摘要：本文主要講述了在Internet為代表的全球性信息化浪潮迅猛發(fā)展時期,，面對日益突出的網(wǎng)絡安全問題,，提出了一個具體的解決方案。

　　以Internet為代表的全球性信息化浪潮迅猛發(fā)展,，信息網(wǎng)絡技術的應用正日益普及和廣泛,，應用層次正在深入，應用領域也從傳統(tǒng)的,、小型業(yè)務系統(tǒng)逐漸向大型,、關鍵業(yè)務系統(tǒng)擴展，典型的如行政部門業(yè)務系統(tǒng),、金融業(yè)務系統(tǒng),、企業(yè)商務系統(tǒng)等。伴隨網(wǎng)絡的普及,，網(wǎng)絡安全也日益成為影響網(wǎng)絡效能的重要問題,，Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,，對安全提出了更高的要求,。如何使網(wǎng)絡信息系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機構,、企事業(yè)單位信息化健康發(fā)展所必需考慮和解決的重要問題,。

　　一、 系統(tǒng)簡要描述

　　公司網(wǎng)絡為24個節(jié)點,。網(wǎng)絡中包括：業(yè)務網(wǎng),、辦公網(wǎng)系統(tǒng)，同時為方便該公司辦公人員與外部的溝通,，辦公網(wǎng)絡用ADSL接入Internet,。

　　二、 網(wǎng)絡安全風險分析

　　1,、 內(nèi)部辦公網(wǎng)之間的安全隱患由于該公司辦公網(wǎng)絡除了有正常的辦公功能以外還與其他主機相連接,，如果辦公網(wǎng)絡遭到惡意攻擊，直接會影響到其他主機的安全性,。比如：(1)入侵者使用Sniffer等嗅探程序通過網(wǎng)絡探測掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞,，如網(wǎng)絡IP地址、應用操作系統(tǒng)的類型、開放的TCP端口,、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等,，并通過相應攻擊程序對內(nèi)網(wǎng)進行攻擊。(2)入侵者通過網(wǎng)絡監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名,、口令等信息,，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息,。(3)入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務器進行攻擊,，使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓。

　　2,、 內(nèi)部局域網(wǎng)帶來安全威脅在已知的網(wǎng)絡安全事件中,約70%的攻擊是來自內(nèi)部網(wǎng),。首先，各節(jié)點內(nèi)部網(wǎng)中用戶之間通過網(wǎng)絡共享網(wǎng)絡資源,。對于常用的操作系統(tǒng)Windows 98/2000,，其網(wǎng)絡共享的數(shù)據(jù)便是局域網(wǎng)所有用戶都可讀甚至可寫，這樣就可能因無意中把重要的涉密信息或個人隱私信息存放在共享目錄下,，因此造成信息泄漏,。另外,，內(nèi)部管理人員有意或者無意泄漏系統(tǒng)管理員的用戶名,、口令等關鍵信息；泄漏內(nèi)部網(wǎng)的網(wǎng)絡結構以及重要信息的分布情況,，甚至存在內(nèi)部人員編寫程序通過網(wǎng)絡進行傳播,，或者故意把黑客程序放在共享資源目錄做個陷阱，乘機控制并入侵他人主機,。因此,，網(wǎng)絡安全不僅要防范外部網(wǎng)，同時更防范內(nèi)部網(wǎng),。

　　3,、 電子郵件應用安全電子郵件是最為廣泛的網(wǎng)絡應用之一。內(nèi)部網(wǎng)用戶可能通過拔號或其它方式進行電子郵件發(fā)送和接收,。這就存在被黑客跟蹤或收到一些特洛伊木馬,、病毒程序等。由于許多用戶安全意識比較淡薄,，對一些來歷不明的郵件,，沒有警惕性，給入侵者提供機會,，給系統(tǒng)帶來不安全因素,。

