【正文】 Transparent 模式下不支持對 VSYS的支 持 ， 但 支 持 VLAN tag，可以配合局部的交換機使用，由交換機區(qū)別不同部門或不同的應(yīng)用 Transparent模式下 PIX防火墻可以支持ActivePassive的 HA PIX515 PIX525 PIX535 改動現(xiàn)有網(wǎng)絡(luò)設(shè)置（或新建設(shè)的網(wǎng)絡(luò)） Mode VSYS HA 適合的 PIX設(shè)備 應(yīng)用 PIX設(shè)備的Route 模式，只需改動原有網(wǎng)絡(luò)的路由信息。 PIX 防火墻對流量的控制是基于 Policy 的。 Vsys 1 Vsys 2 Vsys 3 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 32 NAT方式用在需要 做私有地址到公有地址轉(zhuǎn)換的網(wǎng)絡(luò)環(huán)境中。 Route方式能夠在無須地址轉(zhuǎn)換的網(wǎng)絡(luò)之間插入防火墻。 Transparent方式可以將防火 墻無縫隙地下裝到任何現(xiàn)存的網(wǎng)絡(luò)，而無須重新編號，無須重新設(shè)計網(wǎng)絡(luò)，也不必要停工?；?VLAN的邏輯子接口，除了配合不同的 Vsys通過一個物理接口連接到多個網(wǎng)絡(luò)外，還可以單獨使用，其表現(xiàn)就像一個獨立的物理接口一樣具有眾多的可配置特性。 PIX 防火墻主要安全解決方案功能介紹： HA HA 高可用性是 PIX 產(chǎn)品的最重要功能之一 4G SW1 2G SW1 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 31 VSYS PIX允許在一臺物理防火墻中創(chuàng)建多個虛擬防火墻系統(tǒng)，每個虛擬系統(tǒng)擁有獨立的地址簿、策略和管理等功能。 VPN 1． 建立 1 個 LANtoLAN tunnel 時的無封包遺失最大輸出性能及封包延遲 。 URL Level Firewall 1. 10 及 100 條 URL entries 時，一個 web client 每秒鐘所能建立的連結(jié)數(shù) (connection)與輸出性能 (throughput)。 2． 系統(tǒng)被攻擊時是否會 log 起來 。 評價防火墻的一般方法 根據(jù)上節(jié)提到的幾個方面，利用具有代表性的、被大部分產(chǎn)品制造商和用戶認同的網(wǎng)絡(luò)環(huán)境對防火墻產(chǎn)品進行客觀測試，其結(jié)果基本上可以反映產(chǎn)品的優(yōu)劣真實情況。 Network Test Inc. ， Tolly Group，臺灣國立交通大學信息科學所） 評價防火墻產(chǎn)品的基本要素 只有清楚如何評價防火墻產(chǎn)品優(yōu)劣的方法，或者了解評價一個防火墻產(chǎn)品的基本要素，在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計中，才能作出一個最合適的選型設(shè)計建 議書。 正如前面所提到的，企業(yè)的網(wǎng)絡(luò)應(yīng)用模式在近期的一兩年后會最終全部過渡到 B/S的應(yīng)用結(jié)構(gòu)模式，而且除了各類業(yè)務(wù)應(yīng)用外，在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中還將存在音視頻的實時應(yīng)用。集中方式將對所有防火墻實現(xiàn)集中的管理，集中制定安全策略，這將很好的克服以上缺點。這個分散的防火墻系統(tǒng)的設(shè)置和管理就顯得非常重要，因為它某一處的漏同將影響整個企業(yè) Intra 的安全性。此外，通過這一種網(wǎng)絡(luò)的虛擬互聯(lián)，可以實現(xiàn)總部與分支機構(gòu)間的免費 IP 電話、 IP 傳真通信，甚至用非集中的網(wǎng)絡(luò)視頻會議就可以代替大部分的人員集中式、花費很高的各類會議；兩個或多個業(yè)務(wù)有直接連接的異地機構(gòu)或部門不需要占用總部的網(wǎng)絡(luò)資源實現(xiàn)網(wǎng)絡(luò)連接；等等。 以上的各種聯(lián)網(wǎng)方式，可以通過我們提供的管理程序套件，用人工方式實現(xiàn)，或?qū)τ脩簟巴该鳌钡淖詣臃绞綄崿F(xiàn)。 PIX 不僅具有防火墻和 VPN 的實用功能，同時提供了在網(wǎng)絡(luò)應(yīng)用上的功能（詳細參見 PIX 的功能介紹附件），這些功能在小部門的網(wǎng)絡(luò)互聯(lián)（ LAN to LAN）應(yīng)用中非常實用，它使 PIX 在網(wǎng)絡(luò)互聯(lián)中承擔了互聯(lián)“網(wǎng)關(guān)”的作用，從而省缺了這些小部門之間的LAN 互聯(lián)時需要配置價格不菲高層交換和路由設(shè)備。