vpn网络安全接入方案建议书
某某集团VPN安全方案
某某集团VPN安全方案在此次XXX集团网络系统的安全建设中,网络安全的部署将依据应用业务的具体需求进行安全体系设计。
我公司将根据此次公司XXX集团业务运营的具体需要,进行详尽合理的网络设计,提供一个高可靠性、高安全性的网络安全体系。
1.网络建设整体方案建议在这部分中,我公司将根据公司XXX网络运营现状和具体发展需要提出完整的网络互连和系统安全解决方案。
1.1 网络建设需求分析当前XXX集团总部在上海,共有20多家分支企业,由于系统运营的需要,要求20个分支企业和总部进行安全网络通信。
由于专网费用过于昂贵,因此建议采用VPN技术构建集团的虚拟专网。
根据现在的网络情况来分析,各分部有两种网络数据访问模式:1.本企业到Internet网络的连接,需要访问互联网信息。
2.本企业到总部的数据下载、上传等保密数据的交互。
根据以上公司系统业务运营模式和数据交换方式,其网络建设的重点要完成各分部到总部的专网连接和各部访问Internet的双重目标。
1.2 网络建设原则在本次公司XXX网络安全设计方案中,我们将遵循以下网络设计原则:1. 切合实际应用,满足业务运营要求。
2. 提供简单、实用、完整的网络运营体系。
3. 充分考虑公司XXX网络运营的未来发展4. 充分考虑公司XXX网络建设整体投资5. 提供方便、完善的网络运行监控和管理功能1.3 网络建设方案根据以上的现有网络运营情况和具体业务要求,我们推荐XXX集团网络安全系统利用YISHANG(浙大网新)YISHANG高性能的防火墙设计构筑XXX集团的VPN网络。
在本方案中,我们充分利用IP VPN的网络技术,在原网络模型上完成各总部上Internet和业务数据保密传输的要求。
VPN是近年出现的一种新技术,它为企业的私网互连和上Internet提供了完整的解决方案。
企业连接远程网络最直接的方法就是使用专线,但问题很多,最主要的如费用昂贵、维护困难、接入点的选择不灵活以及多节点连接的困难等。
VPN技术方案建议书
VPN 技术方案建议书------VPN 介绍虚拟私有网络 VPN(Virtual Private Network) 浮现于 Internet 盛行的今天,它使企业网络几乎可以无限延伸到地球的每一个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。
虚拟专用网(VPN)是利用公众网资源为客户构成专用网的一种业务。
我们这里所提的 VPN 有两层含义:一、它是虚拟的网,即没有固定的物理连接,网路惟独用户需要时才建立;二、它是利用公众网络设施构成的专用网。
VPN 实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的。
VPN 可以为企业和服务提供商带来以下益处:采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用;公司能利用无处不在的 Internet 通过单一网络结构为职员和商业火伴提供无缝和安全的连接;对于企业,基于拨号 VPN 的 Extranet 能加强与用户、商业火伴和供应商的联系;电话公司通过开展拨号VPN 服务可以减轻终端阻塞;通过为公司提供安全的外界远程访问服务, ISP 能增加收入;通过 Extranet 分层和相关竞争服务, ISP 也可以提供不同的拨号 VPN。
VPN 兼备了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功能与专用网的灵便、高效结合在一起,是介于公众网与专用网之间的一种网。
VPN 能够充分利用现有网路资源,提供经济、灵便的连网方式,为客户节省设备、人员和管理所需的投资,降低用户的电信费用,在近几年得到了迅速的应用。
有专家认为, VPN 将是本世纪末发展速度最快的业务之一。
1.1 什么是 VPN通过对网络数据的封包和加密传输,在公网上传输私有数据、达到私有网络的安全级别,从而利用公网构筑 Virtal Private Network (即 VPN)。
如果接入方式为拨号方式,则称之为 VPDN。
VPN方案建议书报告
