【正文】 應(yīng)用流量控制，可以防止某些應(yīng)用或某些用戶無限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。防火墻的作用相當(dāng)于一臺路由器，同時執(zhí)行嚴(yán)格策略檢查、攻擊檢測等。 Mode PIX產(chǎn)品有三種工作模式： Transparent， Route， NAT。 幾種流行防火墻產(chǎn)品的比較 附件為獨(dú)立的 第三方測試機(jī)構(gòu)的評測報(bào)告，有的側(cè)重于功能比較，有的側(cè)重于性能參數(shù)比較，供參考。 Packet Level Firewall 1. NAT 開啟及關(guān)閉時的無封包遺失最大輸出性能 (noloss max throughput)及封包延遲 (latency)。我們只能對防火墻產(chǎn)品的幾大方面進(jìn)行評價。 防火墻選型設(shè)計(jì)說明 在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，作為當(dāng)今網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。 VPN通道可實(shí)現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的加密和認(rèn)證，并且提供保證數(shù)據(jù)完整性的技術(shù)手段。在此，我們針對 PIX 的其他應(yīng)用作如下說明： 一、組網(wǎng)條件及設(shè)備 1． 企業(yè)異地小機(jī)構(gòu)的網(wǎng)絡(luò)或單機(jī)電腦可以通過接入 Inter，獲得靜態(tài)或動態(tài)的公有或私有 IP 地址；企業(yè)總部有對外的固定的公共互聯(lián)網(wǎng) IP； 2． 作為建立連接的公網(wǎng) IP 的防火墻需要使用 PIX 高端的產(chǎn)品作為中心控制設(shè)備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設(shè)備）； 3． 連接分支端的網(wǎng)絡(luò)設(shè)備選用 PIX515 產(chǎn)品； 二、組網(wǎng)原理及聯(lián)網(wǎng)功能 組網(wǎng)原理如下圖： 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 27 上圖中，所 有接入互聯(lián)網(wǎng)的 PIX515（公網(wǎng) IP 地址或私網(wǎng) IP 地址），通過總部的防火墻 PIX535 系列（公網(wǎng) IP）建立以下幾種網(wǎng)絡(luò)連接（ LANtoLAN）： （ 1） 所有分支機(jī)構(gòu) LAN 與總部 LAN 之間的加密、認(rèn)證（ VPN）連接（如附圖中的黑色實(shí)線）； （ 2） 所有通過 5XP 連接的 LAN 互相可以建立通過中心防火墻路由的 LAN 加密虛擬連接，即 Hubamp。 廣域網(wǎng)鏈路加密 企業(yè)公司總部與各地分部之間的網(wǎng)絡(luò)向 ERP、視頻會議、 VoIP 等多種業(yè)務(wù)應(yīng)用提供傳輸服務(wù)支持，大量的業(yè)務(wù)數(shù)據(jù) 通過廣域網(wǎng)傳輸，需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃?，不?偷聽 竊取 和 惡意篡改 。后者的模式是再增加一個結(jié)構(gòu)與 設(shè)計(jì)相同的公網(wǎng)接入物理接口，與前者同樣的理由，向企業(yè)各分部或商業(yè)合作伙伴提供虛擬連接的出入口，其控制防火墻也需要配置功能強(qiáng)大和性能優(yōu)異的設(shè)備，建議選擇檔次為 PIX515 以上的防火墻產(chǎn)品，如PIX515 或 PIX525， PIX535。 PIX525 是一個高性能、高度可靠、高度冗余的平臺。 廣域網(wǎng)進(jìn)出口控制 企業(yè)具有多個地理上分散的分部，各分部和總部之間租用電信專線互聯(lián)，形成以總部為中心的集團(tuán)廣域網(wǎng)。其詳細(xì)特點(diǎn)如下： ? 提供了防火墻的全部安全功能（如防止拒絕服務(wù)攻擊， Java/ActiveX/Zip 過濾，防 IP 地址欺騙??） 并結(jié)合了包過濾、鏈路過濾和應(yīng)用代理服務(wù)器等技術(shù) ? 網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）：隱藏內(nèi)部的 IP 地址 ? 動態(tài)訪問過濾 (Dynamic Filter) ：自適應(yīng)網(wǎng)絡(luò)服務(wù)保護(hù) ? URL 地址的限定：限制站點(diǎn)的訪問，過濾不需要的網(wǎng)站 ? 用戶認(rèn)證 (Authentication)：只允許有授權(quán)的訪問 ? 