TOC\o"1-1"\h\u27817某校園網(wǎng)方案 224593網(wǎng)絡(luò)防火墻設(shè)計(jì)中的問題 166766如何構(gòu)建網(wǎng)絡(luò)整體安全方案 2224780四臺Cisco防火墻實(shí)現(xiàn)VPN網(wǎng)絡(luò) 2621439公司級防火墻選購熱點(diǎn) 3030067增強(qiáng)路由器安全的十個技巧 3131391啟明星辰銀行安全防御方案 3224181神碼基金公司信息安全解決方案 33592安天校園網(wǎng)解決方案 3527735網(wǎng)絡(luò)入侵檢測解決方案 378809公司需要什么樣的IDS測試IDS的幾個性能指標(biāo) 391264東軟安全助力武漢信用風(fēng)險管理信息系統(tǒng) 42某校園網(wǎng)方案1.1設(shè)計(jì)原則

1.充足滿足現(xiàn)在以及未來3-5年內(nèi)的網(wǎng)絡(luò)需求，既要保證校園網(wǎng)能很好的為學(xué)校服務(wù)，又要保護(hù)學(xué)校的投資。

2.強(qiáng)大的安全管理措施，四分建設(shè)、六分管理，管理維護(hù)的好壞是校園網(wǎng)正常運(yùn)營的關(guān)鍵

3.在滿足學(xué)校的需求的前提下，建出自己的特色

1.2網(wǎng)絡(luò)建設(shè)需求

網(wǎng)絡(luò)的穩(wěn)定性規(guī)定

整個網(wǎng)絡(luò)需要具有高度的穩(wěn)定性，可以滿足不同用戶對網(wǎng)絡(luò)訪問的不同規(guī)定

網(wǎng)絡(luò)高性能需求

整個網(wǎng)絡(luò)系統(tǒng)需要具有很高的性能，可以滿足各種流媒體的無障礙傳輸，保證校園網(wǎng)各種應(yīng)用的暢通無阻

認(rèn)證計(jì)費(fèi)效率高，對用戶的認(rèn)證和計(jì)費(fèi)不會對網(wǎng)絡(luò)性能導(dǎo)致瓶頸

網(wǎng)絡(luò)安全需求

防止IP地址沖突

非法站點(diǎn)訪問過濾

非法言論的準(zhǔn)確追蹤

惡意襲擊的實(shí)時解決

記錄訪問日記提供完整審計(jì)

網(wǎng)絡(luò)管理需求

需要方便的進(jìn)行用戶管理，涉及開戶、銷戶、資料修改和查詢

需要可以對網(wǎng)絡(luò)設(shè)備進(jìn)行集中的統(tǒng)一管理

需要對網(wǎng)絡(luò)故障進(jìn)行快速高效的解決第二章、某校園網(wǎng)方案設(shè)計(jì)

2.1校園網(wǎng)現(xiàn)網(wǎng)拓?fù)鋱D

整個網(wǎng)絡(luò)采用二級的網(wǎng)絡(luò)架構(gòu)：核心、接入。

核心采用一臺RG－S4909，負(fù)責(zé)整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)，同時為接入互換機(jī)S1926F+、內(nèi)部服務(wù)器提供百兆接口。網(wǎng)絡(luò)出口采用RG-WALL1200防火墻。原有網(wǎng)絡(luò)設(shè)備功能較少，無法進(jìn)行安全防護(hù)，已經(jīng)不能滿足應(yīng)用的需求。

2.2校園網(wǎng)設(shè)備更新方案方案一：不更換核心設(shè)備

核心仍然采用銳捷網(wǎng)絡(luò)S4909互換機(jī)，在中校區(qū)增長一臺SAM服務(wù)器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+,其中匯聚互換機(jī)各采用一臺新增的S2126G，剩余的兩臺S2126G用于加強(qiáng)對關(guān)鍵機(jī)器的保護(hù)，中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺S2126G做為匯聚設(shè)備，其它互換機(jī)分別接入這兩臺互換機(jī)，從而實(shí)現(xiàn)所有匯聚層互換機(jī)都能進(jìn)行安全控制，重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。

方案二：更換核心設(shè)備

核心采用一臺銳捷網(wǎng)絡(luò)面向10萬兆平臺設(shè)計(jì)的多業(yè)務(wù)IPV6路由互換機(jī)RG-S8606，負(fù)責(zé)整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增長一臺SAM服務(wù)器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設(shè)備，下接三臺S2126G實(shí)現(xiàn)安全控制，其它二層互換機(jī)分別接入相應(yīng)的S2126G。西校區(qū)匯聚采用一臺S2126G，剩余兩臺S2126G用于保護(hù)重點(diǎn)機(jī)器，其它互換機(jī)接入相應(yīng)的S2126G。中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺S2126G做為匯聚設(shè)備，其它互換機(jī)分別接入這兩臺互換機(jī)，從而實(shí)現(xiàn)所有匯聚層互換機(jī)都能進(jìn)行安全控制，重點(diǎn)區(qū)域在接入層進(jìn)行安全控制的網(wǎng)絡(luò)布局。2.3骨干網(wǎng)絡(luò)設(shè)計(jì)

骨干網(wǎng)絡(luò)由RG-S8606構(gòu)成，核心互換機(jī)RG-S8606重要具有5特性：

1、骨干網(wǎng)帶寬設(shè)計(jì)：千兆骨干，可平滑升級到萬兆

整個骨干網(wǎng)采用千兆雙規(guī)線路的設(shè)計(jì)，二條線路通過VRRP冗余路由協(xié)議和OSPF動態(tài)路由協(xié)議實(shí)現(xiàn)負(fù)載分擔(dān)和冗余備份，以后，隨著網(wǎng)絡(luò)流量的增長，可以將鏈路升級到萬兆。

2、骨干設(shè)備的安全設(shè)計(jì)：CSS安全體系架構(gòu)

3、CSS之硬件CPP

CPP即CPUProtectPolicy，RG-S8606采用硬件來實(shí)現(xiàn)，CPP提供管理模塊和線卡CPU的保護(hù)功能，對發(fā)往CPU的數(shù)據(jù)流進(jìn)行帶寬限制（總帶寬、QOS隊(duì)列帶寬、類型報文帶寬），這樣，對于ARP襲擊的數(shù)據(jù)流、針對CPU的網(wǎng)絡(luò)襲擊和病毒數(shù)據(jù)流，RG-S8606分派給其的帶寬非常的有限，不會影響其正常工作。

由于銳捷10萬兆產(chǎn)品RG-S8606采用硬件的方式實(shí)現(xiàn)，不影響整機(jī)的運(yùn)營效率

4、CSS之SPOH技術(shù)

現(xiàn)在的網(wǎng)絡(luò)需要更安全、需要為不同的業(yè)務(wù)提供不同的解決優(yōu)先級，這樣，大量的ACL和QOS需要部署，需要核心互換機(jī)來解決，而這些應(yīng)用屬于對互換機(jī)硬件資源消耗非常大的，核心互換機(jī)RG-S8606通過在互換機(jī)的每一個用戶端口上增長一個FFP(快速過濾解決器)，專門用來解決ACL和QOS，相稱于把互換機(jī)的每一個端口都變成了一臺獨(dú)立的互換機(jī)，可以保證在非常復(fù)雜的網(wǎng)絡(luò)環(huán)境中核心互換機(jī)的高性能。

2.4網(wǎng)絡(luò)安全設(shè)計(jì)

2.4.1某校園網(wǎng)網(wǎng)絡(luò)安全需求分析

1、網(wǎng)絡(luò)病毒的防范

病毒產(chǎn)生的因素：某校園網(wǎng)很重要的一個特性就是用戶數(shù)比較多，會有很多的PC機(jī)缺少有效的病毒防范手段，這樣，當(dāng)用戶在頻繁的訪問INTERNET的時候，通過局域網(wǎng)共享文獻(xiàn)的時候，通過U盤，光盤拷貝文獻(xiàn)的時候，系統(tǒng)都會感染上病毒，當(dāng)某個學(xué)生感染上病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務(wù)器。

病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問得不到響應(yīng)，辦公平臺不能使用；資源庫、VOD不能點(diǎn)播；INTERNET上不了，學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。

2、防止IP、MAC地址的盜用

IP、MAC地址的盜用的因素：某校園網(wǎng)采用靜態(tài)IP地址方案，假如缺少有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項(xiàng)中可以隨意的更改MAC地址。假如用戶故意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，假如與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；假如惡意用戶發(fā)送虛假的IP、MAC的相應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，導(dǎo)致ARP欺騙襲擊。

IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡(luò)是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò)，由于大量的IP、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，并且，用戶在正常工作和學(xué)習(xí)時候，自己的電腦上會經(jīng)常彈出MAC地址沖突的對話框。由于緊張一些機(jī)密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充足發(fā)揮其服務(wù)于教學(xué)的作用，導(dǎo)致很大限度上的資源浪費(fèi)。

3、安全事故發(fā)生時候，需要準(zhǔn)擬定位到用戶

安全事故發(fā)生時候，需要準(zhǔn)擬定位到用戶因素：

國家的規(guī)定：2023年，朱镕基簽署了282號令，規(guī)定各大INTERNET運(yùn)營機(jī)構(gòu)（涉及高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門審計(jì)。

校園網(wǎng)正常運(yùn)營的需求：假如說不能準(zhǔn)確的定位到用戶，學(xué)生會在網(wǎng)絡(luò)中肆無忌彈進(jìn)行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴(yán)重的是，假如當(dāng)某個學(xué)生在校外的某個站點(diǎn)發(fā)布了大量涉及政治的言論，這時候公安部門的網(wǎng)絡(luò)信息安全監(jiān)察科找到我們的時候，我們無法解決，學(xué)校或者說網(wǎng)絡(luò)中心只有替學(xué)生背這個黑鍋。

