網(wǎng)絡(luò)安全-防火墻-綜合布線-vpn本科學(xué)位論文

PAGE5PAGE7摘要隨著網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展,Internet的安全,包括其上的信息數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備服務(wù)的運(yùn)行安全,日益成為與國(guó)家、政府、企業(yè)、個(gè)人的利益休戚相關(guān)的"大事情"。從企業(yè)角度來(lái)說(shuō),安全保障能力是新世紀(jì)一個(gè)企業(yè)實(shí)力、競(jìng)爭(zhēng)力和生存能力的重要組成部分。在Internet應(yīng)用迅速普及發(fā)展的今天,企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)接入Internet獲取資源,提供信息是一種廣泛的應(yīng)用模式。此時(shí)，如何保護(hù)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)資源不受外部非法侵襲是一個(gè)嚴(yán)肅、重要的課題。本文列舉浙江銀輪機(jī)械有限公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的Internet訪問(wèn)安全核心Cisco公司的PIX515防火墻,介紹如何使用防火墻提供的安全策略,構(gòu)筑一般企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)Internet應(yīng)用的安全體系。具體內(nèi)容分為如下五個(gè)章節(jié)來(lái)說(shuō)明：第一章介紹了設(shè)計(jì)背景，包括防火墻技術(shù)的發(fā)展現(xiàn)狀以及防火墻在網(wǎng)絡(luò)中的作用。第二章是防火墻的需求分析，指出了企業(yè)的業(yè)務(wù)、安全性、通信流量、以及管理的需求。第三章描述了防火墻的設(shè)計(jì)，包括防火墻工作原理、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及安全策略。第四章是防火墻的配置，闡述了防火墻各功能的實(shí)現(xiàn)，詳述如何實(shí)現(xiàn)包過(guò)濾和NAT功能。第五章是網(wǎng)絡(luò)安全措施設(shè)計(jì)。關(guān)鍵詞：網(wǎng)絡(luò)安全防火墻綜合布線VPN目錄摘要 1目錄 2第1章防火墻設(shè)計(jì)背景 41.1防火墻概論 41.1.1網(wǎng)絡(luò)安全定義 41.1.2防火墻在網(wǎng)絡(luò)中的作用 51.2防火墻發(fā)展歷史和現(xiàn)狀 5第2章企業(yè)需求分析 72.1應(yīng)用背景 72.2業(yè)務(wù)需求 72.3管理需求 82.4安全性需求 92.5通信量需求 102.6網(wǎng)絡(luò)可擴(kuò)展性需求 11第3章防火墻規(guī)劃及設(shè)計(jì) 123.1PIX防火墻的工作原理 123.1.1數(shù)據(jù)包如何通過(guò)防火墻 123.1.2轉(zhuǎn)換內(nèi)部地址 123.2防火墻的體系結(jié)構(gòu) 123.2.1屏蔽路由器 123.2.2雙穴主機(jī)網(wǎng)關(guān) 133.2.3被屏蔽主機(jī)網(wǎng)關(guān) 133.2.4被屏蔽子網(wǎng) 133.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 143.3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 143.3.2網(wǎng)絡(luò)安全策略 15第4章企業(yè)防火墻配置 184.1防火墻的選擇 184.1.1設(shè)置防火墻的要素 184.1.2防火墻在大型網(wǎng)絡(luò)系統(tǒng)中的部署 184.1.3防火墻的局限 194.2防火墻安裝 194.2.1防火墻的安裝 194.2.2防火墻升級(jí)包安裝過(guò)程 254.3VPN 284.3.1VPN工作原理 284.3.2封裝安全載荷ESP 294.3.3防火墻中的VPN的實(shí)現(xiàn) 29第5章企業(yè)安全策略的設(shè)計(jì)與實(shí)施 345.1物理安全控制 345.2基礎(chǔ)設(shè)施和數(shù)據(jù)完整性 345.3安全策略驗(yàn)證與監(jiān)控目的 345.4安全意識(shí)培訓(xùn) 35結(jié)論 36參考文獻(xiàn) 37致謝 38第1章防火墻設(shè)計(jì)背景1.1防火墻概論1.1.1網(wǎng)絡(luò)安全定義安全的定義是：遠(yuǎn)離危險(xiǎn)的狀態(tài)或特征，為防范間諜活動(dòng)或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。網(wǎng)絡(luò)安全的根本目的就是防止通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)男畔⒈环欠ㄊ褂?。有時(shí)網(wǎng)絡(luò)信息安全的不利影響甚至遠(yuǎn)超過(guò)信息共享所帶來(lái)的巨大利益。一個(gè)有效的安全計(jì)劃包括安全意識(shí)、防止、檢測(cè)、管理和響應(yīng)以使危險(xiǎn)降低至最小。完美的安全是不存在的，有決心、持之以恒的攻擊者可以找到欺騙或繞開(kāi)任何安全措施的方法。網(wǎng)絡(luò)安全是一種減少漏洞和管理危險(xiǎn)的方法。安全是一個(gè)連續(xù)的過(guò)程，包括保護(hù)階段、檢測(cè)階段、分析階段、管理階段和恢復(fù)階段。分析安全需求是，首先要明確的是要保護(hù)的財(cái)產(chǎn)以及它們的價(jià)值大小，確定可能會(huì)破壞這些財(cái)產(chǎn)的威脅，以及威脅發(fā)生的可能性。檢測(cè)分析指通過(guò)監(jiān)視并記錄網(wǎng)絡(luò)和系統(tǒng)的狀態(tài)信息，通過(guò)分析這些線索與狀態(tài)以便能識(shí)別出一次攻擊。通常使用入侵檢測(cè)系統(tǒng)來(lái)觀察網(wǎng)絡(luò)通信量。恢復(fù)和保護(hù)一樣重要，用來(lái)從入侵和攻擊中恢復(fù)的有計(jì)劃的響應(yīng)是網(wǎng)絡(luò)安全所必須的一部分，安全管理需要協(xié)調(diào)與計(jì)劃。網(wǎng)絡(luò)安全是一件復(fù)雜的任務(wù)，安全性與安全鏈中最薄弱的環(huán)節(jié)密切相關(guān)，安全策略一致性是至關(guān)重要的?？捎眯浴⑼暾?、機(jī)密性是網(wǎng)絡(luò)安全的基本要求?？捎眯允强杀皇跈?quán)實(shí)體訪問(wèn)并按要求使用的特性。可用性確保了信息和服務(wù)在需要時(shí)可以被訪問(wèn)并能工作。冗余、容錯(cuò)、可靠性、自動(dòng)故障度越、備份、恢復(fù)、彈性和負(fù)載平衡是網(wǎng)絡(luò)設(shè)計(jì)中確保可用性是用到的概念。如果系統(tǒng)不可用，那么完整性和機(jī)密性無(wú)從談起。拒絕服務(wù)（DenialofService，DOS）攻擊的目的是攻擊網(wǎng)絡(luò)和服務(wù)器的可用性。完整性指確保信息完整、精確、可信。對(duì)于網(wǎng)絡(luò)的完整性，指確保收到的消息與發(fā)送的消息是相同的，消息內(nèi)容沒(méi)有被修改。機(jī)密性用于保護(hù)敏感信息免受未被授權(quán)的暴露或可以理解的截取。加密和訪問(wèn)控制用于保護(hù)機(jī)密性。1.1.2防火墻在網(wǎng)絡(luò)中的作用一般來(lái)說(shuō)，防火墻是一種位于網(wǎng)絡(luò)上的安全機(jī)制，通過(guò)實(shí)施一個(gè)或一組訪問(wèn)控制策略以保護(hù)資源不受其他網(wǎng)絡(luò)和個(gè)人破壞。