【正文】 的措施。因此在企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)內(nèi)有必要引入防火墻的應(yīng)用，原因如下兩方面。因此，為了消除這類風(fēng)險(xiǎn)的存在，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必須能夠?qū)υ趶V域網(wǎng)上傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密（數(shù)據(jù)發(fā)出方）和解密（數(shù)據(jù)接收方）處理，即VPN應(yīng)用。因此企業(yè)的網(wǎng)絡(luò)系統(tǒng)從其結(jié)構(gòu)而言是一個(gè)在物理上廣域連接的企業(yè)網(wǎng)絡(luò)系統(tǒng)，企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)必須考慮兩方面的安全措施：l 網(wǎng)絡(luò)通信加密（VPN應(yīng)用）廣域網(wǎng)絡(luò)通信連接將通過第三方鏈路進(jìn)行。由此企業(yè)企業(yè)網(wǎng)必須向外“開門”，象所有連接互聯(lián)網(wǎng)的企業(yè)網(wǎng)一樣，企業(yè)網(wǎng)不可避免地存在，遭受到來自外部的惡意攻擊和破壞、各種各樣病毒傳播的可能性。本章將根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)及應(yīng)用，詳細(xì)分析企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全需求。從網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用平臺(tái)對(duì)網(wǎng)絡(luò)協(xié)議層次的依賴關(guān)系不難看出，只有對(duì)網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)層次的所有層實(shí)施相應(yīng)有效的技術(shù)措施，才能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的安全保護(hù)。（2）構(gòu)建安全系統(tǒng)的基本目標(biāo)在上述的三維結(jié)構(gòu)的安全體系中，安全服務(wù)維是向網(wǎng)絡(luò)系統(tǒng)的各個(gè)部分和每一個(gè)層次，提供安全保證的各種技術(shù)手段和措施。通過技術(shù)手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個(gè)協(xié)議層次提供的各種安全服務(wù)。與TCP/IP層次對(duì)應(yīng)，可以把會(huì)話層、表示、應(yīng)用層統(tǒng)一為“應(yīng)用層”。為了系統(tǒng)、科學(xué)地分析網(wǎng)絡(luò)安全系統(tǒng)涉及的各種安全問題，網(wǎng)絡(luò)安全技術(shù)專家們提出了三維安全體系結(jié)構(gòu)，并在其基礎(chǔ)上抽象地總結(jié)了能夠指導(dǎo)安全系統(tǒng)總體設(shè)計(jì)的三維安全體系（見圖11），它反映了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性。安全需要付出代價(jià)（資金、性能損失等），但是任何單純?yōu)榱税踩豢紤]代價(jià)的安全建議書都是不切實(shí)際的。在設(shè)計(jì)企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)時(shí)，我們將遵循以下原則：l 體系化設(shè)計(jì)原則通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問題。對(duì)于大多數(shù)網(wǎng)絡(luò)黑客來說，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明和炫耀其“能耐”的價(jià)值，盡管這種行為的初衷也許并不具有惡意的目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實(shí)和長遠(yuǎn)的商業(yè)價(jià)值[5]。如何構(gòu)建企業(yè)安全可靠的網(wǎng)絡(luò)系統(tǒng)是本課程設(shè)計(jì)的目的。