【文章內(nèi)容簡介】 reen100高速處理能力的保障下，VPN可使公司安全地進(jìn)行遠(yuǎn)程數(shù)據(jù)復(fù)制與拷貝，以及對遠(yuǎn)端服務(wù)器的配置與管理。如果您的企業(yè)需要通過互聯(lián)網(wǎng)與諸如供貨商，商業(yè)伙伴，分支機(jī)構(gòu)進(jìn)行端到端信息交換，Netscreen100的VPN功能將是您最安全可靠和經(jīng)濟(jì)有效的工具。由于VPN使用公網(wǎng)傳輸，節(jié)省了昂貴的租用專線費(fèi)用，極大地降低了企業(yè)網(wǎng)絡(luò)為通訊安全進(jìn)行的投資。3．8 NetScreen 網(wǎng)絡(luò)安全主要產(chǎn)品簡介3．8．1 NetScreen10NetScreen10是一臺集成防火墻、VPN、NAT、流量管理等功能于一體的Internet安全設(shè)備。具有以太網(wǎng)線速的處理性能，為中小型企業(yè)、分公司提供安全及高性能的Internet 連接。易于安裝和配置，通過Web瀏覽器、CLI(命令行)管理或通過NetScreen Global Manager軟件進(jìn)行集中管理。NetScreen10對性能和易用性進(jìn)行專門優(yōu)化，各種商業(yè)環(huán)境。性能參數(shù)性能高達(dá)10Mbps先進(jìn)的防火墻策略和VPN加（IPSec）100個并發(fā)VPN通道符合IPSec標(biāo)準(zhǔn)(可與其他廠商設(shè)備互連)DES (56位)和三倍DES加密級別符合IKE密鑰管理協(xié)議(ISAKMP),認(rèn)證:MD5,SHA1認(rèn)證 防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）透明模式(無需改變現(xiàn)有的網(wǎng)絡(luò)設(shè)置)狀態(tài)檢測，實(shí)時報警和日志通過ICSA認(rèn)證、Web、Radius和SecureID認(rèn)證URL地址的限定4000并發(fā)會話連接數(shù)、4000條安全策略 便捷管理基于Web瀏覽器的配置或通過CLI（命令行接口）或者通過Netscreen Global Manager集中管理，確保網(wǎng)絡(luò)最大帶寬，或按優(yōu)先級設(shè)置不同的帶寬。支持的協(xié)議ARP，TCP/IP，UDP，ICMP，HTTP，RADIUS，IPSec（IPESP），MD5，SHA1，三倍DES，IKE（ISAKMP），TFTP（客戶端）SNMP 接口三個10BaseT以太網(wǎng)端口：（信任端口、非信任端口、DMZ），RS232診斷端口，PCMCIA插槽 軟件升級Web瀏覽器，TFTP服務(wù)器 電源通電電源，100240VAC（自適應(yīng)），功率消耗30W 安全認(rèn)證UL，F(xiàn)CC，CE，DUL，ICSA 圖二、NetScreen10的應(yīng)用環(huán)境視圖3．8．2 NetScreen100NetScreen100是一個專門為網(wǎng)絡(luò)安全方面設(shè)計的Internet安全設(shè)備，它為電子商務(wù)站點(diǎn)、ASP/ISP 數(shù)據(jù)中心和企業(yè)中心站點(diǎn)、網(wǎng)絡(luò)銀行等提供專門優(yōu)化的防火墻、VPN流量控制（帶寬監(jiān)控）功能NetScreen100包括了一個專門設(shè)計的ASIC以加速加密工程和防火墻功能，一個高性能的多總線結(jié)構(gòu)，內(nèi)（錢？？？）嵌高速RISCCPU和專用的軟件。它的專利——獨(dú)特的體系結(jié)構(gòu)消除了傳統(tǒng)系統(tǒng)中由于在通用處理器、PC或工作站上運(yùn)行軟件的防火墻、VPN、加密所導(dǎo)致的性能瓶頸、以及安全性上的先天性不足。NetScreen在消除了性能瓶頸的同時依然提供了ICSA認(rèn)證的全狀態(tài)監(jiān)測防火墻安全和最高級的3DESIPSec加密的數(shù)據(jù)安全。 高性能防火墻NetScreen100提供了防火墻的全部安全功能，并結(jié)合了包過濾、鏈路過濾和應(yīng)用代理服務(wù)器等技術(shù)。