企業(yè)網(wǎng)絡(luò)平安系統(tǒng)設(shè)計建議書思威普科技書目TOC\o"1-3"\h\z1 概述 41.1 企業(yè)建立網(wǎng)絡(luò)平安系統(tǒng)的必要性 41.2 平安建議書的設(shè)計原則 41.3 平安技術(shù)體系分析模型介紹 5 平安服務(wù)維 5 協(xié)議層次維 6 系統(tǒng)單元維 61.4 平安技術(shù)體系的理解及實踐 6 平安體系的理解 6 構(gòu)建平安系統(tǒng)的基本目標 7 網(wǎng)絡(luò)平安系統(tǒng)的技術(shù)實施 72 應(yīng)用需求分析 92.1 網(wǎng)絡(luò)基礎(chǔ)層平安需求分析 9 Internet連接平安愛護 9 廣域網(wǎng)連接的平安愛護 92.1.3 虛擬連接廣域網(wǎng)的平安愛護 11 其他平安愛護協(xié)助措施 112.2 系統(tǒng)平安需求分析 122.3 應(yīng)用平安管理需求分析 12 主機系統(tǒng) 12 網(wǎng)絡(luò)設(shè)備平安管理 13 移動用戶的訪問限制訪問 13 VPN上的認證 13 應(yīng)用層平安愛護 142.4 應(yīng)用對平安系統(tǒng)的要求分析 14 網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀及發(fā)展說明 14 面對應(yīng)用系統(tǒng)的防火墻系統(tǒng)設(shè)計要求 153 平安系統(tǒng)實現(xiàn)目標 163.1 網(wǎng)絡(luò)基礎(chǔ)層平安系統(tǒng)建設(shè)目標 16 Internet及Extranet進出口限制 16 VPN應(yīng)用 16 防火墻系統(tǒng)的功能實現(xiàn)要求總結(jié) 173.2 應(yīng)用協(xié)助平安系統(tǒng)的建設(shè)目標 174 網(wǎng)絡(luò)平安系統(tǒng)的實施建議 194.1 系統(tǒng)設(shè)計的基本原則 194.2 平安系統(tǒng)實施步驟建議 194.3 防火墻系統(tǒng)實施建議 20 Internet進出口限制 20 廣域網(wǎng)進出口限制 23 虛擬連接廣域網(wǎng)出入口限制 264.4 VPN系統(tǒng)設(shè)計 26 廣域網(wǎng)鏈路加密 27 虛擬連接組網(wǎng)建議 27 虛擬連接通信加密 294.5 防火墻系統(tǒng)集中管理 294.6 防火墻選型設(shè)計說明 30 評價防火墻產(chǎn)品的基本要素 31 評價防火墻的一般方法 31 幾種流行防火墻產(chǎn)品的比較 32

概述建設(shè)功能強大和平安牢靠的網(wǎng)絡(luò)化信息管理系統(tǒng)是企業(yè)實現(xiàn)現(xiàn)代化管理的必要手段。如何構(gòu)建企業(yè)平安牢靠的網(wǎng)絡(luò)系統(tǒng)是本建議書的目的。本建議書是本公司為企業(yè)提出的“網(wǎng)絡(luò)平安系統(tǒng)設(shè)計建議書”，建議書只針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施平安系統(tǒng)向企業(yè)提交網(wǎng)絡(luò)平安的設(shè)計及實施建議，將不涉及其他部分的內(nèi)容，如“數(shù)據(jù)平安系統(tǒng)”等。企業(yè)建立網(wǎng)絡(luò)平安系統(tǒng)的必要性毫無疑問，不須要任何形式的“說教”，在信息和網(wǎng)絡(luò)被廣泛應(yīng)用的今日，任何一個網(wǎng)絡(luò)管理或運用者都特別清晰，全部被運用的計算機網(wǎng)絡(luò)都必定存在被有意或無意的攻擊和破壞之風(fēng)險。企業(yè)的網(wǎng)絡(luò)同樣存在平安方面的風(fēng)險問題。對于大多數(shù)網(wǎng)絡(luò)黑客來說，勝利地侵入一企業(yè)特殊是聞名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明和炫耀其“能耐”的價值，盡管這種行為的初衷或許并不具有惡意的目的；竊取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實和長遠的商業(yè)價值。因此，企業(yè)網(wǎng)絡(luò)建立完善的平安系統(tǒng)，其必要性不言而喻。平安建議書的設(shè)計原則網(wǎng)絡(luò)平安體系的核心目標是實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效限制和管理。任何平安系統(tǒng)必需建立在技術(shù)、組織和制度這三個基礎(chǔ)之上。在設(shè)計企業(yè)的網(wǎng)絡(luò)平安系統(tǒng)時，我們將遵循以下原則：體系化設(shè)計原則通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的平安體系和平安框架，并依據(jù)平安體系分析存在的各種平安風(fēng)險，從而最大限度地解決可能存在的平安問題。全局性、均衡性、綜合性設(shè)計原則平安建議書將從企業(yè)網(wǎng)絡(luò)整體建設(shè)角度動身，供應(yīng)一個具有相當(dāng)高度、可擴展性強的平安解決方案；從企業(yè)的實際狀況看，單純依靠一種平安措施，并不能解決全部的平安問題。本建議書將考慮到各種平安措施的運用。本平安建議書將均衡考慮各種平安措施的效果，供應(yīng)具有最優(yōu)的性能價格比的平安解決方案。平安須要付出代價（資金、性能損失等），但是任何單純?yōu)榱似桨捕豢紤]代價的平安建議書都是不切實際的。建議書同時供應(yīng)了可操作的分步實施安排?？尚行?、牢靠性、平安性作為一個工程項目，可行性是設(shè)計企業(yè)平安方案的根本，它將干脆影響到網(wǎng)絡(luò)通信平臺的暢通；牢靠性是平安系統(tǒng)和網(wǎng)絡(luò)通信平臺正常運行的保證；而平安性是設(shè)計平安系統(tǒng)的最終目的。平安技術(shù)體系分析模型介紹平安方案必需架構(gòu)在科學(xué)的平安體系和平安框架之上，因為平安框架是平安方案設(shè)計和分析的基礎(chǔ)。為了系統(tǒng)、科學(xué)地分析網(wǎng)絡(luò)平安系統(tǒng)涉及的各種平安問題，網(wǎng)絡(luò)平安技術(shù)專家們提出了三維平安體系結(jié)構(gòu)，并在其基礎(chǔ)上抽象地總結(jié)了能夠指導(dǎo)平安系統(tǒng)總體設(shè)計的三維平安體系（見圖1-1），它反映了信息系統(tǒng)平安需求和體系結(jié)構(gòu)的共性。具體說明如下：圖1-1平安框架示意圖平安服務(wù)維平安服務(wù)維（第一維，X軸）定義了7種主要完全屬性。具體如下：身份認證，用于確認所聲明的身份的有效性；訪問限制，防止非授權(quán)運用資源或以非授權(quán)的方式運用資源；數(shù)據(jù)保密，數(shù)據(jù)存儲和傳輸時加密，防止數(shù)據(jù)竊取、竊聽；數(shù)據(jù)完整，防止數(shù)據(jù)篡改；不行抵賴，取兩種形式的一種，用于防止發(fā)送者企圖否認曾經(jīng)發(fā)送過數(shù)據(jù)或其內(nèi)容和用以防止接收者對所收到數(shù)據(jù)或內(nèi)容的抗否認；審計管理，設(shè)置審計記錄措施，分析審計記錄；可用性、牢靠性，在系統(tǒng)降級或受到破壞時能使系統(tǒng)接著完成其功能，使得在不利的條件下盡可能少地受到侵害者的破壞。協(xié)議層次維協(xié)議層次維（Y軸）由ISO/OSI參考模型的七層構(gòu)成。與TCP/IP層次對應(yīng)，可以把會話層、表示、應(yīng)用層統(tǒng)一為“應(yīng)用層”。系統(tǒng)單元維系統(tǒng)單元維（Z軸）描述了信息網(wǎng)絡(luò)基礎(chǔ)構(gòu)件的各個成分。通信平臺，信息網(wǎng)絡(luò)的通信平臺；網(wǎng)絡(luò)平臺，信息網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)；系統(tǒng)平臺，信息網(wǎng)絡(luò)的操作系統(tǒng)平臺；應(yīng)用平臺，信息網(wǎng)絡(luò)各種應(yīng)用的開發(fā)、運行平臺；物理環(huán)境，信息網(wǎng)絡(luò)運行的物理環(huán)境及人員管理。平安技術(shù)體系的理解及實踐貫穿于平安體系的三個方面，各個層次的是平安管理。通過技術(shù)手段和行政管理手段，平安管理將涉及到各系統(tǒng)單元在各個協(xié)議層次供應(yīng)的各種平安服務(wù)。