渝安集团网络安全问题及对策毕业论文.doc

1、摘 要 随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要起来，已被信息社会的各个领域所重视。 Internet日益普及，网络安全问题也日益突出，如何在开放网络环境中保证企业数据和系统的安全性已经成为大家关心的问题，并越来越迫切和重要。虽然目前对安全技术的研究也越来越深入，但目前的技术研究重点都放在了某一个单独的安全技术上，却很少考虑如何对各种安全技术加以整合，构建一个完整的网络安全防御系统。渝安集团网络安全防御系统重点论述了构建一个网络安全防御系统的

2、方案设计和实现过程。 本文对渝安集团网络存在的安全隐患进行了分析，并探讨了针对这些网络安全问题的防范策略。 本文介绍了计算机网络和网络安全的概念，对渝安集团的网络安全需求进行了深入调查和分析，对该公司互联网的安全问题提出了解决方案，认为实现网络安全措施的一种重要手段就是防火墙技术，因而重点介绍了防火墙种类和防火墙技术的实现。 关键词：网络安全； 安全策略； 防火墙 目 录 引 言 1 第1章 企业网络安全需求分析 2 1.1 渝安集团简介 2 1.2 网络安全概念 2 1.3 网络安全需求 2 1.4 建设内容 3 第2章 企业网络安全问题分析 4

3、 2.1 渝安集团网络安全问题 4 2.2 网络攻击分析 5 2.2.1 网络监听 5 2.2.2 拒绝服务攻击 6 2.2.3 远程攻击 7 2.2.4系统攻击 8 第3章 企业网络安全技术 9 3.1 密码学技术 9 3.2 访问控制技术 9 3.3 安全通信协议 9 3.4 入侵检测 10 3.5 网络防御体系 10 第4章 网络安全解决方案 19 4.1 方案总体设计 19 4.2 具体方案实施 19 4.2.1 入侵检测系统 19 4.2.2 防病毒系统 21 4.2.3 防火墙技术 24 结束语 28 参考文献 29 致 谢

4、 30 引 言 计算机网络安全问题造成的影响将是灾难性的。计算机网络的安全与网络设备、网络软件(尤其是防病毒软件和网络管理软件)、备份措施,以及相关的网络管理措施等都有关系。 一个完善、安全的网络系统应该包括以下几个功能: 1.病毒防范,减少病毒造成的危害; 2.访问控制3.监控、审计功能；4.安全漏洞检查。 本文主要介绍渝安集团网络安全问题的分析及其对策，针对常见的网络攻击提出以下解决方案：密码学技术，访问控制技术，安全通信协议，入侵检测，网络防御体系以及防火墙技术。 防火墙是网络安全的关键技术 ,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。本文讨论了实现防火墙

5、的主要技术手段 ,重点阐述了现行防火墙的功能、类型、安全措施以及防火墙技术的发展。 30 第1章 企业网络安全需求分析 1.1 渝安集团简介 重庆渝安创新科技（集团）有限公司地处重庆市沙坪坝区上桥工业园，是一家集研发、生产、销售摩托车、汽车及发动机、减震器为一体的高科技大型民营企业，2004年3月，渝安集团被评为“国家级守合同重信用”企业；集团被重庆市经委连续六年确立为重庆市66户重点增长企业；被重庆市工商局确定为企业年检免检企业；连续四年被重庆市政府评为重庆市民营企业50强。同时，集团还连年被重庆市沙坪坝区国税、地税局联合上报为诚信纳税先进单位。集团董事张兴海先后荣获国家农业部

6、颁发的第四届、第五届“国家乡镇企业企业家”称号和获得重庆市五一创新劳动奖章，2006年又被市政府评为优秀社会主义建设者。 集团创始于1986年9月。经过19年的发展,到2005年底，拥有资产6.1亿元，生产厂房面积80000余平方米，占地700余亩的渝安科技工业园（在重庆井口工业园区内）也已动工建设，一期工程已全部建成投产。集团现有在册员工4000余人，其中各类专业技术管理人员600余人，技术工人3000余人。 集团依靠强大的技术研发能力和生产能力，实施多元化配套体系发展战略，时至今日，已具备年生产摩托车减震器400万套/台、汽车减震器30万套/台、汽车发动机5万台、摩托车30万辆的能力

