当前位置:首页 >> 信息与通信 >>

网络仿真课程设计-企业网络系统安全需求分析与设计


CHANGSHA UNIVERSITY OF SCIENCE & TECHNOLOGY

《网络工程设计》课程设计论文 网络工程设计》课程设计论文

企业网络系统安全需求分析与设计

学 班

院 级

专 学

业 号

学生姓名

课程成绩

指导教师 完成日期

课程论文成绩评定
学 班 院 级 专 学 业 号

学生姓名 课程成绩

指导教师 完成日期

指导教师对学生在课程设计中的评价
评分项目 课程论文中的创造性成果 学生掌握课程内容的程度 课程论文完成情况 课程论文动手能力 文字表达 学习态度 规范要求 课程论文的质量 优 良 中 及格 不及格

指导教师对课程论文的评定意见

综合成绩

指导教师签字

2010 年 12 月 15 日

课程设计任务书
学院 课程名称 学生姓名 题 目 主要内容: 1) 了解企业建立网络安全系统的必要性; 2) 理解网络安全技术体系; 3) 掌握网络安全系统设计的方法。 网络工程 时间 指导老师 企业网络系统安全需求分析与设计 专业

要求:
(1)掌握网络网络系统安全设计的基本原理; (2)熟悉网络安全技术体系; (3)通过实际设计网络安全系统,掌握企业网络系统安全设计的方法与步 骤。 (4)按要求编写课程设计报告书,能正确阐述设计结果。 (5)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作 精神。 (6)在老师的指导下,要求每个学生独立完成课程设计的全部内容。

应当提交的文件: ①课程设计报告。 ②课程设计附件(源程序、各类图纸、实验数据、运行截图等)

企业网络系统安全需求分析与设计
学生姓名: 学生姓名:
摘 要

指导老师: 指导老师:

企业通过 Internet 可以把遍布世界各地的资源互联互享,但因为其开放性,

在 Internet 上传输的信息在安全性上不可避免地会面临很多危险。当越来越多的企业 把自己的商务活动放到网络上后,针对网络系统的各种非法入侵、病毒等活动也随之增 多。面临的这些信息安全问题的解决,我们需要设计出相应的解决方案。本课程设计主 要对企业网络系统安全进行网络基础安全、系统安全、应用管理安全及应用对安全系统 的要求等方面的需求分析,并确定企业安全系统实现的目标。最后提出企业网络安全系 统实施建议,建议包括系统设计的基本原则,安全系统实施的步骤,防火墙系统实施建 议,VPN 系统设计方案及防火墙系统集中管理方法也选型设计。本课程设计对企业网络 系统安全既进行了全面的需求分析也设计出了一个符合题目要求的网络安全系统, 初步 实现了设计目标,达到了预期的效果。

关键词

VPN;网络安全;防火墙;需求分析

目 录
1 概述 ...................................................................................................................... 1 1.1 企业建立网络安全系统的必要性 ...................................................................... 1 1.2 安全建议书的设计原则 ...................................................................................... 1 1.3 安全技术体系分析模型介绍 .............................................................................. 2 1.4 安全技术体系的理解及实践 .............................................................................. 3 2 应用需求分析 .......................................................................................................... 6 2.1 网络基础层安全需求分析 .................................................................................. 6 2.2 系统安全需求分析 .............................................................................................. 9 2.3 应用安全管理需求分析 ...................................................................................... 9 2.4 应用对安全系统的要求分析 ............................................................................ 11 3 安全系统实现目标 ................................................................................................ 13 3.1 网络基础层安全系统建设目标 ........................................................................ 13 3.2 应用辅助安全系统的建设目标 ........................................................................ 14 4 网络安全系统的设计 ............................................................................................ 15 4.1 系统设计的基本原则 ........................................................................................ 15 4.2 安全系统实施步骤 ............................................................................................ 15 4.3 防火墙系统设计 ................................................................................................ 16 4.4 VPN 系统设计 ................................................................................................... 21 4.5 防火墙系统集中管理 ........................................................................................ 24 4.6 防火墙选型设计说明 ........................................................................................ 24 5 结束语 .................................................................................................................... 15 参考文献 ..................................................................................................................... 30

企业网络系统安全需求分析与设计

第 1 页 共 30 页

1 概述
建设功能强大和安全可靠的网络化信息管理系统是企业实现现代化管理的必要手 段。如何构建企业安全可靠的网络系统是本课程设计的目的。 本课程设计是为企业提出的“网络安全系统设计方案” ,只针对网络基础设施安全 系统向企业提交网络安全的设计及设计实施方案,没有涉及其他部分的内容,如“数据 安全系统”等。

1.1 企业建立网络安全系统的必要性
毫无疑问,不需要任何形式的“说教” ,在信息和网络被广泛应用的今天,任何一 个网络管理或使用者都非常清楚, 所有被使用的计算机网络都必然存在被有意或无意的 攻击和破坏之风险。 企业的网络同样存在安全方面的风险问题。对于大多数网络黑客来说,成功地侵入 一企业特别是著名企业的网络系统,具有证明和炫耀其“能耐”的价值,尽管这种行为 的初衷也许并不具有恶意的目的;窃取企业的网络数据,甚至破坏其网络系统,更加具 有现实和长远的商业价值[5]。 因此,企业网络建立完善的安全系统,其必要性不言而喻。

1.2 安全建议书的设计原则
网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。 任 何安全系统必须建立在技术、组织和制度这三个基础之上。 在设计企业的网络安全系统时,我们将遵循以下原则: 体系化设计原则 通过分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系 分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。 全局性、均衡性、 全局性、均衡性、综合性设计原则 安全建议书将从企业网络整体建设角度出发,提供一个具有相当高度、可扩展性强 的安全解决方案;从企业的实际情况看,单纯依靠一种安全措施,并不能解决全部的安 全问题。本建议书将考虑到各种安全措施的使用。 本安全建议书将均衡考虑各种安全措施的效果, 提供具有最优的性能价格比的安全

企业网络系统安全需求分析与设计

第 2 页 共 30 页

解决方案。安全需要付出代价(资金、性能损失等) ,但是任何单纯为了安全而不考虑 代价的安全建议书都是不切实际的。建议书同时提供了可操作的分步实施计划。 可行性、可靠性、 可行性、可靠性、安全性 作为一个工程项目,可行性是设计企业安全方案的根本,它将直接影响到网络通信 平台的畅通;可靠性是安全系统和网络通信平台正常运行的保证;而安全性是设计安全 系统的最终目的。

1.3 安全技术体系分析模型介绍
安全方案必须架构在科学的安全体系和安全框架之上, 因为安全框架是安全方案设 计和分析的基础。 为了系统、科学地分析网络安全系统涉及的各种安全问题,网络安全技术专家们提 出了三维安全体系结构, 并在其基础上抽象地总结了能够指导安全系统总体设计的三维 安全体系(见图 1-1) ,它反映了信息系统安全需求和体系结构的共性。具体说明如下:
协协层层 安 全 管 理

层 用 应 安 全 链 管 物 理 传 网 输 络 路 理 层 层 层 层





访 问 控 制

数 据 完 整 性

数 据 保 密

抗 抵 赖



可 用



性 安全服服

通 信 平 台 网 络 平 台 管 理

安 全

系 统 平 台 应 用 平 台 物 理 环 境

系统单单

图 1-1 安全框架示意图 (1)安全服务 安全服务(X 轴)定义了 7 种主要完全属性。具体如下: 身份认证,用于确认所声明的身份的有效性; 访问控制,防止非授权使用资源或以非授权的方式使用资源;

企业网络系统安全需求分析与设计

第 3 页 共 30 页

数据保密,数据存储和传输时加密,防止数据窃取、窃听; 数据完整,防止数据篡改; 不可抵赖,取两种形式的一种,用于防止发送者企图否认曾经发送过数据或其内容 和用以防止接收者对所收到数据或内容的抗否认; 审计管理,设置审计记录措施,分析审计记录; 可用性、可靠性,在系统降级或受到破坏时能使系统继续完成其功能,使得在不利 的条件下尽可能少地受到侵害者的破坏。 (2)协议层次 协议层次(Y 轴)由 ISO/OSI 参考模型的七层构成。与 TCP/IP 层次对应,可以把 会话层、表示、应用层统一为“应用层” 。 (3)系统单元 系统单元(Z 轴)描述了信息网络基础构件的各个成分。 通信平台,信息网络的通信平台; 网络平台,信息网络的网络系统; 系统平台,信息网络的操作系统平台; 应用平台,信息网络各种应用的开发、运行平台; 物理环境,信息网络运行的物理环境及人员管理。