4、安全事故發(fā)生時候，不能準(zhǔn)擬定位到用戶的影響：

一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學(xué)校做出解決；同時也會大大減少學(xué)校在社會上的影響力，減少家長、學(xué)生對學(xué)校的滿意度，對以后學(xué)生的招生也是大有影響的。

5、用戶上網(wǎng)時間的控制

無法控制學(xué)生上網(wǎng)時間的影響：假如缺少有效的機(jī)制來限制用戶的上網(wǎng)時間，學(xué)生也許會運(yùn)用一切機(jī)會上網(wǎng)，會曠課。學(xué)生家長會對學(xué)校產(chǎn)生強(qiáng)烈的不滿，會認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書育人。這對學(xué)校的聲譽(yù)以及學(xué)校的長期發(fā)展是及其不利的。

6、用戶網(wǎng)絡(luò)權(quán)限的控制

在校園網(wǎng)中，不同用戶的訪問權(quán)限應(yīng)當(dāng)是不同樣的，比如學(xué)生應(yīng)當(dāng)只可以訪問資源服務(wù)器，上網(wǎng)，不能訪問辦公網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問財(cái)務(wù)網(wǎng)絡(luò)。因此，需要對用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。

7、各種網(wǎng)絡(luò)襲擊的有效屏蔽

校園網(wǎng)中常見的網(wǎng)絡(luò)襲擊比如MACFLOOD、SYNFLOOD、DOS襲擊、掃描襲擊、ARP欺騙襲擊、流量襲擊、非法組播源、非法DHCP服務(wù)器及DHCP襲擊、竊取互換機(jī)的管理員密碼、發(fā)送大量的廣播報文，這些襲擊的存在，會擾亂網(wǎng)絡(luò)的正常運(yùn)營，減少了校園網(wǎng)的效率。

2.4.2某校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)思想

安全到邊沿的設(shè)計(jì)思想

用戶在訪問網(wǎng)絡(luò)的過程中，一方面要通過的就是互換機(jī)，假如我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時候，也就是在接入層互換機(jī)上部署網(wǎng)絡(luò)安全無疑是達(dá)成更好的效果。

全局安全的設(shè)計(jì)思想

銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)安全，安全不是某一個設(shè)備的事情，應(yīng)當(dāng)讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能，互相協(xié)作，形成一個全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)安全。

全程安全的設(shè)計(jì)思想

用戶的網(wǎng)絡(luò)訪問行為可以分為三個階段，涉及訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時候、訪問網(wǎng)絡(luò)后。對著每一個階段，都應(yīng)當(dāng)有嚴(yán)格的安全控制措施。

2.4.3某校園網(wǎng)網(wǎng)絡(luò)安全方案

銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和互換機(jī)嵌入式安全防護(hù)機(jī)制設(shè)計(jì)的特點(diǎn)，從三個方面實(shí)現(xiàn)網(wǎng)絡(luò)安全：事前的準(zhǔn)確身份認(rèn)證、事中的實(shí)時解決、事后的完整審計(jì)。

事前的身份認(rèn)證

對于每一個需要訪問網(wǎng)絡(luò)的用戶，我們需要對其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息涉及用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在互換機(jī)的IP地址、用戶PC所在互換機(jī)的端標(biāo)語、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時間，通過以上信息的綁定，可以達(dá)成如下的效果：

每一個用戶的身份在整個校園網(wǎng)中是唯一，避免了個人信息被盜用.

當(dāng)安全事故發(fā)生的時候，只要可以發(fā)現(xiàn)肇事者的一項(xiàng)信息比如IP地址，就可以準(zhǔn)擬定位到該用戶，便于事情的解決。

只有通過網(wǎng)絡(luò)中心授權(quán)的用戶才可以訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。

網(wǎng)絡(luò)襲擊的防范

1、常見網(wǎng)絡(luò)病毒的防范

對于常見的比如沖擊波、振蕩波等對網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過部署擴(kuò)展的ACL，可以對這些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。

2、未知網(wǎng)絡(luò)病毒的防范

對于未知的網(wǎng)絡(luò)病毒，通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分派不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當(dāng)新的病毒產(chǎn)生時，不會影響到重要網(wǎng)絡(luò)應(yīng)用的運(yùn)營，從而保證了網(wǎng)絡(luò)的高可用性。

3、防止IP地址盜用和ARP襲擊

通過對每一個ARP報文進(jìn)行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，假如不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），導(dǎo)致網(wǎng)絡(luò)通訊混亂。

4、防止假冒IP、MAC發(fā)起的MACFlood\SYNFlood襲擊

通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡樸的一個命令就可以實(shí)現(xiàn)）。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的襲擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。

5、非法組播源的屏蔽

銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時，從任何端口進(jìn)入的視頻流均是合法的，互換機(jī)會把它們轉(zhuǎn)發(fā)到已注冊的端口。當(dāng)IGMP源端口檢查打開時，只有從路由連接口進(jìn)入的視頻流才是合法的，互換機(jī)把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢，并且也是網(wǎng)絡(luò)帶寬合理的分派所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡樸、更加實(shí)用的特點(diǎn)，更加合用于校園運(yùn)營網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。

6、對DOS襲擊，掃描襲擊的屏蔽

通過在校園網(wǎng)中部署防止DOS襲擊，掃描襲擊，可以有效的避免這二種襲擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類襲擊時導(dǎo)致的網(wǎng)絡(luò)中斷。

事后的完整審計(jì)

當(dāng)用戶訪問完網(wǎng)絡(luò)后，會保存有完備的用戶上網(wǎng)日記紀(jì)錄，涉及某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺互換機(jī)的哪一個端口，什么時候開始訪問網(wǎng)絡(luò)，什么時候結(jié)束，產(chǎn)生了多少流量。假如安全事故發(fā)生，可以通過查詢該日記，來唯一的擬定該用戶的身份，便于了事情的解決。

2.5網(wǎng)絡(luò)管理設(shè)計(jì)

網(wǎng)絡(luò)管理涉及設(shè)備管理、用戶管理、網(wǎng)絡(luò)故障管理

2.5.1網(wǎng)絡(luò)用戶管理

網(wǎng)絡(luò)用戶管理見網(wǎng)絡(luò)運(yùn)營設(shè)計(jì)開戶部分

2.5.2網(wǎng)絡(luò)設(shè)備管理

網(wǎng)絡(luò)設(shè)備的管理通過STARVIEW實(shí)現(xiàn)，重要提供以下功能，這些功能也是我們常見的解決問題的思緒：

1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動發(fā)現(xiàn)和了解

STARVIEW能自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對整個校園網(wǎng)了如指掌，對于用戶私自掛接的HUB、互換機(jī)等設(shè)備能及時地發(fā)現(xiàn)，提前消除各種安全隱患。

對于網(wǎng)絡(luò)中的異常故障，比如某臺互換機(jī)的CPU運(yùn)用率過高，某條鏈路上的流量負(fù)載過大，STARVIEW都可以以不同的顏色進(jìn)行顯示，方便管理員及時地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。2、網(wǎng)絡(luò)流量的查看

STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的察看網(wǎng)絡(luò)中的具體流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。3、網(wǎng)絡(luò)故障的信息自動報告

STARVIEW支持故障信息的自動告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時，會通過TRAP的方式進(jìn)行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。

4、設(shè)備面板管理

STARVIEW的設(shè)備面板管理可以很清楚的看到校園中設(shè)備的面板，涉及端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設(shè)備上，進(jìn)行配置的修改，完善以及各種信息的察看。

5、RGNOS操作系統(tǒng)的批量升級

校園網(wǎng)很大的一個特點(diǎn)就是規(guī)模大，需要使用大量的接入層互換機(jī)，假如需要對這些互換機(jī)進(jìn)行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，可以很方便的一次對所有的相同型號的互換機(jī)進(jìn)行升級，加大的較少了網(wǎng)絡(luò)管理員的工作量。2.5.3網(wǎng)絡(luò)故障管理

隨著校園網(wǎng)用戶數(shù)的增多，特別是宿舍網(wǎng)運(yùn)營的開始，用戶網(wǎng)絡(luò)故障的排除會成為校園網(wǎng)管理工作的重點(diǎn)和難點(diǎn)，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式重要是這樣一個流程：2.6流量管理系統(tǒng)設(shè)計(jì)

網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的P2P軟件的使用，已經(jīng)對各種網(wǎng)絡(luò)業(yè)務(wù)的正常開展產(chǎn)生了非常嚴(yán)重的影響，有的學(xué)校甚至由于P2P軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。

2.6.1方案一：傳統(tǒng)的流量管理方案

傳統(tǒng)的流量管理方案的做法很多就是簡樸的封堵這些P2P軟件，從而達(dá)成控制流量的目的，這有三大弊端，

第一：這些軟件之所以有如此強(qiáng)大的生命力，是由于用戶通過使用這些軟件的確能快速的獲取各種有用的資源，假如簡樸的通過嚴(yán)禁的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲取。

第二：各種新型的，對網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠(yuǎn)處在被動的局面，顯然不能從主線上解決這個問題。

第三：我們無法獲取網(wǎng)絡(luò)中的流量信息，無法為校園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障防止和排除提供數(shù)據(jù)支撐。

2.6.2方案二：銳捷的流量管理與控制方案

銳捷網(wǎng)絡(luò)的流量管理重要通過RG-NTD+日記解決軟件+RG-SAM系統(tǒng)來實(shí)現(xiàn)。

NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計(jì)費(fèi)，銳捷的流量管理方案有三大功能：

第一：為SAM系統(tǒng)對用戶進(jìn)行流量計(jì)費(fèi)提供原始數(shù)據(jù)，這是我們已經(jīng)實(shí)現(xiàn)了的功能。該功能能滿足不同消費(fèi)層次的用戶對帶寬的需求，經(jīng)濟(jì)條件好一點(diǎn)，可以多用點(diǎn)流量，提高了用戶的滿意度。并且，對于以后新出現(xiàn)的功能更加強(qiáng)大的下載軟件，都不必緊張用戶任意使用導(dǎo)致帶寬擁塞。

