netscreen防火墙方案范例.docx

netscreen防火墙方案范例.docx

《netscreen防火墙方案范例.docx》由会员分享，可在线阅读，更多相关《netscreen防火墙方案范例.docx（14页珍藏版）》请在冰点文库上搜索。

netscreen防火墙方案范例

心之所向，所向披靡

xxx公司网络系安全方案

一企业网络安全面临的威胁

在现代社会中，随着计算机运用的普及和计算机网络技术的不断发展，计算机为整个社会带来了前所未有的变革，信息化成为社会发展的大趋势。

现代生活的快节奏，迅速、及时、准确、有效的信息传递、处理，使得人类社会充斥了大量以计算机或以计算机处理器为主的系统及网络。

系统一体化趋势，使网络化成为了整个信息社会的核心。

与此同时，人们认识到计算机在给现代社会注入强大生命力同时，不可避免的成为对手攻击的重点对象。

攻击与反攻击，成为信息社会中敌对双方利用互联网为作战平台，展开斗争的重要手段。

而我国信息安全的前景，并不引人乐观。

企业信息安全面临的主要威胁

信息安全的威胁主要来自信息网络上的非法操作，其威胁是多种多样的，并随着时间推移和技术的发展发生着变化，这些威胁既有针对信息运用系统物理环境的攻击破坏，也有对信息系统软件和信息资源的“软”攻击。

主要表现为：

信息泄露、完整性破坏、业务拒绝和非法使用。

信息安全的威胁主要来自五种类型的威胁源：

计算机病毒、网络“黑客”和蓄意入侵、内部失窃和反叛、预置陷阱以及有组织、有预谋的计算机犯罪等。

1计算机病毒

计算机病毒是一种能自身繁殖和自动隐藏、自动传输的计算机程序，具有传染性、潜伏性、隐蔽性和破坏性四大特点，可以通过磁盘、网络、电子邮件等进行传播，其对计算机上的信息资源、系统运行环境有极大的破坏作用。

计算机病毒的传播是人为的，其传播速度是非常快的，随着网络的不断普及，网上计算机病毒的入侵已成为威胁信息安全的首要大敌。

2网络“黑客”和蓄意入侵

网络黑客是指哪些极具有天赋的计算机程序编程能力和运用其程序能力的人员，为了某种利益，试图非法进入一些企业的要害部门，获取资料、修改程序、攻击网络系统，使系统部分或全部崩溃。

3内部失窃和反叛

信息系统的内部人员由于失误造成敏感信息的外泄，或为利益所驱动而为竞争对手提供情报服务是信息安全面临的另一种威胁。

诸如：

物理环境的安全防范不严，对废弃的载有敏感信息的媒体未进行安全的销毁，或无意中把重要的信息泄露给其它人员，或为竞争对手收买，出卖重要情报信息或提供攻击的途径等。

这些是造成信息安全威胁的人为因素。

4预置陷阱

预置陷阱是在信息系统的设计或使用的软硬件中，人为地预设一些陷阱，以干扰或改变计算机的正常运用，甚至使计算机系统崩溃。

信息安全面临的各种威胁之中，预置陷阱是最危险、最可怕的，也是最难以防范的。

陷阱一般分为三类：

“后门”、“病毒”和特定程序。

“后门”又叫“陷阱门”是软件系统的设计者为了调试系统的需要，预先在软件中设计的一种入口。

这个入口可以让软件设计者或熟悉软件系统并知悉这一入口的人员，通过入口超越系统保护，进入系统，窃取数据或攻击系统。

如美国微软公司开发的“视窗软件WIN98”就曾预留有“后门”。

“病毒”是软件设计人员按一系列特定条件设计的隐藏在软件工具中的特定程序，遇到条件满足后，就会发作，使计算机系统出现混乱或陷入瘫痪。

特定程序也是隐藏在计算机程序中具有伪装功能的程序代码，通常用以在设置的系统中执行预置者赋予的特定功能。

如“特洛伊木马”，这种网上特定程序能够安全隐藏在用户计算机中，把用户的授权指令等以电子邮件的方式发给程序的设计者。

软件陷阱是通过网络或使用软件工具进行传播，由于其依附的软件载体是用户的使用系统或工具，难以甚至无法检测，因而危害性更大。

5有组织的计算机犯罪

信息网络在方便人类社会生活的同时也带来了很大的负面影响，反政府组织、宗教极端组织、犯罪团伙或个人利用网络传播、宣传、搜索违反法律和社会道德的信息，进行颠覆活动或敲诈勒索；造谣、蛊惑民众，导致社会不稳定，也给国家安全带来严重的威胁。

