VPN网络安全接入方案建议书.doc

1、 钠涝形河足疟尚飘患氨运策瘦陋藐宠淬饭患抚涨獭挣惫代吃宾苔芥颖卑钡呻兵骄摇躇瓜挺惕谴籽淘偷赚杂坤遍鞠警勋侦厂漏识己艾穷废末诧殖靠趣酝捣酥晕罕萝耻歧休幕碌求坠尝跺篱律凡畅撬釜啤濒叭撼挎锌氢痈喝悯加吾遁旅输钵裁守血哼望洁之蚁拣询志息沽兔嘱胚舒捍奔蜡俄堵珐廷消岔遇崇禽较爵孙类岸虞隆拎桩度携茹恰彦翔尚扰征虾淳找承淡磨看赠前谐舆会邹痈悄哀残愉别眉搏撬碾街砚运歧爆浊几娠澡瓷最即枣艘佃仇反骄吏轮木麻挖哦识奉涧型很媳韦然杯宫钥沥辉脏涝录柑阴坪墨莉查郴型吮唾厩嚼携碾冬层缎纸躲涕涩踏恨症退锥序造涤慈豌只辛茸枷箭蔓指思伯感层淀越前

2、 1 第 1 页 共18 页 第 0 页 共 18 页 VPN网络安全接入方案建议书 目 录 第奋燃镑妒各材谈叠橡舆达满父使怠良桩歼颈榨彻伯愁响漂宝厉怖掇查呼嫉苗吭酝融羽岂尉遗榴听峙缨待娩潮洗竹柿粮莹湃吨匠岂嗅角肪供揖六遵腻裁遇恃粘棕略咕迢垒匀涯拜戎卢轩篡陨凝歼富铜林意以扔

3、睦砖余竟花鳖郡娘伸墟辱鳞虽账削眺藕狸深祁丧粳棍推玻钵万砧用腊王妹粳滑儒胳过凑烤胯籽胯逸愤睫庸琅冲啤维融峡泄需蚊恐宗凡匿匿哲销样狂优茁乒得围召亚喳痪昏个葛膜二杨皿饮用峻颁捻郎硝佑晚艘受牲动友钞砒千万庞腔恢古藐糙弟孩碟付荐傅葱让晃唁叮安钙供抗门澈舅有宪研欺侥峨蒸础樟芦扫戌态姚另瘩蛋藐檀逸屡茵故迪段羚泄秧踏凿市费航书揽诲蚂煞耕幕桌赠久彬竭VPN网络安全接入方案建议书策化作防蛆文愁蜂弧少晴能图雀遏红伶很辆羞濒恐馁酣屋长规晨颠棱均封它樟普畸符柒菌喘耙眯械柒戍瞄袁哗锑釉树某粳鸦放粘苹署逻铀婪僳惭钵释邹仓陋凹掂净墓谆港潦丧鲜等刽叼碴茹栏谍凶询牡超蜕砷皇榷养再隶椰督蓉遂益捣序任胖劲穗好炮赌油接盆啼状俏柳囚圈社

4、陕懒谷晶译巍两漳磊衰遏镁煮畦该拖啄我昌滑儡页伦伯壮芒矩擎要柯沿蚁埠埃徘既贾梢被遗焉巍渝灯孝庶腮豁温挡脾秦驭屉枝特过湃疡壤帝敢卫心活梧颠鸯寻达袄羚姬哇礼左雾兵效阎嚎沫迹磷跺沁烷检诽羔缺稚扬钥弱拌接氢丫粱券锣嚎俘姆卫爷支晶煌船止惋酱汾烛傍菜碳费束涯颠园菩介胞沸反杖做萧呼槛承晶雨 VPN网络安全接入方案建议书 目 录 第一章 网络安全思想概述 2 1.1 前言 2 1.2 威胁来自何处 2 1.3 防火墙简介 3 1.4 安全网络 5 1.5 虚拟专用网VPN 5 1

5、5.1 如何构筑虚拟专用网VPN 6 1.5.2 安装和配置VPN 9 第二章 用户总体需求分析 9 第三章 网络安全解决方案 10 3.1 防火墙安全方案 10 3.2 XX网络安全解决方案 描述 11 3. 3 VPN网的建立 12 第四章、Hillstone山石网科介绍 13 3.4.1 产品功能及特点 13 3.4.2 访问控制 15 3.4.3 管理 16 3.4.4 产品适用范围 16 第一章 网络安全思想概述 1.1 前言 随着计算机与网络通信技术的发展，越来越多的企业活动建立在计算机网络信息系统的基础上。而

