【正文】 內(nèi)部防范主要是確保總部和各公司的安全，加強廣域網(wǎng)的進出口控制，我們應(yīng)在總部及各分部的廣域網(wǎng)出口處配備防火墻來加強內(nèi)部網(wǎng)絡(luò)保護，見下圖。（2）廣域網(wǎng)進出口控制企業(yè)具有多個地理上分散的分部，各分部和總部之間租用電信專線互聯(lián)，形成以總部為中心的集團廣域網(wǎng)。為了構(gòu)建安全的通信通道，必須把這一軟件與IPSec網(wǎng)關(guān)結(jié)合使用（如PIX家族安全設(shè)備），或與運行IPSec兼容軟件的另一臺主機結(jié)合使用（如ASDM）。PIX ASDM是一種在用戶主機（桌面或筆記本電腦）上運行的軟件，簡化了對網(wǎng)絡(luò)、設(shè)備或公共或非信任網(wǎng)絡(luò)中其它主機的安全遠程接入。為允許合法用戶訪問公司網(wǎng)絡(luò)，同時確保通過Internet進行的業(yè)務(wù)應(yīng)用的安全性，我們建議采取VPN通訊方式。 命令行界面：支持批處理方式及通過調(diào)制解調(diào)器的備用渠道進行控制 兩臺PIX防火墻采取雙機熱備方式工作，任何一臺防火墻出現(xiàn)故障，其任務(wù)由另一臺防火墻自動接管，避免單點故障造成企業(yè)無法上網(wǎng)的情況發(fā)生，保證網(wǎng)絡(luò)的無間斷運行[4]。 圖形界面：可關(guān)閉遠程的管理方式，只用本地的、安全的管理 透明的，無IP地址設(shè)置：無須更改任何路由器及主機配置 虛擬IP：將內(nèi)部服務(wù)器映射為可路由地址 流量帶寬控制及優(yōu)先級設(shè)置：按您的需求管理流量 IKE密鑰管理：保證密鑰交換 用戶認(rèn)證(Authentication)：只允許有授權(quán)的訪問 動態(tài)訪問過濾(Dynamic Filter) ：自適應(yīng)網(wǎng)絡(luò)服務(wù)保護 提供了防火墻的全部安全功能（如防止拒絕服務(wù)攻擊，Java/ActiveX/Zip過濾，防IP地址欺騙……）并結(jié)合了包過濾、鏈路過濾和應(yīng)用代理服務(wù)器等技術(shù)PIX515防火墻吞吐量高達xxxbps，提供xxx接口，xxx鏈接數(shù)，xxxVPN處理能力，支持透明模式、雙機備份、負(fù)載均衡、圖形管理等，流量控制功能為網(wǎng)絡(luò)管理員提供了全部監(jiān)測和管理網(wǎng)絡(luò)的信息，諸如DMZ，服務(wù)器負(fù)載平衡和帶寬優(yōu)先級設(shè)置等先進功能，使PIX獨樹一幟。圖41 典型的企業(yè)應(yīng)用l 防火墻系統(tǒng)選型設(shè)計經(jīng)過對多家防火墻廠商設(shè)備的綜合比較，本建議書推薦采用Cisco公司的防火墻產(chǎn)品。來自Internet的光纖專線將通過一臺交換機與兩臺防火墻的外網(wǎng)口連接。為避免單點故障，防火墻系統(tǒng)采取雙機模式構(gòu)建。從安全和管理角度考慮，建議只在總部設(shè)立一個Internet出口，各地分部統(tǒng)一通過總部訪問互聯(lián)網(wǎng)。本課程設(shè)計我們采用防火墻來對企業(yè)網(wǎng)絡(luò)的進出口進行控制，包括Internet進出口控制和廣域網(wǎng)進出口控制。網(wǎng)絡(luò)防火墻系統(tǒng)從其設(shè)置的物理位置來說，最恰當(dāng)?shù)奈恢镁褪蔷W(wǎng)絡(luò)物理邊界的出入口。這些安全服務(wù)包括了訪問認(rèn)證、訪問控制、信息流安全檢查、數(shù)據(jù)源點鑒別等技術(shù)手段[5]。所以設(shè)計也將漏洞掃描和入侵檢測系統(tǒng)放在防火墻系統(tǒng)建設(shè)完成后的第二階段實施。所以設(shè)計的動態(tài)認(rèn)證系統(tǒng)放在防火墻系統(tǒng)實施完成后的第二階段來實施。動態(tài)認(rèn)證系統(tǒng)是對網(wǎng)絡(luò)用戶對具體的應(yīng)用系統(tǒng)或網(wǎng)絡(luò)資源訪問控制的一種加強手段。