浙江广播电视集团网络安全解决方案

-.z内容摘要本文针对**播送电视集团网络，以及集团网络平安的建立、改造提出了相应的解决方案，并且从网络和网络平安两个主要方面进展了相关的阐述。首先，对在本方案中可能使用到的计算机网络、及网络平安的相关技术进展了阐述、分析和比拟。然后，对集团中的计算机网络、以及网络平安的现状进展调查研究。其次，针对**播送电视集团的网络现状进展了详细的需求分析。最后，提出了一套针对**播送电视集团计算机网络、以及网络平安实际情况的网络、及网络平安的详细设计方案。实施本方案之后，有助于提高其计算机网络系统的可靠性、以及网络的平安性。关键词：网络系统，数据平安，网络平安，局域网ABSTRACTThethesisbringsforwardtherelevantsolutionofthenetworkandtheInternetsecurityofZhejiangRadio&TelevisionGroupgivingelaborationonthetwoaspects.Firstofall,ite*plainsandanalyzestherelatedtechniqueofthenetworkandtheInternetsecuritywillpossiblybeusedinthisproject.Then,itstudiesandresearchestheputernetworkandsecurityusedingroup.Thirdly,onthebasisofZRTGnetworkitsetsouttheconcretedemandinganalysis.Attheendofthethesis,itstatesthedetaileddesignprojectonInternetandthefactsofInternetsecurityofZRTG.TheprojectishelpfultoimprovethereliabilityofnetworkandthesafetyofInternet.KEYWORDS：networksystem，datasecurity,networksecurity，LAN目录第一章引言1第一节选题背景与意义1第二节集团网络平安开展与现状1第三节网络平安相关技术介绍2第二章集团网络平安系统概况及风险分析4第一节集团网络机房环境4第二节网络应用数据备份4第三节网络平安弱点分析5第四节网络平安风险分析6第三章集团网络平安需求与平安目标7第一节网络平安需求分析7第二节网络平安目标7第四章集团网络平安解决方案设计9第一节网络监控管理系统9第二节电子平安解决方案9第三节远程数据传输的加密10第四节效劳器的平安防护11第五节计算机病毒防护的加强14第六节网络攻击及防护演示效果图15第五章完毕语17参考文献18致谢19-.z第一章引言第一节选题背景与意义随着互联网的普及度越来越高，全世界的计算机都能通过互联网连接到一起。各种网上活动的日益频繁，使得网络平安问题日益突出，信息平安成为了一个重要的课题。各种各样的网络攻击层出不穷，如何防止网络攻击，保障各项业务的顺利进展，为广阔用户提供一个平安的网络环境变得尤为重要。本论文针对**播送电视集团的计算机网络、以及网络平安的实际解决方案。在实施了本方案之后，有助于提高集团计算机网络系统的可靠性、以及网络的平安性。认真分析网络面临的威胁，计算机网络系统的平安防*工作是一个极为复杂的系统工程，是一个平安管理和技术防*相结合的工程。首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防*意识，自觉执行各项平安制度，在此根底之上，再采用先进的技术和产品，构造全方位的防御机制，使系统在最理想的状态下运行。第二节集团网络平安开展与现状图1-1网络拓扑图**播送电视集团作为省级广电传媒集团，现有计算机网络于2002年10月建成，在集团的运作和管理中发挥着重要的作用。近年来随着集团业务的开展，网络应用的不断深入，应用领域较以前传统的、小型的业务系统逐渐向大型、关键业务系统方向扩展。