防火墙解决方案范文
时间:2023-05-06 18:25:57
导语:如何才能写好一篇防火墙解决方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:双出口 校园网解决方案 静态路由
一、问题分析与提出
校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。我院于2005年申请一条10M的网通线路接入Internet,用于日常办公和教学使用。网络拓扑图如图1:
由于学院的发展和招生、评估等需求,我院于2007年又接入一条100M教育网。众所周知,教育网内部访问速度是非常快的,但是由于教育网与其他非教育网络如CHINANET之间存在瓶颈,所以从教育网访问新浪、搜狐等非教育网站点时速度相对较慢。在网络改造时我们同时保留网通10M线路,这样做的好处是可以同时高速访问教育网资源和非教育网资源,满足师生学习和办公的需求。
接入教育网后,校园网应满足如下需求:
(1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网;
(2)客户端访问教育科研网的网站时,走教育网线路,访问其他站点时,走网通线路。
(3)尽可能的节约校园网调整、改造的投资。
校园网改造后结构如图2:
二、基本技术介绍
目前解决网络双出口的方案通常会使用默认路由、静态路由、NAT转换等技术。
1.静态路由
静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。这种方式对于上网的路由选择与用户无关,用户的上网方式无需进行任何改动,可操作性较好。同时,网络管理人员可以根据两个出口的带宽和流量情况,调整路由指向。
建立静态路由的命令为:
ip route 目的地址网络 目的网络子网掩码 下一跳地址
2.默认路由
默认路由是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。默认路由在某些时候非常有效,当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能.
3.NAT技术
NAT(Network Address Translation)顾名思义就是网络IP地址的转换。NAT的出现是为了解决IP日益短缺的问题,将多个内部地址映射为少数几个甚至一个公网地址。这样,就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设置可以分为静态地址转换、动态地址转换和端口地址转换。
(1)静态地址转换
静态地址转换将内部本地地址与内部合法地址进行一对一地转换,且需要指定和哪个合法地址进行转换。如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供服务,则这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
(2)动态地址转换
动态地址转换也是将内部本地地址与内部合法地址一对一地转换,但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。
(3)端口地址转换
端口地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。
三、具体解决方案
此技术方案采用策略路由结合网络地址转换和访问控制列表来具体实现,在本校出口采用NAT和策略路由技术,对于访问目标地址不在CERNET范围之内的,或属于公众网的地址,首先通过NAT进行网络地址转换,然后将请求通过网通出口路由出去,将计算机与CERNET及其联网单位的通信通过CERNET出口进行。
由于涉及到网络安全机密,校园网的各个接口地址均由其他地址代替。其中:校园网内部地址为59.68.0.0/24,10.0.0.0/24表示校园网内部服务器的地址,192.168.0.0/24表示网通地址。连接网通防火墙的ip地址为172.16.0.254,教育网路由器的ip地址为59.68.0.254。配置方案如下(以下配置均以思科产品为准):
1.核心交换机的配置
(1)设置默认路由指向连接网通路由器:
ip route 0.0.0.0 0.0.0.0 10.0.0.254
(2)对于所有走教育网流量设置静态路由,指向连接教育网的路由器。
ip route 4.17.184.59 255.255.255.255 59.68.0.254
ip route 12.130.28.213 255.255.255.255 59.68.0.254
ip route 58.116.0.0 255.252.0.0 59.68.0.254
……
ip route 222.204.0.0 255.254.0.0 59.68.0.254
ip route 222.206.0.0 255.254.0.0 59.68.0.254
ip route 222.248.0.0 255.254.0.0 59.68.0.254
由于教育网上经常会增删一些IP地址,未免IP地址有变化或者教育网站点不全面,可从教育科研网(省略)下载最新地址列表。同时为避免静态路由条目太多,可使用超网技术合并一些相似的IP地址。
2.在防火墙上进行NAT配置
通常的做法是将NAT放在路由器上,由于路由器采用硬件技术进行数据包转发,具有转发速度快的特点,但路由器是靠软件来实现地址转换的,当地址转换列表大量产生时,会导致路由器的CPU的利用率过高甚至产生宕机现象。
在路由器满负荷工作时,防火墙、核心交换机的负荷却很低,还没有充分发挥这些设备的性能,所以将路由器的工作分散到防火墙上。利用防火墙作NAT,无论转换速度还是处理能力都比用路由器做NAT效果好得多,不会出现占用CPU资源过高的现象。
ip address outside 172.16.0.254 255.255.255.0
ip address inside 172.16.100.1 255.255.252.0
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
四、结束语
校园网按新的拓扑结构改造后,很好的解决了以前在校园网双出口实施中存在的问题,运行以来效果很好,由于在核心交换机上作优化的策略路由,利用防火墙作网络地址转换,校园网用户既可以高速地访问教育网上的资源,本地ISP出口也不显得拥挤不堪。校园网的双出口已为越来越多的学校所采纳,解决方案亦是仁者见仁、智者见智。在确定方案的时候,应根据所选用的设备和设计要求,合理的进行设计。
参考文献
[1]徐宏,程代伟,池亚平译CCNA学习指南第2版电子工业出版社2005
[2]刘伟,崔永峰基于防火墙和策略路由的校园网双出口实现周口师范学院学报2006
篇2
企业战略集团(ESG)的一项调查显示,IT管理人员认为网络安全是2011年必须优先考虑的问题。不断增长的互联网和内部网络带宽需要更快、更可靠的网络安全系统,以保证所有级别网络环境中的数据安全。“数据安全是一场必须在多条战线上同时进行的战斗,特别是在网络层面。”迈克菲(McAfee)公司副总裁Dan Ryan表示。无论在IT基础设施的哪个层面,安全都是不容忽视的一个问题。正因为如此,网络与安全融合、存储与安全融合的例子越来越多。
随着数据量和业务的不断增加,人们需要访问的设备越来越多,面临的网络安全威胁也越来越多,因此打造端到端的网络安全体系,实现主动的安全性管理,降低业务风险成了数据中心用户的当务之急。“安全无处不在。以后,独立的安全厂商可能会越来越少。博科(Brocade)之所以和迈克菲合作提供广泛的、完全互通的端到端网络安全解决方案,目的是为客户提供更多的选择。”博科公司大中国区总经理卢少文表示。
博科与迈克菲合作的近期目标是,联合设计一套互通的解决方案,以满足企业客户的网络安全需求。联合解决方案主要包括以下内容:博科Netlron MLX系列高性能路由器与迈克菲企业级防火墙和入侵防御技术相结合,为大型企业网络核心进行优化配置,以抵御外来的安全威胁;博科Servering应用交付控制器与可实现负载均衡的迈克菲企业级防火墙技术相结合,提供针对拒绝服务(DoS)和SYN攻击的充分保护,同时提供高性能的、永远在线的、安全的防火墙服务;迈克菲网络访问控制(NAC)解决方案与博科Fastlron CX和Fastlron紧凑型边缘交换机相结合,可确保网络接入层的安全;博科IronView网络管理工具通过基于开放标准的网络管理协议,使网络基础设施能够自动回应由迈克菲网络访问控制、入侵防御和防火墙解决方案生成的安全事件。在完成联合解决方案的设计与包装后,博科与迈克菲将继续在网络管理方面进行深入合作。
EGS分析师Jon Oltsik表示:“不断变化的安全威胁和校园网络的融合促进了网络与安全产品的整合。企业必须让整个网络基础设施时刻保持警惕的状态,以主动应对可能产生的攻击。”在收购网捷之后,博科已经把市场拓展的重点放在了IP网络产品上。博科IP网络产品与迈克菲安全产品集成在一起,构成了从防火墙、入侵检测、预防系统到网络访问控制的完整的安全保障体系,能够保护客户不受恶意活动、数据泄露、网络入侵等各类安全威胁的侵袭。卢少文表示:“安全是一种功能。博科自己不是安全专家,但是为了让客户能随时随地、安全地访问网络服务,博科通过与迈克菲合作的方式,也能够为用户提供高可靠的网络安全解决方案。未来,博科将抱着一种开放的心态,与更多安全厂商合作,为用户提供更多的安全功能选择。”
