Intranet 与网络安全
DEC公司的Altavista通道服务器,或使用由微软公司开发的点到点通道协议(PPTP)都可以将这些地址分配到未使用的地址中,并对路由器及其他需要进行地址更新的网络设备进行必要的修改。
如果VPN服务器在防火墙以内,网络管理员还要对防火墙进行重新配置。大多数VPN将所有信息流闭合起来,形成一股使用单一TCP端口号的信息流。这样,防火墙需要一个类属代理或用于传递封闭VPN信息 流的规则,以及允许将信息流传送到VPN设备上的规则。
如果VPN设备位于DMZ部分的外联网中,防火墙还需要一个允许加密信息流从Internet流动到DMZ上的规则,另外,还有让应用程序流从DMZ流动到内部网络上的规则。如果认证服务器位于内部网络上,防火墙的配置一定要有允许DMZ和专用网络间的认证请求。
网络管理员应该注意,网络中中有一个千万不能被篡改的地方是专用网络的域名系统(DNS)服务器,它负责专用网络设备的主机名称到IP地址的解析。如果DNS可在Internet上看到,那么攻击者可了解专用网络的布局。
8) 安装和配置VPN
对于基于软件的VPN和那些围绕防火墙制作的产品,从安全系统入手是根本。在安装前从服务器中取消所有不必要的服务、应用程序和用户帐户,以确保安装的是最新的、安全的产品,这样安装VPN软件才是安全的。
对VPN进行配置时,网管员要为一系列因素设定参数,包括密钥长度、主要与次要认证服务器及相关的共享秘密资源、连接和超时设置、证书核查VPN终点设备(而不是用户)的身份,大部分VPN产品都提供此功能。对此,一些厂商的实现的方式是,让所有信息进入总部设备下载相关信息。而对于远程用户,则需要建立口令,准备连接脚本,确立认证步骤。
网管员还要让认证和授权程序协调起来。两者听起来差不多,但有些微妙且重要的差别。认证是要证明远程用户是她或他声称的身份(在外联网设置中,要证明的则相反,即服务器可信)。授权是要确定远程用户有权访问何种网络资源。如果认证服务器还控制授权分组,例如营销或策划小组的授权,则系统还要注意核查它是否能正确地同VPN设备联络组信息。
31
Intranet 与网络安全
9) 监控和管理VPN
这一步是要建立监控Internet连接的机制,它可以测定VPN对网络的利用和吞吐量,而且也是培训访问台员工操作VPN设备及认识认证服务器和防火墙互相间的影响的重要一步。另外,机构中的所有网管员都应该了解VPN的基本操作,认识到管理VPN的人不应该只是那些安装和配置的人,最终用户也需要接受Internet了解及VPN软件工作原理的基本培训。而且,让最终一接受一些基本故障排除方法的培训,可以使他们能自己解决一些小故障。
10) 进行备份
随着用户对VPN的进一步熟悉,企业可能会涉及到一些由任务决定的应用程序,例如公司要为客户建立一个电子商店。在这样的情况下,备份连接是必须的,因此网管员在设计网络阶段就应为冗余链路和设备制定计划。信息流量大的站点应选择支持多设备负载均衡的VPN,原因在于提供负载均衡能力的VPN厂商非常少,目前NetScreen的防火墙产品支持负载均衡和流量控制的功能同时也支持冗余路径。
即使网络应用并不重要,进行备份也不失为避免用户投诉的好办法。在这方面,保留几台调制解调器和电话线路用于紧急情况可能就足矣。然而,这种方法的费用较高,而且速度慢,对于LAN到LAN的连接,备份连接最好由ISDN或其他专用线路来满足。要注意的是,一定要定期测试备份连接系统。
3.3.4 复合型防火墙体系
防火墙体系的采纳是一个非常专业化的过程,不是一个简单的是和非。当然可以根据具体的情况,作出一定的安全政策,并采用某种上述特定的防火墙。但绝大多数情况是,根据具体的安全需求,通过某种体系构架,来实现更高强度的安全体系。或者是采用包含上述功能的复合型防火墙。我们就具体的情况作一个简单的说明:
32
Intranet 与网络安全
屏蔽主机网关由一个运行代理服务 双穴网关和一个具有包过滤功能的路由器组成,功能的分开提高了防护系统的效率。
一个独立的屏蔽子网位于Intranet与Internet之间,起保护作用。它由两台过滤路由器和一台代理服务主机构成。路由器过滤掉禁止或不能识别的信息,将合法的信息送到代理服务主机上,并让其检查,并向内或向外转发符合安全要求。
4、NetScreen 网络安全解决方案
4.1 公司背景
NetScreen 科技公司成立于1997年10月,总部位于美国加州的硅谷。公司的奠基者有过在Cisco和Intel等科技领先公司多年的工作经验。1998年11月,Robert Thomas即Sun公司的执行总裁加盟NetScreen公司,任公司总裁。
公司致力于发展一种新型的与网络安全有关的高科技产品,把多种功能集成到一起,创造新的业界性能纪录。NetScreen创建新的体系结构并已取得了专利。该项技术能有效消除传统防火墙实现数据加盟时的性能瓶颈,能实现最高级别的IP安全(Ipsec),先进的系统级的设计允许产品提供多种功能,并且这些功能都具有无与伦比的性能。
