1、广西生态工程职业技术学院毕业设计(论文)题 目:企业级软件防火墙系统解决方案系 别:信息工程系专 业:系统维护年 级:2006级班 级:系统061学 号:11406115姓 名:叶长青指导教师:刘东、蓝丹目 录目录2第一章:企业现状分析1第二章:企业需求5第三章:方案设计83.1.方案设计目标83.2.方案设计原则83.3.拓扑图93.4.拓扑图说明103.5.技术选型113.5.1.防火墙技术分类113.5.2.防火墙技术对比分析及选择113.6.产品选型163.6.1.防火墙选型163.6.2.产品选型原则203.6.3.产品选择213.6.4产品规格223.6.5.产品介绍233.7.本
2、方案技术要点263.7.1.技术要点分析273.8.方案优点35第四章:方案预算38第五章:实施方案395.1.项目实施进度395.2.人员配备405.3.保障措施41第六章:验收方案426.1.验收目的426.2.验收流程、标准426.3.验收人员436.4.初步测试系统项目43第七章:售后服务477.1.服务承诺477.2.售后服务流程497.3.人员配备507.4.人员培训517.4.1.系统管理员培训517.4.2.服务保障52参考文献54广西生态工程职业技术学院 构建企业级防火墙解决方案第一章:企业现状分析Internet的发展给政府机构、企事业单位带来了革命性的改革和开放。他们正努
3、力通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。通过Internet,企业可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和商业间谍的入侵。因此企业必须加筑安全的战壕,而这个战壕就是防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
4、它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙的功能: 1.防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICM
5、P重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。2.防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。3.对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻
6、击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。4.防止内部信息的外泄: 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的
7、所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,
8、它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性:(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。根据美国国家安全局制定的信息保障技术框架,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其
9、它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。(二)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于
10、桥接或路由器的、多端口的(网络接口=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。(三)防火墙自身应具有非常强的抗攻击免疫力防火墙之所以能担当企业内部网络安全防护重任,是因为防火墙自身具备非常强的抗攻击免疫力。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。 随着企业信息化进
11、程的逐步深入,企业内部依然存在不少问题。一是安全技术保障体系尚不完善,许多企业、单位花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。 而贵公司目前存在的问题有:1.网络共享与恶意代码防控 贵公司原有系统网络共享资源为了方便不同用户、不同部门、不同单位等之间的进行信息交换,共享资源方便之门大开,使得恶意代码利用信息共享、网络环境扩散等漏洞,侵入企业内部网络,造成企业内部网络运行越来越慢,网络经常中断,并且影响越来越大。恶意信息交换没有得到限制,直接导致网络的QoS下降,甚至有时致使系统瘫痪不
12、可用。2.信息化建设超速与安全规范不协调 贵公司原有网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,留下安全隐患。 3.IT产品类型繁多和安全管理滞后矛盾 贵公司信息系统部署了众多的IT产品,包括操作系统、数据库平台、应用系统。而由于不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,给信息系统管理留下安全隐患。4.IT系统复杂性和漏洞管理 贵公司网络结构复杂,由多协议、多系统、多应用、多用户组成的网络环境
