【正文】 同將影響整個企業(yè) Intra 的安全性。 正如前面所提到的，企業(yè)的網絡應用模式在近期的一兩年后會最終全部過渡到 B/S的應用結構模式，而且除了各類業(yè)務應用外，在企業(yè)的網絡系統(tǒng)中還將存在音視頻的實時應用。 評價防火墻的一般方法 根據上節(jié)提到的幾個方面，利用具有代表性的、被大部分產品制造商和用戶認同的網絡環(huán)境對防火墻產品進行客觀測試，其結果基本上可以反映產品的優(yōu)劣真實情況。 URL Level Firewall 1. 10 及 100 條 URL entries 時，一個 web client 每秒鐘所能建立的連結數 (connection)與輸出性能 (throughput)。 PIX 防火墻主要安全解決方案功能介紹： HA HA 高可用性是 PIX 產品的最重要功能之一 4G SW1 2G SW1 企業(yè)網絡安全系統(tǒng)設計建議書 31 VSYS PIX允許在一臺物理防火墻中創(chuàng)建多個虛擬防火墻系統(tǒng)，每個虛擬系統(tǒng)擁有獨立的地址簿、策略和管理等功能。 Transparent方式可以將防火 墻無縫隙地下裝到任何現存的網絡，而無須重新編號，無須重新設計網絡，也不必要停工。 Vsys 1 Vsys 2 Vsys 3 企業(yè)網絡安全系統(tǒng)設計建議書 32 NAT方式用在需要 做私有地址到公有地址轉換的網絡環(huán)境中。 Transparent 模式下不支持對 VSYS的支 持 ， 但 支 持 VLAN tag，可以配合局部的交換機使用，由交換機區(qū)別不同部門或不同的應用 Transparent模式下 PIX防火墻可以支持ActivePassive的 HA PIX515 PIX525 PIX535 改動現有網絡設置（或新建設的網絡） Mode VSYS HA 適合的 PIX設備 應用 PIX設備的Route 模式，只需改動原有網絡的路由信息。 PIX 防火墻對流量的控制是基于 Policy 的。 Route方式能夠在無須地址轉換的網絡之間插入防火墻?；?VLAN的邏輯子接口，除了配合不同的 Vsys通過一個物理接口連接到多個網絡外，還可以單獨使用，其表現就像一個獨立的物理接口一樣具有眾多的可配置特性。 VPN 1． 建立 1 個 LANtoLAN tunnel 時的無封包遺失最大輸出性能及封包延遲 。 2． 系統(tǒng)被攻擊時是否會 log 起來 。 Network Test Inc. ， Tolly Group，臺灣國立交通大學信息科學所） 評價防火墻產品的基本要素 只有清楚如何評價防火墻產品優(yōu)劣的方法，或者了解評價一個防火墻產品的基本要素，在網絡安全系統(tǒng)設計中，才能作出一個最合適的選型設計建 議書。集中方式將對所有防火墻實現集中的管理，集中制定安全策略，這將很好的克服以上缺點。此外，通過這一種網絡的虛擬互聯，可以實現總部與分支機構間的免費 IP 電話、 IP 傳真通信，甚至用非集中的網絡視頻會議就可以代替大部分的人員集中式、花費很高的各類會議；兩個或多個業(yè)務有直接連接的異地機構或部門不需要占用總部的網絡資源實現網絡連接；等等。 PIX 不僅具有防火墻和 VPN 的實用功能，同時提供了在網絡應用上的功能（詳細參見 PIX 的功能介紹附件），這些功能在小部門的網絡互聯（ LAN to LAN）應用中非常實用，它使 PIX 在網絡互聯中承擔了互聯“網關”的作用，從而省缺了這些小部門之間的LAN 互聯時需要配置價格不菲高層交換和路由設備。