本課程設(shè)計(jì)是為企業(yè)提出的“網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)方案”，只針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全系統(tǒng)向企業(yè)提交網(wǎng)絡(luò)安全的設(shè)計(jì)及設(shè)計(jì)實(shí)施方案，沒有涉及其他部分的內(nèi)容，如“數(shù)據(jù)安全系統(tǒng)”等。因此，企業(yè)網(wǎng)絡(luò)建立完善的安全系統(tǒng)，其必要性不言而喻。l 全局性、均衡性、綜合性設(shè)計(jì)原則安全建議書將從企業(yè)網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個(gè)具有相當(dāng)高度、可擴(kuò)展性強(qiáng)的安全解決方案；從企業(yè)的實(shí)際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。建議書同時(shí)提供了可操作的分步實(shí)施計(jì)劃。具體說明如下：圖11安全框架示意圖（1）安全服務(wù)安全服務(wù)（X軸）定義了7種主要完全屬性。（3）系統(tǒng)單元系統(tǒng)單元（Z軸）描述了信息網(wǎng)絡(luò)基礎(chǔ)構(gòu)件的各個(gè)成分。（1）安全體系的理解在圖11的安全體系分析模型中，完整地將網(wǎng)絡(luò)安全系統(tǒng)的全部內(nèi)容進(jìn)行了科學(xué)和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡(luò)安全系統(tǒng)所使用的技術(shù)、服務(wù)的對(duì)象和涉及的范圍（即網(wǎng)絡(luò)層次）。雖然并不是每一個(gè)應(yīng)用網(wǎng)絡(luò)都需要安全服務(wù)維提出的所有手段，但是對(duì)于一個(gè)包含各種應(yīng)用和具有一定規(guī)模的企業(yè)網(wǎng)絡(luò)，這些安全措施應(yīng)該都基本具備，因此安全服務(wù)維所涉及的所有安全服務(wù)措施，是網(wǎng)絡(luò)安全系統(tǒng)的基本建設(shè)目標(biāo)。針對(duì)一般網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用要求，為了達(dá)到保護(hù)網(wǎng)絡(luò)資源的目的，必須在網(wǎng)絡(luò)協(xié)議層實(shí)施相應(yīng)的安全措施，如下表11所示。網(wǎng)絡(luò)基礎(chǔ)層（在此網(wǎng)絡(luò)基礎(chǔ)層是指網(wǎng)絡(luò)通信鏈路、路由/交換設(shè)備、網(wǎng)絡(luò)節(jié)點(diǎn)接口設(shè)備/網(wǎng)卡——包括了OSI物理層到傳輸層設(shè)備的集合）作為現(xiàn)代計(jì)算機(jī)信息系統(tǒng)不可缺或的基礎(chǔ)設(shè)施部分，其安全性是每一個(gè)用戶最為關(guān)心的問題。因此，在Internet出入口連接點(diǎn)，必須采取措施進(jìn)行保護(hù) —— 布置防火墻系統(tǒng)，對(duì)集團(tuán)總部的Internet出入口實(shí)施有效的控制，包括進(jìn)出的數(shù)據(jù)檢查和資源訪問的控制。盡管租用電信或其他傳輸服務(wù)提供商的專用鏈路傳輸數(shù)據(jù)的安全性會(huì)高于通過Internet傳輸，但是由于第三方提供的專用鏈路所使用的設(shè)備是公共的，其安全性具有相對(duì)性，不僅在鏈路上傳輸?shù)臄?shù)據(jù)存在被竊取的可能，同時(shí)也存在由于鏈路供應(yīng)商安全管理和保護(hù)措施不完善的原因，導(dǎo)致被別有用心者有可能通過盜接而非法訪問網(wǎng)絡(luò)資源的風(fēng)險(xiǎn)，在國內(nèi)就曾有類似的案件發(fā)生 —— 非法分子通過在公共設(shè)備上偷偷接入自己的電腦，竊取了別人的股票交易帳戶資料，盜用他人的帳戶進(jìn)行證券交易而非法獲利。VPN采用3DES的加密算法，一方面可以使在廣域網(wǎng)鏈路上傳輸?shù)臄?shù)據(jù)變成外來者不可“讀”，防止流失數(shù)據(jù)的信息泄露；另一方面通過VPN加密和解密的規(guī)則，可以對(duì)具有不良屬性的被異動(dòng)數(shù)據(jù)進(jìn)行過濾或使之屬性失效，避免這些惡意數(shù)據(jù)對(duì)網(wǎng)絡(luò)系統(tǒng)造成破壞。