VPN网络安全接入方案建议书
VPN安全解决方案
VPN安全解决方案一、现状与需求:随着社会的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况也使传统企业网络的功能缺陷越来越凸现,各公司均根据行业特点在在企业总部部署如OA系统、ERP系统、财务系统、GIS地理信息系统等应用软件,将企业分布在各地的分支机构和办事处与企业总部互联,达到安全地共享数据和软件资源的目的,于是用户对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。
VPN(虚拟专用网)技术的出现,为在公共网络上建立安全的Intranet分布应用提供了良好的技术手段。
随着VPN技术的不断完善,其管理简单、灵活性高、费用低廉的优点已成为构建内部广域网络的首要选择。
传统的企业网络解决方案需要VPN网关、防火墙、交换三块设备,对安全比较注重的企业还要考虑布署IDS/IPS(入侵检测/防御系统)等,用分体的设备无疑会增加成本,同时可能故障点会增多,管理较为复杂,SAMSUNG充分考虑信息化投资效果,推出了集路由交换、VPN、防火墙、VOIP于一体的模块化的UBigate系列产品,为企业网络提供了全面的、高效率、可扩展的、安全的VPN解决方案。
二、三星UBigate3026特点:整机模块化设计,所有模块支持热拔插功能,用户可量身定制自已的配置,升级、维护极灵活,具备很强的可扩展性。
1、路由交换:支持RIP,OSPF,BGP协议,QOS机制,二、三层企业级交换能力,21G的吞吐量,支持最多54个千兆端口,4个光纤端口2、防火墙(ISM模块)、VPN(VAC卡)防火墙的吞吐量:400Mbps,VPN吞吐量:200Mbps,最大VPN隧道:2000支持IPS/IDS、网关防病毒、防垃圾邮件、URL过滤、Web应用软件防火墙、终端安全性3、VoIP支持模拟和数字电话提供接口,配备了带有IP电话和PoE的以太模块,能够提供灵活多变的企业级语音服务。
并通过广泛的QoS使企业语音和数据业务真正整合,支持模拟、数字和IP电话。
VPN安全方案
VPN安全部署方案摘要:本方案首先介绍了VPN的安全机理、加密手段及在日常办公中给我们带来的便捷,其次通过具体方案来介绍VPN 的产品部署及设备的选型,最后介绍了VPN在日常使用中的安全建议。
一、企业VPN网络背景对于传统内网连接来说如果出现跨区域的情况,例如公司在北京和上海各有一个分部,当这两个分部网络互相分享文件信息时只能通过internet解决,由于所有跨部门的数据包都是在internet公共网络上传输,所以即使数据经过简单加密仍然很容易被黑客监听和破解,这点缺陷为企业内网安全带来了巨大的隐患,特别是金融行业和企业机密信息比较多的公司。
如何提高数据的安全呢?这时VPN的优势就大大体现了。
一、VPN适用环境:并不是所有情况对于VPN都是合适的,例如公司只在北京有一个分部,而且网络都在一个内网中,这时候就不需要使用VPN了。
内网中数据的传输躲开了internet公网,从而避免了机密信息被黑客监听的概率。
那么VPN适用于什么网络环境呢?他主要用于互连两个局域网,当然也有连接远程单个用户和公司局域网的,不过用的最多的还是前者。
比较常见的就是上面提到的那种情况――公司在北京和上海各有一个分部,这两个分部网络需要互相分享文件信息。
(如下图)二、直接提高企业网络安全:首先我们来看看VPN的安全机理,他和简单的将数据包加密是不同的。
VPN使用三个方面的技术保证了通信的安全性:通道协议、身份验证和数据加密。
客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务端,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN 服务器将检查该用户是否具有远程访问的权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。
在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
通俗的讲当VPN客户端和VPN服务器建立连接成功后,所有的数据信息都是在一个专门独立出来的隧道中传输的,这个隧道是电信提供给我们的,在电信方面进行了必要的安全措施,隧道很难被黑客发现。
VPN技术方案建议书
VPN 技术方案建议书------VPN 介绍虚拟私有网络 VPN(Virtual Private Network) 浮现于 Internet 盛行的今天,它使企业网络几乎可以无限延伸到地球的每一个角落,从而以安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。
