【文章內容簡介】 則必須在不同主機上各安裝一個DNS。 l 虛擬專用網(wǎng)絡(VPN) VPN可以在防火墻與防火墻或移動的客戶端之間對所有網(wǎng)絡傳輸?shù)膬热菁用埽⒁粋€虛擬通道，讓兩者感覺是在同一個網(wǎng)絡上，可以安全且不受拘束地互相存取。 l 掃毒功能 大部分防火墻都可以與防病毒軟件搭配實現(xiàn)掃毒功能，有的防火墻則可以直接集成掃毒功能，差別只是掃毒工作是由防火墻完成，或是由另一臺專用的計算機完成。 l 特殊控制需求 有時候企業(yè)會有特別的控制需求，如限制特定使用者才能發(fā)送E?mail，F(xiàn)TP只能下載文件不能上傳文件，限制同時上網(wǎng)人數(shù)，限制使用時間或阻塞Java、ActiveX控件等，依需求不同而定。：與用戶網(wǎng)絡結合l 管理的難易度 防火墻管理的難易度是防火墻能否達到目的的主要考慮因素之一。一般企業(yè)之所以很少以已有的網(wǎng)絡設備直接當作防火墻的原因，除了先前提到的包過濾，并不能達到完全的控制之外，設定工作困難、須具備完整的知識以及不易除錯等管理問題，更是一般企業(yè)不愿意使用的主要原因。 l 自身的安全性 大多數(shù)人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務，但往往忽略了一點，防火墻也是網(wǎng)絡上的主機之一，也可能存在安全問題，防火墻如果不能確保自身安全，則防火墻的控制功能再強，也終究不能完全保護內部網(wǎng)絡。 大部分防火墻都安裝在一般的操作系統(tǒng)上，如Unix、NT系統(tǒng)等。在防火墻主機上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來自于操作系統(tǒng)本身的原有程序。當防火墻主機上所執(zhí)行的軟件出現(xiàn)安全漏洞時，防火墻本身也將受到威脅。此時，任何的防火墻控制機制都可能失效，因為當一個黑客取得了防火墻上的控制權以后，黑客幾乎可為所欲為地修改防火墻上的訪問規(guī)則，進而侵入更多的系統(tǒng)。因此防火墻自身應有相當高的安全保護。 l 完善的售后服務我們認為，用戶在選購防火墻產(chǎn)品時，除了從以上的功能特點考慮之外，還應該注意好的防火墻應該是企業(yè)整體網(wǎng)絡的保護者，并能彌補其它操作系統(tǒng)的不足，使操作系統(tǒng)的安全性不會對企業(yè)網(wǎng)絡的整體安全造成影響。防火墻應該能夠支持多種平臺，因為使用者才是完全的控制者，而使用者的平臺往往是多種多樣的，它們應選擇一套符合現(xiàn)有環(huán)境需求的防火墻產(chǎn)品。由于新產(chǎn)品的出現(xiàn)，就會有人研究新的破解方法，所以好的防火墻產(chǎn)品應擁有完善及時的售后服務體系。 l 完整的安全檢查好的防火墻還應該向使用者提供完整的安全檢查功能，但是一個安全的網(wǎng)絡仍必須依靠使用者的觀察及改進，因為防火墻并不能有效地杜絕所有的惡意封包，企業(yè)想要達到真正的安全仍然需要內部人員不斷記錄、改進、追蹤。防火墻可以限制唯有合法的使用者才能進行連接，但是否存在利用合法掩護非法的情形仍需依靠管理者來發(fā)現(xiàn)。 4企業(yè)網(wǎng)網(wǎng)絡安全總體設計根據(jù)企業(yè)各級內部網(wǎng)絡機構、廣域網(wǎng)結構、和三級網(wǎng)絡管理、應用業(yè)務系統(tǒng)的特點，本方案主要從以下幾個方面進行安全設計：l 網(wǎng)絡系統(tǒng)安全；l 應用系統(tǒng)安全；l 物理安全；l 安全管理；根據(jù)企業(yè)網(wǎng)絡現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進行考慮：l 網(wǎng)絡傳輸保護主要是數(shù)據(jù)加密保護l 主要網(wǎng)絡安全隔離通用措施是采用防火墻l 網(wǎng)絡病毒防護采用網(wǎng)絡防病毒系統(tǒng)l 廣域網(wǎng)接入部分的入侵檢測采用入侵檢測系統(tǒng)l 系統(tǒng)漏洞分析采用漏洞分析設備l 定期安全審計主要包括兩部分：內容審計和網(wǎng)絡通信審計l 重要數(shù)據(jù)的備份重要信息點的防電磁泄露l 網(wǎng)絡安全結構的可伸縮性包括安全設備的可伸縮性，即能根據(jù)用戶的需要隨時進行規(guī)模、功能擴展網(wǎng)絡防雷作為企業(yè)應用業(yè)務系統(tǒng)的承載平臺，由于許多重要的信息都通過網(wǎng)絡進行交換，網(wǎng)絡系統(tǒng)的安全顯得尤為重要。