【防火墻技術在企業(yè)網(wǎng)絡中的應用探究6300字（論文）】

防火墻技術在企業(yè)網(wǎng)絡中的應用研究摘要：隨著網(wǎng)絡信息化時代的到來，計算機信息技術現(xiàn)如今已完全滲透到我們的日常工作與學習中，成為了我們生活中不可或缺的一部分。但隨之的，網(wǎng)絡技術的發(fā)展過猛，導致網(wǎng)絡漏洞層出不窮，現(xiàn)如今網(wǎng)絡方便著我們生活的同時，網(wǎng)絡安全風險也無處不在，正不斷危害著我們個人的方方面面。當前我們所使用的系統(tǒng)總是會受到來自外部的惡意攻擊，就目前而言，網(wǎng)絡安全是我們必須始終關注的問題之一。近年來防火墻已廣為人知并得到廣泛應用，作為日常生活中網(wǎng)絡安全的技術手段之一，防火墻解決了我們經(jīng)常遇到的許多網(wǎng)絡安全問題，但就其內(nèi)在發(fā)展，其實還有很多可以優(yōu)化與改進的地方。對此，本文主要以防火墻技術在企業(yè)中的應用，介紹了防火墻當前的作用以及防火墻技術的優(yōu)缺點，通過列舉網(wǎng)絡中一些常見的攻擊方法分析了防火墻技術的實際運行情況，最后提出了防火墻設計的方案，以期幫助防火墻技術更好應用在企業(yè)防護工作中。關鍵詞：網(wǎng)絡安全；防火墻技術；企業(yè)目錄TOC\o"1-3"\h\u264711前言 前言隨著網(wǎng)絡時代的不斷飛躍式發(fā)展，人們在充分依賴網(wǎng)絡的同時，網(wǎng)絡安全意識也在不斷隨之增加。現(xiàn)如今，幾乎每家每戶都安裝有電腦，同時學會使用防火墻技術來保證自己網(wǎng)絡使用的安全。但是隨之的，網(wǎng)絡黑客技術也仍在不斷發(fā)展，病毒木馬等網(wǎng)絡病毒對電腦以及人們隱私的侵害，依舊是當前普遍存在的問題。隨著網(wǎng)絡時代的演變，網(wǎng)絡攻擊模式正在演變，網(wǎng)絡病毒也在加劇。面對當前網(wǎng)絡潛藏的危害，這就要求防火墻技術也要處于不斷發(fā)展，不斷更新的地步，唯有防御措施不斷得到升級加強與更新，我們的網(wǎng)絡環(huán)境才能得到切實保證?；谶@種前提，本文講究當前防火墻技術的發(fā)展現(xiàn)狀為研究方向，前要談論防火墻技術當前的應用方向，應用手段，以及企業(yè)當前防火墻技術所存在的問題，以期通過相關研究，切實改進現(xiàn)有的防火墻應用技術，制定更為嚴格且嚴謹?shù)木W(wǎng)絡安全方案。以求達到切實加強企業(yè)網(wǎng)絡安全的保護。2防火墻概述2.1防火墻工作原理隨著網(wǎng)絡的不斷發(fā)展，現(xiàn)如今防火墻技術已普遍應用于我們生活，技術應用也更加嚴格，是當前保護網(wǎng)絡安全的重要手段，其安全保護能力強，操作簡單。從技術角度來看，防火墻通常位于計算機網(wǎng)絡的邊界。根據(jù)保護要求，可以對網(wǎng)絡數(shù)據(jù)包和連接方法進行驗證和評估。根據(jù)驗證和評估的結果，防火墻決定是允許訪問還是以不同方式做出響應。隨著技術的日趨成熟，防火墻的安全保護能力得到了極大的提高，特別是代理技術，網(wǎng)絡地址轉(zhuǎn)換技術和使用狀態(tài)檢查，極大地提高了防火墻技術的技術能力，使其能夠快速有效地響應各種類型的網(wǎng)絡攻擊。而防火墻所能夠起到的作用，就是根據(jù)定義好的規(guī)則，對通過的數(shù)據(jù)包進行監(jiān)視與管理，降低安全風險。防火墻顧名思義，主要的應用手段與技術還是以隔離控制病毒為主，能夠有效對非法輸出和非法訪問行為進行管理，減低入侵風險。