虚拟专用网(VPN)是利用公众网资源为客户构成专用网的一种业务。
我们这里所提的 VPN 有两层含义:一、它是虚拟的网,即没有固定的物理连接,网路惟独用户需要时才建立;二、它是利用公众网络设施构成的专用网。
VPN 实际上就是一种服务,用户感觉好象直接和他们的个人网络相连,但实际上是通过服务商来实现连接的。
VPN 可以为企业和服务提供商带来以下益处:采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用;公司能利用无处不在的 Internet 通过单一网络结构为职员和商业火伴提供无缝和安全的连接;对于企业,基于拨号 VPN 的 Extranet 能加强与用户、商业火伴和供应商的联系;电话公司通过开展拨号VPN 服务可以减轻终端阻塞;通过为公司提供安全的外界远程访问服务, ISP 能增加收入;通过 Extranet 分层和相关竞争服务, ISP 也可以提供不同的拨号 VPN。
VPN 兼备了公众网和专用网的许多特点,将公众网可靠的性能、丰富的功能与专用网的灵便、高效结合在一起,是介于公众网与专用网之间的一种网。
VPN 能够充分利用现有网路资源,提供经济、灵便的连网方式,为客户节省设备、人员和管理所需的投资,降低用户的电信费用,在近几年得到了迅速的应用。
有专家认为, VPN 将是本世纪末发展速度最快的业务之一。
1.1 什么是 VPN通过对网络数据的封包和加密传输,在公网上传输私有数据、达到私有网络的安全级别,从而利用公网构筑 Virtal Private Network (即 VPN)。
如果接入方式为拨号方式,则称之为 VPDN。
网络安全及VPN互联解决实施方案书
网络安全及VPN互联解决方案2018年8月16日目录一、需求概述0二、解决方案11.1方案概述11.2网络拓扑22・3设备部署方式2三 .产品选型和性能3四.产品功能介绍44.1深信服NGAF下一代应用防火墙功能特性44.2深信服S5000-AC上网行为管理功能特性10一、需求概述互联网及IT技术的应用在改变人类生活的同时,也滋生了各种各样的新问题,其中信息网络安全问题将成为其面对的最重要问题之一。
网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展,使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。
Web 时代的安全问题已远远超于早期的单机安全问题,尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善,但是道高一尺魔高一丈,黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测,在攻击和入侵的形式上也与应用相结合越来越紧密。
这些都使传统的安全设备在保护网络安全上越来越难。
目前更多的出现了以下的问题:1.投资成本攀升,运维效率下降2.“数据库泄密”、“网页遭篡改”等应用层安全事件频现3.网络管理人员对企业流量束手无策4.部署UTM,网络中断或访问变慢5.内网出现威胁,追究责任困难6.总部和分支之间的网络如何互连以实现安全资源共享二、解决方案2.1方案概述根据公司网络安全的需求,我们推荐采用深信服NGAF-1320下一代应用防火墙做出口网关,对内外网通讯以及内部服务器的安全提供保障,通过NGAF强大的流控功能对内部员工上网流量以及P2P等大流量行为进行控制,同时NGAF还提供了IPSec VPN互连的功能,可以用作总部分支的安全互连。
针对分公司可以采用深信服S5000-AC上网行为管理网关作为分公司的互联网网关使用,通过AC设备的应用控制功能同样可以实现对内部员工的流量进行合理的管控,分公司通过AC上网行为管理的IPSec VPN功能与总部的NGAF防火墙进行互联,实现总部和分支的安全互联。
ipsecvpn安全接入技术要求与实施指南
ipsecvpn安全接入技术要求与实施指南一、IPSec VPN概述IPSec VPN(Virtual Private Network,虚拟专用网络)是一种通过公共网络(如互联网)构建安全的加密通道,实现远程用户与内部网络的远程接入技术。
IPSec VPN技术在我国得到了广泛的应用,为企事业单位提供了便捷、安全的远程办公解决方案。
二、IPSec VPN安全接入技术要求1.设备要求为确保IPSec VPN的安全接入,需要选用具备高性能、稳定可靠、支持多种加密算法的VPN设备。
同时,设备应支持严格的身份认证和访问控制功能,以防止未经授权的用户接入。
