【防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用5900字（論文）】

防火墻技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用研究目錄TOC\o"1-3"\h\u121411前言 1276242防火墻概述 1153742.1防火墻工作原理 1101872.2防火墻的功能 2187502.2.1確定所需的防火墻類型 229012.2.2包過濾防火墻 252282.2.3應(yīng)用代理 27672.2.4安全管理 3291663防火墻的安全性和可靠性分析 3114213.1支持平臺 3327193.2抗攻擊性 3285223.3防火墻自身的安全 3195123.4完整的安全檢查 3157103.5防火墻的可擴(kuò)展性 4296733.6防火墻的可升級 441564企業(yè)常見的網(wǎng)絡(luò)攻擊 486004.1SQL注入 420394.2網(wǎng)絡(luò)釣魚 4238604.3分布式拒絕服務(wù) 5320974.4Rootkit 5210865企業(yè)網(wǎng)絡(luò)安全管理中防火墻技術(shù)的應(yīng)用 5131285.1防火墻復(fù)合技術(shù)的應(yīng)用 5121875.2防火墻中代理服務(wù)器技術(shù)的應(yīng)用 6249295.3防火墻中包過濾技術(shù)的應(yīng)用 630746防火墻技術(shù)設(shè)計 7286016.1防火墻的安全網(wǎng)絡(luò)架構(gòu) 7285346.2防火墻策略配置實現(xiàn)及主要配置 7119086.3核心三層交換機(jī)的安全網(wǎng)絡(luò)架構(gòu) 814775結(jié)論 930077參考文獻(xiàn) 101前言隨著網(wǎng)絡(luò)時代的不斷飛躍式發(fā)展，人們在充分依賴網(wǎng)絡(luò)的同時，網(wǎng)絡(luò)安全意識也在不斷隨之增加?，F(xiàn)如今，幾乎每家每戶都安裝有電腦，同時學(xué)會使用防火墻技術(shù)來保證自己網(wǎng)絡(luò)使用的安全。但是隨之的，網(wǎng)絡(luò)黑客技術(shù)也仍在不斷發(fā)展，病毒木馬等網(wǎng)絡(luò)病毒對電腦以及人們隱私的侵害，依舊是當(dāng)前普遍存在的問題。隨著網(wǎng)絡(luò)時代的演變，網(wǎng)絡(luò)攻擊模式正在演變，網(wǎng)絡(luò)病毒也在加劇。面對當(dāng)前網(wǎng)絡(luò)潛藏的危害，這就要求防火墻技術(shù)也要處于不斷發(fā)展，不斷更新的地步，唯有防御措施不斷得到升級加強(qiáng)與更新，我們的網(wǎng)絡(luò)環(huán)境才能得到切實保證?；谶@種前提，本文講究當(dāng)前防火墻技術(shù)的發(fā)展現(xiàn)狀為研究方向，前要談?wù)摲阑饓夹g(shù)當(dāng)前的應(yīng)用方向，應(yīng)用手段，以及企業(yè)當(dāng)前防火墻技術(shù)所存在的問題，以期通過相關(guān)研究，切實改進(jìn)現(xiàn)有的防火墻應(yīng)用技術(shù)，制定更為嚴(yán)格且嚴(yán)謹(jǐn)?shù)木W(wǎng)絡(luò)安全方案。以求達(dá)到切實加強(qiáng)企業(yè)網(wǎng)絡(luò)安全的保護(hù)。2防火墻概述2.1防火墻工作原理隨著網(wǎng)絡(luò)的不斷發(fā)展，現(xiàn)如今防火墻技術(shù)已普遍應(yīng)用于我們生活，技術(shù)應(yīng)用也更加嚴(yán)格，是當(dāng)前保護(hù)網(wǎng)絡(luò)安全的重要手段，其安全保護(hù)能力強(qiáng)，操作簡單。