《网络安全--防火墙--综合布线--vpn.doc》由会员分享,可在线阅读,更多相关《网络安全--防火墙--综合布线--vpn.doc(40页珍藏版)》请在金锄头文库上搜索。
1、摘 要随着网络应用的蓬勃发展,Internet的安全,包括其上的信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的大事情。从企业角度来说,安全保障能力是新世纪一个企业实力、竞争力和生存能力的重要组成部分。在Internet 应用迅速普及发展的今天,企业计算机网络接入Internet获取资源,提供信息是一种广泛的应用模式。此时,如何保护企业计算机网络资源不受外部非法侵袭是一个严肃、重要的课题。本文列举浙江银轮机械有限公司计算机网络系统的Internet访问安全核心Cisco公司的PIX 515防火墙,介绍如何使用防火墙提供的安全策略,构筑一般企业计算机网络In
2、ternet应用的安全体系。具体内容分为如下五个章节来说明:第一章介绍了设计背景,包括防火墙技术的发展现状以及防火墙在网络中的作用。第二章是防火墙的需求分析,指出了企业的业务、安全性、通信流量、以及管理的需求。第三章描述了防火墙的设计,包括防火墙工作原理、网络拓扑结构以及安全策略。第四章是防火墙的配置,阐述了防火墙各功能的实现,详述如何实现包过滤和NAT功能。第五章是网络安全措施设计。关键词: 网络安全 防火墙 综合布线 VPN38目 录摘 要1目 录2第1章 防火墙设计背景41.1 防火墙概论41.1.1网络安全定义41.1.2防火墙在网络中的作用51.2防火墙发展历史和现状5第2章 企业需
3、求分析72.1应用背景72.2业务需求72.3 管理需求82.4 安全性需求92.5 通信量需求102.6 网络可扩展性需求11第3章 防火墙规划及设计123.1 PIX防火墙的工作原理123.1.1数据包如何通过防火墙123.1.2转换内部地址123.2防火墙的体系结构123.2.1屏蔽路由器123.2.2双穴主机网关133.2.3被屏蔽主机网关133.2.4被屏蔽子网133.3 网络拓扑结构143.3.1网络拓扑结构143.3.2网络安全策略15第4章 企业防火墙配置184.1防火墙的选择184.1.1设置防火墙的要素184.1.2防火墙在大型网络系统中的部署184.1.3防火墙的局限19
4、4.2 防火墙安装194.2.1防火墙的安装194.2.2防火墙升级包安装过程254.3 VPN284.3.1VPN工作原理284.3.2封装安全载荷ESP294.3.3防火墙中的VPN的实现29第5章 企业安全策略的设计与实施345.1 物理安全控制345.2 基础设施和数据完整性345.3 安全策略验证与监控目的345.4安全意识培训35结 论36参考文献37致 谢38第1章 防火墙设计背景1.1 防火墙概论1.1.1网络安全定义安全的定义是:远离危险的状态或特征,为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。网络安全的根本目的就是防止通过计算机网络传输的信息被非法使用。有时网络
5、信息安全的不利影响甚至远超过信息共享所带来的巨大利益。一个有效的安全计划包括安全意识、防止、检测、管理和响应以使危险降低至最小。完美的安全是不存在的,有决心、持之以恒的攻击者可以找到欺骗或绕开任何安全措施的方法。网络安全是一种减少漏洞和管理危险的方法。安全是一个连续的过程,包括保护阶段、检测阶段、分析阶段、管理阶段和恢复阶段。分析安全需求是,首先要明确的是要保护的财产以及它们的价值大小,确定可能会破坏这些财产的威胁,以及威胁发生的可能性。检测分析指通过监视并记录网络和系统的状态信息,通过分析这些线索与状态以便能识别出一次攻击。通常使用入侵检测系统来观察网络通信量。恢复和保护一样重要,用来从入侵
6、和攻击中恢复的有计划的响应是网络安全所必须的一部分,安全管理需要协调与计划。网络安全是一件复杂的任务,安全性与安全链中最薄弱的环节密切相关,安全策略一致性是至关重要的。可用性、完整性、机密性是网络安全的基本要求。可用性是可被授权实体访问并按要求使用的特性。可用性确保了信息和服务在需要时可以被访问并能工作。冗余、容错、可靠性、自动故障度越、备份、恢复、弹性和负载平衡是网络设计中确保可用性是用到的概念。如果系统不可用,那么完整性和机密性无从谈起。拒绝服务(Denial of Service,DOS)攻击的目的是攻击网络和服务器的可用性。完整性指确保信息完整、精确、可信。对于网络的完整性,指确保收到
7、的消息与发送的消息是相同的,消息内容没有被修改。机密性用于保护敏感信息免受未被授权的暴露或可以理解的截取。加密和访问控制用于保护机密性。1.1.2防火墙在网络中的作用一般来说,防火墙是一种位于网络上的安全机制,通过实施一个或一组访问控制策略以保护资源不受其他网络和个人破坏。它在内部网络(专用网络)与外部网络(共用网络)之间形成一道安全屏障,以防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为导致内部网络的运行遭到破坏。防火墙在内部也用于控制对特定部门或资源的访问。如果在网络的边界没有访问控制,则网络的安全性完全依赖于适当的配置及单个主机和服务器的安全性。
8、在一定意义上所有主机系统必须通过协作来实现均匀一致的高级安全性。如果这样,对于有上百个设备需要被配置的网络的管理将是不可能的。防火墙的基本思想不是对单个设备进行保护,而是让所有的访问通过某一点,并对这一点进行保护,并尽可能地对外界屏蔽保护网络的信息和结构。使用防火墙有助于提高网络总体安全性。如图1-1所示,防火墙处于内部网络和外部网络之间,所有数据包都要经过防火墙的审查,使内部网络多了一道安全屏障。 因 特 网防火墙内部网络图 1-1 Internet上的防火墙结构1.2防火墙发展历史和现状按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防
