【正文】 向當(dāng)?shù)?ISP 供應(yīng)商購(gòu)買(mǎi)帳戶使用 PSTN/ISDN/ADSL 撥號(hào)上網(wǎng)，這就等于給企業(yè)網(wǎng)絡(luò)為外部 Inter 的使用者提供了一個(gè)甚至多個(gè)“后門(mén)”。企業(yè)企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應(yīng)用被不同的對(duì)象使用，有許多信息系統(tǒng)會(huì)根據(jù)應(yīng)用目的進(jìn)行分類(lèi)獨(dú)立使用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡(luò)上需要有比較好的手段對(duì)內(nèi)部用戶進(jìn)行信息資源訪問(wèn)的控制；另一方面，來(lái)自于企業(yè)內(nèi)部的攻擊不容忽視，其成功的可能性要遠(yuǎn)遠(yuǎn)大于來(lái)自于 Inter 的攻擊，而且內(nèi) 部攻擊的目標(biāo)主要是獲取企業(yè)的機(jī)密信息，這就更需要有措施對(duì)內(nèi)部用戶進(jìn)行訪問(wèn)控制。 虛擬連接廣域網(wǎng)的安全保護(hù) 對(duì)于企業(yè)眾多的異地分支機(jī)構(gòu)（規(guī)模比較小的）、商業(yè)合作伙伴、出差在外的流動(dòng)用戶，將其遠(yuǎn)程電腦或小規(guī)模 LAN 納入企業(yè)網(wǎng)系統(tǒng)的接入模式，更多的將會(huì)采用通過(guò)公共 Inter 的虛擬連接方式。利用先進(jìn)的技術(shù)、工具進(jìn)行網(wǎng)絡(luò)系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時(shí)彌補(bǔ)，以及建立實(shí)時(shí)入侵檢測(cè)系統(tǒng)，是十分有效的安全防護(hù)措施，將能極大提高、完善企業(yè)系統(tǒng)安全。這些人為的疏忽或者后門(mén)就成了操作系統(tǒng)的安全漏洞。 基于以上的原因，企業(yè)網(wǎng)絡(luò)需要對(duì)總部的 應(yīng)用服務(wù)器進(jìn)行操作系統(tǒng)和數(shù)據(jù)庫(kù)的備份，操作系統(tǒng)包括 Windows NT, Windows 20xx,Solaris,Linux，數(shù)據(jù)庫(kù)系統(tǒng)主要包括 Oracle，MS SQL 數(shù)據(jù)庫(kù)。需要提高身 份認(rèn)證安全性的系統(tǒng)包括主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、移動(dòng)用戶訪問(wèn)、 VPN 和應(yīng)用層。 網(wǎng) 絡(luò)設(shè)備安全管理 企業(yè)全公司，網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）數(shù)量以數(shù)十甚至數(shù)百計(jì)。 對(duì)于企業(yè)來(lái)說(shuō)，移動(dòng)用戶將基本上采用 VPN 的方式對(duì)內(nèi)部進(jìn)行訪問(wèn)，外出的員工可以通過(guò) Inter 渠道的方式進(jìn)入公司內(nèi)部網(wǎng)絡(luò)，獲取所需要信息資源或回送需要提交的信息。 而 VPN 技術(shù)能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕?wèn)題，極大的節(jié)約公司的費(fèi)用，并且使外部非法用戶無(wú)法訪問(wèn)公司內(nèi)部信息；但是，對(duì)于公司內(nèi)部用戶，由于 VPN 所提供的用戶認(rèn)證機(jī)制依然是單一的密碼方式，使我們無(wú)法保證目前訪問(wèn)信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說(shuō)，還是存在內(nèi)部用戶盜用他人密碼訪問(wèn)特定的信息資源的安全隱患（可能這些信息資源是他無(wú)權(quán)瀏覽或更改的），因此，補(bǔ)充更強(qiáng)的身份認(rèn)證機(jī)制對(duì) VPN 系統(tǒng)應(yīng)用來(lái)說(shuō)也是非常必要的。 ? 單一密碼容易泄露，一旦密碼泄露，其惡果可能會(huì)很?chē)?yán)重。 為了使系統(tǒng)的認(rèn)證操作和對(duì)非法訪問(wèn)的攔截更加有效，所有認(rèn)證的轉(zhuǎn)發(fā)和認(rèn)證結(jié)果的處理都由防火墻來(lái)操作完成，即對(duì)所有被認(rèn)證系統(tǒng)認(rèn)定為非合法訪問(wèn)的服務(wù)請(qǐng)求，通過(guò)防火墻“掐斷”其訪問(wèn)連接，而不是通過(guò)應(yīng)用系統(tǒng)直接拒絕訪問(wèn)服務(wù) 。因此，本建議書(shū)有必要針對(duì)企業(yè)的網(wǎng)絡(luò)應(yīng)用進(jìn)行防火墻系統(tǒng)的要求分析。 企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是 C/S 和 B/S 兩種應(yīng)用結(jié)構(gòu) 的混合形式，主要的業(yè)務(wù)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 15 應(yīng)用系統(tǒng)現(xiàn)在是分布式的 C/S 結(jié)構(gòu)。 以上兩種主要的因素，在很大程度上決定我們?cè)诜阑饓x型設(shè)計(jì)時(shí)對(duì)產(chǎn)品的取舍。具 體來(lái)說(shuō)， B/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上使用，會(huì)給網(wǎng)絡(luò)防火墻帶來(lái)數(shù)倍甚至數(shù)十倍于 C/S 結(jié)構(gòu)應(yīng)用系統(tǒng)的并發(fā) TCP 會(huì)話數(shù)量，而且這些會(huì)話絕大部分是包長(zhǎng)很短的“垃圾” IP 包。 網(wǎng)絡(luò)基礎(chǔ)層安全系統(tǒng)建設(shè)目標(biāo) 網(wǎng)絡(luò)層安全系統(tǒng)通過(guò)防火墻系統(tǒng)（帶 VPN 功能）實(shí)現(xiàn)訪問(wèn)控制、網(wǎng)絡(luò)信息檢查、通信加密、非法入侵檢測(cè)和攔截，異常情況告警和審計(jì)幾大功能目標(biāo)。對(duì)于內(nèi)部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實(shí)現(xiàn)，企業(yè)各類(lèi)資源的應(yīng)用系統(tǒng)在邏輯上進(jìn)行子網(wǎng)系統(tǒng)的劃分，即在技術(shù)上提供可以獨(dú)立選擇安全策略的虛擬系統(tǒng)劃分。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 17 防火墻系統(tǒng)的功能實(shí)現(xiàn)要求總結(jié) 網(wǎng)絡(luò)層的安全保證是企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的最關(guān)鍵，因此在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，防火墻系統(tǒng)是整個(gè)系統(tǒng)的最重要組成部分，它將擔(dān)負(fù)完成大部分的安全服務(wù)（安全技術(shù)手段）實(shí)現(xiàn)和執(zhí)行的任務(wù)。 表 2 防火墻系統(tǒng)實(shí)現(xiàn)功能目標(biāo) 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會(huì)話層 表示層 應(yīng)用層 認(rèn)證 * * * * 訪問(wèn)控制 * * * 數(shù)據(jù)保密 * * * * 數(shù)據(jù)完整性 * * * 不可抵賴性 審計(jì) * * * 可用性 * * * * 應(yīng)用輔助安全系統(tǒng)的建設(shè)目 標(biāo) 應(yīng)用系統(tǒng)的安全性主要在用戶和服務(wù)器間的雙向身份認(rèn)證以及信息和服務(wù)資源的訪問(wèn)控制，具有審計(jì)和記錄機(jī)制，確保防止拒絕和防抵賴的防否認(rèn)機(jī)制。 