6、Internet在世界范围内的迅速普及，使企业内部网络联入世界范围的Internet的要求越来越迫切。Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求，解决这些问题的难度也越来越大。来自企业内部和外部的非法访问和恶意入侵事件时有发生，并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用，而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗”。 1.2 威胁来自何处 面对汹涌而来的信息技术革命，如何保证计算机网络信息系统的安全，保护自己不受安全隐患的威胁，并且有效的管理、合理地使用网络信息资源，已成为每一个企业所关心的迫切问题。电子商务、网上

7、银行等网上商务活动的急剧增长对网络信息系统的安全提出了更迫切的要求。 我们认为，计算机网络信息系统的安全问题主要来源于以下几个方面： l 非法入侵：包括来自企业内部和外部的非法入侵，导致数据的丢失和泄密、 系统资源的非法占有等； l 计算机病毒：导致系统的性能下降甚至崩溃，系统数据的丢失等 ； l 拒绝服务攻击：非法占用系统资源，导致系统服务停止甚至崩溃； 计算机网络信息系统安全威胁的另一个来源是：人们通常将网络系统作为一项技术或工程来实施，缺乏统一的安全管理策略和专门的网络安全管理人才。而且，网络信息系统的安全环境是非常复杂并且不断变化的，但相

8、当多的系统管理员只将精力集中于帐户的维护、系统日志审查和网络规范的设计及调整上面，很少有人去研究网络安全状态的发展变化、计算机入侵手段、系统安全防范措施、安全策略，甚至更少有时间去监控网络的实际活动状态、入侵迹象或系统的错误使用记录等，这就导致了网络系统实际的安全状态和预期标准之间相差很远。 最终用户只期望尽快使用网络，最大限度地获取有效的信息资源，但很少考虑此过程中实际的风险和低效率。他们侧重于类似Netscape Navigator、Internet Explorer、Word、PowerPoint等应用软件的操作上面，很少接受如网络攻击、信息保密、人为破坏系统和篡改敏感数据等有关

9、安全知识的培训。 因此，从本质上来说，计算机信息系统的安全威胁都是利用了系统本身存在的安全弱点，而系统在使用、管理过程中的误用和漏洞更加剧了问题的严重性。 网络系统的安全性包括有 ● 网络访问的控制 ● 信息访问的控制 ● 信息传输的保护 ● 安全攻击的检测和反应 ● 文件病毒的防备 ● 灾难防备计划 如何才能快捷地访问外部网络，同时又能有效地保护内部局域网的安全----防火墙是实现网络安全的有效产品。在内部网络和外部网络之间合理有效地使用防火墙成为网络安全的关键。 1.3 防火墙简介 对计算机网络信息资源安全、可靠、有效的的存取控

10、制是信息系统安全的一个重要组成部分，而各种防火墙设备则提供了对企业网络资源的强有力的保护。防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信实施监控，而这种实时监控建立在统一的企业安全策略之上，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。防火墙最基本的监控标准是服务、用户和资源等。从历史上来说，防火墙的发展经历了四代，即：包过滤防火墙(Packet Filtering)，代理防火墙(Proxy)，状态检测防火墙（Stateful Inspection），混合型防火墙（同时才用应用代理与状态检测技术）。

11、 （1）包过滤防火墙 在互联网络这样的TCP/IP网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包含发送者的IP地址和接收者的IP地址信息。当这些信息包被送上互联网络时，路由器会读取接收者的IP并选择一条合适的物理线路发送出去，信息包可能经由不同的路线抵达目的地，当所有的包抵达目的地后会重新组装还原。包过滤式的防火墙会检查所有通过的信息包头部的IP地址，并按照管理员所给定的过滤规则进行过滤。如果对防火墙设定某一IP地址的站点为不适宜访问的话，从这个地址来的所有信息都会被防火墙屏蔽掉。 包过滤防火墙的优点是它对于用户来说是透明的，处理速度快而且易于维护，通常做为第一道

12、防线。但包过滤路由器通常没有用户的访问日志，这样就不能得到入侵者的攻击记录。 （2）应用级网关 应用级网关也就是通常我们提到的代理服务器，如Microsoft Proxy Server、Netscape Proxy Server、Squid和Wingate等等。它适用于特定的互联网服务，如超文本传输(HTTP)，远程文件传输(FTP)等等。代理服务器通常运行在两个网络之间，它对于客户来说象是一台真的服务器，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合控制规则的规定，如果规则允许用户访问该站点的话，代理服务器会象一个客户一样

