基于企業(yè)防火墻應用案例辨析

1、簧耋弘湍爵一㈣基于企業(yè)防火墻應用案例辨析熊海清(洛陽有色金屬加工設計研究院信息中心河南洛陽471∞3)[摘要】隨著網(wǎng)絡應用的普及，網(wǎng)絡的安全性也越來越顯得格外重要。結合企業(yè)在防火墻使用中的實際情況，分析幾種防火墻使用中經(jīng)常出現(xiàn)的問題，并深入探討了不同的解決方法。’[關鍵詞]企業(yè)防火墻應用安全中圖分類號：TP3文獻標識碼；^文章編號：1671—7597(2008)08208一01目前企業(yè)內(nèi)部辦公網(wǎng)絡存在的安全隱患主要有黑客惡意攻擊、病毒感

2、染、口令攻擊、數(shù)據(jù)監(jiān)聽等，在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡中應該以防范黑客和病毒為首。針對企業(yè)辦公網(wǎng)絡存在的眾多隱患，各個企業(yè)也實施了安全防御措施，其中包括防火墻技術、數(shù)據(jù)加密技術、認證技術、PKI技術等，但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。一、來翻定憲■的企業(yè)安全簟略(一)問題描述。某中型企業(yè)購買了適合自己網(wǎng)絡特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐

3、橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務攻擊的次數(shù)也大大減少了。該企業(yè)內(nèi)部網(wǎng)絡的核心交換機是帶路由模塊的三層交換機，出口通過路由器和IsP連接。內(nèi)部網(wǎng)劃分為5個vLAN，VLAN1、vLAN2和1l，LAN3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設置訪問權限；VLAN4分配給交換機出口地址和路由器使用；VLAN5分配給公共服務器使用。在沒有加入防火墻之前，各個vLAN中的Pc機能夠通過交換機和路由器不受限制地訪問Inte

4、rnet。加入防火墻后，給防火墻分配一個VLAN4中的空閑IP地址，并把網(wǎng)關指向路由器：將vLAN5接入到防火墻的一個網(wǎng)口上。這樣，防火墻就把整個網(wǎng)絡分為3個區(qū)域：內(nèi)部網(wǎng)、公共服務器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。防火墻投入運行后，實施了一套較為嚴格的安全規(guī)則，導致公司員工無法使用0Q聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。

5、(二)問題分析。我們知道，防火墻作為一種保護網(wǎng)絡安全的設備。必須部署在受保護網(wǎng)絡的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡的數(shù)據(jù)通信，達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡的邊界不唯一有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多Pc機通過電話線和Internet相連，導致網(wǎng)絡邊界不唯一。入侵者可以通過攻擊這些Pc機然后進一步攻擊內(nèi)部網(wǎng)絡，從而成功地避開了防火墻。(三)

6、解決辦法。根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴禁員工私自撥號上網(wǎng)；同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件。這樣從管理和技術上杜絕出現(xiàn)網(wǎng)絡邊界不唯一的情況發(fā)生。另外。考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開O口使用的TcP／uDP端口，使得企業(yè)員工可以在工余時間使用QQ聊天軟件。(四)結論和忠告。防火墻只是保證安全的一種技術

7、手段，、要想真正實現(xiàn)安全。安全策略是核心問題。二、未考慮晴火■的可擴充性(一)問題描述某大型企業(yè)一年前購買了幾十臺防火墻，分布在總部局域網(wǎng)和全國各地的分支機構中。剛投入使用后，各部門和分支機構都反映不錯，沒有影響到網(wǎng)絡性能。隨著信息化程度的不斷提高，該企業(yè)決定構建視頻會議系統(tǒng)，卻發(fā)現(xiàn)防火墻不支持該應用協(xié)議，如果要實現(xiàn)視頻會議，必須讓防火墻打開一個很大的缺口，這會留下很大的安全隱患。(二)問題分析。視頻會議系統(tǒng)一般都采用H323協(xié)議，在創(chuàng)

8、建符合H323協(xié)議的Voice—over—IP通道時，需要用到IcP協(xié)議的1720、173l和圓1735等端口，并且會使用到TcP協(xié)議的、大于1024的端口及UDP協(xié)議的、大于30000的端口，這些端口是動態(tài)隨機選取的。如果防火培沒有專門針對H323協(xié)議實現(xiàn)動態(tài)包過濾，那么必須靜態(tài)地配置安全規(guī)則，打開TcP協(xié)議1024到65535之問的所有端口以及UDP協(xié)議30000到65535之間的所有端口，這樣等于給防火墻打開了一個缺口，留下了安全

