网络安全集成方案

1、网络安全集成方案第一章网关安全2.一、 全性2.二、 加密2.三、 性能2.四、容量3.五、灵活性3.第二章NetScreen的优势6.第三章企业局域网防病毒7.一、计算机病毒发展趋势分析7.二、病毒入侵渠道分析8.三、 潜在病毒威胁分析9.四、 成熟、完整的防毒解决方案101、防毒墙技术的领导者102、整体服务器、群件服务器市场排第一103.入侵检测系统(IntrusionDetectionSystem).11第一章网关安全网络安全首先是边界安全即网关安全，在企业网关处加入防火墙。选择按全方案需要考虑多方面的因素：安全性、加密、性能、容量、灵活性、稳健性一、全性安全设备装置除了提供状态检验的防火墙及存取监管，更须拥有多项入侵防护和警报功能，确保整个网络更加稳固。有关设备装置不应依赖普遍性的作业系统作为防火墙的软件平台，因为这类平台的弊病是很容易被侵入破坏，且需要进行定期修补和更新。由于很多安全问题同时涉及多个类别，以下将逐一进行探讨。二、加密在今天的环境下，企业一般希望他们的VPN设置完全符合自身的整体安全情况。这衍生了一个问题：VPN通道的终点应该设在哪处地方才最为安全？答案自然是

2、防火墙，不过这样对传统防火墙的性能产生了很严重的问题。由于IPSec加密需要进行密集的电脑运算，当在一般用途的电脑平台运作时（正如大多数传统防火墙）其性能表现非常差劲，防火墙的传输速率亦大受影响。即使加上专用的VPN硬件加速卡，个人电脑的结构只会使VPN性能出现轻微改善。供应商之间为系统设置VPN5通性能是另一个必须考虑的因素，尤以现今营运的环境倾向企业合并、建造企业外联网络，将工作外包给服务供应商及通勤VPN用户的诞生。远端分支站点设立的VPN所面对的安全威胁与中央网络大致相同，然而这问题经常为人所忽视。远端工作人员和分公司一般会使用本地互联网络或企业VPN接入，但这无形中让企业受到U型攻击的机会大增，入侵者可以通过分支站点设立的VPN进入网络，然后通过VPM!道进入企业内部网络。VPN用设备装置可以进行设置，过滤所有并非前往或来自企业VPN网络的流量，但是由于企业网络连接互联网络多了一层阻隔，这会引起远端节点出现传输延误和可能的网络堵塞情况。与中央网络的配置一样，将VPN通道的重点设在企业管理的防火墙可以改善安全和营运上的问题，只需要一个在性能和容量方面都适合的站点设置。三、性能除

3、了需要支援高性能的VP麻量外，企业防火墙必须能够应付公司为提高收入而进行的销售和市场推广活动所产生的额外流量。这些促销活动的目标，旨在发挥因特网的力量（E-mail广告、banner广告、通讯刊物的宣传赞助），以此吸引消费者登录公司网站浏览，从而透过电子商务直接满足客户的需要，或者获取客户资料作为将来行销之用。不过，所有行销活动都会带来一个副作用，便是引起骇客的注意。这些推销活动会直接或间接地加重企业防火墙的负荷，并提高出现系统故障或被侵袭的情况。局部故障最严重的例子是防火墙成为瓶颈，令客户流量传输变得缓慢不已。在现今商业环境下，一个运作迟缓的网站是完全不可接受的，一旦发生这种情况，公司的声誉和收入会受到沉重打击。企业将部分基础设施外包给服务供应商的主要原因之一，是希望获得更多的频宽、更完善的备援机构，以及在Web电子商务方面得到更高水准的专业服务。因此，相比选择不外包的企业，对服务供应商在各方面的原需求为高，包括传输速率、会话(session)或VPN通道数目，以及处理尖峰流量负载的能力。同时，服务供应商必须根据服务水平协议(SLA)为客户提供一定的服务水平，以免负上金钱赔偿的责任，

