【正文】 在設(shè)計的過程中遇到問題，發(fā)現(xiàn)了自己的不足之處，對以前所學(xué)過的知識理解得不夠深刻，掌握得不夠牢固。 改動現(xiàn)有網(wǎng)絡(luò)設(shè)置（或新建設(shè)的網(wǎng)絡(luò)）[1]，如表43所示：表43 網(wǎng)絡(luò)設(shè)置（二）ModeVSYSHA適合的PIX設(shè)備應(yīng)用PIX設(shè)備的Route模式，只需改動原有網(wǎng)絡(luò)的路由信息。流量管理允許網(wǎng)絡(luò)管理員實時監(jiān)視、分析和分配供各類網(wǎng)絡(luò)流量使用的帶寬，確保在部分用戶使用網(wǎng)絡(luò)時不會損害關(guān)鍵業(yè)務(wù)型流量。防火墻建立一個MAC學(xué)習(xí)表，自動地自學(xué)哪些幀要進行轉(zhuǎn)發(fā)，哪些幀要忽略。PIX設(shè)備和相應(yīng)的VLAN交換網(wǎng)絡(luò)，可以表現(xiàn)為多個具有完全安全特性的防火墻系統(tǒng)。Content LevelFirewall1．啟及關(guān)閉Java / ActiveX / JavaScript 時，一個web client 每秒鐘內(nèi)所能建立的連結(jié)數(shù)與輸出性能 。2. VPN tunnel 的建立過程是否簡單 。因此針對這些應(yīng)用的網(wǎng)絡(luò)連接應(yīng)用和數(shù)據(jù)傳輸?shù)奶攸c，本建議書在充分考慮所選擇的設(shè)備安全性能的因素同時，還重點考慮所選設(shè)備的網(wǎng)絡(luò)處理能力。在此防火墻系統(tǒng)的管理上，有分散和集中兩種方式。 通過PIX515的管理策略，可以使分部的用戶在使用Internet服務(wù)和企業(yè)網(wǎng)虛擬連接之間進行“透明”的區(qū)分，而且同時使用又相互不影響。Spoke方式的VPN連接（如上圖中的藍色和綠色虛線）；為防止中心點因為各種原因而導(dǎo)致防火墻不可訪問，從而造成分支點之間的互訪障礙，可以配置一個冗余中心，提高整個網(wǎng)絡(luò)的高可用性（如上圖中的長虛線連接所示）；特殊需求情況下，可以直接建立不經(jīng)過中心防火墻路由的直接的5XP之間的LANtoLAN加密VPN連接（上圖中的紅色虛線）。在前面廣域網(wǎng)進出口控制一節(jié)的方案中，PIX產(chǎn)品集防火墻、VPN功能于一體，它可以充當(dāng)VPN網(wǎng)關(guān)而無需增加任何組件。本設(shè)計方案選擇PIX515防火墻配備各分部。PIX525特別適合帶寬要求高的大型企業(yè)環(huán)境。該防火墻系統(tǒng)起到防御內(nèi)部攻擊、阻止入侵行為進一步擴大升級的作用，避免某段網(wǎng)絡(luò)范圍內(nèi)發(fā)生的入侵破壞擴大至整個企業(yè)網(wǎng)絡(luò)，把來自內(nèi)部攻擊造成的破壞減低到最低程度，保護其它網(wǎng)絡(luò)部分的正常工作。利用PIX防火墻的VPN功能，終端工作站安裝PIX ASDM軟件或者利用WIN2000操作系統(tǒng)對VPN的支持，可以實現(xiàn)企業(yè)遠程辦公的安全需求。 實時日志及報警紀(jì)錄：實時監(jiān)控網(wǎng)絡(luò)狀態(tài) URL地址的限定：限制站點的訪問，過濾不需要的網(wǎng)站 中立區(qū)也需增加一臺交換機，用于連接兩臺防火墻的中立區(qū)口、WWW服務(wù)器、郵件服務(wù)器等。所以可以說，網(wǎng)絡(luò)安全系統(tǒng)最為關(guān)鍵的組成部分實際上是利用上述的各種技術(shù)手段，通過對網(wǎng)絡(luò)出入口的控制實現(xiàn)安全服務(wù)的目的。正如前面所分析，在防火墻配合的基礎(chǔ)上可以更加有效地發(fā)揮其作用；另一方面，動態(tài)認(rèn)證系統(tǒng)是面向具體應(yīng)用的訪問控制輔助手段，系統(tǒng)的實施范圍和規(guī)模根據(jù)應(yīng)用系統(tǒng)的要求而決定。