企業(yè)網(wǎng)絡(luò)系統(tǒng)安全方案

1、PAGE 1 一-18企業(yè)網(wǎng)絡(luò)系統(tǒng)安全方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc51272356 一、企業(yè)網(wǎng)絡(luò)安全面臨的威脅 PAGEREF _Toc51272356 h 一-3 HYPERLINK l _Toc51272357 二、防火墻簡介 PAGEREF _Toc51272357 h 二-6 HYPERLINK l _Toc51272358 1、防火墻的應(yīng)用 PAGEREF _Toc51272358 h 二-6 HYPERLINK l _Toc51272359 2防火墻的部署位置： PAGEREF _Toc51272359 h 二-7 HYPERLINK

2、 l _Toc51272360 3防火墻應(yīng)該具備以下特點： PAGEREF _Toc51272360 h 二-7 HYPERLINK l _Toc51272361 4防火墻應(yīng)該具有以下功能 PAGEREF _Toc51272361 h 二-8 HYPERLINK l _Toc51272362 三、企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求 PAGEREF _Toc51272362 h 三-8 HYPERLINK l _Toc51272363 2.1 安全需求 PAGEREF _Toc51272363 h 三-8 HYPERLINK l _Toc51272364 2.2安全需求分析 PAGEREF _Toc51272

3、364 h 三-9 HYPERLINK l _Toc51272365 四、安全解決方案設(shè)計 PAGEREF _Toc51272365 h 四-10 HYPERLINK l _Toc51272366 4.1 方案說明 PAGEREF _Toc51272366 h 四-10 HYPERLINK l _Toc51272367 42 遠程用戶的接入 PAGEREF _Toc51272367 h 四-11 HYPERLINK l _Toc51272368 4.3 產(chǎn)品說明 PAGEREF _Toc51272368 h 四-12 HYPERLINK l _Toc51272369 五、JUNIPER公司簡介

4、 PAGEREF _Toc51272369 h 五-18企業(yè)網(wǎng)絡(luò)安全面臨的威脅在現(xiàn)代社會中，隨著計算機運用的普及和計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計算機為整個社會帶來了前所未有的變革，信息化成為社會發(fā)展的大趨勢?，F(xiàn)代生活的快節(jié)奏，迅速、及時、準確、有效的信息傳遞、處理，使得人類社會充斥了大量以計算機或以計算機處理器為主的系統(tǒng)及網(wǎng)絡(luò)。系統(tǒng)一體化趨勢，使網(wǎng)絡(luò)化成為了整個信息社會的核心。與此同時，人們認識到計算機在給現(xiàn)代社會注入強大生命力同時，不可避免的成為對手攻擊的重點對象。攻擊與反攻擊，成為信息社會中敵對雙方利用互聯(lián)網(wǎng)為作戰(zhàn)平臺，展開斗爭的重要手段。而我國信息安全的前景，并不引人樂觀。企業(yè)信息安全面臨

5、的主要威脅信息安全的威脅主要來自信息網(wǎng)絡(luò)上的非法操作，其威脅是多種多樣的，并隨著時間推移和技術(shù)的發(fā)展發(fā)生著變化，這些威脅既有針對信息運用系統(tǒng)物理環(huán)境的攻擊破壞，也有對信息系統(tǒng)軟件和信息資源的“軟”攻擊。主要表現(xiàn)為：信息泄露、完整性破壞、業(yè)務(wù)拒絕和非法使用。信息安全的威脅主要來自五種類型的威脅源：計算機病毒、網(wǎng)絡(luò)“黑客”和蓄意入侵、內(nèi)部失竊和反叛、預(yù)置陷阱以及有組織、有預(yù)謀的計算機犯罪等。 1計算機病毒 計算機病毒是一種能自身繁殖和自動隱藏、自動傳輸?shù)挠嬎銠C程序，具有傳染性、潛伏性、隱蔽性和破壞性四大特點，可以通過磁盤、網(wǎng)絡(luò)、電子郵件等進行傳播，其對計算機上的信息資源、系統(tǒng)運行環(huán)境有極大的破壞作

