999精品在线视频,手机成人午夜在线视频,久久不卡国产精品无码,中日无码在线观看,成人av手机在线观看,日韩精品亚洲一区中文字幕,亚洲av无码人妻,四虎国产在线观看 ?

基于下一代防火墻技術的企業網絡安全應用

2020-09-10 13:55:16廖偉國蕭鴻希文明瑤
看世界·學術上半月 2020年11期
關鍵詞:網絡安全

廖偉國 蕭鴻希 文明瑤

摘要:在互聯網高速發展的今天,網絡的安全使用已成為企業信息化管理和正常發展的重要保證。本文基于下一代防火墻技術,對企業網絡安全的設計與實現進行研究,首先介紹研究的背景及意義;然后傳統防火墻的缺陷;接著對下一代防火墻進行特性分析并進行了安全策略研究及方案部署。

關鍵詞:下一代防火墻 網絡安全 安全策略

一、 論文綜述

(一)背景

隨著互聯網發展,企業加大了信息化的建設投入,以此提高企業的競爭力。企業的網絡規模越來越大,網上業務越來越重要,網絡的安全問題也越來越突出。

傳統防火墻是保障企業網絡安全的重要手段,也是目前應用最廣的安全產品。防火墻通過硬件或軟件形式,控制企業與外部網絡的信息傳輸,根據用戶需求,制定不同的安全策略,有效針對外部網絡對企業內部網絡的非法訪問,防止企業內部資料遭到竊取。防火墻也可以控制企業內部網絡對外部網絡的訪問,防止員工進行不安全的網絡活動。

(二)傳統防火墻的缺陷

傳統防火墻用以下幾種方式進行報文過濾:

(1) 防火墻以端口作為依據控制報文的訪問。根據報文的協議、源端口、目的端口來判斷網絡服務。例如防火墻收到80端口的TCP報文,判斷為HTTP服務。

(2)防火墻以IP地址作為依據,控制報文的訪問。

(3)防火墻以五元組作為依據,定義一條網絡流。防火墻通過源IP、目的IP、源端口、目的端口、報文協議共五項數據來劃分網絡流。同一條網絡流的所有報文的安全性是一致的。防火墻只對一條網絡流的首個報文進行合法性檢查,首個報文通過后,建立會話,后續的報文通過會話進行轉發,無需重復檢查,提高轉發效率。

隨著網絡發展,傳統的防火墻已經無法滿足新的安全需求,無法良好的應對基于應用協議的攻擊。

在新的網絡應用中出現了各種P2P軟件,通過非知名端口或隨機端口進行通信。傳統防火墻通過端口識別的方式無法有效識別非法程序。

傳統防火墻以五元組作為依據定義一條網絡流安全性的方式雖然效率高,但是卻缺少對流量持續的安全防護,攻擊者可以在一次正常的訪問中植入木馬與病毒。

VPN技術在企業中的應用十分廣泛,但傳統防火墻無法檢測加密后的報文,容易被加密后的數據繞過,是一個很大的安全隱患。

二、下一代防火墻

(一) 下一代防火墻簡介

由于以被動防御為主的傳統防火墻,無法良好應對基于應用協議的攻擊,所以已經無法滿足企業新的網絡安全需求。企業在發展信息化的過程中,需要網絡的穩定運行,又需要對業務流量有足夠的控制能力,于是就出現了以主動防御為主的新產品——下一代防火墻(Next Generation Firewall,簡稱NGFW)。NGFW在傳統五元組上加入了應用和用戶,以七元組作為依據,為企業制定安全策略。NGFW具備傳統防火墻功能的同時融合了入侵防御系統的能力,通過全新的高性能引擎技術,提供了應用內容識別能力。

(二) 下一代防火墻特性分析

NGFW提供了兩種先進的機制完善了應用層和內容識別的安全防護能力:

(1)一次掃描,對報文進行一次掃描,通過全新的高性能引擎,提取報文數據,智能識別出流量的應用類型、報文的內容、存在的網絡威脅。

(2)實時檢測,通過全新的高性能引擎,實時檢測流量傳輸過程中的報文,實時阻攔不安全報文,持續保障網絡安全。

三、基于下一代防火墻的企業網絡安全方案

(一)遷移注意事項

企業目前使用的安全方案是傳統防火墻、入侵檢測設備、防病毒設備等多種安全產品的組合。由于現有的設備部署了大量的安全策略,所以在現有的環境直接將安全產品替換為下一代防火墻會對企業的網絡服務造成很大的影響,一旦出現差錯,會造成企業出現不可逆的損失。所以在遷移過程中,我們一定要注意以下事項:

(1)注意產品的兼容性。最好選購與原有防火墻同一廠家的新設備。防止設備不兼容造成網絡的不穩定。同時網絡管理員熟悉同一廠商的配置命令,遷移服務時的效率更高。

(2)逐步遷移,減少影響。不可以一次性將全部服務轉移到新設備上,逐步遷移能控制風險,降低出錯的概率,減少出錯造成的損失。

(二)部署方案

1部署在三層的初始化配置

這種場景下的下一代防火墻工作在網絡層(如下圖1),作為網絡層的網關,實現內部網絡與外部網絡的安全防護。需要對NGFW進行以下初始化配置:

