【導(dǎo)讀】企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書。設(shè)設(shè)計計建建議議書書。思思威威普普科科技技

　　

【正文】 選用 PIX515 產(chǎn)品； 二、組網(wǎng)原理及聯(lián)網(wǎng)功能 組網(wǎng)原理如下圖： 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 27 上圖中，所 有接入互聯(lián)網(wǎng)的 PIX515（公網(wǎng) IP 地址或私網(wǎng) IP 地址），通過總部的防火墻 PIX535 系列（公網(wǎng) IP）建立以下幾種網(wǎng)絡(luò)連接（ LANtoLAN）： （ 1） 所有分支機(jī)構(gòu) LAN 與總部 LAN 之間的加密、認(rèn)證（ VPN）連接（如附圖中的黑色實線）； （ 2） 所有通過 5XP 連接的 LAN 互相可以建立通過中心防火墻路由的 LAN 加密虛擬連接，即 Hubamp。Spoke 方式的 VPN 連接（如附圖中的藍(lán)色和綠色虛線）； （ 3） 為防止中心點(diǎn)因為各種原因而導(dǎo)致防火墻不可訪問，從而造成分支點(diǎn)之間的互訪障礙，可以配置一個冗余中心，提高整個網(wǎng)絡(luò)的高可用性（如附圖中 的長虛線連接所示）； （ 4） 特殊需求情況下，可以直接建立不經(jīng)過中心防火墻路由的直接的 5XP 之間的 LANtoLAN 加密 VPN 連接（附圖中的紅色虛線）。 以上的各種聯(lián)網(wǎng)方式，可以通過我們提供的管理程序套件，用人工方式實現(xiàn)，或?qū)τ脩簟巴该鳌钡淖詣臃绞綄崿F(xiàn)。 三、優(yōu)點(diǎn) 1． 不需要向鏈路服務(wù)供應(yīng)商租用價格昂貴的專線或者申請數(shù)量巨大的公網(wǎng) IP（實際上不可能），就可以實現(xiàn)企業(yè)網(wǎng)絡(luò)的廣域連接； 2． PIX515 可作為分支機(jī)構(gòu)的路由網(wǎng)關(guān)，實現(xiàn)各子網(wǎng)間的跨網(wǎng)段（非公有的企業(yè)私有網(wǎng)址）訪問，在小型的分支機(jī)構(gòu) LAN 內(nèi)無須配備路由和高層交換設(shè) 備； 3． 基于 Keep – Alive 消息保持的網(wǎng)絡(luò) VPN 連接的連續(xù)狀態(tài)； 4． 這種網(wǎng)絡(luò)連接提供所有基于 LAN to LAN 連接支持的各種網(wǎng)絡(luò)服務(wù)，如 MS Windows 的共享權(quán)限相互訪問彼此的資源（網(wǎng)上鄰居）、 傳輸服務(wù)、Netmeeting 等等； 5． PIX515 提供網(wǎng)絡(luò)連接的流量管理，即在公網(wǎng)的傳輸效率保證的前提下， PIX515提供基于策略的最小帶寬保證、帶寬限制、優(yōu)先級帶寬使用等管理功能； 6． 通過 PIX515 的管理策略，可以使分部的用戶在使用 Inter 服務(wù)和企業(yè)網(wǎng)虛擬連接之間進(jìn)行“透明”的區(qū)分，而 且同時使用又相互不影響。 四、企業(yè)的應(yīng)用建議 目前許多分支機(jī)構(gòu)與總部之間的數(shù)據(jù)傳送通過長途撥號 MODEN 傳輸或互聯(lián)網(wǎng)的郵件服務(wù)方式進(jìn)行，這種方式不僅費(fèi)用高，而且永遠(yuǎn)實現(xiàn)不了實時的集中管理，相信企業(yè)希望有一個更加實用的解決方案。 如果在總部配置一臺 NS1000 的高性能防火墻，異地分支機(jī)構(gòu)配備一臺 PIX515，就可以實現(xiàn)所有分支機(jī)構(gòu)和總部的實時聯(lián)網(wǎng)，所有分支機(jī)構(gòu)員工就象在總部辦公一企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 28 樣，這對總部對分支機(jī)構(gòu)的管理將是一個極大的飛躍。此外，通過這一種網(wǎng)絡(luò)的虛擬互聯(lián)，可以實現(xiàn)總部與分支機(jī)構(gòu)間的免費(fèi) IP 電話、 IP 傳真通信，甚至用非集中的網(wǎng)絡(luò)視頻會議就可以代替大部分的人員集中式、花費(fèi)很高的各類會議；兩個或多個業(yè)務(wù)有直接連接的異地機(jī)構(gòu)或部門不需要占用總部的網(wǎng)絡(luò)資源實現(xiàn)網(wǎng)絡(luò)連接；等等。 