【正文】 對(duì)于這種環(huán)境為了更好的利用帶寬，讓網(wǎng)絡(luò)中的部分終端走教育網(wǎng)的出口，另外一部分終端走電信線路，這樣可以很好的利用現(xiàn)有的帶寬資源，不會(huì)造成帶寬的浪費(fèi)，但是在這種網(wǎng)絡(luò)環(huán)境下，如果防火墻不支持源目的地址路由技術(shù)就很難實(shí)現(xiàn)，因?yàn)榈交ヂ?lián)網(wǎng)的目標(biāo)地址都是一樣的，只是來源不一樣。這種源目地址路由技術(shù)可以很好的適應(yīng)有多個(gè)網(wǎng)絡(luò)出口的環(huán)境。天融信新一代防火墻產(chǎn)品使用的就是后一種方式來解決對(duì) DHCP 環(huán)境的支持的。對(duì)于使用 DHCP 服務(wù)器來動(dòng)態(tài)分配 IP 地址的網(wǎng)絡(luò)環(huán)境，很難使用 IP 地址來進(jìn)行訪問控制，因?yàn)榫W(wǎng)絡(luò)中的主機(jī)沒有固定的靜態(tài) IP 地址，此時(shí)的解決方式有兩種：一種是讓防火墻自己來充當(dāng) DHCP 服務(wù)器進(jìn)行 IP 地址的分配，此時(shí)防火墻自身可以知道主機(jī)的動(dòng)態(tài) IP 地址，從而進(jìn)行訪問控制，但是在這種方式下，防火墻內(nèi)部必須開啟 DHCP 服務(wù)，這不僅會(huì)增加防火墻的額外負(fù)荷，更為嚴(yán)重的是防火墻自身啟動(dòng)過多的服務(wù)會(huì)影響自身的安全性。還可依據(jù)用戶的特定安全需求定制特殊功能。用戶可以隨時(shí)手工備份防火墻的配置文件，可以將備份結(jié)果下載到本地管理主機(jī)中保存，也可以將備份上載回防火墻進(jìn)行恢復(fù)還原。為了避免由于 SNMP 本身的安全性上的缺陷而導(dǎo)致防火墻本身的安全性受到威脅，系統(tǒng)僅允許網(wǎng)管系統(tǒng)查詢信息，而不允許改變防火墻的配置。防火墻作為一種網(wǎng)絡(luò)安全訪問控制的基礎(chǔ)網(wǎng)絡(luò)設(shè)備，為它提供一種標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理方式是有必要的，NGFW4000 就提供了對(duì)這個(gè)標(biāo)準(zhǔn)協(xié)議的支持。為了防止遠(yuǎn)程管理過程被監(jiān)聽和修改，還支持基于 SSH 的遠(yuǎn)程登陸管理和基于 SSL 的 Web 方式管理，將管理主機(jī)和防火墻之間的通訊進(jìn)行加密以保證安全。支持 SSL 、 SSH 安全管理為了便于管理員的管理，NGFW4000 除了支持本地管理以外，還提供遠(yuǎn)程登陸管理和基于 Web 方式的管理。即 SSN 與外部網(wǎng)之間受防火墻保護(hù)，同時(shí) SSN 與內(nèi)部網(wǎng)之間也受防火墻保護(hù)，即使 SSN 受破壞，內(nèi)部網(wǎng)絡(luò)仍處于防火墻保護(hù)之下。安全服務(wù)器網(wǎng)絡(luò)（SSN ）保護(hù)NGFW4000 采用多穴主機(jī)體系，可以定義某個(gè)接口連接的網(wǎng)絡(luò)為安全服務(wù)器網(wǎng)絡(luò)（SSN——Security Server Network ） ，將提供信息訪問服務(wù)的服務(wù)器安裝于該網(wǎng)絡(luò)區(qū)域內(nèi)，與內(nèi)、外網(wǎng)絡(luò)從物理上隔離開來，并提供專門的安全保護(hù)。用戶啟用 NGFW4000 的 VPN 功能，就能夠與 VPN 體系中的其它網(wǎng)關(guān) VPN 、Windows 客戶端、當(dāng)然也包括另外的啟用了 VPN 功能的 NGFW4000 互通，建立加密隧道進(jìn)行加密通信，形成虛擬專用網(wǎng)在異地局域網(wǎng)間通過互聯(lián)網(wǎng)提供安全可靠的網(wǎng)絡(luò)使用環(huán)境。