防火墙在中小企业中的应用设计论文.doc

毕业设计（论文）题目 防火墙在中小企业中的应用 姓名 学号 专业 系统维护 班 级 系统维护二班 指导教师 职 称 2011年09月I摘要本文阐述了防火墙的原理，详细论述了基于中小型企业的特殊条件下，构建网络防火墙的思想和步骤。安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当局域网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术。本课题主要研究的是针对不同企业的安全需求，制定不同的网络安全解决方案，以保障网络的安全性。关键词：防火墙；网络安全；企业AbstractSecurity is a problem can not be ignored, when people enjoy the convenience and fast networks to the same time, we must always face the network data security and opening of new challenges and new dangers. In order to protect network security, LAN and external network when connected, you can join in the middle of one or more intermediate systems, to prevent the illegal intruder attacks through the network, unauthorized access, and to provide data reliability, integrity and confidentiality, etc. safety and review of control, these intermediate systems is a firewall (Firewall) technology. Key words: Firewall，Network security，Enterprise目 录第1章 概述11.1网络安全体系介绍11.2网络安全与防火墙2第2章 防火墙的概念32.1防火墙概述32.1.1 防火墙的定义32.1.2 为什么使用防火墙32.1.3 防火墙的功能42.2 防火墙的分类52.2.1 按防火墙技术分类52.2.2 按防火墙应用部署位置分类72.2.3 按防火墙性能分类72.3 防火墙在网络中的连接72.3.1 连接局域网和广域网72.3.2 连接内部网和第三方网络92.3.3 连接不同子网92.4 典型硬件防火墙产品推介92.5 防火墙最新技术及发展122.5.1 防火墙包过滤技术发展趋势122.5.2 防火墙的体系结构发展趋势122.5.3 防火墙的系统管理发展趋势13第3章 防火墙在中小企业网中的应用143.1中小企业网络面临的安全风险143.1.1内部窃密和破坏143.1.2网络窃听143.1.3假冒143.1.4完整性破坏143.1.5其它网络的攻击153.1.6管理及操作人员缺乏安全知识153.1.7雷击153.2企业防火墙选购三要素153.2.1第一要素：防火墙的基本功能163.2.2第二要素：企业的特殊要求173.2.3第三要素：与用户网络结合17第4章 企业网网络安全总体设计194.1安全设计总体考虑194.2网络安全204.2.1网络传输204.2.2访问控制234.2.3入侵检测244.2.4漏洞扫描254.3应用系统安全策略254.3.1系统平台安全254.3.2应用平台安全254.3.3病毒防护264.3.4系统设计原则264.3.5产品应用274.3.6数据备份284.3.7安全审计294.3.8认证、鉴别、数字签名、抗抵赖29第5章 方案设计与实现305.1 项目背景305.2 项目需求31第6章 网络安全的现状与展望336.1现阶段网络安全技术的局限性336.2 防火墙技术发展趋势336.3 入侵检测技术发展趋势346.4 防病毒技术发展趋势35参考文献3939云南工商学院毕业设计论文第1章 概述随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。因此网络的安全变得尤为重要，防火墙的出现使得这一局面开始变得更加稳定，各种各样的攻击开始被防火墙阻止在外，以保证网络的安全性。但是随着网络攻击的日益复杂，防火墙的防攻击手段越来越多，因此对于防火本身的处理复杂数据的能力出现了隐患。1.1网络安全体系介绍每个网络都必须建立起自己的网络安全体系结构(NSA，Network Security Architecture)，包括完善的网络信息访问控制策略、机密数据通信安全与保护策略、灾难恢复规划、对犯罪攻击的预防检测等。一个安全系统的建设涉及的因素很多，是一个庞大的系统工程。一般情况下，采取以下需要措施。(1)物理措施例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火等措施。(2)访问控制对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。(3)数据加密加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。(4)防止计算机网络病毒病毒对计算机网络的危害越来越严重，必须引起高度重视。1988年11月3日，美国康乃尔大学一年级研究生罗特莫里斯编制的称为“蠕虫”的计算机病毒通过Internet网大面积传播，致使6000多台主机被感染，直接经济损失超过6000万美元。(5)其他措施其他措施包括容错、数据镜像、数据备份和审计等。