CHANGSHA UNIVERSITY OF SCIENCE & TECHNOLOGY
《网络工程设计》课程设计论文
企业网络系统安全需求分析与设计
何高兴
学 院 计算机与通信学院 专 业 网络工程 班 级 085810701班 学 号 200758080102 学生姓名 何高兴 指导教师 易建勋 课程成绩 完成日期 2010年12月15日
课程论文成绩评定
学 院 计算机与通信学院 专 业 网络工程 班 级 085810701班 学 号 200758080102 学生姓名 何高兴 指导教师 易建勋 课程成绩 完成日期 2010.12.15
指导教师对学生在课程设计中的评价
评分项目 课程论文中的创造性成果 学生掌握课程内容的程度 课程论文完成情况 课程论文动手能力 文字表达 学习态度 规范要求 课程论文的质量
优 良 中 及格 不及格 指导教师对课程论文的评定意见
综合成绩 指导教师签字 2010年12月15日
课程设计任务书
计算机与通信工程学院 网络工程专业 课程名称 学生姓名 题 目 主要内容: 1) 了解企业建立网络安全系统的必要性; 2) 理解网络安全技术体系; 3) 掌握网络安全系统设计的方法。 要求: (1)掌握网络网络系统安全设计的基本原理; (2)熟悉网络安全技术体系; (3)通过实际设计网络安全系统,掌握企业网络系统安全设计的方法与步骤。 (4)按要求编写课程设计报告书,能正确阐述设计结果。 (5)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。 (6)在老师的指导下,要求每个学生独立完成课程设计的全部内容。 网络工程 何高兴 时间 2010~2011学年第一学期15~16周 指导老师 易建勋 企业网络系统安全需求分析与设计 应当提交的文件: ①课程设计报告。 ②课程设计附件(源程序、各类图纸、实验数据、运行截图等)
企业网络系统安全需求分析与设计
学生姓名:何高兴 指导老师:易建勋
摘 要 企业通过Internet 可以把遍布世界各地的资源互联互享,但因为其开放性,在Internet 上传输的信息在安全性上不可避免地会面临很多危险。当越来越多的企业把自己的商务活动放到网络上后,针对网络系统的各种非法入侵、病毒等活动也随之增多。面临的这些信息安全问题的解决,我们需要设计出相应的解决方案。本课程设计主要对企业网络系统安全进行网络基础安全、系统安全、应用管理安全及应用对安全系统的要求等方面的需求分析,并确定企业安全系统实现的目标。最后提出企业网络安全系统实施建议,建议包括系统设计的基本原则,安全系统实施的步骤,防火墙系统实施建议,VPN系统设计方案及防火墙系统集中管理方法也选型设计。本课程设计对企业网络系统安全既进行了全面的需求分析也设计出了一个符合题目要求的网络安全系统,初步实现了设计目标,达到了预期的效果。
关键词 VPN;网络安全;防火墙;需求分析
目 录
1 概述 ...................................................................................................................... 1 1.1 企业建立网络安全系统的必要性 ...................................................................... 1 1.2 安全建议书的设计原则 ...................................................................................... 1 1.3 安全技术体系分析模型介绍 .............................................................................. 2 1.4 安全技术体系的理解及实践 .............................................................................. 3 2 应用需求分析 .......................................................................................................... 6 2.1 网络基础层安全需求分析 .................................................................................. 6 2.2 系统安全需求分析 .............................................................................................. 9 2.3 应用安全管理需求分析 ...................................................................................... 9 2.4 应用对安全系统的要求分析 ............................................................................ 11 3 安全系统实现目标 ................................................................................................ 13 3.1 网络基础层安全系统建设目标 ........................................................................ 13 3.2 应用辅助安全系统的建设目标 ........................................................................ 14 4 网络安全系统的设计 ............................................................................................ 15 4.1 系统设计的基本原则 ........................................................................................ 15 4.2 安全系统实施步骤 ............................................................................................ 15 4.3 防火墙系统设计 ................................................................................................ 16 4.4 VPN系统设计 ................................................................................................... 21 4.5 防火墙系统集中管理 ........................................................................................ 24 4.6 防火墙选型设计说明 ........................................................................................ 24 5 结束语 .................................................................................................................... 15 参考文献 ..................................................................................................................... 30