1.4 安全技术体系的理解及实践
贯穿于安全体系的三个方面,各个层次的是安全管理。通过技术手段和行政管理手 段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。 (1)安全体系的理解 在图 1-1 的安全体系分析模型中,完整地将网络安全系统的全部内容进行了科学和 系统的归纳,详尽地描述了网络安全系统所使用的技术、服务的对象和涉及的范围(即 网络层次) 。对于上图的理解,不妨简单说明如下: 安全服务是网络安全系统所提供可实现的全部技术手段; 网络协议是网络安全系统应该将所采纳之安全技术手段实施的范围; 系统单元是网络安全系统应该提供安全保护的对象。 作为一个现实的网络安全系统, 首先要考虑的是安全建议书所涉及的有哪些系统单 元,然后根据这些系统单元的不同,确定该单元所需要的安全服务,再根据所需要的安

企业网络系统安全需求分析与设计

第 4 页 共 30 页

全服务,确定这些安全服务在哪些 OSI 层次实现。 (2)构建安全系统的基本目标 在上述的三维结构的安全体系中, 安全服务维是向网络系统的各个部分和每一个层 次,提供安全保证的各种技术手段和措施。虽然并不是每一个应用网络都需要安全服务 维提出的所有手段,但是对于一个包含各种应用和具有一定规模的企业网络,这些安全 措施应该都基本具备,因此安全服务维所涉及的所有安全服务措施,是网络安全系统的 基本建设目标。 根据我们对企业网络系统应用现状的认识,以及未来将要实现的各种应用目标了 解,我们认为企业网络安全系统,最终需要全部实现图 1-1 中安全服务维所提出的基本 技术手段。 (3)网络安全系统的技术实施 构筑网络安全系统的最终目的是对网络资源或者说是保护对象, 实施最有效的安全 保护[1]。 从网络的系统和应用平台对网络协议层次的依赖关系不难看出, 只有对网络协议结 构层次的所有层实施相应有效的技术措施,才能实现对网络资源的安全保护。 针对一般网络系统的结构和应用要求,为了达到保护网络资源的目的,必须在网络 协议层实施相应的安全措施,如下表 1-1 所示。 表 1-1 网络协议层实施相应的安全措施 物理层 认证 访问控制 数据保密 数据完整性 不可抵赖性 审计 可用性 * * * * * * * * * 数据链路层 网络层 * * * * 传输层 * * * * 会话层 表示层 * * * * * * 应用层 * * *

说明:* 表示需要实施的项目

企业网络系统安全需求分析与设计

第 5 页 共 30 页

在本项目设计中,我们建议企业网络系统通过防火墙系统、VPN 应用系统、认证 系统和网络漏洞扫描及攻击检测系统实现表 1-1 中的安全手段实施。

企业网络系统安全需求分析与设计

第 6 页 共 30 页

2 应用需求分析
企业网络结构包括企业内部网络 Intranet 和企业外部网络 Extranet,外部网络连接 到 Internet,满足互联网访问、WWW 发布、外部移动用户应用等需求。本章将根据企 业网络系统的结构及应用,详细分析企业网络系统的安全需求。

2.1 网络基础层安全需求分析
网络基础层(在此网络基础层是指网络通信链路、路由/交换设备、网络节点接口 设备/网卡——包括了 OSI 物理层到传输层设备的集合)作为现代计算机信息系统不可 缺或的基础设施部分,其安全性是每一个用户最为关心的问题。从企业的应用网络结构 分析,企业网络层的安全涉及到 Internet 连接安全、广域网连接安全、应用系统内部资 源网络连接安全保护几方面的安全问题。 (1)Internet 连接安全保护 企业在网络应用中有三种情况需要进行 Internet 连接,即向外大众用户提供业务和 宣传信息服务、公司内部用户和外界的电子邮件往来、通过互联网在异地进行业务办公 的移动用户服务等。由此企业企业网必须向外“开门” ,象所有连接互联网的企业网一 样,企业网不可避免地存在,遭受到来自外部的恶意攻击和破坏、各种各样病毒传播的 可能性。因此,在 Internet 出入口连接点,必须采取措施进行保护 —— 布置防火墙系 统,对集团总部的 Internet 出入口实施有效的控制,包括进出的数据检查和资源访问的 控制。另外,仅仅设置 1 台防火墙,容易出现单点故障,为了保证网络对外的 7X24 小 时不间断服务,还必须考虑网络安全设备的冗余配置。 (2)广域网连接的安全保护 企业部分异地的下属企业和部门将通过广域网的方式与总部进行连接。 因此企业的 网络系统从其结构而言是一个在物理上广域连接的企业网络系统, 企业广域连接的网络 系统必须考虑两方面的安全措施: 网络通信加密(VPN 应用) 广域网络通信连接将通过第三方链路进行。 尽管租用电信或其他传输服务提供商的 专用链路传输数据的安全性会高于通过 Internet 传输,但是由于第三方提供的专用链路 所使用的设备是公共的,其安全性具有相对性,不仅在链路上传输的数据存在被窃取的 可能,同时也存在由于链路供应商安全管理和保护措施不完善的原因,导致被别有用心

企业网络系统安全需求分析与设计

第 7 页 共 30 页

者有可能通过盗接而非法访问网络资源的风险, 在国内就曾有类似的案件发生 —— 非 法分子通过在公共设备上偷偷接入自己的电脑,窃取了别人的股票交易帐户资料,盗用 他人的帐户进行证券交易而非法获利。 如果仅仅是窃取资料对于网络系统本身也许不会产生太严重的破坏, 但是假设盗接 者是一个恶意攻击者,即使仅仅是一个普通的网络高手,把在网络通信链路上截取的数 据进行篡改或者置换,再通过网络链路将属性被异动的数据对系统进行回放,其对网络 系统可能造成的破坏程度是用户无法预计的[4]。 现有的设备和技术手段要实现以上的非法目的不难, 如果仅仅是通过盗接来窃取资 料,只需要物理上存在接入的可能(实际上目前国内所有的链路服务供应商都存在比较 大的漏洞) ,就非常容易实现;即使是通过链路盗接进行恶意攻击的“高难度”动作, “网络高手”只需花很低的代价购买用于网络测试的专业设备和软件,就可在通信链路 上通过数据回放对网络系统实施攻击。 因此,为了消除这类风险的存在,企业网络安全系统必须能够对在广域网上传输的 所有数据进行加密(数据发出方)和解密(数据接收方)处理,即 VPN 应用。VPN 采 用 3DES 的加密算法,一方面可以使在广域网链路上传输的数据变成外来者不可“读” , 防止流失数据的信息泄露;另一方面通过 VPN 加密和解密的规则,可以对具有不良属 性的被异动数据进行过滤或使之属性失效,避免这些恶意数据对网络系统造成破坏。 防火墙保护应用 从网络系统的应用来说, 企业广域连接的网络系统实际上就是规模庞大的企业内部 网。在这种复杂的网络环境中实现对各类网络资源的有效保护和管理,仅仅利用现有的 网络来完成,显然是做不到的。因此在企业广域连接的网络系统内有必要引入防火墙的 应用,原因如下两方面。 其一,类似企业这种在物理上分布广泛的网络系统,每一个在地理上属异地的分支 机构或部门,甚至同属于一个地方(如总部)的不同机构和部门,其网络应用和管理都 有相对的独立性,因此在网络安全管理实施和执行上就很容易产生差异,从而出现网络 安全漏洞。虽然企业在网络实施和管理上可以强制性地要求企业内部网络到 Internet 的 接入为统一出入口,但是在网络的使用过程中,也许总部和个别管理严格的异地分支机 构和部门,可以比较容易地始终如一执行这一规章制度,却不能完全保证所有在网上的 用户因为一些别的原因使用了另外的途径进入 Internet,如异地机构的企业网络用户通 过向当地 ISP 供应商购买帐户使用 PSTN/ISDN/ADSL 拨号上网,这就等于给企业网络

