构建企业级软件防火墙解决方案

构建企业级软件防火墙解决 广西生态工程职业技术学院 题 目: 企业级软件防火墙系统解决方案 系 别: 信息工程系 专 业: 系统维护 年 级: 2006级 班 级: 系统061 学 号: 11406115 姓 名: 叶长青 指导教师: 刘东、蓝丹 目 录 目录 ............................................................... 2 第一章:企业现状分析 ...................................................... 1 第二章:企业需求 .......................................................... 5 第三章:方案设计 .......................................................... 8 3.1.方案设计目标 ......................................................... 8 3.2.方案设计原则 ......................................................... 8 3.3.拓扑图 ............................................................... 9 3.4.拓扑图说明 .......................................................... 10 3.5.技术选型 ............................................................ 11 3.5.1.防火墙技术分类 ................................................ 11 3.5.2.防火墙技术对比分析及选择 ...................................... 11 3.6.产品选型 ............................................................ 16 3.6.1.防火墙选型 .................................................... 16 3.6.2.产品选型原则 .................................................. 20 3.6.3.产品选择 ...................................................... 21 3.6.4产品规格 ...................................................... 22 3.6.5.产品介绍 ...................................................... 23 3.7.本方案技术要点 ...................................................... 26 3.7.1.技术要点分析 .................................................. 27 3.8.方案优点 ............................................................ 35 第四章:方案预算 ......................................................... 38 第五章:实施方案 ......................................................... 39 5.1.项目实施进度 ........................................................ 39 5.2.人员配备 ............................................................ 40 5.3.保障措施 ............................................................ 41 第六章:验收方案 ......................................................... 42 6.1.验收目的 ............................................................ 42 6.2.验收流程、 ...................................................... 42 6.3.验收人员 ............................................................ 43 6.4.初步测试系统项目 .................................................... 43 第七章:售后服务 ......................................................... 47 7.1.服务承诺 ............................................................ 47 7.2.售后服务流程 ........................................................ 49 7.3.人员配备 ............................................................ 50 7.4.人员培训 ............................................................ 51 7.4.1.系统管理员培训 ................................................ 51 7.4.2.服务保障 ...................................................... 52 参考文献 .................................................................. 54 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 第一章:企业现状分析 Internet的发展给政府机构、企事业单位带来了革命性的改革和开放。他们正努力通过利用Internet来提高办事效率和市场反应速度，以便更具竞争力。通过Internet，企业可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和商业间谍的入侵。因此企业必须加筑安全的战壕，而这个战壕就是防火墙。 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 防火墙的功能: 1.防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 3.对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提 第 1 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.防止内部信息的外泄: 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。 除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。 我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性: (一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙 这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网部网络不受侵害。 根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。 (二)只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一 第 2 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 条链路转发到另外的链路上去。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。 (三)防火墙自身应具有非常强的抗攻击免疫力 防火墙之所以能担当企业内部网络安全防护重任，是因为防火墙自身具备非常强的抗攻击免疫力。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。 随着企业信息化进程的逐步深入，企业内部依然存在不少问题。一是安全技术保障体系尚不完善，许多企业、单位花了大量的金钱购买了信息安全设备，但是技术保障不成体系，达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。 而贵公司目前存在的问题有: 1.网络共享与恶意代码防控 贵公司原有系统网络共享资源为了方便不同用户、不同部门、不同单位等之间的进行信息交换，共享资源方便之门大开，使得恶意代码利用信息共享、网络环境扩散等漏洞，侵入企业内部网络，造成企业内部网络运行越来越慢，网络经常中断，并且影响越来越大。恶意信息交换没有得到限制，直接导致网络的QoS下降，甚至有时致使系统瘫痪不可用。 2.信息化建设超速与安全规范不协调 贵公司原有网络安全建设缺乏规范操作，常常采取“亡羊补牢”之策，导致信息安全共享难度递增，留下安全隐患。 3.IT产品类型繁多和安全管理滞后矛盾 贵公司信息系统部署了众多的IT产品，包括操作系统、数据库平台、应用系统。而由于不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,给信息系统管理留下安全隐患。 4.IT系统复杂性和漏洞管理 第 3 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 贵公司网络结构复杂，由多协议、多系统、多应用、多用户组成的网络环境，复杂性高，存在难以避免的安全漏洞。而企业内部操作系统均存在安全漏洞。且由于管理、软件工程难度等问题，新的漏洞不断地引入到网络环境中，所有这些漏洞都将会是攻击切入点，攻击者则利用这些漏洞入侵系统，窃取信息。 而企业IT人员为了解决来自漏洞的攻击，都是通过打补丁的方式来增强系统安全。但是，由于系统运行不可间断性及漏洞修补风险不可确定性，而由于企业的信息系统错种复杂，使得漏洞修补变得极为困难。即使发现网络系统存在安全漏洞，系统管理员也不敢轻易地安装补丁。这就给黑客攻击者留下了切入点，使得企业数据时刻面临着被窃取、恶意修改、删除的危险。 5.业务快速发展与安全建设滞后 在企业信息化建设过程中，贵公司由于业务急需要开通，做法常是“业务优先，安全靠边”，这就使得安全建设缺乏规划和整体设计，留下安全隐患。安全建设只能是“亡羊补牢”,出了安全事件后才去做。而由于市场环境的动态变化，使得业务需要不断地更新，业务变化超过了企业网络现有安全保障能力。 6.网络资源没有保障 复杂的网络世界，充斥着各种不良信息内容，常见的就是垃圾邮件。在贵公司单位中，网络的带宽资源被员工用来在线聊天，浏览新闻娱乐、股票行情、色情网站，这些网络活动严重消耗了带宽资源，导致正常业务得不到应有的资源保障。 7.