防火墙技术在XX企业网络中的应用.doc

1、防火墙技术在企业网中的网络安全摘要安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当局域网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术。本课题主要研究的是针对不同企业的的安全需求，制定不同的网络安全解决方案，以保障网络的安全性。关键词：防火墙 网络安全 企业1绪论随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题

2、，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。因此网络的安全变得尤

3、为重要，防火墙的出现使得这一局面开始变得更加稳定，各种各样的攻击开始被防火墙阻止在外，以保证网络的安全性。但是随着网络攻击的日益复杂，防火墙的防攻击手段越来越多，因此对于防火本身的处理复杂数据的能力出现了隐患。1.1网络安全体系介绍每个网络都必须建立起自己的网络安全体系结构(NSA，Network Security Architecture)，包括完善的网络信息访问控制策略、机密数据通信安全与保护策略、灾难恢复规划、对犯罪攻击的预防检测等。一个安全系统的建设涉及的因素很多，是一个庞大的系统工程。一般情况下，采取以下需要措施。(1)物理措施例如，保护网络关键设备(如交换机、大型计算机等)，制定严

4、格的网络安全规章制度，采取防辐射、防火等措施。(2)访问控制对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。(3)数据加密加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。(4)防止计算机网络病毒病毒对计算机网络的危害越来越严重，必须引起高度重视。1988年11月3日，美国康乃尔大学一年级研究生罗特?莫里斯编制的称为“蠕虫”的计算机病毒通过Internet网大面积传播，致使6000多台主机被感染，直接经济损失超过6000万美元。(5)其他措施其他措施包括容错、数据

5、镜像、数据备份和审计等。近年来，围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用倍息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限，从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等。1.2网络安全与防火墙所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立

6、起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。该局域网内所有的计算机流入流出多的所有网络通信均要经过防火墙。防火墙、IDS、IPS，是解决网络安全问题的基础设备，他们所具备的过滤、安全功能能够抵抗大多数来自外网的攻击。配备这些传统的网络防护设备，实现面向网络层的访问控制，是企业安全上网的前提。2防火墙的概念2.1 什么是防火墙？防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出

7、入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。2.2 防火墙的实质防火墙包含着一对矛盾( 或 称 机 制)：一方面它限制数据流通，另一方面它又允许数据流通。由于网络的管理机制及安全策略(security policy)不同，因此这对矛盾呈现出不同的表现形式。 存在两种极端的情形：第一种是除了非允许不可的都被禁止，第二种是除了非禁止不可都被允许。第一种的特点是安全但不好用

8、，第二种是好用但不安全，而多数防火墙都在两者之间采取折衷。 这里所谓的好用或不好用主要指跨越防火墙的访问效率。在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点。3防火墙在企业网中的应用3.1企业网面临的安全风险3.1.1内部窃密和破坏企业网络上同时接入了所有部门的网络系统，因此容易出现部门内不怀好意的人员（或外部非法人员利用公司内某部门的计算机）通过网络进入内部网络，并进一步窃取和破坏其中的重要信息（如领导的网络帐号和口令、重要文件等）3.1.2网络窃听攻击者可以采用如Sniffer等网络协议分析工具，在INTERNET网络安全的薄弱处进入INTERNET，并非常容

9、易地在信息传输过程中获取所有信息（尤其是敏感信息）的内容。3.1.3假冒企业网内部用户，也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。3.1.4完整性破坏信息在传输过程中或者存储期间被篡改或修改，使得信息/数据失去了原有的真实性，从而变得不可用或造成广泛的负面影响。由于企业网内有许多重要信息，因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或

10、传达一些虚假信息，从而影响工作的正常进行。3.1.5其它网络的攻击企业网络系统是接入到INTERNET上的，这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。3.1.6管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训和学习，对信息安全的重要性与技术认识不足，很容易使安全设备/系统成为摆设，不能使其发挥正确的作用。如本来对某些通信和操作需要限制，为了方便，设置成全开放状态等等，从而出现网络漏洞。由于网络安

11、全产品的技术含量大，因此，对操作管理人员的培训显得尤为重要。这样，使安全设备能够尽量发挥其作用，避免使用上的漏洞。3.1.7雷击由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击，造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。因此，为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏，有必要对整个网络系统采取相应的防雷措施。3.2企业防火墙选购三要素防火墙通常是运行在一台单独计算机之上的一个特别的服务软件，用来保护由许多台计算机组成的内部网络,它使企业的网络规划清晰明了，它可以识别并屏蔽非法请求，有效防止跨越权限的

