防火墙技术在企业的应用Word文档下载推荐.docx

1、2.1.2综合布线特点 82.1.3 VPN系统规划建议 102.2拓扑结构 112.21拓扑结构网络的基本特点 12第三章 防火墙在企业网络中具体功能与实现 143.1具体功能 143.2防火墙功能的实现 153.2.1多种控制对象 153.2.2入侵检测系统 163.2.3安全评估系统 173.2.4全面地址翻译（NAT）解决方案 18第四章网络安全措施 204.1网络安全防火墙防病毒软件 204.1.1防病毒软件 204.2网络安全方案 224.2.1 IDS实施方案 24结束 26致谢 27参考文献 28 摘 要随着政府、企业、个人主机的网络安全需求的与日俱增，防火墙技术应运而生。传统

2、的边界式防火墙是企业内部网络与外部网络的一道屏障，但是其无法对内部网络访问进行控制，也没有对黑客行为进行入侵检测和阻断的功能。企业迫切需要一套真正能够解决网络内部和外部，防火墙和防黑客的安全解决方案。二十一世纪是个信息时代，网络的迅速发展，信息在现代生活和工作中发挥着越来越重要的作用。本方案是结合兰州宏宇电脑企业公司的网络组建工程而设计。在企业网络建设中。选择星型及扩展星型的网络拓扑结构,通过连接路由器、防火墙、集线器、服务器、工作站等设备构架“堡垒式”的网络。在实施中,用三层交换机实现VLAN管理各部门、车间；在外员工采用VPN接入公司内部网络；关键字 网络拓扑 ；工作站； 防火墙；集线器引

3、 言随着网络技术的进步，特别是90年代以来因特网的迅速普及和发展，网络安全问题越来越引起人们的重视，网络安全技术也成为计算机网络方向的研究热点。 网络安全技术在人们的现实生活中有着广泛的应用，特别是近几年电子上午的蓬勃发展，电子银行、在线交易等已经成为人们日常生活的重要组成部分，这就要求网络服务提供相应的安全措施，以保障广大用户的权益。网络安全问题也为网络黑客们提供了广阔的生存空间，他们利用网络的安全漏洞有意或无意地开展各种各样的攻击，直接或间接地影响了人们的生活。当然，也正是在这种攻击与反攻击、侵入与反侵入的不断斗争中，网络安全技术才得以全面迅速地发展。作为信息安全技术的一个方面，网络安全技

4、术是在互联网络的大规模应用中才逐渐受到广泛注意的。TCP/IP协议中的开放性、透明性等特点是安全风险的一个重要来源；而现代操作系统的日渐复杂，也产生了越来越多的网络安全问题，正因为如此，从网络的产生到现在，随着网络安全的研究不断深入，新的理论观点和体系结构观念也层出不穷。第一章需求分析在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人

5、进行通信。1.1概况兰州宏宇电脑是以兰州大学等一批具有本专科以上学历的技术精英发起而成立的具有独立法资格的新技术企业。本公司以计算机网络设备销售开发以及办公设备渠道供应商为主业，从事系统网络集成，软件开发、多媒体系统集成 。同时作为中国电信兰州惟一数据接入业务理商。扎根兰州，立足西北地区，致力于计算机网络通讯普及发展事业。为用户提供综合网络办公设备、综合布线系统、多媒体制作 、INTENET接入系统。公司领导决定重审目前的信息技术运用状况，并结合公司的整体经营战略目标，从总体上对公司的信息技术提出一个完善的规划方案。为帮助实现企业总体目标，公司技术员于6月初开展了更深入和广泛的调研与分析，从信

6、息系统的整体架构，及其各个组成部分，从应用系统、安全管理、实施计划进行讨论和分析，从而制订出一份全面的信息建设整体规划方案。1.1.1商业需求分析现在信息化发展的今天，通过大量形象.直观的多媒体形象信息交流的过程中,客户不仅能快而准确 地掌握各种产品信息，更可以通过计算机网络，在短时间内采集相关的大量知识信息，丰富、扩展这概念的内涵和外延，提高公司现代化的办公管理能力。同时，借助于Internet，把兰州宏宇电脑产品出市场打破地域概念，将公司家和客户、产品和学习交流的乏味，利用网络更好宣传公司产品网上销售1.1.2企业网络的现状与未来 当今中小企业与大企业一样，都广泛使用信息技术，特别是网络技