企业网络系统安全需求分析与设计

第 8 页 共 30 页

为外部 Internet 的使用者提供了一个甚至多个“后门” 。这种“后门”对于别有用心的网 络黑客来说,是非常有用的,他们可以避开企业网络“门户”的防火墙系统,通过网络 的“后门”直接攻击企业网络的内部资源,这也是网络黑客最常用的攻击手段之一;在 国外就曾经有某个利益集团利用这一手法,获取了某国海关大量的内部资料,利用所掌 握的内部资料,达到其变相走漏海关关税的目的,而且这一手法在被发现的时候已经被 有效地利用了相当长的时间。所以在企业广域网内采取网络连接保护是必须的措施。 其二,内部网络连接安全保护。企业网内部处理和存放了几乎所有的企业数据和信 息,这些信息根据不同的应用被不同的对象使用,有许多信息系统会根据应用目的进行 分类独立使用(虚拟系统) ,而且其共享的用户范围也是有限制的,因此在网络上需要 有比较好的手段对内部用户进行信息资源访问的控制;另一方面,来自于企业内部的攻 击不容忽视,其成功的可能性要远远大于来自于 Internet 的攻击,而且内部攻击的目标 主要是获取企业的机密信息,这就更需要有措施对内部用户进行访问控制。 由此可见,在企业通过第三方专线连接的企业广域网内,实施网络安全保护是非常 必要的举措。能够有效地担负这一保护作用角色的是性能和功能强大的防火墙系统。因 此,本课程设计采用企业广域网系统配置内部的防火墙系统。 (3)虚拟连接广域网的安全保护 ) 对于企业众多的异地分支机构(规模比较小的) 、商业合作伙伴、出差在外的流动 用户,将其远程电脑或小规模 LAN 纳入企业网系统的接入模式,更多的将会采用通过 公共 Internet 的虚拟连接方式。 正如前面所言,这种连接方式尽管实现的代价和技术条件相对比较低,但其所能提 供的安全保证更加不可信赖。因此毫无疑问,同样的理由,这种连网方式的广域网,其 VPN 和防火墙的应用,比通过第三方专线链路更加迫切需要。 (4)其他安全保护辅助措施 ) 企业网络环境比较复杂,设备众多,这使管理人员查找和修补网络中的全部安全隐 患有相当大的难度。利用先进的技术、工具进行网络系统自身的脆弱性检查,先于入侵 者发现漏洞并及时弥补,以及建立实时入侵检测系统,是十分有效的安全防护措施,将 能极大提高、完善企业系统安全。在条件允许的情况下,我们建议企业网增加网络漏洞 扫描和入侵检测系统[1]。

企业网络系统安全需求分析与设计

第 9 页 共 30 页

2.2 系统安全需求分析
各种操作系统是应用运行的基础,应用系统的安全性,在相当大的程度之上受到操 作系统安全性的影响。目前运行大多数应用的各种操作系统,都是针对可以运行多种应 用来开发的,其开发要兼顾到各种应用的多个方面,在程序开发过程中,会出现一些人 为的疏忽,以及一些人为设置的后门等。这些人为的疏忽或者后门就成了操作系统的安 全漏洞。还有,安装在操作系统上的各种应用系统形成了一个复杂的环境,这些应用程 序本身设计的缺陷也会带来安全漏洞。另外,系统权限管理的松懈也是造成安全漏洞的 重要原因。 此外, 任何东西的特性都是两方面的, 只要恶意的破坏者掌握了系统的特性, 这些特性就可以被用来进行系统的破坏。 基于以上的原因,企业网络需要对总部的应用服务器进行操作系统和数据库的备 份,操作系统包括 Windows NT, Windows 2000,Solaris,Linux,数据库系统主要包括 Oracle,MS SQL 数据库。需要对这些系统进行系统安全漏洞的扫描和实时入侵的检测。

2.3 应用安全管理需求分析
应用层安全主要是对应用资源的有效性进行控制, 管理和控制什么用户对资源具有 什么权限。资源包括信息资源和服务资源。需要提高身份认证安全性的系统包括主机系 统、网络设备、移动用户访问、VPN 和应用层。 (1)主机系统 ) 包括企业总部和各下属公司中心主机、数据库系统,WEB 服务器、MAIL 服务器 等等,这些主机系统是公司网络系统的核心,存储着公司最重要的信息资源,因此,保 证这些主机系统的登录的安全是极其重要的。 目前企业的主机系统仍然沿用单一密码的身份认证方式, 这种简单的身份认证存在 以下安全隐患: 网络入侵者,很容易猜测或破解账号、密码,利用他人的帐户登录,进行非法 操作。 人员的流动、集成商自设等很多因素,使得每台主机系统上的多余帐户增加。 (2)网络设备安全管理 ) 企业全公司,网络设备(路由器、交换机)数量以数十甚至数百计。公司所有的业 务系统都是建立在网络设备基础之上的, 保证网络设备的安全是保证系统正常运行的首

企业网络系统安全需求分析与设计

第 10 页 共 30 页

要条件;而保护网络设备的安全,通常考虑的最多的是设备的冗余,而网络设备的配置 保护却不被重视,其实,当某一个人登录了网络设备(路由器、防火墙、VPN 设备等) , 将配置进行了更改,为以后非法的登录建立通道,对整个系统来说,所有的安全设施就 形同虚设。因此对登录网络设备的人员进行强的身份认证是完全必要的。 (3)移动用户的访问控制访问 ) 移动用户进入公司内部网络可以通过本地拨号连接公司的内部网络, 也可以通过互 联网的 ISP 接入公司内部网[6]。 对于企业来说,移动用户将基本上采用 VPN 的方式对内部进行访问,外出的员工 可以通过 Internet 渠道的方式进入公司内部网络,获取所需要信息资源或回送需要提交 的信息。而目前从终端上访问也是采用单一静态密码,从我们前面的分析来看,显然是 不安全的。 因此我们必须在移动用户访问上增加更加强大的手段对移动用户进行控制管 理。 (4)VPN 上的认证 ) 在网络系统将配置 VPN 系统,远程移动用户可以通过拨号连接本地 ISP,用 VPN Client 建立安全通道访问公司信息资源。 而 VPN 技术能够很好的解决系统传输的安全问题,极大的节约公司的费用,并且 使外部非法用户无法访问公司内部信息;但是,对于公司内部用户,由于 VPN 所提供 的用户认证机制依然是单一的密码方式, 使我们无法保证目前访问信息资源帐户和拥有 该帐户的员工的身份相符合,也就是说,还是存在内部用户盗用他人密码访问特定的信 息资源的安全隐患(可能这些信息资源是他无权浏览或更改的) ,因此,补充更强的身 份认证机制对 VPN 系统应用来说也是非常必要的。 (5)应用层安全保护 ) 这里的应用层,主要指企业的信息资源管理系统(ERP) 。在员工进入 ERP 系统时 需要输入用户名称和密码,同样的原因,单一静态密码的不安全性使得我们有必要在 ERP 系统上采用强的认证机制, 保证不同权限的、 不同级别的用户安全合法的使用 ERP 系统。 ERP 系统上单一静态密码的安全隐患主要有: 用户无法保证办公文件能正确的接受,在接受之前没有被其他人浏览过。 单一密码容易泄露,一旦密码泄露,其恶果可能会很严重。 高级别的用户在远程授权以后,需要及时地更改密码。

企业网络系统安全需求分析与设计

第 11 页 共 30 页

以上讨论了企业网络系统各个不同应用的安全认证问题,不难看出,上述的应用都 必须在原有的单一静态认证基础上,增加更加强大的认证手段,因此我们建议在企业网 络安全系统内引入动态认证机制,即动态的 SecurID。 加入的 RSA SecurID 必须提供通用的 API,使用户可以将 RSA SecurID 认证内嵌到 ERP 系统或其他的应用系统中,保证公司内部网络用户接收 MAIL 和文件的安全,验 证用户身份,并创建用户登录日志文件。 为了使系统的认证操作和对非法访问的拦截更加有效, 所有认证的转发和认证结果 的处理都由防火墙来操作完成,即对所有被认证系统认定为非合法访问的服务请求,通 过防火墙“掐断”其访问连接,而不是通过应用系统直接拒绝访问服务。这是防火墙系 统设计时必须考虑的可实现功能之一[4]。

