典型網(wǎng)絡(luò)安全方案設(shè)計(jì)

典型網(wǎng)絡(luò)安全方案設(shè)計(jì)

本項(xiàng)目主要從當(dāng)前網(wǎng)絡(luò)安全的狀況做出安全需求分析，并結(jié)合網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn)以及網(wǎng)絡(luò)安全防御體系的一般結(jié)構(gòu)來制定相關(guān)網(wǎng)絡(luò)（如校園網(wǎng)、企業(yè)網(wǎng)、政府網(wǎng)等）的安全方案規(guī)劃。最后，對后續(xù)的網(wǎng)絡(luò)安全實(shí)驗(yàn)進(jìn)行設(shè)計(jì)并建立一個虛擬的實(shí)驗(yàn)環(huán)境。典型網(wǎng)絡(luò)安全方案設(shè)計(jì)

本項(xiàng)目主要從當(dāng)前網(wǎng)1校園網(wǎng)絡(luò)安全方案設(shè)計(jì)

校園網(wǎng)安全現(xiàn)狀目前，校園網(wǎng)在學(xué)校的辦公系統(tǒng)中起著重要作用，合理的使用不僅能促進(jìn)各院校的現(xiàn)代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境，還將會極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量，而前提就是校園網(wǎng)必須是穩(wěn)定的、安全的和可靠的。因此，校園網(wǎng)安全方案的設(shè)計(jì)尤為重要。。校園網(wǎng)絡(luò)安全方案設(shè)計(jì)

校園網(wǎng)安全現(xiàn)狀2校園網(wǎng)安全需求分析校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群、與CERNET的接入以及遠(yuǎn)程移動辦公用戶的接入等。但具體還要根據(jù)不同校園網(wǎng)的實(shí)際情況來做簡要分析。一般情況下，校園網(wǎng)安全主要可以從以下5個方面進(jìn)行分析：（1）物理安全。是指保護(hù)校園網(wǎng)內(nèi)計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備及通信線路，使其免遭自然災(zāi)害及其它環(huán)境事故（如電磁污染）的破壞。（2）網(wǎng)絡(luò)安全。是指校園網(wǎng)安全建設(shè)的基礎(chǔ)，完善的網(wǎng)絡(luò)安全防御措施可以解決大多數(shù)的校園網(wǎng)安全問題，包括基礎(chǔ)網(wǎng)絡(luò)安全、邊界防護(hù)、遠(yuǎn)程接入和全局安全。（3）主機(jī)安全。校園網(wǎng)內(nèi)，主機(jī)的安全問題最為常見，也是其他安全問題源頭，主機(jī)安全涉及到統(tǒng)一身份認(rèn)證，主機(jī)安全防護(hù)體系。通過校園網(wǎng)統(tǒng)一身份認(rèn)證和校園網(wǎng)主機(jī)安全防護(hù)體系來全面實(shí)現(xiàn)校園網(wǎng)的主機(jī)安全目標(biāo)。（4）應(yīng)用安全。校園網(wǎng)的應(yīng)用安全是最為復(fù)雜的部分，涵蓋的內(nèi)容涉及到了業(yè)務(wù)應(yīng)用的各個層面。（5）數(shù)據(jù)安全。數(shù)據(jù)是當(dāng)前高校信息化建設(shè)中最寶貴的資源，其重要性已經(jīng)得到越來越高的重視。校園網(wǎng)的安全建設(shè)中，數(shù)據(jù)安全是一個不可忽視的方面。數(shù)據(jù)的遺失或損壞對于學(xué)校而言，其后果不可想象。校園網(wǎng)安全需求分析3校園網(wǎng)安全功能設(shè)計(jì)1.設(shè)計(jì)原則為了建設(shè)全方面的、完整的校園網(wǎng)絡(luò)安全體系結(jié)構(gòu)，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性和系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防御體系在整體設(shè)計(jì)過程中應(yīng)遵循以下5項(xiàng)原則：（1）保密性：防止信息泄露給非授權(quán)用戶的特性。達(dá)到保密性可選擇VLAN的劃分，并能在VLAN之間進(jìn)行第三層交換時進(jìn)行有效的安全控制，以保證系統(tǒng)的安全性；（2）完整性：防止信息在存儲或傳輸過程中被修改、破壞和丟失的特性。達(dá)到完整性采用VPN技術(shù)，用它的專用通道進(jìn)行通信保證了信息的完整性；（3）可用性：就是易于操作、維護(hù)，并便于自動化管理。達(dá)到可用性可以利用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡(luò)規(guī)劃策略，提供強(qiáng)大的網(wǎng)絡(luò)管理功能，使日常的維護(hù)和操作變得直觀，便捷和高效；（4）可控性：就是對信息的傳播及內(nèi)容具有控制能力。達(dá)到可控性對于網(wǎng)絡(luò)管理來說，要求采用智能化網(wǎng)絡(luò)管理軟件，并支持虛擬網(wǎng)絡(luò)功能，對網(wǎng)絡(luò)用戶具有分類控制功能，從而來實(shí)現(xiàn)對網(wǎng)絡(luò)的自動監(jiān)測和控制；（5）擴(kuò)展性：就是便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展。達(dá)到擴(kuò)展性對選擇的網(wǎng)絡(luò)設(shè)備最好是模塊化的，便于網(wǎng)絡(luò)的擴(kuò)大和更改，其中核心交換機(jī)應(yīng)具有多種模塊類型，以滿足各種網(wǎng)絡(luò)類型的接入，所選擇的設(shè)備都應(yīng)具有良好的軟件再升級能力。校園網(wǎng)安全功能設(shè)計(jì)4典型網(wǎng)絡(luò)安全方案設(shè)計(jì)5。。6典型網(wǎng)絡(luò)安全方案設(shè)計(jì)73.功能模塊及設(shè)備需求分析1）主要功能模塊（1）交換機(jī)安全模塊主要實(shí)現(xiàn)的功能：IP與MAC的綁定、VLAN的劃分、端口的安全和訪問控制列表（ACL）；（2）防火墻模塊：包過濾、地址轉(zhuǎn)換（NAT）；（3）VPN模塊：建立專用通道IPSECVPN和SSLVPN；（4）DMZ區(qū)域模塊：IDS與防火墻的聯(lián)動。3.功能模塊及設(shè)備需求分析82）設(shè)備需求方案主要設(shè)備如表11-3所示。（1）三層交換機(jī)的主要功能包括：高背板帶寬為所有的端口提供非阻塞性能、靈活完備的安全控制策略、強(qiáng)大的多應(yīng)用支持能力和完善的QoS策略等。（2）防火墻的主要功能包括：擴(kuò)展的狀態(tài)檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計(jì)/報告等）附加功能。（3）入侵檢測系統(tǒng)主要功能包括：能夠阻止來自外部或內(nèi)部的蠕蟲、病毒和攻擊帶來的安全威脅，確保企業(yè)信息資產(chǎn)的安全，能夠檢測各種IM即時通訊軟件、P2P下載等網(wǎng)絡(luò)資源濫用行為，保證重要業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，能夠高效、全面的事件統(tǒng)計(jì)分析；能迅速定位網(wǎng)絡(luò)故障，提高網(wǎng)絡(luò)穩(wěn)定運(yùn)行時間。（4）VPN的主要功能包括：嚴(yán)格的身份認(rèn)證、權(quán)限管理、細(xì)粒度控制、傳輸加密和終端安全檢查等機(jī)制保障移動用戶SSL安全接入可實(shí)現(xiàn)用戶身份和PC硬件信息的對應(yīng)；通過人機(jī)捆綁可以為遠(yuǎn)程用戶分配內(nèi)部IP地址；真正實(shí)現(xiàn)遠(yuǎn)程局域網(wǎng)可以為遠(yuǎn)程移動用戶分配內(nèi)部服務(wù)器地址；真正實(shí)現(xiàn)移動辦公通過證書管理器為用戶生成證書、私鑰，可通過郵件通知用戶自己到證書管理器上下載軟件安裝包和配置文件，用戶只需在本地安裝就可實(shí)現(xiàn)快速部署。

2）設(shè)備需求9校園網(wǎng)安全模塊詳細(xì)設(shè)計(jì)1.交換模塊安全設(shè)計(jì)與實(shí)施為了更加安全，減小廣播風(fēng)暴，VLAN技術(shù)在網(wǎng)絡(luò)中得到大量應(yīng)用，但同時網(wǎng)絡(luò)訪問站點(diǎn)也不斷增加，而路由器的接口數(shù)目有限，二層交換機(jī)又不具備路由功能?；谶@種情況，三層交換機(jī)便應(yīng)運(yùn)而生，三層交換機(jī)彌補(bǔ)了路由器和二層交換機(jī)在某些方面的不足，它可以通過VLAN劃分、配置ACL、IP地址與MAC地址的綁定以及arp-check防護(hù)等功能來提升網(wǎng)絡(luò)中數(shù)據(jù)的安全性，如圖11-2所示。校園網(wǎng)安全模塊詳細(xì)設(shè)計(jì)10（1）VLAN劃分方案VLAN劃分的方案圖如圖11-3所示，說明如下：（1）高校的學(xué)生通過網(wǎng)絡(luò)交換的信息量日益增大，特別是一個班的同學(xué)，但住在一個寢室的同學(xué)不一定就是一個班的，所以將一個班的同學(xué)劃為同一個VLAN便于信息的傳遞。一個班同學(xué)的寢室劃為同一個VLAN，再將一棟宿舍樓劃為一個大VLAN；（2）每個老師的計(jì)算機(jī)里可能有一些重要的科研資料，從安全性考慮，不能將所有老師的寢室劃為同一個網(wǎng)，即將每個老師的寢室劃為一個VLAN，并且學(xué)生宿舍和教師宿舍不能互相訪問；（3）將教學(xué)樓的所有教室劃為一個VLAN；（4）為了方便同學(xué)和老師做一些教學(xué)實(shí)驗(yàn)，實(shí)驗(yàn)室會進(jìn)行一些專項(xiàng)課題研究，將一個實(shí)驗(yàn)室劃分在同一個VLAN的做法安全性更高。因此，可以將實(shí)驗(yàn)樓劃為一個大VLAN，再將每個實(shí)驗(yàn)室劃為一個小VLAN；（5）為了方便每個部門管理，可以根據(jù)每個的不同性質(zhì)，將辦公樓劃為一個大VLAN，再將每個部門劃為一個小VLAN；（6）劃分方法采用基于端口的劃分。高校學(xué)生的流動性大（如新生的入學(xué)，畢業(yè)生離校等）會導(dǎo)致的學(xué)生的人數(shù)和班級的變動。基于端口的劃分，相對來說容易設(shè)置和監(jiān)控，只需要將端口配置的VLAN重新分配。（1）VLAN劃分方案11典型網(wǎng)絡(luò)安全方案設(shè)計(jì)122）訪問控制列表ACL（AccessControlList）是一項(xiàng)在路由器和三層交換機(jī)上實(shí)現(xiàn)的包過濾技術(shù)，通過讀取第三和第四層的包頭部信息（如源地址、目的地址、源端口、目的端口等），并根據(jù)預(yù)先定義好的規(guī)則來對數(shù)據(jù)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。本方案中，主要在S3760三層交換機(jī)上配置ACL規(guī)則，可以限制各個VLAN之間的訪問，如，阻止教學(xué)樓1臺IP地址為的源主機(jī)通過fa0/1，放行其他的通訊流量通過端口，并阻止主機(jī)執(zhí)行Telnet命令。