防火墻在企業(yè)網(wǎng)絡(luò)中的應(yīng)用和實(shí)現(xiàn)

摘 要：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在飛速發(fā)展中，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了公司信息數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全變得日益重要。文章主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷。然后通過本企業(yè)中的一個簡單應(yīng)用來闡述防火墻在企業(yè)網(wǎng)絡(luò)安全中的重要作用。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范措施；防火墻技術(shù)

1 網(wǎng)絡(luò)安全概述

隨著計(jì)算機(jī)和網(wǎng)絡(luò)的飛速發(fā)展，企業(yè)也通過信息技術(shù)實(shí)現(xiàn)無紙化辦公，通過OA、Email進(jìn)行文件的收發(fā)，電子商務(wù)，網(wǎng)絡(luò)視頻會議等商業(yè)活動。要保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)免受網(wǎng)絡(luò)威脅的攻擊，就需要我們采取措施來保護(hù)自己的網(wǎng)絡(luò)免受威脅。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止?jié)撛谄茐男缘娜肭帧?/p>

1.1 網(wǎng)絡(luò)安全需求分析

各企業(yè)不同的物理環(huán)境和不同的業(yè)務(wù)應(yīng)用將決定各個企業(yè)不同的網(wǎng)絡(luò)拓?fù)?、不同的信息系統(tǒng)、不同的數(shù)據(jù)訪問方式，產(chǎn)生不同的信息資產(chǎn)，具有不同的脆弱性，面臨不同的威脅。企業(yè)進(jìn)行網(wǎng)絡(luò)安全建設(shè)，需要根據(jù)實(shí)際情況進(jìn)行分析，通?？紤]以下幾點(diǎn)：

（1）盡可能保證網(wǎng)絡(luò)不存在漏洞和不安全的系統(tǒng)配置；（2）網(wǎng)絡(luò)系統(tǒng)能阻止來自外部入侵攻擊的行為和防止內(nèi)部員工的違規(guī)操作或誤操作的行為；（3）企業(yè)網(wǎng)絡(luò)與外界網(wǎng)絡(luò)具有安全邊界，保證良好的安全隔離；（4）企業(yè)廣域網(wǎng)無論使用哪種方式的廣域互聯(lián)線路，都應(yīng)保證數(shù)據(jù)傳輸過程的安全，防止重要信息泄露或被修改；（5）保證企業(yè)內(nèi)部重要數(shù)據(jù)的安全，防止泄密；（6）保證桌面安全；（7）保證網(wǎng)絡(luò)安全的可管理性。

1.2 常見攻擊方法

網(wǎng)絡(luò)攻擊，發(fā)展到現(xiàn)在的SQL注入、網(wǎng)絡(luò)釣魚、跨站攻擊、溢出漏洞、拒絕服務(wù)攻擊以及Rootkit。網(wǎng)絡(luò)變得十分脆弱，一方面因?yàn)橥{變得越來越復(fù)雜，另一方面因?yàn)閷?shí)施這些威脅所需要的知識越來越簡單。

2 防火墻原理和設(shè)計(jì)

2.1 防火墻的定義

防火墻（Firewall）是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間實(shí)現(xiàn)訪問控制的一臺專屬的硬件或是架設(shè)在一般硬件上的一套軟件。它是一道“門檻”，能有效的把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開，且本身具有較強(qiáng)的抗攻擊能力。它能增強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性，用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取

2.2 防火墻的體系結(jié)構(gòu)

防火墻的體系結(jié)構(gòu)一般可以分為以下幾種：

（1）雙重宿主主機(jī)體系結(jié)構(gòu)：又稱為雙重宿主網(wǎng)關(guān)或應(yīng)用層網(wǎng)關(guān)，它不允許網(wǎng)絡(luò)間有直接的數(shù)據(jù)傳遞，而是以雙重宿主主機(jī)作為數(shù)據(jù)轉(zhuǎn)發(fā)的中轉(zhuǎn)站。雙重宿主主機(jī)是一個具有兩個網(wǎng)絡(luò)界面的主機(jī)，每一個網(wǎng)絡(luò)界面與它所對應(yīng)的網(wǎng)絡(luò)進(jìn)行通信，它既能作為服務(wù)器接收外來請求，又能作為客戶轉(zhuǎn)發(fā)請求。一般在雙重宿主主機(jī)上安裝代理服務(wù)器軟件，可為不同的服務(wù)提供轉(zhuǎn)發(fā)，并同時(shí)根據(jù)策略進(jìn)行過濾和控制。

（2）屏蔽主機(jī)防火墻：由包過濾路由器和堡壘主機(jī)組成，內(nèi)部網(wǎng)不能直接通過路由器與Internet相聯(lián)系，數(shù)據(jù)報(bào)要通過路由器和堡壘主機(jī)兩道防線。堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通過路由器與Internet相連。使用一個路由器把內(nèi)網(wǎng)和外網(wǎng)隔離開，主要的安全由數(shù)據(jù)包過濾提供。體系結(jié)構(gòu)中包括堡壘主機(jī)，是Internet上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。在屏蔽路由器上設(shè)置數(shù)據(jù)包過濾策略，讓所有的外部鏈接只能達(dá)到內(nèi)部堡壘主機(jī)。

