XXXX信息系统安全建设方案
目录
第1章项目概述6
1.1项目背景 (6)
1.2项目目的 (7)
第2章信息系统现状及需求分析8
2.1信息系统现状 (8)
2.1.1网络结构现状
8
2.1.2信息系统现状
8
2.2信息系统安全现状分析 (9)
第3章总体安全目标12
第4章安全解决方案总体框架13
4.1网络安全 (13)
4.2系统安全 (14)
4.3应用安全 (15)
4.4数据安全 (15)
第5章安全解决方案详细设计16
5.1网络安全建设 (18)
5.1.1防火墙系统设计
18
防火墙系统部署意义 (18)
防火墙系统部署方式 (18)
防火墙系统部署后达到的效果 (21)
5.1.2网络入侵防御系统设计
23
网络入侵防御系统部署意义 (23)
网络入侵防御系统部署方式 (24)
网络入侵防御系统部署后所达到的效果 (25)
5.1.3病毒过滤网关系统设计
27
病毒过滤网关系统部署意义 (27)
病毒过滤网关系统部署方式 (29)
病毒过滤网关系统部署后达到的效果 (30)
5.1.4网络入侵检测系统设计
32
入侵检测系统部署意义 (32)
入侵检测系统部署方式 (33)
5.1.5VPN系统设计
36
VPN系统部署意义 (36)
VPN系统部署方式 (37)
5.2系统安全建设 (40)
5.2.1集中安全审计系统设计
40
集中安全审计系统部署意义 (40)
集中安全审计系统部署方式 (41)
集中安全审计系统部署后达到的效果 (43)
5.2.2网络防病毒软件系统设计
44
5.2.3终端管理系统设计
46
终端安全管理系统部署 (46)
终端管理系统部署后达到的效果 (48)
5.2.4信息安全管理平台设计
51
信息安全管理平台部署意义 (51)
信息安全管理平台部署方式 (52)
信息安全管理平台部署后的效果 (53)
5.2.5ERP系统服务器冗余备份机制设计
54
5.3应用安全建设 (56)
5.4数据安全建设 (57)
第6章XXXX信息系统安全建设管理制度建议60
6.1策略系列文档结构图 (60)
6.2策略系列文档清单 (62)
第7章搬迁后网络拓扑规划66
第8章安全解决方案整体实施效果68
第9章第一期安全实施效果70
缩写
为了方便阅读,特将文中提及的术语及缩写列示如下:
第1章项目概述
1.1 项目背景
一、化工行业面临的挑战
信息化和经济全球化正在迅速而深刻地改变着人类的生产和生活方式,改变着国与国之间、企业与企业之间的生存和竞争环境。加入WTO之后,我国企业正直接地、全面地面对国际市场的全方位竞争。形势要求我们加快采用现代信息技术和网络技术及与之相适应的现代管理方式来改造和提升传统产业,推动产业的优化和升级。信息化是个大战略。推进化工企业信息化,不是政府要我们做或者政府出钱支持我们做我们才做的事情,它是化工行业自身提高竞争力、适应新经济、实现现代化的内在需要,是化工企业适应国际环境、融入全球经济的战略选择。企业信息化建设的新浪潮正在给中国化工企业的经营管理带来深刻变革。
众所周知,中国作为发展中国家,工业化进程是不可逾越的一个过程。在这个高速发展的过程中,快速的积累社会财富则必然带来资源大量消耗的矛盾。中国要走新型工业化道路,降低资源消耗、减少环境污染是核心。由于国内需求的拉动和世界经济的影响,新世纪伊始,化工工业进入了高速发展时期,在产能快速增长的同时,资源消耗过大、环境污染严重的化工工业必然面临各种资源、能源紧缺和环境保护的双重压力。为了引导化工工业可持续健康发展,化工工业走循环经济的发展方向,必须采用工程科学技术,提高资源、能源综合利用,减少环境污染,把挑战转化为机遇,使化工工业在新型工业化道路上健康稳步迈进, "坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高、经济效益好、资源消耗低、环境污染少、人力资源优势得到充分发挥的新型工业化路子",实现跨越式发展和可持续发展。
二、信息化是化工工业合理利用资源,实现可持续发展的重要途径