NetScreen100創(chuàng)建了新的防火墻性能基準(zhǔn)，它用基于全狀態(tài)監(jiān)測的技術(shù)實(shí)現(xiàn)了用戶訪問控制，提供了具有線速性能的ICSA認(rèn)證的防火墻安全。它的專利——獨(dú)特的系統(tǒng)結(jié)構(gòu)和專門設(shè)計的ASIC為要求苛刻的數(shù)據(jù)中心，服務(wù)提供商和企業(yè)環(huán)境提供了高性能的安全功能。l 高容量：128,000個并發(fā)TCP會話連接l 健壯的對包括SYN攻擊、ICMP flood、端口掃描和其他許多攻擊的防護(hù)l 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、端口地址轉(zhuǎn)換（PAT）和虛擬IP（VIP）——隱藏內(nèi)部IP編址和保留IP地址l DMZ端口提供一個單獨(dú)、隔離的網(wǎng)絡(luò)來部署連接公網(wǎng)的服務(wù)器如Web、EMail、FTP等l 透明模式——基于網(wǎng)橋的網(wǎng)絡(luò)操作，對其他網(wǎng)絡(luò)設(shè)備和攻擊者不可見l 通過內(nèi)部數(shù)據(jù)庫，RADIUS和SecureID對用戶進(jìn)行認(rèn)證l WebSense URL地址過濾l 高可用性——用兩臺NetScreen100提供故障恢復(fù)功能（具有多機(jī)備份的功能） VPNNetScreen100目前以其便利的VPN功能，確保特定局域網(wǎng)之間在公網(wǎng)上以密文交互信息，它支持端對端和遠(yuǎn)程訪問的VPN應(yīng)用。NetScreen專門設(shè)計的ASIC接管了CPU的高密度加密任務(wù)，提供線速性能以支持環(huán)境要求苛刻的ISP、ASP和中心站點(diǎn)VPN集中應(yīng)用。集成的VPN功能通過加密的VPN通道也使安全的遠(yuǎn)程管理得以實(shí)現(xiàn)。l 與IPSec兼容——同其他廠商設(shè)備可相互操作l 1000個IPSec VPN通道l 3DES吞吐量達(dá)到85Mbpsl IKE自動密鑰管理——安全動態(tài)密鑰交換l DES和三倍DES——最高級別加密l 強(qiáng)有力的認(rèn)證——MD5，SHA1VPN應(yīng)用示例NetScreenHeadquartersMobile UserInternetVPN TunnelVPNClear Traffic 圖三、VPN應(yīng)用示意圖四、福建興業(yè)銀行網(wǎng)絡(luò)安全總體設(shè)計4．1 福建興業(yè)銀行網(wǎng)絡(luò)安全設(shè)計原則l 防止來自外部的黑客攻擊l 防止來自內(nèi)部的惡意攻擊l 網(wǎng)絡(luò)資源訪問控制l 網(wǎng)絡(luò)傳輸?shù)膶?shí)時監(jiān)控l 強(qiáng)大的安全審計l 事件分析與告警在本方案中我們從興業(yè)銀行各種業(yè)務(wù)、興業(yè)銀行總行和分行的業(yè)務(wù)連接和OA系統(tǒng)、網(wǎng)上銀行各方面進(jìn)行網(wǎng)絡(luò)安全方面的設(shè)計。在網(wǎng)絡(luò)的對外出口處以及在總行和分行之間的連接都設(shè)置防火墻將是最理想的選擇，因此我們在本方案中建議福建興業(yè)銀行在所有與外部網(wǎng)出口都配置NetScreen系列防火墻，以及在總行與分行的業(yè)務(wù)網(wǎng)的連接處也配置防火墻，對外防止黑客入侵，對內(nèi)以防止內(nèi)部人員的惡意攻擊或由于內(nèi)部人員造成的網(wǎng)絡(luò)安全問題。本方案中主要用到NetScreen10和NetScreen100，在總行與分行連接點(diǎn)采用NetScreen100作為防火墻，同時在重要的業(yè)務(wù)連接點(diǎn)采用NetScreen獨(dú)特的多機(jī)備份技術(shù)用兩臺作為熱備份，保證整個系統(tǒng)的網(wǎng)絡(luò)安全。在分行采用NetScreen10防火墻，為連接各銀行網(wǎng)點(diǎn)提供安全防護(hù)。福建興業(yè)網(wǎng)絡(luò)安全設(shè)計整體配置圖如圖四。