它在內(nèi)部網(wǎng)絡(luò)（專(zhuān)用網(wǎng)絡(luò)）與外部網(wǎng)絡(luò)（共用網(wǎng)絡(luò)）之間形成一道安全屏障，以防止非法用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息，同時(shí)也防止這類(lèi)非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)的運(yùn)行遭到破壞。防火墻在內(nèi)部也用于控制對(duì)特定部門(mén)或資源的訪問(wèn)。如果在網(wǎng)絡(luò)的邊界沒(méi)有訪問(wèn)控制，則網(wǎng)絡(luò)的安全性完全依賴(lài)于適當(dāng)?shù)呐渲眉皢蝹€(gè)主機(jī)和服務(wù)器的安全性。在一定意義上所有主機(jī)系統(tǒng)必須通過(guò)協(xié)作來(lái)實(shí)現(xiàn)均勻一致的高級(jí)安全性。如果這樣，對(duì)于有上百個(gè)設(shè)備需要被配置的網(wǎng)絡(luò)的管理將是不可能的。防火墻的基本思想不是對(duì)單個(gè)設(shè)備進(jìn)行保護(hù)，而是讓所有的訪問(wèn)通過(guò)某一點(diǎn)，并對(duì)這一點(diǎn)進(jìn)行保護(hù)，并盡可能地對(duì)外界屏蔽保護(hù)網(wǎng)絡(luò)的信息和結(jié)構(gòu)。使用防火墻有助于提高網(wǎng)絡(luò)總體安全性。如圖1-1所示，防火墻處于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，所有數(shù)據(jù)包都要經(jīng)過(guò)防火墻的審查，使內(nèi)部網(wǎng)絡(luò)多了一道安全屏障。因特網(wǎng)防火墻內(nèi)部網(wǎng)絡(luò)圖1-1Internet上的防火墻結(jié)構(gòu)1.2防火墻發(fā)展歷史和現(xiàn)狀按照防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)的處理方法，大致可以將防火墻分為兩大體系：包過(guò)濾防火墻和代理防火墻（應(yīng)用層網(wǎng)關(guān)防火墻）。從發(fā)展歷史來(lái)看，經(jīng)過(guò)了四個(gè)階段。第一階段的防火墻為基于路由器的防火墻。防火墻與路由器一體，利用路由器本身對(duì)分組解析，過(guò)濾判決的依據(jù)可是是地址、端口號(hào)等其他網(wǎng)絡(luò)特征。第一代防火墻產(chǎn)品不足之處很明顯：它僅有包過(guò)濾的功能；而且由于路由器的主要功能是為網(wǎng)絡(luò)提供動(dòng)態(tài)的、靈活的路由，而防火墻則要對(duì)訪問(wèn)行為實(shí)施靜態(tài)的固定的控制，這是一對(duì)難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能；且十分靈活的路由協(xié)議，本身具有安全漏洞。基于路由器的防火墻只是網(wǎng)絡(luò)安全的一種應(yīng)急措施。第二階段的防火墻是用戶(hù)化的防火墻工具套。將過(guò)濾功能從路由器中獨(dú)立出來(lái)，并加上審計(jì)和告警功能，用戶(hù)可針對(duì)需求自己動(dòng)手構(gòu)造防火墻，這種用戶(hù)化的防火墻工具套,雖然較第一代防火墻安全性提高了、價(jià)格降低了，但由于是純軟件產(chǎn)品，在實(shí)現(xiàn)、維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，使用中出現(xiàn)差錯(cuò)的情況很多，而且全軟件的實(shí)現(xiàn)使得安全性和處理速度均有局限。第三階段的防火墻產(chǎn)品建立在通用操作系統(tǒng)之上。它包括分組過(guò)濾功能，裝有專(zhuān)用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令，保護(hù)用戶(hù)編程和用戶(hù)可配置內(nèi)核參數(shù)的配置，安全性和速度大為提高。第三代防火墻有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)，但隨著安全需求的變化和使用時(shí)間的推延，仍表現(xiàn)出不少問(wèn)題：作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為管理者所知，原碼的保密使得安全性無(wú)從保證，通用操作系統(tǒng)廠商通常不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé)，從本質(zhì)上看，防火墻既要防止來(lái)自外部網(wǎng)絡(luò)的攻擊，還要防止來(lái)自操作系統(tǒng)廠商的攻擊，用戶(hù)必須依賴(lài)兩方面的安全支持：一是防火墻廠商、一是操作系統(tǒng)廠商。防火墻技術(shù)和產(chǎn)品隨著網(wǎng)絡(luò)攻擊和安全防護(hù)手段的發(fā)展而演進(jìn)，到1997年初，具有安全操作系統(tǒng)的防火墻產(chǎn)品面市，使防火墻產(chǎn)品步入了第四個(gè)發(fā)展階段。具有安全操作系統(tǒng)的防火墻本身就是一個(gè)操作系統(tǒng)，因而在安全性上較之第三代防火墻有質(zhì)的提高。第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)與功能。1.雙端口或三端口的結(jié)構(gòu)2.透明的訪問(wèn)方式3.靈活的代理系統(tǒng)4.多級(jí)的過(guò)濾技術(shù)5.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) 6.Internet網(wǎng)關(guān)技術(shù)7.安全服務(wù)器網(wǎng)絡(luò)（SSN）8.用戶(hù)鑒別與加密9.用戶(hù)定制服務(wù)10.審計(jì)和告警第2章企業(yè)需求分析2.1應(yīng)用背景浙江銀輪機(jī)械股份有限公司是一家創(chuàng)建于1998年的省批股份制企業(yè)，前身浙江天臺(tái)機(jī)械廠。公司由油冷器制造分廠、鋁散熱器制造分廠、總成制造分廠、配件制造分廠、上海銀暢國(guó)際貿(mào)易公司、上海神天散熱器公司、上海創(chuàng)斯達(dá)交換器公司組成。公司位于風(fēng)景秀麗的佛教勝地、國(guó)家一級(jí)風(fēng)景區(qū)天臺(tái)山麓?，F(xiàn)有員工536人，其中工程技術(shù)人員105人，公司主要生產(chǎn)各種散熱器，機(jī)械產(chǎn)品,多功能沖抓式造孔機(jī)，離心機(jī)等。目前是國(guó)內(nèi)機(jī)油冷卻器、空氣冷卻器產(chǎn)品生產(chǎn)規(guī)模最大、品種規(guī)格最多和測(cè)試設(shè)備最齊全的散熱器專(zhuān)業(yè)生產(chǎn)廠家。1994年產(chǎn)品進(jìn)入美國(guó)售后市場(chǎng)，開(kāi)始參與全球競(jìng)爭(zhēng)。1998年：由職工入股，企業(yè)成功由國(guó)有改制為民營(yíng)股份制。2001年：產(chǎn)品進(jìn)入美國(guó)OEM市場(chǎng)，商務(wù)、物流和新品開(kāi)發(fā)程序開(kāi)始與國(guó)際接軌。與美國(guó)等較早開(kāi)展信息化建設(shè)的國(guó)家相比,中國(guó)的信息化建設(shè)相對(duì)滯后一些.為了增強(qiáng)自身的市場(chǎng)競(jìng)爭(zhēng)能力，提高企業(yè)自身的信息化程度，國(guó)家信息產(chǎn)業(yè)部領(lǐng)導(dǎo)在接受記者采訪時(shí),再三強(qiáng)調(diào)“信息化這個(gè)東西不是可有可無(wú)的,而是勢(shì)必行,如果不搞信息化,就將被市場(chǎng)淘汰?！