網(wǎng)絡(luò)安全設(shè)計方案1、網(wǎng)絡(luò)隔離與訪問控制。通過對特定網(wǎng)段、服務(wù)進(jìn)行物理和邏輯隔離，并建立訪問控制機(jī)制，將絕大多數(shù)攻擊阻止在網(wǎng)絡(luò)和服務(wù)的邊界以外。2、 漏洞發(fā)現(xiàn)與堵塞。通過對網(wǎng)絡(luò)和運(yùn)行系統(tǒng)安全漏洞的周期檢查，發(fā)現(xiàn)可能被攻擊所利用的漏洞，并利用補(bǔ)丁或從管理上堵塞漏洞。3、 入侵檢測與響應(yīng)。通過對特定網(wǎng)絡(luò)（段）、服務(wù)建立的入侵檢測與響應(yīng)體系，實(shí)時檢測出攻擊傾向和行為，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接和服務(wù)、記錄攻擊過程、加強(qiáng)審計等）。4、 加密保護(hù)。主動的加密通信，可使攻擊者不能了解、修改敏感信息（如vpn方式）或數(shù)據(jù)加密通信方式；對保密或敏感數(shù)據(jù)進(jìn)行加密存儲，可防止竊取或丟失。5、 備份和恢復(fù)。良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。6、 監(jiān)控與審計。在辦公網(wǎng)絡(luò)和主要業(yè)務(wù)網(wǎng)絡(luò)內(nèi)配置集中管理、分布式控制的監(jiān)控與審計系統(tǒng)。一方面以計算機(jī)終端為單元強(qiáng)化桌面計算的內(nèi)外安全控制與日志記錄；另一方面通過集中管理方式對內(nèi)部所有計算機(jī)終端的安全態(tài)勢予以掌控。邊界安全解決方案在利用公共網(wǎng)絡(luò)與外部進(jìn)行連接的“內(nèi)”外網(wǎng)絡(luò)邊界處使用防火墻，為“內(nèi)部”網(wǎng)絡(luò)（段）與“外部”網(wǎng)絡(luò)（段）劃定安全邊界。在網(wǎng)絡(luò)內(nèi)部進(jìn)行各種連接的地方使用帶防火墻功能的vpn設(shè)備，在進(jìn)行“內(nèi)”外網(wǎng)絡(luò)（段）的隔離的同時建立網(wǎng)絡(luò)（段）之間的安全通道。1、防火墻應(yīng)具備如下功能：使用nat把dmz區(qū)的服務(wù)器和內(nèi)部端口影射到firewall的對外端口；允許internet公網(wǎng)用戶訪問到dmz區(qū)的應(yīng)用服務(wù)：http、ftp、smtp、dns等；允許dmz區(qū)內(nèi)的工作站與應(yīng)用服務(wù)器訪問internet公網(wǎng)；允許內(nèi)部用戶訪問dmz的應(yīng)用服務(wù)：http、ftp、smtp、dns、pop3、https；允許內(nèi)部網(wǎng)用戶通過代理訪問internet公網(wǎng)；禁止internet公網(wǎng)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)和非法訪問dmz區(qū)應(yīng)用服務(wù)器；禁止dmz區(qū)的公開服務(wù)器訪問內(nèi)部網(wǎng)絡(luò)；防止來自internet的dos一類的攻擊；能接受入侵檢測的聯(lián)動要求，可實(shí)現(xiàn)對實(shí)時入侵的策略響應(yīng)；對所保護(hù)的主機(jī)的常用應(yīng)用通信協(xié)議（http、ftp、telnet、smtp）能夠替換服務(wù)器的banner信息，防止惡意用戶信息刺探；提供日志報表的自動生成功能，便于事件的分析；提供實(shí)時的網(wǎng)絡(luò)狀態(tài)監(jiān)控功能，能夠?qū)崟r的查看網(wǎng)絡(luò)通信行為的連接狀態(tài)（當(dāng)前有那些連接、正在連接的ip、正在關(guān)閉的連接等信息），通信數(shù)據(jù)流量。提供連接查詢和動態(tài)圖表顯示。防火墻自身必須是有防黑客攻擊的保護(hù)能力。