安全岗位设置和安全管理策略实施困难 根据安全原则，一个系统应该设置多个人员来共同负责管理，贵公司由于受成本、技术等限制，一个管理员既要负责系统的配置，又要负责安全管理，安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中， 第 4 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 第二章:企业需求 随着网络经济和网络社会时代的到来，信息系统安全已经成为企业最为关注并亟待解决的问题，作用和影响力已扩散到企业与组织的每一个领域。由于企业网络有内部网络、外部网络和企业广域网组成，网络结构复杂，因此企业中的数据丢失、内部网络缺陷、计算机病毒的侵袭和黑客非法闯入等等为当前企业的现状弊端。 数据丢失 在企业中，数据中心扮演着越来越重要的角色，数据是企业的生存之本，数据丢失是企业无法承受之痛，轻则造成企业的经济损失，重则让企业陷入倒闭危机。企业终于认识到，一旦发生重大安全事故，数据才是企业能否尽快恢复运转的关键和核心。因此贵企业需要解决本地数据访问的安全、远程数据访问的安全、数据库变慢、数据库高度消耗、口令中包含@导致无法连接数据库、数据库失真等问题。 内部网络缺陷 由于企业当初建立网络不够规规范，各个区域没有进行一定的设置权限，这样的网络比较乱，也比较复杂，从而难以进行有效管理企业的网络，加上网络管理员技术不高，系统漏洞比较多，没能及时打补丁。企业存在这样的网络缺陷，很容易受到不良的攻击，就没有安全性可言。因此贵公司需要建立分布式防火墙系统，主要由主防火墙，主机防火墙和中央控制平台组成，分布式防火墙系统采用集中控制管理的模式进行，可对不同的内部用户赋予不同的访问权限，防止来之内部的攻击，从而大大提高了系统的安全性。另外在采用入侵检测技术IDS与分布式防火墙系统结合，能有效的防止发生拒绝服务攻击、提防IP欺骗、漏洞扫描等入侵行为。最重要的是能有效的防范内部攻击，解决的传统系统的痼疾。并且它还可以自适应的修改安全策略，当发生入侵行为时，入侵检测系统会自动警告并提供反馈信息，中央控制平台根据反馈信息及时的改变安全策略，这使得在最初配置防火墙时，可以更多的考虑网络的性能。 计算机病毒的侵袭 随着病毒技术的发展，病毒的入口点越来越多。因此计算机病毒就像苍蝇一样无孔不入地侵袭，肆意地在企业的网络中传播，进而感染更多的文件，从而使系统崩溃，导致整个网络瘫痪，所有业务无法正常运转，造成无数的经济损失。贵公司需要利用防火墙进行访问控制和网络隔离，根据业务内容、网络逻辑划分现有网络，然后根据网络功能和业务制定完善 第 5 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 的安全策略。确定业务数据流程、访问权限、网络应用、相关网络服务和协议等。还需要根据重要等级和整体安全策略对网络进行区域划分和隔离，调整网络结构，重新规划业务流程或者网络构成。此外，将数据区分为不同安全等级，采取相应的安全措施，如访问权限控制、加密存储、加密传输、备份与恢复等。还应当注意:始终保持操作系统、WEB浏览器、电子邮件和应用程序的最新版本;定期审查主要软件供应商产品安全方面的情况，并且预订实用的电子通讯，以便了解新的安全缺陷以及解决方法 黑客攻击 随着越来越多黑客案件的报道，企业不得不意识到黑客的存在。黑客的非法闯入是指黑可利用企业网络的安全漏洞，不经允许非法访问企业内部网络或数据资源，从事删除、复制甚至毁坏数据的活动。一般来说，黑客常用入侵动机和形式可以分为两种。黑客通过寻找未设防的路径进入网络或个人计算机，一旦进入，他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络，所有这些都会对企业造成危害。黑客非法闯入僵局被企业杀手的潜力，企业不得不加以谨慎预防。 从以上的网络信息安全的弊端可以看出，网络安全威胁给企业用户带来危害最直接的表现就是经济损失。由于安全导致的工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等间接损失恐怕更让企业担心，这种损失往往是无法用数字来衡量的。由此可以看出安装防火墙的重要性。 1. 网络地址转换功能(NAT) 进行地址转换有两个好处:其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，还可以让内部使用保留的IP， 2. 双重DNS 当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，因为，同样的一个主机在内部的IP与给予外界的IP将会不同，而防火墙会提供双重DNS， 3. 虚拟专用网络(VPN) VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。 4. 扫毒功能 由防火墙与防病毒软件搭配实现扫毒功能。 5. 特殊控制需求 设置特别的控制需求，如限制特定使用者才能发送E mail，FTP只能下载文件不能上 第 6 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，依需求不同而定。 根据贵公司以上需求，为了维护数据不被丢失和内部网络缺陷，为了保护企业网络内部不被计算机病毒的侵袭和黑客非法闯入，构建一个好的防火墙系统是很重要的。 第 7 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 第三章:方案设计 3.1.方案设计目标 本方案主要从网络层次考虑，将网络系统设计成一个支持各级别用户或用户群的安全网络，该网在保证系统内部网络安全的同时，还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求，比如:可以满足个人的通话保密性，也可以满足企业客户的计算机系统的安全保障，数据库不被非法访问和破坏，系统不被病毒侵犯，同时也可以防止诸如反动淫秽等有害信息在网上传播等。 需要明确的是，安全技术并不能杜绝所有的对网络的侵扰和破坏，它的作用仅在于最大限度地防范，以及在受到侵扰的破坏后将损失尽旦降低。具体地说，网络安全技术主要作用有以下几点: 1(采用多层防卫手段，将受到侵扰和破坏的概率降到最低; 2(提供迅速检测非法使用和非法初始进入点的手段，核查跟踪侵入者的活动; 3(提供恢复被破坏的数据和系统的手段，尽量降低损失; 4(提供查获侵入者的手段。 3.2.方案设计原则 针对网络系统实际情况，解决网络的安全保密问题是当务之急，考虑技术难度及经费等因素，设计时遵循如下思想: 1(大幅度地提高系统的安全性和保密性; 2(保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性; 3(易于操作、维护，并便于自动化管理，而不增加或少增加附加操作; 4(尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展; 5(安全保密系统具有较好的性能价格比，一次性投资，可以长期使用; 6(分步实施原则:分级管理 分步实施。 第 8 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3.3.拓扑图 第 9 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3.4.拓扑图说明 下面是拓扑图中各个模块的介绍: (1) 客户端 为企业内部员工工作客户机。即在企业内部的整块网络的终端，这些终端为交流协作所用。企业的高效信息流转主要在终端上体现，可实现企业内部信息安全交流的，数据的传输各种沟通交流提供好安全保障等等。 (2) 路由器、交换机 路由器是第一套防护系统，负责网络安全。起到了保障信息安全的作用。由交换机分配指派IP给各个终端，结合传输介质传输信息。数据流就是通过交换机传输到各个终端上，使整个企业内部的信息安全有序的进行。 (4)企业内部局域网 连接INTERNET 互联网，公司内部可访问互联网。整个企业内部安全、高效信息流转平台在企业局域网内部运营。 第 10 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3.5.技术选型 3.5.1.防火墙技术分类 防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。 3.5.2.防火墙技术对比分析及选择 1) 包过滤技术 包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息，如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。 由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 包过滤防火墙具有根本的缺陷: 错误～未找到引用源。 不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管知道哪些 IP 是可信网络，哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行 IP 地址欺骗。 错误～未找到引用源。 不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页(使用 HTTP 协议)，不允许去外网下载电影(一般使用 FTP 协议)。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。 错误～未找到引用源。 不能处理新的安全威胁。它不能跟踪 TCP 状态，所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时，一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。 综上可见，包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样，难以履行保护内网安全的职责。 第 11 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 2)应用代理型 应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应 用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 自适应代理技术的出现让应用代理防火墙技术出现了新的转机，它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了 10 倍。 制 工作机 代理服务型防火墙按如下标准步骤对接收的数据包进行处理: (1) 接收数据包 2) 检查源地址和目标地址 ( (3) 检查请求类型 (4) 调用相应的程序 (5) 对请求进行处理 性能特点 (1)提供的安全级别高于包过滤型防火墙 (2)代理服务型防火墙可以配置成唯一的可被外部看见的主机以保护内部主机免受外部攻击 第 12 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 (3)可以强制执行用户认证 (4)代理工作在客户机和真实服务器之间，完全控制会话，所以能提供较详细的审计日志 (5)代理的速度比包过滤慢 (6)代理服务型防火墙中的佼佼者AXENT Raptor完全是基于代理技术的软件防火墙。 应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种限制，为安全性提供了额外的保证。如果网络受到危害，这个特征使得从内部发动攻击的可能性大大减少。 代理型的优点: 架设简单容易，且架设所需的费用是最少的。 指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。 通过限制某些协议的传出请求，来减少网络中不必要的服务。 大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。 