第一篇：企業(yè)內部網(wǎng)中防火墻的應用與發(fā)展

防火墻從原理上主要有三種技術:包過濾(Packet Filtering)技術、代理服務(Proxy Service)技術不和狀態(tài)檢測(State Inspection)技術。

3.1.1 包過濾（packet Filtering）技術

包過濾技術是一種簡單、有效的安全控制技術，它通過在網(wǎng)絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址和TCP端口號等規(guī)則，對通過設備的數(shù)據(jù)包進行檢查，限制數(shù)據(jù)包在內部網(wǎng)絡的進出。由于包過濾技術要求內外通信的數(shù)據(jù)包必須通過使用這項技術的計算機，才能進行過濾，因而，包過濾技術必須用在路由器上。它通常由包過濾路由器對IP包進行選擇，允許或拒絕特定的包通過。包過濾技術具有數(shù)據(jù)包過濾對用戶透明、一個過濾路由器能協(xié)助保護整個網(wǎng)絡、過濾路由器速度快、效率高等優(yōu)點。

包過濾技術的缺點：配置訪問控制列表比較復雜，要求網(wǎng)絡管理員對Interne服務有深入了解，其性能隨訪問控制列表的長度的增加而呈指數(shù)下降，沒有跟蹤記錄能力，不能從日志記錄中發(fā)現(xiàn)黑客的攻擊記錄，不能在用戶級別上進行過濾，即不能鑒別不同的用戶和防止IP地址盜用，只檢查地址和端口，對通過網(wǎng)絡應用鏈路層協(xié)議實現(xiàn)的威脅無防范能力，無法抵御數(shù)據(jù)驅動型攻擊不能理解特定服務的上下文環(huán)境和數(shù)據(jù)包過濾防火墻技術雖然能實現(xiàn)定的安全保護，但有許多優(yōu)點，但是包過濾畢竟是第一代防火墻技術，本身存在較多缺陷，不能提供較高的安全性。在實際應用中，很少把包過濾技術當作單獨的安全解決力案，而是把它與其他防火墻技術結合在一起使用。

TCP/IP是一種端對端協(xié)議，每個網(wǎng)絡節(jié)點都具有唯一的地址。網(wǎng)絡節(jié)點的應用層也是這樣，處于應用層的每個應用程序和服務都具有自己的對應“地址”，也就是端口號。地址和端口都具備了才能建立客戶機和服務器的各種應用之間的有效通信聯(lián)系。比如（如圖3-4），telnet服務器在端口23偵聽入站連接。同時telnet客戶機也有一個端口號，否則客戶機的IP棧怎么知道某個數(shù)據(jù)包是屬于哪個應用程序的呢？ 由于歷史的原因，幾乎所有的TCP/IP客戶程序都使用大于1023的隨機分配端口號。只有UNIX計算機上的root用戶才可以訪問1024以下的端口，而這些端口還保留為服務器上的服務所用。所以，除非我們讓所有具有大于1023端口號的數(shù)據(jù)包進入網(wǎng)絡，否則各種網(wǎng)絡連接都沒法正常工作。

還有一種情況，你可以命令防火墻拒絕那臺PC機的信息，別人的數(shù)據(jù)包都讓過就它不行。這正是防火墻最基本的功能：根據(jù)IP地址做轉發(fā)判斷。但由于黑客們可以采用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的防火墻了。不過根據(jù)地址的轉發(fā)決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。3.2.2.2 服務器TCP/UDP 端口過濾

僅僅依靠地址進行數(shù)據(jù)過濾在實際運用中是不可行的，還有個原因就是目標主機上往往運行著多種通信服務，比方說，我們不想讓用戶采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時禁止他們使用SMTP/POP郵件服務器吧？所以說，在地址之外我們還要對服務器的TCP/ UDP端口進行過濾。

圖3-3 服務器的TCP/ UDP端口過濾

這對防火墻而言可就麻煩了，如果阻塞入站的全部端口，那么所有的客戶機都沒法使用網(wǎng)絡資源。因為服務器發(fā)出響應外部連接請求的入站（就是進入防火墻的意思）數(shù)據(jù)包都沒法經(jīng)過防火墻的入站過濾。反過來，打開所有高于1023的端口就可行了嗎？也不盡然。由于很多服務使用的端口都大于1023，比如X client、基于RPC的NFS服務以及為數(shù)眾多的非UNIX IP產(chǎn)品等（NetWare/IP）就是這樣的。那么讓達到1023端口標準的數(shù)據(jù)包都進入網(wǎng)絡的話網(wǎng)絡還能說是安全的嗎？連這些客戶程序都不敢說自己是足夠安全的。

