導語：如何才能寫好一篇防火墻解決方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：雙出口 校園網解決方案 靜態路由

一、問題分析與提出

校園網是高校的信息化建設的基礎設施，是教學科研管理信息化和現代化的重要平臺。大部分高校校園網從初建至今已有幾年的歷史。我院于2005年申請一條10M的網通線路接入Internet，用于日常辦公和教學使用。網絡拓撲圖如圖1：

由于學院的發展和招生、評估等需求，我院于2007年又接入一條100M教育網。眾所周知，教育網內部訪問速度是非常快的，但是由于教育網與其他非教育網絡如CHINANET之間存在瓶頸，所以從教育網訪問新浪、搜狐等非教育網站點時速度相對較慢。在網絡改造時我們同時保留網通10M線路，這樣做的好處是可以同時高速訪問教育網資源和非教育網資源，滿足師生學習和辦公的需求。

接入教育網后，校園網應滿足如下需求：

（1）客戶端IP地址設置不受影響，即不用重新設置地址就可以正常上網；

（2）客戶端訪問教育科研網的網站時，走教育網線路，訪問其他站點時，走網通線路。

（3）盡可能的節約校園網調整、改造的投資。

校園網改造后結構如圖2：

二、基本技術介紹

目前解決網絡雙出口的方案通常會使用默認路由、靜態路由、NAT轉換等技術。

1.靜態路由

靜態路由是在路由器中設置的固定的路由表。除非網絡管理員干預，否則靜態路由不會發生變化。靜態路由的優點是簡單、高效、可靠。在所有的路由中，靜態路由優先級最高。當動態路由與靜態路由發生沖突時，以靜態路由為準。這種方式對于上網的路由選擇與用戶無關，用戶的上網方式無需進行任何改動，可操作性較好。同時，網絡管理人員可以根據兩個出口的帶寬和流量情況，調整路由指向。

建立靜態路由的命令為：

ip route 目的地址網絡 目的網絡子網掩碼 下一跳地址

2.默認路由

默認路由是一種特殊的靜態路由,指的是當路由表中與包的目的地址之間沒有匹配的表項時路由器能夠做出的選擇。默認路由在某些時候非常有效,當存在末梢網絡時,默認路由會大大簡化路由器的配置,減輕管理員的工作負擔,提高網絡性能.

3.NAT技術

NAT(Network Address Translation)顧名思義就是網絡IP地址的轉換。NAT的出現是為了解決IP日益短缺的問題，將多個內部地址映射為少數幾個甚至一個公網地址。這樣，就可以讓我們內部網中的計算機通過偽IP訪問INTERNET的資源。目前NAT功能通常被集成到路由器、防火墻等設備中。NAT設置可以分為靜態地址轉換、動態地址轉換和端口地址轉換。

（1）靜態地址轉換

靜態地址轉換將內部本地地址與內部合法地址進行一對一地轉換，且需要指定和哪個合法地址進行轉換。如果內部網絡有WWW服務器或FTP服務器等可以為外部用戶提供服務，則這些服務器的IP地址必須采用靜態地址轉換，以便外部用戶可以使用這些服務。

（2）動態地址轉換

動態地址轉換也是將內部本地地址與內部合法地址一對一地轉換，但是動態地址轉換是從內部合法地址池中動態地選擇一個未使用的地址來對內部本地地址進行轉換的。

（3）端口地址轉換

端口地址轉換首先是一種動態地址轉換，但是它可以允許多個內部本地地址共用一個內部合法地址。對只申請到少量IP地址但卻經常同時有多個用戶上外部網絡的情況，這種轉換極為有用。

三、具體解決方案

此技術方案采用策略路由結合網絡地址轉換和訪問控制列表來具體實現，在本校出口采用NAT和策略路由技術，對于訪問目標地址不在CERNET范圍之內的，或屬于公眾網的地址，首先通過NAT進行網絡地址轉換，然后將請求通過網通出口路由出去，將計算機與CERNET及其聯網單位的通信通過CERNET出口進行。

由于涉及到網絡安全機密，校園網的各個接口地址均由其他地址代替。其中：校園網內部地址為59.68.0.0/24，10.0.0.0/24表示校園網內部服務器的地址，192.168.0.0/24表示網通地址。連接網通防火墻的ip地址為172.16.0.254，教育網路由器的ip地址為59.68.0.254。配置方案如下（以下配置均以思科產品為準）：

1．核心交換機的配置

（1）設置默認路由指向連接網通路由器：

ip route 0.0.0.0 0.0.0.0 10.0.0.254

（2）對于所有走教育網流量設置靜態路由，指向連接教育網的路由器。

ip route 4.17.184.59 255.255.255.255 59.68.0.254

ip route 12.130.28.213 255.255.255.255 59.68.0.254

ip route 58.116.0.0 255.252.0.0 59.68.0.254

……

ip route 222.204.0.0 255.254.0.0 59.68.0.254

ip route 222.206.0.0 255.254.0.0 59.68.0.254

ip route 222.248.0.0 255.254.0.0 59.68.0.254

由于教育網上經常會增刪一些IP地址，未免IP地址有變化或者教育網站點不全面，可從教育科研網（省略）下載最新地址列表。同時為避免靜態路由條目太多，可使用超網技術合并一些相似的IP地址。

2.在防火墻上進行NAT配置

通常的做法是將NAT放在路由器上，由于路由器采用硬件技術進行數據包轉發，具有轉發速度快的特點，但路由器是靠軟件來實現地址轉換的，當地址轉換列表大量產生時，會導致路由器的CPU的利用率過高甚至產生宕機現象。

在路由器滿負荷工作時，防火墻、核心交換機的負荷卻很低，還沒有充分發揮這些設備的性能，所以將路由器的工作分散到防火墻上。利用防火墻作NAT，無論轉換速度還是處理能力都比用路由器做NAT效果好得多，不會出現占用CPU資源過高的現象。

ip address outside 172.16.0.254 255.255.255.0

ip address inside 172.16.100.1 255.255.252.0

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

四、結束語

校園網按新的拓撲結構改造后，很好的解決了以前在校園網雙出口實施中存在的問題，運行以來效果很好，由于在核心交換機上作優化的策略路由，利用防火墻作網絡地址轉換，校園網用戶既可以高速地訪問教育網上的資源，本地ISP出口也不顯得擁擠不堪。校園網的雙出口已為越來越多的學校所采納，解決方案亦是仁者見仁、智者見智。在確定方案的時候，應根據所選用的設備和設計要求，合理的進行設計。

參考文獻

[1]徐宏，程代偉，池亞平譯CCNA學習指南第2版電子工業出版社2005

[2]劉偉，崔永峰基于防火墻和策略路由的校園網雙出口實現周口師范學院學報2006

篇2

企業戰略集團(ESG)的一項調查顯示,IT管理人員認為網絡安全是2011年必須優先考慮的問題。不斷增長的互聯網和內部網絡帶寬需要更快、更可靠的網絡安全系統,以保證所有級別網絡環境中的數據安全。“數據安全是一場必須在多條戰線上同時進行的戰斗,特別是在網絡層面。”邁克菲(McAfee)公司副總裁Dan Ryan表示。無論在IT基礎設施的哪個層面,安全都是不容忽視的一個問題。正因為如此,網絡與安全融合、存儲與安全融合的例子越來越多。

隨著數據量和業務的不斷增加,人們需要訪問的設備越來越多,面臨的網絡安全威脅也越來越多,因此打造端到端的網絡安全體系,實現主動的安全性管理,降低業務風險成了數據中心用戶的當務之急。“安全無處不在。以后,獨立的安全廠商可能會越來越少。博科(Brocade)之所以和邁克菲合作提供廣泛的、完全互通的端到端網絡安全解決方案,目的是為客戶提供更多的選擇。”博科公司大中國區總經理盧少文表示。

博科與邁克菲合作的近期目標是,聯合設計一套互通的解決方案,以滿足企業客戶的網絡安全需求。聯合解決方案主要包括以下內容:博科Netlron MLX系列高性能路由器與邁克菲企業級防火墻和入侵防御技術相結合,為大型企業網絡核心進行優化配置,以抵御外來的安全威脅;博科Servering應用交付控制器與可實現負載均衡的邁克菲企業級防火墻技術相結合,提供針對拒絕服務(DoS)和SYN攻擊的充分保護,同時提供高性能的、永遠在線的、安全的防火墻服務;邁克菲網絡訪問控制(NAC)解決方案與博科Fastlron CX和Fastlron緊湊型邊緣交換機相結合,可確保網絡接入層的安全;博科IronView網絡管理工具通過基于開放標準的網絡管理協議,使網絡基礎設施能夠自動回應由邁克菲網絡訪問控制、入侵防御和防火墻解決方案生成的安全事件。在完成聯合解決方案的設計與包裝后,博科與邁克菲將繼續在網絡管理方面進行深入合作。

EGS分析師Jon Oltsik表示:“不斷變化的安全威脅和校園網絡的融合促進了網絡與安全產品的整合。企業必須讓整個網絡基礎設施時刻保持警惕的狀態,以主動應對可能產生的攻擊。”在收購網捷之后,博科已經把市場拓展的重點放在了IP網絡產品上。博科IP網絡產品與邁克菲安全產品集成在一起,構成了從防火墻、入侵檢測、預防系統到網絡訪問控制的完整的安全保障體系,能夠保護客戶不受惡意活動、數據泄露、網絡入侵等各類安全威脅的侵襲。盧少文表示:“安全是一種功能。博科自己不是安全專家,但是為了讓客戶能隨時隨地、安全地訪問網絡服務,博科通過與邁克菲合作的方式,也能夠為用戶提供高可靠的網絡安全解決方案。未來,博科將抱著一種開放的心態,與更多安全廠商合作,為用戶提供更多的安全功能選擇。”

