導(dǎo)語(yǔ)：P2DR2網(wǎng)絡(luò)安全模型研究及應(yīng)用一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要文章首先討論了企業(yè)網(wǎng)絡(luò)面臨的安全威脅，結(jié)合動(dòng)態(tài)變化的互聯(lián)網(wǎng)安全問(wèn)題分析，提出了基于時(shí)間與策略的動(dòng)態(tài)p2dr2安全模型體系，系統(tǒng)闡述了企業(yè)網(wǎng)絡(luò)安全防范策略與措施，并給出了應(yīng)用實(shí)例。

關(guān)鍵詞企業(yè)網(wǎng)，P2DR2安全模型，應(yīng)用實(shí)踐

引言

21世紀(jì)全世界的計(jì)算機(jī)都通過(guò)Internet聯(lián)到了一起，網(wǎng)絡(luò)安全的內(nèi)涵也隨之發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種立體、全方位的防范體系，而且還由專業(yè)技術(shù)變成了無(wú)處不在的技術(shù)應(yīng)用。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候,安全成為了科技發(fā)展所面臨的一個(gè)重要課題。目前的網(wǎng)絡(luò)安全主要具有以下特征：第一，網(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化和發(fā)展；第三，隨著網(wǎng)絡(luò)在社會(huì)各方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也具有日新月異的多樣性，網(wǎng)絡(luò)安全也面臨著更多的困惑。因此，網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。

1網(wǎng)絡(luò)安全隱患的分析

傳統(tǒng)的安全防護(hù)方法是：對(duì)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)分析，制訂相應(yīng)的安全策略，采取一種或多種安全技術(shù)作為防護(hù)措施。這種方案要取得成功主要依賴于系統(tǒng)正確的設(shè)置和完善的防御手段的建立，并且在很大程度上是針對(duì)固定的、靜態(tài)的威脅和環(huán)境弱點(diǎn)。其忽略了因特網(wǎng)安全的重要特征，即因特網(wǎng)安全沒(méi)有標(biāo)準(zhǔn)的過(guò)程和方法。新的安全問(wèn)題的出現(xiàn)需要新的安全技術(shù)和手段來(lái)解決，因此，安全是一個(gè)動(dòng)態(tài)的、不斷完善的過(guò)程。

企業(yè)網(wǎng)絡(luò)安全可以從以下幾個(gè)方面來(lái)分析：物理網(wǎng)絡(luò)安全、平臺(tái)網(wǎng)絡(luò)安全、系統(tǒng)網(wǎng)絡(luò)安全、應(yīng)用網(wǎng)絡(luò)安全、管理網(wǎng)絡(luò)安全等方面。

物理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)物理網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)是多種多樣的。網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故，電源故障、人為操作失誤或錯(cuò)誤，設(shè)備被盜、被毀，電磁干擾、線路截獲等安全隱患；物理網(wǎng)絡(luò)安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。

平臺(tái)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)平臺(tái)網(wǎng)絡(luò)的安全涉及到基于ISO/OSI模型三層路由平臺(tái)的安全，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)環(huán)境等因素；企業(yè)網(wǎng)內(nèi)公開(kāi)服務(wù)器面臨的威脅、網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況面臨的困擾是問(wèn)題的主要方面。

公開(kāi)服務(wù)器是信息平臺(tái)，由于承擔(dān)了為外界信息服務(wù)的責(zé)任，因此極易成為網(wǎng)絡(luò)黑客攻擊的目標(biāo)；伴隨企業(yè)局域網(wǎng)與外網(wǎng)連接多樣性的存在，安全、策略的路由顯得愈加重要。

系統(tǒng)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)系統(tǒng)網(wǎng)絡(luò)安全是建立在平臺(tái)網(wǎng)絡(luò)安全基礎(chǔ)上，涉及到網(wǎng)絡(luò)操作系統(tǒng)及網(wǎng)絡(luò)資源基礎(chǔ)應(yīng)用的安全體系。操作系統(tǒng)的安全設(shè)置、操作和訪問(wèn)的權(quán)限、共享資源的合理配置等成為主要因素。

應(yīng)用網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)應(yīng)用網(wǎng)絡(luò)系統(tǒng)安全具有明顯的個(gè)體性和動(dòng)態(tài)性，針對(duì)不同的應(yīng)用環(huán)境和不斷變化發(fā)展應(yīng)用需求，應(yīng)用網(wǎng)絡(luò)安全的內(nèi)涵在不斷的變化和發(fā)展之中。其安全性涉及到信息、數(shù)據(jù)的安全性。