本建議書設(shè)計的安全系統(tǒng)首先是滿足企業(yè)現(xiàn)有和可預(yù)見未來幾年內(nèi)的應(yīng)用要求；其次是考慮在投資增加很少的前提下，選擇目前可以提供最先進技術(shù)手段的設(shè)備和系統(tǒng)方案；最后要考慮實現(xiàn)的安全系統(tǒng)面對應(yīng)用要有長遠發(fā)展的能力。網(wǎng)絡(luò)的VPN應(yīng)用范圍包括移動用戶的客戶機到企業(yè)網(wǎng)絡(luò)Internet出入口的防火墻、各分支機構(gòu)的廣域網(wǎng)出入口防火墻到集團總部廣域網(wǎng)出入口防火墻。3安全系統(tǒng)實現(xiàn)目標(biāo)根據(jù)上一章的需求分析，從網(wǎng)絡(luò)安全的技術(shù)手段而言，企業(yè)網(wǎng)的安全系統(tǒng)必須實現(xiàn)從Internet和廣域網(wǎng)進入內(nèi)部資源網(wǎng)絡(luò)的數(shù)據(jù)被有效檢查和過濾、所有對內(nèi)部資源網(wǎng)絡(luò)的訪問可以被有效控制、移動用戶從Internet進入內(nèi)部網(wǎng)絡(luò)進行業(yè)務(wù)操作的通信和通過廣域網(wǎng)進入內(nèi)部網(wǎng)的用戶通信必須加密、所有網(wǎng)絡(luò)訪問行為能夠被記錄和審計、非法訪問被預(yù)警和阻攔（條件允許時實施）、應(yīng)用系統(tǒng)平臺及數(shù)據(jù)可以被有效備份以抗擊災(zāi)難風(fēng)險、用戶的身份的真實性認(rèn)證等幾方面的目標(biāo)[4]。同時隨著公司規(guī)模的擴大和業(yè)務(wù)領(lǐng)域的拓展，目前已經(jīng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)應(yīng)用的網(wǎng)絡(luò)視頻會議系統(tǒng)（對網(wǎng)絡(luò)的傳輸性能要求很高的應(yīng)用系統(tǒng)）會隨著系統(tǒng)應(yīng)用規(guī)模的擴大，為網(wǎng)絡(luò)系統(tǒng)帶來越來越大的數(shù)據(jù)傳輸壓力。如果防火墻選型設(shè)計的不恰當(dāng)，即使網(wǎng)絡(luò)其他設(shè)備的選型設(shè)計滿足要求，同樣也會因為防火墻的效率妨礙網(wǎng)絡(luò)的應(yīng)用，嚴(yán)重的話會導(dǎo)致整個網(wǎng)絡(luò)應(yīng)用建設(shè)的失敗，這已經(jīng)是被事實證明的。l 單一密碼容易泄露，一旦密碼泄露，其惡果可能會很嚴(yán)重。對于企業(yè)來說，移動用戶將基本上采用VPN的方式對內(nèi)部進行訪問，外出的員工可以通過Internet渠道的方式進入公司內(nèi)部網(wǎng)絡(luò)，獲取所需要信息資源或回送需要提交的信息。需要提高身份認(rèn)證安全性的系統(tǒng)包括主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、移動用戶訪問、VPN和應(yīng)用層。這些人為的疏忽或者后門就成了操作系統(tǒng)的安全漏洞。（3）虛擬連接廣域網(wǎng)的安全保護對于企業(yè)眾多的異地分支機構(gòu)（規(guī)模比較小的）、商業(yè)合作伙伴、出差在外的流動用戶，將其遠程電腦或小規(guī)模LAN納入企業(yè)網(wǎng)系統(tǒng)的接入模式，更多的將會采用通過公共Internet的虛擬連接方式。雖然企業(yè)在網(wǎng)絡(luò)實施和管理上可以強制性地要求企業(yè)內(nèi)部網(wǎng)絡(luò)到Internet的接入為統(tǒng)一出入口，但是在網(wǎng)絡(luò)的使用過程中，也許總部和個別管理嚴(yán)格的異地分支機構(gòu)和部門，可以比較容易地始終如一執(zhí)行這一規(guī)章制度，卻不能完全保證所有在網(wǎng)上的用戶因為一些別的原因使用了另外的途徑進入Internet，如異地機構(gòu)的企業(yè)網(wǎng)絡(luò)用戶通過向當(dāng)?shù)豂SP供應(yīng)商購買帳戶使用PSTN/ISDN/ADSL撥號上網(wǎng)，這就等于給企業(yè)網(wǎng)絡(luò)為外部Internet的使用者提供了一個甚至多個“后門”。