網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃方案#第六，建立網(wǎng)絡(luò)系統(tǒng)漏洞的評(píng)估分析機(jī)制最后，網(wǎng)絡(luò)安全的建設(shè)是一個(gè)動(dòng)態(tài)的、可持續(xù)的過(guò)程，當(dāng)網(wǎng)絡(luò)中增加了新的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)或應(yīng)用系統(tǒng)，能夠及時(shí)發(fā)現(xiàn)并迅速解決相關(guān)的安全風(fēng)險(xiǎn)和威脅，實(shí)施專門地安全服務(wù)評(píng)估掃描工具是很有必要的。通過(guò)專業(yè)的網(wǎng)絡(luò)漏洞掃描系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、信息資產(chǎn)、應(yīng)用系統(tǒng)、操作系統(tǒng)、人員以及相關(guān)的管理制度進(jìn)行評(píng)估分析，找出相關(guān)弱點(diǎn)，并及時(shí)提交相關(guān)解決方法,使得網(wǎng)絡(luò)的安全性得到動(dòng)態(tài)的、可持續(xù)的發(fā)展，保證了整個(gè)網(wǎng)絡(luò)的安全性。本期總體安全規(guī)劃建設(shè)完成后的效果通過(guò)在本期總體安全規(guī)中包括的幾個(gè)重要方面的安全防護(hù)建設(shè)，包括構(gòu)建完善的網(wǎng)絡(luò)邊界防范措施、網(wǎng)絡(luò)內(nèi)部入侵防御機(jī)制、移動(dòng)用戶遠(yuǎn)程安全訪問(wèn)機(jī)制、完善的防病毒機(jī)制、增強(qiáng)的網(wǎng)絡(luò)抗攻擊能力以及網(wǎng)絡(luò)系統(tǒng)漏洞安全評(píng)估分析機(jī)制等，最終可以使（ ）網(wǎng)絡(luò)初步具備較高的抗黑客入侵能力，全面的防毒、查殺毒能力以及對(duì)整網(wǎng)漏洞的評(píng)估分析能力，從而建立起全防御體系的信息安全框架，基本達(dá)到《GB17859》中規(guī)定的二級(jí)安全防護(hù)保障能力。基礎(chǔ)設(shè)施安全部署分級(jí)設(shè)置用戶口令H3C系列路由器、交換機(jī)的登錄口令分為4級(jí)：參觀級(jí)、監(jiān)控級(jí)、配置級(jí)、管理級(jí)，不同的級(jí)別所能做的操作都不相同。參觀級(jí)：網(wǎng)絡(luò)診斷工具命令（Ping、tracert）、從本設(shè)備出發(fā)訪問(wèn)外部設(shè)備的命令（包括:TeInet客戶端、SSH客戶端、RLOGIN）等，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。監(jiān)控級(jí)：用于系統(tǒng)維護(hù)、業(yè)務(wù)故障診斷等，包括display^debugging命令，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。配置級(jí)：業(yè)務(wù)配置命令，包括路由、各個(gè)網(wǎng)絡(luò)層次的命令，這些用于向用戶提供直接網(wǎng)絡(luò)服務(wù)。管理級(jí)：關(guān)系到系統(tǒng)基本運(yùn)行，系統(tǒng)支撐模塊的命令，這些命令對(duì)業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、XmOdem下載、配置文件切換命令、電源控制命令、背板控制命令、用戶管理命令、級(jí)別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。建議分級(jí)設(shè)置登錄口令，以便于對(duì)于不同的維護(hù)人員提供不同的口令。對(duì)任何方式的用戶登錄都進(jìn)行認(rèn)證建議對(duì)于各種登錄設(shè)備的方式（通過(guò)TELNET、CONSOLE□.AUX∏）都進(jìn)行認(rèn)證。在默認(rèn)的情況下，CONSOLE口不進(jìn)行認(rèn)證，在使用時(shí)建議對(duì)于CONSOLE口登錄配置上認(rèn)證。對(duì)于安全級(jí)別一般的設(shè)備，建議認(rèn)證方式采用本地認(rèn)證，認(rèn)證的時(shí)候要求對(duì)用戶名和密碼都進(jìn)行認(rèn)證，配置密碼的時(shí)候要采用密文方式。用戶名和密碼要求足夠的強(qiáng)壯。對(duì)于安全級(jí)別比較高的設(shè)備，建議采用AAA方式到RADIUS或TACACS+服務(wù)器去認(rèn)證。H3C系列路由器、交換機(jī)支持RADIUS和TACACS+認(rèn)證協(xié)議。對(duì)網(wǎng)絡(luò)上已知的病毒所使用的端口進(jìn)行過(guò)濾現(xiàn)在網(wǎng)絡(luò)上的很多病毒（沖擊波、振蕩波）發(fā)作時(shí)，對(duì)網(wǎng)絡(luò)上的主機(jī)進(jìn)行掃描搜索，該攻擊雖然不是針對(duì)設(shè)備本身，但是在攻擊過(guò)程中會(huì)涉及到發(fā)ARP探詢主機(jī)位置等操作，某些時(shí)候?qū)τ诰W(wǎng)絡(luò)設(shè)備的資源消耗十分大，同時(shí)會(huì)占用大量的帶寬。對(duì)于這些常見的病毒，通過(guò)分析它們的工作方式，可知道他們所使用的端口號(hào)。為了避免這些病毒對(duì)于設(shè)備運(yùn)行的影響，建議在設(shè)備上配置ACL,對(duì)已知的病毒所使用的TCP、UDP端口號(hào)進(jìn)行過(guò)濾。一方面保證了設(shè)備資源不被病毒消耗，另一方面阻止了病毒的傳播，保護(hù)了網(wǎng)絡(luò)中的主機(jī)設(shè)備。采用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換，用來(lái)實(shí)現(xiàn)私有網(wǎng)絡(luò)地址與公有網(wǎng)絡(luò)地址之間的轉(zhuǎn)換。地址轉(zhuǎn)換的優(yōu)點(diǎn)在于屏蔽了內(nèi)部網(wǎng)絡(luò)的實(shí)際地址；外部網(wǎng)絡(luò)基本上不可能穿過(guò)地址代理來(lái)直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)。通過(guò)配置，用戶可以指定能夠通過(guò)地址轉(zhuǎn)換的主機(jī)，以有效地控制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問(wèn)。結(jié)合地址池，還可以支持多對(duì)多的地址轉(zhuǎn)換，更有效地利用用戶的合法IP地址資源。H3C系列路由器可以提供靈活的內(nèi)部服務(wù)器的支持，對(duì)外提供WEB、FTP、SMTP等必要的服務(wù)。而這些服務(wù)器放置在內(nèi)部網(wǎng)絡(luò)中，既保證了安全，又可方便地進(jìn)行服務(wù)器的維護(hù)。關(guān)閉危險(xiǎn)的服務(wù)如果在H3C系列路由器上不使用以下服務(wù)的時(shí)候，建議將這些服務(wù)關(guān)閉，防止那些通過(guò)這些服務(wù)的攻擊對(duì)設(shè)備的影響。禁止HDP(HuaweiDiscoveryProtocol)；禁止其他的TCP、UDPSmaII服務(wù)。路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如:echo>Chargen和discard。這些小服務(wù)很少被使用，而且容易被攻擊者利用來(lái)越過(guò)包過(guò)濾機(jī)制；禁止Finger、NTP服務(wù)。Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險(xiǎn)的，但是如果沒有一個(gè)很好的認(rèn)證，則會(huì)影響路由器正確時(shí)間，導(dǎo)致日志和其他任務(wù)出錯(cuò)；建議禁止HTTP服務(wù)。路由器操作系統(tǒng)支持Http協(xié)議進(jìn)行遠(yuǎn)端配置和監(jiān)視，而針對(duì)Http的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對(duì)于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護(hù)，這使得用HttP進(jìn)行管理相當(dāng)危險(xiǎn)；禁止BOOTp月艮務(wù)；禁止IPSourceRouting；明確的禁止IPDirectedBroadcast；禁止IPClassless；禁止ICMP協(xié)議的IPUnreachables5Redirects9Mask-Replies；如果沒必要?jiǎng)t禁止WINS和DNS服務(wù)；禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件；禁止FTP服務(wù)，網(wǎng)絡(luò)上存在大量的FTP服務(wù)，使用不同的用戶名和密碼進(jìn)行嘗試登錄設(shè)備，一旦成功登錄，就可以對(duì)設(shè)備的文件系統(tǒng)操作，十分危險(xiǎn)。使用SNMP協(xié)議時(shí)候的安全建議在不使用網(wǎng)管的時(shí)候，建議關(guān)閉SNMP協(xié)議。出于SNMPvl∕v2協(xié)議自身不安全性的考慮，建議盡量使用SNMPv3,除非網(wǎng)管不支持SNMPv3,只能用SNMPVi/v2。在配置SNMPV3時(shí)，最好既鑒別又加密，以更有效地加強(qiáng)安全。鑒別協(xié)議可通過(guò)MD5或SHA,加密協(xié)議可通過(guò)DESo在SNMP服務(wù)中，提供了ACL過(guò)濾機(jī)制，該機(jī)制適用于SNMPvI∕v2∕v3三個(gè)版本，建議通過(guò)訪問(wèn)控制列表來(lái)限制SNMP的客戶端。SNMP服務(wù)還提供了視圖控制，可用于SNMPv1∕v2∕v3o建議使用視圖來(lái)限制用戶的訪問(wèn)權(quán)限。在配置SNMPvI∕v2的community名字時(shí)，建議避免使用public、private這樣公用的名字。并且在配置community時(shí)，將Ro和RW的COmmUnity分開，不要配置成相同的名字。如果不需要RW的權(quán)限，則建議不要配置RW的Communityo保持系統(tǒng)日志的打開H3C系列路由器、交換機(jī)的系統(tǒng)日志會(huì)記錄設(shè)備的運(yùn)行信息，維護(hù)人員做了哪些操作,執(zhí)行了哪些命令。系統(tǒng)日志建議一直打開，以便于網(wǎng)絡(luò)異常的時(shí)候，查找相關(guān)的記錄，并能提供以下幾種系統(tǒng)信息的記錄功能：access-list的log功能：在配置access-list時(shí)加入log關(guān)鍵字，可以在交換機(jī)處理相應(yīng)的報(bào)文時(shí)，記錄報(bào)文的關(guān)鍵信息；關(guān)鍵事件的日志記錄：對(duì)于如接口的UP、DOWN以及用戶登錄成功、失敗等信息可以作記錄；DebUg信息：用來(lái)對(duì)網(wǎng)絡(luò)運(yùn)行出現(xiàn)的問(wèn)題進(jìn)行分析。注意檢查設(shè)備的系統(tǒng)時(shí)間是否準(zhǔn)確為了保證日志時(shí)間的準(zhǔn)確性，建議定期（每月一次）檢查設(shè)備的系統(tǒng)時(shí)間是否準(zhǔn)確，和實(shí)際時(shí)間誤差不超過(guò)1分鐘。運(yùn)行路由協(xié)議的時(shí)候，增加對(duì)路由協(xié)議的加密認(rèn)證現(xiàn)網(wǎng)上己經(jīng)發(fā)現(xiàn)有對(duì)BGP的攻擊，導(dǎo)致BGP鏈路異常斷鏈。建議對(duì)于現(xiàn)在網(wǎng)絡(luò)上使用的ISIS、BGP路由協(xié)議，對(duì)報(bào)文進(jìn)行加密認(rèn)證。由于采用明文驗(yàn)證的時(shí)候，會(huì)在網(wǎng)絡(luò)上傳播驗(yàn)證密碼，并不安全，所以建議使用MD5算法，對(duì)于密鑰的設(shè)置要求足夠的強(qiáng)壯。在增加了對(duì)于路由協(xié)議報(bào)文的加密認(rèn)證會(huì)略微增加設(shè)備的CPU利用率,由于對(duì)于路由協(xié)議報(bào)文的處理在主控板，而對(duì)于數(shù)據(jù)的轉(zhuǎn)發(fā)是由接口板直接處理，所以路由協(xié)議增加了對(duì)報(bào)文的加密驗(yàn)證，不會(huì)影響設(shè)備的轉(zhuǎn)發(fā)。設(shè)備上開啟URPF功能URPF通過(guò)獲取報(bào)文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對(duì)應(yīng)的接口是否與入接口匹配，如果不匹配，認(rèn)為源地址是偽裝的，丟棄該報(bào)文。通過(guò)這種方式,URPF就能有效地防范網(wǎng)絡(luò)中通過(guò)修改源地址而進(jìn)行的惡意攻擊行為的發(fā)生。通過(guò)URPF,可以防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。H3C系列核心路由器的各種板卡均支持URPF功能，并支持strict.loose和ACL三種模式。ICMP協(xié)議的安全配置ICMP協(xié)議很多具有一些安全隱患，因此在骨干網(wǎng)絡(luò)上，如果沒有特別需要建議禁止一些ICMP協(xié)議報(bào)文：ECH0、Redirect、Maskrequest□同時(shí)禁止TraceRoute命令的探測(cè)。對(duì)于流出的ICMP流，可以允許ECHO、ParameterProblem,Packettoobigα還有TraCeRoUte命令的使用。這些的措施通過(guò)ACL功能都可以實(shí)現(xiàn)，H3C系列核心路由器的ACL命令中包含icmp-type安全選項(xiàng)。DDoS攻擊的防范DDoS（分布式拒絕服務(wù)），它的英文全稱為DiStribUtedDenialofSerVice,它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，比如商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。典型攻擊包括SinUrf、TCPSYN、LAND.C等攻擊類型對(duì)于這些攻擊需要在發(fā)現(xiàn)問(wèn)題后接入層面實(shí)施，先探測(cè)到DDOS攻擊源和攻擊使用的端口（這個(gè)功能可以通過(guò)端口鏡像，將數(shù)據(jù)流鏡像到專門的設(shè)備上進(jìn)行分析，以獲取攻擊源和攻擊使用的端口），然后對(duì)攻擊源的通信進(jìn)行限制，這類防范手段也可以通過(guò)ACL來(lái)實(shí)現(xiàn)。H3C系列核心路由器全面支持ACL包過(guò)濾功能，可以雙向配置32K條ACL,同時(shí)，由于ACL完全由硬件實(shí)現(xiàn)，啟動(dòng)ACL后對(duì)于設(shè)備轉(zhuǎn)發(fā)性能不會(huì)造成影響。端口驗(yàn)證技術(shù)基于端口的驗(yàn)證，是由IEEE進(jìn)行標(biāo)準(zhǔn)化的驗(yàn)證方法，標(biāo)準(zhǔn)號(hào)是802.1xoIEEE802.1X定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議（POrtbasednetaccesscontrol）,用于交換式的以太網(wǎng)環(huán)境。