浙江广播电视集团网络安全解决方案.doc

《浙江广播电视集团网络安全解决方案.doc》由会员分享，可在线阅读，更多相关《浙江广播电视集团网络安全解决方案.doc（22页珍藏版）》请在三一办公上搜索。

1、内 容 摘 要本文针对浙江广播电视集团网络，以及集团网络安全的建设、改造提出了相应的解决方案，并且从网络和网络安全两个主要方面进行了相关的阐述。首先，对在本方案中可能使用到的计算机网络、及网络安全的相关技术进行了阐述、分析和比较。然后，对集团中的计算机网络、以及网络安全的现状进行调查研究。其次，针对浙江广播电视集团的网络现状进行了详细的需求分析。最后，提出了一套针对浙江广播电视集团计算机网络、以及网络安全实际情况的网络、及网络安全的详细设计方案。实施本方案之后，有助于提高其计算机网络系统的可靠性、以及网络的安全性。关键词：网络系统，数据安全，网络安全，局域网ABSTRACTThe thesis

2、 brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then

3、, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpf

4、ul to improve the reliability of network and the safety of Internet.KEYWORDS：network system，data security, network security，LAN目 录第一章 引言1第一节 选题背景与意义1第二节 集团网络安全发展与现状1第三节 网络安全相关技术介绍2第二章 集团网络安全系统概况及风险分析4第一节 集团网络机房环境4第二节 网络应用数据备份4第三节 网络安全弱点分析5第四节 网络安全风险分析6第三章 集团网络安全需求与安全目标7第一节 网络安全需求分析7第二节 网络安全目标7第四章 集团

5、网络安全解决方案设计9第一节 网络监控管理系统9第二节 电子邮件安全解决方案9第三节 远程数据传输的加密10第四节 服务器的安全防护11第五节 计算机病毒防护的加强14第六节 网络攻击及防护演示效果图15第五章 结束语17参考文献18致 谢19第一章 引言第一节 选题背景与意义随着互联网的普及度越来越高，全世界的计算机都能通过互联网连接到一起。各种网上活动的日益频繁，使得网络安全问题日益突出，信息安全成为了一个重要的课题。各种各样的网络攻击层出不穷，如何防止网络攻击，保障各项业务的顺利进行，为广大用户提供一个安全的网络环境变得尤为重要。本论文针对浙江广播电视集团的计算机网络、以及网络安全的实际

6、解决方案。在实施了本方案之后，有助于提高集团计算机网络系统的可靠性、以及网络的安全性。认真分析网络面临的威胁，计算机网络系统的安全防范工作是一个极为复杂的系统工程，是一个安全管理和技术防范相结合的工程。首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础之上，再采用先进的技术和产品，构造全方位的防御机制，使系统在最理想的状态下运行。第二节 集团网络安全发展与现状图1-1网络拓扑图浙江广播电视集团作为省级广电传媒集团，现有计算机网络于2002年10月建成，在集团的运作和管理中发挥着重要的作用。近年来随着集团业务的发展，网络应用的不断深入，应用领域较

7、以前传统的、小型的业务系统逐渐向大型、关键业务系统方向扩展。大部分子系统已接入网络，远程数据传输、集团资料共享、动态数据查询、流媒体数据业务、集团网站运营等都在该网络上传输，整个网络的用户规模是原计算机网络规模的数十倍。随着网络规模的不断扩大、接入点数量的增多、内部网络中存在的安全隐患问题就会愈加突出，安全日益成为影响网络效能的重要问题，而互联网所具有的开放性、国际性和自由性在增加应用自由度的同时，对自身网络的安全性提出了更高的要求。虽然广电集团前期的网络建设有一定的安全措施，但因为网络复杂性的逐步提高，网络中存在隐患的可能性以及由此产生的危害性也大大提高，因此在网络系统的进一步建设过程中，及

