防火墙在网络中的应用范例(3篇)
防火墙在网络中的应用范文篇1
【关键词】ISA防火墙多重网络
ISAfirewalltechnologyintheenterpriseapplicationofmulti-networking
Abstract:Withthecontinuousdevelopmentofnetworkinformationtechnology,enterprisenetworkisfacingmoreandmoreapplicationsandchallenges,andfirewalltechnologyisthekeytocommunicationandcommunicationbetweentheinternalnetworkandtheexternalInternetnetwork.ThispaperintroducestherealizationofISAfirewalltechnologyinthecomplexnetworkenvironment,analyzesthecharacteristicsandadvantagesofthetechnology,andexplainsitspracticalsignificanceinthemultinetworkinformationmanagement.
KeyWords:ISA;Firewall;Multi-networking
引言
对现代企业而言,互联网已成为一个不可或缺的平台,经过几十年的发展,Internet已将几乎所有企业网络直接或间接的联接起来。在这个无处不在的网络体系中,从使用范围和安全角度来划分,企业网络的应用一般可分为内部网络(Internalnetwork)和外部网络(Externalnetwork)应用。通过防火墙、路由器等软硬件措施可保障各个应用的安全运行和相互联系。随着我国信息化进程的进一步加快,企业网络应用的环境也变得日益复杂、多样和多变。许多企业需要通过Internet连接总公司网络、各地分公司网络、外地VPN(虚拟专用网络)客户端、DMZ(屏蔽子网络)、各种受保护的专用网络(如:电话会议、视频会议网络)等,如何将这些网络联接起来,并且确保网络之间传送数据的安全性,成为各级企业网络管理人员所要解决的问题。也就是说,随着业务规模的日益扩大和应用需求的不断增多,原本形式单一的企业网络面临复杂多重网络环境的挑战。
一、多重网络环境中的应用需求
天华化工机械及自动化研究设计院有限公司(天华院)是中国化工集团公司旗下重要的集科技、研发、生产制造为一体的企业。该院的企业网络与Internet的连接原本是由WindowsServer2003提供服务器和防火墙管理,网络系统仅满足于本企业的Internet/Intranet应用需求,提供较单一的内网Web、E-mail以及其它网络应用服务。该网络按照B类私用网络编址,在局域网内没有划分VLAN,仅按照分属部门的不同划分了IP地址段。
2012年起,集团公司为逐步整合和加强对子公司的信息管理,统一规划了其下属企业的网络布局,在全国各地为各个分支机构提供SSLVPN接入服务,子公司、下属各企业通过VPN专线安全的接入化工集团内部网络,访问集团的Protal、OA、集团邮箱、ERP、视频会议等应用系统。
从表1可以看出,根据新的网络规划,天华院企业内部网络需重新划分为多个VLAN,以便为规范管理不同的设备、应用服务。同时,由于管理的需要,院区内不同的研究所、设计室和部门,甚至同一部门中的不同个人因为职务、职责的不同,也拥有不尽相同的内外网(Intranet/Internet)访问权限和对各类网络应用的使用权限,这些权限务必能够通过随时根据需要进行调整和变更。为根据这些原则能够方便的管理处于企业园区内不同楼宇、不同物理节点上的计算机及其使用者,必须由服务器提供管控手段。另外,由于引入视频会议的实际情况,需要同时引入两个不同运营商的网络线路,中国电信20M带宽光缆提供基础的Internet接入服务,中国移动2M光缆提供专线视频会议服务。整个网络环境由于应用需求的猛增和管理控制的多样变得愈加复杂,为网络管理部门提出了新的要求和难题。
二、ISAServer的技术特点
