网络安全在企业中的实际应用(论文).doc

1、目 录1 概述31.1 网络安全问题的由来31.2网络安全问题对策的思考32 网络安全及主要技术32.1网络安全的概念42.2 网络安全的现状及面临的威胁52.3 网络安全的主要技术52.3.1 认证52.3.2 身份认证52.3.3 报文认证52.3.4 授权访问52.3.5 数字签名52.3.6 数据加密52.3.7 私钥加密62.3.8 公钥加密62.3.9 防火墙技术62.3.10 入侵系统检测62.3.11 虚拟专用网（VPN）技术72.3.12 其他网络安全技术73防火墙技术83.1防火墙的特性83.2防火墙的优点93.3防火墙的弱点93.4防火墙网络结构的安全性103.5防火墙技

2、术存在的矛盾103.6混合型威胁113.7企业网络安全解决方案与建议124 结束语14参考文献16网络安全在企业中的实际应用摘 要网络已经成为了人类所构建的最丰富多彩的虚拟世界，网络的迅速发展，给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息，共享资源。随着网络的延伸，安全问题受到人们越来越多的关注。 网络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。这种情况给网络安全带来越来越多的安全隐患。我们可以通过很多网络工具，设备和策略来保护不可信任的网络。其中防火墙是运用非常广泛和效果最好的选择。它可以防御网络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外

3、，降低网络的整体风险。 防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。本文探讨了网络安全的现状及问题由来以及几种主要网络安全技术，提出了实现网络安全的几条措施。 【关键字】 网络安全 计算机网络 防火墙 1 概述1.1 网络安全问题的由来网络设计之初仅考虑到信息交流的便利和开放，而对于保障信息安全方面的规划则非常有限，这样，伴随计算机与通信技术的迅猛发展，网络攻击与防御技术循环递升，原来网络固有优越性的开放性和互联性变成信息的安全性隐患

4、之便利桥梁。网络安全已变成越来越棘手的问题，只要是接入到因特网中的主机都有可能被攻击或入侵了，而遭受安全问题的困扰。目前所运用的TCP/IP协议在设计时，对安全问题的忽视造成网络自身的一些特点，而所有的应用安全协议都架设在TCP/IP之上，TCP/IP协议本身的安全问题，极大地影响了上层应用的安全。网络的普及和应用还是近10年的事，而操作系统的产生和应用要远早于此，故而操作系统、软件系统的不完善性也造成安全漏洞；在安全体系结构的设计和实现方面，即使再完美的体系结构，也可能一个小小的编程缺陷，带来巨大的安全隐患；而且，安全体系中的各种构件间缺乏紧密的通信和合作，容易导致整个系统被各个击破。1.2

5、 网络安全问题对策的思考网络安全建设是一个系统工程、是一个社会工程，网络安全问题的对策可从下面几个方面着手。网络安全的保障从技术角度看。首先，要树立正确的思想准备。网络安全的特性决定了这是一个不断变化、快速更新的领域，况且我国在信息安全领域技术方面和国外发达国家还有较大的差距，这都意味着技术上的“持久战”，也意味着人们对于网络安全领域的投资是长期的行为。其次，建立高素质的人才队伍。目前在我国，网络信息安全存在的突出问题是人才稀缺、人才流失，尤其是拔尖人才，同时网络安全人才培养方面的投入还有较大缺欠。最后，在具体完成网络安全保障的需求时，要根据实际情况，结合各种要求（如性价比等），需要多种技术的

6、合理综合运用。2 网络安全及主要技术2.1 网络安全的概念国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。2.2 网络安全的现状及面临的威胁目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元，而这些病毒主要是通过电子邮件进行传播的。

7、据反病毒厂商趋势公司称，像Sobig、Slammer等网络病毒和蠕虫造成的网络大塞车，去年就给企业造成了550亿美元的损失。而包括从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化，网络安全问题带来的损失由此可见一斑，其面临的威胁主要来自以下方面：(一)自然灾害。计算机信息系统仅仅是一个智能的机器，易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。(二)黑客的威胁和攻击。黑客问题的出现，并非是黑客能够制造入侵的机会，而是他们善于发现漏洞，即信息网络本身的不完善性和缺陷，成为被攻击的目标或利用为攻击的途径，并构成了自然或人为的破坏。(三)计算机病毒。计算机病毒是一个程序，一段可执行码

