企業(yè)網(wǎng)絡安全系統(tǒng)的設(shè)計需求

年5月29日企業(yè)網(wǎng)絡安全系統(tǒng)的設(shè)計需求文檔僅供參考企業(yè)網(wǎng)網(wǎng)絡安全系統(tǒng)設(shè)計建議書藍狐網(wǎng)絡目錄TOC\o"1-3"\h\z1 概述 41.1 企業(yè)建立網(wǎng)絡安全系統(tǒng)的必要性 41.2 安全建議書的設(shè)計原則 41.3 安全技術(shù)體系分析模型介紹 51.3.1 安全服務維 51.3.2 協(xié)議層次維 61.3.3 系統(tǒng)單元維 61.4 安全技術(shù)體系的理解及實踐 61.4.1 安全體系的理解 61.4.2 構(gòu)建安全系統(tǒng)的基本目標 71.4.3 網(wǎng)絡安全系統(tǒng)的技術(shù)實施 72 應用需求分析 92.1 網(wǎng)絡基礎(chǔ)層安全需求分析 92.1.1 Internet連接安全保護 92.1.2 廣域網(wǎng)連接的安全保護 92.1.3 虛擬連接廣域網(wǎng)的安全保護 112.1.4 其它安全保護輔助措施 112.2 系統(tǒng)安全需求分析 122.3 應用安全管理需求分析 122.3.1 主機系統(tǒng) 122.3.2 網(wǎng)絡設(shè)備安全管理 132.3.3 移動用戶的訪問控制訪問 132.3.4 VPN上的認證 132.3.5 應用層安全保護 142.4 應用對安全系統(tǒng)的要求分析 142.4.1 網(wǎng)絡應用系統(tǒng)的現(xiàn)狀及發(fā)展說明 142.4.2 面向應用系統(tǒng)的防火墻系統(tǒng)設(shè)計要求 153 安全系統(tǒng)實現(xiàn)目標 163.1 網(wǎng)絡基礎(chǔ)層安全系統(tǒng)建設(shè)目標 163.1.1 Internet及Extranet進出口控制 163.1.2 VPN應用 163.1.3 防火墻系統(tǒng)的功能實現(xiàn)要求總結(jié) 173.2 應用輔助安全系統(tǒng)的建設(shè)目標 174 網(wǎng)絡安全系統(tǒng)的實施建議 194.1 系統(tǒng)設(shè)計的基本原則 194.2 安全系統(tǒng)實施步驟建議 194.3 防火墻系統(tǒng)實施建議 204.3.1 Internet進出口控制 204.3.2 廣域網(wǎng)進出口控制 234.3.3 虛擬連接廣域網(wǎng)出入口控制 264.4 VPN系統(tǒng)設(shè)計 264.4.1 廣域網(wǎng)鏈路加密 274.4.2 虛擬連接組網(wǎng)建議 274.4.3 虛擬連接通信加密 294.5 防火墻系統(tǒng)集中管理 294.6 防火墻選型設(shè)計說明 304.6.1 評價防火墻產(chǎn)品的基本要素 314.6.2 評價防火墻的一般方法 314.6.3 幾種流行防火墻產(chǎn)品的比較 32

概述建設(shè)功能強大和安全可靠的網(wǎng)絡化信息管理系統(tǒng)是企業(yè)實現(xiàn)現(xiàn)代化管理的必要手段。如何構(gòu)建企業(yè)安全可靠的網(wǎng)絡系統(tǒng)是本建議書的目的。本建議書是本公司為企業(yè)提出的”網(wǎng)絡安全系統(tǒng)設(shè)計建議書”,建議書只針對網(wǎng)絡基礎(chǔ)設(shè)施安全系統(tǒng)向企業(yè)提交網(wǎng)絡安全的設(shè)計及實施建議,將不涉及其它部分的內(nèi)容,如”數(shù)據(jù)安全系統(tǒng)”等。企業(yè)建立網(wǎng)絡安全系統(tǒng)的必要性毫無疑問,不需要任何形式的”說教”,在信息和網(wǎng)絡被廣泛應用的今天,任何一個網(wǎng)絡管理或使用者都非常清楚,所有被使用的計算機網(wǎng)絡都必然存在被有意或無意的攻擊和破壞之風險。企業(yè)的網(wǎng)絡同樣存在安全方面的風險問題。對于大多數(shù)網(wǎng)絡黑客來說,成功地侵入一企業(yè)特別是著名企業(yè)的網(wǎng)絡系統(tǒng),具有證明和炫耀其”能耐”的價值,盡管這種行為的初衷可能并不具有惡意的目的;竊取企業(yè)的網(wǎng)絡數(shù)據(jù),甚至破壞其網(wǎng)絡系統(tǒng),更加具有現(xiàn)實和長遠的商業(yè)價值。因此,企業(yè)網(wǎng)絡建立完善的安全系統(tǒng),其必要性不言而喻。安全建議書的設(shè)計原則網(wǎng)絡安全體系的核心目標是實現(xiàn)對網(wǎng)絡系統(tǒng)和應用操作過程的有效控制和管理。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這三個基礎(chǔ)之上。在設(shè)計企業(yè)的網(wǎng)絡安全系統(tǒng)時,我們將遵循以下原則:體系化設(shè)計原則經(jīng)過分析信息網(wǎng)絡的層次關(guān)系,提出科學的安全體系和安全框架,并根據(jù)安全體系分析存在的各種安全風險,從而最大限度地解決可能存在的安全問題。全局性、均衡性、綜合性設(shè)計原則安全建議書將從企業(yè)網(wǎng)絡整體建設(shè)角度出發(fā),提供一個具有相當高度、可擴展性強的安全解決方案;從企業(yè)的實際情況看,單純依靠一種安全措施,并不能解決全部的安全問題。本建議書將考慮到各種安全措施的使用。本安全建議書將均衡考慮各種安全措施的效果,提供具有最優(yōu)的性能價格比的安全解決方案。安全需要付出代價(資金、性能損失等),可是任何單純?yōu)榱税踩豢紤]代價的安全建議書都是不切實際的。建議書同時提供了可操作的分步實施計劃?？尚行?、可靠性、安全性作為一個工程項目,可行性是設(shè)計企業(yè)安全方案的根本,它將直接影響到網(wǎng)絡通信平臺的暢通;可靠性是安全系統(tǒng)和網(wǎng)絡通信平臺正常運行的保證;而安全性是設(shè)計安全系統(tǒng)的最終目的。安全技術(shù)體系分析模型介紹安全方案必須架構(gòu)在科學的安全體系和安全框架之上,因為安全框架是安全方案設(shè)計和分析的基礎(chǔ)。為了系統(tǒng)、科學地分析網(wǎng)絡安全系統(tǒng)涉及的各種安全問題,網(wǎng)絡安全技術(shù)專家們提出了三維安全體系結(jié)構(gòu),并在其基礎(chǔ)上抽象地總結(jié)了能夠指導安全系統(tǒng)總體設(shè)計的三維安全體系(見圖1-1),它反映了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性。具體說明如下:圖1-1安全框架示意圖安全服務維安全服務維(第一維,X軸)定義了7種主要完全屬性。具體如下:身份認證,用于確認所聲明的身份的有效性;訪問控制,防止非授權(quán)使用資源或以非授權(quán)的方式使用資源;數(shù)據(jù)保密,數(shù)據(jù)存儲和傳輸時加密,防止數(shù)據(jù)竊取、竊聽;數(shù)據(jù)完整,防止數(shù)據(jù)篡改;不可抵賴,取兩種形式的一種,用于防止發(fā)送者企圖否認曾經(jīng)發(fā)送過數(shù)據(jù)或其內(nèi)容和用以防止接收者對所收到數(shù)據(jù)或內(nèi)容的抗否認;審計管理,設(shè)置審計記錄措施,分析審計記錄;可用性、可靠性,在系統(tǒng)降級或受到破壞時能使系統(tǒng)繼續(xù)完成其功能,使得在不利的條件下盡可能少地受到侵害者的破壞。協(xié)議層次維協(xié)議層次維(Y軸)由ISO/OSI參考模型的七層構(gòu)成。與TCP/IP層次對應,能夠把會話層、表示、應用層統(tǒng)一為”應用層”。系統(tǒng)單元維系統(tǒng)單元維(Z軸)描述了信息網(wǎng)絡基礎(chǔ)構(gòu)件的各個成分。