【正文】 企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)必須考慮兩方面的安全措施：l 網(wǎng)絡(luò)通信加密（VPN應(yīng)用）廣域網(wǎng)絡(luò)通信連接將通過第三方鏈路進(jìn)行。本章將根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)及應(yīng)用，詳細(xì)分析企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全需求。（2）構(gòu)建安全系統(tǒng)的基本目標(biāo)在上述的三維結(jié)構(gòu)的安全體系中，安全服務(wù)維是向網(wǎng)絡(luò)系統(tǒng)的各個(gè)部分和每一個(gè)層次，提供安全保證的各種技術(shù)手段和措施。與TCP/IP層次對(duì)應(yīng)，可以把會(huì)話層、表示、應(yīng)用層統(tǒng)一為“應(yīng)用層”。安全需要付出代價(jià)（資金、性能損失等），但是任何單純?yōu)榱税踩豢紤]代價(jià)的安全建議書都是不切實(shí)際的。對(duì)于大多數(shù)網(wǎng)絡(luò)黑客來說，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明和炫耀其“能耐”的價(jià)值，盡管這種行為的初衷也許并不具有惡意的目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實(shí)和長(zhǎng)遠(yuǎn)的商業(yè)價(jià)值[5]。本課程設(shè)計(jì)是為企業(yè)提出的“網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)方案”，只針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全系統(tǒng)向企業(yè)提交網(wǎng)絡(luò)安全的設(shè)計(jì)及設(shè)計(jì)實(shí)施方案，沒有涉及其他部分的內(nèi)容，如“數(shù)據(jù)安全系統(tǒng)”等。l 全局性、均衡性、綜合性設(shè)計(jì)原則安全建議書將從企業(yè)網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個(gè)具有相當(dāng)高度、可擴(kuò)展性強(qiáng)的安全解決方案；從企業(yè)的實(shí)際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。具體說明如下：圖11安全框架示意圖（1）安全服務(wù)安全服務(wù)（X軸）定義了7種主要完全屬性。（1）安全體系的理解在圖11的安全體系分析模型中，完整地將網(wǎng)絡(luò)安全系統(tǒng)的全部?jī)?nèi)容進(jìn)行了科學(xué)和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡(luò)安全系統(tǒng)所使用的技術(shù)、服務(wù)的對(duì)象和涉及的范圍（即網(wǎng)絡(luò)層次）。針對(duì)一般網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用要求，為了達(dá)到保護(hù)網(wǎng)絡(luò)資源的目的，必須在網(wǎng)絡(luò)協(xié)議層實(shí)施相應(yīng)的安全措施，如下表11所示。因此，在Internet出入口連接點(diǎn)，必須采取措施進(jìn)行保護(hù) —— 布置防火墻系統(tǒng)，對(duì)集團(tuán)總部的Internet出入口實(shí)施有效的控制，包括進(jìn)出的數(shù)據(jù)檢查和資源訪問的控制。VPN采用3DES的加密算法，一方面可以使在廣域網(wǎng)鏈路上傳輸?shù)臄?shù)據(jù)變成外來者不可“讀”，防止流失數(shù)據(jù)的信息泄露；另一方面通過VPN加密和解密的規(guī)則，可以對(duì)具有不良屬性的被異動(dòng)數(shù)據(jù)進(jìn)行過濾或使之屬性失效，避免這些惡意數(shù)據(jù)對(duì)網(wǎng)絡(luò)系統(tǒng)造成破壞。其二，內(nèi)部網(wǎng)絡(luò)連接安全保護(hù)。