賞析某企業(yè)內(nèi)網(wǎng)防火墻設(shè)計方案全過程

1、前言

防火墻能可行地控制內(nèi)部網(wǎng)絡(luò)（網(wǎng)絡(luò)就是用物理鏈路將各個孤立的工作站或主機相連在一起，組成數(shù)據(jù)鏈路，從而達(dá)到資源共享和通信的目的）與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達(dá)到保護內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的，它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。咱們設(shè)計的防火墻原因是讓它來防御外部網(wǎng)絡(luò)對某企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊，并且也防止內(nèi)部網(wǎng)絡(luò)不法人員把該企業(yè)數(shù)據(jù)泄漏出去。曾經(jīng)的防火墻處于網(wǎng)絡(luò)體系的網(wǎng)絡(luò)層，用它來負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但當(dāng)前防火墻技術(shù)在不停的發(fā)展，已經(jīng)從網(wǎng)絡(luò)層擴展到了別的安全層，它的任務(wù)不再是過濾任務(wù)，并且還能夠為網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全辦事，并且防火墻產(chǎn)品也發(fā)展成為具有數(shù)據(jù)安全與用戶認(rèn)證和防止病毒與黑客入侵的本領(lǐng)。

2、采用的防火墻技術(shù)

首先咱們來研究下該企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中設(shè)計防火墻時所采用的防火墻技術(shù)。在設(shè)計防火墻體系結(jié)構(gòu)時，應(yīng)從現(xiàn)有的防火墻技術(shù)出發(fā)，通常采用的防火墻技術(shù)有：

（1）包過濾技術(shù)

包過濾（PaCketFilter）技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施（實際的行為）有選擇的經(jīng)過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯，檢查數(shù)據(jù)流中每個數(shù)據(jù)包后，根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端標(biāo)語、TCP/UDP目的端標(biāo)語及數(shù)據(jù)包頭中的各種標(biāo)記位等原因來確定是否允許數(shù)據(jù)包經(jīng)過，其核心是安全策略即過濾算法的設(shè)計。比如，用于特定的因特網(wǎng)辦事的辦事器駐留在特定的端標(biāo)語的事實（如TCP端口23用于Telnet連接），使包過濾器可以經(jīng)過簡單的規(guī)定適當(dāng)?shù)亩藰?biāo)語來達(dá)到阻止或允許一定類型的連接的目的，并可進一步組成一套數(shù)據(jù)包過濾規(guī)則。包過濾技術(shù)作為防火墻的應(yīng)用有三類：一是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外，并且進行包過濾，這是現(xiàn)在較常用的方式;二是在工作站上應(yīng)用軟件進行包過濾，這種方式價格較貴;三是在一種稱為屏蔽路由器的路由設(shè)備上啟動包過濾功能。

（2）網(wǎng)關(guān)技術(shù)

應(yīng)用網(wǎng)關(guān)（ApplicationGateway）技術(shù)是創(chuàng)建在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾，它針對特別的網(wǎng)絡(luò)應(yīng)用辦事協(xié)議即數(shù)據(jù)過濾協(xié)議，并且可以對數(shù)據(jù)包研究并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境賜與嚴(yán)格的控制，以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對經(jīng)過的信息進行記錄，如什么樣的用戶在什么時間連接了什么站點。在實際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。

有部分應(yīng)用網(wǎng)關(guān)還存儲Internet上的那些被頻繁應(yīng)用的頁面。當(dāng)用戶請求的頁面在應(yīng)用網(wǎng)關(guān)辦事器緩存中存在時，辦事器將檢查所緩存的頁面是否是最新的版本（即該頁面是否已更新），假設(shè)是最新版本，則直接提交給用戶，不然，到真正的辦事器上請求最新的頁面，然后再轉(zhuǎn)發(fā)給用戶。

（3）代理辦事器技術(shù)

代理辦事器（ProxyServer）作用在應(yīng)用層，它用來提供應(yīng)用層辦事的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請辦事時中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的辦事請求，拒絕外部網(wǎng)絡(luò)別的接點的直接請求。

具體地說，代理辦事器是運行在防火墻主機上的專門的應(yīng)用程序大概辦事器程序;防火墻主機可以是具有一個內(nèi)部網(wǎng)絡(luò)接口和一個外部網(wǎng)絡(luò)接口的雙重宿主主機，也可以是部分可以訪問因特網(wǎng)并被內(nèi)部主機訪問的堡壘主機。這些程序接受用戶對因特網(wǎng)辦事的請求（諸如FTP、Telnet），并按照一定的安全策略轉(zhuǎn)發(fā)它們到實際的辦事。代理提供代替連接并且充任辦事的網(wǎng)關(guān)。

包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是經(jīng)過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)經(jīng)過，其長處是速度快、實現(xiàn)方便，缺點是審計功能差，過濾規(guī)則的設(shè)計存在矛盾關(guān)系，過濾規(guī)則簡單，安全性差，過濾規(guī)則復(fù)雜，辦理困難。一旦判斷條件滿足，防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運行狀態(tài)便“暴露”在外來用戶面前。代理技術(shù)則能進行安全控制又可以加速訪問，可以可行地實現(xiàn)防火墻內(nèi)外計算機系統(tǒng)的隔離，安全性好，還可用于實施（實際的行為）較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。其缺點是相比每一種應(yīng)用辦事都一定為其設(shè)計一個代理軟件模塊來進行安全控制，而每一種網(wǎng)絡(luò)應(yīng)用辦事的安全難題各不相同，研究困難，所以實現(xiàn)也困難。

