下面是小编为大家整理的NetScreenFirewall保护企业网络安全4,供大家参考。
NetScreenFirewall 保护企业网络安全 4 基于以上的规划与分析,我们建议企业网络安全系统按照系统的实现目的,分两个步骤(两期)分别实现下列各个安全子系统:
防火墙系统 VPN 系统 动态认证系统 1.1 系统设计的基本原则 有用、先进、可进展是安全系统设计的基本原则。
本建议书设计的安全系统首先是满足企业现有与可预见未来几年内的应用要求;其次是考虑在投资增加很少的前提下,选择目前能够提供最先进技术手段的设备与系统方案;最后要考虑实现的安全系统面对应用要有长远进展的能力。
防火墙系统作为网络出入口的内外连接操纵与网络通信加密/解密设施,不仅需要有足够的数据吞吐能力,如网络物理接口的带宽,也需要优越的网络连接的数据处理能力,比如并发连接数量与网络连接会话处理能力等。下列的防火墙系统设计将根据这些原则合理的设计系统。
本建议书将重点对防火墙系统(包含 VPN 应用系统)提出设计建议。
1.2 安全系统实施步骤建议 任何一个网络应用系统在实施与建设阶段,在进行应用系统开发的同时,首先是考虑网络基础设施的建设。防火墙系统与 VPN 应用系统作为现代网络系统基础设施的重要部分,毫无疑问也是我们建设网络安全系统首先需要构架的系统。这也是我们建议企业网络安全系统第一阶段需要完成的系统建设部分。
动态认证系统是对网络用户对具体的应用系统或者网络资源访问操纵的一种加强手段。正如前面所分析,在防火墙配合的基础上能够更加有效地发挥其作用;另一方面,动态认证系统是面向具体应用的访问操纵辅助手段,系统的实施范围与规模根据应用系统的要求而决定。因此我们建议动态认证系统放在防火墙系统实施完成后的第二阶段来实施。
同样,漏洞扫描与入侵检测系统作为防火墙系统的辅助系统,能够有效地提高防火墙系统发挥的安全保护作用;漏洞扫描与入侵检测系统所发挥的作用,最终要靠防火墙系统的作用来表达,由于漏洞扫描与入侵 检测系统“检查”与“侦测”得到的非法访问与恶意攻击,需要防火墙系统对事实上施操纵与拦截。因此建议也将漏洞扫描与入侵检测系统放在防火墙系统建设完成后的第二阶段实施。
1.3 防火墙系统实施建议 防火墙系统是在网络基础层以上(OSI/ISO 网络结构模型的 2 至 7 层)提供要紧的安全技术服务手段,如表 2 所示。这些安全服务包含了访问认证、访问操纵、信息流安全检查、数据源点鉴别等技术手段。
(注:在下列的防火墙系统设计建议中,除特别进行说明的功能或者技术手段不能满足设计要求以外,本建议书所有设计选择的产品都是全部满足表 2 与第三章提出的系统目标之要求,在本方案文档中将不再进行所有功能的全面技术实现说明。) 在网络边界设置进出口操纵,能够防御外来攻击、监控往来通讯流量,是企业网络安全的第一道关卡,其重要性不言而喻。网络防火墙系统从其设置的物理位置来说,最恰当的位置就是网络物理边界的出入口。因此能够说,网络安全系统最为关键的构成部分实际上是利用上述的各类技术手段,通过对网络出入口的操纵实现安全服务的目的。
本建议书我们使用防火墙来对企业网络的进出口进行操纵,包含 Internet 进出口操纵与广域网进出口操纵。
1.3.1 Internet 进出口操纵 绵阳总部是整个企业的中心最重要网络,通过广域网链路连接分布在各地的分部,开展各类业务应用,并使用专线连接互联网获取有用信息。从安全与管理角度考虑,建议只在总部设立一个 Internet 出口,各地分部统一通过总部访问互联网。
(一)Internet 接入结构 如下图典型的企业应用所示,总部在 Internet 出口设立防火墙系统。为避免单点故障,防火墙系统采取双机模式构建。每台防火墙均提供 4 个网络接口,分别连接 Internet,中立区与内部网络两台中心交换机。来自 Internet 的光纤专线将通过一台交换机与两台防火墙的外网口连接。中立区也需增加一台交换机,用于连接两台防火墙的中立区口、WWW 服务器、邮件服务器等。
(二)防火墙系统选型设计 通过对多家防火墙厂商设备的综合比较,本建议书推荐使用 NetScreen 公司的防火墙产品。
NetScreen 国际有限公司(下列简称 NetScreen 公司)成立于 1997 年 10 月,总部位于美国加州硅谷。
NetScreen Technologies 以业界领先的防火墙/虚拟专用网络(VPN)解决建议书,加强互联网的安全能力。NetScreen 专门开发基于 ASIC 的互联网安全系统及设备,为互联网数据中心、服务供应商及企业提供高性能防火墙、虚拟专用网及网络流量的监控功能。这种全面安全解决建议书为客户带来高性能、易于升级与管理的优点,在业内累获大奖。