应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。 3)状态检测技术 我们知道， Internet 上传输的数据都必须遵循 TCP/IP 协议，根据 TCP 协议，每个可靠连接的建立需要经过 “ 客户端同步请求 ” 、 “ 服务器应答 ” 、 “ 客户端再应答 ” 三个阶段，我们最常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。 网关防火墙的一个挑战就是能处理的流量，状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。 第 13 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 任何一款高性能的防火墙，都会采用状态检测技术。 状态检测技术是防火墙近几年才应用的新技术。传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。 先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态，包括: 通信信息:即所有7层协议的当前信息。防火墙的检测模块位于操作系统的内核，在网络层之下，能在数据包到达网关操作系统之前对它们进行分析。防火墙先在低协议层上检查数据包是否满足企业的安全策略，对于满足的数据包，再从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志，因此具有更全面的安全性。 通信状态:即以前的通信信息。对于简单的包过滤防火墙，如果要允许FTP通过，就必须作出让步而打开许多端口，这样就降低了安全性。状态检测防火墙在状态表中保存以前的通信信息，记录从受保护网络发出的数据包的状态信息，例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打开的端口，然后，防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。这里，对于UDP或者RPC等无连接的协议，检测模块可创建虚会话信息用来进行跟踪。 应用状态:即其他相关应用的信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用，它比代理服务器支持的协议和应用要多得多;并且，它能从应用程序中收集状态信息存入状态表中，以供其他应用或协议做检测策略。例如，已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。 操作信息:即在数据包中能执行逻辑或数学运算的信息。状态监测技术，采用强大的面向对象的方法，基于通信信息、通信状态、应用状态等多方面因素，利用灵活的表达式形式，结合安全规则、应用识别知识、状态关联信息以及通信数据，构造更复杂的、更灵活的、满足用户特定安全要求的策略规则。 4)防火墙发展的新技术趋势 防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求。 远程办公的增长。这次全国主要城市先后受到 SARS 病毒的侵袭，直接促成大量的企事 第 14 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的 VPN (虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。 内部网络 “ 包厢化 ” ( compartmentalizing )。人们通常认为处在防火墙保护下的内网是可信的，只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。 由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享 一个论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢 ” ，对每个 “ 包厢 ” 实施独立的安全策略 黑客攻击引发的技术走向 防火墙作为内网的贴身保镖，黑客攻击的特点也决定了防火墙的技术走向。 80 端口的关闭。从受攻击的协议和端口来看，排在第一位的就是 HTTP 协议(, 80 端口)。 根据 SANS 的调查显示，提供 HTTP 服务的 IIS 和 Apache 是最易受到攻击，这说明 80 端口所引发的威胁最多。 因此，无论是未来的防火墙技术还是现在应用的防火墙产品，都应尽可能将 80 端口关闭。 数据包的深度检测。 IT 业界权威机构 Gartner 认为代理不是阻止未来黑客攻击的关键，但是防火墙应能分辨并阻止数据包的恶意行为，包检测的技术方案需要增加签名检测 (signature inspection) 等新的功能，以查找已经的攻击，并分辨出哪些是正常的数据流，哪些是异常数据流。 协同性。从黑客攻击事件分析，对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为，这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同，共同完成保护网络安全的任务。早在 2000 年，北京天融信公司就已经认识到了协同的必要性和紧迫性，推出了 TOPSEC 协议，与 IDS 等其他安全设备联动，与其他安全设备配合组成一个有机的可扩展的安全体系平台。目前主要支持和 IDS 的联动和认证服务器进行联动。 5)防火墙技术选型 第 15 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 根据对上述技术的分析,及各种技术优劣的对比，结合企业的具体需求,我公司建议采用代理型技术。 3.6.产品选型 3.6.1.防火墙选型 1.市场主流防火墙产品对比分析 通过对市场主流产品的分析，目前一般都以以下几个公司的产品，简单介绍如下: 1)Microsoft ISA Server 2006 Microsoft Internet Security and Acceleration (ISA) Server 2006 是高级应用程序层防火墙、虚拟专用网络 (VPN) 和 Web 缓存解决方案，它使客户能够通过提高网络安全和性能轻松地从现有的 IT 投资获得最大收益。 ISA Server 2006 为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护运行 Microsoft 应用程序的网络。 ISA Server 2006 为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护需要为不同地域设置多重防火墙阵列的大型企业网络，实现运行 Microsoft 客户端和服务器应用程序，如 Microsoft Office， Microsoft Outlook Web 访问(OWA)，Microsoft Internet Information Services (IIS)，Office SharePoint Portal Server， 第 16 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 路由和远程访问服务，活动目录的目录服务等，以及其他更多的 Microsoft 应用系统，服务器，和服务。 ISA Server 2006 包含一个功能完善的应用程序层感知防火墙，有助于保护各种规模的组织免遭外部和内部威胁的攻击。ISA Server 2006 对 Internet 协议(如超文本传输协议 (HTTP))执行深入检查，这使它能检测到许多传统防火墙检测不到的威胁。ISA Server 的集成防火墙和 VPN 体系结构支持对所有 VPN 通信进行有状态筛选和检查。该防火墙还为基于 Microsoft Windows Server 2003 的隔离解决方案提供了 VPN 客户端检查，帮助保护网络免遭通过 VPN 连接进入的攻击。此外，全新的用户界面、向导、模板和一组管理工具可以帮助管理员避免常见的安全配置错误。 优点:Microsoft ISA Server 2006 构建在一个经过升级的体系结构之上，该架构经过特殊设计，以抵御最新类型的Internet攻击和带有某些功能(诸如签名阻止)的蠕虫病毒的破坏。此外，它还提供了一个更为简洁的新用户界面，可以避免用户错误配置防火墙——导致网络安全漏洞的一个常见原因。此外，ISA Server 2006包括了一个经过极大扩充的工具集合，以及能够保护企业网络的VPN访问的其它功能特性。 对于中型企业，ISA Server 2006尤其是上佳之选，因为它满足了它们对易于使用和管理的先进应用层安全性解决方案的需要。利用ISA Server 2006，用户不必花费时间购买、部署和管理各种异类系统。在很多情况下，ISA Server 2006可以经济、有效地独自担当起保护网络的重任。特别是对于大型企业和组织，ISA Server的应用层安全功能将有助于为传统的现有数据包过滤和状态检测提供更多保护。 第 17 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 2)冠群金辰KILL 安全胄甲防病毒系统 KILL安全胄甲(企业版)是冠群金辰在KILL 2000网络产品的基础上最新推出的一款新一代网络防病毒系统，是一款支持在各种主流的系统平台上实现全面防病毒保护的防火墙，其病毒检测能力通过了全球 18家权威机构认证。KILL安全胄甲(企业版)功能也相当齐全，全面查杀病毒;实时监控、按需扫描;集中网络管理;客户端零管理;多种安装方式;报表分析;自动增量升级;在线更新等，产品拥有广泛的系统平台支持和双引擎扫描技术优势，越的病毒查杀能力认证，分布广泛的病毒监测网，资源占用率低，自身安全保障，是一款功能强大、性能稳定的企业级产品。 KILL安全胄甲采用无缝集成的双引擎技术，实时监视系统活动，全面查杀各种形式的病毒，提供灵活多样的病毒修复和处理方法，其病毒检测处理技术处于业界领先地位。 KILL安全胄甲(企业版)采用网络化防病毒管理。客户端实时检测处理计算机病毒，无需人工干预，也支持手工方式扫描病毒。服务器定义防病毒策略、监控客户端状态、进行报警和日志处理、实现特征码升级和分发。 KILL安全胄甲不足之处在于用的人少，杀毒软件的滞后性，不能对网络新病毒及时防御，最新的病毒检测不到，等病毒发作之后,才才在线升级，有时无法监测病毒,在线升级有时出现问题。 第 18 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3)CheckPoint Firewall-1 作为专业从事网络安全产品开发的公司，美国CheckPoint是软件防火墙领域中的佼佼者，其开发的软件防火墙产品CheckPoint Firewall-1在全球软件防火墙产品中排名第一。CheckPoint Firewall-1是一个综合的、模化的安全产品，基于策略的解决方案，能够让管理员指定网络访问按部署的时间段进行控制，它能够将处理任务分散到一组工作站上，从而减轻相应防火墙服务器、工作站的负担，为服务器带来更好的工作效益。 CheckPoint Firewall-1防火墙的操作不是在应用程序上进行，而是在操作系统的核心层进行，这样让防火墙系统达到最高的性能、最佳的扩展与升级，它支持基于 WEB的多媒体和UDP应用程序，采用多重验证模板和方法，使网络管理员非常简单验证客户端、会话和用户对网络的妨问，简单的操作让人马上就能得心应手。 而Checkpoint由于架构不依赖硬件，因此理论上功能是可以无限扩充的，它能给客户更多的控制和定制功能。同时CheckPoint Firewall-1是一个跨平台防火墙系统，目前支持Windown 98/NT/2000/XP/2000，SUN OS、SunSolaris、IBM AIX、HP-UN、FreeBSD以及各类Linux系统。