企業(yè)網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)方案建議書

1、企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書PAGE 38企業(yè)網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)方案建議書 目 錄 TOC o 1-3 h z HYPERLINK l _Toc11688327 1概述 PAGEREF _Toc11688327 h 4 HYPERLINK l _Toc11688328 1.1企業(yè)建立網(wǎng)絡(luò)安全系統(tǒng)的必要性 PAGEREF _Toc11688328 h 4 HYPERLINK l _Toc11688329 1.2安全建議書的設(shè)計(jì)原則 PAGEREF _Toc11688329 h 4 HYPERLINK l _Toc11688330 1.3安全技術(shù)體系分析模型介紹 PAGEREF _Toc11688330

2、 h 5 HYPERLINK l _Toc11688331 1.3.1安全服務(wù)維 PAGEREF _Toc11688331 h 6 HYPERLINK l _Toc11688332 1.3.2協(xié)議層次維 PAGEREF _Toc11688332 h 6 HYPERLINK l _Toc11688333 1.3.3系統(tǒng)單元維 PAGEREF _Toc11688333 h 6 HYPERLINK l _Toc11688334 1.4安全技術(shù)體系的理解及實(shí)踐 PAGEREF _Toc11688334 h 6 HYPERLINK l _Toc11688335 1.4.1安全體系的理解 PAGEREF

3、_Toc11688335 h 7 HYPERLINK l _Toc11688336 1.4.2構(gòu)建安全系統(tǒng)的基本目標(biāo) PAGEREF _Toc11688336 h 7 HYPERLINK l _Toc11688337 1.4.3網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)實(shí)施 PAGEREF _Toc11688337 h 7 HYPERLINK l _Toc11688338 2應(yīng)用需求分析 PAGEREF _Toc11688338 h 9 HYPERLINK l _Toc11688339 2.1網(wǎng)絡(luò)基礎(chǔ)層安全需求分析 PAGEREF _Toc11688339 h 9 HYPERLINK l _Toc11688340 2

4、.1.1Internet連接安全保護(hù) PAGEREF _Toc11688340 h 9 HYPERLINK l _Toc11688341 2.1.2廣域網(wǎng)連接的安全保護(hù) PAGEREF _Toc11688341 h 9 HYPERLINK l _Toc11688342 2.1.3虛擬連接廣域網(wǎng)的安全保護(hù) PAGEREF _Toc11688342 h 11 HYPERLINK l _Toc11688343 2.1.4其他安全保護(hù)輔助措施 PAGEREF _Toc11688343 h 11 HYPERLINK l _Toc11688344 2.2系統(tǒng)安全需求分析 PAGEREF _Toc11688

5、344 h 12 HYPERLINK l _Toc11688345 2.3應(yīng)用安全管理需求分析 PAGEREF _Toc11688345 h 12 HYPERLINK l _Toc11688346 2.3.1主機(jī)系統(tǒng) PAGEREF _Toc11688346 h 12 HYPERLINK l _Toc11688347 2.3.2網(wǎng)絡(luò)設(shè)備安全管理 PAGEREF _Toc11688347 h 13 HYPERLINK l _Toc11688348 2.3.3移動(dòng)用戶的訪問控制訪問 PAGEREF _Toc11688348 h 13 HYPERLINK l _Toc11688349 2.3.4VP

6、N上的認(rèn)證 PAGEREF _Toc11688349 h 13 HYPERLINK l _Toc11688350 2.3.5應(yīng)用層安全保護(hù) PAGEREF _Toc11688350 h 14 HYPERLINK l _Toc11688351 2.4應(yīng)用對安全系統(tǒng)的要求分析 PAGEREF _Toc11688351 h 14 HYPERLINK l _Toc11688352 2.4.1網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀及發(fā)展說明 PAGEREF _Toc11688352 h 15 HYPERLINK l _Toc11688353 2.4.2面向應(yīng)用系統(tǒng)的防火墻系統(tǒng)設(shè)計(jì)要求 PAGEREF _Toc1168835

7、3 h 15 HYPERLINK l _Toc11688354 3安全系統(tǒng)實(shí)現(xiàn)目標(biāo) PAGEREF _Toc11688354 h 17 HYPERLINK l _Toc11688355 3.1網(wǎng)絡(luò)基礎(chǔ)層安全系統(tǒng)建設(shè)目標(biāo) PAGEREF _Toc11688355 h 17 HYPERLINK l _Toc11688356 3.1.1Internet及Extranet進(jìn)出口控制 PAGEREF _Toc11688356 h 17 HYPERLINK l _Toc11688357 3.1.2VPN應(yīng)用 PAGEREF _Toc11688357 h 17 HYPERLINK l _Toc1168835

8、8 3.1.3防火墻系統(tǒng)的功能實(shí)現(xiàn)要求總結(jié) PAGEREF _Toc11688358 h 18 HYPERLINK l _Toc11688359 3.2應(yīng)用輔助安全系統(tǒng)的建設(shè)目標(biāo) PAGEREF _Toc11688359 h 18 HYPERLINK l _Toc11688360 4網(wǎng)絡(luò)安全系統(tǒng)的實(shí)施建議 PAGEREF _Toc11688360 h 20 HYPERLINK l _Toc11688361 4.1系統(tǒng)設(shè)計(jì)的基本原則 PAGEREF _Toc11688361 h 20 HYPERLINK l _Toc11688362 4.2安全系統(tǒng)實(shí)施步驟建議 PAGEREF _Toc11688

9、362 h 20 HYPERLINK l _Toc11688363 4.3防火墻系統(tǒng)實(shí)施建議 PAGEREF _Toc11688363 h 21 HYPERLINK l _Toc11688364 4.3.1Internet進(jìn)出口控制 PAGEREF _Toc11688364 h 21 HYPERLINK l _Toc11688365 4.3.2廣域網(wǎng)進(jìn)出口控制 PAGEREF _Toc11688365 h 24 HYPERLINK l _Toc11688366 4.3.3虛擬連接廣域網(wǎng)出入口控制 PAGEREF _Toc11688366 h 26 HYPERLINK l _Toc1168836

10、7 4.4VPN系統(tǒng)設(shè)計(jì) PAGEREF _Toc11688367 h 27 HYPERLINK l _Toc11688368 4.4.1廣域網(wǎng)鏈路加密 PAGEREF _Toc11688368 h 28 HYPERLINK l _Toc11688369 4.4.2虛擬連接組網(wǎng)建議 PAGEREF _Toc11688369 h 28 HYPERLINK l _Toc11688370 4.4.3虛擬連接通信加密 PAGEREF _Toc11688370 h 30 HYPERLINK l _Toc11688371 4.5防火墻系統(tǒng)集中管理 PAGEREF _Toc11688371 h 30 HYP

11、ERLINK l _Toc11688372 4.6防火墻選型設(shè)計(jì)說明 PAGEREF _Toc11688372 h 31 HYPERLINK l _Toc11688373 4.6.1評價(jià)防火墻產(chǎn)品的基本要素 PAGEREF _Toc11688373 h 32 HYPERLINK l _Toc11688374 4.6.2評價(jià)防火墻的一般方法 PAGEREF _Toc11688374 h 32 HYPERLINK l _Toc11688375 4.6.3幾種流行防火墻產(chǎn)品的比較 PAGEREF _Toc11688375 h 33概述建設(shè)功能強(qiáng)大和安全可靠的網(wǎng)絡(luò)化信息管理系統(tǒng)是企業(yè)實(shí)現(xiàn)現(xiàn)代化管理的必

12、要手段。如何構(gòu)建企業(yè)安全可靠的網(wǎng)絡(luò)系統(tǒng)是本建議書的目的。本建議書是本公司為企業(yè)提出的“網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)建議書”，建議書只針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全系統(tǒng)向企業(yè)提交網(wǎng)絡(luò)安全的設(shè)計(jì)及實(shí)施建議，將不涉及其他部分的內(nèi)容，如“數(shù)據(jù)安全系統(tǒng)”等。企業(yè)建立網(wǎng)絡(luò)安全系統(tǒng)的必要性毫無疑問，不需要任何形式的“說教”，在信息和網(wǎng)絡(luò)被廣泛應(yīng)用的今天，任何一個(gè)網(wǎng)絡(luò)管理或使用者都非常清楚，所有被使用的計(jì)算機(jī)網(wǎng)絡(luò)都必然存在被有意或無意的攻擊和破壞之風(fēng)險(xiǎn)。企業(yè)的網(wǎng)絡(luò)同樣存在安全方面的風(fēng)險(xiǎn)問題。對于大多數(shù)網(wǎng)絡(luò)黑客來說，成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡(luò)系統(tǒng)，具有證明和炫耀其“能耐”的價(jià)值，盡管這種行為的初衷也許并不具有惡意的目的；竊