S3760#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.S3760(config)#access-list1denyS3760(config)#access-list1permitanyS3760(config)#interfacefa0/1S3760(config-if)#ipaccess-group1inS3760(config)#access-list100denytcpanyeq23S3760(config)#access-list100permitipanyanyS3760(config)#interfacefa0/1S3760(config-if)#ipaccess-group100in2）訪問控制列表133）IP與MAC地址綁定目前在使用靜態(tài)IP地址的局域網(wǎng)管理中經(jīng)常碰到IP地址被盜用或者用戶自行修改地址導(dǎo)致IP地址管理混亂，而且ARP病毒和利用ARP協(xié)議進(jìn)行欺騙的網(wǎng)絡(luò)問題也日漸嚴(yán)重，在防范過程中除了通過VLAN的劃分來抑制問題的擴(kuò)散之外，還需要將IP地址與MAC地址進(jìn)行綁定來配合達(dá)到更有效的防范。在其核心交換機(jī)RG-S3760用address-bind命令手動進(jìn)行一些特殊IP與MAC地址的綁定使其對應(yīng)的主機(jī)不能隨便地更改IP地址或者M(jìn)AC地址，另外在網(wǎng)絡(luò)中設(shè)一臺DHCP服務(wù)器，所有主機(jī)都通過DHCP自動獲得IP地址，在這個過程中，RG-S3760開啟DHCPsnooping功能以及ARP-check防護(hù)功能，交換機(jī)會自動偵聽DHCP分配地址的過程，將其中有用的IP+MAC地址信息記錄下來，自動綁定到相應(yīng)的端口上，減少大量的手工配置。例如在S3760上的fa0/1端口上開啟DHCPsnooping功能、ARP-check防護(hù)功能、端口安全功能以及動態(tài)地綁定命令如下。S3760#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.S3760(config)#ipdhcpsnoopingS3760(config)#interfacefa0/1S3760(config-if)#switchportport-securityarp-checkS3760(config-if)#switchportport-securityS3760(config-if)#ipdhcpsnoopingaddress-bindS3760(config-if)#exitS3760(config)#exit3）IP與MAC地址綁定14

2.VPN模塊安全設(shè)計(jì)與實(shí)施校園網(wǎng)VPN可以通過公眾IP網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來，減輕校園網(wǎng)的遠(yuǎn)程訪問費(fèi)用負(fù)擔(dān)，節(jié)省電話費(fèi)用開支，不過對于端到端的安全數(shù)據(jù)通訊，還需要根據(jù)實(shí)際情況采取不同的架構(gòu)。IPSecVPN和SSLVPN是目前校園網(wǎng)VPN方案采用最為廣泛的安全技術(shù)，但它們之間有很大的區(qū)別，從VPN技術(shù)架構(gòu)來看，IPSecVPN是比較理想的校園網(wǎng)接入方案，由于它工作在網(wǎng)絡(luò)層，可以對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，可以實(shí)現(xiàn)Internet多專用網(wǎng)安全連接，而不管是哪類網(wǎng)絡(luò)應(yīng)用。IPSecVPN還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置IPSec客戶端軟件和接入設(shè)備，這大大提高了網(wǎng)絡(luò)的安全級別。本方案采用IPSecVPN。由于IPSecVPN在IP層提供訪問控制、無連接的完整性、數(shù)據(jù)來源驗(yàn)證、防重放保護(hù)、加密以及數(shù)據(jù)流分類加密等服務(wù)。通過對IPSecVPN的配置和VPN冗余配置，來實(shí)現(xiàn)遠(yuǎn)程用戶的接入，提高網(wǎng)絡(luò)的負(fù)載均衡并有效的提高了網(wǎng)絡(luò)安全性。VPN模塊的詳細(xì)拓?fù)浣Y(jié)構(gòu)如圖11-4所示。2.VPN模塊安全設(shè)計(jì)與實(shí)施15建立安全的IP通信隧道，是建立虛擬專用網(wǎng)的關(guān)鍵。本方案中采用銳捷VPN進(jìn)行配置。在VPN配置界面中，選擇網(wǎng)關(guān)的目錄樹上的IPSecVPN，如圖11-5所示。接著開始對VPN進(jìn)行具體配置：典型網(wǎng)絡(luò)安全方案設(shè)計(jì)161）遠(yuǎn)程用戶接入配置遠(yuǎn)程用戶接入方式多種多樣，比如通過無線接入、ADSL拔號接入和專線接入等等，當(dāng)需要配置遠(yuǎn)程移動用戶接入，那么在上圖中雙擊遠(yuǎn)程用戶管理，打開遠(yuǎn)程用戶管理界面進(jìn)行配置，如圖11-6所示。（1）配置允許客戶端訪問的子網(wǎng)。在遠(yuǎn)程用戶管理界面下打開“允許訪問子網(wǎng)”進(jìn)行配置，如如圖11-7所示，可以通過添加按鈕來添加用戶接入后可以訪問的內(nèi)網(wǎng)的子網(wǎng)數(shù)目。1）遠(yuǎn)程用戶接入配置17（2）配置內(nèi)部DNS服務(wù)器。在遠(yuǎn)程用戶管理界面下打開“內(nèi)部DNS服務(wù)器”進(jìn)行配置，如圖11-8所示，可以通過添加按鈕來添加內(nèi)部DNS服務(wù)器即校園內(nèi)網(wǎng)DNS服務(wù)器的IP地址，這樣當(dāng)隧道建立起來之后，RG-SRA軟件自動將客戶端主機(jī)的DNS設(shè)置為內(nèi)部DNS。（2）配置內(nèi)部DNS服務(wù)器。在遠(yuǎn)程用戶管理界面下打開“內(nèi)部D18（3）配置內(nèi)部WINS服務(wù)器。內(nèi)部WINS服務(wù)器和內(nèi)部DNS服務(wù)器配置相似，使用校園內(nèi)網(wǎng)WINS服務(wù)器的IP地址配置后客戶機(jī)可以用機(jī)器名來訪問在服務(wù)器上注冊了的機(jī)器，沒有時也可以不進(jìn)行配置。（4）配置虛IP地址池。內(nèi)部地址池允許網(wǎng)絡(luò)管理員輸入一個或者幾個IP地址范圍，這些地址將用于對遠(yuǎn)程用戶分配虛擬IP地址，打開虛地址池的配置窗口選擇添加下列子網(wǎng)地址或連續(xù)地址，進(jìn)行內(nèi)部地址池的添加，如圖11-9所示。（5）配置用戶特征碼表。如果需要對用戶的登錄機(jī)器進(jìn)行限制，可以對用戶機(jī)器特征進(jìn)行綁定，用戶機(jī)器的特征（每個客戶端軟件都可以顯示本機(jī)的特征碼）可以由管理員手工導(dǎo)入，也可以由客戶端首次上線的時候自動報告。（3）配置內(nèi)部WINS服務(wù)器。內(nèi)部WINS服務(wù)器和內(nèi)部DNS19（6）用戶認(rèn)證配置。RG-SRA選擇網(wǎng)關(guān)本地認(rèn)證，要為RG-SRA用戶設(shè)置認(rèn)證用戶名和口令。在窗口左側(cè)菜單區(qū)中用鼠標(biāo)點(diǎn)擊“用戶認(rèn)證”－“本地用戶數(shù)據(jù)庫”，此時在窗口右側(cè)操作區(qū)顯示本地用戶列表，點(diǎn)擊工具欄的“添加用戶”按鈕，進(jìn)行添加用戶操作，如圖11-10所示。（6）用戶認(rèn)證配置。RG-SRA選擇網(wǎng)關(guān)本地認(rèn)證，要為RG-202）網(wǎng)關(guān)之間的隧道網(wǎng)關(guān)到網(wǎng)關(guān)的應(yīng)用模式主要包括以太網(wǎng)、ADSL撥號等網(wǎng)絡(luò)環(huán)境，在這種環(huán)境下VPN設(shè)備需要設(shè)置路由信息才能連接上網(wǎng)。內(nèi)部子網(wǎng)的主機(jī)把默認(rèn)網(wǎng)關(guān)設(shè)置為VPN設(shè)備的內(nèi)口，下面是兩個網(wǎng)關(guān)之間的隧道配置。（1）網(wǎng)關(guān)A的配置。添加設(shè)備后在“對方設(shè)備名稱”文本框中，為網(wǎng)關(guān)B設(shè)置一個唯一名稱，如vpnb。在“本地設(shè)備接口”列表框中選擇與網(wǎng)關(guān)B的連接的端口，如eth0。在本地設(shè)備身份中選擇“作為客戶端”單選按鈕，并在“對方設(shè)備地址”中填寫網(wǎng)關(guān)B的IP地址。在認(rèn)證方式中，選擇“預(yù)共享密鑰”單選按鈕，然后在“密鑰”文本框中輸入共享密鑰，如“123456”，雙方必須相同，如圖11-11所示。添加遂道后在“隧道名稱”為該隧道設(shè)置一個唯一名稱，如Ta-b?！皩Ψ皆O(shè)備名稱”選剛才為B設(shè)置的設(shè)備名：“vpnb”，“本地子網(wǎng)”如/，“對方子網(wǎng)”如/，如圖11-12所示，“通信策略”根據(jù)需要配置，算法必須與B相同，配置如圖11-13所示。2）網(wǎng)關(guān)之間的隧道21典型網(wǎng)絡(luò)安全方案設(shè)計(jì)222）網(wǎng)關(guān)B的配置。與網(wǎng)關(guān)A的配置相似，只需要把上述配置中的對方相應(yīng)改成網(wǎng)關(guān)A的信息，如添加設(shè)備時設(shè)備名稱叫vpna，密鑰相同。在添加遂道時，本地子網(wǎng)和對方子網(wǎng)互換，其余保持不變。3）VPN冗余配置VPN冗余的目的是為了提高系統(tǒng)的可靠性，本方案通過RG-WALLV160S中的VRRP來實(shí)現(xiàn)VPN之間的冗余，詳細(xì)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)如圖11-14所示。

2）網(wǎng)關(guān)B的配置。與網(wǎng)關(guān)A的配置相似，只需要把上述配置中的對23（1）VPN的備份配置。在安全網(wǎng)關(guān)界面目錄樹上，點(diǎn)擊“VRRP設(shè)置”即可進(jìn)入VRRP設(shè)置界面，如圖11-15所示。首先在“網(wǎng)絡(luò)接口”中把安全網(wǎng)關(guān)A的eth1接口IP配置為：0，然后選擇“VRRP設(shè)置|添加虛擬路由器”，把網(wǎng)絡(luò)接口選擇為eth1；組號配置為：1；虛擬IP配置為：7；主機(jī)優(yōu)先級填為：200；默認(rèn)使用搶占模式、認(rèn)證方式和密碼可以根據(jù)實(shí)際情況選擇和填寫；通告時間間隔默認(rèn)選擇為：1秒；監(jiān)控選項(xiàng)選eth0；優(yōu)先級衰減量量設(shè)為150；如圖11-16所示。接著再在“網(wǎng)絡(luò)接口”中把安全網(wǎng)關(guān)B的eth1接口IP置為：1，然后選擇“VRRP設(shè)置|添加虛擬路由器”，把網(wǎng)絡(luò)接口選擇eth1；組號配置為：1；虛擬IP配置為：7；主機(jī)優(yōu)先級填為：100；默認(rèn)使用搶占模式、認(rèn)證方式和密碼和安全網(wǎng)關(guān)A配置相同；通告時間間隔和安全網(wǎng)關(guān)A配置相同都為：1秒；監(jiān)控選項(xiàng)選eth0；優(yōu)先級衰減量量設(shè)為45；如圖11-17所示。（1）VPN的備份配置。在安全網(wǎng)關(guān)界面目錄樹上，點(diǎn)擊“VRR24典型網(wǎng)絡(luò)安全方案設(shè)計(jì)254）負(fù)載均衡的配置用相同的方法在網(wǎng)關(guān)A上添加第二組虛擬路由，網(wǎng)絡(luò)接口選擇eth1；組號配置為：2；虛擬IP配置為：8；主機(jī)優(yōu)先級填為：100；默認(rèn)使用搶占模式；默認(rèn)啟用虛擬MAC地址；認(rèn)證方式和密碼可以根據(jù)實(shí)際情況選擇和填寫；通告時間間隔默認(rèn)選擇為：1秒。網(wǎng)關(guān)B上添加第二組虛擬路由，網(wǎng)絡(luò)接口選擇eth1；組號配置為：2；虛擬IP配置為：8；主機(jī)優(yōu)先級填為：200；默認(rèn)使用搶占模式；默認(rèn)啟用虛擬MAC地址；認(rèn)證方式和密碼安全網(wǎng)關(guān)A中組號2配置相同；通告時間間隔默認(rèn)選擇為：1秒。4）負(fù)載均衡的配置263.