通信平臺,信息網(wǎng)絡的通信平臺;網(wǎng)絡平臺,信息網(wǎng)絡的網(wǎng)絡系統(tǒng);系統(tǒng)平臺,信息網(wǎng)絡的操作系統(tǒng)平臺;應用平臺,信息網(wǎng)絡各種應用的開發(fā)、運行平臺;物理環(huán)境,信息網(wǎng)絡運行的物理環(huán)境及人員管理。安全技術(shù)體系的理解及實踐貫穿于安全體系的三個方面,各個層次的是安全管理。經(jīng)過技術(shù)手段和行政管理手段,安全管理將涉及到各系統(tǒng)單元在各個協(xié)議層次提供的各種安全服務。安全體系的理解在圖1-1的安全體系分析模型中,完整地將網(wǎng)絡安全系統(tǒng)的全部內(nèi)容進行了科學和系統(tǒng)的歸納,詳盡地描述了網(wǎng)絡安全系統(tǒng)所使用的技術(shù)、服務的對象和涉及的范圍(即網(wǎng)絡層次)。對于上圖的理解,不妨簡單說明如下:安全服務維是網(wǎng)絡安全系統(tǒng)所提供可實現(xiàn)的全部技術(shù)手段;網(wǎng)絡協(xié)議維是網(wǎng)絡安全系統(tǒng)應該將所采納之安全技術(shù)手段實施的范圍;系統(tǒng)單元維是網(wǎng)絡安全系統(tǒng)應該提供安全保護的對象。作為一個現(xiàn)實的網(wǎng)絡安全系統(tǒng),首先要考慮的是安全建議書所涉及的有哪些系統(tǒng)單元,然后根據(jù)這些系統(tǒng)單元的不同,確定該單元所需要的安全服務,再根據(jù)所需要的安全服務,確定這些安全服務在哪些OSI層次實現(xiàn)。構(gòu)建安全系統(tǒng)的基本目標在上述的三維結(jié)構(gòu)的安全體系中,安全服務維是向網(wǎng)絡系統(tǒng)的各個部分和每一個層次,提供安全保證的各種技術(shù)手段和措施。雖然并不是每一個應用網(wǎng)絡都需要安全服務維提出的所有手段,可是對于一個包含各種應用和具有一定規(guī)模的企業(yè)網(wǎng)絡,這些安全措施應該都基本具備,因此安全服務維所涉及的所有安全服務措施,是網(wǎng)絡安全系統(tǒng)的基本建設(shè)目標。根據(jù)我們對企業(yè)網(wǎng)絡系統(tǒng)應用現(xiàn)狀的認識,以及未來將要實現(xiàn)的各種應用目標了解,我們認為企業(yè)網(wǎng)絡安全系統(tǒng),最終需要全部實現(xiàn)圖1-1中安全服務維所提出的基本技術(shù)手段。網(wǎng)絡安全系統(tǒng)的技術(shù)實施構(gòu)筑網(wǎng)絡安全系統(tǒng)的最終目的是對網(wǎng)絡資源或者說是保護對象,實施最有效的安全保護。從網(wǎng)絡的系統(tǒng)和應用平臺對網(wǎng)絡協(xié)議層次的依賴關(guān)系不難看出,只有對網(wǎng)絡協(xié)議結(jié)構(gòu)層次的所有層實施相應有效的技術(shù)措施,才能實現(xiàn)對網(wǎng)絡資源的安全保護。針對一般網(wǎng)絡系統(tǒng)的結(jié)構(gòu)和應用要求,為了達到保護網(wǎng)絡資源的目的,必須在網(wǎng)絡協(xié)議層實施相應的安全措施,如下表1。表1(*表示需要實施)物理層數(shù)據(jù)鏈路層網(wǎng)絡層傳輸層會話層表示層應用層認證****訪問控制****數(shù)據(jù)保密******數(shù)據(jù)完整性***不可抵賴性*審計****可用性****在本建議書中,我們建議企業(yè)網(wǎng)絡系統(tǒng)經(jīng)過防火墻系統(tǒng)、VPN應用系統(tǒng)、認證系統(tǒng)和網(wǎng)絡漏洞掃描及攻擊檢測系統(tǒng)實現(xiàn)表1中的安全手段實施。

應用需求分析企業(yè)網(wǎng)絡結(jié)構(gòu)將會包括企業(yè)內(nèi)部網(wǎng)絡Intranet和企業(yè)互聯(lián)網(wǎng)絡Extranet,同時網(wǎng)絡連接Internet,滿足互聯(lián)網(wǎng)訪問、WWW發(fā)布、外部移動用戶應用等需求。本章將根據(jù)企業(yè)網(wǎng)絡系統(tǒng)的結(jié)構(gòu)及應用,詳細分析企業(yè)網(wǎng)絡系統(tǒng)的安全需求。網(wǎng)絡基礎(chǔ)層安全需求分析網(wǎng)絡基礎(chǔ)層(在此網(wǎng)絡基礎(chǔ)層是指網(wǎng)絡通信鏈路、路由/交換設(shè)備、網(wǎng)絡節(jié)點接口設(shè)備/網(wǎng)卡——包括了OSI物理層到傳輸層設(shè)備的集合)作為現(xiàn)代計算機信息系統(tǒng)不可缺或的基礎(chǔ)設(shè)施部分,其安全性是每一個用戶最為關(guān)心的問題。從企業(yè)的應用網(wǎng)絡結(jié)構(gòu)分析,企業(yè)網(wǎng)絡層的安全涉及到Internet連接安全、廣域網(wǎng)連接安全、應用系統(tǒng)內(nèi)部資源網(wǎng)絡連接安全保護幾方面的安全問題。Internet連接安全保護企業(yè)在網(wǎng)絡應用中有三種情況需要進行Internet連接,即向外大眾用戶提供業(yè)務和宣傳信息服務、公司內(nèi)部用戶和外界的電子郵件往來、經(jīng)過互聯(lián)網(wǎng)在異地進行業(yè)務辦公的移動用戶服務等。由此企業(yè)企業(yè)網(wǎng)必須向外”開門”,象所有連接互聯(lián)網(wǎng)的企業(yè)網(wǎng)一樣,企業(yè)網(wǎng)不可避免地存在,遭受到來自外部的惡意攻擊和破壞、各種各樣病毒傳播的可能性。因此,在Internet出入口連接點,必須采取措施進行保護——布置防火墻系統(tǒng),對集團總部的Internet出入口實施有效的控制,包括進出的數(shù)據(jù)檢查和資源訪問的控制。另外,僅僅設(shè)置1臺防火墻,容易出現(xiàn)單點故障,為了保證網(wǎng)絡對外的7X24小時不間斷服務,還必須考慮網(wǎng)絡安全設(shè)備的冗余配置。廣域網(wǎng)連接的安全保護企業(yè)部分異地的下屬企業(yè)和部門將經(jīng)過廣域網(wǎng)的方式與綿陽總部進行連接。因此企業(yè)的網(wǎng)絡系統(tǒng)從其結(jié)構(gòu)而言是一個在物理上廣域連接的企業(yè)網(wǎng)絡系統(tǒng),我們認為企業(yè)廣域連接的網(wǎng)絡系統(tǒng)必須考慮兩方面的安全措施:(一)網(wǎng)絡通信加密(VPN應用)廣域網(wǎng)絡通信連接將經(jīng)過第三方鏈路進行。盡管租用電信或其它傳輸服務提供商的專用鏈路傳輸數(shù)據(jù)的安全性會高于經(jīng)過Internet傳輸,可是由于第三方提供的專用鏈路所使用的設(shè)備是公共的,其安全性具有相對性,不但在鏈路上傳輸?shù)臄?shù)據(jù)存在被竊取的可能,同時也存在由于鏈路供應商安全管理和保護措施不完善的原因,導致被別有用心者有可能經(jīng)過盜接而非法訪問網(wǎng)絡資源的風險,在國內(nèi)就曾有類似的案件發(fā)生——非法分子經(jīng)過在公共設(shè)備上偷偷接入自己的電腦,竊取了別人的股票交易帳戶資料,盜用她人的帳戶進行證券交易而非法獲利。如果僅僅是竊取資料對于網(wǎng)絡系統(tǒng)本身可能不會產(chǎn)生太嚴重的破壞,可是假設(shè)盜接者是一個惡意攻擊者,即使僅僅是一個普通的網(wǎng)絡高手,把在網(wǎng)絡通信鏈路上截取的數(shù)據(jù)進行篡改或者置換,再經(jīng)過網(wǎng)絡鏈路將屬性被異動的數(shù)據(jù)對系統(tǒng)進行回放,其對網(wǎng)絡系統(tǒng)可能造成的破壞程度是用戶無法預計的?