杭州華三通信技術(shù)有限公司在規(guī)劃（————）信息系統(tǒng)安全時(shí)，我們將遵循以下原則，以這些原則為基礎(chǔ)，提供完善的體系化的整體網(wǎng)絡(luò)安全解決方案通過(guò)分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系、安全需求要素以及動(dòng)態(tài)的實(shí)施過(guò)程，提出科學(xué)的安全體系和安全模型，并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險(xiǎn)，針對(duì)這些風(fēng)險(xiǎn)安全解決方案的設(shè)計(jì)從全局出發(fā)，綜合考慮信息資產(chǎn)的價(jià)值、所面臨的安全風(fēng)險(xiǎn)，平衡兩者之間的關(guān)系，根據(jù)信息資產(chǎn)價(jià)值的大小和面臨風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。方案應(yīng)該針對(duì)（————）制定統(tǒng)一技術(shù)和管理方案，采取相同的技術(shù)路線，實(shí)現(xiàn)統(tǒng)一安全形成一個(gè)閉環(huán)的動(dòng)態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)。安全方案必須架構(gòu)在科學(xué)的安全體系和安全模型之上，因?yàn)榘踩Ｐ褪前踩桨冈O(shè)計(jì)和分析的基礎(chǔ)。只有在先進(jìn)的網(wǎng)絡(luò)安全理論模型的基礎(chǔ)上，才能夠有效地實(shí)現(xiàn)我們?cè)谏厦娣治龅木W(wǎng)絡(luò)安全系統(tǒng)規(guī)劃的基本原則，從而保證整個(gè)網(wǎng)絡(luò)安全解決方案的先進(jìn)性。為了系統(tǒng)、科學(xué)地分析網(wǎng)絡(luò)安全方案涉及的各種安全問(wèn)題，在大量理論分析和調(diào)查研究的基有效的分析與合理規(guī)劃。下面我們對(duì)此網(wǎng)絡(luò)安全模型進(jìn)行具體的闡述和說(shuō)明：（intelligence集成的（integrated定制的（individuality）的網(wǎng)絡(luò)安全解決方案，真正進(jìn)行劃分，層次的劃分依據(jù)信息體系的建設(shè)結(jié)構(gòu)，把整個(gè)信息體系劃分為網(wǎng)絡(luò)層：提供象的層次的劃分，可以以不同的層次對(duì)象為目標(biāo)，分析這些層次對(duì)不同的安全服務(wù)要素的需求情況，進(jìn)行層次化的、有針對(duì)性的系統(tǒng)安全需求分析。這個(gè)維度從實(shí)際的信息系統(tǒng)結(jié)構(gòu)的組成的角度，對(duì)信息系統(tǒng)進(jìn)行模塊化的劃分。基需要進(jìn)行組合或者細(xì)化，進(jìn)行模塊劃分的主要目的是為前面相對(duì)抽象的安全需求分析提供具體可實(shí)施的對(duì)象，保證整個(gè)安全措施有效可實(shí)施性。這個(gè)維度主要描述一個(gè)完善的網(wǎng)絡(luò)安全體系建設(shè)的流程，這個(gè)流程主要的參考P2DR保護(hù)(Protect)、檢測(cè)(Detect)、響應(yīng)(Respond)以及改進(jìn)(Improve)，形成一個(gè)閉環(huán)的網(wǎng)絡(luò)安全措施流程。貫穿于上述三個(gè)維度，以及各個(gè)維度內(nèi)部各個(gè)層次的是安全管理，我們認(rèn)為，全面的安全管理是信息網(wǎng)絡(luò)安全的一個(gè)基本保證，只有通過(guò)切實(shí)的安全管理，才能夠保證各保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)只是配合安全管理的有效的輔助措施。通過(guò)上述三維安全理論模型，我們可以比較清晰的分析出在一個(gè)信息網(wǎng)絡(luò)系統(tǒng)中，不同系統(tǒng)層次有各自的特點(diǎn)，對(duì)安全服務(wù)要素的不同的需求的強(qiáng)度，依據(jù)這些安全服務(wù)要素需求的重點(diǎn)不同，基于這些層次對(duì)應(yīng)的實(shí)際結(jié)構(gòu)模塊，有針對(duì)性地采用一些安全技術(shù)和安全產(chǎn)品來(lái)實(shí)現(xiàn)這些安全服務(wù)要素，這些措施形成本層次的安全防護(hù)面，不同的層次相互組合銜接，形成一個(gè)立體的網(wǎng)絡(luò)安全防御體系。在下面的（————）信息系統(tǒng)安全方案設(shè)計(jì)中，我們將首先通過(guò)信息網(wǎng)絡(luò)的層次劃分，把決方案，最后形成一個(gè)全面的安全解決方案。同時(shí)在方案的設(shè)計(jì)過(guò)程中，遵循我們安全理論模型中的業(yè)務(wù)流程體系，對(duì)所采取的安全措施進(jìn)行實(shí)施階段的劃分，形成一個(gè)動(dòng)態(tài)的、可調(diào)整的具有強(qiáng)大實(shí)施能力的整體安全解決方案。另外，我們認(rèn)為，網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的全面的有機(jī)整體，傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品單獨(dú)羅列在網(wǎng)絡(luò)之上的單點(diǎn)防御部署方法，事實(shí)已經(jīng)證明不能夠及時(shí)有效的解決網(wǎng)絡(luò)的威脅，網(wǎng)絡(luò)安全已經(jīng)進(jìn)入人民戰(zhàn)爭(zhēng)階段，必須有效整合網(wǎng)絡(luò)中的每一個(gè)節(jié)點(diǎn)設(shè)備資源，通過(guò)加固、聯(lián)動(dòng)、嵌入等多種技術(shù)手段使安全因素DNA滲透到網(wǎng)絡(luò)的每一個(gè)設(shè)備中，為用戶提供一個(gè)可實(shí)現(xiàn)可管理的安全網(wǎng)有安全特征的網(wǎng)絡(luò)基礎(chǔ)設(shè)備、能夠與核心路由器、交換機(jī)聯(lián)動(dòng)的安全設(shè)備，安全設(shè)備間聯(lián)動(dòng)、核在此核心設(shè)備上，向下分為二級(jí)交換結(jié)構(gòu)。用來(lái)連接內(nèi)部各個(gè)網(wǎng)段。以前面介紹的三維安全理論模型為基礎(chǔ)，參照我們進(jìn)行的信息網(wǎng)絡(luò)系統(tǒng)的層次劃分，我們認(rèn)為整個(gè)網(wǎng)絡(luò)安全系統(tǒng)可以劃分為以下幾個(gè)層次，分別為：1.網(wǎng)絡(luò)層：核心的安全需求為保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃院桶踩裕婪兑驗(yàn)槲锢斫橘|(zhì)、信號(hào)輻射等造成的安全風(fēng)險(xiǎn)，保證整體網(wǎng)絡(luò)結(jié)構(gòu)的安全，保證網(wǎng)絡(luò)設(shè)備配置的安全、同時(shí)提供網(wǎng)絡(luò)層有效的訪問(wèn)控制能力、提供對(duì)網(wǎng)絡(luò)攻擊的實(shí)時(shí)檢測(cè)能力等。