论文部分内容阅读
摘要:在互联网高速发展的今天,网络的安全使用已成为企业信息化管理和正常发展的重要保证。本文基于下一代防火墙技术,对企业网络安全的设计与实现进行研究,首先介绍研究的背景及意义;然后传统防火墙的缺陷;接着对下一代防火墙进行特性分析并进行了安全策略研究及方案部署。
关键词:下一代防火墙 网络安全 安全策略
一、 论文综述
(一)背景
随着互联网发展,企业加大了信息化的建设投入,以此提高企业的竞争力。企业的网络规模越来越大,网上业务越来越重要,网络的安全问题也越来越突出。
传统防火墙是保障企业网络安全的重要手段,也是目前应用最广的安全产品。防火墙通过硬件或软件形式,控制企业与外部网络的信息传输,根据用户需求,制定不同的安全策略,有效针对外部网络对企业内部网络的非法访问,防止企业内部资料遭到窃取。防火墙也可以控制企业内部网络对外部网络的访问,防止员工进行不安全的网络活动。
(二)传统防火墙的缺陷
传统防火墙用以下几种方式进行报文过滤:
(1) 防火墙以端口作为依据控制报文的访问。根据报文的协议、源端口、目的端口来判断网络服务。例如防火墙收到80端口的TCP报文,判断为HTTP服务。
(2)防火墙以IP地址作为依据,控制报文的访问。
(3)防火墙以五元组作为依据,定义一条网络流。防火墙通过源IP、目的IP、源端口、目的端口、报文协议共五项数据来划分网络流。同一条网络流的所有报文的安全性是一致的。防火墙只对一条网络流的首个报文进行合法性检查,首个报文通过后,建立会话,后续的报文通过会话进行转发,无需重复检查,提高转发效率。
随着网络发展,传统的防火墙已经无法满足新的安全需求,无法良好的应对基于应用协议的攻击。
在新的网络应用中出现了各种P2P软件,通过非知名端口或随机端口进行通信。传统防火墙通过端口识别的方式无法有效识别非法程序。
传统防火墙以五元组作为依据定义一条网络流安全性的方式虽然效率高,但是却缺少对流量持续的安全防护,攻击者可以在一次正常的访问中植入木马与病毒。
VPN技术在企业中的应用十分广泛,但传统防火墙无法检测加密后的报文,容易被加密后的数据绕过,是一个很大的安全隐患。
二、下一代防火墙
(一) 下一代防火墙简介
由于以被动防御为主的传统防火墙,无法良好应对基于应用协议的攻击,所以已经无法满足企业新的网络安全需求。企业在发展信息化的过程中,需要网络的稳定运行,又需要对业务流量有足够的控制能力,于是就出现了以主动防御为主的新产品——下一代防火墙(Next Generation Firewall,简称NGFW)。NGFW在传统五元组上加入了应用和用户,以七元组作为依据,为企业制定安全策略。NGFW具备传统防火墙功能的同时融合了入侵防御系统的能力,通过全新的高性能引擎技术,提供了应用内容识别能力。
(二) 下一代防火墻特性分析
NGFW提供了两种先进的机制完善了应用层和内容识别的安全防护能力:
(1)一次扫描,对报文进行一次扫描,通过全新的高性能引擎,提取报文数据,智能识别出流量的应用类型、报文的内容、存在的网络威胁。
(2)实时检测,通过全新的高性能引擎,实时检测流量传输过程中的报文,实时阻拦不安全报文,持续保障网络安全。
三、基于下一代防火墙的企业网络安全方案
(一)迁移注意事项
企业目前使用的安全方案是传统防火墙、入侵检测设备、防病毒设备等多种安全产品的组合。由于现有的设备部署了大量的安全策略,所以在现有的环境直接将安全产品替换为下一代防火墙会对企业的网络服务造成很大的影响,一旦出现差错,会造成企业出现不可逆的损失。所以在迁移过程中,我们一定要注意以下事项:
(1)注意产品的兼容性。最好选购与原有防火墙同一厂家的新设备。防止设备不兼容造成网络的不稳定。同时网络管理员熟悉同一厂商的配置命令,迁移服务时的效率更高。
(2)逐步迁移,减少影响。不可以一次性将全部服务转移到新设备上,逐步迁移能控制风险,降低出错的概率,减少出错造成的损失。
(二)部署方案
1部署在三层的初始化配置
