。55安全體系模型系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全地震、火災(zāi)、設(shè)備損壞、電源故障、被盜網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第55頁。56安全體系模型系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全在傳輸線路上竊取數(shù)據(jù)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第56頁。57安全體系模型系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全Internet、系統(tǒng)內(nèi)網(wǎng)絡(luò)、系統(tǒng)外網(wǎng)絡(luò)、內(nèi)部局域網(wǎng)、撥號網(wǎng)絡(luò)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第57頁。58安全體系模型系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全操作系統(tǒng)的脆弱性、漏洞、錯誤配置網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第58頁。59安全體系模型系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全應(yīng)用軟件、數(shù)據(jù)庫，包括資源共享、Email、病毒等網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第59頁。60安全體系模型系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全管理員權(quán)限、口令、錯誤操作、資源亂用、內(nèi)部攻擊、內(nèi)部泄密網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第60頁。61技術(shù)措施系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第61頁。62技術(shù)措施系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全設(shè)備冗余、線路冗余、數(shù)據(jù)備份網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第62頁。63技術(shù)措施系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全VPN加密技術(shù)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第63頁。64技術(shù)措施系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全防火墻、物理隔離、AAA認(rèn)證網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第64頁。65技術(shù)措施系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全漏洞掃描、入侵檢測、病毒防護網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第65頁。66技術(shù)措施系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全認(rèn)證、病毒防護、數(shù)據(jù)備份、災(zāi)難恢復(fù)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第66頁。67技術(shù)措施系統(tǒng)安全應(yīng)用安全管理安全物理安全傳輸安全網(wǎng)絡(luò)互聯(lián)安全認(rèn)證、訪問控制及授權(quán)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第67頁。68三、網(wǎng)絡(luò)安全整體防護思路網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第68頁。69網(wǎng)絡(luò)脆弱性發(fā)展趨勢信息網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性增加脆弱性程度網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，安全隱患急劇增加網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第69頁。70木桶原則最大容積取決于最短的木快攻擊者—“最易滲透原則”目標(biāo)：提高整個系統(tǒng)的“安全最低點”。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第70頁。71整體性原則建立預(yù)警、防護、恢復(fù)機制構(gòu)成閉環(huán)系統(tǒng)Policy預(yù)警

防護恢復(fù)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第71頁。72動態(tài)性原則安全是相對的，不可能一勞永逸；道高一尺，魔高一丈；安全策略不斷變化完善；安全投入不斷增加（總投入的30%）。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第72頁。73安全事件案例分析２００２年８月下旬，杜守志在南寧市拾到一張戶名為黃某某在建行廣西分行開戶的醫(yī)療保險ＩＣ復(fù)合卡，并于８月２９日至９月２４日在銀行交易系統(tǒng)識別錯誤的情況下，輸入“１２３４５６”為密碼，連續(xù)從多家銀行的ＡＴＭ機上，分別支取３００余筆現(xiàn)金，合計人民幣６６２１００元。安全事件成因分析安全事件原因1IC卡丟失管理問題2輸入密碼123456密碼的脆弱性3卡上沒錢能取錢，并且取多少增加多少應(yīng)用軟件存在漏洞4半小時取7萬元，一個下午取出17萬元異常行為審計的脆弱性（未作單位時間內(nèi)的最高取款額的限制）5持續(xù)近一個月報警機制不完善網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第73頁。74安全事件案例分析一名普通的系統(tǒng)維護人員，輕松破解數(shù)道密碼，進入郵政儲蓄網(wǎng)絡(luò)，盜走83．5萬元。郵政儲蓄使用的是專用的網(wǎng)絡(luò)，和互聯(lián)網(wǎng)物理隔絕；網(wǎng)絡(luò)使用了防火墻系統(tǒng)；從前臺分機到主機，其中有數(shù)道密碼保護。

