防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用(論文)

防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用摘要安全是一個(gè)不容忽視的問(wèn)題，當(dāng)人們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的方便與快捷的同時(shí)，也要時(shí)時(shí)面對(duì)網(wǎng)絡(luò)開(kāi)放帶來(lái)的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。為了保障網(wǎng)絡(luò)安全，當(dāng)局域網(wǎng)與外部網(wǎng)連接時(shí)，可以在中間加入一個(gè)或多個(gè)中介系統(tǒng)，防止非法入侵者通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊，非法訪(fǎng)問(wèn)，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)。防火墻作為內(nèi)外對(duì)外網(wǎng)訪(fǎng)問(wèn)的出口和外網(wǎng)對(duì)內(nèi)外訪(fǎng)問(wèn)的入口，可以在企業(yè)網(wǎng)絡(luò)安全中起到至關(guān)重要作用。本文使用文獻(xiàn)研究、對(duì)比分析、系統(tǒng)分析等方法，對(duì)基于防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行了研究。針對(duì)當(dāng)前互聯(lián)網(wǎng)的安全隱患問(wèn)題，提出防火墻技術(shù)原理及在網(wǎng)絡(luò)安全中的應(yīng)用，以期對(duì)相關(guān)從業(yè)者有所借鑒。關(guān)鍵詞:防火墻

網(wǎng)絡(luò)安全審查控制AbstractSecurityisaproblemthatcannotbeignored.WhenpeopleenjoytheconvenienceandspeedbroughtbytheInternet,wemustconstantlyfacethenewchallengesanddangersofdatasecuritybroughtbynetworkopening.InChina,theinvasionofhackersandthedestructionofcomputerviruseshavecausedhugeeconomiclossesinChinaeveryyear.Inordertoensurenetworksecurity,whenthelocalareanetworkandexternalnetworkconnection,canbeaddedinthemiddleofoneormoreintermediarysystem,preventillegalintruderattack,illegalaccessthroughthenetwork,andtoprovidedataintegrityandconfidentiality,reliabilityandotheraspectsofthesafetyreviewandcontrol,theseintermediatesystemisthefirewall(Firewall)technology.Astheentrancetotheexternalandexternalaccesstotheexternalandexternalnetwork,thefirewallcanplayavitalroleinthenetworksecurityoftheenterprise.Inthispaper,thedesignandimplementationofnetworksecuritybasedonFirewallBasedonthemethodsofliteratureresearch,comparativeanalysisandsystemanalysisarestudied.InviewofthehiddensecurityproblemsoftheInternet,theprincipleoffirewalltechnologyanditsapplicationinnetworksecurityareproposedinordertodrawlessonsfromtherelatedpractitioners.Keywords:firewallnetworksecurityreviewcontrol目錄1.緒論 31.1企業(yè)網(wǎng)絡(luò)安全體系 31.2防火墻與網(wǎng)絡(luò)安全 52.防火墻的概念 52.1

什么是防火墻？ 53.防火墻在企業(yè)網(wǎng)中的應(yīng)用 63.1企業(yè)網(wǎng)面臨的安全風(fēng)風(fēng)險(xiǎn) 63.1.1網(wǎng)絡(luò)病毒的威脅 63.1.2內(nèi)部竊密和破壞 63.1.3網(wǎng)絡(luò)竊聽(tīng) 63.1.4完整性破壞 73.1.5管理及操作人員缺乏安全知識(shí) 73.1.6惡劣天氣引起網(wǎng)絡(luò)安全問(wèn)題 73.2企業(yè)防火墻安全要素 73.2.1防火墻的基本功能 83.2.2企業(yè)對(duì)的防火墻的特殊要求 83.2.3用戶(hù)網(wǎng)絡(luò)結(jié)合 94.企業(yè)網(wǎng)網(wǎng)絡(luò)安全總體設(shè)計(jì) 104.1物理安全 104.2網(wǎng)絡(luò)平臺(tái) 114.2.1防火墻的部署 114.2.2入侵檢測(cè)系統(tǒng)的部署 124.2.3漏洞掃描系統(tǒng) 134.2.4流量控制 134.3系統(tǒng)安全 134.4應(yīng)用安全 144.5黑客攻擊防范 144.6惡意代碼與網(wǎng)絡(luò)病毒防范 155.如何建立企業(yè)網(wǎng)絡(luò)安全體系 155.1提升邊界防御 155.2上網(wǎng)終端管理 165.3Web訪(fǎng)問(wèn)控制管理 165.4信息收發(fā)控制管理 195.5

互聯(lián)網(wǎng)活動(dòng)信息審計(jì)管理 205.6

應(yīng)用權(quán)限設(shè)置 206.企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀與展望 216.1現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性 216.2

防火墻技術(shù)發(fā)展趨勢(shì) 216.3

入侵檢測(cè)技術(shù)發(fā)展趨勢(shì) 226.4

防病毒技術(shù)發(fā)展趨勢(shì) 23結(jié)論 24參考文獻(xiàn) 241.緒論隨著互聯(lián)網(wǎng)的飛速發(fā)展，全世界的計(jì)算機(jī)和網(wǎng)絡(luò)連接到一起，形成了一個(gè)開(kāi)放性的全球網(wǎng)絡(luò)系統(tǒng)——互聯(lián)網(wǎng)，但互聯(lián)網(wǎng)的安全狀況卻并不樂(lè)觀(guān)。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。

計(jì)算機(jī)網(wǎng)絡(luò)中經(jīng)常出現(xiàn)的安全問(wèn)題是惡意的攻擊。其主要分為主動(dòng)與被動(dòng)兩種。大多數(shù)的惡意攻擊都是人為的，可以看出保證網(wǎng)絡(luò)安全不僅僅是使它沒(méi)有編程錯(cuò)誤。惡意攻擊的種類(lèi)具有多樣性的特點(diǎn)，其中之一就是病毒，當(dāng)前的眾多企業(yè)都是通過(guò)網(wǎng)絡(luò)進(jìn)行貿(mào)易往來(lái)的，如果沾染上病毒就會(huì)造成網(wǎng)絡(luò)的癱瘓，無(wú)法從事經(jīng)濟(jì)往來(lái)，一定程度上為企業(yè)或事業(yè)單位帶來(lái)了嚴(yán)重的后果，更加不利于我國(guó)的經(jīng)濟(jì)發(fā)展。因此網(wǎng)絡(luò)的安全變得尤為重要，防火墻的出現(xiàn)使得這一局面開(kāi)始變得更加穩(wěn)定，各種各樣的攻擊開(kāi)始被防火墻阻止在外，以保證網(wǎng)絡(luò)的安全性。但是隨著網(wǎng)絡(luò)攻擊的日益復(fù)雜，防火墻的防攻擊手段越來(lái)越多，因此對(duì)于防火本身的處理復(fù)雜數(shù)據(jù)的能力出現(xiàn)了隱患。

