网络安全专题4

1、网络安全专题1.常见网络安全产品1.1防火墙防火墙是实现网络安全体系的重要设备，其目的是要在不同安全防范区域之间的唯一信息出入口建立安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出网络的服务和访问的审计和控制。1.1.1访问控制技术防火墙的访问控制技术主要有简单包过滤、代理和状态检测三种。简单包过滤技术工作在网络层，对其他各层而言是透明的，主要根据用户设定的IP地址/端口对IP包进行过滤，在三种防火墙技术实现上是水平最低的，但也是最简单的，所以具有很高的处理速度。代理技术主要工作在应用层，能针对各通信层的信息进行安全过滤控制。在实现机制上，针对每一个通信过程，防火墙需要打断

2、通信双方的客户/服务器联接，同时为这个通信过程维系两个分立的联接，即从通信发起方到防火墙的联接和从防火墙到通信接受方的联接，另外，对不同的应用需要不同的代理进程来实现。基于应用代理的防火墙技术可以实现安全性最高的控制，但是，由于实现繁琐，技术上限制了系统处理能力的提高。状态检测技术兼具系统处理速度快，安全性高的特点，是当前防火墙普遍采用的主流安全控制技术。这种技术在数字链路层和网络层之间检测过滤所有的数据包，按安全过滤规则从中抽取与通信状态相关的信息，并把这些状态信息维持在动态的状态信息表中，作为对后续通信数据的合法性进行判决的依据。抽取的状态信息可以涵盖从网络层到应用层的各个通信协议层，这主

3、要取决于防火墙厂家采用的专利算法。1.1.2组网方式防火墙的接口可以工作在透明桥接、路由和NAT三种模式下。当配置为透明桥接模式时，防火器工作在第二层。在接入网络时，无需改变现有网络IP层的组网拓扑，接口上既不做IP地址翻译也不需要分配额外的IP地址。透明桥接模式主要适用于给向因特网提供服务的服务器组提供安全保护。工作在NAT模式下的防火墙接口，主要适用于连接需要访问公网但采用私有IP地址编址，有安全防范要求的内部网段。在接入网络后，该接口作为被保护的逻辑IP子网网段对外访问的安全边界，负责审计和控制进出的业务数据，同时完成对内部私有IP地址与公共IP地址之间的地址翻译。路由模式是防火墙最普遍

4、使用的接口模式。在接入网络时，路由模式需要调整现有网络IP层的组网拓扑，每个路由模式下的工作接口都需要配置一个IP地址，以连接一个独立的逻辑IP子网。防火墙需要建立路由表，负责多个路由模式接口之间的数据转发。1.2入侵检测系统入侵检测（Intrusion Detection），顾名思义，是对入侵行为的发觉。美国国际计算机安全协会（ICSA）对入侵检测技术的定义是：通过从计算机网络和计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection Sys

5、tem，简称IDS）。1.2.1入侵检测系统分类根据不同的分类标准，对入侵检测系统有多种不同的分类方式。一般来说，入侵检测系统按其监视的数据来源可分为主机型和网络型两种。基于主机的入侵检测系统（HIDS）HIDS主要用于保护运行关键应用的服务器，是早期的入侵检测系统，其主要目标是检测主机系统是否受到外部或内部的攻击以及系统本地用户是否有滥用或误用行为。它将检测模块驻留在被保护系统上，通过监视被保护系统的事件日志、关键的系统文件以及其他可审计资源来检测可能存在的未授权改变或可疑的操作活动。基于网络的入侵检测系统（NIDS）基于网络的入侵检测系统的研究重点由针对主机及其操作系统的安全性转移到了增强

6、网络整体的安全性和抗攻击能力上，从网络的通信基础网络及其通信协议着手来考虑网络的安全性，主要通过实时侦听网络关键路径的网络流量信息（即网络上的所有分组），分析判断网络中是否存在入侵行为和可疑现象。NIDS与HIDS具有很强的互补性，NIDS能客观反映网络活动，特别是能够监视到系统视距的盲区；HIDS能够更精确的监视系统中的各种活动。因此，人们经常将两者结合使用。1.2.2入侵检测分析技术入侵检测技术的分类多种多样，其中主流的分类方式是将其分为基于异常的检测和基于误用的检测。1. 异常检测异常检测是一种通过观测到的一组测量值的偏离度来预测用户行为的变化，从而做出决策判断的检测技术。其特点是通过对