安全事件成因分析安全事件原因1私搭電纜，從來沒有人過問管理問題2郵政儲蓄網(wǎng)點竟然一直使用原始密碼，沒有定期更改，也沒有在工作人員之間互相保密密碼的管理問題3遠(yuǎn)程登錄訪問臨洮太石郵政儲蓄所的計算機內(nèi)部網(wǎng)縱向之間未采用防火墻隔離4破譯對方密碼之后進入操作系統(tǒng)以營業(yè)員身份向自8個活期賬戶存入了83．5萬元的現(xiàn)金，并在退出系統(tǒng)前，刪除了營業(yè)計算機的打印操作系統(tǒng)，造成機器故障。密碼脆弱性5幾天后還在提取現(xiàn)金異常行為審計、報警機制、應(yīng)急措施不完善網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第74頁。75事前檢測：隱患掃描安全危險高度危險通過模擬黑客的進攻手法,先于黑客發(fā)現(xiàn)并彌補漏洞，防患于未然。也稱為漏洞掃描、脆弱性分析、安全評估。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第75頁。76網(wǎng)絡(luò)結(jié)構(gòu)專網(wǎng)或公網(wǎng)Internet公司總部分公司分公司網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第76頁。77總出口的門戶安全專網(wǎng)或公網(wǎng)Internet公司總部分公司分公司防火墻網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第77頁。78各子網(wǎng)的邊界安全專網(wǎng)或公網(wǎng)Internet公司總部分公司分公司防火墻網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第78頁。79入侵檢測產(chǎn)品的部署專網(wǎng)或公網(wǎng)Internet公司總部分公司分公司防火墻網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第79頁。80防病毒產(chǎn)品的部署專網(wǎng)或公網(wǎng)Internet公司總部分公司分公司防火墻網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第80頁。81加密傳輸產(chǎn)品的部署專網(wǎng)或公網(wǎng)Internet公司總部分公司分公司防火墻網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第81頁。82身份認(rèn)證（3A）產(chǎn)品的部署專網(wǎng)或公網(wǎng)Internet公司總部分公司分公司防火墻3A：認(rèn)證、授權(quán)、審計確認(rèn)身份，防止抵賴網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第82頁。83事后恢復(fù)機制災(zāi)難恢復(fù)技術(shù)日志查詢網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第83頁。84關(guān)鍵產(chǎn)品專網(wǎng)或公網(wǎng)Internet公司總部分公司分公司防火墻網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第84頁。85關(guān)鍵產(chǎn)品專網(wǎng)或公網(wǎng)Internet公司總部分公司分公司防火墻防火墻產(chǎn)品防病毒產(chǎn)品身份認(rèn)證產(chǎn)品（3A）加密產(chǎn)品（VPN）入侵檢測產(chǎn)品物理隔離網(wǎng)閘抗攻擊網(wǎng)關(guān)漏洞掃描產(chǎn)品數(shù)據(jù)備份產(chǎn)品網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第85頁。86個人安全建議關(guān)閉不必要的服務(wù)（如關(guān)閉SNMP、UPS、RAS）；關(guān)閉不必要的服務(wù)端口（80、21、161）；不輕易點擊不熟悉的網(wǎng)頁或鏈接；不輕易下載不了解的軟件運行；不打開不熟悉的郵件附件；不要將硬盤設(shè)置為共享；要將IE等軟件的安全等級設(shè)置為高等級；及時下載及安裝補丁程序.網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第86頁。87加強密碼的強壯性，并經(jīng)常更改激活審計功能作好備份工作，包括本地備份、異地備份、磁盤陣列不要隨意共享硬盤上的目錄網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第87頁。88盡量不要使用系統(tǒng)默認(rèn)的OUTLOOK程序?qū)τ谖粗娮余]件小心打開網(wǎng)上下載要注意不去黑客等有危險性的網(wǎng)站經(jīng)常查病毒，并主義隨時出現(xiàn)的情況網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第88頁。89四、防火墻技術(shù)介紹網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第89頁。90什么是防火墻？以隔離為目的的安全網(wǎng)關(guān)設(shè)備不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流本身具有較強的抗攻擊能力網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第90頁。91防火墻主要作用過濾不安全的服務(wù)；控制對系統(tǒng)的訪問；集中的安全管理；抗攻擊；入侵監(jiān)測；隔離與保密；記錄和統(tǒng)計。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第91頁。92防火墻的典型應(yīng)用網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第92頁。93InternetWebServer之一：對托管服務(wù)器的保護防火墻交換機ISP機房網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第93頁。94Internet防火墻路由器內(nèi)部局域網(wǎng)交換機之二：對內(nèi)網(wǎng)的保護網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第94頁。95Internet防火墻路由器WWW、DNS、FTP等Email內(nèi)部局域網(wǎng)內(nèi)網(wǎng)交換機外網(wǎng)交換機之三：對內(nèi)網(wǎng)及網(wǎng)站的保護網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第95頁。96DDN網(wǎng)分支機構(gòu)局域網(wǎng)分支機構(gòu)局域網(wǎng)總部局域網(wǎng)防火墻接本地Internet平臺之四：利用專線構(gòu)建廣域網(wǎng)防火墻防火墻網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第96頁。97Internet分支機構(gòu)局域網(wǎng)分支機構(gòu)局域網(wǎng)VPN防火墻VPN防火墻總部局域網(wǎng)VPN防火墻接本地Internet平臺之五：利用Internet構(gòu)建廣域網(wǎng)網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第97頁。98財務(wù)網(wǎng)段一般員工辦公網(wǎng)段防火墻之六：對內(nèi)網(wǎng)進行邏輯劃分OA及人事網(wǎng)段領(lǐng)導(dǎo)辦公網(wǎng)段網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第98頁。99傳統(tǒng)防火墻的局限性傳統(tǒng)防火墻的共同特點采用逐一匹配方法進行檢測和過濾，計算量太大。包過濾是對IP包進行逐一匹配檢查。狀態(tài)檢測包過濾除了對包進行匹配檢查外，還要對狀態(tài)信息進行逐一匹配檢查。應(yīng)用代理對應(yīng)用協(xié)議和應(yīng)用數(shù)據(jù)進行逐一匹配檢查。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第99頁。100傳統(tǒng)防火墻的局限性傳統(tǒng)防火墻的共同缺陷安全性越高，檢查的越多，效率越低。防火墻的安全性與效率成反比。

