防火墙技术在企业的应用

《防火墙技术在企业的应用》由会员分享，可在线阅读，更多相关《防火墙技术在企业的应用（30页珍藏版）》请在装配图网上搜索。

1、. . . . 题目：防火墙技术在XXXX企业的应用目 录摘要1引言2第一章需求分析31.1概况31.1.1商业需求分析31.1.2企业网络的现状与未来41.2安全需求分析51.2.1（统一威胁管理）更能满足企业的网络安全需求5第二章综合布线与拓扑结构72.1综合布线72.1.1宏宇广域网方案规划72.1.2综合布线特点82.1.3 VPN系统规划建议102.2拓扑结构112.21拓扑结构网络的基本特点12第三章防火墙在企业网络中具体功能与实现143.1具体功能143.2防火墙功能的实现153.2.1多种控制对象153.2.2入侵检测系统163.2.3安全评估系统173.2.4全面地址翻译（N

2、AT）解决方案18第四章网络安全措施204.1网络安全防火墙防病毒软件204.1.1防病毒软件204.2网络安全方案224.2.1 IDS实施方案24结束26致27参考文献2828 / 30摘 要随着政府、企业、个人主机的网络安全需求的与日俱增，防火墙技术应运而生。传统的边界式防火墙是企业部网络与外部网络的一道屏障，但是其无法对部网络访问进行控制，也没有对黑客行为进行入侵检测和阻断的功能。企业迫切需要一套真正能够解决网络部和外部，防火墙和防黑客的安全解决方案。二十一世纪是个信息时代，网络的迅速发展，信息在现代生活和工作中发挥着越来越重要的作用。本方案是结合宏宇电脑企业公司的网络组建工程而设计。

3、在企业网络建设中。选择星型与扩展星型的网络拓扑结构,通过连接路由器、防火墙、集线器、服务器、工作站等设备构架“堡垒式”的网络。在实施中,用三层交换机实现VLAN管理各部门、车间；在外员工采用VPN接入公司部网络；关键字 网络拓扑 ；工作站； 防火墙；集线器引 言随着网络技术的进步，特别是90年代以来因特网的迅速普与和发展，网络安全问题越来越引起人们的重视，网络安全技术也成为计算机网络方向的研究热点。 网络安全技术在人们的现实生活中有着广泛的应用，特别是近几年电子上午的蓬勃发展，电子银行、在线交易等已经成为人们日常生活的重要组成部分，这就要求网络服务提供相应的安全措施，以保障广大用户的权益。网络

4、安全问题也为网络黑客们提供了广阔的生存空间，他们利用网络的安全漏洞有意或无意地开展各种各样的攻击，直接或间接地影响了人们的生活。当然，也正是在这种攻击与反攻击、侵入与反侵入的不断斗争中，网络安全技术才得以全面迅速地发展。作为信息安全技术的一个方面，网络安全技术是在互联网络的大规模应用中才逐渐受到广泛注意的。TCP/IP协议中的开放性、透明性等特点是安全风险的一个重要来源；而现代操作系统的日渐复杂，也产生了越来越多的网络安全问题，正因为如此，从网络的产生到现在，随着网络安全的研究不断深入，新的理论观点和体系结构观念也层出不穷。第一章需求分析在网络中，所谓“防火墙”，是指一种将部网和公众访问网(如

5、Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司部的人就无法访问Internet，Internet上的人也无法和公司部的人进行通信。1.1概况宏宇电脑是以大学等一批具有本专科以上学历的技术精英发起而成立的具有独立法资格的新技术企业。本公司以计算机网络设备销售开发以与办公设备渠道供应商为主业，从事系统网络集成，软件开发、多媒体系统集成 。同时作为中国电信惟一数据接入业务理商。扎根，立足西北地区，致力于计算机网络通讯普与发展事业。为用户提供综合网络办公设备、综合布线系统

6、、多媒体制作 、INTENET接入系统。公司领导决定重审目前的信息技术运用状况，并结合公司的整体经营战略目标，从总体上对公司的信息技术提出一个完善的规划方案。为帮助实现企业总体目标，公司技术员于6月初开展了更深入和广泛的调研与分析，从信息系统的整体架构，与其各个组成部分，从应用系统、安全管理、实施计划进行讨论和分析，从而制订出一份全面的信息建设整体规划方案。1.1.1商业需求分析现在信息化发展的今天，通过大量形象.直观的多媒体形象信息交流的过程中,客户不仅能快而准确 地掌握各种产品信息，更可以通过计算机网络，在短时间采集相关的大量知识信息，丰富、扩展这概念的涵和外延，提高公司现代化的办公管理能