9、隱患。此外，視頻會議系統(tǒng)對于網(wǎng)絡的服務質(zhì)量和語音傳輸?shù)膬?yōu)先級要求很高，如果防火墻不支持Q0s功能，就無法保證參加視頻會議的主機的語音和視頻質(zhì)量。本案例說明了企業(yè)在選購防火墻時沒有充分考慮到今后網(wǎng)絡的擴展性，導致防火墻不能適應新的應用環(huán)境。(三)解決辦法。購買防火墻前應充分考慮到各種應用的可能性如果問題已經(jīng)發(fā)生，請求防火墻廠商或安全集成商幫助解決。(四)結論和忠告?！鞍踩旑^，應用為先”。如果不支持諸如視頻等網(wǎng)絡應用，再好的安全設施也是沒

10、有意義的。請關注防火墻的功能是否全面，是否全面兼容各種應用協(xié)議。三不經(jīng)簟●I護升瓤畸火■(一)問題描述。某企業(yè)購置防火墻后己安全運行二年多，由于該機構網(wǎng)絡結構一直很穩(wěn)定，沒有什么變化，各種應用也運行穩(wěn)定，管理員基本上不對防火墻進行管理，只要網(wǎng)絡一直保持暢通即可，不再關心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級。因此防火墻軟件版本一直還是購買時的舊版本。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，企業(yè)內(nèi)網(wǎng)也受到蠕蟲病毒的感染，防火墻因為沒有

11、及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡陷于癱瘓之中。(二)問題分析。安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具，必須不斷地升級與更新才能應付不斷發(fā)展的入侵手段，過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說，應當時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補丁。(三)解決辦法。及時維護防火墻，當本機構發(fā)生人員變動、網(wǎng)絡調(diào)整和應用變化時，要及時調(diào)整防火墻的安全規(guī)則，及時升級防火墻。

12、一(四)結論和忠告。保護網(wǎng)絡安全是動態(tài)的過程，防火墻需要積極追維護和升級?！?、來考●與其■安全產(chǎn)量的t含奠用保護網(wǎng)絡安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡安全。五、鶯柬曩總之，在Internet應用迅速普及發(fā)展的今天，企業(yè)計算機網(wǎng)絡接入Internet獲取資源、提供信息是廣泛的應用模式此時，如何保護企業(yè)計算機網(wǎng)絡資源不受外部非法侵襲是一個嚴肅、重要的課恿參考文獻：[1

13、】高志強、谷濤、鹿凱寧，‘應用模糊控制理論的防火墻技術研究》，‘電子測量技術)2006年02期[2]黃登璽、卿斯?jié)h、蒙楊。，‘防火墻核心技術的研究和高安全等級|防火墻的設計，‘計算機科學》2002年10期萬方數(shù)據(jù)簧耋弘湍爵一㈣基于企業(yè)防火墻應用案例辨析熊海清(洛陽有色金屬加工設計研究院信息中心河南洛陽471∞3)[摘要】隨著網(wǎng)絡應用的普及，網(wǎng)絡的安全性也越來越顯得格外重要。結合企業(yè)在防火墻使用中的實際情況，分析幾種防火墻使用中經(jīng)常出現(xiàn)的

14、問題，并深入探討了不同的解決方法?！痆關鍵詞]企業(yè)防火墻應用安全中圖分類號：TP3文獻標識碼；^文章編號：1671—7597(2008)08208一01目前企業(yè)內(nèi)部辦公網(wǎng)絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽等，在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡中應該以防范黑客和病毒為首。針對企業(yè)辦公網(wǎng)絡存在的眾多隱患，各個企業(yè)也實施了安全防御措施，其中包括防火墻技術、數(shù)據(jù)

15、加密技術、認證技術、PKI技術等，但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。一、來翻定憲■的企業(yè)安全簟略(一)問題描述。某中型企業(yè)購買了適合自己網(wǎng)絡特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務攻擊的次數(shù)也大大減少了。該企業(yè)內(nèi)部網(wǎng)絡的核心交換機是帶路由模塊的三層交換機，出口通過路由器和IsP連接。內(nèi)部網(wǎng)劃分為5個vLAN，VLAN1、vLAN2和1l，LAN3分配給不同的部門使

16、用，不同的VLAN之間根據(jù)部門級別設置訪問權限；VLAN4分配給交換機出口地址和路由器使用；VLAN5分配給公共服務器使用。在沒有加入防火墻之前，各個vLAN中的Pc機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后，給防火墻分配一個VLAN4中的空閑IP地址，并把網(wǎng)關指向路由器：將vLAN5接入到防火墻的一個網(wǎng)口上。這樣，防火墻就把整個網(wǎng)絡分為3個區(qū)域：內(nèi)部網(wǎng)、公共服務器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的

