【正文】 設(shè)備1． 企業(yè)異地小機(jī)構(gòu)的網(wǎng)絡(luò)或單機(jī)電腦可以通過接入 Inter，獲得靜態(tài)或動(dòng)態(tài)的公有或私有 IP 地址；企業(yè)總部有對(duì)外的固定的公共互聯(lián)網(wǎng) IP；2． 作為建立連接的公網(wǎng) IP 的防火墻需要使用 PIX 高端的產(chǎn)品作為中心控制設(shè)備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設(shè)備）；3． 連接分支端的網(wǎng)絡(luò)設(shè)備選用 PIX515 產(chǎn)品；二、組網(wǎng)原理及聯(lián)網(wǎng)功能組網(wǎng)原理如下圖： 28 / 35上圖中，所有接入互聯(lián)網(wǎng)的 PIX515（公網(wǎng) IP 地址或私網(wǎng) IP 地址），通過總部的防火墻 PIX535 系列（公網(wǎng) IP）建立以下幾種網(wǎng)絡(luò)連接（LANtoLAN）：（1 ） 所有分支機(jī)構(gòu) LAN 與總部 LAN 之間的加密、認(rèn)證（VPN）連接（如附圖中的黑色實(shí)線）；（2 ） 所有通過 5XP 連接的 LAN 互相可以建立通過中心防火墻路由的 LAN 加密虛擬連接，即 Hubamp。Spoke 方式的 VPN 連接（如附圖中的藍(lán)色和綠色虛線）；（3 ） 為防止中心點(diǎn)因?yàn)楦鞣N原因而導(dǎo)致防火墻不可訪問，從而造成分支點(diǎn)之間的互訪障礙，可以配置一個(gè)冗余中心，提高整個(gè)網(wǎng)絡(luò)的高可用性（如附圖中的長虛線連接所示）；（4 ） 特殊需求情況下，可以直接建立不經(jīng)過中心防火墻路由的直接的 5XP 之間的 LANtoLAN 加密 VPN 連接（附圖中的紅色虛線）。以上的各種聯(lián)網(wǎng)方式，可以通過我們提供的管理程序套件，用人工方式實(shí)現(xiàn)，或?qū)τ脩簟巴该鳌钡淖詣?dòng)方式實(shí)現(xiàn)。三、優(yōu)點(diǎn)1． 不需要向鏈路服務(wù)供應(yīng)商租用價(jià)格昂貴的專線或者申請(qǐng)數(shù)量巨大的公網(wǎng) IP（實(shí)際上不可能），就可以實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的廣域連接；2． PIX515 可作為分支機(jī)構(gòu)的路由網(wǎng)關(guān)，實(shí)現(xiàn)各子網(wǎng)間的跨網(wǎng)段（非公有的企業(yè)私有網(wǎng)址）訪問，在小型的分支機(jī)構(gòu) LAN 內(nèi)無須配備路由和高層交換設(shè)備；3． 基于 Keep – Alive 消息保持的網(wǎng)絡(luò) VPN 連接的連續(xù)狀態(tài)；4． 這種網(wǎng)絡(luò)連接提供所有基于 LAN to LAN 連接支持的各種網(wǎng)絡(luò)服務(wù)，如 MS Windows 的共享權(quán)限相互訪問彼此的資源（網(wǎng)上鄰居）、 傳輸服務(wù)、Netmeeting 等等；5． PIX515 提供網(wǎng)絡(luò)連接的流量管理，即在公網(wǎng)的傳輸效率保證的前提下，PIX515 提供基于策略的最小帶寬保證、帶寬限制、優(yōu)先級(jí)帶寬使用等管理功能；6． 通過 PIX515 的管理策略，可以使分部的用戶在使用 Inter 服務(wù)和企業(yè)網(wǎng)虛擬連接之間進(jìn)行“透明”的區(qū)分，而且同時(shí)使用又相互不影響。四、企業(yè)的應(yīng)用建議 目前許多分支機(jī)構(gòu)與總部之間的數(shù)據(jù)傳送通過長途撥號(hào) MODEN 傳輸或互聯(lián)網(wǎng)的郵件服務(wù)方式進(jìn)行，這種方式不僅費(fèi)用高，而且永遠(yuǎn)實(shí)現(xiàn)不了實(shí)時(shí)的集中管理，相信29 / 35企業(yè)希望有一個(gè)更加實(shí)用的解決方案。 如果在總部配置一臺(tái) NS1000 的高性能防火墻，異地分支機(jī)構(gòu)配備一臺(tái) PIX515，就可以實(shí)現(xiàn)所有分支機(jī)構(gòu)和總部的實(shí)時(shí)聯(lián)網(wǎng)，所有分支機(jī)構(gòu)的員工就象在總部辦公一樣，這對(duì)總部對(duì)分支機(jī)構(gòu)的管理將是一個(gè)極大的飛躍。