【正文】 在設(shè)計(jì)的過程中遇到問題，發(fā)現(xiàn)了自己的不足之處，對(duì)以前所學(xué)過的知識(shí)理解得不夠深刻，掌握得不夠牢固。 改動(dòng)現(xiàn)有網(wǎng)絡(luò)設(shè)置（或新建設(shè)的網(wǎng)絡(luò)）[1]，如表43所示：表43 網(wǎng)絡(luò)設(shè)置（二）ModeVSYSHA適合的PIX設(shè)備應(yīng)用PIX設(shè)備的Route模式，只需改動(dòng)原有網(wǎng)絡(luò)的路由信息。流量管理允許網(wǎng)絡(luò)管理員實(shí)時(shí)監(jiān)視、分析和分配供各類網(wǎng)絡(luò)流量使用的帶寬，確保在部分用戶使用網(wǎng)絡(luò)時(shí)不會(huì)損害關(guān)鍵業(yè)務(wù)型流量。防火墻建立一個(gè)MAC學(xué)習(xí)表，自動(dòng)地自學(xué)哪些幀要進(jìn)行轉(zhuǎn)發(fā)，哪些幀要忽略。PIX設(shè)備和相應(yīng)的VLAN交換網(wǎng)絡(luò)，可以表現(xiàn)為多個(gè)具有完全安全特性的防火墻系統(tǒng)。Content LevelFirewall1．啟及關(guān)閉Java / ActiveX / JavaScript 時(shí)，一個(gè)web client 每秒鐘內(nèi)所能建立的連結(jié)數(shù)與輸出性能 。2. VPN tunnel 的建立過程是否簡單 。因此針對(duì)這些應(yīng)用的網(wǎng)絡(luò)連接應(yīng)用和數(shù)據(jù)傳輸?shù)奶攸c(diǎn)，本建議書在充分考慮所選擇的設(shè)備安全性能的因素同時(shí)，還重點(diǎn)考慮所選設(shè)備的網(wǎng)絡(luò)處理能力。在此防火墻系統(tǒng)的管理上，有分散和集中兩種方式。 通過PIX515的管理策略，可以使分部的用戶在使用Internet服務(wù)和企業(yè)網(wǎng)虛擬連接之間進(jìn)行“透明”的區(qū)分，而且同時(shí)使用又相互不影響。Spoke方式的VPN連接（如上圖中的藍(lán)色和綠色虛線）；為防止中心點(diǎn)因?yàn)楦鞣N原因而導(dǎo)致防火墻不可訪問，從而造成分支點(diǎn)之間的互訪障礙，可以配置一個(gè)冗余中心，提高整個(gè)網(wǎng)絡(luò)的高可用性（如上圖中的長虛線連接所示）；特殊需求情況下，可以直接建立不經(jīng)過中心防火墻路由的直接的5XP之間的LANtoLAN加密VPN連接（上圖中的紅色虛線）。在前面廣域網(wǎng)進(jìn)出口控制一節(jié)的方案中，PIX產(chǎn)品集防火墻、VPN功能于一體，它可以充當(dāng)VPN網(wǎng)關(guān)而無需增加任何組件。本設(shè)計(jì)方案選擇PIX515防火墻配備各分部。PIX525特別適合帶寬要求高的大型企業(yè)環(huán)境。該防火墻系統(tǒng)起到防御內(nèi)部攻擊、阻止入侵行為進(jìn)一步擴(kuò)大升級(jí)的作用，避免某段網(wǎng)絡(luò)范圍內(nèi)發(fā)生的入侵破壞擴(kuò)大至整個(gè)企業(yè)網(wǎng)絡(luò)，把來自內(nèi)部攻擊造成的破壞減低到最低程度，保護(hù)其它網(wǎng)絡(luò)部分的正常工作。利用PIX防火墻的VPN功能，終端工作站安裝PIX ASDM軟件或者利用WIN2000操作系統(tǒng)對(duì)VPN的支持，可以實(shí)現(xiàn)企業(yè)遠(yuǎn)程辦公的安全需求。 實(shí)時(shí)日志及報(bào)警紀(jì)錄：實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)狀態(tài) URL地址的限定：限制站點(diǎn)的訪問，過濾不需要的網(wǎng)站 中立區(qū)也需增加一臺(tái)交換機(jī)，用于連接兩臺(tái)防火墻的中立區(qū)口、WWW服務(wù)器、郵件服務(wù)器等。所以可以說，網(wǎng)絡(luò)安全系統(tǒng)最為關(guān)鍵的組成部分實(shí)際上是利用上述的各種技術(shù)手段，通過對(duì)網(wǎng)絡(luò)出入口的控制實(shí)現(xiàn)安全服務(wù)的目的。正如前面所分析，在防火墻配合的基礎(chǔ)上可以更加有效地發(fā)揮其作用；另一方面，動(dòng)態(tài)認(rèn)證系統(tǒng)是面向具體應(yīng)用的訪問控制輔助手段，系統(tǒng)的實(shí)施范圍和規(guī)模根據(jù)應(yīng)用系統(tǒng)的要求而決定。