基于企業(yè)防火墻應(yīng)用案例辨析

1、簧耋弘湍爵一㈣基于企業(yè)防火墻應(yīng)用案例辨析熊海清(洛陽(yáng)有色金屬加工設(shè)計(jì)研究院信息中心河南洛陽(yáng)471∞3)[摘要】隨著網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)的安全性也越來(lái)越顯得格外重要。結(jié)合企業(yè)在防火墻使用中的實(shí)際情況，分析幾種防火墻使用中經(jīng)常出現(xiàn)的問(wèn)題，并深入探討了不同的解決方法?！痆關(guān)鍵詞]企業(yè)防火墻應(yīng)用安全中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼；^文章編號(hào)：1671—7597(2008)08208一01目前企業(yè)內(nèi)部辦公網(wǎng)絡(luò)存在的安全隱患主要有黑客惡意攻擊、病毒感

2、染、口令攻擊、數(shù)據(jù)監(jiān)聽(tīng)等，在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡(luò)中應(yīng)該以防范黑客和病毒為首。針對(duì)企業(yè)辦公網(wǎng)絡(luò)存在的眾多隱患，各個(gè)企業(yè)也實(shí)施了安全防御措施，其中包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)、PKI技術(shù)等，但其中應(yīng)用最為廣泛、實(shí)用性最強(qiáng)、效果最好的就是防火墻技術(shù)。一、來(lái)翻定憲■的企業(yè)安全簟略(一)問(wèn)題描述。某中型企業(yè)購(gòu)買(mǎi)了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐

3、橫行的蠕蟲(chóng)病毒不見(jiàn)了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了。該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口通過(guò)路由器和IsP連接。內(nèi)部網(wǎng)劃分為5個(gè)vLAN，VLAN1、vLAN2和1l，LAN3分配給不同的部門(mén)使用，不同的VLAN之間根據(jù)部門(mén)級(jí)別設(shè)置訪問(wèn)權(quán)限；VLAN4分配給交換機(jī)出口地址和路由器使用；VLAN5分配給公共服務(wù)器使用。在沒(méi)有加入防火墻之前，各個(gè)vLAN中的Pc機(jī)能夠通過(guò)交換機(jī)和路由器不受限制地訪問(wèn)Inte

4、rnet。加入防火墻后，給防火墻分配一個(gè)VLAN4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器：將vLAN5接入到防火墻的一個(gè)網(wǎng)口上。這樣，防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域：內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。防火墻投入運(yùn)行后，實(shí)施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無(wú)法使用0Q聊天軟件，于是沒(méi)過(guò)多久就有員工自己撥號(hào)上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲(chóng)等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開(kāi)來(lái)，造成內(nèi)部網(wǎng)大面積癱瘓。

5、(二)問(wèn)題分析。我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備。必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門(mén)外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不唯一有很多出入口，那么只部署一臺(tái)防火墻是不夠的。在本案例中，防火墻投入使用后，沒(méi)有禁止私自撥號(hào)上網(wǎng)行為，使得許多Pc機(jī)通過(guò)電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不唯一。入侵者可以通過(guò)攻擊這些Pc機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開(kāi)了防火墻。(三)

6、解決辦法。根據(jù)自己企業(yè)網(wǎng)的特點(diǎn)，制定一整套安全策略，并徹底地貫徹實(shí)施。比如說(shuō)，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號(hào)上網(wǎng)；同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼，并購(gòu)買(mǎi)檢測(cè)撥號(hào)上網(wǎng)的軟件。這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不唯一的情況發(fā)生。另外?？紤]到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開(kāi)O口使用的TcP／uDP端口，使得企業(yè)員工可以在工余時(shí)間使用QQ聊天軟件。(四)結(jié)論和忠告。防火墻只是保證安全的一種技術(shù)

7、手段，、要想真正實(shí)現(xiàn)安全。安全策略是核心問(wèn)題。二、未考慮晴火■的可擴(kuò)充性(一)問(wèn)題描述某大型企業(yè)一年前購(gòu)買(mǎi)了幾十臺(tái)防火墻，分布在總部局域網(wǎng)和全國(guó)各地的分支機(jī)構(gòu)中。剛投入使用后，各部門(mén)和分支機(jī)構(gòu)都反映不錯(cuò)，沒(méi)有影響到網(wǎng)絡(luò)性能。隨著信息化程度的不斷提高，該企業(yè)決定構(gòu)建視頻會(huì)議系統(tǒng)，卻發(fā)現(xiàn)防火墻不支持該應(yīng)用協(xié)議，如果要實(shí)現(xiàn)視頻會(huì)議，必須讓防火墻打開(kāi)一個(gè)很大的缺口，這會(huì)留下很大的安全隱患。(二)問(wèn)題分析。視頻會(huì)議系統(tǒng)一般都采用H323協(xié)議，在創(chuàng)