第二：提供日記審計(jì)和帶寬管理功能，通過NTD、SAM、日記系統(tǒng)的結(jié)合，可以做到基于用戶身份對用戶進(jìn)行管理，做到將用戶名、源IP、目的IP直接關(guān)聯(lián)，通過目的IP，可以直接定位到用戶名，安全事件解決起來非常的方便，同時還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會在明年4月份提供。

第三：可以對網(wǎng)絡(luò)中的各種流量了如指掌，可以對用戶經(jīng)常訪問的資源進(jìn)行分析對比，為應(yīng)用系統(tǒng)的建設(shè)、服務(wù)器的升級改造提供數(shù)據(jù)支持；可以及時的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量，從而進(jìn)行有效的防范，結(jié)合認(rèn)證計(jì)費(fèi)系統(tǒng)SAM，可以捕獲到事件源頭，并于做出解決。

總體來說，流量控制和管理和日記系統(tǒng)的整體解決方案對于校園網(wǎng)的長期健康可連續(xù)發(fā)展是很有幫助的。網(wǎng)絡(luò)防火墻設(shè)計(jì)中的問題方案：硬件？還是軟件？

現(xiàn)在防火墻的功能越來越多越花哨，如此多的功能必然規(guī)定系統(tǒng)有一個高效的解決能力。

防火墻從實(shí)現(xiàn)上可以分為軟件防火墻和硬件防火墻。軟件防火墻以checkpoint公司的Firewall-I為代表，其實(shí)現(xiàn)是通過dev_add_pack的辦法加載過濾函數(shù)（Linux，其他操作系統(tǒng)沒有作分析，估計(jì)類似），通過在操作系統(tǒng)底層做工作來實(shí)現(xiàn)防火墻的各種功能和優(yōu)化。國內(nèi)也有一些所謂的軟件防火墻，但據(jù)了解大多是所謂“個人”防火墻，并且功能及其有限，故不在此討論范圍。

在國內(nèi)目前已通過公安部檢查的防火墻中，硬件防火墻占絕大多數(shù)。硬件防火墻一種是從硬件到軟件都單獨(dú)設(shè)計(jì)，典型如Netscreen防火墻不僅軟件部分單獨(dú)設(shè)計(jì)，硬件部分也采用專門的ASIC集成電路。

此外一種就是基于PC架構(gòu)的使用通過定制的通用操作系統(tǒng)的所謂硬件防火墻。目前國內(nèi)絕大

多數(shù)防火墻都屬于這種類型。

雖然都號稱硬件防火墻，國內(nèi)廠家和國外廠家還是存在著巨大區(qū)別。硬件防火墻需要在硬件和軟件兩方面同時下功夫，國外廠家的通常做法是軟件運(yùn)算硬件化，其所設(shè)計(jì)或選用的運(yùn)營平臺自身的性能也許并不高，但它將重要的運(yùn)算程序（查表運(yùn)算是防火墻的重要工作）做成芯片，以減少主機(jī)CPU的運(yùn)算壓力。國內(nèi)廠家的防火墻硬件平臺基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接因素是可以節(jié)省硬件開發(fā)成本），在提高硬件性能方面所能做的工作僅僅是提高系統(tǒng)CPU的解決能力，增大內(nèi)存容量而已?，F(xiàn)在國內(nèi)防火墻的一個典型結(jié)構(gòu)就是：工業(yè)主板+x86+128（256）M內(nèi)存+DOC/DOM+硬盤（或不要硬盤而另增長一個日記服務(wù)器）+百兆網(wǎng)卡這

樣一個工業(yè)PC結(jié)構(gòu)。

在軟件性能方面，國內(nèi)外廠家的差別就更大了，國外（一些著名）廠家均是采用專用的操作系統(tǒng)，自行設(shè)計(jì)防火墻。而國內(nèi)所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的Linux，無一例外。各廠家的區(qū)別僅僅在于對Linux系統(tǒng)自身和防火墻部分（2.2內(nèi)核為ipchains，2.4以后內(nèi)核為netfilter）所作的改動量有多大。

事實(shí)上，Linux只是一個通用操作系統(tǒng)，它并沒有針對防火墻功能做什么優(yōu)化，并且其解決大數(shù)據(jù)量通信方面的能力一直并不突出，甚至比較低下（這也是Linux一直只是低端服務(wù)器的寵兒的重要因素，我自己認(rèn)為，在這一點(diǎn)上它還不如BSD系列，據(jù)說國外有用BSD做防火墻的，國內(nèi)尚未見到）?，F(xiàn)在絕大部分廠家，甚至涉及號稱國內(nèi)最大的天融信，在軟件方面所作的工作無非也就是系統(tǒng)有針對性的淘汰、防火墻部分代碼的少量改動（絕大部分還是沒有什么改動）和少量的系統(tǒng)補(bǔ)丁。并且我們在分析各廠家產(chǎn)品時可以注意這一點(diǎn)，假如哪個廠家對系統(tǒng)自身做了什么大的改動，它肯定會把這個視為一個重要的賣點(diǎn)，大吹特吹，遺憾的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個類似于checkpoint的功能：開放式的安全應(yīng)用接口TOPSEC，但它究竟做了多少工作，還需要去仔細(xì)了解）。

目前國內(nèi)廠家也已經(jīng)結(jié)識到這個問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。

在此我們僅針對以Linux（或其他通用操作系統(tǒng)）為基礎(chǔ)的、以PC架構(gòu)為硬件載體的防火墻做討論，以下如不特別提出，均同。

2．內(nèi)核和防火墻設(shè)計(jì)

現(xiàn)在有一種商業(yè)賣點(diǎn)，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關(guān)于防火墻分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應(yīng)用型防火墻（一般結(jié)合了包過濾功能，因此也成為混合型防火墻）稱為第二代防火墻，有些廠家把增長了檢測通信信息、狀態(tài)檢測和應(yīng)用監(jiān)測的防火墻稱為第三代防火墻，更有甚者在此基礎(chǔ)上提出了采用安全操作系統(tǒng)的防火墻，并把這個稱為第四代防火墻）。所謂安全操作系統(tǒng)，其實(shí)大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡樸改造的工作，重要有以下：取消危險的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動（如加載一些llkm）；

限制命令執(zhí)行權(quán)限；

取消IP轉(zhuǎn)發(fā)功能；

檢查每個分組的接口；

采用隨機(jī)連接序號；

駐留分組過濾模塊；

取消動態(tài)路由功能；

采用多個安全內(nèi)核（這個只見有人提出，但未見到實(shí)例，對此不是很清楚）。

以上諸多工作，其實(shí)基本上都沒有對內(nèi)核源碼做太大改動，因此從個人角度來看算不上可以太夸大的地方。

對于防火墻部分，國內(nèi)大部分已經(jīng)升級到2.4內(nèi)核所支持的netfilter。netfilter已經(jīng)是一個功能比較完善的防火墻框架，它已經(jīng)支持基于狀態(tài)的監(jiān)測（通過connectiontrack模塊實(shí)現(xiàn)）。并且netfilter是一個設(shè)計(jì)很合理的框架，可以在適當(dāng)?shù)奈恢蒙系怯浺恍┬枰慕鉀Q函數(shù)，正式代碼中已經(jīng)登記了許多解決函數(shù)，如在NF_IP_FORWARD點(diǎn)上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數(shù)實(shí)現(xiàn)的）。我們也可以登記自己的解決函數(shù)，在功能上作擴(kuò)展（如加入簡樸的IDS功能等等）。這一點(diǎn)是國內(nèi)廠家可以做文章的地方，至于netfilter源碼的修改，對國內(nèi)廠家來說似乎不太現(xiàn)實(shí)。

至于采用其它防火墻模型的，目前還沒有看到（也許是netfilter已經(jīng)設(shè)計(jì)的很成功，不需要我們再去做太多工作）。

3．自我保護(hù)能力（安全性）

由于防火墻的特殊功能和特殊位置，它自然是眾多襲擊者的目的，因此它的自我涉及能力在設(shè)計(jì)過程中應(yīng)當(dāng)放在首要的位置。

A．管理上的安全性

防火墻需要一個管理界面，而管理過程如何設(shè)計(jì)的更安全，是一個很重要的問題。目前有兩種方案。

a．設(shè)立專門的服務(wù)端口

為了減少管理上的風(fēng)險和減少設(shè)計(jì)上的難度，有一些防火墻（如東方龍馬）在防火墻上專門添加了一個服務(wù)端口，這個端口只是用來和管理主機(jī)連接。除了專用的服務(wù)口外，防火墻不接受來自任何其它端口的直接訪問。這樣做的顯著特點(diǎn)就是減少了設(shè)計(jì)上的難度，由于管理通信是單獨(dú)的通道，無論是內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)還是DMZ內(nèi)主機(jī)都無法竊聽到該通信，安全性顯然很高，并且設(shè)計(jì)時也無需考慮通信過程加密的問題。

然而這樣做，我們需要單獨(dú)設(shè)立一臺管理主機(jī)，顯然太過浪費(fèi)，并且這樣管理起來的靈活性也不好。

b．通信過程加密

這樣無需一個專門的端口，內(nèi)網(wǎng)任意一臺主機(jī)都可以在適當(dāng)?shù)那闆r下成為管理主機(jī)，管理主

機(jī)和防火墻之間采用加密的方式通信。

目前國內(nèi)有采用的是使用自定義協(xié)議、一次性口令認(rèn)證。對加密這個領(lǐng)域了解不多，不做詳

細(xì)討論。

B．對來自外部（和內(nèi)部）襲擊的反映能力

目前常見的來自外部的襲擊方式重要有：

a．DOS（DDOS）襲擊

（分布式）拒絕服務(wù)襲擊是目前一種很普遍的襲擊方式，在防止上也是非常困難的。目前防火墻對于這種襲擊似乎沒有太多的解決辦法，重要是提高防火墻自身的健壯性（如增長緩沖區(qū)大?。?。在Linux內(nèi)核中有一個防止Synflooding襲擊的選項(xiàng)：CONFIG_SYN_COOKIES，它是通過為每一個Syn建立一個緩沖（cookie）來分辨可信請求和不可信請求。此外對于ICMP襲擊，可以通過關(guān)閉ICMP回應(yīng)來實(shí)現(xiàn)。

b．IP假冒（IPspoofing）

IP假冒是指一個非法的主機(jī)假冒內(nèi)部的主機(jī)地址，騙取服務(wù)器的“信任”，從而達(dá)成對網(wǎng)絡(luò)的襲擊目的。

第一，防火墻設(shè)計(jì)上應(yīng)當(dāng)知道網(wǎng)絡(luò)內(nèi)外的IP地址分派，從而丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包。實(shí)際實(shí)現(xiàn)起來非常簡樸，只要在內(nèi)核中打開rp_filter功能即可。

