前言：中文期刊網(wǎng)精心挑選了防火墻解決方案范文供你參考和學(xué)習(xí)，希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感，歡迎閱讀。

防火墻解決方案范文1

在技術(shù)和用戶需求驅(qū)動下，網(wǎng)絡(luò)和高端安全產(chǎn)品正在走向融合。未來，新一代信息技術(shù)將呈現(xiàn)出更加開放、智能、融合的屬性，這將給信息安全從業(yè)者帶來更大挑戰(zhàn)。

從用戶方面看，用戶需求開始由被動向主動轉(zhuǎn)型，對產(chǎn)品的選擇也趨于理性。在產(chǎn)品結(jié)構(gòu)方面，除防火墻、IDS（入侵檢測系統(tǒng)）和防病毒這“老三樣”產(chǎn)品外，用戶對UTM（統(tǒng)一威脅管理）、Web安全、信息加密、身份認(rèn)證、IPS（入侵防御系統(tǒng)）、VPN（虛擬專用網(wǎng)絡(luò)）、安全審計、安全管理平臺、專業(yè)安全服務(wù)等的需求逐步上升。

從防護(hù)對象看，用戶對網(wǎng)絡(luò)邊界安全和內(nèi)網(wǎng)安全防護(hù)都有所加強(qiáng)，服務(wù)器、終端、操作系統(tǒng)、數(shù)據(jù)庫等軟硬件系統(tǒng)防護(hù)體系建設(shè)全面推進(jìn)。網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全和系統(tǒng)安全體系將逐步健全。

2011年，隨著網(wǎng)絡(luò)威脅變得更加復(fù)雜多樣，單一功能的安全產(chǎn)品越來越難以滿足客戶的安全防護(hù)需求，安全產(chǎn)品正在向多功能化方向發(fā)展，安全集成和產(chǎn)品功能融合已經(jīng)是大勢所趨，這種融合包括：軟硬件、安全產(chǎn)品和IT設(shè)備的融合，廠商之間的產(chǎn)品和解決方案的融合等。如：UTM將多種安全功能集于一體，集成了防火墻、網(wǎng)關(guān)防病毒、網(wǎng)絡(luò)入侵檢測與防護(hù)等功能，有取代傳統(tǒng)防火墻之勢，有望成為未來的主流信息安全產(chǎn)品之一。

從具體產(chǎn)品看，防火墻已經(jīng)從最初的包過濾防火墻發(fā)展到現(xiàn)在的深度檢測防火墻，產(chǎn)品性能和對應(yīng)用層數(shù)據(jù)的檢測能力不斷提高；UTM從簡單的功能疊加，逐步發(fā)展到功能融合；IDS/IPS隨著網(wǎng)絡(luò)技術(shù)和相關(guān)學(xué)科的發(fā)展日趨成熟；內(nèi)網(wǎng)（終端）安全產(chǎn)品需求快速增長；Web應(yīng)用安全類產(chǎn)品從單一保護(hù)模式發(fā)展到多方保護(hù)模式；SOC（安全管理平臺）產(chǎn)品正不斷適應(yīng)本地化需求。

東軟NetEye安全運(yùn)維管理平臺(SOC）

東軟NetEye安全運(yùn)維管理平臺（SOC）解決了海量數(shù)據(jù)和信息孤島的困擾，整體上簡化了安全管理的數(shù)據(jù)模型。通過將網(wǎng)絡(luò)中各類IT基礎(chǔ)設(shè)施的多類數(shù)據(jù)存儲到一個通用數(shù)據(jù)庫中，并根據(jù)科學(xué)的策略進(jìn)行關(guān)聯(lián)分析，協(xié)助安全維護(hù)人員更有效地回應(yīng)不斷變化的安全風(fēng)險。

東軟SOC采用創(chuàng)新的“私有云”架構(gòu)，將數(shù)據(jù)收集、數(shù)據(jù)集成、數(shù)據(jù)分析等任務(wù)逐層下發(fā)到云端，實(shí)現(xiàn)了海量異構(gòu)數(shù)據(jù)集成、數(shù)據(jù)歸并、數(shù)據(jù)分析的多層次處理。基于云的系統(tǒng)能同時匯聚超大規(guī)模的數(shù)據(jù)信息，并擴(kuò)大其監(jiān)控的范圍，從而提高分析的有效性。

東軟SOC能實(shí)現(xiàn)人性化的觸摸屏操作，可以進(jìn)行形象化比擬安全狀態(tài)，能對業(yè)務(wù)系統(tǒng)進(jìn)行監(jiān)控，全面展開數(shù)據(jù)收集，并能進(jìn)行海量異構(gòu)數(shù)據(jù)收集與分析，提供細(xì)致到位的平臺支撐。

華賽Secospace USG5500萬兆UTM

Secospace USG5500是華為賽門鐵克面向大中型企業(yè)和下一代數(shù)據(jù)中心推出的新一代萬兆UTM。USG5500集大容量交換與專業(yè)安全于一體，在僅3U的平臺上提供了超過30G的處理能力，融合了IPS、AV、URL過濾、應(yīng)用流量控制、反垃圾郵件等行業(yè)領(lǐng)先的專業(yè)安全技術(shù)，可精細(xì)化管理一千多種網(wǎng)絡(luò)應(yīng)用，同時傳承了USG產(chǎn)品族優(yōu)異的防火墻、VPN及路由特性，為用戶打造更高速、更高效、更安全的網(wǎng)絡(luò)。

USG5500有以下特點(diǎn)：更高速，能提供萬兆多核全新硬件平臺，實(shí)現(xiàn)海量業(yè)務(wù)處理；更高效，能進(jìn)行超千種應(yīng)用程序精細(xì)管理；更安全，重新演繹了專業(yè)內(nèi)容安全防御技術(shù)。USG5500基于賽門鐵克多年積累的反病毒技術(shù)，采用文件級內(nèi)容掃描的AV引擎，結(jié)合全球領(lǐng)先的仿真環(huán)境虛擬執(zhí)行技術(shù)，提供高達(dá)99%的精準(zhǔn)檢出率，多次獲國際評測組織好評；專業(yè)漏洞補(bǔ)丁技術(shù)，讓變形無所遁形：USG5500采用賽門鐵克領(lǐng)先的漏洞防護(hù)技術(shù)，針對漏洞（而非攻擊代碼）提供“虛擬補(bǔ)丁”。

梭子魚下一代防火墻F800

梭子魚下一代防火墻F800是一個集成硬件設(shè)備和虛擬化軟件的安全網(wǎng)關(guān)，它能全面防護(hù)企業(yè)網(wǎng)絡(luò)架構(gòu)，提升點(diǎn)對點(diǎn)連接流量，簡化網(wǎng)絡(luò)操作流程。除了強(qiáng)大的防火墻和VPN功能以外，產(chǎn)品還集成了一系列下一代防火墻的復(fù)雜技術(shù)，包括身份認(rèn)證的七層應(yīng)用控制、入侵檢測、安全網(wǎng)關(guān)、垃圾郵件防護(hù)以及網(wǎng)絡(luò)準(zhǔn)入控制等。

梭子魚下一代防火墻F800突出了智能點(diǎn)對點(diǎn)流量管理功能，大大優(yōu)化了廣域網(wǎng)的性能和功能。信息管理人員可以輕松管理應(yīng)用層路徑，根據(jù)多鏈路、多通道和不同的流量情況安排鏈路的優(yōu)先順序。產(chǎn)品支持多種鏈接接入方式，包括專用線路、XDSL、3G/UMTS無線移動網(wǎng)絡(luò)及其他以太網(wǎng)的鏈路接口。

除了上述領(lǐng)先的下一代防火墻的卓越性能外，該產(chǎn)品還配備了業(yè)界領(lǐng)先的中央管理控制平臺、功能更具彈性的VPN及智能流量管理技術(shù)，能保障用戶在全面提升網(wǎng)絡(luò)性能的同時縮減成本支出。

Hillstone云數(shù)據(jù)中心安全解決方案

采用Hillstone SG-6000-X6150高性能數(shù)據(jù)中心防火墻的彈性化安全方案，能為云數(shù)據(jù)中心提供有效保障。HillstoneSG-6000-X6150是Hillstone的100G數(shù)據(jù)中心防火墻，它具有以下特點(diǎn)：電信級可靠性設(shè)計，高性能、高容量、低延遲，智能的業(yè)務(wù)自適應(yīng)能力，深度應(yīng)用檢測及網(wǎng)絡(luò)可視化，豐富的業(yè)務(wù)擴(kuò)展能力，綠色、節(jié)能、環(huán)保。