（4）其他安全保護(hù)輔助措施企業(yè)網(wǎng)絡(luò)環(huán)境比較復(fù)雜，設(shè)備眾多，這使管理人員查找和修補(bǔ)網(wǎng)絡(luò)中的全部安全隱患有相當(dāng)大的難度。此外，任何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進(jìn)行系統(tǒng)的破壞。l 人員的流動(dòng)、集成商自設(shè)等很多因素，使得每臺(tái)主機(jī)系統(tǒng)上的多余帳戶增加。（4）VPN上的認(rèn)證在網(wǎng)絡(luò)系統(tǒng)將配置VPN系統(tǒng)，遠(yuǎn)程移動(dòng)用戶可以通過撥號(hào)連接本地ISP，用VPN Client 建立安全通道訪問公司信息資源。加入的RSA SecurID必須提供通用的API，使用戶可以將RSA SecurID認(rèn)證內(nèi)嵌到ERP系統(tǒng)或其他的應(yīng)用系統(tǒng)中，保證公司內(nèi)部網(wǎng)絡(luò)用戶接收MAIL和文件的安全，驗(yàn)證用戶身份，并創(chuàng)建用戶登錄日志文件。任何一個(gè)應(yīng)用系統(tǒng)提供的應(yīng)用，都是依賴于網(wǎng)絡(luò)的各個(gè)層次來實(shí)現(xiàn)應(yīng)用信息的處理和傳送，應(yīng)用系統(tǒng)最終是通過向所有的網(wǎng)絡(luò)用戶提供使用來達(dá)到其應(yīng)用的目的。[6]眾所周知，防火墻作為網(wǎng)絡(luò)設(shè)備，對(duì)網(wǎng)絡(luò)性能影響最為主要的是兩個(gè)參數(shù)指標(biāo)，一個(gè)是防火墻的TCP連接處理能力（并發(fā)會(huì)話處理數(shù)），另一個(gè)是防火墻對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量的吞吐能力（帶寬參數(shù)）。從互聯(lián)網(wǎng)入口進(jìn)入企業(yè)網(wǎng)的用戶，可以被防火墻有效地進(jìn)行類別劃分，即區(qū)分為通過互聯(lián)網(wǎng)進(jìn)入內(nèi)部網(wǎng)的企業(yè)移動(dòng)用戶或外部的公共訪問者，對(duì)于要求進(jìn)入企業(yè)內(nèi)部網(wǎng)的訪問者進(jìn)行用戶的授權(quán)認(rèn)證，攔截沒有用戶權(quán)限的訪問者試圖進(jìn)入內(nèi)部網(wǎng)。但是在今天已經(jīng)出現(xiàn)了滿足網(wǎng)絡(luò)層全部應(yīng)用的、功能強(qiáng)大、性能優(yōu)異的防火墻產(chǎn)品，如Cisco防火墻。本項(xiàng)目設(shè)計(jì)將重點(diǎn)對(duì)防火墻系統(tǒng)（包括VPN應(yīng)用系統(tǒng)）提出設(shè)計(jì)建議。所以設(shè)計(jì)也將漏洞掃描和入侵檢測(cè)系統(tǒng)放在防火墻系統(tǒng)建設(shè)完成后的第二階段實(shí)施。從安全和管理角度考慮，建議只在總部設(shè)立一個(gè)Internet出口，各地分部統(tǒng)一通過總部訪問互聯(lián)網(wǎng)。PIX515防火墻吞吐量高達(dá)xxxbps，提供xxx接口，xxx鏈接數(shù)，xxxVPN處理能力，支持透明模式、雙機(jī)備份、負(fù)載均衡、圖形管理等，流量控制功能為網(wǎng)絡(luò)管理員提供了全部監(jiān)測(cè)和管理網(wǎng)絡(luò)的信息，諸如DMZ，服務(wù)器負(fù)載平衡和帶寬優(yōu)先級(jí)設(shè)置等先進(jìn)功能，使PIX獨(dú)樹一幟。 IKE密鑰管理：保證密鑰交換 圖形界面：可關(guān)閉遠(yuǎn)程的管理方式，只用本地的、安全的管理 為了構(gòu)建安全的通信通道，必須把這一軟件與IPSec網(wǎng)關(guān)結(jié)合使用（如PIX家族安全設(shè)備），或與運(yùn)行IPSec兼容軟件的另一臺(tái)主機(jī)結(jié)合使用（如ASDM）。如圖42所示。也應(yīng)使用前面的設(shè)計(jì)方案，在此不做重復(fù)的說明。