篇3

關鍵詞：網絡安全 防火墻 IDS IPS

中圖分類號：G4 文獻標識碼：A 文章編號：1673-9795（2013）05（a）-0155-01

隨著網絡的普及，網絡應用已經越來越多的走進了人們的生活，網絡安全問題已經從一個純技術問題上升到關乎社會經濟乃至國家安全的戰略問題，上升到關乎人們的工作和生活的重要問題。網絡不安全的因素很多，主要包括病毒、木馬、黑客、系統漏洞和后門、內部威脅和無意破壞，事實上大部分威脅來自內部人員蓄意攻擊，這類攻擊所占比例高達70%。因此，我們既要從管理制度上建立和完善安全管理規范和機制，增強安全防范意識。更要從安全技術上進行全面的安全漏洞檢測和分析，針對檢測和分析的結果制定防范措施和完整的解決方案。

1 網絡安全技術

網絡安全技術很多，主要包括數據加密與認證技術、防火墻技術、訪問控制技術、病毒防治技術、入侵檢測技術、入侵防御技術等。

1.1 防火墻技術

防火墻是網絡系統的第一道安全閘門。它是一種計算機硬件和軟件的組合，在內網和外網之間建立的一個安全網關。它對網絡間需要傳輸的數據包以及連接方式來進行安全性的檢查，同時，來決定網絡間的通訊是否能夠被允許。

防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成。防火墻的主要功能有兩個：阻止和允許，也就是說阻止或允許某種類型的通信量通過防火墻。

防火墻能阻擋外部入侵者，但對內部攻擊無能為力；同時某些防火墻自身也容易引起一些安全性的問題。通常來說作為防火墻不能夠阻止通項站點的后面，從而就不能夠提供對內部的安全保護措施，抵擋不了數據驅動類型的攻擊，像用戶通過Internet下載上傳的程序或文件是很容易被傳染上病毒的。尤其是現在攻擊層次越來越高，據統計超過70%的應用層攻擊防火墻無法攔截如服務器漏洞攻擊、SQL注入等。

1.2 入侵檢測技術

對于入侵檢測來說，是對入侵行為進行的一個檢測，同時也是在防火墻之后的第二道安全的閘門，提供了對內部攻擊、外部攻擊和誤操作的實時保護且不影響網絡的性能，是一種積極主動的安全防衛技術。它不僅幫助對付網絡性的攻擊，同時也擴展了系統管理員的管理能力，這其中就包括安全審計、監視、進攻識別和響應等，大大提高了基礎結構的完整性。

入侵檢測的主要技術體現在入侵分析技術，主要有三大類：

首先是簽名分析法。主要用來檢測有無對系統的己知弱點進行的攻擊行為。這類攻擊可以通過監視有無針對特定對象的某種行為而被檢測到。主要方法是從攻擊模式中歸納出其簽名，編寫到IDS系統的代碼里，再由IDS系統對檢測過程中收集到的信息進行簽名分析。簽名分析實際上是一個模板匹配操作，匹配的一方是系統設置情況和用戶操作動作；一方是已知攻擊模式的簽名數據庫。

其次是統計分析法。以系統正常使用情況下觀察到的動作為基礎，如果某個操作偏離了正常的軌道，此操作就值得懷疑。主要方法是首先根據被檢測系統的正常行為定義出一個規律性的東西，被稱為“寫照”，然后檢測有沒有明顯偏離“寫照”的行為。統計分析法的理論基礎是統計學，此方法中，“寫照”的確定至關重要。

最后是數據完整性分析法。用來查證文件或對象是否被修改過，它的理論基礎是密碼學。

上述分析技術在IDS中會以各種形式出現，把這些方法組合起來使用，互相彌補不足是最好的解決方案，從而在IDS系統內部實現多層次、多手段的入侵檢測功能。如簽名分析方法沒有發現的攻擊可能正好被統計分析方法捕捉到。

IDS雖然能有效檢測和告警入侵事件，但不能主動地把變化莫測的威脅阻止在網絡之外。雖然我們可以講防火墻與IDS聯動當時還沒有標準協議，有滯后現象，并非最優方案。

因此，我們迫切地需要找到一種主動入侵防護解決方案，以確保企業網絡在威脅四起的環境下正常運行。

2 入侵防御技術

入侵防御系統（Intrusion Prevention System或Intrusion Detection Prevention，即IPS或IDP）它是一款智能化檢測入侵和防御的產品，這款產品不但能檢測出入侵，它還可以通過一定的響應方式，來中止這次的入侵行為，從而保護了信息系統受到實質性的攻擊。同時也讓IPS與IDS還有防火墻能夠得到統一。

IPS在網絡中一般有四種連接方式即：Span即接在交換機旁邊，作為端口鏡像；Tap即接在交換機與路由器中間，旁路安裝，拷貝一份數據到IPS中；Inline即接在交換機與路由器中間，在線安裝，在線阻斷攻擊；Port-cluster（被動抓包，在線安裝）。它在報警的同時，能阻斷攻擊。

IPS能準確判斷隱含在網絡實時流量當中的惡意數據，并實現及時的阻斷，可以降低內部網絡遭受攻擊的可能，同時減少內部審計數據的大小。

3 網絡安全解決方案

通過分析網絡入侵方式及對比三種網絡安全技術，可以推知防火墻技術和ids、技術缺乏深層分析或在線部署，都無法真正實現深層防御，只有IPS才是目前深層防御的最優方案如圖1所示。

4 結語

首先介紹和分析了防火墻和入侵檢測協同各自的特點和缺陷，然后提出了入侵防御系統能夠有效彌補目前防火墻和入侵檢測技術的缺陷。然而入侵防御系統（IPS）技術目前還不夠成熟，需要不斷改進，隨著新的攻擊工具的出現，勢必會出現新的防范技術。

參考文獻

[1] 東輝.入侵防御系統技術[J].信息安全與通信保密，2009（2）：48-50.

[2] 鄒峰.基于計算機網絡的入侵檢測與防御研究[J].煤炭技術，2011（1）：92-94.

篇4

從整個網絡安全產業的發展來看,對應用的管理和控制順應了用戶對于網絡安全新需求的渴望和要求。可以說,誰把握住應用,誰就能掌握未來IT發展的權杖。

一切為了更簡單

劉保華:最近幾年,梭子魚公司的收購舉動頻頻,2007年收購應用防火墻廠商Netcontinuum,2008年收購虛擬存儲公司Yosemite,最近又收購了歐洲著名的提供安全的網絡設備廠商Phion和以服務方式提供信息安全保障的供應商Purewire。梭子魚進行收購的目的是什么,如何選擇收購對象?在您心目中,將來梭子魚會往哪個方向發展?

Niall King:兩年前開始我們做了很多收購工作,一方面為了擴大產品線,另一方面可以補充更多的新技術。借助反垃圾第一品牌,把其他產品線帶動起來。有很多廠商的產品,用戶用起來并不容易,我們的目的是給用戶展現一個非常簡單易用的界面。

目前,梭子魚中國為廣大的中國企業用戶提供了9款系列產品和四大解決方案(包括垃圾郵件防火墻、安全負載均衡機、Web、應用防火墻、郵件存儲網關等產品系列)。梭子魚企業級應用安全解決方案廣泛適用于大型企業和中小型企業。

在未來,梭子魚將會繼續采用自主研發和產品收購的方式,進一步整合現有的應用安全產品線,為用戶提供更多、更專業的應用安全解決方案,以保護企業中關鍵業務的連續性,使企業關鍵業務實現真正的交付使用。

劉保華:梭子魚最近有兩條比較新的產品線,請問為什么要進軍這兩個領域?對于梭子魚來說,進軍這兩個領域有怎樣的戰略意義?

Niall King:這是梭子魚整個產品的發展策略。我們現在已經具備了一個完整的產品線結構。梭子魚目前已經進入備份和VPN的領域,目的就是要向廣大客戶提供全系列的解決方案。隨著備份和VPN產品的推出,有效完善這個解決方案,為我們廣大的用戶提供很好的產品服務。

梭子魚的備份產品,首先會提供高性價比的方案,在價格上會比競爭者更有優勢。同時我們可以為用戶提供一個遠程的安全存儲方案。傳統的存儲解決方案是非常昂貴的,很多中小企業用戶在應用的時候,有這個需求,但是由于預算的限制,他們得不到很好的實施。梭子魚備份產品的推出有效地解決了這個問題。

然而,VPN這個產品會把眾多企業的分支機構很好地連接起來,這個方案配合我們的備份和其他的系列產品,給用戶提供一個高可靠性的集團性的解決方案。這樣,梭子魚就會一改以往傳統的高端解決方案,為更多的用戶提供性價比非常好的解決方案。

劉保華:我之前看到一些資料說,梭子魚不排除在中國收購某些本地技術性企業的可能性,不知道這一資料是否屬實,梭子魚在中國有沒有潛在的收購對象,或者說你們希望在中國收購什么樣的企業?

Niall King:我們倡導以易用的產品和解決方案切實解決各種規模企業所面臨的關鍵網絡問題,突顯梭子魚強大和全面的解決方案的能力。

在未來,我們會把目光重點放在擁有云技術和虛擬化領域的企業。如果一些企業或科研機構有這方面的技術,我們十分樂意進行技術購買。這樣,我們可以為企業用戶提供一系列可以幫助他們解決快速增長的應用需求的解決方案。用戶能夠充分利用云技術的優勢來簡化其安全架構,輕松使用更廣泛的應用選件,包括設備、軟件或云部署。

應用推動用戶需求

劉保華:面對全球金融危機,許多企業都開始縮減預算、削弱IT支出,請問貴公司是如何看待這個問題的,有哪些策略與調整?

Niall King:目前來講,金融危機確實對于廣大的IT企業產生影響。但是對于梭子魚來說,并沒有產生太多的影響。這主要從兩方面來講。

首先,我們梭子魚在做產品的時候,會貼近用戶。其次,我們的產品就是為了給廣大客戶縮減開支。

劉保華:請您談一下中國和美國的信息安全市場有怎樣的區別,您又是如何看待中國安全市場的發展呢?