2.系統(tǒng)層：核心的安全需求為能夠提供機(jī)密的、可用的網(wǎng)絡(luò)應(yīng)用服務(wù)，包括業(yè)務(wù)數(shù)據(jù)存儲(chǔ)3.管理層：嚴(yán)格規(guī)范的管理制度是保證一個(gè)復(fù)雜網(wǎng)絡(luò)安全運(yùn)行的必要條件，通過(guò)提供安全控、分析、統(tǒng)計(jì)和安全機(jī)制的下發(fā)，既便于信息的及時(shí)反饋和交換，又便于全網(wǎng)統(tǒng)一的安全管理策略的形成。4.應(yīng)用層：核心的安全需求為保證用戶節(jié)點(diǎn)的安全需求，保證用戶操作系統(tǒng)平臺(tái)的安全，防范網(wǎng)絡(luò)防病毒的攻擊，提高用戶節(jié)點(diǎn)的攻擊防范和檢測(cè)能力；同時(shí)加強(qiáng)對(duì)用戶的網(wǎng)絡(luò)安全體系總體結(jié)構(gòu)安全體系總體結(jié)構(gòu)下面我們將通過(guò)分析在前面描述的德州環(huán)抱局的網(wǎng)絡(luò)及應(yīng)用現(xiàn)狀，全面分析歸納出在不同層安全管理制度管理層安全應(yīng)用層安全城域數(shù)據(jù)網(wǎng)系統(tǒng)層安全計(jì)算機(jī)病毒防范安全應(yīng)用平臺(tái)應(yīng)用系統(tǒng)安全機(jī)制數(shù)據(jù)庫(kù)安全機(jī)制網(wǎng)絡(luò)層的核心的安全需求為保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃院桶踩?，存在的安全風(fēng)險(xiǎn)主要包括局域網(wǎng)線路采用綜合布線系統(tǒng)，基本不存在太大的物理安全問(wèn)題。廣域通信線路的取了足夠的物理保護(hù)措施以及線路冗余措施；如果是獨(dú)立進(jìn)行的線路鋪設(shè)，需要采或者光通信等方式，相對(duì)來(lái)說(shuō)信號(hào)輻射造成的安全風(fēng)險(xiǎn)不是太大，在一般安全需求強(qiáng)度的應(yīng)用環(huán)境下，不需要采取太多的防范措施。2)網(wǎng)絡(luò)結(jié)構(gòu)以及網(wǎng)絡(luò)數(shù)據(jù)流通模式的風(fēng)險(xiǎn)：現(xiàn)有主要的網(wǎng)絡(luò)結(jié)構(gòu)為星形、樹形、環(huán)形以及網(wǎng)狀，隨著網(wǎng)絡(luò)節(jié)點(diǎn)間的連接密度的增加，整個(gè)網(wǎng)絡(luò)提供的線路冗余能力也會(huì)增加，提供的網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)模式會(huì)更靈活，整個(gè)網(wǎng)絡(luò)可靠性和可用性也會(huì)大大的增加。網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵?，是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，各種網(wǎng)絡(luò)設(shè)備全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證?；诰W(wǎng)絡(luò)協(xié)議的缺陷，尤其是TCP/IP協(xié)議的開放特性，帶來(lái)了非常大的安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)數(shù)據(jù)在傳輸?shù)倪^(guò)程中，很可能被通過(guò)各種方式竊取，因此保證數(shù)據(jù)在傳輸?shù)倪^(guò)程中機(jī)密性（保證數(shù)據(jù)傳遞的信息不被第三方獲得），完整性（保證數(shù)據(jù)在傳遞過(guò)程中不被人修改）是非常重要的，尤其是在傳遞的信息的價(jià)值不斷提高情況下。業(yè)務(wù)系統(tǒng)的可靠性和可用性是網(wǎng)絡(luò)安全的一個(gè)很重要的特性，必須保證業(yè)務(wù)系統(tǒng)硬件平臺(tái)（主要是大量的服務(wù)器）以及數(shù)據(jù)硬件平臺(tái)（主要是存儲(chǔ)系統(tǒng)）的可靠性。2)操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺(tái)的安全風(fēng)險(xiǎn)：通過(guò)對(duì)各種流行的網(wǎng)絡(luò)攻擊行為的分析，可以發(fā)現(xiàn)絕大多數(shù)的攻擊是利用各種操作系統(tǒng)和一些網(wǎng)絡(luò)服務(wù)平臺(tái)存在的一些已公開的安全漏洞發(fā)起，因此，杜絕各種操作3)用戶對(duì)業(yè)務(wù)訪問(wèn)的有效的記錄和審計(jì)：業(yè)務(wù)系統(tǒng)必須能夠?qū)τ脩舻母鞣N訪問(wèn)行為進(jìn)行詳細(xì)的記錄，以便進(jìn)行事后查證。1）用戶身份認(rèn)證及資源訪問(wèn)權(quán)限的控制：不同部門、不同人員能夠訪問(wèn)的資源都不一樣，因此需要嚴(yán)格區(qū)分用戶的身份，設(shè)置合理的訪問(wèn)權(quán)限，保證信息可以在被有效控制下共享。網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜，接入網(wǎng)絡(luò)的用戶也越來(lái)越多，必須能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取一定的控制措施，有效控制不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信，以此來(lái)控制網(wǎng)絡(luò)元素間的互訪能力，避免網(wǎng)絡(luò)濫用，同時(shí)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的有效的隔離，把安全風(fēng)險(xiǎn)隔離在相對(duì)比較獨(dú)立以及比較小的網(wǎng)絡(luò)區(qū)域。首先需要對(duì)用戶接入網(wǎng)絡(luò)的能力進(jìn)行控制，同時(shí)需要更細(xì)粒度的訪問(wèn)控制，尤其是在此基礎(chǔ)之上，必須能夠進(jìn)行縝密的行為審計(jì)管理。4)用戶操作系統(tǒng)平臺(tái)安全漏洞的風(fēng)險(xiǎn)：大部分的網(wǎng)絡(luò)攻擊行為以及網(wǎng)絡(luò)病毒的傳播都是由于操作系統(tǒng)平臺(tái)本身存在的安全漏洞，微軟不斷發(fā)布系統(tǒng)補(bǔ)丁即是明證，因此必須有效避免系統(tǒng)漏洞造成的安全風(fēng)險(xiǎn)，同時(shí)對(duì)操作系統(tǒng)的安全機(jī)制進(jìn)行合理的配置。