【正文】 向當(dāng)?shù)?ISP 供應(yīng)商購買帳戶使用 PSTN/ISDN/ADSL 撥號上網(wǎng)，這就等于給企業(yè)網(wǎng)絡(luò)為外部 Inter 的使用者提供了一個甚至多個“后門”。企業(yè)企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應(yīng)用被不同的對象使用，有許多信息系統(tǒng)會根據(jù)應(yīng)用目的進(jìn)行分類獨(dú)立使用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡(luò)上需要有比較好的手段對內(nèi)部用戶進(jìn)行信息資源訪問的控制；另一方面，來自于企業(yè)內(nèi)部的攻擊不容忽視，其成功的可能性要遠(yuǎn)遠(yuǎn)大于來自于 Inter 的攻擊，而且內(nèi) 部攻擊的目標(biāo)主要是獲取企業(yè)的機(jī)密信息，這就更需要有措施對內(nèi)部用戶進(jìn)行訪問控制。 虛擬連接廣域網(wǎng)的安全保護(hù) 對于企業(yè)眾多的異地分支機(jī)構(gòu)（規(guī)模比較小的）、商業(yè)合作伙伴、出差在外的流動用戶，將其遠(yuǎn)程電腦或小規(guī)模 LAN 納入企業(yè)網(wǎng)系統(tǒng)的接入模式，更多的將會采用通過公共 Inter 的虛擬連接方式。利用先進(jìn)的技術(shù)、工具進(jìn)行網(wǎng)絡(luò)系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時彌補(bǔ)，以及建立實(shí)時入侵檢測系統(tǒng)，是十分有效的安全防護(hù)措施，將能極大提高、完善企業(yè)系統(tǒng)安全。這些人為的疏忽或者后門就成了操作系統(tǒng)的安全漏洞。 基于以上的原因，企業(yè)網(wǎng)絡(luò)需要對總部的 應(yīng)用服務(wù)器進(jìn)行操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括 Windows NT, Windows 20xx,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括 Oracle，MS SQL 數(shù)據(jù)庫。需要提高身 份認(rèn)證安全性的系統(tǒng)包括主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、移動用戶訪問、 VPN 和應(yīng)用層。 網(wǎng) 絡(luò)設(shè)備安全管理 企業(yè)全公司，網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）數(shù)量以數(shù)十甚至數(shù)百計(jì)。 對于企業(yè)來說，移動用戶將基本上采用 VPN 的方式對內(nèi)部進(jìn)行訪問，外出的員工可以通過 Inter 渠道的方式進(jìn)入公司內(nèi)部網(wǎng)絡(luò)，獲取所需要信息資源或回送需要提交的信息。 而 VPN 技術(shù)能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴}，極大的節(jié)約公司的費(fèi)用，并且使外部非法用戶無法訪問公司內(nèi)部信息；但是，對于公司內(nèi)部用戶，由于 VPN 所提供的用戶認(rèn)證機(jī)制依然是單一的密碼方式，使我們無法保證目前訪問信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說，還是存在內(nèi)部用戶盜用他人密碼訪問特定的信息資源的安全隱患（可能這些信息資源是他無權(quán)瀏覽或更改的），因此，補(bǔ)充更強(qiáng)的身份認(rèn)證機(jī)制對 VPN 系統(tǒng)應(yīng)用來說也是非常必要的。 ? 單一密碼容易泄露，一旦密碼泄露，其惡果可能會很嚴(yán)重。 為了使系統(tǒng)的認(rèn)證操作和對非法訪問的攔截更加有效，所有認(rèn)證的轉(zhuǎn)發(fā)和認(rèn)證結(jié)果的處理都由防火墻來操作完成，即對所有被認(rèn)證系統(tǒng)認(rèn)定為非合法訪問的服務(wù)請求，通過防火墻“掐斷”其訪問連接，而不是通過應(yīng)用系統(tǒng)直接拒絕訪問服務(wù) 。因此，本建議書有必要針對企業(yè)的網(wǎng)絡(luò)應(yīng)用進(jìn)行防火墻系統(tǒng)的要求分析。 企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是 C/S 和 B/S 兩種應(yīng)用結(jié)構(gòu) 的混合形式，主要的業(yè)務(wù)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 15 應(yīng)用系統(tǒng)現(xiàn)在是分布式的 C/S 結(jié)構(gòu)。 