【正文】 員可修改程序使其運(yùn)行得到密鑰從而得到主機(jī)中敏感數(shù)據(jù)。4．2 福建興業(yè)銀行各業(yè)務(wù)系統(tǒng)的安全設(shè)計(jì)4．2．1 威脅及漏洞福建興業(yè)銀網(wǎng)絡(luò)作為一個(gè)金融網(wǎng)絡(luò)系統(tǒng)，由于涉及信息的敏感性自然會(huì)成為內(nèi)部和外部黑客攻擊的目標(biāo)，當(dāng)前福建興業(yè)銀行面臨的主要風(fēng)險(xiǎn)和威脅有： 非法訪問(wèn)：興業(yè)銀行網(wǎng)絡(luò)是一個(gè)遠(yuǎn)程互連的金融網(wǎng)絡(luò)系統(tǒng)。福建興業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)整體配置圖如圖四。本方案中主要用到NetScreen10和NetScreen100，在總行與分行連接點(diǎn)采用NetScreen100作為防火墻，同時(shí)在重要的業(yè)務(wù)連接點(diǎn)采用NetScreen獨(dú)特的多機(jī)備份技術(shù)用兩臺(tái)作為熱備份，保證整個(gè)系統(tǒng)的網(wǎng)絡(luò)安全。l 與IPSec兼容——同其他廠商設(shè)備可相互操作l 1000個(gè)IPSec VPN通道l 3DES吞吐量達(dá)到85Mbpsl IKE自動(dòng)密鑰管理——安全動(dòng)態(tài)密鑰交換l DES和三倍DES——最高級(jí)別加密l 強(qiáng)有力的認(rèn)證——MD5，SHA1VPN應(yīng)用示例NetScreenHeadquartersMobile UserInternetVPN TunnelVPNClear Traffic 圖三、VPN應(yīng)用示意圖四、福建興業(yè)銀行網(wǎng)絡(luò)安全總體設(shè)計(jì)4．1 福建興業(yè)銀行網(wǎng)絡(luò)安全設(shè)計(jì)原則l 防止來(lái)自外部的黑客攻擊l 防止來(lái)自?xún)?nèi)部的惡意攻擊l 網(wǎng)絡(luò)資源訪問(wèn)控制l 網(wǎng)絡(luò)傳輸?shù)膶?shí)時(shí)監(jiān)控l 強(qiáng)大的安全審計(jì)l 事件分析與告警在本方案中我們從興業(yè)銀行各種業(yè)務(wù)、興業(yè)銀行總行和分行的業(yè)務(wù)連接和OA系統(tǒng)、網(wǎng)上銀行各方面進(jìn)行網(wǎng)絡(luò)安全方面的設(shè)計(jì)。NetScreen專(zhuān)門(mén)設(shè)計(jì)的ASIC接管了CPU的高密度加密任務(wù)，提供線速性能以支持環(huán)境要求苛刻的ISP、ASP和中心站點(diǎn)VPN集中應(yīng)用。它的專(zhuān)利——獨(dú)特的系統(tǒng)結(jié)構(gòu)和專(zhuān)門(mén)設(shè)計(jì)的ASIC為要求苛刻的數(shù)據(jù)中心，服務(wù)提供商和企業(yè)環(huán)境提供了高性能的安全功能。 高性能防火墻NetScreen100提供了防火墻的全部安全功能，并結(jié)合了包過(guò)濾、鏈路過(guò)濾和應(yīng)用代理服務(wù)器等技術(shù)。它的專(zhuān)利——獨(dú)特的體系結(jié)構(gòu)消除了傳統(tǒng)系統(tǒng)中由于在通用處理器、PC或工作站上運(yùn)行軟件的防火墻、VPN、加密所導(dǎo)致的性能瓶頸、以及安全性上的先天性不足。性能參數(shù)性能高達(dá)10Mbps先進(jìn)的防火墻策略和VPN加（IPSec）100個(gè)并發(fā)VPN通道符合IPSec標(biāo)準(zhǔn)(可與其他廠商設(shè)備互連)DES (56位)和三倍DES加密級(jí)別符合IKE密鑰管理協(xié)議(ISAKMP),認(rèn)證:MD5,SHA1認(rèn)證 防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）透明模式(無(wú)需改變現(xiàn)有的網(wǎng)絡(luò)設(shè)置)狀態(tài)檢測(cè)，實(shí)時(shí)報(bào)警和日志通過(guò)ICSA認(rèn)證、Web、Radius和SecureID認(rèn)證URL地址的限定4000并發(fā)會(huì)話連接數(shù)、4000條安全策略 便捷管理基于Web瀏覽器的配置或通過(guò)CLI（命令行接口）或者通過(guò)Netscreen Global Manager集中管理，確保網(wǎng)絡(luò)最大帶寬，或按優(yōu)先級(jí)設(shè)置不同的帶寬。