NetScreen Firewall保护企业网络安全4

NetScreenFirewall保护企业网络安全4-系统实施建议基于以上的规划和分析，我们建议企业网络安全系统按照系统的实现目的，分两个步骤（两期）分别实现以下各个安全子系统：防火墙系统VPN系统动态认证系统1.1系统设计的基本原则实用、先进、可发展是安全系统设计的基本原则。本建议书设计的安全系统首先是满足企业现有和可预见未来几年内的应用要求；其次是考虑在投资增加很少的前提下，选择目前可以提供最先进技术手段的设备和系统方案；最后要考虑实现的安全系统面对应用要有长远发展的能力。防火墙系统作为网络出入口的内外连接控制和网络通信加密/解密设施，不仅需要有足够的数据吞吐能力，如网络物理接口的带宽，也需要优越的网络连接的数据处理能力，例如并发连接数量和网络连接会话处理能力等。以下的防火墙系统设计将根据这些原则合理的设计系统。本建议书将重点对防火墙系统（包括VPN应用系统）提出设计建议。1.2安全系统实施步骤建议任何一个网络应用系统在实施和建设阶段，在进行应用系统开发的同时，首先是考虑网络基础设施的建设。防火墙系统和VPN应用系统作为现代网络系统基础设施的重要部分，毫无疑问也是我们建设网络安全系统首先需要构架的系统。这也是我们建议企业网络安全系统第一阶段需要完成的系统建设部分。动态认证系统是对网络用户对具体的应用系统或网络资源访问控制的一种加强手段。正如前面所分析，在防火墙配合的基础上可以更加有效地发挥其作用；另一方面，动态认证系统是面向具体应用的访问控制辅助手段，系统的实施范围和规模根据应用系统的要求而决定。所以我们建议动态认证系统放在防火墙系统实施完成后的第二阶段来实施。同样，漏洞扫描和入侵检测系统作为防火墙系统的辅助系统，可以有效地提高防火墙系统发挥的安全保护作用；漏洞扫描和入侵检测系统所发挥的作用，最终要靠防火墙系统的作用来体现，因为漏洞扫描和入侵检测系统“检查”和“侦测”得到的非法访问和恶意攻击，需要防火墙系统对其实施控制和拦截。所以建议也将漏洞扫描和入侵检测系统放在防火墙系统建设完成后的第二阶段实施。1.3防火墙系统实施建议防火墙系统是在网络基础层以上（OSI/ISO网络结构模型的2至7层）提供主要的安全技术服务手段，如表2所示。这些安全服务包括了访问认证、访问控制、信息流安全检查、数据源点鉴别等技术手段。（注：在以下的防火墙系统设计建议中，除特别进行说明的功能或技术手段不能满足设计要求以外，本建议书所有设计选择的产品都是全部满足表2和第三章提出的系统目标之要求，在本方案文档中将不再进行所有功能的详细技术实现说明。）在网络边界设置进出口控制，可以防御外来攻击、监控往来通讯流量，是企业网络安全的第一道关卡，其重要性不言而喻。网络防火墙系统从其设置的物理位置来说，最恰当的位置就是网络物理边界的出入口。所以可以说，网络安全系统最为关键的组成部分实际上是利用上述的各种技术手段，通过对网络出入口的控制实现安全服务的目的。本建议书我们采用防火墙来对企业网络的进出口进行控制，包括Internet进出口控制和广域网进出口控制。1.3.1Internet进出口控制绵阳总部是整个企业的中心最重要网络，通过广域网链路连接分布在各地的分部，开展各种业务应用，并采用专线连接互联网获取有用信息。从安全和管理角度考虑，建议只在总部设立一个Internet出口，各地分部统一通过总部访问互联网。（一）Internet接入结构如下图典型的企业应用所示，总部在Internet出口设立防火墙系统。为避免单点故障，防火墙系统采取双机模式构建。每台防火墙均提供4个网络接口，分别连接Internet，中立区和内部网络两台中心交换机。来自Internet的光纤专线将通过一台交换机与两台防火墙的外网口连接。中立区也需增加一台交换机，用于连接两台防火墙的中立区口、服务器、邮件服务器等。