防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用(論文)

防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用摘要安全是一個(gè)不容忽視的問題，當(dāng)人們在享受網(wǎng)絡(luò)帶來的方便與快捷的同時(shí)，也要時(shí)時(shí)面對網(wǎng)絡(luò)開放帶來的數(shù)據(jù)安全方面的新挑戰(zhàn)和新危險(xiǎn)。在我國，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。為了保障網(wǎng)絡(luò)安全，當(dāng)局域網(wǎng)與外部網(wǎng)連接時(shí)，可以在中間加入一個(gè)或多個(gè)中介系統(tǒng)，防止非法入侵者通過網(wǎng)絡(luò)進(jìn)行攻擊，非法訪問，并提供數(shù)據(jù)可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統(tǒng)就是防火墻(Firewall)技術(shù)。防火墻作為內(nèi)外對外網(wǎng)訪問的出口和外網(wǎng)對內(nèi)外訪問的入口，可以在企業(yè)網(wǎng)絡(luò)安全中起到至關(guān)重要作用。本文使用文獻(xiàn)研究、對比分析、系統(tǒng)分析等方法，對基于防火墻的企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)進(jìn)行了研究。針對當(dāng)前互聯(lián)網(wǎng)的安全隱患問題，提出防火墻技術(shù)原理及在網(wǎng)絡(luò)安全中的應(yīng)用，以期對相關(guān)從業(yè)者有所借鑒。關(guān)鍵詞:防火墻

網(wǎng)絡(luò)安全審查控制AbstractSecurityisaproblemthatcannotbeignored.WhenpeopleenjoytheconvenienceandspeedbroughtbytheInternet,wemustconstantlyfacethenewchallengesanddangersofdatasecuritybroughtbynetworkopening.InChina,theinvasionofhackersandthedestructionofcomputerviruseshavecausedhugeeconomiclossesinChinaeveryyear.Inordertoensurenetworksecurity,whenthelocalareanetworkandexternalnetworkconnection,canbeaddedinthemiddleofoneormoreintermediarysystem,preventillegalintruderattack,illegalaccessthroughthenetwork,andtoprovidedataintegrityandconfidentiality,reliabilityandotheraspectsofthesafetyreviewandcontrol,theseintermediatesystemisthefirewall(Firewall)technology.Astheentrancetotheexternalandexternalaccesstotheexternalandexternalnetwork,thefirewallcanplayavitalroleinthenetworksecurityoftheenterprise.Inthispaper,thedesignandimplementationofnetworksecuritybasedonFirewallBasedonthemethodsofliteratureresearch,comparativeanalysisandsystemanalysisarestudied.InviewofthehiddensecurityproblemsoftheInternet,theprincipleoffirewalltechnologyanditsapplicationinnetworksecurityareproposedinordertodrawlessonsfromtherelatedpractitioners.Keywords:firewallnetworksecurityreviewcontrol目錄1.緒論 31.1企業(yè)網(wǎng)絡(luò)安全體系 31.2防火墻與網(wǎng)絡(luò)安全 52.防火墻的概念 52.1

什么是防火墻？ 53.防火墻在企業(yè)網(wǎng)中的應(yīng)用 63.1企業(yè)網(wǎng)面臨的安全風(fēng)風(fēng)險(xiǎn) 63.1.1網(wǎng)絡(luò)病毒的威脅 63.1.2內(nèi)部竊密和破壞 63.1.3網(wǎng)絡(luò)竊聽 63.1.4完整性破壞 73.1.5管理及操作人員缺乏安全知識(shí) 73.1.6惡劣天氣引起網(wǎng)絡(luò)安全問題 73.2企業(yè)防火墻安全要素 73.2.1防火墻的基本功能 83.2.2企業(yè)對的防火墻的特殊要求 83.2.3用戶網(wǎng)絡(luò)結(jié)合 94.企業(yè)網(wǎng)網(wǎng)絡(luò)安全總體設(shè)計(jì) 104.1物理安全 104.2網(wǎng)絡(luò)平臺(tái) 114.2.1防火墻的部署 114.2.2入侵檢測系統(tǒng)的部署 124.2.3漏洞掃描系統(tǒng) 134.2.4流量控制 134.3系統(tǒng)安全 134.4應(yīng)用安全 144.5黑客攻擊防范 144.6惡意代碼與網(wǎng)絡(luò)病毒防范 155.如何建立企業(yè)網(wǎng)絡(luò)安全體系 155.1提升邊界防御 155.2上網(wǎng)終端管理 165.3Web訪問控制管理 165.4信息收發(fā)控制管理 195.5

互聯(lián)網(wǎng)活動(dòng)信息審計(jì)管理 205.6

應(yīng)用權(quán)限設(shè)置 206.企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀與展望 216.1現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性 216.2

防火墻技術(shù)發(fā)展趨勢 216.3

入侵檢測技術(shù)發(fā)展趨勢 226.4

防病毒技術(shù)發(fā)展趨勢 23結(jié)論 24參考文獻(xiàn) 241.緒論隨著互聯(lián)網(wǎng)的飛速發(fā)展，全世界的計(jì)算機(jī)和網(wǎng)絡(luò)連接到一起，形成了一個(gè)開放性的全球網(wǎng)絡(luò)系統(tǒng)——互聯(lián)網(wǎng)，但互聯(lián)網(wǎng)的安全狀況卻并不樂觀。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

計(jì)算機(jī)網(wǎng)絡(luò)中經(jīng)常出現(xiàn)的安全問題是惡意的攻擊。其主要分為主動(dòng)與被動(dòng)兩種。大多數(shù)的惡意攻擊都是人為的，可以看出保證網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯(cuò)誤。惡意攻擊的種類具有多樣性的特點(diǎn)，其中之一就是病毒，當(dāng)前的眾多企業(yè)都是通過網(wǎng)絡(luò)進(jìn)行貿(mào)易往來的，如果沾染上病毒就會(huì)造成網(wǎng)絡(luò)的癱瘓，無法從事經(jīng)濟(jì)往來，一定程度上為企業(yè)或事業(yè)單位帶來了嚴(yán)重的后果，更加不利于我國的經(jīng)濟(jì)發(fā)展。因此網(wǎng)絡(luò)的安全變得尤為重要，防火墻的出現(xiàn)使得這一局面開始變得更加穩(wěn)定，各種各樣的攻擊開始被防火墻阻止在外，以保證網(wǎng)絡(luò)的安全性。但是隨著網(wǎng)絡(luò)攻擊的日益復(fù)雜，防火墻的防攻擊手段越來越多，因此對于防火本身的處理復(fù)雜數(shù)據(jù)的能力出現(xiàn)了隱患。