近年来，围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限，从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等。1.2网络安全与防火墙所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。该局域网内所有的计算机流入流出多的所有网络通信均要经过防火墙。防火墙、IDS、IPS，是解决网络安全问题的基础设备，他们所具备的过滤、安全功能能够抵抗大多数来自外网的攻击。配备这些传统的网络防护设备，实现面向网络层的访问控制，是企业安全上网的前提。第2章 防火墙的概念2.1防火墙概述2.1.1 防火墙的定义所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。1 进出内部网的数据流都必须通过防火墙图2.1数据流通过防火墙示意图2只有符合安全策略的数据流才能通过防火墙3防火墙自身应该能够防止渗透2.1.2 为什么使用防火墙防火墙只在已授权和未授权通信之间做出决断。如果周围没有防火墙，安全就完全仰仗主机自身了。而整个系统的安全将由系统中安全性最差的主机所决定。网络越大，把网络内所有主机维护至同样高的安全水平就越复杂。若一时粗心，就会因简单的配置错误或未能修补所有漏洞导致入侵的发生。企业的系统和数据有以下三个方面受到防火墙保护： 机密性的风险 包括未经授权就访问敏感数据或数据的过早泄露。数据完整性的风险 包括未经授权就对数据进行修改，例如财务信息、产品特性或某网站上商品的价格。可用性的风险 系统可用性保证系统可以适时地为用户服务。2.1.3 防火墙的功能防火墙的主要功能，一般来说主要有以下几个方面： （1） 隔离不同的网络，防止内部信息的泄露（2） 强化网络安全策略（3） 创建一个阻塞点（4） 包过滤（5） 有效地监控、审计和记录内、外部网络上的活动（6） 流量控制和统计分析、流量计费（7） NAT（网络地址转换）（8） VPN（虚拟专用网）（9） URL级信息过滤（9） 杀毒技术（10）其他特殊功能2.2 防火墙的分类 2.2.1 按防火墙技术分类（1）包过滤（Packet filtering）技术 （2）应用代理网关技术（3）状态检测技术 （4）复合型防火墙技术 (1)包过滤（Packet filtering）技术包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息，现在的路由器、Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 包过滤防火墙具有根本的缺陷： （1） 不能防范黑客攻击（2）不支持应用层协议（3）不能处理新的安全威胁(2)应用代理网关技术应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。优点：可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。 缺点也非常突出，主要有：（1）难于配置（2）处理速度非常慢(3)状态检测技术状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力，如图2.2所示。图2.2状态检测防火墙工作原理图(4)复合型防火墙技术复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架 构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。 图2.3复合型防火墙工作原理图(5)四类防火墙技术的对比包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。应用代理网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。 状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。 复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。2.2.2 按防火墙应用部署位置分类按照这种分类标准又可以将防火墙划分为 ：1. 边界防火墙2. 个人防火墙3. 混合型防火墙 2.2.3 按防火墙性能分类如果按防火墙的性能来分可以分为：1.百兆级防火墙2.千兆级防火墙2.3 防火墙在网络中的连接1.连接局域网和广域网2.连接内部网和第三方网络3.连接不同子网2.3.1 连接局域网和广域网(1)用户网络已存在边界路由器图2.4边界路由器示意图（2）用户网络不存在边界路由器图2.5不存在边界路由器的示意图2.3.2 连接内部网和第三方网络这种连接方式对于一般规模的网络应用不是很多，但是在大型企事业计算机网络中，往往有多个合作伙伴或者社会结构，此时就需要用到这种连接方式 图2.6内网与外网连接示意图2.3.3 连接不同子网这种连接方式在安全性要求较高的企业网络中比较常见，例如跨国公司等，公司内部网络包含多个部门的子网络，而有些局域网的数据是不允许其他用户访问的，因此，就要在这些局域网中设置防火墙进行隔离。图2.7防火墙隔离示意图2.4 典型硬件防火墙产品推介（1）.国内硬件防火墙产品推介产品名称：天融信 NGFW4000-UF(TG-5366)防火墙 硬件配置：标配4个10/100/1000BASE-T千兆电口、6个千兆SFP扩展接口、2个10/100BASE-T端口。 适合企业：大中型企业级防火墙。图 2.8天融信 NGFW4000-UF(TG-5366)防火墙产品名称：H3C SecPath F1000-S-AC防火墙 硬件配置：1个配置口（CON）、1个备份口（AUX）、2个10/100/1000M以太网口（支持光口或者电口）、2个10/100/1000M以太网口（支持电口）、2个MIM插槽。 