网络安全集成方案（网络人员）

网络安全集成方案

目 录

第一章 网关安全.............................................................................................................................2

第二章 全性...............................................................................................................................2

第三章 加密...............................................................................................................................2

第四章 性能...............................................................................................................................2

第五章 容量...............................................................................................................................3

第六章 灵活性..........................................................................................................................3

1、防毒墙技术的领导者.................................................................................................10

2、整体服务器、群件服务器市场排第一....................................................................10

3．入侵检测系统（Intrusion Detection System）.........................................................11

第一章 网关安全

网络安全首先是边界安全即网关安全，在企业网关处加入防火墙。选择按全方案需要考虑

多方面的因素：安全性、加密、性能、容量、灵活性、稳健性

第二章 全性

安全设备装置除了提供状态检验的防火墙及存取监管，更须拥有多项入侵防护和警报

功能，确保整个网络更加稳固。有关设备装置不应依赖普遍性的作业系统作为防火墙的软

件平台，因为这类平台的弊病是很容易被侵入破坏，且需要进行定期修补和更新。由于很

火墙的传输速率亦大受影响。即使加上专用的 VPN 硬件加速卡，个人电脑的结构只会使

VPN 性能出现轻微改善。

供应商之间为系统设置 VPN 互通性能是另一个必须考虑的因素，尤以现今营运的环境

倾向企业合并、建造企业外联网络，将工作外包给服务供应商及通勤 VPN 用户的诞生。

远端分支站点设立的 VPN 所面对的安全威胁与中央网络大致相同，然而这问题经常为

人所忽视。远端工作人员和分公司一般会使用本地互联网络或企业 VPN 接入，但这无形中

让企业受到‘U 型’攻击的机会大增，入侵者可以通过分支站点设立的 VPN 进入网络，然后

通过 VPN 通道进入企业内部网络。VPN 专用设备装置可以进行设置，过滤所有并非前往

或来自企业 VPN 网络的流量，但是由于企业网络连接互联网络多了一层阻隔，这会引起

远端节点出现传输延误和可能的网络堵塞情况。与中央网络的配置一样，将 VPN 通道的重

览，从而透过电子商务直接满足客户的需要，或者获取客户资料作为将来行销之用。不过，

所有行销活动都会带来一个副作用，便是引起骇客的注意。

　　这些推销活动会直接或间接地加重企业防火墙的负荷，并提高出现系统故障或被侵袭

的情况。局部故障最严重的例子是防火墙成为瓶颈，令客户流量传输变得缓慢不已。在现

今商业环境下，一个运作迟缓的网站是完全不可接受的，一旦发生这种情况，公司的声誉

和收入会受到沉重打击。

　　企业将部分基础设施外包给服务供应商的主要原因之一，是希望获得更多的频宽、更

完善的备援机构，以及在 Web 和电子商务方面得到更高水准的专业服务。因此，相比选

择不外包的企业，对服务供应商在各方面的原需求为高，包括传输速率、会话

（session）或 VPN 通道数目，以及处理尖峰流量负载的能力。同时，服务供应商必须根

因为家庭办公人员、远端工作人员、分公司和内部网络的伙伴全部将 VPN 通道的终点设于

中央站点。此外，中央站点方案也需要支援数以千计的并发 VPN 通道，以及可选择支援中

转站（Hub and Spoke）的配置，让各分公司之间可以互相联系，而不需建立错综复杂

的 VPN 拓扑网络。

　　企业防火墙通常利用数据包状态监测追踪每个离开和进入企业网络周边的会话。一旦

防火墙达到可以处理的最高会话数目的容量时，所有新的会话将不会获准经过防火墙，直

至完成处理现有会话为止。对网站而言，这是一个非常严重的问题，因为用户浏览每一版

网页，已经包含众多个并发 HTTP 会话。换言之，受欢迎网站的防火墙需要同时处理数以

万计的并发会话。在达到尖峰流量负载期间，一道防火墙可以处理新用户的流量是极为重

要的，这容量一般称为斜率（ramp rate），即计算每秒可以增加新会话的数目。高斜率

以下特点：

1.当网络频宽增加，或是拓扑架构改变时，必须能增加不同的或是额外的实体界面（如路

由器，交换机等）；

2.必须能在不同的企业环境中发挥性能，例如中央网点、主机代管设施，或是分公司；

3.必须让使用者得以自行调整部分功能，而毋需求助于制造商。这些功能例如：VPN 授权、

支援额外的 IP 位址部分，以及增加会话数目。

　　从设备扩展性的角度来看，服务供应商必须能够配合整体市场的增长，以及现有个别

客户需求的提升。换言之，成功的服务供应商必须具备长远产品策划的条件。他们需要配

合客户数目的递增，从数十个到数百个，甚至数千个时，仍然能提供优质的可控安全服务，

无需对已经建好的安全平台及管理工具进行重大的改动。更进一步来看，这些网络安全设

备还必须易于扩展以添置新的服务项目来增加收入，而不需要更换客户的硬件平台。例如，

2.传输带宽以外提供近端与远端的监管能力；

3.可组态系统以兼备高可用性及热备援方案。

另外，网络的设计必须仔细考虑负载能力的问题，设备装置所能承载的流量，必须高

于平时需求的百分之五十，以应付尖峰时段的需求、远端节点的扩张、流量的增加及骇客

的攻击。

网络拓扑结构示意图：