1.1企業(yè)網(wǎng)絡(luò)安全體系

當(dāng)今，在一個(gè)信息（大數(shù)據(jù)）時(shí)代里每個(gè)企業(yè)都離不開網(wǎng)絡(luò)。那么一個(gè)企業(yè)擁有更完善的網(wǎng)絡(luò)體系和技術(shù)就尤為重要。并且，一個(gè)完善的網(wǎng)絡(luò)體系已經(jīng)不僅僅是保護(hù)并隔離外來攻擊的技術(shù)，它更是關(guān)系到一個(gè)企業(yè)的發(fā)展與進(jìn)步。但由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性，使得網(wǎng)絡(luò)安全問題愈加嚴(yán)重。以下是中小企業(yè)會(huì)遇到的網(wǎng)絡(luò)安全問題：=1\*ALPHABETICA.外網(wǎng)安全如病毒傳播，垃圾郵件泛濫，駭客攻擊，蠕蟲攻擊及信息泄露等成為頗有影響力的安全威脅。=2\*ALPHABETICB.內(nèi)網(wǎng)安全在工作日常中員工利用企業(yè)網(wǎng)絡(luò)處理私事。其中，在處理是對網(wǎng)絡(luò)的不當(dāng)使用，降低了工作效率、消耗企業(yè)網(wǎng)絡(luò)資源、阻礙了電腦網(wǎng)絡(luò)，同時(shí)還有引入病毒的風(fēng)險(xiǎn)或者使企業(yè)重要機(jī)密被泄露等。=3\*ALPHABETICC.內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全在企業(yè)的發(fā)展過程中不斷壯大和完善，必定會(huì)將企業(yè)建立成企業(yè)總部、各分支機(jī)構(gòu)、移動(dòng)辦公人員這樣一個(gè)互動(dòng)運(yùn)營模式。為了實(shí)現(xiàn)企業(yè)總部與下部署的信息及時(shí)共享并防止機(jī)密泄露，所以各機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接尤為重要。企業(yè)在日常運(yùn)營活動(dòng)中，每個(gè)企業(yè)都必須建立起自己的網(wǎng)絡(luò)安全體系結(jié)構(gòu)(NSA，Network

Security

Architecture)，包括完善的網(wǎng)絡(luò)信息訪問控制策略、機(jī)密數(shù)據(jù)通信安全與保護(hù)策略、災(zāi)難恢復(fù)規(guī)劃、對犯罪攻擊的預(yù)防檢測等。一個(gè)安全系統(tǒng)的建設(shè)涉及的因素很多，是一個(gè)龐大的系統(tǒng)工程。一般情況下，采取以下需要措施。

(1)物理措施

例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計(jì)算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火等措施。

(2)訪問控制

對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶身份認(rèn)證，對口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。

(3)數(shù)據(jù)加密

加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。

(4)防止計(jì)算機(jī)網(wǎng)絡(luò)病毒

病毒對計(jì)算機(jī)網(wǎng)絡(luò)的危害越來越嚴(yán)重，必須引起高度重視。1988年11月3日，美國康乃爾大學(xué)一年級研究生羅特?莫里斯編制的稱為“蠕蟲”的計(jì)算機(jī)病毒通過Internet網(wǎng)大面積傳播，致使6000多臺(tái)主機(jī)被感染，直接經(jīng)濟(jì)損失超過6000萬美元。

(5)其他措施

其他措施包括容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等。近年來，圍繞網(wǎng)絡(luò)安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用倍息。防火墻技術(shù)是通過對網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限，從而保護(hù)網(wǎng)絡(luò)資源。其他安全技術(shù)包括密鑰管理、數(shù)字簽名、認(rèn)證技術(shù)、智能卡技術(shù)和訪問控制等。

1.2防火墻與網(wǎng)絡(luò)安全所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security

Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。該局域網(wǎng)內(nèi)所有的計(jì)算機(jī)流入流出多的所有網(wǎng)絡(luò)通信均要經(jīng)過防火墻。

防火墻是解決網(wǎng)絡(luò)安全問題的基礎(chǔ)設(shè)備，他所具備的過濾、安全功能能夠抵抗大多數(shù)來自外網(wǎng)的攻擊。配備這些傳統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備，實(shí)現(xiàn)面向網(wǎng)絡(luò)層的訪問控制，是企業(yè)安全上網(wǎng)的基礎(chǔ)。2.防火墻的概念

2.1

什么是防火墻？

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。它可以通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

防火墻包含著一對矛盾(

或

稱

機(jī)

制)：一方面它限制數(shù)據(jù)流通，另一方面它又允許數(shù)據(jù)流通。由于網(wǎng)絡(luò)的管理機(jī)制及安全策略(security

policy)不同，因此這對矛盾呈現(xiàn)出不同的表現(xiàn)形式。

存在兩種極端的情形：第一種是除了非允許不可的都被禁止，第二種是除了非禁止不可都被允許。第一種的特點(diǎn)是安全但不好用，第二種是好用但不安全，而多數(shù)防火墻都在兩者之間采取折衷。

這里所謂的好用或不好用主要指跨越防火墻的訪問效率。在確保防火墻安全或比較安全前提下提高訪問效率是當(dāng)前防火墻技術(shù)研究和實(shí)現(xiàn)的熱點(diǎn)。

2.2防火墻的發(fā)展歷程基于其實(shí)現(xiàn)方式可劃分為以下五個(gè)階段：第一代防火墻20世紀(jì)80年代，最早的防火墻幾乎與路由器同時(shí)出現(xiàn)。基于路由器的防火墻，由于多數(shù)路由器中本身就包含有分組過濾功能，故網(wǎng)絡(luò)訪問控制可通過路由控制來實(shí)現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第二代防火墻：用戶化的防火墻，將過濾功能從路由器中獨(dú)立出來，并加上審計(jì)和告警功能。針對用戶需求，提供模塊化的軟件包，是純軟件產(chǎn)品。第三代防火墻：建立在通用操作系統(tǒng)上的防火墻，近年來在市場上廣泛使用的就是這一代產(chǎn)品。包括分組過濾和代理功能。第三代防火墻有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)的。第四代防火墻：具有安全操作系統(tǒng)的防火墻：具有安全操作系統(tǒng)的防火墻本身就是一個(gè)操作系統(tǒng)，因而在安全性上得到提高。3.防火墻在企業(yè)網(wǎng)中的應(yīng)用