1.1企業(yè)網(wǎng)絡(luò)安全體系

當(dāng)今，在一個(gè)信息（大數(shù)據(jù)）時(shí)代里每個(gè)企業(yè)都離不開(kāi)網(wǎng)絡(luò)。那么一個(gè)企業(yè)擁有更完善的網(wǎng)絡(luò)體系和技術(shù)就尤為重要。并且，一個(gè)完善的網(wǎng)絡(luò)體系已經(jīng)不僅僅是保護(hù)并隔離外來(lái)攻擊的技術(shù)，它更是關(guān)系到一個(gè)企業(yè)的發(fā)展與進(jìn)步。但由于計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性，使得網(wǎng)絡(luò)安全問(wèn)題愈加嚴(yán)重。以下是中小企業(yè)會(huì)遇到的網(wǎng)絡(luò)安全問(wèn)題：=1\*ALPHABETICA.外網(wǎng)安全如病毒傳播，垃圾郵件泛濫，駭客攻擊，蠕蟲(chóng)攻擊及信息泄露等成為頗有影響力的安全威脅。=2\*ALPHABETICB.內(nèi)網(wǎng)安全在工作日常中員工利用企業(yè)網(wǎng)絡(luò)處理私事。其中，在處理是對(duì)網(wǎng)絡(luò)的不當(dāng)使用，降低了工作效率、消耗企業(yè)網(wǎng)絡(luò)資源、阻礙了電腦網(wǎng)絡(luò)，同時(shí)還有引入病毒的風(fēng)險(xiǎn)或者使企業(yè)重要機(jī)密被泄露等。=3\*ALPHABETICC.內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全在企業(yè)的發(fā)展過(guò)程中不斷壯大和完善，必定會(huì)將企業(yè)建立成企業(yè)總部、各分支機(jī)構(gòu)、移動(dòng)辦公人員這樣一個(gè)互動(dòng)運(yùn)營(yíng)模式。為了實(shí)現(xiàn)企業(yè)總部與下部署的信息及時(shí)共享并防止機(jī)密泄露，所以各機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接尤為重要。企業(yè)在日常運(yùn)營(yíng)活動(dòng)中，每個(gè)企業(yè)都必須建立起自己的網(wǎng)絡(luò)安全體系結(jié)構(gòu)(NSA，Network

Security

Architecture)，包括完善的網(wǎng)絡(luò)信息訪(fǎng)問(wèn)控制策略、機(jī)密數(shù)據(jù)通信安全與保護(hù)策略、災(zāi)難恢復(fù)規(guī)劃、對(duì)犯罪攻擊的預(yù)防檢測(cè)等。一個(gè)安全系統(tǒng)的建設(shè)涉及的因素很多，是一個(gè)龐大的系統(tǒng)工程。一般情況下，采取以下需要措施。

(1)物理措施

例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計(jì)算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火等措施。

(2)訪(fǎng)問(wèn)控制

對(duì)用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶(hù)身份認(rèn)證，對(duì)口令加密、更新和鑒別，設(shè)置用戶(hù)訪(fǎng)問(wèn)目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。

(3)數(shù)據(jù)加密

加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。

(4)防止計(jì)算機(jī)網(wǎng)絡(luò)病毒

病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的危害越來(lái)越嚴(yán)重，必須引起高度重視。1988年11月3日，美國(guó)康乃爾大學(xué)一年級(jí)研究生羅特?莫里斯編制的稱(chēng)為“蠕蟲(chóng)”的計(jì)算機(jī)病毒通過(guò)Internet網(wǎng)大面積傳播，致使6000多臺(tái)主機(jī)被感染，直接經(jīng)濟(jì)損失超過(guò)6000萬(wàn)美元。

(5)其他措施

其他措施包括容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等。近年來(lái)，圍繞網(wǎng)絡(luò)安全問(wèn)題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶(hù)截獲后盜用倍息。防火墻技術(shù)是通過(guò)對(duì)網(wǎng)絡(luò)的隔離和限制訪(fǎng)問(wèn)等方法來(lái)控制網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限，從而保護(hù)網(wǎng)絡(luò)資源。其他安全技術(shù)包括密鑰管理、數(shù)字簽名、認(rèn)證技術(shù)、智能卡技術(shù)和訪(fǎng)問(wèn)控制等。

1.2防火墻與網(wǎng)絡(luò)安全所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專(zhuān)用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security

Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入。該局域網(wǎng)內(nèi)所有的計(jì)算機(jī)流入流出多的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)防火墻。

防火墻是解決網(wǎng)絡(luò)安全問(wèn)題的基礎(chǔ)設(shè)備，他所具備的過(guò)濾、安全功能能夠抵抗大多數(shù)來(lái)自外網(wǎng)的攻擊。配備這些傳統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備，實(shí)現(xiàn)面向網(wǎng)絡(luò)層的訪(fǎng)問(wèn)控制，是企業(yè)安全上網(wǎng)的基礎(chǔ)。2.防火墻的概念

2.1

什么是防火墻？

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它可以通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

防火墻包含著一對(duì)矛盾(

或

稱(chēng)

機(jī)

制)：一方面它限制數(shù)據(jù)流通，另一方面它又允許數(shù)據(jù)流通。由于網(wǎng)絡(luò)的管理機(jī)制及安全策略(security

policy)不同，因此這對(duì)矛盾呈現(xiàn)出不同的表現(xiàn)形式。

存在兩種極端的情形：第一種是除了非允許不可的都被禁止，第二種是除了非禁止不可都被允許。第一種的特點(diǎn)是安全但不好用，第二種是好用但不安全，而多數(shù)防火墻都在兩者之間采取折衷。

這里所謂的好用或不好用主要指跨越防火墻的訪(fǎng)問(wèn)效率。在確保防火墻安全或比較安全前提下提高訪(fǎng)問(wèn)效率是當(dāng)前防火墻技術(shù)研究和實(shí)現(xiàn)的熱點(diǎn)。

2.2防火墻的發(fā)展歷程基于其實(shí)現(xiàn)方式可劃分為以下五個(gè)階段：第一代防火墻20世紀(jì)80年代，最早的防火墻幾乎與路由器同時(shí)出現(xiàn)。基于路由器的防火墻，由于多數(shù)路由器中本身就包含有分組過(guò)濾功能，故網(wǎng)絡(luò)訪(fǎng)問(wèn)控制可通過(guò)路由控制來(lái)實(shí)現(xiàn)，從而使具有分組過(guò)濾功能的路由器成為第一代防火墻產(chǎn)品。第二代防火墻：用戶(hù)化的防火墻，將過(guò)濾功能從路由器中獨(dú)立出來(lái)，并加上審計(jì)和告警功能。針對(duì)用戶(hù)需求，提供模塊化的軟件包，是純軟件產(chǎn)品。第三代防火墻：建立在通用操作系統(tǒng)上的防火墻，近年來(lái)在市場(chǎng)上廣泛使用的就是這一代產(chǎn)品。包括分組過(guò)濾和代理功能。第三代防火墻有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)的。第四代防火墻：具有安全操作系統(tǒng)的防火墻：具有安全操作系統(tǒng)的防火墻本身就是一個(gè)操作系統(tǒng)，因而在安全性上得到提高。3.防火墻在企業(yè)網(wǎng)中的應(yīng)用

3.1企業(yè)網(wǎng)面臨的安全風(fēng)風(fēng)險(xiǎn)3.1.1網(wǎng)絡(luò)病毒的威脅網(wǎng)絡(luò)病毒第計(jì)算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過(guò)某種途徑潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活，通過(guò)修改其他程序的方法將自己的精確是拷貝或者可能演化的形式放入其他程序中，從而感染其他程序，對(duì)計(jì)算機(jī)資源進(jìn)行破壞，現(xiàn)在網(wǎng)絡(luò)病毒傳播能力和感染能力都大大提高了，它利用軟件和操作系統(tǒng)的漏洞，給網(wǎng)絡(luò)安全造成極大的威脅。3.1.2內(nèi)部竊密和破壞