7、系统异常行为的检测，可以发现未知的攻击模式。异常检测的主要前提条件是所有的入侵活动都是异常于正常主体正常的活动，这样，如果能检测所有的异常活动，就可以检测所有的入侵活动。例如：系统可以认为3次密码尝试失败并不算是入侵行为，因为的确可能是合法用户输入失误，但是如果在一分钟内有10次以上同样的操作就不可能完全是输入失误了，而可以认定是入侵行为。异常检测实现的关键在于正常使用模式（normal usage profile）的建立以及如何利用该模式对当前的系统/用户行为进行比较，从而判断出与正常模式的偏离程度。由于对各种网络环境的适应性不强，且缺乏精确的判定准则，异常检测经常会出现误报情况。2. 误用

8、检测特征检测（Signature-based detection）又称Misuse detection，这一检测假设入侵者活动可以用一种模式或信号来表示，即使同一种入侵的变种也可以检测。它通过预先定义好的入侵模式与观察到的用户行为进行模式匹配来检测入侵行为。特征检测实现的关键是如何写模式或信号，使其可以包括一个入侵的各种可能变种行为，而不包括正常行为。由于检测原理的限制，特征检测能够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，从而易产生漏报情况。另外，由于黑客攻击的复杂性，使得攻击模式的定义十分困难，一旦，模式定义不够精确，包含了某些正常网络行

9、为也可能出现的特征，就很可能会出现误报情况。在实际情况中，入侵检测系统通常以特征检测分析技术为主，异常检测分析技术为辅，共同实现入侵行为的监测、分析。1.2.3入侵检测技术的发展由于IDS只能被动检测可疑行为，具体的响应处理还是要依靠人工，但是其高居不下的误报率使用户伤透了脑筋。这种不利形势迫使厂家进行技术革新，于是能主动预防攻击的IPS技术应运而生。IPS被视为下一代的IDS，甚至被认为很有可能成为下一代的防火墙。IPS（Intrusion Protection System）和IDS（Intrusion Detection System）只有一个单词的区别，即从检测变为保护，这也直接反映了

10、他们之间的主要区别。IDS只能被动地检测攻击，所提供的阻断能力非常有限，一般采用与防火墙联动或发送TCP reset包阻止攻击。目前，业界并不提倡与防火墙联动的阻断方式，因为IDS产生的安全规则很多，容易严重影响防火墙的性能；同时其高误报率可能形成新的拒绝服务，造成合法用户无法访问网络资源。而发送TCP reset包阻止攻击的方式在高速网络环境中的成功率并不理想，因为它必须在主机响应之前断掉攻击连接，对其响应速度要求很高。IPS则是一种主动的、积极的入侵防范、阻止系统，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS一

11、般以串接的方式部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。因此，两者相比，IDS好像一个火灾报警器，当火灾发生时，它会自动报警，但无法阻止火灾的蔓延，需要依靠人来灭火；而IPS则像一个智能灭火器，当火灾发生时，它会主动采取措施灭火，中间不需要人的干预。但是IPS也面临很多挑战，最主要的是以下3点：1. 单点故障。由于IPS必须以嵌入模式工作在网络中，这就可能造成单点故障。如果IDS 出现故障，最坏的情况也就是无法检测攻击，并不影响网络的正常运转。但是，一旦嵌入式的IPS设备出现问题，就会严重影响网络的正常运转，甚至使网络停止工作。所以，IPS设备必须

12、具有旁路功能，当其发生故障，停止工作时，应该能马上将网络流量旁路，使网络流量不再经过自己；或者采用冗余设备，能够迅速切换到备份设备。2. 性能瓶颈。作为一个嵌入设备，IPS是一个潜在的网络瓶颈，不仅会增加滞后时间，而且会降低网络的效率。3. 误报率。如果不解决高误报率的问题，IPS造成的危害将远大于IDS。因为，误报将导致合法流量被意外拦截，同时，由于很多IPS在一段时间内阻止曾发动攻击的源IP的再次连接企图，将使得这个合法客户在这段时间内都无法与内部网络进行正常访问，实际上造成了拒绝服务。所以，现在也不能完全抛弃IDS而选择IPS，需要用户根据自己的应用环境权衡利弊，选择最适合自己的产品。1

13、.3防垃圾邮件网关防垃圾邮件网关部署在网络边界，对进出的所有邮件进行识别和过滤，在垃圾邮件进入内部邮件系统之前就对其进行遏制、阻截，有效避免网络带宽的损耗，节省邮件服务器存储空间，大大提高了邮件服务器的稳定性和工作效率。另外，对于无法更换、升级邮件服务器系统的用户，部署反垃圾邮件网关能够在不打破网络拓扑环境的情况下，加强原来邮件服务器的安全。1.3.1防垃圾邮件技术防垃圾邮件网关采用的防垃圾邮件技术主要有两种：黑名单技术和邮件过滤技术。1. 黑名单技术黑名单技术的原理是：找出曾大规模发送垃圾邮件的服务器，将该服务器的IP放入一个黑名单，之后任何来自这个IP地址的邮件发送请求都被拒绝。目前，国外