3.1企業(yè)網(wǎng)面臨的安全風(fēng)風(fēng)險(xiǎn)3.1.1網(wǎng)絡(luò)病毒的威脅網(wǎng)絡(luò)病毒第計(jì)算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活，通過修改其他程序的方法將自己的精確是拷貝或者可能演化的形式放入其他程序中，從而感染其他程序，對計(jì)算機(jī)資源進(jìn)行破壞，現(xiàn)在網(wǎng)絡(luò)病毒傳播能力和感染能力都大大提高了，它利用軟件和操作系統(tǒng)的漏洞，給網(wǎng)絡(luò)安全造成極大的威脅。3.1.2內(nèi)部竊密和破壞

企業(yè)網(wǎng)絡(luò)由于需求接入了不同部門的網(wǎng)絡(luò)系統(tǒng)時(shí)，容易出現(xiàn)部門內(nèi)不懷好意的人員（或外部非法人員利用公司內(nèi)某部門的計(jì)算機(jī)）通過網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，通過技術(shù)手段進(jìn)一步竊取，修改和破壞其中的重要信息，這樣可能會(huì)泄露客戶信息，給企業(yè)造成嚴(yán)重的經(jīng)濟(jì)損失。

3.1.3網(wǎng)絡(luò)竊聽

在網(wǎng)絡(luò)中，當(dāng)信息進(jìn)行傳播的時(shí)候，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進(jìn)行攻擊攻。擊者可以采用如Wireshark等網(wǎng)絡(luò)協(xié)議分析工具，在INTERNET網(wǎng)絡(luò)安全的薄弱處進(jìn)行監(jiān)聽，并非常容易地在信息傳輸過程中獲取所有信息（比如用戶名密碼等敏感信息）的內(nèi)容。

3.1.4完整性破壞

信息在傳輸過程中或者存儲(chǔ)期間很容易被篡改或修改，使得信息/數(shù)據(jù)失去了原有的真實(shí)性，失去了相應(yīng)的價(jià)值，從而變得不可用或造成廣泛的負(fù)面影響。由于企業(yè)網(wǎng)內(nèi)有許多重要的客戶信息，那些心術(shù)不正的用戶和非法用戶就會(huì)通過網(wǎng)絡(luò)，對沒有采取相應(yīng)安全措施的服務(wù)器進(jìn)行攻擊，對重要文件進(jìn)行修改或傳輸一些虛假信息，從而影響工作的正常進(jìn)行。3.1.5管理及操作人員缺乏安全知識(shí)

由于信息和網(wǎng)絡(luò)技術(shù)發(fā)展迅猛，信息的應(yīng)用和安全技術(shù)卻相對落后，用戶在引入和使用安全設(shè)備和系統(tǒng)時(shí)，缺乏對系統(tǒng)設(shè)備全面和深入認(rèn)知，對信息安全的重要性與技術(shù)認(rèn)識(shí)不夠重視，很容易使安全設(shè)備/系統(tǒng)成為擺設(shè)，不能使其發(fā)揮正確的作用。如本來對某些通信和操作需要限制，由于限制的不便，而將狀態(tài)設(shè)置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，操作管理人員的培訓(xùn)和學(xué)習(xí)顯得尤為重要。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免由于使用不當(dāng)而造成的網(wǎng)絡(luò)安全問題。

3.1.6惡劣天氣引起網(wǎng)絡(luò)安全問題由于網(wǎng)絡(luò)系統(tǒng)中涉及很多硬件設(shè)施，比如網(wǎng)絡(luò)設(shè)備、終端、線路等，而網(wǎng)絡(luò)通信都是通過通信電纜進(jìn)行傳輸，因此極易受到雷電大風(fēng)等惡劣天氣的攻擊，造成通信中斷，使整個(gè)網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。因此，為避免遭受感應(yīng)雷擊的破壞和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，以及大風(fēng)等惡劣天氣的對電纜的損害，有必要對整個(gè)網(wǎng)絡(luò)硬件設(shè)施采取相應(yīng)的預(yù)防惡劣天氣的措施。

3.2企業(yè)防火墻安全要素

防火墻實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護(hù)功能是通過將內(nèi)外網(wǎng)絡(luò)進(jìn)行物理隔離來實(shí)現(xiàn)的，然后根據(jù)預(yù)先定制的安全策略控制通過防火墻的訪問行為，從而達(dá)到對企業(yè)內(nèi)部網(wǎng)絡(luò)訪問的有效控制。防火墻通常有兩種工作模式：網(wǎng)橋模式和路由模式。在企業(yè)中財(cái)務(wù)部是重要部門，我們都知道即使是內(nèi)部員工也不能隨意訪問。因此，可以選擇防火墻的網(wǎng)橋模式。既不用改變企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，也可以在沒有經(jīng)過防火墻授權(quán)的情況下禁止非法人員訪問財(cái)務(wù)部的主機(jī)。這樣一來變對同一子網(wǎng)上的不同區(qū)域（部門）的信息進(jìn)行了保護(hù)，防止機(jī)密外泄。路由模式下可以使用防火墻的代理功能和網(wǎng)絡(luò)地址轉(zhuǎn)換功能，充分保護(hù)企業(yè)網(wǎng)絡(luò)免受來自互聯(lián)網(wǎng)的攻擊。當(dāng)防火墻安裝在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)之間作為安全屏障時(shí)，應(yīng)該選擇該模式。3.2.1防火墻的基本功能

防火墻系統(tǒng)基本上可以說是網(wǎng)絡(luò)的第一道防線，企業(yè)防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時(shí)，它首先具備的防火墻的基本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提。一個(gè)合格的防火墻產(chǎn)品應(yīng)該具有下述基本功能：=1\*ALPHABETICA.在企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間建立防火墻（檢查點(diǎn)）。只要檢查點(diǎn)清楚建立，強(qiáng)制所有進(jìn)出的流量都必須通過這些檢查點(diǎn)。這樣網(wǎng)管就可以集中在較少的地方來實(shí)現(xiàn)網(wǎng)絡(luò)安全。否則，系統(tǒng)或網(wǎng)管將要在大量的地方來進(jìn)行監(jiān)測。在我們網(wǎng)絡(luò)安全網(wǎng)絡(luò)行業(yè)中，稱這樣一個(gè)檢查點(diǎn)為“阻塞點(diǎn)”。如下圖：數(shù)據(jù)流通過防火墻示意圖數(shù)據(jù)流通過防火墻示意圖（1）=2\*ALPHABETICB.防止內(nèi)部信息外泄。它通過隔離內(nèi)、外部網(wǎng)絡(luò)來保證網(wǎng)絡(luò)的安全，與此同時(shí)，也限制了局部重要或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)造成的影響。=3\*ALPHABETICC.強(qiáng)化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置，將所有的安全軟件（如口令、加密、身份認(rèn)證等）配置在防火墻上。這樣的集中安全管理更有效經(jīng)濟(jì)。=4\*ALPHABETICD.有效地審計(jì)和記錄內(nèi)、外部網(wǎng)絡(luò)上的活動(dòng)防火墻可以對內(nèi)、外部網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并進(jìn)行日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。比如即使是內(nèi)部員工，如果違反企業(yè)的安全策略，一樣會(huì)被防火墻及時(shí)的阻止并通告網(wǎng)絡(luò)管理員。3.2.2企業(yè)對的防火墻的特殊要求

