网络安全及防护措施

1网络安全及防护措施湖北托普网络安全及防护措施全文共130页，当前为第1页。2概要一、安全隐患及安全认识分析二、网络安全体系结构三、网络安全整体防护思路网络安全及防护措施全文共130页，当前为第2页。3一、安全隐患及安全认识分析网络安全及防护措施全文共130页，当前为第3页。4网络安全事件

1998/9扬州郝氏兄弟工行窃款案例北京机场票务系统瘫痪深交所证券交易系统瘫痪二滩电厂网络安全事故大量的网站被黑、被攻击网上信用卡密码被盗，钱被划走网络安全及防护措施全文共130页，当前为第4页。5网络病毒后门信息外泄信息丢失、篡改资源占用拒绝服务黑客攻击木马逻辑炸弹安全威胁种类分析图网络安全及防护措施全文共130页，当前为第5页。6常见的攻击方式介绍网络安全及防护措施全文共130页，当前为第6页。7了解攻击的作用网络管理员对攻击行为的了解和认识，有助于提高危险性认识在遭遇到攻击行为时能够及时的发现和应对了解攻击的手段才能更好的防范网络安全及防护措施全文共130页，当前为第7页。8攻击带来的后果系统被侵占，并被当作跳板进行下一步攻击文件，重要资料遭到破坏系统濒临崩溃，无法正常运行网络涌堵，正常通信无法进行重要信息资料被窃取，机密资料泄漏，造成重大经济损失网络安全及防护措施全文共130页，当前为第8页。9常规攻击行为的步骤预攻击信息探测，使用扫描器获取目标信息，这些信息可以为：主机或设备上打开的服务，端口，服务程序的版本，系统的版本，弱密码帐号等实施攻击，手法有很多，要视收集的信息来决定利用的手法如：缓冲区溢出，密码强打，字符串解码，DoS攻击等留下后门或者木马，以便再次利用清除攻击留下的痕迹包括痕迹记录，审计日志等网络安全及防护措施全文共130页，当前为第9页。10

逻辑炸弹是一段潜伏的程序，它以某种逻辑状态为触发条件，可以用来释放病毒和蠕虫或完成其他攻击性功能，如破坏数据和烧毁芯片。它平时不起作用，只有当系统状态满足触发条件时才被激活。逻辑炸弹网络安全及防护措施全文共130页，当前为第10页。11邮件炸弹概念：发送大容量的垃圾邮件如：KaBoomTo、From、Server拒收垃圾邮件、设置寄信地址黑名单（MailGuard)网络安全及防护措施全文共130页，当前为第11页。12OICQ攻击OICQ本地密码使用简单的加密方式OICQ使用明文传输黑客可监听信息内容网络安全及防护措施全文共130页，当前为第12页。13拒绝服务攻击DenialofService----Dos向目标主机发送大量数据包，导致主机不能响应正常请求，导致瘫痪在目标主机上放了木马，重启主机，引导木马为完成IP欺诈，让被冒充的主机瘫痪在正式进攻之前，要使目标主机的日志记录系统无法正常工作网络安全及防护措施全文共130页，当前为第13页。14拒绝服务攻击的种类LandPingofDeathSYNfloodDos/DDdos网络安全及防护措施全文共130页，当前为第14页。15LandAttack在Land攻击中，黑客利用一个特别打造的SYN包--它的原地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时，在Land攻击下，许多UNIX将崩溃，NT变得极其缓慢（大约持续五分钟）。

网络安全及防护措施全文共130页，当前为第15页。16PingofdeathICMP(InternetControlMessageProtocol，Internet控制信息协议)在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系，通过发送一个“回音请求”（echorequest）信息包看看主机是否“活着”。最普通的ping程序就是这个功能。而在TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定，许多操作系统的TCP/IP协议栈都规定ICMP包大小为64KB，且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。

网络安全及防护措施全文共130页，当前为第16页。17PingofdeathPingofdeath就是故意产生畸形的测试Ping包，声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64KB上限，使未采取保护措施的网络系统出现内存分配错误，导致TCP/IP协议栈崩溃，最终接收方宕机。