13、,复杂性高,存在难以避免的安全漏洞。而企业内部操作系统均存在安全漏洞。且由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将会是攻击切入点,攻击者则利用这些漏洞入侵系统,窃取信息。 而企业IT人员为了解决来自漏洞的攻击,都是通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,而由于企业的信息系统错种复杂,使得漏洞修补变得极为困难。即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。这就给黑客攻击者留下了切入点,使得企业数据时刻面临着被窃取、恶意修改、删除的危险。5.业务快速发展与安全建设滞后 在企业信息化建设过程中,贵公司由
14、于业务急需要开通,做法常是“业务优先,安全靠边”,这就使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是“亡羊补牢”,出了安全事件后才去做。而由于市场环境的动态变化,使得业务需要不断地更新,业务变化超过了企业网络现有安全保障能力。6.网络资源没有保障 复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在贵公司单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、色情网站,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。7.安全岗位设置和安全管理策略实施困难 根据安全原则,一个系统应该设置多个人员来共同负责管理,贵公司由于受成本、技术等限制,一个
15、管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,第二章:企业需求随着网络经济和网络社会时代的到来,信息系统安全已经成为企业最为关注并亟待解决的问题,作用和影响力已扩散到企业与组织的每一个领域。由于企业网络有内部网络、外部网络和企业广域网组成,网络结构复杂,因此企业中的数据丢失、内部网络缺陷、计算机病毒的侵袭和黑客非法闯入等等为当前企业的现状弊端。数据丢失在企业中,数据中心扮演着越来越重要的角色,数据是企业的生存之本,数据丢失是企业无法承受之痛,轻则造成企业的经济损失,重则让企业陷入倒闭危机。企业终于认识到,一旦发生重大安全事故,数据才
16、是企业能否尽快恢复运转的关键和核心。因此贵企业需要解决本地数据访问的安全、远程数据访问的安全、数据库变慢、数据库高度消耗、口令中包含导致无法连接数据库、数据库失真等问题。内部网络缺陷由于企业当初建立网络不够规规范,各个区域没有进行一定的设置权限,这样的网络比较乱,也比较复杂,从而难以进行有效管理企业的网络,加上网络管理员技术不高,系统漏洞比较多,没能及时打补丁。企业存在这样的网络缺陷,很容易受到不良的攻击,就没有安全性可言。因此贵公司需要建立分布式防火墙系统,主要由主防火墙,主机防火墙和中央控制平台组成,分布式防火墙系统采用集中控制管理的模式进行,可对不同的内部用户赋予不同的访问权限,防止来之
17、内部的攻击,从而大大提高了系统的安全性。另外在采用入侵检测技术IDS与分布式防火墙系统结合,能有效的防止发生拒绝服务攻击、提防IP欺骗、漏洞扫描等入侵行为。最重要的是能有效的防范内部攻击,解决的传统系统的痼疾。并且它还可以自适应的修改安全策略,当发生入侵行为时,入侵检测系统会自动警告并提供反馈信息,中央控制平台根据反馈信息及时的改变安全策略,这使得在最初配置防火墙时,可以更多的考虑网络的性能。计算机病毒的侵袭随着病毒技术的发展,病毒的入口点越来越多。因此计算机病毒就像苍蝇一样无孔不入地侵袭,肆意地在企业的网络中传播,进而感染更多的文件,从而使系统崩溃,导致整个网络瘫痪,所有业务无法正常运转,造
18、成无数的经济损失。贵公司需要利用防火墙进行访问控制和网络隔离,根据业务内容、网络逻辑划分现有网络,然后根据网络功能和业务制定完善的安全策略。确定业务数据流程、访问权限、网络应用、相关网络服务和协议等。还需要根据重要等级和整体安全策略对网络进行区域划分和隔离,调整网络结构,重新规划业务流程或者网络构成。此外,将数据区分为不同安全等级,采取相应的安全措施,如访问权限控制、加密存储、加密传输、备份与恢复等。还应当注意:始终保持操作系统、WEB浏览器、电子邮件和应用程序的最新版本;定期审查主要软件供应商产品安全方面的情况,并且预订实用的电子通讯,以便了解新的安全缺陷以及解决方法黑客攻击随着越来越多黑客
19、案件的报道,企业不得不意识到黑客的存在。黑客的非法闯入是指黑可利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动。一般来说,黑客常用入侵动机和形式可以分为两种。黑客通过寻找未设防的路径进入网络或个人计算机,一旦进入,他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对企业造成危害。黑客非法闯入僵局被企业杀手的潜力,企业不得不加以谨慎预防。从以上的网络信息安全的弊端可以看出,网络安全威胁给企业用户带来危害最直接的表现就是经济损失。由于安全导致的工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等间接损失恐怕更让
20、企业担心,这种损失往往是无法用数字来衡量的。由此可以看出安装防火墙的重要性。1. 网络地址转换功能(NAT)进行地址转换有两个好处:其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,还可以让内部使用保留的IP,2. 双重DNS当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换,因为,同样的一个主机在内部的IP与给予外界的IP将会不同,而防火墙会提供双重DNS,3. 虚拟专用网络(VPN) VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取。4. 扫毒功能由防
