校园网络安全整体解决方案

园区网络安全整体解决方案设计戴彬彬计网0931书目第1章项目概述 31.1校内网网络环境

31.1.12：校内网网络平安需求 3第2章设计原则 42.1好用性与经济性 42.2扩展性与兼容性 42.3平安性与可维护性 52.4整合型好 6第3章需求分析 6第4章项目网络平安解决 64.1网络架构图 64.2网络病毒的防范 74.3防止IP、MAC地址的盗用 84.4平安事故发生时候，须要精确定位到用户 94.5用户上网时间的限制 94.6用户网络权限的限制 104.7各种网络攻击的有效屏蔽 104.8对DOS攻击，扫描攻击的屏蔽 144.9网络设备管理 14项目概述校内网网络环境

校内网的内部网一般由办公网、机房、教室等多个网络组成。接受三层核心交换机为这些网段供应VLAN划分，该交换机级连多个工作组级的交换机用于桌面工作站接入。同时三层核心交换机供应连接到教化网的WAN（10/100M）链路，作为校内网的外网出口。而且WWW、MAIL等服务器也干脆连接到了三层核心交换机中。校内网内部网运行着办公业务系统、多媒体教学等等多种业务系统。2：校内网网络平安需求

校内网网络平安系统是一个要求高牢靠性和平安性的网络系统，若干重要的公文信息在网络传输过程中不行泄露，假如数据被黑客修改或者删除，那么就会严峻的影响工作。所以校内网网络平安系统平安产品的选型事关重大，一旦被遭遇黑客攻击病毒的侵袭，将会给该学校正常的教学及业务带来严峻的影响。该校内网网络平安系统方案必需遵循如下原则：

全局性原则：平安威逼来自最薄弱的环节，必需从全局动身规划平安系统。设计时需考虑统一管理的原则。

综合性原则：网络平安不单靠技术措施，必需结合管理，当前我国发生的网络平安问题中，管理问题占相当大的比例，因此建立网络平安设施体系的同时必需建立相应的制度和管理体系。

均衡性原则：平安措施的实施必需以依据平安级别和经费限度统一考虑。网络中相同平安级别的保密强度要一样。

节约性原则：整体方案的设计应当尽可能的不变更原来网络的设备和环境，以免资源的奢侈和重复投资。设计原则好用性与经济性好用性就是能够最大限度地满足实际工作的要求，是每个系统平台在搭建过程中必需考虑的一种系统性能，它是对用户最基本的承诺。办公自动化硬件平台是为实际运用而建立，应避开过度追求超前技术而奢侈投资。扩展性与兼容性系统设计除了可以适应目前的应用须要以外，应充分考虑日后的应用发展须要，随着数据量的扩大，用户数的增加以及应用范围的拓展，只要相应的调整硬件设备即可满足需求。通过接受先进的存储平台，保证对海量数据的存取、查询以及统计等的高性能和高效率。同时考虑整个平台的统一管理，监控，降低管理成本平安性与可维护性随着应用的发展，系统须要处理的数据量将有较大的增长，并且将涉及到各类的关键性应用，系统的稳定性和平安性要求都相对较高，随意时刻系统的平安隐患都可能给用户带来不行估量的损失。网络平安应具有以下五个方面的特征：保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行变更的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求运用的特性。即当须要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；可控性：对信息的传播及内容具有限制实力。可审查性：出现的平安问题时供应依据与手段从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到爱护和限制，避开出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法限制等威逼，制止和防卫网络黑客的攻击。对平安保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避开机要信息泄露，避开对社会产生危害，对国家造成巨大损失。从社会教化和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必需对其进行限制。整合型好当前接受企业级的域限制管理模式，便利对全部学校内全部终端用户的管理，同时又可以将学校里计算机的纳入管理范围，极大地降低了网络维护量，并能整体提高当前网络平安管理！需求分析网络病毒的防范防止IP、MAC地址的盗用IP、MAC地址的盗用平安事故发生时候，须要精确定位到用户的缘由平安事故发生时候，不能精确定位到用户的影响学生用户上网时间的限制用户网络权限的限制各种网络攻击的有效屏蔽身份认证完整审计项目网络平安解决网络病毒的防范

病毒产生的缘由：某校内网很重要的一个特征就是用户数比较多，会有很多的PC机缺乏有效的病毒防范手段，这样，当用户在常见的访问INTERNET的时候，通过局域网共享文件的时候，通过U盘，光盘拷贝文件的时候，系统都会感染上病毒，当某个学生感染上病毒后，他会向校内网的每一个角落发送，发送给其他用户，发送给服务器。

病毒对校内网的影响：校内网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗，用户正常的网络访问得不到响应，办公允台不能运用；资源库、VOD不能点播；INTERNET上不了，学生、老师面临着看着丰富的校内网资源却不能运用的尴尬境地。

防止IP、MAC地址的盗用

IP、MAC地址的盗用的缘由：某校内网接受静态IP地址方案，假如缺乏有效的IP、MAC地址管理手段，用户可以随意的更改IP地址，在网卡属性的高级选项中可以随意的更改MAC地址。假如用户有意无意的更改自己的IP、MAC地址，会引起多方冲突，假如与网关地址冲突，同一网段内的全部用户都不能运用网络；假如恶意用户发送虚假的IP、MAC的对应关系，用户的大量上网数据包都落入恶意用户的手中，造成ARP欺瞒攻击。

IP、MAC地址的盗用对校内网的影响：在用户看来，校内网络是一个很不行靠是会给我带来很多麻烦的网络，因为大量的IP、MAC冲突的现象导致了用户常常不能运用网络上的资源，而且，用户在正常工作和学习时候，自己的电脑上会常常弹出MAC地址冲突的对话框。由于担忧一些机密信息比如银行卡账户、密码、邮箱密码泄漏，用户会尽量削减网络的运用，这样，学生、老师对校内网以及网络中心的信念会渐渐减弱，投入几百万的校内网也就不能充分发挥其服务于教学的作用，造成很大程度上的资源奢侈。平安事故发生时候，须要精确定位到用户

平安事故发生时候，须要精确定位到用户缘由：

国家的要求：2002年，朱镕基签署了282号令，要求各大INTERNET运营机构（包括高校）必须要保存60天的用户上网记录，以待相关部门审计。

校内网正常运行的需求：假如说不能精确的定位到用户，学生会在网络中肆无忌弹进行各种非法的活动，会使得校内网变成“黑客”消遣的天堂，更严峻的是，假如当某个学生在校外的某个站点发布了大量涉及政治的言论，这时候公安部门的网络信息平安监察科找到我们的时候，我们无法处理，学校或者说网络中心只有替学生背这个黑锅。平安事故发生时候，不能精确定位到用户的影响：