以上兩種主要的因素，在很大程度上決定我們在防火墻選型設(shè)計(jì)時對產(chǎn)品的取舍。具 體來說， B/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上使用，會給網(wǎng)絡(luò)防火墻帶來數(shù)倍甚至數(shù)十倍于 C/S 結(jié)構(gòu)應(yīng)用系統(tǒng)的并發(fā) TCP 會話數(shù)量，而且這些會話絕大部分是包長很短的“垃圾” IP 包。 網(wǎng)絡(luò)基礎(chǔ)層安全系統(tǒng)建設(shè)目標(biāo) 網(wǎng)絡(luò)層安全系統(tǒng)通過防火墻系統(tǒng)（帶 VPN 功能）實(shí)現(xiàn)訪問控制、網(wǎng)絡(luò)信息檢查、通信加密、非法入侵檢測和攔截，異常情況告警和審計(jì)幾大功能目標(biāo)。對于內(nèi)部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實(shí)現(xiàn)，企業(yè)各類資源的應(yīng)用系統(tǒng)在邏輯上進(jìn)行子網(wǎng)系統(tǒng)的劃分，即在技術(shù)上提供可以獨(dú)立選擇安全策略的虛擬系統(tǒng)劃分。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 17 防火墻系統(tǒng)的功能實(shí)現(xiàn)要求總結(jié) 網(wǎng)絡(luò)層的安全保證是企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的最關(guān)鍵，因此在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，防火墻系統(tǒng)是整個系統(tǒng)的最重要組成部分，它將擔(dān)負(fù)完成大部分的安全服務(wù)（安全技術(shù)手段）實(shí)現(xiàn)和執(zhí)行的任務(wù)。 表 2 防火墻系統(tǒng)實(shí)現(xiàn)功能目標(biāo) 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會話層 表示層 應(yīng)用層 認(rèn)證 * * * * 訪問控制 * * * 數(shù)據(jù)保密 * * * * 數(shù)據(jù)完整性 * * * 不可抵賴性 審計(jì) * * * 可用性 * * * * 應(yīng)用輔助安全系統(tǒng)的建設(shè)目 標(biāo) 應(yīng)用系統(tǒng)的安全性主要在用戶和服務(wù)器間的雙向身份認(rèn)證以及信息和服務(wù)資源的訪問控制，具有審計(jì)和記錄機(jī)制，確保防止拒絕和防抵賴的防否認(rèn)機(jī)制。 防火墻系統(tǒng)作為網(wǎng)絡(luò)出入口的內(nèi)外連接控制和網(wǎng)絡(luò)通信加密 /解密設(shè)施，不僅需要有足夠的數(shù)據(jù)吞吐能力，如網(wǎng)絡(luò)物理接口的帶寬，也需要優(yōu)越的網(wǎng)絡(luò)連接的數(shù)據(jù)處理能力，例如并發(fā)連接數(shù)量和網(wǎng)絡(luò)連接會話處理能力等。防火墻系統(tǒng)和 VPN 應(yīng)用系統(tǒng)作為現(xiàn)代網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的重要部分，毫無疑問也是我們建設(shè)網(wǎng)絡(luò)安全系統(tǒng)首先需要構(gòu)架的系統(tǒng)。所以我們建議動態(tài)認(rèn)證系統(tǒng)放在防火墻系統(tǒng)實(shí)施完成后的第二階段來實(shí)施。這些安全服務(wù)包括了訪問認(rèn)證、訪問控制、信息流安全檢查、數(shù)據(jù)源點(diǎn)鑒別等技術(shù)手段。所以可以說，網(wǎng)絡(luò)安全系統(tǒng)最為關(guān)鍵的組成部分實(shí)際上是利用上述的各種技術(shù)手段，通過對網(wǎng)絡(luò)出入口的控制實(shí)現(xiàn)安全服務(wù)的目的。 （一） Inter 接入結(jié)構(gòu) 如下圖典型的企業(yè)應(yīng)用所示，總部在 Inter 出口設(shè)立防火墻系統(tǒng)。中立區(qū)也需增加一臺交換機(jī)，用于連接兩臺防火墻的中立區(qū)口、WWW 服務(wù)器、郵件服務(wù)器等。其詳細(xì)特點(diǎn)如下： ? 提供了防火墻的全部安全功能（如防止拒絕服務(wù)攻擊， Java/ActiveX/Zip 過濾，防 IP 地址欺騙??） 并結(jié)合了包過濾、鏈路過濾和應(yīng)用代理服務(wù)器等技術(shù) ? 網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）：隱藏內(nèi)部的 IP 地址 ? 