大局部子系统已接入网络，远程数据传输、集团资料共享、动态数据查询、流媒体数据业务、集团运营等都在该网络上传输，整个网络的用户规模是原计算机网络规模的数十倍。随着网络规模的不断扩大、接入点数量的增多、内部网络中存在的平安隐患问题就会愈加突出，平安日益成为影响网络效能的重要问题，而互联网所具有的开放性、国际性和自由性在增加应用自由度的同时，对自身网络的平安性提出了更高的要求。虽然广电集团前期的网络建立有一定的平安措施，但因为网络复杂性的逐步提高，网络中存在隐患的可能性以及由此产生的危害性也大大提高，因此在网络系统的进一步建立过程中，及时查清网络隐患的必要性就表达了出来。第三节网络平安相关技术介绍要保证计算机网络系统的平安性，还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。一、防火墙技术为保证网络平安，防止外部网对内部网的非法入侵，在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统，该系统可以设定哪些内部效劳可已被外界，外界的哪些人可以内部的哪些效劳，以及哪些外部效劳可以被内部人员。它可监测、限制、更改跨越防火墙的数据流，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。其主要有：数据包过滤、监测型、代理效劳器等几大类型。二、数据加密技术与防火墙配合使用的平安技术还有数据加密技术，是为提高信息系统及数据的平安性和**性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的开展，网络平安与信息**日益引起人们的关注。目前各国除了从法律上、管理上加强数据的平安保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防*技术的不断开展。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。三、认证技术认证技术是防止主动攻击的重要手段，它对于开放环境中的各种信息的平安有重要作用。认证是指验证一个最终用户或设备的身份过程，即认证建立信息的发送者或接收者的身份。认证的主要目的有两个：第一，验证信息的发送者是真正的，而不是冒充的，这称为信号源识别；第二，验证信息的完整性，保证信息在传送过程中未被窜改或延迟等。目前使用的认证技术主要有：消息认证、身份认证、数字签名。四、虚拟专用网络〔VPN〕技术虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创立一个平安的私有连接。它通过平安的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。VPN技术主要提供在公网上的平安的双向通讯，采用透明的加密方案以保证数据的完整性和**性。VPN技术的工作原理：VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现平安通信，它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。五、计算机病毒的防*首先要加强工作人员防病毒的意识，其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件：〔一〕较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种，在各种操作系统中包括Windows、UNI*和Netware系统都有大量能够造成危害的计算机病毒，这就要求安装的防病毒软件能够查杀多种系统环境下的病毒，具有查毒、杀毒*围广、能力强的特点。〔二〕完善的升级效劳。与其它软件相比，防病毒软件更需要不断地更新升级，以查杀层出不穷的计算机病毒。第二章集团网络平安系统概况及风险分析第一节集团网络机房环境目前，**播送电视集团计算机网络绝大多数的设备都是安放在新大楼13楼机房内的，只有楼层交换机是分布在各楼层的设备机柜中。