要求與客戶和與其直接相連的設(shè)備都實(shí)現(xiàn)802.1X。當(dāng)應(yīng)用于共享式以太網(wǎng)環(huán)境時(shí)，應(yīng)對(duì)用戶名，密碼等關(guān)鍵信息進(jìn)行加密傳輸。在運(yùn)營(yíng)過(guò)程中，設(shè)備也可以隨時(shí)要求客戶重新進(jìn)行驗(yàn)證。該協(xié)議適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式，其中端口可以是物理端口，也可以是邏輯端口。主要功能是限制未授權(quán)設(shè)備（如用戶計(jì)算機(jī)），通過(guò)以太網(wǎng)交換機(jī)的公共端口訪問(wèn)局域網(wǎng)。防地址假冒技術(shù)為了加強(qiáng)接入用戶的控制和限制,H3C系列以太網(wǎng)交換機(jī)支持4種地址安全技術(shù)：支持設(shè)置端口的學(xué)習(xí)狀態(tài)。關(guān)閉端口的地址學(xué)習(xí)功能后，該端口上只能通過(guò)認(rèn)識(shí)的MAC地址（一般是用戶手工配置的靜態(tài)MAC地址），來(lái)自其它陌生MAC地址的報(bào)文均被丟棄。支持設(shè)置端口最多學(xué)習(xí)到的MAC地址個(gè)數(shù)。開啟端口的地址學(xué)習(xí)功能后，可以配置允許學(xué)習(xí)的MAC地址個(gè)數(shù)范圍在1?65535之間。當(dāng)端口己經(jīng)學(xué)習(xí)到允許的MAC地址個(gè)數(shù)后，將停止學(xué)習(xí)新MAC地址，直到部分MAC地址老化后，才開始學(xué)習(xí)新MAC地址。支持端口和MAC地址綁定。通過(guò)在端口上配置靜態(tài)MAC地址，并禁止該端口進(jìn)行地址學(xué)習(xí),就限定了在該端口上允許通過(guò)的MAC地址，來(lái)自其它MAC地址的報(bào)文均被丟棄。支持廣播報(bào)文轉(zhuǎn)發(fā)開關(guān)。可在端口上配置，禁止目的地址為廣播地址的報(bào)文從該端口轉(zhuǎn)發(fā)，以防止Smurf攻擊。防火墻系統(tǒng)防護(hù)方案網(wǎng)絡(luò)邊界安全一般是采用防火墻等成熟產(chǎn)品和技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的訪問(wèn)控制，采用安全檢測(cè)手段防范非法用戶的主動(dòng)入侵。在防火墻上通過(guò)設(shè)置安全策略增加對(duì)服務(wù)器的保護(hù)，同時(shí)必要時(shí)還可以啟用防火墻的NAT功能隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使用日志來(lái)對(duì)非法訪問(wèn)進(jìn)行監(jiān)控，使用防火墻與交換機(jī)、入侵防御聯(lián)動(dòng)功能形成動(dòng)態(tài)、自適應(yīng)的安全防護(hù)平臺(tái)。下面將從幾個(gè)方面介紹防火墻在（ ）網(wǎng)絡(luò)的設(shè)計(jì)方案。防火墻對(duì)服務(wù)器群的保護(hù)由于各種應(yīng)用服務(wù)器等公開服務(wù)器屬于對(duì)外提供公開服務(wù)的主機(jī)系統(tǒng)，因此對(duì)于這些公開服務(wù)器的保護(hù)也是十分必要的；具體可以利用防火墻劃分DMZ區(qū)，將公開服務(wù)器連接在千兆防火墻的DMZ區(qū)上。對(duì)于防火墻系統(tǒng)而言，其接口分別可以自行定義為DMZ（安全服務(wù)器網(wǎng)絡(luò)）區(qū)、內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)共三個(gè)區(qū)域。DMZ（安全服務(wù)器網(wǎng)絡(luò)）區(qū)是為適應(yīng)越來(lái)越多的用戶向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器保護(hù)的需要，防火墻采用特別的策略對(duì)用戶的公開服務(wù)器實(shí)施保護(hù)，它利用獨(dú)立網(wǎng)絡(luò)接口連接公開服務(wù)器網(wǎng)絡(luò)，公開服務(wù)器網(wǎng)絡(luò)既是內(nèi)部網(wǎng)的一部份，又與內(nèi)部網(wǎng)物理隔離。既實(shí)現(xiàn)了對(duì)公開服務(wù)器自身的安全保護(hù)，同時(shí)也避免了公開服務(wù)器對(duì)內(nèi)部網(wǎng)的安全威脅。防火墻對(duì)核心內(nèi)部業(yè)務(wù)網(wǎng)的保護(hù)對(duì)于核心內(nèi)部業(yè)務(wù)網(wǎng)部分，在實(shí)施策略時(shí)，也可以配置防火墻工作與透明模式下，并設(shè)置只允許核心內(nèi)部網(wǎng)能夠訪問(wèn)外界有限分配資源，而不允許外界網(wǎng)絡(luò)訪問(wèn)核心內(nèi)部網(wǎng)信息資源或只允許訪問(wèn)有限資源；也可以在防火墻上配置NAT或MAP策略，能夠更好地隱藏內(nèi)部網(wǎng)絡(luò)地址結(jié)構(gòu)等信息，從而更好地保護(hù)核心內(nèi)部網(wǎng)的系統(tǒng)安全。防火墻對(duì)網(wǎng)絡(luò)邊界的保護(hù)對(duì)于（ ）網(wǎng)絡(luò)各個(gè)網(wǎng)絡(luò)邊界而言，每個(gè)單獨(dú)地網(wǎng)絡(luò)系統(tǒng)都是一個(gè)獨(dú)立的網(wǎng)絡(luò)安全區(qū)域，因此在網(wǎng)絡(luò)邊界處配置一臺(tái)高性能防火墻系統(tǒng)，制定安全的訪問(wèn)策略，不僅可以有效地保護(hù)內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)和數(shù)據(jù)安全，還可以防止各網(wǎng)絡(luò)之間有意無(wú)意地探測(cè)和攻擊行為。A防火墻部署網(wǎng)絡(luò)邊界，以網(wǎng)關(guān)的形式出現(xiàn)。部署在網(wǎng)絡(luò)邊界的防火墻，同時(shí)承擔(dān)著內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)域的安全責(zé)任，針對(duì)不同的安全區(qū)域，其受信程度不一樣，安全策略

也不一樣。A防火墻放置在內(nèi)網(wǎng)和外網(wǎng)之間，實(shí)現(xiàn)了內(nèi)網(wǎng)和外網(wǎng)的安全隔離。A防火墻上劃分DMZ區(qū)，隔離服務(wù)器群。保護(hù)服務(wù)器免受來(lái)自公網(wǎng)和內(nèi)網(wǎng)的攻擊。在防火墻上配置安全訪問(wèn)策略，設(shè)置訪問(wèn)權(quán)限，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。當(dāng)客戶網(wǎng)絡(luò)有多個(gè)出口，并要求分別按業(yè)務(wù)、人員實(shí)現(xiàn)分類訪問(wèn)時(shí)，在防火墻上啟用策略路由功能，保證實(shí)現(xiàn)不同業(yè)務(wù)/人員定向不同ISP的需求。防火墻具有對(duì)業(yè)務(wù)的良好支持，作為NATALG或者ASPF過(guò)濾，都能夠滿足正常業(yè)務(wù)的運(yùn)行。防火墻易于管理，讓管理員舒心。數(shù)據(jù)中心的安全防護(hù)在防火墻上除了通過(guò)設(shè)置安全策略來(lái)增加對(duì)服務(wù)器或內(nèi)部網(wǎng)的保護(hù)以外，同時(shí)還可以啟用防火墻日志服務(wù)器記錄功能來(lái)記錄所有的訪問(wèn)情況，對(duì)非法訪問(wèn)進(jìn)行監(jiān)控；還可以使用防火墻與將要實(shí)施的入侵防御系統(tǒng)之間的實(shí)時(shí)聯(lián)動(dòng)功能，形成動(dòng)態(tài)、完整的、安全的防護(hù)體系。