网络安全及防护措施全文共130页，当前为第17页。18SYNFlooding攻击SYNFlooding三段握手内核处理网络安全及防护措施全文共130页，当前为第18页。19攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。DenialofService(DoS)

拒绝服务攻击DistributedDenialofService(DDoS)分布式拒绝服务攻击攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。什么是DoS/DdoS攻击网络安全及防护措施全文共130页，当前为第19页。20DdoS攻击过程主控主机合法用户服务请求扫描程序黑客Internet非安全主机被控主机服务响应应用服务器服务请求服务响应网络安全及防护措施全文共130页，当前为第20页。21IP欺骗攻击让被信任主机瘫痪联接目标主机猜测ISN基值和增加规律将源地址伪装成被信任主机，发送SYN数据段请求连接黑客等待目标机发送ACK包给已经瘫痪的主机黑客伪装成被信任主机，发送SYN数据段给目标主机建立连接网络安全及防护措施全文共130页，当前为第21页。22IP碎片攻击网络安全及防护措施全文共130页，当前为第22页。23IP碎片攻击只有第一个分段包含了上层协议信息包过滤将丢弃第一个分段其他分段允许通过将在目的地被重组目的主机需等待重传不完全的包,最后返回一个“packetreassemblytimeexpired”信息可能被攻击者利用作为DoS攻击手段直接丢弃网络安全及防护措施全文共130页，当前为第23页。24DNS欺骗攻击冒充DNSServer向域名解析请求发送错误的解析结果网络安全及防护措施全文共130页，当前为第24页。25利用Web进行攻击CGI、ASPWeb的非交互性，CGI、ASP的交互性网络安全及防护措施全文共130页，当前为第25页。26Web欺骗攻击创造某个网站的复制影像用户输入户名、口令用户下载信息，病毒、木马也下载网络安全及防护措施全文共130页，当前为第26页。27扫描器的功能简介扫描器是网络攻击中最常用的工具，并不直接攻击目标，而是为攻击提供信息扫描器至少应有三种功能：发现一个主机或网络的能力；一旦发现，探测其存在的服务及对应的端口；通过测试这些服务，发现漏洞编写扫描器需要很多tcp/ip编程和c,perl和shell和socket编程的知识攻击利用的扫描技术必须有很快的速度和很好的隐身能力，否则会被发现网络安全及防护措施全文共130页，当前为第27页。28针对互连设备的攻击网络上的大部分设备如路由器和交换机大多支持Snmp网管协议，支持snmp的设备都维护着自己接口等运行状态的信息库称为MIBS库。现行版本中网管端和设备间的通信只需经过一个叫做community值的简单验证，管理端提供readonly的community值时可以读取该设备的常规运行信息，如提供readwrite值时，这可以完全管理该设备。攻击网络互连设备的一条捷径，而且不太被注意网络安全及防护措施全文共130页，当前为第28页。29Snmp的安全验证机制GET请求ROcommunityMIBS常规配置信息SET请求RWcommunity修改或下载所有状态信息网络安全及防护措施全文共130页，当前为第29页。30设备攻击的形式内部网络INTERNET其它网络攻击者控制对内部攻击切断跳板攻击网络安全及防护措施全文共130页，当前为第30页。31

