1、新網ISP系統安全建設方案 摘要 本方案針對ISP、ASP系統的特點及其整體網絡結構，提供網絡安全問題的整體解決方案。方案共分三章，第一章分析了新網ISP系統的網絡安全需求，并提出了針對該網絡安全體系模型；第二章分析了目前實現安全體系的成熟技術；第三章分析了目前市場上的主要產品及如何使用以上產品建設新網ISP系統的安全體系。第一章 平臺安全體系概述 Web Server是企業對外宣傳、開展業務的重要基地。由于其重要性，成為Hacker攻擊的首選目標之一。 Web Server經常成為Internet用戶訪問公司內部資源的通道之一，如Web server通過中間件訪問主機系統，通過數據庫連接部件

2、訪問數據庫，利用CGI訪問本地文件系統或網絡系統中其它資源。 但Web服務器越來越復雜，其被發現的安全漏洞越來越多。為了防止Web服務器成為攻擊的犧牲品或成為進入內部網絡的跳板，我們需要給予更多的關心 通過以下的分析，我們提供的解決方案力圖從網絡安全的威脅及管理入手，在網絡的各個層次上提供全面的解決方案。1.1 安全威脅 自信息發布系統開始運行以來就存在信息系統安全問題，通過網絡遠程訪問而構成的安全威脅成為日益受到嚴重關注的問題。根據美國FBI的調查，美國每年因為網絡安全造成的經濟損失超過170億美元。 信息發布系統(WEB 站點)可能存在的安全威脅來自以下方面： (1) 操作系統的安全性。目

3、前流行的許多操作系統均存在網絡安全漏洞，如UNIX服務器，NT服務器及Windows桌面PC。 (2) 防火墻的安全性。防火墻產品自身是否安全，是否設置錯誤，需要經過檢驗。 (3) 來自內部網用戶的安全威脅。 (4) 缺乏有效的手段監視、評估網絡系統的安全性。 (5) 采用的TCP/IP協議族軟件，本身缺乏安全性。 (6) 未能對來自Internet的電子郵件夾帶的病毒及Web瀏覽可能存在的Java/ActiveX控件進行有效控制。 (7) 應用服務的安全，許多應用服務系統在訪問控制及安全通訊方面考慮較少，并且，如果系統設置錯誤，很容易造成損失。1.2 平臺安全的需求 對于各科各樣的網絡攻擊，

4、如何在提供靈活且高效的網絡通訊及信息服務的同時，抵御和發現網絡攻擊，并且提供跟蹤攻擊的手段，是本項目需要解決的問題。 ISP、ASP系統網絡基本安全要求： (1) 網絡正常運行。在受到攻擊的情況下，能夠保證網絡系統繼續運行。 (2) 網絡管理/網絡部署的資料不被竊取。 (3) 具備先進的入侵檢測及跟蹤體系。(4) 提供靈活而高效的內外通訊服務。1.3 平臺安全的體系結構 網絡的安全涉及到平臺的各個方面。按照網絡OSI的7層模型，網絡安全貫穿于整個7層模型。針對網絡實際運行的TCP/IP協議，網絡安全貫穿于信息系統的4個層次。 平臺安全的層次模型 下圖表示了對應網絡的安全體系層次模型：會話層應用

5、層應用系統應用平臺網絡層鏈路層物理層會話安全應用層應用系統安全應用平臺安全安全路由/訪問機制鏈路安全物理層信息安全圖1-1 安全體系層次模型 物理層的安全 物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等） 鏈路層的安全 鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被竊聽。主要采用劃分VLAN（局域網）、加密通訊（遠程網）等手段。 網絡層的安全 網絡層的安全需要保證網絡只給授權的客戶使用授權的服務，保證網絡路由正確，避免被攔截或監聽。 操作系統的安全 操作系統安全要求保證客戶資料、操作系統訪問控制的安全，同時能夠對該操作系統上的應用進行審計。 應用平臺的安全

6、 應用平臺指建立在網絡系統之上的應用軟件服務，如數據庫服務器、電子郵件服務器、Web服務器等。由于應用平臺的系統非常復雜，通常采用多種技術（如SSL等)來增強應用平臺的安全性。 應用系統的安全 應用系統完成網絡系統的最終目的-為用戶服務。應用系統的安全與系統設計和實現關系密切。應用系統使用應用平臺提供的安全服務來保證基本安全，如通訊內容安全，通訊雙方的認證，審計等手段。1.4 全方位的安全體系 與其它安全體系（如保安系統）類似，信息發布系統(WEB 站點)的安全休系應包含：訪問控制。通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。檢查安全漏洞。通過對安全漏洞的周期