如果僅僅是竊取資料對于網(wǎng)絡(luò)系統(tǒng)本身也許不會產(chǎn)生太嚴(yán)重的破壞，但是假設(shè)盜接者是一個惡意攻擊者，即使僅僅是一個普通的網(wǎng)絡(luò)高手，把在網(wǎng)絡(luò)通信鏈路上截取的數(shù)據(jù)進行篡改或者置換，再通過網(wǎng)絡(luò)鏈路將屬性被異動的數(shù)據(jù)對系統(tǒng)進行回放，其對網(wǎng)絡(luò)系統(tǒng)可能造成的破壞程度是用戶無法預(yù)計的[4]。從企業(yè)的應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)分析，企業(yè)網(wǎng)絡(luò)層的安全涉及到Internet連接安全、廣域網(wǎng)連接安全、應(yīng)用系統(tǒng)內(nèi)部資源網(wǎng)絡(luò)連接安全保護幾方面的安全問題。根據(jù)我們對企業(yè)網(wǎng)絡(luò)系統(tǒng)應(yīng)用現(xiàn)狀的認(rèn)識，以及未來將要實現(xiàn)的各種應(yīng)用目標(biāo)了解，我們認(rèn)為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)，最終需要全部實現(xiàn)圖11中安全服務(wù)維所提出的基本技術(shù)手段。通信平臺，信息網(wǎng)絡(luò)的通信平臺；網(wǎng)絡(luò)平臺，信息網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)；系統(tǒng)平臺，信息網(wǎng)絡(luò)的操作系統(tǒng)平臺；應(yīng)用平臺，信息網(wǎng)絡(luò)各種應(yīng)用的開發(fā)、運行平臺；物理環(huán)境，信息網(wǎng)絡(luò)運行的物理環(huán)境及人員管理。l 可行性、可靠性、安全性作為一個工程項目，可行性是設(shè)計企業(yè)安全方案的根本，它將直接影響到網(wǎng)絡(luò)通信平臺的暢通；可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺正常運行的保證；而安全性是設(shè)計安全系統(tǒng)的最終目的。網(wǎng)絡(luò)安全體系的核心目標(biāo)是實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效控制和管理。企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求分析與設(shè)計方案1概述建設(shè)功能強大和安全可靠的網(wǎng)絡(luò)化信息管理系統(tǒng)是企業(yè)實現(xiàn)現(xiàn)代化管理的必要手段。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這三個基礎(chǔ)之上。安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上，因為安全框架是安全方案設(shè)計和分析的基礎(chǔ)。貫穿于安全體系的三個方面，各個層次的是安全管理。（3）網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)實施構(gòu)筑網(wǎng)絡(luò)安全系統(tǒng)的最終目的是對網(wǎng)絡(luò)資源或者說是保護對象，實施最有效的安全保護[1]。（1）Internet連接安全保護企業(yè)在網(wǎng)絡(luò)應(yīng)用中有三種情況需要進行Internet連接，即向外大眾用戶提供業(yè)務(wù)和宣傳信息服務(wù)、公司內(nèi)部用戶和外界的電子郵件往來、通過互聯(lián)網(wǎng)在異地進行業(yè)務(wù)辦公的移動用戶服務(wù)等?，F(xiàn)有的設(shè)備和技術(shù)手段要實現(xiàn)以上的非法目的不難，如果僅僅是通過盜接來竊取資料，只需要物理上存在接入的可能（實際上目前國內(nèi)所有的鏈路服務(wù)供應(yīng)商都存在比較大的漏洞），就非常容易實現(xiàn)；即使是通過鏈路盜接進行惡意攻擊的“高難度”動作，“網(wǎng)絡(luò)高手”只需花很低的代價購買用于網(wǎng)絡(luò)測試的專業(yè)設(shè)備和軟件，就可在通信鏈路上通過數(shù)據(jù)回放對網(wǎng)絡(luò)系統(tǒng)實施攻擊。