搭建安全高速可管理的互联网Stillwatersrundeep.流静水深流静水深,人静心深人静心深Wherethereislife,thereishope。有生命必有希望。有生命必有希望安全现状安全现状随着随着随着随着InternetInternetInternetInternet技术的普及。现在愈来愈多的企业、学校技术的普及。现在愈来愈多的企业、学校技术的普及。现在愈来愈多的企业、学校技术的普及。现在愈来愈多的企业、学校和机关开始连接到和机关开始连接到和机关开始连接到和机关开始连接到InternetInternetInternetInternet上。英特网技术的普及给人们上。英特网技术的普及给人们上。英特网技术的普及给人们上。英特网技术的普及给人们带来沟通便利的同时，也带来了一些安全和管理方面的问带来沟通便利的同时，也带来了一些安全和管理方面的问带来沟通便利的同时，也带来了一些安全和管理方面的问带来沟通便利的同时，也带来了一些安全和管理方面的问题：题：题：题：l l内部网不断受到病毒和木马的直接或间接攻击内部网不断受到病毒和木马的直接或间接攻击内部网不断受到病毒和木马的直接或间接攻击内部网不断受到病毒和木马的直接或间接攻击, , , ,网络出口断网络出口断网络出口断网络出口断受到病毒和木马数据包的堵塞；受到病毒和木马数据包的堵塞；受到病毒和木马数据包的堵塞；受到病毒和木马数据包的堵塞；l l局域网内出现有异常流量或者不断发包电脑，但无法准确局域网内出现有异常流量或者不断发包电脑，但无法准确局域网内出现有异常流量或者不断发包电脑，但无法准确局域网内出现有异常流量或者不断发包电脑，但无法准确定位；定位；定位；定位；l l基于基于基于基于WindowsWindowsWindowsWindows的代理服务器不断受到木马和蠕虫的攻击，代的代理服务器不断受到木马和蠕虫的攻击，代的代理服务器不断受到木马和蠕虫的攻击，代的代理服务器不断受到木马和蠕虫的攻击，代理服务器效率低，使网络出口瘫痪；理服务器效率低，使网络出口瘫痪；理服务器效率低，使网络出口瘫痪；理服务器效率低，使网络出口瘫痪；l l对学校，如何有效的保护学生对几百万个有害站点进行过对学校，如何有效的保护学生对几百万个有害站点进行过对学校，如何有效的保护学生对几百万个有害站点进行过对学校，如何有效的保护学生对几百万个有害站点进行过滤，避免学生上网浏览色情反动的内容；滤，避免学生上网浏览色情反动的内容；滤，避免学生上网浏览色情反动的内容；滤，避免学生上网浏览色情反动的内容；l l对企业，上班时间无法控制游戏、对企业，上班时间无法控制游戏、对企业，上班时间无法控制游戏、对企业，上班时间无法控制游戏、QQQQQQQQ、MSNMSNMSNMSN及工作无关的程及工作无关的程及工作无关的程及工作无关的程序的运行；序的运行；序的运行；序的运行；l l局域网内有个别电脑一直挂着局域网内有个别电脑一直挂着局域网内有个别电脑一直挂着局域网内有个别电脑一直挂着BTBTBTBT下载或浏览电影，占用了下载或浏览电影，占用了下载或浏览电影，占用了下载或浏览电影，占用了很多带宽资源，却无从下手；很多带宽资源，却无从下手；很多带宽资源，却无从下手；很多带宽资源，却无从下手；l l安全产品对管理人员要求很高，要求网管人员有很高的专安全产品对管理人员要求很高，要求网管人员有很高的专安全产品对管理人员要求很高，要求网管人员有很高的专安全产品对管理人员要求很高，要求网管人员有很高的专业知识；业知识；业知识；业知识；安全需求安全需求归结起来，校园的网络问题主要是两个方面的问题：归结起来，校园的网络问题主要是两个方面的问题：归结起来，校园的网络问题主要是两个方面的问题：归结起来，校园的网络问题主要是两个方面的问题：网络安全方面网络安全方面网络安全方面网络安全方面l l对学校来说，不可能会把所有的网络安全产品都买回对学校来说，不可能会把所有的网络安全产品都买回对学校来说，不可能会把所有的网络安全产品都买回对学校来说，不可能会把所有的网络安全产品都买回来部署。