适合企业：大中型企业级防火墙。 图 2.9 H3C SecPath F1000-S-AC防火墙产品名称：RG-WALL1600千兆防火墙/VPN网关 硬件配置：固化4个10/100/1000BaseT 端口+4个SFP端口。 适合企业：大中型企业级防火墙。 图 2.10 RG-WALL1600千兆防火墙/VPN网关(2)国外硬件防火墙产品推介产品名称：Cisco Secure PIX 515-E防火墙硬件配置：它具有一个集成化的VAC，64MB的RAM，最多可以支持六个10/100快速以太网接口。适合企业：中小型企业级防火墙。 图 2.11 Cisco Secure PIX 515-E防火墙产品名称：Juniper NetScreen 208防火墙硬件配置：具有8个自适应10/100M以太网端口。适合企业：大中型企业级防火墙。 图2.12 Juniper NetScreen 208防火墙2.5 防火墙最新技术及发展随着新的网络攻击的出现，防火墙技术也有一些新的发展趋势。这主要可以从：1.包过滤技术2.防火墙体系结构3.防火墙系统管理三方面来体现2.5.1 防火墙包过滤技术发展趋势1加强了用户身份认证2多级过滤技术 3使防火墙具有病毒防护功能。2.5.2 防火墙的体系结构发展趋势随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。2.5.3 防火墙的系统管理发展趋势防火墙的系统管理也有一些发展趋势，主要体现在以下几个方面：1首先是集中式管理，分布式和分层的安全结构是将来的趋势2强大的审计功能和自动日志分析功能3网络安全产品的系统化第3章 防火墙在中小企业网中的应用3.1中小企业网络面临的安全风险3.1.1内部窃密和破坏企业网络上同时接入了所有部门的网络系统，因此容易出现部门内不怀好意的人员（或外部非法人员利用公司内某部门的计算机）通过网络进入内部网络，并进一步窃取和破坏其中的重要信息（如领导的网络账号和口令、重要文件等）。3.1.2网络窃听攻击者可以采用如Sniffer等网络协议分析工具，在INTERNET网络安全的薄弱处进入INTERNET，并非常容易地在信息传输过程中获取所有信息（尤其是敏感信息）的内容。3.1.3假冒企业网内部用户，也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。3.1.4完整性破坏信息在传输过程中或者存储期间被篡改或修改，使得信息/数据失去了原有的真实性，从而变得不能用或造成广泛的负面影响。由于企业网内有许多重要信息，因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息，从而影响工作的正常进行。3.1.5其它网络的攻击企业网络系统是接入到INTERNET上的，这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。3.1.6管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训和学习，对信息安全的重要性与技术认识不足，很容易使安全设备/系统成为摆设，不能使其发挥正确的作用。如本来对某些通信和操作需要限制，为了方便，设置成全开放状态等等，从而出现网络漏洞。由于网络安全产品的技术含量大，因此，对操作管理人员的培训显得尤为重要。这样，使安全设备能够尽量发挥其作用，避免使用上的漏洞。3.1.7雷击由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击，造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。因此，为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏，有必要对整个网络系统采取相应的防雷措施。3.2企业防火墙选购三要素防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台，计算机组成的内部网络,它使企业的网络规划清晰明了，它可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。它既可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换。 在市场上，防火墙的售价极为悬殊，从几万元到数十万元，甚至到百万元。因为各企业用户使用的安全程度不尽相同，因此厂商所推出的产品也有所区分，甚至有些公司还推出类似模块化的功能产品，以符合各种不同企业的安全要求。 当一个企业或组织决定采用防火墙来实施保卫自己内部网络的安全策略之后，下一步要做的事情就是选择一个安全、实惠、合适的防火墙。3.2.1第一要素：防火墙的基本功能防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能： 防火墙的设计策略应遵循安全防范的基本原则“除非明确允许，否则就禁止” 防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。 如果用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许，公众对站点的访问，应把信息服务器和其他内部服务器分开。 防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。 正像前面提到的那样，Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。3.2.2第二要素：企业的特殊要求 企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一，常见的需求如下： 1. 