7、集团拥有嘉陵、力帆、宗申、隆鑫、大长江集团等固定的减震器客户和遍及全国主要大中城市的摩托车、微型汽车营销网点。渝安集团进出口公司在世界各地设有办事处，产品已销往东南亚、中东、非洲、欧洲、美洲等地区。 1.2 网络安全概念 网络安全技术指致力于解决诸如如何有效进行介入控制，以及如何保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。 1.3 网络安全需求 对于渝安集团来讲，必须面对或解决存在的网络安全和管理问题，根据网络安全调查分析，目前渝安集团的安全需求包括： l 保护涉密数据，防止

8、泄密； l 终端用户应用程序管理； l 终端用户设备和资产管理； l 终端用户网络访问资源管理； l 操作系统补丁统一升级； l 日志审计。 1.4 建设内容 1.网络安全系统的架构 进一步完善公司内部网络系统，实现信息中心与下属单位及相关单位的高速互联互通，建立完善、安全的内部网络系统。 2.数据安全传送系统 渝安集团的安全系统将建立在总部的网络通讯基础及网络应用平台之上，把总部数据安全系统建设成一个安全、可靠、开放、高效的信息网络，为总部以下的全国各地信息终端提供现代化的日常数据传送条件及丰富的综合信息服务，提供整个系统范围内的文件、数据及通讯服务,实现通用办公、领导

9、办公、公用信息、个人信息、信息汇总等处理自动化、安全化，以提高办公效率和安全管理水平。 第2章 企业网络安全问题分析 如今已到了商业时代，随着金钱利益的驱动，行行色色的各类人进入了互联网。而商场如战场，不同的企业之间，就可能为了自己的利益，用尽手段，以达到他们的目的，而网络企业就更出在浪尖上，因为互联网，本身就有许多的缺陷，不良企图的人就有机可乘了。他们被金钱利益驱动，他们也有着不错的技术，却被金钱物欲所俘获，将自己的技术和灵魂出卖给金钱——只要为了经济利益，可以不择手段地进行破坏。使用着前几类人所开发者的工具，对网络上的机器——不管是终端用户还是服务器进行扫描；看到有漏洞的系统就又使用他

10、人的教程、工具尝试进入，并在进入之后大肆进行破坏，所以要提高企业网络安全保护。 2.1 渝安集团网络安全问题 随着渝安集团信息化逐步深化，在此过程中也出现了很多相关问题， 1.现代管理方式的变革及带来的问题 互联网时代，世界每天都在发生变化。对于渝安集团来说，渝安集团现有的管理体制也在逐渐吸取新的管理方式，采取新的手段来适应时代的发展，现在渝安集团有很多个分厂，分厂之间、分厂与总厂之间的沟通与交流越来越密切，除了传统的电话、传真、邮件之外，电子邮件也逐渐成为了一种主要的交流工具。但是，在传统的管理方式中，并没有一种好的工具来提高管理水平，例如：传统金字塔式的管理体制使不同部门之间的

11、员工几乎无法交流，而处于金字塔顶端的公司领导层也很难了解普通员工的行为，特别是随着渝安集团规模的扩大，总经理通常只能接收到身边人的信息,而这些信息又是不尽相同,信息量越来越大，渝安集团的领导层如何在这些纷杂的信息中发掘对自己有用的内容, 是很多领导人头痛的问题。 2.管理的透明化与扁平化 阶梯式的管理结构是一种传统的管理模式，这样处于金字塔顶端的总经理通常只能接收到处于中层的部门经理的反馈，而无法根据普通员工的表现对中层干部的工作进行评价。而对于处于底层普通员工的接触就很少，他们很少能够进行越级的信息反馈。并且这也是传统管理模式中比较忌讳的一种方式。怎样实现管理的扁平化与透明化 3.信息

12、管理的可控性 互联网给渝安集团带来的好处很多，然而开放的网络中充斥着各种与业务无关的信息，色情、暴力、反动等不健康内容随处可见，这些内容常常不请自来，通过邮件，BBS等，简直到了无孔不入的地步。有的员工视单位电脑如免费网吧，浏览不相干的网站、下载游戏、QQ聊天、收发个人EMAIL、看电影，甚至逐渐演变成为打发上班时间的主要活动。但是，渝安集团的工作效率因而大大降低，不少管理者为此忧心忡忡。 4.信息的保密 随着现在企业与人才之间双向选择的推广,在渝安集团规模的不断扩大的过程中, 渝安集团会经历不只一次大的人事变动,以及数量频繁的小的人事流动,而在流动的人员里不可能每个人都很正直，比如:销