其一，類似企業(yè)這種在物理上分布廣泛的網(wǎng)絡(luò)系統(tǒng)，每一個(gè)在地理上屬異地的分支機(jī)構(gòu)或部門，甚至同屬于一個(gè)地方（如總部）的不同機(jī)構(gòu)和部門，其網(wǎng)絡(luò)應(yīng)用和管理都有相對(duì)的獨(dú)立性，因此在網(wǎng)絡(luò)安全管理實(shí)施和執(zhí)行上就很容易產(chǎn)生差異，從而出現(xiàn)網(wǎng)絡(luò)安全漏洞。其二，內(nèi)部網(wǎng)絡(luò)連接安全保護(hù)。因此，本課程設(shè)計(jì)采用企業(yè)廣域網(wǎng)系統(tǒng)配置內(nèi)部的防火墻系統(tǒng)。（4）其他安全保護(hù)輔助措施企業(yè)網(wǎng)絡(luò)環(huán)境比較復(fù)雜，設(shè)備眾多，這使管理人員查找和修補(bǔ)網(wǎng)絡(luò)中的全部安全隱患有相當(dāng)大的難度。目前運(yùn)行大多數(shù)應(yīng)用的各種操作系統(tǒng)，都是針對(duì)可以運(yùn)行多種應(yīng)用來開發(fā)的，其開發(fā)要兼顧到各種應(yīng)用的多個(gè)方面，在程序開發(fā)過程中，會(huì)出現(xiàn)一些人為的疏忽，以及一些人為設(shè)置的后門等。此外，任何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進(jìn)行系統(tǒng)的破壞。資源包括信息資源和服務(wù)資源。l 人員的流動(dòng)、集成商自設(shè)等很多因素，使得每臺(tái)主機(jī)系統(tǒng)上的多余帳戶增加。（3）移動(dòng)用戶的訪問控制訪問移動(dòng)用戶進(jìn)入公司內(nèi)部網(wǎng)絡(luò)可以通過本地?fù)芴?hào)連接公司的內(nèi)部網(wǎng)絡(luò)，也可以通過互聯(lián)網(wǎng)的ISP接入公司內(nèi)部網(wǎng)[6]。（4）VPN上的認(rèn)證在網(wǎng)絡(luò)系統(tǒng)將配置VPN系統(tǒng)，遠(yuǎn)程移動(dòng)用戶可以通過撥號(hào)連接本地ISP，用VPN Client 建立安全通道訪問公司信息資源。ERP系統(tǒng)上單一靜態(tài)密碼的安全隱患主要有：l 用戶無法保證辦公文件能正確的接受，在接受之前沒有被其他人瀏覽過。加入的RSA SecurID必須提供通用的API，使用戶可以將RSA SecurID認(rèn)證內(nèi)嵌到ERP系統(tǒng)或其他的應(yīng)用系統(tǒng)中，保證公司內(nèi)部網(wǎng)絡(luò)用戶接收MAIL和文件的安全，驗(yàn)證用戶身份，并創(chuàng)建用戶登錄日志文件。防火墻作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分，和其他網(wǎng)絡(luò)設(shè)備一樣，其性能目標(biāo)應(yīng)該按照網(wǎng)絡(luò)系統(tǒng)的應(yīng)用要求進(jìn)行選型設(shè)計(jì)。任何一個(gè)應(yīng)用系統(tǒng)提供的應(yīng)用，都是依賴于網(wǎng)絡(luò)的各個(gè)層次來實(shí)現(xiàn)應(yīng)用信息的處理和傳送，應(yīng)用系統(tǒng)最終是通過向所有的網(wǎng)絡(luò)用戶提供使用來達(dá)到其應(yīng)用的目的。在未來一兩年內(nèi)，企業(yè)的應(yīng)用系統(tǒng)將大部分實(shí)現(xiàn)集中式的B/S結(jié)構(gòu)模式。[6]眾所周知，防火墻作為網(wǎng)絡(luò)設(shè)備，對(duì)網(wǎng)絡(luò)性能影響最為主要的是兩個(gè)參數(shù)指標(biāo)，一個(gè)是防火墻的TCP連接處理能力（并發(fā)會(huì)話處理數(shù)），另一個(gè)是防火墻對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量的吞吐能力（帶寬參數(shù)）。通過對(duì)各類防火墻的比較分析，我們認(rèn)為目前面向B/S結(jié)構(gòu)應(yīng)用的防火墻設(shè)備，硬件防火墻是最為明智的選擇。從互聯(lián)網(wǎng)入口進(jìn)入企業(yè)網(wǎng)的用戶，可以被防火墻有效地進(jìn)行類別劃分，即區(qū)分為通過互聯(lián)網(wǎng)進(jìn)入內(nèi)部網(wǎng)的企業(yè)移動(dòng)用戶或外部的公共訪問者，對(duì)于要求進(jìn)入企業(yè)內(nèi)部網(wǎng)的訪問者進(jìn)行用戶的授權(quán)認(rèn)證，攔截沒有用戶權(quán)限的訪問者試圖進(jìn)入內(nèi)部網(wǎng)。在企業(yè)網(wǎng)的VPN應(yīng)用中，采用三倍DES的加密技術(shù)，這是目前可以獲得的最先進(jìn)和實(shí)用的網(wǎng)絡(luò)通信加密技術(shù)手段。