《美国某公司-网络安全解决方案》由会员分享,可在线阅读,更多相关《美国某公司-网络安全解决方案(44页珍藏版)》请在金锄头文库上搜索。
1、企业内部网信息安全建设的技术要求、配置方案及建议美国安泰成发国际集团公司一九九九年五月四日企业网网络安全解决方案引言 1999年已经到来, 人类处在21世纪前夜。1998年是全球信息革命和Internet新腾飞的一年。“带宽爆炸”, 用户超亿, 网上协同攻破密码等等创造性的应用层出不穷。Internet已成为全新的传播媒体, 克林顿丑闻材料在48小时内就有2000万人上网观看。电子商务发展更出人意料, 网上购物仅圣诞节就突破3亿美元的销售额, 比预计的全年20亿还多。美国对“Internet经济”投资达到1240亿, 第二代Internet正式启动,第三代智能网络已在酝酿, 以Internet
2、为代表和主体的信息网络必将在21世纪成为人类生产、生活、自下而上的一个基本方式。世界各国都以战略眼光注视着它的发展, 并在积极谋取网上的优势和主动权。但是Internet网的信息安全问题在1998年也较突出, 除两千年虫问题已进入倒计时外,下面摘录上电报导: 病毒感染事件1998年增加了二倍, 宏病毒入侵案件占60%, 已超过1300种, 而1996只有40种。 网上攻击事件大幅上升, 对50个国家的抽样调查显示: 去年有73%的单位受到各种形式的入侵, 而1996年是42%。据估计, 世界上已有两千万人具有进行攻击的潜力。 网上经济诈骗增长了五倍, 估计金额达到6亿美元, 而同年暴力抢劫银行
3、的损失才5900万。一份调查报告中说: 有48%的企业受过网上侵害, 其中损失最多的达一百万美元。 对美军的非绝密计算机系统的攻击试验表明, 成功率达到88%。而被主动查出的只占5%。1998年5月美CIA局长在信息安全的报告中正式宣布:“信息战威胁确实存在。” 网上赌博盛行, 去年在200个网点上的赌博金额达到60亿美元, 预计今年还会增加一倍。 网上色情泛滥, 通过浏览器、电子邮件等方式大量扩散。由于问题严重,西方12个国家的警方在去年九月进行了一次联合行动, 共抓96人, 其中一个网址竟有25万张黄色图像。联合国科教文组织决定今年一月召开会议, 研究遏制网上色情。 欧盟正式发表了对网上有
4、害和非法信息内容的处理法规。 电子邮件垃圾已被新闻界选为1998年Internet坏消息之一, 美国一家网络公司一年传送的电子邮件中有三分之一是电子垃圾。 网上违反保密和密码管制的问题已成为各国政府关注的一个焦点。 暴露个人隐私问题突出, 例如通过美国一个网站很容易量到别人的经济收入信息, 另一网址只要输入车牌号码就可查到车主地址, 为此这些网址已被封闭。在电子邮件内传播个人隐私的情况更为严重。 带有政治性的网上攻击在1998年有较大增加, 包括篡改政府机构的网页,侵入竞选对手的网站窃取信息, 在东南亚经济危机中散布谣言, 伪造世界热点地区的现场照片, 煽动民族纠纷等等, 已引起各国政府的高度
5、重视。 我国的情况也大致相仿。一方面Internet上网人数增加, 仅下半年年就由117万剧增到210万, 另一方面, 同一时期内外电对在我国发生的Internet安全事件的报道数量也大增, 比1997年全年还多6倍, 其中包括经济犯罪、窃密、黑客入侵, 造谣惑众等等。以上报导只是全部景观的一角,却预示着下一个世纪全球信息安全形势不容乐观。我国正处于网络发展的初级阶段, 又面临着发达国家信息优势的压力, 要在信息化进程中趋利避害,从一开始就做好信息安全工作十分重要。这是这项工作难度也非常大, 经常遇到十分困难的选择, 甚至非难。人们对于“该不该”和“能不能”抓好信息安全也尚有不同的看法。我们应
6、当充分相信我国的制度优越性和人民的智慧与觉悟, 积极寻求解决中国特色的Internet安全问题的办法。在此, 仅就企业内部网的信息安全的建设作一个详细的讨论。1企业网络的现状世纪之交,信息化已成为国际性发展趋势,作为国民经济信息化的基础,企业信息化建设受到国家和企业的广泛重视。企业信息化,企业网络的建设是基础,从计算机网络技术和应用发展的现状来看,Intranet是得到广泛认同的企业网络模式。Intranet并不完全是原来局域网的概念,通过与Internet的联结,企业网络的范围可以是跨地区的,甚至跨国界的。现在,Internet的发展已成燎原之势,随着WWW上商业活动的激增,Intranet
7、也应运而生。近几年,许多有远见的企业领导者都已感到企业信息化的重要性,陆续建立起了自己的企业网和Intranet并通过各种WAN线路与Internet相连。国际互联网Internet在带来巨大的资源和信息访问的方便的同时,它也带来了巨大的潜在的危险,至今仍有很多企业仍然没有感到企业网安全的重要性。在我国网络急剧发展还是近几年的事,而在国外企业网领域出现的安全事故已经是数不胜数。因此,我们应该在积极进行企业网建设的同时,就应借鉴国外企业网建设和管理的经验,在网络安全上多考虑一些,将企业网中可能出现的危险和漏洞降到最低。使已经花了不少财力、人力和时间后,建立起来的网络真正达到预想的效果。从总体上来
8、说,企业网络建设以下几方面的误区:解决方案上的误区、应用开发上的误区和系统管理上的误区。1.1 解决方案上的误区在解决方案上的误区主要包括:1. 认为只要肯花钱就万事大吉了。诚然,投资是企业网络建设的基本,但并非所有的东西都能直接买来。事实上,数据、应用软件、网络系统管理及网络的应用水平等都不是简单买来了事的。2. 不根据实际需求,盲目认为购买的硬件、软件产品越先进越好,甚至要求达到10年不落后等要求。这种提法本身就不科学,信息技术的发展是日新月异的,10年前谁也不知道现在的计算机会发展到如此水平,同样,10年后如何也无法预料。这样一来,后果是可以想到的:平台越先进,设备越昂贵,技术越复杂,建
9、设的投入与产出相比一定很高,这当然不是企业需要得到的结果。3. 认为有了网络、服务器、数据库、联通了Internet就能要什么就有什么了,忽视总体数据体系规划和组织、应用系统开发,数据的采集、传输、加工、存储和查询等具体应用工作。而缺少这些,网络的作用就不能充分发挥出来,这恰恰与企业网络建设的初衷相违。4. 认为可以“毕其功于一役”地搞企业网络建设,实际上,这是一项长期的工作。5. 认为只要找到好的供应商、系统集成商就肯定可以把网络建好,没有想到只有良好的合作才能获得成功,只有建立自己的技术队伍才能保持成功之果。1.2 应用开发上的误区应用开发是企业网络系统建设中的重要内容,也是网络建设成功与
10、否的关键。不少企业网络建设项目中,在应用开发方面也存在一些误区:1. 认为只要有好的计算机专业人员去干就可以了,业务人员不参与应用开发工作,甚至不很好地配合。事实上,由于专业计算机人员缺少具体业务知识和经验,无法独立开发出很适合业务部门的应用软件。2. 认为凡是业务部门、业务人员提出的需求都要进行开发。在应用开发的范围上,不进行认真地分析,不分主次。实际上,许多现成的工具软件已包含了许多功能,例如EXECL,但由于不重视业务人员计算机技能的提高,一切功能都寄希望于开发。这就造成开发成本的提高和工作重点的分散。3. 认为只有采用最新潮的开发工具和最时髦的开发语言才能开发好的软件,而不顾自己的实际
11、需求,也不问那些工具和语言到底有什么用。4. 认为开发软件与操作软件一样容易,所以不重视开发人员的工作,随意提出需求,之后又随意改动。这样的改动,很可能给开发增加许多工作量,更为严重的是,破坏开发的总体规划,导致开发进度的延迟。5. 企业高级领导认为开发工作是下面的事情,不参与总体规划,却对开发抱着过高的期望,以为开发结果一定应符合自己的想象。1.3 系统管理上的误区企业网络效果的发挥离不开系统管理,决不仅仅是安装好企业网络的设备,配置好软件那么简单,同样一个运行良好的企业网离不开人的管理,系统管理在网络建设和维护中是至关重要的,目前在系统管理方面存在的误区主要包括:1. 认为系统管理只要有计
12、算机人员就可以了,不建立规范、有效的管理制度,没有想到系统管理实际上是企业管理中必不可少的一部分。2. 认为系统管理就是对计算机、网络设备、系统软件的管理,没考虑到对企业整体信息资源的管理,不注重对数据信息的规范化、标准化管理。3. 认为系统管理简单,费用不高,投入的财力、人力、物力不足。有许多企业的系统管理员只会“玩”PC而已,网管软件也被当作是可有可无的东西。殊不知,随着网络技术的发展和信息的增多,系统管理工作是相当复杂和繁重的。4. 认为系统管理工作只是辅助性工作,不能为企业创造直接效益,可以不予重视。结果导致专业计算机人才流失,只好使用非专业人员,使管理效果大打折扣。5. 认为只有看的