蠕虫是一段独立的可执行程序，它可以通过计算机网络把自身的拷贝（复制品）传给其他的计算机。蠕虫可以修改、删除别的程序，但它也可以通过疯狂的自我复制来占尽网络资源，从而使网络瘫痪。蠕虫网络安全及防护措施全文共130页，当前为第31页。32蠕虫攻击技术蠕虫技术是病毒和黑客攻击手法的结合，包含两者的技术，这种攻击造成的后果比单一的黑客攻击和病毒传染要大的多攻击的第一步是扫描，找出符合攻击漏洞的主机，这其中包括端口扫描和脆弱性扫描网络安全及防护措施全文共130页，当前为第32页。33蠕虫攻击技术实施攻击，现在的手法大多是缓冲区溢出和系统自身的解码漏洞如Codered的.ida/idq溢出和Lion的wu-ftpd缓冲区溢出成功后在目标主机上自我复制攻击程序，感染文件，疯狂调用进程。与发起者脱离关系直接成为下一次攻击发起者，换个网段继续扫描，攻击，以此类推，这种扩散是最大的网络安全及防护措施全文共130页，当前为第33页。34Codered蠕虫攻击原理攻击发起者.ida漏洞服务器扫描和攻击.ida漏洞服务器.ida漏洞服务器.ida漏洞服务器.ida漏洞服务器.ida漏洞服务器地址段A地址段B地址段C地址段D网络安全及防护措施全文共130页，当前为第34页。35特洛伊木马概念：古希腊人同特洛伊人的战争非法驻留在目标计算机里的执行事先约定操作的程序危害：复制、更改、删除文件，查获密码、口令，并发送到指定的信箱，监视被控计算机。BO、国产木马冰河查看注册表：有无陌生项网络安全及防护措施全文共130页，当前为第35页。36木马技术攻击者在成功侵占系统后往往会留下能够以特殊端口监听用户请求并且能够绕过系统身份验证的进程。改进程在系统中运行具有隐秘性质，管理员用常规的系统监视工具不容易发现攻击者利用该进程可以方便的再次进入系统而不用身份验证；攻击者可以利用这个后门向新的目标发起攻击通常控制端和木马植入端的通信是加密处理的，很难发现网络安全及防护措施全文共130页，当前为第36页。37常见的木马工具NetbusBo2kSubsevenDoly冰河网络安全及防护措施全文共130页，当前为第37页。38Unix后门技术管理员通过改变所有密码类似的方法来提高安全性，仍然能再次侵入大多数后门能躲过日志，大多数情况下，即使入侵者正在使用系统也无法显示他在线的情况和记录后门往往被反复利用来攻击该主机，发现主机的变化，除掉新装上的监控系统后门攻击对unix有很大的危害性网络安全及防护措施全文共130页，当前为第38页。39密码破解后门入侵者通过一个弱密码和默认密码帐号进行弱点攻击取得了系统的控制权取得shadow文件和passwd文件，其中passwd文件的加密机制较弱，但对shadow文件的破解技术也在发展攻击者取得文件后crack密码文件，扩大战果，造成主机系统的众多用户口令丢失优点是管理员很难确定到底那个帐号被窃取了网络安全及防护措施全文共130页，当前为第39页。40Rhosts++后门联网的unix主机，像rsh和rlogin这样的服务是基于rhosts文件里的主机名的简单验证攻击者只需向可访问的某用户的主目录的rhosts文件中输入“++”表示所有的主机均可以利用该帐号就可以无需口令进入该帐号Home目录通过NFS向外共享时，如权限设置有误，更容易成为攻击的对象攻击者更喜欢使用rsh这样的工具，因为这种连接缺少日志记录能力，不易被发现网络安全及防护措施全文共130页，当前为第40页。41Suid和sgid进程后门Uid是unix中的用户标志，标志用户的身份和权限，suid进程则表示该进程归该用户所有，具有该用户的身份权限攻击者通常通过溢出和其他的手法取得root权限，然后使用root身份属主一个文件如chownroot.root/bin/ls;suid这个文件如chmod4755/bin/ls;然后将其移到一个不起眼的位置，这样任何一个普通用户登陆导系统后只要执行该/bin/ls就可提升到root身份优点：suid进程在系统中有很多，但并不都属于root身份，很多是正常进程，难以查找即便使用find/-perm4700-print网络安全及防护措施全文共130页，当前为第41页。42Login后门Unix中，login程序通，常对telnet的用户进行验证，入侵者在取得最高权限后获取login.c的源代码修改，让它在比较口令与存储口令时先检查后门口令，这样攻击者可以登录系统不需系统的验证由于后门口令是在用户真实登陆之前进行的，所以不会被记录到utmp和wtmp日志的，所以攻击者可以获得shell而不暴露为了防止管理员使用strings查找login文件的文本信息，新的手法会将后门口令部分加密缺点是如果管理员使用MD5校验的话，会被发现网络安全及防护措施全文共130页，当前为第42页。43Telnetd后门用户telnet到系统，监听端口的inetd服务接受联接，随后传给in.telnetd,由他调用login进程，在in.telnetd中也有对用户的验证信息如登陆终端有Xterm,VT100等，但当终端设为“letmein”时就会产生一个不需要身份验证的shell来攻击者知道管理员会检查login程序，故会修改in.telnetd程序，将终端设为“letmein”就可以轻易的做成后门网络安全及防护措施全文共130页，当前为第43页。44文件系统后门攻击者需要在已占领的主机上存储一些脚本工具，后门集，侦听日志和sniffer信息等，为了防止被发现，故修改ls,du,fsck以隐藏这些文件手法是用专用的格式在硬盘上划出一块，向系统表示为坏扇区，而攻击者会使用特定的工具访问这些文件对于系统维护工具已被修改的管理员来说，发现这些问题是很困难的网络安全及防护措施全文共130页，当前为第44页。45隐匿进程后门攻击者在获得最高权限后，将自己编写监听程序加载到系统中以一个很不起眼的高位端口监听攻击者修改自己的argv（）使他看起来像其他的进程名攻击者修改系统的ps进程，使他不能显示所有的进程；攻击者将后门程序嵌入中断驱动程序使他不会在进程表中显现一个出名的例子：amod.tar.gz网络安全及防护措施全文共130页，当前为第45页。46文件系统，进程后门源ls源ps修改修改显示文件显示进程后门工具后门进程返回不存在返回不存在网络安全及防护措施全文共130页，当前为第46页。47内核后门内核后门是最新的技术，和以往的后门都有所不同，他的修改和隐匿都体现在底层函数上面攻击者直接修改系统调用列表sys_call_table将正常进程的函数调用接口转向为攻击者插入的内核模块接口，而不改变该进程，这样用户执行的命令调用如ls,du,ps等的最终调用结果是攻击者的自定义模块现在的很多LKM技术的后门就是利用这个原理，这种技术用通常的检测手法很难发现，检查sys_call_table的接口调用是目前唯一的办法著名的knark就是利用的这种技术网络安全及防护措施全文共130页，当前为第47页。48痕迹清除技术攻击系统过后，很多操作和行为都有可能被记录日志，因为这些往往都和系统的安全策略有关系系统的安全策略会定义那些服务和行为必须记录日志攻击完后必须清除自己的行为可能被那些日志记录找出这些日志文件，予以清除或修改网络安全及防护措施全文共130页，当前为第48页。49Windows的日志Windows的日志主要是两个方面，第一个是web等服务系统的访问日志，这其中包括ftp,mail等；第二个是系统的安全日志，由系统的安全策略来指定服务系统的日志文件默认情况下的权限给予较低，一般用户都可以清除，这是一个很大的问题Windows的服务日志如iis的日志是攻击的主要对象，在现今的攻击中体现的尤为充分网络安全及防护措施全文共130页，当前为第49页。50Unix日志处理服务进程都有自己的日志记录如常用的web服务器apache，ftp服务器和sendmail服务等，这些服务器包都有自己的日志定制系统Syslogd守护进程定义的选项内容，很多进程如telnet等都是在syslogd进程中定义的，攻击者查看syslog.conf就可发现有哪些进程在定义范围之内网络安全及防护措施全文共130页，当前为第50页。51需要处理的日志举例Sulog:系统中所有的su操作Lastlog:记录某用户最后一次的登陆时间和地址Utmp：记录以前登陆到系统中的所有用户Wtmp:记录用户登陆和退出的事件Access_log:apache服务器的访问访问日志.bash_history:shell记录的用户操作命令历史sh_history:shshell记录的使用该shell的用户操作命令历史网络安全及防护措施全文共130页，当前为第51页。52清除的方法使用重定向符“>”可以予以清除如cat>/var/log/wtmp;cat>/var/log/utmp;但清除日志太过于明显，很容易让管理员发现计算机被入侵了删除日志，将整个日志文件删除，属于恶意的报复行为rm–rf/var/log/utmp使用特定的工具按照ip地址，用户身份等条件筛选删除，这是常用的方法网络安全及防护措施全文共130页，当前为第52页。53二、网络安全体系结构网络安全及防护措施全文共130页，当前为第53页。54安全体系模型系统安全应用安全管理安全

