邮件服务器代理服务器。

分布式产品配备在各地关键网段收集网络运行信息，并上传到控制中心，进行统监控。

技术支持服务集成网络安全系统正常有效运行需要大量技术支持保证。

由于安全问题层出不穷，因此，购买了安全产品，还必须获得供应商及集成商能够提供持久技术支持。

公司已经在中国开设了个办事处，并将继续在各地陆续开设办事机构。

公司技术人员能够在全球范围内提供网络安全紧急服务。

将在近期联合设立网络安全技术维护和培训中心，以加强对最终用户系统集成商及销售商技术支持和培训。

在以下方面给予技术支持培训，包含网络安全及管理理论及产品。

设计，帮助客户设计网络安全系统。

故障排除，紧急服务帮助客户排除故障及入侵跟踪服务。

升级，每个月对网络安全产品实行升级。

咨询，提供基于电话传真电子邮件咨询。

第五章安全产品在金桥网络安全结构中功能实现防火墙在金桥网络安全项目中，我们推荐采用公司防火墙。

该防火墙能够很好地满足金桥网络安全需求，原因如下防火墙是种即插即用型硬件防火墙，安装简单，配置方便。

只需要在需要进行安全隔离网段之间接入该设备即可。

特注防火墙是种代理服务型防火墙，安装后会将内外网分在成两个不同网段，不能实现完全透明接入和透明连接。

因为，从网络安全性考虑，所有通过防火墙信息都应由防火墙转发。

如果，防火墙作透明连接，当防火墙不工作或不起作用时，外部访问仍可以穿过防火墙进入网络。

这样来，防火墙就失去了使用价值。

可以支持多块网卡，可以根据安全级别不同划分出多个进行资源管理。

可以方便地进行本地和远程管理，并且支持命令行和方式管理与配置防火墙具有个统管理平台，可以对分布在多个区域内防火墙进行统策略设置和状态管理内置功能，可以保证防火墙上规则致性。

防火墙内部代理全部对用户透明，即用户不需要重新对他们网络应用程序进行配置就可以透过防火墙进行数据访问。

该防火墙支持全面地址转换功能，包括静态地址转换动态地址转换非法地址转换以及端口扩展等功能。

该防火墙内置了几十种代理，并且针对每种代理都可以进行访问控制。

用户可以在防火墙上建立用户，也可以结合等用户数据库来针对用户进行用户级权限控制防火墙通过分析数据包和网卡匹配关系来实现防止地址欺骗功能尽管是种代理防火墙，但是它支持包过滤功能，能够支持层以上所有数据包过滤可以对通过防火墙信息进行过滤，包括等协议信息过滤，并且在些代理程序中可以实现细致到协议命令级控制。

防火墙本身可以实现抗攻击性，包括对防火墙本身和受保护网段攻击抵抗防火墙可以在应用层进行防火墙流量监控分析，并且记录详细日志，能够对日志进行统计分析将防病毒功能集成到了内部，在单点实现了内外交换数据安全性。

支持双机备份功能安全监控防御产品公司入侵检测产品可以对网络和系统进行实时监控，对来自内部和外部非法入侵行为及时响应告警和记录日志，并可采取定防御和反入侵措施。

可以在网络内部部署许多，通过统管理平台进行管理，可实现集中式安全监控管理可自动识别多种攻击类型，并具备自动学习功能。

通过监视来自网络攻击非法闯入异常进程，能够实时精确地判断入侵事件，包括应用层入侵事件。

支持按行为特征入侵检测由于是基于主机入侵检测产品，所以可以适应任何类型网段结构，包括高速网络和交换网络。

可以对所有关键服务器，如服务器等提供实时保护金桥网络中主要主机系统平台为和，均可以对这两种平台提供权方面保护通过监视可疑连接系统日志来自网络攻击非法侵入异常进程，系统能够立即做出响应，做出切断服务重启服务器进程发出报警记录入侵过程等动作。

可以将攻击信息通过方式传送给集中控制台进行分布式攻击信息上载，也可以通过等方式将攻击信息传送给管理员由于入侵方式多样性和快速发展变化，我们必须对入侵方式更新提供种有力跟踪和适应体系。