該方案能為海量計算提供更高的性能保障。HillstoneSG-6000-X6150高性能數(shù)據(jù)中心防火墻可提供更為有效的保障，平臺采用全并行安全架構(gòu)，實(shí)現(xiàn)對安全業(yè)務(wù)的分布式處理；對軟件處理流程進(jìn)行了很大的優(yōu)化，在業(yè)務(wù)安全處理流程上，實(shí)現(xiàn)一次解包全并行處理，達(dá)到最高的處理效率。

該方案還能為快速增長的業(yè)務(wù)提供高可擴(kuò)展性支持。HillstoneSG-6000-X6150高性能數(shù)據(jù)中心防火墻采用彈性架構(gòu)，在全模塊化設(shè)計的基礎(chǔ)上，實(shí)現(xiàn)數(shù)據(jù)輸入/輸出與安全計算的分離、控制與安全處理的分離，多個計算資源可為相同的接口服務(wù)，在增加業(yè)務(wù)處理模塊后，為特定的業(yè)務(wù)提供更高性能的處理資源。這種彈性可擴(kuò)展的特性，既降低了數(shù)據(jù)中心安全建設(shè)的初期成本，同時伴隨著業(yè)務(wù)增長，也有效地保護(hù)了用戶投資。

除以上功能外，該方案還能為云數(shù)據(jù)中心業(yè)務(wù)持續(xù)性提供高可靠保證，為云數(shù)據(jù)中心虛擬化提供支撐，并能提供云數(shù)據(jù)中心全局可視化管理。

趨勢科技云計算安全解決方案

趨勢科技的云計算安全整體解決方案可以全面保護(hù)超過22種平臺和環(huán)境的數(shù)據(jù)資產(chǎn)。通過趨勢科技的企業(yè)威脅管理戰(zhàn)略配合“云計算安全5.0”解決方案，用戶可全面地保護(hù)從物理機(jī)、虛擬機(jī)到云基礎(chǔ)設(shè)施、云數(shù)據(jù)、云應(yīng)用到移動互聯(lián)網(wǎng)中的移動設(shè)備和智能手機(jī)等環(huán)境。趨勢科技帶給企業(yè)用戶的全球領(lǐng)先的云計算安全技術(shù)，將成為云計算產(chǎn)業(yè)發(fā)展最堅實(shí)的基礎(chǔ)，這使得用戶能夠邁向云端，安心地全力把握云計算浪潮所帶來的寶貴商機(jī)。

防火墻解決方案范文2

關(guān)鍵詞:防火墻;雙機(jī);狀態(tài)檢測;VRRP

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)36-10454-03

隨著互聯(lián)網(wǎng)以及現(xiàn)代通訊技術(shù)的發(fā)展,以及用戶對服務(wù)品質(zhì)的需求,高可用性網(wǎng)絡(luò)已經(jīng)越來越成為Internet組網(wǎng)設(shè)計的目標(biāo)。因網(wǎng)絡(luò)中斷給用戶帶來的損失以及潛在損失已經(jīng)十分巨大,有研究表明,網(wǎng)絡(luò)停運(yùn)帶來的損失已經(jīng)高達(dá)幾百萬美元/每小時,而由此帶來的隱性損失則更是難以估量。

在防火墻的可靠性試驗之前,先了解目前防火墻的技術(shù)以及該技術(shù)特點(diǎn)對防火墻可靠性的影響,目前各類型的防火墻從其實(shí)現(xiàn)原理上來說基于以下三大類:

1) 基于逐包轉(zhuǎn)發(fā)過濾的包過濾;

2) 通過檢測會話狀態(tài)基于會話流的狀態(tài);

3) 基于應(yīng)用方式的全。

這三種防火墻技術(shù)的優(yōu)缺點(diǎn)不作詳細(xì)討論,對于第一種逐包轉(zhuǎn)發(fā)過濾的包過濾防火墻因為其不能很好的區(qū)分和保護(hù)不同的區(qū)域,在運(yùn)行內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的同時也提供了外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的安全漏洞,因此這種防火墻技術(shù)在近年來屬于逐步被淘汰的技術(shù),但是就可靠性而言,因為該技術(shù)采用逐包轉(zhuǎn)發(fā)過濾,對會話流的來回路徑不敏感,因此在不做Nat的時候,其冗余設(shè)備的備份可以做到平滑過渡,不過在啟動了Nat功能的情況下,由于不同的設(shè)備很難做到對同一會話進(jìn)行相同的地址轉(zhuǎn)換,導(dǎo)致包過濾防火墻在Nat的應(yīng)用中也出現(xiàn)問題。

對于基于應(yīng)用方式的全防火墻,由于其隔離了與外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的連接,它能給內(nèi)部網(wǎng)絡(luò)提供很好的保護(hù),但是他的優(yōu)點(diǎn)同時也是最大的缺點(diǎn),由于采用的是應(yīng)用的方式,對于應(yīng)用程序而言就不透明了,需要應(yīng)用程序為這種連接進(jìn)行適配;并且由于采用了全方式,其處理的性能要明顯低于其它兩種類型的防火墻。就可靠性而言,要做到雙機(jī)熱備的話,不僅要求會話的來回路徑一致,而且因為它是全,這要求每一個報文都需要適時地備份到備機(jī)上去,這種特性使得全方式的防火墻的雙機(jī)熱備實(shí)現(xiàn)起來很困難,在實(shí)際應(yīng)用中也很少見這種防火墻的備份方案。

下面我們將通過兩組實(shí)驗討論基于會話流的狀態(tài)防火墻的可靠性問題,所謂狀態(tài)防火墻是指用戶通過防火墻訪問外部網(wǎng)絡(luò)時,會在防火墻上創(chuàng)建一個會話表項(該會話表項通常情況下會包含該會話的五元組信息――源/目的IP地址、源/目的端口、協(xié)議類型),這樣從外面回應(yīng)的報文如果能匹配該五元組就能順利通過防火墻到達(dá)用戶,而從外面主動發(fā)起的會話請求因為不能匹配任何會話表項,而被ACL規(guī)則過濾掉。這樣就可以提供給用戶不同級別的保護(hù),從而有效地保護(hù)用戶的內(nèi)部網(wǎng)絡(luò)。目前大部分防火墻產(chǎn)品都是屬于這種技術(shù)的防火墻。由于這種基于會話流的防火墻要求每個會話的來回路徑一致,因此在做雙機(jī)熱備的時候?qū)M網(wǎng)有特殊的要求,以下將通過實(shí)驗了解防火墻可靠性技術(shù),以及實(shí)驗過程中出現(xiàn)的問題并提出的解決方案。

1 防火墻雙機(jī)試驗組網(wǎng)及配置

單組防火墻雙機(jī)可靠性實(shí)驗中采用設(shè)備有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及華為Quidway 6500系列交換機(jī), sinfor互聯(lián)網(wǎng)安全控制產(chǎn)品。根據(jù)可靠性要求將網(wǎng)絡(luò)安全設(shè)備和交換設(shè)備進(jìn)行如下組網(wǎng)設(shè)計和部署,通過實(shí)驗測試防火墻HA情況下不同安全區(qū)域的數(shù)據(jù)過濾及交換情況以及在該種模式和網(wǎng)絡(luò)結(jié)構(gòu)中存在的故障現(xiàn)象。

首先我們做單組防火墻雙機(jī)的實(shí)驗,其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

該結(jié)構(gòu)使用H3C系列高端網(wǎng)絡(luò)及安全設(shè)備組網(wǎng),適用于大中型企業(yè)核心網(wǎng)絡(luò)安全控制區(qū)域的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。通過這種網(wǎng)絡(luò)結(jié)構(gòu)的部署可以有效的防御外部網(wǎng)絡(luò)及企業(yè)內(nèi)部網(wǎng)絡(luò)對重要服務(wù)器的安全攻擊、漏洞掃描、木馬入侵等等,進(jìn)而有效地對企業(yè)的研發(fā)、生產(chǎn)、商業(yè)、財務(wù)等機(jī)密數(shù)據(jù)進(jìn)行保護(hù)和可控授權(quán)訪問。本實(shí)驗中將主要針對這種結(jié)構(gòu)下所使用設(shè)備部署完成后出現(xiàn)的故障進(jìn)行分析和討論。