防火墻系統(tǒng)作為網(wǎng)絡(luò)出入口的內(nèi)外連接控制和網(wǎng)絡(luò)通信加密 /解密設(shè)施，不僅需要有足夠的數(shù)據(jù)吞吐能力，如網(wǎng)絡(luò)物理接口的帶寬，也需要優(yōu)越的網(wǎng)絡(luò)連接的數(shù)據(jù)處理能力，例如并發(fā)連接數(shù)量和網(wǎng)絡(luò)連接會(huì)話處理能力等。防火墻系統(tǒng)和 VPN 應(yīng)用系統(tǒng)作為現(xiàn)代網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的重要部分，毫無(wú)疑問(wèn)也是我們建設(shè)網(wǎng)絡(luò)安全系統(tǒng)首先需要構(gòu)架的系統(tǒng)。所以我們建議動(dòng)態(tài)認(rèn)證系統(tǒng)放在防火墻系統(tǒng)實(shí)施完成后的第二階段來(lái)實(shí)施。這些安全服務(wù)包括了訪問(wèn)認(rèn)證、訪問(wèn)控制、信息流安全檢查、數(shù)據(jù)源點(diǎn)鑒別等技術(shù)手段。所以可以說(shuō)，網(wǎng)絡(luò)安全系統(tǒng)最為關(guān)鍵的組成部分實(shí)際上是利用上述的各種技術(shù)手段，通過(guò)對(duì)網(wǎng)絡(luò)出入口的控制實(shí)現(xiàn)安全服務(wù)的目的。 （一） Inter 接入結(jié)構(gòu) 如下圖典型的企業(yè)應(yīng)用所示，總部在 Inter 出口設(shè)立防火墻系統(tǒng)。中立區(qū)也需增加一臺(tái)交換機(jī)，用于連接兩臺(tái)防火墻的中立區(qū)口、WWW 服務(wù)器、郵件服務(wù)器等。其詳細(xì)特點(diǎn)如下： ? 提供了防火墻的全部安全功能（如防止拒絕服務(wù)攻擊， Java/ActiveX/Zip 過(guò)濾，防 IP 地址欺騙??） 并結(jié)合了包過(guò)濾、鏈路過(guò)濾和應(yīng)用代理服務(wù)器等技術(shù) ? 網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）：隱藏內(nèi)部的 IP 地址 ? 動(dòng)態(tài)訪問(wèn)過(guò)濾 (Dynamic Filter) ：自適應(yīng)網(wǎng)絡(luò)服務(wù)保護(hù) ? URL 地址的限定：限制站點(diǎn)的訪問(wèn)，過(guò)濾不需要的網(wǎng)站 ? 用戶認(rèn)證 (Authentication)：只允許有授權(quán)的訪問(wèn) ? 符合 IPSec：可與其他廠家的設(shè)備交互操作 ? IKE 密鑰管理：保證密鑰交換 I n t e r n e t內(nèi)部網(wǎng)絡(luò)SiSi SiSiW W W 服務(wù)器 客戶訪問(wèn)服務(wù)器中心交換機(jī)防火墻交換機(jī)交換機(jī)中集集團(tuán)I n t e r n e t 接入示意圖企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 22 ? DES 和三級(jí) DES：最高等級(jí)的加密、解密 ? 流量帶寬控制及優(yōu)先級(jí)設(shè)置：按您的需求管理流量 ? 負(fù)載平衡能力：管理服務(wù) 器群 ( Server Farms) ? 虛擬 IP：將內(nèi)部服務(wù)器映射為可路由地址 ? 實(shí)時(shí)日志及報(bào)警紀(jì)錄：實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)狀態(tài) ? 透明的，無(wú) IP 地址設(shè)置：無(wú)須更改任何路由器及主機(jī)配置 ? 自帶 Web 服務(wù)器：方便地通過(guò)流行的瀏覽器進(jìn)行管理 ? 圖形界面：可關(guān)閉遠(yuǎn)程的管理方式，只用本地的、安全的管理 ? SNMP 管理方式：通過(guò)網(wǎng)絡(luò)管理軟件管理 ? 命令行界面：支持批處理方式及通過(guò)調(diào)制解調(diào)器的備用渠道進(jìn)行控制 兩臺(tái) PIX 防火墻 采取雙機(jī)熱備方式工作，任何一臺(tái)防火墻出現(xiàn)故障，其任務(wù)由另一臺(tái)防火墻自動(dòng)接管，避免單點(diǎn)故障造成企業(yè)無(wú)法上網(wǎng) 的情況發(fā)生，保證網(wǎng)絡(luò)的無(wú)間斷運(yùn)行。 