一旦发生这种涉及到政治的平安事情发生后，很简洁在社会上广泛传播，上级主管部门会对学校做出处理；同时也会大大降低学校在社会上的影响力，降低家长、学生对学校的满足度，对以后学生的招生也是大有影响的。用户上网时间的限制

无法限制学生上网时间的影响：假如缺乏有效的机制来限制用户的上网时间，学生可能会利用一切机会上网，会旷课。学生家长会对学校产生剧烈的不满，会认为学校及其的不负责任，不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。用户网络权限的限制

在校内网中，不同用户的访问权限应当是不一样的，比如学生应当只能够访问资源服务器，上网，不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此，须要对用户网络权限进行严格的限制。各种网络攻击的有效屏蔽

校内网中常见的网络攻击比如MACFLOOD、SYNFLOOD、DOS攻击、扫描攻击、ARP欺瞒攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文，这些攻击的存在，会扰乱网络的正常运行，降低了校内网的效率。

平安到边缘的设计思想

用户在访问网络的过程中，首先要经过的就是交换机，假如我们能在用户试图进入网络的时候，也就是在接入层交换机上部署网络平安无疑是达到更好的效果。全局平安的设计思想

锐捷网络提倡的是从全局的角度来把控网络平安，平安不是某一个设备的事情，应当让网络中的全部设备都发挥其平安功能，相互协作，形成一个全民皆兵的网络，最终从全局的角度把控网络平安。全程平安的设计思想

用户的网络访问行为可以分为三个阶段，包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段，都应当有严格的平安限制措施。某校内网网络平安方案

锐捷网络结合SAM系统和交换机嵌入式平安防护机制设计的特点，从三个方面实现网络平安：事前的精确身份认证、事中的实时处理、事后的完整审计。事前的身份认证

对于每一个须要访问网络的用户，我们须要对其身份进行验证，身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间，通过以上信息的绑定，可以达到如下的效果：

每一个用户的身份在整个校内网中是唯一，避开了个人信息被盗用.

当平安事故发生的时候，只要能够发觉肇事者的一项信息比如IP地址，就可以精确定位到该用户，便于事情的处理。

只有经过网络中心授权的用户才能够访问校内网，防止非法用户的非法接入，这也切断了恶意用户企图向校内网中传播网络病毒、黑客程序的通道。

网络攻击的防范

1、常见网络病毒的防范

对于常见的比如冲击波、振荡波等对网络危害特殊严峻的网络病毒，通过部署扩展的ACL，能够对这些病毒所运用的TCP、UDP的端口进行防范，一旦某个用户不当心感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了校内网网络带宽的合理运用。

2、未知网络病毒的防范

对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽限制功能，为不同的网络应用安排不同的网络带宽，保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽，当新的病毒产生时，不会影响到主要网络应用的运行，从而保证了网络的高可用性。

3、防止IP地址盗用和ARP攻击

通过对每一个ARP报文进行深度的检测，即检测ARP报文中的源IP和源MAC是否和端口平安规则一样，假如不一样，视为更改了IP地址，全部的数据包都不能进入网络，这样可有效防止平安端口上的ARP欺瞒，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。

4、防止假冒IP、MAC发起的MACFlood\SYNFlood攻击

通过部署IP、MAC、端口绑定和IP+MAC绑定（只需简洁的一个吩咐就可以实现）。并实现端口反查功能，追查源IP、MAC访问，追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击，进一步增加网络的平安性。

5、非法组播源的屏蔽

锐捷产品均支持IMGP源端口检查，实现全网杜绝非法组播源，指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时，从任何端口进入的视频流均是合法的，交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机把它们转发向已注册的端口；而从非路由连接口进入的视频流被视为是非法的，将被丢弃。锐捷产品支持IGMP源端口检查，有效限制非法组播，实现全网杜绝非法组播源，更好地提高了网络的平安性和全网的性能，同时可以有效杜绝以组播方式的传播病毒.在校内网流媒体应用多元化和潮流下具有明显的优势，而且也是网络带宽合理的安排所必需的。同时IGMP源端口检查，具有效率更高、配置更简洁、更加好用的特点，更加适用于校内运营网络大规模的应用环境。对DOS攻击，扫描攻击的屏蔽

通过在校内网中部署防止DOS攻击，扫描攻击，能够有效的避开这二种攻击行为，节约了网络带宽，避开了网络设备、服务器遭遇到此类攻击时导致的网络中断。

事后的完整审计

当用户访问完网络后，会保存有完备的用户上网日志纪录，包括某个用户名，运用那个IP地址，MAC地址是多少，通过那一台交换机的哪一个端口，什么时候起先访问网络，什么时候结束，产生了多少流量。假如平安事故发生，可以通过查询该日志，来唯一的确定该用户的身份，便于了事情的处理。

网络设备管理

网络设备的管理通过STARVIEW实现，主要供应以下功能，这些功能也是我们常见的解决问题的思路：

1、网络现状及故障的自动发觉和了解

STARVIEW能自动发觉网络拓扑结构，让网络管理员对整个校内网了如指掌，对于用户私自挂接的HUB、交换机等设备能刚好地发觉，提前消退各种平安隐患。

对于网络中的异样故障，比如某台交换机的CPU利用率过高，某条链路上的流量负载过大，STARVIEW都可以以不同的颜色进行显示，便利管理员刚好地发觉网络中的异样状况。2、网络流量的查看

STARVIEW在网络初步异样的状况下，能进一步的察看网络中的具体流量，从而为网络故障的定位供应了丰富的数据支持。3、网络故障的信息自动报告

STARVIEW支持故障信息的自动告警，当网络设备出现故障时，会通过TRAP的方式进行告警，网络管理员的界面上能看到各种故障信息，这些信息同样为管理员的故障解除供应了丰富的信息。

4、设备面板管理

STARVIEW的设备面板管理能够很清晰的看到校内中设备的面板，包括端口数量、状态等等，同时可以很便利的登陆到设备上，进行配置的修改，完善以及各种信息的察看。

5、RGNOS操作系统的批量升级

校内网很大的一个特点就是规模大，须要运用大量的接入层交换机，假如须要对这些交换机进行升级，一台一台的操作，会给管理员的工作带来很大的压力，STARVIEW供应的操作系统的批量升级功能，能够很便利的一次对全部的相同型号的交换机进行升级，加大的较少了网络管理员的工作量。网络故障管理

随着校内网用户数的增多，尤其是宿舍网运营的起先，用户网络故障的解除会成为校内网管理工作的重点和难点，传统的网络故障解决方式主要是这样一个流程：2.6流量管理系统设计

网络中的流量状况是网络是否正常的关键，网络中大量的P2P软件的运用，已经对各种网络业务的正常开展产生了特别严峻的影响，有的学校甚至因为P2P软件的泛滥，干脆导致了网络出口的瘫痪。