8、时查清网络隐患的必要性就体现了出来。第三节 网络安全相关技术介绍要保证计算机网络系统的安全性，还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。一、防火墙技术为保证网络安全，防止外部网对内部网的非法入侵，在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统，该系统可以设定哪些内部服务可已被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。它可监测、限制、更改跨越防火墙的数据流，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。其主要有：数据包过滤、监测型、代理服务器等几大类型。二、数据加密技术与

9、防火墙配合使用的安全技术还有数据加密技术，是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。三、认证技术认证技术是防止主动攻击的重要手段，它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程，即认证建立信息的发送者或接收者的身份。认证的主要目的有

10、两个：第一，验证信息的发送者是真正的，而不是冒充的，这称为信号源识别；第二，验证信息的完整性，保证信息在传送过程中未被窜改或延迟等。目前使用的认证技术主要有：消息认证、身份认证、数字签名。四、虚拟专用网络（VPN）技术虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。VPN技术主要提供在公网上的安全的

11、双向通讯，采用透明的加密方案以保证数据的完整性和保密性。VPN技术的工作原理：VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信，它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。五、计算机病毒的防范首先要加强工作人员防病毒的意识，其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件：（一）较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种，在各种操作系统中包括Windows、 UNIX和Netware系统都有大量能够造成危害的计算机病毒，这就要求安装的防病毒软件能够查杀多种系统环境下的病毒，具有查毒、杀毒范围广、能力强的特点。（二）完善

12、的升级服务。与其它软件相比，防病毒软件更需要不断地更新升级，以查杀层出不穷的计算机病毒。第二章 集团网络安全系统概况及风险分析第一节 集团网络机房环境 目前，浙江广播电视集团计算机网络绝大多数的设备都是安放在新大楼13楼机房内的，只有楼层交换机是分布在各楼层的设备机柜中。根据本文的现场勘察和了解，目前大多数信息机房在机房的装修、温度和湿度控制、消防、照明、防静电、防雷等方面已经作了很多的考虑，主要有如下方面: 一、网络机房都作了可靠的防雷措施，建设有防雷接地网，其接地电阻小于1欧姆;大楼顶部建设有避雷针。 二、所有从网络机房大楼外接入网络机房的数据信号，全部采用光纤接入。 三、网络机房内大多配

13、备UPS电源系统。 四、机房内铺设防静电地板、吊顶，对墙面进行了无尘处理。 五、安装机房防盗监控系统。 六、配备机房消防系统和应急照明系统。 七、所有楼层交换机的供电都是由机房内 UPS 通过专用的线路直接供电，与楼层内的其它电源系统没有任何连接。第二节 网络应用数据备份 在广电集团的计算机网络中大多己经有功能数据备份与恢复系统，它是一套基于磁带介质的备份与恢复系统，有2套文件备份的License和1套Oracle数据库备份的License，进行服务器的文件备份和Oracle数据库的实时备份和恢复。 浙江广电集团网络中已经有了以下几个网络安全方面的考虑: 一、病毒防护 网络中使用了诺顿病毒防护

14、系统，该病毒防御系统是基于网络的病毒防护系统，在网络内能够远程的安装网络客户端的病毒防护软件，进行病毒特征库的自动更新，集中控制和管理。但是，网络中的病毒防护系统没有集中控制和管理的控制台，不能实时了解网络中防病毒客户端程序的安装情况、病毒感染和爆发的情况。 二、外网接入安全防护网络目前大多没有单独的外网接入点，没有自己的外网接入安全防护，使用统一的出口和安全策略。三、入侵检测系统在集团总部局域网与其他网络连接处采用的一套入侵检测系统具体部署如图2-1访问用户访问用户访问服务器路由器服务器路由器交换机交换机交换机交换机入侵检测系统互联网图2-1 广电集团入侵检测系统示意图第三节 网络安全弱点分