13、取企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)，甚至破壞其網(wǎng)絡(luò)系統(tǒng)，更加具有現(xiàn)實(shí)和長遠(yuǎn)的商業(yè)價(jià)值。因此，企業(yè)網(wǎng)絡(luò)建立完善的安全系統(tǒng)，其必要性不言而喻。安全建議書的設(shè)計(jì)原則網(wǎng)絡(luò)安全體系的核心目標(biāo)是實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效控制和管理。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這三個(gè)基礎(chǔ)之上。在設(shè)計(jì)企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)時(shí)，我們將遵循以下原則：體系化設(shè)計(jì)原則通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問題。全局性、均衡性、綜合性設(shè)計(jì)原則安全建議書將從企業(yè)網(wǎng)絡(luò)整體建設(shè)角度出發(fā)，提供一個(gè)具有相當(dāng)高度、可擴(kuò)展性強(qiáng)的安全解決方案；從企業(yè)的實(shí)際情況看，單

14、純依靠一種安全措施，并不能解決全部的安全問題。本建議書將考慮到各種安全措施的使用。本安全建議書將均衡考慮各種安全措施的效果，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。安全需要付出代價(jià)（資金、性能損失等），但是任何單純?yōu)榱税踩豢紤]代價(jià)的安全建議書都是不切實(shí)際的。建議書同時(shí)提供了可操作的分步實(shí)施計(jì)劃?？尚行?、可靠性、安全性作為一個(gè)工程項(xiàng)目，可行性是設(shè)計(jì)企業(yè)安全方案的根本，它將直接影響到網(wǎng)絡(luò)通信平臺的暢通；可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺正常運(yùn)行的保證；而安全性是設(shè)計(jì)安全系統(tǒng)的最終目的。安全技術(shù)體系分析模型介紹安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上，因?yàn)榘踩蚣苁前踩桨冈O(shè)計(jì)和分析的基礎(chǔ)。為

15、了系統(tǒng)、科學(xué)地分析網(wǎng)絡(luò)安全系統(tǒng)涉及的各種安全問題，網(wǎng)絡(luò)安全技術(shù)專家們提出了三維安全體系結(jié)構(gòu)，并在其基礎(chǔ)上抽象地總結(jié)了能夠指導(dǎo)安全系統(tǒng)總體設(shè)計(jì)的三維安全體系（見圖1-1），它反映了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性。具體說明如下：圖1-1安全框架示意圖安全服務(wù)維安全服務(wù)維（第一維，X軸）定義了7種主要完全屬性。具體如下：身份認(rèn)證，用于確認(rèn)所聲明的身份的有效性；訪問控制，防止非授權(quán)使用資源或以非授權(quán)的方式使用資源；數(shù)據(jù)保密，數(shù)據(jù)存儲(chǔ)和傳輸時(shí)加密，防止數(shù)據(jù)竊取、竊聽；數(shù)據(jù)完整，防止數(shù)據(jù)篡改；不可抵賴，取兩種形式的一種，用于防止發(fā)送者企圖否認(rèn)曾經(jīng)發(fā)送過數(shù)據(jù)或其內(nèi)容和用以防止接收者對所收到數(shù)據(jù)或內(nèi)容的抗否

16、認(rèn)；審計(jì)管理，設(shè)置審計(jì)記錄措施，分析審計(jì)記錄；可用性、可靠性，在系統(tǒng)降級或受到破壞時(shí)能使系統(tǒng)繼續(xù)完成其功能，使得在不利的條件下盡可能少地受到侵害者的破壞。協(xié)議層次維協(xié)議層次維（Y軸）由ISO/OSI參考模型的七層構(gòu)成。與TCP/IP層次對應(yīng)，可以把會(huì)話層、表示、應(yīng)用層統(tǒng)一為“應(yīng)用層”。系統(tǒng)單元維系統(tǒng)單元維（Z軸）描述了信息網(wǎng)絡(luò)基礎(chǔ)構(gòu)件的各個(gè)成分。通信平臺，信息網(wǎng)絡(luò)的通信平臺；網(wǎng)絡(luò)平臺，信息網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)；系統(tǒng)平臺，信息網(wǎng)絡(luò)的操作系統(tǒng)平臺；應(yīng)用平臺，信息網(wǎng)絡(luò)各種應(yīng)用的開發(fā)、運(yùn)行平臺；物理環(huán)境，信息網(wǎng)絡(luò)運(yùn)行的物理環(huán)境及人員管理。安全技術(shù)體系的理解及實(shí)踐貫穿于安全體系的三個(gè)方面，各個(gè)層次的是安全管理

17、。通過技術(shù)手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個(gè)協(xié)議層次提供的各種安全服務(wù)。安全體系的理解在圖1-1的安全體系分析模型中，完整地將網(wǎng)絡(luò)安全系統(tǒng)的全部內(nèi)容進(jìn)行了科學(xué)和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡(luò)安全系統(tǒng)所使用的技術(shù)、服務(wù)的對象和涉及的范圍（即網(wǎng)絡(luò)層次）。對于上圖的理解，不妨簡單說明如下：安全服務(wù)維是網(wǎng)絡(luò)安全系統(tǒng)所提供可實(shí)現(xiàn)的全部技術(shù)手段；網(wǎng)絡(luò)協(xié)議維是網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該將所采納之安全技術(shù)手段實(shí)施的范圍；系統(tǒng)單元維是網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該提供安全保護(hù)的對象。作為一個(gè)現(xiàn)實(shí)的網(wǎng)絡(luò)安全系統(tǒng)，首先要考慮的是安全建議書所涉及的有哪些系統(tǒng)單元，然后根據(jù)這些系統(tǒng)單元的不同，確定該單元所需要的安全服務(wù)，再根據(jù)

18、所需要的安全服務(wù)，確定這些安全服務(wù)在哪些OSI層次實(shí)現(xiàn)。構(gòu)建安全系統(tǒng)的基本目標(biāo)在上述的三維結(jié)構(gòu)的安全體系中，安全服務(wù)維是向網(wǎng)絡(luò)系統(tǒng)的各個(gè)部分和每一個(gè)層次，提供安全保證的各種技術(shù)手段和措施。雖然并不是每一個(gè)應(yīng)用網(wǎng)絡(luò)都需要安全服務(wù)維提出的所有手段，但是對于一個(gè)包含各種應(yīng)用和具有一定規(guī)模的企業(yè)網(wǎng)絡(luò)，這些安全措施應(yīng)該都基本具備，因此安全服務(wù)維所涉及的所有安全服務(wù)措施，是網(wǎng)絡(luò)安全系統(tǒng)的基本建設(shè)目標(biāo)。根據(jù)我們對企業(yè)網(wǎng)絡(luò)系統(tǒng)應(yīng)用現(xiàn)狀的認(rèn)識，以及未來將要實(shí)現(xiàn)的各種應(yīng)用目標(biāo)了解，我們認(rèn)為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)，最終需要全部實(shí)現(xiàn)圖1-1中安全服務(wù)維所提出的基本技術(shù)手段。網(wǎng)絡(luò)安全系統(tǒng)的技術(shù)實(shí)施構(gòu)筑網(wǎng)絡(luò)安全系統(tǒng)的最終目的是

19、對網(wǎng)絡(luò)資源或者說是保護(hù)對象，實(shí)施最有效的安全保護(hù)。從網(wǎng)絡(luò)的系統(tǒng)和應(yīng)用平臺對網(wǎng)絡(luò)協(xié)議層次的依賴關(guān)系不難看出，只有對網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)層次的所有層實(shí)施相應(yīng)有效的技術(shù)措施，才能實(shí)現(xiàn)對網(wǎng)絡(luò)資源的安全保護(hù)。針對一般網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用要求，為了達(dá)到保護(hù)網(wǎng)絡(luò)資源的目的，必須在網(wǎng)絡(luò)協(xié)議層實(shí)施相應(yīng)的安全措施，如下表1。表1 （ * 表示需要實(shí)施）物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層認(rèn)證*訪問控制*數(shù)據(jù)保密*數(shù)據(jù)完整性*不可抵賴性*審計(jì)*可用性*在本建議書中，我們建議企業(yè)網(wǎng)絡(luò)系統(tǒng)通過防火墻系統(tǒng)、VPN應(yīng)用系統(tǒng)、認(rèn)證系統(tǒng)和網(wǎng)絡(luò)漏洞掃描及攻擊檢測系統(tǒng)實(shí)現(xiàn)表1中的安全手段實(shí)施。應(yīng)用需求分析企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)將會(huì)包括企業(yè)