平安體系的理解在圖1-1的平安體系分析模型中，完整地將網(wǎng)絡(luò)平安系統(tǒng)的全部內(nèi)容進行了科學(xué)和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡(luò)平安系統(tǒng)所運用的技術(shù)、服務(wù)的對象和涉及的范圍（即網(wǎng)絡(luò)層次）。對于上圖的理解，不妨簡潔說明如下：平安服務(wù)維是網(wǎng)絡(luò)平安系統(tǒng)所供應(yīng)可實現(xiàn)的全部技術(shù)手段；網(wǎng)絡(luò)協(xié)議維是網(wǎng)絡(luò)平安系統(tǒng)應(yīng)當(dāng)將所接受之平安技術(shù)手段實施的范圍；系統(tǒng)單元維是網(wǎng)絡(luò)平安系統(tǒng)應(yīng)當(dāng)供應(yīng)平安愛護的對象。作為一個現(xiàn)實的網(wǎng)絡(luò)平安系統(tǒng)，首先要考慮的是平安建議書所涉及的有哪些系統(tǒng)單元，然后依據(jù)這些系統(tǒng)單元的不同，確定該單元所須要的平安服務(wù)，再依據(jù)所須要的平安服務(wù)，確定這些平安服務(wù)在哪些OSI層次實現(xiàn)。構(gòu)建平安系統(tǒng)的基本目標在上述的三維結(jié)構(gòu)的平安體系中，平安服務(wù)維是向網(wǎng)絡(luò)系統(tǒng)的各個部分和每一個層次，供應(yīng)平安保證的各種技術(shù)手段和措施。雖然并不是每一個應(yīng)用網(wǎng)絡(luò)都須要平安服務(wù)維提出的全部手段，但是對于一個包含各種應(yīng)用和具有肯定規(guī)模的企業(yè)網(wǎng)絡(luò)，這些平安措施應(yīng)當(dāng)都基本具備，因此平安服務(wù)維所涉及的全部平安服務(wù)措施，是網(wǎng)絡(luò)平安系統(tǒng)的基本建設(shè)目標。依據(jù)我們對企業(yè)網(wǎng)絡(luò)系統(tǒng)應(yīng)用現(xiàn)狀的相識，以及將來將要實現(xiàn)的各種應(yīng)用目標了解，我們認為企業(yè)網(wǎng)絡(luò)平安系統(tǒng)，最終須要全部實現(xiàn)圖1-1中平安服務(wù)維所提出的基本技術(shù)手段。網(wǎng)絡(luò)平安系統(tǒng)的技術(shù)實施構(gòu)筑網(wǎng)絡(luò)平安系統(tǒng)的最終目的是對網(wǎng)絡(luò)資源或者說是愛護對象，實施最有效的平安愛護。從網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用平臺對網(wǎng)絡(luò)協(xié)議層次的依靠關(guān)系不難看出，只有對網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)層次的全部層實施相應(yīng)有效的技術(shù)措施，才能實現(xiàn)對網(wǎng)絡(luò)資源的平安愛護。針對一般網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用要求，為了達到愛護網(wǎng)絡(luò)資源的目的，必需在網(wǎng)絡(luò)協(xié)議層實施相應(yīng)的平安措施，如下表1。表1（*表示須要實施）物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層認證****訪問限制****數(shù)據(jù)保密******數(shù)據(jù)完整性***不行抵賴性*審計****可用性****在本建議書中，我們建議企業(yè)網(wǎng)絡(luò)系統(tǒng)通過防火墻系統(tǒng)、VPN應(yīng)用系統(tǒng)、認證系統(tǒng)和網(wǎng)絡(luò)漏洞掃描及攻擊檢測系統(tǒng)實現(xiàn)表1中的平安手段實施。

應(yīng)用需求分析企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)將會包括企業(yè)內(nèi)部網(wǎng)絡(luò)Intranet和企業(yè)互聯(lián)網(wǎng)絡(luò)Extranet，同時網(wǎng)絡(luò)連接Internet，滿意互聯(lián)網(wǎng)訪問、WWW發(fā)布、外部移動用戶應(yīng)用等需求。本章將依據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)及應(yīng)用，具體分析企業(yè)網(wǎng)絡(luò)系統(tǒng)的平安需求。網(wǎng)絡(luò)基礎(chǔ)層平安需求分析網(wǎng)絡(luò)基礎(chǔ)層（在此網(wǎng)絡(luò)基礎(chǔ)層是指網(wǎng)絡(luò)通信鏈路、路由/交換設(shè)備、網(wǎng)絡(luò)節(jié)點接口設(shè)備/網(wǎng)卡——包括了OSI物理層到傳輸層設(shè)備的集合）作為現(xiàn)代計算機信息系統(tǒng)不行缺或的基礎(chǔ)設(shè)施部分，其平安性是每一個用戶最為關(guān)切的問題。從企業(yè)的應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)分析，企業(yè)網(wǎng)絡(luò)層的平安涉及到Internet連接平安、廣域網(wǎng)連接平安、應(yīng)用系統(tǒng)內(nèi)部資源網(wǎng)絡(luò)連接平安愛護幾方面的平安問題。Internet連接平安愛護企業(yè)在網(wǎng)絡(luò)應(yīng)用中有三種狀況須要進行Internet連接，即向外大眾用戶供應(yīng)業(yè)務(wù)和宣揚信息服務(wù)、公司內(nèi)部用戶和外界的電子郵件往來、通過互聯(lián)網(wǎng)在異地進行業(yè)務(wù)辦公的移動用戶服務(wù)等。由此企業(yè)企業(yè)網(wǎng)必需向外“開門”，象全部連接互聯(lián)網(wǎng)的企業(yè)網(wǎng)一樣，企業(yè)網(wǎng)不行避開地存在，遭遇到來自外部的惡意攻擊和破壞、各種各樣病毒傳播的可能性。因此，在Internet出入口連接點，必需實行措施進行愛護——布置防火墻系統(tǒng)，對集團總部的Internet出入口實施有效的限制，包括進出的數(shù)據(jù)檢查和資源訪問的限制。另外，僅僅設(shè)置1臺防火墻，簡潔出現(xiàn)單點故障，為了保證網(wǎng)絡(luò)對外的7X24小時不間斷服務(wù)，還必需考慮網(wǎng)絡(luò)平安設(shè)備的冗余配置。廣域網(wǎng)連接的平安愛護企業(yè)部分異地的下屬企業(yè)和部門將通過廣域網(wǎng)的方式與綿陽總部進行連接。因此企業(yè)的網(wǎng)絡(luò)系統(tǒng)從其結(jié)構(gòu)而言是一個在物理上廣域連接的企業(yè)網(wǎng)絡(luò)系統(tǒng)，我們認為企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)必需考慮兩方面的平安措施：（一）網(wǎng)絡(luò)通信加密（VPN應(yīng)用）廣域網(wǎng)絡(luò)通信連接將通過第三方鏈路進行。盡管租用電信或其他傳輸服務(wù)供應(yīng)商的專用鏈路傳輸數(shù)據(jù)的平安性會高于通過Internet傳輸，但是由于第三方供應(yīng)的專用鏈路所運用的設(shè)備是公共的，其平安性具有相對性，不僅在鏈路上傳輸?shù)臄?shù)據(jù)存在被竊取的可能，同時也存在由于鏈路供應(yīng)商平安管理和愛護措施不完善的緣由，導(dǎo)致被別有專心者有可能通過盜接而非法訪問網(wǎng)絡(luò)資源的風(fēng)險，在國內(nèi)就曾有類似的案件發(fā)生——非法分子通過在公共設(shè)備上偷偷接入自己的電腦，竊取了別人的股票交易帳戶資料，盜用他人的帳戶進行證券交易而非法獲利。假如僅僅是竊取資料對于網(wǎng)絡(luò)系統(tǒng)本身或許不會產(chǎn)生太嚴峻的破壞，但是假設(shè)盜接者是一個惡意攻擊者，即使僅僅是一個一般的網(wǎng)絡(luò)高手，把在網(wǎng)絡(luò)通信鏈路上截取的數(shù)據(jù)進行篡改或者置換，再通過網(wǎng)絡(luò)鏈路將屬性被異動的數(shù)據(jù)對系統(tǒng)進行回放，其對網(wǎng)絡(luò)系統(tǒng)可能造成的破壞程度是用戶無法預(yù)料的。