网络地址转换功能(NAT) 进行地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，这也是笔者之所以要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部使用保留的IP，这对许多IP不足的企业是有益的。 双重DNS 当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，因为，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。 2. 虚拟专用网络(VPN) VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。 扫毒功能 大部分防火墙都可以与防病毒软件搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，差别只是扫毒工作是由防火墙完成，或是由另一台专用的计算机完成。 特殊控制需求 有时候企业会有特别的控制需求，如限制特定使用者才能发送E-mail，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，需求不同而定。3.2.3第三要素：与用户网络结合(1)管理的难易度 防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤，并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易出错等管理问题，更是一般企业不愿意使用的主要原因。 (2)自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。 大部分防火墙都安装在一般的操作系统上，如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。 (3)完善的售后服务我们认为，用户在选购防火墙产品时，除了从以上的功能特点考虑之外，还应该注意好的防火墙应该是企业整体网络的保护者，并能弥补其它操作系统的不足，使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，它们应选择一套符合现有环境需求的防火墙产品。由于新产品的出现，就会有人研究新的破解方法，所以好的防火墙产品应拥有完善及时的售后服务体系。 (4)完整的安全检查好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。 第4章 企业网网络安全总体设计根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面进行安全设计：网络系统安全；应用系统安全；物理安全；安全管理；4.1安全设计总体考虑根据企业网络现状及发展趋势，主要安全措施从以下几个方面进行考虑：（1）网络传输保护主要是数据加密保护主要网络安全隔离通用措施是采用防火墙（2）网络病毒防护采用网络防病毒系统广域网接入部分的入侵检测采用入侵检测系统（3）系统漏洞分析采用漏洞分析设备（4）定期安全审计主要包括两部分：内容审计和网络通信审计（5）重要数据的备份重要信息点的防电磁泄露（6）网络安全结构的可伸缩性包括安全设备的可伸缩性，即能根据用户的需要随时进行规模、功能扩展网络防雷4.2网络安全作为企业应用业务系统的承载平台，由于许多重要的信息都通过网络进行交换，网络系统的安全显得尤为重要。4.2.1网络传输由于企业中心内部网络存在两套网络系统，其中一套为企业内部网络，主要运行的是内部办公、业务系统等；另一套是与INTERNET相连，通过ADSL接入，并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网，并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护，如果不采取相应的安全措施，易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统，因此解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备，由VPN设备实现网络传输的加密保护。根据企业三级网络结构，VPN设置如下图所示：图4.1三级VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器（VPN-CA），在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的：（1）网络传输数据保护由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护，并可同时采取加密或隧道的方式进行传输网络隔离保护；与INTERNET进行隔离，控制内网与INTERNET的相互访问(2)集中统一管理，提高网络安全性(3)降低成本（设备成本和维护成本）其中，在各级中心网络的VPN设备设置如下图：图4.2中心网络VPN设置图由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问、记录日志。这样即使服务器被攻破，内部网络仍然安全。下级单位的VPN设备放置如下图所示：图4.3下级单位VPN设置图从图4.3可知，下属机构的VPN设备放置于内部网络与路由器之间，其配置、管理由上级机构通过网络实现，下属机构不需要做任何的管理，仅需要检查是否通电即可。由于安全设备属于特殊的网络设备，其维护、管理需要相应的专业人员，而采取这种管理方式以后，就可以降低下属机构的维护成本和对专业技术人员的要求，这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。