本建議書設(shè)計(jì)的安全系統(tǒng)首先是滿足企業(yè)現(xiàn)有和可預(yù)見未來幾年內(nèi)的應(yīng)用要求；其次是考慮在投資增加很少的前提下，選擇目前可以提供最先進(jìn)技術(shù)手段的設(shè)備和系統(tǒng)方案；最后要考慮實(shí)現(xiàn)的安全系統(tǒng)面對(duì)應(yīng)用要有長遠(yuǎn)發(fā)展的能力。網(wǎng)絡(luò)的VPN應(yīng)用范圍包括移動(dòng)用戶的客戶機(jī)到企業(yè)網(wǎng)絡(luò)Internet出入口的防火墻、各分支機(jī)構(gòu)的廣域網(wǎng)出入口防火墻到集團(tuán)總部廣域網(wǎng)出入口防火墻。3安全系統(tǒng)實(shí)現(xiàn)目標(biāo)根據(jù)上一章的需求分析，從網(wǎng)絡(luò)安全的技術(shù)手段而言，企業(yè)網(wǎng)的安全系統(tǒng)必須實(shí)現(xiàn)從Internet和廣域網(wǎng)進(jìn)入內(nèi)部資源網(wǎng)絡(luò)的數(shù)據(jù)被有效檢查和過濾、所有對(duì)內(nèi)部資源網(wǎng)絡(luò)的訪問可以被有效控制、移動(dòng)用戶從Internet進(jìn)入內(nèi)部網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)操作的通信和通過廣域網(wǎng)進(jìn)入內(nèi)部網(wǎng)的用戶通信必須加密、所有網(wǎng)絡(luò)訪問行為能夠被記錄和審計(jì)、非法訪問被預(yù)警和阻攔（條件允許時(shí)實(shí)施）、應(yīng)用系統(tǒng)平臺(tái)及數(shù)據(jù)可以被有效備份以抗擊災(zāi)難風(fēng)險(xiǎn)、用戶的身份的真實(shí)性認(rèn)證等幾方面的目標(biāo)[4]。同時(shí)隨著公司規(guī)模的擴(kuò)大和業(yè)務(wù)領(lǐng)域的拓展，目前已經(jīng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)應(yīng)用的網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)（對(duì)網(wǎng)絡(luò)的傳輸性能要求很高的應(yīng)用系統(tǒng)）會(huì)隨著系統(tǒng)應(yīng)用規(guī)模的擴(kuò)大，為網(wǎng)絡(luò)系統(tǒng)帶來越來越大的數(shù)據(jù)傳輸壓力。如果防火墻選型設(shè)計(jì)的不恰當(dāng)，即使網(wǎng)絡(luò)其他設(shè)備的選型設(shè)計(jì)滿足要求，同樣也會(huì)因?yàn)榉阑饓Φ男史恋K網(wǎng)絡(luò)的應(yīng)用，嚴(yán)重的話會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)應(yīng)用建設(shè)的失敗，這已經(jīng)是被事實(shí)證明的。l 單一密碼容易泄露，一旦密碼泄露，其惡果可能會(huì)很嚴(yán)重。對(duì)于企業(yè)來說，移動(dòng)用戶將基本上采用VPN的方式對(duì)內(nèi)部進(jìn)行訪問，外出的員工可以通過Internet渠道的方式進(jìn)入公司內(nèi)部網(wǎng)絡(luò)，獲取所需要信息資源或回送需要提交的信息。需要提高身份認(rèn)證安全性的系統(tǒng)包括主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、移動(dòng)用戶訪問、VPN和應(yīng)用層。這些人為的疏忽或者后門就成了操作系統(tǒng)的安全漏洞。（3）虛擬連接廣域網(wǎng)的安全保護(hù)對(duì)于企業(yè)眾多的異地分支機(jī)構(gòu)（規(guī)模比較小的）、商業(yè)合作伙伴、出差在外的流動(dòng)用戶，將其遠(yuǎn)程電腦或小規(guī)模LAN納入企業(yè)網(wǎng)系統(tǒng)的接入模式，更多的將會(huì)采用通過公共Internet的虛擬連接方式。雖然企業(yè)在網(wǎng)絡(luò)實(shí)施和管理上可以強(qiáng)制性地要求企業(yè)內(nèi)部網(wǎng)絡(luò)到Internet的接入為統(tǒng)一出入口，但是在網(wǎng)絡(luò)的使用過程中，也許總部和個(gè)別管理嚴(yán)格的異地分支機(jī)構(gòu)和部門，可以比較容易地始終如一執(zhí)行這一規(guī)章制度，卻不能完全保證所有在網(wǎng)上的用戶因?yàn)橐恍﹦e的原因使用了另外的途徑進(jìn)入Internet，如異地機(jī)構(gòu)的企業(yè)網(wǎng)絡(luò)用戶通過向當(dāng)?shù)豂SP供應(yīng)商購買帳戶使用PSTN/ISDN/ADSL撥號(hào)上網(wǎng)，這就等于給企業(yè)網(wǎng)絡(luò)為外部Internet的使用者提供了一個(gè)甚至多個(gè)“后門”。