5)用戶主機(jī)遭受網(wǎng)絡(luò)病毒攻擊的風(fēng)險(xiǎn)：網(wǎng)絡(luò)給病毒的傳播提供了很好的路徑，網(wǎng)絡(luò)病毒傳播速度之快、危害之大是令人吃驚的，特別是最近開始流行的一些蠕蟲病毒，更是防不勝防，環(huán)境下必須建設(shè)全面6)針對(duì)用戶主機(jī)網(wǎng)絡(luò)攻擊的安全風(fēng)險(xiǎn)：目前Internet上有各種完善的網(wǎng)絡(luò)攻擊工具，在局域網(wǎng)的環(huán)境下，這種攻部攻擊成功的概率要遠(yuǎn)遠(yuǎn)高于來(lái)自于Internet的攻擊，造成的后果也嚴(yán)重的多。通過(guò)以上分析————）網(wǎng)絡(luò)系統(tǒng)最迫切需要解決的問(wèn)題包括：1在網(wǎng)絡(luò)邊界部署防火墻系統(tǒng)，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問(wèn)控制；對(duì)常見的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊（pingof欺騙(ipspoofing)、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶3部署全網(wǎng)統(tǒng)一的防病毒系統(tǒng)，保護(hù)系統(tǒng)免受病毒威脅。4提供終端用戶行為管理工具，強(qiáng)制規(guī)范終端用戶行為，終端用戶安全策略集中下發(fā)，實(shí)5網(wǎng)絡(luò)中部署的各種安全產(chǎn)品不再孤立，提供多種安全產(chǎn)品/網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)防御，防火墻，IPS，交換機(jī)，防病毒、身份認(rèn)證，策略管理、終端用戶行為規(guī)范工具之間能夠集中聯(lián)6提供靈活智能的安全策略/設(shè)備集中管理中心平臺(tái)，制定符合（————）實(shí)際需求的3.1.（————）網(wǎng)絡(luò)安全總體方案在（————）總體安全規(guī)劃設(shè)計(jì)中，我們將按照安全風(fēng)險(xiǎn)防護(hù)與安全投資之間的平衡原則從而建立起全防御體系的信息安全框架。由此，在本期總體安全規(guī)劃建設(shè)中，應(yīng)主要針對(duì)（————）的薄弱環(huán)節(jié)，構(gòu)建完善的網(wǎng)絡(luò)邊界防范措施、網(wǎng)絡(luò)內(nèi)部入侵防御機(jī)制、完善的防病毒機(jī)制、增強(qiáng)的網(wǎng)絡(luò)抗攻擊能力以及網(wǎng)絡(luò)系統(tǒng)漏洞安全評(píng)估分析機(jī)制等。詳細(xì)描述如下：在著內(nèi)部或外部人員的非授權(quán)訪問(wèn)、有意無(wú)意的掃描、探測(cè)，甚至惡意的攻擊等安全威脅，而防在互聯(lián)網(wǎng)出口出部署防火墻系統(tǒng)，建議配置兩臺(tái)高性能千兆防火墻組成雙機(jī)熱備系統(tǒng)，以保證網(wǎng)絡(luò)高可用性。在互聯(lián)網(wǎng)出口、內(nèi)網(wǎng)出口等邊界處利用防火墻技術(shù)，經(jīng)過(guò)仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之還需要通過(guò)對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行主動(dòng)防護(hù)來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性。因此————）系統(tǒng)安全體護(hù)能力能夠不斷增強(qiáng)。目前網(wǎng)絡(luò)入侵安全問(wèn)題主要采用網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)和入侵防御系統(tǒng)等成熟產(chǎn)品和技術(shù)來(lái)解決。因此，需要在外網(wǎng)交換機(jī)、內(nèi)網(wǎng)交換機(jī)和服務(wù)器前端等流量主通路上配置相關(guān)的千兆或百兆IPS系統(tǒng)，負(fù)責(zé)辨別并且阻斷各種基于應(yīng)用的網(wǎng)絡(luò)攻擊和危險(xiǎn)應(yīng)用，同時(shí)實(shí)現(xiàn)基于應(yīng)用的網(wǎng)絡(luò)管理，達(dá)到網(wǎng)絡(luò)安全、健壯和流暢運(yùn)行的最終目的網(wǎng)絡(luò)安全問(wèn)題的解決，三分靠技術(shù)，七分靠管理，嚴(yán)格管理是（————）網(wǎng)絡(luò)用戶免受網(wǎng)絡(luò)安全問(wèn)題威脅的重要措施。事實(shí)上，用戶終端都缺乏有效的制度和手段管理網(wǎng)絡(luò)安全。網(wǎng)絡(luò)用戶不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁、升級(jí)病毒庫(kù)的現(xiàn)象普遍存在；隨意接入網(wǎng)絡(luò)、私設(shè)代理服務(wù)器、私自訪問(wèn)保密資源等行為在企業(yè)網(wǎng)中也比比皆是。管理的欠缺不僅會(huì)直接影響用戶網(wǎng)絡(luò)的正常運(yùn)行，還可能使機(jī)關(guān)蒙受巨大的損失。為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足，應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)需要從用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及防病毒軟件產(chǎn)品、軟件補(bǔ)丁管理產(chǎn)品的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強(qiáng)用戶終端的主動(dòng)防御能力，大幅度提高網(wǎng)絡(luò)安全。對(duì)于建立完善的防病毒系統(tǒng)來(lái)說(shuō)，同樣也是當(dāng)務(wù)之急的，必須配備網(wǎng)絡(luò)版的防病毒系統(tǒng)進(jìn)行文件病毒的防護(hù)。另外，對(duì)于網(wǎng)絡(luò)病毒來(lái)說(shuō)，如果能夠做不僅能夠降低病毒進(jìn)入網(wǎng)絡(luò)內(nèi)部所造成的安全損失風(fēng)險(xiǎn)，更重要的是防止了病毒進(jìn)入內(nèi)部所帶來(lái)的帶寬阻塞或損耗，有效地保護(hù)了網(wǎng)絡(luò)帶寬的利用率。因此，這種前提下，可以在互聯(lián)網(wǎng)出口處造成網(wǎng)絡(luò)通信中斷的蠕蟲病毒是一個(gè)十分有效的措施。flood、ICMPflood、UDPflood等其原理是使用大量的偽造的連接請(qǐng)求報(bào)文攻擊網(wǎng)絡(luò)服務(wù)所在的端口，比如80（WEB造成服務(wù)器的資源耗盡，系統(tǒng)停止響應(yīng)甚至崩潰。