8、，破坏计算机的正常运行，使之无法正常使用甚至使整个操作系统或者硬盘损坏。就像生物病毒一样，计算机病毒有独特的复制能力，可以很快地蔓延，常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制和传送时，它们就随之一起蔓延开来病毒程序不是独立存在的，它隐蔽在其它可执行的程序之中，既有破坏性又有传染性和潜伏性。轻则影响机器运行速度，重则使机器处于瘫痪，会给用户带来不可估量的损失。(四)垃圾邮件和间谍软件。一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动，把自己的电子邮件强行“推入”别人的电子邮箱，强迫他人接受垃圾邮件。与计算机病毒不同，问谍软件的主要目的不在于对

9、系统造成破坏，而是窃取系统或是用户信息。2.3 网络安全的主要技术安全是网络赖以生存的保障，只有安全得到保障，网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展，其涉及的技术面非常广，主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。2.3.1 认证技术认证技术可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的；对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。现列举几种如下：2.3.2 身份认证当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采

10、用用户名和口令等最简易方法进行用户身份的认证识别。 2.3.3 报文认证主要是通信双方对通信的内容进行验证数据的完整性，发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。；2.3.4 访问授权主要是确认用户对某资源的访问权限，并且可以对权限进一步分类，例如：读取，更改，完全控制等等；当用户不符合访问条件时就会被拒绝。2.3.5 数字签名数字签名是一种使用加密认证电子信息的方法，其安全性和有用性主要取决于用户私匙的保护和安全的哈希函数。数字签名技术是基于加密技术的，可用对称加密算法、非对称加密算法或混合加密算法来实现。2.3.6 数据加密加密就是

11、通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。主要存在两种主要的加密类型：私匙加密和公匙加密。2.3.7 私匙加密私匙加密又称对称密匙加密，因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性，它不提供认证，因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快，很容易在硬件和软件件中实现。2.3.8 公匙加密公匙加密比私匙加密出现得晚，私匙加密使用同一个密匙加密和解密，而公匙加密使用两个密匙，一个用于加密信息，另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的，因而比私匙加密系统的速度慢得多，不过若将两者

12、结合起来，就可以得到一个更复杂的系统。2.3.9 防火墙技术防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、检视和入侵检测技术。防火墙的安全控制主要是基于IP地址的，难以为用户在防火墙内

13、外提供一致的安全策略；而且防火墙只实现了粗粒度的访问控制，也不能与企业内部使用的其他安全机制（如访问控制）集成使用；另外，防火墙难于管理和配置，由多个系统（路由器、过滤器、代理服务器、网关、保垒主机）组成的防火墙，管理上难免有所疏忽。2.3.10 入侵检测系统入侵检测技术是网络安全研究的一个热点，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展：分布式入侵检测、智能化入侵检测和全面的安全防御方案。入侵检测系统（Instusion Detection System， 简称IDS）是进行入

14、侵检测的软件与硬件的组合，其主要功能是检测，除此之外还有检测部分阻止不了的入侵；检测入侵的前兆，从而加以处理，如阻止、封闭等；入侵事件的归档，从而提供法律依据；网络遭受威胁程度的评估和入侵事件的恢复等功能。2.3.11 虚拟专用网（VPN）技术VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一，所谓虚拟专用网（VPN）技术就是在公共网络上建立专用网络，使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制，这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全：隧道技术（Tunneling)、加解密技术（Encryptio

15、n & Decryption)、密匙管理技术（Key Management)和使用者与设备身份认证技术（Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务，这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法，如按接入方式分成专线VPN和拨号VPN；按隧道协议可分为第二层和第三层的；按发起方式可分成客户发起的和服务器发起的。2.3.12 其他网络安全技术（1）智能卡技术，智能卡技术和加密技术相近，其实智能卡就是密匙的一种媒体，由授权用户持有并由该用户赋与它一个口令或密码字，该密码字与内

16、部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。（2）安全脆弱性扫描技术，它为能针对网络分析系统当前的设置和防御手段，指出系统存在或潜在的安全漏洞，以改进系统对网络入侵的防御能力的一种安全技术。（3）网络数据存储、备份及容灾规划，它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据，使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。其他网络安全技术还有我们较熟悉的各种网络防杀病毒技术等等。3 防火墙技术为什么要使用防火墙？很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Window