A數(shù)據(jù)中心是安全的重點(diǎn)，性能、可靠性以及和IPS入侵防御的聯(lián)動(dòng)都必須有良好的表現(xiàn)。防火墻具有優(yōu)異的性能，可靠性方面表現(xiàn)不凡，結(jié)合入侵防御系統(tǒng)，可以實(shí)現(xiàn)高層次業(yè)務(wù)的數(shù)據(jù)安全。本組網(wǎng)方案中，同時(shí)我們充分考慮到管理的方便性，如果需要在遠(yuǎn)程通過(guò)internet接入的方法對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行管理，可以結(jié)合VPN業(yè)務(wù)，既保證了安全，也實(shí)現(xiàn)了管理的方便。>2臺(tái)熱備的防火墻將數(shù)據(jù)中心內(nèi)部服務(wù)器和數(shù)據(jù)中心外部的Intranet隔離起來(lái)，有效的保護(hù)了數(shù)據(jù)中心內(nèi)部服務(wù)器。A防火墻可以根據(jù)VLAN劃分虛擬安全區(qū)，從而可以方便地把不同業(yè)務(wù)服務(wù)器劃分到不同安全區(qū)里，實(shí)現(xiàn)了數(shù)據(jù)中心內(nèi)部的不同業(yè)務(wù)區(qū)的隔離和訪問(wèn)控制。管理員通過(guò)IPSecVPN保證管理流量的私密性和完整性。專門部署一個(gè)VPN網(wǎng)關(guān)，管理員終端設(shè)備上安裝安全客戶端，結(jié)合證書認(rèn)證和USBkey,保證管理員的身份不被冒充，從而實(shí)現(xiàn)方便的管理。防火墻和IPS入侵防御系統(tǒng)聯(lián)合使用，檢測(cè)從二層到七層的全部協(xié)議數(shù)據(jù)包，保證任何形式和類型的攻擊都不會(huì)被漏掉。有效地保護(hù)了網(wǎng)絡(luò)應(yīng)用網(wǎng)管服務(wù)器安全策略服務(wù)器通過(guò)將防火墻部署在數(shù)據(jù)中心，不但保護(hù)了數(shù)據(jù)中心服務(wù)器的安全，同時(shí)方便管理，保證了管理員的快速響應(yīng)成為可能，從多個(gè)方面實(shí)現(xiàn)了網(wǎng)絡(luò)的安全。建立內(nèi)部入侵防御機(jī)制雖然，網(wǎng)絡(luò)中已部署了防火墻，但是，在網(wǎng)絡(luò)的運(yùn)行維護(hù)中，ιT部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、而應(yīng)用系統(tǒng)的響應(yīng)速度越來(lái)越慢，只好提升帶寬并升級(jí)服務(wù)器嘍，可過(guò)不了多久問(wèn)題再次出現(xiàn)。而實(shí)際上，業(yè)務(wù)增長(zhǎng)速度并沒有這樣快，業(yè)務(wù)流量占用帶寬不會(huì)達(dá)到這樣的數(shù)量，這是目前各大公司網(wǎng)絡(luò)都可能存在的問(wèn)題。并不是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)不周，而是自2003年以來(lái)，蠕蟲、點(diǎn)到點(diǎn)，入侵技術(shù)日益滋長(zhǎng)并演變到應(yīng)用層面（L7）的結(jié)果，而這些有害代碼總是偽裝成客戶正常業(yè)務(wù)進(jìn)行傳播，目前部署的防火墻其軟硬件設(shè)計(jì)當(dāng)初僅按照其工作在L2-L4時(shí)的情況考慮，不具有對(duì)數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測(cè)的能力，自然就無(wú)法有效識(shí)別偽裝成正常業(yè)務(wù)的非法流量，結(jié)果蠕蟲、攻擊、間諜軟件、點(diǎn)到點(diǎn)應(yīng)用等非法流量輕而易舉地通過(guò)防火墻開放的端口進(jìn)出網(wǎng)絡(luò)，如下圖所示：圖蠕蟲、P2P等非法流量穿透防火墻這就是為何用戶在部署了防火墻后，仍然遭受入侵以及蠕蟲、病毒、拒絕服務(wù)攻擊的困擾。事實(shí)上，員工的PC都既需要訪問(wèn)Internet又必須訪問(wèn)公司的業(yè)務(wù)系統(tǒng)，所以存在被病毒感染和黑客控制的可能，蠕蟲可以穿透防火墻并迅速傳播，導(dǎo)致主機(jī)癱瘓，吞噬寶貴網(wǎng)絡(luò)帶寬，P2P等應(yīng)用,利用80端口進(jìn)行協(xié)商，然后利用開放的UDP進(jìn)行大量文件共享，導(dǎo)致機(jī)密泄漏和網(wǎng)絡(luò)擁塞，對(duì)系統(tǒng)的危害極大。為了能夠讓防火墻具備深入的監(jiān)測(cè)能力，許多廠商都基于現(xiàn)有的平臺(tái)增加了L4-L7分析能力，但問(wèn)題是僅僅將上千個(gè)基于簡(jiǎn)單模式匹配過(guò)濾器同時(shí)打開來(lái)完成對(duì)數(shù)據(jù)包的L4-L7深入檢測(cè)時(shí)，防火墻的在數(shù)據(jù)流量較大時(shí)會(huì)迅速崩潰，或雖可以勉強(qiáng)工作，卻引入很大的處理延時(shí)，造成業(yè)務(wù)系統(tǒng)性能的嚴(yán)重下降，所以基于現(xiàn)有防火墻體系結(jié)構(gòu)增加深入包檢測(cè)功能的方案存在嚴(yán)重的性能問(wèn)題。入侵防御系統(tǒng)對(duì)重要服務(wù)器和內(nèi)部網(wǎng)的部署保護(hù)入侵防御技術(shù)是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，入侵防御技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息。因此，對(duì)于重要的服務(wù)器系統(tǒng)和內(nèi)部核心網(wǎng)絡(luò)，他們都連接在核心交換上，因此，在實(shí)施入侵防御策略時(shí)，可以在入侵防御系統(tǒng)上對(duì)其設(shè)置完善的入侵防御規(guī)則，如DoS、代碼攻擊、病毒、后門黑客攻擊或入侵的方法以及各種攻擊手段，如掃描、嗅探、后門、惡意代碼、拒絕服務(wù)、分布式拒絕服務(wù)、欺騙等各種攻擊規(guī)則，并使入侵防御系統(tǒng)監(jiān)聽口工作在混雜模式，能實(shí)時(shí)在線的抓取網(wǎng)絡(luò)上的數(shù)據(jù)包，實(shí)時(shí)的監(jiān)控網(wǎng)絡(luò)連接，對(duì)非法的數(shù)據(jù)包能產(chǎn)生報(bào)警和日志記錄，必要時(shí)可以加以阻斷。建立入侵防御機(jī)制防火墻和入侵檢測(cè)系統(tǒng)（IDS）己經(jīng)被普遍接受，但還不足以保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻不能充分地分析應(yīng)用層協(xié)議數(shù)據(jù)中的攻擊信號(hào)，入侵檢測(cè)系統(tǒng)也不會(huì)采取行動(dòng)阻擋檢測(cè)到的攻擊。傳統(tǒng)的解決方案就是為一臺(tái)一臺(tái)的服務(wù)器和工作站打軟件補(bǔ)丁，這是一個(gè)很費(fèi)時(shí)間和效率很低的過(guò)程。對(duì)于一些組織來(lái)說(shuō)，打軟件補(bǔ)丁的挑戰(zhàn)來(lái)自對(duì)每個(gè)補(bǔ)丁的測(cè)試，以了解它如何影響關(guān)鍵系統(tǒng)的性能。其他組織發(fā)現(xiàn)的最大挑戰(zhàn)是如何在不同用戶環(huán)境的條件下將補(bǔ)丁分發(fā)到每個(gè)單獨(dú)的終端用戶，并說(shuō)服他們安裝這些補(bǔ)丁。