防火墻在企業(yè)中的實(shí)際應(yīng)用

1、防火墻在企業(yè)中的實(shí)際應(yīng)用中小企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀國內(nèi)中小企業(yè)數(shù)量眾多，網(wǎng)絡(luò)利用率高，隨著中小企業(yè)信息技術(shù)應(yīng)用水平的提 高，相伴而來的各種信息安全問題越來越明顯。而中小企業(yè)由于自身技術(shù)力量薄弱， 安全機(jī)制普遍不足，在信息化管理方面和網(wǎng)絡(luò)安全防范方面也相對薄弱，因此，中 小企業(yè)普遍面臨嚴(yán)峻的安全形勢。用戶概況某企業(yè)中心在北京，下屬深圳、上海、天津、廣東、福建5個(gè)大的分支機(jī)構(gòu)， 其中每個(gè)分支機(jī)構(gòu)有50臺左右終端，此外，還有20個(gè)分布在全國各地的小分支， 每個(gè)分支有12臺終端。隨著信息化建設(shè)的接入，各個(gè)分支機(jī)構(gòu)需要上傳企業(yè)中心 的敏感數(shù)據(jù)（如銷售業(yè)績，項(xiàng)目報(bào)備，產(chǎn)品進(jìn)銷存等信息）由原來的“人”傳輸逐 漸轉(zhuǎn)

2、為網(wǎng)絡(luò)傳輸，而各個(gè)分支機(jī)構(gòu)之間的傳輸也逐漸轉(zhuǎn)為網(wǎng)絡(luò)化，以加速企業(yè)的現(xiàn) 代化進(jìn)度，提高效率。由于在傳輸過程中有些秘密信息，所以網(wǎng)絡(luò)的安全問題已經(jīng) 越來越受到領(lǐng)導(dǎo)的重視，目前該企業(yè)沒有網(wǎng)絡(luò)安全防范措施。網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下 所示：用戶安全風(fēng)險(xiǎn)分析隨著信息化進(jìn)程的深入和網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，信息網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息 化的發(fā)展大趨勢，信息資源也得到最大程度的共享。但是，緊隨信息化發(fā)展而來的 網(wǎng)絡(luò)安全問題日漸凸出，網(wǎng)絡(luò)安全問題已成為信息時(shí)代企業(yè)共同面臨的挑戰(zhàn)該企業(yè)存在的安全威脅主要表現(xiàn)在:非授權(quán)訪問：沒有預(yù)先經(jīng)過授權(quán)就使用企業(yè)網(wǎng)絡(luò)或計(jì)算機(jī)資源，有意避開系統(tǒng) 訪問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或

3、擅自擴(kuò)大權(quán)限，越權(quán)訪問信 息。如身份假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未 授權(quán)方式進(jìn)行操作等。信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括， 信息在傳輸中丟失或泄漏（如“黑客”們利用電磁泄漏或搭線竊聽等方式可截獲機(jī) 密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息， 如用戶口令、帳號等重要信息。），信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽 隧道等竊取敏感信息等。對于企業(yè)信息來說，更是存在著大量的秘密數(shù)據(jù)，如果這 些數(shù)據(jù)在傳輸過程中被竊取，后果不堪設(shè)想。破壞數(shù)據(jù)完整性：以非法手段竊得對數(shù)據(jù)的使用權(quán)，對數(shù)據(jù)進(jìn)行刪除、修改、

4、插入或重發(fā)某些重要信息，以干擾用戶的正常使用。例如，企業(yè)傳遞的文件內(nèi)容被 惡意竄改，后果則會十分嚴(yán)重。拒絕服務(wù)攻擊：它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí) 行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排 斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)， 而且用戶很難防范。眾所周知，網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)系統(tǒng)的各個(gè)方面，涉及人、技術(shù)、操作等要素， 單靠技術(shù)或單靠管理都不可能構(gòu)建完美的安全體系。因此，必須將各種安全技術(shù)與 運(yùn)行管理機(jī)制、人員安全意識與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。解決方案針

5、對該企業(yè)目前的現(xiàn)狀和所面臨的問題，要實(shí)現(xiàn)的各項(xiàng)解決方案的可能性、可 行性和真實(shí)環(huán)境的測試。我最終選擇了中華衛(wèi)士 WFW-FW-BN210 VPN防火墻的設(shè)計(jì)方 案。該項(xiàng)目總計(jì)部署中華衛(wèi)士 VPN防火墻26臺，具體配置如下所述：在企業(yè)中心和各個(gè)分支點(diǎn)部署一臺帶中華衛(wèi)士 VPN防火墻設(shè)備，對各分支點(diǎn)與 企業(yè)中心之間以及各分支點(diǎn)之間的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密傳輸。對所有針對企業(yè)中心的網(wǎng)絡(luò)請求和數(shù)據(jù)交換進(jìn)行控制，根據(jù)用戶需求只開放授 權(quán)用戶和限定服務(wù)的訪問，并對網(wǎng)絡(luò)的各種攻擊行為進(jìn)行防御，拒敵于系統(tǒng)之外。在方案中建議企業(yè)在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上安裝網(wǎng)絡(luò)防病毒軟件，防止隱藏在 正常文件交換中的計(jì)算機(jī)病毒進(jìn)入內(nèi)部系

6、統(tǒng)。網(wǎng)絡(luò)防病毒最重要的是對郵件交換系 統(tǒng)、文件共享系統(tǒng)和內(nèi)部信息系統(tǒng)的防護(hù)，切斷病毒在內(nèi)部網(wǎng)絡(luò)傳播的途徑，防止 病毒在內(nèi)部網(wǎng)絡(luò)的蔓延和大范圍破壞。在方案中主要使用中華衛(wèi)士 VPN防火墻系統(tǒng)，通過一臺設(shè)備就實(shí)現(xiàn)了高強(qiáng)度的 訪問控制和信息加密傳輸，部署之后每個(gè)分支的所有用戶都可以通過VPN加密通道 與中心實(shí)現(xiàn)加密連接，而且分支與分支之間也可以進(jìn)行安全的數(shù)據(jù)傳輸。如果有在 外出差的領(lǐng)導(dǎo)需要安全的接入到企業(yè)內(nèi)網(wǎng)中查詢或下載數(shù)據(jù)，則可以通過PPTP協(xié)議 與中心防火墻進(jìn)行VPN連接，通過身份認(rèn)證后即可以對中心服務(wù)器的指定資源進(jìn)行 訪問，這種方式時(shí)遠(yuǎn)程終端不需要安裝任何軟硬件產(chǎn)品，只需要Win2000以上的操 作系統(tǒng)即可實(shí)現(xiàn)。這種模式在很大程度上節(jié)約了用戶的投資，快速實(shí)現(xiàn)了企業(yè)對網(wǎng) 絡(luò)的安全需求。應(yīng)用效果該項(xiàng)目使用中華衛(wèi)士 VPN防火墻系統(tǒng)實(shí)現(xiàn)了企業(yè)的加密安