而連接耗盡攻擊這隨著（————）信息化工作的深入開展，其網(wǎng)絡(luò)中存在著大量的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服規(guī)模的DDOS攻擊的最好的方式除了及時(shí)對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備進(jìn)行漏洞掃描，升級(jí)補(bǔ)丁進(jìn)行最后，網(wǎng)絡(luò)安全的建設(shè)是一個(gè)動(dòng)態(tài)的、可持續(xù)的過(guò)程，當(dāng)網(wǎng)絡(luò)中增加了新的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)或應(yīng)用系統(tǒng)，能夠及時(shí)發(fā)現(xiàn)并迅速解決相關(guān)的安全風(fēng)險(xiǎn)和威脅，實(shí)施專門地安全服務(wù)評(píng)估掃通過(guò)專業(yè)的網(wǎng)絡(luò)漏洞掃描系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、信息資產(chǎn)、應(yīng)用系統(tǒng)、操作系統(tǒng)、人員以及相關(guān)的管理制度進(jìn)行評(píng)估分析，找出相關(guān)弱點(diǎn)，并及時(shí)提交相關(guān)解決方法，使得網(wǎng)絡(luò)的安全性得到動(dòng)態(tài)的、可持續(xù)的發(fā)展，保證了整個(gè)網(wǎng)絡(luò)的安全性?？构裟芰σ约熬W(wǎng)絡(luò)系統(tǒng)漏洞安全評(píng)估分析機(jī)制等，最終可以使（————）網(wǎng)絡(luò)初步具備較高的抗黑客入侵能力，全面的防毒、查殺毒能力以及對(duì)整網(wǎng)漏洞的評(píng)估分析能力，從而建立起全防御體系的信息安全框架，基本達(dá)到《GB17859》中規(guī)定的二級(jí)安全防護(hù)保障能力。級(jí)別所能做的操作都不相同。級(jí)別命令不允許進(jìn)行配置文件保存的操作。令、背板控制命令、用戶管理命令、級(jí)別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令（非協(xié)議規(guī)建議分級(jí)設(shè)置登錄口令，以便于對(duì)于不同的維護(hù)人員提供不同的口令。對(duì)于安全級(jí)別一般的設(shè)備，建議認(rèn)證方式采用本地認(rèn)證，認(rèn)證的時(shí)候要求對(duì)用戶名和密碼都進(jìn)行認(rèn)證，配置密碼的時(shí)候要采用密文方式。用戶名和密碼要求足夠的強(qiáng)壯。對(duì)于安全級(jí)別比較高的設(shè)備，建議采用AAA方式到RADIUS或TACACS+服務(wù)器去認(rèn)證?，F(xiàn)在網(wǎng)絡(luò)上的很多病毒（沖擊波、振蕩波）發(fā)作時(shí)，對(duì)網(wǎng)絡(luò)上的主機(jī)進(jìn)行掃描搜索，該攻擊網(wǎng)絡(luò)設(shè)備的資源消耗十分大，同時(shí)會(huì)占用大量的帶寬。對(duì)于這些常見的病毒，通過(guò)分析它們的工為了避免這些病毒對(duì)于設(shè)備運(yùn)行的影響，建議在設(shè)備上配置ACL，對(duì)已知的病毒所使用的保護(hù)了網(wǎng)絡(luò)中的主機(jī)設(shè)備。地址轉(zhuǎn)換，用來(lái)實(shí)現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換。地址轉(zhuǎn)換的優(yōu)點(diǎn)在于屏蔽了內(nèi)部網(wǎng)絡(luò)的實(shí)際地址；外部網(wǎng)絡(luò)基本上不可能穿過(guò)地址代理來(lái)直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)。通過(guò)配置，用戶可以指定能夠通過(guò)地址轉(zhuǎn)換的主機(jī)，以有效地控制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪系列路由器可以提供靈活的內(nèi)部服務(wù)器的支持，對(duì)外提供WEB、FTP、SMTP等必要的服務(wù)。而這些服務(wù)器放置在內(nèi)部網(wǎng)絡(luò)中，既保證了安全，又可方便地進(jìn)行服務(wù)器的維護(hù)。服務(wù)的攻擊對(duì)設(shè)備的影響。他任務(wù)出錯(cuò)；的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對(duì)于Http沒(méi)有有效的基于挑戰(zhàn)或一次性的口令保護(hù)，這使得用Http進(jìn)行管理相當(dāng)危險(xiǎn)；備，一旦成功登錄，就可以對(duì)設(shè)備的文件系統(tǒng)操作，十分危險(xiǎn)。出于SNMPv1/v2協(xié)議自身不安全性的考慮，建議盡量使用SNMPv3，除非網(wǎng)管不支持H3C系列路由器、交換機(jī)的系統(tǒng)日志會(huì)記錄設(shè)備的運(yùn)行信息，維護(hù)人員做了哪些操作，執(zhí)行了哪些命令。系統(tǒng)日志建議一直打開，以便于網(wǎng)絡(luò)異常的時(shí)候，查找相關(guān)的記錄，并能提供以下幾種系統(tǒng)信息的記錄功能:報(bào)文時(shí)，記錄報(bào)文的關(guān)鍵信息；作記錄；為了保證日志時(shí)間的準(zhǔn)確性，建議定期（每月一次）檢查設(shè)備的系統(tǒng)時(shí)間是否準(zhǔn)確，和實(shí)際.運(yùn)行路由協(xié)議由于采用明文驗(yàn)證的時(shí)候，會(huì)在網(wǎng)絡(luò)上傳播驗(yàn)證密碼，并不安全，所以建議使用MD5算法，對(duì)于密鑰的設(shè)置要求足夠的強(qiáng)壯。文的處理在主控板，而對(duì)于數(shù)據(jù)的轉(zhuǎn)發(fā)是由接口板直接處理，所以路由協(xié)議增加了對(duì)報(bào)文的加密驗(yàn)證，不會(huì)影響設(shè)備的轉(zhuǎn)發(fā)。URPF通過(guò)獲取報(bào)文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對(duì)應(yīng)就能有效地防范網(wǎng)絡(luò)中通過(guò)修改源地址而進(jìn)行的惡意攻擊行為的發(fā)生。通過(guò)URPF，可以防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。ICMP協(xié)議很多具有一些安全隱患，因此在骨干網(wǎng)絡(luò)上，如果沒(méi)有特別需要建議禁止一些的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，比如商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。典型攻擊包括Smurf、TCPSYN、LAND.C等攻擊類型個(gè)功能可以通過(guò)端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對(duì)攻擊源的通信進(jìn)行限制，這類防范手段也可以通過(guò)ACL來(lái)實(shí)現(xiàn)。