動態(tài)訪問過濾 (Dynamic Filter) ：自適應(yīng)網(wǎng)絡(luò)服務(wù)保護(hù) ? URL 地址的限定：限制站點(diǎn)的訪問，過濾不需要的網(wǎng)站 ? 用戶認(rèn)證 (Authentication)：只允許有授權(quán)的訪問 ? 符合 IPSec：可與其他廠家的設(shè)備交互操作 ? IKE 密鑰管理：保證密鑰交換 I n t e r n e t內(nèi)部網(wǎng)絡(luò)SiSi SiSiW W W 服務(wù)器 客戶訪問服務(wù)器中心交換機(jī)防火墻交換機(jī)交換機(jī)中集集團(tuán)I n t e r n e t 接入示意圖企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 22 ? DES 和三級 DES：最高等級的加密、解密 ? 流量帶寬控制及優(yōu)先級設(shè)置：按您的需求管理流量 ? 負(fù)載平衡能力：管理服務(wù) 器群 ( Server Farms) ? 虛擬 IP：將內(nèi)部服務(wù)器映射為可路由地址 ? 實(shí)時日志及報警紀(jì)錄：實(shí)時監(jiān)控網(wǎng)絡(luò)狀態(tài) ? 透明的，無 IP 地址設(shè)置：無須更改任何路由器及主機(jī)配置 ? 自帶 Web 服務(wù)器：方便地通過流行的瀏覽器進(jìn)行管理 ? 圖形界面：可關(guān)閉遠(yuǎn)程的管理方式，只用本地的、安全的管理 ? SNMP 管理方式：通過網(wǎng)絡(luò)管理軟件管理 ? 命令行界面：支持批處理方式及通過調(diào)制解調(diào)器的備用渠道進(jìn)行控制 兩臺 PIX 防火墻 采取雙機(jī)熱備方式工作，任何一臺防火墻出現(xiàn)故障，其任務(wù)由另一臺防火墻自動接管，避免單點(diǎn)故障造成企業(yè)無法上網(wǎng) 的情況發(fā)生，保證網(wǎng)絡(luò)的無間斷運(yùn)行。 PIX ASDM 是一種在用戶主機(jī)（桌面或筆記本電腦）上運(yùn)行的軟件，簡化了對網(wǎng)絡(luò)、設(shè)備或公共或非信任網(wǎng)絡(luò)中其它主機(jī)的安全 遠(yuǎn)程接入。 廣域網(wǎng)進(jìn)出口控制 企業(yè)具有多個地理上分散的分部，各分部和總部之間租用電信專線互聯(lián)，形成以總部為中心的集團(tuán)廣域網(wǎng)。 根據(jù)企業(yè)升級后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，廣域網(wǎng)鏈路和設(shè)備都具了較強(qiáng)的冗余份能力，總部的路由器和中心交換機(jī)配置均采取 了雙機(jī)熱備方式。 PIX525 是一個高性能、高度可靠、高度冗余的平臺。 （一）總部的接入設(shè)計(jì) 在本章 節(jié)中，已經(jīng)對企業(yè)總部的 Inter 出入口控制防火墻系統(tǒng)進(jìn)行了設(shè)計(jì)，同樣的連接應(yīng)用結(jié)構(gòu)也可以應(yīng)用到通過 Inter 提供虛擬網(wǎng)絡(luò)的接入。后者的模式是再增加一個結(jié)構(gòu)與 設(shè)計(jì)相同的公網(wǎng)接入物理接口，與前者同樣的理由，向企業(yè)各分部或商業(yè)合作伙伴提供虛擬連接的出入口，其控制防火墻也需要配置功能強(qiáng)大和性能優(yōu)異的設(shè)備，建議選擇檔次為 PIX515 以上的防火墻產(chǎn)品，如PIX515 或 PIX525， PIX535。 VPN 系統(tǒng)設(shè)計(jì) VPN 系統(tǒng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的目的是在一個非信 任的通信網(wǎng)絡(luò)鏈路或公共Inter 建立一個安全和穩(wěn)定的隧道。 廣域網(wǎng)鏈路加密 企業(yè)公司總部與各地分部之間的網(wǎng)絡(luò)向 ERP、視頻會議、 VoIP 等多種業(yè)務(wù)應(yīng)用提供傳輸服務(wù)支持，大量的業(yè)務(wù)數(shù)據(jù) 通過廣域網(wǎng)傳輸，需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃?，不?偷聽 竊取 和 惡意篡改 。 虛擬 連接組網(wǎng)建議 在 中，我們建議在企業(yè)所有通過公共 Inter 虛擬連接的分部或商業(yè)合作伙伴，采用 PIX515 防火墻連接接入公網(wǎng)。在此，我們針對 PIX 的其他應(yīng)用作如下說明： 一、組網(wǎng)條件及設(shè)備 1． 企業(yè)異地小機(jī)構(gòu)的網(wǎng)絡(luò)或單機(jī)電腦可以通過接入 Inter，獲得靜態(tài)或動態(tài)的公有或私有 IP 地址；企業(yè)總部有對外的固定的公共互聯(lián)網(wǎng) IP； 2． 