現(xiàn)有的設(shè)備和技術(shù)手段要實現(xiàn)以上的非法目的不難，假如僅僅是通過盜接來竊取資料，只須要物理上存在接入的可能（事實上目前國內(nèi)全部的鏈路服務(wù)供應(yīng)商都存在比較大的漏洞），就特別簡潔實現(xiàn)；即使是通過鏈路盜接進行惡意攻擊的“高難度”動作，“網(wǎng)絡(luò)高手”只需花很低的代價購買用于網(wǎng)絡(luò)測試的專業(yè)設(shè)備和軟件，就可在通信鏈路上通過數(shù)據(jù)回放對網(wǎng)絡(luò)系統(tǒng)實施攻擊。因此，為了消退這類風(fēng)險的存在，我們認為企業(yè)網(wǎng)絡(luò)平安系統(tǒng)必需能夠?qū)υ趶V域網(wǎng)上傳輸?shù)娜繑?shù)據(jù)進行加密（數(shù)據(jù)發(fā)出方）和解密（數(shù)據(jù)接收方）處理，即VPN應(yīng)用。VPN接受3DES的加密算法，一方面可以使在廣域網(wǎng)鏈路上傳輸?shù)臄?shù)據(jù)變成外來者不行“讀”，防止流失數(shù)據(jù)的信息泄露；另一方面通過VPN加密和解密的規(guī)則，可以對具有不良屬性的被異動數(shù)據(jù)進行過濾或使之屬性失效，避開這些惡意數(shù)據(jù)對網(wǎng)絡(luò)系統(tǒng)造成破壞。（二）防火墻愛護應(yīng)用從網(wǎng)絡(luò)系統(tǒng)的應(yīng)用來說，企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)事實上就是規(guī)模浩大的企業(yè)內(nèi)部網(wǎng)。在這種困難的網(wǎng)絡(luò)環(huán)境中實現(xiàn)對各類網(wǎng)絡(luò)資源的有效愛護和管理，僅僅利用現(xiàn)有的網(wǎng)絡(luò)來完成，明顯是做不到的。我們認為在企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)內(nèi)有必要引入防火墻的應(yīng)用，緣由如下兩方面。其一，類似企業(yè)這種在物理上分布廣泛的網(wǎng)絡(luò)系統(tǒng)，每一個在地理上屬異地的分支機構(gòu)或部門，甚至同屬于一個地方（如總部）的不同機構(gòu)和部門，其網(wǎng)絡(luò)應(yīng)用和管理都有相對的獨立性，因此在網(wǎng)絡(luò)平安管理實施和執(zhí)行上就很簡潔產(chǎn)生差異，從而出現(xiàn)網(wǎng)絡(luò)平安漏洞。雖然企業(yè)在網(wǎng)絡(luò)實施和管理上可以強制性地要求企業(yè)內(nèi)部網(wǎng)絡(luò)到Internet的接入為統(tǒng)一出入口，但是在網(wǎng)絡(luò)的運用過程中，或許總部和個別管理嚴格的異地分支機構(gòu)和部門，可以比較簡潔地始終如一執(zhí)行這一規(guī)章制度，卻不能完全保證全部在網(wǎng)上的用戶因為一些別的緣由運用了另外的途徑進入Internet，如異地機構(gòu)的企業(yè)網(wǎng)絡(luò)用戶通過向當(dāng)?shù)豂SP供應(yīng)商購買帳戶運用PSTN/ISDN/ADSL撥號上網(wǎng)，這就等于給企業(yè)網(wǎng)絡(luò)為外部Internet的運用者供應(yīng)了一個甚至多個“后門”。這種“后門”對于別有專心的網(wǎng)絡(luò)黑客來說，是特別有用的，他們可以避開企業(yè)網(wǎng)絡(luò)“門戶”的防火墻系統(tǒng)，通過網(wǎng)絡(luò)的“后門”干脆攻擊企業(yè)網(wǎng)絡(luò)的內(nèi)部資源，這也是網(wǎng)絡(luò)黑客最常用的攻擊手段之一；在國外就曾經(jīng)有某個利益集團利用這一手法，獲得了某國海關(guān)大量的內(nèi)部資料，利用所駕馭的內(nèi)部資料，達到其變相走漏海關(guān)關(guān)稅的目的，而且這一手法在被發(fā)覺的時候已經(jīng)被有效地利用了相當(dāng)長的時間。所以在企業(yè)廣域網(wǎng)內(nèi)實行網(wǎng)絡(luò)連接愛護是必需的措施。其二，內(nèi)部網(wǎng)絡(luò)連接平安愛護。企業(yè)企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎全部的企業(yè)數(shù)據(jù)和信息，這些信息依據(jù)不同的應(yīng)用被不同的對象運用，有很多信息系統(tǒng)會依據(jù)應(yīng)用目的進行分類獨立運用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡(luò)上須要有比較好的手段對內(nèi)部用戶進行信息資源訪問的限制；另一方面，來自于企業(yè)內(nèi)部的攻擊不容忽視，其勝利的可能性要遠遠大于來自于Internet的攻擊，而且內(nèi)部攻擊的目標主要是獲得企業(yè)的機密信息，這就更須要有措施對內(nèi)部用戶進行訪問限制。由此可見，在企業(yè)通過第三方專線連接的企業(yè)廣域網(wǎng)內(nèi)，實施網(wǎng)絡(luò)平安愛護是特別必要的舉措。能夠有效地擔(dān)負這一愛護作用角色的是性能和功能強大的防火墻系統(tǒng)。因此，本建議書建議企業(yè)廣域網(wǎng)系統(tǒng)配置內(nèi)部的防火墻系統(tǒng)。虛擬連接廣域網(wǎng)的平安愛護對于企業(yè)眾多的異地分支機構(gòu)（規(guī)模比較小的）、商業(yè)合作伙伴、出差在外的流淌用戶，將其遠程電腦或小規(guī)模LAN納入企業(yè)網(wǎng)系統(tǒng)的接入模式，更多的將會接受通過公共Internet的虛擬連接方式。正如前面所言，這種連接方式盡管實現(xiàn)的代價和技術(shù)條件相對比較低，但其所能供應(yīng)的平安保證更加不行信任。因此毫無疑問，同樣的理由，這種連網(wǎng)方式的廣域網(wǎng)，其VPN和防火墻的應(yīng)用，比通過第三方專線鏈路更加迫切須要。其他平安愛護協(xié)助措施企業(yè)網(wǎng)絡(luò)環(huán)境比較困難，設(shè)備眾多，這使管理人員查找和修補網(wǎng)絡(luò)中的全部平安隱患有相當(dāng)大的難度。利用先進的技術(shù)、工具進行網(wǎng)絡(luò)系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)覺漏洞并剛好彌補，以及建立實時入侵檢測系統(tǒng)，是特別有效的平安防護措施，將能極大提高、完善企業(yè)系統(tǒng)平安。在條件允許的狀況下，我們建議企業(yè)企業(yè)網(wǎng)增加網(wǎng)絡(luò)漏洞掃描和入侵檢測系統(tǒng)。系統(tǒng)平安需求分析各種操作系統(tǒng)是應(yīng)用運行的基礎(chǔ)，應(yīng)用系統(tǒng)的平安性，在相當(dāng)大的程度之上受到操作系統(tǒng)平安性的影響。目前運行大多數(shù)應(yīng)用的各種操作系統(tǒng)，都是針對可以運行多種應(yīng)用來開發(fā)的，其開發(fā)要兼顧到各種應(yīng)用的多個方面，在程序開發(fā)過程中，會出現(xiàn)一些人為的疏忽，以及一些人為設(shè)置的后門等。這些人為的疏忽或者后門就成了操作系統(tǒng)的平安漏洞。還有，安裝在操作系統(tǒng)上的各種應(yīng)用系統(tǒng)形成了一個困難的環(huán)境，這些應(yīng)用程序本身設(shè)計的缺陷也會帶來平安漏洞。另外，系統(tǒng)權(quán)限管理的松懈也是造成平安漏洞的重要緣由。此外，任何東西的特性都是兩方面的，只要惡意的破壞者駕馭了系統(tǒng)的特性，這些特性就可以被用來進行系統(tǒng)的破壞?；谝陨系木売?，企業(yè)網(wǎng)絡(luò)須要對總部的應(yīng)用服務(wù)器進行操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括WindowsNT,Windows2000,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括Oracle，MSSQL數(shù)據(jù)庫。須要對這些系統(tǒng)進行系統(tǒng)平安漏洞的掃描和實時入侵的檢測。應(yīng)用平安管理需求分析應(yīng)用層平安主要是對應(yīng)用資源的有效性進行限制，管理和限制什么用戶對資源具有什么權(quán)限。資源包括信息資源和服務(wù)資源。須要提高身份認證平安性的系統(tǒng)包括主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、移動用戶訪問、VPN和應(yīng)用層。