基于企业防火墙的应用的案例辨析.docVIP

基于企业防火墙的应用的案例辨析 　　[摘要]随着网络应用的普及，网络的安全性也越来越显得格外重要。结合企业在防火墙使用中的实际情况，分析几种防火墙使用中经常出现的问题，并深入探讨了不同的解决方法。 　　[关键词]企业 防火墙应用 安全 　　中图分类号：TP3 文献标识码：A 文章编号：1671－7597(2008)0820048－01 　　 　　目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等，在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大，造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。针对企业办公网络存在的众多隐患，各个企业也实施了安全防御措施，其中包括防火墙技术、数据加密技术、认证技术、PKI技术等，但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。 　　 　　一、未制定完整的企业安全策略 　　 　　（一）问题描述。某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了。 　　该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和ISP连接。内部网划分为5个VLAN，VLAN 1、VLAN 2和VLAN 3分配给不同的部门使用，不同的VLAN之间根据部门级别设置访问权限；VLAN 4分配给交换机出口地址和路由器使用；VLAN 5分配给公共服务器使用。在没有加入防火墙之前，各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后，给防火墙分配一个VLAN 4中的空闲IP地址，并把网关指向路由器；将VLAN 5接入到防火墙的一个网口上。这样，防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。 　　防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。 　　（二）问题分析。我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不唯一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多PC机通过电话线和Internet相连，导致网络边界不唯一，入侵者可以通过攻击这些PC机然后进一步攻击内部网络，从而成功地避开了防火墙。 　　（三）解决办法。根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，制定一套安全管理规章制度，严禁员工私自拨号上网；同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不唯一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开QQ使用的TCP/UDP端口，使得企业员工可以在工余时间使用QQ聊天软件。 　　（四）结论和忠告。防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。 　　 　　二、未考虑防火墙的可扩充性 　　 　　（一）问题描述。某大型企业一年前购买了几十台防火墙，分布在总部局域网和全国各地的分支机构中。刚投入使用后，各部门和分支机构都反映不错，没有影响到网络性能。随着信息化程度的不断提高，该企业决定构建视频会议系统，却发现防火墙不支持该应用协议，如果要实现视频会议，必须让防火墙打开一个很大的缺口，这会留下很大的安全隐患。 　　（二）问题分析。视频会议系统一般都采用H.323协议，在创建符合H.323协议的Voice-Over-IP通道时，需要用到TCP协议的1720、1731和1735等端口，并且会使用到TCP协议的、大于1024的端口及UDP协议的、大于30000的端口，这些端口是动态随机选取的。如果防火墙没有专门针对H.323协议实现动态包过滤，那么必须静态地配置安全规则，打开TCP协议1024到65535之间的所有端口以及UDP协议30000到65535之间的所有端口，这样等于给防火墙打开了一个缺口，留下了安全隐患。此外，视频会议系统对于网络的服务质量和语音传输的优先级要求很高，如果防火墙不支持QoS功能，就无法保证参加视频会议的主机的语音和视频质量。本案例说明了企业在选购防火墙时没有充分考虑到今后网络的扩展性，导致防火墙不能适应新的应用环境。 　　（三）解决办法。购买防火墙前应充分考虑到各种应用的可能性。如果问题已经发生，请求防火墙厂商或安全集成商帮助解决。 　　（四