信息网络日益普及和完善，企业在各个领域也越来越依赖信息网，同时信息网络易受攻击的薄弱环节也越发明显，任何国家、组织和个人，都有可能掌握攻击的方法和技巧，企业的重要信息和重大的战略资源都有可能受到来自信息网络上的直接攻击。

二、防火墙简介

1、防火墙的应用

防火墙是在两个网络之间执行控制策略的系统包括硬件和软件目的是不被非法用户侵入，本质上它遵循的是一种允许或禁止业务来往的网络通信安全机制也就是提供可控的过滤网络通讯只允许授权的通讯

基于Internet体系应用有两大部分：

Intranet和Extranet。

Intranet是借助Internet的技术和设备在Internet上面构造出企业WWW网，可放入企业全部信息；而Extranet是在电子商务互相合作的需求下，用Intranet间的通道，可获得其它体系中部分信息，按照一个企业的安全体系可以在以下位置部署防火墙

2．防火墙的部署位置：

●局域网内的VLAN之间控制信息流向时

●Intranet与Internet之间连接时

●在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPacChinaDDNFarmeRelay等连接）在总部的局域网和各分支机构连接时，采用防火墙隔离并利用VPN构成虚拟专网。

●总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用VPN组成虚拟专网

●在远程用户拨号访问时加入虚拟专网

3．防火墙应该具备以下特点：

●广泛的服务支持，通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、FTP等

●对私有数据的加密支持，保证通过Internet进行虚拟私人网络和商务活动不受损坏

●客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分

●反欺骗、欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部

4．防火墙应该具有以下功能

●所有进出网络的通讯流都应通过防火墙

●所有穿过防火墙的通讯流都必须有安全策略和计划的确认和授权

●理论上说防火墙自身是不能被攻破的

三xxx公司网络系统安全需求

2.1安全需求

xxx公司网络系统安全目标是为了保证xxx公司网络系统及与之连接的内部生产业务网络系统的安全，同时提供内部办公网络系统到Internet的安全接入，使内部员工能安全访问网上的信息资源。

网络接入安全管理方案需要实现的基本功能要求如下：

●具有网络隔离功能和代理服务/地址映射功能；

●具有时限、流量、地址、用户、应用、节点等控制管理功能；

●具有用户对Internet访问目标的监控和记录功能；

●具有网络安全通讯功能；

●具有实时入侵检测、识别、记录和自动响应功能；

●支持流行的各种应用，包括音视频多媒体应用环境；

●安全管理策略可由管理人员进行定义、修改；

●防火墙对用户和应用应具有透明性，不会明显减低应用系统的效率；

●防火墙应具有历史记录、审计和统计、报表功能；

●防火墙的安装、维护工作量相对少、难度低；

●防火墙本身及所依赖的运行平台价格合理，投资少、见效快。

●防火墙支持与其他的安全产品建立VPN通道。

2.2安全需求分析

根据安全需求分析，xxx公司网络系统安全改造工程完成后，网络应能做到如下几点：

●设置NAT模式，能保护内部的网络结构，防止非法用户入侵内部网络，造成破坏和损失。

●对网络带宽速率不能有任何的影响。

因xxx公司网站提供大量设计图片和视频服务，防火墙对带宽的质量应有保障。

●通过在公司的各部门网络前端设置防火墙，保护其内部资料数据的可靠，防止内部数据被非法窃取。

●设置认证功能，通过对用户的身份认证，控制用户对服务器进行访问。

●有完整的历史记录，能查看每一个经过防火墙的连接，包括日期、源地址、目的地址等，并有识别并阻断攻击功能。

●能提供集中的、图形化的安全管理功能和系统状态查看器，方便管理人员进行定义、修改。

尽量减少维护工作量。

●设计的网络安全解决方案能提供网络入侵检测、识别、记录和自动响应报警功能。

●将公司对内提供的邮件、文件服务的服务器统一放置在防火墙后端，彻底将网络内外隔开，同时具有防止IPSpoofing，SYNflood，,Pingofdeath手段的攻击。

