【正文】 企業(yè)廣域連接的網(wǎng)絡系統(tǒng)必須考慮兩方面的安全措施：l 網(wǎng)絡通信加密（VPN應用）廣域網(wǎng)絡通信連接將通過第三方鏈路進行。本章將根據(jù)企業(yè)網(wǎng)絡系統(tǒng)的結構及應用，詳細分析企業(yè)網(wǎng)絡系統(tǒng)的安全需求。（2）構建安全系統(tǒng)的基本目標在上述的三維結構的安全體系中，安全服務維是向網(wǎng)絡系統(tǒng)的各個部分和每一個層次，提供安全保證的各種技術手段和措施。與TCP/IP層次對應，可以把會話層、表示、應用層統(tǒng)一為“應用層”。安全需要付出代價（資金、性能損失等），但是任何單純?yōu)榱税踩豢紤]代價的安全建議書都是不切實際的。對于大多數(shù)網(wǎng)絡黑客來說，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡系統(tǒng)，具有證明和炫耀其“能耐”的價值，盡管這種行為的初衷也許并不具有惡意的目的；竊取企業(yè)的網(wǎng)絡數(shù)據(jù)，甚至破壞其網(wǎng)絡系統(tǒng)，更加具有現(xiàn)實和長遠的商業(yè)價值[5]。本課程設計是為企業(yè)提出的“網(wǎng)絡安全系統(tǒng)設計方案”，只針對網(wǎng)絡基礎設施安全系統(tǒng)向企業(yè)提交網(wǎng)絡安全的設計及設計實施方案，沒有涉及其他部分的內(nèi)容，如“數(shù)據(jù)安全系統(tǒng)”等。l 全局性、均衡性、綜合性設計原則安全建議書將從企業(yè)網(wǎng)絡整體建設角度出發(fā)，提供一個具有相當高度、可擴展性強的安全解決方案；從企業(yè)的實際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。具體說明如下：圖11安全框架示意圖（1）安全服務安全服務（X軸）定義了7種主要完全屬性。（1）安全體系的理解在圖11的安全體系分析模型中，完整地將網(wǎng)絡安全系統(tǒng)的全部內(nèi)容進行了科學和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡安全系統(tǒng)所使用的技術、服務的對象和涉及的范圍（即網(wǎng)絡層次）。針對一般網(wǎng)絡系統(tǒng)的結構和應用要求，為了達到保護網(wǎng)絡資源的目的，必須在網(wǎng)絡協(xié)議層實施相應的安全措施，如下表11所示。因此，在Internet出入口連接點，必須采取措施進行保護 —— 布置防火墻系統(tǒng)，對集團總部的Internet出入口實施有效的控制，包括進出的數(shù)據(jù)檢查和資源訪問的控制。VPN采用3DES的加密算法，一方面可以使在廣域網(wǎng)鏈路上傳輸?shù)臄?shù)據(jù)變成外來者不可“讀”，防止流失數(shù)據(jù)的信息泄露；另一方面通過VPN加密和解密的規(guī)則，可以對具有不良屬性的被異動數(shù)據(jù)進行過濾或使之屬性失效，避免這些惡意數(shù)據(jù)對網(wǎng)絡系統(tǒng)造成破壞。其二，內(nèi)部網(wǎng)絡連接安全保護。（4）其他安全保護輔助措施企業(yè)網(wǎng)絡環(huán)境比較復雜，設備眾多，這使管理人員查找和修補網(wǎng)絡中的全部安全隱患有相當大的難度。此外，任何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進行系統(tǒng)的破壞。l 人員的流動、集成商自設等很多因素，使得每臺主機系統(tǒng)上的多余帳戶增加。（4）VPN上的認證在網(wǎng)絡系統(tǒng)將配置VPN系統(tǒng)，遠程移動用戶可以通過撥號連接本地ISP，用VPN Client 建立安全通道訪問公司信息資源。加入的RSA SecurID必須提供通用的API，使用戶可以將RSA SecurID認證內(nèi)嵌到ERP系統(tǒng)或其他的應用系統(tǒng)中，保證公司內(nèi)部網(wǎng)絡用戶接收MAIL和文件的安全，驗證用戶身份，并創(chuàng)建用戶登錄日志文件。任何一個應用系統(tǒng)提供的應用，都是依賴于網(wǎng)絡的各個層次來實現(xiàn)應用信息的處理和傳送，應用系統(tǒng)最終是通過向所有的網(wǎng)絡用戶提供使用來達到其應用的目的。