7、力。同时，借助于Internet，把宏宇电脑产品出市场打破地域概念，将公司家和客户、产品和学习交流的乏味，利用网络更好宣传公司产品网上销售1.1.2企业网络的现状与未来当今中小企业与大企业一样，都广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力。企业信息设施在提高企业效益的同时，也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业，关于中小企业网络安全的相关报导也一直层不穷。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性。网络安全问题日益严重。中小企业所面临的安全问题主要有以下几个方面： 1外网安全骇客攻击、病毒传播、蠕虫攻击、垃圾泛滥、敏感信息泄露等

8、已成为影响最为广泛的安全威胁。 2网安全最新调查显示，在受调查的企业中60%以员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业。 3部网络之间、外网络之间的连接安全随着企业的发展壮大，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的与时共享，又要防止的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 1.2安全需求分析目前的中小企业由于人力和资金上的限制，网络

9、安全产品不仅仅需要简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案。其着眼点在于：国外领先的厂商产品；具备处理突发事件的能力；能够实时监控并易于管理；提供安全策略配置定制；是用户能够很容易地完善自身安全体系。归结起来，应充分保证以下几点： 1 网络可用性：网络是业务系统的载体，防止如DOS/DDOS这样的网络攻击破坏网络的可用性。 2业务系统的可用性：中小企业主机、数据库、应用服务器系统的安全运行同样十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。 3数据性：对于中小企业网络，数据的泄密将直接带来企业商业利益的损失。网络安全系应保证信息在存储与传输时

10、的性。 4访问的可控性：对关键网络、系统和数据的访问必须得到有效的控制，这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。 5网络操作的可管理性：对于网络安全系统应具备审计和日志功能，对相关重要操作提供可靠而方便的可管理和维护功能。易用的功能。1.2.1（统一威胁管理）更能满足企业的网络安全需求1.网络安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等功能产品组成的。但由于安全产品来自不同的厂商，没有统一的标准，因此安全产品之间无法进行信息交换，形成许多安全孤岛和安全盲区。而企业用户目前急需的是建立一个规的安全管理平台，对各种安全产品进行统一管理。于

11、是，UTM产品应运而生，并且正在逐步得到市场的认可。UTM安全、管理方便的特点，是安全设备最大的好处，而这往往也是中小企业对产品的主要需求。 2.中小企业的资金流比较薄弱，这使得中小企业在网络安全方面的投入总显得底气不足。而整合式的UTM产品相对于单独购置各种功能，可以有效地降低成本投入。且由于UTM的管理比较统一，能够大大降低在技术管理方面的要求，弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度地降低对安全供应商的技术服务要求。网络安全方案可行性更强。 3.UTM产品更加灵活、易于管理，中小企业能够在一个统一的架构上建立安全基础设施，相对于提供单一专有功能的安全设备，UTM在一个通

12、用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更为重要的是，用户可以随时在这个平台上增加或调整安全功能，而任何时候这些安全功能都可以很好地协同工作。第二章 综合布线与拓扑结构为适应迅速的技术变化，使得我们必须将建筑物进行结构化布线作为一个策略性投资加以考虑。建筑物综合布线网络，需要满足用户的近期和长期工作需求, 使其在计算机网络、通信系统等方面都达到较高智能化和现代化的水平满足。2.1综合布线宏宇电脑到目前为止尚未建立公司的广域网，分公司与公司总部之间使用拨

13、号的方式通过Internet连接。以下详细对几种广域网构建方式进行了分析和比较，并基于比较分析的结果，提出广域网的构建建议、网络设备的规划、Internet连接的规划。2.1.1宏宇广域网方案规划图2-1综合布线（平面图）1以宏宇公司总部为中心，各个分公司通过VPN或FR帧中继网连接到总部，建立广域网的主干。各分公司利用已有的ISDN线路通过远程拨号作为主干网络的备份网络，各个客户服务中心和仓库通过ISDN线路连接到距离最近的分公司，通过分公司和总部连接。2公司总部与Internet的连接DDN专线线路带宽扩展到4M。公司部上网浏览线路使用ADSL宽带网络线路。2.1.2综合布线特点宏宇方案规