第二，防火墻將內(nèi)網(wǎng)的實(shí)際地址隱蔽起來，外網(wǎng)很難知道內(nèi)部的IP地址，襲擊難度加大。IP假冒重要來自外部，對內(nèi)網(wǎng)無需考慮此問題（其實(shí)同時內(nèi)網(wǎng)的IP假冒情況也可以得到遏制）。

c．特洛伊木馬

防火墻自身防止木馬比較簡樸，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。

一個需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的襲擊并不意味著內(nèi)網(wǎng)主機(jī)也能防止木馬襲擊。事實(shí)上，內(nèi)網(wǎng)主機(jī)也許會透過防火墻下載執(zhí)行攜帶木馬的程序而感染。內(nèi)網(wǎng)主機(jī)的在防止木馬方面的安全性仍然需要主機(jī)自己解決（防火墻只能在內(nèi)網(wǎng)主機(jī)感染木馬以后起一定的防范作用）。

d．口令字襲擊

口令字襲擊既也許來自外部，也也許來自內(nèi)部，重要是來自內(nèi)部。（在管理主機(jī)與防火墻通過單獨(dú)接口通信的情況下，口令字襲擊是不存在的）

來自外部的襲擊即用窮舉的辦法猜測防火墻管理的口令字，這個很容易解決，只要不把管理部分提供應(yīng)外部接口即可。

內(nèi)部的口令字襲擊重要是窮舉和嗅探，其中以嗅探危害最大。嗅探指監(jiān)測網(wǎng)絡(luò)截獲管理主機(jī)給防火墻的口令字，假如口令字已加密，則解密得到口令字。目前一般采用一次性口令和嚴(yán)禁直接登錄防火墻的措施來防止對口令字的襲擊。

e．郵件詐騙

郵件詐騙是目前越來越突出的襲擊方式。防火墻自身防止郵件詐騙非常簡樸，不接受任何郵件就可以了。然而象木馬襲擊同樣，內(nèi)網(wǎng)主機(jī)仍可收發(fā)郵件，郵件詐騙的危險仍然存在，其解決辦法一個是內(nèi)網(wǎng)主機(jī)自身采用措施防止郵件詐騙，另一個是在防火墻上做過濾。

f．對抗防火墻（anti-firewall）

目前一個網(wǎng)絡(luò)安全中一個研究的熱點(diǎn)就是對抗網(wǎng)絡(luò)安全產(chǎn)品如防火墻。一種是分析防火墻功能和探測防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，典型的如Firewalk。此外有一些其他的網(wǎng)絡(luò)安全性分析工具自身具有雙刃性，這類工具用于襲擊網(wǎng)絡(luò)，也也許會很有效的探測到防火墻和內(nèi)部網(wǎng)絡(luò)的安全缺陷，典型的如SATAN和ISS公司的InternetSecurityScanner。目前對于這種探測（襲擊）手段，尚無有效的防止措施，由于防火墻自身是一個被動的東西，它只能靠隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和提高自身的安全性來對抗這些襲擊。

C．透明代理的采用

應(yīng)用代理防火墻一般是通過設(shè)立不同用戶的訪問權(quán)限來實(shí)現(xiàn)，這樣就需要有用戶認(rèn)證體系。以前的防火墻在訪問方式上重要是規(guī)定用戶登錄進(jìn)系統(tǒng)（假如采用sock代理的方式則需要修改客戶應(yīng)用）。透明代理的采用，可以減少系統(tǒng)登錄固有的安全風(fēng)險和犯錯概率，從而提高了防火墻的安全性。

4．透明性

防火墻的透明性指防火墻對于用戶是透明的，在防火墻接入網(wǎng)絡(luò)時，網(wǎng)絡(luò)和用戶無需做任何設(shè)立和改動，也主線意識不到防火墻的存在。

防火墻作為一個實(shí)際存在的物理設(shè)備，要想放入已存在地網(wǎng)絡(luò)中又不對網(wǎng)絡(luò)有任何影響，就必須以網(wǎng)橋的方式置入網(wǎng)絡(luò)。傳統(tǒng)方式下，防火墻安裝時，更象是一臺路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（涉及主機(jī)和路由器）的設(shè)立（IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。但假如防火墻采用了透明模式，即采用類似網(wǎng)橋的方式運(yùn)營，用戶將不必重新設(shè)定和修改路由，也不需要知道防火墻的位置，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用。

透明模式最大的好處在于現(xiàn)有網(wǎng)絡(luò)無需做任何改動，這就方便了很多客戶，再者，從透明模式轉(zhuǎn)換到非透明模式又很容易，合用性顯然較廣。當(dāng)然，此時的防火墻僅僅起到一個防火墻的作用，其他網(wǎng)關(guān)位置的功能如NAT、VPN功能不再合用，當(dāng)然，其他功能如透明代理還可以繼續(xù)使用。

目前透明模式的實(shí)現(xiàn)上可采用ARP代理和路由技術(shù)實(shí)現(xiàn)。此時防火墻相稱于一個ARP代理的功能。內(nèi)網(wǎng)（可以仍具有路由器或子網(wǎng)，依次類推）、防火墻、路由器的位置大體如下：

內(nèi)網(wǎng)―――――防火墻―――――路由器

（需要說明的是，這種方式是絕大多數(shù)校園網(wǎng)級網(wǎng)絡(luò)的實(shí)現(xiàn)方式）

內(nèi)網(wǎng)主機(jī)要想實(shí)現(xiàn)透明訪問，必須可以透明的傳送內(nèi)網(wǎng)和路由器之間的ARP包，而此時由于事實(shí)上內(nèi)網(wǎng)和路由器之間無法連通，防火墻就必須配置成一個ARP代理（ARPProxy）在內(nèi)網(wǎng)主機(jī)和路由器之間傳遞ARP包。防火墻所要做的就是當(dāng)路由器發(fā)送ARP廣播包詢問內(nèi)網(wǎng)內(nèi)的某一主機(jī)的硬件地址時，防火墻用和路由器相連接口的MAC地址回送ARP包；內(nèi)網(wǎng)內(nèi)某一主機(jī)發(fā)送ARP廣播包詢問路由器的硬件地址時，防火墻用和內(nèi)網(wǎng)相連接口的MAC地址回送ARP包，因此路由器和內(nèi)網(wǎng)主機(jī)都認(rèn)為將數(shù)據(jù)包發(fā)給了對方，而事實(shí)上是發(fā)給了防火墻轉(zhuǎn)發(fā)。

顯然，此時防火墻還必須實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包可以透明的轉(zhuǎn)發(fā)。此外，防火墻要起到防火墻的作用，顯然還需要把數(shù)據(jù)包上傳給自身應(yīng)用層解決（此時實(shí)現(xiàn)應(yīng)用層代理、過濾等功能），此時需要端口轉(zhuǎn)發(fā)來實(shí)現(xiàn)（？這個地方不是十分清楚，也沒找到相關(guān)資料）。透明模式和非透明模式在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上的最大區(qū)別就是：透明模式的兩塊網(wǎng)卡（與路由器相連的和與內(nèi)網(wǎng)相連的）在一個網(wǎng)段（也和子網(wǎng)在同一個網(wǎng)段）；而非透明模式的兩塊網(wǎng)卡分別屬于兩個網(wǎng)段（內(nèi)網(wǎng)也許是內(nèi)部不可路由地址，外網(wǎng)則是合法地址）。

這個過程如下：

1.用ARP代理實(shí)現(xiàn)路由器和子網(wǎng)的透明連接（網(wǎng)絡(luò)層）

2.用路由轉(zhuǎn)發(fā)在IP層實(shí)現(xiàn)數(shù)據(jù)包傳遞（IP層）

3.用端口重定向?qū)崿F(xiàn)IP包上傳到應(yīng)用層（IP層）

前邊我們討論過透明代理，和這里所說的防火墻的透明模式是兩個概念。透明代理重要是為實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以透明的訪問外網(wǎng)，而無需考慮自己是不可路由地址還是可路由地址。內(nèi)網(wǎng)主機(jī)在使用內(nèi)部網(wǎng)絡(luò)地址的情況下仍然可以使用透明代理，此時防火墻既起到網(wǎng)關(guān)的作用又起到代理服務(wù)器的作用（顯然此時不是透明模式）。

需要澄清的一點(diǎn)是，內(nèi)外網(wǎng)地址的轉(zhuǎn)換（即NAT，透明代理也是一種特殊的地址轉(zhuǎn)換）和透明模式之間并沒有必然的聯(lián)系。透明模式下的防火墻能實(shí)現(xiàn)透明代理，非透明模式下的防火墻（此時它必然又是一個網(wǎng)關(guān)）也能實(shí)現(xiàn)透明代理。它們的共同點(diǎn)在于可以簡化內(nèi)網(wǎng)客戶的設(shè)立而已。

目前國內(nèi)大多防火墻都實(shí)現(xiàn)了透明代理，但實(shí)現(xiàn)了透明模式的并不多。這些防火墻可以很明顯的從其廣告中看出來：假如哪個防火墻實(shí)現(xiàn)了透明模式，它的廣告中肯定會和透明代理區(qū)分開而大書特書的。