，F(xiàn)有的設(shè)備和技術(shù)手段要實現(xiàn)以上的非法目的不難,如果僅僅是經(jīng)過盜接來竊取資料,只需要物理上存在接入的可能(實際上當前國內(nèi)所有的鏈路服務供應商都存在比較大的漏洞),就非常容易實現(xiàn);即使是經(jīng)過鏈路盜接進行惡意攻擊的”高難度”動作,”網(wǎng)絡高手”只需花很低的代價購買用于網(wǎng)絡測試的專業(yè)設(shè)備和軟件,就可在通信鏈路上經(jīng)過數(shù)據(jù)回放對網(wǎng)絡系統(tǒng)實施攻擊。因此,為了消除這類風險的存在,我們認為企業(yè)網(wǎng)絡安全系統(tǒng)必須能夠?qū)υ趶V域網(wǎng)上傳輸?shù)乃袛?shù)據(jù)進行加密(數(shù)據(jù)發(fā)出方)和解密(數(shù)據(jù)接收方)處理,即VPN應用。VPN采用3DES的加密算法,一方面能夠使在廣域網(wǎng)鏈路上傳輸?shù)臄?shù)據(jù)變成外來者不可”讀”,防止流失數(shù)據(jù)的信息泄露;另一方面經(jīng)過VPN加密和解密的規(guī)則,能夠?qū)哂胁涣紝傩缘谋划悇訑?shù)據(jù)進行過濾或使之屬性失效,避免這些惡意數(shù)據(jù)對網(wǎng)絡系統(tǒng)造成破壞。(二)防火墻保護應用從網(wǎng)絡系統(tǒng)的應用來說,企業(yè)廣域連接的網(wǎng)絡系統(tǒng)實際上就是規(guī)模龐大的企業(yè)內(nèi)部網(wǎng)。在這種復雜的網(wǎng)絡環(huán)境中實現(xiàn)對各類網(wǎng)絡資源的有效保護和管理,僅僅利用現(xiàn)有的網(wǎng)絡來完成,顯然是做不到的。我們認為在企業(yè)廣域連接的網(wǎng)絡系統(tǒng)內(nèi)有必要引入防火墻的應用,原因如下兩方面。其一,類似企業(yè)這種在物理上分布廣泛的網(wǎng)絡系統(tǒng),每一個在地理上屬異地的分支機構(gòu)或部門,甚至同屬于一個地方(如總部)的不同機構(gòu)和部門,其網(wǎng)絡應用和管理都有相正確獨立性,因此在網(wǎng)絡安全管理實施和執(zhí)行上就很容易產(chǎn)生差異,從而出現(xiàn)網(wǎng)絡安全漏洞。雖然企業(yè)在網(wǎng)絡實施和管理上能夠強制性地要求企業(yè)內(nèi)部網(wǎng)絡到Internet的接入為統(tǒng)一出入口,可是在網(wǎng)絡的使用過程中,可能總部和個別管理嚴格的異地分支機構(gòu)和部門,能夠比較容易地始終如一執(zhí)行這一規(guī)章制度,卻不能完全保證所有在網(wǎng)上的用戶因為一些別的原因使用了另外的途徑進入Internet,如異地機構(gòu)的企業(yè)網(wǎng)絡用戶經(jīng)過向當?shù)豂SP供應商購買帳戶使用PSTN/ISDN/ADSL撥號上網(wǎng),這就等于給企業(yè)網(wǎng)絡為外部Internet的使用者提供了一個甚至多個”后門”。這種”后門”對于別有用心的網(wǎng)絡黑客來說,是非常有用的,她們能夠避開企業(yè)網(wǎng)絡”門戶”的防火墻系統(tǒng),經(jīng)過網(wǎng)絡的”后門”直接攻擊企業(yè)網(wǎng)絡的內(nèi)部資源,這也是網(wǎng)絡黑客最常見的攻擊手段之一;在國外就曾經(jīng)有某個利益集團利用這一手法,獲取了某國海關(guān)大量的內(nèi)部資料,利用所掌握的內(nèi)部資料,達到其變相走漏海關(guān)關(guān)稅的目的,而且這一手法在被發(fā)現(xiàn)的時候已經(jīng)被有效地利用了相當長的時間。因此在企業(yè)廣域網(wǎng)內(nèi)采取網(wǎng)絡連接保護是必須的措施。其二,內(nèi)部網(wǎng)絡連接安全保護。企業(yè)企業(yè)網(wǎng)內(nèi)部處理和存放了幾乎所有的企業(yè)數(shù)據(jù)和信息,這些信息根據(jù)不同的應用被不同的對象使用,有許多信息系統(tǒng)會根據(jù)應用目的進行分類獨立使用(虛擬系統(tǒng)),而且其共享的用戶范圍也是有限制的,因此在網(wǎng)絡上需要有比較好的手段對內(nèi)部用戶進行信息資源訪問的控制;另一方面,來自于企業(yè)內(nèi)部的攻擊不容忽視,其成功的可能性要遠遠大于來自于Internet的攻擊,而且內(nèi)部攻擊的目標主要是獲取企業(yè)的機密信息,這就更需要有措施對內(nèi)部用戶進行訪問控制。由此可見,在企業(yè)經(jīng)過第三方專線連接的企業(yè)廣域網(wǎng)內(nèi),實施網(wǎng)絡安全保護是非常必要的舉措。能夠有效地擔負這一保護作用角色的是性能和功能強大的防火墻系統(tǒng)。因此,本建議書建議企業(yè)廣域網(wǎng)系統(tǒng)配置內(nèi)部的防火墻系統(tǒng)。虛擬連接廣域網(wǎng)的安全保護對于企業(yè)眾多的異地分支機構(gòu)(規(guī)模比較小的)、商業(yè)合作伙伴、出差在外的流動用戶,將其遠程電腦或小規(guī)模LAN納入企業(yè)網(wǎng)系統(tǒng)的接入模式,更多的將會采用經(jīng)過公共Internet的虛擬連接方式。正如前面所言,這種連接方式盡管實現(xiàn)的代價和技術(shù)條件相對比較低,但其所能提供的安全保證更加不可信賴。因此毫無疑問,同樣的理由,這種連網(wǎng)方式的廣域網(wǎng),其VPN和防火墻的應用,比經(jīng)過第三方專線鏈路更加迫切需要。其它安全保護輔助措施企業(yè)網(wǎng)絡環(huán)境比較復雜,設(shè)備眾多,這使管理人員查找和修補網(wǎng)絡中的全部安全隱患有相當大的難度。利用先進的技術(shù)、工具進行網(wǎng)絡系統(tǒng)自身的脆弱性檢查,先于入侵者發(fā)現(xiàn)漏洞并及時彌補,以及建立實時入侵檢測系統(tǒng),是十分有效的安全防護措施,將能極大提高、完善企業(yè)系統(tǒng)安全。在條件允許的情況下,我們建議企業(yè)企業(yè)網(wǎng)增加網(wǎng)絡漏洞掃描和入侵檢測系統(tǒng)。系統(tǒng)安全需求分析各種操作系統(tǒng)是應用運行的基礎(chǔ),應用系統(tǒng)的安全性,在相當大的程度之上受到操作系統(tǒng)安全性的影響。當前運行大多數(shù)應用的各種操作系統(tǒng),都是針對能夠運行多種應用來開發(fā)的,其開發(fā)要兼顧到各種應用的多個方面,在程序開發(fā)過程中,會出現(xiàn)一些人為的疏忽,以及一些人為設(shè)置的后門等。這些人為的疏忽或者后門就成了操作系統(tǒng)的安全漏洞。還有,安裝在操作系統(tǒng)上的各種應用系統(tǒng)形成了一個復雜的環(huán)境,這些應用程序本身設(shè)計的缺陷也會帶來安全漏洞。另外,系統(tǒng)權(quán)限管理的松懈也是造成安全漏洞的重要原因。另外,任何東西的特性都是兩方面的,只要惡意的破壞者掌握了系統(tǒng)的特性,這些特性就能夠被用來進行系統(tǒng)的破壞?；谝陨系脑?企業(yè)網(wǎng)絡需要對總部的應用服務器進行操作系統(tǒng)和數(shù)據(jù)庫的備份,操作系統(tǒng)包括WindowsNT,Windows,Solaris,Linux,數(shù)據(jù)庫系統(tǒng)主要包括Oracle,MSSQL數(shù)據(jù)庫。需要對這些系統(tǒng)進行系統(tǒng)安全漏洞的掃描和實時入侵的檢測。應用安全管理需求分析應用層安全主要是對應用資源的有效性進行控制,管理和控制什么用戶對資源具有什么權(quán)限。資源包括信息資源和服務資源。需要提高身份認證安全性的系統(tǒng)包括主機系統(tǒng)、網(wǎng)絡設(shè)備、移動用戶訪問、VPN和應用層。主機系統(tǒng)包括企業(yè)總部和各下屬公司中心主機、數(shù)據(jù)庫系統(tǒng),WEB服務器、MAIL服務器等等,這些主機系統(tǒng)是公司網(wǎng)絡系統(tǒng)的核心,存儲著公司最重要的信息資源,因此,保證這些主機系統(tǒng)的登錄的安全是極其重要的。