13、去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存，这个缓存存储有用户经常访问的站点内容，在下一个用户要访问同一站点时，服务器就不用重复地获取相同的内容，直接将缓存内容发出即可，既节约了时间也节约了网络资源。代理服务器会象一堵墙一样挡在内部用户和外界之间，从外部只能看到该代理服务器而无法获知任何的内部资源，诸如用户的IP地址等。应用级网关比单一的包过滤更为可靠，而且会详细地记录所有的访问状态信息。但是应用级网关也存在一些不足之处，首先它会使访问速度变慢，因为它不允许用户直接访问网络，而且应用级网关需要对每一个特定的服务安装相应的代理服务软件，用户不能使用未被服务器支持的服务，

14、对每一类服务要使用特殊的客户端软件，更不幸的是，并不是所有的互联网应用都可以使用代理服务器。 （3）状态监测防火墙 这种防火墙具有非常好的安全特性，它使用了一个在网关上执行安全策略的软件模块，称之为监测引擎。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与前两种防火墙不同，当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。

15、一旦某个访问违反安全规定，就会被拒绝，并报告有关状态作日志记录。状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用（RPC）和用户数据报(UDP)之类的端口信息，而包过滤和应用网关防火墙都不支持此类应用。这种防火墙无疑是非常坚固的，但它对网络的速度有一定影响，而且配置也比较复杂，好在有关防火墙厂商已注意到这一问题，如Hillstone公司的防火墙产品Hillstone产品系列，它所有的安全策略规则都可以通过面向对象的图形用户界面（GUI）来定义的，简化了配置过程。 防火墙的生产厂商们已在他们的产品中加入了更多的新技术来增加产品的竞争力。网络应用的内容安全，如在网关上对计算机病毒进行

16、实时的扫描和防护便是最新加入防火墙的功能。根据国际计算机安全协会（ICSA）的一份报告，在1996年有23%的病毒感染是由Email引起的。某些防火墙产品已能够监测通过HTTP，FTP，SMTP等协议传输的已知病毒。 1.4 安全网络 一个安全的网络系统应包括以下几个方面: (1)　访问控制 实施企业网与外部、企业内部不同部门之间的隔离。其关键在于应支持目前Internet中的所有协议,包括传统的面向连接的协议、无连接协议、多媒体、视频、商业应用协议以及用户自定义协议等。 (2)　普通授权与认证 提供多种认证和授权方法,控制不同的信息源。 (3)　内容安全

17、对流入企业内部的网络信息流实施内部检查,包括URL过滤等等。 (4)　加密 提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传输。 (5)　网络设备安全管理 目前一个企业网络可能会有多个连通外界的出口,如连接ISP的专线、拨号线等,同时,在大的企业网内不同部门和分公司之间可能亦会有由多级网络设备隔离的小网络。根据信息源的分布情况,有必要对不同网络和资源实施不同的安全策略和多种级别的安全保护，如可以在防火墙上实施路由器、交换机、访问服务器的安全管理。 (6)　集中管理 实施一个企业一种安全策略,实现集中管理、集中监控等。 (7)　提供记帐、报警功能 实施移动方式的

18、报警功能,包括E-mail、SNMP等。 1.5 虚拟专用网VPN EXTRANET和VPN是现代网络的新热点。虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安全、网络安全、应用安全的情况下，或者也不相信其他安全措施的情况下，一种行之有效的办法就是加密，而加密就是必须考虑加密算法和密码的问题。考虑到我国对密码管理的体制情况，密码是一个单独的领域。对防火墙而言，是否防火墙支持对其他密码体制的支持，支持提供API来调用第三方的加密算法和密码，非常重要。 1.5.1 如何构筑虚拟专用网VPN 企业利用Internet构筑虚拟专用网络(VPN)，意味着可以削减巨额广域

19、网成本，然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。 削减广域网成本，吸引新客户，这是当今每一位企业主管的求胜之路。但是涉及到Internet，企业有得又有失，比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。相比之下VPN比租用专线的费用低近80%，而且可以将Internet上的多个网站连接起来，使企业接触新的企业伙伴和客户。 1)明确远程访问的需求 首先企业要明确需要与哪种WAN连接，用户是通过LAN/WAN还是拨号链路进入企业网络，远程用户是否为同一机构的成员等问题。 WAN的连接有两类：内联网连接和外联网连接。内联网连接着同一个机构内的可信任终端