從技術(shù)角度來看，防火墻通常位于計算機(jī)網(wǎng)絡(luò)的邊界。根據(jù)保護(hù)要求，可以對網(wǎng)絡(luò)數(shù)據(jù)包和連接方法進(jìn)行驗證和評估。根據(jù)驗證和評估的結(jié)果，防火墻決定是允許訪問還是以不同方式做出響應(yīng)。隨著技術(shù)的日趨成熟，防火墻的安全保護(hù)能力得到了極大的提高，特別是代理技術(shù)，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)和使用狀態(tài)檢查，極大地提高了防火墻技術(shù)的技術(shù)能力，使其能夠快速有效地響應(yīng)各種類型的網(wǎng)絡(luò)攻擊。而防火墻所能夠起到的作用，就是根據(jù)定義好的規(guī)則，對通過的數(shù)據(jù)包進(jìn)行監(jiān)視與管理，降低安全風(fēng)險。防火墻顧名思義，主要的應(yīng)用手段與技術(shù)還是以隔離控制病毒為主，能夠有效對非法輸出和非法訪問行為進(jìn)行管理，減低入侵風(fēng)險。當(dāng)前我們常用的防火墻技術(shù)主要構(gòu)成是由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)這4部分組成。具體結(jié)構(gòu)示意圖如2-1所示：圖2-1防火墻結(jié)構(gòu)圖2.2防火墻的功能2.2.1防火墻類型防火墻可以將用戶內(nèi)部網(wǎng)絡(luò)與公共網(wǎng)絡(luò)有效隔開，從而避免病毒侵襲。當(dāng)在兩個網(wǎng)絡(luò)之間實現(xiàn)通信時，防火墻執(zhí)行的工作就是訪問控制標(biāo)準(zhǔn)。簡而言之，當(dāng)用戶使用Internet時，用戶認(rèn)可的人員和數(shù)據(jù)可以訪問其網(wǎng)絡(luò)。數(shù)據(jù)將被防火墻阻止，并且網(wǎng)絡(luò)上有黑客。當(dāng)黑客想要強(qiáng)制訪問用戶網(wǎng)絡(luò)時，防火墻將最大限度地發(fā)揮其防御功能，以防止黑客進(jìn)入。而企業(yè)網(wǎng)絡(luò)中所需要用到的防火墻類型包括過濾型，代理型，監(jiān)測型以及網(wǎng)絡(luò)地址轉(zhuǎn)化-NTA。2.2.2包過濾防火墻過濾防火墻就是對網(wǎng)絡(luò)層和傳輸層交換的數(shù)據(jù)所開展分析與過濾，以求確保其是否安全有效，在經(jīng)過識別之后才可以被通過。根據(jù)當(dāng)前防火墻標(biāo)準(zhǔn)，只有在滿足性能和安全類型并且某些不安全因素被防火墻過濾和阻止后，才能傳輸信息。數(shù)據(jù)包過濾器是指以系統(tǒng)內(nèi)部邏輯為依據(jù)，來過濾網(wǎng)絡(luò)層中的所有數(shù)據(jù)包，同時也會對網(wǎng)絡(luò)端口和數(shù)據(jù)源進(jìn)行分析，同時也可以對數(shù)據(jù)地址進(jìn)行分析，發(fā)現(xiàn)存在的問題。使用數(shù)據(jù)包過濾器具有成本低、安裝便捷這些優(yōu)點。因為數(shù)據(jù)包過濾器技術(shù)是在路由器進(jìn)行的，并且路由器屬于連接互聯(lián)網(wǎng)的時候必備的設(shè)備，所以在使用這項技術(shù)的時候，不需要增添額外費用。2.2.3應(yīng)用代理防火墻主要行動領(lǐng)域的應(yīng)用是OSI的最高級別在應(yīng)用層上方，其主要特征是能夠完全隔離網(wǎng)絡(luò)的通信流，并且應(yīng)用層可以通過特定的代理進(jìn)行監(jiān)視和控制。