方案一：传统的流量管理方案

传统的流量管理方案的做法很多就是简洁的封堵这些P2P软件，从而达到限制流量的目的，这有三大弊端，

第一：这些软件之所以有如此强大的生命力，是因为用户通过运用这些软件的确能快速的获得各种有用的资源，假如简洁的通过禁止的方式，用户的看法会特别的大，同时，各种有用的资源我们很难获得。

其次：各种新型的，对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺，魔高一丈，一味的封堵这些软件，我们恒久处于被动的局面，明显不能从根本上解决这个问题。

第三：我们无法获得网络中的流量信息，无法为校内网的优化，网络管理，网络故障预防和解除供应数据支撑。

2.6.2方案二：锐捷的流量管理与限制方案

锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。

NTD是锐捷流量管理解决方案的重要组成部分，我们希望能为用户供应一种流量限制和管理的方法而不单纯是流量计费，锐捷的流量管理方案有三大功能：

第一：为SAM系统对用户进行流量计费供应原始数据，这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求，经济条件好一点，可以多用点流量，提高了用户的满足度。而且，对于以后新出现的功能更加强大的下载软件，都不必担忧用户随意运用造成带宽拥塞。

其次：供应日志审计和带宽管理功能，通过NTD、SAM、日志系统的结合，能够做到基于用户身份对用户进行管理，做到将用户名、源IP、目的IP干脆关联，通过目的IP，可以干脆定位到用户名，平安事务处理起来特别的便利，同时还能供应P2P的限速，带宽管理等功能，这一部分的功能我们会在明年4月份供应。

第三：能够对网络中的各种流量了如指掌，可以对用户常常访问的资源进行分析对比，为应用系统的建设、服务器的升级改造供应数据支持；能够刚好的发觉网络中的病毒、恶意流量，从而进行有效的防范，结合认证计费系统SAM，能够捕获到事务源头，并于做出处理。

总体来说，流量限制和管理和日志系统的整体解决方案对于校内网的长期健康可持续发展是很有帮助的。网络防火墙设计中的问题方案：硬件？还是软件？

现在防火墙的功能越来越多越花哨，如此多的功能必定要求系统有一个高效的处理实力。

防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint公司的Firewall-I为代表，其实现是通过dev_add_pack的方法加载过滤函数（Linux，其他操作系统没有作分析，估计类似），通过在操作系统底层做工作来实现防火墙的各种功能和优化。国内也有一些所谓的软件防火墙，但据了解大多是所谓“个人”防火墙，而且功能及其有限，故不在此探讨范围。在国内目前已通过公安部检验的防火墙中，硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计，典型如Netscreen防火墙不但软件部分单独设计，硬件部分也接受特地的ASIC集成电路。另外一种就是基于PC架构的运用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大多数防火墙都属于这种类型。虽然都号称硬件防火墙，国内厂家和国外厂家还是存在着巨大区分。硬件防火墙须要在硬件和软件两方面同时下功夫，国外厂家的通常做法是软件运算硬件化，其所设计或选用的运行平台本身的性能可能并不高，但它将主要的运算程序（查表运算是防火墙的主要工作）做成芯片，以削减主机CPU的运算压力。国内厂家的防火墙硬件平台基本上接受通用PC系统或工业PC架构（干脆缘由是可以节约硬件开发成本），在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理实力，增大内存容量而已。现在国内防火墙的一个典型结构就是：工业主板+x86+128（256）M内存+DOC/DOM+硬盘（或不要硬盘而另增加一个日志服务器）+百兆网卡这样一个工业PC结构。在软件性能方面，国内外厂家的差别就更大了，国外（一些闻名）厂家均是接受专用的操作系统，自行设计防火墙。而国内全部厂家操作系统系统都是基于通用的Linux，无一例外。各厂家的区分仅仅在于对Linux系统本身和防火墙部分（2.2内核为ipchains，2.4以后内核为netfilter）所作的改动量有多大。

事实上，Linux只是一个通用操作系统，它并没有针对防火墙功能做什么优化，而且其处理大数据量通信方面的实力始终并不突出，甚至比较低下（这也是Linux始终只是低端服务器的宠儿的重要缘由，我自己认为，在这一点上它还不如BSD系列，据说国外有用BSD做防火墙的，国内尚未见到）。现在绝大部分厂家，甚至包括号称国内最大的天融信，在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动（绝大部分还是没有什么改动）和少量的系统补丁。而且我们在分析各厂家产品时可以留意这一点，假如哪个厂家对系统本身做了什么大的改动，它确定会把这个视为一个重要的卖点，大吹特吹，缺憾的是好像还没有什么厂家有实力去做宣扬（天融信好像有一个类似于checkpoint的功能：开放式的平安应用接口TOPSEC，但它原委做了多少工作，还须要去细致了解）。

目前国内厂家也已经相识到这个问题，有些在做一些底层的工作，但有明显成效的，好像还没有。在此我们仅针对以Linux（或其他通用操作系统）为基础的、以PC架构为硬件载体的防火墙做探讨，以下如不特殊提出，均同。

2．内核和防火墙设计

现在有一种商业卖点，即所谓“建立在平安操作系统之上的第四代防火墙”（关于防火墙分代的问题，目前有很多探讨，比较一样的是把包过滤防火墙称为第一代防火墙，把应用型防火墙（一般结合了包过滤功能，因此也成为混合型防火墙）称为其次代防火墙，有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙，更有甚者在此基础上提出了接受平安操作系统的防火墙，并把这个称为第四代防火墙）。所谓平安操作系统，其实大多用的还是Linux，所不同的是须要做一些内核加固和简洁改造的工作，主要有以下：取消危急的系统调用，或者截获系统调用，稍加改动（如加载一些llkm）；

限制吩咐执行权限；

取消IP转发功能；

检查每个分组的接口；

接受随机连接序号；

驻留分组过滤模块；

取消动态路由功能；

接受多个平安内核（这个只见有人提出，但未见到实例，对此不是很清晰）。

以上诸多工作，其实基本上都没有对内核源码做太大改动，因此从个人角度来看算不上可以太夸大的地方。

对于防火墙部分，国内大部分已经升级到2.4内核所支持的filter已经是一个功能比较完善的防火墙框架，它已经支持基于状态的监测（通过connectiontrack模块实现）。而且netfilter是一个设计很合理的框架，可以在适当的位置上登记一些须要的处理函数，正式代码中已经登记了很多处理函数，如在NF_IP_FORWARD点上登记了装发的包过滤功能（包过滤等功能便是由这些正式登记的函数实现的）。我们也可以登记自己的处理函数，在功能上作扩展（如加入简洁的IDS功能等等）。这一点是国内厂家可以做文章的地方，至于netfilter源码的修改，对国内厂家来说好像不太现实。

