【正文】 有應(yīng)用系統(tǒng)升級開發(fā)將使應(yīng)用系統(tǒng)從 C/S 結(jié)構(gòu)向 B/S 結(jié)構(gòu)遷移；新增加的應(yīng)用系統(tǒng)開發(fā)，也是集中式的 B/S 結(jié)構(gòu)。 由此可見，在設(shè)計企業(yè)防火墻系統(tǒng)時，足夠大的 TCP 會話處理能力，是我們選擇防火墻（包括 VPN）產(chǎn)品考慮的主要因素。 VPN 應(yīng)用 VPN 應(yīng)用是為網(wǎng)絡(luò)通信提供有效的信息加密手段。 對于重要的主機系統(tǒng)和應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)，在原有的靜態(tài)密碼認證管理的基礎(chǔ)上，增加動態(tài)密碼認證管理系統(tǒng)，通過 動態(tài)的密碼方式實時不間斷地驗證所有訪問這些系統(tǒng)用戶的真實身份。這也是我們建議企業(yè)網(wǎng)絡(luò)安全系統(tǒng)第一階段需要完成的系統(tǒng)建設(shè)部分。 （注：在以下的防火墻系統(tǒng)設(shè)計建議中，除特別進行說明的功能或技術(shù)手段不能滿足設(shè)計要求以外，本建議書所有設(shè)計選擇的產(chǎn)品都是全部滿足表 2 和第三章提出的系統(tǒng)目標之要求，在本方案文檔中將不再進行所有功能的詳細技術(shù)實現(xiàn)說明。為避免單點故障，防火墻系統(tǒng)采取雙機模式構(gòu)建。 企業(yè)的 Inter 應(yīng)用除了瀏覽互聯(lián)網(wǎng)和 WWW 發(fā)布外，外出員工對公司的訪問也將通過 Inter 進行。分散的企業(yè)給網(wǎng)絡(luò)安全管理造成了一定的難度，而且企業(yè)內(nèi)部攻擊的成功可能性 遠大于外部攻擊，造成的危害更嚴重，因此全方位的網(wǎng)絡(luò)保護是不僅防外，還應(yīng)防內(nèi)。 PIX525 擁有 XXXM 線速處理能力， XXXM 的 3DES VPN 流量，強健的攻擊防范功能。 （二）分部的接入設(shè)計 由于分部通過公網(wǎng)虛擬連接接入總部網(wǎng)絡(luò)網(wǎng)絡(luò)的應(yīng)用，考慮其數(shù)據(jù)量和應(yīng)用的要求不高，而且這種非物理專線方式接入所提供的網(wǎng)絡(luò)通信帶寬也很有限，通常只有幾十或幾百 K，因此在企業(yè)各異地分部建議采用功能滿足系統(tǒng)實現(xiàn)目標、性能相對較低的防火墻設(shè)備。 在前面廣域網(wǎng)進出口控制一節(jié)的方案中， PIX產(chǎn)品集防火墻、 VPN功能于一體，它企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 26 可以充當 VPN網(wǎng)關(guān)而無需增加任何組件。Spoke 方式的 VPN 連接（如附圖中的藍色和綠色虛線）； （ 3） 為防止中心點因為各種原因而導(dǎo)致防火墻不可訪問，從而造成分支點之間的互訪障礙，可以配置一個冗余中心，提高整個網(wǎng)絡(luò)的高可用性（如附圖中 的長虛線連接所示）； （ 4） 特殊需求情況下，可以直接建立不經(jīng)過中心防火墻路由的直接的 5XP 之間的 LANtoLAN 加密 VPN 連接（附圖中的紅色虛線）。 防火墻系統(tǒng)集中管理 企業(yè)具有多個地理上分散的下屬企業(yè)，為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性，在前面的章節(jié)中我們建議總部及各分部建立相應(yīng)的防火墻系統(tǒng)。防火墻選型設(shè)計建議書的優(yōu)劣，不僅對實現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計目標起著決定性的影響，而且會對整個網(wǎng)絡(luò)系統(tǒng)的應(yīng)用效率產(chǎn)生極大的影響。 對防火墻產(chǎn)品的評價一般是從安全性（側(cè)重功能方面）、技術(shù)性能指標、管理的方便性等幾方面綜合評價。 2. 10 及 100 條防火墻規(guī)則時的無封包遺失最大輸出性能及封包企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 30 延遲。 結(jié)論： 從我們對防火墻產(chǎn)品的認識，以及參考第三方的測試結(jié)果來看，在設(shè)計企業(yè)網(wǎng)絡(luò)安全方案時，選擇 PIX 的防火墻是目前最佳的選擇。三種工作模式下，所有用戶和服務(wù)器上現(xiàn)存的應(yīng)用程序都不需修改。 Route方式下可以同時實現(xiàn) NAT功能。 