單組防火墻雙機(jī)實(shí)驗采用H3C9512高端交換作為企業(yè)的核心交換,H3C9508作為企業(yè)應(yīng)用服務(wù)器區(qū)域的核心交換。在4臺9500系列的交換上分別配置萬兆光纖交換單板,在9508上加H3C的SecBlade III防火墻業(yè)務(wù)單板,防火墻單板通過9508內(nèi)置的萬兆接口與9508互連。兩臺9500系列交換通過萬兆光纖接口卡進(jìn)行交叉互連,設(shè)備互連接口地址均使用30位掩碼。9508交換作為二層交換使用,服務(wù)器區(qū)域的三層網(wǎng)關(guān)地址全部配置在SecBlade防火墻與9508互連的萬兆接口的邏輯子接口上,并且這些VLAN都配置為VRRP模式,可根據(jù)需要將其中一臺防火墻或者其中一部分VLAN配置為master vlan,另外一臺或者另外一部分VLAN配置為slaver vlan。在防火墻和9512上都啟用ospf協(xié)議,將互連及三層VLAN地址段到ospf中。因該防火墻可將不同的VLAN劃分在不同的安全區(qū)域內(nèi),所以我們在防火墻上配置3個不同的安全域,并將配置好的邏輯子接口劃分到不同的安全域中,這樣就形成了不同的安全區(qū)域,安全區(qū)域的默認(rèn)訪問規(guī)則為單向,也就是高優(yōu)先級區(qū)域默認(rèn)可訪問低優(yōu)先級區(qū)域。然后在9508上增加與防火墻三層接口相同的VLAN,在將千兆物理接口添加到不同安全區(qū)域級別的VLAN中。最后啟用防火墻的雙機(jī)熱備功能,并選擇防火墻業(yè)務(wù)板上的一個接口作為心跳接口,服務(wù)器(unix系統(tǒng),需要雙網(wǎng)卡)通過EtherChannel IEEE802.3ad配置成網(wǎng)卡冷備的模式,為了能模擬出各種情況,我們特意將server1的主網(wǎng)卡放在9508-A上,將server2的主網(wǎng)卡放在9508-B上。為避免因靜態(tài)路由帶來的不能檢測設(shè)備故障的情況,該組網(wǎng)采用了動態(tài)路由協(xié)議,在防火墻和交換上都啟用ospf協(xié)議。

串聯(lián)多組防火墻雙機(jī)試驗設(shè)備采用了Juniper及Topsec防火墻、H3c9512交換機(jī)、深信服行為控制設(shè)備、Radware的LinkProof鏈路負(fù)載均衡及2條不同ISP互聯(lián)網(wǎng)線路。這些設(shè)備都是我們選用的支持雙機(jī)的網(wǎng)絡(luò)及安全設(shè)備進(jìn)行串聯(lián),進(jìn)行Intranet和internet互訪、Intranet與DMZ、Internet與DMZ區(qū)域之間數(shù)據(jù)通訊測試。由于實(shí)驗1已經(jīng)介紹了單組防火墻雙機(jī)的實(shí)驗情形,故這里只介紹軍事化區(qū)域至互聯(lián)網(wǎng)區(qū)域數(shù)據(jù)通訊的實(shí)驗情況,該實(shí)驗的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

該網(wǎng)絡(luò)結(jié)構(gòu)使用雙重防火墻及上網(wǎng)行為控制設(shè)備對企業(yè)軍事化區(qū)域和互聯(lián)網(wǎng)區(qū)域進(jìn)行了嚴(yán)格的數(shù)據(jù)過濾和行為控制,是企業(yè)軍事化區(qū)域、半軍事化區(qū)域及互聯(lián)網(wǎng)區(qū)域之間數(shù)據(jù)互訪受控的一種常用網(wǎng)絡(luò)結(jié)構(gòu),適用于大中型企業(yè)對內(nèi)外部數(shù)據(jù)交換須進(jìn)行嚴(yán)格控制、審計、授權(quán)訪問等操作,或網(wǎng)絡(luò)運(yùn)營服務(wù)商對外部用戶提供高可靠和安全性互聯(lián)網(wǎng)服務(wù)在互聯(lián)網(wǎng)出口部分至企業(yè)核心交換層的網(wǎng)絡(luò)部署。通過本網(wǎng)絡(luò)可以有效對內(nèi)外部上至應(yīng)用層下至物理層數(shù)據(jù)的交換有效的控制、阻斷、審計。

同樣先簡單介紹該組網(wǎng)拓?fù)浣Y(jié)構(gòu)及設(shè)備配置的基本信息。我們同樣使用9512作為核心交換,雙機(jī)之間通過TRUNK接口互聯(lián),上行與SSG520防火墻相連的接口配置VRRP與其互聯(lián)。SSG通過廠商的NSRP協(xié)議配置HA,并將其配置為橋接路由模式。SINFOR設(shè)備通過串口心跳配置好HA,并將其配置為透明橋接模式。Topsec防火墻通過CISCO 的HSRP和浮動靜態(tài)路由技術(shù)來配置冗余備份雙機(jī)結(jié)構(gòu),并將其配置為NAT模式。負(fù)載設(shè)備LinkProof采用標(biāo)準(zhǔn)VRRP配置為冗余雙機(jī)(由于本次實(shí)驗設(shè)備限制,只做單機(jī))。為防止動態(tài)路由的動蕩引起鏈路路由切換,兩組防火墻的路由都采用靜態(tài)路由的方式進(jìn)行配置。

2 防火墻雙機(jī)試驗故障現(xiàn)象

對于實(shí)驗1我們做如下的數(shù)據(jù)訪問測試:在9512A上和9512B上分別做一個用戶VLAN并接入兩臺pc,兩臺服務(wù)器(可使用普通pc代替)分別接入到9508上的,使用同一個網(wǎng)段的地址。我們通過pc使用ICMP包對pc至server端的鏈路進(jìn)行檢測,從pc1和pc2分別發(fā)至server1和server2的檢測包結(jié)果顯示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包則出現(xiàn)丟包或者不通的現(xiàn)象。查看路由得知pc至server 都有三條下一跳路由,跟蹤路由發(fā)現(xiàn)pc1跟蹤server2的路由到SecBlade-A后出現(xiàn)中斷,pc2至server1的路由到SecBladeB出現(xiàn)中斷。之后我們將交叉鏈路去除后再次做上面同樣的測試發(fā)現(xiàn)故障依舊,根據(jù)路由情況得知基于會話狀態(tài)的防火墻在特殊的網(wǎng)絡(luò)結(jié)構(gòu)中存在來回路徑不一致而導(dǎo)致的中斷現(xiàn)象發(fā)生。

對于實(shí)驗2做了如下數(shù)據(jù)訪問測試:首先現(xiàn)在沒有任何設(shè)備、接口、線路故障的情況下,三組雙機(jī)設(shè)備都是主機(jī)在工作的,此時PC至互聯(lián)網(wǎng)server的訪問數(shù)據(jù)會通過所有雙機(jī)的主設(shè)備;我們手動的將SSG520主機(jī)的外網(wǎng)接口shutdown后會自動切換到備機(jī)工作,sinfor發(fā)現(xiàn)與其lan口相連的接口down了也會自動的切換到備機(jī), topsec主機(jī)發(fā)現(xiàn)與其互聯(lián)的sinfor主機(jī)故障切換了,topsec主機(jī)也會切換到備機(jī)工作,這種情況并未發(fā)生中斷現(xiàn)象。但當(dāng)我們將剛才shutdown的接口還原時,我們發(fā)現(xiàn)此時出現(xiàn)的故障情況為PC至server的數(shù)據(jù)會出現(xiàn)中斷現(xiàn)象。將SSG520手動down的接口還原后的情況發(fā)現(xiàn)三組冗余雙機(jī)設(shè)備開始在不斷的進(jìn)行主備的切換,無法達(dá)到一致狀態(tài)。這時情況是三組雙機(jī)因為切換的時間和檢測的故障的。根據(jù)各種設(shè)備切故障檢測和切換機(jī)制分析得知:目前大部分的冗余雙機(jī)故障檢測基本上為互聯(lián)接口物理up/down和IP跟蹤兩種檢測方式,由于各不同廠商設(shè)備主備切換的時間存在差異,導(dǎo)致其他兩組設(shè)備切換卻得不到一致和同步切換的效果,而在故障檢測中增加IP跟蹤的檢測機(jī)制只能對存在接口地址的雙機(jī)設(shè)備有效,而在設(shè)備互連接口不存在IP地址作為透明模式使用時依然無法進(jìn)行更有效的補(bǔ)充,這種情況下三組設(shè)備很難達(dá)到同步切換的狀態(tài),因此導(dǎo)致故障現(xiàn)象的發(fā)生。