在本方案設計采用的 PIX防火墻就是這一種設備。 企業(yè)網絡安全系統(tǒng)設計建議書 25 在總部的物理出入口，可以是對外提供公共服務的出入口（ 設計的）與企業(yè)虛擬連接廣域網的接入口為同一個物理接口，即由同一個 Inter 公網節(jié)點提供連接 ；也可以是各自獨立的接口，即由不同的公網節(jié)點提供連接服務。 數字鏈路專網SiSi SiSi中心交換機防火墻中集廣域網結構示意圖路由器深圳總部路由器防火墻中心交換機LAN路由器防火墻中心交換機LAN. . . . . .路由器防火墻中心交換機LANLAN分公司 分公司 分公司 企業(yè)廣域網存在 ERP、 VoIP、視頻會議等各種高帶寬應用，特別總部是整個企業(yè)網絡的數據中心，進出的信息流量龐大，推薦采用兩臺處理性能很強的 PIX525 防火墻，實現冗余備份（ ActiveActive 方式）和負載均衡。為了構建安全的通信通道，必須把這一軟件與 IPSec 網關結合使用（如 PIX 家族安全設備），或與運行 IPSec 兼容軟件的另一臺主機結合使用（如 ASDM）。 簡要介紹 Cisco 公司和它的防火墻產品 我們設計企業(yè) Inter 出口處采用兩臺組成雙機模式的 Cisco 防火墻（以 PIX515為例）。 Inter 進出口控制 綿陽總部是整個企業(yè)的中心最重要網絡，通過廣域網鏈路連接分布在各地的分部，開展各種業(yè)務應用，并采用專線連接互聯網獲取有用信息。所以建議也將漏洞掃描和入侵檢測系統(tǒng)放在防火墻系統(tǒng)建設完成后的第二階段實施。 本建議書將 重點對防火墻系統(tǒng)（包括 VPN 應用系統(tǒng)）提出設計建議。但是在今天已經出現了滿足網絡層全部應用的 、功能強大、性能優(yōu)異的防火墻產品，如 Cisco 防火墻。 從互聯網入口進入企業(yè)網的用戶，可以被防火墻有效地進行類別劃分，即區(qū)分為通過互聯網進入內部網的企業(yè)移動用戶或外部的公共訪問者，對于要求進入企業(yè)內部網的訪問者進行用戶的授權認證，攔截沒有用戶權限的訪問者試圖進入內部網。 眾所周知，防火墻作為網絡設備，對網絡性能影響最為主要的是兩個參數指標，一個是防火墻的 TCP 連接處理能力（并發(fā)會話處理數），另一個是防火墻對網絡數據流量的吞吐能力（帶寬參數）。 任何一個應用系統(tǒng)提供的應用，都是依賴于網絡的各個層次來實現應用信息的處理和傳送，應用系統(tǒng)最終是通過向所有的網絡用戶提供使用來達到其應用的目的。 以上討論了企業(yè)網絡系統(tǒng)各個不同應用的安全認證問題，不難看出，上述的應用都必須在原有的單一靜態(tài)認證基礎上，增加更加 強大的認證手段，因此我們建議在企業(yè)網絡安全系統(tǒng)內引入動態(tài)認證機制，即動態(tài)的 SecurID。因此我們必須在移動用戶訪問上增加更加強大的手段對移動用戶進行控制管理。 目前企業(yè)的主機系統(tǒng)仍然沿用單一密碼的身份認證方式，這種簡單的身份認證存在以下安全隱患： ? 網絡入侵者，很容易猜測或破解賬號、密碼，利用他人的帳戶登錄，進行非法操作。另外，系統(tǒng)權限管理的松懈也是造成安全漏洞的重要原因。因此毫無疑問，同樣的理由，這種連網方式的廣域網，其VPN 和防火墻的應用，比通過第三方專線鏈路更加迫切需要。