12、数据访问。它既可以是非常简单的过滤器，也可能是精心配置的网关，但它们的原理是一样的，都是监测并过滤所有内部网和外部网之间的信息交换。 在市场上，防火墙的售价极为悬殊，从几万元到数十万元，甚至到百万元。因为各企业用户使用的安全程度不尽相同，因此厂商所推出的产品也有所区分，甚至有些公司还推出类似模块化的功能产品，以符合各种不同企业的安全要求。 当一个企业或组织决定采用防火墙来实施保卫自己内部网络的安全策略之后，下一步要做的事情就是选择一个安全、实惠、合适的防火墙。那么面对种类如此繁多的防火墙产品，用户需要考虑的因素有哪些？应该如何进行取舍呢？3.2.1第一要素：防火墙的基本功能防火墙系统可以说是网

13、络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能： 防火墙的设计策略应遵循安全防范的基本原则“除非明确允许，否则就禁止” 防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行

14、包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。 如果用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。 防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样

15、，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。 正像前面提到的那样，Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。3.2.2第二要素：企业的特殊要求 企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一，常见的需求如下： l 网络地址转换功能(NAT) 进行地址转换有两个好处：其一

16、是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，这也是笔者之所以要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部使用保留的IP，这对许多IP不足的企业是有益的。 l 双重DNS 当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，因为，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。 l 虚拟专用网络(VPN) VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。 l 扫毒功能

17、 大部分防火墙都可以与防病毒软件搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，差别只是扫毒工作是由防火墙完成，或是由另一台专用的计算机完成。 l 特殊控制需求 有时候企业会有特别的控制需求，如限制特定使用者才能发送Email，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，依需求不同而定。3.2.3第三要素：与用户网络结合l 管理的难易度 防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤，并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易

18、除错等管理问题，更是一般企业不愿意使用的主要原因。 l 自身的安全性 大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。 大部分防火墙都安装在一般的操作系统上，如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后

19、，黑客几乎可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。 l 完善的售后服务我们认为，用户在选购防火墙产品时，除了从以上的功能特点考虑之外，还应该注意好的防火墙应该是企业整体网络的保护者，并能弥补其它操作系统的不足，使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，它们应选择一套符合现有环境需求的防火墙产品。由于新产品的出现，就会有人研究新的破解方法，所以好的防火墙产品应拥有完善及时的售后服务体系。 l 完整的安全检查好的防火墙还应该向使用者提供完整的安全检查

20、功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。 4企业网网络安全总体设计根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面进行安全设计：l 网络系统安全；l 应用系统安全；l 物理安全；l 安全管理；4.1安全设计总体考虑根据企业网络现状及发展趋势，主要安全措施从以下几个方面进行考虑：l 网络传输保护主要是数据加密保护l 主要网络安全隔离通用

21、措施是采用防火墙l 网络病毒防护采用网络防病毒系统l 广域网接入部分的入侵检测采用入侵检测系统l 系统漏洞分析采用漏洞分析设备l 定期安全审计主要包括两部分：内容审计和网络通信审计l 重要数据的备份重要信息点的防电磁泄露l 网络安全结构的可伸缩性包括安全设备的可伸缩性，即能根据用户的需要随时进行规模、功能扩展网络防雷4.2网络安全作为企业应用业务系统的承载平台，由于许多重要的信息都通过网络进行交换，网络系统的安全显得尤为重要。4.2.1网络传输由于企业中心内部网络存在两套网络系统，其中一套为企业内部网络，主要运行的是内部办公、业务系统等；另一套是与INTERNET相连，通过ADSL接入，并与企

22、业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网，并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护，如果不采取相应的安全措施，易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统，因此解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备，由VPN设备实现网络传输的加密保护。根据企业三级网络结构，VPN设置如下图所示：图3-1 三级 VPN设置拓扑图每一级的设置及管理

23、方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器（VPN-CA），在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的：l 网络传输数据保护；由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护，并可同时采取加密或隧道的方式进行传输l 网络隔离保护；与INTERNET进行隔离，控制内网与INTERNET的相互访问l 集中统一管理，提高网络安全性；l 降低成本（设备成本和维护成本）；其中，在各级中心网络的VPN设备设置如下图：图3-2 中心网络VPN设置图由一台VPN管理机

24、对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问、记录日志。这样即使服务器被攻破，内部网络仍然安全。下级单位的VPN设备放置如下图所示：图3-3 下级单位VPN设置图从图3-3可知，下属机构的VPN设备放置于内部网络与路由器之间，其配置、管理由上级机构通过网络实现，下属机构不需要做任何的管理，仅需要检查是否通电即可。由于安全设备属于特殊的网络设备，其维护、管理需要相应的专业人员，而采取这种管理方式以后，就可以降低下属机构的维护成本和对专业技术人员的要求，这对有着庞大下属、分支机构的单位