有效性。防火墻類型必須根據(jù)特定的要求和條件來選擇，以便有效地防止外部防火墻入侵等問題。保存有疑問的信息并將其返回計算機(jī)，從而便利管理者處理網(wǎng)絡(luò)風(fēng)險信息。在計算機(jī)和網(wǎng)關(guān)之間建立內(nèi)部連接，并改善網(wǎng)絡(luò)安全。2.2.4安全管理目前，信息技術(shù)正在迅速發(fā)展和普及，信息量正在增加，許多人可以通過互聯(lián)網(wǎng)獲得信息。因特網(wǎng)上的不安全因素更有可能影響人們的生活和工作。防火墻技術(shù)能夠有效地監(jiān)測網(wǎng)絡(luò)信息和截獲高風(fēng)險信息，從而確保網(wǎng)絡(luò)接入的安全。3防火墻的安全性和可靠性分析3.1支持平臺防火墻可以支持大量平臺，并具有大量用戶連接。針對不同平臺，防火墻技術(shù)開發(fā)人員能做到針對每個平臺制定不同的安裝方式。在保護(hù)計算機(jī)網(wǎng)絡(luò)安全方面，防火墻技術(shù)是其中非常重要的一部分。實際使用計算機(jī)網(wǎng)絡(luò)時，有很多信息需要保護(hù)。安全配置可以有效地將其劃分為多個區(qū)域，并專注于保護(hù)每個區(qū)域。3.2抗攻擊性全面的網(wǎng)絡(luò)監(jiān)視和控制功能使防火墻具有很高的抗攻擊性。為了禁止訪問非法網(wǎng)站或入侵罪犯，防火墻不僅必須具有防止內(nèi)部網(wǎng)絡(luò)被非法訪問的能力，而且還必須具有監(jiān)視功能。從網(wǎng)絡(luò)上刪除，因為現(xiàn)在每天都會出現(xiàn)一些不良網(wǎng)站。只有通過監(jiān)視，才能根據(jù)相關(guān)信息阻止這些非法站點。3.3防火墻自身的安全防火墻本身的安全性主要體現(xiàn)在其自身的設(shè)計和管理中。而防火墻安全性的設(shè)計，主要是在操作系統(tǒng)之內(nèi)，同時也只有完全可信任的操作系統(tǒng)才能確保系統(tǒng)的安全。應(yīng)用程序安全性則是基于操作系統(tǒng)的安全性，所以防火墻安全性的本身是可以直接輻射到整個系統(tǒng)的安全方面。3.4完整的安全檢查在建立網(wǎng)絡(luò)中，數(shù)據(jù)起著非常重要的作用，這對于計算機(jī)安全性至關(guān)重要。防火墻可以準(zhǔn)確記錄網(wǎng)絡(luò)傳輸中對信息和數(shù)據(jù)的訪問，并將收集到的數(shù)據(jù)分為幾類，提取可能構(gòu)成威脅的數(shù)據(jù)，并采取預(yù)防措施來促進(jìn)問題的解決，以便防止計算機(jī)受到攻擊。同時，防火墻還可以匯總收集的數(shù)據(jù)，匯總不同類型數(shù)據(jù)的特征，并將其用作更好地監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)的基礎(chǔ)。3.5防火墻的可擴(kuò)展性所謂智能防火墻技術(shù)，是指對于正常的數(shù)據(jù)請求和非法的用戶攻擊，防火墻能夠做出智能判斷，從而有效避免頻繁向用戶發(fā)送預(yù)警，提高網(wǎng)絡(luò)的運行效率。在傳統(tǒng)的防火墻技術(shù)中，雖然網(wǎng)絡(luò)安全性很高，但網(wǎng)絡(luò)運行效率相對較低，而智能防火墻技術(shù)有效地解決了這一問題。智能防火墻技術(shù)具有防止黑客攻擊、防止MAC欺騙和IP欺騙、防止入侵三大功能。3.6防火墻的可升級可升級性指計算機(jī)應(yīng)用程序或產(chǎn)品（硬件或軟件）的尺寸或容量為滿足用戶需要而發(fā)生變化但能繼續(xù)工作的能力。