17、s系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。做好了这些，我们也可以非常自信的说，Windows足够安全。也可以抵挡住网络上肆无忌惮的攻击。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。 对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。” 如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络

18、中所有系统的安全性的平均值。遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。即非常有名的木桶理论也可以应用到网络安全中来。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。3.1 防火墙的特性防火墙一般有三个特性： A所有的通信都经过防火墙 B防火墙只放行经过授权的网络流量 C防火墙能经受的住对其本身的攻击 我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问

19、控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。 防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。 对于企业来说，防火墙将保护以下三个主要方面的风险： A机密性的风险 B数据完整性的风险

20、 C使用性的风险 我们讨论的防火墙主要是部署在网络的边界（Network Perimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（VPN）的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程VPN客户端的安全。因为远程VPN客户端的安全将直接影响到整个防御体系的安全。 3.2 防火墙的优点 防火墙的主要优点如下： A防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。 B防火墙可以用于限制对某些特

21、殊服务的访问。 C防火墙功能单一，不需要在安全性，可用性和功能上做取舍。 D防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。 3.3 防火墙的弱点同样的，防火墙也有许多弱点： A不能防御已经授权的访问,以及存在于网络内部系统间的攻击. B不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁. C不能修复脆弱的管理措施和存在问题的安全策略 D不能防御不经过防火墙的攻击和威胁 现代企业对网络依赖主要来自于运行在网络上的各种应用，同样的，网络的范围也覆盖到整个企业的运营区域。我们将分析一个典型的企业网络，从结构，应用，管理，以及安全这几个层次来探讨一下对企业来说，如何去

22、实现真正的网络安全。 在开始之前，我们首先必须面对一个事实，绝对的安全是没有的。我们所能做的，是减少企业所面临的安全风险，延长安全的稳定周期，缩短消除威胁的反映时间。网管与安全人员需要解决的是来自内部和外部的混合威胁，是蓄意或无意的攻击和破坏，是需要提高整体安全防范意识与科学的协调和管理。客观的去分析现今的企业网络，我们不难发现，在经历了普及终端和网络互联的时代后，我们面对的问题还有很多，如客户端的非法操作，对网络的不合法的访问与利用；网络结构的设计缺陷与混杂的部署环境；网络边界与关键应用的区域缺乏必要的防御措施和审记系统等等。3.4 防火墙网络结构的安全性管理人员都知道，通过部署多层交换机，

23、实现多个VLAN和快速收敛的路由，是保证网络结构的可靠性与强壮性的最佳方法。在划分了多个逻辑网络和建立符合应用的ACL的同时，我们更希望能收集和归纳出整个网络的更多安全信息，包括流量的管理，QoS，入侵行为和用户访问信息。仅通过网络设备提供的日志，SNMP管理是远远不够的，现今的方法是通过部署IDS/IPS来实现。在核心的节点部署IDS/IPS探点，采集和汇总数据包的完整信息，提供给管理人员分析是正确的方法。当然了，这也要求管理人员的技术水平达到一定的高度，并且会耗费一部分时间用于分析日志。入侵检测系统能与其他的网络设备联动，减少误报，共同响应与阻断威胁，将是未来的发展趋势和重点。网络的核心区

24、域包括核心交换机，核心路由器等重要设备，它们负担整个网络的核心数据的转发，并且连接着DMZ区的各个关键应用，如OA系统，ERP系统，CRM系统，对内或对外的Web服务器，数据库服务器等。从安全的角度来说，这个区域是最关键的，也是风险最集中的区域。我们遇到的矛盾是，既要不影响DMZ区应用的可用性和友好性，又要保证其访问的安全性与审核。很多情况下我们不但要在网络的边界部署防火墙，也要在这个区域部署为保护DMZ等类似的关键区域的防火墙。 3.5 防火墙技术存在的矛盾如果部署安全策略，在提高安全性的同时，势必会影响其可用性。这个矛盾是不可调和的。与边界防火墙不同的是，关键区域的防火墙主要是面对内部用户