2、帶防火墻功能的vpn設(shè)備是在防火墻基本功能（隔離和訪問控制）基礎(chǔ)上，通過功能擴(kuò)展，同時具有在ip層構(gòu)建端到端的具有加密選項(xiàng)功能的esp隧道能力，這類設(shè)備也有svpn的，主要用于通過外部網(wǎng)絡(luò)（公共通信基礎(chǔ)網(wǎng)絡(luò)）將兩個或兩個以上"內(nèi)部”局域網(wǎng)安全地連接起來，一般要求svpn應(yīng)具有一下功能：防火墻基本功能，主要包括：ip包過慮、應(yīng)用代理、提供dmz端口和nat功能等（有些功能描述與上相同）；具有對連接兩端的實(shí)體鑒別認(rèn)證能力；支持移動用戶遠(yuǎn)程的安全接入；支持ipesp隧道內(nèi)傳輸數(shù)據(jù)的完整性和機(jī)密性保護(hù)；提供系統(tǒng)內(nèi)密鑰管理功能；svpn設(shè)備自身具有防黑客攻擊以及網(wǎng)上設(shè)備認(rèn)證的能力。入侵檢測與響應(yīng)方案在網(wǎng)絡(luò)邊界配置入侵檢測設(shè)備，不僅是對防火墻功能的必要補(bǔ)充，而且可與防火墻一起構(gòu)建網(wǎng)絡(luò)邊界的防御體系。通過入侵檢測設(shè)備對網(wǎng)絡(luò)行為和流量的特征分析，可以檢測出侵害“內(nèi)部”網(wǎng)絡(luò)或?qū)ν庑孤┑木W(wǎng)絡(luò)行為和流量，與防火墻形成某種協(xié)調(diào)關(guān)系的互動，從而在“內(nèi)部”網(wǎng)與外部網(wǎng)的邊界處形成保護(hù)體系。入侵檢測系統(tǒng)的基本功能如下：通過檢測引擎對各種應(yīng)用協(xié)議，操作系統(tǒng)，網(wǎng)絡(luò)交換的數(shù)據(jù)進(jìn)行分析，檢測出網(wǎng)絡(luò)入侵事件和可疑操作行為。對自身的數(shù)據(jù)庫進(jìn)行自動維護(hù)，無需人工干預(yù)，并且不對網(wǎng)絡(luò)的正常運(yùn)行造成任何干擾。采取多種報警方式實(shí)時報警、音響報警，信息記錄到數(shù)據(jù)庫，提供電子郵件報警、syslog報警、snmptrap報警、windows日志報警、windows消息報警信息，并按照預(yù)設(shè)策略，根據(jù)提供的報警信息切斷攻擊連接。與防火墻建立協(xié)調(diào)聯(lián)動，運(yùn)行自定義的多種響應(yīng)方式，及時阻隔或消除異常行為。全面查看網(wǎng)絡(luò)中發(fā)生的所有應(yīng)用和連接，完整的顯示當(dāng)前網(wǎng)絡(luò)連接狀態(tài)。可對網(wǎng)絡(luò)中的攻擊事件，訪問記錄進(jìn)行適時查詢，并可根據(jù)查詢結(jié)果輸出圖文報表，能讓管理人員方便的提取信息。入侵檢測系統(tǒng)猶如攝像頭、監(jiān)視器，在可疑行為發(fā)生前有預(yù)警，在攻擊行為發(fā)生時有報警，在攻擊事件發(fā)生后能記錄，做到事前、事中、事后有據(jù)可查。漏洞掃描方案除利用入侵檢測設(shè)備檢測對網(wǎng)絡(luò)的入侵和異常流量外，還需要針對主機(jī)系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機(jī)漏洞掃描可以主動發(fā)現(xiàn)主機(jī)系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞，并提醒系統(tǒng)管理員對該缺陷和漏洞進(jìn)行修補(bǔ)或堵塞。對于漏洞掃描的結(jié)果，一般可以按掃描提示信息和建議，屬外購標(biāo)準(zhǔn)產(chǎn)品問題的，應(yīng)及時升級換代或安裝補(bǔ)丁程序；屬委托開發(fā)的產(chǎn)品問題的，應(yīng)與開發(fā)商協(xié)議修改程序或安裝補(bǔ)丁程序；屬于系統(tǒng)配置出現(xiàn)的問題，應(yīng)建議系統(tǒng)管理員修改配置參數(shù)，或視情況關(guān)閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢的必要輔助，對使用這一工具的安全管理員或系統(tǒng)管理員有較高的技術(shù)素質(zhì)要求?？紤]到漏洞掃描能檢測出防火墻策略配置中的問題，能與入侵檢測形成很好的互補(bǔ)關(guān)系：漏洞掃描與評估系統(tǒng)使系統(tǒng)管理員在事前掌握主動地位，在攻擊事件發(fā)生前找出并關(guān)閉安全漏洞；而入侵檢測系統(tǒng)則對系統(tǒng)進(jìn)行監(jiān)測以期在系統(tǒng)被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測在安全保護(hù)方面不但有共同的安全目標(biāo)，而且關(guān)系密切。本方案建議采購將入侵檢測、管理控制中心、與漏洞掃描一體化集成的產(chǎn)品，不但可以簡化管理，而且便于漏洞掃描、入侵檢測和防火墻之間的協(xié)調(diào)動作。