Niall King:總體來說美國市場是發展比較成熟的,而中國安全市場還處于起步的階段。但是可以看到,中國的一些中小企業,在建網的時候就會考慮從基礎網絡建設開始,同時考慮網絡安全的需求。

劉保華:美國因為薩班斯法案的推出,使得各個企業將安全提到了前所未有的高度。而中國今年也推出了上市公司IT系統應用指引這樣類似薩班斯法案的規定,你覺得這對于整個國內安全市場會不會有一個大的提升?這種提升是不是不僅限于資金投入層面,還會牽扯到技術和全方位防護等應用層面?你認為將來國內用戶應用安全系統的趨勢會是什么?

Niall King:類似像薩班斯法案這樣的法律條款,針對國內企業內控管理的中國基本法規將會對中國上市公司進一步加強管理。這套正在擬定的法規通過一個簡單、統一的方案對上市企業的可管理性和下一代郵件存檔解決方案進行保留、發現、法規遵循,內容監測和數據保護等方面的進行檢驗。

這套為中國企業量身定做的法規所面臨的一大難題是如何管理企業內部那些呈爆炸式增長的郵件和文檔。

舉一個例子來說,法規中最重要的一點是要求郵件可查,結合我們的產品來看,我們的反垃圾郵件產品可以對郵件收發進行過濾,郵件歸檔產品可以充分幫助企業有效簡化其存儲環境和降低相應成本,再配合Web應用防火墻產品,來保證用戶的網站安全。這些將形成一個整體,幫助企業有效簡化其存儲環境和相應成本,以便更好地滿足用戶對于法規遵從的需求。

做易于部署的企業

劉保華:郵件安全產品目前是梭子魚在國內最有影響力的產品之一,但是我也注意到,從去年開始,梭子魚希望從郵件安全向Web應用安全轉型。但其實很多廠商、用戶對Web應用的認知并不一致,甚至有人把它和網絡防火墻混為一談,梭子魚怎么定義Web應用?提供什么樣的產品和服務叫Web應用?

Niall King:目前復雜的IT系統正面臨嚴重的挑戰:IT業務多,但是各自為政,條塊分割,無法整合;IT系統反應緩慢,甚至無法正常工作;IT業務面臨的威脅及風險越來越大,如Web下載、IM病毒、網絡攻擊、網站掛馬等。但這些趨勢的核心都集中在應用層面,如何保證應用的安全,將是未來用戶對安全需求的重點。

Web應用防火墻與傳統防火墻不同,傳統防火墻還是針對端口的策略,而應用防火墻主要防范應用層的風險。Web應用防火墻是基于策略的產品,需要結合企業的Web應用進行具體的安全咨詢。安全廠商需要對企業的各種內部應用非常了解,比如對OA、MIS、ERP等應用的支持。因此當初Gartner就曾提出更加綜合的應用交付網絡的概念,將安全、加速、管理等集成在一起,實現完整的Web保護。

劉保華:IDC有研究表明,到2012年,國內Web應用市場將超過5億美元,而梭子魚說自己能夠成為市場領導者,這個信心來自于哪里?你認為在這個市場中,贏得用戶的最關鍵的難點在哪里,梭子魚如何克服?

Niall King:從中國的經濟發展來看,未來中國的市場會很大,我們的目標是50%的市場份額。因為經過5年來對中國市場的不斷了解和深入接觸,梭子魚已經充分把握中國企業用戶對圍繞其關鍵業務的網絡應用的問題和需求,結合中國用戶的實際網絡環境,逐漸完善公司產品線。梭子魚會有效地貼近用戶需求,為中國用戶提供非常完善的解決方案,而且梭子魚也一直看好中國市場的發展,會持續不斷地加大對中國的投入。

梭子魚目前在中國已經超過2000家客戶,梭子魚的產品是大家所公認的,易于安裝,產品是比較穩定的,而且我們在跟我們的渠道進行合作的時候,有渠道共贏的策略,我們會有非常好的渠道政策,而且我們會有比較強的執行力。基于上述特點,我們會跟我們的合作伙伴一起把我們的產品做強。

梭子魚有自己的優勢。首先我們會在全球把每天取得的垃圾信息,傳到我們美國中心進行匯總,從而列出一個信息采集的名單,這種信息采集能力是其他廠家所不具備的。這是基于我們全球超過7萬家用戶而建立的,這種信息采集是及時的,而且是非常海量的。這種通過全球范圍進行信息采集的方式,是我們的競爭對手所不具備的。

劉保華:梭子魚今年在中國開始建立自己的研發團隊,初期只有3~5個人,今年準備把研發團隊規模擴大到15~20人。這一研發團隊目前建設情況怎么樣?主要從事哪方面產品的研發?是否真正融入到梭子魚全球研發體系中了?

Niall King:梭子魚在全球擁有四個研發中心,除中國外,還有印度、北美和奧地利。針對中國本地化的研發,我們甚至將規則庫都進行了重新定制和優化。與國際上的大公司一樣,我們很看好在中國進行研發方面的建設,這樣能夠更貼近本地用戶需求。設立研發中心的另一個目的是,如果中國用戶有特殊需求,我們可能會為中國市場定制產品。

我們的產品越來越多,所有這些產品的設計初衷都是貼近用戶的需求,以及對于用戶要求的性價比的考量,所以我們提供了易于安裝,且性價比非常好的產品。對于具有地域特色的網絡非法入侵,我們的安全網關能夠非常有效地過濾,達到很好的效果。

研發的重點,還是各項基于應用層的網絡解決方案,只有這樣才能使得企業的應用達到智能、安全、高效,并最終幫助企業獲得最大投資回報。

劉保華:云是目前最熱的詞之一。我看到的資料是,梭子魚準備在國內推云存儲和云安全的方案,能不能詳述一下梭子魚的計劃?

Niall King:云創造了一種不同以往的全新的商業模式,即用戶不再需要關心如何根據自己的業務需求來購買服務器、軟件和解決方案,只是根據自己的需要,通過互聯網來購買自己需要的計算處理資源。

我們對于云的理解,稱為易于部署,也就是讓用戶更加容易實施IT。

篇5

自從電力行業組織機構重組和區域重新劃分之后，廠網拆分以及三網融合，數據打擊眾等多種IT應用出現，不僅要求電廠，電網用戶內部網絡的互聯互通，還要求二者開放更多的外界網絡端口。這種網絡端口開放使用使得電力行業的信息安全問題由原來的僅限于內部事件，專變為現在來自外界的攻擊將越來越多，原有的網絡安全設計很難滿足這種變化。

作為內蒙古自冶區唯一獨資大型電力企業，內蒙古電力資產總額348億元，所屬單位29個，員工28000人。近年來內蒙古電力的信息化建設取得了快速的發展，目前已建起覆蓋內蒙古所有12家供電企業及相關單位的寬帶IP數據廣域網。該網絡以省公司信息中心、包頭供電局為核心節點，其他單位就近接入核心節點，主干帶寬為622M，二級節點到主干帶寬為155M，并采用千兆網絡來構建城域網。

隨著內蒙古電力信息網絡業務的進一步推進和發展，網絡安全建設成為重點。來自外部網絡的病毒和進攻不斷增加，特別是大規模網絡蠕蟲病毒的泛濫，為內蒙古電力原有的安全設備造成了不小壓力。特別是全網的網絡層和應用層的安全問題更是安全改造的重點。

為了加強并鞏固廣域網的信息安全，同時避免將來擴展和部署網絡的復雜性，Juniper公司對內蒙古電力公司數據中心網絡平臺的可靠運行進行了全面評測，并進一步分析出存在的安全隱患。通過部署Juniper公司的ISG系列防火墻與IDP的最佳組合，把網絡攻擊有效地控制在小型的局域網范圍內，確保了信息網絡的正常運轉。解決全網的網絡層和應用層安全防護問題。

根據安全域部署安全網關：ISG+IDP是最佳組合，內蒙古電力網絡安全一期建設將全網劃分為核心交換區、IDC應用區、辦公區、Internet區等區域。此次Juniper公司采用安全網關/防火墻系統核心節點防火墻部署來對企業網絡的所有不用安全域互聯接口進行安全控制，包括Internet進出口控制，廣域網進出口控制以及IDC進出口控制。內蒙古電力網絡安全一期建設的主安全域的劃分主要通過安全網管以及入侵檢測防御系統(IDP)實現。

根據Juniper對電力系統實際需求的分析并結合內蒙古電力對二次系統地相關建設要求，Juniper公司提供的方案中采用了千兆安全網關/防火墻系列產品：ISGl000、ISG2000與IDP，ISGl000/2000是代表全球最先進網絡安全技術的產品，最有價值的優勢在于其卓越的實際環境性能，穩定性以及與IDP硬件集成的特性，能夠全面適應電網安全發展的需要。JuniperISG系列防火墻將訪問控制(Fw)和入侵保護(IDP)功能無縫集成在一個安全平臺上，很好的平衡了兩者之間的關系，并優化網絡結構，方便網絡運維，有效保護用戶的投資。ISG 1000和ISG 2000集成了最佳的深層檢測防火墻、VPN和DoS解決方案，齊全的高密端口布局，體現了軟硬兼施、內外統一、應用靈活、集中管理等多種設計優點。能夠為關鍵的高流量網絡分段提供安全可靠的連接以及網絡層和應用層保護。同時Juniper公司的IDP產品可在網絡和應用層攻擊產生任何損害前有效識別并終止它們，從而最大限度的減少與入侵相關的時間和成本。