7、檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效。攻擊監控。通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊，并采取相應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。認證。良好的認證體系可防止攻擊者假冒合法用戶。備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。隱藏內部信息，使攻擊者不能了解系統內的基本情況。設立安全監控中心，為信息系統提供安全體系管理、監控，渠護及緊急情況服務。1.5 平臺安全的管理因素 平臺安全可以采用多種技術來增強和執行。但是，很多安全威脅來源于管理上的

8、松懈及對安全威脅的認識。 安全威脅主要利用以下途徑：系統實現存在的漏洞。系統安全體系的缺陷。使用人員的安全意識薄弱。管理制度的薄弱。 良好的平臺管理有助于增強系統的安全性：及時發現系統安全的漏洞。審查系統安全體系。加強對使用人員的安全知識教育。建立完善的系統管理制度。第二章 安全及監控體系的實現技術基于以上的分析，信息發布系統(WEB 站點)涉及到各方面的網絡安全及管理問題，我們認為整個信息發布系統(WEB 站點)的運行體系必須集成多種安全技術及管理實現。如防火墻技術，入侵監控技術、安全漏洞掃描技術、故障性能管理技術、專家分析系統技術等。2.1 防火墻枝術 防火墻是近年發展起來的重要安全技術，

9、其主要作用是在網絡入口點檢查網絡通訊，根據客戶設定的安全規則，在保護內部網絡安全的前提下，提供內外網絡通訊。2.1.1 使用Firewall的益處保護脆弱的服務 通過過濾不安全的服務，Firewall可以極大地提高網絡安全和減少主機的風險。 例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。控制對系統的訪問 Firewall可以提供對系統的訪問控制。集中的安全管理 增強的保密性 使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息，如Finger和DNS。記錄和統計網絡利用數據以及非法使用數據 Firewall可以記錄和統計通

10、過Firewall的網絡通訊，提供關于網絡使用的統計數據，并且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。策略執行 Firewall提供了制定和執行網絡安全策略的手段。2.1.2 設置Firewall的要素網絡策略 影響Firewall系統設計、安裝和使用的網絡策略可分為兩級，高級的網絡策略定義允許和禁止的服務以及如何使用服務，低級的網絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。服務訪問策略 服務訪問策略集中在Internet訪問服務以及外部網絡訪問（如撥入策略、SLIP/PPP連接等）。 服務訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網絡風險

11、和提供用戶服務之間獲得平衡。典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務；允許內部用戶訪問指定的Internet主機和服務。Firewall設計策略 Firewall設計策略基于特定的firewall，定義完成服務訪問策略的規則。通常有兩種基本的設計策略：允許任何服務除非被明確禁止；禁止任何服務除非被明確允許。通常采用第二種類型的設計策略。增強的認證 許多在Internet上發生的入侵事件源于脆弱的傳統用戶/口令機制。多年來，用戶被告知使用難于猜測和破譯的口令，雖然如此，攻擊者仍然在Internet監視偉輸的口令明文，使傳統的口令機制形同虛

12、設。 增強的認證機制包含智能卡，認證令牌，生理特征(指紋)以及基于軟件(RSA)等技術，來克服傳統口令的弱點。 雖然存在多種認證技術，它們均使用增強的認證機制產生難于被攻擊者重用的口令和密鑰。目前許多流行的增強認證機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。2.1.3 Firewall的基本分類包過濾 IP包過濾： 源IP地址； 目的IP地址； TCP/UDP源端口； TCP/UDP目的端口。 包過濾路由器存在許多弱點： 包過濾規則難于設置并缺乏已有的測試工具驗證規則的正確性(手工測試除外)。一些包過濾路由器不提供任何日志能力，直到闖入發生后，危險的封包才可能檢測出來。 實

