1、 可修改 歡送下載 精品 Word 可修改 歡送下載 精品 Word 可修改 歡送下載 精品 Word企業(qy)網絡系統防火墻應用方案武漢貝安科技(kj)2003年8月目錄(ml) TOC o 1-2 h z HYPERLINK l _Toc476724341 1.前言(qin yn) PAGEREF _Toc476724341 h 3 HYPERLINK l _Toc476724342 2.企業(qy)網絡系統概述 PAGEREF _Toc476724342 h 3 HYPERLINK l _Toc476724343 3.平安(png n)需求(xqi)分析 PAGEREF _Toc476

2、724343 h 5 HYPERLINK l _Toc476724344 3.1風險分析 PAGEREF _Toc476724344 h 5 HYPERLINK l _Toc476724345 3.2平安需求 PAGEREF _Toc476724345 h 6 HYPERLINK l _Toc476724346 4.基于網絡衛士防火墻的企業網平安方案 PAGEREF _Toc476724346 h 7 HYPERLINK l _Toc476724347 4.1網絡衛士防火墻在企業網中的位置 PAGEREF _Toc476724347 h 7 HYPERLINK l _Toc476724348

3、4.2網絡衛士防火墻在企業網中的作用 PAGEREF _Toc476724348 h 9 HYPERLINK l _Toc476724349 4.3 網絡衛士防火墻典型配置策略 PAGEREF _Toc476724349 h 13 HYPERLINK l _Toc476724350 5.企業網建設的其它平安考慮 PAGEREF _Toc476724350 h 13 1.前言以Internet為代表的全球性信息化浪潮日益深刻，信息網絡技術的應用正日益普及和廣泛，應用層次正在深入，應用領域從傳統的、小型業務系統逐漸向大型(dxng)、關鍵業務系統擴展，典型的如行政部門業務系統、金融業務系統、企業商

4、務系統等。伴隨網絡的普及，平安(png n)日益成為影響網絡效能的重要(zhngyo)問題，而Internet所具有的開放性、國際性和自由性在增加(zngji)應用自由度的同時，對平安(png n)提出了更高的要求。如何使信息網絡系統不受黑客和工業間諜的入侵，已成為政府機構、企事業單位信息化健康開展所要考慮的重要事情之一。2.企業網絡系統概述作為企業，其網絡系統的建設除了要滿足企業內部工作人員訪問Internet和企業內部相關部門的互訪外，還必須能夠使公眾通過INTRNET訪問企業網，查詢公眾所需的企業信息，了解企業的相關動態。這就要求企業網要有很高的可靠性、平安性和保密性。因此我們在企業網的

5、建設中應采用企業級防火墻技術。在網絡方面最好選用具有第三層虛擬網技術的設備，把保密性強的部門如財務部門或研發部門劃分到同一虛擬網內，使未被授權的人員不能訪問其部門的信息。另外，根據企業規模開展的要求，當前所建網絡系統應能夠滿足今后的擴充與升級，這就要求我們所選的網絡產品以及平安產品在當今應處于業界領先地位，且易于升級和留有擴充容量。在網絡的遠程接入方面，要求該網絡系統應滿足一些出差的企業工作人員隨時的能夠通過撥號或Internet平安地訪問局域網與企業傳遞信息，防止非法用戶的進入。從企業(qy)長遠開展(kizhn)角度(jiod)，在同各地區分支機構的連接中，可選用(xunyng)DDN專線

6、(zhunxin)同企業核心網連接，平安保密問題也是非常重要的。一般，企業網絡拓撲結構如下。InternetWWW、DNS、MAIL/PROXY Server中心LAN路由器交換機/HUBWAN分支LAN分支LAN3.平安需求分析建立網絡平安策略的一個重要要素是確保投入平安保護與維護上的代價得到相應的收益。因此，我們必須對網絡資源及存在的平安漏洞進行風險評估，對平安威脅進行分析，然后列出用戶的平安需求，最后制定合理的平安策略及平安解決方案。3.1風險(fngxin)分析 風險分析的一個(y )步驟是判定需要保護的所有資源，特別是受平安(png n)問題影響的資源。這些資源包括：主機、工作站、各