20、內(nèi)部網(wǎng)絡(luò)Intranet和企業(yè)互聯(lián)網(wǎng)絡(luò)Extranet，同時(shí)網(wǎng)絡(luò)連接Internet，滿足互聯(lián)網(wǎng)訪問、WWW發(fā)布、外部移動(dòng)用戶應(yīng)用等需求。本章將根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)及應(yīng)用，詳細(xì)分析企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全需求。網(wǎng)絡(luò)基礎(chǔ)層安全需求分析網(wǎng)絡(luò)基礎(chǔ)層（在此網(wǎng)絡(luò)基礎(chǔ)層是指網(wǎng)絡(luò)通信鏈路、路由/交換設(shè)備、網(wǎng)絡(luò)節(jié)點(diǎn)接口設(shè)備/網(wǎng)卡包括了OSI物理層到傳輸層設(shè)備的集合）作為現(xiàn)代計(jì)算機(jī)信息系統(tǒng)不可缺或的基礎(chǔ)設(shè)施部分，其安全性是每一個(gè)用戶最為關(guān)心的問題。從企業(yè)的應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)分析，企業(yè)網(wǎng)絡(luò)層的安全涉及到Internet連接安全、廣域網(wǎng)連接安全、應(yīng)用系統(tǒng)內(nèi)部資源網(wǎng)絡(luò)連接安全保護(hù)幾方面的安全問題。Internet連接安全保護(hù)企

21、業(yè)在網(wǎng)絡(luò)應(yīng)用中有三種情況需要進(jìn)行Internet連接，即向外大眾用戶提供業(yè)務(wù)和宣傳信息服務(wù)、公司內(nèi)部用戶和外界的電子郵件往來、通過互聯(lián)網(wǎng)在異地進(jìn)行業(yè)務(wù)辦公的移動(dòng)用戶服務(wù)等。由此企業(yè)企業(yè)網(wǎng)必須向外“開門”，象所有連接互聯(lián)網(wǎng)的企業(yè)網(wǎng)一樣，企業(yè)網(wǎng)不可避免地存在，遭受到來自外部的惡意攻擊和破壞、各種各樣病毒傳播的可能性。因此，在Internet出入口連接點(diǎn)，必須采取措施進(jìn)行保護(hù) 布置防火墻系統(tǒng)，對集團(tuán)總部的Internet出入口實(shí)施有效的控制，包括進(jìn)出的數(shù)據(jù)檢查和資源訪問的控制。另外，僅僅設(shè)置1臺防火墻，容易出現(xiàn)單點(diǎn)故障，為了保證網(wǎng)絡(luò)對外的7X24小時(shí)不間斷服務(wù)，還必須考慮網(wǎng)絡(luò)安全設(shè)備的冗余配置。廣域

22、網(wǎng)連接的安全保護(hù)企業(yè)部分異地的下屬企業(yè)和部門將通過廣域網(wǎng)的方式與綿陽總部進(jìn)行連接。因此企業(yè)的網(wǎng)絡(luò)系統(tǒng)從其結(jié)構(gòu)而言是一個(gè)在物理上廣域連接的企業(yè)網(wǎng)絡(luò)系統(tǒng)，我們認(rèn)為企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)必須考慮兩方面的安全措施：（一）網(wǎng)絡(luò)通信加密（VPN應(yīng)用）廣域網(wǎng)絡(luò)通信連接將通過第三方鏈路進(jìn)行。盡管租用電信或其他傳輸服務(wù)提供商的專用鏈路傳輸數(shù)據(jù)的安全性會(huì)高于通過Internet傳輸，但是由于第三方提供的專用鏈路所使用的設(shè)備是公共的，其安全性具有相對性，不僅在鏈路上傳輸?shù)臄?shù)據(jù)存在被竊取的可能，同時(shí)也存在由于鏈路供應(yīng)商安全管理和保護(hù)措施不完善的原因，導(dǎo)致被別有用心者有可能通過盜接而非法訪問網(wǎng)絡(luò)資源的風(fēng)險(xiǎn)，在國內(nèi)就曾有

23、類似的案件發(fā)生 非法分子通過在公共設(shè)備上偷偷接入自己的電腦，竊取了別人的股票交易帳戶資料，盜用他人的帳戶進(jìn)行證券交易而非法獲利。如果僅僅是竊取資料對于網(wǎng)絡(luò)系統(tǒng)本身也許不會(huì)產(chǎn)生太嚴(yán)重的破壞，但是假設(shè)盜接者是一個(gè)惡意攻擊者，即使僅僅是一個(gè)普通的網(wǎng)絡(luò)高手，把在網(wǎng)絡(luò)通信鏈路上截取的數(shù)據(jù)進(jìn)行篡改或者置換，再通過網(wǎng)絡(luò)鏈路將屬性被異動(dòng)的數(shù)據(jù)對系統(tǒng)進(jìn)行回放，其對網(wǎng)絡(luò)系統(tǒng)可能造成的破壞程度是用戶無法預(yù)計(jì)的?，F(xiàn)有的設(shè)備和技術(shù)手段要實(shí)現(xiàn)以上的非法目的不難，如果僅僅是通過盜接來竊取資料，只需要物理上存在接入的可能（實(shí)際上目前國內(nèi)所有的鏈路服務(wù)供應(yīng)商都存在比較大的漏洞），就非常容易實(shí)現(xiàn)；即使是通過鏈路盜接進(jìn)行惡意攻擊的

24、“高難度”動(dòng)作，“網(wǎng)絡(luò)高手”只需花很低的代價(jià)購買用于網(wǎng)絡(luò)測試的專業(yè)設(shè)備和軟件，就可在通信鏈路上通過數(shù)據(jù)回放對網(wǎng)絡(luò)系統(tǒng)實(shí)施攻擊。因此，為了消除這類風(fēng)險(xiǎn)的存在，我們認(rèn)為企業(yè)網(wǎng)絡(luò)安全系統(tǒng)必須能夠?qū)υ趶V域網(wǎng)上傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密（數(shù)據(jù)發(fā)出方）和解密（數(shù)據(jù)接收方）處理，即VPN應(yīng)用。VPN采用3DES的加密算法，一方面可以使在廣域網(wǎng)鏈路上傳輸?shù)臄?shù)據(jù)變成外來者不可“讀”，防止流失數(shù)據(jù)的信息泄露；另一方面通過VPN加密和解密的規(guī)則，可以對具有不良屬性的被異動(dòng)數(shù)據(jù)進(jìn)行過濾或使之屬性失效，避免這些惡意數(shù)據(jù)對網(wǎng)絡(luò)系統(tǒng)造成破壞。（二）防火墻保護(hù)應(yīng)用從網(wǎng)絡(luò)系統(tǒng)的應(yīng)用來說，企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)實(shí)際上就是規(guī)模龐大的企

25、業(yè)內(nèi)部網(wǎng)。在這種復(fù)雜的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)對各類網(wǎng)絡(luò)資源的有效保護(hù)和管理，僅僅利用現(xiàn)有的網(wǎng)絡(luò)來完成，顯然是做不到的。我們認(rèn)為在企業(yè)廣域連接的網(wǎng)絡(luò)系統(tǒng)內(nèi)有必要引入防火墻的應(yīng)用，原因如下兩方面。其一，類似企業(yè)這種在物理上分布廣泛的網(wǎng)絡(luò)系統(tǒng)，每一個(gè)在地理上屬異地的分支機(jī)構(gòu)或部門，甚至同屬于一個(gè)地方（如總部）的不同機(jī)構(gòu)和部門，其網(wǎng)絡(luò)應(yīng)用和管理都有相對的獨(dú)立性，因此在網(wǎng)絡(luò)安全管理實(shí)施和執(zhí)行上就很容易產(chǎn)生差異，從而出現(xiàn)網(wǎng)絡(luò)安全漏洞。雖然企業(yè)在網(wǎng)絡(luò)實(shí)施和管理上可以強(qiáng)制性地要求企業(yè)內(nèi)部網(wǎng)絡(luò)到Internet的接入為統(tǒng)一出入口，但是在網(wǎng)絡(luò)的使用過程中，也許總部和個(gè)別管理嚴(yán)格的異地分支機(jī)構(gòu)和部門，可以比較容易地始終如一

