网络安全技术技术白皮书

技术白皮书目录TOC\o"1-3"\h\z第一部分公司简介 4第二部分网络安全的背景 4第一章网络安全的定义 4第二章产生网络安全问题的几个方面 52．1信息安全特性概述 52.2信息网络安全技术的发展滞后于信息网络技术。 52．3TCP/IP协议未考虑安全性 62．4操作系统本身的安全性 62．5未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制 62．6忽略了来自内部网用户的安全威胁 62．7缺乏有效的手段监视、评估网络系统的安全性 62．8使用者缺乏安全意识，许多应用服务系统在访问控制及安全通信方面考虑较少，并且，如果系统设置错误，很容易造成损失 7第三章网络与信息安全防范体系模型以及对安全的应对措施 73．1信息与网络系统的安全管理模型 73.2网络与信息安全防范体系设计 83.2.1网络与信息安全防范体系模型 8安全管理 8预警 8攻击防范 8攻击检测 9应急响应 9恢复 93.2.2网络与信息安全防范体系模型流程 93.2.3网络与信息安全防范体系模型各子部分介绍 11安全服务器 11预警 11网络防火墙 11系统漏洞检测与安全评估软件 12病毒防范 12VPN 132.3.7PKI 13入侵检测 13日志取证系统 140应急响应与事故恢复 143.2.4各子部分之间的关系及接口 14第三部分相关网络安全产品和功能 16第一章防火墙 161.1防火墙的概念及作用 161.2防火墙的任务 171.3防火墙术语 181.4用户在选购防火墙的会注意的问题： 201.5防火墙的一些参数指标 221.6防火墙功能指标详解 221.7防火墙的局限性 261.8防火墙技术发展方向 26第二章防病毒软件 302．1病毒是什么 302．2病毒的特征 312．3病毒术语 322．4病毒的发展的趋势 342．5病毒入侵渠道 352．6防病毒软件的重要指标 362．7防病毒软件的选购 37第三章入侵检测系统（IDS） 383.1入侵检测含义 383.2入侵检测的处理步骤 393.3入侵检测功能 423.4入侵检测系统分类 433.5入侵检测系统技术发展经历了四个阶段 433.6入侵检测系统的缺点和发展方向 44第四章VPN（虚拟专用网）系统 444.1VPN基本概念 444.2VPN产生的背景 454.3VPN的优点和缺点 45第五章安全审计系统 455.1、安全审计的概念 455.2：安全审计的重要性 465.3、审计系统的功能特点 46第六章漏洞扫描系统 47第七章身份认证系统(PKI系统) 48第一部分公司简介第二部分网络安全的背景第一章网络安全的定义国际标准化组织（ISO）将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”我国自己提出的定义是：“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。”因此，所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全，网络系统的安全，操作系统的安全，应用服务的安全和人员管理的安全等几个方面。但总的说来，计算机网络的安全性,是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。传统的信息安全技术都集中在系统本身的加固和防护上，如采用安全级别高的操作系统与数据库，在网络的出口处配置防火墙，在信息传输和存储方面采用加密技术，使用集中的身份认证产品等。传统的信息系统安全模型是针对单机系统环境而制定的，对网络环境安全并不能很好描述，并且对动态的安全威胁、系统的脆弱性没有应对措施，传统的安全模型是静态安全模型。但随着网络的深入发展，它已无法完全反应动态变化的互联网安全问题。第二章产生网络安全问题的几个方面2．1信息安全特性概述2.2信息网络安全技术的发展滞后于信息网络技术。网络技术的发展可以说是日新月异，新技术、新产品层出不穷，世界各国及一些大的跨国公司都在这方面投入了不少心力，可对产品本身的安全性来说，进展不大，有的还在延续第一代产品的安全技术，以Cisco公司为例，其低端路由产品从cisco2500系列到7500系列，其密码加密算法基本一致。而其他功能，特别是数据吞吐能力及数据交换速率提高之大，令人瞠目。在我国，许多大的应用系统也是建立在国外大型操作系统的基础之上。如果我们的网络安全产品也从国外引进,会使我们的计算机信息系统完全暴露在外。后果堪忧。其次，网络应用的设计往往在应用方面考虑的比较多，这就是应用永远高于安全，因为一个系统的设计最终的目的是为了应用、其次才是安全。互联网的发展也一样，互联网上的应用系统的发展速度和规模远远大于安全系统的发展速度和规模。2．3TCP/IP协议未考虑安全性在TCP/IP协议设计之处，主要考虑的是互联和应用方便，所以TCP/IP协议是一个开放的互联网协议，它从一开始就是一种松散的、无连接的、不可靠的方式，这一特点造成在网上传送的信息很容易被拦截、偷窥和篡改。TCP/IP协议的两个创始人VintonGCerf和RobertE.Kahn没有为这个协议的发明去申请专利，而是公开了源代码，这为互联网的飞速发展奠定了基础，也为网络安全留下了很多的隐患。我们的网络哨兵其实也是这个安全漏洞的产物，我们的抓包程序能获取到HUB或交换机中的数据包、然后进行分析处理，这本身就是TCP/IP协议的漏洞之一。TCP/IP协议中的数据是以明文形式发送的，这为安全留下了隐患。2．4操作系统本身的安全性目前流行的许多操作系统均存在网络安全漏洞，如UNIX,Windows、甚至包括一些安全系统的操作系统也存在安全漏洞。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。2．5未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制2．6忽略了来自内部网用户的安全威胁来自内部用户的安全威胁远大于外部网用户的安全威胁，特别是一些安装了防火墙的网络系统，对内部网用户来说一点作用也不起。2．7缺乏有效的手段监视、评估网络系统的安全性完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估，并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查，查找其中是否有可被黑客利用的漏洞，对系统安全状况进行评估、分析，并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术。