當前我們常用的防火墻技術主要構成是由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關這4部分組成。具體結構示意圖如2-1所示：圖2-1防火墻結構圖2.2防火墻的功能2.2.1防火墻類型防火墻可以將用戶內(nèi)部網(wǎng)絡與公共網(wǎng)絡有效隔開，從而避免病毒侵襲。當在兩個網(wǎng)絡之間實現(xiàn)通信時，防火墻執(zhí)行的工作就是訪問控制標準。簡而言之，當用戶使用Internet時，用戶認可的人員和數(shù)據(jù)可以訪問其網(wǎng)絡。數(shù)據(jù)將被防火墻阻止，并且網(wǎng)絡上有黑客。當黑客想要強制訪問用戶網(wǎng)絡時，防火墻將最大限度地發(fā)揮其防御功能，以防止黑客進入。而企業(yè)網(wǎng)絡中所需要用到的防火墻類型包括過濾型，代理型，監(jiān)測型以及網(wǎng)絡地址轉(zhuǎn)化-NTA。2.2.2包過濾防火墻過濾防火墻就是對網(wǎng)絡層和傳輸層交換的數(shù)據(jù)所開展分析與過濾，以求確保其是否安全有效，在經(jīng)過識別之后才可以被通過。根據(jù)當前防火墻標準，只有在滿足性能和安全類型并且某些不安全因素被防火墻過濾和阻止后，才能傳輸信息。數(shù)據(jù)包過濾器是指以系統(tǒng)內(nèi)部邏輯為依據(jù)，來過濾網(wǎng)絡層中的所有數(shù)據(jù)包，同時也會對網(wǎng)絡端口和數(shù)據(jù)源進行分析，同時也可以對數(shù)據(jù)地址進行分析，發(fā)現(xiàn)存在的問題。使用數(shù)據(jù)包過濾器具有成本低、安裝便捷這些優(yōu)點。因為數(shù)據(jù)包過濾器技術是在路由器進行的，并且路由器屬于連接互聯(lián)網(wǎng)的時候必備的設備，所以在使用這項技術的時候，不需要增添額外費用。2.2.3應用代理防火墻主要行動領域的應用是OSI的最高級別在應用層上方，其主要特征是能夠完全隔離網(wǎng)絡的通信流，并且應用層可以通過特定的代理進行監(jiān)視和控制。有效性。防火墻類型必須根據(jù)特定的要求和條件來選擇，以便有效地防止外部防火墻入侵等問題。保存有疑問的信息并將其返回計算機，從而便利管理者處理網(wǎng)絡風險信息。在計算機和網(wǎng)關之間建立內(nèi)部連接，并改善網(wǎng)絡安全。2.2.4安全管理目前，信息技術正在迅速發(fā)展和普及，信息量正在增加，許多人可以通過互聯(lián)網(wǎng)獲得信息。因特網(wǎng)上的不安全因素更有可能影響人們的生活和工作。防火墻技術能夠有效地監(jiān)測網(wǎng)絡信息和截獲高風險信息，從而確保網(wǎng)絡接入的安全。

3防火墻的安全性和可靠性分析3.1支持平臺防火墻可以支持大量平臺，并具有大量用戶連接。針對不同平臺，防火墻技術開發(fā)人員能做到針對每個平臺制定不同的安裝方式。在保護計算機網(wǎng)絡安全方面，防火墻技術是其中非常重要的一部分。實際使用計算機網(wǎng)絡時，有很多信息需要保護。安全配置可以有效地將其劃分為多個區(qū)域，并專注于保護每個區(qū)域。3.2抗攻擊性全面的網(wǎng)絡監(jiān)視和控制功能使防火墻具有很高的抗攻擊性。為了禁止訪問非法網(wǎng)站或入侵罪犯，防火墻不僅必須具有防止內(nèi)部網(wǎng)絡被非法訪問的能力，而且還必須具有監(jiān)視功能。