闭憬y輪機(jī)械股份有限公司信息化建設(shè)目的為了增強(qiáng)企業(yè)的核心競(jìng)爭(zhēng)力,實(shí)現(xiàn)利潤(rùn)最大化,提高經(jīng)濟(jì)效益和保證持續(xù)發(fā)展,為了充分發(fā)揮信息資源的作用,需要對(duì)企業(yè)的信息資源進(jìn)行整體部署。因此，建設(shè)企業(yè)網(wǎng)絡(luò)工程是信息化建設(shè)方面的緊迫任務(wù)，是企業(yè)可持續(xù)發(fā)展的重要保證之一。通過(guò)這樣的通信系統(tǒng)工程，企業(yè)可以提高通信效率，降低通信成本，從而提高生產(chǎn)效率，降低運(yùn)作成本，提升其自身的競(jìng)爭(zhēng)力。2.2業(yè)務(wù)需求業(yè)務(wù)需求的分析目標(biāo)是明確企業(yè)的業(yè)務(wù)類(lèi)型,應(yīng)用系統(tǒng)軟件種類(lèi),以及它們對(duì)網(wǎng)絡(luò)功能指標(biāo)(如帶寬,服務(wù)質(zhì)量QOS)的要求.業(yè)務(wù)需求是企業(yè)建網(wǎng)中的首要環(huán)節(jié),是進(jìn)行網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的基本依據(jù)。通過(guò)對(duì)浙江銀輪機(jī)械股份有限公司的實(shí)地考察,和對(duì)公司的負(fù)責(zé)人交流,以及問(wèn)卷調(diào)查的方式,通常對(duì)數(shù)量較多的最終用戶(hù)提問(wèn),詢(xún)問(wèn)其對(duì)將要建設(shè)的網(wǎng)絡(luò)應(yīng)用的要求,公司要實(shí)現(xiàn)企業(yè)內(nèi)部辦公網(wǎng)絡(luò)，上面運(yùn)行的應(yīng)用包括Internet連接共享、傳真、電子郵件、企業(yè)辦公消息管理等。企業(yè)內(nèi)部辦公網(wǎng)絡(luò)的核心問(wèn)題是在保證日常辦公效率的基礎(chǔ)上，如何進(jìn)一步的提高安全性和可監(jiān)控性。企業(yè)內(nèi)部辦公網(wǎng)絡(luò)應(yīng)該考慮的功能需求如下：1、網(wǎng)絡(luò)安全保護(hù)。包括企業(yè)級(jí)防火墻和企業(yè)級(jí)的反病毒軟件，防范病毒和黑客的攻擊。2、網(wǎng)絡(luò)管理監(jiān)控。提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的可管理性，明確每個(gè)部門(mén)或人員的職責(zé)和權(quán)限，控制公司業(yè)務(wù)的關(guān)鍵環(huán)節(jié)。3、網(wǎng)絡(luò)服務(wù)器。需要有專(zhuān)用的服務(wù)器，作為反病毒軟件和網(wǎng)絡(luò)管理監(jiān)控軟件或其他應(yīng)用的主控服務(wù)器。4、Email辦公。公司業(yè)務(wù)Email文件可以在相關(guān)的部門(mén)和人員之間快速流轉(zhuǎn)。收發(fā)Email時(shí)，文件必須經(jīng)過(guò)主管部門(mén)的監(jiān)控和轉(zhuǎn)發(fā)，普通人員將在受監(jiān)控的狀態(tài)下面和公司客戶(hù)通信。5、Fax辦公。收發(fā)Fax時(shí)，圖片可以通過(guò)網(wǎng)絡(luò)辦公系統(tǒng)自由分發(fā)，而無(wú)需打印和手工傳遞。同時(shí)，F(xiàn)ax內(nèi)容和傳遞過(guò)程需要記錄日志，以備追溯。6、Internet連接共享。試用Internet連接共享時(shí)，需要控制不同權(quán)限的員工使用Internet的方式和范圍。限制普通員工利用公司網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)無(wú)關(guān)的活動(dòng)。7、VPN連接VPN安全策略包括：身份認(rèn)證，完整性，機(jī)密性，可用性以及審計(jì)功能。8、視頻服務(wù)根據(jù)上網(wǎng)用戶(hù)數(shù)據(jù)流量，主干網(wǎng)采用千兆以太網(wǎng)，在匯聚層干線上采用百兆，接入層十兆/百兆到桌面。2.3管理需求網(wǎng)絡(luò)的管理是企業(yè)建網(wǎng)不可缺少的方面，網(wǎng)絡(luò)是否按照設(shè)計(jì)目標(biāo)提供穩(wěn)定的服務(wù)主要依靠有效的網(wǎng)絡(luò)管理，高效的管理策略能提高網(wǎng)絡(luò)的運(yùn)營(yíng)效率。針對(duì)本企業(yè)的業(yè)務(wù)特點(diǎn)及目前企業(yè)建設(shè)的實(shí)際情況，提供一種對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行規(guī)劃、設(shè)計(jì)、操作、運(yùn)行、管理、監(jiān)視、分析、控制、評(píng)估和擴(kuò)展等手段，從而以合理的代價(jià)，組織和利用系統(tǒng)資源，提供正常、安全、可靠、有效、充分、用戶(hù)友好的服務(wù)。需要對(duì)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理，遠(yuǎn)程管理可以幫助網(wǎng)絡(luò)管理員利用遠(yuǎn)程控制軟件管理網(wǎng)絡(luò)設(shè)備，使網(wǎng)管工作更方便，更高效。所有的網(wǎng)絡(luò)管理由公司的網(wǎng)絡(luò)管理員統(tǒng)一負(fù)責(zé)。由于本公司的業(yè)務(wù)對(duì)象都是內(nèi)部用戶(hù)，所以就不需要承擔(dān)記費(fèi)功能。在網(wǎng)絡(luò)管理中，必須實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的配置，運(yùn)行狀態(tài)等管理，實(shí)現(xiàn)網(wǎng)絡(luò)故障診斷，安全管理，流量控制以及路由選擇策略等。在網(wǎng)絡(luò)管理方面，采用網(wǎng)管軟件EasyTuch40forWindows，網(wǎng)絡(luò)監(jiān)控軟件HammerView-Enhanced-WIN。依據(jù)性能的可靠性，穩(wěn)定性，高智能，高安全等特性，交換機(jī)和路由器網(wǎng)絡(luò)設(shè)備采用港灣網(wǎng)絡(luò)有限公司推出的BigHammer6800系列核心智能多層交換機(jī)。該設(shè)備交換容量最高可達(dá)1.92Tbps。BigHammer6800支持高密度萬(wàn)兆、千兆、百兆端口，同時(shí)還支持POS等廣域網(wǎng)接口；支持IPv6、MPLS、VPN、策略路由、用戶(hù)認(rèn)證、NAT等特性；并且支持高達(dá)1M容量的路由表。BigHammer6800交換機(jī)內(nèi)置硬件防火墻模塊支持安全分區(qū)策略，從而為用戶(hù)構(gòu)建高性能、高安全、多業(yè)務(wù)的IP網(wǎng)絡(luò)提供一個(gè)優(yōu)秀的萬(wàn)兆應(yīng)用中心。配合港灣自主開(kāi)發(fā)的EasyTouch統(tǒng)一網(wǎng)管平臺(tái)和HammerView圖形界面管理系統(tǒng)，可以實(shí)現(xiàn)分級(jí)分權(quán)管理、日志管理、性能管理、VLAN管理、手機(jī)短信告警等等智能化管理手段。支持SNMPv3、SSH，滿(mǎn)足網(wǎng)管協(xié)議對(duì)安全的要求。智能ASIC技術(shù)配合策略網(wǎng)管執(zhí)行，對(duì)應(yīng)用數(shù)據(jù)流的優(yōu)先級(jí)劃分和帶寬調(diào)度，滿(mǎn)足不同應(yīng)用業(yè)務(wù)對(duì)服務(wù)質(zhì)量的不同要求。除此之外還需要采用跟蹤技術(shù)，在跟蹤各種系統(tǒng)信息時(shí)，記錄時(shí)間是非常重要的。2.4安全性需求隨著近年來(lái)網(wǎng)絡(luò)安全事件不斷地發(fā)生，安全問(wèn)題也已成為IT業(yè)的一個(gè)熱點(diǎn)，安全問(wèn)題對(duì)于企業(yè)的發(fā)展也越來(lái)越重要。