第一篇:政府网络安全方案和企业网络安全解决方案(大全)
政府网络安全方案和企业网络安全解决方案
关键词:政府网络安全方案政府网络安全解决方案企业安全解决方案企业网络安全方案企业信息化解决方案
概述
随着信息网络的迅速发展,网络资源共享的进一步加强,如何利用信息网络进行安全通信的同时又要保护网络信息的安全,成为网络建设中迫在眉睫的问题。目前政府机关和企业的各种业务工作对信息网络的依赖性越来越强,对信息网络安全的要求也越来越高,如果不能解决,势必将影响到政府机关和企业的信息网络化建设的发展和生存。目前政府机关网络存在如下几方面的问题:
内部网络的办公信息和国家机密的泄漏。
内部网络资源的权限访问控制。
网络被外部非法入侵,造成网络性能下降或服务中断。
政府对外网站被篡改、破坏,严重影响政府形象。
政府网络被病毒、木马所感染。
国家保密局2000年1月1日起颁布实施的《计算机信息系统国际互联网保密管理规定》对国家机要部门使用互联网规定如下:
“涉及国家秘密的计算机信息系统,不得直接或间接的与国际互联网或其他公共信息网络相连接,必须实行”物理隔离“。
防火墙也是一种被人们广泛使用的连接互联网的网络安全设备。然而,人们常常发现被防火墙防护的网络依然常常被黑客和病毒攻击。现在有很多网络攻击都是发生在有防火墙的情况下。有关防火墙的弊病以及与网络安全隔离网闸的区别请参阅我公司网站的技术专栏文章《物理隔离网闸与防火墙的对比》。
物理隔离卡是另一种常用的解决方案。采用物理隔离卡进行隔离。有关隔离卡的弊病可参阅我公司网站的技术文章《物理隔离网闸与隔离卡的对比》
北京数码星辰科技有限公司研制的网络安全物理隔离装置就是为解决政府和企业所面临的各种网络安全和信息安全问题,专门设计了针对不同网络安全要求的政府网络安全解决方案和企业安全解决方案。这些解决方案使用宇宙盾网络安全隔离与信息交换系列产品。网络安全隔离与信息交换系列产品的设计遵循高安全性、高可靠性和方便用户的原则进行设计。同时把保护网络和设备的绝对安全作为最高的设计准则。”千里之堤溃于蚁穴“,一个防护再严密的网络安全装置,如果有一个漏洞被忽略就会使整个安全防护系统崩溃。数码星辰清楚地认识到 这一问题的重要性和严重性,率先提出了”整体安全防护技术“新理念。在系统硬件、操作系统、网络协议、访问控制以及用户界面等所有的层次均进行了安全设计,形成了一个完整的、无懈可击的网络安全设备。这一理念不仅仅考虑了来自网络的攻击和破坏,而且也考虑了来自非网络的破坏。其中对于防止国外芯片”后门"、操作系统防加载技术、防止用户界面的攻击等等均是基于这一理念的独特的设计思路。这一独创的设计理念,使得网络安全防护的安全度提升到
了一个无可比拟的新高度。宇宙盾网络隔离网闸系列产品分别获得公安部、和国家保密局的认证。
如您需要进一步的帮助,请拨打010-82896300,我们的技术人员将根据您的具体要求,为您制定符合您要求的网络安全解决方案和信息安全解决方案。
第二篇:企业网络安全解决方案毕业论文
娄底职业技术学院网络专业毕业设计
宏锦网络有限公司 企业网络安全解决方案
摘 要
近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。因此本论文为企业(宏锦企业网络)构架网络安全体系,主要运用vlan划分、防火墙技术、vpn、病毒防护等技术,来实现企业的网络安全。
关键词: 网络,安全,VPN,防火墙,防病毒
I
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus
II
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
目 录
绪 论....................................................................................................................................................................1 第一章 企业网络安全概述...................................................................................................................................2 1.1 企业网络的主要安全隐患.......................................................................................................................2
1.2 企业网络的安全误区...............................................................................................................................2 第二章 企业网络安全现状分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企业网络安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企业网络结构.............................................................................................................................................5 第三章 企业网络安全解决实施...........................................................................................................................6 3.1 宏锦网络企业物理安全.............................................................................................................................6 3.2宏锦企业网络VLAN划分............................................................................................................................7 3.4 宏锦企业网络防火墙配置.........................................................................................................................9 3.4 宏锦企业网络VPN配置...........................................................................................................................12 3.5 宏锦企业网络防病毒措施.......................................................................................................................13 第四章 宏锦企业的网络管理.............................................................................................................................16 4.1宏锦企业网络管理的问题........................................................................................................................16 