針對企業(yè)網(wǎng)絡(luò)，建議采用的解決方案 不改動現(xiàn)有網(wǎng)絡(luò)設(shè)置 Mode VSYS HA 適合的 PIX企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 33 設(shè)備 應(yīng)用 PIX設(shè)備的Transparent模式，可以保持現(xiàn)有的網(wǎng)絡(luò)設(shè)置，而無需做任何改動。因為防火墻對 Policy 的控制可以根據(jù)源地址、目標地址、源端口、目標端口、以及時間段等多種相當靈活的因素，因此對流量的控制也是高度靈活的。這種方式可用于保護同一企業(yè)網(wǎng)內(nèi)部的局域網(wǎng)，免遭內(nèi)部人員的偷窺或盜竊。防火墻系統(tǒng)會識別帶由 tag的幀，并轉(zhuǎn)換成正常的以太幀進行防火檢測、路由、策略等基本操作。 2．建立 20 個 LANtoLAN tunnel 時的無封包遺失最大輸出性能及封包延遲 。 3． 攻擊 DMZ 內(nèi)主機時，系統(tǒng)是否會將攻擊型態(tài) log 起來，甚至替 DMZ 內(nèi)主機阻擋攻擊 。 評價一個防火墻產(chǎn)品優(yōu)劣所設(shè)計的因素（或者技術(shù)要素）很多，很難有一個大而全的評價方法和測試手段對防火墻產(chǎn)品的每一個方面進行完全的評價。 我們推薦 企業(yè)對防火墻系統(tǒng)實行統(tǒng)一的管理。 虛擬連接通信加密 分部的 PIX515 和總部的高端防火墻之間，可以建立 3 倍 DES 的 VPN 通道。這是 PIX 在本方案安全應(yīng)用中非常有用的意外增值。PIX 防火墻可以提供表 2 所列在網(wǎng)絡(luò)基礎(chǔ)層所提供的認證、數(shù)據(jù)加密和數(shù)據(jù)完整性的安全服務(wù)手段。前者需要將總部的公網(wǎng)出入口控制防火墻的檔次提高（至少選擇 PIX515 以上的檔次），這是由于通過這種虛擬連接方式接入企業(yè)各地分部或商業(yè)合作伙伴有近千家，只有配置更高檔的防火墻才能滿足系統(tǒng)應(yīng)用的性能要求，如同時支持的 VPN 通道數(shù)量、會話處理能力、網(wǎng)絡(luò)接口帶寬等等。每臺防火墻基本配置含 4 個 100M 或1000M 端口，分別連接兩臺路 由器和兩臺中心交換機。 PIXASDM 支持 Windows 95, 98, NT, 20xx 系統(tǒng)。 PIX515 防火墻吞吐量高達 xxxbps，提供 xxx 接口， xxx 鏈接數(shù)， xxxVPN 處理能力，支持透明模式、雙機備份、負載均衡、圖形管理等， 流量控制功能為網(wǎng)絡(luò)管理員提供了全部監(jiān)測和管理網(wǎng)絡(luò)的信息，諸如 DMZ，服務(wù)器負載平衡和帶寬優(yōu)先級設(shè)置等先進功能，使 PIX 獨樹一幟。從安全和管理角度考慮，建議只在總部設(shè)立一個 Inter 出口，各 地分部統(tǒng)一通過總部訪問互聯(lián)網(wǎng)。 防火墻系統(tǒng)實施建議 防火 墻系統(tǒng)是在網(wǎng)絡(luò)基礎(chǔ)層以上（ OSI/ISO 網(wǎng)絡(luò)結(jié)構(gòu)模型的 2 至 7 層）提供主要的安全技術(shù)服務(wù)手段，如表 2 所示。 安全系統(tǒng)實施步驟建議 任何一個網(wǎng)絡(luò)應(yīng)用系統(tǒng)在實施和建設(shè)階段，在進行應(yīng)用系統(tǒng)開發(fā)的同時，首先是考慮網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)。 為了使企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)簡化、建設(shè)成本降低，本建議書在網(wǎng)絡(luò)防火墻系統(tǒng)建設(shè)目標方面，提出了下表 2 的功能目標要求。 對于通過 Inter 入口和廣域網(wǎng)入口進入總部企業(yè)內(nèi)部網(wǎng)或分支機構(gòu)內(nèi)部網(wǎng)的用戶，設(shè)置在網(wǎng)絡(luò)出入口的防火 墻系統(tǒng)不僅可以對訪問者進行能否被允許進入的權(quán)限認證，同時可以實現(xiàn)按照企業(yè)資源被訪問權(quán)限劃分的訪問路由控制。 B/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)雖然具有管理簡單，客戶端開發(fā)、使用和維護的成本很低的優(yōu)點，但是在網(wǎng)絡(luò)上 B/S 結(jié)構(gòu)應(yīng)用系統(tǒng)將會給網(wǎng)絡(luò)帶來巨大的網(wǎng)絡(luò)流動數(shù)據(jù)處理壓力，而且是并發(fā)的。由此可以看出從網(wǎng)絡(luò)用戶電腦（客戶端）到應(yīng)用系統(tǒng)平臺（服務(wù)器端）的結(jié)構(gòu)形式會對網(wǎng)絡(luò)設(shè)備（尤其防火墻）提出相應(yīng)的要求；簡單而言，不同的應(yīng)用模式，對網(wǎng)絡(luò)防火墻系統(tǒng)有不同的技術(shù)指標要求。 