網(wǎng)絡(luò)防病毒方案網(wǎng)絡(luò)防病毒產(chǎn)品較為成熟，且有幾種主流產(chǎn)品。本方案建議，網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)具備下列功能：網(wǎng)絡(luò)&單機(jī)防護(hù)提供服務(wù)器病毒防護(hù)；郵件服務(wù)器防護(hù)在smtp,http，和ftpservergateway阻擋計算機(jī)病毒；集中管理soc），建立起集團(tuán)的安全風(fēng)險監(jiān)控體系，利于從全局的角度發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問題，并及時歸并相關(guān)人員處理。這里的風(fēng)險監(jiān)控體系包括安全信息庫、安全事件收集管理系統(tǒng)、安全工單系統(tǒng)等，同時開發(fā)有效的多種手段實(shí)時告警系統(tǒng)，定制高效的安全報表系統(tǒng)。五、網(wǎng)絡(luò)管理：（1）故障管理故障管理是網(wǎng)絡(luò)管理中最基本的功能之一。用戶都希望有一個可靠的計算機(jī)網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)中某個組成失效時，網(wǎng)絡(luò)管理器必須迅速查找到故障并及時排除。通常不大可能迅速隔離某個故障，因?yàn)榫W(wǎng)絡(luò)故障的產(chǎn)生原因往往相當(dāng)復(fù)雜，特別是當(dāng)故障是由多個網(wǎng)絡(luò)組成共同引起的。在此情況下,一般先將網(wǎng)絡(luò)修復(fù)，然后再分析網(wǎng)絡(luò)故障的原因。分析故障原因?qū)τ诜乐诡愃乒收系脑侔l(fā)生相當(dāng)重要。網(wǎng)絡(luò)故障管理包括故障檢測、隔離和糾正三方面，應(yīng)包括以下典型功能：（1）故障監(jiān)測：主動探測或被動接收網(wǎng)絡(luò)上的各種事件信息，并識別出其中與網(wǎng)絡(luò)和系統(tǒng)故障相關(guān)的內(nèi)容，對其中的關(guān)鍵部分保持跟蹤，生成網(wǎng)絡(luò)故障事件記錄。（2）故障報警：接收故障監(jiān)測模塊傳來的報警信息，根據(jù)報警策略驅(qū)動不同的報警程序，以報警窗口/振鈴（通知一線網(wǎng)絡(luò)管理人員）或電子郵件（通知決策管理人員）發(fā)出網(wǎng)絡(luò)嚴(yán)重故障警報。（3）故障信息管理：依靠對事件記錄的分析，定義網(wǎng)絡(luò)故障并生成故障卡片，記錄排除故障的步驟和與故障相關(guān)的值班員日志，構(gòu)造排錯行動記錄，將事件-故障-日志構(gòu)成邏輯上相互關(guān)聯(lián)的整體，以反映故障產(chǎn)生、變化、消除的整個過程的各個方面。（4）排錯支持工具：向管理人員提供一系列的實(shí)時檢測工具，對被管設(shè)備的狀況進(jìn)行測試并記錄下測試結(jié)果以供技術(shù)人員分析和排錯；根據(jù)已有的徘錯經(jīng)驗(yàn)和管理員對故障狀態(tài)的描述給出對徘錯行動的提示。（5）檢索/分析故障信息：瀏閱并且以關(guān)鍵字檢索查詢故障管理系統(tǒng)中所有的數(shù)據(jù)庫記錄，定期收集故障記錄數(shù)據(jù)，在此基礎(chǔ)上給出被管網(wǎng)絡(luò)系統(tǒng)、被管線路設(shè)備的可靠性參數(shù)。對網(wǎng)絡(luò)故障的檢測依據(jù)對網(wǎng)絡(luò)組成部件狀態(tài)的監(jiān)測。不嚴(yán)重的簡單故障通常被記錄在錯誤日志中，并不作特別處理；而嚴(yán)重一些的故障則需要通知網(wǎng)絡(luò)管理器，即所謂的”警報”。一般網(wǎng)絡(luò)管理器應(yīng)根據(jù)有關(guān)信息對警報進(jìn)行處理，排除故障。當(dāng)故障比較復(fù)雜時，網(wǎng)絡(luò)管理器應(yīng)能執(zhí)行一些診斷測試來辨別故障原因。（2）計費(fèi)管理計費(fèi)管理記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費(fèi)用和代價。它對一些公共商業(yè)網(wǎng)絡(luò)尤為重要。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費(fèi)用和代價，以及已經(jīng)使用的資源。