企业网络系统安全需求分析与设计 第1页 共30页
1概述
建设功能强大和安全可靠的网络化信息管理系统是企业实现现代化管理的必要手段。如何构建企业安全可靠的网络系统是本课程设计的目的。
本课程设计是为企业提出的“网络安全系统设计方案”,只针对网络基础设施安全系统向企业提交网络安全的设计及设计实施方案,没有涉及其他部分的内容,如“数据安全系统”等。
1.1企业建立网络安全系统的必要性
毫无疑问,不需要任何形式的“说教”,在信息和网络被广泛应用的今天,任何一个网络管理或使用者都非常清楚,所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。
企业的网络同样存在安全方面的风险问题。对于大多数网络黑客来说,成功地侵入一企业特别是著名企业的网络系统,具有证明和炫耀其“能耐”的价值,尽管这种行为的初衷也许并不具有恶意的目的;窃取企业的网络数据,甚至破坏其网络系统,更加具有现实和长远的商业价值[5]。
因此,企业网络建立完善的安全系统,其必要性不言而喻。
1.2安全建议书的设计原则
网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。
在设计企业的网络安全系统时,我们将遵循以下原则: 体系化设计原则
通过分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。
全局性、均衡性、综合性设计原则
安全建议书将从企业网络整体建设角度出发,提供一个具有相当高度、可扩展性强的安全解决方案;从企业的实际情况看,单纯依靠一种安全措施,并不能解决全部的安全问题。本建议书将考虑到各种安全措施的使用。
本安全建议书将均衡考虑各种安全措施的效果,提供具有最优的性能价格比的安全
企业网络系统安全需求分析与设计 第2页 共30页
解决方案。安全需要付出代价(资金、性能损失等),但是任何单纯为了安全而不考虑代价的安全建议书都是不切实际的。建议书同时提供了可操作的分步实施计划。
可行性、可靠性、安全性
作为一个工程项目,可行性是设计企业安全方案的根本,它将直接影响到网络通信平台的畅通;可靠性是安全系统和网络通信平台正常运行的保证;而安全性是设计安全系统的最终目的。
1.3安全技术体系分析模型介绍
安全方案必须架构在科学的安全体系和安全框架之上,因为安全框架是安全方案设计和分析的基础。
为了系统、科学地分析网络安全系统涉及的各种安全问题,网络安全技术专家们提出了三维安全体系结构,并在其基础上抽象地总结了能够指导安全系统总体设计的三维
协议层次安 全 管 理认数据完整性抗抵赖计审可用性安全服务安全管理层用应安 全管 理传网链输络路层层层层证访问控制数据保密通 信 平 台网 络 平 台理物系 统 平 台应 用 平 台物 理 环 境系统单元安全体系(见图1-1),它反映了信息系统安全需求和体系结构的共性。具体说明如下:
图1-1安全框架示意图
(1)安全服务
安全服务(X轴)定义了7种主要完全属性。具体如下: 身份认证,用于确认所声明的身份的有效性;
企业网络系统安全需求分析与设计 第3页 共30页
访问控制,防止非授权使用资源或以非授权的方式使用资源; 数据保密,数据存储和传输时加密,防止数据窃取、窃听; 数据完整,防止数据篡改;
不可抵赖,取两种形式的一种,用于防止发送者企图否认曾经发送过数据或其内容和用以防止接收者对所收到数据或内容的抗否认;
审计管理,设置审计记录措施,分析审计记录;
可用性、可靠性,在系统降级或受到破坏时能使系统继续完成其功能,使得在不利的条件下尽可能少地受到侵害者的破坏。
(2)协议层次
协议层次(Y轴)由ISO/OSI参考模型的七层构成。与TCP/IP层次对应,可以把会话层、表示、应用层统一为“应用层”。
(3)系统单元
系统单元(Z轴)描述了信息网络基础构件的各个成分。 通信平台,信息网络的通信平台; 网络平台,信息网络的网络系统; 系统平台,信息网络的操作系统平台;
应用平台,信息网络各种应用的开发、运行平台; 物理环境,信息网络运行的物理环境及人员管理。
1.4安全技术体系的理解及实践
贯穿于安全体系的三个方面,各个层次的是安全管理。通过技术手段和行政管理手段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。
(1)安全体系的理解
在图1-1的安全体系分析模型中,完整地将网络安全系统的全部内容进行了科学和系统的归纳,详尽地描述了网络安全系统所使用的技术、服务的对象和涉及的范围(即网络层次)。对于上图的理解,不妨简单说明如下:
安全服务是网络安全系统所提供可实现的全部技术手段;
网络协议是网络安全系统应该将所采纳之安全技术手段实施的范围; 系统单元是网络安全系统应该提供安全保护的对象。
作为一个现实的网络安全系统,首先要考虑的是安全建议书所涉及的有哪些系统单
企业网络系统安全需求分析与设计 第4页 共30页
元,然后根据这些系统单元的不同,确定该单元所需要的安全服务,再根据所需要的安全服务,确定这些安全服务在哪些OSI层次实现。
(2)构建安全系统的基本目标
在上述的三维结构的安全体系中,安全服务维是向网络系统的各个部分和每一个层次,提供安全保证的各种技术手段和措施。虽然并不是每一个应用网络都需要安全服务维提出的所有手段,但是对于一个包含各种应用和具有一定规模的企业网络,这些安全措施应该都基本具备,因此安全服务维所涉及的所有安全服务措施,是网络安全系统的基本建设目标。
根据我们对企业网络系统应用现状的认识,以及未来将要实现的各种应用目标了解,我们认为企业网络安全系统,最终需要全部实现图1-1中安全服务维所提出的基本技术手段。
(3)网络安全系统的技术实施
构筑网络安全系统的最终目的是对网络资源或者说是保护对象,实施最有效的安全保护[1]。
从网络的系统和应用平台对网络协议层次的依赖关系不难看出,只有对网络协议结构层次的所有层实施相应有效的技术措施,才能实现对网络资源的安全保护。
针对一般网络系统的结构和应用要求,为了达到保护网络资源的目的,必须在网络协议层实施相应的安全措施,如下表1-1所示。
表1-1 网络协议层实施相应的安全措施
认证 访问控制 数据保密 数据完整性 不可抵赖性 审计 可用性
物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 * * * * * * * * * * * * * * * * * * * * * * * * * * 企业网络系统安全需求分析与设计 第5页 共30页
说明:* 表示需要实施的项目
在本项目设计中,我们建议企业网络系统通过防火墙系统、VPN应用系统、认证系统和网络漏洞扫描及攻击检测系统实现表1-1中的安全手段实施。
企业网络系统安全需求分析与设计 第6页 共30页
2应用需求分析
企业网络结构包括企业内部网络Intranet和企业外部网络Extranet,外部网络连接到Internet,满足互联网访问、WWW发布、外部移动用户应用等需求。本章将根据企业网络系统的结构及应用,详细分析企业网络系统的安全需求。
2.1网络基础层安全需求分析