管理網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)管理網(wǎng)絡(luò)安全更多的涉及到人的因素，管理是網(wǎng)絡(luò)中安全最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)；網(wǎng)絡(luò)系統(tǒng)的實(shí)時(shí)檢測(cè)、監(jiān)控、報(bào)告與預(yù)警，是管理網(wǎng)絡(luò)安全的另一方面。

通用網(wǎng)關(guān)接口（CGI）漏洞有一類風(fēng)險(xiǎn)涉及通用網(wǎng)關(guān)接口（CGI）腳本。CGI腳本程序是搜索引擎通過(guò)超鏈接查找特定信息的基礎(chǔ)，同時(shí)也使得通過(guò)修改CGI腳本執(zhí)行非法任務(wù)成為可能，這就是問(wèn)題之所在。

除此之外，惡意代碼、網(wǎng)絡(luò)病毒也成為網(wǎng)絡(luò)不安全的隱患。

2P2DR2安全模型的提出

基于閉環(huán)控制的動(dòng)態(tài)網(wǎng)絡(luò)安全理論模型在1995年開(kāi)始逐漸形成并得到了迅速發(fā)展，學(xué)術(shù)界先后提出了PDR、P2DR等多種動(dòng)態(tài)風(fēng)險(xiǎn)模型，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，企業(yè)網(wǎng)的應(yīng)用環(huán)境千變?nèi)f化，現(xiàn)有模型存在諸多待發(fā)展之處。

P2DR2動(dòng)態(tài)安全模型研究的是基于企業(yè)網(wǎng)對(duì)象、依時(shí)間及策略特征的（Policy，Protection，Detection，Response，Restore）動(dòng)態(tài)安全模型結(jié)構(gòu)，由策略、防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)等要素構(gòu)成，是一種基于閉環(huán)控制、主動(dòng)防御的動(dòng)態(tài)安全模型，通過(guò)區(qū)域網(wǎng)絡(luò)的路由及安全策略分析與制定，在網(wǎng)絡(luò)內(nèi)部及邊界建立實(shí)時(shí)檢測(cè)、監(jiān)測(cè)和審計(jì)機(jī)制，采取實(shí)時(shí)、快速動(dòng)態(tài)響應(yīng)安全手段，應(yīng)用多樣性系統(tǒng)災(zāi)難備份恢復(fù)、關(guān)鍵系統(tǒng)冗余設(shè)計(jì)等方法，構(gòu)造多層次、全方位和立體的區(qū)域網(wǎng)絡(luò)安全環(huán)境。

一個(gè)良好的網(wǎng)絡(luò)安全模型應(yīng)在充分了解網(wǎng)絡(luò)系統(tǒng)安全需求的基礎(chǔ)上，通過(guò)安全模型表達(dá)安全體系架構(gòu)，通常具備以下性質(zhì)：精確、無(wú)歧義；簡(jiǎn)單和抽象；具有一般性；充分體現(xiàn)安全策略。

2.1P2DR2模型的時(shí)間域分析

P2DR2模型可通過(guò)數(shù)學(xué)模型，作進(jìn)一步理論分析。作為一個(gè)防御保護(hù)體系，當(dāng)網(wǎng)絡(luò)遭遇入侵攻擊時(shí)，系統(tǒng)每一步的安全分析與舉措均需花費(fèi)時(shí)間。設(shè)Pt為設(shè)置各種保護(hù)后的防護(hù)時(shí)間，Dt為從入侵開(kāi)始到系統(tǒng)能夠檢測(cè)到入侵所花費(fèi)的時(shí)間，Rt為發(fā)現(xiàn)入侵后將系統(tǒng)調(diào)整到正常狀態(tài)的響應(yīng)時(shí)間，則可得到如下安全要求：

Pt>(Dt+Rt)（1-1）

由此針對(duì)于需要保護(hù)的安全目標(biāo)，如果滿足公式（1-1），即防護(hù)時(shí)間大于檢測(cè)時(shí)間加上響應(yīng)時(shí)間，也就是在入侵者危害安全目標(biāo)之前，這種入侵行為就能夠被檢測(cè)到并及時(shí)處理。同樣，我們假設(shè)Et為系統(tǒng)暴露給入侵者的時(shí)間，則有