NetScreen 的每一种硬件安全系统与设备,均具备防火墙、VPN 与流量操纵三种功能,其高性能表现备受赞扬。Infonetics Resear 企业的“VPN 产品市场占有率报告”显示,NetScreen 主导千兆比特级防火墙市场, 也在 VPN 产品市场高踞领导地位。NetScreen 的突破性 ASIC 安全解决建议书,实现线速处理数据包处理,并充分利用其带宽,避免了传统类产品的瓶颈问题。
我们设计企业 Internet 出口处使用两台构成双机模式的 NetScreen 防火墙(以 NetScreen204 为例)。NetScreen–204 防火墙吞吐量高达 400Mbps,提供 4 个 100M 接口,128000 链接数,200Mbps VPN 处理能力,支持透明模式、双机备份、负载均衡、图形管理等,流量操纵功能为网络管理员提供了全部监测与管理网络的信息,诸如 DMZ,服务器负载平衡与带宽优先级设置等先进功能,使 NetScreen 独树一帜。其全面特点如下:
? 提供了防火墙的全部安全功能(如防止拒绝服务攻击,Java/ActiveX/Zip 过滤,防 IP 地址欺骗……)并结合了包过滤、链路过滤与应用代理服务器等技术 ? 网络地址转换(NAT):隐藏内部的 IP 地址 ? 动态访问过滤(Dynamic Filter) :自习惯网络服务保护 ? URL 地址的限定:限制站点的访问,过滤不需要的网站 ? 用户认证(Authentication):只同意有授权的访问 ? 符合 IPSec:可与其他厂家的设备交互操作 ? IKE 密钥管理:保证密钥交换 ? DES 与三级 DES:最高等级的加密、解密 ? 流量带宽操纵及优先级设置:按您的需求管理流量 ? 负载平衡能力:管理服务器群( Server Farms) ? 虚拟 IP:将内部服务器映射为可路由地址 ? 实时日志及报警纪录:实时监控网络状态 ? 透明的,无 IP 地址设置:无须更换任何路由器及主机配置 ? 自带 Web 服务器:方便地通过流行的浏览器进行管理 ? 图形界面:可关闭远程的管理方式,只用本地的、安全的管理 ? SNMP 管理方式:通过网络管理软件管理 ? 命令行界面:支持批处理方式及通过调制解调器的备用渠道进行操纵 两台 NetScreen 防火墙(500/1000,2002 年 7 月份后 100/200 也支持)采取双机热备方式工作,任何一台防火墙出现故障,其任务由另一台防火墙自动接管,避免单点故障造成企业无法上网的情况发生,保证网络的无间断运行。
企业的 Internet 应用除了浏览互联网与 WWW 公布外,外出员工对公司的访问也将通过 Internet 进行。为同意合法用户访问公司网络,同时确保通过 Internet 进行的业务应用的安全性,我们建议采取 VPN 通讯方式。利用 NetScreen 防火墙的 VPN 功能,终端工作站安装 NetScreen-Remote 软件或者者利用 WIN2000操作系统对 VPN 的支持,能够实现企业远程办公的安全需求。
NetScreen-Remote 是一种在用户主机(桌面或者笔记本电脑)上运行的软件,简化了对网络、设备或者公共或者非信任网络中其它主机的安全远程接入。通过使用 IPSec 协议与第二层通道协议[L2TP],并以证书作为额外的选项,能够实现安全性。为了构建安全的通信通道,务必把这一软件与 IPSec 网关结合使用(如 NetScreen 家族安全设备),或者与运行 IPSec 兼容软件的另一台主机结合使用(如NetScreen-Remote)。NetScreen-Remote 支持 Windows 95, 98, NT, 2000 系统。
1.3.2 广域网进出口操纵 企业具有多个地理上分散的分部,各分部与总部之间租用电信专线互联,形成以总部为中心的集团广域网。分散的企业给网络安全管理造成了一定的难度,而且企业内部攻击的成功可能性远大于外部攻击,造成的危害更严重,因此全方位的网络保护是不仅防外,还应防内。
企业内部防范要紧是确保总部与各公司的安全,加强广域网的进出口操纵,我们建议在总部及各分部的广域网出口处配备防火墙来加强内部网络保护,见下图。该防火墙系统起到防御内部攻击、阻止入侵行为进一步扩大升级的作用,避免某段网络范围内发生的入侵破坏扩大至整个企业网络,把来自内部攻击造成的破坏减低到最低程度,保护其它网络部分的正常工作。
根据企业升级后的网络拓扑结构,广域网链路与设备都具备了较强的冗余备份能力,总部的路由器与中心交换机配置均采取了双机热备方式。考虑到总部的广域网防火墙是位于路由器与中心交换机之间,因此也必需做冗余配置,否则会成为广域网设备中的单点故障点,使路由器与中心交换机所做的备份措施失去意义。
企业广域网存在 ERP、VoIP、视频会议等各类高带宽应用,特别总部是整个企业网络的数据中心,进出的信息流量庞大,推荐使用两台处理性能很强的 NetScreen–500 防火墙,实现冗余备份(Active-Active 方式)与负载均衡。每台防火墙基本配置含 4 个 100M 或者 1000M 端口,分别连接两台路由器与两台中心交换机。