企業(yè)可直接通過總部 PIX高端防火墻和各分部的中端 PIX（建議采用 PIX515）防火墻，在總部與各分部之間建立起 VPN通道，加密廣域網(wǎng)傳輸?shù)臄?shù)據(jù)。在本方案設(shè)計采用的 PIX防火墻就是這一種設(shè)備。本方案選擇 PIX515 防火墻配備各分部。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 25 在總部的物理出入口，可以是對外提供公共服務(wù)的出入口（ 設(shè)計的）與企業(yè)虛擬連接廣域網(wǎng)的接入口為同一個物理接口，即由同一個 Inter 公網(wǎng)節(jié)點提供連接 ；也可以是各自獨立的接口，即由不同的公網(wǎng)節(jié)點提供連接服務(wù)。 PIX525 特別適合帶寬要求高的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 24 大型企業(yè)環(huán)境 。 數(shù)字鏈路專網(wǎng)SiSi SiSi中心交換機防火墻中集廣域網(wǎng)結(jié)構(gòu)示意圖路由器深圳總部路由器防火墻中心交換機LAN路由器防火墻中心交換機LAN. . . . . .路由器防火墻中心交換機LANLAN分公司 分公司 分公司 企業(yè)廣域網(wǎng)存在 ERP、 VoIP、視頻會議等各種高帶寬應(yīng)用，特別總部是整個企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)中心，進出的信息流量龐大，推薦采用兩臺處理性能很強的 PIX525 防火墻，實現(xiàn)冗余備份（ ActiveActive 方式）和負載均衡。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 23 企業(yè)內(nèi)部防范主要是確?？偛亢透鞴镜陌踩?，加強廣域網(wǎng)的進出口控制，我們建議在總部及各分部的廣域網(wǎng)出口處配備防火墻來加強內(nèi)部網(wǎng)絡(luò)保護，見下圖。為了構(gòu)建安全的通信通道，必須把這一軟件與 IPSec 網(wǎng)關(guān)結(jié)合使用（如 PIX 家族安全設(shè)備），或與運行 IPSec 兼容軟件的另一臺主機結(jié)合使用（如 ASDM）。為允許合法用戶訪問公司網(wǎng)絡(luò)，同時確保通過 Inter 進行的業(yè)務(wù)應(yīng)用的安全性，我們建議采取 VPN 通訊方式。 簡要介紹 Cisco 公司和它的防火墻產(chǎn)品 我們設(shè)計企業(yè) Inter 出口處采用兩臺組成雙機模式的 Cisco 防火墻（以 PIX515為例）。每臺防火墻均提供 4 個網(wǎng)絡(luò)接口，分別連接 Inter，中立區(qū)和內(nèi)部網(wǎng)絡(luò)兩臺中心交換機。 Inter 進出口控制 綿陽總部是整個企業(yè)的中心最重要網(wǎng)絡(luò)，通過廣域網(wǎng)鏈路連接分布在各地的分部，開展各種業(yè)務(wù)應(yīng)用，并采用專線連接互聯(lián)網(wǎng)獲取有用信息。） 在網(wǎng)絡(luò)邊界設(shè)置進出口控制，可以防御外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡(luò)安全的第一道關(guān)卡，其重要性不言而喻。所以建議也將漏洞掃描和入侵檢測系統(tǒng)放在防火墻系統(tǒng)建設(shè)完成后的第二階段實施。 動態(tài)認證系統(tǒng)是對網(wǎng)絡(luò)用戶對具體的應(yīng)用系統(tǒng)或網(wǎng)絡(luò)資源訪問控制的一種加強手段。 本建議書將 重點對防火墻系統(tǒng)（包括 VPN 應(yīng)用系統(tǒng)）提出設(shè)計建議。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 18 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 19 4 網(wǎng)絡(luò)安全系統(tǒng)的實施建議 基于以上的規(guī)劃和分析，我們建議企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的，分兩個步驟（兩期）分別實現(xiàn)以下各個安全子系統(tǒng)： 防火墻系統(tǒng) VPN 系統(tǒng) 動態(tài)認證系統(tǒng) 系統(tǒng)設(shè)計的基本原 則 實用、先進、可發(fā)展是安全系統(tǒng)設(shè)計的基本原則。但是在今天已經(jīng)出現(xiàn)了滿足網(wǎng)絡(luò)層全部應(yīng)用的 、功能強大、性能優(yōu)異的防火墻產(chǎn)品，如 Cisco 防火墻。 在企業(yè)企業(yè)網(wǎng)的 VPN 應(yīng)用中，采用三倍 DES 的加密技術(shù)，這是目前可以獲得的最先進和實用的網(wǎng)絡(luò)通信加密技術(shù)手段。 