圖3-4 客戶端的TCP/ UDP端口過濾 3.2.2.4 雙向過濾

現(xiàn)在換個思路。我們給防火墻這樣下命令：已知服務的數(shù)據(jù)包可以進來，其他的全部擋在防火墻之外。比如，如果我們知道用戶要訪問Web服務器，那就只讓具有源端口號80的數(shù)據(jù)包進入網(wǎng)絡：（如圖3-5）比如，（如圖3-3），默認的telnet服務連接端口號是23。假如我們不許PC客戶機建立對UNIX計算機（在這時我們當它是服務器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標是UNIX服務器的數(shù)據(jù)包，把其中具有23目標端口號的包過濾就行了。但這樣，我們還是不能把IP地址和目標服務器TCP/UDP端口結合起來作為過濾標準來實現(xiàn)相當可靠的防火墻。3.2.2.3 客戶機TCP/UDP端口

第二篇：企業(yè)內部網(wǎng)中防火墻技術的應用于發(fā)展

企業(yè)內部網(wǎng)中防火墻技術的應用于發(fā)展

摘要：

隨著計算機網(wǎng)絡技術的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡的開放性和自由性也產(chǎn)生了私有信心和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡信息的安全性變得日益重要起來，已被信息社會的各個領域所重視。正是因為安全威脅的無處不在，為了解決這個問題防火墻出現(xiàn)了。防火墻是網(wǎng)絡安全的關鍵技術，是隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)。在IT安全領域，防火墻是一個重要的角色，通常被部署在企業(yè)網(wǎng)絡和外部互聯(lián)網(wǎng)中間，來保護企業(yè)網(wǎng)中的計算機、應用程序和其它資源免遭外部攻擊。本文對防火墻的概念、保護對象、保護功能的實現(xiàn)、分類、如何選購和使用防火墻以及防火墻的發(fā)展做了簡單的概述。關鍵字：防火墻 企業(yè)內部網(wǎng) 應用 發(fā)展

一．防火墻的概念

防火墻（Firewall）在網(wǎng)絡中是一個邏輯裝置，用來保護內部的網(wǎng)絡不受來自Internet的侵害。嚴格意義的防火墻，就是一個或一組系統(tǒng)，用來在兩個或多個網(wǎng)絡間加強訪問控制。它的目的在于把那些不信任的網(wǎng)絡隔離在特定的網(wǎng)絡之外，但又不影響正常工作。其核心思想就是在不安全的網(wǎng)絡環(huán)境中構造一個相對安全的子網(wǎng)環(huán)境。

二．防火墻的保護對象以及如何實現(xiàn)保護功能

從廣義上講，防火墻保護的是企業(yè)內部網(wǎng)絡信息的安全，比如防止銀行服務器用戶賬號信息、政府部門的保密信息、部隊中的作戰(zhàn)計劃和戰(zhàn)略等重要信息的泄漏。從狹義上講，防火墻保護的是企業(yè)內部網(wǎng)絡中各個電腦的安全，防止計算機受到來自企業(yè)外部非安全網(wǎng)絡中的所有惡意訪問或攻擊行為。防火墻實現(xiàn)對內部網(wǎng)絡的保護功能是通過將內外網(wǎng)絡進行物理隔離來實現(xiàn)的，然后根據(jù)預先定制的安全策略控制通過防火墻的訪問行為，從而達到對企業(yè)內部網(wǎng)絡訪問的有效控制。防火墻通常有兩種工作模式：網(wǎng)橋模式和路由模式。

如果防火墻安裝在企業(yè)內網(wǎng)與因特網(wǎng)之間作為安全屏障，最好選擇路由模式，在該模式下可以使用防火墻的網(wǎng)絡地址轉換功能和代理功能，充分保護企業(yè)網(wǎng)絡免受來自互聯(lián)網(wǎng)的攻擊。如果需要保護同一子網(wǎng)上不同區(qū)域（部門）的主機，可選擇網(wǎng)橋模式，這時，原來的網(wǎng)絡拓撲結構無須做任何改變。比如，企業(yè)的財務部是企業(yè)重要部門，即使內部員工也不允許隨便訪問，因此，需要特別的保護。但企業(yè)網(wǎng)絡已經(jīng)建成，相應改造會帶來許多工作。此時，就可以選擇防火墻的網(wǎng)橋工作模式，既不用改造企業(yè)網(wǎng)絡結構，也可以在沒有經(jīng)過防火墻授權的情況下，禁止非法人員訪問財務部的主機。如此一來，起到了局部信息保密和保護的效果。

其實，對內外網(wǎng)之間通過防火墻的的不當訪問行為，防火墻都是非常敏感的。即使是內部員工，如果違反企業(yè)的安全策略，一樣會被防火墻及時的阻止并通告網(wǎng)絡管理員。比如具有MAC地址綁定功能的瑞星企業(yè)級防火墻RFW-100，它可將內網(wǎng)每臺主機的IP地址與該主機上網(wǎng)卡的物理地址進行一對一的綁定，能夠有效阻止用戶通過修改IP地址所進行的非授權訪問。此外，防火墻還支持雙向網(wǎng)絡地址變換：源地址變換（SNAT）和目的地址變換（DNAT）。通過源地址變換，使外部網(wǎng)絡無法了解內部網(wǎng)絡的結構，從而提高了內網(wǎng)的安全性；同時，通過源地址變換，可以節(jié)省IP地址資源（內網(wǎng)主機可全部使用私有地址）。瑞星企業(yè)級防火墻RFW-100允許管理員定義一個時間范圍，使該條規(guī)則只在這一時間范圍內起作用。通過這種控制機制，可以為企業(yè)提供更加靈活的配置策略，例如，可以定義規(guī)則只允許公司市場部員工和經(jīng)理在任何時間訪問因特網(wǎng)，而其他部門員工只允許在午休時間訪問互聯(lián)網(wǎng)。具有這項功能不僅為企業(yè)節(jié)省了一大筆的網(wǎng)絡接入費，而且也提高了內網(wǎng)的安全防范能力 三．防火墻的分類