符合 IPSec：可與其他廠家的設(shè)備交互操作 ? IKE 密鑰管理：保證密鑰交換 I n t e r n e t內(nèi)部網(wǎng)絡(luò)SiSi SiSiW W W 服務(wù)器 客戶訪問服務(wù)器中心交換機(jī)防火墻交換機(jī)交換機(jī)中集集團(tuán)I n t e r n e t 接入示意圖企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 22 ? DES 和三級 DES：最高等級的加密、解密 ? 流量帶寬控制及優(yōu)先級設(shè)置：按您的需求管理流量 ? 負(fù)載平衡能力：管理服務(wù) 器群 ( Server Farms) ? 虛擬 IP：將內(nèi)部服務(wù)器映射為可路由地址 ? 實(shí)時日志及報(bào)警紀(jì)錄：實(shí)時監(jiān)控網(wǎng)絡(luò)狀態(tài) ? 透明的，無 IP 地址設(shè)置：無須更改任何路由器及主機(jī)配置 ? 自帶 Web 服務(wù)器：方便地通過流行的瀏覽器進(jìn)行管理 ? 圖形界面：可關(guān)閉遠(yuǎn)程的管理方式，只用本地的、安全的管理 ? SNMP 管理方式：通過網(wǎng)絡(luò)管理軟件管理 ? 命令行界面：支持批處理方式及通過調(diào)制解調(diào)器的備用渠道進(jìn)行控制 兩臺 PIX 防火墻 采取雙機(jī)熱備方式工作，任何一臺防火墻出現(xiàn)故障，其任務(wù)由另一臺防火墻自動接管，避免單點(diǎn)故障造成企業(yè)無法上網(wǎng) 的情況發(fā)生，保證網(wǎng)絡(luò)的無間斷運(yùn)行。 （一） Inter 接入結(jié)構(gòu) 如下圖典型的企業(yè)應(yīng)用所示，總部在 Inter 出口設(shè)立防火墻系統(tǒng)。這些安全服務(wù)包括了訪問認(rèn)證、訪問控制、信息流安全檢查、數(shù)據(jù)源點(diǎn)鑒別等技術(shù)手段。防火墻系統(tǒng)和 VPN 應(yīng)用系統(tǒng)作為現(xiàn)代網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的重要部分，毫無疑問也是我們建設(shè)網(wǎng)絡(luò)安全系統(tǒng)首先需要構(gòu)架的系統(tǒng)。 表 2 防火墻系統(tǒng)實(shí)現(xiàn)功能目標(biāo) 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會話層 表示層 應(yīng)用層 認(rèn)證 * * * * 訪問控制 * * * 數(shù)據(jù)保密 * * * * 數(shù)據(jù)完整性 * * * 不可抵賴性 審計(jì) * * * 可用性 * * * * 應(yīng)用輔助安全系統(tǒng)的建設(shè)目 標(biāo) 應(yīng)用系統(tǒng)的安全性主要在用戶和服務(wù)器間的雙向身份認(rèn)證以及信息和服務(wù)資源的訪問控制，具有審計(jì)和記錄機(jī)制，確保防止拒絕和防抵賴的防否認(rèn)機(jī)制。對于內(nèi)部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實(shí)現(xiàn)，企業(yè)各類資源的應(yīng)用系統(tǒng)在邏輯上進(jìn)行子網(wǎng)系統(tǒng)的劃分，即在技術(shù)上提供可以獨(dú)立選擇安全策略的虛擬系統(tǒng)劃分。具 體來說， B/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上使用，會給網(wǎng)絡(luò)防火墻帶來數(shù)倍甚至數(shù)十倍于 C/S 結(jié)構(gòu)應(yīng)用系統(tǒng)的并發(fā) TCP 會話數(shù)量，而且這些會話絕大部分是包長很短的“垃圾” IP 包。 企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是 C/S 和 B/S 兩種應(yīng)用結(jié)構(gòu) 的混合形式，主要的業(yè)務(wù)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 15 應(yīng)用系統(tǒng)現(xiàn)在是分布式的 C/S 結(jié)構(gòu)。 為了使系統(tǒng)的認(rèn)證操作和對非法訪問的攔截更加有效，所有認(rèn)證的轉(zhuǎn)發(fā)和認(rèn)證結(jié)果的處理都由防火墻來操作完成，即對所有被認(rèn)證系統(tǒng)認(rèn)定為非合法訪問的服務(wù)請求，通過防火墻“掐斷”其訪問連接，而不是通過應(yīng)用系統(tǒng)直接拒絕訪問服務(wù) 。 