【正文】 慮，本方案建議網(wǎng)絡接入 Inter 的結(jié)構采取不同方式和檔次的設備方案。（有關 PIX515 防火墻建立虛擬網(wǎng)絡的組網(wǎng)說明請參考 VPN 系統(tǒng)的設計說明）。 PIX防火墻在 VPN應用上有出色的性能，例如 PIX515能夠提供 XXXM的VPN吞吐量和 XXX條專用隧道， PIX525能夠提供 XXXMbps VPN處理能力和建立 XXX條隧道。 三、優(yōu)點 1． 不需要向鏈路服務供應商租用價格昂貴的專線或者申請數(shù)量巨大的公網(wǎng) IP（實際上不可能），就可以實現(xiàn)企業(yè)網(wǎng)絡的廣域連接； 2． PIX515 可作為分支機構的路由網(wǎng)關，實現(xiàn)各子網(wǎng)間的跨網(wǎng)段（非公有的企業(yè)私有網(wǎng)址）訪問，在小型的分支機構 LAN 內(nèi)無須配備路由和高層交換設 備； 3． 基于 Keep – Alive 消息保持的網(wǎng)絡 VPN 連接的連續(xù)狀態(tài)； 4． 這種網(wǎng)絡連接提供所有基于 LAN to LAN 連接支持的各種網(wǎng)絡服務，如 MS Windows 的共享權限相互訪問彼此的資源（網(wǎng)上鄰居）、 傳輸服務、Netmeeting 等等； 5． PIX515 提供網(wǎng)絡連接的流量管理，即在公網(wǎng)的傳輸效率保證的前提下， PIX515提供基于策略的最小帶寬保證、帶寬限制、優(yōu)先級帶寬使用等管理功能； 6． 通過 PIX515 的管理策略，可以使分部的用戶在使用 Inter 服務和企業(yè)網(wǎng)虛擬連接之間進行“透明”的區(qū)分，而 且同時使用又相互不影響。 在此防火墻系統(tǒng)的管理上，有分散和集中兩種方式。因此針對這些應用的網(wǎng)絡連接應用和數(shù)據(jù)傳輸?shù)奶攸c，本建議書在充分考慮所選擇的設備安 全性能的因素同時，還重點考慮所選設備的網(wǎng)絡處理能力。 本建議書考慮企業(yè)的網(wǎng)絡應用特點，按照以上介紹的幾方面要素，我們將 從以下幾方面比較評價防火墻產(chǎn)品，如下表： 評價 類別 評價及 比較項目 Management 1. 管理接口是否簡單易用 。 2. 10 及 100 條 URL entries 時的最大連結(jié) (connection)數(shù)、輸出性能以及交易延遲 (transaction latency)。虛擬系統(tǒng)與 VLAN標記相結(jié)合，把安全域延伸到整個交換網(wǎng)絡中。在這種方式下，防火墻將相同子網(wǎng)的網(wǎng)段橋接起來。 三種工作模式下的網(wǎng)絡環(huán)境示意圖如下： 流量控制功能 PIX 防火墻的技術核心是 ASIC，可以硬件完成三大功能：防火墻、 VPN、流量管理。用戶原先的應用設備不需改動配置。 PIX專利流量算法可以精確控制帶寬分配：設置有保障的帶寬和最大帶寬，類似于幀中繼的帶寬管理性能；通過 8 級優(yōu)先級，為流量分配優(yōu)先權； Diffserv。對要轉(zhuǎn)發(fā)的幀，再進行狀態(tài)檢查，實現(xiàn)防火、 VPN、流量管理等基本功能。優(yōu)點：簡化網(wǎng)絡結(jié)構、降低維護成本。 2． 開啟及關閉 Java / ActiveX / JavaScript 時的最大連結(jié)數(shù)、輸出性能以及交易延遲 。 3. 各家產(chǎn)品可否互通 (互通性測試 ) Security 1. 系統(tǒng)是否有安全漏洞 。 （注：以下對各廠家防火墻產(chǎn)品的評價數(shù)據(jù)和結(jié)果，均來自第三方中立機構的測試報告，這些第三方機構包括 —— Comweb amp。此方式在大型企業(yè)中存在較大的缺點，首先它對各下屬企業(yè)的網(wǎng)絡管理員要求非常高，相應提高了企業(yè)的管理成本；其次，當下屬企業(yè)較多時，由于各自制定安全策略，存在安全隱患較大，同時，當出現(xiàn)安全問題時，由于沒有實現(xiàn)統(tǒng)一監(jiān)控，很難判斷問題出現(xiàn)在何處，從而不能及時解決問題。 如果在總部配置一臺 NS1000 的高性能防火墻，異地分支機構配備一臺 PIX515，就可以實現(xiàn)所有分支機構和總部的實時聯(lián)網(wǎng)，所有分支機構員工就象在總部辦公一企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 28 樣，這對總部對分支機構的管理將是一個極大的飛躍。 PIX515 的防火墻和 VPN 應用都能滿足本建議書提出的系統(tǒng)實現(xiàn)目標要求。 雖然在應用邏輯上， VPN 和防火墻是兩個獨立的應用系統(tǒng)，但是對于先進的防火墻設備，兩者是合并在同一個物理設備上的，這樣的不僅可以使系統(tǒng)的結(jié)構和實施簡單化，而且可以大大地提高系統(tǒng)的應用效率。建議使用 的設計方案，在此不做重復的說明。考慮到總部的廣域網(wǎng)防火墻是位于路由器和中心交換機之間，所以也必需做冗余配置，否則會成為廣域網(wǎng)設備中的單點故障點，使路由器和中心交換機所做的備份措施失去意義。