【正文】 [5]。防火墻系統(tǒng)和VPN應用系統(tǒng)作為現(xiàn)代網(wǎng)絡系統(tǒng)基礎設施的重要部分，毫無疑問也是我們建設網(wǎng)絡安全系統(tǒng)首先需要構架的系統(tǒng)。表31防火墻系統(tǒng)實現(xiàn)功能目標物理層數(shù)據(jù)鏈路層網(wǎng)絡層傳輸層會話層表示層應用層認證****訪問控制***數(shù)據(jù)保密****數(shù)據(jù)完整性***不可抵賴性審計***可用性****應用系統(tǒng)的安全性主要在用戶和服務器間的雙向身份認證以及信息和服務資源的訪問控制，具有審計和記錄機制，確保防止拒絕和防抵賴的防否認機制。對于內(nèi)部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實現(xiàn)，企業(yè)各類資源的應用系統(tǒng)在邏輯上進行子網(wǎng)系統(tǒng)的劃分，即在技術上提供可以獨立選擇安全策略的虛擬系統(tǒng)劃分。具體來說，B/S結構的應用系統(tǒng)在網(wǎng)絡上使用，會給網(wǎng)絡防火墻帶來數(shù)倍甚至數(shù)十倍于C/S結構應用系統(tǒng)的并發(fā)TCP會話數(shù)量，而且這些會話絕大部分是包長很短的“垃圾”IP包。企業(yè)網(wǎng)絡目前的應用系統(tǒng)結構是C/S和B/S兩種應用結構的混合形式，主要的業(yè)務應用系統(tǒng)現(xiàn)在是分布式的C/S結構。這是防火墻系統(tǒng)設計時必須考慮的可實現(xiàn)功能之一[4]。 （5）應用層安全保護這里的應用層，主要指企業(yè)的信息資源管理系統(tǒng)（ERP）。公司所有的業(yè)務系統(tǒng)都是建立在網(wǎng)絡設備基礎之上的，保證網(wǎng)絡設備的安全是保證系統(tǒng)正常運行的首要條件；而保護網(wǎng)絡設備的安全，通?？紤]的最多的是設備的冗余，而網(wǎng)絡設備的配置保護卻不被重視，其實，當某一個人登錄了網(wǎng)絡設備（路由器、防火墻、VPN設備等），將配置進行了更改，為以后非法的登錄建立通道，對整個系統(tǒng)來說，所有的安全設施就形同虛設。需要對這些系統(tǒng)進行系統(tǒng)安全漏洞的掃描和實時入侵的檢測。在條件允許的情況下，我們建議企業(yè)網(wǎng)增加網(wǎng)絡漏洞掃描和入侵檢測系統(tǒng)[1]。由此可見，在企業(yè)通過第三方專線連接的企業(yè)廣域網(wǎng)內(nèi)，實施網(wǎng)絡安全保護是非常必要的舉措。在這種復雜的網(wǎng)絡環(huán)境中實現(xiàn)對各類網(wǎng)絡資源的有效保護和管理，僅僅利用現(xiàn)有的網(wǎng)絡來完成，顯然是做不到的。（2）廣域網(wǎng)連接的安全保護企業(yè)部分異地的下屬企業(yè)和部門將通過廣域網(wǎng)的方式與總部進行連接。2應用需求分析企業(yè)網(wǎng)絡結構包括企業(yè)內(nèi)部網(wǎng)絡Intranet和企業(yè)外部網(wǎng)絡Extranet，外部網(wǎng)絡連接到Internet，滿足互聯(lián)網(wǎng)訪問、WWW發(fā)布、外部移動用戶應用等需求。作為一個現(xiàn)實的網(wǎng)絡安全系統(tǒng)，首先要考慮的是安全建議書所涉及的有哪些系統(tǒng)單元，然后根據(jù)這些系統(tǒng)單元的不同，確定該單元所需要的安全服務，再根據(jù)所需要的安全服務，確定這些安全服務在哪些OSI層次實現(xiàn)。（2）協(xié)議層次協(xié)議層次（Y軸）由ISO/OSI參考模型的七層構成。本安全建議書將均衡考慮各種安全措施的效果，提供具有最優(yōu)的性能價格比的安全解決方案。企業(yè)的網(wǎng)絡同樣存在安全方面的風險問題。毫無疑問，不需要任何形式的“說教”，在信息和網(wǎng)絡被廣泛應用的今天，任何一個網(wǎng)絡管理或使用者都非常清楚，所有被使用的計算機網(wǎng)絡都必然存在被有意或無意的攻擊和破壞之風險。本建議書將考慮到各種安全措施的使用。