此外，通過這一種網(wǎng)絡(luò)的虛擬互聯(lián)，可以實(shí)現(xiàn)總部與分支機(jī)構(gòu)間的免費(fèi) IP 電話、 IP 傳真通信，甚至用非集中的網(wǎng)絡(luò)視頻會(huì)議就可以代替大部分的人員集中式、花費(fèi)很高的各類會(huì)議；兩個(gè)或多個(gè)業(yè)務(wù)有直接連接的異地機(jī)構(gòu)或部門不需要占用總部的網(wǎng)絡(luò)資源實(shí)現(xiàn)網(wǎng)絡(luò)連接；等等。 虛擬連接通信加密分部的 PIX515 和總部的高端防火墻之間，可以建立 3 倍 DES 的 VPN 通道。VPN通道可實(shí)現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的加密和認(rèn)證，并且提供保證數(shù)據(jù)完整性的技術(shù)手段。 防火墻系統(tǒng)集中管理企業(yè)具有多個(gè)地理上分散的下屬企業(yè)，為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性，在前面的章節(jié)中我們建議總部及各分部建立相應(yīng)的防火墻系統(tǒng)。這個(gè)分散的防火墻系統(tǒng)的設(shè)置和管理就顯得非常重要，因?yàn)樗骋惶幍穆┩瑢⒂绊懻麄€(gè)企業(yè) Intra 的安全性。在此防火墻系統(tǒng)的管理上，有分散和集中兩種方式。分散方式讓各下屬企業(yè)管理各自的防火墻。此方式在大型企業(yè)中存在較大的缺點(diǎn)，首先它對(duì)各下屬企業(yè)的網(wǎng)絡(luò)管理員要求非常高，相應(yīng)提高了企業(yè)的管理成本；其次，當(dāng)下屬企業(yè)較多時(shí)，由于各自制定安全策略，存在安全隱患較大，同時(shí)，當(dāng)出現(xiàn)安全問題時(shí)，由于沒有實(shí)現(xiàn)統(tǒng)一監(jiān)控，很難判斷問題出現(xiàn)在何處，從而不能及時(shí)解決問題。集中方式將對(duì)所有防火墻實(shí)現(xiàn)集中的管理，集中制定安全策略，這將很好的克服以上缺點(diǎn)。我們推薦企業(yè)對(duì)防火墻系統(tǒng)實(shí)行統(tǒng)一的管理。 防火墻選型設(shè)計(jì)說明在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，作為當(dāng)今網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。防火墻選型設(shè)計(jì)建議書的優(yōu)劣，不僅對(duì)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計(jì)目標(biāo)起著決定性的影響，而且會(huì)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用效率產(chǎn)生極大的影響。正如前面所提到的，企業(yè)的網(wǎng)絡(luò)應(yīng)用模式在近期的一兩年后會(huì)最終全部過渡到B/S 的應(yīng)用結(jié)構(gòu)模式，而且除了各類業(yè)務(wù)應(yīng)用外，在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中還將存在音視30 / 35頻的實(shí)時(shí)應(yīng)用。因此針對(duì)這些應(yīng)用的網(wǎng)絡(luò)連接應(yīng)用和數(shù)據(jù)傳輸?shù)奶攸c(diǎn)，本建議書在充分考慮所選擇的設(shè)備安全性能的因素同時(shí)，還重點(diǎn)考慮所選設(shè)備的網(wǎng)絡(luò)處理能力。為了使防火墻設(shè)備的選型達(dá)到一個(gè)比較理想的結(jié)果，在此有必要對(duì)防火墻的選型作比較詳細(xì)的說明。（注：以下對(duì)各廠家防火墻產(chǎn)品的評(píng)價(jià)數(shù)據(jù)和結(jié)果，均來自第三方中立機(jī)構(gòu)的測(cè)試報(bào)告，這些第三方機(jī)構(gòu)包括 —— Comweb amp。 Network Test Inc. ，Tolly Group，臺(tái)灣國立交通大學(xué)信息科學(xué)所） 評(píng)價(jià)防火墻產(chǎn)品的基本要素只有清楚如何評(píng)價(jià)防火墻產(chǎn)品優(yōu)劣的方法，或者了解評(píng)價(jià)一個(gè)防火墻產(chǎn)品的基本要素，在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)中，才能作出一個(gè)最合適的選型設(shè)計(jì)建議書。評(píng)價(jià)一個(gè)防火墻產(chǎn)品優(yōu)劣所設(shè)計(jì)的因素（或者技術(shù)要素）很多，很難有一個(gè)大而全的評(píng)價(jià)方法和測(cè)試手段對(duì)防火墻產(chǎn)品的每一個(gè)方面進(jìn)行完全的評(píng)價(jià)。