主機系統(tǒng)包括企業(yè)總部和各下屬公司中心主機、數(shù)據(jù)庫系統(tǒng)，WEB服務(wù)器、MAIL服務(wù)器等等，這些主機系統(tǒng)是公司網(wǎng)絡(luò)系統(tǒng)的核心，存儲著公司最重要的信息資源，因此，保證這些主機系統(tǒng)的登錄的平安是極其重要的。目前企業(yè)的主機系統(tǒng)仍舊沿用單一密碼的身份認證方式，這種簡潔的身份認證存在以下平安隱患：網(wǎng)絡(luò)入侵者，很簡潔揣測或破解賬號、密碼，利用他人的帳戶登錄，進行非法操作。人員的流淌、集成商自設(shè)等很多因素，使得每臺主機系統(tǒng)上的多余帳戶增加。網(wǎng)絡(luò)設(shè)備平安管理企業(yè)全公司，網(wǎng)絡(luò)設(shè)備（路由器、交換機）數(shù)量以數(shù)十甚至數(shù)百計。公司全部的業(yè)務(wù)系統(tǒng)都是建立在網(wǎng)絡(luò)設(shè)備基礎(chǔ)之上的，保證網(wǎng)絡(luò)設(shè)備的平安是保證系統(tǒng)正常運行的首要條件；而愛護網(wǎng)絡(luò)設(shè)備的平安，通?？紤]的最多的是設(shè)備的冗余，而網(wǎng)絡(luò)設(shè)備的配置愛護卻不被重視，其實，當(dāng)某一個人登錄了網(wǎng)絡(luò)設(shè)備（路由器、防火墻、VPN設(shè)備等），將配置進行了更改，為以后非法的登錄建立通道，對整個系統(tǒng)來說，全部的平安設(shè)施就形同虛設(shè)。因此對登錄網(wǎng)絡(luò)設(shè)備的人員進行強的身份認證是完全必要的。移動用戶的訪問限制訪問移動用戶進入公司內(nèi)部網(wǎng)絡(luò)可以通過本地撥號連接公司的內(nèi)部網(wǎng)絡(luò)，也可以通過互聯(lián)網(wǎng)的ISP接入公司內(nèi)部網(wǎng)。對于企業(yè)來說，移動用戶將基本上接受VPN的方式對內(nèi)部進行訪問，外出的員工可以通過Internet渠道的方式進入公司內(nèi)部網(wǎng)絡(luò)，獲得所須要信息資源或回送須要提交的信息。而目前從終端上訪問也是接受單一靜態(tài)密碼，從我們前面的分析來看，明顯是擔(dān)心全的。因此我們必需在移動用戶訪問上增加更加強大的手段對移動用戶進行限制管理。VPN上的認證在網(wǎng)絡(luò)系統(tǒng)將配置VPN系統(tǒng)，遠程移動用戶可以通過撥號連接本地ISP，用VPNClient建立平安通道訪問公司信息資源。而VPN技術(shù)能夠很好的解決系統(tǒng)傳輸?shù)钠桨矄栴}，極大的節(jié)約公司的費用，并且使外部非法用戶無法訪問公司內(nèi)部信息；但是，對于公司內(nèi)部用戶，由于VPN所供應(yīng)的用戶認證機制依舊是單一的密碼方式，使我們無法保證目前訪問信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說，還是存在內(nèi)部用戶盜用他人密碼訪問特定的信息資源的平安隱患（可能這些信息資源是他無權(quán)閱讀或更改的），因此，補充更強的身份認證機制對VPN系統(tǒng)應(yīng)用來說也是特別必要的。應(yīng)用層平安愛護這里的應(yīng)用層，主要指企業(yè)的信息資源管理系統(tǒng)（ERP）。在員工進入ERP系統(tǒng)時須要輸入用戶名稱和密碼，同樣的緣由，單一靜態(tài)密碼的擔(dān)心全性使得我們有必要在ERP系統(tǒng)上接受強的認證機制，保證不同權(quán)限的、不同級別的用戶平安合法的運用ERP系統(tǒng)。ERP系統(tǒng)上單一靜態(tài)密碼的平安隱患主要有：用戶無法保證辦公文件能正確的接受，在接受之前沒有被其他人閱讀過。單一密碼簡潔泄露，一旦密碼泄露，其惡果可能會很嚴峻。高級別的用戶在遠程授權(quán)以后，須要剛好地更改密碼。以上探討了企業(yè)網(wǎng)絡(luò)系統(tǒng)各個不同應(yīng)用的平安認證問題，不難看出，上述的應(yīng)用都必需在原有的單一靜態(tài)認證基礎(chǔ)上，增加更加強大的認證手段，因此我們建議在企業(yè)網(wǎng)絡(luò)平安系統(tǒng)內(nèi)引入動態(tài)認證機制，即動態(tài)的SecurID。加入的RSASecurID必需供應(yīng)通用的API，運用戶可以將RSASecurID認證內(nèi)嵌到ERP系統(tǒng)或其他的應(yīng)用系統(tǒng)中，保證公司內(nèi)部網(wǎng)絡(luò)用戶接收MAIL和文件的平安，驗證用戶身份，并創(chuàng)建用戶登錄日志文件。為了使系統(tǒng)的認證操作和對非法訪問的攔截更加有效，全部認證的轉(zhuǎn)發(fā)和認證結(jié)果的處理都由防火墻來操作完成，即對全部被認證系統(tǒng)認定為非合法訪問的服務(wù)懇求，通過防火墻“掐斷”其訪問連接，而不是通過應(yīng)用系統(tǒng)干脆拒絕訪問服務(wù)。這是防火墻系統(tǒng)設(shè)計時必需考慮的可實現(xiàn)功能之一應(yīng)用對平安系統(tǒng)的要求分析任何一個完整的網(wǎng)絡(luò)平安系統(tǒng)，從其功能和物理層次來看，它將分別是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用系統(tǒng)的組成部分。防火墻作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分，和其他網(wǎng)絡(luò)設(shè)備一樣，其性能目標應(yīng)當(dāng)依據(jù)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用要求進行選型設(shè)計。假如防火墻選型設(shè)計的不恰當(dāng)，即使網(wǎng)絡(luò)其他設(shè)備的選型設(shè)計滿意要求，同樣也會因為防火墻的效率阻礙網(wǎng)絡(luò)的應(yīng)用，嚴峻的話會導(dǎo)致整個網(wǎng)絡(luò)應(yīng)用建設(shè)的失敗，這已經(jīng)是被事實證明的。因此，本建議書有必要針對企業(yè)的網(wǎng)絡(luò)應(yīng)用進行防火墻系統(tǒng)的要求分析。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀及發(fā)展說明企業(yè)的網(wǎng)絡(luò)應(yīng)用包括了集團公司幾乎全部的業(yè)務(wù)活動和管理方面的應(yīng)用，例如ERP、OA、財務(wù)、網(wǎng)絡(luò)視頻會議應(yīng)用等等。任何一個應(yīng)用系統(tǒng)供應(yīng)的應(yīng)用，都是依靠于網(wǎng)絡(luò)的各個層次來實現(xiàn)應(yīng)用信息的處理和傳送，應(yīng)用系統(tǒng)最終是通過向全部的網(wǎng)絡(luò)用戶供應(yīng)運用來達到其應(yīng)用的目的。由此可以看出從網(wǎng)絡(luò)用戶電腦（客戶端）到應(yīng)用系統(tǒng)平臺（服務(wù)器端）的結(jié)構(gòu)形式會對網(wǎng)絡(luò)設(shè)備（尤其防火墻）提出相應(yīng)的要求；簡潔而言，不同的應(yīng)用模式，對網(wǎng)絡(luò)防火墻系統(tǒng)有不同的技術(shù)指標要求。企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是C/S和B/S兩種應(yīng)用結(jié)構(gòu)的混合形式，主要的業(yè)務(wù)應(yīng)用系統(tǒng)現(xiàn)在是分布式的C/S結(jié)構(gòu)。現(xiàn)在正在進行的已有應(yīng)用系統(tǒng)升級開發(fā)將使應(yīng)用系統(tǒng)從C/S結(jié)構(gòu)向B/S結(jié)構(gòu)遷移；新增加的應(yīng)用系統(tǒng)開發(fā)，也是集中式的B/S結(jié)構(gòu)。在將來一兩年內(nèi)，企業(yè)的應(yīng)用系統(tǒng)將大部分實現(xiàn)集中式的B/S結(jié)構(gòu)模式。同時隨著公司規(guī)模的擴大和業(yè)務(wù)領(lǐng)域的拓展，目前已經(jīng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)應(yīng)用的網(wǎng)絡(luò)視頻會議系統(tǒng)（對網(wǎng)絡(luò)的傳輸性能要求很高的應(yīng)用系統(tǒng)）會隨著系統(tǒng)應(yīng)用規(guī)模的擴大，為網(wǎng)絡(luò)系統(tǒng)帶來越來越大的數(shù)據(jù)傳輸壓力。以上兩種主要的因素，在很大程度上確定我們在防火墻選型設(shè)計時對產(chǎn)品的取舍。