具體如下：身份認證，用于確認所聲明的身份的有效性；訪問控制，防止非授權使用資源或以非授權的方式使用資源；數(shù)據(jù)保密，數(shù)據(jù)存儲和傳輸時加密，防止數(shù)據(jù)竊取、竊聽；數(shù)據(jù)完整，防止數(shù)據(jù)篡改；不可抵賴，取兩種形式的一種，用于防止發(fā)送者企圖否認曾經(jīng)發(fā)送過數(shù)據(jù)或其內(nèi)容和用以防止接收者對所收到數(shù)據(jù)或內(nèi)容的抗否認；審計管理，設置審計記錄措施，分析審計記錄；可用性、可靠性，在系統(tǒng)降級或受到破壞時能使系統(tǒng)繼續(xù)完成其功能，使得在不利的條件下盡可能少地受到侵害者的破壞。對于上圖的理解，不妨簡單說明如下：安全服務是網(wǎng)絡安全系統(tǒng)所提供可實現(xiàn)的全部技術手段；網(wǎng)絡協(xié)議是網(wǎng)絡安全系統(tǒng)應該將所采納之安全技術手段實施的范圍；系統(tǒng)單元是網(wǎng)絡安全系統(tǒng)應該提供安全保護的對象。表11 網(wǎng)絡協(xié)議層實施相應的安全措施 物理層數(shù)據(jù)鏈路層網(wǎng)絡層傳輸層會話層表示層應用層認證****訪問控制****數(shù)據(jù)保密******數(shù)據(jù)完整性***不可抵賴性*審計****可用性****說明：* 表示需要實施的項目在本項目設計中，我們建議企業(yè)網(wǎng)絡系統(tǒng)通過防火墻系統(tǒng)、VPN應用系統(tǒng)、認證系統(tǒng)和網(wǎng)絡漏洞掃描及攻擊檢測系統(tǒng)實現(xiàn)表11中的安全手段實施。另外，僅僅設置1臺防火墻，容易出現(xiàn)單點故障，為了保證網(wǎng)絡對外的7X24小時不間斷服務，還必須考慮網(wǎng)絡安全設備的冗余配置。l 防火墻保護應用從網(wǎng)絡系統(tǒng)的應用來說，企業(yè)廣域連接的網(wǎng)絡系統(tǒng)實際上就是規(guī)模龐大的企業(yè)內(nèi)部網(wǎng)。企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應用被不同的對象使用，有許多信息系統(tǒng)會根據(jù)應用目的進行分類獨立使用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡上需要有比較好的手段對內(nèi)部用戶進行信息資源訪問的控制；另一方面，來自于企業(yè)內(nèi)部的攻擊不容忽視，其成功的可能性要遠遠大于來自于Internet的攻擊，而且內(nèi)部攻擊的目標主要是獲取企業(yè)的機密信息，這就更需要有措施對內(nèi)部用戶進行訪問控制。利用先進的技術、工具進行網(wǎng)絡系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時彌補，以及建立實時入侵檢測系統(tǒng)，是十分有效的安全防護措施，將能極大提高、完善企業(yè)系統(tǒng)安全?；谝陨系脑?，企業(yè)網(wǎng)絡需要對總部的應用服務器進行操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括Windows NT, Windows 2000,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括Oracle，MS SQL數(shù)據(jù)庫。（2）網(wǎng)絡設備安全管理企業(yè)全公司，網(wǎng)絡設備（路由器、交換機）數(shù)量以數(shù)十甚至數(shù)百計。而VPN技術能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴}，極大的節(jié)約公司的費用，并且使外部非法用戶無法訪問公司內(nèi)部信息；但是，對于公司內(nèi)部用戶，由于VPN所提供的用戶認證機制依然是單一的密碼方式，使我們無法保證目前訪問信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說，還是存在內(nèi)部用戶盜用他人密碼訪問特定的信息資源的安全隱患（可能這些信息資源是他無權瀏覽或更改的），因此，補充更強的身份認證機制對VPN系統(tǒng)應用來說也是非常必要的。為了使系統(tǒng)的認證操作和對非法訪問的攔截更加有效，所有認證的轉發(fā)和認證結果的處理都由防火墻來操作完成，即對所有被認證系統(tǒng)認定為非合法訪問的服務請求，通過防火墻“掐斷”其訪問連接，而不是通過應用系統(tǒng)直接拒絕訪問服務。