3 試驗故障分析及解決方案

針對以上三組實(shí)驗的故障情況我們分別作了簡單的分析并給出了不同的解決方案。對于實(shí)驗1中防火墻可靠性實(shí)驗中,出現(xiàn)的故障情況后對PC至server的路由分別進(jìn)行了跟蹤和分析。本次的整個網(wǎng)絡(luò)結(jié)構(gòu)中全部使用ospf協(xié)議,并將路由都在AREA0區(qū)中。根據(jù)我國有關(guān)部門的提出的規(guī)范在默認(rèn)不改變各條路由開銷(cost)值的情況下,所有設(shè)備直連的路由開銷值都相同,在兩臺防火墻上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到這兩個網(wǎng)段的路由是通過ospf分別從SecBladeA和SecBladeB上的路由表中學(xué)到的,這樣從pc1至server2的路由就會從secblade-A走,而server2至pc1的路由則會從secblade-B走,這是就出現(xiàn)了來回的路徑不一致,同理pc2與server1的互訪路徑也會出項這種情況。針對實(shí)驗中因會話來回路由不一致所遇到的問題,就此故障現(xiàn)象,我們可將9512與防火墻之間的交叉鏈路去除,并更改各條鏈路的cost值,保證其來回的路徑在一條路由上。這種情況下當(dāng)其中一臺交換或者防火墻出現(xiàn)故障后可通過VRRP保證master和slaver vlan之間切換,從而使PC至server的數(shù)據(jù)不會出現(xiàn)中斷現(xiàn)象,這種改造的弊端在于不能做到雙機(jī)負(fù)載也就是雙A狀態(tài)的運(yùn)行模式。因此另一種解決方案將SecBlade 防火墻的會話通過心跳進(jìn)行同步,保證主防火墻和備防火墻實(shí)時的去同步授權(quán)允許的會話列表,這樣一來,既解決了會話流來回路徑不一致的現(xiàn)象,同時也將該組網(wǎng)結(jié)構(gòu)中的兩臺防火墻形成了雙A狀態(tài),分擔(dān)了負(fù)載。特別說明該實(shí)驗中根據(jù)設(shè)備的特性使用心跳線來代替實(shí)驗1中的防火墻的三層互聯(lián)即可。

對于在第二個實(shí)驗中出現(xiàn)的故障現(xiàn)象,由于現(xiàn)網(wǎng)中使用的各廠商設(shè)備的故障檢測機(jī)制的不一致性,如要統(tǒng)一算法需要將研究制定統(tǒng)一的故障檢測方法和切換機(jī)制。因此分析了實(shí)際情況后,我們可根據(jù)故障現(xiàn)象和原因?qū)W(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行整改和優(yōu)化后解決做實(shí)驗2中一組冗余雙機(jī)出現(xiàn)主備切換時導(dǎo)致網(wǎng)絡(luò)中斷的問題。我們可在該網(wǎng)絡(luò)結(jié)構(gòu)中增加一組交換,在該組交換上分別配置兩個Vlan,我們這里配置Vlan100和Vlan200,然后將Sinfor的wan口和Topsec的Intratnat接口直接接在新增交換機(jī)的兩個接口上,并把這兩個接口配置到Vlan200中,同樣將Sinfor的lan口和SSG520的Internet接口也接入到與這臺交換機(jī)上的兩個接口上,并將這兩個接口配置到Vlan100中。另外一組設(shè)備以同樣的連接和配置方式與另外一臺交換機(jī)互聯(lián)。兩臺交換機(jī)通過TRUNK口互聯(lián)并允許Vlan 100和Vlan 200 通過。其實(shí)這里新增加的兩臺交換是用作半軍事化區(qū)域的核心交換使用的,這樣內(nèi)網(wǎng)與外網(wǎng)同時可以接入到這兩臺交換上,可以節(jié)省硬件資源。我們在進(jìn)行同樣的實(shí)驗,將三組冗余設(shè)備在任何一組設(shè)備中任何一個模擬故障現(xiàn)象都不會導(dǎo)致其它兩組設(shè)備的主備切換,即使我們設(shè)備的故障檢測是包含Track IP的方式也不會導(dǎo)致另外三組冗余設(shè)備的因存在故障切換時間的差異而造成網(wǎng)絡(luò)中斷的現(xiàn)象發(fā)生。即各種故障或者切換都不會導(dǎo)致PC至server鏈路的中斷。具體的網(wǎng)絡(luò)整改拓?fù)鋱D如圖3所示。

從實(shí)驗3的網(wǎng)絡(luò)拓?fù)渲锌梢郧宄目吹?無論三組設(shè)備的故障切換是否能夠同步進(jìn)行,PC至server的鏈路都會有一條通暢的路存在。這是本實(shí)驗中解決故障問題的較實(shí)用的方案。對于該實(shí)驗中存在的故障原因還存在另外一種解決方案,但有待于研究討論及權(quán)威機(jī)構(gòu)的統(tǒng)一和制定,研究和制定出一套通用的雙機(jī)故障檢測及切換算法或者制定一種新的雙機(jī)故障同步切換通訊協(xié)議類型。使該算法或協(xié)議能夠支持端口檢測、會話同步、IP跟蹤等多種故障檢測機(jī)制和統(tǒng)一的切換算法,使雙機(jī)設(shè)備都能通過該算法或協(xié)議在各種不同的故障情形下進(jìn)行快速有效統(tǒng)一地故障同步切換也是解決該問題的重要方法,也是統(tǒng)一網(wǎng)絡(luò)設(shè)備冗余雙機(jī)故障檢測及切換機(jī)制的研究方向。目前huawei研究的VGMP和HRP協(xié)議已經(jīng)將huawei的防火墻進(jìn)行了較好的狀態(tài)一致檢測和會話同步的管理。

4 總結(jié)

在整個網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計和實(shí)施過程中詳細(xì)分析和說明了三組雙機(jī)實(shí)驗的網(wǎng)絡(luò)結(jié)構(gòu)在企業(yè)不同安全區(qū)域部署的目的、作用和效果,同時對在部署過程中出現(xiàn)的問題進(jìn)行了分析和研究,在網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上給出問題解決方案,并對其進(jìn)行網(wǎng)絡(luò)改造和優(yōu)化,用來滿足用戶信息安全的需求和目的。第一組實(shí)驗部署在企業(yè)的核心數(shù)據(jù)受控區(qū)域,為嚴(yán)格控制各應(yīng)用服務(wù)器之間以及用戶與服務(wù)器之間的數(shù)據(jù)訪問,采用可自定義多區(qū)域的防火墻能夠很好的實(shí)現(xiàn)企業(yè)對不同敏感數(shù)據(jù)的安全控制需求。但在基于會話狀態(tài)的理想全冗余交叉的網(wǎng)絡(luò)連接中存在的來回路徑不一致的故障情形,因此解決方案為將主備防火墻置于雙A的工作狀態(tài),并將全部的會話狀態(tài)進(jìn)行較好的同步,這樣不僅解決了路由不一致的問題,也使主備設(shè)備都得到了充分的利用,減輕和降低了單設(shè)備的負(fù)載和單點(diǎn)故障引起切換帶來的業(yè)務(wù)中斷。第二組實(shí)驗部署在企業(yè)互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)結(jié)構(gòu)中,將軍事化、半軍事化及非軍事化控制區(qū)域的數(shù)據(jù)進(jìn)行了嚴(yán)格的區(qū)域控劃分和數(shù)據(jù)控制,并通過行為控制審計設(shè)備嚴(yán)格地對軍事化區(qū)域數(shù)據(jù)交換進(jìn)行控制、審計及記錄。安全與性能本來存在對立的一面,因此實(shí)驗二雖然在給企業(yè)的信息安全帶來高可靠的保障和受控手段,但同時這種高安全的網(wǎng)絡(luò)結(jié)構(gòu)勢必會對企業(yè)網(wǎng)絡(luò)性能造成一定的負(fù)面影響,企業(yè)可根據(jù)實(shí)際情況選擇網(wǎng)絡(luò)安全的程度。實(shí)驗二中針對該實(shí)驗中由于故障引起的雙機(jī)設(shè)備主備切換不一致導(dǎo)致鏈路中斷的現(xiàn)象進(jìn)行了網(wǎng)絡(luò)結(jié)構(gòu)改造后形成了實(shí)驗三的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),實(shí)驗三的網(wǎng)絡(luò)結(jié)構(gòu)不僅解決了實(shí)驗二切換的故障問題,同時也將多組雙機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的故障率降為最低,設(shè)備切換帶來的業(yè)務(wù)中斷時間降為最少。實(shí)驗三的網(wǎng)絡(luò)拓?fù)浞桨高m用于目前多數(shù)企業(yè)的互聯(lián)網(wǎng)出口結(jié)構(gòu)。本文為企業(yè)網(wǎng)絡(luò)架構(gòu)的設(shè)計及安全部署,網(wǎng)絡(luò)故障處理提供了一定的實(shí)踐依據(jù)和說明。

本文通過三組實(shí)驗的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計實(shí)現(xiàn)、故障測試分析及解決,對幾款目前國內(nèi)較流行的狀態(tài)防火墻和安全設(shè)備的雙機(jī)基本配置、工作模式、安全防范、故障檢測切換機(jī)制都有了基本的了解和認(rèn)識,并給企業(yè)用戶在企業(yè)安全區(qū)域網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計方面提供了較好的理論應(yīng)用和實(shí)踐基礎(chǔ)。在故障測試過程中通過對故障分析和處理,提出的解決方案和處理思想對企業(yè)安全網(wǎng)絡(luò)的合理設(shè)計提供的實(shí)踐證明,也為功能全面防火墻的設(shè)計和實(shí)現(xiàn)提供了重要的研究方向和思想依據(jù)。

參考文獻(xiàn):

[1] 蔡立軍.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2002.

