【正文】 應用流量控制，可以防止某些應用或某些用戶無限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。防火墻的作用相當于一臺路由器，同時執(zhí)行嚴格策略檢查、攻擊檢測等。 Mode PIX產(chǎn)品有三種工作模式： Transparent， Route， NAT。 幾種流行防火墻產(chǎn)品的比較 附件為獨立的 第三方測試機構的評測報告，有的側重于功能比較，有的側重于性能參數(shù)比較，供參考。 Packet Level Firewall 1. NAT 開啟及關閉時的無封包遺失最大輸出性能 (noloss max throughput)及封包延遲 (latency)。我們只能對防火墻產(chǎn)品的幾大方面進行評價。 防火墻選型設計說明 在企業(yè)網(wǎng)絡安全系統(tǒng)中，作為當今網(wǎng)絡基礎設施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。 VPN通道可實現(xiàn)網(wǎng)絡通信數(shù)據(jù)的加密和認證，并且提供保證數(shù)據(jù)完整性的技術手段。在此，我們針對 PIX 的其他應用作如下說明： 一、組網(wǎng)條件及設備 1． 企業(yè)異地小機構的網(wǎng)絡或單機電腦可以通過接入 Inter，獲得靜態(tài)或動態(tài)的公有或私有 IP 地址；企業(yè)總部有對外的固定的公共互聯(lián)網(wǎng) IP； 2． 作為建立連接的公網(wǎng) IP 的防火墻需要使用 PIX 高端的產(chǎn)品作為中心控制設備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設備）； 3． 連接分支端的網(wǎng)絡設備選用 PIX515 產(chǎn)品； 二、組網(wǎng)原理及聯(lián)網(wǎng)功能 組網(wǎng)原理如下圖： 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 27 上圖中，所 有接入互聯(lián)網(wǎng)的 PIX515（公網(wǎng) IP 地址或私網(wǎng) IP 地址），通過總部的防火墻 PIX535 系列（公網(wǎng) IP）建立以下幾種網(wǎng)絡連接（ LANtoLAN）： （ 1） 所有分支機構 LAN 與總部 LAN 之間的加密、認證（ VPN）連接（如附圖中的黑色實線）； （ 2） 所有通過 5XP 連接的 LAN 互相可以建立通過中心防火墻路由的 LAN 加密虛擬連接，即 Hubamp。 廣域網(wǎng)鏈路加密 企業(yè)公司總部與各地分部之間的網(wǎng)絡向 ERP、視頻會議、 VoIP 等多種業(yè)務應用提供傳輸服務支持，大量的業(yè)務數(shù)據(jù) 通過廣域網(wǎng)傳輸，需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃?，不?偷聽 竊取 和 惡意篡改 。后者的模式是再增加一個結構與 設計相同的公網(wǎng)接入物理接口，與前者同樣的理由，向企業(yè)各分部或商業(yè)合作伙伴提供虛擬連接的出入口，其控制防火墻也需要配置功能強大和性能優(yōu)異的設備，建議選擇檔次為 PIX515 以上的防火墻產(chǎn)品，如PIX515 或 PIX525， PIX535。 PIX525 是一個高性能、高度可靠、高度冗余的平臺。 廣域網(wǎng)進出口控制 企業(yè)具有多個地理上分散的分部，各分部和總部之間租用電信專線互聯(lián)，形成以總部為中心的集團廣域網(wǎng)。其詳細特點如下： ? 提供了防火墻的全部安全功能（如防止拒絕服務攻擊， Java/ActiveX/Zip 過濾，防 IP 地址欺騙??） 并結合了包過濾、鏈路過濾和應用代理服務器等技術 ? 網(wǎng)絡地址轉換（ NAT）：隱藏內(nèi)部的 IP 地址 ? 動態(tài)訪問過濾 (Dynamic Filter) ：自適應網(wǎng)絡服務保護 ? URL 地址的限定：限制站點的訪問，過濾不需要的網(wǎng)站 ? 