防火墻有很多種分類方法：依據(jù)采用的技術的不同，防火墻產(chǎn)品可分為軟件防火墻、硬件防火墻和軟硬一體化防火墻；按照應用對象的不同，防火墻產(chǎn)品可分為企業(yè)級防火墻與個人防火墻；根據(jù)防御方式的不同，防火墻產(chǎn)品又可分為包過濾型（Packet Filtering）防火墻、應用級網(wǎng)關型（Application Level Gateway）防火墻和代理服務型（Proxy Service）防火墻。

四．如何選購和使用防火墻產(chǎn)品 為了提高防火墻的安全性，用戶可以將防火墻和其他安全工具相結合，例如和漏洞掃描器與IDS搭配使用。購買防火墻前應查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持哪些品牌和型號，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。保護網(wǎng)絡安全不僅僅需要防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡安全。

安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具，只有保持不斷地升級與更新才能應付不斷發(fā)展的入侵手段，過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說，要與廠商保持密切的聯(lián)系，時刻注視廠商的動態(tài)，時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補丁，對它進行升級和維護，及時對防火墻進行更新。

五．防火墻的發(fā)展

沒有人懷疑防火墻在企業(yè)所有的安全設備采購中占據(jù)第一的位置。但傳統(tǒng)的防火墻并沒有解決網(wǎng)絡主要的安全問題。目前網(wǎng)絡安全的三大主要問題是：以拒絕訪問(DDOS)為主要目的的網(wǎng)絡攻擊，以蠕蟲(Worm)為主要代表的病毒傳播，以垃圾電子郵件(SPAM)為代表的內容控制。這三大安全問題覆蓋了網(wǎng)絡安全方面的絕大部分問題。而這三大問題，傳統(tǒng)的防火墻是無能為力的。原因有三，首先是傳統(tǒng)防火墻計算能力的限制。傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。其次是傳統(tǒng)防火墻的訪問控制機制是一個簡單的過濾機制。它是一個簡單的條件過濾器，不具有智能功能，無法應對復雜的攻擊。最后是傳統(tǒng)的防火墻無法區(qū)分識別善意和惡意的行為，該特征決定了傳統(tǒng)的防火墻無法解決惡意的攻擊行為。

新一代防火墻是應該加強放行數(shù)據(jù)的安全性，因為網(wǎng)絡安全的真實需求是既要保證安全，也必須保證應用的正常進行。新一代防火墻既有包過濾的功能，又能在應用層進行代理。較傳統(tǒng)的防火墻來說，具有先進的過濾和代理體系，能從數(shù)據(jù)鏈路層到應用層進行全方位安全處理，TCP/IP協(xié)議和代理的直接相互配合，使本系統(tǒng)的防欺騙能力和運行的健壯性都大大提高；除了訪問控制功能外，新一代的防火墻應當還集成了其它許多安全技術，如NAT和VPN、病毒防護等。

結束語:一個計算機網(wǎng)絡，從應用層到網(wǎng)絡層直至物理層都存在安全問題。防火墻只是整個網(wǎng)絡安全防護體系的一部分，其他的防護措施和技術，如密碼技術、訪問技術、權限管理、病毒防治等，對網(wǎng)絡安全都相當重要，也只有運用先進認證技術，并在網(wǎng)絡層上實施統(tǒng)一的端對端的數(shù)據(jù)流加密技術，同時結合防火墻技術進行必要的內容檢測、攻擊檢測，以及再結合其他一些手段，才能真正解決內部網(wǎng)絡的安全問題，并最終提供一套一體化的解決方案。

雖然防火墻在保護網(wǎng)絡的安全上起著重要的作用，但并非有了防火墻就可以高枕無憂。防火墻需要經(jīng)常性的動態(tài)維護，并隨時關注網(wǎng)絡安全的新問題、新動向，及時采取相應的預防措施，最大限度地保障網(wǎng)絡的安全。

防火墻安全測試技術、測試工具和軟件都在不斷發(fā)展，并越來越受到人們的重視。但是，日前由于測試水平及測試手段的限制，很難證明防火墻的安全保護能力是否滿足安全政策的需要。