8、建符合H323協(xié)議的Voice—over—IP通道時(shí)，需要用到IcP協(xié)議的1720、173l和圓1735等端口，并且會(huì)使用到TcP協(xié)議的、大于1024的端口及UDP協(xié)議的、大于30000的端口，這些端口是動(dòng)態(tài)隨機(jī)選取的。如果防火培沒(méi)有專門(mén)針對(duì)H323協(xié)議實(shí)現(xiàn)動(dòng)態(tài)包過(guò)濾，那么必須靜態(tài)地配置安全規(guī)則，打開(kāi)TcP協(xié)議1024到65535之問(wèn)的所有端口以及UDP協(xié)議30000到65535之間的所有端口，這樣等于給防火墻打開(kāi)了一個(gè)缺口，留下了安全

9、隱患。此外，視頻會(huì)議系統(tǒng)對(duì)于網(wǎng)絡(luò)的服務(wù)質(zhì)量和語(yǔ)音傳輸?shù)膬?yōu)先級(jí)要求很高，如果防火墻不支持Q0s功能，就無(wú)法保證參加視頻會(huì)議的主機(jī)的語(yǔ)音和視頻質(zhì)量。本案例說(shuō)明了企業(yè)在選購(gòu)防火墻時(shí)沒(méi)有充分考慮到今后網(wǎng)絡(luò)的擴(kuò)展性，導(dǎo)致防火墻不能適應(yīng)新的應(yīng)用環(huán)境。(三)解決辦法。購(gòu)買(mǎi)防火墻前應(yīng)充分考慮到各種應(yīng)用的可能性如果問(wèn)題已經(jīng)發(fā)生，請(qǐng)求防火墻廠商或安全集成商幫助解決。(四)結(jié)論和忠告?！鞍踩?dāng)頭，應(yīng)用為先”。如果不支持諸如視頻等網(wǎng)絡(luò)應(yīng)用，再好的安全設(shè)施也是沒(méi)

10、有意義的。請(qǐng)關(guān)注防火墻的功能是否全面，是否全面兼容各種應(yīng)用協(xié)議。三不經(jīng)簟●I護(hù)升瓤畸火■(一)問(wèn)題描述。某企業(yè)購(gòu)置防火墻后己安全運(yùn)行二年多，由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒(méi)有什么變化，各種應(yīng)用也運(yùn)行穩(wěn)定，管理員基本上不對(duì)防火墻進(jìn)行管理，只要網(wǎng)絡(luò)一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級(jí)。因此防火墻軟件版本一直還是購(gòu)買(mǎi)時(shí)的舊版本。在一次全球范圍的蠕蟲(chóng)病毒迅速蔓延事件中，企業(yè)內(nèi)網(wǎng)也受到蠕蟲(chóng)病毒的感染，防火墻因?yàn)闆](méi)有

11、及時(shí)升級(jí)，無(wú)法抵御這種蠕蟲(chóng)病毒的攻擊，造成整個(gè)內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。(二)問(wèn)題分析。安全與入侵永遠(yuǎn)是一對(duì)矛盾。防火墻軟件作為一種安全工具，必須不斷地升級(jí)與更新才能應(yīng)付不斷發(fā)展的入侵手段，過(guò)時(shí)的防護(hù)盾牌是無(wú)法抵擋最先進(jìn)的長(zhǎng)矛的。作為安全管理員來(lái)說(shuō)，應(yīng)當(dāng)時(shí)刻留心廠家發(fā)布的升級(jí)包，及時(shí)給防火墻打上最新的補(bǔ)丁。(三)解決辦法。及時(shí)維護(hù)防火墻，當(dāng)本機(jī)構(gòu)發(fā)生人員變動(dòng)、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時(shí)，要及時(shí)調(diào)整防火墻的安全規(guī)則，及時(shí)升級(jí)防火墻。

12、一(四)結(jié)論和忠告。保護(hù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的過(guò)程，防火墻需要積極追維護(hù)和升級(jí)?！觥?lái)考●與其■安全產(chǎn)量的t含奠用保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無(wú)縫地結(jié)合起來(lái)，充分利用它們各自的優(yōu)點(diǎn)，才能最大限度地保證網(wǎng)絡(luò)安全。五、鶯柬曩總之，在Internet應(yīng)用迅速普及發(fā)展的今天，企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)接入Internet獲取資源、提供信息是廣泛的應(yīng)用模式此時(shí)，如何保護(hù)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)資源不受外部非法侵襲是一個(gè)嚴(yán)肅、重要的課恿參考文獻(xiàn)：[1