防火墻模塊安全設(shè)計(jì)與實(shí)施本方案采用RG-WALL160M進(jìn)行防火墻的策略配置。首先，對防火墻進(jìn)行管理與初始化配置，然后再按照本方案的要求進(jìn)行防火墻的基本配置，如防火墻接口IP地址配置、路由配置以及安全規(guī)則等設(shè)置。本校園網(wǎng)安全方案中，學(xué)校出口有2條100M鏈路，分別是教育網(wǎng)和電信網(wǎng)，客戶內(nèi)網(wǎng)是教育網(wǎng)公網(wǎng)地址，要求訪問教育網(wǎng)的資源走教育網(wǎng)，訪問其他的資源走電信網(wǎng)，并且DMZ服務(wù)器分別映射到教育網(wǎng)和網(wǎng)通IP地址。具體的配置過程如下：3.防火墻模塊安全設(shè)計(jì)與實(shí)施27（1）防火墻IP地址配置，如圖10-18所示。（2）路由配置：配置去往教育網(wǎng)的路由，下一跳為教育網(wǎng)，再配置默認(rèn)路由，下一跳為電信網(wǎng)，如圖10-19，圖10-20所示。并配置防火墻內(nèi)網(wǎng)接口啟用源路由功能，如圖10-21所示。圖10-18IP地址配置（1）防火墻IP地址配置，如圖10-18所示。圖10-128圖10-21配置啟用源路由功能圖10-22安全規(guī)則（3）安全規(guī)則的配置：安全規(guī)則配置是防火墻配置的重點(diǎn)，具體配置如圖10-22所示，其中：內(nèi)網(wǎng)服務(wù)器映射成教育網(wǎng)IP地址，允許任意源地址訪問，同時，設(shè)置源路由讓此服務(wù)器的數(shù)據(jù)流從教育網(wǎng)出去；內(nèi)網(wǎng)服務(wù)器映射成電信網(wǎng)IP地址，允許任意源地址訪問，同時，設(shè)置源路由讓此服務(wù)器的數(shù)據(jù)流從電信線路出去；內(nèi)網(wǎng)訪問教育網(wǎng)資源的數(shù)據(jù)流，做包過濾規(guī)則允許通過；內(nèi)網(wǎng)訪問其他資源的數(shù)據(jù)流，做NAT規(guī)則轉(zhuǎn)換成網(wǎng)通的地址通過。圖10-21配置啟用源路由功能294.

IDS入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)施入侵檢測系統(tǒng)可以檢測校園網(wǎng)的入侵行為并將這些信息通知給管理員或相關(guān)安全設(shè)備（如防火墻）來進(jìn)行防御。RG-IDS依賴于一個或多個傳感器來監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)流。這些傳感器代表著RG-IDS的眼睛。因此，傳感器在某些重要位置的部署對于RG-IDS能否發(fā)揮作用至關(guān)重要。本方案的IDS模塊的拓?fù)浣Y(jié)構(gòu)如圖10-23所示。4.IDS入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)施30 傳感器利用策略來控制其所監(jiān)測的內(nèi)容，并對監(jiān)測到的事件做出響應(yīng)。設(shè)置步驟如下： （1）單擊主界面上的“策略”按鈕，切換到策略編輯器界面，如圖10-24所示，單擊工具欄上的“編輯鎖定”按鈕，如圖10-25所示。圖10-24策略設(shè)置圖10-25編輯鎖定 傳感器利用策略來控制其所監(jiān)測的內(nèi)容，并對監(jiān)測到的事件做出響31 再單擊工具欄上的“派生策略”按鈕在彈出的窗口中輸入新策略的名稱，如圖10-26所示，單擊“確定”按鈕。（2）策略編輯：單擊自定義策略，單擊“編輯鎖定”以確保其他人不能同時更改策略，然后根據(jù)需求來設(shè)置策略，如下圖10-27所示。 再單擊工具欄上的“派生策略”按鈕在彈出的窗口中輸入新策略的32（3）策略應(yīng)用。選擇需要下發(fā)的策略，單擊“應(yīng)用策略”按鈕，如下圖10-28所示

（3）策略應(yīng)用。選擇需要下發(fā)的策略，單擊“應(yīng)用策略”按鈕，如3311.1.5項(xiàng)目總結(jié) 本方案根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的總體規(guī)劃,從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全四個方面安全和管理措施設(shè)計(jì)出一整套解決方案，目的是要建立一個完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。方案中，我們主要采用了星網(wǎng)銳捷公司的安全產(chǎn)品來對校園網(wǎng)進(jìn)行安全設(shè)計(jì)，如RG-S3760E-24、RG-WALL160M、RG-IDS500S、RG-WALLV160S，這些產(chǎn)品在功能上完全能夠滿足本方案的需求，并實(shí)現(xiàn)了安全、VPN安全、防火墻安全、IDS與防火墻聯(lián)動的安全設(shè)置等內(nèi)容，同時，還對方案進(jìn)行了測試驗(yàn)證，并得到了較好的實(shí)驗(yàn)效果。 本方案在設(shè)計(jì)上還具有局限性，今后的改進(jìn)目標(biāo)主要有以下幾個方面：（1）設(shè)計(jì)更復(fù)雜的測試環(huán)境，來檢查方案中存在的缺陷；（2）改進(jìn)本方案的拓?fù)浣Y(jié)構(gòu)，使之能夠適應(yīng)更大規(guī)模的網(wǎng)絡(luò)需求；（3）采用更先進(jìn)的技術(shù)，將其融入到本方案中，從而達(dá)到更好的安全防御效果。11.1.5項(xiàng)目總結(jié)34任務(wù)11.2企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)11.2.1企業(yè)網(wǎng)絡(luò)安全需求分析1.企業(yè)網(wǎng)絡(luò)業(yè)務(wù)安全需求（1）控制網(wǎng)絡(luò)不同部門之間的互相訪問；（2）對不斷變更的用戶進(jìn)行有效的管理；（3）防止網(wǎng)絡(luò)廣播風(fēng)暴影響系統(tǒng)關(guān)鍵業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，甚至導(dǎo)致系統(tǒng)的崩潰；（4）加強(qiáng)遠(yuǎn)程撥號用戶的安全認(rèn)證管理；（5）實(shí)現(xiàn)企業(yè)局域網(wǎng)與其他各網(wǎng)絡(luò)之間的安全、高速數(shù)據(jù)訪問交換；（6）建立局域網(wǎng)的立體殺毒系統(tǒng)；（7）建立WWW服務(wù)器，實(shí)現(xiàn)企業(yè)在Internet和Intranet上的信息發(fā)布，使公司內(nèi)外的人員能夠及時了解公司的最新信息；（8）建立郵件服務(wù)器，實(shí)現(xiàn)企業(yè)工作人員與上級機(jī)構(gòu)、分支機(jī)構(gòu)之間的電子信息的傳遞；（9）構(gòu)建起企業(yè)運(yùn)行基于網(wǎng)絡(luò)設(shè)計(jì)的Client/Server(客戶機(jī)/服務(wù)器)或Browser/Server(瀏覽器/服務(wù)器)結(jié)構(gòu)的辦公自動化系統(tǒng)、各種信息管理系統(tǒng)的網(wǎng)絡(luò)硬件平臺和系統(tǒng)運(yùn)行平臺。任務(wù)11.2企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)11.2.1企業(yè)網(wǎng)絡(luò)安352.存在的安全威脅1）外部威脅企業(yè)網(wǎng)絡(luò)的外部安全威脅主要來源于以下幾個方面：（1）病毒侵襲；（2）黑客入侵；（3）垃圾郵件；（4）無線網(wǎng)絡(luò)、移動手機(jī)帶來的安全威脅。2）內(nèi)部威脅企業(yè)網(wǎng)絡(luò)的內(nèi)部安全威脅主要來源于以下幾個方面：（1）用戶的操作失誤帶來的安全問題；（2）某些用戶故意的破壞，如被解雇或工作變動的職員因?qū)镜牟粷M而對企業(yè)網(wǎng)絡(luò)進(jìn)行破壞或盜取公司的機(jī)密信息；（3）用戶的無知引起的安全問題。3）網(wǎng)絡(luò)設(shè)備的安全隱患網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)系統(tǒng)的主要組成部分，是網(wǎng)絡(luò)運(yùn)行的核心。網(wǎng)絡(luò)運(yùn)行狀況根本上是由網(wǎng)絡(luò)設(shè)備的運(yùn)行性能和運(yùn)行狀態(tài)決定的，因此，網(wǎng)絡(luò)設(shè)備穩(wěn)定可靠的運(yùn)行對整個網(wǎng)絡(luò)系統(tǒng)的正常工作起著關(guān)鍵性作用。特別是對于可以通過遠(yuǎn)程連接TELNET、網(wǎng)管、WEB等方式進(jìn)行配置管理的網(wǎng)絡(luò)設(shè)備（如路由器、防火墻等）容易受到入侵的攻擊，主要的安全隱患表現(xiàn)在以下幾個方面：（1）人為因素；（2）網(wǎng)絡(luò)設(shè)備運(yùn)行的操作系統(tǒng)存在漏洞；（3）網(wǎng)絡(luò)設(shè)備提供不必要的服務(wù)；（4）網(wǎng)絡(luò)設(shè)備沒有安全存放，易受臨近攻擊。2.存在的安全威脅363.企業(yè)網(wǎng)絡(luò)安全建設(shè)的原則1）系統(tǒng)性原則企業(yè)網(wǎng)絡(luò)系統(tǒng)整個安全系統(tǒng)的建設(shè)要有系統(tǒng)性和適應(yīng)性，不因網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展、信息系統(tǒng)攻防技術(shù)的深化和演變、系統(tǒng)升級和配置的變化，而導(dǎo)致在系統(tǒng)的整個生命期內(nèi)的安全保護(hù)能力和抗御風(fēng)險的能力降低。2）技術(shù)先進(jìn)性原則企業(yè)網(wǎng)絡(luò)系統(tǒng)整個安全系統(tǒng)的設(shè)計(jì)采用先進(jìn)的安全體系進(jìn)行結(jié)構(gòu)性設(shè)計(jì)，選用先進(jìn)、成熟的安全技術(shù)和設(shè)備，實(shí)施中采用先進(jìn)可靠的工藝和技術(shù)，提高系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性。3）管理可控性原則系統(tǒng)的所有安全設(shè)備（管理、維護(hù)和配置）都應(yīng)自主可控；系統(tǒng)安全設(shè)備的采購必須有嚴(yán)格的手續(xù)；安全設(shè)備必須有相應(yīng)機(jī)構(gòu)的認(rèn)證或許可標(biāo)記；安全設(shè)備供應(yīng)商應(yīng)具備相應(yīng)資質(zhì)并可信。4）適度安全性原則系統(tǒng)安全方案應(yīng)充分考慮保護(hù)對象的價值與保護(hù)成本之間的平衡性，在允許的風(fēng)險范圍內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執(zhí)行或無法執(zhí)行。5）技術(shù)與管理相結(jié)合原則企業(yè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是一個復(fù)雜的系統(tǒng)工程，它包括產(chǎn)品、過程和人的因素，因此它的安全解決方案，必須在考慮技術(shù)解決方案的同時充分考慮管理、法律、法規(guī)方面的制約和調(diào)控作用。單靠技術(shù)或單靠管理都不可能真正解決安全問題，因此必須堅(jiān)持技術(shù)和管理相結(jié)合的原則。6）測評認(rèn)證原則企業(yè)網(wǎng)絡(luò)系統(tǒng)作為重要的政務(wù)系統(tǒng)，其系統(tǒng)的安全方案和工程設(shè)計(jì)必須通過國家有關(guān)部門的評審，采用的安全產(chǎn)品和保密設(shè)備需經(jīng)過國家主管理部門的認(rèn)可。