另銀行通過INTERNET網(wǎng)上進(jìn)行業(yè)務(wù)時，由于分行與INTERNE都有出口，也帶來了一定的風(fēng)險，我們建議在連接INTERNET的出口上也配置NetScreen10防火墻。4．2 福建興業(yè)銀行各業(yè)務(wù)系統(tǒng)的安全設(shè)計4．2．1 威脅及漏洞福建興業(yè)銀網(wǎng)絡(luò)作為一個金融網(wǎng)絡(luò)系統(tǒng)，由于涉及信息的敏感性自然會成為內(nèi)部和外部黑客攻擊的目標(biāo)，當(dāng)前福建興業(yè)銀行面臨的主要風(fēng)險和威脅有： 非法訪問：興業(yè)銀行網(wǎng)絡(luò)是一個遠(yuǎn)程互連的金融網(wǎng)絡(luò)系統(tǒng)?，F(xiàn)有網(wǎng)絡(luò)系統(tǒng)利用操作系統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制，而這些訪問控制強(qiáng)度較弱，攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊；由于整個網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)互連同樣存在達(dá)？？？接終端進(jìn)行攻擊的可能；另一方面銀行開發(fā)的很多增值業(yè)務(wù)、代理業(yè)務(wù)，存在大量與外界互連的接口這些接口現(xiàn)在沒有強(qiáng)的安全保護(hù)措施存在外部網(wǎng)絡(luò)通過這些接口攻擊銀行，可能造成巨大損失。竊取PIN/密鑰等敏感數(shù)據(jù)：興業(yè)銀行信用卡系統(tǒng)和柜臺系統(tǒng)采用的是軟件加密的形式保護(hù)關(guān)鍵數(shù)據(jù)，軟件加密采用的是公開加密算法（DES）（肯定嗎？？？），因此安全的關(guān)鍵是對加密密鑰的保護(hù)，而軟件加密最大的安全隱患是無法安全保存加密密鑰，程序員可修改程序使其運(yùn)行得到密鑰從而得到主機(jī)中敏感數(shù)據(jù)。假冒終端/操作員：興業(yè)銀行網(wǎng)絡(luò)中存在大量遠(yuǎn)程終端通過公網(wǎng)與銀行業(yè)務(wù)前置機(jī)相連國內(nèi)銀行以出現(xiàn)多起在傳輸線路上搭接終端的案例。興業(yè)銀行網(wǎng)絡(luò)同樣存在大量類似安全隱患?，F(xiàn)有操作員身份識別唯一，但口令的安全性非常弱因此存在大量操作員假冒的安全風(fēng)險。截獲和篡改傳輸數(shù)據(jù)：興業(yè)銀行現(xiàn)有網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)傳輸大量的數(shù)據(jù)沒有加密，由于信息量大且采用的是開放的TCP/IP，現(xiàn)有的許多工具可以很容易的截獲、分析甚至修改信息，主機(jī)系統(tǒng)很容易成為被攻擊對象。其他安全風(fēng)險：主要有病毒、系統(tǒng)安全（主要有操作系統(tǒng)、數(shù)據(jù)庫的安全配置）以及系統(tǒng)的安全備份等。4．2．2設(shè)計說明在對福建興業(yè)銀行分行網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)結(jié)初步分析后我們提出以下安全措施來安全處理。 圖四、銀行網(wǎng)絡(luò)安全防火墻保護(hù)總體示意圖 通常銀行，也包括福建興業(yè)銀行網(wǎng)絡(luò)中用到的通信線路涉及到：、FR、DDN、ISDN、撥號等通信接口和協(xié)議，因此，最佳的方案是在網(wǎng)絡(luò)層上采用先進(jìn)的NETSCREEN網(wǎng)絡(luò)安全技術(shù)，以有效的阻止外來的攻擊和保證業(yè)務(wù)數(shù)據(jù)在公網(wǎng)上的安全傳輸，同時在應(yīng)用層上提供對敏感數(shù)據(jù)加密消息進(jìn)行完整性鑒別及密鑰管理因此可以通過各級分行節(jié)點(diǎn)配備NETSCREEN100 來保證IP包的機(jī)密性。在業(yè)務(wù)系統(tǒng)中為了保護(hù)用戶敏感信息防止信息被非法篡改實(shí)現(xiàn)對業(yè)務(wù)數(shù)據(jù)加密、身