防火墙在中小企业中的应用设计论文

.z..--.可修编.毕业设计〔论文〕题目防火墙在中小企业中的应用姓名学号专业系统维护班级系统维护二班指导教师职称2011年09月-.z..--.可修编.摘要本文阐述了防火墙的原理，详细论述了基于中小型企业的特殊条件下，构建网络防火墙的思想和步骤。平安是一个不容无视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据平安方面的新挑战和新危险。为了保障网络平安，当局域网与外部网连接时，可以在中间参加一个或多个中介系统，防止非法入侵者通过网络进展攻击，非法访问，并提供数据可靠性、完整性以及**性等方面的平安和审查控制，这些中间系统就是防火墙(Firewall)技术。本课题主要研究的是针对不同企业的平安需求，制定不同的网络平安解决方案，以保障网络的平安性。关键词：防火墙；网络平安；企业-.z.AbstractSecurityisaproblemcannotbeignored,whenpeopleenjoytheconvenienceandfastnetworkstothesametime,wemustalwaysfacethenetworkdatasecurityandopeningofnewchallengesandnewdangers.Inordertoprotectnetworksecurity,LANande*ternalnetworkwhenconnected,youcanjoininthemiddleofoneormoreintermediatesystems,topreventtheillegalintruderattacksthroughthenetwork,unauthorizedaccess,andtoprovidedatareliability,integrityandconfidentiality,etc.safetyandreviewofcontrol,theseintermediatesystemsisafirewall(Firewall)technology.Keywords:Firewall，Networksecurity，Enterprise目录第1章概述11.1网络平安体系介绍11.2网络平安与防火墙2第2章防火墙的概念32.1防火墙概述32.1.1防火墙的定义32.1.2为什么使用防火墙32.1.3防火墙的功能42.2防火墙的分类52.2.1按防火墙技术分类52.2.2按防火墙应用部署位置分类72.2.3按防火墙性能分类72.3防火墙在网络中的连接72.3.1连接局域网和广域网72.3.2连接内部网和第三方网络92.3.3连接不同子网92.4典型硬件防火墙产品推介92.5防火墙最新技术及开展12防火墙包过滤技术开展趋势122.5.2防火墙的体系构造开展趋势122.5.3防火墙的系统管理开展趋势13第3章防火墙在中小企业网中的应用143.1中小企业网络面临的平安风险14内部窃密和破坏14网络窃听14假冒14完整性破坏14其它网络的攻击15管理及操作人员缺乏平安知识15雷击153.2企业防火墙选购三要素15第一要素：防火墙的根本功能16第二要素：企业的特殊要求17第三要素：与用户网络结合17第4章企业网网络平安总体设计194.1平安设计总体考虑194.2网络平安20网络传输20访问控制23入侵检测24漏洞扫描254.3应用系统平安策略25系统平台平安25应用平台平安25病毒防护26系统设计原则26产品应用27数据备份28平安审计29认证、鉴别、数字签名、抗抵赖29第5章方案设计与实现305.1工程背景305.2工程需求31第6章网络平安的现状与展望336.1现阶段网络平安技术的局限性336.2防火墙技术开展趋势336.3入侵检测技术开展趋势346.4防病毒技术开展趋势35参考文献39-.z..--.可修编.第1章概述随着互联网的飞速开展，网络平安逐渐成为一个潜在的巨大问题。网络平安性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程效劳的人。平安性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。大多数平安性问题的出现都是由于有恶意的人试图获得*种好处或损害*些人而成心引起的。可以看出保证网络平安不仅仅是使它没有编程错误。它包括要防*那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。因此网络的平安变得尤为重要，防火墙的出现使得这一局面开场变得更加稳定，各种各样的攻击开场被防火墙阻止在外，以保证网络的平安性。但是随着网络攻击的日益复杂，防火墙的防攻击手段越来越多，因此对于防火本身的处理复杂数据的能力出现了隐患。1.1网络平安体系介绍每个网络都必须建立起自己的网络平安体系构造(NSA，NetworkSecurityArchitecture)，包括完善的网络信息访问控制策略、**数据通信平安与保护策略、灾难恢复规划、对犯罪攻击的预防检测等。一个平安系统的建立涉及的因素很多，是一个庞大的系统工程。一般情况下，采取以下需要措施。