未來防火墻技術會在全面考慮“網(wǎng)絡的安全”、“操作系統(tǒng)的安全”、“應用程序的安全”、“用戶的安全”和“數(shù)據(jù)的安全”的基礎上，將它們結合起來，成為一種更新的信息安全產(chǎn)品。企業(yè)網(wǎng)絡安全是一個永遠說不完的話題，今天企業(yè)網(wǎng)絡安全已被提到重要的議事日程。一個安全的網(wǎng)絡系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關，而且和領導的決策、工作環(huán)境中每個員工的安全操作等都有關系。網(wǎng)絡安全是動態(tài)的，新的Internet黑客站點、病毒與安全技術每日劇增。要永遠保持在知識曲線的最高點，把握住企業(yè)網(wǎng)絡安全的大門，從而確保企業(yè)的順利成長。

第三篇：軌道交通企業(yè)內部網(wǎng)OA的應用介紹[范文]

摘 要 隨著我國信息化建設的速度加快，計算機信息技術在企業(yè)內得到了充分的應用。天津濱?？焖俳煌òl(fā)展有限公司為解決辦公條件與環(huán)境，提高員工的辦公質量和工作效率的問題，在公司內全面推進oa系統(tǒng)，使公司的管理走上規(guī)范化、科學化、網(wǎng)絡化的臺階。這極大地推進了城市軌道交通有限公司事業(yè)的發(fā)展。企業(yè)結合公司的文化，開發(fā)制定出具有企業(yè)特色的oa系統(tǒng)平臺，該系統(tǒng)的應用梳理了辦公流程，提高了分散辦公的公文流轉速度，給公司的管理帶來了明顯的效益，并提升了公司的形象。本文主要介紹了項目背景優(yōu)勢、系統(tǒng)應用及意義。

關鍵詞 軌道交通 企業(yè)內部網(wǎng) oa

一、oa辦公系統(tǒng)

（一）oa辦公系統(tǒng)的介紹

近年來，隨著網(wǎng)絡技術的迅速發(fā)展和普及，通過利用先進的網(wǎng)絡資訊技術實現(xiàn)辦公自動化的解決方法被稱為網(wǎng)絡辦公自動化解決方案。下文簡稱oa系統(tǒng)。

oa辦公自動化，oa是office automation的簡寫，是利用電腦進行全自動的辦公模式，目的是提高工作效率。日常工作的所有內容都可以歸入oa處理的范疇，如文字處理、文件謄寫、傳真、申請審批、辦公用品、公文管理、會議管理、資料管理……這些都是日常辦公工作的處理范圍。從廣義的角度講，提高日常工作效率的軟硬件系統(tǒng)包括打印機、復印機以及辦公軟件，這些都可以成為oa系統(tǒng)的一部分。從狹義的角度講，oa系統(tǒng)是處理組織內部的事務性工作，也是輔助管理，提高辦公效率和管理手段的系統(tǒng)。

（二）oa辦公系統(tǒng)的優(yōu)勢

首先，它能極大地提高工作效率，節(jié)省公司的運營成本，包括時間和紙張。它也使傳遞信息的速度加快，突破時間和空間限制，辦公不再受時間和地點的約束，可以實現(xiàn)移動辦公。工作人員不用拿著各種文件、申請單、單據(jù)在各部門跑來跑去，等候審批、簽字、蓋章，這些都可在網(wǎng)絡上進行，尤其適合辦公地點分散的企業(yè)。其次，規(guī)范單位管理，把一些彈性太大不夠規(guī)范的工作流程變得井然有序，如公文會簽，計劃日志，用款報銷等工作的審批都可在網(wǎng)上進行。第三，可以提高企業(yè)的競爭力和凝聚力，這讓員工與上級的溝通很方便，反饋信息會很暢通，為發(fā)揮員工的智慧和積極性提供了舞臺。無疑將大大增強企事業(yè)單位內部的凝聚力。第四，決策變得迅速科學，高層決策不再是不了解情況，在缺乏數(shù)據(jù)的環(huán)境下拍腦袋的事，而是以數(shù)據(jù)和真相為依據(jù)做出的科學的決策。

二、oa辦公系統(tǒng)的應用

針對濱?？焖俳煌òl(fā)展有限公司辦公業(yè)務地點分散，報送紙板公文和傳真不便的背景，制定出符合企業(yè)需求的濱?？焖僦悄苻k公系統(tǒng)。oa的運行不僅提高個人的辦公效率，更重要的是可以實現(xiàn)群體信息的交流，實現(xiàn)信息快捷交換和高集成度的工作協(xié)同，節(jié)約了企業(yè)的成本、提高了工作效率。

（一）系統(tǒng)模塊組成

第一，個人事務處理系統(tǒng)。其包含待辦事項、電子郵件、個人文檔、個人通訊錄以及日程安排。第二，日常辦公系統(tǒng)。作為日常公文的主要應用模塊，實現(xiàn)了電子審批發(fā)放公文、請示。其包括了文件發(fā)放管理、文件接收管理、報告請示公文管理、領導監(jiān)督、通知管理、會議管理以及檔案管理。第三，資源管理。這一項中包含信息摘要、信息共享、法律法規(guī)、會議室、文件庫和資料庫。第四，輔助模塊管理。包含基本的物品管理、用車管理、圖書管理、值班管理、接待管理和資產(chǎn)管理。第五，系統(tǒng)管理。這一模塊是辦公自動化系統(tǒng)中最后一項，其包含的是更多的管理。例如，用戶管理、部門管理、授權管理、備份管理等。以上五個模塊主要構成成了計算機網(wǎng)絡辦公自動化系統(tǒng)，其功能要比傳統(tǒng)的現(xiàn)代化辦公系統(tǒng)強大得多。