安全問(wèn)題已經(jīng)成為影響企業(yè)業(yè)務(wù)平臺(tái)的穩(wěn)定性和業(yè)務(wù)的正常提供的一個(gè)問(wèn)題，所以提升企業(yè)自身的安全性也已經(jīng)成為企業(yè)增強(qiáng)企業(yè)競(jìng)爭(zhēng)力的重要方面之一。敏感性數(shù)據(jù)主要分布在，總經(jīng)理辦公室有5個(gè)，國(guó)內(nèi)市場(chǎng)部20個(gè)，國(guó)外市場(chǎng)部20個(gè)，工程部50個(gè)，制造部40個(gè)，財(cái)務(wù)部20個(gè)，采購(gòu)部30個(gè)，人力資源部10個(gè)，企管信息部20個(gè)，質(zhì)量保證部10個(gè)，投資發(fā)展部10個(gè)，計(jì)算機(jī)中心5個(gè)。在每一個(gè)數(shù)據(jù)的分部點(diǎn)上，劃分各個(gè)部門(mén)的虛擬局域網(wǎng)，設(shè)置每個(gè)用戶(hù)的不同權(quán)限及安全級(jí)別?？赡茉跀?shù)據(jù)的存儲(chǔ)和傳輸過(guò)程中，數(shù)據(jù)的機(jī)密性，可用性得不到有效的安全保護(hù)，即使是這樣，發(fā)生數(shù)據(jù)的泄露，對(duì)本系統(tǒng)的全局影響沒(méi)有多大。在保障數(shù)據(jù)安全性方面，首先要做到物理安全的控制及物理網(wǎng)絡(luò)的基礎(chǔ)設(shè)施保護(hù)，包括選擇適當(dāng)?shù)慕橘|(zhì)類(lèi)型及電纜的鋪設(shè)路線(網(wǎng)絡(luò)拓?fù)?。其次邏輯安全控制負(fù)責(zé)在不同的網(wǎng)段之間構(gòu)造邏輯邊界。它同時(shí)還對(duì)不同網(wǎng)段間信息流的流動(dòng)進(jìn)行控制。邏輯訪問(wèn)控制通過(guò)對(duì)網(wǎng)段間的信息流進(jìn)行邏輯過(guò)濾來(lái)提供安全性保障。根據(jù)實(shí)際出發(fā)，公司采用NetHammerM262/M242模塊化多業(yè)務(wù)路由器，提供2個(gè)固定串口，2個(gè)固定FE口，多槽位，DVPN（動(dòng)態(tài)VPN），SNA、啞終端等金融特色服務(wù)，數(shù)據(jù)、語(yǔ)音/傳真、視頻組播多種業(yè)務(wù)集成，豐富的QOS、防火墻功能。NetHammerM262/M242采用模塊化結(jié)構(gòu)，高性能MPC配合自主知識(shí)產(chǎn)權(quán)的專(zhuān)利技術(shù)FFS（FastFlowSwitch）算法，最大限度發(fā)揮CPU性能，在提供了集成的2個(gè)快速以太網(wǎng)接口、1個(gè)AUX口和2個(gè)高速同步串口、4/2個(gè)模塊化插槽的同時(shí)，還提供豐富的可選配模塊。在連接Internet出口處，安裝CiscoPIX515硬件防火墻，CiscoSecurePIX防火墻是同類(lèi)產(chǎn)品市場(chǎng)中的領(lǐng)先產(chǎn)品，它是一個(gè)高速專(zhuān)用防火墻設(shè)備，能在不影響網(wǎng)絡(luò)性能的情況下提供強(qiáng)大的安全。新的PIX515機(jī)箱通過(guò)一個(gè)成本更低的小型中低檔型號(hào)，擴(kuò)展了這一世界領(lǐng)先的產(chǎn)品線。PIX515高度僅為1RU(1.72英寸)，在不犧牲吞吐量的情況下節(jié)省了珍貴的機(jī)架空間。PIX515支持50,000和100,000個(gè)連接，對(duì)于較小的或遠(yuǎn)程站點(diǎn)非常理想。在用戶(hù)桌面上的電腦采用金山毒霸2006版殺毒軟件和個(gè)人防火墻，有效的能保護(hù)個(gè)人電腦。2.5通信量需求通信量需求是從網(wǎng)絡(luò)應(yīng)用出發(fā)，對(duì)當(dāng)前技術(shù)條件下可以提供的網(wǎng)絡(luò)帶寬做出的評(píng)估。由單一的文本應(yīng)用迅速向文本、語(yǔ)音、圖形、視圖綜合服務(wù)發(fā)展，面向高速化和寬帶需求發(fā)展的需求日趨強(qiáng)烈，如高速LAN，交換LAN，ATM技術(shù)等。依據(jù)公司的業(yè)務(wù)需求，可總結(jié)如下：文件服務(wù)，遠(yuǎn)程連接，壓縮視頻，MP3，RM等流媒體傳輸，VOD視頻點(diǎn)播，視頻會(huì)議等，綜上所述，接入寬帶方式采用FrameRelay（幀中繼）線路，并采用DDR（撥號(hào)備份）作為廣域網(wǎng)的后援線路以保證廣域網(wǎng)絡(luò)的可靠性。公司的海外辦事處的業(yè)務(wù)人員，利用公司筆記本或電腦從國(guó)外能夠安全地訪問(wèn)公司內(nèi)部ERP資源和共享企業(yè)的內(nèi)部應(yīng)用。在國(guó)內(nèi)的駐各省會(huì)的業(yè)務(wù)人員數(shù)量多，利用公司筆記本或電腦能夠安全地訪問(wèn)公司內(nèi)部B/S和C/S服務(wù)器，存取公司內(nèi)部共享文件。領(lǐng)導(dǎo)出差利用筆記本能夠安全地訪問(wèn)公司內(nèi)部MIP系統(tǒng)進(jìn)行文件和報(bào)告的電子審批問(wèn)題，實(shí)現(xiàn)真正意義上的移動(dòng)辦公，由于這些信息是企業(yè)機(jī)密信息，要絕對(duì)保證信息在公網(wǎng)上的安全。合作伙伴經(jīng)常要發(fā)E-MAIL，訪問(wèn)公司的郵件服務(wù)器，以及訪問(wèn)公司的WEB服務(wù)器，所以在WEB服務(wù)器的連接數(shù)量是最大的，銷(xiāo)售人員要訪問(wèn)公司內(nèi)部ERP數(shù)據(jù)庫(kù)等等。2.6網(wǎng)絡(luò)可擴(kuò)展性需求網(wǎng)絡(luò)的擴(kuò)展性有兩層含義，其一是指新的部門(mén)能夠簡(jiǎn)單地接入現(xiàn)有網(wǎng)絡(luò)；其二是指新的應(yīng)用能夠無(wú)逢地在現(xiàn)有網(wǎng)絡(luò)上運(yùn)行。隨著公司的規(guī)模不斷的擴(kuò)大，二期工程的改造完成，新增板式冷卻器分廠，中冷器分廠，綜合分廠，科研樓與食堂。在一期工程完成后，已有的網(wǎng)絡(luò)設(shè)備有：港灣FLEXHAMMER50103層交換，華為SC-RJ45百兆多模光纖收發(fā)器，港灣μHammer2024E二層交換機(jī)，24*10/100M,2個(gè)擴(kuò)展插槽，公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用星型結(jié)構(gòu)，有助于網(wǎng)絡(luò)的擴(kuò)充性。經(jīng)過(guò)分析和比較后，公司計(jì)算機(jī)網(wǎng)絡(luò)采用PIX515防火墻的功能論述防火墻在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。

