【正文】 衛(wèi)士的身份應(yīng)運(yùn)而生，實(shí)現(xiàn)著管理者的安全策略，有效地維護(hù)這企業(yè)保護(hù)網(wǎng)絡(luò)的安全。防火墻只目前應(yīng)用最廣、最具代表性的網(wǎng)絡(luò)安全技術(shù)，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功能，這樣就減少了 CPU 的負(fù)擔(dān)，使路由更穩(wěn)定。軟件防火墻一般只據(jù)有過濾包的作用，而硬件防火墻的功能則要強(qiáng)大的多，它還包括 CF（內(nèi)容過濾） 、IDS（入侵偵測(cè)）、IPS（入侵防護(hù)）以及 VPN 等功能。硬件防火墻一般使用經(jīng)過內(nèi)核編譯后的Linux，憑借 Linux 本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。防火墻主要由服務(wù)訪問政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)四部分組成。我們?cè)诤诵膶勇酚善髋c Inter 之間配置一臺(tái)硬件防火墻，這樣，所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都要通過防火墻，而該防火墻應(yīng)具有以下的功能：（1）包 過 濾：控制流出和流入的網(wǎng)絡(luò)數(shù)據(jù)，可基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間，根據(jù)地址簿進(jìn)行設(shè)置規(guī)則。（2）地 址 轉(zhuǎn) 換：將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的 IP 地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換 Source NAT(SNAT)和目的地址轉(zhuǎn)換 Destination NAT(DNAT)。SNAT 用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì)應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。DNAT 主要用于外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)主機(jī)。（3）認(rèn)證和應(yīng)用代理：認(rèn)證指防火墻對(duì)訪問網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫。提供 HTTP、FTP 和 SMTP 代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問控制。同時(shí)支持 URL過濾功能，防止員工在上班時(shí)間訪問某些網(wǎng)站，影響工作效率。（4）透 明 和 路 由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問，同時(shí)阻止了外部未授權(quán)訪問者對(duì)專用網(wǎng)絡(luò)的非法訪問。防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問。（5）入侵檢測(cè)思科的 ASA5505SECBUNK9 防火墻是為中小型企業(yè)設(shè)計(jì)的一款產(chǎn)品，它集高安全性和高可擴(kuò)展性于一身，能夠?qū)Σ《?、垃圾郵件、非授權(quán)訪問等進(jìn)行實(shí)時(shí)監(jiān)控，并提供 VPN 服務(wù)，為用戶提供全面的保護(hù)。它構(gòu)建于 Cisco PIX 安全設(shè)備系列的基礎(chǔ)之上，能夠提供內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠(yuǎn)程接入到內(nèi)部網(wǎng)兩種安全保護(hù)，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可阻止垃圾郵件和非法連接，在提供安全網(wǎng)絡(luò)環(huán)境的同時(shí)，也提高了員工的工作效率，為公司創(chuàng)造更高的經(jīng)濟(jì)效益。 VPN公司員工可能需要經(jīng)常出差或者在外辦公，需要通過公網(wǎng)訪問公司網(wǎng)絡(luò)，這時(shí)數(shù)據(jù)在公網(wǎng)上傳播就很不安全，所以我們需要一條專門的通道來安全傳輸信息，這就是 VPN（虛擬專用網(wǎng)） 。VPN 被定義為通過一個(gè)公共網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)事對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用可以幫助運(yùn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及移動(dòng)辦公用戶的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案也將大幅度減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。