| 电信 教育 政务 机械 汽车 船舶 交通 石化 烟草 服装 电力 金融 外贸 冶金 电子 |
深圳傲冠防火墙整体方案一.网络安全概述 计算机网络问世以来,安全性一直是人们讨论的话题,随着计算机网络安全技术的迅速发展,网络的安全性问题也日趋严重。计算机网络系统必须采取安全措施,以鉴别合法用户和监 对于计算机网络的安全性问题,将牵涉到以下两点: 网络安全性面临的威胁 网络安全性的内容 (一)网络安全性面临的威胁 1.信息泄露 2.相互猜疑 3.冒名顶替 4.篡改信息 5.恶意攻击 (二)网络安全性的内容 网络安全性,是由数据的安全性和通信的安全性两部分组成的。 数据的安全性是一组程序和功能,用来阻止对数据进行非授权的泄露、转移、修改和破坏。通信安全性是一种保护措施,要求在电信中采用保密安全性、传输安全性、辐射安全性等措施,并且要求对于通信安全性信息采用物理安全性措施。通过上述各种措施,可以拒绝非授权的人员在电信中获取有价值的信息。 二.防火墙与防火墙的作用 Internet(因特网)的迅速发展,为人们提供了发布信息和检索信息的场所,但它也带来了信息污染和信息被破坏的危险。为了保护其数据和资源的安全,创建了防火墙。 防火墙从本质上说是一种保护装置,是用来保护网络数据、资源和用户声誉的。
(一)Internet防火墙 防火墙是在网络之间执行访问控制策略的一个或一组系统,原则上防火墙是由两种机制构成:一种是查阻信息流通行,另一种是允许信息流通过。本地“孤岛”式的局域网是不需要防火墙的,只有与Internet有接口相连的单位才需要防火墙。 对于内部用户,可以说企业网是“不设防”的;可对于外部用户,并没有足够的信任度,一旦从互联网进入内部网,他们可能会破坏内部主机、可能会窃取商业机密和技术资料或者修改你的重要信息,这(些)将给企业带来重大损失。防火墙的应用,首先要解决这种安全隐患。可我们不能简单地拒绝所有的接入,因为有些企业网,它的部分主机必须能够被外部用户访问以提供一些服务(如HTTP、FTP服务),因此需要正确判断何种接入可通过、何种接入应阻隔。 (二)防火墙功能 按传统理论,防火墙可分为包过滤(Packet filtering)和应用代理(Application Proxy)两种类型。前者工作在网络层和传输层,一般直接转发报文,网络效率及对用户的透明性都比较好,但安全性相对较低。后者则属于应用层的范畴,通过特定的代理程序对高层协议进行识别,并采取相应预先编制的控制策略。后者虽然安全性提高了,但网络速度则明显下降,为提高效率,实际中的应用网关通常由专用工作站来实现,故其总体投资较高,只有大型网络用户才能承受。 从逻辑上讲,防火墙是分离器、限制器、分析器。从物理角度看,各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备 路由器、主计算机,或者是路由器、计算机和配有适当软件的网络的多种组合。 准确来讲,防火墙是由一组对象组成的、基于策略的一种体系,而并非仅仅是某个对象(如我们熟知的商用防火墙)。下图是一个完整的防火墙系统:
给体系加上一定的规则,通常是加在路由器上,防火墙就能很好的保护内部网、同时提供足够的对公服务,包括进行电子商务。 在这种体系下,只要配置正确,就能确保内部主机间通讯的数据包不会越过内部路由器到达边缘网络,从而给内部网以更高的安全性(因为所有在边缘网及以外网络传输的数据包都有被黑客监听、截取和破解的可能)。 一些企业具有自己构造防火墙的能力,他们使用可用的软件组件和设备或自己编写一个防火墙程序。另外一些企业利用经销商提供的防火墙技术服务,例如相应的硬件和软件、开发安全策略、风险评估、安全检测和安全培训等。 尽管自己构筑防火墙具有内部人员了解防火墙设计的细节从而能够方便应用的优势。但自制防火墙需要长时间的修建、记录文档和维护,其策略管理成了网络安全人员一个费时、费力和令人头痛的问题。相比之下,购买商用防火墙是较为经济的(除非是一些有特定要求的特别部们)。商用防火墙整合了边缘网络及内部路由器,并提供堡垒机的接口(也叫非军事区接口)。 由上可知,简要的说,防火墙的主要功能是: l.防火墙能强化安全策略 2.