就目前来讲CheckPoint Firewall-1是全球认可的软件防火墙产品，不过，CheckPoint公司的产品不足之处在于价格偏高。 第 19 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3.6.2.产品选型原则 在实际的网络中，保障网络安全与提供高效灵活的网络服务是矛盾的。从网络服务的可用性、灵活性和网络性能考虑，网络结构和技术实现应该尽可能简捷，不引入额外的控制因素和资源开销。但从网络安全保障考虑，则要求对网络系统提供服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力，实现这样附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用，从而对网络系统的性能、服务的使用方式和范围产生显著影响。 因此在进行防火墙产品选型时，除了必须遵循网络安全体系设计原则外，还要求防火墙至少应包含以下功能: 1、访问控制:通过对特定网段和特定服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前; 2、攻击监控:通过对特定网段、服务建立的攻击监控体系，可实时地检测出绝大多数攻击，并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等); 3、加密主动的加密通讯，可使攻击者不能了解、修改敏感信息; 4、身份认证:良好的认证体系可防止攻击者假冒合法用户; 5、多层防御:攻击者在突破第一道防线后，延缓或阻断其到达攻击目标; 6、隐藏内部信息:使攻击者不能了解系统内的基本情况; 7、安全监控中心:为信息系统提供安全体系管理、监控，保护及紧急情况服务。 第 20 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3.6.3.产品选择 通过对上述产品的比较,为了更有效率的对付网络上层出不穷的病毒攻击和黑客入侵，应具备灵活的配置选项，以及强有力的入侵检测功能，只有这样才能保证在复杂的网络环境中数据的完整性。 从上述几款软件防火墙中ISA Server 2006在功能和架构上都比其他几款要好，它有着全新的用户界面、向导、模板和一组管理工具可以帮助管理员避免常见的安全配置错误。相比以上几款防火墙，ISA Server 2006 是企业最佳的选择。我公司建议贵企业采用ISA Server 2006这款功能强大的防火墙. 第 21 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3.6.4产品规格 ISA Server 2006防火墙参数 编 F89-01416 品 牌 微软 购买方式 许可证 码 版本类企业版 版本号 2006 语言版本 英文版 型 软件环操作系统:带有 Service Pack 1 (SP1) 的 Microsoft Windows Server 2003 32-位境 操作系统或 Microsoft Windows Server 2003 R2 32 位。 处理器:具有 733 MHz Pentium III 或更高处理器的 PC。 内存:推荐使用 512 MB 或更高的内存。 硬盘:具有 150 MB可用硬盘空间的 NTFS 格式本地分区;Web 缓存内容将需要更多 的空间。 其他设备 可使用与计算机操作系统兼容的网络适配器，每增加一个与 ISA Server 计算机连硬件环 境 接的网络，都需增加一个网络适配器、调制解调器、或 ISDN 适配器，以便同内部 网络进行通信; 需要一块额外的网卡用于与 ISA Server 2006 企业版集成的网络适配器进行通信 CD-ROM 或 DVD-ROM 驱动器 VGA 或更高分辨率的监控器 键盘和 Microsoft 鼠标或可兼容的定点设备 第 22 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3.6.5.产品介绍 以下是对这款防火墙的介绍: 继ISA Server 2000之后，微软相继发布了ISA Server 2004及最新的ISA Server 2006，不管是相对于它的前身ISA Server 2000，还是相对其他防火墙或代理服务器产品，ISA Server 2006都是一个值得赞誉的产品，现在，微软不仅仅以软件的形式提供ISA Server 2006，而且有了以硬件形式出现的第三方产品，比如HP ProLiant DL320。 当今的网络安全已成为必须重视的一个问题，微软的ISA 2006在用于小型单位或个人构建安全高效的网站时很方便适用(针对有独立的服务器而言)。ISA 2006 比ISA 2000 的功能上改进了很多，ISA 2006 引入了多网络支持、易于使用且高度集成化的虚拟专用网络配置、已扩展且可扩展的用户和身份验证模型以及改进的管理功能。ISA 2006 提供了几种适用的网络部署方案可以很方便的解决许多网络部署问题，我们强烈推荐ISA2006，在网关上安装之后，局域网的其他电脑就不需要安装其他防火墙了，非常好用。 对于关注网络的安全、性能、易管理性或运营成本的 IT 经理人、网络管理员和信息安全专业人员来说，ISA Server 2006 提供了很高的价值。无论是中小型企业还是大型企业均可从 ISA Server 状态检测防火墙，VPN 和 Web 缓存能力中受益。 ISA Server 2006 的通用应用功能包括: 用于移动员工的电子邮件访问。为企业网络以外的移动员工提供安全的电子邮件访问，包括对 Microsoft Exchange Server 2003 和其它电子邮件服务器的访问。 ISA Server 2006 使远程用户安全访问企业内部网络为远程用户建立虚拟专用网络。 信息，包括访问存放在运行 IIS 和其他 Web 服务器上的企业资源。 在合作伙伴之间建立加密隧道。 ISA Server 2006使您的合作伙伴安全访问企业网络信息，包括远程访问和企业外部网络的站点对站点的虚拟专用网络连接。 为移动员工建立远程访问。 ISA Server 2006提供员工安全访问他们需要的企业网络资源。 将分支机构链接到一起。 ISA Server 2006 利用高度安全的 VPN 站点到站点链接， 第 23 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 实现总部与分支机构间通过 Internet 进行安全的通信。 控制和保护避免恶意通信。 ISA Server 2006 可控制企业用户的 Internet 访问，并保护客户端免遭恶意的 Internet 通信攻击。 为提高性能进行内容缓存。 ISA Server 2006 中的缓存功能可以确保对常用的 Web 内容进行快速访问,因此减少了企业网络带宽使用成本，同时为企业网络用户提高了 Web 连接速度。 ISA Server 2006向企业网络外部雇员提供高度安全的电子邮件访问 Microsoft Microsoft Internet Security and Acceleration (ISA) Server 2006 为Office Outlook Web 访问 web站点提供了独特级别的保护。利用 ISA Server 2006易于使用的用户界面，企业能够迅速设置 Web 发布规则，强制执行基于窗体的验证。 ISA Server 2006 还通过安全插槽层 (SSL) 解密 (SSL 桥接)用于检查 SSL 通信中是否具有恶意代码，还通过 HTTP 过滤提供对应用程序内容的深入检查，阻止针对电子邮件服务器的攻击。 此外，ISA Server 2006 能够进行用户验证，验证阻止匿名连接邮件服务器。阻止匿名连接可以阻止匿名用户登录的尝试，即一种以内部邮件服务器为目标的主要攻击手段。 ISA Server 2006 利用企业内部现有的多重身份验证，对于无论是远程邮件方案使用的是远程验证拨号服务 (RADIUS) 还是 RSA SecurID，还是 Microsoft 基于窗体的认证，均能提供安全认证和授权。这样，ISA Server 2006 帮助您阻止可能存在危险的匿名请求到达 Microsoft Exchange Server。 基于窗体认证的附件阻止和会话超时功能还提供了进一步的保护。附件阻止功能能够阻止用户使用 Outlook Web 访问打开附件，而会话超时功能，可以防止用户的电子邮件会话无限期保持打开状态而为他人所使用。 在防火墙停止工作的时候，ISA Server 2006 企业版可以帮助用户解决无法接受邮件的问题。ISA Server 和 Microsoft Windows 网络负载均衡(NLB)紧密集成，通过负网络载均衡在线阵列成员接替离线的阵列成员，大大增强了防火墙正常运行时间。此外，集成网络负载均衡的 ISA Server 由于采用了智能负载均衡算法，将阵列中任何 ISA Server 因网络流量过大而瘫痪的几率降到最低，从而提高了用户电子邮件的表现。 为远程用户提供对企业内部网络信息的安全访问 Internet Security and Acceleration (ISA) Server 2006 使用 web 和服务器发布规则来通过 Internet 安全地发布信息。通过 Internet 向 Internet 用户发布信息，可以将 第 24 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 企业网络内部计算机资源提供给外部用户使用。 ISA Server 集成的 Web 和服务器发布向导自动执行普通的安装任务，并且减少了错误配置的风险。另外，发布 Web 服务器的链接转换可以智能地将内部链接转换为公共可访问的 URLs 。 ISA Server 还能够检查 Web 和其他网络通信的合法性，如强制限制有效的 URLs 。 除此之外，ISA Server 可以从现有的密钥鉴别架构中对用户进行审核鉴别，从而允许您阻挡那些潜在的，不希望出现的危险匿名请求到达已经发布的服务器。 使用 ISA Server 2006 企业版，您可以提高远程访问的可用性。ISA Server 完全支持 windows 网络负载均衡(NLB)，对已经发布的 Web 服务器和其他发布的网络服务提供了失败转移和负载均衡功能，例如:Microsoft SQL Server，文件传输协议(FTP)，以及简单邮件传输协议 (SMTP)。 当ISA Server 2006企业版负载均衡阵列成员不可用的时候，其他阵列成员会取代停止运作的服务器。只有当所有阵列成员全部停止服务的时候访问才会停止。 可以使您的合作伙伴安全地访问企业网络信息 使用 ISA Server 2006 中的集成 VPN 功能，可以安全地以站点对站点 VPN 方式，将业务合作伙伴连接到您的企业网络，同时限制它们对特定服务器和应用程序的访问。 ISA Server 2006 对合作伙伴与企业网络之间的所有通信进行加密，确保机密性并防止数据被盗取或者被修改。此外，高安全性 VPN 站点间链接提供您的合作伙伴与您的企业间网络互访，而这种访问对于企业间来说是透明的，安全的，在企业网间访问是加密的。在企业以及合作伙伴网络上的用户永远不会注意到他们之间的连接是通过虚拟专用网络连接的，同时也永远不需要重新配置他们的应用程序来使用站点间虚拟专用网络连接。 第 25 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3.7.本方案技术要点 针对上述分析及企业现状需求，我们采取以下技术: 1.多层多级别防病毒技术 2.入侵检测技术 3.采用漏洞扫描技术 对重要网络设备进行风险评估，保证信息系统尽量在最优的状况下运行。 4.采用各种安全技术 1)防御系统: 构筑防御系统，主要有: (1) 防火墙技术:在网络的对外接口，采用防火墙技术，在网络层进行访问控制。 (2) NAT技术:隐藏内部网络信息。 (3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。 (4)网络加密技术(Ipsec) :采用网络加密技术，对公网中传输的IP包进行加密和封装，实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题，也可解决远程用户访问内网的安全问题。 (5) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统，对病毒实现全面的防护。 (6)网络的实时监测:采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御外来攻击的能力。 2)实时响应与恢复:制定和完善安全，提高对网络攻击等实时响应与恢复能力。 3)建立分层管理和各级安全管理中心。 第 26 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3.7.1.技术要点分析 1)防火墙技术 1.多网络 (1)多网络配置 可以配置一个或多个网络，每个网络都与其他网络有着独特的关系。访问策略是针对网络定义的，没有必要针对给定的内部网络进行定义。在 ISA Server 2000 中，所有通讯都根据包括内部网络上的唯一地址范围的本地地址表 (LAT) 进行检查，而 ISA Server 2004 扩展了防火墙和安全功能，可以应用于所有网络之间的通讯。 (2)独特的每网络策略 ISA Server 的新增多网络功能可以保护您的网络免受内部或外部的安全威胁，方法是限制客户端(甚至组织内部)的通信。多网络功能支持复杂的外围网络(也称为 DMZ，网络隔离区或屏蔽子网)方案，因此可以配置不同网络中的客户端如何访问外围网络。 (3)所有通讯的状态检查 可以在防火墙协议的上下文中通过防火墙来检查数据和连接的状态，无论是源还是目标。 (4)网络模板 ISA Server 包括网络模板，这些对应于常见的网络拓扑。可以使用网络模板来配置用于网络间通讯的防火墙策略。当您应用某个网络模板时，ISA Server 会根据所指定的策略创建一套必要的规则来允许通讯。 (5)NAT 和路由网络关系 可以使用 ISA Server 来定义网络间的关系，这取决于访问的类型和网络间所允许的通信。在一些情况下，可能需要让网络间的通信更安全、更不透明。对于这些情况，可以定义一个网络地址转换 (NAT) 关系。在其他情况下，您希望通过 ISA Server 简化路由通讯。在这些情况下，您可以定义一个路由关系。 2.虚拟专用网络 第 27 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 (1)VPN 管理 ISA 服务器包含一种完全集成的虚拟专用网络机制，该机制基于 Microsoft? Windows Server? 2003 和 Windows? 2000 Server 功能。 (2)对 VPN 的状态筛选和检查 由于 VPN 客户端配置为独立的网络，因此可以为 VPN 客户端创建单独的策略。防火墙策略引擎有差别地检查来自 VPN 客户端的请求，对这些请求进行状态筛选和检查，并根据访问策略动态地打开连接。 (3)SecureNAT 客户端支持连接到 ISA 服务器 VPN 服务器的 VPN 客户端 ISA 服务器允许 SecureNAT 客户端即便在客户端系统上未安装防火墙客户端软件的情况下也访问 Internet，从而扩展了 VPN 客户端支持。还可以通过在 VPN SecureNAT 客户端上强制实施基于用户或组的防火墙策略来增强公司网络的安全性。 (4)通过站点到站点的 VPN 隧道进行状态筛选和检查 ISA 服务器针对通过站点到站点的 VPN 连接移动的所有通讯引入了状态筛选和检查。可以控制资源，以便特定的主机或网络能够在对方进行访问。基于用户或组的访问策略可以用来精细地控制通过链路的资源利用。 (5)VPN 隔离控制 可以在独立的网络上隔离 VPN 客户端，直到它们满足预定义的一组安全要求。VPN 客户端传递安全性测试是基于 VPN 客户端防火墙策略的所允许的网络访问。可以为未通过安全性测试的 VPN 客户端提供有限的服务器访问权限，有利于满足网络安全需求。 (6)对站点到站点 VPN 链接的 IPSec 隧道模式支持 ISA 服务器通过允许将 IPSec 隧道模式用作 VPN 协议来提供站点到站点的链接支持。IPSec 隧道模式支持大大地增强了 ISA 服务器与大量第三方 VPN 解决方案的互操作性。 7)VPN 监视和日志记录 ( 可以监视 VPN 客户端和远程 VPN 网络的活动，就像监视其他任何 ISA 服务器客户端的活动一样。 3.安全和防火墙策略 (1)支持需要多个主连接的复杂协议 ISA 服务器支持复杂协议，其中包括许多流媒体、语音应用程序和视频应用程序所需要的协议。这些应用程序需要防火墙来管理复杂的协议。 (2)自定义的协议定义 第 28 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 可以控制为创建防火墙策略规则的任何协议而使用的源端口号和目标端口号。可以从很高的层次对允许哪些数据包出入防火墙加以控制。 (3)身份验证 可以使用内置的 Windows、RADIUS、RSA SecurID 身份验证或其他名称空间对用户进行身份验证。角色可以应用于任何名称空间中的用户或用户组。第三方供应商可以使用软件开发工具包 (SDK) 来扩展这些内置的身份验证方法，从而提供更多的身份验证机制。 (4)网络对象 可以定义网络对象，其中包括计算机、网络、网络集、地址范围、子网、计算机集和域名集。这些网络对象用于定义防火墙策略规则的源设置和目标设置。 (5)防火墙策略规则代表有序的列表 防火墙策略规则代表有序的列表，其中连接参数将首先与列表中最上面的规则进行比较。ISA 服务器向下比较列表中的规则，直到找到与连接参数匹配的规则，并实施该规则的策略。使用这种防火墙策略实施方法可以更容易地确定允许或拒绝特定连接的原因。 (6)Outlook Web Access 发布向导 ISA 服务器的 Outlook Web Access 发布向导提供为 Exchange 服务器的 Outlook Web Access 创建安全套接字层 (SSL) 虚拟专用网络 (VPN) 的步骤。 (7)FTP 支持 可以访问在其他的端口号上进行侦听的 Internet 文件传输协议 (FTP) 服务器，而不需要在客户端或 ISA 服务器计算机上进行特殊的配置。 (8)服务器发布规则的端口重定向 可以在一个端口号上接收连接，而将请求重定向到发布的服务器上的另一个端口号。 (9)安全的 Web 发布 可以将服务器放置在公司网络或外围网络中防火墙的后面，并安全地发布其服务。使用安全的 Web 发布向导，可以创建允许远程用户安全地通过 SSL 远程访问已发布的 Web 服务器的规则。 (10)HTTP 1.1 支持 与上游服务器连接时，ISA 服务器是 HTTP 1.1 客户端。在正向(Web 代理)和反向(Web 发布)方案中，ISA 服务器可以接收并检查成块(传输编码)的内容。此外，还可以配置 Web 发布规则接收压缩形式的内容，但是，在这种情况下将无法检查响应正文。请注意，ISA 服务器不执行压缩。 第 29 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 4.监视 (1)仪表板 ISA 服务器的“仪表板”视图汇总了有关会话、警报、服务、报告、连接性以及常规系统运行状况的监视信息。通过“仪表板”可以迅速了解网络的工作状况。 (2)在日志查看器中进行实时监视 可以实时地查看防火墙和 Web 代理日志。监视控制台显示记录在防火墙日志文件中的日志项目。 (3)内置日志查询(筛选) 可以使用内置的日志查询工具来查询日志文件。可以从 Microsoft 数据引擎 (MSDE) 日志中查询日志中记录的任何字段所包含的信息。可以将查询范围限定为特定的时间段。结果出现在 ISA 服务器控制台中，并且可以复制到剪贴板并粘贴到其他应用程序中，以便进行更详细的分析。 (4)会话的实时监视和筛选 可以查看所有活动的连接。从会话视图中，可以对各个会话或会话组进行排序，或者断开其连接。此外，可以使用内置的会话筛选工具筛选会话界面中的项目，以便集中于您感兴趣的会话。 (5)连接性验证程序 通过从 ISA 服务器计算机上使用连接验证程序定期监视与特定计算机或统一资源定位器 (URL) 的连接，可以验证连接性。可以配置使用下列方法来确定连接性:Ping、传输控制协议 (TCP) 连接到端口或 HTTP GET。可以通过指定 IP 地址、计算机名称或 URL 来选择要监视的连接。 (6)报告发布 ISA 服务器报告任务，以便自动将报告的副本保存到本地文件夹或网络文件可以配置 共享中。可以将报告所保存在的文件夹或文件共享映射为网站虚拟目录，以便其他用户可以查看该报告。对于未配置为在创建后自动发布的报告，可以手动发布。 (7)记录到 MSDE 数据库 日志现在可以存储为 MSDE 格式。记录到本地数据库有助于提高查询的速度和灵活性。 5.插件 (1)每条规则基础上的 HTTP 筛选 ISA 服务器的 HTTP 策略使得防火墙可以执行深入的 HTTP 状态检查(应用程序层筛 第 30 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 选)。检查的范围是在每条规则的基础上配置的。可以对 HTTP 入站和出站访问配置自定义约束。 2)阻止对所有可执行内容的访问 ( 可以配置 ISA 服务器的 HTTP 策略阻止对 Windows 可执行内容的所有连接尝试(无论在资源上使用什么文件扩展名)。 (3)将 HTTP 筛选应用于所有 ISA 服务器客户端连接 ISA 服务器可以使用 MIME Enter(对于 HTTP)或文件扩展名(对于 FTP)来阻止基于 Web 代理客户端的 HTTP 连接或 FTP 连接访问内容。可以控制所有 ISA 服务器客户端连接的 HTTP 访问。 (4)基于 HTTP 签名控制 HTTP 访问 可以创建 HTTP 签名，并将其与请求 URL、请求头、请求正文、响应头和响应正文进行比较。可以精确地控制内部和外部用户可以通过 ISA 服务器访问哪些内容。 (5)强制实现从完整 Outlook MAPI 客户端的安全 Exchange RPC 连接 ISA 服务器的 Exchange Server 发布规则允许远程用户可以使用功能完备的 Outlook? MAPI 客户端通过 Internet 连接到 Exchange。但是，必须将 Outlook 客户端配置为使用安全的 RPC，以便加密连接。使用 ISA 服务器的 RPC 策略，可以阻止所有未加密的 Outlook MAPI 客户端连接。 (6)FTP 策略 ISA 服务器的 FTP 策略可以配置为允许用户使用 FTP 进行上载和下载，或者可以限定仅允许用户使用 FTP 进行下载。 (7)链接转换 某些发布的网站可能包含对计算机内部名称的引用。由于外部客户端只能使用 ISA 服务器计算机和外部名称空间，而不能使用内部网络名称空间，因此这些引用将显示为被破坏的链接。ISA 服务器包含一项链接转换功能，以便您可以为内部计算机名称创建定义词典，使其映射为众所周知的名称。 (8)对 IP 选项的精细控制 可以很精细地配置 IP 选项，仅允许您需要的 IP 选项，同时禁止其他所有选项。 应用安全对于企业来说是相当重要的，毕竟，例如金融交易、信用卡号码、机密资料、用户档案等信息，对于企业来说太重要了。不过这些应用实在太庞大、太复杂了，最困难的就是，这些应用在通过网络防火墙上的端口80(主要用于HTTP)和端口443(用于SSL)长 第 31 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 驱直入的攻击面前暴露无遗。这时防火墙可以派上用场，应用防火墙发现及封阻应用攻击所采用的八项技术如下: 深度数据包处理 深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。 