(1)物理措施例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络平安规章制度，采取防辐射、防火等措施。(2)访问控制对用户访问网络资源的权限进展严格的认证和控制。例如，进展用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。(3)数据加密加密是保护数据平安的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。(4)防止计算机网络病毒病毒对计算机网络的危害越来越严重，必须引起高度重视。1988年11月3日，美国康乃尔大学一年级研究生罗特·莫里斯编制的称为"蠕虫〞的计算机病毒通过Internet网大面积传播，致使6000多台主机被感染，直接经济损失超过6000万美元。(5)其他措施其他措施包括容错、数据镜像、数据备份和审计等。近年来，围绕网络平安问题提出了许多解决方法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进展加密，到达目的地后再解密复原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限，从而保护网络资源。其他平安技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等。1.2网络平安与防火墙所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取平安性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个平安网关〔SecurityGateway〕，从而保护内部网免受非法用户的侵入。该局域网内所有的计算机流入流出多的所有网络通信均要经过防火墙。防火墙、IDS、IPS，是解决网络平安问题的根底设备，他们所具备的过滤、平安功能能够抵抗大多数来自外网的攻击。配备这些传统的网络防护设备，实现面向网络层的访问控制，是企业平安上网的前提。第2章防火墙的概念2.1防火墙概述防火墙的定义所谓"防火墙〞，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。进出内部网的数据流都必须通过防火墙图2.1数据流通过防火墙示意图2．只有符合平安策略的数据流才能通过防火墙3．防火墙自身应该能够防止渗透2.1.2为什么使用防火墙防火墙只在已授权和未授权通信之间做出决断。如果周围没有防火墙，平安就完全仰仗主机自身了。而整个系统的平安将由系统中平安性最差的主机所决定。网络越大，把网络内所有主机维护至同样高的平安水平就越复杂。假设一时粗心，就会因简单的配置错误或未能修补所有漏洞导致入侵的发生。企业的系统和数据有以下三个方面受到防火墙保护：**性的风险包括未经授权就访问敏感数据或数据的过早泄露。数据完整性的风险包括未经授权就对数据进展修改，例如财务信息、产品特性或*上商品的价格。可用性的风险系统可用性保证系统可以适时地为用户效劳。2.1.3防火墙的功能防火墙的主要功能，一般来说主要有以下几个方面：隔离不同的网络，防止内部信息的泄露强化网络平安策略创立一个阻塞点包过滤有效地监控、审计和记录内、外部网络上的活动流量控制和统计分析、流量计费NAT〔网络地址转换〕VPN〔虚拟专用网〕URL级信息过滤杀毒技术〔10〕其他特殊功能2.2防火墙的分类2.2.1按防火墙技术分类〔1〕包过滤〔Packetfiltering〕技术〔2〕应用代理网关技术〔3〕状态检测技术〔4〕复合型防火墙技术(1)．包过滤〔Packetfiltering〕技术包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息，现在的路由器、SwitchRouter以及*些操作系统已经具有用PacketFilter控制的能力。由于只对数据包的IP地址、TCP/UDP协议和端口进展分析，包过滤防火墙的处理速度较快，并且易于配置。包过滤防火墙具有根本的缺陷：〔1〕不能防*黑客攻击〔2〕不支持应用层协议〔3〕不能处理新的平安威胁(2)．应用代理网关技术应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与效劳器建立直接的TCP连接，应用层的协议会话过程必须符合代理的平安策略要求。优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比拟强。缺点也非常突出，主要有：〔1〕难于配置〔2〕处理速度非常慢(3)．状态检测技术状态检测防火墙摒弃了包过滤防火墙仅考察数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心局部建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力，如图2.2所示。图2.2状态检测防火墙工作原理图(4)．复合型防火墙技术复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。