网络基础层(在此网络基础层是指网络通信链路、路由/交换设备、网络节点接口设备/网卡——包括了OSI物理层到传输层设备的集合)作为现代计算机信息系统不可缺或的基础设施部分,其安全性是每一个用户最为关心的问题。从企业的应用网络结构分析,企业网络层的安全涉及到Internet连接安全、广域网连接安全、应用系统内部资源网络连接安全保护几方面的安全问题。
(1)Internet连接安全保护
企业在网络应用中有三种情况需要进行Internet连接,即向外大众用户提供业务和宣传信息服务、公司内部用户和外界的电子邮件往来、通过互联网在异地进行业务办公的移动用户服务等。由此企业企业网必须向外“开门”,象所有连接互联网的企业网一样,企业网不可避免地存在,遭受到来自外部的恶意攻击和破坏、各种各样病毒传播的可能性。因此,在Internet出入口连接点,必须采取措施进行保护 —— 布置防火墙系统,对集团总部的Internet出入口实施有效的控制,包括进出的数据检查和资源访问的控制。另外,仅仅设置1台防火墙,容易出现单点故障,为了保证网络对外的7X24小时不间断服务,还必须考虑网络安全设备的冗余配置。
(2)广域网连接的安全保护
企业部分异地的下属企业和部门将通过广域网的方式与总部进行连接。因此企业的网络系统从其结构而言是一个在物理上广域连接的企业网络系统,企业广域连接的网络系统必须考虑两方面的安全措施:
网络通信加密(VPN应用)
广域网络通信连接将通过第三方链路进行。尽管租用电信或其他传输服务提供商的专用链路传输数据的安全性会高于通过Internet传输,但是由于第三方提供的专用链路所使用的设备是公共的,其安全性具有相对性,不仅在链路上传输的数据存在被窃取的可能,同时也存在由于链路供应商安全管理和保护措施不完善的原因,导致被别有用心
企业网络系统安全需求分析与设计 第7页 共30页
者有可能通过盗接而非法访问网络资源的风险,在国内就曾有类似的案件发生 —— 非法分子通过在公共设备上偷偷接入自己的电脑,窃取了别人的股票交易帐户资料,盗用他人的帐户进行证券交易而非法获利。
如果仅仅是窃取资料对于网络系统本身也许不会产生太严重的破坏,但是假设盗接者是一个恶意攻击者,即使仅仅是一个普通的网络高手,把在网络通信链路上截取的数据进行篡改或者置换,再通过网络链路将属性被异动的数据对系统进行回放,其对网络系统可能造成的破坏程度是用户无法预计的[4]。
现有的设备和技术手段要实现以上的非法目的不难,如果仅仅是通过盗接来窃取资料,只需要物理上存在接入的可能(实际上目前国内所有的链路服务供应商都存在比较大的漏洞),就非常容易实现;即使是通过链路盗接进行恶意攻击的“高难度”动作,“网络高手”只需花很低的代价购买用于网络测试的专业设备和软件,就可在通信链路上通过数据回放对网络系统实施攻击。
因此,为了消除这类风险的存在,企业网络安全系统必须能够对在广域网上传输的所有数据进行加密(数据发出方)和解密(数据接收方)处理,即VPN应用。VPN采用3DES的加密算法,一方面可以使在广域网链路上传输的数据变成外来者不可“读”,防止流失数据的信息泄露;另一方面通过VPN加密和解密的规则,可以对具有不良属性的被异动数据进行过滤或使之属性失效,避免这些恶意数据对网络系统造成破坏。
防火墙保护应用
从网络系统的应用来说,企业广域连接的网络系统实际上就是规模庞大的企业内部网。在这种复杂的网络环境中实现对各类网络资源的有效保护和管理,仅仅利用现有的网络来完成,显然是做不到的。因此在企业广域连接的网络系统内有必要引入防火墙的应用,原因如下两方面。
其一,类似企业这种在物理上分布广泛的网络系统,每一个在地理上属异地的分支机构或部门,甚至同属于一个地方(如总部)的不同机构和部门,其网络应用和管理都有相对的独立性,因此在网络安全管理实施和执行上就很容易产生差异,从而出现网络安全漏洞。虽然企业在网络实施和管理上可以强制性地要求企业内部网络到Internet的接入为统一出入口,但是在网络的使用过程中,也许总部和个别管理严格的异地分支机构和部门,可以比较容易地始终如一执行这一规章制度,却不能完全保证所有在网上的用户因为一些别的原因使用了另外的途径进入Internet,如异地机构的企业网络用户通过向当地ISP供应商购买帐户使用PSTN/ISDN/ADSL拨号上网,这就等于给企业网络
企业网络系统安全需求分析与设计 第8页 共30页
为外部Internet的使用者提供了一个甚至多个“后门”。这种“后门”对于别有用心的网络黑客来说,是非常有用的,他们可以避开企业网络“门户”的防火墙系统,通过网络的“后门”直接攻击企业网络的内部资源,这也是网络黑客最常用的攻击手段之一;在国外就曾经有某个利益集团利用这一手法,获取了某国海关大量的内部资料,利用所掌握的内部资料,达到其变相走漏海关关税的目的,而且这一手法在被发现的时候已经被有效地利用了相当长的时间。所以在企业广域网内采取网络连接保护是必须的措施。
其二,内部网络连接安全保护。企业网内部处理和存放了几乎所有的企业数据和信息,这些信息根据不同的应用被不同的对象使用,有许多信息系统会根据应用目的进行分类独立使用(虚拟系统),而且其共享的用户范围也是有限制的,因此在网络上需要有比较好的手段对内部用户进行信息资源访问的控制;另一方面,来自于企业内部的攻击不容忽视,其成功的可能性要远远大于来自于Internet的攻击,而且内部攻击的目标主要是获取企业的机密信息,这就更需要有措施对内部用户进行访问控制。
由此可见,在企业通过第三方专线连接的企业广域网内,实施网络安全保护是非常必要的举措。能够有效地担负这一保护作用角色的是性能和功能强大的防火墙系统。因此,本课程设计采用企业广域网系统配置内部的防火墙系统。
(3)虚拟连接广域网的安全保护
对于企业众多的异地分支机构(规模比较小的)、商业合作伙伴、出差在外的流动用户,将其远程电脑或小规模LAN纳入企业网系统的接入模式,更多的将会采用通过公共Internet的虚拟连接方式。
正如前面所言,这种连接方式尽管实现的代价和技术条件相对比较低,但其所能提供的安全保证更加不可信赖。因此毫无疑问,同样的理由,这种连网方式的广域网,其VPN和防火墙的应用,比通过第三方专线链路更加迫切需要。
(4)其他安全保护辅助措施
企业网络环境比较复杂,设备众多,这使管理人员查找和修补网络中的全部安全隐患有相当大的难度。利用先进的技术、工具进行网络系统自身的脆弱性检查,先于入侵者发现漏洞并及时弥补,以及建立实时入侵检测系统,是十分有效的安全防护措施,将能极大提高、完善企业系统安全。在条件允许的情况下,我们建议企业网增加网络漏洞扫描和入侵检测系统[1]。
企业网络系统安全需求分析与设计 第9页 共30页
2.2系统安全需求分析
各种操作系统是应用运行的基础,应用系统的安全性,在相当大的程度之上受到操作系统安全性的影响。目前运行大多数应用的各种操作系统,都是针对可以运行多种应用来开发的,其开发要兼顾到各种应用的多个方面,在程序开发过程中,会出现一些人为的疏忽,以及一些人为设置的后门等。这些人为的疏忽或者后门就成了操作系统的安全漏洞。还有,安装在操作系统上的各种应用系统形成了一个复杂的环境,这些应用程序本身设计的缺陷也会带来安全漏洞。另外,系统权限管理的松懈也是造成安全漏洞的重要原因。此外,任何东西的特性都是两方面的,只要恶意的破坏者掌握了系统的特性,这些特性就可以被用来进行系统的破坏。
基于以上的原因,企业网络需要对总部的应用服务器进行操作系统和数据库的备份,操作系统包括Windows NT, Windows 2000,Solaris,Linux,数据库系统主要包括Oracle,MS SQL数据库。需要对这些系统进行系统安全漏洞的扫描和实时入侵的检测。
2.3应用安全管理需求分析