網(wǎng)絡(luò)管理員還可規(guī)定用戶可使用的最大費(fèi)用，從而控制用戶過多占用和使用網(wǎng)絡(luò)資源。這也從另一方面提高了網(wǎng)絡(luò)的效率。另外，當(dāng)用戶為了一個通信目的需要使用多個網(wǎng)絡(luò)中的資源時，計費(fèi)管理應(yīng)可計算總計費(fèi)用。（1）計費(fèi)數(shù)據(jù)采集：計費(fèi)數(shù)據(jù)采集是整個計費(fèi)系統(tǒng)的基礎(chǔ)，但計費(fèi)數(shù)據(jù)采集往往受到采集設(shè)備硬件與軟件的制約，而且也與進(jìn)行計費(fèi)的網(wǎng)絡(luò)資源有關(guān)。（2）數(shù)據(jù)管理與數(shù)據(jù)維護(hù)：計費(fèi)管理人工交互性很強(qiáng)，雖然有很多數(shù)據(jù)維護(hù)系統(tǒng)自動完成，但仍然需要人為管理，包括交納費(fèi)用的輸入、聯(lián)網(wǎng)單位信息維護(hù)，以及賬單樣式?jīng)Q定等。（3）計費(fèi)政策制定；由于計費(fèi)政策經(jīng)常靈活變化，因此實(shí)現(xiàn)用戶自由制定輸入計費(fèi)政策尤其重要。這樣需要一個制定計費(fèi)政策的友好人機(jī)界面和完善的實(shí)現(xiàn)計費(fèi)政策的數(shù)據(jù)模型。（4）政策比較與決策支持：計費(fèi)管理應(yīng)該提供多套計費(fèi)政策的數(shù)據(jù)比較，為政策制訂提供決策依據(jù)。（5）數(shù)據(jù)分析與費(fèi)用計算：利用采集的網(wǎng)絡(luò)資源使用數(shù)據(jù)，聯(lián)網(wǎng)用戶的詳細(xì)信息以及計費(fèi)政策計算網(wǎng)絡(luò)用戶資源的使用情況，并計算出應(yīng)交納的費(fèi)用。（6）數(shù)據(jù)查詢：提供給每個網(wǎng)絡(luò)用戶關(guān)于自身使用網(wǎng)絡(luò)資源情況的詳細(xì)信息，網(wǎng)絡(luò)用戶根據(jù)這些信息可以計算、核對自己的收費(fèi)情況。（3）配置管理配置管理同樣相當(dāng)重要。它初始化網(wǎng)絡(luò)、并配置網(wǎng)絡(luò)，以使其提供網(wǎng)絡(luò)服務(wù)。配置管理是一組對辨別、定義、控制和監(jiān)視組成一個通信網(wǎng)絡(luò)的對象所必要的相關(guān)功能，目的是為了實(shí)現(xiàn)某個特定功能或使網(wǎng)絡(luò)性能達(dá)到最優(yōu)。（1）配置信息的自動獲?。涸谝粋€大型網(wǎng)絡(luò)中，需要管理的設(shè)備是比較多的，如果每個設(shè)備的配置信息都完全依靠管理人員的手工輸入，工作量是相當(dāng)大的，而且還存在出錯的可能性。對于不熟悉網(wǎng)絡(luò)結(jié)構(gòu)的人員來說，這項(xiàng)工作甚至無法完成‘因此，一個先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具有配置信息自動獲取功能。即使在管理人員不是很熟悉網(wǎng)絡(luò)結(jié)構(gòu)和配置狀況的情況下，也能通過有關(guān)的技術(shù)手段來完成對網(wǎng)絡(luò)的配置和管理。在網(wǎng)絡(luò)設(shè)備的配置信息中，根據(jù)獲取手段大致可以分為三類：一類是網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)的mib中定義的配置信息（包括snmp；和cmip協(xié)議）；二類是不在網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中有定義，但是對設(shè)備運(yùn)行比較重要的配置信息；三類就是用于管理的一些輔助信息。（2）自動配置、自動備份及相關(guān)技術(shù)：配置信息自動獲取功能相當(dāng)于從網(wǎng)絡(luò)設(shè)備中“讀”信息，相應(yīng)的，在網(wǎng)絡(luò)管理應(yīng)用中還有大量“寫''信息的需求。同樣根據(jù)設(shè)置手段對網(wǎng)絡(luò)配置信息進(jìn)行分類：一類是可以通過網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中定義的方法（如snmp中的set服務(wù)）進(jìn)行設(shè)置的配置信息；二類是可以通過自動登錄到設(shè)備進(jìn)行配置的信息；三類就是需要修改的管理性配置信息。