H3C系列核心路由器全面支持ACL包過(guò)濾功能，可以雙向配置32K條ACL，同時(shí)，由于ACL完全由硬件實(shí)現(xiàn)，啟動(dòng)ACL后對(duì)于設(shè)備轉(zhuǎn)發(fā)性能不會(huì)造成影響。關(guān)鍵信息進(jìn)行加密傳輸。在運(yùn)營(yíng)過(guò)程中，設(shè)備也可以隨時(shí)要求客戶重新功能是限制未授權(quán)設(shè)備（如用戶計(jì)算機(jī)）,通過(guò)以太網(wǎng)交換機(jī)的公共端口訪問(wèn)局域網(wǎng)。地址（一般是用戶手工配置的靜態(tài)MAC地址），來(lái)自其它陌生MAC地址的報(bào)文均被許學(xué)習(xí)的MAC地址個(gè)數(shù)范圍在1～65535之間。當(dāng)端口已經(jīng)學(xué)習(xí)到允許的MAC地址個(gè)址學(xué)習(xí)，就限定了在該端口上允許通過(guò)的MAC地址，來(lái)自其它MAC地址的報(bào)文均被網(wǎng)絡(luò)邊界安全一般是采用防火墻等成熟產(chǎn)品和技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的訪問(wèn)控制，采用安全檢測(cè)手段在防火墻上通過(guò)設(shè)置安全策略增加對(duì)服務(wù)器的保護(hù)，同時(shí)必要時(shí)還可以啟用防火墻的NAT功能隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使用日志來(lái)對(duì)非法訪問(wèn)進(jìn)行監(jiān)控，使用防火墻與交換機(jī)、入侵防御聯(lián)動(dòng)功能形成動(dòng)態(tài)、自適應(yīng)的安全防護(hù)平臺(tái)。下面將從幾個(gè)方面介紹防火墻在（————）網(wǎng)絡(luò)的設(shè)由于各種應(yīng)用服務(wù)器等公開服務(wù)器屬于對(duì)外提供公開服務(wù)的主機(jī)系統(tǒng)，因此對(duì)于這些公開服務(wù)器的保護(hù)也是十分必要的；具體可以利用防火墻劃分DMZ區(qū)，將公開服務(wù)器連接在千兆防火時(shí)對(duì)服務(wù)器保護(hù)的需要，防火墻采用特別的策略對(duì)用戶的公開服務(wù)器實(shí)施保護(hù)，它利用獨(dú)立網(wǎng)絡(luò)接口連接公開服務(wù)器網(wǎng)絡(luò)，公開服務(wù)器網(wǎng)絡(luò)既是內(nèi)部網(wǎng)的一部份，又與內(nèi)部網(wǎng)物理隔離。既實(shí)現(xiàn)了對(duì)公開服務(wù)器自身的安全保護(hù)，同時(shí)也避免了公開服務(wù)器對(duì)內(nèi)部網(wǎng)的安全威脅。對(duì)于核心內(nèi)部業(yè)務(wù)網(wǎng)部分，在實(shí)施策略時(shí)，也可以配置防火墻工作與透明模式下，并設(shè)置只允許核心內(nèi)部網(wǎng)能夠訪問(wèn)外界有限分配資源，而不允許外界網(wǎng)絡(luò)訪問(wèn)核心內(nèi)部網(wǎng)信息資源或只允等信息，從而更好地保護(hù)核心內(nèi)部網(wǎng)的系統(tǒng)安全。對(duì)于（————）網(wǎng)絡(luò)各個(gè)網(wǎng)絡(luò)邊界而言，每個(gè)單獨(dú)地網(wǎng)絡(luò)系統(tǒng)都是一個(gè)獨(dú)立的網(wǎng)絡(luò)安全區(qū)內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)和數(shù)據(jù)安全，還可以防止各網(wǎng)絡(luò)之間有意無(wú)意地探測(cè)和攻擊行為。內(nèi)網(wǎng)用戶DMZ區(qū)服務(wù)器群內(nèi)網(wǎng)用戶DMZ區(qū)服務(wù)器群防火墻部署網(wǎng)絡(luò)邊界，以網(wǎng)關(guān)的形式出現(xiàn)。部署在網(wǎng)絡(luò)邊界的防火墻，同時(shí)承擔(dān)著內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)域的安全責(zé)任，針對(duì)不同的安全區(qū)域，其受信程度不一樣，安全策略也不一樣。防火墻放置在內(nèi)網(wǎng)和外網(wǎng)之間，實(shí)現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)的安全隔離。防火墻上劃分DMZ區(qū)，隔離服務(wù)器群。保護(hù)服務(wù)器免受來(lái)自公網(wǎng)和內(nèi)網(wǎng)的攻擊。在防火墻上配置安全訪問(wèn)策略，設(shè)置訪問(wèn)權(quán)限，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。當(dāng)客戶網(wǎng)絡(luò)有多個(gè)出口，并要求分別按業(yè)務(wù)、人員實(shí)現(xiàn)分類訪問(wèn)時(shí)，在防火墻上啟用策略路由功能，保證實(shí)現(xiàn)不同業(yè)務(wù)/人員定向不同ISP的需求。防火墻具有對(duì)業(yè)務(wù)的良好支持，作為NATALG或者ASPF過(guò)濾，都能夠滿足正常業(yè)務(wù)的防火墻易于管理，讓管理員舒心。接入網(wǎng)1接入網(wǎng)接入網(wǎng)2防火墻內(nèi)網(wǎng)用戶內(nèi)網(wǎng)用戶在防火墻上除了通過(guò)設(shè)置安全策略來(lái)增加對(duì)服務(wù)器或內(nèi)部網(wǎng)的保護(hù)以外，同時(shí)還可以啟用防火墻日志服務(wù)器記錄功能來(lái)記錄所有的訪問(wèn)情況，對(duì)非法訪問(wèn)進(jìn)行監(jiān)控；還可以使用防火墻與將要實(shí)施的入侵防御系統(tǒng)之間的實(shí)時(shí)聯(lián)動(dòng)功能，形成動(dòng)態(tài)、完整的、安全的防護(hù)體系。數(shù)據(jù)中心是安全的重點(diǎn)，性能、可靠性以及和IPS入侵防御的聯(lián)動(dòng)都必須有良好的表現(xiàn)。防火墻具有優(yōu)異的性能，可靠性方面表現(xiàn)不凡，結(jié)合入侵防御系統(tǒng)，可以實(shí)現(xiàn)高層次業(yè)務(wù)的數(shù)據(jù)安全。本組網(wǎng)方案中，同時(shí)我們充分考慮到管理的方便性，如果需要在遠(yuǎn)程通過(guò)internet接入的方法對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行管理，可以結(jié)合VPN業(yè)務(wù)，既保證了安全，也實(shí)現(xiàn)了管理的方便。2臺(tái)熱備的防火墻將數(shù)據(jù)中心內(nèi)部服務(wù)器和數(shù)據(jù)中心外部的Intranet隔離起來(lái)，有效的保護(hù)了防火墻可以根據(jù)VLAN劃分虛擬安全區(qū)，從而可以方便地把不同業(yè)務(wù)服務(wù)器劃分到不同安全區(qū)里，實(shí)現(xiàn)了數(shù)據(jù)中心內(nèi)部的不同業(yè)務(wù)區(qū)的隔離和訪問(wèn)控制。