25、，保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁，比如扫描，渗透，入侵，拒绝服务攻击等攻击，也要提供诸如NAT服务，出站控制，远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域，提供深层次的检测与告警。因为一旦涉及到数据包深入检测，将会大大影响设备的性能。而这是对边界防火墙要求高性能数据过滤和转发，不成为出口瓶颈所不能容忍的。管理人员应该先充分了解网络的特点与用途，结合设备与现有的网络环境灵活部署，才能达到较高可用性与安全性的平衡。 3.6 混合性威胁先如今存

26、在多种方法和技术来传播和实施的攻击或威胁，因而必须有对症的方法来保护和压制这种攻击或威胁,简单的通过设定和部署权限、策略是不够的，如: CodeRed，震荡波，冲击波等，必须通过修补WINDOWS操作系统漏洞来彻底消除利用漏洞传播的蠕虫影响。众所周知，Microsoft有专门的Update站点来发布最新的漏洞补丁，我们所需要做的，是下载补丁，安装并重新启动。但是在大型企业中实际实施却没有这么简单，修补不同操作系统的大量客户端，如Win98/Me/2000/XP/2003等，将是一件让人痛苦的工作，不仅部署时间长，还要花费大量的人力和时间，影响到企业的应用和业务的正常运转。尤其是在网络环境复杂的

27、企业中，包含多个域多个工作组，或没有域的早期环境。如何在蠕虫和黑客还没有渗透到网络之前修补这些漏洞，如何将部署这些补丁对企业的运行影响减小到最低呢？我们的回答是，选择一套高效安全的桌面管理软件，来进行完善的企业IT管理： LANDesk Management Suite，即LANDesk管理套件，桌面管理市场的开创者和领导者。LANDesk专注于提供桌面管理市场的产品与服务，公司原属于Intel公司的软件部，拥有强大的管理团队与专业背景，全面支持混合平台环境。包括Windows平台,MAC平台,Linux平台,Unix平台，Solaris平台。可以在有域或无域环境中部署，尤其是操作系统补丁的检

28、测收集与自动修补，通过LANDesk的目标多址广播（可大量减轻网络主干压力）、对等下载（即使用流行的BT下载原理）、动态带宽调整等技术优势，迅速的修补企业内部网络中的系统漏洞，不需要人工参与，不需要管理员去核对操作系统版本与状态，在无人职守或者非法中断的情况下会在下次自动完成部署任务，断点续传。因为篇幅的原因，LANDesk的更多优势，如IT资产管理，软件授权监视，系统安全服务状态，禁止外设（USB，1394，无线，CD-ROM）OS操作系统迁移，软件分发，软件许可监控等功能，请通过 www.L 获得更详尽的信息。真正的安全：整体集成安全解决方案 +及时同步更新 = 真正的安全 通过在内部网络

29、中的每台工作站上部署防病毒，防火墙，入侵检测，补丁管理与系统监控，我们可以集中收集内部网络中的威胁，分析面对的风险，灵活适当的调整安全管理策略。但这仅仅是不够的，还有另外一个重要的部分，就是从网络结构上的接入层，汇聚层和核心交换层设备上做好访问控制与流量管理。3.7 企业网络安全解决方案与建议下面我们来逐一分析，并提供相应的产品解决方案与安全建议。首先是网络内部，即面向企业内部员工的工作站，我们不能保证用户每一次操作都是正确与安全的，绝大情况下，他们仅知道如何去使用面前的计算机来完成属于自己的本职工作。而对于其他一无所知，比如病毒，木马，间谍程序，恶意脚本，往往正是通过内部网络中某一台工作站的

30、误操作而进入到网络并且迅速的蔓延，最终引起恶劣后果，如访问非法网站，下载或运行不可信程序，使用移动设备复制带有病毒的文件等看似平常的操作。由于如今流行的操作系统存在大量的漏洞与缺陷，并且新的漏洞与利用各种漏洞的蠕虫变种层出不穷，网络的迅速发展，也给这类威胁提供高速繁殖的媒介。特别是企业内部拥有高速的网络环境，给各种威胁的扩散与转移提供了可能。现在人们都通过安装防病毒软件来防御病毒的威胁，但是面对蠕虫和木马程序，后门程序等，防病毒并不能起到很显著的效果，例如蠕虫病毒，一般都是利用操作系统中存在的缺陷和漏洞来攻击与传播的，即使安装了防病毒软件，也没有修补操作系统本身的漏洞，安全威胁从根本上没有被消