应用层安全主要是对应用资源的有效性进行控制,管理和控制什么用户对资源具有什么权限。资源包括信息资源和服务资源。需要提高身份认证安全性的系统包括主机系统、网络设备、移动用户访问、VPN和应用层。
(1)主机系统
包括企业总部和各下属公司中心主机、数据库系统,WEB服务器、MAIL服务器等等,这些主机系统是公司网络系统的核心,存储着公司最重要的信息资源,因此,保证这些主机系统的登录的安全是极其重要的。
目前企业的主机系统仍然沿用单一密码的身份认证方式,这种简单的身份认证存在以下安全隐患:
网络入侵者,很容易猜测或破解账号、密码,利用他人的帐户登录,进行非法
操作。
人员的流动、集成商自设等很多因素,使得每台主机系统上的多余帐户增加。 (2)网络设备安全管理
企业全公司,网络设备(路由器、交换机)数量以数十甚至数百计。公司所有的业务系统都是建立在网络设备基础之上的,保证网络设备的安全是保证系统正常运行的首
企业网络系统安全需求分析与设计 第10页 共30页
要条件;而保护网络设备的安全,通常考虑的最多的是设备的冗余,而网络设备的配置保护却不被重视,其实,当某一个人登录了网络设备(路由器、防火墙、VPN设备等),将配置进行了更改,为以后非法的登录建立通道,对整个系统来说,所有的安全设施就形同虚设。因此对登录网络设备的人员进行强的身份认证是完全必要的。
(3)移动用户的访问控制访问
移动用户进入公司内部网络可以通过本地拨号连接公司的内部网络,也可以通过互联网的ISP接入公司内部网[6]。
对于企业来说,移动用户将基本上采用VPN的方式对内部进行访问,外出的员工可以通过Internet渠道的方式进入公司内部网络,获取所需要信息资源或回送需要提交的信息。而目前从终端上访问也是采用单一静态密码,从我们前面的分析来看,显然是不安全的。因此我们必须在移动用户访问上增加更加强大的手段对移动用户进行控制管理。
(4)VPN上的认证
在网络系统将配置VPN系统,远程移动用户可以通过拨号连接本地ISP,用VPN Client 建立安全通道访问公司信息资源。
而VPN技术能够很好的解决系统传输的安全问题,极大的节约公司的费用,并且使外部非法用户无法访问公司内部信息;但是,对于公司内部用户,由于VPN所提供的用户认证机制依然是单一的密码方式,使我们无法保证目前访问信息资源帐户和拥有该帐户的员工的身份相符合,也就是说,还是存在内部用户盗用他人密码访问特定的信息资源的安全隐患(可能这些信息资源是他无权浏览或更改的),因此,补充更强的身份认证机制对VPN系统应用来说也是非常必要的。
(5)应用层安全保护
这里的应用层,主要指企业的信息资源管理系统(ERP)。在员工进入ERP系统时需要输入用户名称和密码,同样的原因,单一静态密码的不安全性使得我们有必要在ERP系统上采用强的认证机制,保证不同权限的、不同级别的用户安全合法的使用ERP系统。
ERP系统上单一静态密码的安全隐患主要有:
用户无法保证办公文件能正确的接受,在接受之前没有被其他人浏览过。 单一密码容易泄露,一旦密码泄露,其恶果可能会很严重。 高级别的用户在远程授权以后,需要及时地更改密码。
企业网络系统安全需求分析与设计 第11页 共30页
以上讨论了企业网络系统各个不同应用的安全认证问题,不难看出,上述的应用都必须在原有的单一静态认证基础上,增加更加强大的认证手段,因此我们建议在企业网络安全系统内引入动态认证机制,即动态的SecurID。
加入的RSA SecurID必须提供通用的API,使用户可以将RSA SecurID认证内嵌到ERP系统或其他的应用系统中,保证公司内部网络用户接收MAIL和文件的安全,验证用户身份,并创建用户登录日志文件。
为了使系统的认证操作和对非法访问的拦截更加有效,所有认证的转发和认证结果的处理都由防火墙来操作完成,即对所有被认证系统认定为非合法访问的服务请求,通过防火墙“掐断”其访问连接,而不是通过应用系统直接拒绝访问服务。这是防火墙系统设计时必须考虑的可实现功能之一[4]。
2.4应用对安全系统的要求分析
任何一个完整的网络安全系统,从其功能和物理层次来看,它将分别是网络基础设施和网络应用系统的组成部分。防火墙作为网络基础设施的一部分,和其他网络设备一样,其性能目标应该按照网络系统的应用要求进行选型设计。如果防火墙选型设计的不恰当,即使网络其他设备的选型设计满足要求,同样也会因为防火墙的效率妨碍网络的应用,严重的话会导致整个网络应用建设的失败,这已经是被事实证明的。因此,本设计有必要针对企业的网络应用进行防火墙系统的要求分析。
(1)网络应用系统的现状及发展说明
企业的网络应用包括了集团公司几乎所有的业务活动和管理方面的应用,例如ERP、OA、财务、网络视频会议应用等等。
任何一个应用系统提供的应用,都是依赖于网络的各个层次来实现应用信息的处理和传送,应用系统最终是通过向所有的网络用户提供使用来达到其应用的目的。由此可以看出从网络用户电脑(客户端)到应用系统平台(服务器端)的结构形式会对网络设备(尤其防火墙)提出相应的要求;简单而言,不同的应用模式,对网络防火墙系统有不同的技术指标要求。
企业网络目前的应用系统结构是C/S和B/S两种应用结构的混合形式,主要的业务应用系统现在是分布式的C/S结构。现在正在进行的已有应用系统升级开发将使应用系统从C/S结构向B/S结构迁移;新增加的应用系统开发,也是集中式的B/S结构。在未来一两年内,企业的应用系统将大部分实现集中式的B/S结构模式。同时随着公司规模
企业网络系统安全需求分析与设计 第12页 共30页
的扩大和业务领域的拓展,目前已经在企业网络系统内应用的网络视频会议系统(对网络的传输性能要求很高的应用系统)会随着系统应用规模的扩大,为网络系统带来越来越大的数据传输压力。
以上两种主要的因素,在很大程度上决定我们在防火墙选型设计时对产品的取舍。 (2)面向应用系统的防火墙系统设计要求
根据企业网络应用系统的现状以及未来系统的结构发展,我们认为着重考虑企业的B/S结构应用特点,是防火墙系统技术指标设计的主要依据。[6]
众所周知,防火墙作为网络设备,对网络性能影响最为主要的是两个参数指标,一个是防火墙的TCP连接处理能力(并发会话处理数),另一个是防火墙对网络数据流量的吞吐能力(带宽参数)。
B/S结构的应用系统虽然具有管理简单,客户端开发、使用和维护的成本很低的优点,但是在网络上B/S结构应用系统将会给网络带来巨大的网络流动数据处理压力,而且是并发的。具体来说,B/S结构的应用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统的并发TCP会话数量,而且这些会话绝大部分是包长很短的“垃圾”IP包。
由此可见,在设计企业防火墙系统时,足够大的TCP会话处理能力,是我们选择防火墙(包括VPN)产品考虑的主要因素。
通过对各类防火墙的比较分析,我们认为目前面向B/S结构应用的防火墙设备,硬件防火墙是最为明智的选择。
企业网络系统安全需求分析与设计 第13页 共30页
3安全系统实现目标
根据上一章的需求分析,从网络安全的技术手段而言,企业网的安全系统必须实现从Internet和广域网进入内部资源网络的数据被有效检查和过滤、所有对内部资源网络的访问可以被有效控制、移动用户从Internet进入内部网络进行业务操作的通信和通过广域网进入内部网的用户通信必须加密、所有网络访问行为能够被记录和审计、非法访问被预警和阻拦(条件允许时实施)、应用系统平台及数据可以被有效备份以抗击灾难风险、用户的身份的真实性认证等几方面的目标[4]。
3.1网络基础层安全系统建设目标
网络层安全系统通过防火墙系统(带VPN功能)实现访问控制、网络信息检查、通信加密、非法入侵检测和拦截,异常情况告警和审计几大功能目标。
(1)Internet及Extranet进出口控制
