企业网络系统防火墙应用方案.docx

企业网络系统防火墙应用方案.docx

《企业网络系统防火墙应用方案.docx》由会员分享，可在线阅读，更多相关《企业网络系统防火墙应用方案.docx（11页珍藏版）》请在冰豆网上搜索。

企业网络系统防火墙应用方案

企业网络系统防火墙应用方案

贝安科技

2003年8月

1.前言3

2.企业网络系统概述3

3.安全需求分析5

3.1风险分析5

3.2安全需求6

4.基于网络卫士防火墙的企业网安全方案7

4.1网络卫士防火墙在企业网中的位置7

4.2网络卫士防火墙在企业网中的作用9

4.3网络卫士防火墙典型配置策略13

5.企业网建设的其它安全考虑13

1.前言

以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。

伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。

如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

2.企业网络系统概述

作为企业，其网络系统的建设除了要满足企业部工作人员访问Internet和企业部相关部门的互访外，还必须能够使公众通过INTRNET访问企业网，查询公众所需的企业信息，了解企业的相关动态。

这就要求企业网要有很高的可靠性、安全性和性。

因此我们在企业网的建设中应采用企业级防火墙技术。

在网络方面最好选用具有第三层虚拟网技术的设备，把性强的部门（如财务部门或研发部门）划分到同一虚拟网，使未被授权的人员不能访问其部门的信息。

另外，根据企业规模发展的要求，当前所建网络系统应能够满足今后的扩充与升级，这就要求我们所选的网络产品以及安全产品在当今应处于业界领先地位，且易于升级和留有扩充容量。

在网络的远程接入方面，要求该网络系统应满足一些出差的企业工作人员随时的能够通过拨号或Internet安全地访问局域网与企业传递信息，防止非法用户的进入。

从企业长远发展角度，在同各地区分支机构的连接中，可选用DDN专线同企业核心网连接，安全问题也是非常重要的。

一般，企业网络拓扑结构如下。

3.安全需求分析

建立网络安全策略的一个重要要素是确保投入安全保护与维护上的代价得到相应的收益。

因此，我们必须对网络资源及存在的安全漏洞进行风险评估，对安全威胁进行分析，然后列出用户的安全需求，最后制定合理的安全策略及安全解决方案。

3.1风险分析

风险分析的一个步骤是判定需要保护的所有资源，特别是受安全问题影响的资源。

这些资源包括：

主机、工作站、各种网络设备等硬件；源程序、应用程序、操作系统等软件；在线存储、传输、及备份数据；等等。

针对上述的企业网络系统，尚未建立系统的安全防护体制，存在着明显的安全威胁。

（1）全网易受入侵，特别是对外提供服务的公开服务器如WWW服务器等，更容易成为黑客的攻击目标。

而且如果攻击者占领对外提供服务的服务器，则攻击者非常容易进入部网络。

因此对部网络与外部网之间需使用安全的访问控制系统。

（2）系统的认证强度低。

首先，整个网络部用户及合法的外部用户均拥有同样的安全权限，可以有权地访整个网络任何安全级别的资源。

其次，如果通过简单静态的通行字进行身份鉴别，一旦身份鉴别通过，用户即可访问整个网络。

侵袭者可以通过三种方式很容易地获取通行字：

一是部的管理人员因安全管理不当而造成泄密；二是通过在公用网上搭线窃取通行字；三是通过假冒，植入嗅探程序，截获通行字。

侵袭者一旦掌握了通行字，即可在任何地方通过网络访问全网，并可能造成不可估量的损失。

（3）系统性差。

如果远程移动用户、企业分支机构通过INTERNET或通过公用网络（如X.25、FR、PSTN）与企业中心部网建立连接，全部线路上的信息多以明文的方式传送，其中包括登录通行字和一些敏感信息（甚至是涉密信息，如有关企业商务数据信息），可能被侵袭者截获、窃取和篡改，造成泄密。

（4）易受欺骗性。

由于网络主要采用的是TCP/IP协议，不法分子就可能获取IP地址，在合法用户关机时，冒充该合法用户，从而窜入网络服务或应用系统，窃取甚至篡改有关信息，乃至会破坏整个网络。

（5）数据易损。

由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击；同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。