當前企業(yè)的主機系統(tǒng)依然沿用單一密碼的身份認證方式,這種簡單的身份認證存在以下安全隱患:網(wǎng)絡入侵者,很容易猜測或破解賬號、密碼,利用她人的帳戶登錄,進行非法操作。人員的流動、集成商自設(shè)等很多因素,使得每臺主機系統(tǒng)上的多余帳戶增加。網(wǎng)絡設(shè)備安全管理企業(yè)全公司,網(wǎng)絡設(shè)備(路由器、交換機)數(shù)量以數(shù)十甚至數(shù)百計。公司所有的業(yè)務系統(tǒng)都是建立在網(wǎng)絡設(shè)備基礎(chǔ)之上的,保證網(wǎng)絡設(shè)備的安全是保證系統(tǒng)正常運行的首要條件;而保護網(wǎng)絡設(shè)備的安全,一般考慮的最多的是設(shè)備的冗余,而網(wǎng)絡設(shè)備的配置保護卻不被重視,其實,當某一個人登錄了網(wǎng)絡設(shè)備(路由器、防火墻、VPN設(shè)備等),將配置進行了更改,為以后非法的登錄建立通道,對整個系統(tǒng)來說,所有的安全設(shè)施就形同虛設(shè)。因此對登錄網(wǎng)絡設(shè)備的人員進行強的身份認證是完全必要的。移動用戶的訪問控制訪問移動用戶進入公司內(nèi)部網(wǎng)絡能夠經(jīng)過本地撥號連接公司的內(nèi)部網(wǎng)絡,也能夠經(jīng)過互聯(lián)網(wǎng)的ISP接入公司內(nèi)部網(wǎng)。對于企業(yè)來說,移動用戶將基本上采用VPN的方式對內(nèi)部進行訪問,外出的員工能夠經(jīng)過Internet渠道的方式進入公司內(nèi)部網(wǎng)絡,獲取所需要信息資源或回送需要提交的信息。而當前從終端上訪問也是采用單一靜態(tài)密碼,從我們前面的分析來看,顯然是不安全的。因此我們必須在移動用戶訪問上增加更加強大的手段對移動用戶進行控制管理。VPN上的認證在網(wǎng)絡系統(tǒng)將配置VPN系統(tǒng),遠程移動用戶能夠經(jīng)過撥號連接本地ISP,用VPNClient建立安全通道訪問公司信息資源。而VPN技術(shù)能夠很好的解決系統(tǒng)傳輸?shù)陌踩珕栴},極大的節(jié)約公司的費用,而且使外部非法用戶無法訪問公司內(nèi)部信息;可是,對于公司內(nèi)部用戶,由于VPN所提供的用戶認證機制依然是單一的密碼方式,使我們無法保證當前訪問信息資源帳戶和擁有該帳戶的員工的身份相符合,也就是說,還是存在內(nèi)部用戶盜用她人密碼訪問特定的信息資源的安全隱患(可能這些信息資源是她無權(quán)瀏覽或更改的),因此,補充更強的身份認證機制對VPN系統(tǒng)應用來說也是非常必要的。應用層安全保護這里的應用層,主要指企業(yè)的信息資源管理系統(tǒng)(ERP)。在員工進入ERP系統(tǒng)時需要輸入用戶名稱和密碼,同樣的原因,單一靜態(tài)密碼的不安全性使得我們有必要在ERP系統(tǒng)上采用強的認證機制,保證不同權(quán)限的、不同級別的用戶安全合法的使用ERP系統(tǒng)。ERP系統(tǒng)上單一靜態(tài)密碼的安全隱患主要有:用戶無法保證辦公文件能正確的接受,在接受之前沒有被其它人瀏覽過。單一密碼容易泄露,一旦密碼泄露,其惡果可能會很嚴重。高級別的用戶在遠程授權(quán)以后,需要及時地更改密碼。以上討論了企業(yè)網(wǎng)絡系統(tǒng)各個不同應用的安全認證問題,不難看出,上述的應用都必須在原有的單一靜態(tài)認證基礎(chǔ)上,增加更加強大的認證手段,因此我們建議在企業(yè)網(wǎng)絡安全系統(tǒng)內(nèi)引入動態(tài)認證機制,即動態(tài)的SecurID。加入的RSASecurID必須提供通用的API,使用戶能夠?qū)SASecurID認證內(nèi)嵌到ERP系統(tǒng)或其它的應用系統(tǒng)中,保證公司內(nèi)部網(wǎng)絡用戶接收MAIL和文件的安全,驗證用戶身份,并創(chuàng)立用戶登錄日志文件。為了使系統(tǒng)的認證操作和對非法訪問的攔截更加有效,所有認證的轉(zhuǎn)發(fā)和認證結(jié)果的處理都由防火墻來操作完成,即對所有被認證系統(tǒng)認定為非合法訪問的服務請求,經(jīng)過防火墻”掐斷”其訪問連接,而不是經(jīng)過應用系統(tǒng)直接拒絕訪問服務。這是防火墻系統(tǒng)設(shè)計時必須考慮的可實現(xiàn)功能之一應用對安全系統(tǒng)的要求分析任何一個完整的網(wǎng)絡安全系統(tǒng),從其功能和物理層次來看,它將分別是網(wǎng)絡基礎(chǔ)設(shè)施和網(wǎng)絡應用系統(tǒng)的組成部分。防火墻作為網(wǎng)絡基礎(chǔ)設(shè)施的一部分,和其它網(wǎng)絡設(shè)備一樣,其性能目標應該按照網(wǎng)絡系統(tǒng)的應用要求進行選型設(shè)計。如果防火墻選型設(shè)計的不恰當,即使網(wǎng)絡其它設(shè)備的選型設(shè)計滿足要求,同樣也會因為防火墻的效率妨礙網(wǎng)絡的應用,嚴重的話會導致整個網(wǎng)絡應用建設(shè)的失敗,這已經(jīng)是被事實證明的。因此,本建議書有必要針對企業(yè)的網(wǎng)絡應用進行防火墻系統(tǒng)的要求分析。網(wǎng)絡應用系統(tǒng)的現(xiàn)狀及發(fā)展說明企業(yè)的網(wǎng)絡應用包括了集團公司幾乎所有的業(yè)務活動和管理方面的應用,例如ERP、OA、財務、網(wǎng)絡視頻會議應用等等。任何一個應用系統(tǒng)提供的應用,都是依賴于網(wǎng)絡的各個層次來實現(xiàn)應用信息的處理和傳送,應用系統(tǒng)最終是經(jīng)過向所有的網(wǎng)絡用戶提供使用來達到其應用的目的。由此能夠看出從網(wǎng)絡用戶電腦(客戶端)到應用系統(tǒng)平臺(服務器端)的結(jié)構(gòu)形式會對網(wǎng)絡設(shè)備(特別防火墻)提出相應的要求;簡單而言,不同的應用模式,對網(wǎng)絡防火墻系統(tǒng)有不同的技術(shù)指標要求。企業(yè)網(wǎng)絡當前的應用系統(tǒng)結(jié)構(gòu)是C/S和B/S兩種應用結(jié)構(gòu)的混合形式,主要的業(yè)務應用系統(tǒng)現(xiàn)在是分布式的C/S結(jié)構(gòu)?，F(xiàn)在正在進行的已有應用系統(tǒng)升級開發(fā)將使應用系統(tǒng)從C/S結(jié)構(gòu)向B/S結(jié)構(gòu)遷移;新增加的應用系統(tǒng)開發(fā),也是集中式的B/S結(jié)構(gòu)。在未來一兩年內(nèi),企業(yè)的應用系統(tǒng)將大部分實現(xiàn)集中式的B/S結(jié)構(gòu)模式。同時隨著公司規(guī)模的擴大和業(yè)務領(lǐng)域的拓展,當前已經(jīng)在企業(yè)網(wǎng)絡系統(tǒng)內(nèi)應用的網(wǎng)絡視頻會議系統(tǒng)(對網(wǎng)絡的傳輸性能要求很高的應用系統(tǒng))會隨著系統(tǒng)應用規(guī)模的擴大,為網(wǎng)絡系統(tǒng)帶來越來越大的數(shù)據(jù)傳輸壓力。以上兩種主要的因素,在很大程度上決定我們在防火墻選型設(shè)計時對產(chǎn)品的取舍。面向應用系統(tǒng)的防火墻系統(tǒng)設(shè)計要求根據(jù)企業(yè)網(wǎng)絡應用系統(tǒng)的現(xiàn)狀以及未來系統(tǒng)的結(jié)構(gòu)發(fā)展,我們認為著重考慮企業(yè)的B/S結(jié)構(gòu)應用特點,是防火墻系統(tǒng)技術(shù)指標設(shè)計的主要依據(jù)。