VPN 業(yè)務(wù)都是基于隧道技術(shù)實(shí)現(xiàn)的，隧道機(jī)制是 VPN 實(shí)施的關(guān)鍵。數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。VPN 的隧道技術(shù)就是數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進(jìn)行加密以確保安全，然后由 VPN 封裝成 IP 包的形式，通過隧道在網(wǎng)上傳輸。源網(wǎng)絡(luò)的 VPN 隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的 VPN隧道發(fā)起器進(jìn)行通信。兩者就加密方案達(dá)成一致，然后隧道發(fā)起器對(duì)包進(jìn)行加密，確保安全（為了加強(qiáng)安全，應(yīng)采用驗(yàn)證過程，以確保連接用戶擁有進(jìn)入目標(biāo)網(wǎng)絡(luò)的相應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的 VPN 產(chǎn)品支持多種驗(yàn)證方式） 。最后，VPN 發(fā)起器將整個(gè)加密包封裝成 IP 包?，F(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議，它都能在純 IP 因特網(wǎng)上傳輸。又因?yàn)榘M(jìn)行了加密，所以誰也無法讀取原始數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)這頭，VPN 隧道終結(jié)器收到包后去掉 IP 信息，然后根據(jù)達(dá)成一致的加密方案對(duì)包進(jìn)行解密，將隨后獲得的包發(fā)給遠(yuǎn)程接入服務(wù)器或本地路由器，他們?cè)诎央[藏的 IPX 包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。VPN 主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。VPN 原理示意圖： 在本方案中，我們采用 ipVPN 技術(shù)。IpVPN 是指在運(yùn)行 ip 協(xié)議的網(wǎng)絡(luò)上實(shí)現(xiàn) VPN。該 VPN 技術(shù)的實(shí)現(xiàn)是通過隧道（tunnel）進(jìn)行連接，隧道技術(shù)通過軟件“疊加”在物理網(wǎng)絡(luò)上這也是 VPN”虛擬特征的體現(xiàn)。借助隧道 VPN，還能夠使用內(nèi)部網(wǎng)絡(luò)中采用的安全和優(yōu)先策略，使我們能夠完全控制數(shù)據(jù)流，隧道提供了一層名副其實(shí)的安全保障。目前各種 VPN 安全協(xié)議中，IPsec 的保密性是最好的。IPsec 使用了 IPsec隧道模式，在這種隧道模式中，用戶的數(shù)據(jù)包加密后，封裝進(jìn)新的 ip。這樣在新的數(shù)據(jù)包中，分別以開通器和終端器的地址掩蔽用戶和宿主服務(wù)器的地址。我們選用的 ASA5500 系列防火墻具有 VPN 功能，所以不需要額外購買 VPN 設(shè)備。利用 Cisco ASA 5500 系列，不需要增加成本，也不需要提高設(shè)計(jì)、部署或運(yùn)作的復(fù)雜性，就能夠?qū)⒃L問控制、應(yīng)用檢測(cè)和威脅防御作為 VPN 解決方案的一部分。管理員只需制定一個(gè)網(wǎng)絡(luò)策略，就可以既提高安全性，又保持網(wǎng)絡(luò)環(huán)境的可訪問性。第五章 方案實(shí)現(xiàn)結(jié)果分析網(wǎng)絡(luò)工程實(shí)施完成后，主要實(shí)現(xiàn)以下功能：首先是公司內(nèi)部辦公資源的高 圖 度共享，通過 FTP 服務(wù)，員工可按權(quán)限上傳下載資料。上傳權(quán)限只賦予網(wǎng)絡(luò)管理人員，下載權(quán)限根據(jù)文件性質(zhì)設(shè)定，一般按部門來限定文件的下載權(quán)限。設(shè)定 FTP 服務(wù)的最大訪問量為 50 人，即同時(shí)只能 50 人同時(shí)訪問 FTP 服務(wù)器，以防訪問量過多造成網(wǎng)絡(luò)擁堵。在公司的 PC 機(jī)上安裝即時(shí)通訊軟件，那么公司內(nèi)部員工可利用即時(shí)通訊軟件及時(shí)的溝通和文件傳送，同時(shí)公司下達(dá)通知也方便了很多。其次，該網(wǎng)絡(luò)提供寬帶網(wǎng)絡(luò)支持，內(nèi)部用戶可連接 Inter。但是出于網(wǎng)絡(luò)安全考慮，我們?cè)诜阑饓秃秃诵慕粨Q機(jī)上都部署了安全策略，限制了內(nèi)部用戶對(duì)某些網(wǎng)站的訪問權(quán)限。例如核心交換機(jī)上寫入的擴(kuò)展訪問控制列表，可以禁止公司員工使用某些下載軟件，以免影響公司網(wǎng)絡(luò)穩(wěn)定。同時(shí)也可以使員工在上班時(shí)間不能訪問某些網(wǎng)頁，避免員工在工作時(shí)間娛樂，影響工作效率。方案中防火墻主要就是對(duì) Inter 中的病毒，垃圾郵件以及非授權(quán)訪問的攔截。并監(jiān)控進(jìn)出的數(shù)據(jù)流量，防止內(nèi)部人員泄露公司機(jī)密資料。第三，通過 web 服務(wù)器公司向外發(fā)布公司網(wǎng)站，公布行業(yè)信息以及網(wǎng)上交易系統(tǒng)。