【正文】 參考文獻(xiàn)[1] 易建勛. 計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)[M] . 北京：人民郵電出版社，2009[2] 蔡學(xué)軍，梁廣民，王隆杰，張立娟. 網(wǎng)絡(luò)互聯(lián)技術(shù)[M]. 北京：高等教育出版社，2007[3] 沈海娟. 網(wǎng)絡(luò)互聯(lián)技術(shù)—廣域網(wǎng)[M] . 北京：浙江大學(xué)出版社，2006[4] 范剛，章千. 中小型企業(yè)網(wǎng)絡(luò)安全方案. 北京：電子工業(yè)出版社，2002[5] Doyle Jeff，Carroll . 夏俊杰譯. 網(wǎng)絡(luò)安全技術(shù)（第二卷）[M]. 北京：人民郵電出版社，2009[6] 邱祿瑞 徐曉. 企業(yè)CIMS／MIS下的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案. 汽車科技，200230。為了完成課程設(shè)計(jì)，而且解決企業(yè)網(wǎng)絡(luò)安全系統(tǒng)需求分析及設(shè)計(jì)的資料比較少，我花費(fèi)了很多的時(shí)間去看相關(guān)書籍，查找了很多網(wǎng)頁。通過這次課程設(shè)計(jì)使我懂得了理論與實(shí)際相結(jié)合是很重要的，只有理論知識(shí)是遠(yuǎn)遠(yuǎn)不夠的，只有把所學(xué)的理論知識(shí)與實(shí)踐相結(jié)合起來，從理論中得出結(jié)論，才能真正為社會(huì)服務(wù)，從而提高自己的實(shí)際動(dòng)手能力和獨(dú)立思考的能力。通過這次計(jì)算機(jī)網(wǎng)絡(luò)工程課程設(shè)計(jì)，我更加充分的理解了課本上的知識(shí)，對(duì)企業(yè)網(wǎng)絡(luò)安全有了透徹的理解，掌握了設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)的基本步驟，尤其是慢慢學(xué)會(huì)了如何進(jìn)行應(yīng)用需求。但應(yīng)該適當(dāng)利用網(wǎng)上資源，參考前人的思路，提取優(yōu)點(diǎn)，然后再用自己的思路進(jìn)行設(shè)計(jì)。用戶原先的應(yīng)用設(shè)備不需改動(dòng)配置。Transparent模式下不支持對(duì)VSYS的支持，但支持VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門或不同的應(yīng)用Transparent模式下PIX防火墻可以支持ActivePassive的HAPIX515PIX525PIX535216。針對(duì)企業(yè)網(wǎng)絡(luò)，本設(shè)計(jì)建議采用的解決方案如下：216。因?yàn)榉阑饓?duì)Policy的控制可以根據(jù)源地址、目標(biāo)地址、源端口、目標(biāo)端口、以及時(shí)間段等多種相當(dāng)靈活的因素，因此對(duì)流量的控制也是高度靈活的[2]。PIX專利流量算法可以精確控制帶寬分配：設(shè)置有保障的帶寬和最大帶寬，類似于幀中繼的帶寬管理性能；通過8級(jí)優(yōu)先級(jí)，為流量分配優(yōu)先權(quán)；Diffserv。三種工作模式下的網(wǎng)絡(luò)環(huán)境示意圖如圖44：圖44 三種工作模式下的網(wǎng)絡(luò)環(huán)境[6]u 流量控制功能PIX防火墻的技術(shù)核心是ASIC，可以硬件完成三大功能：防火墻、VPN、流量管理。Route方式下可以同時(shí)實(shí)現(xiàn)NAT功能。這種方式可用于保護(hù)同一企業(yè)網(wǎng)內(nèi)部的局域網(wǎng)，免遭內(nèi)部人員的偷窺或盜竊。對(duì)要轉(zhuǎn)發(fā)的幀，再進(jìn)行狀態(tài)檢查，實(shí)現(xiàn)防火、VPN、流量管理等基本功能[6]。在這種方式下，防火墻將相同子網(wǎng)的網(wǎng)段橋接起來。