企業(yè)防火墻還應(yīng)該滿足企業(yè)安全政策中一些特殊需求，這方面常會(huì)成為企業(yè)防火墻的的關(guān)鍵因素之一，常見的需求如下：

網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)

網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義的IP地址，而不需要經(jīng)過申請。在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過內(nèi)部的IP地址進(jìn)行通訊。而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部internet網(wǎng)絡(luò)進(jìn)行通訊時(shí)，具有NAT功能的設(shè)備（比如：路由器）負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過申請的IP地址）進(jìn)行通信。進(jìn)行地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP，這可以使黑客無法直接攻擊內(nèi)部網(wǎng)絡(luò)，這也是筆者之所以要強(qiáng)調(diào)防火墻自身安全性問題的主要原因。雙重DNS

因特網(wǎng)上作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫，能夠使用戶更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。通過主機(jī)名，最終得到該主機(jī)名對應(yīng)的IP地址的過程叫做域名解析有的防火墻會(huì)提供雙重DNS，對外解析成公網(wǎng)地址

對內(nèi)解析成內(nèi)網(wǎng)地址

。

虛擬專用網(wǎng)絡(luò)(VPN)

VPN即在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問，可以在建立一個(gè)虛擬通道，讓兩者感覺是在同一個(gè)網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。

特殊控制需求

有時(shí)候企業(yè)會(huì)有特別的控制需求，如限制特定特定使用者才能發(fā)送Email，F(xiàn)TP只能下載文件不能上傳文件，限制同時(shí)上網(wǎng)人數(shù)，限制使用時(shí)間或阻塞Java、ActiveX控件等，依需求不同而定。

3.2.3用戶網(wǎng)絡(luò)結(jié)合

(1)管理的難易度

防火墻使用的難易度是防火墻能否達(dá)到安全目的的是決定因素之一。用已有的網(wǎng)絡(luò)設(shè)備直接當(dāng)作防火墻，除了不能達(dá)到完全的控制之外，設(shè)定工作困難、須具備完整的知識(shí)以及不易排除錯(cuò)誤等管理問題，更是一般企業(yè)不愿意使用的主要原因。

(2)自身的安全性

大多數(shù)人都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了一點(diǎn)，防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問題，防火墻如果不能確保自身安全，則防火墻的控制功能再強(qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。

大部分防火墻都安裝在一般的操作系統(tǒng)上，如Unix、Linux系統(tǒng)等。在防火墻主機(jī)上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來自于操作系統(tǒng)本身的原有程序。當(dāng)防火墻主機(jī)上所執(zhí)行的軟件出現(xiàn)安全漏洞時(shí)，防火墻本身也將受到威脅。此時(shí)，任何的防火墻控制機(jī)制都可能失效，因?yàn)楫?dāng)一個(gè)黑客取得了防火墻上的控制權(quán)以后，黑客幾乎可為所欲為地修改防火墻上的訪問規(guī)則，進(jìn)而侵入更多的系統(tǒng)。因此防火墻自身應(yīng)有相當(dāng)高的安全保護(hù)。

(4)良好的可維護(hù)性

好的防火墻應(yīng)該是企業(yè)整體網(wǎng)絡(luò)的保護(hù)者，并能彌補(bǔ)其它操作系統(tǒng)的不足，使操作系統(tǒng)的安全性不會(huì)對企業(yè)網(wǎng)絡(luò)的整體安全造成影響。防火墻應(yīng)該能夠支持多種平臺(tái)，因?yàn)槭褂谜卟攀峭耆目刂普?，而使用者的平臺(tái)往往是多種多樣的，它們應(yīng)選擇一套符合現(xiàn)有環(huán)境需求的防火墻產(chǎn)品。由于新產(chǎn)品的出現(xiàn)，就會(huì)有人研究新的破解方法，所以好的防火墻產(chǎn)品應(yīng)擁有完善及時(shí)的售后服務(wù)體系。

(5)完整的安全檢查

好的防火墻還應(yīng)該向使用者提供完整的安全檢查功能，但是一個(gè)安全的網(wǎng)絡(luò)仍必須依靠使用者的觀察及改進(jìn)，因?yàn)榉阑饓Σ⒉荒苡行У囟沤^所有的惡意封包，企業(yè)想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。防火墻可以限制唯有合法的使用者才能進(jìn)行連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來發(fā)現(xiàn)。

4.企業(yè)網(wǎng)網(wǎng)絡(luò)安全總體設(shè)計(jì)

根據(jù)企業(yè)網(wǎng)絡(luò)的特點(diǎn)，按照安全策略的要求、風(fēng)險(xiǎn)分析的結(jié)果及整個(gè)網(wǎng)絡(luò)的安全目標(biāo)，整個(gè)網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個(gè)方面組成,本方案主要從以下幾個(gè)方面進(jìn)行安全設(shè)計(jì)：

物理安全、網(wǎng)絡(luò)平臺(tái)安全、系統(tǒng)安全、應(yīng)用安全、黑客攻擊防范、惡意代碼與網(wǎng)絡(luò)病毒防范。4.1物理安全物理安全是保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提，物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程雷。目前,隨著計(jì)算機(jī)硬件制造技術(shù)的迅猛發(fā)展,計(jì)算機(jī)軟、硬件在性能上已經(jīng)變得越來越穩(wěn)定和可靠了,計(jì)算機(jī)及一些網(wǎng)絡(luò)設(shè)備等硬件設(shè)施對其周邊環(huán)境的要求也有所降低,現(xiàn)在放置普通計(jì)算機(jī)的微型房間一般不需要進(jìn)行專門裝修布置,但保證其房間的整潔、具有適宜的溫度和濕度、通風(fēng)等要求還是必須的。設(shè)備的安放位置應(yīng)有利于減少對工作區(qū)的不必要訪問,敏感數(shù)據(jù)的信息處理與存儲(chǔ)設(shè)施應(yīng)當(dāng)妥善放置,降低在使用期間內(nèi)對其缺乏監(jiān)督的風(fēng)險(xiǎn);要求特別保護(hù)的項(xiàng)目應(yīng)與其他設(shè)備進(jìn)行隔離,以降低所需保護(hù)的等級;采取措施,盡量降低盜竊、火災(zāi)等環(huán)境威脅所產(chǎn)生的潛在的風(fēng)險(xiǎn);考慮實(shí)施“禁止在信息處理設(shè)施附近飲食、飲水和吸煙”等。穩(wěn)定供電是計(jì)算機(jī)、通信等信息設(shè)備能夠正常應(yīng)用的必要條件。如在交通運(yùn)輸部門的計(jì)算機(jī)網(wǎng)絡(luò)售票系統(tǒng)、證券交易系統(tǒng)中,如果沒有備用電源,一旦發(fā)生電力供應(yīng)中斷就會(huì)引起業(yè)務(wù)活動(dòng)的中斷。因此,保證重要信息設(shè)備的供電可靠性對保持業(yè)務(wù)活動(dòng)的正常運(yùn)作十分重要。4.2網(wǎng)絡(luò)平臺(tái)