13、】高志強(qiáng)、谷濤、鹿凱寧，‘應(yīng)用模糊控制理論的防火墻技術(shù)研究》，‘電子測(cè)量技術(shù))2006年02期[2]黃登璽、卿斯?jié)h、蒙楊。，‘防火墻核心技術(shù)的研究和高安全等級(jí)|防火墻的設(shè)計(jì)，‘計(jì)算機(jī)科學(xué)》2002年10期萬(wàn)方數(shù)據(jù)簧耋弘湍爵一㈣基于企業(yè)防火墻應(yīng)用案例辨析熊海清(洛陽(yáng)有色金屬加工設(shè)計(jì)研究院信息中心河南洛陽(yáng)471∞3)[摘要】隨著網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)的安全性也越來(lái)越顯得格外重要。結(jié)合企業(yè)在防火墻使用中的實(shí)際情況，分析幾種防火墻使用中經(jīng)常出現(xiàn)的

14、問(wèn)題，并深入探討了不同的解決方法?！痆關(guān)鍵詞]企業(yè)防火墻應(yīng)用安全中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼；^文章編號(hào)：1671—7597(2008)08208一01目前企業(yè)內(nèi)部辦公網(wǎng)絡(luò)存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽(tīng)等，在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡(luò)中應(yīng)該以防范黑客和病毒為首。針對(duì)企業(yè)辦公網(wǎng)絡(luò)存在的眾多隱患，各個(gè)企業(yè)也實(shí)施了安全防御措施，其中包括防火墻技術(shù)、數(shù)據(jù)

15、加密技術(shù)、認(rèn)證技術(shù)、PKI技術(shù)等，但其中應(yīng)用最為廣泛、實(shí)用性最強(qiáng)、效果最好的就是防火墻技術(shù)。一、來(lái)翻定憲■的企業(yè)安全簟略(一)問(wèn)題描述。某中型企業(yè)購(gòu)買(mǎi)了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲(chóng)病毒不見(jiàn)了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了。該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī)，出口通過(guò)路由器和IsP連接。內(nèi)部網(wǎng)劃分為5個(gè)vLAN，VLAN1、vLAN2和1l，LAN3分配給不同的部門(mén)使

16、用，不同的VLAN之間根據(jù)部門(mén)級(jí)別設(shè)置訪問(wèn)權(quán)限；VLAN4分配給交換機(jī)出口地址和路由器使用；VLAN5分配給公共服務(wù)器使用。在沒(méi)有加入防火墻之前，各個(gè)vLAN中的Pc機(jī)能夠通過(guò)交換機(jī)和路由器不受限制地訪問(wèn)Internet。加入防火墻后，給防火墻分配一個(gè)VLAN4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器：將vLAN5接入到防火墻的一個(gè)網(wǎng)口上。這樣，防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域：內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的

17、限制。防火墻投入運(yùn)行后，實(shí)施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無(wú)法使用0Q聊天軟件，于是沒(méi)過(guò)多久就有員工自己撥號(hào)上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲(chóng)等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開(kāi)來(lái)，造成內(nèi)部網(wǎng)大面積癱瘓。(二)問(wèn)題分析。我們知道，防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備。必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門(mén)外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不唯一有很多出入口，那么只部署一臺(tái)防火墻是不

18、夠的。在本案例中，防火墻投入使用后，沒(méi)有禁止私自撥號(hào)上網(wǎng)行為，使得許多Pc機(jī)通過(guò)電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不唯一。入侵者可以通過(guò)攻擊這些Pc機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開(kāi)了防火墻。(三)解決辦法。根據(jù)自己企業(yè)網(wǎng)的特點(diǎn)，制定一整套安全策略，并徹底地貫徹實(shí)施。比如說(shuō)，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號(hào)上網(wǎng)；同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼，并購(gòu)買(mǎi)檢測(cè)撥號(hào)上網(wǎng)的軟件。這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不唯一的情況發(fā)

19、生。另外?？紤]到企業(yè)員工的需求，可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則，在非工作時(shí)間打開(kāi)O口使用的TcP／uDP端口，使得企業(yè)員工可以在工余時(shí)間使用QQ聊天軟件。(四)結(jié)論和忠告。防火墻只是保證安全的一種技術(shù)手段，、要想真正實(shí)現(xiàn)安全。安全策略是核心問(wèn)題。二、未考慮晴火■的可擴(kuò)充性(一)問(wèn)題描述某大型企業(yè)一年前購(gòu)買(mǎi)了幾十臺(tái)防火墻，分布在總部局域網(wǎng)和全國(guó)各地的分支機(jī)構(gòu)中。剛投入使用后，各部門(mén)和分支機(jī)構(gòu)都反映不錯(cuò)，沒(méi)有影響到網(wǎng)絡(luò)性能。隨著