21、火墙与防病毒软件搭配实现扫毒功能。5. 特殊控制需求设置特别的控制需求,如限制特定使用者才能发送Email,FTP只能下载文件不能上传文件,限制同时上网人数,限制使用时间或阻塞Java、ActiveX控件等,依需求不同而定。根据贵公司以上需求,为了维护数据不被丢失和内部网络缺陷,为了保护企业网络内部不被计算机病毒的侵袭和黑客非法闯入,构建一个好的防火墙系统是很重要的。第三章:方案设计3.1.方案设计目标 本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足
22、各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点:1采用多层防卫手段,将受到侵扰和破坏的概率降到最低;2提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;3提供恢复被破坏的数据和系统的手段,尽量降低损失;4提供查获侵入者的手段。3.2.方案设计原则针对网络系统实际情况,解决网络的安
23、全保密问题是当务之急,考虑技术难度及经费等因素,设计时遵循如下思想:1大幅度地提高系统的安全性和保密性;2保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; 3易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;4尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;5安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;6分步实施原则:分级管理 分步实施。3.3.拓扑图3.4.拓扑图说明下面是拓扑图中各个模块的介绍:(1) 客户端为企业内部员工工作客户机。即在企业内部的整块网络的终端,这些终端为交流协作所用。企业的高效信息流转主要在终端上体现,可实现企业内部信息安
24、全交流的,数据的传输各种沟通交流提供好安全保障等等。 (2) 路由器、交换机路由器是第一套防护系统,负责网络安全。起到了保障信息安全的作用。由交换机分配指派IP给各个终端,结合传输介质传输信息。数据流就是通过交换机传输到各个终端上,使整个企业内部的信息安全有序的进行。 (4)企业内部局域网 连接INTERNET 互联网,公司内部可访问互联网。整个企业内部安全、高效信息流转平台在企业局域网内部运营。3.5.技术选型3.5.1.防火墙技术分类防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。3.5.2.防火墙技术对比分析及选择1) 包过滤技术包过滤防火墙工作在网络层,对数据包的源及目地
25、IP 具有识别和控制作用,对于传输层,也只能识别数据包是 TCP 还是 UDP 及所用的端口信息,如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。包过滤防火墙具有根本的缺陷:错误!未找到引用源。 不能防范黑客攻击。包过滤防火墙的工作基于一个前提,就是网管知道哪些 IP 是可信网络,哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现,网管不可能区分出可信网络与不可信网络的界限,对于黑客来说,只需将源
26、IP 包改成合法 IP 即可轻松通过包过滤防火墙,进入内网,而任何一个初级水平的黑客都能进行 IP 地址欺骗。 错误!未找到引用源。 不支持应用层协议。假如内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用 HTTP 协议),不允许去外网下载电影(一般使用 FTP 协议)。包过滤防火墙无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。 错误!未找到引用源。 不能处理新的安全威胁。它不能跟踪 TCP 状态,所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时,一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。 综上可见,包过滤技术
27、的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样,难以履行保护内网安全的职责。2)应用代理型应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应 用层代理软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应
28、用层的协议会话过程必须符合代理的安全策略要求。代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基
29、于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。自适应代理技术的出现让应用代理防火墙技术出现了新的转机,它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了 10 倍。工作机制代理服务型防火墙按如下标准步骤对接收的数据包进行处理:(1) 接收数据包(2) 检查源地址和目标地址(3) 检查请求类型(4) 调用相应的程序(5) 对请求进行处理性能特点(1)提供的安全级别高于包过滤型防火墙(2)代理服务型防火墙可以配置成唯一的可被外部看见