加入的 RSA SecurID必須提供通用的 API，使用戶可以將 RSA SecurID 認證內(nèi)嵌到 ERP系統(tǒng)或其他的應(yīng)用系統(tǒng)中，保證公司內(nèi)部網(wǎng)絡(luò)用戶接收 MAIL 和文件的安全，驗證用戶身份，并創(chuàng)建用戶登錄日志文件。 VPN 上的認證 在網(wǎng)絡(luò)系統(tǒng)將配置 VPN 系統(tǒng)，遠程移動用戶可以通過撥號連接本地 ISP，用 VPN Client 建立安全通道訪 問公司信息資源。 ? 人員的流動、集成商自設(shè)等很多因素，使得每臺主機系統(tǒng)上的多余帳戶增加。此外，任 何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進行系統(tǒng)的破壞。 其他安全保護輔助措施 企業(yè)網(wǎng)絡(luò)環(huán)境比較復(fù)雜，設(shè)備眾多，這使管理人員查找和修補網(wǎng)絡(luò)中的全部安全隱患有相當大的難度。 其二，內(nèi)部網(wǎng)絡(luò)連接安全保護。VPN 采用 3DES 的加密算法，一方面可以使在廣域網(wǎng)鏈路上傳輸?shù)臄?shù)據(jù)變成外來者不可“讀”，防止流失數(shù)據(jù)的信息泄露；另一方面通過 VPN 加密和解密的規(guī)則，可以對具有不良屬性的被異動數(shù)據(jù)進行過濾或使之屬性失效，避免這些惡意數(shù)據(jù)對網(wǎng)絡(luò)系統(tǒng)造成破壞。因此，在 Inter 出入口連接點，必須采取措施進行保護 —— 布置防火墻系統(tǒng)，對集團總部的 Inter 出入口實施有效的控制，包括進出的數(shù)據(jù)檢查和資源訪問的控制。 針對一般網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用要求，為了達到保護網(wǎng)絡(luò)資源的目的，必須在網(wǎng)絡(luò)協(xié)議層實施相應(yīng)的安全措施，如下表 1。 安全體系的理解 在圖 11 的安全體系分析模型中，完整地將網(wǎng)絡(luò)安全系統(tǒng)的全部內(nèi)容進行了科學和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡(luò)安全系統(tǒng)所使用的技術(shù)、服務(wù)的對象和涉及的范圍（即網(wǎng)絡(luò)層次）。具體說明如下： 圖 11 安全框架示意圖 安全服務(wù)維 安全服務(wù)維（第一維， X 軸）定義了 7 種主要完全屬性。 全局性、均衡性、綜合性設(shè)計原則 安全建議書將從企業(yè)網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個具有相當高度、可擴展性強的安全解決方案；從企業(yè)的實際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。 本建議書是本公司為企業(yè)提出的“ 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書”，建議書只針對網(wǎng) 絡(luò)基礎(chǔ)設(shè)施安全系統(tǒng)向企業(yè)提交網(wǎng)絡(luò)安全的設(shè)計 及實施建議，將不涉及其他部分的內(nèi)容，如“數(shù)據(jù)安全系統(tǒng)”等。對 于大多數(shù)網(wǎng)絡(luò)黑客來說，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明 和炫耀其“能耐”的價值，盡管這種行為的初衷也許并不具有惡意的 目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò) 系統(tǒng)，更加具有現(xiàn)實和長遠的商業(yè)價值。安全需要付出代價（資金、性能損失等），但是任何單純?yōu)榱税踩豢紤]企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 5 代價的安全建議書都是不切實際的。與 TCP/IP 層次對應(yīng)，可以把會話層、表示、應(yīng)用層統(tǒng)一為“應(yīng)用層”。 構(gòu)建安全系統(tǒng)的基本目標 在上述的三維結(jié)構(gòu)的安全體系中，安全服務(wù)維 是向網(wǎng)絡(luò)系統(tǒng)的各個部分和每一個層次，提供安全保證的各種技術(shù)手段和措施。本章將根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)及應(yīng)用，詳細分析企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全需求。