2.网络架构要求IPSec VPN网络应采用星型拓扑结构,以降低网络故障对业务的影响。
同时,应合理规划VPN网关的部署位置,确保网络的可靠性和安全性。
3.安全策略要求针对VPN网络的特点,应制定合理的安全策略,包括数据加密、身份认证、访问控制、入侵检测等。
同时,要确保安全策略的实施和持续优化。
4.身份认证和授权要求对VPN用户进行严格的身份认证和授权,确保只有经过授权的用户才能访问内部网络资源。
同时,要实现用户权限的动态调整,以满足不同业务场景的需求。
三、IPSec VPN实施流程1.设备选型与部署根据实际需求选择合适的VPN设备,并进行部署。
部署过程中要确保设备之间的连接稳定,网络拓扑结构合理。
2.网络配置与优化对VPN网络进行配置,包括IP地址规划、路由策略、QoS设置等。
同时,根据实际网络状况进行优化,确保网络性能。
3.安全策略配置与监控配置VPN安全策略,包括数据加密、身份认证、访问控制等。
同时,建立完善的监控体系,对VPN网络的安全状态进行实时监控。
4.身份认证与授权配置配置用户身份认证和授权策略,确保只有授权用户才能访问内部网络资源。
5.测试与验收在IPSec VPN实施完毕后,进行详细的测试与验收,确保网络性能、安全性和稳定性满足要求。
四、IPSec VPN运维与管理1.日常监控对VPN网络进行日常监控,包括设备状态、安全事件、网络性能等。
VPN解决方案
VPN解决方案标题:VPN解决方案引言概述:随着网络安全日益受到重视,VPN(Virtual Private Network)成为了保护网络通信安全的重要工具。
本文将介绍VPN的解决方案,匡助读者更好地了解如何选择和使用VPN。
一、VPN的基本原理1.1 加密通信:VPN通过加密技术将用户的数据进行加密,保障数据在传输过程中不被窃取。
1.2 隧道传输:VPN在公共网络上建立一个安全的通道,使用户的数据传输得以安全和私密。
1.3 身份验证:VPN要求用户在连接时进行身份验证,确保惟独授权用户可以访问网络资源。
二、常见的VPN解决方案2.1 远程访问VPN:适合于需要在外出办公时安全访问公司内部网络的员工。
2.2 站点到站点VPN:适合于不同办公地点之间建立安全通信的需求,如总部和分支机构之间的连接。
2.3 SSL VPN:基于SSL协议的VPN解决方案,适合于需要通过Web浏览器访问公司内部资源的用户。
三、选择VPN解决方案的考虑因素3.1 安全性:选择VPN解决方案时,安全性是首要考虑因素,确保数据传输的安全和私密性。
3.2 可靠性:VPN解决方案的稳定性和可靠性也是重要考虑因素,避免浮现连接中断或者数据丢失的情况。
3.3 成本效益:考虑VPN解决方案的成本与效益,选择适合自身需求和预算的方案。
四、部署VPN解决方案的步骤4.1 网络规划:根据公司的网络结构和需求,制定VPN部署计划,确定需要连接的站点和用户。
4.2 选择供应商:选择可靠的VPN供应商,根据需求选择合适的VPN解决方案。
4.3 配置和测试:配置VPN设备和软件,进行测试确保VPN连接正常稳定。
五、VPN解决方案的管理和维护5.1 定期更新:定期更新VPN软件和设备,确保系统安全性和稳定性。
5.2 监控和报警:建立监控系统,及时发现并解决VPN连接问题。
5.3 培训和意识:对员工进行VPN使用培训,提高网络安全意识,防范网络攻击和数据泄露。
VPN 解决方案技术建议书
***单位VPN互联解决方案技术建议书2010-5-6目录目录 (i)1概述 (2)1.1VPN技术 (2)1.1.1L2TP VPN技术 (2)1.1.2IPSec VPN技术 (3)2**单位VPN需求分析 (4)3**单位VPN解决方案 (5)3.1**单位VPN互联解决方案组网图 (6)3.2**单位 VPN 解决方案方案组网说明 (6)3.2.1VPN接入网关子系统 (6)3.2.2移动用户VPN客户端子系统 (9)3.2.3VPN 集中管理子系统 (9)4华为VPN接入解决方案特点 (10)4.1全面的VPN业务支撑能力 (10)4.2领先的 VPN 性能及高可靠的硬件体系 (11)5成功案例 (12)5.1奥运城市数据系统VPN项目 (12)5.2电子政务VPN应用案例 (13)1概述随着现代社会网络经济的发展,企业日益发展扩大,办事处、分支机构、出差员工以及商业合作伙伴逐步增多,如何将这些小型的办公网络、移动办公员工和企业总部网络进行经济灵活而有效的互联,并且与整个企业网络安全方案有机融合,提高企业信息化程度,优化商业运作效率,成为企业IT网络设计工程师亟待解决的问题。
VPN技术正是基于此应运而生,能够为此提供全面的解决方案,在不安全的Internet之上建立廉价、安全、私有的企业VPN 网络,包括Site-to-Site VPN与Access VPN。