面對應(yīng)用系統(tǒng)的防火墻系統(tǒng)設(shè)計要求依據(jù)企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀以及將來系統(tǒng)的結(jié)構(gòu)發(fā)展，我們認為著重考慮企業(yè)的B/S結(jié)構(gòu)應(yīng)用特點，是防火墻系統(tǒng)技術(shù)指標設(shè)計的主要依據(jù)。眾所周知，防火墻作為網(wǎng)絡(luò)設(shè)備，對網(wǎng)絡(luò)性能影響最為主要的是兩個參數(shù)指標，一個是防火墻的TCP連接處理實力（并發(fā)會話處理數(shù)），另一個是防火墻對網(wǎng)絡(luò)數(shù)據(jù)流量的吞吐實力（帶寬參數(shù)）。B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)雖然具有管理簡潔，客戶端開發(fā)、運用和維護的成本很低的優(yōu)點，但是在網(wǎng)絡(luò)上B/S結(jié)構(gòu)應(yīng)用系統(tǒng)將會給網(wǎng)絡(luò)帶來巨大的網(wǎng)絡(luò)流淌數(shù)據(jù)處理壓力，而且是并發(fā)的。具體來說，B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上運用，會給網(wǎng)絡(luò)防火墻帶來數(shù)倍甚至數(shù)十倍于C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的并發(fā)TCP會話數(shù)量，而且這些會話絕大部分是包長很短的“垃圾”IP包。由此可見，在設(shè)計企業(yè)防火墻系統(tǒng)時，足夠大的TCP會話處理實力，是我們選擇防火墻（包括VPN）產(chǎn)品考慮的主要因素。通過對各類防火墻的比較分析，我們認為目前面對B/S結(jié)構(gòu)應(yīng)用的防火墻設(shè)備，硬件防火墻是最為明智的選擇。

平安系統(tǒng)實現(xiàn)目標依據(jù)上一章的需求分析，從網(wǎng)絡(luò)平安的技術(shù)手段而言，企業(yè)企業(yè)網(wǎng)的平安系統(tǒng)必需實現(xiàn)從Internet和廣域網(wǎng)進入內(nèi)部資源網(wǎng)絡(luò)的數(shù)據(jù)被有效檢查和過濾、全部對內(nèi)部資源網(wǎng)絡(luò)的訪問可以被有效限制、移動用戶從Internet進入內(nèi)部網(wǎng)絡(luò)進行業(yè)務(wù)操作的通信和通過廣域網(wǎng)進入內(nèi)部網(wǎng)的用戶通信必需加密、全部網(wǎng)絡(luò)訪問行為能夠被記錄和審計、非法訪問被預(yù)警和阻攔（條件允許時實施）、應(yīng)用系統(tǒng)平臺及數(shù)據(jù)可以被有效備份以抗擊災(zāi)難風(fēng)險、用戶的身份的真實性認證等幾方面的目標。網(wǎng)絡(luò)基礎(chǔ)層平安系統(tǒng)建設(shè)目標網(wǎng)絡(luò)層平安系統(tǒng)通過防火墻系統(tǒng)（帶VPN功能）實現(xiàn)訪問限制、網(wǎng)絡(luò)信息檢查、通信加密、非法入侵檢測和攔截，異樣狀況告警和審計幾大功能目標。Internet及Extranet進出口限制在國際互聯(lián)網(wǎng)（Internet）和企業(yè)廣域網(wǎng)（Extranet）的進出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網(wǎng)絡(luò)數(shù)據(jù)和被禁止的數(shù)據(jù)源進入企業(yè)內(nèi)部網(wǎng)絡(luò)。從互聯(lián)網(wǎng)入口進入企業(yè)網(wǎng)的用戶，可以被防火墻有效地進行類別劃分，即區(qū)分為通過互聯(lián)網(wǎng)進入內(nèi)部網(wǎng)的企業(yè)移動用戶或外部的公共訪問者，對于要求進入企業(yè)內(nèi)部網(wǎng)的訪問者進行用戶的授權(quán)認證，攔截沒有用戶權(quán)限的訪問者試圖進入內(nèi)部網(wǎng)。對于通過Internet入口和廣域網(wǎng)入口進入總部企業(yè)內(nèi)部網(wǎng)或分支機構(gòu)內(nèi)部網(wǎng)的用戶，設(shè)置在網(wǎng)絡(luò)出入口的防火墻系統(tǒng)不僅可以對訪問者進行能否被允許進入的權(quán)限認證，同時可以實現(xiàn)依據(jù)企業(yè)資源被訪問權(quán)限劃分的訪問路由限制。對于內(nèi)部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實現(xiàn)，企業(yè)各類資源的應(yīng)用系統(tǒng)在邏輯上進行子網(wǎng)系統(tǒng)的劃分，即在技術(shù)上供應(yīng)可以獨立選擇平安策略的虛擬系統(tǒng)劃分。VPN應(yīng)用VPN應(yīng)用是為網(wǎng)絡(luò)通信供應(yīng)有效的信息加密手段。在企業(yè)企業(yè)網(wǎng)的VPN應(yīng)用中，接受三倍DES的加密技術(shù)，這是目前可以獲得的最先進和好用的網(wǎng)絡(luò)通信加密技術(shù)手段。網(wǎng)絡(luò)的VPN應(yīng)用范圍包括移動用戶的客戶機到企業(yè)網(wǎng)絡(luò)Internet出入口的防火墻、各分支機構(gòu)的廣域網(wǎng)出入口防火墻到集團總部廣域網(wǎng)出入口防火墻。防火墻系統(tǒng)的功能實現(xiàn)要求總結(jié)網(wǎng)絡(luò)層的平安保證是企業(yè)網(wǎng)絡(luò)系統(tǒng)平安的最關(guān)鍵，因此在企業(yè)網(wǎng)絡(luò)平安系統(tǒng)中，防火墻系統(tǒng)是整個系統(tǒng)的最重要組成部分，它將擔(dān)負完成大部分的平安服務(wù)（平安技術(shù)手段）實現(xiàn)和執(zhí)行的任務(wù)。傳統(tǒng)的網(wǎng)絡(luò)平安系統(tǒng)由于受設(shè)備功能和性能的限制，在網(wǎng)絡(luò)層（從物理層到傳輸層）很難全部由單一的防火墻或其他平安設(shè)備全部完成表1中提出的功能要求，所以系統(tǒng)的實施難度和費用（包括設(shè)備、人力投入和管理成本）會比較驚人。但是在今日已經(jīng)出現(xiàn)了滿意網(wǎng)絡(luò)層全部應(yīng)用的、功能強大、性能優(yōu)異的防火墻產(chǎn)品，如Cisco防火墻。為了使企業(yè)的網(wǎng)絡(luò)平安系統(tǒng)結(jié)構(gòu)簡化、建設(shè)成本降低，本建議書在網(wǎng)絡(luò)防火墻系統(tǒng)建設(shè)目標方面，提出了下表2的功能目標要求。表2防火墻系統(tǒng)實現(xiàn)功能目標物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層認證****訪問限制***數(shù)據(jù)保密****數(shù)據(jù)完整性***不行抵賴性審計***可用性****應(yīng)用協(xié)助平安系統(tǒng)的建設(shè)目標應(yīng)用系統(tǒng)的平安性主要在用戶和服務(wù)器間的雙向身份認證以及信息和服務(wù)資源的訪問限制，具有審計和記錄機制，確保防止拒絕和防抵賴的防否認機制。對于重要的主機系統(tǒng)和應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)，在原有的靜態(tài)密碼認證管理的基礎(chǔ)上，增加動態(tài)密碼認證管理系統(tǒng)，通過動態(tài)的密碼方式實時不間斷地驗證全部訪問這些系統(tǒng)用戶的真實身份。