第3章防火墻規(guī)劃及設(shè)計(jì)3.1PIX防火墻的工作原理3.1.1數(shù)據(jù)包如何通過(guò)防火墻當(dāng)向外連接的數(shù)據(jù)包（OutboundPacket）到達(dá)PIX防火墻的被保護(hù)接口時(shí)(InsideInterface),PIX防火墻檢查先前的數(shù)據(jù)包是否是來(lái)自此主機(jī)。如果沒(méi)有，PIX防火墻就在它的狀態(tài)表為新的連接建立一個(gè)轉(zhuǎn)換槽(translationslot)。通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)或端口地址轉(zhuǎn)換(PAT)的分配，這個(gè)轉(zhuǎn)換槽包括內(nèi)部IP地址和一個(gè)唯一的全局IP地址。PIX防火墻這時(shí)轉(zhuǎn)換這個(gè)數(shù)據(jù)包的源IP地址(sourceIP)為這個(gè)唯一的全局IP地址，并按需修改其他字段，然后轉(zhuǎn)發(fā)這個(gè)數(shù)據(jù)包到合適的非保護(hù)接口。當(dāng)向內(nèi)連接的數(shù)據(jù)包(InboundPackets)到達(dá)PIX防火墻的非保護(hù)接口時(shí)(OutsideInterface),它必須先經(jīng)過(guò)PIX防火墻的安全檢查。如果數(shù)據(jù)包檢查通過(guò)，則PIX防火墻移走這個(gè)數(shù)據(jù)包的目的IP地址(destinationIP)，插入內(nèi)部的IP地址。這樣，這個(gè)數(shù)據(jù)包被轉(zhuǎn)發(fā)到被保護(hù)接口。3.1.2轉(zhuǎn)換內(nèi)部地址動(dòng)態(tài)轉(zhuǎn)換對(duì)在Internet上不需要固定地址的桌面計(jì)算機(jī)是非常有用的。使用非NIC(NetworkInformationCenter)注冊(cè)的IP地址的內(nèi)部網(wǎng)絡(luò)主機(jī)通過(guò)在PIX防火墻中的地址轉(zhuǎn)換能直接訪問(wèn)Internet上的標(biāo)準(zhǔn)TCP\IP程序，而不需要特定的客戶(hù)程序。PIX防火墻支持能為每個(gè)內(nèi)部主機(jī)提供一個(gè)全局唯一網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），和為許多內(nèi)部主機(jī)提供一個(gè)共享的全局唯一網(wǎng)絡(luò)地址端口地址轉(zhuǎn)換（PAT）。NAT和PAT能轉(zhuǎn)換為多達(dá)64K主機(jī)地址。PIX防火墻中的另一個(gè)地址轉(zhuǎn)換是靜態(tài)轉(zhuǎn)換。靜態(tài)轉(zhuǎn)換能有效地移動(dòng)一個(gè)內(nèi)部的、非注冊(cè)主機(jī)到防火墻中虛網(wǎng)。這對(duì)一個(gè)需要映射到外部Internet網(wǎng)關(guān)的內(nèi)部主機(jī)是非常有用的。如SMTP服務(wù)器。3.2防火墻的體系結(jié)構(gòu)3.2.1屏蔽路由器屏蔽路由器可以由廠家專(zhuān)門(mén)生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來(lái)實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的惟一通道，要求所有的報(bào)文都必須在此通過(guò)檢查。路由器上可以安裝基于IP層的報(bào)文過(guò)濾軟件，實(shí)現(xiàn)報(bào)文過(guò)濾功能。許多路由器本身帶有報(bào)文過(guò)濾配置選項(xiàng)，但一般比較簡(jiǎn)單。單純由屏蔽路由器構(gòu)成的防火墻的危險(xiǎn)包括路由器本身及路由器允許訪問(wèn)的主機(jī)。屏蔽路由器的缺點(diǎn)是一旦被攻擊后很難發(fā)現(xiàn)，而且不能識(shí)別不同的用戶(hù)。3.2.2雙穴主機(jī)網(wǎng)關(guān)雙穴主機(jī)網(wǎng)關(guān)是用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)的做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。與屏蔽路由器相比，雙穴主機(jī)網(wǎng)關(guān)堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。但弱點(diǎn)也比較突出，一旦黑客侵入堡壘主機(jī)并使其只具有路由功能，任何網(wǎng)上用戶(hù)均可以隨便訪問(wèn)內(nèi)部網(wǎng)。3.2.3被屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也最為安全。一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過(guò)濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶(hù)的攻擊。如果受保護(hù)網(wǎng)是一個(gè)虛擬擴(kuò)展的本地網(wǎng)，即沒(méi)有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險(xiǎn)性限制在堡壘主機(jī)和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒(méi)法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會(huì)受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時(shí)的情形差不多。3.2.4被屏蔽子網(wǎng)被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過(guò)濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開(kāi)。在很多實(shí)現(xiàn)中，兩個(gè)分組過(guò)濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)DNS，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)被屏蔽子網(wǎng)，但禁止它們穿過(guò)被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為惟一可訪問(wèn)點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個(gè)網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時(shí)又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問(wèn)路由器或只允許內(nèi)網(wǎng)中的某些主機(jī)訪問(wèn)它，則攻擊會(huì)變得很困難。在這種情況下，攻擊者得先侵入堡壘主機(jī)，然后進(jìn)入內(nèi)網(wǎng)主機(jī)，再返回來(lái)破壞屏蔽路由器，并且整個(gè)過(guò)程中不能引發(fā)警報(bào)。3.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)3.3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)浙江銀輪機(jī)械股份有限公司計(jì)算機(jī)網(wǎng)絡(luò)INTERNET訪問(wèn)的系統(tǒng)配置，和企業(yè)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)系統(tǒng)分別示意如圖3-1和3-2。圖3-1：企業(yè)內(nèi)部網(wǎng)拓?fù)鋱D圖3-2企業(yè)內(nèi)部網(wǎng)拓?fù)鋱D3.3.2網(wǎng)絡(luò)安全策略步驟一：端口標(biāo)識(shí)PIX防火墻接口間的默認(rèn)行為如下:1.從高安全級(jí)別的接口到低安全級(jí)別的接口的通信除非受到訪問(wèn)列表的限制,否則允許所有基于IP的通信.2.從低安全級(jí)別的接口到高安全級(jí)別接口的通信除非特別允許,否則丟棄所有的報(bào)文分組。3.同安全級(jí)別接口的通信兩個(gè)網(wǎng)絡(luò)間不通信。另外，還有些需要考慮的因素：第一個(gè)接口的默認(rèn)安全級(jí)別為100，且命名為inside。第二個(gè)接口的默認(rèn)安全級(jí)別為0，且命名為outside。只有一個(gè)網(wǎng)絡(luò)的安全級(jí)別為100。只有一個(gè)網(wǎng)絡(luò)的安全級(jí)別為0。如果一個(gè)命令需要使用兩個(gè)接口，則必須先指定高安全級(jí)別的接口名，然后指定低安全級(jí)別的接口名（如，static[inside,outside]）。