在国际互联网(Internet)和企业广域网(Extranet)的进出口,防火墙系统通过有效的策略选择,可以阻断有害的网络数据和被禁止的数据源进入企业内部网络。
从互联网入口进入企业网的用户,可以被防火墙有效地进行类别划分,即区分为通过互联网进入内部网的企业移动用户或外部的公共访问者,对于要求进入企业内部网的访问者进行用户的授权认证,拦截没有用户权限的访问者试图进入内部网。
对于通过Internet入口和广域网入口进入总部企业内部网或分支机构内部网的用户,设置在网络出入口的防火墙系统不仅可以对访问者进行能否被允许进入的权限认证,同时可以实现按照企业资源被访问权限划分的访问路由控制。对于内部或外部的本企业用户而言,防火墙系统可以实现,企业各类资源的应用系统在逻辑上进行子网系统的划分,即在技术上提供可以独立选择安全策略的虚拟系统划分。
(2)VPN应用
VPN应用是为网络通信提供有效的信息加密手段。
在企业网的VPN应用中,采用三倍DES的加密技术,这是目前可以获得的最先进和实用的网络通信加密技术手段。
网络的VPN应用范围包括移动用户的客户机到企业网络Internet出入口的防火墙、各分支机构的广域网出入口防火墙到集团总部广域网出入口防火墙。
企业网络系统安全需求分析与设计 第14页 共30页
(3)防火墙系统的功能实现要求总结
网络层的安全保证是企业网络系统安全的最关键,因此在企业网络安全系统中,防火墙系统是整个系统的最重要组成部分,它将担负完成大部分的安全服务(安全技术手段)实现和执行的任务[1]。
传统的网络安全系统由于受设备功能和性能的限制,在网络层(从物理层到传输层)很难全部由单一的防火墙或其他安全设备全部完成表1中提出的功能要求,所以系统的实施难度和费用(包括设备、人力投入和管理成本)会比较惊人。但是在今天已经出现了满足网络层全部应用的、功能强大、性能优异的防火墙产品,如Cisco防火墙。
为了使企业的网络安全系统结构简化、建设成本降低,本建议书在网络防火墙系统建设目标方面,提出了下表3-1的功能目标要求。
表3-1防火墙系统实现功能目标 认证 访问控制 数据保密 数据完整性 不可抵赖性 审计 可用性
物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 * * * * * * * * * * * * * * * * * * * * * 3.2应用辅助安全系统的建设目标
应用系统的安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的访问控制,具有审计和记录机制,确保防止拒绝和防抵赖的防否认机制。
对于重要的主机系统和应用系统、网络设备管理系统,在原有的静态密码认证管理的基础上,增加动态密码认证管理系统,通过动态的密码方式实时不间断地验证所有访问这些系统用户的真实身份。
企业网络系统安全需求分析与设计 第15页 共30页
4 网络安全系统的设计
基于以上的规划和分析,企业网络安全系统按照系统的实现目的,应分两个步骤(两期)分别实现以下各个安全子系统:
防火墙系统 VPN系统 动态认证系统
4.1系统设计的基本原则
实用、先进、可发展是安全系统设计的基本原则。
本建议书设计的安全系统首先是满足企业现有和可预见未来几年内的应用要求;其次是考虑在投资增加很少的前提下,选择目前可以提供最先进技术手段的设备和系统方案;最后要考虑实现的安全系统面对应用要有长远发展的能力。
防火墙系统作为网络出入口的内外连接控制和网络通信加密/解密设施,不仅需要有足够的数据吞吐能力,如网络物理接口的带宽,也需要优越的网络连接的数据处理能力,例如并发连接数量和网络连接会话处理能力等。以下的防火墙系统设计将根据这些原则合理的设计系统。
本项目设计将重点对防火墙系统(包括VPN应用系统)提出设计建议。
4.2安全系统实施步骤
任何一个网络应用系统在实施和建设阶段,在进行应用系统开发的同时,首先是考虑网络基础设施的建设。防火墙系统和VPN应用系统作为现代网络系统基础设施的重要部分,毫无疑问也是我们建设网络安全系统首先需要构架的系统。这也是我们设计企业网络安全系统第一阶段需要完成的系统建设部分。
动态认证系统是对网络用户对具体的应用系统或网络资源访问控制的一种加强手段。正如前面所分析,在防火墙配合的基础上可以更加有效地发挥其作用;另一方面,动态认证系统是面向具体应用的访问控制辅助手段,系统的实施范围和规模根据应用系统的要求而决定。所以设计的动态认证系统放在防火墙系统实施完成后的第二阶段来实施。
企业网络系统安全需求分析与设计 第16页 共30页
同样,漏洞扫描和入侵检测系统作为防火墙系统的辅助系统,可以有效地提高防火墙系统发挥的安全保护作用;漏洞扫描和入侵检测系统所发挥的作用,最终要靠防火墙系统的作用来体现,因为漏洞扫描和入侵检测系统“检查”和“侦测”得到的非法访问和恶意攻击,需要防火墙系统对其实施控制和拦截。所以设计也将漏洞扫描和入侵检测系统放在防火墙系统建设完成后的第二阶段实施。
4.3防火墙系统设计
防火墙系统是在网络基础层以上(OSI/ISO网络结构模型的2至7层)提供主要的安全技术服务手段,如表3-1所示。这些安全服务包括了访问认证、访问控制、信息流安全检查、数据源点鉴别等技术手段[5]。
在网络边界设置进出口控制,可以防御外来攻击、监控往来通讯流量,是企业网络安全的第一道关卡,其重要性不言而喻。网络防火墙系统从其设置的物理位置来说,最恰当的位置就是网络物理边界的出入口。所以可以说,网络安全系统最为关键的组成部分实际上是利用上述的各种技术手段,通过对网络出入口的控制实现安全服务的目的。
本课程设计我们采用防火墙来对企业网络的进出口进行控制,包括Internet进出口控制和广域网进出口控制。
(1)Internet进出口控制
绵阳总部是整个企业的中心最重要网络,通过广域网链路连接分布在各地的分部,开展各种业务应用,并采用专线连接互联网获取有用信息。从安全和管理角度考虑,建议只在总部设立一个Internet出口,各地分部统一通过总部访问互联网。
Internet接入结构
如下图4-1典型的企业应用所示,总部在Internet出口设立防火墙系统。为避免单点故障,防火墙系统采取双机模式构建。每台防火墙均提供4个网络接口,分别连接Internet,中立区和内部网络两台中心交换机。来自Internet的光纤专线将通过一台交换机与两台防火墙的外网口连接。中立区也需增加一台交换机,用于连接两台防火墙的中立区口、WWW服务器、邮件服务器等。
企业网络系统安全需求分析与设计 第17页 共30页
Internet交换机交换机防火墙SiSi中心交换机WWW服务器客户访问服务器内部网络中集集团Internet接入示意图图4-1 典型的企业应用 防火墙系统选型设计
经过对多家防火墙厂商设备的综合比较,本建议书推荐采用Cisco公司的防火墙产品。
简要介绍Cisco公司和它的防火墙产品
我们设计企业Internet出口处采用两台组成双机模式的Cisco防火墙(以PIX515为例)。PIX515防火墙吞吐量高达xxxbps,提供xxx接口,xxx链接数,xxxVPN处理能力,支持透明模式、双机备份、负载均衡、图形管理等,流量控制功能为网络管理员提供了全部监测和管理网络的信息,诸如DMZ,服务器负载平衡和带宽优先级设置等先进功能,使PIX独树一帜。其详细特点如下:
•
提供了防火墙的全部安全功能(如防止拒绝服务攻击,Java/ActiveX/Zip过滤,防IP地址欺骗……)并结合了包过滤、链路过滤和应用代理服务器等技术
• • • • •
网络地址转换(NAT):隐藏内部的IP地址
动态访问过滤(Dynamic Filter) :自适应网络服务保护 URL地址的限定:限制站点的访问,过滤不需要的网站 用户认证(Authentication):只允许有授权的访问 符合IPSec:可与其他厂家的设备交互操作