物理安全传输安全网络互联安全网络安全及防护措施全文共130页，当前为第54页。55安全体系模型系统安全应用安全管理安全物理安全传输安全网络互联安全地震、火灾、设备损坏、电源故障、被盗网络安全及防护措施全文共130页，当前为第55页。56安全体系模型系统安全应用安全管理安全物理安全传输安全网络互联安全在传输线路上窃取数据网络安全及防护措施全文共130页，当前为第56页。57安全体系模型系统安全应用安全管理安全物理安全传输安全网络互联安全Internet、系统内网络、系统外网络、内部局域网、拨号网络网络安全及防护措施全文共130页，当前为第57页。58安全体系模型系统安全应用安全管理安全物理安全传输安全网络互联安全操作系统的脆弱性、漏洞、错误配置网络安全及防护措施全文共130页，当前为第58页。59安全体系模型系统安全应用安全管理安全物理安全传输安全网络互联安全应用软件、数据库，包括资源共享、Email、病毒等网络安全及防护措施全文共130页，当前为第59页。60安全体系模型系统安全应用安全管理安全物理安全传输安全网络互联安全管理员权限、口令、错误操作、资源乱用、内部攻击、内部泄密网络安全及防护措施全文共130页，当前为第60页。61技术措施系统安全应用安全管理安全物理安全传输安全网络互联安全网络安全及防护措施全文共130页，当前为第61页。62技术措施系统安全应用安全管理安全物理安全传输安全网络互联安全设备冗余、线路冗余、数据备份网络安全及防护措施全文共130页，当前为第62页。63技术措施系统安全应用安全管理安全物理安全传输安全网络互联安全VPN加密技术网络安全及防护措施全文共130页，当前为第63页。64技术措施系统安全应用安全管理安全物理安全传输安全网络互联安全防火墙、物理隔离、AAA认证网络安全及防护措施全文共130页，当前为第64页。65技术措施系统安全应用安全管理安全物理安全传输安全网络互联安全漏洞扫描、入侵检测、病毒防护网络安全及防护措施全文共130页，当前为第65页。66技术措施系统安全应用安全管理安全物理安全传输安全网络互联安全认证、病毒防护、数据备份、灾难恢复网络安全及防护措施全文共130页，当前为第66页。67技术措施系统安全应用安全管理安全物理安全传输安全网络互联安全认证、访问控制及授权网络安全及防护措施全文共130页，当前为第67页。68三、网络安全整体防护思路网络安全及防护措施全文共130页，当前为第68页。69网络脆弱性发展趋势信息网络系统的复杂性增加脆弱性程度网络系统日益复杂，安全隐患急剧增加网络安全及防护措施全文共130页，当前为第69页。70木桶原则最大容积取决于最短的木快攻击者—“最易渗透原则”目标：提高整个系统的“安全最低点”。网络安全及防护措施全文共130页，当前为第70页。71整体性原则建立预警、防护、恢复机制构成闭环系统Policy预警