可以提供对监视引擎和检测特征定期更新服务，包括厂家直接服务和网络下载等方式可以全面监控网络上针对台关键主机活动，并进行安全性分析和防御。

略设计策略基于特定，定义完成服务访问策略规则。

通常有两种基本设计策略允许任何服务除非被明确禁止禁止任何服务除非被明确允许。

通常采用第二种类型设计策略。

增强认证许多在上发生入侵事件源于脆弱传统用户口令机制。

多年来，用户被告知使用难于猜测和破译口令，虽然如此，攻击者仍然在监视伟输口令明文，使传统口令机制形同虚设。

增强认证机制包含智能卡，认证令牌，生理特征指纹以及基于软件等技术，来克服传统口令弱点。

虽然存在多种认证技术，它们均使用增强认证机制产生难于被攻击者重用口令和密钥。

目前许多流行增强认证机制使用次有效口令和密钥如和认证令牌。

基本分类包过滤包过滤源地址目地址源端口目端口。

包过滤路由器存在许多弱点包过滤规则难于设置并缺乏已有测试工具验证规则正确性手工测试除外。

些包过滤路由器不提供任何日志能力，直到闯入发生后，危险封包才可能检测出来。

实际运行中，经常会发生规则例外，即要求允许通常情况下禁止访问通过。

但是，规则例外使包过滤规则过于复杂而难以管理。

例如，定义规则禁止所有到达端口连接，如果些系统需要直接连接，此时必须为内部网每个系统分别定义条规则。

些包过滤路由器不支持源端口过滤，可能使过滤规则集更加复杂，并在过滤模式中打开了安全漏洞。

如连接源端口是随机产生，此时如果允许双向连接，在不支持源端口过滤路由器上个内部封闭网络建成了个开放网络环境，各种安全包括系统级安全问题也随之产生。

构建平台安全系统，方面由于要进行认证加密监听，分析记录等工作，由此影响网络效率，并且降低客户应用灵活性另方面也增加了管理费用。

但是，来自网络安全威胁是实际存在，特别是在网络上运行关键业务时，网络安全是首先要解决问题。

选择适当技术和产品，制订灵活网络安全策略，在保证网络安全情况下，提供灵活网络服务通道。

采用适当安全体系设计和管理计划，能够有效降低网络安全对网络性能影响并降低管理费用。

平台安全管理因素平台安全可以采用多种技术来增强和执行。

但是，很多安全威胁来源于管理上松懈及对安全威胁认识。

安全威胁主要利用以下途径系统实现存在漏洞。

系统安全体系缺陷。

使用人员安全意识薄弱。

管理制度薄弱。

良好平台管理有助于增强系统安全性及时发现系统安全漏洞。

审查系统安全体系。

加强对使用人员安全知识教育。

建立完善系统管理制度。

全方位安全体系与其它安全体系如保安系统类似，应用系统安全体系应包含访问控制。

通过对特定网段服务建立访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。

检查安全漏洞。

通过对安全漏洞周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。

攻击监控。

通过对特定网段服务建立攻击监控体系，可实时检测出绝大多数攻击，并采取相应行动如断开网络连接记录攻击过程跟踪攻击源等。

加密通讯。

主动加密通讯，可使攻击者不能了解修改敏感信息。

认证。

良好认证体系可防止攻击者假冒合法用户。

备份和恢复。

良好备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。

多层防御，攻击者在突破第道防线后，延缓或阻断其到达攻击目标。

隐藏内部信息，使攻击者不能了解系统内基本情况。

设立安全监控中心，为信息系统提供安全体系管理监控，渠护及紧急情况服务。

第二章用户网络现状分析金桥工程是我国九五信息化重点工程之。

金桥信息网是个以数据通信为基础计算机综合信息网，通过金桥工程建设，建立跨行业跨部门公用计算机信息交换平台，实现信息通信和资源共享，面向社会提供网络服务和信息服务。

经过几年努力，金桥网已经建设了具有定规模融合了各种数据通信技术卫星与地面通信线路互为备份网络，骨干网络带宽已达，国际出口达到了，网络节点超过个大中城市可以向各种用户提供卫星帧中继接入信息服务电话电子商务等服务。

年是金桥网建设大发展年，骨干网带宽及国际出口带宽将进步扩宽以满足用户需要网络节点将大规模增加以增加网络覆盖在已经建设网管中心维护中心基础上，还将建设计费与结算中心客服中心认证中心数据中心，使网络规模业务与服务水平都上到个新台阶。

随着用户数量不断扩大，应用水平不断提高，个不容忽视问题网络安全越来越受到人们关注，对网络安全体系建立和全面解决方案需求迫在眉睫。

于是，吉通通信有限责任公司作为金桥工程业主提出招标，为金桥网提供整套安全解决方案。

包括安全政策制定体系结构设计安全产品选择和集成，以及长期合作和技术支持服务。

工程总体目标是在不影响金桥网当前业务前提下，实现对金桥网全面安全管理。

将安全策略硬件及软件等方法结合起来，构成个统防御系统，有效阻止非法用户进入网络，减少网络安全风险。

定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。

通过入侵检测等方式实现实时安全监控，提供快速响应故障手段，同时具备很好安全取证措施。

使网络管理者能够很快重新组织被破坏了文件或应用。

使系统重新恢复到破坏前状态。

最大限度地减少损失。

套完整安全管理体系应能覆盖包括金桥网国际出口国内网间互联骨干节点级节点，以及即将建设二级节点在内所有节点设备链路和业务服务系统等，并且根据金桥网网络结构，管理模式，业务划分，确定安全等级，针对不同安全等级，实施相应安全策略。

金桥网安全总体需求根据金桥网特点，全面安全解决方案需要涉及到网络安全系统安全数据库系统安全数据安全以及防病毒等多个方面。

每个方面都需要结合相关安全产品，相应安全政策，实施包括预防检测反映在内全过程。

安全政策包括安全管理制度制定和安全策略实施。

根据管理原则，管理对象，卖方应协助买方修改制定切实可行安全管理制度或规范，同时结合安全策略实施，建立完善安全管理体系。

网络安全针对网络设备和链路保护。

由于金桥网网络结构复杂性，不可能对全网做到集中式安全管理，可采取分布式，针对各地分公司节点不同网段如网管网段办公网段用户接入网段或根据提供不同业务类别，实施不同级别安全管理措施。

系统安全针对主机系统安全，主要以和为主针对业务系统安全，包括网管系统计费系统和网络应用服务器系统例如等。

数据库系统安全目前金桥网上数据库以为主，数据库安全管理涉及到用户权限管理，数据访问控制，数据安全与备份等。

数据安全管理对象主要是网络应用服务器中向用户提供信息服务各类信息，以及计划建设数据中心等。

卖方应能够提出建设数据中心安全解决方案建议。

防病毒构造全网统防病毒体系。

主要面向服务器，以及办公网