三種工作模式下，所有用戶和服務(wù)器上現(xiàn)存的應(yīng)用程序都不需修改。防火墻系統(tǒng)會(huì)識(shí)別帶由tag的幀，并轉(zhuǎn)換成正常的以太幀進(jìn)行防火檢測(cè)、路由、策略等基本操作[5]。優(yōu)點(diǎn)：簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)、降低維護(hù)成本。 VLAN標(biāo)記相結(jié)合，把安全域延伸到整個(gè)交換網(wǎng)絡(luò)中。我們可以得出結(jié)論：從我們對(duì)防火墻產(chǎn)品的認(rèn)識(shí)，以及參考第三方的測(cè)試結(jié)果來看，在設(shè)計(jì)企業(yè)網(wǎng)絡(luò)安全方案時(shí)，選擇PIX的防火墻是目前最佳的選擇[4]。2．建立20 個(gè)LANtoLAN tunnel 時(shí)的無封包遺失最大輸出性能及封包延遲 。2．開啟及關(guān)閉Java / ActiveX / JavaScript 時(shí)的最大連結(jié)數(shù)、輸出性能以及交易延遲 。2. 10 及100 條URL entries 時(shí)的最大連結(jié)(connection)數(shù)、輸出性能以及交易延遲(transaction latency)。2. 10 及100 條防火墻規(guī)則時(shí)的無封包遺失最大輸出性能及封包延遲。3．攻擊DMZ 內(nèi)主機(jī)時(shí)，系統(tǒng)是否會(huì)將攻擊型態(tài)log 起來，甚至替DMZ內(nèi)主機(jī)阻擋攻擊 。3. 各家產(chǎn)品可否互通(互通性測(cè)試)Security1. 系統(tǒng)是否有安全漏洞 。本設(shè)計(jì)考慮企業(yè)的網(wǎng)絡(luò)應(yīng)用特點(diǎn)，按照以上介紹的幾方面要素，從以下幾方面比較評(píng)價(jià)防火墻產(chǎn)品，如下表41：表41 防火墻產(chǎn)品評(píng)價(jià)評(píng)價(jià)類別評(píng)價(jià)及比較項(xiàng)目Management1. 管理接口是否簡(jiǎn)單易用 。對(duì)防火墻產(chǎn)品的評(píng)價(jià)一般是從安全性（側(cè)重功能方面）、技術(shù)性能指標(biāo)、管理的方便性等幾方面綜合評(píng)價(jià)。[5]評(píng)價(jià)一個(gè)防火墻產(chǎn)品優(yōu)劣所設(shè)計(jì)的因素（或者技術(shù)要素）很多，很難有一個(gè)大而全的評(píng)價(jià)方法和測(cè)試手段對(duì)防火墻產(chǎn)品的每一個(gè)方面進(jìn)行完全的評(píng)價(jià)。為了使防火墻設(shè)備的選型達(dá)到一個(gè)比較理想的結(jié)果，在此有必要對(duì)防火墻的選型作比較詳細(xì)的說明。正如前面所提到的，企業(yè)的網(wǎng)絡(luò)應(yīng)用模式在近期的一兩年后會(huì)最終全部過渡到B/S的應(yīng)用結(jié)構(gòu)模式，而且除了各類業(yè)務(wù)應(yīng)用外，在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中還將存在音視頻的實(shí)時(shí)應(yīng)用。在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，作為當(dāng)今網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。集中方式將對(duì)所有防火墻實(shí)現(xiàn)集中的管理，集中制定安全策略，這將很好的克服以上缺點(diǎn)。分散方式讓各下屬企業(yè)管理各自的防火墻。這個(gè)分散的防火墻系統(tǒng)的設(shè)置和管理就顯得非常重要，因?yàn)樗骋惶幍穆┩瑢⒂绊懻麄€(gè)企業(yè)Intranet的安全性。