虛擬連接通信加密 分部的 PIX515 和總部的高端防火墻之間，可以建立 3 倍 DES 的 VPN 通道。 VPN通道可實現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的加密和認(rèn)證，并且提供保證數(shù)據(jù)完整性的技術(shù)手段。 防火墻系統(tǒng)集中管理 企業(yè)具有多個地理上分散的下屬企業(yè)，為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性，在前面的章節(jié)中我們建議總部及各分部建立相應(yīng)的防火墻系統(tǒng)。這個分散的防火墻系統(tǒng)的設(shè)置和管理就顯得非常重要，因為它某一處的漏同將影響整個企業(yè) Intra 的安全性。 在此防火墻系統(tǒng)的管理上，有分散和集中兩種方式。分散方式讓各下屬企業(yè)管理各自的防火墻。此方式在大型企業(yè)中存在較大的缺點(diǎn)，首先它對各下屬企業(yè)的網(wǎng)絡(luò)管理員要求非常高，相應(yīng)提高了企業(yè)的管理成本；其次，當(dāng)下屬企業(yè)較多時，由于各自制定安全策略，存在安全隱患較大，同時，當(dāng)出現(xiàn)安全問題時，由于沒有實現(xiàn)統(tǒng)一監(jiān)控，很難判斷問題出現(xiàn)在何處，從而不能及時解決問題。集中方式將對所有防火墻實現(xiàn)集中的管理，集中制定安全策略，這將很好的克服以上缺點(diǎn)。 我們推薦 企業(yè)對防火墻系統(tǒng)實行統(tǒng)一的管理。 防火墻選型設(shè)計說明 在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，作為當(dāng)今網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。防火墻選型設(shè)計建議書的優(yōu)劣，不僅對實現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計目標(biāo)起著決定性的影響，而且會對整個網(wǎng)絡(luò)系統(tǒng)的應(yīng)用效率產(chǎn)生極大的影響。 正如前面所提到的，企業(yè)的網(wǎng)絡(luò)應(yīng)用模式在近期的一兩年后會最終全部過渡到 B/S的應(yīng)用結(jié)構(gòu)模式，而且除了各類業(yè)務(wù)應(yīng)用外，在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中還將存在音視頻的實時應(yīng)用。因此針對這些應(yīng)用的網(wǎng)絡(luò)連接應(yīng)用和數(shù)據(jù)傳輸?shù)奶攸c(diǎn)，本建議書在充分考慮所選擇的設(shè)備安 全性能的因素同時，還重點(diǎn)考慮所選設(shè)備的網(wǎng)絡(luò)處理能力。 為了使防火墻設(shè)備的選型達(dá)到一個比較理想的結(jié)果，在此有必要對防火墻的選型作企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 29 比較詳細(xì)的說明。 （注：以下對各廠家防火墻產(chǎn)品的評價數(shù)據(jù)和結(jié)果，均來自第三方中立機(jī)構(gòu)的測試報告，這些第三方機(jī)構(gòu)包括 —— Comweb amp。 Network Test Inc. ， Tolly Group，臺灣國立交通大學(xué)信息科學(xué)所） 評價防火墻產(chǎn)品的基本要素 只有清楚如何評價防火墻產(chǎn)品優(yōu)劣的方法，或者了解評價一個防火墻產(chǎn)品的基本要素，在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計中，才能作出一個最合適的選型設(shè)計建 議書。 評價一個防火墻產(chǎn)品優(yōu)劣所設(shè)計的因素（或者技術(shù)要素）很多，很難有一個大而全的評價方法和測試手段對防火墻產(chǎn)品的每一個方面進(jìn)行完全的評價。我們只能對防火墻產(chǎn)品的幾大方面進(jìn)行評價。 對防火墻產(chǎn)品的評價一般是從安全性（側(cè)重功能方面）、技術(shù)性能指標(biāo)、管理的方便性等幾方面綜合評價。 