【正文】 0 及 100 條防火墻規(guī)則時的無封包遺失最大輸出性能及封包企業(yè)網絡安全系統(tǒng)設計建議書 30 延遲。 3. 各家產品可否互通 (互通性測試 ) Security 1. 系統(tǒng)是否有安全漏洞 。 對防火墻產品的評價一般是從安全性（側重功能方面）、技術性能指標、管理的方便性等幾方面綜合評價。 （注：以下對各廠家防火墻產品的評價數據和結果，均來自第三方中立機構的測試報告，這些第三方機構包括 —— Comweb amp。防火墻選型設計建議書的優(yōu)劣，不僅對實現企業(yè)網絡系統(tǒng)的安全設計目標起著決定性的影響，而且會對整個網絡系統(tǒng)的應用效率產生極大的影響。此方式在大型企業(yè)中存在較大的缺點，首先它對各下屬企業(yè)的網絡管理員要求非常高，相應提高了企業(yè)的管理成本；其次，當下屬企業(yè)較多時，由于各自制定安全策略，存在安全隱患較大，同時，當出現安全問題時，由于沒有實現統(tǒng)一監(jiān)控，很難判斷問題出現在何處，從而不能及時解決問題。 防火墻系統(tǒng)集中管理 企業(yè)具有多個地理上分散的下屬企業(yè)，為了保證企業(yè)內部網絡的安全性，在前面的章節(jié)中我們建議總部及各分部建立相應的防火墻系統(tǒng)。 如果在總部配置一臺 NS1000 的高性能防火墻，異地分支機構配備一臺 PIX515，就可以實現所有分支機構和總部的實時聯(lián)網，所有分支機構員工就象在總部辦公一企業(yè)網絡安全系統(tǒng)設計建議書 28 樣，這對總部對分支機構的管理將是一個極大的飛躍。Spoke 方式的 VPN 連接（如附圖中的藍色和綠色虛線）； （ 3） 為防止中心點因為各種原因而導致防火墻不可訪問，從而造成分支點之間的互訪障礙，可以配置一個冗余中心，提高整個網絡的高可用性（如附圖中 的長虛線連接所示）； （ 4） 特殊需求情況下，可以直接建立不經過中心防火墻路由的直接的 5XP 之間的 LANtoLAN 加密 VPN 連接（附圖中的紅色虛線）。 PIX515 的防火墻和 VPN 應用都能滿足本建議書提出的系統(tǒng)實現目標要求。 在前面廣域網進出口控制一節(jié)的方案中， PIX產品集防火墻、 VPN功能于一體，它企業(yè)網絡安全系統(tǒng)設計建議書 26 可以充當 VPN網關而無需增加任何組件。 雖然在應用邏輯上， VPN 和防火墻是兩個獨立的應用系統(tǒng)，但是對于先進的防火墻設備，兩者是合并在同一個物理設備上的，這樣的不僅可以使系統(tǒng)的結構和實施簡單化，而且可以大大地提高系統(tǒng)的應用效率。 （二）分部的接入設計 由于分部通過公網虛擬連接接入總部網絡網絡的應用，考慮其數據量和應用的要求不高，而且這種非物理專線方式接入所提供的網絡通信帶寬也很有限，通常只有幾十或幾百 K，因此在企業(yè)各異地分部建議采用功能滿足系統(tǒng)實現目標、性能相對較低的防火墻設備。建議使用 的設計方案，在此不做重復的說明。 PIX525 擁有 XXXM 線速處理能力， XXXM 的 3DES VPN 流量，強健的攻擊防范功能。考慮到總部的廣域網防火墻是位于路由器和中心交換機之間，所以也必需做冗余配置，否則會成為廣域網設備中的單點故障點，使路由器和中心交換機所做的備份措施失去意義。分散的企業(yè)給網絡安全管理造成了一定的難度，而且企業(yè)內部攻擊的成功可能性 遠大于外部攻擊，造成的危害更嚴重，因此全方位的網絡保護是不僅防外，還應防內。通過采用 IPSec 協(xié)議和第二層通道協(xié)議 [L2TP]，并以證書作為額外的選項，可以實現安全性。 企業(yè)的 Inter 應用除了瀏覽互聯(lián)網和 WWW 發(fā)布外，外出員工對公司的訪問也將通過 Inter 進行。 企業(yè)網絡安全系統(tǒng)設計建議書 21 （二）防火墻系統(tǒng)選型設計 經過對多家防火墻廠商設備的綜合比較，本建議書推薦采用 Cisco 公司的防火墻產品。為避免單點故障，防火墻系統(tǒng)采取雙機模式構建。 本建議書我們采用防火墻來對企業(yè)網絡的進出口進行控制，包括 Inter 進出口控制和廣域網進出口控制。 （注：在以下的防火墻系統(tǒng)設計建議中，除特別進行說明的功能或技術手段不能滿足設計要求以外，本建議書所有設計選擇的產品都是全部滿足表 2 和第三章提出的系統(tǒng)目標之要求，在本方案文檔中將不再進行所有功能的詳細技術實現說明。 同樣，漏洞掃描和入侵檢測系統(tǒng)作為防火墻系統(tǒng)的輔助系統(tǒng)，可以有效地提高防火墻系統(tǒng)發(fā)揮的安全保護作用；漏洞掃描和入侵檢測系統(tǒng)所發(fā)揮的作用，最終要靠防火墻企業(yè)網絡安全系統(tǒng)設計建議書 20 系統(tǒng)的作用來體現，因為漏洞掃描和入侵檢測系統(tǒng)“檢查”和“偵測”得到的非法訪問和惡意攻擊，需要防火墻系統(tǒng)對其實施控制和攔截。