ISA(InternetSecurityandAcceleration)Server是Microsoft推出的集防火墙、服务器于一身的服务器端软件,它同时有服务器(客户端共享上网)、防火墙(安全连接Internet、安全网络内各项服务如Web、FTP、E-mail到Internet上、提供安全的VPN连接)功能。当企业网络接入Internet时,Internet为企业提供与客户、合作伙伴和员工连接的机会。这种机会的存在,同时也带来了与安全、性能和管理性等有关的风险和问题。ISAServer提供了多层企业防火墙,来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA的服务器中的“缓存”功能是业界最好、速度最快的,使得企业网络可以通过从本地提供对象(而不是通过拥挤的Internet)来节省网络带宽并提高Web访问速度。
ISAServer为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护需要为不同地域设置多重防火墙阵列的大型企业网络,通过状态信息包检测、应用层过滤、和全面的工具,穿越不同的网络层面,保护您企业内部网络的应用系统、服务、和数据的安全。相对于其他防火墙解决方案,MicrosoftISAServer的主要优势包括了它的高级应用层检测和保护功能,易于使用,提供快速、安全的Internet访问的能力,分布式防火墙集中管理能力,以及易于与目前的防火墙和VPN结构集成的功能。
三、ISA在多重网络中的技术实现
天华院原有的网络系统即是由WindowsServer2003提供简单Web服务,由于网络结构形式比较简单,仅仅使用二层交换设备。为在多重网络环境中实现新的服务功能,网络升级改造并引入了ISAServer企业版防火墙系统,同时增加三层交换设备解决网络中的子网划分问题。
3.1防火墙
首先,须将ISAServer设置为整个企业网络的防火墙(PerimeterFirewall),增加一个DMZ网络区域来专门放置要的服务器。也就是说,在这个架构中,ISAServer通过三个接口将三个网络联接起来:内部网络(Intranet)、互联网(Internet)、边界网络(Perimeternetwork)。其中,边界网络又称为DMZ(DemilitarizedZone,非军事区)或是屏蔽子网络(Screenedsubnet),在这个区域专门放一些重要的服务器。将企业内部的Web、FTP、E-mailCNKIServer等放置在这个区域内,最重要的作用是这些服务器不但现在可以服务于内部网络,将来可能要通过ISA安全的到互联网上。
3.2通过三层交换实现VLAN
根据集团公司对企业网络统一规划要求和对子网分配方案,天华院的企业网络需要重新划分为多个VLAN。原有的二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。尽管基于MAC地址的VLAN能够在二层交换机上实现,但这种方法通常所以这种划分方法通常适用于小型局域网。是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于VLANMAC的地址。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果网络日趋扩大,用户日益增多,配置工作是非常累的,而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。因此,有必要引入新的三层交换设备。三层交换机就是具有部分路由器功能的交换机,三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,三层交换技术就是二层交换技术+三层转发技术。在三层交换中可以采用基于端口的VLAN,这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可,适合于任何大小的网络。
为在资源优化的前提下划分VLAN,天华院的网络设备采用二、三层交换设备混搭的模式来实现。将一台三层交换机作为中心交换设备,院区内其它研究所、设计室、部门根据原有物理位置、工作职责分配和连接方式的不同划分为多个VLAN。
3.3路由、网络规则
防火墙在网络中的应用范文
关键词:防火墙技术;网络安全;应用探究
当前,随着社会的进步和科学的发展,以互联网为代表的先进技术逐渐深入人们的工作和生活,并带来了巨大的便利。而互联网技术作为一把“双刃剑”,其网络安全问题也时刻威胁着人们的生产生活,尽管其影响力大、破坏性强,但在入侵过程中却往往难以被人察觉。从本质来说,网络安全能够通过访问控制和通信安全两种服务来保障自身安全,而防火墙是网络入口的首要防线,这种服务要达到最佳效果,需要防火墙技术与加密技术联合防护。实践证明,防火墙技术的网络防御效果显著,并且能够广泛用于各个领域,有效保障网络安全。随着科学的发展,防火墙技术也会不断进步与发展,实时保障用户的网络安全。