VPN方案建议书( VOL. 1 )目录1 前言 (3)2 *********** (4)3 SSL VPN技术简介 (5)4 SSL VPN设备选型 (7)4.1 选型原则 (7)4.2 Juniper简介 (8)4.3 Juniper设备选型 (8)5 SSL VPN方案设计 (10)5.1 结构设计 (10)5.2 主要功能设计与配置 (10)5.2.1 用户认证和权限管理 (11)5.2.2无客户端核心WEB接入权限 (14)5.2.3 SAM接入权限 (14)5.2.4 NC接入权限 (14)5.2.5主机检查和缓存清除 (14)6 Juniper SA其它特性 (14)6.1 系统特性 (14)6.2 系统对安全的控制 (16)6.3 系统扩展性和高可用性 (18)6.4 利用IVE系统轻松访问 (18)6.5 系统设备型号选择 (19)7 Juniper IVE解决方案优势 (20)8 SecuID双因素认证系统 (21)9 IPSec VPN解决方案 (24)9.1 产品选型 (24)9.2 方案设计 (31)10.售后服务承诺 (32)1 前言随着网络技术的发展,在上个世纪末,基于IPSec协议的VPN模式成为企业VPN的主流,IPSec VPN 甚至成为企业VPN的代名词。
实际上IPSec VPN并不能完全代表VPN,2003年,一个VPN家族新成员进入人们视线—SSL VPN。
SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。
这使得移动用户、合作伙伴仅仅通过一台接入了Internet的计算机就能访问企业资源,这为企业提高了效率也带来了方便。
由于SSL VPN不像IPSec VPN那样要购买和维护远程客户端或软件,因而要比后者方便很多,但对于点对点的VPN连接,IPSec VPN技术仍然是不可替代的。
中港第四航务工程局创建于1951年,是一家集勘察、设计、科研、施工于一体,具有港口与航道、公路、桥梁与市政工程等施工总承包一级资质的大型国有建筑施工企业,在国内15个省(市、自治区)以及十多个地区和国家建设了70多公里的码头岸线、800多公里的公路、桥梁和隧道。
网络安全及VPN互联解决实施方案书
网络安全及VPN互联解决方案2018年8月16日目录一、需求概述0二、解决方案11.1方案概述11.2网络拓扑22・3设备部署方式2三 .产品选型和性能3四.产品功能介绍44.1深信服NGAF下一代应用防火墙功能特性44.2深信服S5000-AC上网行为管理功能特性10一、需求概述互联网及IT技术的应用在改变人类生活的同时,也滋生了各种各样的新问题,其中信息网络安全问题将成为其面对的最重要问题之一。
网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展,使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。
Web 时代的安全问题已远远超于早期的单机安全问题,尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。
这些都使传统的安全设备在保护网络安全上越来越难。
目前更多的出现了以下的问题:1.投资成本攀升,运维效率下降2.“数据库泄密”、“网页遭篡改”等应用层安全事件频现3.网络管理人员对企业流量束手无策4.部署UTM,网络中断或访问变慢5.内网出现威胁,追究责任困难6.总部和分支之间的网络如何互连以实现安全资源共享二、解决方案2.1方案概述根据公司网络安全的需求,我们推荐采用深信服NGAF-1320下一代应用防火墙做出口网关,对内外网通讯以及内部服务器的安全提供保障,通过NGAF强大的流控功能对内部员工上网流量以及P2P等大流量行为进行控制,同时NGAF还提供了IPSec VPN互连的功能,可以用作总部分支的安全互连。
针对分公司可以采用深信服S5000-AC上网行为管理网关作为分公司的互联网网关使用,通过AC设备的应用控制功能同样可以实现对内部员工的流量进行合理的管控,分公司通过AC上网行为管理的IPSec VPN功能与总部的NGAF防火墙进行互联,实现总部和分支的安全互联。
vpn接入方案书
VPN接入方案书______基于NESCO BR-104V 一、接入方式VPN(虚拟专用网络)与传统的远程访问网络(RAS)相比较,在该方式下远端用户不再是如传统的远程网络访问那样,通过长途电话拨号到公司远程接入端口,而是拨号接入到用户本地的ISP,采用VPN技术在公众网上建立一个虚拟的通道。