4.2 宏锦企业网络管理实施...........................................................................................................................16 总 结..................................................................................................................................................................18 致 谢..................................................................................................................................................................19 参考文献...............................................................................................................................................................20
III
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
绪 论
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第一章 企业网络安全概述
1.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
1.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第二章 企业网络安全现状分析
2.1 公司背景
宏锦网络有限公司是一家有100名员工的中小型网络公司,主要以手机应用开发为主营项目的软件企业。公司有一个局域网,约100台计算机,服务器的操作系统是 Windows Server 2003,客户机的操作系统是 Windows XP,在工作组的模式下一人一机办公。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。
2.2 企业网络安全需求
宏锦网络有限公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。因此本企业的网络安全构架要求如下:
(1)根据公司现有的网络设备组网规划(2)保护网络系统的可用性(3)保护网络系统服务的连续性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业信息通过网上传输过程中的机密性、完整性(7)防范病毒的侵害(8)实现网络的安全管理。
2.3 需求分析
通过了解宏锦网络公司的需求与现状,为实现宏锦网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)划分VLAN控制内网安全(3)安装防火墙体系
(4)建立VPN(虚拟专用网络)确保数据安全(5)安装防病毒服务器(6)加强企业对网络资源的管理
2.4 企业网络结构
宏锦网络公司网络拓扑图,如图2-1所示:
图2-1 企业网络结构
由于宏锦网络公司是直接从电信接入IP为58.192.65.62 255.255.255.0,直接经由防火墙分为DMZ区域和普通区域。防火墙上做NAT转换,分别给客户机端的地址为10.1.1.0 255.255.255.0。防火墙接客户区端口地址为10.1.1.1 255.255.255.0。DMZ内主要有各类的服务器,地址分配为10.1.2.0 255.255.255.0。防火墙DMZ区的接口地址为10.1.2.1 255.255.255.0。内网主要由3层交换机作为核心交换机,下面有两台2层交换机做接入。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第三章 企业网络安全解决实施
3.1 宏锦网络企业物理安全
宏锦企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对宏锦网络企业的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面: 1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
3.2宏锦企业网络VLAN划分
VLAN技术能有效隔离局域网,防止网内的攻击,所以宏锦网络有限公司网络中按部门进行了VLAN划分,划分为以下两个VLAN:
财务部门 VLAN 10
交换机S1接入交换机(神州数码DCS-3950)业务部门 VLAN 20
交换机S2接入交换机(神州数码DCS-3950)核心交换机 VLAN间路由 核心交换机S3(神州数码DCRS-5526)S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏锦企业网络防火墙配置
宏锦企业网络中使用的是神州数码的DCFW-1800S UTM,里面包含了防火墙和VPN等功能。以下为配置过程:
在防火墙NAT策略下面,新增NAT。如图3-1:
图3-1 新增企业防火墙策略示意图
源域:untrust; 源地址对象:any; 目的域:trust; 目的地址对象:any;
在全局安全策略设置里面如图3-2和图3-3所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-2企业防火墙策略配置示意图
图 3-3 企业防火墙策略配置示意图
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-4企业防火墙策略配置示意图
可以设置全局下面访问策略,以及域内和域间的访问策略。这里我们设置,内部网络为信任区域(trust),Inteneter为不信任区域(untrust),服务器区域为DMZ区域。动作包括permit允许,拒绝deny,以及其他的特定的服务。这里允许内部访问外部和DMZ区域,而DMZ和Inteneter不允许访问内部。但是处于中间位置的DMZ可以允许Inteneter的访问。所以要添加好几条NAT策略。
在网络接口处如图3-5所示:
图3-5 网络接口处配置示意图
要配置3个以太网接口为up,安全区域分别为eth1:l2-trust,eth0:l2-untrust,eth2:l2-DMZ。其中接外网的eth0工作模式为路由模式,其余接DMZ和内部的都为NAT模式。如图3-6所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-6 以太网接口配置示意图
同时为他们配好相应的网络地址,eth0为58.192.65.62,eth1:10.1.1.1,eth2 10.1.2.1。
3.4 宏锦企业网络VPN配置
宏锦企业网络的VPN功能主要也是通过上面的防火墙实现的。如图3-7,图3-8所示:
图3-7 PPTP协议示意图
图3-8 PPTP示意图
这里我们使用PPTP协议来实现VPN,首先是新增PPTP地址池,范围为192.168.20.150-192.168.20.240 如图3-9所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-9 PPTP协议实现VPN示意图
在PPTP设置里面,选择Chap加密认证,加密方式mppe-128。DNS分别为61.177.7.1,MTU为500。
3.5 宏锦企业网络防病毒措施
针对宏锦企业网络的现状,在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后,我选用江民杀毒软件KV网络版来在内网中进行防病毒系统的建立。产品特点: KV网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统,即适用于包含若干台主机的单一网段网络,也适用于包含各种WEB服务器、邮件服务器、应用服务器,以及分布在不同城市,包含数十万台主机的超大型网络。KV网络版具有以下显著特点:
(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理
宏锦企业网络KV网络版的主控制中心部署在DMZ服务器区,子控制中心部署在3层交换机的一台服务器上。
网络拓扑结构如图3-10所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-10 主控制中心部署图
子控制中心与主控制中心关系: 控制中心负责整个KV网络版的管理与控制,是整个KV网络版的核心,在部署KV网络时,必须首先安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着KV网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同,可以将控制中心划分为主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个 相对的概念:每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,这种控制结构可以根据网络的需要无限的延伸下去。
为宏锦企业网络安装好KV网络版杀毒软件后,为期配置软件的安全策略。对宏锦企业客户端计算机的KV软件实现更为完善的远程控制功能,利用KV软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中,我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项,如图3-11所示。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-11 “策略设置”命令菜单
为宏锦企业网络KV网络版杀毒软件配置“扫描设置”,扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。宏锦企业可以自己设定适合于自己网络环境的扫描方案,针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机:扫描目标,定时扫描,分类扫描,不扫描文件夹,扫描报告,简单而实用的设置页大大的增加了网络管理的易用性。其中扫描目标的设置界面如图3-12所示。
图3-12 扫描目标配置
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第四章 宏锦企业的网络管理
4.1宏锦企业网络管理的问题
(1)计算机软、硬件数量无法确实掌握,盘点困难;(2)单位的计算机数量越来越多,无法集中管理;
(3)无法有效防止员工私装软件,造成非法版权使用威胁;(4)硬件设备私下挪用、窃取,造成财产损失;(5)使用者计算机IP随易变更,造成故障频传;(6)软件单机安装浪费人力,应用软件版本不易控制;(7)重要资料遭非法拷贝,资料外泄,无法监督;(8)设备故障或资源不足,无法事先得到预警;
(9)应用软件购买后,员工真正使用状况如何,无从分析; 居高不下的信息化资源成本,不知如何改善。
4.2 宏锦企业网络管理实施
针对宏锦企业网络的需求,给企业安装SmartIPVIew管理软件实现宏锦企业网络对公司内部的设备以及IP网络资源管理。实施步骤安装SmartIPVIew管理软件,运行软件添加宏锦企业的IP网段如图4-1.火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图4-1 添加企业IP网段
单击确认,添加宏锦企业内部IP网段便于企业管理企业内部用户。对宏锦企业网络内部设备的管理如下图4-2所示。
图4-2 添加网络设备
如图4-2添加宏锦企业的网络设备,以实现企业对内部网络设备的监控和方便管理能有效的提高办公效率。
SmartIPVIew管理软件独创的IP地址资源管理技术,通过保护IP地址资源的安全使用,以及对IP地址资源的回收再利用,使有限的IP地址资源得到合理合法的使用,从而可以保证整个网络资源的有效利用和安全。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
总 结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
致 谢
在这几个多月的毕业设计中,我真诚的感谢老师的指导,在老师的帮助下我才顺利的完成毕业设计。
做毕业实际就需要把平时学到的东西在复习一遍,因为平时上课还有课后自己的学习,都主要在基于理论方面的,虽然也做很多实验,但当把毕业设计当作一个实际的工程来做的时候就会发现很多的问题,这就需要老师的指导了,特别是老师让我们在实训机房里面,直接就各个硬件进行操作,这样我们就不会空谈就会做的更深层次。
所以很感谢老师的帮助,让我更好的将理论和实践相结合,最后完成了此次毕业设计,同时也为以后工作做了很好的准备。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
参考文献
[ 1 ] 王达.网管员必读—网络安全.北京:机械工业出版社,2009. [ 2 ] 黄传河.网络规划设计师教程.北京:机械工业出版社,2009. [ 3 ] 张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003 [ 4 ] 王卫红,李晓明.计算机网络与互联网.北京:机械工业出版社,2009. [ 5 ] 易建勋.计算机网络技术.北京:人民邮电出版社,2007.[ 6 ] 扬卫东.网络系统集成与工程设计,2007.[ 7 ] 张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003 [ 8 ] 徐超汗.计算机网络安全实用技术,电子工业出版社,2005年3月 [ 9 ] 万博公司技术部.网络系统集成行业使用方案,海洋出版社,2006年 [10 ] 高永强,郭世泽.网络安全技术与应用大典.北京:人民邮电出版社,2003
火龙果整理 uml.org.cn
第三篇:电子政务网络安全解决方案
电子政务网络安全解决方案
电子政务网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
网络规划
各级网络
利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心
建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
图示:原有电子政务网络情况
电子政务网络的应用系统和网络连接方式多样,由于网络本身及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。
因此在电子政务网络的建设中,构建网络安全系统以确保网络信息的安全可靠是非常必要的。
物理安全风险分析
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有: ◆地震、水灾、火灾等环境事故造成整个系统毁灭;
◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; ◆设备被盗、被毁造成数据丢失或信息泄漏; ◆电磁辐射可能造成数据信息被窃取或偷阅;
◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析
网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全威胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。
远程办公安全接入 目前,政府网络应用环境纷乱复杂,既有内部的应用如:内部OA系统、文件共享、Email等应用服务,又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源?
