【正文】 為企業(yè)提出的“網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案”，只針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全系統(tǒng)向企業(yè)提交網(wǎng)絡(luò)安全的設(shè)計及設(shè)計實施方案，沒有涉及其他部分的內(nèi)容，如“數(shù)據(jù)安全系統(tǒng)”等。安全需要付出代價（資金、性能損失等），但是任何單純?yōu)榱税踩豢紤]代價的安全建議書都是不切實際的。（2）構(gòu)建安全系統(tǒng)的基本目標(biāo)在上述的三維結(jié)構(gòu)的安全體系中，安全服務(wù)維是向網(wǎng)絡(luò)系統(tǒng)的各個部分和每一個層次，提供安全保證的各種技術(shù)手段和措施。因此企業(yè)的網(wǎng)絡(luò)系統(tǒng)從其結(jié)構(gòu)而言是一個在物理上廣域連接的企業(yè)網(wǎng)絡(luò)系統(tǒng)，企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)必須考慮兩方面的安全措施：l 網(wǎng)絡(luò)通信加密（VPN應(yīng)用）廣域網(wǎng)絡(luò)通信連接將通過第三方鏈路進(jìn)行。能夠有效地?fù)?dān)負(fù)這一保護(hù)作用角色的是性能和功能強大的防火墻系統(tǒng)。應(yīng)用層安全主要是對應(yīng)用資源的有效性進(jìn)行控制，管理和控制什么用戶對資源具有什么權(quán)限。在員工進(jìn)入ERP系統(tǒng)時需要輸入用戶名稱和密碼，同樣的原因，單一靜態(tài)密碼的不安全性使得我們有必要在ERP系統(tǒng)上采用強的認(rèn)證機(jī)制，保證不同權(quán)限的、不同級別的用戶安全合法的使用ERP系統(tǒng)?，F(xiàn)在正在進(jìn)行的已有應(yīng)用系統(tǒng)升級開發(fā)將使應(yīng)用系統(tǒng)從C/S結(jié)構(gòu)向B/S結(jié)構(gòu)遷移；新增加的應(yīng)用系統(tǒng)開發(fā)，也是集中式的B/S結(jié)構(gòu)。（2）VPN應(yīng)用VPN應(yīng)用是為網(wǎng)絡(luò)通信提供有效的信息加密手段。這也是我們設(shè)計企業(yè)網(wǎng)絡(luò)安全系統(tǒng)第一階段需要完成的系統(tǒng)建設(shè)部分。每臺防火墻均提供4個網(wǎng)絡(luò)接口，分別連接Internet，中立區(qū)和內(nèi)部網(wǎng)絡(luò)兩臺中心交換機(jī)。 負(fù)載平衡能力：管理服務(wù)器群( Server Farms) 分散的企業(yè)給網(wǎng)絡(luò)安全管理造成了一定的難度，而且企業(yè)內(nèi)部攻擊的成功可能性遠(yuǎn)大于外部攻擊，造成的危害更嚴(yán)重，因此全方位的網(wǎng)絡(luò)保護(hù)是不僅防外，還應(yīng)防內(nèi)[3]。后者的模式是再增加一個結(jié)構(gòu)與前面設(shè)計相同的公網(wǎng)接入物理接口，與前者同樣的理由，向企業(yè)各分部或商業(yè)合作伙伴提供虛擬連接的出入口，其控制防火墻也需要配置功能強大和性能優(yōu)異的設(shè)備，應(yīng)選擇檔次為PIX515以上的防火墻產(chǎn)品，如PIX515或PIX525，PIX535[1]。這是PIX在本方案安全應(yīng)用中非常有用的意外增值。企業(yè)具有多個地理上分散的下屬企業(yè)，為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性，在前面的章節(jié)中我們建議總部及各分部建立相應(yīng)的防火墻系統(tǒng)。（2）評價防火墻的一般方法根據(jù)上節(jié)提到的幾個方面，利用具有代表性的、被大部分產(chǎn)品制造商和用戶認(rèn)同的網(wǎng)絡(luò)環(huán)境對防火墻產(chǎn)品進(jìn)行客觀測試，其結(jié)果基本上可以反映產(chǎn)品的優(yōu)劣真實情況。