14、划的特点1综合性、兼容性好 传统的专业布线方式需要使用不同的电缆、电线、接续设备和其它器材，技术性能差别极大，难以互相通用，彼此不能兼容。综合布线系统具有综合所有系统和互相兼容的特点，采用光缆或高质量的布线部件和连接硬件，能满足不同生产厂家终端设备传输信号的需要。 2灵活性、适应性强 采用传统的专业布线系统时，如需改变终端设备的位置和数量，必须敷设新的缆线和安装新的设备，且在施工中有可能发生传送信号中断或质量下降，增加工程投资和施工时间，因此，传统的专业布线系统的灵活性和适应性差。在综合布线系统中任何信息点都能连接不同类型的终端设备，当设备数量和位置发生变化时，只需采用简单的插接工序，实用方便

15、，其灵活性和适应性都强、且节省工程投资。 3便于今后扩建和维护管理 综合布线系统的网络结构一般采用星型结构，各条线路自成独立系统，在改建或扩建时互相不会影响。综合布线系统的所有布线部件采用积木式的标准件和模块化设计。因此，部件容易更换，便于排除障碍，且采用集中管理方式，有利于分析、检查、测试和维修，节约维护费用和提高工作效率。 一:应用带宽需求按照应用系统架构的规划，宏宇广域网涉与的应用主要包括：Email系统、知识共享平台系统、ERP 系统（主要为分公司的财务和仓库管理）、CRM系统（主要为顾客服务）。预计每一分公司所需带宽为256K左右。该带宽是根据各个应用系统初期可能的应用需求估计得出，

16、随着应用的不断深化，带宽可以随之不断增加。二:网络连接方式规划1.根据电信部门的确认，电信已经在全国围大部分的主要的城市开通了帧中继业务，宏宇公司分公司所在地已经全部开通了帧中继业务。2. 宏宇到目前为止在总部、分公司和顾客服务中心都已建立了局域网，因此总部、分公司只需分别通过中国电信提供的专线直接接入中国电信的帧中继网络。客户服务中心则根据就近原则，通过ISDN拨号连接到距离最近的分公司，通过分公司和总公司连接。图2-2网络规划如上图所示宏宇分公司各自通过一条专线接入中国电信的帧中继主干网，达到最低的保证速率256K、最高的端口速率512K。考虑到帧中继相对昂贵的月租费用，而顾客服务中心和仓

17、库的应用比较单一，因此各顾客服务中心仓库分别通过ISDN拨号接入分公司网络，再通过分公司网络与总部相连。宏宇总部通过一条6M专线接入中国电信帧中继网络，该条专线将采用光纤接入的方式，然后分成三根E1线路接入。分公司利用已有的ISDN拨号线路远程连接到总部，通过该线路实现对主干线路的备份。一旦主干线路损坏，立即拨号到总公司远程拨号接入网（ISDN接入ISDN路由器，拨号接入Modem Pool），保证网络的连通。2.1.3 VPN系统规划建议根据网通公司的确认，目前这家公司已经在全国围大部分的主要的城市开通了VPN业务，宏宇公司分公司所在地已经全部开通了VPN业务。VPN方案的网络连接图与帧中继

18、方案基本一致：宏宇分公司分别通过一条256K 专线接入VPN网络，各客服中心仓库分别通过ISDN拨号接入分公司网络，再通过分公司网络和总部相连。而宏宇总部通过一条6M专线接入VPN网络，该条专线将采用光纤接入。由于采用星型的连接方式构建宏宇广域网，以后无论是增加新的分公司或是将法人企业连接进入整个网络，都会比较容易：只需要增加一条帧中继或VPN线路进入主干系统就可以，不会对网络拓扑有影响。同时，任何一个分公司与公司总部的连接线路受损，都不会影响到其他分公司与公司总部的连接。上述两种线路接入方式采用的线路设备（DTU）具有可升级性，在以后升级网络带宽时无须更换设备，以保护投资。两种线路接入方式的

19、备份线路都采用ISDN线路远程拨号的方式，主要有以下考虑：由于该种方式利用已有的线路，十分经济。由于在大多数的情况下主干网络不会中断，除非一些特殊情况如电信部门的主干光纤被挖断。因此该线路平时不用连通，可以派做他用，不会造成线路浪费。一旦出现意外情况主干损坏，再拨号到总部，运行成本很低。由于分公司和总公司之间的应用系统的实时性要求不是很高，因此从应用的角度也可以接受以上的备份方式。2.2拓扑结构目前，随着信息技术和网络技术的发展，计算机作为一种处理信息的工具、网络作为当今社会人们获取信息、知识的重要途径和手段，它们已在各行各业发挥着越来越重要的作用。局域网上具有独立工作能力的计算机系统被称之为