企業(yè)網(wǎng)絡(luò)由于需求接入了不同部門(mén)的網(wǎng)絡(luò)系統(tǒng)時(shí)，容易出現(xiàn)部門(mén)內(nèi)不懷好意的人員（或外部非法人員利用公司內(nèi)某部門(mén)的計(jì)算機(jī)）通過(guò)網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，通過(guò)技術(shù)手段進(jìn)一步竊取，修改和破壞其中的重要信息，這樣可能會(huì)泄露客戶(hù)信息，給企業(yè)造成嚴(yán)重的經(jīng)濟(jì)損失。

3.1.3網(wǎng)絡(luò)竊聽(tīng)

在網(wǎng)絡(luò)中，當(dāng)信息進(jìn)行傳播的時(shí)候，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進(jìn)行攻擊攻。擊者可以采用如Wireshark等網(wǎng)絡(luò)協(xié)議分析工具，在INTERNET網(wǎng)絡(luò)安全的薄弱處進(jìn)行監(jiān)聽(tīng)，并非常容易地在信息傳輸過(guò)程中獲取所有信息（比如用戶(hù)名密碼等敏感信息）的內(nèi)容。

3.1.4完整性破壞

信息在傳輸過(guò)程中或者存儲(chǔ)期間很容易被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實(shí)性，失去了相應(yīng)的價(jià)值，從而變得不可用或造成廣泛的負(fù)面影響。由于企業(yè)網(wǎng)內(nèi)有許多重要的客戶(hù)信息，那些心術(shù)不正的用戶(hù)和非法用戶(hù)就會(huì)通過(guò)網(wǎng)絡(luò)，對(duì)沒(méi)有采取相應(yīng)安全措施的服務(wù)器進(jìn)行攻擊，對(duì)重要文件進(jìn)行修改或傳輸一些虛假信息，從而影響工作的正常進(jìn)行。3.1.5管理及操作人員缺乏安全知識(shí)

由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息的應(yīng)用和安全技術(shù)卻相對(duì)落后，用戶(hù)在引入和使用安全設(shè)備和系統(tǒng)時(shí)，缺乏對(duì)系統(tǒng)設(shè)備全面和深入認(rèn)知，對(duì)信息安全的重要性與技術(shù)認(rèn)識(shí)不夠重視，很容易使安全設(shè)備/系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來(lái)對(duì)某些通信和操作需要限制，由于限制的不便，而將狀態(tài)設(shè)置成全開(kāi)放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，操作管理人員的培訓(xùn)和學(xué)習(xí)顯得尤為重要。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免由于使用不當(dāng)而造成的網(wǎng)絡(luò)安全問(wèn)題。

3.1.6惡劣天氣引起網(wǎng)絡(luò)安全問(wèn)題由于網(wǎng)絡(luò)系統(tǒng)中涉及很多硬件設(shè)施，比如網(wǎng)絡(luò)設(shè)備、終端、線(xiàn)路等，而網(wǎng)絡(luò)通信都是通過(guò)通信電纜進(jìn)行傳輸，因此極易受到雷電大風(fēng)等惡劣天氣的攻擊，造成通信中斷，使整個(gè)網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。因此，為避免遭受感應(yīng)雷擊的破壞和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，以及大風(fēng)等惡劣天氣的對(duì)電纜的損害，有必要對(duì)整個(gè)網(wǎng)絡(luò)硬件設(shè)施采取相應(yīng)的預(yù)防惡劣天氣的措施。

3.2企業(yè)防火墻安全要素

防火墻實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)功能是通過(guò)將內(nèi)外網(wǎng)絡(luò)進(jìn)行物理隔離來(lái)實(shí)現(xiàn)的，然后根據(jù)預(yù)先定制的安全策略控制通過(guò)防火墻的訪(fǎng)問(wèn)行為，從而達(dá)到對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)訪(fǎng)問(wèn)的有效控制。防火墻通常有兩種工作模式：網(wǎng)橋模式和路由模式。在企業(yè)中財(cái)務(wù)部是重要部門(mén)，我們都知道即使是內(nèi)部員工也不能隨意訪(fǎng)問(wèn)。因此，可以選擇防火墻的網(wǎng)橋模式。既不用改變企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，也可以在沒(méi)有經(jīng)過(guò)防火墻授權(quán)的情況下禁止非法人員訪(fǎng)問(wèn)財(cái)務(wù)部的主機(jī)。這樣一來(lái)變對(duì)同一子網(wǎng)上的不同區(qū)域（部門(mén)）的信息進(jìn)行了保護(hù)，防止機(jī)密外泄。路由模式下可以使用防火墻的代理功能和網(wǎng)絡(luò)地址轉(zhuǎn)換功能，充分保護(hù)企業(yè)網(wǎng)絡(luò)免受來(lái)自互聯(lián)網(wǎng)的攻擊。當(dāng)防火墻安裝在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)之間作為安全屏障時(shí)，應(yīng)該選擇該模式。3.2.1防火墻的基本功能

防火墻系統(tǒng)基本上可以說(shuō)是網(wǎng)絡(luò)的第一道防線(xiàn)，企業(yè)防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時(shí)，它首先具備的防火墻的基本功能，這是用戶(hù)選擇防火墻產(chǎn)品的依據(jù)和前提。一個(gè)合格的防火墻產(chǎn)品應(yīng)該具有下述基本功能：=1\*ALPHABETICA.在企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間建立防火墻（檢查點(diǎn)）。只要檢查點(diǎn)清楚建立，強(qiáng)制所有進(jìn)出的流量都必須通過(guò)這些檢查點(diǎn)。這樣網(wǎng)管就可以集中在較少的地方來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全。否則，系統(tǒng)或網(wǎng)管將要在大量的地方來(lái)進(jìn)行監(jiān)測(cè)。在我們網(wǎng)絡(luò)安全網(wǎng)絡(luò)行業(yè)中，稱(chēng)這樣一個(gè)檢查點(diǎn)為“阻塞點(diǎn)”。如下圖：數(shù)據(jù)流通過(guò)防火墻示意圖數(shù)據(jù)流通過(guò)防火墻示意圖（1）=2\*ALPHABETICB.防止內(nèi)部信息外泄。它通過(guò)隔離內(nèi)、外部網(wǎng)絡(luò)來(lái)保證網(wǎng)絡(luò)的安全，與此同時(shí)，也限制了局部重要或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)造成的影響。=3\*ALPHABETICC.強(qiáng)化網(wǎng)絡(luò)安全策略通過(guò)以防火墻為中心的安全方案配置，將所有的安全軟件（如口令、加密、身份認(rèn)證等）配置在防火墻上。這樣的集中安全管理更有效經(jīng)濟(jì)。=4\*ALPHABETICD.有效地審計(jì)和記錄內(nèi)、外部網(wǎng)絡(luò)上的活動(dòng)防火墻可以對(duì)內(nèi)、外部網(wǎng)絡(luò)存取和訪(fǎng)問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪(fǎng)問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪(fǎng)問(wèn)并進(jìn)行日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。比如即使是內(nèi)部員工，如果違反企業(yè)的安全策略，一樣會(huì)被防火墻及時(shí)的阻止并通告網(wǎng)絡(luò)管理員。3.2.2企業(yè)對(duì)的防火墻的特殊要求