防火墙能有效地记录Internet上的活动 3.防火墙能限制暴露用户 4. 防火墙是一个安全策略的检查站 正如前边提到,任何在边缘网及以外网络传输的数据包都有被黑客监听、截取和破解的可能,如何保护公共用户的重要信息不被破解?为此,防火墙应能提供加密隧道,以高位的数据加密技术保证数据的可靠传输。另外还要具有阻止伪装地址的进攻,阻止端口及地址空间的探测,阻止测试网络配置情况的IP Options;其地址翻译(NAT)功能可使用户隐藏内部主机及网络真实地址,从而节省网络地址资源,又防止黑客的攻击;除此之外,有些防火墙还提供漏洞扫描及入侵检测等功能。如图示: 三.主要防火墙产品 (一)产品分类 纯软件的解决方案 基于硬件的解决方案 比较流行的有如下产品: 软件解决方案 Check Point 的FireWall-1 Cisco IOS 防火墙特性集 硬件解决的方案 Cisco PIX 蓝盾防火墙 Netscreen-100 (二)产品概述 FireWall-1是美国网络安全公司Check Point推出的一个防火墙软件,是一个基于策略的状态检查过滤器,带有一个集成的网络地址翻译器(NAT)和过滤一般因特网协议的专用安全过滤器。目前的市场占有率最高。用户可以从一个Windows或Unix工作站上同时管理整个网络的多个防火墙。用户通过FireWall-1的管理界面,可用一个网络安全策略控制所有的防火墙以及任何一个路由器(通过访问规则和过滤器实现)。这个方法意味着安全策略对所有需要进入网络、有待管理的防火墙都是相同的,只需编辑一次。而其他产品则要求独立维护每个防火墙,这大大增加了管理员的负担和配置出错的可能性。 Cisco的PIX(Private Internet eXchange)防火墙是最早使用的专用防火墙之一,基于Cisco的带有定制的实时防火墙操作系统的路由硬件,支持任何基于TCP/IP的网络。是仅次于FIREWALL-1销售的最好的防火墙。Cisco PIX 防火墙提供强大的安全,而不影响网络性能。通过 Cisco Secure PIX 防火墙可以建立使用IPSec标准的虚拟专网(VPN)连接。Cisco Secure PIX防火墙加强了内部网、外部网链路和 Internet 之间的安全访问。 Cisco集成化软件( Cisco IOS 防火墙特性集)为网络的每一个周边提供稳健的集成化防火墙和入侵检测功能性。Cisco Secure 集成化软件可用于广泛的基于 Cisco IOS 软件的路由器,为一个企业内(内部网)及合作伙伴网络(外部网)之间的连接提供尖端的安全和政策加强,并保证远程和分支机构 Internet 连接的安全性。 蓝盾防火墙基于硬件一体化设计,除具有传统防火墙的基本功能外,还引入了“智能防御”机制,能自动探测出各种扫描和攻击,即时进行统计分析,自动进行防御,必要时断开连接,并报警。已获得国家公安部计算机安全信息中心的认证,是中国第一套具有智能防御功能的网络安全产品。 NetScreen-100防火墙产品是美国NetScreen公司推出的支持100BaseT速率的硬件防火墙,独特的ASIC设计和已申请专利保护的系统体系结构为重要的企业数据提供了最可靠的安全保障。 主要性能指标: 访问控制:支持的INTERNET服务类型数量 网络地址翻译(NAT):一对一或一对多 身份认证:支持的认证方法类型 入侵检测:能否“识别”多种黑客攻击 虚拟专用网络(VPN)功能:提供用户数据在INTERNET上的私密传输 高可靠性(HA): 负载均衡:在多个服务器间提供合理的负载分配 管理、审计:可否进行策略编辑,日志审计,安全告警,集中管理 (三)产品比较 国内外防火墙产品比较表 Cisco Pix CheckPoint Firewall-1 分组过滤 能 功 能
相关案例
|
解决方案速查(共有 14387 个方案) 基础软件
安全保密
管理软件
办公软件
软件开发
系统网络
图形多媒体
辅助设计
行业专用
教育教学
电子政务
其他软件
接入
通信
网络
存储
IT服务
推荐解决方案
领军企业实施案例
+更多领军企业案例
电子杂志订阅
赞助商链接
| ||||||||