（二）防火墙系统选型设计经过对多家防火墙厂商设备的综合比较，本建议书推荐采用NetScreen公司的防火墙产品。NetScreen国际有限公司（以下简称NetScreen公司）成立于1997年10月，总部位于美国加州硅谷。NetScreenTechnologies以业界领先的防火墙/虚拟专用网络（VPN）解决建议书，加强互联网的安全能力。NetScreen专门开发基于ASIC的互联网安全系统及设备，为互联网数据中心、服务供应商及企业提供高性能防火墙、虚拟专用网及网络流量的监控功能。这种全面安全解决建议书为客户带来高性能、易于升级和管理的优点，在业内累获大奖。NetScreen的每一种硬件安全系统和设备，均具备防火墙、VPN和流量控制三种功能，其高性能表现备受赞扬。InfoneticsResear企业的“VPN产品市场占有率报告”显示，NetScreen主导千兆比特级防火墙市场，也在VPN产品市场高踞领导地位。NetScreen的突破性ASIC安全解决建议书，实现线速处理数据包处理，并充分利用其带宽，避免了传统类产品的瓶颈问题。我们设计企业Internet出口处采用两台组成双机模式的NetScreen防火墙（以NetScreen204为例）。NetScreen–204防火墙吞吐量高达400Mbps，提供4个100M接口，128000链接数，200MbpsVPN处理能力，支持透明模式、双机备份、负载均衡、图形管理等，流量控制功能为网络管理员提供了全部监测和管理网络的信息，诸如DMZ，服务器负载平衡和带宽优先级设置等先进功能，使NetScreen独树一帜。其详细特点如下：?提供了防火墙的全部安全功能（如防止拒绝服务攻击，Java/ActiveX/Zip过滤，防IP地址欺骗……）并结合了包过滤、链路过滤和应用代理服务器等技术?网络地址转换（NAT）：隐藏内部的IP地址?动态访问过滤(DynamicFilter)：自适应网络服务保护?URL地址的限定：限制站点的访问，过滤不需要的网站?用户认证(Authentication)：只允许有授权的访问?符合IPSec：可与其他厂家的设备交互操作?IKE密钥管理：保证密钥交换?DES和三级DES：最高等级的加密、解密?流量带宽控制及优先级设置：按您的需求管理流量?负载平衡能力：管理服务器群(ServerFarms)?虚拟IP：将内部服务器映射为可路由地址?实时日志及报警纪录：实时监控网络状态?透明的，无IP地址设置：无须更改任何路由器及主机配置?自带Web服务器：方便地通过流行的浏览器进行管理?图形界面：可关闭远程的管理方式，只用本地的、安全的管理?SNMP管理方式：通过网络管理软件管理?命令行界面：支持批处理方式及通过调制解调器的备用渠道进行控制两台NetScreen防火墙（500/1000，2002年7月份后100/200也支持）采取双机热备方式工作，任何一台防火墙出现故障，其任务由另一台防火墙自动接管，避免单点故障造成企业无法上网的情况发生，保证网络的无间断运行。企业的Internet应用除了浏览互联网和发布外，外出员工对公司的访问也将通过Internet进行。为允许合法用户访问公司网络，同时确保通过Internet进行的业务应用的安全性，我们建议采取VPN通讯方式。利用NetScreen防火墙的VPN功能，终端工作站安装NetScreen-Remote软件或者利用WIN2000操作系统对VPN的支持，可以实现企业远程办公的安全需求。NetScreen-Remote是一种在用户主机（桌面或笔记本电脑）上运行的软件，简化了对网络、设备或公共或非信任网络中其它主机的安全远程接入。通过采用IPSec协议和第二层通道协议[L2TP]，并以证书作为额外的选项，可以实现安全性。为了构建安全的通信通道，必须把这一软件与IPSec网关结合使用（如NetScreen家族安全设备），或与运行IPSec兼容软件的另一台主机结合使用（如NetScreen-Remote）。