　　
　　实际上路由器本身就可以实现包过滤防火墙的功能，对吉通上海IDC的各个路由器的配置进行检查和调整。保证整个网络中各个路由器的配置相互一致，并承担包过滤检查的功能。
　　
　　因为防火墙在核心网上起着安全管理的“警察”的重要作用,它的可靠性往往代表着整个网络的可靠性。如果一台防火墙发生故障，那么所有经过它的网络连接都中断了，防火墙就成为一个“单点故障”，这在一个及其关键的网络环境中是不允许的。
　　
　　建议方案:
　　
　　Checkpoint FireWall-1 防火墙产品可以通过两台防火墙之间建立主备份关系而大大增加防火墙的可靠性。Checkpoint FireWall-1是基于先进的“状态检测”（Stateful Inspection)技术的防火墙,它从经过它的网络连接的各个层次抽取信息，以得到每个连接的状态。这些状态存放在一个动态的状态表中，并随着数据的传输而刷新。要在两台防火墙之间切换，必须在这两台防火墙之间共享这些状态信息，以保证切换时最大可能地保留已建立的连接。
　　
　　利用Qualix Group的QualixHA+ Module for FireWall-1软件可以很好地做到这一点。两台相同配置的FireWall-1防火墙，一台为主防火墙，一台为热备份防火墙。在热备份防火墙上安装QualixHA+，它能自动地监测主防火墙的状态，并在一旦主防火墙故障时迅速地把主防火墙切换到热备份防火墙上，而不需要人工干预。由于QualixHA+能把热备份防火墙的配置设置成与主防火墙一致，所以切换后不会损失任何防火墙功能。而QualixHA+所在的热备份防火墙可以与主备份防火墙共有同一个IP地址，所以切换后也无需修改路由器的设置。
　　
　　2.2.2.4 网络实时入侵检测技术
　　防火墙虽然能抵御网络外部安全威胁，但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应，就要依靠基于网络的实时入侵监测技术。监控网络上的数据流，从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击。
　　
　　解决方案： ISS网络入侵检测 RealSecure Network Sensor
　　
　　配置方法：参见“监控和防御”。
　　
　　ISS实时网络传感器 (RealSecure Network Sensor) 对计算机网络进行自主地，实时地攻击检测与响应。这种领先产品对网络安全轮回监控，使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为企业提供了最大限度的安全保障。
　　
　　ISS 网络入侵检测RealSecure Network Sensor在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能的的防护体系。
　　
　　　
　　
　　3.2.3 操作系统层安全
　　操作系统安全也称主机安全，由于现代操作系统的代码庞大，从而不同程度上都存在一些安全漏洞。一些广泛应用的操作系统，如Unix，Window NT，其安全漏洞更是广为流传。另一方面，系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够，配置不当也会造成的安全隐患。
　　
　　3.2.3.1 系统扫描技术
　　对操作系统这一层次需要功能全面、智能化的检测，以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布，及时下载补丁来进行防范，同时要经常对关键数据和文件进行备份和妥善保存，随时留意系统文件的变化。
　　
　　解决方案： ISS系统扫描器(System Scanner)
　　
　　配置方法： System　Scanner Console可以与Internet Scanner 安装在同一台笔记本上，也可以单独安装在一台NT工作站上。在IDC中各重要服务器（网管工作站、数据采集工作站、计费服务器、网站托管服务器等）内安装System　Scanner Agent。Console管理各个Agent。定期（时间间隔参照安全策略的要求）对重要服务器进行全面的操作系统安全评估。
　　
　　ISS系统扫描器(System Scanner) 是基于主机的一种领先的安全评估系统。系统扫描器通过对内部网络安全弱点的全面分析，协助企业进行安全风险管理。区别于静态的安全策略，系统扫描工具对主机进行预防潜在安全风险的设置。其中包括易猜出的密码，用户权限，文件系统访问权，服务器设置以及其它含有攻击隐患的可疑点。
　　
　　该产品的时间策略是定时操作，扫描对象是操作系统。System Scanner包括引擎和控制台两个部分。引擎必须分别装在被扫描的服务器内部，在一台集中的服务器上安装控制台。控制台集中对各引擎管理，引擎负责对各操作系统的文件、口令、帐户、组等的配置进行检查，并对操作系统中是否有黑客特征进行检测。其扫描结果同样可生成报告。并对不安全的文件属性生成可执行的修改脚本。
　　
　　3.2.3.2 系统实时入侵探测技术
　　为了加强主机的安全，还应采用基于操作系统的入侵探测技术。系统入侵探测技术监控主机的系统事件，从中检测出攻击的可疑特征，并给与响应和处理。
　　
　　解决方案：ISS网络入侵检测 RealSecure OS Sensor以及Server Sensor
　　
　　配置方法：参见“监控和防御”。
　　
　　ISS实时系统传感器 (RealSecure OS Sensor) 对计算机主机操作系统进行自主地，实时地攻击检测与响应。一旦发现对主机的入侵，RealSecure可以马上可以切断系统用户进程通信，和做出各种安全反应。

上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] 下一页

上一篇:IDC 网络部分设计方案1

下一篇:Cisco解决方案在中望公司内部网中的应用

IDC 网络与系统安全部分设计方案相关文章：

·3DS Max 7卧室效果图设计：建模篇

·XP系统运行慢？小编自用7招解决

·将系统装到U盘中如何自制XP@USB启动盘

·不用重装XP系统就可以解决全部故障

·《边看边打赚大奖－－迅雷宽频》部分问题及答案

·校园网组建方案

·学生成绩管理系统实习

·IE浏览器再现严重安全漏洞微软紧急发补丁程序

·施工与工程组织方案

·Vista系统使用技巧总结

IDC 网络与系统安全部分设计方案相关软件：

·网络常见问题与故障1000例

·Kaspersky(卡巴斯基) Internet Security 安全套装 V6.0.2.621 中文版

·成功少儿培养方案（上中下）高清晰PDF电子书

·Photoshop CS中文版平面设计师标准案例教程

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.vipcn.net

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.vipcn.net All Rights Reserved.	鄂ICP备05000083号Powered by:viphot