眾所周知,防火墻作為網(wǎng)絡設(shè)備,對網(wǎng)絡性能影響最為主要的是兩個參數(shù)指標,一個是防火墻的TCP連接處理能力(并發(fā)會話處理數(shù)),另一個是防火墻對網(wǎng)絡數(shù)據(jù)流量的吞吐能力(帶寬參數(shù))。B/S結(jié)構(gòu)的應用系統(tǒng)雖然具有管理簡單,客戶端開發(fā)、使用和維護的成本很低的優(yōu)點,可是在網(wǎng)絡上B/S結(jié)構(gòu)應用系統(tǒng)將會給網(wǎng)絡帶來巨大的網(wǎng)絡流動數(shù)據(jù)處理壓力,而且是并發(fā)的。具體來說,B/S結(jié)構(gòu)的應用系統(tǒng)在網(wǎng)絡上使用,會給網(wǎng)絡防火墻帶來數(shù)倍甚至數(shù)十倍于C/S結(jié)構(gòu)應用系統(tǒng)的并發(fā)TCP會話數(shù)量,而且這些會話絕大部分是包長很短的”垃圾”IP包。由此可見,在設(shè)計企業(yè)防火墻系統(tǒng)時,足夠大的TCP會話處理能力,是我們選擇防火墻(包括VPN)產(chǎn)品考慮的主要因素。經(jīng)過對各類防火墻的比較分析,我們認為當前面向B/S結(jié)構(gòu)應用的防火墻設(shè)備,硬件防火墻是最為明智的選擇。

安全系統(tǒng)實現(xiàn)目標根據(jù)上一章的需求分析,從網(wǎng)絡安全的技術(shù)手段而言,企業(yè)企業(yè)網(wǎng)的安全系統(tǒng)必須實現(xiàn)從Internet和廣域網(wǎng)進入內(nèi)部資源網(wǎng)絡的數(shù)據(jù)被有效檢查和過濾、所有對內(nèi)部資源網(wǎng)絡的訪問能夠被有效控制、移動用戶從Internet進入內(nèi)部網(wǎng)絡進行業(yè)務操作的通信和經(jīng)過廣域網(wǎng)進入內(nèi)部網(wǎng)的用戶通信必須加密、所有網(wǎng)絡訪問行為能夠被記錄和審計、非法訪問被預警和阻攔(條件允許時實施)、應用系統(tǒng)平臺及數(shù)據(jù)能夠被有效備份以抗擊災難風險、用戶的身份的真實性認證等幾方面的目標。網(wǎng)絡基礎(chǔ)層安全系統(tǒng)建設(shè)目標網(wǎng)絡層安全系統(tǒng)經(jīng)過防火墻系統(tǒng)(帶VPN功能)實現(xiàn)訪問控制、網(wǎng)絡信息檢查、通信加密、非法入侵檢測和攔截,異常情況告警和審計幾大功能目標。Internet及Extranet進出口控制在國際互聯(lián)網(wǎng)(Internet)和企業(yè)廣域網(wǎng)(Extranet)的進出口,防火墻系統(tǒng)經(jīng)過有效的策略選擇,能夠阻斷有害的網(wǎng)絡數(shù)據(jù)和被禁止的數(shù)據(jù)源進入企業(yè)內(nèi)部網(wǎng)絡。從互聯(lián)網(wǎng)入口進入企業(yè)網(wǎng)的用戶,能夠被防火墻有效地進行類別劃分,即區(qū)分為經(jīng)過互聯(lián)網(wǎng)進入內(nèi)部網(wǎng)的企業(yè)移動用戶或外部的公共訪問者,對于要求進入企業(yè)內(nèi)部網(wǎng)的訪問者進行用戶的授權(quán)認證,攔截沒有用戶權(quán)限的訪問者試圖進入內(nèi)部網(wǎng)。對于經(jīng)過Internet入口和廣域網(wǎng)入口進入總部企業(yè)內(nèi)部網(wǎng)或分支機構(gòu)內(nèi)部網(wǎng)的用戶,設(shè)置在網(wǎng)絡出入口的防火墻系統(tǒng)不但能夠?qū)υL問者進行能否被允許進入的權(quán)限認證,同時能夠?qū)崿F(xiàn)按照企業(yè)資源被訪問權(quán)限劃分的訪問路由控制。對于內(nèi)部或外部的本企業(yè)用戶而言,防火墻系統(tǒng)能夠?qū)崿F(xiàn),企業(yè)各類資源的應用系統(tǒng)在邏輯上進行子網(wǎng)系統(tǒng)的劃分,即在技術(shù)上提供能夠獨立選擇安全策略的虛擬系統(tǒng)劃分。VPN應用VPN應用是為網(wǎng)絡通信提供有效的信息加密手段。在企業(yè)企業(yè)網(wǎng)的VPN應用中,采用三倍DES的加密技術(shù),這是當前能夠獲得的最先進和實用的網(wǎng)絡通信加密技術(shù)手段。網(wǎng)絡的VPN應用范圍包括移動用戶的客戶機到企業(yè)網(wǎng)絡Internet出入口的防火墻、各分支機構(gòu)的廣域網(wǎng)出入口防火墻到集團總部廣域網(wǎng)出入口防火墻。防火墻系統(tǒng)的功能實現(xiàn)要求總結(jié)網(wǎng)絡層的安全保證是企業(yè)網(wǎng)絡系統(tǒng)安全的最關(guān)鍵,因此在企業(yè)網(wǎng)絡安全系統(tǒng)中,防火墻系統(tǒng)是整個系統(tǒng)的最重要組成部分,它將擔負完成大部分的安全服務(安全技術(shù)手段)實現(xiàn)和執(zhí)行的任務。傳統(tǒng)的網(wǎng)絡安全系統(tǒng)由于受設(shè)備功能和性能的限制,在網(wǎng)絡層(從物理層到傳輸層)很難全部由單一的防火墻或其它安全設(shè)備全部完成表1中提出的功能要求,因此系統(tǒng)的實施難度和費用(包括設(shè)備、人力投入和管理成本)會比較驚人?？墒窃诮裉煲呀?jīng)出現(xiàn)了滿足網(wǎng)絡層全部應用的、功能強大、性能優(yōu)異的防火墻產(chǎn)品,如Cisco防火墻。為了使企業(yè)的網(wǎng)絡安全系統(tǒng)結(jié)構(gòu)簡化、建設(shè)成本降低,本建議書在網(wǎng)絡防火墻系統(tǒng)建設(shè)目標方面,提出了下表2的功能目標要求。表2防火墻系統(tǒng)實現(xiàn)功能目標物理層數(shù)據(jù)鏈路層網(wǎng)絡層傳輸層會話層表示層應用層認證****訪問控制***數(shù)據(jù)保密****數(shù)據(jù)完整性***不可抵賴性審計***可用性****應用輔助安全系統(tǒng)的建設(shè)目標應用系統(tǒng)的安全性主要在用戶和服務器間的雙向身份認證以及信息和服務資源的訪問控制,具有審計和記錄機制,確保防止拒絕和防抵賴的防否認機制。對于重要的主機系統(tǒng)和應用系統(tǒng)、網(wǎng)絡設(shè)備管理系統(tǒng),在原有的靜態(tài)密碼認證管理的基礎(chǔ)上,增加動態(tài)密碼認證管理系統(tǒng),經(jīng)過動態(tài)的密碼方式實時不間斷地驗證所有訪問這些系統(tǒng)用戶的真實身份。

網(wǎng)絡安全系統(tǒng)的實施建議基于以上的規(guī)劃和分析,我們建議企業(yè)網(wǎng)絡安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的,分兩個步驟(兩期)分別實現(xiàn)以下各個安全子系統(tǒng):防火墻系統(tǒng)VPN系統(tǒng)動態(tài)認證系統(tǒng)系統(tǒng)設(shè)計的基本原則實用、先進、可發(fā)展是安全系統(tǒng)設(shè)計的基本原則。本建議書設(shè)計的安全系統(tǒng)首先是滿足企業(yè)現(xiàn)有和可預見未來幾年內(nèi)的應用要求;其次是考慮在投資增加很少的前提下,選擇當前能夠提供最先進技術(shù)手段的設(shè)備和系統(tǒng)方案;最后要考慮實現(xiàn)的安全系統(tǒng)面對應用要有長遠發(fā)展的能力。防火墻系統(tǒng)作為網(wǎng)絡出入口的內(nèi)外連接控制和網(wǎng)絡通信加密/解密設(shè)施,不但需要有足夠的數(shù)據(jù)吞吐能力,如網(wǎng)絡物理接口的帶寬,也需要優(yōu)越的網(wǎng)絡連接的數(shù)據(jù)處理能力,例如并發(fā)連接數(shù)量和網(wǎng)絡連接會話處理能力等。