篇3
关键词:网络安全 防火墙 IDS IPS
中图分类号:G4 文献标识码:A 文章编号:1673-9795(2013)05(a)-0155-01
随着网络的普及,网络应用已经越来越多的走进了人们的生活,网络安全问题已经从一个纯技术问题上升到关乎社会经济乃至国家安全的战略问题,上升到关乎人们的工作和生活的重要问题。网络不安全的因素很多,主要包括病毒、木马、黑客、系统漏洞和后门、内部威胁和无意破坏,事实上大部分威胁来自内部人员蓄意攻击,这类攻击所占比例高达70%。因此,我们既要从管理制度上建立和完善安全管理规范和机制,增强安全防范意识。更要从安全技术上进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案。
1 网络安全技术
网络安全技术很多,主要包括数据加密与认证技术、防火墙技术、访问控制技术、病毒防治技术、入侵检测技术、入侵防御技术等。
1.1 防火墙技术
防火墙是网络系统的第一道安全闸门。它是一种计算机硬件和软件的组合,在内网和外网之间建立的一个安全网关。它对网络间需要传输的数据包以及连接方式来进行安全性的检查,同时,来决定网络间的通讯是否能够被允许。
防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。防火墙的主要功能有两个:阻止和允许,也就是说阻止或允许某种类型的通信量通过防火墙。
防火墙能阻挡外部入侵者,但对内部攻击无能为力;同时某些防火墙自身也容易引起一些安全性的问题。通常来说作为防火墙不能够阻止通项站点的后面,从而就不能够提供对内部的安全保护措施,抵挡不了数据驱动类型的攻击,像用户通过Internet下载上传的程序或文件是很容易被传染上病毒的。尤其是现在攻击层次越来越高,据统计超过70%的应用层攻击防火墙无法拦截如服务器漏洞攻击、SQL注入等。
1.2 入侵检测技术
对于入侵检测来说,是对入侵行为进行的一个检测,同时也是在防火墙之后的第二道安全的闸门,提供了对内部攻击、外部攻击和误操作的实时保护且不影响网络的性能,是一种积极主动的安全防卫技术。它不仅帮助对付网络性的攻击,同时也扩展了系统管理员的管理能力,这其中就包括安全审计、监视、进攻识别和响应等,大大提高了基础结构的完整性。
入侵检测的主要技术体现在入侵分析技术,主要有三大类:
首先是签名分析法。主要用来检测有无对系统的己知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。主要方法是从攻击模式中归纳出其签名,编写到IDS系统的代码里,再由IDS系统对检测过程中收集到的信息进行签名分析。签名分析实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操作动作;一方是已知攻击模式的签名数据库。
其次是统计分析法。以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。主要方法是首先根据被检测系统的正常行为定义出一个规律性的东西,被称为“写照”,然后检测有没有明显偏离“写照”的行为。统计分析法的理论基础是统计学,此方法中,“写照”的确定至关重要。
最后是数据完整性分析法。用来查证文件或对象是否被修改过,它的理论基础是密码学。
上述分析技术在IDS中会以各种形式出现,把这些方法组合起来使用,互相弥补不足是最好的解决方案,从而在IDS系统内部实现多层次、多手段的入侵检测功能。如签名分析方法没有发现的攻击可能正好被统计分析方法捕捉到。
IDS虽然能有效检测和告警入侵事件,但不能主动地把变化莫测的威胁阻止在网络之外。虽然我们可以讲防火墙与IDS联动当时还没有标准协议,有滞后现象,并非最优方案。
因此,我们迫切地需要找到一种主动入侵防护解决方案,以确保企业网络在威胁四起的环境下正常运行。
2 入侵防御技术
入侵防御系统(Intrusion Prevention System或Intrusion Detection Prevention,即IPS或IDP)它是一款智能化检测入侵和防御的产品,这款产品不但能检测出入侵,它还可以通过一定的响应方式,来中止这次的入侵行为,从而保护了信息系统受到实质性的攻击。同时也让IPS与IDS还有防火墙能够得到统一。
IPS在网络中一般有四种连接方式即:Span即接在交换机旁边,作为端口镜像;Tap即接在交换机与路由器中间,旁路安装,拷贝一份数据到IPS中;Inline即接在交换机与路由器中间,在线安装,在线阻断攻击;Port-cluster(被动抓包,在线安装)。它在报警的同时,能阻断攻击。
IPS能准确判断隐含在网络实时流量当中的恶意数据,并实现及时的阻断,可以降低内部网络遭受攻击的可能,同时减少内部审计数据的大小。
3 网络安全解决方案
通过分析网络入侵方式及对比三种网络安全技术,可以推知防火墙技术和ids、技术缺乏深层分析或在线部署,都无法真正实现深层防御,只有IPS才是目前深层防御的最优方案如图1所示。
4 结语
首先介绍和分析了防火墙和入侵检测协同各自的特点和缺陷,然后提出了入侵防御系统能够有效弥补目前防火墙和入侵检测技术的缺陷。然而入侵防御系统(IPS)技术目前还不够成熟,需要不断改进,随着新的攻击工具的出现,势必会出现新的防范技术。
参考文献
[1] 东辉.入侵防御系统技术[J].信息安全与通信保密,2009(2):48-50.
[2] 邹峰.基于计算机网络的入侵检测与防御研究[J].煤炭技术,2011(1):92-94.
篇4
从整个网络安全产业的发展来看,对应用的管理和控制顺应了用户对于网络安全新需求的渴望和要求。可以说,谁把握住应用,谁就能掌握未来IT发展的权杖。
一切为了更简单
刘保华:最近几年,梭子鱼公司的收购举动频频,2007年收购应用防火墙厂商Netcontinuum,2008年收购虚拟存储公司Yosemite,最近又收购了欧洲著名的提供安全的网络设备厂商Phion和以服务方式提供信息安全保障的供应商Purewire。梭子鱼进行收购的目的是什么,如何选择收购对象?在您心目中,将来梭子鱼会往哪个方向发展?
Niall King:两年前开始我们做了很多收购工作,一方面为了扩大产品线,另一方面可以补充更多的新技术。借助反垃圾第一品牌,把其他产品线带动起来。有很多厂商的产品,用户用起来并不容易,我们的目的是给用户展现一个非常简单易用的界面。
目前,梭子鱼中国为广大的中国企业用户提供了9款系列产品和四大解决方案(包括垃圾邮件防火墙、安全负载均衡机、Web、应用防火墙、邮件存储网关等产品系列)。梭子鱼企业级应用安全解决方案广泛适用于大型企业和中小型企业。
在未来,梭子鱼将会继续采用自主研发和产品收购的方式,进一步整合现有的应用安全产品线,为用户提供更多、更专业的应用安全解决方案,以保护企业中关键业务的连续性,使企业关键业务实现真正的交付使用。
刘保华:梭子鱼最近有两条比较新的产品线,请问为什么要进军这两个领域?对于梭子鱼来说,进军这两个领域有怎样的战略意义?
Niall King:这是梭子鱼整个产品的发展策略。我们现在已经具备了一个完整的产品线结构。梭子鱼目前已经进入备份和VPN的领域,目的就是要向广大客户提供全系列的解决方案。随着备份和VPN产品的推出,有效完善这个解决方案,为我们广大的用户提供很好的产品服务。
梭子鱼的备份产品,首先会提供高性价比的方案,在价格上会比竞争者更有优势。同时我们可以为用户提供一个远程的安全存储方案。传统的存储解决方案是非常昂贵的,很多中小企业用户在应用的时候,有这个需求,但是由于预算的限制,他们得不到很好的实施。梭子鱼备份产品的推出有效地解决了这个问题。
然而,VPN这个产品会把众多企业的分支机构很好地连接起来,这个方案配合我们的备份和其他的系列产品,给用户提供一个高可靠性的集团性的解决方案。这样,梭子鱼就会一改以往传统的高端解决方案,为更多的用户提供性价比非常好的解决方案。
刘保华:我之前看到一些资料说,梭子鱼不排除在中国收购某些本地技术性企业的可能性,不知道这一资料是否属实,梭子鱼在中国有没有潜在的收购对象,或者说你们希望在中国收购什么样的企业?
Niall King:我们倡导以易用的产品和解决方案切实解决各种规模企业所面临的关键网络问题,突显梭子鱼强大和全面的解决方案的能力。
在未来,我们会把目光重点放在拥有云技术和虚拟化领域的企业。如果一些企业或科研机构有这方面的技术,我们十分乐意进行技术购买。这样,我们可以为企业用户提供一系列可以帮助他们解决快速增长的应用需求的解决方案。用户能够充分利用云技术的优势来简化其安全架构,轻松使用更广泛的应用选件,包括设备、软件或云部署。
应用推动用户需求
刘保华:面对全球金融危机,许多企业都开始缩减预算、削弱IT支出,请问贵公司是如何看待这个问题的,有哪些策略与调整?
Niall King:目前来讲,金融危机确实对于广大的IT企业产生影响。但是对于梭子鱼来说,并没有产生太多的影响。这主要从两方面来讲。
首先,我们梭子鱼在做产品的时候,会贴近用户。其次,我们的产品就是为了给广大客户缩减开支。
刘保华:请您谈一下中国和美国的信息安全市场有怎样的区别,您又是如何看待中国安全市场的发展呢?