2．8使用者缺乏安全意识，许多应用服务系统在访问控制及安全通信方面考虑较少，并且，如果系统设置错误，很容易造成损失在一个安全设计充分的网络中，人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏,磁盘上的机密文件被人利用，临时文件未及时删除而被窃取，内部人员有意无意的泄漏给黑客带来可乘之机等，都可能使网络安全机制形同虚设。第三章网络与信息安全防范体系模型以及对安全的应对措施如何才能使我们的网络百分之百的安全呢？对这个问题的最简单的回答是：不可能。因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。从广泛的网络安全意义范围来看，网络安全不仅是技术问题，更是一个管理问题，它包含管理机构、法律、技术、经济各方面。安全解决方案不是简单产品的堆砌，而是从风险分析、需求分析、安全策略到安全意识教育与技术培训的系统工程。3．1信息与网络系统的安全管理模型3.2网络与信息安全防范体系设计3.2.1网络与信息安全防范体系是一个动态的、基于时间变化的概念，为确保网络与信息系统的抗攻击性能，保证信息的完整性、可用性、可控性和不可否认性，本安全体系提供这样一种思路：结合不同的安全保护因素，例如防病毒软件、防火墙和安全漏洞检测工具，来创建一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度，从而大大减少了他们对网络系统的攻击。图1：网络与信息安全防范模型网络与信息安全防范模型如图1所示，它是一个可扩展的结构。一个成功的安全防范体系开始于一个全面的安全政策，它是所有安全技术和措施的基础，也是整个体系的核心。预警是实施安全防范体系的依据，对整个网络安全防护性能给出科学、准确的分析评估，有针对性的给出防范体系的建设方案才是可行的。攻击防范攻击防范是用于提高安全性能，抵抗入侵的主动防御手段，通过建立一种机制来检查、再检查系统的安全设置，评估整个网络的风险和弱点，确保每层是相互配合而不是相互抵触地工作，检测与政策相违背的情况，确保与整体安全政策保持一致。使用扫描工具及时发现问题并进行修补，使用防火墙、VPN、PKI等技术和措施来提高网络抵抗黑客入侵的能力。攻击检测攻击检测是保证及时发现攻击行为，为及时响应提供可能的关键环节，使用基于网络和基于主机的IDS，并对检测系统实施隐蔽技术，以防止黑客发现防护手段进而破坏监测系统，以及时发现攻击行为，为响应赢得时间。采用与防火墙互联互动、互动互防的技术手段，形成一个整体策略，而不是单一的部分。设立安全监控中心，掌握整个网络的安全运行状态，是防止入侵的关键环节。应急响应在发现入侵行为后，为及时切断入侵、抵抗攻击者的进一步破坏行动，作出及时准确的响应是必须的。使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时，预防同类事件的再发生并为捕获攻击者提供可能，为抵抗黑客入侵提供有效的保障。恢复W恢复是防范体系的又一个环节，无论防范多严密，都很难确保万无一失，使用完善的备份机制确保内容的可恢复，借助自动恢复系统、快速恢复系统来控制和修复破坏，将损失降至最低。6个环节互为补充，构成一个有机整体，形成较完善的网络与信息安全体系。3.2.2网络与信息安全防范体系模型流程网络与信息安全防范体系流程主要由三大部分组成：攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程。图2：网络与信息安全防范体系工作流程网络与信息安全防范体系的工作流程为：攻击前的防范部分负责对日常的防御工作及对实时的消息进行防御：防火墙作为第一道关口，负责控制进入网络的访问控制，即进行了日常的防御工作，也对事实的消息进行了防御；系统漏洞检测系统、安全评估软件一个从内一个从外，非常详细地扫描安全漏洞并将系统漏洞一一列表，给出最佳解决方法。邮件过滤系统、PKI、VPN等都是进行日常的防御工作。攻击过程中的防范部分负责对实时的攻击做出反应。预警系统、入侵检测系统检测通过防火墙的数据流进行进一步检查，综合分析各种信息，动态分析出那些时黑客对系统做出的进攻，并立即做出反应。通过分析系统审计日志中大量的跟踪用户活动的细节记录来发现入侵，分别在网络级和系统级共同探测黑客的攻击并及时做出反击，防止黑客进行更深一步的破坏。攻击过程后的应对部分主要是造成一定损害时，则由应急响应与灾难恢复子系统进行处理。3.2.3网络与信息安全防范体系模型各子部分介绍网络与信息安全防御体系是一个动态的、基于时间变化的概念，是一种互联互动、多层次的黑客入侵防御体系：以预警、攻击防范、攻击检测、应急响应、恢复和安全管理为子部分构成一个整体。安全服务器作为一种重要的基础网络设备，安全服务器产品广泛应用于电子商务和电子信息服务等关键领域。目前国内服务器产品大都为国外设备，在信息安全构建过程中必然存在着潜在的危险，因而发展民族服务器产业，构建民族信息长城是国家亟待解决的重大问题。所谓的安全服务器，即是指运行安全程序的计算机。众所周知，Internet是伴随着TCP/IP设计的网络，不管是访问控制层还是数据链路层，安全问题基本没有被考虑。TCP/IP是以明文方式传输数据的，这在开放的Internet环境里很容易被窃听。安全服务器即是：通过对传输中的数据流进行加密，保证数据即使被窃听也不能被解密；通过电子证书和密钥算法进行身份确认，防止了身份欺诈；通过对数据流的校验，保证数据在传输过程中不被篡改，使得非法进入网上秘密程序无机可乘。其主要涉及的技术有：容量大，稳定性高的磁盘阵列；大内存，以提高系统的处理与运算能力；系统的容错能力；故障的在线修复技术；服务器集群技术；对称多处理技术；安全SSL技术；安全服务器网络技术（SSN）等。预警预警子系统的目的就是采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为，并评测攻击的威胁程度、攻击的本质、范围和起源，同时预测敌方可能的行动。预警过程是基于收集和分析从开放信息资源收集而获得，提取重要的信息来指导计划、训练和提前做准备。