论文部分内容阅读
[摘 要]结合施工企业的自身的现状和特点,建立具有企业特色的网络安全防护体系,讨论防火墙技术在网络安全体系中的重要性、分类、主要特征及优缺点,并阐述企业特色防火墙的选择及应用。
[关键词]施工企业 网络安全 防火墙
中图分类号:TP 文献标识码:A 文章编号:1009-914X(2018)21-0355-01
引言
在飞速发展的信息时代,当前世界正经历一场变革。全球展开的信息和信息技术革命,正以前所未有的方式对社会变革的方向起着决定作用,加速信息社会在全球的实现。网络技术的不断完善及成熟,更为这场时代变革提供了助力保障。然而网络在为我们工作提供便利的同时,在安全方面也存在诸多不安全的因素。如何建立对企业网络进行有效的安全防护方案,成为我们关心的重点问题。
1企业简介
中交一航局第五工程有限公司是隶属于中国交通建设股份有限公司的三级子公司,公司成立于1974年,是在祖国建港大潮中成长起来的筑港劲旅、行业先锋。
作为典型的施工企业,项目地域跨度大,从鸭绿江畔到南海之滨,从长江三峡到伶仃洋畔,从渤海湾到红海沿岸,施工区域涉及国内19个省市自治区直辖市,国外项目遍布于亚洲、非洲的7个国家和地区。企业承建项目包括港口、码头、铁路、公路等关系国家民生的基础设施建设。
2 防火墙技术简介
(一)配备防火墙的必要性
防火墙设备掌控系统的端口,负责对进出的应用程序所发出的数据包进行身份核实,对不明的程序想要进入系统或连出网络,都会在第一时间拦截并检查身份,这不仅极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险;同时,防火墙可以隐藏系统的端口,使得黑客无法攻击,这是各类杀毒软件不能做到。
(二)防火墙技术分类、主要特征及优缺点
1、分类:
防火墙技术的分类主要包括包过滤型防火墙、应用代理型防火墙两类。
2、主要特征及优缺点
(1)包过滤防火墙一般作用在网络层,又被称为网络防火墙。它的工作原理是通过对数据包的IP头、TCP头或UDP头进行过滤来实施网络控制。从时间上划分这类防火墙分可为两类,为第一代静态包过滤类型防火墙和第二代动态包过滤类型防火墙。包过滤防火墙的优点是能有效地控制站点访问、保护易受攻击服务,且简单、价廉;缺点是只能作用于网络层和运输层,不能防止伪装,缺乏可审核性。
(2)应用代理型防火墙通常由两部分构成,服务器端程序和客户端程序。它的工作原理是通过一种代理(Proxy)技术处理内部网络发出的数据包来参与到一个TCP连接的全过程,达到隐藏内部网结构的目的。从时间上划分这类防火墙可分为两类,为第一代应用层网关防火墙和第二代自适应代理防火墙。相比包过滤型防火墙,應用代理型防火墙最大的优点是安全,对应用层的侵入和病毒防范十分有效;最大缺点是运行速度相对比较慢,管理复杂。
3 防火墙技术的应用背景及需求
原来公司网络情况为网络中接入具有简单路由功能的防火墙设备,仅提供了允许特定 IP 地址访问的基本防火墙功能,但却不能判断访问者的IP的来去方向;同时,其本身也存在明显的安全漏洞,各类信息在网络中是以明文方式传送的,这使得访问者可“假冒”内网地址对内网进行访问,使得探寻内部网络变得轻而易举,这对于办公网络而言缺陷明显,风险甚广。
随着网络办公的不断普及化,办公网提供的业务系统越来越丰富,如何提升网络安全防护水平,营造健康、稳定的网络安全办公环境成为我们亟待解决的问题。在严峻的安全形势下,公司急需寻找能够提供安全防护的安全设备来全面提升办公网的安全防护能力。
4 防火墙技术应用建设内容
为保障网络运行的稳定性与安全性,业务系统访问的保密性与流畅性,局总部通过搭建SDH专线提供网络保障,实现了局总部-公司总部-项目公司三级虚拟网络通道的架构,网络承载视频会议、一航局oa办公平台、广讯通通信系统、项目管理系统、电子邮件系统等重要业务,避免业务系统在公网下进行访问,降低了网络安全风险。
鉴于局总部网络搭建的特点,综合多方面考虑,对公司及所属项目公司积极调研,对自身网络、业务特点、要求进行系统的分析,对各类品牌的防火墙自身的安全性、防御能力、运维管理、稳定性、性能、服务响应能力及性价比等诸多因素进行合理化评估,保障局总部-公司总部-项目公司正常使用核心业务系统数据,满足公司及所属项目公司日常工作开展,在先进性、可用性、经济型、扩展性等多因素考虑下,最终选择深信服下一代防火墙(NGAF)。