管理員通過(guò)IPSecVPN保證管理流量的私密性和完整性。專門部署一個(gè)VPN網(wǎng)關(guān)，管理員終端設(shè)備上安裝安全客戶端，結(jié)合證書認(rèn)證和USBkey，保證管理員的身份不被冒充，從而實(shí)類型的攻擊都不會(huì)被漏掉。有效地保護(hù)了網(wǎng)絡(luò)應(yīng)用通過(guò)將防火墻部署在數(shù)據(jù)中心，不但保護(hù)了數(shù)據(jù)中心服務(wù)器的安全，同時(shí)方便管理，保證了管理員的快速響應(yīng)成為可能，從多個(gè)方面實(shí)現(xiàn)了網(wǎng)絡(luò)的安全。用率居高不下、而應(yīng)用系統(tǒng)的響應(yīng)速度越來(lái)越慢，只好提升帶寬并升級(jí)服務(wù)器嘍，可過(guò)不了多久點(diǎn)到點(diǎn)，入侵技術(shù)日益滋長(zhǎng)并演變到應(yīng)用層面（L7）的結(jié)果，而這些有害代碼總是偽裝成客戶正常業(yè)務(wù)進(jìn)行傳播，目前部署的防火墻其軟硬件設(shè)計(jì)當(dāng)初僅按照其工作在L2-L4時(shí)的情況考慮，不具有對(duì)數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測(cè)的能力，自然就無(wú)法有效識(shí)別偽裝成正常業(yè)務(wù)的非法流量，結(jié)果蠕蟲、攻擊、間諜軟件、點(diǎn)到點(diǎn)應(yīng)用等非法流量輕而易舉地通過(guò)防火墻開這就是為何用戶在部署了防火墻后，仍然遭受入侵以及蠕蟲、病毒、拒絕服務(wù)攻擊的困擾。對(duì)系統(tǒng)的危害極大。但問(wèn)題是僅僅將上千個(gè)基于簡(jiǎn)單模式匹配過(guò)濾器同時(shí)打開來(lái)完成對(duì)數(shù)據(jù)包的L4-L7深入檢測(cè)時(shí)，防火墻的在數(shù)據(jù)流量較大時(shí)會(huì)迅速崩潰，或雖可以勉強(qiáng)工作，卻引入很大的處理延時(shí)，造成業(yè)務(wù)系統(tǒng)性能的嚴(yán)重下降，所以基于現(xiàn)有防火墻體系結(jié)構(gòu)增加深入包檢測(cè)功能的方案存在嚴(yán)重的性能入侵防御技術(shù)是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，入侵集信息，并分析這些信息。后門黑客攻擊或入侵的方法以及各種攻擊手段，如掃描、嗅探、后門、惡意代碼、拒絕服務(wù)、分布式拒絕服務(wù)、欺騙等各種攻擊規(guī)則，并使入侵防御系統(tǒng)監(jiān)聽口工作在混雜模式，能實(shí)時(shí)在線的防火墻和入侵檢測(cè)系統(tǒng)(IDS)已經(jīng)被普遍接受，但還不足以保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻不能充分地分析應(yīng)用層協(xié)議數(shù)據(jù)中的攻擊信號(hào)，入侵檢測(cè)系統(tǒng)也不會(huì)采取行動(dòng)阻擋檢測(cè)到的統(tǒng)的解決方案就是為一臺(tái)一臺(tái)的服務(wù)器和工作站打軟件補(bǔ)丁，這是一個(gè)很費(fèi)時(shí)間和效率很低的過(guò)程。對(duì)于一些組織來(lái)說(shuō)，打軟件補(bǔ)丁的挑戰(zhàn)來(lái)自對(duì)每個(gè)補(bǔ)丁的測(cè)試，以了解它如何影響關(guān)鍵系統(tǒng)的性能。其他組織發(fā)現(xiàn)的最大挑戰(zhàn)是如何在不同用戶環(huán)境的條件下將補(bǔ)丁分發(fā)到每個(gè)單獨(dú)的終端用戶，并說(shuō)服他們安裝這些補(bǔ)丁?？偟膩?lái)說(shuō)，打補(bǔ)丁過(guò)程需要花費(fèi)時(shí)間，此時(shí)，主機(jī)不受保護(hù)，且易于暴露弱點(diǎn)。因此，用戶需要一個(gè)全新的安全解決方案。線內(nèi)進(jìn)行操作，阻擋惡意流量；而不僅僅是被動(dòng)地檢測(cè)。系統(tǒng)分析活動(dòng)連接并在傳輸過(guò)程中截?cái)喙?，所有惡意攻擊流量不?huì)達(dá)到目的地。該設(shè)備通常沒(méi)有MAC地址或IP地址，因此它可以被認(rèn)為是“線路的一部分”，合法的流量以網(wǎng)速和以微秒級(jí)的延時(shí)無(wú)障礙通過(guò)系統(tǒng)。IPS自動(dòng)在缺省配置中設(shè)置成百上千個(gè)過(guò)濾用于阻擋各類攻擊。這些過(guò)濾器時(shí)刻識(shí)別所有情況下存在于所有網(wǎng)絡(luò)環(huán)境中的已知的惡意流量。管理員只需要打開系統(tǒng)，通過(guò)管理接口配置用戶名和密碼，并插入數(shù)據(jù)纜線。這時(shí)，系統(tǒng)開始運(yùn)行并阻擋攻擊，保護(hù)易受攻擊的系統(tǒng)不受危害。要的價(jià)值是可以提供“虛擬補(bǔ)丁”的功能，使主機(jī)沒(méi)有應(yīng)用補(bǔ)丁程序時(shí)或網(wǎng)絡(luò)運(yùn)行存在風(fēng)險(xiǎn)協(xié)議索特殊弱點(diǎn)的嘗試。這意味著不同的攻擊者可以來(lái)去自如，開發(fā)的攻擊代碼可以完全不同，攻擊者可以使用他們多種形態(tài)的shellcode發(fā)生器或其他躲避技術(shù)，但過(guò)濾器會(huì)在允許合法流量通過(guò)的同時(shí)可靠地阻擋所有攻擊。按這種方式操作的過(guò)濾器稱為“弱點(diǎn)過(guò)濾安裝補(bǔ)丁的系統(tǒng)從外部攻擊者的角度看上去是已經(jīng)安裝補(bǔ)丁的。虛擬補(bǔ)丁是為脆弱的系統(tǒng)提供最內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處一向是網(wǎng)絡(luò)安全的重點(diǎn)，通常會(huì)部署高性能防火墻限制訪問(wèn)權(quán)限。但是外部網(wǎng)絡(luò)中具有訪問(wèn)權(quán)限的主機(jī)可能會(huì)被黑客控制，防火墻無(wú)法阻止黑客間接地通過(guò)這在（————）內(nèi)部，還有可能劃分出更小的子網(wǎng)絡(luò)，子網(wǎng)絡(luò)之間互訪需要應(yīng)用不同的安全策略。比如————）內(nèi)部可能還劃分出管理子網(wǎng)、辦公子網(wǎng)。所有的子網(wǎng)都可以訪問(wèn)外部業(yè)務(wù)接口劃分為不同的安全區(qū)域。在管理子網(wǎng)和其它子網(wǎng)之間配置不同的安全策略，不允許使用互聯(lián)網(wǎng)給消息存儲(chǔ)、交換和獲取提供了極大的便利，同時(shí)也增加了信息泄密的可能性。黑客可能通過(guò)攻擊內(nèi)部網(wǎng)絡(luò)的服務(wù)器或者控制內(nèi)部網(wǎng)絡(luò)的主機(jī)竊取機(jī)密信息，企業(yè)內(nèi)部員工也可能無(wú)意向外發(fā)送了重要文件。