根据本文的现场勘察和了解，目前大多数信息机房在机房的装修、温度和湿度控制、消防、照明、防静电、防雷等方面已经作了很多的考虑，主要有如下方面:一、网络机房都作了可靠的防雷措施，建立有防雷接地网，其接地电阻小于1欧姆;大楼顶部建立有避雷针。二、所有从网络机房大楼外接入网络机房的数据信号，全部采用光纤接入。三、网络机房内大多配备UPS电源系统。四、机房内铺设防静电地板、吊顶，对墙面进展了无尘处理。五、安装机房防盗监控系统。六、配备机房消防系统和应急照明系统。七、所有楼层交换机的供电都是由机房内UPS通过专用的线路直接供电，与楼层内的其它电源系统没有任何连接。第二节网络应用数据备份在广电集团的计算机网络中大多己经有功能数据备份与恢复系统，它是一套基于磁带介质的备份与恢复系统，有2套文件备份的License和1套Oracle数据库备份的License，进展效劳器的文件备份和Oracle数据库的实时备份和恢复。**广电集团网络中已经有了以下几个网络平安方面的考虑:一、病毒防护网络中使用了**病毒防护系统，该病毒防御系统是基于网络的病毒防护系统，在网络内能够远程的安装网络客户端的病毒防护软件，进展病毒特征库的自动更新，集中控制和管理。但是，网络中的病毒防护系统没有集中控制和管理的控制台，不能实时了解网络中防病毒客户端程序的安装情况、病毒感染和爆发的情况。二、外网接入平安防护网络目前大多没有单独的外网接入点，没有自己的外网接入平安防护，使用统一的出口和平安策略。三、入侵检测系统在集团总部局域网与其他网络连接处采用的一套入侵检测系统具体部署如图2-1用户用户用户用户效劳器路由器效劳器路由器交换机交换机交换机交换机入侵检测系统互联网图2-1广电集团入侵检测系统示意图第三节网络平安弱点分析**广电集团网络系统平安弱点主要包括:一、硬件弱点:硬件隐患存在于效劳器、终瑞、路由器、交换机和平安设备等设备中，一旦发生硬件的平安问题，将给主机和网络系统的可靠性、可控性、可用性和平安性等造成严重损害。二、操作系统弱点:由于操作系统自身的漏洞和缺陷可能构成平安隐患。操作系统是计算机应用程序执行的根本平台，一旦操作系统被渗透，就能够破坏所有平安措施。靠打补丁开发的操作系统不能够从根本上解决平安问题，动态连接给厂商提供开发空间的同时为黑客开启了方便之门。三、数据库系统弱点:由于数据库系统本身的漏洞和缺陷可能构成的平安隐患。四、网络系统弱点：TCP/IP协议本身的开放性导致网络存在平安隐患。如：TCP/IP数据通信协议集本身就存在着平安缺点，如：大多数底层协议采用播送方式，网上任何设备均可能窃听到情报；协议规程中缺乏可靠的对通信双方身份认证手段，无法确定信息包地址真伪导致身份“假冒〞可能；由于TCP连接建立时效劳器初始序号的可推测性，使得黑客可以由“后门〞进入系统漏洞。五、通用软件系统弱点:如Web效劳器等常用应用软件本身可能存在的平安弱点。六、业务系统弱点:节目视频业务系统等本身的“Bug〞或缺陷可能构成弱点。七、平安设计的弱点:平安设计不周全可能构成系统防护的弱点，由于平安漏洞的动态性和平安威胁的增长性要求以及平安需求本身的限制，平安体系设计要求具有良好的可扩展性和动态自适应性。八、管理弱点:工具不多，技术水平不高，意识淡薄，人员不到位。第四节网络平安风险分析网络本身所固有的构造复杂、高度开放、边界脆弱和管理困难等特点，增加了广电集团网络系统的平安风险。由于网络自身的开放性和广电集团网络系统的特殊性使网络系统存在很大的平安风险性，主要有：一、人为因素：未经授权重要信息恶意破坏重要数据数据窃取、数据篡改利用网络设计和协议漏洞进展网络攻击假冒、伪造、欺骗、敲诈、讹诈内部人员恶意泄露重要的信息管理员失职二、自然因素：设备的老化火灾、水灾(包括供水故障)爆炸、烟雾、灰尘通风供电中断电磁辐射、静电以上都可能引起设备的失效、损坏，造成线路拥塞和系统瘫痪等。第三章集团网络平安需求与平安目标第一节网络平安需求分析为了确保广电集团网络系统的平安，其平安需求可以从平安管理层面、物理平安层面、系统平安层面、网络平安层面、应用平安层面等方面来分析。从平安管理要求来分析，要考虑政策、法规、制度、管理权限和级别划分、平安培训等，特别要考虑基层人员计算机水平不高，系统设计和培训等方面要周密考虑，制定切实有效的管理制度和运行维护机制。