图2.3复合型防火墙工作原理图(5)．四类防火墙技术的比照包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。应用代理网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比拟弱。状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。2.2.2按防火墙应用部署位置分类按照这种分类标准又可以将防火墙划分为：边界防火墙个人防火墙3.混合型防火墙2.2.3按防火墙性能分类如果按防火墙的性能来分可以分为：1.百兆级防火墙2.千兆级防火墙2.3防火墙在网络中的连接1.连接局域网和广域网2.连接内部网和第三方网络3.连接不同子网2.3.1连接局域网和广域网(1)．用户网络已存在边界路由器图2.4边界路由器示意图〔2〕．用户网络不存在边界路由器图2.5不存在边界路由器的示意图2.3.2连接内部网和第三方网络这种连接方式对于一般规模的网络应用不是很多，但是在大型企事业计算机网络中，往往有多个合作伙伴或者社会构造，此时就需要用到这种连接方式图2.6内网与外网连接示意图2.3.3连接不同子网这种连接方式在平安性要求较高的企业网络中比拟常见，例如跨国公司等，公司内部网络包含多个部门的子网络，而有些局域网的数据是不允许其他用户访问的，因此，就要在这些局域网中设置防火墙进展隔离。图2.7防火墙隔离示意图2.4典型硬件防火墙产品推介〔1〕.国内硬件防火墙产品推介产品名称：天融信NGFW4000-UF(TG-5366)防火墙硬件配置：标配4个10/100/1000BASE-T千兆电口、6个千兆SFP扩展接口、2个10/100BASE-T端口。适合企业：大中型企业级防火墙。图2.8天融信NGFW4000-UF(TG-5366)防火墙产品名称：H3CSecPathF1000-S-AC防火墙硬件配置：1个配置口〔CON〕、1个备份口〔AU*〕、2个10/100/1000M以太网口〔支持光口或者电口〕、2个10/100/1000M以太网口〔支持电口〕、2个MIM插槽。适合企业：大中型企业级防火墙。图2.9H3CSecPathF1000-S-AC防火墙产品名称：RG-WALL1600千兆防火墙/VPN网关硬件配置：固化4个10/100/1000BaseT端口+4个SFP端口。适合企业：大中型企业级防火墙。图2.10RG-WALL1600千兆防火墙/VPN网关(2)．国外硬件防火墙产品推介产品名称：CiscoSecurePI*515-E防火墙硬件配置：它具有一个集成化的VAC，64MB的RAM，最多可以支持六个10/100快速以太网接口。适合企业：中小型企业级防火墙。图2.11CiscoSecurePI*515-E防火墙产品名称：JuniperNetScreen208防火墙硬件配置：具有8个自适应10/100M以太网端口。适合企业：大中型企业级防火墙。图2.12JuniperNetScreen208防火墙2.5防火墙最新技术及开展随着新的网络攻击的出现，防火墙技术也有一些新的开展趋势。这主要可以从：1.包过滤技术2.防火墙体系构造3.防火墙系统管理三方面来表达2.5.1防火墙包过滤技术开展趋势1．加强了用户身份认证2．多级过滤技术3．使防火墙具有病毒防护功能。2.5.2防火墙的体系构造开展趋势随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。2.5.3防火墙的系统管理开展趋势防火墙的系统管理也有一些开展趋势，主要表达在以下几个方面：1．首先是集中式管理，分布式和分层的平安构造是将来的趋势2．强大的审计功能和自动日志分析功能3．网络平安产品的系统化第3章防火墙在中小企业网中的应用3.1中小企业网络面临的平安风险3.1.1内部窃密和破坏企业网络上同时接入了所有部门的网络系统，因此容易出现部门内不怀好意的人员〔或外部非法人员利用公司内*部门的计算机〕通过网络进入内部网络，并进一步窃取和破坏其中的重要信息〔如领导的网络账号和口令、重要文件等〕。3.1.2网络窃听攻击者可以采用如Sniffer等网络协议分析工具，在INTERNET网络平安的薄弱处进入INTERNET，并非常容易地在信息传输过程中获取所有信息〔尤其是敏感信息〕的内容。假冒企业网内部用户，也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。3.1.4完整性破坏信息在传输过程中或者存储期间被篡改或修改，使得信息/数据失去了原有的真实性，从而变得不能用或造成广泛的负面影响。由于企业网内有许多重要信息，因此那些不怀好意的用户和非法用户就会通过网络对没有采取平安措施的效劳器上的重要文件进展修改或传达一些虚假信息，从而影响工作的正常进展。3.1.5其它网络的攻击企业网络系统是接入到INTERNET上的，这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统效劳严重降低或瘫痪等。3.1.6管理及操作人员缺乏平安知识由于信息和网络技术开展迅猛，信息的应用和平安技术相对滞后，用户在引入和采用平安设备和系统时，缺乏全面和深入的培训和学习，对信息平安的重要性与技术认识缺乏，很容易使平安设备/系统成为摆设，不能使其发挥正确的作用。