用戶認證 (Authentication)：只允許有授權的訪問 ? 符合 IPSec：可與其他廠家的設備交互操作 ? IKE 密鑰管理：保證密鑰交換 I n t e r n e t內(nèi)部網(wǎng)絡SiSi SiSiW W W 服務器 客戶訪問服務器中心交換機防火墻交換機交換機中集集團I n t e r n e t 接入示意圖企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 22 ? DES 和三級 DES：最高等級的加密、解密 ? 流量帶寬控制及優(yōu)先級設置：按您的需求管理流量 ? 負載平衡能力：管理服務 器群 ( Server Farms) ? 虛擬 IP：將內(nèi)部服務器映射為可路由地址 ? 實時日志及報警紀錄：實時監(jiān)控網(wǎng)絡狀態(tài) ? 透明的，無 IP 地址設置：無須更改任何路由器及主機配置 ? 自帶 Web 服務器：方便地通過流行的瀏覽器進行管理 ? 圖形界面：可關閉遠程的管理方式，只用本地的、安全的管理 ? SNMP 管理方式：通過網(wǎng)絡管理軟件管理 ? 命令行界面：支持批處理方式及通過調(diào)制解調(diào)器的備用渠道進行控制 兩臺 PIX 防火墻 采取雙機熱備方式工作，任何一臺防火墻出現(xiàn)故障，其任務由另一臺防火墻自動接管，避免單點故障造成企業(yè)無法上網(wǎng) 的情況發(fā)生，保證網(wǎng)絡的無間斷運行。 （一） Inter 接入結構 如下圖典型的企業(yè)應用所示，總部在 Inter 出口設立防火墻系統(tǒng)。這些安全服務包括了訪問認證、訪問控制、信息流安全檢查、數(shù)據(jù)源點鑒別等技術手段。防火墻系統(tǒng)和 VPN 應用系統(tǒng)作為現(xiàn)代網(wǎng)絡系統(tǒng)基礎設施的重要部分，毫無疑問也是我們建設網(wǎng)絡安全系統(tǒng)首先需要構架的系統(tǒng)。 表 2 防火墻系統(tǒng)實現(xiàn)功能目標 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡層 傳輸層 會話層 表示層 應用層 認證 * * * * 訪問控制 * * * 數(shù)據(jù)保密 * * * * 數(shù)據(jù)完整性 * * * 不可抵賴性 審計 * * * 可用性 * * * * 應用輔助安全系統(tǒng)的建設目 標 應用系統(tǒng)的安全性主要在用戶和服務器間的雙向身份認證以及信息和服務資源的訪問控制，具有審計和記錄機制，確保防止拒絕和防抵賴的防否認機制。對于內(nèi)部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實現(xiàn)，企業(yè)各類資源的應用系統(tǒng)在邏輯上進行子網(wǎng)系統(tǒng)的劃分，即在技術上提供可以獨立選擇安全策略的虛擬系統(tǒng)劃分。具 體來說， B/S 結構的應用系統(tǒng)在網(wǎng)絡上使用，會給網(wǎng)絡防火墻帶來數(shù)倍甚至數(shù)十倍于 C/S 結構應用系統(tǒng)的并發(fā) TCP 會話數(shù)量，而且這些會話絕大部分是包長很短的“垃圾” IP 包。 企業(yè)網(wǎng)絡目前的應用系統(tǒng)結構是 C/S 和 B/S 兩種應用結構 的混合形式，主要的業(yè)務企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 15 應用系統(tǒng)現(xiàn)在是分布式的 C/S 結構。 為了使系統(tǒng)的認證操作和對非法訪問的攔截更加有效，所有認證的轉發(fā)和認證結果的處理都由防火墻來操作完成，即對所有被認證系統(tǒng)認定為非合法訪問的服務請求，通過防火墻“掐斷”其訪問連接，而不是通過應用系統(tǒng)直接拒絕訪問服務 。 