NetScreen 科技公司已经为业界在虚拟专用网领域设立了新的安全解决系统的标准。所有的功能全部放在有关专有的硬件平台的盒子里,并且这些功能都有着无与伦比的性能。
目前公司由 Sequoia Capital投资赞助。Sequoia 是一家领先的风险投资公司,成立于1974年,已成功地为超过350家公司提供了最初的风险投资基金,其中包括3Com 公司、Cisco 系统公司、Oracle 公司、Symantec 公司和Yahoo 公司等等。其中大部分公司的股票都已成功上市。
NetScreen 科技公司目前有50多名员工公司在全美的主要城市都设有办事处,而且积极拓展海外市场。用户群包括HP、日立、日本电讯电话公司和美国在线等,覆盖了欧美亚等十几个国家和地区。
NetScreen公司的产品NetScreen-100获得了KeyLabs工作组的“测试首选
33
Intranet 与网络安全
奖”,在1998年4月举行的数据通讯杂志的评测中,NetScreen-100的VPN吞吐量是获得第二名的2.5倍。1998年11月,NetScreen公司再次荣获“测试者选择奖”,这是数据通讯杂志的年度奖。在同类产品中,NetScreen是唯一员工把防火墙、虚拟专用网(VPN)、负载均衡及流量控制结合起来,且提供100M的线速性能的产品。NetScreen保证这一点。
在1998年的8月和9月,NetScreen-10 和NetScreen-100 通过了ICSA (国际计算机安全协会)的防火墙认证。1998年9月,NetScreen 推出了VPN远程存取客户端软件。1998年10月,NetScreen 宣布推出 NetScreen-1000的产品。这是第一个支持千兆位传输的具有防火墙和VPN功能的产品。
1998年6月,NetScreen-100 被HP公司选为它在防火墙方面的新的合作伙伴。HP的合作伙伴是在全球范围年为HP提供集成解决系统,并在增强用户的Internet上的应用。NetScreen是HP选中的二家防火墙厂家的一家,而且是唯一一家基于硬件的产品。1998年12月日立公司宣布它将在日本推广NetScreen 产品。日立公司准备在未来三年内卖出10000套NetScreen 产品。
4.2 产品系列
目前,NetScreen 有 NetScreen-10 用于10MB 传输的网络。NetScreen-100 用于 100MB 传输的网络。NetScreen-100 端口是自适应的端口,也可用于目前传输为10MB 并计划将来升级为100MB的网络。
NetScreen-1000 不久将要面市,它将为那些大型企业和网络主干的供应商提供千兆网安全的解决方案。
NetScreen-5 目前正在测试阶段。它的大小类似一个CDROM。它是为小型办公室或个人用户而设计的。
NetScreen 远程 VPN 客户软件可提供远程VPN访问的解决方案。
4.3 产品功能及特点
NetScreen产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RISC CPU和
34
Intranet 与网络安全
专用软件。
NetScreen防火墙的专用ASIC芯片提供存取策略的功能。该功能以硬件方式实现,它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。(策略存取执行防火墙保护和加密解密功能)。由于做到了系统级的安全处理功能。NetScreen消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。
NetScreen提供了多功能和高安全性能的无缝连接,NetScreen-1000, NetScreen-100 和 NetScreen-10 分别提供了1000M、100M和10M的传输性能。NetScreen-1000是市场上唯一的千兆的集防火墙、VPN和流量管理于一身的防火墙产品。同样,NetScreen-100是业界最快的防火墙,另外,NetScreen自动调整端口速率,使其达到10M和100M自适应。
因为是基于硬件的设计,NetScreen是唯一一家安全解决系统的提供商,NetScreen产品的高性能允许用户享受到高速的好处,可提供多条E1线路,甚至更高如E3的线路。
另外,该产品允许用户在远程实现加密通信,并且这种VPN功能不影响性能。NetScreen提供给ISP们一个价廉物美的安全解决方案。NetScreen-10为中小企业提供他们负担得起的全面的安全解决方案。允许他们在自己的企业网内部构筑安全体系。 性能
NetScreen产品动态加密保护和按优先级实时监控未来数据,它专有的独特的系统设计保证了它的高性能,ASIC芯片可以独自处理并过滤包。先进的多总线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。
用户认证和策略
35