从物理平安要求来分析，要根据**广电集团实际情况，确定各物理实体的平安级别，建立相应的平安防护机制。从系统平安需求来分析，需要解决操作系统平安、数据库系统平安、TCP/IP等协议的平安、系统缺陷、病毒防*等问题。从网络平安需求来分析，要考虑系统扫描、入侵检测、设备监控和平安审计等，要防*黑客入侵、身份冒充、非法。要保证信息在公共传输通道上的**性，拨号线路的**性和身份鉴别。从应用平安和信息平安需求来分析，要解决重要终端用户数据的加密、数据的完整性、数据的控制和授权以及数据承载终端设备(各种计算机、笔记本电脑、无线WAP终端及其它终端设备)以及其中运行的操作系统的平安可靠。因此，广电集团网络系统平安要重点做好以下几方面的工作，同时也是本平安方案的设计需要解决的问题：一、解决内部外部系统间的入侵检测、信息过滤(防止有害信息的传播)、网络隔离问题；二、解决内部外部黑客针对网络根底设施、主机系统和应用效劳的各种攻击所造成的网络或系统不可用、信息泄密、数据篡改等所带来的问题；三、解决重要信息的备份和系统的病毒防*等问题；四、建立系统平安运行所匹配的管理制度和各种规*条例；五、建立健全**广电集团网络系统平安培训制度及程序等方面的问题；六、解决**广电集团和其它相关单位部门网络信息交流带来的平安问题。第二节网络平安目标计算机网络的平安问题与单台计算机的平安在实际中存在着非常大的差异。网络不是分装在一个机箱内，存在着传输系统的地域分布问题。这些传输通信系统可以是有线的，也可以是无线的。这类传输可以在中途被截获，存在着“中间攻击〞的问题。从攻击的手段来看，攻击种类和机制非常多。控制和鉴别也比单台计算机困难，网络平安要特别重视防截获，防泄露和信息加密的实施。目前所采用的网络防护方法也就是在进入计算机操作系统控制中的网络和网络协议上实施的。网络防护的根本效劳:网络控制(MAC)、鉴别、数据**性、数据完整性、行为的完整性、抗抵赖性、可用性等。网络平安的目的是保护在网络系统中存储、传输和处理的信息的平安，概括为确保信息的完整性、**性、可用性和不可抵赖性。信息的**性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的查看；信息的完整性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的改变；信息的可用性和可靠性指的是在计算机网络系统中存储、传输和处理的信息为授权用户提供及时、方便、有效的效劳；信息的不可抵赖性指的是内部人员对信息的操作不可抵赖。为了更加完整的执行上述网络信息平安的思想，防止来自集团内部局域网上的攻击，又由于**广电集团网络连接关系复杂、网络设备多，使用租用的国内的通信线路，存在着传输线搭接窃听或辐射接收窃听等环节。因此要做到以下几个要求：1)防止计算机病毒的蔓延集团网络众多的用户，可能由于内部管理上疏忽，装入未经杀毒处理的软件或是从因特网上下载了带病毒的文件。还可能来自外部黑客释放病毒、逻辑炸弹的攻击等，这些都对计算机网络系统平安构成严重威胁。病毒广泛地传播，将造成网络软硬件设备的损害以至于整个网络系统瘫痪。2)加强网络平安的动态防护网络黑客攻击手段、计算机病毒等都处于不断的开展和变化中，使用目前的平安**技术和产品是难以构造一种绝对平安、无缝隙和一劳永逸的网络系统的。因此，平安的网络系统必须具有网络平安漏洞的检测和监控功能。通过平安检测、监控手段，及时发现网络平安漏洞和各种恶意的攻击手段，及时提供修补系统漏洞的建议并阻断来自内外的非法使用和攻击。3)保障集团内部业务系统的平安稳定由于涉及省台与各地方台的视频传输，不可防止的会遇上各种各样的问题，因此，在网络层对业务的平安要保障得力，并且要确认信息传输的平安稳定。第四章集团网络平安解决方案设计第一节网络监控管理系统由于**广电集团的网络建立已有很多年的时间了，其很多网络设备都自带了监控及管理软件或工具，但是这些工具在问题发生之后很难解决问题。而网络监控管理系统的实时映射、网络瓶颈通知和设备失败通知却可以帮助用户快速隔离问题，并且在员工抱怨之前解决问题。