PIX防火墻主要安全解決方案功能介紹：u HAHA高可用性是PIX產(chǎn)品的最重要功能之一u VSYSPIX允許在一臺物理防火墻中創(chuàng)建多個虛擬防火墻系統(tǒng)，每個虛擬系統(tǒng)擁有獨立的地址簿、策略和管理等功能。NAT方式用在需要做私有地址到公有地址轉(zhuǎn)換的網(wǎng)絡(luò)環(huán)境中。此外對網(wǎng)絡(luò)安全系統(tǒng)的防火墻系統(tǒng)設(shè)計管理及VPN設(shè)計也有了深入的了解，通過這次課程設(shè)計提高了我解決問題的能力，鞏固了我網(wǎng)絡(luò)專業(yè)的知識,再一次體會到課程設(shè)計所需的耐性和認(rèn)真!也認(rèn)識到計算機(jī)網(wǎng)絡(luò)工程并非是對書本知識的生搬硬套，它需要以書本知識為基礎(chǔ)再加以拓展和延伸，靈活運用最為重要! 這次計算機(jī)網(wǎng)絡(luò)工程課程設(shè)計歷時兩個星期，在這些日子里，我學(xué)到很多很多的的東西，同時不僅可以鞏固了以前所學(xué)過的知識，而且學(xué)到了很多在書本上所沒有學(xué)到過的知識。Route模式下支持VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門或不同的應(yīng)用；同時支持VSYS，可以把PIX防火墻虛擬成多個邏輯防火墻供不同的部門或不同的應(yīng)用使用Route模式下PIX防火墻可以支持ActivePassive的HA以及FullMeshed ActiveActive HA，從高可用性和性能的角度來綜合考慮，建議采用FullMeshed ActiveActive HA方案PIX515/525/535 支持ActivePassive HA； 5結(jié)束語課程設(shè)計目的在于開闊眼界，把課本知識付諸實際實踐，給予學(xué)生處理實際問題的機(jī)會，而不應(yīng)該只是一味地從網(wǎng)上搜索，這種快餐式文化，顯然是與課程設(shè)計的目的背道而馳的。Route方式能夠在無須地址轉(zhuǎn)換的網(wǎng)絡(luò)之間插入防火墻。VPN1． 建立1 個LANtoLAN tunnel 時的無封包遺失最大輸出性能及封包延遲 。（1）評價防火墻產(chǎn)品的基本要素只有清楚如何評價防火墻產(chǎn)品優(yōu)劣的方法，或者了解評價一個防火墻產(chǎn)品的基本要素，在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計中，才能作出一個最合適的選型設(shè)計。 如果在總部配置一臺NS1000的高性能防火墻，異地分支機(jī)構(gòu)配備一臺PIX515，就可以實現(xiàn)所有分支機(jī)構(gòu)和總部的實時聯(lián)網(wǎng)，所有分支機(jī)構(gòu)的員工就象在總部辦公一樣，這對總部對分支機(jī)構(gòu)的管理將是一個極大的飛躍。PIX防火墻在VPN應(yīng)用上有出色的性能，例如PIX515能夠提供XXXM的VPN吞吐量和XXX條專用隧道，PIX525能夠提供XXXMbps VPN處理能力和建立XXX條隧道。l 總部的接入設(shè)計前面已經(jīng)對企業(yè)總部的Internet出入口控制防火墻系統(tǒng)進(jìn)行了設(shè)計，同樣的連接應(yīng)用結(jié)構(gòu)也可以應(yīng)用到通過Internet提供虛擬網(wǎng)絡(luò)的接入。通過采用IPSec協(xié)議和第二層通道協(xié)議[L2TP]，并以證書作為額外的選項，可以實現(xiàn)安全性。 符合IPSec：可與其他廠家的設(shè)備交互操作 （1）Internet進(jìn)出口控制綿陽總部是整個企業(yè)的中心最重要網(wǎng)絡(luò)，通過廣域網(wǎng)鏈路連接分布在各地的分部，開展各種業(yè)務(wù)應(yīng)用，并采用專線連接互聯(lián)網(wǎng)獲取有用信息。