由此可以看出從網(wǎng)絡用戶電腦（客戶端）到應用系統(tǒng)平臺（服務器端）的結構形式會對網(wǎng)絡設備（尤其防火墻）提出相應的要求；簡單而言，不同的應用模式，對網(wǎng)絡防火墻系統(tǒng)有不同的技術指標要求。B/S結構的應用系統(tǒng)雖然具有管理簡單，客戶端開發(fā)、使用和維護的成本很低的優(yōu)點，但是在網(wǎng)絡上B/S結構應用系統(tǒng)將會給網(wǎng)絡帶來巨大的網(wǎng)絡流動數(shù)據(jù)處理壓力，而且是并發(fā)的。對于通過Internet入口和廣域網(wǎng)入口進入總部企業(yè)內(nèi)部網(wǎng)或分支機構內(nèi)部網(wǎng)的用戶，設置在網(wǎng)絡出入口的防火墻系統(tǒng)不僅可以對訪問者進行能否被允許進入的權限認證，同時可以實現(xiàn)按照企業(yè)資源被訪問權限劃分的訪問路由控制。為了使企業(yè)的網(wǎng)絡安全系統(tǒng)結構簡化、建設成本降低，本建議書在網(wǎng)絡防火墻系統(tǒng)建設目標方面，提出了下表31的功能目標要求。任何一個網(wǎng)絡應用系統(tǒng)在實施和建設階段，在進行應用系統(tǒng)開發(fā)的同時，首先是考慮網(wǎng)絡基礎設施的建設。防火墻系統(tǒng)是在網(wǎng)絡基礎層以上（OSI/ISO網(wǎng)絡結構模型的2至7層）提供主要的安全技術服務手段，如表31所示。l Internet接入結構如下圖41典型的企業(yè)應用所示，總部在Internet出口設立防火墻系統(tǒng)。其詳細特點如下： DES和三級DES：最高等級的加密、解密 SNMP管理方式：通過網(wǎng)絡管理軟件管理 PIXASDM支持Windows 95, 98, NT, 2000系統(tǒng)。圖42 企業(yè)網(wǎng)絡拓撲圖企業(yè)廣域網(wǎng)存在ERP、VoIP、視頻會議等各種高帶寬應用，特別總部是整個企業(yè)網(wǎng)絡的數(shù)據(jù)中心，進出的信息流量龐大，推薦采用兩臺處理性能很強的PIX525防火墻，實現(xiàn)冗余備份（ActiveActive方式）和負載均衡。在總部的物理出入口，可以是對外提供公共服務的出入口與企業(yè)虛擬連接廣域網(wǎng)的接入口為同一個物理接口，即由同一個Internet公網(wǎng)節(jié)點提供連接；也可以是各自獨立的接口，即由不同的公網(wǎng)節(jié)點提供連接服務。雖然在應用邏輯上，VPN和防火墻是兩個獨立的應用系統(tǒng)，但是對于先進的防火墻設備，兩者是合并在同一個物理設備上的，這樣的不僅可以使系統(tǒng)的結構和實施簡單化，而且可以大大地提高系統(tǒng)的應用效率。PIX515的防火墻和VPN應用都能滿足本設計方案提出的系統(tǒng)實現(xiàn)目標要求。 PIX515可作為分支機構的路由網(wǎng)關，實現(xiàn)各子網(wǎng)間的跨網(wǎng)段（非公有的企業(yè)私有網(wǎng)址）訪問，在小型的分支機構LAN內(nèi)無須配備路由和高層交換設備[1]；252。（3）虛擬連接通信加密分部的PIX515和總部的高端防火墻之間，可以建立3倍DES的VPN通道。故推薦企業(yè)對防火墻系統(tǒng)實行統(tǒng)一的管理。我們只能對防火墻產(chǎn)品的幾大方面進行評價。Packet Level Firewall1. NAT 開啟及關閉時的無封包遺失最大輸出性能(noloss max throughput)及封包延遲(latency)。（3）幾種流行防火墻產(chǎn)品的比較附件為獨立的第三方測試機構的評測報告，有的側重于功能比較，有的側重于性能參數(shù)比較，供參考。u ModePIX產(chǎn)品有三種工作模式：Transparent，Route，NAT。防火墻的作用相當于一臺路由器，同時執(zhí)行嚴格策略檢查、攻擊檢測等。應用流量控制，可以防止某些應用或某些用戶無限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。對大四學生來說，更應該重視與珍惜課程設計，因為這是個很好的實踐機會，然后應該深入了解題目，理清思路，通過課程設計培養(yǎng)聯(lián)系實際和解決實際問題