（6）缺乏对全网的安全控制与管理。

当网络出现攻击行为或网络受到其它一些安全威胁时（如部人员的违规操作等），无法进行实时的监控、报告与预警。

同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。

3.2安全需求

确切了解网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。

基于企业计算机网络系统拓扑结构及实际应用情况，需要解决如下安全问题：

●企业中心局域网部的安全问题，包括安全域的划分以及VLAN的实现

●在网络边界（企业中心LAN与INETRNET或WAN之间）如何实现安全性，包括网络的隔离与相互访问控制

●应用系统如何保证安全性

●如何防止黑客对网络、主机、服务器等的入侵

●如何实现数据库与个人终端的安全

●跨公共网络进行信息传输的安全性

4.基于网络卫士防火墙的企业网安全方案

Internet的发展给企业带来了革命性的改革和开放。

他们正努力通过利用Internet来提高办事效率和市场反应速度，以便更具竞争力。

通过Internet，企业可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险：

即客户、销售商、移动用户、异地员工

和部员工的安全访问；以及保护企业的信息不受黑客和工业间谍的入侵。

因此企业必须加筑安全的"战壕"，而这个"战壕"就是防火墙。

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。

4.1网络卫士防火墙在企业网中的位置

防火墙是指设置在不同网络（如可信任的企业部网和不可信的公共网）或网络安全域之间的一系列部件的组合。

它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了部网和Internet之间的任何活动，保证了部网络的安全。

一个企业部网通过一个边界路由器与Internet相连，防火墙安装于边界路由器与部网之间，通常防火墙有两个端口（即两块物理网卡），其中一个端口接外部路由器，另以端口接部网（如接部路由器、交换机等）。

为适应越来越多的用户向Internet上提供服务时对服务器保护的需要，网络卫士防火墙（基本配置有三个接口）采用分别保护的策略对用户上网的对外服务器实施保护，它提供一专用接口将对外服务器作为一个独立网络处理，对外服务器既是部网的一部份，又与部网关完全隔离。

这就是安全服务器网络（SSN）技术，对SSN上的主机既可单独管理，也可设置成通过FTP、Telnet等方式从部网上管理。

4.2网络卫士防火墙在企业网中的作用

●实现企业部局域网与INTERNET之间的隔离与相互访问控制

如采用如下访问控制安全策略：

允许部那些主机（基于IP地址）访问INTERNET；不容许部那些主机（基于IP地址）访问INTERNET；允许部那些用户（基于一次性强口令认证）访问INTERNET，而不受主机IP地址的限制；允许部主机或用户访问INTERNET哪钟或哪些服务（如WWW、FTP、SMTP等），而不允许访问哪些服务；允许部用户访问INTERNET的时间；完全禁止INTERNET用户访问部网。

●实现对部网各网段之间的访问控制

通常，专用的部网防火墙被用来隔离部网络的一个网段与另一个网段。

这样，就能防止影响一个网段的问题穿过整个网络传播。

因为针对某些重要业务网络系统，它的一些局域网的某个网段可能比另一个网段更受信任，或者某个网段比另一个更敏感。

而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

网络卫士防火墙系统通过设置虚拟网卡，可以实现对部网不同网段的隔离与访问控制。

防火墙的每一个接口代表一块物理网卡，每块物理网卡可重载十个虚拟网卡。

因此，每个端口可以配置十一个IP地址，从而防火墙的一个端口就可以管理十一个子网，极扩展了设备的功能（如不必再使用专用的部防火墙）。

●实现对公开服务器的安全保护

网络卫士防火墙系统采用SSN方式实现对公开服务器的安全保护。

SSN的方法提供的安全性要比传统的“隔离区（DMZ）”方法好得多，因为SSN与外部网之间有防火墙保护，SSN与部网之间也有防火墙的保护，而DMZ只是一种在、外部网络网关之间存在的一种防火墙方式。

换言之，一旦SSN受破坏，部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，部网络便暴露于攻击之下。

另外，利用网络卫士防火墙的应用安全控制功能，可以实现URL阻断及HTTP、FTP协议下交互操作命令和指令的过滤。

如控制访问WWW服务器的URL、目录文件等，同时控制用户的操作（如GET、PUT等），防止用户对服务器文件的非法修改等。

再者，网络卫士防火墙系统还提供IP映射功能。

如果企业希望部网络中的服务器可以让Internet用户访问的话，可以利用映射功能，为部网络服务器作静态地址映射，这样Internet用户就可以通过防火墙系统直接访问该服务器了。

●实现对远程移动用户的安全认证与访问权限控制

企业客户、伙伴及员工如果想通过Internet连接到部网络，可以使用网络卫士防火墙系统的一次性口令认证功能。

用户只要通过系统认证，就可以通过防火墙访问部网络。

一次性口令认证机制极提高了访问控制的安全性，有效阻止非授权用户进入网络，从而保证网络系统的可用性。

一次性口令用户认证的基本过程是：

首先用户向防火墙发送身份认证请求，并指明自己的用户名，防火墙收到请求后，向用户提出挑战，用户收到挑战后，结合自己的口令，产生答复，防火墙判断用户答复是否正确，并给出相应信息，如果用户连续三次认证失败则在一定时间禁止该用户认证。