2.4 应用对安全系统的要求分析
任何一个完整的网络安全系统,从其功能和物理层次来看,它将分别是网络基础设 施和网络应用系统的组成部分。防火墙作为网络基础设施的一部分,和其他网络设备一 样,其性能目标应该按照网络系统的应用要求进行选型设计。如果防火墙选型设计的不 恰当,即使网络其他设备的选型设计满足要求,同样也会因为防火墙的效率妨碍网络的 应用,严重的话会导致整个网络应用建设的失败,这已经是被事实证明的。因此,本设 计有必要针对企业的网络应用进行防火墙系统的要求分析。 (1)网络应用系统的现状及发展说明 ) 企业的网络应用包括了集团公司几乎所有的业务活动和管理方面的应用,例如 ERP、OA、财务、网络视频会议应用等等。 任何一个应用系统提供的应用, 都是依赖于网络的各个层次来实现应用信息的处理 和传送,应用系统最终是通过向所有的网络用户提供使用来达到其应用的目的。由此可 以看出从网络用户电脑(客户端)到应用系统平台(服务器端)的结构形式会对网络设 备(尤其防火墙)提出相应的要求;简单而言,不同的应用模式,对网络防火墙系统有 不同的技术指标要求。 企业网络目前的应用系统结构是 C/S 和 B/S 两种应用结构的混合形式, 主要的业务 应用系统现在是分布式的 C/S 结构。 现在正在进行的已有应用系统升级开发将使应用系 统从 C/S 结构向 B/S 结构迁移;新增加的应用系统开发,也是集中式的 B/S 结构。在未 来一两年内,企业的应用系统将大部分实现集中式的 B/S 结构模式。同时随着公司规模

企业网络系统安全需求分析与设计

第 12 页 共 30 页

的扩大和业务领域的拓展,目前已经在企业网络系统内应用的网络视频会议系统(对网 络的传输性能要求很高的应用系统)会随着系统应用规模的扩大,为网络系统带来越来 越大的数据传输压力。 以上两种主要的因素,在很大程度上决定我们在防火墙选型设计时对产品的取舍。 (2)面向应用系统的防火墙系统设计要求 ) 根据企业网络应用系统的现状以及未来系统的结构发展, 我们认为着重考虑企业的 B/S 结构应用特点,是防火墙系统技术指标设计的主要依据。[6] 众所周知,防火墙作为网络设备,对网络性能影响最为主要的是两个参数指标,一 个是防火墙的 TCP 连接处理能力(并发会话处理数) ,另一个是防火墙对网络数据流量 的吞吐能力(带宽参数) 。 B/S 结构的应用系统虽然具有管理简单,客户端开发、使用和维护的成本很低的优 点,但是在网络上 B/S 结构应用系统将会给网络带来巨大的网络流动数据处理压力,而 且是并发的。具体来说,B/S 结构的应用系统在网络上使用,会给网络防火墙带来数倍 甚至数十倍于 C/S 结构应用系统的并发 TCP 会话数量,而且这些会话绝大部分是包长 很短的“垃圾”IP 包。 由此可见,在设计企业防火墙系统时,足够大的 TCP 会话处理能力,是我们选择 防火墙(包括 VPN)产品考虑的主要因素。 通过对各类防火墙的比较分析,我们认为目前面向 B/S 结构应用的防火墙设备,硬 件防火墙是最为明智的选择。

企业网络系统安全需求分析与设计

第 13 页 共 30 页

3 安全系统实现目标
根据上一章的需求分析,从网络安全的技术手段而言,企业网的安全系统必须实现 从 Internet 和广域网进入内部资源网络的数据被有效检查和过滤、所有对内部资源网络 的访问可以被有效控制、移动用户从 Internet 进入内部网络进行业务操作的通信和通过 广域网进入内部网的用户通信必须加密、所有网络访问行为能够被记录和审计、非法访 问被预警和阻拦(条件允许时实施) 、应用系统平台及数据可以被有效备份以抗击灾难 风险、用户的身份的真实性认证等几方面的目标[4]。

3.1 网络基础层安全系统建设目标
网络层安全系统通过防火墙系统(带 VPN 功能)实现访问控制、网络信息检查、 通信加密、非法入侵检测和拦截,异常情况告警和审计几大功能目标。 (1)Internet 及 Extranet 进出口控制 ) 在国际互联网(Internet)和企业广域网(Extranet)的进出口,防火墙系统通过有 效的策略选择,可以阻断有害的网络数据和被禁止的数据源进入企业内部网络。 从互联网入口进入企业网的用户,可以被防火墙有效地进行类别划分,即区分为通 过互联网进入内部网的企业移动用户或外部的公共访问者, 对于要求进入企业内部网的 访问者进行用户的授权认证,拦截没有用户权限的访问者试图进入内部网。 对于通过 Internet 入口和广域网入口进入总部企业内部网或分支机构内部网的用 户,设置在网络出入口的防火墙系统不仅可以对访问者进行能否被允许进入的权限认 证,同时可以实现按照企业资源被访问权限划分的访问路由控制。对于内部或外部的本 企业用户而言,防火墙系统可以实现,企业各类资源的应用系统在逻辑上进行子网系统 的划分,即在技术上提供可以独立选择安全策略的虚拟系统划分。 (2)VPN 应用 ) VPN 应用是为网络通信提供有效的信息加密手段。 在企业网的 VPN 应用中,采用三倍 DES 的加密技术,这是目前可以获得的最先进 和实用的网络通信加密技术手段。 网络的 VPN 应用范围包括移动用户的客户机到企业网络 Internet 出入口的防火墙、 各分支机构的广域网出入口防火墙到集团总部广域网出入口防火墙。

企业网络系统安全需求分析与设计

第 14 页 共 30 页

(3)防火墙系统的功能实现要求总结 ) 网络层的安全保证是企业网络系统安全的最关键,因此在企业网络安全系统中,防 火墙系统是整个系统的最重要组成部分,它将担负完成大部分的安全服务(安全技术手 段)实现和执行的任务[1]。 传统的网络安全系统由于受设备功能和性能的限制, 在网络层 (从物理层到传输层) 所以系统的 很难全部由单一的防火墙或其他安全设备全部完成表 1 中提出的功能要求, 实施难度和费用(包括设备、人力投入和管理成本)会比较惊人。但是在今天已经出现 了满足网络层全部应用的、功能强大、性能优异的防火墙产品,如 Cisco 防火墙。 为了使企业的网络安全系统结构简化、建设成本降低,本建议书在网络防火墙系统 建设目标方面,提出了下表 3-1 的功能目标要求。 表 3-1 防火墙系统实现功能目标 物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 认证 访问控制 数据保密 数据完整性 不可抵赖性 审计 可用性 * * * * * * * * * * * * * * * * * * * * *

3.2 应用辅助安全系统的建设目标
应用系统的安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的 访问控制,具有审计和记录机制,确保防止拒绝和防抵赖的防否认机制。 对于重要的主机系统和应用系统、网络设备管理系统,在原有的静态密码认证管理 的基础上,增加动态密码认证管理系统,通过动态的密码方式实时不间断地验证所有访 问这些系统用户的真实身份。

企业网络系统安全需求分析与设计

第 15 页 共 30 页

4 网络安全系统的设计
基于以上的规划和分析, 企业网络安全系统按照系统的实现目的, 应分两个步骤 (两 期)分别实现以下各个安全子系统: 防火墙系统 VPN 系统 动态认证系统

4.1 系统设计的基本原则
实用、先进、可发展是安全系统设计的基本原则。 本建议书设计的安全系统首先是满足企业现有和可预见未来几年内的应用要求; 其 次是考虑在投资增加很少的前提下, 选择目前可以提供最先进技术手段的设备和系统方 案;最后要考虑实现的安全系统面对应用要有长远发展的能力。 防火墙系统作为网络出入口的内外连接控制和网络通信加密/解密设施,不仅需要 有足够的数据吞吐能力,如网络物理接口的带宽,也需要优越的网络连接的数据处理能 力,例如并发连接数量和网络连接会话处理能力等。以下的防火墙系统设计将根据这些 原则合理的设计系统。 本项目设计将重点对防火墙系统(包括 VPN 应用系统)提出设计建议。