由于网络安全的是一个综合的系统工程，是由许多因素决定的，而不是仅仅采用高档的安全产品就能解决，因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理，因而很容易因为某个设备的设置不当，而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的，因此，容易出现上述现象；同时，每个维护人员的水平也有差异，容易出现相互配置上的错误使网络中断。所以，在安全设备的选择上应当选择可以进行网络化集中管理的设备，这样，由少量的专业人员对主要安全设备进行管理、配置，提高整体网络的安全性和稳定性。4.2.2访问控制企业广域网网络部分通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。通常，对网络的访问控制最成熟的是采用防火墙技术来实现的，选择带防火墙功能的VPN设备来实现网络安全隔离，可满足以下几个方面的要求：控制外部合法用户对内部网络的网络访问；控制外部合法用户对服务器的访问；禁止外部非法用户对内部网络的访问；控制内部用户对外部网络的网络；阻止外部用户对内部的网络攻击；防止内部主机的IP欺骗；对外隐藏内部IP地址和网络拓扑结构；网络监控；网络日志审计；由于采用防火墙、VPN技术融为一体的安全设备，并采取网络化的统一管理，因此具有以下几个方面的优点：管理、维护简单、方便；安全性高（可有效降低在安全设备使用上的配置漏洞）；硬件成本和维护成本低；网络运行的稳定性更高。由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机器两个设备而言，其稳定性更高，故障率更低。4.2.3入侵检测网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配应相应的安全产品。作为必要的补充，入侵检测系统（IDS）可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和预见性的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器（网络引擎）。控制台用作制定及管理所有探测器（网络引擎）。探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。入侵检测系统的设置如下图：图4.4入侵检测系统示意图从上图可知，入侵检测仪在网络接如上，与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为将通过报警、通知VPN设备中断网络（即IDS与VPN联动功能）等方式进行控制（即安全设备自适应机制），最后将攻击行为进行日志记录以供以后审查。4.2.4漏洞扫描为一个完善的通用安全系统，应当包含完善的安全措施，定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性，而是随着时间的推移和技术的发展而不断下降的，同时，在使用过程中会出现新的安全问题，因此，作为安全系统建设的补充，采取相应的措施也是必然。采用漏洞扫描设备对网络系统进行定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描，发现相应的漏洞并告警，自动提出解决措施，或参考意见，提醒网络安全管理员作好相应调整。4.3应用系统安全策略4.3.1系统平台安全企业各级网络系统平台安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患。企业网络系统在主要的应用服务平台中采用国内自主开发的安全操作系统，针对通用OS的安全问题，对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强。一般用户运行在PC机上的NT平台，在选择性地用好NT安全机制的同时，应加强监控管理。4.3.2应用平台安全企业网络系统的应用平台安全，一方面涉及用户进入系统的身份鉴别与控制，以及使用网络资源的权限管理和访问控制，对安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。在选择这些应用系统时，应当尽量选择国内软件开发商进行开发，系统类型也应当尽量采用国内自主开发的应用系统。4.3.3病毒防护因为病毒在网络中存储、传播、感染的方式各异途径多种多样，相应地企业在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时应当注意几个方面的要求：具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。病毒对信息系统的正常工作运行产生很大影响，据统计，信息系统的60%瘫痪是由于感染病毒引起的。4.3.4系统设计原则为了更好的解决病毒的防范，一般要求病毒防范系统满足如下要求：采用世界最先进的防毒产品与网络网络系统的实际需要相结合，确保网络系统具有最佳的病毒防护能力的情况下，综合成本最少。贯彻“层层设防，集中控管，以防为主、防治结合”的企业防毒策略。在网络中所有可能的病毒攻击点或通道中设置对应的防病毒软件，通过这种全方位的、多层次的防毒系统配置，使企业网络免遭所有病毒的入侵和危害。充分考虑网络的系统数据、文件的安全可靠性，所选产品与现在系统具有良好的一致性和兼容性，以及最低的系统资源占用，保证不对现有系统运行产生不良影响。应用全球最为先进的“实时监控”技术，充分体现趋势科技“以防为主”的反病毒思想。所选用产品具备对多种压缩格式文件的病毒检测。所选用产品易于安装、操作简便、便于管理和维护，具有友好的用户界面。