內蒙古電力通過架設Juni―per防火墻產品，對全網的網絡層和應用層提供了進一步的安全保護，隔離把網絡攻擊有效地控制在小型的局域網范圍內，降低了網絡面臨的各種潛在安全威脅，極大地提高了主干網的信息安全防護水平，并有效保護了業務的安全和連續進行，以及信息網絡的正常運轉。內蒙古電力IT信息部門相關負責人表示：“我們選擇Juniper網絡公司的防火墻產品是因為其防火墻產品擁有高可靠性，為我們主干網日益增長的安全管理問題提供了最好的解決方案，使內蒙古電力的信息安全防護水平得到了進一步的加強。未來我們還會考慮繼續采用Juniper的其它安全產品，進一步加固內蒙古電力全網的安全水平。”

CAeTrust身份識別和訪問管理(IAM)套件

eTrust IAM是一套全面的、集成化的、模塊化的解決方案，在SC雜志的評獎中，它獲得了醫療衛生類最佳安全解決方案獎(US Excellence)。eTrust Network Forensics可捕捉原始網絡數據，并使用高級證據分析技術來識別網絡入侵、內部數據盜竊和安全策略違規等行為。 SafeNet DRM Fusion Toolkit4TV是第一個為廣播電視許可和保護而設計的產品，并且支持所有主要和開放的廣播數字版權管理標準。DRM Fusion Toolkit4TV能夠為廣播移動內容和服務提供保護，避免未授權的使用和分發。為了采用移動電視保護解決方寨，運營商不得不依賴一個特殊廠商。另外，運營商不再需要版權客戶端軟件，就能夠向用戶提供標準和現成的聽筒。標準支持包括DVB-18Crypt和第一個OMABCAST智能卡詳細標準。

通過提供內容和服務保護以及版權管理功能，DRM FuSin Toolkit4TV提供了整體解決方案，運營商和服務供應商能夠無縫集成到他們的廣播提供平臺上，向市場提供令人興奮的新移動電視服務。DRM Fusion Toolkit4TV利用在移動電視保護領域的專業技術，并且為BT Movio提供了第一個安全的DRM廣播移動電視解決方案。該解決方案作為SafeNet現有DRM Fusion Toolkit產品的附加模塊向客戶提供，因此，運營商能啦應用針對移動音樂，視頻和電視的整體解決方案。

SonicWALL互聯網防火墻與VPN安全設備

SonicWALL互聯網防火墻VPN安壘設備支持各種安全應用，并能提供功能強大的防火墻和VPN性能。SonicWALl，設備基于壘狀態榆測防火墻技術，及一個設計用來確保VPN使能應用最大性能的專用安全處理器。以對防火墻、VPN、入侵防護、防病毒、內容過濾及獲獎壘球管理系統(GMS)的綜合支持，IT管理員可在安全、可靠地連接至其分支機構與遠程雇員時，放心地用SonicWALL來保護其網絡的安全。

另外，SonicWAIL公司的SSL卸載器還能無縫集成至一個內容交換環境中，并在優化web應用性能的同時提供可靠的安全。

SonicWALL系列互聯網安全設備可提供對互聯網威脅的高級防護。它們包括經ICSA認證的深度包檢測防火墻、用于遠程訪問的IPSecVPN、IP地址管理特性以及對SonicWALI。增值安壘服務的支持等。

UTM－l具有高度集成、經實踐檢驗的安全功能，包括防 火墻、入侵防御、防病毒、防間諜軟件、網絡應用防病毒、VoIP安全、即時通訊(IM)、二層隔離網絡安全(P2P blocking)、Web過濾、URIL過濾以及實現安壘的站點到站點和遠程接八連接。

業內可靠的防火墻技術，能強勁的IPSecVPN，可實現保護數百種應用程序和協議；功括的SSL遠程接入，無須添加硬件配置；集成的入侵防御功能；網關防病毒，適用重要通訊協議；直觀的硬件設置、診斷和恢復工具；網絡應用防火墻和反間諜軟件保護。

Websense Web Security Ecosystem

Websense Web SecurRy Ecosystem是網絡安壘技術的集大成者，能夠提供增強的安全保護，簡化Websense Web安全解決方案在企業環境中的部署。Websense Web SecurityEcosystem整合了世界一流的安壘和網絡技術，包括：網關、網絡訪問控制、安壘事件管理、身份管理和設備平臺。通過無縫集成40多個不同的技術解決方案，Websense Web SecurityEcosystem可以幫助企業識別和減少基于Web的成脅和漏洞。

JUNOS 7.0軟件不僅提供功能強火的操作系統，還提供豐富的IP業務工具包。JUNOS軟件可提供無與倫比的IP可靠性和安全性，可確保可預測的高教IP基礎設施。利用這個穩定的可用網絡，客戶能夠靈活地分割流量、創建獨特的應用環境、或部署可創收的IP業務。JUNOS軟件在全球最大的1P網絡中經過生產驗證，能夠幫助客戶將IP基礎設施轉變成服務供應商獲得持續經濟成功的重要途徑。

模塊化：JUNOS軟件采用模塊化的軟件設計，提供卓越的故障恢復能力并確保能夠簡單地集成IPv6等新功能；

路由專業技術：Juniper網絡公司在IP路由方面的專業技術可全面補充增強用于生產的路由協議；

基于標準：嚴格遵守路由和MPLS行業標準以及協議平穩重啟等可用性機制，為客戶提高穩定性并降低運行復雜性。

安全性：JUNOS軟件結合了智能數據包處理功能和卓越的性能，為客戶提供了一個強有力的IP安全性工具包；

豐富的業務；無論是個人用戶，企業客戶或服務供應商，JUNOS IP業務系列使客戶能夠為各種類型的最終用戶提供有保證的體驗。

安氏終端安全管理解決方案TerminaI Guard

安氏著眼干企業安全管理中最為薄弱的終端管理的環節，推出了Terminal Guard，該產品實現了以集中管理為基礎的終端保護，以資產管理為核心的管理系統，它從企業內終端安全出發，核心思想是集中管理和強制，提供了基于browser/serve和client/server相結合的全面終端安全管理解決方案。

Symantec Endpoint Protection

Symantec Endpoint Protection是賽門鐵克多年以來市場領先的企業級防病毒的最新產品，在單一中整合了賽門鐵克防病毒與高級威脅防護，為用戶提供前所未有的防護，抵御各種惡意軟件，從而保護便攜式電腦、臺式機和服務器的安壘。為了保護用戶抵御當前威脅和未來新興威脅，Symantec Endpoint Protection納入了主動防護技術，自動分折應用行為和網絡溝通，從而檢測并主動攔截威脅。用戶可獲得單一解決方案，集成了防病毒、反間諜軟件、防火墻、基于主機和網絡的入侵防護方案以及應用和設備控制，并十分易于部署和管理。

Symantec Endpoint Protection通過整合賽門鐵克屢獲殊榮的技術，包括Sygate、Whole Security和Veritas，降低了與管理多重端點安全產品相關的管理成本。同時，賽門鐵克全球智能網絡、8家賽門鐵克安全響應中心、4家賽門鐵克安全運營中心、1.2億個系統和部署干180個國家的4萬多個傳感器也將為其提供支持。卡巴斯基7.O單機版

卡巴斯基7.0單機版產品中，包含卡巴斯基互聯網安全套裝7.O單機版與卡巴斯基反病毒軟件7.0單機版兩款，以此來滿足不同用戶的信息安壘需求。

卡巴斯基實驗室在7.0反病毒軟件單機版這個新品中還賦予了三重保護防御技術，即基于特征碼的精確病毒查殺、主動防御和啟發式分析器。

基于特征碼的精確病毒查殺，自動更新反病毒數據庫；啟發式分析器，前攝行為分析；主動防御，實時行為分析。以上三項技術獨特結合可以達到準確、高效防御的效果，使用戶的計算機安全達到前所未有的高度。

金山毒霸2007殺毒套裝

1.針對中國特有的盜號木馬、流氓軟件、蠕蟲病毒絞殺更徹底；

2．防堵黑客漏洞治標治本；

3．流行蠕蟲病毒終身免疫首創流行病毒免疫器；

4．7×24小時壘天候主動實時升級．反應更迅速；每周l 7次以上病毒庫主動更新-按月更新各種功能。

江民KV2008

KV2008采用了新一代智能分級高速殺毒引擎，占用系統資源少，掃描速度得到了大幅提升，同時KV2008新增了三大技術和五項新功能，可有效防殺超過40萬種的計算機病毒、木馬、網頁惡意腳本、后門黑客程序等惡意代碼以及絕大部分未知病毒。

江民KV2008三大技術包括強大的“自我保護’反病毒技術，系統災難一鍵恢復技術以及雙核引擎優化技術。“自我保護”技術采用窗口保護以及進程保護，可以有效避免病毒關閉殺毒軟件進程，確保殺毒軟件自身安壘。

系統災難一鍵恢復技術可以在系統崩潰無法進入的情況下，一鍵恢復系統．無論是惡性病毒破壞或是電瞄用戶誤刪除系統文件，都可以輕松還原到無毒狀態或正常狀態。

雙核引攀優化技術，對KV2008基于雙核和多核處理器進行了全面優化，掃描病毒時，雙核或多核處理器同時啟用多線程多硬盤數據進行掃描，使掃描速度得到r大幅提升。趨勢科技中小企業無?隴安全解決方案v3．6

除了對Vista的支持以外，CSM3．6與上一代版本一樣，針對目前日益猖撅的Web威脅提供了集成的防間諜軟件保護、消除rootkit、封鎖僵尸網絡攻擊．從而提供了可別抗傳統與新型惡意程序的主動式防御。

趨勢科技CSM3．6攜“10247'’(1站式整合防護、0成本管理平臺、24*7安全防護)的特點，延續了過去容易安裝與使用的特性。讓客戶隨時獲得完整的保護。

CSM3．6特別針對中小企業的安全需求而設計，因此具備了中小企業專屬的安全防護產品與單一步驟安裝部署的便利性，可以一次部署、統一更新，而且通過單一管理界面就可以保護PC和服務器免受多種威脅。

