【正文】 流量管理允許網(wǎng)絡(luò)管理員實(shí)時監(jiān)視、分析和分配供各類網(wǎng)絡(luò)流量使用的帶寬，確保在部分用戶使用網(wǎng)絡(luò)時不會損害關(guān)鍵業(yè)務(wù)型流量。 PIX設(shè)備和相應(yīng)的 VLAN交 換網(wǎng)絡(luò)，可以表現(xiàn)為多個具有完全安全特性的防火墻系統(tǒng)。 2. VPN tunnel 的建立過程是否簡單 。分散方式讓各下屬企業(yè)管理各自的防火墻。 虛擬 連接組網(wǎng)建議 在 中，我們建議在企業(yè)所有通過公共 Inter 虛擬連接的分部或商業(yè)合作伙伴，采用 PIX515 防火墻連接接入公網(wǎng)。 （一）總部的接入設(shè)計(jì) 在本章 節(jié)中，已經(jīng)對企業(yè)總部的 Inter 出入口控制防火墻系統(tǒng)進(jìn)行了設(shè)計(jì)，同樣的連接應(yīng)用結(jié)構(gòu)也可以應(yīng)用到通過 Inter 提供虛擬網(wǎng)絡(luò)的接入。 PIX ASDM 是一種在用戶主機(jī)（桌面或筆記本電腦）上運(yùn)行的軟件，簡化了對網(wǎng)絡(luò)、設(shè)備或公共或非信任網(wǎng)絡(luò)中其它主機(jī)的安全 遠(yuǎn)程接入。所以可以說，網(wǎng)絡(luò)安全系統(tǒng)最為關(guān)鍵的組成部分實(shí)際上是利用上述的各種技術(shù)手段，通過對網(wǎng)絡(luò)出入口的控制實(shí)現(xiàn)安全服務(wù)的目的。 防火墻系統(tǒng)作為網(wǎng)絡(luò)出入口的內(nèi)外連接控制和網(wǎng)絡(luò)通信加密 /解密設(shè)施，不僅需要有足夠的數(shù)據(jù)吞吐能力，如網(wǎng)絡(luò)物理接口的帶寬，也需要優(yōu)越的網(wǎng)絡(luò)連接的數(shù)據(jù)處理能力，例如并發(fā)連接數(shù)量和網(wǎng)絡(luò)連接會話處理能力等。 網(wǎng)絡(luò)基礎(chǔ)層安全系統(tǒng)建設(shè)目標(biāo) 網(wǎng)絡(luò)層安全系統(tǒng)通過防火墻系統(tǒng)（帶 VPN 功能）實(shí)現(xiàn)訪問控制、網(wǎng)絡(luò)信息檢查、通信加密、非法入侵檢測和攔截，異常情況告警和審計(jì)幾大功能目標(biāo)。因此，本建議書有必要針對企業(yè)的網(wǎng)絡(luò)應(yīng)用進(jìn)行防火墻系統(tǒng)的要求分析。 對于企業(yè)來說，移動用戶將基本上采用 VPN 的方式對內(nèi)部進(jìn)行訪問，外出的員工可以通過 Inter 渠道的方式進(jìn)入公司內(nèi)部網(wǎng)絡(luò)，獲取所需要信息資源或回送需要提交的信息。這些人為的疏忽或者后門就成了操作系統(tǒng)的安全漏洞。雖然企業(yè)在網(wǎng)絡(luò)實(shí)施和管理上可以強(qiáng)制性地要求企業(yè)內(nèi)部網(wǎng)絡(luò)到 Inter 的接入為統(tǒng)一出入口，但是在網(wǎng)絡(luò)的使用過程中，也許總部和個別管理嚴(yán)格的異地分支機(jī)構(gòu)和部門，可以比較容易地始終如一執(zhí)行這一規(guī)章制度，卻不能完全保證所 有在網(wǎng)上的用戶因?yàn)橐恍﹦e的原因使用了另外的途徑進(jìn)入 Inter，如異地機(jī)構(gòu)的企業(yè)網(wǎng)絡(luò)用戶通企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 11 過向當(dāng)?shù)?ISP 供應(yīng)商購買帳戶使用 PSTN/ISDN/ADSL 撥號上網(wǎng)，這就等于給企業(yè)網(wǎng)絡(luò)為外部 Inter 的使用者提供了一個甚至多個“后門”。從企業(yè)的應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)分析，企業(yè)網(wǎng)絡(luò)層的安全涉及到 Inter 連接安全、廣域網(wǎng)連接安全、應(yīng)用系統(tǒng)內(nèi)部資源網(wǎng)絡(luò)連接安全保護(hù)幾方面的安全問題。 