4.2 安全系统实施步骤
任何一个网络应用系统在实施和建设阶段,在进行应用系统开发的同时,首先是考 虑网络基础设施的建设。防火墙系统和 VPN 应用系统作为现代网络系统基础设施的重 要部分,毫无疑问也是我们建设网络安全系统首先需要构架的系统。这也是我们设计企 业网络安全系统第一阶段需要完成的系统建设部分。 动态认证系统是对网络用户对具体的应用系统或网络资源访问控制的一种加强手 段。正如前面所分析,在防火墙配合的基础上可以更加有效地发挥其作用;另一方面, 动态认证系统是面向具体应用的访问控制辅助手段, 系统的实施范围和规模根据应用系 统的要求而决定。 所以设计的动态认证系统放在防火墙系统实施完成后的第二阶段来实 施。

企业网络系统安全需求分析与设计

第 16 页 共 30 页

同样,漏洞扫描和入侵检测系统作为防火墙系统的辅助系统,可以有效地提高防火 墙系统发挥的安全保护作用;漏洞扫描和入侵检测系统所发挥的作用,最终要靠防火墙 系统的作用来体现,因为漏洞扫描和入侵检测系统“检查”和“侦测”得到的非法访问 和恶意攻击,需要防火墙系统对其实施控制和拦截。所以设计也将漏洞扫描和入侵检测 系统放在防火墙系统建设完成后的第二阶段实施。

4.3 防火墙系统设计
防火墙系统是在网络基础层以上(OSI/ISO 网络结构模型的 2 至 7 层)提供主要的 安全技术服务手段,如表 3-1 所示。这些安全服务包括了访问认证、访问控制、信息流 安全检查、数据源点鉴别等技术手段[5]。 在网络边界设置进出口控制,可以防御外来攻击、监控往来通讯流量,是企业网络 安全的第一道关卡,其重要性不言而喻。网络防火墙系统从其设置的物理位置来说,最 恰当的位置就是网络物理边界的出入口。所以可以说,网络安全系统最为关键的组成部 分实际上是利用上述的各种技术手段,通过对网络出入口的控制实现安全服务的目的。 本课程设计我们采用防火墙来对企业网络的进出口进行控制,包括 Internet 进出口 控制和广域网进出口控制。 (1)Internet 进出口控制 ) 绵阳总部是整个企业的中心最重要网络,通过广域网链路连接分布在各地的分部, 开展各种业务应用,并采用专线连接互联网获取有用信息。从安全和管理角度考虑,建 议只在总部设立一个 Internet 出口,各地分部统一通过总部访问互联网。 Internet 接入结构 如下图 4-1 典型的企业应用所示,总部在 Internet 出口设立防火墙系统。为避免单 点故障,防火墙系统采取双机模式构建。每台防火墙均提供 4 个网络接口,分别连接 Internet,中立区和内部网络两台中心交换机。来自 Internet 的光纤专线将通过一台交换 机与两台防火墙的外网口连接。中立区也需增加一台交换机,用于连接两台防火墙的中 立区口、WWW 服务器、邮件服务器等。

企业网络系统安全需求分析与设计

第 17 页 共 30 页

Internet

交换机 交换机 防火墙

Si

Si

中心交换机

WWW服务器 客户访问服务器

内部网络

图 4-1 典型的企业应用 防火墙系统选型设计 经过对多家防火墙厂商设备的综合比较,本建议书推荐采用 Cisco 公司的防火墙产 品。 简要介绍 Cisco 公司和它的防火墙产品 我们设计企业 Internet 出口处采用两台组成双机模式的 Cisco 防火墙 (以 PIX515 为 例) 。PIX515 防火墙吞吐量高达 xxxbps,提供 xxx 接口,xxx 链接数,xxxVPN 处理能 力,支持透明模式、双机备份、负载均衡、图形管理等,流量控制功能为网络管理员提 供了全部监测和管理网络的信息,诸如 DMZ,服务器负载平衡和带宽优先级设置等先 进功能,使 PIX 独树一帜。其详细特点如下:
?

提供了防火墙的全部安全功能(如防止拒绝服务攻击,Java/ActiveX/Zip 过滤, 防 IP 地址欺骗……)并结合了包过滤、链路过滤和应用代理服务器等技术

? ? ? ? ?

网络地址转换(NAT) :隐藏内部的 IP 地址 动态访问过滤(Dynamic Filter) :自适应网络服务保护 URL 地址的限定:限制站点的访问,过滤不需要的网站 用户认证(Authentication):只允许有授权的访问 符合 IPSec:可与其他厂家的设备交互操作

企业网络系统安全需求分析与设计

第 18 页 共 30 页

? ? ? ? ? ? ? ? ? ? ?

IKE 密钥管理:保证密钥交换 DES 和三级 DES:最高等级的加密、解密 流量带宽控制及优先级设置:按您的需求管理流量 负载平衡能力:管理服务器群( Server Farms) 虚拟 IP:将内部服务器映射为可路由地址 实时日志及报警纪录:实时监控网络状态 透明的,无 IP 地址设置:无须更改任何路由器及主机配置 自带 Web 服务器:方便地通过流行的浏览器进行管理 图形界面:可关闭远程的管理方式,只用本地的、安全的管理 SNMP 管理方式:通过网络管理软件管理 命令行界面:支持批处理方式及通过调制解调器的备用渠道进行控制 两台 PIX 防火墙采取双机热备方式工作, 任何一台防火墙出现故障, 其任务由另一

台防火墙自动接管,避免单点故障造成企业无法上网的情况发生,保证网络的无间断运 行[4]。 企业的 Internet 应用除了浏览互联网和 WWW 发布外, 外出员工对公司的访问也将 通过 Internet 进行。为允许合法用户访问公司网络,同时确保通过 Internet 进行的业务 应用的安全性,我们建议采取 VPN 通讯方式。利用 PIX 防火墙的 VPN 功能,终端工作 站安装 PIX ASDM 软件或者利用 WIN2000 操作系统对 VPN 的支持,可以实现企业远 程办公的安全需求。 PIX ASDM 是一种在用户主机 (桌面或笔记本电脑) 上运行的软件, 简化了对网络、 设备或公共或非信任网络中其它主机的安全远程接入。通过采用 IPSec 协议和第二层通 道协议[L2TP], 并以证书作为额外的选项, 可以实现安全性。 为了构建安全的通信通道, ,或与运行 IPSec 兼容 必须把这一软件与 IPSec 网关结合使用(如 PIX 家族安全设备) 软件的另一台主机结合使用(如 ASDM) 。PIX-ASDM 支持 Windows 95, 98, NT, 2000 系统。 (2)广域网进出口控制 ) 企业具有多个地理上分散的分部,各分部和总部之间租用电信专线互联,形成以总 部为中心的集团广域网。分散的企业给网络安全管理造成了一定的难度,而且企业内部 攻击的成功可能性远大于外部攻击,造成的危害更严重,因此全方位的网络保护是不仅 防外,还应防内[3]。

企业网络系统安全需求分析与设计

第 19 页 共 30 页

企业内部防范主要是确保总部和各公司的安全,加强广域网的进出口控制,我们应 在总部及各分部的广域网出口处配备防火墙来加强内部网络保护,见下图。该防火墙系 统起到防御内部攻击、阻止入侵行为进一步扩大升级的作用,避免某段网络范围内发生 的入侵破坏扩大至整个企业网络,把来自内部攻击造成的破坏减低到最低程度,保护其 它网络部分的正常工作。 根据企业升级后的网络拓扑结构,广域网链路和设备都具备了较强的冗余备份能 力,总部的路由器和中心交换机配置均采取了双机热备方式。考虑到总部的广域网防火 墙是位于路由器和中心交换机之间,所以也必需做冗余配置,否则会成为广域网设备中 的单点故障点,使路由器和中心交换机所做的备份措施失去意义。如图 4-2 所示。
LAN
Si Sii S

中心交换机 防火墙 路由器

数字链路专网

路由器 防火墙 中心交换机 LAN

路由器 防火墙

路由器 防火墙 中心交换机 LAN

......

