【正文】 域網(wǎng)傳輸?shù)臄?shù)據(jù)。 PIX525 特別適合帶寬要求高的企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 24 大型企業(yè)環(huán)境 。為允許合法用戶訪問公司網(wǎng)絡，同時確保通過 Inter 進行的業(yè)務應用的安全性，我們建議采取 VPN 通訊方式。） 在網(wǎng)絡邊界設置進出口控制，可以防御外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡安全的第一道關卡，其重要性不言而喻。 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 18 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 19 4 網(wǎng)絡安全系統(tǒng)的實施建議 基于以上的規(guī)劃和分析，我們建議企業(yè)網(wǎng)絡安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的，分兩個步驟（兩期）分別實現(xiàn)以下各個安全子系統(tǒng)： 防火墻系統(tǒng) VPN 系統(tǒng) 動態(tài)認證系統(tǒng) 系統(tǒng)設計的基本原 則 實用、先進、可發(fā)展是安全系統(tǒng)設計的基本原則。 通過對各類防火墻的比較分析，我們認為目前面向 B/S 結構應用的防火墻設備，硬件防火墻是最為明智的選擇。防火墻作為網(wǎng)絡基礎設施的一部分，和其他網(wǎng)絡設備一樣，其性能目標應該按照網(wǎng)絡系統(tǒng)的應用要求進行選型設計。因此對登錄網(wǎng)絡設備的人員進行強的身份認證是完全必要的。 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 12 系統(tǒng)安全需求分析 各種操作系統(tǒng)是應用運行的基礎，應用系統(tǒng)的安全性，在相當大的程度之上受到操作系統(tǒng)安全性的影響。我們認為在企業(yè) 廣域連接的網(wǎng)絡系統(tǒng)內有必要引入防火墻的應用，原因如下兩方面。本章將根據(jù)企業(yè)網(wǎng)絡系統(tǒng)的結構及應用，詳細分析企業(yè)網(wǎng)絡系統(tǒng)的安全需求。與 TCP/IP 層次對應，可以把會話層、表示、應用層統(tǒng)一為“應用層”。對 于大多數(shù)網(wǎng)絡黑客來說，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡系統(tǒng)，具有證明 和炫耀其“能耐”的價值，盡管這種行為的初衷也許并不具有惡意的 目的；竊取企業(yè)的網(wǎng)絡數(shù)據(jù)，甚至破壞其網(wǎng)絡 系統(tǒng)，更加具有現(xiàn)實和長遠的商業(yè)價值。 全局性、均衡性、綜合性設計原則 安全建議書將從企業(yè)網(wǎng)絡整體建設角度出發(fā)，提供一個具有相當高度、可擴展性強的安全解決方案；從企業(yè)的實際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。 安全體系的理解 在圖 11 的安全體系分析模型中，完整地將網(wǎng)絡安全系統(tǒng)的全部內容進行了科學和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡安全系統(tǒng)所使用的技術、服務的對象和涉及的范圍（即網(wǎng)絡層次）。因此，在 Inter 出入口連接點，必須采取措施進行保護 —— 布置防火墻系統(tǒng)，對集團總部的 Inter 出入口實施有效的控制，包括進出的數(shù)據(jù)檢查和資源訪問的控制。 其二，內部網(wǎng)絡連接安全保護。此外，任 何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進行系統(tǒng)的破壞。 VPN 上的認證 在網(wǎng)絡系統(tǒng)將配置 VPN 系統(tǒng)，遠程移動用戶可以通過撥號連接本地 ISP，用 VPN Client 建立安全通道訪 問公司信息資源。