10企業(yè)網(wǎng)絡系統(tǒng)安全需求分析與設計方案1段。如何構建企業(yè)安全牢靠的網(wǎng)絡系統(tǒng)是本課程設計的目的。安全系統(tǒng)”等。企業(yè)建立網(wǎng)絡安全系統(tǒng)的必要性攻擊和破壞之風險。有現(xiàn)實和長遠的商業(yè)價值[5]因此，企業(yè)網(wǎng)絡建立完善的安全系統(tǒng)，其必要性不言而喻。安全建議書的設計原則何安全系統(tǒng)必需建立在技術、組織和制度這三個根底之上。在設計企業(yè)的網(wǎng)絡安全系統(tǒng)時，我們將遵循以下原則：體系化設計原則分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。全局性、均衡性、綜合性設計原則全問題。本建議書將考慮到各種安全措施的使用。解決方案。安全需要付出代價〔資金、性能損失等，但是任何單純?yōu)榱税踩豢紤]代價的安全建議書都是不切實際的。建議書同時供給了可操作的分步實施打算?？尚行?、牢靠性、安全性系統(tǒng)的最終目的。安全技術體系分析模型介紹計和分析的根底。安全 管理認應安傳網(wǎng)鏈物用輸絡路理層層層層層證訪問把握數(shù)據(jù)完整性數(shù)據(jù)保密抗抵賴審計可用性全管理通絡平臺信平臺平 臺臺網(wǎng)統(tǒng)平安應物 理系用環(huán)全管境理安全體系〔1-，它反映了信息系統(tǒng)安全需求和體系構造的共性。具體說明如下：1-1安全框架示意圖安全效勞身份認證，用于確認所聲明的身份的有效性；數(shù)據(jù)保密，數(shù)據(jù)存儲和傳輸時加密，防止數(shù)據(jù)竊取、竊聽；數(shù)據(jù)完整，防止數(shù)據(jù)篡改；和用以防止接收者對所收到數(shù)據(jù)或內容的抗否認；審計治理，設置審計記錄措施，分析審計記錄；的條件下盡可能少地受到侵害者的破壞。協(xié)議層次TCP/IP層次對應，可以把系統(tǒng)單元系統(tǒng)單元〔Z軸〕描述了信息網(wǎng)絡根底構件的各個成分。通信平臺，信息網(wǎng)絡的通信平臺；網(wǎng)絡平臺，信息網(wǎng)絡的網(wǎng)絡系統(tǒng)；系統(tǒng)平臺，信息網(wǎng)絡的操作系統(tǒng)平臺；安全技術體系的理解及實踐段，安全治理將涉及到各系統(tǒng)單元在各個協(xié)議層次供給的各種安全效勞。安全體系的理解〔即網(wǎng)絡層次。對于上圖的理解，不妨簡潔說明如下：安全效勞是網(wǎng)絡安全系統(tǒng)所供給可實現(xiàn)的全部技術手段；系統(tǒng)單元是網(wǎng)絡安全系統(tǒng)應當供給安全保護的對象。OSI層次實現(xiàn)。構建安全系統(tǒng)的根本目標根本建設目標。依據(jù)我們對企業(yè)網(wǎng)絡系統(tǒng)應用現(xiàn)狀的生疏，以及將來將要實現(xiàn)的各種應用目標了解，我們認為企業(yè)網(wǎng)絡安全系統(tǒng)，最終需要全部實現(xiàn)圖1-1中安全效勞維所提出的根本技術手段。網(wǎng)絡安全系統(tǒng)的技術實施保護[1]層次的全部層實施相應有效的技術措施，才能實現(xiàn)對網(wǎng)絡資源的安全保護。1-1所示。1-1網(wǎng)絡協(xié)議層實施相應的安全措施認證物理層數(shù)據(jù)鏈路層網(wǎng)絡層*傳輸層*會話層表示層*應用層*訪問把握****數(shù)據(jù)保密******數(shù)據(jù)完整性不行抵賴性****審計可用性********說明：*表示需要實施的工程在本工程設計中，我們建議企業(yè)網(wǎng)絡系統(tǒng)通過防火墻系統(tǒng)、VPN應用系統(tǒng)、認證1-1中的安全手段實施。