從互聯(lián)網(wǎng)入口進入企業(yè)網(wǎng)的用戶，可以被防火墻有效地進行類別劃分，即區(qū)分為通過互聯(lián)網(wǎng)進入內(nèi)部網(wǎng)的企業(yè)移動用戶或外部的公共訪問者，對于要求進入企業(yè)內(nèi)部網(wǎng)的訪問者進行用戶的授權(quán)認證，攔截沒有用戶權(quán)限的訪問者試圖進入內(nèi)部網(wǎng)。 通過對各類防火墻的比較分析，我們認為目前面向 B/S 結(jié)構(gòu)應(yīng)用的防火墻設(shè)備，硬件防火墻是最為明智的選擇。 眾所周知，防火墻作為網(wǎng)絡(luò)設(shè)備，對網(wǎng)絡(luò)性能影響最為主要的是兩個參數(shù)指標，一個是防火墻的 TCP 連接處理能力（并發(fā)會話處理數(shù)），另一個是防火墻對網(wǎng)絡(luò)數(shù)據(jù)流量的吞吐能力（帶寬參數(shù)）。在未來一兩年內(nèi)，企業(yè)的應(yīng)用系統(tǒng)將大部分實現(xiàn)集中式的 B/S 結(jié)構(gòu)模式。 任何一個應(yīng)用系統(tǒng)提供的應(yīng)用，都是依賴于網(wǎng)絡(luò)的各個層次來實現(xiàn)應(yīng)用信息的處理和傳送，應(yīng)用系統(tǒng)最終是通過向所有的網(wǎng)絡(luò)用戶提供使用來達到其應(yīng)用的目的。防火墻作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分，和其他網(wǎng)絡(luò)設(shè)備一樣，其性能目標應(yīng)該按照網(wǎng)絡(luò)系統(tǒng)的應(yīng)用要求進行選型設(shè)計。 以上討論了企業(yè)網(wǎng)絡(luò)系統(tǒng)各個不同應(yīng)用的安全認證問題，不難看出，上述的應(yīng)用都必須在原有的單一靜態(tài)認證基礎(chǔ)上，增加更加 強大的認證手段，因此我們建議在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)內(nèi)引入動態(tài)認證機制，即動態(tài)的 SecurID。在員工進入 ERP 系統(tǒng)時需要輸入用戶名稱和密碼，同樣的原因，單一靜態(tài)密碼不安全性使得我們有必要在ERP 系統(tǒng)上采用強的認證機制，保證不同權(quán)限的、不同級別的用戶安全合法的使用 ERP系統(tǒng)。因此我們必須在移動用戶訪問上增加更加強大的手段對移動用戶進行控制管理。因此對登錄網(wǎng)絡(luò)設(shè)備的人員進行強的身份認證是完全必要的。 目前企業(yè)的主機系統(tǒng)仍然沿用單一密碼的身份認證方式，這種簡單的身份認證存在以下安全隱患： ? 網(wǎng)絡(luò)入侵者，很容易猜測或破解賬號、密碼，利用他人的帳戶登錄，進行非法操作。 應(yīng)用安全管理需求分析 應(yīng)用層安全主要是對應(yīng)用資源的有效性進行控制，管理和控制什么用戶對資源具有什么權(quán)限。另外，系統(tǒng)權(quán)限管理的松懈也是造成安全漏洞的重要原因。 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 12 系統(tǒng)安全需求分析 各種操作系統(tǒng)是應(yīng)用運行的基礎(chǔ)，應(yīng)用系統(tǒng)的安全性，在相當大的程度之上受到操作系統(tǒng)安全性的影響。因此毫無疑問，同樣的理由，這種連網(wǎng)方式的廣域網(wǎng)，其VPN 和防火墻的應(yīng)用，比通過第三方專線鏈路更加迫切需要。能夠有效地擔負這一保護作用角色的是性能和功能強大的防火墻系統(tǒng)。所以在企業(yè)廣域網(wǎng)內(nèi)采取網(wǎng)絡(luò)連接保護是必須的措施。我們認為在企業(yè) 廣域連接的網(wǎng)絡(luò)系統(tǒng)內(nèi)有必要引入防火墻的應(yīng)用，原因如下兩方面。 因此，為了消除這類風險的存在，我們認為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必須能夠?qū)υ趶V域網(wǎng)上傳輸?shù)乃袛?shù)據(jù)進 行加密（數(shù)據(jù)發(fā)出方）和解密（數(shù)據(jù)接收方）處理，即 VPN 應(yīng)用。因此企業(yè)的網(wǎng)絡(luò)系統(tǒng)從其結(jié)構(gòu)而言是一個在物理上廣域連接的企業(yè)網(wǎng)絡(luò)系統(tǒng)，我們認為企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)必須考慮兩方面的安全措施： （一）網(wǎng)絡(luò)通信加密（ VPN 應(yīng)用） 廣域網(wǎng)絡(luò)通信連接將通過第三方鏈路進行。