網(wǎng)絡(luò)安全-防火墻-綜合布線-vpn本科學(xué)位論文

PAGE5PAGE7摘要隨著網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展,Internet的安全,包括其上的信息數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備服務(wù)的運行安全,日益成為與國家、政府、企業(yè)、個人的利益休戚相關(guān)的"大事情"。從企業(yè)角度來說,安全保障能力是新世紀(jì)一個企業(yè)實力、競爭力和生存能力的重要組成部分。在Internet應(yīng)用迅速普及發(fā)展的今天,企業(yè)計算機網(wǎng)絡(luò)接入Internet獲取資源,提供信息是一種廣泛的應(yīng)用模式。此時，如何保護企業(yè)計算機網(wǎng)絡(luò)資源不受外部非法侵襲是一個嚴(yán)肅、重要的課題。本文列舉浙江銀輪機械有限公司計算機網(wǎng)絡(luò)系統(tǒng)的Internet訪問安全核心Cisco公司的PIX515防火墻,介紹如何使用防火墻提供的安全策略,構(gòu)筑一般企業(yè)計算機網(wǎng)絡(luò)Internet應(yīng)用的安全體系。具體內(nèi)容分為如下五個章節(jié)來說明：第一章介紹了設(shè)計背景，包括防火墻技術(shù)的發(fā)展現(xiàn)狀以及防火墻在網(wǎng)絡(luò)中的作用。第二章是防火墻的需求分析，指出了企業(yè)的業(yè)務(wù)、安全性、通信流量、以及管理的需求。第三章描述了防火墻的設(shè)計，包括防火墻工作原理、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及安全策略。第四章是防火墻的配置，闡述了防火墻各功能的實現(xiàn)，詳述如何實現(xiàn)包過濾和NAT功能。第五章是網(wǎng)絡(luò)安全措施設(shè)計。關(guān)鍵詞：網(wǎng)絡(luò)安全防火墻綜合布線VPN目錄摘要 1目錄 2第1章防火墻設(shè)計背景 41.1防火墻概論 41.1.1網(wǎng)絡(luò)安全定義 41.1.2防火墻在網(wǎng)絡(luò)中的作用 51.2防火墻發(fā)展歷史和現(xiàn)狀 5第2章企業(yè)需求分析 72.1應(yīng)用背景 72.2業(yè)務(wù)需求 72.3管理需求 82.4安全性需求 92.5通信量需求 102.6網(wǎng)絡(luò)可擴展性需求 11第3章防火墻規(guī)劃及設(shè)計 123.1PIX防火墻的工作原理 123.1.1數(shù)據(jù)包如何通過防火墻 123.1.2轉(zhuǎn)換內(nèi)部地址 123.2防火墻的體系結(jié)構(gòu) 123.2.1屏蔽路由器 123.2.2雙穴主機網(wǎng)關(guān) 133.2.3被屏蔽主機網(wǎng)關(guān) 133.2.4被屏蔽子網(wǎng) 133.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 143.3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 143.3.2網(wǎng)絡(luò)安全策略 15第4章企業(yè)防火墻配置 184.1防火墻的選擇 184.1.1設(shè)置防火墻的要素 184.1.2防火墻在大型網(wǎng)絡(luò)系統(tǒng)中的部署 184.1.3防火墻的局限 194.2防火墻安裝 194.2.1防火墻的安裝 194.2.2防火墻升級包安裝過程 254.3VPN 284.3.1VPN工作原理 284.3.2封裝安全載荷ESP 294.3.3防火墻中的VPN的實現(xiàn) 29第5章企業(yè)安全策略的設(shè)計與實施 345.1物理安全控制 345.2基礎(chǔ)設(shè)施和數(shù)據(jù)完整性 345.3安全策略驗證與監(jiān)控目的 345.4安全意識培訓(xùn) 35結(jié)論 36參考文獻 37致謝 38第1章防火墻設(shè)計背景1.1防火墻概論1.1.1網(wǎng)絡(luò)安全定義安全的定義是：遠(yuǎn)離危險的狀態(tài)或特征，為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。網(wǎng)絡(luò)安全的根本目的就是防止通過計算機網(wǎng)絡(luò)傳輸?shù)男畔⒈环欠ㄊ褂?。有時網(wǎng)絡(luò)信息安全的不利影響甚至遠(yuǎn)超過信息共享所帶來的巨大利益。一個有效的安全計劃包括安全意識、防止、檢測、管理和響應(yīng)以使危險降低至最小。完美的安全是不存在的，有決心、持之以恒的攻擊者可以找到欺騙或繞開任何安全措施的方法。網(wǎng)絡(luò)安全是一種減少漏洞和管理危險的方法。安全是一個連續(xù)的過程，包括保護階段、檢測階段、分析階段、管理階段和恢復(fù)階段。分析安全需求是，首先要明確的是要保護的財產(chǎn)以及它們的價值大小，確定可能會破壞這些財產(chǎn)的威脅，以及威脅發(fā)生的可能性。檢測分析指通過監(jiān)視并記錄網(wǎng)絡(luò)和系統(tǒng)的狀態(tài)信息，通過分析這些線索與狀態(tài)以便能識別出一次攻擊。通常使用入侵檢測系統(tǒng)來觀察網(wǎng)絡(luò)通信量?；謴?fù)和保護一樣重要，用來從入侵和攻擊中恢復(fù)的有計劃的響應(yīng)是網(wǎng)絡(luò)安全所必須的一部分，安全管理需要協(xié)調(diào)與計劃。網(wǎng)絡(luò)安全是一件復(fù)雜的任務(wù)，安全性與安全鏈中最薄弱的環(huán)節(jié)密切相關(guān)，安全策略一致性是至關(guān)重要的?？捎眯?、完整性、機密性是網(wǎng)絡(luò)安全的基本要求?？捎眯允强杀皇跈?quán)實體訪問并按要求使用的特性?？捎眯源_保了信息和服務(wù)在需要時可以被訪問并能工作。冗余、容錯、可靠性、自動故障度越、備份、恢復(fù)、彈性和負(fù)載平衡是網(wǎng)絡(luò)設(shè)計中確?？捎眯允怯玫降母拍?。如果系統(tǒng)不可用，那么完整性和機密性無從談起。拒絕服務(wù)（DenialofService，DOS）攻擊的目的是攻擊網(wǎng)絡(luò)和服務(wù)器的可用性。完整性指確保信息完整、精確、可信。對于網(wǎng)絡(luò)的完整性，指確保收到的消息與發(fā)送的消息是相同的，消息內(nèi)容沒有被修改。機密性用于保護敏感信息免受未被授權(quán)的暴露或可以理解的截取。加密和訪問控制用于保護機密性。1.1.2防火墻在網(wǎng)絡(luò)中的作用一般來說，防火墻是一種位于網(wǎng)絡(luò)上的安全機制，通過實施一個或一組訪問控制策略以保護資源不受其他網(wǎng)絡(luò)和個人破壞。