企業(yè)防火墻還應(yīng)該滿(mǎn)足企業(yè)安全政策中一些特殊需求，這方面常會(huì)成為企業(yè)防火墻的的關(guān)鍵因素之一，常見(jiàn)的需求如下：

網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)

網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過(guò)申請(qǐng)。在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過(guò)內(nèi)部的IP地址進(jìn)行通訊。而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部internet網(wǎng)絡(luò)進(jìn)行通訊時(shí)，具有NAT功能的設(shè)備（比如：路由器）負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過(guò)申請(qǐng)的IP地址）進(jìn)行通信。進(jìn)行地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP，這可以使黑客無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)，這也是筆者之所以要強(qiáng)調(diào)防火墻自身安全性問(wèn)題的主要原因。雙重DNS

因特網(wǎng)上作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使用戶(hù)更方便的訪(fǎng)問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。通過(guò)主機(jī)名，最終得到該主機(jī)名對(duì)應(yīng)的IP地址的過(guò)程叫做域名解析有的防火墻會(huì)提供雙重DNS，對(duì)外解析成公網(wǎng)地址

對(duì)內(nèi)解析成內(nèi)網(wǎng)地址

。

虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)

VPN即在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪(fǎng)問(wèn)，可以在建立一個(gè)虛擬通道，讓兩者感覺(jué)是在同一個(gè)網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。

特殊控制需求

有時(shí)候企業(yè)會(huì)有特別的控制需求，如限制特定特定使用者才能發(fā)送Email，F(xiàn)TP只能下載文件不能上傳文件，限制同時(shí)上網(wǎng)人數(shù)，限制使用時(shí)間或阻塞Java、ActiveX控件等，依需求不同而定。

3.2.3用戶(hù)網(wǎng)絡(luò)結(jié)合

(1)管理的難易度

防火墻使用的難易度是防火墻能否達(dá)到安全目的的是決定因素之一。用已有的網(wǎng)絡(luò)設(shè)備直接當(dāng)作防火墻，除了不能達(dá)到完全的控制之外，設(shè)定工作困難、須具備完整的知識(shí)以及不易排除錯(cuò)誤等管理問(wèn)題，更是一般企業(yè)不愿意使用的主要原因。

(2)自身的安全性

大多數(shù)人都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了一點(diǎn)，防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問(wèn)題，防火墻如果不能確保自身安全，則防火墻的控制功能再?gòu)?qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。

大部分防火墻都安裝在一般的操作系統(tǒng)上，如Unix、Linux系統(tǒng)等。在防火墻主機(jī)上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來(lái)自于操作系統(tǒng)本身的原有程序。當(dāng)防火墻主機(jī)上所執(zhí)行的軟件出現(xiàn)安全漏洞時(shí)，防火墻本身也將受到威脅。此時(shí)，任何的防火墻控制機(jī)制都可能失效，因?yàn)楫?dāng)一個(gè)黑客取得了防火墻上的控制權(quán)以后，黑客幾乎可為所欲為地修改防火墻上的訪(fǎng)問(wèn)規(guī)則，進(jìn)而侵入更多的系統(tǒng)。因此防火墻自身應(yīng)有相當(dāng)高的安全保護(hù)。

(4)良好的可維護(hù)性

好的防火墻應(yīng)該是企業(yè)整體網(wǎng)絡(luò)的保護(hù)者，并能彌補(bǔ)其它操作系統(tǒng)的不足，使操作系統(tǒng)的安全性不會(huì)對(duì)企業(yè)網(wǎng)絡(luò)的整體安全造成影響。防火墻應(yīng)該能夠支持多種平臺(tái)，因?yàn)槭褂谜卟攀峭耆目刂普?，而使用者的平臺(tái)往往是多種多樣的，它們應(yīng)選擇一套符合現(xiàn)有環(huán)境需求的防火墻產(chǎn)品。由于新產(chǎn)品的出現(xiàn)，就會(huì)有人研究新的破解方法，所以好的防火墻產(chǎn)品應(yīng)擁有完善及時(shí)的售后服務(wù)體系。

(5)完整的安全檢查

好的防火墻還應(yīng)該向使用者提供完整的安全檢查功能，但是一個(gè)安全的網(wǎng)絡(luò)仍必須依靠使用者的觀(guān)察及改進(jìn)，因?yàn)榉阑饓Σ⒉荒苡行У囟沤^所有的惡意封包，企業(yè)想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。防火墻可以限制唯有合法的使用者才能進(jìn)行連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來(lái)發(fā)現(xiàn)。

4.企業(yè)網(wǎng)網(wǎng)絡(luò)安全總體設(shè)計(jì)

根據(jù)企業(yè)網(wǎng)絡(luò)的特點(diǎn)，按照安全策略的要求、風(fēng)險(xiǎn)分析的結(jié)果及整個(gè)網(wǎng)絡(luò)的安全目標(biāo)，整個(gè)網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個(gè)方面組成,本方案主要從以下幾個(gè)方面進(jìn)行安全設(shè)計(jì)：

物理安全、網(wǎng)絡(luò)平臺(tái)安全、系統(tǒng)安全、應(yīng)用安全、黑客攻擊防范、惡意代碼與網(wǎng)絡(luò)病毒防范。4.1物理安全物理安全是保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提，物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程雷。目前,隨著計(jì)算機(jī)硬件制造技術(shù)的迅猛發(fā)展,計(jì)算機(jī)軟、硬件在性能上已經(jīng)變得越來(lái)越穩(wěn)定和可靠了,計(jì)算機(jī)及一些網(wǎng)絡(luò)設(shè)備等硬件設(shè)施對(duì)其周邊環(huán)境的要求也有所降低,現(xiàn)在放置普通計(jì)算機(jī)的微型房間一般不需要進(jìn)行專(zhuān)門(mén)裝修布置,但保證其房間的整潔、具有適宜的溫度和濕度、通風(fēng)等要求還是必須的。設(shè)備的安放位置應(yīng)有利于減少對(duì)工作區(qū)的不必要訪(fǎng)問(wèn),敏感數(shù)據(jù)的信息處理與存儲(chǔ)設(shè)施應(yīng)當(dāng)妥善放置,降低在使用期間內(nèi)對(duì)其缺乏監(jiān)督的風(fēng)險(xiǎn);要求特別保護(hù)的項(xiàng)目應(yīng)與其他設(shè)備進(jìn)行隔離,以降低所需保護(hù)的等級(jí);采取措施,盡量降低盜竊、火災(zāi)等環(huán)境威脅所產(chǎn)生的潛在的風(fēng)險(xiǎn);考慮實(shí)施“禁止在信息處理設(shè)施附近飲食、飲水和吸煙”等。穩(wěn)定供電是計(jì)算機(jī)、通信等信息設(shè)備能夠正常應(yīng)用的必要條件。如在交通運(yùn)輸部門(mén)的計(jì)算機(jī)網(wǎng)絡(luò)售票系統(tǒng)、證券交易系統(tǒng)中,如果沒(méi)有備用電源,一旦發(fā)生電力供應(yīng)中斷就會(huì)引起業(yè)務(wù)活動(dòng)的中斷。因此,保證重要信息設(shè)備的供電可靠性對(duì)保持業(yè)務(wù)活動(dòng)的正常運(yùn)作十分重要。4.2網(wǎng)絡(luò)平臺(tái)