6、用。計算機病毒的傳播是人為的，其傳播速度是非?？斓?，隨著網(wǎng)絡(luò)的不斷普及，網(wǎng)上計算機病毒的入侵已成為威脅信息安全的首要大敵。 2 網(wǎng)絡(luò)“黑客”和蓄意入侵 網(wǎng)絡(luò)黑客是指哪些極具有天賦的計算機程序編程能力和運用其程序能力的人員，為了某種利益，試圖非法進入一些企業(yè)的要害部門，獲取資料、修改程序、攻擊網(wǎng)絡(luò)系統(tǒng)，使系統(tǒng)部分或全部崩潰。 3內(nèi)部失竊和反叛 信息系統(tǒng)的內(nèi)部人員由于失誤造成敏感信息的外泄，或為利益所驅(qū)動而為競爭對手提供情報服務(wù)是信息安全面臨的另一種威脅。諸如：物理環(huán)境的安全防范不嚴，對廢棄的載有敏感信息的媒體未進行安全的銷毀，或無意中把重要的信息泄露給其它人員，或為競爭對手收買，出賣重要情報信息

7、或提供攻擊的途徑等。這些是造成信息安全威脅的人為因素。 4預(yù)置陷阱 預(yù)置陷阱是在信息系統(tǒng)的設(shè)計或使用的軟硬件中，人為地預(yù)設(shè)一些陷阱，以干擾或改變計算機的正常運用，甚至使計算機系統(tǒng)崩潰。信息安全面臨的各種威脅之中，預(yù)置陷阱是最危險、最可怕的，也是最難以防范的。陷阱一般分為三類：“后門”、“病毒”和特定程序?！昂箝T”又叫“陷阱門”是軟件系統(tǒng)的設(shè)計者為了調(diào)試系統(tǒng)的需要，預(yù)先在軟件中設(shè)計的一種入口。這個入口可以讓軟件設(shè)計者或熟悉軟件系統(tǒng)并知悉這一入口的人員，通過入口超越系統(tǒng)保護，進入系統(tǒng)，竊取數(shù)據(jù)或攻擊系統(tǒng)。如美國微軟公司開發(fā)的“視窗軟件WIN98”就曾預(yù)留有“后門”?！安《尽笔擒浖O(shè)計人員按一系列特

8、定條件設(shè)計的隱藏在軟件工具中的特定程序，遇到條件滿足后，就會發(fā)作，使計算機系統(tǒng)出現(xiàn)混亂或陷入癱瘓。特定程序也是隱藏在計算機程序中具有偽裝功能的程序代碼，通常用以在設(shè)置的系統(tǒng)中執(zhí)行預(yù)置者賦予的特定功能。如“特洛伊木馬”，這種網(wǎng)上特定程序能夠安全隱藏在用戶計算機中，把用戶的授權(quán)指令等以電子郵件的方式發(fā)給程序的設(shè)計者。軟件陷阱是通過網(wǎng)絡(luò)或使用軟件工具進行傳播，由于其依附的軟件載體是用戶的使用系統(tǒng)或工具，難以甚至無法檢測，因而危害性更大。 5有組織的計算機犯罪 信息網(wǎng)絡(luò)在方便人類社會生活的同時也帶來了很大的負面影響，反政府組織、宗教極端組織、犯罪團伙或個人利用網(wǎng)絡(luò)傳播、宣傳、搜索違反法律和社會道德的信

9、息，進行顛覆活動或敲詐勒索；造謠、蠱惑民眾，導(dǎo)致社會不穩(wěn)定，也給國家安全帶來嚴重的威脅。信息網(wǎng)絡(luò)日益普及和完善，企業(yè)在各個領(lǐng)域也越來越依賴信息網(wǎng)，同時信息網(wǎng)絡(luò)易受攻擊的薄弱環(huán)節(jié)也越發(fā)明顯，任何國家、組織和個人，都有可能掌握攻擊的方法和技巧，企業(yè)的重要信息和重大的戰(zhàn)略資源都有可能受到來自信息網(wǎng)絡(luò)上的直接攻擊。防火墻簡介1、防火墻的應(yīng)用防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)包括硬件和軟件目的是不被非法用戶侵入，本質(zhì)上它遵循的是一種允許或禁止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機制也就是提供可控的過濾網(wǎng)絡(luò)通訊只允許授權(quán)的通訊基于Internet 體系應(yīng)用有兩大部分：Intranet 和Extranet。 Int