它在內(nèi)部網(wǎng)絡(luò)（專用網(wǎng)絡(luò)）與外部網(wǎng)絡(luò)（共用網(wǎng)絡(luò)）之間形成一道安全屏障，以防止非法用戶訪問內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息，同時也防止這類非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)的運行遭到破壞。防火墻在內(nèi)部也用于控制對特定部門或資源的訪問。如果在網(wǎng)絡(luò)的邊界沒有訪問控制，則網(wǎng)絡(luò)的安全性完全依賴于適當(dāng)?shù)呐渲眉皢蝹€主機和服務(wù)器的安全性。在一定意義上所有主機系統(tǒng)必須通過協(xié)作來實現(xiàn)均勻一致的高級安全性。如果這樣，對于有上百個設(shè)備需要被配置的網(wǎng)絡(luò)的管理將是不可能的。防火墻的基本思想不是對單個設(shè)備進行保護，而是讓所有的訪問通過某一點，并對這一點進行保護，并盡可能地對外界屏蔽保護網(wǎng)絡(luò)的信息和結(jié)構(gòu)。使用防火墻有助于提高網(wǎng)絡(luò)總體安全性。如圖1-1所示，防火墻處于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，所有數(shù)據(jù)包都要經(jīng)過防火墻的審查，使內(nèi)部網(wǎng)絡(luò)多了一道安全屏障。因特網(wǎng)防火墻內(nèi)部網(wǎng)絡(luò)圖1-1Internet上的防火墻結(jié)構(gòu)1.2防火墻發(fā)展歷史和現(xiàn)狀按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法，大致可以將防火墻分為兩大體系：包過濾防火墻和代理防火墻（應(yīng)用層網(wǎng)關(guān)防火墻）。從發(fā)展歷史來看，經(jīng)過了四個階段。第一階段的防火墻為基于路由器的防火墻。防火墻與路由器一體，利用路由器本身對分組解析，過濾判決的依據(jù)可是是地址、端口號等其他網(wǎng)絡(luò)特征。第一代防火墻產(chǎn)品不足之處很明顯：它僅有包過濾的功能；而且由于路由器的主要功能是為網(wǎng)絡(luò)提供動態(tài)的、靈活的路由，而防火墻則要對訪問行為實施靜態(tài)的固定的控制，這是一對難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會大大降低路由器的性能；且十分靈活的路由協(xié)議，本身具有安全漏洞?；诼酚善鞯姆阑饓χ皇蔷W(wǎng)絡(luò)安全的一種應(yīng)急措施。第二階段的防火墻是用戶化的防火墻工具套。將過濾功能從路由器中獨立出來，并加上審計和告警功能，用戶可針對需求自己動手構(gòu)造防火墻，這種用戶化的防火墻工具套,雖然較第一代防火墻安全性提高了、價格降低了，但由于是純軟件產(chǎn)品，在實現(xiàn)、維護上都對系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，使用中出現(xiàn)差錯的情況很多，而且全軟件的實現(xiàn)使得安全性和處理速度均有局限。第三階段的防火墻產(chǎn)品建立在通用操作系統(tǒng)之上。它包括分組過濾功能，裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令，保護用戶編程和用戶可配置內(nèi)核參數(shù)的配置，安全性和速度大為提高。第三代防火墻有以純軟件實現(xiàn)的，也有以硬件方式實現(xiàn)，但隨著安全需求的變化和使用時間的推延，仍表現(xiàn)出不少問題：作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為管理者所知，原碼的保密使得安全性無從保證，通用操作系統(tǒng)廠商通常不會對操作系統(tǒng)的安全性負(fù)責(zé)，從本質(zhì)上看，防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊，用戶必須依賴兩方面的安全支持：一是防火墻廠商、一是操作系統(tǒng)廠商。防火墻技術(shù)和產(chǎn)品隨著網(wǎng)絡(luò)攻擊和安全防護手段的發(fā)展而演進，到1997年初，具有安全操作系統(tǒng)的防火墻產(chǎn)品面市，使防火墻產(chǎn)品步入了第四個發(fā)展階段。具有安全操作系統(tǒng)的防火墻本身就是一個操作系統(tǒng)，因而在安全性上較之第三代防火墻有質(zhì)的提高。第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，具有以下技術(shù)與功能。1.雙端口或三端口的結(jié)構(gòu)2.透明的訪問方式3.靈活的代理系統(tǒng)4.多級的過濾技術(shù)5.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) 6.Internet網(wǎng)關(guān)技術(shù)7.安全服務(wù)器網(wǎng)絡(luò)（SSN）8.用戶鑒別與加密9.用戶定制服務(wù)10.審計和告警第2章企業(yè)需求分析2.1應(yīng)用背景浙江銀輪機械股份有限公司是一家創(chuàng)建于1998年的省批股份制企業(yè)，前身浙江天臺機械廠。公司由油冷器制造分廠、鋁散熱器制造分廠、總成制造分廠、配件制造分廠、上海銀暢國際貿(mào)易公司、上海神天散熱器公司、上海創(chuàng)斯達交換器公司組成。公司位于風(fēng)景秀麗的佛教勝地、國家一級風(fēng)景區(qū)天臺山麓?，F(xiàn)有員工536人，其中工程技術(shù)人員105人，公司主要生產(chǎn)各種散熱器，機械產(chǎn)品,多功能沖抓式造孔機，離心機等。目前是國內(nèi)機油冷卻器、空氣冷卻器產(chǎn)品生產(chǎn)規(guī)模最大、品種規(guī)格最多和測試設(shè)備最齊全的散熱器專業(yè)生產(chǎn)廠家。1994年產(chǎn)品進入美國售后市場，開始參與全球競爭。1998年：由職工入股，企業(yè)成功由國有改制為民營股份制。2001年：產(chǎn)品進入美國OEM市場，商務(wù)、物流和新品開發(fā)程序開始與國際接軌。與美國等較早開展信息化建設(shè)的國家相比,中國的信息化建設(shè)相對滯后一些.為了增強自身的市場競爭能力，提高企業(yè)自身的信息化程度，國家信息產(chǎn)業(yè)部領(lǐng)導(dǎo)在接受記者采訪時,再三強調(diào)“信息化這個東西不是可有可無的,而是勢必行,如果不搞信息化,就將被市場淘汰。”