以下的防火墻系統(tǒng)設(shè)計將根據(jù)這些原則合理的設(shè)計系統(tǒng)。本建議書將重點對防火墻系統(tǒng)(包括VPN應用系統(tǒng))提出設(shè)計建議。安全系統(tǒng)實施步驟建議任何一個網(wǎng)絡應用系統(tǒng)在實施和建設(shè)階段,在進行應用系統(tǒng)開發(fā)的同時,首先是考慮網(wǎng)絡基礎(chǔ)設(shè)施的建設(shè)。防火墻系統(tǒng)和VPN應用系統(tǒng)作為現(xiàn)代網(wǎng)絡系統(tǒng)基礎(chǔ)設(shè)施的重要部分,毫無疑問也是我們建設(shè)網(wǎng)絡安全系統(tǒng)首先需要構(gòu)架的系統(tǒng)。這也是我們建議企業(yè)網(wǎng)絡安全系統(tǒng)第一階段需要完成的系統(tǒng)建設(shè)部分。動態(tài)認證系統(tǒng)是對網(wǎng)絡用戶對具體的應用系統(tǒng)或網(wǎng)絡資源訪問控制的一種加強手段。正如前面所分析,在防火墻配合的基礎(chǔ)上能夠更加有效地發(fā)揮其作用;另一方面,動態(tài)認證系統(tǒng)是面向具體應用的訪問控制輔助手段,系統(tǒng)的實施范圍和規(guī)模根據(jù)應用系統(tǒng)的要求而決定。因此我們建議動態(tài)認證系統(tǒng)放在防火墻系統(tǒng)實施完成后的第二階段來實施。同樣,漏洞掃描和入侵檢測系統(tǒng)作為防火墻系統(tǒng)的輔助系統(tǒng),能夠有效地提高防火墻系統(tǒng)發(fā)揮的安全保護作用;漏洞掃描和入侵檢測系統(tǒng)所發(fā)揮的作用,最終要靠防火墻系統(tǒng)的作用來體現(xiàn),因為漏洞掃描和入侵檢測系統(tǒng)”檢查”和”偵測”得到的非法訪問和惡意攻擊,需要防火墻系統(tǒng)對其實施控制和攔截。因此建議也將漏洞掃描和入侵檢測系統(tǒng)放在防火墻系統(tǒng)建設(shè)完成后的第二階段實施。防火墻系統(tǒng)實施建議防火墻系統(tǒng)是在網(wǎng)絡基礎(chǔ)層以上(OSI/ISO網(wǎng)絡結(jié)構(gòu)模型的2至7層)提供主要的安全技術(shù)服務手段,如表2所示。這些安全服務包括了訪問認證、訪問控制、信息流安全檢查、數(shù)據(jù)源點鑒別等技術(shù)手段。(注:在以下的防火墻系統(tǒng)設(shè)計建議中,除特別進行說明的功能或技術(shù)手段不能滿足設(shè)計要求以外,本建議書所有設(shè)計選擇的產(chǎn)品都是全部滿足表2和第三章提出的系統(tǒng)目標之要求,在本方案文檔中將不再進行所有功能的詳細技術(shù)實現(xiàn)說明。)在網(wǎng)絡邊界設(shè)置進出口控制,能夠防御外來攻擊、監(jiān)控往來通訊流量,是企業(yè)網(wǎng)絡安全的第一道關(guān)卡,其重要性不言而喻。網(wǎng)絡防火墻系統(tǒng)從其設(shè)置的物理位置來說,最恰當?shù)奈恢镁褪蔷W(wǎng)絡物理邊界的出入口。因此能夠說,網(wǎng)絡安全系統(tǒng)最為關(guān)鍵的組成部分實際上是利用上述的各種技術(shù)手段,經(jīng)過對網(wǎng)絡出入口的控制實現(xiàn)安全服務的目的。本建議書我們采用防火墻來對企業(yè)網(wǎng)絡的進出口進行控制,包括Internet進出口控制和廣域網(wǎng)進出口控制。Internet進出口控制綿陽總部是整個企業(yè)的中心最重要網(wǎng)絡,經(jīng)過廣域網(wǎng)鏈路連接分布在各地的分部,開展各種業(yè)務應用,并采用專線連接互聯(lián)網(wǎng)獲取有用信息。從安全和管理角度考慮,建議只在總部設(shè)立一個Internet出口,各地分部統(tǒng)一經(jīng)過總部訪問互聯(lián)網(wǎng)。(一)Internet接入結(jié)構(gòu)如下圖典型的企業(yè)應用所示,總部在Internet出口設(shè)立防火墻系統(tǒng)。為避免單點故障,防火墻系統(tǒng)采取雙機模式構(gòu)建。每臺防火墻均提供4個網(wǎng)絡接口,分別連接Internet,中立區(qū)和內(nèi)部網(wǎng)絡兩臺中心交換機。來自Internet的光纖專線將經(jīng)過一臺交換機與兩臺防火墻的外網(wǎng)口連接。中立區(qū)也需增加一臺交換機,用于連接兩臺防火墻的中立區(qū)口、WWW服務器、郵件服務器等。(二)防火墻系統(tǒng)選型設(shè)計經(jīng)過對多家防火墻廠商設(shè)備的綜合比較,本建議書推薦采用Cisco公司的防火墻產(chǎn)品。簡要介紹Cisco公司和它的防火墻產(chǎn)品我們設(shè)計企業(yè)Internet出口處采用兩臺組成雙機模式的Cisco防火墻(以PIX515為例)。PIX515防火墻吞吐量高達xxxbps,提供xxx接口,xxx鏈接數(shù),xxxVPN處理能力,支持透明模式、雙機備份、負載均衡、圖形管理等,流量控制功能為網(wǎng)絡管理員提供了全部監(jiān)測和管理網(wǎng)絡的信息,諸如DMZ,服務器負載平衡和帶寬優(yōu)先級設(shè)置等先進功能,使PIX獨樹一幟。其詳細特點如下:提供了防火墻的全部安全功能(如防止拒絕服務攻擊,Java/ActiveX/Zip過濾,防IP地址欺騙……)并結(jié)合了包過濾、鏈路過濾和應用代理服務器等技術(shù)網(wǎng)絡地址轉(zhuǎn)換(NAT):隱藏內(nèi)部的IP地址動態(tài)訪問過濾(DynamicFilter):自適應網(wǎng)絡服務保護URL地址的限定:限制站點的訪問,過濾不需要的網(wǎng)站用戶認證(Authentication):只允許有授權(quán)的訪問符合IPSec:可與其它廠家的設(shè)備交互操作IKE密鑰管理:保證密鑰交換DES和三級DES:最高等級的加密、解密流量帶寬控制及優(yōu)先級設(shè)置:按您的需求管理流量負載平衡能力:管理服務器群(ServerFarms)虛擬IP:將內(nèi)部服務器映射為可路由地址實時日志及報警紀錄:實時監(jiān)控網(wǎng)絡狀態(tài)透明的,無IP地址設(shè)置:無須更改任何路由器及主機配置自帶Web服務器:方便地經(jīng)過流行的瀏覽器進行管理圖形界面:可關(guān)閉遠程的管理方式,只用本地的、安全的管理SNMP管理方式:經(jīng)過網(wǎng)絡管理軟件管理命令行界面:支持批處理方式及經(jīng)過調(diào)制解調(diào)器的備用渠道進行控制兩臺PIX防火墻采取雙機熱備方式工作,任何一臺防火墻出現(xiàn)故障,其任務由另一臺防火墻自動接管,避免單點故障造成企業(yè)無法上網(wǎng)的情況發(fā)生,保證網(wǎng)絡的無間斷運行。企業(yè)的Internet應用除了瀏覽互聯(lián)網(wǎng)和WWW發(fā)布外,外出員工對公司的訪問也將經(jīng)過Internet進行。為允許合法用戶訪問公司網(wǎng)絡,同時確保經(jīng)過Internet進行的業(yè)務應用的安全性,我們建議采取VPN通訊方式。利用PIX防火墻的VPN功能,終端工作站安裝PIXASDM軟件或者利用WIN操作系統(tǒng)對VPN的支持,能夠?qū)崿F(xiàn)企業(yè)遠程辦公的安全需求。PIXASDM是一種在用戶主機(桌面或筆記本電腦)上運行的軟件,簡化了對網(wǎng)絡、設(shè)備或公共或非信任網(wǎng)絡中其它主機的安全遠程接入。經(jīng)過采用IPSec協(xié)議和第二層通道協(xié)議[L2TP],并以證書作為額外的選項,能夠?qū)崿F(xiàn)安全性。為了構(gòu)建安全的通信通道,必須把這一軟件與IPSec網(wǎng)關(guān)結(jié)合使用(如PIX家族安全設(shè)備),或與運行IPSec兼容軟件的另一臺主機結(jié)合使用(如ASDM)。