随着网络应用的日益广泛，网络安全问题已成为信息时代人类共同面临的挑战，国内安全问题日益突出。各种大型企业或单位也将通过网络与用户及其他相关行业系统之间进行交流，提供各种网上的信息服务。但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击，所以网上信息的安全和保密是一个至关重要的问题。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。这些都使信息安全问题越来越复杂。所以网络的安全性也就成为广大网络用户普遍关心的问题。无论是在局域网还是在广域网中都存在着自然和人为等诸多因素的脆弱性和潜在威胁。因此需要建立一个功能齐备、全局协调的安全技术平台，给内部网络用户与外部网络用户之间建起了一道安全的屏障，从而有效地抵御外来攻击，防止不法分子的入侵。

一、安全威胁

　　互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题：

• DOS/DDOS攻击、DNS欺骗攻击，会造成服务器服务的中断，影响业务的正常运行。
  
• 内部用户通过扫描软件或取其他用户系统或服务器的各种信息，并利用这些信息对整个网络或其他系统进行破坏。
  
• 病毒，尤其是蠕虫病毒爆发，将使整个网络处于瘫痪状态。
• 垃圾邮件已经成为网络安全的又一种重大威胁，垃圾邮件或邮件炸弹的爆发将使网络带宽大量被消耗，邮件服务器系统资源消耗殆尽，不能够进行正常的邮件转发服务。
• 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
• 不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏，如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
• 员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。
• 随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。

  二、威胁对策

  　　针对现有网络信息系统存在的各类安全问题，我们提出一套既能解决实际问题又能满足国家对于信息安全要求的解决方案。

  2.1防火墙

  　　主要是INTELNET入口处使用网络防火墙产品实现各种关键应用服务器与其它所有外部网络的隔离与访问控制，通过配置防火墙安全策略对所有服务器的请求加以过滤，只允许正常通信的数据包到达相应服务器，其它的请求服务在到达主机前就遭到拒绝，当网络出现攻击行为或网络受到其它一些安全威胁时，进行实时的检测、监控、报告与预警和及时阻断。同时，当事故发生后，应提供黑客攻击行为的追踪线索及破案依据，有对网络的可控性与可审查性；

  2.1.1防火墙作用

  防御网络攻击

• 防火墙可以防范各种网络攻击，能够查找到攻击的来源和类型，能够对这些攻击进行反应；
• 对网络访问接入点的保护应该对相关组件与网络的性能造成尽可能少的影响；
• 抗DOS/DDOS攻击：拒绝服务攻击（DOS）、分布式拒绝服务攻击（DDOS）就是攻击者过多的占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制，防止DOS黑客攻击。所以通过防火墙上进行规则设置，规定防火墙在单位时间内接到同一个地址的TCP全连接、半连接的数量，如果超出这个数量便认为是DOS/DDOS攻击，防火墙在设定的时间内就不接受来自于这个地址的数据包，从而抵御了DOS/DDOS攻击；
• 防止入侵者的扫描：大多数黑客在入侵之前都是通过对攻击对象进行端口扫描，收集被攻击对象开放什么端口、什么服务、有何漏洞、哪些用户的口令弱等信息，然后再展开相应的攻击。通过防火墙上设置规则：如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接，便认为是扫描行为，并截断这个连接。从而防止入侵者的扫描行为，把入侵行为扼杀在最初阶段；
• 防止源路由攻击：源路由攻击是指黑客抓到数据包后改变数据包中的路由选项，把数据包路由到它可以控制的一台路由器上，进行路由欺骗或者得到该数据包的返回信息。通过在防火墙上配置规则，禁止TCP/IP数据包中的源路由选项，防止源路由攻击；
• 防止IP碎片攻击：IP碎片攻击是指黑客把一个攻击数据包分成多个数据据包，从而隐藏了该数据包的攻击特征。通过在防火墙上设置规则防火墙在进行检查之前必须将IP分片重组为一个IP报文，而且这个报文必须具有一个最小长度以包含必要的信息以供检查，从而防止了IP碎片攻击；
• 防止ICMP/IGMP攻击：许多拒绝服务攻击是通过发送大量的ICMP数据包、IGMP数据包实现的。通过在防火墙上设置规则，禁止ICMP/IGMP数据包的通过防火墙，保证系统的安全；
• 阻止ActiveX、Java、Javascript等侵入：防火墙能够从HTTP页面剥离ActiveX、JavaApplet等小程序及从Script、PHP和ASP等代码检测出危险的代码，也能够过滤用户上载的CGI、ASP等程序；
• 其他阻止的攻击：通过在防火墙上的URL过滤可以防止一些来自于系统漏洞的攻击（例如：通过配置规则禁止访问../winnt/system32/cmd.exe?/可以防止WINDOW NT/2000 的UNICODE漏洞以及其他CGI漏洞攻击：/Cgi-bin/phf、cgi-bin/count.cig、_vti_pvt/service.pwd、cfdocs/expeval/ openfile.cfm等）、和一些病毒的攻击（例如：禁止default.ida可以防止红色代码的攻击）；
• 提供实时监控、审计和告警：通过防火墙提供对网络的实时监控，当发现攻击和危险代码时，防火墙提供告警功能；
  