綠盟冰之網絡入侵檢測系統

綠盟冰之眼網絡入檢測系統(ICEYE Network In- trumon Detection System，簡稱：ICEYE NIDS)是對防火墻的有效補充，實時檢測網絡流量．監控各種網絡行為，對違反安壘策略的流量及時報警和防護，實現從事前警告、事中防護到事后取證的一體化解決方案。

入侵檢測：對黑客攻擊(緩沖區溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權訪問等)、蠕蟲病毒、木馬后門、間諜軟件、僵尸網絡等進行實時檢測及報警，并通過與防火墻聯動、TCP Killer、發送郵件、控制臺顯示、日志數據庫記錄、打印機輸出、運行用戶自定義命令等方式進行動態防護。

行為監控：對網絡流量進行監控，對P2P下載、IM即時通訊、網絡游戲、網絡流媒體等嚴重濫用網絡資源的事件提供告警和記錄。

流量分析：對網絡進行流量分析，實時統計出當前網絡中的各種報文流量。

聯想網御UTM以USE(Uniform Secure Engine)統一安全引擎為基礎，優化傳統引擎。抽象數據模型、構造統一絮構，有效地將防火墻、VPN、防病毒、IPS、反垃圾郵件、Web內容過濾等多類安全引擎集成為統一的安全引擎，提供了卓越的功能和檢測能力。

Power V UTM系列產品采用聯想網御獨創的VSP通用安全平臺，將系統平臺分為通用控制平面、數據平面、系統服務平面和硬件抽象平面，系統功能與資源管理分別工作在不同的空間平面。

聯想網御UTM在集群設計中采用了MRP(Multi-LayersRedundant Protoc01)多重冗余協議，支持鏈路聚合、雙機熱備、負載均衡等功能。最高支持32臺的設備集群和負載均德，具備會話表同步功能，為用戶提了無與倫比的高可靠性。

東軟NetEye異常流量分析與響應系統(Ntars)

主要用于骨干網絡的監控檢測和分析，通過對骨干網絡流量信息和系統信息的收集，采用多種方法進行分析、檢測，實時監控、檢測骨干劂絡中DoS/DDoS攻擊、蠕蟲病毒、垃圾郵件及其他網絡異常事件，提取異常特征，井啟動報警和響應系統進行過濾、阻斷和防御。

啟明星辰泰合信息安全運營中心(簡稱：TSOC)是國內目前應用最廣泛的安全管理平臺類產品，在政府、金融、能源、運營商、大企業等行業均實現規模部署。

啟明星辰TSOC采用成熟的瀏覽器/服務器/數據庫架構，由“五個中心、五個功能模塊”組成。五個中心為漏洞評估中心、網絡管理中心、事件/流量監控中心、安全預警與風險管理中心以及響應管理中心。五個功能模塊為資產管理、策略配置管理、自身系統維護管理、用戶管理、安全知阻管理。

“應用為本、開放融合”是扁明星辰泰合信息安壘運營中心的核心體現，具備壘面性，開放性和實用性三大突出特點。思科安全監控、分析和響應系統(MARs)

思科安全監控分析和響應系統(MARS)是一個高性能、可擴展的威脅管理、監控和防御設備系列，將傳統安全事件監控與網絡智能、上下文關聯、因素分析，異常流量檢測、熱點識別和自動防御功能相結合，可幫助客戶更為高效地使用網絡和安全設備。通過結合這些功能，思科安MARS可幫助公司準確識別和消除網絡攻擊，且保持網絡的安全策略符合性。

集中監控、集中事件庫、數據減少、及時攻擊防御、高度可擴展的部署、充分利用已有投資進行防御、先進的報告功能、端到端網絡感知等。

天融信“銀河”

篇6

電子商務的組成

在電子商務的運作過程中涉及到企業或個人的消費者、網上的商業機構、ca認證中心、物流配送體系和銀行。它們通過internet網絡連接在一起。

電子商務中的安全

internet是一個開放的公網，基于internet的電子商務給商家、企業和個人帶來了新的機會，同時也給別有用心者留下了廣闊的“施展”空間。在新型的交易環境下，安全是一切交易行為的基礎，所謂安全，是指安全策略、安全標準、安全制度及安全流程的結合。

我們認為“安全=管理+技術”，安全是一整套體系，單點的安全防范技術都不能很好的解決問題。有效管理和采用完善的技術手段相結合組成了安全的體系，該體系安全程度的高低取決于體系中最薄弱的環節。我們常用的安全防范技術有防火墻技術、ca認證技術、數據加密技術和帳號口令技術。

1．防火墻技術

對于外部惡意攻擊，針對“黑客”入侵，采用防火墻（fire wall）技術來防護。要使防火墻技術有效，所有接收和發送到internet的信息都必須經過防火墻，接受防火墻的檢查。防火墻必須只允許被授權的通訊業務通過，并且防火墻本身也必須能夠免滲透，即系統自身對入侵是免疫的。

（1）數據包過濾技術

路由器是網絡內外通訊的必須端口，因此，我們連接時采用包過濾路由器。它是一個檢查通過它的數據包的路由器，限定外部用戶的數據包。其原理是監視并過濾網絡上流入流出的ip包，拒絕發送可疑的包。其實現方式是運用ip地址和端口號來進行限定處理。

（2）應用網關技術

建立在網絡應用層上的協議過濾、轉發功能，它特定的網關應用服務協議指定數據過濾邏輯，并可根據按應用服務協議指定數據過濾邏輯進行過濾的同時，對數據包分析的結果及采用的措施做登錄和統計形成報告。

（3）服務技術

服務器是設置在internet防火墻網關的專用應用級編碼。這種服務器由網絡管理員決定允許或拒絕某一特定的應用程序或特定功能。服務器像一個內部網絡與外界之間的邊界檢查點。兩邊應用可以通過服務器相互通信，服務器檢查并確認這一通信是否授權通過。

2．ca（certificate authority）認證技術

為了保證秘密的信息不能被人非法獲得，同時保證信息傳輸過程不能被篡改，交易的不可否認性、身份識別、網站不受非法攻擊，通常還要采用ca認證和信息加密技術。常用的包括set協議和pki認證體系。

（1）set：安全電子交易（secure electronic transaction）

set協議是由visa和mastercard兩大信用卡公司于1997年5月聯合推出的規范。set主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。set中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。

（2）pki：公共密鑰基礎結構(pubic key infrastructure)

pki(pubic key infrastructure)是一種易于管理的、集中化的網絡安全方案。它可支持多種形式的數字認證：數據加密，數字簽名、不可否認、身份鑒別、密鑰管理以及交叉認證等。pki可通過一個基于認證的框架處理所有的數據加密和數據簽名工作。pki必須具有認證機構（ca）、證書庫、密鑰備份及恢復系統、證書作廢處理系統、客戶端證書處理系統等基本成份。

（3）ssl：安全套接層（secure socket layer）

ssl協議是由網景（netscape）公司推出的一種安全通信協議，它能夠對信用卡和個人信息提供較強的保護。ssl是對計算機之間整個會話進行加密的協議。在ssl中，采用了公開密鑰和私有密鑰兩種加密方法。set協議比ssl協議復雜，因為前者不僅加密兩個端點間的單個會話，它還可以加密和認定三方間的多個信息。

三、電子商務業務模型及解決方案

1．商業機構對消費者的電子商務（b2c）

商業機構對消費者（business-to-customer）的電子商務，指的是企業與消費者之間進行的電子商務活動。這類電子商務主要是借助于國際互聯網所開展的在線式銷售活動。最近幾年隨著國際互聯網絡的發展，這類電子商務的發展異軍突起。例如，在國際互聯網上目前已出現許多大型超級市場，所出售的產品一應俱全，從食品、飲料到電腦、汽車等，幾乎包括了所有的消費品。

開展商業機構對消費者的電子商務，障礙最少，應用潛力巨大。就目前發展看，這類電子商務仍將持續發展，是推動其他類型電子商務活動的主要動力之一。

商業機構對消費者（b2c）電子商務解決方案的基本組成部分為： （1）動態的html頁面； （2）儲存會員（客戶）的信息，用其來進行會員認證及提供其他管理工具；

（3）實現“購物籃”功能； （4）服務器和管理的安全性； （5）客戶信息安全管理； （6）管理和處理定單，應用商務規則來與客戶完成交易； （7）進行其它產品和服務的宣傳，并對該過程加以控制； （8）支持直銷功能； （9）提供cross-selling銷售和up-selling的機制和規則；

（10）方便儲存數據（分類、定單、庫存、日志等等）并且能夠實現動態的訪問；

（11）商品、交易以及商務系統的管理；

（12）價格促銷的工具；

（13）分析流量和購買數據，獲得商務智能和建立客戶行為模型。

2．商業機構之間的電子商務（b2b）

商業機構對商業機構（business-to-business）的電子商務指的是企業與企業之間進行的電子商務活動。例如，工商企業利用計算機網絡向它的供應商進行采購，或利用計算機網絡進行付款等。這一類電子商務已經存在多年。特別是企業通過私營或增值計算機網絡（value-added network，van）采用edi（電子數據交換）方式所進行的商務活動。

商業機構對商業機構的電子商務從未來的發展看仍將是電子商務的主流。商業機構之間的交易和商業機構之間的商業合作是商業活動的主要方面，企業目前面臨的激烈競爭，也需要電子商務來改善競爭條件，建立競爭優勢。企業在尋求自身發展的同時，不得不逐漸改善電子商務的運用環境。

供應鏈集成，也叫作價值鏈集成，利用了internet的低成本來實現供應商，生產商和發行商之間的更緊密的結合。許多關于建立網站，處理定單和接入原系統的基本要求和操作都可以包括在直銷和銷售方案中，而在供應鏈方案中產生了一些新的要求，如確認過的登入，為關鍵用戶生成用戶類，根據用戶協議采取定價和支付的形式。