而 VPN 技術能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴}，極大的節(jié)約公司的費用，并且使外部非法用戶無法訪問公司內(nèi)部信息；但是，對于公司內(nèi)部用戶，由于 VPN 所提供的用戶認證機制依然是單一的密碼方式，使我們無法保證目前訪問信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說，還是存在內(nèi)部用戶盜用他人密碼訪問特定的信息資源的安全隱患（可能這些信息資源是他無權瀏覽或更改的），因此，補充更強的身份認證機制對 VPN 系統(tǒng)應用來說也是非常必要的。 網(wǎng) 絡設備安全管理 企業(yè)全公司，網(wǎng)絡設備（路由器、交換機）數(shù)量以數(shù)十甚至數(shù)百計。 基于以上的原因，企業(yè)網(wǎng)絡需要對總部的 應用服務器進行操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括 Windows NT, Windows 20xx,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括 Oracle，MS SQL 數(shù)據(jù)庫。利用先進的技術、工具進行網(wǎng)絡系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時彌補，以及建立實時入侵檢測系統(tǒng)，是十分有效的安全防護措施，將能極大提高、完善企業(yè)系統(tǒng)安全。企業(yè)企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應用被不同的對象使用，有許多信息系統(tǒng)會根據(jù)應用目的進行分類獨立使用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡上需要有比較好的手段對內(nèi)部用戶進行信息資源訪問的控制；另一方面，來自于企業(yè)內(nèi)部的攻擊不容忽視，其成功的可能性要遠遠大于來自于 Inter 的攻擊，而且內(nèi) 部攻擊的目標主要是獲取企業(yè)的機密信息，這就更需要有措施對內(nèi)部用戶進行訪問控制。 （二）防火墻保護應用 從網(wǎng)絡系統(tǒng)的應用來說，企業(yè)廣域連接的網(wǎng)絡系統(tǒng)實際上就是規(guī)模龐大的企業(yè)內(nèi)部網(wǎng)。另外，僅僅設置 1 臺防火墻 ，容易出現(xiàn)單點故障，為了保證網(wǎng)絡對外的 7X24 小時不間斷服務，還必須考慮網(wǎng)絡安全設備的冗余配置。 表 1 （ * 表示需要實施） 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡層 傳輸層 會話層 表示層 應 用層 認證 * * * * 訪問控制 * * * * 數(shù)據(jù)保密 * * * * * * 數(shù)據(jù)完整性 * * * 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 8 不可抵賴性 * 審計 * * * * 可用性 * * * * 在本建議書中，我們建議企業(yè)網(wǎng)絡系統(tǒng)通過防 火墻系統(tǒng)、 VPN 應用系統(tǒng)、認證系統(tǒng)和網(wǎng)絡漏洞掃描及攻擊檢測系統(tǒng)實現(xiàn)表 1 中的安全手段實施。對于上圖的理解，不妨簡單說明如下： 安全服務維是網(wǎng)絡安全系統(tǒng)所提供可實現(xiàn)的全部技術手段； 網(wǎng)絡協(xié)議維是網(wǎng)絡安全系統(tǒng)應該將所采納之安全技術手段實施的范圍； 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 7 系統(tǒng)單元維是網(wǎng)絡安全系統(tǒng)應該提供安全保護的對象。