13、售人员带走客户资源等。也不可能保证每个员工对集团都是忠诚的，过去渝安集团的网络、渝安集团的email发走本集团的机密信息，U盘软盘copy走本集团的秘密资料,用该集团的打印机打印敏感的文件,显而易见这会给集团造成什么样的损失。怎样才能保证这些在你面前的而又不可知的事情不会发生。 5．信息资源的集中化管理 随着渝安集团规模的不断扩大,人员不断增加,信息网络方面的办公器材也不断增多,以往的管理方式是该集团的设备职能部门一个或者几个人对这些器材进行管理、记录。但是当人员和设备增多的时候,管理人员缺乏,记录就会出现偏差,那么就需要相应的增加人手,这样又增加了人员成本。这就是一些每年都有大量资产流失

14、的原因之一。怎样解决又是摆在管理者面前的一个问题。 6.管理的可靠性和安全性 现今网络里的病毒,木马和各种攻击,入侵方式多得不计其数,它们对网络造成了极大的损失,特别是对我们这些现代化企业危害更为明显,只要网络被病毒或者攻击等方式而导致瘫痪,那真可以说集团也就瘫痪了。现在对于安全的考虑大多是事后解决,防火墙只能执行事先设定好的规则,而ids的误报率很高,杀病毒也只能是在病毒出现后给出解决,怎么样找出一个综合的解决方案。 2.2 网络攻击分析 下面将对渝安集团存在的网络攻击归纳分析，对网络监听、拒绝服务攻击、基于网络边界而言的远程攻击和内部未授权用户对系统的攻击进行分析。 2.2.1

15、 网络监听 网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理信道上传输的所有信息，而不管信息的发送方和接受方是谁。所以进行通信的信息必须进行加密，否则只要使用一些网络监听工具就可以截获包括口令和账号在内的信息资料。大部分的传输介质如Ethernet、FDDI、Token-ring、模拟电话线、无线接入网上都可实施网络监听，其中尤以Ethernet与无线接入网最为容易，因为这两者都是典型的广播型网络。 2.2.2 拒绝服务攻击 一般来说，拒绝服务攻击有些是用来消耗带宽，有些是消耗网络设备的CPU和内存。例如对UDP的攻击，原理就是使用大量的伪造的报文攻击网

16、络端口，造成服务器的资源耗尽，使系统停止响应甚至崩溃。也可以使用大量的IP地址向网络发出大量真实的连接，来抢占带宽，造成网络服务的终止。 拒绝服务一般分两种：一是试图破坏资源，使目标无人可以使用此资源。如破坏或摧毁信息：删除文件、格式化磁盘、切断电源等。 二是过载一些系统服务或者消耗一些资源，通过这样的方式可以造成其它用户不能使用这个服务。这两种情况大半是因用户错误或程序错误造成的，并非针对性的攻击。针对网络的拒绝服务攻击主要包括服务过载攻击、消息流攻击、Paste式攻击、SYN Flooding攻击、过载攻击、Mailbomb攻击。 图2-1 SYN Floodi

17、ng攻击 SYN Flooding 攻击主要是在一个主机接收到大量不完全连接请求而超出其所能处理的范围时，就会发生SYN flooding攻击。在通常情况下，希望通过TCP连接来交换数据的主机必须使用3次握手进行任务初始化。SYN Flooding攻击就是基于阻止3次握手的完成来实现的。SYN Flooding的攻击原理是：首先，攻击者向目标主机发送大量的SYN请求，用被挂起的连接占满连接请求队列。一旦目标主机接收到这种请求，就会向它所认为的SYN报文的源主机发送SYN/ACK报文作出应答。一旦存储队列满了，接下来的请求就会被TCP端忽略，直至最初的请求超时并被重置(通常为75s)，每次超时

18、过后，服务器端就向未达的客户端发送一个RST报文，此时攻击者必须重复以上步骤来维持拒绝服务的攻击。 SYN Flooding攻击的重点就在于不断发送大量的SYN报文，其攻击在空间性上表现得极为明显。如图2-1，从源到汇，攻击者可从不同路径向被攻击主机持续发送连接请求，也可将数据包拆分为几个传输再在目的地会合，以隐藏被攻击主机。检测这种攻击的困难就在于目标主机接收到的数据好像来自整个Internet。 分布式拒绝服务(D DoS)攻击通过探测扫描大量主机，从而找到可以入侵的目标主机，通过一些远程溢出漏洞攻击程序，入侵有安全漏洞的目标主机并获取系统的控制权，在被入侵的主机上安装并运行DD