7、术，以不断提高企业的竞争力。企业信息设施在提高企业效益的同时，也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业，关于中小企业网络安全的相关报导也一直层不穷。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性。网络安全问题日益严重。中小企业所面临的安全问题主要有以下几个方面：1外网安全骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。2内网安全最新调查显示，在受调查的企业中60%以员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业

8、机密。3内部网络之间、内外网络之间的连接安全随着企业的发展壮大，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。1.2安全需求分析目前的中小企业由于人力和资金上的限制，网络安全产品不仅仅需要简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案。其着眼点在于：国内外领先的厂商产品；具备处理突发事件的能力；能够实时监控并易于管理；提供安全策略配置定制；是用户能够很容易地完善自身安全体

9、系。归结起来，应充分保证以下几点：1 网络可用性：网络是业务系统的载体，防止如DOS/DDOS这样的网络攻击破坏网络的可用性。2业务系统的可用性：中小企业主机、数据库、应用服务器系统的安全运行同样十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。3数据机密性：对于中小企业网络，保密数据的泄密将直接带来企业商业利益的损失。网络安全系应保证机密信息在存储与传输时的保密性。4访问的可控性：对关键网络、系统和数据的访问必须得到有效的控制，这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。5网络操作的可管理性：对于网络安全系统应具备审计和日志功能，对

10、相关重要操作提供可靠而方便的可管理和维护功能。易用的功能。1.2.1（统一威胁管理）更能满足企业的网络安全需求 1.网络安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等功能产品组成的。但由于安全产品来自不同的厂商，没有统一的标准，因此安全产品之间无法进行信息交换，形成许多安全孤岛和安全盲区。而企业用户目前急需的是建立一个规范的安全管理平台，对各种安全产品进行统一管理。于是，UTM产品应运而生，并且正在逐步得到市场的认可。UTM安全、管理方便的特点，是安全设备最大的好处，而这往往也是中小企业对产品的主要需求。 2.中小企业的资金流比较薄弱，这使得中小企业在网络安全方面的投

11、入总显得底气不足。而整合式的UTM产品相对于单独购置各种功能，可以有效地降低成本投入。且由于UTM的管理比较统一，能够大大降低在技术管理方面的要求，弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度地降低对安全供应商的技术服务要求。网络安全方案可行性更强。 3.UTM产品更加灵活、易于管理，中小企业能够在一个统一的架构上建立安全基础设施，相对于提供单一专有功能的安全设备，UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更为重要的是，用户可

12、以随时在这个平台上增加或调整安全功能，而任何时候这些安全功能都可以很好地协同工作。第二章 综合布线及拓扑结构为适应迅速的技术变化，使得我们必须将建筑物进行结构化布线作为一个策略性投资加以考虑。建筑物综合布线网络，需要满足用户的近期和长期工作需求, 使其在计算机网络、通信系统等方面都达到较高智能化和现代化的水平满足。2.1综合布线兰州宏宇电脑到目前为止尚未建立公司的广域网，分公司与公司总部之间使用拨号的方式通过Internet连接。以下详细对几种广域网构建方式进行了分析和比较，并基于比较分析的结果，提出兰州广域网的构建建议、网络设备的规划、Internet连接的规划。2.1.1兰州宏宇广域网方案

13、规划图2-1综合布线（平面图）1以兰州宏宇公司总部为中心，各个分公司通过VPN或FR帧中继网连接到总部，建立广域网的主干。各分公司利用已有的ISDN电话线路通过远程拨号作为主干网络的备份网络，各个客户服务中心和仓库通过ISDN电话线路连接到距离最近的分公司，通过分公司和总部连接。2公司总部与Internet的连接DDN专线线路带宽扩展到4M。公司内部上网浏览线路使用ADSL宽带网络线路。2.1.2综合布线特点兰州宏宇方案规划的特点1综合性、兼容性好 传统的专业布线方式需要使用不同的电缆、电线、接续设备和其它器材，技术性能差别极大，难以互相通用，彼此不能兼容。综合布线系统具有综合所有系统和互相兼