26、執(zhí)行這一規(guī)章制度，卻不能完全保證所有在網(wǎng)上的用戶因?yàn)橐恍﹦e的原因使用了另外的途徑進(jìn)入Internet，如異地機(jī)構(gòu)的企業(yè)網(wǎng)絡(luò)用戶通過向當(dāng)?shù)豂SP供應(yīng)商購買帳戶使用PSTN/ISDN/ADSL撥號上網(wǎng)，這就等于給企業(yè)網(wǎng)絡(luò)為外部Internet的使用者提供了一個(gè)甚至多個(gè)“后門”。這種“后門”對于別有用心的網(wǎng)絡(luò)黑客來說，是非常有用的，他們可以避開企業(yè)網(wǎng)絡(luò)“門戶”的防火墻系統(tǒng)，通過網(wǎng)絡(luò)的“后門”直接攻擊企業(yè)網(wǎng)絡(luò)的內(nèi)部資源，這也是網(wǎng)絡(luò)黑客最常用的攻擊手段之一；在國外就曾經(jīng)有某個(gè)利益集團(tuán)利用這一手法，獲取了某國海關(guān)大量的內(nèi)部資料，利用所掌握的內(nèi)部資料，達(dá)到其變相走漏海關(guān)關(guān)稅的目的，而且這一手法在被發(fā)現(xiàn)的時(shí)候

27、已經(jīng)被有效地利用了相當(dāng)長的時(shí)間。所以在企業(yè)廣域網(wǎng)內(nèi)采取網(wǎng)絡(luò)連接保護(hù)是必須的措施。其二，內(nèi)部網(wǎng)絡(luò)連接安全保護(hù)。企業(yè)企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息，這些信息根據(jù)不同的應(yīng)用被不同的對象使用，有許多信息系統(tǒng)會(huì)根據(jù)應(yīng)用目的進(jìn)行分類獨(dú)立使用（虛擬系統(tǒng)），而且其共享的用戶范圍也是有限制的，因此在網(wǎng)絡(luò)上需要有比較好的手段對內(nèi)部用戶進(jìn)行信息資源訪問的控制；另一方面，來自于企業(yè)內(nèi)部的攻擊不容忽視，其成功的可能性要遠(yuǎn)遠(yuǎn)大于來自于Internet的攻擊，而且內(nèi)部攻擊的目標(biāo)主要是獲取企業(yè)的機(jī)密信息，這就更需要有措施對內(nèi)部用戶進(jìn)行訪問控制。由此可見，在企業(yè)通過第三方專線連接的企業(yè)廣域網(wǎng)內(nèi)，實(shí)施網(wǎng)絡(luò)安全保護(hù)

28、是非常必要的舉措。能夠有效地?fù)?dān)負(fù)這一保護(hù)作用角色的是性能和功能強(qiáng)大的防火墻系統(tǒng)。因此，本建議書建議企業(yè)廣域網(wǎng)系統(tǒng)配置內(nèi)部的防火墻系統(tǒng)。虛擬連接廣域網(wǎng)的安全保護(hù)對于企業(yè)眾多的異地分支機(jī)構(gòu)（規(guī)模比較小的）、商業(yè)合作伙伴、出差在外的流動(dòng)用戶，將其遠(yuǎn)程電腦或小規(guī)模LAN納入企業(yè)網(wǎng)系統(tǒng)的接入模式，更多的將會(huì)采用通過公共Internet的虛擬連接方式。正如前面所言，這種連接方式盡管實(shí)現(xiàn)的代價(jià)和技術(shù)條件相對比較低，但其所能提供的安全保證更加不可信賴。因此毫無疑問，同樣的理由，這種連網(wǎng)方式的廣域網(wǎng)，其VPN和防火墻的應(yīng)用，比通過第三方專線鏈路更加迫切需要。其他安全保護(hù)輔助措施企業(yè)網(wǎng)絡(luò)環(huán)境比較復(fù)雜，設(shè)備眾多，這

29、使管理人員查找和修補(bǔ)網(wǎng)絡(luò)中的全部安全隱患有相當(dāng)大的難度。利用先進(jìn)的技術(shù)、工具進(jìn)行網(wǎng)絡(luò)系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時(shí)彌補(bǔ)，以及建立實(shí)時(shí)入侵檢測系統(tǒng)，是十分有效的安全防護(hù)措施，將能極大提高、完善企業(yè)系統(tǒng)安全。在條件允許的情況下，我們建議企業(yè)企業(yè)網(wǎng)增加網(wǎng)絡(luò)漏洞掃描和入侵檢測系統(tǒng)。系統(tǒng)安全需求分析各種操作系統(tǒng)是應(yīng)用運(yùn)行的基礎(chǔ)，應(yīng)用系統(tǒng)的安全性，在相當(dāng)大的程度之上受到操作系統(tǒng)安全性的影響。目前運(yùn)行大多數(shù)應(yīng)用的各種操作系統(tǒng)，都是針對可以運(yùn)行多種應(yīng)用來開發(fā)的，其開發(fā)要兼顧到各種應(yīng)用的多個(gè)方面，在程序開發(fā)過程中，會(huì)出現(xiàn)一些人為的疏忽，以及一些人為設(shè)置的后門等。這些人為的疏忽或者后門就成了操作系

30、統(tǒng)的安全漏洞。還有，安裝在操作系統(tǒng)上的各種應(yīng)用系統(tǒng)形成了一個(gè)復(fù)雜的環(huán)境，這些應(yīng)用程序本身設(shè)計(jì)的缺陷也會(huì)帶來安全漏洞。另外，系統(tǒng)權(quán)限管理的松懈也是造成安全漏洞的重要原因。此外，任何東西的特性都是兩方面的，只要惡意的破壞者掌握了系統(tǒng)的特性，這些特性就可以被用來進(jìn)行系統(tǒng)的破壞。基于以上的原因，企業(yè)網(wǎng)絡(luò)需要對總部的應(yīng)用服務(wù)器進(jìn)行操作系統(tǒng)和數(shù)據(jù)庫的備份，操作系統(tǒng)包括Windows NT, Windows 2000,Solaris,Linux，數(shù)據(jù)庫系統(tǒng)主要包括Oracle，MS SQL數(shù)據(jù)庫。需要對這些系統(tǒng)進(jìn)行系統(tǒng)安全漏洞的掃描和實(shí)時(shí)入侵的檢測。應(yīng)用安全管理需求分析應(yīng)用層安全主要是對應(yīng)用資源的有效性進(jìn)行

31、控制，管理和控制什么用戶對資源具有什么權(quán)限。資源包括信息資源和服務(wù)資源。需要提高身份認(rèn)證安全性的系統(tǒng)包括主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、移動(dòng)用戶訪問、VPN和應(yīng)用層。主機(jī)系統(tǒng)包括企業(yè)總部和各下屬公司中心主機(jī)、數(shù)據(jù)庫系統(tǒng)，WEB服務(wù)器、MAIL服務(wù)器等等，這些主機(jī)系統(tǒng)是公司網(wǎng)絡(luò)系統(tǒng)的核心，存儲(chǔ)著公司最重要的信息資源，因此，保證這些主機(jī)系統(tǒng)的登錄的安全是極其重要的。目前企業(yè)的主機(jī)系統(tǒng)仍然沿用單一密碼的身份認(rèn)證方式，這種簡單的身份認(rèn)證存在以下安全隱患：網(wǎng)絡(luò)入侵者，很容易猜測或破解賬號、密碼，利用他人的帳戶登錄，進(jìn)行非法操作。人員的流動(dòng)、集成商自設(shè)等很多因素，使得每臺主機(jī)系統(tǒng)上的多余帳戶增加。網(wǎng)絡(luò)設(shè)備安全管理企業(yè)

32、全公司，網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）數(shù)量以數(shù)十甚至數(shù)百計(jì)。公司所有的業(yè)務(wù)系統(tǒng)都是建立在網(wǎng)絡(luò)設(shè)備基礎(chǔ)之上的，保證網(wǎng)絡(luò)設(shè)備的安全是保證系統(tǒng)正常運(yùn)行的首要條件；而保護(hù)網(wǎng)絡(luò)設(shè)備的安全，通?？紤]的最多的是設(shè)備的冗余，而網(wǎng)絡(luò)設(shè)備的配置保護(hù)卻不被重視，其實(shí)，當(dāng)某一個(gè)人登錄了網(wǎng)絡(luò)設(shè)備（路由器、防火墻、VPN設(shè)備等），將配置進(jìn)行了更改，為以后非法的登錄建立通道，對整個(gè)系統(tǒng)來說，所有的安全設(shè)施就形同虛設(shè)。因此對登錄網(wǎng)絡(luò)設(shè)備的人員進(jìn)行強(qiáng)的身份認(rèn)證是完全必要的。移動(dòng)用戶的訪問控制訪問移動(dòng)用戶進(jìn)入公司內(nèi)部網(wǎng)絡(luò)可以通過本地?fù)芴栠B接公司的內(nèi)部網(wǎng)絡(luò)，也可以通過互聯(lián)網(wǎng)的ISP接入公司內(nèi)部網(wǎng)。對于企業(yè)來說，移動(dòng)用戶將基本上采用VP