13、際運行中，經常會發生規則例外，即要求允許通常情況下禁止的訪問通過。但是，規則例外使包過濾規則過于復雜而難以管理。例如，定義規則-禁止所有到達(Inbound)的端口23連接(telnet)，如果某些系統需要直接Telnet連接，此時必須為內部網的每個系統分別定義一條規則。 某些包過濾路由器不支持TCP/UDP源端口過濾，可能使過濾規則集更加復雜，并在過濾模式中打開了安全漏洞。如SMTP連接源端口是隨機產生的(1023)，此時如果允許雙向的SMTP連接，在不支持源端口過濾的路由器上必須定義一條規則：允許所有1023端口的雙向連接。此時用戶通過重新映射端口，可以繞過過濾路由器。 對許多RPC(Re

14、moute Procedure Call服務進行包過濾非常困難。由于RPC的Listen口是在主機啟動后隨機地分配的，要禁止RPC服務，通常需要禁止所有的UDP(絕大多數RPC使用UDP)，如此可能需要允許的DNS連接就會被禁止。應用網關 為了解決包過濾路由器的弱點，Firewall要求使用軟件應用來過濾和傳送服務連接（如Telnet和Ftp)。這樣的應用稱為代理服務，運行代理服務的主機被稱為應用網關。應用網關和包過濾器混合使用能提供比單獨使用應用網關和包過濾器更高的安全性和更大的靈活性。 應用網關的優點是： 比包過濾路由器更高的安全件。 提供對協議的過濾，如可以禁止FTP連接的Put命令。

15、信息隱藏，應用網關為外部連接提供代理。 健壯的認證和日志。 節省費用，第三方的認證設備(軟件或硬件)只需安裝在應用網關上。 簡化和靈活的過濾規則，路由器只需簡單地通過到達應用網關的包并拒絕其余的包通過。 應用網關的缺點在于： 新的服務需要安裝新的代理服務器。 有時需要對客戶軟件進行修改。 可能會降低網絡性能。 應用網關可能被攻擊。線路級網關線路級網關提供內部網和外部網連接的中繼，但不提供額外的處理和過濾能力。Stateful防火墻 該類防火墻綜合了包過濾防火墻及應用網關的特性。能夠提供比應用網關更多的連接特性，但是安全性比較應用網關差。2.1.4 建設Firewall的原則 分析安全和服務需求

16、 以下問題有助于分析安全和服務需求： 計劃使用哪些Internet服務(如http，ftp，gopher)，從何處使用Internet服務(本地網，撥號，遠程辦公室)。 增加的需要，如加密或拔號接入支持。 提供以上服務和訪問的風險。 提供網絡安全控制的同時，對系統應用服務犧牲的代價。 策略的靈活性 Internet相關的網絡安全策略總的來說，應該保持一定的靈活性，主要有以下原因： Internet自身發展非常快，機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題，安全策略必須能反應和處理這些問題。 機構面臨的風險并非是靜態的，機構職能轉變、網絡設置

17、改變都有可能改變風險。 遠程用戶認證策略 遠程用戶不能通過放置于Firewall后的未經認證的Modem訪問系統。 PPP/SLIP連接必須通過Firewall認證。 對遠程用戶進行認證方法培訓。撥入/撥出策略 撥入/撥出能力必須在設計Firewall時進行考慮和集成。 外部撥入用戶必須通過Firewall的認證。 Information Server策略 公共信息服務器的安全必須集成到Firewall中。 必須對公共信息服務器進行嚴格的安全控制，否則將成為系統安全的缺口。 為Information server定義折中的安全策略允許提供公共服務。 對公共信息服務和商業信息(如email)講行

18、安全策略區分。 Firewall系統的基本特征 Firewall必須支持“禁止任何服務除非被明確允許”的設計策略。 Firewall必須支持實際的安全政策，而非改變安全策略適應Firewall。 Firewall必須是靈活的，以適應新的服務和機構智能改變帶來的安全策略的改變。 Firewall必須支持增強的認證機制。 Firewall應該使用過濾技術以允許或柜絕對特定主機的訪問。 IP過濾描述語言應該靈活，界面友好，并支持源IP和目的IP，協議類型，源和目的TCP/UDP口，以及到達和離開界面。 Firewall應該為FTP、TELNET提供代理服務，以提供增強和集中的認證管理機制。如果提供其

19、它的服務(如NNTP，http等)也必須通過代理服務器。 Firewall應該支持集中的SMTP處理，減少內部網和遠程系統的直接連接。 Firewall應該支持對公共Information server的訪問，支持對公共Information server的保護，并且將Information server同內部網隔離。 Firewall可支持對撥號接入的集中管理和過濾。 Firewall應支持對交通、可疑活動的日志記錄。 如果Firewall需要通用的操作系統，必須保證使用的操作系統安裝了所有己知的安全漏洞Patch。 Firewall的設計應該是可理解和管理的。 Firewall依賴的操作系