而 VPN 技術(shù)能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴}，極大的節(jié)約公司的費(fèi)用，并且使外部非法用戶無法訪問公司內(nèi)部信息；但是，對于公司內(nèi)部用戶，由于 VPN 所提供的用戶認(rèn)證機(jī)制依然是單一的密碼方式，使我們無法保證目前訪問信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說，還是存在內(nèi)部用戶盜用他人密碼訪問特定的信息資源的安全隱患（可能這些信息資源是他無權(quán)瀏覽或更改的），因此，補(bǔ)充更強(qiáng)的身份認(rèn)證機(jī)制對 VPN 系統(tǒng)應(yīng)用來說也是非常必要的。 網(wǎng) 絡(luò)設(shè)備安全管理 企業(yè)全公司，網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）數(shù)量以數(shù)十甚至數(shù)百計(jì)。 基于以上的原因，企業(yè)網(wǎng)絡(luò)需要對總部的 應(yīng)用服務(wù)器進(jìn)行操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括 Windows NT, Windows 20xx,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括 Oracle，MS SQL 數(shù)據(jù)庫。利用先進(jìn)的技術(shù)、工具進(jìn)行網(wǎng)絡(luò)系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時彌補(bǔ)，以及建立實(shí)時入侵檢測系統(tǒng)，是十分有效的安全防護(hù)措施，將能極大提高、完善企業(yè)系統(tǒng)安全。企業(yè)企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應(yīng)用被不同的對象使用，有許多信息系統(tǒng)會根據(jù)應(yīng)用目的進(jìn)行分類獨(dú)立使用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡(luò)上需要有比較好的手段對內(nèi)部用戶進(jìn)行信息資源訪問的控制；另一方面，來自于企業(yè)內(nèi)部的攻擊不容忽視，其成功的可能性要遠(yuǎn)遠(yuǎn)大于來自于 Inter 的攻擊，而且內(nèi) 部攻擊的目標(biāo)主要是獲取企業(yè)的機(jī)密信息，這就更需要有措施對內(nèi)部用戶進(jìn)行訪問控制。 （二）防火墻保護(hù)應(yīng)用 從網(wǎng)絡(luò)系統(tǒng)的應(yīng)用來說，企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)實(shí)際上就是規(guī)模龐大的企業(yè)內(nèi)部網(wǎng)。另外，僅僅設(shè)置 1 臺防火墻 ，容易出現(xiàn)單點(diǎn)故障，為了保證網(wǎng)絡(luò)對外的 7X24 小時不間斷服務(wù)，還必須考慮網(wǎng)絡(luò)安全設(shè)備的冗余配置。 表 1 （ * 表示需要實(shí)施） 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 傳輸層 會話層 表示層 應(yīng) 用層 認(rèn)證 * * * * 訪問控制 * * * * 數(shù)據(jù)保密 * * * * * * 數(shù)據(jù)完整性 * * * 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 8 不可抵賴性 * 審計(jì) * * * * 可用性 * * * * 在本建議書中，我們建議企業(yè)網(wǎng)絡(luò)系統(tǒng)通過防 火墻系統(tǒng)、 VPN 應(yīng)用系統(tǒng)、認(rèn)證系統(tǒng)和網(wǎng)絡(luò)漏洞掃描及攻擊檢測系統(tǒng)實(shí)現(xiàn)表 1 中的安全手段實(shí)施。對于上圖的理解，不妨簡單說明如下： 安全服務(wù)維是網(wǎng)絡(luò)安全系統(tǒng)所提供可實(shí)現(xiàn)的全部技術(shù)手段； 網(wǎng)絡(luò)協(xié)議維是網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該將所采納之安全技術(shù)手段實(shí)施的范圍； 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 7 系統(tǒng)單元維是網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該提供安全保護(hù)的對象。