防护恢复网络安全及防护措施全文共130页，当前为第71页。72动态性原则安全是相对的，不可能一劳永逸；道高一尺，魔高一丈；安全策略不断变化完善；安全投入不断增加（总投入的30%）。网络安全及防护措施全文共130页，当前为第72页。73安全事件案例分析２００２年８月下旬，杜守志在南宁市拾到一张户名为黄某某在建行广西分行开户的医疗保险ＩＣ复合卡，并于８月２９日至９月２４日在银行交易系统识别错误的情况下，输入“１２３４５６”为密码，连续从多家银行的ＡＴＭ机上，分别支取３００余笔现金，合计人民币６６２１００元。安全事件成因分析安全事件原因1IC卡丢失管理问题2输入密码123456密码的脆弱性3卡上没钱能取钱，并且取多少增加多少应用软件存在漏洞4半小时取7万元，一个下午取出17万元异常行为审计的脆弱性（未作单位时间内的最高取款额的限制）5持续近一个月报警机制不完善网络安全及防护措施全文共130页，当前为第73页。74安全事件案例分析一名普通的系统维护人员，轻松破解数道密码，进入邮政储蓄网络，盗走83．5万元。邮政储蓄使用的是专用的网络，和互联网物理隔绝；网络使用了防火墙系统；从前台分机到主机，其中有数道密码保护。

