【正文】 PSTN/ISDN/ADSL撥號上網(wǎng)，這就等于給企業(yè)網(wǎng)絡為外部Internet的使用者提供了一個甚至多個“后門”。所以在企業(yè)廣域網(wǎng)內(nèi)采取網(wǎng)絡連接保護是必須的措施。企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應用被不同的對象使用，有許多信息系統(tǒng)會根據(jù)應用目的進行分類獨立使用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡上需要有比較好的手段對內(nèi)部用戶進行信息資源訪問的控制；另一方面，來自于企業(yè)內(nèi)部的攻擊不容忽視，其成功的可能性要遠遠大于來自于Internet的攻擊，而且內(nèi)部攻擊的目標主要是獲取企業(yè)的機密信息，這就更需要有措施對內(nèi)部用戶進行訪問控制。能夠有效地擔負這一保護作用角色的是性能和功能強大的防火墻系統(tǒng)。（3）虛擬連接廣域網(wǎng)的安全保護對于企業(yè)眾多的異地分支機構(gòu)（規(guī)模比較小的）、商業(yè)合作伙伴、出差在外的流動用戶，將其遠程電腦或小規(guī)模LAN納入企業(yè)網(wǎng)系統(tǒng)的接入模式，更多的將會采用通過公共Internet的虛擬連接方式。因此毫無疑問，同樣的理由，這種連網(wǎng)方式的廣域網(wǎng)，其VPN和防火墻的應用，比通過第三方專線鏈路更加迫切需要。利用先進的技術、工具進行網(wǎng)絡系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時彌補，以及建立實時入侵檢測系統(tǒng)，是十分有效的安全防護措施，將能極大提高、完善企業(yè)系統(tǒng)安全。各種操作系統(tǒng)是應用運行的基礎，應用系統(tǒng)的安全性，在相當大的程度之上受到操作系統(tǒng)安全性的影響。這些人為的疏忽或者后門就成了操作系統(tǒng)的安全漏洞。另外，系統(tǒng)權限管理的松懈也是造成安全漏洞的重要原因?；谝陨系脑颍髽I(yè)網(wǎng)絡需要對總部的應用服務器進行操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括Windows NT, Windows 2000,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括Oracle，MS SQL數(shù)據(jù)庫。應用層安全主要是對應用資源的有效性進行控制，管理和控制什么用戶對資源具有什么權限。需要提高身份認證安全性的系統(tǒng)包括主機系統(tǒng)、網(wǎng)絡設備、移動用戶訪問、VPN和應用層。目前企業(yè)的主機系統(tǒng)仍然沿用單一密碼的身份認證方式，這種簡單的身份認證存在以下安全隱患：l 網(wǎng)絡入侵者，很容易猜測或破解賬號、密碼，利用他人的帳戶登錄，進行非法操作。（2）網(wǎng)絡設備安全管理企業(yè)全公司，網(wǎng)絡設備（路由器、交換機）數(shù)量以數(shù)十甚至數(shù)百計。因此對登錄網(wǎng)絡設備的人員進行強的身份認證是完全必要的。對于企業(yè)來說，移動用戶將基本上采用VPN的方式對內(nèi)部進行訪問，外出的員工可以通過Internet渠道的方式進入公司內(nèi)部網(wǎng)絡，獲取所需要信息資源或回送需要提交的信息。因此我們必須在移動用戶訪問上增加更加強大的手段對移動用戶進行控制管理。而VPN技術能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴}，極大的節(jié)約公司的費用，并且使外部非法用戶無法訪問公司內(nèi)部信息；但是，對于公司內(nèi)部用戶，由于VPN所提供的用戶認證機制依然是單一的密碼方式，使我們無法保證目前訪問信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說，還是存在內(nèi)部用戶盜用他人密碼訪問特定的信息資源的安全隱患（可能這些信息資源是他無權瀏覽或更改的），因此，補充更強的身份認證機制對VPN系統(tǒng)應用來說也是非常必要的。在員工進入ERP系統(tǒng)時需要輸入用戶名稱和密碼，同樣的原因，單一靜態(tài)密碼的不安全性使得我們有必要在ERP系統(tǒng)上采用強的認證機制，保證不同權限的、不同級別的用戶安全合法的使用ERP系統(tǒng)。l 單一密碼容易泄露，一旦密碼泄露，其惡果可能會很嚴重。以上討論了企業(yè)網(wǎng)絡系統(tǒng)各個不同應用的安全認證問題，不難看出，上述的應用都必須在原有的單一靜態(tài)認證基礎上，增加更加強大的認證手段，因此我們建議在企業(yè)網(wǎng)絡安全系統(tǒng)內(nèi)引入動態(tài)認證機制，即動態(tài)的SecurID。