浙江銀輪機械股份有限公司信息化建設(shè)目的為了增強企業(yè)的核心競爭力,實現(xiàn)利潤最大化,提高經(jīng)濟效益和保證持續(xù)發(fā)展,為了充分發(fā)揮信息資源的作用,需要對企業(yè)的信息資源進行整體部署。因此，建設(shè)企業(yè)網(wǎng)絡(luò)工程是信息化建設(shè)方面的緊迫任務(wù)，是企業(yè)可持續(xù)發(fā)展的重要保證之一。通過這樣的通信系統(tǒng)工程，企業(yè)可以提高通信效率，降低通信成本，從而提高生產(chǎn)效率，降低運作成本，提升其自身的競爭力。2.2業(yè)務(wù)需求業(yè)務(wù)需求的分析目標(biāo)是明確企業(yè)的業(yè)務(wù)類型,應(yīng)用系統(tǒng)軟件種類,以及它們對網(wǎng)絡(luò)功能指標(biāo)(如帶寬,服務(wù)質(zhì)量QOS)的要求.業(yè)務(wù)需求是企業(yè)建網(wǎng)中的首要環(huán)節(jié),是進行網(wǎng)絡(luò)規(guī)劃與設(shè)計的基本依據(jù)。通過對浙江銀輪機械股份有限公司的實地考察,和對公司的負(fù)責(zé)人交流,以及問卷調(diào)查的方式,通常對數(shù)量較多的最終用戶提問,詢問其對將要建設(shè)的網(wǎng)絡(luò)應(yīng)用的要求,公司要實現(xiàn)企業(yè)內(nèi)部辦公網(wǎng)絡(luò)，上面運行的應(yīng)用包括Internet連接共享、傳真、電子郵件、企業(yè)辦公消息管理等。企業(yè)內(nèi)部辦公網(wǎng)絡(luò)的核心問題是在保證日常辦公效率的基礎(chǔ)上，如何進一步的提高安全性和可監(jiān)控性。企業(yè)內(nèi)部辦公網(wǎng)絡(luò)應(yīng)該考慮的功能需求如下：1、網(wǎng)絡(luò)安全保護。包括企業(yè)級防火墻和企業(yè)級的反病毒軟件，防范病毒和黑客的攻擊。2、網(wǎng)絡(luò)管理監(jiān)控。提高整個網(wǎng)絡(luò)系統(tǒng)的可管理性，明確每個部門或人員的職責(zé)和權(quán)限，控制公司業(yè)務(wù)的關(guān)鍵環(huán)節(jié)。3、網(wǎng)絡(luò)服務(wù)器。需要有專用的服務(wù)器，作為反病毒軟件和網(wǎng)絡(luò)管理監(jiān)控軟件或其他應(yīng)用的主控服務(wù)器。4、Email辦公。公司業(yè)務(wù)Email文件可以在相關(guān)的部門和人員之間快速流轉(zhuǎn)。收發(fā)Email時，文件必須經(jīng)過主管部門的監(jiān)控和轉(zhuǎn)發(fā)，普通人員將在受監(jiān)控的狀態(tài)下面和公司客戶通信。5、Fax辦公。收發(fā)Fax時，圖片可以通過網(wǎng)絡(luò)辦公系統(tǒng)自由分發(fā)，而無需打印和手工傳遞。同時，F(xiàn)ax內(nèi)容和傳遞過程需要記錄日志，以備追溯。6、Internet連接共享。試用Internet連接共享時，需要控制不同權(quán)限的員工使用Internet的方式和范圍。限制普通員工利用公司網(wǎng)絡(luò)進行業(yè)務(wù)無關(guān)的活動。7、VPN連接VPN安全策略包括：身份認(rèn)證，完整性，機密性，可用性以及審計功能。8、視頻服務(wù)根據(jù)上網(wǎng)用戶數(shù)據(jù)流量，主干網(wǎng)采用千兆以太網(wǎng)，在匯聚層干線上采用百兆，接入層十兆/百兆到桌面。2.3管理需求網(wǎng)絡(luò)的管理是企業(yè)建網(wǎng)不可缺少的方面，網(wǎng)絡(luò)是否按照設(shè)計目標(biāo)提供穩(wěn)定的服務(wù)主要依靠有效的網(wǎng)絡(luò)管理，高效的管理策略能提高網(wǎng)絡(luò)的運營效率。針對本企業(yè)的業(yè)務(wù)特點及目前企業(yè)建設(shè)的實際情況，提供一種對計算機網(wǎng)絡(luò)進行規(guī)劃、設(shè)計、操作、運行、管理、監(jiān)視、分析、控制、評估和擴展等手段，從而以合理的代價，組織和利用系統(tǒng)資源，提供正常、安全、可靠、有效、充分、用戶友好的服務(wù)。需要對網(wǎng)絡(luò)進行遠(yuǎn)程管理，遠(yuǎn)程管理可以幫助網(wǎng)絡(luò)管理員利用遠(yuǎn)程控制軟件管理網(wǎng)絡(luò)設(shè)備，使網(wǎng)管工作更方便，更高效。所有的網(wǎng)絡(luò)管理由公司的網(wǎng)絡(luò)管理員統(tǒng)一負(fù)責(zé)。由于本公司的業(yè)務(wù)對象都是內(nèi)部用戶，所以就不需要承擔(dān)記費功能。在網(wǎng)絡(luò)管理中，必須實現(xiàn)對計算機網(wǎng)絡(luò)的配置，運行狀態(tài)等管理，實現(xiàn)網(wǎng)絡(luò)故障診斷，安全管理，流量控制以及路由選擇策略等。在網(wǎng)絡(luò)管理方面，采用網(wǎng)管軟件EasyTuch40forWindows，網(wǎng)絡(luò)監(jiān)控軟件HammerView-Enhanced-WIN。依據(jù)性能的可靠性，穩(wěn)定性，高智能，高安全等特性，交換機和路由器網(wǎng)絡(luò)設(shè)備采用港灣網(wǎng)絡(luò)有限公司推出的BigHammer6800系列核心智能多層交換機。該設(shè)備交換容量最高可達1.92Tbps。BigHammer6800支持高密度萬兆、千兆、百兆端口，同時還支持POS等廣域網(wǎng)接口；支持IPv6、MPLS、VPN、策略路由、用戶認(rèn)證、NAT等特性；并且支持高達1M容量的路由表。BigHammer6800交換機內(nèi)置硬件防火墻模塊支持安全分區(qū)策略，從而為用戶構(gòu)建高性能、高安全、多業(yè)務(wù)的IP網(wǎng)絡(luò)提供一個優(yōu)秀的萬兆應(yīng)用中心。配合港灣自主開發(fā)的EasyTouch統(tǒng)一網(wǎng)管平臺和HammerView圖形界面管理系統(tǒng)，可以實現(xiàn)分級分權(quán)管理、日志管理、性能管理、VLAN管理、手機短信告警等等智能化管理手段。支持SNMPv3、SSH，滿足網(wǎng)管協(xié)議對安全的要求。智能ASIC技術(shù)配合策略網(wǎng)管執(zhí)行，對應(yīng)用數(shù)據(jù)流的優(yōu)先級劃分和帶寬調(diào)度，滿足不同應(yīng)用業(yè)務(wù)對服務(wù)質(zhì)量的不同要求。除此之外還需要采用跟蹤技術(shù)，在跟蹤各種系統(tǒng)信息時，記錄時間是非常重要的。2.4安全性需求隨著近年來網(wǎng)絡(luò)安全事件不斷地發(fā)生，安全問題也已成為IT業(yè)的一個熱點，安全問題對于企業(yè)的發(fā)展也越來越重要。