20、信息化程度的不斷提高，該企業(yè)決定構(gòu)建視頻會(huì)議系統(tǒng)，卻發(fā)現(xiàn)防火墻不支持該應(yīng)用協(xié)議，如果要實(shí)現(xiàn)視頻會(huì)議，必須讓防火墻打開(kāi)一個(gè)很大的缺口，這會(huì)留下很大的安全隱患。(二)問(wèn)題分析。視頻會(huì)議系統(tǒng)一般都采用H323協(xié)議，在創(chuàng)建符合H323協(xié)議的Voice—over—IP通道時(shí)，需要用到IcP協(xié)議的1720、173l和圓1735等端口，并且會(huì)使用到TcP協(xié)議的、大于1024的端口及UDP協(xié)議的、大于30000的端口，這些端口是動(dòng)態(tài)隨機(jī)選取的。如果防火

21、培沒(méi)有專門(mén)針對(duì)H323協(xié)議實(shí)現(xiàn)動(dòng)態(tài)包過(guò)濾，那么必須靜態(tài)地配置安全規(guī)則，打開(kāi)TcP協(xié)議1024到65535之問(wèn)的所有端口以及UDP協(xié)議30000到65535之間的所有端口，這樣等于給防火墻打開(kāi)了一個(gè)缺口，留下了安全隱患。此外，視頻會(huì)議系統(tǒng)對(duì)于網(wǎng)絡(luò)的服務(wù)質(zhì)量和語(yǔ)音傳輸?shù)膬?yōu)先級(jí)要求很高，如果防火墻不支持Q0s功能，就無(wú)法保證參加視頻會(huì)議的主機(jī)的語(yǔ)音和視頻質(zhì)量。本案例說(shuō)明了企業(yè)在選購(gòu)防火墻時(shí)沒(méi)有充分考慮到今后網(wǎng)絡(luò)的擴(kuò)展性，導(dǎo)致防火墻不能適應(yīng)新的

22、應(yīng)用環(huán)境。(三)解決辦法。購(gòu)買(mǎi)防火墻前應(yīng)充分考慮到各種應(yīng)用的可能性如果問(wèn)題已經(jīng)發(fā)生，請(qǐng)求防火墻廠商或安全集成商幫助解決。(四)結(jié)論和忠告?！鞍踩?dāng)頭，應(yīng)用為先”。如果不支持諸如視頻等網(wǎng)絡(luò)應(yīng)用，再好的安全設(shè)施也是沒(méi)有意義的。請(qǐng)關(guān)注防火墻的功能是否全面，是否全面兼容各種應(yīng)用協(xié)議。三不經(jīng)簟●I護(hù)升瓤畸火■(一)問(wèn)題描述。某企業(yè)購(gòu)置防火墻后己安全運(yùn)行二年多，由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒(méi)有什么變化，各種應(yīng)用也運(yùn)行穩(wěn)定，管理員基本上不對(duì)防火墻進(jìn)

23、行管理，只要網(wǎng)絡(luò)一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級(jí)。因此防火墻軟件版本一直還是購(gòu)買(mǎi)時(shí)的舊版本。在一次全球范圍的蠕蟲(chóng)病毒迅速蔓延事件中，企業(yè)內(nèi)網(wǎng)也受到蠕蟲(chóng)病毒的感染，防火墻因?yàn)闆](méi)有及時(shí)升級(jí)，無(wú)法抵御這種蠕蟲(chóng)病毒的攻擊，造成整個(gè)內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。(二)問(wèn)題分析。安全與入侵永遠(yuǎn)是一對(duì)矛盾。防火墻軟件作為一種安全工具，必須不斷地升級(jí)與更新才能應(yīng)付不斷發(fā)展的入侵手段，過(guò)時(shí)的防護(hù)盾牌是無(wú)法抵擋最

24、先進(jìn)的長(zhǎng)矛的。作為安全管理員來(lái)說(shuō)，應(yīng)當(dāng)時(shí)刻留心廠家發(fā)布的升級(jí)包，及時(shí)給防火墻打上最新的補(bǔ)丁。(三)解決辦法。及時(shí)維護(hù)防火墻，當(dāng)本機(jī)構(gòu)發(fā)生人員變動(dòng)、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時(shí)，要及時(shí)調(diào)整防火墻的安全規(guī)則，及時(shí)升級(jí)防火墻。一(四)結(jié)論和忠告。保護(hù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的過(guò)程，防火墻需要積極追維護(hù)和升級(jí)?！?、來(lái)考●與其■安全產(chǎn)量的t含奠用保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無(wú)縫地結(jié)合起來(lái)，充分利用它們各自的優(yōu)點(diǎn)，才能最大限度地保證網(wǎng)絡(luò)安全