企业网络的安全卫士:防火墙
来源:IT168 更新时间:2012-04-13
安全是网络中不可缺少的一门技术,随着网络的突飞猛进,网络中的恶意软件也越来越猖狂,随时危害企业用户或个人计算机的系统安全,好的安全架构就是让企业或个人的的网络加装了一把高品质的防盗锁.防火墙自然而然被越来越多的企业或个人用户所使用!

    防火墙概述

    防火墙是位于计算机与所连接的任意目标网络之间的过滤分析软件,可监督计算机中出入的任意数据流量及程序软件名,达到审核保护计算机的目的,并依据用户自定义的拦截方案对非法程序禁止出入计算机。而对于外部攻击防火墙可以自设定关闭不必要的端口,阻挡木马及恶意程序的连接控制或远程攻击!防火墙的类型有很多种,总的分为硬件与软件两种,一个防火墙可以是硬件自身的一部分,也可以由软件所构成。除了访问控制功能外,现在大多数的防火墙制造商在设备上集成了相关安全技术,如NAT和VPN、病毒防护,防火墙包过滤技术、多级过滤技术等,并利用动态包过滤技术对网络中数据包流量进行分析过滤。

    数据包过滤型防火墙

    packet filtering数据包过滤技术是根据系统内设的过滤机制在网络层进行数据包选择,通过检查数据流量中数据包的源地址、目的地址、端口号及协议状况按规则决定是否允许其数据包通过该程序,其价格便宜安装简单。

    分布式防火墙

    分布式防火墙是设置在网络边界,节约了大量资金的投入,而所带来的安全防护是相当全面的,其可以做到主机驻留(又名主机防火墙)其主要功能体现在让安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。 其嵌入操作系统(防火墙安全监测核心引擎嵌入操作系统内核运行)内核的能力十分卓越,直接接管网卡数据,将所有数据包进行规则检查后再提交操作系统进行分工支配。分布式防火墙最大好处在于增加了入侵检测和防护功能,对来自内部攻击防范,可以实施全方位的安全策略定位。

    复合型防火墙

    由于企业用户在网络中的安全要求越来越高,包过滤与应用代理方法结合使用,形成了屏隐主机防火墙与子网防火墙的措施,可以将分组过滤器或防火墙与公网连接,通过其合理过滤设置将主机成为公网中其他节点所能到达的唯一节点,同时也可以实施将防火墙放在子网中实现子网与公网及内部网络分离的效果,保障网络安全。

    芯片级防火墙

    此防火墙是一款级别更高的基于专门硬件平台的防火体系,其专有的芯片将防火墙的过滤检测速度提升的更快,通常可以达到千兆以上,由于其硬件独立,所以很少能受到操作系统本身漏洞袭击,其灵活的策略设置,将用户的安全系统推向一个新的局面,而采用NVIDIA芯片组内嵌的防火墙可以抵挡黑客入侵及各种攻击手段,包含防IP欺骗及储存攻击!

防火墙策略

    使用Internet访问规则对企业工作站点或网络是否禁止\允许访问给出策略,对Internet访问流量达到一定数据时可以设定断开网络规则

    在设置访问控制时可以考虑对网络通讯从端口、目标地址、源地址等进行逐步包过滤与入侵监测,控制来自内网或公网的应用服务请求(如数据库访问、协议访问等)。 实时报告当前网络中的所有用户、公网、内网及访问时间、访问事件,并启用日志记载功能,从而形成网络监控一体化。

    在对恶意用户及程序上作出抗力性,良好的防火墙可以起到抵御黑客攻击(包括Ping攻击、洪水式拒绝服务攻击、ARP欺骗式攻击、病毒进袭、Trojan木马攻击等在内的近百种,将在很大程度上保障系统安全。

    针对各个网络的不同,防火墙也要做好配合其它相关软件(杀毒软件等)的先行让路条件,允许其访问公网规则,并做好组策略方案及系统备份方案。

    硬软防火墙

    硬件防火墙是在基于网络硬件的基础上加装软件实现对网络的安全防护,达到隔离过滤内外网络非法数据包攻击目的,其造价非常高但效果非常好,可以有效抵御网络攻击,而软件防火墙有所不同,其造价低,只凭软件程序来实现对计算机的网络防护,在其受到一定数据流量攻击时,配置稍差的计算机就会出现速度变慢CPU占用率升高等情况,甚至可以导致系统死机。其硬件防火墙的产品有思科、NetScreen 、Fortinet 等,而软件防火墙更是众家纷呈有:诺顿、瑞星、天网等很多品牌,用户可以根据需求量体选择。