我們只能對(duì)防火墻產(chǎn)品的幾大方面進(jìn)行評(píng)價(jià)。對(duì)防火墻產(chǎn)品的評(píng)價(jià)一般是從安全性（側(cè)重功能方面）、技術(shù)性能指標(biāo)、管理的方便性等幾方面綜合評(píng)價(jià)。 評(píng)價(jià)防火墻的一般方法根據(jù)上節(jié)提到的幾個(gè)方面，利用具有代表性的、被大部分產(chǎn)品制造商和用戶認(rèn)同的網(wǎng)絡(luò)環(huán)境對(duì)防火墻產(chǎn)品進(jìn)行客觀測(cè)試，其結(jié)果基本上可以反映產(chǎn)品的優(yōu)劣真實(shí)情況。本建議書考慮企業(yè)的網(wǎng)絡(luò)應(yīng)用特點(diǎn)，按照以上介紹的幾方面要素，我們將從以下幾方面比較評(píng)價(jià)防火墻產(chǎn)品，如下表：評(píng)價(jià)類別 評(píng)價(jià)及比較項(xiàng)目Management1. 管理接口是否簡(jiǎn)單易用 。2. VPN tunnel 的建立過程是否簡(jiǎn)單 。3. 各家產(chǎn)品可否互通(互通性測(cè)試)Security1. 系統(tǒng)是否有安全漏洞 。2．系統(tǒng)被攻擊時(shí)是否會(huì) log 起來 。31 / 353．攻擊 DMZ 內(nèi)主機(jī)時(shí)，系統(tǒng)是否會(huì)將攻擊型態(tài) log 起來，甚至替 DMZ 內(nèi)主機(jī)阻擋攻擊 。Packet Level Firewall1. NAT 開啟及關(guān)閉時(shí)的無封包遺失最大輸出性能(noloss max throughput)及封包延遲(latency)。2. 10 及 100 條防火墻規(guī)則時(shí)的無封包遺失最大輸出性能及封包延遲。URL LevelFirewall1. 10 及 100 條 URL entries 時(shí)，一個(gè) web client 每秒鐘所能建立的連結(jié)數(shù)(connection)與輸出性能(throughput)。2. 10 及 100 條 URL entries 時(shí)的最大連結(jié)(connection)數(shù)、輸出性能以及交易延遲(transaction latency)。Content LevelFirewall1．啟及關(guān)閉 Java / ActiveX / JavaScript 時(shí)，一個(gè) web client 每秒鐘內(nèi)所能建立的連結(jié)數(shù)與輸出性能 。2．開啟及關(guān)閉 Java / ActiveX / JavaScript 時(shí)的最大連結(jié)數(shù)、輸出性能以及交易延遲 。VPN1．建立 1 個(gè) LANtoLAN tunnel 時(shí)的無封包遺失最大輸出性能及封包延遲 。2．建立 20 個(gè) LANtoLAN tunnel 時(shí)的無封包遺失最大輸出性能及封包延遲 。 幾種流行防火墻產(chǎn)品的比較 附件為獨(dú)立的第三方測(cè)試機(jī)構(gòu)的評(píng)測(cè)報(bào)告，有的側(cè)重于功能比較，有的側(cè)重于性能參數(shù)比較，供參考。結(jié)論：從我們對(duì)防火墻產(chǎn)品的認(rèn)識(shí)，以及參考第三方的測(cè)試結(jié)果來看，在設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案時(shí)，選擇 PIX 的防火墻是目前最佳的選擇。32 / 35 PIX 防火墻主要安全解決方案功能介紹： HAHA 高可用性是 PIX 產(chǎn)品的最重要功能之一 VSYSPIX允許在一臺(tái)物理防火墻中創(chuàng)建多個(gè)虛擬防火墻系統(tǒng)，每個(gè)虛擬系統(tǒng)擁有獨(dú)立的地址簿、策略和管理等功能。 VLAN標(biāo)記相結(jié)合，把安全域延伸到整個(gè)交換網(wǎng)絡(luò)中。PIX設(shè)備和相應(yīng)的VLAN交換網(wǎng)絡(luò)，可以表現(xiàn)為多個(gè)具有完全安全特性的防火墻系統(tǒng)。優(yōu)點(diǎn)：簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)、降低維護(hù)成本?；赩LAN的邏輯子接口，除了配合不同的Vsys通過一個(gè)物理接口連接到多個(gè)網(wǎng)絡(luò)外，還可以單獨(dú)使用，其表現(xiàn)就像一個(gè)獨(dú)立的物理接口一樣具有眾多的可配置特性。