15、析浙江广电集团网络系统安全弱点主要包括:一、硬件弱点: 硬件隐患存在于服务器、终瑞、路由器、交换机和安全设备等设备中，一旦发生硬件的安全问题，将给主机和网络系统的可靠性、可控性、可用性和安全性等造成严重损害。二、操作系统弱点: 由于操作系统自身的漏洞和缺陷可能构成安全隐患。操作系统是计算机应用程序执行的基本平台，一旦操作系统被渗透，就能够破坏所有安全措施。靠打补丁开发的操作系统不能够从根本上解决安全问题，动态连接给厂商提供开发空间的同时为黑客开启了方便之门。三、数据库系统弱点: 由于数据库系统本身的漏洞和缺陷可能构成的安全隐患。四、网络系统弱点： TCP/IP协议本身的开放性导致网络存在安全隐

16、患。如：TCP/IP 数据通信协议集本身就存在着安全缺点，如：大多数底层协议采用广播方式，网上任何设备均可能窃听到情报； 协议规程中缺乏可靠的对通信双方身份认证手段，无法确定信息包地址真伪导致身份“假冒”可能；由于TCP 连接建立时服务器初始序号的可推测性，使得黑客可以由“后门”进入系统漏洞。五、通用软件系统弱点:如Web服务器等常用应用软件本身可能存在的安全弱点。六、业务系统弱点: 节目视频业务系统等本身的“Bug”或缺陷可能构成弱点。七、安全设计的弱点: 安全设计不周全可能构成系统防护的弱点，由于安全漏洞的动态性和安全威胁的增长性要求以及安全需求本身的限制，安全体系设计要求具有良好的可扩展

17、性和动态自适应性。八、管理弱点: 工具不多，技术水平不高，意识淡薄，人员不到位。第四节 网络安全风险分析网络本身所固有的结构复杂、高度开放、边界脆弱和管理困难等特点，增加了广电集团网络系统的安全风险。 由于网络自身的开放性和广电集团网络系统的特殊性使网络系统存在很大的安全风险性，主要有： 一、人为因素： 未经授权访问重要信息 恶意破坏重要数据 数据窃取、数据篡改 利用网络设计和协议漏洞进行网络攻击 假冒、伪造、欺骗、敲诈、勒索 内部人员恶意泄露重要的信息 管理员失职 二、自然因素： 设备的老化 火灾、水灾 (包括供水故障) 爆炸、烟雾、灰尘 通风 供电中断 电磁辐射、静电 以上都可能引起设备的

18、失效、损坏，造成线路拥塞和系统瘫痪等。第三章 集团网络安全需求与安全目标第一节 网络安全需求分析 为了确保广电集团网络系统的安全，其安全需求可以从安全管理层面、物理安全层面、系统安全层面、网络安全层面、应用安全层面等方面来分析。 从安全管理要求来分析，要考虑政策、法规、制度、管理权限和级别划分、安全培训等，特别要考虑基层人员计算机水平不高，系统设计和培训等方面要周密考虑，制定切实有效的管理制度和运行维护机制。 从物理安全要求来分析，要根据浙江广电集团实际情况，确定各物理实体的安全级别，建立相应的安全防护机制。 从系统安全需求来分析，需要解决操作系统安全、数据库系统安全、TCP/IP 等协议的安

19、全、系统缺陷、病毒防范等问题。 从网络安全需求来分析，要考虑系统扫描、入侵检测、设备监控和安全审计等，要防范黑客入侵、身份冒充、非法访问。要保证信息在公共传输通道上的机密性，拨号线路的保密性和身份鉴别。 从应用安全和信息安全需求来分析，要解决重要终端用户数据的加密、数据的完整性、数据的访问控制和授权以及数据承载终端设备 (各种计算机、笔记本电脑、无线WAP终端及其它终端设备) 以及其中运行的操作系统的安全可靠。 因此，广电集团网络系统安全要重点做好以下几方面的工作，同时也是本安全方案的设计需要解决的问题： 一、解决内部外部系统间的入侵检测、信息过滤 (防止有害信息的传播)、网络隔离问题； 二、

