資源描述:
《關(guān)於某企業(yè)網(wǎng)絡(luò)防火墻方案設(shè)計(jì)的探討》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、關(guān)於某企業(yè)網(wǎng)絡(luò)防火墻方案設(shè)計(jì)的探討摘要:本文以某企業(yè)內(nèi)網(wǎng)防火墻設(shè)計(jì)方案為例,通過對(duì)常用的幾種防火墻技術(shù)的比較與分析,確定瞭最佳設(shè)計(jì)方案,使得該企業(yè)網(wǎng)絡(luò)安全問題得到瞭一定程序的解決關(guān)鍵詞:網(wǎng)絡(luò)安全異構(gòu)防火墻部署安全規(guī)則1、前言防火墻能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的,它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查,來決定網(wǎng)絡(luò)之間的通信是否被允許。我們?cè)O(shè)計(jì)的防火墻主要是讓它來防禦外部網(wǎng)絡(luò)對(duì)某企業(yè)內(nèi)部網(wǎng)絡(luò)
2、的攻擊,同時(shí)也防止內(nèi)部網(wǎng)絡(luò)不法人員把該企業(yè)數(shù)據(jù)泄漏出去。傳統(tǒng)的防火墻處於網(wǎng)絡(luò)體系的網(wǎng)絡(luò)層,用它來負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但當(dāng)今防火墻技術(shù)在不斷的發(fā)展,已經(jīng)從網(wǎng)絡(luò)層擴(kuò)展到瞭其它安全層,它的任務(wù)不再是過濾任務(wù),還可以為網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù),並且防火墻產(chǎn)品也發(fā)展成為具有數(shù)據(jù)安全與用戶認(rèn)證和防止病毒與黑客入侵的能力2、采用的防火墻技術(shù)首先我們來探討下該企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中設(shè)計(jì)防火墻時(shí)所采用的防火墻技術(shù)。在設(shè)計(jì)防火墻體系結(jié)構(gòu)時(shí),應(yīng)從現(xiàn)有的防火墻技術(shù)出發(fā),通常采用的防火墻技術(shù)有:(1)包過濾技術(shù)包過濾(PaCketF
3、ilter)技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包後,根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過,其核心是安全策略即過濾算法的設(shè)計(jì)。例如,用於特定的因特網(wǎng)服務(wù)的服務(wù)器駐留在特定的端口號(hào)的事實(shí)(如TCP端口23用於Telnet連接),使包過濾器可以通過簡單的規(guī)定適當(dāng)?shù)亩丝谔?hào)來達(dá)到阻止或允許一定類型的連接的目的,並可進(jìn)一步組成一套數(shù)據(jù)包過濾規(guī)則。包過濾技術(shù)作為防火墻的應(yīng)用有
4、三類:一是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外,同時(shí)進(jìn)行包過濾,這是目前較常用的方式;二是在工作站上使用軟件進(jìn)行包過濾,這種方式價(jià)格較貴;三是在一種稱為屏蔽路由器的路由設(shè)備上啟動(dòng)包過濾功能⑵應(yīng)用網(wǎng)關(guān)技術(shù)應(yīng)用網(wǎng)關(guān)(App1icationGateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾,它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,並且能夠?qū)?shù)據(jù)包分析並形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易於登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制,以防有價(jià)值的程序和數(shù)據(jù)被竊取。它的另一個(gè)功能是對(duì)通過的信息進(jìn)行記錄,如什麼樣的用戶
5、在什麼時(shí)間連接瞭什麼站點(diǎn)。在實(shí)際工作中,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成有些應(yīng)用網(wǎng)關(guān)還存儲(chǔ)Internet上的那些被頻繁使用的頁面。當(dāng)用戶請(qǐng)求的頁面在應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中存在時(shí),服務(wù)器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務(wù)器上請(qǐng)求最新的頁面,然後再轉(zhuǎn)發(fā)給用戶⑶代理服務(wù)器技術(shù)代理服務(wù)器(ProxyServer)作用在應(yīng)用層,它用來提供應(yīng)用層服務(wù)的控制,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)隻接受代理提出的服務(wù)請(qǐng)求,拒絕外部網(wǎng)絡(luò)
6、其它接點(diǎn)的直接請(qǐng)求具體地說,代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序;防火墻主機(jī)可以是具有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī),也可以是一些可以訪問因特網(wǎng)並被內(nèi)部主機(jī)訪問的堡壘主機(jī)。這些程序接受用戶對(duì)因特網(wǎng)服務(wù)的請(qǐng)求(諸如FTP、Telnet),並按照一定的安全策略轉(zhuǎn)發(fā)它們到實(shí)際的服務(wù)。代理提供代替連接並且充當(dāng)服務(wù)的網(wǎng)關(guān)包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)通過,其優(yōu)點(diǎn)是速度快、實(shí)現(xiàn)方便,缺點(diǎn)是審計(jì)功能差,過濾規(guī)則的設(shè)計(jì)存在矛盾關(guān)系,過濾規(guī)則簡單,安全性差
7、,過濾規(guī)則復(fù)雜,管理困難。一旦判斷條件滿足,防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便“暴露”在外來用戶面前。代理技術(shù)則能進(jìn)行安全控制又可以加速訪問,能夠有效地實(shí)現(xiàn)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離,安全性好,還可用於實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。其缺點(diǎn)是對(duì)於每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)代理軟件模塊來進(jìn)行安全控制,而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同,分析困難,因此實(shí)現(xiàn)也困難在實(shí)際應(yīng)用當(dāng)中,構(gòu)築防火墻的“真正的解決方案”很少采用單一的技術(shù),通常是多種解決不同問題的技術(shù)的有機(jī)組合。你需要解決的問題依賴於你想要向
8、你的客戶提供什麼樣的服務(wù)以及你願(yuàn)意接受什麼等級(jí)的風(fēng)險(xiǎn),采用何種技術(shù)來解決那些問題依賴於你的時(shí)間、金錢、專長等因素根據(jù)以上三種防火墻構(gòu)建技術(shù),我們研究給該企業(yè)用異構(gòu)防火墻部署3、異構(gòu)防火墻的部署當(dāng)前,該企業(yè)的網(wǎng)絡(luò)中已經(jīng)部署瞭一臺(tái)PIX525,該防火墻提供保護(hù)整上內(nèi)部網(wǎng)絡(luò)的作用,用來防止來自外部的攻擊,把網(wǎng)絡(luò)分成兩個(gè)網(wǎng)段,但是如果一旦黑客攻訪瞭防火墻,那麼整個(gè)內(nèi)部網(wǎng)絡(luò)就暴漏在