由于采用一次性的口令认证机制，即使窃听者在网络上截取到口令，也无法在利用这个口令与部网建立连接。

另外，网络卫士防火墙系统可以根据企业安全策略，将一次性口令认证与防火墙其它安全机制结合使用，实现对用户访问权限的控制，即控制经过认证用户访问的网络、网段、主机、协议、用户等。

同时，一次性口令认证方式也可以用来控制部网络用户的对外访问。

●代理部用户访问INTERNET

网络卫士防火墙提供了NAT功能，并可根据用户需要灵活配置。

当部网用户需要对外访问时，防火墙系统将会代替用户进行访问，并将结果透明地返回用户，相当于一个IP层代理，从而解决企业IP地址不足的问题，同时隐藏了部网的结构，强化了部网的安全。

●防止部用户IP盗用

网络卫士防火墙具有IP与MAC捆绑功能，它保护部网某一台机器的IP地址不被另一台部机器盗用。

也就是说，如果要保护的机器与防火墙直接相连，可以将此机器的IP与其物理网卡捆绑，这样其他部机器就不可能使用它的IP。

●实现对专线资源的流量管理与控制

流量不足是企业网络管理者遇到的最麻烦的问题之一，由于一些用户使用如FTP之类大量消耗网络资源的应用，占用了大部分流量，影响了其它用户正常使用网络。

对于专线用户，这个问题特别严重。

网络卫士防火墙系统可方便的根据IP地址等对流量进行控制，以防止线路资源的不正常消耗，有效地管理专线资源，从而使网络得到充分利用。

●防攻击与入侵检测

网络卫士防火墙系统采用多种手段或方式防止攻击行为并实现对入侵的检测：

网络卫士防火墙采用专用安全操作系统，安全级别高。

网络卫士防火墙采用无IP地址技术，使攻击者找不到攻击目标。

网络卫士防火墙具有较强的抗攻击能力，如抗IP假冒攻击、抗源路由攻击、抗极小碎片攻击等。

防电子欺骗（防IP地址欺骗）：

网络卫士防火墙的防电子欺骗功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。

攻击检测功能：

网络卫士防火墙系统可以检测到对网络或部主机的所有TCP/UDP扫描以及多种拒绝服务攻击，如SynFlooding攻击、LandofAttack攻击、PingofDead攻击等。

对外部扫描以及攻击的响应能力。

网络卫士防火墙可以对来自外部网络的扫描和多种攻击进行实时响应。

●安全记录与审计

所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据，便于企业管理者掌握企业网络的使用状况。

另外，收集一个网络的使用和误用情况也是非常重要的。

首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。

而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

4.3网络卫士防火墙典型配置策略

●禁止INTERNETPING部网络和WWW服务器

●禁止SSN区的WWW服务器访问部网络

●允许SSN区的其他工作站访问外部网络

●允许外部网络及部网络访问WWW服务器的服务：

WWW、DNS、POP3、SMTP

●允许部网络访问WWW服务器的服务：

FTP、TELNET

●允许某种或某些数据包到达SSN区，禁止外部网络及部网络对SSN区的其他访问

●禁止外部网络访问部网络

●允许部网络访问INTERNET

●设置防黑客或入侵检测的围

●开放一些一次性口令认证用户并设置其访问权限

●等等。

5.企业网建设的其它安全考虑

●网络防病毒

对于计算机病毒的防，是一项经常性的安全工作，在规划一个网络信息系统的安全方案时应该给予充分的考虑。

鉴于计算机病毒和种类和版本层出不穷，所以应该选择具有相当的技术先进性的生产商的产品；而且，生产商应该能够提供及时的升级服务和良好的售后技术支持。

同时，还应采用网络服务器与终端防病毒相结合的安全策略。

●企业中心与分支机构之间信息传输的安全性

目前常用的几种加密方法：

1．链路加密是解决链路安全的主要手段，而链路加密主要依靠链路加密机（如PSTN加密机、DDN加密机、X.25加密机、FR加密机）实现。

应该指出，采用链路加密会对网络扩展与升级带来系列问题，因为一般情况下，网络设备与链路加密设备是配套使用的，当网络升级、提速或网络基础设施发生改变时，链路加密设备也需要进行更新，从而使用户承担一定量的费用损失。

2．采用基于应用的加密措施。

应用层加密速度比较快，也可以比较容易实现端到端加密，但应用层加密设施的采用要根据具体的应用方式选择，有些还要根据一些专门开发的应用做二次开发。

3．在网络层加密。

使用防火墙的VPN功能或VPN专用设备来实现信息的性与完整性保护。

网络层加密一方面对用户透明，另一方面与具体的广域网链路无关，具有很好的扩展性。

●安全审计与安全管理

信息安全问题不是单一的技术问题。

安全审计与安全管理是网络信息安全系统的必要组成部分，因此在使用相关安全产品的同时，应在组织与制度上采用相应措施加以完善。