網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第100頁。101新一代防火墻面臨的問題目前網(wǎng)絡(luò)安全的三大主要問題以拒絕訪問（DoS/DDoS）為目的網(wǎng)絡(luò)攻擊；以蠕蟲（WORM）為代表的病毒傳播；以垃圾電子郵件（SPAM）為代表的內(nèi)容控制。這三大安全問題占據(jù)網(wǎng)絡(luò)安全問題的九成以上，傳統(tǒng)防火墻無能為力。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第101頁。102產(chǎn)品特色（訪問控制特性）

強訪問控制基于IP地址和端口、傳輸方向和協(xié)議的訪問控制；基于時間的訪問控制；基于用戶的訪問控制（內(nèi)核AAA身份認(rèn)證）；基于網(wǎng)絡(luò)空間（七層）的訪問控制：

OSI模型的第一層：網(wǎng)卡控制技術(shù)；OSI模型的第二層：MAC過濾防火墻；OSI模型的第三層：智能包過濾（IntelligentPacketFilter）；OSI模型的第四層：協(xié)議改造技術(shù)（ProtocolNormalization）；OSI模型的第五層：會話控制技術(shù)；OSI模型的第六層：表現(xiàn)控制技術(shù)；OSI模型的第七層：應(yīng)用控制技術(shù)。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第102頁。103產(chǎn)品特色（高安全）高安全性高效安全的BSD系統(tǒng)內(nèi)核采用基于BSD的中網(wǎng)專用安全操作系統(tǒng)，內(nèi)核級的工作模式，使防火墻更加穩(wěn)定、高效和安全。優(yōu)化的TCP/IP協(xié)議棧經(jīng)過加固的系統(tǒng)內(nèi)核和優(yōu)化TCP/IP棧，能夠有效防范DoS/DDoS、源路由攻擊、IP碎片包等多種黑客攻擊。內(nèi)置入侵檢測模塊