安全問題已經(jīng)成為影響企業(yè)業(yè)務(wù)平臺的穩(wěn)定性和業(yè)務(wù)的正常提供的一個問題，所以提升企業(yè)自身的安全性也已經(jīng)成為企業(yè)增強企業(yè)競爭力的重要方面之一。敏感性數(shù)據(jù)主要分布在，總經(jīng)理辦公室有5個，國內(nèi)市場部20個，國外市場部20個，工程部50個，制造部40個，財務(wù)部20個，采購部30個，人力資源部10個，企管信息部20個，質(zhì)量保證部10個，投資發(fā)展部10個，計算機中心5個。在每一個數(shù)據(jù)的分部點上，劃分各個部門的虛擬局域網(wǎng)，設(shè)置每個用戶的不同權(quán)限及安全級別?？赡茉跀?shù)據(jù)的存儲和傳輸過程中，數(shù)據(jù)的機密性，可用性得不到有效的安全保護，即使是這樣，發(fā)生數(shù)據(jù)的泄露，對本系統(tǒng)的全局影響沒有多大。在保障數(shù)據(jù)安全性方面，首先要做到物理安全的控制及物理網(wǎng)絡(luò)的基礎(chǔ)設(shè)施保護，包括選擇適當(dāng)?shù)慕橘|(zhì)類型及電纜的鋪設(shè)路線(網(wǎng)絡(luò)拓?fù)?。其次邏輯安全控制負(fù)責(zé)在不同的網(wǎng)段之間構(gòu)造邏輯邊界。它同時還對不同網(wǎng)段間信息流的流動進行控制。邏輯訪問控制通過對網(wǎng)段間的信息流進行邏輯過濾來提供安全性保障。根據(jù)實際出發(fā)，公司采用NetHammerM262/M242模塊化多業(yè)務(wù)路由器，提供2個固定串口，2個固定FE口，多槽位，DVPN（動態(tài)VPN），SNA、啞終端等金融特色服務(wù)，數(shù)據(jù)、語音/傳真、視頻組播多種業(yè)務(wù)集成，豐富的QOS、防火墻功能。NetHammerM262/M242采用模塊化結(jié)構(gòu)，高性能MPC配合自主知識產(chǎn)權(quán)的專利技術(shù)FFS（FastFlowSwitch）算法，最大限度發(fā)揮CPU性能，在提供了集成的2個快速以太網(wǎng)接口、1個AUX口和2個高速同步串口、4/2個模塊化插槽的同時，還提供豐富的可選配模塊。在連接Internet出口處，安裝CiscoPIX515硬件防火墻，CiscoSecurePIX防火墻是同類產(chǎn)品市場中的領(lǐng)先產(chǎn)品，它是一個高速專用防火墻設(shè)備，能在不影響網(wǎng)絡(luò)性能的情況下提供強大的安全。新的PIX515機箱通過一個成本更低的小型中低檔型號，擴展了這一世界領(lǐng)先的產(chǎn)品線。PIX515高度僅為1RU(1.72英寸)，在不犧牲吞吐量的情況下節(jié)省了珍貴的機架空間。PIX515支持50,000和100,000個連接，對于較小的或遠(yuǎn)程站點非常理想。在用戶桌面上的電腦采用金山毒霸2006版殺毒軟件和個人防火墻，有效的能保護個人電腦。2.5通信量需求通信量需求是從網(wǎng)絡(luò)應(yīng)用出發(fā)，對當(dāng)前技術(shù)條件下可以提供的網(wǎng)絡(luò)帶寬做出的評估。由單一的文本應(yīng)用迅速向文本、語音、圖形、視圖綜合服務(wù)發(fā)展，面向高速化和寬帶需求發(fā)展的需求日趨強烈，如高速LAN，交換LAN，ATM技術(shù)等。依據(jù)公司的業(yè)務(wù)需求，可總結(jié)如下：文件服務(wù)，遠(yuǎn)程連接，壓縮視頻，MP3，RM等流媒體傳輸，VOD視頻點播，視頻會議等，綜上所述，接入寬帶方式采用FrameRelay（幀中繼）線路，并采用DDR（撥號備份）作為廣域網(wǎng)的后援線路以保證廣域網(wǎng)絡(luò)的可靠性。公司的海外辦事處的業(yè)務(wù)人員，利用公司筆記本或電腦從國外能夠安全地訪問公司內(nèi)部ERP資源和共享企業(yè)的內(nèi)部應(yīng)用。在國內(nèi)的駐各省會的業(yè)務(wù)人員數(shù)量多，利用公司筆記本或電腦能夠安全地訪問公司內(nèi)部B/S和C/S服務(wù)器，存取公司內(nèi)部共享文件。領(lǐng)導(dǎo)出差利用筆記本能夠安全地訪問公司內(nèi)部MIP系統(tǒng)進行文件和報告的電子審批問題，實現(xiàn)真正意義上的移動辦公，由于這些信息是企業(yè)機密信息，要絕對保證信息在公網(wǎng)上的安全。合作伙伴經(jīng)常要發(fā)E-MAIL，訪問公司的郵件服務(wù)器，以及訪問公司的WEB服務(wù)器，所以在WEB服務(wù)器的連接數(shù)量是最大的，銷售人員要訪問公司內(nèi)部ERP數(shù)據(jù)庫等等。2.6網(wǎng)絡(luò)可擴展性需求網(wǎng)絡(luò)的擴展性有兩層含義，其一是指新的部門能夠簡單地接入現(xiàn)有網(wǎng)絡(luò)；其二是指新的應(yīng)用能夠無逢地在現(xiàn)有網(wǎng)絡(luò)上運行。隨著公司的規(guī)模不斷的擴大，二期工程的改造完成，新增板式冷卻器分廠，中冷器分廠，綜合分廠，科研樓與食堂。在一期工程完成后，已有的網(wǎng)絡(luò)設(shè)備有：港灣FLEXHAMMER50103層交換，華為SC-RJ45百兆多模光纖收發(fā)器，港灣μHammer2024E二層交換機，24*10/100M,2個擴展插槽，公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用星型結(jié)構(gòu)，有助于網(wǎng)絡(luò)的擴充性。經(jīng)過分析和比較后，公司計算機網(wǎng)絡(luò)采用PIX515防火墻的功能論述防火墻在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用。