無法預(yù)計的危險只會越來越多，而防火墻作為一款產(chǎn)品也能做到，為了滿足用戶需要而發(fā)生變化但能繼續(xù)工作的能力。面對層層風(fēng)險，防火墻可不斷升級變化。它不僅在升級后的條件下正常工作，還具有實際的優(yōu)勢。如果防火墻程序從一個小的操作系統(tǒng)轉(zhuǎn)向一個大操作系統(tǒng)，并在性能方面有所改善以及能處理更多數(shù)量用戶，那么它是可升級的。4企業(yè)常見的網(wǎng)絡(luò)攻擊4.1SQL注入注射SQL（“SQL”）是一種用于執(zhí)行惡意SQL指令的注射攻擊。這樣，進(jìn)攻者就可以完全控制Web應(yīng)用程序后面的數(shù)據(jù)庫服務(wù)器。進(jìn)攻者可以通過SQL注入漏洞繞過應(yīng)用程序的安全性。他們可以通過繞過Web頁或認(rèn)證和L檢索SQL數(shù)據(jù)庫的所有內(nèi)容。授權(quán)Web應(yīng)用程序；SQL注入也可用于添加、修改和刪除記錄的數(shù)據(jù)庫。SQL注入故障可能影響使用SQL數(shù)據(jù)庫的任何網(wǎng)站或應(yīng)用程序，如mysql、Oracle、SQLserver或其他。罪犯可以在未經(jīng)授權(quán)的情況下訪問用戶的敏感數(shù)據(jù):客戶信息、個人數(shù)據(jù)、商業(yè)秘密。針對SQL的ip等注入攻擊是Web應(yīng)用程序中最古老、最常見和最危險的缺陷之一。4.2網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)釣魚是一種利用敏感手段獲取敏感個人信息的攻擊，如密碼、信用卡信息等。網(wǎng)絡(luò)釣魚攻擊的目的是誘使收件人訪問與目標(biāo)組織的網(wǎng)站非常相似的網(wǎng)絡(luò)釣魚網(wǎng)站，并獲取在該網(wǎng)站上輸入的敏感個人信息。一般來說，受害者在攻擊過程中沒有得到警告。這種個人信息對黑客來說是很有趣的，因為它使他們能夠捏造金融詐騙來欺騙受害者以獲得經(jīng)濟(jì)利益。受害者往往遭受巨大的經(jīng)濟(jì)損失或所有的個人信息被竊取和用于犯罪目的。4.3分布式拒絕服務(wù)分布式服務(wù)拒絕攻擊通過大量的合法請求吸收了網(wǎng)絡(luò)的大部分資源，從而使網(wǎng)絡(luò)癱瘓，其目的是利用客戶機(jī)/服務(wù)器技術(shù)將多個計算機(jī)組合成一個攻擊平臺，并對一個網(wǎng)絡(luò)進(jìn)行背部攻擊。一般來說，襲擊者使用被盜帳戶在計算機(jī)上安裝DDOS主程序。主機(jī)程序?qū)⑴c安裝在許多網(wǎng)絡(luò)計算機(jī)上的大量代理人進(jìn)行通信。代理人已被命令發(fā)動攻擊。使用客戶端服務(wù)器技術(shù)，主機(jī)程序可以在幾秒鐘內(nèi)激活數(shù)百或數(shù)千名代理人。4.4RootkitRootkit是一種特殊類型的惡意軟件。它基本上是無法檢測到的，而且?guī)缀醪豢赡軇h除它們。盡管檢測工具在增加，但惡意軟件開發(fā)人員一直在尋找新的方法來掩蓋自己的足跡。它通過阻止用戶識別和刪除惡意軟件來實現(xiàn)這一點。Rootkit可以隱藏幾乎所有的軟件，包括文件服務(wù)器、鍵盤記錄器等。5企業(yè)網(wǎng)絡(luò)安全管理中防火墻技術(shù)的應(yīng)用5.1防火墻復(fù)合技術(shù)的應(yīng)用秉承立體保護(hù)的概念，防火墻功能允許在遇到網(wǎng)絡(luò)攻擊之前自定義安全策略。將入侵檢測功能用于在攻擊過程中進(jìn)行預(yù)防和警報，并輔以日志記錄系統(tǒng)以在攻擊后完成分析。