但是在今天已經(jīng)出現(xiàn)了滿足網(wǎng)絡(luò)層全部應(yīng)用的、功能強(qiáng)大、性能優(yōu)異的防火墻產(chǎn)品，如Cisco防火墻。4 網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)基于以上的規(guī)劃和分析，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實(shí)現(xiàn)目的，應(yīng)分兩個(gè)步驟（兩期）分別實(shí)現(xiàn)以下各個(gè)安全子系統(tǒng)：防火墻系統(tǒng)VPN系統(tǒng)動(dòng)態(tài)認(rèn)證系統(tǒng)實(shí)用、先進(jìn)、可發(fā)展是安全系統(tǒng)設(shè)計(jì)的基本原則。本項(xiàng)目設(shè)計(jì)將重點(diǎn)對(duì)防火墻系統(tǒng)（包括VPN應(yīng)用系統(tǒng)）提出設(shè)計(jì)建議。動(dòng)態(tài)認(rèn)證系統(tǒng)是對(duì)網(wǎng)絡(luò)用戶對(duì)具體的應(yīng)用系統(tǒng)或網(wǎng)絡(luò)資源訪問控制的一種加強(qiáng)手段。所以設(shè)計(jì)也將漏洞掃描和入侵檢測系統(tǒng)放在防火墻系統(tǒng)建設(shè)完成后的第二階段實(shí)施。網(wǎng)絡(luò)防火墻系統(tǒng)從其設(shè)置的物理位置來說，最恰當(dāng)?shù)奈恢镁褪蔷W(wǎng)絡(luò)物理邊界的出入口。從安全和管理角度考慮，建議只在總部設(shè)立一個(gè)Internet出口，各地分部統(tǒng)一通過總部訪問互聯(lián)網(wǎng)。來自Internet的光纖專線將通過一臺(tái)交換機(jī)與兩臺(tái)防火墻的外網(wǎng)口連接。PIX515防火墻吞吐量高達(dá)xxxbps，提供xxx接口，xxx鏈接數(shù)，xxxVPN處理能力，支持透明模式、雙機(jī)備份、負(fù)載均衡、圖形管理等，流量控制功能為網(wǎng)絡(luò)管理員提供了全部監(jiān)測和管理網(wǎng)絡(luò)的信息，諸如DMZ，服務(wù)器負(fù)載平衡和帶寬優(yōu)先級(jí)設(shè)置等先進(jìn)功能，使PIX獨(dú)樹一幟。 動(dòng)態(tài)訪問過濾(Dynamic Filter) ：自適應(yīng)網(wǎng)絡(luò)服務(wù)保護(hù) IKE密鑰管理：保證密鑰交換 虛擬IP：將內(nèi)部服務(wù)器映射為可路由地址 圖形界面：可關(guān)閉遠(yuǎn)程的管理方式，只用本地的、安全的管理 為允許合法用戶訪問公司網(wǎng)絡(luò)，同時(shí)確保通過Internet進(jìn)行的業(yè)務(wù)應(yīng)用的安全性，我們建議采取VPN通訊方式。為了構(gòu)建安全的通信通道，必須把這一軟件與IPSec網(wǎng)關(guān)結(jié)合使用（如PIX家族安全設(shè)備），或與運(yùn)行IPSec兼容軟件的另一臺(tái)主機(jī)結(jié)合使用（如ASDM）。企業(yè)內(nèi)部防范主要是確保總部和各公司的安全，加強(qiáng)廣域網(wǎng)的進(jìn)出口控制，我們應(yīng)在總部及各分部的廣域網(wǎng)出口處配備防火墻來加強(qiáng)內(nèi)部網(wǎng)絡(luò)保護(hù)，見下圖。如圖42所示。PIX525擁有XXXM線速處理能力，XXXM的3DES VPN流量，強(qiáng)健的攻擊防范功能。也應(yīng)使用前面的設(shè)計(jì)方案，在此不做重復(fù)的說明。l 分部的接入設(shè)計(jì)由于分部通過公網(wǎng)虛擬連接接入總部網(wǎng)絡(luò)網(wǎng)絡(luò)的應(yīng)用，考慮其數(shù)據(jù)量和應(yīng)用的要求不高，而且這種非物理專線方式接入所提供的網(wǎng)絡(luò)通信帶寬也很有限，通常只有幾十或幾百K，因此在企業(yè)各異地分部建議采用功能滿足系統(tǒng)實(shí)現(xiàn)目標(biāo)、性能相對(duì)較低的防火墻設(shè)備。安全級(jí)別取值范圍為1~99，數(shù)字越大安全級(jí)別越高//PIX515(config)nameif ethernet1 inside security100//設(shè)置以太網(wǎng)口1被命名為內(nèi)網(wǎng)接口（inside），安全級(jí)別是100//PIX515(config)nameif dmz security50//設(shè)置非軍