【正文】 第 10 頁 共 18 頁 10 ? 避免遭到來自遠(yuǎn)程網(wǎng)絡(luò)的攻擊，網(wǎng)絡(luò)出口處既是正常網(wǎng)絡(luò)訪問的通道，同時(shí)又被黑客利用作為攻擊的入口，因此在網(wǎng)關(guān)應(yīng)具有很強(qiáng)的抵擋攻擊的能力。 從對其網(wǎng)絡(luò)結(jié)構(gòu)的分析可以看到， XX 公司總部的內(nèi)部網(wǎng)絡(luò)的架構(gòu)嚴(yán)謹(jǐn)，但是卻存在極大的安全隱患， 有以下安全問題需要解決： ? 來自 Inter 網(wǎng)絡(luò)安全威脅，如病毒傳播和黑客攻擊。同時(shí)內(nèi)部的用戶們通過連接 INTERNET 的路由器，而后再通過 光纖專線 上網(wǎng)。 目前 XX 的局域網(wǎng)的內(nèi)部網(wǎng)絡(luò)已經(jīng)建立完善。 第二章 用戶總體需求分析 對企業(yè)內(nèi)部網(wǎng)絡(luò)安全的設(shè)計(jì)，首要考慮到企業(yè)的內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。如果認(rèn)證服務(wù)器還控制授權(quán)分組，例如營銷或策劃小組的授權(quán)，則系統(tǒng)還要注意核查它是否能正確地同 VPN 設(shè)備聯(lián)絡(luò)組信息。認(rèn)證是要證明遠(yuǎn)程用戶是她或他聲稱的身份（在外聯(lián) 網(wǎng)設(shè)置中，要證明的則相反，即服務(wù)器可信）。 網(wǎng)管員還要讓認(rèn)證和授權(quán)程序協(xié)調(diào)起來。對此，一些廠商的實(shí)現(xiàn)的方式是，讓所有信息進(jìn)入總部設(shè)備下載相關(guān)信息。 第 9 頁 共 18 頁 9 安裝和配置 VPN 我們構(gòu)建 VPN 的方法是使用 Hillstone 防火墻自帶的 VPN 功能， Hillstone 防火墻在VPN 方面也是采用專有的硬件結(jié)構(gòu)來 實(shí)現(xiàn)的，我們購買了防火墻后，就作為防火墻的一個(gè)功能提供給客戶。外界顧問不需要認(rèn)證，他們只需同另一臺 VPN 服務(wù)器連接起來，這一臺服務(wù)器應(yīng)位于第二個(gè) DMZ 上，以保護(hù)公司的認(rèn)證服務(wù)器。其中，建立與下屬辦事處的鏈路最簡單：一對 VPN 服務(wù)器只需在兩個(gè)站點(diǎn)間建立加密通道。如果一臺認(rèn)證服務(wù)器屬于 DMZ 子網(wǎng)，它會得到細(xì)心的管理和保護(hù)，免于內(nèi)部和外部的威脅。 對于員 工企業(yè)，如果絕大多數(shù)遠(yuǎn)程用戶屬于外部機(jī)構(gòu)，將 VPN 設(shè)備放在 DMZ 網(wǎng)絡(luò)上意義更大，因?yàn)樗葍?nèi)部網(wǎng)絡(luò)更為安全，屏蔽 DMZ 的防火墻有助于保護(hù)其間的設(shè)備。 4）為 VPN 服務(wù)器選擇位置 遠(yuǎn)程用戶的從屬關(guān)系有助于確定 VPN 設(shè)備放置的位置。 如果一個(gè) 企業(yè)的 VPN 延伸到海外，網(wǎng)管員還必須解決出口問題。比如，許多遠(yuǎn)程訪問服務(wù)器使用下述兩種協(xié)議之一的外部系統(tǒng)來認(rèn)證用戶：遠(yuǎn)程認(rèn)證撥入用戶服務(wù)器（ Radius）或終端訪問控制器訪問系統(tǒng) (Tacscs)。隨著 Ipsec 越來越穩(wěn)定和實(shí)施越來越廣泛， VPN 的終端用戶可以不必使用同一廠商的產(chǎn)品以保證可靠工作，但是到目前為止，實(shí)施成功的 VPN 通常意味著要從同一家廠商購買所有的設(shè)備?