5.3.2 防火墙的选购 1. 产品类型 2. LAN接口 3. 协议支持 4. 访问控制配置 5. 自身的可靠性 6. 防御功能 7. 连接性能 8. 管理功能 9. 记录和报表功能 10. 灵活的可扩展和可升级性 11. 协同工作能力 12. 品牌知名度
5.3.3 Cisco防火墙的配置 1. 防火墙的基本配置原则 在防火墙的配置过程中需坚持以下三个基本原则： （1）简单实用。 （2）全面深入。 （3）内外兼顾。 2. Cisco PIX防火墙的基本配置 防火墙的具体配置步骤如下： （1）如图7.2所示，将防火墙的Console端口用一条防火 墙自带的串行电缆连接到电脑的一个空余串口上。 （2）开启所连电脑和防火墙的电源，进入Windows系统 自带的"超级终端"，通讯参数可按系统默然。
用户认证、管理和计费系统的结构如图5.1所示：
5.2.4 网络防病毒技术 网络病毒是在网络上传播的病毒。网络病毒的来源主要 有两种： 一种威胁是来自文件下载。 另一种主要威胁来自于电子邮件。 1. 病毒防治软件安装位置 网络病毒防治必须考虑安装病毒防治软件。 2. 防病毒软件的部署和管理 部署一种防病毒软件的实际操作一般包括以下步骤： （1）调查和制定计划 （2）测试 （3）系统安装 （4）维护 3. 常用防病毒软件
4. 应用层安全技术方案 （1）身份认证技术 （2）防病毒技术 5. 安全管理方案建议 （1）安全体系建设规范 （2）安全组织体系建设 （3）安全管理制度建设 制定安全管理制度，实施安全管理的原则为： ① 多人负责原则。 ② 任期有限原则。 ③ 职责分离原则。 其具体工作为： ① 确定该系统的安全等级。 ② 根据确定的安全等级，确定安全管理的范围。 ③ 制定安全管理制度。
4. 应用层安全风险 （1）身份认证漏洞 （2）DNS服务威胁 （3）WWW服务漏洞 （4）电子邮件系统漏洞 5. 管理层安全风险 5.1.2 网络安全产品 信息安全和网络安全产品有以下几类： （1）防火墙。 （2）安全路由器。 （3）虚拟专用网(VPN)。 （4）安全服务器。
（5）认证中心和公钥机制。 （6）用户认证产品。 （7）安全管理中心。 （8）数据恢复与容灾系统。 （9）入侵检测系统（IDS）。 （10）安全数据库。 （11）安全操作系统。 5.2 信息防护技术 5.2.1 访问控制策略 1. 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。 用户的入网访问控制可分为三个步骤：用户名的识别与验 证、用户口令的识别与验证、用户账号的默认限制检查。
（3）输入enable命令，进入Pix 525特权用户模式，默然 密码为空。 （4）定义以太端口：先必须用enable命令进入特权用户模 式，然后输入configure terminal（可简称为config t），进 入全局配置模式模式。 （5）配置时钟 （6）指定接口的安全级别 （7）配置以太网接口IP地址 （8）access-group 这个命令是把访问控制列表绑定在特定的接口上。 （9）配置访问列表 （10）配置地址转换（NAT） （11）静态端口重定向 （12）显示与保存结果
（3）属性安全控制 属性安全控制可以将给定的属性与网络服务器的文件、 目录和网络设备联系起来。 （4）网络服务器安全控制 网络允许在服务器控制台上执行一系列操作。 5.2.2 加密和认证 1. 加密 网络系统自身的安全涉及很多技术，这些技术在网络攻 守较量中又不断发展、完善。网络的一种安全问题是数 据的安全，数据安全包括传输保密和存储保密，保密最 核心的是密码算法，密码算法包括加密算法、密统的用户认证系统有三个功能，即对用户进行认证 (Authentication)、授权(Authorization)和计费数据采集 (Accounting)。 （1）认证(Authentication) 认证就是指用户必须提供他是谁的证明。 （2）授权(Authorization) 授权主要是用户管理，即针对普通操作员。 （3）计费数据采集(Accounting) ① 计费管理 ② 计费策略定制 ③ 系统管理功能
3. 包过滤型防火墙的访问控制表（ACL）配置 （1）access-list：用于创建访问规则 ① 创建标准访问列表 ② 创建扩展访问列表 ③ 删除访问列表 （2）清除访问列表规则的统计信息 （3） IP access-group （4）show access-list （5）show firewall （6）Telnet
6. 安全技术管理 （1）网络安全管理 （2）应用安全管理 ① 建立和维护用户账号。 ② 建立和维护被管资源的连接和目录。 ③ 建立和维护访问控制列表。 ④ 统计、分析审计记录信息。 ⑤ 配置、维护安全平台。 ⑥ 设置会话密钥生命期等。 ⑦ 扫描和防杀病毒。