30、的主机以保护内部主机免受外部攻击(3)可以强制执行用户认证(4)代理工作在客户机和真实服务器之间,完全控制会话,所以能提供较详细的审计日志(5)代理的速度比包过滤慢(6)代理服务型防火墙中的佼佼者AXENT Raptor完全是基于代理技术的软件防火墙。应用程序代理防火墙可以配置成允许来自内部网络的任何连接,它也可以配置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种限制,为安全性提供了额外的保证。如果网络受到危害,这个特征使得从内部发动攻击的可能性大大减少。代理型的优点:架设简单容易,且架设所需的费用是最少的。指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或
31、者是允许或拒绝基于用户所请求连接的IP地址的访问。通过限制某些协议的传出请求,来减少网络中不必要的服务。大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。3)状态检测技术我们知道, Internet 上传输的数据都必须遵循 TCP/IP 协议,根据 TCP 协议,每个可靠连接的建立需要经过 “ 客户端同步请求 ” 、 “ 服务器应答 ” 、 “ 客户端再应答 ” 三个阶段,我们最常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映
32、出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。 网关防火墙的一个挑战就是能处理的流量,状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其
33、是在一些规则复杂的大型网络上。 任何一款高性能的防火墙,都会采用状态检测技术。状态检测技术是防火墙近几年才应用的新技术。传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态,包括:通
34、信信息:即所有7层协议的当前信息。防火墙的检测模块位于操作系统的内核,在网络层之下,能在数据包到达网关操作系统之前对它们进行分析。防火墙先在低协议层上检查数据包是否满足企业的安全策略,对于满足的数据包,再从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志,因此具有更全面的安全性。 通信状态:即以前的通信信息。对于简单的包过滤防火墙,如果要允许FTP通过,就必须作出让步而打开许多端口,这样就降低了安全性。状态检测防火墙在状态表中保存以前的通信信息,记录从受保护网络发出的数据包的状态信息,例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打
35、开的端口,然后,防火墙根据该表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。这里,对于UDP或者RPC等无连接的协议,检测模块可创建虚会话信息用来进行跟踪。 应用状态:即其他相关应用的信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用,它比代理服务器支持的协议和应用要多得多;并且,它能从应用程序中收集状态信息存入状态表中,以供其他应用或协议做检测策略。例如,已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。 操作信息:即在数据包中能执行逻辑或数学运算的信息。状态监测技术,采用强大的面向对象的方法,基于通信信息、通信状态、应用状
36、态等多方面因素,利用灵活的表达式形式,结合安全规则、应用识别知识、状态关联信息以及通信数据,构造更复杂的、更灵活的、满足用户特定安全要求的策略规则。4)防火墙发展的新技术趋势防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求。 远程办公的增长。这次全国主要城市先后受到 SARS 病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的 VPN (虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。内部网络 “
37、 包厢化 ” ( compartmentalizing )。人们通常认为处在防火墙保护下的内网是可信的,只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。 由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享 一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢 ” ,对每个 “ 包厢 ” 实施独立的安全策略 黑客攻击引发的技术
38、走向防火墙作为内网的贴身保镖,黑客攻击的特点也决定了防火墙的技术走向。80 端口的关闭。从受攻击的协议和端口来看,排在第一位的就是 HTTP 协议(l 80 端口)。根据 SANS 的调查显示,提供 HTTP 服务的 IIS 和 Apache 是最易受到攻击,这说明 80 端口所引发的威胁最多。因此,无论是未来的防火墙技术还是现在应用的防火墙产品,都应尽可能将 80 端口关闭。 数据包的深度检测。 IT 业界权威机构 Gartner 认为代理不是阻止未来黑客攻击的关键,但是防火墙应能分辨并阻止数据包的恶意行为,包检测的技术方案需要增加签名检测 (signature inspection) 等新
39、的功能,以查找已经的攻击,并分辨出哪些是正常的数据流,哪些是异常数据流。 协同性。从黑客攻击事件分析,对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同,共同完成保护网络安全的任务。早在 2000 年,北京天融信公司就已经认识到了协同的必要性和紧迫性,推出了 TOPSEC 协议,与 IDS 等其他安全设备联动,与其他安全设备配合组成一个有机的可扩展的安全体系平台。目前主要支持和 IDS 的联动和认证服务器进行联动。5)防火墙技术选型根据对上述技术的分析,及各种技术优劣的对比,结合企业的具体需求,我公司建议