中国化工工业为了提高产品质量、减少废次品、降低成本、合理组织生产、能源综合利用、清洁化生产、管理流程优化、最大限度地满足客户个性化的需求,需要以信息技术
为手段、以管理创新、技术创新、制度创新为动力,改造落后装备,实现生产过程自动化、管理信息化。
信息化为中国化工工业走新型工业化道路提供了重要机遇。特别是在资源开发和利用中,使用先进的信息技术能够实现优化设计、制造和管理,通过对各种生产和消费过程进行数字化、智能化的实时监控,大大降低各种资源的消耗。对于中国化工企业来说,信息化是企业合理利用资源、降低资源消耗的重要途径。
应用信息技术还可以在化工企业生产管理诸多方面发挥促进作用。例如:信息化能够为企业实现全面的、实时的、动态的监测和管理各种资源提供现代化手段,这些资源包括保证企业生产安全运营的水、电、煤、气、油以及原材料,能源信息管理系统、环保污染监控系统已经在化工企业得到应用;数据库技术可以对这些资源消耗量进行分析预测并作出预报预警,网络和通信技术可以将位于远程数据采集点的资源消耗的数据实时采集到信息系统中,进行统计分析;通过产销系统和制造执行系统的运行,保证产品质量,减少废次品,以销定产,以产定料,压缩库存,合理资源调配,避免能源和资源的浪费,提高资源/能源的综合利用率;设备管理系统能够对设备的检点维修状况进行动态管理,防止设备未及时检修造成资源的跑冒滴漏现象发生;智能化仪表将各种资源使用情况准确记录下来等等,信息技术已经被广泛地应用于化工企业的各个环节并将发挥更大的作用。化工企业要积极利用信息技术在资源、环境领域的应用,推进绿色制造和清洁生产,合理利用资源,保护生态环境。这是我们在资源、能源缺乏的情况下推动化工工业化进程的良好途径。
1.2 项目目的
本方案依据与XXXX工程师的交流沟通,将对XXXX网络做出系统的全面优化设计。其目的在于构建XXXX整体网络安全体系架构,部署网络安全策略,保证XXXX的网络安全、系统管理都能有机整合。
第2章信息系统现状及需求分析
2.1 信息系统现状
2.1.1 网络结构现状
XXXX信息系统现有网络拓扑图如图1.1所示:
图1.1XXXX信息现有系统网络拓扑图
2.1.2 信息系统现状
XXXX网络系统目前市区厂区网络和开发区厂区网络组成,两个厂区使用2M专线进行互联。在开发区厂区网络中,接入一条10M带宽的互联网链路,互联网边界部署了一台Link Trust80防火墙,局域网网络使用星形接入方式,使用HP 5308XL交换机作为核心交换节点,根据办公楼、综合楼、中控楼等在核心交换机上划分不同VLAN,还有一台一卡通服务器直接接入核心交换机。在市区厂区网络中,接入一条100M带宽的互
联网链路,互联网边界部署了一台Link Trust100防火墙,局域网网络使用星形接入方式,使用华为6503交换机作为核心交换节点,目前网络中有财务系统服务器、ERP系统(负责单位进销存)服务器、ERP系统数据备份服务器、文件服务器(采用共享方式)以及作为对外发布的FTP服务器。
XXXX共有三百多台电脑,两个厂区分别采用星形组网方式,使用Vlan来防范网络间恶意攻击与破坏。通过划分VLAN子网,缩小了广播域,通过交换机把关键部门和其他部门或者把所有的部门划分到不同的VLAN内,实现部门间的逻辑隔离,避免了避免了广播风暴的产生,也可以防范网络间恶意攻击与破坏。提高交换网络的交换效率,保证网络稳定,提高网络安全性。
2.2 信息系统安全现状分析
XXXX信息化建设从无到有,经历了迅速建立与逐步改善的过程,在队伍建设、信息技术基础设施建设、应用系统的开发完善等方面取得了显著成绩,随着网络技术的不断发展,信息量的增加,网络规模的扩大,数据量,业务量的增加,网络安全方面的建设却显得滞后了。并且随着业务的不断增长和网络威胁的不断增多,XXXX的网络已经不能满足在现代高威胁网络环境下的安全需求。