网络防火墙防火墙是保护网络安全最主要的手段之一，它是设置在被保护网络与外部网络之间的一道屏障，以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部地结构、信息和运行情况，以此来实现内部网络地安全保护。防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据相应的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，可有效地监控内部网和外部网之间地活动，保证了内部网络地安全。研制与开发防火墙子系统地关键技术主要是实现防火墙地安全、高性能与可扩展。防火墙一般具有以下几种功能：允许网络管理员定义一个中心点来防止非法用户进入内部网络。可以很方便地监视网络的安全性，并报警。可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。系统漏洞检测与安全评估软件系统漏洞检测可以探测网络上每台主机乃至路由器的各种漏洞；安全评估软件从系统内部扫描安全漏洞和隐患。安全评估软件还主要涉及到网络安全检测，其主要是系统提供的网络应用和服务及相关的协议分析和检测。系统漏洞检测与安全评估软件完成的功能主要有：对网络的拓扑结构和环境的变化必须进行定期的分析，并且及时调整安全策略；定期分析有关网络设备的安全性，检查配置文件和日志文件；定期分析操作系统和应用软件，一旦发现安全漏洞，应该及时修补；检测的方法主要采用安全扫描工具，测试网络系统是否具有安全漏洞和是否可以抗击有关攻击，从而判定系统的安全风险。病毒防范病毒防范子系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤杀技术等。能同时从网络体系的安全性、网络协议的安全性、操作系统的安全性等多个方面研究病毒免疫机理。加强对计算机病毒的识别、预警以及防治能力，形成基于网络的病毒防治体系。网络病毒发现及恶意代码过滤技术主要是研究已知与未知病毒识别技术、网上恶意代码发现与过滤技术。主要的功能为开发网络病毒疫情实时监控系统、主动网络病毒探查工具。能对疫情情况进行统计分析，能主动对INTERNET中的网站进行病毒和病毒源代码检测；可利用静态的特征代码技术和动态行为特征综合判定未知病毒。VPNVPN是集合了数字加密验证和授权来保护经过INTERNET的信息的技术。它可以在远程用户和本信息系统网络之间建立一个安全管道。主要的技术包括隧道技术、隧道交换技术与公钥基础设施（PKI）的紧密集成技术以及质量保证技术等。隧道技术主要研究合适的封装协议、加解密算法、密钥交换协议以及认证协议等。隧道交换技术研究将隧道如何延伸到防火墙内，并可以在任意位置终止的技术。2.3.7PKI公钥技术设施集成技术：提出与国际接轨的PKI和密钥KMI技术标准，提供基于PKI和KMI技术的安全服务平台和公共安全接口，开发PKI技术产品和应用系统。其中PKI的安全核心部件包括不同规模的CA系统、RA系统和KM系统。入侵检测入侵检测子系统是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测子系统被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。具有以下的功能：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。日志取证系统通过对网络上发生的各种访问过程进行记录和产生日志，并对日志进行统计分析，从而对资源使用情况进行分析，对异常现象进行追踪监视。0应急响应与事故恢复本子系统主要的目标是在开放的互联网环境下构造基于生存性的多样化动态漂移网络，当信息系统遭受攻击时，快速反应和对遭到的系统、文件和数据进行快速恢复。为建立信息安全应急反应服务体系提供方法。并且能提供自我诊断与自我恢复相结合的功能。主要涉及的技术有：故障分析诊断技术。将入侵检测、病毒防治和安全管理等系统相配合，研究攻击和破坏事件自动报警和保护技术、攻击事件信息记录和破坏现场保护技术、黑客追踪和病毒源分析技术。攻击避免与故障隔离技术。研究信息系统、网络系统的仿真、诱骗和隐蔽技术；研究具有抗攻击和破坏能力的网络与系统的体系结构和技术，如隔离技术等。3.2.4各子部分之间的关系及接口各子部分的关系如图：图3：各子部分之间关系图各子部分之间的接口规范如下：1.内容安全使用CVP（ContentVectoringProtocol）内容安全允许用户扫描经过网络的所有数据包内容。例如：病毒、恶意Java或AcitveX程序等。本体系可提供的CVPAPI定义了异步接口将数据包转发到服务器应用程序去执行内容验证。用户可以根据多种标准来验证内容的安全。2、Web资源管理使用UFP（URLFilteringProtocol）UFP定义了Client/Server异步接口来分类和控制基于特定URL地址的通信。防火墙上的UFP客户端将URL传送到UFP服务器上，UFP服务器使用动态分类技术将URL进行分类，防火墙则根据安全规则的定义对分类进行处理。对客户来说，通过中央的安全策略管理即可实现高效的Web资源管理。3、入侵检测采用SAMP（SuspiciousActivityMonitorngProtocol）SAMPAPI定义了入侵检测应用同VPN和网络防火墙通信的接口。入侵检测引擎使用SAMP来识别网络中的可疑行为，并通知防火墙处理。另外SAMP应用可以发送日志、告警和状态信息到安全管理子系统。4、事件集成可提供两个API：LEA（LogExportAPI）和ELA（EventLoggingAPI）允许第三方来访问日志数据。报表和事件分析采用LEAAPI，而安全与事件整合采用ELAAPI。5、管理和分析采用OMI（OPSECManagementInterface）OMI提供到安全管理子系统的中央策略数据库的接口，允许第三方应用安全地访问存储在管理服务器上的安全策略。OMI能够访问以下资源：●存储在管理服务器上的安全策略●管理服务器上定义的网络、服务、资源和服务器对象●用户、摸板和用户组●允许登录到管理服务器的管理员列表6、认证采用OPSECPKI集成本体系提供了一个开放式集成环境，第三方的PublicKeyInfrastructure（PKI）能紧密的与总体系集成在一起（VPNGateway、VPNSecureClient、防火墙C/S之间的通信等）。VPNGateway能同时多个不同的CA。