13、见的东西才值钱,因而不愿意在服务上花钱。在系统管理上无法得到专业厂商的支持,导致管理水平业余而落后。 2. Intranet与网络安全技术 2.1 信息安全的重要性和内涵长期以来, 人们把信息安全理解为对信息的机密性、完整性和可获性的保护, 这固然是对的, 但这个观念是在二十多年前主机时代形成的。当时人们需要保护的是设在专用机房内的主机以及数据的安全性, 因此它是面向单机、面向数据的。八十年代进入了微机和局域网时代, 计算机已从专用机房内解放到分散的办公桌面乃至家庭, 由于它的用户/网络结构比较简单、对称,所以既要依靠技术措施保护,还要制定人人必须遵守的规定。因此, 这个时代的信息安全是面向网
14、管、面向规约的。九十年代进入了互联网时代, 每个用户有都可以联接、使用乃至控制散布在世界上各个角落的上网计算机, 因此Internet的信息安全内容更多, 更为强调面向连接、面向用户(“人”)。因为在这个崭新的世界里, 人与计算机的关系发生了质的变化。人、网、环境相结合, 形成了一个复杂的巨系统。通过网上的协同和交流, 人的智能和计算机快速运行的能力汇集并融合起来, 创造了新的社会生产力, 丰富着大量应用(电子商务, 网上购物等等)和满足着人们的各种社会需要(交流、学习、医疗、消费、娱乐、安全感、安全环境等等)。在这个复杂巨系统中, “人”以资源使用者的身份出现, 是系统的主体, 处于主导地位
15、, 而系统的资源(包括硬软件、通讯网、数据、信息内容等)则是客体, 它是为主体即“人”服务的, 与此相适应, 信息安全的主体也是“人”(包括用户、团体、社会和国家), 其目的主要是保证主体对信息资源的控制。可以这样说: 面向数据的安全概念是前述的保密性、完整性和可获性, 而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。这两者结合就是信息安全体系结构中的安全服务功能), 而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心, 安全
16、标准和系统评估是信息安全的基础。总之从历史的、人网大系统的概念出发, 现代的信息安全涉及到个人权益、企业生存、金融风险防范、社会稳定和国家的安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共、国家信息安全的总和。信息安全的完整内涵是和信息安全的方法论相匹配的, 信息安全系统是一个多维、多因素、多层次、多目标的系统。因此, 有必要从方法论的角度去理解现有的信息安全模式。 1. 分析与综合的辩证思维方法: 要在分析过程中从整体上把握好分析要素的内部矛盾, 例如:*在威胁分析中的环境灾害与人员失误、无意疏忽与有意破坏、外部人员与内部职员、窃密篡改与拒绝服务、个人行为与有组织
17、的信息战威胁等关系。 在脆弱性分析中的软件、协议缺陷与嵌入后门、网络层、系统层、应用层薄弱环节的关联等。 在攻击分析中的利用技术漏洞与社会工程、行为模式与隐蔽方式等关系。 在综合方法上则应该面向过程, 着眼发展: 风险管理的综合方法: 立足于尽量减少风险, 实行资产评估, 风险估算, 重点选择, 综合平衡, 政策制定, 系统实施, 审计监管等的全过程和全面质量管理。 安全评估的综合方法: 面向设计过程, 强调系统总体评价。在评估标准上掌握好传统与现实、国际通用互认和中国特点的关系。在保护轮廓内掌握好安全功能和保障的关系。 2. 从系统复杂性的观点理解和解决安全问题: 信息安全是过程、政策、标准
18、、管理、指导、监控、法规、培训和工具技术的有机总和。这需要在不同层面上面向目标, 用定性与定量相结合、技术措施与专家经验相结合的综合集成方法加以解决。对信息内容的管理则要从源头、传递、网关、服务网站和用户层面进行综合治理。以创新精神跟上网络和安全技术的新发展我们处在网络调整发展和科技突飞猛进的时代, 信息安全技术是具有对抗性的敏感技术, 面对日益迫切的需要, 唯一的出路就是自主创新。但是自主创新并不排斥吸取国外的先进技术相反, 只有密切跟踪国际信息安全技术的新进民才能知已 知彼, 为我所用, 在技术创新上以下发展值得注意: 1. 在信息安全系统的构建、模式、评估方面 风险管理技术已由传统的相对
19、固定的模式向灵活的不断反馈、不断演进的弹性模式转化, 强调可测量的方法体系, 形成所谓“有适应能力的风险管理模式”。 十年前, 信息安全系统构建理念是“自上而下”即顶层设计。从Internet的历史特点和发展现实出发, 需要先“自下而上”赴, 接着“上下结合”, 然后再在网络的确定范围内从全局上规划, 构成安全体系。系统安全不能作到一劳永逸, 需要动态的构建模型。在安全功能、服务的配置上, 过去是先从整体定义入手, 但是Internet量个多元化的应用环境, 而且日新月异。因此现实的解决办法是“分而治之”。各种应用, 各个部门, 先在统一的规范下, “从我做起”或者分层分步实施。这在相当一段时
20、间内, 是推动网络发展、激励安全应用的现实途径。 新的安全协议不断出现, 有的已趋于成熟, 例如大家熟知IPv6已被公认安全性较强, 又能比IPv4提供更好的互连互通功能, 很有可能进入主流, 如何使我们的安全产品能同时支持IPv6已提到日程上 人类社会向来是正义与邪恶并存,在科学技术进步的同时人类也面临新的威胁,计算机技术的发展带来的计算机犯罪就是其中典型的例子。下面谈谈实施一个完整的安全体系应该考虑的问题。2.2 国内的信息系统安全吗? 在国家范围的网络建设方面, 国家电信事业迅速发展, 取得了巨大的成绩。 但是, 国家通信网络的交换机及其通信设备有相当一部分由于没有经过安全检测, 安全问
21、题没有保证, 这是由于安全检测工作的建设滞后造成的。交换机的嵌入操作系统的安全性也存在问题。通信业务的计算机系统也多采用开放式的操作系统, 安全级别都很低, 也没有附加安全措施。这些系统不能抵抗黑客的攻击与信息炸弹的攻击。在国家政府部门, 应当说对信息系统的安全性还是重视的, 但苦于没有好的解决问题的方案和安全建设经费不足, 行业系统安全问题还是相当严重的,计算机系统也多采用开放式的操作系统, 安全级别较低。不能抵抗黑客的攻击与信息炸弹的攻击。有些系统网络多路出口, 对信息系统安全没有概念,完全没有安全措施, 更谈不上安全管理与安全策略的制定。有的行业的信息系统业务是在没有安全保障的情况下发展
22、的。在金融领域, 有些系统采用了开放操作系统UNIX。在系统采购时, 有些单位没有采购安全系统或安全系统建设不完善。这些系统安全级别较低, 安全问题是普遍性的。有的商品交易所与证券公司使用的信息系统采用的是微机网络系统, 已经出现内外黑客的攻击, 应当说问题已经相当严重。在产业发展决策方面, 当然改革开放以来取得巨大成绩, 在行业规划方面一度存在轻系统重应用的发展思路, 对目前出现的信息系统安全问题是有影响的。行业部门应当重视系统软件的建设工作, 因为单靠企业发展系统软件是不可能在较短的时间内取得地位的, 要在系统软件领域占有一席之地应当成为国策, 甚至不亚于芯片建设的重要性。要加强信息系统安
23、全的标准化工作,要启动信息系统安全建设的内需, 要明确信息系统安全建设的要求和规范。应当引起我们注意的是操作系统、网络系统与数据库管理系统的安全问题,是信息系统的核心技术, 没有系统的安全就没有信息的安全。我们应当特别注意, 我国在信息系统安全方面与美国是不平等的。在信息系统安全管理部门信息系统产品的认证和检测工作刚刚开始, 任重而道远2.3 影响网络信息安全的因素 现今的网络信息安全存在的威胁主要表现在以下几个方面。 1.非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。 2.冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
24、3.破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。 4.干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段。 5.病毒与恶意攻击。指通过网络传播病毒或恶意Java、XActive等。 6.线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。2.4 计算机安全分类及基本功能 根据国家计算机安全规范,可把计算机的安全大致分为三类。一是实体安全,包括机房、线路,主机等;二是网络与信息安全,包括网络的畅通、准确及其网上的信息安全;三是应用安全,包括程序开发运行、输入输出、数据库等的安全。下面重点探讨第二类网络与信息的安全问题。 网络
