第1章 综述1.1 前言随着计算机技术和通信技术的飞速开展,信息化浪潮席卷全球,一种全新的先进生产力的出现已经把人类带入了一个新的时代。信息技术的开展极改变了人们的生活、工作模式,网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷,世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。1.2 深信服的安全理念网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不连续的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以与信息交换的需要,采纳完全隔离手段保障网络安全很少被采纳。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的本钱提高到他们不能承受的程度。这里的本钱包括设备本钱、人力本钱、时间本钱等多方面的因素。为提高恶意攻击者的攻击本钱,深信服的安全理念提供了多层次、多深度的防护体系,。第2章 防火墙解决方案2.1 网络攻击检测对有服务攻击倾向的访问请求,防火墙实行两种方式来处理:禁止或代理。对于明确的百害而无一利的数据包如地址欺骗、Ping of Death 等,防火墙会明确地禁止。对一些借用正常访问形式发生的攻击,因为不能一概否认,防火墙会启用代理功能,只将正常的数据请求放行。防火墙处在最前线的位置,承受攻击分析带来的资源损耗,从而使部数据服务器免受攻击,专心做好服务。因为防火墙主动承接攻击,或主动分析数据防止攻击,其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能安全需求。2.2 访问控制从外网〔互联网或广域网〕进入部网的用户,可以被防火墙有效地进展类别划分,即区分为外部移动办公用户和外部的公共访问者。防火墙可以允许合法用户的访问以与限制其正常的访问,禁止非法用户的试图访问。限制用户访问的方法,简单讲就是策略控制。通过源 IP、目的 IP、源应用端口、目的端口等对用户的访问进展区分。此外,配合策略控制,还有多种辅助手段增强这种策略控制的灵活性和强度,如日志记录、流量计数、身份验证、时间定义、流量控制等。深信服防火墙的规那么设置实行自上而下的传统。每条策略可以通过图形化的方式添加、修改、移动、删除,也可以通过 ID 号进展命令行操作。一些细小的特性使使用者感到方便,如可以在添加策略的同时定义 Ad...
