河北省沧州供电公司网络安全防护系统应用分析0木炭机

河北省沧州供电公司网络安全防护系统应用分析

河北省沧州供电公司网络安全防护系统应用分析 2011年12月09日 来源： 编者按在我国信息化应用热潮中，各行各业的众多企业已经搭建起自己的网络系统和应用系统。如何为系统运行提供行之有效的安全保护措施，已成为传统产业用户和新兴领域用户都密切关注和亟待解决的问题。本方案选择了两款网络安全系统解决方案，希望能为读者提供不同类型的网络安全应用策略。 　　沧州供电公司采取两种安全措施，分别是网络防毒系统和网络防火墙系统，为该公司计算机网络和应用系统的顺利运行筑起了两道安全屏障。 　　第一道安全屏障 　　网络防毒系统 　　系统选型 沧州供电公司选用Symantec企业级防毒软件Norton AntiVirus 7.0（以下简称NAV7）建立了网络防毒系统。通过多平台工作站和服务器的病毒码信息集中部署和产品更新，大幅度降低了部署更新的成本，并简化了企业服务器层次规划和创建。在该系统中，管理员从一个集中控制台设置管理策略，对基于DOS、Windows 3x、Windows 9x和Windows 2000的工作站以及基于Windows NT/Windows 2000 Server和NetWare服务器进行更新和配置。所有客户机均可锁定设置以防用户修改，也可在管理平台上对客户机进行配置并进行监控。一旦检测到病毒，该系统将自动修复并通过控制台向管理员发出报警。在该系统中，管理员只需在NAV7的安装过程中运行LiveUpdate并设置好其自动运行的时间。在以后的运行过程中，当满足设定的时间条件时，LiveUpdate会自动运行并进行病毒码信息更新。 　　系统架构 在沧州供电公司计算机网络系统中，有5台服务器：两台Alpha小型机服务器组成负载均衡的集群系统，用于数据库服务器，安装了Tru64 Unix操作系统；两台HP企业级微机服务器LH3000，分别用于办公自动化系统和Internet代理/电子邮件系统，均以主机方式运行，操作系统为Windows NT 4.0；一台HP微机服务器LC3，用于网络防毒和数据备份，操作系统为Windows NT 4.0。网络工作站全部基于Windows 9x和Windows 2000。该公司网络防毒系统主要针对基于NT系统的服务器和全公司的网络工作站，其拓扑结构如图1所示。 　　应用模式 沧州供电公司网络防毒系统采用C/S模式，在网络防毒服务器中安装NAV7.0服务器端程序，并通过Internet利用NAV LiveUpdate功能，从Symantec的免疫中心实时获取最新的病毒码信息。两台LH3000服务器和全公司的网络工作站都安装了NAV7.0客户端软件，利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描，并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描：实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低，因此该系统全部采用预置扫描方式，将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要，选择合适的方式进行病毒扫描。 　　第二道安全屏障 　　网络防火墙系统 　　系统选型 沧州供电公司针对内部Intranet特点，选用企业级防火墙NetScreen100建立网络防火墙系统。该系统采用ASIC硬件方式处理防火墙访问策略和加密算法，减轻了CPU管理数据流的负担，并在速度上有较大提高。该系统在应用过程中，通过NetScreen100的网络地址转换（NAT）功能来隐藏内部网络的IP地址; 通过其动态访问过滤功能动态检查流经的IP数据包，根据设定的规则决定数据包是否可以通过，并将不合法的数据包过滤掉；通过其URL地址限定功能限制对某些站点的访问，防止内部网络对外部网络进行不安全的访问。同时在该系统中，NetScreen100提供的三个10/100M自适应以太网口，方便地实现了与网络设备的连接。管理员可采用浏览器、Windows 95/NT图形界面、SNMP Managers或命令行界面，进行过滤规则、流量带宽控制、优先级等方面设置。 　　系统架构 沧州供电公司的Internet接入是通过省电力公司的Internet出口实现的。沧州供电公司在调度通信机房中，放置了一个PassPort路由器，通过微波通信与省公司的计算机网络相连。NetScreen100防火墙设置在PassPort路由器和内部网络设备之间，分别通过双绞线进行连接。同时，根据沧州供电公司的实际应用情况，在NetScreen100上设置了分组过滤规则，对内部网络与外部网络之间所有通信数据按照设定的规则进行检查。网络防火墙系统拓扑结构如图2所示。 　　应用模式 沧州供电公司工作站对外部网络（Internet、省公司或其他电力公司网络）资源进行访问或收发电子邮件时，首先要通过Internet代理服务器进行身份验证。通过验证的用户发出或接收的数据包在NetScreen100上进行验证，符合规则的数据包可以正常收发，不符合规则的数据包将被过滤掉。外部网络的工作站对该公司内部网络资源进行访问时，其数据包同样要在NetScreen100中进行规则验证，非法数据包将被隔离在内部网络之外。只有安全的数据包（符合定义规则的数据包）才能在内部网络和外部网络之间进行通信，从而保证了内部网络的安全、可靠。

贵阳白驳风治疗哪家好

刘志军挂号

哈尔滨治脑血管畸形多少钱

泗水哪家治疗羊角风好

昆明治甲减医院哪家好