安全事件成因分析安全事件原因1私搭电缆，从来没有人过问管理问题2邮政储蓄网点竟然一直使用原始密码，没有定期更改，也没有在工作人员之间互相保密密码的管理问题3远程登录访问临洮太石邮政储蓄所的计算机内部网纵向之间未采用防火墙隔离4破译对方密码之后进入操作系统以营业员身份向自8个活期账户存入了83．5万元的现金，并在退出系统前，删除了营业计算机的打印操作系统，造成机器故障。密码脆弱性5几天后还在提取现金异常行为审计、报警机制、应急措施不完善网络安全及防护措施全文共130页，当前为第74页。75事前检测：隐患扫描安全危险高度危险通过模拟黑客的进攻手法,先于黑客发现并弥补漏洞，防患于未然。也称为漏洞扫描、脆弱性分析、安全评估。网络安全及防护措施全文共130页，当前为第75页。76网络结构专网或公网Internet公司总部分公司分公司网络安全及防护措施全文共130页，当前为第76页。77总出口的门户安全专网或公网Internet公司总部分公司分公司防火墙网络安全及防护措施全文共130页，当前为第77页。78各子网的边界安全专网或公网Internet公司总部分公司分公司防火墙网络安全及防护措施全文共130页，当前为第78页。79入侵检测产品的部署专网或公网Internet公司总部分公司分公司防火墙网络安全及防护措施全文共130页，当前为第79页。80防病毒产品的部署专网或公网Internet公司总部分公司分公司防火墙网络安全及防护措施全文共130页，当前为第80页。81加密传输产品的部署专网或公网Internet公司总部分公司分公司防火墙网络安全及防护措施全文共130页，当前为第81页。82身份认证（3A）产品的部署专网或公网Internet公司总部分公司分公司防火墙3A：认证、授权、审计确认身份，防止抵赖网络安全及防护措施全文共130页，当前为第82页。83事后恢复机制灾难恢复技术日志查询网络安全及防护措施全文共130页，当前为第83页。84关键产品专网或公网Internet公司总部分公司分公司防火墙网络安全及防护措施全文共130页，当前为第84页。85关键产品专网或公网Internet公司总部分公司分公司防火墙防火墙产品防病毒产品身份认证产品（3A）加密产品（VPN）入侵检测产品物理隔离网闸抗攻击网关漏洞扫描产品数据备份产品网络安全及防护措施全文共130页，当前为第85页。86个人安全建议关闭不必要的服务（如关闭SNMP、UPS、RAS）；关闭不必要的服务端口（80、21、161）；不轻易点击不熟悉的网页或链接；不轻易下载不了解的软件运行；不打开不熟悉的邮件附件；不要将硬盘设置为共享；要将IE等软件的安全等级设置为高等级；及时下载及安装补丁程序.网络安全及防护措施全文共130页，当前为第86页。87加强密码的强壮性，并经常更改激活审计功能作好备份工作，包括本地备份、异地备份、磁盘阵列不要随意共享硬盘上的目录网络安全及防护措施全文共130页，当前为第87页。88尽量不要使用系统默认的OUTLOOK程序对于未知电子邮件小心打开网上下载要注意不去黑客等有危险性的网站经常查病毒，并主义随时出现的情况网络安全及防护措施全文共130页，当前为第88页。89四、防火墙技术介绍网络安全及防护措施全文共130页，当前为第89页。90什么是防火墙？以隔离为目的的安全网关设备不同网络或网络安全域之间信息的唯一出入口根据安全政策控制出入网络的信息流本身具有较强的抗攻击能力网络安全及防护措施全文共130页，当前为第90页。91防火墙主要作用过滤不安全的服务；控制对系统的访问；集中的安全管理；抗攻击；入侵监测；隔离与保密；记录和统计。网络安全及防护措施全文共130页，当前为第91页。92防火墙的典型应用网络安全及防护措施全文共130页，当前为第92页。93InternetWebServer之一：对托管服务器的保护防火墙交换机ISP机房网络安全及防护措施全文共130页，当前为第93页。94Internet防火墙路由器内部局域网交换机之二：对内网的保护网络安全及防护措施全文共130页，当前为第94页。95Internet防火墙路由器WWW、DNS、FTP等Email内部局域网内网交换机外网交换机之三：对内网及网站的保护网络安全及防护措施全文共130页，当前为第95页。96DDN网分支机构局域网分支机构局域网总部局域网防火墙接本地Internet平台之四：利用专线构建广域网防火墙防火墙网络安全及防护措施全文共130页，当前为第96页。97Internet分支机构局域网分支机构局域网VPN防火墙VPN防火墙总部局域网VPN防火墙接本地Internet平台之五：利用Internet构建广域网网络安全及防护措施全文共130页，当前为第97页。98财务网段一般员工办公网段防火墙之六：对内网进行逻辑划分OA及人事网段领导办公网段网络安全及防护措施全文共130页，当前为第98页。99传统防火墙的局限性传统防火墙的共同特点采用逐一匹配方法进行检测和过滤，计算量太大。包过滤是对IP包进行逐一匹配检查。状态检测包过滤除了对包进行匹配检查外，还要对状态信息进行逐一匹配检查。应用代理对应用协议和应用数据进行逐一匹配检查。网络安全及防护措施全文共130页，当前为第99页。100传统防火墙的局限性传统防火墙的共同缺陷安全性越高，检查的越多，效率越低。防火墙的安全性与效率成反比。