TCP/IP终止 应用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。 SSL终止 如今，几乎所有的安全应用都使用HTTPS确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量，应用防火墙必须终止SSL，对数据流进行解码，以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输，你就需要在流量发送到Web服务器之前重新进行加密的解决方案。 URL过滤 一旦应用流量呈明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的方案，仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL，这是远远不够的。这就需要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本少年类型的攻击，但无力抵御大部分的应用层漏洞。 请求分析 全面的请求分析技术比单单采用URL过滤来得有效，可以防止Web服务器层的跨站脚本执行(cross-site scripting)漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步:可以确保请求符合要求、遵守标准的HTTP规范，同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而，请求分析仍是一项无状态技 第 32 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 术。它只能检测当前请求。正如我们所知道的那样，记住以前的行为能够获得极有意义的分析，同时获得更深层的保护。 用户会话跟踪 更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分:跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过URL重写(URL rewriting)来使用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持(session-hijacking)及信息块中毒(cookie-poisoning)类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块，还能对应用生成的信息块进行数字签名，以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应，并从中提取信息块信息。 响应模式匹配 响应模式匹配为应用提供了更全面的保护:它不仅检查提交至Web服务器的请求，还检查Web服务器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说，防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行，它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动，防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面，应用防火墙会监控响应，寻找可能表明服务器有问题的模式，譬如一长串Java异常符。如果发现这类模式，防火墙就会把它们从响应当中剔除，或者干脆封阻响应。 行为建模 行为建模有时称为积极的安全模型或“白名单”(white list)安全，它是唯一能够防御最棘手的应用漏洞——零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它行为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应用的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞，同时对允许用户访问的URL实行极其严格的监控。行为建模是唯一能够有效对付全部16种应用漏洞的技术。行为建模是一种很好的概念，但其功效往往受到自身严格性的限制。某些情况譬如大量使用JavaScript或者应用故意偏离行为模型都会导致行为建模犯错，从而引发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预，以提高安全模型的准确性。行为自动预测又叫规则自动生成或应用学习，严格说来不是流量检测技术，而是一种元检测 第 33 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 (meta-inspection)技术，它能够分析流量、建立行为模型，并且借助于各种关联技术生成应用于行为模型的一套规则，以提高精确度。行为建模的优点在于短时间学习应用之后能够自动配置。保护端口80是安全人员面临的最重大也是最重要的挑战之一。所幸的是，如今已出现了解决这一问题的创新方案，而且在不断完善。如果在分层安全基础设施里面集成了能够封阻16类应用漏洞的应用防火墙，你就可以解决应用安全这一难题。 2)多层多级别防病毒技术 防病毒产品可以在每个入口点抵御病毒和恶意小程序的入侵，保护网络中的PC机、服务器和Internet网关。它有一个功能强大的管理工具，可以自动进行文件更新，使管理和服务作业合理化，并可用来从控制中心管理企业范围的反病毒安全机制，优化系统性能、解决及预防问题、保护企业免受病毒的攻击和危害。 病毒传播的另外一个途径是通过局域网内的文件共享和外来文件的引入，所以，企业网络最妥善的防病毒方案是考虑解决客户端的防病毒问题。将病毒在局域网内的所有客户端传播之前就被清除，网关防毒: 网关防毒是对采用http、ftp、smtp协议进入内部网络的文件进行病毒扫描和恶意代码过滤，从而实现对整个网络的病毒防范。 3)入侵检测技术 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为 是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 第 34 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 3.8.方案优点 本方案采用双层防火墙模式设计网络，兼具代理型模式和反代理型模式，其优点有: 1.代理型模式 代理防火墙能够比其它类型的防火墙提供更多的安全性，代理防火墙与稳定的防火墙不同，稳定的防火墙允许或者封锁网络数据包进出受保护的网络，而通信流不经过代理。使用代理防火墙，计算机要建立一个通向代理的连接，这个代理充当一个中介并且代表这台计算机的请求启动一个新的网络链接。这就阻止了防火墙两端的系统直接进行连接，使攻击者很难发现这个网络在什么地方，因为它们永远不接收它们的目标系统直接创建的数据包。 代理防火墙也对它们支持的协议提供深入的和熟悉协议的安全分析。这使它们能够比那些纯粹以数据包头信息为重点的产品做出更好的安全决策。例如，一个专门为支持FTP协议而编写的代理防火墙能够监视在命令通道上发出的实际的FTP命令，并且阻止任何禁止的行为。代理防火墙允许实施熟悉协议的记录。因为服务器是由代理保护的，这种记录能够让人们很容易发现攻击方法并且为现有的记录创建一个备份。而ISA Sever 2006 提供了更多优越的保护， 1)多层防火墙安全 防火墙可以通过各种方法增强安全性，包括数据包筛选、电路层筛选和应用程序筛选。高级的企业防火墙，如 ISA Server 所提供的那一种，综合了所有这三种方法，在多个网络层提供保护，为企业提供最低的投入的基础上最高的回报。 2)状态检测 状态检查检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层，ISA Server 检查在 IP 消息头中指明的通信来源和目标，以及在标识所采用的网络服务或应用程序的 TCP 或 UDP 消息头中的端口。 动态数据包筛选器能够使窗口的打开只响应用户的请求，并且打开端口的持续时间恰好满足该请求的需要，从而减少与打开端口相关的攻击。ISA Server 可以动态地确定，哪些数据包可以传送到内部网络的电路层和应用程序层服务。管理员可以配置访问策略规则，以 第 35 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 便只在允许的情况下自动打开端口，然后当通信结束时关闭端口。这一过程称为动态数据包筛选，它使两个方向上暴露的端口数量减到最少，并为网络提供更高的安全性，使问题较少发生。 3)集成的入侵检测 ISA Server利用一家名为 Internet Security Systems 的公司所提供的技术，提供帮助管理员识别诸如端口扫描、WinNuke 和 Ping of Death 之类的常见网络攻击的这种服务。并且ISA能够自动对其作出响应。这项技术给 ISA Server 提供了能识别此类攻击的集成入侵检测机制。当识别出这种攻击时，警报还能同时指出 ISA Server 应采取什么行动，这些行动可包括向系统管理员发送电子邮件或寻呼，停止 Firewall 服务，写入到系统事件日志，或运行任何程序或脚本。 4)高性能 Web 缓存 ISA Server 对 Web 缓存进行了彻底的重新设计，使它可以将缓存放入 RAM 中——我知道现在很多的使用WINGATE的用户都希望能够得到这种缓存解决方案。这种高性能的 Web 缓存可提供更强的后端可伸缩性，并提供了更快的 Web 客户机总体响应时间。这对于企业内部来说尤其重要，因为员工需要快速访问 Web 内容，而企业也需要适当的节省网络带宽。这种高速的Web缓存正能够满足您的这种需要。 5)缓存阵列路由协议 ISA Server 使用了缓存阵列路由协议(Cache Array Routing Protocol，CARP)。因此您可以通过多台 ISA Server 计算机组成的阵列来提供无缝缩放和更高的效率。 6)活动缓存 通过活动缓存的功能，可配置 ISA Server 使其自动更新缓存中的对象。使用这种功能，ISA Server 可通过主动刷新内容来优化带宽的使用。通过活动缓存，经常被访问的对象在它们到期之前，在低网络流量时段自动更新。 7)统一管理 ISA Server 利用基于 Windows 2000 的安全性，Active Directory 服务、VPN 和 Microsoft 管理控制台(MMC，Microsoft Management Console)。所有这些功能，特别是 MMC，会使得管理更容易，因为操作人员熟悉它，并可从一个控制台同时管理防火墙和 Web 缓存。 第 36 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 8)企业策略和访问控制 ISA Server 还支持创建企业级和本地阵列策略，用于集中实施或本地实施。ISA Server 可作为独立服务器安装或作为阵列成员安装。为便于管理，各个阵列成员都使用相同的配置。对阵列配置进行修改时，阵列中的所有 ISA Server 计算机也都将得到修改，包括所有访问和缓存策略。 2.反代理型模式 通常的代理服务器，只用于代理内部网络对Internet的连接请求，客户机必须指定代理服务器,并将本来要直接发送到Web服务器上的http请求发送到代理服务器中。由于外部网络上的主机并不会配置并使用这个代理服务器，普通代理服务器也被设计为在Internet上搜寻多个不确定的服务器,而不是针对Internet上多个客户机的请求访问某一个固定的服务器，因此普通的Web代理服务器不支持外部对内部网络的访问请求。当一个代理服务器能够代理外部网络上的主机，访问内部网络时，此时代理服务器对外就表现为一个Web服务器，外部网络就可以简单把它当作一个标准的Web服务器而不需要特定的配置。