易于安裝和配置，通過(guò)Web瀏覽器、CLI(命令行)管理或通過(guò)NetScreen Global Manager軟件進(jìn)行集中管理。3．8 NetScreen 網(wǎng)絡(luò)安全主要產(chǎn)品簡(jiǎn)介3．8．1 NetScreen10NetScreen10是一臺(tái)集成防火墻、VPN、NAT、流量管理等功能于一體的Internet安全設(shè)備。如果您的企業(yè)需要通過(guò)互聯(lián)網(wǎng)與諸如供貨商，商業(yè)伙伴，分支機(jī)構(gòu)進(jìn)行端到端信息交換，Netscreen100的VPN功能將是您最安全可靠和經(jīng)濟(jì)有效的工具。在公網(wǎng)上開(kāi)辟出一條安全通道，為用戶(hù)降低成本。與此相關(guān)的，Netscreen100同時(shí)具有全面的網(wǎng)絡(luò)分析能力，如實(shí)時(shí)的日志記錄，快速準(zhǔn)確的報(bào)警功能和方便的報(bào)表能力。Netscreen100的先進(jìn)功能之一，優(yōu)先級(jí)管理，就是對(duì)帶寬按級(jí)別來(lái)分配，保證了網(wǎng)絡(luò)數(shù)據(jù)的高效交換。Netscreen100可以很容易地配置在任何現(xiàn)有的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中。l 互聯(lián)網(wǎng)（INTERNET）Netscreen100在防火墻市場(chǎng)之所以出類(lèi)拔萃，是因?yàn)槠鋵?shí)現(xiàn)了防火墻安全性能與高速率的完美結(jié)合。無(wú)論需求是來(lái)自企業(yè)網(wǎng)(INTRANET)還是互連網(wǎng)(INTERNET)，　Netscreen100都有能力平衡多個(gè)服務(wù)器。VPN 保證了加密的數(shù)據(jù)在進(jìn)出公司局域網(wǎng)和外部互連網(wǎng)時(shí)受到檢驗(yàn)。它可以被靈活地設(shè)置在企業(yè)局域網(wǎng)的各個(gè)關(guān)鍵位置，以保護(hù)各個(gè)部門(mén)的資訊，如財(cái)務(wù)部，工程部　等關(guān)鍵部門(mén)，或保護(hù)重要的企業(yè)網(wǎng)服務(wù)器，甚至可以保護(hù)企業(yè)高層管理人員個(gè)人電腦上的敏感資訊。3．6 處理能力及性能指標(biāo)．具有線速帶寬且不受信息包大小影響(wirespeed)．在作地址轉(zhuǎn)換和添加策略時(shí)，性能不受任何影響．具有VPN功能，支持IPSEC,DES,TripleDES,．人工密鑰管理,自動(dòng)ISAKMP密鑰管理，支持MD5．線速帶寬的包過(guò)濾．支持64，000個(gè)并發(fā)連接．5000個(gè)高級(jí)訪問(wèn)過(guò)濾策略．具有網(wǎng)絡(luò)地址轉(zhuǎn)換功能．支持透明模式傳輸．動(dòng)態(tài)過(guò)濾，具有硬件級(jí)代理服務(wù)器功能．有實(shí)時(shí)監(jiān)控流量和報(bào)警功能．可以實(shí)現(xiàn)日志記載功能．流量控制，可以根據(jù)不同用戶(hù)及不同策略分配帶寬．支持8級(jí)用戶(hù)優(yōu)先級(jí)設(shè)置．支持服務(wù)器負(fù)載均衡．動(dòng)態(tài)IP pool,實(shí)現(xiàn)端口地址轉(zhuǎn)換．支持多種標(biāo)準(zhǔn)協(xié)議：ARP,TCP/IP,UDP,ICMPDHCP, HTTP, RADUIS, Ipsec, MD5, SHA1Des, Triple DES, IKE, ，．可以通過(guò)瀏覽器，TFTP服務(wù)器，快速閃存來(lái)進(jìn)行軟件版本的升級(jí)及配置參數(shù)的下載，備份．支持一主一備的管理模式3．