由于可用于網(wǎng)絡(luò)傳輸?shù)膽?yīng)用程序非常多，通過(guò)對(duì)幾種網(wǎng)絡(luò)協(xié)議的分析不但使用其它協(xié)議（MSN、QQ、BT等等）傳輸?shù)闹匾畔⒕涂梢远氵^(guò)防火墻的阻截。IPS系列產(chǎn)品可以配置深度檢測(cè)規(guī)則，同時(shí)結(jié)合數(shù)十種常見協(xié)議的分析，可以分級(jí)別的檢測(cè)各息泄密后即可調(diào)整安全策略，把這類新的協(xié)議加入到深度檢測(cè)規(guī)則中。入侵防御系統(tǒng)可以對(duì)不同區(qū)域設(shè)置不同的安全策略，并且通過(guò)應(yīng)用層協(xié)議的解析防止信息泄詳細(xì)技術(shù)細(xì)節(jié)請(qǐng)參考：《應(yīng)用層威脅和深度安全保護(hù)技術(shù)白皮書》端點(diǎn)準(zhǔn)入控制系統(tǒng)解決方案在用戶接入網(wǎng)絡(luò)前，強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對(duì)用接入的前提下，合理控制用戶的網(wǎng)絡(luò)行為，映終端防御能力的狀態(tài)信息。EAD通過(guò)對(duì)終端安全狀態(tài)進(jìn)行評(píng)估，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能準(zhǔn)許訪問(wèn)網(wǎng)絡(luò)系統(tǒng)補(bǔ)丁、病毒庫(kù)版本不及時(shí)更新或已感染病毒的用戶終端，如果不符合管理員設(shè)定的企業(yè)用戶上網(wǎng)過(guò)程中，如果終端發(fā)生感染病毒等安全事件，端點(diǎn)準(zhǔn)入控制系統(tǒng)系統(tǒng)可實(shí)時(shí)隔離該“危用戶的ACL訪問(wèn)策略、QoS策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一管理，并實(shí)時(shí)應(yīng)用實(shí)施?？蓴U(kuò)展的、開放的安全解決方案端點(diǎn)準(zhǔn)入控制系統(tǒng)是一個(gè)可擴(kuò)展的安全解決方案，對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在達(dá)到端點(diǎn)準(zhǔn)入控制的目的，有效保護(hù)用戶的網(wǎng)絡(luò)投資。端點(diǎn)準(zhǔn)入控制系統(tǒng)也是一個(gè)開放的安全解決方案。在該系統(tǒng)中，安全策略服務(wù)器與網(wǎng)絡(luò)設(shè)備的交互、與第三方服務(wù)器的交互都基于開放、標(biāo)準(zhǔn)的協(xié)議實(shí)現(xiàn)。在防病毒方面，端點(diǎn)準(zhǔn)入控制系統(tǒng)要能夠與各種主流的防病毒軟件進(jìn)行聯(lián)動(dòng)。端點(diǎn)準(zhǔn)入控制系統(tǒng)方案部署靈活，維護(hù)方便，可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對(duì)待不同身份的用戶，定制不同的安全檢查和隔離級(jí)別。端點(diǎn)準(zhǔn)入控制系統(tǒng)可以部署為監(jiān)控模式（只記錄不合以適應(yīng)用戶對(duì)安全準(zhǔn)入控制的不同要求。詳細(xì)技術(shù)細(xì)節(jié)可以參考：《EAD端點(diǎn)準(zhǔn)入解決方案技術(shù)白皮書軟件成功應(yīng)用》。NetStream技術(shù)定義了一種路由器/交換機(jī)向管理系統(tǒng)輸出流量數(shù)據(jù)的方法，通過(guò)采集和分析流量數(shù)據(jù)，并將流量數(shù)據(jù)與管理控制臺(tái)中的其他網(wǎng)絡(luò)和應(yīng)用性能指標(biāo)建立關(guān)系，對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行管理。NetStream技術(shù)的IP網(wǎng)絡(luò)流量數(shù)據(jù)報(bào)文中包含許多有價(jià)值的流量統(tǒng)計(jì)數(shù)據(jù)，這些流信息充分揭示了有關(guān)網(wǎng)絡(luò)使用的“4W”問(wèn)題：Who：誰(shuí)（IP）使用了網(wǎng)絡(luò)？利用NTA網(wǎng)流分析系統(tǒng)對(duì)這些數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，就能從中提取出網(wǎng)絡(luò)流量特征，從而為網(wǎng)絡(luò)管理員提供一張豐富而詳盡的網(wǎng)絡(luò)利用視圖。通過(guò)NTA解決方案，可以使網(wǎng)絡(luò)管理員及時(shí)掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問(wèn)題。利用NetStream流日志以及NTA長(zhǎng)期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢(shì)報(bào)表，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測(cè)網(wǎng)絡(luò)鏈路流量的增長(zhǎng)，從而能有效的規(guī)劃網(wǎng)絡(luò)升級(jí)（例如，增加路由服務(wù)、端口或?qū)τ谝粋€(gè)企業(yè)來(lái)說(shuō)，WAN帶寬通常是有限的，如果WAN鏈路上的流量增大，通常企業(yè)的做法的升級(jí)投資，而NTA解決方案所提供的分析結(jié)果能夠使網(wǎng)絡(luò)管理員洞察WAN鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對(duì)是否應(yīng)投資升級(jí)帶寬快速的作出快速響應(yīng)！解決方案提供的某段時(shí)間內(nèi)的流量、應(yīng)用趨勢(shì)分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長(zhǎng)或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運(yùn)轉(zhuǎn)出現(xiàn)性能問(wèn)題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決掉網(wǎng)絡(luò)異常問(wèn)題，保證網(wǎng)絡(luò)1、豐富的應(yīng)用識(shí)別：基于三層協(xié)議號(hào)、端口號(hào)，可識(shí)別上千種已知應(yīng)用（比如：Notes），5、更低的全網(wǎng)監(jiān)控成本：基于現(xiàn)有網(wǎng)絡(luò)設(shè)備，通過(guò)增加板卡的方式，或者開啟端口鏡像功能，在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下就能實(shí)現(xiàn)網(wǎng)絡(luò)流量統(tǒng)計(jì)，是一種低成本、高性價(jià)比、部署靈活的解決方案。