XXX图书馆网络安全整体解决方案.docx
《XXX图书馆网络安全整体解决方案.docx》由会员分享,可在线阅读,更多相关《XXX图书馆网络安全整体解决方案.docx(43页珍藏版)》请在冰豆网上搜索。
XXX图书馆网络安全整体解决方案
XXX图书馆
网络安全整体解决方案
上海恒驰信息技术有限公司
2009-6-10
1企业面临的威胁
随着网络时代日新月异的发展,计算机病毒的传播和蔓延亦不断升级,从宏病毒、特洛伊木马到千变万化、不断“完善”的蠕虫和间谍程序,病毒和间谍软件已给无数个人和企业用户带来了不可估量的损失。
纵观病毒的发展史,90年代初,绝大多数病毒的传播途径是磁盘,因而这一时期的病毒破坏力大多局限于某个区域的范围,传播的速度也相对较慢。
然而,当今病毒传播的方式已经完全改变,利用网络技术,以网络为载体频繁爆发的蠕虫病毒、游戏木马、邮件病毒、QQ病毒、MSN病毒、黑客程序、间谍软件等网络新病毒,已经颠覆了传统的病毒概念。
一个源自中国的病毒可在24小时内散播至全球,若遇上类似Nimda之类的多重渠道感染的黑客型病毒,1-5分钟就可遍及全球。
目前,网络安全最主要的威胁仍然来自于计算机病毒的攻击。
互联网的广泛应用使计算机病毒没有了国界,我国约有90%的计算机遭受过计算机病毒的攻击。
互联网是病毒发作的最大载体,
据国外统计资料,目前世界流行的计算机病毒的前10位是:
VBS_KALAMAR.A,蠕虫病毒,通过邮件进行传播;TROJ_PRETTY_PARK,蠕虫病毒,通过电子邮件传播;TROJ_SKA,在英特网上传播的蠕虫程序,也称作“Happy99”;VBS_LOVELETTER,互联网传播的病毒,其可寻找本地驱动器和映射驱动器,并在所有的目录和子目录中搜索可以感染的目标;PE_CIH,恶性病毒,当其发作条件成熟时将破坏硬盘数据,同时有可能破坏BIOS程序;W97M_MELISSA.W,将自身作为附件自动发给邮件地址列表中前50个地址;TROJ_MTX.A,同时具有病毒、蠕虫和后门程序特点的程序;TROJ_QAZ.A,具有蠕虫和后门程序的特点;W97M_ETHAN.A,宏病毒,使Word的宏防护和确认转换功能失效;O97M_TRISTATE宏病毒,交叉感染MSWord、MSPowerPoint等。
在这10种病毒中,通过网络主动传播的病毒占了7种,另外2种宏病毒可以感染人们编辑的文档,然后通过收发邮件进行传播,PE_CIH可以通过介质、网络下载进行传播,可见互联网是病毒发作的最大载体。
计算机病毒的发作特点及趋势
从当前流行的病毒种类可以看出目前计算机病毒的疫情特点及趋势。
(1)高频度。
2001年至今的病毒疫情发作的频率高,几乎每个月都有新的病毒疫情出现。
据报道造成较大影响的计算机病毒达到百余种之多。
而且恶性病毒的比例大,病毒对计算机用户的危害大大增大。
(2)传播速度快,危害性极大。
由于病毒主要通过网络传播,因此,一种新病毒出现后,可以迅速通过国际互联网传播到世界各地。
如“爱虫”病毒在一、两天内便迅速传播到世界的主要计算机网络。
“爱虫”、“美丽杀”以及CIH等病毒曾给世界计算机信息系统和网络带来灾难性的破坏,有的造成网络拥塞,甚至瘫痪;有的造成重要数据丢失;有的造成计算机内储存的机密信息被窃取;甚至有的计算机信息系统和网络被人控制。
(3)病毒制作技术新,变种多。
与传统的计算机病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现,易于修改以产生新的变种。