2應用需求分析企業(yè)網(wǎng)絡構造包括企業(yè)內部網(wǎng)絡Intranet和企業(yè)外部網(wǎng)絡Extranet，外部網(wǎng)絡連接到Internet，滿足互聯(lián)網(wǎng)訪問、WWW公布、外部移動用戶應用等需求。本章將依據(jù)企業(yè)網(wǎng)絡系統(tǒng)的構造及應用，具體分析企業(yè)網(wǎng)絡系統(tǒng)的安全需求。網(wǎng)絡根底層安全需求分析網(wǎng)絡根底層〔在此網(wǎng)絡根底層是指網(wǎng)絡通信鏈路、路由/交換設備、網(wǎng)絡節(jié)點接口設備/網(wǎng)卡——包括了OSI物理層到傳輸層設備的集合〕作為現(xiàn)代計算機信息系統(tǒng)不行分析，企業(yè)網(wǎng)絡層的安全涉及到Internet連接安全、廣域網(wǎng)連接安全、應用系統(tǒng)內部資源網(wǎng)絡連接安全保護幾方面的安全問題。Internet連接安全保護企業(yè)在網(wǎng)絡應用中有三種狀況需要進展Internet連接，即向外群眾用戶供給業(yè)務和可能性。因此，在Internet出入口連接點，必需實行措施進展保護——布置防火墻系統(tǒng)，對集團總部的Internet出入口實施有效的把握，包括進出的數(shù)據(jù)檢查和資源訪問的把握。另外，僅僅設置1臺防火墻，簡潔消滅單點故障，為了保證網(wǎng)絡對外的7X24小時不連續(xù)效勞，還必需考慮網(wǎng)絡安全設備的冗余配置。廣域網(wǎng)連接的安全保護系統(tǒng)必需考慮兩方面的安全措施：網(wǎng)絡通信加密〔VPN應用〕專用鏈路傳輸數(shù)據(jù)的安全性會高于通過Internet傳輸，但是由于第三方供給的專用鏈路他人的帳戶進展證券交易而非法獲利。系統(tǒng)可能造成的破壞程度是用戶無法估量的[4]?！矊嶋H上目前國內全部的鏈路效勞供給商都存在比較大的漏洞，就格外簡潔實現(xiàn)；即使是通過鏈路盜接進展惡意攻擊的“高難度”動作，上通過數(shù)據(jù)回放對網(wǎng)絡系統(tǒng)實施攻擊。全部數(shù)據(jù)進展加密〔數(shù)據(jù)發(fā)出方〕和解密〔數(shù)據(jù)接收方〕處理，即VPN應用。VPN承受3DES防止流失數(shù)據(jù)的信息泄露；另一方面通過VPN加密和解密的規(guī)章，可以對具有不良屬性的被異動數(shù)據(jù)進展過濾或使之屬性失效，避開這些惡意數(shù)據(jù)對網(wǎng)絡系統(tǒng)造成破壞。防火墻保護應用應用，緣由如下兩方面?！踩缈偛俊车牟煌瑱C構和部門，其網(wǎng)絡應用和治理都安全漏洞。雖然企業(yè)在網(wǎng)絡實施和治理上可以強制性地要求企業(yè)內部網(wǎng)絡到Internet的用戶由于一些別的緣由使用了另外的途徑進入Internet，如異地機構的企業(yè)網(wǎng)絡用戶通過向當?shù)豂SP供給商購置帳戶使用PSTN/ISDN/ADSL撥號上網(wǎng)，這就等于給企業(yè)網(wǎng)絡為外部Internet的使用者供給了一個甚至多個“后門有效地利用了相當長的時間。所以在企業(yè)廣域網(wǎng)內實行網(wǎng)絡連接保護是必需的措施。分類獨立使用〔虛擬系統(tǒng)，而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡上需要擊不容無視，其成功的可能性要遠遠大于來自于Internet的攻擊，而且內部攻擊的目標主要是獵取企業(yè)的機密信息，這就更需要有措施對內部用戶進展訪問把握。