[2] 胡道元,閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004:22-26

[3] 柯宏力.Intranet信息網(wǎng)絡(luò)技術(shù)與企業(yè)信息化[M].北京:北京郵電學(xué)院出版社,2000,24-32,71-82,150-176.

[4] 林曉東,楊義先.網(wǎng)絡(luò)防火墻技術(shù)[J].電信科學(xué),1997,13(3):41-43.

[5] 雷震甲,馬建峰.Internet安全和防火墻技術(shù)安全體系結(jié)構(gòu)[J].通信保密,1998(2).

[6] 劉曉輝.網(wǎng)管從業(yè)寶典――交換機(jī)路?由器?防火墻.重慶:重慶大學(xué)出版社, 2008-5-9,81-86, 117-185,270-275,371-400.

[7] 吳昕,李之棠.并行防火墻研究[J].計算機(jī)工程與科學(xué),2000,22(2):54-57.

[8] 林曉東,楊義先.網(wǎng)絡(luò)防火墻技術(shù)[J].電信科學(xué),1997,13(3):41-43.

[9] 張云鵬.網(wǎng)絡(luò)安全與防護(hù)技術(shù)的研究及應(yīng)用[D].中國優(yōu)秀博碩士學(xué)位論文全文數(shù)據(jù)庫,2006(6).

防火墻解決方案范文3

今年4月,醞釀了將近兩年的ProActive Defense 2.0解決方案被低調(diào)推到前臺,網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、訪問控制和網(wǎng)絡(luò)免疫三大板塊產(chǎn)品均有革命性突破。ProActive Defense 2.0解決方案究竟憑什么幫助HP Procurve贏得更多客戶的青睞?新方案有什么不為人知的亮點(diǎn)?

三大板塊齊升級

“在以前幾個部分我們都有相應(yīng)的解決方案和產(chǎn)品――ProActive Defense,這已經(jīng)有兩年多的時間了。這次我們的主動防御2.0的解決方案是對以前1.0的全面升級。” HP ProCurve 產(chǎn)品市場部經(jīng)理石奇海告訴記者,“從1.0到2.0,ProActive Defense涵蓋的三塊內(nèi)容均有較大的調(diào)整。”

記者了解到,HP Procurve主動防御其實(shí)有三個重要的組成部分:網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)、訪問控制和網(wǎng)絡(luò)免疫。這個解決方案的雛形早在2006年已經(jīng)出臺,2007年正式被推到前臺。

石奇海介紹:“主動防御2.0的解決方案是對以前1.0的全面升級。在基礎(chǔ)架構(gòu)這方面,我們主要是增加了防火墻和入侵檢測模塊。在訪問控制方面,我們現(xiàn)在有一套完整的解決方案和Windows NAP的解決方案進(jìn)行聯(lián)動。在網(wǎng)絡(luò)免疫這一塊通過增加IPS防火墻模塊的解決方案跟以前的NIM、跟基于XFLOW的流量采集融合在一起,增加了以前我們網(wǎng)絡(luò)免疫方面可以做的一些功能,可以實(shí)現(xiàn)對數(shù)據(jù)報包的分析進(jìn)一步細(xì)化,達(dá)到更精確的控制。”

“HP是交換機(jī)的主要生產(chǎn)廠商,所以可信賴的基礎(chǔ)架構(gòu)是希望從核心到接入的交換機(jī)產(chǎn)品,特別是在接入交換機(jī)的產(chǎn)品里有一系列的安全功能、防攻擊功能以及數(shù)據(jù)包采樣功能。比如說我們在接入層交換機(jī)里,可以支持XFLOW的流量統(tǒng)計和分析的廠家。”在談及ProActive Defense升級的初衷時,石奇海如是說。

威脅管理組件是亮點(diǎn)

記者在采訪時獲悉,HP ProCurve 的ProActive Defense 2.0方案此番引入了威脅管理服務(wù)模塊,該模塊通過提升防火墻、IPS及VPN能力保護(hù)網(wǎng)絡(luò)、服務(wù)器及數(shù)據(jù)。此解決方案同時集成了HP ProCurve現(xiàn)有的無線IPS解決方案,可以同時為有線及無線網(wǎng)絡(luò)提供威脅管理服務(wù)。此模塊享有ProCurve終身保修服務(wù)(ProCurve Lifetime Warranty)。

防火墻解決方案范文4

促使人們更多地關(guān)注信息安全的主要因素之一是全球范圍內(nèi)不斷增加的監(jiān)管法規(guī)。薩班斯?奧克斯利法案、格讓姆?里奇?比利法案、歐盟數(shù)據(jù)隱私法令、巴塞爾資本協(xié)定二以及其他法規(guī)都使人們不得不更多地關(guān)注信息安全。每一種法規(guī)都圍繞信息安全提出了特殊要求。企業(yè)必須有效地解決這些信息安全問題,才能做到遵從這些法規(guī)。這些法規(guī)還規(guī)定了違規(guī)懲罰措施，包括由企業(yè)管理團(tuán)隊承擔(dān)法律責(zé)任等。這一點(diǎn)迫使企業(yè)迅速將注意力轉(zhuǎn)移到提高它們的信息安全能力，改進(jìn)安全狀況上。

新的攻擊趨勢

攻擊方法和趨勢正在從一種基于網(wǎng)絡(luò)的方法演進(jìn)到注重應(yīng)用的方法。攻擊者通常將目光放在解決方案內(nèi)他們認(rèn)為最容易攻破的環(huán)節(jié)上。

現(xiàn)在，攻擊者已經(jīng)將注意力和攻擊重點(diǎn)轉(zhuǎn)移到應(yīng)用本身而不再是攻擊網(wǎng)絡(luò)。這種轉(zhuǎn)移的重要原因之一是應(yīng)用，特別是基于web的應(yīng)用通常連接到互聯(lián)網(wǎng)。他們可以穿透網(wǎng)絡(luò)安全層（如防火墻），使非法用戶可以訪問這些系統(tǒng)。連接到互聯(lián)網(wǎng)時，通過日常活動和技術(shù)（如DNS查詢或Ping掃描，甚至通過網(wǎng)頁上的廣告）就可以輕松找到這些應(yīng)用和web環(huán)境。

考慮攻擊者采用的攻擊方法時，更重要的是要了解他們的目標(biāo)和動機(jī)，從而有效地保護(hù)環(huán)境不受攻擊。攻擊者明白，企業(yè)信息包含著和企業(yè)本身幾乎同樣重要的價值。攻擊者還逐漸認(rèn)識到，如果他們破壞解決方案中保存或訪問的信息的完整性，他們能夠為企業(yè)帶來同樣甚至更大的危害。

應(yīng)用攻擊方面的一個當(dāng)前趨勢是對廠商的補(bǔ)丁程序進(jìn)行反向工程。這一趨勢背后的理念是利用廠商產(chǎn)品的公認(rèn)設(shè)計缺點(diǎn)來進(jìn)行破壞。采用唾手可得的散列（Hash）工具和代碼分析引擎，攻擊者可以快速隔離補(bǔ)丁中被修改的文件并確定它們進(jìn)行了什么修改。一旦確定文件被修改，他們就能夠研究其中的缺陷。借助這種分析和供應(yīng)商提供的補(bǔ)丁目標(biāo)問題描述，攻擊者就能夠迅速開發(fā)出攻擊工具。使用這些新開發(fā)的漏洞攻擊工具，他們可以在非常短的時間內(nèi)在多種系統(tǒng)內(nèi)發(fā)起攻擊。