由此企業(yè)企業(yè)網(wǎng)必須向外“開門”，象所有連接互聯(lián)網(wǎng)的企業(yè)網(wǎng)一樣，企業(yè)網(wǎng)不可避免地存在，遭受到來自外部的惡意攻擊和破壞、各種各樣病毒傳播的可能性。本章將根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)及應(yīng)用，詳細分析企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全需求。 從網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用平臺對網(wǎng)絡(luò)協(xié)議層次的依 賴關(guān)系不難看出，只有對網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)層次的所有層實施相應(yīng)有效的技術(shù)措施，才 能實現(xiàn)對網(wǎng)絡(luò)資源的安全保護。 構(gòu)建安全系統(tǒng)的基本目標 在上述的三維結(jié)構(gòu)的安全體系中，安全服務(wù)維 是向網(wǎng)絡(luò)系統(tǒng)的各個部分和每一個層次，提供安全保證的各種技術(shù)手段和措施。通過技術(shù)手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個協(xié)議層次提供的各種 安全服務(wù)。與 TCP/IP 層次對應(yīng)，可以把會話層、表示、應(yīng)用層統(tǒng)一為“應(yīng)用層”。 為了系統(tǒng)、科學地分析網(wǎng)絡(luò)安全系統(tǒng)涉及的各種安全問題，網(wǎng)絡(luò)安全技術(shù)專家們提出了三維安全體系結(jié)構(gòu)，并在其基礎(chǔ)上抽象地總結(jié)了能夠指導安全系統(tǒng)總體設(shè)計的三維安全體系（見圖 11），它反映了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性。安全需要付出代價（資金、性能損失等），但是任何單純?yōu)榱税踩豢紤]企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書 5 代價的安全建議書都是不切實際的。 在設(shè)計企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)時，我們將遵循以下原則： 體系化設(shè)計原則 通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。對 于大多數(shù)網(wǎng)絡(luò)黑客來說，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明 和炫耀其“能耐”的價值，盡管這種行為的初衷也許并不具有惡意的 目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò) 系統(tǒng)，更加具有現(xiàn)實和長遠的商業(yè)價值。如何構(gòu)建企業(yè)安全可靠的網(wǎng)絡(luò)系統(tǒng)是本建 議書的目的。 本建議書是本公司為企業(yè)提出的“ 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計建議書”，建議書只針對網(wǎng) 絡(luò)基礎(chǔ)設(shè)施安全系統(tǒng)向企業(yè)提交網(wǎng)絡(luò)安全的設(shè)計 及實施建議，將不涉及其他部分的內(nèi)容，如“數(shù)據(jù)安全系統(tǒng)”等。 因此，企業(yè)網(wǎng)絡(luò)建立完善的安全系統(tǒng)，其必要 性不言而喻。 全局性、均衡性、綜合性設(shè)計原則 安全建議書將從企業(yè)網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個具有相當高度、可擴展性強的安全解決方案；從企業(yè)的實際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。建議書同時提供了可操作的分步實施計劃。具體說明如下： 圖 11 安全框架示意圖 安全服務(wù)維 安全服務(wù)維（第一維， X 軸）定義了 7 種主要完全屬性。 系統(tǒng)單元維 系統(tǒng)單元維（ Z 軸）描述了信息網(wǎng)絡(luò)基礎(chǔ)構(gòu)件的各個成分。 安全體系的理解 在圖 11 的安全體系分析模型中，完整地將網(wǎng)絡(luò)安全系統(tǒng)的全部內(nèi)容進行了科學和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡(luò)安全系統(tǒng)所使用的技術(shù)、服務(wù)的對象和涉及的范圍（即網(wǎng)絡(luò)層次）。雖 然并不是每一個應(yīng)用