因此企業(yè)的網(wǎng)絡(luò)系統(tǒng)從其結(jié)構(gòu)而言是一個在物理上廣域連接的企業(yè)網(wǎng)絡(luò)系統(tǒng)，我們認為企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)必須考慮兩方面的安全措施： （一）網(wǎng)絡(luò)通信加密（ VPN 應(yīng)用） 廣域網(wǎng)絡(luò)通信連接將通過第三方鏈路進行。我們認為在企業(yè) 廣域連接的網(wǎng)絡(luò)系統(tǒng)內(nèi)有必要引入防火墻的應(yīng)用，原因如下兩方面。能夠有效地擔負這一保護作用角色的是性能和功能強大的防火墻系統(tǒng)。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 12 系統(tǒng)安全需求分析 各種操作系統(tǒng)是應(yīng)用運行的基礎(chǔ)，應(yīng)用系統(tǒng)的安全性，在相當大的程度之上受到操作系統(tǒng)安全性的影響。 應(yīng)用安全管理需求分析 應(yīng)用層安全主要是對應(yīng)用資源的有效性進行控制，管理和控制什么用戶對資源具有什么權(quán)限。因此對登錄網(wǎng)絡(luò)設(shè)備的人員進行強的身份認證是完全必要的。在員工進入 ERP 系統(tǒng)時需要輸入用戶名稱和密碼，同樣的原因，單一靜態(tài)密碼不安全性使得我們有必要在ERP 系統(tǒng)上采用強的認證機制，保證不同權(quán)限的、不同級別的用戶安全合法的使用 ERP系統(tǒng)。防火墻作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分，和其他網(wǎng)絡(luò)設(shè)備一樣，其性能目標應(yīng)該按照網(wǎng)絡(luò)系統(tǒng)的應(yīng)用要求進行選型設(shè)計。在未來一兩年內(nèi)，企業(yè)的應(yīng)用系統(tǒng)將大部分實現(xiàn)集中式的 B/S 結(jié)構(gòu)模式。 通過對各類防火墻的比較分析，我們認為目前面向 B/S 結(jié)構(gòu)應(yīng)用的防火墻設(shè)備，硬件防火墻是最為明智的選擇。 在企業(yè)企業(yè)網(wǎng)的 VPN 應(yīng)用中，采用三倍 DES 的加密技術(shù)，這是目前可以獲得的最先進和實用的網(wǎng)絡(luò)通信加密技術(shù)手段。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 18 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 19 4 網(wǎng)絡(luò)安全系統(tǒng)的實施建議 基于以上的規(guī)劃和分析，我們建議企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的，分兩個步驟（兩期）分別實現(xiàn)以下各個安全子系統(tǒng)： 防火墻系統(tǒng) VPN 系統(tǒng) 動態(tài)認證系統(tǒng) 系統(tǒng)設(shè)計的基本原 則 實用、先進、可發(fā)展是安全系統(tǒng)設(shè)計的基本原則。 動態(tài)認證系統(tǒng)是對網(wǎng)絡(luò)用戶對具體的應(yīng)用系統(tǒng)或網(wǎng)絡(luò)資源訪問控制的一種加強手段。） 在網(wǎng)絡(luò)邊界設(shè)置進出口控制，可以防御外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡(luò)安全的第一道關(guān)卡，其重要性不言而喻。每臺防火墻均提供 4 個網(wǎng)絡(luò)接口，分別連接 Inter，中立區(qū)和內(nèi)部網(wǎng)絡(luò)兩臺中心交換機。為允許合法用戶訪問公司網(wǎng)絡(luò)，同時確保通過 Inter 進行的業(yè)務(wù)應(yīng)用的安全性，我們建議采取 VPN 通訊方式。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 23 企業(yè)內(nèi)部防范主要是確?？偛亢透鞴镜陌踩?，加強廣域網(wǎng)的進出口控制，我們建議在總部及各分部的廣域網(wǎng)出口處配備防火墻來加強內(nèi)部網(wǎng)絡(luò)保護，見下圖。 PIX525 特別適合帶寬要求高的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 24 大型企業(yè)環(huán)境 。本方案選擇 PIX515 防火墻配備各分部。企業(yè)可直接通過總部 PIX高端防火墻和各分部的中端 PIX（建議采用 PIX515）防火墻，在總部與各分部之間建立起 VPN通道，加密廣域網(wǎng)傳輸?shù)臄?shù)據(jù)。 以上的各種聯(lián)網(wǎng)方式，可以通過我們提供的管理程序套件，用人工方式實現(xiàn)，或?qū)τ脩簟巴该鳌钡淖詣臃绞綄崿F(xiàn)。這個分散的防火墻系統(tǒng)的設(shè)置和管理就顯得非常重要，因為它某一處的漏