NetScreen-500 是一个高性能、高度可靠、高度冗余的平台。NetScreen-500 拥有 750M 线速处理能力,250M 的 3DES VPN 流量,强健的攻击防范功能。为了满足高性能要求,NetScreen-500 设计时使用了定制的专用千兆级 ASIC,提供了加速加密与策略查找功能。此外,它使用两条处理总线,把管理流量与流经系统的流量分隔开来。这能够防止高可性流量与其它管理流量影响吞吐量性能。NetScreen-500 特别适合带宽要求高的大型企业环境。
NetScreen-500 技术参数 性能 并发会话 250000,每秒的新会话数 22000,防火墙性能 700Mbps,三倍 DES(168 位)250Mbps,策略 20000,时间表 256 攻击检测 同步攻击,ICMP flood 检测(门限可选),UDP flood 泛滥检测(门限可选),检测死 ping,检测 IP 欺骗,检测端口扫描,检测陆地攻击,检测撕毁攻击,过滤 IP 源路由,选项检测 IP 地址扫描攻击,检测WinNuke 攻击,Java/ActiveX/Zip/EXE,默认分组拒绝,DoS、DDoS 保护 防火墙 网络地址转换,透明模式,实时状态的监测,实时报警,日志 VPN 10000 条专用隧道,手动密钥、IKE、PKI (X.509),DES(56 位)与 3DES(168 位),完全正向保密(DH 群组)(1,2,5),防止回复攻击,远程接入 VPN,站点间 VPN,星形(轮轴与轮辐)VPN 网络拓扑,L2TP 流量操纵 有保障的带宽,最大带宽,优先使用带宽,DiffServ 标记 系统管理 虚拟系统 虚拟系统最大数量 25 个,支持 100 个 VLAN 工作模式 透明模式(所有接口),路由模式,NAT,PAT,VIP4 个,MIP256 个,IP 路由-静态路由 256 个,基于策略的 NAT,不限制每个端口的用户数 高可用性 (HA) 高可用性(HA),防火墙与 VPN 会话保护,设备故障检测,链路故障检测,故障切换网络通知 管 理 20 个管理员,远程管理员数据库,管理网络 6 个,根管理、管理与只读三种用户权限,软件升级与配置变动(TFTP/WebUI) NetScreen-500 外观见下图:
企业各地规模较大的分部防火墙选用 NetScreen-200(204/208)系列防火墙。该防火墙安装在广域网路由器设备之后,最多可提供多达 4/8 个 100M 口连接两台路由器与内部中心交换机。NetScreen–200 防火墙拥有 400M/550Mbps 吞吐量,具有全面的防火墙安全功能,为分部的网络应用提供高安全性与良好的性能。具体的 NetScreen–200 产品特性参见 2.1.1Internet 进出口操纵一节。
1.3.3 虚拟连接广域网出入口操纵 通过公共互联网虚拟连接的企业网,连接的两端(总部与分部)由于其承担的工作角色与工作量有比较大的差异,因此,出于有用与经济的角度考虑,本方案建议网络接入 Internet 的结构采取不一致方式与档次的设备方案。
(一)总部的接入设计 在本章 4.3.1 节中,已经对企业总部的 Internet 出入口操纵防火墙系统进行了设计,同样的连接应用结构也能够应用到通过 Internet 提供虚拟网络的接入。建议使用 4.3.1 的设计方案,在此不做重复的说明。
在总部的物理出入口,能够是对外提供公共服务的出入口(4.3.1 设计的)与企业虚拟连接广域网的接入口为同一个物理接口,即由同一个 Internet 公网节点提供连接;也能够是各自独立的接口,即由不一致的公网节点提供连接服务。前者需要将总部的公网出入口操纵防火墙的档次提高(至少选择 NetScreen-500 以上的档次),这是由于通过这种虚拟连接方式接入企业各地分部或者商业合作伙伴有近千家,只有配置更高档的防火墙才能满足系统应用的性能要求,如同时支持的 VPN 通道数量、会话处理能力、网络接口带宽等等。后者的模式是再增加一个结构与 4.3.1 设计相同的公网接入物理接口,与前者同样的理由,向企业各分部或者商业合作伙伴提供虚拟连接的出入口,其操纵防火墙也需要配置功能强大与性能优异的设备,建议选择档次为 NetScreen-500 以上的防火墙产品,如 NS500 或者 NS1000,NS5000。
(二)分部的接入设计 由于分部通过公网虚拟连接接入总部网络网络的应用,考虑其数据量与应用的要求不高,而且这种非物理专线方式接入所提供的网络通信带宽也很有限,通常只有几十或者几百 K,因此在企业各异地分部建议使用功能满足系统实现目标、性能相对较低的防火墙设备。本方案选择 NetScree...