  访问控制

  　　访问控制也是防火墙的主要作用，对访问进行灵活的控制，从而确保只有授权许可的访问才能穿越防火墙，具体内容如下：

• 提供基于状态检测技术的对象式访问控制：访问控制对象定义灵活，可以为IP对象、域名对象、NAT对象、代理对象、用户对象、用户组对象、时间对象等；
• 高效的透明代理实现细粒度应用级访问控制：提供应用级透明代理，对常用高层应用（HTTP、FTP、SMTP、POP3、NNTP、TELNET）做了更详细控制，如HTTP命令（GET，POST，HEAD）及URL，FTP命令（GET，PUT）及文件控制，从而对重点服务器的安全保护，如控制用户访问的路径，控制用户的“读”、“写”权限等。
• 支持邮件过滤和内容安全审计：实现URL阻断及HTTP、FTP、SMTP、POP3、NNTP协议下交互操作命令和指令的过滤，保护应用的安全。例如，管理员可以控制用户是否可以访问WWW服务器上的某个页面，是否过滤页面中java,vbscript,javascript组件，也可以查看内部网用户发出的邮件，控制用户访问的新闻组等等。

  2.2入侵检测系统

  　　其次由于防火墙内置的入侵检测模块功能较为单一，因此为增加防火墙的防御能力以及主动响应能力，我们需要与入侵检测系统相结合，使原本孤立的各种不同安全产品与防火墙系统的有机联动和协同工作，构成一个完整的积极防御的安全体系平台。通过防火墙与入侵检测系统的联动，实现了动态地、自适应地调整安全策略，通过配置动态规则实现了动态过滤，从而大大提高了整个系统的安全性。其次对付“拒绝服务”攻击有效的方法，是只允许跟整个Web站台有关的网络流量进入，就可以预防此类的黑客攻击，尤其对于ICMP封包，包括ping指令等，应当进行阻绝处理。通过安装非法入侵侦测系统，可以提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当窃取者入侵时可以立刻有效终止服务，以便有效地预防企业机密信息被窃取。

  如：IDS在网络主机上检测到入侵后通知防火墙，防火墙生成动态规则实现对入侵行为的控制和阻断，如结束当前会话或在一定时段阻断来自特定源的所有连接请求；最后防火墙将处理结果通知IDS。

  2.3杀毒软件

  　　第三从病毒发展趋势来看，现在的病毒已经由单一传播、单种行为，变成依赖互联网传播，集电子邮件、文件传染等多种传播方式，融黑客、木马等多种攻击手段为一身的广义的“新病毒”。计算机病毒更多的呈现出如下的特点：与Internet和Intranet更加紧密地结合，利用一切可以利用的方式(如邮件、局域网、远程管理、即时通信工具等)进行传播；所有的病毒都具有混合型特征，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏性大大增强；因为其扩散极快，不再追求隐藏性，而更加注重欺骗性；利用系统漏洞将成为病毒有力的传播方式。因此，在内网考虑防病毒时选择产品需要重点考虑以下几点：防杀毒方式需要全面地与互联网结合，不仅有传统的手动查杀与文件监控，还必须对网络层、邮件客户端进行实时监控，防止病毒入侵；产品应有完善的在线升级服务，使用户随时拥有最新的防病毒能力；对病毒经常攻击的应用程序提供重点保护；产品厂商应具备快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案；厂商能提供完整、即时的反病毒咨询，提高用户的反病毒意识与警觉性，尽快地让用户了解到新病毒的特点和解决方案。

  2.4风险管理系统

  　　风险管理系统是一个漏洞和风险评估工具，用于发现、发掘和报告网络安全漏洞。一个出色的风险管理系统不仅能够检测和报告漏洞，而且还可以证明漏洞发生在什么地方以及发生的原因。它就象一个老虎队一样质询网络和系统；在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞；还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。这就使得风险分析更加精确并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。

  三、多层防护作用

  　　即使网络中的入侵检测系统失效，防火墙、风险评估和防病毒软件还会起作用。配置合理的防火墙能够在入侵检测系统发现之前阻止最普通的攻击。安全漏洞评估能够发现漏洞并帮助清除这些漏洞。如果一个系统没有安全漏洞，即使一个攻击没有被发现，那么这样的攻击也不会成功。即使入侵检测系统没有发现已知病毒，防火墙没能够阻止病毒，安全漏洞检测没有清除病毒传播途径，防病毒软件同样能够侦测这些病毒。所以，在使用了多层安全防护措施以后，企图入侵你的公司的信息系统的黑客要付出成数倍的代价才有可能达到入侵目的。这时，你的信息系统的安全系数得到了大大的提升。

  四、技术支持与服务

  　　哈尔滨华泽数码科技有限公司是一家立足于中国计算机信息安全服务和软件开发的企业，从事网络信息安全多年为广大用户提供实用的安全解决方案、服务和产品，进行全方位、有效的安全服务的公司。公司成立于1995年，并与国内外著名的计算机网络安全产品的和产商建立了稳固的合作伙伴关系，也是天融信公司在黑龙江省的核心经销商，所以在厂商支持上有非常大的优势。尤其在安全设备上可以为用户提供比其他集成商更多、更全、更快捷的服务。我公司多年服务于教育、银行、电力、消防、政府、金融、保险、制造业等重点行业与用户结成了长期的战略伙伴关系，并始终占有强大的市场份额。在扎实的技术积淀和丰富的行业经验基础上，哈尔滨华泽数码科技有限公司充分整合人才、技术、资金和服务优势，为客户提供各种有关信息安全与信任的专业技术服务、咨询、竭诚为用户提供符合国际标准的，先进、易用、可扩展的安全服务。努力为发展民族计算机安全产业不断做出新的贡献。