netscreen防火墻方案(范例)

1、xxx 公司網(wǎng)絡(luò)系安全方案公司網(wǎng)絡(luò)系安全方案 目錄目錄 一 企業(yè)網(wǎng)絡(luò)安全面臨的威脅.2 二、防火墻簡介.4 1、防火墻的應(yīng)用.4 2防火墻的部署位置：.4 3防火墻應(yīng)該具備以下特點：.5 4防火墻應(yīng)該具有以下功能.5 三 XXX 公司網(wǎng)絡(luò)系統(tǒng)安全需求.5 2.1 安全需求 .5 2.2 安全需求分析.5 四 安全解決方案設(shè)計.6 4.1 網(wǎng)絡(luò)服務(wù)器機(jī)群安全分析 .6 42 重要部門的接入 .7 4.3 產(chǎn)品說明.8 五 公司簡介.11 六 成功案例（截止日期 2000 年 5 月）.13 一一 企業(yè)網(wǎng)絡(luò)安全面臨的威脅企業(yè)網(wǎng)絡(luò)安全面臨的威脅 在現(xiàn)代社會中，隨著計算機(jī)運(yùn)用的普及和計算機(jī)網(wǎng)絡(luò)技術(shù)的不

2、斷發(fā)展，計 算機(jī)為整個社會帶來了前所未有的變革，信息化成為社會發(fā)展的大趨勢。現(xiàn)代 生活的快節(jié)奏，迅速、及時、準(zhǔn)確、有效的信息傳遞、處理，使得人類社會充 斥了大量以計算機(jī)或以計算機(jī)處理器為主的系統(tǒng)及網(wǎng)絡(luò)。系統(tǒng)一體化趨勢，使 網(wǎng)絡(luò)化成為了整個信息社會的核心。與此同時，人們認(rèn)識到計算機(jī)在給現(xiàn)代社 會注入強(qiáng)大生命力同時，不可避免的成為對手攻擊的重點對象。攻擊與反攻擊， 成為信息社會中敵對雙方利用互聯(lián)網(wǎng)為作戰(zhàn)平臺，展開斗爭的重要手段。而我 國信息安全的前景，并不引人樂觀。 企業(yè)信息安全面臨的主要威脅企業(yè)信息安全面臨的主要威脅 信息安全的威脅主要來自信息網(wǎng)絡(luò)上的非法操作，其威脅是多種多樣的， 并隨著時間推

3、移和技術(shù)的發(fā)展發(fā)生著變化，這些威脅既有針對信息運(yùn)用系統(tǒng)物 理環(huán)境的攻擊破壞，也有對信息系統(tǒng)軟件和信息資源的“軟”攻擊。主要表現(xiàn) 為：信息泄露、完整性破壞、業(yè)務(wù)拒絕和非法使用。信息安全的威脅主要來自 五種類型的威脅源：計算機(jī)病毒、網(wǎng)絡(luò)“黑客”和蓄意入侵、內(nèi)部失竊和反叛、 預(yù)置陷阱以及有組織、有預(yù)謀的計算機(jī)犯罪等。 1 計算機(jī)病毒計算機(jī)病毒 計算機(jī)病毒是一種能自身繁殖和自動隱藏、自動傳輸?shù)挠嬎銠C(jī)程序，具有 傳染性、潛伏性、隱蔽性和破壞性四大特點，可以通過磁盤、網(wǎng)絡(luò)、電子郵件 等進(jìn)行傳播，其對計算機(jī)上的信息資源、系統(tǒng)運(yùn)行環(huán)境有極大的破壞作用。計 算機(jī)病毒的傳播是人為的，其傳播速度是非?？斓?，隨著網(wǎng)絡(luò)