如果僅僅是竊取資料對(duì)于網(wǎng)絡(luò)系統(tǒng)本身也許不會(huì)產(chǎn)生太嚴(yán)重的破壞，但是假設(shè)盜接者是一個(gè)惡意攻擊者，即使僅僅是一個(gè)普通的網(wǎng)絡(luò)高手，把在網(wǎng)絡(luò)通信鏈路上截取的數(shù)據(jù)進(jìn)行篡改或者置換，再通過網(wǎng)絡(luò)鏈路將屬性被異動(dòng)的數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行回放，其對(duì)網(wǎng)絡(luò)系統(tǒng)可能造成的破壞程度是用戶無法預(yù)計(jì)的[4]。從企業(yè)的應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)分析，企業(yè)網(wǎng)絡(luò)層的安全涉及到Internet連接安全、廣域網(wǎng)連接安全、應(yīng)用系統(tǒng)內(nèi)部資源網(wǎng)絡(luò)連接安全保護(hù)幾方面的安全問題。根據(jù)我們對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)應(yīng)用現(xiàn)狀的認(rèn)識(shí)，以及未來將要實(shí)現(xiàn)的各種應(yīng)用目標(biāo)了解，我們認(rèn)為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)，最終需要全部實(shí)現(xiàn)圖11中安全服務(wù)維所提出的基本技術(shù)手段。通信平臺(tái)，信息網(wǎng)絡(luò)的通信平臺(tái)；網(wǎng)絡(luò)平臺(tái)，信息網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)；系統(tǒng)平臺(tái)，信息網(wǎng)絡(luò)的操作系統(tǒng)平臺(tái)；應(yīng)用平臺(tái)，信息網(wǎng)絡(luò)各種應(yīng)用的開發(fā)、運(yùn)行平臺(tái)；物理環(huán)境，信息網(wǎng)絡(luò)運(yùn)行的物理環(huán)境及人員管理。l 可行性、可靠性、安全性作為一個(gè)工程項(xiàng)目，可行性是設(shè)計(jì)企業(yè)安全方案的根本，它將直接影響到網(wǎng)絡(luò)通信平臺(tái)的暢通；可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺(tái)正常運(yùn)行的保證；而安全性是設(shè)計(jì)安全系統(tǒng)的最終目的。網(wǎng)絡(luò)安全體系的核心目標(biāo)是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效控制和管理。企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求分析與設(shè)計(jì)方案1概述建設(shè)功能強(qiáng)大和安全可靠的網(wǎng)絡(luò)化信息管理系統(tǒng)是企業(yè)實(shí)現(xiàn)現(xiàn)代化管理的必要手段。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這三個(gè)基礎(chǔ)之上。安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上，因?yàn)榘踩蚣苁前踩桨冈O(shè)計(jì)和分析的基礎(chǔ)。貫穿于安全體系的三個(gè)方面，各個(gè)層次的是安全管理。（3）網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)實(shí)施構(gòu)筑網(wǎng)絡(luò)安全系統(tǒng)的最終目的是對(duì)網(wǎng)絡(luò)資源或者說是保護(hù)對(duì)象，實(shí)施最有效的安全保護(hù)[1]。（1）Internet連接安全保護(hù)企業(yè)在網(wǎng)絡(luò)應(yīng)用中有三種情況需要進(jìn)行Internet連接，即向外大眾用戶提供業(yè)務(wù)和宣傳信息服務(wù)、公司內(nèi)部用戶和外界的電子郵件往來、通過互聯(lián)網(wǎng)在異地進(jìn)行業(yè)務(wù)辦公的移動(dòng)用戶服務(wù)等?