金 朝

（廣州工程總承包集團(tuán)有限公司 廣東 510310）

1 防火墻在網(wǎng)絡(luò)中的應(yīng)用

1.1 企業(yè)自身業(yè)務(wù)類型和風(fēng)險(xiǎn)分析

企業(yè)信息管理人員在部署防火墻之前，必須對(duì)企業(yè)自身的業(yè)務(wù)流程進(jìn)行詳盡的分析和研究，制定網(wǎng)絡(luò)安全的目標(biāo)；對(duì)企業(yè)網(wǎng)絡(luò)的構(gòu)架和業(yè)務(wù)信息流程進(jìn)行風(fēng)險(xiǎn)評(píng)估和威脅評(píng)估；對(duì)企業(yè)中各種資源進(jìn)行風(fēng)險(xiǎn)級(jí)別和信息安全級(jí)別的分類和定義。這個(gè)過程對(duì)實(shí)現(xiàn)整個(gè)企業(yè)的信息安全是至關(guān)重要的。這里涉及的風(fēng)險(xiǎn)級(jí)別的高低與信息安全性的高低概念不同，風(fēng)險(xiǎn)級(jí)別標(biāo)明資源的易受攻擊程度；安全性級(jí)別根據(jù)企業(yè)資源的重要性劃分，并逐一設(shè)定應(yīng)對(duì)和保護(hù)措施。

1.2 安全策略的設(shè)立及審計(jì)

在對(duì)企業(yè)的各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)和信息資源進(jìn)行了詳盡的分析之后，可以針對(duì)各個(gè)信息資源制定不同的安全策略。例如：這時(shí)要明確對(duì)于各個(gè)信息資源的維護(hù)者是誰(shuí)?使用者是誰(shuí)?或?yàn)榱送瓿善髽I(yè)的某個(gè)業(yè)務(wù)應(yīng)用，要使用到那些信息資源，而這些信息資源的風(fēng)險(xiǎn)級(jí)別和信息安全級(jí)別是什么樣的。之后，企業(yè)的信息管理人員要制定企業(yè)自身的保密策略、信息訪問策略、認(rèn)證策略、各個(gè)信息資源維護(hù)人員的職責(zé)以及信息訪問申請(qǐng)審批流程。

最后，企業(yè)信息管理人員要對(duì)整個(gè)安全策略的實(shí)施進(jìn)行審計(jì)和監(jiān)控，以此為基礎(chǔ)進(jìn)一步完善企業(yè)的安全策略。

2 應(yīng)用實(shí)例

2.1 對(duì)于簡(jiǎn)單業(yè)務(wù)型企業(yè)網(wǎng)絡(luò)

簡(jiǎn)單業(yè)務(wù)類型并不是企業(yè)規(guī)模小而是指被保護(hù)的企業(yè)信息比較單一，而這類信息通常不會(huì)被企業(yè)的大多數(shù)應(yīng)用系統(tǒng)所使用。對(duì)于這類信息，我們通常的做法是在此類信息數(shù)據(jù)庫(kù)之前，放置防火墻設(shè)備（見圖1）。根據(jù)之前對(duì)企業(yè)各個(gè)信息系統(tǒng)和企業(yè)信息流的分析和分類，企業(yè)信息管理人員可以清楚地知道都有哪些企業(yè)應(yīng)用會(huì)用到要保護(hù)的信息。再根據(jù)企業(yè)整體的IP地址規(guī)劃，企業(yè)信息管理人員可以方便的制定安全策略。具體做法是：逐一列出與要保護(hù)信息資源有關(guān)的各個(gè)應(yīng)用系統(tǒng)的子網(wǎng)或主機(jī)地址，以及他們都會(huì)通過何種方式訪問要保護(hù)的信息資源。將以上的需求列表逐條按防火墻的語(yǔ)法規(guī)則寫入防火墻設(shè)備。除了允許的訪問，一切其他的服務(wù)都應(yīng)該被禁止。

圖1 簡(jiǎn)單業(yè)務(wù)型企業(yè)網(wǎng)絡(luò)防火墻的配置

2.2 對(duì)于中等復(fù)雜業(yè)務(wù)型企業(yè)網(wǎng)絡(luò)

在企業(yè)中還有一類信息訪問，它們作為企業(yè)的信息發(fā)布平臺(tái)需要企業(yè)外部人員可以方便的訪問，同時(shí)這個(gè)信息發(fā)布平臺(tái)需要從企業(yè)內(nèi)部信息系統(tǒng)中獲取必要的數(shù)據(jù)信息。例如企業(yè)的門戶網(wǎng)站。對(duì)于這樣的業(yè)務(wù)應(yīng)用類型，我們通常會(huì)用防火墻將企業(yè)內(nèi)部系統(tǒng)和企業(yè)的Web服務(wù)器以及真正的Internet訪問用戶分開，并給每部分的連接設(shè)定安全等級(jí)。通常來連接企業(yè)內(nèi)部系統(tǒng)的部分安全級(jí)別最高，企業(yè)的Web服務(wù)器所在區(qū)域的安全級(jí)別次之，而連接Internet部分的安全級(jí)別最低（見圖2）。

圖2 中等復(fù)雜業(yè)務(wù)型企業(yè)網(wǎng)絡(luò)防火墻的配置

這樣管理人員可以通過設(shè)定安全策略只允許企業(yè)的 Web服務(wù)器通過防火墻訪問特定的企業(yè)內(nèi)部信息；同時(shí)禁止Internet用戶直接訪問企業(yè)的內(nèi)部信息，Internet用戶只能通過防火墻訪問企業(yè)的Web服務(wù)。這樣就可以實(shí)現(xiàn)企業(yè)對(duì)外的信息發(fā)布，又可以對(duì)企業(yè)內(nèi)部信息進(jìn)行有效保護(hù)。