防火墻系統(tǒng)會(huì)識(shí)別帶由tag的幀，并轉(zhuǎn)換成正常的以太幀進(jìn)行防火檢測(cè)、路由、策略等基本操作。4GSW12GSW133 / 35 ModePIX產(chǎn)品有三種工作模式：Transparent，Route，NAT。三種工作模式下，所有用戶和服務(wù)器上現(xiàn)存的應(yīng)用程序都不需修改。Transparent方式可以將防火墻無縫隙地下裝到任何現(xiàn)存的網(wǎng)絡(luò)，而無須重新編號(hào)，無須重新設(shè)計(jì)網(wǎng)絡(luò)，也不必要停工。在這種方式下，防火墻將相同子網(wǎng)的網(wǎng)段橋接起來。防火墻建立一個(gè)MAC學(xué)習(xí)表，自動(dòng)地自學(xué)哪些幀要進(jìn)行轉(zhuǎn)發(fā)，哪些幀要忽略。對(duì)要轉(zhuǎn)發(fā)的幀，再進(jìn)行狀態(tài)檢查，實(shí)現(xiàn)防火、VPN、流量管理等基本功能。Route方式能夠在無須地址轉(zhuǎn)換的網(wǎng)絡(luò)之間插入防火墻。這種方式可用于保護(hù)同一企業(yè)網(wǎng)內(nèi)部的局域網(wǎng)，免遭內(nèi)部人員的偷窺或盜竊。防火墻的作用相當(dāng)于一臺(tái)路由器，同時(shí)執(zhí)行嚴(yán)格策略檢查、攻擊檢測(cè)等。Route方式下可以同時(shí)實(shí)現(xiàn)NAT功能。NAT方式用在需要做私有地址到公有地址轉(zhuǎn)換的網(wǎng)絡(luò)環(huán)境中。三種工作模式下的網(wǎng)絡(luò)環(huán)境示意圖如下：Vsys 1Vsys 2Vsys 334 / 35 流量控制功能PIX 防火墻的技術(shù)核心是 ASIC，可以硬件完成三大功能：防火墻、VPN、流量管理。流量管理允許網(wǎng)絡(luò)管理員實(shí)時(shí)監(jiān)視、分析和分配供各類網(wǎng)絡(luò)流量使用的帶寬，確保在部分用戶使用網(wǎng)絡(luò)時(shí)不會(huì)損害關(guān)鍵業(yè)務(wù)型流量。PIX 專利流量算法可以精確控制帶寬分配：設(shè)置有保障的帶寬和最大帶寬，類似于幀中繼的帶寬管理性能；通過 8 級(jí)優(yōu)先級(jí)，為流量分配優(yōu)先權(quán)；Diffserv。PIX 防火墻對(duì)流量的控制是基于 Policy 的。因?yàn)榉阑饓?duì) Policy 的控制可以根據(jù)源地址、目標(biāo)地址、源端口、目標(biāo)端口、以及時(shí)間段等多種相當(dāng)靈活的因素，因此對(duì)流量的控制也是高度靈活的。應(yīng)用流量控制，可以防止某些應(yīng)用或某些用戶無限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。 針對(duì)企業(yè)網(wǎng)絡(luò)，建議采用的解決方案 不改動(dòng)現(xiàn)有網(wǎng)絡(luò)設(shè)置Mode VSYS HA 適合的PIX設(shè)備應(yīng)用PIX設(shè)備的Transparent模式，Transparent模式下不支持對(duì)VSYS的Transparent模式下PIX防PIX515PIX52535 / 35可以保持現(xiàn)有的網(wǎng)絡(luò)設(shè)置，而無需做任何改動(dòng)。支持，但支持VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門或不同的應(yīng)用火墻可以支持ActivePassive的HAPIX535 改動(dòng)現(xiàn)有網(wǎng)絡(luò)設(shè)置（或新建設(shè)的網(wǎng)絡(luò)）Mode VSYS HA 適合的 PIX設(shè)備應(yīng)用 PIX 設(shè)備的 Route 模式，只需改動(dòng)原有網(wǎng)絡(luò)的路由信息。用戶原先的應(yīng)用設(shè)備不需改動(dòng)配置。Route 模式下支持 VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門或不同的應(yīng)用；同時(shí)支持 VSYS，可以把PIX 防火墻虛擬成多個(gè)邏輯防火墻供不同的部門或不同的應(yīng)用使用Route 模式下 PIX 防火墻可以支持ActivePassive 的 HA以及 FullMeshed ActiveActive HA，從高可用性和性能的角度來綜合考慮，建議采用 FullMeshed ActiveActive HA 方案PIX515/525/535 支持 ActivePassive HA； 產(chǎn)品主要性能列表