如本来对*些通信和操作需要限制，为了方便，设置成全开放状态等等，从而出现网络漏洞。由于网络平安产品的技术含量大，因此，对操作管理人员的培训显得尤为重要。这样，使平安设备能够尽量发挥其作用，防止使用上的漏洞。3.1.7雷击由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进展传输，因此极易受到雷击，造成连锁反响，使整个网络瘫痪，设备损坏，造成严重后果。因此，为防止遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏，有必要对整个网络系统采取相应的防雷措施。3.2企业防火墙选购三要素防火墙通常是运行在一台单独计算机之上的一个特别的效劳软件，用来保护由许多台，计算机组成的内部网络,它使企业的网络规划清晰明了，它可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。它既可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换。在市场上，防火墙的售价极为悬殊，从几万元到数十万元，甚至到百万元。因为各企业用户使用的平安程度不尽一样，因此厂商所推出的产品也有所区分，甚至有些公司还推出类似模块化的功能产品，以符合各种不同企业的平安要求。当一个企业或组织决定采用防火墙来实施保卫自己内部网络的平安策略之后，下一步要做的事情就是选择一个平安、实惠、适宜的防火墙。第一要素：防火墙的根本功能防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的平安时，它首先需要了解一个防火墙系统应具备的根本功能，这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述根本功能：防火墙的设计谋略应遵循平安防*的根本原则——"除非明确允许，否则就制止〞防火墙本身支持平安策略，而不是添加上去的；如果组织机构的平安策略发生改变，可以参加新的效劳；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和制止效劳；可以使用FTP和Telnet等效劳代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进展包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。如果用户需要NNTP〔网络消息传输协议〕、*Window、HTTP和Gopher等效劳，防火墙应该包含相应的代理效劳程序。防火墙也应具有集中的功能，以减少SMTP效劳器和外界效劳器的直接连接，并可以集中处理整个站点的电子。防火墙应允许，公众对站点的访问，应把信息效劳器和其他内部效劳器分开。防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进展升级且升级必须定期进展。正像前面提到的那样，Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的效劳和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。3.2.2第二要素：企业的特殊要求企业平安政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一，常见的需求如下：网络地址转换功能(NAT)进展地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，这也是笔者之所以要强调防火墙自身平安性问题的主要原因；另一个好处是可以让内部使用保存的IP，这对许多IP缺乏的企业是有益的。双重DNS当内部网络使用没有注册的IP地址，或是防火墙进展IP转换时，DNS也必须经过转换，因为，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。虚拟专用网络(VPN)VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以平安且不受拘束地互相存取。扫毒功能大局部防火墙都可以与防病毒软件搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，差异只是扫毒工作是由防火墙完成，或是由另一台专用的计算机完成。特殊控制需求有时候企业会有特别的控制需求，如限制特定使用者才能发送，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、Active*控件等，需求不同而定。第三要素：与用户网络结合(1)管理的难易度防火墙管理的难易度是防火墙能否到达目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤，并不能到达完全的控制之外，设定工作困难、须具备完整的知识以及不易出错等管理问题，更是一般企业不愿意使用的主要原因。