金 朝

（廣州工程總承包集團有限公司 廣東 510310）

1 防火墻在網(wǎng)絡(luò)中的應(yīng)用

1.1 企業(yè)自身業(yè)務(wù)類型和風(fēng)險分析

企業(yè)信息管理人員在部署防火墻之前，必須對企業(yè)自身的業(yè)務(wù)流程進行詳盡的分析和研究，制定網(wǎng)絡(luò)安全的目標(biāo)；對企業(yè)網(wǎng)絡(luò)的構(gòu)架和業(yè)務(wù)信息流程進行風(fēng)險評估和威脅評估；對企業(yè)中各種資源進行風(fēng)險級別和信息安全級別的分類和定義。這個過程對實現(xiàn)整個企業(yè)的信息安全是至關(guān)重要的。這里涉及的風(fēng)險級別的高低與信息安全性的高低概念不同，風(fēng)險級別標(biāo)明資源的易受攻擊程度；安全性級別根據(jù)企業(yè)資源的重要性劃分，并逐一設(shè)定應(yīng)對和保護措施。

1.2 安全策略的設(shè)立及審計

在對企業(yè)的各個業(yè)務(wù)應(yīng)用系統(tǒng)和信息資源進行了詳盡的分析之后，可以針對各個信息資源制定不同的安全策略。例如：這時要明確對于各個信息資源的維護者是誰?使用者是誰?或為了完成企業(yè)的某個業(yè)務(wù)應(yīng)用，要使用到那些信息資源，而這些信息資源的風(fēng)險級別和信息安全級別是什么樣的。之后，企業(yè)的信息管理人員要制定企業(yè)自身的保密策略、信息訪問策略、認(rèn)證策略、各個信息資源維護人員的職責(zé)以及信息訪問申請審批流程。

最后，企業(yè)信息管理人員要對整個安全策略的實施進行審計和監(jiān)控，以此為基礎(chǔ)進一步完善企業(yè)的安全策略。

2 應(yīng)用實例

2.1 對于簡單業(yè)務(wù)型企業(yè)網(wǎng)絡(luò)

簡單業(yè)務(wù)類型并不是企業(yè)規(guī)模小而是指被保護的企業(yè)信息比較單一，而這類信息通常不會被企業(yè)的大多數(shù)應(yīng)用系統(tǒng)所使用。對于這類信息，我們通常的做法是在此類信息數(shù)據(jù)庫之前，放置防火墻設(shè)備（見圖1）。根據(jù)之前對企業(yè)各個信息系統(tǒng)和企業(yè)信息流的分析和分類，企業(yè)信息管理人員可以清楚地知道都有哪些企業(yè)應(yīng)用會用到要保護的信息。再根據(jù)企業(yè)整體的IP地址規(guī)劃，企業(yè)信息管理人員可以方便的制定安全策略。具體做法是：逐一列出與要保護信息資源有關(guān)的各個應(yīng)用系統(tǒng)的子網(wǎng)或主機地址，以及他們都會通過何種方式訪問要保護的信息資源。將以上的需求列表逐條按防火墻的語法規(guī)則寫入防火墻設(shè)備。除了允許的訪問，一切其他的服務(wù)都應(yīng)該被禁止。

圖1 簡單業(yè)務(wù)型企業(yè)網(wǎng)絡(luò)防火墻的配置

2.2 對于中等復(fù)雜業(yè)務(wù)型企業(yè)網(wǎng)絡(luò)

在企業(yè)中還有一類信息訪問，它們作為企業(yè)的信息發(fā)布平臺需要企業(yè)外部人員可以方便的訪問，同時這個信息發(fā)布平臺需要從企業(yè)內(nèi)部信息系統(tǒng)中獲取必要的數(shù)據(jù)信息。例如企業(yè)的門戶網(wǎng)站。對于這樣的業(yè)務(wù)應(yīng)用類型，我們通常會用防火墻將企業(yè)內(nèi)部系統(tǒng)和企業(yè)的Web服務(wù)器以及真正的Internet訪問用戶分開，并給每部分的連接設(shè)定安全等級。通常來連接企業(yè)內(nèi)部系統(tǒng)的部分安全級別最高，企業(yè)的Web服務(wù)器所在區(qū)域的安全級別次之，而連接Internet部分的安全級別最低（見圖2）。

圖2 中等復(fù)雜業(yè)務(wù)型企業(yè)網(wǎng)絡(luò)防火墻的配置

這樣管理人員可以通過設(shè)定安全策略只允許企業(yè)的 Web服務(wù)器通過防火墻訪問特定的企業(yè)內(nèi)部信息；同時禁止Internet用戶直接訪問企業(yè)的內(nèi)部信息，Internet用戶只能通過防火墻訪問企業(yè)的Web服務(wù)。這樣就可以實現(xiàn)企業(yè)對外的信息發(fā)布，又可以對企業(yè)內(nèi)部信息進行有效保護。

2.3 對于大型企業(yè)信息中心的網(wǎng)絡(luò)