14、有不少组织提供黑名单，防垃圾邮件网关一般都向这些组织查询黑名单，并支持黑名单在线实时升级功能，保证黑名单的有效性。2. 邮件过滤技术黑名单技术能封锁那些频发垃圾邮件的服务器，但并不能解决所有问题。另一项重要的反垃圾邮件技术就是邮件过滤（Mail Filter），该技术往往与实时黑名单配合使用。邮件过滤的基本思路是：寻找邮件里面的某些特征，根据邮件特征的严重程度，给不同特征以不同的分值，如果一封邮件累计的特征值超过一定的阀值，就认定为垃圾邮件。“特征”的具体表现形式为包含某些字眼的正规表达式和附件大小、类型的匹配。1.3.2防垃圾邮件网关部署方式就部署结构来看，业界主要有三种部署模式：1. 透明

15、接入网关即插即用型，不需要为反垃圾邮件产品分配IP。其实现机制通常是使用Linux内嵌的netfilter，实现IP层的数据包转发和地址转换。优点：方便，缺点：流量增大之后系统性能下降很快。只能够应用于小型企业。典型产品：摩根。2. SMTP网关需要分配一个IP，并占据邮件服务器之前对外的地址和端口。SMTP网关先把邮件完整的收下来，过滤之后再转发给邮件服务器。优点：网络性能很好，缺点：无法支持身份验证功能，此外如果流量控制做得不好的话，在高负荷下很容易造成大量邮件拥塞在SMTP网关上，最终导致邮件丢失。典型产品：IronPort、Symantec的防垃圾邮件网关。3. SMTP Proxy，

16、相当于一个连接代理，需要分配一个IP，并占据邮件服务器之前对外的地址和端口。SMTP Proxy每接收到一个SMTP指令就透传到邮件服务器，在透传过程中做过滤。优点：支持所有的标准SMTP协议，包括身份验证功能。此外系统稳定性较好，在任何负载下均不会导致邮件丢失。缺点：网络性能较差。典型产品：亚信AISP，TrendMicro。安全漏洞扫描漏洞扫描是网络安全动态防御中的一项重要技术，其原理是根据已知的安全漏洞知识库，对目标可能存在的安全隐患进行逐项检查。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安全扫描工具花费低、效果

17、好、见效快、与网络的运行相对对立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。漏洞扫描产品大体上可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上面的风险漏洞，而后者则是通过网络远程探测其它主机的安全风险漏洞。基于主机的安全扫描需要在被扫描的主机端安装代理程序（Agent），扫描系统的布置也比较复杂，一对一的扫描策略可能对应用系统的影响比较大。2.NetScreen 网络安全解决方案2.1 产品功能及特点NetScreen产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RISC

18、 CPU和专用软件。NetScreen防火墙的专用ASIC芯片提供存取策略的功能。该功能以硬件方式实现，它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。（策略存取执行防火墙保护和加密解密功能）。由于做到了系统级的安全处理功能。NetScreen消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。 NetScreen提供了多功能和高安全性能的无缝连接，NetScreen-1000, NetScreen-100 和 NetScreen-10 分别提供了1000M、100M和10M的传输性能。NetScreen-1000是市场上唯一的千兆的集防火墙、VPN和流量管理于

19、一身的防火墙产品。同样，NetScreen-100是业界最快的防火墙，另外，NetScreen自动调整端口速率，使其达到10M和100M自适应。 另外，该产品允许用户在远程实现加密通信，并且这种VPN功能不影响性能。NetScreen10为中小企业提供他们负担得起的全面的安全解决方案。允许他们在自己的企业网内部构筑安全体系。 2.2 访问控制NetScreen 使用了状态检查的方法来实现动态的包过滤。这种方法也同样被其他重要的防火墙厂商CheckPoint 和 Cisco所采用。相比其他的两种方法简单的包过滤和复杂的应用网关来讲，它具有更快速和更安全的优点。简单的包过滤只检查IP地址和端口号。

20、它通常由路由器来实现。但它只能做到拒绝端口访问或允许端口访问。应用网关通过检查应用层所有的包，提供了更好的安全性。状态检查的链路层代理，另一方面，可实现硬件层。防火墙保持所有的TCP会话的检查。用户的认证可由两种方法实现。用户可在防火墙上定义多达2000 个用户或者设置一个 Radius 服务器来存储用户认证的信息。(1) 性能NetScreen产品动态加密保护和按优先级实时监控未来数据，它专有的独特的系统设计保证了它的高性能，ASIC芯片可以独自处理并过滤包。先进的多总线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。(2) 用户认证和策略NetScree