(2)自身的平安性大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种效劳，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在平安问题，防火墙如果不能确保自身平安，则防火墙的控制功能再强，也终究不能完全保护内部网络。大局部防火墙都安装在一般的操作系统上，如Uni*、NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现平安漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的平安保护。(3)完善的售后效劳我们认为，用户在选购防火墙产品时，除了从以上的功能特点考虑之外，还应该注意好的防火墙应该是企业整体网络的保护者，并能弥补其它操作系统的缺乏，使操作系统的平安性不会对企业网络的整体平安造成影响。防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，它们应选择一套符合现有环境需求的防火墙产品。由于新产品的出现，就会有人研究新的破解方法，所以好的防火墙产品应拥有完善及时的售后效劳体系。(4)完整的平安检查好的防火墙还应该向使用者提供完整的平安检查功能，但是一个平安的网络仍必须依靠使用者的观察及改良，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要到达真正的平安仍然需要内部人员不断记录、改良、追踪。防火墙可以限制唯有合法的使用者才能进展连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。第4章企业网网络平安总体设计根据企业各级内部网络机构、广域网构造、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面进展平安设计：网络系统平安；应用系统平安；物理平安；平安管理；4.1平安设计总体考虑根据企业网络现状及开展趋势，主要平安措施从以下几个方面进展考虑：〔1〕网络传输保护主要是数据加密保护主要网络平安隔离通用措施是采用防火墙〔2〕网络病毒防护采用网络防病毒系统广域网接入局部的入侵检测采用入侵检测系统〔3〕系统漏洞分析采用漏洞分析设备〔4〕定期平安审计主要包括两局部：内容审计和网络通信审计〔5〕重要数据的备份重要信息点的防电磁泄露〔6〕网络平安构造的可伸缩性包括平安设备的可伸缩性，即能根据用户的需要随时进展规模、功能扩展网络防雷4.2网络平安作为企业应用业务系统的承载平台，由于许多重要的信息都通过网络进展交换，网络系统的平安显得尤为重要。4.2.1网络传输由于企业中心内部网络存在两套网络系统，其中一套为企业内部网络，主要运行的是内部办公、业务系统等；另一套是与INTERNET相连，通过ADSL接入，并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网，并通过网络进展数据交换、信息共享。而INTERNET本身就缺乏有效的平安保护，如果不采取相应的平安措施，易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统，因此解决方案中对网络传输平安局部推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备，由VPN设备实现网络传输的加密保护。根据企业三级网络构造，VPN设置如下列图所示：图4.1三级VPN设置拓扑图每一级的设置及管理方法一样。即在每一级的中心网络安装一台VPN设备和一台VPN认证效劳器〔VPN-CA〕，在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证效劳器通过网络对下一级的VPN设备进展集中统一的网络化管理。可到达以下几个目的：〔1〕网络传输数据保护由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护，并可同时采取加密或隧道的方式进展传输网络隔离保护；与INTERNET进展隔离，控制内网与INTERNET的相互访问(2)集中统一管理，提高网络平安性(3)降低本钱〔设备本钱和维护本钱〕其中，在各级中心网络的VPN设备设置如下列图：图4.2中心网络VPN设置图由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进展统一网络管理。将对外效劳器放置于VPN设备的DMZ口与内部网络进展隔离，制止外网直接访问内网，控制内网的对外访问、记录日志。这样即使效劳器被攻破，内部网络仍然平安。下级单位的VPN设备放置如下列图所示：图4.3下级单位VPN设置图从图4.3可知，下属机构的VPN设备放置于内部网络与路由器之间，其配置、管理由上级机构通过网络实现，下属机构不需要做任何的管理，仅需要检查是否通电即可。由于平安设备属于特殊的网络设备，其维护、管理需要相应的专业人员，而采取这种管理方式以后，就可以降低下属机构的维护本钱和对专业技术人员的要求，这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。