中心交换机 LAN

分公司

分公司

分公司

图 4-2 企业网络拓扑图 企业广域网存在 ERP、VoIP、视频会议等各种高带宽应用,特别总部是整个企业网 络的数据中心,进出的信息流量庞大,推荐采用两台处理性能很强的 PIX525 防火墙, 实现冗余备份(Active-Active 方式)和负载均衡。每台防火墙基本配置含 4 个 100M 或 1000M 端口,分别连接两台路由器和两台中心交换机。 PIX525 是一个高性能、高度可靠、高度冗余的平台。PIX525 拥有 XXXM 线速处 理能力,XXXM 的 3DES VPN 流量,强健的攻击防范功能。PIX525 特别适合带宽要求 高的大型企业环境。

企业网络系统安全需求分析与设计

第 20 页 共 30 页

(3)虚拟连接广域网出入口控制 ) 通过公共互联网虚拟连接的企业网,连接的两端(总部和分部)由于其承担的工作 角色和工作量有比较大的差异,因此,出于实用和经济的角度考虑,本方案建议网络接 入 Internet 的结构采取不同方式和档次的设备方案。 总部的接入设计 前面已经对企业总部的 Internet 出入口控制防火墙系统进行了设计,同样的连接应 用结构也可以应用到通过 Internet 提供虚拟网络的接入。也应使用前面的设计方案,在 此不做重复的说明。 在总部的物理出入口, 可以是对外提供公共服务的出入口与企业虚拟连接广域网的 接入口为同一个物理接口,即由同一个 Internet 公网节点提供连接;也可以是各自独立 的接口,即由不同的公网节点提供连接服务。前者需要将总部的公网出入口控制防火墙 的档次提高 (至少选择 PIX515 以上的档次) 这是由于通过这种虚拟连接方式接入企业 , 各地分部或商业合作伙伴有近千家, 只有配置更高档的防火墙才能满足系统应用的性能 要求,如同时支持的 VPN 通道数量、会话处理能力、网络接口带宽等等。后者的模式 是再增加一个结构与前面设计相同的公网接入物理接口,与前者同样的理由,向企业各 分部或商业合作伙伴提供虚拟连接的出入口, 其控制防火墙也需要配置功能强大和性能 优异的设备, 应选择档次为 PIX515 以上的防火墙产品, PIX515 或 PIX525, 如 PIX535[1]。 分部的接入设计 由于分部通过公网虚拟连接接入总部网络网络的应用, 考虑其数据量和应用的要求 不高,而且这种非物理专线方式接入所提供的网络通信带宽也很有限,通常只有几十或 几百 K,因此在企业各异地分部建议采用功能满足系统实现目标、性能相对较低的防火 墙设备。本设计方案选择 PIX515 防火墙配备各分部。 (有关 PIX515 防火墙建立虚拟网 络的组网说明请参考 VPN 系统的设计说明) 。 (4)防火墙接口属性和安全级别配置 ) PIX515(config)#nameif ethernet0 outside security0 //在缺省配置中,以太网口 0 被命名为外网接口(outside) ,安全级别是 0。安全级 别取值范围为 1~99,数字越大安全级别越高// PIX515(config)#nameif ethernet1 inside security100 ,安全级别是 100// //设置以太网口 1 被命名为内网接口(inside) PIX515(config)#nameif dmz security50

企业网络系统安全需求分析与设计

第 21 页 共 30 页

//设置非军事区口(dmz)安全级别是 50// //如果需要添加新的接口,语句可以这样写: PIX515(config)#nameif pix/intf3 security40

4.4 VPN 系统设计
VPN 系统在企业网络系统中应用的目的是在一个非信任的通信网络链路或公共 Internet 建立一个安全和稳定的隧道。 虽然在应用逻辑上,VPN 和防火墙是两个独立的应用系统,但是对于先进的防火 墙设备,两者是合并在同一个物理设备上的,这样的不仅可以使系统的结构和实施简单 化, 而且可以大大地提高系统的应用效率。 在本方案设计采用的 PIX 防火墙就是这一种 设备。PIX 防火墙可以提供表 3-1 所列在网络基础层所提供的认证、数据加密和数据完 整性的安全服务手段。 (1)广域网链路加密 ) 企业公司总部与各地分部之间的网络向 ERP、视频会议、VoIP 等多种业务应用提 供传输服务支持,大量的业务数据通过广域网传输,需要保证数据传输的安全可靠性, 不被偷听窃取和恶意篡改。 在前面广域网进出口控制一节的方案中,PIX 产品集防火墙、VPN 功能于一体,它 可以充当 VPN 网关而无需增加任何组件。企业可直接通过总部 PIX 高端防火墙和各分 部的中端 PIX(建议采用 PIX515)防火墙,在总部与各分部之间建立起 VPN 通道,加 密广域网传输的数据。PIX 防火墙在 VPN 应用上有出色的性能,例如 PIX515 能够提供 XXXM 的 VPN 吞吐量和 XXX 条专用隧道, PIX525 能够提供 XXXMbps VPN 处理能力 和建立 XXX 条隧道。 (2)虚拟连接组网建议 ) 在虚拟连接广域网出入口控制的设计中,我们在企业所有通过公共 Internet 虚拟连 接的分部或商业合作伙伴, 采用 PIX515 防火墙连接接入公网。 PIX515 的防火墙和 VPN 应用都能满足本设计方案提出的系统实现目标要求。[6] PIX 不仅具有防火墙和 VPN 的实用功能,同时提供了在网络应用上的功能,这些 功能在小部门的网络互联(LAN to LAN)应用中非常实用,它使 PIX 在网络互联中承 担了互联“网关”的作用,从而省缺了这些小部门之间的 LAN 互联时需要配置价格不 菲高层交换和路由设备。这是 PIX 在本方案安全应用中非常有用的意外增值。在此,针

企业网络系统安全需求分析与设计

第 22 页 共 30 页

对 PIX 的其他应用作如下说明: 组网条件及设备 企业异地小机构的网络或单机电脑可以通过接入 Internet,获得静态或动态的公有 或私有 IP 地址;企业总部有对外的固定的公共互联网 IP; 作为建立连接的公网 IP 的防火墙需要使用 PIX 高端的产品作为中心控制设备,出 于高可用性的考虑,建议配置中心防火墙的备份(如下图所示右边带阴影的设备) ; 连接分支端的网络设备选用 PIX515 产品; 组网原理及联网功能 组网原理如下图 4-3 示:

图 4-3 组网原理图[6] 上图中,所有接入互联网的 PIX515(公网 IP 地址或私网 IP 地址) ,通过总部的防 火墙 PIX535 系列(公网 IP)建立以下几种网络连接(LAN-to-LAN) : 所有分支机构 LAN 与总部 LAN 之间的加密、认证(VPN)连接(如上图中的黑色 实线) ; 所有通过 5XP 连接的 LAN 互相可以建立通过中心防火墙路由的 LAN 加密虚拟连 接,即 Hub&Spoke 方式的 VPN 连接(如上图中的蓝色和绿色虚线) ; 为防止中心点因为各种原因而导致防火墙不可访问,从而造成分支点之间的互访障 碍,可以配置一个冗余中心,提高整个网络的高可用性(如上图中的长虚线连接所示) ; 特殊需求情况下,可以直接建立不经过中心防火墙路由的直接的 5XP 之间的 LAN-to-LAN 加密 VPN 连接(上图中的红色虚线) 。