通過定制模塊功能可以實現(xiàn)將信息采集、查詢、統(tǒng)計等功能與具體業(yè)務密切關聯(lián)的目標，高管只需點擊按鈕就可以得到想要的結果，從而極大或極快地方便了公司的管理和決策。

（二）門戶應用

豐富的門戶應用，通過單點登陸、信息整合、流程整合、應用整合等門戶技術為用戶提供一站式的統(tǒng)一登陸，一站式的信息集成，一站式的流程審批，一站式的應用整合。企業(yè)能夠自主規(guī)劃和量身定制各類知識管理體系，進行分布式管理與擴展式應用?；谂渲玫膽眉芍虚g件，通過配置便可與各種業(yè)務系統(tǒng)集成，實現(xiàn)賬戶、信息、流程、應用等的集成整合。

三、oa辦公系統(tǒng)技術支持介紹

（一）技術集成

報表定義可定義多種類型的報表。例如，數(shù)值報表、分組報表、交叉報表、圖形報表等?；谂渲玫膽眉芍虚g件，通過配置便可與各種業(yè)務系統(tǒng)集成，實現(xiàn)賬戶、信息、流程、應用等的集成整合。它支持各種主流數(shù)據(jù)庫，包括db2、oracle、sybase、ms sql等。

（二）自定義技術

oa系統(tǒng)可以自定義公文格式與工作表格，讓用戶可以根據(jù)自己的需求進行自我設計，這不但簡化了系統(tǒng)的維護，還擺脫了對開發(fā)商的依賴，提升了系統(tǒng)的通用性，這一特性賦予了辦公自動化系統(tǒng)更加頑強的生命力。系統(tǒng)的修改編輯界面也直接與office辦公軟件相連接，突出了系統(tǒng)的通用性。全b/s結構的圖形化工作流，流程的設計和管理形象直觀，簡單易用。強大的流程嵌套可以方便地把龐大、復雜的流程分解成相對獨立的邏輯清晰而易管理的可復用的多個子流程。

（三）安全機制

四、oa辦公系統(tǒng)的意義

（一）建立發(fā)布信息的平臺

在內部建立一個有效的發(fā)布和交流信息的場所。例如，電子公告、電子論壇、電子刊物，使內部的規(guī)章制度、新聞簡報、技術交流、公告事項等能夠在企業(yè)或機關內部員工之間得到廣泛的傳播，使員工能夠了解單位的發(fā)展動態(tài)。

（二）實現(xiàn)工作流程的自動化

這牽涉到流轉過程的實時監(jiān)控、跟蹤，解決多崗位、多部門之間的協(xié)同工作問題，從而實現(xiàn)高效率的協(xié)作。各個單位都存在著大量的流程化的工作。例如，公文的處理、收發(fā)文、各種審批、請示、匯報等都是流程化的工作，通過實現(xiàn)工作流程的自動化就可以規(guī)范工作，提高單位協(xié)同工作的效率。

（三）實現(xiàn)文檔管理的自動化

第四篇：防火墻技術在企業(yè)財務管理系統(tǒng)中的應用

防火墻技術在企業(yè)財務管理系統(tǒng)中的應用

2010-06-10 09:02:02 作者：韓曉 來源：萬方數(shù)據(jù) 分享 | 摘要： 目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對局域網(wǎng)中存在的眾多隱患，企業(yè)必須實施了安全防御措施。主要包括防火墻技術，數(shù)據(jù) 關鍵詞： 防火墻企業(yè)防火墻防火墻功能信息安全代理服務器

目前企業(yè)局域網(wǎng)上存在的安全隱患中，黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。針對局域網(wǎng)中存在的眾多隱患，企業(yè)必須實施了安全防御措施。主要包括防火墻技術，數(shù)據(jù)加密技術、認證技術等，其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文就防火墻技術在財務管理信息系統(tǒng)中的應用進行較為深入的探討。

1、防火墻技術

1.1防火墻的基本概念

防火墻是保護內部網(wǎng)絡安全的一道防護墻。從理論上講，網(wǎng)絡防火墻是用來防止外部網(wǎng)上的各類危險程序傳播到某個受保護網(wǎng)內，財務上主要用于保護計算機和服務器不受攻擊。確保數(shù)據(jù)安全。從邏輯上講，防火墻是分離器，限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，但它通常是1組硬件設備(路由器、主機)和軟件的多種組合，而從本質上看防火墻是1種保護裝置，用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽，從技術上來說，網(wǎng)絡防火墻是1種訪問控制技術，在某個機構的網(wǎng)絡和不安壘的網(wǎng)絡之間設置障礙，阻止對信息資源的非法訪問，所以防火墻是一道門檻，控制進出2個方向的通信，防火墻主要用來保護安全網(wǎng)絡免受來自不安全網(wǎng)絡的入侵。