这里对推荐的美国CA公司的网络监控管理系统(UnicenterNetwork&SystemManagement)所能够到达的功能简单地说明一下：通过TCP/IP协议，不需要专门的培训，用户就可以配置该网络监控管理系统，启动网络监视管理功能后，能够监控的网络设备包括工作站、效劳器、主机、网桥、路由器、集线器、打印机等在内的几乎所有网络元件。当用户决定使用该网络监控管理系统软件时，首先可以通过该软件的网络探查功能，能够全面查看用户网络的底层构件，确认整个网络的体系构造，并以一种可描述可管理的模式定位所有的网络设备，并将这些设备存储起来，迅速绘出网络构造图，同时启动设备的监控，而这些过程都是自动生成的，非常简单易用，可操作性强，这对于网络设备非常多、而专业网络管理人员较少的企业来说就显得非常重要。在这个过程中，首先通过该网络监控管理系统24*7的全时设备轮询网络监视功能，迅速识别网络元件的任何问题，当监测到问题时，可以不同的颜色显示出来，并以通过手机、、声音警报通知管理人员，同时根据各网络元件相互之间的依赖关系，自动关闭与有问题网络元件之后的所有网络元件的连接，减少冗余数据数量，防止冗余通知。此外，还能对网络元件的潜在问题、网页的正确性、可用性、网络的性能以及系统资源进展有效的监控管理。当网络监控管理系统识别网络失效时，在向相关人员发送警报及通知时，该软件还可启动一个程序来定位网络失效。因此，当状况被隔离之后，一个特定的应用程序或者脚本程序就会被执行，或许是重启这个效劳或许是重启计算机。这个进程是自动的，因此当相关人员收到设备失效的通知时，相应的措施已经采取了，管理人员不用回到办公室，因为当管理人员在收到通知时已经知道问题己经解决了。在这一系列监控与管理过程中，网络监控管理系统都能自动生成监控及管理日志，并对系统的使用情况与趋势形成报告，以便用户形成较为完善的系统化管理，提升工作效率。第二节电子平安解决方案解决电子平安问题，我们需要从三个方面来考虑如何应对：1)对带病毒、垃圾等恶意的过滤和封堵；2)对进出系统的所有进展备份，用于监控和备查；3)对敏感的内容进展加密传输，防范在传递路径上的恶意窥伺。对集团来讲，现实的方法是结合现有的成熟技术，组合出一个在经济上和技术上合理的解决方案，同时要保证长期的维保本钱。系统的平安解决方案包括如下三个局部：1、电子平安网关技术方案通过平安网关的部署，在病毒程序、垃圾等不良信息进入集团系统之前，便对其进展遏制、阻截，从而保证集团电子系统的平安稳定运行，节省系统存储空间，防止**的泄漏。在网关硬件系统上整合反病毒引擎，对进入集团系统的电子进展病毒检测，采取隔离、删除以及去除病毒等操作，减少病毒对效劳器的攻击。应根据互联网最新病毒开展趋势，定时升级网关病毒库。2、备份系统技术方案在集团现有系统的根底上，实现对指定时间内(如最近一年)所有收发的备份，并且管理员根据信息摘要(例如：发件人、收件人、主题、日期、名称等)进展检索和查看全部内容。3、加密系统技术方案保护重要电子不被泄密，防止内部人员未经许可将重要电子文档以的方式泄密，防止电子被截取而引起的泄密。保证工作效率，在尽量不改变使用者收发操作习惯的根底上，保证电子正常畅通使用。考虑到文件平安扩展的需求，除电子之外，信息泄密还有多种途径。在保护平安的根底上，要考虑到日后系统的扩展性。平安管理系统综合动态加解密技术、权限控制技术、使用权限控制技术、期限控制技术、身份认证技术、操作日志管理技术、硬件绑定技术等多种技术对电子进展保护。第三节远程数据传输的加密建立基于SSLVPN技术加密系统，使得从Internet到内部网络的使用SSLVPN数据加密通道，保证数据在传输过程中**性。目前能够提供SSLVPN加密产品的厂家很多，但是本文认为在SSLVPN技术的先进性、加密传输的速率、以及厂家的技术效劳等方面，Juniper的NetscreenSA1000具有相对的优势，是其它厂家无法比的。Juniper网络公司SSLVPN产品家族的Netscreen-SA1000系列，使企业可以部署经济高效的远程接入、外联网及内联网平安性。