Et=Dt+Rt（如果Pt=0）（1-2）

公式（1-2）成立的前提是假設(shè)防護(hù)時(shí)間為0，這種假設(shè)對(duì)WebServer這樣的系統(tǒng)可以成立。

通過(guò)上面兩個(gè)公式的分析，實(shí)際上給出了一個(gè)全新的安全定義：及時(shí)的檢測(cè)和響應(yīng)就是安全，及時(shí)的檢測(cè)和恢復(fù)就是安全。不僅于此，這樣的定義為解決安全問(wèn)題給出了明確的提示：提高系統(tǒng)的防護(hù)時(shí)間Pt、降低檢測(cè)時(shí)間Dt和響應(yīng)時(shí)間Rt，是加強(qiáng)網(wǎng)絡(luò)安全的有效途徑。

圖2為P2DR2安全模型的體系結(jié)構(gòu)。模型認(rèn)可風(fēng)險(xiǎn)的存在，絕對(duì)安全與絕對(duì)可靠的網(wǎng)絡(luò)系統(tǒng)是不現(xiàn)實(shí)的，理想效果是期待網(wǎng)絡(luò)攻擊者穿越防御層的機(jī)會(huì)逐層遞減，穿越第5層的概率趨于零。

2.2P2DR2模型的策略域分析

網(wǎng)絡(luò)系統(tǒng)是由參與信息交互的各類實(shí)體元素構(gòu)成，可以是獨(dú)立計(jì)算機(jī)、局域網(wǎng)絡(luò)或大規(guī)模分布式網(wǎng)絡(luò)系統(tǒng)。實(shí)體集合可包括網(wǎng)絡(luò)通信實(shí)體集、通信業(yè)務(wù)類型集和通信交互時(shí)間集。

通信實(shí)體集的內(nèi)涵表示發(fā)起網(wǎng)絡(luò)通信的主體，如：進(jìn)程、任務(wù)文件等資源；對(duì)于網(wǎng)絡(luò)系統(tǒng)，表示各類通信設(shè)備、服務(wù)器以及參與通信的用戶。網(wǎng)絡(luò)的信息交互的業(yè)務(wù)類型存在多樣性，根據(jù)數(shù)據(jù)服務(wù)類型、業(yè)務(wù)類型，可以劃分為數(shù)據(jù)信息、圖片業(yè)務(wù)、聲音業(yè)務(wù)；根據(jù)IP數(shù)據(jù)在安全網(wǎng)關(guān)的數(shù)據(jù)轉(zhuǎn)換服務(wù)，業(yè)務(wù)類型可以劃分為普通的分組；根據(jù)TCP/IP協(xié)議傳輸協(xié)議，業(yè)務(wù)類型可以劃分為ICMP、TCP、UDP分組。信息安全系統(tǒng)根據(jù)不同安全服務(wù)需求，使用不同分類法則。通信交互時(shí)間集則包含了通信事件發(fā)生的時(shí)間區(qū)域集。

安全策略是信息安全系統(tǒng)的核心。大規(guī)模信息系統(tǒng)安全必須依賴統(tǒng)一的安全策略管理、動(dòng)態(tài)維護(hù)和管理各類安全服務(wù)。安全策略根據(jù)各類實(shí)體的安全需求，劃分信任域，制定各類安全服務(wù)的策略。

在信任域內(nèi)的實(shí)體元素，存在兩種安全策略屬性，即信任域內(nèi)的實(shí)體元素所共同具有的有限安全策略屬性集合,實(shí)體自身具有的、不違反Sa的特殊安全策略屬性Spi。由此我們不難看出，S=Sa+ΣSpi.

安全策略不僅制定了實(shí)體元素的安全等級(jí)，而且規(guī)定了各類安全服務(wù)互動(dòng)的機(jī)制。每個(gè)信任域或?qū)嶓w元素根據(jù)安全策略分別實(shí)現(xiàn)身份驗(yàn)證、訪問(wèn)控制、安全通信、安全分析、安全恢復(fù)和響應(yīng)的機(jī)制選擇。

3企業(yè)網(wǎng)安全防御體系的建立

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，需要全方位防范各種安全漏洞。圖3給出了企業(yè)網(wǎng)安全防范體系建立的體系框架。

局域網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)應(yīng)遵循以下原則：

綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度，如人員審查、工作流程、維護(hù)保障制度等；以及專業(yè)措施，如識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也并非是必要的。對(duì)網(wǎng)絡(luò)進(jìn)行可行性研究，包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等基礎(chǔ)上，對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，再制定相應(yīng)規(guī)范和措施，確定本系統(tǒng)的安全策略。