25、来讲将是一笔不小的费用。由于网络安全的是一个综合的系统工程，是由许多因素决定的，而不是仅仅采用高档的安全产品就能解决，因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理，因而很容易因为某个设备的设置不当，而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的，因此，容易出现上述现象；同时，每个维护人员的水平也有差异，容易出现相互配置上的错误使网络中断。所以，在安全设备的选择上应当选择可以进行网络化集中管理的设备，这样，由少量的专业人员对主要安全设备进行管理、配置，提高整体网络的安全性和稳定性。4.2.2访问控制企业广域网网络部分通过公共网络建立，其在网络上必

26、定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。通常，对网络的访问控制最成熟的是采用防火墙技术来实现的，选择带防火墙功能的VPN设备来实现网络安全隔离，可满足以下几个方面的要求：l 控制外部合法用户对内部网络的网络访问；l 控制外部合法用户对服务器的访问；l 禁止外部非法用户对内部网络的访问；l 控制内部用户对外部网络的网络；l 阻止外部用户对内部的网络攻击；l 防止内部主机的IP欺骗；l 对外隐藏内部IP地址和网络拓扑结构；l 网络监控；l 网络日志审计；详

27、细配置拓扑图见图3-1、图3-2、图3-3。由于采用防火墙、VPN技术融为一体的安全设备，并采取网络化的统一管理，因此具有以下几个方面的优点：l 管理、维护简单、方便；l 安全性高（可有效降低在安全设备使用上的配置漏洞）；l 硬件成本和维护成本低；l 网络运行的稳定性更高由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机两个设备而言，其稳定性更高，故障率更低。4.2.3入侵检测网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配相应的安全产品。作为必要的补充，入侵检测系统（IDS）可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出

28、网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器（网络引擎）。控制台用作制定及管理所有探测器（网络引擎）。探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。入侵检测系统的设置如下图：从上图可知，入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为

29、将通过报警、通知VPN设备中断网络（即IDS与VPN联动功能）等方式进行控制（即安全设备自适应机制），最后将攻击行为进行日志记录以供以后审查。4.2.4漏洞扫描为一个完善的通用安全系统，应当包含完善的安全措施，定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性，而是随着时间的推移和技术的发展而不断下降的，同时，在使用过程中会出现新的安全问题，因此，作为安全系统建设的补充，采取相应的措施也是必然。采用漏洞扫描设备对网络系统进行定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描，发现相应的漏洞并告警，自动提出解决措施，或参考意见，

30、提醒网络安全管理员作好相应调整。5如何建立企业网安全体系一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、网络安全、系统安全、安全管理等，而一个安全系统的安全等级，又是按照木桶原理来实现的。全方位打造安全高效的上网环境，以下介绍几点。5.1 提升边界防御 防火墙、IDS、IPS，是解决网络安全问题的基础设备，他们所具备的过滤、安全功能能够抵抗大多数来自外网的攻击。配备这些传统的网络防护设备，实现面向网络层的访问控制，是企业安全上网的前提。然而，在应用内容及其格式以爆炸速度增长的今天，许多互联网危害隐患存在于应用层中，仅仅依照第三层信息决定其是否准入，根本无法满足安全的要求，我们还

31、需要细粒度的应用层。5.2 上网终端管理网络边缘的外围设备再先进也无法保护内部网络，来自局域网内部的滥用、破坏也是威胁上网安全的重要因素。比如，客户端的安全级别往往难以保证，这对于内网用户数量众多的组织更为如此缺乏安全措施的单机，比如使用陈旧的操作系统、长时间不更新个人防火墙和杀毒软件、应用具有潜在安全漏洞的软件，都将成为局域网安全中一颗颗隐藏的定时炸弹。 为上网终端配置网络准入规则，通过对单点的安全评估和访问策略列表是实现客户端全方位安全防护的最佳手段。对终端的安全策略列表应该包括操作系统、运行程序、系统进程、注册表等。5.3 Web访问控制管理 互联网是一个不可控的黑洞，无数不怀好意的网站

32、使你上网冲浪时如履薄冰：隐藏蠕虫病毒、木马插件的非法网站，各类层出不穷的钓鱼网站都会让组织在分享互联网便利的同时带来巨大的隐患。 针对这些有害内容，URL库过滤技术近年来得到广泛采纳，采用该技术将包含潜在威胁的网站拦截在外是保障上网安全的有效方式之一，当然，还应该考虑到一些钓鱼网站采用的是SSL加密页面，所以还需要结合证书验证、链接黑白名单等措施。对文件下载传输行为进行规范也是必要的，将关键字、文件类型、网络服务与IP地址组进行关联，规范下载策略，可以控制大部分由主动下载造成的损害。5.4 带宽资源管理 不管采取什么方式上网，带宽终究是有限的，在无法改变带宽的前提下，如何优化带宽资源，使其效率最高，是必须解决的问题。但现实的问题是，网管员对自