對于一些大型企業(yè)為了實現(xiàn)對企業(yè)信息的集中管理，會建立企業(yè)數(shù)據(jù)中心。通常對于數(shù)據(jù)中心包括各個業(yè)務(wù)部門的數(shù)據(jù)信息，這樣仍可以按不同的業(yè)務(wù)部門將各自的數(shù)據(jù)信息分開，這樣在數(shù)據(jù)中心內(nèi)實際上被劃分成了多個以業(yè)務(wù)為單位的區(qū)域，每個業(yè)務(wù)單位的數(shù)據(jù)是既獨立又可以方便的相互共享。

對于這樣的網(wǎng)絡(luò)應(yīng)用，可以對每個業(yè)務(wù)部門的數(shù)據(jù)信息都用各自的防火墻進行保護。如圖3所示，在企業(yè)數(shù)據(jù)中心中有3個業(yè)務(wù)部門的數(shù)據(jù)信息分別用不同的顏色加以區(qū)分。每個業(yè)務(wù)部門的數(shù)據(jù)信息都有內(nèi)外兩層防火墻進行保護，這兩層防火墻分別對來自分公司用戶或INTERNET用戶的訪問進行控制，以及對來自企業(yè)內(nèi)部的用戶對相應(yīng)數(shù)據(jù)信息的訪問進行控制。

圖3 大型企業(yè)信息中心型網(wǎng)絡(luò)防火墻的配置

3 防火墻未來發(fā)展

3.1 防火墻將繼續(xù)向集成化方向發(fā)展

面對復(fù)雜多變的網(wǎng)絡(luò)攻擊，具有單一功能的傳統(tǒng)防火墻已經(jīng)被證明不適合新的安全需求。從UTM到NGFW，云計算、SSL代理、防病毒、VPN、NAC、IPS/IDS、URL 過濾等越來越多的安全功能被整合到防火墻里。“同平臺，多功能”的模式已經(jīng)被眾多的防火墻研發(fā)廠商所接受，防火墻已經(jīng)由獨立化逐漸步入到集成化的時代。

3.2 防火墻防護性能和高速處理能力要求越來越高

隨著防火墻技術(shù)的發(fā)展，穩(wěn)定性和可靠性成為人們關(guān)注的焦點。NGFW 誕生后，超高性能和高可管理性一直是研發(fā)廠商追求的目標(biāo)。除了應(yīng)用的識別和管控技術(shù)被進一步深化，NGFW的處理能力也在不斷地被提升。例如，SonicWALL 旗下的SuperMassive E10000系列的應(yīng)用識別與控制能力可達到30Gbps、IPS 處理能力可達到30Gbps、反惡意軟件處理能力可達到 12Gbps、IPSec VPN 性能可達到20Gbps。

3.3 內(nèi)部數(shù)據(jù)安全防護問題將會受到更多關(guān)注

從傳統(tǒng)防火墻到 NGFW，防火墻廠商一直更多關(guān)注的是從“外”向“內(nèi)”的攻擊防護，對內(nèi)部數(shù)據(jù)安全的關(guān)注稍顯不足。隨著數(shù)據(jù)泄漏問題的日趨增多，防火墻廠商也開始力圖在防火墻中提供對數(shù)據(jù)泄漏問題的解決方案或措施。

4 結(jié)束語

對于企業(yè)用戶而言，其數(shù)據(jù)信息面臨著來自多方面的威脅，要全面提高整體安全性，就必須從制度和技術(shù)兩方面進行管理。制度方面，首先企業(yè)領(lǐng)導(dǎo)要對數(shù)據(jù)信息安全給以高度的重視，事先制定好安全規(guī)則，目標(biāo)和策略；企業(yè)信息管理人員要對本企業(yè)的各個業(yè)務(wù)應(yīng)用系統(tǒng)，業(yè)務(wù)信息流程進行細致的分析，并以此為根據(jù)構(gòu)建安全模型，制定具體的安全訪問控制策略；并對整個安全系統(tǒng)進行監(jiān)控和審計，找出不足之處和新的漏洞，及時加以完善。技術(shù)方面，企業(yè)的信息管理人員要根據(jù)本企業(yè)各個業(yè)務(wù)應(yīng)用系統(tǒng)的特點，選擇適合本企業(yè)，本系統(tǒng)的安全產(chǎn)品。除了安裝防火墻，為了應(yīng)對蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)等侵?jǐn)_還要將防火墻，入侵檢測系統(tǒng)和防病毒系統(tǒng)結(jié)合在一起，提高整個數(shù)據(jù)信息的安全。

[1]宋國華.某企業(yè)計算機網(wǎng)絡(luò)安全系統(tǒng)設(shè)計與實現(xiàn)[D].電子科技大學(xué)，2012.

[2]鄭偉.基于防火墻的網(wǎng)絡(luò)安全技術(shù)的研究[D].吉林大學(xué)，2012.

[3]劉松立.基于設(shè)計策略和安全策略的企業(yè)防火墻構(gòu)建[J].科技創(chuàng)新導(dǎo)報，2010，26：34.

[4]楊在華.中小型企業(yè)網(wǎng)絡(luò)防火墻設(shè)計與實現(xiàn)[J].科技信息，2011，15：98.