5．可靠性

防火墻系統(tǒng)處在網(wǎng)絡(luò)的關(guān)鍵部位，其可靠性顯然非常重要。一個故障屢屢、可靠性很差的產(chǎn)品顯然不也許讓人放心，并且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問題，整個內(nèi)網(wǎng)的主機(jī)都將主線無法訪問外網(wǎng)，這甚至比路由器故障（路由器的拓?fù)浣Y(jié)構(gòu)一般都是冗余設(shè)計(jì)）更讓人無法承受。

防火墻的可靠性也表現(xiàn)在兩個方面：硬件和軟件。

國外成熟廠商的防火墻產(chǎn)品硬件方面的可靠性一般較高，采用專門硬件架構(gòu)且不必多說，采用PC架構(gòu)的其硬件也多是專門設(shè)計(jì)，系統(tǒng)各個部分從網(wǎng)絡(luò)接口到存儲設(shè)備（一般為電子硬盤）集成在一起（一塊板子），這樣自然提高了產(chǎn)品的可靠性。

國內(nèi)則明顯參差不齊，大相徑庭，大多直接使用PC架構(gòu)，且多為工業(yè)PC，采用現(xiàn)成的網(wǎng)卡，DOC/DOM作為存儲設(shè)備。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。

國內(nèi)已有部分廠家意識到了這個問題，開始自行設(shè)計(jì)硬件。但大多數(shù)廠家還是從成本的角度考慮使用通用PC架構(gòu)。

此外一方面，軟件可靠性的提高也是防火墻優(yōu)劣的重要差別所在。而國內(nèi)整個軟件行業(yè)的可靠性體系還沒有成熟，軟件可靠性測試大多處在極其初級的水平（可靠性測試和bug測試完全是兩個概念）。一方面是可靠性體系建立不起來，一方面是為了迎合用戶的需求和跟隨網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，多數(shù)防火墻廠商一直處在不斷的擴(kuò)充和修改中，其可靠性更不能讓人恭維。

總的來說，如同國內(nèi)大多數(shù)行業(yè)（除了少數(shù)如航天、航空）同樣，網(wǎng)絡(luò)安全產(chǎn)品特別是防火墻的可靠性似乎還沒有引起人們的重視。6．市場定位

市場上防火墻的售價極為懸殊，從數(shù)萬元到數(shù)十萬元，甚至到百萬元不等。由于用戶數(shù)量不同，用戶安全規(guī)定不同，功能規(guī)定不同，因此防火墻的價格也不盡相同。廠商因而也有所區(qū)分，多數(shù)廠家還推出模塊化產(chǎn)品，以符合各種不同用戶的規(guī)定。

總的說來，防火墻是以用戶數(shù)量作為大的分界線。如checkpoint的一個報價：

CheckPointFirewall-14.125user19000.00

CheckPointFirewall-14.150user31000.00

CheckPointFirewall-14.1100user51000.00

CheckPointFirewall-14.1250user64000.00

CheckPointFirewall-14.1無限用戶131000.00

從用戶量上防火墻可以分為：

a．10－25用戶：

這個區(qū)間重要用戶為單一用戶、家庭、小型辦公室等小型網(wǎng)絡(luò)環(huán)境。防火墻一般為10M（針對

硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：包過濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換

、狀態(tài)檢測、管理、實(shí)時報警、日記。一般另有可選功能：VPN、帶寬管理等等。

這個區(qū)間的防火墻報價一般在萬元以上2萬元以下（沒有VPN和帶寬管理的價格更低）。

據(jù)調(diào)查，這個區(qū)間的防火墻反而種類不多，也許是國內(nèi)廠商不屑于這個市場的緣故？

b．25－100用戶

這個區(qū)間用戶重要為小型公司網(wǎng)。防火墻開始升級到100M，三或更多網(wǎng)絡(luò)接口。VPN、帶寬管

理往往成為標(biāo)準(zhǔn)模塊。

這個區(qū)間的防火墻報價從3萬到15萬不等，根據(jù)功能價格有較大區(qū)別。相對來說，這個區(qū)間上

硬件防火墻價格明顯高于軟件防火墻。

目前國內(nèi)防火墻絕大部分集中在這個區(qū)間中。

c．100－數(shù)百用戶

這個區(qū)間重要為中型公司網(wǎng)，重要網(wǎng)站、ISP、ASP、數(shù)據(jù)中心等使用。這個區(qū)間的防火墻較多考慮高容量、高速度、低延遲、高可靠性以及防火墻自身的健壯性。并且開始支持雙機(jī)熱備份。這個區(qū)間的防火墻報價一般在20萬以上。這樣的中高端防火墻國內(nèi)較少，有也是25－100用戶的升級版，其可用性令人懷疑。

d．?dāng)?shù)百用戶以上

這個區(qū)間是高端防火墻，重要用于校園網(wǎng)、大型IDC等等。我們接觸較少，不多做討論。當(dāng)然其價格也很高端，從數(shù)十萬到數(shù)百萬不等。

總的來說，防火墻的價格和用戶數(shù)量、功能模塊密切相關(guān)，在用戶數(shù)量相同的情況下，功能越多，價格就越貴。如Netscreen的百兆防火墻：NetScreen-100f(ACPower)-帶防火墻+流量控制等功能,交流電源,沒有VPN功能報價在￥260,000而在此基礎(chǔ)上增長了128位VPN功能的報價則高出5萬元：￥317,500

7．研發(fā)費(fèi)用

如同其他網(wǎng)絡(luò)安全產(chǎn)品同樣，防火墻的研發(fā)費(fèi)用也是很高的。防火墻由于技術(shù)含量較高，人員技術(shù)儲備規(guī)定較高，防火墻核心部分的研發(fā)必須要對操作系統(tǒng)有相稱的熟悉，所需為UNIX系統(tǒng)下開發(fā)人員，而目前國內(nèi)真正能拿的出手的UNIX程序員數(shù)量還是太少（遠(yuǎn)遠(yuǎn)少于Windows平臺下開發(fā)人員），人員成本很高。

總的來說，防火墻的研發(fā)是一個大項(xiàng)目，并且其前期定位一定要準(zhǔn)確，該做什么、不該做什么，哪些功能得實(shí)現(xiàn)，哪些功能不必實(shí)現(xiàn)、哪些功能可以在后期實(shí)現(xiàn)，一定要清楚，否則費(fèi)用會遠(yuǎn)遠(yuǎn)超過預(yù)計(jì)。

下邊對一個中小型公司級防火墻的研發(fā)費(fèi)用作個簡樸的估計(jì)。

研發(fā)時，防火墻可以細(xì)分為（當(dāng)然在具體操作時往往需要再具體劃分）：

內(nèi)核模塊

防火墻模塊（含狀態(tài)檢測模塊）

NAT模塊

帶寬管理模塊

通信協(xié)議模塊

管理模塊

圖形用戶界面模塊（或者Web界面模塊）

透明代理模塊（實(shí)質(zhì)屬于NAT模塊）

透明模式模塊（涉及ARP代理子模塊、路由轉(zhuǎn)發(fā)子模塊等）

各應(yīng)用代理模塊（涉及URL過濾模塊）

VPN模塊

流量記錄與計(jì)費(fèi)模塊

審計(jì)模塊

其他模塊（如MAC、IP地址綁定模塊、簡樸的IDS、自我保護(hù)等等）

上邊把防火墻劃分為12個模塊，其中每一個模塊都有相稱的工作量要做，除了彈性較大的內(nèi)核模塊和防火墻模塊（它們的工作量也許異常的大，視設(shè)計(jì)目的不同），其他模塊暫定10人周的話就需要120周（VPN的工作量也相稱大），兩個主模塊各按20人周計(jì)算，防火墻實(shí)現(xiàn)總共需要150人周。加上前期10－15人周論證、定方案，后期20人周（保守?cái)?shù)字）集成、測試，前后總共需要約210人周。按每人周1200元開發(fā)費(fèi)用（折合工資5000月，但由于有運(yùn)營費(fèi)用、保險等費(fèi)用攤分，個人工資應(yīng)遠(yuǎn)低于這個數(shù)字），開發(fā)費(fèi)用約需25萬。

顯然，這個數(shù)字只是一個局外人估計(jì)的下限，實(shí)際的研發(fā)應(yīng)當(dāng)超過這個數(shù)字很多。

8．可升級能力（合用性）和靈活性

對用戶來說，防火墻作為大成本投入的商品，勢必要考慮到可升級性的問題，假如防火墻不能升級，那它的可用性和可選擇余地勢必要大打折扣。目前國內(nèi)防火墻一般都是軟件可升級的，這是由于大多數(shù)防火墻采用電子硬盤（少數(shù)采用磁盤），實(shí)現(xiàn)升級功能只要很小的工作量要做。但究竟升級些什么內(nèi)容？升級周期多長一次？這就涉及到一個靈活性的問題。