开放的PKI使得管理员能够选择最大限度满足要求的PKI解决方案。第三部分相关网络安全产品和功能防火墙1.1防火墙的概念及作用防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙，而是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，从而完成看似不可能的任务；仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问特殊站点；四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如Intranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。1.2防火墙的任务防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标，而每个目标通常都不是通过一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。防火墙要能确保满足以下四个目标：实现一个公司的安全策略防火墙的主要意图是强制执行你的安全策略。在前面的课程提到过在适当的网络安全中安全策略的重要性。举个例子，也许你的安全策略只需对MAIL服务器的SMTP流量作些限制，那么你要直接在防火墙强制这些策略。创建一个阻塞点防火墙在一个公司私有网络和分网问建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视，过滤和检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。通过强制所有进出流量都通过这些检查点，网络管理员可以集中在较少的方来实现安全目的。如果没有这样一个供监视和控制信息的点，系统或安全管理员则要在大量的地方来进行监测。检查点的另一个名字叫做网络边界。记录Internet活动防火墙还能够强制日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安全管理员可以监视所有从外部网或互联网的访问。好的日志策略是实现适当网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。限制网络暴露防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查，以限制从外部发动的攻击。1.3防火墙术语在我们继续讨论防火墙技术前，我们需要对一些重要的术语有一些认识：网关网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口（CGI）到在两台主机间处理流量的防火墙网关。这个术语是非常常见的，而且在本课会用于一个防火墙组件里，在两个不同的网络路由和处理数据。电路级网关电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能：网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。有两种方法来实现这种类型的网关，一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。应用级网关应用级网关可以工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。通常是在特殊的服务器上安装软件来实现的。包过滤包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包，典型的实施方法是通过标准的路由器。包过滤是几种不同防火墙的类型之一，在本课后面我们将做详细地讨论。代理服务器代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关，虽然电路级网关也可作为代理服务器的一种。网络地址翻译（NAT）网络地址解释是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。对于NAT的另一个名字是IP地址隐藏。RFC1918概述了地址并且IANA建议使用内部地址机制，以下地址作为保留地址：-55-55-55如果你选择上述例表中的网络地址，不需要向任何互联网授权机构注册即可使用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地丢弃。堡垒主机堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。从堡垒主机的定义我们可以看到，堡垒主机是网络中最容易受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。你可以使用单宿主堡垒主机。多数情况下，一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护，而另一块连接另一个网络，通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由，反之亦然。在一个应用级的网关里，你想使用的每一个应用程协议都需要一个进程。因此，你想通过一台堡垒主机来路由Email，Web和FTP服务时，你必须为每一个服务都提供一个守护进程。强化操作系统防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳固性，防火墙安装程序要禁止或删除所有不需要的服务。多数的防火墙产品，包括AxentRaptor()，CheckPoint()和NetworkAssociatesGauntlet()都可以在目前较流行的操作系统上运行。如AxentRaptor防火墙就可以安装在WindowsNTServer4.0，Solaris及HP-UX操作系统上。理论上来讲，让操作系统只提供最基本的功能，可以使利用系统BUG来攻击的方法非常困难。最后，当你加强你的系统时，还要考虑到除了TCP/IP协议外不要把任何协议绑定到你的外部网卡上。非军事化区域(DMZ)DMZ是一个小型网络存在于公司的内部网络和外部网络之间。这个网络由筛选路由器建立，有时是一个阻塞路由器。DMZ用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络。