第3章防火墻規(guī)劃及設(shè)計3.1PIX防火墻的工作原理3.1.1數(shù)據(jù)包如何通過防火墻當(dāng)向外連接的數(shù)據(jù)包（OutboundPacket）到達PIX防火墻的被保護接口時(InsideInterface),PIX防火墻檢查先前的數(shù)據(jù)包是否是來自此主機。如果沒有，PIX防火墻就在它的狀態(tài)表為新的連接建立一個轉(zhuǎn)換槽(translationslot)。通過網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)或端口地址轉(zhuǎn)換(PAT)的分配，這個轉(zhuǎn)換槽包括內(nèi)部IP地址和一個唯一的全局IP地址。PIX防火墻這時轉(zhuǎn)換這個數(shù)據(jù)包的源IP地址(sourceIP)為這個唯一的全局IP地址，并按需修改其他字段，然后轉(zhuǎn)發(fā)這個數(shù)據(jù)包到合適的非保護接口。當(dāng)向內(nèi)連接的數(shù)據(jù)包(InboundPackets)到達PIX防火墻的非保護接口時(OutsideInterface),它必須先經(jīng)過PIX防火墻的安全檢查。如果數(shù)據(jù)包檢查通過，則PIX防火墻移走這個數(shù)據(jù)包的目的IP地址(destinationIP)，插入內(nèi)部的IP地址。這樣，這個數(shù)據(jù)包被轉(zhuǎn)發(fā)到被保護接口。3.1.2轉(zhuǎn)換內(nèi)部地址動態(tài)轉(zhuǎn)換對在Internet上不需要固定地址的桌面計算機是非常有用的。使用非NIC(NetworkInformationCenter)注冊的IP地址的內(nèi)部網(wǎng)絡(luò)主機通過在PIX防火墻中的地址轉(zhuǎn)換能直接訪問Internet上的標(biāo)準(zhǔn)TCP\IP程序，而不需要特定的客戶程序。PIX防火墻支持能為每個內(nèi)部主機提供一個全局唯一網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），和為許多內(nèi)部主機提供一個共享的全局唯一網(wǎng)絡(luò)地址端口地址轉(zhuǎn)換（PAT）。NAT和PAT能轉(zhuǎn)換為多達64K主機地址。PIX防火墻中的另一個地址轉(zhuǎn)換是靜態(tài)轉(zhuǎn)換。靜態(tài)轉(zhuǎn)換能有效地移動一個內(nèi)部的、非注冊主機到防火墻中虛網(wǎng)。這對一個需要映射到外部Internet網(wǎng)關(guān)的內(nèi)部主機是非常有用的。如SMTP服務(wù)器。3.2防火墻的體系結(jié)構(gòu)3.2.1屏蔽路由器屏蔽路由器可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來實現(xiàn)。屏蔽路由器作為內(nèi)外連接的惟一通道，要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件，實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。單純由屏蔽路由器構(gòu)成的防火墻的危險包括路由器本身及路由器允許訪問的主機。屏蔽路由器的缺點是一旦被攻擊后很難發(fā)現(xiàn)，而且不能識別不同的用戶。3.2.2雙穴主機網(wǎng)關(guān)雙穴主機網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的堡壘主機的做防火墻。兩塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連。堡壘主機上運行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。與屏蔽路由器相比，雙穴主機網(wǎng)關(guān)堡壘主機的系統(tǒng)軟件可用于維護護系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。但弱點也比較突出，一旦黑客侵入堡壘主機并使其只具有路由功能，任何網(wǎng)上用戶均可以隨便訪問內(nèi)部網(wǎng)。3.2.3被屏蔽主機網(wǎng)關(guān)屏蔽主機網(wǎng)關(guān)易于實現(xiàn)也最為安全。一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機成為從外部網(wǎng)絡(luò)惟一可直接到達的主機，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。如果受保護網(wǎng)是一個虛擬擴展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機和屏蔽路由器的配置。危險性限制在堡壘主機和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者沒法登錄到它上面，內(nèi)網(wǎng)中的其余主機就會受到很大威脅。這與雙穴主機網(wǎng)關(guān)受攻擊時的情形差不多。3.2.4被屏蔽子網(wǎng)被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個DNS，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機作為惟一可訪問點，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險僅包括堡壘主機、子網(wǎng)主機及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問路由器或只允許內(nèi)網(wǎng)中的某些主機訪問它，則攻擊會變得很困難。在這種情況下，攻擊者得先侵入堡壘主機，然后進入內(nèi)網(wǎng)主機，再返回來破壞屏蔽路由器，并且整個過程中不能引發(fā)警報。3.3網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)3.3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)浙江銀輪機械股份有限公司計算機網(wǎng)絡(luò)INTERNET訪問的系統(tǒng)配置，和企業(yè)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)系統(tǒng)分別示意如圖3-1和3-2。圖3-1：企業(yè)內(nèi)部網(wǎng)拓?fù)鋱D圖3-2企業(yè)內(nèi)部網(wǎng)拓?fù)鋱D3.3.2網(wǎng)絡(luò)安全策略步驟一：端口標(biāo)識PIX防火墻接口間的默認(rèn)行為如下:1.從高安全級別的接口到低安全級別的接口的通信除非受到訪問列表的限制,否則允許所有基于IP的通信.2.從低安全級別的接口到高安全級別接口的通信除非特別允許,否則丟棄所有的報文分組。3.同安全級別接口的通信兩個網(wǎng)絡(luò)間不通信。另外，還有些需要考慮的因素：第一個接口的默認(rèn)安全級別為100，且命名為inside。第二個接口的默認(rèn)安全級別為0，且命名為outside。只有一個網(wǎng)絡(luò)的安全級別為100。只有一個網(wǎng)絡(luò)的安全級別為0。如果一個命令需要使用兩個接口，則必須先指定高安全級別的接口名，然后指定低安全級別的接口名（如，static[inside,outside]）。安全級別配置樣例：Nameifethernet0outsidesecurity0Nameifethernet1insidesecurity100步驟二：允許來自內(nèi)部的訪問PIX最主要的允許內(nèi)部用戶訪問是通過地址轉(zhuǎn)換（NAT）技術(shù)來實現(xiàn)。