由于企業(yè)中心內部網(wǎng)絡存在兩套網(wǎng)絡系統(tǒng)，其中一套為企業(yè)內部網(wǎng)絡，主要運行的是內部辦公、業(yè)務系統(tǒng)等；另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內部的上、下級機構網(wǎng)絡相連。通過公共線路建立跨越INTERNET的企業(yè)集團內部局域網(wǎng)，并通過網(wǎng)絡進行數(shù)據(jù)交換、信息共享。而INTERNET本身就缺乏有效的安全保護，如果不采取相應的安全措施，易受到來自網(wǎng)絡上任意主機的監(jiān)聽而造成重要信息的泄密或非法篡改，產(chǎn)生嚴重的后果。由于現(xiàn)在越來越多的政府、金融機構、企業(yè)等用戶采用VPN技術來構建它們的跨越公共網(wǎng)絡的內聯(lián)網(wǎng)系統(tǒng)，因此解決方案中對網(wǎng)絡傳輸安全部分推薦采用VPN設備來構建內聯(lián)網(wǎng)。可在每級管理域內設置一套VPN設備，由VPN設備實現(xiàn)網(wǎng)絡傳輸?shù)募用鼙Ｗo。根據(jù)企業(yè)三級網(wǎng)絡結構，VPN設置如下圖所示：圖31 三級 VPN設置拓撲圖每一級的設置及管理方法相同。即在每一級的中心網(wǎng)絡安裝一臺VPN設備和一臺VPN認證服務器（VPNCA），在所屬的直屬單位的網(wǎng)絡接入處安裝一臺VPN設備，由上級的VPN認證服務器通過網(wǎng)絡對下一級的VPN設備進行集中統(tǒng)一的網(wǎng)絡化管理?？蛇_到以下幾個目的：l 網(wǎng)絡傳輸數(shù)據(jù)保護；由安裝在網(wǎng)絡上的VPN設備實現(xiàn)各內部網(wǎng)絡之間的數(shù)據(jù)傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸l 網(wǎng)絡隔離保護；與INTERNET進行隔離，控制內網(wǎng)與INTERNET的相互訪問l 集中統(tǒng)一管理，提高網(wǎng)絡安全性；l 降低成本（設備成本和維護成本）；其中，在各級中心網(wǎng)絡的VPN設備設置如下圖：圖32 中心網(wǎng)絡VPN設置圖由一臺VPN管理機對CA、中心VPN設備、分支機構VPN設備進行統(tǒng)一網(wǎng)絡管理。將對外服務器放置于VPN設備的DMZ口與內部網(wǎng)絡進行隔離，禁止外網(wǎng)直接訪問內網(wǎng)，控制內網(wǎng)的對外訪問、記錄日志。這樣即使服務器被攻破，內部網(wǎng)絡仍然安全。下級單位的VPN設備放置如下圖所示：圖33 下級單位VPN設置圖從圖33可知，下屬機構的VPN設備放置于內部網(wǎng)絡與路由器之間，其配置、管理由上級機構通過網(wǎng)絡實現(xiàn)，下屬機構不需要做任何的管理，僅需要檢查是否通電即可。由于安全設備屬于特殊的網(wǎng)絡設備，其維護、管理需要相應的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構的維護成本和對專業(yè)技術人員的要求，這對有著龐大下屬、分支機構的單位來講將是一筆不小的費用。由于網(wǎng)絡安全的是一個綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對安全設備的管理就顯得尤為重要。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因為某個設備的設置不當，而使整個網(wǎng)絡出現(xiàn)重大的安全隱患。而用戶的技術人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象；同時，每個維護人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網(wǎng)絡中斷。所以，在安全設備的選擇上應當選擇可以進行網(wǎng)絡化集中管理的設備，這樣，由少量的專業(yè)人員對主要安全設備進行管理、配置，提高整體網(wǎng)絡的安全性和穩(wěn)定性。企業(yè)廣域網(wǎng)網(wǎng)絡部分通過公共網(wǎng)絡建立，其在網(wǎng)絡上必定會受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等，因此，采取相應的安全措施是必不可少的。