通信平臺，信息網(wǎng)絡(luò)的通信平臺； 網(wǎng)絡(luò)平臺，信息網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)； 系統(tǒng)平臺，信息網(wǎng)絡(luò)的操作系統(tǒng)平臺； 應(yīng)用平臺，信息網(wǎng)絡(luò)各種應(yīng)用的開發(fā)、運(yùn)行平臺； 物理環(huán)境，信息網(wǎng)絡(luò)運(yùn)行的物理環(huán)境及人員管理。 安全建議書的設(shè)計(jì)原則 網(wǎng)絡(luò)安全體系的核心目標(biāo)是實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效控制和管理。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這三個基礎(chǔ)之上。 安全技術(shù)體系的理解及實(shí)踐 貫穿于安全體系的三個方面，各個層次的是安全管理。 Inter 連接安全保 護(hù) 企業(yè)在網(wǎng)絡(luò)應(yīng)用中有三種情況需要進(jìn)行 Inter 連接，即向外大眾用戶提供業(yè)務(wù)和宣傳信息服務(wù)、公司內(nèi)部用戶和外界的電子郵件往來、通過互聯(lián)網(wǎng)在異地進(jìn)行業(yè)務(wù)辦公的移動用戶服務(wù)等。這種“后門”對于別有用心的網(wǎng)絡(luò)黑客來說，是非常有用的，他們可以避開企業(yè)網(wǎng)絡(luò)“門戶”的防火墻系統(tǒng)，通過網(wǎng)絡(luò)的“后門”直接攻擊企業(yè)網(wǎng)絡(luò)的內(nèi)部資源，這也是網(wǎng)絡(luò)黑客最常用的攻擊手段之一；在國外就曾經(jīng)有某個利益集團(tuán)利用這一手法，獲取了某國海關(guān)大量的內(nèi)部資料，利用所掌握的內(nèi)部資料，達(dá) 到其變相走漏海關(guān)關(guān)稅的目的，而且這一手法在被發(fā)現(xiàn)的時候已經(jīng)被有效地利用了相當(dāng)長的時間。還有，安裝在操作系統(tǒng)上的各種應(yīng)用系統(tǒng)形成了一個復(fù)雜的環(huán)境，這些應(yīng)用程序本身設(shè)計(jì)的缺陷也會帶來安全漏洞。而目前從終端上訪問也是采用單一靜態(tài)密碼，從我們前面的分析來看，顯然是不安全的。 網(wǎng)絡(luò)應(yīng) 用系統(tǒng)的現(xiàn)狀及發(fā)展說明 企業(yè)的網(wǎng)絡(luò)應(yīng)用包括了集團(tuán)公司幾乎所有的業(yè)務(wù)活動和管理方面的應(yīng)用，例如 ERP、OA、財務(wù)、網(wǎng)絡(luò)視頻會議應(yīng)用等等。 Inter 及 Extra 進(jìn)出口控制 在國際互聯(lián)網(wǎng)（ Inter）和企業(yè)廣域網(wǎng)（ Extra）的進(jìn)出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網(wǎng)絡(luò)數(shù)據(jù)和被禁止的數(shù)據(jù)源進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。以下的防火墻系統(tǒng)設(shè)計(jì)將根據(jù)這些原則合理的設(shè)計(jì)系統(tǒng)。 本建議書我們采用防火墻來對企業(yè)網(wǎng)絡(luò)的進(jìn)出口進(jìn)行控制，包括 Inter 進(jìn)出口控制和廣域網(wǎng)進(jìn)出口控制。通過采用 IPSec 協(xié)議和第二層通道協(xié)議 [L2TP]，并以證書作為額外的選項(xiàng)，可以實(shí)現(xiàn)安全性。建議使用 的設(shè)計(jì)方案，在此不做重復(fù)的說明。 PIX515 的防火墻和 VPN 應(yīng)用都能滿足本建議書提出的系統(tǒng)實(shí)現(xiàn)目標(biāo)要求。