DMZ另一个名字叫做ServiceNetwork，因为它非常方便。这种实施的缺点在于存在于DMZ区域的任何服务器都不会得到防火墙的完全保护。筛选路由器筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的，如Internet。它是对进出内部网络的所有信息进行分析，并按照一定的安全策略——信息过滤规则对进出内部网络的信息进行限制，允许授权信息通过，拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息为基础的。采用这种技术的防火墙优点在于速度快、实现方便，但安全性能差，且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同，故兼容性差。阻塞路由器阻塞路由器（也叫内部路由器）保护内部的网络使之免受Internet和周边网的侵犯。内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网络到Internet的有选择的出站服务。这些服务是用户的站点能使用数据包过滤而不是代理服务安全支持和安全提供的服务。内部路由器所允许的在堡垒主机（在周边网上）和用户的内部网之间服务可以不同于内部路由器所允许的在Internet和用户的内部网之间的服务。限制堡垒主机和内部网之间服务的理由是减少由此而导致的受到来自堡垒主机侵袭的机器的数量。1.4用户在选购防火墙的会注意的问题：一、防火墙自身的安全性防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。二、系统的稳定性目前，由于种种原因，有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。防火墙的稳定性可以通过几种方法判断：1．从权威的测评认证机构获得。例如，你可以通过与其它产品相比，考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明（书），来间接了解其稳定性。2．实际调查，这是最有效的办法：考察这种防火墙是否已经有了使用单位、其用户量如何，特别是用户们对于该防火墙的评价。3．自己试用。在自己的网络上进行一段时间的试用（一个月左右）。4．厂商开发研制的历史。一般来说，如果没有两年以上的开发经历，很难保证产品的稳定性。5．厂商实力，如资金、技术开发人员、市场销售人员和技术支持人员多少等等。三、是否高效高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降，就意味着安全代价过高。一般来说，防火墙加载上百条规则，其性能下降不应超过5％（指包过滤防火墙）。四、是否可靠可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用性。从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件，这要求有较高的生产标准和设计冗余度。五、是否功能灵活对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的控制注意。例如对普通用户，只要对IP地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。六、是否配置方便在网络入口和出口处安装新的网络设备是每个网管员的恶梦,因为这意味着必须修改几乎全部现有设备的配置。支持透明通信的防火墙，在安装时不需要对原网络配置做任何改动，所做的工作只相当于接一个网桥或Hub。七、是否管理简便网络技术发展很快，各种安全事件不断出现，这就要求安全管理员经常调整网络安全注意。对于防火墙类访问控制设备，除安全控制注意的不断调整外，业务系统访问控制的调整也很频繁，这些都要求防火墙的管理在充分考虑安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。八、是否可以抵抗拒绝服务攻击在当前的网络攻击中,拒绝服务攻击是使用频率最高的方法。抵抗拒绝服务攻击应该是防火墙的基本功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击，但严格地说，它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时，网管人员应该详细考察这一功能的真实性和有效性。九、是否可以针对用户身份过滤防火墙过滤报文，需要一个针对用户身份而不是IP地址进行过滤的办法。目前常用的是一次性口令验证机制,保证用户在登录防火墙时,口令不会在网络上泄露,这样，防火墙就可以确认登录上来的用户确实和他所声称的一致。十、是否可扩展、可升级用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防的，同时用户也要为此花费更多的钱。1.5防火墙的一些参数指标接口数、VPN隧道数、吞吐量、3DES、并发数、新会话数、VLAN数量、策略数等。1.6防火墙功能指标详解产品类型从防火墙产品和技术发展来看，分为三种类型：基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。LAN接口列出支持的LAN接口类型：防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。支持的最大LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。服务器平台：防火墙所运行的操作系统平台(如Linux、UNIX、WinNT、专用安全操作系统等)。协议支持支持的非IP协议：除支持IP协议之外，又支持AppleTalk、DECnet、IPX及NETBEUI等协议。建立VPN通道的协议：构建VPN通道所使用的协议，如密钥分配等，主要分为IPSec，PPTP、专用协议等。可以在VPN中使用的协议：在VPN中使用的协议，一般是指TCP/IP协议。加密支持支持的VPN加密标准：VPN中支持的加密算法,例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。除了VPN之外，加密的其他用途：加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。