【正文】 網(wǎng)絡、設備或公共或非信任網(wǎng)絡中其它主機的安全遠程接入。根據(jù)企業(yè)升級后的網(wǎng)絡拓撲結(jié)構(gòu)，廣域網(wǎng)鏈路和設備都具備了較強的冗余備份能力，總部的路由器和中心交換機配置均采取了雙機熱備方式。（3）虛擬連接廣域網(wǎng)出入口控制通過公共互聯(lián)網(wǎng)虛擬連接的企業(yè)網(wǎng)，連接的兩端（總部和分部）由于其承擔的工作角色和工作量有比較大的差異，因此，出于實用和經(jīng)濟的角度考慮，本方案建議網(wǎng)絡接入Internet的結(jié)構(gòu)采取不同方式和檔次的設備方案。（有關(guān)PIX515防火墻建立虛擬網(wǎng)絡的組網(wǎng)說明請參考VPN系統(tǒng)的設計說明）。企業(yè)可直接通過總部PIX高端防火墻和各分部的中端PIX（建議采用PIX515）防火墻，在總部與各分部之間建立起VPN通道，加密廣域網(wǎng)傳輸?shù)臄?shù)據(jù)。以上的各種聯(lián)網(wǎng)方式，可以通過我們提供的管理程序套件，用人工方式實現(xiàn)，或?qū)τ脩簟巴该鳌钡淖詣臃绞綄崿F(xiàn)。l 企業(yè)的應用建議 目前許多分支機構(gòu)與總部之間的數(shù)據(jù)傳送通過長途撥號MODEN傳輸或互聯(lián)網(wǎng)的郵件服務方式進行，這種方式不僅費用高，而且永遠實現(xiàn)不了實時的集中管理，相信企業(yè)希望有一個更加實用的解決方案。分散方式讓各下屬企業(yè)管理各自的防火墻。為了使防火墻設備的選型達到一個比較理想的結(jié)果，在此有必要對防火墻的選型作比較詳細的說明。3. 各家產(chǎn)品可否互通(互通性測試)Security1. 系統(tǒng)是否有安全漏洞 。2．開啟及關(guān)閉Java / ActiveX / JavaScript 時的最大連結(jié)數(shù)、輸出性能以及交易延遲 。優(yōu)點：簡化網(wǎng)絡結(jié)構(gòu)、降低維護成本。對要轉(zhuǎn)發(fā)的幀，再進行狀態(tài)檢查，實現(xiàn)防火、VPN、流量管理等基本功能[6]。PIX專利流量算法可以精確控制帶寬分配：設置有保障的帶寬和最大帶寬，類似于幀中繼的帶寬管理性能；通過8級優(yōu)先級，為流量分配優(yōu)先權(quán)；Diffserv。用戶原先的應用設備不需改動配置。為了完成課程設計，而且解決企業(yè)網(wǎng)絡安全系統(tǒng)需求分析及設計的資料比較少，我花費了很多的時間去看相關(guān)書籍，查找了很多網(wǎng)頁。通過這次課程設計使我懂得了理論與實際相結(jié)合是很重要的，只有理論知識是遠遠不夠的，只有把所學的理論知識與實踐相結(jié)合起來，從理論中得出結(jié)論，才能真正為社會服務，從而提高自己的實際動手能力和獨立思考的能力。Transparent模式下不支持對VSYS的支持，但支持VLAN tag，可以配合局部的交換機使用，由交換機區(qū)別不同部門或不同的應用Transparent模式下PIX防火墻可以支持ActivePassive的HAPIX515PIX525PIX535216。三種工作模式下的網(wǎng)絡環(huán)境示意圖如圖44：圖44 三種工作模式下的網(wǎng)絡環(huán)境[6]u 流量控制功能PIX防火墻的技術(shù)核心是ASIC，可以硬件完成三大功能：防火墻、VPN、流量管理。在這種方式下，防火墻將相同子網(wǎng)的網(wǎng)段橋接起來。 VLAN標記相結(jié)合，把安全域延伸到整個交換網(wǎng)絡中。2. 10 及100 條URL entries 時的最大連結(jié)(connection)數(shù)、輸出性能以及交易延遲(transaction latency)。本設計考慮企業(yè)的網(wǎng)絡應用特點，按照以上介紹的幾方面要素，從以下幾方面比較評價防火墻產(chǎn)品，如下表41：表41 防火墻產(chǎn)品評價評價類別評價及比較項目Management1. 管理接口是否簡單易用 。正如前面所提到的，企業(yè)的網(wǎng)絡應用模式在近期的一兩年后會最終全部過渡到B/S的應用結(jié)構(gòu)模式，而且除了各類業(yè)務應用外，在企業(yè)的網(wǎng)絡系統(tǒng)中還將存在音視頻的實時應用。這個分散的防火墻系統(tǒng)的設置和管理就顯得非常重要，因為它某一處的漏同將影響整個企業(yè)Intranet的安全性。 PIX515提供網(wǎng)絡連接的流量管理，即在公網(wǎng)的傳輸效率保證的前提下，PIX515提供基于策略的最小帶寬保證、帶寬限制、優(yōu)先級帶寬使用等管理功能；252。