因此，要求安全网关提供的功能就比一般的来部署。因此，要求安全网关提供的功能就比一般的来部署。因此，要求安全网关提供的功能就比一般的来部署。因此，要求安全网关提供的功能就比一般的防火墙要多：访问控制、流量控制、入侵检测、网络防火墙要多：访问控制、流量控制、入侵检测、网络防火墙要多：访问控制、流量控制、入侵检测、网络防火墙要多：访问控制、流量控制、入侵检测、网络监控、病毒扫描等方面的技术。监控、病毒扫描等方面的技术。监控、病毒扫描等方面的技术。监控、病毒扫描等方面的技术。网络管理方面网络管理方面网络管理方面网络管理方面l l如果光有好的安全产品，但不能提供校园网络管理人如果光有好的安全产品，但不能提供校园网络管理人如果光有好的安全产品，但不能提供校园网络管理人如果光有好的安全产品，但不能提供校园网络管理人员人性化的，便利的管理手段，同样也会使安全产品员人性化的，便利的管理手段，同样也会使安全产品员人性化的，便利的管理手段，同样也会使安全产品员人性化的，便利的管理手段，同样也会使安全产品的使用率大打折扣。另外，如果光有安全功能，但缺的使用率大打折扣。另外，如果光有安全功能，但缺的使用率大打折扣。另外，如果光有安全功能，但缺的使用率大打折扣。另外，如果光有安全功能，但缺少学校想要的管理功能，同样不能满足中小城市企业少学校想要的管理功能，同样不能满足中小城市企业少学校想要的管理功能，同样不能满足中小城市企业少学校想要的管理功能，同样不能满足中小城市企业的需要。能不能提供一套功能丰富、便于管理和满足的需要。能不能提供一套功能丰富、便于管理和满足的需要。能不能提供一套功能丰富、便于管理和满足的需要。能不能提供一套功能丰富、便于管理和满足中小企业功能需求的产品，是校园网络管理方面实际中小企业功能需求的产品，是校园网络管理方面实际中小企业功能需求的产品，是校园网络管理方面实际中小企业功能需求的产品，是校园网络管理方面实际需求。需求。需求。需求。方案设计方案设计通过卓冠系列安全产品，对网络系统、网络通过卓冠系列安全产品，对网络系统、网络通过卓冠系列安全产品，对网络系统、网络通过卓冠系列安全产品，对网络系统、网络安全设备以及主要应用实施统一的安全策略、安全设备以及主要应用实施统一的安全策略、安全设备以及主要应用实施统一的安全策略、安全设备以及主要应用实施统一的安全策略、集中管理、集中审计、并通过网络安全设备集中管理、集中审计、并通过网络安全设备集中管理、集中审计、并通过网络安全设备集中管理、集中审计、并通过网络安全设备间的互动，充分发挥网络安全防护系统的整间的互动，充分发挥网络安全防护系统的整间的互动，充分发挥网络安全防护系统的整间的互动，充分发挥网络安全防护系统的整体效能。整体方案力求能监测和审计网络行体效能。整体方案力求能监测和审计网络行体效能。整体方案力求能监测和审计网络行体效能。整体方案力求能监测和审计网络行为，能监督规章制度的执行，能发挥网络巡为，能监督规章制度的执行，能发挥网络巡为，能监督规章制度的执行，能发挥网络巡为，能监督规章制度的执行，能发挥网络巡警的作用，形成一种威慑力量，可有效地遏警的作用，形成一种威慑力量，可有效地遏警的作用，形成一种威慑力量，可有效地遏警的作用，形成一种威慑力量，可有效地遏制基于网络的非法攻击和内部用户的越权互制基于网络的非法攻击和内部用户的越权互制基于网络的非法攻击和内部用户的越权互制基于网络的非法攻击和内部用户的越权互访。