從網(wǎng)絡上刪除，因為現(xiàn)在每天都會出現(xiàn)一些不良網(wǎng)站。只有通過監(jiān)視，才能根據(jù)相關信息阻止這些非法站點。3.3防火墻自身的安全防火墻本身的安全性主要體現(xiàn)在其自身的設計和管理中。而防火墻安全性的設計，主要是在操作系統(tǒng)之內(nèi)，同時也只有完全可信任的操作系統(tǒng)才能確保系統(tǒng)的安全。應用程序安全性則是基于操作系統(tǒng)的安全性，所以防火墻安全性的本身是可以直接輻射到整個系統(tǒng)的安全方面。3.4完整的安全檢查在建立網(wǎng)絡中，數(shù)據(jù)起著非常重要的作用，這對于計算機安全性至關重要。防火墻可以準確記錄網(wǎng)絡傳輸中對信息和數(shù)據(jù)的訪問，并將收集到的數(shù)據(jù)分為幾類，提取可能構成威脅的數(shù)據(jù)，并采取預防措施來促進問題的解決，以便防止計算機受到攻擊。同時，防火墻還可以匯總收集的數(shù)據(jù)，匯總不同類型數(shù)據(jù)的特征，并將其用作更好地監(jiān)視網(wǎng)絡數(shù)據(jù)的基礎。3.5防火墻的可擴展性所謂智能防火墻技術，是指對于正常的數(shù)據(jù)請求和非法的用戶攻擊，防火墻能夠做出智能判斷，從而有效避免頻繁向用戶發(fā)送預警，提高網(wǎng)絡的運行效率。在傳統(tǒng)的防火墻技術中，雖然網(wǎng)絡安全性很高，但網(wǎng)絡運行效率相對較低，而智能防火墻技術有效地解決了這一問題。智能防火墻技術具有防止黑客攻擊、防止MAC欺騙和IP欺騙、防止入侵三大功能。3.6防火墻的可升級可升級性指計算機應用程序或產(chǎn)品（硬件或軟件）的尺寸或容量為滿足用戶需要而發(fā)生變化但能繼續(xù)工作的能力。無法預計的危險只會越來越多，而防火墻作為一款產(chǎn)品也能做到，為了滿足用戶需要而發(fā)生變化但能繼續(xù)工作的能力。面對層層風險，防火墻可不斷升級變化。它不僅在升級后的條件下正常工作，還具有實際的優(yōu)勢。如果防火墻程序從一個小的操作系統(tǒng)轉(zhuǎn)向一個大操作系統(tǒng)，并在性能方面有所改善以及能處理更多數(shù)量用戶，那么它是可升級的。

4企業(yè)常見的網(wǎng)絡攻擊4.1SQL注入注射SQL（“SQL”）是一種用于執(zhí)行惡意SQL指令的注射攻擊。這樣，進攻者就可以完全控制Web應用程序后面的數(shù)據(jù)庫服務器。進攻者可以通過SQL注入漏洞繞過應用程序的安全性。他們可以通過繞過Web頁或認證和L檢索SQL數(shù)據(jù)庫的所有內(nèi)容。授權Web應用程序；SQL注入也可用于添加、修改和刪除記錄的數(shù)據(jù)庫。SQL注入故障可能影響使用SQL數(shù)據(jù)庫的任何網(wǎng)站或應用程序，如mysql、Oracle、SQLserver或其他。罪犯可以在未經(jīng)授權的情況下訪問用戶的敏感數(shù)據(jù):客戶信息、個人數(shù)據(jù)、商業(yè)秘密。針對SQL的ip等注入攻擊是Web應用程序中最古老、最常見和最危險的缺陷之一。4.2網(wǎng)絡釣魚網(wǎng)絡釣魚是一種利用敏感手段獲取敏感個人信息的攻擊，如密碼、信用卡信息等。網(wǎng)絡釣魚攻擊的目的是誘使收件人訪問與目標組織的網(wǎng)站非常相似的網(wǎng)絡釣魚網(wǎng)站，并獲取在該網(wǎng)站上輸入的敏感個人信息。一般來說，受害者在攻擊過程中沒有得到警告。