Niall King:总体来说美国市场是发展比较成熟的,而中国安全市场还处于起步的阶段。但是可以看到,中国的一些中小企业,在建网的时候就会考虑从基础网络建设开始,同时考虑网络安全的需求。
刘保华:美国因为萨班斯法案的推出,使得各个企业将安全提到了前所未有的高度。而中国今年也推出了上市公司IT系统应用指引这样类似萨班斯法案的规定,你觉得这对于整个国内安全市场会不会有一个大的提升?这种提升是不是不仅限于资金投入层面,还会牵扯到技术和全方位防护等应用层面?你认为将来国内用户应用安全系统的趋势会是什么?
Niall King:类似像萨班斯法案这样的法律条款,针对国内企业内控管理的中国基本法规将会对中国上市公司进一步加强管理。这套正在拟定的法规通过一个简单、统一的方案对上市企业的可管理性和下一代邮件存档解决方案进行保留、发现、法规遵循,内容监测和数据保护等方面的进行检验。
这套为中国企业量身定做的法规所面临的一大难题是如何管理企业内部那些呈爆炸式增长的邮件和文档。
举一个例子来说,法规中最重要的一点是要求邮件可查,结合我们的产品来看,我们的反垃圾邮件产品可以对邮件收发进行过滤,邮件归档产品可以充分帮助企业有效简化其存储环境和降低相应成本,再配合Web应用防火墙产品,来保证用户的网站安全。这些将形成一个整体,帮助企业有效简化其存储环境和相应成本,以便更好地满足用户对于法规遵从的需求。
做易于部署的企业
刘保华:邮件安全产品目前是梭子鱼在国内最有影响力的产品之一,但是我也注意到,从去年开始,梭子鱼希望从邮件安全向Web应用安全转型。但其实很多厂商、用户对Web应用的认知并不一致,甚至有人把它和网络防火墙混为一谈,梭子鱼怎么定义Web应用?提供什么样的产品和服务叫Web应用?
Niall King:目前复杂的IT系统正面临严重的挑战:IT业务多,但是各自为政,条块分割,无法整合;IT系统反应缓慢,甚至无法正常工作;IT业务面临的威胁及风险越来越大,如Web下载、IM病毒、网络攻击、网站挂马等。但这些趋势的核心都集中在应用层面,如何保证应用的安全,将是未来用户对安全需求的重点。
Web应用防火墙与传统防火墙不同,传统防火墙还是针对端口的策略,而应用防火墙主要防范应用层的风险。Web应用防火墙是基于策略的产品,需要结合企业的Web应用进行具体的安全咨询。安全厂商需要对企业的各种内部应用非常了解,比如对OA、MIS、ERP等应用的支持。因此当初Gartner就曾提出更加综合的应用交付网络的概念,将安全、加速、管理等集成在一起,实现完整的Web保护。
刘保华:IDC有研究表明,到2012年,国内Web应用市场将超过5亿美元,而梭子鱼说自己能够成为市场领导者,这个信心来自于哪里?你认为在这个市场中,赢得用户的最关键的难点在哪里,梭子鱼如何克服?
Niall King:从中国的经济发展来看,未来中国的市场会很大,我们的目标是50%的市场份额。因为经过5年来对中国市场的不断了解和深入接触,梭子鱼已经充分把握中国企业用户对围绕其关键业务的网络应用的问题和需求,结合中国用户的实际网络环境,逐渐完善公司产品线。梭子鱼会有效地贴近用户需求,为中国用户提供非常完善的解决方案,而且梭子鱼也一直看好中国市场的发展,会持续不断地加大对中国的投入。
梭子鱼目前在中国已经超过2000家客户,梭子鱼的产品是大家所公认的,易于安装,产品是比较稳定的,而且我们在跟我们的渠道进行合作的时候,有渠道共赢的策略,我们会有非常好的渠道政策,而且我们会有比较强的执行力。基于上述特点,我们会跟我们的合作伙伴一起把我们的产品做强。
梭子鱼有自己的优势。首先我们会在全球把每天取得的垃圾信息,传到我们美国中心进行汇总,从而列出一个信息采集的名单,这种信息采集能力是其他厂家所不具备的。这是基于我们全球超过7万家用户而建立的,这种信息采集是及时的,而且是非常海量的。这种通过全球范围进行信息采集的方式,是我们的竞争对手所不具备的。
刘保华:梭子鱼今年在中国开始建立自己的研发团队,初期只有3~5个人,今年准备把研发团队规模扩大到15~20人。这一研发团队目前建设情况怎么样?主要从事哪方面产品的研发?是否真正融入到梭子鱼全球研发体系中了?
Niall King:梭子鱼在全球拥有四个研发中心,除中国外,还有印度、北美和奥地利。针对中国本地化的研发,我们甚至将规则库都进行了重新定制和优化。与国际上的大公司一样,我们很看好在中国进行研发方面的建设,这样能够更贴近本地用户需求。设立研发中心的另一个目的是,如果中国用户有特殊需求,我们可能会为中国市场定制产品。
我们的产品越来越多,所有这些产品的设计初衷都是贴近用户的需求,以及对于用户要求的性价比的考量,所以我们提供了易于安装,且性价比非常好的产品。对于具有地域特色的网络非法入侵,我们的安全网关能够非常有效地过滤,达到很好的效果。
研发的重点,还是各项基于应用层的网络解决方案,只有这样才能使得企业的应用达到智能、安全、高效,并最终帮助企业获得最大投资回报。
刘保华:云是目前最热的词之一。我看到的资料是,梭子鱼准备在国内推云存储和云安全的方案,能不能详述一下梭子鱼的计划?
Niall King:云创造了一种不同以往的全新的商业模式,即用户不再需要关心如何根据自己的业务需求来购买服务器、软件和解决方案,只是根据自己的需要,通过互联网来购买自己需要的计算处理资源。
我们对于云的理解,称为易于部署,也就是让用户更加容易实施IT。
篇5
自从电力行业组织机构重组和区域重新划分之后,厂网拆分以及三网融合,数据打击众等多种IT应用出现,不仅要求电厂,电网用户内部网络的互联互通,还要求二者开放更多的外界网络端口。这种网络端口开放使用使得电力行业的信息安全问题由原来的仅限于内部事件,专变为现在来自外界的攻击将越来越多,原有的网络安全设计很难满足这种变化。
作为内蒙古自冶区唯一独资大型电力企业,内蒙古电力资产总额348亿元,所属单位29个,员工28000人。近年来内蒙古电力的信息化建设取得了快速的发展,目前已建起覆盖内蒙古所有12家供电企业及相关单位的宽带IP数据广域网。该网络以省公司信息中心、包头供电局为核心节点,其他单位就近接入核心节点,主干带宽为622M,二级节点到主干带宽为155M,并采用千兆网络来构建城域网。
随着内蒙古电力信息网络业务的进一步推进和发展,网络安全建设成为重点。来自外部网络的病毒和进攻不断增加,特别是大规模网络蠕虫病毒的泛滥,为内蒙古电力原有的安全设备造成了不小压力。特别是全网的网络层和应用层的安全问题更是安全改造的重点。
为了加强并巩固广域网的信息安全,同时避免将来扩展和部署网络的复杂性,Juniper公司对内蒙古电力公司数据中心网络平台的可靠运行进行了全面评测,并进一步分析出存在的安全隐患。通过部署Juniper公司的ISG系列防火墙与IDP的最佳组合,把网络攻击有效地控制在小型的局域网范围内,确保了信息网络的正常运转。解决全网的网络层和应用层安全防护问题。
根据安全域部署安全网关:ISG+IDP是最佳组合,内蒙古电力网络安全一期建设将全网划分为核心交换区、IDC应用区、办公区、Internet区等区域。此次Juniper公司采用安全网关/防火墙系统核心节点防火墙部署来对企业网络的所有不用安全域互联接口进行安全控制,包括Internet进出口控制,广域网进出口控制以及IDC进出口控制。内蒙古电力网络安全一期建设的主安全域的划分主要通过安全网管以及入侵检测防御系统(IDP)实现。
根据Juniper对电力系统实际需求的分析并结合内蒙古电力对二次系统地相关建设要求,Juniper公司提供的方案中采用了千兆安全网关/防火墙系列产品:ISGl000、ISG2000与IDP,ISGl000/2000是代表全球最先进网络安全技术的产品,最有价值的优势在于其卓越的实际环境性能,稳定性以及与IDP硬件集成的特性,能够全面适应电网安全发展的需要。JuniperISG系列防火墙将访问控制(Fw)和入侵保护(IDP)功能无缝集成在一个安全平台上,很好的平衡了两者之间的关系,并优化网络结构,方便网络运维,有效保护用户的投资。ISG 1000和ISG 2000集成了最佳的深层检测防火墙、VPN和DoS解决方案,齐全的高密端口布局,体现了软硬兼施、内外统一、应用灵活、集中管理等多种设计优点。能够为关键的高流量网络分段提供安全可靠的连接以及网络层和应用层保护。同时Juniper公司的IDP产品可在网络和应用层攻击产生任何损害前有效识别并终止它们,从而最大限度的减少与入侵相关的时间和成本。
内蒙古电力通过架设Juni―per防火墙产品,对全网的网络层和应用层提供了进一步的安全保护,隔离把网络攻击有效地控制在小型的局域网范围内,降低了网络面临的各种潜在安全威胁,极大地提高了主干网的信息安全防护水平,并有效保护了业务的安全和连续进行,以及信息网络的正常运转。内蒙古电力IT信息部门相关负责人表示:“我们选择Juniper网络公司的防火墙产品是因为其防火墙产品拥有高可靠性,为我们主干网日益增长的安全管理问题提供了最好的解决方案,使内蒙古电力的信息安全防护水平得到了进一步的加强。未来我们还会考虑继续采用Juniper的其它安全产品,进一步加固内蒙古电力全网的安全水平。”