通過采用 IPSec 協(xié)議和第二層通道協(xié)議 [L2TP]，并以證書作為額外的選項，可以實現(xiàn)安全性。 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 21 （二）防火墻系統(tǒng)選型設計 經(jīng)過對多家防火墻廠商設備的綜合比較，本建議書推薦采用 Cisco 公司的防火墻產(chǎn)品。 本建議書我們采用防火墻來對企業(yè)網(wǎng)絡的進出口進行控制，包括 Inter 進出口控制和廣域網(wǎng)進出口控制。 同樣，漏洞掃描和入侵檢測系統(tǒng)作為防火墻系統(tǒng)的輔助系統(tǒng)，可以有效地提高防火墻系統(tǒng)發(fā)揮的安全保護作用；漏洞掃描和入侵檢測系統(tǒng)所發(fā)揮的作用，最終要靠防火墻企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 20 系統(tǒng)的作用來體現(xiàn)，因為漏洞掃描和入侵檢測系統(tǒng)“檢查”和“偵測”得到的非法訪問和惡意攻擊，需要防火墻系統(tǒng)對其實施控制和攔截。以下的防火墻系統(tǒng)設計將根據(jù)這些原則合理的設計系統(tǒng)。 傳統(tǒng)的網(wǎng)絡安全系統(tǒng)由于受設備功能和性能的限制，在網(wǎng)絡層（從物理層到傳輸層）很難全部由單一的防火墻或其他安全設備全部完成表 1 中提出的功能要求，所以系統(tǒng)的實施難度和費用（包括設備、人力投入和管理成本）會比較驚人。 Inter 及 Extra 進出口控制 在國際互聯(lián)網(wǎng)（ Inter）和企業(yè)廣域網(wǎng)（ Extra）的進出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網(wǎng)絡數(shù)據(jù)和被禁止的數(shù)據(jù)源進入企業(yè)內(nèi)部網(wǎng)絡。 面向 應用系統(tǒng)的防火墻系統(tǒng)設計要求 根據(jù)企業(yè)網(wǎng)絡應用系統(tǒng)的現(xiàn)狀以及未來系統(tǒng)的結(jié)構發(fā)展，我們認為著重考慮企業(yè)的B/S 結(jié)構應用特點，是防火墻系統(tǒng)技術指標設計的主要依據(jù)。 網(wǎng)絡應 用系統(tǒng)的現(xiàn)狀及發(fā)展說明 企業(yè)的網(wǎng)絡應用包括了集團公司幾乎所有的業(yè)務活動和管理方面的應用，例如 ERP、OA、財務、網(wǎng)絡視頻會議應用等等。 ? 高級別的用戶在遠程授權以后，需要及時地更改密碼。而目前從終端上訪問也是采用單一靜態(tài)密碼，從我們前面的分析來看，顯然是不安全的。 主機系統(tǒng) 包括企業(yè)總部和各下屬公司中心主機、數(shù)據(jù)庫系統(tǒng)， WEB 服務器、 MAIL 服務器等等，這些主機系統(tǒng)是公司網(wǎng)絡系統(tǒng)的核心，存儲著公司最重要的信息資源，因此，保證這些主機系統(tǒng)的登錄的安全是極其重要的。還有，安裝在操作系統(tǒng)上的各種應用系統(tǒng)形成了一個復雜的環(huán)境，這些應用程序本身設計的缺陷也會帶來安全漏洞。 正如前面所言，這種 連接方式盡管實現(xiàn)的代價和技術條件相對比較低，但其所能提供的安全保證更加不可信賴。這種“后門”對于別有用心的網(wǎng)絡黑客來說，是非常有用的，他們可以避開企業(yè)網(wǎng)絡“門戶”的防火墻系統(tǒng)，通過網(wǎng)絡的“后門”直接攻擊企業(yè)網(wǎng)絡的內(nèi)部資源，這也是網(wǎng)絡黑客最常用的攻擊手段之一；在國外就曾經(jīng)有某個利益集團利用這一手法，獲取了某國海關大量的內(nèi)部資料，利用所掌握的內(nèi)部資料，達 到其變相走漏海關關稅的目的，而且這一手法在被發(fā)現(xiàn)的時候已經(jīng)被有效地利用了相當長的時間。 現(xiàn)有的設備和技術手段要實現(xiàn)以上的非法目的不難，如果僅僅是通過盜接來竊取資料，只需要物理上存在接入的可能（實際上目前國內(nèi)所有的鏈路服務供應商都存在比較大的漏洞），就非常容易實現(xiàn)；即使是通過鏈路盜接進行惡意攻擊的“高難度”動作，“網(wǎng)絡高手”只需花很低的代價購買用于網(wǎng)絡測試的專業(yè)設備和軟件，就可在通信鏈路上通過數(shù)據(jù)回放對網(wǎng)絡系統(tǒng)實施攻擊。 Inter 連接安全保 護 企業(yè)在網(wǎng)絡應用中有三種情況需要進行 Inter 連接，即向外大眾用戶提供業(yè)務和宣傳信息服務、公司內(nèi)部用戶和外界的電子郵件往來、通過互聯(lián)網(wǎng)在異地進行業(yè)務辦公的移動用戶服務等。 網(wǎng)絡安全系統(tǒng)的技術實施 構筑網(wǎng)絡安全系統(tǒng)的最終目的是對網(wǎng)絡資源或 者說是保護對象，實施最有效的安全保護。 安全技術體系的理解及實踐 貫穿于安全體系的三個方面，各個層次的是安全管理。 