示例如图1:Nesco Br-104V Mod emVpn Server192.168.0.0Vpn Client192.168.1.0Sercomm Router图1二、其中可选用的设备:Vpn Server : Nesco BR-104V(带有路由功能)Vpn Client : Nesco BR-104V(做Vpn Client端,使整个局域网可访问Server端)或Windows作为Client端三、使用BR-104V的VPN性能稳定性较高速度较快(这主要取决于接入Internet的带宽,与路由器等硬件等设备无很大的关系)安全性能强,不易丢失公司传送的数据库该设备可同时支持5个通道接入四、具体设置(I)、Nesco BR-104V为Vpn Server、Windows用户为Client端Br-104V的设置:1、确定Nesco BR-104V能连上Internet(另见Internet Access设置)2、通过IE登录到BR-104V路由器(默认IP为192.168.1.1),并打开“虚拟私有用网络”,如下图:然后点击此项激活此项,加密认证不用选然后确定点击新增,增加一个VPN通道3、 这样就添加了一个VPN 条目,可以允许Client 端拔入。
***一个条目可以允许多个用户使用;当然,也可建立其他的条目,以供不同的用户使用!Windows 用户端的设置 Win98用户:1、 确定通过任何一种形式上网(包括:PSTN/ISDN/ADSL/DDN/FTTB+LAN ,或是单机,或是通过路由器连上Internet )2、 先给win98用户加一“Mircosoft 虚拟专用网络适配器”,此设备为VPN 专用。
VPN安全网络建设方案
VPN安全网络建设方案一、需求概述上海xxxxx(因涉及公司内部信息不能写出公司实名)有限公司主要从事游戏制作;美术;动画;程序以及测试等,主要针对次世代游戏,网游,PC以及手掌式游戏平台,具有独立的法人资格的公司。
,公司在台湾等地建立了自己的合作公司,总公司和合作公司公司之间如何进行快速的数据交流,把数据汇总到总公司,同时上各分支机构内部如何进行更有效的管理才能提高工作效率,避免由于信息系统的不合理利用造成工作效率的低下已经提到日程上来。
随着业务的不断发展,总部、合作公司需要实现网络平台上充分的互联互通,并由此搭建一个信息共享、业务互动,系统的、先进的、安全的信息平台,使整个企业的效率得到进一步提升,并且同步进行防沉迷系统的测试。
同时随着企业网络的不断扩大与信息化的加强,企业对内部信息的安全性要求更高,对内部员工利用网络的可管理性要求更强,以提高网络的安全性和员工利用网络的合理性。
针对公司为满足内部网络安全性的要求和合作公司的需求,提出以下可行性方案建议。
具体内容如下:二、适用环境上网方式:公司为2M中国电信的动态IP的ADSL上网VPN结构:分为总公司、合作公司两种模式硬件平台:Vigor平台三、项目需求分析VPN方案的优点:1.在分支点和总部之间建立一条“虚拟隧道”,数据在发送到公网前被加密,实现了和专线一样的安全性能。
2.不需要专门的通讯线路,只要借助普通的Internet接入线路就能实现连接,价格低廉。
鉴于现在公司一般都接入了Internet,用VPN实现网络互连安全无需任何额外的费用。
Vigor VPN方案的优点:1. 支持标准的PPTP,L2TP,IPSec VPN连接,兼容各种VPN设备。
2. 支持单机接入和局域网到局域网两种模式,既可以让远程单个员工接入公司网络,也可以将两个分支机构互连起来。
3. 支持各种加密/认证方式,全面保障网络安全4. Vigor VPN路由器高度集成性,还能够做到无线/宽带共享/VoIP/VPN 一体化。
VPN接入解决方案
第一章SSL VPN接入解决方案根据******移动用户接入实际情况,我们采用华盾SSL VPN系列产品提供整体网络安全互联解决方案,解决其所面临的网络互访、传输保密、用户认证、安全防护、网络访问控制等问题。
1.1VPN解决方案SSL VPN配置方案如下描述:1.在总部Internet出口处安装华盾VPN280SSL安全网关,其接入方式为采用路由模式。
另外,还可以在SSL VPN网关上开启防火墙、入侵检测和防御、内容过滤、带宽管理等安全功能,根据实际需要设置各个功能模块的具体安全防护策略,以确保中心本地网络免受各种外来威胁。
华盾VPN280SSL网关最大可支持2000并发用户,完全满足目前应用及以后扩展的需求;2.在网关上根据不同用户的划分可以对用户进行角色和组的权限设定,这种设定可以细致的划分每一个用户的访问权限,即可指定某用户在指定时间访问指定服务器的指定端口,从而保证了内网服务器的安全性;同时,为了保护内网服务器的安全,管理员还可以指定用户必须安装指定的安全防护软件才能访问内网服务器,这样进一步对内网进行防护;3.移动用户要访问内网服务器时,仅需打开浏览器,输入公开的服务器地址及自己的用户名口令(或者直接用证书的形式访问,免除输入用户名口令的麻烦),即可访问授权的内部资源,由于各种访问资源的权限已经由管理员设定好,用户可以直接点击资源连接进行访问;4.对于管理员的操作及用户的访问,华盾VPN网关提供详细的日志查询功能(包括管理员、用户及服务器),可以很容易的看到各种状态。