在事件發(fā)生之前，之中和之后都獲得全面的保護(hù)。然后使用虛擬專用網(wǎng)絡(luò)功能將安全性進(jìn)一步擴(kuò)展到傳輸和數(shù)據(jù)過程。它還介紹了安全評估的概念，主動對網(wǎng)絡(luò)進(jìn)行了模擬攻擊，并測試了整個網(wǎng)絡(luò)的安全性。良好的分級機(jī)制可確保隨著技術(shù)的進(jìn)步可以不斷改善整個安全系統(tǒng)。簡而言之，復(fù)合防火墻涵蓋了網(wǎng)絡(luò)的整個空間和時間范圍，并且可以保護(hù)主動和被動方面，以實現(xiàn)完全的安全性。作為關(guān)鍵的網(wǎng)絡(luò)設(shè)備，復(fù)合防火墻對其穩(wěn)定性提出了嚴(yán)格的要求。復(fù)合防火墻采用高度集成的工業(yè)級硬件設(shè)計，以適應(yīng)各種復(fù)雜的環(huán)境條件。在出廠之前，每個防火墻都已在獨特的“InternetHurricane”高壓網(wǎng)絡(luò)環(huán)境中經(jīng)過滿負(fù)載100小時的測試，以確保產(chǎn)品萬無一失。5.2防火墻中代理服務(wù)器技術(shù)的應(yīng)用代理技術(shù)是防火墻技術(shù)中的一種高安全技術(shù)，在應(yīng)用層應(yīng)用較多。代理服務(wù)器位于客戶端和服務(wù)器之間。只允許代理服務(wù)通過，所有其他服務(wù)都被完全阻止。從外部看，只能看到代理服務(wù)器，而不能看到內(nèi)部資源。代理防火墻能夠有效地屏蔽連接的源地址，從而有效地防止拒絕服務(wù)攻擊，防止網(wǎng)絡(luò)入侵者利用一些檢測工具來檢測網(wǎng)絡(luò)結(jié)構(gòu)。代理服務(wù)器還可以篩選協(xié)議，以確保用戶無法將文件寫入匿名服務(wù)器。代理服務(wù)器能夠?qū)?yīng)用層進(jìn)行檢測和分析，對基于應(yīng)用的入侵和病毒攻擊非常有效。代理防火墻的缺點是它對系統(tǒng)的整體性能有很大的影響。需要為客戶端生成的各種應(yīng)用定義代理服務(wù)器并建立相應(yīng)的網(wǎng)關(guān)層，這大大增加了系統(tǒng)管理的復(fù)雜性。5.3防火墻中包過濾技術(shù)的應(yīng)用包過濾防火墻技術(shù)作為一種安全控制技術(shù)，應(yīng)用簡單，效果顯著。它通過建立規(guī)則來限制數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸。我們可以限制包含特定源或目標(biāo)地址的特定數(shù)據(jù)包?；蜃柚勾祟悢?shù)據(jù)包通過并為其建立規(guī)則。通過建立這些規(guī)則，包過濾技術(shù)的主要優(yōu)點是可以在網(wǎng)絡(luò)之間起到安全檢查的作用。它能迅速形成對整個網(wǎng)絡(luò)系統(tǒng)的保護(hù)。在過濾過程中，數(shù)據(jù)包對用戶完全透明，效率高，過濾速度很低。該安全控制技術(shù)應(yīng)用于wi的網(wǎng)絡(luò)層和傳輸層之間。只能采取初步的安全預(yù)防措施。對于高級攻擊方法，無法防御。應(yīng)用了代理防火墻技術(shù)。建立了這種防火墻技術(shù)，在（WI）的最高應(yīng)用程序?qū)蛹墑e過濾數(shù)據(jù)是為了為特定的網(wǎng)絡(luò)應(yīng)用程序服務(wù)制定安全規(guī)則，以提供數(shù)據(jù)保護(hù)。對于特定對象（例如服務(wù)器）非常重要，并有效拒絕支持網(wǎng)絡(luò)地址的未經(jīng)請求的代理服務(wù)。