在此，針對PIX的其他應用作如下說明：l 組網(wǎng)條件及設備企業(yè)異地小機構(gòu)的網(wǎng)絡或單機電腦可以通過接入Internet，獲得靜態(tài)或動態(tài)的公有或私有IP地址；企業(yè)總部有對外的固定的公共互聯(lián)網(wǎng)IP；作為建立連接的公網(wǎng)IP的防火墻需要使用PIX 高端的產(chǎn)品作為中心控制設備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設備）；連接分支端的網(wǎng)絡設備選用PIX515產(chǎn)品；l 組網(wǎng)原理及聯(lián)網(wǎng)功能組網(wǎng)原理如下圖43示：圖43 組網(wǎng)原理圖[6]上圖中，所有接入互聯(lián)網(wǎng)的PIX515（公網(wǎng)IP地址或私網(wǎng)IP地址），通過總部的防火墻PIX535系列（公網(wǎng)IP）建立以下幾種網(wǎng)絡連接（LANtoLAN）：所有分支機構(gòu)LAN與總部LAN之間的加密、認證（VPN）連接（如上圖中的黑色實線）；所有通過5XP連接的LAN互相可以建立通過中心防火墻路由的LAN加密虛擬連接，即Hubamp。（1）廣域網(wǎng)鏈路加密企業(yè)公司總部與各地分部之間的網(wǎng)絡向ERP、視頻會議、VoIP等多種業(yè)務應用提供傳輸服務支持，大量的業(yè)務數(shù)據(jù)通過廣域網(wǎng)傳輸，需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃?，不被偷聽竊取和惡意篡改。l 分部的接入設計由于分部通過公網(wǎng)虛擬連接接入總部網(wǎng)絡網(wǎng)絡的應用，考慮其數(shù)據(jù)量和應用的要求不高，而且這種非物理專線方式接入所提供的網(wǎng)絡通信帶寬也很有限，通常只有幾十或幾百K，因此在企業(yè)各異地分部建議采用功能滿足系統(tǒng)實現(xiàn)目標、性能相對較低的防火墻設備。PIX525擁有XXXM線速處理能力，XXXM的3DES VPN流量，強健的攻擊防范功能。企業(yè)內(nèi)部防范主要是確保總部和各公司的安全，加強廣域網(wǎng)的進出口控制，我們應在總部及各分部的廣域網(wǎng)出口處配備防火墻來加強內(nèi)部網(wǎng)絡保護，見下圖。為允許合法用戶訪問公司網(wǎng)絡，同時確保通過Internet進行的業(yè)務應用的安全性，我們建議采取VPN通訊方式。 虛擬IP：將內(nèi)部服務器映射為可路由地址 動態(tài)訪問過濾(Dynamic Filter) ：自適應網(wǎng)絡服務保護 來自Internet的光纖專線將通過一臺交換機與兩臺防火墻的外網(wǎng)口連接。網(wǎng)絡防火墻系統(tǒng)從其設置的物理位置來說，最恰當?shù)奈恢镁褪蔷W(wǎng)絡物理邊界的出入口。動態(tài)認證系統(tǒng)是對網(wǎng)絡用戶對具體的應用系統(tǒng)或網(wǎng)絡資源訪問控制的一種加強手段。4 網(wǎng)絡安全系統(tǒng)的設計基于以上的規(guī)劃和分析，企業(yè)網(wǎng)絡安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的，應分兩個步驟（兩期）分別實現(xiàn)以下各個安全子系統(tǒng)：防火墻系統(tǒng)VPN系統(tǒng)動態(tài)認證系統(tǒng)實用、先進、可發(fā)展是安全系統(tǒng)設計的基本原則。在企業(yè)網(wǎng)的VPN應用中，采用三倍DES的加密技術(shù)，這是目前可以獲得的最先進和實用的網(wǎng)絡通信加密技術(shù)手段。通過對各類防火墻的比較分析，我們認為目前面向B/S結(jié)構(gòu)應用的防火墻設備，硬件防火墻是最為明智的選擇。在未來一兩年內(nèi)，企業(yè)的應用系統(tǒng)將大部分實現(xiàn)集中式的B/S結(jié)構(gòu)模式。防火墻作為網(wǎng)絡基礎(chǔ)設施的一部分，和其他網(wǎng)絡設備一樣，其性能目標應該按照網(wǎng)絡系統(tǒng)的應用要求進行選型設計。ERP系統(tǒng)上單一靜態(tài)密碼的安全隱患主要有：l 用戶無法保證辦公文件能正確的接受，在接受之前沒有被其他人瀏覽過。（3）移動用戶的訪問控制訪問移動用戶進入公司內(nèi)部網(wǎng)絡可以通過本地撥號連接公司的內(nèi)部網(wǎng)絡，也可以通過互聯(lián)網(wǎng)的ISP接入公司內(nèi)部網(wǎng)[6]。