PIX-ASDM支持Windows95,98,NT,系統(tǒng)。廣域網(wǎng)進出口控制企業(yè)具有多個地理上分散的分部,各分部和總部之間租用電信專線互聯(lián),形成以總部為中心的集團廣域網(wǎng)。分散的企業(yè)給網(wǎng)絡安全管理造成了一定的難度,而且企業(yè)內(nèi)部攻擊的成功可能性遠大于外部攻擊,造成的危害更嚴重,因此全方位的網(wǎng)絡保護是不但防外,還應防內(nèi)。企業(yè)內(nèi)部防范主要是確?？偛亢透鞴镜陌踩?加強廣域網(wǎng)的進出口控制,我們建議在總部及各分部的廣域網(wǎng)出口處配備防火墻來加強內(nèi)部網(wǎng)絡保護,見下圖。該防火墻系統(tǒng)起到防御內(nèi)部攻擊、阻止入侵行為進一步擴大升級的作用,避免某段網(wǎng)絡范圍內(nèi)發(fā)生的入侵破壞擴大至整個企業(yè)網(wǎng)絡,把來自內(nèi)部攻擊造成的破壞減低到最低程度,保護其它網(wǎng)絡部分的正常工作。根據(jù)企業(yè)升級后的網(wǎng)絡拓撲結(jié)構(gòu),廣域網(wǎng)鏈路和設(shè)備都具備了較強的冗余備份能力,總部的路由器和中心交換機配置均采取了雙機熱備方式。考慮到總部的廣域網(wǎng)防火墻是位于路由器和中心交換機之間,因此也必須做冗余配置,否則會成為廣域網(wǎng)設(shè)備中的單點故障點,使路由器和中心交換機所做的備份措施失去意義。企業(yè)廣域網(wǎng)存在ERP、VoIP、視頻會議等各種高帶寬應用,特別總部是整個企業(yè)網(wǎng)絡的數(shù)據(jù)中心,進出的信息流量龐大,推薦采用兩臺處理性能很強的PIX525防火墻,實現(xiàn)冗余備份(Active-Active方式)和負載均衡。每臺防火墻基本配置含4個100M或1000M端口,分別連接兩臺路由器和兩臺中心交換機。PIX525是一個高性能、高度可靠、高度冗余的平臺。PIX525擁有XXXM線速處理能力,XXXM的3DESVPN流量,強健的攻擊防范功能。PIX525特別適合帶寬要求高的大型企業(yè)環(huán)境。PIX525技術(shù)參數(shù)性能攻擊檢測防火墻VPN流量控制系統(tǒng)管理虛擬系統(tǒng)工作模式高可用性(HA)管理PIX525外觀見下圖:虛擬連接廣域網(wǎng)出入口控制經(jīng)過公共互聯(lián)網(wǎng)虛擬連接的企業(yè)網(wǎng),連接的兩端(總部和分部)由于其承擔的工作角色和工作量有比較大的差異,因此,出于實用和經(jīng)濟的角度考慮,本方案建議網(wǎng)絡接入Internet的結(jié)構(gòu)采取不同方式和檔次的設(shè)備方案。(一)總部的接入設(shè)計在本章4.3.1節(jié)中,已經(jīng)對企業(yè)總部的Internet出入口控制防火墻系統(tǒng)進行了設(shè)計,同樣的連接應用結(jié)構(gòu)也能夠應用到經(jīng)過Internet提供虛擬網(wǎng)絡的接入。建議使用4.3.1的設(shè)計方案,在此不做重復的說明。在總部的物理出入口,能夠是對外提供公共服務的出入口(4.3.1設(shè)計的)與企業(yè)虛擬連接廣域網(wǎng)的接入口為同一個物理接口,即由同一個Internet公網(wǎng)節(jié)點提供連接;也能夠是各自獨立的接口,即由不同的公網(wǎng)節(jié)點提供連接服務。前者需要將總部的公網(wǎng)出入口控制防火墻的檔次提高(至少選擇PIX515以上的檔次),這是由于經(jīng)過這種虛擬連接方式接入企業(yè)各地分部或商業(yè)合作伙伴有近千家,只有配置更高檔的防火墻才能滿足系統(tǒng)應用的性能要求,如同時支持的VPN通道數(shù)量、會話處理能力、網(wǎng)絡接口帶寬等等。后者的模式是再增加一個結(jié)構(gòu)與4.3.1設(shè)計相同的公網(wǎng)接入物理接口,與前者同樣的理由,向企業(yè)各分部或商業(yè)合作伙伴提供虛擬連接的出入口,其控制防火墻也需要配置功能強大和性能優(yōu)異的設(shè)備,建議選擇檔次為PIX515以上的防火墻產(chǎn)品,如PIX515或PIX525,PIX535。(二)分部的接入設(shè)計由于分部經(jīng)過公網(wǎng)虛擬連接接入總部網(wǎng)絡網(wǎng)絡的應用,考慮其數(shù)據(jù)量和應用的要求不高,而且這種非物理專線方式接入所提供的網(wǎng)絡通信帶寬也很有限,一般只有幾十或幾百K,因此在企業(yè)各異地分部建議采用功能滿足系統(tǒng)實現(xiàn)目標、性能相對較低的防火墻設(shè)備。本方案選擇PIX515防火墻配備各分部。(有關(guān)PIX515防火墻建立虛擬網(wǎng)絡的組網(wǎng)說明請參考VPN系統(tǒng)的設(shè)計說明)。VPN系統(tǒng)設(shè)計VPN系統(tǒng)在企業(yè)網(wǎng)絡系統(tǒng)中應用的目的是在一個非信任的通信網(wǎng)絡鏈路或公共Internet建立一個安全和穩(wěn)定的隧道。雖然在應用邏輯上,VPN和防火墻是兩個獨立的應用系統(tǒng),可是對于先進的防火墻設(shè)備,兩者是合并在同一個物理設(shè)備上的,這樣的不但能夠使系統(tǒng)的結(jié)構(gòu)和實施簡單化,而且能夠大大地提高系統(tǒng)的應用效率。在本方案設(shè)計采用的PIX防火墻就是這一種設(shè)備。PIX防火墻能夠提供表2所列在網(wǎng)絡基礎(chǔ)層所提供的認證、數(shù)據(jù)加密和數(shù)據(jù)完整性的安全服務手段。廣域網(wǎng)鏈路加密企業(yè)公司總部與各地分部之間的網(wǎng)絡向ERP、視頻會議、VoIP等多種業(yè)務應用提供傳輸服務支持,大量的業(yè)務數(shù)據(jù)經(jīng)過廣域網(wǎng)傳輸,需要保證數(shù)據(jù)傳輸?shù)陌踩煽啃?不被偷聽竊取和惡意篡改。在前面廣域網(wǎng)進出口控制一節(jié)的方案中,PIX產(chǎn)品集防火墻、VPN功能于一體,它能夠充當VPN網(wǎng)關(guān)而無需增加任何組件。企業(yè)可直接經(jīng)過總部PIX高端防火墻和各分部的中端PIX(建議采用PIX515)防火墻,在總部與各分部之間建立起VPN通道,加密廣域網(wǎng)傳輸?shù)臄?shù)據(jù)。PIX防火墻在VPN應用上有出眾的性能,例如PIX515能夠提供XXXM的VPN吞吐量和XXX條專用隧道,PIX525能夠提供XXXMbpsVPN處理能力和建立XXX條隧道。虛擬連接組網(wǎng)建議在4.3.3中,我們建議在企業(yè)所有經(jīng)過公共Internet虛擬連接的分部或商業(yè)合作伙伴,采用PIX515防火墻連接接入公網(wǎng)。PIX515的防火墻和VPN應用都能滿足本建議書提出的系統(tǒng)實現(xiàn)目標要求。PIX不但具有防火墻和VPN的實用功能,同時提供了在網(wǎng)絡應用上的功能(詳細參見PIX的功能介紹附件),這些功能在小部門的網(wǎng)絡互聯(lián)(LANtoLAN)應用中非常實用,它使PIX在網(wǎng)絡互聯(lián)中承擔了互聯(lián)”網(wǎng)關(guān)”的作用,從而省缺了這些小部門之間的LAN互聯(lián)時需要配置價格不菲高層交換和路由設(shè)備。這是PIX在本方案安全應用中非常有用的意外增值。