通过本方案的布署，不但能有效的管理访。通过本方案的布署，不但能有效的管理访。通过本方案的布署，不但能有效的管理访。通过本方案的布署，不但能有效的管理网络安全设备，还可将网络安全管理的功能网络安全设备，还可将网络安全管理的功能网络安全设备，还可将网络安全管理的功能网络安全设备，还可将网络安全管理的功能延伸之网络的所有客户机，通过网络安全管延伸之网络的所有客户机，通过网络安全管延伸之网络的所有客户机，通过网络安全管延伸之网络的所有客户机，通过网络安全管理员操作和系统互动，达到对网络信息系统理员操作和系统互动，达到对网络信息系统理员操作和系统互动，达到对网络信息系统理员操作和系统互动，达到对网络信息系统多层次大纵深防护的目的，实现网络系统信多层次大纵深防护的目的，实现网络系统信多层次大纵深防护的目的，实现网络系统信多层次大纵深防护的目的，实现网络系统信息的动态安全。息的动态安全。息的动态安全。息的动态安全。系统框架系统框架防火墙部分防火墙部分l l卓冠防火墙是采用多项新技术、基于卓冠防火墙是采用多项新技术、基于Linux和和FreeBSD平台的企业级防火墙产品。平台的企业级防火墙产品。l l采用了状态检测、病毒检测等一系列相关技采用了状态检测、病毒检测等一系列相关技术。集成天骄科技的网络监控、入侵检测、术。集成天骄科技的网络监控、入侵检测、网络内容审计等产品，可为用户提供较全面网络内容审计等产品，可为用户提供较全面的网络安全整体防护和检测技术。的网络安全整体防护和检测技术。内网安全管理部分内网安全管理部分l l卓冠卓冠INSEC内网安全管理系统由三部分组成，内网安全管理系统由三部分组成，服务器模块（服务器模块（INSECServer）、控制台模）、控制台模块（块（INSECConsole）和客户端代理模块）和客户端代理模块（INSECAgent）。客户端代理模块安装在）。客户端代理模块安装在每一台需要被监视的计算机上。服务器模块每一台需要被监视的计算机上。服务器模块用来存储和管理所有安装有代理模块的计算用来存储和管理所有安装有代理模块的计算机，用于管理监视所产生的资料，一般安装机，用于管理监视所产生的资料，一般安装在一台具有高性能在一台具有高性能CPU和大容量内存的用作和大容量内存的用作服务器的计算机上。控制台模块主要用于监服务器的计算机上。控制台模块主要用于监视每台安装有代理模块的计算机及查看历史视每台安装有代理模块的计算机及查看历史记录，一般安装在公司的管理人员的计算机记录，一般安装在公司的管理人员的计算机上，也可以和服务器模块安装在同一台计算上，也可以和服务器模块安装在同一台计算机上。机上。内网安全管理系统服务器模块内网安全管理系统服务器模块l l包括服务器端软件和支持数据库。支持操作包括服务器端软件和支持数据库。支持操作系统为系统为MicrosoftWindows2000/XP/2003系列。服务器以系列。服务器以MicrosoftSQLServer2000为后台数据库，同时也支持为后台数据库，同时也支持MicrosoftAccess数据库。数据库。