论硬件防火墙在网络安全体系中的核心应用.docVIP

论硬件防火墙在网络安全体系中的核心应用 　　摘要：由于网络安全威胁日益加深，人们也同时日益重视网络安全体系结构在网络中的建设。以此为契机，网络安全技术也在不断向前发展，网络安全产品也在不断推陈出新。作为网络安全体系中占有重要地位的防火墙，尤其是防火墙家族中性能最为优越，功能最为强大的硬件防火墙在网络安全体系结构的应用尤为显眼。本文通过具体的小型企业网络安全构建实例对硬件防火墙在网络安全体系中的核心应用进行一个论述。 　　关键词：网络安全体系；硬件防火墙；核心应用 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）09-0037-02 　　1 引言 　　二十一世纪的今天，伴随着日益发展计算机网络，是逐步加大的网络安全威胁。人们亦越发重视自身所在环境的网络安全体系结构的建设和发展。各种网络安全技术的提出和网络安全产品的出现也不断丰富着网络安全体系。那么作为网络安全产品中的重要组成部分，硬件防火墙能在网络安全体系中会体现出怎样的核心应用呢？ 　　2 网络安全体系简单构建例 　　一个完整的网络安全体系需要涉及符合国家相关标准规定的诸如物理设备、信息传递、操作系统等一系列的内容。本节主要透过一家小型制衣企业的网络安全体系简单构建过程来直观地体现硬件防火墙在网络安全体系的核心应用。 　　2.1实施对象概况和安全需求 　　? 汇聚层交换机，核心层交换机和路由器等均统一放置于生产办公综合大楼二楼网络中心处。 　　? 该制衣企业拥有电脑数量约为100台，还有3台网络打印机，一台web兼E-mail服务器，一台FTP服务器，一台文件服务器。会议室中还需要部署可以容纳20人左右的无线网络。 　　? 该企业在广域网连接方面，除了要实现因特网接入外，还要提供远程办公和跟合作伙伴、供应商的VPN连接。 　　? 内部客户端不能直接访问外网，需要通过企业主干网接入INTERNET（全球互联信息网）。供应部、营销部、技术部可以连接Internet。实现供应部与各供应商保持联络，能发布和接收相关原材料需求和供应信息，但不能访问特定娱乐新闻购物类网站；营销部可以跟各渠道商通过邮件时刻保持联系，在关注现有客户同时发现潜在客户，推广企业的产品，打开市场销路；技术部可以通过网络查找和了解跟本企业产品相关的其他产品或相关技术，为其他部门寻找和准备相对应的网络资源。 　　? 除以上部门外其他部门除有特殊情况外都不能连接Internet。并且不允许员工在正常工作时间玩基于网络的游戏和进行P2P和BT方式的下载行为。 　　2.2 利用硬件防火墙完善网络拓扑结构 　　基于上述的判断，软件防火墙和嵌入式防火墙明显在某些要求上无法完全胜任，这时候硬件防火墙在该网络安全体系核心应用中的优势就能明显体现出来了。 　　在该网络安全体系结构中硬件防火墙主要由神州数码DCFW-1800S-H-V2企业级硬件防火墙来进行承担。在功能上该型号防火墙采用64位高性能多核处理器技术，拥有包括TCP会话保持与报文重组、VPN、QoS流量管理的芯片级加速方案，并且提供独立的硬件DFA引擎，带有IPS入侵检测模组。辅以高达48Gbps的高速交换总线，以及新一代64位实时并行操作系统DCFOS，确保整个系统不仅在处理网络通讯，而且在处理应用安全防护时拥有充足的系统资源保障。全面优化的软硬件系统拥有高稳定性和高可靠性，其新一代网络安全架构能提供给用户最大化的可扩展能力，方便日后的升级。 　　在考虑到网络服务器群组的使用和防护要求，同时防止内部网络被入侵导致商业敏感信息泄露的情况发生。作为一个典型的解决方法之一就是利用硬件防火墙构建起在屏蔽子网防火墙体系结构中合并堡垒主机和内部路由器的扩展形式，如图1所示。 　　在该形式中，专门划分出一个周边网络“非军事区域（DMZ）”，来将对外提供服务的各种服务器放置其中（配置示例如图 2所示），使Internet侧用户访问服务器时不需要进入内部网络，而内部网络用户对服务器维护工作导致的信息传递也不会泄露到外部网络。外部路由器主要作用在于保护周边网络和内部网络，防火墙上则设置针对外网用户的访问过滤规则。例如限制外部用户只有访问DMZ区的和部分内部主机的权限。为了最大限度节约资金投入的同时提高硬件防火墙的利用率，而将原本用于隔离内网络和DMZ区、对内部用户访问DMZ区和外部网络权限进行控制的内部路由器省略，由硬件防火墙模拟及替代该部分功能。然后利用防火墙中的IPS模组对数据流进行再次检查和报警，防止有非法数据流通过硬件防火墙而没有被发现。为了避免外部路由器失效带来致命影响，还可以将硬件防火墙设定为定时复制对方过滤规则，实现一个联动和备用功能。简单来说外网、DMZ、内网三者主要实现下面三个效果： 　　?