此方式在大型企業(yè)中存在較大的缺點(diǎn)，首先它對各下屬企業(yè)的網(wǎng)絡(luò)管理員要求非常高，相應(yīng)提高了企業(yè)的管理成本；其次，當(dāng)下屬企業(yè)較多時，由于各自制定安全策略，存在安全隱患較大，同時，當(dāng)出現(xiàn)安全問題時，由于沒有實(shí)現(xiàn)統(tǒng)一監(jiān)控，很難判斷問題出現(xiàn)在何處，從而不能及時解決問題。 3. 各家產(chǎn)品可否互通 (互通性測試 ) Security 1. 系統(tǒng)是否有安全漏洞 。優(yōu)點(diǎn)：簡化網(wǎng)絡(luò)結(jié)構(gòu)、降低維護(hù)成本。 PIX專利流量算法可以精確控制帶寬分配：設(shè)置有保障的帶寬和最大帶寬，類似于幀中繼的帶寬管理性能；通過 8 級優(yōu)先級，為流量分配優(yōu)先權(quán)； Diffserv。 三種工作模式下的網(wǎng)絡(luò)環(huán)境示意圖如下： 流量控制功能 PIX 防火墻的技術(shù)核心是 ASIC，可以硬件完成三大功能：防火墻、 VPN、流量管理。虛擬系統(tǒng)與 VLAN標(biāo)記相結(jié)合，把安全域延伸到整個交換網(wǎng)絡(luò)中。 本建議書考慮企業(yè)的網(wǎng)絡(luò)應(yīng)用特點(diǎn)，按照以上介紹的幾方面要素，我們將 從以下幾方面比較評價防火墻產(chǎn)品，如下表： 評價 類別 評價及 比較項(xiàng)目 Management 1. 管理接口是否簡單易用 。 在此防火墻系統(tǒng)的管理上，有分散和集中兩種方式。 PIX防火墻在 VPN應(yīng)用上有出色的性能，例如 PIX515能夠提供 XXXM的VPN吞吐量和 XXX條專用隧道， PIX525能夠提供 XXXMbps VPN處理能力和建立 XXX條隧道。 PIX525 技術(shù)參數(shù) 性能 攻擊檢測 防火墻 VPN 流量控制 系統(tǒng)管理 虛擬系統(tǒng) 工作模式 高可用性 （ HA） 管 理 PIX525 外觀見下圖： 虛擬連接廣域網(wǎng)出入口控制 通過公共互聯(lián)網(wǎng)虛擬連接的企業(yè)網(wǎng)，連接的兩端（總部和分部）由于其承擔(dān)的工作角色和工 作量有比較大的差異，因此，出于實(shí)用和經(jīng)濟(jì)的角度考慮，本方案建議網(wǎng)絡(luò)接入 Inter 的結(jié)構(gòu)采取不同方式和檔次的設(shè)備方案。利用 PIX 防火墻的 VPN 功能，終端工作站安裝 PIX ASDM 軟件或者利用 WIN20xx 操作系統(tǒng)對 VPN 的支持，可以實(shí)現(xiàn)企業(yè)遠(yuǎn)程辦公的安全需求。網(wǎng)絡(luò) 防火墻系統(tǒng)從其設(shè)置的物理位置來說，最恰當(dāng)?shù)奈恢镁褪蔷W(wǎng)絡(luò)物理邊界的出入口。 本建議書設(shè)計(jì)的安全系統(tǒng)首先是滿足企業(yè)現(xiàn)有和可預(yù)見未來幾年內(nèi)的應(yīng)用要求；其次是考慮在投資增加很少的前提下，選擇目前可以提供最先進(jìn)技術(shù)手段的設(shè)備和系統(tǒng)方案；最后要考慮實(shí)現(xiàn)的安全系統(tǒng)面對應(yīng)用要有長遠(yuǎn)發(fā)展的能力。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 16 3 安全系統(tǒng)實(shí)現(xiàn)目標(biāo) 根據(jù)上一章的需求分析，從網(wǎng)絡(luò)安全的技術(shù)手段而言，企業(yè)企業(yè)網(wǎng)的安全系統(tǒng)必須實(shí)現(xiàn)從 Inter 和廣域網(wǎng)進(jìn)入內(nèi)部 資源網(wǎng)絡(luò)的數(shù)據(jù)被有效檢查和過濾、所有對內(nèi)部資源網(wǎng)絡(luò)的訪問可以被有效控制、移動用戶從 Inter 進(jìn)入內(nèi)部網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)操作的通信和通過廣域網(wǎng)進(jìn)入內(nèi)部網(wǎng)的用戶通信必須加密、所有網(wǎng)絡(luò)訪問行為能夠被記錄和審計(jì)、非法訪問被預(yù)警和阻攔（條件允許時實(shí)施）、應(yīng)用系統(tǒng)平臺及數(shù)據(jù)可以被有效備份以抗擊災(zāi)難風(fēng)險、用戶的身份的真實(shí)性認(rèn)證等幾方面的目標(biāo)。