商業機構之間的電子商務解決方案的核心平臺非常相似于商業機構對消費者解決方案。在商業機構之間的電子商務解決方案中，商家在向商家銷售，而不是向個人銷售。

商業機構之間的電子商務解決方案的基本組成部分為：

（1）動態的html頁面；

（2）儲存一個會員（客戶）的信息，用來進行會員認證以及提供管理工具；

（3）實現”購物籃”功能；

（4）服務器和管理的安全性；

（5）客戶信息安全；

（6）管理和處理定單；

（7）進行其它產品和服務的宣傳，并對該過程加以控制；

（8）支持直銷功能；

（9）提供cross-selling銷售和up-selling的機制和規則；

（10）方便儲存數據（分類、定單、庫存、日志等等）并且能夠實現動態的訪問；

（11）商品、交易以及商務系統的管理；

（12）價格促銷的工具。

3．企業采購 商家希望利用intranet和internet的杠桿作用使現有的業務進行的更加有效。這種商業模型的核心就是商務解決方案，它使得購買低成本的大量商品的過程更加容易，并且保證了一項業務的維持，修復和操作（mro）。

企業采購解決方案的基本組成部分

（1）企業采購解決方案設計成一個商業組織的成本結構，而供應鏈集成解決方案是在向著商品的直接貿易和生產方向努力；

（2）企業采購解決方案一般來說設計成一個基于intranet的解決方案，而供應鏈集成解決方案可以包含基于intranet的組件，但是大部分應用程序或者是基于internet的或者是基于extranet的；

（3）申請人能夠在瀏覽器上被標準化；

（4）諸如象activex控件和dhtml的技術能夠被用來實現圖形化和功能化的傳輸豐富的web應用程序；

（5）集成采購到公司現有的安全和郵件的基本結構中，這樣有助于消除額外的管理費用和加速routing/basic工作流；

（6）各種規模的公司無論大小和地點如何，都能交流購買定單信息，進行交易支付和傳送產品；

（7）購買定單的輸出形式可以多樣化，這樣參與的商家就可以選擇一種與他們現有系統可以協同工作的共同形式；

（8）企業采購應用程序可以在一個站點內支持多個供貨商；

（9）對企業的供貨商的結構進行合理化，來獲得更大的折扣率。

4．技術方案

根據用戶的不同需要可以選擇不同的主機平臺和開發技術。

（1）技術方案1 操作系統：windows nt 4.0（service pack 4） 數據庫平臺：ms sql server 7.o web服務器：ms internet information server 4.0 web site server 3.0 開發技術：asp、dhtml、com組件技術等 （2）技術方案二 操作系統：sun solaris 數據庫平臺：oracle 8.0

篇7

隨著IP網絡建設的大發展。現在基于IP網絡環境下的視頻通信應用越來越普遍，不但一部分政府部門、大型企業采用基于IP的網絡傳輸環境構筑專用的視頻通信網，商業、企業更加傾向于將他們的視頻通信系統構建在基于IP的傳輸環境中，以降低建設成本，特別是使用成本。

目前符合國際標準的視頻通信應用模式。主要為遵循ITU組織H.323標準的系統。以及遵循ITEF組織SIP的系統。

經過幾年的實際應用考驗和不斷改進。基于H.323的應用模式的應用體系非常成熟。相關產品在穩定性，連接的安全、可靠性等方面可以完全滿足市場，特別是專業視頻，多媒體會議的要求。由于H.323標準體系非常完備和嚴格。從而確保了基于H.323的眾多產品所具有的良好互通互聯性，這一點為H.323協議的大范圍推廣奠定了技術基礎。基于SIP的視頻應用是隨著NGN的需求而日益得到市場的重視，特別是在3G背景環境下，越來越多的廠商相繼推出了基于SIP的視頻通信產品，以滿足個人用戶、移動用戶對視頻通信的需求。SIP提出的目的是在基于Internet環境中，實現多媒體通信的應用。它和HTTP、SMTP等ITEF的協議一樣。是一種基于“文本”的通信協議。結構簡單，便于擴充、擴展是SIP與H.323體系的明顯區別。

二、視頻通信在防火墻環境下的應用

和所有的網絡應用一樣，無論基于H.323標準還是基于SIP的，視頻通信系統都不可避免地受到所依托網絡環境的限制。這一點不但影響到視頻產品選型、系統結構方案，同時對網絡環境本身是否需要進一步改造都有著比較大的影響。在所有影響因素中，除了網絡環境傳輸條件本身外，如何有效解決“防火墻”對視頻系統的影響是所有用戶、建設方以及視頻廠商乃至網絡廠商所不得不面對的一個“難題”。

從協議中對握手的定義來看，無論是H.323還是SIP。這個過程和保證網絡安全的“防火墻”、NAT等機制是一對矛盾體。

對于目前經常使用的“防火墻”而言，為保證墻內內部網絡的安全性，其工作機制一般是屏蔽掉外部數據對受保護網絡中計算機的數據訪問。而只開放少許的指定地址和通信端口，以保證Internet服務器等設備正常工作。

NAT則通過地址轉換，一方面保護了內部網絡中各計算機以免被外部惡意數據的直接破壞；另一方面也可以保證內部局域網絡對有限公網地址的有效利用。

就目前企事業單位、國家機關的現有網絡狀況來看。標準的網絡安全防護措施一般是“防火墻”和NAT同時使用，而且在所保護網絡中開辟出一個DMZ區域供Internet和E-mail等服務器使用，而將所有辦公計算機放置于受保護的內網，位于外網的數據只能到達位于DMZ區域的設備，而不能直接訪問位于內網的設備，它們之間的數據傳輸則是通過位于DMZ區的各種服務器來實現。這樣位于外網的視頻設備A是不能直接和位于內網的設備B直接進行通信的。對于一般的數據應用而言。在這種網絡結構下，位于內網的計算機可以訪問外網的設備。但和常規的網絡應用不同，基于H.323或SIP的視音頻通信設備通信時，在握手的同時，發出呼叫申請的一端將自己本身的地址包括在有效的數據包中，設備B向A發出一個呼叫申請，A要根據數據包中的有效地址發出應答信息，而這個有效地址是一個內網的“私有”地址，該應答會被“防火墻”有效屏蔽。由于在指定的時間周期不能得到A端的應答信息。在B端會顯示呼叫被拒絕。即使通過開放端口的手段后，A端的應答信息可以到達B端，建立連接，對于有嚴格合法性、“同源性”檢查的H.323系統而言。視音頻數據可以從B發送到A。但A的視音頻信號難以到達B，這種現象在具體的視頻通信網絡建設過程中會經常看到。

為有效解決在有安全機制的網絡環境中的視頻應用，網絡設備商已做了大量工作，相繼推出了一些支持H.323，SIP的防火墻產品，而視頻通信廠商則對標準H.323／SIP產品和系統體系加以擴充，推出了可以在NAY／防火墻環境中使用的視頻產品。

下面就幾種目前常見的解決方案進行簡單介紹：

(1)開放網絡／VPN

這種方法是直接將視頻設備放置在DMZ區或直接放置在外網，這種辦法不需要對現有網絡進行大的改造，但這是以基本喪失對視頻產品進行網絡安全保護為代價的，同時由于和內網之間原有的“隔絕”沒有消除。難以實現到桌面的視頻應用。這種辦法比較適合在全網有較好的安全保障的專網使用。或在VPN內部使用。

(2)選用支持NAT的視頻產品

由于H.323產品在呼叫信息的有效數據包中包含了本地的地址信息，在經過NAT轉換后，被邀請端設備難以給予有效應答，因而部分H.323產品通過在呼叫過程中，將有效的NAT映射地址取代本地私有地址來完成呼叫應答，解決了地址解析問題。如VTEL公司的VISTA系列產品，不但可以支持NAT的地址解析，還可以指定NAT端口，便于網絡設置。這種方案對單一NAT機制比較有效，如ADSL等PPPOE網絡環境下，可以不附加其他網絡或H.323設備，就可以解決問題。

(3)服務器

H.323服務器是為解決防火墻／NAT環境下，實現H.323通信的一種“非標準”H.323設備。在標準的H.323系統中沒有它的嚴格意義的定位。和Internet服務器一樣，它同樣被置于網絡的DMZ區，在實際呼叫過程中所有的內外網的呼叫都通過它來“中繼”。即服務器將一個呼叫轉換成為由它發起的兩個呼叫來完成，從而繞過了防火墻的限制。

使用服務器不需要防火墻／NAT設備以及H323設備的特殊支持，實現比較容易，但由于服務器本身能力的限制。對呼叫數量以及數據交互量的規模都有一定的影響，同時，使用H.323服務器對視頻網絡建設成本的影響，也是需要根據實際情況考慮的一個問題。如當本地只有一臺視頻終端時，使用服務器不是一個經濟的解決方案。

相對于H.323服務器，SIP的靈活性使得SIP服務器解決方案更為簡單靈活，通過位于公網的一個，注冊服務器，可以較為簡單和便宜地解決這個問題。目前Microsoft的MSN就是一個比較好的應用實例。

(4)使用應用層網關(ALG)

應用層網關也就是具有協議分析功能的防火墻產品，通過這些防火墻在判斷數據是否可以通過時，不是簡單地對IP數據包的包頭進行分析，而是要對數據包中的具體數據進行相應的協議分析，并對視音頻通信過程中所需求的數據通道進行動態打開，關閉，以保證視音頻通信的正常進行。

現在許多網絡設備商推出了采用ALG支持H.323和SIP的產品，可以在新建視音頻網絡時或進行網絡改造時考慮。

(5)視頻網關

為在標準H.323框架下解決防火墻／NAT對視頻通信的影響，出現了一種“變形”的MCU。該產品一般由兩個獨立的網絡接口分別和內網、外網連接，位于內外網的H.323設備分別和對應的端口進行連接，而視音頻數據的交換則通過MCU本身來實現。采用該類產品在構造視音頻通信網時。不需對網絡結構進行改造，實現方法比較直接、簡單。如VTEL公司的Codian MCU是這種產品的一個代表，采用雙工作端口模式，不需要對內外網的規模進行預先定義，也不會對MCU總的處理能力有所影響，有較好的實際應用效果。