[6]眾所周知，防火墻作為網(wǎng)絡設備，對網(wǎng)絡性能影響最為主要的是兩個參數(shù)指標，一個是防火墻的TCP連接處理能力（并發(fā)會話處理數(shù)），另一個是防火墻對網(wǎng)絡數(shù)據(jù)流量的吞吐能力（帶寬參數(shù)）。從互聯(lián)網(wǎng)入口進入企業(yè)網(wǎng)的用戶，可以被防火墻有效地進行類別劃分，即區(qū)分為通過互聯(lián)網(wǎng)進入內(nèi)部網(wǎng)的企業(yè)移動用戶或外部的公共訪問者，對于要求進入企業(yè)內(nèi)部網(wǎng)的訪問者進行用戶的授權認證，攔截沒有用戶權限的訪問者試圖進入內(nèi)部網(wǎng)。但是在今天已經(jīng)出現(xiàn)了滿足網(wǎng)絡層全部應用的、功能強大、性能優(yōu)異的防火墻產(chǎn)品，如Cisco防火墻。本項目設計將重點對防火墻系統(tǒng)（包括VPN應用系統(tǒng)）提出設計建議。所以設計也將漏洞掃描和入侵檢測系統(tǒng)放在防火墻系統(tǒng)建設完成后的第二階段實施。從安全和管理角度考慮，建議只在總部設立一個Internet出口，各地分部統(tǒng)一通過總部訪問互聯(lián)網(wǎng)。PIX515防火墻吞吐量高達xxxbps，提供xxx接口，xxx鏈接數(shù)，xxxVPN處理能力，支持透明模式、雙機備份、負載均衡、圖形管理等，流量控制功能為網(wǎng)絡管理員提供了全部監(jiān)測和管理網(wǎng)絡的信息，諸如DMZ，服務器負載平衡和帶寬優(yōu)先級設置等先進功能，使PIX獨樹一幟。 IKE密鑰管理：保證密鑰交換 圖形界面：可關閉遠程的管理方式，只用本地的、安全的管理 為了構建安全的通信通道，必須把這一軟件與IPSec網(wǎng)關結合使用（如PIX家族安全設備），或與運行IPSec兼容軟件的另一臺主機結合使用（如ASDM）。如圖42所示。也應使用前面的設計方案，在此不做重復的說明。安全級別取值范圍為1~99，數(shù)字越大安全級別越高//PIX515(config)nameif ethernet1 inside security100//設置以太網(wǎng)口1被命名為內(nèi)網(wǎng)接口（inside），安全級別是100//PIX515(config)nameif dmz security50//設置非軍事區(qū)口（dmz）安全級別是50////如果需要添加新的接口，語句可以這樣寫：PIX515(config)nameif pix/intf3 security40 VPN系統(tǒng)設計VPN系統(tǒng)在企業(yè)網(wǎng)絡系統(tǒng)中應用的目的是在一個非信任的通信網(wǎng)絡鏈路或公共Internet建立一個安全和穩(wěn)定的隧道。（2）虛擬連接組網(wǎng)建議在虛擬連接廣域網(wǎng)出入口控制的設計中，我們在企業(yè)所有通過公共Internet虛擬連接的分部或商業(yè)合作伙伴，采用PIX515防火墻連接接入公網(wǎng)。 不需要向鏈路服務供應商租用價格昂貴的專線或者申請數(shù)量巨大的公網(wǎng)IP（實際上不可能），就可以實現(xiàn)企業(yè)網(wǎng)絡的廣域連接；252。此外，通過這一種網(wǎng)絡的虛擬互聯(lián)，可以實現(xiàn)總部與分支機構間的免費IP電話、IP傳真通信，甚至用非集中的網(wǎng)絡視頻會議就可以代替大部分的人員集中式、花費很高的各類會議；兩個或多個業(yè)務有直接連接的異地機構或部門不需要占用總部的網(wǎng)絡資源實現(xiàn)網(wǎng)絡連接；等等。集中方式將對所有防火墻實現(xiàn)集中的管理，集中制定安全策略，這將很好的克服以上缺點。[5]評價一個防火墻產(chǎn)品優(yōu)劣所設計的因素（或者技術要素）很多，很難有一個大而全的評價方法和測試手段對防火墻產(chǎn)品的每一個方面進行完全的評價。3．攻擊DMZ 內(nèi)主機時，系統(tǒng)是否會將攻擊型態(tài)log 起來，甚至替DMZ內(nèi)主機阻擋攻擊 。2．建立20 個LANtoLAN tunnel 時的無封包遺失最大輸出性能及封包延遲 。防火墻系統(tǒng)會識別帶由tag的幀，并轉(zhuǎn)換成正常的以太幀進行防火檢測、路由、策略等基本操作[5]。