xx有限公司防火墙方案

xx有限公司防火墙方案内容摘要：

现并修正存在的弱点和漏洞。 网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。 检测工具应具备以下功能： 具备网络监控、分析和自动响应功能 找出经常发生问题的根源所在； 建立必 要的循环过程确保隐患时刻被纠正；控制各种网络安全危险。 漏洞分析和响应 配置分析和响应 漏洞形势分析和响应 具体体现在以下方面： 防火墙得到合理配置 内外 WEB站点的安全漏洞减为最低 网络体系达到强壮的耐攻击性 各种服务器操作系统，如 E_MIAL 服务器、 WEB服务器、应用服务器、将受 hacker 攻击的可能降为最低 对网络访问做出有效响应，保护重要应用系统（如财务系统）数据安全不受 hacker 攻击和内部人员误操作的侵害 网关防病毒 由于在网络环境下，计算机病毒有不 可估量的威胁性和破坏力，一次计算机病毒的防范是网络安全性建设中重要的一环。 网关反病毒技术包括预防病毒、检测病毒和消毒三种技术： ：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。 这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒软件等）。 ：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。 ：它通过对计算机病毒的分析，开 发出具有删除病毒程序并恢复原文件的软件。 网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。 所选的防毒软件应该构造全网统一的防病毒体系。 主要面向 MAIL、 Web 服务器，以及办公网段的 PC 服务器和 PC 机等。 支持对网络、服务器、和工作站的实时病毒监控；能够在中心控制台向多个目标分发新版杀毒软件，并监视多个目标的病毒防治情况；支持多种平台的病毒防范；能够识别广泛的已知和未知病毒，包括宏病毒；支持对 Inter/ Intra服务器的病毒防治，能够阻止恶意的 Java 或 ActiveX 小程序的破坏；支持对电子邮件附件的病毒防治，包括 WORD、 EXCEL 中的宏病毒；支持对压缩文件的病毒检测；支持广泛的病毒处理选项，如对染毒文件进行实时杀毒，移出，重新命名等；支持病毒隔离，当客户机试图上载一个染毒文件时，服务器可自动关闭对该工作站的连接；提供对病毒特征信息和检测引擎的定期在线更新服务；支持日志记录功能；支持多种方式的告警功能（声音、图像、电子邮件等）等。 网关防火墙 企业网的第一道防线是进出 Inter 的 入口。 没有这道防线，对 Inter 打开的门和对公司内部打开的门一样。 防火墙在企业网的内外之间设置了一道有效的屏障，保护网络边界并防止黑客入侵。 防火墙作为一个单一的关口，在此关口能检查、审核和认证所有进入网络的数据交换。 任何可疑的活动，都会根据你设置的规则发出报警。 目前，市场上有三种基本类型的防火墙，每种提供不同程度的安全性和适应性：路由器、静态包过滤系统和应用层代理防火墙。 1. 单纯一个路由器，尽管不昂贵，但对大部分企业安全需求来说是不可接受的。 路由器不能抵制网络层的攻击，例如： IP 欺骗 ,源地址 , TCP 同步泛滥等。 2. 静态包过滤系统在网络层协议入栈时或之前检测原始包。 这提高了规则处理进程的性能和避免了数据包与已经设置好的连接不关联。 3. 应用层防火墙靠迫使全部网络交换都由运行特定服务 (FTP, HTTP, SMTP, etc.)的智能防火墙来代理。 这种代理提供应用层控制的功能和防止应用层受攻击的保护。 然而，许多静态系统包括一些受限制的代理技术，大部分不能保护应用层流，例如缓冲过载和非法或不安全的应用层命令。 应用层代理防火墙是设计用来对付深层最隐秘的包括跨越多个网络包的入侵。 内容扫描原理：内容协议数据包括 Web 流量（ HTTP）和 Email 流量（ SMTP、 POPIMAP）。 在接收到网络流量后，安全网关进行内容扫描， 定向到 TCP/IP 堆栈，其他数据流直接定向到状态检测引擎，按基本检测方式进行处理。 高性能的硬件体系结构协助TCP/IP 堆栈进行协议内容的处理，当接收到内容数据流时， TCP/IP 堆栈建立 Client 和Server 的会话，开始数据包的传输。 堆栈接收数据包，然后转化成内容数据流。 服务分析器根据数据流服务类型分离内容数据流，传送数据流到一个命令解析器 中。 命令解析器定制和分析每一个内容协议， 分析内容数据流，检测病毒和蠕虫。 如果检测到信息流是一个HTTP 数据流， 则命令解析器检查上载和下载的文件。 如果数据是 Mail 类型，则检查邮件的附件。 如果数据流包含附件或上载 /下载文件，附件和文件将传输到病毒扫描引擎，所有其他内容传输到内容过滤引擎。 如果内容过滤启动，数据流将根据过滤的设置进行匹配，通过或拒绝数据。 目前，网络安全面临新的挑战。 病毒和蠕虫攻击隐藏在大量的网页和邮件中，已成为当前网络攻击的常用手段。 基于内容的攻击令传统的防火墙不能抵御，需要引入 新一代的防火墙技术，把内容处理和防病毒功能结合贯穿到单纯的防火墙中，这已代表一种发展趋势。 基于这种创新的理念， 新型的防病毒内容过滤防火墙应运而生。 这类产品的新颖之处在于， 除了防火墙的基本功能之外， 它还能在数据流到达内网前扫描数据包内容， 并清除有害的数据内容。 防病毒内容过滤安全防御网关技术，可以应用在进行各种网络数据交易的企业或电信网络中， 进行高级别的病毒安全防护 , 保护内部的网络安全。 值得注意的是，新型防御网关实施方案结合采用专用的高性能硬件体系和 ASIC 芯片技术 , 既增添新的功能， 又能保障原有的性能不受过多影响，适合实际应用的需求。 传统的防火墙技术能有效地防止一些来自协议层的攻击， 包括欺骗、密码破译、拒绝服务和其他的协议层攻击，例如 NAT (网络地址转换 )一直提供了对协议层攻击的保护。 结合 NAT 技术，大多数传统防火墙用一种状态检测的技术检查和转发 TCP/IP 包。 对抗协议层攻击有效的 NAT 和状态检测技术 , 并不能满足基于内容安全的保护需求。 状态检测技术只检查数据包头，不检测数据的内容。 每一封邮件的附件都可能嵌入了病毒和蠕虫。 来自 Inter 上的、隐藏在网络数据中的有害代码， 通 过病毒、 蠕虫、 动态的 Web 网页内容和木马程序进行攻击。 当人们从 Inter 下载文件时 , MS Office 文件中的宏代码成为威胁内部网络的关键。 这些病毒和蠕虫不断在增长，并且不断有新的变种，其破坏性是巨大的。 要防御隐藏在网络流量内容里病毒和蠕虫的攻击，并有效阻塞包含色情、不健康、政治敏感内容的网页，需要内容过滤防病毒防火墙。 一般在数据。