提供基于硬件的加密：是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密强度。认证支持支持的认证类型：是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如RADIUS、Kerberos、TACACS/TACACS＋、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。列出支持的认证标准和CA互操作性：厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他CA产品兼容互通。支持数字证书：是否支持数字证书。访问控制通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据ICMP头信息(类型和代码值)、TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。在应用层提供代理支持：指防火墙是否支持应用层代理，如HTTP、FTP、TELNET、SNMP等。代理服务在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求，代理服务器应根据服务器的应答，决定如何响应客户端请求，代理服务进程应当连接两个连接(客户端与代理服务进程间的连接、代理服务进程与服务器端的连接)。为确认连接的唯一性与时效性，代理进程应当维护代理连接表或相关数据库(最小字段集合)，为提供认证和授权，代理进程应当维护一个扩展字段集合。在传输层提供代理支持：指防火墙是否支持传输层代理服务。允许FTP命令防止某些类型文件通过防火墙：指是否支持FTP文件类型过滤。用户操作的代理类型：应用层高级代理功能，如HTTP、POP3。支持网络地址转换(NAT)：NAT指将一个IP地址域映射到另一个IP地址域，从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部结构，在一定程度上提高了网络的安全性。支持硬件口令、智能卡：是否支持硬件口令、智能卡等，这是一种比较安全的身份认证技术。防御功能支持病毒扫描：是否支持防病毒功能，如扫描电子邮件附件中的DOC和ZIP文件，FTP中的下载或上载文件内容，以发现其中包含的危险信息。提供内容过滤：是否支持内容过滤，信息内容过滤指防火墙在HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指URL、HTTP携带的信息：JavaApplet、JavaScript、ActiveX和电子邮件中的Subject、To、From域等。能防御的DoS攻击类型：拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。阻止ActiveX、Java、Cookies、Javascript侵入：属于HTTP内容过滤，防火墙应该能够从HTTP页面剥离JavaApplet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的CGI、ASP等程序，当发现危险代码时，向服务器报警。安全特性支持转发和跟踪ICMP协议(ICMP代理)：是否支持ICMP代理，ICMP为网间控制报文协议。提供入侵实时警告：提供实时入侵告警功能，当发生危险事件时，是否能够及时报警，报警的方式可能通过邮件、呼机、等。提供实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。识别/记录/防止企图进行IP地址欺骗：IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击，防火墙应该能够禁止来自外部网络而源地址是内部IP地址的数据包通过。管理功能通过集成策略集中管理多个防火墙：是否支持集中管理，防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。提供基于时间的访问控制：是否提供基于时间的访问控制。支持SNMP监视和配置：SNMP是简单网络管理协议的缩写。本地管理：是指管理员通过防火墙的Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。远程管理：是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理，管理的通信协议可以基于FTP、TELNET、HTTP等。支持带宽管理：防火墙能够根据当前的流量动态调整某些客户端占用的带宽。负载均衡特性：负载均衡可以看成动态的端口映射，它将一个外部地址的某一TCP或UDP端口映射到一组内部地址的某一端口，负载均衡主要用于将某项服务(如HTTP)分摊到一组内部服务器上以平衡负载。失败恢复特性(failover)：指支持容错技术，如双机热备份、故障恢复，双电源备份等。记录和报表功能防火墙处理完整日志的方法：防火墙规定了对于符合条件的报文做日志，应该提供日志信息管理和存储方法。提供自动日志扫描：指防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。提供自动报表、日志报告书写器：防火墙实现的一种输出方式，提供自动报表和日志报告功能。警告通知机制：防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括E－mail、呼机、等。提供简要报表(按照用户ID或IP地址)：防火墙实现的一种输出方式，按要求提供报表分类打印。提供实时统计：防火墙实现的一种输出方式，日志分析后所获得的智能统计结果，一般是图表显示。列出获得的国内有关部门许可证类别及号码：这是防火墙合格与销售的关键要素之一，其中包括：公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。1.7防火墙的局限性（1）防火墙防外不防内。（2）防火墙难于管理和配置，易造成安全漏洞。（3）很难为用户在防火墙内外提供一致的安全策略。（4）防火墙只实现了粗粒度的访问控制。1.8防火墙技术发展方向目前在防火墙业界对防火墙的发展普遍存在着两种观点，即所谓的胖瘦防火墙之争。