作為企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺(tái)，由于許多重要的信息都通過(guò)網(wǎng)絡(luò)進(jìn)行交換，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要。

4.2.1防火墻的部署由在Internet與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺(tái)RG-WALL1800防火墻，在內(nèi)外網(wǎng)之間建立一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)（即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全），與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)路由器與Internet連接。這樣，通過(guò)Internet進(jìn)來(lái)的外網(wǎng)用戶(hù)只能訪(fǎng)問(wèn)到對(duì)外公開(kāi)的一些服務(wù)（如WWW、E-mail、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶(hù)非法訪(fǎng)問(wèn)或破壞，也可以阻止內(nèi)部用戶(hù)對(duì)外部不良資源的使用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。

在防火墻設(shè)置上我們按照以下原則配置來(lái)提高網(wǎng)絡(luò)安全性：

(1)根據(jù)企業(yè)網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容，包括協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來(lái)自外網(wǎng)的對(duì)企業(yè)內(nèi)網(wǎng)的不必要的、非法的訪(fǎng)問(wèn)。總體上遵從“不被允許的服務(wù)就是被禁止”的原則。

(2)配置防火墻，過(guò)濾掉以?xún)?nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類(lèi)型的攻擊；過(guò)濾掉以非法IP地址離開(kāi)內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外的攻擊

(3)在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表，防止IP地址被盜用。

(4)定期查看防火墻訪(fǎng)問(wèn)日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。

(5)允許通過(guò)配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理的安全性。

圖一防火墻軟件結(jié)構(gòu)及處理流程4.2.2入侵檢測(cè)系統(tǒng)的部署

入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素。強(qiáng)大的、完整的入侵檢測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。將RG-IDS2000入侵檢測(cè)引擎接入中心交換機(jī)上，對(duì)來(lái)自外部網(wǎng)和企業(yè)網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)。選用的入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)。圖二訪(fǎng)問(wèn)檢測(cè)系統(tǒng)流程4.2.3漏洞掃描系統(tǒng)

網(wǎng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全分析報(bào)告。調(diào)用payload圖三調(diào)用payload數(shù)據(jù)處理后返回服務(wù)端客戶(hù)端數(shù)據(jù)處理后返回服務(wù)端客戶(hù)端建立建立socket建立無(wú)線(xiàn)網(wǎng)絡(luò)連接建立無(wú)線(xiàn)網(wǎng)絡(luò)連接掃描到客戶(hù)端發(fā)送的數(shù)據(jù)掃描到客戶(hù)端發(fā)送的數(shù)據(jù)接收數(shù)據(jù)并發(fā)數(shù)據(jù)庫(kù)處理循環(huán)掃描關(guān)閉無(wú)線(xiàn)網(wǎng)絡(luò)連接接收數(shù)據(jù)構(gòu)造特殊請(qǐng)求并發(fā)送連接循環(huán)掃描關(guān)閉無(wú)線(xiàn)網(wǎng)絡(luò)連接接收數(shù)據(jù)構(gòu)造特殊請(qǐng)求并發(fā)送連接漏洞掃描漏洞掃描4.2.4流量控制

銳捷RG-RSR30-44路由器提供了QOS功能，可以順利實(shí)現(xiàn)該企業(yè)網(wǎng)的應(yīng)用控制流量要求：對(duì)于重要運(yùn)用（如HTTP），保證其最小帶寬使用量，并且借用剩余帶寬；對(duì)于占用大量帶寬但不重要的應(yīng)用（如P2P）對(duì)其進(jìn)行帶寬限制，至此基于時(shí)間段生效的帶寬控制策略。這樣就嚴(yán)格控制了企業(yè)員工的上網(wǎng)行為，以保證帶寬得到有效的應(yīng)用。4.3系統(tǒng)安全系統(tǒng)的安全性主要針對(duì)的是操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺(tái)的可靠性。對(duì)于系統(tǒng)的安全防范我主要采取如下策略：對(duì)操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性；系統(tǒng)內(nèi)部調(diào)用不對(duì)Internet公開(kāi)；關(guān)鍵性信息不直接公開(kāi)，盡可能采用安全性高的操作系統(tǒng)。應(yīng)用系統(tǒng)在開(kāi)發(fā)時(shí)，采用規(guī)范化的開(kāi)發(fā)過(guò)程，盡可能的減少應(yīng)用系統(tǒng)的漏洞；通過(guò)專(zhuān)業(yè)的安全工具（安全檢測(cè)系統(tǒng)）定期對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估。4.4應(yīng)用安全首先，針對(duì)企業(yè)員工的使用，我建議使用802.1X協(xié)議來(lái)實(shí)現(xiàn)用戶(hù)的登陸連接網(wǎng)絡(luò)，以確認(rèn)用戶(hù)的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。另外，在加強(qiáng)主機(jī)的管理上，除了上面談的訪(fǎng)問(wèn)控制和系統(tǒng)漏洞檢測(cè)外，還可以采用訪(fǎng)問(wèn)存取控制，對(duì)權(quán)限進(jìn)行分割和管理。應(yīng)用安全平臺(tái)要加強(qiáng)資源目錄管理和授權(quán)管理、傳輸加密、審計(jì)記錄和安全管理。4.5黑客攻擊防范有效的防范黑客攻擊安全體系的實(shí)現(xiàn)需要三方面的努力：

(1)技術(shù)上：黑客攻擊的多樣性決定了防范技術(shù)也必須采取多層次、全方位的防御體系。包括先進(jìn)的、不斷更新和完善的安全工具、各種軟硬件設(shè)備、管理平臺(tái)和監(jiān)控系統(tǒng)。主要包括防火墻、安全掃描、評(píng)估分析、入侵檢測(cè)、入侵取證、陷阱網(wǎng)絡(luò)、備份恢復(fù)和病毒防治等。

(2)管理上：黑客攻擊的技術(shù)手段越來(lái)越高明，但是不可否認(rèn)，有些黑客攻擊之所以可以成功在于網(wǎng)絡(luò)管理上的疏忽和漏洞。所以要建立有效的防范黑客攻擊的安全體系需要嚴(yán)密完善的安全技術(shù)規(guī)范、管理制度、高水平的安全技術(shù)人才和高度的工作責(zé)任心。其中包括建立定期檢查制度、建立包機(jī)或網(wǎng)絡(luò)安全專(zhuān)人負(fù)責(zé)制、建立安全事故及時(shí)上報(bào)制度、建立定期備份制度、建立口令定期修改制度等等。

(3)規(guī)劃上：網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，也使得黑客攻擊技術(shù)不斷發(fā)展，網(wǎng)絡(luò)管理者要做好防范工作的同時(shí)也要做出正確合理的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、規(guī)劃和組織，做到防范于未然。對(duì)新的技術(shù)和產(chǎn)品的研發(fā)要早作準(zhǔn)備，深入調(diào)研國(guó)內(nèi)外電信IP網(wǎng)安全的狀況，了解黑客技術(shù)的進(jìn)展，在廣泛融合的基礎(chǔ)上做出前瞻性的規(guī)劃，培養(yǎng)相關(guān)領(lǐng)域的人才。4.6惡意代碼與網(wǎng)絡(luò)病毒防范由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力，一次計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。

網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒。網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)；在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪(fǎng)問(wèn)權(quán)限等。