同時(shí) NGFW4000 還對(duì)上述服務(wù)做了更詳細(xì)控制，如HTTP 對(duì)命令（GET 、POST 、HEAD 、DELETE 、OPTION 、PUT 、TRACE 等）和 URL 以及腳本類型進(jìn)行過濾， FTP 對(duì)命令（GET 、PUT ）及訪問路徑進(jìn)行控制，SMTP 、POP3 對(duì)收發(fā)信人進(jìn)行控制，NNTP 對(duì)命令（POST 、GROUP ）以及新聞組進(jìn)行控制，這使得用戶使用代理訪問 Inter 更為安全。透明應(yīng)用代理NGFW4000 提供對(duì)常用高層應(yīng)用服務(wù)（HTTP 、FTP 、SMTP 、POP3 、NNTP ）的透明代理。公眾網(wǎng)訪問防火墻的反向轉(zhuǎn)換地址，由內(nèi)部網(wǎng)使用保留 IP 地址的服務(wù)器提供服務(wù)，同樣既可以解決全局 IP 地址不足的問題，又能有效的隱藏內(nèi)部服務(wù)器信息，對(duì)服務(wù)器進(jìn)行保護(hù)。同時(shí)內(nèi)部網(wǎng)用戶共享使用這些轉(zhuǎn)換地址，自身使用保留 IP 地址就可以正常訪問公眾網(wǎng)，有效的解決了全局 IP 地址不足的問題。NGFW4000 支持依據(jù)源或目的地址指定轉(zhuǎn)換地址的靜態(tài) NAT 方式和從地址緩沖池中隨機(jī)選取轉(zhuǎn)換地址的動(dòng)態(tài) NAT 方式，兩種方式總共可以有多達(dá) 32 個(gè)的不同轉(zhuǎn)換地址，可以滿足絕大多數(shù)網(wǎng)絡(luò)環(huán)境的需求。NGFW4000 同時(shí)支持正向、反向地址轉(zhuǎn)換，能為用戶提供完整的地址轉(zhuǎn)換解決方案。NGFW4000 的多級(jí)過濾形成了立體的全面的訪問控制機(jī)制。NGFW4000 還能工作在透明和路由的混合模式下，更能適應(yīng)各種不同網(wǎng)絡(luò)環(huán)境的接入。將 NGFW4000 配置為透明工作模式，無需更改用戶網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)就能接入用戶網(wǎng)絡(luò)中，用戶網(wǎng)絡(luò)中的主機(jī)也無需更改任何網(wǎng)絡(luò)配置就能通過防火墻進(jìn)行訪問（當(dāng)然是要在防火墻規(guī)則允許的情況下） 。NGFW4000 提供了很多種資源，如，網(wǎng)絡(luò)節(jié)點(diǎn)、子網(wǎng)、第三方用戶、用戶數(shù)據(jù)庫、防火區(qū)域、端口協(xié)議、文件資源、VLAN 、特殊端口。對(duì)象是由許多種資源組成的實(shí)體，規(guī)則建立在這種實(shí)體的基礎(chǔ)上。也可以設(shè)定是否允許從該區(qū)域 PING 、TELNET 防火墻。獨(dú)立的防火區(qū)域NGFW4000 防火墻的每個(gè)物理接口對(duì)應(yīng)一個(gè)獨(dú)立的防火區(qū)域，每個(gè)區(qū)域的安全策略只對(duì)該區(qū)域有效。同時(shí)，可以支持 SNMP 與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如 HP Openview 等，方便管理和維護(hù)。4 .14 管理安全、方便靈活防火墻 4000 經(jīng)過簡單的配置即可接入網(wǎng)絡(luò)進(jìn)行通信和訪問控制，GUI 管理界面提供了清晰的管理結(jié)構(gòu)，每一個(gè)管理結(jié)構(gòu)元素包含了豐富的控制元和控制模型。例如針對(duì) FTP 協(xié)議，日志會(huì)話只記錄下讀、寫文件的動(dòng)作；日志命令則是在訪問日志的基礎(chǔ)之上，記錄如用戶發(fā)送的郵件，用戶取下的網(wǎng)頁等。