ccxx

企业网网络安全系统

设计建议书

NetScreen

目录

1 概述... 4

1.1 企业建立网络安全系统的必要性... 4

1.2 安全建议书的设计原则... 4

1.3 安全技术体系分析模型介绍... 5

1.3.1 安全服务维... 5

1.3.2 协议层次维... 6

1.3.3 系统单元维... 6

1.4 安全技术体系的理解及实践... 6

1.4.1 安全体系的理解... 6

1.4.2 构建安全系统的基本目标... 7

1.4.3 网络安全系统的技术实施... 7

2 应用需求分析... 9

2.1 网络基础层安全需求分析... 9

2.1.1 Internet连接安全保护... 9

2.1.2 广域网连接的安全保护... 9

2.1.3 虚拟连接广域网的安全保护... 11

2.1.4 其他安全保护辅助措施... 11

2.2 系统安全需求分析... 12

2.3 应用安全管理需求分析... 12

2.3.1 主机系统... 12

2.3.2 网络设备安全管理... 13

2.3.3 移动用户的访问控制访问... 13

2.3.4 VPN上的认证... 13

2.3.5 应用层安全保护... 14

2.4 应用对安全系统的要求分析... 14

2.4.1 网络应用系统的现状及发展说明... 14

2.4.2 面向应用系统的防火墙系统设计要求... 15

3 安全系统实现目标... 16

3.1 网络基础层安全系统建设目标... 16

3.1.1 Internet及Extranet进出口控制... 16

3.1.2 VPN应用... 16

3.1.3 防火墙系统的功能实现要求总结... 17

3.2 应用辅助安全系统的建设目标... 17

4 网络安全系统的实施建议... 19

4.1 系统设计的基本原则... 19

4.2 安全系统实施步骤建议... 19

4.3 防火墙系统实施建议... 20

4.3.1 Internet进出口控制... 20

4.3.2 广域网进出口控制... 23

4.3.3 虚拟连接广域网出入口控制... 26

4.4 VPN系统设计... 26

4.4.1 广域网链路加密... 27

4.4.2 虚拟连接组网建议... 27

4.4.3 虚拟连接通信加密... 29

4.5 防火墙系统集中管理... 29

4.6 防火墙选型设计说明... 30

4.6.1 评价防火墙产品的基本要素... 31

4.6.2 评价防火墙的一般方法... 31

4.6.3 几种流行防火墙产品的比较... 32

ccxx

1.1 安全技术体系分析模型介绍

安全方案必须架构在科学的安全体系和安全框架之上，因为安全框架是安全方案设计和分析的基础。

为了系统、科学地分析网络安全系统涉及的各种安全问题，网络安全技术专家们提出了三维安全体系结构，并在其基础上抽象地总结了能够指导安全系统总体设计的三维安全体系（见图1-1），它反映了信息系统安全需求和体系结构的共性。具体说明如下：

图1-1安全框架示意图

1.1.1 安全服务维

安全服务维（第一维，X轴）定义了7种主要完全属性。具体如下：

身份认证，用于确认所声明的身份的有效性；

访问控制，防止非授权使用资源或以非授权的方式使用资源；

数据保密，数据存储和传输时加密，防止数据窃取、窃听；

数据完整，防止数据篡改；

不可抵赖，取两种形式的一种，用于防止发送者企图否认曾经发送过数据或其内容和用以防止接收者对所收到数据或内容的抗否认；

审计管理，设置审计记录措施，分析审计记录；

可用性、可靠性，在系统降级或受到破坏时能使系统继续完成其功能，使得在不利的条件下尽可能少地受到侵害者的破坏。

1.1.2 协议层次维

协议层次维（Y轴）由ISO/OSI参考模型的七层构成。与TCP/IP层次对应，可以把会话层、表示、应用层统一为“应用层”。

1.1.3 系统单元维

系统单元维（Z轴）描述了信息网络基础构件的各个成分。

通信平台，信息网络的通信平台；

网络平台，信息网络的网络系统；

系统平台，信息网络的操作系统平台；

应用平台，信息网络各种应用的开发、运行平台；

物理环境，信息网络运行的物理环境及人员管理。

ccxx

1.1.1 网络安全系统的技术实施

构筑网络安全系统的最终目的是对网络资源或者说是保护对象，实施最有效的安全保护。

从网络的系统和应用平台对网络协议层次的依赖关系不难看出，只有对网络协议结构层次的所有层实施相应有效的技术措施，才能实现对网络资源的安全保护。

针对一般网络系统的结构和应用要求，为了达到保护网络资源的目的，必须在网络协议层实施相应的安全措施，如下表1。

表1 （ * 表示需要实施）

	物理层	数据链路层	网络层	传输层	会话层	表示层	应用层
认证			*	*		*	*
访问控制			*	*		*	*
数据保密	*	*	*	*		*	*
数据完整性			*	*		*
不可抵赖性						*
审计			*	*	*		*
可用性	*	*	*	*