一致性原則一致性原則主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期或生命周期同步進(jìn)行，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。網(wǎng)絡(luò)系統(tǒng)的安全體系包括安全計(jì)劃分析、安全模型驗(yàn)證、工程實(shí)施、工程驗(yàn)收、實(shí)際運(yùn)行等環(huán)節(jié)。實(shí)踐證明，將網(wǎng)絡(luò)安全設(shè)施與網(wǎng)絡(luò)建設(shè)同步進(jìn)行，可取得事半功倍的效果。

易操作性原則安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。

分步實(shí)施原則由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此，分步實(shí)

施即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開(kāi)支。

多重保護(hù)原則任何安全措施都不是絕對(duì)安全的，都可能被攻破。建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全是必要的。

可評(píng)價(jià)性原則如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過(guò)國(guó)家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來(lái)實(shí)現(xiàn)。

4應(yīng)用案例的分析

根據(jù)以上討論的P2DR2安全模型，并根據(jù)實(shí)際安全應(yīng)用需求，可選用相關(guān)不同的產(chǎn)品形成多種解決方案方案。下面結(jié)合實(shí)際的工程案例――基于華為3ComSecPath100N防火墻架構(gòu)的企業(yè)網(wǎng)安全系統(tǒng)作相關(guān)討論。

4.1安全方案的配置策略

策略Policy定義系統(tǒng)的監(jiān)控周期、確立系統(tǒng)恢復(fù)機(jī)制、制定網(wǎng)絡(luò)訪問(wèn)控制策略和明確系統(tǒng)的總體安全規(guī)劃和原則；

防護(hù)Protection充分利用防火墻系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)包策略路由、路由策略和數(shù)據(jù)包過(guò)濾技術(shù)，應(yīng)用訪問(wèn)控制規(guī)則達(dá)到安全、高效地訪問(wèn)；應(yīng)用NAT及映射技術(shù)實(shí)現(xiàn)IP地址的安全保護(hù)和隔離；

檢測(cè)Detection利用防火墻系統(tǒng)具有的入侵檢測(cè)技術(shù)及系統(tǒng)掃描工具，配合其他專項(xiàng)監(jiān)測(cè)軟件，建立訪問(wèn)控制子系統(tǒng)ACS，實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的入侵監(jiān)測(cè)及日志記錄審核，以利及時(shí)發(fā)現(xiàn)透過(guò)ACS的入侵行為；

響應(yīng)Response在安全策略指導(dǎo)下，通過(guò)動(dòng)態(tài)調(diào)整訪問(wèn)控制系統(tǒng)的控制規(guī)則，發(fā)現(xiàn)并及時(shí)截?cái)嗫梢涉溄印⒍沤^可疑后門和漏洞，啟動(dòng)相關(guān)報(bào)警信息；

恢復(fù)Restore在多種備份機(jī)制的基礎(chǔ)上，啟用應(yīng)急響應(yīng)恢復(fù)機(jī)制實(shí)現(xiàn)系統(tǒng)的瞬時(shí)還原；進(jìn)行現(xiàn)場(chǎng)恢復(fù)及攻擊行為的再現(xiàn)，供研究和取證；實(shí)現(xiàn)異構(gòu)存儲(chǔ)、異構(gòu)環(huán)境的高速、可靠備份。

4.2安全方案的實(shí)現(xiàn)

方案采用華為3ComSecPath100N防火墻作為安全系統(tǒng)核心，配合以多種軟件防護(hù)策略。公司內(nèi)部對(duì)外提供WWW、FTP和Telnet服務(wù)，內(nèi)部FTP服務(wù)器地址為202.200.204.1，內(nèi)部Telnet服務(wù)器地址為202.200.204.2，內(nèi)部WWW服務(wù)器地址為202.200.204.3，公司對(duì)外地址為202.195.22.18。在安全網(wǎng)關(guān)上配置了地址轉(zhuǎn)換，這樣內(nèi)部PC機(jī)可以訪問(wèn)Internet，外部PC可以訪問(wèn)內(nèi)部服務(wù)器。通過(guò)配置防火墻，希望實(shí)現(xiàn)以下要求：外部網(wǎng)絡(luò)只有特定用戶可以訪問(wèn)內(nèi)部服務(wù)器。內(nèi)部網(wǎng)絡(luò)只有特定主機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)。外部特定用戶的IP地址為202.19.30.21。