25、信息安全需求可以归结为以下几类: 1.基本安全类 包括访问控制、授权、认证、加密和内容安全等。 访问控制是提供企业内部与外界及内部不同信息源之间隔离的基本机制,也是企业的基本要求。但是提供隔离不是最终目的,企业利用Internet技术的最终目的应当是在安全的前题下提供方便的信息访问,这就是授权需求。同时,用户也希望对授权的人的身份进行有效的识别,这就是认证的需求。为了保证信息在存储和传输中不被纂改、窃听等需要加密功能,同时,为了实施对进出企业网的流量进行有效的控制,就需要引入内容安全要求。 2.管理与记帐类 包括安全策略管理、企业范围内的集中管理、记帐、实时监控,报警等功能。 3.网络互联设备
26、安全类 包括路由器安全管理、远程访问服务器安全管理、通信服务器安全管理、交换机安全管理等。 4.连接控制类主要为发布企业消息的服务器提供可靠的连接服务,包括负载均衡、高可靠性以及流量管理等。2.5 安全缺口安全策略经常会与用户方便性相矛盾,从而产生相反的压力,使安全措施与安全策略相脱节。这种情况称为安全缺口。为什么会存在安全缺口呢?有下面四个因素: 1、网络设备种类繁多当前使用的有各种各样的网络设备,从Windows NT和UNIX 服务器到防火墙、路由器和Web服务器,每种设备均有其独特的安全状况和保密功能; 2、访问方式的多样化一般来说,您的网络环境存在多种进出方式,许多过程拔号登录点以及
27、新的Internet访问方式可能会使安全策略的设立复杂化; 3、网络的不断变化网络不是静态的,一直都处于发展变化中。启用新的硬件设备和操作系统,实施新的应用程序和Web服务器时,安全配置也有不尽相同;4、用户保安专业知识的缺乏许多组织所拥有的对网络进行有效保护的保安专业知识十分有限,这实际上是造成安全缺口最为主要的一点。2.6 网络安全评估 为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估: 1、 从企业外部进行评估:考察企业计算机基础设施中的防火墙; 2、从企业内部进行评估:考察内部网络系统中的计算机;3、从应用系统进行评估:考察每台硬件设备上运行的操作系统。2.7
28、 计算机网络的安全策略2.7.1 物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备
29、的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。2.7.2 访问控制策略 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。1) 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登
30、录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加
31、密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。 网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:
32、最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。2) 网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。
33、可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1) 特殊用户(即系统管理员);(2) 一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3) 审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。3) 目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有
34、效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor);读权限(Read)、;写权限(Write);创建权限(Create);删除权限(Erase);修改权限(Modify);文件查找权限(File Scan);存取控制权限(Access Control);用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户
35、对服务器资源的访问,从而加强了网络和服务器的安全性。4) 属性安全控制当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件
36、,防止用户对目录和文件的误删除、执行修改、显示等。5) 网络服务器安全控制 网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。6) 网络监测和锁定控制 网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定
37、数值,那么该帐户将被自动锁定。7) 网络端口和节点的安全控制 网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证2.8 确保网络安全的措施 由于网络安全的目的是保障用户的重要信息的安全,因此限制直接接触十分重要。如果用户的网络连入Internet,那麽最好尽可能地把与Inte
38、rnet连接的机器与网络的其余部分隔离开来。实现这个目标的最安全的方法是将Internet服务器与网络实际隔开。当然,这种解决方案增加了机器管理的难度。但是如果有人闯入隔离开的机器,那麽网络的其余部分不会受到牵连。 最重要的是限制访问。不要让不需要进入网关的人都进入网关。在机器上用户仅需要一个用户帐号,严格限制它的口令。只有在使用su时才允许进入根帐号。这个方法保留一份使用根帐号者的记录。 在Internet服务器上提供的一些服务有FTP、HTTP、远程登陆和WAIS(广域信息服务)。但是,FTP和HTTP是使用最普遍的服务。它们还有潜力泄露出乎用户意料之外的秘密。 与任何其它Internet
39、服务一样,FTP一直是(而且仍是)易于被滥用的。值得一提的弱点涉及几个方面。第一个危险是配置不当。它使站点的访问者(或潜在攻击者)能够获得更多超出其预期的数据。 他们一旦进入,下一个危险是可能破坏信息。一个未经审查的攻击者可以抹去用户的整个FTP站点。 最后一个危险不必长篇累牍,这是因为它不会造成破坏,而且是低水平的。它由用户的FTP站点构成,对于交换文件的人来说,用户的FTP站点成为“麻木不仁的窝脏点”。这些文件无所不包,可以是盗版软件,也可以是色情画。这种交换如何进行的呢?简单的很。发送者发现了一个他们有权写入和拷入可疑文件的FTP站点。通过某些其它方法,发送者通知它们的同伙文件可以使用。
40、 所有这些问题都是由未正确规定许可条件而引起的。最大的一个问题可能是允许FTP用户有机会写入。当用户通过FTP访问一个系统时,这一般是FTP用户所做的事。因此,FTP用户可以访问,用户的访问者也可以使用。所有这些问题都是由未正确规定许可条件而引起的。最大的一个问题可能是允许FTP用户有机会写入。当用户通过FTP访问一个系统时,这一般是FTP用户所做的事。因此,FTP用户可以访问,用户的访问者也可以访问。 一般说来,FTP用户不是用户的系统中已经有的。因此,用户要建立FTP用户。无论如何要保证将外壳设置为真正外壳以外的东西。这一步骤防止FTP用户通过远程登录进行注册(用户或许已经禁止远程登录,但
41、是万一用户没有这样做,确认一下也不会有错)。 将所有文件和目录的主人放在根目录下,不要放在ftp下。这个预防措施防止FTP用户修改用户仔细构思出的口令。然后,将口令规定为755(读和执行,但不能写,除了主人之外)。在用户希望匿名用户访问的所有目录上做这项工作。尽管这个规定允许他们读目录,但它也防止他们把什麽东西放到目录中来。 用户还需要编制某些可用的库。然而,由于用户已经在以前建立了必要的目录,因此这一步仅执行一部分。因此,用户需要做的一切是将/usr/lib/libe.so.1和/usr/lib/libsock-et.so/1拷贝到ftp/usr/lib中。接着将ftp/usr/lib上的口
42、令改为555,并建立主接收器。最后,用户需要在ftp/dev/中建立/dev/null和/dev/socksys设备结点。用户可以用mknod手工建立它们。然而,让系统为用户工作会更加容易。SCO文档说用cpio,但是copy(非cp)很管用。如果用户想建立一个人们都可用留下文件的目录,那麽可将它称作输入。允许其他人写入这个目录,但不能读。这个预防措施防止它成为麻木不仁的窝脏点。人们可以在这里放入他们想放的任何东西,但是他们不能将它们取出。如果用户认为信息比较适合共享,那麽将拷贝到另一个目录中。2.9 提高企业内部网安全性的几个步骤1) 限制对网关的访问。限制网关上的帐号数。不要允许在网络上进