还可以在线管理(禁用,踢下线)用户,日志为标准Syslog格式,可导入其他日志查看器查看。
5.使用华盾SSL VPN实现的远程接入如下图所示:图4.1 SSL VPN网络结构通过部署华盾SSL VPN设备组建的企业移动办公网络,网络结构简单,维护成本低,用户只需使用浏览器就可以做到安全的连接网络,并能针对不同的用户,给予不同的应用权限。
政府应用VPN方案建议书
政府应用VPN建设方案上海冰峰网络技术有限公司Iceflow Computer Network Technology Co., Ltd.一. 前言 (3)1. VPN简介 (3)2. VPN作用 (4)二. 客户现状和需求 (4)三. 网络技术比较 (5)1. 安全性比较 (5)2. 费用比较 (6)3. 灵活性比较 (6)四. ICEFLOW优势 (7)1. 安全性优势 (8)2. 稳定性优势 (9)3. 性能优势 (10)4. 可管理性优势 (10)5. 扩展性优势 (11)6. 灵活性优势 (11)7. 性价比优势 (11)五. ICEFLOW方案 (12)1. 方案概述 (12)2. 网络架构 (12)3. 网络拓扑图 (13)4. 其它需求分析 (13)六. ICEFLOW主要功能 (13)七. 售后服务 (14)八. 部分用户 (14)九. 系统报价(根据具体公司需求确定) ....................................................... 错误!未定义书签。
一. 前言在信息时代的今天,以Internet为主体的信息高速公路迅速铺开,其正以前所未有的速度和能力改变着人们的学习、工作及生活方式,我们正处于一个信息爆炸的时代。
网络技术迅猛发展,网络的规模越来越大。
从局域网、广域网到全球最大的互联网Internet,从封闭式的、自成体系的网络系统环境到开放式的网络系统环境,这一切无不说明人们在面临着网络技术迅猛发展的同时,也面临着对网络建设的挑战。
如何根据自身需求规划、设计网络系统,选择什么样的网络系统、拓扑结构、服务器、客户机、网络操作系统和数据库软件,由哪些供应商提供以上所说的网络系统的软硬件支持,如何开发网络上的应用系统,使其充分发挥网络系统的作用,取得应有的经济效益,这已不仅涉及简单的部件组合,而且需要技术和管理知识有机结合起来,其已成为当前网络建设中亟待解决的问题。
vpn安全接入基本要求与实施指南
vpn安全接入基本要求与实施指南下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!VPN安全接入基本要求与实施指南随着网络安全的日益重要,许多公司开始关注VPN安全接入的问题。
XX单位VPN网络安全互连解决方案-单线路接入
XX单位VPN网络安全互连解决方案目录1.网络现状和用户需求 (3)1.1.网络现状 (3)1.2.现有组网方式的问题 (3)1.3.用户需求 (4)2.VPN网络设计原则 (6)3.系统设计 (7)3.1.VPN系统部署 (7)3.1.1.总部网络VPN系统部署 ............................................................................... 错误!未定义书签。
3.1.2.分支机构VPN系统部署 ............................................................................... 错误!未定义书签。
3.1.3.移动办公网点VPN系统部署 ....................................................................... 错误!未定义书签。
3.1.4.全网VPN系统部署示意图 ........................................................................... 错误!未定义书签。
3.2.功能分析................................................................................................................. 错误!未定义书签。