具體如下： 身份認(rèn)證，用于確認(rèn)所聲明的身份的有效性； 協(xié)議 層次安 全 管 理安 全管 理認(rèn)證訪問控制數(shù)據(jù)完整性數(shù)據(jù)保密抗抵賴審計(jì)可用性安全 服務(wù)通 信 平 臺網(wǎng) 絡(luò) 平 臺系 統(tǒng) 平 臺應(yīng) 用 平 臺物 理 環(huán) 境安理管全層用應(yīng)傳層層層層鏈絡(luò)網(wǎng)輸理物路系統(tǒng) 單元企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 6 訪問控制，防止非授權(quán)使用資源或以非授權(quán)的方式使用資源； 數(shù)據(jù)保密，數(shù)據(jù)存儲和傳輸時加密，防止數(shù)據(jù)竊取、竊聽； 數(shù)據(jù)完整，防止數(shù)據(jù)篡改； 不可抵賴，取兩種形式的一種，用于防止發(fā)送者企圖否認(rèn)曾經(jīng)發(fā)送過數(shù)據(jù)或其內(nèi)容和用以防止接收者對所收到數(shù)據(jù)或內(nèi)容的抗否認(rèn)； 審計(jì)管理，設(shè)置審計(jì)記錄措施，分析審計(jì)記錄； 可用性、可靠性，在系統(tǒng)降級或受到破壞時能使系統(tǒng)繼續(xù)完成其功能，使得在不利的條件下盡可能少地受到侵害者的破壞。本建議書將考慮到各種安全措施的使用。 企業(yè)建立網(wǎng)絡(luò)安全系統(tǒng)的必要性 毫無疑問，不需要任何形式的“說教”，在信 息和網(wǎng)絡(luò)被廣泛應(yīng)用的今天，任何一個網(wǎng)絡(luò)管理或使用者都非常清楚，所有被使用 的計(jì)算機(jī)網(wǎng)絡(luò)都必然存在被有意或無意的攻擊和破壞之風(fēng)險。 企業(yè)的網(wǎng)絡(luò)同樣存在安全方面的風(fēng)險問題。 本安全建議書將均衡考慮各種安全措施的效果，提供具有最優(yōu)的性能價格比的安全解決方案。 協(xié)議層次維 協(xié)議層次維（ Y 軸）由 ISO/OSI 參考模型的七層構(gòu)成。 作為一個現(xiàn)實(shí)的網(wǎng)絡(luò)安全系統(tǒng)，首先要考慮的是安全建議書所涉及的有哪些系統(tǒng)單元，然后根據(jù)這些系統(tǒng)單元的不同，確定該單元所需 要的安全服務(wù)，再根據(jù)所需要的安全服務(wù)，確定這些安全服務(wù)在哪些 OSI 層次實(shí)現(xiàn)。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 9 2 應(yīng)用需求分析 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)將會包括企業(yè)內(nèi)部網(wǎng)絡(luò) Intra 和企業(yè)互聯(lián)網(wǎng)絡(luò) Extra，同時網(wǎng)絡(luò)連接 Inter，滿足互聯(lián) 網(wǎng)訪問、 WWW 發(fā)布、外部移動用戶應(yīng)用等需求。 廣域網(wǎng)連接的安全保護(hù) 企業(yè)部分異地的下屬企業(yè)和部門將通過廣域網(wǎng)的方式與綿陽總部進(jìn)行連接。在這種復(fù)雜的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)對各類網(wǎng)絡(luò)資源的有效保護(hù)和管理，僅僅利用現(xiàn)有的網(wǎng)絡(luò)來完成，顯然是做不到的。 由此可見，在企業(yè)通過第三方專線連接的企業(yè)廣域網(wǎng)內(nèi)，實(shí)施網(wǎng)絡(luò)安全保護(hù)是非常必要的舉措。在條件允許的情況下，我們建議企業(yè)企業(yè)網(wǎng)增加網(wǎng)絡(luò)漏 洞掃描和入侵檢測系統(tǒng)。需要對這些系統(tǒng)進(jìn)行系統(tǒng)安全漏洞的掃描和實(shí)時入侵的檢測。公司所有的業(yè)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 13 務(wù)系統(tǒng)都是建立在網(wǎng)絡(luò)設(shè)備基礎(chǔ)之上的，保證網(wǎng)絡(luò)設(shè)備的安全是保證系統(tǒng)正常運(yùn)行的首要條件；而保護(hù)網(wǎng)絡(luò)設(shè)備的安全，通常考慮的最多的是設(shè)備的冗余，而網(wǎng)絡(luò)設(shè)備的配置保護(hù)卻不被重視，其實(shí)，當(dāng)某一個人登錄了網(wǎng)絡(luò)設(shè)備（路由器、防火墻、 VPN 設(shè)備等），將配置進(jìn)行了更改，為以后非法的登錄建立通道，對整個系統(tǒng)來說，所有的安全設(shè)施就形同虛設(shè)。 應(yīng)用層安全保護(hù) 這里的應(yīng)用層，主要指企業(yè)的信息資源管理系統(tǒng)（ ERP） 。這是防火墻系統(tǒng)設(shè)計(jì)時必須考慮的可實(shí)現(xiàn)功能之一 應(yīng)用對安全系統(tǒng)的要求分析 任何一個完整的網(wǎng)絡(luò)安全系統(tǒng)，從其功能和物理層次來看，它將分別是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用系統(tǒng)的組成部分?，F(xiàn)在正在進(jìn)行的已