应用经由ICSA（国际电脑安全协会）技术认证的扫描引擎，保证对包括各种千面人病毒、变种病毒和黑客程序等具有最佳的病毒侦测率，除对已知病毒具备全面的反侦察防能力，对未知病毒亦有良好的侦测能力。强调在网络防毒系统内，实施统一的防病毒策略、集中的防毒管理和维护，最大限度地减轻使用人员和维护人员的工作量。完全自动化的日常维护，便于进行病毒及扫描引擎的更新。提供良好的售后服务及技术支持。具有良好的可扩充性，充分保护用户的现有投资，适应网络系统的今后发展需要4.3.5产品应用根据企业网络系统的结构和应用特点，病毒防御可采取多种措施：网关防毒；服务器防毒；客户端防毒；邮件防毒；应用拓扑如下图：图4.5病毒应用拓扑图在网络骨干接入处，安装防毒墙（即安装有网关杀毒软件的独立网关设备），由防火墙实现网络接入处的病毒防护。由于是安装在网络接入处，因此，对主要网络协议进行杀毒处理（SMTP、FTP、HTTP）。在服务器上安装单独的服务器杀毒产品，对服务器进行病毒保护。由于内部存在几十个网络客户端，如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品（客户端杀毒软件的工作模式是服务器端、客户端的方式）的服务器端，由客户端通过网络与服务器端连接后进行网络化安装。对产品升级，可通过在服务器端进行设置，自动通过INETRNET进行升级，再由客户端到服务器端进行升级，大大简化升级过程，并且整个升级是自动完成，不需要人工操作。对邮件系统，可采取安装专用邮件杀毒产品，通过在邮件服务器上安装邮件杀毒程序，实现对内部邮件的杀毒，保证邮件在收、发时都是经过检查的，确保邮件无毒。通过这种方法，可以达到层层设防的作用，最终实现病毒防护。4.3.6数据备份作为国家机关，企业内部存在大量的数据，而这里面又有许多重要的、机密的信息。而整个数据的安全保护就显得特别重要，对数据进行定期备份是必不可少的安全措施。在采取数据备份时应该注意以下几点：存储介质安全在选择存储介质上应选择保存时间长，对环境要求低的存储产品，并采取多种存储介质备份。如同时采用硬盘、光盘备份的方式。数据安全即数据在备份前是真实数据，没有经过篡改或含有病毒。备份过程安全确保数据在备份时是没有受到外界任何干扰，包括因异常断电而使数据备份中断的或其它情况。备份数据的保管对存有备份数据的存储介质，应保存在安全的地方，防火、防盗及各种灾害，并注意保存环境（温度、湿度等）的正常。同时对特别重要的备份数据，还应当采取异地备份保管的方式，来确保数据安全。对重要备份数据的异地、多处备份（避免类似美国911事件为各公司产生的影响）4.3.7安全审计作为一个良好的安全系统，安全审计必不可少。由于企业网是一个非常庞大的网络系统，因而对整个网络（或重要网络部分）运行进行记录、分析是非常重要的，它可以让用户通过对记录的日志数据进行分析、比较，找出发生的网络安全问题的原因，并可作为以后的法律证据或者为以后的网络安全调整提供依据。4.3.8认证、鉴别、数字签名、抗抵赖由于企业网络系统庞大，上面存在很多分级的重要信息；同时，由于现在国家正在大力推进电子政务的发展，网上办公已经越来越多的被应用到各级政府部门当中，因此，需要对网上用户的身份、操作权限等进行控制和授权。对不同等级、类型的信息只允许相应级别的人进行审阅；对网上公文的处理采取数字签名、抗抵赖等相应的安全措施。第5章 方案设计与实现5.1 项目背景茉莉花公司主干网络系统包括环形的千兆的核心网、千兆链路连接的分支节点和网络边界（Internet、Cernet）。其中千兆链路主要承载整个公司信息系统的跨节点的信息交换传输工作，为各种应用系统的数据流提供高速网络通讯支持。网络边界（Internet、Cernet）负责为整个公司提供互联网、接入功能，极大的扩展了公司信息系统的信息量，为检索外部的海量信息提供了通路。拓扑如图所示：图5.1茉莉花公司主干网络拓扑图茉莉花公司的信息化建设，是体现XX公司国际性、时代性和开放性特征的重要环节，在当前全球经济一体化的时代大背景下通过提高信息化水平来提升公司的综合竞争力是一个有效的途径，应用信息化理念和技术实现经营、科研和管理工作的创新已成为必然的趋势。经过两年多的发展，公司信息化已经初步形成了一定的规模。目前公司的客户端数量达到了500多台，已有20多台服务器为公司提供域控、邮件、内部主页、OA、财务软件、人力软件等服务，并且外部主页服务器和邮件服务器分别对外网提供服务。因此保证公司服务器安全和内部主机安全，对公司网络稳定运行具有重要的意义。所以为了使公司网络不受Internet外来攻击，我们在核心交换机前部署了一台防火墙，用于公司内网与Internet的连接。5.2 项目需求公司采用了PIX535防火墙作为出口，在众多的企业级主流防火墙中，思科PIX 防火墙是所有同类产品性能最好的一种。思科PIX 系列防火墙目前有5 种型号PIX506,515,520,525,535。其中PIX535 是PIX500 系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的ISP 等服务提供商。但是PIX 特有的操作系统，使得大多数管理是通过命令行来实现的，不像其他同类的防火墙通过Web 管理界面来进行网络管理。PIX防火墙主要实现以下两个功能：一是将内网中不同的职能部门私有网络通过防火墙做逻辑隔离，将内网IP转换为Internet公网IP，从而实现内网主机可以访问Internet。二是允许互联网用户访问公司有关部门发布的官方网站，从而实现公司多台服务器通过一条线路为Internet提供各种服务。表5.2防火墙接口参数的配置接口名称安全级别IP地址Gb-eth0Intf210Gb-eth0Inside10021Eth0Outside054Eth1Intf315 表5.3各个部门IP地址规划单位名称网络IP地址网络掩码部门部门部门3部门4部门5（3）配置要求：将部门4的所有内网IP 通过防