4、故此他们自身的系统架构，在设计上皆足以应付尖峰流量负载，而且所有组件设备装置的性能容量皆预留一定的空间。四、容量VPN中央站点需要一个在传输速率和支援的通道数目方面具备可扩展性的安全方案，因为家庭办公人员、远端工作人员、分公司和内部网络的伙伴全部将VPN通道的终点设于中央站点。此外，中央站点方案也需要支援数以千计的并发VPN通道，以及可选择支援中转站(HubandSpoke)的配置，让各分公司之间可以互相联系，而不需建立错综复杂的VPN拓扑网络。企业防火墙通常利用数据包状态监测追踪每个离开和进入企业网络周边的会话。一旦防火墙达到可以处理的最高会话数目的容量时，所有新的会话将不会获准经过防火墙，直至完成处理现有会话为止。对网站而言，这是一个非常严重的问题，因为用户浏览每一版网页，已经包含众多个并发HTTP会话。换言之，受欢迎网站的防火墙需要同时处理数以万计的并发会话。在达到尖峰流量负载期间，一道防火墙可以处理新用户的流量是极为重要的，这容量一般称为斜率(ramprate),即计算每秒可以增加新会话的数目。高斜率不单可以确保用户的满意程度，而且对预防网站受到阻断服务的攻击(denialof

5、serviceattacks)同样重要。这类攻击利用发出数以千计要求建立会话的讯息，导致防火墙的容量出现饱和，因而拒绝客户访问网站或使用其他服务。五、灵活性由于企业环境目前变化相当迅速，企业安全管理设备装置变得非常重要，尤其是在中央网络方案方面，以便企业能因这些变化，适当地作出调整。这些网络安全设备必须具备以下特点：1 .当网络频宽增加，或是拓扑架构改变时，必须能增加不同的或是额外的实体界面(如路由器，交换机等)；2 .必须能在不同的企业环境中发挥性能，例如中央网点、主机代管设施，或是分公司；3 .必须让使用者得以自行调整部分功能，而毋需求助于制造商。这些功能例如：VPN授权、支援额外的IP位址部分，以及增加会话数目。从设备扩展性的角度来看，服务供应商必须能够配合整体市场的增长，以及现有个别客户需求的提升。换言之，成功的服务供应商必须具备长远产品策划的条件。他们需要配合客户数目的递增，从数十个到数百个，甚至数千个时，仍然能提供优质的可控安全服务，无需对已经建好的安全平台及管理工具进行重大的改动。更进一步来看，这些网络安全设备还必须易于扩展以添置新的服务项目来增加收入，而不需要更换客户的

6、硬件平台。例如，当代管网站的现有客户需要增添VPN服务时，供应商无需安装额外的硬件平台便可轻易为客户增加服务项目。六、稳健性对于在企业网络环境中的任何设备而言，稳健性是相当重要的，尤其是管理所有网络进出流量的设备装置。中央站点的设备，必须考虑以下几点：1 .备援界面、电源供应与风扇；2 .传输带宽以外提供近端与远端的监管能力；3 .可组态系统以兼备高可用性及热备援方案。另外，网络的设计必须仔细考虑负载能力的问题，设备装置所能承载的流量，必须高于平时需求的百分之五十，以应付尖峰时段的需求、远端节点的扩张、流量的增加及骇客的攻网络拓扑结构示意图:VTNInternet链路接入到贵公司，边缘网络设备为路由器，它使企业内部局域网可以访问Internet资源；将防火墙放在路由器之后，对所有向内和向外的流量予以控制，从而可以防止黑客入侵及非法访问；IDS设备置于主干线路上（防火墙之后即可）根据贵公司的情况，可选用NetScreen-500防火墙第二章NetScreen的优势无论是现在还是未来的安全设备装置，都必须符合以上的要求，而这些需求，也逐渐成为设备装置上必须提供的功能。这些设备必须能够将防火