；诜阑饓Φ?VPN 對于僅僅實(shí)施內(nèi)聯(lián)網(wǎng)應(yīng)用的企業(yè)還是蠻好的，它是軟件產(chǎn)品中最容易保證安全和管理的產(chǎn)品。這時(shí)，網(wǎng)管員可建立起所謂的非軍事區(qū)（ DMZ），部分，系統(tǒng)一般使用在防火墻上的一個(gè)第三方界面，并有自己的訪問控制規(guī)則。由于很少有 VPN 廠商提供操作系統(tǒng)級的安 全指導(dǎo)，因此，提供操作系統(tǒng)保護(hù)是這種 VPN 的一大優(yōu)勢。此外，它們還執(zhí)行地址的翻譯，滿足嚴(yán)格的認(rèn)證功能要求，提供實(shí)時(shí)報(bào)警，具備廣泛的登錄能力。 硬件 VPN 產(chǎn)品是典型的加密路由器 ,由于它們在設(shè)備的硅片中存儲了加密密鑰 ,因此 ,較之基于軟件的同類產(chǎn)品更不易被破壞 .另外 ,加密路由器的速度快 ,事實(shí)上 ,如果鏈路的傳輸速度超過 T1(),這樣的 VPN 是名列前茅的。 3） 確定最佳的產(chǎn)品組合 可選擇的 VPN 產(chǎn)品很多，但產(chǎn)品基本上可分成三大類：基于系統(tǒng)的硬件、獨(dú)立的軟件包和基于系統(tǒng)的防火墻。這需要外聯(lián)網(wǎng)用戶機(jī)構(gòu)同 VPN 管理人員之間進(jìn)行良好的協(xié)作。當(dāng)然，決策中應(yīng)包括一些技術(shù)細(xì)節(jié)，例如加密密鑰長度，如果 VPN的加密算法要求公開認(rèn)證，則還需要法律的支持保護(hù)。 一般來說，決策者應(yīng)解決 VPN 特有的幾個(gè)問題：遠(yuǎn)程訪問的資格，可執(zhí)行的計(jì)算能力，外聯(lián)網(wǎng)連接的責(zé)任，以及 VPN 資源的監(jiān)管。 2) 注重管理 企業(yè)網(wǎng)絡(luò)是攻擊者垂涎的目標(biāo) ,因此 ,管理層必須保護(hù)公司網(wǎng)絡(luò)免遭遠(yuǎn)程入侵。從根本上說，這是嚴(yán)格政治問題。 VPN 對外聯(lián)網(wǎng)的安全要求通常十分嚴(yán)格，對保密信息的訪問只有在需要時(shí)才能獲準(zhǔn)，而敏感的網(wǎng)絡(luò)資源則禁止訪問。但是，如果這些地方有問題，網(wǎng)絡(luò)設(shè)計(jì)人員就要考慮采用更嚴(yán)格的安全措施。這類似于 LAN 到 LAN 的連接。物理安全性涵蓋了一切 因素，從下屬辦事處的密鑰和鎖，到計(jì)算設(shè)備的物理訪問，再到可訪問設(shè)施的非雇員數(shù)量等等。內(nèi)聯(lián)網(wǎng) VPN 執(zhí)行的安全決策通常是標(biāo)準(zhǔn)的公司決策，遠(yuǎn)程用戶至少要經(jīng)過一次認(rèn)證。內(nèi)聯(lián)網(wǎng)連接著同一個(gè)機(jī)構(gòu)內(nèi)的可信任終端和用戶，這一類典型連接是總部與下屬辦事處、遠(yuǎn)程工作站及路途中用戶的連接。 1)明確遠(yuǎn)程訪問的需求 首先企業(yè)要明確需要與哪種 WAN 連接，用戶是通過 LAN/WAN 還是撥號鏈路進(jìn)入企業(yè)網(wǎng)絡(luò)，遠(yuǎn)程用戶是否為同一機(jī)構(gòu)的成員等問題。但是涉及到Inter，企業(yè)有得又有失，比如專用線路的高可靠性及安全性就是 VPN 需要重點(diǎn)考慮的地方。 如 何構(gòu)筑虛擬專用網(wǎng) VPN 企業(yè)利用 Inter 構(gòu)筑虛擬專用網(wǎng)絡(luò) (VPN)，意味著可以削減巨額廣域網(wǎng)成本，然而在 VPN 中確保關(guān)鍵數(shù)據(jù)的安全等因素又是企業(yè)必須面對的問題?？? 第 6 頁 共 18 頁 6 慮到我國對密碼管理的體制情況，密碼是一個(gè)單獨(dú)的領(lǐng)域。