19、oS分布端的攻击守护进程，然后利用多台已被攻击者控制的机器对另一台单机进行扫描和攻击，在大小悬殊的带宽之比下被攻击的主机很快失去反应能力。整个过程都是自动化的，攻击者可以在几秒钟内入侵一台主机并安装攻击工具，这样，在一个小时之内就可以入侵数千台主机。 2.2.3 远程攻击 远程攻击指在目标主机上没有帐户的攻击者获得该机器的当地访问权限，从机器中过滤出数据、修改数据等的攻击方式。远程攻击的一般过程：①收集被攻击方的有关信息，分析被攻击方可能存在的漏洞；②建立模拟环境，进行模拟攻击，测试对方可能的反应；③利用适当的工具进行扫描；④实施攻击。 IP Spoofing是一种典型的远程攻击，它

20、通过向主机发送IP包来实现攻击，主要目的是掩盖攻击者的真实身份，使攻击者看起来像正常的用户或者嫁祸于其他用户。 IP Spoofing攻击过程见图2，具体描述如下：①假设I企图攻击A，而A信任B。②假设I已经知道了被信任的B，使B的网络功能暂时瘫痪，以免对攻击造成干扰。因此，在实施IP Spoofing攻击之前常常对B进行 SYN Flooding攻击。③必须确定A当前的ISN。④I向A发送带有SYN标志的数据段请求连接，只是信源IP改成了B。A向B回送SYN+ACK数据段，B已经无法响应，B的TCP层只是简单地丢弃A的回送数据段。⑤I暂停，让A有足够时间发送SYN+ACK，然后I再次伪装

21、成B向A发送ACK，此时发送的数据段带有I预测的A的ISN+1。如果预测准确，连接建立，数据传送开始。如果预测不准确，A将发送一个带有RST标志的数据段异常终止连接，I重新开始。 IP Spoofing攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，攻击最困难的地方在于预测A的ISN。 图2-2 Spoofing攻击 2.2.4系统攻击 系统攻击指一台机器上的本地用户获取Unix高级用户权限或Windows NT管理员权限的攻击方法。缓冲区溢出就是典型系统攻击。它通过向程序的缓冲区写超出其长度的内容，造成缓冲区溢出，从而破坏程序的堆栈，

22、使程序转去执行其它的指令，如果这些指令是放在有Root权限的内存里，那么，一旦这些指令得到了运行，入侵者就以Root的权限控制了系统。造成缓冲区溢出的原因大多是程序没有仔细检查用户输入的参数。缓冲区溢出攻击占所有系统攻击的80％以上。 入侵者要达到目的通常要完成两个任务：一是在程序的地址空间里安排适当的代码；二是通过适当的初始化寄存器和存储器，让程序跳转到安排好的地址空间执行。可以根据这两个任务对缓冲区溢出攻击进行分类： 1）在程序的地址空间里安排适当的代码的方法。 2）将控制程序转移到攻击代码的方法。 3）植入综合代码和流程控制技术。 通常可以采用下列方法防止缓冲区溢出：

23、①正确地编写代码；②设定非执行的缓冲区；③检查数组边界，使之不溢出；④检查程序指针的完整性。 除了上述4种攻击外，其它还有对系统配置弱点的攻击，对软件设计弱点的攻击，恶意程序(特洛伊木马、病毒)攻击，物理(偷窃加密机、盗取用户身份标识、抢劫数据中心或公钥存储中心)攻击等。 第3章 企业网络安全技术 企业网络安全保护技术分为理论防护和技术防护，其中密码学技术属于理论防护，但其算法的实现和使用依赖于技术防护，访问控制技术、安全通信协议、入侵检测和防火墙则更多地属于技术防护。 3.1 密码学技术 Internet安全技术的核心无疑是现代密码学，密码学主要研究各类密码原语，包括加解