20、統應及時地升級以彌補安全漏洞。2.1.5 選擇防火墻的要點 (1) 安全性：即是否通過了嚴格的入侵測試。 (2) 抗攻擊能力：對典型攻擊的防御能力 (3) 性能：是否能夠提供足夠的網絡吞吐能力 (4) 自我完備能力：自身的安全性，Fail-close (5) 可管理能力：是否支持SNMP網管 (6) VPN支持 (7) 認證和加密特性 (8) 服務的類型和原理 (9) 網絡地址轉換能力2.2 入侵檢測技術 利用防火墻技術，經過仔細的配置，通常能夠在內外網之間提供安全的網絡保護，降低了網絡安全風險。但是，僅僅使用防火墻、網絡安全還遠遠不夠： (1) 入侵者可尋找防火墻背后可能敞開的后門。 (2)

21、 入侵者可能就在防火墻內。 (3) 由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。 入侵檢測系統是近年出現的新型網絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等。 實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊，其次它能夠縮短hacker入侵的時間。 入侵檢測系統可分為兩類： 基于主機 基于網絡 基于主機的入侵檢測系統用于保護關鍵應用的服務器，實時監視可疑的連接、系統日志檢查，非法訪問的闖入等，并且提供對典型應用的監視如Web服務器應用。 基于網絡的入侵檢測系統用于實時監控網絡關鍵路徑的信息，其基本模型如下圖示： Ethe

22、rnet(i.e., store contentsof connectiondisk)(i.e., close connection)Countermeasure(C) Box(i.e.,detection of“phf”stringin session)Pattern-MatchingSignatureAnalysisStorage (D) Box (i.e, TCP Stream reconstruction)PassiveProtocolAnalysis圖2-1 入侵檢測系統的基本模型 上述模型由四個部分組成： (1) Passive protocol Analyzer網絡數據包的協議分

23、析器、將結果送給模式匹配部分并根據需要保存。 (2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特征，結果傳送給Countermeasure部分。 (3) countermeasure執行規定的動作。 (4) Storage保存分析結果及相關數據。 基于主機的安全監控系統具備如下特點： (1) 精確，可以精確地判斷入侵事件。 (2) 高級，可以判斷應用層的入侵事件。 (3) 對入侵時間立即進行反應。 (4) 針對不同操作系統特點。 (5) 占用主機寶貴資源。 基于網絡的安全監控系統具備如下特點： (1) 能夠監視經過本網段的任何活動。 (

24、2) 實時網絡監視。 (3) 監視粒度更細致。 (4) 精確度較差。 (5) 防入侵欺騙的能力較差。 (6) 交換網絡環境難于配置。 選擇入侵監視系統的要點是： (1) 協議分析及檢測能力。 (2) 解碼效率(速度)。 (3) 自身安全的完備性。 (4) 精確度及完整度，防欺騙能力。 (5) 模式更新速度。2.3 安全掃描技術 網絡安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火墻、安全監控系統互相配合能夠提供很高安全性的網絡。 安全掃描工具源于Hacker在入侵網絡系統時采用的工具。商品化的安全掃描工具為網絡安全漏洞的發現提供了強大的支持。 安全掃描工具通常也分為基于服務器和基于

25、網絡的掃描器。 基于服務器的掃描器主要掃描服務器相關的安全漏洞，如password文件，目錄和文件權限，共享文件系統，敏感服務，軟件，系統漏洞等，并給出相應的解決辦法建議。通常與相應的服務器操作系統緊密相關。 基于網絡的安全掃描主要掃描設定網絡內的服務器、路由器、網橋、變換機、訪問服務器、防火墻等設備的安全漏洞，并可設定模擬攻擊，以測試系統的防御能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。網絡安全掃描的主要性能應該考慮以下方面： (1) 速度。在網絡內進行安全掃描非常耗時。 (2) 網絡拓撲。通過GUI的圖形界面，可迭擇一步或某些區域的設備。 (3) 能夠發現的漏洞數量。 (4)