4、的不斷普及，網(wǎng) 上計算機(jī)病毒的入侵已成為威脅信息安全的首要大敵。 2 網(wǎng)絡(luò)網(wǎng)絡(luò)“黑客黑客”和蓄意入侵和蓄意入侵 網(wǎng)絡(luò)黑客是指哪些極具有天賦的計算機(jī)程序編程能力和運(yùn)用其程序能力的 人員，為了某種利益，試圖非法進(jìn)入一些企業(yè)的要害部門，獲取資料、修改程 序、攻擊網(wǎng)絡(luò)系統(tǒng)，使系統(tǒng)部分或全部崩潰。 3 內(nèi)部失竊和反叛內(nèi)部失竊和反叛 信息系統(tǒng)的內(nèi)部人員由于失誤造成敏感信息的外泄，或為利益所驅(qū)動而為 競爭對手提供情報服務(wù)是信息安全面臨的另一種威脅。諸如：物理環(huán)境的安全 防范不嚴(yán)，對廢棄的載有敏感信息的媒體未進(jìn)行安全的銷毀，或無意中把重要 的信息泄露給其它人員，或為競爭對手收買，出賣重要情報信息或提供攻擊的

5、途徑等。這些是造成信息安全威脅的人為因素。 4 預(yù)置陷阱預(yù)置陷阱 預(yù)置陷阱是在信息系統(tǒng)的設(shè)計或使用的軟硬件中，人為地預(yù)設(shè)一些陷阱， 以干擾或改變計算機(jī)的正常運(yùn)用，甚至使計算機(jī)系統(tǒng)崩潰。信息安全面臨的各 種威脅之中，預(yù)置陷阱是最危險、最可怕的，也是最難以防范的。 陷阱一般分為三類：“后門” 、 “病毒”和特定程序。 “后門”又叫“陷阱 門”是軟件系統(tǒng)的設(shè)計者為了調(diào)試系統(tǒng)的需要，預(yù)先在軟件中設(shè)計的一種入口。 這個入口可以讓軟件設(shè)計者或熟悉軟件系統(tǒng)并知悉這一入口的人員，通過入口 超越系統(tǒng)保護(hù)，進(jìn)入系統(tǒng)，竊取數(shù)據(jù)或攻擊系統(tǒng)。如美國微軟公司開發(fā)的“視 窗軟件 WIN98”就曾預(yù)留有“后門” 。 “病毒”

6、是軟件設(shè)計人員按一系列特定條 件設(shè)計的隱藏在軟件工具中的特定程序，遇到條件滿足后，就會發(fā)作，使計算 機(jī)系統(tǒng)出現(xiàn)混亂或陷入癱瘓。特定程序也是隱藏在計算機(jī)程序中具有偽裝功能 的程序代碼，通常用以在設(shè)置的系統(tǒng)中執(zhí)行預(yù)置者賦予的特定功能。如“特洛 伊木馬” ，這種網(wǎng)上特定程序能夠安全隱藏在用戶計算機(jī)中，把用戶的授權(quán)指 令等以電子郵件的方式發(fā)給程序的設(shè)計者。軟件陷阱是通過網(wǎng)絡(luò)或使用軟件工 具進(jìn)行傳播，由于其依附的軟件載體是用戶的使用系統(tǒng)或工具，難以甚至無法 檢測，因而危害性更大。 5 有組織的計算機(jī)犯罪有組織的計算機(jī)犯罪 信息網(wǎng)絡(luò)在方便人類社會生活的同時也帶來了很大的負(fù)面影響，反政府組 織、宗教極端組織