一种观点认为，要采取分工协作，防火墙应该做得精瘦，只做防火墙的专职工作，可采取多家安全厂商联盟的方式来解决；另一种观点认为，把防火墙做得尽量的胖，把所有安全功能尽可能多地附加在防火墙上，成为一个集成化的网络安全平台。从概念上讲，所谓“胖”防火墙是指功能大而全的防火墙，它力图将安全功能尽可能多地包含在内，从而成为用户网络的一个安全平台；而所谓“瘦”防火墙是指功能少而精的防火墙，它只作访问控制的专职工作，对于综合安全解决方案，则采用多家安全厂商联盟的方式来实现。“胖”的技术路线“胖”防火墙在保证基本功能的前提下，不断扩展增值功能——NAT、VPN、QoS以及入侵检测、防病毒等。“胖”防火墙将安全Solution趋向于一种注重功能大而全的单一产品体系，力图将防火墙系统开发成为一个安全域的整体解决方案，它的优点在于可以满足用户绝大部分的网络安全需求。防火墙最开始也是一个单独的设备与概念，它和VPN、IDS、防病毒等都是同时并立的，但随着客户需求的不断变化，在大而全的思想引导下，防火墙慢慢集成了VPN，集成了IDS，甚至集成了防病毒网关。理论上，防火墙+IDS+防病毒+VPN部署已经可以提供较全面的保护，但由于大多数中小企业的用户并非安全专家，更不可能7×24小时监视安全报告并作出响应，因此组合多种产品功能形成智能化的防御体系、发现并及时中止入侵的发生也就成为安全技术的一种发展方向。另外，对于一般的客户来说，分别购买多个IDS、防火墙、VPN及防病毒网关产品是一个不小的财政负担，而高度集成的IDP系统令用户大大减少了同类支出并大大增加了效能，因此，市场上出现了“二合一”、“三合一”甚至是“四合一”的产品。它欲解决的问题在于降低采购和管理成本。但是，这种“胖”防火墙目前更多地存在于理论上，实际进行产品化并已成功应用的并不多。“胖”防火墙追求的是一站式服务，目前它只适应中小型企业，尤其是低端用户。他们出于经济上的考虑以及管理上的成本，更主要的是出于安全的实际需求，希望一个设备可以为这种小型网络实现整体安全防护，所以对这种大而全的“胖”东西非常感兴趣。“胖”防火墙的缺点也是很明显的，最突出的就是性能问题，只能着眼于小规模的网络，因为它强制将边界安全集中在单一控制点，本有性能瓶颈之忧；在性能瓶颈点增加IDS、AV等模块，又会加剧瓶颈效应；同时，附加模块将增加安全策略规则数目，也将加剧防火墙性能指标恶化（随规则增加，防火墙性能指标将成倍数下降）；另外，附加模块不专业，功能不全面。很多厂家在初步定义产品时，都想做成“胖”防火墙，既有包过滤、又有代理，同时包含了入侵检测和防病毒，但是做着做着，就慢慢瘦下来了。况且单一产品功能多，也导致可靠性和安全性的降低；集成化不应仅仅是产品的简单叠加，“胖”防火墙从概念上讲是可以的，但从技术实现上讲，有许多实际问题，可能造成的结果就是多而不精。“瘦”的价值定位一般来说，大型用户安全需求广泛，专业性要求强，安全投入较大，自身安全管理能力也较高，因此，这种客户均倾向于使用独立的安全设备，并渴望发挥每种产品的最大效果。而安全厂商也竭力挖掘每种安全产品的最大功能，“瘦”防火墙也就经历了从包过滤、应用代理、状态检测到深度检测、智能检测以及从双机热备到负载均衡、HA集群的发展阶段。针对这类用户，为了要满足多种安全需求，安全厂商在设计安全解决方案时，通常会考虑以安全管理为核心，以多种安全产品的联动为基础，如防火墙与IDS和防病毒全面互动形成动态防御体系。以安全管理为核心使得安全网关不需要专人时时注视，不需要人工判断入侵事件，不需要预先设置大量的阻断规则，只需要在管理系统中根据安全需求设定互动规则。防病毒系统会在发现病毒后立即通知IDS添加到规则库中，而IDS系统会在发现入侵行为后立即使防火墙产生阻断入侵的规则，从而自动为用户带来安全的信息环境。许多有实力的厂商在不断推出“瘦”防火墙等专业安全产品的同时，开发并推出整体安全管理解决方案——信息安全管理平台，如CheckPoint公司的OPSECManager、联想集团的LeadSecManager等。安全管理平台能够为用户的网络应用建立方便完善的集中管理机制、统一协调机制、综合分析机制、关联响应机制，能在诸多方面为安全管理工作带来显著的效益。例如通过管理平台，能够配置IDS与防火墙、防病毒系统之间联动策略；当IDS检测到蠕虫病毒事件时，网络中的防火墙和防毒系统马上即可收到事件通报；于是防火墙采取行动，封堵病毒传播通道，防毒系统进入查杀过程。蠕虫病毒就被以最快的速度遏止，并被消灭在一个有限的网络范围内。应用安全管理平台，可以使“瘦”防火墙等专业安全产品协同工作、关联响应，从而全面提高企业整体安全风险防范能力，这也是“瘦”防火墙得到越来越多客户青睐的重要原因。当然，接口、联动、管理需要灵活的开放性和可扩展性。如果配合不当，出现红鞋与绿裤的组合，那呈现给用户的恐怕就不仅是俗气了。“胖、瘦”相辅相成从本质上讲，“胖、瘦”防火墙没有好坏之分，只有需求上的差别。低端的防火墙是一个集成的产品，它可以具有简单的安全防护功能，还可以具有一定的IDS功能，但一般不会集成防病毒功能。而中高端的防火墙更加专业化，安全和访问控制并重，主要对经过防火墙的数据包进行审核，安全会更加深化，对协议的研究更加深入，同时会支持多种通用的路由协议，对网络拓扑更加适应，VPN会集成到防火墙内，作为建立广域网安全隧道的一种手段，但防火墙不会集成IDS和防病毒，这些还是由专门的设备负责完成。而用户又如何看待呢？他们关注只有两个方面：一是他们需要防火墙，二是他们需要其它的安全，但许多大的行业用户一旦进行网络安全设计，一般会进行较系统的规划，他们可能会将IDS、防火墙、防病毒等分开考虑、统一规划（也许他们的资金更充裕）。这个现象类比到“胖”、“瘦”防火墙来说，相当于这两种墙都有着自己的市场。随着技术的发展，“胖、瘦”防火墙将出现部分融合转化的趋势，而这种融合正是推动安全保障体系演进与安全产品形态演绎的重要力量。无论“胖”还是“瘦”，任何一种防火墙只是为网络通信或者是数据传输提供更有保障的安全性，但是我们也不能完全依赖于防火墙。防火墙技术更多是在对报文包头的处理，而IDS技术和防病毒技术更多是对报文负载的处理，VPN技术是加密流量，还需要Honeynet、Forensics技术等。用户的价值取向安全业界不断出现新的概念和新的产品，作为最终使用者和受益者—用户来说，在选购的时候难免会有困惑:该如何避免来自方方面面的暗示和诱导呢？恐怕明确需求，把握实际是唯一的选择。当然，在选择的过程中，专家和厂商的经验需要借鉴，也是必不可少的。