1.1VPN技术VPN技术是为了解决在不安全的Internet上安全传输机密信息,保证信息的完整性、可用性以及保密性。
企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,VPN 技术是企业传输数据非常理想的选择。
1.1.1L2TP VPN技术L2TP VPN技术将整个PPP帧封装在二层隧道中进行数据传输,属于二层隧道技术。
L2TP VPN(VPDN)是一种典型的远程拨号访问企业VPN的组网模式,在下图中,LAC表示L2TP 访问集中器(L2TP Access Concentrator),是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备,LAC一般就是一个网络接入服务器NAS(Network Access Server),它通过PSTN/ISDN为用户提供网络接入服务;LNS表示L2TP网络服务器(L2TP Network Server),是用于处理L2TP协议服务器端的软件。
VPN解决方案
VPN解决方案引言概述:随着互联网的普及和数据的快速增长,网络安全问题日益突出。
虚拟私人网络(VPN)解决方案应运而生,为用户提供了一种安全、私密的网络连接方式。
本文将介绍VPN解决方案的概念、工作原理以及其在不同场景下的应用。
一、VPN解决方案的概念1.1 VPN的定义虚拟私人网络(VPN)是一种通过公共网络(例如互联网)建立的加密通道,用于实现远程访问、数据传输以及网络连接的安全性。
1.2 VPN的分类- 远程接入VPN:用于远程用户通过互联网访问企业内部网络资源,实现远程办公和资源共享。
- 站点到站点VPN:用于连接不同地点的局域网(LAN),实现分支机构之间的安全通信。
- 专线VPN:通过租用专线连接不同地点,实现安全的点对点通信。
1.3 VPN的加密技术- 对称加密:使用相同的密钥进行加密和解密,速度快,但密钥传输存在风险。
- 非对称加密:使用公钥和私钥进行加密和解密,安全性高,但速度较慢。
- 散列函数:将数据转换为固定长度的哈希值,用于校验数据的完整性。
二、VPN解决方案的工作原理2.1 建立VPN连接- 认证:用户通过用户名和密码进行身份验证,确保连接的安全性。
- 密钥交换:使用非对称加密技术交换密钥,确保连接的机密性。
- 通道建立:通过隧道协议在客户端和服务器之间建立加密通道,确保数据的安全传输。
2.2 数据加密和解密- 数据加密:使用对称加密算法对传输的数据进行加密,确保数据的机密性。
- 数据解密:接收方使用相同的密钥对加密数据进行解密,还原原始数据。
2.3 数据传输和路由- 数据传输:加密后的数据通过VPN隧道在公共网络中传输,确保数据的安全性。
- 路由:VPN网关根据目标IP地址将数据转发到相应的目标地址,确保数据的准确传输。
三、远程接入VPN解决方案3.1 远程办公- 员工可以通过VPN连接到公司内部网络,远程访问文件、数据库等资源,实现远程办公。
- VPN提供的加密通道保护了数据的机密性,确保数据在传输过程中不被窃取或者篡改。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
VPN网络安全接入方案建议书目录第一章网络安全思想概述11.1 前言11.2 威胁来自何处21.3 防火墙简介31.4 安全网络41.5 虚拟专用网VPN51.5.1 如何构筑虚拟专用网VPN51.5.2 安装和配置VPN8第二章用户总体需求分析9第三章网络安全解决方案103.1 防火墙安全方案103.2 XX网络安全解决方案描述113. 3 VPN网的建立12第四章、Hillstone山石网科介绍133.4.1 产品功能及特点133.4.2 访问控制153.4.3 管理163.4.4 产品适用X围17第一章网络安全思想概述1.1 前言随着计算机与网络通信技术的发展,越来越多的企业活动建立在计算机网络信息系统的基础上。
而Internet在世界X围内的迅速普及,使企业内部网络联入世界X围的Internet的要求越来越迫切。
Internet上的商务和经济活动的增多对网络系统的安全提出了很高的要求,解决这些问题的难度也越来越大。
来自企业内部和外部的非法访问和恶意入侵事件时有发生,并呈不断上升的趋势。
这不仅影响了计算机网络系统的实际应用,而且还极大地动摇了用户的信心。
“我们能使用计算机来处理我们的重要信息吗”。