33、N的方式對內(nèi)部進(jìn)行訪問，外出的員工可以通過Internet渠道的方式進(jìn)入公司內(nèi)部網(wǎng)絡(luò)，獲取所需要信息資源或回送需要提交的信息。而目前從終端上訪問也是采用單一靜態(tài)密碼，從我們前面的分析來看，顯然是不安全的。因此我們必須在移動(dòng)用戶訪問上增加更加強(qiáng)大的手段對移動(dòng)用戶進(jìn)行控制管理。VPN上的認(rèn)證在網(wǎng)絡(luò)系統(tǒng)將配置VPN系統(tǒng)，遠(yuǎn)程移動(dòng)用戶可以通過撥號連接本地ISP，用VPN Client 建立安全通道訪問公司信息資源。而VPN技術(shù)能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴}，極大的節(jié)約公司的費(fèi)用，并且使外部非法用戶無法訪問公司內(nèi)部信息；但是，對于公司內(nèi)部用戶，由于VPN所提供的用戶認(rèn)證機(jī)制依然是單一的密碼方式，使我們

34、無法保證目前訪問信息資源帳戶和擁有該帳戶的員工的身份相符合，也就是說，還是存在內(nèi)部用戶盜用他人密碼訪問特定的信息資源的安全隱患（可能這些信息資源是他無權(quán)瀏覽或更改的），因此，補(bǔ)充更強(qiáng)的身份認(rèn)證機(jī)制對VPN系統(tǒng)應(yīng)用來說也是非常必要的。 應(yīng)用層安全保護(hù)這里的應(yīng)用層，主要指企業(yè)的信息資源管理系統(tǒng)（ERP）。在員工進(jìn)入ERP系統(tǒng)時(shí)需要輸入用戶名稱和密碼，同樣的原因，單一靜態(tài)密碼的不安全性使得我們有必要在ERP系統(tǒng)上采用強(qiáng)的認(rèn)證機(jī)制，保證不同權(quán)限的、不同級別的用戶安全合法的使用ERP系統(tǒng)。ERP系統(tǒng)上單一靜態(tài)密碼的安全隱患主要有：用戶無法保證辦公文件能正確的接受，在接受之前沒有被其他人瀏覽過。單一密碼容

35、易泄露，一旦密碼泄露，其惡果可能會(huì)很嚴(yán)重。高級別的用戶在遠(yuǎn)程授權(quán)以后，需要及時(shí)地更改密碼。以上討論了企業(yè)網(wǎng)絡(luò)系統(tǒng)各個(gè)不同應(yīng)用的安全認(rèn)證問題，不難看出，上述的應(yīng)用都必須在原有的單一靜態(tài)認(rèn)證基礎(chǔ)上，增加更加強(qiáng)大的認(rèn)證手段，因此我們建議在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)內(nèi)引入動(dòng)態(tài)認(rèn)證機(jī)制，即動(dòng)態(tài)的SecurID。加入的RSA SecurID必須提供通用的API，使用戶可以將RSA SecurID認(rèn)證內(nèi)嵌到ERP系統(tǒng)或其他的應(yīng)用系統(tǒng)中，保證公司內(nèi)部網(wǎng)絡(luò)用戶接收MAIL和文件的安全，驗(yàn)證用戶身份，并創(chuàng)建用戶登錄日志文件。為了使系統(tǒng)的認(rèn)證操作和對非法訪問的攔截更加有效，所有認(rèn)證的轉(zhuǎn)發(fā)和認(rèn)證結(jié)果的處理都由防火墻來操作完成，

36、即對所有被認(rèn)證系統(tǒng)認(rèn)定為非合法訪問的服務(wù)請求，通過防火墻“掐斷”其訪問連接，而不是通過應(yīng)用系統(tǒng)直接拒絕訪問服務(wù)。這是防火墻系統(tǒng)設(shè)計(jì)時(shí)必須考慮的可實(shí)現(xiàn)功能之一應(yīng)用對安全系統(tǒng)的要求分析任何一個(gè)完整的網(wǎng)絡(luò)安全系統(tǒng)，從其功能和物理層次來看，它將分別是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用系統(tǒng)的組成部分。防火墻作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分，和其他網(wǎng)絡(luò)設(shè)備一樣，其性能目標(biāo)應(yīng)該按照網(wǎng)絡(luò)系統(tǒng)的應(yīng)用要求進(jìn)行選型設(shè)計(jì)。如果防火墻選型設(shè)計(jì)的不恰當(dāng)，即使網(wǎng)絡(luò)其他設(shè)備的選型設(shè)計(jì)滿足要求，同樣也會(huì)因?yàn)榉阑饓Φ男史恋K網(wǎng)絡(luò)的應(yīng)用，嚴(yán)重的話會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)應(yīng)用建設(shè)的失敗，這已經(jīng)是被事實(shí)證明的。因此，本建議書有必要針對企業(yè)的網(wǎng)絡(luò)應(yīng)用進(jìn)行防火墻系統(tǒng)的

37、要求分析。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀及發(fā)展說明企業(yè)的網(wǎng)絡(luò)應(yīng)用包括了集團(tuán)公司幾乎所有的業(yè)務(wù)活動(dòng)和管理方面的應(yīng)用，例如ERP、OA、財(cái)務(wù)、網(wǎng)絡(luò)視頻會(huì)議應(yīng)用等等。任何一個(gè)應(yīng)用系統(tǒng)提供的應(yīng)用，都是依賴于網(wǎng)絡(luò)的各個(gè)層次來實(shí)現(xiàn)應(yīng)用信息的處理和傳送，應(yīng)用系統(tǒng)最終是通過向所有的網(wǎng)絡(luò)用戶提供使用來達(dá)到其應(yīng)用的目的。由此可以看出從網(wǎng)絡(luò)用戶電腦（客戶端）到應(yīng)用系統(tǒng)平臺（服務(wù)器端）的結(jié)構(gòu)形式會(huì)對網(wǎng)絡(luò)設(shè)備（尤其防火墻）提出相應(yīng)的要求；簡單而言，不同的應(yīng)用模式，對網(wǎng)絡(luò)防火墻系統(tǒng)有不同的技術(shù)指標(biāo)要求。企業(yè)網(wǎng)絡(luò)目前的應(yīng)用系統(tǒng)結(jié)構(gòu)是C/S和B/S兩種應(yīng)用結(jié)構(gòu)的混合形式，主要的業(yè)務(wù)應(yīng)用系統(tǒng)現(xiàn)在是分布式的C/S結(jié)構(gòu)?，F(xiàn)在正在進(jìn)行的已有應(yīng)用

38、系統(tǒng)升級開發(fā)將使應(yīng)用系統(tǒng)從C/S結(jié)構(gòu)向B/S結(jié)構(gòu)遷移；新增加的應(yīng)用系統(tǒng)開發(fā)，也是集中式的B/S結(jié)構(gòu)。在未來一兩年內(nèi)，企業(yè)的應(yīng)用系統(tǒng)將大部分實(shí)現(xiàn)集中式的B/S結(jié)構(gòu)模式。同時(shí)隨著公司規(guī)模的擴(kuò)大和業(yè)務(wù)領(lǐng)域的拓展，目前已經(jīng)在企業(yè)網(wǎng)絡(luò)系統(tǒng)內(nèi)應(yīng)用的網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)（對網(wǎng)絡(luò)的傳輸性能要求很高的應(yīng)用系統(tǒng)）會(huì)隨著系統(tǒng)應(yīng)用規(guī)模的擴(kuò)大，為網(wǎng)絡(luò)系統(tǒng)帶來越來越大的數(shù)據(jù)傳輸壓力。以上兩種主要的因素，在很大程度上決定我們在防火墻選型設(shè)計(jì)時(shí)對產(chǎn)品的取舍。面向應(yīng)用系統(tǒng)的防火墻系統(tǒng)設(shè)計(jì)要求根據(jù)企業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的現(xiàn)狀以及未來系統(tǒng)的結(jié)構(gòu)發(fā)展，我們認(rèn)為著重考慮企業(yè)的B/S結(jié)構(gòu)應(yīng)用特點(diǎn)，是防火墻系統(tǒng)技術(shù)指標(biāo)設(shè)計(jì)的主要依據(jù)。眾所周知，防火

39、墻作為網(wǎng)絡(luò)設(shè)備，對網(wǎng)絡(luò)性能影響最為主要的是兩個(gè)參數(shù)指標(biāo)，一個(gè)是防火墻的TCP連接處理能力（并發(fā)會(huì)話處理數(shù)），另一個(gè)是防火墻對網(wǎng)絡(luò)數(shù)據(jù)流量的吞吐能力（帶寬參數(shù)）。B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)雖然具有管理簡單，客戶端開發(fā)、使用和維護(hù)的成本很低的優(yōu)點(diǎn)，但是在網(wǎng)絡(luò)上B/S結(jié)構(gòu)應(yīng)用系統(tǒng)將會(huì)給網(wǎng)絡(luò)帶來巨大的網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)處理壓力，而且是并發(fā)的。具體來說，B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上使用，會(huì)給網(wǎng)絡(luò)防火墻帶來數(shù)倍甚至數(shù)十倍于C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的并發(fā)TCP會(huì)話數(shù)量，而且這些會(huì)話絕大部分是包長很短的“垃圾”IP包。由此可見，在設(shè)計(jì)企業(yè)防火墻系統(tǒng)時(shí)，足夠大的TCP會(huì)話處理能力，是我們選擇防火墻（包括VPN）產(chǎn)品考慮的主要因素

