当河北省沧州供电公司网络安全防护系统应用分

河北省沧州供电公司络安全防护系统应用分析

编者按在我国信息化应用热潮中，各行各业的众多企业已经搭建起自己的络系统和应用系统。如何为系统运行提供行之有效的安全保护措施，已成为传统产业用户和新兴领域用户都密切关注和亟待解决的问题。本方案选择了两款络安全系统解决方案，希望能为读者根据加荷速度适当调理速度阀进行加荷提供不同类型的络安全应用策略。

沧州供电公司采取两种安全措施，分别是络防毒系统和络防火墙系统，为该公司计算机络和应用系统的顺利运行筑起了两道安全屏障。

第一道安全屏障

络防毒系统

系统选型 沧州供电公司选用Symantec企业级防毒软件Norton AntiVirus 7.0（以下简称NAV7）建立了络防毒系统。通过多平台工作站和服务器的病毒码信息集中部署和产品更新，大幅度降低了部署更新的成本，并简化了企业服务器层次规划和创建。在该系统中，管理员从一个集中控制台设置管理策略，对基于DOS、Windows 3x、Windows 9x和Windows 2000的工作站以及基于Windows NT/Windows 2000 Server和NetWare服务器进行更新和配置。所有客户机均可锁定设置以防用户修改，也可在管理平台上对客户机进行配置并进行监控。一旦检测到病毒，该系统将自动修复并通过控制台向管理员发出报警。在该系统中，管理员只需在NAV7的安装过程中运行LiveUpdate并设置好其自动运行的时间。在以后的运行过程中，当满足设定的时间条件时，LiveUpdate会自动运行并进行病毒码信息更新。

系统架构 在沧州供电公司计算机络系统中，有5台服务器：两台Alpha小型机服务器组成负载均衡的集群系统，用于数据库服务器，安装了Tru64 Unix操作系统；两台HP企业级微机服务器LH3000，分别用于办公自动化系统和Internet代理/电子邮件系统，均以主机方式运行，操作系统为Windows NT 4.机器本身对工作环境有1定的要求0；一台HP微机服务器LC3，用于络防毒和数据备份，操作系统为Windows NT 4.0。络工作站全部基于Windows 9x和W通过自主研发和技术创新indows 2000。该公司络防毒系统主要针对基于NT系统的服务器和全公司的络工作站，其拓扑结构如图1所示。

应用模式 沧州供电公司络防毒系统采用C/S模式，在络防毒服务器中安装NAV7.0服务器端程序，并通过Internet利用NAV LiveUpdate功能，从Symantec的免疫中心实时获取最新的病毒码信息。两台LH3000服务器和全公司的络工作站都安装了NAV7.0客户端软件，利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描，并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描：实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低，因此该系统全部采用预置扫描方式，将扫描时间设定在服务器访问率最低的夜间。络工作站可根据各自需要，选择合适的方式进行病毒扫描。

第二道安全屏障

络防火墙系统

系统选型 沧州供电公司针对内部Intranet特点，选用企业级防火墙NetScreen100建立络防火墙系统。该系统采用ASIC硬件方式处理防火墙访问策略和加密算法，减轻了CPU管理数据流的负担，并在速度上有较大提高。该系统在应用过程中，通过NetScreen100的络地址转换（NAT）功能来隐藏内部络的IP地址; 通过其动态访问过滤功能动态检查流经的IP数据包，根据设定的规则决定数据包是否可以通过，并将不合法的数据包过滤掉；通过其URL地址限定功能限制对某些站点的访问，防止内部络对外部络进行不安全的访问。同时在该系统中，NetScreen100提供的三个10/100M自适应以太口，方便地实现了与络设备的连接。管理员可采用浏览器、Windows 95/NT图形界面、SNMP Managers或命令行界面，进行过滤规则、流量带6、元器件定期巡检：所有压力控制阀、流量控制阀、泵调理器和压力继电器、行程开关、热继电器之类的信号装置宽控制、优先级等方面设置。

系统架构 沧州供电公司的Internet接入是通过省电力公司的Internet出口实现的。沧州供电公司在调度通信机房中，放置了一个PassPort路由器，通过微波通信与省公司的计算机络相连。NetScreen100防火墙设置在PassPort路由器和内部络设备之间，分别通过双绞线进行连接。同时，根据沧州供电公司的实际应用情况，在NetScreen100上设置了分组过滤规则，对内部络与外部络之间所有通信数据按照设定的规则进行检查。络防火墙系统拓扑结构如图2所示。

应用模式 沧州供电公司工作站对外部络（Internet、省公司或其他电力公司络）资源进行访问或收发电子邮件时，首先要通过Internet代理服务器进行身份验证。通过验证的用户发出或接收的数据包在NetScreen100上进行验证，符合规则的数据包可以正常收发，不符合规则的数据包将被过滤掉。外部络的工作站对该公司内部络资源进行访问时，其数据包同样要在NetScreen100中进行规则验证，非法数据包将被隔离在内部络之外。只有安全的数据包（符合定义规则的数据包）才能在内部络和外部络之间进行通信，从而保证了内部络的安全、可靠。