【正文】 Route 模式下支持 VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門(mén)或不同的應(yīng)用；同時(shí)支持 VSYS，可以把PIX 防火墻虛擬成多個(gè)邏輯防火墻供不同的部門(mén)或不同的應(yīng)用使用Route 模式下 PIX 防火墻可以支持ActivePassive 的 HA以及 FullMeshed ActiveActive HA，從高可用性和性能的角度來(lái)綜合考慮，建議采用 FullMeshed ActiveActive HA 方案PIX515/525/535 支持 ActivePassive HA； 產(chǎn)品主要性能列表。支持，但支持VLAN tag，可以配合局部的交換機(jī)使用，由交換機(jī)區(qū)別不同部門(mén)或不同的應(yīng)用火墻可以支持ActivePassive的HAPIX535 改動(dòng)現(xiàn)有網(wǎng)絡(luò)設(shè)置（或新建設(shè)的網(wǎng)絡(luò)）Mode VSYS HA 適合的 PIX設(shè)備應(yīng)用 PIX 設(shè)備的 Route 模式，只需改動(dòng)原有網(wǎng)絡(luò)的路由信息。應(yīng)用流量控制，可以防止某些應(yīng)用或某些用戶無(wú)限制的消耗帶寬，或防止某些攻擊耗盡帶寬，而有效的、有目的地合理分配。PIX 防火墻對(duì)流量的控制是基于 Policy 的。流量管理允許網(wǎng)絡(luò)管理員實(shí)時(shí)監(jiān)視、分析和分配供各類網(wǎng)絡(luò)流量使用的帶寬，確保在部分用戶使用網(wǎng)絡(luò)時(shí)不會(huì)損害關(guān)鍵業(yè)務(wù)型流量。NAT方式用在需要做私有地址到公有地址轉(zhuǎn)換的網(wǎng)絡(luò)環(huán)境中。防火墻的作用相當(dāng)于一臺(tái)路由器，同時(shí)執(zhí)行嚴(yán)格策略檢查、攻擊檢測(cè)等。Route方式能夠在無(wú)須地址轉(zhuǎn)換的網(wǎng)絡(luò)之間插入防火墻。防火墻建立一個(gè)MAC學(xué)習(xí)表，自動(dòng)地自學(xué)哪些幀要進(jìn)行轉(zhuǎn)發(fā)，哪些幀要忽略。Transparent方式可以將防火墻無(wú)縫隙地下裝到任何現(xiàn)存的網(wǎng)絡(luò)，而無(wú)須重新編號(hào)，無(wú)須重新設(shè)計(jì)網(wǎng)絡(luò)，也不必要停工。4GSW12GSW133 / 35 ModePIX產(chǎn)品有三種工作模式：Transparent，Route，NAT?；赩LAN的邏輯子接口，除了配合不同的Vsys通過(guò)一個(gè)物理接口連接到多個(gè)網(wǎng)絡(luò)外，還可以單獨(dú)使用，其表現(xiàn)就像一個(gè)獨(dú)立的物理接口一樣具有眾多的可配置特性。PIX設(shè)備和相應(yīng)的VLAN交換網(wǎng)絡(luò)，可以表現(xiàn)為多個(gè)具有完全安全特性的防火墻系統(tǒng)。32 / 35 PIX 防火墻主要安全解決方案功能介紹： HAHA 高可用性是 PIX 產(chǎn)品的最重要功能之一 VSYSPIX允許在一臺(tái)物理防火墻中創(chuàng)建多個(gè)虛擬防火墻系統(tǒng)，每個(gè)虛擬系統(tǒng)擁有獨(dú)立的地址簿、策略和管理等功能。 幾種流行防火墻產(chǎn)品的比較 附件為獨(dú)立的第三方測(cè)試機(jī)構(gòu)的評(píng)測(cè)報(bào)告，有的側(cè)重于功能比較，有的側(cè)重于性能參數(shù)比較，供參考。VPN1．建立 1 個(gè) LANtoLAN tunnel 時(shí)的無(wú)封包遺失最大輸出性能及封包延遲 。Content LevelFirewall1．