由此可以看出從網(wǎng)絡用戶電腦（客戶端）到應用系統(tǒng)平臺（服務器端）的結構形式會對網(wǎng)絡設備（尤其防火墻）提出相應的要求；簡單而言，不同的應用模式，對網(wǎng)絡防火墻系統(tǒng)有不同的技術指標要求。 對于通過 Inter 入口和廣域網(wǎng)入口進入總部企業(yè)內部網(wǎng)或分支機構內部網(wǎng)的用戶，設置在網(wǎng)絡出入口的防火 墻系統(tǒng)不僅可以對訪問者進行能否被允許進入的權限認證，同時可以實現(xiàn)按照企業(yè)資源被訪問權限劃分的訪問路由控制。 安全系統(tǒng)實施步驟建議 任何一個網(wǎng)絡應用系統(tǒng)在實施和建設階段，在進行應用系統(tǒng)開發(fā)的同時，首先是考慮網(wǎng)絡基礎設施的建設。從安全和管理角度考慮，建議只在總部設立一個 Inter 出口，各 地分部統(tǒng)一通過總部訪問互聯(lián)網(wǎng)。 PIXASDM 支持 Windows 95, 98, NT, 20xx 系統(tǒng)。前者需要將總部的公網(wǎng)出入口控制防火墻的檔次提高（至少選擇 PIX515 以上的檔次），這是由于通過這種虛擬連接方式接入企業(yè)各地分部或商業(yè)合作伙伴有近千家，只有配置更高檔的防火墻才能滿足系統(tǒng)應用的性能要求，如同時支持的 VPN 通道數(shù)量、會話處理能力、網(wǎng)絡接口帶寬等等。這是 PIX 在本方案安全應用中非常有用的意外增值。 我們推薦 企業(yè)對防火墻系統(tǒng)實行統(tǒng)一的管理。 3． 攻擊 DMZ 內主機時，系統(tǒng)是否會將攻擊型態(tài) log 起來，甚至替 DMZ 內主機阻擋攻擊 。防火墻系統(tǒng)會識別帶由 tag的幀，并轉換成正常的以太幀進行防火檢測、路由、策略等基本操作。因為防火墻對 Policy 的控制可以根據(jù)源地址、目標地址、源端口、目標端口、以及時間段等多種相當靈活的因素，因此對流量的控制也是高度靈活的。 Route方式下可以同時實現(xiàn) NAT功能。 結論： 從我們對防火墻產(chǎn)品的認識，以及參考第三方的測試結果來看，在設計企業(yè)網(wǎng)絡安全方案時，選擇 PIX 的防火墻是目前最佳的選擇。 對防火墻產(chǎn)品的評價一般是從安全性（側重功能方面）、技術性能指標、管理的方便性等幾方面綜合評價。 防火墻系統(tǒng)集中管理 企業(yè)具有多個地理上分散的下屬企業(yè)，為了保證企業(yè)內部網(wǎng)絡的安全性，在前面的章節(jié)中我們建議總部及各分部建立相應的防火墻系統(tǒng)。 在前面廣域網(wǎng)進出口控制一節(jié)的方案中， PIX產(chǎn)品集防火墻、 VPN功能于一體，它企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 26 可以充當 VPN網(wǎng)關而無需增加任何組件。 PIX525 擁有 XXXM 線速處理能力， XXXM 的 3DES VPN 流量，強健的攻擊防范功能。 企業(yè)的 Inter 應用除了瀏覽互聯(lián)網(wǎng)和 WWW 發(fā)布外，外出員工對公司的訪問也將通過 Inter 進行。 （注：在以下的防火墻系統(tǒng)設計建議中，除特別進行說明的功能或技術手段不能滿足設計要求以外，本建議書所有設計選擇的產(chǎn)品都是全部滿足表 2 和第三章提出的系統(tǒng)目標之要求，在本方案文檔中將不再進行所有功能的詳細技術實現(xiàn)說明。 對于重要的主機系統(tǒng)和應用系統(tǒng)、網(wǎng)絡設備管理系統(tǒng)，在原有的靜態(tài)密碼認證管理的基礎上，增加動態(tài)密碼認證管理系統(tǒng)，通過 動態(tài)的密碼方式實時不間斷地驗證所有訪問這些系統(tǒng)用戶的真實身份。 由此可見，在設計企業(yè)防火墻系統(tǒng)時，足夠大的 TCP 會話處理能力，是我們選擇防火墻（包括 VPN）產(chǎn)品考慮的主要因素。這是防火墻系統(tǒng)設計時必須考慮的可實現(xiàn)功能之一 應用對安全系統(tǒng)的要求分析 任何一個完整的網(wǎng)絡安全系統(tǒng)，從其功能和物理層次來看，它將分別是網(wǎng)絡基礎設施和網(wǎng)絡應用系統(tǒng)的組成部分。