CAeTrust身份识别和访问管理(IAM)套件
eTrust IAM是一套全面的、集成化的、模块化的解决方案,在SC杂志的评奖中,它获得了医疗卫生类最佳安全解决方案奖(US Excellence)。eTrust Network Forensics可捕捉原始网络数据,并使用高级证据分析技术来识别网络入侵、内部数据盗窃和安全策略违规等行为。 SafeNet DRM Fusion Toolkit4TV是第一个为广播电视许可和保护而设计的产品,并且支持所有主要和开放的广播数字版权管理标准。DRM Fusion Toolkit4TV能够为广播移动内容和服务提供保护,避免未授权的使用和分发。为了采用移动电视保护解决方寨,运营商不得不依赖一个特殊厂商。另外,运营商不再需要版权客户端软件,就能够向用户提供标准和现成的听筒。标准支持包括DVB-18Crypt和第一个OMABCAST智能卡详细标准。
通过提供内容和服务保护以及版权管理功能,DRM FuSin Toolkit4TV提供了整体解决方案,运营商和服务供应商能够无缝集成到他们的广播提供平台上,向市场提供令人兴奋的新移动电视服务。DRM Fusion Toolkit4TV利用在移动电视保护领域的专业技术,并且为BT Movio提供了第一个安全的DRM广播移动电视解决方案。该解决方案作为SafeNet现有DRM Fusion Toolkit产品的附加模块向客户提供,因此,运营商能啦应用针对移动音乐,视频和电视的整体解决方案。
SonicWALL互联网防火墙与VPN安全设备
SonicWALL互联网防火墙VPN安垒设备支持各种安全应用,并能提供功能强大的防火墙和VPN性能。SonicWALl,设备基于垒状态榆测防火墙技术,及一个设计用来确保VPN使能应用最大性能的专用安全处理器。以对防火墙、VPN、入侵防护、防病毒、内容过滤及获奖垒球管理系统(GMS)的综合支持,IT管理员可在安全、可靠地连接至其分支机构与远程雇员时,放心地用SonicWALL来保护其网络的安全。
另外,SonicWAIL公司的SSL卸载器还能无缝集成至一个内容交换环境中,并在优化web应用性能的同时提供可靠的安全。
SonicWALL系列互联网安全设备可提供对互联网威胁的高级防护。它们包括经ICSA认证的深度包检测防火墙、用于远程访问的IPSecVPN、IP地址管理特性以及对SonicWALI。增值安垒服务的支持等。
UTM-l具有高度集成、经实践检验的安全功能,包括防 火墙、入侵防御、防病毒、防间谍软件、网络应用防病毒、VoIP安全、即时通讯(IM)、二层隔离网络安全(P2P blocking)、Web过滤、URIL过滤以及实现安垒的站点到站点和远程接八连接。
业内可靠的防火墙技术,能强劲的IPSecVPN,可实现保护数百种应用程序和协议;功括的SSL远程接入,无须添加硬件配置;集成的入侵防御功能;网关防病毒,适用重要通讯协议;直观的硬件设置、诊断和恢复工具;网络应用防火墙和反间谍软件保护。
Websense Web Security Ecosystem
Websense Web SecurRy Ecosystem是网络安垒技术的集大成者,能够提供增强的安全保护,简化Websense Web安全解决方案在企业环境中的部署。Websense Web SecurityEcosystem整合了世界一流的安垒和网络技术,包括:网关、网络访问控制、安垒事件管理、身份管理和设备平台。通过无缝集成40多个不同的技术解决方案,Websense Web SecurityEcosystem可以帮助企业识别和减少基于Web的成胁和漏洞。
JUNOS 7.0软件不仅提供功能强火的操作系统,还提供丰富的IP业务工具包。JUNOS软件可提供无与伦比的IP可靠性和安全性,可确保可预测的高教IP基础设施。利用这个稳定的可用网络,客户能够灵活地分割流量、创建独特的应用环境、或部署可创收的IP业务。JUNOS软件在全球最大的1P网络中经过生产验证,能够帮助客户将IP基础设施转变成服务供应商获得持续经济成功的重要途径。
模块化:JUNOS软件采用模块化的软件设计,提供卓越的故障恢复能力并确保能够简单地集成IPv6等新功能;
路由专业技术:Juniper网络公司在IP路由方面的专业技术可全面补充增强用于生产的路由协议;
基于标准:严格遵守路由和MPLS行业标准以及协议平稳重启等可用性机制,为客户提高稳定性并降低运行复杂性。
安全性:JUNOS软件结合了智能数据包处理功能和卓越的性能,为客户提供了一个强有力的IP安全性工具包;
丰富的业务;无论是个人用户,企业客户或服务供应商,JUNOS IP业务系列使客户能够为各种类型的最终用户提供有保证的体验。
安氏终端安全管理解决方案TerminaI Guard
安氏着眼干企业安全管理中最为薄弱的终端管理的环节,推出了Terminal Guard,该产品实现了以集中管理为基础的终端保护,以资产管理为核心的管理系统,它从企业内终端安全出发,核心思想是集中管理和强制,提供了基于browser/serve和client/server相结合的全面终端安全管理解决方案。
Symantec Endpoint Protection
Symantec Endpoint Protection是赛门铁克多年以来市场领先的企业级防病毒的最新产品,在单一中整合了赛门铁克防病毒与高级威胁防护,为用户提供前所未有的防护,抵御各种恶意软件,从而保护便携式电脑、台式机和服务器的安垒。为了保护用户抵御当前威胁和未来新兴威胁,Symantec Endpoint Protection纳入了主动防护技术,自动分折应用行为和网络沟通,从而检测并主动拦截威胁。用户可获得单一解决方案,集成了防病毒、反间谍软件、防火墙、基于主机和网络的入侵防护方案以及应用和设备控制,并十分易于部署和管理。
Symantec Endpoint Protection通过整合赛门铁克屡获殊荣的技术,包括Sygate、Whole Security和Veritas,降低了与管理多重端点安全产品相关的管理成本。同时,赛门铁克全球智能网络、8家赛门铁克安全响应中心、4家赛门铁克安全运营中心、1.2亿个系统和部署干180个国家的4万多个传感器也将为其提供支持。卡巴斯基7.O单机版
卡巴斯基7.0单机版产品中,包含卡巴斯基互联网安全套装7.O单机版与卡巴斯基反病毒软件7.0单机版两款,以此来满足不同用户的信息安垒需求。
卡巴斯基实验室在7.0反病毒软件单机版这个新品中还赋予了三重保护防御技术,即基于特征码的精确病毒查杀、主动防御和启发式分析器。
基于特征码的精确病毒查杀,自动更新反病毒数据库;启发式分析器,前摄行为分析;主动防御,实时行为分析。以上三项技术独特结合可以达到准确、高效防御的效果,使用户的计算机安全达到前所未有的高度。
金山毒霸2007杀毒套装
1.针对中国特有的盗号木马、流氓软件、蠕虫病毒绞杀更彻底;
2.防堵黑客漏洞治标治本;
3.流行蠕虫病毒终身免疫首创流行病毒免疫器;
4.7×24小时垒天候主动实时升级.反应更迅速;每周l 7次以上病毒库主动更新-按月更新各种功能。
江民KV2008
KV2008采用了新一代智能分级高速杀毒引擎,占用系统资源少,扫描速度得到了大幅提升,同时KV2008新增了三大技术和五项新功能,可有效防杀超过40万种的计算机病毒、木马、网页恶意脚本、后门黑客程序等恶意代码以及绝大部分未知病毒。
江民KV2008三大技术包括强大的“自我保护’反病毒技术,系统灾难一键恢复技术以及双核引擎优化技术。“自我保护”技术采用窗口保护以及进程保护,可以有效避免病毒关闭杀毒软件进程,确保杀毒软件自身安垒。
系统灾难一键恢复技术可以在系统崩溃无法进入的情况下,一键恢复系统.无论是恶性病毒破坏或是电瞄用户误删除系统文件,都可以轻松还原到无毒状态或正常状态。
双核引攀优化技术,对KV2008基于双核和多核处理器进行了全面优化,扫描病毒时,双核或多核处理器同时启用多线程多硬盘数据进行扫描,使扫描速度得到r大幅提升。趋势科技中小企业无・陇安全解决方案v3.6
除了对Vista的支持以外,CSM3.6与上一代版本一样,针对目前日益猖撅的Web威胁提供了集成的防间谍软件保护、消除rootkit、封锁僵尸网络攻击.从而提供了可别抗传统与新型恶意程序的主动式防御。
趋势科技CSM3.6携“10247'’(1站式整合防护、0成本管理平台、24*7安全防护)的特点,延续了过去容易安装与使用的特性。让客户随时获得完整的保护。
CSM3.6特别针对中小企业的安全需求而设计,因此具备了中小企业专属的安全防护产品与单一步骤安装部署的便利性,可以一次部署、统一更新,而且通过单一管理界面就可以保护PC和服务器免受多种威胁。