作為企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺(tái)，由于許多重要的信息都通過網(wǎng)絡(luò)進(jìn)行交換，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要。

4.2.1防火墻的部署由在Internet與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺(tái)RG-WALL1800防火墻，在內(nèi)外網(wǎng)之間建立一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)（即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全），與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過路由器與Internet連接。這樣，通過Internet進(jìn)來的外網(wǎng)用戶只能訪問到對外公開的一些服務(wù)（如WWW、E-mail、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。

在防火墻設(shè)置上我們按照以下原則配置來提高網(wǎng)絡(luò)安全性：

(1)根據(jù)企業(yè)網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容，包括協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自外網(wǎng)的對企業(yè)內(nèi)網(wǎng)的不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。

(2)配置防火墻，過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外的攻擊

(3)在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對應(yīng)表，防止IP地址被盜用。

(4)定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。

(5)允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理的安全性。

圖一防火墻軟件結(jié)構(gòu)及處理流程4.2.2入侵檢測系統(tǒng)的部署

入侵檢測能力是衡量一個(gè)防御體系是否完整有效的重要因素。強(qiáng)大的、完整的入侵檢測體系可以彌補(bǔ)防火墻相對靜態(tài)防御的不足。將RG-IDS2000入侵檢測引擎接入中心交換機(jī)上，對來自外部網(wǎng)和企業(yè)網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測。選用的入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)。圖二訪問檢測系統(tǒng)流程4.2.3漏洞掃描系統(tǒng)

網(wǎng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全分析報(bào)告。調(diào)用payload圖三調(diào)用payload數(shù)據(jù)處理后返回服務(wù)端客戶端數(shù)據(jù)處理后返回服務(wù)端客戶端建立建立socket建立無線網(wǎng)絡(luò)連接建立無線網(wǎng)絡(luò)連接掃描到客戶端發(fā)送的數(shù)據(jù)掃描到客戶端發(fā)送的數(shù)據(jù)接收數(shù)據(jù)并發(fā)數(shù)據(jù)庫處理循環(huán)掃描關(guān)閉無線網(wǎng)絡(luò)連接接收數(shù)據(jù)構(gòu)造特殊請求并發(fā)送連接循環(huán)掃描關(guān)閉無線網(wǎng)絡(luò)連接接收數(shù)據(jù)構(gòu)造特殊請求并發(fā)送連接漏洞掃描漏洞掃描4.2.4流量控制

銳捷RG-RSR30-44路由器提供了QOS功能，可以順利實(shí)現(xiàn)該企業(yè)網(wǎng)的應(yīng)用控制流量要求：對于重要運(yùn)用（如HTTP），保證其最小帶寬使用量，并且借用剩余帶寬；對于占用大量帶寬但不重要的應(yīng)用（如P2P）對其進(jìn)行帶寬限制，至此基于時(shí)間段生效的帶寬控制策略。這樣就嚴(yán)格控制了企業(yè)員工的上網(wǎng)行為，以保證帶寬得到有效的應(yīng)用。4.3系統(tǒng)安全系統(tǒng)的安全性主要針對的是操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺(tái)的可靠性。對于系統(tǒng)的安全防范我主要采取如下策略：對操作系統(tǒng)進(jìn)行安全配置，提高系統(tǒng)的安全性；系統(tǒng)內(nèi)部調(diào)用不對Internet公開；關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。應(yīng)用系統(tǒng)在開發(fā)時(shí)，采用規(guī)范化的開發(fā)過程，盡可能的減少應(yīng)用系統(tǒng)的漏洞；通過專業(yè)的安全工具（安全檢測系統(tǒng)）定期對網(wǎng)絡(luò)進(jìn)行安全評估。4.4應(yīng)用安全首先，針對企業(yè)員工的使用，我建議使用802.1X協(xié)議來實(shí)現(xiàn)用戶的登陸連接網(wǎng)絡(luò)，以確認(rèn)用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。另外，在加強(qiáng)主機(jī)的管理上，除了上面談的訪問控制和系統(tǒng)漏洞檢測外，還可以采用訪問存取控制，對權(quán)限進(jìn)行分割和管理。應(yīng)用安全平臺(tái)要加強(qiáng)資源目錄管理和授權(quán)管理、傳輸加密、審計(jì)記錄和安全管理。4.5黑客攻擊防范有效的防范黑客攻擊安全體系的實(shí)現(xiàn)需要三方面的努力：

(1)技術(shù)上：黑客攻擊的多樣性決定了防范技術(shù)也必須采取多層次、全方位的防御體系。包括先進(jìn)的、不斷更新和完善的安全工具、各種軟硬件設(shè)備、管理平臺(tái)和監(jiān)控系統(tǒng)。主要包括防火墻、安全掃描、評估分析、入侵檢測、入侵取證、陷阱網(wǎng)絡(luò)、備份恢復(fù)和病毒防治等。

(2)管理上：黑客攻擊的技術(shù)手段越來越高明，但是不可否認(rèn)，有些黑客攻擊之所以可以成功在于網(wǎng)絡(luò)管理上的疏忽和漏洞。所以要建立有效的防范黑客攻擊的安全體系需要嚴(yán)密完善的安全技術(shù)規(guī)范、管理制度、高水平的安全技術(shù)人才和高度的工作責(zé)任心。其中包括建立定期檢查制度、建立包機(jī)或網(wǎng)絡(luò)安全專人負(fù)責(zé)制、建立安全事故及時(shí)上報(bào)制度、建立定期備份制度、建立口令定期修改制度等等。