24、密算法，认证理论与技术以及理论性的密码协议，属于面向单一网络的安全技术。现在，在分组密码(单钥体制)方面已有TRIPLE-DES、IDEA，而且密钥长至少为128比特的AES也已出台，公钥密码(双钥体制)方面，RSA体制、椭圆曲线密码体制等基于大数分解和离散对数的加密方案已经较为成熟，密码学意义上的密码协议也有很多，如密钥交换协议、秘密共享协议、比特承诺协议、数字货币协议等。 3.2 访问控制技术 访问控制的实现可分为自主访问控制(DAC)和强制访问控制(MAC)，最近又出现了基于角色的访问控制（RBAC），也称为非自主访问控制，大大简化了权限管理工作。最常见的Internet访问控制

25、应用无疑是防火墙，它属于面向网络边界的一种安全技术，是设置在专用网和Internet之间的安全系统，干预两网间的任何消息传递。防火墙在体系结构上有不同的类型：双重宿主主机体系结构、主机过滤体系结构、子网过滤体系结构。不同的体系结构防火墙有不同的组成部分，如双网口，非军事区域，参数网络、堡垒主机等等。当前访问控制的另一类趋势是在网络更低层实现，如屏蔽路由技术，在第三层的路由器上而非防火墙上决定各数据包的流向。 3.3 安全通信协议 安全通信协议是公钥基础设施PKI的重要组成部，实现PKI各构件之间的在线交互、身份认证、消息完整性及保密性.，用于Internet的安全通信协议目前已发展了很

26、多种，有的是新协议，如ATM论坛的Security Specification 1.0、SSL，有的是在原有协议基础上拓展安全性，如IPsee、s/MIME。下面分层介绍各类安全协议： 1）Internet层以下有PPTP协议，其可以完成数据安全封装，利用隧道协议有可能构造起较为安全的虚拟专用网VPN。 2）Internet层的主要安全协议有IPsec v2、Oakley(Oakley Key Determination Protocol)、SKIP(Simple Key Management Protocol)及ISAKMP(Internet Security Association

27、 and Key Management Protocol)。此外，基于IPv6的更安全的邻机发现协议将淘汰ARP协议，具有认证功能且与算法无关的 RIPv2、OSPFv2，IDRP(Inter-Domain Routing Protocol)会取代现有的RIP、OSPF、BGP路由协议。 3）传输层主要有SSL v3和TLS(Transport Layer Security)协议。SSL协议已能支持DES、IDEA、RC-4、MD5算法、TLS协议在大多数特性上是和SSL相似的。 4）应用层安全协议数量最多，有Kerberos v5、PEM、S-HTTP等。 3.4 入侵检测 入

28、侵检测属于面向网络边界的一种安全技术，其目的在于监控资源的使用，检测系统配置的正确性和安全漏洞，检测系统程序和数据的完整性，并提供报警。以检测时机分为实时检测和事后追踪；以入侵检测的信息来源分为基于主机、基于网络和混合性的入侵检测。入侵检测工具通常和审计工具及日志工具相配合，共同完成攻击前的告知、攻击后的分析任务，它还可结合蜜罐策略，引诱攻击者攻击一假目标，与此同时记录下详尽的审计信息以判定攻击者身份。入侵检测可以采取数据挖掘技术，指纹技术、分布式计算技术、移动代理技术等提高检测率。 3.5 网络防御体系 作用不同的网络，他们的防御系统体系是不同的，本文提出了一种一般性的防御系统，其表示

29、可见图3-1。该图列出了各种防御应用到任何网络时的分层情况。 图3-1 网络防御体系 （1）“正在保护的网络”这一层的网络安全性能最为重要，在设计网络时，要做好安全措施。 （2）“网络周围的防御系统”层会保护“正在保护的网络”与外部网络的每个连接，是对已知攻击做出反应的防御系统。它是内部网络的城墙。 （3）“人为的防御”层介入了人的干涉。在防御中，人可以对攻击者采取行动。 （4）“被动的监视”系统属于基础设施部分，它会记录下已经发生的事件，接收日志信息，并对它进行解释，根据记录的信息来判断网络是否受到攻击。 （5）“主动的监视”本质上是

30、迫使防御系统回答一系列难题。例如，可以询问防御系统，某种保护是否仍在工作，通过请求观察防御系统是否记录了适当的信息。 基于上述的网络防御体系，网络防御技术主要分为以下几类： 1、）物理隔离；2）、逻辑隔离——防火墙；3）、防御来自网络的攻击——抗攻击网关；5）、防止来自网络上的病毒——防病毒网关；6）、身份认证——网络的鉴别、授权和管理系统。 第4章 网络安全解决方案 4.1 方案总体设计 1.整个网络边界有两条链路,一条为企业网100M链路,一条为中国电信的10M ADSL.在每条链路之前放置独立的防火墙设备.对入站和出站进行访问控制. 2.两条链路汇聚到中心路由器上.通

