网络安全需求分析

在企业的内部网络里，根据不同的业务安全要求等级，布设不同类型性能的防火墙，进一步从网络层保障结构安全，内部的服务系统、业务应用服务器等放置在军事区（安全区）。对外的网站系统、业务发布平台等放置在非军事区，提供内部和外部用户的访问接入。连接Internet处可以充分考虑采用冗余结构布置防火墙。为了进一步与外网系统物理隔离，可以选择物理网闸设备连接Internet。

网络的性能结构上面首要的保证整个网络层次的安全体系，充分考虑实现如下内容：

1、满足桥模式、VLAN、ADSL拨号等形式接入，可以满足多种网络环境的需要。

2、通过多重地址转换（MAT）功能，可以保护内部网络服务器的安全，又可以分散外部服务到不同的IP地址。通过端口转换，为服务指定特定的端口，增强了系统的安全性。

3、可以作为DHCP服务器又可以充当DHCP客户机，以实现对动态IP 的支持功能。

4、支持策略路由，即根据通讯源地址和目标地址来做出路由选择，可以将内网流量分摊到多个网络出口，增加用户带宽。

5、多台服务器之间的负载均衡；同时做到心跳线和VRRP两种方式的双机热备份。全交叉冗余链路，两台防火墙同时工作进行流量均衡，同时进行端口备份，从而提高整个系统的稳定性和容错性。

6、支持Tcp/Ip协议簇的各种协议。支持802.1Q VLAN、SNMP网管协议、DHCP协议，GRE、IPSEC、PPTP……。

7、提供透明模式、路由和NAT方式下对多种多媒体协议的支持，包括

H.323、MSN/SIP、MMS等。

七、应用层解决方案

应用层就是针对客户的实际应用，要求做到提供强大的数据传输加密功能，提供详实的审计日志服务，提供安全的管理服务。资源对象的合理

访问控制，建立基于双向的身份认证机制。

为应用层提供安全的保障措施应充分考虑实现如下内容：

1、Syn代理技术防止Dos、D-Dos攻击。

2、对常见病毒端口可以在数据链路层进行主动丢弃。

3、访问模式匹配功能，可根据需要有效地防止木马软件以及QQ，BT 等软件。

4、IDS功能，安全级别，抗攻击功能。防范各种拒绝服务攻击、端口扫描、IP欺骗等攻击手段。

5、提供对可能的危险信息或容易挤占网络带宽的数据的过滤，如URL 攻击检测、URL关键字、对HTTP协议中携带的Java Applet、JavaScript、ActiveX脚本、Servlet、CGI、PHP、图像、音频视频、Flash等信息的过滤，提供对PROXY方式下的内容过滤和HTTP、FTP、SMTP、POP3协议的深度内容过滤。

6、IP与MAC地址绑定的功能；对VPN通信的安全控制；带宽流量管理，可以有效的对用户进行带宽流量控制；对单IP进行连接数限制，用户自定义最大并发连接数；多出口的路由均衡。

7、安全的管理功能：本地管理和远程管理两种方式。

8、智能日志审计与状态监视。

9、安全性扩展功能：与入侵检测器的无缝衔接，同时提供开放的IDS 接口。

10、统一用户认证功能：进行用户级鉴别和过滤控制；支持多种认证方式，包括防火墙自身实现的用户认证和扩展的RADIUS、LDAP认证。

11、多级过滤措施：可以根据网络地址、网络协议以及TCP、UDP 端口进行过滤。

八、平台解决方案

实现网络化、自动化信息交流及办公，维护整个网络的正常运行和信息安全，及时高效地处理病毒是平台解决方案的一个重要环节。病毒在网络中存储、传播、感染的方式给整个系统的安全造成隐患，合理的构建网络防毒系统，设置相对应的防病毒软件，通过全方位、多层次的防毒系统配置，使整体网络应用平台免受病毒的入侵和危害。

网络防病毒安全的保障措施应充分考虑实现反病毒安全解决方案，使内部范围的防病毒管理易于维护和管理。可以在每个进入点抵御病毒和恶意小程序的入侵，保护网络中的PC机、服务器和Internet网关。采用功能强大的管理工具，自动进行文件更新，使管理和服务作业合理化，并可用来控制中心管理内部范围内的反病毒安全机制。形成的目标：从桌面到整个企业系统，优化系统性能、解决及预防问题、处理管理事务和执行正常的管理工作、保护内部免受攻击和危害、降低成本并提高用户工作效率。

九、网络安全体系结构模型

1、安全体系结构框架

2、物理安全构架

3、网络安全构架

4、信息安全构架

十、结束语

随着网络应用的深入普及，网络安全越来越重要，国家和企业都对建立一个安全的网络有了更高的要求。文中在所提出的网络安全系统设计框架的基础上，细化了网络安全的设计过程，给出了安全体系结构模型和策略管理执行模型的设计与实现，把安全体系结构、安全策略管理的实现和网络安全的实现机制有机地结合在一起从而实现了从高级安全策略向网络安全实现机制的平滑过渡。

五、指导教师评语

成绩日期批阅人