傅鑫磊

摘 要：隨著信息化的不斷普及，各個大中型企業(yè)都有了自己的網(wǎng)絡(luò)架構(gòu)，企業(yè)也越來越重視網(wǎng)絡(luò)的安全性，在網(wǎng)絡(luò)維護(hù)的過程中，防火墻承載著保證整個網(wǎng)絡(luò)的安全的責(zé)任。防火墻是企業(yè)內(nèi)部網(wǎng)絡(luò)信息安全的首道防線，因此針對企業(yè)實(shí)際情況架設(shè)最合適的網(wǎng)絡(luò)架構(gòu)，配置最優(yōu)的信息篩選策略，才能夠使企業(yè)的網(wǎng)絡(luò)安全得到有效的保障[1]。

關(guān)鍵詞：防火墻;企業(yè)網(wǎng)絡(luò)安全;設(shè)計;實(shí)現(xiàn)

DOI：10.16640/j.cnki.37-1222/t.2019.05.151

隨著企業(yè)信息資源的存儲量越來越大，企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)安全也越來越會受到重視，防火墻的配置給企業(yè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)安全設(shè)置第一道防線，以下通過分析防火墻設(shè)計的原則以及具體設(shè)計與實(shí)現(xiàn)，來總體分析防火墻在企業(yè)網(wǎng)絡(luò)中的實(shí)施。

1 針對企業(yè)網(wǎng)絡(luò)安全的防火墻設(shè)計原則

在部署一個企業(yè)的網(wǎng)絡(luò)安全防火墻時，應(yīng)遵循一些固定的原則，在保證網(wǎng)絡(luò)安全的基礎(chǔ)上，以免產(chǎn)生不必要的維護(hù)量。綜合性原則：即企業(yè)的網(wǎng)絡(luò)安全設(shè)計要考慮企業(yè)的整體綜合情況，從實(shí)際出發(fā)，考慮到各種情況，權(quán)衡網(wǎng)絡(luò)安全中可能出現(xiàn)的問題，從而制定出可以保障企業(yè)網(wǎng)絡(luò)安全的有效防護(hù)措施。簡易與靈活性原則：網(wǎng)絡(luò)安全的設(shè)計不宜過于復(fù)雜，也需要具有一定得靈活性，在保證功能的基礎(chǔ)上，盡量使其操作簡易，便于維護(hù)和往后的升級。高效與可擴(kuò)充性原則：企業(yè)的網(wǎng)絡(luò)安全必須是高效的，也就是防火墻的設(shè)置必須是符合企業(yè)的網(wǎng)絡(luò)安全需求的并且可以高效率的運(yùn)行并保障網(wǎng)絡(luò)安全，同時，企業(yè)的網(wǎng)絡(luò)不可能一成不變，因此防火墻在企業(yè)網(wǎng)絡(luò)的安全設(shè)計中必須還是可以擴(kuò)充的，在網(wǎng)絡(luò)架構(gòu)發(fā)生變更或者需要升級的時候，能夠進(jìn)行對應(yīng)的擴(kuò)充操作。

2 企業(yè)網(wǎng)絡(luò)安全的防火墻設(shè)計

防火墻顧名思義，即是防止網(wǎng)絡(luò)外部的一些不安全因素的入侵和干擾，防火墻工作于終端用戶與互聯(lián)網(wǎng)之間，是服務(wù)器的中轉(zhuǎn)站。一方面接收客戶端的數(shù)據(jù)請求并及時響應(yīng)連接，另一方面，對服務(wù)器發(fā)出的信號傳輸給客戶端，以此實(shí)現(xiàn)客戶端與服務(wù)器的數(shù)據(jù)傳輸。防火墻的網(wǎng)絡(luò)位置如圖1所示：

（1）入侵檢測。企業(yè)網(wǎng)絡(luò)外部的用戶終端對企業(yè)內(nèi)部主機(jī)的非授權(quán)登入和對主機(jī)資源的非授權(quán)使用稱之為入侵，入侵對于企業(yè)內(nèi)部數(shù)據(jù)信息安全存在著十分大的隱患，也會給企業(yè)的網(wǎng)絡(luò)造成很大的安全漏洞。因此在防火墻的設(shè)計和部署過程中，必須重視入侵檢測系統(tǒng)的配置，能夠有效地抵擋入侵腳本、自動命令等的入侵攻擊，及時并高效的檢測到各類入侵行為，抵擋各類惡意的活動，對可能發(fā)生的安全隱患做好防護(hù)應(yīng)對措施。

（2）加密設(shè)計。防火墻的加密技術(shù)主要有兩種，一種是數(shù)據(jù)加密，另外一種是硬件與軟件加密。數(shù)據(jù)加密主要是通過非對稱秘鑰與對稱秘鑰兩種方式進(jìn)行加密，對一些機(jī)密數(shù)據(jù)進(jìn)行加密后傳輸，以此保證企業(yè)內(nèi)部數(shù)據(jù)安全。硬件與軟件加密，顧名思義，即是對防火墻等硬件進(jìn)行加密處理，防止外部系統(tǒng)登入，安全系數(shù)相對較高，軟件加密相對硬件加密成本更低，同時簡易性和靈活性也比較高，在企業(yè)網(wǎng)絡(luò)架構(gòu)中應(yīng)用比較廣泛。

