企业网络防御系统中防火墙的有效应用

2023-10-18 理论教育版权反馈

【摘要】：企业网络防火墙的布置要符合企业网络运行的需求。防火墙具备的攻击检测与防护功能可以有效抵挡来自外部网络的漏洞扫描、拒绝服务攻击、SQL注入攻击、木马攻击、恶意代码植入等安全威胁，为外部服务器区提供安全屏障。此外，防火墙还提供设备日志审计功能、流量统计功能。这一功能为用户实时掌握企业的安全状况提供可靠信息来源。

一般小型企业的网络结构包括办公网络、内部服务器区、对外服务器区等，其网络拓扑如图7-4所示。企业网络防火墙的布置要符合企业网络运行的需求。比如，内部办公网络的用户有访问外部互联网的业务需求，对外的服务器面向互联网提供公共访问服务；在为外部网络提供公共服务的同时，面临漏洞扫描、各种拒绝服务攻击、SQL注入攻击、木马攻击、恶意代码植入等安全风险；内部办公网络的用户在访问外部互联网时，存在来自外部互联网的安全风险；由于U盘、移动硬盘等移动媒介的使用，以及访问外部互联网的业务流，因此内部办公网络有可能被病毒、恶意代码等感染，进而威胁到企业内部服务器区，而在内部服务器区部署着与企业管理、业务相关的重要信息资源；用户希望能获得一些审计信息，以对企业的安全状况、安全事件有一个认识和跟踪。

pagenumber_ebook=159,pagenumber_book=153

图7-4　网络拓扑示意图

在网络中部署防火墙，在精简网络结构的同时，通过NAT、应用层控制、入侵检测与防护、病毒防护等策略，为用户提供有效的安全保障，通过日志、流量统计等方法为用户提供安全审计信息。

其网络防火墙部署如图7-5所示。

pagenumber_ebook=160,pagenumber_book=154

图7-5　小型企业网络防火墙部署示意图(www.chuimin.cn)

上图中，防火墙具备NAT功能，可以满足内部办公网络到外部互联网、外部互联网到公共服务器区的访问。内部办公网络的用户在访问外部互联网时，源地址转换为外部公共地址；互联网对对外服务器区的访问经防火墙做DNAT，将虚拟的公共服务器映射为真实的服务器地址。NAT除了可以解决公网地址不足的问题，还可以起到隐藏真实地址的目的，为网络访问提供轻量级的安全防护。

防火墙具备的攻击检测与防护功能可以有效抵挡来自外部网络的漏洞扫描、拒绝服务攻击、SQL注入攻击、木马攻击、恶意代码植入等安全威胁，为外部服务器区提供安全屏障。攻击检测与防护基于行为特征统计、报文特征识别的方式可以检测出常见网络统计性攻击、异常报文攻击；结合丰富、及时、精准的入侵、攻击特征规则库，匹配高效的检测引擎，可以实现更深层次的攻击检测与防护，例如，针对SQL注入攻击、木马攻击、恶意代码植入的检测与防护。

应用层控制可以在内部办公网络的用户访问互联网时抵御网络应用中存在的常见安全威胁。应用层控制在识别常见应用协议的基础上，对应用内容进行分析、过滤，常见的有Web过滤、邮件过滤、反垃圾邮件等。当应用识别借助于应用特征识别规则库和检测引擎时，还可以实现针对具体应用的识别和控制，例如，针对XXX邮箱、XXX网盘、XXX游戏、XXXP2P应用的识别和控制。

病毒防护可以隔离内部办公网络中的病毒隐患，保护企业的重要资源——内部服务器区。病毒防护通常依托专业的病毒特征库，结合高效的检测引擎，采用流过滤、透明代理等方式，为常见网络协议（如HTTP、FTP、SMTP、POP3等）提供病毒防护。

企业网络防御系统中防火墙的有效应用

相关推荐