20、解决内部外部黑客针对网络基础设施、主机系统和应用服务的各种攻击所造成的网络或系统不可用、信息泄密、数据篡改等所带来的问题； 三、解决重要信息的备份和系统的病毒防范等问题； 四、建立系统安全运行所匹配的管理制度和各种规范条例； 五、建立健全浙江广电集团网络系统安全培训制度及程序等方面的问题； 六、解决浙江广电集团和其它相关单位部门网络信息交流带来的安全问题。第二节 网络安全目标计算机网络的安全问题与单台计算机的安全在实际中存在着非常大的差别。网络不是分装在一个机箱内，存在着传输系统的地域分布问题。这些传输通信系统可以是有线的，也可以是无线的。这类传输可以在中途被截获，存在着“中间攻击”的问题。从

21、攻击的手段来看，攻击种类和机制非常多。访问控制和鉴别也比单台计算机困难，网络安全要特别重视防截获，防泄露和信息加密的实施。 目前所采用的网络防护方法也就是在进入计算机操作系统控制中的网络访问和网络协议上实施的。 网络防护的基本服务: 网络访问控制(MAC)、鉴别、数据保密性、数据完整性、行为的完整性、抗抵赖性、可用性等。 网络安全的目的是保护在网络系统中存储、传输和处理的信息的安全，概括为确保信息的完整性、保密性、可用性和不可抵赖性。 信息的保密性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的查看； 信息的完整性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的改变； 信息

22、的可用性和可靠性指的是在计算机网络系统中存储、传输和处理的信息为授权用户提供及时、方便、有效的服务；信息的不可抵赖性指的是内部人员对信息的操作不可抵赖。 为了更加完整的执行上述网络信息安全的思想，防止来自集团内部局域网上的攻击，又由于浙江广电集团网络连接关系复杂、网络设备多，使用租用的国内的通信线路，存在着传输线搭接窃听或辐射接收窃听等环节。因此要做到以下几个要求： 1) 防止计算机病毒的蔓延 集团网络众多的用户，可能由于内部管理上疏忽，装入未经杀毒处理的软件或是从因特网上下载了带病毒的文件。还可能来自外部黑客释放病毒、逻辑炸弹的攻击等，这些都对计算机网络系统安全构成严重威胁。病毒广泛地传播，

23、将造成网络软硬件设备的损害以至于整个网络系统瘫痪。 2) 加强网络安全的动态防护 网络黑客攻击手段、计算机病毒等都处于不断的发展和变化中，使用目前的安全保密技术和产品是难以构造一种绝对安全、无缝隙和一劳永逸的网络系统的。因此，安全的网络系统必须具有网络安全漏洞的检测和监控功能。通过安全检测、监控手段，及时发现网络安全漏洞和各种恶意的攻击手段，及时提供修补系统漏洞的建议并阻断来自内外的非法使用和攻击。 3) 保障集团内部业务系统的安全稳定 由于涉及省台与各地方台的视频传输，不可避免的会遇上各种各样的问题，因此，在网络层对业务的安全要保障得力，并且要确认信息传输的安全稳定。第四章 集团网络安全解决

24、方案设计第一节 网络监控管理系统由于浙江广电集团的网络建设已有很多年的时间了，其很多网络设备都自带了监控及管理软件或工具，但是这些工具在问题发生之后很难解决问题。而网络监控管理系统的实时映射、网络瓶颈通知和设备失败通知却可以帮助用户快速隔离问题，并且在员工抱怨之前解决问题。这里对推荐的美国 CA 公司的网络监控管理系统 (Unicenter Network & System Management)所能够达到的功能简单地说明一下：通过 TCP/IP 协议，不需要专门的培训，用户就可以配置该网络监控管理系统，启动网络监视管理功能后，能够监控的网络设备包括工作站、服务器、主机、网桥、路由器、集线器、

