企业网络系统防火墙应用方案.docx
《企业网络系统防火墙应用方案.docx》由会员分享,可在线阅读,更多相关《企业网络系统防火墙应用方案.docx(11页珍藏版)》请在冰点文库上搜索。
企业网络系统防火墙应用方案
企业网络系统防火墙应用方案
武汉贝安科技
2003年8月
名目
1.前言
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐步向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、企业商务系统等。
相伴网络的普及,安全日益成为阻碍网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。
如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康进展所要考虑的重要情况之一。
2.企业网络系统概述
作为企业,其网络系统的建设除了要满足企业内部工作人员访问Internet和企业内部相关部门的互访外,还必须能够使公众通过INTRNET访问企业网,查询公众所需的企业信息,了解企业的相关动态。
这就要求企业网要有专门高的可靠性、安全性和保密性。
因此我们在企业网的建设中应采纳企业级防火墙技术。
在网络方面最好选用具有第三层虚拟网技术的设备,把保密性强的部门〔如财务部门或研发部门〕划分到同一虚拟网内,使未被授权的人员不能访问其部门的信息。
另外,依照企业规模进展的要求,当前所建网络系统应能够满足今后的扩充与升级,这就要求我们所选的网络产品以及安全产品在当今应处于业界领先地位,且易于升级和留有扩充容量。
在网络的远程接入方面,要求该网络系统应满足一些出差的企业工作人员随时的能够通过拨号或Internet安全地访问局域网与企业传递信息,防止非法用户的进入。
从企业长远进展角度,在同各地区分支机构的连接中,可选用DDN专线同企业核心网连接,安全保密问题也是专门重要的。
一样,企业网络拓扑结构如下。
3.安全需求分析
建立网络安全策略的一个重要要素是确保投入安全爱护与爱护上的代价得到相应的收益。
因此,我们必须对网络资源及存在的安全漏洞进行风险评估,对安全威逼进行分析,然后列出用户的安全需求,最后制定合理的安全策略及安全解决方案。
3.1风险分析
风险分析的一个步骤是判定需要爱护的所有资源,专门是受安全问题阻碍的资源。
这些资源包括:
主机、工作站、各种网络设备等硬件;源程序、应用程序、操作系统等软件;在线储备、传输、及备份数据;等等。
针对上述的企业网络系统,尚未建立系统的安全防护体制,存在着明显的安全威逼。
(1)全网易受入侵,专门是对外提供服务的公布服务器如WWW服务器等,更容易成为黑客的攻击目标。
而且假如攻击者占据对外提供服务的服务器,那么攻击者专门容易进入内部网络。
因此对内部网络与外部网之间需使用安全的访问操纵系统。
(2)系统的认证强度低。
第一,整个网络内部用户及合法的外部用户均拥有同样的安全权限,能够有权地访整个网络任何安全级别的资源。
其次,假如通过简单静态的通行字进行身份鉴别,一旦身份鉴别通过,用户即可访问整个网络。
侵袭者能够通过三种方式专门容易地猎取通行字:
一是内部的治理人员因安全治理不当而造成泄密;二是通过在公用网上搭线窃取通行字;三是通过假冒,植入嗅探程序,截获通行字。
侵袭者一旦把握了通行字,即可在任何地点通过网络访问全网,并可能造成不可估量的缺失。
(3)系统保密性差。
假如远程移动用户、企业分支机构通过INTERNET或通过公用网络〔如X.25、FR、PSTN〕与企业中心内部网建立连接,全部线路上的信息多以明文的方式传送,其中包括登录通行字和一些敏锐信息〔甚至是涉密信息,如有关企业商务数据信息〕,可能被侵袭者截获、窃取和篡改,造成泄密。
(4)易受欺诈性。
由于网络要紧采纳的是TCP/IP协议,不法分子就可能猎取IP地址,在合法用户关机时,冒充该合法用户,从而窜入网络服务或应用系统,窃取甚至篡改有关信息,乃至会破坏整个网络。
(5)数据易损。
由于目前尚无安全的数据库及个人终端安全爱护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击;同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击,都将造成十分严峻的阻碍和缺失。
(6)缺乏对全网的安全操纵与治理。
当网络显现攻击行为或网络受到其它一些安全威逼时〔如内部人员的违规操作等〕,无法进行实时的监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
3.2安全需求
确切了解网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。
基于企业运算机网络系统拓扑结构及实际应用情形,需要解决如下安全问题:
●企业中心局域网内部的安全问题,包括安全域的划分以及VLAN的实现
●在网络边界〔企业中心LAN与INETRNET或WAN之间〕如何实现安全性,包括网络的隔离与相互访问操纵