此，本課程設計承受企業(yè)廣域網(wǎng)系統(tǒng)配置內部的防火墻系統(tǒng)。虛擬連接廣域網(wǎng)的安全保護對于企業(yè)眾多的異地分支機構〔規(guī)模比較小的、商業(yè)合作伙伴、出差在外的流淌LAN納入企業(yè)網(wǎng)系統(tǒng)的接入模式，更多的將會承受通過Internet的虛擬連接方式。VPN和防火墻的應用，比通過第三方專線鏈路更加迫切需要。其他安全保護關心措施掃描和入侵檢測系統(tǒng)[1]。系統(tǒng)安全需求分析全漏洞。還有，安裝在操作系統(tǒng)上的各種應用系統(tǒng)形成了一個簡潔的環(huán)境，這些應用程這些特性就可以被用來進展系統(tǒng)的破壞。基于以上的緣由，企業(yè)網(wǎng)絡需要對總部的應用效勞器進展操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括WindowsNT,Windows2023,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括應用安全治理需求分析統(tǒng)、網(wǎng)絡設備、移動用戶訪問、VPN和應用層。主機系統(tǒng)包括企業(yè)總部和各下屬公司中心主機、數(shù)據(jù)庫系統(tǒng)，WEB效勞器、MAIL效勞器證這些主機系統(tǒng)的登錄的安全是極其重要的。以下安全隱患：操作。人員的流淌、集成商自設等很多因素，使得每臺主機系統(tǒng)上的多余帳戶增加。網(wǎng)絡設備安全治理企業(yè)全公司，網(wǎng)絡設備〔路由器、交換機〕數(shù)量以數(shù)十甚至數(shù)百計。公司全部的業(yè)要條件；而保護網(wǎng)絡設備的安全，通?？紤]的最多的是設備的冗余，而網(wǎng)絡設備的配置〔VPN設備等形同虛設。因此對登錄網(wǎng)絡設備的人員進展強的身份認證是完全必要的。移動用戶的訪問把握訪問ISP接入公司內部網(wǎng)[6]對于企業(yè)來說，移動用戶將根本上承受VPN的方式對內部進展訪問，外出的員工可以通過Internet渠道的方式進入公司內部網(wǎng)絡，獵取所需要信息資源或回送需要提交。VPN上的認證ISPVPNClient建立安全通道訪問公司信息資源。而VPN技術能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴}，極大的節(jié)約公司的費用，并且使外部非法用戶無法訪問公司內部信息；但是，對于公司內部用戶，由于VPN所供給息資源的安全隱患〔可能這些信息資源是他無權掃瞄或更改的，因此，補充更強的身VPN系統(tǒng)應用來說也是格外必要的。應用層安全保護這里的應用層，主要指企業(yè)的信息資源治理系統(tǒng)ERPERP需要輸入用戶名稱和密碼，同樣的緣由，單一靜態(tài)密碼的擔憂全性使得我們有必要在ERPERP系統(tǒng)。ERP系統(tǒng)上單一靜態(tài)密碼的安全隱患主要有：用戶無法保證辦公文件能正確的承受，在承受之前沒有被其他人掃瞄過。單一密碼簡潔泄露，一旦密碼泄露，其惡果可能會很嚴峻。高級別的用戶在遠程授權以后，需要準時地更改密碼。SecurID。RSASecurIDAPIRSASecurID認證內嵌到ERPMAIL和文件的安全，驗證用戶身份，并創(chuàng)立用戶登錄日志文件。統(tǒng)設計時必需考慮的可實現(xiàn)功能之一[4]應用對安全系統(tǒng)的要求分析計有必要針對企業(yè)的網(wǎng)絡應用進展防火墻系統(tǒng)的要求分析。