25、打印机等在内的几乎所有网络元件。当用户决定使用该网络监控管理系统软件时，首先可以通过该软件的网络探查功能，能够全面查看用户网络的底层构件，确认整个网络的体系结构，并以一种可描述可管理的模式定位所有的网络设备，并将这些设备存储起来，迅速绘出网络结构图，同时启动设备的监控，而这些过程都是自动生成的，非常简单易用，可操作性强，这对于网络设备非常多、而专业网络管理人员较少的企业来说就显得非常重要。在这个过程中，首先通过该网络监控管理系统 24X7 的全时设备轮询网络监视功能，迅速识别网络元件的任何问题，当监测到问题时，可以不同的颜色显示出来，并以通过手机、e-mail、声音警报通知管理人员，同时根据各

26、网络元件相互之间的依赖关系，自动关闭与有问题网络元件之后的所有网络元件的连接，减少冗余数据数量，避免冗余通知。此外，还能对网络元件的潜在问题、网页的正确性、可用性、网络的性能以及系统资源进行有效的监控管理。当网络监控管理系统识别网络失效时，在向相关人员发送警报及通知时，该软件还可启动一个程序来定位网络失效。因此，当状况被隔离之后，一个特定的应用程序或者脚本程序就会被执行，或许是重启这个服务或许是重启计算机。这个进程是自动的，因此当相关人员收到设备失效的通知时，相应的措施已经采取了，管理人员不用回到办公室，因为当管理人员在收到通知时已经知道问题己经解决了。在这一系列监控与管理过程中，网络监控管理

27、系统都能自动生成监控及管理日志，并对系统的使用情况与趋势形成报告，以便用户形成较为完善的系统化管理，提升工作效率。第二节 电子邮件安全解决方案解决电子邮件安全问题，我们需要从三个方面来考虑如何应对：1) 对带病毒邮件、垃圾邮件等恶意邮件的过滤和封堵；2) 对进出邮件系统的所有邮件进行备份，用于监控和备查；3) 对敏感的邮件内容进行加密传输，防备在传递路径上的恶意窥伺。对集团来讲，现实的方法是结合现有的成熟技术，组合出一个在经济上和技术上合理的解决方案，同时要保证长期的维保成本。邮件系统的安全解决方案包括如下三个部分：1、电子邮件安全网关技术方案通过邮件安全网关的部署，在病毒程序、垃圾邮件等不良

28、信息进入集团邮件系统之前，便对其进行遏制、阻截，从而保证集团电子邮件系统的安全稳定运行，节省邮件系统存储空间，避免机密的泄漏。在邮件网关硬件系统上整合邮件反病毒引擎，对进入集团邮件系统的电子邮件进行病毒检测，采取邮件隔离、删除以及清除病毒等操作，减少病毒对邮件服务器的攻击。应根据互联网最新病毒发展趋势，定时升级邮件网关病毒库。2、邮件备份系统技术方案在集团现有邮件系统的基础上，实现对指定时间内(如最近一年)所有收发邮件的备份，并且管理员根据邮件信息摘要(例如：发件人、收件人、主题、日期、附件名称等)进行检索和查看邮件全部内容。3、邮件加密系统技术方案保护重要电子邮件不被泄密，防止内部人员未经许

29、可将重要电子文档以邮件的方式泄密，防止电子邮件被截取而引起的泄密。保证工作效率，在尽量不改变使用者收发邮件操作习惯的基础上，保证电子邮件正常畅通使用。考虑到文件安全扩展的需求，除电子邮件之外，信息泄密还有多种途径。在保护邮件安全的基础上，要考虑到日后系统的扩展性。 邮件安全管理系统综合动态加解密技术、访问权限控制技术、使用权限控制技术、期限控制技术、身份认证技术、操作日志管理技术、硬件绑定技术等多种技术对电子邮件进行保护。第三节 远程数据传输的加密 建立基于SSL VPN技术加密访问系统，使得从Internet到内部网络的访问使用SSL VPN数据加密通道，保证数据在传输过程中保密性。 目前能