由于网络平安的是一个综合的系统工程，是由许多因素决定的，而不是仅仅采用高档的平安产品就能解决，因此对平安设备的管理就显得尤为重要。由于一般的平安产品在管理上是各自管理，因而很容易因为*个设备的设置不当，而使整个网络出现重大的平安隐患。而用户的技术人员往往不可能都是专业的，因此，容易出现上述现象；同时，每个维护人员的水平也有差异，容易出现相互配置上的错误使网络中断。所以，在平安设备的选择上应中选择可以进展网络化集中管理的设备，这样，由少量的专业人员对主要平安设备进展管理、配置，提高整体网络的平安性和稳定性。4.2.2访问控制企业广域网网络局部通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统效劳严重降低或瘫痪等，因此，采取相应的平安措施是必不可少的。通常，对网络的访问控制最成熟的是采用防火墙技术来实现的，选择带防火墙功能的VPN设备来实现网络平安隔离，可满足以下几个方面的要求：控制外部合法用户对内部网络的网络访问；控制外部合法用户对效劳器的访问；制止外部非法用户对内部网络的访问；控制内部用户对外部网络的网络；阻止外部用户对内部的网络攻击；防止内部主机的IP欺骗；对外隐藏内部IP地址和网络拓扑构造；网络监控；网络日志审计；由于采用防火墙、VPN技术融为一体的平安设备，并采取网络化的统一管理，因此具有以下几个方面的优点：管理、维护简单、方便；平安性高〔可有效降低在平安设备使用上的配置漏洞〕；硬件本钱和维护本钱低；网络运行的稳定性更高。由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机器两个设备而言，其稳定性更高，故障率更低。4.2.3入侵检测网络平安不可能完全依靠单一产品来实现，网络平安是个整体的，必须配应相应的平安产品。作为必要的补充，入侵检测系统〔IDS〕可与平安VPN系统形成互补。入侵检测系统是根据已有的、最新的和预见性的攻击手段的信息代码对进出网络的所有操作行为进展实时监控、记录，并按制定的策略实行响应〔阻断、报警、发送〕。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器〔网络引擎〕。控制台用作制定及管理所有探测器〔网络引擎〕。探测器〔网络引擎〕用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。入侵检测系统的设置如下列图：图4.4入侵检测系统示意图从上图可知，入侵检测仪在网络接如上，与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进展疹听，监控网络状况，一旦发现攻击行为将通过报警、通知VPN设备中断网络〔即IDS与VPN联动功能〕等方式进展控制〔即平安设备自适应机制〕，最后将攻击行为进展日志记录以供以后审查。4.2.4漏洞扫描为一个完善的通用平安系统，应当包含完善的平安措施，定期的平安评估及平安分析同样相当重要。由于网络平安系统在建立后并不是长期保持很高的平安性，而是随着时间的推移和技术的开展而不断下降的，同时，在使用过程中会出现新的平安问题，因此，作为平安系统建立的补充，采取相应的措施也是必然。采用漏洞扫描设备对网络系统进展定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进展探测、扫描，发现相应的漏洞并告警，自动提出解决措施，或参考意见，提醒网络平安管理员作好相应调整。4.3应用系统平安策略系统平台平安企业各级网络系统平台平安主要是指操作系统的平安。由于目前主要的操作系统平台是建立在国外产品的根底上，因而存在很大的平安隐患。企业网络系统在主要的应用效劳平台中采用国内自主开发的平安操作系统，针对通用OS的平安问题，对操作系统平台的登录方式、文件系统、网络传输、平安日志审计、加密算法及算法替换的支持和完整性保护等方面进展平安改造和性能增强。一般用户运行在PC机上的NT平台，在选择性地用好NT平安机制的同时，应加强监控管理。4.3.2应用平台平安企业网络系统的应用平台平安，一方面涉及用户进入系统的身份鉴别与控制，以及使用网络资源的权限管理和访问控制，对平安相关操作进展的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、效劳、效劳、FTP和TELNET应用中效劳器系统自身的平安以及提供效劳的平安。在选择这些应用系统时，应当尽量选择国内软件开发商进展开发，系统类型也应当尽量采用国内自主开发的应用系统。4.3.3病毒防护因为病毒在网络中存储、传播、感染的方式各异途径多种多样，相应地企业在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施"层层设防、集中控制、以防为主、防杀结合〞的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时应当注意几个方面的要求：具有卓越的病毒防治技术、程序内核平安可靠、对付国产和国外病毒能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。