43、行根注册;2) 不要信任任何人。网关不信任任何机器。没有一台机器应该信任网关;3) 不要用NFS向网关传输或接收来自网关的任何文件系统;4) 不要在网关上使用NIS(网络信息服务);5) 制订和执行一个非网关机器上的安全性方针;6) 关闭所有多余服务和删除多余程序7) 删除网关的所有多余程序(远程登录、rlogin、FTP等等);8) 定期阅读系统记录。3. Intranet安全解决方案3.1 Intranet安全解决方案 过去我们往往把信息安全局限于通信保密,局限于对信息加密功能要求,其实网络信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。从简化的角度来看,要实施一个完整的网络与信息
44、安全体系,至少应包括三类措施,并且三者缺一不可。一是社会的法律政策、企业的规章制度以及安全教育等外部软环境。在该方面政府有关部门、企业的主要领导应当扮演重要的角色。二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。只有技术措施并不能保证百分之百的安全。三是审计和管理措施,该方面措施同时包含了技术与社会措施。其主要措施有:实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,以防患于未然。 企业要实施一个安全的系统应该三管齐下。其中法律、企业领导层的重视应处于最重要的位置。没有社会的参与就不可能实施安全保障。 网络信息安全包括了建立安全环
45、境的几个重要组成部分,其中安全的基石是社会法律、法规与手段,这部分用于建立一套安全管理标准和方法。 第二部分为增强的用户认证,用户认证在网络和信息的安全中属于技术措施的第一道大门,最后防线为审计和数据备份,不加强这道大门的建设,整个安全体系就会较脆弱。用户认证的主要目的是提供访问控制和不可抵赖的作用。用户认证方法按其层次不同可以根据以下三种因素提供认证。 1.用户持有的证件,如大门钥匙、门卡等等; 2.用户知道的信息,如密码; 3.用户特有的特征,如指纹、声音、视网膜扫描等等。 根据在认证中采用因素的多少,可以分为单因素认证、双因素认证,多因素认证等方法。 第三部分是授权,这主要为特许用户提供
46、合适的访问权限,并监控用户的活动,使其不越权使用。该部分与访问控制(常说的隔离功能)是相对立的。隔离不是管理的最终目的,管理的最终目的是要加强信息有效、安全的使用,同时对不同用户实施不同访问许可。 第四部分是加密。在上述的安全体系结构中,加密主要满足以下几个需求。 1.认证识别用户身份,提供访问许可; 2.一致性保证数据不被非法篡改; 3.隐密性保护数据不被非法用户查看; 4.不可抵赖使信息接收者无法否认曾经收到的信息。 加密是信息安全应用中最早开展的有效手段之一,数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改、窃取等。在实际的网络与信息安全建设中,利用加密技术至少应能解决以下问题
47、: 1.钥匙的管理,包括数据加密钥匙、私人证书、私密等的保证分发措施; 2.建立权威钥匙分发机构; 3.保证数据完整性技术; 4.数据加密传输; 5.数据存储加密等。 第五部分为审计和监控,确切说,还应包括数据备份,这是系统安全的最后一道防线。系统一旦出了问题,这部分可以提供问题的再现、责任追查、重要数据复原等保障。在网络和信息安全模型中,这五个部分是相辅相成、缺一不可的。其中底层是上层保障的基础,如果缺少下面各层次的安全保障,上一层的安全措施则无从说起。如果一个企业没有对授权用户的操作规范、安全政策和教育等方面制定有效的管理标准,那么对用户授权的控制过程以及事后的审计等的工作就会变得非常困难
48、。3.2 网络信息安全产品 为了实施上面提出的安全体系,可采用防火墙产品来满足其要求。 采用NetScreen 公司的硬件防火墙解决方案NetScreen-10 & NetScreen-100可以满足以下功能。 (1)访问控制 实施企业网与外部、企业内部不同部门之间的隔离。其关键在于应支持目前Internet中的所有协议,包括传统的面向连接的协议、无连接协议、多媒体、视频、商业应用协议以及用户自定义协议等。 (2)普通授权与认证 提供多种认证和授权方法,控制不同的信息源。 (3)内容安全 对流入企业内部的网络信息流实施内部检查,包括URL过滤等等。 (4)加密 提供防火墙与防火墙之间、防火墙与
49、移动用户之间信息的安全传输。 (5)网络设备安全管理 目前一个企业网络可能会有多个连通外界的出口,如连接ISP的专线、拨号线等,同时,在大的企业网内不同部门和分公司之间可能亦会有由多级网络设备隔离的小网络。根据信息源的分布情况,有必要对不同网络和资源实施不同的安全策略和多种级别的安全保护,如可以在防火墙上实施路由器、交换机、访问服务器的安全管理。 (6)集中管理 实施一个企业一种安全策略,实现集中管理、集中监控等。 (7)提供记帐、报警功能 实施移动方式的报警功能,包括E-mail、SNMP等。3.3 企业如何选择合适的防火墙 计算机网络将有效的实现资源共享,但资源共享和信息安全是一对矛盾。随
50、着资源共享进一步加强,随之而来的信息安全问题也日益突出。并不是每一款防火墙都适应于每个用户的需求,根据用户需求的不同,所需要的防火墙可能完全不同。下面列举了几种网络中的防火墙应用。3.3.1 INTERNET或信息发布服务 这种情况非常普遍,ISP或ICP,企业的网页,在INTERNET上提供息服务或提供数据库服务等。任何一种想提供普遍服务或广而告之的网络行为,必须允许用户能够访问到你提供服务的主机,都属于这种情况。 对访问服务行业而言,访问服务提供者必须把要提供服务的服务器主机放在外部用户可以访问的地方,也就是说,主机安全几乎是唯一的保证。除非明确地知道 谁会对你的访问惊醒破坏,才可以对出口
51、路由器或出口防火墙惊醒一些针对性的限制访问控制的设定,否则,访问控制变得毫无意义。主机安全是一个非常有效的手段。所谓的主机安全是一个非常广义的概念,首先是要有一个安全的操作系统,建立在一个不安全、甚至稳定性都很差的操作系统上,是无法作到一个安全的主机。然后是仔细的检查你所提供的服务,如果不是你所必须提供的服务,建议除掉一切你所不需要的进程,对你的服务而言,它们都是你安全上的隐患。可以采用一些安全检测或网络扫描工具来确定你的服务器上到底有伸麽服务,以保证是否有安全漏洞或隐患。最后是对主机确定非常严格的访问限制规则,除了允许提供商愿意提供的服务之外,宣纸并拒绝所有未允许的服务,这是一个非常严格的措
52、施。除了主机安全以外,如果还需要提高服务的安全性,就该考虑采用网络实时监控和交互式动态防火墙。网络实时监控系统,会自动捕捉网络上所有的通信包,并对其进行分析和解析,并判断出用户的行为和企图。如果发现用户的行为或企图与服务商所允许的服务不同,交互式防火墙立即采取措施,封堵或拒绝用户的访问,将其拒绝在防火墙之外,并报警。网络实时监控系统和交互式防火墙具有很强的审计功能,但成本相对偏高。3.3.2 INTERNET和内部网企业一方面访问INTERNET,得到INTERNET所带来的好处,另一方面,却不希望外部用户去访问企业的内部数据库和网络。企业当然没有办法去建立两套网络来满足这种需求。防火墙的基本
53、思想不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对受保护的内部网和不可信任的外界网络之间建立一道屏障,它可以实施比较惯犯的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。根据企业内部网安全政策的不同,采取防火墙的技术手段也有所不同。1) 包过滤防火墙包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定过滤原则过滤信息包。那些不符合规定的I
54、P地址的信息包会被防火墙过滤掉,以保证网络系统的安全。包过滤防火墙是基于访问控制来实现的。它利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否决定舍取。建立这类防火墙需按如下步骤去做;建立安全策略;写出所允许的和禁止的任务;将安全策略转化为数据包分组字段的逻辑表达式;用相应的句法重写逻辑表达式并设置之,包过滤防火墙主要是防止外来攻击,或是限制内部用户访问某些外部的资源。如果是防止外部攻击,针对典型攻击的过滤规则,大体有:l 对付源IP地址欺骗式攻击(Source IP Address Spoofing Attacks)对入侵者假冒内部主机,从外部传输一个源IP地址为内
