【正文】 [5]。防火墻系統(tǒng)和VPN應(yīng)用系統(tǒng)作為現(xiàn)代網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的重要部分，毫無(wú)疑問(wèn)也是我們建設(shè)網(wǎng)絡(luò)安全系統(tǒng)首先需要構(gòu)架的系統(tǒng)。表31防火墻系統(tǒng)實(shí)現(xiàn)功能目標(biāo)物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層認(rèn)證****訪問(wèn)控制***數(shù)據(jù)保密****數(shù)據(jù)完整性***不可抵賴(lài)性審計(jì)***可用性****應(yīng)用系統(tǒng)的安全性主要在用戶和服務(wù)器間的雙向身份認(rèn)證以及信息和服務(wù)資源的訪問(wèn)控制，具有審計(jì)和記錄機(jī)制，確保防止拒絕和防抵賴(lài)的防否認(rèn)機(jī)制。對(duì)于內(nèi)部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實(shí)現(xiàn)，企業(yè)各類(lèi)資源的應(yīng)用系統(tǒng)在邏輯上進(jìn)行子網(wǎng)系統(tǒng)的劃分，即在技術(shù)上提供可以獨(dú)立選擇安全策略的虛擬系統(tǒng)劃分。具體來(lái)說(shuō)，B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上使用，會(huì)給網(wǎng)絡(luò)防火墻帶來(lái)數(shù)倍甚至數(shù)十倍于C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的并發(fā)TCP會(huì)話數(shù)量，而且這些會(huì)話絕大部分是包長(zhǎng)很短的“垃圾”IP包。企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是C/S和B/S兩種應(yīng)用結(jié)構(gòu)的混合形式，主要的業(yè)務(wù)應(yīng)用系統(tǒng)現(xiàn)在是分布式的C/S結(jié)構(gòu)。這是防火墻系統(tǒng)設(shè)計(jì)時(shí)必須考慮的可實(shí)現(xiàn)功能之一[4]。 （5）應(yīng)用層安全保護(hù)這里的應(yīng)用層，主要指企業(yè)的信息資源管理系統(tǒng)（ERP）。公司所有的業(yè)務(wù)系統(tǒng)都是建立在網(wǎng)絡(luò)設(shè)備基礎(chǔ)之上的，保證網(wǎng)絡(luò)設(shè)備的安全是保證系統(tǒng)正常運(yùn)行的首要條件；而保護(hù)網(wǎng)絡(luò)設(shè)備的安全，通?？紤]的最多的是設(shè)備的冗余，而網(wǎng)絡(luò)設(shè)備的配置保護(hù)卻不被重視，其實(shí)，當(dāng)某一個(gè)人登錄了網(wǎng)絡(luò)設(shè)備（路由器、防火墻、VPN設(shè)備等），將配置進(jìn)行了更改，為以后非法的登錄建立通道，對(duì)整個(gè)系統(tǒng)來(lái)說(shuō)，所有的安全設(shè)施就形同虛設(shè)。需要對(duì)這些系統(tǒng)進(jìn)行系統(tǒng)安全漏洞的掃描和實(shí)時(shí)入侵的檢測(cè)。在條件允許的情況下，我們建議企業(yè)網(wǎng)增加網(wǎng)絡(luò)漏洞掃描和入侵檢測(cè)系統(tǒng)[1]。由此可見(jiàn)，在企業(yè)通過(guò)第三方專(zhuān)線連接的企業(yè)廣域網(wǎng)內(nèi)，實(shí)施網(wǎng)絡(luò)安全保護(hù)是非常必要的舉措。在這種復(fù)雜的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)對(duì)各類(lèi)網(wǎng)絡(luò)資源的有效保護(hù)和管理，僅僅利用現(xiàn)有的網(wǎng)絡(luò)來(lái)完成，顯然是做不到的。（2）廣域網(wǎng)連接的安全保護(hù)企業(yè)部分異地的下屬企業(yè)和部門(mén)將通過(guò)廣域網(wǎng)的方式與總部進(jìn)行連接。2應(yīng)用需求分析企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)包括企業(yè)內(nèi)部網(wǎng)絡(luò)Intranet和企業(yè)外部網(wǎng)絡(luò)Extranet，外部網(wǎng)絡(luò)連接到Internet，滿足互聯(lián)網(wǎng)訪問(wèn)、WWW發(fā)布、外部移動(dòng)用戶應(yīng)用等需求。