企业网络系统安全需求分析与设计

第 23 页 共 30 页

以上的各种联网方式,可以通过我们提供的管理程序套件,用人工方式实现,或对 用户“透明”的自动方式实现。 优点 不需要向链路服务供应商租用价格昂贵的专线或者申请数量巨大的公网 IP (实 际上不可能) ,就可以实现企业网络的广域连接; PIX515 可作为分支机构的路由网关, 实现各子网间的跨网段 (非公有的企业私 有网址)访问,在小型的分支机构 LAN 内无须配备路由和高层交换设备[1]; 基于 Keep – Alive 消息保持的网络 VPN 连接的连续状态; 这种网络连接提供所有基于 LAN to LAN 连接支持的各种网络服务,如 MS Windows 的共享权限相互访问彼此的资源(网上邻居) 、H.323 传输服务、 Net-meeting 等等; PIX515 提供网络连接的流量管理, 即在公网的传输效率保证的前提下, PIX515 提供基于策略的最小带宽保证、带宽限制、优先级带宽使用等管理功能; 通过 PIX515 的管理策略, 可以使分部的用户在使用 Internet 服务和企业网虚拟 连接之间进行“透明”的区分,而且同时使用又相互不影响。 企业的应用建议 目前许多分支机构与总部之间的数据传送通过长途拨号 MODEN 传输或互联网的 邮件服务方式进行,这种方式不仅费用高,而且永远实现不了实时的集中管理,相信企 业希望有一个更加实用的解决方案。 如果在总部配置一台 NS1000 的高性能防火墙,异地分支机构配备一台 PIX515, 就可以实现所有分支机构和总部的实时联网,所有分支机构的员工就象在总部办公一 样,这对总部对分支机构的管理将是一个极大的飞跃。此外,通过这一种网络的虚拟互 联,可以实现总部与分支机构间的免费 IP 电话、IP 传真通信,甚至用非集中的网络视 频会议就可以代替大部分的人员集中式、花费很高的各类会议;两个或多个业务有直接 连接的异地机构或部门不需要占用总部的网络资源实现网络连接;等等。 (3)虚拟连接通信加密 ) 分部的 PIX515 和总部的高端防火墙之间,可以建立 3 倍 DES 的 VPN 通道。VPN 通道可实现网络通信数据的加密和认证,并且提供保证数据完整性的技术手段[4]。

企业网络系统安全需求分析与设计

第 24 页 共 30 页

4.5 防火墙系统集中管理
企业具有多个地理上分散的下属企业,为了保证企业内部网络的安全性,在前面的 章节中我们建议总部及各分部建立相应的防火墙系统。 这个分散的防火墙系统的设置和 管理就显得非常重要,因为它某一处的漏同将影响整个企业 Intranet 的安全性。 在此防火墙系统的管理上,有分散和集中两种方式。分散方式让各下属企业管理各 自的防火墙。此方式在大型企业中存在较大的缺点,首先它对各下属企业的网络管理员 要求非常高,相应提高了企业的管理成本;其次,当下属企业较多时,由于各自制定安 全策略,存在安全隐患较大,同时,当出现安全问题时,由于没有实现统一监控,很难 判断问题出现在何处,从而不能及时解决问题。集中方式将对所有防火墙实现集中的管 理,集中制定安全策略,这将很好的克服以上缺点。 故推荐企业对防火墙系统实行统一的管理。

4.6 防火墙选型设计说明
在企业网络安全系统中,作为当今网络基础设施的重要组成部分,防火墙系统是最 重要的系统部分。防火墙选型设计建议书的优劣,不仅对实现企业网络系统的安全设计 目标起着决定性的影响,而且会对整个网络系统的应用效率产生极大的影响[2]。 正如前面所提到的,企业的网络应用模式在近期的一两年后会最终全部过渡到 B/S 的应用结构模式,而且除了各类业务应用外,在企业的网络系统中还将存在音视频的实 时应用。因此针对这些应用的网络连接应用和数据传输的特点,本建议书在充分考虑所 选择的设备安全性能的因素同时,还重点考虑所选设备的网络处理能力。 为了使防火墙设备的选型达到一个比较理想的结果, 在此有必要对防火墙的选型作 比较详细的说明。 (1)评价防火墙产品的基本要素 ) 只有清楚如何评价防火墙产品优劣的方法, 或者了解评价一个防火墙产品的基本要 素,在网络安全系统设计中,才能作出一个最合适的选型设计。[5] 评价一个防火墙产品优劣所设计的因素(或者技术要素)很多,很难有一个大而全 的评价方法和测试手段对防火墙产品的每一个方面进行完全的评价。 我们只能对防火墙 产品的几大方面进行评价。 对防火墙产品的评价一般是从安全性(侧重功能方面) 、技术性能指标、管理的方 便性等几方面综合评价。

企业网络系统安全需求分析与设计

第 25 页 共 30 页

(2)评价防火墙的一般方法 ) 根据上节提到的几个方面,利用具有代表性的、被大部分产品制造商和用户认同的 网络环境对防火墙产品进行客观测试,其结果基本上可以反映产品的优劣真实情况。 本设计考虑企业的网络应用特点,按照以上介绍的几方面要素,从以下几方面比较 评价防火墙产品,如下表 4-1: 表 4-1 防火墙产品评价 评价类别 评价及比较项目 1. 管理接口是否简单易用 。 Management 2. VPN tunnel 的建立过程是否简单 。 3. 各家产品可否互通(互通性测试) 1. 系统是否有安全漏洞 。 Security 2.系统被攻击时是否会 log 起来 。 3.攻击 DMZ 内主机时,系统是否会将攻击型态 log 起来,甚至 替 DMZ 内主机阻挡攻击 。 1. NAT 开启及关闭时的无封包遗失最大输出性能(no-loss max Packet Firewall Level throughput)及封包延迟(latency)。 2. 10 及 100 条防火墙规则时的无封包遗失最大输出性能及封 包延迟。 1. 10 及 100 条 URL entries 时,一个 web client 每秒钟所能建 URL Level Firewall 立的连结数(connection)与输出性能(throughput)。 2. 10 及 100 条 URL entries 时的最大连结(connection)数、输 出性能以及交易延迟(transaction latency)。 1.启及关闭 Java / ActiveX / JavaScript 时,一个 web client 每秒 Content Level Firewall 钟内所能建立的连结数与输出性能 。 2. 开启及关闭 Java / ActiveX / JavaScript 时的最大连结数、输出 性能以及交易延迟 。 1.建立 1 个 LAN-to-LAN tunnel 时的无封包遗失最大输出性能 及封包延迟 。 VPN 2.建立 20 个 LAN-to-LAN tunnel 时的无封包遗失最大输出性 能及封包延迟 。

企业网络系统安全需求分析与设计

第 26 页 共 30 页

(3)几种流行防火墙产品的比较 ) 附件为独立的第三方测试机构的评测报告,有的侧重于功能比较,有的侧重于性能 参数比较,供参考。我们可以得出结论:从我们对防火墙产品的认识,以及参考第三方 的测试结果来看, 在设计企业网络安全方案时, 选择 PIX 的防火墙是目前最佳的选择[4]。 PIX 防火墙主要安全解决方案功能介绍: HA HA 高可用性是 PIX 产品的最重要功能之一 VSYS PIX 允许在一台物理防火墙中创建多个虚拟防火墙系统, 每个虚拟系统拥有独立的 地址簿、策略和管理等功能。虚拟系统与 802.1q VLAN 标记相结合,把安全域延伸到 整个交换网络中。PIX 设备和相应的 VLAN 交换网络,可以表现为多个具有完全安全 特性的防火墙系统。优点:简化网络结构、降低维护成本。基于 VLAN 的逻辑子接口, 除了配合不同的 Vsys 通过一个物理接口连接到多个网络外,还可以单独使用,其表现 就像一个独立的物理接口一样具有众多的可配置特性。 防火墙系统会识别带由 tag 的帧, 并转换成正常的以太帧进行防火检测、路由、策略等基本操作[5]。 Mode PIX 产品有三种工作模式:Transparent,Route,NAT。三种工作模式下,所有用户 和服务器上现存的应用程序都不需修改。 Transparent 方式可以将防火墙无缝隙地下装到任何现存的网络,而无须重新编号, 无须重新设计网络, 也不必要停工。 在这种方式下, 防火墙将相同子网的网段桥接起来。 防火墙建立一个 MAC 学习表,自动地自学哪些帧要进行转发,哪些帧要忽略。对要转 发的帧,再进行状态检查,实现防火、VPN、流量管理等基本功能[6]。 Route 方式能够在无须地址转换的网络之间插入防火墙。这种方式可用于保护同一 企业网内部的局域网,免遭内部人员的偷窥或盗窃。防火墙的作用相当于一台路由器, 同时执行严格策略检查、攻击检测等。Route 方式下可以同时实现 NAT 功能。 NAT 方式用在需要做私有地址到公有地址转换的网络环境中。 三种工作模式下的网络环境示意图如图 4-4:

企业网络系统安全需求分析与设计

第 27 页 共 30 页

图 4-4 三种工作模式下的网络环境[6]