现有的系统网络缺乏完整的安全防护体系。目前的设备很难对用户的互联网访问进行有效的控制,导致网络极易感染病毒,网络大部分带宽被与工作无关的应用长期占用,严重影响单位的正常业务的运行。对互联网访问的内容无法实现有效的控制及审计。网络安全产品如防火墙、入侵检测、防病毒系统、终端管理、VPN系统等系统应用得还比较少,网络安全管理体系还未形成。
另外针对已经部署的产品和系统合理有效的配置使用,使其充分发挥其安全防护作用方面,以及在对于突发性内外部恶意攻击等非常规的安全事件的快速有效响应所需的技术和管理措施方面,都还需要做进一步的工作。
根据充分的调查研究,XXXX的信息系统安全建设的需求有以下四个方面:
1、网络安全
<1>市区厂区和开发区厂区分别使用各自的互联网链路,每条互联网边界均部署了一台防火墙系统。这两台防火墙作分别提供XXXX两个厂区的用户上网和对外发布应用服务,随着上网用户和发布应用服务的增多,防火墙的负载将越来越来大,现有防火墙可能成为网络瓶颈。
<2>开发区厂区的一卡通服务器和客户机间没有安全防护措施,客户机对服务器可以进行任何操作。因为很多客户机可以上网,极易感染木马、病毒,客户机也可能会感染或攻击服务器,影响服务器应用的正常使用,造成难以估计的损失。因此需要加强用户对服务器的访问控制。同时市区厂区的财务系统服务器、ERP系统服务器、文件服务器等应用和客户机之间也缺乏安全防护措施。对外发布供外网用户使用的FTP服务器等应用也缺乏必要的安全保护措施。
<3>缺乏异常流量、恶意流量监控、审计和防御机制,现如今网络上存在着大量的不法黑客以及许多异常流量,对异常流量监测可以了解当前有哪些人通过非法的手段或途径访问了我们的系统或网络,及时了解网络的健康状态,通过这些信息可以采取一些相应的手段去解决问题,我们在采取法律手段时也无法提供了依据和证据。
<4>XXXX驻外办事处、出差等移动用户需要和总部实现数据共享,目前只能通过设置地址映射访问公网IP地址,由于驻外办事处和移动用户与服务器之间的数据通讯都是通过公网进行的,数据传输时无法做到数据的加密,无法保证通过公网进行传输的业务数据和敏感信息不被非法窃取、篡改,无法确保通信双方身份的真实性无法保证数据的传输安全。
2、系统安全
<1>随着XXXX网络系统规模的迅速扩张,对终端管理系统的需求也随之增加。一方面,个人电脑、服务器和移动设备的数量正在随着XXXX网络应用规模的不断扩大而快速增加;另一方面,各种应用软件和补丁更新换代速度加快,来自企业内、外部的网络攻击也日益猖獗;终端用户擅装非法软件、擅自更改IP地址、擅自变更硬件配置、非法访问互联网、非法内联等问题的存在,却没有一套有效的辅助性管理工具,依然沿用传统的手工作业模式,缺乏采用统一策略下发并强制策略执行的机制,进行桌面安全监管、
行为监管、系统监管和安全状态检测,实现对局域网内部桌面系统的管理和维护,能有效保护用户系统安全和机密数据安全。
<2>XXXX网络系统中部署众多的网络设备、安全设备、服务器、应用系统和数据库系统,这些系统在工作过程中将有针对性地记录各种网络运行日志,这些日志对于监控用户的网络安全状态,分析安全发展趋势,有着重要的意义,是用户网络安全管理的重要依据。但是,由于各网络安全产品一般独立工作、各自为战,产生的安全事件信息也是格式不一,内容不同,且数量巨大,导致安全管理员难于对这些信息进行综合分析,对网络中各种安全事件也就无法准确识别、及时响应,以致直接影响整个安全防御体系效能的有效发挥。
<3> ERP系统作为XXXX进销存应用系统,其数据关系到整个XXXX业务的运行,为最大化保证业务的连续性,ERP系统服务器主机应采取可靠的冗余备份机制,确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。
<4>在内网系统中,还没有配置一套整体的防病毒体系,对于现的网络环境来说无疑是给病毒的入侵埋下了极大的隐患。