公司所有的業(yè)企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 13 務系統(tǒng)都是建立在網(wǎng)絡設備基礎之上的，保證網(wǎng)絡設備的安全是保證系統(tǒng)正常運行的首要條件；而保護網(wǎng)絡設備的安全，通常考慮的最多的是設備的冗余，而網(wǎng)絡設備的配置保護卻不被重視，其實，當某一個人登錄了網(wǎng)絡設備（路由器、防火墻、 VPN 設備等），將配置進行了更改，為以后非法的登錄建立通道，對整個系統(tǒng)來說，所有的安全設施就形同虛設。在條件允許的情況下，我們建議企業(yè)企業(yè)網(wǎng)增加網(wǎng)絡漏 洞掃描和入侵檢測系統(tǒng)。在這種復雜的網(wǎng)絡環(huán)境中實現(xiàn)對各類網(wǎng)絡資源的有效保護和管理，僅僅利用現(xiàn)有的網(wǎng)絡來完成，顯然是做不到的。 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 9 2 應用需求分析 企業(yè)網(wǎng)絡結構將會包括企業(yè)內部網(wǎng)絡 Intra 和企業(yè)互聯(lián)網(wǎng)絡 Extra，同時網(wǎng)絡連接 Inter，滿足互聯(lián) 網(wǎng)訪問、 WWW 發(fā)布、外部移動用戶應用等需求。 協(xié)議層次維 協(xié)議層次維（ Y 軸）由 ISO/OSI 參考模型的七層構成。 企業(yè)的網(wǎng)絡同樣存在安全方面的風險問題。本建議書將考慮到各種安全措施的使用。對于上圖的理解，不妨簡單說明如下： 安全服務維是網(wǎng)絡安全系統(tǒng)所提供可實現(xiàn)的全部技術手段； 網(wǎng)絡協(xié)議維是網(wǎng)絡安全系統(tǒng)應該將所采納之安全技術手段實施的范圍； 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 7 系統(tǒng)單元維是網(wǎng)絡安全系統(tǒng)應該提供安全保護的對象。另外，僅僅設置 1 臺防火墻 ，容易出現(xiàn)單點故障，為了保證網(wǎng)絡對外的 7X24 小時不間斷服務，還必須考慮網(wǎng)絡安全設備的冗余配置。企業(yè)企業(yè)網(wǎng)內部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應用被不同的對象使用，有許多信息系統(tǒng)會根據(jù)應用目的進行分類獨立使用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡上需要有比較好的手段對內部用戶進行信息資源訪問的控制；另一方面，來自于企業(yè)內部的攻擊不容忽視，其成功的可能性要遠遠大于來自于 Inter 的攻擊，而且內 部攻擊的目標主要是獲取企業(yè)的機密信息，這就更需要有措施對內部用戶進行訪問控制。 基于以上的原因，企業(yè)網(wǎng)絡需要對總部的 應用服務器進行操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括 Windows NT, Windows 20xx,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括 Oracle，MS SQL 數(shù)據(jù)庫。 而 VPN 技術能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴}，極大的節(jié)約公司的費用，并且使外部非法用戶無法訪問公司內部信息；但是，對于公司內部用戶，由于 VPN 所提供的用戶認證機制依然是單一的密碼方式，使我們無法保證目前訪問信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說，還是存在內部用戶盜用他人密碼訪問特定的信息資源的安全隱患（可能這些信息資源是他無權瀏覽或更改的），因此，補充更強的身份認證機制對 VPN 系統(tǒng)應用來說也是非常必要的。 企業(yè)網(wǎng)絡目前的應用系統(tǒng)結構是 C/S 和 B/S 兩種應用結構 的混合形式，主要的業(yè)務企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 15 應用系統(tǒng)現(xiàn)在是分布式的 C/S 結構。