防火墻系統(tǒng)和VPN應(yīng)用系統(tǒng)作為現(xiàn)代網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的重要部分，毫無疑問也是我們建設(shè)網(wǎng)絡(luò)安全系統(tǒng)首先需要構(gòu)架的系統(tǒng)。本項目設(shè)計將重點對防火墻系統(tǒng)（包括VPN應(yīng)用系統(tǒng)）提出設(shè)計建議。防火墻系統(tǒng)作為網(wǎng)絡(luò)出入口的內(nèi)外連接控制和網(wǎng)絡(luò)通信加密/解密設(shè)施，不僅需要有足夠的數(shù)據(jù)吞吐能力，如網(wǎng)絡(luò)物理接口的帶寬，也需要優(yōu)越的網(wǎng)絡(luò)連接的數(shù)據(jù)處理能力，例如并發(fā)連接數(shù)量和網(wǎng)絡(luò)連接會話處理能力等。4 網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計基于以上的規(guī)劃和分析，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的，應(yīng)分兩個步驟（兩期）分別實現(xiàn)以下各個安全子系統(tǒng)：防火墻系統(tǒng)VPN系統(tǒng)動態(tài)認(rèn)證系統(tǒng)實用、先進、可發(fā)展是安全系統(tǒng)設(shè)計的基本原則。表31防火墻系統(tǒng)實現(xiàn)功能目標(biāo)物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層認(rèn)證****訪問控制***數(shù)據(jù)保密****數(shù)據(jù)完整性***不可抵賴性審計***可用性****應(yīng)用系統(tǒng)的安全性主要在用戶和服務(wù)器間的雙向身份認(rèn)證以及信息和服務(wù)資源的訪問控制，具有審計和記錄機制，確保防止拒絕和防抵賴的防否認(rèn)機制。但是在今天已經(jīng)出現(xiàn)了滿足網(wǎng)絡(luò)層全部應(yīng)用的、功能強大、性能優(yōu)異的防火墻產(chǎn)品，如Cisco防火墻。（3）防火墻系統(tǒng)的功能實現(xiàn)要求總結(jié)網(wǎng)絡(luò)層的安全保證是企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的最關(guān)鍵，因此在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，防火墻系統(tǒng)是整個系統(tǒng)的最重要組成部分，它將擔(dān)負(fù)完成大部分的安全服務(wù)（安全技術(shù)手段）實現(xiàn)和執(zhí)行的任務(wù)[1]。在企業(yè)網(wǎng)的VPN應(yīng)用中，采用三倍DES的加密技術(shù)，這是目前可以獲得的最先進和實用的網(wǎng)絡(luò)通信加密技術(shù)手段。對于內(nèi)部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實現(xiàn)，企業(yè)各類資源的應(yīng)用系統(tǒng)在邏輯上進行子網(wǎng)系統(tǒng)的劃分，即在技術(shù)上提供可以獨立選擇安全策略的虛擬系統(tǒng)劃分。從互聯(lián)網(wǎng)入口進入企業(yè)網(wǎng)的用戶，可以被防火墻有效地進行類別劃分，即區(qū)分為通過互聯(lián)網(wǎng)進入內(nèi)部網(wǎng)的企業(yè)移動用戶或外部的公共訪問者，對于要求進入企業(yè)內(nèi)部網(wǎng)的訪問者進行用戶的授權(quán)認(rèn)證，攔截沒有用戶權(quán)限的訪問者試圖進入內(nèi)部網(wǎng)。網(wǎng)絡(luò)層安全系統(tǒng)通過防火墻系統(tǒng)（帶VPN功能）實現(xiàn)訪問控制、網(wǎng)絡(luò)信息檢查、通信加密、非法入侵檢測和攔截，異常情況告警和審計幾大功能目標(biāo)。