30、够提供 SSL VPN 加密产品的厂家很多，但是本文认为在SSL VPN技术的先进性、加密传输的速率、以及厂家的技术服务等方面，Juniper的Netscreen SA 1000具有相对的优势，是其它厂家无法比的。 Juniper 网络公司SSL VPN产品家族的Netscreen-SA 1000系列，使企业可以部署经济高效的远程接入、外联网及内联网安全性。用户可从任何标准 Web浏览器接入企业网络和应用。NetScreen-SA 1000系列使用SSL作为安全接入传输机制，SSL是所有标准Web浏览器中使用的安全协议。使用SSL使客户无需部署客户端软件、无需更改内部服务器，也无需进行成本高昂

31、的长期维护。NetScreen-SA 1000产品提供先进的合作伙伴喀户外联网特性，以控制用户或用户组的网络访问，无需更改基础设施、无需部署DMZ 、也无需软件代理。这项功能还允许公司安全接入企业内联网，使管理员可以根据不同员工、承包商和访问者所需的资源来限制他们的接入权限。 NetScreen-SA 1000系列解决方案的主要特性与优势如下: 一、端到端分层安全性 端点客户端、设备、数据和服务器的分层安全性控制，Juniper网络公司 Endpoint Defense Initiative(端点防御计划)，用于提供最高的端点安全性可以根据用户组或角色、网络、设备及会话属性来规定基于用户身份的

32、接入降低总拥有成本。不需要部署客户端软件或更改服务器，几乎不需要长期维护。从单一平台安全地远程接入内联网和外联网安全的外联网接入，无需构建 DMZ、无需加固服务器、无需复制资源、或无需增加部署来添加应用或用户简化 二、可管理性 （一）集中管理选项提供统一管理 （二）用户自助服务功能，可降低技术支持服务窗口的支持成本（三）细粒度的审计和日志记录（四）3 种不同的接入方法，允许管理员根据具体目的来设置接入权限 （五）基于角色分配管理任务三、高可用性群集对部署选项，可为整个LAN和WAN提供高可用性。第四节 服务器的安全防护 一、业务服务器的安全防护 （一）防火墙的安装 这里将在Catalyst 4

33、506交换机与服务器群的交换机之间安装一台高性能的防火墙，并根据服务器群中的每台服务器的应用系统的情况，在该防火墙上进行一对一的安全策略配置的工作。 （二）入侵检测系统的安装 这里将在服务器群的交换机上配置一个侦听端口，将流经该交换机所有端口的数据包都复制一份传送到侦听端口上；再把入侵检测系统连接到该侦听端口，接收该端口输出的所有数据包，并对这些数据包进行入侵分析、判断和记录。本文将负责完成入侵检测安装配置工作。 二、涉及到的设备选择（一）防火墙的选择防火墙的类型主要有：数据包过滤、监测型、代理服务器等几大类型。1）包过滤型包过滤型防火墙是防火墙的较初级产品，其技术基于网络中的分包传输技术。网

34、络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。如图4-1所示:数据源判断数据的地址信息危险地址数据可信任地址数据拒绝通过FR允许通过FR图4-1包过滤型防火墙的工作原理包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺

35、陷也是明显的。包过滤技术是一种完全基于网络层的安全技术只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。2）代理型代理型防火墙也能够被称为代理服务器，它的安全性要高过包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器;而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，

36、然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到集团内部网络系统。如图4-2所示客户机访问服务器访问代理服务器代理服务器服务器客户机图4-2代理型防火墙的工作原理代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。它的缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。 本文将选用业界性能较好的、可靠性较高的Juniper 的NetScreen 5200防火墙，该防火墙的技术参数如表4-1表 4-1 Net