相互轉(zhuǎn)換（NAT）Nat具有幾種常見的代理服務(wù)應(yīng)用程序，例如一對一和多對多。簡而言之，這種防火墻技術(shù)的最大特點是完全阻止了網(wǎng)絡(luò)通信流中的數(shù)據(jù)。編譯后的代理程序執(zhí)行監(jiān)督和控制的角色。6防火墻技術(shù)設(shè)計6.1防火墻的安全網(wǎng)絡(luò)架構(gòu)在此次的設(shè)計任務(wù)中，最需要關(guān)注的是對于防火墻制定策略進(jìn)行配置。在用戶使用網(wǎng)絡(luò)時，可以根據(jù)自身的需求對于資源設(shè)置訪問控制。而這里的資源指的是對于網(wǎng)絡(luò)進(jìn)行配置中的定義的對象。對于經(jīng)過防火墻的數(shù)據(jù)來說，用戶需要進(jìn)性篩查，利用自己的定義的規(guī)則進(jìn)行檢查。下圖為防火墻的可以采取的策略：圖6-1防火墻安全策略功能圖6.2防火墻策略配置實現(xiàn)及主要配置網(wǎng)絡(luò)配置包括多個部分的內(nèi)容，首先是對于安全域來說，安全域主要是用來對于訪問控制進(jìn)行設(shè)置，并且要在安全域內(nèi)進(jìn)行設(shè)置。網(wǎng)絡(luò)配置還包含了接口設(shè)置，接口設(shè)置主要是對于網(wǎng)絡(luò)地址是否允許其他的服務(wù)設(shè)定。在網(wǎng)絡(luò)配置中還需要對于域名服務(wù)器進(jìn)行設(shè)置。對于路由設(shè)置來說，路由設(shè)置的功能是如何對于防火墻的附近的網(wǎng)絡(luò)進(jìn)行有效的設(shè)置。對于DHCP來說，它的服務(wù)功能的實現(xiàn)需要利用其他的DHCP服務(wù)器來進(jìn)行對于IP地址進(jìn)行劃分，而在DHCP中，DCFW-1800還沒有掌握直接分配IP的方法。6.3核心三層交換機(jī)的安全網(wǎng)絡(luò)架構(gòu)對于子網(wǎng)絡(luò)來說，如果存在較大的相關(guān)性，就會對于網(wǎng)絡(luò)的整體性產(chǎn)生影響。一部分的子網(wǎng)絡(luò)如果被病毒入侵，那么其他的網(wǎng)絡(luò)部分也會受到影響。因此需要不斷降低在網(wǎng)絡(luò)之間的關(guān)聯(lián)性。網(wǎng)絡(luò)大概能夠分成三個部分，第一個部分是核心層，第二個是匯聚層，第三個是接入層。核心層自然是在網(wǎng)絡(luò)里面起著核心的作用。它主要是用來連接各個節(jié)點，它具有以下三個功能：l)連接各個部分之間的網(wǎng)絡(luò)；2)對于訪問的權(quán)限提供至廣域網(wǎng)區(qū)域；3)提高數(shù)據(jù)包的交換速度。圖6-2核心三層交換機(jī)策略結(jié)論總體而言，當(dāng)前中國計算機(jī)網(wǎng)絡(luò)的應(yīng)用正在不斷擴(kuò)大。這種情況與計算機(jī)網(wǎng)絡(luò)和社會的發(fā)展緊密相關(guān)。通過計算機(jī)網(wǎng)絡(luò)的安全運行，可以有效地確保對人類生命的保護(hù)和財產(chǎn)安全。在這種情況下，有必要有效地提高對計算機(jī)網(wǎng)絡(luò)安全問題的認(rèn)識，同時應(yīng)用科學(xué)合理的防火墻技術(shù)，并同時進(jìn)行升級。并根據(jù)社會發(fā)展的具體需要進(jìn)行更新，以改善健康狀況。營造了良好的計算機(jī)網(wǎng)絡(luò)環(huán)境，使整個計算機(jī)網(wǎng)絡(luò)的健康和安全得到有效保障。未來，對防火墻應(yīng)該朝多級化多功