(1)在NGFW上運行原有網關設備上有關于網絡層協議的全部配置,例如IP地址的配置、路由協議的配置,盡量避免修改周邊連接設備,影響整個網絡拓撲。

(2)配置NAT,進行內網地址與外網地址的轉換,保證內外網互通的同時,可以將內網地址隱藏,起到安全防護作用。

2部署在二層的初始化配置

這種場景下的下一代防火墻工作在數據鏈路層(如下圖2),以透明網橋的方式加入網絡,無需改變網絡拓撲,基于MAC地址對流量進行控制。需要對NGFW進行以下初始化配置:

(1)配置二層接口為Trunk模式,允許VLAN100與VLAN200的流量。

(2)預留接口與三層連接,用作管理口,保證管理員可以登錄設備進行后期的升級維護。為三層接口創建VLAN子接口,分別加入VLAN100、VLAN200。

3 安全策略

(1)雙機熱備,兩臺防火墻互相備份,在一臺防火墻出現問題后,另一臺防火墻自動接替工作,保證網絡正常運行,提高網絡可靠性。

(2)防病毒功能,防止內網用戶下載病毒文件、外網用戶上傳病毒文件到企業內網。

(3)入侵防御功能,檢測外網入侵行為則阻斷連接,內網用戶訪問外網惡意網頁則阻斷連接。

四、 總結

下一代防火墻用一臺設備集成了防火墻、IPS等多種安全功能,降低了企業維護安全設備的難度,降低了企業網絡安全的維護成本,并能有效應對傳統防火墻無法解決的問題。使用下一代防火墻,制定有效的安全策略,提升企業網絡安全水平,能有效保障企業利益不受侵害。

參考文獻:

[1]喻曉. 企業網絡的優化與安全[J]. 信息網絡安全, 2010(9):46-47.

[2]張鐵志. 網站服務器安全維護探討[J]. 通訊世界, 2015, 000(007):262-263.

[3]梅夢. 以防火墻技術為核心的網絡安全架構[J]. 硅谷, 2013, 000(006):47-47.

作者簡介:

廖偉國,男 ,工程碩士,華南農業大學珠江學院,講師,主要研究方向:計算機網絡、計算機科學與技術。

項目名稱:廣東省高等教育教學研究和改革項目《“移動互聯網+”環境下的微信公眾平臺在高校課程教學中的應用探索與實踐》

猜你喜歡
網絡安全
網絡安全(上)
網絡安全知多少?
工會博覽(2023年27期)2023-10-24 11:51:28
新量子通信線路保障網絡安全
網絡安全
網絡安全人才培養應“實戰化”
上網時如何注意網絡安全?
網絡安全與執法專業人才培養探索與思考
設立網絡安全專項基金 促進人才培養
網絡安全監測數據分析——2015年11月
互聯網天地(2016年1期)2016-05-04 04:03:20
打造信息網絡安全的銅墻鐵壁
主站蜘蛛池模板: 老色鬼久久亚洲AV综合| 国产自在线播放| 自拍偷拍欧美日韩| 国产精品污视频| 欧美啪啪网| 国产成人AV综合久久| 亚洲成人精品在线| 午夜一级做a爰片久久毛片| 国产XXXX做受性欧美88| 精品久久国产综合精麻豆| 国产美女精品人人做人人爽| 高清精品美女在线播放| 亚洲VA中文字幕| 亚洲欧洲日产国产无码AV| 中国国产A一级毛片| 免费不卡在线观看av| 日本午夜视频在线观看| 久久免费精品琪琪| 精品91视频| 欧美国产综合视频| 久久亚洲黄色视频| 国产精品尤物在线| 亚洲成肉网| 国产黄网站在线观看| 97国产一区二区精品久久呦| 亚洲精品卡2卡3卡4卡5卡区| 91美女视频在线| 真人免费一级毛片一区二区| 成人av手机在线观看| 国产精品深爱在线| 国产日韩丝袜一二三区| 国产精品久久久免费视频| 国产国语一级毛片在线视频| aa级毛片毛片免费观看久| 国产精品视频导航| 一级成人a毛片免费播放| 69综合网| 欧美一级大片在线观看| 亚洲二区视频| 青青青草国产| 久久伊伊香蕉综合精品| 亚洲不卡影院| 扒开粉嫩的小缝隙喷白浆视频| 国产人成在线视频| 久久精品午夜视频| 欧美亚洲国产视频| 欧美亚洲欧美| 中文字幕 91| 911亚洲精品| 国产女人18毛片水真多1| 日韩视频免费| 色综合天天操| 女人一级毛片| 亚洲日韩在线满18点击进入| 3344在线观看无码| 国产成人一区在线播放| 成人在线视频一区| 青青热久麻豆精品视频在线观看| 国产97视频在线| 亚洲日本www| 国产又色又爽又黄| 成人在线综合| 亚洲一区二区黄色| 九色91在线视频| 亚洲中文字幕23页在线| 天天综合天天综合| 波多野结衣一区二区三区四区| 九色91在线视频| 中文成人在线视频| 国产爽爽视频| 99国产精品一区二区| 亚洲午夜国产精品无卡| 日本成人不卡视频| 亚洲中文字幕无码爆乳| 丰满人妻久久中文字幕| 69综合网| 色噜噜狠狠色综合网图区| 免费a级毛片视频| 亚洲精品久综合蜜| 日韩精品久久久久久久电影蜜臀| 国产精品视频观看裸模| 亚洲an第二区国产精品|