對于內部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實現(xiàn)，企業(yè)各類資源的應用系統(tǒng)在邏輯上進行子網(wǎng)系統(tǒng)的劃分，即在技術上提供可以獨立選擇安全策略的虛擬系統(tǒng)劃分。防火墻系統(tǒng)和 VPN 應用系統(tǒng)作為現(xiàn)代網(wǎng)絡系統(tǒng)基礎設施的重要部分，毫無疑問也是我們建設網(wǎng)絡安全系統(tǒng)首先需要構架的系統(tǒng)。 （一） Inter 接入結構 如下圖典型的企業(yè)應用所示，總部在 Inter 出口設立防火墻系統(tǒng)。 廣域網(wǎng)進出口控制 企業(yè)具有多個地理上分散的分部，各分部和總部之間租用電信專線互聯(lián)，形成以總部為中心的集團廣域網(wǎng)。后者的模式是再增加一個結構與 設計相同的公網(wǎng)接入物理接口，與前者同樣的理由，向企業(yè)各分部或商業(yè)合作伙伴提供虛擬連接的出入口，其控制防火墻也需要配置功能強大和性能優(yōu)異的設備，建議選擇檔次為 PIX515 以上的防火墻產(chǎn)品，如PIX515 或 PIX525， PIX535。在此，我們針對 PIX 的其他應用作如下說明： 一、組網(wǎng)條件及設備 1． 企業(yè)異地小機構的網(wǎng)絡或單機電腦可以通過接入 Inter，獲得靜態(tài)或動態(tài)的公有或私有 IP 地址；企業(yè)總部有對外的固定的公共互聯(lián)網(wǎng) IP； 2． 作為建立連接的公網(wǎng) IP 的防火墻需要使用 PIX 高端的產(chǎn)品作為中心控制設備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設備）； 3． 連接分支端的網(wǎng)絡設備選用 PIX515 產(chǎn)品； 二、組網(wǎng)原理及聯(lián)網(wǎng)功能 組網(wǎng)原理如下圖： 企業(yè)網(wǎng)絡安全系統(tǒng)設計建議書 27 上圖中，所 有接入互聯(lián)網(wǎng)的 PIX515（公網(wǎng) IP 地址或私網(wǎng) IP 地址），通過總部的防火墻 PIX535 系列（公網(wǎng) IP）建立以下幾種網(wǎng)絡連接（ LANtoLAN）： （ 1） 所有分支機構 LAN 與總部 LAN 之間的加密、認證（ VPN）連接（如附圖中的黑色實線）； （ 2） 所有通過 5XP 連接的 LAN 互相可以建立通過中心防火墻路由的 LAN 加密虛擬連接，即 Hubamp。 防火墻選型設計說明 在企業(yè)網(wǎng)絡安全系統(tǒng)中，作為當今網(wǎng)絡基礎設施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。 Packet Level Firewall 1. NAT 開啟及關閉時的無封包遺失最大輸出性能 (noloss max throughput)及封包延遲 (latency)。 Mode PIX產(chǎn)品有三種工作模式： Transparent， Route， NAT。 應用流量控制，可以防止某些應用或某些用戶無限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。防火墻的作用相當于一臺路由器，同時執(zhí)行嚴格策略檢查、攻擊檢測等。 幾種流行防火墻產(chǎn)品的比較 附件為獨立的 第三方測試機構的評測報告，有的側重于功能比較，有的側重于性能參數(shù)比較，供參考。我們只能對防火墻產(chǎn)品的幾大方面進行評價。 VPN通道可實現(xiàn)網(wǎng)絡通信數(shù)據(jù)的加密和認證，并且提供保證數(shù)據(jù)完整性的技術手段。 廣域網(wǎng)鏈路加密 企業(yè)公司總部與各地分部之間的網(wǎng)絡向 ERP、視頻會議、 VoIP 等多種業(yè)務應用提供傳輸服務支持，大量的業(yè)務數(shù)據(jù) 通過廣域網(wǎng)傳輸，需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃裕槐?偷聽 竊取 和 惡意篡改 。 PIX525 是一個高性能、高度可靠、高度冗余的平臺。其詳細特點如下： ? 提供了防火墻的全部安全功能（如防止拒絕服務攻擊， Java/ActiveX/Zip 過濾，防 IP 地址欺騙??） 并結合了包過濾、鏈路過濾和應用代