最成熟的補(bǔ)丁管理程序要求對補(bǔ)丁進(jìn)行一段時間的測試和評估，然后才能部署到信息基礎(chǔ)設(shè)施中。對于某些企業(yè)，評估和部署補(bǔ)丁可能需要幾天甚至幾周的時間。聰明的攻擊者非常清楚這一點(diǎn)并會加以利用。他們會盡快對補(bǔ)丁進(jìn)行反向攻擊，并在補(bǔ)丁部署前攻擊盡可能多的有漏洞的系統(tǒng)。

另一個新的攻擊類型是針對應(yīng)用本身的有針對性攻擊。攻擊者會研究應(yīng)用對不同輸入字符串和數(shù)據(jù)流的反應(yīng)方式。如果攻擊者可以找出應(yīng)用對不同請求和活動的反應(yīng)方式，他們發(fā)起成功攻擊的可能性就更大。然后，攻擊者會嘗試修改輸入字符串，訪問他們本無權(quán)訪問的限制信息。

在與其他網(wǎng)絡(luò)具有可靠鏈接的情況下，大多數(shù)企業(yè)不會投入相同的資源或能力來保護(hù)他們的網(wǎng)絡(luò)周邊。他們通常會認(rèn)為，鏈接是可靠的，因此流經(jīng)該鏈接的流量也應(yīng)當(dāng)是安全的。這些連接很可能會建立與企業(yè)后臺基礎(chǔ)設(shè)施的鏈接，而大多數(shù)重要而敏感的業(yè)務(wù)活動都發(fā)生在這里。這是當(dāng)今眾多信息基礎(chǔ)設(shè)施的致命缺點(diǎn)。

隨著企業(yè)無法控制的未知端點(diǎn)的引入，進(jìn)入信息基礎(chǔ)設(shè)施遠(yuǎn)程訪問點(diǎn)對企業(yè)造成了更大威脅。這些端點(diǎn)可能是個人計算機(jī)、公用電腦、公共訪問終端和具有訪問權(quán)限的其他系統(tǒng)。

最近，蠕蟲病毒的爆發(fā)在多家企業(yè)不止一次地證明了這一點(diǎn)。企業(yè)可以采取他們認(rèn)為適當(dāng)?shù)姆雷o(hù)措施來防止其基礎(chǔ)設(shè)施成為蠕蟲攻擊的犧牲品，但是，如果某個流氓系統(tǒng)或不受其控制的系統(tǒng)將蠕蟲帶入信息基礎(chǔ)設(shè)施，他們就會不可避免地成為攻擊的受害者。顧問或家庭用戶進(jìn)入信息基礎(chǔ)設(shè)施環(huán)境時，如果他們使用的系統(tǒng)未得到適當(dāng)保護(hù)或不符合企業(yè)的安全策略，便會經(jīng)常發(fā)生這種情況。

這種問題的出現(xiàn)也不僅限于通過內(nèi)部或安全網(wǎng)絡(luò)連接直接連接到信息基礎(chǔ)設(shè)施的系統(tǒng)。普遍使用聯(lián)網(wǎng)功能來提供對信息基礎(chǔ)設(shè)施的遠(yuǎn)程訪問的做法也會帶來新的風(fēng)險。意圖不明的潛在未知用戶的廣泛訪問需要我們更敏銳地關(guān)注Web接入點(diǎn)。

Web環(huán)境安全考慮事項

Web環(huán)境中常用的一種安全解決方案是基于狀態(tài)檢測的防火墻技術(shù)。這些技術(shù)需要在數(shù)據(jù)點(diǎn)上對TCP/IP 數(shù)據(jù)包的報頭進(jìn)行分析，然后與制定用于保護(hù)該環(huán)境的策略相比較。除了其他信息外，這些報頭信息將向防火墻設(shè)備告知源和目的IP地址、數(shù)據(jù)包將訪問的端口或服務(wù)以及數(shù)據(jù)包是否采用某種方式進(jìn)行了分段。然而，它并不對數(shù)據(jù)包有效負(fù)荷進(jìn)行調(diào)查，以檢驗流量是否適合要訪問的環(huán)境。

盡管狀態(tài)檢測防火墻在保護(hù)企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面非常有效，但它們在保護(hù)面向互聯(lián)網(wǎng)的Web環(huán)境方面卻不是這么有效。如果您認(rèn)為大多數(shù)狀態(tài)檢測防火墻沒有訪問環(huán)境的已知源地址池，而且大多數(shù)流量應(yīng)當(dāng)尋址到端口80（HTTP）或端口443（SSL），那么狀態(tài)檢測防火墻的功能將非常有限。這是因為目前針對基于web的解決方案的大多數(shù)攻擊都將這些端口用作進(jìn)入該解決方案的入口。

應(yīng)用防火墻不僅可以提供狀態(tài)檢測功能，還可以提供數(shù)據(jù)包有效負(fù)載檢測功能。數(shù)據(jù)包有效負(fù)載檢測功能可以和工作流程活動相對應(yīng)，確保用戶在所保護(hù)的Web環(huán)境的操作都是適當(dāng)正確的。通過提供這種功能，應(yīng)用防火墻還可以幫助減輕基于Web的環(huán)境中無故障代碼和實(shí)時補(bǔ)丁功能的壓力。

企業(yè)可以通過將應(yīng)用防火墻技術(shù)用作解決方案的一種防護(hù)層來減輕不完美的開發(fā)帶來的風(fēng)險。這樣，企業(yè)就可以繼續(xù)集中精力于核心業(yè)務(wù)、業(yè)務(wù)驅(qū)動的特性和功能的開發(fā)，而不必將安全保護(hù)作為最高優(yōu)先級工作。這使企業(yè)可以在安全性和業(yè)務(wù)需求之間達(dá)成平衡，實(shí)現(xiàn)持續(xù)發(fā)展和成功。

新興安全解決方案

Unisys公司的企業(yè)解決方案設(shè)計師和安全顧問John P. Pironti是表示，保護(hù)信息基礎(chǔ)設(shè)施安全性的解決方案與攻擊方法一樣在快速演進(jìn)。正在引入的三大理念可以大大改善信息基礎(chǔ)設(shè)施的安全狀況。它們是:

* 保護(hù)信息安全的有計劃方法

* 威脅和漏洞管理計劃

* 深層防御

這些理念的引入，代表了信息安全保護(hù)方法，從以技術(shù)為中心的事件驅(qū)動型反應(yīng)向以業(yè)務(wù)為中心的主動方法的根本性轉(zhuǎn)變。

威脅和漏洞管理解決方案采用威脅分析和威脅管理理念來主動保護(hù)信息安全。威脅分析包括采用前后一致的方法，評估可以成功入侵各解決方案或整個企業(yè)的攻擊威脅并為它們分配優(yōu)先級。這種分析將采用智能、資產(chǎn)信息和其他數(shù)據(jù)點(diǎn)來確定潛在威脅的可能性、嚴(yán)重性和可能產(chǎn)生的業(yè)務(wù)影響。

負(fù)責(zé)安全的人員獲取這種信息后就可以將威脅級別或威脅名稱分配給特定解決方案和整個企業(yè)。這樣就可以根據(jù)正確的評估結(jié)果作出正確的安全投資決策，而不是害怕、不確定和懷疑。

使用威脅分析提供的信息，漏洞管理人員就可以針對發(fā)現(xiàn)的漏洞提前制定攻擊和事件響應(yīng)計劃。這些響應(yīng)計劃包括如何確定和正確響應(yīng)攻擊或事件的指南。負(fù)責(zé)漏洞確定和響應(yīng)計劃的人員然后將相關(guān)信息提交給運(yùn)營部門，由他們使用該信息來在自動監(jiān)控和事件響應(yīng)系統(tǒng)內(nèi)部實(shí)施漏洞確定和補(bǔ)救措施。

實(shí)施新的信息安全保護(hù)方法和結(jié)構(gòu)化方法是深層防御理念的組成部分。深層防御提出了分層安全模式的理念。這種模式實(shí)施多個獨(dú)立的安全功能層來保護(hù)對信息資產(chǎn)的訪問。

通過實(shí)施多個獨(dú)立的安全層，企業(yè)可以大大改進(jìn)它的安全狀況:攻擊者必須無目的地在任意點(diǎn)穿透防護(hù)層才能成功地訪問信息。實(shí)施深層防御的企業(yè)可以更有信心地確保其信息資產(chǎn)受到充分保護(hù)，可以免免遭惡意攻擊和用戶錯誤的危害。

支持業(yè)務(wù)的安全解決方案

信息安全的新格局正在由業(yè)務(wù)影響而不是技術(shù)驅(qū)動的安全模式?jīng)Q定。基于單個安全設(shè)備的傳統(tǒng)防御方法正在被基于威脅評估的新模式所代替。這些模式將技術(shù)用作一種工具來實(shí)施企業(yè)制定的策略、程序和指南，抵御處在危險之中的信息基礎(chǔ)設(shè)施元件受到的威脅。