評價防火墻的一般方法 根據(jù)上節(jié)提到的幾個方面，利用具有代表性的、被大部分產(chǎn)品制造商和用戶認(rèn)同的網(wǎng)絡(luò)環(huán)境對防火墻產(chǎn)品進(jìn)行客觀測試，其結(jié)果基本上可以反映產(chǎn)品的優(yōu)劣真實情況。 本建議書考慮企業(yè)的網(wǎng)絡(luò)應(yīng)用特點(diǎn)，按照以上介紹的幾方面要素，我們將 從以下幾方面比較評價防火墻產(chǎn)品，如下表： 評價 類別 評價及 比較項目 Management 1. 管理接口是否簡單易用 。 2. VPN tunnel 的建立過程是否簡單 。 3. 各家產(chǎn)品可否互通 (互通性測試 ) Security 1. 系統(tǒng)是否有安全漏洞 。 2． 系統(tǒng)被攻擊時是否會 log 起來 。 3． 攻擊 DMZ 內(nèi)主機(jī)時，系統(tǒng)是否會將攻擊型態(tài) log 起來，甚至替 DMZ 內(nèi)主機(jī)阻擋攻擊 。 Packet Level Firewall 1. NAT 開啟及關(guān)閉時的無封包遺失最大輸出性能 (noloss max throughput)及封包延遲 (latency)。 2. 10 及 100 條防火墻規(guī)則時的無封包遺失最大輸出性能及封包企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 30 延遲。 URL Level Firewall 1. 10 及 100 條 URL entries 時，一個 web client 每秒鐘所能建立的連結(jié)數(shù) (connection)與輸出性能 (throughput)。 2. 10 及 100 條 URL entries 時的最大連結(jié) (connection)數(shù)、輸出性能以及交易延遲 (transaction latency)。 Content Level Firewall 1． 啟及關(guān)閉 Java / ActiveX / JavaScript 時，一個 web client 每秒鐘內(nèi)所能建立的連結(jié)數(shù)與輸出性能 。 2． 開啟及關(guān)閉 Java / ActiveX / JavaScript 時的最大連結(jié)數(shù)、輸出性能以及交易延遲 。 VPN 1． 建立 1 個 LANtoLAN tunnel 時的無封包遺失最大輸出性能及封包延遲 。 2．建立 20 個 LANtoLAN tunnel 時的無封包遺失最大輸出性能及封包延遲 。 幾種流行防火墻產(chǎn)品的比較 附件為獨(dú)立的 第三方測試機(jī)構(gòu)的評測報告，有的側(cè)重于功能比較，有的側(cè)重于性能參數(shù)比較，供參考。 結(jié)論： 從我們對防火墻產(chǎn)品的認(rèn)識，以及參考第三方的測試結(jié)果來看，在設(shè)計企業(yè)網(wǎng)絡(luò)安全方案時，選擇 PIX 的防火墻是目前最佳的選擇。 PIX 防火墻主要安全解決方案功能介紹： HA HA 高可用性是 PIX 產(chǎn)品的最重要功能之一 4G SW1 2G SW1 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 31 VSYS PIX允許在一臺物理防火墻中創(chuàng)建多個虛擬防火墻系統(tǒng)，每個虛擬系統(tǒng)擁有獨(dú)立的地址簿、策略和管理等功能。虛擬系統(tǒng)與 VLAN標(biāo)記相結(jié)合，把安全域延伸到整個交換網(wǎng)絡(luò)中。 PIX設(shè)備和相應(yīng)的 VLAN交 換網(wǎng)絡(luò)，可以表現(xiàn)為多個具有完全安全特性的防火墻系統(tǒng)。優(yōu)點(diǎn)：簡化網(wǎng)絡(luò)結(jié)構(gòu)、降低維護(hù)成本?；?VLAN的邏輯子接口，除了配合不同的 Vsys通過一個物理接口連接到多個網(wǎng)絡(luò)外，還可以單獨(dú)使用，其表現(xiàn)就像一個獨(dú)立的物理接口一樣具有眾多的可配置特性。防火墻系統(tǒng)會識別帶由 tag的幀，并轉(zhuǎn)換成正常的以太幀進(jìn)行防火檢測、路由、策略等基本操作。 Mode PIX產(chǎn)品有三種工作模式： Transparent， Route， NAT。