作為一個(gè)現(xiàn)實(shí)的網(wǎng)絡(luò)安全系統(tǒng)，首先要考慮的是安全建議書(shū)所涉及的有哪些系統(tǒng)單元，然后根據(jù)這些系統(tǒng)單元的不同，確定該單元所需要的安全服務(wù)，再根據(jù)所需要的安全服務(wù)，確定這些安全服務(wù)在哪些OSI層次實(shí)現(xiàn)。（2）協(xié)議層次協(xié)議層次（Y軸）由ISO/OSI參考模型的七層構(gòu)成。本安全建議書(shū)將均衡考慮各種安全措施的效果，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。企業(yè)的網(wǎng)絡(luò)同樣存在安全方面的風(fēng)險(xiǎn)問(wèn)題。毫無(wú)疑問(wèn)，不需要任何形式的“說(shuō)教”，在信息和網(wǎng)絡(luò)被廣泛應(yīng)用的今天，任何一個(gè)網(wǎng)絡(luò)管理或使用者都非常清楚，所有被使用的計(jì)算機(jī)網(wǎng)絡(luò)都必然存在被有意或無(wú)意的攻擊和破壞之風(fēng)險(xiǎn)。本建議書(shū)將考慮到各種安全措施的使用。具體如下：身份認(rèn)證，用于確認(rèn)所聲明的身份的有效性；訪問(wèn)控制，防止非授權(quán)使用資源或以非授權(quán)的方式使用資源；數(shù)據(jù)保密，數(shù)據(jù)存儲(chǔ)和傳輸時(shí)加密，防止數(shù)據(jù)竊取、竊聽(tīng)；數(shù)據(jù)完整，防止數(shù)據(jù)篡改；不可抵賴(lài)，取兩種形式的一種，用于防止發(fā)送者企圖否認(rèn)曾經(jīng)發(fā)送過(guò)數(shù)據(jù)或其內(nèi)容和用以防止接收者對(duì)所收到數(shù)據(jù)或內(nèi)容的抗否認(rèn)；審計(jì)管理，設(shè)置審計(jì)記錄措施，分析審計(jì)記錄；可用性、可靠性，在系統(tǒng)降級(jí)或受到破壞時(shí)能使系統(tǒng)繼續(xù)完成其功能，使得在不利的條件下盡可能少地受到侵害者的破壞。對(duì)于上圖的理解，不妨簡(jiǎn)單說(shuō)明如下：安全服務(wù)是網(wǎng)絡(luò)安全系統(tǒng)所提供可實(shí)現(xiàn)的全部技術(shù)手段；網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該將所采納之安全技術(shù)手段實(shí)施的范圍；系統(tǒng)單元是網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該提供安全保護(hù)的對(duì)象。表11 網(wǎng)絡(luò)協(xié)議層實(shí)施相應(yīng)的安全措施 物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層認(rèn)證****訪問(wèn)控制****數(shù)據(jù)保密******數(shù)據(jù)完整性***不可抵賴(lài)性*審計(jì)****可用性****說(shuō)明：* 表示需要實(shí)施的項(xiàng)目在本項(xiàng)目設(shè)計(jì)中，我們建議企業(yè)網(wǎng)絡(luò)系統(tǒng)通過(guò)防火墻系統(tǒng)、VPN應(yīng)用系統(tǒng)、認(rèn)證系統(tǒng)和網(wǎng)絡(luò)漏洞掃描及攻擊檢測(cè)系統(tǒng)實(shí)現(xiàn)表11中的安全手段實(shí)施。另外，僅僅設(shè)置1臺(tái)防火墻，容易出現(xiàn)單點(diǎn)故障，為了保證網(wǎng)絡(luò)對(duì)外的7X24小時(shí)不間斷服務(wù)，還必須考慮網(wǎng)絡(luò)安全設(shè)備的冗余配置。l 防火墻保護(hù)應(yīng)用從網(wǎng)絡(luò)系統(tǒng)的應(yīng)用來(lái)說(shuō)，企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)實(shí)際上就是規(guī)模龐大的企業(yè)內(nèi)部網(wǎng)。企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應(yīng)用被不同的對(duì)象使用，有許多信息系統(tǒng)會(huì)根據(jù)應(yīng)用目的進(jìn)行分類(lèi)獨(dú)立使用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡(luò)上需要有比較好的手段對(duì)內(nèi)部用戶進(jìn)行信息資源訪問(wèn)的控制；另一方面，來(lái)自于企業(yè)內(nèi)部的攻擊不容忽視，其成功的可能性要遠(yuǎn)遠(yuǎn)大于來(lái)自于Internet的攻擊，而且內(nèi)部攻擊的目標(biāo)主要是獲取企業(yè)的機(jī)密信息，這就更需要有措施對(duì)內(nèi)部用戶進(jìn)行訪問(wèn)控制。