<5>缺乏信息安全管理平台,通过信息安全平台集中同时实时的了解设备,服务器的运行状态和系统资源使用情况,大大提高了运维的效率,防止由于管理人员的遗漏造成问题解决的不及时。网络中的各产品之间没有联系,给管理工作带来了一定的难度,难以发挥应有的整体效果。另外利用目前的管理手段在网络审计、入侵检测和病毒监测等网络管理工具的使用过程中,对发现的违规操作或感染病毒的计算机,不能快速、准确定位,不能及时阻断有害侵袭并快速查出侵袭的设备和人员。
3、应用安全
<1>目前XXXX文件服务器采用网上邻居共享访问的方式,文件服务器共享的资源可以被公司所有用户进行查看、下载、编辑、删除等动作,文件服务器缺乏用户认证机制,文件服务器数据缺乏安全性、私密性。另外使用网上邻居共享方式常会出现客户系统无法访问文件服务器的问题,通过网上邻居传输文件时使用netbios协议,然而现在有很多蠕虫病毒利用netbios协议的端口扫描网络主机漏洞、传输病毒文件,使病毒扩散到整个网络,最终导致系统崩溃、网络瘫痪,业务无法正常开展。
4、数据安全
<1>ERP系统作为XXXX进销存应用系统,其数据关系到整个XXXX业务的运行,其重要性不言而喻,目前ERP系统数据通过网络备份到另一台服务器上,使用硬盘作为数据备份存储介质故障率很高,存在很大的数据安全风险。另外财务系统也存在数据备份的问题。
第3章总体安全目标
为了防止互联网上的非法访问、恶意攻击和病毒传播等各种安全威胁对XXXX信息系统造成影响,我们将采用一系列安全措施来对XXXX信息系统提供必要的安全保护,使包含网络通讯、操作系统、应用平台和信息数据等各个层面在内的整体网络信息系统具有抵御各种安全威胁的能力。根据业务系统的特点和需要,我们制订了如下的总体安全目标:
1、完整性目标
防止存放在服务器和远程业务终端系统中的信息数据被非授权篡改,保证在远程通信过程中信息数据从真实的信源无失真地到达真实的信宿。
2、可用性目标
确保网络和信息系统连续有效地运转,保证合法用户对系统资源和信息数据的使用不会被不正当地拒绝。
3、保密性目标
确保在公网上传输的业务数据和敏感信息不会泄漏给任何未经授权的人和实体,或供其使用。
4、真实性目标
应能对通信中的对等实体所宣称的身份的真实性进行鉴别。
5、可控性目标
保证系统资源不被非法访问及非授权访问,并能够控制信息系统用户对系统资源的使用方式。
6、可审查性目标
能记录系统中发生的全部访问行为,为出现的安全问题进行及时的告警响应并为调查取证提供依据和手段。
第4章安全解决方案总体框架
随着信息安全研究的深入发展,各种新的威胁层出不穷,要解决这些新的安全威胁,就需要更完善的安全技术。技术保障体系注重信息系统执行的安全控制。技术控制针对未授权的访问或误用提供自动保护,发现违背安全策略的行为,并满足应用程序和数据的安全需求。
对于XXXX信息系统,主要的安全威胁来自互联网,包括非法访问、黑客攻击、网络窃听和病毒入侵等,根据信息系统的总体安全目标,我们将有针对性地采用适当的安全保障机制来确保信息资产的价值不受侵犯,保证信息资产拥有者面临最小的安全风险和获取最大的安全利益,提高整体网络信息系统抵御各种安全威胁的能力。
整体安全解决方案包括以下几个方面的内容:
4.1 网络安全
边界隔离和访问控制
在互联网边界采取有效的安全隔离和访问控制手段,确保进出的信息和数据都能得到严格的控制和检测,既要阻止来自公网上外部非法用户的访问,也要防止合法用户的越权访问。
网络边界入侵防御
针对来自公网上的各种复杂的安全威胁,如非法入侵、DoS/DDoS攻击、蠕虫、恶意代码等,我们将采用专门的安全机制来对其进行有效的检测和防御,避免服务器因遭受外界网络的恶意攻击而导致正常的网络通讯和业务服务中断、计算机系统崩溃、数据泄密或丢失等等,影响业务服务和信息交互的正常进行。
网络边界病毒防护
为了保护信息系统免受来自公网上的病毒、蠕虫、木马及其他恶意代码的侵害,我们在互联网出口边界位置不属实时在线的病毒检测和过滤机制,对进出的各种可能携带病毒和恶意代码的网络数据流进行实时检测,确保只有干净的数据才能进入,同时也防止互联网病毒向各远程业务终端系统的传播扩散。
网络通信流量监控和异常流量检测