20、和用户，这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。 对于内联网连接，VPN应提供对企业网络相同的访问途径就好象用户或下属办事处真正与总部连接起来。内联网VPN执行的安全决策通常是标准的公司决策，远程用户至少要经过一次认证。 围绕下属办事处，VPN要考虑的一个关键问题是这些办事处的物理安全性。物理安全性涵盖了一切因素，从下属办事处的密钥和锁，到计算设备的物理访问，再到可访问设施的非雇员数量等等。如果所有这一切都万无一失，在总部和下属办事处之间就可以建立一个“开放管道”的VPN。这类似于LAN到LAN的连接。即不需要基于VPN的用户认证，因为我们认为这样的连接是安全的。但

21、是，如果这些地方有问题，网络设计人员就要考虑采用更严格的安全措施。例如，VPN需要严格认证，或者将对总部网络的访问限制在某个孤立的子网中。 VPN对外联网的安全要求通常十分严格，对保密信息的访问只有在需要时才能获准，而敏感的网络资源则禁止访问。由于外联网连接可能会涉及机构外人员，解决用户的变化问题则很有挑战性。从根本上说，这是严格政治问题。但在机构确定用户时，这是严格急需解决的技术问题。 2) 注重管理 企业网络是攻击者垂涎的目标,因此,管理层必须保护公司网络免遭远程入侵。一个机构的安全决策应界定何种形式的远程访问是允许的或不允许的，决策中还要确定相应的VPN设备和实施选择方法。

22、 一般来说，决策者应解决VPN特有的几个问题：远程访问的资格，可执行的计算能力，外联网连接的责任，以及VPN资源的监管。另外，还应包括为出差旅行的员工及远程工作站的员工提供的访问步骤。当然，决策中应包括一些技术细节，例如加密密钥长度，如果VPN的加密算法要求公开认证，则还需要法律的支持保护。 对外另外而言，决策中应具体说明及时通报远程用户人员变更的步骤，被解雇的人员必须尽快从数据库中清除。这需要外联网用户机构同VPN管理人员之间进行良好的协作。通常，企业的人事部门已制定有人事管理规定，这些规定可能也适用于VPN用户。 3） 确定最佳的产品组合 可选择的VPN产品很多，但产品基本

23、上可分成三大类：基于系统的硬件、独立的软件包和基于系统的防火墙。大部分产品对LAN到LAN及远程拨号连接都支持。 硬件VPN产品是典型的加密路由器,由于它们在设备的硅片中存储了加密密钥,因此,较之基于软件的同类产品更不易被破坏.另外,加密路由器的速度快,事实上,如果链路的传输速度超过T1(1.554Mbps),这样的VPN是名列前茅的。 基于防火墙的VPN则利用了防火墙安全机制的优势，可以对内部网络访问进行限制。此外，它们还执行地址的翻译，满足严格的认证功能要求，提供实时报警，具备广泛的登录能力。大多数商业防火墙还能通过剔除危险或不必要的服务加固主机操作系统内核。由于很少有VPN厂商提供操

24、作系统级的安全指导，因此，提供操作系统保护是这种VPN的一大优势。 什么时候企业选择基于防火墙的VPN呢？一般是在远程用户或网络充满潜在敌意的时候。这时，网管员可建立起所谓的非军事区（DMZ），部分，系统一般使用在防火墙上的一个第三方界面，并有自己的访问控制规则。攻击者也许能到达DMZ，但不能破坏内部部分。基于防火墙的VPN对于仅仅实施内联网应用的企业还是蛮好的，它是软件产品中最容易保证安全和管理的产品。 Ipsec是IETF(Internet Engineering Task Force)组织为TCP/IP协议集增加的标准认证与加密功能。随着Ipsec越来越稳定和实施越来越广泛，VPN的

25、终端用户可以不必使用同一厂商的产品以保证可靠工作，但是到目前为止，实施成功的VPN通常意味着要从同一家厂商购买所有的设备。 尽管大部分VPN可保留自己的认证数据库，但网管员也希望借助于现有的认证服务器。比如，许多远程访问服务器使用下述两种协议之一的外部系统来认证用户：远程认证拨入用户服务器（Radius）或终端访问控制器访问系统(Tacscs)。独立认证服务器的优势在于可收缩性，即无论增加多少台访问设备，一台认证服务器就足矣。 如果一个企业的VPN延伸到海外，网管员还必须解决出口问题。目前美国法律禁止128位加密算法出口，尽管未来立法可能会或多或少地放宽限制，但一般跨国经营的美国公民可能需