14、容的特点，采用光缆或高质量的布线部件和连接硬件，能满足不同生产厂家终端设备传输信号的需要。2灵活性、适应性强 采用传统的专业布线系统时，如需改变终端设备的位置和数量，必须敷设新的缆线和安装新的设备，且在施工中有可能发生传送信号中断或质量下降，增加工程投资和施工时间，因此，传统的专业布线系统的灵活性和适应性差。在综合布线系统中任何信息点都能连接不同类型的终端设备，当设备数量和位置发生变化时，只需采用简单的插接工序，实用方便，其灵活性和适应性都强、且节省工程投资。3便于今后扩建和维护管理 综合布线系统的网络结构一般采用星型结构，各条线路自成独立系统，在改建或扩建时互相不会影响。综合布线系统的所有布

15、线部件采用积木式的标准件和模块化设计。因此，部件容易更换，便于排除障碍，且采用集中管理方式，有利于分析、检查、测试和维修，节约维护费用和提高工作效率。一:应用带宽需求按照应用系统架构的规划，兰州宏宇广域网涉及的应用主要包括：Email系统、知识共享平台系统、ERP 系统（主要为分公司的财务和仓库管理）、CRM系统（主要为顾客服务）。预计每一分公司所需带宽为256K左右。该带宽是根据各个应用系统初期可能的应用需求估计得出，随着应用的不断深化，带宽可以随之不断增加。二:网络连接方式规划1.根据电信部门的确认，电信已经在全国范围大部分的主要的城市开通了帧中继业务，兰州宏宇公司分公司所在地已经全部开通

16、了帧中继业务。2. 兰州宏宇到目前为止在总部、分公司和顾客服务中心都已建立了局域网，因此总部、分公司只需分别通过中国电信提供的专线直接接入中国电信的帧中继网络。客户服务中心则根据就近原则，通过ISDN拨号连接到距离最近的分公司，通过分公司和总公司连接。图2-2网络规划如上图所示兰州宏宇分公司各自通过一条专线接入中国电信的帧中继主干网，达到最低的保证速率256K、最高的端口速率512K。考虑到帧中继相对昂贵的月租费用，而顾客服务中心和仓库的应用比较单一，因此各顾客服务中心仓库分别通过ISDN拨号接入分公司网络，再通过分公司网络与总部相连。兰州宏宇总部通过一条6M专线接入中国电信帧中继网络，该条专

17、线将采用光纤接入的方式，然后分成三根E1线路接入。分公司利用已有的ISDN电话拨号线路远程连接到总部，通过该线路实现对主干线路的备份。一旦主干线路损坏，立即拨号到总公司远程拨号接入网（ISDN接入ISDN路由器，电话拨号接入Modem Pool），保证网络的连通。2.1.3 VPN系统规划建议根据网通公司的确认，目前这家公司已经在全国范围大部分的主要的城市开通了VPN业务，兰州宏宇公司分公司所在地已经全部开通了VPN业务。VPN方案的网络连接图与帧中继方案基本一致：兰州宏宇分公司分别通过一条256K 专线接入VPN网络，各客服中心仓库分别通过ISDN拨号接入分公司网络，再通过分公司网络和总部相

18、连。而兰州宏宇总部通过一条6M专线接入VPN网络，该条专线将采用光纤接入。由于采用星型的连接方式构建兰州宏宇广域网，以后无论是增加新的分公司或是将法人企业连接进入整个网络，都会比较容易：只需要增加一条帧中继或VPN线路进入主干系统就可以，不会对网络拓扑有影响。同时，任何一个分公司与公司总部的连接线路受损，都不会影响到其他分公司与公司总部的连接。上述两种线路接入方式采用的线路设备（DTU）具有可升级性，在以后升级网络带宽时无须更换设备，以保护投资。两种线路接入方式的备份线路都采用ISDN电话线路远程拨号的方式，主要有以下考虑：由于该种方式利用已有的线路，十分经济。由于在大多数的情况下主干网络不会

19、中断，除非一些特殊情况如电信部门的主干光纤被挖断。因此该线路平时不用连通，可以派做他用，不会造成线路浪费。一旦出现意外情况主干损坏，再拨号到总部，运行成本很低。由于分公司和总公司之间的应用系统的实时性要求不是很高，因此从应用的角度也可以接受以上的备份方式。2.2拓扑结构目前，随着信息技术和网络技术的发展，计算机作为一种处理信息的工具、网络作为当今社会人们获取信息、知识的重要途径和手段，它们已在各行各业发挥着越来越重要的作用。局域网上具有独立工作能力的计算机系统被称之为节点，这些节点之间相互连接的方法在网络术语中被称之为网络的拓扑结构，网络的拓扑结构是抛开网络电缆的物理连接来讨论网络系统的连接形