以上是目前經常使用的解決防火墻／NAT環境下實現視音頻通信的方法，這些方法之間不是相互獨立的。在一個實際的應用中可根據各個通信點的網絡狀態、使用情況以及建設成本等多方面因素進行綜合考慮。

篇8

關鍵詞：電力 無線網絡 漏洞 自動化 解決方案

中圖分類號：TN915 文獻標識碼：A 文章編號：1672-3791（2014）10（c）-0084-02

1 研究背景

近年來，全球的數據網絡正以令人驚奇的速度發展，為信息的交流和經濟的發展提供了高效的工具和便利的平臺。隨著電力建設的飛速發展，電力自動化數據網絡也迅速擴大，正在向全面覆蓋所有的電力企業邁進，電力系統數字化已是大勢所趨。電力調度自動化系統、配電自動化系統、電量計費系統、電力市場技術支持系統及交易系統、電力客戶服務中心系統、變電站自動化系統、發電廠監控系統、MIS 系統等，無一不是以高速的數據傳輸與交換為基本手段而建設的。電力自動化數據通信網絡利用因特網、無線網等的工具和平臺，在提高數據傳輸效率、減少開發維護工作量的同時，也帶來了新的問題，這就是內部機密信息在網絡上的泄密、以及被攻擊破壞等。

隨著計算機運算性能的提高，通信技術的不斷發展，電力通信協議也在不斷的改進，以適應通信數據類別、流量和實時性的要求。IEC60870規約系列規定了電力遠動、繼電保護數據、電能計費等多個方面的通信協議，甚至出現了104網絡通信規約，以適應網絡RTU在電力系統中的應用。各項信息安全技術也開始得到廣泛的應用，但是仍然是以以下觀點為基礎開展的，電力數據網絡的信息安全研究應該有所突破：

（1）電力通信網絡的兩個隔離。物理隔離作為國家的明文規定是建立在網絡條件不如人意，網絡威脅依然嚴重的情況下的，需要看到電力信息系統的開放性將是主流方向，基礎研究應該突破這個框架開展一些前瞻性的工作。（2）重點防護監控系統，對通信數據網絡的信息安全重視不足。雖然通信網絡的安全威脅相比而言較小，但是由于電力通信對實時性和可靠性的要求，使得通信數據網絡與電力監控系統的信息安全同等重要。（3）認為電力自動化通信沒有安全問題，或者認為還不值得深入研究，電力信息使得任何安全研究都不能不重視其實時性的要求，因此自動化通信的信息安全研究開展不多，還需要進行大量的研究。

2 電力系統無線通信對于信息安全的需求

電力自動化管理系統無線網絡中傳輸的數據非常混雜，從加密的技術角度來區分，可分為實時數據和非實時數據兩類。

2.1 實時數據的數據特點

無線網絡中傳輸的實時數據，其通信規約對時間的要求很嚴格，不允許較大的傳輸延遲；另一方面，實時數據的數據量相對較小，且數據流量比較穩定。主要包括：

（1）下行數據。包括遙控、遙調和保護裝置及其他自動裝置的整定值信息等。這類數據與設備狀態相關，直接影響到電網的安全運行。安全要求和實時要求都很高。（2）上行數據。包括遙信、重要遙測、事件順序記錄（SOE）信息等。這類數據是電網穩定運行的判據，也是調度決策的依據，實時性要求很高。管理數據。如負荷管理、停電計劃等管理信息系統（MIS）的重要管理數據。這類數據對保密性有一定要求。實時數據其數據流量穩定且時效性快，但是要求實時性高、可靠性高，其保密性和數據完整性的要求也高，因此對實時數據加密必須慎之又慎。

2.2 非實時數據的數據特點

無線網絡中傳輸的非實時數據，其數據量一般較大，但時效性不高，可以允許一定的傳輸延遲。它主要包括電力設備的維護日志、電力用戶的電能質量信息等。非實時數據實時性要求不高，但是對數據完整性和保密性有一定的要求，在數據加密中要注意選擇合適的算法。

3 電力自動化系統的安全漏洞及解決方案

電力自動化應用系統，不論是電力負荷管理系統、電能量管理系統或是其它的應用系統，它的網絡結構框圖都可以歸納成圖1所示。

3.1 中心站的安全隱患及解決方法

應用系統都有一個中心站，它包括前置機、服務器等硬件設備及配套的管理軟件，它負責接收各個子站上傳的數據并通過管理軟件對數據進行分析、歸納和管理；另一方面，它也維護各個子站正常運行，并以下發命令的方式對子站進行操作管理；而且中心站還是本應用系統與其它的電力自動化應用系統進行數據共享和管理的一個數據接口。一般來說，中心站和子站之間以及中心站和其它應用系統之間的數據傳輸都是通過有線傳輸（如光纖）進行的。

中心站既是內部通信子站數據集中的一個節點，也是應用系統與外部進行數據收發的一個接口。只要攻擊者侵入了該節點，整個系統的數據就相當于暴露在了入侵者的面前。而且一旦中心站出現了故障，即使其它的通信子站均運行正常，整個系統也無法正常工作了。正由于它的重要性和脆弱性，因此對于中心站就更是要進行重點防護。防火墻就是一種有效的網絡安全保護措施，它可以按照用戶事先規定好的方案控制信息的流入和流出，監督和控制使用者的操作。防火墻大量的應用于企業中，它可以作為不同網絡或網絡安全域之間的信息的出入口，能根據企業的安全策略控制出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它能有效地監控內部網和 Internet之間的任何活動，保證內部網絡的安全。

防火墻的目的是在內部、外部兩個網絡之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。一般的防火墻都可以達到以下目的：一是可以限制他人進入內部網絡，過濾掉不安全服務和非法用戶；二是防止入侵者接近你的防御設施；三是限定用戶訪問特殊站點；四是為監視Internet安全提供方便。由于防火墻假設了網絡邊界和服務，因此更適合于相對獨立的網絡，例如Intranet 等種類相對集中的網絡。防火墻正在成為控制對網絡系統訪問的非常流行的方法。事實上，在Internet上的Web網站中，超過三分之一的Web網站都是由某種形式的防火墻加以保護，這是對黑客防范最嚴，安全性較強的一種方式，任何關鍵性的服務器，都建議放在防火墻之后。可見，防火墻處于可信網絡和不可信網絡邊界的位置，是可信網絡和不可信網絡數據交換的“門戶”，用來防止未經授權的通信進出被保護的內部網絡，通過邊界控制強化內部網絡的安全策略，其性能、可用性、可靠性、安全性等指標在很大程度上決定了網絡的傳輸效率和傳輸安全。防火墻是網絡安全策略的有機組成部分，它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理，從總體上來看，防火墻的基本功能有兩個：一是隔離，使內部網絡不與外部網絡進行物理直接連接；二是訪問控制，是進出內部網絡的數據包按照安全策略有選擇地轉發。圍繞這兩個基本功能，大量與安全有關的網絡技術和安全技術被綜合進防火墻設備中，使防火墻地功能不斷擴展，性能不斷提高。概括地說，功能較完善的防火墻采用了以下安全技術：

3.1.1 多級的過濾控制技術

一般采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應用級網關一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所有通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，并對服務的通行實行嚴格控制。

3.1.2 網絡地址轉換技術（NAT）

利用NAT技術能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的拓撲信息，同時允許內部網絡使用自己編的IP地址和專用網絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。

3.1.3 用戶鑒別與加密

為了降低防火墻產品在Telnet、FTP等服務和遠程管理上的安全風險，鑒別功能必不可少，防火墻采用一次性使用的口令字系統來作為用戶的鑒別手段，并實現了對郵件的加密。

3.1.4 審計和告警

對網絡事件進行審計，如果發現入侵行為將以發出郵件、聲響等多種方式報警。為了加強自動化應用系統的安全水平，需要在系統與其它網絡的接口之間設置一套防火墻設備。這樣既能防止外來的訪問者攻擊系統，竊取或者篡改系統數據；同時也能防止內部數據未經允許流向外部網絡。如圖1所示，在公網通信中，除了自動化系統與其它應用系統的接口外，子站采集自終端的數據要發送到中心站，也要通過 Internet網絡進行傳輸，這就給攻擊者提供了一個侵入的端口。因此要在這兩處均安裝防火墻設備，來保證系統的安全運行。在專網通信中，由于整個通信網絡是一個相對獨立的網絡，因此中心站了通信子站之間就不必加裝防火墻了。

3.2 無線終端的安全防護手段

無論是哪種無線網絡，都有若干數量的無線終端，它們是通信系統的最基本的組成結構，通過通信子站與中心站進行通信。因為無線終端的數據眾多，也使它們往往成為系統安全漏洞所在。對于應用系統而言，保護系統信息安全與保護系統業務正常是同等重要的。保護系統信息安全首先必須保證信息訪問的安全性，要讓不該看到信息的人不能看到，不該操作信息的人不能操作。這方面，一是要依靠身份認證技術來給信息的訪問加上一把鎖，二是要通過適當的訪問控制模型顯式地準許或限制訪問能力及范圍。這就引出了兩種信息安全技術：身份認證技術及訪問控制技術。通過這兩種技術手段，就能有效的解決以上的兩個安全問題。對于自動化應用系統來說，系統內的終端用戶只是采集電力用戶數據并上傳給服務器，并不存在越權訪問系統信息的問題。因此采用身份認證技術就足以解決無線終端的信息保護問題了。