3.3.性能分析................................................................................................................. 错误!未定义书签。
3.4.VOIP和视频会议增值解决方案 (14)3.5.安达通VPN全网网络管理方案............................................................................. 错误!未定义书签。
VPN网络安全接入方案建议书
VPN网络安全接入方案建议书目录第一章网络安全思想概述 (2)1.1 前言 (2)1.2 威胁来自何处 (2)1.3 防火墙简介 (3)1.4 安全网络 (5)1.5 虚拟专用网VPN (5)1.5.1 如何构筑虚拟专用网VPN (6)1.5.2 安装和配置VPN (9)第二章用户总体需求分析 (9)第三章网络安全解决方案 (10)3.1 防火墙安全方案 (10)3.2 XX网络安全解决方案描述 (11)3. 3 VPN网的建立 (12)第四章、Hillstone山石网科介绍 (13)3.4.1 产品功能及特点 (13)3.4.2 访问控制 (15)3.4.3 管理 (16)3.4.4 产品适用范围 (16)第一章网络安全思想概述1.1 前言随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。
而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切。
Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。
来自企业内部和外部的非法访问和恶意入侵事件时有发生,并呈不断上升的趋势。
这不仅影响了计算机网络系统的实际应用,而且还极大地动摇了用户的信心。
“我们能使用计算机来处理我们的重要信息吗”。
1.2 威胁来自何处面对汹涌而来的信息技术革命,如何保证计算机网络信息系统的安全,保护自己不受安全隐患的威胁,并且有效的管理、合理地使用网络信息资源,已成为每一个企业所关心的迫切问题。
电子商务、网上银行等网上商务活动的急剧增长对网络信息系统的安全提出了更迫切的要求。
我们认为,计算机网络信息系统的安全问题主要来源于以下几个方面:●非法入侵:包括来自企业内部和外部的非法入侵,导致数据的丢失和泄密、系统资源的非法占有等;●计算机病毒:导致系统的性能下降甚至崩溃,系统数据的丢失等;●拒绝服务攻击:非法占用系统资源,导致系统服务停止甚至崩溃;计算机网络信息系统安全威胁的另一个来源是:人们通常将网络系统作为一项技术或工程来实施,缺乏统一的安全管理策略和专门的网络安全管理人才。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
VPN网络安全接入方案建议书目录第一章网络安全思想概述 (2)1.1 前言 (2)1.2 威胁来自何处 (2)1.3 防火墙简介 (3)1.4 安全网络 (5)1.5 虚拟专用网VPN (5)1.5.1 如何构筑虚拟专用网VPN (6)1.5.2 安装和配置VPN (9)第二章用户总体需求分析 (9)第三章网络安全解决方案 (10)3.1 防火墙安全方案 (10)3.2 XX网络安全解决方案描述 (11)3. 3 VPN网的建立 (12)第四章、Hillstone山石网科介绍 (13)3.4.1 产品功能及特点 (13)3.4.2 访问控制 (15)3.4.3 管理 (16)3.4.4 产品适用范围 (16)第一章网络安全思想概述1.1 前言随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。
而Internet在世界范围内的迅速普及,使企业内部网络联入世界范围的Internet的要求越来越迫切。
Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。
来自企业内部和外部的非法访问和恶意入侵事件时有发生,并呈不断上升的趋势。
这不仅影响了计算机网络系统的实际应用,而且还极大地动摇了用户的信心。
“我们能使用计算机来处理我们的重要信息吗”。
1.2 威胁来自何处面对汹涌而来的信息技术革命,如何保证计算机网络信息系统的安全,保护自己不受安全隐患的威胁,并且有效的管理、合理地使用网络信息资源,已成为每一个企业所关心的迫切问题。
电子商务、网上银行等网上商务活动的急剧增长对网络信息系统的安全提出了更迫切的要求。