網(wǎng)絡(luò)平安系統(tǒng)的實施建議基于以上的規(guī)劃和分析，我們建議企業(yè)網(wǎng)絡(luò)平安系統(tǒng)依據(jù)系統(tǒng)的實現(xiàn)目的，分兩個步驟（兩期）分別實現(xiàn)以下各個平安子系統(tǒng)：防火墻系統(tǒng)VPN系統(tǒng)動態(tài)認證系統(tǒng)系統(tǒng)設(shè)計的基本原則好用、先進、可發(fā)展是平安系統(tǒng)設(shè)計的基本原則。本建議書設(shè)計的平安系統(tǒng)首先是滿意企業(yè)現(xiàn)有和可預(yù)見將來幾年內(nèi)的應(yīng)用要求；其次是考慮在投資增加很少的前提下，選擇目前可以供應(yīng)最先進技術(shù)手段的設(shè)備和系統(tǒng)方案；最終要考慮實現(xiàn)的平安系統(tǒng)面對應(yīng)用要有長遠發(fā)展的實力。防火墻系統(tǒng)作為網(wǎng)絡(luò)出入口的內(nèi)外連接限制和網(wǎng)絡(luò)通信加密/解密設(shè)施，不僅須要有足夠的數(shù)據(jù)吞吐實力，如網(wǎng)絡(luò)物理接口的帶寬，也須要優(yōu)越的網(wǎng)絡(luò)連接的數(shù)據(jù)處理實力，例如并發(fā)連接數(shù)量和網(wǎng)絡(luò)連接會話處理實力等。以下的防火墻系統(tǒng)設(shè)計將依據(jù)這些原則合理的設(shè)計系統(tǒng)。本建議書將重點對防火墻系統(tǒng)（包括VPN應(yīng)用系統(tǒng)）提出設(shè)計建議。平安系統(tǒng)實施步驟建議任何一個網(wǎng)絡(luò)應(yīng)用系統(tǒng)在實施和建設(shè)階段，在進行應(yīng)用系統(tǒng)開發(fā)的同時，首先是考慮網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)。防火墻系統(tǒng)和VPN應(yīng)用系統(tǒng)作為現(xiàn)代網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的重要部分，毫無疑問也是我們建設(shè)網(wǎng)絡(luò)平安系統(tǒng)首先須要構(gòu)架的系統(tǒng)。這也是我們建議企業(yè)網(wǎng)絡(luò)平安系統(tǒng)第一階段須要完成的系統(tǒng)建設(shè)部分。動態(tài)認證系統(tǒng)是對網(wǎng)絡(luò)用戶對具體的應(yīng)用系統(tǒng)或網(wǎng)絡(luò)資源訪問限制的一種加強手段。正如前面所分析，在防火墻協(xié)作的基礎(chǔ)上可以更加有效地發(fā)揮其作用；另一方面，動態(tài)認證系統(tǒng)是面對具體應(yīng)用的訪問限制協(xié)助手段，系統(tǒng)的實施范圍和規(guī)模依據(jù)應(yīng)用系統(tǒng)的要求而確定。所以我們建議動態(tài)認證系統(tǒng)放在防火墻系統(tǒng)實施完成后的其次階段來實施。同樣，漏洞掃描和入侵檢測系統(tǒng)作為防火墻系統(tǒng)的協(xié)助系統(tǒng)，可以有效地提高防火墻系統(tǒng)發(fā)揮的平安愛護作用；漏洞掃描和入侵檢測系統(tǒng)所發(fā)揮的作用，最終要靠防火墻系統(tǒng)的作用來體現(xiàn)，因為漏洞掃描和入侵檢測系統(tǒng)“檢查”和“偵測”得到的非法訪問和惡意攻擊，須要防火墻系統(tǒng)對其實施限制和攔截。所以建議也將漏洞掃描和入侵檢測系統(tǒng)放在防火墻系統(tǒng)建設(shè)完成后的其次階段實施。防火墻系統(tǒng)實施建議防火墻系統(tǒng)是在網(wǎng)絡(luò)基礎(chǔ)層以上（OSI/ISO網(wǎng)絡(luò)結(jié)構(gòu)模型的2至7層）供應(yīng)主要的平安技術(shù)服務(wù)手段，如表2所示。這些平安服務(wù)包括了訪問認證、訪問限制、信息流平安檢查、數(shù)據(jù)源點鑒別等技術(shù)手段。（注：在以下的防火墻系統(tǒng)設(shè)計建議中，除特殊進行說明的功能或技術(shù)手段不能滿意設(shè)計要求以外，本建議書全部設(shè)計選擇的產(chǎn)品都是全部滿意表2和第三章提出的系統(tǒng)目標之要求，在本方案文檔中將不再進行全部功能的具體技術(shù)實現(xiàn)說明。）在網(wǎng)絡(luò)邊界設(shè)置進出口限制，可以防衛(wèi)外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡(luò)平安的第一道關(guān)卡，其重要性不言而喻。網(wǎng)絡(luò)防火墻系統(tǒng)從其設(shè)置的物理位置來說，最恰當(dāng)?shù)奈恢镁褪蔷W(wǎng)絡(luò)物理邊界的出入口。所以可以說，網(wǎng)絡(luò)平安系統(tǒng)最為關(guān)鍵的組成部分事實上是利用上述的各種技術(shù)手段，通過對網(wǎng)絡(luò)出入口的限制實現(xiàn)平安服務(wù)的目的。本建議書我們接受防火墻來對企業(yè)網(wǎng)絡(luò)的進出口進行限制，包括Internet進出口限制和廣域網(wǎng)進出口限制。Internet進出口限制綿陽總部是整個企業(yè)的中心最重要網(wǎng)絡(luò)，通過廣域網(wǎng)鏈路連接分布在各地的分部，開展各種業(yè)務(wù)應(yīng)用，并接受專線連接互聯(lián)網(wǎng)獲得有用信息。從平安和管理角度考慮，建議只在總部設(shè)立一個Internet出口，各地分部統(tǒng)一通過總部訪問互聯(lián)網(wǎng)。（一）Internet接入結(jié)構(gòu)如下圖典型的企業(yè)應(yīng)用所示，總部在Internet出口設(shè)立防火墻系統(tǒng)。為避開單點故障，防火墻系統(tǒng)實行雙機模式構(gòu)建。每臺防火墻均供應(yīng)4個網(wǎng)絡(luò)接口，分別連接Internet，中立區(qū)和內(nèi)部網(wǎng)絡(luò)兩臺中心交換機。來自Internet的光纖專線將通過一臺交換機與兩臺防火墻的外網(wǎng)口連接。中立區(qū)也需增加一臺交換機，用于連接兩臺防火墻的中立區(qū)口、WWW服務(wù)器、郵件服務(wù)器等。（二）防火墻系統(tǒng)選型設(shè)計經(jīng)過對多家防火墻廠商設(shè)備的綜合比較，本建議書舉薦接受Cisco公司的防火墻產(chǎn)品。簡要介紹Cisco公司和它的防火墻產(chǎn)品我們設(shè)計企業(yè)Internet出口處接受兩臺組成雙機模式的Cisco防火墻（以PIX515為例）。PIX515防火墻吞吐量高達xxxbps，供應(yīng)xxx接口，xxx鏈接數(shù)，xxxVPN處理實力，支持透亮模式、雙機備份、負載均衡、圖形管理等，流量限制功能為網(wǎng)絡(luò)管理員供應(yīng)了全部監(jiān)測和管理網(wǎng)絡(luò)的信息，諸如DMZ，服務(wù)器負載平衡和帶寬優(yōu)先級設(shè)置等先進功能，使PIX獨樹一幟。其具體特點如下：供應(yīng)了防火墻的全部平安功能（如防止拒絕服務(wù)攻擊，Java/ActiveX/Zip過濾，防IP地址欺瞞……）并結(jié)合了包過濾、鏈路過濾和應(yīng)用代理服務(wù)器等技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）：隱藏內(nèi)部的IP地址動態(tài)訪問過濾(DynamicFilter)：自適應(yīng)網(wǎng)絡(luò)服務(wù)愛護URL地址的限定：限制站點的訪問，過濾不須要的網(wǎng)站用戶認證(Authentication)：只允許有授權(quán)的訪問符合IPSec：可與其他廠家的設(shè)備交互操作IKE密鑰管理：保證密鑰交換DES和三級DES：最高等級的加密、解密流量帶寬限制及優(yōu)先級設(shè)置：按您的需求管理流量負載平衡實力：管理服務(wù)器群(ServerFarms)虛擬IP：將內(nèi)部服務(wù)器映射為可路由地址實時日志及報警紀錄：實時監(jiān)控網(wǎng)絡(luò)狀態(tài)透亮的，無IP地址設(shè)置：無須更改任何路由器及主機配置自帶Web服務(wù)器：便利地通過流行的閱讀器進行管理圖形界面：可關(guān)閉遠程的管理方式，只用本地的、平安的管理SNMP管理方式：通過網(wǎng)絡(luò)管理軟件管理吩咐行界面：支持批處理方式及通過調(diào)制解調(diào)器的備用渠道進行限制兩臺PIX防火墻實行雙機熱備方式工作，任何一臺防火墻出現(xiàn)故障，其任務(wù)由另一臺防火墻自動接管，避開單點故障造成企業(yè)無法上網(wǎng)的狀況發(fā)生，保證網(wǎng)絡(luò)的無間斷運行。企業(yè)的Internet應(yīng)用除了閱讀互聯(lián)網(wǎng)和WWW發(fā)布外，外出員工對公司的訪問也將通過Internet進行。為允許合法用戶訪問公司網(wǎng)絡(luò)，同時確保通過Internet進行的業(yè)務(wù)應(yīng)用的平安性，我們建議實行VPN通訊方式。利用PIX防火墻的VPN功能，終端工作站安裝PIXASDM軟件或者利用WIN2000操作系統(tǒng)對VPN的支持，可以實現(xiàn)企業(yè)遠程辦公的平安需求。PIXASDM是一種在用戶主機（桌面或筆記本電腦）上運行的軟件，簡化了對網(wǎng)絡(luò)、設(shè)備或公共或非信任網(wǎng)絡(luò)中其它主機的平安遠程接入。