病毒对信息系统的正常工作运行产生很大影响，据统计，信息系统的60%瘫痪是由于感染病毒引起的。4.3.4系统设计原则为了更好的解决病毒的防*，一般要求病毒防*系统满足如下要求：采用世界最先进的防毒产品与网络网络系统的实际需要相结合，确保网络系统具有最正确的病毒防护能力的情况下，综合本钱最少。贯彻"层层设防，集中控管，以防为主、防治结合〞的企业防毒策略。在网络中所有可能的病毒攻击点或通道中设置对应的防病毒软件，通过这种全方位的、多层次的防毒系统配置，使企业网络免遭所有病毒的入侵和危害。充分考虑网络的系统数据、文件的平安可靠性，所选产品与现在系统具有良好的一致性和兼容性，以及最低的系统资源占用，保证不对现有系统运行产生不良影响。应用全球最为先进的"实时监控〞技术，充分表达趋势科技"以防为主〞的反病毒思想。所选用产品具备对多种压缩格式文件的病毒检测。所选用产品易于安装、操作简便、便于管理和维护，具有友好的用户界面。应用经由ICSA〔国际电脑平安协会〕技术认证的扫描引擎，保证对包括各种千面人病毒、变种病毒和黑客程序等具有最正确的病毒侦测率，除对病毒具备全面的反侦察防能力，对未知病毒亦有良好的侦测能力。强调在网络防毒系统内，实施统一的防病毒策略、集中的防毒管理和维护，最大限度地减轻使用人员和维护人员的工作量。完全自动化的日常维护，便于进展病毒及扫描引擎的更新。提供良好的售后效劳及技术支持。具有良好的可扩大性，充分保护用户的现有投资，适应网络系统的今后开展需要4.3.5产品应用根据企业网络系统的构造和应用特点，病毒防御可采取多种措施：网关防毒；效劳器防毒；客户端防毒；防毒；应用拓扑如下列图：图4.5病毒应用拓扑图在网络骨干接入处，安装防毒墙〔即安装有网关杀毒软件的独立网关设备〕，由防火墙实现网络接入处的病毒防护。由于是安装在网络接入处，因此，对主要网络协议进展杀毒处理〔SMTP、FTP、HTTP〕。在效劳器上安装单独的效劳器杀毒产品，对效劳器进展病毒保护。由于内部存在几十个网络客户端，如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在效劳器上安装客户端防病毒产品〔客户端杀毒软件的工作模式是效劳器端、客户端的方式〕的效劳器端，由客户端通过网络与效劳器端连接后进展网络化安装。对产品升级，可通过在效劳器端进展设置，自动通过INETRNET进展升级，再由客户端到效劳器端进展升级，大大简化升级过程，并且整个升级是自动完成，不需要人工操作。对系统，可采取安装专用杀毒产品，通过在效劳器上安装杀毒程序，实现对内部的杀毒，保证在收、发时都是经过检查的，确保无毒。通过这种方法，可以到达层层设防的作用，最终实现病毒防护。4.3.6数据备份作为国家机关，企业内部存在大量的数据，而这里面又有许多重要的、**的信息。而整个数据的平安保护就显得特别重要，对数据进展定期备份是必不可少的平安措施。在采取数据备份时应该注意以下几点：存储介质平安在选择存储介质上应选择保存时间长，对环境要求低的存储产品，并采取多种存储介质备份。如同时采用硬盘、光盘备份的方式。数据平安即数据在备份前是真实数据，没有经过篡改或含有病毒。备份过程平安确保数据在备份时是没有受到外界任何干扰，包括因异常断电而使数据备份中断的或其它情况。备份数据的保管对存有备份数据的存储介质，应保存在平安的地方，防火、防盗及各种灾害，并注意保存环境〔温度、湿度等〕的正常。同时对特别重要的备份数据，还应当采取异地备份保管的方式，来确保数据平安。对重要备份数据的异地、多处备份〔防止类似美国911事件为各公司产生的影响〕4.3.7平安审计作为一个良好的平安系统，平安审计必不可少。由于企业网是一个非常庞大的网络系统，因而对整个网络〔或重要网络局部〕运行进展记录、分析是非常重要的，它可以让用户通过对记录的日志数据进展分析、比拟，找出发生的网络平安问题的原因，并可作为以后的法律证据或者为以后的网络平安调整提供依据。4.3.8认证、鉴别、数字签名、抗抵赖由于企业网络系统庞大，上面存在很多分级的重要信息；同时，由于现在国家正在大力推进电子政务的开展，网上办公已经越来越多的被应用到各级政府部门当中，因此，需要对网上用户的身份、操作权限等进展控制和授权。对不同等级、类型的信息只允许相应级别的人进展审阅；对网上公文的处理采取数字签名、抗抵赖等相应的平安措施。第5章方案设计与实现5.1工程背景茉莉花公司主干网络系统包括环形的千兆的核心网、千兆链路连接的分支节点和网络边界〔Internet、Cernet〕。其中千兆链路主要承载整个公司信息系统的跨节点的信息交换传输工作，为各种应用系统的数据流提供高速网络通讯支持。网络边界〔Internet、Cernet〕负责为整个公司提供互联网、接入功能，极大的扩展了公司信息系统的信息量，为检索外部的海量信息提供了通路。拓扑如下图：图5.1茉莉花公司主干网络拓扑图茉莉花公司的信息化建立，是表达**公司国际性、时代性和开放性特征的重要环节，在当前全球经济一体化的时代大背景下通过提高信息化水平来提升公司的综合竞争力是一个有效的途径，应用信息化理念和技术实现经营、科研和管理工作的创新已成为必然的趋势。