例如“爱虫”病毒是用VBScript语言编写的,只要通过Windows下自带的编辑软件修改病毒代码中的一部分,就能轻而易举地制造病毒变种,以躲避反病毒软件的追击。
(4)诱惑性。
现在的计算机病毒充分利用人们的好奇心理。
如前一阵肆虐一时的“裸妻”、“库尔尼科娃”病毒的流行。
(5)病毒形式多样化,难于根治。
病毒呈现多样化的趋势。
病毒分析显示,虽然新病毒不断产生,但较早的病毒发作仍很普遍并有所发展。
此外,新的病毒更善于伪装,如主题会在传播中改变,许多病毒会伪装成常用程序,用来麻痹计算机用户。
(6)具有病毒、蠕虫和后门(黑客)程序的功能。
计算机病毒的编制技术随着网络技术的普及和发展也在不断提高和变化。
过去病毒最大的特点是能够复制自身给其他的程序。
现在,计算机病毒具有了蠕虫的特点,可以利用网络进行传播;同时,有些病毒还具有了黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统,呈现出计算机病毒功能的多样化。
随着全球经济运行对互联网的依赖,企业同时也面对着日趋升温的病毒和黑客的侵扰,越来越多的企业考虑通过构建网络安全系统从整体上对企业的网络实行更为有效的多重防护。
ICSA的数据表明,99%的病毒都是通过SMTP或HTTP进入用户的计算机的,全球因此造成的经济损失达到了129亿美元。
客户作为一个成熟的企业,其信息安全问题必须加以重视,如计算机病毒、敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及垃圾邮件的泛滥等,都将对企业正常的运营构成威胁。
因此,为保证企业信息的安全以及网络系统的健康,我们有必要在客户的网络当中构建完善的防病毒系统,从系统和网络两个方面有效的抵御病毒和各类恶意软件。
如果要评选20世纪90年代以来最有影响力的事物,毫无疑问我们会选择互联网。
互联网的发展让我们始料不及,他改变了人们的交流方式甚至工作习惯。
如果从企业经营的角度来思考,网络带来的正面好处是企业竞争力的提升,有效率的信息传递和与客户沟通的方便。
但是,不容否认的是,互联网如果使用不当,会对公司对企业产生极大的负面影响。
我们经常听到公司老板的抱怨:
“花钱买电脑、装宽带。
本想凭此提高员工工作效率。
但却因此发觉员工上班期间常有滥用网络现象,如上班时间利用网络聊天、看新闻、通过互联网把公司敏感信息轻易传播出去……”。
诸如此类问题,令企业的管理者叫苦不迭。
所以我们不得不承认:
互联网是一把“双面刀”,一方面,它使得企业具有更强的竞争力、沟通力、适应力;另一方面,对互联网使用不当完全有可能给企业自身带来很大的伤害。
如何对互联网行为进行有效的管理和利用,使Internet网真正为企业的生产和经营活动服务,相信是很多公司企业管理者越来越重视的问题。
如何应对互联网带来的负面作用?
难道是拒绝使用?
这恐怕是不可能的,网络已经成为绝大部分公司企业的必要工作手段,害怕互联网的负面影响而隔离于互联世界之外无异于“闭关自守”。
那么,在使用互联网的前提下,怎样使公司企业的网络资源更好地发挥作用就摆在了所有公司企业管理者的面前了。
我们要解决的问题:
●如何保证员工的上网行为是合理的、有效的?
●如何限制员工滥用企业的网络资源?
●如何合理分配利用企业的上网带宽?
●如何避免员工通过邮件或互联网泄漏企业的保密信息?
●如何阻止外部人员对公司内部网络的攻击行为?
●如何更好的管理网络应用?
●如何做好内网的安全管理?