（3）身份驗證的設(shè)計。防火墻可以通過一定得規(guī)則來認(rèn)證識別用戶身份信息，確保用戶的合法性，阻止非法用戶登入，以此來達(dá)到保護(hù)主機(jī)網(wǎng)絡(luò)的安全。身份驗證主要是針對授權(quán)者的識別，將證據(jù)內(nèi)容與實(shí)體用戶身份進(jìn)行捆綁，確保實(shí)體的身份與系統(tǒng)證據(jù)一致，使用戶、程序、主機(jī)、進(jìn)程等實(shí)體得到安全的信息維護(hù)。

（4）包過濾的設(shè)計。任何的數(shù)據(jù)進(jìn)出企業(yè)網(wǎng)絡(luò)，都是以數(shù)據(jù)包的形式進(jìn)行傳輸，而防火墻對數(shù)據(jù)包則進(jìn)行嚴(yán)格的過濾，讀取對應(yīng)的數(shù)據(jù)包進(jìn)行詳細(xì)的信息數(shù)據(jù)分析，檢測該數(shù)據(jù)包的安全性，如果無法通過包過濾檢測，則該數(shù)據(jù)包無法進(jìn)入此網(wǎng)絡(luò)。包過濾數(shù)據(jù)檢測是一項成本較低并且使用率很高的設(shè)計，對于信息數(shù)據(jù)的篩查可謂滴水不漏，缺陷在于此檢測無法限制程序、郵件等病毒類型進(jìn)入網(wǎng)絡(luò)，因此還需要配合其他的策略來共同保障網(wǎng)絡(luò)信息安全。

（5）狀態(tài)檢測的設(shè)計。防火墻的狀態(tài)檢測主要是針對外部的訪問行為，屬于一種控制技術(shù)，目的是阻擋非法訪問對企業(yè)網(wǎng)絡(luò)資源進(jìn)行訪問，這種訪問控制技術(shù)一般分為兩個類型，一種類型是系統(tǒng)訪問控制，另一種是網(wǎng)絡(luò)訪問控制，網(wǎng)絡(luò)訪問控制用來限制外部終端與企業(yè)內(nèi)部主機(jī)和終端的互相訪問，系統(tǒng)訪問控制則是對特殊用戶進(jìn)行特殊的權(quán)限賦予，使其能夠?qū)χ鳈C(jī)進(jìn)行一些特殊操作。

3 使用防火墻在企業(yè)網(wǎng)絡(luò)安全中的實(shí)現(xiàn)

防火墻在企業(yè)網(wǎng)絡(luò)安全的應(yīng)用過程中，必須要求企業(yè)強(qiáng)化網(wǎng)絡(luò)安全管理，并且對網(wǎng)絡(luò)安全需求進(jìn)行詳細(xì)的分析，制定出網(wǎng)絡(luò)安全的具體實(shí)施策略。企業(yè)網(wǎng)絡(luò)管理人員對本企業(yè)實(shí)際存在的網(wǎng)絡(luò)安全問題進(jìn)行總結(jié)和規(guī)劃，在薄弱的環(huán)節(jié)采取對應(yīng)的安全措施，對安全風(fēng)險漏洞進(jìn)行預(yù)測分析并做出安全策略。網(wǎng)絡(luò)的安全行為實(shí)則是一個一直變化的過程，企業(yè)需要實(shí)時的對網(wǎng)絡(luò)進(jìn)行需求分析，動態(tài)的分析網(wǎng)絡(luò)的安全狀態(tài)，從而及時的對各個系統(tǒng)的防護(hù)保密措施進(jìn)行檢測和更新，定時的維護(hù)硬件和軟件系統(tǒng)的安全問題，總結(jié)制定出適合企業(yè)發(fā)展的完善的網(wǎng)絡(luò)安全防護(hù)措施。

4 結(jié)束語

信息化時代的背景下，網(wǎng)絡(luò)的安全對于企業(yè)來說至關(guān)重要，信息資源的數(shù)據(jù)得到安全保障才可以保證企業(yè)順利運(yùn)行和參與企業(yè)競爭。企業(yè)網(wǎng)絡(luò)需要加強(qiáng)防火墻安全系統(tǒng)的建設(shè)，搭建一個穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境，維護(hù)企業(yè)信息和數(shù)據(jù)安全，提高企業(yè)的市場競爭力。

參考文獻(xiàn)：

[1]仝乃禮.計算機(jī)網(wǎng)絡(luò)安全漏洞分析及防范措施[J].電子技術(shù)與軟件工程，2017（06）.

[2]徐治國.計算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用[J].電子技術(shù)與軟件工程，2018（02）：219.

[3]馬小雨.防火墻和IDS聯(lián)動技術(shù)在網(wǎng)絡(luò)安全管理中的有效應(yīng)用[J].現(xiàn)代電子技術(shù)，2016（02）：42-44.