利用先進(jìn)的技術(shù)、工具進(jìn)行網(wǎng)絡(luò)系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時(shí)彌補(bǔ)，以及建立實(shí)時(shí)入侵檢測(cè)系統(tǒng)，是十分有效的安全防護(hù)措施，將能極大提高、完善企業(yè)系統(tǒng)安全?；谝陨系脑颍髽I(yè)網(wǎng)絡(luò)需要對(duì)總部的應(yīng)用服務(wù)器進(jìn)行操作系統(tǒng)和數(shù)據(jù)庫(kù)的備份，操作系統(tǒng)包括Windows NT, Windows 2000,Solaris,Linux，數(shù)據(jù)庫(kù)系統(tǒng)主要包括Oracle，MS SQL數(shù)據(jù)庫(kù)。（2）網(wǎng)絡(luò)設(shè)備安全管理企業(yè)全公司，網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）數(shù)量以數(shù)十甚至數(shù)百計(jì)。而VPN技術(shù)能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕?wèn)題，極大的節(jié)約公司的費(fèi)用，并且使外部非法用戶無(wú)法訪問(wèn)公司內(nèi)部信息；但是，對(duì)于公司內(nèi)部用戶，由于VPN所提供的用戶認(rèn)證機(jī)制依然是單一的密碼方式，使我們無(wú)法保證目前訪問(wèn)信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說(shuō)，還是存在內(nèi)部用戶盜用他人密碼訪問(wèn)特定的信息資源的安全隱患（可能這些信息資源是他無(wú)權(quán)瀏覽或更改的），因此，補(bǔ)充更強(qiáng)的身份認(rèn)證機(jī)制對(duì)VPN系統(tǒng)應(yīng)用來(lái)說(shuō)也是非常必要的。為了使系統(tǒng)的認(rèn)證操作和對(duì)非法訪問(wèn)的攔截更加有效，所有認(rèn)證的轉(zhuǎn)發(fā)和認(rèn)證結(jié)果的處理都由防火墻來(lái)操作完成，即對(duì)所有被認(rèn)證系統(tǒng)認(rèn)定為非合法訪問(wèn)的服務(wù)請(qǐng)求，通過(guò)防火墻“掐斷”其訪問(wèn)連接，而不是通過(guò)應(yīng)用系統(tǒng)直接拒絕訪問(wèn)服務(wù)。由此可以看出從網(wǎng)絡(luò)用戶電腦（客戶端）到應(yīng)用系統(tǒng)平臺(tái)（服務(wù)器端）的結(jié)構(gòu)形式會(huì)對(duì)網(wǎng)絡(luò)設(shè)備（尤其防火墻）提出相應(yīng)的要求；簡(jiǎn)單而言，不同的應(yīng)用模式，對(duì)網(wǎng)絡(luò)防火墻系統(tǒng)有不同的技術(shù)指標(biāo)要求。B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)雖然具有管理簡(jiǎn)單，客戶端開(kāi)發(fā)、使用和維護(hù)的成本很低的優(yōu)點(diǎn)，但是在網(wǎng)絡(luò)上B/S結(jié)構(gòu)應(yīng)用系統(tǒng)將會(huì)給網(wǎng)絡(luò)帶來(lái)巨大的網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)處理壓力，而且是并發(fā)的。對(duì)于通過(guò)Internet入口和廣域網(wǎng)入口進(jìn)入總部企業(yè)內(nèi)部網(wǎng)或分支機(jī)構(gòu)內(nèi)部網(wǎng)的用戶，設(shè)置在網(wǎng)絡(luò)出入口的防火墻系統(tǒng)不僅可以對(duì)訪問(wèn)者進(jìn)行能否被允許進(jìn)入的權(quán)限認(rèn)證，同時(shí)可以實(shí)現(xiàn)按照企業(yè)資源被訪問(wèn)權(quán)限劃分的訪問(wèn)路由控制。為了使企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)簡(jiǎn)化、建設(shè)成本降低，本建議書(shū)在網(wǎng)絡(luò)防火墻系統(tǒng)建設(shè)目標(biāo)方面，提出了下表31的功能目標(biāo)要求。