虛擬專用網(wǎng)的本質(zhì)實(shí)際上涉及到密碼的問題。 (7) 提供記帳、 報(bào)警功能 實(shí)施移動方式的報(bào)警功能 ,包括 Email、 SNMP 等。根據(jù)信息源的分布情況 ,有必要對不同網(wǎng)絡(luò)和資源實(shí)施不同的安全策略和多種級別的安全保護(hù)，如可以在防火墻上實(shí)施路由器、交換機(jī)、訪問服務(wù)器的安全管理。 (4) 加密 提供防火墻與防火墻之間、防火墻與移動用戶之間信息的安全傳輸。 (2) 普通授權(quán)與認(rèn)證 提供多種認(rèn)證和授權(quán)方法 ,控制不同的信息源。 安全網(wǎng)絡(luò) 一個(gè)安全的網(wǎng)絡(luò)系統(tǒng)應(yīng)包括以下幾個(gè)方面 : (1) 訪問控制 實(shí)施企業(yè)網(wǎng)與外部、企業(yè)內(nèi)部不同部門之間的隔離。根據(jù)國際計(jì)算機(jī)安全協(xié)會（ ICSA）的一份報(bào)告，在 1996 年有 23%的病毒感染 是由 Email 引起的。 第 5 頁 共 18 頁 5 防火墻的生產(chǎn)廠商們已在他們的產(chǎn)品中加入了更多的新技術(shù)來增加產(chǎn)品的競爭力。狀態(tài)監(jiān)測防火墻的另一個(gè)優(yōu)點(diǎn)是它會監(jiān)測無連接狀態(tài)的遠(yuǎn)程過程調(diào)用（ RPC）和用戶數(shù)據(jù)報(bào) (UDP)之類的端口信息，而包過濾和應(yīng)用網(wǎng)關(guān)防火墻都不支持 此類應(yīng)用。與前兩種防火墻不同，當(dāng)用戶訪問請求到達(dá)網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動作。監(jiān)測引擎在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的 各層實(shí)施監(jiān)測，抽取狀態(tài)信息，并動態(tài)地保存起來作為以后執(zhí)行安全策略的參考。但是應(yīng)用級網(wǎng)關(guān)也存在一些不足之處，首先它會使訪問速度變慢，因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)，而且應(yīng)用級網(wǎng)關(guān)需要對每一個(gè)特定的服務(wù)安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，對每一類服務(wù)要使用特殊的客戶端軟件，更不幸的是，并不是所有的互聯(lián)網(wǎng)應(yīng)用都可以使用代理服務(wù)器。代理服務(wù)器會象一堵墻一樣擋在內(nèi)部用戶和外界之間，從外部只能看到該代理服務(wù)器而無法獲知任何的內(nèi)部資源，諸如用戶的 IP地址等。 當(dāng)代理服務(wù)器接收到用戶對某站點(diǎn)的訪問請求后會檢查該請求是否符合控制規(guī)則的規(guī)定，如果規(guī)則允許用戶訪問該站點(diǎn)的話，代理服務(wù)器會象一個(gè)客戶一樣去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶。它適用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸 (HTTP)，遠(yuǎn)程文件傳輸 (FTP)等等。但包過濾路由器通常沒有用戶的訪問日志，這樣就不能得到入侵者的攻擊記錄。如果對防火墻設(shè)定某一 IP地址的站點(diǎn)為不適宜訪問的話，從這個(gè)地址來的所有信息都會被防火墻屏蔽掉。當(dāng)這些信息包被送上互聯(lián)網(wǎng)絡(luò)時(shí)，路由器會讀取接收者的 IP并選擇一條合適的物理線路發(fā)送出去，信息