將內(nèi)部用戶的私有IP地址隱藏起來，在內(nèi)部網(wǎng)中使用私有的虛擬地址,即由Internet地址分配委員會(IANA)所保留的幾段PrivateNetworkIP地址.以下是預(yù)留的PrivateNetwork地址范圍:一一55一一55一一55NAT技術(shù)有效的提高了公司的安全性，.隨著NAT技術(shù)的應(yīng)用越來越廣泛,其自身的技術(shù)特點在網(wǎng)絡(luò)安全領(lǐng)域也逐漸顯示出其獨特的應(yīng)用價值.步驟三：控制入站的訪問在許多企業(yè)中，允許內(nèi)部用戶訪問所有的Internet資源，但對來自Internet的通信，則要進行嚴(yán)密的檢查，如果安全策略允許外界用戶訪問內(nèi)部主機和服務(wù)器，則使用static命令指定哪些IP地址可以在外界用戶接口上顯示，以便外界用戶訪問。該命令創(chuàng)建了本地IP地址到全球IP地址的永久性映射。使用access-list命令對防火墻配置安全策略，通過使用

access-list命令，將來可以對PIX防火墻增加更多的功能。例如：access-listdontbeconfuesedpermittcpany步驟四：控制出站的訪問出站訪問是通過訪問列表實現(xiàn)的，訪問列表是利用outbound命令創(chuàng)建，并以以下信息為基礎(chǔ)：IP源地址。IP目標(biāo)地址。IP協(xié)議類型。目的端口。使用Outbound命令時，要求使用apply命令，利用apply命令的outgoing_src選項，可以指定是否將ACL應(yīng)用到內(nèi)部擁護，以啟動出站連接；或者使用apply命令的outgoing_dest選項，決定是否將ACL應(yīng)用到內(nèi)部用戶，來訪問外部網(wǎng)絡(luò)服務(wù)器。例如：Outbound1deny0tcpOutbound2excepte55httpApply(inside)1outgoing_src步驟五：認(rèn)證和授權(quán)PIX防火墻支持AAA服務(wù)，AAA服務(wù)能夠用來對用戶認(rèn)證和授權(quán)使其只使用Telnet、ftp和http服務(wù)。它既可以適用于外站用戶發(fā)起的入站連接，也可以適用于內(nèi)部用戶發(fā)起的出站連接西南交通大學(xué)網(wǎng)絡(luò)教育畢業(yè)設(shè)計（論文）第25頁25第4章企業(yè)防火墻配置4.1防火墻的選擇4.1.1設(shè)置防火墻的要素網(wǎng)絡(luò)策略影響Firewall系統(tǒng)設(shè)計、安裝和使用的網(wǎng)絡(luò)策略可分為兩級，高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級策略中定義的服務(wù)。服務(wù)訪問策略服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。服務(wù)訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡(luò)風(fēng)險和提供用戶服務(wù)之間獲得平衡。典型的服務(wù)訪問策略是：允許通過增強認(rèn)證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機和服務(wù)；允許內(nèi)部用戶訪問指定的Internet主機和服務(wù)。防火墻設(shè)計策略防火墻設(shè)計策略基于特定的Firewall，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一種的特點是安全但不好用，第二種是好用但不安全，通常采用第二種類型的設(shè)計策略。而多數(shù)防火墻都在兩種之間采取折衷。增強的認(rèn)證許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機制。多年來，用戶被告知使用難于猜測和破譯口令，雖然如此，攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機制形同虛設(shè)。增強的認(rèn)證機制包含智能卡，認(rèn)證令牌，生理特征（指紋）以及基于軟件（RSA）等技術(shù)，來克服傳統(tǒng)口令的弱點。雖然存在多種認(rèn)證技術(shù)，它們均使用增強的認(rèn)證機制產(chǎn)生難被攻擊者重用的口令和密鑰。目前許多流行的增強機制使用一次有效的口令和密鑰（如SmartCard和認(rèn)證令牌）。4.1.2防火墻在大型網(wǎng)絡(luò)系統(tǒng)中的部署根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署防火墻：局域網(wǎng)內(nèi)的VLAN之間控制信息流向時。Intranet與Internet之間連接時(企業(yè)單位與外網(wǎng)連接時的應(yīng)用網(wǎng)關(guān))。在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)，（通過公網(wǎng)ChinaPac，ChinaDDN，F(xiàn)rameRelay等連接）在總部的局域網(wǎng)和各分支機構(gòu)連接時采用防火墻隔離，并利用VPN構(gòu)成虛擬專網(wǎng)?？偛康木钟蚓W(wǎng)和分支機構(gòu)的局域網(wǎng)是通過Internet連接，需要各自安裝防火墻，并利用NetScreen的VPN組成虛擬專網(wǎng)。在遠(yuǎn)程用戶撥號訪問時，加入虛擬專網(wǎng)。ISP可利用NetScreen的負(fù)載平衡功能在公共訪問服務(wù)器和客戶端間加入防火墻進行負(fù)載分擔(dān)、存取控制、用戶認(rèn)證、流量控制、日志紀(jì)錄等功能。兩網(wǎng)對接時，可利用NetScreen硬件防火墻作為網(wǎng)關(guān)設(shè)備實現(xiàn)地址轉(zhuǎn)換(NAT)，地址映射（MAP），網(wǎng)絡(luò)隔離（DMZ）,存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問題。4.1.3防火墻的局限我們在利用防火墻的各種益處的同時也應(yīng)該意識到防火墻的局限，有時防火墻會給人一種虛假的安全感，導(dǎo)致在防火墻內(nèi)部放松安全警惕。而許多攻擊正是內(nèi)部犯罪，這是任何基于隔離的防范措施都無能為力的。同樣，防火墻也不能解決進入防火墻的數(shù)據(jù)帶來的所有安全問題。如果用戶抓來一個程序在本地運行，那個程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)τ脩舻南到y(tǒng)進行破壞。