网络资源滥用、拒绝服务攻击、病毒和蠕虫的爆发等,都会造成网络通信流量的异常,因此我们将在互联网边界采用有效的通信流量检测机制,以便能够预先发现进出的流量异常情况并进行分析,及时制止安全事故的发生,或在局部安全事故发生后防止其进一步的扩散。
数据通讯过程中的对等实体认证、数据传输加密和完整性保护
由于移动用户和驻外办事处与服务器之间的数据通讯都是通过公网进行的,因此数据通讯安全需求尤为重要。我们将采用适当的加密技术对数据进行加密传输,保证通过公网进行传输的业务数据和敏感信息不被非法窃取、篡改,确保通信双方身份的真实性。4.2 系统安全
系统脆弱性检测和安全加固
为防止攻击者利用网络设备、服务器主机操作系统、数据库系统、通用软件的安全弱点或配置上的漏洞对系统进行非法操作或对数据进行非法访问,我们将定期对系统进行安全性检查和系统加固,包括打补丁、配置优化等。
系统审计
网络设备、安全设备、操作系统和数据库系统等均开启日志和报警功能,实时记录用户的访问行为和所访问的资源对象以及所执行的操作,并提供有效的分析、统计、告警机制,一方面可以及时发现非法的网络和系统访问行为并通知管理人员进行处理,另一方面也为发生安全事故后的追查和举证提供重要依据,此外还可对潜在的用户非法访问企图起到一定的震慑作用。审计记录数据将采用可靠的方式进行存储,保证其可用性、完整性。
信息安全管理平台
部署信息安全管理平台,通过信息安全管理平台实时查看重要设备,网络设备、主机,服务器的运行情况和系统资源情况。通过管理平台集中同时实时的了解网络设备、服务器、的运行状态,使用情况,大大提高了运维的效率,防止由于管理人员的遗漏造成问题解决的不及时。
服务器的冗余备份
为最大化保证业务的连续性,我们将对ERP系统服务器主机采取可靠的冗余备份机制,确保在线业务处理和数据访问过程不会因为服务器系统故障而中断。
4.3 应用安全
文件服务器建设
替换原有以网上邻居网络共享文件的部署方式,建设以FTP服务器做为XXXX 的文件服务器,加强用户资源共享的管控。
4.4 数据安全
数据存储备份
我们将逐步健全信息系统的数据备份/恢复和应急处理机制,确保网络信息系统的各种数据实时备份,当数据资源在受到侵害破坏损失时,及时的启动备份恢复机制,可以保证系统的快速恢复,而不影响整个网络信息系统的正常运转。
第5章安全解决方案详细设计
前面我们从不同层面分别阐述了在XXXX信息系统中需要采用的各种安全技术措施,其中部分措施可以通过在现有网络设备、主机系统中进行适当的安全设置、安全加固来实现,而有一些措施则需要通过采购一定的专业安全产品来实现。我们将在充分利用已有投资的基础上,结合当前国内外最先进的安全技术,适当地增加一些专业的安全设备和软件,从而为XXXX信息系统构建一套由多种安全技术和多层防护措施构成的整体安全防护体系,以确保XXXX信息系统安全可靠地运行。具体包括:
防火墙系统(市区厂区和开发区厂区互联网边界)
入侵防御系统(市区互联网边界)
入侵检测系统(市区核心交换机节点)
病毒过滤网关(市区厂区和开发区厂区互联网边界)
网络防病毒系统(提供终端病毒防护)
IPSEC+SSL VPN(驻外办事处和移动用户与市区互联网边界之间通信认证和加密)
终端管理系统(提供终端集中管理、策略部署、补丁分发等)
安全审计系统(提供集中的安全日志审计)
ERP系统服务器冗余
ERP系统、财务系统等重要数据备份系统
文件服务器建设
信息安全管理平台建设
以下是对各个部分的详细设计。
上面我们描述了XXXX网络信息安全建设内容,考虑到网络安全管理的特殊性和系统的延续性,因此在系统的规划、设计、建设和管理中,我们围绕XXXX的管理需求,配合开展相关工作。考虑到系统建设的工作量、技术复杂程度和投资成本,在时间许可和考虑各功能要求轻重缓急的前提下,我们建议项目分两期完成。
一期在开发区厂区部署病毒过滤网关系统、防火墙系统,在市区厂区部署病毒过滤网关系统、多合一网关系统(包括防火墙、SSL VPN、IPSEC VPN功能)、入侵检测系统,并部署网络版防病毒系统、终端管理系统、安全审计系统、数据安全系统、ERP系统冗余服务器、文件服务器系统。二期在市区厂区部署入侵防御系统,对现有网络中的接入层交换机进行改造,并建立信息安全管理平台。
