关于某企业网络防火墙方案设计探讨.docVIP

关于某企业网络防火墙方案设计探讨 　　摘要：本文以某企业内网防火墙设计方案为例，通过对常用的几种防火墙技术的比较与分析，确定了最佳设计方案，使得该企业网络安全问题得到了一定程序的解决。 　　关键词：网络安全 异构防火墙 部署 安全规则 　　 　　1、前言 　　防火墙能有效地控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许。我们设计的防火墙主要是让它来防御外部网络对某企业内部网络的攻击，同时也防止内部网络不法人员把该企业数据泄漏出去。传统的防火墙处于网络体系的网络层，用它来负责网络间的安全认证与传输，但当今防火墙技术在不断的发展，已经从网络层扩展到了其它安全层，它的任务不再是过滤任务，还可以为网络应用提供相应的安全服务，并且防火墙产品也发展成为具有数据安全与用户认证和防止病毒与黑客入侵的能力。 　　2、采用的防火墙技术 　　首先我们来探讨下该企业网络安全系统中设计防火墙时所采用的防火墙技术。在设计防火墙体系结构时，应从现有的防火墙技术出发，通常采用的防火墙 　　技术有: 　　⑴包过滤技术 　　包过滤(PaCketFilter)技术是在网络层中对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。例如，用于特定的因特网服务的服务器驻留在特定的端口号的事实(如TCP端口23用于Telnet连接)，使包过滤器可以通过简单的规定适当的端口号来达到阻止或允许一定类型的连接的目的，并可进一步组成一套数据包过滤规则。包过滤技术作为防火墙的应用有三类:一是路由设备在完成路由选择和数据转发之外，同时进行包过滤，这是目前较常用的方式;二是在工作站上使用软件进行包过滤，这种方式价格较贵;三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。 　　⑵应用网关技术 　　应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤，它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录，如什么样的用户在什么时间连接了什么站点。在实际工作中，应用网关一般由专用工作站系统来完成。 　　有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时，服务器将检查所缓存的页面是否是必威体育精装版的版本(即该页面是否已更新)，如果是必威体育精装版版本，则直接提交给用户，否则，到真正的服务器上请求必威体育精装版的页面，然后再转发给用户。 　　⑶代理服务器技术 　　代理服务器(ProxyServer)作用在应用层，它用来提供应用层服务的控制，起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它接点的直接请求。 　　具体地说，代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet)，并按照一定的安全策略转发它们到实际的服务。代理提供代替连接并且充当服务的网关。 　　包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过，其优点是速度快、实现方便，缺点是审计功能差，过滤规则的设计存在矛盾关系，过滤规则简单，安全性差，过滤规则复杂，管理困难。一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前。代理技术则能进行安全控制又可以加速访问，能够有效地实现防火墙内外计算机系统的隔离，安全性好，还可用于实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难，因此实现也困难。 　　在实际应用当中，构筑防火墙的“真正的解决方案”很少采用单一的技术，通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险，采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。 　　根据以上三种防火墙构建技术，我们研究给该企业用异构防火墙部署。 　　3、异构防火墙的部署