【正文】 有應(yīng)用系統(tǒng)升級(jí)開發(fā)將使應(yīng)用系統(tǒng)從 C/S 結(jié)構(gòu)向 B/S 結(jié)構(gòu)遷移；新增加的應(yīng)用系統(tǒng)開發(fā)，也是集中式的 B/S 結(jié)構(gòu)。 由此可見，在設(shè)計(jì)企業(yè)防火墻系統(tǒng)時(shí)，足夠大的 TCP 會(huì)話處理能力，是我們選擇防火墻（包括 VPN）產(chǎn)品考慮的主要因素。 VPN 應(yīng)用 VPN 應(yīng)用是為網(wǎng)絡(luò)通信提供有效的信息加密手段。 對(duì)于重要的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)，在原有的靜態(tài)密碼認(rèn)證管理的基礎(chǔ)上，增加動(dòng)態(tài)密碼認(rèn)證管理系統(tǒng)，通過 動(dòng)態(tài)的密碼方式實(shí)時(shí)不間斷地驗(yàn)證所有訪問這些系統(tǒng)用戶的真實(shí)身份。這也是我們建議企業(yè)網(wǎng)絡(luò)安全系統(tǒng)第一階段需要完成的系統(tǒng)建設(shè)部分。 （注：在以下的防火墻系統(tǒng)設(shè)計(jì)建議中，除特別進(jìn)行說明的功能或技術(shù)手段不能滿足設(shè)計(jì)要求以外，本建議書所有設(shè)計(jì)選擇的產(chǎn)品都是全部滿足表 2 和第三章提出的系統(tǒng)目標(biāo)之要求，在本方案文檔中將不再進(jìn)行所有功能的詳細(xì)技術(shù)實(shí)現(xiàn)說明。為避免單點(diǎn)故障，防火墻系統(tǒng)采取雙機(jī)模式構(gòu)建。 企業(yè)的 Inter 應(yīng)用除了瀏覽互聯(lián)網(wǎng)和 WWW 發(fā)布外，外出員工對(duì)公司的訪問也將通過 Inter 進(jìn)行。分散的企業(yè)給網(wǎng)絡(luò)安全管理造成了一定的難度，而且企業(yè)內(nèi)部攻擊的成功可能性 遠(yuǎn)大于外部攻擊，造成的危害更嚴(yán)重，因此全方位的網(wǎng)絡(luò)保護(hù)是不僅防外，還應(yīng)防內(nèi)。 PIX525 擁有 XXXM 線速處理能力， XXXM 的 3DES VPN 流量，強(qiáng)健的攻擊防范功能。 （二）分部的接入設(shè)計(jì) 由于分部通過公網(wǎng)虛擬連接接入總部網(wǎng)絡(luò)網(wǎng)絡(luò)的應(yīng)用，考慮其數(shù)據(jù)量和應(yīng)用的要求不高，而且這種非物理專線方式接入所提供的網(wǎng)絡(luò)通信帶寬也很有限，通常只有幾十或幾百 K，因此在企業(yè)各異地分部建議采用功能滿足系統(tǒng)實(shí)現(xiàn)目標(biāo)、性能相對(duì)較低的防火墻設(shè)備。 在前面廣域網(wǎng)進(jìn)出口控制一節(jié)的方案中， PIX產(chǎn)品集防火墻、 VPN功能于一體，它企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 26 可以充當(dāng) VPN網(wǎng)關(guān)而無需增加任何組件。Spoke 方式的 VPN 連接（如附圖中的藍(lán)色和綠色虛線）； （ 3） 為防止中心點(diǎn)因?yàn)楦鞣N原因而導(dǎo)致防火墻不可訪問，從而造成分支點(diǎn)之間的互訪障礙，可以配置一個(gè)冗余中心，提高整個(gè)網(wǎng)絡(luò)的高可用性（如附圖中 的長(zhǎng)虛線連接所示）； （ 4） 特殊需求情況下，可以直接建立不經(jīng)過中心防火墻路由的直接的 5XP 之間的 LANtoLAN 加密 VPN 連接（附圖中的紅色虛線）。 防火墻系統(tǒng)集中管理 企業(yè)具有多個(gè)地理上分散的下屬企業(yè)，為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性，在前面的章節(jié)中我們建議總部及各分部建立相應(yīng)的防火墻系統(tǒng)。防火墻選型設(shè)計(jì)建議書的優(yōu)劣，不僅對(duì)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計(jì)目標(biāo)起著決定性的影響，而且會(huì)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用效率產(chǎn)生極大的影響。 