這種方式可用于保護同一企業(yè)網(wǎng)內(nèi)部的局域網(wǎng)，免遭內(nèi)部人員的偷窺或盜竊。因為防火墻對Policy的控制可以根據(jù)源地址、目標地址、源端口、目標端口、以及時間段等多種相當靈活的因素，因此對流量的控制也是高度靈活的[2]。但應該適當利用網(wǎng)上資源，參考前人的思路，提取優(yōu)點，然后再用自己的思路進行設計。參考文獻[1] 易建勛. 計算機網(wǎng)絡設計[M] . 北京：人民郵電出版社，2009[2] 蔡學軍，梁廣民，王隆杰，張立娟. 網(wǎng)絡互聯(lián)技術[M]. 北京：高等教育出版社，2007[3] 沈海娟. 網(wǎng)絡互聯(lián)技術—廣域網(wǎng)[M] . 北京：浙江大學出版社，2006[4] 范剛，章千. 中小型企業(yè)網(wǎng)絡安全方案. 北京：電子工業(yè)出版社，2002[5] Doyle Jeff，Carroll . 夏俊杰譯. 網(wǎng)絡安全技術（第二卷）[M]. 北京：人民郵電出版社，2009[6] 邱祿瑞 徐曉. 企業(yè)CIMS／MIS下的網(wǎng)絡系統(tǒng)設計方案. 汽車科技，200230。通過這次計算機網(wǎng)絡工程課程設計，我更加充分的理解了課本上的知識，對企業(yè)網(wǎng)絡安全有了透徹的理解，掌握了設計網(wǎng)絡安全系統(tǒng)的基本步驟，尤其是慢慢學會了如何進行應用需求。針對企業(yè)網(wǎng)絡，本設計建議采用的解決方案如下：216。Route方式下可以同時實現(xiàn)NAT功能。三種工作模式下，所有用戶和服務器上現(xiàn)存的應用程序都不需修改。我們可以得出結論：從我們對防火墻產(chǎn)品的認識，以及參考第三方的測試結果來看，在設計企業(yè)網(wǎng)絡安全方案時，選擇PIX的防火墻是目前最佳的選擇[4]。2. 10 及100 條防火墻規(guī)則時的無封包遺失最大輸出性能及封包延遲。對防火墻產(chǎn)品的評價一般是從安全性（側重功能方面）、技術性能指標、管理的方便性等幾方面綜合評價。在企業(yè)網(wǎng)絡安全系統(tǒng)中，作為當今網(wǎng)絡基礎設施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。VPN通道可實現(xiàn)網(wǎng)絡通信數(shù)據(jù)的加密和認證，并且提供保證數(shù)據(jù)完整性的技術手段[4]。 基于Keep – Alive消息保持的網(wǎng)絡VPN連接的連續(xù)狀態(tài)；252。[6]PIX不僅具有防火墻和VPN的實用功能，同時提供了在網(wǎng)絡應用上的功能，這些功能在小部門的網(wǎng)絡互聯(lián)（LAN to LAN）應用中非常實用，它使PIX在網(wǎng)絡互聯(lián)中承擔了互聯(lián)“網(wǎng)關”的作用，從而省缺了這些小部門之間的LAN互聯(lián)時需要配置價格不菲高層交換和路由設備。在本方案設計采用的PIX防火墻就是這一種設備。前者需要將總部的公網(wǎng)出入口控制防火墻的檔次提高（至少選擇PIX515以上的檔次），這是由于通過這種虛擬連接方式接入企業(yè)各地分部或商業(yè)合作伙伴有近千家，只有配置更高檔的防火墻才能滿足系統(tǒng)應用的性能要求，如同時支持的VPN通道數(shù)量、會話處理能力、網(wǎng)絡接口帶寬等等。每臺防火墻基本配置含4個100M或1000M端口，分別連接兩臺路由器和兩臺中心交換機。（2）廣域網(wǎng)進出口控制企業(yè)具有多個地理上分散的分部，各分部和總部之間租用電信專線互聯(lián)，形成以總部為中心的集團廣域網(wǎng)。 命令行界面：支持批處理方式及通過調(diào)制解調(diào)器的備用渠道進行控制 兩臺PIX防火墻采取雙機熱備方式工作，任何一臺防火墻出現(xiàn)故障，其任務由另一臺防火墻自動接管，避免單點故障造成企業(yè)無法上網(wǎng)的情況發(fā)生，保證網(wǎng)絡的無間斷運行[4]。 流量帶寬控制及優(yōu)先級設置：按您的需求管理流量 提供了防火墻的全部安全功能（如防止拒絕服務攻擊，Java/ActiveX/Zip過濾，防IP地址欺騙……）并結合了包過濾、鏈路過濾和應用代理服務器等技術為避免單點故障，防火墻系統(tǒng)采取雙機模式構建。這些安全服務包括了訪問認證、訪問控制、信息流安全檢查、數(shù)據(jù)源點鑒別等技術手段