防火墻的靈活性重要體現(xiàn)在以下幾點(diǎn)：

a．易于升級

b．支持大量協(xié)議

c．易于管理（如納入通用設(shè)備管理體系（支持SNMP）而不是單列出來）

d．功能可擴(kuò)展

這里對功能可擴(kuò)展做一簡樸討論。一般情況下，防火墻在設(shè)計(jì)完畢以后，其過濾規(guī)則都是定死的，用戶可定制的余地很小。特別如URL過濾規(guī)則（對支持URL過濾的防火墻而言），當(dāng)前網(wǎng)絡(luò)中的漏洞是不斷發(fā)現(xiàn)的，如最近很猖獗的codered攻擊的就是Windows機(jī)器IIS服務(wù)器的ida漏洞，而我們假如可以及時定義過濾規(guī)則，對于“GET/default.ida”的請求及時過濾，那么內(nèi)網(wǎng)主機(jī)（此時一般為DMZ內(nèi)主機(jī)）的安全性就會高很多，內(nèi)網(wǎng)管理人員也不必時時密切關(guān)注網(wǎng)絡(luò)漏洞（這是個工作量很大，既花費(fèi)體力又容易出現(xiàn)漏掉的工作）。這樣大部分工作留給防火墻廠家來做（相應(yīng)需要有一個漏洞監(jiān)測體系），用戶肯定會滿意很多。此外，靈活性一開始也往往不是前期設(shè)計(jì)所能設(shè)計(jì)的很完美的，它需要和用戶具體實(shí)踐相配合。此外靈活性也是和具體環(huán)境密切結(jié)合的，往往需要在不同的用戶環(huán)境里考慮。如何構(gòu)建網(wǎng)絡(luò)整體安全方案整體的安全方案提成技術(shù)方案、服務(wù)方案以及支持方案三部分。一、技術(shù)解決方案安全產(chǎn)品是網(wǎng)絡(luò)安全的基石，通過在網(wǎng)絡(luò)中安裝一定的安全設(shè)備，可以使得網(wǎng)絡(luò)的結(jié)構(gòu)更加清楚，安全性得到顯著增強(qiáng);同時可以有效減少安全管理的難度，提高安全管理的有效性。下面介紹在局域網(wǎng)中增長的安全設(shè)備的安裝位置以及他們的作用。1、防火墻安裝位置：局域網(wǎng)與路由器之間;WWW服務(wù)器與托管機(jī)房局域網(wǎng)之間;局域網(wǎng)防火墻作用：(1)實(shí)現(xiàn)單向訪問，允許局域網(wǎng)用戶訪問INTERNET資源，但是嚴(yán)格限制INTERNET用戶對局域網(wǎng)資源的訪問;(2)通過防火墻，將整個局域網(wǎng)劃分INTERNET，DMZ區(qū)，內(nèi)網(wǎng)訪問區(qū)這三個邏輯上分開的區(qū)域，有助于對整個網(wǎng)絡(luò)進(jìn)行管理;(3)局域網(wǎng)所有工作站和服務(wù)器處在防火墻地整體防護(hù)之下，只要通過防火墻設(shè)立的修改，就能有限絕大部分防止來自INTERNET上的襲擊，網(wǎng)絡(luò)管理員只需要關(guān)注DMZ區(qū)對外提供服務(wù)的相關(guān)應(yīng)用的安全漏洞;(4)通過防火墻的過濾規(guī)則，實(shí)現(xiàn)端口級控制，限制局域網(wǎng)用戶對INTERNET的訪問;(5)進(jìn)行流量控制，保證重要業(yè)務(wù)對流量的規(guī)定;(6)通過過濾規(guī)則，以時間為控制要素，限制大流量網(wǎng)絡(luò)應(yīng)用在上班時間的使用。托管機(jī)房防火墻的作用：(7)通過防火墻的過濾規(guī)則，限制INTERNET用戶對WWW服務(wù)器的訪問，將訪問權(quán)限控制在最小的限度，在這種情況下，網(wǎng)絡(luò)管理員可以忽略服務(wù)器系統(tǒng)的安全漏洞，只需要關(guān)注WWW應(yīng)用服務(wù)軟件的安全漏洞;(8)通過過濾規(guī)則，對遠(yuǎn)程更新的時間、來源(通過IP地址)進(jìn)行限制。2、入侵檢測安裝位置：局域網(wǎng)DMZ區(qū)以及托管機(jī)房服務(wù)器區(qū);IDS的作用：(1)作為旁路設(shè)備，監(jiān)控網(wǎng)絡(luò)中的信息，記錄并記錄網(wǎng)絡(luò)中的異常主機(jī)以及異常連接;(2)中斷異常連接;(3)通過聯(lián)動機(jī)制，向防火墻發(fā)送指令，在限定的時間內(nèi)對特定的IP地址實(shí)行封堵。3、網(wǎng)絡(luò)防病毒軟件控制中心以及客戶端軟件安裝位置：局域網(wǎng)防病毒服務(wù)器以及各個終端防病毒服務(wù)器作用：(1)作為防病毒軟件的控制中心，及時通過INTERNET更新病毒庫，并強(qiáng)制局域網(wǎng)中已開機(jī)的終端及時更新病毒庫軟件;(2)記錄各個終端的病毒庫升級情況;(3)記錄局域網(wǎng)中計(jì)算機(jī)病毒出現(xiàn)的時間、類型以及后續(xù)解決措施。防病毒客戶端軟件的作用：(4)對本機(jī)的內(nèi)存、文獻(xiàn)的讀寫進(jìn)行監(jiān)控，根據(jù)預(yù)定的解決方法解決帶毒文獻(xiàn);(5)監(jiān)控郵件收發(fā)軟件，根據(jù)預(yù)定解決方法解決帶毒郵件;4、郵件防病毒服務(wù)器安裝位置：郵件服務(wù)器與防火墻之間郵件防病毒軟件：對來自INTERNTE的電子郵件進(jìn)行檢測，根據(jù)預(yù)先設(shè)定的解決方法解決帶毒郵件。郵件防病毒軟件的監(jiān)控范圍涉及所有來自INTERNET的電子郵件以及所屬附件(對于壓縮文獻(xiàn)同樣也進(jìn)行檢測)5、反垃圾郵件系統(tǒng)安裝位置：同郵件防病毒軟件，假如軟硬件條件允許的話，建議安裝在同一臺服務(wù)器上。反垃圾郵件系統(tǒng)作用：(1)拒絕轉(zhuǎn)發(fā)來自INTERNET的垃圾郵件;(2)拒絕轉(zhuǎn)發(fā)來自局域網(wǎng)用戶的垃圾郵件并將發(fā)垃圾郵件的局域網(wǎng)用戶的IP地址通過電子郵件等方式通報網(wǎng)管;(3)記錄發(fā)垃圾郵件的終端地址;(4)通過電子郵件等方式告知網(wǎng)管垃圾郵件的解決情況。6、動態(tài)口令認(rèn)證系統(tǒng)安裝位置：服務(wù)器端安裝在WWW服務(wù)器(以及其他需要進(jìn)行口令加強(qiáng)的敏感服務(wù)器)，客戶端配置給網(wǎng)頁更新人員(或者服務(wù)器授權(quán)訪問用戶);動態(tài)口令認(rèn)證系統(tǒng)的作用：通過定期修改密碼，保證密碼的不可猜測性。7、網(wǎng)絡(luò)管理軟件安裝位置：局域網(wǎng)中。網(wǎng)絡(luò)管理軟件的作用：(1)收集局域網(wǎng)中所有資源的硬件信息;(2)收集局域網(wǎng)中所有終端和服務(wù)器的操作系統(tǒng)、系統(tǒng)補(bǔ)丁等軟件信息;(3)收集互換機(jī)等網(wǎng)絡(luò)設(shè)備的工作狀況等信息;(4)判斷局域網(wǎng)用戶是否使用了MODEM等非法網(wǎng)絡(luò)設(shè)備與INTERNET連接;(5)顯示實(shí)時網(wǎng)絡(luò)連接情況;(6)假如互換機(jī)等核心網(wǎng)絡(luò)設(shè)備出現(xiàn)異常，及時向網(wǎng)管中心報警;8、QOS流量管理安裝位置：假如是專門的產(chǎn)品安裝在路由器和防火墻之間;部分防火墻自身就有QOS帶寬管理模塊。QOS流量管理的作用：(1)通過IP地址，為重要用戶分派足夠的帶寬;(2)通過端口，為重要的應(yīng)用分派足夠的帶寬資源;(3)限制非業(yè)務(wù)流量的帶寬;(4)在資源閑置時期，允許其別人員使用資源，一旦重要用戶或者重要應(yīng)用需要使用帶寬，則保證它們可以至少使用分派給他們的帶寬資源。9、重要終端個人防護(hù)軟件安裝位置：重要終端個人防護(hù)軟件的作用：(1)保護(hù)個人終端不受襲擊;(2)不允許任何主機(jī)(涉及局域網(wǎng)主機(jī))非授權(quán)訪問重要終端資源;(3)防止局域網(wǎng)感染病毒主機(jī)通過襲擊的方式感染重要終端。10、頁面防篡改系統(tǒng)安裝位置：WWW服務(wù)器頁面防篡改系統(tǒng)的作用：(1)定期比對發(fā)布頁面文獻(xiàn)與備份文獻(xiàn)，一旦發(fā)現(xiàn)不匹配，用備份文獻(xiàn)替換發(fā)布文獻(xiàn);(2)通過特殊的認(rèn)證機(jī)制，允許授權(quán)用戶修改頁面文獻(xiàn);(3)可以對數(shù)據(jù)庫文獻(xiàn)進(jìn)行比對。二、安全服務(wù)解決方案在安全服務(wù)方案中，采用不同的安全服務(wù)，定期對網(wǎng)絡(luò)進(jìn)行檢測、改善，以達(dá)成動態(tài)增進(jìn)網(wǎng)絡(luò)安全性，最大限度發(fā)揮安全設(shè)備作用的目的。安全服務(wù)分為以下幾類：1、網(wǎng)絡(luò)拓?fù)浞治龇?wù)對象：整個網(wǎng)絡(luò)服務(wù)周期：半年一次服務(wù)內(nèi)容：(1)根據(jù)網(wǎng)絡(luò)的實(shí)際情況，繪制網(wǎng)絡(luò)拓?fù)鋱D;(2)分析網(wǎng)絡(luò)中存在的安全缺陷并提出整改建議意見。服務(wù)作用：針對網(wǎng)絡(luò)的整體情況，進(jìn)行總體、框架性分析。一方面，通過網(wǎng)絡(luò)拓?fù)浞治觯梢孕纬删W(wǎng)絡(luò)整體拓?fù)鋱D，為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)平常管理等管理行為提供必要的技術(shù)資料;另一方面，通過整體的安全性分析，可以找出網(wǎng)絡(luò)設(shè)計(jì)上的安全缺陷，找到各種網(wǎng)絡(luò)設(shè)備在協(xié)同工作中也許產(chǎn)生的安全問題。2、中心機(jī)房管理制度制訂以及修改服務(wù)對象：中心機(jī)房服務(wù)周期：半年一次服務(wù)內(nèi)容：協(xié)助用戶制訂并修改機(jī)房管理制度。制度內(nèi)容涉及人員進(jìn)出機(jī)房的登記制度、設(shè)備進(jìn)出機(jī)房的登記制度、設(shè)備配置修改的登記制度等。服務(wù)作用：嚴(yán)格控制中心機(jī)房的人員進(jìn)出、設(shè)備進(jìn)出并及時登記設(shè)備的配置更新情況，有助于網(wǎng)絡(luò)核心設(shè)備的監(jiān)控，保證網(wǎng)絡(luò)的正常運(yùn)營。3、操作系統(tǒng)補(bǔ)丁升級服務(wù)對象：服務(wù)器、工作站、終端服務(wù)周期：不定期服務(wù)內(nèi)容：(1)一旦出現(xiàn)重大安全補(bǔ)丁，及時更新所有相關(guān)系統(tǒng);(2)出現(xiàn)大型補(bǔ)丁(如微軟的SP)，及時更新所有相關(guān)系統(tǒng);服務(wù)作用：通過及時、有效的補(bǔ)丁升級，可以有效防止局域網(wǎng)主機(jī)和服務(wù)器互相之間的襲擊，減少現(xiàn)代網(wǎng)絡(luò)蠕蟲病毒對網(wǎng)絡(luò)的整體影響，增長網(wǎng)絡(luò)帶寬的有效運(yùn)用率。4、防病毒軟件病毒庫定期升級服務(wù)對象：防病毒服務(wù)器、安裝防病毒客戶端的終端服務(wù)周期：每周一次服務(wù)內(nèi)容：(1)防病毒服務(wù)器通過INTERNET更新病毒庫;(2)防病毒服務(wù)器強(qiáng)制所有在線客戶端更新病毒庫;服務(wù)作用：通過不斷升級病毒庫保證防病毒軟件可以及時發(fā)現(xiàn)新的病毒。