7）系統(tǒng)可伸縮性原則企業(yè)網(wǎng)絡(luò)系統(tǒng)將隨著網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展而發(fā)生變化，同時信息安全技術(shù)也在發(fā)展，因此安全系統(tǒng)的建設(shè)必須考慮系統(tǒng)可升級性和可伸縮性。重要和關(guān)鍵的安全設(shè)備不因網(wǎng)絡(luò)變化或更換而廢棄。3.企業(yè)網(wǎng)絡(luò)安全建設(shè)的原則3711.2.2企業(yè)網(wǎng)總體設(shè)計(jì)1.企業(yè)網(wǎng)總體設(shè)計(jì)拓?fù)鋱D圖11-29企業(yè)網(wǎng)絡(luò)拓?fù)鋱D11.2.2企業(yè)網(wǎng)總體設(shè)計(jì)圖11-29企業(yè)網(wǎng)絡(luò)拓?fù)鋱D38企業(yè)網(wǎng)絡(luò)總體拓?fù)浣Y(jié)構(gòu)如圖11-29所示，其部門的IP地址規(guī)劃如表11-4所示。設(shè)備IP地址規(guī)劃如表11-5所示。表11-4部門IP地址規(guī)劃表表11-5設(shè)備IP地址規(guī)劃分配表企業(yè)網(wǎng)絡(luò)總體拓?fù)浣Y(jié)構(gòu)如圖11-29所示，其部門的IP地址規(guī)劃392.功能模塊設(shè)計(jì)分析 本方案主要實(shí)現(xiàn)以下幾個功能模塊：（1）防火墻功能模塊，主要實(shí)現(xiàn)防火墻的部署、防火墻策略設(shè)置、與IDS聯(lián)動等；（2）虛擬專用網(wǎng)功能模塊，主要實(shí)現(xiàn)雙機(jī)熱備、與防火墻雙重防護(hù)關(guān)鍵服務(wù)器群、與IDS聯(lián)動、PKI用戶認(rèn)證設(shè)置、IPSecVPN和VPN虛擬子網(wǎng)設(shè)置等；（3）入侵檢測功能模塊，實(shí)現(xiàn)與防火墻的聯(lián)動；（4）三層交換機(jī)安全功能模塊，主要實(shí)現(xiàn)VLAN、IP與MAC綁定、與IDS聯(lián)動等；（5）病毒防護(hù)功能模塊等。2.功能模塊設(shè)計(jì)分析4011.2.3防火墻系統(tǒng)設(shè)計(jì)1.防火墻的部署在防火墻的部署方式上，類似于區(qū)域分割的三角方式，是指將網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)（軍事化區(qū)域）、外部網(wǎng)絡(luò)和DMZ區(qū)域。例如，將Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、前臺查詢計(jì)算機(jī)等放置在DMZ區(qū)域，而內(nèi)部的文件服務(wù)器、數(shù)據(jù)庫服務(wù)器等關(guān)鍵應(yīng)用都放置在內(nèi)部網(wǎng)絡(luò)中，從而使它們受到良好的保護(hù)，如圖11-30所示。圖11-30防火墻部署企業(yè)網(wǎng)絡(luò)擁有自己的FTP、Web和Mail等服務(wù)器，并對Internet及內(nèi)部用戶提供相應(yīng)的服務(wù)。其中，將向外提供服務(wù)的主機(jī)旋轉(zhuǎn)在DMZ區(qū)，以保證內(nèi)部的安全。在接入Internet時，本方案選擇使用防火墻來接入，并實(shí)現(xiàn)NAT、PAT和ACL等配置方案。11.2.3防火墻系統(tǒng)設(shè)計(jì)圖11-30防火墻部署企業(yè)網(wǎng)絡(luò)412.防火墻應(yīng)用規(guī)則與配置 1）配置IP/MAC綁定與主機(jī)保護(hù)設(shè)置IP/MAC地址綁定，就可以執(zhí)行IP/MAC地址對的探測。如果防火墻某網(wǎng)口配置了“IP/MAC地址綁定啟用功能”、“IP/MAC地址綁定的默認(rèn)策略（允許或禁止）”，當(dāng)該網(wǎng)口接收數(shù)據(jù)包時，將根據(jù)數(shù)據(jù)包中的源IP地址與源MAC地址，檢查管理員設(shè)置好的IP/MAC地址綁定表。如果地址綁定表中查找成功并匹配，則允許數(shù)據(jù)包通過，不匹配則禁止數(shù)據(jù)包通過。如果查找失敗，則按缺省策略（允許或禁止）執(zhí)行。使用命令添加IP/MAC地址綁定： 語法：ipmacadd<ip><mac>[if{<name>|none}][unique{on|off}] 參數(shù)說明：ip指定IP地址，mac指定MAC地址，if指定相應(yīng)的網(wǎng)絡(luò)接口，可選參數(shù)，默認(rèn)為不指定網(wǎng)絡(luò)接口unique指定是否進(jìn)行MAC地址的唯一性檢查，可選參數(shù)，默認(rèn)為不檢查。例如，firewall>ipmacadd5400:05:66:00:88:B8ifnoneuniqueoff2.防火墻應(yīng)用規(guī)則與配置42

2）配置防火墻URL過濾 WEB服務(wù)是Internet上使用最多的服務(wù)之一。Internet上信息魚龍混雜，存在部分不良信息，因此必須對其訪問進(jìn)行必要的控制。RG-WALL防火墻可以通過對某些URL進(jìn)行過濾實(shí)現(xiàn)對訪問不良信息的控制。通過使用黑名單和白名單來控制用戶不能訪問哪些URL，可以訪問哪些URL。 3）NAT配置 NAT技術(shù)能夠解決IP地址不夠的問題，同時，也能夠隱藏網(wǎng)絡(luò)內(nèi)部信息，從而保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。 RG-WALL防火墻支持源地址一對一的轉(zhuǎn)換，也支持源地址轉(zhuǎn)換為地址池中的某一個地址。用戶可通過安全規(guī)則設(shè)定需要轉(zhuǎn)換的源地址（支持網(wǎng)絡(luò)地址范圍）、源端口。此處的NAT指正向NAT，正向NAT也是動態(tài)NAT，通過系統(tǒng)提供的NAT地址池，支持多對多，多對一，一對多，一對一的轉(zhuǎn)換關(guān)系。 4）配置安全規(guī)則 安全規(guī)則的配置可以說是防火墻最重要的配置了，因?yàn)闆]有安全規(guī)則，防火墻是不能轉(zhuǎn)發(fā)數(shù)據(jù)流的。默認(rèn)情況下，防火墻的行為是，除非明文允許，否則全部禁止。防火墻支持的安全規(guī)則有包過濾、NAT、IP映射、端口映射和代理等。 5）配置防火墻主機(jī)保護(hù) 增加主機(jī)保護(hù)確保關(guān)鍵服務(wù)器的安全穩(wěn)定，用于保護(hù)服務(wù)器訪問時不會因?yàn)楣舳^載。 2）配置防火墻URL過濾4311.2.4虛擬專用網(wǎng)設(shè)計(jì)1.VPN系統(tǒng)部署 VPN系統(tǒng)部署的詳細(xì)拓?fù)浣Y(jié)構(gòu)如圖11-31所示。圖11-31VPN部署11.2.4虛擬專用網(wǎng)設(shè)計(jì)圖11-31VPN部署44 1）總部網(wǎng)絡(luò)VPN系統(tǒng)部署 RG-WALLV160S作為認(rèn)證網(wǎng)關(guān)，對內(nèi)網(wǎng)的關(guān)鍵服務(wù)器進(jìn)行認(rèn)證控制，非授權(quán)用戶不能訪問。USBKEY保障密鑰的安全性，進(jìn)一步降低安全使用風(fēng)險。兩臺數(shù)據(jù)中心的RG-WALLV160S通過HA實(shí)現(xiàn)雙機(jī)熱，雙網(wǎng)鏈路冗余和狀態(tài)熱備快速故障恢復(fù)。 2）分支機(jī)構(gòu)VPN系統(tǒng)部署 企業(yè)分支機(jī)構(gòu)一般指分布在全國各地規(guī)模中等的分公司，公司內(nèi)部建有中等規(guī)模的局域網(wǎng)，同時通過當(dāng)?shù)豂SP提供的寬帶接入方式接入Internet并安裝一臺VPN設(shè)備，作為客戶端接入總部。 3）移動辦公網(wǎng)點(diǎn)VPN系統(tǒng)部署 采用L2TP+IPSEC隧道協(xié)議，接入總部，用戶即使在乘坐車船甚至飛機(jī)的途中，可隨時隨地實(shí)現(xiàn)移動辦公，猶如在辦公室一樣方便流暢地交流信息。 4）合作伙伴VPN部署 商業(yè)合作伙伴可能要實(shí)時共享某些信息，網(wǎng)絡(luò)類似分支機(jī)構(gòu)接入，通過防火墻策略設(shè)置訪問權(quán)限。 1）總部網(wǎng)絡(luò)VPN系統(tǒng)部署452.VPN雙機(jī)熱備份 本方案采用遠(yuǎn)程安全接入和邊界安全防護(hù)的組合解決方案。針對本企業(yè)對系統(tǒng)和數(shù)據(jù)的高可用性和高安全性的需求，采用了兩臺RG-WALLV160S通過HA實(shí)現(xiàn)雙機(jī)熱備，雙網(wǎng)鏈路冗余。該方案為用戶提供了強(qiáng)大的容錯功能，避免了單點(diǎn)故障，快速自動恢復(fù)正常通信。網(wǎng)絡(luò)本身通過VPN網(wǎng)關(guān)實(shí)現(xiàn)數(shù)據(jù)在廣域網(wǎng)鏈路中的安全傳輸，防止被竊聽或被篡改。設(shè)計(jì)中兩臺RG-WALLV160S之間通過HA來實(shí)現(xiàn)雙機(jī)熱備，主機(jī)和備機(jī)通過一條串口線連接，正常工作時，主機(jī)處于工作狀態(tài)，備機(jī)網(wǎng)口處于down狀態(tài)，主機(jī)和備機(jī)的配置完全相同，并通過串口線同步動態(tài)信息，更加增強(qiáng)了網(wǎng)絡(luò)的可靠性，當(dāng)主機(jī)出現(xiàn)問題或者鏈路不通時，備機(jī)將在3~6秒鐘之內(nèi)進(jìn)入工作狀態(tài)，接管主機(jī)的工作，整個切換過程平滑透明，網(wǎng)絡(luò)用戶只會感覺到有短暫的加大，不會對整個網(wǎng)絡(luò)造成大的影響。2.VPN雙機(jī)熱備份463.VPN與防火墻雙重防護(hù)關(guān)鍵服務(wù)器群 在服務(wù)器群網(wǎng)絡(luò)外部署的兩臺VPN外又添加了兩臺虛擬防火墻，從而提高關(guān)鍵位置的安全性及敏感數(shù)據(jù)的安全性。以此防止惡意用戶在網(wǎng)絡(luò)中進(jìn)行非法網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)訪問。并能同時保證公司帶寬投入得到有效地利用。就算黑客能突破虛擬防火墻，里面還有一層VPN認(rèn)證防護(hù)，提高了安全級別。4.VPN與IDS聯(lián)動網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個整體，必須配相應(yīng)的安全產(chǎn)品。作為必要的補(bǔ)充，入侵檢測系統(tǒng)（IDS）可與安全VPN系統(tǒng)形成互補(bǔ)。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)（阻斷、報警、發(fā)送E-mail）。從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過VPN設(shè)備，而入侵檢測設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過報警、通知VPN設(shè)備中斷網(wǎng)絡(luò)（即IDS與VPN聯(lián)動功能）等方式進(jìn)行控制（即安全設(shè)備自適應(yīng)機(jī)制），最后將攻擊行為進(jìn)行日志記錄以供以后審查。3.VPN與防火墻雙重防護(hù)關(guān)鍵服務(wù)器群475.PKI配置與用戶認(rèn)證配置 由于銳捷VPN設(shè)備采用標(biāo)準(zhǔn)X.509證書進(jìn)行設(shè)備身份標(biāo)識，所以系統(tǒng)提供標(biāo)準(zhǔn)PKI（公鑰基礎(chǔ)設(shè)施）配置。銳捷VPN設(shè)備可以對遠(yuǎn)程用戶進(jìn)行身份驗(yàn)證。目前可以支持一次性口令認(rèn)證、數(shù)字證書認(rèn)證、第三方Radius認(rèn)證和SecureID認(rèn)證。6.報文過濾 設(shè)置報文過濾策略來指定某些傳輸層協(xié)議能否通過VPN。