這種個人信息對黑客來說是很有趣的，因為它使他們能夠捏造金融詐騙來欺騙受害者以獲得經(jīng)濟利益。受害者往往遭受巨大的經(jīng)濟損失或所有的個人信息被竊取和用于犯罪目的。4.3分布式拒絕服務分布式服務拒絕攻擊通過大量的合法請求吸收了網(wǎng)絡的大部分資源，從而使網(wǎng)絡癱瘓，其目的是利用客戶機/服務器技術將多個計算機組合成一個攻擊平臺，并對一個網(wǎng)絡進行背部攻擊。一般來說，襲擊者使用被盜帳戶在計算機上安裝DDOS主程序。主機程序?qū)⑴c安裝在許多網(wǎng)絡計算機上的大量代理人進行通信。代理人已被命令發(fā)動攻擊。使用客戶端服務器技術，主機程序可以在幾秒鐘內(nèi)激活數(shù)百或數(shù)千名代理人。4.4RootkitRootkit是一種特殊類型的惡意軟件。它基本上是無法檢測到的，而且?guī)缀醪豢赡軇h除它們。盡管檢測工具在增加，但惡意軟件開發(fā)人員一直在尋找新的方法來掩蓋自己的足跡。它通過阻止用戶識別和刪除惡意軟件來實現(xiàn)這一點。Rootkit可以隱藏幾乎所有的軟件，包括文件服務器、鍵盤記錄器等。

5企業(yè)網(wǎng)絡安全管理中防火墻技術的應用5.1防火墻復合技術的應用秉承立體保護的概念，防火墻功能允許在遇到網(wǎng)絡攻擊之前自定義安全策略。將入侵檢測功能用于在攻擊過程中進行預防和警報，并輔以日志記錄系統(tǒng)以在攻擊后完成分析。在事件發(fā)生之前，之中和之后都獲得全面的保護。然后使用虛擬專用網(wǎng)絡功能將安全性進一步擴展到傳輸和數(shù)據(jù)過程。它還介紹了安全評估的概念，主動對網(wǎng)絡進行了模擬攻擊，并測試了整個網(wǎng)絡的安全性。良好的分級機制可確保隨著技術的進步可以不斷改善整個安全系統(tǒng)。簡而言之，復合防火墻涵蓋了網(wǎng)絡的整個空間和時間范圍，并且可以保護主動和被動方面，以實現(xiàn)完全的安全性。作為關鍵的網(wǎng)絡設備，復合防火墻對其穩(wěn)定性提出了嚴格的要求。復合防火墻采用高度集成的工業(yè)級硬件設計，以適應各種復雜的環(huán)境條件。在出廠之前，每個防火墻都已在獨特的“InternetHurricane”高壓網(wǎng)絡環(huán)境中經(jīng)過滿負載100小時的測試，以確保產(chǎn)品萬無一失。5.2防火墻中代理服務器技術的應用代理技術是防火墻技術中的一種高安全技術，在應用層應用較多。代理服務器位于客戶端和服務器之間。只允許代理服務通過，所有其他服務都被完全阻止。從外部看，只能看到代理服務器，而不能看到內(nèi)部資源。代理防火墻能夠有效地屏蔽連接的源地址，從而有效地防止拒絕服務攻擊，防止網(wǎng)絡入侵者利用一些檢測工具來檢測網(wǎng)絡結構。代理服務器還可以篩選協(xié)議，以確保用戶無法將文件寫入匿名服務器。代理服務器能夠?qū)脤舆M行檢測和分析，對基于應用的入侵和病毒攻擊非常有效。代理防火墻的缺點是它對系統(tǒng)的整體性能有很大的影響。需要為客戶端生成的各種應用定義代理服務器并建立相應的網(wǎng)關層，這大大增加了系統(tǒng)管理的復雜性。5.3防火墻中包過濾技術的應用包過濾防火墻技術作為一種安全控制技術，應用簡單，效果顯著。它通過建立規(guī)則來限制數(shù)據(jù)包在網(wǎng)絡中的傳輸。我們可以限制包含特定源或目標地址的特定數(shù)據(jù)包?；蜃柚勾祟悢?shù)據(jù)包通過并為其建立規(guī)則。通過建立這些規(guī)則，包過濾技術的主要優(yōu)點是可以在網(wǎng)絡之間起到安全檢查的作用。