计算机网络安全及防火墙技术论文

计算机网络安全及防火墙技术论文内容摘要：

做法看似日志信息十分完善 ， 但每天进出防火墙的数据有上百万甚至更多，所 以，只有采集到最关键的日志才是真正有用的日志。 一般而言， 系统的告警信息是有必要记录的，对于流量信息进行选择，把影响网络安全有关的流 量信息保存下来。 计算机网络安 全方案设计并实现 1. 桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分 发。 这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。 特 别是对于移动办公的情况更是如此。 因此，需要对移动用户的文件及文件夹进行本地 安全管理，防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光 S锁产品， “ 紫光 S锁 ” 是清华紫光“桌 面计算机信息安全保护系统 ” 的商品名称。 紫光 S 锁 的内部集成了包括中央处理器 (CPU)、加密运算协处理器 （ CAU)、只读存储器 （ ROM)，随机存储器 （ RAM)、 电可擦除可编程只读存储器 （ E2PROM)等，以及固化在 ROM 内部的芯片操作系统 COS (Chip Operating System)、硬件 ID 号、各种密钥和加密算法等。 紫光 S锁采用 了通过中国人民银行认证的 SmartCOS， 其安全模块可防止非法数据的侵入和数据的 篡改，防止非法软件对 S锁进行操作。 2. 病毒防护系统 基于单位目前网络的现状，在网络中添加一台服务器，用于安装 IMSS。 (1)邮 件防毒。 米用趋势科技的 ScanMail for Notes。 该产品可以和 Domino 的群件 服务器无缝相结合并内嵌到 Notes 的数据库中，可防止病毒入侵到 LotueNotes的数据 库及电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。 可通过任何Notes 工作站或 Web 界面远程控管防 毒管理工作， 并提供实时监控病毒流量的活动记录报 告。 ScanMail是 Notes Domino Server使用率最高的防病毒软件。 (2) 服务器防毒。 采用趋势科技的 ServerProtect。 该产品的最大特点是内含集中管 理的概念，防毒模块和管理模块可分开安装。 一方面减少了整个防毒系统对原系统的 影响，另一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。 (3) 客户端防毒。 采用趋势科技的 OfficeScan。 该产品作为网络版的客户端防毒系 统， 使管理者通 过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防 毒模块进行更新。 其最大特点是拥有灵活的产品集中部署方式，不受 Windows 域管 理模式的约束，除支持 SMS， 登录域脚本，共享安装以外，还支持纯 Web 的部署方 式。 (4) 集中控管 TVCS。 管理员可以通过此工具在整个企业范围内进行配置、监视和 维护趋势科技的防病毒软件，支持跨域和跨网段的管理，并能显示基于服务器的防病 毒产品状态。 无论运行于何种平台和位置， TVCS 在整个网络中总起一个单一管理控 制台作用。 简便的安装和分发代理部署，网络的分析和病 毒统计功能以及自动下载病 毒代码文件和病毒爆发警报，给管理带来极大的便利。 3. 动态口令身份认证系统 动态口令系统在国际公开的密码算法基础上，结合生成动态口令的特点，加以精 心修改，通过十次以上的非线性迭代运算，完成时间参数与密钥充分的混合扩散。 在 此基础上，采用先进的身份认证及加解密流程、先进的密钥管理方式，从整体上保证 了系统的安全性。 4. 访问控制 “ 防火墙 ” 单位安全网由多个具有不同安全信任度的网络部分构成，在控制不可信连接、分 辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全 的重要 隐患。 本设计方案选用四台网御防火墙，分别配置在高性能服务器和三个重要部门的 局域网出入口，实现这些重要部门的访问控制。 通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防 火墙，通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此 隔离。 这样不仅保护了单位网络服务器，使其不受来自内部的攻击，也保护了各部门 网络和数据服务器不受来自单位网内部其他部门的网络的攻击。 如果有人闯进您的一 个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。 5. 