另外可以通過配置與IDS的聯(lián)動規(guī)則，當(dāng)IDS檢測到攻擊后，將立即通知報文過濾模塊，過濾模塊一方面顯示對應(yīng)的IDS過濾規(guī)則，同時也會對攻擊報文進(jìn)行過濾，從而阻止其對內(nèi)部網(wǎng)絡(luò)的攻擊。7.VPN虛子網(wǎng)配置 如果用戶網(wǎng)絡(luò)中不同VPN設(shè)備保護(hù)的內(nèi)部子網(wǎng)地址相同，出現(xiàn)了沖突，那么常規(guī)VPN設(shè)備就會要求用戶進(jìn)行地址調(diào)整，但是銳捷VPN可以允許用戶通過虛子網(wǎng)來解決這個問題。 所謂虛子網(wǎng)就是把沖突一方的網(wǎng)絡(luò)地址映射成另外一個不沖突的子網(wǎng)地址，網(wǎng)絡(luò)地址部分發(fā)生變化，但是主機(jī)地址部分不變，這樣用戶仍然可以知道變換后對方的主機(jī)地址。8.日志審計(jì)配置 日志記錄提供對系統(tǒng)活動的詳細(xì)審計(jì)，銳捷VPN提供了詳細(xì)的日志審計(jì)信息，這些信息用于評估、審查系統(tǒng)的運(yùn)行環(huán)境和各種操作,能夠幫助管理員來尋找系統(tǒng)中存在的問題，對系統(tǒng)維護(hù)十分有用。管理器中對日志進(jìn)行分級管理，使日志信息更詳盡、更規(guī)范、層次更清楚。5.PKI配置與用戶認(rèn)證配置4811.2.5入侵檢測系統(tǒng)設(shè)計(jì) 本方案實(shí)現(xiàn)入侵檢測系統(tǒng)與防火墻的聯(lián)動，從而使防火墻可以根據(jù)網(wǎng)絡(luò)運(yùn)行的狀況來動態(tài)設(shè)置防火墻規(guī)則，其部署的方拓?fù)浣Y(jié)構(gòu)如圖11-32所示。圖11-32防火墻與IDS的聯(lián)動部署11.2.5入侵檢測系統(tǒng)設(shè)計(jì)圖11-32防火墻與IDS的4911.2.6三層交換機(jī)系統(tǒng)設(shè)計(jì) 三層核心交換機(jī)是整個企業(yè)網(wǎng)絡(luò)的中樞節(jié)點(diǎn)，因此它的合理設(shè)置和安全規(guī)劃將影響到整個網(wǎng)絡(luò)的運(yùn)行。本方案將從以下幾個方面進(jìn)行設(shè)計(jì)： （1）合理的VLAN劃分規(guī)劃； （2）IP與MAC地址的綁定設(shè)計(jì)； （3）防攻擊的系統(tǒng)保護(hù)配置； （4）動態(tài)的ARP檢測配置，防止ARP欺騙攻擊等。11.2.6三層交換機(jī)系統(tǒng)設(shè)計(jì)5011.2.7病毒防御系統(tǒng)設(shè)計(jì) 企業(yè)網(wǎng)絡(luò)的病毒防御體系要針對企業(yè)網(wǎng)絡(luò)的現(xiàn)狀，對網(wǎng)絡(luò)中可能存在的病毒入侵點(diǎn)進(jìn)行詳細(xì)分析，然后對其進(jìn)行層層防護(hù)，對癥下藥才能真正保護(hù)企業(yè)網(wǎng)絡(luò)的安全。一般情況下，病毒的入侵點(diǎn)主要有： （1）從客戶端入侵：任何一個客戶端計(jì)算機(jī)都可能會通過可移動介質(zhì)、Internet下載、接收Email以及訪問受感染的服務(wù)器等途徑被病毒侵害，如果此客戶端再去訪問企業(yè)網(wǎng)絡(luò)或其中的資源，則很有可能會把這些病毒傳播出去，而且目前大部分病毒都可以自動進(jìn)行復(fù)制傳播，增加了其對企業(yè)網(wǎng)絡(luò)的危害性； （2）從文件或應(yīng)用服務(wù)器入侵：如果這些服務(wù)器被病毒侵害，則訪問這些服務(wù)器的客戶機(jī)將非常容易感染病毒； （3）從網(wǎng)關(guān)入侵：網(wǎng)關(guān)是一個企業(yè)網(wǎng)絡(luò)的門戶，任何防火墻都無法阻止Internet上病毒的入侵。 本方案的企業(yè)網(wǎng)絡(luò)防病毒產(chǎn)品的部署如圖11-33所示。11.2.7病毒防御系統(tǒng)設(shè)計(jì)51圖11-33企業(yè)網(wǎng)絡(luò)防病毒產(chǎn)品部署圖11-33企業(yè)網(wǎng)絡(luò)防病毒產(chǎn)品部署5211.2.10項(xiàng)目總結(jié) 本方案主要是以IDS為中心的聯(lián)動來實(shí)現(xiàn)全網(wǎng)動態(tài)安全部署，并融合配置IDS、防火墻、VPN和三層交換機(jī)等設(shè)備，采用多手段多方位的立體防御體系，特別是對核心和保密部門加強(qiáng)其隧道實(shí)現(xiàn)技術(shù)，并通過測試，成功驗(yàn)證方案的可行性。但本方案在安全細(xì)節(jié)上設(shè)計(jì)的還不夠，需要在實(shí)際的運(yùn)行過程中不斷改進(jìn)完善，使之成為一個安全、可靠、先進(jìn)的企業(yè)網(wǎng)絡(luò)安全方案。11.2.10項(xiàng)目總結(jié)53任務(wù)11.3政府網(wǎng)絡(luò)安全方案設(shè)計(jì)任務(wù)11.3.1了解政府網(wǎng)絡(luò)安全現(xiàn)狀 某地稅分局外網(wǎng)建設(shè)的目的是能夠通過構(gòu)建一個統(tǒng)一、高效、可靠、安全的信息化平臺，有效促進(jìn)稅務(wù)網(wǎng)絡(luò)互聯(lián)互通和稅務(wù)信息資源共享，形成統(tǒng)一的某地稅網(wǎng)絡(luò)和資源共享平臺。同時，能夠?yàn)槭?、區(qū)各級相關(guān)部門在進(jìn)行職能辦公、社會管理、公共服務(wù)等業(yè)務(wù)應(yīng)用提供支持，將網(wǎng)絡(luò)服務(wù)延伸到鄉(xiāng)（鎮(zhèn)、街道）、村（社區(qū)），使網(wǎng)絡(luò)服務(wù)惠及全民。 地稅分局外網(wǎng)連接著市及其所管轄的某區(qū)各相關(guān)稅務(wù)局網(wǎng)絡(luò)，是某區(qū)稅務(wù)局面向公眾服務(wù)的重要信息網(wǎng)絡(luò)樞紐，也是各部門實(shí)現(xiàn)縱向和橫向互聯(lián)互通、整合Internet出口和共享資源的統(tǒng)一網(wǎng)絡(luò)平臺。 某地稅分局辦公樓高為五層，核心機(jī)房在一樓弱電間，網(wǎng)絡(luò)接入節(jié)點(diǎn)約60個，網(wǎng)絡(luò)結(jié)構(gòu)采用單核心結(jié)構(gòu)。外網(wǎng)為公共信息服務(wù)平臺和一般的辦公網(wǎng)絡(luò)，通過ISP運(yùn)營商接入Internet，內(nèi)網(wǎng)則通過專線連接與市局相連接。任務(wù)11.3政府網(wǎng)絡(luò)安全方案設(shè)計(jì)任務(wù)11.3.1了解政54任務(wù)11.3.2政府網(wǎng)安全需求分析1．政府網(wǎng)絡(luò)安全隱患 政府對網(wǎng)絡(luò)的安全需求是全方位的，整體的，相應(yīng)的網(wǎng)絡(luò)安全體系也是分層次的，在不同層次反映了不同的安全問題。根據(jù)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀和網(wǎng)絡(luò)結(jié)構(gòu)，本方案基于物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和管理安全五個安全層面分別進(jìn)行了分析，提交詳細(xì)的風(fēng)險分析報告。地稅分局外網(wǎng)可能面臨的安全威脅和風(fēng)險具體見下表11-6。任務(wù)11.3.2政府網(wǎng)安全需求分析552．地稅分局政府網(wǎng)絡(luò)安全需求 地稅分局外網(wǎng)對信息安全程度要求較高，因其涉及到重要信息的泄密等。構(gòu)筑網(wǎng)絡(luò)安全系統(tǒng)的最終目的是對網(wǎng)絡(luò)資源或者說是保護(hù)對象，實(shí)施最有效的安全保護(hù)。地稅分局外網(wǎng)的安全，既涉及到各種硬件通信設(shè)施和各種服務(wù)器、終端設(shè)備的安全，又涉及到各種系統(tǒng)軟件、通用應(yīng)用軟件和自行開發(fā)的應(yīng)用程序的安全；既涉及各種信息安全技術(shù)本身，也涉及保障這些安全技術(shù)順利實(shí)施的各種安全管理。任何一種或幾種安全技術(shù)都無法解決網(wǎng)絡(luò)中的所有安全問題，必須以科學(xué)的安全保障體系結(jié)構(gòu)模型為依據(jù)，全面系統(tǒng)地分析內(nèi)外網(wǎng)的安全保障需求，為建立科學(xué)合理的安全保障體系打下堅(jiān)實(shí)的基礎(chǔ)。 針對地稅分局外網(wǎng)的網(wǎng)絡(luò)安全需要從以下方面考慮： （1）針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如構(gòu)建屏蔽室。采用輻射干擾機(jī)，防止電磁輻射泄漏機(jī)密信息。對重要的設(shè)備和重要系統(tǒng)進(jìn)行備份等安全保護(hù)。（2）不同業(yè)務(wù)網(wǎng)絡(luò)之間的物理隔離或者邏輯隔離，特別是外網(wǎng)與因特網(wǎng)之間，外網(wǎng)與內(nèi)網(wǎng)之間需要通過邏輯或物理隔離保證網(wǎng)絡(luò)邊界的安全。有效保障各網(wǎng)絡(luò)系統(tǒng)之間的數(shù)據(jù)安全，確保政府部門內(nèi)部保密數(shù)據(jù)的安全性和可靠性。（3）嚴(yán)格控制各種人員對地稅分局內(nèi)部網(wǎng)絡(luò)的接入，尤其是地稅分局內(nèi)部網(wǎng)絡(luò)的接入，防止政府部門內(nèi)部涉密信息的外泄。2．地稅分局政府網(wǎng)絡(luò)安全需求56（4）確保合法用戶使用合法網(wǎng)絡(luò)資源，通過統(tǒng)一的用戶身份認(rèn)證體系，確認(rèn)用戶的真實(shí)身份，嚴(yán)格控制用戶的訪問，防范非法用戶非法訪問、合法用戶非授權(quán)訪問和假冒合法用戶非法訪問等安全威脅。（5）具有靈活、方便、有效的注冊機(jī)制、身份認(rèn)證機(jī)制和授權(quán)管理機(jī)制，保證內(nèi)、外網(wǎng)中的數(shù)據(jù)的可控性和不可否認(rèn)性。（6）保護(hù)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性，加強(qiáng)遠(yuǎn)程接入的安全，保證遠(yuǎn)程用戶安全的訪問應(yīng)用數(shù)據(jù)資源。（7）稅務(wù)網(wǎng)上申報系統(tǒng)采用加密措施，構(gòu)建CA系統(tǒng)通過信任的第三方來確保通信雙方互相交換信息，就可以解決加密系統(tǒng)對密鑰的分發(fā)及管理的可靠性卻存在安全問題。（8）網(wǎng)絡(luò)系統(tǒng)需要充分考慮各種網(wǎng)絡(luò)設(shè)備的安全，保障網(wǎng)絡(luò)系統(tǒng)在受到蠕蟲、掃描等攻擊時網(wǎng)絡(luò)設(shè)備的穩(wěn)定性，充分提升政府網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性。（9）各網(wǎng)絡(luò)系統(tǒng)內(nèi)部需要從網(wǎng)絡(luò)設(shè)備到網(wǎng)絡(luò)應(yīng)用等多個層面，充分考慮各層面的網(wǎng)絡(luò)安全，以保障網(wǎng)絡(luò)系統(tǒng)內(nèi)部對病毒、攻擊等的防護(hù)。（10）保護(hù)稅務(wù)網(wǎng)絡(luò)中主機(jī)資源安全，及時發(fā)現(xiàn)系統(tǒng)和數(shù)據(jù)庫的安全漏洞，以有效避免黑客攻擊的發(fā)生，確保網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性，做到防患于未然。（4）確保合法用戶使用合法網(wǎng)絡(luò)資源，通過統(tǒng)一的用戶身份認(rèn)證體57（11）防范病毒的侵害，建立有效的防病毒機(jī)制，防止病毒在整個網(wǎng)絡(luò)中的大規(guī)模傳播，防止各種病毒等進(jìn)入內(nèi)部網(wǎng)。 （12）安全的防護(hù)不能是單一的，需要各種網(wǎng)絡(luò)安全設(shè)備聯(lián)合防護(hù)，提供網(wǎng)絡(luò)的全面安全。 （12）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理，實(shí)時監(jiān)控和動態(tài)監(jiān)測網(wǎng)絡(luò)的運(yùn)行狀態(tài)，監(jiān)控內(nèi)網(wǎng)用戶的各種訪問行為。 （13）整個安全系統(tǒng)必須提供詳實(shí)的安全日志功能。 （14）建立網(wǎng)絡(luò)的安全審計(jì)體系，完善特定應(yīng)用及服務(wù)的安全報告、日志和審計(jì)的功能，建立準(zhǔn)確的審計(jì)體系。 （15）具有有效的應(yīng)急處理和災(zāi)難恢復(fù)機(jī)制，確保突發(fā)事件后能迅速恢復(fù)系統(tǒng)的各項(xiàng)服務(wù)。 （16）安全管理體制健全的人的安全意識可以通過安全常識培訓(xùn)來提高。人的行為的約束只能通過嚴(yán)格的管理體制，并利用法律手段來實(shí)現(xiàn)。（11）防范病毒的侵害，建立有效的防病毒機(jī)制，防止病毒在整個58 3）網(wǎng)絡(luò)安全設(shè)計(jì)的目標(biāo) 根據(jù)上述政務(wù)外網(wǎng)將面臨的威脅和風(fēng)險，政府建立網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)目標(biāo)應(yīng)該滿足保密性、完整性、可用性、可控性和擴(kuò)展性的要求，建立從物理、網(wǎng)絡(luò)、系統(tǒng)、信息和管理等方面的整體安全體系，實(shí)現(xiàn)綜合防范機(jī)制，保障網(wǎng)絡(luò)安全、高效、可靠的運(yùn)行。 政務(wù)外網(wǎng)建立網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)目標(biāo)： （1）保密性：信息不被泄露給非授權(quán)用戶的特性。 （2）完整性：信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。 （3）可用性：易于操作、維護(hù)，并便于自動化管理。 （4）可控性：控對信息的傳播及內(nèi)容具有控制能力。（5）擴(kuò)展性：便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展。 3）網(wǎng)絡(luò)安全設(shè)計(jì)的目標(biāo)59 基于以上的設(shè)計(jì)目標(biāo)，本方案網(wǎng)絡(luò)安全建設(shè)將實(shí)現(xiàn)以下具體安全目標(biāo)： （1）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性； （2）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性； （3）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問； （4）防范入侵者的惡意攻擊與破壞； （5）保護(hù)政府信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性； （6）防范病毒的侵害；（7）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。 基于以上的設(shè)計(jì)目標(biāo)，本方案網(wǎng)絡(luò)安全建設(shè)將實(shí)現(xiàn)以下具體安全目60 4）網(wǎng)絡(luò)安全設(shè)計(jì)的原則 政府網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)，以網(wǎng)絡(luò)需求為基礎(chǔ)，以構(gòu)建系統(tǒng)安全、網(wǎng)絡(luò)安全為重點(diǎn)，從入侵防范、服務(wù)檢測、防病毒、訪問控制、身份認(rèn)證、報告審計(jì)等入手，建設(shè)以業(yè)務(wù)應(yīng)用為核心的網(wǎng)絡(luò)安全系統(tǒng)，并為進(jìn)一步實(shí)現(xiàn)業(yè)務(wù)應(yīng)用安全打下基礎(chǔ)，要求制定統(tǒng)一的網(wǎng)絡(luò)安全策略，總體上體現(xiàn)保密性、完整性、可用性、可控性、擴(kuò)展性。 具體原則如下： （1）全方位實(shí)現(xiàn)安全性。安全性設(shè)計(jì)必須從全方位、多層次加以考慮，即通過網(wǎng)絡(luò)級、應(yīng)用級、系統(tǒng)級安全性設(shè)計(jì)措施來確實(shí)保證安全。 （2）切合實(shí)際實(shí)施安全性。必須緊密切合要進(jìn)行安全防護(hù)的實(shí)際對象來實(shí)施安全性，以免過于龐大冗雜的安全措施導(dǎo)致性能下降。有效地防止網(wǎng)絡(luò)的非法侵入和信息的泄露，保護(hù)關(guān)鍵的數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。 （3）易于實(shí)施、管理與維護(hù)。網(wǎng)絡(luò)安全系統(tǒng)的管理和維護(hù)工作也是至關(guān)重要的。網(wǎng)絡(luò)安全工程設(shè)計(jì)必須具有良好的可實(shí)施性與可管理性，同時還要具有尚佳的易維護(hù)性，為平臺維護(hù)者提供方便的管理工具 4）網(wǎng)絡(luò)安全設(shè)計(jì)的原則61 （4）易操作性原則。安全措施需要人為去完成，對人員的技術(shù)要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。 （5）具有較好的可擴(kuò)展性。網(wǎng)絡(luò)安全工程設(shè)計(jì)，必須具有良好的可擴(kuò)展性。系統(tǒng)建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實(shí)施、逐步完善的過程，整個安全系統(tǒng)必須留有接口，以適應(yīng)將來工程規(guī)模擴(kuò)展的需要。 （6）具有較好的可靠性。網(wǎng)絡(luò)安全系統(tǒng)是用戶眾多，大量移動用戶依賴它在獲取重要信息。它的穩(wěn)定可靠關(guān)系重大，信息平臺的運(yùn)行不穩(wěn)定甚至癱瘓將嚴(yán)重影響大量用戶的正常工作，將給用戶帶來不便和不可低估的損失。保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性和不間斷運(yùn)行是平臺運(yùn)行的首要保證。 （4）易操作性原則。安全措施需要人為去完成，對人員的技術(shù)要62任務(wù)11.3.3某地稅分局外網(wǎng)安全總體解決方案設(shè)計(jì)1．設(shè)計(jì)思路 根據(jù)上述網(wǎng)絡(luò)實(shí)現(xiàn)的安全目標(biāo)和設(shè)計(jì)原則，為了體現(xiàn)保密性、完整性、可用性、可控性、擴(kuò)展性等特性，本方案提出如下網(wǎng)絡(luò)安全設(shè)計(jì)思路： （1）邊緣接入控制。外網(wǎng)與Internet的接口處配置防火墻，把一些對外發(fā)布的服務(wù)器放在DMZ區(qū)域，通過對防火墻設(shè)置包過濾策略，控制Internet用戶對服務(wù)器的訪問。在網(wǎng)絡(luò)內(nèi)部，用戶接入網(wǎng)絡(luò)時，在接入層交換機(jī)上部署網(wǎng)絡(luò)安全策略，實(shí)現(xiàn)邊緣接入控制。 （2）全局聯(lián)動協(xié)作。從全局的角度來把控網(wǎng)絡(luò)安全，安全不是某一個設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能，互相協(xié)作，形成一個“全民皆兵”的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)安全。任務(wù)11.3.3某地稅分局外網(wǎng)安全總體解決方案設(shè)計(jì)63 （3）全程立體防御。用戶的網(wǎng)絡(luò)訪問行為可以分為三個階段，包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)時、訪問網(wǎng)絡(luò)后。對每個階段，都應(yīng)進(jìn)行嚴(yán)格的安全控制，做到“事前全面預(yù)防、事中立體防御、事后聯(lián)動處理”，實(shí)現(xiàn)立體防御的全程網(wǎng)絡(luò)安全。 （4）統(tǒng)一集中管理。通過VPN分布式部署，用戶更好的實(shí)現(xiàn)了策略的統(tǒng)一，通過軟硬件的多方面聯(lián)動、計(jì)算機(jī)層面與網(wǎng)絡(luò)層面的結(jié)合，從身份、主機(jī)、網(wǎng)絡(luò)等多個角度對網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、檢測、防御和處理，實(shí)現(xiàn)了與不在同一地理位置的分支機(jī)構(gòu)的統(tǒng)一管理。 （3）全程立體防御。用戶的網(wǎng)絡(luò)訪問行為可以分為三個階段，包642．體系結(jié)構(gòu) 本方案基于安全性、穩(wěn)定性、實(shí)用性、高效性、擴(kuò)展性的設(shè)計(jì)原則，使用銳捷網(wǎng)絡(luò)的防火墻RG-WALL160M、VPN網(wǎng)關(guān)RG-WALLV160S、入侵檢測系統(tǒng)RG-IDS500S和核心交換機(jī)RG-S3760E進(jìn)行構(gòu)建安全網(wǎng)絡(luò)，通過各個安全設(shè)備在同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動，使網(wǎng)絡(luò)中的每個設(shè)備都在發(fā)揮著安全防護(hù)作用，從而構(gòu)成多種設(shè)備協(xié)同工作的全新安全體系。地稅分局外網(wǎng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)圖如圖11-34下所示：圖11-34網(wǎng)絡(luò)安全體系結(jié)構(gòu)圖2．體系結(jié)構(gòu)圖11-34網(wǎng)絡(luò)安全體系結(jié)構(gòu)圖65 RG-WALL160M防火墻作為稅務(wù)分局外網(wǎng)的出口，對訪問用戶進(jìn)行嚴(yán)格控制，防止外部病毒、黑客等對服務(wù)器攻擊。RG-WALL160M防火墻采用強(qiáng)大的分類算法，對網(wǎng)絡(luò)出口的各種數(shù)據(jù)進(jìn)行嚴(yán)格而快速的過濾，保障在提供嚴(yán)格的數(shù)據(jù)過濾的同時，性能不受規(guī)則數(shù)的影響，全面提升網(wǎng)絡(luò)的安全保障系統(tǒng)的正常運(yùn)行。 RG-WALLV160SVPN網(wǎng)關(guān)在線部署在核心交換機(jī)與出口防火墻之間，實(shí)現(xiàn)在某區(qū)稅務(wù)分局和下屬單位之間構(gòu)建IPsecVPN通道的方案，數(shù)據(jù)在傳輸過程中防止發(fā)生泄密，保障稅務(wù)數(shù)據(jù)在網(wǎng)絡(luò)中能夠高速、安全的傳輸。普通企業(yè)用戶使用存放了CA認(rèn)證證書USBKEY，便可以與分局網(wǎng)絡(luò)內(nèi)部建立SSLVPN隧道徹底解決了遠(yuǎn)程移動用戶的接入和管理問題。 RG-IDS500S入侵檢測系統(tǒng)實(shí)現(xiàn)實(shí)時檢查和防范內(nèi)部網(wǎng)絡(luò)用戶的非法操作和已侵入內(nèi)部網(wǎng)絡(luò)的攻擊行為。RG-IDS采用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的旁路工作方式部署。通過IDS與防火墻設(shè)備聯(lián)動，可以充分利用專用IDS軟件的功能，對流經(jīng)網(wǎng)絡(luò)的報文進(jìn)行詳細(xì)的分析與檢查，探測各種異常情況和可能的攻擊行為，并通過防火墻進(jìn)行實(shí)時的響應(yīng)。 