對(duì)防火墻產(chǎn)品的評(píng)價(jià)一般是從安全性（側(cè)重功能方面）、技術(shù)性能指標(biāo)、管理的方便性等幾方面綜合評(píng)價(jià)。 2. 10 及 100 條防火墻規(guī)則時(shí)的無封包遺失最大輸出性能及封包企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 30 延遲。 結(jié)論： 從我們對(duì)防火墻產(chǎn)品的認(rèn)識(shí)，以及參考第三方的測(cè)試結(jié)果來看，在設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案時(shí)，選擇 PIX 的防火墻是目前最佳的選擇。三種工作模式下，所有用戶和服務(wù)器上現(xiàn)存的應(yīng)用程序都不需修改。 Route方式下可以同時(shí)實(shí)現(xiàn) NAT功能。 針對(duì)企業(yè)網(wǎng)絡(luò)，建議采用的解決方案 不改動(dòng)現(xiàn)有網(wǎng)絡(luò)設(shè)置 Mode VSYS HA 適合的 PIX企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 33 設(shè)備 應(yīng)用 PIX設(shè)備的Transparent模式，可以保持現(xiàn)有的網(wǎng)絡(luò)設(shè)置，而無需做任何改動(dòng)。因?yàn)榉阑饓?duì) Policy 的控制可以根據(jù)源地址、目標(biāo)地址、源端口、目標(biāo)端口、以及時(shí)間段等多種相當(dāng)靈活的因素，因此對(duì)流量的控制也是高度靈活的。這種方式可用于保護(hù)同一企業(yè)網(wǎng)內(nèi)部的局域網(wǎng)，免遭內(nèi)部人員的偷窺或盜竊。防火墻系統(tǒng)會(huì)識(shí)別帶由 tag的幀，并轉(zhuǎn)換成正常的以太幀進(jìn)行防火檢測(cè)、路由、策略等基本操作。 2．建立 20 個(gè) LANtoLAN tunnel 時(shí)的無封包遺失最大輸出性能及封包延遲 。 3． 攻擊 DMZ 內(nèi)主機(jī)時(shí)，系統(tǒng)是否會(huì)將攻擊型態(tài) log 起來，甚至替 DMZ 內(nèi)主機(jī)阻擋攻擊 。 評(píng)價(jià)一個(gè)防火墻產(chǎn)品優(yōu)劣所設(shè)計(jì)的因素（或者技術(shù)要素）很多，很難有一個(gè)大而全的評(píng)價(jià)方法和測(cè)試手段對(duì)防火墻產(chǎn)品的每一個(gè)方面進(jìn)行完全的評(píng)價(jià)。 我們推薦 企業(yè)對(duì)防火墻系統(tǒng)實(shí)行統(tǒng)一的管理。 虛擬連接通信加密 分部的 PIX515 和總部的高端防火墻之間，可以建立 3 倍 DES 的 VPN 通道。這是 PIX 在本方案安全應(yīng)用中非常有用的意外增值。PIX 防火墻可以提供表 2 所列在網(wǎng)絡(luò)基礎(chǔ)層所提供的認(rèn)證、數(shù)據(jù)加密和數(shù)據(jù)完整性的安全服務(wù)手段。前者需要將總部的公網(wǎng)出入口控制防火墻的檔次提高（至少選擇 PIX515 以上的檔次），這是由于通過這種虛擬連接方式接入企業(yè)各地分部或商業(yè)合作伙伴有近千家，只有配置更高檔的防火墻才能滿足系統(tǒng)應(yīng)用的性能要求，如同時(shí)支持的 VPN 通道數(shù)量、會(huì)話處理能力、網(wǎng)絡(luò)接口帶寬等等。每臺(tái)防火墻基本配置含 4 個(gè) 100M 或1000M 端口，分別連接兩臺(tái)路 由器和兩臺(tái)中心交換機(jī)。 PIXASDM 支持 Windows 95, 98, NT, 20xx 系統(tǒng)。 PIX515 防火墻吞吐量高達(dá) xxxbps，提供 xxx 接口， xxx 鏈接數(shù)， xxxVPN 處理能力，支持透明模式、雙機(jī)備份、負(fù)載均衡、圖形管理等， 流量控制功能為網(wǎng)絡(luò)管理員提供了全部監(jiān)測(cè)和管理網(wǎng)絡(luò)的信息，諸如 DMZ，服務(wù)器負(fù)載平衡和帶寬優(yōu)先級(jí)設(shè)置等先進(jìn)功能，使 PIX 獨(dú)樹一幟。從安全和管理角度考慮，建議只在總部設(shè)立一個(gè) Inter 出口，各 地分部統(tǒng)一通過總部訪問互聯(lián)網(wǎng)。 