啟及關(guān)閉 Java / ActiveX / JavaScript 時(shí)，一個(gè) web client 每秒鐘內(nèi)所能建立的連結(jié)數(shù)與輸出性能 。URL LevelFirewall1. 10 及 100 條 URL entries 時(shí)，一個(gè) web client 每秒鐘所能建立的連結(jié)數(shù)(connection)與輸出性能(throughput)。Packet Level Firewall1. NAT 開(kāi)啟及關(guān)閉時(shí)的無(wú)封包遺失最大輸出性能(noloss max throughput)及封包延遲(latency)。2．系統(tǒng)被攻擊時(shí)是否會(huì) log 起來(lái) 。2. VPN tunnel 的建立過(guò)程是否簡(jiǎn)單 。 評(píng)價(jià)防火墻的一般方法根據(jù)上節(jié)提到的幾個(gè)方面，利用具有代表性的、被大部分產(chǎn)品制造商和用戶認(rèn)同的網(wǎng)絡(luò)環(huán)境對(duì)防火墻產(chǎn)品進(jìn)行客觀測(cè)試，其結(jié)果基本上可以反映產(chǎn)品的優(yōu)劣真實(shí)情況。我們只能對(duì)防火墻產(chǎn)品的幾大方面進(jìn)行評(píng)價(jià)。 Network Test Inc. ，Tolly Group，臺(tái)灣國(guó)立交通大學(xué)信息科學(xué)所） 評(píng)價(jià)防火墻產(chǎn)品的基本要素只有清楚如何評(píng)價(jià)防火墻產(chǎn)品優(yōu)劣的方法，或者了解評(píng)價(jià)一個(gè)防火墻產(chǎn)品的基本要素，在網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)中，才能作出一個(gè)最合適的選型設(shè)計(jì)建議書(shū)。為了使防火墻設(shè)備的選型達(dá)到一個(gè)比較理想的結(jié)果，在此有必要對(duì)防火墻的選型作比較詳細(xì)的說(shuō)明。正如前面所提到的，企業(yè)的網(wǎng)絡(luò)應(yīng)用模式在近期的一兩年后會(huì)最終全部過(guò)渡到B/S 的應(yīng)用結(jié)構(gòu)模式，而且除了各類業(yè)務(wù)應(yīng)用外，在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中還將存在音視30 / 35頻的實(shí)時(shí)應(yīng)用。 防火墻選型設(shè)計(jì)說(shuō)明在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，作為當(dāng)今網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。集中方式將對(duì)所有防火墻實(shí)現(xiàn)集中的管理，集中制定安全策略，這將很好的克服以上缺點(diǎn)。分散方式讓各下屬企業(yè)管理各自的防火墻。這個(gè)分散的防火墻系統(tǒng)的設(shè)置和管理就顯得非常重要，因?yàn)樗骋惶幍穆┩瑢⒂绊懻麄€(gè)企業(yè) Intra 的安全性。VPN通道可實(shí)現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的加密和認(rèn)證，并且提供保證數(shù)據(jù)完整性的技術(shù)手段。此外，通過(guò)這一種網(wǎng)絡(luò)的虛擬互聯(lián)，可以實(shí)現(xiàn)總部與分支機(jī)構(gòu)間的免費(fèi) IP 電話、 IP 傳真通信，甚至用非集中的網(wǎng)絡(luò)視頻會(huì)議就可以代替大部分的人員集中式、花費(fèi)很高的各類會(huì)議；兩個(gè)或多個(gè)業(yè)務(wù)有直接連接的異地機(jī)構(gòu)或部門(mén)不需要占用總部的網(wǎng)絡(luò)資源實(shí)現(xiàn)網(wǎng)絡(luò)連接；等等。