●安全解决方案应考虑日后系统升级和冗余的工作。

●●安全解决方案应考虑搭建安全的VPN通道，保护重要部门之间文件传输

四安全解决方案设计

4.1方案说明

根据以上，我们建议在xxx公司计算机网络系统的网关防火墙采用Netscreen-10/100，并作如下解决方案：

将公司的数据服务器和财务服务器统一放置在防火墙的Trust区，内部用户到服务器将通过防火墙的安全审查，普通用户通过防火墙时只充许使用数据服务器，访问将通过严格认证，其他的端口将禁止通讯。

Netscreen防火墙可将网络分成三个区域，Trust（可信任区，连接服务器），Untrust（不信任区，连接内部局域网）,DMZ（中立区）。

将公司业务服务器集中放置在Trust区，通过Netscreen防火墙卓越的带宽管理功能，能针对不同的区域、策略和主机分配固定的带宽，并可根据部门工作的需要分配带宽优先权，xxx公司的财务服务器使用的是最高优先级带宽的线路，并通过策略和主机的设置分配某些部门带宽优先权。

可通过Netscreen_10的实现服务的负载平衡（LoadBalancing）功能，合理分配Trust区的主机访问负载，满足用户分步投资网络服务器的需求。

因Netscreen防火墙将黑客代码库集成在其可升级的结构芯片中，所以它对黑客的多种攻击手段能做出最快的反应，例如著名的DDOS分布式拒绝服务攻击（DistributedDenial-OfService）,Netscreen能让用户根据客户端主机发出的数据报的数量判断是否是DDOS攻击程序攻击，并采取措施过滤掉攻击包中的源IP地址（尽管这些IP地址可能不是真实的）。

Netscreen提供多种简单有效的功能设置使用户能在最快的时间里做出防护措施。

如关闭一些不必要的端口服务，以保障主要的服务有足够的带宽。

4．2远程用户的接入

●采用VPN方式接入

随着通讯事业的发展，Internet的广泛应用，利用Internet公共资源传输电子邮件及其它文件信息已经成为人们日常生活的一部分，安全问题也就越来越值得人们的重视。

Xxx公司与分公司之间设置帧中继专线，财务部门之间建立虚拟专用网VPN（VirtualPrivateNetwork）。

通过加密，实现安全可靠的信息传输。

对于分公司远程用户接入公司内部局域网，Netscreen防火墙将提供安全、快速、可靠的VPN接入解决方案，Netscreen防火墙能提供高速安全的Triple-DES（168bit）线速加密机制，使用户的通讯能在一个最高安全性的通道内进行。

这是其他任何防火墙不能达到的。

NetScreen提供的VPN功能，采用点对点的DES和3DES加密，支持人工密钥管理、自动ISAKMP密钥管理及用户认证。

DES是一种对称的保密字加密系统。

换而言之，用于加密和解密的密钥是同一个（对称的）。

从标准上讲，DES是受人喜爱的加密机制，它是一种块数据编码方案，适合于硬件实现。

SNMP和SNMP2及Kerberos系统都使用DES。

NetScreen的VPN采用IPsec协议。

IPsec作为在IPv4及IPv6上的加密通讯框架已为大多数厂商所支持。

IPsec主要提供IP网络层上的加密通讯能力。

该标准为每个IP包增加了新的包头格式，AH（AuthenticationHeader）及ESP（EncapsulatingSecurityPayload）。

IPsec使用ISAKMP/Oakley及SKIP进行密钥交换，管理及加密协商SA（SecurityAssociation）。

通过在远程用户的PC机上安装NetscreenVpnRemoteClient软件和netscreen10建立VPN通道，可以实现远程用户和总部之间的安全通讯。

它将与公司总部的Netscreen-10建立VPN加密通道，通信的数据将在通道里得到保护，其他用户将无法侦听拦截数据包。

实现数据保密。

4.3产品说明

Netscreen-10简介

NetScreen-10提供10M带宽的吞吐能力通过ICSA防火墙认证其灵活多样的四种模式配置适用于任何现存的网络结构;透明模式的设置无需更改任何路由器及主机配置。