PIX ASDM 是一種在用戶主機(jī)（桌面或筆記本電腦）上運(yùn)行的軟件，簡(jiǎn)化了對(duì)網(wǎng)絡(luò)、設(shè)備或公共或非信任網(wǎng)絡(luò)中其它主機(jī)的安全 遠(yuǎn)程接入。 廣域網(wǎng)進(jìn)出口控制 企業(yè)具有多個(gè)地理上分散的分部，各分部和總部之間租用電信專(zhuān)線互聯(lián)，形成以總部為中心的集團(tuán)廣域網(wǎng)。 根據(jù)企業(yè)升級(jí)后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，廣域網(wǎng)鏈路和設(shè)備都具了較強(qiáng)的冗余份能力，總部的路由器和中心交換機(jī)配置均采取 了雙機(jī)熱備方式。 PIX525 是一個(gè)高性能、高度可靠、高度冗余的平臺(tái)。 （一）總部的接入設(shè)計(jì) 在本章 節(jié)中，已經(jīng)對(duì)企業(yè)總部的 Inter 出入口控制防火墻系統(tǒng)進(jìn)行了設(shè)計(jì)，同樣的連接應(yīng)用結(jié)構(gòu)也可以應(yīng)用到通過(guò) Inter 提供虛擬網(wǎng)絡(luò)的接入。后者的模式是再增加一個(gè)結(jié)構(gòu)與 設(shè)計(jì)相同的公網(wǎng)接入物理接口，與前者同樣的理由，向企業(yè)各分部或商業(yè)合作伙伴提供虛擬連接的出入口，其控制防火墻也需要配置功能強(qiáng)大和性能優(yōu)異的設(shè)備，建議選擇檔次為 PIX515 以上的防火墻產(chǎn)品，如PIX515 或 PIX525， PIX535。 VPN 系統(tǒng)設(shè)計(jì) VPN 系統(tǒng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的目的是在一個(gè)非信 任的通信網(wǎng)絡(luò)鏈路或公共Inter 建立一個(gè)安全和穩(wěn)定的隧道。 廣域網(wǎng)鏈路加密 企業(yè)公司總部與各地分部之間的網(wǎng)絡(luò)向 ERP、視頻會(huì)議、 VoIP 等多種業(yè)務(wù)應(yīng)用提供傳輸服務(wù)支持，大量的業(yè)務(wù)數(shù)據(jù) 通過(guò)廣域網(wǎng)傳輸，需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃裕槐?偷聽(tīng) 竊取 和 惡意篡改 。 虛擬 連接組網(wǎng)建議 在 中，我們建議在企業(yè)所有通過(guò)公共 Inter 虛擬連接的分部或商業(yè)合作伙伴，采用 PIX515 防火墻連接接入公網(wǎng)。在此，我們針對(duì) PIX 的其他應(yīng)用作如下說(shuō)明： 一、組網(wǎng)條件及設(shè)備 1． 企業(yè)異地小機(jī)構(gòu)的網(wǎng)絡(luò)或單機(jī)電腦可以通過(guò)接入 Inter，獲得靜態(tài)或動(dòng)態(tài)的公有或私有 IP 地址；企業(yè)總部有對(duì)外的固定的公共互聯(lián)網(wǎng) IP； 2． 作為建立連接的公網(wǎng) IP 的防火墻需要使用 PIX 高端的產(chǎn)品作為中心控制設(shè)備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設(shè)備）； 3． 連接分支端的網(wǎng)絡(luò)設(shè)備選用 PIX515 產(chǎn)品； 二、組網(wǎng)原理及聯(lián)網(wǎng)功能 組網(wǎng)原理如下圖： 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 27 上圖中，所 有接入互聯(lián)網(wǎng)的 PIX515（公網(wǎng) IP 地址或私網(wǎng) IP 地址），通過(guò)總部的防火墻 PIX535 系列（公網(wǎng) IP）建立以下幾種網(wǎng)絡(luò)連接（ LANtoLAN）： （ 1） 所有分支機(jī)構(gòu) LAN 與總部 LAN 之間的加密、認(rèn)證（ VPN）連接（如附圖中的黑色實(shí)線）； （ 2） 所有通過(guò) 5XP 連接的 LAN 互相可以建立通過(guò)中心防火墻路由的 LAN 加密虛擬連接，即 Hubamp。 