具體如下： 身份認證，用于確認所聲明的身份的有效性； 協(xié)議 層次安 全 管 理安 全管 理認證訪問控制數(shù)據(jù)完整性數(shù)據(jù)保密抗抵賴審計可用性安全 服務通 信 平 臺網(wǎng) 絡 平 臺系 統(tǒng) 平 臺應 用 平 臺物 理 環(huán) 境安理管全層用應傳層層層層鏈絡網(wǎng)輸理物路系統(tǒng) 單元企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 6 訪問控制，防止非授權使用資源或以非授權的方式使用資源； 數(shù)據(jù)保密，數(shù)據(jù)存儲和傳輸時加密，防止數(shù)據(jù)竊取、竊聽； 數(shù)據(jù)完整，防止數(shù)據(jù)篡改； 不可抵賴，取兩種形式的一種，用于防止發(fā)送者企圖否認曾經(jīng)發(fā)送過數(shù)據(jù)或其內(nèi)容和用以防止接收者對所收到數(shù)據(jù)或內(nèi)容的抗否認； 審計管理，設置審計記錄措施，分析審計記錄； 可用性、可靠性，在系統(tǒng)降級或受到破壞時能使系統(tǒng)繼續(xù)完成其功能，使得在不利的條件下盡可能少地受到侵害者的破壞。本建議書將考慮到各種安全措施的使用。 企業(yè)建立網(wǎng)絡安全系統(tǒng)的必要性 毫無疑問，不需要任何形式的“說教”，在信 息和網(wǎng)絡被廣泛應用的今天，任何一個網(wǎng)絡管理或使用者都非常清楚，所有被使用 的計算機網(wǎng)絡都必然存在被有意或無意的攻擊和破壞之風險。 企業(yè)的網(wǎng)絡同樣存在安全方面的風險問題。 本安全建議書將均衡考慮各種安全措施的效果，提供具有最優(yōu)的性能價格比的安全解決方案。 協(xié)議層次維 協(xié)議層次維（ Y 軸）由 ISO/OSI 參考模型的七層構成。 作為一個現(xiàn)實的網(wǎng)絡安全系統(tǒng)，首先要考慮的是安全建議書所涉及的有哪些系統(tǒng)單元，然后根據(jù)這些系統(tǒng)單元的不同，確定該單元所需 要的安全服務，再根據(jù)所需要的安全服務，確定這些安全服務在哪些 OSI 層次實現(xiàn)。 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 9 2 應用需求分析 企業(yè)網(wǎng)絡結構將會包括企業(yè)內(nèi)部網(wǎng)絡 Intra 和企業(yè)互聯(lián)網(wǎng)絡 Extra，同時網(wǎng)絡連接 Inter，滿足互聯(lián) 網(wǎng)訪問、 WWW 發(fā)布、外部移動用戶應用等需求。 廣域網(wǎng)連接的安全保護 企業(yè)部分異地的下屬企業(yè)和部門將通過廣域網(wǎng)的方式與綿陽總部進行連接。在這種復雜的網(wǎng)絡環(huán)境中實現(xiàn)對各類網(wǎng)絡資源的有效保護和管理，僅僅利用現(xiàn)有的網(wǎng)絡來完成，顯然是做不到的。 由此可見，在企業(yè)通過第三方專線連接的企業(yè)廣域網(wǎng)內(nèi)，實施網(wǎng)絡安全保護是非常必要的舉措。在條件允許的情況下，我們建議企業(yè)企業(yè)網(wǎng)增加網(wǎng)絡漏 洞掃描和入侵檢測系統(tǒng)。需要對這些系統(tǒng)進行系統(tǒng)安全漏洞的掃描和實時入侵的檢測。公司所有的業(yè)企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 13 務系統(tǒng)都是建立在網(wǎng)絡設備基礎之上的，保證網(wǎng)絡設備的安全是保證系統(tǒng)正常運行的首要條件；而保護網(wǎng)絡設備的安全，通?？紤]的最多的是設備的冗余，而網(wǎng)絡設備的配置保護卻不被重視，其實，當某一個人登錄了網(wǎng)絡設備（路由器、防火墻、 VPN 設備等），將配置進行了更改，為以后非法的登錄建立通道，對整個系統(tǒng)來說，所有的安全設施就形同虛設。 應用層安全保護 這里的應用層，主要指企業(yè)的信息資源管理系統(tǒng)（ ERP） 。這是防火墻系統(tǒng)設計時必須考慮的可實現(xiàn)功能之一 應用對安全系統(tǒng)的要求分析 任何一個完整的網(wǎng)絡安全系統(tǒng)，從其功能和物理層次來看，它將分別是網(wǎng)絡基礎設施和網(wǎng)絡應用系統(tǒng)的組成部分?，F(xiàn)在正在進行的已