為了使系統(tǒng)的認證操作和對非法訪問的攔截更加有效，所有認證的轉(zhuǎn)發(fā)和認證結(jié)果的處理都由防火墻來操作完成，即對所有被認證系統(tǒng)認定為非合法訪問的服務請求，通過防火墻“掐斷”其訪問連接，而不是通過應用系統(tǒng)直接拒絕訪問服務。任何一個完整的網(wǎng)絡安全系統(tǒng)，從其功能和物理層次來看，它將分別是網(wǎng)絡基礎設施和網(wǎng)絡應用系統(tǒng)的組成部分。如果防火墻選型設計的不恰當，即使網(wǎng)絡其他設備的選型設計滿足要求，同樣也會因為防火墻的效率妨礙網(wǎng)絡的應用，嚴重的話會導致整個網(wǎng)絡應用建設的失敗，這已經(jīng)是被事實證明的。（1）網(wǎng)絡應用系統(tǒng)的現(xiàn)狀及發(fā)展說明企業(yè)的網(wǎng)絡應用包括了集團公司幾乎所有的業(yè)務活動和管理方面的應用，例如ERP、OA、財務、網(wǎng)絡視頻會議應用等等。由此可以看出從網(wǎng)絡用戶電腦（客戶端）到應用系統(tǒng)平臺（服務器端）的結(jié)構(gòu)形式會對網(wǎng)絡設備（尤其防火墻）提出相應的要求；簡單而言，不同的應用模式，對網(wǎng)絡防火墻系統(tǒng)有不同的技術指標要求。現(xiàn)在正在進行的已有應用系統(tǒng)升級開發(fā)將使應用系統(tǒng)從C/S結(jié)構(gòu)向B/S結(jié)構(gòu)遷移；新增加的應用系統(tǒng)開發(fā)，也是集中式的B/S結(jié)構(gòu)。同時隨著公司規(guī)模的擴大和業(yè)務領域的拓展，目前已經(jīng)在企業(yè)網(wǎng)絡系統(tǒng)內(nèi)應用的網(wǎng)絡視頻會議系統(tǒng)（對網(wǎng)絡的傳輸性能要求很高的應用系統(tǒng)）會隨著系統(tǒng)應用規(guī)模的擴大，為網(wǎng)絡系統(tǒng)帶來越來越大的數(shù)據(jù)傳輸壓力。（2）面向應用系統(tǒng)的防火墻系統(tǒng)設計要求根據(jù)企業(yè)網(wǎng)絡應用系統(tǒng)的現(xiàn)狀以及未來系統(tǒng)的結(jié)構(gòu)發(fā)展，我們認為著重考慮企業(yè)的B/S結(jié)構(gòu)應用特點，是防火墻系統(tǒng)技術指標設計的主要依據(jù)。B/S結(jié)構(gòu)的應用系統(tǒng)雖然具有管理簡單，客戶端開發(fā)、使用和維護的成本很低的優(yōu)點，但是在網(wǎng)絡上B/S結(jié)構(gòu)應用系統(tǒng)將會給網(wǎng)絡帶來巨大的網(wǎng)絡流動數(shù)據(jù)處理壓力，而且是并發(fā)的。由此可見，在設計企業(yè)防火墻系統(tǒng)時，足夠大的TCP會話處理能力，是我們選擇防火墻（包括VPN）產(chǎn)品考慮的主要因素。3安全系統(tǒng)實現(xiàn)目標根據(jù)上一章的需求分析，從網(wǎng)絡安全的技術手段而言，企業(yè)網(wǎng)的安全系統(tǒng)必須實現(xiàn)從Internet和廣域網(wǎng)進入內(nèi)部資源網(wǎng)絡的數(shù)據(jù)被有效檢查和過濾、所有對內(nèi)部資源網(wǎng)絡的訪問可以被有效控制、移動用戶從Internet進入內(nèi)部網(wǎng)絡進行業(yè)務操作的通信和通過廣域網(wǎng)進入內(nèi)部網(wǎng)的用戶通信必須加密、所有網(wǎng)絡訪問行為能夠被記錄和審計、非法訪問被預警和阻攔（條件允許時實施）、應用系統(tǒng)平臺及數(shù)據(jù)可以被有效備份以抗擊災難風險、用戶的身份的真實性認證等幾方面的目標[4]。（1）Internet及Extranet進出口控制在國際互聯(lián)網(wǎng)（Internet）和企業(yè)廣域網(wǎng)（Extranet）的進出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網(wǎng)絡數(shù)據(jù)和被禁止的數(shù)據(jù)源進入企業(yè)內(nèi)部網(wǎng)絡。對于通過Internet入口和廣域網(wǎng)入口進入總部企業(yè)內(nèi)部網(wǎng)或分支機構(gòu)內(nèi)部網(wǎng)的用戶，設置在網(wǎng)絡出入口的防火墻系統(tǒng)不僅可以對訪問者進行能否被允許進入的權限認證，同時可以實現(xiàn)按照企業(yè)資源被訪問權限劃分的訪問路由控制。（2）VPN應用VPN應用是為網(wǎng)絡通信提供有效的信息加密手段。