1概述
1.1基本概念
所谓防火墙,就其概念而言来源于建筑学,意指防止火灾从建筑物燃烧至另一建筑物的阻碍物,而网络上防火墙意指防止网络入侵的阻挡技术。有些工程师将防火墙定义为:计算机系统中所有通信无论是由内部到外部或是外部到内部都必须经过的,并且只有内部访问权的通信方允许通过的技术。实质上,防火墙即为一种隔离控制技术,以增强系统内部网络的可靠性,保障用户安全为目的。
1.2基本功能
作为保障用户网络安全的重要技术,防火墙主要有以下基本功能:(1)防止用户内部信息的泄露。使用防火墙技术能够将计算机内部网络进行划分,隔离重点网,以防出现局部网不安全造成全局网不安全的现象。此外,防火墙技术通过对进入系统的用户身份进行严格验证,对网络进行相应技术加密,能够有效防止入侵者窃取用户数据信息。(2)增强网络安全策略。防火墙能够利用其执行站点的安全模式把保障系统安全的相应指令、加密等软件与防火墙连接在一起,与传统防护模式中各个系统主机共同处理网络安全的解决方式相比,显然这种集中管理模式保障安全显得更为方便、高效。(3)保障网络安全。主要表现在防火墙可以阻止不安全的进程,减小入侵风险,保障网络安全。此外,防火墙还能拒绝部分来自路由的攻击,并报告给网络管理员,以尽可能减少对其他用户造成麻烦的情况。(4)网络存取及访问监控审计。防火墙能有效记录网络活动并对可疑动作提供报警功能。为管理员提供谁在访问网络、在网络上做什么等信息,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
2防火墙的分类
2.1电路级网关防火墙
电路级网关防火墙是目前较为常见的一种防火墙,其本质是一个用于监控客户机或服务器的通用服务器,它主要通过作用于OSI互联网模型中的会话层或者TCP协议的TCP层来实现其功用。这种防火墙技术虽然也可应用于多个协议,但缺陷在于对同一协议栈运行的不同应用无法及时识别,因此此类防火墙也就不用设置相应模块来应对不同的应用。在实际工作中,电路级网关防火墙的服务器会对客户端进行部分修改,当客户端发送相应的请求,服务器便对请求进行接收,并客户端完成网络的连接工作。可以看出,此类防火墙能够将网络信息进行隐藏,保障信息安全。
2.2应用级网关防火墙
应用级网关防火墙是一种应用服务器,主要在内、外部网络在进行网络交换申请服务时起连接的功能,其工作方式如下:(1)验证用户是否符合进入条件,如若验证成功,则将用户请求发送到内部网络的主机,此时也会对用户进行的操作进行实时监测;若发现危险或疑似危险则阻断访问。(2)当用户是由内部网络申请连接外部网络时,防火墙工作模式会先对内部网络发送的请求进行接收和检查,若合乎要求,防火墙将请求发送至外部网络。由此看出,这两种工作的工作方式恰好相反。应用级网关防火墙的优势在于方便配置、工作环境良好,它在内外网主机之间起连接作用,而不允许其直接连接,能够有效保障使用过程中的安全性。此外,这种服务器还能够对用户的操作记录得更加详尽。
2.3静态包过滤防火墙
静态包过滤防火墙作用于网格层,对进出内部网络的信息进行全面分析,再根据相应安全策略对信息过滤,其筛选Internet防火墙路由器内部网…堡垒主机原则是以所监测到的数据包的初始信息为基础,允许授权信息进出,限制危险信息进出。当前,路由器被广泛用于网络的信息传输,连接在内、外部网路之间,因此是影响网络安全的重要因素之一。而包过滤型防火墙就是一种专门对路由器产生作用的技术,因此从某种意义上说静态包过滤防火墙也是一种包过滤路由器。静态包过滤防火墙的优势在于简单实用,运行速度快,且透明性较高。这种防火墙技术的工作运用同应用层没有关系,这就意味着不用对用户主机的应用程序进行修改,配置和使用都显得较为方便。它的缺点在于这种防火墙需要对TCL、IP等相应协议有较深的认识;另外这种防火墙技术不能够对用户的操作进行鉴别。
2.4状态监测型防火墙
状态监测型防火墙的作用机制在于使用了在网关上执行网络安全策略的软件引擎来实现其作用和功能。这种防火墙工作在网络层与链路层之间,可以对网络通信进行跟踪监测,并对相关状态信息进行提取;此外,状态型监测防火墙还能对动态链接表中的状态和信息进行储存,并及时更新,通过信息积累不断为下面的通信检查提供数据支撑。状态监测型防火墙的另一大优势在于可以为类似NFS的基于端口动态分配协议的应用提供技术支持和类似DNS的无连接的协议提供应用支撑,相对而言,型网关防护墙和静态包过滤型防火墙则不能支持以上应用。综上所述,状态型防火墙能够有效减少端口开放时间,并提供相应服务支撑。它的缺点在于会默许内部主机与外部网络不通过第三方直接连接,对部分网络安全隐患难以起到防护作用;此外,状态监测型防火墙不能够对用户操作进行鉴别。