7、種網絡設備等硬件；源程序、應用程序、操作系統等軟件(run jin)；在線存儲、傳輸、及備份數據；等等。 針對上述的企業網絡系統，尚未建立(jinl)系統的平安防護體制，存在著明顯的平安威脅。全網易受入侵，特別是對外提供效勞的公開效勞器如WWW效勞器等，更容易成為黑客的攻擊目標。而且如果攻擊者占領對外提供效勞的效勞器，那么攻擊者非常容易進入內部網絡。因此對內部網絡與外部網之間需使用平安的訪問控制系統。系統的認證強度低。首先，整個網絡內部用戶及合法的外部用戶均擁有同樣的平安權限，可以有權地訪整個網絡任何平安級別的資源。其次，如果通過簡單靜態的通行字進行身份鑒別，一旦身份鑒別通過，用戶即可訪問整個

8、網絡。侵襲者可以通過三種方式很容易地獲取通行字：一是內部的管理人員因平安管理不當而造成泄密；二是通過在公用網上搭線竊取通行字；三是通過假冒，植入嗅探程序，截獲通行字。侵襲者一旦掌握了通行字，即可在任何地方通過網絡訪問全網，并可能造成不可估量的損失。系統保密性差。如果遠程移動用戶、企業分支機構通過INTERNET或通過公用網絡如X.25、FR、PSTN與企業中心內部網建立連接，全部線路上的信息多以明文的方式傳送，其中包括登錄通行字和一些敏感信息甚至是涉密信息，如有關企業商務數據信息，可能被侵襲者截獲、竊取和篡改，造成泄密。易受欺騙性。由于網絡主要(zhyo)采用的是TCP/IP協議(xiy)，不

9、法分子就可能獲取IP地址(dzh)，在合法用戶關機時，冒充該合法用戶，從而竄入網絡效勞(xio lo)或應用系統，竊取甚至篡改(cungi)有關信息，乃至會破壞整個網絡。數據易損。由于目前尚無平安的數據庫及個人終端平安保護措施，還不能抵御來自網絡上的各種對數據庫及個人終端的攻擊；同時一旦不法分子針對網上傳輸數據作出偽造、刪除、竊取、竄改等攻擊，都將造成十分嚴重的影響和損失。缺乏對全網的平安控制與管理。當網絡出現攻擊行為或網絡受到其它一些平安威脅時如內部人員的違規操作等，無法進行實時的監控、報告與預警。同時，當事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性

10、。3.2平安需求 確切了解網絡信息系統需要解決哪些平安問題是建立合理平安需求的根底。基于企業計算機網絡系統拓撲結構及實際應用情況，需要解決如下平安問題：企業中心局域網內部的平安問題，包括平安域的劃分以及VLAN的實現在網絡邊界企業中心LAN與INETRNET或WAN之間如何實現平安性，包括網絡的隔離與相互訪問控制應用系統如何保證平安性如何防止黑客對網絡、主機、效勞器等的入侵如何實現數據庫與個人終端的平安跨公共網絡進行信息傳輸的平安保密性4.基于網絡衛士(wi sh)防火墻的企業網平安(png n)方案(fng n)Internet的開展(kizhn)給企業帶來了革命性的改革和開放。他們正努力(

11、n l)通過利用Internet來提高辦事效率和市場反響速度，以便更具競爭力。通過Internet，企業可以從異地取回重要數據，同時又要面對Internet開放帶來的數據平安的新挑戰和新危險：即客戶、銷售商、移動用戶、異地員工和內部員工的平安訪問；以及保護企業的機密信息不受黑客和工業間諜的入侵。因此企業必須加筑平安的戰壕，而這個戰壕就是防火墻。防火墻技術是建立在現代通信網絡技術和信息平安技術根底上的應用性平安技術，越來越多地應用于專用網絡與公用網絡的互聯環境之中，尤其以接入Internet網絡為最甚。4.1網絡衛士防火墻在企業網中的位置防火墻是指設置在不同網絡如可信任的企業內部網和不可信的公共