網(wǎng)絡應用系統(tǒng)的現(xiàn)狀及進展說明企業(yè)的網(wǎng)絡應用包括了集團公司幾乎全部的業(yè)務活動和治理方面的應用，例如ERP、OA、財務、網(wǎng)絡視頻會議應用等等。〔客戶端〕到應用系統(tǒng)平臺〔效勞器端〕的構造形式會對網(wǎng)絡設〕提出相應的要求；簡潔而言，不同的應用模式，對網(wǎng)絡防火墻系統(tǒng)有不同的技術指標要求。企業(yè)網(wǎng)絡目前的應用系統(tǒng)構造是C/S和B/S應用系統(tǒng)現(xiàn)在是分布式的C/S統(tǒng)從C/S構造向B/S構造遷移；增加的應用系統(tǒng)開發(fā)，也是集中式的B/S構造。在將來B/S〔對網(wǎng)絡的傳輸性能要求很高的應用系統(tǒng)越大的數(shù)據(jù)傳輸壓力。以上兩種主要的因素，在很大程度上打算我們在防火墻選型設計時對產(chǎn)品的取舍。面對應用系統(tǒng)的防火墻系統(tǒng)設計要求B/S構造應用特點，是防火墻系統(tǒng)技術指標設計的主要依據(jù)。[6]TCP連接處理力氣〔并發(fā)會話處理數(shù)的吞吐力氣〔帶寬參數(shù)。B/S構造的應用系統(tǒng)雖然具有治理簡潔，客戶端開發(fā)、使用和維護的本錢很低的優(yōu)點，但是在網(wǎng)絡上B/S且是并發(fā)的。具體來說，B/S構造的應用系統(tǒng)在網(wǎng)絡上使用，會給網(wǎng)絡防火墻帶來數(shù)倍甚至數(shù)十倍于C/S構造應用系統(tǒng)的并發(fā)TCP會話數(shù)量，而且這些會話絕大局部是包長很短的“垃圾”IP包。TCP會話處理力氣，是我們選擇防火墻〔VPN〕產(chǎn)品考慮的主要因素。B/S件防火墻是最為明智的選擇。3安全系統(tǒng)實現(xiàn)目標從Internet和廣域網(wǎng)進入內部資源網(wǎng)絡的數(shù)據(jù)被有效檢查和過濾、全部對內部資源網(wǎng)絡的訪問可以被有效把握、移動用戶從Internet進入內部網(wǎng)絡進展業(yè)務操作的通信和通過問被預警和阻攔〔條件允許時實施、應用系統(tǒng)平臺及數(shù)據(jù)可以被有效備份以抗擊災難風險、用戶的身份的真實性認證等幾方面的目標[4]網(wǎng)絡根底層安全系統(tǒng)建設目標網(wǎng)絡層安全系統(tǒng)通過防火墻系統(tǒng)〔帶VPN功能〕實現(xiàn)訪問把握、網(wǎng)絡信息檢查、通信加密、非法入侵檢測和攔截，特別狀況告警和審計幾大功能目標。InternetExtranet進出口把握在國際互聯(lián)網(wǎng)〔Internet〕和企業(yè)廣域網(wǎng)〔Extranet〕的進出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網(wǎng)絡數(shù)據(jù)和被制止的數(shù)據(jù)源進入企業(yè)內部網(wǎng)絡。訪問者進展用戶的授權認證，攔截沒有用戶權限的訪問者試圖進入內部網(wǎng)。對于通過Internet入口和廣域網(wǎng)入口進入總部企業(yè)內部網(wǎng)或分支機構內部網(wǎng)的用戶，設置在網(wǎng)絡出入口的防火墻系統(tǒng)不僅可以對訪問者進展能否被允許進入的權限認的劃分，即在技術上供給可以獨立選擇安全策略的虛擬系統(tǒng)劃分。VPN應用VPN應用是為網(wǎng)絡通信供給有效的信息加密手段。在企業(yè)網(wǎng)的VPN應用中，承受三倍DES的加密技術，這是目前可以獲得的最先進和有用的網(wǎng)絡通信加密技術手段。