防火墙相关知识.docx

防火墙相关知识.docx

《防火墙相关知识.docx》由会员分享，可在线阅读，更多相关《防火墙相关知识.docx（8页珍藏版）》请在冰点文库上搜索。

防火墙入侵检测

目录

第1章绪论 1

1.1课题背景 1

1.2目的和意义 1

第2章可行性分析 2

2.1经济可行性 2

2.2技术可行性 2

2.3安全可行性 2

第3章需求分析 3

第4章总体设计 4

4.1企业网络问题分析 4

4.2企业网络分布 5

4．3入侵检测技术 5

4．3．1概念 5

4．3．2实现的目标 5

4．4VPN技术 6

4．4．1定义 6

4．4．2网络实现目标 6

4．5身份认证 6

4．6设备选型及管理 6

4．7总结 7

7

第1章　绪论

随着网络信息技术的飞速发展，网络安全问题成为了人们非常重视的话题，而 Internet的普及和网络技术的层出不穷，加上人们对网络应用的广泛，这使得网络攻击者有了更多便利的条件。

网络安全与信息安全是保障网上业务正常运行的关键，无论是在校园内还是在企业内部网络，对网络安全的要求也随之越来越高，保护个人资料信息的同时也是保护自己的财产，所以作为保护局域子网的有效手段，防火墙技术、入侵检测技术、VPN技术和身份认证等技术逐渐凸显出其在网络安全防护的重要性。

1.1　课题背景

中小企业的资金流比较薄弱，这使得中小企业在网络安全方面的投入总显得底气不足。

用最小的投资得到最安全的企业网络，可以有效地降低成本投入，得到最大的收益。

现在网络技术的发展日异加强，应用防火墙等技术能够大大降低在技术管理方面的要求，弥补中小企业在技术力量上的不足。

这使得中小企业可以最大限度地降低对安全供应商的技术服务要求，网络安全方面可行性更强。

1.2　目的和意义

对于每一个企业网络建设来说，初始建立网络时都考虑技术扩展性问题，在当前网络技术之上有更大可扩展性，为以后网络的建设做好准备，然而对企业信息安全的威胁不仅来自企业网络外部，大量的安全威胁来自企业内部。

很早之前安全办就有数据显示，近80%的网络安全事件，是来自于企业内部。

所以，企业网络内部网络的维护是至关重要的，做好入侵检测，防攻击对策等方面的相关技术要求对企业网络更有意义。

第2章　可行性分析

2.1　经济可行性

网络维护的好与坏直接影响公司整体运营，所以做好内部网络维护是十分重要的，投入最少的资金以达到最大的收益，应用最新的防火墙技术，实施最质量低投资的理念。

2.2　技术可行性

除了以往的防火墙技术如包过滤技术、状态检测技术、代理技术外，还加入了入侵检测技术、VPN技术，最大程度的做到内部网络的维护，尽量避免技术实施过程中的缺点体现。

2.3安全可行性

内部网络之间、内部网络与外部公共网之间的互联，数据传输的安全性。

第3章需求分析

随着技术的应用，在一些中小型企业中信息系统存在较大的安全问题，所以要有针对复杂网络应用的一体化解决方案，根据网络现状的发展，公司内部网络对于信息安全的需求主要体现在如下几点：

网络可用性：

在建立企业网络时要注意到怎样防止网络攻击破坏网络的可用性，例如DOS/DDOS网络攻击。

数据保密性：

对于中小型企业网络，保密数据的泄密将直接带来企业商业益的损失。

网络安全系统应保证机密信息在存储与传输时的保密性。

网络操作的可管理性：

对于企业网络，由于涉及的面积广，应用的技术有时比校园网络更多，所于对于管理要求更说一些，不但要具备审计功能还要有日志功能，对相关重要操作提供可靠而方便的可管理和维护功能，管理得当应用更安全，不易出问题。

第4章　总体设计

4.1企业网络问题分析

新荣网络公司在去过几年里对于公司内部网络管理只是采用一些普通的防火墙技术，如包过滤，这只是针对数据包本身进行过滤，而对网络服务起不到作用，安全性不高，很难对用户身份进行验证；代理型防火墙的出现为网络建设提供了方便，可以对网络深层的内容进行监控，有优点的同时也存在着不利，速度相对较慢，当网关处数据吞吐量较大时，防火墙就会成为瓶颈。