通过不断地沟通和学习，企业对自身需求的理解和对安全的认识也会与时俱进的。选择防火墙，最为关键的自然是要了解自身的特点。以IT的眼光来看，信息安全的重要程度有两个层面，一个层面是指所有企业所共有的信息系统体系中，何者为重、何者次之；一个层面则是指具体到企业信息系统，也需要划分轻重缓急，在这个层面上主要表现为企业所属的行业所共有的特点。第一个层面与企业的发展。程度有关发展中的中小企业由于处于不稳定期，对企业发展最为重要的应该是业务信息资源（包括客户信息、技术信息、市场信息等），其次是财务信息，再次是其他信息。而处于稳定期的大中型企业，更重视企业的均衡发展，特别是注重以人为本的信息资源，对管理、流程、人事、企业文化的注重，将会接近对企业业务和财务信息的重视程度。第二个层面上的意义在于行业特点决定了信息安全系统的不同模式。防火墙做为一个网络安全设备，它必须与应用环境紧密地结合起来，其应用环境会变得更为全面与复杂，需要着重思考防火墙会用在什么环境中，这些应用环境又对防火墙提出了什么样的要求，因此防火墙市场会进一步细分。更值得关注的是，防火墙根据相应用户群的价格承受能力进行精致的定价。其中主打中小型企业市场的产品更强调性价比；从产品的角度讲，根据不同的产品系列、核心技术以及解决方案，同样会有相应细分的价格方案。用户可以在安全定制的基础上，实现“安全DIY”，只有理性、务实发展，才能成为市场上有竞争力的品牌。总结而言，我们进行安全规划的思路应该是这样一条线：确定企业自身特点—确定信息安全需求—确定企业所能负担的成本—确定各个层次的具体措施—将成本与实施手段挂钩—平衡信息安全需求与投入之间的差异—制订具体的实施计划—进行实施考察与调整。需求、成本、实施手段，一个都不能少。构建联动一体的体系没有绝对的“胖”和绝对的“瘦”，应该收敛目前市场上“胖防火墙”和“瘦防火墙”这两个极端观点。无论是“胖”防火墙的集成，还是“瘦”防火墙的联动，安全产品正在朝着体系化的结构发展，所谓“胖瘦”不过是这种体系结构的两种表现方式，“胖”将这种体系表现在一个产品中，而“瘦”将这种体系表现在一组产品或是说一个方案中。同时，这种体系化的结构需要非常完善的安全管理，也就是说，通过安全管理中心产品,整合系列安全产品，构架成联动和一体的产品体系,实现对用户、资源和策略的统一管理，确保整体解决方案的安全一致性，是构建网络安全系统的大趋势。防病毒软件2．1病毒是什么计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。与生物病毒一样，电脑病毒具有传染和破坏的作用；但是，与之不同的是，它不是天然存在的，而是一段比较精巧严谨的代码，按照严格的秩序组织起来，与所在的系统或网络环境相适应并与之配合，是人为特制的具有一定长度的程序。病毒的概念最早由冯·诺伊曼提出，当时并没有引起注意。1983年11月3日，FredCohen博士研制出一种在运行过程中可以复制自身的破坏性程序，LenAdleman将它命名为计算机病毒(computerviruses)，并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX11/750计算机系统上运行第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。1986年初，在巴基斯坦的Lahore，Basit和Amjad两兄弟编写了Pakistan病毒，即Brain。1988年3月2日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平”的信息，以庆祝苹果机的生日。1988年11月2日，美国6000多台计算机被病毒感染，造成Internet不能正常运行。这次事件中遭受攻击的包括5个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的25万台计算机，直接经济损失达9600万美元。1988年下半年，我国在统计局系统首次发现了“小球”病毒。计算机病毒的数目正以空前的速度增加着。1986年，世界上只有1种已知的计算机病毒；3年后，计算机病毒的数目达到6种；而到1990年，这一数字剧增至80种。在1990年11月以前，平均每个星期发现一种新的计算机病毒。现在，每天就会出现10～15种新病毒。实际上，从2021年12月～2021年2月，计算机病毒的总数从2.05万种激增至4.6万种。每当一种新的计算机技术广泛应用的时候，总会有相应的病毒随之出现。例如，随着微软宏技术的应用，宏病毒成了简单而又容易制作的流行病毒之一；配合主板BIOS升级技术，出现了第一款可以损坏硬件的CIH病毒；随着Internet网络的普及，各种蠕虫病毒如美丽莎、爱虫、SirCAM等疯狂传播。最近更产生了集病毒和黑客攻击于一体，通过80端口进行传播的“红色代码（CordRed）”病毒和Nimda病毒。2．2病毒的特征计算机病毒有以下明显的特征：1．传染性：病毒的基本特征。这是判别一个程序是否为计算机病毒的最重要条件。2．未经授权而执行：一般正常程序的目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，先于正常程序执行，其动作、目的对用户是未知的，是未经用户允许的。3．隐蔽性：病毒通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。4．潜伏性：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。这样它才可进行广泛地传播。如“PETER-2”在每年2月27日会提3个问题，答错后会将硬盘加密。著名的“黑色星期五”5．破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或发出音乐以及无聊的语句，有时根本没有任何破坏动作，但会占用系统资源。恶性病毒则有明确目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，对数据造成不可挽回的破坏。随着信息交换方式的改变，病毒的特性也在发生改变。例如，由于人们逐渐采用Windows和WindowsNT操作系统，十分依赖DOS操作系统的引导扇区病毒正走向没落。现在的病毒已经逐渐摆脱了平台依赖性，老的双态病毒和引导扇区病毒开始消亡。新病毒能够从Windows98移植到Windo