26、 是否支持可定制的攻杰方法。通常提供強大的工具構造特定的攻擊方法。因為網絡內服務器及其它設備對相同協議的實現存在差別，所以預制的掃描方法肯定不能滿足客戶的需求。 (5) 報告，掃描器應該能夠給出清楚的安全漏洞報告。 (6) 更新周期。提供該項產品的廠商應盡快給出新發現的安生漏洞掃描特性升級，并給出相應的改進建議。 安全掃描器不能實時監視網絡上的入侵，但是能夠測試和評價系統的安全性，并及時發現安全漏洞。2.4 病毒防護 病毒歷來是信息系統安全的主要問題之一。由于網絡的廣泛互聯，病毒的傳播途徑和速度大大加快。 我們將病毒的途徑分為： (1 ) 通過ftp，電子郵件傳播。 (2) 通過軟盤、光盤、磁

27、帶傳播。 (3) 通過Web游覽傳播，主要是惡意的Java控件網站。 (4) 通過群件系統傳播。 病毒防護的主要技術如下： (1) 阻止病毒的傳播。 在防火墻、代理服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監控軟件。 (2) 檢查和清除病毒。 使用防病毒軟件檢查和清除病毒。 (3) 病毒數據庫的升級。 病毒數據庫應不斷更新，并下發到桌面系統。 (4) 在防火墻、代理服務器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經許可的控件下載和安裝。第三章 安全及管理產品的解決方案 安全技術和產品近幾年在市場上大量涌現，并開始成熟起來。本章給出了采用的

28、主要產品的特征，并分析了安全體系與網絡系統及應用系統的集成。3.1 安全體系采用的產品分析3.1.1 防火墻產品Gauntlet Network Associates公司的網絡安全產品涉及到網絡安全的各個方面，從防火墻、防病毒、網絡安全掃描到網絡安全監測等各個方面提供了網絡安全的全線產品。 Network Associates公司的Gauntlet是使用另一種技術原理的防火墻產品。Gauntlet使用完全的代理服務方式提供廣泛的協議支持以及高速的吞吐能力(70Mbps)，很好的解決了安全、性能及靈活性的協調。 由于完全使用應用層的代理服務，Gauntlet提供了該領域最安全的解決方案，從而對訪

29、問的控制更加細致。 Gauntlet通過對IPSEC/ISAKMP/Oakly的支持，使用DES及Triple DES提供了強大的VPN支持。特別是X.509 V3支持，使大型VPN的管理和認證易于實現。 Gauntlet的VPN加密模塊支持56bitDES及168bit Triple DES。如果選擇Recovery Key，美國以外的用戶也可購買168 bit Triple DES模塊。 Gauntlet Global Virtual Private Network 4. 1內置了基于PKI的證書管理服務器。3.1.2 安全監控產品CyberCop Monitor CyberCop Mon

30、itor為美國網絡聯盟公司最新推出的新一代的基于主機(host-based)的侵入檢測系統,它可對關鍵服務器提供了實時的保護。通過監視來自網絡的攻擊、非法的闖入、異常進程，CyberCop Monitor能夠實時地檢測出攻擊，并作出切斷服務/重啟服務器進程/發出警報/記錄入侵過程等動作。對于安裝在Web Server上的CyberCop Monitor,它還可以當WEB 主頁的內容被非法修改時,自動將原始WEB 主頁的內容恢復,同時,它還具有先進的Fail-Close功能。 CyberCop Monitor也可配置為分布式方式，由安裝在每臺服務器上的agent進行攻擊識別及動作執行，Serve

31、r則完成管理和記錄工作。 目前，CyberCop Monitor可安裝在NT 4.0、Solaris2.6以上操作系統。3.1.3 安全掃描器 CyberCop Scanner (Ballista 2.4) 是一套用于網絡安全掃描的軟件工具，由富有實際經驗的安全專家開發和維護。該產品卓越的性能獲得了Infoworld的高度評價。具體的測試結論請參見附頁。 CyberCop Scanner具備以下突出的特征： (1) 強有力的內置Unix/NT口令Crack。 (2) 功能強大的攻擊測試手段。CyberCop Scanner提供了其它對手沒有的定制攻擊描述語言(CASL)及Customer Au