至于接受其它防火墙模型的，目前还没有看到（可能是netfilter已经设计的很胜利，不须要我们再去做太多工作）。

3．自我爱护实力（平安性）

由于防火墙的特殊功能和特殊位置，它自然是众多攻击者的目标，因此它的自我包括实力在设计过程中应当放在首要的位置。

A．管理上的平安性

防火墙须要一个管理界面，而管理过程如何设计的更平安，是一个很重要的问题。目前有两种方案。

a．设置特地的服务端口

为了削减管理上的风险和降低设计上的难度，有一些防火墙（如东方龙马）在防火墙上专门添加了一个服务端口，这个端口只是用来和管理主机连接。除了专用的服务口外，防火墙不接受来自任何其它端口的干脆访问。这样做的显著特点就是降低了设计上的难度，由于管理通信是单独的通道，无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信，平安性明显很高，而且设计时也无需考虑通信过程加密的问题。

然而这样做，我们须要单独设置一台管理主机，明显太过奢侈，而且这样管理起来的敏捷性也不好。

b．通信过程加密

这样无需一个特地的端口，内网随意一台主机都可以在适当的状况下成为管理主机，管理主

机和防火墙之间接受加密的方式通信。

目前国内有接受的是运用自定义协议、一次性口令认证。对加密这个领域了解不多，不做具体探讨。

B．对来自外部（和内部）攻击的反应实力

目前常见的来自外部的攻击方式主要有：

a．DOS（DDOS）攻击

（分布式）拒绝服务攻击是目前一种很普遍的攻击方式，在预防上也是特别困难的。目前防火墙对于这种攻击好像没有太多的解决方法，主要是提高防火墙本身的健壮性（如增加缓冲区大小）。在Linux内核中有一个防止Synflooding攻击的选项：CONFIG_SYN_COOKIES，它是通过为每一个Syn建立一个缓冲（cookie）来辨别可信恳求和不行信恳求。另外对于ICMP攻击，可以通过关闭ICMP回应来实现。

b．IP假冒（IPspoofing）

IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。

第一，防火墙设计上应当知道网络内外的IP地址安排，从而丢弃全部来自网络外部但却有内部地址的数据包。实际实现起来特别简洁，只要在内核中打开rp_filter功能即可。

其次，防火墙将内网的实际地址隐藏起来，外网很难知道内部的IP地址，攻击难度加大。IP假冒主要来自外部，对内网无需考虑此问题（其实同时内网的IP假冒状况也可以得到遏制）。

c．特洛伊木马

防火墙本身预防木马比较简洁，只要不让系统不能执行下载的程序即可。

一个须要说明的地方是必需指出的是，防火墙能抗特洛伊木马的攻击并不意味着内网主机也能防止木马攻击。事实上，内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的平安性仍旧须要主机自己解决（防火墙只能在内网主机感染木马以后起确定的防范作用）。

d．口令字攻击

口令字攻击既可能来自外部，也可能来自内部，主要是来自内部。（在管理主机与防火墙通过单独接口通信的状况下，口令字攻击是不存在的）来自外部的攻击即用穷举的方法揣测防火墙管理的口令字，这个很简洁解决，只要不把管理部分供应应外部接口即可。

内部的口令字攻击主要是穷举和嗅探，其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字，假如口令字已加密，则解密得到口令字。目前一般接受一次性口令和禁止干脆登录防火墙的措施来防止对口令字的攻击。

e．邮件诈骗

邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗特别简洁，不接收任何邮件就可以了。然而象木马攻击一样，内网主机仍可收发邮件，邮件诈骗的危急仍旧存在，其解决方法一个是内网主机本身实行措施防止邮件诈骗，另一个是在防火墙上做过滤。

f．对抗防火墙（anti-firewall）

目前一个网络平安中一个探讨的热点就是对抗网络平安产品如防火墙。一种是分析防火墙功能和探测防火墙内部网络结构，典型的如Firewalk。另外有一些其他的网络平安性分析工具本身具有双刃性，这类工具用于攻击网络，也可能会很有效的探测到防火墙和内部网络的平安缺陷，典型的如SATAN和ISS公司的InternetSecurityScanner。目前对于这种探测（攻击）手段，尚无有效的预防措施，因为防火墙本身是一个被动的东西，它只能靠隐藏内部网络结构和提高自身的平安性来对抗这些攻击。

C．透亮代理的接受

应用代理防火墙一般是通过设置不同用户的访问权限来实现，这样就须要有用户认证体系。以前的防火墙在访问方式上主要是要求用户登录进系统（假如接受sock代理的方式则须要修改客户应用）。透亮代理的接受，可以降低系统登录固有的平安风险和出错概率，从而提高了防火墙的平安性。

4．透亮性

防火墙的透亮性指防火墙对于用户是透亮的，在防火墙接入网络时，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。

防火墙作为一个实际存在的物理设备，要想放入已存在地网络中又不对网络有任何影响，就必需以网桥的方式置入网络。传统方式下，防火墙安装时，更象是一台路由器或者网关，原有网络拓扑结构往往须要变更，网络设备（包括主机和路由器）的设置（IP和网关、DNS、路由表等等）也须要变更。但假如防火墙接受了透亮模式，即接受类似网桥的方式运行，用户将不必重新设定和修改路由，也不须要知道防火墙的位置，防火墙就可以干脆安装和放置到网络中运用。

透亮模式最大的好处在于现有网络无需做任何改动，这就便利了很多客户，再者，从透亮模式转换到非透亮模式又很简洁，适用性明显较广。当然，此时的防火墙仅仅起到一个防火墙的作用，其他网关位置的功能如NAT、VPN功能不再适用，当然，其他功能如透亮代理还可以接着运用。目前透亮模式的实现上可接受ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网（可以仍含有路由器或子网，依次类推）、防火墙、路由器的位置大致如下：

内网―――――防火墙―――――路由器（须要说明的是，这种方式是绝大多数校内网级网络的实现方式）内网主机要想实现透亮访问，必需能够透亮的传送内网和路由器之间的ARP包，而此时由于事实上内网和路由器之间无法连通，防火墙就必需配置成一个ARP代理（ARPProxy）在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时，防火墙用和路由器相连接口的MAC地址回送ARP包；内网内某一主机发送ARP广播包询问路由器的硬件地址时，防火墙用和内网相连接口的MAC地址回送ARP包，因此路由器和内网主机都认为将数据包发给了对方，而事实上是发给了防火墙转发。

明显，此时防火墙还必需实现路由转发，使内外网之间的数据包能够透亮的转发。另外，防火墙要起到防火墙的作用，明显还须要把数据包上传给本身应用层处理（此时实现应用层代理、过滤等功能），此时须要端口转发来实现（？这个地方不是特别清楚，也没找到相关资料）。透亮模式和非透亮模式在网络拓扑结构上的最大区分就是：透亮模式的两块网卡（与路由器相连的和与内网相连的）在一个网段（也和子网在同一个网段）；而非透亮模式的两块网卡分别属于两个网段（内网可能是内部不行路由地址，外网则是合法地址）。