55、部网络IP地址的数据包的这类攻击,防火墙只需把来自外部端口的使用内部源地址的数据包统统丢弃掉。l 对付残片攻击(Tiny Fragment Attacks)入侵者使用TCP/IP数据包 分段特性,创建极小的分段并强行将TCP/IP头信息分成多个数据包,以绕过用户防火墙的过滤规则。黑客期望防火墙只检查第一个分段而允许其余的分段通过。对付这类攻击,防火墙只需将TCP/IP协议片断位移植(Fragment Offset)为1的数据包全部丢弃即可。包过滤防火墙简单、透明,而且非常行之有效,能解决大部分的安全问题,但必须了解包过滤防火墙不能做伸麽和有伸麽缺点。对于采用动态分配端口的服务,如很多RPC(远
56、程过程调用)服务相关联的服务器在系统启动时随机分配端口的,就很难进行有效地过滤。包过滤防火墙只按照规则丢弃数据包而不对其作日志,导致对过滤的IP地址的不同用户,不具备用户身份认证功能,不具备检测通过高层协议(如应用层)实现的安全攻击的能力。2) 代理防火墙包过滤防火墙从很大意义上像一场战争,黑客想攻击,防火墙坚决予以拒绝。而代理服务器则是另外一种方式,能回避就回避,甚至干脆隐藏起来。代理服务器接收客户请求后会检查验证其合法性,如其合法,代理服务器象一台客户机一样取回所需的信息再转发给客户。它将内部系统与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过
57、,而其他所有服务都完全被封锁住。代理服务器非常适合那些根本就不希望外部用户访问企业内部的网络,而也不希望内部的用户无限制的使用或滥用INTERNET。采用代理服务器,可以把企业的内部网络隐藏起来,内部的用户需要验证和授权之后才可以去访问INTERNET。代理服务器包含两大类:一类是电路级代理网关,另一类是应用级代理网关。电路级网关又称线路级网关,它工作在会话层。它在两主机收次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求,转发请求;与被保护的主机连接时则担当客户机角色、起代理服务的作用。它监视两主机建立连接时的握手信息,如Syn、Ack和序列数据等是否合乎逻辑,信号有效后网关仅复制
58、、传递数据,而不进行过滤。电路网关中特殊的客户程序只在初次连接时进行安全协商控制,其后就透明了。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器。电路级网关的防火墙的安全性比较高,但它仍不能检查应用层的数据包以消除应用层攻击的威胁。应用级网关使用软件来转发和过滤特定的应用服务,如TELNET、FTP等服务的连接。这是一种代理服务。它只允许有代理的服务通过,也就是说只有那些被认为“可信赖的”服务才被允许通过防火墙。另外代理服务还可以过滤协议,如过滤FTP连接、拒绝使用FTP放置命令等。应用级网关的安全性高,其不足是要为每种应用提供专门的代理服务程序。两种代理技术都具有登记、日记、
59、统计和报告功能,有很好的审计功能。还可以具有严格的用户认证功能。先进的认证措施,如验证授权RADIUS、智能卡、认证令牌、生物统计学和基于软件的工具已被用来克服传统口令的弱点。3) 状态监控技术网络状态监控技术普遍被认为是下一代的网络安全技术。传统的网络状态监控技术对网络安全正常的工作完全没有影响的前提下,采用捕捉网络数据包的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据包)端口信息,而包过滤和代理服务则都无法做到。网络状态监控对主机的要求非常高,128M的内存
60、可能是一个基本的要求,硬盘的要求也非常大,至少要求9G,对SWAP区至少也要求192M以上。一个好的网络状态监控系统,处理的量可能高达每秒45M左右(一条T3的线路)。网络状态的监控的结果,直接就是要求能够有一种交互式的防火墙来满足客户较高的要求。中网的IP防火墙就是这样一种产品。4 虚拟专用网VPNEXTRANET和VPN是现代网络的新热点。虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安全、网络安全、应用安全的情况下,或者也不相信其他安全措施的情况下,一种行之有效的办法就是加密,而加密就是必须考虑加密算法和密码的问题。考虑到我国对密码管理的体制情况,密码是一个单独的领域。
61、对防火墙而言,是否防火墙支持对其他密码体制的支持,支持提供API来调用第三方的加密算法和密码,非常重要。3.3.3 如何构筑虚拟专用网VPN企业利用Internet构筑虚拟专用网络(VPN),意味着可以削减巨额广域网成本,然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。削减广域网成本,吸引新客户,这是当今每一位企业主管的求胜之路。但是涉及到Internet,企业有得又有失,比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。相比之下VPN比租用专线的费用低近80%,而且可以将Internet上的多个网站连接起来,使企业接触新的企业伙伴和客户。1) 明确远程访问的需求首先企
62、业要明确需要与哪种WAN连接,用户是通过LAN/WAN还是拨号链路进入企业网络,远程用户是否为同一机构的成员等问题。WAN的连接有两类:内联网连接和外联网连接。内联网连接着同一个机构内的可信任终端和用户,这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。对于内联网连接,VPN应提供对企业网络相同的访问途径就好象用户或下属办事处真正与总部连接起来。内联网VPN执行的安全决策通常是标准的公司决策,远程用户至少要经过一次认证。围绕下属办事处,VPN要考虑的一个关键问题是这些办事处的物理安全性。物理安全性涵盖了一切因素,从下属办事处的密钥和锁,到计算设备的物理访问,再到可访问设施的非雇员
63、数量等等。如果所有这一切都万无一失,在总部和下属办事处之间就可以建立一个“开放管道”的VPN。这类似于LAN到LAN的连接。即不需要基于VPN的用户认证,因为我们认为这样的连接是安全的。但是,如果这些地方有问题,网络设计人员就要考虑采用更严格的安全措施。例如,VPN需要严格认证,或者将对总部网络的访问限制在某个孤立的子网中。VPN对外联网的安全要求通常十分严格,对保密信息的访问只有在需要时才能获准,而敏感的网络资源则禁止访问。由于外联网连接可能会涉及机构外人员,解决用户的变化问题则很有挑战性。从根本上说,这是严格政治问题。但在机构确定用户时,这是严格急需解决的技术问题。2) 注重管理企业网络是
64、攻击者垂涎的目标,因此,管理层必须保护公司网络免遭远程入侵。一个机构的安全决策应界定何种形式的远程访问是允许的或不允许的,决策中还要确定相应的VPN设备和实施选择方法。一般来说,决策者应解决VPN特有的几个问题:远程访问的资格,可执行的计算能力,外联网连接的责任,以及VPN资源的监管。另外,还应包括为出差旅行的员工及远程工作站的员工提供的访问步骤。当然,决策中应包括一些技术细节,例如加密密钥长度,如果VPN的加密算法要求公开认证,则还需要法律的支持保护。对外另外而言,决策中应具体说明及时通报远程用户人员变更的步骤,被解雇的人员必须尽快从数据库中清除。这需要外联网用户机构同VPN管理人员之间进行
65、良好的协作。通常,企业的人事部门已制定有人事管理规定,这些规定可能也适用于VPN用户。3) 确定最佳的产品组合可选择的VPN产品很多,但产品基本上可分成三大类:基于系统的硬件、独立的软件包和基于系统的防火墙。大部分产品对LAN到LAN及远程拨号连接都支持。硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密密钥,因此,较之基于软件的同类产品更不易被破坏.另外,加密路由器的速度快,事实上,如果链路的传输速度超过T1(1.554Mbps),这样的VPN是名列前茅的。基于软件的VPN可能提供更多的灵活性。许多产品允许根据地址或协议打开通道,而硬件产品则不同,它们一般为全部信息流量打开通
66、道,而不考虑协议要求。因流量类型不同,特定的通道在远程站点可能遇到混合信息流时分优先级,例如有些信息流需要通过VPN进入总部的数据库,有些信息流则是在网上冲浪。在一般情况下,如通过拨号链路连接的用户,软件结构也许是最佳的选择。软件系统的问题在于难于管理,它要求使用者熟悉主机操作系统、应用程序本身以及相应的安全机制,甚至一些软件包需要对路由表和网络地址方案进行改动。基于防火墙的VPN则利用了防火墙安全机制的优势,可以对内部网络访问进行限制。此外,它们还执行地址的翻译,满足严格的认证功能要求,提供实时报警,具备广泛的登录能力。大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。由于