绿盟冰之网络入侵检测系统
绿盟冰之眼网络入检测系统(ICEYE Network In- trumon Detection System,简称:ICEYE NIDS)是对防火墙的有效补充,实时检测网络流量.监控各种网络行为,对违反安垒策略的流量及时报警和防护,实现从事前警告、事中防护到事后取证的一体化解决方案。
入侵检测:对黑客攻击(缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问等)、蠕虫病毒、木马后门、间谍软件、僵尸网络等进行实时检测及报警,并通过与防火墙联动、TCP Killer、发送邮件、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令等方式进行动态防护。
行为监控:对网络流量进行监控,对P2P下载、IM即时通讯、网络游戏、网络流媒体等严重滥用网络资源的事件提供告警和记录。
流量分析:对网络进行流量分析,实时统计出当前网络中的各种报文流量。
联想网御UTM以USE(Uniform Secure Engine)统一安全引擎为基础,优化传统引擎。抽象数据模型、构造统一絮构,有效地将防火墙、VPN、防病毒、IPS、反垃圾邮件、Web内容过滤等多类安全引擎集成为统一的安全引擎,提供了卓越的功能和检测能力。
Power V UTM系列产品采用联想网御独创的VSP通用安全平台,将系统平台分为通用控制平面、数据平面、系统服务平面和硬件抽象平面,系统功能与资源管理分别工作在不同的空间平面。
联想网御UTM在集群设计中采用了MRP(Multi-LayersRedundant Protoc01)多重冗余协议,支持链路聚合、双机热备、负载均衡等功能。最高支持32台的设备集群和负载均德,具备会话表同步功能,为用户提了无与伦比的高可靠性。
东软NetEye异常流量分析与响应系统(Ntars)
主要用于骨干网络的监控检测和分析,通过对骨干网络流量信息和系统信息的收集,采用多种方法进行分析、检测,实时监控、检测骨干劂络中DoS/DDoS攻击、蠕虫病毒、垃圾邮件及其他网络异常事件,提取异常特征,井启动报警和响应系统进行过滤、阻断和防御。
启明星辰泰合信息安全运营中心(简称:TSOC)是国内目前应用最广泛的安全管理平台类产品,在政府、金融、能源、运营商、大企业等行业均实现规模部署。
启明星辰TSOC采用成熟的浏览器/服务器/数据库架构,由“五个中心、五个功能模块”组成。五个中心为漏洞评估中心、网络管理中心、事件/流量监控中心、安全预警与风险管理中心以及响应管理中心。五个功能模块为资产管理、策略配置管理、自身系统维护管理、用户管理、安全知阻管理。
“应用为本、开放融合”是扁明星辰泰合信息安垒运营中心的核心体现,具备垒面性,开放性和实用性三大突出特点。思科安全监控、分析和响应系统(MARs)
思科安全监控分析和响应系统(MARS)是一个高性能、可扩展的威胁管理、监控和防御设备系列,将传统安全事件监控与网络智能、上下文关联、因素分析,异常流量检测、热点识别和自动防御功能相结合,可帮助客户更为高效地使用网络和安全设备。通过结合这些功能,思科安MARS可帮助公司准确识别和消除网络攻击,且保持网络的安全策略符合性。
集中监控、集中事件库、数据减少、及时攻击防御、高度可扩展的部署、充分利用已有投资进行防御、先进的报告功能、端到端网络感知等。
天融信“银河”
篇6
电子商务的组成
在电子商务的运作过程中涉及到企业或个人的消费者、网上的商业机构、ca认证中心、物流配送体系和银行。它们通过internet网络连接在一起。
电子商务中的安全
internet是一个开放的公网,基于internet的电子商务给商家、企业和个人带来了新的机会,同时也给别有用心者留下了广阔的“施展”空间。在新型的交易环境下,安全是一切交易行为的基础,所谓安全,是指安全策略、安全标准、安全制度及安全流程的结合。
我们认为“安全=管理+技术”,安全是一整套体系,单点的安全防范技术都不能很好的解决问题。有效管理和采用完善的技术手段相结合组成了安全的体系,该体系安全程度的高低取决于体系中最薄弱的环节。我们常用的安全防范技术有防火墙技术、ca认证技术、数据加密技术和帐号口令技术。
1.防火墙技术
对于外部恶意攻击,针对“黑客”入侵,采用防火墙(fire wall)技术来防护。要使防火墙技术有效,所有接收和发送到internet的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许被授权的通讯业务通过,并且防火墙本身也必须能够免渗透,即系统自身对入侵是免疫的。
(1)数据包过滤技术
路由器是网络内外通讯的必须端口,因此,我们连接时采用包过滤路由器。它是一个检查通过它的数据包的路由器,限定外部用户的数据包。其原理是监视并过滤网络上流入流出的ip包,拒绝发送可疑的包。其实现方式是运用ip地址和端口号来进行限定处理。
(2)应用网关技术
建立在网络应用层上的协议过滤、转发功能,它特定的网关应用服务协议指定数据过滤逻辑,并可根据按应用服务协议指定数据过滤逻辑进行过滤的同时,对数据包分析的结果及采用的措施做登录和统计形成报告。
(3)服务技术
服务器是设置在internet防火墙网关的专用应用级编码。这种服务器由网络管理员决定允许或拒绝某一特定的应用程序或特定功能。服务器像一个内部网络与外界之间的边界检查点。两边应用可以通过服务器相互通信,服务器检查并确认这一通信是否授权通过。
2.ca(certificate authority)认证技术
为了保证秘密的信息不能被人非法获得,同时保证信息传输过程不能被篡改,交易的不可否认性、身份识别、网站不受非法攻击,通常还要采用ca认证和信息加密技术。常用的包括set协议和pki认证体系。
(1)set:安全电子交易(secure electronic transaction)
set协议是由visa和mastercard两大信用卡公司于1997年5月联合推出的规范。set主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。set中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
(2)pki:公共密钥基础结构(pubic key infrastructure)
pki(pubic key infrastructure)是一种易于管理的、集中化的网络安全方案。它可支持多种形式的数字认证:数据加密,数字签名、不可否认、身份鉴别、密钥管理以及交叉认证等。pki可通过一个基于认证的框架处理所有的数据加密和数据签名工作。pki必须具有认证机构(ca)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成份。
(3)ssl:安全套接层(secure socket layer)
ssl协议是由网景(netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。ssl是对计算机之间整个会话进行加密的协议。在ssl中,采用了公开密钥和私有密钥两种加密方法。set协议比ssl协议复杂,因为前者不仅加密两个端点间的单个会话,它还可以加密和认定三方间的多个信息。
三、电子商务业务模型及解决方案
1.商业机构对消费者的电子商务(b2c)
商业机构对消费者(business-to-customer)的电子商务,指的是企业与消费者之间进行的电子商务活动。这类电子商务主要是借助于国际互联网所开展的在线式销售活动。最近几年随着国际互联网络的发展,这类电子商务的发展异军突起。例如,在国际互联网上目前已出现许多大型超级市场,所出售的产品一应俱全,从食品、饮料到电脑、汽车等,几乎包括了所有的消费品。
开展商业机构对消费者的电子商务,障碍最少,应用潜力巨大。就目前发展看,这类电子商务仍将持续发展,是推动其他类型电子商务活动的主要动力之一。
商业机构对消费者(b2c)电子商务解决方案的基本组成部分为: (1)动态的html页面; (2)储存会员(客户)的信息,用其来进行会员认证及提供其他管理工具;
(3)实现“购物篮”功能; (4)服务器和管理的安全性; (5)客户信息安全管理; (6)管理和处理定单,应用商务规则来与客户完成交易; (7)进行其它产品和服务的宣传,并对该过程加以控制; (8)支持直销功能; (9)提供cross-selling销售和up-selling的机制和规则;
(10)方便储存数据(分类、定单、库存、日志等等)并且能够实现动态的访问;
(11)商品、交易以及商务系统的管理;
(12)价格促销的工具;
(13)分析流量和购买数据,获得商务智能和建立客户行为模型。
2.商业机构之间的电子商务(b2b)
