【正文】 切需要。另外，系統(tǒng)權(quán)限管理的松懈也是造成安全漏洞的重要原因。目前企業(yè)的主機系統(tǒng)仍然沿用單一密碼的身份認證方式，這種簡單的身份認證存在以下安全隱患：l 網(wǎng)絡(luò)入侵者，很容易猜測或破解賬號、密碼，利用他人的帳戶登錄，進行非法操作。因此我們必須在移動用戶訪問上增加更加強大的手段對移動用戶進行控制管理。以上討論了企業(yè)網(wǎng)絡(luò)系統(tǒng)各個不同應(yīng)用的安全認證問題，不難看出，上述的應(yīng)用都必須在原有的單一靜態(tài)認證基礎(chǔ)上，增加更加強大的認證手段，因此我們建議在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)內(nèi)引入動態(tài)認證機制，即動態(tài)的SecurID。（1）網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀及發(fā)展說明企業(yè)的網(wǎng)絡(luò)應(yīng)用包括了集團公司幾乎所有的業(yè)務(wù)活動和管理方面的應(yīng)用，例如ERP、OA、財務(wù)、網(wǎng)絡(luò)視頻會議應(yīng)用等等。（2）面向應(yīng)用系統(tǒng)的防火墻系統(tǒng)設(shè)計要求根據(jù)企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀以及未來系統(tǒng)的結(jié)構(gòu)發(fā)展，我們認為著重考慮企業(yè)的B/S結(jié)構(gòu)應(yīng)用特點，是防火墻系統(tǒng)技術(shù)指標設(shè)計的主要依據(jù)。（1）Internet及Extranet進出口控制在國際互聯(lián)網(wǎng)（Internet）和企業(yè)廣域網(wǎng)（Extranet）的進出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網(wǎng)絡(luò)數(shù)據(jù)和被禁止的數(shù)據(jù)源進入企業(yè)內(nèi)部網(wǎng)絡(luò)。傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)由于受設(shè)備功能和性能的限制，在網(wǎng)絡(luò)層（從物理層到傳輸層）很難全部由單一的防火墻或其他安全設(shè)備全部完成表1中提出的功能要求，所以系統(tǒng)的實施難度和費用（包括設(shè)備、人力投入和管理成本）會比較驚人。以下的防火墻系統(tǒng)設(shè)計將根據(jù)這些原則合理的設(shè)計系統(tǒng)。同樣，漏洞掃描和入侵檢測系統(tǒng)作為防火墻系統(tǒng)的輔助系統(tǒng)，可以有效地提高防火墻系統(tǒng)發(fā)揮的安全保護作用；漏洞掃描和入侵檢測系統(tǒng)所發(fā)揮的作用，最終要靠防火墻系統(tǒng)的作用來體現(xiàn)，因為漏洞掃描和入侵檢測系統(tǒng)“檢查”和“偵測”得到的非法訪問和惡意攻擊，需要防火墻系統(tǒng)對其實施控制和攔截。（1）Internet進出口控制綿陽總部是整個企業(yè)的中心最重要網(wǎng)絡(luò)，通過廣域網(wǎng)鏈路連接分布在各地的分部，開展各種業(yè)務(wù)應(yīng)用，并采用專線連接互聯(lián)網(wǎng)獲取有用信息。簡要介紹Cisco公司和它的防火墻產(chǎn)品我們設(shè)計企業(yè)Internet出口處采用兩臺組成雙機模式的Cisco防火墻（以PIX515為例）。 符合IPSec：可與其他廠家的設(shè)備交互操作 自帶Web服務(wù)器：方便地通過流行的瀏覽器進行管理 通過采用IPSec協(xié)議和第二層通道協(xié)議[L2TP]，并以證書作為額外的選項，可以實現(xiàn)安全性?？紤]到總部的廣域網(wǎng)防火墻是位于路由器和中心交換機之間，所以也必需做冗余配置，否則會成為廣域網(wǎng)設(shè)備中的單點故障點，使路由器和中心交換機所做的備份措施失去意義。l 總部的接入設(shè)計前面已經(jīng)對企業(yè)總部的Internet出入口控制防火墻系統(tǒng)進行了設(shè)計，同樣的連接應(yīng)用結(jié)構(gòu)也可以應(yīng)用到通過Internet提供虛擬網(wǎng)絡(luò)的接入。（4）防火墻接口屬性和安全級別配置PIX515(config)nameif ethernet0 outside security0//在缺省配置中，以太網(wǎng)口0被命名為外網(wǎng)接口（outside），安全級別是0。PIX防火墻在VPN應(yīng)用上有出色的性能，例如PIX515能夠提供XXXM的VPN吞吐量和XXX條專用隧道，PIX525能夠提供XXXMbps VPN處理能力和建立XXX條隧道。l 優(yōu)點252。 