67、很少有VPN厂商提供操作系统级的安全指导,因此,提供操作系统保护是这种VPN的一大优势。什么时候企业选择基于防火墙的VPN呢?一般是在远程用户或网络充满潜在敌意的时候。这时,网管员可建立起所谓的非军事区(DMZ),部分,系统一般使用在防火墙上的一个第三方界面,并有自己的访问控制规则。攻击者也许能到达DMZ,但不能破坏内部部分。基于防火墙的VPN对于仅仅实施内联网应用的企业还是蛮好的,它是软件产品中最容易保证安全和管理的产品。对于这三种VPN产品,网管员还要在四个领域进行考核:协议处理、IP安全支持、认证服务器支持和加密密钥的引出。例如:虽然大多数公司网络为多协议型,但VPN产品只解决IP协议的
68、传输,如果其他协议如IPX或SNA需要传送,用户需要寻找能为这些协议加密,或者能将它们打包成IP,让基于IP的VPN系统处理的方案。显然,后一种选择可能会降低系统性能。Ipsec是IETF(Internet Engineering Task Force)组织为TCP/IP协议集增加的标准认证与加密功能。随着Ipsec越来越稳定和实施越来越广泛,VPN的终端用户可以不必使用同一厂商的产品以保证可靠工作,但是到目前为止,实施成功的VPN通常意味着要从同一家厂商购买所有的设备。尽管大部分VPN可保留自己的认证数据库,但网管员也希望借助于现有的认证服务器。比如,许多远程访问服务器使用下述两种协议之一的
69、外部系统来认证用户:远程认证拨入用户服务器(Radius)或终端访问控制器访问系统(Tacscs)。独立认证服务器的优势在于可收缩性,即无论增加多少台访问设备,一台认证服务器就足矣。如果一个企业的VPN延伸到海外,网管员还必须解决出口问题。目前美国法律禁止128位加密算法出口,尽管未来立法可能会或多或少地放宽限制,但一般跨国经营的美国公民可能需要部署两个VPN系统:一个加密功能较弱,用于国际用户的,一个加密功能较强,用于国内用户。4) 进行测试企业不能武断地选择某种VPN方案,一般要通过广泛测试,运行两到三种VPN产品,再作出决定。企业首先要确定一个远程用户间的测试伙伴小组,由他们测试系统的情
70、况。注意,测试小组中一定要包括各种技术工种的员工,这一点对于保证VPN测试的公正以及评估系统管理人员排除故障的能力至关重要。成功的VPN测试包括6个方面:首先,测试VPN是否可按照机构的远程访问决策进行配置;其次,测试VPN是否支持所有正在使用的认证与授权机构;第三,验证VPN可有效地产生和分配的密钥;第四,测试VPN是否允许远程用户加入到公司网络中,就像他们在物理上是连接起来的一样;第五,验证系统为排除故障和提供明显线索的能力;最后,验证是否技术与非技术人员同样能轻松运用VPN。5) 确定系统大小为企业系统选择合适的硬件时,网络决策者要估计系统用户的总数,同时举行网络会议的典型数量,以及数据
71、的时间敏感性(它决定所需的密钥长度)。例如对于基于软件的VPN,假设采用三倍的DES(数据加密标准)加密,使用128位密钥、数据压缩和信息认证,这样,200MHz Pentium处理器就能处理T1网络连接。鉴于内存越大,可允许同时连接的信息流越多,因此,系统在服务器上可以指定尽可能多的RAM。正如以上所述,速度高于T1的网络连接则可能需要基于硬件的VPN。如果厂商提供产品性能基准,网络管理员注意务必了解如何进行测试的详细说明。为了能对不同厂商的产品进行公平比较,网管员需考虑诸如帧长度、加密算法及密钥长度、压缩的使用及信息认证算法的现状。另外,网管员在设计生产系统时,还要考虑备份和冗余问题,大型
72、机构或信息流量大的机构也许还想考虑多服务器上的负载均衡问题。6) 为VPN服务器选择位置远程用户的从属关系有助于确定VPN设备放置的位置。对于期望通过远程访问复制办事处工作环境的员工来说,VPN服务器最好直接放在专用网络中,但这一方法也最易成为攻击者的攻击目标。对于员工企业,如果绝大多数远程用户属于外部机构,将VPN设备放在DMZ网络上意义更大,因为它要比内部网络更为安全,屏蔽DMZ的防火墙有助于保护其间的设备。这种方法也比将VPN设备完全放在安全设施周边之外更安全。如果一台认证服务器属于DMZ子网,它会得到细心的管理和保护,免于内部和外部的威胁。企业在设计安全内联网和外联网时,安置VPN和认
73、证服务器是关键的一步。其中,建立与下属办事处的链路最简单:一对VPN服务器只需在两个站点间建立加密通道。因为出差旅行的员工或远程工作站需要进行认证,因此,它们建立与VPN服务器的链路,将认证请求传送到DMZ上的认证服务器。外界顾问不需要认证,他们只需同另一台VPN服务器连接起来,这一台服务器应位于第二个DMZ上,以保护公司的认证服务器。另外值得注意的是,企业为业务伙伴进行的连接配置最需要技巧,连接请求首先到达第二个DMZ上的VPN服务器,之后请求被传送到第一个DMZ上的认证服务器,最后,批准的请求被传送到请求访问的资源中。7) 重新配置其他网络设备安装VPN,特别是涉及IP地址管理和防火墙时,
74、公司可能要对网络上的其他设备重新进行配置。VPN通常使用网络地址翻译器(NAT),如IETF RFC 1918中所述,NAT将专用地址(通常从一组保留的地址中选出)映射到一个或几个在Internet上可见的地址上。网管员至少要使VPN设备的配置清楚哪些地址要保留下来供内部使用。此外,许多基于VPN的防火墙还支持动态主机配置协议(DHCP)。网管员需将DHCP和VPN功能协调起来,否则,客户机可能最终将信息只发送到Internet而不是专用网络上。一些VPN设备使用虚拟网络适配器将有效的IP地址分配到专用网络上,如DEC公司的Altavista通道服务器,或使用由微软公司开发的点到点通道协议(P
75、PTP)都可以将这些地址分配到未使用的地址中,并对路由器及其他需要进行地址更新的网络设备进行必要的修改。如果VPN服务器在防火墙以内,网络管理员还要对防火墙进行重新配置。大多数VPN将所有信息流闭合起来,形成一股使用单一TCP端口号的信息流。这样,防火墙需要一个类属代理或用于传递封闭VPN信息 流的规则,以及允许将信息流传送到VPN设备上的规则。如果VPN设备位于DMZ部分的外联网中,防火墙还需要一个允许加密信息流从Internet流动到DMZ上的规则,另外,还有让应用程序流从DMZ流动到内部网络上的规则。如果认证服务器位于内部网络上,防火墙的配置一定要有允许DMZ和专用网络间的认证请求。网络
76、管理员应该注意,网络中中有一个千万不能被篡改的地方是专用网络的域名系统(DNS)服务器,它负责专用网络设备的主机名称到IP地址的解析。如果DNS可在Internet上看到,那么攻击者可了解专用网络的布局。8) 安装和配置VPN对于基于软件的VPN和那些围绕防火墙制作的产品,从安全系统入手是根本。在安装前从服务器中取消所有不必要的服务、应用程序和用户帐户,以确保安装的是最新的、安全的产品,这样安装VPN软件才是安全的。对VPN进行配置时,网管员要为一系列因素设定参数,包括密钥长度、主要与次要认证服务器及相关的共享秘密资源、连接和超时设置、证书核查VPN终点设备(而不是用户)的身份,大部分VPN产
77、品都提供此功能。对此,一些厂商的实现的方式是,让所有信息进入总部设备下载相关信息。而对于远程用户,则需要建立口令,准备连接脚本,确立认证步骤。网管员还要让认证和授权程序协调起来。两者听起来差不多,但有些微妙且重要的差别。认证是要证明远程用户是她或他声称的身份(在外联网设置中,要证明的则相反,即服务器可信)。授权是要确定远程用户有权访问何种网络资源。如果认证服务器还控制授权分组,例如营销或策划小组的授权,则系统还要注意核查它是否能正确地同VPN设备联络组信息。9) 监控和管理VPN这一步是要建立监控Internet连接的机制,它可以测定VPN对网络的利用和吞吐量,而且也是培训访问台员工操作VPN
78、设备及认识认证服务器和防火墙互相间的影响的重要一步。另外,机构中的所有网管员都应该了解VPN的基本操作,认识到管理VPN的人不应该只是那些安装和配置的人,最终用户也需要接受Internet了解及VPN软件工作原理的基本培训。而且,让最终一接受一些基本故障排除方法的培训,可以使他们能自己解决一些小故障。10) 进行备份随着用户对VPN的进一步熟悉,企业可能会涉及到一些由任务决定的应用程序,例如公司要为客户建立一个电子商店。在这样的情况下,备份连接是必须的,因此网管员在设计网络阶段就应为冗余链路和设备制定计划。信息流量大的站点应选择支持多设备负载均衡的VPN,原因在于提供负载均衡能力的VPN厂商非