所選的防毒軟件應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。主要面向E-mail

、Web服務(wù)器，以及辦公網(wǎng)段的PC服務(wù)器和PC機(jī)等。支持對(duì)網(wǎng)絡(luò)、服務(wù)器、和工作站的實(shí)時(shí)病毒監(jiān)控；能夠在中心控制臺(tái)向多個(gè)目標(biāo)分發(fā)新版殺毒軟件，并監(jiān)視多個(gè)目標(biāo)的病毒防治情況；支持多種平臺(tái)的病毒防范；能夠識(shí)別廣泛的已知和未知病毒，包括宏病毒；支持Internet/

Intranet服務(wù)器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞；支持對(duì)電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持對(duì)壓縮文件的病毒檢測(cè)；支持廣泛的病毒處理選項(xiàng)，如對(duì)染毒文件進(jìn)行實(shí)時(shí)殺毒，移出，重新命名等；支持病毒隔離，當(dāng)客戶(hù)機(jī)試圖上載一個(gè)染毒文件時(shí)，服務(wù)器可自動(dòng)關(guān)閉對(duì)該工作站的連接；提供對(duì)病毒特征信息和檢測(cè)引擎的定期在線(xiàn)更新服務(wù)；支持日志記

。5.如何建立企業(yè)網(wǎng)絡(luò)安全體系

網(wǎng)絡(luò)安全是個(gè)系統(tǒng)的工程，系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等，而一個(gè)安全系統(tǒng)的安全等級(jí)，又是取決于安全等級(jí)最弱的那個(gè)環(huán)節(jié)。企業(yè)應(yīng)充分利用成熟的信息安全理論成果，設(shè)計(jì)出兼顧整體性、具有可操作性，并且融策略、組織、運(yùn)行和技術(shù)為一體的信息安全保障體系，保障企業(yè)信息系統(tǒng)的安全。

5.1提升邊界防御

防火墻、IDS、IPS，是解決網(wǎng)絡(luò)安全問(wèn)題的基礎(chǔ)設(shè)備，他們所具備的過(guò)濾、安全功能能夠抵抗大多數(shù)來(lái)自外網(wǎng)的攻擊。配備這些傳統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備，實(shí)現(xiàn)面向網(wǎng)絡(luò)層的訪(fǎng)問(wèn)控制，是企業(yè)安全上網(wǎng)的前提。然而，在應(yīng)用內(nèi)容及其格式以爆炸速度增長(zhǎng)的今天，許多互聯(lián)網(wǎng)危害隱患存在于應(yīng)用層中，僅僅依照第三層信息決定其是否準(zhǔn)入，根本無(wú)法滿(mǎn)足安全的要求，我們還需要細(xì)粒度的應(yīng)用層。

5.2上網(wǎng)終端管理

網(wǎng)絡(luò)邊緣的外圍設(shè)備再先進(jìn)也無(wú)法保護(hù)內(nèi)部網(wǎng)絡(luò)，來(lái)自局域網(wǎng)內(nèi)部的濫用、破壞也是威脅上網(wǎng)安全的重要因素。比如，客戶(hù)端的安全級(jí)別往往難以保證，這對(duì)于內(nèi)網(wǎng)用戶(hù)數(shù)量眾多的組織更為如此——缺乏安全措施的單機(jī)，比如使用陳舊的操作系統(tǒng)、長(zhǎng)時(shí)間不更新個(gè)人防火墻和殺毒軟件、應(yīng)用具有潛在安全漏洞的軟件，都將成為局域網(wǎng)安全中一顆顆隱藏的定時(shí)炸彈。

為上網(wǎng)終端配置網(wǎng)絡(luò)準(zhǔn)入規(guī)則，通過(guò)對(duì)單點(diǎn)的安全評(píng)估和訪(fǎng)問(wèn)策略列表是實(shí)現(xiàn)客戶(hù)端全方位安全防護(hù)的最佳手段。對(duì)終端的安全策略列表應(yīng)該包括操作系統(tǒng)、運(yùn)行程序、系統(tǒng)進(jìn)程、注冊(cè)表等。5.3Web訪(fǎng)問(wèn)控制管理

互聯(lián)網(wǎng)資源豐富，有非常多的惡意的網(wǎng)站使你上網(wǎng)購(gòu)物，瀏覽信息時(shí)如履薄冰：隱藏蠕蟲(chóng)病毒、木馬插件的非法網(wǎng)站，各類(lèi)層出不窮的釣魚(yú)網(wǎng)站等等都會(huì)讓組織在分享互聯(lián)網(wǎng)便利的同時(shí)帶來(lái)巨大的隱患。

針對(duì)這些有害內(nèi)容，URL庫(kù)過(guò)濾技術(shù)近年來(lái)得到廣泛采納，采用該技術(shù)將包含潛在威脅的網(wǎng)站攔截在外是保障上網(wǎng)安全的有效方式之一，黑白名單功能：如把釣魚(yú)網(wǎng)站、黃色網(wǎng)站列入黑名單，可以保護(hù)公司內(nèi)網(wǎng)的安全；而把一些暢通無(wú)阻的網(wǎng)頁(yè)加入白名單，就不需要進(jìn)行分類(lèi)查詢(xún)，提高了訪(fǎng)問(wèn)速度。分類(lèi)訪(fǎng)問(wèn)功能：對(duì)于黑白名單無(wú)法匹配的網(wǎng)頁(yè)，采取分類(lèi)查詢(xún)的功能。分類(lèi)可以用戶(hù)自己配置，也可以向第三方的分類(lèi)查詢(xún)服務(wù)器進(jìn)行查詢(xún)，如surfcontrol的分類(lèi)服務(wù)器；與第三方服務(wù)器的通信是技術(shù)難點(diǎn)，是TCP連接還是UDP連接，若是TCP連接，在web訪(fǎng)問(wèn)高峰期，要建多少TCP連接，是不是會(huì)超過(guò)設(shè)備負(fù)載，性能是不是會(huì)受影響，查詢(xún)速度是不是會(huì)很慢；若是UDP連接，怎么處理鏈路擁塞情況下查詢(xún)報(bào)文丟失的情況，查詢(xún)超時(shí)怎么處理？總而言之，查詢(xún)到分類(lèi)后，可以與本地的用戶(hù)組和時(shí)間段關(guān)聯(lián)，判斷該http請(qǐng)求是否該放行。

頁(yè)面推送：若是被阻斷的頁(yè)面，需要對(duì)用戶(hù)進(jìn)行通知，可以采用頁(yè)面推送的方式。此時(shí)，需要對(duì)發(fā)起http請(qǐng)求的用戶(hù)推送一個(gè)頁(yè)面，知道客戶(hù)，訪(fǎng)問(wèn)被阻斷，并且斷開(kāi)http請(qǐng)求。這里的技術(shù)難點(diǎn)是，如何模擬http

server，給client發(fā)送一個(gè)reset報(bào)文，并重新構(gòu)造一個(gè)報(bào)文發(fā)送給客戶(hù)端。涉及到報(bào)文封裝，校驗(yàn)和計(jì)算，序列號(hào)修改。當(dāng)然，還應(yīng)該考慮到一些釣魚(yú)網(wǎng)站采用的是SSL加密頁(yè)面，所以還需要結(jié)合證書(shū)驗(yàn)證、鏈接黑白名單等措施。對(duì)文件下載傳輸行為進(jìn)行規(guī)范也是必要的，將關(guān)鍵字、文件類(lèi)型、網(wǎng)絡(luò)服務(wù)與IP地址組進(jìn)行關(guān)聯(lián)，規(guī)范下載策略，可以控制大部分由主動(dòng)下載造成的損害。