这种场景下的下一代防火墙工作在网络层(如下图1),作为网络层的网关,实现内部网络与外部网络的安全防护。需要对NGFW进行以下初始化配置:
(1)在NGFW上运行原有网关设备上有关于网络层协议的全部配置,例如IP地址的配置、路由协议的配置,尽量避免修改周边连接设备,影响整个网络拓扑。
(2)配置NAT,进行内网地址与外网地址的转换,保证内外网互通的同时,可以将内网地址隐藏,起到安全防护作用。
2部署在二层的初始化配置
这种场景下的下一代防火墙工作在数据链路层(如下图2),以透明网桥的方式加入网络,无需改变网络拓扑,基于MAC地址对流量进行控制。需要对NGFW进行以下初始化配置:
(1)配置二层接口为Trunk模式,允许VLAN100与VLAN200的流量。
(2)预留接口与三层连接,用作管理口,保证管理员可以登录设备进行后期的升级维护。为三层接口创建VLAN子接口,分别加入VLAN100、VLAN200。
3 安全策略
(1)双机热备,两台防火墙互相备份,在一台防火墙出现问题后,另一台防火墙自动接替工作,保证网络正常运行,提高网络可靠性。
(2)防病毒功能,防止内网用户下载病毒文件、外网用户上传病毒文件到企业内网。
(3)入侵防御功能,检测外网入侵行为则阻断连接,内网用户访问外网恶意网页则阻断连接。
四、 总结
下一代防火墙用一台设备集成了防火墙、IPS等多种安全功能,降低了企业维护安全设备的难度,降低了企业网络安全的维护成本,并能有效应对传统防火墙无法解决的问题。使用下一代防火墙,制定有效的安全策略,提升企业网络安全水平,能有效保障企业利益不受侵害。
参考文献:
[1]喻晓. 企业网络的优化与安全[J]. 信息网络安全, 2010(9):46-47.
[2]张铁志. 网站服务器安全维护探讨[J]. 通讯世界, 2015, 000(007):262-263.
[3]梅梦. 以防火墙技术为核心的网络安全架构[J]. 硅谷, 2013, 000(006):47-47.
作者简介:
廖伟国,男 ,工程硕士,华南农业大学珠江学院,讲师,主要研究方向:计算机网络、计算机科学与技术。
项目名称:广东省高等教育教学研究和改革项目《“移动互联网+”环境下的微信公众平台在高校课程教学中的应用探索与实践》
关键词:下一代防火墙 网络安全 安全策略
一、 论文综述
(一)背景
随着互联网发展,企业加大了信息化的建设投入,以此提高企业的竞争力。企业的网络规模越来越大,网上业务越来越重要,网络的安全问题也越来越突出。
传统防火墙是保障企业网络安全的重要手段,也是目前应用最广的安全产品。防火墙通过硬件或软件形式,控制企业与外部网络的信息传输,根据用户需求,制定不同的安全策略,有效针对外部网络对企业内部网络的非法访问,防止企业内部资料遭到窃取。防火墙也可以控制企业内部网络对外部网络的访问,防止员工进行不安全的网络活动。
(二)传统防火墙的缺陷
传统防火墙用以下几种方式进行报文过滤:
(1) 防火墙以端口作为依据控制报文的访问。根据报文的协议、源端口、目的端口来判断网络服务。例如防火墙收到80端口的TCP报文,判断为HTTP服务。
(2)防火墙以IP地址作为依据,控制报文的访问。
(3)防火墙以五元组作为依据,定义一条网络流。防火墙通过源IP、目的IP、源端口、目的端口、报文协议共五项数据来划分网络流。同一条网络流的所有报文的安全性是一致的。防火墙只对一条网络流的首个报文进行合法性检查,首个报文通过后,建立会话,后续的报文通过会话进行转发,无需重复检查,提高转发效率。
随着网络发展,传统的防火墙已经无法满足新的安全需求,无法良好的应对基于应用协议的攻击。
在新的网络应用中出现了各种P2P软件,通过非知名端口或随机端口进行通信。传统防火墙通过端口识别的方式无法有效识别非法程序。
传统防火墙以五元组作为依据定义一条网络流安全性的方式虽然效率高,但是却缺少对流量持续的安全防护,攻击者可以在一次正常的访问中植入木马与病毒。
VPN技术在企业中的应用十分广泛,但传统防火墙无法检测加密后的报文,容易被加密后的数据绕过,是一个很大的安全隐患。
二、下一代防火墙