安全級(jí)別取值范圍為1~99，數(shù)字越大安全級(jí)別越高//PIX515(config)nameif ethernet1 inside security100//設(shè)置以太網(wǎng)口1被命名為內(nèi)網(wǎng)接口（inside），安全級(jí)別是100//PIX515(config)nameif dmz security50//設(shè)置非軍事區(qū)口（dmz）安全級(jí)別是50////如果需要添加新的接口，語句可以這樣寫：PIX515(config)nameif pix/intf3 security40 VPN系統(tǒng)設(shè)計(jì)VPN系統(tǒng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的目的是在一個(gè)非信任的通信網(wǎng)絡(luò)鏈路或公共Internet建立一個(gè)安全和穩(wěn)定的隧道。（2）虛擬連接組網(wǎng)建議在虛擬連接廣域網(wǎng)出入口控制的設(shè)計(jì)中，我們?cè)谄髽I(yè)所有通過公共Internet虛擬連接的分部或商業(yè)合作伙伴，采用PIX515防火墻連接接入公網(wǎng)。 不需要向鏈路服務(wù)供應(yīng)商租用價(jià)格昂貴的專線或者申請(qǐng)數(shù)量巨大的公網(wǎng)IP（實(shí)際上不可能），就可以實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的廣域連接；252。此外，通過這一種網(wǎng)絡(luò)的虛擬互聯(lián)，可以實(shí)現(xiàn)總部與分支機(jī)構(gòu)間的免費(fèi)IP電話、IP傳真通信，甚至用非集中的網(wǎng)絡(luò)視頻會(huì)議就可以代替大部分的人員集中式、花費(fèi)很高的各類會(huì)議；兩個(gè)或多個(gè)業(yè)務(wù)有直接連接的異地機(jī)構(gòu)或部門不需要占用總部的網(wǎng)絡(luò)資源實(shí)現(xiàn)網(wǎng)絡(luò)連接；等等。集中方式將對(duì)所有防火墻實(shí)現(xiàn)集中的管理，集中制定安全策略，這將很好的克服以上缺點(diǎn)。[5]評(píng)價(jià)一個(gè)防火墻產(chǎn)品優(yōu)劣所設(shè)計(jì)的因素（或者技術(shù)要素）很多，很難有一個(gè)大而全的評(píng)價(jià)方法和測(cè)試手段對(duì)防火墻產(chǎn)品的每一個(gè)方面進(jìn)行完全的評(píng)價(jià)。3．攻擊DMZ 內(nèi)主機(jī)時(shí)，系統(tǒng)是否會(huì)將攻擊型態(tài)log 起來，甚至替DMZ內(nèi)主機(jī)阻擋攻擊 。2．建立20 個(gè)LANtoLAN tunnel 時(shí)的無封包遺失最大輸出性能及封包延遲 。防火墻系統(tǒng)會(huì)識(shí)別帶由tag的幀，并轉(zhuǎn)換成正常的以太幀進(jìn)行防火檢測(cè)、路由、策略等基本操作[5]。這種方式可用于保護(hù)同一企業(yè)網(wǎng)內(nèi)部的局域網(wǎng)，免遭內(nèi)部人員的偷窺或盜竊。因?yàn)榉阑饓?duì)Policy的控制可以根據(jù)源地址、目標(biāo)地址、源端口、目標(biāo)端口、以及時(shí)間段等多種相當(dāng)靈活的因素，因此對(duì)流量的控制也是高度靈活的[2]。但應(yīng)該適當(dāng)利用網(wǎng)上資源，參考前人的思路，提取優(yōu)點(diǎn)，然后再用自己的思路進(jìn)行設(shè)計(jì)。參考文獻(xiàn)[1] 易建勛. 計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)[M] . 北京：人民郵電出版社，2009[2] 蔡學(xué)軍，梁廣民，王隆杰，張立娟. 網(wǎng)絡(luò)互聯(lián)技術(shù)[M]. 北京：高等教育出版社，2007[3] 沈海娟. 網(wǎng)絡(luò)互聯(lián)技術(shù)—廣域網(wǎng)[M] . 北京：浙江大學(xué)出版社，2006[4] 范剛，章千. 中小型企業(yè)網(wǎng)絡(luò)安全方案. 北京：電子工業(yè)出版社，2002[5] Doyle Jeff，Carroll . 夏俊杰譯. 網(wǎng)絡(luò)安全技術(shù)（第二卷）[M]. 北京：人民郵電出版社，2009[6] 邱祿瑞 徐曉. 企業(yè)CIMS／MIS下的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案. 汽車科技，200230。