詳細(xì)技術(shù)細(xì)節(jié)請(qǐng)參考：《網(wǎng)絡(luò)流量分析解決方案技術(shù)白皮書v1.0》隨著IT系統(tǒng)和網(wǎng)絡(luò)規(guī)模的擴(kuò)展，信息技術(shù)在企業(yè)網(wǎng)絡(luò)中的運(yùn)用越來(lái)越廣泛深入，信息安全問(wèn)算機(jī)安全和數(shù)據(jù)安全造成了極大的破壞。近期出現(xiàn)的惡性病毒如CIH等甚至能夠破壞計(jì)算機(jī)硬件，使整個(gè)計(jì)算機(jī)癱瘓。如何保證機(jī)構(gòu)組織內(nèi)部網(wǎng)絡(luò)抵御網(wǎng)絡(luò)外部的病毒入侵，從而保障系統(tǒng)的安全運(yùn)行，是目前系統(tǒng)管理員最為關(guān)心的問(wèn)題。所以，系統(tǒng)安全管理應(yīng)該包括強(qiáng)大的計(jì)算機(jī)病毒防護(hù)建立統(tǒng)一的反病毒解決方案，包括服務(wù)器、工作站，病毒檢測(cè)庫(kù)能夠自動(dòng)的進(jìn)行升級(jí)，以減少維護(hù)代價(jià)的同時(shí)能夠抵御病毒的入侵。（————）的防病毒系統(tǒng)建議從以下幾個(gè)方面部署防病毒系統(tǒng)：（2）各內(nèi)部業(yè)務(wù)服務(wù)器的防病毒系統(tǒng)。（4）各種操作系統(tǒng)的桌面防病毒軟件。該防病毒系統(tǒng)的部署，切斷了病毒傳播途徑（電子郵件、網(wǎng)絡(luò)訪問(wèn)、移動(dòng)介質(zhì)）和消除發(fā)作機(jī)會(huì)，從而使（————）大大降低了因病毒傳播和發(fā)作引起（1）簡(jiǎn)化防病毒體系的管理開銷。（2）獲得及時(shí)病毒告警和事件報(bào)告。（3）動(dòng)態(tài)快速更新病毒特征數(shù)據(jù)。（4）易于擴(kuò)展升級(jí)并轉(zhuǎn)移到新的防病毒技術(shù)（自動(dòng)免疫、自動(dòng)客戶幫助）。拒絕服務(wù)攻擊是一種對(duì)網(wǎng)絡(luò)危害巨大的惡意攻擊。其中，具有代表性的攻擊手段包括SYNflood、ICMPflood、UDPflood等其原理是使用大量的偽造的連接請(qǐng)求報(bào)文攻擊網(wǎng)絡(luò)服務(wù)所在的端口，比如80（WEB造成服務(wù)器的資源耗盡，系統(tǒng)停止響應(yīng)甚至崩潰。而連接耗盡攻擊這隨著網(wǎng)絡(luò)的不斷發(fā)展擴(kuò)大，其網(wǎng)絡(luò)中存在著大量的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備等，如何保護(hù)它們和整個(gè)網(wǎng)絡(luò)不受DDOS的攻擊則是網(wǎng)絡(luò)整體防范中的重點(diǎn)。而對(duì)付大規(guī)模的DDOS攻擊的最好的方式除了及時(shí)對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備進(jìn)行漏洞掃描，升級(jí)補(bǔ)丁進(jìn)行主機(jī)系統(tǒng)加固外，還有一種方式就是在互聯(lián)網(wǎng)出口配置防DOS攻擊設(shè)備，來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。對(duì)不同操作系統(tǒng)下的計(jì)算機(jī)（在可掃描IP范圍內(nèi)）進(jìn)行漏洞檢測(cè)。漏洞掃描系統(tǒng)主要用于分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)到的安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議。漏洞掃描器主要分為網(wǎng)絡(luò)掃描器、系統(tǒng)（主機(jī)）掃描器、數(shù)據(jù)庫(kù)掃描器等等。網(wǎng)絡(luò)掃描器可對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分析，并且在執(zhí)行過(guò)程中支持基于策略的安全風(fēng)險(xiǎn)管理過(guò)程。另外，網(wǎng)絡(luò)掃描器執(zhí)行預(yù)定的或事件驅(qū)動(dòng)的網(wǎng)絡(luò)探測(cè)，包括對(duì)網(wǎng)絡(luò)通信服者利用來(lái)非法進(jìn)入網(wǎng)絡(luò)的漏洞。網(wǎng)絡(luò)掃描器將給出檢測(cè)到的漏洞信息，包括位置、詳細(xì)描述和建議的改進(jìn)方案。這種策略允許管理員偵測(cè)和管理安全風(fēng)險(xiǎn)信息，并跟隨開放的網(wǎng)絡(luò)應(yīng)用和迅速增長(zhǎng)的網(wǎng)絡(luò)規(guī)模而相應(yīng)地改變。掃描的具體內(nèi)容如下：系統(tǒng)掃描器在相當(dāng)嚴(yán)格的基礎(chǔ)上對(duì)安全風(fēng)險(xiǎn)級(jí)別進(jìn)行劃分。在UNIX系統(tǒng)上，它對(duì)大量的安全問(wèn)題能自動(dòng)產(chǎn)生修補(bǔ)程序腳本。一旦系統(tǒng)被確認(rèn)處于安全的狀態(tài)后，系統(tǒng)掃描器會(huì)用一種數(shù)字系統(tǒng)掃描把快速的分析與可靠的建議結(jié)合起來(lái)，從而保護(hù)主機(jī)上的破壞或誤操作。同時(shí)可以制定一個(gè)系統(tǒng)基線，制定計(jì)劃和規(guī)則，讓系統(tǒng)掃描器在沒(méi)有任何監(jiān)管的情況下自動(dòng)運(yùn)行，一旦發(fā)現(xiàn)漏洞立即報(bào)警。系統(tǒng)掃描的部分內(nèi)容如下表所示：檢查項(xiàng)檢查項(xiàng)統(tǒng)/etc/hosts.equiv）、關(guān)鍵系統(tǒng)配置和日志文件合法標(biāo)題的顯示、Admin和Guest用戶、系統(tǒng)配置、入侵者檢測(cè)、管理員用戶徑、登錄shell）、/etc/group和/etc/password格式員用戶及超級(jí)用戶力、使用戶帳號(hào)無(wú)效或休眠的主路徑、缺省登錄環(huán)境檢查類別用戶和組操作系系統(tǒng)UnixUnixUnixNTNTNT性/基準(zhǔn)文件審計(jì)文件Unix對(duì)文件進(jìn)行各方面檢查，包括訪問(wèn)權(quán)限、所有權(quán)、硬/軟據(jù)流Unix對(duì)基準(zhǔn)文件數(shù)據(jù)庫(kù)中文件的內(nèi)容、所有權(quán)、訪問(wèn)權(quán)限、文件鏈接的更改Unix關(guān)于系統(tǒng)掃描器審計(jì)文件的報(bào)告策略改變、重新啟動(dòng)和關(guān)閉系統(tǒng)、進(jìn)程跟蹤Unix網(wǎng)絡(luò)和后臺(tái)進(jìn)程的配置情況、NIS、TCP/IP配置文件的所有權(quán)和訪問(wèn)權(quán)限Unix可移動(dòng)設(shè)備的設(shè)備文件的訪問(wèn)權(quán)限