40、。通過對各類防火墻的比較分析，我們認(rèn)為目前面向B/S結(jié)構(gòu)應(yīng)用的防火墻設(shè)備，硬件防火墻是最為明智的選擇。安全系統(tǒng)實(shí)現(xiàn)目標(biāo)根據(jù)上一章的需求分析，從網(wǎng)絡(luò)安全的技術(shù)手段而言，企業(yè)企業(yè)網(wǎng)的安全系統(tǒng)必須實(shí)現(xiàn)從Internet和廣域網(wǎng)進(jìn)入內(nèi)部資源網(wǎng)絡(luò)的數(shù)據(jù)被有效檢查和過濾、所有對內(nèi)部資源網(wǎng)絡(luò)的訪問可以被有效控制、移動(dòng)用戶從Internet進(jìn)入內(nèi)部網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)操作的通信和通過廣域網(wǎng)進(jìn)入內(nèi)部網(wǎng)的用戶通信必須加密、所有網(wǎng)絡(luò)訪問行為能夠被記錄和審計(jì)、非法訪問被預(yù)警和阻攔（條件允許時(shí)實(shí)施）、應(yīng)用系統(tǒng)平臺及數(shù)據(jù)可以被有效備份以抗擊災(zāi)難風(fēng)險(xiǎn)、用戶的身份的真實(shí)性認(rèn)證等幾方面的目標(biāo)。網(wǎng)絡(luò)基礎(chǔ)層安全系統(tǒng)建設(shè)目標(biāo)網(wǎng)絡(luò)層安全系統(tǒng)通

41、過防火墻系統(tǒng)（帶VPN功能）實(shí)現(xiàn)訪問控制、網(wǎng)絡(luò)信息檢查、通信加密、非法入侵檢測和攔截，異常情況告警和審計(jì)幾大功能目標(biāo)。Internet及Extranet進(jìn)出口控制在國際互聯(lián)網(wǎng)（Internet）和企業(yè)廣域網(wǎng)（Extranet）的進(jìn)出口，防火墻系統(tǒng)通過有效的策略選擇，可以阻斷有害的網(wǎng)絡(luò)數(shù)據(jù)和被禁止的數(shù)據(jù)源進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。從互聯(lián)網(wǎng)入口進(jìn)入企業(yè)網(wǎng)的用戶，可以被防火墻有效地進(jìn)行類別劃分，即區(qū)分為通過互聯(lián)網(wǎng)進(jìn)入內(nèi)部網(wǎng)的企業(yè)移動(dòng)用戶或外部的公共訪問者，對于要求進(jìn)入企業(yè)內(nèi)部網(wǎng)的訪問者進(jìn)行用戶的授權(quán)認(rèn)證，攔截沒有用戶權(quán)限的訪問者試圖進(jìn)入內(nèi)部網(wǎng)。對于通過Internet入口和廣域網(wǎng)入口進(jìn)入總部企業(yè)內(nèi)部網(wǎng)或分支

42、機(jī)構(gòu)內(nèi)部網(wǎng)的用戶，設(shè)置在網(wǎng)絡(luò)出入口的防火墻系統(tǒng)不僅可以對訪問者進(jìn)行能否被允許進(jìn)入的權(quán)限認(rèn)證，同時(shí)可以實(shí)現(xiàn)按照企業(yè)資源被訪問權(quán)限劃分的訪問路由控制。對于內(nèi)部或外部的本企業(yè)用戶而言，防火墻系統(tǒng)可以實(shí)現(xiàn)，企業(yè)各類資源的應(yīng)用系統(tǒng)在邏輯上進(jìn)行子網(wǎng)系統(tǒng)的劃分，即在技術(shù)上提供可以獨(dú)立選擇安全策略的虛擬系統(tǒng)劃分。VPN應(yīng)用VPN應(yīng)用是為網(wǎng)絡(luò)通信提供有效的信息加密手段。在企業(yè)企業(yè)網(wǎng)的VPN應(yīng)用中，采用三倍DES的加密技術(shù)，這是目前可以獲得的最先進(jìn)和實(shí)用的網(wǎng)絡(luò)通信加密技術(shù)手段。網(wǎng)絡(luò)的VPN應(yīng)用范圍包括移動(dòng)用戶的客戶機(jī)到企業(yè)網(wǎng)絡(luò)Internet出入口的防火墻、各分支機(jī)構(gòu)的廣域網(wǎng)出入口防火墻到集團(tuán)總部廣域網(wǎng)出入口防火

43、墻。防火墻系統(tǒng)的功能實(shí)現(xiàn)要求總結(jié)網(wǎng)絡(luò)層的安全保證是企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的最關(guān)鍵，因此在企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中，防火墻系統(tǒng)是整個(gè)系統(tǒng)的最重要組成部分，它將擔(dān)負(fù)完成大部分的安全服務(wù)（安全技術(shù)手段）實(shí)現(xiàn)和執(zhí)行的任務(wù)。傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)由于受設(shè)備功能和性能的限制，在網(wǎng)絡(luò)層（從物理層到傳輸層）很難全部由單一的防火墻或其他安全設(shè)備全部完成表1中提出的功能要求，所以系統(tǒng)的實(shí)施難度和費(fèi)用（包括設(shè)備、人力投入和管理成本）會(huì)比較驚人。但是在今天已經(jīng)出現(xiàn)了滿足網(wǎng)絡(luò)層全部應(yīng)用的、功能強(qiáng)大、性能優(yōu)異的防火墻產(chǎn)品，如NetScreen防火墻。為了使企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)簡化、建設(shè)成本降低，本建議書在網(wǎng)絡(luò)防火墻系統(tǒng)建設(shè)目標(biāo)方面，提

44、出了下表2的功能目標(biāo)要求。表2 防火墻系統(tǒng)實(shí)現(xiàn)功能目標(biāo)物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層認(rèn)證*訪問控制*數(shù)據(jù)保密*數(shù)據(jù)完整性*不可抵賴性審計(jì)*可用性*應(yīng)用輔助安全系統(tǒng)的建設(shè)目標(biāo)應(yīng)用系統(tǒng)的安全性主要在用戶和服務(wù)器間的雙向身份認(rèn)證以及信息和服務(wù)資源的訪問控制，具有審計(jì)和記錄機(jī)制，確保防止拒絕和防抵賴的防否認(rèn)機(jī)制。對于重要的主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)，在原有的靜態(tài)密碼認(rèn)證管理的基礎(chǔ)上，增加動(dòng)態(tài)密碼認(rèn)證管理系統(tǒng)，通過動(dòng)態(tài)的密碼方式實(shí)時(shí)不間斷地驗(yàn)證所有訪問這些系統(tǒng)用戶的真實(shí)身份。網(wǎng)絡(luò)安全系統(tǒng)的實(shí)施建議基于以上的規(guī)劃和分析，我們建議企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實(shí)現(xiàn)目的，分兩個(gè)步驟（兩期

45、）分別實(shí)現(xiàn)以下各個(gè)安全子系統(tǒng)：防火墻系統(tǒng)VPN系統(tǒng)動(dòng)態(tài)認(rèn)證系統(tǒng)系統(tǒng)設(shè)計(jì)的基本原則實(shí)用、先進(jìn)、可發(fā)展是安全系統(tǒng)設(shè)計(jì)的基本原則。本建議書設(shè)計(jì)的安全系統(tǒng)首先是滿足企業(yè)現(xiàn)有和可預(yù)見未來幾年內(nèi)的應(yīng)用要求；其次是考慮在投資增加很少的前提下，選擇目前可以提供最先進(jìn)技術(shù)手段的設(shè)備和系統(tǒng)方案；最后要考慮實(shí)現(xiàn)的安全系統(tǒng)面對應(yīng)用要有長遠(yuǎn)發(fā)展的能力。防火墻系統(tǒng)作為網(wǎng)絡(luò)出入口的內(nèi)外連接控制和網(wǎng)絡(luò)通信加密/解密設(shè)施，不僅需要有足夠的數(shù)據(jù)吞吐能力，如網(wǎng)絡(luò)物理接口的帶寬，也需要優(yōu)越的網(wǎng)絡(luò)連接的數(shù)據(jù)處理能力，例如并發(fā)連接數(shù)量和網(wǎng)絡(luò)連接會(huì)話處理能力等。以下的防火墻系統(tǒng)設(shè)計(jì)將根據(jù)這些原則合理的設(shè)計(jì)系統(tǒng)。本建議書將重點(diǎn)對防火墻系統(tǒng)（