网络安全及防护措施全文共130页，当前为第100页。101新一代防火墙面临的问题目前网络安全的三大主要问题以拒绝访问（DoS/DDoS）为目的网络攻击；以蠕虫（WORM）为代表的病毒传播；以垃圾电子邮件（SPAM）为代表的内容控制。这三大安全问题占据网络安全问题的九成以上，传统防火墙无能为力。网络安全及防护措施全文共130页，当前为第101页。102产品特色（访问控制特性）

强访问控制基于IP地址和端口、传输方向和协议的访问控制；基于时间的访问控制；基于用户的访问控制（内核AAA身份认证）；基于网络空间（七层）的访问控制：

OSI模型的第一层：网卡控制技术；OSI模型的第二层：MAC过滤防火墙；OSI模型的第三层：智能包过滤（IntelligentPacketFilter）；OSI模型的第四层：协议改造技术（ProtocolNormalization）；OSI模型的第五层：会话控制技术；OSI模型的第六层：表现控制技术；OSI模型的第七层：应用控制技术。网络安全及防护措施全文共130页，当前为第102页。103产品特色（高安全）高安全性高效安全的BSD系统内核采用基于BSD的中网专用安全操作系统，内核级的工作模式，使防火墙更加稳定、高效和安全。优化的TCP/IP协议栈经过加固的系统内核和优化TCP/IP栈，能够有效防范DoS/DDoS、源路由攻击、IP碎片包等多种黑客攻击。内置入侵检测模块

内置的入情检测系统为客户提供更加广泛和全面的攻击防范、日志查证，确保内部网络的安全。防范恶意代码

可以有效阻止ActiveX、Java、Cookies、JavaScript的入侵。网络安全及防护措施全文共130页，当前为第103页。104支持移动用户远程拨入，实现对内部网络资源安全访问。可以为用户提供全功能的网关到网关VPN解决方案。支持国密办许可的加密卡，提供高安全保障。集成VPN模块，并支持第三方的加密卡可扩展性标配4或6个网口，满足大多数网络环境需求。模块化结构设计，最多支持10个网卡接口，适应多种网络环境。1U设备下实现多网口支持产品特色（可扩展）

可与IDS等安全产品联动与国内领先的IDS产品实现联动，如启明星辰、金诺网安等。支持国际领先的OPENSEC联动协议，如冠群金辰等。

支持各种网络协议和应用协议支持路由协议OSPF、RIP、RIPII、策略路由、DNS、DHCP等。支持VLAN802.1Q和视频点播、H.323等应用协议过滤。网络安全及防护措施全文共130页，当前为第104页。105产品特色（高可用性）问题网络是否必须24x7的不间断运行？解决办法－心跳互动