1.2防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權的數(shù)據(jù)通過，同時記錄有關的鏈接來源，服務器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤。

1.3防火墻的功能

防火墻主要有以下四種功能：(1)能夠防止非法用戶進入內部網(wǎng)絡；(2)可以很方便地監(jiān)視網(wǎng)絡的安全性，并報警；(3)可以作為部署NAT(Network Address Translation，網(wǎng)絡地址變換)的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與內部的IP地址對應起來。用來緩解地址空間短缺的問題；(4)可以連接到1個單獨的網(wǎng)段上，從物理上和內部網(wǎng)段隔開，并在此部署004km.cn）原創(chuàng)之作品（文字、圖片、圖表），轉載請務必注明出處，違者本網(wǎng)將依法追究責任。

第五篇：淺談辦公網(wǎng)絡中防火墻的應用

淺談辦公網(wǎng)絡中防火墻的應用

作者：未知 文章來源：網(wǎng)絡 點擊數(shù)：80 更新時間：2008-6-23 發(fā)表文章 全站搜索 收藏本文 QQ書簽 百度收藏

摘要： 隨著時代的發(fā)展，Internet日益普及，網(wǎng)絡已經(jīng)成為信息資源的海洋，給人們帶來了極大的方便。但由于Internet是一個開放的，無控制機構的網(wǎng)絡，經(jīng)常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網(wǎng)絡數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計算機網(wǎng)絡系統(tǒng)安全問題必須放在首位。本文就辦公網(wǎng)絡中應用最多的防火墻技術做了探討。

關鍵字：計算機網(wǎng)絡； 網(wǎng)絡安全；

防火墻技術

一、前言

企業(yè)內部辦公自動化網(wǎng)絡一般是基于TCP/IP協(xié)議并采用了Internet的通信標準和Web信息流通模式的Intranet，它具有開放性，因而使用極其方便。但開放性卻帶來了系統(tǒng)入侵、病毒入侵等安全性問題。一旦安全問題得不到很好地解決，就可能出現(xiàn)商業(yè)秘密泄漏、設備損壞、數(shù)據(jù)丟失、系統(tǒng)癱瘓等嚴重后果，給正常的企業(yè)經(jīng)營活動造成極大的負面影響。因此企業(yè)需要一個更安全的辦公自動化網(wǎng)絡系統(tǒng)。

目前企業(yè)內部辦公網(wǎng)絡存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽等，在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大，造成的破壞也最大。所以企業(yè)網(wǎng)絡中應該以防范黑客和病毒為首。

針對企業(yè)辦公網(wǎng)絡存在的眾多隱患，各個企業(yè)也實施了安全防御措施，其中包括防火墻技術、數(shù)據(jù)加密技術、認證技術、PKI技術等，但其中應用最為廣泛、實用性最強、效果最好的就是防火墻技術。本文將就放火墻技術在企業(yè)辦公中的應用給予探討，希望能給廣大企業(yè)辦公網(wǎng)絡安全建設帶來一定幫助。

二、防火墻技術概述

1.防火墻的基本概念

防火墻原是建筑物大廈里用來防止火災蔓延的隔斷墻，在這里引申為保護內部網(wǎng)絡安全的一道防護墻。從理論上講，網(wǎng)絡防火墻服務的原理與其類似，它用來防止外部網(wǎng)上的各類危險傳播到某個受保護網(wǎng)內。從邏輯上講，防火墻是分離器、限制器和分析器；從物理角度看，各個防火墻的物理實現(xiàn)方式可以有所不同，但它通常是一組硬件設備(路由器、主機)和軟件的多種組合；而從本質上來說防火墻是一種保護裝置，用來保護網(wǎng)絡數(shù)據(jù)、資源和用戶的聲譽；從技術上來說，網(wǎng)絡防火墻是一種訪問控制技術，在某個機構的網(wǎng)絡和不安全的網(wǎng)絡之間設置障礙，阻止對信息資源的非法訪問，換句話說，防火墻是一道門檻，控制進/出兩個方向的通信，防火墻主要用來保護安全網(wǎng)絡免受來自不安全網(wǎng)絡的入侵，如安全網(wǎng)絡可能是企業(yè)的內部網(wǎng)絡，不安全網(wǎng)絡是因特網(wǎng)，當然，防火墻不只是用于某個網(wǎng)絡與因特網(wǎng)的隔離，也可用于企業(yè)內部網(wǎng)絡中的部門網(wǎng)絡之間的隔離。

2.防火墻的工作原理

防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權的數(shù)據(jù)通過，同時記錄有關的聯(lián)接來源、服務器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤，并且防火墻本身也必須能夠免于滲透。