在此,我們針對PIX的其它應用作如下說明:一、組網(wǎng)條件及設(shè)備企業(yè)異地小機構(gòu)的網(wǎng)絡或單機電腦能夠經(jīng)過接入Internet,獲得靜態(tài)或動態(tài)的公有或私有IP地址;企業(yè)總部有對外的固定的公共互聯(lián)網(wǎng)IP;作為建立連接的公網(wǎng)IP的防火墻需要使用PIX高端的產(chǎn)品作為中心控制設(shè)備,出于高可用性的考慮,建議配置中心防火墻的備份(如下圖所示右邊帶陰影的設(shè)備);連接分支端的網(wǎng)絡設(shè)備選用PIX515產(chǎn)品;二、組網(wǎng)原理及聯(lián)網(wǎng)功能組網(wǎng)原理如下圖:上圖中,所有接入互聯(lián)網(wǎng)的PIX515(公網(wǎng)IP地址或私網(wǎng)IP地址),經(jīng)過總部的防火墻PIX535系列(公網(wǎng)IP)建立以下幾種網(wǎng)絡連接(LAN-to-LAN):所有分支機構(gòu)LAN與總部LAN之間的加密、認證(VPN)連接(如附圖中的黑色實線);所有經(jīng)過5XP連接的LAN互相能夠建立經(jīng)過中心防火墻路由的LAN加密虛擬連接,即Hub&Spoke方式的VPN連接(如附圖中的藍色和綠色虛線);為防止中心點因為各種原因而導致防火墻不可訪問,從而造成分支點之間的互訪障礙,能夠配置一個冗余中心,提高整個網(wǎng)絡的高可用性(如附圖中的長虛線連接所示);特殊需求情況下,能夠直接建立不經(jīng)過中心防火墻路由的直接的5XP之間的LAN-to-LAN加密VPN連接(附圖中的紅色虛線)。以上的各種聯(lián)網(wǎng)方式,能夠經(jīng)過我們提供的管理程序套件,用人工方式實現(xiàn),或?qū)τ脩簟蓖该鳌钡淖詣臃绞綄崿F(xiàn)。三、優(yōu)點不需要向鏈路服務供應商租用價格昂貴的專線或者申請數(shù)量巨大的公網(wǎng)IP(實際上不可能),就能夠?qū)崿F(xiàn)企業(yè)網(wǎng)絡的廣域連接;PIX515可作為分支機構(gòu)的路由網(wǎng)關(guān),實現(xiàn)各子網(wǎng)間的跨網(wǎng)段(非公有的企業(yè)私有網(wǎng)址)訪問,在小型的分支機構(gòu)LAN內(nèi)無須配備路由和高層交換設(shè)備;基于Keep–Alive消息保持的網(wǎng)絡VPN連接的連續(xù)狀態(tài);這種網(wǎng)絡連接提供所有基于LANtoLAN連接支持的各種網(wǎng)絡服務,如MSWindows的共享權(quán)限相互訪問彼此的資源(網(wǎng)上鄰居)、H.323傳輸服務、Net-meeting等等;PIX515提供網(wǎng)絡連接的流量管理,即在公網(wǎng)的傳輸效率保證的前提下,PIX515提供基于策略的最小帶寬保證、帶寬限制、優(yōu)先級帶寬使用等管理功能;經(jīng)過PIX515的管理策略,能夠使分部的用戶在使用Internet服務和企業(yè)網(wǎng)虛擬連接之間進行”透明”的區(qū)分,而且同時使用又相互不影響。四、企業(yè)的應用建議當前許多分支機構(gòu)與總部之間的數(shù)據(jù)傳送經(jīng)過長途撥號MODEN傳輸或互聯(lián)網(wǎng)的郵件服務方式進行,這種方式不但費用高,而且永遠實現(xiàn)不了實時的集中管理,相信企業(yè)希望有一個更加實用的解決方案。如果在總部配置一臺NS1000的高性能防火墻,異地分支機構(gòu)配備一臺PIX515,就能夠?qū)崿F(xiàn)所有分支機構(gòu)和總部的實時聯(lián)網(wǎng),所有分支機構(gòu)的員工就象在總部辦公一樣,這對總部對分支機構(gòu)的管理將是一個極大的飛躍。另外,經(jīng)過這一種網(wǎng)絡的虛擬互聯(lián),能夠?qū)崿F(xiàn)總部與分支機構(gòu)間的免費IP電話、IP傳真通信,甚至用非集中的網(wǎng)絡視頻會議就能夠代替大部分的人員集中式、花費很高的各類會議;兩個或多個業(yè)務有直接連接的異地機構(gòu)或部門不需要占用總部的網(wǎng)絡資源實現(xiàn)網(wǎng)絡連接;等等。虛擬連接通信加密分部的PIX515和總部的高端防火墻之間,能夠建立3倍DES的VPN通道。VPN通道可實現(xiàn)網(wǎng)絡通信數(shù)據(jù)的加密和認證,而且提供保證數(shù)據(jù)完整性的技術(shù)手段。防火墻系統(tǒng)集中管理企業(yè)具有多個地理上分散的下屬企業(yè),為了保證企業(yè)內(nèi)部網(wǎng)絡的安全性,在前面的章節(jié)中我們建議總部及各分部建立相應的防火墻系統(tǒng)。這個分散的防火墻系統(tǒng)的設(shè)置和管理就顯得非常重要,因為它某一處的漏同將影響整個企業(yè)Intranet的安全性。在此防火墻系統(tǒng)的管理上,有分散和集中兩種方式。分散方式讓各下屬企業(yè)管理各自的防火墻。此方式在大型企業(yè)中存在較大的缺點,首先它對各下屬企業(yè)的網(wǎng)絡管理員要求非常高,相應提高了企業(yè)的管理成本;其次,當下屬企業(yè)較多時,由于各自制定安全策略,存在安全隱患較大,同時,當出現(xiàn)安全問題時,由于沒有實現(xiàn)統(tǒng)一監(jiān)控,很難判斷問題出現(xiàn)在何處,從而不能及時解決問題。集中方式將對所有防火墻實現(xiàn)集中的管理,集中制定安全策略,這將很好的克服以上缺點。我們推薦企業(yè)對防火墻系統(tǒng)實行統(tǒng)一的管理。防火墻選型設(shè)計說明在企業(yè)網(wǎng)絡安全系統(tǒng)中,作為當今網(wǎng)絡基礎(chǔ)設(shè)施的重要組成部分,防火墻系統(tǒng)是最重要的系統(tǒng)部分。防火墻選型設(shè)計建議書的優(yōu)劣,不但對實現(xiàn)企業(yè)網(wǎng)絡系統(tǒng)的安全設(shè)計目標起著決定性的影響,而且會對整個網(wǎng)絡系統(tǒng)的應用效率產(chǎn)生極大的影響。正如前面所提到的,企業(yè)的網(wǎng)絡應用模式在近期的一兩年后會最終全部過渡到B/S的應用結(jié)構(gòu)模式,而且除了各類業(yè)務應用外,在企業(yè)的網(wǎng)絡系統(tǒng)中還將存在音視頻的實時應用。因此針對這些應用的網(wǎng)絡連接應用和數(shù)據(jù)傳輸?shù)奶攸c,本建議書在充分考慮所選擇的設(shè)備安全性能的因素同時,還重點考慮所選設(shè)備的網(wǎng)絡處理能力。為了使防火墻設(shè)備的選型達到一個比較理想的結(jié)果,在此有必要對防火墻的選型作比較詳細的說明。(注:以下對各廠家防火墻產(chǎn)品的評價數(shù)據(jù)和結(jié)果,均來自第三方中立機構(gòu)的測試報告,這些第三方機構(gòu)包括——Comweb&NetworkTestInc.,TollyGroup,臺灣國立交通大學信息科學所)評價防火墻產(chǎn)品的基本要素只有清楚如何評價防火墻產(chǎn)品優(yōu)劣的方法,或者了解評價一個防火墻產(chǎn)品的基本要素,在網(wǎng)絡安全系統(tǒng)設(shè)計中,才能作出一個最合適的選型設(shè)計建議書。評價一個防火墻產(chǎn)品優(yōu)劣所設(shè)計的因素(或者技術(shù)要素)很多,很難有一個大而全的評價方法和測試手段對防火墻產(chǎn)品的每一個方面進行完全的評價。我們只能對防火墻產(chǎn)品的幾大方面進行評價。對防火墻產(chǎn)品的評價一般是從安全性(側(cè)重功能方面)、技術(shù)性能指標、管理的方便性等幾方面綜合評價。評價防火墻的一般方法根據(jù)上節(jié)提到的幾個方面,利用具有代表性的、被大部分產(chǎn)品制造商和用戶認同的網(wǎng)絡環(huán)境對防火墻產(chǎn)品進行客觀測試,其結(jié)果基本上能夠反映產(chǎn)品的優(yōu)劣真實情況。本建議書考慮企業(yè)的網(wǎng)絡應用特點,按照以上介紹的幾方面要素,我們將從以下幾方面比較評價防火墻產(chǎn)品,如下表:評價類別評價及比較項目Management1.管理接口是否簡單易用。2.VPNtunnel的建立過程是否簡單。