20、节点，这些节点之间相互连接的方法在网络术语中被称之为网络的拓扑结构，网络的拓扑结构是抛开网络电缆的物理连接来讨论网络系统的连接形式，它能表示出网络服务器、工作站的网络配置和互相之间的连接。在宏宇电脑企业的网络拓扑结构中选用的是星型结构：如下是星型拓扑结构图：图2-3 星型拓扑结构示意图星型结构是以中央节点为中心与各节点连接而组成的(如2-3所示)，各节点与中央节点通过点与点方式连接，任何两个站点要进行通信都必须经过中央节点控制。为便于集中连线，目前多采用集线器Hub作为星型结构的中央节点，Hub通常有4、8、12、16、24个端口，每个端口相对独立，因此当网络中的一个节点有故障时，不会影响整个

21、局域网的运行。星型结构的优点是：网络结构简单，组网容易，便于管理，故障诊断容易，可同时连双绞线、同轴电缆与光纤等多种媒质。缺点是：共享能力较差，由于通信线路总长度大，因而组网成本较高。2.21拓扑结构网络的基本特点1节点扩展、移动方便：节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样牵其一而动全局； 维护容易；一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点；2 网络传输数据快：这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。3这种结构是目前在局域网中应用得最为普遍的一种，在很多企

22、业网络中几乎都是采用这一方式。星型网络几乎是Ethernet（以太网）网络专用，它是因网络中的各工作站节点设备通过一个网络集中设备（如集线器或者交换机）连接在一起，各节点呈星状分布。4各站点通过点到点的链路与中心站相连。特点是很容易在网络中增加新的站点，数据的安全性和优先级容易控制，易实现网络监控，但中心节点的故障会引起整个网络瘫痪。第三章 防火墙在企业网络中具体功能与实现随着政府、企业、个人主机的网络安全需求的与日俱增，防火墙技术应运而生。传统的边界式防火墙是企业部网络与外部网络的一道屏障,但是其无法对部网络访问进行控制，也没有对黑客行为进行入侵检测和阻断的功能。企业迫切需要一套真正能够解决

23、网络部和外部，防火墙和防黑客的安全解决方案，为客户提供可靠的网络安全服务.3.1具体功能1.包的透明转发 事实上，由于防火墙一般架设在提供某些服务的服务器前。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。 2.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断避免其进入防火墙之后的服务器中。 3.记录攻击 如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS来完成了。4 可以定义规则计划，使得系统在某一时可以自动启用和关闭策略； 5 具有详细的日

24、志功能，提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录，并支持日志服务器和日志导出； 6 具有IPSec VPN功能，可以实现跨互联网安全的远程访问； 7 具有通知功能，可以将系统的告警通过发送通知网络管理员； 7 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以与ICMP报文采取丢弃； 3.2防火墙功能的实现根据宏宇企业状况，为提高企业网络信息安全性，在网络结构中使用方正防火墙 。方正防火墙3000系列防火墙采用专用硬件、具有先进的检测技术和国自主知识的安全操作系统。独有的智能IP识别技术是一种基于状态检测的高效网络检测技术。在新一代方正防火

25、墙产品中，对原有的智能IP识别技术进行了大幅度的提升和扩充，除了能够提高网络数据检测效率外，还能在防火墙核中针对应用进行多元化的访问控制，大大扩展了防火墙的控制能力，使得防火墙和应用能够更紧密的结合。配合原有的特有快速搜索算法技术，方正防火墙在保证针对应用的细致分析和防护的同时，对产品的性能有大幅的提高，解决了目前容分析型防火墙普遍存在的效率瓶颈问题。3.2.1多种控制对象用户在使用防火墙时最主要的功能就是通过防火墙进行访问控制，随着网络应用的发展，原有针对IP包的控制已经不能满足用户的需求，用户希望有一种防火墙可以密切和应用相结合，针对具体的网络应用进行访问控制。方正防火墙的主要功能是对指定