7、、犯罪團(tuán)伙或個人利用網(wǎng)絡(luò)傳播、宣傳、搜索違反法律和社 會道德的信息，進(jìn)行顛覆活動或敲詐勒索；造謠、蠱惑民眾，導(dǎo)致社會不穩(wěn)定， 也給國家安全帶來嚴(yán)重的威脅。 信息網(wǎng)絡(luò)日益普及和完善，企業(yè)在各個領(lǐng)域也越來越依賴信息網(wǎng)，同時信 息網(wǎng)絡(luò)易受攻擊的薄弱環(huán)節(jié)也越發(fā)明顯，任何國家、組織和個人，都有可能掌 握攻擊的方法和技巧，企業(yè)的重要信息和重大的戰(zhàn)略資源都有可能受到來自信 息網(wǎng)絡(luò)上的直接攻擊。 二、防火墻簡介二、防火墻簡介 1 1、防火墻的應(yīng)用、防火墻的應(yīng)用 防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)包括硬件和軟件目的是不被 非法用戶侵入，本質(zhì)上它遵循的是一種允許或禁止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī) 制也就是提供可

8、控的過濾網(wǎng)絡(luò)通訊只允許授權(quán)的通訊 基于 Internet 體系應(yīng)用有兩大部分：Intranet 和 Extranet。 Intranet 是借助 Internet 的技術(shù)和設(shè)備在 Internet 上面構(gòu)造出企業(yè) WWW 網(wǎng)，可放入企業(yè)全部 信息；而 Extranet 是在電子商務(wù)互相合作的需求下，用 Intranet 間的通道，可 獲得其它體系中部分信息，按照一個企業(yè)的安全體系可以在以下位置部署防火 墻 2 2防火墻的部署位置：防火墻的部署位置： 局域網(wǎng)內(nèi)的 VLAN 之間控制信息流向時 Intranet 與 Internet 之間連接時 在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各

9、分支機(jī)構(gòu)的 局域網(wǎng)看成不安全的系統(tǒng)， （通過公網(wǎng) ChinaPac ChinaDDN FarmeRelay 等連接） 在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時，采用防火墻隔離并利用 VPN 構(gòu)成虛擬 專網(wǎng)。 總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過 Internet 連接，需要各自安裝 防火墻，并利用 VPN 組成虛擬專網(wǎng) 在遠(yuǎn)程用戶撥號訪問時加入虛擬專網(wǎng) 3 3防火墻應(yīng)該具備以下特點：防火墻應(yīng)該具備以下特點： 廣泛的服務(wù)支持，通過將動態(tài)的、應(yīng)用層的過濾能力和認(rèn)證相結(jié)合，可 實現(xiàn) WWW 瀏覽器、HTTP 服務(wù)器、FTP 等 對私有數(shù)據(jù)的加密支持，保證通過 Internet 進(jìn)行虛擬私人網(wǎng)絡(luò)和商務(wù)活 動不

10、受損壞 客戶端認(rèn)證只允許指定的用戶訪問內(nèi)部網(wǎng)絡(luò)或選擇服務(wù)，是企業(yè)本地網(wǎng) 與分支機(jī)構(gòu)、商業(yè)伙伴和移動用戶間安全通信的附加部分 反欺騙、欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段，它使數(shù)據(jù)包好似來 自網(wǎng)絡(luò)內(nèi)部 4 4防火墻應(yīng)該具有以下功能防火墻應(yīng)該具有以下功能 所有進(jìn)出網(wǎng)絡(luò)的通訊流都應(yīng)通過防火墻 所有穿過防火墻的通訊流都必須有安全策略和計劃的確認(rèn)和授權(quán) 理論上說防火墻自身是不能被攻破的 三三 xxx 公司網(wǎng)絡(luò)系統(tǒng)安全需求公司網(wǎng)絡(luò)系統(tǒng)安全需求 2.12.1 安全需求安全需求 xxx 公司網(wǎng)絡(luò)系統(tǒng)安全目標(biāo)是為了保證 xxx 公司網(wǎng)絡(luò)系統(tǒng)及與之連接的內(nèi) 部生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全，同時提供內(nèi)部辦公網(wǎng)絡(luò)系統(tǒng)到 I