以下的防火墻系統(tǒng)設(shè)計將根據(jù)這些原則合理的設(shè)計系統(tǒng)。（1）Internet及Extranet進(jìn)出口控制在國際互聯(lián)網(wǎng)（Internet）和企業(yè)廣域網(wǎng)（Extranet）的進(jìn)出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網(wǎng)絡(luò)數(shù)據(jù)和被禁止的數(shù)據(jù)源進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。（1）網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀及發(fā)展說明企業(yè)的網(wǎng)絡(luò)應(yīng)用包括了集團(tuán)公司幾乎所有的業(yè)務(wù)活動和管理方面的應(yīng)用，例如ERP、OA、財務(wù)、網(wǎng)絡(luò)視頻會議應(yīng)用等等。因此我們必須在移動用戶訪問上增加更加強大的手段對移動用戶進(jìn)行控制管理。另外，系統(tǒng)權(quán)限管理的松懈也是造成安全漏洞的重要原因。所以在企業(yè)廣域網(wǎng)內(nèi)采取網(wǎng)絡(luò)連接保護(hù)是必須的措施。由此企業(yè)企業(yè)網(wǎng)必須向外“開門”，象所有連接互聯(lián)網(wǎng)的企業(yè)網(wǎng)一樣，企業(yè)網(wǎng)不可避免地存在，遭受到來自外部的惡意攻擊和破壞、各種各樣病毒傳播的可能性。通過技術(shù)手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個協(xié)議層次提供的各種安全服務(wù)。在設(shè)計企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)時，我們將遵循以下原則：l 體系化設(shè)計原則通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險，從而最大限度地解決可能存在的安全問題。因此，企業(yè)網(wǎng)絡(luò)建立完善的安全系統(tǒng)，其必要性不言而喻。（3）系統(tǒng)單元系統(tǒng)單元（Z軸）描述了信息網(wǎng)絡(luò)基礎(chǔ)構(gòu)件的各個成分。網(wǎng)絡(luò)基礎(chǔ)層（在此網(wǎng)絡(luò)基礎(chǔ)層是指網(wǎng)絡(luò)通信鏈路、路由/交換設(shè)備、網(wǎng)絡(luò)節(jié)點接口設(shè)備/網(wǎng)卡——包括了OSI物理層到傳輸層設(shè)備的集合）作為現(xiàn)代計算機(jī)信息系統(tǒng)不可缺或的基礎(chǔ)設(shè)施部分，其安全性是每一個用戶最為關(guān)心的問題。其一，類似企業(yè)這種在物理上分布廣泛的網(wǎng)絡(luò)系統(tǒng)，每一個在地理上屬異地的分支機(jī)構(gòu)或部門，甚至同屬于一個地方（如總部）的不同機(jī)構(gòu)和部門，其網(wǎng)絡(luò)應(yīng)用和管理都有相對的獨立性，因此在網(wǎng)絡(luò)安全管理實施和執(zhí)行上就很容易產(chǎn)生差異，從而出現(xiàn)網(wǎng)絡(luò)安全漏洞。目前運行大多數(shù)應(yīng)用的各種操作系統(tǒng)，都是針對可以運行多種應(yīng)用來開發(fā)的，其開發(fā)要兼顧到各種應(yīng)用的多個方面，在程序開發(fā)過程中，會出現(xiàn)一些人為的疏忽，以及一些人為設(shè)置的后門等。（3）移動用戶的訪問控制訪問移動用戶進(jìn)入公司內(nèi)部網(wǎng)絡(luò)可以通過本地?fù)芴栠B接公司的內(nèi)部網(wǎng)絡(luò)，也可以通過互聯(lián)網(wǎng)的ISP接入公司內(nèi)部網(wǎng)[6]。