RG-S3760E核心交換機(jī)支持豐富的安全防護(hù)能力，包括防DoS攻擊，防IP掃描，防IP地址欺騙，防ARP欺騙，防病毒，帶寬控制等功能，從基礎(chǔ)架構(gòu)上防止安全事件引起的系統(tǒng)不穩(wěn)定因素，提供網(wǎng)絡(luò)系統(tǒng)安全堡壘。 RG-WALL160M防火墻作為稅務(wù)分局外網(wǎng)的出口，對訪663．方案闡述 本網(wǎng)絡(luò)安全解決方案以面向服務(wù)的方式，結(jié)合安全等級保護(hù)的有關(guān)政策要求，從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用系統(tǒng)安全、安全管理等方面進(jìn)行設(shè)計(jì)，結(jié)合銳捷安全交換機(jī)、安全客戶端、安全管理平臺、用戶認(rèn)證系統(tǒng)、入侵檢測系統(tǒng)、VPN安全網(wǎng)關(guān)、RG-WALL防火墻等多重網(wǎng)絡(luò)元素，通過同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動，使網(wǎng)絡(luò)中的每個設(shè)備都在發(fā)揮著安全防護(hù)作用，從而構(gòu)成一個全局化的多種設(shè)備協(xié)同防護(hù)的網(wǎng)絡(luò)安全綜合體系。 （1）物理安全。物理層安全保密解決措施分為環(huán)境安全，設(shè)備安全，媒體安全保密三個層面。在網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等方面，采取措施保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，防止系統(tǒng)信息在空間的擴(kuò)散。 （2）網(wǎng)絡(luò)安全。首先，本方案實(shí)在原有網(wǎng)絡(luò)基礎(chǔ)設(shè)計(jì)的，采用了物理隔離方式，把地稅分局網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng)（參見圖11-34），內(nèi)網(wǎng)主要是電子公文的傳遞和內(nèi)部辦公系統(tǒng)等，政務(wù)外網(wǎng)主要是網(wǎng)絡(luò)辦公等應(yīng)用，防止對內(nèi)網(wǎng)重要數(shù)據(jù)和服務(wù)器的安全威脅。 其次，本方案詳細(xì)設(shè)計(jì)了防火墻系統(tǒng)、VPN系統(tǒng)、入侵檢測、防病毒系統(tǒng)、漏洞掃描系統(tǒng)等子系統(tǒng)。各個子系統(tǒng)相互獨(dú)立，完成各自的在這個網(wǎng)絡(luò)中承擔(dān)安全功能。而且，通過同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動，構(gòu)成一個全局化的多種設(shè)備協(xié)同防護(hù)的網(wǎng)絡(luò)安全綜合體系。3．方案闡述67

（3）系統(tǒng)安全。系統(tǒng)安全主要包括系統(tǒng)防病毒和系統(tǒng)漏洞掃描兩個部分。防病毒系統(tǒng)采用分布式網(wǎng)絡(luò)防毒墻系統(tǒng)，包括防毒墻，病毒管理監(jiān)控中心和病毒防治終端。殺毒軟件病毒庫自動下發(fā)到所有主機(jī)，保證主機(jī)的安全性。對USB口、光驅(qū)、打印口等端口進(jìn)行控制，杜絕信息泄露和病毒傳播。漏洞掃描系統(tǒng)通過對WEB站點(diǎn)、防火墻、路由器、外部網(wǎng)絡(luò)、操作系統(tǒng)、被聯(lián)網(wǎng)的主機(jī)和工作站的安全風(fēng)險監(jiān)測和掃描，對整個網(wǎng)絡(luò)的信息進(jìn)行保護(hù)。 （4）應(yīng)用系統(tǒng)安全。包括：身份認(rèn)證、訪問控制、統(tǒng)一用戶與權(quán)限管理系統(tǒng)、身份認(rèn)證鑒權(quán)系統(tǒng)、日志審計(jì)、系統(tǒng)災(zāi)備。 身份認(rèn)證：采用公鑰數(shù)字證書。 訪問控制：采用基于屬性證書的統(tǒng)一資源訪問控制機(jī)制，資源類型可以是多種多樣的，可以是某個IP地址、某個端口、某個應(yīng)用程序、某個URL地址、某個業(yè)務(wù)操作等，控制策略中的要素可以包括：網(wǎng)絡(luò)的空間地址（IP地址）、時間、公鑰身份證書、屬性證書等。 統(tǒng)一用戶與權(quán)限管理系統(tǒng)：針對統(tǒng)一資源目錄中的用戶、角色、權(quán)限等進(jìn)行管理。 身份認(rèn)證鑒權(quán)系統(tǒng)：根據(jù)需求（數(shù)字證書方式），對用戶身份進(jìn)行認(rèn)證，并確認(rèn)用戶訪問資源（應(yīng)用、數(shù)據(jù)、設(shè)備等）的權(quán)限。 日志審計(jì)：對證書用戶的訪問記錄進(jìn)行敏感訪問的記錄，對證書用戶應(yīng)用層的業(yè)務(wù)操作進(jìn)行不可抵賴的日志記錄。對日志進(jìn)行制度性地審核，發(fā)現(xiàn)各類安全事件，按照規(guī)定的應(yīng)急響應(yīng)機(jī)制進(jìn)行處理。 系統(tǒng)災(zāi)備：有10臺服務(wù)器，其中4臺是數(shù)據(jù)庫服務(wù)器。服務(wù)器運(yùn)行的數(shù)據(jù)庫系統(tǒng)是ORALCE。整個系統(tǒng)的數(shù)據(jù)量大約數(shù)十TB。對所有的應(yīng)用系統(tǒng)數(shù)據(jù)集中備份管理。備份策略是：每天晚上，網(wǎng)絡(luò)系統(tǒng)做自動備份處理，每月做一次冷備份，每月的第一天做一次全盤備份，其他時間每天做一次差分備份。 （3）系統(tǒng)安全。系統(tǒng)安全主要包括系統(tǒng)防病毒和系統(tǒng)漏洞掃描兩68任務(wù)11.3.4某地稅分局外網(wǎng)安全模塊詳細(xì)設(shè)計(jì)1．防火墻系統(tǒng)設(shè)計(jì) 1）防火墻系統(tǒng)概述 防火墻是一種非常有效的網(wǎng)絡(luò)安全防護(hù)工具，用來隔離風(fēng)險區(qū)域與安全區(qū)域的連接，僅讓安全、核準(zhǔn)了的信息進(jìn)入，最大限度地阻止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)。在網(wǎng)絡(luò)安全系統(tǒng)中，防火墻部署在兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，目的是不被非法用戶從外部進(jìn)行侵入和攻擊。本質(zhì)上，它遵循的是一種允許或禁止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過濾網(wǎng)絡(luò)通訊，只允許授權(quán)的通訊。 為了保證稅務(wù)分局外網(wǎng)絡(luò)的安全，實(shí)現(xiàn)各安全域之間訪問的合理控制，外網(wǎng)安全域的邊界應(yīng)該安裝防火墻，并按不同安全要求實(shí)施相應(yīng)的安全策略控制。 RG-WALL防火墻作為一個核心的關(guān)鍵安全設(shè)備，對性能、功能有較高的要求，具體的功能要求如下：任務(wù)11.3.4某地稅分局外網(wǎng)安全模塊詳細(xì)設(shè)計(jì)69 （1）提供基于狀態(tài)檢測技術(shù)的對象式訪問控制； （2）應(yīng)用層的狀態(tài)檢測，過濾蠕蟲病毒，保證用戶安全； （3）內(nèi)置入侵檢測功能，確保防火墻的安全運(yùn)行； （4）防TCP、UDP等端口掃描； （5）支持透明模式、路由模式、混合模式以及NAT模式； （6）支持最多4臺集群和鏈路聚會功能，消除單點(diǎn)故障，提升產(chǎn)品性能； （7）基于網(wǎng)絡(luò)IP和MAC地址綁定的包過濾； （8）透明代理（TransparentProxy），URL級的信息過濾； （9）支持流量控制管理，保證關(guān)鍵用戶，關(guān)鍵流量對網(wǎng)絡(luò)的使用； （10）支持完整VPN功能； （11）提供操作簡單的圖形化用戶界面對防火墻進(jìn)行配置； （12）支持ADSL、PPPOE撥號方式； （13）支持BT/eDonkey/Kazaa等P2P軟件的禁止和帶寬限制； （14）支持入侵檢測和防護(hù)（IPS）； （15）支持多種IDS產(chǎn)品聯(lián)動和自動響應(yīng)阻斷方式；（16）提供實(shí)時監(jiān)控、審計(jì)和告警功能； （1）提供基于狀態(tài)檢測技術(shù)的對象式訪問控制；702）防火墻系統(tǒng)部署本方案采用層疊方式部署防火墻，在這個外網(wǎng)設(shè)置RG-WALL160M和RG-WALLV160S兩個防火墻，兩臺防火墻構(gòu)成一個隔離子網(wǎng)，并將DMZ區(qū)域放置在兩臺防火墻之間，如圖11-35所示。圖11-35防火墻部署結(jié)構(gòu)圖2）防火墻系統(tǒng)部署圖11-35防火墻部署結(jié)構(gòu)圖71 在外網(wǎng)與Internet的出口配置兩臺防火墻，其中一臺防火墻帶有VPN功能的RG-WALLV160S安全網(wǎng)關(guān)，一臺不帶VPN功能的RG-WALL160M防火墻。 在外網(wǎng)與Internet網(wǎng)的接入點(diǎn)上，配置RG-WALL160M防火墻，控制外網(wǎng)與Internet網(wǎng)之間的信息流動，在該防火墻上僅僅做一些包過濾。并且一些將Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等對外發(fā)布的服務(wù)器放在該防火墻的DMZ區(qū)域。 VPN安全網(wǎng)關(guān)部署在連接DMZ區(qū)域和內(nèi)部核心網(wǎng)絡(luò)上，實(shí)施詳細(xì)的訪問控制策略，而重要的數(shù)據(jù)庫服務(wù)器等關(guān)鍵應(yīng)用都放置在內(nèi)部核心網(wǎng)絡(luò)中，從而使它們受到更好的保護(hù)。 在外網(wǎng)與Internet的出口配置兩臺防火墻，其中一臺防火72 3）防火墻方案安全策略 RG-WALL全面支持WEB訪問方式，配置防火墻，其防火墻配置Web的主界面如圖11-36所示：RG-WALL配置策略如下：配置IP/MAC綁定：設(shè)置IP/MAC地址綁定，就可以執(zhí)行IP/MAC地址對探測。如果防火墻某網(wǎng)口配置了“IP/MAC地址綁定啟用功能”、“IP/MAC地址綁定的默認(rèn)策略（允許或禁止）”，當(dāng)該網(wǎng)口接收數(shù)據(jù)包時，將根據(jù)數(shù)據(jù)包中的源IP地址與源MAC地址，檢查管理員設(shè)置好的IP/MAC地址綁定表。如果地址綁定表中查找成功，匹配則允許數(shù)據(jù)包通過，不匹配則禁止數(shù)據(jù)包通過。如果查找失敗，則按缺省策略（允許或禁止）執(zhí)行。