安全級(jí)別配置樣例：Nameifethernet0outsidesecurity0Nameifethernet1insidesecurity100步驟二：允許來(lái)自?xún)?nèi)部的訪問(wèn)PIX最主要的允許內(nèi)部用戶(hù)訪問(wèn)是通過(guò)地址轉(zhuǎn)換（NAT）技術(shù)來(lái)實(shí)現(xiàn)。將內(nèi)部用戶(hù)的私有IP地址隱藏起來(lái)，在內(nèi)部網(wǎng)中使用私有的虛擬地址,即由Internet地址分配委員會(huì)(IANA)所保留的幾段PrivateNetworkIP地址.以下是預(yù)留的PrivateNetwork地址范圍:一一55一一55一一55NAT技術(shù)有效的提高了公司的安全性，.隨著NAT技術(shù)的應(yīng)用越來(lái)越廣泛,其自身的技術(shù)特點(diǎn)在網(wǎng)絡(luò)安全領(lǐng)域也逐漸顯示出其獨(dú)特的應(yīng)用價(jià)值.步驟三：控制入站的訪問(wèn)在許多企業(yè)中，允許內(nèi)部用戶(hù)訪問(wèn)所有的Internet資源，但對(duì)來(lái)自Internet的通信，則要進(jìn)行嚴(yán)密的檢查，如果安全策略允許外界用戶(hù)訪問(wèn)內(nèi)部主機(jī)和服務(wù)器，則使用static命令指定哪些IP地址可以在外界用戶(hù)接口上顯示，以便外界用戶(hù)訪問(wèn)。該命令創(chuàng)建了本地IP地址到全球IP地址的永久性映射。使用access-list命令對(duì)防火墻配置安全策略，通過(guò)使用

access-list命令，將來(lái)可以對(duì)PIX防火墻增加更多的功能。例如：access-listdontbeconfuesedpermittcpany步驟四：控制出站的訪問(wèn)出站訪問(wèn)是通過(guò)訪問(wèn)列表實(shí)現(xiàn)的，訪問(wèn)列表是利用outbound命令創(chuàng)建，并以以下信息為基礎(chǔ)：IP源地址。IP目標(biāo)地址。IP協(xié)議類(lèi)型。目的端口。使用Outbound命令時(shí)，要求使用apply命令，利用apply命令的outgoing_src選項(xiàng)，可以指定是否將ACL應(yīng)用到內(nèi)部擁護(hù)，以啟動(dòng)出站連接；或者使用apply命令的outgoing_dest選項(xiàng)，決定是否將ACL應(yīng)用到內(nèi)部用戶(hù)，來(lái)訪問(wèn)外部網(wǎng)絡(luò)服務(wù)器。例如：Outbound1deny0tcpOutbound2excepte55httpApply(inside)1outgoing_src步驟五：認(rèn)證和授權(quán)PIX防火墻支持AAA服務(wù)，AAA服務(wù)能夠用來(lái)對(duì)用戶(hù)認(rèn)證和授權(quán)使其只使用Telnet、ftp和http服務(wù)。它既可以適用于外站用戶(hù)發(fā)起的入站連接，也可以適用于內(nèi)部用戶(hù)發(fā)起的出站連接西南交通大學(xué)網(wǎng)絡(luò)教育畢業(yè)設(shè)計(jì)（論文）第25頁(yè)25第4章企業(yè)防火墻配置4.1防火墻的選擇4.1.1設(shè)置防火墻的要素網(wǎng)絡(luò)策略影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級(jí)的網(wǎng)絡(luò)策略描述Firewall如何限制和過(guò)濾在高級(jí)策略中定義的服務(wù)。服務(wù)訪問(wèn)策略服務(wù)訪問(wèn)策略集中在Internet訪問(wèn)服務(wù)以及外部網(wǎng)絡(luò)訪問(wèn)（如撥入策略、SLIP/PPP連接等）。服務(wù)訪問(wèn)策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶(hù)服務(wù)之間獲得平衡。典型的服務(wù)訪問(wèn)策略是：允許通過(guò)增強(qiáng)認(rèn)證的用戶(hù)在必要的情況下從Internet訪問(wèn)某些內(nèi)部主機(jī)和服務(wù)；允許內(nèi)部用戶(hù)訪問(wèn)指定的Internet主機(jī)和服務(wù)。防火墻設(shè)計(jì)策略防火墻設(shè)計(jì)策略基于特定的Firewall，定義完成服務(wù)訪問(wèn)策略的規(guī)則。通常有兩種基本的設(shè)計(jì)策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一種的特點(diǎn)是安全但不好用，第二種是好用但不安全，通常采用第二種類(lèi)型的設(shè)計(jì)策略。而多數(shù)防火墻都在兩種之間采取折衷。增強(qiáng)的認(rèn)證許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶(hù)/口令機(jī)制。多年來(lái)，用戶(hù)被告知使用難于猜測(cè)和破譯口令，雖然如此，攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機(jī)制形同虛設(shè)。增強(qiáng)的認(rèn)證機(jī)制包含智能卡，認(rèn)證令牌，生理特征（指紋）以及基于軟件（RSA）等技術(shù)，來(lái)克服傳統(tǒng)口令的弱點(diǎn)。雖然存在多種認(rèn)證技術(shù)，它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難被攻擊者重用的口令和密鑰。目前許多流行的增強(qiáng)機(jī)制使用一次有效的口令和密鑰（如SmartCard和認(rèn)證令牌）。4.1.2防火墻在大型網(wǎng)絡(luò)系統(tǒng)中的部署根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署防火墻：局域網(wǎng)內(nèi)的VLAN之間控制信息流向時(shí)。Intranet與Internet之間連接時(shí)(企業(yè)單位與外網(wǎng)連接時(shí)的應(yīng)用網(wǎng)關(guān))。在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)，（通過(guò)公網(wǎng)ChinaPac，ChinaDDN，F(xiàn)rameRelay等連接）在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時(shí)采用防火墻隔離，并利用VPN構(gòu)成虛擬專(zhuān)網(wǎng)?？偛康木钟蚓W(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過(guò)Internet連接，需要各自安裝防火墻，并利用NetScreen的VPN組成虛擬專(zhuān)網(wǎng)。在遠(yuǎn)程用戶(hù)撥號(hào)訪問(wèn)時(shí)，加入虛擬專(zhuān)網(wǎng)。ISP可利用NetScreen的負(fù)載平衡功能在公共訪問(wèn)服務(wù)器和客戶(hù)端間加入防火墻進(jìn)行負(fù)載分擔(dān)、存取控制、用戶(hù)認(rèn)證、流量控制、日志紀(jì)錄等功能。兩網(wǎng)對(duì)接時(shí)，可利用NetScreen硬件防火墻作為網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)地址轉(zhuǎn)換(NAT)，地址映射（MAP），網(wǎng)絡(luò)隔離（DMZ）,存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問(wèn)題。4.1.3防火墻的局限我們?cè)诶梅阑饓Φ母鞣N益處的同時(shí)也應(yīng)該意識(shí)到防火墻的局限，有時(shí)防火墻會(huì)給人一種虛假的安全感，導(dǎo)致在防火墻內(nèi)部放松安全警惕。