任何一個(gè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)在實(shí)施和建設(shè)階段，在進(jìn)行應(yīng)用系統(tǒng)開(kāi)發(fā)的同時(shí)，首先是考慮網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)。防火墻系統(tǒng)是在網(wǎng)絡(luò)基礎(chǔ)層以上（OSI/ISO網(wǎng)絡(luò)結(jié)構(gòu)模型的2至7層）提供主要的安全技術(shù)服務(wù)手段，如表31所示。l Internet接入結(jié)構(gòu)如下圖41典型的企業(yè)應(yīng)用所示，總部在Internet出口設(shè)立防火墻系統(tǒng)。其詳細(xì)特點(diǎn)如下： DES和三級(jí)DES：最高等級(jí)的加密、解密 SNMP管理方式：通過(guò)網(wǎng)絡(luò)管理軟件管理 PIXASDM支持Windows 95, 98, NT, 2000系統(tǒng)。圖42 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D企業(yè)廣域網(wǎng)存在ERP、VoIP、視頻會(huì)議等各種高帶寬應(yīng)用，特別總部是整個(gè)企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)中心，進(jìn)出的信息流量龐大，推薦采用兩臺(tái)處理性能很強(qiáng)的PIX525防火墻，實(shí)現(xiàn)冗余備份（ActiveActive方式）和負(fù)載均衡。在總部的物理出入口，可以是對(duì)外提供公共服務(wù)的出入口與企業(yè)虛擬連接廣域網(wǎng)的接入口為同一個(gè)物理接口，即由同一個(gè)Internet公網(wǎng)節(jié)點(diǎn)提供連接；也可以是各自獨(dú)立的接口，即由不同的公網(wǎng)節(jié)點(diǎn)提供連接服務(wù)。雖然在應(yīng)用邏輯上，VPN和防火墻是兩個(gè)獨(dú)立的應(yīng)用系統(tǒng)，但是對(duì)于先進(jìn)的防火墻設(shè)備，兩者是合并在同一個(gè)物理設(shè)備上的，這樣的不僅可以使系統(tǒng)的結(jié)構(gòu)和實(shí)施簡(jiǎn)單化，而且可以大大地提高系統(tǒng)的應(yīng)用效率。PIX515的防火墻和VPN應(yīng)用都能滿足本設(shè)計(jì)方案提出的系統(tǒng)實(shí)現(xiàn)目標(biāo)要求。 PIX515可作為分支機(jī)構(gòu)的路由網(wǎng)關(guān)，實(shí)現(xiàn)各子網(wǎng)間的跨網(wǎng)段（非公有的企業(yè)私有網(wǎng)址）訪問(wèn)，在小型的分支機(jī)構(gòu)LAN內(nèi)無(wú)須配備路由和高層交換設(shè)備[1]；252。（3）虛擬連接通信加密分部的PIX515和總部的高端防火墻之間，可以建立3倍DES的VPN通道。故推薦企業(yè)對(duì)防火墻系統(tǒng)實(shí)行統(tǒng)一的管理。我們只能對(duì)防火墻產(chǎn)品的幾大方面進(jìn)行評(píng)價(jià)。Packet Level Firewall1. NAT 開(kāi)啟及關(guān)閉時(shí)的無(wú)封包遺失最大輸出性能(noloss max throughput)及封包延遲(latency)。（3）幾種流行防火墻產(chǎn)品的比較附件為獨(dú)立的第三方測(cè)試機(jī)構(gòu)的評(píng)測(cè)報(bào)告，有的側(cè)重于功能比較，有的側(cè)重于性能參數(shù)比較，供參考。u ModePIX產(chǎn)品有三種工作模式：Transparent，Route，NAT。防火墻的作用相當(dāng)于一臺(tái)路由器，同時(shí)執(zhí)行嚴(yán)格策略檢查、攻擊檢測(cè)等。應(yīng)用流量控制，可以防止某些應(yīng)用或某些用戶無(wú)限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。對(duì)大四學(xué)生來(lái)說(shuō)，更應(yīng)該重視與珍惜課程設(shè)計(jì)，因?yàn)檫@是個(gè)很好的實(shí)踐機(jī)會(huì)，然后應(yīng)該深入了解題目，理清思路，通過(guò)課程設(shè)計(jì)培養(yǎng)聯(lián)系實(shí)際和解決實(shí)際問(wèn)題