练习与思考 5.1 网络中存在的问题主要有哪几类？什么样的网络才是一个安全的 网络？ 5.2 什么是网络安全体系？网络安全各个层次的关键技术是什么？ 5.3 网络安全与单机系统的安全有什么区别？ 5.4 数据应该在哪里加密？应该怎样加密？ 5.5防火墙有什么功能?它在网络中充当什么角色？防火墙能防什么？ 防不住什么？ 5.6 Internet网的安全解决方案是什么？ 5. 7 地址转换有什么作用，它分为哪几种类型？ 5.8 简述配置地址转换的步骤。 5.9 网络黑客攻击方法有哪几种？防火墙的技术包括哪四大类？防火 墙能防病毒吗？ 5.10 在网络应用中一般采取哪些加密形式？ 5.11 一个用户只能同时属于2个组吗？这两个组有区别吗？比如一个 用户属于A组，同时属于B组，他们之间是互补的吗？
（4）电路级网关 电路级网关防火墙属于第三代防火墙技术，它通过监控受信 任的客户或服务器与不受信任的主机间的TCP握手信息来决 定该会话是否合法。 （5）非军事化区(DMZ) DMZ位于企业内部网络和外部网络之间的小网络区域，通 常是一个过滤的子网。 （6）状态监视器(StatefulInspection)： 状态监视器是一种最新的防火墙技术，它采用了一个在网关 上执行网络安全策略的软件引擎，称之为检测模块。
5.4 广域网的网络安全方案设计 5.4.1 电子政务的网络结构与应用系统 所谓电子政务就是将政府机构运用现代计算机技术和网络 技术，将其管理和服务的职能转移到网络上去完成，同时 实现政府组织结构和工作流程的重组优化，超越时间、空 间和部门分隔的制约，向全社会提供高效优质、规范透明 和全方位的管理与服务。 5.4.2 电子政务网络安全方案设计原则 （1）需求、风险、代价平衡的原则 （2）综合性、整体性原则 （3）一致性原则 （4）易操作性原则 （5）适应性、灵活性原则 （6）多重保护原则 （7）可评价性原则
网络系统集成与 工程设计
第 5 章 网络安全技术
5.1 网络系统安全技术概述 5.1.1 网络系统面临的安全问题 从系统和应用出发，网络的安全因素可以划分为五个安全层， 即物理层、系统层、应用层、网络层和安全管理层。应 该在每个层面上进行细致的分析，根据风险分析的结果 设计出符合具体实际的、可行的网络安全整体解决方案。 1.物理层的安全风险 2. 网络层安全风险 3. 系统层的安全风险
具体是采用下面的安全措施实现网络系统的安全： （1）网络系统内各局域网边界的安全。 （2）网络与其它网络如Internet互连的安全。 （3）网络系统内部各局域网之间信息传输的安全 。 （4）拨号用户的接入安全问题。 （5）网络监控与入侵防范。 （6）网络安全检测。 5.4.3 电子政务网络安全解决方案 1. 物理层安全解决方案 保证计算机信息系统各种设备的物理安全是保障整个网 络系统安全的前提。它主要包括环境安全、设备安全和 线路安全三个方面。
2. 网络层安全解决方案 （1）防火墙安全技术建议 （2）入侵检测安全技术建议 （3）数据传输安全建议 3. 系统层安全解决方案 系统层安全主要包括两个部分：操作系统安全技术以及数 据库安全技术。 数据库管理系统应具有如下能力： （1）自主访问控制（DAC）：DAC用来决定用户是否有 权访问数据库对象； （2）验证：保证只有授权的合法用户才能注册和访问； （3）授权：对不同的用户访问数据库授予不同的权限； （4）审计：数据库管理系统应能够提供与安全相关事件 的审计能力，监视各用户对数据库的操作，例如试图改变访 问控制许可权、试图创建、拷贝、清除或执行数据库等操作。
5.3 防火墙技术 防火墙是指设置在不同网络或网络安全域之间执行访问 控制策略的一个或一组控制系统。防火墙是不同网络或网 络安全域之间信息的唯一出入口，能根据企业的安全政策 控制出入网络的信息流，且本身具有较强的抗攻击能力。 它是提供信息安全服务，实现网络和信息安全的基础设施。 原则上，防火墙是由两种机制构成：一种是查阻信息通行， 另一种是允许信息通过。防火墙有效地监控了内部网和 Internet之间的任何活动，保证了内部网络的安全。
5.2.3 安装Radius认证访问服务器 远程认证拨号用户服务(Remote Authentication Dial In User Service，RADIUS)是在网络访问服务器(Network Access Server，NAS)和集中存放认证信息的Radius服务 器之间传输认证、授权和配置信息的协议。 1. RADIUS的工作原理 RADIUS以Client/Server方式工作，实现了对远程电话拨 号用户的身份认证、授权和计费功能。 RADIUS的工作流程是：（1）用户拨入NAS; （2）NAS 向RADIUS服务器发送一系列加密的“属性/值”; （3） RADIUS服务器检查用户是否存在、属性/值是否匹配； （4）RADIUS服务器发送回“接受“或“拒绝“给NAS。
完整的安全管理制度必须包括以下几个方面： ① 人员安全管理制度 ② 操作安全管理制度 ③ 场地与设施安全管理制度 ④ 设备安全使用管理制度 ⑤ 操作系统和数据库安全管理制度 ⑥ 运行日志安全管理、备份安全管理、系统安全恢复 管理制度 ⑦ 安全软件版本管理制度和技术文档安全管理制度、 技术文档媒体报废管理制度 ⑧ 异常情况管理和应急管理制度 ⑨ 审计管理制度及第三方服务商的安全管理 ⑩ 运行维护安全规定及对系统安全状况的定期评估策 略