身份認證是指被認證對象向系統出示自己身份證明的過程，通常是獲得系統服務所必須的第一道關卡。身份認證需要證實的是實體本身，而不是象消息認證那樣證實其合法性、完整性。身份認證的過程一般會涉及到兩方面的內容識別和驗證。識別，就是要對系統中的每個合法注冊的用戶具有識別能力，要保證識別的有效性，必須保證任意兩個不同的用戶都不能具有相同的標識符。驗證是指訪問者聲明自己的身份后，系統還必須對它聲稱的身份進行驗證。標識符可以是非秘密的，而驗證信息必須是秘密的。

身份認證系統有兩方認證和三方認證兩種形式兩方認證系統由被認證對象和認證方組成，被認證對象出示證件，提出操作要求，認證方檢驗被認證對象所提供證件的合法性和有效性三方認證系統除了被認證對象和認證方外，還有一個仲裁者，由雙方都信任的人充當仲裁和調節。建立一個身份認證系統的應滿足的是：1）可識別率最大化：認證方正確識別合法被認證對象身份的概率最大化；2）可欺騙率最小化：攻擊者偽裝被認證對象欺騙認證方的成功率最小化；3）不可傳遞性：認證方不可以用被認證對象提供的信息來偽裝被認證對象；4）計算有效性：實現身份認證所需的計算量要小；5）安全存儲：實現身份認證所需的參數能夠安全的存儲；6）第三方可信賴性：在三方認證的系統中，第三方必須是雙方都信任的人或組織或可信安全性身份認證系統所使用的算法的安全性是可證明和可信任的。

電力自動化系統內部使用身份認證技術，在每一個無線終端的實體上增加了一道安全防護，如圖2 所示。在進行數據傳輸之前，驗證對方是否是系統內的合法用戶。可以防止入侵者偽裝成內部用戶，獲取系統數據。

3.3 保護系統信息安全的常用方案-算法加密

除了以上的信息安全技術之外，算法加密技術是一種被普遍應用的安全技術。它在發送方將要發送的數據根據一定的算法進行加密，變成不可識別的密文；而在接收方通過對應的解密算法再將密文轉化為明文。從而保證數據在傳輸過程中的保密性。

4 結論

該文研究了電力自動化無線通信系統中的信息安全問題。隨著電力自動化無線通信技術的快速發展，對網絡信息安全的要求也不斷提高。無線通信技術有著其自身的特點，要求的安全解決方案也與其他不同。需要既保證無線信道的帶寬，又要有效地提高系統的安全防護強度。

參考文獻

[1] 孫毅，唐良瑞，杜丹.配電自動化中的通信網解決方案[J].燕山大學學報，2004，5（28）：423-426.

[2] 宋磊，羅其亮，羅毅，等.電力系統實時數據通信加密方案[J].電力系統自動化，2004，28（14）：76-81.

篇9

關鍵字:防火墻;網絡安全;內部網絡;外部網絡。

一、概述

隨著計算機網絡的廣泛應用,全球信息化已成為人類發展的大趨勢。互聯網已經成了現代人生活中不可缺少的一部分,隨著互聯網規模的迅速擴大,網絡豐富的信息資源給用戶帶來了極大方便的同時,由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。為了保護我們的網絡安全、可靠性,所以我們要用防火墻,防火墻技術是近年來發展起來的一種保護計算機網絡安全的技術性措施。

其實防火墻就好像在古老的中世紀安全防務的一個現代變種:在你的城堡周圍挖一道深深的壕溝。這樣一來,使所有進出城堡的人都要經過一個吊橋,吊橋上的看門警衛可以檢查每一個來往的行人。對于網絡,也可以采用同樣的方法:一個擁有多個LAN的公司的內部網絡可以任意連接,但進出該公司的通信量必須經過一個電子吊橋(防火墻)。也就是說防火墻實際上是一種訪問控制技術,在某個機構的網絡和不安全的網絡之間設置障礙,阻止對信息資源的非法訪問,也可以使用防火墻阻止保密信息從受保護網絡上被非法輸出。

防火墻不是一個單獨的計算機程序或設備。在理論上,防火墻是由軟件和硬件兩部分組成,用來阻止所有網絡間不受歡迎的信息交換,而允許那些可接受的通信。

二、防火墻技術

網絡防火墻是一種用來加強網絡之間訪問控制的特殊網絡設備,它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,其中被保護的網絡稱為內部網絡或私有網絡,另一方則被稱為外部網絡或公用網絡。防火墻能有效得控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。一個好的防火墻系統應具有以下五方面的特性:

1、所有的內部網絡和外部網絡之間傳輸的數據必須通過防火墻;

2、只有被授權的合法數據及防火墻系統中安全策略允許的數據可以通過防火墻;

3、防火墻本身不受各種攻擊的影響;

4、使用目前新的信息安全技術,比如現代密碼技術等;

5、人機界面良好,用戶配置使用方便,易管理。

實現防火墻的主要技術有:分組篩選器,應用網關和服務等。

(1)分組篩選器技術

分組篩選器是一個裝備有額外功能的標準路由器。這些額外功能用來檢查每個進出的分組。符合某種標準的分組被正常轉發,不能通過檢查的就被丟棄。

通常,分組篩選器由系統管理員配置的表所驅動。這些表列出了可接受的源端和目的端,擁塞的源端和目的端,以及作用于進出其他機器的分組的缺省規則。在一個UNIX設置的標準配置中,一個源端或目的端由一個IP地址和一個端口組成,端口表明希望得到什么樣的服務。例如,端口23是用于Telnet的,端口79是用于Finger分組,端口119是用于USENET新聞的。一個公司可以擁塞到所有IP地址及一個端口號的分組。這樣,公司外部的人就不能通過Telnet登陸,或用Finger找人。進而該公司可以獎勵其雇員看一整天的USENET新聞。

擁塞外出分組更有技巧性,因為雖然大多數節點使用標準端口號,但這也不一定是一成不變的,更何況有一些重要的服務,像FTP(文件傳輸協議),其端口號是動態分配的。此外,雖然擁塞TCP連接很困難,但擁塞UDP分組甚至更難,因為很難事先知道它們要做什么。很多篩選分組器只是攔截UDP分組流。

(2)應用網關技術

應用網關(ApplicationGateway)技術是建立在網絡應用層上的協議過濾,它針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網關一般由專用工作站系統來完成。

有些應用網關還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在應用網關服務器緩存中存在時,服務器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務器上請求最新的頁面,然后再轉發給用戶(3)服務

服務器(ProxyServer)作用在應用層,它用來提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受提出的服務請求,拒絕外部網絡其它接點的直接請求。

具體地說,服務器是運行在防火墻主機上的專門的應用程序或者服務器程序;防火墻主機可以是具有一個內部網絡接口和一個外部網絡接口的雙重宿主主機,也可以是一些可以訪問因特網并被內部主機訪問的堡壘主機。這些程序接受用戶對因特網服務的請求(諸如FTP、Telnet),并按照一定的安全策略轉發它們到實際的服務。提供代替連接并且充當服務的網關。

在實際應用當中,構筑防火墻的“真正的解決方案”很少采用單一的技術,通常是多種解決不同問題的技術的有機組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務以及你愿意接受什么等級的風險,采用何種技術來解決那些問題依賴于你的時間、金錢、專長等因素。超級秘書網

三、防火墻技術展望

伴隨著Internet的飛速發展,防火墻技術與產品的更新步伐必然會加強,而要全面展望防火墻技術的發展幾乎是不可能的。但是,從產品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:

1)防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展。

2)過濾深度會不斷加強,從目前的地址、服務過濾,發展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。

3)利用防火墻建立專用網是較長一段時間用戶使用的主流,IP的加密需求越來越強,安全協議的開發是一大熱點。

4)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。

5)對網絡攻擊的檢測和各種告警將成為防火墻的重要功能。

6)安全管理工具不斷完善,特別是可以活動的日志分析工具等將成為防火墻產品中的一部分。

另外值得一提的是,伴隨著防火墻技術的不斷發展,人們選擇防火墻的標準將主要集中在易于管理、應用透明性、鑒別與加密功能、操作環境和硬件要求、VPN的功能與CA的功能、接口的數量、成本等幾個方面。

參考文獻:

[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.

[2]AndrewS.TanenbaumComputerNetworks(ThirdEdition),PrenticeHallInternational,Inc.1998.

篇10

銀澎云計算旗下的主要產品有：

云主機：通過對計算與存儲資源的聚合和虛擬化，給用戶帶來高效、低成本、按需供給、靈活使用的計算與數據服務。

云加速：將網站靜態內容于離用戶最近節點，用戶使用時可就近獲得所需數據。

云會議：公司旗下“好視通”云會議平臺是國內領先的云會議服務領導品牌，擁有多項創新核心技術優勢，產品已成功地廣泛運用于全國教育、培訓、金融、物流、通信、政府等行業和領域，企業榮膺國家級高新技術企業和雙軟企業等科技認證。

云存儲：致力于打造具備大數據集中存儲、自助云備份、發送共享和管理服務的私有云平臺。該平臺是針對企業、政府、學校、科研、傳媒等企業級用戶應用而開發的，適用于任何機構內部或內外之間的電子文檔存儲管理、網絡服務、傳閱簽收、公文審批等業務流程，便于機構全體、部門、個人的電子文檔共享，有關文檔按機構、部門、項目組、職員進行嚴格管理，實現對文件的嚴格管理與可控共享。

云數據中心：銀澎云計算自建的銀澎百盛云計算數據中心，是國家五星級超大云計算數據中心，總投資3億元，建筑面積達18000平米，最大可容納6000個機柜、80000臺服務器，是目前國內少有達到T3+級別的云數據中心，可為客戶按需提供優質的云計算數據資源和高級別的安全保障服務。云計算數據中心主要業務包括服務器托管、服務器出租、機柜租賃、系統維護以及其他支撐、運行服務等。同時，銀澎云計算依托國內領先的五星級云計算數據中心資源，憑借深厚的行業經驗、雄厚的技術研發能力和卓越高效的服務保障體系，為廣大客戶提供高彈性、高性能和高安全的云計算整體解決方案。