32、dit Packet Engine(CAPE)。因此用戶可方便地定制自身的攻擊方法來測試系統的安全性。 (3) 提供了強大的對SNMP設備及NT操作系統的薄弱點掃描。 (4) 使用隱含端口掃描方式，大大提高掃描速度。 (5) 提供了業界最快的安全漏洞升級。3.1.4 病毒防護系統 病毒防護系統由Total Virus Defense套件組成，提供了病毒的檢測和清除、診斷、安全、恢復和管理技術。 Virus Scan - 全球領先的桌面反病毒產品。 WebScanX - 保護系統免受惡意的java和ActiveX小程序的破壞。 NetShield - 全球領先的服務器反病毒產品。 WebShie

33、ld - 全球領先的網關反病毒產品。 Enterprise SecureCast - 自動發布病毒更新信息。 Management Edition - 具備集中的管理、分發和警告功能。 NAI 的TVD套件提供了全球最多的病毒類型檢測 (45000種以上)，并且占領了全球60%以上的市場。 NAI的MacFee Labs小組分別在六大洲進行病毒研究，提供全天候的全球病毒研究。每發現一種新病毒，該病毒特征文件按小時在Web上發布。3.2 安全體系與系統的集成 將以上的網絡安全產品結合起來，加上為用戶專門定制的安全策略和配置管理手段等，就形成了信息發布系統(WEB 站點)系統安全全面解決方案的框價

34、。 以上產品的基本功用可以概括為：防火墻技術，主要針對來源于企業外部的攻擊，相當于在企業網絡和外部網之間的安全屏障。防病毒技術，防病毒技術是網絡安全技術中最為簡單的技術，但病毒的攻擊來源于多種方面，權威機構的調查顯示，病毒的攻擊是造成網絡損失的主要原因。我們采用NAI的全面防病毒產品將提供從單機用戶到網絡用戶和互連網絡網絡用戶的全面病毒防護策略。入侵檢測技術，入侵檢測技術主要提供對已經入侵的訪問和試圖入侵的訪問進行跟蹤、記錄和提供犯罪證據。安全掃描技術，對網絡系統的各個環節包括操作系統到防火墻 等各個環節提供可靠的分析結果，并提供可靠和安全性分析報告等。 通過以上的集成安全策略的實施，將達到確

35、保信息發布系統(WEB 站點)的安全性。3.3 技術支持服務集成 網絡安全系統的正常有效運行需要大量的技術支持保證。由于安全問題層出不窮，因此，購買了安全產品，還必須獲得供應商及集成商能夠提供的持久的技術支持。 金陵泰克將在以下方面給予技術支持： (1) 培訓，包含網絡安全及管理理論及產品。 (2) 設計，幫助客戶設計網絡安全系統。 (3) 故障排除，24x7的緊急服務幫助客戶排除故障及入侵跟蹤服務。 (4) 升級，每個月對網絡安全產品實行升級。 (5) 咨詢，提供基于電話/傳真/電子郵件的咨詢。3.4 新網WEB站點網絡安全解決方案Gauntlet FirewallGVPNInternetR

36、emote UserRemote OfficeBusiness PartnerEmail RecipientWeb ServerDNS ServerApplication serverDatabaseDMZCyberCopScannerPGPCyberCop MonitorWebShield圖一方案一：網絡拓樸如圖一。新網計算機網絡有兩大部分組成：位于電報局的中心機房和位于公司的內部網絡。中心機房主要提供與外界的連接，包括：虛擬主機、POP3以及網上商場等。公司的內部網絡主要提供公司管理和辦公自動化服務以及對中心機房的遠程管理。中心機房通過租用電信部門的廣域網線路進行連接，公司內部通過電話線撥

37、號接入Internet。為了實現網絡訪問控制和數據安全，我們在中心機房設置WebShield 300 e-ppliance硬件防火墻。WebShield 300 e-ppliance硬件防火墻的技術特點：NAI 與SUN 公司合作生產的一款新型硬件防火墻，是結合美國兩大著名IT廠家的產品，同時為了減少 SUN Solaris 5.6操作系統的安全漏洞，主要是拒絕服務攻擊，NAI 對 Solaris 5.6進行了重要編寫，達到了更高安全等級。集中NAI 公司安全產品Gauntlet Firewall, Gauntlet VPN Server, WebShield。（1）Gauntlet Fire