網(wǎng)絡的VPN應用范圍包括移動用戶的客戶機到企業(yè)網(wǎng)絡Internet出入口的防火墻、各分支機構的廣域網(wǎng)出入口防火墻到集團總部廣域網(wǎng)出入口防火墻。防火墻系統(tǒng)的功能實現(xiàn)要求總結〔安全技術手段〕實現(xiàn)和執(zhí)行的任務[1]?！矎奈锢韺拥絺鬏攲印?實施難度和費用〔包括設備、人力投入和治理本錢〕會比較驚人。但是在今日已經(jīng)消滅Cisco防火墻。3-1的功能目標要求。3-1物理層數(shù)據(jù)鏈路層網(wǎng)絡層傳輸層會話層表示層應用層認證****訪問把握***數(shù)據(jù)保密****數(shù)據(jù)完整性不行抵賴性***審計可用性*******應用關心安全系統(tǒng)的建設目標訪問把握，具有審計和記錄機制，確保防止拒絕和防抵賴的防否認機制。問這些系統(tǒng)用戶的真實身份。4網(wǎng)絡安全系統(tǒng)的設計〔兩期〕分別實現(xiàn)以下各個安全子系統(tǒng)：防火墻系統(tǒng)VPN系統(tǒng)動態(tài)認證系統(tǒng)系統(tǒng)設計的根本原則有用、先進、可進展是安全系統(tǒng)設計的根本原則。案；最終要考慮實現(xiàn)的安全系統(tǒng)面對應用要有長遠進展的力氣。/解密設施，不僅需要原則合理的設計系統(tǒng)。本工程設計將重點對防火墻系統(tǒng)〔包括VPN應用系統(tǒng)〕提出設計建議。安全系統(tǒng)實施步驟VPN應用系統(tǒng)作為現(xiàn)代網(wǎng)絡系統(tǒng)根底設施的重業(yè)網(wǎng)絡安全系統(tǒng)第一階段需要完成的系統(tǒng)建設局部。動態(tài)認證系統(tǒng)是對網(wǎng)絡用戶對具體的應用系統(tǒng)或網(wǎng)絡資源訪問把握的一種加強手施。系統(tǒng)放在防火墻系統(tǒng)建設完成后的其次階段實施。防火墻系統(tǒng)設計防火墻系統(tǒng)是在網(wǎng)絡根底層以上〔OSI/ISO網(wǎng)絡構造模型的2至7層〕供給主要的3-1所示。這些安全效勞包括了訪問認證、訪問把握、信息流安全檢查、數(shù)據(jù)源點鑒別等技術手段[5]本課程設計我們承受防火墻來對企業(yè)網(wǎng)絡的進出口進展把握，包括Internet進出口把握和廣域網(wǎng)進出口把握。Internet進出口把握Internet出口，各地分部統(tǒng)一通過總部訪問互聯(lián)網(wǎng)。Internet接入構造4-1Internet出口設立防火墻系統(tǒng)。為避開單點故障，防火墻系統(tǒng)實行雙機模式構建。每臺防火墻均供給4個網(wǎng)絡接口，分別連接Internet，中立區(qū)和內部網(wǎng)絡兩臺中心交換機。來自Internet的光纖專線將通過一臺交換立區(qū)口、WWW效勞器、郵件效勞器等。InternetInternet交換機交換機防火墻SiSi中心交換機WWW效勞器客戶訪問效勞器內部網(wǎng)絡圖4-1典型的企業(yè)應用中集集團Internet接入示意圖防火墻系統(tǒng)選型設計Cisco公司的防火墻產(chǎn)品。Cisco公司和它的防火墻產(chǎn)品InternetCisco〔PIX515為xxxbpsxxx接口，xxx鏈接數(shù)，xxxVPN處理力氣DMZ，效勞器負載平衡和帶寬優(yōu)先級設置等先PIX獨樹一幟。