這也是我們建議企業(yè)網絡安全系統(tǒng)第一階段需要完成的系統(tǒng)建設部分。以下的防火墻系統(tǒng)設計將根據這些原則合理的設計系統(tǒng)。 對于重要的主機系統(tǒng)和應用系統(tǒng)、網絡設備管理系統(tǒng)，在原有的靜態(tài)密碼認證管理的基礎上，增加動態(tài)密碼認證管理系統(tǒng)，通過 動態(tài)的密碼方式實時不間斷地驗證所有訪問這些系統(tǒng)用戶的真實身份。 傳統(tǒng)的網絡安全系統(tǒng)由于受設備功能和性能的限制，在網絡層（從物理層到傳輸層）很難全部由單一的防火墻或其他安全設備全部完成表 1 中提出的功能要求，所以系統(tǒng)的實施難度和費用（包括設備、人力投入和管理成本）會比較驚人。 VPN 應用 VPN 應用是為網絡通信提供有效的信息加密手段。 Inter 及 Extra 進出口控制 在國際互聯(lián)網（ Inter）和企業(yè)廣域網（ Extra）的進出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網絡數據和被禁止的數據源進入企業(yè)內部網絡。 由此可見，在設計企業(yè)防火墻系統(tǒng)時，足夠大的 TCP 會話處理能力，是我們選擇防火墻（包括 VPN）產品考慮的主要因素。 面向 應用系統(tǒng)的防火墻系統(tǒng)設計要求 根據企業(yè)網絡應用系統(tǒng)的現狀以及未來系統(tǒng)的結構發(fā)展，我們認為著重考慮企業(yè)的B/S 結構應用特點，是防火墻系統(tǒng)技術指標設計的主要依據?，F在正在進行的已有應用系統(tǒng)升級開發(fā)將使應用系統(tǒng)從 C/S 結構向 B/S 結構遷移；新增加的應用系統(tǒng)開發(fā)，也是集中式的 B/S 結構。 網絡應 用系統(tǒng)的現狀及發(fā)展說明 企業(yè)的網絡應用包括了集團公司幾乎所有的業(yè)務活動和管理方面的應用，例如 ERP、OA、財務、網絡視頻會議應用等等。這是防火墻系統(tǒng)設計時必須考慮的可實現功能之一 應用對安全系統(tǒng)的要求分析 任何一個完整的網絡安全系統(tǒng)，從其功能和物理層次來看，它將分別是網絡基礎設施和網絡應用系統(tǒng)的組成部分。 ? 高級別的用戶在遠程授權以后，需要及時地更改密碼。 應用層安全保護 這里的應用層，主要指企業(yè)的信息資源管理系統(tǒng)（ ERP） 。而目前從終端上訪問也是采用單一靜態(tài)密碼，從我們前面的分析來看，顯然是不安全的。公司所有的業(yè)企業(yè)網絡安全系統(tǒng)設計建議書 13 務系統(tǒng)都是建立在網絡設備基礎之上的，保證網絡設備的安全是保證系統(tǒng)正常運行的首要條件；而保護網絡設備的安全，通?？紤]的最多的是設備的冗余，而網絡設備的配置保護卻不被重視，其實，當某一個人登錄了網絡設備（路由器、防火墻、 VPN 設備等），將配置進行了更改，為以后非法的登錄建立通道，對整個系統(tǒng)來說，所有的安全設施就形同虛設。 主機系統(tǒng) 包括企業(yè)總部和各下屬公司中心主機、數據庫系統(tǒng)， WEB 服務器、 MAIL 服務器等等，這些主機系統(tǒng)是公司網絡系統(tǒng)的核心，存儲著公司最重要的信息資源，因此，保證這些主機系統(tǒng)的登錄的安全是極其重要的。需要對這些系統(tǒng)進行系統(tǒng)安全漏洞的掃描和實時入侵的檢測。還有，安裝在操作系統(tǒng)上的各種應用系統(tǒng)形成了一個復雜的環(huán)境，這些應用程序本身設計的缺陷也會帶來安全漏洞。在條件允許的情況下，我們建議企業(yè)企業(yè)網增加網絡漏 洞掃描和入侵檢測系統(tǒng)。 正如前面所言，這種 連接方式盡管實現的代價和技術條件相對比較低，但其所能提供的安全保證更加不可信賴。 由此可見，在企業(yè)通過第三方專線連接的企業(yè)廣域網內，實施網絡安全保護是非常必要的舉措。這種“后門”對于別有用心的網絡黑客來說，是非常有用的，他們可以避開企業(yè)網絡“門戶”的防火墻系統(tǒng)，通過網絡的“后門”直接攻擊企業(yè)網絡的內部資源，這也是網絡黑客最常用的攻擊手段之一；在國外就曾經有某個利益集團利用這一手法，獲取了某國海關大量的內部資料，利用所掌握的內部資料，達 到其變相走漏海關關稅的目的，而且這一手法在被發(fā)現的時候已經被有效地利用了相當長的時間。在這種復雜的網絡環(huán)境中實現對各類網絡資源的有效保護和管理，僅僅利用現有的網絡來完成，顯然是做不到的。 