在企業(yè)中，我們不時(shí)會(huì)遇到公司的服務(wù)器被攻擊這樣的情況。這時(shí)我們就需要屏蔽攻擊IP，Windows服務(wù)器。并且只能一條一條的IP進(jìn)行添加，而從日志中分析發(fā)現(xiàn)攻擊IP比較多。因此我們需要自動(dòng)忽視添加防火墻規(guī)則。首先，我們需要了解防火墻常見(jiàn)規(guī)則并加以運(yùn)用。根據(jù)以上公司服務(wù)器遭受攻擊這樣的情況我們需要對(duì)攻擊IP進(jìn)行屏蔽規(guī)則，具體操作如下：第一，進(jìn)入電腦的C盤(pán)找到Windows下的System32目錄，在該目錄下找到cmd.exe，然后單擊右鍵選擇菜單中的“以管理員身份運(yùn)行”即可。如下圖：第二，繼續(xù)上一步驟。以“管理員身份運(yùn)行”打開(kāi)cmd，輸入”netshadvfirewallfirewall”顯示常見(jiàn)的命令幫助，此時(shí)的界面如下：并對(duì)遠(yuǎn)程（攻擊）IP進(jìn)行相關(guān)的防火墻配置；添加防火墻入站規(guī)則，如下圖所示：其中，我們可以知道關(guān)于添加規(guī)則的命令格式為：netshadvfirewallfirewall[命令]rule[其他參數(shù)]。另外，add增加入站/出站規(guī)則的用法如下：addrulename=dir=in/outaction=allow/block/bypass上面的參數(shù)說(shuō)明解釋?zhuān)篸ir=in（入站）dir=out（出站）action=allow（允許）action=block（拒絕/阻止）action=bypass（不知道意思）常見(jiàn)的添加入站/出站規(guī)則參數(shù)說(shuō)明解釋?zhuān)簄ame=“xxxx”（入站/出站的規(guī)則名）remoteip（遠(yuǎn)程ip）localip（本地ip）localport（本地端口）remoteport（遠(yuǎn)程端口）第三，添加一條規(guī)則名為”name=ipcesc”的入站規(guī)則，拒絕一下ip的訪(fǎng)問(wèn)。具體的命令如下：上面這條命令拒絕了以下ip訪(fǎng)問(wèn)：3701.139（多個(gè)ip使用/分割）最后，配置顯示（show）。用顯示配置來(lái)查看多個(gè)遠(yuǎn)程ip用什么分割：經(jīng)過(guò)上面四個(gè)步驟我們可以看出所要添加的入站規(guī)則已經(jīng)完成并開(kāi)始啟用。5.4信息收發(fā)控制管理

全球每天有120億條消息通過(guò)即時(shí)通訊工具（Instant

Messaging，IM）被發(fā)送，這些IM應(yīng)用也許是員工在和同事、客戶(hù)討論工作，但更多的聊天對(duì)象卻是家人、朋友甚至是陌生人。此外，網(wǎng)絡(luò)上還有其它大量的和工作無(wú)關(guān)網(wǎng)絡(luò)應(yīng)用存在，包括網(wǎng)絡(luò)游戲、在線(xiàn)炒股、P2P下載等，這些工作時(shí)間內(nèi)的“豐富應(yīng)用”造成了組織生產(chǎn)效率的巨大浪費(fèi)。有些組織靠封端口、封服務(wù)器地址等方法在一定程度上有效，但由于服務(wù)器地址和端口會(huì)經(jīng)常變換，這導(dǎo)致封服務(wù)器地址和端口成為一項(xiàng)持續(xù)的高成本工作，只能是治標(biāo)不治本。

在全面應(yīng)用管理上更有效的封堵方法主要有兩種，一種是基于應(yīng)用協(xié)議和數(shù)據(jù)包的智能分析，另一種是針對(duì)流量進(jìn)行檢測(cè)。前者是通過(guò)分析IP數(shù)據(jù)包首部的服務(wù)類(lèi)型、協(xié)議、源地址、目的地址以及數(shù)據(jù)包的數(shù)據(jù)部分，能夠更好的發(fā)現(xiàn)特定服務(wù)。后者則可以針對(duì)特定用戶(hù)的網(wǎng)絡(luò)連接情況進(jìn)行分析，當(dāng)網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接超出規(guī)定的閥值時(shí)，用戶(hù)的行為將被限制流量。

5.5

互聯(lián)網(wǎng)活動(dòng)信息審計(jì)管理

互聯(lián)網(wǎng)對(duì)企業(yè)還有一個(gè)重要的危害是信息的過(guò)度流動(dòng)。由于它是一個(gè)開(kāi)放系統(tǒng)，只要使用者輕點(diǎn)鼠標(biāo)，企業(yè)與組織的機(jī)密信息就能瞬間以光的速度到達(dá)競(jìng)爭(zhēng)對(duì)手那里。而一些攻擊性、侮辱性的網(wǎng)絡(luò)漫罵/謠言，則可能會(huì)導(dǎo)致組織不必要的內(nèi)部糾紛。另外，內(nèi)部員工通過(guò)組織網(wǎng)絡(luò)隨意發(fā)表的言論，也可能給組織帶來(lái)法律上的風(fēng)險(xiǎn)。

要防范這些風(fēng)險(xiǎn)，應(yīng)該從IM、HTTP、FTP、EMAIL等各個(gè)可能的出口，對(duì)外發(fā)信息進(jìn)行審計(jì)和監(jiān)控。所采取的措施應(yīng)該包括記錄與保存，對(duì)關(guān)鍵字的審計(jì)，甚至對(duì)一些關(guān)鍵的信息進(jìn)行延遲審計(jì)。

5.6

應(yīng)用權(quán)限設(shè)置

以上多種手段基本上可以滿(mǎn)足一個(gè)安全高效的上網(wǎng)環(huán)境的建設(shè)，然而，一個(gè)組織內(nèi)部，不同部門(mén)，不同人員，倘若對(duì)網(wǎng)絡(luò)應(yīng)用都擁有同樣權(quán)限，注定會(huì)使網(wǎng)絡(luò)出于低效、危險(xiǎn)的境地。所以在這里我們有必要再介紹一下應(yīng)用權(quán)限方面的管理。

對(duì)網(wǎng)絡(luò)用戶(hù)進(jìn)行權(quán)限設(shè)置是一種很好的分級(jí)管理的措施。就流量?jī)?yōu)化而言，傳統(tǒng)的帶寬管理只能對(duì)特定服務(wù)分配相應(yīng)的百分比帶寬，屬于“一刀切”行為。更具效力的網(wǎng)絡(luò)流量?jī)?yōu)化方式是基于用戶(hù)的流量控制技術(shù)，再結(jié)合各種不同應(yīng)用的角色分配，可以有更好效果。具體說(shuō)來(lái)，在廣域網(wǎng)的訪(fǎng)問(wèn)中，有些部門(mén)的特殊應(yīng)用是應(yīng)該而且必須獲得獨(dú)占性資源的，例如總部的管理層同各分公司主管召開(kāi)的視頻會(huì)議，而有些部門(mén)的非工作相關(guān)服務(wù)則不應(yīng)獲得那么高的帶寬，例如采購(gòu)部門(mén)的P2P下載。通過(guò)分組流量控制，你可以對(duì)不同用戶(hù)組使用的服務(wù)進(jìn)行精細(xì)的帶寬分配，保障重要部門(mén)的重要服務(wù)得到足夠帶寬。