2.3 對(duì)于大型企業(yè)信息中心的網(wǎng)絡(luò)

對(duì)于一些大型企業(yè)為了實(shí)現(xiàn)對(duì)企業(yè)信息的集中管理，會(huì)建立企業(yè)數(shù)據(jù)中心。通常對(duì)于數(shù)據(jù)中心包括各個(gè)業(yè)務(wù)部門的數(shù)據(jù)信息，這樣仍可以按不同的業(yè)務(wù)部門將各自的數(shù)據(jù)信息分開，這樣在數(shù)據(jù)中心內(nèi)實(shí)際上被劃分成了多個(gè)以業(yè)務(wù)為單位的區(qū)域，每個(gè)業(yè)務(wù)單位的數(shù)據(jù)是既獨(dú)立又可以方便的相互共享。

對(duì)于這樣的網(wǎng)絡(luò)應(yīng)用，可以對(duì)每個(gè)業(yè)務(wù)部門的數(shù)據(jù)信息都用各自的防火墻進(jìn)行保護(hù)。如圖3所示，在企業(yè)數(shù)據(jù)中心中有3個(gè)業(yè)務(wù)部門的數(shù)據(jù)信息分別用不同的顏色加以區(qū)分。每個(gè)業(yè)務(wù)部門的數(shù)據(jù)信息都有內(nèi)外兩層防火墻進(jìn)行保護(hù)，這兩層防火墻分別對(duì)來自分公司用戶或INTERNET用戶的訪問進(jìn)行控制，以及對(duì)來自企業(yè)內(nèi)部的用戶對(duì)相應(yīng)數(shù)據(jù)信息的訪問進(jìn)行控制。

圖3 大型企業(yè)信息中心型網(wǎng)絡(luò)防火墻的配置

3 防火墻未來發(fā)展

3.1 防火墻將繼續(xù)向集成化方向發(fā)展

面對(duì)復(fù)雜多變的網(wǎng)絡(luò)攻擊，具有單一功能的傳統(tǒng)防火墻已經(jīng)被證明不適合新的安全需求。從UTM到NGFW，云計(jì)算、SSL代理、防病毒、VPN、NAC、IPS/IDS、URL 過濾等越來越多的安全功能被整合到防火墻里。“同平臺(tái)，多功能”的模式已經(jīng)被眾多的防火墻研發(fā)廠商所接受，防火墻已經(jīng)由獨(dú)立化逐漸步入到集成化的時(shí)代。

3.2 防火墻防護(hù)性能和高速處理能力要求越來越高

隨著防火墻技術(shù)的發(fā)展，穩(wěn)定性和可靠性成為人們關(guān)注的焦點(diǎn)。NGFW 誕生后，超高性能和高可管理性一直是研發(fā)廠商追求的目標(biāo)。除了應(yīng)用的識(shí)別和管控技術(shù)被進(jìn)一步深化，NGFW的處理能力也在不斷地被提升。例如，SonicWALL 旗下的SuperMassive E10000系列的應(yīng)用識(shí)別與控制能力可達(dá)到30Gbps、IPS 處理能力可達(dá)到30Gbps、反惡意軟件處理能力可達(dá)到 12Gbps、IPSec VPN 性能可達(dá)到20Gbps。

3.3 內(nèi)部數(shù)據(jù)安全防護(hù)問題將會(huì)受到更多關(guān)注

從傳統(tǒng)防火墻到 NGFW，防火墻廠商一直更多關(guān)注的是從“外”向“內(nèi)”的攻擊防護(hù)，對(duì)內(nèi)部數(shù)據(jù)安全的關(guān)注稍顯不足。隨著數(shù)據(jù)泄漏問題的日趨增多，防火墻廠商也開始力圖在防火墻中提供對(duì)數(shù)據(jù)泄漏問題的解決方案或措施。

4 結(jié)束語(yǔ)

對(duì)于企業(yè)用戶而言，其數(shù)據(jù)信息面臨著來自多方面的威脅，要全面提高整體安全性，就必須從制度和技術(shù)兩方面進(jìn)行管理。制度方面，首先企業(yè)領(lǐng)導(dǎo)要對(duì)數(shù)據(jù)信息安全給以高度的重視，事先制定好安全規(guī)則，目標(biāo)和策略；企業(yè)信息管理人員要對(duì)本企業(yè)的各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)，業(yè)務(wù)信息流程進(jìn)行細(xì)致的分析，并以此為根據(jù)構(gòu)建安全模型，制定具體的安全訪問控制策略；并對(duì)整個(gè)安全系統(tǒng)進(jìn)行監(jiān)控和審計(jì)，找出不足之處和新的漏洞，及時(shí)加以完善。技術(shù)方面，企業(yè)的信息管理人員要根據(jù)本企業(yè)各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的特點(diǎn)，選擇適合本企業(yè)，本系統(tǒng)的安全產(chǎn)品。除了安裝防火墻，為了應(yīng)對(duì)蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)等侵?jǐn)_還要將防火墻，入侵檢測(cè)系統(tǒng)和防病毒系統(tǒng)結(jié)合在一起，提高整個(gè)數(shù)據(jù)信息的安全。

[1]宋國(guó)華.某企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)，2012.

[2]鄭偉.基于防火墻的網(wǎng)絡(luò)安全技術(shù)的研究[D].吉林大學(xué)，2012.

[3]劉松立.基于設(shè)計(jì)策略和安全策略的企業(yè)防火墻構(gòu)建[J].科技創(chuàng)新導(dǎo)報(bào)，2010，26：34.

[4]楊在華.中小型企業(yè)網(wǎng)絡(luò)防火墻設(shè)計(jì)與實(shí)現(xiàn)[J].科技信息，2011，15：98.