用户可从任何标准Web浏览器接入企业网络和应用。NetScreen-SA1000系列使用SSL作为平安接入传输机制，SSL是所有标准Web浏览器中使用的平安协议。使用SSL使客户无需部署客户端软件、无需更改内部效劳器，也无需进展本钱高昂的长期维护。NetScreen-SA1000产品提供先进的合作伙伴喀户外联网特性，以控制用户或用户组的网络，无需更改根底设施、无需部署DMZ、也无需软件代理。这项功能还允许公司平安接入企业内联网，使管理员可以根据不同员工、承包商和者所需的资源来限制他们的接入权限。NetScreen-SA1000系列解决方案的主要特性与优势如下:一、端到端分层平安性端点客户端、设备、数据和效劳器的分层平安性控制，Juniper网络公司EndpointDefenseInitiative(端点防御方案)，用于提供最高的端点平安性可以根据用户组或角色、网络、设备及会话属性来规定基于用户身份的接入降低总拥有本钱。不需要部署客户端软件或更改效劳器，几乎不需要长期维护。从单一平台平安地远程接入内联网和外联网平安的外联网接入，无需构建DMZ、无需加固效劳器、无需复制资源、或无需增加部署来添加应用或用户简化二、可管理性〔一〕集中管理选项提供统一管理〔二〕用户自助效劳功能，可降低技术支持效劳窗口的支持本钱〔三〕细粒度的审计和日志记录〔四〕3种不同的接入方法，允许管理员根据具体目的来设置接入权限〔五〕基于角色分配管理任务三、高可用性群集对部署选项，可为整个LAN和WAN提供高可用性。第四节效劳器的平安防护一、业务效劳器的平安防护〔一〕防火墙的安装这里将在Catalyst4506交换机与效劳器群的交换机之间安装一台高性能的防火墙，并根据效劳器群中的每台效劳器的应用系统的情况，在该防火墙上进展一对一的平安策略配置的工作。〔二〕入侵检测系统的安装这里将在效劳器群的交换机上配置一个侦听端口，将流经该交换机所有端口的数据包都复制一份传送到侦听端口上；再把入侵检测系统连接到该侦听端口，接收该端口输出的所有数据包，并对这些数据包进展入侵分析、判断和记录。本文将负责完成入侵检测安装配置工作。二、涉及到的设备选择〔一〕防火墙的选择防火墙的类型主要有：数据包过滤、监测型、代理效劳器等几大类型。1〕包过滤型包过滤型防火墙是防火墙的较初级产品，其技术基于网络中的分包传输技术。网络上的数据都是以“包〞为单位进展传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包〞是否来自可信任的平安站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。如图4-1所示:数据源判断数据的地址信息数据源判断数据的地址信息危险地址数据可信任地址数据拒绝通过FR允许通过FR图4-1包过滤型防火墙的工作原理包过滤技术的优点是简单实用，实现本钱较低，在应用环境比拟简单的情况下，能够以较小的代价在一定程度上保证系统的平安。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的平安技术只能根据数据包的来源、目标和端口等网络信息进展判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子中附带的病毒。有经历的黑客很容易伪造IP地址，骗过包过滤型防火墙。2〕代理型代理型防火墙也能够被称为代理效劳器，它的平安性要高过包过滤型产品，并已经开场向应用层开展。代理效劳器位于客户机与效劳器之间，完全阻挡了二者间的数据交流。从客户机来看，代理效劳器相当于一台真正的效劳器;而从效劳器来看，代理效劳器又是一台真正的客户机。当客户机需要使用效劳器上的数据时，首先将数据请求发给代理效劳器，代理效劳器再根据这一请求向效劳器索取数据，然后再由代理效劳器将数据传输给客户机。由于外部系统与内部效劳器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到集团内部网络系统。如图4-2所示客户机效劳器客户机效劳器代理效劳器代理效劳器效劳器客户机图4-2代理型防火墙的工作原理代理型防火墙的优点是平安性较高，可以针对应用层进展侦测和扫描，对付基于应用层的侵入和病毒都十分有效。