服务器功能服务器功能l l定时搜索网络，管理所有已安装代理程序的定时搜索网络，管理所有已安装代理程序的机器，并向代理模块传递相关的设置和命令机器，并向代理模块传递相关的设置和命令信息；信息；l l接收控制台用户数据请求指令，传送数据文接收控制台用户数据请求指令，传送数据文件到控制台，由控制台进行解密查看分析；件到控制台，由控制台进行解密查看分析；l l保存客户端代理用户信息；保存客户端代理用户信息；l l存储系统组织结构，用户信息和系统工作配存储系统组织结构，用户信息和系统工作配置参数；置参数；l l收集代理模块的采集的数据，并将其保存到收集代理模块的采集的数据，并将其保存到数据库中；数据库中；l l提供方便灵活的历史记录管理、归档、搜索、提供方便灵活的历史记录管理、归档、搜索、查看等功能查看等功能内网安全管理系统控制台模块内网安全管理系统控制台模块l l卓冠卓冠INSEC控制台是实现系统管理、参数配控制台是实现系统管理、参数配置、策略管理、系统审计的人机交互界面软置、策略管理、系统审计的人机交互界面软件系统。系统运行平台为件系统。系统运行平台为MicrosoftWindows2000/XP/2003系列。系列。控制台功能控制台功能l l参数设置，包括控制台和服务器的工作参数；参数设置，包括控制台和服务器的工作参数；参数设置，包括控制台和服务器的工作参数；参数设置，包括控制台和服务器的工作参数；l l用户管理，包括：添加、删除、修改；系统用户采用户管理，包括：添加、删除、修改；系统用户采用户管理，包括：添加、删除、修改；系统用户采用户管理，包括：添加、删除、修改；系统用户采用分权分级的管理方式，每个用户都有其授权工作用分权分级的管理方式，每个用户都有其授权工作用分权分级的管理方式，每个用户都有其授权工作用分权分级的管理方式，每个用户都有其授权工作范围和管理权限；范围和管理权限；范围和管理权限；范围和管理权限；l l安全工作域结构管理，包括创建组织结构层次深度安全工作域结构管理，包括创建组织结构层次深度安全工作域结构管理，包括创建组织结构层次深度安全工作域结构管理，包括创建组织结构层次深度以及添加、删除系统组织结构；以及添加、删除系统组织结构；以及添加、删除系统组织结构；以及添加、删除系统组织结构；l l客户端代理的添加、安装和卸载；客户端代理的添加、安装和卸载；客户端代理的添加、安装和卸载；客户端代理的添加、安装和卸载；l l客户端代理策略的配置和下发；客户端代理策略的配置和下发；客户端代理策略的配置和下发；客户端代理策略的配置和下发；l l实时获取被监视计算机的屏幕快照等信息；实时获取被监视计算机的屏幕快照等信息；实时获取被监视计算机的屏幕快照等信息；实时获取被监视计算机的屏幕快照等信息；l l设置监视和控制规则；设置监视和控制规则；设置监视和控制规则；设置监视和控制规则；l l查看并播放记录在服务器端的历史记录；查看并播放记录在服务器端的历史记录；查看并播放记录在服务器端的历史记录；查看并播放记录在服务器端的历史记录；l l查询特定机器特定时刻的历史记录；查询特定机器特定时刻的历史记录；查询特定机器特定时刻的历史记录；查询特定机器特定时刻的历史记录；l l监测日志的查看、分析和审计。监测日志的查看、分析和审计。监测日志的查看、分析和审计。监测日志的查看、分析和审计。内网安全管理系统客户端模块内网安全管理系统客户端模块l l客户端代理模块是安装于受监控主机上的监客户端代理模块是安装于受监控主机上的监测软件测软件l l本地用户不能自行卸载、关闭监控程序。客本地用户不能自行卸载、关闭监控程序。客户端代理的工作平台目前支持户端代理的工作平台目前支持MicrosoftWindows系列操作系统包括系列操作系统包括Windows98/Me、Windows2000、WindowsXP和和Windows2003。