防火墻作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分，和其他網(wǎng)絡(luò)設(shè)備一樣，其性能目標(biāo)應(yīng)該按照網(wǎng)絡(luò)系統(tǒng)的應(yīng)用要求進(jìn)行選型設(shè)計。通過對各類防火墻的比較分析，我們認(rèn)為目前面向B/S結(jié)構(gòu)應(yīng)用的防火墻設(shè)備，硬件防火墻是最為明智的選擇。4 網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計基于以上的規(guī)劃和分析，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的，應(yīng)分兩個步驟（兩期）分別實現(xiàn)以下各個安全子系統(tǒng)：防火墻系統(tǒng)VPN系統(tǒng)動態(tài)認(rèn)證系統(tǒng)實用、先進(jìn)、可發(fā)展是安全系統(tǒng)設(shè)計的基本原則。網(wǎng)絡(luò)防火墻系統(tǒng)從其設(shè)置的物理位置來說，最恰當(dāng)?shù)奈恢镁褪蔷W(wǎng)絡(luò)物理邊界的出入口。 動態(tài)訪問過濾(Dynamic Filter) ：自適應(yīng)網(wǎng)絡(luò)服務(wù)保護(hù) 為允許合法用戶訪問公司網(wǎng)絡(luò)，同時確保通過Internet進(jìn)行的業(yè)務(wù)應(yīng)用的安全性，我們建議采取VPN通訊方式。PIX525擁有XXXM線速處理能力，XXXM的3DES VPN流量，強健的攻擊防范功能。（1）廣域網(wǎng)鏈路加密企業(yè)公司總部與各地分部之間的網(wǎng)絡(luò)向ERP、視頻會議、VoIP等多種業(yè)務(wù)應(yīng)用提供傳輸服務(wù)支持，大量的業(yè)務(wù)數(shù)據(jù)通過廣域網(wǎng)傳輸，需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃裕槐煌德牳`取和惡意篡改。 PIX515提供網(wǎng)絡(luò)連接的流量管理，即在公網(wǎng)的傳輸效率保證的前提下，PIX515提供基于策略的最小帶寬保證、帶寬限制、優(yōu)先級帶寬使用等管理功能；252。正如前面所提到的，企業(yè)的網(wǎng)絡(luò)應(yīng)用模式在近期的一兩年后會最終全部過渡到B/S的應(yīng)用結(jié)構(gòu)模式，而且除了各類業(yè)務(wù)應(yīng)用外，在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中還將存在音視頻的實時應(yīng)用。2. 10 及100 條URL entries 時的最大連結(jié)(connection)數(shù)、輸出性能以及交易延遲(transaction latency)。在這種方式下，防火墻將相同子網(wǎng)的網(wǎng)段橋接起來。Transparent模式下不支持對VSYS的支持，但支持VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門或不同的應(yīng)用Transparent模式下PIX防火墻可以支持ActivePassive的HAPIX515PIX525PIX535216。為了完成課程設(shè)計，而且解決企業(yè)網(wǎng)絡(luò)安全系統(tǒng)需求分析及設(shè)計的資料比較少，我花費了很多的時間去看相關(guān)書籍，查找了很多網(wǎng)頁。PIX專利流量算法可以精確控制帶寬分配：設(shè)置有保障的帶寬和最大帶寬，類似于幀中繼的帶寬管理性能；通過8級優(yōu)先級，為流量分配優(yōu)先權(quán)；Diffserv。優(yōu)點：簡化網(wǎng)絡(luò)結(jié)構(gòu)、降低維護(hù)成本。3. 各家產(chǎn)品可否互通(互通性測試)Security1. 系統(tǒng)是否有安全漏洞 。分散方式讓各下屬企業(yè)管理各自的防火墻。以上的各種聯(lián)網(wǎng)方