不同之处在于，这个服务器没有保存任何网页的真实数据，所有的静态网页或者CGI程序，都保存在内部的Web服务器上。因此对反向代理服务器的攻击并不会使得网页信息遭到破坏，这样就增强了Web服务器的安全性。反向代理方式和普通代理方式并无冲突，因此可以在防火墙设备中同时使用这两种方式，其中反向代理用于外部网络访问内部网络时使用，正向代理方式用于拒绝其他外部访问方式并提供内部网络对外部网络的访问能力。因此可以结合这些方式提供最佳的安全访问方式。综合反向代理功能和拒绝外部访问的ISA Sever防火墙软件相结合，就能构成一个既具有保护内部网络、又能对外提供Web信息发布的能力的防火墙系统 当组织向外提供信息发布的时候，并不仅仅要提供一些静态的网页，更大的可能是要根据实际的数据动态发布信息。因此发布的网页便需要通过访问数据库动态生成，通常使用的动态生成技术有CGI或服务器端文档解析等方式生成的。然而无论那种方式，都需要使得Web服务器能够和数据库服务器进行连接、通信。然而系统数据库应该是内部网络中应该首要保护的系统，因此要求安全性要求不高的对外发布信息的Web服务器和内部数据库服务器放置在同一个 网段，就会造成相应的安全问题。为了提高访问数据库服务器的安全性，就需要对能够访问数据库的CGI程序进行限制，这就要求对启动CGI的URL请求比对普通url进行更严格的限制。反向代理能够理解http协议，能区分出不同的url请求，从而能够实现对cgi请求比普通http请求更严格的控制，甚至可以将cgi请求发送到一台专用的CGI服务器进行处理， 第 37 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 从而分别处理普通url请求和cgi请求。这台cgi服务器可以具有访问数据库的能力，从而保证数据库的安全。根据以上优点，通过建立一个完善我防火墙系统，可以真正保证企业网络以及企业数据的安全，内部信息的交换 第四章:方案预算 1 2 3 4 序号 产品 防火墙 交换机 客户机 合计(元) HPprocurve HPCompaqdc产品型号 ISA Server 2006 企业版 2810-24G(J7800(KS754 9021A) PA) 交换机类操作系统:带有 Service Pack 1 CPU说明:软型:可堆叠(SP1) 的 Microsoft Windows Intel 酷睿2件交换机 Server 2003 32-位操作系统或 双核 E6550 环传输速率:Microsoft Windows Server 2003 2.33GHz 境 10/100/1000R2 32 位。 内存容量:Mbps 1024MB 交换方式:硬盘容量:存储-转发 处理器:具有 733 MHz Pentium 160GB MAC地址III 或更高处理器的 PC。 显卡核心:表:8K 内存:推荐使用 512 MB 或更高集成 Intel 网络标准:的内存。 GMA3000 IEEE 802.3, 产品参数 硬盘:具有 150 MB可用硬盘空显卡核心, 硬IEEE 间的 NTFS 格式本地分区;Web 可选... 件802.3u , 缓存内容将需要更多的空间。 光驱类型:环IEEE 80... 其他设备 DVD-ROM 境接口数量:可使用与计算机操作系统兼容操作系统: 20个 的网络适配器，每增加一个与 Windows 接口类型:ISA Server 计算机连接的网络，XP 10Base-T, 都需增加一个网络适配器、调制Professional 100Base-TX, 解调器、或 ISDN 适配器，以便其他功能:1000Base-T 同内部网络进行通信; 第二串口 VLAN功能:电磁锁 支持 1 1 500 产品数量 62150 15000 5400 单价(元) 2000 施工费 1500 其他 62150 1500 2700000 2767150 小计(元) 第 38 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 第五章:实施方案 在本项目中我们计划通过分步部署的方式进行项目，在初期项目中我们希望通过建立防火墙系统为员工提供安全的信息协作的平台，同时兼顾后期公司业务发展特点考虑到系统的可扩展性。 5.1.项目实施进度 时间(2008.10) 人员序号 项目 工时 配备 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 1 设备购买 2天 2人 2 局域网布局 2天 2人 2 硬件调试 1天 3 人 2 系统安装 1天 4 人 1 软件配置 1 天 5 人 1 系统监控调试 1 天 7 人 1安全测试 1天 8 人 2操作培训 6天 9 人 0.5 2 系统交接 10 天 人 第 39 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 5.2.人员配备 序号 职务 人数 姓名 职位 成功案 例 项目经理 1名 叶长青 项目经 理 项目执行经理 1名 罗忠僵 工程师 信息技术顾问 1名 黄敏 工程师 系统管理员 1名 肖国柄 工程师 方案组职责 (1) 积极与软件公司配合，保证实施计划的实现。 (2) 指导、组织和推动应用组的工作。 (3) 负责数据的采集组织，负责编码原则的制定，保证数据录入的准确、及时、完整。 (4) 负责整套系统的安全权限控制和数据的备份工作。 (5) 负责组织模拟运行，对管理改革的问题提出解决方案和建议。 (6) 组织和开展企业内部的培训，担负起教员的工作。 (7) 提交各阶段的工作成果报告。 每个角色的职责定义如下: 项目经理:作为项目经理，全权负责整个项目的实施，给出一个整体的项目实施计划，包括所有阶段的任务目标、进度安排。同时在项目进行过程中提供指导和技术支持。 项目协调员:作为项目协调员，负责在整个项目中协调M公司内部的人员，作为M公司的代表全程监督项目的实施过程。负责协调各种资源保证项目的顺利进行。作为与客户的接口，负责与M公司的沟通，及时反馈项目进展与进行状况。 项目实施工程师:由我公司的项目实施工程师将负责该项目的具体实施工作，例如服务器端与客户端的安装配置等。 技术提升工程师:由我公司和全球技术中心的技术支持工程师组成，当项目进行中项目实施工程师遇到问题时，将由瑞通的技术支持工程师上门为客户解决该问题。当问题是由微软产 第 40 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 品本身缺陷，或者与其他第三方产品冲突导致时，将由微软全球技术中心的技术支持工程师负责远程的问题诊断，查找问题，并对可以通过HOTFIX修复的问题，在一定时间内出具特定的HOTFIX解决产品问题。 该方案为具有Windows Server 2000或Windows Server 2003使用经验的IT人员而设置，使用此方案前，请先确认: 1)具备微软 ISA Server 20006 防火墙网络架构服务器角色上的设计，实现，管理，维护和安全的经验 (2)具备一定的网络工作经验，例如:DNS、DHCP和TCP/IP的设置 (3) 具备安装，配置和管理微软客户端操作系统Windows 2000/2003的经验 (4)软件的安装及系统的维护由企业内部具有 防火墙使用经验的IT人员负责。 (5)若在项目中出现属于售后服务范围故障的由出售产品的公司进行售后服务。 5.3.保障措施 在方案实施过程中，我公司提供如下保障: (1)遇到产品类问题，我公司负责与商品厂家联系处理妥当。 (2)我公司提供软硬件技术支持。 (3)我公司参照国家标准负责主要的检测内容。 (4)负责施工进程。如有其他影响施工进度，非自然原因的，我公司负责协调，并在规定的时间内完成工程项目。 第 41 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 第六章:验收方案 6.1.验收目的 了解掌握项目实施情况与项目效果，规范验收程序和方法，改进科技项目管理机制，进一步推动跟踪管理和绩效评价积累经验。通过验收检测确认方案的可实用性，保障实施方工作正常运转。 6.2.验收流程、标准 序号 验收项目 备注 1. 环境检测 1 施工前检查 2. 器材检验(外观、型号、品种，质量) 3. 安全防火检查(消防品配备、危险品堆放) 1.光纤电缆电气性能抽样测试 2 网络综合布线 2.光纤特性测试。 3.双绞线测试 1. 客户端安装 2. 服务器安装 3 设备安装 3. 系统安装 4. 软件安装 1. 硬件检测(客户端、服务器运行情况) 4 软硬件调试 2. 软件检测(配置、调试) 1. 竣工技术文件 5 竣工验收 2. 清点交接、竣工技术文件 6 评点 考核工程质量、确认验收结果 7 填写验收报告 验收过程中要具体验收，包括产生的问题,弥补方法,计划变更原因,结果,费用增减及对实现建设目标的影响以及项目实施情况,并含资金使用情况,社会效益和经济效益等。 第 42 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 6.3.验收人员 我公司高级工程师 M公司监测员 验收时由我公司高级工程师同M公司监测员共同验收。验收结果及时反馈给M公司。 同M公司交流意见，看法。 验收时遵循的原则: 在项目实施过程中认真检测，总结项目技术，且定期向企业人员汇报。验收的同时以客观、公正、规范原则来进行项目验收。 6.4.初步模拟测试系统 ISA Server 可支持具备高度灵活性的多网络环境，允许企业将使用不同访问权限的众多网络连接起来。 测试情境都建立在一个将内部网络连接到 Internet 的实验配置假设基础之上。外围网络(又称隔离区[DMZ]或屏蔽子网)承载着各种各样的服务器。而虚拟专用网络 (VPN) 客户端则可访问基于内部网络的资源。建议在将解决方案部署到生产环境之前，先基于实验环境搭建三个彼此独立的网络。这次特性体验所运用的实验环境包括: • CorpNet，用来模拟企业网络。在此测试中， CorpNet 的地址范围是:从 10.0.0.0 到 10.255.255.255。 • MockInternet，用来模拟 Internet。在此测试中，MockInternet 的地址范围是:从 192.168.0.0 到 192.168.255.255。 第 43 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 • PerimeterNet，用来充当外围网络。在此测试中， PerimeterNet 的地址范围是:从 172.16.0.0 到 172.31.255.255。 InternalClient1 和 InternalClient2 ，两台装有 Windows XP 的客户端计算机。这两台计算机属于 CorpNet 域。 • InternalWebServer ，一台装有 Windows Server 2003 和 Internet Information Services(IIS) 的服务器。该计算机属于 CorpNet 域。 • 一台假定位于 CorpNet 的域控制器，主要用于客户端身份验证。 • Perimeter_IIS ，一台装有 Windows Server 2003 的计算机。这台计算机还装有 IIS。它属于 PerimeterNet 域。 • External1 ，一台装有 Windows Server 2003 和 IIS 的计算机。这台计算机属于 MockInternet。 • ExternalWebServer，一台 Web 服务器。这台计算机属于 MockInternet。 • ISA_1，一台装有 Windows Server 2003 和 ISA Server 2004 的计算机。它配备了三块网络适配器: • 连接至 CorpNet 的适配器的 IP 地址为 10.0.0.1。 • 连接至 PerimeterNet 的适配器的 IP 地址为 172.16.0.1。 • 连接至 MockInternet 的适配器的 IP 地址为 192.168.0.1。 