隨著Java、JavaScript和ActiveX控件及其相應(yīng)瀏覽器的推廣，這一問題變得更加突出和尖銳。防火墻的另一個缺點是易用性不夠，大多數(shù)產(chǎn)品還需要網(wǎng)絡(luò)管理員手工建立。當(dāng)然，這一問題馬上會得到改觀。防火墻在當(dāng)今Internet上的存在是有生命力的，但它不能替代墻內(nèi)的安全措施，因此，它不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個組成部分。4.2防火墻安裝4.2.1防火墻的安裝1.雙擊運行安裝包。圖4-12.選擇安裝語言后點擊“確定”。圖4-23.進入歡迎界面，點擊“下一步”。圖4-34.閱讀最終用戶許可協(xié)議，選擇“我接受”，點擊“下一步”。圖4-45.輸入用戶使用手冊上的產(chǎn)品序列號及用戶ID號，點擊“下一步”。圖4-56.安裝前進行內(nèi)存掃描，保證在干凈的系統(tǒng)中安裝。圖4-67.掃描完成后點擊“下一步”。圖4-78.選擇安裝方式，點擊“下一步”。圖4-89.選擇安裝路徑，點擊“下一步”。圖4-910.選擇程序組，點擊“下一步”。圖4-1011.檢查安裝配置信息后，點擊“下一步”。圖4-1112.安裝過程中，請稍候……圖4-124.2.2防火墻升級包安裝過程1.雙擊運行完整升級包。圖4-132.程序更新過程中……圖4-143.更新結(jié)束，點擊“完成”。圖4-153.安裝后的瑞星個人防火墻主畫面圖4-164.3VPN4.3.1VPN工作原理目前建造虛擬專網(wǎng)的國際標(biāo)準(zhǔn)有IPSEC（RFC1825-1829）和L2TP。其中L2TP是虛擬專用撥號網(wǎng)絡(luò)協(xié)議，是IETF根據(jù)各廠家協(xié)議（包括微軟公司的PPTP、Cisco的L2F）進行起草的，目前尚處于草案階段。IPSEC是一系列基于IP網(wǎng)絡(luò)（包括Intranet、Extranet和Internet）的，由IETF正式定制的開放性IP安全標(biāo)準(zhǔn)，是虛擬專網(wǎng)的基礎(chǔ)，已經(jīng)相當(dāng)成熟可靠。L2TP協(xié)議草案中規(guī)定它（L2TP標(biāo)準(zhǔn)）必須以IPSEC為安全基礎(chǔ)。因此，闡述VPN的工作原理，主要是分析IPSEC的工作原理。IPSEC提供三種不同的形式來保護通過公有或私有IP網(wǎng)絡(luò)來傳送的私有數(shù)據(jù)。認(rèn)證——作用是可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的。數(shù)據(jù)完整性——作用是保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。機密性——作用是使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。在IPSEC由三個基本要素來提供以上三種保護形式：認(rèn)證協(xié)議頭（AH）、安全加載封裝（ESP）和互聯(lián)網(wǎng)密匙管理協(xié)議（IKMP）。認(rèn)證協(xié)議頭和安全加載封裝可以通過分開或組合使用來達到所希望的保護等級。認(rèn)證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個密碼。正如整個名稱所示，AH通過一個只有密匙持有人才知道的“數(shù)字簽名”來對用戶進行認(rèn)證。這個簽名是數(shù)據(jù)包通過特別的算法得出的獨特結(jié)果；AH還能維持?jǐn)?shù)據(jù)的完整性，因為在傳輸過程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測出來。不過由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機密性。兩個最普遍的AH標(biāo)準(zhǔn)是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通過最高到160位密匙提供更強的保護。1)下一頭（8比特）：標(biāo)識緊跟驗證頭的下一個頭的類型。2)載荷長度（8比特）：以32-位字為單位的驗證頭的長度，再減去2。例如，缺省的驗證數(shù)據(jù)字段的長度是96比特（3個32-位字），加上3個字長的固定頭，頭部共6個字長，因此該字段的值為4。3)保留（16比特）：保留為將來使用。4)安全參數(shù)索引（32比特）：用于標(biāo)識一個安全關(guān)聯(lián)。5)序號（8比特）：單增的計數(shù)器值。6)驗證數(shù)據(jù)（可變）：該字段的長度可變（但應(yīng)為32-位字的整數(shù)倍），包含的數(shù)據(jù)有數(shù)據(jù)包的ICV（完整性校驗值）或MAC。AH實現(xiàn)模式（隧道模式）如圖4-5所示。安全加載封裝（ESP）通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進行全加密來嚴(yán)格保證傳輸信息的機密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，因為只有受信任的用戶擁有密匙才能打開內(nèi)容。ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。4.3.2封裝安全載荷ESPESP(EncapsulatingSecurityPayload)屬于IPsec的一種協(xié)議，可用于確保IP數(shù)據(jù)包的機密性（未被別人看過）、數(shù)據(jù)的完整性以及對數(shù)據(jù)源的身份驗證。此外，它也要負(fù)責(zé)對重播攻擊的抵抗。具體做法是在IP頭（以及任何IP選項）之后，并在要保護的數(shù)據(jù)之前，插入一個新頭，即ESP頭。受保護的數(shù)據(jù)可以是一個上層協(xié)議，或者是整個IP數(shù)據(jù)報。最后，還要在最后追加一個ESP尾。由于ESP同時提供了機密性及身份驗證機制，所以在其SA中必須同時定義兩套算法用來確保機密性的算法叫做“加密器”，而負(fù)責(zé)身份驗證的叫做“驗證器”。每個ESPSA都至少有一個加密器和驗證器。4.3.3防火墻中的VPN的實現(xiàn) VPN系統(tǒng)的主要建設(shè)目標(biāo)是通過建設(shè)一套基于IPsec協(xié)議的遠(yuǎn)程接入網(wǎng)絡(luò)平臺，包括安全網(wǎng)關(guān)設(shè)備、安全網(wǎng)管管理軟件、客戶端軟件等，能夠各分支機構(gòu)和出差在外的人員方便的實現(xiàn)通過因特網(wǎng)到浙江總部的安全的遠(yuǎn)程接入，通過異地互聯(lián)完成遠(yuǎn)程辦公、信息共享等工作，并確保信息傳輸?shù)谋Ｃ苄?