【導讀】變化，以滿足他們所服務的機構的種種需求。在客戶機-服務器計算模式已經取。開始在企業(yè)網(wǎng)絡環(huán)境中立足，極大地沖擊著信息在整個企業(yè)間的流向方式。巨大的需求，結果導致企業(yè)網(wǎng)變得越來越復雜。它們支持多種技術，24小時運。行，要對不斷的變化進行管理，并且延伸到多個建筑、多個區(qū)域甚至多個國家，的意義深遠的重大作用。2大中型企業(yè)網(wǎng)絡方案與三層交換機的構建........

　　

【正文】 越了傳統(tǒng)防火墻的定義 ， 而且在安全性上也超越了前兩代產品雖然 監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻 ， 但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高 ， 也不易管理 ， 所以目前在實用中的防火墻產品仍然以第二代代理型產品為主 ， 但在某些方面也已經開始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術成本的綜合考慮 ， 用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網(wǎng)絡系統(tǒng)的安全性需求 ， 同時也能有效地控制安全系統(tǒng)的總擁有成本。 實際上 ， 作為當前防火墻產品的主流趨勢 ， 大多數(shù)代理服務器 (也稱應用網(wǎng)關 )也集成了包過濾技術 ， 這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產品是 基于應用的 ， 應用網(wǎng)關能提供對協(xié)議的過濾。例如 ， 它可以過濾掉 FTP 連接中的 PUT 命令 ， 而且通過代理應用 ， 應用網(wǎng)關能夠有效地避免內部網(wǎng)絡的信息外泄。正是由于應用網(wǎng)關的這些特點 ， 使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上。 加密技術 信息交換加密技術分為兩類：即對稱加密和非對稱加密。 在對稱加密技術中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。 如果在交換階段私有 密鑰未曾泄露 ， 那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有 N個交換對象，那么他就要維護 N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換防火墻與信息的加密以及分類 21 雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重 DES是 DES（數(shù)據(jù)加密標準）的一種變形，這種方法使用兩個獨立的 56 為密鑰對信息進行 3 次加密，從而使有效密鑰長度達到 112位。 非對稱加密 /公開密鑰加密 在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加 密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數(shù)字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數(shù)學難題之上，是計算機復雜性理論發(fā)展的必然結果。最具有代表性是 RSA 公鑰密碼體制。 RSA 算法 RSA 算法是 Rivest、 Shamir 和 Adleman 于 1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在 RSA 體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。 RSA 算法的描述如下： 公開密鑰： n=pq(p、 q分別為兩個互異的大素數(shù)， p、 q必須保密 ) e 與（ p1）(q1)互素私有密鑰： d=e1 {mod(p1)(q1)} 加密： c=me(mod n)， 其中 m為明文， c為密文。 解密： m=cd(mod n) 利用目前已經掌握的知識和理論，分解 2048bit 的大整數(shù)已經超過了 64 位計算機的運算 能力，因此在目前和預見的將來，它是足夠安全的。 網(wǎng)絡整體安全解決方案與 VPN 22 4 網(wǎng)絡整體安全解決方案與 VPN 整體的 安全 方案分成技術方案、服務方案以及支持方案三部分 。 技術解決方案 安全產品是網(wǎng)絡安全的基石，通過在網(wǎng)絡中安裝一定的安全設備，能夠使得網(wǎng)絡的結構更加清晰，安全性得到顯著增強 ； 同時能夠有效降低安全管理的難度，提高安全管理的有效性。 