企业网络系统安全需求分析与设计 第18页 共30页
• • • • • • • • • • •
IKE密钥管理:保证密钥交换
DES和三级DES:最高等级的加密、解密 流量带宽控制及优先级设置:按您的需求管理流量 负载平衡能力:管理服务器群( Server Farms) 虚拟IP:将内部服务器映射为可路由地址 实时日志及报警纪录:实时监控网络状态
透明的,无IP地址设置:无须更改任何路由器及主机配置 自带Web服务器:方便地通过流行的浏览器进行管理 图形界面:可关闭远程的管理方式,只用本地的、安全的管理 SNMP管理方式:通过网络管理软件管理
命令行界面:支持批处理方式及通过调制解调器的备用渠道进行控制
两台PIX防火墙采取双机热备方式工作,任何一台防火墙出现故障,其任务由另一台防火墙自动接管,避免单点故障造成企业无法上网的情况发生,保证网络的无间断运行[4]。
企业的Internet应用除了浏览互联网和WWW发布外,外出员工对公司的访问也将通过Internet进行。为允许合法用户访问公司网络,同时确保通过Internet进行的业务应用的安全性,我们建议采取VPN通讯方式。利用PIX防火墙的VPN功能,终端工作站安装PIX ASDM软件或者利用WIN2000操作系统对VPN的支持,可以实现企业远程办公的安全需求。
PIX ASDM是一种在用户主机(桌面或笔记本电脑)上运行的软件,简化了对网络、设备或公共或非信任网络中其它主机的安全远程接入。通过采用IPSec协议和第二层通道协议[L2TP],并以证书作为额外的选项,可以实现安全性。为了构建安全的通信通道,必须把这一软件与IPSec网关结合使用(如PIX家族安全设备),或与运行IPSec兼容软件的另一台主机结合使用(如ASDM)。PIX-ASDM支持Windows 95, 98, NT, 2000系统。
(2)广域网进出口控制
企业具有多个地理上分散的分部,各分部和总部之间租用电信专线互联,形成以总部为中心的集团广域网。分散的企业给网络安全管理造成了一定的难度,而且企业内部攻击的成功可能性远大于外部攻击,造成的危害更严重,因此全方位的网络保护是不仅防外,还应防内[3]。
企业网络系统安全需求分析与设计 第19页 共30页
企业内部防范主要是确保总部和各公司的安全,加强广域网的进出口控制,我们应在总部及各分部的广域网出口处配备防火墙来加强内部网络保护,见下图。该防火墙系统起到防御内部攻击、阻止入侵行为进一步扩大升级的作用,避免某段网络范围内发生的入侵破坏扩大至整个企业网络,把来自内部攻击造成的破坏减低到最低程度,保护其它网络部分的正常工作。
根据企业升级后的网络拓扑结构,广域网链路和设备都具备了较强的冗余备份能力,总部的路由器和中心交换机配置均采取了双机热备方式。考虑到总部的广域网防火墙是位于路由器和中心交换机之间,所以也必需做冗余配置,否则会成为广域网设备中的单点故障点,使路由器和中心交换机所做的备份措施失去意义。如图4-2所示。
深圳总部LANSiSi中心交换机防火墙路由器数字链路专网路由器防火墙中心交换机LAN路由器防火墙路由器防火墙中心交换机LAN......中心交换机LAN分公司分公司分公司图4-2 企业网络拓扑图
企业广域网存在ERP、VoIP、视频会议等各种高带宽应用,特别总部是整个企业网络的数据中心,进出的信息流量庞大,推荐采用两台处理性能很强的PIX525防火墙,实现冗余备份(Active-Active方式)和负载均衡。每台防火墙基本配置含4个100M或1000M端口,分别连接两台路由器和两台中心交换机。
PIX525是一个高性能、高度可靠、高度冗余的平台。PIX525拥有XXXM线速处理能力,XXXM的3DES VPN流量,强健的攻击防范功能。PIX525特别适合带宽要求高的大型企业环境。
中集广域网结构示意图
企业网络系统安全需求分析与设计 第20页 共30页
(3)虚拟连接广域网出入口控制
通过公共互联网虚拟连接的企业网,连接的两端(总部和分部)由于其承担的工作角色和工作量有比较大的差异,因此,出于实用和经济的角度考虑,本方案建议网络接入Internet的结构采取不同方式和档次的设备方案。
总部的接入设计
前面已经对企业总部的Internet出入口控制防火墙系统进行了设计,同样的连接应用结构也可以应用到通过Internet提供虚拟网络的接入。也应使用前面的设计方案,在此不做重复的说明。
在总部的物理出入口,可以是对外提供公共服务的出入口与企业虚拟连接广域网的接入口为同一个物理接口,即由同一个Internet公网节点提供连接;也可以是各自独立的接口,即由不同的公网节点提供连接服务。前者需要将总部的公网出入口控制防火墙的档次提高(至少选择PIX515以上的档次),这是由于通过这种虚拟连接方式接入企业各地分部或商业合作伙伴有近千家,只有配置更高档的防火墙才能满足系统应用的性能要求,如同时支持的VPN通道数量、会话处理能力、网络接口带宽等等。后者的模式是再增加一个结构与前面设计相同的公网接入物理接口,与前者同样的理由,向企业各分部或商业合作伙伴提供虚拟连接的出入口,其控制防火墙也需要配置功能强大和性能优异的设备,应选择档次为PIX515以上的防火墙产品,如PIX515或PIX525,PIX535[1]。
分部的接入设计
由于分部通过公网虚拟连接接入总部网络网络的应用,考虑其数据量和应用的要求不高,而且这种非物理专线方式接入所提供的网络通信带宽也很有限,通常只有几十或几百K,因此在企业各异地分部建议采用功能满足系统实现目标、性能相对较低的防火墙设备。本设计方案选择PIX515防火墙配备各分部。(有关PIX515防火墙建立虚拟网络的组网说明请参考VPN系统的设计说明)。
(4)防火墙接口属性和安全级别配置
PIX515(config)#nameif ethernet0 outside security0
//在缺省配置中,以太网口0被命名为外网接口(outside),安全级别是0。安全级别取值范围为1~99,数字越大安全级别越高//
PIX515(config)#nameif ethernet1 inside security100
//设置以太网口1被命名为内网接口(inside),安全级别是100// PIX515(config)#nameif dmz security50
企业网络系统安全需求分析与设计 第21页 共30页
//设置非军事区口(dmz)安全级别是50// //如果需要添加新的接口,语句可以这样写: PIX515(config)#nameif pix/intf3 security40
4.4 VPN系统设计
VPN系统在企业网络系统中应用的目的是在一个非信任的通信网络链路或公共Internet建立一个安全和稳定的隧道。
虽然在应用逻辑上,VPN和防火墙是两个独立的应用系统,但是对于先进的防火墙设备,两者是合并在同一个物理设备上的,这样的不仅可以使系统的结构和实施简单化,而且可以大大地提高系统的应用效率。在本方案设计采用的PIX防火墙就是这一种设备。PIX防火墙可以提供表3-1所列在网络基础层所提供的认证、数据加密和数据完整性的安全服务手段。
(1)广域网链路加密
企业公司总部与各地分部之间的网络向ERP、视频会议、VoIP等多种业务应用提供传输服务支持,大量的业务数据通过广域网传输,需要保证数据传输的安全可靠性,不被偷听窃取和恶意篡改。
在前面广域网进出口控制一节的方案中,PIX产品集防火墙、VPN功能于一体,它可以充当VPN网关而无需增加任何组件。企业可直接通过总部PIX高端防火墙和各分部的中端PIX(建议采用PIX515)防火墙,在总部与各分部之间建立起VPN通道,加密广域网传输的数据。PIX防火墙在VPN应用上有出色的性能,例如PIX515能够提供XXXM的VPN吞吐量和XXX条专用隧道,PIX525能够提供XXXMbps VPN处理能力和建立XXX条隧道。