防火墻解決方案范文5

安全漏洞是不斷發(fā)展的，有新的應(yīng)用出來，就會出現(xiàn)新的漏洞。防火墻的職責(zé)是保護(hù)“大門”，如果攻擊者從別的途徑進(jìn)入，防火墻也很難處理。因為很多公司部署了防火墻，所以黑客開始尋找新的攻擊方法，Web應(yīng)用攻擊就是其中的一種。

Web應(yīng)用攻擊之所以與其他攻擊不同，是因為它們很難被發(fā)現(xiàn)，而且可能來自任何在線用戶，甚至是經(jīng)過驗證的用戶。

迄今為止，針對Web的攻擊可謂愈演愈烈，因為企業(yè)用戶主要使用防火墻和IPS解決方案來保護(hù)其網(wǎng)絡(luò)的安全，而防火墻和IPS解決方案發(fā)現(xiàn)不了Web攻擊行動。

Gartner的調(diào)查顯示，目前大約70%的安全漏洞源自網(wǎng)絡(luò)應(yīng)用層。當(dāng)防火墻、UTM或IPS等傳統(tǒng)安全設(shè)備已經(jīng)不能完全滿足用戶的安全需求時，為了保護(hù)企業(yè)應(yīng)用安全、處理日益增長的來自Web的威脅，客戶需要一種多功能的Web安全設(shè)備――這種設(shè)備需要集成高性能內(nèi)容(七層)檢測引擎、各個領(lǐng)域最優(yōu)秀的第三方識別特征庫以及應(yīng)用程序控制安全策略，以此全方位保護(hù)桌面、服務(wù)器與移動應(yīng)用程序的安全。

在不久前的2008中國國際通信設(shè)備技術(shù)展上，來自加拿大的網(wǎng)絡(luò)安全廠商穩(wěn)捷網(wǎng)絡(luò)宣布將其最新的Web安全技術(shù)及解決方案――BeSecure系列Web安全設(shè)備引入中國，幫助國內(nèi)用戶應(yīng)對目前不斷增長的網(wǎng)絡(luò)信息安全威脅。

BeSecure能夠以快速檢測、掃描各種類型的互聯(lián)網(wǎng)數(shù)據(jù)，在有害內(nèi)容進(jìn)入受保護(hù)網(wǎng)絡(luò)之前對其進(jìn)行處理。

據(jù)了解，對于該類面向應(yīng)用的Web安全設(shè)備，其處理性能和可靠性是保障成功應(yīng)用至關(guān)重要的核心。

穩(wěn)捷網(wǎng)絡(luò)通過自行研發(fā)的網(wǎng)絡(luò)數(shù)據(jù)處理器架構(gòu)技術(shù)，能夠在不影響網(wǎng)絡(luò)性能的前提下，防止數(shù)據(jù)泄漏，實(shí)現(xiàn)降低企業(yè)成本、提高生產(chǎn)率、幫助企業(yè)達(dá)到監(jiān)管需求。

穩(wěn)捷網(wǎng)絡(luò)全球CTO張鴻文博士告訴記者：“Web安全網(wǎng)關(guān)基于對Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，對來自Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實(shí)時阻斷，從而對各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。”

而BeSecure系列Web安全網(wǎng)關(guān)可以放置于防火墻后端，有效攔截HTTP與FTP數(shù)據(jù)，檢測、攔截、抵御病毒、間諜軟件、特洛伊木馬與蠕蟲攻擊。

據(jù)張鴻文介紹，除了滿足高傳輸性能與低掃描延遲的應(yīng)用條件，BeSecure系列Web安全設(shè)備還具備了以下特性：

1.惡意軟件過濾：針對進(jìn)出桌面、網(wǎng)站服務(wù)器與移動設(shè)備的雙向互聯(lián)網(wǎng)流量過濾惡意軟件（特洛伊木馬、病毒、間諜軟件等）。

防火墻解決方案范文6

電子商務(wù)的組成

在電子商務(wù)的運(yùn)作過程中涉及到企業(yè)或個人的消費(fèi)者、網(wǎng)上的商業(yè)機(jī)構(gòu)、CA認(rèn)證中心、物流配送體系和銀行。它們通過Internet網(wǎng)絡(luò)連接在一起。

電子商務(wù)中的安全

Internet是一個開放的公網(wǎng)，基于Internet的電子商務(wù)給商家、企業(yè)和個人帶來了新的機(jī)會，同時也給別有用心者留下了廣闊的“施展”空間。在新型的交易環(huán)境下，安全是一切交易行為的基礎(chǔ)，所謂安全，是指安全策略、安全標(biāo)準(zhǔn)、安全制度及安全流程的結(jié)合。

我們認(rèn)為“安全=管理+技術(shù)”，安全是一整套體系，單點(diǎn)的安全防范技術(shù)都不能很好的解決問題。有效管理和采用完善的技術(shù)手段相結(jié)合組成了安全的體系，該體系安全程度的高低取決于體系中最薄弱的環(huán)節(jié)。我們常用的安全防范技術(shù)有防火墻技術(shù)、CA認(rèn)證技術(shù)、數(shù)據(jù)加密技術(shù)和帳號口令技術(shù)。

1．防火墻技術(shù)

對于外部惡意攻擊，針對“黑客”入侵，采用防火墻（FireWall）技術(shù)來防護(hù)。要使防火墻技術(shù)有效，所有接收和發(fā)送到Internet的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防火墻必須只允許被授權(quán)的通訊業(yè)務(wù)通過，并且防火墻本身也必須能夠免滲透，即系統(tǒng)自身對入侵是免疫的。

（1）數(shù)據(jù)包過濾技術(shù)

路由器是網(wǎng)絡(luò)內(nèi)外通訊的必須端口，因此，我們連接時采用包過濾路由器。它是一個檢查通過它的數(shù)據(jù)包的路由器，限定外部用戶的數(shù)據(jù)包。其原理是監(jiān)視并過濾網(wǎng)絡(luò)上流入流出的IP包，拒絕發(fā)送可疑的包。其實(shí)現(xiàn)方式是運(yùn)用IP地址和端口號來進(jìn)行限定處理。

（2）應(yīng)用網(wǎng)關(guān)技術(shù)

建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾、轉(zhuǎn)發(fā)功能，它特定的網(wǎng)關(guān)應(yīng)用服務(wù)協(xié)議指定數(shù)據(jù)過濾邏輯，并可根據(jù)按應(yīng)用服務(wù)協(xié)議指定數(shù)據(jù)過濾邏輯進(jìn)行過濾的同時，對數(shù)據(jù)包分析的結(jié)果及采用的措施做登錄和統(tǒng)計形成報告。

（3）服務(wù)技術(shù)

服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專用應(yīng)用級編碼。這種服務(wù)器由網(wǎng)絡(luò)管理員決定允許或拒絕某一特定的應(yīng)用程序或特定功能。服務(wù)器像一個內(nèi)部網(wǎng)絡(luò)與外界之間的邊界檢查點(diǎn)。兩邊應(yīng)用可以通過服務(wù)器相互通信，服務(wù)器檢查并確認(rèn)這一通信是否授權(quán)通過。

2．CA（CertificateAuthority）認(rèn)證技術(shù)

為了保證秘密的信息不能被人非法獲得，同時保證信息傳輸過程不能被篡改，交易的不可否認(rèn)性、身份識別、網(wǎng)站不受非法攻擊，通常還要采用CA認(rèn)證和信息加密技術(shù)。常用的包括SET協(xié)議和PKI認(rèn)證體系。

（1）SET：安全電子交易（SecureElectronicTransaction）

SET協(xié)議是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的，以保證支付信息的機(jī)密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術(shù)主要有公開密匙加密、電子數(shù)字簽名、電子信封、電子安全證書等。

（2）PKI：公共密鑰基礎(chǔ)結(jié)構(gòu)(PubicKeyInfrastructure)

PKI(PubicKeyInfrastructure)是一種易于管理的、集中化的網(wǎng)絡(luò)安全方案。它可支持多種形式的數(shù)字認(rèn)證：數(shù)據(jù)加密，數(shù)字簽名、不可否認(rèn)、身份鑒別、密鑰管理以及交叉認(rèn)證等。PKI可通過一個基于認(rèn)證的框架處理所有的數(shù)據(jù)加密和數(shù)據(jù)簽名工作。PKI必須具有認(rèn)證機(jī)構(gòu)（CA）、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、客戶端證書處理系統(tǒng)等基本成份。