9、火墙)。从发展历史来看,经过了四个阶段。第一阶段的防火墙为基于路由器的防火墙。防火墙与路由器一体,利用路由器本身对分组解析,过滤判决的依据可是是地址、端口号等其他网络特征。第一代防火墙产品不足之处很明显:它仅有包过滤的功能;而且由于路由器的主要功能是为网络提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能;且十分灵活的路由协议,本身具有安全漏洞。基于路由器的防火墙只是网络安全的一种应急措施。第二阶段的防火墙是用户化的防火墙工具套。将过滤功能从路由器中独立出来,并加上审计和告警功能,用户可针对需求自己动手构造防火墙,
10、这种用户化的防火墙工具套,虽然较第一代防火墙安全性提高了、价格降低了,但由于是纯软件产品,在实现、维护上都对系统管理员提出了相当复杂的要求,使用中出现差错的情况很多,而且全软件的实现使得安全性和处理速度均有局限。第三阶段的防火墙产品建立在通用操作系统之上。它包括分组过滤功能,装有专用的代理系统,监控所有协议的数据和指令,保护用户编程和用户可配置内核参数的配置,安全性和速度大为提高。第三代防火墙有以纯软件实现的,也有以硬件方式实现,但随着安全需求的变化和使用时间的推延,仍表现出不少问题:作为基础的操作系统及其内核往往不为管理者所知,原码的保密使得安全性无从保证,通用操作系统厂商通常不会对操作系统
11、的安全性负责,从本质上看,防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击,用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商。防火墙技术和产品随着网络攻击和安全防护手段的发展而演进,到1997年初,具有安全操作系统的防火墙产品面市,使防火墙产品步入了第四个发展阶段。具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较之第三代防火墙有质的提高。第四代防火墙产品将网关与安全系统合二为一,具有以下技术与功能。1.双端口或三端口的结构2.透明的访问方式3.灵活的代理系统4.多级的过滤技术5.网络地址转换技术6.Internet网关技术7.安全服务器网络(SSN)
12、8.用户鉴别与加密9.用户定制服务10.审计和告警第2章 企业需求分析2.1应用背景浙江银轮机械股份有限公司是一家创建于1998年的省批股份制企业,前身浙江天台机械厂。公司由油冷器制造分厂、铝散热器制造分厂、总成制造分厂、配件制造分厂、上海银畅国际贸易公司、上海神天散热器公司、上海创斯达交换器公司组成。公司位于风景秀丽的佛教胜地、国家一级风景区天台山麓。现有员工536人,其中工程技术人员105人,公司主要生产各种散热器,机械产品,多功能冲抓式造孔机,离心机等。目前是国内机油冷却器、空气冷却器产品生产规模最大、品种规格最多和测试设备最齐全的散热器专业生产厂家。1994年产品进入美国售后市场,开始
13、参与全球竞争。1998年:由职工入股,企业成功由国有改制为民营股份制。2001年:产品进入美国OEM市场,商务、物流和新品开发程序开始与国际接轨。与美国等较早开展信息化建设的国家相比,中国的信息化建设相对滞后一些.为了增强自身的市场竞争能力,提高企业自身的信息化程度,国家信息产业部领导在接受记者采访时,再三强调“信息化这个东西不是可有可无的,而是势必行,如果不搞信息化,就将被市场淘汰。” 浙江银轮机械股份有限公司信息化建设目的为了增强企业的核心竞争力,实现利润最大化,提高经济效益和保证持续发展 ,为了充分发挥信息资源的作用,需要对企业的信息资源进行整体部署。因此,建设企业网络工程是信息化建设方
14、面的紧迫任务,是企业可持续发展的重要保证之一。通过这样的通信系统工程,企业可以提高通信效率,降低通信成本,从而提高生产效率,降低运作成本,提升其自身的竞争力。2.2业务需求业务需求的分析目标是明确企业的业务类型,应用系统软件种类,以及它们对网络功能指标(如带宽,服务质量QOS)的要求.业务需求是企业建网中的首要环节,是进行网络规划与设计的基本依据。通过对浙江银轮机械股份有限公司的实地考察,和对公司的负责人交流,以及问卷调查的方式,通常对数量较多的最终用户提问, 询问其对将要建设的网络应用的要求,公司要实现企业内部办公网络,上面运行的应用包括Internet连接共享、传真、电子邮件、企业办公消息
15、管理等。企业内部办公网络的核心问题是在保证日常办公效率的基础上,如何进一步的提高安全性和可监控性。企业内部办公网络应该考虑的功能需求如下:1、网络安全保护。包括企业级防火墙和企业级的反病毒软件,防范病毒和黑客的攻击。2、网络管理监控。提高整个网络系统的可管理性,明确每个部门或人员的职责和权限,控制公司业务的关键环节。3、网络服务器。需要有专用的服务器,作为反病毒软件和网络管理监控软件或其他应用的主控服务器。4、Email办公。公司业务Email文件可以在相关的部门和人员之间快速流转。收发Email时,文件必须经过主管部门的监控和转发,普通人员将在受监控的状态下面和公司客户通信。5、Fax办公。收发Fax时,图片可以通过网络办公系统自由分发,而无需打印和手工传递。同时,Fax内容和传递过程需要记录日志,以备追溯。6、Internet连接共享。试用Internet连接共享时,需要控制不同权限的员工使用Internet的方式和范围。限制普通员工利用公司网络进行业务无关的活动。7、VPN连接VPN安全策略包括:身份认证,完整性,机密性,可用性以及审计功能。8、视频服务根据上网用户数据流量,主干网采用