7 產(chǎn)品適用范圍l 企業(yè)網(wǎng) (INTRANET)Netscreen100，以其創(chuàng)記錄的100Mbps運(yùn)行速度，將業(yè)界的性能標(biāo)準(zhǔn)一下子提高了十倍，創(chuàng)新的，獨(dú)特設(shè)計(jì)的軟硬件體系結(jié)構(gòu)，使Netscreen100將高速的性能，最大限度的安全性及簡(jiǎn)單易用有機(jī)地結(jié)合在一起，有效的消除了制約傳統(tǒng)軟件類(lèi)防火墻的性能瓶頸。而且NetScreen還可以提供備份的遠(yuǎn)程撥號(hào)方式的管理。也可以在圖形方式下用瀏覽器進(jìn)行管理，不分硬件平臺(tái)和操作系統(tǒng)，只要把瀏覽器打開(kāi)就可以通過(guò)用Web server 的方式來(lái)管理．配置簡(jiǎn)單尤其在配置三個(gè)端口的IP時(shí)很方便。Telnet 和 Web 管理也可通過(guò)VPN 通道加密，提供安全的管理。Console口的訪問(wèn)也可因?yàn)榘踩蛟O(shè)置為取消。 圖一、NetScreen防火墻遠(yuǎn)程管理示意圖NetScreen 產(chǎn)品同樣也可通過(guò)console 端口，使用命令行方式進(jìn)行管理。如果取消它，不信任端口是不可ping的。并提供了跨Internet來(lái)實(shí)現(xiàn)遠(yuǎn)程管理能力。用戶(hù)可在防火墻上定義多達(dá)1500 個(gè)用戶(hù)或者設(shè)置一個(gè) Radius 服務(wù)器或Secur ID server來(lái)存儲(chǔ)和認(rèn)證用戶(hù)信息。 NetScreen 產(chǎn)品也提供信息的和用戶(hù)的認(rèn)證。在不犧牲安全性的條件下，提供更高的性能。防火墻保持所有的TCP會(huì)話的檢查。而且它只能用軟件實(shí)現(xiàn)，因此性能是很低的。應(yīng)用網(wǎng)關(guān)通過(guò)檢查應(yīng)用層所有的包，提供了更好的安全性。它不能了解連接的狀態(tài)。它通常由路由器來(lái)實(shí)現(xiàn)。 相比其他的兩種方法簡(jiǎn)單的包過(guò)濾和復(fù)雜的應(yīng)用網(wǎng)關(guān)來(lái)講，它具有更快速和更安全的優(yōu)點(diǎn)。除了它可以在兩臺(tái)NetScreen之間運(yùn)行VPN，即使有些產(chǎn)品可以在透明模式下工作，但它們也不能在透明模式下實(shí)現(xiàn)VPN。它只需要一個(gè)管理界面。 NetScreen可以被用來(lái)作透明傳輸。流量?jī)?yōu)先級(jí)和負(fù)載均衡，使該產(chǎn)品成為web服務(wù)器和ISP的理想產(chǎn)品。流量管理 流量管理提供給網(wǎng)絡(luò)管理員所有必須的信息去監(jiān)控和管理網(wǎng)絡(luò)流量。（PKI），可以自動(dòng)地管理VPN。包括網(wǎng)絡(luò)密鑰交換（IKE, 或以前的ISAKMP) 通過(guò)IP，DES，Triple DES。VPN NetScreen會(huì)集了VPN功能，保證了數(shù)據(jù)在傳輸過(guò)程中的加密和解密，但在數(shù)據(jù)被加、解密之前，首先要滿足預(yù)定的策略。該產(chǎn)品提供了高級(jí)的包檢查和事件日志功能。所有產(chǎn)品都支持超過(guò)5000個(gè)存取策略，并提供簡(jiǎn)單易用的過(guò)濾界面。NetScreen100支持每秒4370個(gè)連接，（基于32個(gè)客戶(hù)），領(lǐng)先于它的最接近的競(jìng)爭(zhēng)對(duì)手。用戶(hù)認(rèn)證和策略NetScreen 支持高性能的存取為每一個(gè)當(dāng)前用戶(hù)，無(wú)論是遠(yuǎn)程還是在防火墻內(nèi)，支持創(chuàng)紀(jì)錄的并行連接用戶(hù)數(shù)。先進(jìn)的多總線結(jié)構(gòu)比基于PC的平臺(tái)上的防火墻產(chǎn)品快。允許他們?cè)谧约旱钠髽I(yè)網(wǎng)內(nèi)部構(gòu)筑安全體系。NetScreen提供給ISP們一個(gè)價(jià)廉物美的安全解決方案。 因?yàn)槭腔谟布脑O(shè)計(jì)，NetScreen是唯一一家安全解決系統(tǒng)的提供商，NetScreen產(chǎn)品的高性能允許用戶(hù)享受到高速的好處，可提供多條E1線路，甚至更高如E3的線路。NetScreen1000是市場(chǎng)上唯一的千兆的集防火墻、VPN和流量管理于一身的防火墻產(chǎn)品。NetScreen消除了基于PC平臺(tái)的防