网络安全管理防火墙系统改进状况.pptx

“高能所网络安全管理”课题2002年年终总结 防火墙系统改进状况 防病毒系统的部署与效果 安全网站和数据库系统 网络安全课题软件开发进展 目前高能所网络安全总体评价 下一步完善高能所网络安全 Internet 网络① 一般用户， 受限用户 网络② 有对外合 作的用户 网络①的计算机不能被所外网络访问，但可以主动向外访问Internet和网络② 网络②的计算机可与Internet相互访问，但不可以主动连接网络① 防火墙 网络 ③ 公用网络 服务器 网络③与网络②类似，但仅用来连接高能所的公用网络服务器组 通过防火墙对高能所网络分类 Internet 经过防火墙NAT后访问Internet 直接穿透防火墙访问Internet 防火墙 通过代理服务器访问Internet 网络用户经防火墙上网的途径 代理服务器 实际的防火墙系统网络拓扑结构 中心交换机 Internet 路由器 防火墙 集线器 路由器 公用电话网 Switch集线器 Switch集线器 双防毒墙 网络监视设备 允许被从所外访问的服务器 Ftp: 30/26 Wins: 38/26 Web: 9/26 Nsg: 42/26 Proxy1: 36/26 Proxy2: 37/26 Kill: 39/26 Sec: 72/26 (28/27) (60/27) (28/26) 高能所内网 (/26) (92/27) 30/27 31/27 93/27 32/27 70/26 /26 29/26 71/26 73/26 2/26 1/26 andh: 33/27 nsmg: 42/27 防火墙安全策略的制定原则 对绝大多数计算机用户授权NAT方式访问Internet； 将有特殊（需要被从所外向内访问）的用户计算机安放在计算中心专门的保护区； 对不能移到计算中心，但又需要与特定所外单位相互通讯的计算机，按IP地址和协议设置相应的保护策略； 对仅在所内通讯的计算机设置不允许穿越防火墙的安全保护策略。 防火墙安全策略查询方法 为使用户知道自己使用的计算机正处于哪种被保护状态，以便于确定能执行何种权限的网络操作，在高能所网络安全网站（)上公布了高能所内所有计算机的安全类别，用户可根据自己计算机的安全类别判断是否满足自己的工作需要，并可向计算中心申请修改保护方式。 防病毒系统的部署与效果 网关型防病毒系统结构 服务器/客户端方式的防病毒系统 防病毒软件部署后的效果 病毒截杀情况统计详表 防病毒安全服务机制 InterScan防毒网关 邮件服务器 进、出邮件均受到防毒网关保护，实现方法： 进：将Mail服务器、Sun服务器的MX纪录均指向防病毒网关，这样外部进入的邮件先经过防病毒网关的过滤，再由防病毒网关自带的SendMail发送给内部邮件服务器。 出：将Mail服务器、Sun服务器外发邮件全部指向防病毒网关，由防病毒网关过滤后由自带的SendMail发送给外部的收件人 客户的HTTP请求受到防毒网关保护，并且客户端不需要更改设置，实现方法： 在代理服务器上打开Cascade功能，将所有客户端的http请求转发到防病毒网关。 防病毒网关本身也是一个代理服务器，将收到的请求发送给Internet，并将传回的网页经过扫描后传递回代理服务器，再由代理服务器交给客户端。 因此在下载大文件时，一开始会很慢，因为正个文件回先下载到防病毒网关，经过扫描后经由代理服务器载传递给客户 客户的FTP请求受到防毒网关保护，但需要按照如下方式操作： 例如下载站点为，，使用的用户名为anonymous,密码为1@，客户端必须在命令行模式下： ftp (ftp到防病毒网关) User (:(none)): anonymous@ Password: 1@ 然后使用ftp命令正常下载 网关型防病毒系统结构 服务器/客户端方式的防病毒系统 Kill防病毒软件安装情况： 截至2002年12月10日，累计安装kill客户端杀毒系统已达731台。 Kill防病毒软件升级情况： 自7月份安装以来，共升级了41次，平均每周2次。 网关防毒 InterScan VirusWall 统计结果： 自从2002.7.11 -- 2002.12.10，总共截杀Email病毒12693个，平均每天截杀Email病毒83.5个；总共截杀HTTP病毒2020个，平均每天截杀 13.3个。在 7月16 日新病毒password 传播时，防病毒 1891 个，7 月22 日防病毒428 个。 防病毒软件部署后的效果 病毒截杀情况统计详表 防病毒安全服务机制 由计算中心为高能所全体用户做技术支持： 紧急情况立