　　4、 網(wǎng)上瀏覽應用安全網(wǎng)上瀏覽也是網(wǎng)絡系統(tǒng)被入侵的一個不安全因素。我們都知道,，網(wǎng)絡具有地域廣,、自由度大等特點,，同時上網(wǎng)的有各種各樣的人，網(wǎng)上瀏覽不安全因素如從網(wǎng)上下載資料可能帶來病毒程序或者是特洛伊木馬程序,；還有利用假冒手段騙取你的關鍵信息,，比如，入侵者首先偽造一個用戶登錄界面,，當你輸入用戶名及口令時，系統(tǒng)提示你用戶名或口令不正確要求重新輸入,，但其實你第一次輸入的也是正確信息,，只是第一次信息已經(jīng)被入侵者傳送到他的郵箱中去了，你也就因此泄漏了你的用戶名及口令字,。這將對你的主機受到攻擊埋下的安全隱患,。

　　三、 方案實施：

　　針對以上需求在此建議配備一臺硬件守護神?防火墻,，防火墻是一種用來加強網(wǎng)絡之間訪問控制的特殊網(wǎng)絡互聯(lián)設備,。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略進行檢查，來決定是否允許網(wǎng)絡間的通信,。其中被保護的網(wǎng)絡稱為內(nèi)部網(wǎng)絡,，另一方則稱為外部網(wǎng)絡或公用網(wǎng)絡，它能有效地控制內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的訪問及數(shù)據(jù)傳輸,，從而過到保護內(nèi)部網(wǎng)絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的,。一個完善的防火墻系統(tǒng)應具有3方面的特性：

　　<一>所有在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；

　　<二>只有被授權的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻,；

　　<三>防火墻本身不受各種攻擊的影響,。

　　守護神防火墻的優(yōu)點：

　　1、 自主產(chǎn)權

　　軟硬件一體化設計,，采用專用安全操作系統(tǒng),，擁有軟件和硬件的全部自主產(chǎn)權。

　　2,、 多工作模式

　　StopHacker守護神防火墻的工作模式有三種：路由模式,、透明網(wǎng)橋模式、混合模式,。

　　* 路由模式

　　路由模式是防火墻的基本工作模式,，該模式運行在網(wǎng)絡層,。在路由模式下，一般要做NAT地址轉換,，這時防火墻的各個端口IP地址都位于不同的網(wǎng)段,。在路由模式支持NAT地址轉換和PAT端口轉換。

　　* 透明網(wǎng)橋模式

　　透明網(wǎng)橋模式在數(shù)據(jù)鏈路層實現(xiàn),。防火墻在該模式下工作時,，可以透明的接入到網(wǎng)絡的任何部位，無需改動用戶網(wǎng)絡結構和配置,，即插即用,，簡便高效，使用方便,。

　　* 混合模式

　　在混合模式下，防火墻可以有部分端口在路由模式下工作,，部分端口在透明模式下工作,。

　　3、 一次性口令用戶認證模塊

　　一次性口令(OTP,，One-Time Password)機制是一種高強度的認證,，它無須在網(wǎng)上傳輸用戶的真實口令,，并且由于具有一次性的特點,，可以有效防止重放攻擊(Replay Attack)。

　　在采用了一次性口令認證機制后,，即使有竊聽者在網(wǎng)絡上截取網(wǎng)絡傳輸信息,，由于該信息的有效期僅為一次,，故也無法再利用這個信息進行認證鑒別,。

　　StopHacker守護神防火墻的功能一次性口令認證還可以結合智能IC卡,、ikey等硬件進行輔助認證。

　　4,、 計費

　　StopHacker守護神防火墻支持按用戶或者IP地址進行計費,，可按時間或者流量設置計費規(guī)則，支持預交費管理,，并可以結合一次性口令用戶認證實現(xiàn)使用智能IC卡等硬件計費管理,。

　　5、 用戶與MAC地址,、IP地址的綁定

　　在網(wǎng)絡管理中IP地址盜用現(xiàn)象經(jīng)常發(fā)生,，不僅對網(wǎng)絡的正常使用造成影響,，同時由于被盜用的地址往往具有較高的權限，因此也會對用戶造成大量的經(jīng)濟上的損失和潛在的安全隱患,；守護神防火墻支持MAC地址和IP地址綁定,。另外，通過使用一次性口令用戶認證,，可以實現(xiàn)跨網(wǎng)段的用戶,、MAC和IP地址的綁定。

　　6,、 支持和StopHacker守護神系列安全產(chǎn)品聯(lián)動,。