所以在企業(yè)廣域網內采取網絡連接保護是必須的措施。 因此，為了消除這類風險的存在，我們認為企業(yè)網絡安全系統(tǒng)必須能夠對在廣域網上傳輸的所有數據進 行加密（數據發(fā)出方）和解密（數據接收方）處理，即 VPN 應用。由此企業(yè)企業(yè)網必須向外“開門”，象所有連接互聯網的企業(yè)網一樣，企業(yè)網不可避免地存在，遭受到來自外部的惡意攻擊和破壞、各種各樣病毒傳播的可能性。 從網絡的系統(tǒng)和應用平臺對網絡協議層次的依 賴關系不難看出，只有對網絡協議結構層次的所有層實施相應有效的技術措施，才 能實現對網絡資源的安全保護。通過技術手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個協議層次提供的各種 安全服務。 為了系統(tǒng)、科學地分析網絡安全系統(tǒng)涉及的各種安全問題，網絡安全技術專家們提出了三維安全體系結構，并在其基礎上抽象地總結了能夠指導安全系統(tǒng)總體設計的三維安全體系（見圖 11），它反映了信息系統(tǒng)安全需求和體系結構的共性。 在設計企業(yè)的網絡安全系統(tǒng)時，我們將遵循以下原則： 體系化設計原則 通過分析信息網絡的層次關系，提出科學的安全體系和安全框架，并根據安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。如何構建企業(yè)安全可靠的網絡系統(tǒng)是本建 議書的目的。 因此，企業(yè)網絡建立完善的安全系統(tǒng)，其必要 性不言而喻。建議書同時提供了可操作的分步實施計劃。 系統(tǒng)單元維 系統(tǒng)單元維（ Z 軸）描述了信息網絡基礎構件的各個成分。雖 然并不是每一個應用網絡都需要安全服務維提出的所有手段，但是對于一個包含各種應 用和具有一定規(guī)模的企業(yè)網絡，這些安全措施應該都基本具備，因此安全服務維所涉及 的所有安全服務措施，是網絡安全系統(tǒng)的基本建設目標。 網絡基礎層安全需求分析 網絡基礎層（在此網絡基礎層是指網絡通信鏈路、路由 /交換設備、網絡節(jié)點接口設備 /網卡 —— 包括了 OSI 物理層到傳輸層設備的集合）作為現代計算機信息系統(tǒng)不可缺或的基礎設施部分，其安全性是每一個用戶最為關心的問題。盡管租用電信或其他傳輸服務提供商的專用鏈路傳輸數據的安全性會高于通過 Inter 傳輸，但是由于第三方提供的專用鏈路所使用的設 備是公共的，其安全性具有相對性，不僅在鏈路上傳輸的數據存在被竊取的企業(yè)網絡安全系統(tǒng)設計建議書 10 可能，同時也存在由于鏈路供應商安全管理和保護措施不完善的原因，導致被別有用心者有可能通過盜接而非法訪問網絡資源的風險，在國內就曾有類似的案件發(fā)生 —— 非法分子通過在公共設備上偷偷接入自己的電腦，竊取了別人的股票交易帳戶資料，盜用他人的帳戶進行證券交易而非法獲利。 其一，類似企業(yè)這種在物理上分布廣泛的網絡系統(tǒng)，每一個在地理上屬異地的分支機構或部門，甚至同屬于一個地方（如總部）的不同機構和部門，其網絡應用和管理都有相對的獨立性，因此在網絡安全管理實施和執(zhí)行上就很容易產生差異，從而出現網絡安全漏洞。因此，本建議書建議企業(yè)廣域網系統(tǒng)配置內部的防火墻系統(tǒng)。目前運行大多數應用的各種操作系統(tǒng)，都是針對可以運行多種應用來開發(fā)的，其開發(fā)要兼顧到各種應用的多個方面，在程序開發(fā)過程中，會出現一些人為的疏忽，以及一些人為設置的后門等。