(3)規(guī)劃上：網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，也使得黑客攻擊技術(shù)不斷發(fā)展，網(wǎng)絡(luò)管理者要做好防范工作的同時(shí)也要做出正確合理的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、規(guī)劃和組織，做到防范于未然。對新的技術(shù)和產(chǎn)品的研發(fā)要早作準(zhǔn)備，深入調(diào)研國內(nèi)外電信IP網(wǎng)安全的狀況，了解黑客技術(shù)的進(jìn)展，在廣泛融合的基礎(chǔ)上做出前瞻性的規(guī)劃，培養(yǎng)相關(guān)領(lǐng)域的人才。4.6惡意代碼與網(wǎng)絡(luò)病毒防范由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力，一次計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。

網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消毒。網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。

所選的防毒軟件應(yīng)該構(gòu)造全網(wǎng)統(tǒng)一的防病毒體系。主要面向E-mail

、Web服務(wù)器，以及辦公網(wǎng)段的PC服務(wù)器和PC機(jī)等。支持對網(wǎng)絡(luò)、服務(wù)器、和工作站的實(shí)時(shí)病毒監(jiān)控；能夠在中心控制臺(tái)向多個(gè)目標(biāo)分發(fā)新版殺毒軟件，并監(jiān)視多個(gè)目標(biāo)的病毒防治情況；支持多種平臺(tái)的病毒防范；能夠識(shí)別廣泛的已知和未知病毒，包括宏病毒；支持Internet/

Intranet服務(wù)器的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞；支持對電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持對壓縮文件的病毒檢測；支持廣泛的病毒處理選項(xiàng)，如對染毒文件進(jìn)行實(shí)時(shí)殺毒，移出，重新命名等；支持病毒隔離，當(dāng)客戶機(jī)試圖上載一個(gè)染毒文件時(shí)，服務(wù)器可自動(dòng)關(guān)閉對該工作站的連接；提供對病毒特征信息和檢測引擎的定期在線更新服務(wù)；支持日志記

。5.如何建立企業(yè)網(wǎng)絡(luò)安全體系

網(wǎng)絡(luò)安全是個(gè)系統(tǒng)的工程，系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等，而一個(gè)安全系統(tǒng)的安全等級，又是取決于安全等級最弱的那個(gè)環(huán)節(jié)。企業(yè)應(yīng)充分利用成熟的信息安全理論成果，設(shè)計(jì)出兼顧整體性、具有可操作性，并且融策略、組織、運(yùn)行和技術(shù)為一體的信息安全保障體系，保障企業(yè)信息系統(tǒng)的安全。

5.1提升邊界防御

防火墻、IDS、IPS，是解決網(wǎng)絡(luò)安全問題的基礎(chǔ)設(shè)備，他們所具備的過濾、安全功能能夠抵抗大多數(shù)來自外網(wǎng)的攻擊。配備這些傳統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備，實(shí)現(xiàn)面向網(wǎng)絡(luò)層的訪問控制，是企業(yè)安全上網(wǎng)的前提。然而，在應(yīng)用內(nèi)容及其格式以爆炸速度增長的今天，許多互聯(lián)網(wǎng)危害隱患存在于應(yīng)用層中，僅僅依照第三層信息決定其是否準(zhǔn)入，根本無法滿足安全的要求，我們還需要細(xì)粒度的應(yīng)用層。

5.2上網(wǎng)終端管理

網(wǎng)絡(luò)邊緣的外圍設(shè)備再先進(jìn)也無法保護(hù)內(nèi)部網(wǎng)絡(luò)，來自局域網(wǎng)內(nèi)部的濫用、破壞也是威脅上網(wǎng)安全的重要因素。比如，客戶端的安全級別往往難以保證，這對于內(nèi)網(wǎng)用戶數(shù)量眾多的組織更為如此——缺乏安全措施的單機(jī)，比如使用陳舊的操作系統(tǒng)、長時(shí)間不更新個(gè)人防火墻和殺毒軟件、應(yīng)用具有潛在安全漏洞的軟件，都將成為局域網(wǎng)安全中一顆顆隱藏的定時(shí)炸彈。

為上網(wǎng)終端配置網(wǎng)絡(luò)準(zhǔn)入規(guī)則，通過對單點(diǎn)的安全評估和訪問策略列表是實(shí)現(xiàn)客戶端全方位安全防護(hù)的最佳手段。對終端的安全策略列表應(yīng)該包括操作系統(tǒng)、運(yùn)行程序、系統(tǒng)進(jìn)程、注冊表等。5.3Web訪問控制管理

互聯(lián)網(wǎng)資源豐富，有非常多的惡意的網(wǎng)站使你上網(wǎng)購物，瀏覽信息時(shí)如履薄冰：隱藏蠕蟲病毒、木馬插件的非法網(wǎng)站，各類層出不窮的釣魚網(wǎng)站等等都會(huì)讓組織在分享互聯(lián)網(wǎng)便利的同時(shí)帶來巨大的隱患。

針對這些有害內(nèi)容，URL庫過濾技術(shù)近年來得到廣泛采納，采用該技術(shù)將包含潛在威脅的網(wǎng)站攔截在外是保障上網(wǎng)安全的有效方式之一，黑白名單功能：如把釣魚網(wǎng)站、黃色網(wǎng)站列入黑名單，可以保護(hù)公司內(nèi)網(wǎng)的安全；而把一些暢通無阻的網(wǎng)頁加入白名單，就不需要進(jìn)行分類查詢，提高了訪問速度。分類訪問功能：對于黑白名單無法匹配的網(wǎng)頁，采取分類查詢的功能。分類可以用戶自己配置，也可以向第三方的分類查詢服務(wù)器進(jìn)行查詢，如surfcontrol的分類服務(wù)器；與第三方服務(wù)器的通信是技術(shù)難點(diǎn)，是TCP連接還是UDP連接，若是TCP連接，在web訪問高峰期，要建多少TCP連接，是不是會(huì)超過設(shè)備負(fù)載，性能是不是會(huì)受影響，查詢速度是不是會(huì)很慢；若是UDP連接，怎么處理鏈路擁塞情況下查詢報(bào)文丟失的情況，查詢超時(shí)怎么處理？總而言之，查詢到分類后，可以與本地的用戶組和時(shí)間段關(guān)聯(lián)，判斷該http請求是否該放行。

頁面推送：若是被阻斷的頁面，需要對用戶進(jìn)行通知，可以采用頁面推送的方式。此時(shí)，需要對發(fā)起http請求的用戶推送一個(gè)頁面，知道客戶，訪問被阻斷，并且斷開http請求。這里的技術(shù)難點(diǎn)是，如何模擬http

server，給client發(fā)送一個(gè)reset報(bào)文，并重新構(gòu)造一個(gè)報(bào)文發(fā)送給客戶端。涉及到報(bào)文封裝，校驗(yàn)和計(jì)算，序列號修改。當(dāng)然，還應(yīng)該考慮到一些釣魚網(wǎng)站采用的是SSL加密頁面，所以還需要結(jié)合證書驗(yàn)證、鏈接黑白名單等措施。對文件下載傳輸行為進(jìn)行規(guī)范也是必要的，將關(guān)鍵字、文件類型、網(wǎng)絡(luò)服務(wù)與IP地址組進(jìn)行關(guān)聯(lián)，規(guī)范下載策略，可以控制大部分由主動(dòng)下載造成的損害。