虚拟专用网技术(VPN,Virtual PrivateNetwork)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。
单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,但它没有很强的访问控制功能,例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN是当前安全产品的发展趋势,能提供一个灵活、高效、完整的安全方案。
集成VPN的防火墙安全网关的优点是,它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DDoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,当前VPN技术已经成为安全网关产品的组成部分。
政府机关Intranet网络建设的VPN连接方案,利用IPsec安全协议的VPN和加密能力,实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接,实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系,对VPN的数据可以进行有效的控制和管理,使政府机关的内部网络通信具有良好的扩展性和管理性。
图示:政府机关Intranet网VPN解决方案
如上图示,原始的数据经过加密封装在另外一个IP通道内,通道头部地址就是防火墙外部端口的IP地址,以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全,168位的3DES算法更提供了业界最高级别的安全防御体系,使政府机关的内部数据可以无忧地在公网上传输,以达到政府机关内部网络安全扩展的目的。
网络结构的安全风险分析
(一)来自与公网互联的安全威胁
如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
(三)内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。
系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door(后门)。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。
应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
(一)资源共享
政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
病毒侵害
自从1983年世界上第一个计算机病毒出现以来,在20多年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。
随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
由于网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息
数据安全对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说,是决不允许的。
管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
防火墙系统设计方案
(一)防火墙系统
1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列,可以根据各局内部网的规模大小选择适合自己的产品。
2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,通知管理员调整控制规则,为整个网络提供动态的网络保护。
3、利用曙光天罗防火墙自带的VPN功能,实现多级VPN系统。防火墙VPN模块支持两种用户模式:远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示,在省地市三级网络出口处安装曙光天罗防火墙,利用防火墙的VPN模块,实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN);而对于一些规模比较小的区线或移动用户,通过安装VPN客户端,实现远程访问虚拟网(拨号VPN),整个构成一个安全的虚拟内部局域网,保障电子政务网络的数据安全传输。
(二)防火墙的VPN功能
VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接,可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。
也是至关重要的一点,它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多;
政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET,所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段,如点对点专线或长途拨号;
VPN不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销;
VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
在当今全球激烈竞争的环境下,最先实现VPN的政府机关将在竞争获得优势已经是不争的事实,许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务,并从中受益:
◆ 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络; ◆ 实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用; ◆ 远端验证拨入用户服务基于标准,基于策略功能的安全服务;
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来; ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控,可以优化网络资源;
◆ 极大的可扩展性,简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构,只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用,可以从小的政府机关扩展到最大的政府机关;