在本建议书中，我们建议企业网络系统通过防火墙系统、VPN应用系统、认证系统和网络漏洞扫描及攻击检测系统实现表1中的安全手段实施。

ccxx

1.1.1 应用层安全保护

这里的应用层，主要指企业的信息资源管理系统（ERP）。在员工进入ERP系统时需要输入用户名称和密码，同样的原因，单一静态密码的不安全性使得我们有必要在ERP系统上采用强的认证机制，保证不同权限的、不同级别的用户安全合法的使用ERP系统。

ERP系统上单一静态密码的安全隐患主要有：

Ø 用户无法保证办公文件能正确的接受，在接受之前没有被其他人浏览过。

Ø 单一密码容易泄露，一旦密码泄露，其恶果可能会很严重。

Ø 高级别的用户在远程授权以后，需要及时地更改密码。

以上讨论了企业网络系统各个不同应用的安全认证问题，不难看出，上述的应用都必须在原有的单一静态认证基础上，增加更加强大的认证手段，因此我们建议在企业网络安全系统内引入动态认证机制，即动态的SecurID。

加入的RSA SecurID必须提供通用的API，使用户可以将RSA SecurID认证内嵌到ERP系统或其他的应用系统中，保证公司内部网络用户接收MAIL和文件的安全，验证用户身份，并创建用户登录日志文件。

为了使系统的认证操作和对非法访问的拦截更加有效，所有认证的转发和认证结果的处理都由防火墙来操作完成，即对所有被认证系统认定为非合法访问的服务请求，通过防火墙“掐断”其访问连接，而不是通过应用系统直接拒绝访问服务。这是防火墙系统设计时必须考虑的可实现功能之一

ccxx

1.1.1 面向应用系统的防火墙系统设计要求

根据企业网络应用系统的现状以及未来系统的结构发展，我们认为着重考虑企业的B/S结构应用特点，是防火墙系统技术指标设计的主要依据。

众所周知，防火墙作为网络设备，对网络性能影响最为主要的是两个参数指标，一个是防火墙的TCP连接处理能力（并发会话处理数），另一个是防火墙对网络数据流量的吞吐能力（带宽参数）。

B/S结构的应用系统虽然具有管理简单，客户端开发、使用和维护的成本很低的优点，但是在网络上B/S结构应用系统将会给网络带来巨大的网络流动数据处理压力，而且是并发的。具体来说，B/S结构的应用系统在网络上使用，会给网络防火墙带来数倍甚至数十倍于C/S结构应用系统的并发TCP会话数量，而且这些会话绝大部分是包长很短的“垃圾”IP包。

由此可见，在设计企业防火墙系统时，足够大的TCP会话处理能力，是我们选择防火墙（包括VPN）产品考虑的主要因素。

通过对各类防火墙的比较分析，我们认为目前面向B/S结构应用的防火墙设备，硬件防火墙是最为明智的选择。

ccxx

1.1.1 广域网进出口控制

企业具有多个地理上分散的分部，各分部和总部之间租用电信专线互联，形成以总部为中心的集团广域网。分散的企业给网络安全管理造成了一定的难度，而且企业内部攻击的成功可能性远大于外部攻击，造成的危害更严重，因此全方位的网络保护是不仅防外，还应防内。

企业内部防范主要是确保总部和各公司的安全，加强广域网的进出口控制，我们建议在总部及各分部的广域网出口处配备防火墙来加强内部网络保护，见下图。该防火墙系统起到防御内部攻击、阻止入侵行为进一步扩大升级的作用，避免某段网络范围内发生的入侵破坏扩大至整个企业网络，把来自内部攻击造成的破坏减低到最低程度，保护其它网络部分的正常工作。

根据企业升级后的网络拓扑结构，广域网链路和设备都具备了较强的冗余备份能力，总部的路由器和中心交换机配置均采取了双机热备方式。考虑到总部的广域网防火墙是位于路由器和中心交换机之间，所以也必需做冗余配置，否则会成为广域网设备中的单点故障点，使路由器和中心交换机所做的备份措施失去意义。

ccxx

四、企业的应用建议

目前许多分支机构与总部之间的数据传送通过长途拨号MODEN传输或互联网的邮件服务方式进行，这种方式不仅费用高，而且永远实现不了实时的集中管理，相信企业希望有一个更加实用的解决方案。