31、除。并且随着蠕虫的不断攻击，防病毒系统将会调用大量的系统资源来修复和防御蠕虫攻击后修改的系统文件，频繁的对文件系统进行扫描与恢复。这样也无形的增加了系统的不稳定性，影响了系统的可用性，最关键的是，蠕虫攻击在仍然在网络中传播，给交换机，路由器带来持续的压力和威胁。另外，客户端感染威胁的途径是多种多样的，比如Internet Explorer浏览器漏洞，可以利用VBS恶意脚本，BMP图片木马，ActiveX控件后门程序等，通过各类嵌入攻击代码的网页，在浏览者毫不知情的情况下，后台进驻到操作系统中，修改注册表和系统设置，种植后门程序，收集用户信息和资料。这一切都会给工作站造成无法估量的安全风险。一旦

32、工作站遭到攻击与控制，就很可能威胁到整个内部网络和核心区域，所以我们说，保护好工作站的安全，是企业网络安全的一个重要部分。 通过上面简单的分析和举例，为了最大限可能的保护网络安全，企业需要建立基本的三类专用服务器：外网服务器+防火墙，内网服务器+LANDesk管理套件，及文档服务器+备份系统。A.外网服务器+防火墙：公司内部所有工作站通过这台服务器与外界联系，在防火墙这种由计算机硬件和软件的组合中, 使互联网与内部网之间建立起一个安全网关( scurity gateway), 从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常这局域网或城域网）隔开的屏障。硬件防火墙如果从技

33、术上来分又可分为两类, 即标准防火墙和双家网关防火墙。标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界, 即公用网; 另一个则连接内部网。标准防火墙使用专门的软件, 并要求较高的管理水平, 而且在信息传输上有一定的延迟。双家网关 (dual home gateway) 则是标准防火墙的扩充, 又称堡垒主机(bation host) 或应用层网关(applications layer gateway), 它是一个单个的系统, 但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用, 同时防止在互联网和内部系统之间建立的任何直接的

34、边界,可以确保数据包不能直接从外部网络到达内部网络, 反之亦然。防火墙如果从实现方式上来分，又分为硬件防火墙和软件防火墙两类，我们通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现，这里我们介绍防火墙CheckPoint的Stateful Inspection(状态检测技术) 和Web Intelligence (Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。简单来说，状态检测技术工作在OSI参考模型的Data Link与Network层之间，数据包在操作系统内核中，在数据链路层和网络层

35、时间被检查。防火墙会生成一个会话的状态表，Inspect Engine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是CheckPoint发明的专利技术，对状态和上下文信息的收集使得CheckPoint防火墙不仅能跟踪TCP会话，也能智能处理无连接协议，如UDP或RPC。这样就保证了在任何来自服务器的数据被接受前，必须有内部网络的某一台客户端发出了请求，而且如果没有受到响应，端口也不会处于开放的状态。状态检测对流量的控制效率是很高的，同时对于防火墙的负载和网络数据流增加的延迟也是非常小。可以保证整个防火墙快速，有效的控制数据的进出和做出控制决策。软件防火墙它是通过纯软件的方式来达到

36、，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。现在软件防火墙功能也逐步强大起来，主要适用于中小型企业，例如天网防火墙个人及企业版，Norton的个人及企业版软件防火墙，还有许多原来是开发杀病毒软件的开发商现在也开发了软件防火墙，如KV系列、KILL系列、金山系列等B.内网服务器+LANDesk管理套件:内网服务器主要负责局域管理网内部的事务，例如企业定制的MS，ERP，PMD，OA系统，EMAIL系统等。专业的MS等系统是较为庞大的，而且需要二次开发，例如用友的ERP，仅仅是适合大中型企业的，一般的中小型企业只单独使用其中的某些模块，慢慢的扩充；我们同样建