如果防火墻選型設(shè)計(jì)的不恰當(dāng)，即使網(wǎng)絡(luò)其他設(shè)備的選型設(shè)計(jì)滿足要求，同樣也會因?yàn)榉阑饓Φ男史恋K網(wǎng)絡(luò)的應(yīng)用，嚴(yán)重的話會導(dǎo)致整個網(wǎng)絡(luò)應(yīng)用建設(shè)的失敗，這已經(jīng)是被事實(shí)證明的。 移動用戶的訪問控制訪問 移動用戶進(jìn)入公司內(nèi)部網(wǎng)絡(luò)可 以通過本地?fù)芴栠B接公司的內(nèi)部網(wǎng)絡(luò)，也可以通過互聯(lián)網(wǎng)的 ISP 接入公司內(nèi)部網(wǎng)。目前運(yùn)行大多數(shù)應(yīng)用的各種操作系統(tǒng)，都是針對可以運(yùn)行多種應(yīng)用來開發(fā)的，其開發(fā)要兼顧到各種應(yīng)用的多個方面，在程序開發(fā)過程中，會出現(xiàn)一些人為的疏忽，以及一些人為設(shè)置的后門等。 其一，類似企業(yè)這種在物理上分布廣泛的網(wǎng)絡(luò)系統(tǒng)，每一個在地理上屬異地的分支機(jī)構(gòu)或部門，甚至同屬于一個地方（如總部）的不同機(jī)構(gòu)和部門，其網(wǎng)絡(luò)應(yīng)用和管理都有相對的獨(dú)立性，因此在網(wǎng)絡(luò)安全管理實(shí)施和執(zhí)行上就很容易產(chǎn)生差異，從而出現(xiàn)網(wǎng)絡(luò)安全漏洞。 網(wǎng)絡(luò)基礎(chǔ)層安全需求分析 網(wǎng)絡(luò)基礎(chǔ)層（在此網(wǎng)絡(luò)基礎(chǔ)層是指網(wǎng)絡(luò)通信鏈路、路由 /交換設(shè)備、網(wǎng)絡(luò)節(jié)點(diǎn)接口設(shè)備 /網(wǎng)卡 —— 包括了 OSI 物理層到傳輸層設(shè)備的集合）作為現(xiàn)代計(jì)算機(jī)信息系統(tǒng)不可缺或的基礎(chǔ)設(shè)施部分，其安全性是每一個用戶最為關(guān)心的問題。 系統(tǒng)單元維 系統(tǒng)單元維（ Z 軸）描述了信息網(wǎng)絡(luò)基礎(chǔ)構(gòu)件的各個成分。 因此，企業(yè)網(wǎng)絡(luò)建立完善的安全系統(tǒng)，其必要 性不言而喻。 在設(shè)計(jì)企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)時，我們將遵循以下原則： 體系化設(shè)計(jì)原則 通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險，從而最大限度地解決可能存在的安全問題。通過技術(shù)手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個協(xié)議層次提供的各種 安全服務(wù)。由此企業(yè)企業(yè)網(wǎng)必須向外“開門”，象所有連接互聯(lián)網(wǎng)的企業(yè)網(wǎng)一樣，企業(yè)網(wǎng)不可避免地存在，遭受到來自外部的惡意攻擊和破壞、各種各樣病毒傳播的可能性。所以在企業(yè)廣域網(wǎng)內(nèi)采取網(wǎng)絡(luò)連接保護(hù)是必須的措施。另外，系統(tǒng)權(quán)限管理的松懈也是造成安全漏洞的重要原因。因此我們必須在移動用戶訪問上增加更加強(qiáng)大的手段對移動用戶進(jìn)行控制管理。 任何一個應(yīng)用系統(tǒng)提供的應(yīng)用，都是依賴于網(wǎng)絡(luò)的各個層次來實(shí)現(xiàn)應(yīng)用信息的處理和傳送，應(yīng)用系統(tǒng)最終是通過向所有的網(wǎng)絡(luò)用戶提供使用來達(dá)到其應(yīng)用的目的。 