21、n 支持高性能的存取为每一个当前用户，无论是远程还是在防火墙内，支持创纪录的并行连接用户数。NetScreen-1000创纪录地实现了TCP/IP并发连接（超过256000）；策略数（多于5000）和并发的VPN连接数（超过10000）。NetScreen-100支持每秒4370个连接，（基于32个客户），领先于它的最接近的竞争对手。根据独立的测试机构，KeyLab的测试报告，NetScreen100支持32000个并发用户连接，NetScreen-10支持16000个并发连接。所有产品都支持超过5000个存取策略，并提供简单易用的过滤界面。(3) 防火墙NetScreen全功能防火墙包括了包

22、过滤、代理服务器和动态线路级过滤器。该产品提供了高级的包检查和事件日志功能。该产品与Ipsec协议兼容。(4) VPN NetScreen会集了VPN功能，保证了数据在传输过程中的加密和解密，但在数据被加、解密之前，首先要满足预定的策略。不论NetScreen100还是NetScreen10都支持业界的加密标准。包括网络密钥交换（IKE, 或以前的ISAKMP) 通过IP，DES，Triple DES。并且还支持数据签名（MD5）算法。NetScreen将支持X.509认证公钥算法（PKI），可以自动地管理VPN。NetScreen-1000建立了新的VPN性能测试基准，与其它同类产品比较，N

23、etScreen-1000有着更高的吞吐量，更广泛的安全性和更低的价位。(5) 流量管理 流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控制功能象带宽分配。流量优先级和负载均衡，使该产品成为web服务器和ISP的理想产品。(6) 网络管理 该产品易于安装，而且NetScreen产品可以远程通过网络上任何一台具有浏览器的机器来管理。(7) 透明模式NetScreen可以被用来作透明传输。你可以在这种方式下不分配任何IP给NetScreen网络界面。它只需要一个管理界面。不用更改您现有的任何网络配置就可以利用策略来管理网络流量。除了它可以在两台NetScreen之间运行VPN，即

24、使有些产品可以在透明模式下工作，但它们也不能在透明模式下实现VPN。2.3 管理NetScreen 产品可连接信任端口（Trusted ）或不信任端口（Untrusted）然后通过web 界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口（Untrusted）可以因安全的原因而设置为取消。如果取消它，不信任端口是不可ping的。 (不信任端口（untrusted） 在 1.60版本以前是不可ping的)。 NetScreen 产品同样也可通过console 端口，使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望通过远程来管理防火墙，可在console口连接一个调制解调

25、器。Console口的访问也可因为安全原因设置为取消。 NetScreen 产品也可以通过telnet来管理。Telnet 和 Web 管理也可通过VPN 通道加密，提供安全的管理。管理方便，可通过串口管理，使用命令行方式。也可以在图形方式下用浏览器进行管理，不分硬件平台和操作系统，只要把浏览器打开就可以通过用Web server 的方式来管理配置简单尤其在配置三个端口的IP时很方便对于大型网络中多个NetScreen设备，可以采用snmp的集中式管理，通过网络管理软件，如SunNetManager来进行管理而且NetScreen还可以提供备份的远程拨号方式的管理不仅如此，为安全起见，NetS

26、creen 可以关闭远程的管理方式，而只使用本地的、安全的管理方式。2.4 防火墙应用示例TrustedNetworkInternetNetScreenDMZUntrustedDMZTrustedNetScreen防火墙有三个端口Trusted、DMZ和Untrusted。分别用于连接Intranet、Internet和DMZ三个网域。它独创的安全包处理器，将所有的流量策略、安全政策、加密和身份验证都交给硬件处理，从而大大提高了防火墙的处理性能；并且将包的生成交给软件处理；将包的路由交给路由器处理，集中实现安全策略下的高速吞吐量。2.5 VPN应用示例连接移动的用户访问企业网的文件。NetSc

27、reenNetScreenClear TrafficVPNBranchInternetVPN TunnelHeadquarters连接分支机构和企业网，并可用于提供冗余的WAN链路。Clear TrafficVPNPartnerInternetNetScreenNetScreenHeadquartersVPN Tunnel将多个分支机构通过Internet连接起来，通过密文传输，以保障企业网的安全。2.6 负载平衡的应用示例InternetSQLServer3SQLServer2SQLServer1HTTPServer1HTTPServer2HTTPServer3DMZTrustedVIP =