VPN通道可實(shí)現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的加密和認(rèn)證，并且提供保證數(shù)據(jù)完整性的技術(shù)手段[4]。此外，通過這一種網(wǎng)絡(luò)的虛擬互聯(lián)，可以實(shí)現(xiàn)總部與分支機(jī)構(gòu)間的免費(fèi)IP電話、IP傳真通信，甚至用非集中的網(wǎng)絡(luò)視頻會(huì)議就可以代替大部分的人員集中式、花費(fèi)很高的各類會(huì)議；兩個(gè)或多個(gè)業(yè)務(wù)有直接連接的異地機(jī)構(gòu)或部門不需要占用總部的網(wǎng)絡(luò)資源實(shí)現(xiàn)網(wǎng)絡(luò)連接；等等。l 企業(yè)的應(yīng)用建議 目前許多分支機(jī)構(gòu)與總部之間的數(shù)據(jù)傳送通過長(zhǎng)途撥號(hào)MODEN傳輸或互聯(lián)網(wǎng)的郵件服務(wù)方式進(jìn)行，這種方式不僅費(fèi)用高，而且永遠(yuǎn)實(shí)現(xiàn)不了實(shí)時(shí)的集中管理，相信企業(yè)希望有一個(gè)更加實(shí)用的解決方案。 PIX515提供網(wǎng)絡(luò)連接的流量管理，即在公網(wǎng)的傳輸效率保證的前提下，PIX515提供基于策略的最小帶寬保證、帶寬限制、優(yōu)先級(jí)帶寬使用等管理功能；252。 基于Keep – Alive消息保持的網(wǎng)絡(luò)VPN連接的連續(xù)狀態(tài)；252。 不需要向鏈路服務(wù)供應(yīng)商租用價(jià)格昂貴的專線或者申請(qǐng)數(shù)量巨大的公網(wǎng)IP（實(shí)際上不可能），就可以實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的廣域連接；252。以上的各種聯(lián)網(wǎng)方式，可以通過我們提供的管理程序套件，用人工方式實(shí)現(xiàn)，或?qū)τ脩簟巴该鳌钡淖詣?dòng)方式實(shí)現(xiàn)。在此，針對(duì)PIX的其他應(yīng)用作如下說明：l 組網(wǎng)條件及設(shè)備企業(yè)異地小機(jī)構(gòu)的網(wǎng)絡(luò)或單機(jī)電腦可以通過接入Internet，獲得靜態(tài)或動(dòng)態(tài)的公有或私有IP地址；企業(yè)總部有對(duì)外的固定的公共互聯(lián)網(wǎng)IP；作為建立連接的公網(wǎng)IP的防火墻需要使用PIX 高端的產(chǎn)品作為中心控制設(shè)備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設(shè)備）；連接分支端的網(wǎng)絡(luò)設(shè)備選用PIX515產(chǎn)品；l 組網(wǎng)原理及聯(lián)網(wǎng)功能組網(wǎng)原理如下圖43示：圖43 組網(wǎng)原理圖[6]上圖中，所有接入互聯(lián)網(wǎng)的PIX515（公網(wǎng)IP地址或私網(wǎng)IP地址），通過總部的防火墻PIX535系列（公網(wǎng)IP）建立以下幾種網(wǎng)絡(luò)連接（LANtoLAN）：所有分支機(jī)構(gòu)LAN與總部LAN之間的加密、認(rèn)證（VPN）連接（如上圖中的黑色實(shí)線）；所有通過5XP連接的LAN互相可以建立通過中心防火墻路由的LAN加密虛擬連接，即Hubamp。[6]PIX不僅具有防火墻和VPN的實(shí)用功能，同時(shí)提供了在網(wǎng)絡(luò)應(yīng)用上的功能，這些功能在小部門的網(wǎng)絡(luò)互聯(lián)（LAN to LAN）應(yīng)用中非常實(shí)用，它使PIX在網(wǎng)絡(luò)互聯(lián)中承擔(dān)了互聯(lián)“網(wǎng)關(guān)”的作用，從而省缺了這些小部門之間的LAN互聯(lián)時(shí)需要配置價(jià)格不菲高層交換和路由設(shè)備。