、完整性和不可抵賴性。公司的?yīng)用系統(tǒng)需要既在公網(wǎng)上向外提供服務(wù)，允許公眾訪問公司的網(wǎng)站，也同時需要允許子公司、銷售分公司、股東、公司領(lǐng)導(dǎo)、出差人員等能遠(yuǎn)程訪問內(nèi)部應(yīng)用系統(tǒng)的各種內(nèi)容，而且由于角色不同，每個人、單位所能訪問的內(nèi)容和權(quán)限也不盡相同，因此，需要在網(wǎng)絡(luò)層面上對遠(yuǎn)程訪問總部的應(yīng)用系統(tǒng)作出相應(yīng)控制，并對一些重要數(shù)據(jù)的訪問（比如股東、領(lǐng)導(dǎo)調(diào)用內(nèi)部重要數(shù)據(jù)；經(jīng)銷商錄入最新銷售數(shù)據(jù)）作通信的加密。IPSec分公司路由器配置：!Definethehostname.HostnameSecond_routerCryptoisakmppolicy6Encryption3desHashshaGroup2Lifetime28800Authenticationpre-shareCryptoisakmpkeyiamashareedkeyaddress0!configurestheIPsecahorespparameters.Cryptoipsectransform-setsecureDesesp-3desesp-sha-hmacModetunnel!configuretheiptrafficselectorswhicharetoencrypeAccess-list106permitip5555eqtelnetAccess-list106permitip550.0.2eqhttp!configureikephase2policy.CryptomaptoNAS12ipsec-isakmpSetpeer0Settransform-setsecureDESMatchaddress106Setpfsgroup2Setsecurity-associationlifetimeseconds3600!configureinternalnetworkIpaddressInterfaceBri0IpddressunnumberedEthernet0EncapsulationpppDialermapip0nameNASDialer-group1PppauthenticationchapCryptomaptoNASIPSec總公司NAS配置！definethehostname!HostnameNASCryptoisamkmppolicy6Encrypto3desHashshaGroup2Lifetime28800Authenticationpre-shareCryptoisamkmpiamasharekeyaddress!configuretheIPsecahorespparameters.Cryptoipsectransform-setsecuredesesp-3desesp-sha-hmacModetunnel!configuretheIPtrafficselectorswhicharetoencryptAccess-list106permitip5555eqtelnetAccess-list106permitip5555eqhttp!configureIKEphase2policyCryptomapprimary-router12ipsec-isakmpSetpeerSettransform-setsecuredesMatchaddress106Setsecurity-associationlifetimeseconds3600!configureinternalnetworkInterfaceethernet0Ipaddress0Interfaceserial0:23DescriptiontotheprimayCryptomapprimay_router55.255防火墻簡要配置語句步驟如下:第一步:防火墻端口設(shè)置NameIfEthernet()outsidesecurity0;命名ethernet()端口為外部端口Outside，且安全級別最低NameIfEthernet()InsideSecurity100;命名ethernet()端口為內(nèi)部端口inside,且安全級別最高。IPAddressOutside0;指定外部端口地址為外部合法IP地址IPAddressInside52;指定內(nèi)部端口地址為內(nèi)部保留IP地址第二步：全局地址指定Global(Outside)10netmask第三步：轉(zhuǎn)換內(nèi)部地址為全局地址池中合法IP地址Nat(inside)1第四步：內(nèi)外部地址靜態(tài)映射Static(Inside，Outside)0Netmask55.255.0第五步：允許指定外部主機訪問內(nèi)部SMTP郵件服務(wù)，拒絕其他所有主機訪問內(nèi)部所有服務(wù)。ConduitpermitTcphost0eqstmpanyConduitdenyTcpany第六步：設(shè)置路由協(xié)議RipOutsidepassive;外部端口不進行rip協(xié)議廣播RipInsidedefault;內(nèi)部端口網(wǎng)絡(luò)協(xié)議缺省為ripRoutOutside301RoutInside54第5章企業(yè)安全策略的設(shè)計與實施5.1物理安全控制建筑物和所處的前提條件：所有建筑物必須按照相關(guān)的防火和安全標(biāo)準(zhǔn)來構(gòu)建網(wǎng)絡(luò)機柜。所有網(wǎng)絡(luò)機柜必須進行保護，防止受到潛在的人為或自然災(zāi)害（如水災(zāi)，地震）的破壞。設(shè)備維護：所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備必須有備用電源供應(yīng)。所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備必須鎖在設(shè)備柜里，只有維護人員可以接近。物理訪問：只有網(wǎng)絡(luò)基礎(chǔ)設(shè)施操作維護人員有權(quán)訪問網(wǎng)絡(luò)機柜和機架。其他人員只有在網(wǎng)絡(luò)基礎(chǔ)設(shè)施操作維護人員的陪同下才能接近網(wǎng)絡(luò)機柜。所有網(wǎng)絡(luò)機柜必須安裝監(jiān)視攝像頭。有人員變動時必須更換網(wǎng)絡(luò)機柜的鎖。5.2基礎(chǔ)設(shè)施和數(shù)據(jù)完整性與防火墻配合使用的安全技術(shù)還有文件加密與數(shù)字簽名技術(shù)，它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性