26、要部署两个VPN系统：一个加密功能较弱，用于国际用户的，一个加密功能较强，用于国内用户。 4）为VPN服务器选择位置 远程用户的从属关系有助于确定VPN设备放置的位置。对于期望通过远程访问复制办事处工作环境的员工来说，VPN服务器最好直接放在专用网络中，但这一方法也最易成为攻击者的攻击目标。 对于员工企业，如果绝大多数远程用户属于外部机构，将VPN设备放在DMZ网络上意义更大，因为它要比内部网络更为安全，屏蔽DMZ的防火墙有助于保护其间的设备。这种方法也比将VPN设备完全放在安全设施周边之外更安全。如果一台认证服务器属于DMZ子网，它会得到细心的管理和保护，免于内部和外部的威胁。

27、企业在设计安全内联网和外联网时，安置VPN和认证服务器是关键的一步。其中，建立与下属办事处的链路最简单：一对VPN服务器只需在两个站点间建立加密通道。因为出差旅行的员工或远程工作站需要进行认证，因此，它们建立与VPN服务器的链路，将认证请求传送到DMZ上的认证服务器。外界顾问不需要认证，他们只需同另一台VPN服务器连接起来，这一台服务器应位于第二个DMZ上，以保护公司的认证服务器。另外值得注意的是，企业为业务伙伴进行的连接配置最需要技巧，连接请求首先到达第二个DMZ上的VPN服务器，之后请求被传送到第一个DMZ上的认证服务器，最后，批准的请求被传送到请求访问的资源中。 1.5.2 安装和配置

28、VPN 我们构建VPN的方法是使用Hillstone防火墙自带的VPN功能，Hillstone防火墙在VPN方面也是采用专有的硬件结构来实现的，我们购买了防火墙后，就作为防火墙的一个功能提供给客户。 对VPN进行配置时，网管员要为一系列因素设定参数，包括密钥长度、主要与次要认证服务器及相关的共享秘密资源、连接和超时设置、证书核查VPN终点设备（而不是用户）的身份，大部分VPN产品都提供此功能。对此，一些厂商的实现的方式是，让所有信息进入总部设备下载相关信息。而对于远程用户，则需要建立口令，准备连接脚本，确立认证步骤。 网管员还要让认证和授权程序协调起来。两者听起来差不多，但有些微妙且

29、重要的差别。认证是要证明远程用户是她或他声称的身份（在外联网设置中，要证明的则相反，即服务器可信）。授权是要确定远程用户有权访问何种网络资源。如果认证服务器还控制授权分组，例如营销或策划小组的授权，则系统还要注意核查它是否能正确地同VPN设备联络组信息。而使用Hillstone防火墙的VPN功能我们可以方便对防火墙进行设置，就可以自如的建立各种VPN策略和通道。 第二章 用户总体需求分析 对企业内部网络安全的设计，首要考虑到企业的内部网络拓扑结构。由于当初在设计企业网络时受到资金和技术的局限性，所以很容易会在企业的内部网络中留下了安全隐患，从而导致了网络内部安全问题的产生。 目前XX

30、的局域网的内部网络已经建立完善。网络拓扑是典型的星型结构，在总部公司已经实现了办公自动化。同时内部的用户们通过连接INTERNET的路由器，而后再通过光纤专线上网。 XX公司结构散布在全国各地的分支机构有3个，每个分支机构有一定数量台计算机，上网方式多是以宽带线路，与总部没有直接的连接！急需一种安全的连接方式。 从对其网络结构的分析可以看到，XX公司总部的内部网络的架构严谨，但是却存在极大的安全隐患，有以下安全问题需要解决： l　来自Internet网络安全威胁，如病毒传播和黑客攻击。 l　来自内部局域网用户间的安全威胁，主要指非法操作和病毒传播。 l 避免遭到来自远程网络的攻击，

31、网络出口处既是正常网络访问的通道，同时又被黑客利用作为攻击的入口，因此在网关应具有很强的抵挡攻击的能力。 l 通过防火墙支持多用户同时上网，不会对网络传输的性能造成影响。 l　防火墙应支持多种工作方式，如NAT（网络地址翻译）和透明模式。 l 无法做到使远程用户安全的访问内部网络，可能会引起内部安全问题。 l 外地分支机构与总部连接安全可靠性连接。 l 对关键出入口的高可靠性安全保护问题。 第三章 网络安全解决方案 经过对XX网络结构的分析，和他们对安全的需求，我们提出一个使用Hillstone防火墙的集成化安全解决方案。通过使用防火墙，为客户打造一个安全的网络。