7、墙、VPN及流量管理无缝结合成单一架构，不但能为企业提供最高的安全性，而且能够依照企业的策略制定流量的优先顺序。例如，调整企业用的VPN流量速度而非电子商务网站的存取速度。这些设备装置也必须能负载防火墙及VPN最大的传输速率，支援最大的并发会话数目及最高的会话斜率，这相等于每秒产生的新会话数目。系统必须能支援庞大的客户量，同样重要的是防卫阻断服务的攻击，避免因处理突发大量会话需求而引致防火墙出现故障。即使在重负载的情况下，系统必须能维持以上的性能，而不产生任何封包遗失。若只有一个会话能达到IGbps的传输速率，而两万个会话只能达到300Mbps的传输速率的话，这个情况是不能接受的。同样要维持传输速率但取而代之是大量的封包遗失，又或高层次的协定只单纯将这些封包输送，客户最终都面对差强人意的通讯回应。NetScreen-500为状态检验的整和式系统安全产品，它整合了防火墙、VPN及流量管理的功能，仅占用2U的机架空间。它是一款高性能的产品，不但具有备援能力，而且管理容易，并支援多重安全网域。NetScreen-500是一独特平台，兼具NetScreen-1000及NetScreen-100

8、的优点。NetScreen-500是依据模块概念设计，具备多项出众的性能。另外,在备援功能上还设有高可用性交换口、管理接口和四个流量模块，还有一个可制定程序的LCD以便管理者远端设置。主要产品特点：A700Mbps防火墙和NAT传输速率酷250Mbps3DESVPN传输速率能处理250,000个并发会话A每秒处理22,000个新会话A10,000个VPN!道A25个虚拟系统，100个VLAN-NAT,路由及透明模式运作基于策略的NAT支援中转站VPNA与Websense内容过滤方案兼容A10/100双交换端口或GBIC（SX或LX接受器）模块卡A背援高可用性介面10/100传输带宽以外的监管能力A可制定式LCD第三章企业局域网防病毒防病毒采用趋势科技防病毒产品服务器版ServerProtect、网络版OfficeScan以及控制管理中心TMCM。病毒码、扫描引擎以及程序版本可自动从趋势科技服务器更新，毋须手动操作；通过管理控制台集中控制管理并统一防病毒策率；对机器的实时防护技术是由趋势科技首先提出的；通过控管中心TMCM对所有趋势产品进行统一部署、分发防毒策率趋势科技在防毒领域的优势全

9、方位防毒分析：计算机病毒发展趋势分析自从1983年世界上第一个计算机病毒出现以来，在不到20年的时间里，计算机病毒已到了无孔不入的地步，有些甚至给我们造成了巨大的破坏。每当一种新的计算机技术广泛应用的时候，总会有相应的病毒随之出现。例如，随着微软宏技术的应用，宏病毒成了简单而又容易制作的流行病毒之一；配合主板BIOS升级技术，出现了第一款可以损坏硬件的CIH病毒；随着Internet网络的普及，各种蠕虫病毒如梅丽莎、爱虫、SirCAM等疯狂传播。最近更产生了集病毒和黑客攻击于一体，通过80端口进行传播的“红色代码（CordRed）”病毒和Nimda病毒。在现今的网络时代，病毒的发展呈现出以下趋势：病毒与黑客程序相结合随着网络的普及和网速的提高，计算机之间的远程控制越来越方便，传输文件也变得非常快捷，正因为如此，病毒与黑客程序（木马病毒）结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。蠕虫病毒更加泛滥其表现形式是邮件病毒会越来越多，这类病毒是由受到感染的计算机自动向用户的邮件列表内的所有人员发送带毒文件，往往在邮件当中附带一些具有欺骗性的话语，由于是熟人发送的邮件，接受者往往没有戒心。因此，这类病毒传播速度非常快，只要有一个用户受到感染，就可以形成一个非常大的传染面。病毒破坏性更大计算机病毒不再仅仅以侵占和破坏单机的资料为目的。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者（如爱虫病毒），或者采取DoS（拒绝服务）的攻击（如最近的：红色代码病毒）。一方面可能会导致本机机密资料的泄漏，另一方面会导致一些

《网络安全集成方案》由会员re****.1分享，可在线阅读，更多相关《网络安全集成方案》请在金锄头文库上搜索。