10、ranet是借助Internet 的技術(shù)和設(shè)備在Internet 上面構(gòu)造出企業(yè)WWW 網(wǎng)，可放入企業(yè)全部信息；而Extranet 是在電子商務(wù)互相合作的需求下，用Intranet 間的通道，可獲得其它體系中部分信息，按照一個企業(yè)的安全體系可以在以下位置部署防火墻通過防火墻保護企業(yè)內(nèi)部網(wǎng)絡(luò)的安全2防火墻的部署位置： 局域網(wǎng)內(nèi)的VLAN 之間控制信息流向時 Intranet 與Internet 之間連接時 在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)，（通過公網(wǎng)ChinaPac ChinaDDN FarmeRelay 等連接）在總部的局域網(wǎng)和各分支機構(gòu)連接

11、時，采用防火墻隔離并利用VPN 構(gòu)成虛擬專網(wǎng)。 總部的局域網(wǎng)和分支機構(gòu)的局域網(wǎng)是通過Internet 連接，需要各自安裝防火墻，并利用VPN 組成虛擬專網(wǎng) 在遠程用戶撥號訪問時加入虛擬專網(wǎng)3防火墻應(yīng)該具備以下特點： 廣泛的服務(wù)支持，通過將動態(tài)的、應(yīng)用層的過濾能力和認證相結(jié)合，可實現(xiàn)WWW 瀏覽器、HTTP 服務(wù)器、FTP 等 對私有數(shù)據(jù)的加密支持，保證通過Internet 進行虛擬私人網(wǎng)絡(luò)和商務(wù)活動不受損壞 客戶端認證只允許指定的用戶訪問內(nèi)部網(wǎng)絡(luò)或選擇服務(wù)，是企業(yè)本地網(wǎng)與分支機構(gòu)、商業(yè)伙伴和移動用戶間安全通信的附加部分 反欺騙、欺騙是從外部獲取網(wǎng)絡(luò)訪問權(quán)的常用手段，它使數(shù)據(jù)包好似來自網(wǎng)絡(luò)內(nèi)部4

12、防火墻應(yīng)該具有以下功能 所有進出網(wǎng)絡(luò)的通訊流都應(yīng)通過防火墻 所有穿過防火墻的通訊流都必須有安全策略和計劃的確認和授權(quán) 理論上說防火墻自身是不能被攻破的企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求2.1 安全需求公司網(wǎng)絡(luò)系統(tǒng)安全目標是為了保證公司網(wǎng)絡(luò)系統(tǒng)及與之連接的內(nèi)部生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全，同時提供內(nèi)部辦公網(wǎng)絡(luò)系統(tǒng)到Internet的安全接入，使內(nèi)部員工能安全訪問網(wǎng)上的信息資源。網(wǎng)絡(luò)接入安全管理方案需要實現(xiàn)的基本功能要求如下： 具有網(wǎng)絡(luò)隔離功能和代理服務(wù)/地址映射功能； 具有時限、流量、地址、用戶、應(yīng)用、節(jié)點等控制管理功能； 具有用戶對Internet訪問目標的監(jiān)控和記錄功能； 具有網(wǎng)絡(luò)安全通訊功能； 具有實時入侵檢

13、測、識別、記錄和自動響應(yīng)功能； 支持流行的各種應(yīng)用，包括音視頻多媒體應(yīng)用環(huán)境； 安全管理策略可由管理人員進行定義、修改； 防火墻對用戶和應(yīng)用應(yīng)具有透明性，不會明顯減低應(yīng)用系統(tǒng)的效率； 防火墻應(yīng)具有歷史記錄、審計和統(tǒng)計、報表功能； 防火墻的安裝、維護工作量相對少、難度低； 防火墻本身及所依賴的運行平臺價格合理，投資少、見效快。 防火墻支持與其他的安全產(chǎn)品建立VPN通道。2.2安全需求分析根據(jù)安全需求分析，公司網(wǎng)絡(luò)系統(tǒng)安全改造工程完成后，網(wǎng)絡(luò)應(yīng)能做到如下幾點： 設(shè)置NAT模式，能保護內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，防止非法用戶入侵內(nèi)部網(wǎng)絡(luò)，造成破壞和損失。 對網(wǎng)絡(luò)帶寬速率不能有任何的影響。因公司網(wǎng)站提供大量設(shè)計圖