四、企業(yè)的應(yīng)用建議 目前許多分支機(jī)構(gòu)與總部之間的數(shù)據(jù)傳送通過(guò)長(zhǎng)途撥號(hào) MODEN 傳輸或互聯(lián)網(wǎng)的郵件服務(wù)方式進(jìn)行，這種方式不僅費(fèi)用高，而且永遠(yuǎn)實(shí)現(xiàn)不了實(shí)時(shí)的集中管理，相信29 / 35企業(yè)希望有一個(gè)更加實(shí)用的解決方案。以上的各種聯(lián)網(wǎng)方式，可以通過(guò)我們提供的管理程序套件，用人工方式實(shí)現(xiàn)，或?qū)τ脩簟巴该鳌钡淖詣?dòng)方式實(shí)現(xiàn)。在此，我們針對(duì) PIX 的其他應(yīng)用作如下說(shuō)明：一、組網(wǎng)條件及設(shè)備1． 企業(yè)異地小機(jī)構(gòu)的網(wǎng)絡(luò)或單機(jī)電腦可以通過(guò)接入 Inter，獲得靜態(tài)或動(dòng)態(tài)的公有或私有 IP 地址；企業(yè)總部有對(duì)外的固定的公共互聯(lián)網(wǎng) IP；2． 作為建立連接的公網(wǎng) IP 的防火墻需要使用 PIX 高端的產(chǎn)品作為中心控制設(shè)備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設(shè)備）；3． 連接分支端的網(wǎng)絡(luò)設(shè)備選用 PIX515 產(chǎn)品；二、組網(wǎng)原理及聯(lián)網(wǎng)功能組網(wǎng)原理如下圖： 28 / 35上圖中，所有接入互聯(lián)網(wǎng)的 PIX515（公網(wǎng) IP 地址或私網(wǎng) IP 地址），通過(guò)總部的防火墻 PIX535 系列（公網(wǎng) IP）建立以下幾種網(wǎng)絡(luò)連接（LANtoLAN）：（1 ） 所有分支機(jī)構(gòu) LAN 與總部 LAN 之間的加密、認(rèn)證（VPN）連接（如附圖中的黑色實(shí)線）；（2 ） 所有通過(guò) 5XP 連接的 LAN 互相可以建立通過(guò)中心防火墻路由的 LAN 加密虛擬連接，即 Hubamp。PIX 不僅具有防火墻和 VPN 的實(shí)用功能，同時(shí)提供了在網(wǎng)絡(luò)應(yīng)用上的功能（詳細(xì)參見(jiàn) PIX 的功能介紹附件），這些功能在小部門(mén)的網(wǎng)絡(luò)互聯(lián)（LAN to LAN）應(yīng)用中非常實(shí)用，它使 PIX 在網(wǎng)絡(luò)互聯(lián)中承擔(dān)了互聯(lián)“網(wǎng)關(guān)”的作用，從而省缺了這些小部門(mén)之間的 LAN 互聯(lián)時(shí)需要配置價(jià)格不菲高層交換和路由設(shè)備。 虛擬連接組網(wǎng)建議在 中，我們建議在企業(yè)所有通過(guò)公共 Inter 虛擬連接的分部或商業(yè)合作伙伴，采用 PIX515 防火墻連接接入公網(wǎng)。企業(yè)可直接通過(guò)總部PIX高端防火墻和各分部的中端PIX （建議采用PIX515）防火墻，在總部與各分部之間建立起 VPN通道，加密廣域網(wǎng)傳輸?shù)臄?shù)據(jù)。 廣域網(wǎng)鏈路加密企業(yè)公司總部與各地分部之間的網(wǎng)絡(luò)向 ERP、視頻會(huì)議、VoIP 等多種業(yè)務(wù)應(yīng)用提供傳輸服務(wù)支持，大量的業(yè)務(wù)數(shù)據(jù)通過(guò)廣域網(wǎng)傳輸，需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃?，不被偷?tīng)竊取和惡意篡改。在本方案設(shè)計(jì)采用的 PIX 防火墻就是這一種設(shè)備。 VPN 系統(tǒng)設(shè)計(jì)VPN 系統(tǒng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的目的是在一個(gè)非信任的通信網(wǎng)絡(luò)鏈路或公共Inter 建立一個(gè)安全和穩(wěn)定的隧道。本方案選擇 PIX515 防火墻配備各分部。后者的模式是再增加一個(gè)結(jié)構(gòu)與 設(shè)計(jì)相同的公網(wǎng)接入物理接口，與前者同樣的理由，向企業(yè)各分部或商業(yè)合作伙伴提供虛擬連接的出入口，其控制防火墻也需要配置功能強(qiáng)大和性能優(yōu)異的設(shè)備，建議選擇檔次為 PIX515 以上的防火墻產(chǎn)品，如 PIX515 或 PIX525，PIX535。在總部的物理出入口，可以是對(duì)外提供公共服務(wù)的出入口（ 設(shè)計(jì)的）與企業(yè)26 / 35虛擬連接廣域網(wǎng)的接入口為同一個(gè)物理接口，即由同一個(gè) Inter 公網(wǎng)節(jié)點(diǎn)提供連接；也可以是各自獨(dú)立的接口，即由不同的公網(wǎng)節(jié)點(diǎn)提供連接服務(wù)。（一）總部的接入設(shè)計(jì)在本章 節(jié)中，已經(jīng)對(duì)企業(yè)總部的 Inter 出入口控制防火墻系統(tǒng)進(jìn)行了設(shè)計(jì)，同樣的連接應(yīng)用結(jié)構(gòu)也可以應(yīng)用到通過(guò) Inter 提供虛擬網(wǎng)絡(luò)的接入。PIX525 特別適合帶寬要求高的大型企業(yè)環(huán)境。PIX525 是一個(gè)高性能、高度可靠、高度冗余的平臺(tái)。數(shù) 字 鏈 路 專 網(wǎng)Si Si 中 心 交 換 機(jī)防 火 墻中 集 廣 域 網(wǎng) 結(jié) 構(gòu) 示 意 圖路 由 器深 圳 總 部路 由 器防 火 墻中 心 交 換 機(jī)LAN路 由 器防 火 墻中 心 交 換 機(jī)LAN..路 由 器防 火 墻中 心 交 換 機(jī) LANLAN分 公 司 分 公 司 分 公 司企業(yè)廣域網(wǎng)存在 ERP、VoIP、視頻會(huì)議等各種高帶寬應(yīng)用，特別總部是整個(gè)企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)中心，進(jìn)出的信息流量龐大，推薦采用兩臺(tái)處理性能很強(qiáng)的 PIX525 防火墻，實(shí)現(xiàn)冗余備份（ActiveActive 方式）和負(fù)載均衡。根據(jù)企業(yè)升級(jí)后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，廣域網(wǎng)鏈路和設(shè)備都具備了較強(qiáng)的冗余備份能力，總部的路由器和中心交換機(jī)配置均采取了雙機(jī)熱備方式。企業(yè)內(nèi)部防范主要是確?？偛亢透鞴镜陌踩?，加強(qiáng)廣域網(wǎng)的進(jìn)出口控制，我們建議在總部及各分部的廣域網(wǎng)出口處配備防火墻來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)保護(hù)，見(jiàn)下圖。 廣域網(wǎng)進(jìn)出口控制企業(yè)具有多個(gè)地理上分散的分部，各分部和總部之間租用電信專線互聯(lián)，形成以總部為中心的集團(tuán)廣域網(wǎng)。為了構(gòu)建安全的通信通道，必須把這一軟件與 IPSec 網(wǎng)關(guān)結(jié)合使用（如 PIX 家族安全設(shè)備），或與運(yùn)行 IPSec 兼容軟件的另一臺(tái)主機(jī)結(jié)合使用（如 ASDM）。