它的缺点是对系统的整体性能有较大的影响，而且代理效劳器必须针对客户机可能产生的所有应用类型逐一进展设置，大大增加了系统管理的复杂性。本文将选用业界性能较好的、可靠性较高的Juniper的NetScreen5200防火墙，该防火墙的技术参数如表4-1表4-1NetScreen5200防火墙技术参数表物性/功能NetScreen-5200接口数2个*FE1OGigE，或8个Mini-GBIC,或2个Mini-GBIC+2410/100最大吞吐量1OG防火墙5G3DES/AFSVPN最多会话数1,000,000最多VPN隧道数30,000最多策略数4000,000最多虚拟系统数5最多虚拟LAN数4000最多平安区域数默认设置为16个，最多增加1000个最多虚拟路由器数默认设置为3个，最多增加500个支持的高可用性模式主用/备用支持的路由协议OSPF,BGP,RIRV1/V2深层检测是集成/重新定向，Web过滤是/否〔二〕入侵检测系统的选择这里选用国内拥有领先平安技术水平的天融信千兆级入侵检测系统NGIDS-UF。其主要的技术指标如表4-2表4-2NGIDS-UF入侵检测系统技术指标表型号NGIDS-UF类别千兆IDS规格2U机架式网络接口1个10/100Base-T*:2个千兆光纤2wh10/100/1000Base-T*串口1个RS-232C第五节计算机病毒防护的加强一、在原有的病毒防护系统增加集中管理控制台新增一台效劳器，在上面安装一套**的病毒防护的集中管理控制台。这里将安装该效劳器系统和**的集中管理控制的软件系统。二、增加网络病毒防火墙在每个楼层交换机的上联端接入一台网络病毒防火墙，对局域网内的病毒进展区域控制：在二级单位广域网入口处安装一台网络病毒防火墙，保障二级单位的广域网线路不会受到病毒数据包的影响。涉及到的设备选择：(一)**的防病毒集中管理控制台只有选用**的集中管理控制软件才能控制和管理**的网络防病毒系统的客户端软件。(二)网络病毒防火墙目前有趋势相关的硬件产品出售，并且该产品还能够与**的网络防病毒客户端软件进展联动。所以本文选择部署趋势的NVW1200网路病毒防火墙。该网络病毒防火墙的主要功能如下:1.执行免代理的平安策略网络病毒墙对非兼容设备进展隔离修正，以确保所有设备在进入网络前都安装有最新的防病毒及关键的操作系统补丁。执行免代理的平安策略可减少管理负荷，并可同时降低被合作伙伴或VPN用户的非兼容设备感染的风险。2.漏洞隔离网络病毒墙根据TrendMicro的漏洞评估功能，隔离网络蠕虫可利用的潜在环节，使管理者有选择地隔离薄弱(未安装不定程序)的网络段或设施，防止病毒的爆发。网络病毒墙提供漏洞评估效劳，并将该功能作为一个可选项。3.灵活的、集中式管理网络病毒墙包括趋势科技企业平安管控中心、及一个集中式、基于网络的管理控制台，它根据主机安装永久代理的需要实施平安更新部署。该效劳可以自动部署、或点击管理控制台的选项进展手工部署。4.网络扫描及侦测网络病毒墙通过扫描网络流量查找蠕虫及漏洞利用，并基于趋势实验室提供的最新病毒码来自动去除感染的网络数据包。另外，网络病毒墙利用趋势科技先进的启发式技术对您的网络实施监控，并提供威胁的早期预警。5.网络病毒爆发监控网络病毒墙通过实时监控网络流量或可疑活动来提供早期的威胁预警。并在中心控制台上发出病毒爆发通知，立即提示管理者蠕虫攻击目标、受感染的主机、或具体的受攻击的漏洞。6.网络病毒爆发防御网络病毒墙部署了TrendMicro病毒爆发防御效劳，通过阻绝任何蠕虫传播组合，包括8地址或地址*围、端口及协议、即时通讯渠道、文件类型扩展名、及文件传递。7.自动去除损害网络病毒墙通过隔离感染的网络段、主机、或客户，进展去除及修正，阻止了再次感染。凭借自动、免代理去除蠕虫(木马)痕迹、及系统文件配置(system.ini)修复功能，TrendMicro的去除损害效劳可以防止再次感染，降低去除本钱。第六节网络攻击及防护演示效果图图4-3网络攻击及防护演示效果图针对**广电集团的网络构造，当出现如下各类情况