通過接受IPSec協(xié)議和其次層通道協(xié)議[L2TP]，并以證書作為額外的選項，可以實現(xiàn)平安性。為了構(gòu)建平安的通信通道，必需把這一軟件與IPSec網(wǎng)關(guān)結(jié)合運用（如PIX家族平安設(shè)備），或與運行IPSec兼容軟件的另一臺主機結(jié)合運用（如ASDM）。PIX-ASDM支持Windows95,98,NT,2000系統(tǒng)。廣域網(wǎng)進出口限制企業(yè)具有多個地理上分散的分部，各分部和總部之間租用電信專線互聯(lián)，形成以總部為中心的集團廣域網(wǎng)。分散的企業(yè)給網(wǎng)絡(luò)平安管理造成了肯定的難度，而且企業(yè)內(nèi)部攻擊的勝利可能性遠大于外部攻擊，造成的危害更嚴峻，因此全方位的網(wǎng)絡(luò)愛護是不僅防外，還應(yīng)防內(nèi)。企業(yè)內(nèi)部防范主要是確?？偛亢透鞴镜钠桨?，加強廣域網(wǎng)的進出口限制，我們建議在總部及各分部的廣域網(wǎng)出口處配備防火墻來加強內(nèi)部網(wǎng)絡(luò)愛護，見下圖。該防火墻系統(tǒng)起到防衛(wèi)內(nèi)部攻擊、阻擋入侵行為進一步擴大升級的作用，避開某段網(wǎng)絡(luò)范圍內(nèi)發(fā)生的入侵破壞擴大至整個企業(yè)網(wǎng)絡(luò)，把來自內(nèi)部攻擊造成的破壞減低到最低程度，愛護其它網(wǎng)絡(luò)部分的正常工作。依據(jù)企業(yè)升級后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，廣域網(wǎng)鏈路和設(shè)備都具備了較強的冗余備份實力，總部的路由器和中心交換機配置均實行了雙機熱備方式?？紤]到總部的廣域網(wǎng)防火墻是位于路由器和中心交換機之間，所以也必需做冗余配置，否則會成為廣域網(wǎng)設(shè)備中的單點故障點，使路由器和中心交換機所做的備份措施失去意義。企業(yè)廣域網(wǎng)存在ERP、VoIP、視頻會議等各種高帶寬應(yīng)用，特殊總部是整個企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)中心，進出的信息流量浩大，舉薦接受兩臺處理性能很強的PIX525防火墻，實現(xiàn)冗余備份（Active-Active方式）和負載均衡。每臺防火墻基本配置含4個100M或1000M端口，分別連接兩臺路由器和兩臺中心交換機。PIX525是一個高性能、高度牢靠、高度冗余的平臺。PIX525擁有XXXM線速處理實力，XXXM的3DESVPN流量，強健的攻擊防范功能。PIX525特殊適合帶寬要求高的大型企業(yè)環(huán)境。PIX525技術(shù)參數(shù)性能攻擊檢測防火墻VPN流量限制系統(tǒng)管理虛擬系統(tǒng)工作模式高可用性（HA）管理PIX525外觀見下圖：虛擬連接廣域網(wǎng)出入口限制通過公共互聯(lián)網(wǎng)虛擬連接的企業(yè)網(wǎng)，連接的兩端（總部和分部）由于其擔(dān)當(dāng)?shù)墓ぷ鹘巧凸ぷ髁坑斜容^大的差異，因此，出于好用和經(jīng)濟的角度考慮，本方案建議網(wǎng)絡(luò)接入Internet的結(jié)構(gòu)實行不同方式和檔次的設(shè)備方案。（一）總部的接入設(shè)計在本章節(jié)中，已經(jīng)對企業(yè)總部的Internet出入口限制防火墻系統(tǒng)進行了設(shè)計，同樣的連接應(yīng)用結(jié)構(gòu)也可以應(yīng)用到通過Internet供應(yīng)虛擬網(wǎng)絡(luò)的接入。建議運用4.3.1的設(shè)計方案，在此不做重復(fù)的說明。在總部的物理出入口，可以是對外供應(yīng)公共服務(wù)的出入口（設(shè)計的）與企業(yè)虛擬連接廣域網(wǎng)的接入口為同一個物理接口，即由同一個Internet公網(wǎng)節(jié)點供應(yīng)連接；也可以是各自獨立的接口，即由不同的公網(wǎng)節(jié)點供應(yīng)連接服務(wù)。前者須要將總部的公網(wǎng)出入口限制防火墻的檔次提高（至少選擇PIX515以上的檔次），這是由于通過這種虛擬連接方式接入企業(yè)各地分部或商業(yè)合作伙伴有近千家，只有配置更高檔的防火墻才能滿意系統(tǒng)應(yīng)用的性能要求，猶如時支持的VPN通道數(shù)量、會話處理實力、網(wǎng)絡(luò)接口帶寬等等。后者的模式是再增加一個結(jié)構(gòu)與4.3.1設(shè)計相同的公網(wǎng)接入物理接口，與前者同樣的理由，向企業(yè)各分部或商業(yè)合作伙伴供應(yīng)虛擬連接的出入口，其限制防火墻也須要配置功能強大和性能優(yōu)異的設(shè)備，建議選擇檔次為PIX515以上的防火墻產(chǎn)品，如PIX515或PIX525，PIX535。（二）分部的接入設(shè)計由于分部通過公網(wǎng)虛擬連接接入總部網(wǎng)絡(luò)網(wǎng)絡(luò)的應(yīng)用，考慮其數(shù)據(jù)量和應(yīng)用的要求不高，而且這種非物理專線方式接入所供應(yīng)的網(wǎng)絡(luò)通信帶寬也很有限，通常只有幾十或幾百K，因此在企業(yè)各異地分部建議接受功能滿意系統(tǒng)實現(xiàn)目標、性能相對較低的防火墻設(shè)備。本方案選擇PIX515防火墻配備各分部。（有關(guān)PIX515防火墻建立虛擬網(wǎng)絡(luò)的組網(wǎng)說明請參考VPN系統(tǒng)的設(shè)計說明）。VPN系統(tǒng)設(shè)計VPN系統(tǒng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)用的目的是在一個非信任的通信網(wǎng)絡(luò)鏈路或公共Internet建立一個平安和穩(wěn)定的隧道。雖然在應(yīng)用邏輯上，VPN和防火墻是兩個獨立的應(yīng)用系統(tǒng)，但是對于先進的防火墻設(shè)備，兩者是合并在同一個物理設(shè)備上的，這樣的不僅可以使系統(tǒng)的結(jié)構(gòu)和實施簡潔化，而且可以大大地提高系統(tǒng)的應(yīng)用效率。在本方案設(shè)計接受的PIX防火墻就是這一種設(shè)備。PIX防火墻可以供應(yīng)表2所列在網(wǎng)絡(luò)基礎(chǔ)層所供應(yīng)的認證、數(shù)據(jù)加密和數(shù)據(jù)完整性的平安服務(wù)手段。廣域網(wǎng)鏈路加密企業(yè)公司總部與各地分部之間的網(wǎng)絡(luò)向ERP、視頻會議、VoIP等多種業(yè)務(wù)應(yīng)用供應(yīng)傳輸服務(wù)支持，大量的業(yè)務(wù)數(shù)據(jù)通過廣域網(wǎng)傳輸，須要保證數(shù)據(jù)傳輸?shù)钠桨怖慰啃?，不被偷聽竊取和惡意篡改。在前面廣域網(wǎng)進出口限制一節(jié)的方案中，PIX產(chǎn)品集防火墻、VPN功能于一體，它可以充當(dāng)VPN網(wǎng)關(guān)而無需增加任何組件。企業(yè)可干脆通過總部PIX高端防火墻和各分部的中端PIX（建議接受PIX515）防火墻，在總部與各分部之間建立起VPN通道，加密廣域網(wǎng)傳輸?shù)臄?shù)據(jù)。PIX防火墻在VPN應(yīng)用上有精彩的性能，例如PIX515能夠供應(yīng)XXXM的VPN吞吐量和XXX條專用隧道，PIX525能夠供應(yīng)XXXMbpsVPN處理實力和建立XXX條隧道。虛擬連接組網(wǎng)建議在中，我們建議在企業(yè)全部通過公共Internet虛擬連接的分部或商業(yè)合作伙伴，接受PIX515防火墻連接接入公網(wǎng)。PIX515的防火墻和VPN應(yīng)用都能滿意本建議書提出的系統(tǒng)實現(xiàn)目標要求。PIX不僅具有防火墻和VPN的好用功能，同時供應(yīng)了在網(wǎng)絡(luò)應(yīng)用上的功能（具體參見PIX的功能介紹附件），這些功能在小部門的網(wǎng)絡(luò)互聯(lián)（LANtoLAN）應(yīng)用中特別好用，它使PIX在網(wǎng)絡(luò)互聯(lián)中擔(dān)當(dāng)了互聯(lián)“網(wǎng)關(guān)”的作用，從而省缺了這些小部門之間的LAN互聯(lián)時須要配置價格不菲高層交換和路由設(shè)備。這是PIX在本方案平安應(yīng)用中特別有用的意外增值。