PIX ASDM 是一種在用戶主機(jī)（桌面或筆記本電腦）上運(yùn)行的軟件，簡(jiǎn)化了對(duì)網(wǎng)絡(luò)、設(shè)備或公共或非信任網(wǎng)絡(luò)中其它主機(jī)的安全遠(yuǎn)程接入。為允許合法用戶訪問(wèn)公司網(wǎng)絡(luò)，同時(shí)確保通過(guò) Inter 進(jìn)行的業(yè)務(wù)應(yīng)用的安全性，我們建議采取 VPN 通訊方式。其詳細(xì)特點(diǎn)如下：? 提供了防火墻的全部安全功能（如防止拒絕服務(wù)攻擊，Java/ActiveX/Zip 過(guò)濾，防 IP 地址欺騙……）并結(jié)合了包過(guò)濾、鏈路過(guò)濾和應(yīng)用代理服務(wù)器等技術(shù)? 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）：隱藏內(nèi)部的 IP 地址 ? 動(dòng)態(tài)訪問(wèn)過(guò)濾(Dynamic Filter) ：自適應(yīng)網(wǎng)絡(luò)服務(wù)保護(hù) ? URL 地址的限定：限制站點(diǎn)的訪問(wèn)，過(guò)濾不需要的網(wǎng)站 ? 用戶認(rèn)證(Authentication)：只允許有授權(quán)的訪問(wèn) ? 符合 IPSec：可與其他廠家的設(shè)備交互操作 ? IKE 密鑰管理：保證密鑰交換 Inter內(nèi) 部 網(wǎng) 絡(luò)Si SiW服 務(wù) 器 客 戶 訪 問(wèn) 服 務(wù) 器 中 心 交 換 機(jī)防 火 墻交 換 機(jī)交 換 機(jī)中 集 集 團(tuán) Inter接 入 示 意 圖23 / 35? DES 和三級(jí) DES：最高等級(jí)的加密、解密 ? 流量帶寬控制及優(yōu)先級(jí)設(shè)置：按您的需求管理流量 ? 負(fù)載平衡能力：管理服務(wù)器群( Server Farms) ? 虛擬 IP：將內(nèi)部服務(wù)器映射為可路由地址 ? 實(shí)時(shí)日志及報(bào)警紀(jì)錄：實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)狀態(tài) ? 透明的，無(wú) IP 地址設(shè)置：無(wú)須更改任何路由器及主機(jī)配置 ? 自帶 Web 服務(wù)器：方便地通過(guò)流行的瀏覽器進(jìn)行管理 ? 圖形界面：可關(guān)閉遠(yuǎn)程的管理方式，只用本地的、安全的管理 ? SNMP 管理方式：通過(guò)網(wǎng)絡(luò)管理軟件管理 ? 命令行界面：支持批處理方式及通過(guò)調(diào)制解調(diào)器的備用渠道進(jìn)行控制 兩臺(tái) PIX 防火墻采取雙機(jī)熱備方式工作，任何一臺(tái)防火墻出現(xiàn)故障，其任務(wù)由另一臺(tái)防火墻自動(dòng)接管，避免單點(diǎn)故障造成企業(yè)無(wú)法上網(wǎng)的情況發(fā)生，保證網(wǎng)絡(luò)的無(wú)間斷運(yùn)行。簡(jiǎn)要介紹 Cisco 公司和它的防火墻產(chǎn)品我們?cè)O(shè)計(jì)企業(yè) Inter 出口處采用兩臺(tái)組成雙機(jī)模式的 Cisco 防火墻（以 PIX515為例）。中立區(qū)也需增加一臺(tái)交換機(jī)，用于連接兩臺(tái)防火墻的中立區(qū)口、WWW 服務(wù)器、郵件服務(wù)器等。每臺(tái)防火墻均提供 4 個(gè)網(wǎng)絡(luò)接口，分別連接Inter，中立區(qū)和內(nèi)部網(wǎng)絡(luò)兩臺(tái)中心交換機(jī)。（一）Inter 接入結(jié)構(gòu)如下圖