商业机构对商业机构(business-to-business)的电子商务指的是企业与企业之间进行的电子商务活动。例如,工商企业利用计算机网络向它的供应商进行采购,或利用计算机网络进行付款等。这一类电子商务已经存在多年。特别是企业通过私营或增值计算机网络(value-added network,van)采用edi(电子数据交换)方式所进行的商务活动。
商业机构对商业机构的电子商务从未来的发展看仍将是电子商务的主流。商业机构之间的交易和商业机构之间的商业合作是商业活动的主要方面,企业目前面临的激烈竞争,也需要电子商务来改善竞争条件,建立竞争优势。企业在寻求自身发展的同时,不得不逐渐改善电子商务的运用环境。
供应链集成,也叫作价值链集成,利用了internet的低成本来实现供应商,生产商和发行商之间的更紧密的结合。许多关于建立网站,处理定单和接入原系统的基本要求和操作都可以包括在直销和销售方案中,而在供应链方案中产生了一些新的要求,如确认过的登入,为关键用户生成用户类,根据用户协议采取定价和支付的形式。
商业机构之间的电子商务解决方案的核心平台非常相似于商业机构对消费者解决方案。在商业机构之间的电子商务解决方案中,商家在向商家销售,而不是向个人销售。
商业机构之间的电子商务解决方案的基本组成部分为:
(1)动态的html页面;
(2)储存一个会员(客户)的信息,用来进行会员认证以及提供管理工具;
(3)实现”购物篮”功能;
(4)服务器和管理的安全性;
(5)客户信息安全;
(6)管理和处理定单;
(7)进行其它产品和服务的宣传,并对该过程加以控制;
(8)支持直销功能;
(9)提供cross-selling销售和up-selling的机制和规则;
(10)方便储存数据(分类、定单、库存、日志等等)并且能够实现动态的访问;
(11)商品、交易以及商务系统的管理;
(12)价格促销的工具。
3.企业采购 商家希望利用intranet和internet的杠杆作用使现有的业务进行的更加有效。这种商业模型的核心就是商务解决方案,它使得购买低成本的大量商品的过程更加容易,并且保证了一项业务的维持,修复和操作(mro)。
企业采购解决方案的基本组成部分
(1)企业采购解决方案设计成一个商业组织的成本结构,而供应链集成解决方案是在向着商品的直接贸易和生产方向努力;
(2)企业采购解决方案一般来说设计成一个基于intranet的解决方案,而供应链集成解决方案可以包含基于intranet的组件,但是大部分应用程序或者是基于internet的或者是基于extranet的;
(3)申请人能够在浏览器上被标准化;
(4)诸如象activex控件和dhtml的技术能够被用来实现图形化和功能化的传输丰富的web应用程序;
(5)集成采购到公司现有的安全和邮件的基本结构中,这样有助于消除额外的管理费用和加速routing/basic工作流;
(6)各种规模的公司无论大小和地点如何,都能交流购买定单信息,进行交易支付和传送产品;
(7)购买定单的输出形式可以多样化,这样参与的商家就可以选择一种与他们现有系统可以协同工作的共同形式;
(8)企业采购应用程序可以在一个站点内支持多个供货商;
(9)对企业的供货商的结构进行合理化,来获得更大的折扣率。
4.技术方案
根据用户的不同需要可以选择不同的主机平台和开发技术。
(1)技术方案1 操作系统:windows nt 4.0(service pack 4) 数据库平台:ms sql server 7.o web服务器:ms internet information server 4.0 web site server 3.0 开发技术:asp、dhtml、com组件技术等 (2)技术方案二 操作系统:sun solaris 数据库平台:oracle 8.0
篇7
随着IP网络建设的大发展。现在基于IP网络环境下的视频通信应用越来越普遍,不但一部分政府部门、大型企业采用基于IP的网络传输环境构筑专用的视频通信网,商业、企业更加倾向于将他们的视频通信系统构建在基于IP的传输环境中,以降低建设成本,特别是使用成本。
目前符合国际标准的视频通信应用模式。主要为遵循ITU组织H.323标准的系统。以及遵循ITEF组织SIP的系统。
经过几年的实际应用考验和不断改进。基于H.323的应用模式的应用体系非常成熟。相关产品在稳定性,连接的安全、可靠性等方面可以完全满足市场,特别是专业视频,多媒体会议的要求。由于H.323标准体系非常完备和严格。从而确保了基于H.323的众多产品所具有的良好互通互联性,这一点为H.323协议的大范围推广奠定了技术基础。基于SIP的视频应用是随着NGN的需求而日益得到市场的重视,特别是在3G背景环境下,越来越多的厂商相继推出了基于SIP的视频通信产品,以满足个人用户、移动用户对视频通信的需求。SIP提出的目的是在基于Internet环境中,实现多媒体通信的应用。它和HTTP、SMTP等ITEF的协议一样。是一种基于“文本”的通信协议。结构简单,便于扩充、扩展是SIP与H.323体系的明显区别。
二、视频通信在防火墙环境下的应用
和所有的网络应用一样,无论基于H.323标准还是基于SIP的,视频通信系统都不可避免地受到所依托网络环境的限制。这一点不但影响到视频产品选型、系统结构方案,同时对网络环境本身是否需要进一步改造都有着比较大的影响。在所有影响因素中,除了网络环境传输条件本身外,如何有效解决“防火墙”对视频系统的影响是所有用户、建设方以及视频厂商乃至网络厂商所不得不面对的一个“难题”。
从协议中对握手的定义来看,无论是H.323还是SIP。这个过程和保证网络安全的“防火墙”、NAT等机制是一对矛盾体。
对于目前经常使用的“防火墙”而言,为保证墙内内部网络的安全性,其工作机制一般是屏蔽掉外部数据对受保护网络中计算机的数据访问。而只开放少许的指定地址和通信端口,以保证Internet服务器等设备正常工作。
NAT则通过地址转换,一方面保护了内部网络中各计算机以免被外部恶意数据的直接破坏;另一方面也可以保证内部局域网络对有限公网地址的有效利用。
就目前企事业单位、国家机关的现有网络状况来看。标准的网络安全防护措施一般是“防火墙”和NAT同时使用,而且在所保护网络中开辟出一个DMZ区域供Internet和E-mail等服务器使用,而将所有办公计算机放置于受保护的内网,位于外网的数据只能到达位于DMZ区域的设备,而不能直接访问位于内网的设备,它们之间的数据传输则是通过位于DMZ区的各种服务器来实现。这样位于外网的视频设备A是不能直接和位于内网的设备B直接进行通信的。对于一般的数据应用而言。在这种网络结构下,位于内网的计算机可以访问外网的设备。但和常规的网络应用不同,基于H.323或SIP的视音频通信设备通信时,在握手的同时,发出呼叫申请的一端将自己本身的地址包括在有效的数据包中,设备B向A发出一个呼叫申请,A要根据数据包中的有效地址发出应答信息,而这个有效地址是一个内网的“私有”地址,该应答会被“防火墙”有效屏蔽。由于在指定的时间周期不能得到A端的应答信息。在B端会显示呼叫被拒绝。即使通过开放端口的手段后,A端的应答信息可以到达B端,建立连接,对于有严格合法性、“同源性”检查的H.323系统而言。视音频数据可以从B发送到A。但A的视音频信号难以到达B,这种现象在具体的视频通信网络建设过程中会经常看到。
为有效解决在有安全机制的网络环境中的视频应用,网络设备商已做了大量工作,相继推出了一些支持H.323,SIP的防火墙产品,而视频通信厂商则对标准H.323/SIP产品和系统体系加以扩充,推出了可以在NAY/防火墙环境中使用的视频产品。
下面就几种目前常见的解决方案进行简单介绍:
(1)开放网络/VPN
这种方法是直接将视频设备放置在DMZ区或直接放置在外网,这种办法不需要对现有网络进行大的改造,但这是以基本丧失对视频产品进行网络安全保护为代价的,同时由于和内网之间原有的“隔绝”没有消除。难以实现到桌面的视频应用。这种办法比较适合在全网有较好的安全保障的专网使用。或在VPN内部使用。
(2)选用支持NAT的视频产品
由于H.323产品在呼叫信息的有效数据包中包含了本地的地址信息,在经过NAT转换后,被邀请端设备难以给予有效应答,因而部分H.323产品通过在呼叫过程中,将有效的NAT映射地址取代本地私有地址来完成呼叫应答,解决了地址解析问题。如VTEL公司的VISTA系列产品,不但可以支持NAT的地址解析,还可以指定NAT端口,便于网络设置。这种方案对单一NAT机制比较有效,如ADSL等PPPOE网络环境下,可以不附加其他网络或H.323设备,就可以解决问题。
(3)服务器
H.323服务器是为解决防火墙/NAT环境下,实现H.323通信的一种“非标准”H.323设备。在标准的H.323系统中没有它的严格意义的定位。和Internet服务器一样,它同样被置于网络的DMZ区,在实际呼叫过程中所有的内外网的呼叫都通过它来“中继”。即服务器将一个呼叫转换成为由它发起的两个呼叫来完成,从而绕过了防火墙的限制。