经过两年多的开展，公司信息化已经初步形成了一定的规模。目前公司的客户端数量到达了500多台，已有20多台效劳器为公司提供域控、、内部主页、OA、财务软件、人力软件等效劳，并且外部主页效劳器和效劳器分别对外网提供效劳。因此保证公司效劳器平安和内部主机平安，对公司网络稳定运行具有重要的意义。所以为了使公司网络不受Internet外来攻击，我们在核心交换机前部署了一台防火墙，用于公司内网与Internet的连接。5.2工程需求公司采用了PI*535防火墙作为出口，在众多的企业级主流防火墙中，思科PI*防火墙是所有同类产品性能最好的一种。思科PI*系列防火墙目前有5种型号PI*506,515,520,525,535。其中PI*535是PI*500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的ISP等效劳提供商。但是PI*特有的操作系统，使得大多数管理是通过命令行来实现的，不像其他同类的防火墙通过Web管理界面来进展网络管理。PI*防火墙主要实现以下两个功能：一是将内网中不同的职能部门私有网络通过防火墙做逻辑隔离，将内网IP转换为Internet公网IP，从而实现内网主机可以访问Internet。二是允许互联网用户访问公司有关部门发布的官方，从而实现公司多台效劳器通过一条线路为Internet提供各种效劳。表5.2防火墙接口参数的配置接口名称平安级别IP地址Gb-eth0Intf210Gb-eth0Inside100Eth0Outside0Eth1Intf315表5.3各个部门IP地址规划单位名称网络IP地址网络掩码部门1部门2部门3部门4部门5〔3〕配置要求：将部门4的所有内网IP通过防火墙转换为互联网IP53，使得部门4的所有内网主机都可以访问互联网。互联网的网关IP地址为。创立内部IP地址62和互联网IP地址50之间的静态映射，使得内网效劳器利用公网IP向互联网用户提供效劳。第6章网络平安的现状与展望6.1现阶段网络平安技术的局限性谈及网络平安技术，就必须提到网络平安技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。任何一个用户，在刚刚开场面对平安问题的时候，考虑的往往就是这"老三样〞。可以说，这三种网络平安技术为整个网络平安建立起到了功不可没的作用，但是传统的平安"老三样〞或者说是以其为主的平安产品正面临着许多新的问题。(1)从用户角度来看，虽然系统中安装了防火墙，但是仍然防止不了蠕虫泛滥、垃圾、病毒传播以及拒绝效劳的侵扰。(2)未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的缺乏，且在准确定位和全局管理方面还有很大的空间。(3)虽然很多用户在单机、终端上都安装了防病毒产品，但是内网的平安并不仅仅是防病毒的问题，还包括平安策略的执行、外来非法侵入、补丁管理以及合理管理等方面。所以说，虽然"老三样〞已经立下了赫赫战功，仍然发挥着重要作用，但是用户已渐渐感觉到其缺乏之处。其次，从网络平安的整体技术框架来看，网络平安技术同样面临着很大的问题，"老三样〞根本上还是针对数据、单个系统、软硬件以及程序本身平安的保障。应用层面的平安，需要将侧重点集中在信息语义*畴的"内容〞和网络虚拟世界的"行为〞上。6.2防火墙技术开展趋势在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而具备多种平安功能，基于应用协议层防御、低误报率检测、高可靠高性能平台和统一的组件化管理技术。(1)网络平安协议层防御。防火墙作为简单的第二到第四层的防护，主要针对像IP、端口等静态的信息进展防护和控制，但是真正的平安不能只停留在底层，我们需要构建一个更高、更强、更可靠的墙，除了传统的访问控制之外，还需要对垃圾、拒绝效劳、黑客攻击等外部威胁起到综合检测和治理的作用，实现七层协议的保护，而不仅限于第二到第四层。(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高，将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出，但是目前全世界对IPS的部署非常有限，影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率，针对不同的攻击，采取不同的检测技术，比方防止拒绝效劳攻击、防蠕虫和黑客攻击、防垃圾攻击、防违规短信攻击等，从而显著降低误报率。(3)有高可靠性、高性能的硬件平台支撑。(4)一体化的统一管理。由于UTM设备集多种功能于一身，因此，它必须具有能够统一控制和管理的平台，使用户能够有效地管理。这样，设备平台可以实现标准化并具有可扩展性，用户可在统一的平台上进展组件管理，同时，一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛，从而在应对各种各样攻击威胁的时候，能够更好地保障用户的网络平安。6.3入侵检测技术开展趋势入侵检测技术将从简单的事件报