◆ 更大的网络灵活性,可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式,它综合了传统数据网络的性能优点(安全和QoS)和共享数据网络结构的优点(简单和低成本),必将成为未来传输完全汇聚业务的主要工具。
用户可以通过硬件和软件的方式来实现VPN功能,一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙,就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性,因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。
防火墙对服务器的保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客”攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
(四)防火墙对内网的保护
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客”工具造成严重破坏。
由于网络环境的复杂化和网络应用的多样化日益明显,对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为,比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因,内部用户接触网络服务的机会、方法很多,如果没有专门的安全防护,“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击(CRACK),对于内部网络的用户,防范攻击的难度较大。我们主要从以下几个方面考虑:
1)内部网络风险分析:由于内部攻击发生的比较频繁,因此我们首先要分析内部网络的安全隐患,把可能发生的不安定因素找出来进行专门的安全处理;
2)内部用户网络和网络的隔离:把内部比较重要的数据服务器放在专门的区域,加上独立的控制体系,对于内部网的访问同样要进行相应的安全控制;
3)内部网络安全保护:结合物理层和链路层的特点,在物理层和链路层的接口处实施安全控制,实施IP/MAC绑定。
IDS详述
IDS(入侵检测系统)对于关心网络安全防护的人们来说已不再是一个陌生的名词,在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外,有近15%的安全项目会涉及到IDS系统,而且这些项目一般都对安全等级的要求非常高,对数据信息的保密性也有特别的要求。
IDS系统
要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,政府机关对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。
在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或像KIDS那样所具有的“非阻断列表”的功能选项,可以允许用户加入所有他们所信任的主机IP地址。
目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。
IDS监控
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时,不但需要查看它的报警提示,而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时,网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时(DoS或DDoS),网络中的数据流量便可能会急速上升,这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
电子政务整体网络安全解决方案
电子政务系统中存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接,可以通过电子政务网络进行相互访问,服务器就有可能收到攻击。因此,必须在各局之间相互进行隔离防护。
如下图,我们在各局路由器后安装曙光TLFW千兆防火墙,以有三千用户在同时上Internet网计算,千兆防火墙的并发连接超过600,000,完全可以满足整个网络的需求,稳定性上也满足要求。同时,将局内网与其他区域逻辑隔离开来,在数据中心内,根据不同的服务器对安全性的不同需求,将它们分等级划分为不同的区域,并通过详细的包过滤规则制定,将这些服务器彻底保护起来,保证它们之间不能跨级别访问,这样实现分级的安全性。
通过安装防火墙,可以实现下列的安全目标:
1)利用防火墙将内部网络、Internet外部网络进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自非内部网的服务请求进行控制,使非法访问在到达主机前被拒绝; 4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线; 7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图:
图示:电子政务网络安全总体拓扑
根据以上的分析,在整个政府网络安全体系中,除了负责边界安全的防火墙设备以外,还选择了入侵检测系统进行共同防范,达到整个系统的高安全性。
同时因为用户有拨号VPN的需求,而曙光的天罗防火墙自身具备了VPN的功能,可以满足远程连接用户的安全要求。
具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用,网络性能和透明性好,拥有自行设计的全中文化WWW管理界面,通过直观、易用的界面来管理强大、复杂的系统功能。
可根据系统管理者设定的安全规则(Security Rules)把守网络的大门,提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。
根据电子政务的实际需要,充分利用了曙光天罗防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作,再加上NIDS网络入侵检测系统的重点防护,构建了一个整合的动态安全门户,以比较经济实惠的方式,实现了对电子政务网络的整体安全防护。
第四篇:政府网络安全自查报告(精选)
****镇网络安全自查报告
根据县委办关于开展网络信息安全考核的通知精神,我镇积极组织落实,对网络安全基础设施建设情况、网络安全防范技术情况及网络信息安全保密管理情况进行了自查,对我镇的网络信息安全建设进行了深刻的剖析,现将自查情况报告如下:
一、成立领导小组
为进一步加强网络信息系统安全管理工作,我镇成立了网络信息工作领导小组,由镇长任组长,分管副书记任常务副组长,下设办公室,做到分工明确,责任具体到人,确保网络信息安全工作顺利实施。
二、我镇网络安全现状