資源包括信息資源和服務資源。 移動用戶的訪問控制訪問 移動用戶進入公司內部網絡可 以通過本地撥號連接公司的內部網絡，也可以通過互聯網的 ISP 接入公司內部網。 ERP 系統(tǒng)上單一靜態(tài)密碼的安全隱患主要有： 企業(yè)網絡安全系統(tǒng)設計建議書 14 ? 用戶無法保證辦公文件能正確的接受，在接受之前沒有被其他人瀏覽過。如果防火墻選型設計的不恰當，即使網絡其他設備的選型設計滿足要求，同樣也會因為防火墻的效率妨礙網絡的應用，嚴重的話會導致整個網絡應用建設的失敗，這已經是被事實證明的。同時隨著公司規(guī)模的擴大和業(yè)務領域的拓展，目前已經在企業(yè)網絡系統(tǒng)內應用的網絡視頻會議系統(tǒng)（對網絡的傳輸性能要求很高的應用系統(tǒng)）會隨著系統(tǒng)應用規(guī)模的擴大，為網絡系統(tǒng)帶來越來越大的數據傳輸壓力。 企業(yè)網絡安全系統(tǒng)設計建議書 16 3 安全系統(tǒng)實現目標 根據上一章的需求分析，從網絡安全的技術手段而言，企業(yè)企業(yè)網的安全系統(tǒng)必須實現從 Inter 和廣域網進入內部 資源網絡的數據被有效檢查和過濾、所有對內部資源網絡的訪問可以被有效控制、移動用戶從 Inter 進入內部網絡進行業(yè)務操作的通信和通過廣域網進入內部網的用戶通信必須加密、所有網絡訪問行為能夠被記錄和審計、非法訪問被預警和阻攔（條件允許時實施）、應用系統(tǒng)平臺及數據可以被有效備份以抗擊災難風險、用戶的身份的真實性認證等幾方面的目標。 網絡的 VPN 應用范圍包括移動用戶的客戶機到企業(yè)網絡 Inter 出入口的防火墻、各分支機構的廣域網出入口防火墻到集團總部廣域網出入口防火墻。 本建議書設計的安全系統(tǒng)首先是滿足企業(yè)現有和可預見未來幾年內的應用要求；其次是考慮在投資增加很少的前提下，選擇目前可以提供最先進技術手段的設備和系統(tǒng)方案；最后要考慮實現的安全系統(tǒng)面對應用要有長遠發(fā)展的能力。正如前面所分析，在防火墻配合的基礎上可以更加有效地發(fā)揮其作用；另一方面，動態(tài)認證系統(tǒng)是面向 具體應用的訪問控制輔助手段，系統(tǒng)的實施范圍和規(guī)模根據應用系統(tǒng)的要求而決定。網絡 防火墻系統(tǒng)從其設置的物理位置來說，最恰當的位置就是網絡物理邊界的出入口。來自 Inter 的光纖專線將通過一臺交換機與兩臺防火墻的外網口連接。利用 PIX 防火墻的 VPN 功能，終端工作站安裝 PIX ASDM 軟件或者利用 WIN20xx 操作系統(tǒng)對 VPN 的支持，可以實現企業(yè)遠程辦公的安全需求。該防火墻系統(tǒng)起到防御內部攻擊、阻止入侵行為進一步擴大升級的作用，避免某段網絡范圍內發(fā)生的入侵破壞擴大至整個企業(yè)網絡，把來自內部攻擊造成的破壞減低到最低程度，保護其它網絡部分的正常工作。 PIX525 技術參數 性能 攻擊檢測 防火墻 VPN 流量控制 系統(tǒng)管理 虛擬系統(tǒng) 工作模式 高可用性 （ HA） 管 理 PIX525 外觀見下圖： 虛擬連接廣域網出入口控制 通過公共互聯網虛擬連接的企業(yè)網，連接的兩端（總部和分部）由于其承擔的工作角色和工 作量有比較大的差異，因此，出于實用和經濟的角度考