37、Screen 5200 防火墙技术参数表物性/功能NetScreen-5200接口数2个XFE 1OGigE，或8个Mini-GBIC, 或2个Mini-GBIC+24 10/100最大吞吐量1OG 防火墙5G 3DES/AFS VPN最多会话数1,000,000最多VPN 隧道数30,000最多策略数4000,000最多虚拟系统数5最多虚拟LAN 数4000最多安全区域数默认设置为16个，最多增加1000个最多虚拟路由器数默认设置为3个，最多增加500个支持的高可用性模式主用/备用支持的路由协议OSPF, BGP, RIRV1/V2深层检测是集成/重新定向，Web过滤是/否 （二）入侵检测系

38、统的选择这里选用国内拥有领先安全技术水平的天融信千兆级入侵检测系统NGIDS-UF。其主要的技术指标如表4-2表4-2 NGIDS-UF 入侵检测系统技术指标表型号NGIDS-UF类别千兆IDS规格2U 机架式网络接口1个10/100Base-TX: 2个千兆光纤2wh 10/100/1000Base-TX串口1个RS-232C第五节 计算机病毒防护的加强一、在原有的病毒防护系统增加集中管理控制台新增一台服务器，在上面安装一套诺顿的病毒防护的集中管理控制台。这里将安装该服务器系统和诺顿的集中管理控制的软件系统。二、增加网络病毒防火墙在每个楼层交换机的上联端接入一台网络病毒防火墙，对局域网内的病

39、毒进行区域控制：在二级单位广域网入口处安装一台网络病毒防火墙，保障二级单位的广域网线路不会受到病毒数据包的影响。涉及到的设备选择：(一)诺顿的防病毒集中管理控制台只有选用诺顿的集中管理控制软件才能控制和管理诺顿的网络防病毒系统的客户端软件。(二)网络病毒防火墙目前有趋势相关的硬件产品出售，并且该产品还能够与诺顿的网络防病毒客户端软件进行联动。所以本文选择部署趋势的NVW1200网路病毒防火墙。该网络病毒防火墙的主要功能如下:1.执行免代理的安全策略网络病毒墙对非兼容设备进行隔离修正，以确保所有设备在进入网络前都安装有最新的防病毒及关键的操作系统补丁。执行免代理的安全策略可减少管理负荷，并可同时

40、降低被合作伙伴或VPN用户的非兼容设备感染的风险。2.漏洞隔离网络病毒墙根据Trend Micro的漏洞评估功能，隔离网络蠕虫可利用的潜在环节，使管理者有选择地隔离薄弱(未安装不定程序)的网络段或设施，避免病毒的爆发。网络病毒墙提供漏洞评估服务，并将该功能作为一个可选项。3.灵活的、集中式管理网络病毒墙包括趋势科技企业安全管控中心、及一个集中式、基于网络的管理控制台，它根据主机安装永久代理的需要实施安全更新部署。该服务可以自动部署、或点击管理控制台的选项进行手工部署。4.网络扫描及侦测网络病毒墙通过扫描网络流量查找蠕虫及漏洞利用，并基于趋势实验室提供的最新病毒码来自动清除感染的网络数据包。另外

41、，网络病毒墙利用趋势科技先进的启发式技术对您的网络实施监控，并提供威胁的早期预警。5.网络病毒爆发监控网络病毒墙通过实时监控网络流量或可疑活动来提供早期的威胁预警。并在中心控制台上发出病毒爆发通知，立即提示管理者蠕虫攻击目标、受感染的主机、或具体的受攻击的漏洞。6.网络病毒爆发防御网络病毒墙部署了Trend Micro病毒爆发防御服务，通过阻绝任何蠕虫传播组合，包括8地址或地址范围、端口及协议、即时通讯渠道、文件类型扩展名、及文件传递。7.自动清除损害网络病毒墙通过隔离感染的网络段、主机、或客户，进行清除及修正，阻止了再次感染。凭借自动、免代理清除蠕虫(木马)痕迹、及系统文件配置(system