這種“后門”對于別有用心的網(wǎng)絡(luò)黑客來說，是非常有用的，他們可以避開企業(yè)網(wǎng)絡(luò)“門戶”的防火墻系統(tǒng)，通過網(wǎng)絡(luò)的“后門”直接攻擊企業(yè)網(wǎng)絡(luò)的內(nèi)部資源，這也是網(wǎng)絡(luò)黑客最常用的攻擊手段之一；在國外就曾經(jīng)有某個利益集團利用這一手法，獲取了某國海關(guān)大量的內(nèi)部資料，利用所掌握的內(nèi)部資料，達到其變相走漏海關(guān)關(guān)稅的目的，而且這一手法在被發(fā)現(xiàn)的時候已經(jīng)被有效地利用了相當(dāng)長的時間。正如前面所言，這種連接方式盡管實現(xiàn)的代價和技術(shù)條件相對比較低，但其所能提供的安全保證更加不可信賴。還有，安裝在操作系統(tǒng)上的各種應(yīng)用系統(tǒng)形成了一個復(fù)雜的環(huán)境，這些應(yīng)用程序本身設(shè)計的缺陷也會帶來安全漏洞。（1）主機系統(tǒng)包括企業(yè)總部和各下屬公司中心主機、數(shù)據(jù)庫系統(tǒng)，WEB服務(wù)器、MAIL服務(wù)器等等，這些主機系統(tǒng)是公司網(wǎng)絡(luò)系統(tǒng)的核心，存儲著公司最重要的信息資源，因此，保證這些主機系統(tǒng)的登錄的安全是極其重要的。而目前從終端上訪問也是采用單一靜態(tài)密碼，從我們前面的分析來看，顯然是不安全的。l 高級別的用戶在遠程授權(quán)以后，需要及時地更改密碼。因此，本設(shè)計有必要針對企業(yè)的網(wǎng)絡(luò)應(yīng)用進行防火墻系統(tǒng)的要求分析。以上兩種主要的因素，在很大程度上決定我們在防火墻選型設(shè)計時對產(chǎn)品的取舍。網(wǎng)絡(luò)層安全系統(tǒng)通過防火墻系統(tǒng)（帶VPN功能）實現(xiàn)訪問控制、網(wǎng)絡(luò)信息檢查、通信加密、非法入侵檢測和攔截，異常情況告警和審計幾大功能目標(biāo)。（3）防火墻系統(tǒng)的功能實現(xiàn)要求總結(jié)網(wǎng)絡(luò)層的安全保證是企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的最關(guān)鍵，因此在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，防火墻系統(tǒng)是整個系統(tǒng)的最重要組成部分，它將擔(dān)負(fù)完成大部分的安全服務(wù)（安全技術(shù)手段）實現(xiàn)和執(zhí)行的任務(wù)[1]。防火墻系統(tǒng)作為網(wǎng)絡(luò)出入口的內(nèi)外連接控制和網(wǎng)絡(luò)通信加密/解密設(shè)施，不僅需要有足夠的數(shù)據(jù)吞吐能力，如網(wǎng)絡(luò)物理接口的帶寬，也需要優(yōu)越的網(wǎng)絡(luò)連接的數(shù)據(jù)處理能力，例如并發(fā)連接數(shù)量和網(wǎng)絡(luò)連接會話處理能力等。所以設(shè)計的動態(tài)認(rèn)證系統(tǒng)放在防火墻系統(tǒng)實施完成后的第二階段來實施。本課程設(shè)計我們采用防火墻來對企業(yè)網(wǎng)絡(luò)的進出口進行控制，包括Internet進出口控制和廣域網(wǎng)進出口控制。圖41 典型的企業(yè)應(yīng)用l 防火墻系統(tǒng)選型設(shè)計經(jīng)過對多家防火墻廠商設(shè)備的綜合比較，本建議書推薦采用Cisco公司的防火墻產(chǎn)品。 用戶認(rèn)證(Authentication)：只允許有授權(quán)的訪問 透明的，無IP地址設(shè)置：無須更改任何路由器及主機配置 PIX ASDM是一種在用戶主機（桌面或筆記本電腦）上運行的軟件，簡化了對