部分配置步驟

#在安全網(wǎng)關(guān)Quidway上允許防火墻。

[Quidway]firewallenable

#設(shè)置防火墻缺省過(guò)濾方式為允許包通過(guò)。

[Quidway]firewalldefaultpermit

#創(chuàng)建訪問(wèn)控制列表3001。

[Quidway]aclnumber3001

#配置規(guī)則允許特定主機(jī)訪問(wèn)外部網(wǎng)，允許內(nèi)部服務(wù)器訪問(wèn)外部網(wǎng)。

[Quidway-acl-adv-3001]rulepermitipsource202.200.201.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.202.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.203.00

[Quidway-acl-adv-3001]rulepermitipsource202.200.204.00

#配置規(guī)則禁止所有IP包通過(guò)。

[Quidway-acl-adv-3001]ruledenyip

#創(chuàng)建訪問(wèn)控制列表3002

[Quidway]aclnumber3002

#配置規(guī)則允許特定用戶從外部網(wǎng)訪問(wèn)內(nèi)部服務(wù)器。

[Quidway-acl-adv-3002]rulepermittcpsource202.19.30.210destination202.195.22.180

＃配置規(guī)則允許特定用戶從外部網(wǎng)取得數(shù)據(jù)（只允許端口大于1024的包）。

[Quidway-acl-adv-3002]rulepermittcpdestination202.195.22.180destination-portgt1024

#將規(guī)則3001作用于從接口Ethernet0/0/0進(jìn)入的包。

[Quidway-Ethernet0/0/0]firewallpacket-filter3001inbound

#將規(guī)則3002作用于從接口Ethernet1/0/0進(jìn)入的包。

[Quidway-Ethernet1/0/0]firewallpacket-filter3002inbound

#創(chuàng)建NAT應(yīng)用規(guī)則。

[Quidway]nataddress-group1202.195.22.19202.195.22.28

[Quidway]aclnumber2001

[Quidway-acl-basic-2001]rulepermitsource202.200.201.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.202.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.203.00.0.0.255

[Quidway-acl-basic-2001]rulepermitsource202.200.204.00.0.0.255

[Quidway-acl-basic-2001]quit

[Quidway]interfaceEthernet3/0/0

[Quidway-Ethernet3/0/0]natoutbound2001address-group1

#設(shè)置內(nèi)部ftp服務(wù)器。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.1ftp

#設(shè)置內(nèi)部www服務(wù)器1。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.2www

#設(shè)置內(nèi)部www服務(wù)器2。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.198080inside202.200.204.3www

#設(shè)置內(nèi)部smtp服務(wù)器。

[Quidway-Ethernet3/0/0]natserverprotocoltcpglobal202.195.22.19inside202.200.204.4smtp

5結(jié)束語(yǔ)

網(wǎng)絡(luò)安全防御是一個(gè)非常復(fù)雜的問(wèn)題，傳統(tǒng)單一的靜態(tài)安全模型不能夠很好地保證系統(tǒng)的安全。本文提出的P2DR2網(wǎng)絡(luò)安全模型是對(duì)現(xiàn)有動(dòng)態(tài)安全模型的一次重要補(bǔ)充，是解決典型企業(yè)局域網(wǎng)絡(luò)的良好方法，通過(guò)工程案例的實(shí)踐應(yīng)用，取得了較為穩(wěn)定的安全效果。

參考文獻(xiàn)

[1]石志國(guó)等.計(jì)算機(jī)網(wǎng)絡(luò)安全教程.北京：清華大學(xué)出版社，2005

[2]李家春，李之棠.動(dòng)態(tài)安全模型的研究.華中科技大學(xué)學(xué)報(bào)，2003,31(3):40-42

[3]侯小梅，毛宗源.基于P2DR模型的Internet安全技術(shù).計(jì)算機(jī)工程與應(yīng)用，2000,23:1-2

[4]單蓉勝，王明政，李建華.基于策略的網(wǎng)絡(luò)安全模型及形式化描述.計(jì)算機(jī)工程與應(yīng)用，2003,13:68-71

[5]張成陽(yáng)，穆志純等.基于復(fù)雜性研究的Internet安全模型.北京科技大學(xué)學(xué)報(bào)，2003,5:483-487

[6]plexNetworks:Newscienceofnetworks[A].InternationalSymposiumonComplexSystem[C],UniversityofNotreDame,2002

[7]SchnosM.Internetplaguesspreadrapidly[J].PhysRevLett,2001,86(4):3200