客户端模块主要功能客户端模块主要功能l l接收服务器下发的工作策略，并按照该策略控制客接收服务器下发的工作策略，并按照该策略控制客接收服务器下发的工作策略，并按照该策略控制客接收服务器下发的工作策略，并按照该策略控制客户端代理的工作模式；户端代理的工作模式；户端代理的工作模式；户端代理的工作模式；l l信息泄露防护，该模块包括：网络层、应用层、媒信息泄露防护，该模块包括：网络层、应用层、媒信息泄露防护，该模块包括：网络层、应用层、媒信息泄露防护，该模块包括：网络层、应用层、媒体介质、打印机和外设接口等造成的信息泄露防护；体介质、打印机和外设接口等造成的信息泄露防护；体介质、打印机和外设接口等造成的信息泄露防护；体介质、打印机和外设接口等造成的信息泄露防护；l l运行监测：实时记录文件的删除、重命名、进程、运行监测：实时记录文件的删除、重命名、进程、运行监测：实时记录文件的删除、重命名、进程、运行监测：实时记录文件的删除、重命名、进程、服务、驱动、用户和组的变化情况；服务、驱动、用户和组的变化情况；服务、驱动、用户和组的变化情况；服务、驱动、用户和组的变化情况；l l资源获取：接收服务器指令，上传系统的软件、硬资源获取：接收服务器指令，上传系统的软件、硬资源获取：接收服务器指令，上传系统的软件、硬资源获取：接收服务器指令，上传系统的软件、硬件信息；件信息；件信息；件信息；l l定时采集数据并保存，定时将采集的数据传送到服定时采集数据并保存，定时将采集的数据传送到服定时采集数据并保存，定时将采集的数据传送到服定时采集数据并保存，定时将采集的数据传送到服务器；务器；务器；务器；l l响应控制台发出的监视请求，传送实时的屏幕快照响应控制台发出的监视请求，传送实时的屏幕快照响应控制台发出的监视请求，传送实时的屏幕快照响应控制台发出的监视请求，传送实时的屏幕快照信息；信息；信息；信息；l l根据系统的设置控制计算机的操作。根据系统的设置控制计算机的操作。根据系统的设置控制计算机的操作。根据系统的设置控制计算机的操作。内网安全管理系统功能详解内网安全管理系统功能详解计算机安全管理计算机安全管理l l禁用设备禁用设备l l报警规则报警规则l l网络端口管理网络端口管理l l网络共享网络共享l l文档操作文档操作l l锁定计算机锁定计算机l l上网限制上网限制行为规范管理行为规范管理l l应用程序报告应用程序报告l l访问网站报告访问网站报告l l过滤应用程序过滤应用程序l l过滤网站过滤网站l l过滤网站过滤网站l l屏幕快照和跟踪屏幕屏幕快照和跟踪屏幕l l聊天内容监控聊天内容监控资产管理资产管理l l卓冠内网管理系统主动管理内网环境中的卓冠内网管理系统主动管理内网环境中的IT资产资产,通过自动发现软硬件资产信息、配置通过自动发现软硬件资产信息、配置信息、软硬件使用状况，并根据需要输出各信息、软硬件使用状况，并根据需要输出各种不同类型的报表，提供完善的资产管理功种不同类型的报表，提供完善的资产管理功能。能。远程管理远程管理l l结合用户需要的服务，提供远程支持、维护、结合用户需要的服务，提供远程支持、维护、诊断。诊断。90%的服务只需要远程技术支持就可的服务只需要远程技术支持就可以实现以实现,采用远程支持的方式，可以使平时采用远程支持的方式，可以使平时10分钟的工作分钟的工作3分钟完成。分钟完成。实例实例封蠕虫病毒封蠕虫病毒l l要具体看是哪一种蠕虫，用的是什么端口要具体看是哪一种蠕虫，用的是什么端口比比如常见的冲击波，震荡波，用的就是如常见的冲击波，震荡波，用的就是TCP139445135端口，端口，UDP137138端口端口封堵某个程序，必须要知道此封堵某个程序，必须要知道此程序使用的端口程序使用的端口l l现在介绍两种如何查程序的端口方法：现在介绍两种如何查程序的端口方法：l l1、在在WINDOWS界面下：有查端口的工具界面下：有查端口的工具aports，运行就可以了。或者用天网软件防，运行就可以了。或者用天网软件防火墙。先运行天网，再运行程序，这时候天火墙。