四、企業(yè)的應(yīng)用建議 目前許多分支機(jī)構(gòu)與總部之間的數(shù)據(jù)傳送通過(guò)長(zhǎng)途撥號(hào) MODEN 傳輸或互聯(lián)網(wǎng)的郵件服務(wù)方式進(jìn)行，這種方式不僅費(fèi)用高，而且永遠(yuǎn)實(shí)現(xiàn)不了實(shí)時(shí)的集中管理，相信企業(yè)希望有一個(gè)更加實(shí)用的解決方案。 VPN通道可實(shí)現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的加密和認(rèn)證，并且提供保證數(shù)據(jù)完整性的技術(shù)手段。分散方式讓各下屬企業(yè)管理各自的防火墻。 防火墻選型設(shè)計(jì)說(shuō)明 在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，作為當(dāng)今網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。 為了使防火墻設(shè)備的選型達(dá)到一個(gè)比較理想的結(jié)果，在此有必要對(duì)防火墻的選型作企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書(shū) 29 比較詳細(xì)的說(shuō)明。我們只能對(duì)防火墻產(chǎn)品的幾大方面進(jìn)行評(píng)價(jià)。 2. VPN tunnel 的建立過(guò)程是否簡(jiǎn)單 。 Packet Level Firewall 1. NAT 開(kāi)啟及關(guān)閉時(shí)的無(wú)封包遺失最大輸出性能 (noloss max throughput)及封包延遲 (latency)。 Content Level Firewall 1． 啟及關(guān)閉 Java / ActiveX / JavaScript 時(shí)，一個(gè) web client 每秒鐘內(nèi)所能建立的連結(jié)數(shù)與輸出性能 。 幾種流行防火墻產(chǎn)品的比較 附件為獨(dú)立的 第三方測(cè)試機(jī)構(gòu)的評(píng)測(cè)報(bào)告，有的側(cè)重于功能比較，有的側(cè)重于性能參數(shù)比較，供參考。 PIX設(shè)備和相應(yīng)的 VLAN交 換網(wǎng)絡(luò)，可以表現(xiàn)為多個(gè)具有完全安全特性的防火墻系統(tǒng)。 Mode PIX產(chǎn)品有三種工作模式： Transparent， Route， NAT。防火墻建立一個(gè) MAC學(xué)習(xí)表，自動(dòng)地自學(xué)哪些幀要進(jìn)行轉(zhuǎn)發(fā)，哪些幀要忽略。防火墻的作用相當(dāng)于一臺(tái)路由器，同時(shí)執(zhí)行嚴(yán)格策略檢查、攻擊檢測(cè)等。流量管理允許網(wǎng)絡(luò)管理員實(shí)時(shí)監(jiān)視、分析和分配供各類(lèi)網(wǎng)絡(luò)流量使用的帶寬，確保在部分用戶使用網(wǎng)絡(luò)時(shí)不會(huì)損害關(guān)鍵業(yè)務(wù)型流量。 應(yīng)用流量控制，可以防止某些應(yīng)用或某些用戶無(wú)限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。 Route 模式下支持 VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門(mén)或不同的應(yīng)用；同時(shí)支持 VSYS，可以把 PIX防火墻虛擬成多個(gè)邏輯防火墻供不 同的部門(mén)或不同的應(yīng)用使用 Route 模式下 PIX 防火墻可以支持ActivePassive的 HA 以及FullMeshed ActiveActive HA，從高可用性和性能的角度來(lái)綜合考慮，建議采用FullMeshed ActiveActive HA 方案 PIX515/525/535 支持ActivePassive HA； PIX 產(chǎn)品主要性能列表