(2)虚拟连接组网建议
在虚拟连接广域网出入口控制的设计中,我们在企业所有通过公共Internet虚拟连接的分部或商业合作伙伴,采用PIX515防火墙连接接入公网。PIX515的防火墙和VPN应用都能满足本设计方案提出的系统实现目标要求。[6]
PIX不仅具有防火墙和VPN的实用功能,同时提供了在网络应用上的功能,这些功能在小部门的网络互联(LAN to LAN)应用中非常实用,它使PIX在网络互联中承担了互联“网关”的作用,从而省缺了这些小部门之间的LAN互联时需要配置价格不菲高层交换和路由设备。这是PIX在本方案安全应用中非常有用的意外增值。在此,针
企业网络系统安全需求分析与设计 第22页 共30页
对PIX的其他应用作如下说明:
组网条件及设备
企业异地小机构的网络或单机电脑可以通过接入Internet,获得静态或动态的公有或私有IP地址;企业总部有对外的固定的公共互联网IP;
作为建立连接的公网IP的防火墙需要使用PIX 高端的产品作为中心控制设备,出于高可用性的考虑,建议配置中心防火墙的备份(如下图所示右边带阴影的设备);
连接分支端的网络设备选用PIX515产品; 组网原理及联网功能 组网原理如下图4-3示:
图4-3 组网原理图[6]
上图中,所有接入互联网的PIX515(公网IP地址或私网IP地址),通过总部的防火墙PIX535系列(公网IP)建立以下几种网络连接(LAN-to-LAN):
所有分支机构LAN与总部LAN之间的加密、认证(VPN)连接(如上图中的黑色实线);
所有通过5XP连接的LAN互相可以建立通过中心防火墙路由的LAN加密虚拟连接,即Hub&Spoke方式的VPN连接(如上图中的蓝色和绿色虚线);
为防止中心点因为各种原因而导致防火墙不可访问,从而造成分支点之间的互访障碍,可以配置一个冗余中心,提高整个网络的高可用性(如上图中的长虚线连接所示);
特殊需求情况下,可以直接建立不经过中心防火墙路由的直接的5XP之间的LAN-to-LAN加密VPN连接(上图中的红色虚线)。
企业网络系统安全需求分析与设计 第23页 共30页
以上的各种联网方式,可以通过我们提供的管理程序套件,用人工方式实现,或对用户“透明”的自动方式实现。
优点
✓ 不需要向链路服务供应商租用价格昂贵的专线或者申请数量巨大的公网IP(实
际上不可能),就可以实现企业网络的广域连接;
✓ PIX515可作为分支机构的路由网关,实现各子网间的跨网段(非公有的企业私
有网址)访问,在小型的分支机构LAN内无须配备路由和高层交换设备[1]; ✓ 基于Keep – Alive消息保持的网络VPN连接的连续状态;
✓ 这种网络连接提供所有基于LAN to LAN连接支持的各种网络服务,如MS
Windows的共享权限相互访问彼此的资源(网上邻居)、H.323传输服务、Net-meeting等等;
✓ PIX515提供网络连接的流量管理,即在公网的传输效率保证的前提下,PIX515
提供基于策略的最小带宽保证、带宽限制、优先级带宽使用等管理功能; ✓ 通过PIX515的管理策略,可以使分部的用户在使用Internet服务和企业网虚拟
连接之间进行“透明”的区分,而且同时使用又相互不影响。 企业的应用建议
目前许多分支机构与总部之间的数据传送通过长途拨号MODEN传输或互联网的邮件服务方式进行,这种方式不仅费用高,而且永远实现不了实时的集中管理,相信企业希望有一个更加实用的解决方案。
如果在总部配置一台NS1000的高性能防火墙,异地分支机构配备一台PIX515,就可以实现所有分支机构和总部的实时联网,所有分支机构的员工就象在总部办公一样,这对总部对分支机构的管理将是一个极大的飞跃。此外,通过这一种网络的虚拟互联,可以实现总部与分支机构间的免费IP电话、IP传真通信,甚至用非集中的网络视频会议就可以代替大部分的人员集中式、花费很高的各类会议;两个或多个业务有直接连接的异地机构或部门不需要占用总部的网络资源实现网络连接;等等。
(3)虚拟连接通信加密
分部的PIX515和总部的高端防火墙之间,可以建立3倍DES的VPN通道。VPN通道可实现网络通信数据的加密和认证,并且提供保证数据完整性的技术手段[4]。
企业网络系统安全需求分析与设计 第24页 共30页
4.5防火墙系统集中管理
企业具有多个地理上分散的下属企业,为了保证企业内部网络的安全性,在前面的章节中我们建议总部及各分部建立相应的防火墙系统。这个分散的防火墙系统的设置和管理就显得非常重要,因为它某一处的漏同将影响整个企业Intranet的安全性。
在此防火墙系统的管理上,有分散和集中两种方式。分散方式让各下属企业管理各自的防火墙。此方式在大型企业中存在较大的缺点,首先它对各下属企业的网络管理员要求非常高,相应提高了企业的管理成本;其次,当下属企业较多时,由于各自制定安全策略,存在安全隐患较大,同时,当出现安全问题时,由于没有实现统一监控,很难判断问题出现在何处,从而不能及时解决问题。集中方式将对所有防火墙实现集中的管理,集中制定安全策略,这将很好的克服以上缺点。
故推荐企业对防火墙系统实行统一的管理。
4.6防火墙选型设计说明
在企业网络安全系统中,作为当今网络基础设施的重要组成部分,防火墙系统是最重要的系统部分。防火墙选型设计建议书的优劣,不仅对实现企业网络系统的安全设计目标起着决定性的影响,而且会对整个网络系统的应用效率产生极大的影响[2]。
正如前面所提到的,企业的网络应用模式在近期的一两年后会最终全部过渡到B/S的应用结构模式,而且除了各类业务应用外,在企业的网络系统中还将存在音视频的实时应用。因此针对这些应用的网络连接应用和数据传输的特点,本建议书在充分考虑所选择的设备安全性能的因素同时,还重点考虑所选设备的网络处理能力。
为了使防火墙设备的选型达到一个比较理想的结果,在此有必要对防火墙的选型作比较详细的说明。
(1)评价防火墙产品的基本要素
只有清楚如何评价防火墙产品优劣的方法,或者了解评价一个防火墙产品的基本要素,在网络安全系统设计中,才能作出一个最合适的选型设计。[5]
评价一个防火墙产品优劣所设计的因素(或者技术要素)很多,很难有一个大而全的评价方法和测试手段对防火墙产品的每一个方面进行完全的评价。我们只能对防火墙产品的几大方面进行评价。
对防火墙产品的评价一般是从安全性(侧重功能方面)、技术性能指标、管理的方便性等几方面综合评价。
企业网络系统安全需求分析与设计 第25页 共30页
(2)评价防火墙的一般方法
根据上节提到的几个方面,利用具有代表性的、被大部分产品制造商和用户认同的网络环境对防火墙产品进行客观测试,其结果基本上可以反映产品的优劣真实情况。
本设计考虑企业的网络应用特点,按照以上介绍的几方面要素,从以下几方面比较评价防火墙产品,如下表4-1:
表4-1 防火墙产品评价 评价类别 评价及比较项目 1. 管理接口是否简单易用 。 Management 2. VPN tunnel 的建立过程是否简单 。 3. 各家产品可否互通(互通性测试) 1. 系统是否有安全漏洞 。 Security 2.系统被攻击时是否会log 起来 。 3.攻击DMZ 内主机时,系统是否会将攻击型态log 起来,甚至替DMZ内主机阻挡攻击 。 1. NAT 开启及关闭时的无封包遗失最大输出性能(no-loss max Packet Firewall Level throughput)及封包延迟(latency)。 2. 10 及100 条防火墙规则时的无封包遗失最大输出性能及封包延迟。 1. 10 及100 条URL entries 时,一个web client 每秒钟所能建URL Level Firewall 立的连结数(connection)与输出性能(throughput)。 2. 10 及100 条URL entries 时的最大连结(connection)数、输出性能以及交易延迟(transaction latency)。 1.启及关闭Java / ActiveX / JavaScript 时,一个web client 每秒Content Level Firewall 钟内所能建立的连结数与输出性能 。 2.开启及关闭Java / ActiveX / JavaScript 时的最大连结数、输出性能以及交易延迟 。 1.建立1 个LAN-to-LAN tunnel 时的无封包遗失最大输出性能及封包延迟 。 VPN 2.建立20 个LAN-to-LAN tunnel 时的无封包遗失最大输出性能及封包延迟 。