防火墙功能

网络地址转换（NAT）--隐藏内部IP地址

动态过滤访问--保护网络的服务

URL地址限定限制站点的访问,过滤不需要的站点

用户认证存取认证

防火墙性能

10M带宽下同时响应高达4000条策略规则

10M带宽的安全过滤

同时支持16000个TCP/IP连接

NAT网络地址转换,同时支持IP静态地址映射

链路级代理（硬件级代理服务器）

透明模式（无须更改任何现存设置）

实时报警与日志,支持2000年时钟过渡

URL地址检验

虚拟专用网（VPN）

符合IPSec标准（可与其他厂家设备交互操作）

符合IKEISAKMP密钥管理协议

DES&三倍DES加密级别

MD5SH-1认证

流量控制及实时监控

流量控制功能为网络管理员提供了全面监测和管理网络的信息.

用户带宽最大用量限制

用户带宽用量保障

八级用户优先级设置

管理服务器群适用的负载平衡设计

日志及报警纪录实时监控网络状态

便捷管理

浏览器进行远程的配置管理SNMP管理命令行界面管理

WINDOW95/NT图形界面

支持SNMP管理方式

命令行界面支持批处理方式并可用调制解调器控制

支持协议

ARPTCP/IPUDPICMPDHCPHTTPRADIUS

IPsecIPESPIPAHMD5SHA-1,DES/Triple-DES

IKE（ISAKMP）X.509v3

界面

三个10BaseT以太网口（Trusted信任端Untrusted非信任端

DMZ中立区PCMCIA插槽支持10,20,40,150兆闪存卡

其它

透明的IP设置无须更改任何路由器及主机配置

任意IP转换和DHCP服务器是理想的移动接入方案

IP转发实延<0.1毫秒

浏览器TFTP服务

多机备份

VPN技术的应用

网络系统总部和各分支机构之间采用公网网络进行连接，其最大的弱点在于缺乏足够的安全性。

企业网络接入到公网中，暴露出两个主要危险：

∙来自公网的XX的对企业内部网的存取。

∙当网络系统通过公网进行通讯时，信息可能受到窃听和非法修改。

完整的集成化的企业范围的VPN安全解决方案，提供在公网上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。

VPN技术的原理:

VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信，它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。

其处理过程大体是这样：

1.要保护的主机发送明文信息到连接公共网络的VPN设备；

2.VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。

3.对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。

4.VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。

5.VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。

6.当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。

IPSec作为在IPv4及IPv6上的加密通讯框架，已为大多数厂商所支持。

IPSec主要提供IP网络层上的加密通讯能力。

IPSec提供了两种加密通讯手段：

IPSecTunnel：

整个IP封装在Ipsec-gateway之间的通讯。

Ipsectransport：

对IP包内的数据进行加密，使用原来的源地址和目的地址。

IPsecTunnel不要求修改已配备好的设备和应用，网络黑客不能看到实际的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道，因此，绝大多数厂商均使用该模式。

ISAKMP/Oakley使用X.509数字证书，因此，使VPN能够容易地扩大到企业级。

（易于管理）。

在为远程拨号服务的Client端，也能够实现IPsec的客户端，为拨号用户提供加密网络通讯。

由于IPsec即将成为Internet标准，因此不同厂家提供的防火墙（VPN）产品可以实现互通。

五公司简介

深圳华强集团有限公司成立于1979年，现有员工4000多名，总资产19亿元，净资产5.6亿元。

是中国电子行业百强企业前10名（连续10年），全国高出口创汇企业，全国500家最大工业企业第81名，全国300户重点发展大企业，广东省最大工业企业十强，深圳市综合实力最强50家企业集团之一，深圳市三超企业，深圳市守法纳税大户。