在實際應(yīng)用當(dāng)中，構(gòu)筑防火墻的“真正的處理方案（進行工作的具體計劃或?qū)δ骋粏栴}制定的規(guī)劃）”很少采用單一的技術(shù)，通常是多種處理不一樣難題的技術(shù)的有機組合。你必要處理的難題依賴于你想要向你的客戶提供什么樣的辦事以及你愿意接受什么等級的風(fēng)險，采用何種技術(shù)來處理那些難題依賴于你的時間、金錢、專長等原因。

根據(jù)以上三種防火墻建立技術(shù)，咱們分析給該企業(yè)用異構(gòu)防火墻部署。

3、異構(gòu)防火墻的部署

現(xiàn)在，該企業(yè)的網(wǎng)絡(luò)中已經(jīng)部署了一臺PIX525，該防火墻提供保護整上內(nèi)部網(wǎng)絡(luò)的作用，用來防止來自外部的攻擊，把網(wǎng)絡(luò)分成兩個網(wǎng)段，可是假設(shè)一旦黑客攻訪了防火墻，那么整個內(nèi)部網(wǎng)絡(luò)就暴漏在了黑客面前，假設(shè)是惡意攻一擊那么武威面粉廠的好處將受到很大損害。因此咱們調(diào)查分析后，決定采用異構(gòu)防火墻的部署方式，在原來防火墻的基礎(chǔ)上，根據(jù)武威面粉廠資金，在財務(wù)網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間再架構(gòu)一臺防火墻，把網(wǎng)絡(luò)分成三個網(wǎng)段，這樣極大的提升了整個網(wǎng)絡(luò)的安全防御本領(lǐng)。在不一樣的網(wǎng)段采用不一樣的安全級別，而實際上財務(wù)網(wǎng)絡(luò)和接入內(nèi)部網(wǎng)層的安全級別和內(nèi)部網(wǎng)絡(luò)接入Internet網(wǎng)絡(luò)辦事層的安全強度本身要求便是不一樣的，并且不一樣的防火墻產(chǎn)品其性能結(jié)構(gòu)也不但相同，它們具有不一樣的安全級別和安全強度，當(dāng)此中一個防火墻被霸占后，不會影響到別的網(wǎng)段。

并且辦理員可以可行的辦理網(wǎng)絡(luò)，輕松的對付外部攻擊。

在網(wǎng)絡(luò)的硬件設(shè)備部署中，咱們在外部網(wǎng)絡(luò)訪問層與內(nèi)部網(wǎng)絡(luò)接入層咱們部署了PIX525防火墻（Fl），在財務(wù)網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)接入層咱們部署了遠(yuǎn)東網(wǎng)安2000防火墻（F2）。在每一個防火墻上設(shè)置不一樣的安全策略，來達(dá)到對整個網(wǎng)絡(luò)的多層防護，減少單一防火墻部署所帶來的損失。經(jīng)過這兩個防火墻的部署，把網(wǎng)絡(luò)分成三個網(wǎng)段。防火墻產(chǎn)品本身不具有安全性，一定給它創(chuàng)建可靠的規(guī)則來使其成為一成功、安全和可靠的產(chǎn)品，根據(jù)兩個防火墻所管束的網(wǎng)段的不一樣和其性能的不一樣，咱們分別對Fl區(qū)和F2區(qū)設(shè)置不一樣的安全規(guī)則。設(shè)置規(guī)則如下：

F1的安全規(guī)則為：

⑴內(nèi)部用戶可以訪問Internet。

⑵內(nèi)部用戶與外部的網(wǎng)絡(luò)連接一定經(jīng)過代理辦事器。

⑶外部用戶只可以讓用WEB和MAIL辦事器。

⑷外部的Telnet會話只能與指定主機進行。

⑸DNS辦事器只允許解析應(yīng)用代理計算機，不允許解析內(nèi)部用戶。

F2的安全規(guī)則為：

⑴只允許內(nèi)部用戶的訪問。

⑵拒絕所有來自外部主機的數(shù)據(jù)包。

⑶FTP會話一定經(jīng)過安全認(rèn)證。

⑷與外部的數(shù)據(jù)交換只能經(jīng)過特定端口完成。

⑸在指定的時間內(nèi)才可以進行遠(yuǎn)程訪問。

4、結(jié)語

經(jīng)過次次論文中設(shè)計方案（進行工作的具體計劃或?qū)δ骋粏栴}制定的規(guī)劃）的實施（實際的行為），某企業(yè)內(nèi)網(wǎng)的安全難題從防火墻設(shè)計整體考慮，在統(tǒng)一部署思想指導(dǎo)下采用新的網(wǎng)絡(luò)防護技術(shù)，網(wǎng)絡(luò)安全難題得到了一定程序的處理，給辦理員和該企業(yè)職工帶來了很大的方便。但網(wǎng)絡(luò)技術(shù)在不停的發(fā)展，在咱們的設(shè)計的網(wǎng)絡(luò)安全系統(tǒng)中將會很快會出現(xiàn)部分意想不到的安全難題必要咱們?nèi)ヌ幚恚�可是在斷的學(xué)習(xí)和改進中，相信隨著技術(shù)的發(fā)展咱們的技術(shù)水平也會得到不停的提升。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：賞析某企業(yè)內(nèi)網(wǎng)防火墻設(shè)計方案全過程

本文網(wǎng)址：http://m.hanmeixuan.com/html/solutions/1401931607.html