企业网络系统安全需求分析与设计 第26页 共30页
(3)几种流行防火墙产品的比较
附件为独立的第三方测试机构的评测报告,有的侧重于功能比较,有的侧重于性能参数比较,供参考。我们可以得出结论:从我们对防火墙产品的认识,以及参考第三方的测试结果来看,在设计企业网络安全方案时,选择PIX的防火墙是目前最佳的选择[4]。
PIX防火墙主要安全解决方案功能介绍: HA
HA高可用性是PIX产品的最重要功能之一 VSYS
PIX允许在一台物理防火墙中创建多个虚拟防火墙系统,每个虚拟系统拥有独立的地址簿、策略和管理等功能。虚拟系统与802.1q VLAN标记相结合,把安全域延伸到整个交换网络中。PIX设备和相应的VLAN交换网络,可以表现为多个具有完全安全特性的防火墙系统。优点:简化网络结构、降低维护成本。基于VLAN的逻辑子接口,除了配合不同的Vsys通过一个物理接口连接到多个网络外,还可以单独使用,其表现就像一个独立的物理接口一样具有众多的可配置特性。防火墙系统会识别带由tag的帧,并转换成正常的以太帧进行防火检测、路由、策略等基本操作[5]。
Mode
PIX产品有三种工作模式:Transparent,Route,NAT。三种工作模式下,所有用户和服务器上现存的应用程序都不需修改。
Transparent方式可以将防火墙无缝隙地下装到任何现存的网络,而无须重新编号,无须重新设计网络,也不必要停工。在这种方式下,防火墙将相同子网的网段桥接起来。防火墙建立一个MAC学习表,自动地自学哪些帧要进行转发,哪些帧要忽略。对要转发的帧,再进行状态检查,实现防火、VPN、流量管理等基本功能[6]。
Route方式能够在无须地址转换的网络之间插入防火墙。这种方式可用于保护同一企业网内部的局域网,免遭内部人员的偷窥或盗窃。防火墙的作用相当于一台路由器,同时执行严格策略检查、攻击检测等。Route方式下可以同时实现NAT功能。
NAT方式用在需要做私有地址到公有地址转换的网络环境中。 三种工作模式下的网络环境示意图如图4-4:
企业网络系统安全需求分析与设计 第27页 共30页
图4-4 三种工作模式下的网络环境[6]
流量控制功能
PIX防火墙的技术核心是ASIC,可以硬件完成三大功能:防火墙、VPN、流量管理。流量管理允许网络管理员实时监视、分析和分配供各类网络流量使用的带宽,确保在部分用户使用网络时不会损害关键业务型流量。PIX专利流量算法可以精确控制带宽分配:设置有保障的带宽和最大带宽,类似于帧中继的带宽管理性能;通过8级优先级,为流量分配优先权;Diffserv。
PIX防火墙对流量的控制是基于Policy的。因为防火墙对Policy的控制可以根据源地址、目标地址、源端口、目标端口、以及时间段等多种相当灵活的因素,因此对流量的控制也是高度灵活的[2]。
应用流量控制,可以防止某些应用或某些用户无限制的消耗带宽,或防止某些攻击耗尽带宽,而有效的、有目的地合理分配。
针对企业网络,本设计建议采用的解决方案如下: ➢ 不改动现有网络设置[1],如表4-2所示:
表4-2 网络设置(一)
Mode 应用PIX设备的
VSYS Transparent模式下HA Transparent适合的PIX设备 PIX515 企业网络系统安全需求分析与设计 第28页 共30页 Transparent模式,可以不支持对VSYS的支模式下PIX防保持现有的网络设置,持,但支持VLAN tag,火墙可以支持而无需做任何改动。 可以配合局部的交换机Active-Passive使用,由交换机区别不的HA 同部门或不同的应用
➢ 改动现有网络设置(或新建设的网络)[1],如表4-3所示:
表4-3 网络设置(二)
Mode 应用PIX设备VSYS Route模式下支HA Route模式下PIX525 PIX535 适合的PIX设备 PIX515/525/支持的Route模式,只需持VLAN tag,可以配PIX防火墙可以支535 改动原有网络的路合局部的交换机使持Active-Passive的Active-Passive 由信息。用户原先的用,由交换机区别不HA以及HA; 应用设备不需改动同部门或不同的应Full-Meshed 配置。 用;同时支持VSYS,Active-Active HA,可以把PIX防火墙虚从高可用性和性能拟成多个逻辑防火墙的角度来综合考虑,供不同的部门或不同建的应用使用 议采用Full-Meshed Active-Active HA方案
企业网络系统安全需求分析与设计 第29页 共30页
5结束语
课程设计目的在于开阔眼界,把课本知识付诸实际实践,给予学生处理实际问题的机会,而不应该只是一味地从网上搜索,这种快餐式文化,显然是与课程设计的目的背道而驰的。但应该适当利用网上资源,参考前人的思路,提取优点,然后再用自己的思路进行设计。对大四学生来说,更应该重视与珍惜课程设计,因为这是个很好的实践机会,然后应该深入了解题目,理清思路,通过课程设计培养联系实际和解决实际问题的能力。
通过这次计算机网络工程课程设计,我更加充分的理解了课本上的知识,对企业网络安全有了透彻的理解,掌握了设计网络安全系统的基本步骤,尤其是慢慢学会了如何进行应用需求。此外对网络安全系统的防火墙系统设计管理及VPN设计也有了深入的了解,通过这次课程设计提高了我解决问题的能力,巩固了我网络专业的知识,再一次体会到课程设计所需的耐性和认真!也认识到计算机网络工程并非是对书本知识的生搬硬套,它需要以书本知识为基础再加以拓展和延伸,灵活运用最为重要!
这次计算机网络工程课程设计历时两个星期,在这些日子里,我学到很多很多的的东西,同时不仅可以巩固了以前所学过的知识,而且学到了很多在书本上所没有学到过的知识。通过这次课程设计使我懂得了理论与实际相结合是很重要的,只有理论知识是远远不够的,只有把所学的理论知识与实践相结合起来,从理论中得出结论,才能真正为社会服务,从而提高自己的实际动手能力和独立思考的能力。在设计的过程中遇到问题,发现了自己的不足之处,对以前所学过的知识理解得不够深刻,掌握得不够牢固。为了完成课程设计,而且解决企业网络安全系统需求分析及设计的资料比较少,我花费了很多的时间去看相关书籍,查找了很多网页。由于有《计算机网络设计》这门课程做基础,在上课时学到了许多相关的知识,最终这次课程设计还是比较顺利地完成了。
企业网络系统安全需求分析与设计 第30页 共30页
参考文献
[1] 易建勋. 计算机网络设计[M] . 北京:人民邮电出版社,2009
[2] 蔡学军,梁广民,王隆杰,张立娟. 网络互联技术[M]. 北京:高等教育出版社,2007 [3] 沈海娟. 网络互联技术—广域网[M] . 北京:浙江大学出版社,2006 [4] 范刚,章千. 中小型企业网络安全方案. 北京:电子工业出版社,2002
[5] Doyle Jeff,Carroll J.D. 夏俊杰译. 网络安全技术(第二卷)[M]. 北京:人民邮电出版社,2009
[6] 邱禄瑞 徐晓. 企业CIMS/MIS下的网络系统设计方案. 汽车科技,2002
因篇幅问题不能全部显示,请点此查看更多更全内容