防火墻系統(tǒng)實(shí)施建議 防火 墻系統(tǒng)是在網(wǎng)絡(luò)基礎(chǔ)層以上（ OSI/ISO 網(wǎng)絡(luò)結(jié)構(gòu)模型的 2 至 7 層）提供主要的安全技術(shù)服務(wù)手段，如表 2 所示。 安全系統(tǒng)實(shí)施步驟建議 任何一個(gè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)在實(shí)施和建設(shè)階段，在進(jìn)行應(yīng)用系統(tǒng)開發(fā)的同時(shí)，首先是考慮網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)。 為了使企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)簡(jiǎn)化、建設(shè)成本降低，本建議書在網(wǎng)絡(luò)防火墻系統(tǒng)建設(shè)目標(biāo)方面，提出了下表 2 的功能目標(biāo)要求。 對(duì)于通過 Inter 入口和廣域網(wǎng)入口進(jìn)入總部企業(yè)內(nèi)部網(wǎng)或分支機(jī)構(gòu)內(nèi)部網(wǎng)的用戶，設(shè)置在網(wǎng)絡(luò)出入口的防火 墻系統(tǒng)不僅可以對(duì)訪問者進(jìn)行能否被允許進(jìn)入的權(quán)限認(rèn)證，同時(shí)可以實(shí)現(xiàn)按照企業(yè)資源被訪問權(quán)限劃分的訪問路由控制。 B/S 結(jié)構(gòu)的應(yīng)用系統(tǒng)雖然具有管理簡(jiǎn)單，客戶端開發(fā)、使用和維護(hù)的成本很低的優(yōu)點(diǎn)，但是在網(wǎng)絡(luò)上 B/S 結(jié)構(gòu)應(yīng)用系統(tǒng)將會(huì)給網(wǎng)絡(luò)帶來巨大的網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)處理壓力，而且是并發(fā)的。由此可以看出從網(wǎng)絡(luò)用戶電腦（客戶端）到應(yīng)用系統(tǒng)平臺(tái)（服務(wù)器端）的結(jié)構(gòu)形式會(huì)對(duì)網(wǎng)絡(luò)設(shè)備（尤其防火墻）提出相應(yīng)的要求；簡(jiǎn)單而言，不同的應(yīng)用模式，對(duì)網(wǎng)絡(luò)防火墻系統(tǒng)有不同的技術(shù)指標(biāo)要求。 加入的 RSA SecurID必須提供通用的 API，使用戶可以將 RSA SecurID 認(rèn)證內(nèi)嵌到 ERP系統(tǒng)或其他的應(yīng)用系統(tǒng)中，保證公司內(nèi)部網(wǎng)絡(luò)用戶接收 MAIL 和文件的安全，驗(yàn)證用戶身份，并創(chuàng)建用戶登錄日志文件。 VPN 上的認(rèn)證 在網(wǎng)絡(luò)系統(tǒng)將配置 VPN 系統(tǒng)，遠(yuǎn)程移動(dòng)用戶可以通過撥號(hào)連接本地 ISP，用 VPN Client 建立安全通道訪 問公司信息資源。 ? 人員的流動(dòng)、集成商自設(shè)等很多因素，使得每臺(tái)主機(jī)系統(tǒng)上的多余帳戶增加。此外，任 何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進(jìn)行系統(tǒng)的破壞。 其他安全保護(hù)輔助措施 企業(yè)網(wǎng)絡(luò)環(huán)境比較復(fù)雜，設(shè)備眾多，這使管理人員查找和修補(bǔ)網(wǎng)絡(luò)中的全部安全隱患有相當(dāng)大的難度。 其二，內(nèi)部網(wǎng)絡(luò)連接安全保護(hù)。VPN 采用 3DES 的加密算法，一方面可以使在廣域網(wǎng)鏈路上傳輸?shù)臄?shù)據(jù)變成外來者不可“讀”，防止流失數(shù)據(jù)的信息泄露；另一方面通過 VPN 加密和解密的規(guī)則，可以對(duì)具有不良屬性的被異動(dòng)數(shù)據(jù)進(jìn)行過濾或使之屬性失效，避免這些惡意數(shù)據(jù)對(duì)網(wǎng)絡(luò)系統(tǒng)造成破壞。因此，在 Inter 出入口連接點(diǎn)，必須采取措施進(jìn)行保護(hù) —— 布置防火墻系統(tǒng)，對(duì)集團(tuán)總部的 Inter 出入口實(shí)施有效的控制，包括進(jìn)出的數(shù)據(jù)檢查和資源訪問的控制。 