5、服務(wù)器定期掃描、加固服務(wù)對象：服務(wù)器服務(wù)周期：半年一次服務(wù)內(nèi)容：使用專用的掃描工具，在用戶網(wǎng)絡(luò)管理人員的配合，對重要的服務(wù)器進(jìn)行掃描。服務(wù)作用：(1)找出相應(yīng)服務(wù)器操作系統(tǒng)中存在的系統(tǒng)漏洞;(2)找出服務(wù)器相應(yīng)應(yīng)用服務(wù)中存在的系統(tǒng)漏洞;(3)找出安全強(qiáng)度較低的用戶名和用戶密碼。6、防火墻日記備份、分析服務(wù)對象：防火墻設(shè)備服務(wù)周期：一周一次服務(wù)內(nèi)容：導(dǎo)出防火墻日記并進(jìn)行分析。服務(wù)作用：通過流量簡圖找出流量異常的時間段，通過檢查流量較大的主機(jī)，找出局域網(wǎng)中的異常主機(jī)。7、入侵檢測等安全設(shè)備日記備份服務(wù)對象：入侵檢測等安全設(shè)備服務(wù)周期：一周一次服務(wù)內(nèi)容：備份安全設(shè)備日記。服務(wù)作用：防止日記過大導(dǎo)致檢索、分析的難度，另一方面也有助于事后的檢查。8、服務(wù)器日記備份服務(wù)對象：重要服務(wù)器(如WWW服務(wù)器、文獻(xiàn)服務(wù)器等)服務(wù)周期：一周一次服務(wù)內(nèi)容：備份服務(wù)器訪問日記服務(wù)作用：防止日記過大導(dǎo)致檢索、分析的難度，另一方面也有助于事后的檢查。9、白客滲透服務(wù)對象：對INTERBET提供服務(wù)的服務(wù)器服務(wù)周期：半年一次服務(wù)內(nèi)容：服務(wù)商在用戶指定的時間段內(nèi)，通過INTERNET，使用各種工具在不破壞應(yīng)用的前提下襲擊服務(wù)器，最終提供檢測報告。服務(wù)作用：先于黑客進(jìn)行探測性襲擊以檢測系統(tǒng)漏洞。根據(jù)最終檢測報告進(jìn)一步增強(qiáng)系統(tǒng)的安全性10、設(shè)備備份系統(tǒng)服務(wù)對象：骨干互換機(jī)、路由器等網(wǎng)絡(luò)骨干設(shè)備服務(wù)周期：實(shí)時服務(wù)內(nèi)容：根據(jù)用戶的網(wǎng)絡(luò)情況，提供骨干互換機(jī)、路由器等核心網(wǎng)絡(luò)設(shè)備的備份。備份設(shè)備可以在段時間內(nèi)替代網(wǎng)絡(luò)中實(shí)際使用的設(shè)備。服務(wù)作用：一旦核心設(shè)備出現(xiàn)故障，使用備件替換以減少網(wǎng)絡(luò)故障時間。11、信息備份系統(tǒng)服務(wù)對象：所有重要信息服務(wù)周期：根據(jù)網(wǎng)絡(luò)情況定完全備份和增量備份的時間服務(wù)內(nèi)容：定期備份電子信息服務(wù)作用：防止核心服務(wù)器崩潰導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓。12、定期總體安全分析報告服務(wù)對象：整個網(wǎng)絡(luò)服務(wù)周期：半年一次服務(wù)內(nèi)容：綜合網(wǎng)絡(luò)拓?fù)鋱蟾?、各種安全設(shè)備日記、服務(wù)器日記等信息，對網(wǎng)絡(luò)進(jìn)行總體安全綜合性分析，分析內(nèi)容涉及網(wǎng)絡(luò)安全現(xiàn)狀、網(wǎng)絡(luò)安全隱患分析，并提出改善建議意見。服務(wù)作用：提供綜合性、全面的安全報告，針對全網(wǎng)絡(luò)進(jìn)行安全性討論，為全面提高網(wǎng)絡(luò)的安全性提供技術(shù)資料。以上是服務(wù)解決方案，眾所周知，安全產(chǎn)品一般是共性的產(chǎn)品，通過安全服務(wù)，可以配制出適合本網(wǎng)絡(luò)的安全設(shè)備，使得安全產(chǎn)品在特定的網(wǎng)絡(luò)中發(fā)揮最大的效能，使得各種設(shè)備協(xié)同工作，增強(qiáng)網(wǎng)絡(luò)的安全性和可用性。當(dāng)然，在網(wǎng)絡(luò)中，不安全是絕對的，即使采用種種措施，網(wǎng)絡(luò)也也許遭到應(yīng)用某種因素?zé)o法正常運(yùn)作，這時候，就需要有及時有效的技術(shù)支持，使得網(wǎng)絡(luò)在盡也許短的時間內(nèi)恢復(fù)正常。下面將提出技術(shù)支持解決方案。三、技術(shù)支持解決方案技術(shù)支持是整個安全方案的重要補(bǔ)充。其重要作用是在用戶網(wǎng)絡(luò)發(fā)生重要安全事件后，通過及時、高效的安全服務(wù)，達(dá)成盡快恢復(fù)網(wǎng)絡(luò)應(yīng)用的目的。技術(shù)支持重要涉及以下幾方面：1、故障排除支持范圍：(1)用戶無法訪問網(wǎng)絡(luò)(如局域網(wǎng)用戶無法訪問INTERNET);(2)應(yīng)用服務(wù)無法訪問(如不能對外提供WWW服務(wù));(3)網(wǎng)絡(luò)訪問異常(如訪問速度慢)。作用：一旦網(wǎng)絡(luò)出現(xiàn)異常，為用戶提供及時、有效的網(wǎng)絡(luò)服務(wù)。在最短的時間內(nèi)恢復(fù)網(wǎng)絡(luò)應(yīng)用。2、劫難恢復(fù)支持范圍：設(shè)備碰到物理損害網(wǎng)絡(luò)網(wǎng)絡(luò)應(yīng)用異常。作用：通過備品備件，快速恢復(fù)網(wǎng)絡(luò)硬件環(huán)境;通過備份文獻(xiàn)的復(fù)原，盡快恢復(fù)網(wǎng)絡(luò)的電子資源;由此可在最短的時間內(nèi)恢復(fù)整個網(wǎng)絡(luò)應(yīng)用。3、查找襲擊源支持范圍：網(wǎng)絡(luò)管理員發(fā)現(xiàn)網(wǎng)絡(luò)遭到襲擊，并需要擬定襲擊來源。作用：通過日記文獻(xiàn)等信息，擬定襲擊的來源，為進(jìn)一步采用措施提供依據(jù)。4、實(shí)時檢索日記文獻(xiàn)支持范圍：遭到實(shí)時的襲擊(如DOS，SYNFLOODING等)，需要及時了解襲擊源以及襲擊強(qiáng)度。作用：通過實(shí)時檢索日記文獻(xiàn)，可以當(dāng)時存在的針對本網(wǎng)絡(luò)的襲擊并查找出襲擊源。假如襲擊強(qiáng)度超過網(wǎng)絡(luò)可以承受的范圍，可采用進(jìn)一步措施進(jìn)行防范。5、即時查殺病毒支持范圍：由不可擬定的因素導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)計(jì)算機(jī)病毒。作用：即使網(wǎng)絡(luò)中出現(xiàn)病毒，通過及時有效的技術(shù)支持，在最短的時間內(nèi)查處感染病毒的主機(jī)并即時查殺病毒，恢復(fù)網(wǎng)絡(luò)應(yīng)用。6、即時網(wǎng)絡(luò)監(jiān)控支持范圍：網(wǎng)絡(luò)出現(xiàn)異常，但應(yīng)用基本正常。作用：通過網(wǎng)絡(luò)監(jiān)控，近也許發(fā)現(xiàn)網(wǎng)絡(luò)中存在的前期網(wǎng)絡(luò)故障，在故障擴(kuò)大化以前及時進(jìn)行防治。以上是技術(shù)支持解決方案，技術(shù)支持是安全服務(wù)的重要補(bǔ)充部分，即使在完善的安全體系下，也存在不可預(yù)測的因素導(dǎo)致網(wǎng)絡(luò)故障，此時，需要及時、有效的技術(shù)支持服務(wù)，在盡也許短的時間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運(yùn)營。綜上所述，局域網(wǎng)的安全由三大部分組成，涵蓋設(shè)備、技術(shù)、制度、管理、服務(wù)等各個部分。四、分布實(shí)行建議意見網(wǎng)絡(luò)安全涉及面相稱廣，同時進(jìn)行建設(shè)的可行性較差，因此，建議按照以下方式進(jìn)行分階段實(shí)行。1、第一階段(1)技術(shù)方面，采用防火墻、網(wǎng)絡(luò)防病毒軟件、頁面防篡改系統(tǒng)來建立一個結(jié)構(gòu)上較完善的網(wǎng)絡(luò)系統(tǒng)。(2)服務(wù)方面，進(jìn)行網(wǎng)絡(luò)拓?fù)浞治觥⒔⒅行臋C(jī)房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級機(jī)制、對重要服務(wù)器的訪問日記進(jìn)行備份，通過這些服務(wù)，增強(qiáng)網(wǎng)絡(luò)的抗干擾性。(3)支持方面，規(guī)定服務(wù)商提供故障排除服務(wù)，以提高網(wǎng)絡(luò)的可靠性，減少網(wǎng)絡(luò)故障對網(wǎng)絡(luò)的整體影響。2、第二階段在第一階段安全建設(shè)的基礎(chǔ)上，進(jìn)一步增長網(wǎng)絡(luò)安全設(shè)備，采納新的安全服務(wù)和技術(shù)支持來增強(qiáng)網(wǎng)絡(luò)的可用性。(1)技術(shù)方面，采用入侵檢測、郵件防病毒軟件、動態(tài)口令認(rèn)證系統(tǒng)、并在重要客戶端安裝個人版防護(hù)軟件。(2)服務(wù)方面，對服務(wù)器進(jìn)行定期掃描與加固、對防火墻日記進(jìn)行備份與分析、對入侵檢測設(shè)備的日記進(jìn)行備份、建立設(shè)備備份系統(tǒng)以及文獻(xiàn)備份系統(tǒng)。(3)支持方面，規(guī)定服務(wù)商提供劫難恢復(fù)、實(shí)時日記檢索、實(shí)時查殺病毒、實(shí)時網(wǎng)絡(luò)監(jiān)控等技術(shù)支持。3、第三階段在這一階段，采用的措施以進(jìn)一步提高網(wǎng)絡(luò)效率為主。(1)技術(shù)方面，采用反垃圾郵件系統(tǒng)、網(wǎng)絡(luò)管理軟件、QOS流量管理軟件。(2)服務(wù)方面，采用白客滲透測試，規(guī)定服務(wù)商定期提供整體安全分析報告。(3)支持方面，規(guī)定可以實(shí)時或者時候查找襲擊源。以上針對用戶網(wǎng)絡(luò)分別從三個方面提出了安全解決方案，并按照實(shí)行的緊迫性提成三個階段來實(shí)現(xiàn)，但是實(shí)際針對某個用戶，對于安全的規(guī)定也許各不相同，具體網(wǎng)絡(luò)情況也也許有很大的差異，因此建議用戶根據(jù)實(shí)際情況建立網(wǎng)絡(luò)安全建設(shè)的時間表。此外，隨著新技術(shù)、新產(chǎn)品的不斷涌現(xiàn)，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，對于網(wǎng)絡(luò)安全的規(guī)定不斷提高，在實(shí)際實(shí)行過程中采用的措施完全也許超越本文中提及的產(chǎn)品、服務(wù)、支持，這也是安全建設(shè)的最基本原則：不斷改善，不斷增強(qiáng)，安全無止境。四臺Cisco防火墻實(shí)現(xiàn)VPN網(wǎng)絡(luò)其實(shí)四臺Cisco防火墻的VPN同兩臺防火墻做VPN沒什么大的區(qū)別，只是一定要注意路由的配置；在四臺Ciscopix做VPN中，有兩種方式，一種是采用一個中心的方式，另一種就是分散式的，前者，也就是說以一個PIX點(diǎn)為中心，其它的機(jī)器都連到本機(jī)上，在通過本機(jī)做路由；后者，則是在每一個路由上都要寫出到此外三臺的加密方式，這里采用的就是第一種類型；