（2）虛擬連接組網(wǎng)建議在虛擬連接廣域網(wǎng)出入口控制的設(shè)計(jì)中，我們?cè)谄髽I(yè)所有通過公共Internet虛擬連接的分部或商業(yè)合作伙伴，采用PIX515防火墻連接接入公網(wǎng)。企業(yè)可直接通過總部PIX高端防火墻和各分部的中端PIX（建議采用PIX515）防火墻，在總部與各分部之間建立起VPN通道，加密廣域網(wǎng)傳輸?shù)臄?shù)據(jù)。（1）廣域網(wǎng)鏈路加密企業(yè)公司總部與各地分部之間的網(wǎng)絡(luò)向ERP、視頻會(huì)議、VoIP等多種業(yè)務(wù)應(yīng)用提供傳輸服務(wù)支持，大量的業(yè)務(wù)數(shù)據(jù)通過廣域網(wǎng)傳輸，需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃?，不被偷聽竊取和惡意篡改。在本方案設(shè)計(jì)采用的PIX防火墻就是這一種設(shè)備。安全級(jí)別取值范圍為1~99，數(shù)字越大安全級(jí)別越高//PIX515(config)nameif ethernet1 inside security100//設(shè)置以太網(wǎng)口1被命名為內(nèi)網(wǎng)接口（inside），安全級(jí)別是100//PIX515(config)nameif dmz security50//設(shè)置非軍事區(qū)口（dmz）安全級(jí)別是50////如果需要添加新的接口，語句可以這樣寫：PIX515(config)nameif pix/intf3 security40 VPN系統(tǒng)設(shè)計(jì)VPN系統(tǒng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的目的是在一個(gè)非信任的通信網(wǎng)絡(luò)鏈路或公共Internet建立一個(gè)安全和穩(wěn)定的隧道。（有關(guān)PIX515防火墻建立虛擬網(wǎng)絡(luò)的組網(wǎng)說明請(qǐng)參考VPN系統(tǒng)的設(shè)計(jì)說明）。l 分部的接入設(shè)計(jì)由于分部通過公網(wǎng)虛擬連接接入總部網(wǎng)絡(luò)網(wǎng)絡(luò)的應(yīng)用，考慮其數(shù)據(jù)量和應(yīng)用的要求不高，而且這種非物理專線方式接入所提供的網(wǎng)絡(luò)通信帶寬也很有限，通常只有幾十或幾百K，因此在企業(yè)各異地分部建議采用功能滿足系統(tǒng)實(shí)現(xiàn)目標(biāo)、性能相對(duì)較低的防火墻設(shè)備。前者需要將總部的公網(wǎng)出入口控制防火墻的檔次提高（至少選擇PIX515以上的檔次），這是由于通過這種虛擬連接方式接入企業(yè)各地分部或商業(yè)合作伙伴有近千家，只有配置更高檔的防火墻才能滿足系統(tǒng)應(yīng)用的性能要求，如同時(shí)支持的VPN通道數(shù)量、會(huì)話處理能力、網(wǎng)絡(luò)接口帶寬等等。也應(yīng)使用前面的設(shè)計(jì)方案，在此不做重復(fù)的說明。（3）虛擬連接廣域網(wǎng)出入口控制通過公共互聯(lián)網(wǎng)虛擬連接的企業(yè)網(wǎng)，連接的兩端（總部和分部）由于其承擔(dān)的工作角色和工作量有比較大的差異，因此，出于實(shí)用和經(jīng)濟(jì)的角度考慮，本方案建議網(wǎng)絡(luò)接入Internet的結(jié)構(gòu)采取不同方式和檔次的設(shè)備方案。PIX525擁有XXXM線速處理能力，XXXM的3DES VPN流量，強(qiáng)健的攻擊防范功能。每臺(tái)防火墻基本配置含4個(gè)100M或1000M端口，分別連接兩臺(tái)路由器和兩臺(tái)中心交換機(jī)。如圖42所示。根據(jù)企業(yè)升級(jí)后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，廣域網(wǎng)鏈路和設(shè)備都具備了較強(qiáng)的冗余備份能力，總部的路由器和中心交換機(jī)配置均采取了雙機(jī)熱備方式。企業(yè)