總的來(lái)說(shuō)，打補(bǔ)丁過(guò)程需要花費(fèi)時(shí)間，此時(shí)，主機(jī)不受保護(hù)，且易于暴露弱點(diǎn)。因此，用戶需要一個(gè)全新的安全解決方案。入侵防御系統(tǒng)（IPS）填補(bǔ)了這一空白，并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式。IPS在網(wǎng)絡(luò)線內(nèi)進(jìn)行操作，阻擋惡意流量；而不僅僅是被動(dòng)地檢測(cè)。系統(tǒng)分析活動(dòng)連接并在傳輸過(guò)程中截?cái)喙簦袗阂夤袅髁坎粫?huì)達(dá)到目的地。該設(shè)備通常沒有MAC地址或IP地址，因此它可以被認(rèn)為是“線路的一部分”，合法的流量以網(wǎng)速和以微秒級(jí)的延時(shí)無(wú)障礙通過(guò)系統(tǒng)。IPS自動(dòng)在缺省配置中設(shè)置成百上千個(gè)過(guò)濾用于阻擋各類攻擊。這些過(guò)濾器時(shí)刻識(shí)別所有情況下存在于所有網(wǎng)絡(luò)環(huán)境中的已知的惡意流量。管理員只需要打開系統(tǒng),通過(guò)管理接口配置用戶名和密碼，并插入數(shù)據(jù)纜線。這時(shí)，系統(tǒng)開始運(yùn)行并阻擋攻擊,保護(hù)易受攻擊的系統(tǒng)不受危害。沒有必要在UnityOne提供服務(wù)之前進(jìn)行配置、關(guān)聯(lián)、集成或調(diào)諧任何參數(shù)的工作。IPS的最主要的價(jià)值是可以提供"虛擬補(bǔ)丁”的功能,使主機(jī)沒有應(yīng)用補(bǔ)丁程序時(shí)或網(wǎng)絡(luò)運(yùn)行存在風(fēng)險(xiǎn)協(xié)議時(shí)，它能保護(hù)易受攻擊的系統(tǒng)不受攻擊。利用一個(gè)或一組IPS過(guò)濾器，可有效地阻擋所有企圖探索特殊弱點(diǎn)的嘗試。這意味著不同的攻擊者可以來(lái)去自如，開發(fā)的攻擊代碼可以完全不同，攻擊者可以使用他們多種形態(tài)的shellcode發(fā)生器或其他躲避技術(shù)，但過(guò)濾器會(huì)在允許合法流量通過(guò)的同時(shí)可靠地阻擋所有攻擊。按這種方式操作的過(guò)濾器稱為“弱點(diǎn)過(guò)濾器”,這樣的過(guò)濾器使未安裝補(bǔ)丁的系統(tǒng)從外部攻擊者的角度看上去是已經(jīng)安裝補(bǔ)丁的。虛擬補(bǔ)丁是為脆弱的系統(tǒng)提供最強(qiáng)大，且可升級(jí)的保護(hù)。防火墻和IPS協(xié)同工作內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處一向是網(wǎng)絡(luò)安全的重點(diǎn)，通常會(huì)部署高性能防火墻限制訪問(wèn)權(quán)限。但是外部網(wǎng)絡(luò)中具有訪問(wèn)權(quán)限的主機(jī)可能會(huì)被黑客控制，防火墻無(wú)法阻止黑客間接地通過(guò)這些主機(jī)發(fā)起攻擊。可以在防火墻之后部署一臺(tái)IPS,配置保護(hù)內(nèi)部網(wǎng)絡(luò)的安全策略（也稱為規(guī)則）。比如：內(nèi)部網(wǎng)絡(luò)中有文件服務(wù)器和郵件服務(wù)器，則可以在IPS上配置檢測(cè)對(duì)以上兩種服務(wù)器的攻擊的規(guī)則。劃分安全區(qū)域及信息安全保障在（ ）內(nèi)部，還有可能劃分出更小的子網(wǎng)絡(luò)，子網(wǎng)絡(luò)之間互訪需要應(yīng)用不同的安全策略。比如：（ ）內(nèi)部可能還劃分出管理子網(wǎng)、辦公子網(wǎng)。所有的子網(wǎng)都可以訪問(wèn)外部網(wǎng)絡(luò)，但是管理子網(wǎng)不允許向外發(fā)送郵件，但可以接收郵件。在這種情況下，可以把IPS系列上的業(yè)務(wù)接口劃分為不同的安全區(qū)域。在管理子網(wǎng)和其它子網(wǎng)之間配置不同的安全策略，不允許使用SMTP服務(wù)。互聯(lián)網(wǎng)給消息存儲(chǔ)、交換和獲取提供了極大的便利，同時(shí)也增加了信息泄密的可能性。黑客可能通過(guò)攻擊內(nèi)部網(wǎng)絡(luò)的服務(wù)器或者控制內(nèi)部網(wǎng)絡(luò)的主機(jī)竊取機(jī)密信息，企業(yè)內(nèi)部員工也可能無(wú)意向外發(fā)送了重要文件。由于可用于網(wǎng)絡(luò)傳輸?shù)膽?yīng)用程序非常多，通過(guò)對(duì)幾種網(wǎng)絡(luò)協(xié)議的分析不能形成完全的保護(hù)。比如；防火墻可以分析用于Web瀏覽的HTTP協(xié)議和發(fā)送郵件的SMTP協(xié)議,但使用其它協(xié)議（MSN、QQ、BT等等）傳輸?shù)闹匾畔⒕涂梢远氵^(guò)防火墻的阻截。IPS系列產(chǎn)品可以配置深度檢測(cè)規(guī)則，同時(shí)結(jié)合數(shù)十種常見協(xié)議的分析，可以分級(jí)別的檢測(cè)各種敏感信息并做出不同的響應(yīng)。對(duì)于己知的協(xié)議，如果發(fā)現(xiàn)其中有敏感信息且是發(fā)往外部網(wǎng)絡(luò)的,IPS可以直接攔截或通過(guò)聯(lián)動(dòng)阻斷該信息流。對(duì)于未知的協(xié)議,IPS可以報(bào)警，待管理員確認(rèn)是信息泄密后即可調(diào)整安全策略，把這類新的協(xié)議加入到深度檢測(cè)規(guī)則中。入侵防御系統(tǒng)可以對(duì)不同區(qū)域設(shè)置不同的安全策略，并且通過(guò)應(yīng)用層協(xié)議的解析防止信息泄宓詳細(xì)技術(shù)細(xì)節(jié)請(qǐng)參考：《應(yīng)用層威脅和深度安全保護(hù)技術(shù)白皮書》建立端點(diǎn)準(zhǔn)入控制系統(tǒng)端點(diǎn)準(zhǔn)入控制系統(tǒng)解決方案在用戶接入網(wǎng)絡(luò)前，強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果，強(qiáng)制實(shí)施用戶接入控制策略，對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作；在保證用戶終端具備自防御能力并安全接入的前提下，合理控制用戶的網(wǎng)絡(luò)行為，提升整網(wǎng)的安全防御能力。系統(tǒng)應(yīng)用示意圖如下所示：功能特點(diǎn)完備的安全狀態(tài)評(píng)估用戶終端的安全狀態(tài)是指操作系統(tǒng)補(bǔ)丁、第三方軟件版本、病毒庫(kù)版本、是否感染病毒等反映終端防御能力的狀態(tài)信息。EAD通過(guò)對(duì)終端安全狀態(tài)進(jìn)行評(píng)估，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能準(zhǔn)許訪問(wèn)網(wǎng)絡(luò)實(shí)時(shí)的"危險(xiǎn)”用戶隔離系統(tǒng)補(bǔ)丁、病毒庫(kù)版本不及時(shí)更新或已感染病毒的用戶終端，如果不符合管理員設(shè)定的企業(yè)安全策略，將被限制訪問(wèn)權(quán)限，只能訪問(wèn)病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。用戶上網(wǎng)過(guò)程中，如果終端發(fā)生感染病毒等安全事件，端點(diǎn)準(zhǔn)入控制系統(tǒng)系統(tǒng)可實(shí)時(shí)隔離該"危險(xiǎn)”終端。