針對(duì)一般網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用要求，為了達(dá)到保護(hù)網(wǎng)絡(luò)資源的目的，必須在網(wǎng)絡(luò)協(xié)議層實(shí)施相應(yīng)的安全措施，如下表 1。 安全體系的理解 在圖 11 的安全體系分析模型中，完整地將網(wǎng)絡(luò)安全系統(tǒng)的全部?jī)?nèi)容進(jìn)行了科學(xué)和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡(luò)安全系統(tǒng)所使用的技術(shù)、服務(wù)的對(duì)象和涉及的范圍（即網(wǎng)絡(luò)層次）。具體說明如下： 圖 11 安全框架示意圖 安全服務(wù)維 安全服務(wù)維（第一維， X 軸）定義了 7 種主要完全屬性。 全局性、均衡性、綜合性設(shè)計(jì)原則 安全建議書將從企業(yè)網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個(gè)具有相當(dāng)高度、可擴(kuò)展性強(qiáng)的安全解決方案；從企業(yè)的實(shí)際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。 本建議書是本公司為企業(yè)提出的“ 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書”，建議書只針對(duì)網(wǎng) 絡(luò)基礎(chǔ)設(shè)施安全系統(tǒng)向企業(yè)提交網(wǎng)絡(luò)安全的設(shè)計(jì) 及實(shí)施建議，將不涉及其他部分的內(nèi)容，如“數(shù)據(jù)安全系統(tǒng)”等。對(duì) 于大多數(shù)網(wǎng)絡(luò)黑客來說，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明 和炫耀其“能耐”的價(jià)值，盡管這種行為的初衷也許并不具有惡意的 目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò) 系統(tǒng)，更加具有現(xiàn)實(shí)和長(zhǎng)遠(yuǎn)的商業(yè)價(jià)值。安全需要付出代價(jià)（資金、性能損失等），但是任何單純?yōu)榱税踩豢紤]企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 5 代價(jià)的安全建議書都是不切實(shí)際的。與 TCP/IP 層次對(duì)應(yīng)，可以把會(huì)話層、表示、應(yīng)用層統(tǒng)一為“應(yīng)用層”。 構(gòu)建安全系統(tǒng)的基本目標(biāo) 在上述的三維結(jié)構(gòu)的安全體系中，安全服務(wù)維 是向網(wǎng)絡(luò)系統(tǒng)的各個(gè)部分和每一個(gè)層次，提供安全保證的各種技術(shù)手段和措施。本章將根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)及應(yīng)用，詳細(xì)分析企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全需求。因此企業(yè)的網(wǎng)絡(luò)系統(tǒng)從其結(jié)構(gòu)而言是一個(gè)在物理上廣域連接的企業(yè)網(wǎng)絡(luò)系統(tǒng)，我們認(rèn)為企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)必須考慮兩方面的安全措施： （一）網(wǎng)絡(luò)通信加密（ VPN 應(yīng)用） 廣域網(wǎng)絡(luò)通信連接將通過第三方鏈路進(jìn)行。我們認(rèn)為在企業(yè) 廣域連接的網(wǎng)絡(luò)系統(tǒng)內(nèi)有必要引入防火墻的應(yīng)用，原因如下兩方面。能夠有效地?fù)?dān)負(fù)這一保護(hù)作用角色的是性能和功能強(qiáng)大的防火墻系統(tǒng)。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 12 系統(tǒng)安全需求分析 各種操作系統(tǒng)是應(yīng)用運(yùn)行的基礎(chǔ)，應(yīng)用系統(tǒng)的安全性，在相當(dāng)大的程度之上受到操作系統(tǒng)安全性的影響。 