netscreen firewall保护企业网络安全4.docVIP

NetScreen Firewall保护企业网络安全4-系统实施建议 /qiuweihua/blog/pyinlei/53920559200821283817398/#53920559200821283817398 基于以上的规划和分析，我们建议企业网络安全系统按照系统的实现目的，分两个步骤（两期）分别实现以下各个安全子系统： 防火墙系统 VPN系统 动态认证系统 1.1 系统设计的基本原则 实用、先进、可发展是安全系统设计的基本原则。 本建议书设计的安全系统首先是满足企业现有和可预见未来几年内的应用要求；其次是考虑在投资增加很少的前提下，选择目前可以提供最先进技术手段的设备和系统方案；最后要考虑实现的安全系统面对应用要有长远发展的能力。 防火墙系统作为网络出入口的内外连接控制和网络通信加密/解密设施，不仅需要有足够的数据吞吐能力，如网络物理接口的带宽，也需要优越的网络连接的数据处理能力，例如并发连接数量和网络连接会话处理能力等。以下的防火墙系统设计将根据这些原则合理的设计系统。 本建议书将重点对防火墙系统（包括VPN应用系统）提出设计建议。 1.2 安全系统实施步骤建议 任何一个网络应用系统在实施和建设阶段，在进行应用系统开发的同时，首先是考虑网络基础设施的建设。防火墙系统和VPN应用系统作为现代网络系统基础设施的重要部分，毫无疑问也是我们建设网络安全系统首先需要构架的系统。这也是我们建议企业网络安全系统第一阶段需要完成的系统建设部分。 动态认证系统是对网络用户对具体的应用系统或网络资源访问控制的一种加强手段。正如前面所分析，在防火墙配合的基础上可以更加有效地发挥其作用；另一方面，动态认证系统是面向具体应用的访问控制辅助手段，系统的实施范围和规模根据应用系统的要求而决定。所以我们建议动态认证系统放在防火墙系统实施完成后的第二阶段来实施。 同样，漏洞扫描和入侵检测系统作为防火墙系统的辅助系统，可以有效地提高防火墙系统发挥的安全保护作用；漏洞扫描和入侵检测系统所发挥的作用，最终要靠防火墙系统的作用来体现，因为漏洞扫描和入侵检测系统“检查”和“侦测”得到的非法访问和恶意攻击，需要防火墙系统对其实施控制和拦截。所以建议也将漏洞扫描和入侵检测系统放在防火墙系统建设完成后的第二阶段实施。 1.3 防火墙系统实施建议 防火墙系统是在网络基础层以上（OSI/ISO网络结构模型的2至7层）提供主要的安全技术服务手段，如表2所示。这些安全服务包括了访问认证、访问控制、信息流安全检查、数据源点鉴别等技术手段。 （注：在以下的防火墙系统设计建议中，除特别进行说明的功能或技术手段不能满足设计要求以外，本建议书所有设计选择的产品都是全部满足表2和第三章提出的系统目标之要求，在本方案文档中将不再进行所有功能的详细技术实现说明。） 在网络边界设置进出口控制，可以防御外来攻击、监控往来通讯流量，是企业网络安全的第一道关卡，其重要性不言而喻。网络防火墙系统从其设置的物理位置来说，最恰当的位置就是网络物理边界的出入口。所以可以说，网络安全系统最为关键的组成部分实际上是利用上述的各种技术手段，通过对网络出入口的控制实现安全服务的目的。 本建议书我们采用防火墙来对企业网络的进出口进行控制，包括Internet进出口控制和广域网进出口控制。 1.3.1 Internet进出口控制 绵阳总部是整个企业的中心最重要网络，通过广域网链路连接分布在各地的分部，开展各种业务应用，并采用专线连接互联网获取有用信息。从安全和管理角度考虑，建议只在总部设立一个Internet出口，各地分部统一通过总部访问互联网。 （一）Internet接入结构 如下图典型的企业应用所示，总部在Internet出口设立防火墙系统。为避免单点故障，防火墙系统采取双机模式构建。每台防火墙均提供4个网络接口，分别连接Internet，中立区和内部网络两台中心交换机。来自Internet的光纤专线将通过一台交换机与两台防火墙的外网口连接。中立区也需增加一台交换机，用于连接两台防火墙的中立区口、WWW服务器、邮件服务器等。 ? （二）防火墙系统选型设计 经过对多家防火墙厂商设备的综合比较，本建议书推荐采用NetScreen公司的防火墙产品。 NetScreen国际有限公司（以下简称NetScreen公司）成立于1997年10月，总部位于美国加州硅谷。?NetScreen Technologies以业界领先的防火墙/虚拟专用网络（VPN）解决建议书，加强互联网的安全能力。NetScreen专门开发基于ASIC的互联网安全系统及设备，为互联网数据中心、服务供应商及企业提供高性能防火墙、虚拟专用网及网络流量的监控功能。这种全面安全解决建议书为客户带来高性能、易于升级和管理的优点，在业内累获大奖。 NetScreen