1.2威胁来自何处面对汹涌而来的信息技术革命,如何保证计算机网络信息系统的安全,保护自己不受安全隐患的威胁,并且有效的管理、合理地使用网络信息资源,已成为每一个企业所关心的迫切问题。
电子商务、网上银行等网上商务活动的急剧增长对网络信息系统的安全提出了更迫切的要求。
我们认为,计算机网络信息系统的安全问题主要来源于以下几个方面:●非法入侵:包括来自企业内部和外部的非法入侵,导致数据的丢失和泄密、系统资源的非法占有等;●计算机病毒:导致系统的性能下降甚至崩溃,系统数据的丢失等;●拒绝服务攻击:非法占用系统资源,导致系统服务停止甚至崩溃;计算机网络信息系统安全威胁的另一个来源是:人们通常将网络系统作为一项技术或工程来实施,缺乏统一的安全管理策略和专门的网络安全管理人才。
而且,网络信息系统的安全环境是非常复杂并且不断变化的,但相当多的系统管理员只将精力集中于XX的维护、系统日志审查和网络规X的设计及调整上面,很少有人去研究网络安全状态的发展变化、计算机入侵手段、系统安全防X措施、安全策略,甚至更少有时间去监控网络的实际活动状态、入侵迹象或系统的错误使用记录等,这就导致了网络系统实际的安全状态和预期标准之间相差很远。
最终用户只期望尽快使用网络,最大限度地获取有效的信息资源,但很少考虑此过程中实际的风险和低效率。
他们侧重于类似NetscapeNavigator、Internet Explorer、Word、PowerPoint 等应用软件的操作上面,很少接受如网络攻击、信息XX、人为破坏系统和篡改敏感数据等有关安全知识的培训。
因此,从本质上来说,计算机信息系统的安全威胁都是利用了系统本身存在的安全弱点,而系统在使用、管理过程中的误用和漏洞更加剧了问题的严重性。
网络系统的安全性包括有●网络访问的控制●信息访问的控制●信息传输的保护●安全攻击的检测和反应●文件病毒的防备●灾难防备计划如何才能快捷地访问外部网络,同时又能有效地保护内部局域网的安全----防火墙是实现网络安全的有效产品。
在内部网络和外部网络之间合理有效地使用防火墙成为网络安全的关键。
1.3 防火墙简介对计算机网络信息资源安全、可靠、有效的的存取控制是信息系统安全的一个重要组成部分,而各种防火墙设备则提供了对企业网络资源的强有力的保护。
防火墙是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信实施监控,而这种实时监控建立在统一的企业安全策略之上,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
防火墙最基本的监控标准是服务、用户和资源等。
从历史上来说,防火墙的发展经历了四代,即:包过滤防火墙(Packet Filtering),代理防火墙(Proxy),状态检测防火墙(Stateful Inspection),混合型防火墙(同时才用应用代理与状态检测技术)。
(1)包过滤防火墙在互联网络这样的TCP/IP网络上,所有往来的信息都被分割成许许多多一定长度的信息包,包中包含发送者的IP地址和接收者的IP地址信息。
当这些信息包被送上互联网络时,路由器会读取接收者的IP并选择一条合适的物理线路发送出去,信息包可能经由不同的路线抵达目的地,当所有的包抵达目的地后会重新组装还原。
包过滤式的防火墙会检查所有通过的信息XX部的IP地址,并按照管理员所给定的过滤规则进行过滤。
如果对防火墙设定某一IP地址的站点为不适宜访问的话,从这个地址来的所有信息都会被防火墙屏蔽掉。
包过滤防火墙的优点是它对于用户来说是透明的,处理速度快而且易于维护,通常做为第一道防线。
但包过滤路由器通常没有用户的访问日志,这样就不能得到入侵者的攻击记录。
(2)应用级网关应用级网关也就是通常我们提到的代理服务器,如Microsoft Proxy Server、Netscape Proxy Server、Squid和Wingate等等。
它适用于特定的互联网服务,如超文本传输(HTTP),远程文件传输(FTP)等等。
代理服务器通常运行在两个网络之间,它对于客户来说象是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。
当代理服务器接收到用户对某站点的访问请求后会检查该请求是否符合控制规则的规定,如果规则允许用户访问该站点的话,代理服务器会象一个客户一样去那个站点取回所需信息再转发给客户。
代理服务器通常都拥有一个高速缓存,这个缓存存储有用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。
代理服务器会象一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源,诸如用户的IP地址等。