31、过NAT地址转换,进入公司内部网的中心交换机,在其间部署一套入侵检测系统IDS的检测探点.对进入内部网络的流量与内容进行入侵检测与判断. 3.中心交换机分出三条主干内部链路,一条直接接入公司内部网的服务器群,包括邮件服务器,Web服务器,防病毒中央服务器等.其中防病毒服务器将通过该链路,监控与管理内部网络的所有防病毒客户端节点.并且分发病毒定义码和客户端防病毒防御策略,收集客户端的病毒信息,集中处理与汇总病毒备份文件,病毒样本放置于服务器的中央隔离区. 在中心交换机与服务器区之间放置一个入侵检测系统IDS的检测探点,从而保证关键应用的安全性与可靠性.并且在邮件服务器网段中部署反垃圾邮件防火

32、墙设备. 4.从中心交换机到二层会聚的包括生产区.管理区等区域.在二层汇聚中心部署一个入侵检测系统IDS检测探点.用于检测区域内的入侵检测行为. 5.最后一条链路部署入侵检测系统IDS检测探点,保证其他应用服务器的网络安全. 4.2 具体方案实施 4.2.1 入侵检测系统 基于渝安集团实际情况，本方案采用了Symantec SNS 7120入侵检测系统。 1、产品简介 A. Symantec Network Security系列设备提供了实时主动的网络入侵防御，可以保护关键的企业资产。富于创新的入侵防范统一网络引擎(IMUNE)是协议异常、特征、统计和漏洞攻击拦截技术的完

33、美结合，它可以精确地识别并禁止已知、未知（或零日）攻击和病毒在网络中传播。 B. LiveUpdate技术可以自动更新防护策略技术，以帮助企业及早应对各种不断变化的威胁。将赛门铁克安全响应中心和赛门铁克DeepSight?预警服务的专业知识，与易于理解的安全指导原则结合在一起，从而可更快速的响应安全事件。借助全面的策略管理功能，企业可以轻松地构建、评估并报告最佳企业实践。 C.只需简单的鼠标单击即可将设备从检测状态转换到防御状态，使企业可以轻松地切换部署模式。灵活的入侵防御部署选项，包括支持多串联对或在同一设备上监视被动和串联部分，使不断发展的网络适应各种安全策略。 D. Symante

34、c Network Security系列是通过Symantec Network Security Management Console集中管理的，Symantec Network Security Management Console是一个可伸缩的安全管理系统，支持大型分布式企业部署，并提供全面的配置和策略管理、实时威胁分析、企业报告和灵活的显示。 E.该系列提供了三种型号，可以很好的满足企业的各种部署需求，无论在分支机构、分布式站点还是网络核心或主体上部署网络安全。这种高度可伸缩的一流设备支持从50Mbps到2Gbps的总网络带宽，最多可涉及八个网段。 2、主要特性: A.增强现有网关

35、和服务器安全部署，阻止威胁在网络中传播 B.在IMUNE?架构中综合了多种检测技术，包括协议异常检测和漏洞攻击拦截，可准确地识别和禁止已知/未知（或“零日”）攻击与蠕虫 C.帮助企业构建、权衡和报告企业最佳实践和法规一致性计划 D.集成了赛门铁克安全响应中心和赛门铁克DeepSight预警服务的专业知识，提供有关威胁的早期知识，以实现主动安全 E.在网络中不可见，因此不需要重新配置网络，简化了部署过程 F.这些设备最多可支持八个接口，允许企业监视更多的网段 G.三种型号支持从50Mbps到2Gbps的总网络带宽，可满足分支机构、分布式站点和网络核心的不同部署需求 H.使用Live

36、Update技术更新防护策略以实现自动防护，帮助企业及早应对各种不断变化的威胁 I.单击防御－只需简单的鼠标单击即可从检测状态转换到防御状态 3、技术亮点: Symantec Network Security系列是新一代的网络安全产品，SNS同时具备IPS（入侵防御）和IDS（入侵检测）两项功能。作为成熟的IPS产品，他具有很多传统网络安全产品所缺乏的功能. A.主动防御，而非被动报警 目前网络安全事件发生的频率越来越高，给用户带来的损失也越来越大。传统的安全产品，需要用户花费大量时间和精力，实时跟踪当前的计算机安全漏洞。然后修改网络中各种安全产品的安全策略，实现对网络攻击的有效防御