采用两台防火墙以主从方式工作，实现故障切换的功能。稳定、可靠主黑客愁TM从黑客愁TM请求请求客户机客户机客户机24x7应用服务器集群请求请求网络安全及防护措施全文共130页，当前为第105页。106带宽管理Web服务器视频应用服务器客户机客户机客户机浏览下载30%20%50%视频Ftp服务器带宽管理规则库内网外网外网内网分级带宽管理，管理直观简便；可粗可细带宽分配；粗可对某些网卡，可对某个部门的连续IP地址段，也可对离散的多个IP地址；细可以到每一个IP地址；网络安全及防护措施全文共130页，当前为第106页。107双机热备份保证系统的可用性无需手工插拔，10s内自动完成切换内部用户和外部用户完全透明，无需任何配置主黑客愁TM从黑客愁TM客户机客户机客户机服务器服务器服务器请求请求请求请求网络安全及防护措施全文共130页，当前为第107页。108五、物理隔离网闸介绍

网络安全及防护措施全文共130页，当前为第108页。109隔离网闸实现的目标X-GAP技术在设计上主要是为了解决目前网络安全设备中存在的四个主要难题：第一，阻断内外网络的任何网络通信协议的连接。第二，抵御任何基于TCP/IP的已知和未知的网络攻击，特别是DoS/DDoS攻击。第三，抵御基于操作系统平台漏洞或后门的攻击。第四，阻断内外网络的直接连接，保护安全设备的安全策略。网络安全及防护措施全文共130页，当前为第109页。110中网隔离网闸构成硬件组成：内网机；外网机；SCSI控制开关系统；两个网卡：分别连接在内网机和外网机的主板上，用于内网机和外网机的输入输出。网络安全及防护措施全文共130页，当前为第110页。111中网隔离网闸构成软件组成：开关控制软件：快速的在两个处理单元之间交换数据。外部单边代理：接收外部的请求，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。内部单边代理：通过传输层软件模块接收外部处理单元传入的请求和数据，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。网络安全及防护措施全文共130页，当前为第111页。112中网隔离网闸X-GAP的特征

阻断两个网络的物理连接：确保连接网闸X-GAP设备上的两个网络在任何时候链路层均是断开的，没有链路连接；阻断两个网络的逻辑连接：TCP/IP协议必须被阻断、被剥离，将原始数据通过P2P非TCP/IP的连接透过网闸设备X-GAP传递，没有通信连接、没有网络连接、没有应用连接、完全阻断；网闸实现服务的应用代理：任何数据交流均通过两级代理的方式来完成，两级代理之间是通过开关系统实现信息交流的；网络安全及防护措施全文共130页，当前为第112页。113中网隔离网闸X-GAP的特征

网闸安全策略的内部控制：网闸X-GAP内外系统的安全策略均在可信内网配置合传递，确保安全策略不能被攻击的特性；协议剥离后的数据摆渡：网闸X-GAP传输的原始数据通过表单方式进行，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，不会执行命令；网闸隔离设备的自我保护：网闸X-GAP外网内置防DoS/DDoS模块，抗攻击、防扫描、防入侵、防篡改、防破坏、防欺骗，同时系统提供完备的日志、审计功能。网络安全及防护措施全文共130页，当前为第113页。114协议处理图TCPIPRawDataIPTCPDataInspectionProtocolInspectionProtocolInspection网络安全及防护措施全文共130页，当前为第114页。115TCP/IP协议处理图网络安全及防护措施全文共130页，当前为第115页。116SCSI开关系统基于SCSI的开关系统开关系统是通过SCSI控制系统来实现的。SCSI控制系统作为网闸的开关系统是国际公认的、领先的技术。X-GAP将SCSI开关功能在系统的内核中实现，远远优于其它常见的开关技术。国内唯一实现基于SCSI开关技术的安全公司。网络安全及防护措施全文共130页，当前为第116页。117隔离网闸主要性能指标最小开关切换时间：12.5ns；网闸摆渡数据速率：248Mbps；百兆带宽网闸吞吐量：80Mbps；设计的最大并发连接数：8192个；网闸内部最大带宽：5120Mbit/s（5G）；接口数量：支持2－4个网络接口；在性能方面达到了同期国际主要厂商同类产品的水平.网络安全及防护措施全文共130页，当前为第117页。118X-GAP产品功能模块安全的隔离（断开与