28、LOADBALANCER可由多台服务器分担网络上访问服务器的流量。2.7 NetScreen防火墙产品客户案例有一个 NetScreen 客户的总部位于纽约，它的分支机构设在芝加哥和伦敦。使用专线或帧中继服务连接这些机构费用太昂贵。用户选择 NetScreen 产品通过Internet连接他们的每个分支办公室。使用网络翻译模式（NAT），用户节省了合法的IP地址，并对外隐藏了内部的网络结构。同时他们使用了NetScreen VPN 功能在纽约、芝加哥和伦敦间建立起Internet上的加密通道，不仅节省了连接的开支并保证了通信的安全。纽约总部芝加哥办公室VPN密文通道Net

29、ScreenNetScreenNetScreen企业网络结构逻辑图明文通道ROUTERRTRRTRServer FarmDMZ伦敦办公室移动用户CEOs HomeInternetNetScreen 防火墙产品是一个基于硬件的解决方案。它运行在自己专用的操作系统之上。如果不了解操作系统，黑客们是无法闯入的。NetScreen 是作为一个网络用品来销售的，安装时无需安装软件，并可通过web 界面进行管理。用户也无需在他们自己的机器上安装任何特定的管理软件。他们所需的只是一个Internet 浏览器。硬件的方法使得防火墙的性能大幅提高。防火墙的规则检查也不再需要逐个的循环来检查，因为所有的规则都存储

30、在一个特定的存储区里。当硬件引擎每次需要检查规则时，就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。虚拟专用网、负载平衡、流量控制都集成在一个盒子里，用户无需额外的开支。此外，NetScreen 防火墙产品也没有用户license数的限制。优 惠 价： 414000元Juniper NetScreen-1000-DC 主要参数设备类型：安全防火墙并发连接数：250000网络吞吐量(Mbps)：1024安全过滤带宽：1024网络端口：4个固定的10/100/1000和最多4个 Mini GBIC (SX 或 LX)，或最多8个10/100/1000，或最多20个1

31、0/100用户数限制：无用户数限制入侵检测：Dos、DDoS安全标准：UL, CUL, CSA, CB管理：Web的图形用户界面、CLI或NetScreen-Security Manager集中管理系统进行管理Juniper NetScreen-1000-DC 一般参数适用环境：工作温度0 - 55电源：电源电压-36 to -72 VDC/电源功率250W防火墙尺寸：438.35×444.5×133.35防火墙重量：13.59其他性能：VPN,防火,接口灵活性,虚拟路由器支持,全网状配置,全面的高可用性解决方案,高可扩展性,可定制的安全区,透明模式,基于策略的管理3.思科

32、企业网络解决方案3.1 Cisco中小型企业网络解决方案概貌 中小型企业的组网方案主要要素有：局域网、广域网连接、网络管理和安全性。Cisco的解决方案充分考虑了这些要素。从总体上看，这些解决方案具有以下共同的特征。第一，它采用高性能、全交换的方案，充分满足了用户需求。第二，网络管理简单，可以采用免费的CVSM-Cisco交换机可视化管理器，它基于易用的浏览器方式，以直观的图形化界面管理网络，因此网管人员无需专门培训。第三，用户可以采用ISDN连接方式实现按需拨号，按需使用带宽，从而降低广域网链路费用，当然也可选用DDN、帧中继、模拟拨号等广域网连接方式。第四，带宽压缩技术，有效降低广域网链路

33、流量。第五，随着公司业务的发展，所有网络设备均可在升级原有网络后继续使用，有效实现投资保护。第六，系统安全，保密性高，应用了适合中小型企业的低成本网络安全解决方案-路由器内置的IOS软件防火墙。 Cisco中小型企业网络解决方案实现应用有以下几个方面：首先是资源共享，网络内的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各项功能；其次是通信服务，最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问；再次是多媒体应用，该方案支持多媒体组播，具有卓越的服务质量保证；此外，在某些方案中系统支持远程接入，可以实现多达32路远程模似电话线拨号访问。3.2

34、 典型组网方案介绍 针对不同用户的不同需求，Cisco推出了25个用户以内、50个用户以内、100个用户以内三种典型的解决方案。 3.2.1 25用户以内的网络方案 (原始方案)该方案的局域网采用Catalyst1924交换机构建一个小型局域网。一般说来，主服务器与交换机之间的链路数据流量较大，因此它采用2个100M高速交换端口连接服务器，以免形成传输瓶颈；24个10M交换端口最多可连接24个桌面用户。此外，它还通过10M接口连接共享网络打印机，普通打印机也可以通过打印服务器的方式共享。在广域网部分，该方案采用了Cisco 803路由器，它提供一个ISDN BRI接口，带宽最高可达128Kbp