日志會(huì)話也就是傳統(tǒng)的防火墻日志，負(fù)責(zé)記錄通訊時(shí)間、源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過。NGFW4000 提供了非常強(qiáng)大的日志功能，用戶可以根據(jù)需要對(duì)不同的通訊會(huì)話記錄不同的日志。一個(gè)安全防護(hù)體系中的審計(jì)系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點(diǎn)的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時(shí)審核系統(tǒng)的安全效果、追蹤危險(xiǎn)事件、調(diào)整安全策略。獨(dú)創(chuàng)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測信息，可詳細(xì)審計(jì)命令級(jí)操作，便于入侵行為的分析和追蹤。這不但提高了安全性，而且保證了性能。具體如下圖所示：21 / 66圖表 3 分布式管理支持多種身份認(rèn)證支持多種身份認(rèn)證支持，如 OTP 、RADIUS 、S/KEY 、SECUREID 、TACACS/TACACS+、口令方式、數(shù)字證書（CA ） ，更好更廣泛的實(shí)現(xiàn)了用戶鑒別和訪問控制。圖表 2 防火墻雙機(jī)備份多層次分布式帶寬管理帶寬管理完全虛擬了網(wǎng)絡(luò)帶寬應(yīng)用的實(shí)際環(huán)境，并實(shí)現(xiàn)多層次的分布式管理模式，避免了單層集中管理的缺點(diǎn)；而且，可以實(shí)現(xiàn)帶寬分層、帶寬分級(jí)、帶寬分配、帶寬優(yōu)化等管理，優(yōu)化網(wǎng)絡(luò)資源的應(yīng)用，提高網(wǎng)絡(luò)資源應(yīng)用效率。切換過程不需要人為操作和其他系統(tǒng)的參與，切換時(shí)間可以以秒計(jì)算。正常情況下一個(gè)處于工作狀態(tài)，為主防火墻，另一個(gè)處于備份狀態(tài)，為從防火墻。圖表 1 防火墻的負(fù)載均衡技術(shù)防火墻自身的負(fù)載均衡NGFW4000 支持負(fù)載均衡功能，可以在高帶寬的網(wǎng)絡(luò)環(huán)境中有效的提高性能，同時(shí)負(fù)載均衡還實(shí)現(xiàn)了接口之間的備份，當(dāng) A 機(jī)器的某個(gè)接口故障時(shí)，B 機(jī)器的相應(yīng)接口可以接管它的工作，同時(shí) A 機(jī)器的其他接口仍然正常地工作。不但更好的適用不同的網(wǎng)絡(luò)環(huán)境，且更好的提供高性能和保證可靠性。NGFW4000 的主要配置和管理都是基于 GUI（Graphic User Interface） 方式的，管理主機(jī)只需安裝專門的管理軟件，就可以在不同操作系統(tǒng)平臺(tái)、不同地域?qū)Ψ阑饓M(jìn)行配置和管理。 支持遠(yuǎn)程集中管理可通過安全的認(rèn)證及管理信息的加密傳輸實(shí)現(xiàn)全局防火墻設(shè)備的集中管理。支持多種工作模式可以支持透明、路由和混合工作模式。 適用更廣泛的網(wǎng)絡(luò)及應(yīng)用環(huán)境支持眾多網(wǎng)絡(luò)通信協(xié)議和應(yīng)用協(xié)議，如DHCP 、VLAN 、ADSL 、IPX 、RIP 、ISL 、 、Spanning tree 、DEC 、NETBEUI 、IPSEC 、PPTP 、AppleTalk 、 、BOOTP、pppoe協(xié)議等，使4000防火墻適用網(wǎng)絡(luò)的范圍更加廣泛，保證用戶的網(wǎng)絡(luò)應(yīng)用。配置簡單、配置安全性高；管理簡單、維護(hù)方便；更好的保證了性能。