12、網或網絡平安域之間的一系列部件的組合。它是不同網絡或網絡平安域之間信息的唯一出入口，能根據企業的平安政策控制允許、拒絕、監測出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息平安效勞，實現網絡和信息平安的根底設施。 在邏輯上，防火墻是一個別離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的平安。一個企業內部網通過一個邊界路由器與Internet相連，防火墻安裝于邊界路由器與內部網之間，通常防火墻有兩個端口即兩塊物理網卡，其中一個端口接外部路由器，另以端口接內部網如接內部路由器、交換機等。 為適應越來越多的用戶向Internet上提供效

13、勞時對效勞器保護的需要，網絡衛士防火墻根本配置有三個接口采用分別保護的策略對用戶上網的對外效勞器實施保護，它提供一專用接口將對外效勞器作為一個獨立網絡處理，對外效勞器既是內部網的一部份，又與內部網關完全隔離。這就是平安效勞器網絡 SSN技術，對SSN上的主機既可單獨管理，也可設置成通過FTP、Telnet等方式從內部網上管理。InternetWWW、DNS、MAIL/PROXY Server中心LAN路由器WAN分支LAN分支LAN防火墻4.2網絡(wnglu)衛士防火墻在企業網中的作用實現企業(qy)內部局域網與INTERNET之間的隔離(gl)與相互訪問控制如采用(ciyng)如下訪問控制

14、平安(png n)策略：允許內部那些主機基于IP地址訪問INTERNET；不容許內部那些主機基于IP地址訪問INTERNET；允許內部那些用戶基于一次性強口令認證訪問INTERNET，而不受主機IP地址的限制；允許內部主機或用戶訪問INTERNET哪鐘或哪些效勞如WWW、FTP、SMTP等，而不允許訪問哪些效勞；允許內部用戶訪問INTERNET的時間；完全禁止INTERNET用戶訪問內部網。實現(shxin)對內部網各網段之間的訪問控制通常，專用(zhunyng)的內部網防火墻被用來隔離內部網絡的一個網段與另一個網段。這樣，就能防止影響一個網段的問題穿過整個網絡傳播。因為針對某些重要業務網絡系

15、統，它的一些局域網的某個網段可能比另一個網段更受信任，或者某個網段比另一個更敏感。而在它們之間設置防火墻就可以限制局部網絡平安(png n)問題對全局(qunj)網絡造成的影響。網絡(wnglu)衛士防火墻系統通過設置虛擬網卡，可以實現對內部網不同網段的隔離與訪問控制。 防火墻的每一個接口代表一塊物理網卡，每塊物理網卡可重載十個虛擬網卡。因此，每個端口可以配置十一個IP地址，從而防火墻的一個端口就可以管理十一個子網，極大地擴展了設備的功能如不必再使用專用的內部防火墻。實現對公開效勞器的平安保護網絡衛士防火墻系統采用SSN方式實現對公開效勞器的平安保護。SSN的方法提供的平安性要比傳統的“隔離區

16、DMZ方法好得多，因為SSN與外部網之間有防火墻保護，SSN與內部網之間也有防火墻的保護，而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之，一旦SSN受破壞，內部網絡仍會處于防火墻的保護之下，而一旦DMZ受到破壞，內部網絡便暴露于攻擊之下。另外，利用網絡衛士防火墻的應用平安控制功能，可以實現URL阻斷及HTTP、FTP協議下交互操作命令和指令的過濾。如控制訪問WWW效勞器的URL、目錄文件等，同時控制用戶的操作如GET、PUT等，防止用戶對效勞器文件的非法修改等。再者，網絡衛士(wi sh)防火墻系統還提供IP映射(yngsh)功能。如果企業希望(xwng)內部網絡中的效勞(

17、xio lo)器可以(ky)讓Internet用戶訪問的話，可以利用映射功能，為內部網絡效勞器作靜態地址映射，這樣Internet用戶就可以通過防火墻系統直接訪問該效勞器了。實現對遠程移動用戶的平安認證與訪問權限控制企業客戶、伙伴及員工如果想通過Internet連接到內部網絡，可以使用網絡衛士防火墻系統的一次性口令認證功能。用戶只要通過系統認證，就可以通過防火墻訪問內部網絡。 一次性口令認證機制極大地提高了訪問控制的平安性，有效阻止非授權用戶進入網絡，從而保證網絡系統的可用性。 一次性口令用戶認證的根本過程是：首先用戶向防火墻發送身份認證請求，并指明自己的用戶名，防火墻收到請求后，向用戶提出挑