購(gòu)買(mǎi)這些不同的IT設(shè)備，一方面動(dòng)輒幾十萬(wàn)甚至上百萬(wàn)的費(fèi)用投入對(duì)于大部分的用戶(hù)來(lái)說(shuō)都是難以接受的，另一方面由于這些設(shè)備分別來(lái)自不同廠(chǎng)商，管理界面各異，對(duì)IT維護(hù)和管理也是個(gè)巨大的挑戰(zhàn)和難題。

6.企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀與展望

6.1現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性

談及網(wǎng)絡(luò)安全技術(shù)，就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測(cè)技術(shù)以及防病毒技術(shù)。

(1)

從用戶(hù)角度來(lái)看，雖然在使用的系統(tǒng)中安裝了防火墻，但是仍避免不了垃圾郵件、信息別竊取、病毒傳播、強(qiáng)制的廣告、釣魚(yú)網(wǎng)站等。

(2)

未經(jīng)規(guī)模統(tǒng)一部署的入侵檢測(cè)單個(gè)產(chǎn)品在安全提前預(yù)警方面存在著一定的不足，且在精確定位問(wèn)題和全局管理方面還有很大提升的空間。

(3)

雖然很多用戶(hù)在終端上都安裝了不同類(lèi)型的防病毒產(chǎn)品，但是內(nèi)部網(wǎng)絡(luò)的安全并不僅僅是防病毒的問(wèn)題，還包括很多安全策略的執(zhí)行、抵御外來(lái)非法侵入、補(bǔ)丁升級(jí)管理以及合理管理等方面。

所以說(shuō)，雖然三大主流技術(shù)已經(jīng)在網(wǎng)絡(luò)安全方面扮演重要角色，而且仍然發(fā)揮著重要作用，但是我們已漸漸感覺(jué)到其有不足之處。其次，從企業(yè)網(wǎng)絡(luò)安全的整體的技術(shù)框架來(lái)看，網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問(wèn)題，傳統(tǒng)主流技術(shù)基本上還是針對(duì)數(shù)據(jù)安全、單個(gè)系統(tǒng)安全、軟硬件以及程序本身安全性的保障。應(yīng)用邏輯層的安全還需要和其它安全工具來(lái)來(lái)滿(mǎn)足

6.2

防火墻技術(shù)發(fā)展趨勢(shì)

在未來(lái)防火墻的發(fā)展趨勢(shì)是朝高速、多功能化、更安全的方向發(fā)展。傳統(tǒng)防火墻的安全策略是靜態(tài)的，靜態(tài)防火墻只能識(shí)別一些已知的攻擊行為，對(duì)于未知的攻擊則顯得力不從心。根據(jù)網(wǎng)絡(luò)上的動(dòng)態(tài)威脅，自動(dòng)學(xué)習(xí)，自動(dòng)生成安全策略并自動(dòng)配置的智能防火墻會(huì)成為未來(lái)的發(fā)展趨勢(shì)之一。

1.成為網(wǎng)絡(luò)安全管理平臺(tái)的一個(gè)組件。隨著網(wǎng)絡(luò)安全管理平臺(tái)的發(fā)展，未來(lái)所有的網(wǎng)絡(luò)安全設(shè)備將由安全管理平臺(tái)統(tǒng)一調(diào)度和管理，防火墻需要向安全管理平臺(tái)提供接口，成為多個(gè)安全系統(tǒng)協(xié)同工作的網(wǎng)絡(luò)安全管理平臺(tái)中的重要一員。

2.向模塊化演進(jìn)。防火墻的設(shè)計(jì)與開(kāi)發(fā)離不開(kāi)用戶(hù)的需求，根據(jù)用戶(hù)需求和網(wǎng)絡(luò)威脅動(dòng)態(tài)配置的模塊化防火墻，可以實(shí)現(xiàn)更好的擴(kuò)展性，而且在維護(hù)和升級(jí)等方面也更加方便，因此防火墻的模塊化發(fā)展是未來(lái)的重要發(fā)展趨勢(shì)之一。

3.深入應(yīng)用防護(hù)。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，網(wǎng)絡(luò)層和操作系統(tǒng)的漏洞將越來(lái)越少，但應(yīng)用層的安全問(wèn)題卻越來(lái)越突出，將來(lái)防火墻會(huì)把更多的注意力放在深度應(yīng)用防護(hù)上，支持更多的應(yīng)用層協(xié)議，不斷挖掘防護(hù)的深度和廣度。

4.自身性能和安全性的提升。隨著算法、芯片和硬件技術(shù)的發(fā)展，防火墻的檢測(cè)速度、響應(yīng)速度和性能也會(huì)不斷提升，其自身的安全性也會(huì)得到有效的提高，從而為網(wǎng)絡(luò)提供更高效、穩(wěn)定的安全保障。

5.多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來(lái)越復(fù)雜，一般用戶(hù)總希望防火墻可以支持更多的功能，滿(mǎn)足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶(hù)節(jié)省一臺(tái)路由器；支持部分路由器協(xié)議，如路由、撥號(hào)等，可以更好地滿(mǎn)足組網(wǎng)需要；支持IPSECVPN，可以利用因特網(wǎng)組建安全的專(zhuān)用通道，既安全又節(jié)省了專(zhuān)線(xiàn)投資。6.3

入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)

入侵檢測(cè)是指“通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖”。入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。

(1)分布式入侵檢測(cè)：傳統(tǒng)的IDS局限于單一主機(jī)或網(wǎng)絡(luò)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)檢測(cè)明顯不足，不同的IDS之間不能協(xié)同工作。因此需要發(fā)展分布式入侵檢測(cè)技術(shù)及分布式的入侵檢測(cè)架構(gòu)。即發(fā)展針對(duì)分布式攻擊的檢測(cè)方法，以及通過(guò)分布式的架構(gòu)來(lái)檢測(cè)分布式的攻擊。

(2)智能化入侵檢測(cè)：所謂智能化檢測(cè)方法，即現(xiàn)階段常用的神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法。智能化檢測(cè)方法的發(fā)展方向應(yīng)該是發(fā)展出具有自學(xué)能力的算法，這樣可以實(shí)現(xiàn)知識(shí)庫(kù)的不斷更新及擴(kuò)展，使入侵檢測(cè)系統(tǒng)的防范能力不斷增強(qiáng)。(3)高速網(wǎng)絡(luò)的入侵檢測(cè)：現(xiàn)在的網(wǎng)絡(luò)接入速度越來(lái)越快，而在IDS中，截獲網(wǎng)絡(luò)中的數(shù)據(jù)包并對(duì)之進(jìn)行分析、匹配規(guī)則需要耗費(fèi)大量的時(shí)間和系統(tǒng)資源，大部分IDS的檢測(cè)速度并不能適應(yīng)當(dāng)前的網(wǎng)絡(luò)速度。因此需要發(fā)展高速網(wǎng)絡(luò)下的入侵檢測(cè)技術(shù)。(4)入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化：在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測(cè)系統(tǒng)，可能還有防火墻，漏洞掃描等設(shè)備