通常，對網(wǎng)絡的訪問控制最成熟的是采用防火墻技術來實現(xiàn)的，選擇帶防火墻功能的VPN設備來實現(xiàn)網(wǎng)絡安全隔離，可滿足以下幾個方面的要求：l 控制外部合法用戶對內部網(wǎng)絡的網(wǎng)絡訪問；l 控制外部合法用戶對服務器的訪問；l 禁止外部非法用戶對內部網(wǎng)絡的訪問；l 控制內部用戶對外部網(wǎng)絡的網(wǎng)絡；l 阻止外部用戶對內部的網(wǎng)絡攻擊；l 防止內部主機的IP欺騙；l 對外隱藏內部IP地址和網(wǎng)絡拓撲結構；l 網(wǎng)絡監(jiān)控；l 網(wǎng)絡日志審計；詳細配置拓撲圖見圖3圖3圖33。由于采用防火墻、VPN技術融為一體的安全設備，并采取網(wǎng)絡化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：l 管理、維護簡單、方便；l 安全性高（可有效降低在安全設備使用上的配置漏洞）；l 硬件成本和維護成本低；l 網(wǎng)絡運行的穩(wěn)定性更高由于是采用一體化設備，比之傳統(tǒng)解決方案中采用防火墻和加密機兩個設備而言，其穩(wěn)定性更高，故障率更低。網(wǎng)絡安全不可能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡安全是個整體的，必須配相應的安全產(chǎn)品。作為必要的補充，入侵檢測系統(tǒng)（IDS）可與安全VPN系統(tǒng)形成互補。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預見的攻擊手段的信息代碼對進出網(wǎng)絡的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應（阻斷、報警、發(fā)送Email）。從而防止針對網(wǎng)絡的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器（網(wǎng)絡引擎）?？刂婆_用作制定及管理所有探測器（網(wǎng)絡引擎）。探測器（網(wǎng)絡引擎）用作監(jiān)聽進出網(wǎng)絡的訪問行為，根據(jù)控制臺的指令執(zhí)行相應行為。由于探測器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應用不會對網(wǎng)絡系統(tǒng)性能造成多大影響。入侵檢測系統(tǒng)的設置如下圖：從上圖可知，入侵檢測儀在網(wǎng)絡接如上與VPN設備并接使用。入侵檢測儀在使用上是獨立網(wǎng)絡使用的，網(wǎng)絡數(shù)據(jù)全部通過VPN設備，而入侵檢測設備在網(wǎng)絡上進行疹聽，監(jiān)控網(wǎng)絡狀況，一旦發(fā)現(xiàn)攻擊行為將通過報警、通知VPN設備中斷網(wǎng)絡（即IDS與VPN聯(lián)動功能）等方式進行控制（即安全設備自適應機制），最后將攻擊行為進行日志記錄以供以后審查。為一個完善的通用安全系統(tǒng)，應當包含完善的安全措施，定期的安全評估及安全分析同樣相當重要。由于網(wǎng)絡安全系統(tǒng)在建立后并不是長期保持很高的安全性，而是隨著時間的推移和技術的發(fā)展而不斷下降的，同時，在使用過程中會出現(xiàn)新的安全問題，因此，作為安全系統(tǒng)建設的補充，采取相應的措施也是必然。采用漏洞掃描設備對網(wǎng)絡系統(tǒng)進行定期掃描，對存在的系統(tǒng)漏洞、網(wǎng)絡漏洞、應用程序漏洞、操作系統(tǒng)漏洞等進行探測、掃描，發(fā)現(xiàn)相應的漏洞并告警，自動提出解決措施，或參考意見，提醒網(wǎng)絡安全管理員作好相應調整。企業(yè)各級網(wǎng)絡系統(tǒng)平臺安全主要是指操作系統(tǒng)的安全。由于目前主要的操作系統(tǒng)平臺是建立在國外產(chǎn)品的基礎上，因而存在很大的安全隱患。企業(yè)網(wǎng)絡系統(tǒng)在主要的應用服務平臺中采用國內自主開發(fā)的安全操作系統(tǒng)，針對通用OS的安全問題，對操作系統(tǒng)平臺的登錄方式、文件系統(tǒng)、網(wǎng)絡傳輸、安全日志審計、加密算法及算法替換的支持和完整性保護等方面進行安全改造和性能增強。一般用戶運行在PC機上的NT平臺，在選擇性地用好NT安全機制的同時，應加強監(jiān)控管理。企業(yè)