17、限制。防火墻投入運行后，實施了一套較為嚴格的安全規(guī)則，導致公司員工無法使用0Q聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。(二)問題分析。我們知道，防火墻作為一種保護網(wǎng)絡安全的設備。必須部署在受保護網(wǎng)絡的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡的數(shù)據(jù)通信，達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡的邊界不唯一有很多出入口，那么只部署一臺防火墻是不

18、夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多Pc機通過電話線和Internet相連，導致網(wǎng)絡邊界不唯一。入侵者可以通過攻擊這些Pc機然后進一步攻擊內(nèi)部網(wǎng)絡，從而成功地避開了防火墻。(三)解決辦法。根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴禁員工私自撥號上網(wǎng)；同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件。這樣從管理和技術上杜絕出現(xiàn)網(wǎng)絡邊界不唯一的情況發(fā)

19、生。另外?？紤]到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開O口使用的TcP／uDP端口，使得企業(yè)員工可以在工余時間使用QQ聊天軟件。(四)結論和忠告。防火墻只是保證安全的一種技術手段，、要想真正實現(xiàn)安全。安全策略是核心問題。二、未考慮晴火■的可擴充性(一)問題描述某大型企業(yè)一年前購買了幾十臺防火墻，分布在總部局域網(wǎng)和全國各地的分支機構中。剛投入使用后，各部門和分支機構都反映不錯，沒有影響到網(wǎng)絡性能。隨著

20、信息化程度的不斷提高，該企業(yè)決定構建視頻會議系統(tǒng)，卻發(fā)現(xiàn)防火墻不支持該應用協(xié)議，如果要實現(xiàn)視頻會議，必須讓防火墻打開一個很大的缺口，這會留下很大的安全隱患。(二)問題分析。視頻會議系統(tǒng)一般都采用H323協(xié)議，在創(chuàng)建符合H323協(xié)議的Voice—over—IP通道時，需要用到IcP協(xié)議的1720、173l和圓1735等端口，并且會使用到TcP協(xié)議的、大于1024的端口及UDP協(xié)議的、大于30000的端口，這些端口是動態(tài)隨機選取的。如果防火

21、培沒有專門針對H323協(xié)議實現(xiàn)動態(tài)包過濾，那么必須靜態(tài)地配置安全規(guī)則，打開TcP協(xié)議1024到65535之問的所有端口以及UDP協(xié)議30000到65535之間的所有端口，這樣等于給防火墻打開了一個缺口，留下了安全隱患。此外，視頻會議系統(tǒng)對于網(wǎng)絡的服務質(zhì)量和語音傳輸?shù)膬?yōu)先級要求很高，如果防火墻不支持Q0s功能，就無法保證參加視頻會議的主機的語音和視頻質(zhì)量。本案例說明了企業(yè)在選購防火墻時沒有充分考慮到今后網(wǎng)絡的擴展性，導致防火墻不能適應新的

22、應用環(huán)境。(三)解決辦法。購買防火墻前應充分考慮到各種應用的可能性如果問題已經(jīng)發(fā)生，請求防火墻廠商或安全集成商幫助解決。(四)結論和忠告?！鞍踩旑^，應用為先”。如果不支持諸如視頻等網(wǎng)絡應用，再好的安全設施也是沒有意義的。請關注防火墻的功能是否全面，是否全面兼容各種應用協(xié)議。三不經(jīng)簟●I護升瓤畸火■(一)問題描述。某企業(yè)購置防火墻后己安全運行二年多，由于該機構網(wǎng)絡結構一直很穩(wěn)定，沒有什么變化，各種應用也運行穩(wěn)定，管理員基本上不對防火墻進

23、行管理，只要網(wǎng)絡一直保持暢通即可，不再關心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級。因此防火墻軟件版本一直還是購買時的舊版本。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，企業(yè)內(nèi)網(wǎng)也受到蠕蟲病毒的感染，防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡陷于癱瘓之中。(二)問題分析。安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具，必須不斷地升級與更新才能應付不斷發(fā)展的入侵手段，過時的防護盾牌是無法抵擋最

24、先進的長矛的。作為安全管理員來說，應當時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補丁。(三)解決辦法。及時維護防火墻，當本機構發(fā)生人員變動、網(wǎng)絡調(diào)整和應用變化時，要及時調(diào)整防火墻的安全規(guī)則，及時升級防火墻。一(四)結論和忠告。保護網(wǎng)絡安全是動態(tài)的過程，防火墻需要積極追維護和升級?！?、來考●與其■安全產(chǎn)量的t含奠用保護網(wǎng)絡安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡安全