11、nternet 的安全接 入，使內(nèi)部員工能安全訪問網(wǎng)上的信息資源。 網(wǎng)絡(luò)接入安全管理方案需要實現(xiàn)的基本功能要求如下： 具有網(wǎng)絡(luò)隔離功能和代理服務(wù)/地址映射功能； 具有時限、流量、地址、用戶、應(yīng)用、節(jié)點等控制管理功能； 具有用戶對 Internet 訪問目標(biāo)的監(jiān)控和記錄功能； 具有網(wǎng)絡(luò)安全通訊功能； 具有實時入侵檢測、識別、記錄和自動響應(yīng)功能； 支持流行的各種應(yīng)用，包括音視頻多媒體應(yīng)用環(huán)境； 安全管理策略可由管理人員進(jìn)行定義、修改； 防火墻對用戶和應(yīng)用應(yīng)具有透明性，不會明顯減低應(yīng)用系統(tǒng)的效率； 防火墻應(yīng)具有歷史記錄、審計和統(tǒng)計、報表功能； 防火墻的安裝、維護(hù)工作量相對少、難度低； 防火墻本身及所

12、依賴的運(yùn)行平臺價格合理，投資少、見效快。 防火墻支持與其他的安全產(chǎn)品建立 VPN 通道。 2.22.2 安全需求分析安全需求分析 根據(jù)安全需求分析，xxx 公司網(wǎng)絡(luò)系統(tǒng)安全改造工程完成后，網(wǎng)絡(luò)應(yīng)能做 到如下幾點： 設(shè)置 NAT 模式，能保護(hù)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，防止非法用戶入侵內(nèi)部網(wǎng)絡(luò)， 造成破壞和損失。 對網(wǎng)絡(luò)帶寬速率不能有任何的影響。因 xxx 公司網(wǎng)站提供大量設(shè)計圖片 和視頻服務(wù)，防火墻對帶寬的質(zhì)量應(yīng)有保障。 通過在公司的各部門網(wǎng)絡(luò)前端設(shè)置防火墻，保護(hù)其內(nèi)部資料數(shù)據(jù)的可靠， 防止內(nèi)部數(shù)據(jù)被非法竊取。 設(shè)置認(rèn)證功能，通過對用戶的身份認(rèn)證，控制用戶對服務(wù)器進(jìn)行訪問。 有完整的歷史記錄，能查看每一個

13、經(jīng)過防火墻的連接，包括日期、源地 址、目的地址等，并有識別并阻斷攻擊功能。 能提供集中的、圖形化的安全管理功能和系統(tǒng)狀態(tài)查看器，方便管理人 員進(jìn)行定義、修改。盡量減少維護(hù)工作量。 設(shè)計的網(wǎng)絡(luò)安全解決方案能提供網(wǎng)絡(luò)入侵檢測、識別、記錄和自動響應(yīng) 報警功能。 將公司對內(nèi)提供的郵件、文件服務(wù)的服務(wù)器統(tǒng)一放置在防火墻后端，徹 底將網(wǎng)絡(luò)內(nèi)外隔開，同時具有防止 IP Spoofing，SYN flood，,Ping of death 手 段的攻擊。 安全解決方案應(yīng)考慮日后系統(tǒng)升級和冗余的工作。 安全解決方案應(yīng)考慮搭建安全的 VPN 通道，保護(hù)重要部門之間文件 傳輸 四四 安全解決方案設(shè)計安全解決方案設(shè)計

14、4.14.1 方案說明方案說明 根據(jù)以上，我們建議在 xxx 公司計算機(jī)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)關(guān)防火墻采用 Netscreen-10/100，并作如下解決方案： 將公司的數(shù)據(jù)服務(wù)器和財務(wù)服務(wù)器統(tǒng)一放置在防火墻的 Trust 區(qū)，內(nèi)部用 戶到服務(wù)器將通過防火墻的安全審查，普通用戶通過防火墻時只充許使用數(shù)據(jù) 服務(wù)器，訪問將通過嚴(yán)格認(rèn)證，其他的端口將禁止通訊。 Netscreen 防火墻可將網(wǎng)絡(luò)分成三個區(qū)域，Trust(可信任區(qū)，連接服務(wù)器)， Untrust(不信任區(qū)，連接內(nèi)部局域網(wǎng) ),DMZ（中立區(qū)） 。 將公司業(yè)務(wù)服務(wù)器集中放置在 Trust 區(qū)，通過 Netscreen 防火墻卓越的帶寬 管理功能，