入侵檢測 安裝位置：局域網(wǎng) DMZ 區(qū)以及托管機房服務器區(qū) ； IDS 的作用： (1) 作為旁路設備，監(jiān)控網(wǎng)絡中的信息，統(tǒng)計并記錄網(wǎng)絡中的異常主機以及異常連接 ； (2)中斷異常連接 ； (3)通過聯(lián)動機制，向防火墻發(fā)送指令，在限定的時間內對特定的 IP 地址實施封堵。 網(wǎng)絡防病毒軟件控制中心以及客戶端軟件 安裝位置：局域網(wǎng)防病毒服務器以及各個終端 防病毒服務器作用： (1) 作為防病毒軟件的控制中心，及時通過 INTERNET 更新病毒庫，并強制局域網(wǎng)中已開機的終端及時更新病毒庫軟件 ； (2)記錄各個終端的病毒庫升級情況 ； (3)記錄局域網(wǎng)中計算機病毒出現(xiàn)的時間、類型以及后續(xù)處理措施。 防病 毒客戶端軟件的作用： (4) 對本機的內存、文件的讀寫進行監(jiān)控，根據(jù)預定的處理方法處理帶毒文件 ； (5) 監(jiān)控郵件收發(fā)軟件，根據(jù)預定處理方法處理帶毒郵件 ； 郵件防病毒服務器 安裝位置：郵件 服務器 與 防火墻 之間 。 郵件防 病毒 軟件 ：對來自 INTERNTE 的電子郵件進行檢測，根據(jù)預先設定的處理方法處理帶毒郵件。郵件防病毒軟件的監(jiān)控范圍包括所有來自 INTERNET 的電子 郵件以及所屬附件 (對于壓縮文件同樣也進行檢測 )。 網(wǎng)絡整體安全解決方案與 VPN 23 反垃圾郵件系統(tǒng) 安裝位置：同郵件防病毒軟件，如果軟硬件條件允許的話，建議安裝在同一臺服務器 上。 反垃圾郵件系統(tǒng)作用： (1) 拒絕轉發(fā)來自 INTERNET 的垃圾郵件 ； (2) 拒絕轉發(fā)來自局域網(wǎng)用戶的垃圾郵件并將發(fā)垃圾郵件的局域網(wǎng) ， 用戶的IP地址通過電子郵件等方式通報網(wǎng)管 ； (3) 記錄發(fā)垃圾郵件的終端地址 ； (4) 通過電子郵件等方式通知網(wǎng)管垃圾郵件的處理情況。 動態(tài)口令認證系統(tǒng) 安裝位置：服務器端安裝在 WWW 服務器 (以及其他需要進行口令加強的敏感服務器 )，客戶端配置給網(wǎng)頁更新人員 (或者服務器授權訪問用戶 )； 動態(tài)口令認證系統(tǒng)的作用： 通過定期修改密碼，確保密碼的不可猜測性。 網(wǎng)絡管理 軟件 安裝位置：局域網(wǎng)中。 網(wǎng)絡管理軟件的作用： (1) 收集局域網(wǎng)中所有資源的硬件信息 ； (2) 收集局域網(wǎng)中所有終端和服務器的操作系統(tǒng)、系統(tǒng)補丁等軟件信息 ； (3) 收集交換機等網(wǎng)絡設備的工作狀況等信息 ； (4) 判斷局域網(wǎng)用戶是否使用了 MODEM 等非法網(wǎng)絡設備與 INTERNET 連接 ； (5) 顯示實時網(wǎng)絡連接情況 ； (6) 如果交換機等核心網(wǎng)絡設備出現(xiàn)異常，及時向網(wǎng)管中心報警 ； QOS 流量管理 安裝位置：如果是專門的產品安裝在路由器和防火墻之間 ； 部分防火墻 本身就有 QOS 帶寬管理模塊。 QOS 流量 管理的作用 : (1) 通過 IP地址，為重要用戶分配足夠的帶寬 ； (2) 通過端口，為重要的應用分配足夠的帶寬資源 ； (3) 限制非業(yè)務流量的帶寬 ； (4) 在資源閑置時期，允許其他人員使用資源，一旦重要用戶或者重要應用需網(wǎng)絡整體安全解決方案與 VPN 24 要使用帶寬，則確保它們能夠至少使用分配給他們的帶寬資源。 重要終端個人防護 軟件 安裝位置：重要終端 。 個人防護 軟件 的作用： (1) 保護個人終端不受攻擊 ； (2) 不允許任何主機 (包括局域網(wǎng)主機 )非授權訪問重要終端資源 ； (3) 防止局域網(wǎng)感染 病毒 主機通過攻擊的方式感染重要終端。 頁面防篡改系統(tǒng) 安裝位置： WWW 服務器 。 頁面防 篡改系統(tǒng)的作用： (1) 定期比對發(fā)布頁面文件與備份文件，一旦發(fā)現(xiàn)不匹配，用備份文件替換發(fā)布文件 ； (2) 通過特殊的認證機制，允許授權用戶修改頁面文件 ； (3) 能夠對數(shù)據(jù)庫文件進行比對。 安全 服務解決方案 在安全服務方案中，采用不同的安全服務，定期對網(wǎng)絡進行檢測、改進，以達到動態(tài)增進網(wǎng)絡安全性，最大限度發(fā)揮安全設備作用的目的。安全服務分為以下幾類： 網(wǎng)絡拓撲分析 服務對象：整個網(wǎng)絡 。 服務周期：半年一次 。 服務內容： (1) 根據(jù)網(wǎng)絡的實際情況，繪制網(wǎng)絡拓撲圖 ； (2) 分析網(wǎng)絡中存在的安全缺陷并提出整改建議意見。 服務作用：針對 網(wǎng)絡 的整體情況，進行總體、框架性分析。一方面，通過網(wǎng)絡拓撲分析，能夠形成網(wǎng)絡整體拓撲圖，為網(wǎng)絡規(guī)劃、網(wǎng)絡日常管理等管理行為提供必要的技術資料 ； 另一方面，通過整體的 安全 性分析，能夠找出網(wǎng)絡設計上的安全缺陷，找到各種網(wǎng)絡設備在協(xié)同工作中可能產生的安全問題。 