作為建立連接的公網(wǎng) IP 的防火墻需要使用 PIX 高端的產(chǎn)品作為中心控制設(shè)備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設(shè)備）； 3． 連接分支端的網(wǎng)絡(luò)設(shè)備選用 PIX515 產(chǎn)品； 二、組網(wǎng)原理及聯(lián)網(wǎng)功能 組網(wǎng)原理如下圖： 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 27 上圖中，所 有接入互聯(lián)網(wǎng)的 PIX515（公網(wǎng) IP 地址或私網(wǎng) IP 地址），通過總部的防火墻 PIX535 系列（公網(wǎng) IP）建立以下幾種網(wǎng)絡(luò)連接（ LANtoLAN）： （ 1） 所有分支機(jī)構(gòu) LAN 與總部 LAN 之間的加密、認(rèn)證（ VPN）連接（如附圖中的黑色實(shí)線）； （ 2） 所有通過 5XP 連接的 LAN 互相可以建立通過中心防火墻路由的 LAN 加密虛擬連接，即 Hubamp。 四、企業(yè)的應(yīng)用建議 目前許多分支機(jī)構(gòu)與總部之間的數(shù)據(jù)傳送通過長途撥號 MODEN 傳輸或互聯(lián)網(wǎng)的郵件服務(wù)方式進(jìn)行，這種方式不僅費(fèi)用高，而且永遠(yuǎn)實(shí)現(xiàn)不了實(shí)時的集中管理，相信企業(yè)希望有一個更加實(shí)用的解決方案。 VPN通道可實(shí)現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的加密和認(rèn)證，并且提供保證數(shù)據(jù)完整性的技術(shù)手段。分散方式讓各下屬企業(yè)管理各自的防火墻。 防火墻選型設(shè)計(jì)說明 在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，作為當(dāng)今網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。 為了使防火墻設(shè)備的選型達(dá)到一個比較理想的結(jié)果，在此有必要對防火墻的選型作企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 29 比較詳細(xì)的說明。我們只能對防火墻產(chǎn)品的幾大方面進(jìn)行評價。 2. VPN tunnel 的建立過程是否簡單 。 Packet Level Firewall 1. NAT 開啟及關(guān)閉時的無封包遺失最大輸出性能 (noloss max throughput)及封包延遲 (latency)。 Content Level Firewall 1． 啟及關(guān)閉 Java / ActiveX / JavaScript 時，一個 web client 每秒鐘內(nèi)所能建立的連結(jié)數(shù)與輸出性能 。 幾種流行防火墻產(chǎn)品的比較 附件為獨(dú)立的 第三方測試機(jī)構(gòu)的評測報告，有的側(cè)重于功能比較，有的側(cè)重于性能參數(shù)比較，供參考。 PIX設(shè)備和相應(yīng)的 VLAN交 換網(wǎng)絡(luò)，可以表現(xiàn)為多個具有完全安全特性的防火墻系統(tǒng)。 Mode PIX產(chǎn)品有三種工作模式： Transparent， Route， NAT。防火墻建立一個 MAC學(xué)習(xí)表，自動地自學(xué)哪些幀要進(jìn)行轉(zhuǎn)發(fā)，哪些幀要忽略。防火墻的作用相當(dāng)于一臺路由器，同時執(zhí)行嚴(yán)格策略檢查、攻擊檢測等。流量管理允許網(wǎng)絡(luò)管理員實(shí)時監(jiān)視、分析和分配供各類網(wǎng)絡(luò)流量使用的帶寬，確保在部分用戶使用網(wǎng)絡(luò)時不會損害關(guān)鍵業(yè)務(wù)型流量。 應(yīng)用流量控制，可以防止某些應(yīng)用或某些用戶無限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。 Route 模式下支持 VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門或不同的應(yīng)用；同時支持 VSYS，可以把 PIX防火墻虛擬成多個邏輯防火墻供不 同的部門或不同的應(yīng)用使用 Route 模式下 PIX 防火墻可以支持ActivePassive的 HA 以及FullMeshed ActiveActive HA，從高可用性和性能的角度來綜合考慮，建議采用FullMeshed ActiveActive HA 方案 PIX515/525/535 支持ActivePassive HA； PIX 產(chǎn)品主要性能列表