3）防火墻方案安全策略RG-WALL配置策略如下：73 配置防火墻URL過濾：WEB服務(wù)是網(wǎng)絡(luò)上使用最多的服務(wù)之一，但是Internet上有很多WEB站點(diǎn)上有病毒或木馬，因此必須對內(nèi)網(wǎng)用戶的訪問進(jìn)行必要的控制。RG-WALL防火墻可以通過對某些URL進(jìn)行過濾實(shí)現(xiàn)對訪問不良信息的控制。通過使用黑名單和白名單來控制用戶不能訪問哪些URL，可以訪問哪些URL。 NAT防火墻技術(shù)：NAT（NetworkAddressTranslation）可將整個組織的內(nèi)部IP都映射到一個合法IP上來進(jìn)行Internet的訪問，NAT中轉(zhuǎn)換前源IP地址和轉(zhuǎn)換后源IP地址不同，數(shù)據(jù)進(jìn)入防火墻后，防火墻將其源地址進(jìn)行了轉(zhuǎn)換后再將其發(fā)出，使外部看不到數(shù)據(jù)包原來的源地址。一般來說，NAT多用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的訪問，內(nèi)部網(wǎng)絡(luò)地址可以是私有IP地址。 RG-WALL防火墻支持源地址一對一的轉(zhuǎn)換，也支持源地址轉(zhuǎn)換為地址池中的某一個地址。用戶可通過安全規(guī)則設(shè)定需要轉(zhuǎn)換的源地址（支持網(wǎng)絡(luò)地址范圍）、源端口。此處的NAT指正向NAT，正向NAT也是動態(tài)NAT，通過系統(tǒng)提供的NAT地址池，支持多對多，多對一，一對多，一對一的轉(zhuǎn)換關(guān)系。關(guān)于NAT的配置，和包過濾差不多，只是多了一個源地址轉(zhuǎn)換的地址。配置安全規(guī)則：安全規(guī)則的配置可以說是防火墻最重要的配置了，因?yàn)闆]有安全規(guī)則，防火墻是不能轉(zhuǎn)發(fā)數(shù)據(jù)流的。默認(rèn)情況下，防火墻的行為是，除非明文允許，否則全部禁止。防火墻的安全規(guī)則的包過濾、NAT、IP映射、端口映射以及代理的匹配順序是一樣的，從上往下匹配，不像其他廠商的設(shè)備，是先包過濾，再NAT，或者其他。 配置防火墻URL過濾：WEB服務(wù)是網(wǎng)絡(luò)上使用最多的服務(wù)之一742．VPN系統(tǒng)設(shè)計(jì) 1）VPN系統(tǒng)概述 虛擬專用網(wǎng)是專用網(wǎng)的擴(kuò)展，但在公共傳輸網(wǎng)上它提供了端到端的數(shù)據(jù)的安全通信。虛擬專用網(wǎng)（VPN）綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（安全和QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)（簡單和低成本），能夠提供遠(yuǎn)程訪問，外部網(wǎng)和內(nèi)部網(wǎng)的連接，利用加密，封裝等技術(shù)保證數(shù)據(jù)的安全性和保密性，價格比專線或者幀中繼網(wǎng)絡(luò)要低得多。而且，VPN在降低成本的同時滿足了對網(wǎng)絡(luò)帶寬、接入和服務(wù)不斷增加的需求，因此，VPN是網(wǎng)絡(luò)發(fā)展的趨勢，必將成為網(wǎng)絡(luò)遠(yuǎn)程接入業(yè)務(wù)的主要工具。 RG-WALLV系列VPN安全網(wǎng)關(guān)是集成了VPN、防火墻、入侵防御和流量控制技術(shù)的軟硬件一體化專用安全設(shè)備，有效地實(shí)現(xiàn)了“主/被動安全防御”的完美結(jié)合。銳捷VPN采用自主設(shè)計(jì)的安全操作系統(tǒng)，具有高可用性、高易用性、高擴(kuò)展性和高安全性。經(jīng)過簡單配置即可方便地在單位總部、分支機(jī)構(gòu)和移動用戶之間建立安全的信息傳輸通道，對傳輸?shù)臄?shù)據(jù)進(jìn)行有效的安全保護(hù)。 某地稅分局VPN聯(lián)網(wǎng)系統(tǒng)總體建設(shè)目標(biāo)是：建立網(wǎng)絡(luò)互聯(lián)、信息共享、安全可靠的遠(yuǎn)程接入VPN網(wǎng)絡(luò)。VPN網(wǎng)絡(luò)系統(tǒng)建設(shè)完成后，將為某地稅分局和其下屬單位實(shí)施各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供統(tǒng)一、安全、高速、可靠的網(wǎng)絡(luò)傳輸平臺。 具體能夠?qū)崿F(xiàn)以下目標(biāo)：2．VPN系統(tǒng)設(shè)計(jì)75 （1）異地網(wǎng)絡(luò)互連互通 能夠?qū)崿F(xiàn)地稅分局和分支機(jī)構(gòu)、企業(yè)用戶間，通過Internet安全可靠互連，分支機(jī)構(gòu)可通過VPN網(wǎng)絡(luò)順利訪問地稅分局的各個應(yīng)用軟件系統(tǒng)，就像在局域網(wǎng)內(nèi)使用這些應(yīng)用軟件系統(tǒng)一樣。 （2）對各種應(yīng)用系統(tǒng)透明 能夠根據(jù)用戶的需要有選擇地對需要的應(yīng)用系統(tǒng)數(shù)據(jù)進(jìn)行加密，不需要加密的數(shù)據(jù)和普通Internet上網(wǎng)業(yè)務(wù)不受到影響。而且目前各種網(wǎng)絡(luò)應(yīng)用均能夠在VPN專網(wǎng)上使用，不需要改變用戶的使用習(xí)慣。 （3）高安全性 通過構(gòu)建的VPN網(wǎng)絡(luò)，能夠解決單位內(nèi)部信息系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?，保密性、完整性和不可抵賴性。VPN安全網(wǎng)關(guān)可對本地局域網(wǎng)實(shí)施邊界防護(hù)。VPN安全網(wǎng)關(guān)融合了防火墻、VPN、入侵檢測微引擎，可對外來及內(nèi)部攻擊進(jìn)行主動防御，更能保證整個網(wǎng)絡(luò)平臺的安全及每個局域網(wǎng)內(nèi)部的安全。 （4）高可靠性 RG-WALLV系列VPN安全網(wǎng)關(guān)性能穩(wěn)定可靠，其無故障工作時間長，可為系統(tǒng)長期穩(wěn)定運(yùn)行提供強(qiáng)有力的保證。并可通過多線路負(fù)載均衡實(shí)現(xiàn)中心節(jié)點(diǎn)的網(wǎng)絡(luò)不間斷運(yùn)行。 （5）高性能 此次網(wǎng)絡(luò)建設(shè)根據(jù)用戶需求和網(wǎng)絡(luò)帶寬，所選用的設(shè)備具有較高的加密速率，不僅能滿足當(dāng)前用戶數(shù)量下的需求，也為將來的擴(kuò)展留有充分空間。不會因?yàn)閂PN設(shè)備的部署影響上網(wǎng)的速度，并且應(yīng)當(dāng)滿足應(yīng)用軟件運(yùn)行的帶寬需求。 （6）易于擴(kuò)展 VPN網(wǎng)絡(luò)系統(tǒng)的擴(kuò)展非常容易，需要增加客戶數(shù)量，只需升級設(shè)備license，而無需另購設(shè)備，不但解決了很高的信息數(shù)據(jù)傳輸安全性，而且不會影響網(wǎng)絡(luò)傳輸性能。本方案的設(shè)計(jì)不僅滿足今天的需求，而且支持未來擴(kuò)展。 （1）異地網(wǎng)絡(luò)互連互通762）VPN系統(tǒng)設(shè)計(jì)VPN系統(tǒng)結(jié)構(gòu)如圖11-37所示：圖11-37VPN系統(tǒng)結(jié)構(gòu)圖在地稅分局外網(wǎng)的邊界處，部署RG-WALLV160SVPN安全網(wǎng)關(guān)，網(wǎng)關(guān)的WAN口防火墻RG-WALL160M，LAN口接核心交換機(jī)。RG-WALLV160SVPN安全網(wǎng)關(guān)是IPSec和SSL合一的VPN產(chǎn)品，移動用戶只需要使用IE等主流Internet瀏覽器，通過USBKEY等認(rèn)證方式，即可和網(wǎng)關(guān)建立VPN隧道（使用SSL+IPSec方式），接入內(nèi)網(wǎng)，進(jìn)而為各種IP應(yīng)用提供透明傳輸平臺。同時，RG-WALLV1160SVPN網(wǎng)關(guān)也支持傳統(tǒng)的使用“安全客戶端”軟件（即：IPSec客戶端）和網(wǎng)關(guān)建立VPN隧道。2）VPN系統(tǒng)設(shè)計(jì)圖11-37VPN系統(tǒng)結(jié)構(gòu)圖在地稅分局外77 下屬單位通過部署RG-WALLV1160SVPN安全網(wǎng)關(guān)，替代原來的路由器上網(wǎng)方式，在保證了IPsecVPN隧道安全訪問的前提下，對分支機(jī)構(gòu)的內(nèi)網(wǎng)進(jìn)行了有效的保護(hù)和控制，保護(hù)子網(wǎng)間傳輸信息的機(jī)密性、完整性和真實(shí)性。RG-WALLV1160SVPN網(wǎng)關(guān)內(nèi)置強(qiáng)大的防火墻功能在提供上網(wǎng)和VPN加密通信的前提下保證了內(nèi)網(wǎng)用戶不會被黑客和網(wǎng)絡(luò)病毒所侵犯。 企業(yè)辦公點(diǎn)的PC上通過ADSL撥號等上網(wǎng)方式接入Internet，直接使用IE瀏覽器（使用SSL協(xié)議），通過USBKEY硬件認(rèn)證的方式，和VPN安全網(wǎng)關(guān)建立VPN加密隧道，接入內(nèi)網(wǎng)，進(jìn)而為各種IP應(yīng)用提供透明傳輸平臺。與復(fù)雜的IPSecVPN相比，SSL通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。 下屬單位通過部署RG-WALLV1160SVPN安全網(wǎng)78 3）VPN系統(tǒng)部署 某地稅分局部署1臺RG-WALLV1160SVPN安全網(wǎng)關(guān)，下屬單位和企業(yè)用戶均通過Internet遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)（地稅分局外網(wǎng)），通過建立的VPN加密隧道，安全訪問地稅分局網(wǎng)內(nèi)的各應(yīng)用系統(tǒng)（包括B/S和C/S的應(yīng)用），如：網(wǎng)上報稅系統(tǒng)等。 （1）地稅分局VPN系統(tǒng)部署 地稅分局VPN系統(tǒng)部署使用在線方式部署在核心交換機(jī)與出口防火墻之間，如圖4-5所示：圖11-38地稅分局VPN系統(tǒng)部署圖 3）VPN系統(tǒng)部署圖11-38地稅分局VPN系統(tǒng)部署圖79 RG-WALLV160SVPN安全網(wǎng)關(guān)是銳捷IPSec和SSL合一的VPN產(chǎn)品，移動用戶只需要使用IE等主流Internet瀏覽器，通過USBKEY等認(rèn)證方式，即可和網(wǎng)關(guān)建立VPN隧道（使用SSL+IPSec方式），接入內(nèi)網(wǎng)，進(jìn)而為各種IP應(yīng)用提供透明傳輸平臺。同時，RG-WALLV160SVPN網(wǎng)關(guān)也支持傳統(tǒng)的使用“安全客戶端”軟件（即：IPSec客戶端）和網(wǎng)關(guān)建立VPN隧道。 RG-WALLV系列安全網(wǎng)關(guān)通過SSL協(xié)議，利用PKI的證書體系，在傳輸過程中使用DES、3DES、AES、RSA、MD5、SHA1等多種密碼算法保證數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性而完成秘密傳輸，實(shí)現(xiàn)在Internet上安全的進(jìn)行信息交換。此外，還需搭建一臺CA中心，用于對用戶證書的頒發(fā)。 RG-WALLV160SVPN安全網(wǎng)關(guān)是集“VPN、防火墻、IDS微引擎”于一體的網(wǎng)絡(luò)邊界安全防護(hù)和安全接入設(shè)備，它有效地實(shí)現(xiàn)了“主/被動安全防御”的完美結(jié)合。其特別強(qiáng)大的VPN功能和高安全性、高性價比的多功能集成，是當(dāng)今網(wǎng)絡(luò)安全技術(shù)發(fā)展的主流方向。 RG-WALLV160SVPN安全網(wǎng)關(guān)是銳捷IPSec80 （2）下屬單位VPN系統(tǒng)部署 對于下屬單位，采用RG-WALLV160SVPN安全網(wǎng)關(guān)部署在網(wǎng)絡(luò)的邊界，如圖11-39所示，與某地稅分局的VPN安全網(wǎng)關(guān)建立VPN連接，同時充當(dāng)防火墻保護(hù)本地局域網(wǎng)。RG-WALLV160SVPN安全網(wǎng)關(guān)功能相同，所以某地稅分局安全網(wǎng)關(guān)的各種功能，下屬單位部署的安全網(wǎng)關(guān)同樣具備。圖11-39地稅分局下屬單位VPN系統(tǒng)部署圖 （2）下屬單位VPN系統(tǒng)部署圖11-39地稅分局下屬單位81 （3）企業(yè)接入VPN系統(tǒng) 企業(yè)用戶只需要在遠(yuǎn)程接入的PC上安裝采用IE瀏覽器，使用SSL協(xié)議和USBKEY（里面存放了CA認(rèn)證證書）作為身份認(rèn)證方式接入，即可與地稅分局的VPN安全網(wǎng)關(guān)建立安全連接，提高安全性保證身份不可仿冒，如圖11-40所示。USBK