14、片和視頻服務(wù)，防火墻對帶寬的質(zhì)量應(yīng)有保障。 通過在公司的各部門網(wǎng)絡(luò)前端設(shè)置防火墻，保護其內(nèi)部資料數(shù)據(jù)的可靠，防止內(nèi)部數(shù)據(jù)被非法竊取。 設(shè)置認證功能，通過對用戶的身份認證，控制用戶對服務(wù)器進行訪問。 有完整的歷史記錄，能查看每一個經(jīng)過防火墻的連接，包括日期、源地址、目的地址等，并有識別并阻斷攻擊功能。 能提供集中的、圖形化的安全管理功能和系統(tǒng)狀態(tài)查看器，方便管理人員進行定義、修改。盡量減少維護工作量。 設(shè)計的網(wǎng)絡(luò)安全解決方案能提供網(wǎng)絡(luò)入侵檢測、識別、記錄和自動響應(yīng)報警功能。 將公司對內(nèi)提供的郵件、文件服務(wù)的服務(wù)器統(tǒng)一放置在防火墻后端，徹底將網(wǎng)絡(luò)內(nèi)外隔開，同時具有防止IP Spoofing，SYN

15、 flood，,Ping of death 手段的攻擊。 安全解決方案應(yīng)考慮日后系統(tǒng)升級和冗余的工作。 安全解決方案應(yīng)考慮搭建安全的VPN通道，保護重要部門之間文件傳輸通過vpn實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩踩鉀Q方案設(shè)計4.1 方案說明根據(jù)以上，我們建議在公司計算機網(wǎng)絡(luò)系統(tǒng)的網(wǎng)關(guān)防火墻采用Netscreen-SSG 20/140，并作如下解決方案：將公司的數(shù)據(jù)服務(wù)器和財務(wù)服務(wù)器統(tǒng)一放置在防火墻的Trust區(qū)，內(nèi)部用戶到服務(wù)器將通過防火墻的安全審查，普通用戶通過防火墻時只充許使用數(shù)據(jù)服務(wù)器，訪問將通過嚴格認證，其他的端口將禁止通訊。Netscreen 防火墻可將網(wǎng)絡(luò)分成三個區(qū)域，Trust(可信任區(qū)

16、，連接服務(wù)器)，Untrust(不信任區(qū)，連接內(nèi)部局域網(wǎng) ),DMZ（中立區(qū)）。將公司業(yè)務(wù)服務(wù)器集中放置在Trust區(qū)，通過Netscreen防火墻卓越的帶寬管理功能，能針對不同的區(qū)域、策略和主機分配固定的帶寬，并可根據(jù)部門工作的需要分配帶寬優(yōu)先權(quán)，公司的財務(wù)服務(wù)器使用的是最高優(yōu)先級帶寬的線路，并通過策略和主機的設(shè)置分配某些部門帶寬優(yōu)先權(quán)?？赏ㄟ^Netscreen_20 的實現(xiàn)服務(wù)的負載平衡（Load Balancing）功能，合理分配Trust區(qū)的主機訪問負載，滿足用戶分步投資網(wǎng)絡(luò)服務(wù)器的需求。因Netscreen 防火墻將黑客代碼庫集成在其可升級的結(jié)構(gòu)芯片中，所以它對黑客的多種攻擊手段能做

17、出最快的反應(yīng)，例如著名的DDOS分布式拒絕服務(wù)攻擊（Distributed Denial-Of Service）,Netscreen能讓用戶根據(jù)客戶端主機發(fā)出的數(shù)據(jù)報的數(shù)量判斷是否是DDOS 攻擊程序攻擊，并采取措施過濾掉攻擊包中的源IP地址（盡管這些IP地址可能不是真實的）。Netscreen 提供多種簡單有效的功能設(shè)置使用戶能在最快的時間里做出防護措施。如關(guān)閉一些不必要的端口服務(wù)，以保障主要的服務(wù)有足夠的帶寬。42 遠程用戶的接入采用VPN方式接入隨著通訊事業(yè)的發(fā)展，Internet 的廣泛應(yīng)用，利用Internet 公共資源傳輸電子郵件及其它文件信息已經(jīng)成為人們?nèi)粘Ｉ畹囊徊糠?，安全問題

18、也就越來越值得人們的重視。公司與分公司之間設(shè)置幀中繼專線，財務(wù)部門之間建立虛擬專用網(wǎng)VPN（ Virtual Private Network） 。通過加密，實現(xiàn)安全可靠的信息傳輸。對于分公司遠程用戶接入公司內(nèi)部局域網(wǎng)，Netscreen防火墻將提供安全、快速、可靠的VPN接入解決方案，Netscreen 防火墻能提供高速安全的Triple-DES （168bit）線速加密機制，使用戶的通訊能在一個最高安全性的通道內(nèi)進行。這是其他任何防火墻不能達到的。NetScreen 提供的VPN 功能，采用點對點的DES 和3DES 加密，支持人工密鑰管理、自動ISAKMP 密鑰管理及用戶認證。DES是一種