如果在總部配置一臺NS1000的高性能防火墻，異地分支機構(gòu)配備一臺PIX515，就可以實現(xiàn)所有分支機構(gòu)和總部的實時聯(lián)網(wǎng)，所有分支機構(gòu)的員工就象在總部辦公一樣，這對總部對分支機構(gòu)的管理將是一個極大的飛躍。此方式在大型企業(yè)中存在較大的缺點，首先它對各下屬企業(yè)的網(wǎng)絡(luò)管理員要求非常高，相應(yīng)提高了企業(yè)的管理成本；其次，當下屬企業(yè)較多時，由于各自制定安全策略，存在安全隱患較大，同時，當出現(xiàn)安全問題時，由于沒有實現(xiàn)統(tǒng)一監(jiān)控，很難判斷問題出現(xiàn)在何處，從而不能及時解決問題。（1）評價防火墻產(chǎn)品的基本要素只有清楚如何評價防火墻產(chǎn)品優(yōu)劣的方法，或者了解評價一個防火墻產(chǎn)品的基本要素，在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計中，才能作出一個最合適的選型設(shè)計。2．系統(tǒng)被攻擊時是否會log 起來 。VPN1． 建立1 個LANtoLAN tunnel 時的無封包遺失最大輸出性能及封包延遲 ?；赩LAN的邏輯子接口，除了配合不同的Vsys通過一個物理接口連接到多個網(wǎng)絡(luò)外，還可以單獨使用，其表現(xiàn)就像一個獨立的物理接口一樣具有眾多的可配置特性。Route方式能夠在無須地址轉(zhuǎn)換的網(wǎng)絡(luò)之間插入防火墻。PIX防火墻對流量的控制是基于Policy的。Route模式下支持VLAN tag，可以配合局部的交換機使用，由交換機區(qū)別不同部門或不同的應(yīng)用；同時支持VSYS，可以把PIX防火墻虛擬成多個邏輯防火墻供不同的部門或不同的應(yīng)用使用Route模式下PIX防火墻可以支持ActivePassive的HA以及FullMeshed ActiveActive HA，從高可用性和性能的角度來綜合考慮，建議采用FullMeshed ActiveActive HA方案PIX515/525/535 支持ActivePassive HA； 5結(jié)束語課程設(shè)計目的在于開闊眼界，把課本知識付諸實際實踐，給予學(xué)生處理實際問題的機會，而不應(yīng)該只是一味地從網(wǎng)上搜索，這種快餐式文化，顯然是與課程設(shè)計的目的背道而馳的。由于有《計算機網(wǎng)絡(luò)設(shè)計》這門課程做基礎(chǔ)，在上課時學(xué)到了許多相關(guān)的知識，最終這次課程設(shè)計還是比較順利地完成了。此外對網(wǎng)絡(luò)安全系統(tǒng)的防火墻系統(tǒng)設(shè)計管理及VPN設(shè)計也有了深入的了解，通過這次課程設(shè)計提高了我解決問題的能力，鞏固了我網(wǎng)絡(luò)專業(yè)的知識,再一次體會到課程設(shè)計所需的耐性和認真!也認識到計算機網(wǎng)絡(luò)工程并非是對書本知識的生搬硬套，它需要以書本知識為基礎(chǔ)再加以拓展和延伸，靈活運用最為重要! 這次計算機網(wǎng)絡(luò)工程課程設(shè)計歷時兩個星期，在這些日子里，我學(xué)到很多很多的的東西，同時不僅可以鞏固了以前所學(xué)過的知識，而且學(xué)到了很多在書本上所沒有學(xué)到過的知識。 不改動現(xiàn)有網(wǎng)絡(luò)設(shè)置[1]，如表42所示：表42 網(wǎng)絡(luò)設(shè)置（一）ModeVSYSHA適合的PIX設(shè)備應(yīng)用PIX設(shè)備的Transparent模式，可以保持現(xiàn)有的網(wǎng)絡(luò)設(shè)置，而無需做任何改動。NAT方式用在需要做私有地址到公有地址轉(zhuǎn)換的網(wǎng)絡(luò)環(huán)境中。Transparent方式可以將防火墻無縫隙地下裝到任何現(xiàn)存的網(wǎng)絡(luò)，而無須重新編號，無須重新設(shè)計網(wǎng)絡(luò)，也不必要停工。PIX防火墻主要安全解決方案功能介紹：u HAHA高可用性是PIX產(chǎn)品的最重要功能之一u VSYSPIX允許在一臺物理防火墻中創(chuàng)建多個虛擬防火墻系統(tǒng)，每個虛擬系統(tǒng)擁有獨立的地址簿、策略和管理等功能。URL LevelFirewall1. 10 及100 條URL entries 時，一個web client 每秒鐘所能建立的連結(jié)數(shù)(connection)與輸出性能(throughput)。（2）評價防火墻的一般方法根據(jù)上節(jié)提到的幾個方面，利用具有代表性的、被大部分產(chǎn)品制造商和用戶認同的網(wǎng)絡(luò)環(huán)境對防火墻產(chǎn)品進行客觀測試，其結(jié)果基本上可以反映產(chǎn)品的優(yōu)劣真實情況。防火墻選型設(shè)計建議書的優(yōu)劣，不僅對實現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計目標起著決定性的影響，而且會對整個網(wǎng)絡(luò)系統(tǒng)的應(yīng)用效率產(chǎn)生極大的影響[2]。