26、对象进行访问控制，并且按照设定策略对网络数据进行入侵或流量等活动的统计，并记入日志中，供用户察看。方正防火墙可控对象除了传统的IP包的相关信息（源地址、目的地址、协议、源端口、目的端口、报文代码、碎片和SYN/ACK等标识位）外，还引入了智能IP识别技术，增加时间、用户、应用与其操作等控制对象，扩展了防火墙的防护功能，使得防火墙和应用的结合更为紧密。方正防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对结合应用对网络连接和会话的当前状态进行分析和监控。对于不同的会话，方正防火墙先通过状态检测技术在核中进行会话的组装，将检测对象从数据包提升到会话，提高了防火墙的过滤效率。组装会话后，防

27、火墙核会根据会话的特征自动识别会话属于何种应用，并根据相应的安全规则进行访问控制。3.2.2入侵检测系统方正防火墙置独立可配置的入侵检测模块。1反端口扫描一般黑客如果要对一个节点发动攻击，首先都要扫描目标服务器的端口，确定开启的服务，然后做出相应的入侵方式。防火墙置入侵检测模块能够在黑客扫描节点的时候就能检测到并报警，这样就能提前将黑客拒之于门外。防火墙置入侵检测模块在检测到有黑客扫描服务器端口的时候会立即在攻击者的视野中消失，从而使黑客无法进行后续的攻击。防火墙置入侵检测模块根据配置文件监控任何和TCP，UDP端口的连接。可以对全部端口同时进行监控，同时也可以忽略指定的端口。这样就能满足不同

28、的需求方式。2在线升级和实时报警由于入侵检测系统的库文件需要不断的更新，因此方正防火墙提供了非常方便的升级接口，可以通过我们的进行在线升级，而且我们提供了非常方便的用户升级界面，使升级工作可以非常方便的完成。报警是否能够与时是衡量一个入侵检测系统的重要因素之一，如果在黑客刚刚进行攻击的时候就能够做出响应，那么管理员会有足够的时间进行防护。 方正防火墙的报警系统和入侵检测系统的协调工作几乎是一致的，一旦入侵检测系统检测到攻击，报警系统会马上做出反应，通过Email或手机通知管理员。同时会启动自动防系统进行防。3入侵检测和防火墙的互动通过通信行为跟踪，防火墙能够检测到对网络的多种扫描，检测到对网络

29、的攻击行为，并能够对攻击行为进行响应，包括自动防与用户自定义安全响应策略等。3.2.3安全评估系统方正防火墙可增加安全评估模块。方正的安全评估系统主要针对用户系统部的各种安全漏洞实施漏洞扫描，借以检查出系统中主机的安全隐患。检测容包括各种端口扫描，各种服务扫描和CGI扫描，还可以获取被扫描主机的信息。在扫描过程中，能够提示扫描进度。完成漏洞扫描后，管理员可以查看扫描结果和统计信息，与时获取扫描的结果信息，以便针对系统中的漏洞进行补救，达到防非法攻击的目的。扫描结果根据被扫描主机来判断和显示。系统会列出所有被扫描的主机，管理员可以有选择的查看主机的扫描信息，以与相关的端口扫描结果、和弱密码的情况

30、和系统中漏洞的信息。用户可打印和统计有漏洞主机的扫描信息，并查询漏洞的详细信息，使用户全面了解系统的安全状况，提早做好防措施。方正防火墙还给出了漏洞的类型，以与受影响的操作系统、漏洞描述和解决方法等，为管理员与时发现系统漏洞和采取补救，例如升级系统等，提供了方便。3.2.4全面地址翻译（NAT）解决方案方正防火墙支持在部网和DMZ区使用保留的IP地址，通过动态的地址转换功能实现对外部网的访问。方正防火墙支持源地址转换和目的地址转换等NAT模式，可以实现一对多，多对多，动态地址转换等多种NAT应用方式。FireGate192.168.1.2Internet192.168.1.3192.168.1

31、.4192.168.1.1202.118.6.1001 源地址转换(正向NAT)，即部地址向外访问时，发起访问的部IP地址转换为指定的IP地址（可含端口号或者端口围），这可以使部使用保留IP地址的主机访问外部网络，即部的多个机器可以通过一个外部有效地址访问外部网络。2 目的地址转换（反向NAT），即外部地址向访问时，被访问的IP地址（可含端口号或者端口围）被转换为指定的部IP地址（可含端口号或者端口围），可以支持针对外部地址服务端口到部地址的一对一映射，部的多台机器的服务端口可以分别映射到外部地址的若干个端口，通过这些端口对外部提供服务。第四章网络安全措施网络安全在网络中是很重要的，现在黑客的