基于角色的網(wǎng)絡(luò)服務(wù)在用戶終端在通過(guò)病毒、補(bǔ)丁等安全信息檢查后，端點(diǎn)準(zhǔn)入控制系統(tǒng)可基于終端用戶的角色,向安全客戶端下發(fā)系統(tǒng)配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的ACL訪問(wèn)策略、QoS策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一管理，并實(shí)時(shí)應(yīng)用實(shí)施。可擴(kuò)展的、開放的安全解決方案端點(diǎn)準(zhǔn)入控制系統(tǒng)是一個(gè)可擴(kuò)展的安全解決方案，對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在現(xiàn)有企業(yè)網(wǎng)中，只需對(duì)網(wǎng)絡(luò)設(shè)備和第三方軟件進(jìn)行簡(jiǎn)單升級(jí)，即可實(shí)現(xiàn)接入控制和防病毒的聯(lián)動(dòng),達(dá)到端點(diǎn)準(zhǔn)入控制的目的，有效保護(hù)用戶的網(wǎng)絡(luò)投資。端點(diǎn)準(zhǔn)入控制系統(tǒng)也是一個(gè)開放的安全解決方案。在該系統(tǒng)中，安全策略服務(wù)器與網(wǎng)絡(luò)設(shè)備的交互、與第三方服務(wù)器的交互都基于開放、標(biāo)準(zhǔn)的協(xié)議實(shí)現(xiàn)。在防病毒方面，端點(diǎn)準(zhǔn)入控制系統(tǒng)要能夠與各種主流的防病毒軟件進(jìn)行聯(lián)動(dòng)。靈活、方便的部署與維護(hù)端點(diǎn)準(zhǔn)入控制系統(tǒng)方案部署靈活，維護(hù)方便，可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對(duì)待不同身份的用戶，定制不同的安全檢查和隔離級(jí)別。端點(diǎn)準(zhǔn)入控制系統(tǒng)可以部署為監(jiān)控模式（只記錄不合格的用戶終端，不進(jìn)行修復(fù)提醒）、提醒模式（只做修復(fù)提醒，不進(jìn)行網(wǎng)絡(luò)隔離）和隔離模式，以適應(yīng)用戶對(duì)安全準(zhǔn)入控制的不同要求。詳細(xì)技術(shù)細(xì)節(jié)可以參考：《EAD端點(diǎn)準(zhǔn)入解決方案技術(shù)白皮書》和《EAD解決方案在用友軟件成功應(yīng)用》。建立網(wǎng)絡(luò)流量分析系統(tǒng)NetStreani技術(shù)定義了一種路由器/交換機(jī)向管理系統(tǒng)輸出流量數(shù)據(jù)的方法，通過(guò)采集和分析流量數(shù)據(jù)，并將流量數(shù)據(jù)與管理控制臺(tái)中的其他網(wǎng)絡(luò)和應(yīng)用性能指標(biāo)建立關(guān)系，對(duì)網(wǎng)絡(luò)運(yùn)行狀

態(tài)進(jìn)行管理。NetStream技術(shù)的IP網(wǎng)絡(luò)流量數(shù)據(jù)報(bào)文中包含許多有價(jià)值的流量統(tǒng)計(jì)數(shù)據(jù)，這些流信息充分揭示了有關(guān)網(wǎng)絡(luò)使用的"4W”問(wèn)題：Who:誰(shuí)(IP)使用了網(wǎng)絡(luò)？What:網(wǎng)絡(luò)流量的類型是什么？When：在什么時(shí)間使用網(wǎng)絡(luò)，使用了多長(zhǎng)時(shí)間？Where:網(wǎng)絡(luò)流量流向何處？利用NTA網(wǎng)流分析系統(tǒng)對(duì)這些數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，就能從中提取出網(wǎng)絡(luò)流量特征，從而為網(wǎng)絡(luò)管理員提供一張豐富而詳盡的網(wǎng)絡(luò)利用視圖。網(wǎng)絡(luò)優(yōu)化通過(guò)NTA解決方案，可以使網(wǎng)絡(luò)管理員及時(shí)掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理，或是網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，使網(wǎng)絡(luò)帶寬分配最優(yōu)化，為用戶提供高品質(zhì)的網(wǎng)絡(luò)服務(wù)，并且避免了網(wǎng)絡(luò)帶寬和服務(wù)器瓶頸問(wèn)題。A網(wǎng)絡(luò)流量、網(wǎng)絡(luò)應(yīng)用趨勢(shì)圖A各類ToP應(yīng)用百分比對(duì)比A使用各類應(yīng)用的網(wǎng)內(nèi)用戶、服務(wù)器的流量趨勢(shì)及統(tǒng)計(jì)值>TOPIP通信對(duì)產(chǎn)生流量的對(duì)比及其使用的應(yīng)用的統(tǒng)計(jì)，以及IP對(duì)通信趨勢(shì)圖XLOg網(wǎng)絡(luò)分析系統(tǒng)Iiiteniet圖14網(wǎng)絡(luò)優(yōu)化的應(yīng)用場(chǎng)景

網(wǎng)絡(luò)規(guī)劃參考利用NetStream流日志以及NTA長(zhǎng)期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢(shì)報(bào)表，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測(cè)網(wǎng)絡(luò)鏈路流量的增長(zhǎng)，從而能有效的規(guī)劃網(wǎng)絡(luò)升級(jí)（例如，增加路由服務(wù)、端口或使用更高帶寬的接口）。圖2.圖15網(wǎng)絡(luò)規(guī)劃參考應(yīng)用場(chǎng)景WAN流量監(jiān)測(cè)對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，WAN帶寬通常是有限的，如果WAN鏈路上的流量增大，通常企業(yè)的做法就是進(jìn)行投資以升級(jí)WAN鏈路，但是如果企業(yè)能掌握WAN流量的特征，制定相應(yīng)的策略（比如QoS和針對(duì)源或目的IP地址作流限制），就能使WAN帶寬得到最合理最充分的使用，避免進(jìn)行不必要的升級(jí)投資，而NTA解決方案所提供的分析結(jié)果能夠使網(wǎng)絡(luò)管理員洞察WAN鏈路的流量特征、承載的應(yīng)用、用戶使用狀況，從而針對(duì)是否應(yīng)投資升級(jí)帶寬快速的作出快速響應(yīng)！Internet統(tǒng)計(jì)某一段時(shí)間內(nèi)與WAN接口有關(guān)的數(shù)據(jù)：A網(wǎng)絡(luò)流量趨勢(shì)及明細(xì)數(shù)據(jù)；AInternet統(tǒng)計(jì)某一段時(shí)間內(nèi)與WAN接口有關(guān)的數(shù)據(jù)：A網(wǎng)絡(luò)流量趨勢(shì)及明細(xì)數(shù)據(jù)；A基于應(yīng)用的ToPN流量分布；A基于時(shí)間段的流量趨勢(shì)；A基于源/目標(biāo)的ToPN流■;A流量、應(yīng)用趨勢(shì)分析圖3.圖16WAN流量監(jiān)測(cè)應(yīng)用場(chǎng)景網(wǎng)絡(luò)流量異常監(jiān)測(cè)網(wǎng)絡(luò)管理員都希望在網(wǎng)絡(luò)性能突然下降的時(shí)候找到“真兇”所在，并迅速解決問(wèn)題。利用NTA解決方案提供的某段時(shí)間內(nèi)的流量、應(yīng)用趨勢(shì)分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長(zhǎng)或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運(yùn)轉(zhuǎn)出現(xiàn)性能問(wèn)題。并根據(jù)最終分析結(jié)果，網(wǎng)絡(luò)管理員可快速的解決掉網(wǎng)絡(luò)異常問(wèn)題，保證網(wǎng)絡(luò)正常的運(yùn)行！