（3）SSL：安全套接層（SecureSocketLayer）

SSL協(xié)議是由網(wǎng)景（Netscape）公司推出的一種安全通信協(xié)議，它能夠?qū)π庞每ê蛡€人信息提供較強(qiáng)的保護(hù)。SSL是對計算機(jī)之間整個會話進(jìn)行加密的協(xié)議。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。SET協(xié)議比SSL協(xié)議復(fù)雜，因為前者不僅加密兩個端點(diǎn)間的單個會話，它還可以加密和認(rèn)定三方間的多個信息。

三、電子商務(wù)業(yè)務(wù)模型及解決方案

1．商業(yè)機(jī)構(gòu)對消費(fèi)者的電子商務(wù)（B2C）

商業(yè)機(jī)構(gòu)對消費(fèi)者（Business-to-Customer）的電子商務(wù)，指的是企業(yè)與消費(fèi)者之間進(jìn)行的電子商務(wù)活動。這類電子商務(wù)主要是借助于國際互聯(lián)網(wǎng)所開展的在線式銷售活動。最近幾年隨著國際互聯(lián)網(wǎng)絡(luò)的發(fā)展，這類電子商務(wù)的發(fā)展異軍突起。例如，在國際互聯(lián)網(wǎng)上目前已出現(xiàn)許多大型超級市場，所出售的產(chǎn)品一應(yīng)俱全，從食品、飲料到電腦、汽車等，幾乎包括了所有的消費(fèi)品。

開展商業(yè)機(jī)構(gòu)對消費(fèi)者的電子商務(wù)，障礙最少，應(yīng)用潛力巨大。就目前發(fā)展看，這類電子商務(wù)仍將持續(xù)發(fā)展，是推動其他類型電子商務(wù)活動的主要動力之一。

商業(yè)機(jī)構(gòu)對消費(fèi)者（B2C）電子商務(wù)解決方案的基本組成部分為：（1）動態(tài)的HTML頁面；（2）儲存會員（客戶）的信息，用其來進(jìn)行會員認(rèn)證及提供其他管理工具；

（3）實(shí)現(xiàn)“購物籃”功能；（4）服務(wù)器和管理的安全性；（5）客戶信息安全管理；（6）管理和處理定單，應(yīng)用商務(wù)規(guī)則來與客戶完成交易；（7）進(jìn)行其它產(chǎn)品和服務(wù)的宣傳，并對該過程加以控制；（8）支持直銷功能；（9）提供Cross-Selling銷售和Up-Selling的機(jī)制和規(guī)則；

（10）方便儲存數(shù)據(jù)（分類、定單、庫存、日志等等）并且能夠?qū)崿F(xiàn)動態(tài)的訪問；

（11）商品、交易以及商務(wù)系統(tǒng)的管理；

（12）價格促銷的工具；

（13）分析流量和購買數(shù)據(jù)，獲得商務(wù)智能和建立客戶行為模型。

2．商業(yè)機(jī)構(gòu)之間的電子商務(wù)（B2B）

商業(yè)機(jī)構(gòu)對商業(yè)機(jī)構(gòu)（Business-to-Business）的電子商務(wù)指的是企業(yè)與企業(yè)之間進(jìn)行的電子商務(wù)活動。例如，工商企業(yè)利用計算機(jī)網(wǎng)絡(luò)向它的供應(yīng)商進(jìn)行采購，或利用計算機(jī)網(wǎng)絡(luò)進(jìn)行付款等。這一類電子商務(wù)已經(jīng)存在多年。特別是企業(yè)通過私營或增值計算機(jī)網(wǎng)絡(luò)（Value-AddedNetwork，VAN）采用EDI（電子數(shù)據(jù)交換）方式所進(jìn)行的商務(wù)活動。

商業(yè)機(jī)構(gòu)對商業(yè)機(jī)構(gòu)的電子商務(wù)從未來的發(fā)展看仍將是電子商務(wù)的主流。商業(yè)機(jī)構(gòu)之間的交易和商業(yè)機(jī)構(gòu)之間的商業(yè)合作是商業(yè)活動的主要方面，企業(yè)目前面臨的激烈競爭，也需要電子商務(wù)來改善競爭條件，建立競爭優(yōu)勢。企業(yè)在尋求自身發(fā)展的同時，不得不逐漸改善電子商務(wù)的運(yùn)用環(huán)境。

供應(yīng)鏈集成，也叫作價值鏈集成，利用了Internet的低成本來實(shí)現(xiàn)供應(yīng)商，生產(chǎn)商和發(fā)行商之間的更緊密的結(jié)合。許多關(guān)于建立網(wǎng)站，處理定單和接入原系統(tǒng)的基本要求和操作都可以包括在直銷和銷售方案中，而在供應(yīng)鏈方案中產(chǎn)生了一些新的要求，如確認(rèn)過的登入，為關(guān)鍵用戶生成用戶類，根據(jù)用戶協(xié)議采取定價和支付的形式。

商業(yè)機(jī)構(gòu)之間的電子商務(wù)解決方案的核心平臺非常相似于商業(yè)機(jī)構(gòu)對消費(fèi)者解決方案。在商業(yè)機(jī)構(gòu)之間的電子商務(wù)解決方案中，商家在向商家銷售，而不是向個人銷售。

商業(yè)機(jī)構(gòu)之間的電子商務(wù)解決方案的基本組成部分為：

（1）動態(tài)的HTML頁面；

（2）儲存一個會員（客戶）的信息，用來進(jìn)行會員認(rèn)證以及提供管理工具；

（3）實(shí)現(xiàn)”購物籃”功能；

（4）服務(wù)器和管理的安全性；

（5）客戶信息安全；

（6）管理和處理定單；

（7）進(jìn)行其它產(chǎn)品和服務(wù)的宣傳，并對該過程加以控制；

（8）支持直銷功能；

（9）提供Cross-Selling銷售和Up-Selling的機(jī)制和規(guī)則；

（10）方便儲存數(shù)據(jù)（分類、定單、庫存、日志等等）并且能夠?qū)崿F(xiàn)動態(tài)的訪問；

（11）商品、交易以及商務(wù)系統(tǒng)的管理；

（12）價格促銷的工具。

3．企業(yè)采購商家希望利用Intranet和Internet的杠桿作用使現(xiàn)有的業(yè)務(wù)進(jìn)行的更加有效。這種商業(yè)模型的核心就是商務(wù)解決方案，它使得購買低成本的大量商品的過程更加容易，并且保證了一項業(yè)務(wù)的維持，修復(fù)和操作（MRO）。

企業(yè)采購解決方案的基本組成部分

（1）企業(yè)采購解決方案設(shè)計成一個商業(yè)組織的成本結(jié)構(gòu)，而供應(yīng)鏈集成解決方案是在向著商品的直接貿(mào)易和生產(chǎn)方向努力；

（2）企業(yè)采購解決方案一般來說設(shè)計成一個基于Intranet的解決方案，而供應(yīng)鏈集成解決方案可以包含基于Intranet的組件，但是大部分應(yīng)用程序或者是基于Internet的或者是基于Extranet的；

（3）申請人能夠在瀏覽器上被標(biāo)準(zhǔn)化；

（4）諸如象ActiveX控件和DHTML的技術(shù)能夠被用來實(shí)現(xiàn)圖形化和功能化的傳輸豐富的Web應(yīng)用程序；

（5）集成采購到公司現(xiàn)有的安全和郵件的基本結(jié)構(gòu)中，這樣有助于消除額外的管理費(fèi)用和加速Routing/Basic工作流；

（6）各種規(guī)模的公司無論大小和地點(diǎn)如何，都能交流購買定單信息，進(jìn)行交易支付和傳送產(chǎn)品；

（7）購買定單的輸出形式可以多樣化，這樣參與的商家就可以選擇一種與他們現(xiàn)有系統(tǒng)可以協(xié)同工作的共同形式；

（8）企業(yè)采購應(yīng)用程序可以在一個站點(diǎn)內(nèi)支持多個供貨商；

（9）對企業(yè)的供貨商的結(jié)構(gòu)進(jìn)行合理化，來獲得更大的折扣率。

4．技術(shù)方案

根據(jù)用戶的不同需要可以選擇不同的主機(jī)平臺和開發(fā)技術(shù)。

（1）技術(shù)方案1操作系統(tǒng)：WindowsNT4.0（ServicePack4）數(shù)據(jù)庫平臺：MSSQLServer7.OWEB服務(wù)器：MSInternetInformationServer4.0WebSiteServer3.0開發(fā)技術(shù)：ASP、DHTML、COM組件技術(shù)等（2）技術(shù)方案二操作系統(tǒng)：SUNSOLARIS數(shù)據(jù)庫平臺：ORACLE8.0