NetScreen-Remote支持Windows95,98,NT,2000系统。1.3.2广域网进出口控制企业具有多个地理上分散的分部，各分部和总部之间租用电信专线互联，形成以总部为中心的集团广域网。分散的企业给网络安全管理造成了一定的难度，而且企业内部攻击的成功可能性远大于外部攻击，造成的危害更严重，因此全方位的网络保护是不仅防外，还应防内。企业内部防范主要是确保总部和各公司的安全，加强广域网的进出口控制，我们建议在总部及各分部的广域网出口处配备防火墙来加强内部网络保护，见下图。该防火墙系统起到防御内部攻击、阻止入侵行为进一步扩大升级的作用，避免某段网络范围内发生的入侵破坏扩大至整个企业网络，把来自内部攻击造成的破坏减低到最低程度，保护其它网络部分的正常工作。根据企业升级后的网络拓扑结构，广域网链路和设备都具备了较强的冗余备份能力，总部的路由器和中心交换机配置均采取了双机热备方式。考虑到总部的广域网防火墙是位于路由器和中心交换机之间，所以也必需做冗余配置，否则会成为广域网设备中的单点故障点，使路由器和中心交换机所做的备份措施失去意义。企业广域网存在ERP、VoIP、视频会议等各种高带宽应用，特别总部是整个企业网络的数据中心，进出的信息流量庞大，推荐采用两台处理性能很强的NetScreen–500防火墙，实现冗余备份（Active-Active方式）和负载均衡。每台防火墙基本配置含4个100M或1000M端口，分别连接两台路由器和两台中心交换机。NetScreen-500是一个高性能、高度可靠、高度冗余的平台。NetScreen-500拥有750M线速处理能力，250M的3DESVPN流量，强健的攻击防范功能。为了满足高性能要求，NetScreen-500设计时采用了定制的专用千兆级ASIC，提供了加速加密和策略查找功能。此外，它使用两条处理总线，把管理流量与流经系统的流量分隔开来。这可以防止高可性流量和其它管理流量影响吞吐量性能。NetScreen-500特别适合带宽要求高的大型企业环境。NetScreen-500技术参数性能并发会话250000，每秒的新会话数22000，防火墙性能700Mbps，三倍DES（168位）250Mbps，策略20000，时间表256攻击检测同步攻击,ICMPflood检测(门限可选),UDPflood泛滥检测(门限可选),检测死ping,检测IP欺骗,检测端口扫描,检测陆地攻击,检测撕毁攻击,过滤IP源路由,选项检测IP地址扫描攻击,检测WinNuke攻击,Java/ActiveX/Zip/EXE,默认分组拒绝,DoS、DDoS保护防火墙网络地址转换，透明模式，实时状态的监测，实时报警，日志VPN10000条专用隧道，手动密钥、IKE、PKI(X.509)，DES(56位)和3DES(168位)，完全正向保密（DH群组）（1，2，5），防止回复攻击，远程接入VPN，站点间VPN，星形（轮轴和轮辐）VPN网络拓扑，L2TP流量控制有保障的带宽，最大带宽，优先使用带宽，DiffServ标记系统管理WebUI(HTTP和HTTPS),命令行界面(控制台),命令行界面(telnet),安全命令外壳(兼容sshv1),所有管理均经过任何接口上的VPN隧道基于Web界面配置，多点管理可通过NetScreen的GlobalManager集中管理虚拟系统虚拟系统最大数量25个，支持100个VLAN工作模式透明模式（所有接口）,路由模式,NAT,PAT,VIP4个,MIP256个,IP路由-静态路由256个,基于策略的NAT,不限制每个端口的用户数高可用性（HA）高可用性（HA）,防火墙和VPN会话保护,设备故障检测,链路故障检测,故障切换网络通知管理20个管理员，远程管理员数据库，管理网络6个，根管理、管理和只读三种用户权限，软件升级和配置变动(TFTP/WebUI)NetScreen-500