在企業(yè)中，我們不時(shí)會(huì)遇到公司的服務(wù)器被攻擊這樣的情況。這時(shí)我們就需要屏蔽攻擊IP，Windows服務(wù)器。并且只能一條一條的IP進(jìn)行添加，而從日志中分析發(fā)現(xiàn)攻擊IP比較多。因此我們需要自動(dòng)忽視添加防火墻規(guī)則。首先，我們需要了解防火墻常見規(guī)則并加以運(yùn)用。根據(jù)以上公司服務(wù)器遭受攻擊這樣的情況我們需要對攻擊IP進(jìn)行屏蔽規(guī)則，具體操作如下：第一，進(jìn)入電腦的C盤找到Windows下的System32目錄，在該目錄下找到cmd.exe，然后單擊右鍵選擇菜單中的“以管理員身份運(yùn)行”即可。如下圖：第二，繼續(xù)上一步驟。以“管理員身份運(yùn)行”打開cmd，輸入”netshadvfirewallfirewall”顯示常見的命令幫助，此時(shí)的界面如下：并對遠(yuǎn)程（攻擊）IP進(jìn)行相關(guān)的防火墻配置；添加防火墻入站規(guī)則，如下圖所示：其中，我們可以知道關(guān)于添加規(guī)則的命令格式為：netshadvfirewallfirewall[命令]rule[其他參數(shù)]。另外，add增加入站/出站規(guī)則的用法如下：addrulename=dir=in/outaction=allow/block/bypass上面的參數(shù)說明解釋：dir=in（入站）dir=out（出站）action=allow（允許）action=block（拒絕/阻止）action=bypass（不知道意思）常見的添加入站/出站規(guī)則參數(shù)說明解釋：name=“xxxx”（入站/出站的規(guī)則名）remoteip（遠(yuǎn)程ip）localip（本地ip）localport（本地端口）remoteport（遠(yuǎn)程端口）第三，添加一條規(guī)則名為”name=ipcesc”的入站規(guī)則，拒絕一下ip的訪問。具體的命令如下：上面這條命令拒絕了以下ip訪問：3701.139（多個(gè)ip使用/分割）最后，配置顯示（show）。用顯示配置來查看多個(gè)遠(yuǎn)程ip用什么分割：經(jīng)過上面四個(gè)步驟我們可以看出所要添加的入站規(guī)則已經(jīng)完成并開始啟用。5.4信息收發(fā)控制管理

全球每天有120億條消息通過即時(shí)通訊工具（Instant

Messaging，IM）被發(fā)送，這些IM應(yīng)用也許是員工在和同事、客戶討論工作，但更多的聊天對象卻是家人、朋友甚至是陌生人。此外，網(wǎng)絡(luò)上還有其它大量的和工作無關(guān)網(wǎng)絡(luò)應(yīng)用存在，包括網(wǎng)絡(luò)游戲、在線炒股、P2P下載等，這些工作時(shí)間內(nèi)的“豐富應(yīng)用”造成了組織生產(chǎn)效率的巨大浪費(fèi)。有些組織靠封端口、封服務(wù)器地址等方法在一定程度上有效，但由于服務(wù)器地址和端口會(huì)經(jīng)常變換，這導(dǎo)致封服務(wù)器地址和端口成為一項(xiàng)持續(xù)的高成本工作，只能是治標(biāo)不治本。

在全面應(yīng)用管理上更有效的封堵方法主要有兩種，一種是基于應(yīng)用協(xié)議和數(shù)據(jù)包的智能分析，另一種是針對流量進(jìn)行檢測。前者是通過分析IP數(shù)據(jù)包首部的服務(wù)類型、協(xié)議、源地址、目的地址以及數(shù)據(jù)包的數(shù)據(jù)部分，能夠更好的發(fā)現(xiàn)特定服務(wù)。后者則可以針對特定用戶的網(wǎng)絡(luò)連接情況進(jìn)行分析，當(dāng)網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接超出規(guī)定的閥值時(shí)，用戶的行為將被限制流量。

5.5

互聯(lián)網(wǎng)活動(dòng)信息審計(jì)管理

互聯(lián)網(wǎng)對企業(yè)還有一個(gè)重要的危害是信息的過度流動(dòng)。由于它是一個(gè)開放系統(tǒng)，只要使用者輕點(diǎn)鼠標(biāo)，企業(yè)與組織的機(jī)密信息就能瞬間以光的速度到達(dá)競爭對手那里。而一些攻擊性、侮辱性的網(wǎng)絡(luò)漫罵/謠言，則可能會(huì)導(dǎo)致組織不必要的內(nèi)部糾紛。另外，內(nèi)部員工通過組織網(wǎng)絡(luò)隨意發(fā)表的言論，也可能給組織帶來法律上的風(fēng)險(xiǎn)。

要防范這些風(fēng)險(xiǎn)，應(yīng)該從IM、HTTP、FTP、EMAIL等各個(gè)可能的出口，對外發(fā)信息進(jìn)行審計(jì)和監(jiān)控。所采取的措施應(yīng)該包括記錄與保存，對關(guān)鍵字的審計(jì)，甚至對一些關(guān)鍵的信息進(jìn)行延遲審計(jì)。

5.6

應(yīng)用權(quán)限設(shè)置

以上多種手段基本上可以滿足一個(gè)安全高效的上網(wǎng)環(huán)境的建設(shè)，然而，一個(gè)組織內(nèi)部，不同部門，不同人員，倘若對網(wǎng)絡(luò)應(yīng)用都擁有同樣權(quán)限，注定會(huì)使網(wǎng)絡(luò)出于低效、危險(xiǎn)的境地。所以在這里我們有必要再介紹一下應(yīng)用權(quán)限方面的管理。

對網(wǎng)絡(luò)用戶進(jìn)行權(quán)限設(shè)置是一種很好的分級管理的措施。就流量優(yōu)化而言，傳統(tǒng)的帶寬管理只能對特定服務(wù)分配相應(yīng)的百分比帶寬，屬于“一刀切”行為。更具效力的網(wǎng)絡(luò)流量優(yōu)化方式是基于用戶的流量控制技術(shù)，再結(jié)合各種不同應(yīng)用的角色分配，可以有更好效果。具體說來，在廣域網(wǎng)的訪問中，有些部門的特殊應(yīng)用是應(yīng)該而且必須獲得獨(dú)占性資源的，例如總部的管理層同各分公司主管召開的視頻會(huì)議，而有些部門的非工作相關(guān)服務(wù)則不應(yīng)獲得那么高的帶寬，例如采購部門的P2P下載。通過分組流量控制，你可以對不同用戶組使用的服務(wù)進(jìn)行精細(xì)的帶寬分配，保障重要部門的重要服務(wù)得到足夠帶寬。