这个过程如下：

1.用ARP代理实现路由器和子网的透亮连接（网络层）

2.用路由转发在IP层实现数据包传递（IP层）

3.用端口重定向实现IP包上传到应用层（IP层）

前边我们探讨过透亮代理，和这里所说的防火墙的透亮模式是两个概念。透亮代理主要是为实现内网主机可以透亮的访问外网，而无需考虑自己是不行路由地址还是可路由地址。内网主机在运用内部网络地址的状况下仍旧可以运用透亮代理，此时防火墙既起到网关的作用又起到代理服务器的作用（明显此时不是透亮模式）。

须要澄清的一点是，内外网地址的转换（即NAT，透亮代理也是一种特殊的地址转换）和透亮模式之间并没有必定的联系。透亮模式下的防火墙能实现透亮代理，非透亮模式下的防火墙（此时它必定又是一个网关）也能实现透亮代理。它们的共同点在于可以简化内网客户的设置而已。

目前国内大多防火墙都实现了透亮代理，但实现了透亮模式的并不多。这些防火墙可以很明显的从其广告中看出来：假如哪个防火墙实现了透亮模式，它的广告中确定会和透亮代理区分开而大书特书的。

5．牢靠性

防火墙系统处于网络的关键部位，其牢靠性明显特别重要。一个故障频频、牢靠性很差的产品明显不行能让人放心，而且防火墙居于内外网交界的关键位置，一旦防火墙出现问题，整个内网的主机都将根本无法访问外网，这甚至比路由器故障（路由器的拓扑结构一般都是冗余设计）更让人无法承受。

防火墙的牢靠性也表现在两个方面：硬件和软件。

国外成熟厂商的防火墙产品硬件方面的牢靠性一般较高，接受特地硬件架构且不必多说，接受PC架构的其硬件也多是特地设计，系统各个部分从网络接口到存储设备（一般为电子硬盘）集成在一起（一块板子），这样自然提高了产品的牢靠性。

国内则明显参差不齐，大相径庭，大多干脆运用PC架构，且多为工业PC，接受现成的网卡，DOC/DOM作为存储设备。工业PC虽然牢靠性比一般PC要高不少，但是终归其仍旧是拼凑式的，设备各部分分立，从牢靠性的角度看明显不如集成的（闻名的水桶原理）。

国内已经有部分厂家意识到了这个问题，起先自行设计硬件。但大多数厂家还是从成本的角度考虑运用通用PC架构。

另外一方面，软件牢靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的牢靠性体系还没有成熟，软件牢靠性测试大多处于极其初级的水平（牢靠性测试和bug测试完全是两个概念）。一方面是牢靠性体系建立不起来，一方面是为了迎合用户的需求和跟随网络应用的不断发展，多数防火墙厂商始终处于不断的扩充和修改中，其牢靠性更不能让人恭维。

总的来说，犹如国内大多数行业（除了少数如航天、航空）一样，网络平安产品特殊是防火墙的牢靠性好像还没有引起人们的重视。6．市场定位

市场上防火墙的售价极为悬殊，从数万元到数十万元，甚至到百万元不等。由于用户数量不同，用户平安要求不同，功能要求不同，因此防火墙的价格也不尽相同。厂商因而也有所区分，多数厂家还推出模块化产品，以符合各种不同用户的要求。

总的说来，防火墙是以用户数量作为大的分界线。如checkpoint的一个报价：

CheckPointFirewall-14.125user19000.00

CheckPointFirewall-14.150user31000.00

CheckPointFirewall-14.1100user51000.00

CheckPointFirewall-14.1250user64000.00

CheckPointFirewall-14.1无限用户131000.00

从用户量上防火墙可以分为：

a．10－25用户：

这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10M（针对硬件防火墙而言），两网络接口，涵盖防火墙基本功能：包过滤、透亮模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能：VPN、带宽管理等等。这个区间的防火墙报价一般在万元以上2万元以下（没有VPN和带宽管理的价格更低）。

据调查，这个区间的防火墙反而种类不多，或许是国内厂商不屑于这个市场的原因？

b．25－100用户

这个区间用户主要为小型企业网。防火墙起先升级到100M，三或更多网络接口。VPN、带宽管理往往成为标准模块。这个区间的防火墙报价从3万到15万不等，依据功能价格有较大区分。相对来说，这个区间上硬件防火墙价格明显高于软件防火墙。目前国内防火墙绝大部分集中在这个区间中。

c．100－数百用户

这个区间主要为中型企业网，重要网站、ISP、ASP、数据中心等运用。这个区间的防火墙较多考虑高容量、高速度、低延迟、高牢靠性以及防火墙本身的健壮性。并且起先支持双机热备份。这个区间的防火墙报价一般在20万以上。这样的中高端防火墙国内较少，有也是25－100用户的升级版，其可用性令人怀疑。

d．数百用户以上

这个区间是高端防火墙，主要用于校内网、大型IDC等等。我们接触较少，不多做探讨。当然其价格也很高端，从数十万到数百万不等。

总的来说，防火墙的价格和用户数量、功能模块亲密相关，在用户数量相同的状况下，功能越多，价格就越贵。如Netscreen的百兆防火墙：NetScreen-100f(ACPower)-带防火墙+流量限制等功能,沟通电源,没有VPN功能报价在￥260,000而在此基础上增加了128位VPN功能的报价则高出5万元：￥317,500

7．研发费用

犹如其他网络平安产品一样，防火墙的研发费用也是很高的。防火墙由于技术含量较高，人员技术储备要求较高，防火墙核心部分的研发必须要对操作系统有相当的熟识，所需为UNIX系统下开发人员，而目前国内真正能拿的出手的UNIX程序员数量还是太少（远远少于Windows平台下开发人员），人员成本很高。总的来说，防火墙的研发是一个大项目，而且其前期定位确定要精确，该做什么、不该做什么，哪些功能得实现，哪些功能不必实现、哪些功能可以在后期实现，确定要清晰，否则费用会远远超出预料。下边对一个中小型企业级防火墙的研发费用作个简洁的估计。研发时，防火墙可以细分为（当然在具体操作时往往须要再具体划分）：

内核模块

防火墙模块（含状态检测模块）

NAT模块

带宽管理模块

通信协议模块

管理模块

图形用户界面模块（或者Web界面模块）

透亮代理模块（实质属于NAT模块）

透亮模式模块（包括ARP代理子模块、路由转发子模块等）

各应用代理模块（包括URL过滤模块）

VPN模块

流量统计与计费模块

审计模块

其他模块（如MAC、IP地址绑定模块、简洁的IDS、自我爱护等等）

上边把防火墙划分为12个模块，其中每一个模块都有相当的工作量要做，除了弹性较大的内核模块和防火墙模块（它们的工作量可能异样的大，视设计目标不同），其他模块暂定10人周的话就须要120周（VPN的工作量也相当大），两个主模块各按20人周计算，防火墙实现总共须要150人周。加上前期10－15人周论证、定方案，后期20人周（保守数字）集成、测试，前后总共须要约210人周。按每人周1200元开发费用（折合工资5000月，但由于有运行费用、保险等费用摊分，个人工资应远低于这个数字），开发费用约需25万。