可—步對(duì)異^wa?可—步對(duì)異^wa?行強(qiáng)測(cè)圖4. 圖17網(wǎng)絡(luò)流量異常監(jiān)測(cè)應(yīng)用場(chǎng)景方案特點(diǎn)豐富的應(yīng)用識(shí)別：基于三層協(xié)議號(hào)、端口號(hào)，可識(shí)別上千種已知應(yīng)用（比如：NoteS應(yīng)用、FTP應(yīng)用、HTTP應(yīng)用等等），并提供應(yīng)用自定義功能，當(dāng)網(wǎng)內(nèi)出現(xiàn)新應(yīng)用的時(shí)候，很容易進(jìn)行新應(yīng)用的識(shí)別；貼近客戶的專家級(jí)分析報(bào)表：提供業(yè)界最流行的報(bào)表展示形式，如疊加圖、餅圖等，報(bào)表界面美觀易用，并從多個(gè)分析的角度將分析內(nèi)容進(jìn)行了整合，使用戶更快速的得到所需要的分析結(jié)果；準(zhǔn)實(shí)時(shí)的流量監(jiān)控：NTA報(bào)表支持對(duì)流量進(jìn)行及時(shí)的分析，當(dāng)NetStream日志或者DlG日志產(chǎn)生之后，在很短的時(shí)間內(nèi)即可得到分析結(jié)果，非常方便用戶使用報(bào)表進(jìn)行網(wǎng)絡(luò)異常問(wèn)題的定位；支持多層次的流量監(jiān)控：通過(guò)與不同層次網(wǎng)絡(luò)設(shè)備的配合，支持對(duì)廣域網(wǎng)核心層、廣域出口、局域網(wǎng)核心層、局域網(wǎng)匯聚層網(wǎng)絡(luò)流量的監(jiān)控與分析，實(shí)現(xiàn)整網(wǎng)流量多點(diǎn)的可視性。更低的全網(wǎng)監(jiān)控成本：基于現(xiàn)有網(wǎng)絡(luò)設(shè)備，通過(guò)增加板卡的方式，或者開啟端口鏡像功能，在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下就能實(shí)現(xiàn)網(wǎng)絡(luò)流量統(tǒng)計(jì)，是一種低成本、高性價(jià)比、部署靈活的解決方案。詳細(xì)技術(shù)細(xì)節(jié)請(qǐng)參考：《網(wǎng)絡(luò)流量分析解決方案技術(shù)白皮書VI.0》完善的病毒防范機(jī)制隨著IT系統(tǒng)和網(wǎng)絡(luò)規(guī)模的擴(kuò)展，信息技術(shù)在企業(yè)網(wǎng)絡(luò)中的運(yùn)用越來(lái)越廣泛深入，信息安全問(wèn)題也顯得越來(lái)越緊迫。自從80年代計(jì)算機(jī)病毒出現(xiàn)以來(lái)，已經(jīng)有數(shù)萬(wàn)種病毒及其變種出現(xiàn)，給計(jì)算機(jī)安全和數(shù)據(jù)安全造成了極大的破壞。近期出現(xiàn)的惡性病毒如CIH等甚至能夠破壞計(jì)算機(jī)硬件,使整個(gè)計(jì)算機(jī)癱瘓。如何保證機(jī)構(gòu)組織內(nèi)部網(wǎng)絡(luò)抵御網(wǎng)絡(luò)外部的病毒入侵，從而保障系統(tǒng)的安全運(yùn)行，是目前系統(tǒng)管理員最為關(guān)心的問(wèn)題。所以，系統(tǒng)安全管理應(yīng)該包括強(qiáng)大的計(jì)算機(jī)病毒防護(hù)功能。建立統(tǒng)一的反病毒解決方案，包括服務(wù)器、工作站，病毒檢測(cè)庫(kù)能夠自動(dòng)的進(jìn)行升級(jí)，以減少維護(hù)代價(jià)的同時(shí)能夠抵御病毒的入侵。（ ）的防病毒系統(tǒng)建議從以下幾個(gè)方面部署防病毒系統(tǒng)：Internet入口的防病毒系統(tǒng)。各內(nèi)部業(yè)務(wù)服務(wù)器的防病毒系統(tǒng)。各種操作系統(tǒng)的桌面防病毒軟件。防病毒系統(tǒng)的管理和監(jiān)控。該防病毒系統(tǒng)的部署，切斷了病毒傳播途徑（電子郵件、網(wǎng)絡(luò)訪問(wèn)、移動(dòng)介質(zhì)）和消除發(fā)作機(jī)會(huì)，從而使（ ）大大降低了因病毒傳播和發(fā)作引起的資料損失、性能損失、人工損失，并且還能夠獲得以下好處：簡(jiǎn)化防病毒體系的管理開銷。獲得及時(shí)病毒告警和事件報(bào)告。動(dòng)態(tài)快速更新病毒特征數(shù)據(jù)。易于擴(kuò)展升級(jí)并轉(zhuǎn)移到新的防病毒技術(shù)（自動(dòng)免疫、自動(dòng)客戶幫助）。防DoS設(shè)備安全防護(hù)方案拒絕服務(wù)攻擊是一種對(duì)網(wǎng)絡(luò)危害巨大的惡意攻擊。其中，具有代表性的攻擊手段包括SYNflood、ICMPflood,UDPflood等其原理是使用大量的偽造的連接請(qǐng)求報(bào)文攻擊網(wǎng)絡(luò)服務(wù)所在的端口，比如80（WEB）,造成服務(wù)器的資源耗盡，系統(tǒng)停止響應(yīng)甚至崩潰。而連接耗盡攻擊這種攻擊則使用真實(shí)的IP地址，發(fā)起針對(duì)網(wǎng)絡(luò)服務(wù)的大量的真實(shí)連接來(lái)?yè)屨紟挘部梢栽斐蒞EBServer的資源耗盡，導(dǎo)致服務(wù)中止。隨著網(wǎng)絡(luò)的不斷發(fā)展擴(kuò)大，其網(wǎng)絡(luò)中存在著大量的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備等，如何保護(hù)它們和整個(gè)網(wǎng)絡(luò)不受DDoS的攻擊則是網(wǎng)絡(luò)整體防范中的重點(diǎn)。而對(duì)付大規(guī)模的DDOS攻擊的最好的方式除了及時(shí)對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備進(jìn)行漏洞掃描，升級(jí)補(bǔ)丁進(jìn)行主機(jī)系統(tǒng)加固外，還有一種方式就是在互聯(lián)網(wǎng)出口配置防DoS攻擊設(shè)備，來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)漏洞掃描機(jī)制為及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)系統(tǒng)的安全漏洞和安全管理隱患，建議在網(wǎng)絡(luò)中心部署漏洞掃描系統(tǒng),對(duì)不同操作系統(tǒng)下的計(jì)算機(jī)（在可掃描IP范圍內(nèi)）進(jìn)行漏洞檢測(cè)。漏洞掃描系統(tǒng)主要用于分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)到的安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議。漏洞掃描器主要分為網(wǎng)絡(luò)掃描器、系統(tǒng)（主機(jī)）掃描器、數(shù)據(jù)庫(kù)掃描器等等。網(wǎng)絡(luò)掃描器可對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分析，并且在執(zhí)行過(guò)程中支持基于策略的安全風(fēng)險(xiǎn)管理過(guò)程。另外，網(wǎng)絡(luò)掃描器執(zhí)行預(yù)定的或事件驅(qū)動(dòng)的網(wǎng)絡(luò)探測(cè)，包括對(duì)網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、Web服務(wù)器、防火墻和應(yīng)用程序的檢測(cè)，從而識(shí)別能被入侵者利用來(lái)非法進(jìn)入網(wǎng)絡(luò)的漏洞。網(wǎng)絡(luò)掃描器將給出檢測(cè)到的漏洞信息，包括位置、詳細(xì)描述和建議的改進(jìn)方案。這種策略允許管理員偵測(cè)和管理安全風(fēng)險(xiǎn)信息，并跟隨開放的網(wǎng)絡(luò)應(yīng)用和迅速增長(zhǎng)的網(wǎng)絡(luò)規(guī)模而相應(yīng)地改變。掃描的具體內(nèi)容如下：