3.防火墻的功能

一般來說，防火墻具有以下幾種功能： ①能夠防止非法用戶進入內部網(wǎng)絡。

②可以很方便地監(jiān)視網(wǎng)絡的安全性，并報警。

③可以作為部署 NAT（Network Address Translation，網(wǎng)絡地址變換）的地點，利用 NAT 技術，將有限的 IP 地址動態(tài)或靜態(tài)地與內部的 IP 地址對應起來，用來緩解地址空間短缺的問題。

④可以連接到一個單獨的網(wǎng)段上，從物理上和內部網(wǎng)段隔開，并在此部署 WWW服務器和 FTP 服務器，將其作為向外部發(fā)布內部信息的地點。從技術角度來講，就是所謂的?；饏^(qū)（DMZ）。

4.防火墻的分類

①包過濾型防火墻，又稱篩選路由器(Screening router)或網(wǎng)絡層防火墻(Network level firewall)，它工作在網(wǎng)絡層和傳輸層。它基于單個數(shù)據(jù)包實施網(wǎng)絡控制，根據(jù)所收到的數(shù)據(jù)包的源IP地址、目的IP地址、TCP/UDP源端口號及目標端口號、ICMP消息類型、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標志等為參數(shù)，與用戶預定的訪問控制表進行比較，決定數(shù)據(jù)是否符合預先制定的安全策略，決定數(shù)據(jù)包的轉發(fā)或丟棄，即實施過濾。

②代理服務器型防火墻

代理服務器型防火墻通過在主機上運行代理的服務程序，直接對特定的應用層進行服務，因此也稱為應用型防火墻。其核心是運行于防火墻主機上的代理服務器進程，它代替網(wǎng)絡用戶完成特定的TCP/IP功能。一個代理服務器實際上是一個為特定網(wǎng)絡應用而連接兩個網(wǎng)絡的網(wǎng)關。

③復合型防火墻

由于對更高安全性的要求，通常把數(shù)據(jù)包過濾和代理服務系統(tǒng)的功能和特點綜合起來，構成復合型防火墻系統(tǒng)。所用主機稱為堡壘主機，負責代理服務。各種類型的防火墻都有其各自的優(yōu)缺點。當前的防火墻產(chǎn)品己不再是單一的包過濾型或代理服務器型防火墻，而是將各種安全技術結合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性?；旌闲头阑饓σ话悴捎靡韵聨追N技術:①動態(tài)包過濾；②內核透明技術；③用戶認證機制；④內容和策略感知能力:⑤內部信息隱藏；⑥智能日志、審計和實時報警；⑦防火墻的交互操作性等。

三、辦公網(wǎng)絡防火墻的設計

1.防火墻的系統(tǒng)總體設計思想

1.1設計防火墻系統(tǒng)的拓撲結構

在確定防火墻系統(tǒng)的拓撲結構時，首先必須確定被保護網(wǎng)絡的安全級別。從整個系統(tǒng)的成本、安全保護的實現(xiàn)、維護、升級、改造以及重要的資源的保護等方面進行考慮，以決定防火墻系統(tǒng)的拓撲結構。

1.2制定網(wǎng)絡安全策略

在實現(xiàn)過程中，沒有允許的服務是被禁止的，沒有被禁止的服務都是允許的，因此網(wǎng)絡安全的第一條策略是拒絕一切未許可的服務。防火墻封鎖所有信息流，逐一完成每一項許可的服務；第二條策略是允許一切沒有被禁止的服務，防火墻轉發(fā)所有的信息，逐項刪除被禁止的服務。

1.3確定包過濾規(guī)則

包過濾規(guī)則是以處理IP包頭信息為基礎，設計在包過濾規(guī)則時，一般先組織好包過濾規(guī)則，然后再進行具體設置。

1.4設計代理服務

代理服務器接受外部網(wǎng)絡節(jié)點提出的服務請求，如果此請求被接受，代理服務器再建立與實服務器的連接。由于它作用于應用層，故可利用各種安全技術，如身份驗證、日志登錄、審計跟蹤、密碼技術等，來加強網(wǎng)絡安全性，解決包過濾所不能解決的問題。1.5 嚴格定義功能模塊，分散實現(xiàn)

防火墻由各種功能模塊組成，如包過濾器、代理服務器、認證服務器、域名服務器、通信監(jiān)控器等。這些功能模塊最好由路由器和單獨的主機實現(xiàn)，功能分散減少了實現(xiàn)的難度，增加了可靠程度。

1.6防火墻維護和管理方案的考慮

防火墻的日常維護是對訪問記錄進行審計，發(fā)現(xiàn)入侵和非法訪問情況。據(jù)此對防火墻的安全性進行評價，需要時進行適當改進，管理工作要根據(jù)網(wǎng)絡拓撲結構的改變或安全策略的變化，對防火墻進行硬件和軟件的修改和升級。通過維護和管理進一步優(yōu)化其性能，以保證網(wǎng)絡極其信息的安全性。

