模型中主要模块功能
防火墙过滤Internet上的不良信息以及防范攻击、盗窃和破坏被保护的网络信息资源;隧道交换机具有加密隧道的安全虚拟私有网络(VPN)的功能,提供在子网与子网的用户之间进行加密信息传输的“安全通道”,以使整个内联网络有机协调运行;网络管理中心具有鉴别、认证、授权功能;访问控制器是专为保护大型重要信息资源设置的内部防火墙。
防火墙
防火墙内置支持IPsec标准的密码算法模块,实现内联网(Intranet)与子网之间在TCP/IP环境下信息的安全交换。可根据系统管理的配置要求,在防火墙之间建立安全关联,实施机密数据的加密传送,确保信息穿越公共网的保密性和完整性。防火墙必须在经过CA认证、插入IC卡并输入正确的PIN后方能运行,从而保证了防火墙的合法性、唯一性和物理不可替代性。防火墙提供网络地址转换功能,确保内联网内子网和子网主机地址不向公共网络暴露,保护子网及其主机地址,同时为子网主机之间的通信,通过公共网络和接入Internet提供公共网络设备可识别的全局IP地址。IP分组过滤功能根据系统管理对安全策略的配置,实施子网之间以及内联网和Internet之间在TCP/IP环境下的进出访问控制、日志记录、流量统计以及违规事件告警,还可定义Trap信息传送和告警等,作为审计的数据源。加密防火墙只能经过CA认证之后才能和系统管理员交换加密信息,其自身系统与外部连接成一个不可登录的系统,从而保护防火墙不受来自外部的攻击。防火墙包含最小集内核的安全操作系统,保证了软件平台的可靠性和安全性。
网络管理中心
网络管理中心提供鉴别与认证服务。通过CA隔离整个网络对网络管理中心的访问,确保网络管理中心本身不受外部网络攻击;对防火墙与网络管理中心之间的配置和审计信息数据传输进行加密;作为认证机构,网络管理中心对防火墙设备进行标识,并对其进行网上鉴别与认证,确保防火墙设备的不可替代和更改;网上实时分发和更换防火墙之间的共享主密钥;对网管中心操作中有关网络安全的事件进行日志记录,并对网管中心操作防火墙的重要事件进行资格认定和授权。
网络管理中心定义防火墙的设备参数,在系统管理员的集中控制下,所有的防火墙能作为一个整体运行;定义加密防火墙(防火墙)正常运行所必须维持的网络参数(本地子网参数、防火墙之间的信息交换参数、网关参数、对防火墙的审计参数等);编制网络访问控制表(ACL),经编译后由CA加密传送给防火墙,作为过滤控制和加密传送的准则;定义防火墙之间进行安全通信的参数(防火墙相互识别,以及防火墙之间的密钥交换周期等);控制防火墙的复位操作;监视、审计和转储CA和防火墙的日志信息,对防火墙的配置信息和对来自CA以及防火墙的审计信息、Trap信息进行分类。
防火墙的所有配置和控制信息都经由CA加密传送。
虚拟私有网络(VPN)
安全外联网通过VPN来取代原有的专线,使网络的成本费用降低50%~75%。通过IPsec协议和隧道协议可以实现多协议的连接。快速建立VPN的工具可以简化对远程站点的建立与管理。另外,无论VPN,还是专线,安全外联网解决方案都是使用同样的设备进行支持。因此,借助于安全外联网解决方案,用户可以通过专线或采用虚拟专线的方式联入广域的路由网。采用了一系列的加密手段后,VPN可以变得像真正的专线一样安全,企业从而可以在VPN上运行业务。安全外联网解决方案采用的是基于标准的IPsec加密方式。