35、s，并内置两个模拟语音接口可以连接模拟电话和传真，使其与数据业务共享一条ISDN链路。对于希望采用模拟拨号、DDN或帧中继方式与广域网连接的用户，则可以选择Cisco 805路由器。 该方案采用Cisco交换机可视化管理器(CVSM)进行网络管理。它是一种基于WEB的免费网管软件，可在用户熟悉的图形化浏览器界面下，对Cisco中低端交换机系列产品实施配置和监控。CVSM能够在IE或Netscape浏览器中显示设备的直观图像，观察相应交换机各种指示灯的状态；用户还可以点击图像中特定端口进入其配置界面，修改工作参数或查看统计数据。参数的设定也可通过鼠标点击，以选择或填空方式来完成。CVSM避免不了

36、对交换机操作命令的直接介入，而代之以更为友好的图形界面。要实施CVSM的应用，用户在交换机上只需事先设定好IP地址，就可以通过CVSM轻松地去访问和管理它；所有操作一次性完成；最多可以管理包含多达16台交换机的集群。主要管理内容包括拓扑结构、配置、流量分析和系统升级等。 该方案的安全措施采用了路由器内置的IOS软件防火墙。IOS防火墙在路由器原有的访问列表对数据的源、目标地址、协议类型、TCP端口号检测的基础上加入了基于应用的流量控制、Java小程序过滤、对恶意攻击的监测与防治、数据轨迹跟踪和实时报警等功能。它使路由器在承担远程连接的同时实施数据包检验和过滤，防止非法用户侵入到内部局域网中。

37、原装二手Cisco-Catalyst1924（已停产）网络类型   :以太网|快速以太网   网络协议  : 802.3u   端口总数  : 24   处理器   :80486 CPU   闪存  : 1 MB   引擎交换  : 2   最大地址数 :  1024   背板带宽  : 1 Gbps  速率  : C

38、atalyst 1912：12个10BaseT、2个100BaseTX、1个AUI；Catalyst 1912C ：12个10BaseT、1个100BaseTX、1个100BaseFX、1个AUI；   级联端口数 :  2   网管控制端口  : 1个RS232端口   DRAM  : 2 MB  是否支持VLAN :  是   是否支持QoS/CoS :  是   网管功能  : SNMP、带外、Telnet、RMON、C

39、isco Visual Switch Manager基于Web的界面、CWSI、CiscoView、StackView/Stack Maker   软件功能 :  企业版的软件特性:CGMP向目标多媒体终端站动态和有选择地转发经过路由选择的IP多路播放通信，从而降低了总体网络通信量;在100BaseT端口上借助InterSwitch Link (ISL) 实现1024个基于端口的VLAN;RMON  （改后方案）Cisco PIX 501防火墙可以通过一个可靠的、即插即用的安全设备为小型办公室和远程办工人员提供企业级的安全性。Cisco PIX 501防

40、火墙是市场领先的Cisco PIX防火墙系列的一部分，可以通过一个紧凑的、整合的解决方案提供强大的安全功能、小型办公室联网功能和强大的远程管理功能，尤其适用于保障高速的、"永续运行的"宽带环境的安全。针对小型办公室环境的企业级安全性Cisco PIX 501防火墙是一种针对特定需求而设计的安全设备，可以在单独的一个设备中提供丰富的安全服务，包括状态监测防火墙、虚拟专用网（VPN）和入侵防范等。利用思科最新的自适应安全算法（ASA）和PIX操作系统，PIX 501可以确保其后的所有用户的安全，并可以帮助他们防范互联网的潜在威胁。它的功能强大的状态监测技术可以跟踪所有经过授权的

41、用户的网络请求，防止未经授权的网络访问。利用PIX 501灵活的访问控制功能，管理员还可以对经过防火墙的网络流量实施定制的策略。Cisco PIX 501防火墙还可以利用其基于标准的互联网密钥交换（IKE）/IP安全（IPSec）VPN功能，确保远程办公机构通过互联网与企业网络之间进行的所有网络通信的安全。通过利用56位数据加密标准（DES）或者可选的高级168位三重DES（3DES）加密对数据进行加密，当您的敏感企业数据安全地在互联网中传输时，别人将无法窥探到它们。PIX 501的集成化的入侵防范功能可以防止您的网络受到各种常见的攻击。通过查找超过55种不同的攻击"签名"

42、，PIX可以严格检测各种攻击，并可以实时地阻截它们或者向您发出通知。基本规格 设备类型 企业级防火墙 并发连接数 3500 VPN支持 支持网络 网络吞吐量(Mbps) 10安全性 安全过滤带宽(Mbps) 10 用户数限制 10 入侵检测 DoS、IDS 主要功能 CPU: 433MHz Intel,闪存:16MB,随机存储内存:32MB，或者64MB SDRAM 安全标准 UL1950, CAN/CSA-C22.