我镇的政府信息化建设从2008年开始,经过不断发展,逐渐由原来的小型局域网发展成为目前的互联互通网络。目前我镇共有电脑29台,采用防火墙对网络进行保护,均安装了杀毒软件对全镇计算机进行病毒防治。
三、我镇网络安全管理
为了做好信息化建设,规范政府信息化管理,我镇专门制订了《****镇网络安全管理制度》、《****镇网络信息安全保障工作方案》、《****镇病毒检测和网络安全漏洞检测制度》等多项制度,对信息化工作管理、内部电脑安全管理、计算机及网络设备管理、数据、资料和信息的安全管理、网络安全管理、计算机操作人员管理、网站内容管理、网站维护责任等各方面都作了详细规定,进一步规范了我镇信息安全管理工作。针对计算机保密工作,我镇制定了《****镇信息发布审核、登记制度》、《****镇突发信息网络事件应急预案》等相关制度,通过定期对网站上的所有信息进行整理,未发现涉及到安全保密内容的信息;与网络安全小组成员签订了《****镇2010年网络信息安全管理责任书》,确保计算机使用做到“谁使用、谁负责”;对我镇内网产生的数据信息进行严格、规范管理,并及时存档备份;此外,我镇在全镇范围内组织相关计算机安全技术培训,并开展有针对性的“网络信息安全”教育及演练,积极参加其他计算机安全技术培训,提高了网络维护以及安全防护技能和意识,有力地保障我镇政府信息网络正常运行。
四、网络安全存在的不足及整改措施
目前,我镇网络安全仍然存在以下几点不足:一是安全防范意识较为薄弱;二是病毒监控能力有待提高;三是对移动存储介质的使用管理还不够规范;四是遇到恶意攻击、计算机病毒侵袭等突发事件处理能力不够。
针对目前我镇网络安全方面存在的不足,提出以下几点整改意见:
1、进一步加强我镇网络安全小组成员计算机操作技术、网络安全技术方面的培训,强化我镇计算机操作人员对网络病毒、信息安全威胁的防范意识,做到早发现,早报告、早处理。
2、加强我镇干部职工在计算机技术、网络技术方面的学习,不断提高干部计算机技术水平。
3、进一步加强对各部门移动存储介质的管理,要求个人移动存储介质与部门移动存储介质分开,部门移动存储介质作为保存部门重要工作材料和内部办公使用,不得将个人移动存储介质与部门移动存储介质混用。
4、加强设备维护,及时更换和维护好故障设备,以免出现重大安全隐患,为我镇网络的稳定运行提供硬件保障。
五、对信息安全检查工作的意见和建议
随着信息化水平不断提高,人们对网络信息依赖也越来越大,保障网络与信息安全,维护国家安全和社会稳定,已经成为信息化发展中迫切需要解决的问题,由于我镇网络信息方面专业人才不足,对信息安全技术了解还不够,在其他兄弟乡镇或多或少存在类似情况,希望县委办及有关方面加强相关知识的培训与演练,以提高我们的防范能力。
****镇人民政府
2011年12月3日
第五篇:企业网络安全NGFW+ICG方案
安全解决方案
北京网康科技有限公司
/ 12
目录 安全风险分析.....................................3 1.1 来自公网的安全风险分析.........................3 1.2 来自内部人员及分部的安全威胁...................3 2 安全方案设计.....................................4 2.1 方案概述.......................................4 2.2 总体设计.......................................4 2.3 详细设计.......................................5 2.3.1 外部安全防护................................5 2.3.2 内部安全防护................................7 3 网康方案价值与产品优势..........................10 3.1 易用性........................................10 3.2 健壮性........................................11 3.3 产品优势......................................11
/ 12 安全风险分析
1.1 来自公网的安全风险分析
由于内部网络中其办公系统及各人主机上都有涉密信息。假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络。
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。如:
入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击;
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息;
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪; 发送大量包含恶意代码或病毒程序的邮件。
1.2 来自内部人员及分部的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括:
误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。
因不当使用Internet接入而降低生产率。不当使用Internet资源不但会浪费工人的时间,还能增加计算机网络的负担,降低了人员与网络的工作效率。
如果工作人员发送、接收和查看攻击性材料,可能会形成敌意的工作环境,从而增大内耗。
内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;
/ 12
内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去;
内部人员利用公司网络访问黄色网站、反动网站和其他与工作无关的网站; 内部人员访问不良网站时,无意中执行了网页上的恶意代码或病毒程序; 内部人员使用移动存储设备,不小心涉带有关病毒,导致网络瘫痪; 内部人员使用BT、P2P下载,严重影响网络使用 安全方案设计 2.1 方案概述
我们为贵单位网络构架了一个整套的安全体系结构,整个体系中最基本单元是每台在线主机的安全,即安全体系中的每一个点;子网/局域网是体系中的块状组成部分,是安全体系中的各个面;整个安全体系由各个层次和面组成,形成安全体系的立体框架。我们知道实现网络安全不是一次可以完成的任务,需要不断根据网络环境和网络管理进行调整,我们设计的解决方案充分兼容今后的安全管理及优化的需求。