三種工作模式下，所有用戶和服務(wù)器上現(xiàn)存的應(yīng)用程序都不需修改。 Transparent方式可以將防火 墻無縫隙地下裝到任何現(xiàn)存的網(wǎng)絡(luò)，而無須重新編號，無須重新設(shè)計網(wǎng)絡(luò)，也不必要停工。在這種方式下，防火墻將相同子網(wǎng)的網(wǎng)段橋接起來。防火墻建立一個 MAC學(xué)習(xí)表，自動地自學(xué)哪些幀要進(jìn)行轉(zhuǎn)發(fā)，哪些幀要忽略。對要轉(zhuǎn)發(fā)的幀，再進(jìn)行狀態(tài)檢查，實現(xiàn)防火、 VPN、流量管理等基本功能。 Route方式能夠在無須地址轉(zhuǎn)換的網(wǎng)絡(luò)之間插入防火墻。這種方式可用于保護(hù)同一企業(yè)網(wǎng)內(nèi)部的局域網(wǎng)，免遭內(nèi)部人員的偷窺或盜竊。防火墻的作用相當(dāng)于一臺路由器，同時執(zhí)行嚴(yán)格策略檢查、攻擊檢測等。 Route方式下可以同時實現(xiàn) NAT功能。 Vsys 1 Vsys 2 Vsys 3 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 32 NAT方式用在需要 做私有地址到公有地址轉(zhuǎn)換的網(wǎng)絡(luò)環(huán)境中。 三種工作模式下的網(wǎng)絡(luò)環(huán)境示意圖如下： 流量控制功能 PIX 防火墻的技術(shù)核心是 ASIC，可以硬件完成三大功能：防火墻、 VPN、流量管理。流量管理允許網(wǎng)絡(luò)管理員實時監(jiān)視、分析和分配供各類網(wǎng)絡(luò)流量使用的帶寬，確保在部分用戶使用網(wǎng)絡(luò)時不會損害關(guān)鍵業(yè)務(wù)型流量。 PIX專利流量算法可以精確控制帶寬分配：設(shè)置有保障的帶寬和最大帶寬，類似于幀中繼的帶寬管理性能；通過 8 級優(yōu)先級，為流量分配優(yōu)先權(quán)； Diffserv。 PIX 防火墻對流量的控制是基于 Policy 的。因為防火墻對 Policy 的控制可以根據(jù)源地址、目標(biāo)地址、源端口、目標(biāo)端口、以及時間段等多種相當(dāng)靈活的因素，因此對流量的控制也是高度靈活的。 應(yīng)用流量控制，可以防止某些應(yīng)用或某些用戶無限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。 針對企業(yè)網(wǎng)絡(luò)，建議采用的解決方案 不改動現(xiàn)有網(wǎng)絡(luò)設(shè)置 Mode VSYS HA 適合的 PIX企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 33 設(shè)備 應(yīng)用 PIX設(shè)備的Transparent模式，可以保持現(xiàn)有的網(wǎng)絡(luò)設(shè)置，而無需做任何改動。 Transparent 模式下不支持對 VSYS的支 持 ， 但 支 持 VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門或不同的應(yīng)用 Transparent模式下 PIX防火墻可以支持ActivePassive的 HA PIX515 PIX525 PIX535 改動現(xiàn)有網(wǎng)絡(luò)設(shè)置（或新建設(shè)的網(wǎng)絡(luò)） Mode VSYS HA 適合的 PIX設(shè)備 應(yīng)用 PIX設(shè)備的Route 模式，只需改動原有網(wǎng)絡(luò)的路由信息。用戶原先的應(yīng)用設(shè)備不需改動配置。 Route 模式下支持 VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門或不同的應(yīng)用；同時支持 VSYS，可以把 PIX防火墻虛擬成多個邏輯防火墻供不 同的部門或不同的應(yīng)用使用 Route 模式下 PIX 防火墻可以支持ActivePassive的 HA 以及FullMeshed ActiveActive HA，從高可用性和性能的角度來綜合考慮，建議采用FullMeshed ActiveActive HA 方案 PIX515/525/535 支持ActivePassive HA； PIX 產(chǎn)品主要性能列表