購買這些不同的IT設(shè)備，一方面動(dòng)輒幾十萬甚至上百萬的費(fèi)用投入對于大部分的用戶來說都是難以接受的，另一方面由于這些設(shè)備分別來自不同廠商，管理界面各異，對IT維護(hù)和管理也是個(gè)巨大的挑戰(zhàn)和難題。

6.企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀與展望

6.1現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性

談及網(wǎng)絡(luò)安全技術(shù)，就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測技術(shù)以及防病毒技術(shù)。

(1)

從用戶角度來看，雖然在使用的系統(tǒng)中安裝了防火墻，但是仍避免不了垃圾郵件、信息別竊取、病毒傳播、強(qiáng)制的廣告、釣魚網(wǎng)站等。

(2)

未經(jīng)規(guī)模統(tǒng)一部署的入侵檢測單個(gè)產(chǎn)品在安全提前預(yù)警方面存在著一定的不足，且在精確定位問題和全局管理方面還有很大提升的空間。

(3)

雖然很多用戶在終端上都安裝了不同類型的防病毒產(chǎn)品，但是內(nèi)部網(wǎng)絡(luò)的安全并不僅僅是防病毒的問題，還包括很多安全策略的執(zhí)行、抵御外來非法侵入、補(bǔ)丁升級管理以及合理管理等方面。

所以說，雖然三大主流技術(shù)已經(jīng)在網(wǎng)絡(luò)安全方面扮演重要角色，而且仍然發(fā)揮著重要作用，但是我們已漸漸感覺到其有不足之處。其次，從企業(yè)網(wǎng)絡(luò)安全的整體的技術(shù)框架來看，網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問題，傳統(tǒng)主流技術(shù)基本上還是針對數(shù)據(jù)安全、單個(gè)系統(tǒng)安全、軟硬件以及程序本身安全性的保障。應(yīng)用邏輯層的安全還需要和其它安全工具來來滿足

6.2

防火墻技術(shù)發(fā)展趨勢

在未來防火墻的發(fā)展趨勢是朝高速、多功能化、更安全的方向發(fā)展。傳統(tǒng)防火墻的安全策略是靜態(tài)的，靜態(tài)防火墻只能識(shí)別一些已知的攻擊行為，對于未知的攻擊則顯得力不從心。根據(jù)網(wǎng)絡(luò)上的動(dòng)態(tài)威脅，自動(dòng)學(xué)習(xí)，自動(dòng)生成安全策略并自動(dòng)配置的智能防火墻會(huì)成為未來的發(fā)展趨勢之一。

1.成為網(wǎng)絡(luò)安全管理平臺(tái)的一個(gè)組件。隨著網(wǎng)絡(luò)安全管理平臺(tái)的發(fā)展，未來所有的網(wǎng)絡(luò)安全設(shè)備將由安全管理平臺(tái)統(tǒng)一調(diào)度和管理，防火墻需要向安全管理平臺(tái)提供接口，成為多個(gè)安全系統(tǒng)協(xié)同工作的網(wǎng)絡(luò)安全管理平臺(tái)中的重要一員。

2.向模塊化演進(jìn)。防火墻的設(shè)計(jì)與開發(fā)離不開用戶的需求，根據(jù)用戶需求和網(wǎng)絡(luò)威脅動(dòng)態(tài)配置的模塊化防火墻，可以實(shí)現(xiàn)更好的擴(kuò)展性，而且在維護(hù)和升級等方面也更加方便，因此防火墻的模塊化發(fā)展是未來的重要發(fā)展趨勢之一。

3.深入應(yīng)用防護(hù)。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，網(wǎng)絡(luò)層和操作系統(tǒng)的漏洞將越來越少，但應(yīng)用層的安全問題卻越來越突出，將來防火墻會(huì)把更多的注意力放在深度應(yīng)用防護(hù)上，支持更多的應(yīng)用層協(xié)議，不斷挖掘防護(hù)的深度和廣度。

4.自身性能和安全性的提升。隨著算法、芯片和硬件技術(shù)的發(fā)展，防火墻的檢測速度、響應(yīng)速度和性能也會(huì)不斷提升，其自身的安全性也會(huì)得到有效的提高，從而為網(wǎng)絡(luò)提供更高效、穩(wěn)定的安全保障。

5.多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺(tái)路由器；支持部分路由器協(xié)議，如路由、撥號等，可以更好地滿足組網(wǎng)需要；支持IPSECVPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。6.3

入侵檢測技術(shù)發(fā)展趨勢

入侵檢測是指“通過對行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。入侵檢測是檢測和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，其作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。

(1)分布式入侵檢測：傳統(tǒng)的IDS局限于單一主機(jī)或網(wǎng)絡(luò)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)檢測明顯不足，不同的IDS之間不能協(xié)同工作。因此需要發(fā)展分布式入侵檢測技術(shù)及分布式的入侵檢測架構(gòu)。即發(fā)展針對分布式攻擊的檢測方法，以及通過分布式的架構(gòu)來檢測分布式的攻擊。

(2)智能化入侵檢測：所謂智能化檢測方法，即現(xiàn)階段常用的神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法。智能化檢測方法的發(fā)展方向應(yīng)該是發(fā)展出具有自學(xué)能力的算法，這樣可以實(shí)現(xiàn)知識(shí)庫的不斷更新及擴(kuò)展，使入侵檢測系統(tǒng)的防范能力不斷增強(qiáng)。(3)高速網(wǎng)絡(luò)的入侵檢測：現(xiàn)在的網(wǎng)絡(luò)接入速度越來越快，而在IDS中，截獲網(wǎng)絡(luò)中的數(shù)據(jù)包并對之進(jìn)行分析、匹配規(guī)則需要耗費(fèi)大量的時(shí)間和系統(tǒng)資源，大部分IDS的檢測速度并不能適應(yīng)當(dāng)前的網(wǎng)絡(luò)速度。因此需要發(fā)展高速網(wǎng)絡(luò)下的入侵檢測技術(shù)。(4)入侵檢測系統(tǒng)的標(biāo)準(zhǔn)化：在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測系統(tǒng)，可能還有防火墻，漏洞掃描等設(shè)備