用戶通過網(wǎng)站進(jìn)行證劵交易，每日有龐大的數(shù)據(jù)量在傳輸，且證劵的交易講求的就是即時(shí)準(zhǔn)確，所以核心層和匯聚層都使用兩臺(tái)設(shè)備，且采用了端口匯聚技術(shù)，即保證了數(shù)據(jù)傳輸所需要的帶寬，而且在任何一臺(tái)設(shè)備出現(xiàn)故障時(shí)，網(wǎng)絡(luò)還能正常運(yùn)轉(zhuǎn)，保證了網(wǎng)上交易的即時(shí)。第四，vpn 是為出差員工需要通過公網(wǎng)連接入公司內(nèi)部網(wǎng)絡(luò)辦公而專門架設(shè)的。在方案中選用的防火墻 Cisco ASA5505SECBUNK9 可以作為 VPN 網(wǎng)關(guān)設(shè)備，在其中寫入公司的固定 IP 地址，移動(dòng)辦公用戶使用 VPN 客戶端軟件，撥號(hào)進(jìn)入公司網(wǎng)絡(luò)。在用戶使用 VPN 客戶端通過撥號(hào)進(jìn)入公司網(wǎng)絡(luò)的過程中，VPN 網(wǎng)關(guān)設(shè)備將會(huì)對(duì) VPN 客戶端進(jìn)行身份認(rèn)證以確保只有合法用戶才可以連入公司網(wǎng)絡(luò)。第 4 章 總結(jié)與展望本文以證劵行業(yè)為背景，根據(jù)一個(gè)行業(yè)的特定要求做的一個(gè)企業(yè)網(wǎng)絡(luò)解決方案。其中應(yīng)用了現(xiàn)今企業(yè)網(wǎng)絡(luò)中較為常用的主流技術(shù)。網(wǎng)絡(luò)整體采用的是Cisco 三層架構(gòu)，這個(gè)結(jié)構(gòu)的優(yōu)點(diǎn)是穩(wěn)定性好、設(shè)備負(fù)載均衡、易擴(kuò)展，并且網(wǎng)絡(luò)故障排查也比較容易。核心層和匯聚層都用兩臺(tái)設(shè)備，既平衡設(shè)備負(fù)載又防止機(jī)器故障致使網(wǎng)絡(luò)癱瘓。證劵企業(yè)的網(wǎng)絡(luò)最重要的是在網(wǎng)絡(luò)安全方面，所以在本方案中我們用 vlan 技術(shù)和 ACL 技術(shù)作為內(nèi)部網(wǎng)絡(luò)的安全策略，主要是防止公司內(nèi)部的非授權(quán)訪問。而在內(nèi)部網(wǎng)絡(luò)與 Inter 之間我們則采用硬件防火墻將兩部分網(wǎng)絡(luò)隔離開，設(shè)置策略只允許合法的數(shù)據(jù)進(jìn)出，各種網(wǎng)絡(luò)安全技術(shù)相結(jié)合，使得網(wǎng)絡(luò)更安全可靠。 組建一個(gè)高速、寬帶、穩(wěn)定、可靠，且能融合安全與保密等全新需求的內(nèi)外聯(lián)網(wǎng)絡(luò)系統(tǒng)，是當(dāng)前企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。隨著金融業(yè)的全球化，網(wǎng)上交易、電子商務(wù)等網(wǎng)上交易手段的日益普及，網(wǎng)絡(luò)傳輸信息量日益劇增，高層交換機(jī)的研發(fā)和應(yīng)用將會(huì)成為主流。在未來的高層交換機(jī)上，將會(huì)集中體現(xiàn) ISO 的七層標(biāo)準(zhǔn)，將傳統(tǒng)的網(wǎng)絡(luò)分立設(shè)備統(tǒng)一起來，這不僅可以極大地提高網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)分發(fā)、傳輸和交換能力與速率，還能夠降低設(shè)備成本、簡(jiǎn)化網(wǎng)絡(luò)管理、優(yōu)化組網(wǎng)過程，使企業(yè)網(wǎng)絡(luò)更加的高速、穩(wěn)定，成為企業(yè)發(fā)展進(jìn)步的一個(gè)助力。本方案中葉存在很多不足，由于能力有限，對(duì)于很多新的技術(shù)和方法還不是很了解，所以方案中用到的技術(shù)有限，特別在服務(wù)器的搭建上，沒有經(jīng)過實(shí)際的操作，可能方案在實(shí)踐起來有一定的不可行性。致 謝隨著論文的完成，代表著四年的大學(xué)生活也即將結(jié)束。謝謝四年來教授我知識(shí)的老師，謝謝四年來陪伴在我身邊的同學(xué)。最后向所有在畢業(yè)設(shè)計(jì)期間給予我意見和指導(dǎo)的老師同學(xué)表示真摯的感謝！參考文獻(xiàn)[1]郭銳, 企業(yè)內(nèi)部網(wǎng)規(guī)劃分析, 信息技術(shù)與信息化, 2022[2]方國洪，金紅. 淺談如何構(gòu)建安全的企業(yè)網(wǎng)絡(luò). [3]Addison and Inter Security:Repelling the Wily [4]熊琦. 深入淺出談防火墻技術(shù). 科協(xié)論壇(下半月),:3132[5]Emilie Lundin Edand Jonsson. Anomalybased intrustion detection:privacy concerns and other problems[J]. Computer ,34(2):623640.[6],201 年第一期[7][美] Richard tibbs，Edward oakes. 防火墻與 VPN—:清 華大學(xué)出版社,2022[8][美] vijay. Ipsec vpn 設(shè)計(jì). 北京:人民郵電出版社,