在此，我們針對PIX的其他應(yīng)用作如下說明：一、組網(wǎng)條件及設(shè)備企業(yè)異地小機構(gòu)的網(wǎng)絡(luò)或單機電腦可以通過接入Internet，獲得靜態(tài)或動態(tài)的公有或私有IP地址；企業(yè)總部有對外的固定的公共互聯(lián)網(wǎng)IP；作為建立連接的公網(wǎng)IP的防火墻須要運用PIX高端的產(chǎn)品作為中心限制設(shè)備，出于高可用性的考慮，建議配置中心防火墻的備份（如下圖所示右邊帶陰影的設(shè)備）；連接分支端的網(wǎng)絡(luò)設(shè)備選用PIX515產(chǎn)品；二、組網(wǎng)原理及聯(lián)網(wǎng)功能組網(wǎng)原理如下圖：上圖中，全部接入互聯(lián)網(wǎng)的PIX515（公網(wǎng)IP地址或私網(wǎng)IP地址），通過總部的防火墻PIX535系列（公網(wǎng)IP）建立以下幾種網(wǎng)絡(luò)連接（LAN-to-LAN）：全部分支機構(gòu)LAN與總部LAN之間的加密、認證（VPN）連接（如附圖中的黑色實線）；全部通過5XP連接的LAN相互可以建立通過中心防火墻路由的LAN加密虛擬連接，即Hub&Spoke方式的VPN連接（如附圖中的藍色和綠色虛線）；為防止中心點因為各種緣由而導(dǎo)致防火墻不行訪問，從而造成分支點之間的互訪障礙，可以配置一個冗余中心，提高整個網(wǎng)絡(luò)的高可用性（如附圖中的長虛線連接所示）；特殊需求狀況下，可以干脆建立不經(jīng)過中心防火墻路由的干脆的5XP之間的LAN-to-LAN加密VPN連接（附圖中的紅色虛線）。以上的各種聯(lián)網(wǎng)方式，可以通過我們供應(yīng)的管理程序套件，用人工方式實現(xiàn)，或?qū)τ脩簟巴噶痢钡淖詣臃绞綄崿F(xiàn)。三、優(yōu)點不須要向鏈路服務(wù)供應(yīng)商租用價格昂貴的專線或者申請數(shù)量巨大的公網(wǎng)IP（事實上不行能），就可以實現(xiàn)企業(yè)網(wǎng)絡(luò)的廣域連接；PIX515可作為分支機構(gòu)的路由網(wǎng)關(guān)，實現(xiàn)各子網(wǎng)間的跨網(wǎng)段（非公有的企業(yè)私有網(wǎng)址）訪問，在小型的分支機構(gòu)LAN內(nèi)無須配備路由和高層交換設(shè)備；基于Keep–Alive消息保持的網(wǎng)絡(luò)VPN連接的連續(xù)狀態(tài)；這種網(wǎng)絡(luò)連接供應(yīng)全部基于LANtoLAN連接支持的各種網(wǎng)絡(luò)服務(wù)，如MSWindows的共享權(quán)限相互訪問彼此的資源（網(wǎng)上鄰居）、H.323傳輸服務(wù)、Net-meeting等等；PIX515供應(yīng)網(wǎng)絡(luò)連接的流量管理，即在公網(wǎng)的傳輸效率保證的前提下，PIX515供應(yīng)基于策略的最小帶寬保證、帶寬限制、優(yōu)先級帶寬運用等管理功能；通過PIX515的管理策略，可以使分部的用戶在運用Internet服務(wù)和企業(yè)網(wǎng)虛擬連接之間進行“透亮”的區(qū)分，而且同時運用又相互不影響。四、企業(yè)的應(yīng)用建議目前很多分支機構(gòu)與總部之間的數(shù)據(jù)傳送通過長途撥號MODEN傳輸或互聯(lián)網(wǎng)的郵件服務(wù)方式進行，這種方式不僅費用高，而且恒久實現(xiàn)不了實時的集中管理，信任企業(yè)希望有一個更加好用的解決方案。假如在總部配置一臺NS1000的高性能防火墻，異地分支機構(gòu)配備一臺PIX515，就可以實現(xiàn)全部分支機構(gòu)和總部的實時聯(lián)網(wǎng)，全部分支機構(gòu)的員工就象在總部辦公一樣，這對總部對分支機構(gòu)的管理將是一個極大的飛躍。此外，通過這一種網(wǎng)絡(luò)的虛擬互聯(lián)，可以實現(xiàn)總部與分支機構(gòu)間的免費IP電話、IP傳真通信，甚至用非集中的網(wǎng)絡(luò)視頻會議就可以代替大部分的人員集中式、花費很高的各類會議；兩個或多個業(yè)務(wù)有干脆連接的異地機構(gòu)或部門不須要占用總部的網(wǎng)絡(luò)資源實現(xiàn)網(wǎng)絡(luò)連接；等等。虛擬連接通信加密分部的PIX515和總部的高端防火墻之間，可以建立3倍DES的VPN通道。VPN通道可實現(xiàn)網(wǎng)絡(luò)通信數(shù)據(jù)的加密和認證，并且供應(yīng)保證數(shù)據(jù)完整性的技術(shù)手段。防火墻系統(tǒng)集中管理企業(yè)具有多個地理上分散的下屬企業(yè)，為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)的平安性，在前面的章節(jié)中我們建議總部及各分部建立相應(yīng)的防火墻系統(tǒng)。這個分散的防火墻系統(tǒng)的設(shè)置和管理就顯得特別重要，因為它某一處的漏同將影響整個企業(yè)Intranet的平安性。在此防火墻系統(tǒng)的管理上，有分散和集中兩種方式。分散方式讓各下屬企業(yè)管理各自的防火墻。此方式在大型企業(yè)中存在較大的缺點，首先它對各下屬企業(yè)的網(wǎng)絡(luò)管理員要求特別高，相應(yīng)提高了企業(yè)的管理成本；其次，當(dāng)下屬企業(yè)較多時，由于各自制定平安策略，存在平安隱患較大，同時，當(dāng)出現(xiàn)平安問題時，由于沒有實現(xiàn)統(tǒng)一監(jiān)控，很難推斷問題出現(xiàn)在何處，從而不能剛好解決問題。集中方式將對全部防火墻實現(xiàn)集中的管理，集中制定平安策略，這將很好的克服以上缺點。我們舉薦企業(yè)對防火墻系統(tǒng)實行統(tǒng)一的管理。防火墻選型設(shè)計說明在企業(yè)網(wǎng)絡(luò)平安系統(tǒng)中，作為當(dāng)今網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，防火墻系統(tǒng)是最重要的系統(tǒng)部分。防火墻選型設(shè)計建議書的優(yōu)劣，不僅對實現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的平安設(shè)計目標起著確定性的影響，而且會對整個網(wǎng)絡(luò)系統(tǒng)的應(yīng)用效率產(chǎn)生極大的影響。正如前面所提到的，企業(yè)的網(wǎng)絡(luò)應(yīng)用模式在近期的一兩年后會最終全部過渡到B/S的應(yīng)用結(jié)構(gòu)模式，而且除了各類業(yè)務(wù)應(yīng)用外，在企業(yè)的網(wǎng)絡(luò)系統(tǒng)中還將存在音視頻的實時應(yīng)用。因此針對這些應(yīng)用的網(wǎng)絡(luò)連接應(yīng)用和數(shù)據(jù)傳輸?shù)奶攸c，本建議書在充分考慮所選擇的設(shè)備平安性能的因素同時，還重點考慮所選設(shè)備的網(wǎng)絡(luò)處理實力。為了使防火墻設(shè)備的選型達到一個比較志向的結(jié)果，在此有必要對防火墻的選型作比較具體的說明。（注：以下對各廠家防火墻產(chǎn)品的評價數(shù)據(jù)和結(jié)果，均來自第三方中立機構(gòu)的測試報告，這些第三方機構(gòu)包括——Comweb&NetworkTestInc.，TollyGroup，臺灣國立交通高校信息科學(xué)所）評價防火墻產(chǎn)品的基本要素只有清晰如何評價防火墻產(chǎn)品優(yōu)劣的方法，或者了解評價一個防火墻產(chǎn)品的基本要素，在網(wǎng)絡(luò)平安系統(tǒng)設(shè)計中，才能作出一個最合適的選型設(shè)計建議書。評價一個防火墻產(chǎn)品優(yōu)劣所設(shè)計的因素（或者技術(shù)要素）很多，很難有一個大而全的評價方法和測試手段對防火墻產(chǎn)品的每一個方面進行完全的評價。我們只能對防火墻產(chǎn)品的幾大方面進行評價。對防火墻產(chǎn)品的評價一般是從平安性（側(cè)重功能方面）、技術(shù)性能指標、管理的便利性等幾方面綜合評價。評價防火墻的一般方法依據(jù)上節(jié)提到的幾個方面，利用具有代表性的、被大部分產(chǎn)品制造商和用戶認同的網(wǎng)絡(luò)環(huán)境對防火墻產(chǎn)品進行客觀測試，其結(jié)果基本上可以反映產(chǎn)品的優(yōu)劣真實狀況。本建議書考慮企業(yè)的網(wǎng)絡(luò)應(yīng)用特點，依據(jù)以上介紹的幾方面要素，我們將從以下幾方面比較評價防火墻產(chǎn)品，如下表：評價類別評價及比較項目Management1.管理接口是否簡潔易用。2.VPNtunnel的建立過程是否簡潔。3.各家產(chǎn)品可否互通(互通性測試