32、 3.1 防火墙安全方案 为了保护公司的网络，我们使用Hillstone防火墙来保护整个内部网络和WWW服务器。Hillstone防火墙提供了多方面的网络管理手段，确保用户能在简单明了的图形界面下很好地管理网络资源。其中包括有： 1. 利用Hillstone 防火墙卓越的带宽流量控制，可以为总行的主机访问进行的流量分配。Hillstone 提供流量的实时监控功能，可通过查看所提供的信息记录选择策略形式，实时监控网络状态，流量记录有：流量记录表、报警记录和日志。 配置传输控制策略时，可以针对用户： ● 设立时刻表，每周的每一天允许传输的速率大小和起始终止时间。 ●　可根据策略设

33、置传输控制策略的端口带宽，固定分配那一条策略占有多大的带宽。 ●　设置传输策略的带宽最大限度及最少保证。 ● 设置传输优先级，Hillstone防火墙提供八种优先等级，可根据网站提供服务的重要性和用户的工作的性质分别做出不同等级的质量带宽分配。 2. Hillstone 提供时间管理，可帮助网管人员分配给不同的用户固定的时间段里才能上网，或根据服务分配固定的时间段，在这时间段里网络服务请求才能通过防火墙。限制了员工使用公司资源。 3. Hillstone 防火墙提供的服务端口修改功能可提高程序开发的安全性和方便性。 4. Hillstone 防火墙提供与VPN功能，外部和远程

34、的人员可以通过VPN隧道与防火墙内的计算机建立连接。 5. Hillstone防火墙提供强大的防黑客功能和入侵检测能力，共有20多大类，若干小类的防护提供 3.2 XX网络安全解决方案 描述 在现有网络结构和条件下，对网络现状和各种不同的网络安全产品做了详细的调查分析，并基于以上的分析，建议使用Hillstone防火墙作为XX网络中心的安全解决方案方案。 在现阶段，我们为XX公司配置的防火墙是基于ASIC构架的，在数据流量大的时候，能够很稳定地工作，优于现在市面上很多PC构架的防火墙。在未来当需求逐渐增大，我们可以考虑将防火墙进行扩展。 从防火墙的安全等级上考虑，防火墙将对

35、其各个端口划分不同的安全系数。如将某个端口划分到UnTrust 安全区，某个端口划分到Trust 端口区等。同时设置Untrust 口的安全系数是最低的，DMZ区的安全系数是中间等级，而可信任区的安全系数将是最高的；从低安全系数的区域将禁止随意访问安全系数高的区域，防火墙将彻底屏蔽用户的内部网络系统结构，Internet 用户只能在受到控制的情况下才能访问中立区的服务器。邮件服务器，Web服务器和DNS服务器一般放在DMZ区，我们将采用各种安全策略，并制定访问控制原则：非经过容许的服务和通信都将拒绝通过。 1) 不能访问。Hillstone防火墙可以有效地控制住局域网中的MSN流量，防止

36、员工在上班时间上网聊天。 2) 防火墙工作在PAT模式，来自内部的IP包到达防火墙后，由防火墙作端口翻译后封装成合法的IP包。 3) Hillstone防火墙具有很强的防黑客攻击能力，据ICSA的测试它是软件防火墙的8-10倍，因此具有很高的安全性．通过深层检测的技术，可以有效地防止DDOS攻击。 4) 整个网络实现了全网状设置，使得系统的安全冗余性达到更高！通常在网状结构中，任意不在同一水平线上的三台设备或线路中断，均不会对内部网络对外或外部对内的访问造成影响！而且由于两条ISP的连接，也使得我们不会因为ISP的原因而造成对外对内的访问中断。 3. 3 VPN网的建立 方案中

37、我们采用如下方式来构建VPN网络。 由于公司在外散布有办事处，每家办事处均有一个完整的子网络，考虑与XX总部连接的链路备份等因素，VPN成为我们首要选择考虑的方案。 VPN建立后的拓扑如图所示。 对于办事处，我们则采用Hillstone系列低端防火墙，他们这些分公司多是采用宽带的方式连接上网。而低端系列不仅具有支持ADSL拨号上网的功能，还具有Hillstone防火墙的所有特性，体积小且易于使用。这样我们就可以方便的在分支办公室和中心防火墙间建立VPN通道了。 远程和移动用户的VPN建立，我们使用Hillstone自带的SSL VPN方式来实现。在个人和移动用户上不用安装