基于以上的分析,我们建议以系统的内部安全优化修复,清除网络安全漏洞为主要手段,提高网络内每个点的安全系数,清除各点的安全隐患,以网络优化系统、防火墙和防毒软件等安全产品对网络施以自动监控和防御,在各个面形成有效的防御体系,最后通过加强人员培训,提高管理水平,制定先进的安全策略,消除全网的各种安全威胁,全面提高软件、硬件和人员的安全水平,形成一个牢固的,立体的网络安全防御体系。
2.2 总体设计
依据我们的安全系统设计原则,并结合贵单位网络系统的实际情况和需求,采用一系列产品搭建安全防范体系,通过安全技术和管理手段,使安全产品充分发挥其安全保护的作用。
首先,从安全区域上,我们将网络划分为:服务器区、办公区,并采用防火墙将上述各个区域进行隔离,以对各个区域之间的相互访问进行访问控制,构成第一道安全防护体系。对于接入Internet的区域,都将Internet的LAN接口接在防火墙的接口上,从而实现对来自Internet的入侵的防护。
/ 12
第二,为了对保护公司本部的重要服务器(如管理服务器、邮件服务器、数据库服务器),特将这些重要的服务器放在同一网段,用防火墙进行访问控制,该网段称为非军事化区(DMZ区)。再使用SSL VPN设备将重要服务器进行发布,对外呈现只有SSL VPN一个服务,并根据具体要求配置SSL VPN安全访问策略,保护公司本部的重要服务器。
第三,在网络出口防火墙与核心交换机间部署网康互联网控制网关(ICG)设备,对内网的所有网络行为进行审计和记录,及时有效地管理办公人员的上网行为,包括网页服务、即时聊天、论坛言论发布、邮件收发等;除此之外还可进行全网的流量分析,并阻断P2P及与办公无关的应用,保证带宽的使用价值,提升网络的可用性,减少投资。并可以分析网络带宽利用状况,方便排除网络故障。
第四,通过网康防火墙的部署,全面地保护内部各区域网络不受到病毒的入侵和破坏。利用全方位的企业防毒产品,实施“层层设防,集中控管,以防为主、防治结合”的策略,使网络没有能成为病毒入侵的薄弱环节。
拓扑图如下:
2.3 详细设计
2.3.1 外部安全防护
网康下一代防火墙NGFW。通过深入洞察网络流量中的用户、应用和内容,并借助全新
/ 12 的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助帮助用户安全地开展业务并简化用户的网络安全架构。入侵、病毒、木马防护
网康下一代防火墙NGFW提供了对黑客入侵、上传或下载病毒和木马的防护手段。通过在“策略配置”界面配置“安全策略”,用户可以非常方便地实现基于用户、应用、服务和时间的一体化防护。
针对企业的具体情况,建议采用开启对服务器域从外到内的IPS和AV防护,防范从外部发起的网络攻击、传病毒、传木马等行为;开启从内到外的IPS、AV防护和URL过滤,防范内部用户的攻击、染毒、僵尸主机或访问恶意网站等行为。
策略配置完成后可以在设备首页实时看到当前网络的威胁和告警信息,同时也可以在监控中心的威胁日志、告警日志和网址过滤日志中看到更多的细节信息。DoS防护
网康下一代防火墙NGFW提供了对DoS攻击的防护功能,可以配置策略针对不同的DoS攻击类型进行聚合防护和分类防护。
针对企业的具体情况,建议分别对从内到外和从外到内的DoS攻击防护进行配置。其中,服务器域的连接数阈值要相应提高。ARP防护
网康下一代防火墙NGFW支持通过绑定静态ARP的方式防止ARP攻击。
建议企业根据实际网络拓扑情况在各核心设备上开启静态ARP功能,进行IP和MAC的绑定,防止ARP欺骗造成的无法联网或无法访问某些网站的现象产生。网络攻击防护
网康下一代防火墙NGFW支持通过对常见网络攻击进行防护,如TearDrop、LAND、WinNuke、Smurf、Fraggle和Ping Of Death等。
建议企业开启网络攻击防护功能,保障网络服务器的安全。主动发现服务器是否被植入木马
网康下一代防火墙NGFW提供了深入的应用洞察能力,用户可以通过简单的配置方便地主动发现服务器是否有异常行为,从而发现服务器中隐藏的木马。主动发现网络中存在风险的服务器或僵尸主机
建议采用以下方式主动发现网络中存在风险的服务器或僵尸主机。
1.定期查看“应用分析”模块,筛选应用名称为“木马”、“远程桌面”、“ssh”、“HTTP
/ 12
PROXY”等高风险应用,查看产生这些应用流量的IP地址,根据需要进行防护和整改。
2.定期查看“应用分析”模块,筛选网址类别为“木马病毒”、“钓鱼网站”等高风险网址,查看排名前几名的IP,主动对这些IP进行杀毒。
3.定期查看“监控中心”的应用对比统计功能,查看网络中同一时段的应用连接数和流量变化,当高风险应用连接数和流量较大时,可在“应用分析”和“流量日志”中找到相应时段的流量细节。
主动检测网站是否被挂黑链或挂马
建议采用以下方式主动网站是否被挂黑链或挂马。
1.在网站服务器或其他无人使用的服务器上设定计划任务,定时访问xxx政府机关官方网站首页。
2.定期查看“应用分析”模块,筛选源地址为服务器IP,筛选普通HTTP应用,查看目的IP地址是否正常,若出现异常IP地址即为被挂黑链,若筛选的IP地址出现较大HTTP下载流量即为被挂马。
2.3.2 内部安全防护
网康互联网控制网关(ICG),为用户提供专业的用户管理、应用控制、网页过滤、内容审计、流量管理和行为分析等功能。可以帮助客户达成上网行为可视、减少安全风险,减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源。
1、内容审计
外发信息审计
通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。本方案提供全方位的审计功能,可实现针对IM、邮件、FTP、论坛发帖等应用的内容审计。
审计功能在默认配置下关闭,需要管理员手动打开审计功能,方可实现全方位的审计。同时,可通过分级分权功能,收回设备管理员审计功能的权限,以彻底关闭审计功能,在这种情况,打开审计功能的权限仅超级管理员拥有。
邮件收发审计和过滤
网康ICG不但可以审计通过任意端口的POP3和SMTP协议收发邮件内容,同时还可以审计通过WEB-MAIL发送邮件的内容,实现对用户邮件收发内容的全面审计。
/ 12
2、行为管理 网页过滤
Web是互联网上内容最丰富、访问量最大的应用,然而网页内容良莠不齐,充斥许多反动、暴力、色情以及其它不健康的信息;此外,大量网络应用,如P2P,IM,网络电视、游戏等等,也借助HTTP协议或者80端口,一方面躲避防火墙的封堵,一方面携带病毒、恶意软件,为内网用户带来安全风险,挤占网络带宽。网康ICG通过预分类过滤技术、URL自动分类引擎以及灵活的策略设置,对违反国家法律、危害企业安全的内容进行过滤,避免用户有意无意访问包含非法内容的网页,净化网络,减少病毒进入局域网的几率,降低企业法律风险,创造文明健康的上网环境。
最领先的中文URL分类数据库