等等
1.1边界安全
1.1.1网关接入安全
根据企业网络应用系统的现状以及未来系统的结构发展,我们认为着重考虑企业的B/S结构应用特点,是防火墙系统技术指标设计的主要依据。
众所周知,防火墙作为网络设备,对网络性能影响最为主要的是两个参数指标,一个是防火墙的TCP连接处理能力(并发会话处理数),另一个是防火墙对网络数据流量的吞吐能力(带宽参数)。
B/S结构的应用系统虽然具有管理简单,客户端开发、使用和维护的成本很低的优点,但是在网络上B/S结构应用系统将会给网络带来巨大的网络流动数据处理压力,而且是并发的。
具体来说,B/S结构的应用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统的并发TCP会话数量,而且这些会话绝大部分是包长很短的“垃圾”IP包。
而这些垃圾包必然对网络设备的负载有着极大影响。
随着Internet的不断普及,新的网络应用层出不穷,并且对于网络带宽的占用日益增高,如网络视频、网络游戏、BT下载等。
企业网络中运行着大量的关键应用,这些关键应用很多都要求极低的网络延迟,而网络中大量的娱乐应用不断吞占着有限的网络带宽,严重影响着关键应用的使用。
同时安全和速度始终是两个对立面的事物。
追求更高的网络安全是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络安全标准。
在目前依赖于网络应用的时代,能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。
由于应用层的检测需要进行深度的数据包解读,而使用传统网络平台所带来的网络延迟将是不可接受的。
好的安全功能同样需要好的硬件平台去实现。
通过对各类防火墙的比较分析,我们认为目前面向B/S结构应用、高性能的硬件防火墙是最为明智的选择。
HIllstoneSA防火墙系列产品可以为客户网络边界安全带来很好的防护,可防止各种攻击行为,具有多种VPN接入功能(IpSecvpn,SSLvpn等),具有很强功能的QoS功能,可针对IP和端口,以及应用对内部用户进行管理,新一代的硬件架构是稳定性和性能完全能满足各大中型企业,企事业单位的需求。
1.1.2边界防病毒
随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。
而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切。
Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。
来自Internet的威胁越来越频繁,不断出现的网络病毒,间谍软件,木马程序,并呈不断上升的趋势。
这不仅影响了计算机网络系统的实际应用,还给企业和个人带来了信息和经济的损失,而且还极大地动摇了用户的信心。
“我们能使用计算机来处理我们的重要信息吗”。
边界的安全刻不容缓,2004年统计85%的攻击主要来自电子邮件和Web,Internet的给企业带来了方便,同时也带来的安全的风险,不断出现的攻击行为,病毒,间谍软件,木马程序,给企业的管理人员增加IT资源的负担,使汽企业降低系统性能与稳定性,降低员工生产效率,工业间谍,银行帐户欺骗,危及用户数据安全。
McAfeeSCM系列产品可为各种规模的公司提供全面的Web和电子邮件安全防护。
其业界最佳的好性能平台可提供针对间谍软件、非法Web内容、网络钓鱼诈骗、垃圾邮件、已知病毒、蠕虫和木马的防护。
1.2桌面安全
随着电子商务和金融电子化的不断发展,网络及其应用系统已成为金融机构日常经营管理的基础平台,网络及其应用系统的瘫痪都将使企业付出巨大的代价。
计算机病毒恰恰是目前导致企业网络宕机的主要根源,防范计算机病毒对网络系统的危害,也就是在防范经营风险。
为了最大限度地防范病毒风险。
计算机病毒的发展呈现出这样的趋势:
1、传播越来越快:
随着互联网的快速发展和网民的高速增长,计算机病毒通过互联网传播的速度越来越快,几乎一夜间就可以影响全球;
2、类型越来越多:
计算机病毒的类型呈现多样化,种类繁多,而且不断变异;
3、破坏越来越大:
计算机病毒已经全面影响用户的正常使用和企业正常工作,破坏程度随着传播速度加快和传播范围加大而日益加深;
4、影响越来越广:
病毒对普通用户、企业甚至国家的信息安全都产生着严重的威胁,影响范围越来越广;
5、手段越来越高:
现在的病毒往往采用最新的编程技术,病毒隐蔽性增强,变异迅速,甚至还对抗安全软件,躲避查杀;
网络病毒,一直是计算机使用者心中的阴影。
从“冲击波”到“熊猫烧香”再到近期出现的“灰鸽子”,一波又一波的电脑病毒给电脑使用者带来了不小的麻烦。
防病毒工作是一项复杂、长期的任务,需要全体人员配合,提高对病毒的警觉和防范意识。
瑞星杀毒软件网络版整个防病毒体系是由几个相互关联的子系统组成。
每一个子系统均包括若干不同的模块,除承担各自的任务外,还与其它子系统通讯,协同工作,共同完成对网络的病毒防护工作。
为网络中的个体计算机提供点到点的立体防护。
1.3网络安全应用管理
互联网的触角无处不在,企业中的网络应用也越来越成熟。
2004年全球计算机拥有量达到了5亿台,占全球总人口的10%。
在这些计算机中,有超过80%已经与互联网连接。
这意味着企业员工可以更快速的从互联网上找到他们需要的内容,可以更高效率的完成工作。
但是,互联网也给企业带来前所未有的威胁。
全天候24个小时在网络上流动的内容和进行的网络行为当中,存在着太多的风险。
超过60%的员工在工作时间浏览与工作无关的内容,导致500人的企业在一年中浪费325万元,企业缺乏有效的上网行为管理手段,将会导致企业的工作效率下降。
员工使用企业网络进行非法活动,例如散播反动、色情信息、进行经济诈骗,将把企业拖进复杂的、难以脱身的法律纠纷当中。
员工在企业内通过互联网下载音乐、图片、电影、游戏和盗版软件,支付账
单或者发送私人娱乐电子邮件,这些行为都会严重占用网络带宽,造成网络堵塞,上网速度下降,极大的影响了其他员工正常使用互联网进行工作,使重要的网络业务无法得到有效的保障。
病毒、木马、间谍软件、恶意代码无处不在,当员工在互联网上随意浏览的
时候,极有可能在不知不觉中就已经中招,系统管理员需要花费大量的时间清除这些潜在威胁,最糟的情况是导致关键数据丢失。
另外,通过电子邮件、即时通讯软件可以非常轻易的泄露企业机密信息,对企业参与公平的竞争威胁巨大。
信息被窃
网络病毒在发作后常常在造成直接破坏的同时,还会释放后门程序,一旦重要服务器中毒,就有可能带来核心技术的泄漏,如果核心技术资料被竞争对手获取,将可能造成严重的后果。
文件服务器传播
文件服务器是网络环境下文件储存和访问的主要应用服务器,由于内部通常会有大量的文件存储到服务器中,病毒极易通过文件复制的方式在服务器中传播、复制,大量的病毒入侵可以导致文件服务器功能下降或瘫痪,甚至可能导致重要文件的永久性被破坏。
邮件服务器传播
电子邮件已成为病毒传播的最大载体,任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施,极易受到攻击,并会导致病毒在企业内部网中快速传播。
其实邮件服务器本身不会受到邮件病毒的破坏,只是转发染毒邮件至客户邮箱中,但是当客户机染毒并产生几何数量级的信件时,邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降,直至当机。
客户机感染
局域网中的工作站会受到病毒的感染,病毒的攻击方式多种多样,有通过Internet、局域网传播、U盘、移动硬盘传播等等,一旦客户机感染病毒,便会迅速传播到整个网络中,并且会给日常的工作带来极大的威胁。
网络带宽阻塞
高速传播和具有网络攻击能力的病毒,能占用有限的网络带宽,导致网络瘫痪。
如:
“ARP”就是典型导致网络瘫痪的病毒,能导致网络交换机、路由器、服务器严重过载瘫痪。
经济损失
病毒造成的间接损失可能更大,由于病毒普遍都会对储存在计算机上的数据进行删除或破坏,并且盗取用户的信息。
病毒造成的后果是直接导致信息资产损失、经济损失,同时,病毒造成的网络带宽阻塞会严重影响正常的办公和生产,每次病毒的传播和破坏都将给企业和个人带来严重的经济损失。
特别是最近出现的专门盗取网络银行帐号、密码,证券交易账号、密码等类型的病毒,将直接给企业或者个人带来最严重的直接经济损失。
作为中国领先的互联网应用安全管理软件与服务提供商,黄金甲科技深刻理解这些挑战,以“三分技术,七分管理”为理念,通过先进的技术手段,为客户提供全面互联网应用安全管理产品,保护企业免受应用风险和威胁。
2整体解决方案