公司选择深信服下一代防火墙(NGAF)技术安全方案,选定功能模块集成安全防护、认证系统、内容安全、防病毒网关、流量管理、信息防泄露、IPS-VPN等实现安全组网、访问控制、安全威胁、带宽保障、安全管理,组成L2-L7层立体安全防御体系,实现广域网安全组网、广域网流量清洗的防护效果,确保广域网高安全和高畅通。通过内置安全防护模块有效防止来自外部的漏洞攻击、注入类攻击、恶意插件、数据窃取等攻击的威胁;通过内置认证系统模块对内网中的上网用户进行统一管理,设置内网上网用户认证策略;通过内置内容安全模块在应用控制策略、内容安全策略、僵尸网络的内容安全进行限制、管控;通过内置防病毒网关模块在网关处对病毒木马在线查杀,对防范蠕虫、黑客等安全威胁进行流量清洗,实现双向的安全防护。通过内置流量管理模块对各种上网应用的流量大小进行控制,限制用户组/用户上下行总带宽及各种应用的带宽,建立流量子通道,对通道流量做更为细化的分配。通过内置信息防泄漏模块在有效抵御互联网攻击,能检测到内部外发数据是否携带了敏感信息,当设备检测流量携带敏感信息时会自动下发防护策略,阻断信息的发送,同时设备记录每条涉及敏感信息请求的访问日志,便于随时查询;通过内置IPSEC?VPN模块实现广域网一体化安全组网,为局总部-公司总部-项目公司之间业务系统传输搭建起高速、加密的传输通道保证专网的安全,同时公司总部及各项目公司部署相关的防火墙设备为组织单位的内网及VPN专网提供安全防护。
5防火墙技术应用的特点与价值
公司目前拥有分公司、项目公司三十余个,工程项目多、地域分布广使得网络化办公是必然选择,因此建立一套完整的安全体系保证网络运行安全成为我们关心的重要问题。选择适合自身企业的防火墙作为防护堡垒意义重大。
公司通过部署防火墙,在互联网的出口建立一套L2-L7层的全面安全防护体系,实现公司总部与下级单位的互联互通,保障业务系统的安全;有效防止来自外部的蠕虫、木马、病毒、黑客、漏洞攻击、注入类攻击、恶意插件、数据窃取等攻击的威胁;同时,保障网络环境安全可靠前提下实现广域网流量清洗,可视化的流量带宽的调度,内部人员及访问内容的管控,网络安全状况一目了然,简化管理运维成本,实现了最优投资回报。
6结束语
随着公司信息化建设的蓬勃发展和项目版图的不断扩大,分布在世界各地的所属项目公司面临着访问公司总部业务系统的需求,无疑从网络安全、应用安全到业务数据安全等方面提升了广域网的运维和管理的要求。防火墙技术是目前采用最广泛、最为行之有效的网络运维、安全防护技术,通过防火墙技术构建网络安全建设方案,保障业务系统在互联网下运行稳定、安全、高效与公司关联更加密切。
[关键词]施工企业 网络安全 防火墙
中图分类号:TP 文献标识码:A 文章编号:1009-914X(2018)21-0355-01
引言
在飞速发展的信息时代,当前世界正经历一场变革。全球展开的信息和信息技术革命,正以前所未有的方式对社会变革的方向起着决定作用,加速信息社会在全球的实现。网络技术的不断完善及成熟,更为这场时代变革提供了助力保障。然而网络在为我们工作提供便利的同时,在安全方面也存在诸多不安全的因素。如何建立对企业网络进行有效的安全防护方案,成为我们关心的重点问题。
1企业简介
中交一航局第五工程有限公司是隶属于中国交通建设股份有限公司的三级子公司,公司成立于1974年,是在祖国建港大潮中成长起来的筑港劲旅、行业先锋。
作为典型的施工企业,项目地域跨度大,从鸭绿江畔到南海之滨,从长江三峡到伶仃洋畔,从渤海湾到红海沿岸,施工区域涉及国内19个省市自治区直辖市,国外项目遍布于亚洲、非洲的7个国家和地区。企业承建项目包括港口、码头、铁路、公路等关系国家民生的基础设施建设。
2 防火墙技术简介
(一)配备防火墙的必要性
防火墙设备掌控系统的端口,负责对进出的应用程序所发出的数据包进行身份核实,对不明的程序想要进入系统或连出网络,都会在第一时间拦截并检查身份,这不仅极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险;同时,防火墙可以隐藏系统的端口,使得黑客无法攻击,这是各类杀毒软件不能做到。
(二)防火墙技术分类、主要特征及优缺点
1、分类:
防火墙技术的分类主要包括包过滤型防火墙、应用代理型防火墙两类。
2、主要特征及优缺点
(1)包过滤防火墙一般作用在网络层,又被称为网络防火墙。它的工作原理是通过对数据包的IP头、TCP头或UDP头进行过滤来实施网络控制。从时间上划分这类防火墙分可为两类,为第一代静态包过滤类型防火墙和第二代动态包过滤类型防火墙。包过滤防火墙的优点是能有效地控制站点访问、保护易受攻击服务,且简单、价廉;缺点是只能作用于网络层和运输层,不能防止伪装,缺乏可审核性。
