防火墙技术在XX企业网络中的应用文档格式.doc
- 文档编号:14056351
- 上传时间:2022-10-17
- 格式:DOC
- 页数:16
- 大小:354.09KB
防火墙技术在XX企业网络中的应用文档格式.doc
《防火墙技术在XX企业网络中的应用文档格式.doc》由会员分享,可在线阅读,更多相关《防火墙技术在XX企业网络中的应用文档格式.doc(16页珍藏版)》请在冰豆网上搜索。
安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。
可以看出保证网络安全不仅仅是使它没有编程错误。
它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。
同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
因此网络的安全变得尤为重要,防火墙的出现使得这一局面开始变得更加稳定,各种各样的攻击开始被防火墙阻止在外,以保证网络的安全性。
但是随着网络攻击的日益复杂,防火墙的防攻击手段越来越多,因此对于防火本身的处理复杂数据的能力出现了隐患。
1.1网络安全体系介绍
每个网络都必须建立起自己的网络安全体系结构(NSA,NetworkSecurityArchitecture),包括完善的网络信息访问控制策略、机密数据通信安全与保护策略、灾难恢复规划、对犯罪攻击的预防检测等。
一个安全系统的建设涉及的因素很多,是一个庞大的系统工程。
一般情况下,采取以下需要措施。
(1)物理措施
例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火等措施。
(2)访问控制
对用户访问网络资源的权限进行严格的认证和控制。
例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
(3)数据加密
加密是保护数据安全的重要手段。
加密的作用是保障信息被人截获后不能读懂其含义。
(4)防止计算机网络病毒
病毒对计算机网络的危害越来越严重,必须引起高度重视。
1988年11月3日,美国康乃尔大学一年级研究生罗特?
莫里斯编制的称为“蠕虫”的计算机病毒通过Internet网大面积传播,致使6000多台主机被感染,直接经济损失超过6000万美元。
(5)其他措施
其他措施包括容错、数据镜像、数据备份和审计等。
近年来,围绕网络安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。
数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用倍息。
防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限,从而保护网络资源。
其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等。
1.2网络安全与防火墙
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。
该局域网内所有的计算机流入流出多的所有网络通信均要经过防火墙。
防火墙、IDS、IPS,是解决网络安全问题的基础设备,他们所具备的过滤、安全功能能够抵抗大多数来自外网的攻击。
配备这些传统的网络防护设备,实现面向网络层的访问控制,是企业安全上网的前提。
2防火墙的概念
2.1什么是防火墙?
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
2.2防火墙的实质
防火墙包含着一对矛盾(或称机制):
一方面它限制数据流通,另一方面它又允许数据流通。
由于网络的管理机制及安全策略(securitypolicy)不同,因此这对矛盾呈现出不同的表现形式。
存在两种极端的情形:
第一种是除了非允许不可的都被禁止,第二种是除了非禁止不可都被允许。
第一种的特点是安全但不好用,第二种是好用但不安全,而多数防火墙都在两者之间采取折衷。
这里所谓的好用或不好用主要指跨越防火墙的访问效率。
在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点。
3防火墙在企业网中的应用
3.1企业网面临的安全风险
3.1.1内部窃密和破坏
企业网络上同时接入了所有部门的网络系统,因此容易出现部门内不怀好意的人员(或外部非法人员利用公司内某部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等)
3.1.2网络窃听
攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。
3.1.3假冒
企业网内部用户,也可能来自INTERNET内的其它用户。
如系统内部攻击者伪装成系统内部的其他正确用户。
攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。
或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
3.1.4完整性破坏
信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。
由于企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
3.1.5其它网络的攻击
企业网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。
3.1.6管理及操作人员缺乏安全知识
由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。
如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。
由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。
这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。
3.1.7雷击
由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。
因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。
3.2企业防火墙选购三要素
防火墙通常是运行在一台单独计算机之上的一个特别的服务软件,用来保护由许多台计算机组成的内部网络,它使企业的网络规划清晰明了,它可以识别并屏蔽非法请求,有效防止跨越权限的数据访问。
它既可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有内部网和外部网之间的信息交换。
在市场上,防火墙的售价极为悬殊,从几万元到数十万元,甚至到百万元。
因为各企业用户使用的安全程度不尽相同,因此厂商所推出的产品也有所区分,甚至有些公司还推出类似模块化的功能产品,以符合各种不同企业的安全要求。
当一个企业或组织决定采用防火墙来实施保卫自己内部网络的安全策略之后,下一步要做的事情就是选择一个安全、实惠、合适的防火墙。
那么面对种类如此繁多的防火墙产品,用户需要考虑的因素有哪些?
应该如何进行取舍呢?
3.2.1第一要素:
防火墙的基本功能
防火墙系统可以说是网络的第一道防线,因此一个企业在决定使用防火墙保护内部网络的安全时,它首先需要了解一个防火墙系统应具备的基本功能,这是用户选择防火墙产品的依据和前提。
一个成功的防火墙产品应该具有下述基本功能:
防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许,否则就禁止”防火墙本身支持安全策略,而不是添加上去的;
如果组织机构的安全策略发生改变,可以加入新的服务;
有先进的认证手段或有挂钩程序,可以安装先进的认证方法;
如果需要,可以运用过滤技术允许和禁止服务;
可以使用FTP和Telnet等服务代理,以便先进的认证手段可以被安装和运行在防火墙上;
拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。
如果用户需要NNTP(网络消息传输协议)、XWindow、HTTP和Gopher等服务,防火墙应该包含相应的代理服务程序。
防火墙也应具有集中邮件的功能,以减少SMTP服务器和外界服务器的直接连接,并可以集中处理整个站点的电子邮件。
防火墙应允许公众对站点的访问,应把信息服务器和其他内部服务器分开。
防火墙应该能够集中和过滤拨入访问,并可以记录网络流量和可疑的活动。
此外,为了使日志具有可读性,防火墙应具有精简日志的能力。
虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样,但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。
防火墙的强度和正确性应该可被验证,设计尽量简单,以便管理员理解和维护。
防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。
正像前面提到的那样,Internet每时每刻都在发生着变化,新的易攻击点随时可能会产生。
当新的危险出现时,新的服务和升级工作可能会对防火墙的安装产生潜在的阻力,因此防火墙的可适应性是很重要的。
3.2.2第二要素:
企业的特殊要求
企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这方面常会成为选择防火墙的考虑因素之一,常见的需求如下:
l网络地址转换功能(NAT)
进行地址转换有两个好处:
其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,这也是笔者之所以要强调防火墙自身安全性问题的主要原因;
另一个好处是可以让内部使用保留的IP,这对许多IP不足的企业是有益的。
l双重DNS
当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换,因为,同样的一个主机在内部的IP与给予外界的IP将会不同,有的防火墙会提供双重DNS,有的则必须在不同主机上各安装一个DNS。
l虚拟专用网络(VPN)
VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取。
l扫毒功能
大部分防火墙都可以与防病毒软件搭配实现扫毒功能,有的防火墙则可以直接集成扫
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 技术 XX 企业 网络 中的 应用