我们认为,计算机网络信息系统的安全问题主要来源于以下几个方面:●非法入侵:包括来自企业内部和外部的非法入侵,导致数据的丢失和泄密、系统资源的非法占有等;●计算机病毒:导致系统的性能下降甚至崩溃,系统数据的丢失等;●拒绝服务攻击:非法占用系统资源,导致系统服务停止甚至崩溃;计算机网络信息系统安全威胁的另一个来源是:人们通常将网络系统作为一项技术或工程来实施,缺乏统一的安全管理策略和专门的网络安全管理人才。
而且,网络信息系统的安全环境是非常复杂并且不断变化的,但相当多的系统管理员只将精力集中于帐户的维护、系统日志审查和网络规范的设计及调整上面,很少有人去研究网络安全状态的发展变化、计算机入侵手段、系统安全防范措施、安全策略,甚至更少有时间去监控网络的实际活动状态、入侵迹象或系统的错误使用记录等,这就导致了网络系统实际的安全状态和预期标准之间相差很远。
最终用户只期望尽快使用网络,最大限度地获取有效的信息资源,但很少考虑此过程中实际的风险和低效率。
他们侧重于类似Netscape Navigator、Internet Explorer、Word、PowerPoint等应用软件的操作上面,很少接受如网络攻击、信息保密、人为破坏系统和篡改敏感数据等有关安全知识的培训。
因此,从本质上来说,计算机信息系统的安全威胁都是利用了系统本身存在的安全弱点,而系统在使用、管理过程中的误用和漏洞更加剧了问题的严重性。
网络系统的安全性包括有●网络访问的控制●信息访问的控制●信息传输的保护●安全攻击的检测和反应●文件病毒的防备●灾难防备计划如何才能快捷地访问外部网络,同时又能有效地保护内部局域网的安全----防火墙是实现网络安全的有效产品。
在内部网络和外部网络之间合理有效地使用防火墙成为网络安全的关键。
1.3 防火墙简介对计算机网络信息资源安全、可靠、有效的的存取控制是信息系统安全的一个重要组成部分,而各种防火墙设备则提供了对企业网络资源的强有力的保护。
防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信实施监控,而这种实时监控建立在统一的企业安全策略之上,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
防火墙最基本的监控标准是服务、用户和资源等。
从历史上来说,防火墙的发展经历了四代,即:包过滤防火墙(Packet Filtering),代理防火墙(Proxy),状态检测防火墙(Stateful Inspection),混合型防火墙(同时才用应用代理与状态检测技术)。
(1)包过滤防火墙在互联网络这样的TCP/IP网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的IP地址和接收者的IP地址信息。
当这些信息包被送上互联网络时,路由器会读取接收者的IP并选择一条合适的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装还原。
包过滤式的防火墙会检查所有通过的信息包头部的IP地址,并按照管理员所给定的过滤规则进行过滤。
如果对防火墙设定某一IP 地址的站点为不适宜访问的话,从这个地址来的所有信息都会被防火墙屏蔽掉。
包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常做为第一道防线。
但包过滤路由器通常没有用户的访问日志,这样就不能得到入侵者的攻击记录。
(2)应用级网关应用级网关也就是通常我们提到的代理服务器,如Microsoft Proxy Server、Netscape Proxy Server、Squid和Wingate等等。
它适用于特定的互联网服务,如超文本传输(HTTP),远程文件传输(FTP)等等。
代理服务器通常运行在两个网络之间,它对于客户来说象是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。
当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合控制规则的规定,如果规则允许用户访问该站点的话,代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。
代理服务器通常都拥有一个高速缓存,这个缓存存储有用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。
代理服务器会象一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的IP地址等。