20、式，它能表示出网络服务器、工作站的网络配置和互相之间的连接。在兰州宏宇电脑企业的网络拓扑结构中选用的是星型结构：如下是星型拓扑结构图：图2-3 星型拓扑结构示意图星型结构是以中央节点为中心与各节点连接而组成的（如2-3所示），各节点与中央节点通过点与点方式连接，任何两个站点要进行通信都必须经过中央节点控制。为便于集中连线，目前多采用集线器Hub作为星型结构的中央节点，Hub通常有4、8、12、16、24个端口，每个端口相对独立，因此当网络中的一个节点有故障时，不会影响整个局域网的运行。星型结构的优点是：网络结构简单，组网容易，便于管理，故障诊断容易，可同时连双绞线、同轴电缆及光纤等多种媒质。缺

21、点是：共享能力较差，由于通信线路总长度大，因而组网成本较高。2.21拓扑结构网络的基本特点1节点扩展、移动方便：节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样牵其一而动全局；维护容易；一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点；2 网络传输数据快：这一点可以从目前最新的1000Mbps到10G以太网接入速度可以看出。3这种结构是目前在局域网中应用得最为普遍的一种，在很多企业网络中几乎都是采用这一方式。星型网络几乎是Ethernet（以太网）网络专用，它是因网络中的各工作站节点设备通过一个网络集中

22、设备（如集线器或者交换机）连接在一起，各节点呈星状分布。4各站点通过点到点的链路与中心站相连。特点是很容易在网络中增加新的站点，数据的安全性和优先级容易控制，易实现网络监控，但中心节点的故障会引起整个网络瘫痪。第三章 防火墙在企业网络中具体功能与实现传统的边界式防火墙是企业内部网络与外部网络的一道屏障,但是其无法对内部网络访问进行控制，也没有对黑客行为进行入侵检测和阻断的功能。企业迫切需要一套真正能够解决网络内部和外部，防火墙和防黑客的安全解决方案，为客户提供可靠的网络安全服务.3.1具体功能1.包的透明转发 事实上，由于防火墙一般架设在提供某些服务的服务器前。用户对服务器的访问的请求与服务器

23、反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。2.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断避免其进入防火墙之后的服务器中。3.记录攻击 如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS来完成了。4 可以定义规则计划，使得系统在某一时可以自动启用和关闭策略；5 具有详细的日志功能，提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录，并支持日志服务器和日志导出；6 具有IPSec VPN功能，可以实现跨互联网安全的远程访问； 7 具有邮件通知功能，可以将系

24、统的告警通过发送邮件通知网络管理员；7 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃；3.2防火墙功能的实现根据兰州宏宇企业状况，为提高企业网络信息安全性，在网络结构中使用方正防火墙 。方正防火墙3000系列防火墙采用专用硬件、具有先进的检测技术和国内自主知识版权的安全操作系统。独有的智能IP识别技术是一种基于状态检测的高效网络检测技术。在新一代方正防火墙产品中，对原有的智能IP识别技术进行了大幅度的提升和扩充，除了能够提高网络数据检测效率外，还能在防火墙内核中针对应用进行多元化的访问控制，大大扩展了防火墙的控制能力，使得防火墙和应用

25、能够更紧密的结合。配合原有的特有快速搜索算法技术，方正防火墙在保证针对应用的细致分析和防护的同时，对产品的性能有大幅的提高，解决了目前内容分析型防火墙普遍存在的效率瓶颈问题。3.2.1多种控制对象用户在使用防火墙时最主要的功能就是通过防火墙进行访问控制，随着网络应用的发展，原有针对IP包的控制已经不能满足用户的需求，用户希望有一种防火墙可以密切和应用相结合，针对具体的网络应用进行访问控制。方正防火墙的主要功能是对指定对象进行访问控制，并且按照设定策略对网络数据进行入侵或流量等活动的统计，并记入日志中，供用户察看。方正防火墙可控对象除了传统的IP包的相关信息（源地址、目的地址、协议、源端口、目的