網(wǎng)絡的VPN應用范圍包括移動用戶的客戶機到企業(yè)網(wǎng)絡Internet出入口的防火墻、各分支機構(gòu)的廣域網(wǎng)出入口防火墻到集團總部廣域網(wǎng)出入口防火墻。傳統(tǒng)的網(wǎng)絡安全系統(tǒng)由于受設備功能和性能的限制，在網(wǎng)絡層（從物理層到傳輸層）很難全部由單一的防火墻或其他安全設備全部完成表1中提出的功能要求，所以系統(tǒng)的實施難度和費用（包括設備、人力投入和管理成本）會比較驚人。為了使企業(yè)的網(wǎng)絡安全系統(tǒng)結(jié)構(gòu)簡化、建設成本降低，本建議書在網(wǎng)絡防火墻系統(tǒng)建設目標方面，提出了下表31的功能目標要求。對于重要的主機系統(tǒng)和應用系統(tǒng)、網(wǎng)絡設備管理系統(tǒng)，在原有的靜態(tài)密碼認證管理的基礎上，增加動態(tài)密碼認證管理系統(tǒng)，通過動態(tài)的密碼方式實時不間斷地驗證所有訪問這些系統(tǒng)用戶的真實身份。本建議書設計的安全系統(tǒng)首先是滿足企業(yè)現(xiàn)有和可預見未來幾年內(nèi)的應用要求；其次是考慮在投資增加很少的前提下，選擇目前可以提供最先進技術手段的設備和系統(tǒng)方案；最后要考慮實現(xiàn)的安全系統(tǒng)面對應用要有長遠發(fā)展的能力。以下的防火墻系統(tǒng)設計將根據(jù)這些原則合理的設計系統(tǒng)。任何一個網(wǎng)絡應用系統(tǒng)在實施和建設階段，在進行應用系統(tǒng)開發(fā)的同時，首先是考慮網(wǎng)絡基礎設施的建設。這也是我們設計企業(yè)網(wǎng)絡安全系統(tǒng)第一階段需要完成的系統(tǒng)建設部分。正如前面所分析，在防火墻配合的基礎上可以更加有效地發(fā)揮其作用；另一方面，動態(tài)認證系統(tǒng)是面向具體應用的訪問控制輔助手段，系統(tǒng)的實施范圍和規(guī)模根據(jù)應用系統(tǒng)的要求而決定。同樣，漏洞掃描和入侵檢測系統(tǒng)作為防火墻系統(tǒng)的輔助系統(tǒng)，可以有效地提高防火墻系統(tǒng)發(fā)揮的安全保護作用；漏洞掃描和入侵檢測系統(tǒng)所發(fā)揮的作用，最終要靠防火墻系統(tǒng)的作用來體現(xiàn)，因為漏洞掃描和入侵檢測系統(tǒng)“檢查”和“偵測”得到的非法訪問和惡意攻擊，需要防火墻系統(tǒng)對其實施控制和攔截。防火墻系統(tǒng)是在網(wǎng)絡基礎層以上（OSI/ISO網(wǎng)絡結(jié)構(gòu)模型的2至7層）提供主要的安全技術服務手段，如表31所示。在網(wǎng)絡邊界設置進出口控制，可以防御外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡安全的第一道關卡，其重要性不言而喻。所以可以說，網(wǎng)絡安全系統(tǒng)最為關鍵的組成部分實際上是利用上述的各種技術手段，通過對網(wǎng)絡出入口的控制實現(xiàn)安全服務的目的。（1）Internet進出口控制綿陽總部是整個企業(yè)的中心最重要網(wǎng)絡，通過廣域網(wǎng)鏈路連接分布在各地的分部，開展各種業(yè)務應用，并采用專線連接互聯(lián)網(wǎng)獲取有用信息。l Internet接入結(jié)構(gòu)如下圖41典型的企業(yè)應用所示，總部在Internet出口設立防火墻系統(tǒng)。每臺防火墻均提供4個網(wǎng)絡接口，分別連接Internet，中立區(qū)和內(nèi)部網(wǎng)絡兩臺中心交換機。中立區(qū)也需增加一臺交換機，用于連接兩臺防火墻的中立區(qū)口、WWW服務器、郵件服務器等。簡要介紹Cisco公司和它的防火墻產(chǎn)品我們設計企業(yè)Internet出口處采用兩臺組成雙機模式的Cisco防火墻（以PIX515為例）。其詳細特點如下： 網(wǎng)絡地址轉(zhuǎn)換（NAT）：隱藏內(nèi)部的IP地址 URL地址的限定：限制站點的訪問，過濾不需要的網(wǎng)站 符合IPSec：可與其他廠家的設備交互操作 DES和三級DES：最高等級的加密、解密 負載平衡能力：管理服務器群( Server Farms) 實時日志及報警紀錄：實時監(jiān)控網(wǎng)絡狀態(tài) 自帶Web服務器：方便地通過流行的瀏覽器進行管理 SNMP管理方式：通過網(wǎng)絡管理軟件管理 企業(yè)的Internet應用除了瀏覽互聯(lián)網(wǎng)和WWW發(fā)布外，外出員工對公司的訪問也將通過Internet進行。利用PIX防火墻的VPN功能，終端工作站安裝PIX ASDM軟件或者利用WIN2000操作系統(tǒng)對VPN的支持，可以實現(xiàn)企業(yè)遠程辦公的安全需求