從互聯(lián)網(wǎng)入口進(jìn)入企業(yè)網(wǎng)的用戶，可以被防火墻有效地進(jìn)行類別劃分，即區(qū)分為通過互聯(lián)網(wǎng)進(jìn)入內(nèi)部網(wǎng)的企業(yè)移動用戶或外部的公共訪問者，對于要求進(jìn)入企業(yè)內(nèi)部網(wǎng)的訪問者進(jìn)行用戶的授權(quán)認(rèn)證，攔截沒有用戶權(quán)限的訪問者試圖進(jìn)入內(nèi)部網(wǎng)。 本建議書將 重點(diǎn)對防火墻系統(tǒng)（包括 VPN 應(yīng)用系統(tǒng)）提出設(shè)計(jì)建議。 Inter 進(jìn)出口控制 綿陽總部是整個企業(yè)的中心最重要網(wǎng)絡(luò)，通過廣域網(wǎng)鏈路連接分布在各地的分部，開展各種業(yè)務(wù)應(yīng)用，并采用專線連接互聯(lián)網(wǎng)獲取有用信息。為了構(gòu)建安全的通信通道，必須把這一軟件與 IPSec 網(wǎng)關(guān)結(jié)合使用（如 PIX 家族安全設(shè)備），或與運(yùn)行 IPSec 兼容軟件的另一臺主機(jī)結(jié)合使用（如 ASDM）。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 25 在總部的物理出入口，可以是對外提供公共服務(wù)的出入口（ 設(shè)計(jì)的）與企業(yè)虛擬連接廣域網(wǎng)的接入口為同一個物理接口，即由同一個 Inter 公網(wǎng)節(jié)點(diǎn)提供連接 ；也可以是各自獨(dú)立的接口，即由不同的公網(wǎng)節(jié)點(diǎn)提供連接服務(wù)。 PIX 不僅具有防火墻和 VPN 的實(shí)用功能，同時提供了在網(wǎng)絡(luò)應(yīng)用上的功能（詳細(xì)參見 PIX 的功能介紹附件），這些功能在小部門的網(wǎng)絡(luò)互聯(lián)（ LAN to LAN）應(yīng)用中非常實(shí)用，它使 PIX 在網(wǎng)絡(luò)互聯(lián)中承擔(dān)了互聯(lián)“網(wǎng)關(guān)”的作用，從而省缺了這些小部門之間的LAN 互聯(lián)時需要配置價格不菲高層交換和路由設(shè)備。集中方式將對所有防火墻實(shí)現(xiàn)集中的管理，集中制定安全策略，這將很好的克服以上缺點(diǎn)。 2． 系統(tǒng)被攻擊時是否會 log 起來 。基于 VLAN的邏輯子接口，除了配合不同的 Vsys通過一個物理接口連接到多個網(wǎng)絡(luò)外，還可以單獨(dú)使用，其表現(xiàn)就像一個獨(dú)立的物理接口一樣具有眾多的可配置特性。 PIX 防火墻對流量的控制是基于 Policy 的。 Vsys 1 Vsys 2 Vsys 3 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 32 NAT方式用在需要 做私有地址到公有地址轉(zhuǎn)換的網(wǎng)絡(luò)環(huán)境中。 PIX 防火墻主要安全解決方案功能介紹： HA HA 高可用性是 PIX 產(chǎn)品的最重要功能之一 4G SW1 2G SW1 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書 31 VSYS PIX允許在一臺物理防火墻中創(chuàng)建多個虛擬防火墻系統(tǒng)，每個虛擬系統(tǒng)擁有獨(dú)立的地址簿、策略和管理等功能。 評價防火墻的一般方法 根據(jù)上節(jié)提到的幾個方面，利用具有代表性的、被大部分產(chǎn)品制造商和用戶認(rèn)同的網(wǎng)絡(luò)環(huán)境對防火墻產(chǎn)品進(jìn)行客觀測試，其結(jié)果基本上可以反映產(chǎn)品的優(yōu)劣真實(shí)情況。這個分散的防火墻系統(tǒng)的設(shè)置和管理就顯得非常重要，因?yàn)樗骋惶幍穆┩瑢⒂绊懻麄€企業(yè) Intra 的安全性。企業(yè)可直接通過總部 PIX高端防火墻和各分部的中端 PIX（建議采用 PIX515）防火墻，在總部與各分部之間建立起 VPN通道，加密廣