明显，这个数字只是一个局外人估计的下限，实际的研发应当超出这个数字很多。

8．可升级实力（适用性）和敏捷性

对用户来说，防火墙作为大成本投入的商品，势必要考虑到可升级性的问题，假如防火墙不能升级，那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的，这是因为大多数防火墙接受电子硬盘（少数接受磁盘），实现升级功能只要很小的工作量要做。但原委升级些什么内容？升级周期多长一次？这就涉及到一个敏捷性的问题。

防火墙的敏捷性主要体现在以下几点：

a．易于升级

b．支持大量协议

c．易于管理（如纳入通用设备管理体系（支持SNMP）而不是单列出来）

d．功能可扩展

这里对功能可扩展做一简洁探讨。一般状况下，防火墙在设计完成以后，其过滤规则都是定死的，用户可定制的余地很小。特殊如URL过滤规则（对支持URL过滤的防火墙而言），当前网络中的漏洞是不断发觉的，如最近很猖獗的codered攻击的就是Windows机器IIS服务器的ida漏洞，而我们假如能够刚好定义过滤规则，对于“GET/default.ida”的恳求刚好过滤，那么内网主机（此时一般为DMZ内主机）的平安性就会高很多，内网管理人员也不必时时亲密关注网络漏洞（这是个工作量很大，既耗费体力又简洁出现遗漏的工作）。这样大部分工作留给防火墙厂家来做（相应须要有一个漏洞监测体系），用户确定会满足很多。另外，敏捷性一起先也往往不是前期设计所能设计的很完备的，它须要和用户具体实践相协作。另外敏捷性也是和具体环境亲密结合的，往往须要在不同的用户环境里考虑。如何构建网络整体平安方案整体的平安方案分成技术方案、服务方案以及支持方案三部分。一、技术解决方案平安产品是网络平安的基石，通过在网络中安装确定的平安设备，能够使得网络的结构更加清晰，平安性得到显著增加;同时能够有效降低平安管理的难度，提高平安管理的有效性。下面介绍在局域网中增加的平安设备的安装位置以及他们的作用。1、防火墙安装位置：局域网与路由器之间;WWW服务器与托管机房局域网之间;局域网防火墙作用：(1)实现单向访问，允许局域网用户访问INTERNET资源，但是严格限制INTERNET用户对局域网资源的访问;(2)通过防火墙，将整个局域网划分INTERNET，DMZ区，内网访问区这三个逻辑上分开的区域，有利于对整个网络进行管理;(3)局域网全部工作站和服务器处于防火墙地整体防护之下，只要通过防火墙设置的修改，就能有限绝大部分防止来自INTERNET上的攻击，网络管理员只须要关注DMZ区对外供应服务的相关应用的平安漏洞;(4)通过防火墙的过滤规则，实现端口级限制，限制局域网用户对INTERNET的访问;(5)进行流量限制，确保重要业务对流量的要求;(6)通过过滤规则，以时间为限制要素，限制大流量网络应用在上班时间的运用。托管机房防火墙的作用：(7)通过防火墙的过滤规则，限制INTERNET用户对WWW服务器的访问，将访问权限限制在最小的限度，在这种状况下，网络管理员可以忽视服务器系统的平安漏洞，只须要关注WWW应用服务软件的平安漏洞;(8)通过过滤规则，对远程更新的时间、来源(通过IP地址)进行限制。2、入侵检测安装位置：局域网DMZ区以及托管机房服务器区;IDS的作用：(1)作为旁路设备，监控网络中的信息，统计并记录网络中的异样主机以及异样连接;(2)中断异样连接;(3)通过联动机制，向防火墙发送指令，在限定的时间内对特定的IP地址实施封堵。3、网络防病毒软件限制中心以及客户端软件安装位置：局域网防病毒服务器以及各个终端防病毒服务器作用：(1)作为防病毒软件的限制中心，刚好通过INTERNET更新病毒库，并强制局域网中已开机的终端刚好更新病毒库软件;(2)记录各个终端的病毒库升级状况;(3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。防病毒客户端软件的作用：(4)对本机的内存、文件的读写进行监控，依据预定的处理方法处理带毒文件;(5)监控邮件收发软件，依据预定处理方法处理带毒邮件;4、邮件防病毒服务器安装位置：邮件服务器与防火墙之间邮件防病毒软件：对来自INTERNTE的电子邮件进行检测，依据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括全部来自INTERNET的电子邮件以及所属附件(对于压缩文件同样也进行检测)5、反垃圾邮件系统安装位置：同邮件防病毒软件，假如软硬件条件允许的话，建议安装在同一台服务器上。反垃圾邮件系统作用：(1)拒绝转发来自INTERNET的垃圾邮件;(2)拒绝转发来自局域网用户的垃圾邮件并将发垃圾邮件的局域网用户的IP地址通过电子邮件等方式通报网管;(3)记录发垃圾邮件的终端地址;(4)通过电子邮件等方式通知网管垃圾邮件的处理状况。6、动态口令认证系统安装位置：服务器端安装在WWW服务器(以及其他须要进行口令加强的敏感服务器)，客户端配置给网页更新人员(或者服务器授权访问用户);动态口令认证系统的作用：通过定期修改密码，确保密码的不行揣测性。7、网络管理软件安装位置：局域网中。网络管理软件的作用：(1)收集局域网中全部资源的硬件信息;(2)收集局域网中全部终端和服务器的操作系统、系统补丁等软件信息;(3)收集交换机等网络设备的工作状况等信息;(4)推断局域网用户是否运用了MODEM等非法网络设备与INTERNET连接;(5)显示实时网络连接状况;(6)假如交换机等核心网络设备出现异样，刚好向网管中心报警;8、QOS流量管理安装位置：假如是特地的产品安装在路由器和防火墙之间;部分防火墙本身就有QOS带宽管理模块。QOS流量管理的作用：(1)通过IP地址，为重要用户安排足够的带宽;(2)通过端口，为重要的应用安排足够的带宽资源;(3)限制非业务流量的带宽;(4)在资源闲置时期，允许其他人员运用资源，一旦重要用户或者重要应用须要运用带宽，则确保它们能够至少运用安排给他们的带宽资源。9、重要终端个人防护软件安装位置：重要终端个人防护软件的作用：(1)爱护个人终端不受攻击;(2)不允许任何主机(包括局域网主机)非授权访问重要终端资源;(3)防止局域网感染病毒主机通过攻击的方式感染重要终端。10、页面防篡改系统安装位置：WWW服务器页面防篡改系统的作用：(1)定期比对发布页面文件与备份文件，一旦发觉不匹配，用备份文件替换发布文件;(2)通过特殊的认证机制，允许授权用户修改页面文件;(3)能够对数据库文件进行比对。二、平安服务解决方案在平安服务方案中，接受不同的平安服务，定期对网络进行检测、改进，以达到动态增进网络平安性，最大限度发挥平安设备作用的目的。平安服务分为以下几类：1、网络拓扑分析服务对象：整个网络服务周期：半年一次服务内容：(1)依据网络的实际状况，绘制网络拓扑图;(2)分析网络中存在的平安缺陷并提出整改建议看法。服务作用：针对网络的整体状况，进行总体、框架性分析。一方面，通过网络拓扑分析，能够形成网络整体拓扑图，为网络规划、网络日常管理等管理行为供应必要的技术资料;另一方面，通过整体的平安性分析，能够找出网络设计上的平安缺陷，找到各种网络设备在协同工作中可能产生的平安问题。2、中心机房管理制度制订以及修改服务对象：中心机房服务周期：半年一次服务内容：帮助用户制订并修改机房管理制度。制度内容涉及人员进出机房的登记制度、设备进出机房的登记制度、设备配置修改的登记制度等。服务作用：严格限制中心机房的人员进出、设备进出并刚好登记设备的配置更新状况，有助于网络核心设备的监控，确保网络的正常运行。