（3）配置一致性檢查：在一個大型網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)設(shè)備眾多，而且由于管理的原因，這些設(shè)備很可能不是由同一個管理人員進(jìn)行配置的。實(shí)際上'即使是同一個管理員對設(shè)備進(jìn)行的配置，也會由于各種原因?qū)е屡渲靡恢滦詥栴}。因此，對整個網(wǎng)絡(luò)的配置情況進(jìn)行一致性檢查是必需的。在網(wǎng)絡(luò)的配置中，對網(wǎng)絡(luò)正常運(yùn)行影響最大的主要是路由器端口配置和路由信息配置，因此，要進(jìn)行、致性檢查的也主要是這兩類信息。（4）用戶操作記錄功能：配置系統(tǒng)的安全性是整個網(wǎng)絡(luò)管理系統(tǒng)安全的核心，因此，必須對用戶進(jìn)行的每一配置操作進(jìn)行記錄。在配置管理中，需要對用戶操作進(jìn)行記錄，并保存下來。管理人員可以隨時查看特定用戶在特定時間內(nèi)進(jìn)行的特定配置操作。（4）性能管理（performancemanagement）性能管理估價系統(tǒng)資源的運(yùn)行狀況及通信效率等系統(tǒng)性能。其能力包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供服務(wù)的性能機(jī)制。性能分析的結(jié)果可能會觸發(fā)某個診斷測試過程或重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能。性能管理收集分析有關(guān)被管網(wǎng)絡(luò)當(dāng)前狀況的數(shù)據(jù)信息，并維持和分析性能日志。一些典型的功能包括：（1）性能監(jiān)控：由用戶定義被管對象及其屬性。被管對象類型包括線路和路由器；被管對象屬性包括流量、延遲、丟包率、cpu利用率、溫度、內(nèi)存余量。對于每個被管對象，定時采集性能數(shù)據(jù)，自動生成性能報告。（2）閾值控制：可對每一個被管對象的每一條屬性設(shè)置閾值，對于特定被管對象的特定屬性，可以針對不同的時間段和性能指標(biāo)進(jìn)行閾值設(shè)置?？赏ㄟ^設(shè)置閾值檢查開關(guān)控制閡值檢查和告警，提供相應(yīng)的閾值管理和溢出告警機(jī)制。（3）性能分橋：對歷史數(shù)據(jù)進(jìn)行分析，統(tǒng)計和整理，計算性能指標(biāo)，對性能狀況作出判斷，為網(wǎng)絡(luò)規(guī)劃提供參考。（4）可視化的性能報告：對數(shù)據(jù)進(jìn)行掃描和處理，生成性能趨勢曲線，以直觀的圖形反映性能分析的結(jié)果。（5）實(shí)時性能監(jiān)控：提供了一系列實(shí)時數(shù)據(jù)采集；分析和可視化工具，用以對流量、負(fù)載、丟包、溫度、內(nèi)存、延遲等網(wǎng)絡(luò)設(shè)備和線路的性能指標(biāo)進(jìn)行實(shí)時檢測，可任意設(shè)置數(shù)據(jù)采集間隔。（6）網(wǎng)絡(luò)對象性能查詢：可通過列表或按關(guān)鍵字檢索被管網(wǎng)絡(luò)對象及其屬性的性能記錄。（5）安全管理安全性一直是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一，而用戶對網(wǎng)絡(luò)安全的要求又相當(dāng)高，因此網(wǎng)絡(luò)安全管理非常重要。網(wǎng)絡(luò)中主要有以下幾大安全問題：網(wǎng)絡(luò)數(shù)據(jù)的私有性（保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲取），授權(quán)（authentication^防止侵入者在網(wǎng)絡(luò)上發(fā)送錯誤信息），訪問控制（控制訪問控制（控制對網(wǎng)絡(luò)資源的訪問）。相應(yīng)的，網(wǎng)絡(luò)安全管理應(yīng)包括對授權(quán)機(jī)制、訪問控制、加密和加密關(guān)鍵字的管理，另外還要維護(hù)和檢查安全日志。包括：網(wǎng)絡(luò)管理過程中，存儲和傳輸?shù)墓芾砗涂刂菩畔W(wǎng)絡(luò)的運(yùn)行和管理至關(guān)重要，一旦泄密、被篡