（3）屏蔽子網(wǎng)體系結(jié)構(gòu)：將額外的安全層添加到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)網(wǎng)和外網(wǎng)隔離。周邊網(wǎng)絡(luò)=被隔離的獨(dú)立子網(wǎng)，充當(dāng)內(nèi)網(wǎng)和外網(wǎng)的緩沖區(qū)，即DeMilitarized Zone（DMZ）。最簡單形式是兩個屏蔽路由器，一個位于周邊網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。有時(shí)屏蔽子網(wǎng)中還設(shè)有一個堡壘主機(jī)作為唯一可訪問點(diǎn)，支持終端交互或作為網(wǎng)關(guān)代理。

3 方案設(shè)計(jì)與實(shí)現(xiàn)

3.1 項(xiàng)目背景

XX公司主干網(wǎng)絡(luò)系統(tǒng)包括環(huán)形的千兆的核心網(wǎng)、千兆鏈路連接的分支節(jié)點(diǎn)和網(wǎng)絡(luò)邊界。其中千兆鏈路主要承載整個公司信息系統(tǒng)的跨節(jié)點(diǎn)的信息交換傳輸工作，為各種應(yīng)用系統(tǒng)的數(shù)據(jù)流提供高速網(wǎng)絡(luò)通訊支持。

3.2 項(xiàng)目配置

公司采用了PIX535防火墻作為出口，PIX防火墻主要實(shí)現(xiàn)以下兩個功能：一是將內(nèi)網(wǎng)中不同的職能部門私有網(wǎng)絡(luò)通過防火墻做邏輯隔離，將內(nèi)網(wǎng)IP轉(zhuǎn)換為Internet公網(wǎng)IP，從而實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以訪問Internet。二是允許互聯(lián)網(wǎng)用戶訪問公司有關(guān)部門發(fā)布的官方網(wǎng)站，從而實(shí)現(xiàn)公司多臺服務(wù)器通過一條線路為Internet提供各種服務(wù)。

（1）防火墻接口參數(shù)的配置：

（2）各個部門IP地址規(guī)劃：

（3）配置要求：將營銷部的所有內(nèi)網(wǎng)IP179.5.17.0通過防火墻轉(zhuǎn)換為互聯(lián)網(wǎng)IP202.10.65.254，使得部門4的所有內(nèi)網(wǎng)主機(jī)都可以訪問互聯(lián)網(wǎng)。互聯(lián)網(wǎng)的網(wǎng)關(guān)IP地址為202.10.65.1；創(chuàng)建內(nèi)部IP地址179.5.5.11和互聯(lián)網(wǎng)IP地址202.10.65.250之間的靜態(tài)映射，使得內(nèi)網(wǎng)服務(wù)器利用公網(wǎng)IP向互聯(lián)網(wǎng)用戶提供WWW服務(wù)。

（4）實(shí)現(xiàn)：通過命令行實(shí)現(xiàn)配置要求。

3.3 方案測試

（1）NAT配置測試。通過配置NAT后，即使客戶端是內(nèi)網(wǎng)地址，也可以正常上網(wǎng)。

（2）安全性測試。通過配置防火墻后，外網(wǎng)主機(jī)是無法掃描到內(nèi)部主機(jī)，極大提高了網(wǎng)絡(luò)的安全性：用192.168.1.44模擬外部主機(jī)地址，192.168.1.43模擬防火墻內(nèi)一臺DMZ里面具有系統(tǒng)漏洞的主機(jī)。在未開啟防火墻之前，用x-scan進(jìn)行掃描，發(fā)現(xiàn)漏洞：這樣黑客就可以通過漏洞進(jìn)行主機(jī)的攻擊。開啟防火墻之后，黑客根本無法發(fā)現(xiàn)這臺主機(jī)的存在，更掃描不了漏洞，極大提高了安全性。

4 結(jié)束語

防火墻通過一定的策略和相關(guān)的隔離技術(shù)，實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的分離，最大限度阻止了黑客的攻擊、能夠有效紀(jì)錄Internet上的活動，限制內(nèi)外網(wǎng)的節(jié)點(diǎn)用戶數(shù)，將可疑行為拒絕門外。一個安全網(wǎng)絡(luò)不僅要在出口上下功夫，我們還需要在內(nèi)網(wǎng)安裝IPS，IDS等安全設(shè)備，來補(bǔ)缺防火墻的局限性。

參考文獻(xiàn)

[1]蕭文龍.企業(yè)網(wǎng)絡(luò)安全[M].中國鐵道出版社，2001.

[2]王睿，林海波，等.網(wǎng)絡(luò)安全與防火墻技術(shù)應(yīng)用大全[M].清華大學(xué)出版社，2000.

[3][美]Keith E.Strassberg Richard J.Gondek.防火墻技術(shù)大全[M].機(jī)械工業(yè)出版社，2003.