拥有彩电生产线4条，年产彩电200万台，60%外销。

音响生产线6条，年产能力170万台，主要销往欧美市场。

激光电子产品生产线12条，年产激光拾音头2000万只，占全球市场份额10%。

激光唱机100万，CD-ROM1500万台。

高能电池项目年产电池组3000万组，电池1000万只，在国内属于领先地位。

电脑、无绳电话、彩电行输出变压器、通讯设备等项目形成一定规模。

旗下深圳华强实业股份有限公司1997年上市。

华强集团全资、控股、参股企业：

◆深圳华强实业股份有限公司◆华强三洋电子有限公司

◆深圳三洋华强激光电子有限公司◆深圳三洋华强能源有限公司

◆深圳华强销售公司◆深圳华强新新技术开发公司

◆深圳精塑电子有限公司◆深圳华强物业管理公司

◆深圳华强联合计算机工程有限公司◆深圳华强电脑厂

◆深圳华强三洋技术设计有限公司◆深圳华强技术开发中心

◆深圳华强电视配件公司◆深圳华强富兴电子有限公司

◆深圳华电通讯有限公司◆深圳燕华企业有限公司

◆深圳华强住宅生活区管理委员会◆东莞华强实业发展公司

华强联合计算机工程有限公司是深圳华强实业股份有限公司的重要成员，是华强集团内专门负责经营计算机相关业务的高科技系统集成公司。

公司自93年成立以来，以华强集团强大的经济实力为后盾，以国内外高新技术为动力，以市场为导向，已发展成集科研、开发、销售、推广、和应用为一体的专业系统集成公司。

公司凭借雄厚的经济实力以及可靠的技术力量，利用多年来在市场经济发展中取得的经验，在国际合作的基础上，坚持“面向社会、用户至上、信誉第一”的原则，积极引进和推广国外高科技产品和技术，多年来在市场经济的发展中取得了良好的社会效益和经济效益，在社会上有着广泛的影响和很高的声誉。

1997年销售额4500万元。

1998年华强集团将系统集成列为重点发展方向，计划向华强联合计算机工程有限公司新注入资金2000万元，重点集成大工程项目。

与下列国内外著名厂商建立了合作关系：

◆美国Netscreen中国总代理；

◆美国Cisco公司认证集成商；

◆美国3Com公司认证集成商；

◆美国BayNetworks公司认证集成商；

◆美国AMP公司开放式布线系统网络设计及安装商（ND&I）；

◆美国AT&T公司开放式布线系统网络设计及安装商；

◆美国HP信息产品特约经销商；

◆深圳独家HP9000小型机系列增值代理商；

◆深圳独家HP授权维修中心及HP备件库，多名HP认证工程师；

◆美国IBMPC指定代理商；

◆日本TOSHIBA笔记本电脑指定代理商；

◆美国DELL产品特约增值代理商；

◆联想商用、家用电脑指定代理商；

◆方正商用、家用电脑指定代理商；

◆Novell、Microsoft公司指定代理商；

多年来华强联合计算机工程有限公司在网络工程和大型系统工程建设方面积累了丰富的工程经验，承接了大量的工程项目，以精湛的技术、严格的测试手段和严密的施工组织，确保了工程质量，赢得了用户的盛赞。

六成功案例（截止日期2000年5月）

◆深圳市劳动局劳动力信息系统广域网工程

◆深圳市翔龙通讯公司全国电子商务网系统集成

◆长沙电信业务管理系统集成

◆国泰君安证券高可用性双机热备份系统

◆国通证券总部综合布线系统及网络集成

◆深圳华强集团Intranet系统集成

◆深圳皇岗口岸计算机网络系统

◆深圳市公安局罗湖分局办公楼综合布线系统

◆珠海格力集团总部综合布线系统

◆深圳市人才大市场计算机网络系统

◆深圳财政局综合布线系统

◆深圳市医药公司网络工程

◆三洋电机（蛇口）有限公司CAD系统集成

◆顺德惠而浦蚬华微波制品有限公司CAD系统集成

◆珠海格力电器股份有限公司技术部、模具厂CAD/CAM系统集成

◆华强新新公司CAD系统集成

◆华强三洋技术设计有限公司CAD系统集成

◆理光（深圳）工业发展有限公司CAD系统集成

◆顺德特种变压器厂产品开发部CAD系统集成

◆大亚湾核电站核岛故障检测数据采集与分析系统集成学习使人进步

◆三洋能源公司财务网络系统

◆力飞车料有限公司管理信息系统

◆万科物业办公自动化系统