测试项目(从内部网络访问 Internet) 在这个测试中，内部客户端需要通住 Internet 的安全连接。为此，需要配备下列计算机: • ISA_1，至少配备两块网络适配器 • InternalClient1，基于 CorpNet，情境测试专用 • ExternalWebServer，基于 MockInternet ，情境测试专用 测试目标为，从 InternalClient1 通过 ISA_1 访问 ExternalWebServer。 基于 InternalClient1 的路由表会将所有外部地址请求路由到 ISA Server 计算机的内部 IP 地址(即连接至内部网络的网络适配器的IP地址)。ISA Server 计算机将为针对外部 IP 地址的所有内部网络请求充当默认网关。 配置内部网络 作为设置过程的一个组成部分，已在内部网络中指定了地址范围，并由此配置了内部网络。验证配置有效性，确保内部网络只包含基于 Corpnet 的地址。在 ISA_1 上执行下列步 第 44 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 骤: 1. 打开 Microsoft ISA Server 管理，展开 ISA_1 ，接着，展开配置节点，然后单击网络。 2. 详细信息窗格中的网络选项卡显示了每个网络包含的地址范围。 3. 确认内部网络仅包含基于企业网络的计算机IP地址。 4. 双击内部(在网络选项卡上)打开内部属性对话框。在Web代理选项卡上，确认启用Web代理客户端和启用HTTP复选框均被选中，并已将 HTTP 端口设定为8080，然后，单击确定 创建网络规则 作为安装过程的一个组成部分，默认 Internet 访问网络规则已创建完毕。这个规则定义了内部网络与外部网络之间的关系。确认网络配置状态，依次执行下列步骤: 1. 展开配置节点，并单击网络。 2. 在网络规则选项卡上，通过双击 Internet 访问规则打开 Internet 访问属性对话框。 3. 在源网络选项卡上，确认内部已被列示出来。 4. 在目录网络选项卡上，确认“外部”已被列示出来。 5. 在网络关系选项卡上，选择网络地址转换 (NAT) 。 6. 单击“确定”。 7. 如果进行过修改，则在详细信息窗格中单击应用。 创建策略规则 允许内部客户端访问 Internet，则必须创建允许内部客户端使用 HTTP 和 HTTPS 协议的访问规则。为此，应执行以下步骤: 1. 单击防火墙策略。在任务窗格内选择任务选项卡，通过单击新建访问规则启动“新建访问规则向导”。 2. 在欢迎页面上，键入规则名称。例如，输入 Allow Internal clients HTTP and HTTPS 第 45 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 access to the Internet 。然后，单击下一步。 3. 在规则操作页面上，选择允许，并单击下一步。 4. 在协议页面上的此规则应用于列表中，选择指定协议，并点击添加。 5. 在添加协议对话框内，展开常用协议。依次单击HTTP、添加、HTTPS和添加，然后，点击关闭。然后，单击下一步。 6. 在访问规则源页面上，单击添加。 7. 在添加网络实体对话框内，先单击网络，再选择内部。依次单击添加和关闭。然后，单击下一步。 8. 在访问规则目标页面上，单击添加。 9. 在添加网络实体对话框内，先单击网络，再选择外部。依次单击添加和关闭。然后，单击下一步。 10. 在用户集页面上，确认已指定所有用户。然后，单击下一步。 11. 查对摘要页面，然后，单击完成。 12. 在详细信息窗格内，通过单击应用接受所做修改。注意，所做修改需要一段时间后方可生效。 测试功能 为确信配置成功，将使用 VPN 客户端 External1 访问基于内部网络的计算机。为此，应在 External1 计算机上依次执行下列步骤: 1. 依次单击开始、连接到和连接到ISA_1。 2. 在 ISA_1\User name 栏内，输入您创建的用户名，并单击连接。 如果连接顺利创建，则表明配置成功。 第 46 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 第七章:售后服务 7.1.服务承诺 (1) 我公司将通过从设备、软件的原厂商取得保证和购买相应的服务后，可以承诺如下按原厂商提供的保修期(维护期)进行。日期自系统验收报告签字之日起计算。 (2) 在保修期内出现任何由设备和软件的缺陷造成的故障，本方案工作组给予下列响应承诺:对所有设备及软件系统，当用户提出要求后，我们响应时间表规定的时间内赶赴现场。对于硬件故障，技术工程师的确认下，及时向原厂商提出更换请求，并立即提供替换设备，不收取额外费用。 (3) 由于设备维修和更换有一定时间周期，为了不影响用户的系统的运行和业务的正常开展，切实保障用户的利益，本方案组将联系为用户提供临时替代设备而不影响用户的使用。 (4)在维护期间根据故障响应流程图进行维护。 (5)对相应的人员进行技术培训。 (6)提供的全方位网络技术服务, 包括对用户的定期寻查制度, 即定期远程诊断, 采用先进的网络检测与分析工具对系统进行诊断, 提出系统优化建议与措施。专人进行客户支持。 第 47 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 第 48 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 7.2.售后服务流程 第 49 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 7.3.人员配备 职称 姓名 人数 职责 1 高级工程师 叶长青 负责对高级问题的解决 黄敏、罗负责对M公司人员进行技术2 技术培训员 忠僵 指导和培训 负责记录故障原因，解决基本 系统维护工程师 肖国柄 若干 问题，必要时协助高级工程师 解决高级故障。 项目实施完毕后我公司根据以上人员配备对M公司进行跟踪服务。配有二十四小时服务热线。根据故障情况指派工作人员进行维修。若关系到原厂商产品问题，我公司负责联系原厂商，由原厂商指派技术人员维修。 第 50 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 7.4.人员培训 7.4.1.系统管理员培训 培训内容 培训对象 代理型防火墙技术 ISA防火墙系统原理 防火墙系统基本原理 基本网络协议 防火墙设置 传统防火墙系统的局限 系统结构 系统效率 对公共协议的支持 系统管理员 对平台的支持 对病毒、漏洞、攻击的处理 防火墙系统介绍 虚拟网络 系统的可扩展性 系统的可管理性 系统安全讲解 主流防火墙技术分析 防火墙系统评估准则 第 51 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 7.4.2.服务保障 根据优先级故障的划分处理 严格按照故障等级划分标准，将邮件系统的故障划为四级: 一级故障:现有的网络停机，或对最终用户的业务运作有重大影响 二级故障:现有网络的的操作性能严重降级，或由于网络性能失常严重影响用户业务运作。 三级故障:网络的操作性能受损，但大部分业务运作仍可正常工作。 四级故障:在产品功能、安装或配置方面需要信息或支持，对用户的业务运作几乎没有影响。 一级优先权:我公司将全天候调集所有必要的资源来排除故障，在 24 小时内提供解决方案或替代方法。 二级优先权:我公司将全天候调集所有必要的资源来排除故障，在 48 小时内提供解决方案或替代方法。 三级优先权:我公司将全天候调集所有必要的资源来排除故障，一般在 5 天内提供解决方案或替代方法。 四级优先权:我公司将全天候调集所有必要的资源来排除故障，一般在 7 天内提供解决方案或替代方法。 工程项目及设备质保期限 对于本项目中的软、硬件产品将通过从设备、软件的原厂商取得保证和购买相应的服务后，提供原厂商标准的或针对本项目特定的保修期限。 (1)系统保修期(维护期)阶段 计划和方式 在试运行期结束并通过最终验收后，即进入系统的保修和维护期。从这个阶段开始，系统正式进入实用阶段，因而这一阶段将成为系统整个支持和维护的工作中心和重点。本阶段的工作主要由出本方案的工作组进行，用户方的技术人员协助。 售后技术服务采用两种方式进行。第一种支持方式是直接在用户现场工作的工程师。现场工程师有义务直接接受用户的意见、投诉，亲临问题现场了解情况，并做出分析利判断，但没有权利对非其所属的项目组的服务对象作出任何操作。 第二种支持方式是由我公司和原厂商的技术支持。当极少数的问题未能很好解决时，将 第 52 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 利用原厂商技术支持体系，给出圆满解决。必要时将通过适当渠道与原厂商技术机构和专家联系，以求更为权威的解决方案。 责任及承诺 (2)保修期以后 1)、在本项目一次性购买的设备和软件保修维护期过后，用户可以根据自己具体的需求，经过双方协商，签署相应的服务协议。 2)、在各种软硬件设备所购买的保修期后，我公司承诺以不高于原的实际成交价格更换原厂商继续支持的故障部件，并根据用户的要求，经过协商，提供相应的服务内容。 第 53 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 参考文献 1.《防火墙原理与实用技术》贾货，张旭主编 2.《网络安全》 胡道元主编 清华大学出版社 3.《网络安全原理与实践》. 北京: 人民邮电出版社 4.《信息安全技术浅谈》[M] . 北京:科学出版社, 赵战生, 冯登国, 戴英侠, 等主编 5.林东清 李东改.知识管理理论与实务/中国企业信息化经典书丛. 电子工业出版社， 6.王宝会.计算机信息安全教程--新世纪电脑应用教程. 电子工业出版社，2006，1 7.《网络经典工具时尚应用百例》 机械工业出版社 8《网管成长日记》 人民交通出版社，2005.3 9.《防火墙及其应用技术》 ISBN:7302088004 著作:黎连业 张维 出版社:清华大学 10.《防火墙与网络安全--入侵检测和VPNS》 ISBN: 9787302085720 ， 7302085722 作者: 王斌 出版社: 清华大学出版社 11.《配置Netscreen 防火墙》JUNIPER 网络公司系列教材 12.《网管第一课:计算机与网络安全》 出版社 : 电子工业出版社 作者:王达 13.《Linux 系統安全與防火牆 》 14.IT168() 15.IT专业人士的资源() 16.编程入门网() 第 54 页 共 53页 广西生态工程职业技术学院 《构建企业级防火墙解决方案》 谢辞 经过半个月的查资料、整理材料、写作，今天终于可以顺利的完成论文的最后的谢辞了，想了很久，要写下这一段谢词，表示可以进行毕业答辩了，时光匆匆飞逝，两年多的努力与付出，随着论文的完成，终于让我在大学的生活得以划下完美的句点。 论文得以完成，要感谢的人实在太多了，首先要感谢刘东、蓝丹老师，因为论文是在刘东、蓝丹老师的悉心指导下完成的。刘东、蓝丹老师的专业知识，严谨的治学态度，精益求精的工作作风，诲人不倦的高尚师德，严以律己、宽以待人的崇高风范，朴实无华、平易近人的人格魅力对我影响深远。刘东、蓝丹老师指引我的论文的写作的方向和架构，并对本论文初稿进行逐字批阅，指正出其中误谬之处，使我有了思考的方向，他们的循循善诱的教导和不拘一格的思路给予我无尽的启迪，他们的严谨细致、一丝不苟的作风，将一直是我工作、学习中的榜样。刘东、蓝丹老师要指导很多同学的论文，加上本来就有的教学任务，工作量之大可想而知，但在一次次的回稿中，精确到每一个字的批改给了我深刻的印象，使我在论文之外明白了做学问所应有的态度。更让人感动的是在论文写作过程中，刘东、蓝丹老师在教学繁重的情况下还是一如既往的辅导我们的论文写作，他的精神激励了我们，使我们克服了在论文写作过程中的困难。使我们的论文得以顺利完成，在此向刘东、蓝丹老师表示由衷的感谢。