3防火墙在网络安全访问控制中的应用
3.1双宿主主机模式
双宿主主机模式是通过主机的使用来实现的,这台主机拥有用于连接内部网络和外部网络的两个接口。防火墙将双宿主网关置于内部网络和外部网络之间,以阻断IP层之间的数据传输。内部网络和外部网络的主机不能够直接进行通信,它们都只能与网关进行通信,而内部网络与外部网络的通信需要利用应用层的数据共享或服务达成。
3.2屏蔽主机模式
屏蔽主机防火墙主要由堡垒主机和过滤路由器两部分组成,其中堡垒主机位于内部网络,过滤器位于内部网络和外部网络之间。堡垒主机作为连接外部网络和内部网络的唯一通道,使得外部网络和内部网络都只能连接到堡垒主机,当内部网络有通信需求时,必须先到堡垒主机,堡垒主机再进行判断,并决定是否允许连接到外部网络。因此,入侵者要想实现对用户电脑的入侵,必须首先将主机攻克,方能到达内部网络,主机结构如图1所示。
3.3屏蔽子网模式
屏蔽子网包括堡垒主机以及两个包过滤器等部分,其内、外部网络主机间设置具有隔离功能的子网,以形成隔离区,设置屏蔽子网的作用在于防止MAIL、Web服务器等公共服务直接通过内外部网络。通常情况下,内、外部网络都能够访问屏蔽子网,而不允许穿过子网进行通信,这种配置使得当堡垒主机被攻克时,内部网络仍然可以受到来自包过滤路由器的保护。这种屏蔽子网防火墙的最大好处在于为计算机多提供一层防护,因为必须攻克两个路由器和一个网关才能成功入侵。
4防火墙未来发展趋势与展望
防火墙技术作为保障网络安全的重要举措之一,未来必将得到发展和更新。笔者认为未来的防火墙技术将朝着多元化、智能化、高速化方向发展,可全面保障用户信息、应用程序与操作过程的安全,且会具有如下新的优点:(1)高速性。现阶段,防火墙的运行速度不够快的问题突出,而随着科学技术的发展,防火墙将会更多与芯片技术相融合,利用芯片提升计算的速度和精度,最终成为以芯片技术为主的全硬件型网关,大幅度提升网络安全。(2)智能化。现阶段,网络安全威胁主要包括病毒传播、网络攻击、内容控制,其典型代表分别是蠕虫病毒和垃圾邮件。而目前防火墙对这些形式的威胁似乎没有明显效果,因此未来的防火墙技术一定是朝智能化方向发展的。(3)多元化。随着网络技术的不断发展,多种网络模式已被运用,未来的防火墙将会形成一种可随意伸缩的模块化解决方案,为不同网络设置不同技术的防火墙,为用户提供多元化的保障。
5结语
随着人们对网络技术的运用越来越多,依赖性越来越强,人们对网络安全也越加重视。实践表明,防火墙在保障网络安全方面成效显著。为应对复杂的网络安全威胁,防火墙技术需要不断地更新和发展,在保障网络安全这条隐蔽的道路上,人们需要做的仍然很多。只有人人注重网络安全,采用先进技术,才能形成全方位的防御体系,保护人们的信息资源。
作者:张林单位:中国航空动力机械研究所
参考文献
防火墙在网络中的应用范文
关键词:防火墙;图书馆;网络
随着计算机网络技术的发展,图书馆的系统建立和规模不断扩大,这就使得图书馆网络的安全问题越来越突出,图书馆的网络安全是一个复杂的系统工程,图书馆有大量的服务器、网络设备和工作站,如果直接与外部网络相连,则有可能造成图书馆内信息资源的泄露。如何采用切实有效的安全防护措施为教学和科研服务提供重要保障是计算机工作者面临的问题。而安装防火墙就是一个很好的解决办法。下面就进行一下简单的介绍。
1.防火墙的概念
防火墙是一个位于内部局域网与外部网络、专用网和公用网之间的计算机或网络设备中的一个功能模块,为一种高级访问控制设备,是按照一定安全策略建立起来的硬件和软件有机组成体,可以是一台专属的硬件,也可以是一套软件。是一种计算机硬件和软件的组合,负责不同网络安全域之间的一系列部件的组合,主要用于控制、允许、拒绝、监测出入两个网络之间的数据流,高级一些还能提供如视频流的服务,且本身有较强的抗攻击能力,可以提供身份认证和访问控制,有效地监控了两个网络之间的任何活动,保证了内部网络的安全。其主要技术有:包过滤技术、双穴主机、堡垒主机、服务、网络地址转换、状态检测技术。
2.案例介绍
2.1要求
防火墙应由一系列的软件和硬件组成,形成一个有一定冗余度的保护屏障,应能抵抗木马侵扰和“黑客”的攻击,监控和审计网络通信;一旦失去防护作用,防火墙应能隔开网络中不同的网段,完全阻断内、外部网络站点的连接;还要有强大的反病毒、杀木马的功能,使这些病毒和木马在将要侵入时时引起防火墙的报警。
2.2思路