中心機房管理制度制訂以及修改 服務對象：中心機房 。 網(wǎng)絡整體安全解決方案與 VPN 25 服務周期：半年一次 。 服務內容：協(xié)助用戶制訂并修改機房管理制度。制度內容涉及人員進出機房的登記制度、設備進出機房的登記制度、設備配置修改的登記制度等。 服務作用：嚴格控制中心機房的人員進出、設備進出并及時登記設備的配置更新情況，有助于 網(wǎng)絡 核心設備 的監(jiān)控，確保網(wǎng)絡的正常運行。 操作系統(tǒng)補丁升級 服務對象： 服務器 、工作站、終端 。 服務周期：不定期 。 服務內容： (1) 一旦出現(xiàn)重大 安全 補丁，及時更新所有相關系統(tǒng) ； (2) 出現(xiàn)大型補丁 (如微軟的 SP)，及時更新所有相關系統(tǒng) 。 服務作用：通過及時、有效的補丁升級，能夠有效防止局域網(wǎng)主 機和 服務器相互之間的攻擊，降低現(xiàn)代 網(wǎng)絡 蠕蟲 病毒 對網(wǎng)絡的整體影響，增加網(wǎng)絡帶寬的有效利用率。 VPN 的定義 VPN 是企業(yè)實現(xiàn)安全遠程互聯(lián)的有效方 法。本文根據(jù)一個應用實例，具體描述 VPN 的配置和實施過程。其主要應用特點包括 :基于封裝安全負載標準ESPDES(Encapsulating Securiry Payload Data Encryption Standard)的IPSec； 專有網(wǎng)絡通過端口地址轉換 (PAT)技術訪問 Inter。 VPN 的配置 網(wǎng)絡基本情況 該單位公司總部在北京，全國有 3 個分支機構。要求做到在 4個地點的數(shù)據(jù)能夠實時查詢，便于業(yè)務員根據(jù)具體情況作出正確決策。早期方案是使用路由器，通過速率為 256Kbps 的 DDN 專網(wǎng)連接北京總部。但技術人員通過市場調研，發(fā)現(xiàn)該網(wǎng)絡運營成本過高。通過進一步的咨詢和調整，最終方案是分支機構使用 DDN在本地接入 Inter，總部使用以太網(wǎng)就近接入 Inter。并對互聯(lián)的路由器進行配置，使用 VPN 技術，保證內部數(shù)據(jù)通過 Inter 安全傳輸。 網(wǎng)絡配置步驟 在實施配置前，需要檢查硬件和軟件是否支持 VPN。對于 華為 路由器，要求IOS版本高于 (5)T，且?guī)?IPSec 功能。本配置在 華為 路由器上配置通過。 以下是分支網(wǎng)絡 1的路由器實際配置過程，其他路由 器的配置方法與此基本網(wǎng)絡整體安全解決方案與 VPN 26 一致，只需修改具體的環(huán)境參數(shù) (IP地址和接口名稱 )即可。 以下黑體字為輸入部分， Enter 為鍵盤對應鍵， ^Z為 Ctrl+Z 組合鍵。 1. 配置路由器的基本參數(shù)，并測試網(wǎng)絡的連通性 (1) 進入路由器配置模式 將計算機串口與路由器 console 口連接，并按照路由器說明書配置 終端仿真 程序。執(zhí)行下述命令進入配置模式。 Routeren Routerconfig terminal Router(config) (2) 配置路由器的基本安全參數(shù) 主要是設置特權 口令、遠程訪問口令和路由器名稱，方便遠程調試。 Router(config)enable secret xxxxxxx Router(config)line vty 0 4 Router(configline)password xxxxxx Router(configline)exit Router(config)hostname huadong huadong(config) (3) 配置路由器的以太網(wǎng)接口，并測試與本地計算機的連通性 。 注意 : 配置前，請將線纜與相關設 備連接好。其中 ether0/0 端口接內部網(wǎng)絡， serial0/0 端口接外部網(wǎng)絡。外部網(wǎng)絡接口地址由 ISP分配，至少一個地址，多者不限。以下假定為一個，使用 PAT 模式，地址為 ，上級路由器為 。內部網(wǎng)絡地址如附圖所標示。 關鍵是配置 IP 地址和啟用以太網(wǎng)接口。測試時，使用基本的測試命令 ping。 huadong(config)inter eth0/0 huadong(configif)ip address huadong(configif)no shutdown 以下是測試命令 : huadongping ? !!!!! ? 網(wǎng)絡整體安全解決方案與 VPN 27 huadongping ? !!!!! ? 在 IP地址為 的計算機上 : c:ping Pinging with 32 bytes of data: Reply from : bytes=32 time=5ms TTL=255 ?? 結果證明連接及配置正確。 (4) 配置路由器的串口，并測試與上級路由器的連通性 與以太網(wǎng)口的配置方法類似，而且需要指