關於某企業網絡防火墻方案設計的探討

關於某企業網絡防火墻方案設計的探討

ID:46154051

大小:64.00 KB

页数:6页

时间:2019-11-21

關於某企業網絡防火墻方案設計的探討_第1页
關於某企業網絡防火墻方案設計的探討_第2页
關於某企業網絡防火墻方案設計的探討_第3页
關於某企業網絡防火墻方案設計的探討_第4页
關於某企業網絡防火墻方案設計的探討_第5页
资源描述:

《關於某企業網絡防火墻方案設計的探討》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、關於某企業網絡防火墻方案設計的探討摘要:本文以某企業內網防火墻設計方案為例,通過對常用的幾種防火墻技術的比較與分析,確定瞭最佳設計方案,使得該企業網絡安全問題得到瞭一定程序的解決關鍵詞:網絡安全異構防火墻部署安全規則1、前言防火墻能有效地控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的,它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許。我們設計的防火墻主要是讓它來防禦外部網絡對某企業內部網絡

2、的攻擊,同時也防止內部網絡不法人員把該企業數據泄漏出去。傳統的防火墻處於網絡體系的網絡層,用它來負責網絡間的安全認證與傳輸,但當今防火墻技術在不斷的發展,已經從網絡層擴展到瞭其它安全層,它的任務不再是過濾任務,還可以為網絡應用提供相應的安全服務,並且防火墻產品也發展成為具有數據安全與用戶認證和防止病毒與黑客入侵的能力2、采用的防火墻技術首先我們來探討下該企業網絡安全系統中設計防火墻時所采用的防火墻技術。在設計防火墻體系結構時,應從現有的防火墻技術出發,通常采用的防火墻技術有:(1)包過濾技術包過濾(PaCketF

3、ilter)技術是在網絡層中對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯,檢查數據流中每個數據包後,根據數據包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包頭中的各種標志位等因素來確定是否允許數據包通過,其核心是安全策略即過濾算法的設計。例如,用於特定的因特網服務的服務器駐留在特定的端口號的事實(如TCP端口23用於Telnet連接),使包過濾器可以通過簡單的規定適當的端口號來達到阻止或允許一定類型的連接的目的,並可進一步組成一套數據包過濾規則。包過濾技術作為防火墻的應用有

4、三類:一是路由設備在完成路由選擇和數據轉發之外,同時進行包過濾,這是目前較常用的方式;二是在工作站上使用軟件進行包過濾,這種方式價格較貴;三是在一種稱為屏蔽路由器的路由設備上啟動包過濾功能⑵應用網關技術應用網關(App1icationGateway)技術是建立在網絡應用層上的協議過濾,它針對特別的網絡應用服務協議即數據過濾協議,並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄,如什麼樣的用戶

5、在什麼時間連接瞭什麼站點。在實際工作中,應用網關一般由專用工作站系統來完成有些應用網關還存儲Internet上的那些被頻繁使用的頁面。當用戶請求的頁面在應用網關服務器緩存中存在時,服務器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新),如果是最新版本,則直接提交給用戶,否則,到真正的服務器上請求最新的頁面,然後再轉發給用戶⑶代理服務器技術代理服務器(ProxyServer)作用在應用層,它用來提供應用層服務的控制,起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡隻接受代理提出的服務請求,拒絕外部網絡

6、其它接點的直接請求具體地說,代理服務器是運行在防火墻主機上的專門的應用程序或者服務器程序;防火墻主機可以是具有一個內部網絡接口和一個外部網絡接口的雙重宿主主機,也可以是一些可以訪問因特網並被內部主機訪問的堡壘主機。這些程序接受用戶對因特網服務的請求(諸如FTP、Telnet),並按照一定的安全策略轉發它們到實際的服務。代理提供代替連接並且充當服務的網關包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據通過,其優點是速度快、實現方便,缺點是審計功能差,過濾規則的設計存在矛盾關系,過濾規則簡單,安全性差

7、,過濾規則復雜,管理困難。一旦判斷條件滿足,防火墻內部網絡的結構和運行狀態便“暴露”在外來用戶面前。代理技術則能進行安全控制又可以加速訪問,能夠有效地實現防火墻內外計算機系統的隔離,安全性好,還可用於實施較強的數據流監控、過濾、記錄和報告等功能。其缺點是對於每一種應用服務都必須為其設計一個代理軟件模塊來進行安全控制,而每一種網絡應用服務的安全問題各不相同,分析困難,因此實現也困難在實際應用當中,構築防火墻的“真正的解決方案”很少采用單一的技術,通常是多種解決不同問題的技術的有機組合。你需要解決的問題依賴於你想要向

8、你的客戶提供什麼樣的服務以及你願意接受什麼等級的風險,采用何種技術來解決那些問題依賴於你的時間、金錢、專長等因素根據以上三種防火墻構建技術,我們研究給該企業用異構防火墻部署3、異構防火墻的部署當前,該企業的網絡中已經部署瞭一臺PIX525,該防火墻提供保護整上內部網絡的作用,用來防止來自外部的攻擊,把網絡分成兩個網段,但是如果一旦黑客攻訪瞭防火墻,那麼整個內部網絡就暴漏在

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。