38、wall for Solaris 版性能穩定，此防火墻最初是應美國軍方和政府要求設計的，在安全級別上要求很高，是應用網關型防火墻，所有通過防火墻的IP 包都以代理服務方式實現，TCP/IP 協議中能體現對IP 包的操作功能都可控制，世界上公認的最安全防火墻。（2）、VPN Server 是3DES 加密算法，128位密鑰，民用產品加密位數最高，為了進一步提高速度，在不同的型號中，有的提供加密芯片，客戶端產品使用PGPnet，PGP 加密算法是世界聞名加密產品，Internet網加密標準，Cisco加密路由器的客戶端產品就是使用的PGPnet，CA中心使用128位 NAI 公司Net Tools

39、 PKI Server，此產品直到去年12月份才允許向中國出口，安全級別很高，功能很強。（3）、WebShield 是 NAI TVD 防病毒系列中，網關防病毒，是與防火墻結合使用的產品，可自動數據升級。WebShield 300 E-ppliance 是以上NAI 公司三個世界一流安全產品與SUN 公司的硬件Server 合一的產品，使硬件防火墻的安全等級提高到一個新的高度。可遠程控制在安裝后，可以通過Internet網遠程控制。即：在家中、外地均可控制。非常有利于托管。吞吐量100M / 70M聯接數5600 HTTP新網計算機網絡中，中心機房、公司之間需要傳輸十分重要的用戶數據和管理文件

40、，這對于公司的正常業務與管理致關重要，但是由于數據傳輸在公共通訊線路上，傳輸鏈路沒有任何保護措施，使得數據傳輸存在很大的危險。為確保數據傳輸的安全可靠，我們使用VPN技術連接網絡中各點，以增強網絡的安全。在中心機房設置防火墻，在公司安裝VPN客戶端，應用Gauntlet防火墻的GVPN，通過制定詳細的安全策略加以過濾并隊通訊數據加密，確保通過公共通訊線路傳輸的數據的準確性和可靠性此外，我們還可以在遠程用戶的計算機上安裝VPN客戶端，確保用戶與主機之間的數據通訊安全可靠。另外，防火墻也是攻擊的對象，為了安全，我們推薦配備熱備份雙防火墻。還有，在各防火墻上會有完整的網絡訪問記錄。用戶可以定期查看日

41、志文件，了解網絡運行情況，萬一發生意外，日志文件還可以提供追查的線索。漏洞掃描風險評估工具CyberCop ScannerCyberCop Scanner通過對網絡的掃描，可以發現網絡結構和配置方面的漏洞。CyberCop Scanner可以進行跨路由的掃描工作，網絡有了這樣的工具，就可以方便的了解網絡結構的變化以及網絡的運行情況，同時可以發現自身以及網絡中存在的安全漏洞，及時加以彌補保證網絡的安全運行。Cybercop Scanner功能特點及技術指標如下： CyberCop掃描器提供綜合的審計工具，發現網絡環境中的安全漏洞，保證網絡安全的完整性。它可以評估Intranet、Web服務器、防

42、火墻、路由器，掃描和測試確定存在的可被黑客利用的脆弱性。 CyberCop掃描器產生豐富的報表：HTML、ASCII、RTF、Comma Delimited。 CyberCop掃描器可以發現大眾化的安全漏洞和那些非大眾化的漏洞。它可以確定防火墻的第一條防護規則是否起作用，用獨特的定制審計包括引擎(CAPE)技術完成協議級Spoofing和攻擊模擬。CAPE可提供動態工具集生成，解決特殊網絡情況。即使是一般的程序員也可用CAPE生成網絡級安全工具。 CyberCop可以驗證存取路由器、過濾防火墻的完整性，也可用來檢查各種混合配置。 通過掃描網絡精確確定網絡中的情況和安全姿態，以及判斷是否滿足安全策略；容許集中審記整個網絡；初始網絡掃描完成后，日志用來與進一步參照比較；而且自動安全掃描使企業為經常性的審記只需花一次費用； 因此，我們將在中心機房設置一個CyberCop Scanner，定期對整個或局部網絡進行漏洞掃描，確保網絡處于安全、可靠的狀態。使用主機監控技術保護重要主機計算機網絡設置了防火墻后可以解決多數網絡安全問題，但是防火墻不是萬能的，有些攻擊行為僅僅依靠防火墻是不能防范的。比如在重要主機運行的網段上通常連接著一些系統管理用工作站，如果攻擊行為從這些工作站上發起，那么對主機的訪問就不需要通過防火墻。又如某些用戶對主機具有較高的訪問權限，這