应用级网关比单一的包过滤更为可靠,而且会详细地记录所有的访问状态信息。
但是应用级网关也存在一些不足之处,首先它会使访问速度变慢,因为它不允许用户直接访问网络,而且应用级网关需要对每一个特定的服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件,更不幸的是,并不是所有的互联网应用都可以使用代理服务器。
(3)状态监测防火墙这种防火墙具有非常好的安全特性,它使用了一个在网关上执行安全策略的软件模块,称之为监测引擎。
监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。
监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。
与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
一旦某个访问违反安全规定,就会被拒绝,并报告有关状态作日志记录。
状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。
这种防火墙无疑是非常坚固的,但它对网络的速度有一定影响,而且配置也比较复杂,好在有关防火墙厂商已注意到这一问题,如Hillstone公司的防火墙产品Hillstone产品系列,它所有的安全策略规则都可以通过面向对象的图形用户界面(GUI)来定义的,简化了配置过程。
防火墙的生产厂商们已在他们的产品中加入了更多的新技术来增加产品的竞争力。
网络应用的内容安全,如在网关上对计算机病毒进行实时的扫描和防护便是最新加入防火墙的功能。
根据国际计算机安全协会(ICSA)的一份报告,在1996年有23%的病毒感染是由Email引起的。
某些防火墙产品已能够监测通过HTTP,FTP,SMTP等协议传输的已知病毒。
1.4 安全网络一个安全的网络系统应包括以下几个方面:(1)访问控制实施企业网与外部、企业内部不同部门之间的隔离。
其关键在于应支持目前Internet中的所有协议,包括传统的面向连接的协议、无连接协议、多媒体、视频、商业应用协议以及用户自定义协议等。
(2)普通授权与认证提供多种认证和授权方法,控制不同的信息源。
(3)内容安全对流入企业内部的网络信息流实施内部检查,包括URL过滤等等。
(4)加密提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传输。
(5)网络设备安全管理目前一个企业网络可能会有多个连通外界的出口,如连接ISP的专线、拨号线等,同时,在大的企业网内不同部门和分公司之间可能亦会有由多级网络设备隔离的小网络。
根据信息源的分布情况,有必要对不同网络和资源实施不同的安全策略和多种级别的安全保护,如可以在防火墙上实施路由器、交换机、访问服务器的安全管理。
(6)集中管理实施一个企业一种安全策略,实现集中管理、集中监控等。
(7)提供记帐、报警功能实施移动方式的报警功能,包括E-mail、SNMP等。
1.5 虚拟专用网VPNEXTRANET和VPN是现代网络的新热点。
虚拟专用网的本质实际上涉及到密码的问题。
在无法保证电路安全、信道安全、网络安全、应用安全的情况下,或者也不相信其他安全措施的情况下,一种行之有效的办法就是加密,而加密就是必须考虑加密算法和密码的问题。
考虑到我国对密码管理的体制情况,密码是一个单独的领域。
对防火墙而言,是否防火墙支持对其他密码体制的支持,支持提供API来调用第三方的加密算法和密码,非常重要。
1.5.1 如何构筑虚拟专用网VPN企业利用Internet构筑虚拟专用网络(VPN),意味着可以削减巨额广域网成本,然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。
削减广域网成本,吸引新客户,这是当今每一位企业主管的求胜之路。
但是涉及到Internet,企业有得又有失,比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。
相比之下VPN比租用专线的费用低近80%,而且可以将Internet上的多个网站连接起来,使企业接触新的企业伙伴和客户。
1)明确远程访问的需求首先企业要明确需要与哪种WAN连接,用户是通过LAN/WAN还是拨号链路进入企业网络,远程用户是否为同一机构的成员等问题。
WAN的连接有两类:内联网连接和外联网连接。
内联网连接着同一个机构内的可信任终端和用户,这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。