，F(xiàn)有的設(shè)備和技術(shù)手段要實(shí)現(xiàn)以上的非法目的不難，如果僅僅是通過盜接來竊取資料，只需要物理上存在接入的可能（實(shí)際上目前國內(nèi)所有的鏈路服務(wù)供應(yīng)商都存在比較大的漏洞），就非常容易實(shí)現(xiàn)；即使是通過鏈路盜接進(jìn)行惡意攻擊的“高難度”動(dòng)作，“網(wǎng)絡(luò)高手”只需花很低的代價(jià)購買用于網(wǎng)絡(luò)測(cè)試的專業(yè)設(shè)備和軟件，就可在通信鏈路上通過數(shù)據(jù)回放對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)施攻擊。這種“后門”對(duì)于別有用心的網(wǎng)絡(luò)黑客來說，是非常有用的，他們可以避開企業(yè)網(wǎng)絡(luò)“門戶”的防火墻系統(tǒng)，通過網(wǎng)絡(luò)的“后門”直接攻擊企業(yè)網(wǎng)絡(luò)的內(nèi)部資源，這也是網(wǎng)絡(luò)黑客最常用的攻擊手段之一；在國外就曾經(jīng)有某個(gè)利益集團(tuán)利用這一手法，獲取了某國海關(guān)大量的內(nèi)部資料，利用所掌握的內(nèi)部資料，達(dá)到其變相走漏海關(guān)關(guān)稅的目的，而且這一手法在被發(fā)現(xiàn)的時(shí)候已經(jīng)被有效地利用了相當(dāng)長的時(shí)間。正如前面所言，這種連接方式盡管實(shí)現(xiàn)的代價(jià)和技術(shù)條件相對(duì)比較低，但其所能提供的安全保證更加不可信賴。還有，安裝在操作系統(tǒng)上的各種應(yīng)用系統(tǒng)形成了一個(gè)復(fù)雜的環(huán)境，這些應(yīng)用程序本身設(shè)計(jì)的缺陷也會(huì)帶來安全漏洞。（1）主機(jī)系統(tǒng)包括企業(yè)總部和各下屬公司中心主機(jī)、數(shù)據(jù)庫系統(tǒng)，WEB服務(wù)器、MAIL服務(wù)器等等，這些主機(jī)系統(tǒng)是公司網(wǎng)絡(luò)系統(tǒng)的核心，存儲(chǔ)著公司最重要的信息資源，因此，保證這些主機(jī)系統(tǒng)的登錄的安全是極其重要的。而目前從終端上訪問也是采用單一靜態(tài)密碼，從我們前面的分析來看，顯然是不安全的。l 高級(jí)別的用戶在遠(yuǎn)程授權(quán)以后，需要及時(shí)地更改密碼。因此，本設(shè)計(jì)有必要針對(duì)企業(yè)的網(wǎng)絡(luò)應(yīng)用進(jìn)行防火墻系統(tǒng)的要求分析。以上兩種主要的因素，在很大程度上決定我們?cè)诜阑饓x型設(shè)計(jì)時(shí)對(duì)產(chǎn)品的取舍。網(wǎng)絡(luò)層安全系統(tǒng)通過防火墻系統(tǒng)（帶VPN功能）實(shí)現(xiàn)訪問控制、網(wǎng)絡(luò)信息檢查、通信加密、非法入侵檢測(cè)和攔截，異常情況告警和審計(jì)幾大功能目標(biāo)。（3）防火墻系統(tǒng)的功能實(shí)現(xiàn)要求總結(jié)網(wǎng)絡(luò)層的安全保證是企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的最關(guān)鍵，因此在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，防火墻系統(tǒng)是整個(gè)系統(tǒng)的最重要組成部分，它將擔(dān)負(fù)完成大部分的安全服務(wù)（安全技術(shù)手段）實(shí)現(xiàn)和執(zhí)行的任務(wù)[1]。防火墻系統(tǒng)作為網(wǎng)絡(luò)出入口的內(nèi)外連接控制和網(wǎng)絡(luò)通信加密/解密設(shè)施，不僅需要有足夠的數(shù)據(jù)吞吐能力，如網(wǎng)絡(luò)物理接口的帶寬，也需要優(yōu)越的網(wǎng)絡(luò)連接的數(shù)據(jù)處理能力，例如并發(fā)連接數(shù)量和網(wǎng)絡(luò)連接會(huì)話處理能力等。所以設(shè)計(jì)的動(dòng)態(tài)認(rèn)證系統(tǒng)放在防火墻系統(tǒng)實(shí)施完成后的第二階段來實(shí)施。本課程設(shè)計(jì)我們采用防火墻來對(duì)企業(yè)網(wǎng)絡(luò)的進(jìn)出口進(jìn)行控制，包括Internet進(jìn)出口控制和廣域網(wǎng)進(jìn)出口控制。圖41 典型的企業(yè)應(yīng)用l 防火墻系統(tǒng)選型設(shè)計(jì)經(jīng)過對(duì)多家防火墻廠商設(shè)備的綜合比較，本建議書推薦采用Cisco公司的防火墻產(chǎn)品。 用戶認(rèn)證(Authentication)：只允許有授權(quán)的訪問 透明的，無IP地址設(shè)置：無須更改任何路由器及主機(jī)配置 PIX ASDM是一種在用戶主機(jī)（桌面或筆記本電腦）上運(yùn)行的軟件，簡化了對(duì)