使用服务器不需要防火墙/NAT设备以及H323设备的特殊支持,实现比较容易,但由于服务器本身能力的限制。对呼叫数量以及数据交互量的规模都有一定的影响,同时,使用H.323服务器对视频网络建设成本的影响,也是需要根据实际情况考虑的一个问题。如当本地只有一台视频终端时,使用服务器不是一个经济的解决方案。
相对于H.323服务器,SIP的灵活性使得SIP服务器解决方案更为简单灵活,通过位于公网的一个,注册服务器,可以较为简单和便宜地解决这个问题。目前Microsoft的MSN就是一个比较好的应用实例。
(4)使用应用层网关(ALG)
应用层网关也就是具有协议分析功能的防火墙产品,通过这些防火墙在判断数据是否可以通过时,不是简单地对IP数据包的包头进行分析,而是要对数据包中的具体数据进行相应的协议分析,并对视音频通信过程中所需求的数据通道进行动态打开,关闭,以保证视音频通信的正常进行。
现在许多网络设备商推出了采用ALG支持H.323和SIP的产品,可以在新建视音频网络时或进行网络改造时考虑。
(5)视频网关
为在标准H.323框架下解决防火墙/NAT对视频通信的影响,出现了一种“变形”的MCU。该产品一般由两个独立的网络接口分别和内网、外网连接,位于内外网的H.323设备分别和对应的端口进行连接,而视音频数据的交换则通过MCU本身来实现。采用该类产品在构造视音频通信网时。不需对网络结构进行改造,实现方法比较直接、简单。如VTEL公司的Codian MCU是这种产品的一个代表,采用双工作端口模式,不需要对内外网的规模进行预先定义,也不会对MCU总的处理能力有所影响,有较好的实际应用效果。
以上是目前经常使用的解决防火墙/NAT环境下实现视音频通信的方法,这些方法之间不是相互独立的。在一个实际的应用中可根据各个通信点的网络状态、使用情况以及建设成本等多方面因素进行综合考虑。
篇8
关键词:电力 无线网络 漏洞 自动化 解决方案
中图分类号:TN915 文献标识码:A 文章编号:1672-3791(2014)10(c)-0084-02
1 研究背景
近年来,全球的数据网络正以令人惊奇的速度发展,为信息的交流和经济的发展提供了高效的工具和便利的平台。随着电力建设的飞速发展,电力自动化数据网络也迅速扩大,正在向全面覆盖所有的电力企业迈进,电力系统数字化已是大势所趋。电力调度自动化系统、配电自动化系统、电量计费系统、电力市场技术支持系统及交易系统、电力客户服务中心系统、变电站自动化系统、发电厂监控系统、MIS 系统等,无一不是以高速的数据传输与交换为基本手段而建设的。电力自动化数据通信网络利用因特网、无线网等的工具和平台,在提高数据传输效率、减少开发维护工作量的同时,也带来了新的问题,这就是内部机密信息在网络上的泄密、以及被攻击破坏等。
随着计算机运算性能的提高,通信技术的不断发展,电力通信协议也在不断的改进,以适应通信数据类别、流量和实时性的要求。IEC60870规约系列规定了电力远动、继电保护数据、电能计费等多个方面的通信协议,甚至出现了104网络通信规约,以适应网络RTU在电力系统中的应用。各项信息安全技术也开始得到广泛的应用,但是仍然是以以下观点为基础开展的,电力数据网络的信息安全研究应该有所突破:
(1)电力通信网络的两个隔离。物理隔离作为国家的明文规定是建立在网络条件不如人意,网络威胁依然严重的情况下的,需要看到电力信息系统的开放性将是主流方向,基础研究应该突破这个框架开展一些前瞻性的工作。(2)重点防护监控系统,对通信数据网络的信息安全重视不足。虽然通信网络的安全威胁相比而言较小,但是由于电力通信对实时性和可靠性的要求,使得通信数据网络与电力监控系统的信息安全同等重要。(3)认为电力自动化通信没有安全问题,或者认为还不值得深入研究,电力信息使得任何安全研究都不能不重视其实时性的要求,因此自动化通信的信息安全研究开展不多,还需要进行大量的研究。
2 电力系统无线通信对于信息安全的需求
电力自动化管理系统无线网络中传输的数据非常混杂,从加密的技术角度来区分,可分为实时数据和非实时数据两类。
2.1 实时数据的数据特点
无线网络中传输的实时数据,其通信规约对时间的要求很严格,不允许较大的传输延迟;另一方面,实时数据的数据量相对较小,且数据流量比较稳定。主要包括:
(1)下行数据。包括遥控、遥调和保护装置及其他自动装置的整定值信息等。这类数据与设备状态相关,直接影响到电网的安全运行。安全要求和实时要求都很高。(2)上行数据。包括遥信、重要遥测、事件顺序记录(SOE)信息等。这类数据是电网稳定运行的判据,也是调度决策的依据,实时性要求很高。管理数据。如负荷管理、停电计划等管理信息系统(MIS)的重要管理数据。这类数据对保密性有一定要求。实时数据其数据流量稳定且时效性快,但是要求实时性高、可靠性高,其保密性和数据完整性的要求也高,因此对实时数据加密必须慎之又慎。
2.2 非实时数据的数据特点
无线网络中传输的非实时数据,其数据量一般较大,但时效性不高,可以允许一定的传输延迟。它主要包括电力设备的维护日志、电力用户的电能质量信息等。非实时数据实时性要求不高,但是对数据完整性和保密性有一定的要求,在数据加密中要注意选择合适的算法。
3 电力自动化系统的安全漏洞及解决方案
电力自动化应用系统,不论是电力负荷管理系统、电能量管理系统或是其它的应用系统,它的网络结构框图都可以归纳成图1所示。
3.1 中心站的安全隐患及解决方法
应用系统都有一个中心站,它包括前置机、服务器等硬件设备及配套的管理软件,它负责接收各个子站上传的数据并通过管理软件对数据进行分析、归纳和管理;另一方面,它也维护各个子站正常运行,并以下发命令的方式对子站进行操作管理;而且中心站还是本应用系统与其它的电力自动化应用系统进行数据共享和管理的一个数据接口。一般来说,中心站和子站之间以及中心站和其它应用系统之间的数据传输都是通过有线传输(如光纤)进行的。
中心站既是内部通信子站数据集中的一个节点,也是应用系统与外部进行数据收发的一个接口。只要攻击者侵入了该节点,整个系统的数据就相当于暴露在了入侵者的面前。而且一旦中心站出现了故障,即使其它的通信子站均运行正常,整个系统也无法正常工作了。正由于它的重要性和脆弱性,因此对于中心站就更是要进行重点防护。防火墙就是一种有效的网络安全保护措施,它可以按照用户事先规定好的方案控制信息的流入和流出,监督和控制使用者的操作。防火墙大量的应用于企业中,它可以作为不同网络或网络安全域之间的信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它能有效地监控内部网和 Internet之间的任何活动,保证内部网络的安全。
防火墙的目的是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet 等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。可见,防火墙处于可信网络和不可信网络边界的位置,是可信网络和不可信网络数据交换的“门户”,用来防止未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略,其性能、可用性、可靠性、安全性等指标在很大程度上决定了网络的传输效率和传输安全。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,从总体上来看,防火墙的基本功能有两个:一是隔离,使内部网络不与外部网络进行物理直接连接;二是访问控制,是进出内部网络的数据包按照安全策略有选择地转发。围绕这两个基本功能,大量与安全有关的网络技术和安全技术被综合进防火墙设备中,使防火墙地功能不断扩展,性能不断提高。概括地说,功能较完善的防火墙采用了以下安全技术:
3.1.1 多级的过滤控制技术
一般采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
3.1.2 网络地址转换技术(NAT)
利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的拓扑信息,同时允许内部网络使用自己编的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
3.1.3 用户鉴别与加密
为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。
3.1.4 审计和告警