26、端口、报文代码、碎片和SYN/ACK等标识位）外，还引入了智能IP识别技术，增加时间、用户、应用及其操作等控制对象，扩展了防火墙的防护功能，使得防火墙和应用的结合更为紧密。方正防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对结合应用对网络连接和会话的当前状态进行分析和监控。对于不同的会话，方正防火墙先通过状态检测技术在内核中进行会话的组装，将检测对象从数据包提升到会话，提高了防火墙的过滤效率。组装会话后，防火墙内核会根据会话的特征自动识别会话属于何种应用，并根据相应的安全规则进行访问控制。3.2.2入侵检测系统方正防火墙内置独立可配置的入侵检测模块。1反端口扫描一般黑客如果要对一个

27、节点发动攻击，首先都要扫描目标服务器的端口，确定开启的服务，然后做出相应的入侵方式。 防火墙内置入侵检测模块能够在黑客扫描节点的时候就能检测到并报警，这样就能提前将黑客拒之于门外。防火墙内置入侵检测模块在检测到有黑客扫描服务器端口的时候会立即在攻击者的视野中消失，从而使黑客无法进行后续的攻击。防火墙内置入侵检测模块根据配置文件监控任何和TCP，UDP端口的连接。 可以对全部端口同时进行监控，同时也可以忽略指定的端口。这样就能满足不同的需求方式。2在线升级和实时报警由于入侵检测系统的库文件需要不断的更新，因此方正防火墙提供了非常方便的升级接口，可以通过我们的网站进行在线升级，而且我们提供了非常方

28、便的用户升级界面，使升级工作可以非常方便的完成。报警是否能够及时是衡量一个入侵检测系统的重要因素之一，如果在黑客刚刚进行攻击的时候就能够做出响应，那么管理员会有足够的时间进行防护。 方正防火墙的报警系统和入侵检测系统的协调工作几乎是一致的，一旦入侵检测系统检测到攻击，报警系统会马上做出反应，通过Email或手机通知管理员。同时会启动自动防范系统进行防范。3入侵检测和防火墙的互动通过通信行为跟踪，防火墙能够检测到对网络的多种扫描，检测到对网络的攻击行为，并能够对攻击行为进行响应，包括自动防范及用户自定义安全响应策略等。3.2.3安全评估系统方正防火墙可增加安全评估模块。方正的安全评估系统主要针对

29、用户系统内部的各种安全漏洞实施漏洞扫描，借以检查出系统中主机的安全隐患。检测内容包括各种端口扫描，各种服务扫描和CGI扫描，还可以获取被扫描主机的信息。在扫描过程中，能够提示扫描进度。完成漏洞扫描后，管理员可以查看扫描结果和统计信息，及时获取扫描的结果信息，以便针对系统中的漏洞进行补救，达到防范非法攻击的目的。扫描结果根据被扫描主机来判断和显示。系统会列出所有被扫描的主机，管理员可以有选择的查看主机的扫描信息，以及相关的端口扫描结果、帐号和弱密码的情况和系统中漏洞的信息。用户可打印和统计有漏洞主机的扫描信息，并查询漏洞的详细信息，使用户全面了解系统的安全状况，提早做好防范措施。方正防火墙还给出

30、了漏洞的类型，以及受影响的操作系统、漏洞描述和解决方法等，为管理员及时发现系统漏洞和采取补救，例如升级系统等，提供了方便。3.2.4全面地址翻译（NAT）解决方案方正防火墙支持在内部网和DMZ区使用保留的IP地址，通过动态的地址转换功能实现对外部网的访问。方正防火墙支持源地址转换和目的地址转换等NAT模式，可以实现一对多，多对多，动态地址转换等多种NAT应用方式。1 源地址转换（正向NAT），即内部地址向外访问时，发起访问的内部IP地址转换为指定的IP地址（可含端口号或者端口范围），这可以使内部使用保留IP地址的主机访问外部网络，即内部的多个机器可以通过一个外部有效地址访问外部网络。2 目的地址转换（反向NAT），即外部地址向内访问时，被访问的IP地址（可含端口号或者端口范围）被转换为指定的内部IP地址（可含端口号或者端口范围），可以支持针对外部地址服务端口到内部地址的一对一映射，内部的多台机器的服务端口可以分别映射到外部地址的若干个端口，通过这些端口对外部提供服务。第四章网络安全措施网络安全在网络中是很重要的，现在黑客的脚步以前走在网络安全的前面了，只所以我们因该注意网络安全，尽量避免黑客的攻击。4.1网络安全防火墙防病毒软件随着互联网的快速发展，网络安全也越来越重要。网络的安全隐患不仅仅是企业内部人员操作的问题，越来越多的隐患是出于企业内部