內(nèi)置的入情檢測系統(tǒng)為客戶提供更加廣泛和全面的攻擊防范、日志查證，確保內(nèi)部網(wǎng)絡(luò)的安全。防范惡意代碼

可以有效阻止ActiveX、Java、Cookies、JavaScript的入侵。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第103頁。104支持移動用戶遠(yuǎn)程撥入，實現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源安全訪問?？梢詾橛脩籼峁┤δ艿木W(wǎng)關(guān)到網(wǎng)關(guān)VPN解決方案。支持國密辦許可的加密卡，提供高安全保障。集成VPN模塊，并支持第三方的加密卡可擴展性標(biāo)配4或6個網(wǎng)口，滿足大多數(shù)網(wǎng)絡(luò)環(huán)境需求。模塊化結(jié)構(gòu)設(shè)計，最多支持10個網(wǎng)卡接口，適應(yīng)多種網(wǎng)絡(luò)環(huán)境。1U設(shè)備下實現(xiàn)多網(wǎng)口支持產(chǎn)品特色（可擴展）

可與IDS等安全產(chǎn)品聯(lián)動與國內(nèi)領(lǐng)先的IDS產(chǎn)品實現(xiàn)聯(lián)動，如啟明星辰、金諾網(wǎng)安等。支持國際領(lǐng)先的OPENSEC聯(lián)動協(xié)議，如冠群金辰等。

支持各種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議支持路由協(xié)議OSPF、RIP、RIPII、策略路由、DNS、DHCP等。支持VLAN802.1Q和視頻點播、H.323等應(yīng)用協(xié)議過濾。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第104頁。105產(chǎn)品特色（高可用性）問題網(wǎng)絡(luò)是否必須24x7的不間斷運行？解決辦法－心跳互動

采用兩臺防火墻以主從方式工作，實現(xiàn)故障切換的功能。穩(wěn)定、可靠主黑客愁TM從黑客愁TM請求請求客戶機客戶機客戶機24x7應(yīng)用服務(wù)器集群請求請求網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第105頁。106帶寬管理Web服務(wù)器視頻應(yīng)用服務(wù)器客戶機客戶機客戶機瀏覽下載30%20%50%視頻Ftp服務(wù)器帶寬管理規(guī)則庫內(nèi)網(wǎng)外網(wǎng)外網(wǎng)內(nèi)網(wǎng)分級帶寬管理，管理直觀簡便；可粗可細(xì)帶寬分配；粗可對某些網(wǎng)卡，可對某個部門的連續(xù)IP地址段，也可對離散的多個IP地址；細(xì)可以到每一個IP地址；網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第106頁。107雙機熱備份保證系統(tǒng)的可用性無需手工插拔，10s內(nèi)自動完成切換內(nèi)部用戶和外部用戶完全透明，無需任何配置主黑客愁TM從黑客愁TM客戶機客戶機客戶機服務(wù)器服務(wù)器服務(wù)器請求請求請求請求網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第107頁。108五、物理隔離網(wǎng)閘介紹

網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第108頁。109隔離網(wǎng)閘實現(xiàn)的目標(biāo)X-GAP技術(shù)在設(shè)計上主要是為了解決目前網(wǎng)絡(luò)安全設(shè)備中存在的四個主要難題：第一，阻斷內(nèi)外網(wǎng)絡(luò)的任何網(wǎng)絡(luò)通信協(xié)議的連接。第二，抵御任何基于TCP/IP的已知和未知的網(wǎng)絡(luò)攻擊，特別是DoS/DDoS攻擊。第三，抵御基于操作系統(tǒng)平臺漏洞或后門的攻擊。第四，阻斷內(nèi)外網(wǎng)絡(luò)的直接連接，保護安全設(shè)備的安全策略。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第109頁。110中網(wǎng)隔離網(wǎng)閘構(gòu)成硬件組成：內(nèi)網(wǎng)機；外網(wǎng)機；SCSI控制開關(guān)系統(tǒng)；兩個網(wǎng)卡：分別連接在內(nèi)網(wǎng)機和外網(wǎng)機的主板上，用于內(nèi)網(wǎng)機和外網(wǎng)機的輸入輸出。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第110頁。111中網(wǎng)隔離網(wǎng)閘構(gòu)成軟件組成：開關(guān)控制軟件：快速的在兩個處理單元之間交換數(shù)據(jù)。外部單邊代理：接收外部的請求，解析出應(yīng)用協(xié)議，過濾數(shù)據(jù)內(nèi)容，保證數(shù)據(jù)中不包含危險命令。內(nèi)部單邊代理：通過傳輸層軟件模塊接收外部處理單元傳入的請求和數(shù)據(jù)，解析出應(yīng)用協(xié)議，過濾數(shù)據(jù)內(nèi)容，保證數(shù)據(jù)中不包含危險命令。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第111頁。112中網(wǎng)隔離網(wǎng)閘X-GAP的特征