資源包括信息資源和服務資源。目前運行大多數(shù)應用的各種操作系統(tǒng)，都是針對可以運行多種應用來開發(fā)的，其開發(fā)要兼顧到各種應用的多個方面，在程序開發(fā)過程中，會出現(xiàn)一些人為的疏忽，以及一些人為設置的后門等。因此，本課程設計采用企業(yè)廣域網(wǎng)系統(tǒng)配置內(nèi)部的防火墻系統(tǒng)。其一，類似企業(yè)這種在物理上分布廣泛的網(wǎng)絡系統(tǒng)，每一個在地理上屬異地的分支機構(gòu)或部門，甚至同屬于一個地方（如總部）的不同機構(gòu)和部門，其網(wǎng)絡應用和管理都有相對的獨立性，因此在網(wǎng)絡安全管理實施和執(zhí)行上就很容易產(chǎn)生差異，從而出現(xiàn)網(wǎng)絡安全漏洞。盡管租用電信或其他傳輸服務提供商的專用鏈路傳輸數(shù)據(jù)的安全性會高于通過Internet傳輸，但是由于第三方提供的專用鏈路所使用的設備是公共的，其安全性具有相對性，不僅在鏈路上傳輸?shù)臄?shù)據(jù)存在被竊取的可能，同時也存在由于鏈路供應商安全管理和保護措施不完善的原因，導致被別有用心者有可能通過盜接而非法訪問網(wǎng)絡資源的風險，在國內(nèi)就曾有類似的案件發(fā)生 —— 非法分子通過在公共設備上偷偷接入自己的電腦，竊取了別人的股票交易帳戶資料，盜用他人的帳戶進行證券交易而非法獲利。網(wǎng)絡基礎(chǔ)層（在此網(wǎng)絡基礎(chǔ)層是指網(wǎng)絡通信鏈路、路由/交換設備、網(wǎng)絡節(jié)點接口設備/網(wǎng)卡——包括了OSI物理層到傳輸層設備的集合）作為現(xiàn)代計算機信息系統(tǒng)不可缺或的基礎(chǔ)設施部分，其安全性是每一個用戶最為關(guān)心的問題。雖然并不是每一個應用網(wǎng)絡都需要安全服務維提出的所有手段，但是對于一個包含各種應用和具有一定規(guī)模的企業(yè)網(wǎng)絡，這些安全措施應該都基本具備，因此安全服務維所涉及的所有安全服務措施，是網(wǎng)絡安全系統(tǒng)的基本建設目標。（3）系統(tǒng)單元系統(tǒng)單元（Z軸）描述了信息網(wǎng)絡基礎(chǔ)構(gòu)件的各個成分。建議書同時提供了可操作的分步實施計劃。因此，企業(yè)網(wǎng)絡建立完善的安全系統(tǒng)，其必要性不言而喻。如何構(gòu)建企業(yè)安全可靠的網(wǎng)絡系統(tǒng)是本課程設計的目的。在設計企業(yè)的網(wǎng)絡安全系統(tǒng)時，我們將遵循以下原則：l 體系化設計原則通過分析信息網(wǎng)絡的層次關(guān)系，提出科學的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。為了系統(tǒng)、科學地分析網(wǎng)絡安全系統(tǒng)涉及的各種安全問題，網(wǎng)絡安全技術(shù)專家們提出了三維安全體系結(jié)構(gòu)，并在其基礎(chǔ)上抽象地總結(jié)了能夠指導安全系統(tǒng)總體設計的三維安全體系（見圖11），它反映了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性。通過技術(shù)手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個協(xié)議層次提供的各種安全服務。從網(wǎng)絡的系統(tǒng)和應用平臺對網(wǎng)絡協(xié)議層次的依賴關(guān)系不難看出，只有對網(wǎng)絡協(xié)議結(jié)構(gòu)層次的所有層實施相應有效的技術(shù)措施，才能實現(xiàn)對網(wǎng)絡資源的安全保護。由此企業(yè)企業(yè)網(wǎng)必須向外“開門”，象所有連接互聯(lián)網(wǎng)的企業(yè)網(wǎng)一樣，企業(yè)網(wǎng)不可避免地存在，遭受到來自外部的惡意攻擊和破壞、各種各樣病毒傳播的可能性。因此，為了消除這類風險的存在，企業(yè)網(wǎng)絡安全系統(tǒng)必須能夠?qū)υ趶V域網(wǎng)上傳輸?shù)乃袛?shù)據(jù)進行加密（數(shù)據(jù)發(fā)出方）和解密（數(shù)據(jù)接收方）處理，即VPN應用。所以在企業(yè)廣域網(wǎng)內(nèi)采取網(wǎng)絡連接保護是必須的措施。因此毫無疑問，同樣的理由，這種連網(wǎng)方式的廣域網(wǎng)，其VPN和防火墻的應用，比通過第三方專線鏈路更加迫