BruteForcePassword-Guessing為經(jīng)常改變的帳號(hào)、口令和服務(wù)測(cè)試其安全性Daemons檢測(cè)UNlX進(jìn)程（WindOWS服務(wù)）Network檢測(cè)SbIMP和路由輸設(shè)備漏洞DenialOfService檢測(cè)中新操作系統(tǒng)和程序的漏洞，一些檢測(cè)將暫停相應(yīng)的服務(wù)NFS/XWindows檢測(cè)網(wǎng)絡(luò)網(wǎng)絡(luò)文件系統(tǒng)和X-Windows的漏洞RPC檢測(cè)特定的遠(yuǎn)程過(guò)程調(diào)用SMTP/FTP檢測(cè)SMTP和FTP的漏洞WebServerScanandCGI-Bin檢測(cè)Web服務(wù)器的文件和程序（如IIS,CGI腳本和HTTP5NTUsers,Groups,andPasswords檢測(cè)NT用戶，包括用戶、口令策略、解鎖第略BrowserPolicy檢測(cè)IE和NetScame瀏覽器漏洞SecurityZones檢測(cè)用于訪問(wèn)互聯(lián)歐安全區(qū)域的權(quán)限漏洞PortScans檢測(cè)標(biāo)準(zhǔn)的幽絡(luò)端口和服務(wù)Firewalls檢測(cè)防火墻設(shè)備，確定安全和協(xié)議漏洞Proxy/DNS檢測(cè)代理服務(wù)或域名系統(tǒng)的漏洞IPSpoofing檢測(cè)是否計(jì)算機(jī)接收到可疑信息CriticalNTIssues包含NT操作系統(tǒng)強(qiáng)壯性安全測(cè)試和與國(guó)日關(guān)的活動(dòng)NTGroupsZNetworking檢測(cè)由R組成員資格和NT網(wǎng)絡(luò)安全漏洞NetBIOSMisc檢邀操作系統(tǒng)版本和補(bǔ)丁包、確認(rèn)日志存取，列舉、顯示NetBloS提供的信息Shares/DCOM檢測(cè)NetBIOS共享和DCOM對(duì)象使用DCOM可以測(cè)試注冊(cè)碼、權(quán)限和缺省安全級(jí)別NTRegistry包括檢測(cè)主機(jī)注冊(cè)信息的安全性，保護(hù)SNMP子網(wǎng)的密匙NTServices包括檢測(cè)NT正在運(yùn)行的服務(wù)和與之相關(guān)安全漏洞系統(tǒng)掃描器在相當(dāng)嚴(yán)格的基礎(chǔ)上對(duì)安全風(fēng)險(xiǎn)級(jí)別進(jìn)行劃分。在UNIX系統(tǒng)上，它對(duì)大量的安全問(wèn)題能自動(dòng)產(chǎn)生修補(bǔ)程序腳本。一旦系統(tǒng)被確認(rèn)處于安全的狀態(tài)后，系統(tǒng)掃描器會(huì)用一種數(shù)字指紋鎖定系統(tǒng)配置，以便更容易發(fā)現(xiàn)非法訪問(wèn)。系統(tǒng)掃描把快速的分析與可靠的建議結(jié)合起來(lái)，從而保護(hù)主機(jī)上的應(yīng)用程序、數(shù)據(jù)免受盜用、破壞或誤操作。同時(shí)可以制定一個(gè)系統(tǒng)基線，制定計(jì)劃和規(guī)則，讓系統(tǒng)掃描器在沒有任何監(jiān)管操作系統(tǒng)檢查項(xiàng)

的情況下自動(dòng)運(yùn)行，一旦發(fā)現(xiàn)漏洞立即報(bào)警。系統(tǒng)掃描的部分內(nèi)容如下表所示：檢查類別I系統(tǒng)Unix文件所有權(quán)和訪問(wèn)權(quán)限、系統(tǒng)訪問(wèn)(如∕etc∕hosts.equiv)＞關(guān)鍵系統(tǒng)配置和日志文件NT合法標(biāo)題的顯示、Adnlin和GUeSt用戶、系統(tǒng)配置、入侵者檢測(cè)、管理員用戶用戶和組Unix組名和成員、用戶詳細(xì)情況(如：姓名、標(biāo)識(shí)、口令、路徑、登錄Shel1)、∕etc∕group和∕etc∕password格式、管理員用戶及超級(jí)用戶NT登錄地點(diǎn)、時(shí)間和期限、上次登錄情況回顧、本地登錄能力、使用戶帳號(hào)無(wú)效或休眠口令Unix易猜測(cè)口令、口令映像、用戶共享口令、標(biāo)識(shí)為0的用戶的主路徑、缺省登錄環(huán)境NT強(qiáng)制性口令更改、口令重新使用設(shè)置、口令最短有效期和最小長(zhǎng)度、口令需要情況、口令強(qiáng)度文件Unix對(duì)文件進(jìn)行各方面檢查，包括訪問(wèn)權(quán)限、所有權(quán)、硬/軟連接、陌生名稱或字符、SUid/sgid文件NT對(duì)文件進(jìn)行各方面檢查，包括訪問(wèn)權(quán)限、是否存在隱含數(shù)據(jù)流

數(shù)據(jù)完整性/基準(zhǔn)文件Unix對(duì)基準(zhǔn)文件數(shù)據(jù)庫(kù)中文件的內(nèi)容、所有權(quán)、訪問(wèn)權(quán)限、文件鏈接及注冊(cè)密鑰的更改（檢驗(yàn)關(guān)鍵系統(tǒng)文件是否被基準(zhǔn)化。）NT對(duì)凍結(jié)文件數(shù)據(jù)庫(kù)中文件的內(nèi)容、所有權(quán)、訪問(wèn)權(quán)限、文件鏈接的更改審計(jì)文件Unix關(guān)于系統(tǒng)掃描器審計(jì)文件的報(bào)告NT審計(jì)策略，包括系統(tǒng)登錄和注銷、文件和對(duì)象、帳戶管理、策略改變、重新啟動(dòng)和關(guān)閉系統(tǒng)、進(jìn)程跟蹤網(wǎng)絡(luò)配置文件Unix網(wǎng)絡(luò)和后臺(tái)進(jìn)程的配置情況、NIS、TCP/IP配置文件的所有權(quán)和訪問(wèn)權(quán)限設(shè)備Unix可移動(dòng)設(shè)備的設(shè)備文件的訪問(wèn)權(quán)限、NFS配置和共享文件系統(tǒng)、nuucp登錄shell日志文件Unix報(bào)告記錄在系統(tǒng)日志文件中的重要事件，檢查對(duì)UUCP配置和UUCP數(shù)據(jù)文件的訪問(wèn)情況NT日志文件、系統(tǒng)日志、安全日志和應(yīng)用程序日志文件的大小、事件日志（無(wú)論是否允許改寫安全日志和應(yīng)用程序日志文件）建立科學(xué)的安全管理機(jī)制任何一個(gè)系統(tǒng)的安全，都是由兩方面組成：系統(tǒng)的安全管理措施，以及保護(hù)系統(tǒng)安全的各種技術(shù)手段，也就是人的因素和技術(shù)的因素。系統(tǒng)安全策略的制定與實(shí)施、各種安全技術(shù)和產(chǎn)品的使用和部署，都是通過(guò)系統(tǒng)的管理員和用戶來(lái)完成的。能否實(shí)現(xiàn)一個(gè)系統(tǒng)的安全目標(biāo)，領(lǐng)導(dǎo)的重視程度、技術(shù)人員的水平、用戶的安全意識(shí)及安全管理的制度和措施起著很重要的作用。因此，下面將從管理和技術(shù)的角度來(lái)考慮如何增強(qiáng)（ ）網(wǎng)絡(luò)系統(tǒng)的安全性。業(yè)務(wù)系統(tǒng)的安全性直接與人的安全意識(shí)、技術(shù)水平、安全管理制度有著密切的關(guān)系良好的管理平臺(tái)有助于增強(qiáng)系統(tǒng)的安全性，可以及時(shí)發(fā)現(xiàn)系統(tǒng)安全的漏洞，不斷審查和完善系統(tǒng)安全體系，并建立完善的系統(tǒng)安全管理制度，切實(shí)保證系統(tǒng)的安全目標(biāo)和安全策略的實(shí)現(xiàn)。那么，如何實(shí)現(xiàn)安全管理呢？可以從以下幾點(diǎn)