79、常少,目前NetScreen的防火墙产品支持负载均衡和流量控制的功能同时也支持冗余路径。即使网络应用并不重要,进行备份也不失为避免用户投诉的好办法。在这方面,保留几台调制解调器和电话线路用于紧急情况可能就足矣。然而,这种方法的费用较高,而且速度慢,对于LAN到LAN的连接,备份连接最好由ISDN或其他专用线路来满足。要注意的是,一定要定期测试备份连接系统。3.3.4 复合型防火墙体系防火墙体系的采纳是一个非常专业化的过程,不是一个简单的是和非。当然可以根据具体的情况,作出一定的安全政策,并采用某种上述特定的防火墙。但绝大多数情况是,根据具体的安全需求,通过某种体系构架,来实现更高强度的安全体系
80、。或者是采用包含上述功能的复合型防火墙。我们就具体的情况作一个简单的说明:屏蔽主机网关由一个运行代理服务 双穴网关和一个具有包过滤功能的路由器组成,功能的分开提高了防护系统的效率。一个独立的屏蔽子网位于Intranet与Internet之间,起保护作用。它由两台过滤路由器和一台代理服务主机构成。路由器过滤掉禁止或不能识别的信息,将合法的信息送到代理服务主机上,并让其检查,并向内或向外转发符合安全要求。4、NetScreen 网络安全解决方案4.1 公司背景NetScreen 科技公司成立于1997年10月,总部位于美国加州的硅谷。公司的奠基者有过在Cisco和Intel等科技领先公司多年的工作
81、经验。1998年11月,Robert Thomas即Sun公司的执行总裁加盟NetScreen公司,任公司总裁。公司致力于发展一种新型的与网络安全有关的高科技产品,把多种功能集成到一起,创造新的业界性能纪录。NetScreen创建新的体系结构并已取得了专利。该项技术能有效消除传统防火墙实现数据加盟时的性能瓶颈,能实现最高级别的IP安全(Ipsec),先进的系统级的设计允许产品提供多种功能,并且这些功能都具有无与伦比的性能。NetScreen 科技公司已经为业界在虚拟专用网领域设立了新的安全解决系统的标准。所有的功能全部放在有关专有的硬件平台的盒子里,并且这些功能都有着无与伦比的性能。目前公司由
82、 Sequoia Capital投资赞助。Sequoia 是一家领先的风险投资公司,成立于1974年,已成功地为超过350家公司提供了最初的风险投资基金,其中包括3Com 公司、Cisco 系统公司、Oracle 公司、Symantec 公司和Yahoo 公司等等。其中大部分公司的股票都已成功上市。NetScreen 科技公司目前有50多名员工公司在全美的主要城市都设有办事处,而且积极拓展海外市场。用户群包括HP、日立、日本电讯电话公司和美国在线等,覆盖了欧美亚等十几个国家和地区。NetScreen公司的产品NetScreen-100获得了KeyLabs工作组的“测试首选奖”,在1998年4月
83、举行的数据通讯杂志的评测中,NetScreen-100的VPN吞吐量是获得第二名的2.5倍。1998年11月,NetScreen公司再次荣获“测试者选择奖”,这是数据通讯杂志的年度奖。在同类产品中,NetScreen是唯一员工把防火墙、虚拟专用网(VPN)、负载均衡及流量控制结合起来,且提供100M的线速性能的产品。NetScreen保证这一点。在1998年的8月和9月,NetScreen-10 和NetScreen-100 通过了ICSA (国际计算机安全协会)的防火墙认证。1998年9月,NetScreen 推出了VPN远程存取客户端软件。1998年10月,NetScreen 宣布推出 N
84、etScreen-1000的产品。这是第一个支持千兆位传输的具有防火墙和VPN功能的产品。1998年6月,NetScreen-100 被HP公司选为它在防火墙方面的新的合作伙伴。HP的合作伙伴是在全球范围年为HP提供集成解决系统,并在增强用户的Internet上的应用。NetScreen是HP选中的二家防火墙厂家的一家,而且是唯一一家基于硬件的产品。1998年12月日立公司宣布它将在日本推广NetScreen 产品。日立公司准备在未来三年内卖出10000套NetScreen 产品。4.2 产品系列目前,NetScreen 有 NetScreen-10 用于10MB 传输的网络。NetScree
85、n-100 用于 100MB 传输的网络。NetScreen-100 端口是自适应的端口,也可用于目前传输为10MB 并计划将来升级为100MB的网络。NetScreen-1000 不久将要面市,它将为那些大型企业和网络主干的供应商提供千兆网安全的解决方案。NetScreen-5 目前正在测试阶段。它的大小类似一个CDROM。它是为小型办公室或个人用户而设计的。NetScreen 远程 VPN 客户软件可提供远程VPN访问的解决方案。4.3 产品功能及特点NetScreen产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RISC
86、 CPU和专用软件。NetScreen防火墙的专用ASIC芯片提供存取策略的功能。该功能以硬件方式实现,它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。(策略存取执行防火墙保护和加密解密功能)。由于做到了系统级的安全处理功能。NetScreen消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。 NetScreen提供了多功能和高安全性能的无缝连接,NetScreen-1000, NetScreen-100 和 NetScreen-10 分别提供了1000M、100M和10M的传输性能。NetScreen-1000是市场上唯一的千兆的集防火墙、VPN和流量管理于
87、一身的防火墙产品。同样,NetScreen-100是业界最快的防火墙,另外,NetScreen自动调整端口速率,使其达到10M和100M自适应。 因为是基于硬件的设计,NetScreen是唯一一家安全解决系统的提供商,NetScreen产品的高性能允许用户享受到高速的好处,可提供多条E1线路,甚至更高如E3的线路。另外,该产品允许用户在远程实现加密通信,并且这种VPN功能不影响性能。NetScreen提供给ISP们一个价廉物美的安全解决方案。NetScreen10为中小企业提供他们负担得起的全面的安全解决方案。允许他们在自己的企业网内部构筑安全体系。 性能NetScreen产品动态加密保护和按
88、优先级实时监控未来数据,它专有的独特的系统设计保证了它的高性能,ASIC芯片可以独自处理并过滤包。先进的多总线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。用户认证和策略NetScreen 支持高性能的存取为每一个当前用户,无论是远程还是在防火墙内,支持创纪录的并行连接用户数。NetScreen-1000创纪录地实现了TCP/IP并发连接(超过);策略数(多于5000)和并发的VPN连接数(超过10000)。NetScreen-100支持每秒4370个连接,(基于32个客户),领先于它的最接近的竞争对手。根据独立的测试机构,KeyLab的测试报告,NetS
89、creen100支持32000个并发用户连接,NetScreen-10支持16000个并发连接。所有产品都支持超过5000个存取策略,并提供简单易用的过滤界面。防火墙NetScreen全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器。该产品提供了高级的包检查和事件日志功能。该产品与Ipsec协议兼容。VPN NetScreen会集了VPN功能,保证了数据在传输过程中的加密和解密,但在数据被加、解密之前,首先要满足预定的策略。不论NetScreen100还是NetScreen10都支持业界的加密标准。包括网络密钥交换(IKE, 或以前的ISAKMP) 通过IP,DES,Triple DES
90、。并且还支持数据签名(MD5)算法。NetScreen将支持X.509认证公钥算法(PKI),可以自动地管理VPN。NetScreen-1000建立了新的VPN性能测试基准,与其它同类产品比较,NetScreen-1000有着更高的吞吐量,更广泛的安全性和更低的价位。流量管理 流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控制功能象带宽分配。流量优先级和负载均衡,使该产品成为web服务器和ISP的理想产品。网络管理 该产品易于安装,而且NetScreen产品可以远程通过网络上任何一台具有浏览器的机器来管理。透明模式NetScreen可以被用来作透明传输。你可以在这种方式下不分