15、能針對不同的區(qū)域、策略和主機(jī)分配固定的帶寬，并可根據(jù)部門工 作的需要分配帶寬優(yōu)先權(quán)，xxx 公司的財務(wù)服務(wù)器使用的是最高優(yōu)先級帶寬的 線路，并通過策略和主機(jī)的設(shè)置分配某些部門帶寬優(yōu)先權(quán)。 可通過 Netscreen_10 的實現(xiàn)服務(wù)的負(fù)載平衡（Load Balancing）功能，合 理分配 Trust 區(qū)的主機(jī)訪問負(fù)載，滿足用戶分步投資網(wǎng)絡(luò)服務(wù)器的需求。 因 Netscreen 防火墻將黑客代碼庫集成在其可升級的結(jié)構(gòu)芯片中，所以它 對黑客的多種攻擊手段能做出最快的反應(yīng)，例如著名的 DDOS 分布式拒絕服 務(wù)攻擊（Distributed Denial-Of Service）,Netscreen

16、能讓用戶根據(jù)客戶端主機(jī)發(fā) 出的數(shù)據(jù)報的數(shù)量判斷是否是 DDOS 攻擊程序攻擊，并采取措施過濾掉攻擊 包中的源 IP 地址（盡管這些 IP 地址可能不是真實的） 。Netscreen 提供多種簡 單有效的功能設(shè)置使用戶能在最快的時間里做出防護(hù)措施。如關(guān)閉一些不必要 的端口服務(wù)，以保障主要的服務(wù)有足夠的帶寬。 4 42 2 遠(yuǎn)程用戶的接入遠(yuǎn)程用戶的接入 采用 VPN 方式接入 隨著通訊事業(yè)的發(fā)展，Internet 的廣泛應(yīng)用，利用 Internet 公共資源傳輸 電子郵件及其它文件信息已經(jīng)成為人們?nèi)粘Ｉ畹囊徊糠郑踩珕栴}也就越來 越值得人們的重視。Xxx 公司與分公司之間設(shè)置幀中繼專線，財務(wù)部門

17、之間建 立虛擬專用網(wǎng) VPN（ Virtual Private Network） 。通過加密，實現(xiàn)安全可靠的 信息傳輸。 對于分公司遠(yuǎn)程用戶接入公司內(nèi)部局域網(wǎng)，Netscreen 防火墻將提供安全、 快速、可靠的 VPN 接入解決方案，Netscreen 防火墻能提供高速安全的 Triple- DES （168bit）線速加密機(jī)制，使用戶的通訊能在一個最高安全性的通道內(nèi)進(jìn) 行。這是其他任何防火墻不能達(dá)到的。 NetScreen 提供的 VPN 功能，采用點對點的 DES 和 3DES 加密，支持 人工密鑰管理、自動 ISAKMP 密鑰管理及用戶認(rèn)證。DES 是一種對稱的保密 字加密系統(tǒng)。換而言

18、之，用于加密和解密的密鑰是同一個（對稱的） 。從標(biāo)準(zhǔn) 上講，DES 是受人喜愛的加密機(jī)制，它是一種塊數(shù)據(jù)編碼方案，適合于硬件 實現(xiàn)。SNMP 和 SNMP2 及 Kerberos 系統(tǒng)都使用 DES。 NetScreen 的 VPN 采用 IPsec 協(xié)議。IPsec 作為在 IPv4 及 IPv6 上的加 密通訊框架已為大多數(shù)廠商所支持。IPsec 主要提供 IP 網(wǎng)絡(luò)層上的加密通訊 能力。該標(biāo)準(zhǔn)為每個 IP 包增加了新的包頭格式，AH （Authentication Header） 及 ESP（Encapsulating Security Payload ） 。IPsec 使用 ISAKM