而許多攻擊正是內(nèi)部犯罪，這是任何基于隔離的防范措施都無(wú)能為力的。同樣，防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來(lái)的所有安全問(wèn)題。如果用戶(hù)抓來(lái)一個(gè)程序在本地運(yùn)行，那個(gè)程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)τ脩?hù)的系統(tǒng)進(jìn)行破壞。隨著Java、JavaScript和ActiveX控件及其相應(yīng)瀏覽器的推廣，這一問(wèn)題變得更加突出和尖銳。防火墻的另一個(gè)缺點(diǎn)是易用性不夠，大多數(shù)產(chǎn)品還需要網(wǎng)絡(luò)管理員手工建立。當(dāng)然，這一問(wèn)題馬上會(huì)得到改觀。防火墻在當(dāng)今Internet上的存在是有生命力的，但它不能替代墻內(nèi)的安全措施，因此，它不是解決所有網(wǎng)絡(luò)安全問(wèn)題的萬(wàn)能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分。4.2防火墻安裝4.2.1防火墻的安裝1.雙擊運(yùn)行安裝包。圖4-12.選擇安裝語(yǔ)言后點(diǎn)擊“確定”。圖4-23.進(jìn)入歡迎界面，點(diǎn)擊“下一步”。圖4-34.閱讀最終用戶(hù)許可協(xié)議，選擇“我接受”，點(diǎn)擊“下一步”。圖4-45.輸入用戶(hù)使用手冊(cè)上的產(chǎn)品序列號(hào)及用戶(hù)ID號(hào)，點(diǎn)擊“下一步”。圖4-56.安裝前進(jìn)行內(nèi)存掃描，保證在干凈的系統(tǒng)中安裝。圖4-67.掃描完成后點(diǎn)擊“下一步”。圖4-78.選擇安裝方式，點(diǎn)擊“下一步”。圖4-89.選擇安裝路徑，點(diǎn)擊“下一步”。圖4-910.選擇程序組，點(diǎn)擊“下一步”。圖4-1011.檢查安裝配置信息后，點(diǎn)擊“下一步”。圖4-1112.安裝過(guò)程中，請(qǐng)稍候……圖4-124.2.2防火墻升級(jí)包安裝過(guò)程1.雙擊運(yùn)行完整升級(jí)包。圖4-132.程序更新過(guò)程中……圖4-143.更新結(jié)束，點(diǎn)擊“完成”。圖4-153.安裝后的瑞星個(gè)人防火墻主畫(huà)面圖4-164.3VPN4.3.1VPN工作原理目前建造虛擬專(zhuān)網(wǎng)的國(guó)際標(biāo)準(zhǔn)有IPSEC（RFC1825-1829）和L2TP。其中L2TP是虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)協(xié)議，是IETF根據(jù)各廠家協(xié)議（包括微軟公司的PPTP、Cisco的L2F）進(jìn)行起草的，目前尚處于草案階段。IPSEC是一系列基于IP網(wǎng)絡(luò)（包括Intranet、Extranet和Internet）的，由IETF正式定制的開(kāi)放性IP安全標(biāo)準(zhǔn)，是虛擬專(zhuān)網(wǎng)的基礎(chǔ)，已經(jīng)相當(dāng)成熟可靠。L2TP協(xié)議草案中規(guī)定它（L2TP標(biāo)準(zhǔn)）必須以IPSEC為安全基礎(chǔ)。因此，闡述VPN的工作原理，主要是分析IPSEC的工作原理。IPSEC提供三種不同的形式來(lái)保護(hù)通過(guò)公有或私有IP網(wǎng)絡(luò)來(lái)傳送的私有數(shù)據(jù)。認(rèn)證——作用是可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的。數(shù)據(jù)完整性——作用是保證數(shù)據(jù)從原發(fā)地到目的地的傳送過(guò)程中沒(méi)有任何不可檢測(cè)的數(shù)據(jù)丟失與改變。機(jī)密性——作用是使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無(wú)意獲取數(shù)據(jù)的接收者無(wú)法獲知數(shù)據(jù)的真正內(nèi)容。在IPSEC由三個(gè)基本要素來(lái)提供以上三種保護(hù)形式：認(rèn)證協(xié)議頭（AH）、安全加載封裝（ESP）和互聯(lián)網(wǎng)密匙管理協(xié)議（IKMP）。認(rèn)證協(xié)議頭和安全加載封裝可以通過(guò)分開(kāi)或組合使用來(lái)達(dá)到所希望的保護(hù)等級(jí)。認(rèn)證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個(gè)密碼。正如整個(gè)名稱(chēng)所示，AH通過(guò)一個(gè)只有密匙持有人才知道的“數(shù)字簽名”來(lái)對(duì)用戶(hù)進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過(guò)特別的算法得出的獨(dú)特結(jié)果；AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^(guò)程中無(wú)論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出來(lái)。不過(guò)由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機(jī)密性。兩個(gè)最普遍的AH標(biāo)準(zhǔn)是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通過(guò)最高到160位密匙提供更強(qiáng)的保護(hù)。1)下一頭（8比特）：標(biāo)識(shí)緊跟驗(yàn)證頭的下一個(gè)頭的類(lèi)型。2)載荷長(zhǎng)度（8比特）：以32-位字為單位的驗(yàn)證頭的長(zhǎng)度，再減去2。例如，缺省的驗(yàn)證數(shù)據(jù)字段的長(zhǎng)度是96比特（3個(gè)32-位字），加上3個(gè)字長(zhǎng)的固定頭，頭部共6個(gè)字長(zhǎng)，因此該字段的值為4。3)保留（16比特）：保留為將來(lái)使用。4)安全參數(shù)索引（32比特）：用于標(biāo)識(shí)一個(gè)安全關(guān)聯(lián)。5)序號(hào)（8比特）：?jiǎn)卧龅挠?jì)數(shù)器值。6)驗(yàn)證數(shù)據(jù)（可變）：該字段的長(zhǎng)度可變（但應(yīng)為32-位字的整數(shù)倍），包含的數(shù)據(jù)有數(shù)據(jù)包的ICV（完整性校驗(yàn)值）或MAC。AH實(shí)現(xiàn)模式（隧道模式）如圖4-5所示。安全加載封裝（ESP）通過(guò)對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來(lái)嚴(yán)格保證傳輸信息的機(jī)密性，這樣可以避免其他用戶(hù)通過(guò)監(jiān)聽(tīng)來(lái)打開(kāi)信息交換的內(nèi)容，因?yàn)橹挥惺苄湃蔚挠脩?hù)擁有密匙才能打開(kāi)內(nèi)容。ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。4.3.2封裝安全載荷ESPESP(EncapsulatingSecurityPayload)屬于IPsec的一種協(xié)議，可用于確保IP數(shù)據(jù)包的機(jī)密性（未被別人看過(guò)）、數(shù)據(jù)的完整性以及對(duì)數(shù)據(jù)源的身份驗(yàn)證。此外，它也要負(fù)責(zé)對(duì)重播攻擊的抵抗。具體做法是在IP頭（以及任何IP選項(xiàng)）之后，并在要保護(hù)的數(shù)據(jù)之前，插入一個(gè)新頭，即ESP頭。受保護(hù)的數(shù)據(jù)可以是一個(gè)上層協(xié)議，或者是整個(gè)IP數(shù)據(jù)報(bào)。