3、操作系统补丁升级服务对象：服务器、工作站、终端服务周期：不定期服务内容：(1)一旦出现重大平安补丁，刚好更新全部相关系统;(2)出现大型补丁(如微软的SP)，刚好更新全部相关系统;服务作用：通过刚好、有效的补丁升级，能够有效防止局域网主机和服务器相互之间的攻击，降低现代网络蠕虫病毒对网络的整体影响，增加网络带宽的有效利用率。4、防病毒软件病毒库定期升级服务对象：防病毒服务器、安装防病毒客户端的终端服务周期：每周一次服务内容：(1)防病毒服务器通过INTERNET更新病毒库;(2)防病毒服务器强制全部在线客户端更新病毒库;服务作用：通过不断升级病毒库确保防病毒软件能够刚好发觉新的病毒。5、服务器定期扫描、加固服务对象：服务器服务周期：半年一次服务内容：运用专用的扫描工具，在用户网络管理人员的协作，对主要的服务器进行扫描。服务作用：(1)找出对应服务器操作系统中存在的系统漏洞;(2)找出服务器对应应用服务中存在的系统漏洞;(3)找出平安强度较低的用户名和用户密码。6、防火墙日志备份、分析服务对象：防火墙设备服务周期：一周一次服务内容：导出防火墙日志并进行分析。服务作用：通过流量简图找出流量异样的时间段，通过检查流量较大的主机，找出局域网中的异样主机。7、入侵检测等平安设备日志备份服务对象：入侵检测等平安设备服务周期：一周一次服务内容：备份平安设备日志。服务作用：防止日志过大导致检索、分析的难度，另一方面也有利于事后的检查。8、服务器日志备份服务对象：主要服务器(如WWW服务器、文件服务器等)服务周期：一周一次服务内容：备份服务器访问日志服务作用：防止日志过大导致检索、分析的难度，另一方面也有利于事后的检查。9、白客渗透服务对象：对INTERBET供应服务的服务器服务周期：半年一次服务内容：服务商在用户指定的时间段内，通过INTERNET，运用各种工具在不破坏应用的前提下攻击服务器，最终供应检测报告。服务作用：先于黑客进行探测性攻击以检测系统漏洞。依据最终检测报告进一步增加系统的平安性10、设备备份系统服务对象：骨干交换机、路由器等网络骨干设备服务周期：实时服务内容：依据用户的网络状况，供应骨干交换机、路由器等核心网络设备的备份。备份设备可以在段时间内替代网络中实际运用的设备。服务作用：一旦核心设备出现故障，运用备件替换以削减网络故障时间。11、信息备份系统服务对象：全部重要信息服务周期：依据网络状况定完全备份和增量备份的时间服务内容：定期备份电子信息服务作用：防止核心服务器崩溃导致网络应用瘫痪。12、定期总体平安分析报告服务对象：整个网络服务周期：半年一次服务内容：综合网络拓扑报告、各种平安设备日志、服务器日志等信息，对网络进行总体平安综合性分析，分析内容包括网络平安现状、网络平安隐患分析，并提出改进建议看法。服务作用：供应综合性、全面的平安报告，针对全网络进行平安性探讨，为全面提高网络的平安性供应技术资料。以上是服务解决方案，众所周知，平安产品一般是共性的产品，通过平安服务，能够配制出适合本网络的平安设备，使得平安产品在特定的网络中发挥最大的效能，使得各种设备协同工作，增加网络的平安性和可用性。当然，在网络中，担忧全是确定的，即使实行种种措施，网络也可能遭到应用某种缘由无法正常运作，这时候，就须要有刚好有效的技术支持，使得网络在尽可能短的时间内复原正常。下面将提出技术支持解决方案。三、技术支持解决方案技术支持是整个平安方案的重要补充。其主要作用是在用户网络发生重要平安事务后，通过刚好、高效的平安服务，达到尽快复原网络应用的目的。技术支持主要包括以下几方面：1、故障解除支持范围：(1)用户无法访问网络(如局域网用户无法访问INTERNET);(2)应用服务无法访问(如不能对外供应WWW服务);(3)网络访问异样(如访问速度慢)。作用：一旦网络出现异样，为用户供应刚好、有效的网络服务。在最短的时间内复原网络应用。2、灾难复原支持范围：设备遇到物理损害网络网络应用异样。作用：通过备品备件，快速复原网络硬件环境;通过备份文件的复原，尽快复原网络的电子资源;由此可在最短的时间内复原整个网络应用。3、查找攻击源支持范围：网络管理员发觉网络遭到攻击，并须要确定攻击来源。作用：通过日志文件等信息，确定攻击的来源，为进一步实行措施供应依据。4、实时检索日志文件支持范围：遭到实时的攻击(如DOS，SYNFLOODING等)，须要刚好了解攻击源以及攻击强度。作用：通过实时检索日志文件，可以当时存在的针对本网络的攻击并查找出攻击源。假如攻击强度超出网络能够承受的范围，可实行进一步措施进行防范。5、即时查杀病毒支持范围：由不行确定的因素导致网络中出现计算机病毒。作用：即使网络中出现病毒，通过刚好有效的技术支持，在最短的时间内查处感染病毒的主机并即时查杀病毒，复原网络应用。6、即时网络监控支持范围：网络出现异样，但应用基本正常。作用：通过网络监控，近可能发觉网络中存在的前期网络故障，在故障扩大化以前刚好进行防治。以上是技术支持解决方案，技术支持是平安服务的重要补充部分，即使在完善的平安体系下，也存在不行预料的因素导致网络故障，此时，须要刚好、有效的技术支持服务，在尽可能短的时间内复原网络的正常运行。综上所述，局域网的平安由三大部分组成，涵盖设备、技术、制度、管理、服务等各个部分。四、分布实施建议看法网络平安涉及面相当广，同时进行建设的可行性较差，因此，建议依据以下方式进行分阶段实施。1、第一阶段(1)技术方面，接受防火墙、网络防病毒软件、页面防篡改系统来建立一个结构上较完善的网络系统。(2)服务方面，进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份，通过这些服务，增加网络的抗干扰性。(3)支持方面，要求服务商供应故障解除服务，以提高网络的牢靠性，降低网络故障对网络的整体影响。2、其次阶段在第一阶段平安建设的基础上，进一步增加网络平安设备，接受新的平安服务和技术支持来增加网络的可用性。(1)技术方面，接受入侵检测、邮件防病毒软件、动态口令认证系统、并在重要客户端安装个人版防护软件。(2)服务方面，对服务器进行定期扫描与加固、对防火墙日志进行备份与分析、对入侵检测设备的日志进行备份、建立设备备份系统以及文件备份系统。(3)支持方面，要求服务商供应灾难复原、实时日志检索、实时查杀病毒、实时网络监控等技术支持。3、第三阶段在这一阶段，实行的措施以进一步提高网络效率为主。(1)技术方面，接受反垃圾邮件系统、网络管理软件、QOS流量管理软件。(2)服务方面，接受白客渗透测试，要求服务商定期供应整体平安分析报告。(3)支持方面，要求能够实时或者时候查找攻击源。以上针对用户网络分别从三个方面提出了平安解决方案，并依据实施的紧迫性分成三个阶段来实现，但是实际针对某个用户，对于平安的要求可能各不相同，具体网络状况也可能有很大的差异，因此建议用户依据实际状况建立网络平安建设的时辰表。另外，随着新技术、新产品的不断涌现，网络技术的不断发展，对于网络平安的要求不断提高，在实际实施过程中实行的措施完全可能超越本文中提及的产品、服务、支持，这也是平安建设的最基本原则：不断改进，不断增加，平安无止境。四台Cisco防火墙实现VPN网络其实四台Cisco防火墙的VPN同两台防火墙做VPN没什么大的区分，只是确定要留意路由的配置；在四台Ciscopix做VPN中，有两种方式，一种是接受一个中心的方式，另一种就是分散式的，前者，也就是说以一个PIX点为中心，其它的机器都连到本机上，在通过本机做路由；后者，则是在每一个路由上都要写出到另外三台的加密方式，这里接受的就是第一种类型；