19、P/Oakley 及 SKIP 進(jìn)行密鑰交換，管理及加密協(xié)商 SA （Security Association） 。 通過在遠(yuǎn)程用戶的 PC 機(jī)上安裝 Netscreen Vpn Remote Client 軟件和 netscreen10 建立 VPN 通道，可以實現(xiàn)遠(yuǎn)程用戶和總部之間的安全通訊。它將 與公司總部的 Netscreen-10 建立 VPN 加密通道，通信的數(shù)據(jù)將在通道里得到 保護(hù)，其他用戶將無法偵聽攔截數(shù)據(jù)包。實現(xiàn)數(shù)據(jù)保密。 4.3 產(chǎn)品說明產(chǎn)品說明 Netscreen-10Netscreen-10 簡介簡介 NetScreen-10NetScreen-10 提供10M 帶寬的

20、吞吐能力通過ICSA 防火墻認(rèn)證其靈活 多樣的四種模式配置適用于任何現(xiàn)存的網(wǎng)絡(luò)結(jié)構(gòu);透明模式的設(shè)置無需更 改任何路由器及主機(jī)配置。 防火墻功能防火墻功能 網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) -隱藏內(nèi)部IP 地址 動態(tài)過濾訪問 - 保護(hù)網(wǎng)絡(luò)的服務(wù) URL 地址限定 限制站點的訪問, 過濾不需要的站點 用戶認(rèn)證 存取認(rèn)證 防火墻性能防火墻性能 10M 帶寬下同時響應(yīng)高達(dá)4000 條策略規(guī)則 10M 帶寬的安全過濾 同時支持16000 個TCP/IP 連接 NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換, 同時支持IP 靜態(tài)地址映射 鏈路級代理(硬件級代理服務(wù)器) 透明模式(無須更改任何現(xiàn)存設(shè)置) 實時報警與日志,支持2000 年時鐘

21、過渡 URL 地址檢驗 虛擬專用網(wǎng)虛擬專用網(wǎng) ( ( VPNVPN ) ) 符合IPSec 標(biāo)準(zhǔn)(可與其他廠家設(shè)備交互操作) 符合IKE ISAKMP 密鑰管理協(xié)議 DES & 三倍 DES 加密級別 MD5 SH-1 認(rèn)證 流量控制及實時監(jiān)控流量控制及實時監(jiān)控 流量控制功能為網(wǎng)絡(luò)管理員提供了全面監(jiān)測和管理網(wǎng)絡(luò)的信息. 用戶帶寬最大用量限制 用戶帶寬用量保障 八級用戶優(yōu)先級設(shè)置 管理服務(wù)器群適用的負(fù)載平衡設(shè)計 日志及報警紀(jì)錄實時監(jiān)控網(wǎng)絡(luò)狀態(tài) 便捷管理便捷管理 瀏覽器進(jìn)行遠(yuǎn)程的配置管理SNMP 管理命令行界面管理 WINDOW95/NT 圖形界面 支持SNMP 管理方式 命令行界面支持批處理方式

22、并可用調(diào)制解調(diào)器控制 支持協(xié)議支持協(xié)議 ARP TCP/IP UDP ICMP DHCP HTTP RADIUS IPsec IPESP IPAH MD5 SHA-1, DES/Triple-DES IKE(ISAKMP) X.509v3 界面界面 三個10BaseT 以太網(wǎng)口(Trusted 信任端Untrusted 非信任端 DMZ 中立區(qū)PCMCIA 插槽支持10 ,20, 40, 150 兆閃存卡 其它其它 透明的IP 設(shè)置無須更改任何路由器及主機(jī)配置 任意IP 轉(zhuǎn)換和 DHCP 服務(wù)器是理想的移動接入方案 IP 轉(zhuǎn)發(fā)實延 0.1 毫秒 瀏覽器TFTP 服務(wù) 多機(jī)備份 VPNVPN技術(shù)