●应用系统如何保证安全性
●如何防止黑客对网络、主机、服务器等的入侵
●如何实现数据库与个人终端的安全
●跨公共网络进行信息传输的安全保密性
4.基于网络卫士防火墙的企业网安全方案
Internet的进展给企业带来了革命性的改革和开放。
他们正努力通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。
通过Internet,企业能够从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险:
即客户、销售商、移动用户、异地职员
和内部职员的安全访问;以及爱护企业的隐秘信息不受黑客和工业间谍的入侵。
因此企业必须加筑安全的"战壕",而那个"战壕"确实是防火墙。
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,专门以接入Internet网络为最甚。
4.1网络卫士防火墙在企业网中的位置
防火墙是指设置在不同网络〔如可信任的企业内部网和不可信的公共网〕或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯独出入口,能依照企业的安全政策操纵〔承诺、拒绝、监测〕出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
一个企业内部网通过一个边界路由器与Internet相连,防火墙安装于边界路由器与内部网之间,通常防火墙有两个端口〔即两块物理网卡〕,其中一个端口接外部路由器,另以端口接内部网〔如接内部路由器、交换机等〕。
为适应越来越多的用户向Internet上提供服务时对服务器爱护的需要,网络卫士防火墙〔差不多配置有三个接口〕采纳分别爱护的策略对用户上网的对外服务器实施爱护,它提供一专用接口将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部份,又与内部网关完全隔离。
这确实是安全服务器网络〔SSN〕技术,对SSN上的主机既可单独治理,也可设置成通过FTP、Telnet等方式从内部网上治理。
4.2网络卫士防火墙在企业网中的作用
●实现企业内部局域网与INTERNET之间的隔离与相互访问操纵
如采纳如下访问操纵安全策略:
承诺内部那些主机〔基于IP地址〕访问INTERNET;不容许内部那些主机〔基于IP地址〕访问INTERNET;承诺内部那些用户〔基于一次性强口令认证〕访问INTERNET,而不受主机IP地址的限制;承诺内部主机或用户访问INTERNET哪钟或哪些服务〔如WWW、FTP、SMTP等〕,而不承诺访问哪些服务;承诺内部用户访问INTERNET的时刻;完全禁止INTERNET用户访问内部网。
●实现对内部网各网段之间的访问操纵
通常,专用的内部网防火墙被用来隔离内部网络的一个网段与另一个网段。
如此,就能防止阻碍一个网段的问题穿过整个网络传播。
因为针对某些重要业务网络系统,它的一些局域网的某个网段可能比另一个网段更受信任,或者某个网段比另一个更敏锐。
而在它们之间设置防火墙就能够限制局部网络安全问题对全局网络造成的阻碍。
网络卫士防火墙系统通过设置虚拟网卡,能够实现对内部网不同网段的隔离与访问操纵。
防火墙的每一个接口代表一块物理网卡,每块物理网卡可重载十个虚拟网卡。
因此,每个端口能够配置十一个IP地址,从而防火墙的一个端口就能够治理十一个子网,极大地扩展了设备的功能〔如不必再使用专用的内部防火墙〕。
●实现对公布服务器的安全爱护
网络卫士防火墙系统采纳SSN方式实现对公布服务器的安全爱护。
SSN的方法提供的安全性要比传统的〝隔离区〔DMZ〕〞方法好得多,因为SSN与外部网之间有防火墙爱护,SSN与内部网之间也有防火墙的爱护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。
换言之,一旦SSN受破坏,内部网络仍会处于防火墙的爱护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。
另外,利用网络卫士防火墙的应用安全操纵功能,能够实现URL阻断及、FTP协议下交互操作命令和指令的过滤。
如操纵访问WWW服务器的URL、名目文件等,同时操纵用户的操作〔如GET、PUT等〕,防止用户对服务器文件的非法修改等。
再者,网络卫士防火墙系统还提供IP映射功能。
假如企业期望内部网络中的服务器能够让Internet用户访问的话,能够利用映射功能,为内部网络服务器作静态地址映射,如此Internet用户就能够通过防火墙系统直截了当访问该服务器了。
●实现对远程移动用户的安全认证与访问权限操纵
企业客户、伙伴及职员假如想通过Internet连接到内部网络,能够使用网络卫士防火墙系统的一次性口令认证功能。
用户只要通过系统认证,就能够通过防火墙访问内部网络。
一次性口令认证机制极大地提高了访问操纵的安全性,有效阻止非授权用户进入网络,从而保证网络系统的可用性。
一次性口令用户认证的差不多过程是:
第一用户向防火墙发送身份认证要求,并指明自己的用户名,防火墙收到要求后,向用户提出挑战,用户收到挑战后,结合自己的口令,产生答复,防火墙判定用户答复是否正确,并给出相应信息,假如用户连续三次认证失败那么在一定时刻内禁止该用户认证。
由于采纳一次性的口令认证机制,即使窃听者在网络上截取到口令,也无法在利用那个口令与内部网建立连接。
另外,网络卫士防火墙系统能够依照企业安全策略,将一次性口令认证与防火墙其它安全机制结合使用,实现对用户访问权限的操纵,即操纵通过认证用户访问的网络、网段、主机、协议、用户等。
同时,一次性口令认证方式也能够用来操纵内部网络用户的对外访问。
●代理内部用户访问INTERNET
网络卫士防火墙提供了NAT功能,并可依照用户需要灵活配置。
当内部网用户需要对外访问时,防火墙系统将会代替用户进行访问,并将结果透亮地返回用户,相当于一个IP层代理,从而解决企业IP地址不足的问题,同时隐藏了内部网的结构,强化了内部网的安全。
●防止内部用户IP盗用
网络卫士防火墙具有IP与MAC捆绑功能,它爱护内部网某一台机器的IP地址不被另一台内部机器盗用。
也确实是说,假如要爱护的机器与防火墙直截了当相连,能够将此机器的IP与其物理网卡捆绑,如此其他内部机器就不可能使用它的IP。
●实现对专线资源的流量治理与操纵
流量不足是企业网络治理者遇到的最苦恼的问题之一,由于一些用户使用如FTP之类大量消耗网络资源的应用,占用了大部分流量,阻碍了其它用户正常使用网络。
关于专线用户,那个问题专门严峻。
网络卫士防火墙系统可方便的依照IP地址等对流量进行操纵,以防止线路资源的不正常消耗,有效地治理专线资源,从而使网络得到充分利用。
●防攻击与入侵检测
网络卫士防火墙系统采纳多种手段或方式防止攻击行为并实现对入侵的检测:
网络卫士防火墙采纳专用安全操作系统,安全级别高。
网络卫士防火墙采纳无IP地址技术,使攻击者找不到攻击目标。
网络卫士防火墙具有较强的抗攻击能力,如抗IP假冒攻击、抗源路由攻击、抗极小碎片攻击等。
防电子欺诈〔防IP地址欺诈〕:
网络卫士防火墙的防电子欺诈功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。
攻击检测功能:
网络卫士防火墙系统能够检测到对网络或内部主机的所有TCP/UDP扫描以及多种拒绝服务攻击,如SynFlooding攻击、LandofAttack攻击、PingofDead攻击等。
对外部扫描以及攻击的响应能力。
网络卫士防火墙能够对来自外部网络的扫描和多种攻击进行实时响应。
●安全记录与审计
所有的访问都通过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情形的统计数据,便于企业治理者把握企业网络的使用状况。
另外,收集一个网络的使用和误用情形也是专门重要的。
第一的理由是能够清晰防火墙是否能够抵挡攻击者的探测和攻击,同时清晰防火墙的操纵是否充足。
而网络使用统计对网络需求分析和威逼分析等而言也是专门重要的。
4.3网络卫士防火墙典型配置策略
●禁止INTERNETPING内部网络和WWW服务器
●禁止SSN区的WWW服务器访问内部网络
●承诺SSN区的其他工作站访问外部网络
●承诺外部网络及内部网络访问WWW服务器的服务:
WWW、DNS、POP3、SMTP
●承诺内部网络访问WWW服务器的服务:
FTP、TELNET
●承诺某种或某些数据包到达SSN区,禁止外部网络及内部网络对SSN区的其他访问
●禁止外部网络访问内部网络
●承诺内部网络访问INTERNET
●设置防黑客或入侵检测的范畴
●开放一些一次性口令认证用户并设置其访问权限
●等等。
5.企业网建设的其它安全考虑
●网络防病毒
关于运算机病毒的防范,是一项经常性的安全工作,在规划一个网络信息系统的安全方案时应该给予充分的考虑。
鉴于运算机病毒和种类和版本层出不穷,因此应该选择具有相当的技术先进性的生产商的产品;而且,生产商应该能够提供及时的升级服务和良好的售后技术支持。
同时,还应采纳网络服务器与终端防病毒相结合的安全策略。
●企业中心与分支机构之间信息传输的安全保密性
目前常用的几种加密方法:
1.链路加密是解决链路安全的要紧手段,而链路加密要紧依靠链路加密机〔如PSTN加密机、DDN加密机、X.25加密机、FR加密机〕实现。
应该指出,采纳链路加密会对网络扩展与升级带来系列问题,因为一样情形下,网络设备与链路加密设备是配套使用的,当网络升级、提速或网络基础设施发生改变时,链路加密设备也需要进行更新,从而使用户承担一定量的费用缺失。
2.采纳基于应用的加密措施。
应用层加密速度比较快,也能够比较容易实现端到端加密,但应用层加密设施的采纳要依照具体的应用方式选择,有些还要依照一些专门开发的应用做二次开发。
3.在网络层加密。
使用防火墙的VPN功能或VPN专用设备来实现信息的隐秘性与完整性爱护。
网络层加密一方面对用户透亮,另一方面与具体的广域网链路无关,具有专门好的扩展性。
●安全审计与安全治理
信息安全问题不是单一的技术问题。
安全审计与安全治理是网络信息安全系统的必要组成部分,因此在使用相关安全产品的同时,应在组织与制度上采纳相应措施加以完善。
升级会员 