对网络事件进行审计,如果发现入侵行为将以发出邮件、声响等多种方式报警。为了加强自动化应用系统的安全水平,需要在系统与其它网络的接口之间设置一套防火墙设备。这样既能防止外来的访问者攻击系统,窃取或者篡改系统数据;同时也能防止内部数据未经允许流向外部网络。如图1所示,在公网通信中,除了自动化系统与其它应用系统的接口外,子站采集自终端的数据要发送到中心站,也要通过 Internet网络进行传输,这就给攻击者提供了一个侵入的端口。因此要在这两处均安装防火墙设备,来保证系统的安全运行。在专网通信中,由于整个通信网络是一个相对独立的网络,因此中心站了通信子站之间就不必加装防火墙了。
3.2 无线终端的安全防护手段
无论是哪种无线网络,都有若干数量的无线终端,它们是通信系统的最基本的组成结构,通过通信子站与中心站进行通信。因为无线终端的数据众多,也使它们往往成为系统安全漏洞所在。对于应用系统而言,保护系统信息安全与保护系统业务正常是同等重要的。保护系统信息安全首先必须保证信息访问的安全性,要让不该看到信息的人不能看到,不该操作信息的人不能操作。这方面,一是要依靠身份认证技术来给信息的访问加上一把锁,二是要通过适当的访问控制模型显式地准许或限制访问能力及范围。这就引出了两种信息安全技术:身份认证技术及访问控制技术。通过这两种技术手段,就能有效的解决以上的两个安全问题。对于自动化应用系统来说,系统内的终端用户只是采集电力用户数据并上传给服务器,并不存在越权访问系统信息的问题。因此采用身份认证技术就足以解决无线终端的信息保护问题了。
身份认证是指被认证对象向系统出示自己身份证明的过程,通常是获得系统服务所必须的第一道关卡。身份认证需要证实的是实体本身,而不是象消息认证那样证实其合法性、完整性。身份认证的过程一般会涉及到两方面的内容识别和验证。识别,就是要对系统中的每个合法注册的用户具有识别能力,要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符。验证是指访问者声明自己的身份后,系统还必须对它声称的身份进行验证。标识符可以是非秘密的,而验证信息必须是秘密的。
身份认证系统有两方认证和三方认证两种形式两方认证系统由被认证对象和认证方组成,被认证对象出示证件,提出操作要求,认证方检验被认证对象所提供证件的合法性和有效性三方认证系统除了被认证对象和认证方外,还有一个仲裁者,由双方都信任的人充当仲裁和调节。建立一个身份认证系统的应满足的是:1)可识别率最大化:认证方正确识别合法被认证对象身份的概率最大化;2)可欺骗率最小化:攻击者伪装被认证对象欺骗认证方的成功率最小化;3)不可传递性:认证方不可以用被认证对象提供的信息来伪装被认证对象;4)计算有效性:实现身份认证所需的计算量要小;5)安全存储:实现身份认证所需的参数能够安全的存储;6)第三方可信赖性:在三方认证的系统中,第三方必须是双方都信任的人或组织或可信安全性身份认证系统所使用的算法的安全性是可证明和可信任的。
电力自动化系统内部使用身份认证技术,在每一个无线终端的实体上增加了一道安全防护,如图2 所示。在进行数据传输之前,验证对方是否是系统内的合法用户。可以防止入侵者伪装成内部用户,获取系统数据。
3.3 保护系统信息安全的常用方案-算法加密
除了以上的信息安全技术之外,算法加密技术是一种被普遍应用的安全技术。它在发送方将要发送的数据根据一定的算法进行加密,变成不可识别的密文;而在接收方通过对应的解密算法再将密文转化为明文。从而保证数据在传输过程中的保密性。
4 结论
该文研究了电力自动化无线通信系统中的信息安全问题。随着电力自动化无线通信技术的快速发展,对网络信息安全的要求也不断提高。无线通信技术有着其自身的特点,要求的安全解决方案也与其他不同。需要既保证无线信道的带宽,又要有效地提高系统的安全防护强度。
参考文献
[1] 孙毅,唐良瑞,杜丹.配电自动化中的通信网解决方案[J].燕山大学学报,2004,5(28):423-426.
[2] 宋磊,罗其亮,罗毅,等.电力系统实时数据通信加密方案[J].电力系统自动化,2004,28(14):76-81.
篇9
关键字:防火墙;网络安全;内部网络;外部网络。
一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
其实防火墙就好像在古老的中世纪安全防务的一个现代变种:在你的城堡周围挖一道深深的壕沟。这样一来,使所有进出城堡的人都要经过一个吊桥,吊桥上的看门警卫可以检查每一个来往的行人。对于网络,也可以采用同样的方法:一个拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过一个电子吊桥(防火墙)。也就是说防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
二、防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:
1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;
2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;
3、防火墙本身不受各种攻击的影响;
4、使用目前新的信息安全技术,比如现代密码技术等;
5、人机界面良好,用户配置使用方便,易管理。
实现防火墙的主要技术有:分组筛选器,应用网关和服务等。
(1)分组筛选器技术
分组筛选器是一个装备有额外功能的标准路由器。这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。
通常,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,拥塞的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个UNIX设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成,端口表明希望得到什么样的服务。例如,端口23是用于Telnet的,端口79是用于Finger分组,端口119是用于USENET新闻的。一个公司可以拥塞到所有IP地址及一个端口号的分组。这样,公司外部的人就不能通过Telnet登陆,或用Finger找人。进而该公司可以奖励其雇员看一整天的USENET新闻。
拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多筛选分组器只是拦截UDP分组流。
(2)应用网关技术
应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户(3)服务
服务器(ProxyServer)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。提供代替连接并且充当服务的网关。
在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。超级秘书网
三、防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。
参考文献:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
[2]AndrewS.TanenbaumComputerNetworks(ThirdEdition),PrenticeHallInternational,Inc.1998.
篇10
银澎云计算旗下的主要产品有:
云主机:通过对计算与存储资源的聚合和虚拟化,给用户带来高效、低成本、按需供给、灵活使用的计算与数据服务。
云加速:将网站静态内容于离用户最近节点,用户使用时可就近获得所需数据。
云会议:公司旗下“好视通”云会议平台是国内领先的云会议服务领导品牌,拥有多项创新核心技术优势,产品已成功地广泛运用于全国教育、培训、金融、物流、通信、政府等行业和领域,企业荣膺国家级高新技术企业和双软企业等科技认证。
云存储:致力于打造具备大数据集中存储、自助云备份、发送共享和管理服务的私有云平台。该平台是针对企业、政府、学校、科研、传媒等企业级用户应用而开发的,适用于任何机构内部或内外之间的电子文档存储管理、网络服务、传阅签收、公文审批等业务流程,便于机构全体、部门、个人的电子文档共享,有关文档按机构、部门、项目组、职员进行严格管理,实现对文件的严格管理与可控共享。
云数据中心:银澎云计算自建的银澎百盛云计算数据中心,是国家五星级超大云计算数据中心,总投资3亿元,建筑面积达18000平米,最大可容纳6000个机柜、80000台服务器,是目前国内少有达到T3+级别的云数据中心,可为客户按需提供优质的云计算数据资源和高级别的安全保障服务。云计算数据中心主要业务包括服务器托管、服务器出租、机柜租赁、系统维护以及其他支撑、运行服务等。同时,银澎云计算依托国内领先的五星级云计算数据中心资源,凭借深厚的行业经验、雄厚的技术研发能力和卓越高效的服务保障体系,为广大客户提供高弹性、高性能和高安全的云计算整体解决方案。