2.1客户现有网络现状
XX客户网络结构为一条Internet线路上网,内部100多台PC客户端,Internet有一台路由器接入,路由器内部连Internet防火墙,防火墙内网口接核心交换机,内部分为三个区域,分别是服务器区,内网办公区,和儿童机房。
现网络存在的安全问题是,客户端防病毒和安全防护无统一管理,遇到病毒爆发时无法进行统一分发策略,对于客户端的资源使用状况没有很好的控制,内网资源的滥用,Internet带宽资源的滥用,很大的影响到了正常的工作,Internet网关处无病毒安全防护手段,现如今最大的威胁来自于Internet,网关防病毒设备是必不可少的。
对于客户来说,对计算机病毒的防范应该是“主动防御+传统杀毒”相结合,以防为主。
在病毒可能传播的各个渠道中都设有监控,结合定时病毒扫描和自动更新,才能保证整个网络系统的安全。
同时,需要结合相应的管理策略,充分发挥瑞星防病毒产品集中管理、主动防御的优势,在客户网中构建有效的整体病毒防护体系。
客户网络拓扑结构示意图如下所示:
2.2客户网络现状分析
XX客户网络内计算机部署了一些防病毒软件,但是存在如下一些问题;
人员的安全意识
通过Internet浏览、打开网页、下载文件等方式也有可能造成病毒的传播。
病毒的传播途径越来越多,针对不同软件漏洞的病毒也不断翻新,许多机器感染病毒的重要途径之一是通过文件夹共享,尽管发文禁止,但收效甚微。
防病毒工作是个全员参与的过程,必须所有的人员都提高安全防范意识才能从根本上解决病毒带来的危机。
电脑病毒的传播已经给组织信息安全造成了极大的挑战,其危害也日益升级。
安全技术的复杂性困惑
防病毒工作是个系统工程,涉及到各种操作平台、网络环境、安全设置、人员意识、预警措施、应急措施等多方面。
不同平台的操作系统,应用软件的漏洞和防护策略层出不穷;计算机病毒和各种攻击手段也日益更新,任何一个独立组织的信息安全部门都很难有足够的人力和物力支持不断的信息跟进。
没有良好的防病毒安全策略,不能构成动态自适应防病毒系统
构建一个全面有效的网络防病毒系统,应根据特定的网络环境定制病毒防护策略:
策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。
从宏观角度统筹规划网络安全体系,全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段,能够在病毒爆发生命周期各个阶段对病毒进行有效的控制,将病毒造成的损失降到最低。
没有部署针对不同操作系统平台及应用防病毒软件
在客户的网络体系中,各类操作系统平台有大量应用,如Windows/NT/2000系统、UNIX/Linux系统,此外还分布有大量应用系统,如:
邮件系统,数据库系统等。
如果没有采取任何病毒防护措施,这样信息交换很难保证该网络系统的安全,会对各类操作系统及关键应用业务产生潜在的安全威胁。
缺少防病毒中央控管系统
由于客户网络节点太多,且分布较散,要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。
能通过控制中心实现远程异地管理远程防病毒软件,监视该软件的运行状况参数(如防病毒软件病毒库、扫描引擎更新日期,系统配置等)。
能实现病毒集中报警,准确定位病毒入侵节点,让管理员对病毒入侵节点做适当处理以防危险扩大。
控制中心能与其它网络安全系统实现联动,协同管理工作。
缺少全网病毒代码统一自动更新功能
构建有效病毒防护的关键环节需要保证产品能做到定期升级,网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能,同时具备自动分发功能,能够在单点更新,然后在不需要人为干预的情况下,实现全网所有产品的病毒码更新。
尚未建立完善的安全制度和制定安全培训机制
防病毒工作是一项复杂、长期的任务,需要全体人员配合,提高对病毒的警觉和防范意识。
防病毒系统需要建立良好的安全规范,以制度严格控制不良行为,另外,还得提高全体人员的防范病毒的能力。
网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件,应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。
缺乏完善的防病毒信息支援体系