43、2 No. 950，EN 60950, IEC60825-1, IEC60825-2, EN60825-1, EN60825-2, 21CFR 1040其它参数 控制端口 RS-232 管理 CSPM、PDM电气规格 电源电压(V) 220 电源功率(W) 5外观参数 重量(kg) 0.34 长度(mm) 159 宽度(mm) 140 高度(mm) 25产品描述   PIX 501是一款有企业级安全能力的防火墙。包括

44、正式的检测防火墙、虚拟个人网络 (VPN) 和入侵保护，并支持URL过滤、内容过滤和来自Cisco AVVID（语音、影象和集成数据）合作伙伴的其他第三方解决方案。它还包括一个4端口和10/100 Mbps交换，可方便地在小型办公室或家庭网络环境中共享宽带连接。另外，PIX 501有一整套丰富的远程管理能力，包括使用PIX Device Manager (PDM-PIX设备管理器)的嵌入式、基于Web的单设备管理，以及来自Cisco Secure Policy Manager (CSPM-Cisco安全策略管理器)的高度可分级、基于GUI的多防火墙管理，它还支持syslog（系统日志）, SN

45、MP和telnet/SSH。 随着越来越多的公司向电子商务发展，随时在线的宽带互联网连接在为他们的业务提供便利的同时，也增加了公司被攻击的可能性。思科实现这一点的方法是SAFE，它是Cisco AVVID的安全蓝图。PIX 501是SAFE的不可分割的一部分，是确保小型办公室和远程办公环境安全的值得推荐的计划。经销商报 价电 话详 情日 期地 区北京海融天宇 ￥273562555598 非工作日热线：网络杨先生 服务器佟先生 北京北京毫微公司 ￥5000 010-5

46、1655595北京北京翱翔高科 ￥273751658689 北京亿海恒达 ￥480051663427 北京今朝创业 ￥416582673930北京3.2.2 50用户以内的网络方案 50用户以内的网络可以分为两种，一种是采用10M交换端口连接桌面用户；另一种则是采用10/100M自适应交换端口连接桌面用户。这两种情况分别采用了不同的交换机。 (1) 采用10M交换端口连接桌面用户的网络方案 这一方案采用了两台Catalyst1924交换机，每台交换机的2个10

47、0M高速交换端口中的一个连接服务器，另一个则实现交换机之间的互联。两台交换机共48个10M交换端口连接相对分散的桌面用户。该方案采用1720模块化路由器实现与广域网连接。它可扩展多至5个广域网接口，可使用ISDN链路(带宽最高128Kbps)或DDN、帧中继(带宽最高2Mbps)等。(2) 采用10/100M自适应交换端口连接桌面用户 该方案采用了一台Catalyst 3548交换机，其2个100M高速交换端口连接服务器，46个10/100M自适应交换端口连接相对集中的桌面用户。该交换机容易扩展两个千兆端口以连接高容量服务器或上联骨干。 该方案同样采用了1720模块化路由器，能扩展多至5个广域

48、网接口，可使用ISDN链路(带宽最高128Kbps)或DDN、帧中继(带宽最高2Mbps)等。 对于这两种50用户以内的网络方案，其路由器中都有内置的IOS防火墙以解决安全问题，并采用Cisco交换机可视化管理器CVSM进行网络管理。(改后方案) 针对中型企业网络的一种安全解决方案，该方案适用于25-50个用户左右的网络应用，通过Cisco Secure PIX 506E防火墙实现内外网络的安全隔离，并采用集成的思科合作伙伴产品实现网络病毒检测和网站过滤的功能。方案特点： 该方案可以为中型网络提供企业级的一体化网络安全； 通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的管理功能；

49、 可以实现NAT和DHCP功能，保障内部合法用户的联网需求； 内置图形化Web管理界面，简单并易于管理； 可以和合作伙伴的产品无缝地结合起来，完成深层次的网络安全性管理，如：防止网络病毒的入侵，阻止员工访问非授权的网站等功能。 Cisco Secure PIX 506E是一种可靠的、即插即用的专用安全防火墙工具，提供了无与伦比的高水平网络安全性。作为专用的工具，这些防火墙不提供WAN接口，也不支持除RIP之外的任何路由协议。该产品安装在一个WAN路由器和内部网络之间，提供了基于自适应安全算法（ASA）的高级状态访问控制。能够根据分组起始点和目的地址、TCP序列号、端口号和其它TCP分组标志跟踪

50、单个连接。分组只有在与来自网络内部的某个有效会话相关联时才会被允许通过防火墙。这使得机构的内部和授权外部用户能够进行透明访问，同时保护内部网络免受未授权访问。PIX防火墙的另一个安全特性是非UNIX嵌入的操作系统。这种专有的控制软件消除了通用操作系统的缺陷，提供了惊人的性能。 CISCO Pix-506E-BUN-K9基本参数参考报价：￥8000商家报价：￥7600-￥17000元 并发连接数范围 10000-50000并发连接数 25000VPN支持 支持最大安全过滤带宽（MB） 11-50安全过滤带宽（MB） 30MB安全标准 FCC,CE入侵检测 DoS、IDS用户数限制范围 无用户数限