37、但是随着网络边界模糊，用户系统的多样化，这样的努力无法达到用户的期望效果。　　 SNS是可以实现自动防御的网络安全产品，他无需人工干预，自动检测，屏蔽网络入侵行为，减少用户用于日常维护的人力成本。SNS可以以透明（inline）方式部署在用户网络中，不用修改用户网络结构，也不用修改交换机配置。配合产品自带的安全策略，真正实现即插即用。　　 B.安全策略自动维护 传统IDS产品被用户所排斥的主要原因就是需要用户人工设定检测策略，并需要定期维护更新。SNS改变了这种传统的更新模式，他可以自动更新、加载、生效最新的安全策略，大大降低了产品对操作人员的依赖。通过这种策略自动更新的工作方式，帮助

38、用户争取了在出现可能对系统和网络造成严重影响的重大安全隐患的紧急状况下的响应时间（如：冲击波），在主机还没有来得及完成补丁分发的情况下，SNS通过自动化的策略更新，就已经实现了能整个网络的安全防护。　 C.两级管理模式 SNS为主控台和SNS设备两级管理模式，无需额外的日志服务器，通过主控台，可以最多同时对120个SNS设备设定统一的安全策略。多个SNS的报警事件，也可以在一个主控台窗口内，实现事件关联，帮助用户更加准确、快速的定位问题主机，或是入侵者的目的及入侵途径。　　 D.通过带宽许可方式购买，节约用户购买成本。　　 SNS通过带宽许可的方式进行购买，用户只需按照所保护网络的带宽

39、流量支付费用，不必为自己没有用到的服务付费。这样的方式，也可以适应用户不断变化的网络结构和不断接入网络的新的业务系统的要求。带宽许可可以累加购买，保护用户已有的投资不会浪费。 4.2.2 防病毒系统 基于渝安集团实际网络防病毒需求，本方案采用了企业防病毒系统: Symantec Client Security 2.0 1、产品简介: Symantec Client Security提供客户端提供集成的防病毒、防火墙以及入侵检测功能.SCS已将网络和远程客户端的安全功能集成在一个解决方案中。它不存在互操作性问题，通过集成赛门铁克久负盛誉的防病毒、防火墙和入侵检测等技术为客户提供更强的攻

40、击防护能力，包括那些混合威胁在内。来自一个厂商的多种集成化技术使得协作管理和响应成为可能，从而增加了防护能力，降低了管理和支持成本，削减了整体购买成本。 2、主要特性: 1)全面防护，高效管理 SymantecTM Client Security已将网络和远程客户端的安全功能集成在一个解决方案中。它不存在互操作性问题，通过集成赛门铁克久负盛誉的防病毒、防火墙和入侵检测等技术为客户提供更强的攻击防护能力，包括那些混合威胁在内。来自一个厂商的多种集成化技术使得协作管理和响应成为可能，从而增加了防护能力，降低了管理和支持成本，削减了整体购买成本。 2)集成安全管理 通过赛门铁克久经考验的架

41、构——赛门铁克系统中心来实现集成安全管理，可以提供全面的防病毒、防火墙和入侵检测功能。这就可以提供先进的安全管理，并且简化了针对企业网络内每个客户端（包括远程用户）复杂威胁的安全管理过程。通过这种方法可以优化管理员资源，因为安装、报告和更新都可以从一个控制台上来完成。管理功能包括：　　 A.集成化管理——使用赛门铁克系统中心，管理员从单个控制台就可以完全配置、安装、管理和更新客户端病毒、防火墙以及入侵检测功能。管理员还可以使用赛门铁克系统中心控制台来配置、部署和执行企业网络策略。 B.逻辑组管理——Symantec Client Security能够创建和管理服务器组中的按逻辑划分的客户端