它能迅速形成對整個網(wǎng)絡系統(tǒng)的保護。在過濾過程中，數(shù)據(jù)包對用戶完全透明，效率高，過濾速度很低。該安全控制技術應用于wi的網(wǎng)絡層和傳輸層之間。只能采取初步的安全預防措施。對于高級攻擊方法，無法防御。應用了代理防火墻技術。建立了這種防火墻技術，在（WI）的最高應用程序?qū)蛹墑e過濾數(shù)據(jù)是為了為特定的網(wǎng)絡應用程序服務制定安全規(guī)則，以提供數(shù)據(jù)保護。對于特定對象（例如服務器）非常重要，并有效拒絕支持網(wǎng)絡地址的未經(jīng)請求的代理服務。相互轉(zhuǎn)換（NAT）Nat具有幾種常見的代理服務應用程序，例如一對一和多對多。簡而言之，這種防火墻技術的最大特點是完全阻止了網(wǎng)絡通信流中的數(shù)據(jù)。編譯后的代理程序執(zhí)行監(jiān)督和控制的角色。

6防火墻技術設計6.1防火墻的安全網(wǎng)絡架構在此次的設計任務中，最需要關注的是對于防火墻制定策略進行配置。在用戶使用網(wǎng)絡時，可以根據(jù)自身的需求對于資源設置訪問控制。而這里的資源指的是對于網(wǎng)絡進行配置中的定義的對象。對于經(jīng)過防火墻的數(shù)據(jù)來說，用戶需要進性篩查，利用自己的定義的規(guī)則進行檢查。下圖為防火墻的可以采取的策略：圖6-1防火墻安全策略功能圖6.2防火墻策略配置實現(xiàn)及主要配置網(wǎng)絡配置包括多個部分的內(nèi)容，首先是對于安全域來說，安全域主要是用來對于訪問控制進行設置，并且要在安全域內(nèi)進行設置。網(wǎng)絡配置還包含了接口設置，接口設置主要是對于網(wǎng)絡地址是否允許其他的服務設定。在網(wǎng)絡配置中還需要對于域名服務器進行設置。對于路由設置來說，路由設置的功能是如何對于防火墻的附近的網(wǎng)絡進行有效的設置。對于DHCP來說，它的服務功能的實現(xiàn)需要利用其他的DHCP服務器來進行對于IP地址進行劃分，而在DHCP中，DCFW-1800還沒有掌握直接分配IP的方法。6.3核心三層交換機的安全網(wǎng)絡架構對于子網(wǎng)絡來說，如果存在較大的相關性，就會對于網(wǎng)絡的整體性產(chǎn)生影響。一部分的子網(wǎng)絡如果被病毒入侵，那么其他的網(wǎng)絡部分也會受到影響。因此需要不斷降低在網(wǎng)絡之間的關聯(lián)性。網(wǎng)絡大概能夠分成三個部分，第一個部分是核心層，第二個是匯聚層，第三個是接入層。核心層自然是在網(wǎng)絡里面起著核心的作用。它主要是用來連接各個節(jié)點，它具有以下三個功能：l)連接各個部分之間的網(wǎng)絡；2)對于訪問的權限提供至廣域網(wǎng)區(qū)域；3)提高數(shù)據(jù)包的交換速度。圖6-2核心三層交換機策略結論總體而言，當前中國計算機網(wǎng)絡的應用正在不斷擴大。這種情況與計算機網(wǎng)絡和社會的發(fā)展緊密相關。通過計算機網(wǎng)絡的安全運行，可以有效地確保對人類生命的保護和財產(chǎn)安全。在這種情況下，有必要有效地提高對計算機網(wǎng)絡安全問題的認識，同時應用科學合理的防火墻技術，并同時進行升級。并根據(jù)社會發(fā)展的具體需要進行更新，以改善健康狀況。營造了良好的計算機網(wǎng)絡環(huán)境，使整個計算機網(wǎng)絡的健康和安全得到有效保障。未來，對防火墻應該朝多級化多功能的復合型的方向發(fā)展，特別是深度檢