現有的設備和技術手段要實現以上的非法目的不難，如果僅僅是通過盜接來竊取資料，只需要物理上存在接入的可能（實際上目前國內所有的鏈路服務供應商都存在比較大的漏洞），就非常容易實現；即使是通過鏈路盜接進行惡意攻擊的“高難度”動作，“網絡高手”只需花很低的代價購買用于網絡測試的專業(yè)設備和軟件，就可在通信鏈路上通過數據回放對網絡系統(tǒng)實施攻擊。 廣域網連接的安全保護 企業(yè)部分異地的下屬企業(yè)和部門將通過廣域網的方式與綿陽總部進行連接。 Inter 連接安全保 護 企業(yè)在網絡應用中有三種情況需要進行 Inter 連接，即向外大眾用戶提供業(yè)務和宣傳信息服務、公司內部用戶和外界的電子郵件往來、通過互聯(lián)網在異地進行業(yè)務辦公的移動用戶服務等。 企業(yè)網絡安全系統(tǒng)設計建議書 9 2 應用需求分析 企業(yè)網絡結構將會包括企業(yè)內部網絡 Intra 和企業(yè)互聯(lián)網絡 Extra，同時網絡連接 Inter，滿足互聯(lián) 網訪問、 WWW 發(fā)布、外部移動用戶應用等需求。 網絡安全系統(tǒng)的技術實施 構筑網絡安全系統(tǒng)的最終目的是對網絡資源或 者說是保護對象，實施最有效的安全保護。 作為一個現實的網絡安全系統(tǒng)，首先要考慮的是安全建議書所涉及的有哪些系統(tǒng)單元，然后根據這些系統(tǒng)單元的不同，確定該單元所需 要的安全服務，再根據所需要的安全服務，確定這些安全服務在哪些 OSI 層次實現。 安全技術體系的理解及實踐 貫穿于安全體系的三個方面，各個層次的是安全管理。 協(xié)議層次維 協(xié)議層次維（ Y 軸）由 ISO/OSI 參考模型的七層構成。 安全 技術體系分析模型介紹 安全方案必須架構在科學的安全體系和安全框架之上，因為安全框架是安全方案設計和分析的基礎。 本安全建議書將均衡考慮各種安全措施的效果，提供具有最優(yōu)的性能價格比的安全解決方案。任何安全系統(tǒng)必須建立在技術、組織和制度這三個基礎之上。 企業(yè)的網絡同樣存在安全方面的風險問題。企業(yè)網絡安全系統(tǒng)設計建議書 1 企業(yè) 網絡安全系統(tǒng) 設設 計計 建建 議議 書書 思思 威威 普普 科科 技技 目錄 企業(yè)網絡安全系統(tǒng)設計建議書 2 1 概述 ........................................................................................................................... 4 企業(yè)建立網絡安全系統(tǒng)的必要性 .................................................................... 4 安全建 議書的設計原則 .................................................................................... 4 安全技術體系分析模型介紹 ............................................................................ 5 安全服務維 ................................................................................................ 5 協(xié)議層次維 ................................................................................................ 6 系統(tǒng)單元維 ................................................................................................ 6 安全技術體系的理解及實踐 ............................................................................ 6 安全體系的理解 ........................................................................................ 6 構建安全系統(tǒng)的基本目標 ........................................................................ 7 網絡安全系統(tǒng)的技術實施 ......................