安全 技術體系分析模型介紹 安全方案必須架構在科學的安全體系和安全框架之上，因為安全框架是安全方案設計和分析的基礎。任何安全系統(tǒng)必須建立在技術、組織和制度這三個基礎之上。企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 1 企業(yè) 網(wǎng)絡安全系統(tǒng) 設設 計計 建建 議議 書書 思思 威威 普普 科科 技技 目錄 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 2 1 概述 ........................................................................................................................... 4 企業(yè)建立網(wǎng)絡安全系統(tǒng)的必要性 .................................................................... 4 安全建 議書的設計原則 .................................................................................... 4 安全技術體系分析模型介紹 ............................................................................ 5 安全服務維 ................................................................................................ 5 協(xié)議層次維 ................................................................................................ 6 系統(tǒng)單元維 ................................................................................................ 6 安全技術體系的理解及實踐 ............................................................................ 6 安全體系的理解 ........................................................................................ 6 構建安全系統(tǒng)的基本目標 ........................................................................ 7 網(wǎng)絡安全系統(tǒng)的技術實施 ........................................................................ 7 2 應用需求分析 .......................................................................................................... 9 網(wǎng)絡基礎層安全需求分析 ................................................................................ 9 Inter 連接安全保護 .................................................................................. 9 廣域網(wǎng)連接的安全保護 ............................................................................ 9 虛擬連接廣域網(wǎng)的安全保護 .................................................................. 11 其他安全保護輔助措施 .......................................................................... 11 系統(tǒng)安全需求分析 .......................................................................................... 12 應用安全管理需求分 析 .................................................................................. 12 主機系統(tǒng) .................................................................