XXXX信息系统改造后系统网络拓扑图如图1.2所示:
图1.2XXXX信息改造后系统网络拓扑图
5.1 网络安全建设
5.1.1 防火墙系统设计
防火墙系统部署意义
防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通信。通过使用Firewall过滤不安全的服务器,提高网络安全和减少子网中主机的风险,提供对系统的访问控制;阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。防火墙属于一种被动的安全防御工具。
设立防火墙的目的就是保护一个网络不受来自另一个网络的攻击,防火墙的主要功能包括以下几个方面:
(1)防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全性,降低受攻击的风险。
(2)防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件(如口令、加密、认证、审计等),比分散管理更经济。
(3)防火墙强化安全认证和监控审计。因为所有进出网络的通信流都通过防火墙,使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。
(4)防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器,即能防外,又能防止内部未经授权用户对互联网的访问。
防火墙系统部署方式
在互联网边界设置防火墙系统,负责审核进出网络的访问请求,确保只有合法的访问才能通过,从而为服务器系统建立安全的防御屏障,防范互联网黑客攻击和非法用户的访问。
目前在市区厂区网络中,接入一条100M带宽的互联网链路,互联网边界部署了一台
Link Trust100防火墙,在开发区厂区网络中,接入一条10M带宽的互联网链路,互联网边界部署了一台Link Trust80防火墙,现有的两台防火墙均为百兆低端设备,其功能和性能均已无法满足网络规模和对外应用的的不断发展,这两台防火墙是否正常运行将关系到XXXX所有用户的上网服务,以及包括Web、FTP、MAIL等系统对外发布的应用服务的正常运行。故建议在互联网出口重新部署一台防火墙,避免出现网络瓶颈提高网络的处理性能,使应用快速稳定的运行。
由于防火墙隔离的是不同的安全区域。防火墙采用将内部区域、互联网区域、DMZ 区域分开的方法,在开发区厂区把一卡通服务器部署到DMZ区域,在市区厂区把财务服务器、ERP系统服务器、文件服务器、FTP服务器等部署到DMZ区域,防火墙可以作为不同网络或网络安全域之间信息的出入口,根据安全策略控制出入网络的信息流。再加上防火墙本身具有较强的抗攻击能力,能有效地监控内部网、服务器区域和Internet 之间的任何活动,从而为互联网边界安全提供了有力的保证。
防火墙部署后系统网络拓扑图如图1.3所示:
图1.3防火墙部署后系统网络拓扑图
具体防火墙部署建议如下:
1.正向源地址转换使内部网用户可使用私有IP 地址通过防火墙访问外部网络。对外界网络用户来说,访问全部是来自于防火墙转换后的地址,并不知道是来自内部网的某个地址,能够有效的隐藏内部网络的拓扑结构等信息。
反向目的地址转换可使对外提供信息发布服务的WEB 服务器、FTP 服务器、Mail 服务器起等系统采用私有IP 地址作为真实地址,外界用户所访问到的是被防火墙转换过的目的地址,这样也能够有效的隐藏内部服务器信息,对服务器进行保护。
2.限制网上服务请求内容,使非法访问在到达主机前被拒绝。
3.加强合法用户的访问认证,同时将用户的访问权限控制在最低限度。
4.为了避免不同区域的机器冒用IP 地址进行越权访问,防火墙的所有端口上还应启用IP 地址与MAC 地址绑定功能。
5.全面监视网络的访问,及时发现和拒绝不安全的操作和黑客攻击行为,并可以和