40、采用代理型技术。3.6.产品选型3.6.1.防火墙选型1.市场主流防火墙产品对比分析 通过对市场主流产品的分析,目前一般都以以下几个公司的产品,简单介绍如下:1)Microsoft ISA Server 2006Microsoft Internet Security and Acceleration (ISA) Server 2006 是高级应用程序层防火墙、虚拟专用网络 (VPN) 和 Web 缓存解决方案,它使客户能够通过提高网络安全和性能轻松地从现有的 IT 投资获得最大收益。 ISA Server 2006 为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护运行
41、 Microsoft 应用程序的网络。ISA Server 2006 为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护需要为不同地域设置多重防火墙阵列的大型企业网络,实现运行 Microsoft 客户端和服务器应用程序,如 Microsoft Office, Microsoft Outlook Web 访问(OWA),Microsoft Internet Information Services (IIS),Office SharePoint Portal Server,路由和远程访问服务,活动目录的目录服务等,以及其他更多的 Microsoft 应用系统,服务器,和
42、服务。ISA Server 2006 包含一个功能完善的应用程序层感知防火墙,有助于保护各种规模的组织免遭外部和内部威胁的攻击。ISA Server 2006 对 Internet 协议(如超文本传输协议 (HTTP))执行深入检查,这使它能检测到许多传统防火墙检测不到的威胁。ISA Server 的集成防火墙和 VPN 体系结构支持对所有 VPN 通信进行有状态筛选和检查。该防火墙还为基于 Microsoft Windows Server 2003 的隔离解决方案提供了 VPN 客户端检查,帮助保护网络免遭通过 VPN 连接进入的攻击。此外,全新的用户界面、向导、模板和一组管理工具可以帮助管
43、理员避免常见的安全配置错误。优点:Microsoft ISA Server 2006 构建在一个经过升级的体系结构之上,该架构经过特殊设计,以抵御最新类型的Internet攻击和带有某些功能(诸如签名阻止)的蠕虫病毒的破坏。此外,它还提供了一个更为简洁的新用户界面,可以避免用户错误配置防火墙导致网络安全漏洞的一个常见原因。此外,ISA Server 2006包括了一个经过极大扩充的工具集合,以及能够保护企业网络的VPN访问的其它功能特性。对于中型企业,ISA Server 2006尤其是上佳之选,因为它满足了它们对易于使用和管理的先进应用层安全性解决方案的需要。利用ISA Server 200
44、6,用户不必花费时间购买、部署和管理各种异类系统。在很多情况下,ISA Server 2006可以经济、有效地独自担当起保护网络的重任。特别是对于大型企业和组织,ISA Server的应用层安全功能将有助于为传统的现有数据包过滤和状态检测提供更多保护。2)冠群金辰KILL 安全胄甲防病毒系统 KILL安全胄甲(企业版)是冠群金辰在KILL 2000网络产品的基础上最新推出的一款新一代网络防病毒系统,是一款支持在各种主流的系统平台上实现全面防病毒保护的防火墙,其病毒检测能力通过了全球 18家权威机构认证。KILL安全胄甲(企业版)功能也相当齐全,全面查杀病毒;实时监控、按需扫描;集中网络管理;客
45、户端零管理;多种安装方式;报表分析;自动增量升级;在线更新等,产品拥有广泛的系统平台支持和双引擎扫描技术优势,越的病毒查杀能力认证,分布广泛的病毒监测网,资源占用率低,自身安全保障,是一款功能强大、性能稳定的企业级产品。 KILL安全胄甲采用无缝集成的双引擎技术,实时监视系统活动,全面查杀各种形式的病毒,提供灵活多样的病毒修复和处理方法,其病毒检测处理技术处于业界领先地位。 KILL安全胄甲(企业版)采用网络化防病毒管理。客户端实时检测处理计算机病毒,无需人工干预,也支持手工方式扫描病毒。服务器定义防病毒策略、监控客户端状态、进行报警和日志处理、实现特征码升级和分发。 KILL安全胄甲不足之处
46、在于用的人少,杀毒软件的滞后性,不能对网络新病毒及时防御,最新的病毒检测不到,等病毒发作之后,才才在线升级,有时无法监测病毒,在线升级有时出现问题。3)CheckPoint Firewall-1作为专业从事网络安全产品开发的公司,美国CheckPoint是软件防火墙领域中的佼佼者,其开发的软件防火墙产品CheckPoint Firewall-1在全球软件防火墙产品中排名第一。CheckPoint Firewall-1是一个综合的、模化的安全产品,基于策略的解决方案,能够让管理员指定网络访问按部署的时间段进行控制,它能够将处理任务分散到一组工作站上,从而减轻相应防火墙服务器、工作站的负担,为服务器带来更好的工作效益。CheckPoint Firewall-1防火墙的操作不是在应用程序上进行,而是在操作系统的核心层进行,这样让防火墙系统达到最高的性能、最佳的扩展与升级,它支持基于 WEB的多媒体和UDP应用程序,采用多重验证模板和方法,使网络管理员非常简单验证客户端、会话和用户对网络的妨问,简单的操作让人马上就能得心应手。而Checkpoint由于架构不依赖硬件,因此理论上功能是可以无限扩充的,它能给
浙ICP备2021020529号-1 | 浙B2-20240490 