最后，還要在最后追加一個(gè)ESP尾。由于ESP同時(shí)提供了機(jī)密性及身份驗(yàn)證機(jī)制，所以在其SA中必須同時(shí)定義兩套算法用來(lái)確保機(jī)密性的算法叫做“加密器”，而負(fù)責(zé)身份驗(yàn)證的叫做“驗(yàn)證器”。每個(gè)ESPSA都至少有一個(gè)加密器和驗(yàn)證器。4.3.3防火墻中的VPN的實(shí)現(xiàn) VPN系統(tǒng)的主要建設(shè)目標(biāo)是通過(guò)建設(shè)一套基于IPsec協(xié)議的遠(yuǎn)程接入網(wǎng)絡(luò)平臺(tái)，包括安全網(wǎng)關(guān)設(shè)備、安全網(wǎng)管管理軟件、客戶(hù)端軟件等，能夠各分支機(jī)構(gòu)和出差在外的人員方便的實(shí)現(xiàn)通過(guò)因特網(wǎng)到浙江總部的安全的遠(yuǎn)程接入，通過(guò)異地互聯(lián)完成遠(yuǎn)程辦公、信息共享等工作，并確保信息傳輸?shù)谋Ｃ苄?、完整性和不可抵?lài)性。公司的應(yīng)用系統(tǒng)需要既在公網(wǎng)上向外提供服務(wù)，允許公眾訪問(wèn)公司的網(wǎng)站，也同時(shí)需要允許子公司、銷(xiāo)售分公司、股東、公司領(lǐng)導(dǎo)、出差人員等能遠(yuǎn)程訪問(wèn)內(nèi)部應(yīng)用系統(tǒng)的各種內(nèi)容，而且由于角色不同，每個(gè)人、單位所能訪問(wèn)的內(nèi)容和權(quán)限也不盡相同，因此，需要在網(wǎng)絡(luò)層面上對(duì)遠(yuǎn)程訪問(wèn)總部的應(yīng)用系統(tǒng)作出相應(yīng)控制，并對(duì)一些重要數(shù)據(jù)的訪問(wèn)（比如股東、領(lǐng)導(dǎo)調(diào)用內(nèi)部重要數(shù)據(jù)；經(jīng)銷(xiāo)商錄入最新銷(xiāo)售數(shù)據(jù)）作通信的加密。IPSec分公司路由器配置：!Definethehostname.HostnameSecond_routerCryptoisakmppolicy6Encryption3desHashshaGroup2Lifetime28800Authenticationpre-shareCryptoisakmpkeyiamashareedkeyaddress0!configurestheIPsecahorespparameters.Cryptoipsectransform-setsecureDesesp-3desesp-sha-hmacModetunnel!configuretheiptrafficselectorswhicharetoencrypeAccess-list106permitip5555eqtelnetAccess-list106permitip550.0.2eqhttp!configureikephase2policy.CryptomaptoNAS12ipsec-isakmpSetpeer0Settransform-setsecureDESMatchaddress106Setpfsgroup2Setsecurity-associationlifetimeseconds3600!configureinternalnetworkIpaddressInterfaceBri0IpddressunnumberedEthernet0EncapsulationpppDialermapip0nameNASDialer-group1PppauthenticationchapCryptomaptoNASIPSec總公司NAS配置！definethehostname!HostnameNASCryptoisamkmppolicy6Encrypto3desHashshaGroup2Lifetime28800Authenticationpre-shareCryptoisamkmpiamasharekeyaddress!configuretheIPsecahorespparameters.Cryptoipsectransform-setsecuredesesp-3desesp-sha-hmacModetunnel!configuretheIPtrafficselectorswhicharetoencryptAccess-list106permitip5555eqtelnetAccess-list106permitip5555eqhttp!configureIKEphase2policyCryptomapprimary-router12ipsec-isakmpSetpeerSettransform-setsecuredesMatchaddress106Setsecurity-associationlifetimeseconds3600!configureinternalnetworkInterfaceethernet0Ipaddress0Interfaceserial0:23DescriptiontotheprimayCryptomapprimay_router55.255防火墻簡(jiǎn)要配置語(yǔ)句步驟如下:第一步:防火墻端口設(shè)置NameIfEthernet()outsidesecurity0;命名ethernet()端口為外部端口Outside，且安全級(jí)別最低NameIfEthernet()InsideSecurity100;命名ethernet()端口為內(nèi)部端口inside,且安全級(jí)別最高。IPAddressOutside0;指定外部端口地址為外部合法IP地址IPAddressInside52;指定內(nèi)部端口地址為內(nèi)部保留IP地址第二步：全局地址指定Global(Outside)10netmask第三步：轉(zhuǎn)換內(nèi)部地址為全局地址池中合法IP地址Nat(inside)1第四步：內(nèi)外部地址靜態(tài)映射Static(Inside，Outside)0Netmask55.255.0第五步：允許指定外部主機(jī)訪問(wèn)內(nèi)部SMTP郵件服務(wù)，拒絕其他所有主機(jī)訪問(wèn)內(nèi)部所有服務(wù)。ConduitpermitTcphost0eqstmpanyConduitdenyTcpany第六步：設(shè)置路由協(xié)議RipOutsidepassive;外部端口不進(jìn)行rip協(xié)議廣播RipInsidedefault;內(nèi)部端口網(wǎng)絡(luò)協(xié)議缺省為ripRoutOutside301RoutInside54第5章企業(yè)安全策略的設(shè)計(jì)與實(shí)施5.1物理安全控制建筑物和所處的前提條件：所有建筑物必須按照相關(guān)的防火和安全標(biāo)準(zhǔn)來(lái)構(gòu)建網(wǎng)絡(luò)機(jī)柜。所有網(wǎng)絡(luò)機(jī)柜必須進(jìn)行保護(hù)，防止受到潛在的人為或自然災(zāi)害（如水災(zāi)，地震）的破壞。設(shè)備維護(hù)：所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備必須有備用電源供應(yīng)。所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備必須鎖在設(shè)備柜里，只有維護(hù)人員可以接近。物理訪問(wèn)：只有網(wǎng)絡(luò)基礎(chǔ)設(shè)施操作維護(hù)人員有權(quán)訪問(wèn)網(wǎng)絡(luò)機(jī)柜和機(jī)架。其他人員只有在網(wǎng)絡(luò)基礎(chǔ)設(shè)施操作維護(hù)人員的陪同下才能接近網(wǎng)絡(luò)機(jī)柜。所有網(wǎng)絡(luò)機(jī)柜必須安裝監(jiān)視攝像頭。有人員變動(dòng)時(shí)必須更換網(wǎng)絡(luò)機(jī)柜的鎖。5.2基礎(chǔ)設(shè)施和數(shù)據(jù)完整性與防火墻配合使用的安全技術(shù)還有文件加密與數(shù)字簽名技術(shù)，它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性