阻斷兩個網(wǎng)絡(luò)的物理連接：確保連接網(wǎng)閘X-GAP設(shè)備上的兩個網(wǎng)絡(luò)在任何時候鏈路層均是斷開的，沒有鏈路連接；阻斷兩個網(wǎng)絡(luò)的邏輯連接：TCP/IP協(xié)議必須被阻斷、被剝離，將原始數(shù)據(jù)通過P2P非TCP/IP的連接透過網(wǎng)閘設(shè)備X-GAP傳遞，沒有通信連接、沒有網(wǎng)絡(luò)連接、沒有應(yīng)用連接、完全阻斷；網(wǎng)閘實現(xiàn)服務(wù)的應(yīng)用代理：任何數(shù)據(jù)交流均通過兩級代理的方式來完成，兩級代理之間是通過開關(guān)系統(tǒng)實現(xiàn)信息交流的；網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第112頁。113中網(wǎng)隔離網(wǎng)閘X-GAP的特征

網(wǎng)閘安全策略的內(nèi)部控制：網(wǎng)閘X-GAP內(nèi)外系統(tǒng)的安全策略均在可信內(nèi)網(wǎng)配置合傳遞，確保安全策略不能被攻擊的特性；協(xié)議剝離后的數(shù)據(jù)擺渡：網(wǎng)閘X-GAP傳輸?shù)脑紨?shù)據(jù)通過表單方式進行，不具有攻擊或?qū)W(wǎng)絡(luò)安全有害的特性。就像txt文本不會有病毒一樣，不會執(zhí)行命令；網(wǎng)閘隔離設(shè)備的自我保護：網(wǎng)閘X-GAP外網(wǎng)內(nèi)置防DoS/DDoS模塊，抗攻擊、防掃描、防入侵、防篡改、防破壞、防欺騙，同時系統(tǒng)提供完備的日志、審計功能。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第113頁。114協(xié)議處理圖TCPIPRawDataIPTCPDataInspectionProtocolInspectionProtocolInspection網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第114頁。115TCP/IP協(xié)議處理圖網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第115頁。116SCSI開關(guān)系統(tǒng)基于SCSI的開關(guān)系統(tǒng)開關(guān)系統(tǒng)是通過SCSI控制系統(tǒng)來實現(xiàn)的。SCSI控制系統(tǒng)作為網(wǎng)閘的開關(guān)系統(tǒng)是國際公認(rèn)的、領(lǐng)先的技術(shù)。X-GAP將SCSI開關(guān)功能在系統(tǒng)的內(nèi)核中實現(xiàn)，遠(yuǎn)遠(yuǎn)優(yōu)于其它常見的開關(guān)技術(shù)。國內(nèi)唯一實現(xiàn)基于SCSI開關(guān)技術(shù)的安全公司。網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第116頁。117隔離網(wǎng)閘主要性能指標(biāo)最小開關(guān)切換時間：12.5ns；網(wǎng)閘擺渡數(shù)據(jù)速率：248Mbps；百兆帶寬網(wǎng)閘吞吐量：80Mbps；設(shè)計的最大并發(fā)連接數(shù)：8192個；網(wǎng)閘內(nèi)部最大帶寬：5120Mbit/s（5G）；接口數(shù)量：支持2－4個網(wǎng)絡(luò)接口；在性能方面達(dá)到了同期國際主要廠商同類產(chǎn)品的水平.網(wǎng)絡(luò)安全及防護措施全文共130頁，當(dāng)前為第117頁。118X-GAP產(chǎn)品功能模塊安全的隔離（斷開與