46、包括VPN應(yīng)用系統(tǒng)）提出設(shè)計(jì)建議。安全系統(tǒng)實(shí)施步驟建議任何一個(gè)網(wǎng)絡(luò)應(yīng)用系統(tǒng)在實(shí)施和建設(shè)階段，在進(jìn)行應(yīng)用系統(tǒng)開發(fā)的同時(shí)，首先是考慮網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)。防火墻系統(tǒng)和VPN應(yīng)用系統(tǒng)作為現(xiàn)代網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)設(shè)施的重要部分，毫無疑問也是我們建設(shè)網(wǎng)絡(luò)安全系統(tǒng)首先需要構(gòu)架的系統(tǒng)。這也是我們建議企業(yè)網(wǎng)絡(luò)安全系統(tǒng)第一階段需要完成的系統(tǒng)建設(shè)部分。動(dòng)態(tài)認(rèn)證系統(tǒng)是對網(wǎng)絡(luò)用戶對具體的應(yīng)用系統(tǒng)或網(wǎng)絡(luò)資源訪問控制的一種加強(qiáng)手段。正如前面所分析，在防火墻配合的基礎(chǔ)上可以更加有效地發(fā)揮其作用；另一方面，動(dòng)態(tài)認(rèn)證系統(tǒng)是面向具體應(yīng)用的訪問控制輔助手段，系統(tǒng)的實(shí)施范圍和規(guī)模根據(jù)應(yīng)用系統(tǒng)的要求而決定。所以我們建議動(dòng)態(tài)認(rèn)證系統(tǒng)放在防火墻系統(tǒng)

47、實(shí)施完成后的第二階段來實(shí)施。同樣，漏洞掃描和入侵檢測系統(tǒng)作為防火墻系統(tǒng)的輔助系統(tǒng)，可以有效地提高防火墻系統(tǒng)發(fā)揮的安全保護(hù)作用；漏洞掃描和入侵檢測系統(tǒng)所發(fā)揮的作用，最終要靠防火墻系統(tǒng)的作用來體現(xiàn)，因?yàn)槁┒磼呙韬腿肭謾z測系統(tǒng)“檢查”和“偵測”得到的非法訪問和惡意攻擊，需要防火墻系統(tǒng)對其實(shí)施控制和攔截。所以建議也將漏洞掃描和入侵檢測系統(tǒng)放在防火墻系統(tǒng)建設(shè)完成后的第二階段實(shí)施。防火墻系統(tǒng)實(shí)施建議防火墻系統(tǒng)是在網(wǎng)絡(luò)基礎(chǔ)層以上（OSI/ISO網(wǎng)絡(luò)結(jié)構(gòu)模型的2至7層）提供主要的安全技術(shù)服務(wù)手段，如表2所示。這些安全服務(wù)包括了訪問認(rèn)證、訪問控制、信息流安全檢查、數(shù)據(jù)源點(diǎn)鑒別等技術(shù)手段。（注：在以下的防火墻系統(tǒng)

48、設(shè)計(jì)建議中，除特別進(jìn)行說明的功能或技術(shù)手段不能滿足設(shè)計(jì)要求以外，本建議書所有設(shè)計(jì)選擇的產(chǎn)品都是全部滿足表2和第三章提出的系統(tǒng)目標(biāo)之要求，在本方案文檔中將不再進(jìn)行所有功能的詳細(xì)技術(shù)實(shí)現(xiàn)說明。）在網(wǎng)絡(luò)邊界設(shè)置進(jìn)出口控制，可以防御外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡(luò)安全的第一道關(guān)卡，其重要性不言而喻。網(wǎng)絡(luò)防火墻系統(tǒng)從其設(shè)置的物理位置來說，最恰當(dāng)?shù)奈恢镁褪蔷W(wǎng)絡(luò)物理邊界的出入口。所以可以說，網(wǎng)絡(luò)安全系統(tǒng)最為關(guān)鍵的組成部分實(shí)際上是利用上述的各種技術(shù)手段，通過對網(wǎng)絡(luò)出入口的控制實(shí)現(xiàn)安全服務(wù)的目的。本建議書我們采用防火墻來對企業(yè)網(wǎng)絡(luò)的進(jìn)出口進(jìn)行控制，包括Internet進(jìn)出口控制和廣域網(wǎng)進(jìn)出口控制。Inte

49、rnet進(jìn)出口控制綿陽總部是整個(gè)企業(yè)的中心最重要網(wǎng)絡(luò)，通過廣域網(wǎng)鏈路連接分布在各地的分部，開展各種業(yè)務(wù)應(yīng)用，并采用專線連接互聯(lián)網(wǎng)獲取有用信息。從安全和管理角度考慮，建議只在總部設(shè)立一個(gè)Internet出口，各地分部統(tǒng)一通過總部訪問互聯(lián)網(wǎng)。（一）Internet接入結(jié)構(gòu)如下圖典型的企業(yè)應(yīng)用所示，總部在Internet出口設(shè)立防火墻系統(tǒng)。為避免單點(diǎn)故障，防火墻系統(tǒng)采取雙機(jī)模式構(gòu)建。每臺防火墻均提供4個(gè)網(wǎng)絡(luò)接口，分別連接Internet，中立區(qū)和內(nèi)部網(wǎng)絡(luò)兩臺中心交換機(jī)。來自Internet的光纖專線將通過一臺交換機(jī)與兩臺防火墻的外網(wǎng)口連接。中立區(qū)也需增加一臺交換機(jī)，用于連接兩臺防火墻的中立區(qū)口、WW

50、W服務(wù)器、郵件服務(wù)器等。（二）防火墻系統(tǒng)選型設(shè)計(jì)經(jīng)過對多家防火墻廠商設(shè)備的綜合比較，本建議書推薦采用NetScreen公司的防火墻產(chǎn)品。NetScreen國際有限公司（以下簡稱NetScreen公司）成立于1997年10月，總部位于美國加州硅谷。NetScreen Technologies以業(yè)界領(lǐng)先的防火墻/虛擬專用網(wǎng)絡(luò)（VPN）解決建議書，加強(qiáng)互聯(lián)網(wǎng)的安全能力。NetScreen專門開發(fā)基于ASIC的互聯(lián)網(wǎng)安全系統(tǒng)及設(shè)備，為互聯(lián)網(wǎng)數(shù)據(jù)中心、服務(wù)供應(yīng)商及企業(yè)提供高性能防火墻、虛擬專用網(wǎng)及網(wǎng)絡(luò)流量的監(jiān)控功能。這種全面安全解決建議書為客戶帶來高性能、易于升級和管理的優(yōu)點(diǎn)，在業(yè)內(nèi)累獲大獎(jiǎng)。NetSc

51、reen 的每一種硬件安全系統(tǒng)和設(shè)備，均具備防火墻、VPN和流量控制三種功能，其高性能表現(xiàn)備受贊揚(yáng)。Infonetics Resear企業(yè)的“VPN產(chǎn)品市場占有率報(bào)告”顯示，NetScreen主導(dǎo)千兆比特級防火墻市場，也在VPN產(chǎn)品市場高踞領(lǐng)導(dǎo)地位。NetScreen的突破性ASIC安全解決建議書，實(shí)現(xiàn)線速處理數(shù)據(jù)包處理，并充分利用其帶寬，避免了傳統(tǒng)類產(chǎn)品的瓶頸問題。我們設(shè)計(jì)企業(yè)Internet出口處采用兩臺組成雙機(jī)模式的NetScreen防火墻（以NetScreen204為例）。NetScreen204防火墻吞吐量高達(dá)400Mbps，提供4個(gè)100M接口，128000鏈接數(shù)，200Mbps

52、VPN處理能力，支持透明模式、雙機(jī)備份、負(fù)載均衡、圖形管理等，流量控制功能為網(wǎng)絡(luò)管理員提供了全部監(jiān)測和管理網(wǎng)絡(luò)的信息，諸如DMZ，服務(wù)器負(fù)載平衡和帶寬優(yōu)先級設(shè)置等先進(jìn)功能，使NetScreen獨(dú)樹一幟。其詳細(xì)特點(diǎn)如下：提供了防火墻的全部安全功能（如防止拒絕服務(wù)攻擊，Java/ActiveX/Zip過濾，防IP地址欺騙）并結(jié)合了包過濾、鏈路過濾和應(yīng)用代理服務(wù)器等技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）：隱藏內(nèi)部的IP地址 動(dòng)態(tài)訪問過濾(Dynamic Filter) ：自適應(yīng)網(wǎng)絡(luò)服務(wù)保護(hù) URL地址的限定：限制站點(diǎn)的訪問，過濾不需要的網(wǎng)站 用戶認(rèn)證(Authentication)：只允許有授權(quán)的訪問 符合IP