目前，随着网络技术的飞速发展及网络应用的逐步深入，网络探测与攻击技术的发展速度已隐然超越了网络防御技术，各种新的技术层出不穷。

在以往的观念里，人们觉得有防火墙技术就能达到理想的保护网络的作用，其实不然。

传统防火墙的主要缺陷之一在于对内联网络的防范措施不够。

就拿新荣网络公司来说，公司网络内部存在着一些网络弊端，只就应用往常的一些技术是远远不够的，为了进一步地增强网络的安全性，更好的发挥防火墙的威力，又推入了一些新的网络技术，例如入侵检测、VPN，大大提高了网络管理的效率，同时也很好的维护了内部网络的建设。

4.2企业网络分布

图1-1企业网络部署图

4．3入侵检测技术

4．3．1概念

所谓入侵就是指系统内部发生的任何违反安全策略的事件，具体包括对系统的非授权访问、授权用户超越其权限的访问、合法用户的非法访问、恶意程序的攻击及对系统配置信息和安全漏洞的探测等几种类型。

而入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。

4．3．2实现的目标

（1）企业网络内总是存在一些安全问题，时常会有人恶意的想要通过非法的手段攻击内部网络，而入侵检测可以识别并阻断系统活动中存在的已知攻击行为，防止入侵行为对保护系统造成损害；

（2）识别并阻断系统用户的违法操作行为或者越权操作行为，防止用户对受保护系统有意或者无意的破坏；

（3）检查受保护系统的重要组成部分及各种数据文件的完整性；

（4）审计并弥补系统中存在的弱点和漏洞，其中最重要的一点是审计并纠正错误的系统配置信息；

4．4VPN技术

4．4．1定义

对于虚拟专用网技术，可以理解为虚拟出来的企业内部专线。

它可以通过特殊的加密通信协议在位于因特网不同位置的两个或多个企业内联网络之间建立专有的通信线路。

4．4．2网络实现目标

VPN 技术的使用，对于企业内部员工是十分有利的，出差在外的人员可以在外部经过公共网络，穿过虚拟的加密通道与企业内联网络连接，而公共网络上的用户则无法穿过虚拟通道访问企业的内联网络，不必借以往不得不采用长途拨号的方式连接到企业所在地的内联网。

这些连接方式是非常昂贵的，一般只有大型的企业可以承担，而且还会造成网络的重复建设和重复投资。

这一技术的采用，大大加强了企业网络的维护，可以方便的管理内部网络。

4．5身份认证

身份认证技术是一种用来验证通信双方是否真的就是他所声称的身份的手段。

目前通用的方法是使用数字证书或非对称密钥算法来鉴定用户的身份。

在本企业网络中就是采用数据加密和认证技术，通过验证最终用户或设备的声明身份的过程。

4．6设备选型及管理

本企业网络采用NS-6020双WAN口VPN防火墙，VPN功能支持20条PPTPVPN采用MD5/SHA1认证，DES/3DES加密，支持IKE加密协议，VPN线路备援及VPN硬件加速功能。

支持VPN网关到网关防火墙防DDOS，受攻击记录显示、即时电子邮件通知，自定义规则，上网管制功能。

日志功能设备运行日志记录、日志电子邮件通知、流量查看。

不需要固定IP,内置动态域名，应用更简单，更安全、更稳定。

广泛用于中小企业分支联网。

4．7总结

此次设计是以华荣网络技术有限公司为例，分析了网络安全常存在的安全问题，总结以往网络技术的应用，既注重技术细节，又强调系统集成，既讲述当前应用，也兼顾技术发展，力求使企业内部网络达到完整化，更方便管理。

同时也加入了新技术支持，入侵检测技术可以通过对系统负载的深入分析，发现和处理更加隐蔽的网络探测与攻击行为，为系统提供更强大、更可靠的主动安全策略和解决方案，以弥补防火墙的不足；VPN 技术则为在地理位置上分散的多个内部网络间实现安全通信提供了保障。