51、制用户数限制 无用户数限制网络吞吐量（Mpps） 100Mpps控制端口 RS-232(RJ-45)管理 SNMP, Telnet,WEB,CLI,管理软件链接3.2.3 100用户以内的网络方案 该方案引入了二级联网的方式，骨干层交换机采用了高性能的Catalyst 3524。它与服务器之间通过1000M高速交换端口连接，以满足大容量数据的传输需求。桌面连接采用Catalyst2924交换机，以10/100M自适应交换端口连接桌面用户。这样便很容易扩充桌面用户数。骨干交换机和桌面交换机的连接则采用了Cisco的快速以太网通道（FEC）技术，有效地扩展了网络的带宽。这项技术能够把2-4个物理链

52、路聚合在一起，在全双工工作模式下达到400M-800M的带宽。FEC技术能充分利用现有设备实现高速数据传递。也可以通过GEC技术实现千兆位链路的聚合，最多可以聚合8条物理链路。 在广域网连接方面，该方案采用2610模块化路由器。它可扩展多个广域网接口，可使用ISDN链路(带宽最高128Kbps)或DDN、帧中继(带宽最高2Mbps)等，并可选择多达32路的异步串行口网络模块，或16个内置模拟MODEM的网络模块，块接受32路或16路远程拨号访问。 该方案可采用免费的CVSM交换机可视化管理器，用户也可以购买专用的网络管理工具Cisco Works for Windows。其功能已从单纯的配置管

53、理扩展到设备配置和网络健康状况管理等多个方面，其主要特点包括：第一， 定性或定量的分析网络各项参数(如：接口流量、错误发生率、CPU利用率等)，判断网络健康状况，为系统升级、维护提供第一手资料；第二， 基于SNMP(简单网络管理协议)全面管理网络中多种设备(路由器、交换机、防火墙等)，以照片方式显示设备直观视图；第三， 易于使用，通过简单的点击配置设备端口和各项参数；第四， 通过不同色彩和多种图表显示各种工作状态，便于实时监控和迅速定位故障；第五， 提供设备升级接口，在有新产品问世时可以很方便地从Cisco的网上站点免费下载该产品软件包并安装在系统中，获得对新产品的支持。这是一套基于Windo

54、ws的网络管理软件，可安装在Windows95/98或Windows NT平台上，界面友好，使用灵活方便。 在Cisco的一些交换机如本方案中采用的Catalyst3524中，可以采用千兆比特接口转换器(GBIC)来实现端口扩展，从而在原有快速以太网产品中增加千兆端口。这种技术具有灵活、通用的特点，并可以实现投资保护。用户可以根据自身网络发展需要来确定是否对交换机端口进行扩展。GBIC既有可以有适用于多模光纤的，也有适用于单模光纤的。不同种类的GBIC配合不同种类的光纤可以传输不同距离。 CISCO 803基本参数商家报价： ￥4100-￥4425元设备类型： 接入路由器处理器 ： MPC 8

55、50 33MHz最大Flash内存（MB）： 12最大DRAM内存（MB）： 12支持网络协议：IEEE 802.3，ISDN；加密标准AH（MD5），ESP（Null，DES，3DES，ARC4，proprietary fast encoding，+MD5/HMAC，-MD5）；PPP （PAP，CHAP，LCP，IPCP，MLPPP）；支持的网管协议： Cisco ClickStart，SNMPCISCO 803端口参数固定广域网接口： 可选广域接口WIC卡固定局域网接口 ： 10/100Base-T/TX控制端口 ： RJ-45CISCO 803其它参数VPN支持 ： 是内置防火墙 ：

56、否支持扩展模块数 ： 2Qos支持 ： 是存储湿度 ： -20 - 654. 华为赛门铁克VPN解决方案随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷，传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。4.1 需求分析随着企业公司的不断扩张，公司分支机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进行商业活动。传统专线网基于现有的物理网络，对于客户来说，建设成本和使用费用昂贵，并且只能实现有限的专网访问，缺乏联网的灵活性。在远端用户、分支机构、合作伙伴、供应商与公司总部之间建立可靠、经济的安全连接（VPN），有特别重要的意义。根据对企业内部网络系统的分析，我们发现企业的VPN需求主要在以下方面：公司员工在家中或出差途中，需要接入到企业内部网络；公司移动用户需要接入到企业内部网络；公司分支机构需要接入到企业内部网络；部分关键客户，合作伙伴需要接入到企业内