32、脚步以前走在网络安全的前面了，只所以我们因该注意网络安全，尽量避免黑客的攻击。4.1网络安全防火墙防病毒软件随着互联网的快速发展，网络安全也越来越重要。网络的安全隐患不仅仅是企业部人员操作的问题，越来越多的隐患是出于企业部网络和Internet互联网的连接问题。由于互联网的开放性，使得所有的网络终端都可以通过它互相访问。因此为自己的网络建立相应的防火墙，将允许的访问接入，而将一些非法的访问请求拒绝已经是企业网络必不可缺的一部分了。4.1.1防病毒软件为了摆脱病毒的威胁，企业必须在其系统部署和实施整体的反病毒体系。宏宇电脑公司部拥有大量使用计算机联网工作，但是所用的计算机软件、操作系统种类非常多

33、，涉与UNIX、Windows9598NT3.x、Novell等。为了使部网络能够远离病毒侵扰，需要防病毒软件能够部署在网络的所有计算机上，在病毒的各个入口点进行防，同时还要能够迅速升级，不但能够杀毒、防毒，还能在最短的时间发现新病毒并在它还没有发作前将病毒杀死。作为网络防病毒，还需要一个强大的中央管理控制台，通过它对网络的计算机进行软件安装和升级，对网络的防病毒软件的运行情况进行监控，从而可以减轻网络管理员的工作量和随时掌握企业网络的防病毒情况。对于病毒防护而言，宏宇电脑企业迫切需要购置并安装一套企业级的网络防毒软件。企业级的网络防毒软件应当具备以下的一些基本特性：对企业信息网络进行多重防护

34、：包括工作站（PC）级的病毒防治、服务器级的病毒防治、网关级的病毒防治、电子系统的病毒防治等。集中式管理：可以在网络服务器中统一查杀网络中各联网PC工作站的病毒。全自动的软件升级：包括了自动更新病毒代码，扫描引擎和程序，无需人工干预。自动安装和部署：一旦安装完成，客户端程序会自动和主服务器联系，并从服务器哪里获得最新的病毒码和更新程序。单一网络管理：通过单一的主控程序对多重的文件管理服务器进行单一的管理。病毒入侵的警告：可以通过 、电邮、传呼机或手机短消息等方式一旦监测到有病毒入侵，可以通过以上的方式通知网络管理员。对多种主流的操作系统的平台和电子平台的支持。智能的病毒扫描功能：通过先进的引擎

35、侦测和清除已知的和未知的病毒。实时的病毒防御：防毒系统驻留在主存中，对一切在计算机上运行的程序进行实时的监控。 不论是来自Internet、Email、光盘、软盘、网络，一旦发现病毒，立刻通知使用者清除。支持多线程的扫描技术，提高扫描效率；对系统的资源占用较少。病毒活动记录报告：可以完整的纪录病毒感染的文件，病毒码和程序更新，扫描时间纪录等相关重要信息。可以实时的扫描中的病毒，包括在附件中压缩文件的扫描。对木马和黑客程序具有彻底的消除能力。4.2网络安全方案大型网络的系统管理常常是企业信息系统建设中一个较为薄弱的环节，宏宇电脑企业也不例外。综合来看，造成这一状况的原因主要表现在以下三个方面：宏

36、宇电脑企业的的IT系统中，拥有诸如网络管理、数据库管理、应用管理、客户机管理等等分散存在、功能单一的多个系统，这种方式不仅割裂了系统之间的有机联系，使得IT资源的管理者难以从整体上掌握系统运营状况，管理环节较多，构成较为复杂，资源重复浪费，最终加大了运营维护成本，还无法保障整体系统运营的高可用性。 宏宇电脑企业IT系统的建设与投资过程中，往往较多地考虑了系统的一次性建设成本和设备投入，如网络设备、服务器设备、数据库系统、应用开发、机房环境建设、客户机配置等，对系统将来在管理维护方面的开销考虑的较少或不全宏宇电脑企业网络环境相当的复杂，首先是规模大，服务器节点和客户端上千，系统分布在全国各地，甚

