1、前言
防火墻能可行地控制內部網絡(網絡就是用物理鏈路將各個孤立的工作站或主機相連在一起,組成數據鏈路,從而達到資源共享和通信的目的)與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的,它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許。咱們設計的防火墻原因是讓它來防御外部網絡對某企業內部網絡的攻擊,并且也防止內部網絡不法人員把該企業數據泄漏出去。曾經的防火墻處于網絡體系的網絡層,用它來負責網絡間的安全認證與傳輸,但當前防火墻技術在不停的發展,已經從網絡層擴展到了別的安全層,它的任務不再是過濾任務,并且還能夠為網絡應用提供相應的安全辦事,并且防火墻產品也發展成為具有數據安全與用戶認證和防止病毒與黑客入侵的本領。
2、采用的防火墻技術
首先咱們來研究下該企業網絡安全系統中設計防火墻時所采用的防火墻技術。在設計防火墻體系結構時,應從現有的防火墻技術出發,通常采用的防火墻技術有:
(1)包過濾技術
包過濾(PaCketFilter)技術是在網絡層中對數據包實施(實際的行為)有選擇的經過。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包后,根據數據包的源地址、目的地址、TCP/UDP源端標語、TCP/UDP目的端標語及數據包頭中的各種標記位等原因來確定是否允許數據包經過,其核心是安全策略即過濾算法的設計。比如,用于特定的因特網辦事的辦事器駐留在特定的端標語的事實(如TCP端口23用于Telnet連接),使包過濾器可以經過簡單的規定適當的端標語來達到阻止或允許一定類型的連接的目的,并可進一步組成一套數據包過濾規則。包過濾技術作為防火墻的應用有三類:一是路由設備在完成路由選擇和數據轉發之外,并且進行包過濾,這是現在較常用的方式;二是在工作站上應用軟件進行包過濾,這種方式價格較貴;三是在一種稱為屏蔽路由器的路由設備上啟動包過濾功能。
(2)網關技術
應用網關(ApplicationGateway)技術是創建在網絡應用層上的協議過濾,它針對特別的網絡應用辦事協議即數據過濾協議,并且可以對數據包研究并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境賜與嚴格的控制,以防有價值的程序和數據被竊取。它的另一個功能是對經過的信息進行記錄,如什么樣的用戶在什么時間連接了什么站點。在實際工作中,應用網關一般由專用工作站系統來完成。
有部分應用網關還存儲Internet上的那些被頻繁應用的頁面。當用戶請求的頁面在應用網關辦事器緩存中存在時,辦事器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),假設是最新版本,則直接提交給用戶,不然,到真正的辦事器上請求最新的頁面,然后再轉發給用戶。
(3)代理辦事器技術
代理辦事器(ProxyServer)作用在應用層,它用來提供應用層辦事的控制,起到內部網絡向外部網絡申請辦事時中間轉接作用。內部網絡只接受代理提出的辦事請求,拒絕外部網絡別的接點的直接請求。
具體地說,代理辦事器是運行在防火墻主機上的專門的應用程序大概辦事器程序;防火墻主機可以是具有一個內部網絡接口和一個外部網絡接口的雙重宿主主機,也可以是部分可以訪問因特網并被內部主機訪問的堡壘主機。這些程序接受用戶對因特網辦事的請求(諸如FTP、Telnet),并按照一定的安全策略轉發它們到實際的辦事。代理提供代替連接并且充任辦事的網關。