通過這次計(jì)算機(jī)網(wǎng)絡(luò)工程課程設(shè)計(jì)，我更加充分的理解了課本上的知識(shí)，對(duì)企業(yè)網(wǎng)絡(luò)安全有了透徹的理解，掌握了設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)的基本步驟，尤其是慢慢學(xué)會(huì)了如何進(jìn)行應(yīng)用需求。針對(duì)企業(yè)網(wǎng)絡(luò)，本設(shè)計(jì)建議采用的解決方案如下：216。Route方式下可以同時(shí)實(shí)現(xiàn)NAT功能。三種工作模式下，所有用戶和服務(wù)器上現(xiàn)存的應(yīng)用程序都不需修改。我們可以得出結(jié)論：從我們對(duì)防火墻產(chǎn)品的認(rèn)識(shí)，以及參考第三方的測(cè)試結(jié)果來看，在設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案時(shí)，選擇PIX的防火墻是目前最佳的選擇[4]。2. 10 及100 條防火墻規(guī)則時(shí)的無封包遺失最大輸出性能及封包延遲。對(duì)防火墻產(chǎn)品的評(píng)價(jià)一般是從安全性（側(cè)重功能方面）、技術(shù)性能指標(biāo)、管理的方便性等幾方面綜合評(píng)價(jià)。在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，作為當(dāng)今網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。VPN通道可實(shí)現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的加密和認(rèn)證，并且提供保證數(shù)據(jù)完整性的技術(shù)手段[4]。 基于Keep – Alive消息保持的網(wǎng)絡(luò)VPN連接的連續(xù)狀態(tài)；252。[6]PIX不僅具有防火墻和VPN的實(shí)用功能，同時(shí)提供了在網(wǎng)絡(luò)應(yīng)用上的功能，這些功能在小部門的網(wǎng)絡(luò)互聯(lián)（LAN to LAN）應(yīng)用中非常實(shí)用，它使PIX在網(wǎng)絡(luò)互聯(lián)中承擔(dān)了互聯(lián)“網(wǎng)關(guān)”的作用，從而省缺了這些小部門之間的LAN互聯(lián)時(shí)需要配置價(jià)格不菲高層交換和路由設(shè)備。在本方案設(shè)計(jì)采用的PIX防火墻就是這一種設(shè)備。前者需要將總部的公網(wǎng)出入口控制防火墻的檔次提高（至少選擇PIX515以上的檔次），這是由于通過這種虛擬連接方式接入企業(yè)各地分部或商業(yè)合作伙伴有近千家，只有配置更高檔的防火墻才能滿足系統(tǒng)應(yīng)用的性能要求，如同時(shí)支持的VPN通道數(shù)量、會(huì)話處理能力、網(wǎng)絡(luò)接口帶寬等等。每臺(tái)防火墻基本配置含4個(gè)100M或1000M端口，分別連接兩臺(tái)路由器和兩臺(tái)中心交換機(jī)。（2）廣域網(wǎng)進(jìn)出口控制企業(yè)具有多個(gè)地理上分散的分部，各分部和總部之間租用電信專線互聯(lián)，形成以總部為中心的集團(tuán)廣域網(wǎng)。 命令行界面：支持批處理方式及通過調(diào)制解調(diào)器的備用渠道進(jìn)行控制 兩臺(tái)PIX防火墻采取雙機(jī)熱備方式工作，任何一臺(tái)防火墻出現(xiàn)故障，其任務(wù)由另一臺(tái)防火墻自動(dòng)接管，避免單點(diǎn)故障造成企業(yè)無法上網(wǎng)的情況發(fā)生，保證網(wǎng)絡(luò)的無間斷運(yùn)行[4]。 流量帶寬控制及優(yōu)先級(jí)設(shè)置：按您的需求管理流量 提供了防火墻的全部安全功能（如防止拒絕服務(wù)攻擊，Java/ActiveX/Zip過濾，防IP地址欺騙……）并結(jié)合了包過濾、鏈路過濾和應(yīng)用代理服務(wù)器等技術(shù)為避免單點(diǎn)故障，防火墻系統(tǒng)采取雙機(jī)模式構(gòu)建。這些安全服務(wù)包括了訪問認(rèn)證、訪問控制、信息流安全檢查、數(shù)據(jù)源點(diǎn)鑒別等技術(shù)手段