42、.ini)修复功能，Trend Micro的清除损害服务可以防止再次感染，降低清除成本。第六节 网络攻击及防护演示效果图图4-3网络攻击及防护演示效果图针对浙江广电集团的网络结构，当出现如下各类情况时解决方案如图4-3所示：1、 漏洞扫描-识别攻击行为2、 上传病毒/木马-修复系统漏洞3、 启用后台服务监听-防病毒软件4、 远程控制服务器-防火墙入侵检测5、 攻击业务系统-防火墙、双机容错6、 破坏系统数据-备份、灾难恢复7、 客户端中毒-防病毒软件第五章 结束语计算机网络的可靠性和安全性是在不断地变化的，不同的时期或者阶段对网络的可靠性和安全性方面的要求是不一样的。在网络的建设之初，集团网络

43、关心最多的是网络的连通性，只需要网络能够传送数据即可，对于网络数据的延迟、以及网络短时间的中断都没有过多的要求:当网络中存在着涉及到集团的关键性应用系统时，就对网络数据的延迟时间、以及网络的中断时间上就有了很高的要求，在一般情况下，为了保障集团应用系统的连续运行，集团网络系统是不允许发生网络中断的。因此，本文在方案的设计中就已经考虑到要符合目前的、以及将来的网络应用系统的需要，同时本文设计的网络系统的可靠性和安全性可以根据集团网络业务系统的需要进行相关的调整，满足变化之后的网络业务系统的要求。本方案是一个针对浙江广电集团目前计算机网络现状的网络、及网络安全的解决方案，在随后的分期分批的项目实施

44、过程中，由于集团网络环境、以及网络应用系统的变化，会在细节上根据实际情况进行相应的调整，如:安装设备数量、设备安装具体地点等，只要在总的布局、要求以及标准上保持不变，实施之后就能够达到本方案的设计要求。同时，本方案在设计、以及设备的选型上，己经做了今后扩展的考虑。本方案并没有解决浙江广电集团计算机网络、以及网络安全方面的所有问题，随着计算机网络、及网络安全的技术不断地发展，以及集团网络应用系统不断地新增，集团业务系统也会对集团的计算机网络系统的结构和网络安全方面提出更高的要求，实现后满足集团实际的需要。【参考文献】1 张国清.CCNP BSCI详解.北京:电子工业出版社，2006.2 拉斯特.

45、网络安全基础M.北京：中国邮电出版社，2006.3 常晓波.CISCO网络安全.北京：清华大学出版社，2004.4 王达.网管员必读网络安全.电子工业出版社. 2007.5 非常掌上宝系列编委会.数据备份恢复与系统重装一条龙.北京:科学出版社，2005.6 张公忠.现代网络技术教程北京:电子工业出版社，2004.7 飞科研发中心.电脑防毒防黑急救.北京:电子工业出版社，20028 黄志晖.计算机网络管理与维护全攻略.西安:西安电子科技大学出版社，2004.9 欧阳江林.计算机网络实训教程，北京:电子工业出版社，2004.10 金纯.IEEE802.11无线局域网北京:电子工业出版社，20041

46、1 施裕琴.网络安全的入侵检测系统及发展研究.集团经济研究2006,(27):25-26.12 董凯虹.网络监控管理系统的功能.计算机世界周刊.2006.(4):50-5113 胡越明.Internet技术及其实现.北京:高等教育出版社，2005.14 陈雪著.Windows XP的完善.上海理工大学出版社，2005.815 麦肯兰勃.网络安全评估.北京：中国电力出版社，2006.16 C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.17 W Stallings , Cryptography And Network Security: Principles and Practice， 2006.18 Allan liska ,The Practice of