23、的應(yīng)用技術(shù)的應(yīng)用 網(wǎng)絡(luò)系統(tǒng)總部和各分支機(jī)構(gòu)之間采用公網(wǎng)網(wǎng)絡(luò)進(jìn)行連接，其最大的弱 點在于缺乏足夠的安全性。企業(yè)網(wǎng)絡(luò)接入到公網(wǎng)中，暴露出兩個主要危 險： 來自公網(wǎng)的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。 當(dāng)網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)進(jìn)行通訊時，信息可能受到竊聽和非法修改。 完整的集成化的企業(yè)范圍的 VPN 安全解決方案，提供在公網(wǎng)上安全的雙 向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。 VPNVPN 技術(shù)的原理技術(shù)的原理: : VPN 系統(tǒng)使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全 的通信，它采用復(fù)雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會被 竊聽。其處理過程大體是這樣： 1. 要保護(hù)的主機(jī)發(fā)

24、送明文信息到連接公共網(wǎng)絡(luò)的 VPN 設(shè)備； 2. VPN 設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對數(shù)據(jù)進(jìn)行加密或讓 數(shù)據(jù)直接通過。 3. 對需要加密的數(shù)據(jù)，VPN 設(shè)備對整個數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽 名。 4. VPN 設(shè)備加上新的數(shù)據(jù)報頭，其中包括目的地 VPN 設(shè)備需要的安全 信息和一些初始化參數(shù)。 5. VPN 設(shè)備對加密后的數(shù)據(jù)、鑒別包以及源 IP 地址、目標(biāo) VPN 設(shè)備 IP 地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上 傳輸。 6. 當(dāng)數(shù)據(jù)包到達(dá)目標(biāo) VPN 設(shè)備時，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對 無誤后，數(shù)據(jù)包被解密。 IPSec 作為在 IPv4 及 IPv6 上

25、的加密通訊框架，已為大多數(shù)廠商所支持。 IPSec 主要提供 IP 網(wǎng)絡(luò)層上的加密通訊能力。 IPSec 提供了兩種加密通訊手段： IPSec Tunnel：整個 IP 封裝在 Ipsec-gateway 之間的通訊。 Ipsec transport：對 IP 包內(nèi)的數(shù)據(jù)進(jìn)行加密，使用原來的源地址和目 的地址。 IPsec Tunnel 不要求修改已配備好的設(shè)備和應(yīng)用，網(wǎng)絡(luò)黑客不能看到實 際的通訊源地址和目的地址，并且能夠提供專用網(wǎng)絡(luò)通過 Internet 加密 傳輸?shù)耐ǖ?，因此，絕大多數(shù)廠商均使用該模式。 ISAKMP/Oakley 使用 X.509 數(shù)字證書，因此，使 VPN 能夠容易地擴(kuò)

26、大到企 業(yè)級。（易于管理）。 在為遠(yuǎn)程撥號服務(wù)的 Client 端，也能夠?qū)崿F(xiàn) IPsec 的客戶端，為撥號用 戶提供加密網(wǎng)絡(luò)通訊。由于 IPsec 即將成為 Internet 標(biāo)準(zhǔn)，因此不同廠 家提供的防火墻（VPN）產(chǎn)品可以實現(xiàn)互通。 五五 公司簡介公司簡介 深圳華強(qiáng)集團(tuán)有限公司 成立于 1979 年，現(xiàn)有員工 4000 多名，總資產(chǎn) 19 億元，凈資產(chǎn) 5.6 億元。是中國電子行業(yè)百強(qiáng)企業(yè)前 10 名（連續(xù) 10 年） ，全 國高出口創(chuàng)匯企業(yè)，全國 500 家最大工業(yè)企業(yè)第 81 名，全國 300 戶重點發(fā)展 大企業(yè)，廣東省最大工業(yè)企業(yè)十強(qiáng)，深圳市綜合實力最強(qiáng) 50 家企業(yè)集團(tuán)之一， 深