其具體特點如下：供給了防火墻的全部安全功能〔如防止拒絕效勞攻擊，Java/ActiveX/Zip過濾，IP地址哄騙……〕并結合了包過濾、鏈路過濾和應用代理效勞器等技術網(wǎng)絡地址轉換〔NAIP地址動態(tài)訪問過濾(DynamicFilter)：自適應網(wǎng)絡效勞保護URL地址的限定：限制站點的訪問，過濾不需要的網(wǎng)站用戶認證(Authentication)：只允許有授權的訪問IKE密鑰治理：保證密鑰交換DESDES：最高等級的加密、解密流量帶寬把握及優(yōu)先級設置：按您的需求治理流量負載平衡力氣：治理效勞器群(ServerFarms)實時日志及報警紀錄：實時監(jiān)控網(wǎng)絡狀態(tài)透亮的，無IP地址設置：無須更改任何路由器及主機配置Web效勞器：便利地通過流行的掃瞄器進展治理圖形界面：可關閉遠程的治理方式，只用本地的、安全的治理SNMP治理方式：通過網(wǎng)絡治理軟件治理命令行界面：支持批處理方式及通過調制解調器的備用渠道進展把握兩臺PIX行[4]。WWWInternet進展的業(yè)務VPNPIXVPN站安裝PIXASDM軟件或者利用WIN2023操作系統(tǒng)對VPN的支持，可以實現(xiàn)企業(yè)遠程辦公的安全需求。桌面或筆記本電腦IPSec協(xié)議和其次層通IPSec網(wǎng)關結合使用〔PIX家族安全設備IPSec兼容軟件的另一臺主機結合使用〔ASDM。PIX-ASDMWindows95,98,NT,2023系統(tǒng)。廣域網(wǎng)進出口把握防外，還應防內[3]。它網(wǎng)絡局部的正常工作。依據(jù)企業(yè)升級后的網(wǎng)絡拓撲構造，廣域網(wǎng)鏈路和設備都具備了較強的冗余備份力氣4-2所示。深圳總部LANSi Si 中心交換機防火墻路由器數(shù)字鏈路專網(wǎng)路由器防火墻中心交換機

LAN

路由器防火墻中心交換機......LAN

路由器防火墻中心交換機LAN分公司 分公司 分公司PIX525防火墻，實現(xiàn)冗余備份〔Active-Active方式〕和負載均衡。每臺防火墻根本配置含4100M或1000M端口，分別連接兩臺路由器和兩臺中心交換機。PIX525是一個高性能、高度牢靠、高度冗余的平臺。PIX525XXXM線速處理力氣，XXXM3DESVPN流量，強健的攻擊防范功能。PIX525特別適合帶寬要求高的大型企業(yè)環(huán)境。虛擬連接廣域網(wǎng)出入口把握〔總部和分部〕由于其擔當?shù)墓ぷ鱅nternet的構造實行不同方式和檔次的設備方案。總部的接入設計出入口把握防火墻系統(tǒng)進展了設計，同樣的連接應供給虛擬網(wǎng)絡的接入。也應使用前面的設計方案，在此不做重復的說明。Internet公網(wǎng)節(jié)點供給連接；也可以是各自獨立〔PIX515以上的檔次要求，如同時支持的VPN通道數(shù)量、會話處理力氣、網(wǎng)絡接口帶寬等等。后者的模式是PIX515PIX515PIX52PIX53[1分部的接入設計墻設備。本設計方案選擇PIX515〔PIX515防火墻建立虛擬網(wǎng)VPN系統(tǒng)的設計說明。防火墻接口屬性和安全級別配置PIX515(config)#nameifethernet0outsidesecurity0//0被命名為外網(wǎng)接口outside01~99，數(shù)字越大安全級別越高//PIX515(config)#nameifethernet1insidesecurity100//1被命名為內網(wǎng)接口〔insidePIX515(config)#nameifdmzsecurity50//設置非軍事區(qū)口〔dmz〕50//PIX515(config)#nameifpix/intf3security40VPN系統(tǒng)設計VPN系統(tǒng)在企業(yè)網(wǎng)絡系統(tǒng)中應用的目的是在一個非信任的通信網(wǎng)絡鏈路或公共Internet建立一個安全和穩(wěn)定的隧道。