流量控制功能 PIX 防火墙的技术核心是 ASIC,可以硬件完成三大功能:防火墙、VPN、流量管 理。流量管理允许网络管理员实时监视、分析和分配供各类网络流量使用的带宽,确保 在部分用户使用网络时不会损害关键业务型流量。 PIX 专利流量算法可以精确控制带宽 分配: 设置有保障的带宽和最大带宽, 类似于帧中继的带宽管理性能; 通过 8 级优先级, 为流量分配优先权;Diffserv。 PIX 防火墙对流量的控制是基于 Policy 的。 因为防火墙对 Policy 的控制可以根据源 地址、目标地址、源端口、目标端口、以及时间段等多种相当灵活的因素,因此对流量 的控制也是高度灵活的[2]。 应用流量控制,可以防止某些应用或某些用户无限制的消耗带宽,或防止某些攻击 耗尽带宽,而有效的、有目的地合理分配。 针对企业网络,本设计建议采用的解决方案如下: 不改动现有网络设置[1],如表 4-2 所示: 网络设置( 表 4-2 网络设置(一) Mode 应用 PIX 设备的 VSYS Transparent 模式下 HA Transparent 适合的PIX设备 PIX515 PIX525

Transparent 模式, 可以 不 支 持 对 VSYS 的 支 模式下 PIX 防

企业网络系统安全需求分析与设计

第 28 页 共 30 页

保持现有的网络设置, 持,但支持 VLAN tag, 火 墙 可 以 支 持 而无需做任何改动。 可以配合局部的交换机 Active-Passive 使用,由交换机区别不 的 HA 同部门或不同的应用

PIX535

改动现有网络设置(或新建设的网络)[1],如表 4-3 所示: 网络设置( 表 4-3 网络设置(二) Mode 应用 PIX 设备 VSYS Route 模式下支 HA Route 模 式 下 适合的 PIX 设备 PIX515/525/ 支 持

的 Route 模式, 只需 持 VLAN tag, 可以配 PIX 防火墙可以支 535

改动原有网络的路 合 局 部 的 交 换 机 使 持 Active-Passive 的 Active-Passive 由信息。 用户原先的 用,由交换机区别不 HA 以 及 HA;

应用设备不需改动 同 部 门 或 不 同 的 应 Full-Meshed 配置。 用;同时支持 VSYS, Active-Active HA, 可以把 PIX 防火墙虚 从高可用性和性能 拟成多个逻辑防火墙 的角度来综合考虑, 供不同的部门或不同 建 的应用使用 议 采 用

Full-Meshed Active-Active HA 方 案

企业网络系统安全需求分析与设计

第 29 页 共 30 页

5 结束语
课程设计目的在于开阔眼界,把课本知识付诸实际实践,给予学生处理实际问题的 机会,而不应该只是一味地从网上搜索,这种快餐式文化,显然是与课程设计的目的背 道而驰的。但应该适当利用网上资源,参考前人的思路,提取优点,然后再用自己的思 路进行设计。对大四学生来说,更应该重视与珍惜课程设计,因为这是个很好的实践机 会,然后应该深入了解题目,理清思路,通过课程设计培养联系实际和解决实际问题的 能力。 通过这次计算机网络工程课程设计,我更加充分的理解了课本上的知识,对企业网 络安全有了透彻的理解,掌握了设计网络安全系统的基本步骤,尤其是慢慢学会了如何 进行应用需求。此外对网络安全系统的防火墙系统设计管理及 VPN 设计也有了深入的 了解,通过这次课程设计提高了我解决问题的能力,巩固了我网络专业的知识,再一次 体会到课程设计所需的耐性和认真!也认识到计算机网络工程并非是对书本知识的生搬 硬套,它需要以书本知识为基础再加以拓展和延伸,灵活运用最为重要! 这次计算机网络工程课程设计历时两个星期,在这些日子里,我学到很多很多的的 东西,同时不仅可以巩固了以前所学过的知识,而且学到了很多在书本上所没有学到过 的知识。通过这次课程设计使我懂得了理论与实际相结合是很重要的,只有理论知识是 远远不够的,只有把所学的理论知识与实践相结合起来,从理论中得出结论,才能真正 为社会服务,从而提高自己的实际动手能力和独立思考的能力。在设计的过程中遇到问 题,发现了自己的不足之处,对以前所学过的知识理解得不够深刻,掌握得不够牢固。 为了完成课程设计,而且解决企业网络安全系统需求分析及设计的资料比较少,我花费 了很多的时间去看相关书籍,查找了很多网页。由于有《计算机网络设计》这门课程做 基础,在上课时学到了许多相关的知识,最终这次课程设计还是比较顺利地完成了。

企业网络系统安全需求分析与设计

第 30 页 共 30 页

参考文献
[1] 易建勋. 计算机网络设计[M] . 北京:人民邮电出版社,2009 [2] 蔡学军, 梁广民, 王隆杰, 张立娟. 网络互联技术[M]. 北京: 高等教育出版社, 2007 [3] 沈海娟. 网络互联技术—广域网[M] . 北京:浙江大学出版社,2006 [4] 范刚,章千. 中小型企业网络安全方案. 北京:电子工业出版社,2002 [5] Doyle Jeff,Carroll J.D. 夏俊杰译. 网络安全技术(第二卷)[M]. 北京:人民邮电出 版社,2009 [6] 邱禄瑞 徐晓. 企业 CIMS/MIS 下的网络系统设计方案. 汽车科技,2002


相关文章:
网络仿真课程设计-企业网络系统安全需求分析与设计
网络仿真课程设计-企业网络系统安全需求分析与设计_信息与通信_工程科技_专业资料。本课程设计主要对企业网络系统安全进行网络基础安全、系统安全、应用管理安全及应用对...
企业网络系统网管需求分析与设计课程设计初稿(模版2)
系统网管需求分析与设计 学生姓名:李雪婷 指导教师:刘青 摘要:此企业网络系统网管需求分析与主要设计思想为,设计使用二层交换机+路由器来 实现 VLAN 间通讯的网络...
企业网络系统网管需求分析与设计课程设计初稿
企业网络系统网管需求分析与设计课程设计初稿_计算机硬件...(4)安全管理 保证网络管理系统正确运行,保护被管理...网络仿真课程设计-企业网... 35页 7下载券 网站建设...
网络课程设计与开发 需求分析
网络课程设计与开发 需求分析_远程、网络教育_成人教育_教育专区。仅供参考《MS Office 高级应用》网络课程需求分析课程设计一、课程概述 MS Office 高级应用是隶...
企业网络设计方案课程设计
课程设计(大作业)报告 课程名称:计算机网络 设计题目:企业网络设计方案 院班系:...一、需求分析设计 二、网络系统的方案设计 三、各楼的 IP 地址分配 四、LAN ...
公司网络安全设计方案
1.3 需求分析 通过了解华城网络公司的需求与现状,为实现华城网络公司网络安全 建设实施网络系统改造, 提高企业网络系统运行的稳定性,保证企业各种设计信 息的...
中小企业网络设计与实现(毕业论文)
中小企业网络设计与实现(毕业论文)_管理学_高等教育...以保证网络 使用安全 5、高带宽专线接入 Internet,...网络中心的设备配置各高校可根据方案的“需求分析”...
网络工程课程设计组网-需求分析-方案设计等
网络工程课程设计组网-需求分析-方案设计等_工学_高等教育_教育专区。江西理工大学...校园网是个开放的系统,不需要像政府,公司那样的网络安全保密性;另外 校园网应该...
网络安全需求分析
网络安全需求分析_互联网_IT/计算机_专业资料。一、...使网络工程设计方获得对整个工程的总体认识 ,为系统...企业网络需求分析 2页 免费©2015 Baidu 使用百度...
中小型企业网络规划与设计
中小型企业网络规划与设计前言网络改变了人们的生活,...设计结合中小企业实际需求,举例分析设计、配置、...方案与拓扑图、设备选型、 关键设计仿真配置与测试...
更多相关标签:
课程管理系统需求分析 | 控制系统仿真课程设计 | 微波炉仿真需求分析 | 电力系统仿真课程设计 | 图书管理系统需求分析 | 系统需求分析 | 需求分析与系统设计 | p2p网贷系统需求分析 |