应用级网关比单一的包过滤更为可靠,而且会详细地记录所有的访问状态信息。
但是应用级网关也存在一些不足之处,首先它会使访问速度变慢,因为它不允许用户直接访问网络,而且应用级网关需要对每一个特定的服务安装相应的代理服务软件,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件,更不幸的是,并不是所有的互联网应用都可以使用代理服务器。
(3)状态监测防火墙这种防火墙具有非常好的安全特性,它使用了一个在网关上执行安全策略的软件模块,称之为监测引擎。
监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。
监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。
与前两种防火墙不同,当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
一旦某个访问违反安全规定,就会被拒绝,并报告有关状态作日志记录。
状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息,而包过滤和应用网关防火墙都不支持此类应用。
这种防火墙无疑是非常坚固的,但它对网络的速度有一定影响,而且配置也比较复杂,好在有关防火墙厂商已注意到这一问题,如Hillstone 公司的防火墙产品Hillstone产品系列,它所有的安全策略规则都可以通过面向对象的图形用户界面(GUI)来定义的,简化了配置过程。
防火墙的生产厂商们已在他们的产品中加入了更多的新技术来增加产品的竞争力。
网络应用的内容安全,如在网关上对计算机病毒进行实时的扫描和防护便是最新加入防火墙的功能。
根据国际计算机安全协会(ICSA)的一份报告,在1996年有23%的病毒感染是由Email引起的。
某些防火墙产品已能够监测通过HTTP,FTP,SMTP等协议传输的已知病毒。
1.4 安全网络一个安全的网络系统应包括以下几个方面:(1) 访问控制实施企业网与外部、企业内部不同部门之间的隔离。
其关键在于应支持目前Internet中的所有协议,包括传统的面向连接的协议、无连接协议、多媒体、视频、商业应用协议以及用户自定义协议等。
(2) 普通授权与认证提供多种认证和授权方法,控制不同的信息源。
(3) 内容安全对流入企业内部的网络信息流实施内部检查,包括URL过滤等等。
(4) 加密提供防火墙与防火墙之间、防火墙与移动用户之间信息的安全传输。
(5) 网络设备安全管理目前一个企业网络可能会有多个连通外界的出口,如连接ISP的专线、拨号线等,同时,在大的企业网内不同部门和分公司之间可能亦会有由多级网络设备隔离的小网络。
根据信息源的分布情况,有必要对不同网络和资源实施不同的安全策略和多种级别的安全保护,如可以在防火墙上实施路由器、交换机、访问服务器的安全管理。
(6) 集中管理实施一个企业一种安全策略,实现集中管理、集中监控等。
(7) 提供记帐、报警功能实施移动方式的报警功能,包括、SNMP等。
1.5 虚拟专用网VPNEXTRANET和VPN是现代网络的新热点。
虚拟专用网的本质实际上涉及到密码的问题。
在无法保证电路安全、信道安全、网络安全、应用安全的情况下,或者也不相信其他安全措施的情况下,一种行之有效的办法就是加密,而加密就是必须考虑加密算法和密码的问题。
考虑到我国对密码管理的体制情况,密码是一个单独的领域。
对防火墙而言,是否防火墙支持对其他密码体制的支持,支持提供API来调用第三方的加密算法和密码,非常重要。
1.5.1 如何构筑虚拟专用网VPN企业利用Internet构筑虚拟专用网络(VPN),意味着可以削减巨额广域网成本,然而在VPN中确保关键数据的安全等因素又是企业必须面对的问题。
削减广域网成本,吸引新客户,这是当今每一位企业主管的求胜之路。
但是涉及到Internet,企业有得又有失,比如专用线路的高可靠性及安全性就是VPN需要重点考虑的地方。
相比之下VPN比租用专线的费用低近80%,而且可以将Internet上的多个连接起来,使企业接触新的企业伙伴和客户。
1)明确远程访问的需求首先企业要明确需要与哪种WAN连接,用户是通过LAN/WAN还是拨号链路进入企业网络,远程用户是否为同一机构的成员等问题。
WAN的连接有两类:内联网连接和外联网连接。
内联网连接着同一个机构内的可信任终端和用户,这一类典型连接是总部与下属办事处、远程工作站及路途中用户的连接。
对于内联网连接,VPN应提供对企业网络相同的访问途径就好象用户或下属办事处真正与总部连接起来。
内联网VPN执行的安全决策通常是标准的公司决策,远程用户至少要经过一次认证。