42、和服务器组。这对于需要用同一种方法管理相同功能实体的组织来说尤为适用，可减少管理不同客户端组所需要的父服务器数目。 C.易于安装——Symantec PackagerTM能够预先配置防病毒、防火墙和入侵检测的安装程序包，从而最大化部署灵活性，将部署成本降至最低。有三种预先配置的部署选项可用：全面管理、简单管理和瘦客户端。 3)集成化响应 Symantec Client Security可以为防病毒、防火墙以及入侵检测提供通用的部署和更新功能，有助于减少更新的开销、风险和管理。此外，集成化响应功能还能够使企业对于违背安全策略和病毒发作更快做出响应，从而提高网络的整体安全状态。　　 这种集

43、成化更新和响应功能是由赛门铁克安全性响应中心这个世界领先的互联网安全性研究和支持组织完成的。使用赛门铁克久负盛誉的自动更新技术，Symantec Client Security可以在可自动安装（如果管理员愿意，也可手动安装）的单个集成化的数据包中发送病毒定义码、防火墙规则以及入侵特征库。在病毒发作时，赛门铁克通过各种集成化技术来测试和检验其解决方案。由于定义码更新文件很小，Symantec Client Security可以确保带宽预留和快速实施，从而对网络性能产生的影响最小。　　 赛门铁克安全响应中心提供了一系列功能强大的安全资源，包括世界一流的产品支持以及业界领先的赛门铁克全球研究和技术

44、支持中心提供的无间断的报警服务。赛门铁克的防入侵专家、安全工程师、防病毒防护专家协同工作，每天24小时持续不断地研究病毒、恶意代码、不断发展的漏洞以及最新的入侵技术。此外，赛门铁克安全响应中心始终致力于开发自动紧急事件响应系统，用于检测安全问题、向客户发出告警客户并为SymantecTM Enterprise Security客户提供安全的解决方案。 4)有效的保护 ymantec Client Security融合了集成化防护、久负盛誉的技术以及全面的安全特性来使管理员安心：　　 A.客户安全策略实施——根据防火墙规则扫描传入和传出流量。Symantec Client Security

45、内的防火墙技术可以同防病毒技术无缝协作，保护客户端不受病毒影响。即使在管理员或用户将实时病毒防护停用也可以实现上述防护。　　 通过客户端防火墙和入侵检测技术的结合，它扫描并将所有传入和传出的流量同已知的特征组相比较，如果检测到入侵企图，可以将一个入侵IP地址阻塞超过30分钟。　　 B.融合领先的技术——Symantec Client Security构筑在久负盛誉的业界领先防病毒、防火墙和入侵检测技术基础之上。　　 数字免疫系统可以自动提交潜在威胁，并且将应对方案自动发送到有问题的机器或者整个企业。在包括硬件资源、架构设计、最新扫描引擎以及Web crawlers在内的精密完善的基础设施

46、支持下，数字免疫系统可以确保最高的服务可用性。　　 C.可扩展性——Symantec Client Security可以提供快速响应和更高的扩展性，利用赛门铁克技术采用的很小的定义码文件、病毒定义码传输方法以及病毒定义码的多线程服务器部署、防火墙规则以及入侵特征库等特性，可以保护客户端层免受新型威胁的侵害。　　 多点产品并不提供全面检测所需要的部件。Symantec Client Security是唯一一种这样的单厂商解决方案，可以真正集成多种技术，提高客户机对当前复杂的互联网威胁的防御能力。 3、技术亮点: A.为客户端提供更强的防护，通过集成管理和响应功能来防御互联网威胁。 B.

47、采用集中化安装、部署、管理和更新的方法来确保安全策略的实施。 C.优化资源，有助于降低网络安全客户端防护的管理和支持成本。 D.隐私控制功能，可以防止用户定义的机密信息在没得到用户认可的情况下被发送。 E.通过快速更新客户端的防病毒定义码、防火墙规则以及入侵检测特征来保留网络带宽。 F.通过提供预先配置防病毒、防火墙和入侵检测安装程序包来最大化实施灵活性。 G.由赛门铁克安全响应中心——全球领先的互联网安全研究及响应机构提供支持。 H.此外，还提供Symantec Client Security小企业版，这是转为小型企业设计的完备、购买时就包括许可证的解决方案。 4.2.3 防

48、火墙技术 1、防火墙简介 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。 虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能

49、完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网

50、络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 2、防火墙的选择 企业一方面访问INTERNET，得到INTERNET所带来的好处，另一方面，却不希望外部用户去访问企业的内部数据库和网络。企业当然没有办法去建立两套网络来满足这种需求。 防火墙的基本思想不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地