雖然在應用規(guī)律上，VPN和防火墻是兩個獨立的應用系統(tǒng)，但是對于先進的防火PIX防火墻就是這一種整性的安全效勞手段。廣域網(wǎng)鏈路加密ERP、視頻會議、VoIP等多種業(yè)務應用供給不被偷聽竊取和惡意篡改。PIXVPN可以充當VPN網(wǎng)關而無需增加任何組件。企業(yè)可直接通過總部PIX高端防火墻和各分PIX〔PIX515〕防火墻，在總部與各分部之間建立起VPN通道，加PIX防火墻在VPNPIX515能夠供給XXX條隧道。虛擬連接組網(wǎng)建議Internet虛擬連PIX515VPN應用都能滿足本設計方案提出的系統(tǒng)實現(xiàn)目標要求。[6]的有用功能，同時供給了在網(wǎng)絡應用上的功能，這些功能在小部門的網(wǎng)絡互聯(lián)〔LANtoLAN〕PIX在網(wǎng)絡互聯(lián)中擔當LAN互聯(lián)時需要配置價格不PIX的其他應用作如下說明：組網(wǎng)條件及設備Internet，獲得靜態(tài)或動態(tài)的公有IP；作為建立連接的公網(wǎng)IP的防火墻需要使用PIX高端的產(chǎn)品作為中心把握設備，出于高可用性的考慮，建議配置中心防火墻的備份〔如以以以下圖所示右邊帶陰影的設備PIX515產(chǎn)品；組網(wǎng)原理及聯(lián)網(wǎng)功能4-3示：4-3組網(wǎng)原理圖[6]PIX51〔IPIP地址PIX535系列〔I〕建立以下幾種網(wǎng)絡連接〔LAN-to-LA：實線；LAN加密虛擬連Hub&SpokeVPN連接〔如上圖中的藍色和綠色虛線；礙，可以配置一個冗余中心，提高整個網(wǎng)絡的高可用性〔如上圖中的長虛線連接所示特別需求狀況下，可以直接建立不經(jīng)過中心防火墻路由的直接的 5XP之間的LAN-to-LANVPN連接〔上圖中的紅色虛線。用戶“透亮”的自動方式實現(xiàn)。優(yōu)點際上不行能，就可以實現(xiàn)企業(yè)網(wǎng)絡的廣域連接；2223PIX515〔非公有的企業(yè)私有網(wǎng)址〕訪問，在小型的分支機構LAN內無須配備路由和高層交換設備[1]；Keep–Alive消息保持的網(wǎng)絡VPN連接的連續(xù)狀態(tài)；這種網(wǎng)絡連接供給全部基于LANtoLAN連接支持的各種網(wǎng)絡效勞，如MSWindows的共享權限相互訪問彼此的資源〔網(wǎng)上鄰居〕H.323傳輸效勞、Net-meeting等等；PIX515供給基于策略的最小帶寬保證、帶寬限制、優(yōu)先級帶寬使用等治理功能；Internet效勞和企業(yè)網(wǎng)虛擬連接之間進展“透亮”的區(qū)分，而且同時使用又相互不影響。企業(yè)的應用建議目前很多分支機構與總部之間的數(shù)據(jù)傳送通過長途撥號MODEN傳輸或互聯(lián)網(wǎng)的業(yè)期望有一個更加有用的解決方案。PIX515，就可以實現(xiàn)全局部支機構和總部的實時聯(lián)網(wǎng)，全局部支機構的員工就象在總部辦公一IP、IP通信，甚至用非集中的網(wǎng)絡視連接的異地機構或部門不需要占用總部的網(wǎng)絡資源實現(xiàn)網(wǎng)絡連接；等等。虛擬連接通信加密3DESVPN通道。VPN通道可實現(xiàn)網(wǎng)絡通信數(shù)據(jù)的加密和認證，并且供給保證數(shù)據(jù)完整性的技術手段[4]。