18、戰，用戶收到挑戰后，結合自己的口令，產生答復，防火墻判斷用戶答復是否正確，并給出相應信息，如果用戶連續三次認證失敗那么在一定時間內禁止該用戶認證。由于采用一次性的口令認證機制，即使竊聽者在網絡上截取到口令，也無法在利用這個口令與內部網建立連接。另外，網絡衛士防火墻系統可以根據企業平安策略，將一次性口令認證與防火墻其它平安機制結合使用，實現對用戶訪問權限的控制，即控制經過認證用戶訪問的網絡、網段、主機、協議、用戶等。同時，一次性口令認證方式也可以用來控制內部網絡用戶的對外訪問。代理內部用戶訪問INTERNET網絡(wnglu)衛士防火墻提供了NAT功能，并可根據(gnj)用戶需要靈活配置。當內部

19、網用戶需要對外訪問時，防火墻系統將會代替用戶進行訪問，并將結果透明地返回用戶，相當于一個IP層代理，從而(cng r)解決企業IP地址(dzh)缺乏(quf)的問題，同時隱藏了內部網的結構，強化了內部網的平安。防止內部用戶IP盜用網絡衛士防火墻具有IP與MAC捆綁功能，它保護內部網某一臺機器的 IP 地址不被另一臺內部機器盜用。也就是說，如果要保護的機器與防火墻直接相連，可以將此機器的 IP 與其物理網卡捆綁，這樣其他內部機器就不可能使用它的 IP。實現對專線資源的流量管理與控制流量缺乏是企業網絡管理者遇到的最麻煩的問題之一，由于一些用戶使用如FTP之類大量消耗網絡資源的應用，占用了大局部流量

20、，影響了其它用戶正常使用網絡。對于專線用戶，這個問題特別嚴重。 網絡衛士防火墻系統可方便的根據IP地址等對流量進行控制，以防止線路資源的不正常消耗，有效地管理專線資源，從而使網絡得到充分利用。防攻擊與入侵檢測 網絡衛士防火墻系統采用多種手段或方式防止攻擊行為并實現對入侵的檢測：網絡衛士防火墻采用專用平安操作系統，平安級別高。網絡衛士防火墻采用無IP地址技術，使攻擊者找不到攻擊目標。網絡衛士防火墻具有較強的抗攻擊能力，如抗IP假冒攻擊、抗源路由攻擊、抗極小碎片攻擊等。防電子(dinz)欺騙防IP地址(dzh)欺騙：網絡衛士(wi sh)防火墻的防電子欺騙功能是保證數據包的IP地址與網關接口相符(

21、xingf)，防止通過修改IP地址的方法(fngf)進行非授權訪問。攻擊檢測功能：網絡衛士防火墻系統可以檢測到對網絡或內部主機的所有TCP/UDP掃描以及多種拒絕效勞攻擊，如SynFlooding攻擊、Land of Attack攻擊、Ping of Dead攻擊等。對外部掃描以及攻擊的響應能力。網絡衛士防火墻可以對來自外部網絡的掃描和多種攻擊進行實時響應。平安記錄與審計所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據，便于企業管理者掌握企業網絡的使用狀況。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能

22、夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。4.3 網絡衛士防火墻典型配置策略禁止INTERNET PING內部網絡和WWW 效勞器禁止SSN區的WWW效勞器訪問內部網絡允許SSN區的其他工作站訪問外部網絡允許外部網絡及內部網絡訪問WWW效勞器的效勞：WWW、DNS、POP3、SMTP允許內部網絡訪問WWW效勞器的效勞：FTP、TELNET 允許某種或某些數據包到達SSN區，禁止外部網絡及內部網絡對SSN區的其他訪問禁止外部網絡訪問內部網絡允許內部(nib)網絡訪問INTERNET設置防黑客(hi k)或入侵檢測的范圍開放一些一次性口令認證(rnzhng)用戶并設置其訪問權限等等(dn dn)。5.企業(qy)網建設的其它平安考慮網