(一) 下一代防火墙简介
由于以被动防御为主的传统防火墙,无法良好应对基于应用协议的攻击,所以已经无法满足企业新的网络安全需求。企业在发展信息化的过程中,需要网络的稳定运行,又需要对业务流量有足够的控制能力,于是就出现了以主动防御为主的新产品——下一代防火墙(Next Generation Firewall,简称NGFW)。NGFW在传统五元组上加入了应用和用户,以七元组作为依据,为企业制定安全策略。NGFW具备传统防火墙功能的同时融合了入侵防御系统的能力,通过全新的高性能引擎技术,提供了应用内容识别能力。
(二) 下一代防火墻特性分析
NGFW提供了两种先进的机制完善了应用层和内容识别的安全防护能力:
(1)一次扫描,对报文进行一次扫描,通过全新的高性能引擎,提取报文数据,智能识别出流量的应用类型、报文的内容、存在的网络威胁。
(2)实时检测,通过全新的高性能引擎,实时检测流量传输过程中的报文,实时阻拦不安全报文,持续保障网络安全。
三、基于下一代防火墙的企业网络安全方案
(一)迁移注意事项
企业目前使用的安全方案是传统防火墙、入侵检测设备、防病毒设备等多种安全产品的组合。由于现有的设备部署了大量的安全策略,所以在现有的环境直接将安全产品替换为下一代防火墙会对企业的网络服务造成很大的影响,一旦出现差错,会造成企业出现不可逆的损失。所以在迁移过程中,我们一定要注意以下事项:
(1)注意产品的兼容性。最好选购与原有防火墙同一厂家的新设备。防止设备不兼容造成网络的不稳定。同时网络管理员熟悉同一厂商的配置命令,迁移服务时的效率更高。
(2)逐步迁移,减少影响。不可以一次性将全部服务转移到新设备上,逐步迁移能控制风险,降低出错的概率,减少出错造成的损失。
(二)部署方案
1部署在三层的初始化配置
这种场景下的下一代防火墙工作在网络层(如下图1),作为网络层的网关,实现内部网络与外部网络的安全防护。需要对NGFW进行以下初始化配置:
(1)在NGFW上运行原有网关设备上有关于网络层协议的全部配置,例如IP地址的配置、路由协议的配置,尽量避免修改周边连接设备,影响整个网络拓扑。
(2)配置NAT,进行内网地址与外网地址的转换,保证内外网互通的同时,可以将内网地址隐藏,起到安全防护作用。
2部署在二层的初始化配置
这种场景下的下一代防火墙工作在数据链路层(如下图2),以透明网桥的方式加入网络,无需改变网络拓扑,基于MAC地址对流量进行控制。需要对NGFW进行以下初始化配置:
(1)配置二层接口为Trunk模式,允许VLAN100与VLAN200的流量。
(2)预留接口与三层连接,用作管理口,保证管理员可以登录设备进行后期的升级维护。为三层接口创建VLAN子接口,分别加入VLAN100、VLAN200。
3 安全策略
(1)双机热备,两台防火墙互相备份,在一台防火墙出现问题后,另一台防火墙自动接替工作,保证网络正常运行,提高网络可靠性。
(2)防病毒功能,防止内网用户下载病毒文件、外网用户上传病毒文件到企业内网。
(3)入侵防御功能,检测外网入侵行为则阻断连接,内网用户访问外网恶意网页则阻断连接。
四、 总结
下一代防火墙用一台设备集成了防火墙、IPS等多种安全功能,降低了企业维护安全设备的难度,降低了企业网络安全的维护成本,并能有效应对传统防火墙无法解决的问题。使用下一代防火墙,制定有效的安全策略,提升企业网络安全水平,能有效保障企业利益不受侵害。
参考文献:
[1]喻晓. 企业网络的优化与安全[J]. 信息网络安全, 2010(9):46-47.
[2]张铁志. 网站服务器安全维护探讨[J]. 通讯世界, 2015, 000(007):262-263.
[3]梅梦. 以防火墙技术为核心的网络安全架构[J]. 硅谷, 2013, 000(006):47-47.
作者简介:
廖伟国,男 ,工程硕士,华南农业大学珠江学院,讲师,主要研究方向:计算机网络、计算机科学与技术。
项目名称:广东省高等教育教学研究和改革项目《“移动互联网+”环境下的微信公众平台在高校课程教学中的应用探索与实践》