27、圳市三超企業(yè)，深圳市守法納稅大戶。 擁有彩電生產(chǎn)線 4 條，年產(chǎn)彩電 200 萬臺，60%外銷。音響生產(chǎn)線 6 條， 年產(chǎn)能力 170 萬臺，主要銷往歐美市場。激光電子產(chǎn)品生產(chǎn)線 12 條，年產(chǎn)激 光拾音頭 2000 萬只，占全球市場份額 10%。激光唱機(jī) 100 萬，CD-ROM1500 萬臺。高能電池項目年產(chǎn)電池組 3000 萬組，電池 1000 萬只，在國內(nèi)屬于領(lǐng)先 地位。電腦、無繩電話、彩電行輸出變壓器、通訊設(shè)備等項目形成一定規(guī)模。 旗下深圳華強(qiáng)實業(yè)股份有限公司 1997 年上市。 華強(qiáng)集團(tuán)全資、控股、參股企業(yè)： 深圳華強(qiáng)實業(yè)股份有限公司 華強(qiáng)三洋電子有限公司 深圳三洋華強(qiáng)激光電子有限

28、公司 深圳三洋華強(qiáng)能源有限公司 深圳華強(qiáng)銷售公司 深圳華強(qiáng)新新技術(shù)開發(fā)公司 深圳精塑電子有限公司 深圳華強(qiáng)物業(yè)管理公司 深圳華強(qiáng)聯(lián)合計算機(jī)工程有限公司 深圳華強(qiáng)電腦廠 深圳華強(qiáng)三洋技術(shù)設(shè)計有限公司 深圳華強(qiáng)技術(shù)開發(fā)中心 深圳華強(qiáng)電視配件公司 深圳華強(qiáng)富興電子有限公司 深圳華電通訊有限公司 深圳燕華企業(yè)有限公司 深圳華強(qiáng)住宅生活區(qū)管理委員會 東莞華強(qiáng)實業(yè)發(fā)展公司 華強(qiáng)聯(lián)合計算機(jī)工程有限公司 是深圳華強(qiáng)實業(yè)股份有限公司的重要成員， 是華強(qiáng)集團(tuán)內(nèi)專門負(fù)責(zé)經(jīng)營計算機(jī)相關(guān)業(yè)務(wù)的高科技系統(tǒng)集成公司。公司自93 年成立以來，以華強(qiáng)集團(tuán)強(qiáng)大的經(jīng)濟(jì)實力為后盾，以國內(nèi)外高新技術(shù)為動力， 以市場為導(dǎo)向，已發(fā)展成集科研、開發(fā)、銷售、推廣、和應(yīng)用為一體的專業(yè)系 統(tǒng)集成公司。 公司憑借雄厚的經(jīng)濟(jì)實力以及可靠的技術(shù)力量，利用多年來在市場經(jīng)濟(jì)發(fā) 展中取得的經(jīng)驗，在國際合作的基礎(chǔ)上，堅持“面向社會、用戶至上、信譽(yù)第 一”的原則，積極引進(jìn)和推廣國外高科技產(chǎn)品和技術(shù)，多年來在市場經(jīng)濟(jì)的發(fā) 展中取得了良好的社會效益和經(jīng)濟(jì)效益，在社會上有著廣泛的影響和很高的聲 譽(yù)。1997 年銷售額 4500 萬元。1998 年華強(qiáng)集團(tuán)將系統(tǒng)集成列為重點發(fā)展方向， 計劃向華強(qiáng)聯(lián)合計算機(jī)工程有限公司新注入資金 2000 萬元，重點集成大工程 項目。 與下列國內(nèi)外著