追赶人生--记录人生旅程

上海道森网络安全解决方案

摘要：本文主要讲述了在Internet为代表的全球性信息化浪潮迅猛发展时期，面对日益突出的网络安全问题，提出了一个具体的解决方案。

　　以Internet为代表的全球性信息化浪潮迅猛发展，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，网络安全也日益成为影响网络效能的重要问题，Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使网络信息系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所必需考虑和解决的重要问题。

　　一、 系统简要描述

　　公司网络为24个节点。网络中包括：业务网、办公网系统，同时为方便该公司办公人员与外部的沟通，办公网络用ADSL接入Internet。

　　二、 网络安全风险分析

　　1、 内部办公网之间的安全隐患由于该公司办公网络除了有正常的办公功能以外还与其他主机相连接，如果办公网络遭到恶意攻击，直接会影响到其他主机的安全性。比如：(1)入侵者使用Sniffer等嗅探程序通过网络探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放的TCP端口、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。(2)入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。(3)入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。

　　2、 内部局域网带来安全威胁在已知的网络安全事件中,约70%的攻击是来自内部网。首先，各节点内部网中用户之间通过网络共享网络资源。对于常用的操作系统Windows 98/2000，其网络共享的数据便是局域网所有用户都可读甚至可写，这样就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，因此造成信息泄漏。另外，内部管理人员有意或者无意泄漏系统管理员的用户名、口令等关键信息；泄漏内部网的网络结构以及重要信息的分布情况，甚至存在内部人员编写程序通过网络进行传播，或者故意把黑客程序放在共享资源目录做个陷阱，乘机控制并入侵他人主机。因此，网络安全不仅要防范外部网，同时更防范内部网。

　　3、 电子邮件应用安全电子邮件是最为广泛的网络应用之一。内部网用户可能通过拔号或其它方式进行电子邮件发送和接收。这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等。由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因素。

　　4、 网上浏览应用安全网上浏览也是网络系统被入侵的一个不安全因素。我们都知道，网络具有地域广、自由度大等特点，同时上网的有各种各样的人，网上浏览不安全因素如从网上下载资料可能带来病毒程序或者是特洛伊木马程序；还有利用假冒手段骗取你的关键信息，比如，入侵者首先伪造一个用户登录界面，当你输入用户名及口令时，系统提示你用户名或口令不正确要求重新输入，但其实你第一次输入的也是正确信息，只是第一次信息已经被入侵者传送到他的邮箱中去了，你也就因此泄漏了你的用户名及口令字。这将对你的主机受到攻击埋下的安全隐患。

　　三、 方案实施：

　　针对以上需求在此建议配备一台硬件守护神?防火墙，防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略进行检查，来决定是否允许网络间的通信。其中被保护的网络称为内部网络，另一方则称为外部网络或公用网络，它能有效地控制内部网络与外部网络之间的访问及数据传输，从而过到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个完善的防火墙系统应具有3方面的特性：

　　<一>所有在内部网络和外部网络之间传输的数据必须通过防火墙；

　　<二>只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙；

　　<三>防火墙本身不受各种攻击的影响。

　　守护神防火墙的优点：

　　1、 自主产权

　　软硬件一体化设计，采用专用安全操作系统，拥有软件和硬件的全部自主产权。

　　2、 多工作模式

　　StopHacker守护神防火墙的工作模式有三种：路由模式、透明网桥模式、混合模式。

　　* 路由模式

　　路由模式是防火墙的基本工作模式，该模式运行在网络层。在路由模式下，一般要做NAT地址转换，这时防火墙的各个端口IP地址都位于不同的网段。在路由模式支持NAT地址转换和PAT端口转换。

　　* 透明网桥模式

　　透明网桥模式在数据链路层实现。防火墙在该模式下工作时，可以透明的接入到网络的任何部位，无需改动用户网络结构和配置，即插即用，简便高效，使用方便。

　　* 混合模式

　　在混合模式下，防火墙可以有部分端口在路由模式下工作，部分端口在透明模式下工作。

　　3、 一次性口令用户认证模块

　　一次性口令(OTP，One-Time Password)机制是一种高强度的认证，它无须在网上传输用户的真实口令，并且由于具有一次性的特点，可以有效防止重放攻击(Replay Attack)。

　　在采用了一次性口令认证机制后，即使有窃听者在网络上截取网络传输信息，由于该信息的有效期仅为一次，故也无法再利用这个信息进行认证鉴别。

　　StopHacker守护神防火墙的功能一次性口令认证还可以结合智能IC卡、ikey等硬件进行辅助认证。

　　4、 计费

　　StopHacker守护神防火墙支持按用户或者IP地址进行计费，可按时间或者流量设置计费规则，支持预交费管理，并可以结合一次性口令用户认证实现使用智能IC卡等硬件计费管理。

　　5、 用户与MAC地址、IP地址的绑定

　　在网络管理中IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因此也会对用户造成大量的经济上的损失和潜在的安全隐患；守护神防火墙支持MAC地址和IP地址绑定。另外，通过使用一次性口令用户认证，可以实现跨网段的用户、MAC和IP地址的绑定。

　　6、 支持和StopHacker守护神系列安全产品联动。

• 网页关键字
• 博客 职场 金融 投资 股票 ipo 外汇 .pdf 课件 论文 华尔街 ft金融时报 深信服 追赶人生 虚拟主机 .doc 下载 免费 day trading swift trade 美国嘉盛 求职 找工作 心情 理念 评论 原创 bbs google adesnse 搜索引擎优化 流量 信息与计算科学 web2.0 交易 纳斯达克 网络安全 vpn donews 华中科技大学 市场营销 cfa 武汉 wordpress 和讯 广告策划 职业规划 友情链接 投资银行 博弈论 深圳 六西格马 大四 数学系 fbs 中华英才网 勾心斗角 世界经理人 美国股票 毕业设计 gmail 摩根斯坦利 IT 留言本 matlab 网球 同花顺 sas 炒股 数据处理 IT社区 中国概念股 index 诗人

相关文章阅读

请选择 文章列表 付出与索取的故事 美股交易 评论本文 信息与计算科学 google adsense 让你的网站博客产生收益  

阅读：上一篇

阅读：下一篇