以下，是施工图以及四个Ciscopix的具体配置：

具体配置如下：

中心pix1：

:Saved

:Writtenbyenable_15at23:10:31.763UTCThuApr242003

PIXVersion6.2(2)

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100

enablepasswordNHvIO9dsDwOK8b/kencrypted

passwdNHvIO9dsDwOK8b/kencrypted

hostnamepixfirewall

fixupprotocolftp21

fixupprotocol80

fixupprotocolh323h2251720

fixupprotocolh323ras1718-1719

fixupprotocolils389

fixupprotocolrsh514

fixupprotocolrtsp554

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060

fixupprotocolskinny2000

names

access-list101permitip

access-list101permitip

access-list101permitip

access-list101permitip

access-list101permitip

access-list101permitip

access-listhyzcpermiticmpanyany

access-listhyzcpermittcpanyany

access-listhyzcpermitudpanyany

pagerlines24

interfaceethernet0auto

interfaceethernet1auto

mtuoutside1500

mtuinside1500

ipaddressoutside40

ipaddressinside

ipauditinfoactionalarm

ipauditattackactionalarm

pdmhistoryenable

arptimeout14400

nat(outside)1.000

nat(inside)100

access-grouphyzcininterfaceoutside

routeoutside91

routeinside01

routeoutside1

routeoutside1

routeoutside1

routeoutside21

routeoutside491

routeoutside005291

timeoutxlate3:00:00

timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00

timeoutuauth0:05:00absolute

aaa-serverTACACS+protocoltacacs+

aaa-serverRADIUSprotocolradius

aaa-serverLOCALprotocollocal

nosnmp-serverlocation

nosnmp-servercontact

snmp-servercommunitypublic

nosnmp-serverenabletraps

floodguardenable

sysoptconnectionpermit-ipsec

nosysoptroutednat

cryptoipsectransform-setstrongesp-desesp-sha-hmac

cryptomaptohyjt20ipsec-isakmp

cryptomaptohyjt20matchaddress101

cryptomaptohyjt20setpeer

cryptomaptohyjt20setpeer

cryptomaptohyjt20setpeer

cryptomaptohyjt20settransform-setstrong

cryptomaptohyjtinterfaceoutside

isakmpenableoutside

isakmpkeyciscoaddressnetmask55

isakmpkeyciscoaddressnetmask55

isakmpkeyciscoaddressnetmask55

isakmpidentityaddress

isakmppolicy9authenticationpre-share

isakmppolicy9encryptiondes

isakmppolicy9hashsha

isakmppolicy9group1

isakmppolicy9lifetime86400

telnet955inside

telnet055inside

telnettimeout5

sshtimeout5

terminalwidth80

Cryptochecksum:8982919a8bfa10ba09cddee3f2da0e6a

:end

pix2配置：

:Saved

:Writtenbyenable_15at00:00:48.042UTCFriApr252003

PIXVersion6.2(2)

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100

enablepasswordN.swjdczcTdUzgrSencrypted

passwdN.swjdczcTdUzgrSencrypted

hostnameHYZCrc

fixupprotocolftp21

fixupprotocol80

fixupprotocolh323h2251720

fixupprotocolh323ras1718-1719

fixupprotocolils389

fixupprotocolrsh514

fixupprotocolrtsp554

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocolsip5060

fixupprotocolskinny2000

names

access-list101permitip

access-list101permitip

access-listhyzcpermiticmpanyany

access-listhyzcpermittcpanyany

access-listhyzcpermitudpanyany

pagerlines24

interfaceethernet0auto

interfaceethernet1auto

mtuoutside1500

mtuinside1500

ipaddressoutside52

ipaddressinside54

ipauditinfoactionalarm

ipauditattackactionalarm

pdmhistoryenable

arptimeout14400

nat(outside)100

nat(inside)0access-list101

nat(inside)100

routeoutside1

timeoutxlate3:00:00

timeoutconn1:00:00half-closed0:10:00udp0:02:00rpc0:10:00h3230:05:00sip0:30:00sip_media0:02:00

timeoutuauth0:05:00absolute

aaa-serverTACACS+protocoltacacs+

aaa-serverRADIUSprotocolradius

aaa-serverLOCALprotocollocal

nosnmp-server