企業(yè)具有多個地理上分散的下屬企業(yè)，為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性，在前面的章節(jié)中我們建議總部及各分部建立相應(yīng)的防火墻系統(tǒng)。 這種網(wǎng)絡(luò)連接提供所有基于LAN to LAN連接支持的各種網(wǎng)絡(luò)服務(wù)，如MS Windows的共享權(quán)限相互訪問彼此的資源（網(wǎng)上鄰居）、Netmeeting等等；252。這是PIX在本方案安全應(yīng)用中非常有用的意外增值。PIX防火墻可以提供表31所列在網(wǎng)絡(luò)基礎(chǔ)層所提供的認證、數(shù)據(jù)加密和數(shù)據(jù)完整性的安全服務(wù)手段。后者的模式是再增加一個結(jié)構(gòu)與前面設(shè)計相同的公網(wǎng)接入物理接口，與前者同樣的理由，向企業(yè)各分部或商業(yè)合作伙伴提供虛擬連接的出入口，其控制防火墻也需要配置功能強大和性能優(yōu)異的設(shè)備，應(yīng)選擇檔次為PIX515以上的防火墻產(chǎn)品，如PIX515或PIX525，PIX535[1]。PIX525是一個高性能、高度可靠、高度冗余的平臺。分散的企業(yè)給網(wǎng)絡(luò)安全管理造成了一定的難度，而且企業(yè)內(nèi)部攻擊的成功可能性遠大于外部攻擊，造成的危害更嚴重，因此全方位的網(wǎng)絡(luò)保護是不僅防外，還應(yīng)防內(nèi)[3]。企業(yè)的Internet應(yīng)用除了瀏覽互聯(lián)網(wǎng)和WWW發(fā)布外，外出員工對公司的訪問也將通過Internet進行。 負載平衡能力：管理服務(wù)器群( Server Farms) 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）：隱藏內(nèi)部的IP地址 每臺防火墻均提供4個網(wǎng)絡(luò)接口，分別連接Internet，中立區(qū)和內(nèi)部網(wǎng)絡(luò)兩臺中心交換機。在網(wǎng)絡(luò)邊界設(shè)置進出口控制，可以防御外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡(luò)安全的第一道關(guān)卡，其重要性不言而喻。這也是我們設(shè)計企業(yè)網(wǎng)絡(luò)安全系統(tǒng)第一階段需要完成的系統(tǒng)建設(shè)部分。對于重要的主機系統(tǒng)和應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)，在原有的靜態(tài)密碼認證管理的基礎(chǔ)上，增加動態(tài)密碼認證管理系統(tǒng)，通過動態(tài)的密碼方式實時不間斷地驗證所有訪問這些系統(tǒng)用戶的真實身份。（2）VPN應(yīng)用VPN應(yīng)用是為網(wǎng)絡(luò)通信提供有效的信息加密手段。由此可見，在設(shè)計企業(yè)防火墻系統(tǒng)時，足夠大的TCP會話處理能力，是我們選擇防火墻（包括VPN）產(chǎn)品考慮的主要因素。現(xiàn)在正在進行的已有應(yīng)用系統(tǒng)升級開發(fā)將使應(yīng)用系統(tǒng)從C/S結(jié)構(gòu)向B/S結(jié)構(gòu)遷移；新增加的應(yīng)用系統(tǒng)開發(fā)，也是集中式的B/S結(jié)構(gòu)。任何一個完整的網(wǎng)絡(luò)安全系統(tǒng)，從其功能和物理層次來看，它將分別是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用系統(tǒng)的組成部分。在員工進入ERP系統(tǒng)時需要輸入用戶名稱和密碼，同樣的原因，單一靜態(tài)密碼的不安全性使得我們有必要在ERP系統(tǒng)上采用強的認證機制，保證不同權(quán)限的、不同級別的用戶安全合法的使用ERP系統(tǒng)。因此對登錄網(wǎng)絡(luò)設(shè)備的人員進行強的身份認證是完全必要的。應(yīng)用層安全主要是對應(yīng)用資源的有效性進行控制，管理和控制什么用戶對資源具有什么權(quán)限。各種操作系統(tǒng)是應(yīng)用運行的基礎(chǔ)，應(yīng)用系統(tǒng)的安全性，在相當大的程度之上受到操作系統(tǒng)安全性的影響。能夠有效地擔負這一保護作用角色的是性能和功能強大的防火墻系統(tǒng)。因此在企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)內(nèi)有必要引入防火墻的應(yīng)用，原因如下兩方面。因此企業(yè)的網(wǎng)絡(luò)系統(tǒng)從其結(jié)構(gòu)而言是一個在物理上廣域連接的企業(yè)網(wǎng)絡(luò)系統(tǒng)，