网络安全集成方案.docVIP

网络安全集成方案 目 录  第一章 网关安全 3 一、 全性 3 二、 加密 3 三、 性能 3 四、 容量 4 五、 灵活性 4 第二章 NetScreen的优势 7 第三章 企业局域网防病毒 8 一、 计算机病毒发展趋势分析 8 二、 病毒入侵渠道分析 9 三、 潜在病毒威胁分析 10 四、 成熟、完整的防毒解决方案 11 1、防毒墙技术的领导者 11 2、整体服务器、群件服务器市场排第一 11 3．入侵检测系统（Intrusion Detection System） 12 网关安全 网络安全首先是边界安全即网关安全，在企业网关处加入防火墙。选择按全方案需要考虑多方面的因素：安全性、加密、性能、容量、灵活性、稳健性 全性安全设备装置除了提供状态检验的防火墙及存取监管，更须拥有多项入侵防护和警报功能，确保整个网络更加稳固。有关设备装置不应依赖普遍性的作业系统作为防火墙的软件平台，因为这类平台的弊病是很容易被侵入破坏，且需要进行定期修补和更新。由于很多安全问题同时涉及多个类别，以下将逐一进行探讨。 加密 在今天的环境下，企业一般希望他们的VPN设置完全符合自身的整体安全情况。这衍生了一个问题：‘VPN通道的终点应该设在哪处地方才最为安全？’答案自然是防火墙，不过这样对传统防火墙的性能产生了很严重的问题。由于IPSec加密需要进行密集的电脑运算，当在一般用途的电脑平台运作时（正如大多数传统防火墙）其性能表现非常差劲，防火墙的传输速率亦大受影响。即使加上专用的VPN硬件加速卡，个人电脑的结构只会使VPN性能出现轻微改善。 供应商之间为系统设置VPN互通性能是另一个必须考虑的因素，尤以现今营运的环境倾向企业合并、建造企业外联网络，将工作外包给服务供应商及通勤VPN用户的诞生。远端分支站点设立的VPN所面对的安全威胁与中央网络大致相同，然而这问题经常为人所忽视。远端工作人员和分公司一般会使用本地互联网络或企业VPN接入，但这无形中让企业受到‘U型’攻击的机会大增，入侵者可以通过分支站点设立的VPN进入网络，然后通过VPN通道进入企业内部网络。VPN专用设备装置可以进行设置，过滤所有并非前往或来自企业VPN网络的流量，但是由于企业网络连接互联网络多了一层阻隔，这会引起远端节点出现传输延误和可能的网络堵塞情况。与中央网络的配置一样，将VPN通道的重点设在企业管理的防火墙可以改善安全和营运上的问题，只需要一个在性能和容量方面都适合的站点设置。 性能 　　除了需要支援高性能的VPN流量外，企业防火墙必须能够应付公司为提高收入而进行的销售和市场推广活动所产生的额外流量。 这些促销活动的目标，旨在发挥因特网的力量（E-mail广告、banner广告、通讯刊物的宣传赞助），以此吸引消费者登录公司网站浏览，从而透过电子商务直接满足客户的需要，或者获取客户资料作为将来行销之用。不过，所有行销活动都会带来一个副作用，便是引起骇客的注意。 　　这些推销活动会直接或间接地加重企业防火墙的负荷，并提高出现系统故障或被侵袭的情况。局部故障最严重的例子是防火墙成为瓶颈，令客户流量传输变得缓慢不已。在现今商业环境下，一个运作迟缓的网站是完全不可接受的，一旦发生这种情况，公司的声誉和收入会受到沉重打击。 　　企业将部分基础设施外包给服务供应商的主要原因之一，是希望获得更多的频宽、更完善的备援机构，以及在Web和电子商务方面得到更高水准的专业服务。因此，相比选择不外包的企业，对服务供应商在各方面的原需求为高，包括传输速率、会话（session）或VPN通道数目，以及处理尖峰流量负载的能力。同时，服务供应商必须根据服务水平协议（SLA）为客户提供一定的服务水平，以免负上金钱赔偿的责任，故此他们自身的系统架构，在设计上皆足以应付尖峰流量负载，而且所有组件设备装置的性能容量皆预留一定的空间。 容量 　　VPN中央站点需要一个在传输速率和支援的通道数目方面具备可扩展性的安全方案，因为家庭办公人员、远端工作人员、分公司和内部网络的伙伴全部将VPN通道的终点设于中央站点。此外，中央站点方案也需要支援数以千计的并发VPN通道，以及可选择支援中转站（Hub and Spoke）的配置，让各分公司之间可以互相联系，而不需建立错综复杂的VPN拓扑网络。 　　企业防火墙通常利用数据包状态监测追踪每个离开和进入企业网络周边的会话。一旦防火墙达到可以处理的最高会话数目的容量时，所有新的会话将不会获准经过防火墙，直至完成处理现有会话为止。对网站而言，这是一个非常严重的问题，因为用户浏览每一版网页，已经包含众多个并发HTTP会话。换言之，受欢迎网站的防火墙需要同时处理数以万计的并发会话。在达到尖峰流量负载期间，一道防火墙可以处理新用户的流量是极为重要的，这容量一般称为斜率（ramp rat