防火墻系統(tǒng)集中治理Intranet的安全性。，集中制定安全策略，這將很好的抑制以上缺點。故推舉企業(yè)對防火墻系統(tǒng)實行統(tǒng)一的治理。防火墻選型設計說明目標起著打算性的影響，而且會對整個網(wǎng)絡系統(tǒng)的應用效率產(chǎn)生極大的影響[2]。正如前面所提到的，企業(yè)的網(wǎng)絡應用模式在近期的一兩年后會最終全部過渡到B/S選擇的設備安全性能的因素同時，還重點考慮所選設備的網(wǎng)絡處理力氣。比較具體的說明。評價防火墻產(chǎn)品的根本要素素，在網(wǎng)絡安全系統(tǒng)設計中，才能作出一個最適宜的選型設計。[5]產(chǎn)品的幾大方面進展評價。〔側重功能方面、技術性能指標、治理的便利性等幾方面綜合評價。評價防火墻的一般方法網(wǎng)絡環(huán)境對防火墻產(chǎn)品進展客觀測試，其結果根本上可以反映產(chǎn)品的優(yōu)劣真實狀況。評價防火墻產(chǎn)品，如下表4-1：4-1防火墻產(chǎn)品評價評價類別評價類別評價及比較工程1.治理接口是否簡潔易用。Management2.VPNtunnel的建立過程是否簡潔。3.1.SecurityPacketFirewall

log起來。DMZ內主機時，系統(tǒng)是否會將攻擊型態(tài)log起來，甚NAT開啟及關閉時的無封包遺失最大輸出性能(no-lossmaxLevel throughput)及封包延遲(latency)。10100包延遲。10100URLentrieswebclient每秒鐘所能建URLLevelFirewallContentLevelFirewallVPN

立的連結數(shù)(connection)與輸出性能(throughput)。時的最大連結(connection)數(shù)、輸出性能以及交易延遲(transactionlatency)。Java/ActiveX/JavaScript時，一個webclient每Java/ActiveX/JavaScript時的最大連結數(shù)、輸建立1個LAN-to-LANtunnel時的無封包遺失最大輸出性能時的無封包遺失最大輸出性能及封包延遲。幾種流行防火墻產(chǎn)品的比較參數(shù)比較，供參考。我們可以得出結論：從我們對防火墻產(chǎn)品的生疏，以及參考第三方PIX的防火墻是目前最正確的選擇[4]。PIX防火墻主要安全解決方案功能介紹：HAHAPIXVSYSPIX地址簿、策略和治理等功能。虛擬系統(tǒng)與802.1qVLAN標記相結合，把安全域延長到整個交換網(wǎng)絡中。PIXVLAN交換網(wǎng)絡，可以表現(xiàn)為多個具有完全安全特性的防火墻系統(tǒng)。優(yōu)點：簡化網(wǎng)絡構造、降低維護本錢?；赩LAN除了協(xié)作不同的Vsys通過一個物理接口連接到多個網(wǎng)絡外，還可以單獨使用，其表現(xiàn)tag轉換成正常的以太幀進展防火檢測、路由、策略等根本操作[5]。Mode和效勞器上現(xiàn)存的應用程序都不需修改。Transparent方式可以將防火墻無縫隙地下裝到任何現(xiàn)存的網(wǎng)絡，而無須重編號，防火墻建立一個MAC學習表，自動地自學哪些幀要進展轉發(fā)，哪些幀要無視。對要轉發(fā)的幀，再進展狀態(tài)檢查，實現(xiàn)防火、VPN、流量治理等根本功能[6]。Route方式能夠在無須地址轉換的網(wǎng)絡之間插入防火墻。這種方式可用于保護同一同時執(zhí)行嚴格策略檢查、攻擊檢測等。RouteNAT功能。NAT方式用在需要做私有地址到公有地址轉換的網(wǎng)絡環(huán)境中