37、议使用LANDesk管理套件，它可以有效的管理所有的内部系统，控制IT资产清单，了解网络资源，同时确保系统安全，通过单一控制台实施网络安全，检测漏洞并部署补丁，这可使网络管理员永远不再为WINDOWS的补丁烦恼了。C.文档服务器+备份系统：文档服务系统主要在各种项目的实施过程中，进行所有项目资料的管理。作为大型项目ERP的实施，安全、稳定、权限分明的文档服务是项目成功的重要保障。在不用专门定制开发软件系统的情况下，利用windows server操作系统自身的共享文件，用户权限管理，安全机制等增强功能，有机的将这些功能组合。达到ERP项目要求的文档管理能力，使得项目组织有效的利用文档管理来规范

38、项目开发工作。实际工作中仅有文件服务器是不够的，还应为其配备一个专门的备份系统和网络灾难恢复系统，应对硬件损坏、网络瘫痪时造成的系统当机及文件丢失。D.工作站+杀毒软件： 在工作站上安装单机版的杀毒软件就足够了，我们推荐金山公司的KV2009，它有超大病毒库+智能主动防御+互联网可信认证，可以24小时全天候主动实时升级文件实时防毒智能主动漏洞修复 采用快速漏洞补丁下载技术和漏洞数据自动收集技术MSN 聊天加密功能 网页防挂马，嵌入式防毒，隐私保护等等。 4 结束语在Web环境中，威胁来自于多个方面，从端点到传输到边界，最后到达Web服务器和后台数据库。这一系列的数据交换将会引发大量的安全问题。

39、传统的防火墙的功能对于Web的保护相当有限，随着VPN网络和远程移动办公用户的接入增多，网络边界的概念在如今已经非常模糊了。很明显的，网络的边界已经拓展到实际用户的桌面端。网络安全是需要综合的部署和完善的策略来做保证的。企业的网络安全是一项综合性很强的工作，并且持续的时间将随着整个拓扑和应用的周期而扩展。企业内部安全的很多部分本文都没有提到，如服务器的加固，无线安全，反垃圾邮件系统，风险评估，安全检测等。网络安全的保障从管理角度看。考察一个内部网是否安全，不仅要看其技术手段，而更重要的是看对该网络所采取的综合措施，不光看重物理的防范因素，更要看重人员的素质等“软”因素，这主要是重在管理，“安全

40、源于管理，向管理要安全”。再好的技术、设备，而没有高质量的管理，也只是一堆废铁。网络安全的保障从组织体系角度看。要尽快建立完善的网络安全组织体系，明确各级的责任。建立科学的认证认可组织管理体系、技术体系的组织体系，和认证认可各级结构，保证信息安全技术、信息安全工程、信息安全产品，信息安全管理工作的组织体系。最后，在尽快加强网络立法和执法力度的同时，不断提高全民的文明道德水准，倡导健康的“网络道德”，增强每个网络用户的安全意识，只有这样才能从根本上解决网络安全问题。参考文献1 张千里，陈光英.网络安全新技术M.北京：人民邮电出版社，20032 高永强，郭世泽.网络安全技术与应用大典M.北京：人民

41、邮电出版社，20033 周国民. 入侵检测系统评价与技术发展研究J.现代电子技术，2004(12)4 耿麦香.网络入侵检测技术研究综述J，网络安全，2004(6)5 袁家政 计算机网络安全与应用技术M,北京：清华大学出版社，20056 胡道元 计算机局域网M,北京：清华大学出版社 20017 徐国爱 网络安全M，北京：邮电大学出版社 20048 李清 网络安全概论M,北京：电子工业出版社 2000（11）9 D.E Denning An Instruction-Detection Model IEEE Transaction on Software Engineering 1987.Vol.S

42、E-13.NO.2of work enthusiasm and forward-looking. The difficulties and problems of individual cadres indifferent masses as the buck passing, long, make some simple complex problems. Some cadres general talk about pay, do not take the initiative to undertake for the bitter and tired of the work, the l

43、ack of courage to play a positive attitude. corrective measures: (LED Leadership: Luo Mingjun, rectification time: before September 25th, insist for a long time) 1, effectively solve the enterprise less, help is not enough. In order to turn style, solve problems, and do practical things, heart to he

44、art as the core, in accordance with the provisions of division of Labor Bureau, by the Bureau of Party members and cadres room composition the working group , to help enterprises solve problems, promote the construction of major projects; close ties with the masses, to ask for the people, ask for people to know the people, public opinion, the people, improve peoples livelihood.15