如果在总部配置一台NS1000的高性能防火墙，异地分支机构配备一台5XP，就可以实现所有分支机构和总部的实时联网，所有分支机构的员工就象在总部办公一样，这对总部对分支机构的管理将是一个极大的飞跃。此外，通过这一种网络的虚拟互联，可以实现总部与分支机构间的免费IP电话、IP传真通信，甚至用非集中的网络视频会议就可以代替大部分的人员集中式、花费很高的各类会议；两个或多个业务有直接连接的异地机构或部门不需要占用总部的网络资源实现网络连接；等等。

ccxx

1.1 防火墙系统集中管理

企业具有多个地理上分散的下属企业，为了保证企业内部网络的安全性，在前面的章节中我们建议总部及各分部建立相应的防火墙系统。这个分散的防火墙系统的设置和管理就显得非常重要，因为它某一处的漏同将影响整个企业Intranet的安全性。

在此防火墙系统的管理上，有分散和集中两种方式。分散方式让各下属企业管理各自的防火墙。此方式在大型企业中存在较大的缺点，首先它对各下属企业的网络管理员要求非常高，相应提高了企业的管理成本；其次，当下属企业较多时，由于各自制定安全策略，存在安全隐患较大，同时，当出现安全问题时，由于没有实现统一监控，很难判断问题出现在何处，从而不能及时解决问题。集中方式将对所有防火墙实现集中的管理，集中制定安全策略，这将很好的克服以上缺点。

我们推荐企业对防火墙系统实行统一的管理。

ccxx

1.1 防火墙选型设计说明

在企业网络安全系统中，作为当今网络基础设施的重要组成部分，防火墙系统是最重要的系统部分。防火墙选型设计建议书的优劣，不仅对实现企业网络系统的安全设计目标起着决定性的影响，而且会对整个网络系统的应用效率产生极大的影响。

正如前面所提到的，企业的网络应用模式在近期的一两年后会最终全部过渡到B/S的应用结构模式，而且除了各类业务应用外，在企业的网络系统中还将存在音视频的实时应用。因此针对这些应用的网络连接应用和数据传输的特点，本建议书在充分考虑所选择的设备安全性能的因素同时，还重点考虑所选设备的网络处理能力。

为了使防火墙设备的选型达到一个比较理想的结果，在此有必要对防火墙的选型作比较详细的说明。

（注：以下对各厂家防火墙产品的评价数据和结果，均来自第三方中立机构的测试报告，这些第三方机构包括 —— Comweb & Network Test Inc. ，Tolly Group，台湾国立交通大学信息科学所）

1.1.1 评价防火墙产品的基本要素

只有清楚如何评价防火墙产品优劣的方法，或者了解评价一个防火墙产品的基本要素，在网络安全系统设计中，才能作出一个最合适的选型设计建议书。

评价一个防火墙产品优劣所设计的因素（或者技术要素）很多，很难有一个大而全的评价方法和测试手段对防火墙产品的每一个方面进行完全的评价。我们只能对防火墙产品的几大方面进行评价。

对防火墙产品的评价一般是从安全性（侧重功能方面）、技术性能指标、管理的方便性等几方面综合评价。

1.1.2 评价防火墙的一般方法

根据上节提到的几个方面，利用具有代表性的、被大部分产品制造商和用户认同的网络环境对防火墙产品进行客观测试，其结果基本上可以反映产品的优劣真实情况。

本建议书考虑企业的网络应用特点，按照以上介绍的几方面要素，我们将从以下几方面比较评价防火墙产品，如下表：

评价类别	评价及比较项目
Management	1. 管理接口是否简单易用 。 2. VPN tunnel 的建立过程是否简单 。 3. 各家产品可否互通(互通性测试)
Security	1. 系统是否有安全漏洞 。 2．系统被攻击时是否会log 起来 。 3．攻击DMZ 内主机时，系统是否会将攻击型态log 起来，甚至替DMZ内主机阻挡攻击 。
Packet Level Firewall	1. NAT 开启及关闭时的无封包遗失最大输出性能(no-loss max throughput)及封包延迟(latency)。 2. 10 及100 条防火墙规则时的无封包遗失最大输出性能及封包延迟。
URL Level Firewall	1. 10 及100 条URL entries 时，一个web client 每秒钟所能建立的连结数(connection)与输出性能(throughput)。 2. 10 及100 条URL entries 时的最大连结(connection)数、输出性能以及交易延迟(transaction latency)。
Content Level Firewall	1．启及关闭Java / ActiveX / JavaScript 时，一个web client 每秒钟内所能建立的连结数与输出性能 。 2．开启及关闭Java / ActiveX / JavaScript 时的最大连结数、输出性能以及交易延迟 。
VPN	1．建立1 个LAN-to-LAN tunnel 时的无封包遗失最大输出性能及封包延迟 。 2．建立20 个LAN-to-LAN tunnel 时的无封包遗失最大输出性能及封包延迟 。