91、配任何IP给NetScreen网络界面。它只需要一个管理界面。不用更改您现有的任何网络配置就可以利用策略来管理网络流量。除了它可以在两台NetScreen之间运行VPN,即使有些产品可以在透明模式下工作,但它们也不能在透明模式下实现VPN。 特点独特的ASIC设计及已申请专利保护的系统体系结构最优的性能价格比无用户数目限制独特的负载均衡能力及流量优先级控制能力创记录的性能,具有线速运行能力配置简单,管理方便支持透明传输模式设计紧凑,一些附加功能转移到主机上完成如日志功能支持一主一备的管理模式4.4 访问控制NetScreen 使用了状态检查的方法来实现动态的包过滤。 相比其他的两种方法简单的包
92、过滤和复杂的应用网关来讲,它具有更快速和更安全的优点。简单的包过滤只检查IP地址和端口号。它通常由路由器来实现。但它只能做到拒绝端口访问或允许端口访问。它不能了解连接的状态。一旦真正的用户完成了TCP的连接后,就留下了可使黑客劫持端口号的漏洞。应用网关通过检查应用层所有的包,提供了更好的安全性。但是用户需要厂商提供所有应用的代理。而且它只能用软件实现,因此性能是很低的。状态检查的链路层代理,另一方面,可实现硬件层。防火墙保持所有的TCP会话的检查。一旦一个会话结束,防火墙就结束这个连接。在不牺牲安全性的条件下,提供更高的性能。NetScreen 也可提供网络层的 URL 过滤,并在不久的将来实
93、现病毒扫描的功能。 NetScreen 产品也提供信息的和用户的认证。NetScreen是通过建立VPN通道,由MD5实现的ESP信息的认证,并依从IPSec 标准 用户的认证可由两种方法实现。用户可在防火墙上定义多达2000 个用户或者设置一个 Radius 服务器来存储用户认证的信息。4.5 管理NetScreen 产品可连接信任端口(Trusted )或 不信任端口(Untrusted)然后通过web 界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口(Untrusted)可以因安全的原因而设置为取消。如果取消它,不信任端口是不可ping的。 (不信任端口(untrus
94、ted) 在 1.60版本以前是不可ping的)。 NetScreen 产品同样也可通过console 端口,使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望通过远程来管理防火墙,可在console口连接一个调制解调器。Console口的访问也可因为安全原因设置为取消。 NetScreen 产品也可以通过telnet来管理。Telnet 和 Web 管理也可通过VPN 通道加密,提供安全的管理。管理方便,可通过串口管理,使用命令行方式。也可以在图形方式下用浏览器进行管理,不分硬件平台和操作系统,只要把浏览器打开就可以通过用Web server 的方式来管理配置简单尤其在配置三个端口的I
95、P时很方便对于大型网络中多个NetScreen设备,可以采用snmp的集中式管理,通过网络管理软件,如SunNetManager来进行管理而且NetScreen还可以提供备份的远程拨号方式的管理不仅如此,为安全起见,NetScreen 可以关闭远程的管理方式,而只使用本地的、安全的管理方式。4.6 处理能力及性能指标具有线速带宽且不受信息包大小影响(wirespeed)在作地址转换和添加策略时,性能不受任何影响具有VPN功能,支持IPSEC,DES,TripleDES,人工密钥管理,自动ISAKMP密钥管理,支持MD5线速带宽的包过滤支持32000个并发连接5000个高级访问过滤策略具有网络地
96、址转换功能支持透明模式传输动态过滤,具有硬件级代理服务器功能有实时监控流量和报警功能可以实现日志记载功能流量控制,可以根据不同用户及不同策略分配带宽支持8级用户优先级设置支持服务器负载均衡动态IP pool,实现端口地址转换支持多种标准协议:ARP,TCP/IP,UDP,ICMPDHCP, HTTP, RADUIS, Ipsec ,MD5, SHA-1Des, Triple -DES, IKE, X.509v3可以通过浏览器,TFTP服务器,快速闪存来进行软件版本的升级及配置参数的下载,备份支持一主一备的管理模式4.7 产品适用范围l 企业网 (INTRANET)Netscreen-100,以
97、其创记录的100Mbps运行速度,将业界的性能标准一下子提高了十倍,创新的,独特设计的软硬件体系结构,使Netscreen-100将高速的性能,最大限度的安全性及简单易用有机地结合在一起,有效的消除了制约传统软件类防火墙的性能瓶颈Netscreen-100是当今市场上为企业网(INTRANET)与互连网(INTERNET) 及企业内部各单独子网之间提供信息保护的最可信赖的解决方案它可以被灵活地设置在企业局域网的各个关键位置,以保护各个部门的资讯,如财务部,工程部等关键部门,或保护重要的企业网服务器,甚至可以保护企业高层管理人员个人电脑上的敏感资讯将虚拟专用网(VPN)方便的能力与放火墙功能设计
98、在同一个体系结构中,是使Netscreen-100在当今防火墙技术市场上居于领先地位的关键VPN 保证了加密的数据在进出公司局域网和外部互连网时受到检验Netscreen-100强大的DMZ服务器负载平衡功能,使得用牺牲网络性能换取网络安全的矛盾迎刃而解无论需求是来自企业网(INTRANET)还是互连网(INTERNET),Netscreen-100都有能力平衡多个服务器运用一个加权系统,网络管理员可以保证为企业内部信任端口(TRUSTED)服务器和公共的隔离端口(DMZ)服务器按需分配带宽Netscreen-100的100Mbps的速度性能,保证了网络具有实时响应能力和最短的等待时间,实现了
99、网络性能与网络安全的完美统一l 互连网(INTERNET)Netscreen-100在防火墙市场之所以出类拔萃,是因为其实现了防火墙安全性能与高速率的完美结合它不仅适用于单个的E1,而且适用于多个E1或E3,甚至快速以太网。Netscreen-100可以很容易地配置在任何现有的企业网络结构中。Netscreen-100为网络管理员提供了综合的网络流量控制方法,从而实现了高效的网络流量管理。Netscreen-100的先进功能之一,优先级管理,就是对带宽按级别来分配,保证了网络数据的高效交换这就使诸如视屏会议等特定服务和应用,在全部可用带宽范围内,可被确保一定比例的带宽而顺畅进行。与此相关的,N
100、etscreen-100同时具有全面的网络分析能力,如实时的日志记录,快速准确的报警功能和方便的报表能力。l 外部网(EXTRANET)Netscreen-100以其先进便利的VPN功能,确保特定局域网之间在互连网上以密文交换信息。在公网上开辟出一条安全通道,为用户降低成本。在Netscreen-100高速处理能力的保障下,VPN可使公司安全地进行远程数据复制与拷贝,以及对远端服务器的配置与管理。如果您的企业需要通过互连网与诸如供货商,商业伙伴,分支机构进行端到端信息交换,Netscreen-100的VPN功能将是您最安全可靠和经济有效的工具。由于VPN使用公网传输,节省了昂贵的租用专线费用,
101、极大地降低了企业网络为通讯安全进行的投资。4.8 防火墙应用示例TrustedNetworkInternetNetScreenDMZUntrustedDMZTrustedNetScreen防火墙有三个端口Trusted、DMZ和Untrusted。分别用于连接Intranet、Internet和DMZ三个网域。它独创的安全包处理器,将所有的流量策略、安全政策、加密和身份验证都交给硬件处理,从而大大提高了防火墙的处理性能;并且将包的生成交给软件处理;将包的路由交给路由器处理,集中实现安全策略下的高速吞吐量。NetScreenHeadquartersMobile UserInternetVPN T
102、unnelVPNClear Traffic4.9 VPN应用示例连接移动的用户访问企业网的文件。NetScreenNetScreenClear TrafficVPNBranchInternetVPN TunnelHeadquarters连接分支机构和企业网,并可用于提供冗余的WAN链路。Clear TrafficVPNPartnerInternetNetScreenNetScreenHeadquartersVPN Tunnel将多个分支机构通过Internet连接起来,通过密文传输,以保障企业网的安全。4.10 负载平衡的应用示例InternetSQLServer3SQLServer2SQLServer1HTTPServer1HTTPServer2HTTPServer3DMZTrustedVIP =200.10.10.5LOADBALANCER可由多台服务器分担网络上访问服务器的流量。 44