19、對稱的保密字加密系統(tǒng)。換而言之，用于加密和解密的密鑰是同一個（對稱的）。從標準上講，DES 是受人喜愛的加密機制，它是一種塊數(shù)據(jù)編碼方案，適合于硬件實現(xiàn)。SNMP 和SNMP2 及Kerberos 系統(tǒng)都使用DES。NetScreen 的VPN 采用IPsec 協(xié)議。IPsec 作為在IPv4 及IPv6 上的加密通訊框架已為大多數(shù)廠商所支持。IPsec 主要提供IP 網(wǎng)絡(luò)層上的加密通訊能力。該標準為每個IP 包增加了新的包頭格式，AH （Authentication Header） 及ESP（Encapsulating Security Payload ）。IPsec 使用ISAKMP/Oa

20、kley 及SKIP 進行密鑰交換，管理及加密協(xié)商SA （Security Association）。通過在遠程用戶的PC機上安裝Netscreen Vpn Remote Client軟件和netscreen SSG 140建立VPN通道，可以實現(xiàn)遠程用戶和總部之間的安全通訊。它將與公司總部的netscreen SSG 140建立VPN 加密通道，通信的數(shù)據(jù)將在通道里得到保護，其他用戶將無法偵聽攔截數(shù)據(jù)包。實現(xiàn)數(shù)據(jù)保密。4.3 產(chǎn)品說明Netscreen-SSG 20簡介Juniper 網(wǎng)絡(luò)公司 SSG 20系列解決方案的關(guān)鍵特性與優(yōu)勢包括：高性能專用平臺，提供廣域網(wǎng)連接性與安全性，還可以保護

21、高速局域網(wǎng)免受內(nèi)部網(wǎng)絡(luò)層和應(yīng)用層攻擊 公認的安全性和局域網(wǎng)/廣域網(wǎng)路由功能，可以提供合并設(shè)備并降低IT成本 一套全面的統(tǒng)一威脅管理 (UTM) 安全特性，可防止網(wǎng)絡(luò)和應(yīng)用層攻擊，同時阻斷基于內(nèi)容的攻擊。UTM 安全特性包括： 狀態(tài)檢測防火墻，可進行接入控制并阻斷網(wǎng)絡(luò)層攻擊 IPS (深層檢測防火墻)，可阻斷應(yīng)用層攻擊 基于卡巴斯基實驗室掃描引擎的最佳防病毒特性，包括網(wǎng)頁仿冒、間諜軟件和廣告軟件防護等功能，可在病毒、特洛伊木馬和其他惡意軟件損害網(wǎng)絡(luò)之前阻斷它們 與賽門鐵克合作阻斷已知的垃圾郵件和網(wǎng)頁仿冒攻擊的發(fā)送方，提供防垃圾郵件功能 通過SurfControl 提供Web 過濾，阻止訪問已知的

22、惡意下載網(wǎng)站或其他不適當?shù)?web 內(nèi)容 站點間 IPSec VPN，可在辦事處之間建立安全通信 拒絕服務(wù)(DoS) 攻擊牽制功能 面向H.323、SIP、SCCP 和 MGCP 的應(yīng)用層網(wǎng)關(guān)，用于檢測并保護VoIP 流量 固定的局域網(wǎng)接口和廣域網(wǎng)接口選項，包括RS-232 Serial/AUX、V.92、T1、E1、ISDN BRI S/T 和ADSL 2+ 接口與路由靈活性，應(yīng)對不斷變化的網(wǎng)絡(luò)連接性需求和未來的增長需求 多種高可用性選項，可以在一秒鐘之內(nèi)在接口或設(shè)備之間進行故障切換 可自定義的安全區(qū)，能夠在不增加額外的硬件開銷的情況下提高接口密度，降低策略創(chuàng)建成本，控制未經(jīng)驗證的用戶和攻擊