53、Sec：可與其他廠家的設(shè)備交互操作 IKE密鑰管理：保證密鑰交換 DES和三級DES：最高等級的加密、解密 流量帶寬控制及優(yōu)先級設(shè)置：按您的需求管理流量 負(fù)載平衡能力：管理服務(wù)器群( Server Farms) 虛擬IP：將內(nèi)部服務(wù)器映射為可路由地址 實(shí)時(shí)日志及報(bào)警紀(jì)錄：實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)狀態(tài) 透明的，無IP地址設(shè)置：無須更改任何路由器及主機(jī)配置 自帶Web服務(wù)器：方便地通過流行的瀏覽器進(jìn)行管理 圖形界面：可關(guān)閉遠(yuǎn)程的管理方式，只用本地的、安全的管理 SNMP管理方式：通過網(wǎng)絡(luò)管理軟件管理 命令行界面：支持批處理方式及通過調(diào)制解調(diào)器的備用渠道進(jìn)行控制 兩臺NetScreen防火墻（500/1000，

54、2002年7月份后100/200也支持）采取雙機(jī)熱備方式工作，任何一臺防火墻出現(xiàn)故障，其任務(wù)由另一臺防火墻自動(dòng)接管，避免單點(diǎn)故障造成企業(yè)無法上網(wǎng)的情況發(fā)生，保證網(wǎng)絡(luò)的無間斷運(yùn)行。企業(yè)的Internet應(yīng)用除了瀏覽互聯(lián)網(wǎng)和WWW發(fā)布外，外出員工對公司的訪問也將通過Internet進(jìn)行。為允許合法用戶訪問公司網(wǎng)絡(luò)，同時(shí)確保通過Internet進(jìn)行的業(yè)務(wù)應(yīng)用的安全性，我們建議采取VPN通訊方式。利用NetScreen防火墻的VPN功能，終端工作站安裝NetScreen-Remote軟件或者利用WIN2000操作系統(tǒng)對VPN的支持，可以實(shí)現(xiàn)企業(yè)遠(yuǎn)程辦公的安全需求。NetScreen-Remote是一種

55、在用戶主機(jī)（桌面或筆記本電腦）上運(yùn)行的軟件，簡化了對網(wǎng)絡(luò)、設(shè)備或公共或非信任網(wǎng)絡(luò)中其它主機(jī)的安全遠(yuǎn)程接入。通過采用IPSec協(xié)議和第二層通道協(xié)議L2TP，并以證書作為額外的選項(xiàng)，可以實(shí)現(xiàn)安全性。為了構(gòu)建安全的通信通道，必須把這一軟件與IPSec網(wǎng)關(guān)結(jié)合使用（如NetScreen家族安全設(shè)備），或與運(yùn)行IPSec兼容軟件的另一臺主機(jī)結(jié)合使用（如NetScreen-Remote）。NetScreen-Remote支持Windows 95, 98, NT, 2000系統(tǒng)。廣域網(wǎng)進(jìn)出口控制企業(yè)具有多個(gè)地理上分散的分部，各分部和總部之間租用電信專線互聯(lián)，形成以總部為中心的集團(tuán)廣域網(wǎng)。分散的企業(yè)給網(wǎng)絡(luò)安全

56、管理造成了一定的難度，而且企業(yè)內(nèi)部攻擊的成功可能性遠(yuǎn)大于外部攻擊，造成的危害更嚴(yán)重，因此全方位的網(wǎng)絡(luò)保護(hù)是不僅防外，還應(yīng)防內(nèi)。企業(yè)內(nèi)部防范主要是確?？偛亢透鞴镜陌踩?，加強(qiáng)廣域網(wǎng)的進(jìn)出口控制，我們建議在總部及各分部的廣域網(wǎng)出口處配備防火墻來加強(qiáng)內(nèi)部網(wǎng)絡(luò)保護(hù)，見下圖。該防火墻系統(tǒng)起到防御內(nèi)部攻擊、阻止入侵行為進(jìn)一步擴(kuò)大升級的作用，避免某段網(wǎng)絡(luò)范圍內(nèi)發(fā)生的入侵破壞擴(kuò)大至整個(gè)企業(yè)網(wǎng)絡(luò)，把來自內(nèi)部攻擊造成的破壞減低到最低程度，保護(hù)其它網(wǎng)絡(luò)部分的正常工作。根據(jù)企業(yè)升級后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，廣域網(wǎng)鏈路和設(shè)備都具備了較強(qiáng)的冗余備份能力，總部的路由器和中心交換機(jī)配置均采取了雙機(jī)熱備方式?？紤]到總部的廣域網(wǎng)防火墻是

57、位于路由器和中心交換機(jī)之間，所以也必需做冗余配置，否則會(huì)成為廣域網(wǎng)設(shè)備中的單點(diǎn)故障點(diǎn)，使路由器和中心交換機(jī)所做的備份措施失去意義。企業(yè)廣域網(wǎng)存在ERP、VoIP、視頻會(huì)議等各種高帶寬應(yīng)用，特別總部是整個(gè)企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)中心，進(jìn)出的信息流量龐大，推薦采用兩臺處理性能很強(qiáng)的NetScreen500防火墻，實(shí)現(xiàn)冗余備份（Active-Active方式）和負(fù)載均衡。每臺防火墻基本配置含4個(gè)100M或1000M端口，分別連接兩臺路由器和兩臺中心交換機(jī)。NetScreen-500是一個(gè)高性能、高度可靠、高度冗余的平臺。NetScreen-500擁有750M線速處理能力，250M的3DES VPN流量，強(qiáng)健的

58、攻擊防范功能。為了滿足高性能要求，NetScreen-500設(shè)計(jì)時(shí)采用了定制的專用千兆級ASIC，提供了加速加密和策略查找功能。此外，它使用兩條處理總線，把管理流量與流經(jīng)系統(tǒng)的流量分隔開來。這可以防止高可性流量和其它管理流量影響吞吐量性能。NetScreen-500特別適合帶寬要求高的大型企業(yè)環(huán)境。NetScreen-500技術(shù)參數(shù) 性能并發(fā)會(huì)話250000，每秒的新會(huì)話數(shù)22000，防火墻性能700Mbps，三倍DES（168位）250Mbps，策略20000，時(shí)間表256 攻擊檢測同步攻擊,ICMP flood檢測(門限可選),UDP flood泛濫檢測(門限可選),檢測死ping,檢測I

59、P欺騙,檢測端口掃描,檢測陸地攻擊,檢測撕毀攻擊,過濾IP源路由,選項(xiàng)檢測IP地址掃描攻擊,檢測WinNuke攻擊,Java/ActiveX/Zip/EXE,默認(rèn)分組拒絕,DoS、DDoS保護(hù) 防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換，透明模式，實(shí)時(shí)狀態(tài)的監(jiān)測，實(shí)時(shí)報(bào)警，日志 VPN10000條專用隧道，手動(dòng)密鑰、IKE、PKI (X.509)，DES(56位)和3DES(168位)，完全正向保密（DH群組）（1，2，5），防止回復(fù)攻擊，遠(yuǎn)程接入VPN，站點(diǎn)間VPN，星形（輪軸和輪輻）VPN網(wǎng)絡(luò)拓?fù)洌琇2TP 流量控制有保障的帶寬，最大帶寬，優(yōu)先使用帶寬，DiffServ標(biāo)記 系統(tǒng)管理WebUI (HTTP 和 H

60、TTPS),命令行界面(控制臺),命令行界面(telnet),安全命令外殼(兼容ssh v1),所有管理均經(jīng)過任何接口上的VPN隧道基于Web界面配置，多點(diǎn)管理可通過NetScreen的Global Manager集中管理 虛擬系統(tǒng)虛擬系統(tǒng)最大數(shù)量25個(gè)，支持100個(gè)VLAN 工作模式透明模式（所有接口）,路由模式,NAT,PAT,VIP4個(gè),MIP256個(gè),IP路由-靜態(tài)路由256個(gè),基于策略的NAT,不限制每個(gè)端口的用戶數(shù) 高可用性 （HA）高可用性（HA）,防火墻和VPN會(huì)話保護(hù),設(shè)備故障檢測,鏈路故障檢測,故障切換網(wǎng)絡(luò)通知 管 理20個(gè)管理員，遠(yuǎn)程管理員數(shù)據(jù)庫，管理網(wǎng)絡(luò)6個(gè)，根管理、管