防病毒厂商长期提供防病毒信息、新病毒预警信息、安全培训等专业的支持,以提高整个网络使用人员的防病毒素质。
客户内部尚未建立完善的信息支援系统。
2.3客户问题整体解决方案
基于客户以上问题,上海恒驰信息有限公司处于负责的态度建议客户从网关处到客户端部署一整套安全防护系列产品来完善企业网的安全建设,其中包括:
1.Hillstone防火墙
2.McAfeeSCM防病毒网关
3.瑞星企业版防病毒软件
4.黄金甲安全管理系统
选不同厂家的产品是出于异构的考虑,即使其中一个产品出现问题,也不会影响到其他不同品牌的安全产品的防护。
对于防护安全产品的异构解决方案的采取,主要优势在于功能的互补,产品出现重要BUG时的内部网络不会出现防护空洞期的产生。
Hillstone专有的多核CPU加ASIC构架防火墙部署在Internet接入处,上联internet线路,下联内部网络,主要功能在于对内部上网人员进行策略控制,端口限制,服务器映射发布,VPN接入等,使内部上网人员上网的权限明确化。
MCAfeeSCM安全内容管理设备部署在网关处,外部防火墙和内部交换机之间,对进出的上网流量进行病毒检测,支持协议HTTP、FTP、ICAP,对网页上的间谍软件,木马,广告软件的等进行检查,建议,阻止等一系列操作,针对内部邮件进行病毒和垃圾邮件的检测,支持协议POP3、SMTP。
桌面端部署瑞星企业版防病毒软件,对客户端PC进行统一策略调整,统一病毒扫描,统一更新,在内部出现问题或者病毒爆发时可以及时通过服务器端对客户端进行统一调整策略,使病毒危害降到最低,确保客户端不会因为病毒问题而带给管理员极大的工作量。
黄金甲内网安全管理系统对内部人员的上网行为进行监控,上网带宽使用状况进行汇总,对PC客户端远程管理,应用程序的监控和使用状况,另外,针对客户端的PC进行管理,包括光驱,usb,应用程序等。
产品部署之后的网络示意图如下:
3部署的产品
3.1Hillstone公司
山石网科通信技术(北京)有限公司(以下简称“山石网科”)创建于2006年,是网络安全领域的代表企业之一,公司总部位于中国北京,并在美国硅谷设有研发中心。
山石网科积累了多年网络安全产品研发和市场运做经验,专注于信息安全,是专业的新一代安全网络设备提供商。
目前,山石网科拥有员工200余人,其中博士、硕士占30%以上,公司的核心团队由来自Juniper、Cisco、Netscreen、Fortinet和H3C等中外著名企业的精英组成,具备先进的技术经验和丰富的企业管理经验。
公司总注册资金475万美金,设有系统架构部,系统运营部,软件系统部,渠道销售部,售前售后技术部等部门,并且已经通过投资、控股和合作等形式,在亚太区形成了良性发展的产业和营销体系。
自成立以来,山石网科就以“贴近市场,贴近客户,快速把握并满足客户需求”为己任,用产品和方案来帮助客户获得网络安全,从而实现自身的企业价值。
山石网科凭借其独特的服务精神和强大的技术实力,以国际一流的技术打造适合中国本土化应用需求的高性能产品,并提供高性价比的新一代网络安全整体解决方案,服务于中国高速发展的网络市场。
作为产业链中至关重要的一环,山石网科勇于创新,公司的SR系列安全路由器和SA系列安全网关产品,已经为网络安全领域树立了新的安全网络产品质量水平,在国内各大中小型企业及各高校中拥有了强大的客户群体,并赢得了用户的高度肯定。
在网络时代的今天,山石网科愿与所有客户、合作伙伴一起,在探索与实践中国网络安全稳健和谐发展的新长征中,携手共赢!
3.1.1面向应用的高性能防火墙需求
根据企业网络应用系统的现状以及未来系统的结构发展,我们认为着重考虑企业的B/S结构应用特点,是防火墙系统技术指标设计的主要依据。
众所周知,防火墙作为网络设备,对网络性能影响最为主要的是两个参数指标,一个是防火墙的TCP连接处理能力(并发会话处理数),另一个是防火墙对网络数据流量的吞吐能力(带宽参数)。
B/S结构的应用系统虽然具有管理简单,客户端开发、使用和维护的成本很低的优点,但是在网络上B/S结构应用系统将会给网络带来巨大的网络流动数据处理压力,而且是并发的。
具体来说,B/S结构的应用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统的并发TCP会话数量,而且这些会话绝大部分是包长很短的“垃
升级会员 