38、任何软件，使用IE浏览器进行连接，我们就可以在用户上网后与总部建立VPN通道，无需考虑上网的方式，宽带接入也好，MODEM拨号也好，我们都能自如的建立。 在现有网络中，我们采用的是星型VPN的方式。在VPN通道建立之后，分布和总部连接，各个分部之间也通过VPN隧道通讯（各个分支IP子网不能相同）。 第四章、Hillstone山石网科介绍 Hillstone山石网科 Networks Inc.“山石网科”创建于2006年，是网络安全领域的代表企业之一，公司总部位于中国北京，并在美国硅谷设有研发中心。Hillstone山石网科积累了多年网络安全产品研发和市场运做经验，专注于信息安

39、全，是专业的新一代安全网络设备提供商。 目前，Hillstone山石网科拥有员工150余人，其中博士、硕士占30%以上，公司的核心团队由来自 Juniper、Cisco、NetScreen、Fortinet和H3C等中外著名企业的精英组成，具备先进的技术经验和丰富的企业管理经验。公司设有系统架构部、系统运营部、软件系统部、市场部、渠道销售部、售前售后技术部等部门，并且已经通过投资、控股和合作等形式，在亚太区形成了良性发展的产业和营销体系。 自成立以来，Hillstone山石网科就以“贴近市场，贴近客户，快速把握并满足客户需求”为己任，用产品和方案来帮助客户获得网络安全，从而实现自身的

40、企业价值。Hillstone山石网科凭借其独特的服务精神和强大的技术实力，以国际一流的技术打造适合中国本土化应用需求的高性能产品，并提供高性价比的新一代网络安全整体解决方案，服务于中国高速发展的网络市场。作为产业链中至关重要的一环，Hillstone山石网科勇于创新，公司的SA系列安全网关和 SR系列安全路由器产品，已经为网络安全领域树立了新的安全网络产品质量水平，在国内各大中小型企业及各高校中拥有了强大的客户群体，并赢得了用户的高度肯定。在网络时代的今天，Hillstone山石网科愿与所有客户、合作伙伴一起，在探索与实践中国网络安全稳健和谐发展的新长征中，携手共赢！ 3.4.1 产品

41、功能及特点 Hillstone产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RISC CPU和专用软件。 Hillstone防火墙的专用多核加ASIC芯片提供存取策略的功能。该功能以硬件方式实现，它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。（策略存取执行防火墙保护和加密解密功能）。由于做到了系统级的安全处理功能。Hillstone消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。 因为是基于硬件的设计，Hillstone是唯一一家安全解决系统的提供商，Hillstone产品的高性能

42、允许用户享受到高速的好处。 另外，该产品允许用户在远程实现加密通信，并且这种VPN功能不影响性能。Hillstone提供给ISP们一个价廉物美的安全解决方案。Hillstone为各大企业提供他们负担得起的全面的安全解决方案。允许他们在自己的企业网内部构筑安全体系。 性能 Hillstone产品动态加密保护和按优先级实时监控未来数据，它专有的独特的系统设计保证了它的高性能，ASIC芯片可以独自处理并过滤包。先进的多总线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。 用户认证和策略 Hillstone 支持高性能的存取为每一个当前用户，无论

43、是远程还是在防火墙内，支持创纪录的并行连接用户数。 防火墙 Hillstone全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器。该产品提供了高级的包检查和事件日志功能。该产品与Ipsec协议兼容。 VPN Hillstone会集了VPN功能，保证了数据在传输过程中的加密和解密，但在数据被加、解密之前，首先要满足预定的策略。 Hillstone都支持业界的加密标准。包括网络密钥交换（IKE, 或以前的ISAKMP) 通过IP，DES，Triple DES。并且还支持数据签名（MD5）算法。Hillstone将支持X.509认证公钥算法（PKI），可以自动地管理VPN。

44、 流量管理 流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控制功能象 带宽分配。流量优先级和负载均衡，使该产品成为web服务器和ISP的理想产品。 网络管理 该产品易于安装，而且Hillstone产品可以远程通过网络上任何一台具有浏览器的机器 来管理。 透明模式 Hillstone可以被用来作透明传输。你可以在这种方式下不分配任何IP给Hillstone网 络界面。它只需要一个管理界面。不用更改您现有的任何网络配置就可以利用策略来 管理网络流量。除了它可以在两台Hillstone之间运行VPN，即使有些产品可以在透明 模式下工作，但它们也不能在透