2.一種典型防火墻設計實例——數(shù)據(jù)包防火墻設計

數(shù)據(jù)包過濾防火墻工作于DOD(Department of Defense)模型的網(wǎng)絡層，其技術核心是對是流經(jīng)防火墻每個數(shù)據(jù)包進行行審查，分析其包頭中所包含的源地址、目的地址、封裝協(xié)議(TCP，UDP、ICMP，IP Tunnel等)、TCP/UDP源端口號和目的端口號、輸人輸出接口等信息，確定其是否與系統(tǒng)預先設定的安全策略相匹配，以決定允許或拒絕該數(shù)據(jù)包的通過。從而起到保護內部網(wǎng)絡的作用，這一過程就稱為數(shù)據(jù)包過濾。

本例中網(wǎng)絡環(huán)境為：內部網(wǎng)絡使用的網(wǎng)段為192.168.1.0，eth0為防火墻與Internet接口的網(wǎng)卡，eth1為防火墻與內部網(wǎng)絡接口的網(wǎng)卡。

數(shù)據(jù)包過濾規(guī)則的設計如下：

2.1與服務有關的安全檢查規(guī)則

這類安全檢查是根據(jù)特定服務的需要來決定是否允許相關的數(shù)據(jù)包被傳輸.這類服務包括WWW，F(xiàn)TP，Telnet，SMTP等.我們以WWW包過濾為例，來分析這類數(shù)據(jù)包過濾的實現(xiàn).WWW數(shù)據(jù)包采用TCP或UDP協(xié)議，其端口為80，設置安全規(guī)則為允許內部網(wǎng)絡用戶對Internet的WWW訪問，而限制Internet用戶僅能訪問內部網(wǎng)部的WWW服務器，(假定其IP地址為192.168.1.11)。

要實現(xiàn)上述WWW安全規(guī)則，設置WWW數(shù)據(jù)包過濾為，在防火eth0端僅允許目的地址為內部網(wǎng)絡WWW服務器地址數(shù)據(jù)包通過，而在防火墻eth 1端允許所有來自內部網(wǎng)絡WWW數(shù)據(jù)包通過。

#Define HTTP packets

#允許Internet客戶的WWW包訪問WWW服務器

/sbin/ipchains-A input-p tcp-s 0.0.0.0/0 1024:-d 192.168.1.11/32 www-i eth0 –j ACCEPT

/sbin/ipchains-A input-p tcp-s 0.0.0.0/fl 1024:-d 192.168.1.11132 www-i eth0 –j ACCEPT

#允許WWW服務器回應Internet客戶的WWW訪問請求

/sbin/ipchains-A input-ptcp-s192.168.1.11/32www:-d 0.0.0.0/0 1024:-i ethl –j ACCEPT

/sbin/ipchains-A input-p udp-s 192.168.1.11 /32www:-d 0.0.0.0/0 1024:-i eth1 –j ACCEPT

顯然，設置此類數(shù)據(jù)過濾的關鍵是限制與服務相應的目地地址和服務端口。

與此相似，我們可以建立起與FTP，Telnet，SMTP等服務有關的數(shù)據(jù)包檢查規(guī)則；

2.2與服務無關的安全檢查規(guī)則

這類安全規(guī)則是通過對路由表、數(shù)據(jù)包的特定IP選項和特定段等內容的檢查來實現(xiàn)的，主要有以下幾點：

①數(shù)據(jù)包完整性檢查(Tiny Fragment):安全規(guī)則為拒絕不完整數(shù)據(jù)包進人Ipchains本身并不具備碎片過濾功能，實現(xiàn)完整性檢查的方法是利用REDHAT，在編譯其內核時設定IP ； always defrayments set to‘y’。REDHAT檢查進人的數(shù)據(jù)包的完整性，合并片段而拋棄碎片。②源地址IP(Source IP Address Spoofing)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包偽裝成來自某一內部網(wǎng)絡主機，以期能滲透到內部網(wǎng)絡中.要實現(xiàn)這一安全規(guī)則，設置拒絕數(shù)據(jù)包過濾規(guī)則為，在防火墻eth0端拒絕1P源地址為內部網(wǎng)絡地址的數(shù)據(jù)包通過。

③源路由(Source Routing)欺騙:安全規(guī)則為拒絕從外部傳輸來的數(shù)據(jù)包包含自行指定的路由信息，實現(xiàn)的方法也是借助REDHAT的路由功能，拒絕來自外部的包含源路由選項的數(shù)據(jù)包。

總之，放火墻優(yōu)點眾多，但也并非萬無一失。所以，安全人員在設定防火墻后千萬不可麻痹大意，而應居安思危，將防火墻與其他安全防御技術配合使用，才能達到應有的效果。

參考文獻：

[1]張 曄,劉玉莎.防火墻技術的研究與探討[J].計算機系統(tǒng)應用, 1999

[2]王麗艷.淺談防火墻技術與防火墻系統(tǒng)設計.遼寧工學院學報.2001 [3]郭偉.數(shù)據(jù)包過濾技術與防火墻的設計.江漢大學學報.2001

[4]Anthony Northup.NT Network Plumbing: Routers, Proxies, and Web Services [M].New York: IDG Books Worldwide, 1998.[5](美)Chris Hare Karanjit Siyan.Internet防火墻與網(wǎng)絡安全.北京:機械工業(yè)出版社,1998