先运行天网，再运行程序，这时候天网就会跳出对话框，显示程序使用的是什么网就会跳出对话框，显示程序使用的是什么端口，连接的是什么端口，连接的是什么ip地址。地址。l l2、在在dos下查看：在下查看：在“开始开始/运行运行”键入键入“cmd”，键入，键入“netstat-an”就可以看到就可以看到瞬间连接和已建连接的程序端口和瞬间连接和已建连接的程序端口和ip地址地址常见端口说明常见端口说明l lftp21/tcpftp21/tcpl lTelent23/tcpTelent23/tcpl lhttp80/tcphttp80/tcpl lSmtp25/tcpSmtp25/tcpl lPop3110/tcpPop3110/tcpl lhttps443/tcp/udphttps443/tcp/udpl lDns53/tcp/udpDns53/tcp/udpl lmsn1863/tcpmsn1863/tcpl l详细见微软官方网站，主要详细见微软官方网站，主要详细见微软官方网站，主要详细见微软官方网站，主要 MicrosoftMicrosoft服务器产服务器产服务器产服务器产品使用的网络端口品使用的网络端口品使用的网络端口品使用的网络端口ttp:/www.microsoft.com/china/technet/securitttp:/www.microsoft.com/china/technet/security/sgk/ref_net_ports_ms_prod.mspxy/sgk/ref_net_ports_ms_prod.mspx网络时通时断可能网络时通时断可能l l内部与防火墙有地址冲突内部与防火墙有地址冲突l l内部机器经常更换地址相互冲突内部机器经常更换地址相互冲突l l内部内部BT与病毒太多堵死防火墙和交换机与病毒太多堵死防火墙和交换机l l线路接触不良线路接触不良l l客户客户DNS设置不对设置不对网络很慢如何诊断网络很慢如何诊断l l内部有大量感染病毒机器，或使用内部有大量感染病毒机器，或使用BT的机的机器，造成内部网络流量太大，所以网速慢器，造成内部网络流量太大，所以网速慢l l集线器是用的集线器是用的10M的口，与防火墙直连后工的口，与防火墙直连后工作方式自动匹配为作方式自动匹配为10M单工方式所以网速慢单工方式所以网速慢。解决方法，用。解决方法，用10/100M自适应交换机与防自适应交换机与防火墙相连。火墙相连。l l网络连接的双绞线，水晶头接触不好，造成网络连接的双绞线，水晶头接触不好，造成大量错误，重发的数据包。大量错误，重发的数据包。ping不通外网不通外网l l不能上网，不能上网，ping不通外网：内外网卡线没有不通外网：内外网卡线没有插牢或者在墙内外网上的设置有问题！插牢或者在墙内外网上的设置有问题！l l能上网，能上网，ping不通外网：不通外网：“安全策略安全策略”没有没有放开放开ping的策略，的策略，ping的协议是的协议是IGMP8安全策略不起效果安全策略不起效果l l卓冠防火墙安全策略优先级是由上向下的当卓冠防火墙安全策略优先级是由上向下的当一个数据包发来时，安全策略由上向下匹配，一个数据包发来时，安全策略由上向下匹配，当找到一条匹配的策略时，将不再向下寻找。当找到一条匹配的策略时，将不再向下寻找。因此如果你将一类数据包禁止通过时，但在因此如果你将一类数据包禁止通过时，但在这条规则上面还有一条是将这一类容许通过这条规则上面还有一条是将这一类容许通过的，那这类数据包就可以通过。的，那这类数据包就可以通过。l l所以当发现策略不生效时，应检查所有的策所以当发现策略不生效时，应检查所有的策略是否有互相矛盾的地方。并注意先后次序略是否有互相矛盾的地方。并注意先后次序Q&A