建立獨(dú)立的防火區(qū)域，通過中央管理接口、管理端口協(xié)議、不同節(jié)點(diǎn)對(duì)象（網(wǎng)絡(luò)鄰居、自定義網(wǎng)路、防火墻所在子網(wǎng)等）、協(xié)議類型、應(yīng)用行為等不同資源配置策略，使防火墻的策略配置更加簡單，且便于維護(hù)。采用獨(dú)創(chuàng)的先進(jìn)的設(shè)計(jì)思想面向資源的進(jìn)行設(shè)計(jì)，對(duì)不同對(duì)象的具體的組成資源，如文件、防火區(qū)域、節(jié)點(diǎn)對(duì)象、協(xié)議類型、應(yīng)用行為、應(yīng)用類型、管理端口協(xié)議等，直接進(jìn)行控制，極大的提高了安全性，并保證了配置的方便性。 技術(shù)細(xì)節(jié)采用獨(dú)創(chuàng)的最新最先進(jìn)的技術(shù)核檢測技術(shù)，即基于OS 內(nèi)核的會(huì)話檢測技術(shù)，在OS 內(nèi)核實(shí)現(xiàn)對(duì)應(yīng)用層訪問控制。防火墻產(chǎn)品須經(jīng)過國家信息安全產(chǎn)品認(rèn)證機(jī)構(gòu)的認(rèn)證。防火墻產(chǎn)品的接入不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，防火墻產(chǎn)品的運(yùn)行最小影響原網(wǎng)絡(luò)系統(tǒng)的運(yùn)行效率。防火墻產(chǎn)品必須至少具有履行所需安全服務(wù)的最小能力。防火墻產(chǎn)品硬件/軟件必須具備經(jīng)國家授權(quán)部門測試認(rèn)證的安全等級(jí)。防火墻的端口是可擴(kuò)展的。防火墻必須具有強(qiáng)大 NAT 轉(zhuǎn)換功能。這些威脅可能來源于各種因素：可能是源于網(wǎng)絡(luò)外部的， 也可能是內(nèi)部人員造成的； 總結(jié)起來，最主要威脅是來自外部和內(nèi)部人員的惡意攻擊和入侵，這是企業(yè)信息化等順利發(fā)展的最大障礙。與此同時(shí)，第三方應(yīng)用開發(fā)人員和系統(tǒng)集成人員能夠連續(xù)地獲得有關(guān)網(wǎng)絡(luò)層的數(shù)據(jù)，并對(duì)定義和收集到的服務(wù)級(jí)度量信息進(jìn)行標(biāo)準(zhǔn)化。它將基于標(biāo)準(zhǔn)的開放式管理應(yīng)用程序接口、Cisco 內(nèi)嵌式 IOS 代理、可擴(kuò)展服務(wù)級(jí)別的管理應(yīng)用與第三方產(chǎn)品相結(jié)合，從而具有了端到端服務(wù)級(jí)檢查和全面管理能力。 服務(wù)級(jí)別管理器——建構(gòu)于開放的 XML 應(yīng)用程序接口基礎(chǔ)上，可提供給合作伙伴以用于第三方的應(yīng)用集成。 服務(wù)保障代理——一種用來確定度量數(shù)據(jù)服務(wù)級(jí)別的技術(shù)，以驗(yàn)證度量數(shù)據(jù)是否符合服務(wù)級(jí)別的要求。該解決方案的構(gòu)件包括： 管理引擎 1110（ME1110）——可在網(wǎng)絡(luò)中遠(yuǎn)程安裝，是具有極高擴(kuò)展性和靈活性的數(shù)據(jù)收集解決方案。 (Jaguar) 網(wǎng)絡(luò)管理在本方案中采用了 CISCO 的解決方案，對(duì)于網(wǎng)絡(luò)的管理，我們建議采用CISCOWORKS2022。對(duì)于 3 級(jí)節(jié)點(diǎn)加入到集團(tuán) VPN 當(dāng)中來，就非常方便了，我們購買的CISCO3745 和 CISCO2621 VPN 路由器，隨機(jī)附帶了一份 CD，包含了 Client端 IPsec 程序，該程序非常簡單大部分的設(shè)置都是預(yù)定義的，VPN 訪問策略和配置可以直接從相應(yīng)所屬的二級(jí)或一級(jí) VPN Gateway（這里是 3745 或 2621 路由器）直接下載，目前 VPN Client 可以支持如下系統(tǒng) Windows 95(OSR2+), 98, ME, NT , 2022, XP, Linux (Intel), Solaris (UltraSparc32 amp?？