包過濾技術和應用網關是經過特定的邏輯判斷來決定是否允許特定的數據經過,其長處是速度快、實現方便,缺點是審計功能差,過濾規則的設計存在矛盾關系,過濾規則簡單,安全性差,過濾規則復雜,辦理困難。一旦判斷條件滿足,防火墻內部網絡的結構和運行狀態便“暴露”在外來用戶面前。代理技術則能進行安全控制又可以加速訪問,可以可行地實現防火墻內外計算機系統的隔離,安全性好,還可用于實施(實際的行為)較強的數據流監控、過濾、記錄和報告等功能。其缺點是相比每一種應用辦事都一定為其設計一個代理軟件模塊來進行安全控制,而每一種網絡應用辦事的安全難題各不相同,研究困難,所以實現也困難。
在實際應用當中,構筑防火墻的“真正的處理方案(進行工作的具體計劃或對某一問題制定的規劃)”很少采用單一的技術,通常是多種處理不一樣難題的技術的有機組合。你必要處理的難題依賴于你想要向你的客戶提供什么樣的辦事以及你愿意接受什么等級的風險,采用何種技術來處理那些難題依賴于你的時間、金錢、專長等原因。
根據以上三種防火墻建立技術,咱們分析給該企業用異構防火墻部署。
3、異構防火墻的部署
現在,該企業的網絡中已經部署了一臺PIX525,該防火墻提供保護整上內部網絡的作用,用來防止來自外部的攻擊,把網絡分成兩個網段,可是假設一旦黑客攻訪了防火墻,那么整個內部網絡就暴漏在了黑客面前,假設是惡意攻一擊那么武威面粉廠的好處將受到很大損害。因此咱們調查分析后,決定采用異構防火墻的部署方式,在原來防火墻的基礎上,根據武威面粉廠資金,在財務網絡和內部網絡之間再架構一臺防火墻,把網絡分成三個網段,這樣極大的提升了整個網絡的安全防御本領。在不一樣的網段采用不一樣的安全級別,而實際上財務網絡和接入內部網層的安全級別和內部網絡接入Internet網絡辦事層的安全強度本身要求便是不一樣的,并且不一樣的防火墻產品其性能結構也不但相同,它們具有不一樣的安全級別和安全強度,當此中一個防火墻被霸占后,不會影響到別的網段。
并且辦理員可以可行的辦理網絡,輕松的對付外部攻擊。
在網絡的硬件設備部署中,咱們在外部網絡訪問層與內部網絡接入層咱們部署了PIX525防火墻(Fl),在財務網絡與內部網絡接入層咱們部署了遠東網安2000防火墻(F2)。在每一個防火墻上設置不一樣的安全策略,來達到對整個網絡的多層防護,減少單一防火墻部署所帶來的損失。經過這兩個防火墻的部署,把網絡分成三個網段。防火墻產品本身不具有安全性,一定給它創建可靠的規則來使其成為一成功、安全和可靠的產品,根據兩個防火墻所管束的網段的不一樣和其性能的不一樣,咱們分別對Fl區和F2區設置不一樣的安全規則。設置規則如下:
F1的安全規則為:
⑴內部用戶可以訪問Internet。
⑵內部用戶與外部的網絡連接一定經過代理辦事器。
⑶外部用戶只可以讓用WEB和MAIL辦事器。
⑷外部的Telnet會話只能與指定主機進行。
⑸DNS辦事器只允許解析應用代理計算機,不允許解析內部用戶。
F2的安全規則為:
⑴只允許內部用戶的訪問。
⑵拒絕所有來自外部主機的數據包。
⑶FTP會話一定經過安全認證。
⑷與外部的數據交換只能經過特定端口完成。
⑸在指定的時間內才可以進行遠程訪問。
4、結語
經過次次論文中設計方案(進行工作的具體計劃或對某一問題制定的規劃)的實施(實際的行為),某企業內網的安全難題從防火墻設計整體考慮,在統一部署思想指導下采用新的網絡防護技術,網絡安全難題得到了一定程序的處理,給辦理員和該企業職工帶來了很大的方便。但網絡技術在不停的發展,在咱們的設計的網絡安全系統中將會很快會出現部分意想不到的安全難題必要咱們去處理,可是在斷的學習和改進中,相信隨著技術的發展咱們的技術水平也會得到不停的提升。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:賞析某企業內網防火墻設計方案全過程
相關文章