信息加密、信息 完整性校验 为有效解决办公区之间信息的传输安全，可以在多个子网之间建立起独立的安全 通道，通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有 性。 SJW22网络密码机系统组成 网络密码机（硬件 ） ：是一个基于专用内核，具有自主版权的高级通信保护控制系 统。 本地管理器（软件 ） ：是一个安装于密码机本地管理平台上的基于网络或串口方式 的网络密码机本地管理系统软件。 中心管理器（软件 ） ：是一个安装于中心管理平台 （ Windows系统）上的对全网的 密码机设备进行统一管理的系统软件。 系统 根据以上多层次安全防范的策略，安全网的安全建设可采取 “ 加密 ” 、 “ 外防”、“内 审 ” 相结合的方法， “ 内审 ” 是对系统内部进行监视、审查，识别系统是否正在受到攻 击以及内部机密信息是否泄密，以解决内层安全。 安全审计系统能帮助用户对安全网的安全进行实时监控，及时发现整个网络上的 动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。 作为 网络安全十分重要的一种手段，安全审计系统包括识别、记录、存储、分析与安全相 关行为有关的信息。 在安全网中使用的安全审计系统应实现如下功能：安全审计自动响应 、安全审计 数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。 本设计方案选用 “ 汉邦软科 ” 的安全审计系统作为安全审计工具。 汉邦安全审计系统是针对目前网络发展现状及存在的安全问题，面向企事业的网 络管理人员而设计的一套网络安全产品，是一个分布在整个安全网范围内的网络安全 监视监测、控制系统。 (1)安全审计系统由安全监控中心和主机传感器两个部分构成。 主机传感器安 装在要监视的目标主机上，其监视目标主机的人机界面操作、监控 RAS 连接、监控 网络连接情况及共享资源的使用情况。 安全监控中 心是管理平台和监控平台，网络管 理员通过安全监控中心为主机传感器设定监控规则，同时获得监控结果、报警信息以 及日志的审计。 主要功能有文件保护审计和主机信息审计。 ①文件保护审计：文件保护安装在审计中心，可有效的对被审计主机端的文件进 行管理规则设置，包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记 录日志、提供报警等功能。 以及对文件保护进行用户管理。 ②主机信息审计 :对网络内公共资源中，所有主机进行审计，可以审计到主机的 机器名、当前用户、操作系统类型、 IP地址信息。 (2)资源监控系统主要有四类 功能。 ①监视屏幕 :在用户指定的时间段内，系统自 动每隔数秒或数分截获一次屏幕。 用户实时控制屏幕截获的开始和结束。 3防火墙的配置 像路由器一样，在使用之前，防火墙也需要经过基本的初始配置。 但因各种防火 墙的初始配置基本类似，所以在此仅以 Cisco PIX防火墙为例进行介绍。 防火墙的初始配置也是通过控制端口 （ Console)与 PC 机 （ 通常是便于移动的笔 记本电脑）的串口连接，再通过 Windows 系统自带的 超级终端 （ HyperTerminal)程 序进行选项配置。 防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法 防火墙除了以上所说的通过控制端口 （ Console)进行初始配置外，也可以通过 tel 和 Tffp 配置方式进行高级配置，但 Tel 配置方式都是在命令方式中配置，难 度较大，而 Tffp方式需要专用的 Tffp服务器软件，但配置界面比较友好。 防火墙与路由器一样也有 四种用户配置模式，即：普通模式 （ Unprivileged mode)、 特权模式 （ Privileged Mode)、配置模式 （ Configuration Mode)和端口模式 （ Interface Mode)， 进入这四种用户模式的命令也与路由器一样： 普通用户模式无需特别命令，启动后即进入； 进入特权用户模式的命令为 enable； 进入配置模式的命令为 config terminal； 而进入端口模式的命令为 interface ether ()。 不过因为防火墙的端口没有路由器 那么复杂，所以通常 把端口模式归为配置模式，统称为 全局配置模式。 防火墙的具体配置步骤如下： 1. 将防火墙的 Console 端口用一条防火墙自带的串行电缆连接到笔记本电脑的 一个空余串口上，参见图 1。 2. 打开 PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。 3. 运行笔记本电脑 Windows 系统中的超级终端 （ HyperTerminal)程序 （ 通常在 ” 附件 程序组中）。 对超级终端的配置与交。