37、至分布在几个国家，围极广；第二是功能越来越多，从计算、数据库、事务处理到各种Internet/Intranet 服务等等； 第三是变化快，硬件、软件、网络和应用不断地更新升级；第四是异构性，主要体现为：系统结构异构性、平台异构性、网络异构性、数据异构性、应用异构性。未来宏宇电脑企业欲构建集成的大规模的企业信息系统应用，就必须加强网络的系统管理，提高网络管理的技术水平和管理水平。图4-1防火墙部署拓扑之所以这样部署防火墙是应为把服务器统一在一起便于管理，把服务器群与其他PC机完全通过防火墙隔离开，减少了服务器被攻击的可能行，增加了网络安全性，而且相对于第二套部署方案而言减少了防火墙的千兆端口数，

38、IDS也只需要一套，降低了成本。而且不用再从计算中心机房铺设光纤到技术中心。4.2.1 IDS实施方案图4-2网络安全拓扑IDS部署的好处1入侵检测系统能够对网络流量进行实时监控，能够准确有效地识别所有网络活动中的已知攻击、未知攻击行为，一旦发现攻击，立即报警，并采取响应措施。要求报警准确，避免漏报和误报。入侵监测系统具备分析采用躲避入侵检测技术的通信数据的能力，能够有效的检测针对IDS进行的躲避行为。2.入侵检测能够通过分析网络中的数据，记录入侵的完整过程，为安全事件的调查提供证据。3入侵检测能够实时分析网络中活动，发现入侵行为可以采取预先设定的动作响应（报警、切断网络连接、记录日志等等）。

39、4.能够依据定制的过滤条件获取某一特定网络协议、端口的原始报文数据；并对 、FTP、SMTP、POP3、Telnet等主要的网络协议通信进行容恢复、事件回放。5.入侵检测产品能够提供缺省策略，可以灵活通过自定义制定新的符合用户特征的策略，便于管理、维护，并且可依据事件报警的概率分析对事件策略集进行动态调整。6.能够提供与其他网络嗅探器和扫描器等辅助工具的集成，可与防火墙、漏洞扫描、验证系统、IP定系统、网管系统进行联动。便于查看当前网络状况，分析网络问题。7.能够提供完整的网络事件记录，对网络中发生的所有事件进行记录，生成完整的网络审计日志持对大量审计日志的数据库存储和对日志的多种查询方式。8

40、. 能够实现背景流量过滤。对用户指定的端口、协议、地址和应用相关的高数据流自动免检。结束随着lnternet在我过的迅速的发展，网络安全的问题越来越得到重视。防火墙的技术也引起了各方面的广泛关注。我们国家除了自行开展了对防火墙的研究，使得更快网络方面的信息，防火墙能保护网络安全，但并不是绝对安全的。防火墙还处于发展阶段，仍须许多问题解决。从正式开始搞毕业设计通过书本，网络，讨论等多方面的学习收集整理而成的这份方案。通过本次设计我们比较系统掌握了3年所学的网络知识，并能有效分析、解决实际问题，提出相对应的网络管理；病毒防措施。但是由于时间有限，在时间的过程中还有很多不足的地方，在以后的工作学习中

41、继续努力改进。经过这几个月的设计，我深刻体会到要做好一个完整的事情，需要有系统的思维方式和方法，对待一个新的问题，要耐心、要善于运用已有的资源来充实自己。 XXX X年X月X日致大学三年生活即将结束，在这里我非常感所有教导我的老师，他不但教会我门知识，在指导我的论文上非常尽心，不厌其烦的帮助指导，帮助我在三年的大学生活画上完美的句号。感我的父母。没有他们支持我就没有机会接受教育，也没有机会认识这么多良师益友，感我的指导老师郭玉洁，在我设计的日子里督促指导我完成论文，感所有帮助我的人，你们.参考文献1 斌 等译,网络设计，电子工业,2005年9月.2朱雁辉 著,WLNDOWS防火墙与网络技术,电子工业，2002年4月.3常红等 著,网络安全技术与反黑客,冶金工业，2001年6月.4袁家政 著,计算机网络安全与应用技术,清华大学,2002年5月.5胡道元 著,计算机网络,清华大学， 1999年1月.6刑钧 著，网络安全与防火墙技术,电子科技大学,2004年3月7希仁 著，计算机网络工程基础, 电子工业,2002年5月. 8石彥杰 著，计算机网络系统集成技术,高等教育，2006年2月.l