网页内容浩如烟海,URL数目数以千万计。传统的网页过滤通过预设的关键字,对网页内容进行匹配,效率很低,而且误封率居高不下,已经退出应用的主流。另外一种方法是预先设置需要封堵的URL列表,对URL进行实时的匹配过滤,这也存在很大的缺陷,由于URL数量巨大,依靠手工添加方式不可能实现完整的过滤,而且对URL列表的更新管理几乎不可能。目前国际上最先进的方式是将URL按照一定的标准进行预分类,然后由网关设备对类别进行过滤,既解决了过滤效率的问题,又保证了过滤的完整性与实效性。应用控制
随着技术的迅猛发展,各种互联网应用层出不穷,如即时通讯(IM)、网络游戏、在线炒股以及在线音乐视频等等。未加管理的使用,不可避免地影响员工的工作效率。在一项调查中,超过80%的员工在上班时间做过与工作无关的工作,其中,有60%的被调查员工承认其主要是在玩网络游戏、用QQ / MSN等即时通讯软件聊天,以及炒股等等。这些不当网络活动大大降低了员工的工作效率,造成了企业人力资源的严重浪费。同时,与工作无关的应用,如P2P下载、在线视频等对带宽资源的挤占,使得关键业务的使用质量无法保障,大大降低了出口链路的利用率,造成了企业带宽资源的严重浪费。
基于特征识别的覆盖全面的应用协议数据库
欲控制各种网络应用,必先准确识别。传统安全产品通过IP或者端口封堵各种协议,只能局限于标准的协议,如HTTP,SMTP,且主要是在网络层以及传输层进行,对应用层的内容无能为力,而且,如果IP与端口经过动态协商建立,比如QQ,P2P下载等,则完全不能胜任。网康ICG对应用的识别是通过应用特征与行为特征实现的。所谓应用特征,是指在成序列的数据包的应用层信息中,存在有规律的字节特征,它可以唯一地标识某种应用协议,8 / 12
就如同一个人无论穿什么颜色的衣服,其指纹特征不会改变,而且是唯一的。类似地,ICG可以通过特征值准确地识别网络应用;而行为特征,是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定规律性,通过这些行为模式可以识别特征值不明显的应用类型。
网康ICG拥有国内最全面的网络应用协议数据库,分为20余种大类,共2000多种协议。
3、带宽管理
网络感知
网康行为管理设备提供丰富的监控界面,可以实时显示网络运行情况,以图标形式显示设备实时流速、用户实时流速、应用实时流速、实时审计日志等,如下图:
支持灵活的流量限额手段 流量限速
流量限速功能可以基于时间、VLAN、对从源用户(组)去往目的用户(组)的网络应用上传、下载流速进行限制。每用户带宽上限
每用户带宽上限功能可以对每个用户的带宽进行管理,具体分为每用户的带宽上限控制和通道内每用户的带宽上限控制。流量限额
网康 ITM 还可以从流量的角度对网络应用进行管理,通过每用户的流量限额和通道整体的流量限额功能,为某种网络应用设定流量限额阀值,在预定的周期性时间段范围内,限
/ 12
制此应用的流量总额连接控制 支持丰富的流量保障手段 带宽保证
带宽保证功能可以在带宽资源有限而多种网络应用并存的情况下,通过为关键业务建立并指定带宽通道的方式,从而避免了关键业务应用与非关键业务应用共同争用带宽,有效保障了关键业务应用的正常使用。带宽预留
在保障关键业务应用时,既可以通过通道的带宽保证来实现,也可以通过带宽预留来实现。带宽预留可以对对进入特定通道的某(些)关键业务的应用架设“带宽专线”,通过划分专门的带宽,使关键业务在任何时候都可以独享该通道全部的带宽资源,彻底避免非关键业务无序抢占此专线带宽资源,从而使关键业务应用的带宽需求能获得可靠保障。带宽平均
根据通道里用户数量的动态变化实时调整各用户的带宽分配,保证流经通道里的所有用户动态平均享用该通道的全部带宽资源,实现带宽资源得到高效与公平地利用。网康方案价值与产品优势 3.1 易用性
该方案可以支持透明桥接、网关、旁路镜像、代理模式等多种部署方式,可以最大程度兼容各种网络环境下的部署需求,同时最大程度地减少对现有网络结构的改造需求,设备上线十分简单,操作量小,实施快速。
修改任何设备配置无需重启,满足不间断运营的要求;采用图形化报警方式,使得风险可快速被管理员获得;管理采用HTTPS方式,对浏览器无插件依赖;系统健康参数一目了然,CPU,内存,硬盘使用率,持续运行时间一目了然;排错简单,一键bypass功能按下后,可直接定位问题是否由设备造成;各分支设备可集中管理,实现设备状况统一监控,策略集中下发,集中回收;通过图形化的操作方式,以及标准的配置过程模式,利用鼠标的勾勾选选即可实现策略的完整配置,满足非专业人员的快速使用。
设备版本一键升级,用户只需点击升级按钮即可实现全版本的更新,原有配
/ 12
置与日志数据可完全保留; 整个升级过程不依赖客户端,没有任何需要判断的分支步骤 ;URL数据库与应用协议库保持以天为单位的快速更新。
3.2 健壮性
网康设备提供硬件bypass与软件bypass双重保护,确保发生异常时网络依然畅通。通过带电模式下的智能bypass功能,当系统出现宕机等严重异常时,工作接口可以自动的物理导通,同时管理接口还可以继续排查设备的问题。在不影响用户正常使用的同时,还能定位问题的来源。
网康科技的产品拥有多项高性能优化专利,在同等级的硬件平台上可以提供更强的处理转发性能,从而有效的避免新添加的设备带来的网络延时,在提供上网行为管理功能的同时,不会影响原有线路的质量。
网康科技采用了自主研发的NSOS操作系统,并进行了专门安全加固,可有效的防护对设备的攻击和入侵,全面保障设备自身的安全。
网康科技采用了独有的用户交互隐身技术,无论是对用户弹出的认证登录框,还是行为阻塞的提示框,或者客户端下载框都采用了设备隐身技术,使得最终用户无法获取设备本身的地址。避免了可能的有针对性的尝试攻击,或者DOS攻击。
3.3 产品优势
网康下一代防火墙 领先的应用识别技术
凭借网康科技在应用识别和内容控制领域8年的技术积累,实现了对2000种以上网络应用的识别,其中包含了300多种高风险应用,从各种维度对不同应用做出评价。先进的主动防御技术
基于行为分析感知僵尸主机,通过多维度的数据分析和多种类型日志的智能关联集成,实现应用威胁的可视化,便于用户提早发现网络中潜在的威胁,并主动调整安全策略。高性能的应用安全防护
/ 12
采用网康独有专利技术的多核加速转发引擎,充分发挥硬件优势,实现高性能的应用安全防护。移动识别和管理
支持超过500种移动互联网应用,覆盖苹果、安卓、塞班等多种移动平台,涵盖聊天、微博、视频、地图等多种主流应用类型。 网康上网行为管理(ICG)丰富的用户识别类型
支持基于IP/MAC、计算机名、POP3、Proxy、LDAP、AD域、Radius、Portal进行认证,同时支持和多种认证系统联动,实现单点认证。国内最大的URL库
拥有国内最大且唯一拥有自主知识产权的、包含3000万中文网页的URL库,每日更新,即时发现恶意网站。精确网页内容审计
可针对必要的分类进行分类网页快照留存设计,满足审计全面性的同时,不消耗过多的存储资源。精确搜索引擎关键字审计,可针对不用的搜索分类进行不同关键字的设置,例如对图片视频类要控制色情类的词语,文字网页类的搜索要控制政治类的词语。
/ 12
点击咨询 