通過對各類防火墻的比較分析，我們認(rèn)為目前面向B/S結(jié)構(gòu)應(yīng)用的防火墻設(shè)備，硬件防火墻是最為明智的選擇。具體來說，B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上使用，會給網(wǎng)絡(luò)防火墻帶來數(shù)倍甚至數(shù)十倍于C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的并發(fā)TCP會話數(shù)量，而且這些會話絕大部分是包長很短的“垃圾”IP包。[6]眾所周知，防火墻作為網(wǎng)絡(luò)設(shè)備，對網(wǎng)絡(luò)性能影響最為主要的是兩個參數(shù)指標(biāo)，一個是防火墻的TCP連接處理能力（并發(fā)會話處理數(shù)），另一個是防火墻對網(wǎng)絡(luò)數(shù)據(jù)流量的吞吐能力（帶寬參數(shù)）。以上兩種主要的因素，在很大程度上決定我們在防火墻選型設(shè)計時對產(chǎn)品的取舍。在未來一兩年內(nèi)，企業(yè)的應(yīng)用系統(tǒng)將大部分實現(xiàn)集中式的B/S結(jié)構(gòu)模式。企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是C/S和B/S兩種應(yīng)用結(jié)構(gòu)的混合形式，主要的業(yè)務(wù)應(yīng)用系統(tǒng)現(xiàn)在是分布式的C/S結(jié)構(gòu)。任何一個應(yīng)用系統(tǒng)提供的應(yīng)用，都是依賴于網(wǎng)絡(luò)的各個層次來實現(xiàn)應(yīng)用信息的處理和傳送，應(yīng)用系統(tǒng)最終是通過向所有的網(wǎng)絡(luò)用戶提供使用來達到其應(yīng)用的目的。因此，本設(shè)計有必要針對企業(yè)的網(wǎng)絡(luò)應(yīng)用進行防火墻系統(tǒng)的要求分析。防火墻作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分，和其他網(wǎng)絡(luò)設(shè)備一樣，其性能目標(biāo)應(yīng)該按照網(wǎng)絡(luò)系統(tǒng)的應(yīng)用要求進行選型設(shè)計。這是防火墻系統(tǒng)設(shè)計時必須考慮的可實現(xiàn)功能之一[4]。加入的RSA SecurID必須提供通用的API，使用戶可以將RSA SecurID認(rèn)證內(nèi)嵌到ERP系統(tǒng)或其他的應(yīng)用系統(tǒng)中，保證公司內(nèi)部網(wǎng)絡(luò)用戶接收MAIL和文件的安全，驗證用戶身份，并創(chuàng)建用戶登錄日志文件。l 高級別的用戶在遠程授權(quán)以后，需要及時地更改密碼。ERP系統(tǒng)上單一靜態(tài)密碼的安全隱患主要有：l 用戶無法保證辦公文件能正確的接受，在接受之前沒有被其他人瀏覽過。 （5）應(yīng)用層安全保護這里的應(yīng)用層，主要指企業(yè)的信息資源管理系統(tǒng)（ERP）。（4）VPN上的認(rèn)證在網(wǎng)絡(luò)系統(tǒng)將配置VPN系統(tǒng)，遠程移動用戶可以通過撥號連接本地ISP，用VPN Client 建立安全通道訪問公司信息資源。而目前從終端上訪問也是采用單一靜態(tài)密碼，從我們前面的分析來看，顯然是不安全的。（3）移動用戶的訪問控制訪問移動用戶進入公司內(nèi)部網(wǎng)絡(luò)可以通過本地?fù)芴栠B接公司的內(nèi)部網(wǎng)絡(luò)，也可以通過互聯(lián)網(wǎng)的ISP接入公司內(nèi)部網(wǎng)[6]。公司所有的業(yè)務(wù)系統(tǒng)都是建立在網(wǎng)絡(luò)設(shè)備基礎(chǔ)之上的，保證網(wǎng)絡(luò)設(shè)備的安全是保證系統(tǒng)正常運行的首要條件；而保護網(wǎng)絡(luò)設(shè)備的安全，通?？