應(yīng)用安全管理需求分析 應(yīng)用層安全主要是對(duì)應(yīng)用資源的有效性進(jìn)行控制，管理和控制什么用戶對(duì)資源具有什么權(quán)限。因此對(duì)登錄網(wǎng)絡(luò)設(shè)備的人員進(jìn)行強(qiáng)的身份認(rèn)證是完全必要的。在員工進(jìn)入 ERP 系統(tǒng)時(shí)需要輸入用戶名稱和密碼，同樣的原因，單一靜態(tài)密碼不安全性使得我們有必要在ERP 系統(tǒng)上采用強(qiáng)的認(rèn)證機(jī)制，保證不同權(quán)限的、不同級(jí)別的用戶安全合法的使用 ERP系統(tǒng)。防火墻作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分，和其他網(wǎng)絡(luò)設(shè)備一樣，其性能目標(biāo)應(yīng)該按照網(wǎng)絡(luò)系統(tǒng)的應(yīng)用要求進(jìn)行選型設(shè)計(jì)。在未來一兩年內(nèi)，企業(yè)的應(yīng)用系統(tǒng)將大部分實(shí)現(xiàn)集中式的 B/S 結(jié)構(gòu)模式。 通過對(duì)各類防火墻的比較分析，我們認(rèn)為目前面向 B/S 結(jié)構(gòu)應(yīng)用的防火墻設(shè)備，硬件防火墻是最為明智的選擇。 在企業(yè)企業(yè)網(wǎng)的 VPN 應(yīng)用中，采用三倍 DES 的加密技術(shù)，這是目前可以獲得的最先進(jìn)和實(shí)用的網(wǎng)絡(luò)通信加密技術(shù)手段。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 18 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 19 4 網(wǎng)絡(luò)安全系統(tǒng)的實(shí)施建議 基于以上的規(guī)劃和分析，我們建議企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實(shí)現(xiàn)目的，分兩個(gè)步驟（兩期）分別實(shí)現(xiàn)以下各個(gè)安全子系統(tǒng)： 防火墻系統(tǒng) VPN 系統(tǒng) 動(dòng)態(tài)認(rèn)證系統(tǒng) 系統(tǒng)設(shè)計(jì)的基本原 則 實(shí)用、先進(jìn)、可發(fā)展是安全系統(tǒng)設(shè)計(jì)的基本原則。 動(dòng)態(tài)認(rèn)證系統(tǒng)是對(duì)網(wǎng)絡(luò)用戶對(duì)具體的應(yīng)用系統(tǒng)或網(wǎng)絡(luò)資源訪問控制的一種加強(qiáng)手段。） 在網(wǎng)絡(luò)邊界設(shè)置進(jìn)出口控制，可以防御外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡(luò)安全的第一道關(guān)卡，其重要性不言而喻。每臺(tái)防火墻均提供 4 個(gè)網(wǎng)絡(luò)接口，分別連接 Inter，中立區(qū)和內(nèi)部網(wǎng)絡(luò)兩臺(tái)中心交換機(jī)。為允許合法用戶訪問公司網(wǎng)絡(luò)，同時(shí)確保通過 Inter 進(jìn)行的業(yè)務(wù)應(yīng)用的安全性，我們建議采取 VPN 通訊方式。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 23 企業(yè)內(nèi)部防范主要是確?？偛亢透鞴镜陌踩?，加強(qiáng)廣域網(wǎng)的進(jìn)出口控制，我們建議在總部及各分部的廣域網(wǎng)出口處配備防火墻來加強(qiáng)內(nèi)部網(wǎng)絡(luò)保護(hù)，見下圖。 PIX525 特別適合帶寬要求高的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 24 大型企業(yè)環(huán)境 。本方案選擇 PIX515 防火墻配備各分部。企業(yè)可直接通過總部 PIX高端防火墻和各分部的中端 PIX（建議采用 PIX515）防火墻，在總部與各分部之間建立起 VPN通道，加密廣域網(wǎng)傳輸?shù)臄?shù)據(jù)。 以上的各種聯(lián)網(wǎng)方式，可以通過我們提供的管理程序套件，用人工方式實(shí)現(xiàn)，或?qū)τ脩簟巴该鳌钡淖詣?dòng)方式實(shí)現(xiàn)。這個(gè)分散的防火墻系統(tǒng)的設(shè)置和管理就顯得非常重要，因?yàn)樗骋惶幍穆?