以下，是施工圖以及四個Ciscopix的具體配置：

具體配置如下：

中心pix1：

:Saved

:Writtenbyenable_15at23:10:31.763UTCThuApr242023

PIXVersion6.2(2)

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100

enablepasswordNHvIO9dsDwOK8b/kencrypted

passwdNHvIO9dsDwOK8b/kencrypted

hostnamepixfirewall

fixupprotocolftp21

fixupprotocolhttp80

fixupprotocolh323h2251720

fixupprotocolh323ras1718-1719

fixupprotocolils389

fixupprotocolrsh514

fixupprotocolrtsp554

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060

fixupprotocolskinny2023

names

access-list101permitip

access-list101permitip

access-list101permitip

access-list101permitip

access-list101permitip

access-list101permitip

access-listhyzcpermiticmpanyany

access-listhyzcpermittcpanyany

access-listhyzcpermitudpanyany

pagerlines24

interfaceethernet0auto

interfaceethernet1auto

mtuoutside1500

mtuinside1500

ipaddressoutside40

ipaddressinside

ipauditinfoactionalarm

ipauditattackactionalarm

pdmhistoryenable

arptimeout14400

nat(outside)100

nat(inside)100

access-grouphyzcininterfaceoutside

routeoutside91

routeinside01

routeoutside1

routeoutside1

routeoutside1

routeoutside21

routeoutside491

routeoutside005291

timeoutxlate3:00:00

timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00

timeoutuauth0:05:00absolute

aaa-serverTACACS+protocoltacacs+

aaa-serverRADIUSprotocolradius

aaa-serverLOCALprotocollocal

nosnmp-serverlocation

nosnmp-servercontact

snmp-servercommunitypublic

nosnmp-serverenabletraps

floodguardenable

sysoptconnectionpermit-ipsec

nosysoptroutednat

cryptoipsectransform-setstrongesp-desesp-sha-hmac

cryptomaptohyjt20ipsec-isakmp

cryptomaptohyjt20matchaddress101

cryptomaptohyjt20setpeer

cryptomaptohyjt20setpeer

cryptomaptohyjt20setpeer

cryptomaptohyjt20settransform-setstrong

cryptomaptohyjtinterfaceoutside

isakmpenableoutside

isakmpkeyciscoaddressnetmask55

isakmpkeyciscoaddressnetmask55

isakmpkeyciscoaddressnetmask55

isakmpidentityaddress

isakmppolicy9authenticationpre-share

isakmppolicy9encryptiondes

isakmppolicy9hashsha

isakmppolicy9group1

isakmppolicy9lifetime86400

telnet955inside

telnet055inside

telnettimeout5

sshtimeout5

terminalwidth80

Cryptochecksum:8982919a8bfa10ba09cddee3f2da0e6a

:end

pix2配置：

:Saved

:Writtenbyenable_15at00:00:48.042UTCFriApr252023

PIXVersion6.2(2)

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100

enablepasswordN.swjdczcTdUzgrSencrypted

passwdN.swjdczcTdUzgrSencrypted

hostnameHYZCrc

fixupprotocolftp21

fixupprotocolhttp80

fixupprotocolh323h2251720

fixupprotocolh323ras1718-1719

fixupprotocolils389

fixupprotocolrsh514

fixupprotocolrtsp554

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060

fixupprotocolskinny2023

names

access-list101permitip

access-list101permitip

access-listhyzcpermiticmpanyany

access-listhyzcpermittcpanyany

access-listhyzcpermitudpanyany

pagerlines24

interfaceethernet0auto

interfaceethernet1auto

mtuoutside1500

mtuinside1500

ipaddressoutside52

ipaddressinside54

ipauditinfoactionalarm

ipauditattackactionalarm

pdmhistoryenable

arptimeout14400

nat(outside)100

nat(inside)0access-list101

nat(inside)100

routeoutside1

timeoutxlate3:00:00

timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00

timeoutuauth0:05:00absolute

aaa-serverTACACS+protocoltacacs+

aaa-serverRADIUSprotocolradius

aaa-serverLOCALprotocollocal

nosnmp-serverlocation

nosnmp-servercontact

snmp-servercommunitypublic

nosnmp-serverenabletraps

floodguardenable

sysoptconnectionpermit-ipsec

nosysoptroutednat

cryptoipsectransform-setstrongesp-desesp-sha-hmac

cryptomaptohyzc20ipsec-isakmp

cryptomaptohyzc20matchaddress101

cryptomaptohyzc20setpeer

cryptomaptohyzc20settransform-setstrong

cryptomaptohyzcinterfaceoutside

isakmpenableoutside

isakmpkeyciscoaddressnetmask55

isakmpidentityaddress

isakmppolicy9authenticationpre-share

isakmppolicy9encryptiondes

isakmppolicy9hashsha

isakmppolicy9group1

isakmppolicy9lifetime86400

telnet5355inside

telnettimeout5

sshtimeout5

terminalwidth80

Cryptochecksum:f63109daf8abcaf74a4f3b30ab01b48a公司級防火墻選購熱點(diǎn)防火墻是重要的網(wǎng)絡(luò)安全設(shè)備，一個配置良好的防火墻，可以有效地防止外來的入侵，控制進(jìn)出網(wǎng)絡(luò)的信息流向和信