23、，并簡化防火墻/VPN的管理 通過圖形Web UI、CLI或NetScreen-Security Manager 集中管理系統(tǒng)進行管理 基于策略的管理，允許集中的端到端生命周期管理 Netscreen-SSG 140簡介Juniper網(wǎng)絡(luò)公司SSG140的主要特性和優(yōu)勢包括：專用的高性能平臺，除提供廣域網(wǎng)連接和安全性外，還可保護高速局域網(wǎng)免遭內(nèi)部網(wǎng)絡(luò)和應(yīng)用級攻擊 公認的安全性和局域網(wǎng)/廣域網(wǎng)路由功能，允許整合產(chǎn)品并降低 IT 成本 一套完整的統(tǒng)一威脅管理(UTM)安全特性，用于防止網(wǎng)絡(luò)和應(yīng)用級攻擊，同時阻斷基于內(nèi)容的攻擊。UTM 的安全特性包括： 狀態(tài)檢測防火墻，用于執(zhí)行訪問控制和阻斷網(wǎng)絡(luò)級攻

24、擊 IPS (深層檢測防火墻)，可阻斷應(yīng)用級攻擊 基于 Kaspersky Lab 掃描引擎的一流防病毒功能，包括防網(wǎng)頁仿冒、防間諜軟件和防廣告軟件功能，可在病毒、特洛伊木馬和其他惡意軟件破壞網(wǎng)絡(luò)之前阻斷它們 與賽門鐵克合作開發(fā)了防垃圾郵件功能，用于阻斷已知垃圾郵件發(fā)送者和網(wǎng)頁仿冒者發(fā)送的郵件 使用SurfControl的Web過濾功能，可阻止用戶訪問已知的惡意下載網(wǎng)站或其他不適宜的Web內(nèi)容 站點間的 IPSec VPN，用于在分支機構(gòu)之間建立安全的通信連接 拒絕服務(wù)(DoS)防御功能 面向 H.323、SIP、SCCP 和 MGCP 的應(yīng)用層網(wǎng)關(guān)，用于檢測和保護 VoIP 流量 種類繁多的

25、模塊化局域網(wǎng)和廣域網(wǎng)接口選項 自動配置VPN (AC VPN)，允許在集中星形拓撲中自動建立并斷開遠程分支機構(gòu)之間的 VPN 隧道 多個高可用性選項，可在接口或設(shè)備之間實現(xiàn)一秒內(nèi)的故障切換 可定制的安全區(qū)，用于在不增加硬件成本的情況下增加接口密度、降低策略創(chuàng)建成本、牽制非法用戶和攻擊、簡化防火墻/VPN的管理 通過圖形 Web UI、CLI 或 NetScreen-Security Manager 中央管理系統(tǒng)進行管理 基于策略的管理支持集中的、端到端的生命周期管理 VPN技術(shù)的應(yīng)用網(wǎng)絡(luò)系統(tǒng)總部和各分支機構(gòu)之間采用公網(wǎng)網(wǎng)絡(luò)進行連接，其最大的弱點在于缺乏足夠的安全性。企業(yè)網(wǎng)絡(luò)接入到公網(wǎng)中，暴露出

26、兩個主要危險：來自公網(wǎng)的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。 當網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)進行通訊時，信息可能受到竊聽和非法修改。 完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在公網(wǎng)上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。VPN技術(shù)的原理:VPN系統(tǒng)使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全的通信，它采用復(fù)雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會被竊聽。其處理過程大體是這樣： 要保護的主機發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備； VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對數(shù)據(jù)進行加密或讓數(shù)據(jù)直接通過。 對需要加密的數(shù)據(jù)，VPN設(shè)備對整個數(shù)據(jù)包進行加密和附上數(shù)字簽名。

27、 VPN設(shè)備加上新的數(shù)據(jù)報頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。 VPN 設(shè)備對加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標VPN設(shè)備IP地址進行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。 當數(shù)據(jù)包到達目標VPN設(shè)備時，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密。 IPSec作為在IPv4及IPv6上的加密通訊框架，已為大多數(shù)廠商所支持。IPSec主要提供IP網(wǎng)絡(luò)層上的加密通訊能力。IPSec提供了兩種加密通訊手段：IPSec Tunnel：整個IP封裝在Ipsec-gateway之間的通訊。Ipsec transport：對IP包內(nèi)的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。IPsec Tunnel 不要求修改已配備好的設(shè)備和應(yīng)用，網(wǎng)絡(luò)黑客不能看到實際的通訊源地址和目的地址