紤]的最多的是設(shè)備的冗余，而網(wǎng)絡(luò)設(shè)備的配置保護卻不被重視，其實，當(dāng)某一個人登錄了網(wǎng)絡(luò)設(shè)備（路由器、防火墻、VPN設(shè)備等），將配置進行了更改，為以后非法的登錄建立通道，對整個系統(tǒng)來說，所有的安全設(shè)施就形同虛設(shè)。l 人員的流動、集成商自設(shè)等很多因素，使得每臺主機系統(tǒng)上的多余帳戶增加。（1）主機系統(tǒng)包括企業(yè)總部和各下屬公司中心主機、數(shù)據(jù)庫系統(tǒng)，WEB服務(wù)器、MAIL服務(wù)器等等，這些主機系統(tǒng)是公司網(wǎng)絡(luò)系統(tǒng)的核心，存儲著公司最重要的信息資源，因此，保證這些主機系統(tǒng)的登錄的安全是極其重要的。資源包括信息資源和服務(wù)資源。需要對這些系統(tǒng)進行系統(tǒng)安全漏洞的掃描和實時入侵的檢測。此外，任何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進行系統(tǒng)的破壞。還有，安裝在操作系統(tǒng)上的各種應(yīng)用系統(tǒng)形成了一個復(fù)雜的環(huán)境，這些應(yīng)用程序本身設(shè)計的缺陷也會帶來安全漏洞。目前運行大多數(shù)應(yīng)用的各種操作系統(tǒng)，都是針對可以運行多種應(yīng)用來開發(fā)的，其開發(fā)要兼顧到各種應(yīng)用的多個方面，在程序開發(fā)過程中，會出現(xiàn)一些人為的疏忽，以及一些人為設(shè)置的后門等。在條件允許的情況下，我們建議企業(yè)網(wǎng)增加網(wǎng)絡(luò)漏洞掃描和入侵檢測系統(tǒng)[1]。（4）其他安全保護輔助措施企業(yè)網(wǎng)絡(luò)環(huán)境比較復(fù)雜，設(shè)備眾多，這使管理人員查找和修補網(wǎng)絡(luò)中的全部安全隱患有相當(dāng)大的難度。正如前面所言，這種連接方式盡管實現(xiàn)的代價和技術(shù)條件相對比較低，但其所能提供的安全保證更加不可信賴。因此，本課程設(shè)計采用企業(yè)廣域網(wǎng)系統(tǒng)配置內(nèi)部的防火墻系統(tǒng)。由此可見，在企業(yè)通過第三方專線連接的企業(yè)廣域網(wǎng)內(nèi)，實施網(wǎng)絡(luò)安全保護是非常必要的舉措。其二，內(nèi)部網(wǎng)絡(luò)連接安全保護。這種“后門”對于別有用心的網(wǎng)絡(luò)黑客來說，是非常有用的，他們可以避開企業(yè)網(wǎng)絡(luò)“門戶”的防火墻系統(tǒng)，通過網(wǎng)絡(luò)的“后門”直接攻擊企業(yè)網(wǎng)絡(luò)的內(nèi)部資源，這也是網(wǎng)絡(luò)黑客最常用的攻擊手段之一；在國外就曾經(jīng)有某個利益集團利用這一手法，獲取了某國海關(guān)大量的內(nèi)部資料，利用所掌握的內(nèi)部資料，達到其變相走漏海關(guān)關(guān)稅的目的，而且這一手法在被發(fā)現(xiàn)的時候已經(jīng)被有效地利用了相當(dāng)長的時間。其一，類似企業(yè)這種在物理上分布廣泛的網(wǎng)絡(luò)系統(tǒng)，每一個在地理上屬異地的分支機構(gòu)或部門，甚至同屬于一個地方（如總部）的不同機構(gòu)和部門，其網(wǎng)絡(luò)應(yīng)用和管理都有相對的獨立性，因此在網(wǎng)絡(luò)安全管理實施和執(zhí)行上就很容易產(chǎn)生差異，從而出現(xiàn)網(wǎng)絡(luò)安全漏洞。在這種復(fù)雜的網(wǎng)絡(luò)環(huán)境中實現(xiàn)對各類網(wǎng)絡(luò)資源的有效保護和管理，僅僅利用現(xiàn)有的網(wǎng)絡(luò)來完成，顯然是做不到的。VPN采用3DES的加密算法，一方面可以使在廣域網(wǎng)