紤]到網(wǎng)絡(luò)規(guī)模的變大，如將來可能需要建立新的辦事處或地域性分公司，這樣添加的路由器可能會(huì)對(duì)基于傳統(tǒng) IPsec 方式的 VPN 造成一定的影響，我們可以采用 IPsec+GRE（通用路由封裝）技術(shù)來實(shí)現(xiàn)基于 IP 路由收斂的 VPN 技術(shù)，這樣，路由的更新可以完全透過 2 層 VPN 來實(shí)現(xiàn)，這對(duì)用戶來講是完全透明的，一旦 A 集團(tuán)的規(guī)模發(fā)生巨大的變化，網(wǎng)絡(luò)拓?fù)浞绞揭兓鐦?gòu)成MESH 方式或節(jié)點(diǎn)數(shù)大大增加，我們可以完全在不更改設(shè)備的情況下建立基于MPLS VPN，CISCO3745 完全可以設(shè)置 PE 路由器，而 CISCO2621 可以相應(yīng)地設(shè)置為 CE 路由器，這樣整個(gè)核心 VPN 網(wǎng)絡(luò)就從 2 層 VPN 直接升級(jí)到 3 層 IP VPN 構(gòu)架來了。在 CISCO3742621XM 中，提供 (13) T 或以上版本的 IOS，支持IPSec 提供 DES 和 3DES 的 Advanced Encryption Standard (AES)，新型的AES 支持 128bit key (default), 和 192bit key, 或 256bit 加安全的應(yīng)用。在本次項(xiàng)目應(yīng)用中考慮到傳輸?shù)挠幸曨l、語音、數(shù)據(jù) 3 類信息，各類信息對(duì)網(wǎng)絡(luò)環(huán)境都有一定的要求，特別是 VPN 環(huán)境下的實(shí)現(xiàn)更是比較復(fù)雜，我們采用 CISCO3742621XM VPN 多應(yīng)用服務(wù)器可以支持 V3PN，即能在 IPsec隧道上實(shí)現(xiàn)視頻、語音、數(shù)據(jù) 3 類信息的封裝，而保證 IP 中的 QOS 特性不改變，從而保證數(shù)據(jù)的 IP 連貫應(yīng)用。本次項(xiàng)目中根據(jù)前面規(guī)劃：在一級(jí)節(jié)點(diǎn)與二級(jí)節(jié)點(diǎn)之間部署端到到端 VPN：Site TO Site，結(jié)構(gòu)為星型結(jié)構(gòu)：HUBSPOKE。整體拓?fù)淙缦滤荆?5 / 66 設(shè)計(jì)VPN（虛擬專網(wǎng)）是利用公共網(wǎng)絡(luò)資源(如公用電信網(wǎng)) 為客戶組建專用網(wǎng)的一種技術(shù)，它通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別，從而利用公網(wǎng)構(gòu)筑專網(wǎng)（即 VPN） 。如圖所示：在本次項(xiàng)目中，CISCO3745VPN/K9 最大可以同時(shí)支持 2022 個(gè) Tunnels，即便是 2022 年全體上網(wǎng)人數(shù)同時(shí)與總部通信，都沒有任何問題；局域網(wǎng)采用天融信防火墻 NGFW4000S 來實(shí)現(xiàn)阻隔某些端口的入侵和非法探測，提供詳細(xì)的日志與審計(jì)功能，該防火墻也可以跟入侵檢測系統(tǒng)天闐 500 聯(lián)動(dòng)，動(dòng)態(tài)檢測黑客的入侵并禁用相應(yīng)端口，在防火墻的 DMZ 部署 WEB 服務(wù)器供外部訪問，詳細(xì)描述見網(wǎng)絡(luò)安全設(shè)計(jì)。采用新的 HDSM 之后，Cisco 3700 系列路由器就能夠集成更高端口密度和新的高性能服務(wù)了。配備四個(gè) NM 插槽的 Cisco 3745 路由器取消了在每一對(duì)相鄰