防火墙技术在企业内网中应用.docVIP

防火墙技术在企业内网中应用 　　摘 要：网络防火墙技术是企业内网与外网的出入口，被广泛使用于企业内网的安全防护中，对保护企业内网的安全具有重要的作用。本文通过简要阐述了企业内网络系统面临的威胁，提出了防火墙技术在企业内网应用的必要性，提出了防火墙技术在企业内网的中的具体应用措施。 　　关键词：防火墙技术；企业内网；应用；措施 　　防火墙是一种隔离控制技术，是一个用以阻止网络中的黑客访问某个机构网络的屏障。防火墙有软件防火墙和硬件防火墙，软件防火墙一般安装在主机上，它既可以防止来自外网，也可以防止来自局域网内部的攻击；硬件防火墙是安装在企业内网的入口处，以减少外部对企业内网的攻击。 　　1 防火墙技术在企业内网应用的必要性 　　（1）信息共享资源的泄露。企业内网络主要承担科研、办公任务，因此经常要部署共享网络资源，便于企业员工之间的资源共享，由于缺少必要的访问控制策略和保密意识淡薄，就可能有意、无意的把重要信息，特别是科研成果长期暴露在网络上，从而被轻易窃取并传播出去造成泄密。 　　（2）计算机病毒入侵。企业内网的特点是用户量大、上网时间长、在线用户比例高，在这种高速、大容量的局域网中，各种计算机病毒和蠕虫都容易通过用户的不小心或有漏洞的系统迅速传播扩散，由于它是在网络上传播的，加快了病毒的传播速度，造成网络阻塞甚至瘫痪，给网络带来灾难性后果。如著名的“黑色星期五”“、熊猫烧香”等病毒都曾给网络正常应用带来巨大麻烦。企业内网接入互联网之后，也给病毒传播提供了通路，可能会引起网速变慢、数据丢失、系统瘫痪等问题。凭其强大的破坏力和极快的传播速度成为威胁企业内网安全的罪魁祸首。 　　（3）黑客攻击。企业内网与 Internet 相连，在享受 Internet 方便快捷的同时，也面临着遭遇黑客攻击的风险。企业内网中较易受攻击的应用服务器主要是 DNS 服务器、Web 应用服务器和邮件服务器。黑客甚至利用一些专业的攻击工具对企业内网络及服务器发起 DoS、DDoS 攻击，增大企业内网流量，导致网络及服务不可用，甚至系统崩溃；例如通过注入漏洞检测工具对 WEB 服务器进行数据库注入式攻击，造成网站主页被篡改、数据被破坏等恶果，干扰企业秩序的正常运行，给企业内网带来经济和声誉损失。 　　2 企业内网安全方案与措施 　　企业网络的结构一般由两部分构成：企业内部网与企业外部网。都需要采取一定的防护措施，对于企业内网的安全防护措施，下面所提出了一些方案和措施可供大家参考。 　　（1）合理设置防火墙系统。企业内网大多数都是通过路由器与网络连接的，企业内网的 IP 地址是确定的，闭合边界也比较明确，这为企业内网的系统控制提供了便利。进入主干网的存取进行控制，企业内网的 IP 地址都是合法的，非法的 IP 地址想要通过路由器进行内部网络访问，就要对企业内网路由器进行命令设置，同时也要加强对主机的访问控制，网络中心的 WWW、DNS、FTP 等服务器十分重要，需要进行保护，网络中心所在的子网应该对除了WWW、DNS、FTP以外的服务进行禁止。 　　（2）采用透明通道式的防火墙。传统的防火墙存在一定的缺点，对病毒和黑客的防御程度比较低，防火墙上的 IP 地址也会为黑客的攻击提供便利，透明通道式的防火墙没有设置 IP 地址，就像一堵透明的墙，外部人员看不到防火墙的存在，内部人员不能访问防火墙，有效防止了内外部人员对企业内网安全的破坏。透明防火墙可以根据 MAC 的地址选择路由器，可以静态设置 IP 地址和 MAC 地址对应的网络端口，并根据配置维持一张 MAG地址、IP 地址的网络端口对应表，对应表可以自动生成，也可以由管理员配置，这与传统防火墙相比能够有效防止IP 地址被盗用。 　　（3）禁止非法访问。非法访问一般都还有计算机病毒，因此一旦获得非法访问网址，就要对路由器中的存取控制列表进行更改，严谨非法访问，同时要在企业内网与路由器连接的以太网预设出控制组，插入命令，用来过滤非法访问网址，插入命令就是对路由器的动态配置，路由器的配置能够通过 telnet 或者控制台登录路由器，根据命令进行人工配置，我们可以利用这一点，通过 TEHET SOCKET 编制仿真程序，针对 CISCO，对人工命令进行仿真，对路由器进行动态配置。仿真程序的编制需要一个与 CISCO 控制表项相一致的文件，这是存取控制表的插入是由 deny 决定的，先把控制项放入配置的文件中，再将配置传输入路由器中。 　　（4）加强对IP地址的保护。 首先登记每个合法IP地址和对应的以太网地址，形成一个对应表。运行时通过定期扫描企业内网内各个路由器中的ARP表，获得当前IP和MAC的对应关系，和事先合法的IP和MAC地址进行比较，如不一致，则为非法访问。这种方法的出发点是每个网卡的以太网地址是固定