首先是要确定安全策略,在图书馆出口处部署千兆防火墙一台。按照职能的不同划分成四个安全区域:服务器区域、阅览室区域、办公区域以及其它区域。针对不同区域的特点和需求设定相应的安全访问控制策略。为防止蠕虫病毒发作,限制单台主机发起连接的数量。将原来使用的固定IP地址、IP段停止使用或限制使用,设置新的、内部私有的IP地址。通过防火墙的NAT与反向NAT技术将内部主机的IP地址完全隐藏,从而不被外界发现。
为了适应图书馆先进设备和技术的应用,应采用灵活的模块化结构,密度端口适中的网络设备,具备三层路由功能,使其具备平滑升级能力。同时还应对不同用户的需求进行量身定做,防火墙和网络设备能够灵活提供各种常用网络接口,为满足用户的不同需求对网络模块进行合理搭配。
2.3实例分析
我校图书馆网络安全主要是为了保护web服务器和数字资源数据库服务器,主要采取了硬件防火墙和linux防火墙两种形式,采用了一种称为netfilter架构的防火墙,有效的防止了外部网络用户、病毒和木马以各种手段试图进入图书馆的内部网络。网络拓扑图见图1:
图1.图书馆网络拓扑图
硬件防火墙采用了Juniper公司的NS50标准方案建议,它采用的是已知的一种动态数据包过滤的状态检测方法,收集各种部分的包头信息。NS50防火墙产品可连接信任端口(Trusted)和不信任端口(Untrusted),如果一个应答数据包到达时,防火墙会对其进行对比检验,如果匹配则允许通过,如果不匹配,则丢弃该数据包,并提供了跨Internet来实现远程管理能力。
当工作状态的防火墙失效时,备份防火墙会在短时间内自动切换到工作状态。为了使防火墙在失效时仍能够维护网络的安全,实现网络的高可用性,防火墙设计必须应用到专门的双机容错技,互为备份的链路需要有相同的配置。在这样的设计中,防火墙跨接在路由器和交换机之间,两个防火墙都同时在工作,互为备用防火墙。两个防火墙通过1条心跳线连接实现状态的同步,当其中一个防火墙失去保护屏障的作用时,另一个防火墙将立即被启用,此时链路带宽下降到原有的50%,1条链路完成2条链路的工作(见图2)。通过这种双机热备份功能,当单台主机失效时,网络仍然可以工作,同时网络的双防火墙设计也保证了信息的高安全性。
图2.双机热备份系统结构
2.4防火墙对流量控制的策略
为防止用户对网络资源的滥用,例如采用专业下载软件如BT、电驴、P2P等软件进行网络资源的过度下载,避免占用大量的网络带宽,阻碍正常工作的开展,对网络流量进行捕捉、分类,对网络流量进行监视,定期查看防火墙流量监测和流量控制策略,定期查看防火墙的网路日志和分析网络带宽资源的使用情况。
2.5防火墙对入侵检测策略
凡是选中的协议都将被探测,如果匹配则允许通过,如果不匹配,则都将被过滤。通过定义过滤规则,可以减少网络探测引擎分析的数据包的数量。在大流量的环境下,通过减少数据包的数量,可以减轻网络探测引擎的负担,降低事件的漏报,从而使防火墙能有效地保护内部网络免受攻击。
2.6硬件的选择
在硬件选择方面,首先应按照自己需求进行选择,目前市场上的防火墙种类很多,国外和国内都有技术和知名度过硬的产品,如思科、checkpoint、netscreen、东软、网御神州、联想等,但是不管选用哪个品牌、哪种类型的防火墙,必须确保它自身是安全的,并且经过第三方可信部门的认证。在选购防火墙时,不能只考虑吞吐量,而应要全面考虑防火墙的安全性、实用性和经济性。若流量大或不断变化,则应首要考虑防火墙的吞吐能力,吞吐能力差会使防火墙成为网络瓶颈;若涉及语音和实时图像传输,则要考虑防火墙的延迟;中小图书馆要根据网络规模和性价比来选择防火墙,切合实际,避免资源浪费。
3.总结
防火墙作为目前用来实现网络安全的一种手段,已经得到了广泛的运用,可以有效防止外部网络的非法入侵和恶意攻击,监控网络通信和流量,便于图书馆系统管理和维护,保障图书馆自身的利益。正确认识防火墙的失效状态在维护网络安全中是相当重要的,但其它的防护措施也是必不可少的。
参考文献:
[1]费宗莲.UTM引领安全行业潮流--UTM统一威胁安全管理系统综述[J].计算机安全,2006(3).
[2]马林山.Lroux防火墙技术在图书馆的应用研究[J].合肥学院学报,2007(2).
[3]王琪.入侵检测的原理及其在网络信息系统中的应用[J].情报科学,2004,22(10):1273-1276.
[4]李文静,王福生.防火墙在图书馆网络中的安全策略[J].现代情报,2008,(6):72-73.
[5]李晓峰,张玉清.Linux2.4内核防火墙底层结构分析.[J].计算机工程与应用.2002.
.2002.