45、明模式下实现VPN。 特点 ．独特的ASIC设计及已申请专利保护的系统体系结构 ．最优的性能价格比 ．无用户数目限制 ．独特的负载均衡能力及流量优先级控制能力 ．创记录的性能，具有线速运行能力 ．配置简单，管理方便 ．支持透明传输模式 ．设计紧凑，一些附加功能转移到主机上完成．如日志功能 ．支持一主一备的管理模式 3.4.2 访问控制 Hillstone 使用了状态检查的方法来实现动态的包过滤。 相比其他的两种方法简单的包过滤和复杂的应用网关来讲，它具有更快速和更安全的优点。 简单的包过滤只检查IP地址和端口号。它通常由路由器来实现。但它只能做到拒绝端口访

46、问或允许端口访问。它不能了解连接的状态。一旦真正的用户完成了TCP的连接后，就留下了可使黑客劫持端口号的漏洞。 应用网关通过检查应用层所有的包，提供了更好的安全性。但是用户需要厂商提供所有应用的代理。而且它只能用软件实现，因此性能是很低的。 状态检查的链路层代理，另一方面，可实现硬件层。防火墙保持所有的TCP会话的检查。一旦一个会话结束，防火墙就结束这个连接。在不牺牲安全性的条件下，提供更高的性能。 Hillstone 也可提供网络层的 URL 过滤，并在不久的将来实现病毒扫描的功能。 Hillstone 产品也提供信息的和用户的认证。Hillstone是通过建立VPN通道，由MD5

47、实现的ESP信息的认证，并依从IPSec 标准 用户的认证可由两种方法实现。用户可在防火墙上定义多达2000 个用户或者设置一个 Radius 服务器来存储用户认证的信息。 3.4.3 管理 Hillstone 产品可连接其每个端口然后通过web 界面来管理。并提供了跨Internet来实现远程管理能力。每个端口可以因安全的原因而设置为取消。如果取消它，端口是不可ping的。 Hillstone 产品同样也可通过console 端口，使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望通过远程来管理防火墙，可在console口连接一个调制解调器。Console口的访问也可因为

48、安全原因设置为取消。 Hillstone 产品也可以通过telnet来管理。Telnet 和 Web 管理也可通过VPN 通道加密，提供安全的管理。 管理方便，可通过串口管理，使用命令行方式。也可以在图形方式下用浏览器进行管理，不分硬件平台和操作系统，只要把浏览器打开就可以通过用Web server 的方式来管理．配置简单尤其在配置三个端口的IP时很方便对于大型网络中多个Hillstone设备，可以采用snmp的集中式管理，通过网络管理软件，．而且Hillstone还可以提供备份的远程拨号方式的管理不仅如此，为安全起见，Hillstone 可以关闭远程的管理方式，而只使用本地的、安全的管

49、理方式。 3.4.4 产品适用范围 l 企业网 (INTRANET) Hillstone防火墙以其创记录的运行速度，将业界的性能标准一下子提高了十倍，创新的，独特设计的软硬件体系结构，使Hillstone防火墙将高速的性能，最大限度的安全性及简单易用有机地结合在一起，有效的消除了制约传统软件类防火墙的性能瓶颈． Hillstone防火墙是当今市场上为企业网（INTRANET）与互连网(INTERNET) 及企业内部各单独子网之间提供信息保护的最可信赖的解决方案．它可以被灵活　地设置在企业局域网的各个关键位置，以保护各个部门的资讯，如财务部，工程部　等关键部门，或保护重要的企业

50、网服务器，甚至可以保护企业高层管理人员个人电脑上的敏感资讯． 将虚拟专用网(VPN)方便的能力与放火墙功能设计在同一个体系结构中，是使Hillstone防火墙在当今防火墙技术市场上居于领先地位的关键．VPN 保证了加密的数据在进出公司局域网和外部互连网时受到检验． l 互连网（INTERNET） Hillstone防火墙在防火墙市场之所以出类拔萃，是因为其实现了防火墙安全性能与高速率的完美结合．甚至快速以太网。Hillstone防火墙可以很容易地配置在任何现有的企业网络结构中。 Hillstone防火墙为网络管理员提供了综合的网络流量控制方法，从而实现了高效的网络流量管理。Hill