(2)应用代理型防火墙通常由两部分构成,服务器端程序和客户端程序。它的工作原理是通过一种代理(Proxy)技术处理内部网络发出的数据包来参与到一个TCP连接的全过程,达到隐藏内部网结构的目的。从时间上划分这类防火墙可分为两类,为第一代应用层网关防火墙和第二代自适应代理防火墙。相比包过滤型防火墙,應用代理型防火墙最大的优点是安全,对应用层的侵入和病毒防范十分有效;最大缺点是运行速度相对比较慢,管理复杂。
3 防火墙技术的应用背景及需求
原来公司网络情况为网络中接入具有简单路由功能的防火墙设备,仅提供了允许特定 IP 地址访问的基本防火墙功能,但却不能判断访问者的IP的来去方向;同时,其本身也存在明显的安全漏洞,各类信息在网络中是以明文方式传送的,这使得访问者可“假冒”内网地址对内网进行访问,使得探寻内部网络变得轻而易举,这对于办公网络而言缺陷明显,风险甚广。
随着网络办公的不断普及化,办公网提供的业务系统越来越丰富,如何提升网络安全防护水平,营造健康、稳定的网络安全办公环境成为我们亟待解决的问题。在严峻的安全形势下,公司急需寻找能够提供安全防护的安全设备来全面提升办公网的安全防护能力。
4 防火墙技术应用建设内容
为保障网络运行的稳定性与安全性,业务系统访问的保密性与流畅性,局总部通过搭建SDH专线提供网络保障,实现了局总部-公司总部-项目公司三级虚拟网络通道的架构,网络承载视频会议、一航局oa办公平台、广讯通通信系统、项目管理系统、电子邮件系统等重要业务,避免业务系统在公网下进行访问,降低了网络安全风险。
鉴于局总部网络搭建的特点,综合多方面考虑,对公司及所属项目公司积极调研,对自身网络、业务特点、要求进行系统的分析,对各类品牌的防火墙自身的安全性、防御能力、运维管理、稳定性、性能、服务响应能力及性价比等诸多因素进行合理化评估,保障局总部-公司总部-项目公司正常使用核心业务系统数据,满足公司及所属项目公司日常工作开展,在先进性、可用性、经济型、扩展性等多因素考虑下,最终选择深信服下一代防火墙(NGAF)。
公司选择深信服下一代防火墙(NGAF)技术安全方案,选定功能模块集成安全防护、认证系统、内容安全、防病毒网关、流量管理、信息防泄露、IPS-VPN等实现安全组网、访问控制、安全威胁、带宽保障、安全管理,组成L2-L7层立体安全防御体系,实现广域网安全组网、广域网流量清洗的防护效果,确保广域网高安全和高畅通。通过内置安全防护模块有效防止来自外部的漏洞攻击、注入类攻击、恶意插件、数据窃取等攻击的威胁;通过内置认证系统模块对内网中的上网用户进行统一管理,设置内网上网用户认证策略;通过内置内容安全模块在应用控制策略、内容安全策略、僵尸网络的内容安全进行限制、管控;通过内置防病毒网关模块在网关处对病毒木马在线查杀,对防范蠕虫、黑客等安全威胁进行流量清洗,实现双向的安全防护。通过内置流量管理模块对各种上网应用的流量大小进行控制,限制用户组/用户上下行总带宽及各种应用的带宽,建立流量子通道,对通道流量做更为细化的分配。通过内置信息防泄漏模块在有效抵御互联网攻击,能检测到内部外发数据是否携带了敏感信息,当设备检测流量携带敏感信息时会自动下发防护策略,阻断信息的发送,同时设备记录每条涉及敏感信息请求的访问日志,便于随时查询;通过内置IPSEC?VPN模块实现广域网一体化安全组网,为局总部-公司总部-项目公司之间业务系统传输搭建起高速、加密的传输通道保证专网的安全,同时公司总部及各项目公司部署相关的防火墙设备为组织单位的内网及VPN专网提供安全防护。
5防火墙技术应用的特点与价值
公司目前拥有分公司、项目公司三十余个,工程项目多、地域分布广使得网络化办公是必然选择,因此建立一套完整的安全体系保证网络运行安全成为我们关心的重要问题。选择适合自身企业的防火墙作为防护堡垒意义重大。
公司通过部署防火墙,在互联网的出口建立一套L2-L7层的全面安全防护体系,实现公司总部与下级单位的互联互通,保障业务系统的安全;有效防止来自外部的蠕虫、木马、病毒、黑客、漏洞攻击、注入类攻击、恶意插件、数据窃取等攻击的威胁;同时,保障网络环境安全可靠前提下实现广域网流量清洗,可视化的流量带宽的调度,内部人员及访问内容的管控,网络安全状况一目了然,简化管理运维成本,实现了最优投资回报。
6结束语
随着公司信息化建设的蓬勃发展和项目版图的不断扩大,分布在世界各地的所属项目公司面临着访问公司总部业务系统的需求,无疑从网络安全、应用安全到业务数据安全等方面提升了广域网的运维和管理的要求。防火墙技术是目前采用最广泛、最为行之有效的网络运维、安全防护技术,通过防火墙技术构建网络安全建设方案,保障业务系统在互联网下运行稳定、安全、高效与公司关联更加密切。