前言：中文期刊網精心挑選了防火墻解決方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

防火墻解決方案范文1

在技術和用戶需求驅動下，網絡和高端安全產品正在走向融合。未來，新一代信息技術將呈現出更加開放、智能、融合的屬性，這將給信息安全從業者帶來更大挑戰。

從用戶方面看，用戶需求開始由被動向主動轉型，對產品的選擇也趨于理性。在產品結構方面，除防火墻、IDS（入侵檢測系統）和防病毒這“老三樣”產品外，用戶對UTM（統一威脅管理）、Web安全、信息加密、身份認證、IPS（入侵防御系統）、VPN（虛擬專用網絡）、安全審計、安全管理平臺、專業安全服務等的需求逐步上升。

從防護對象看，用戶對網絡邊界安全和內網安全防護都有所加強，服務器、終端、操作系統、數據庫等軟硬件系統防護體系建設全面推進。網絡安全、應用安全、數據安全和系統安全體系將逐步健全。

2011年，隨著網絡威脅變得更加復雜多樣，單一功能的安全產品越來越難以滿足客戶的安全防護需求，安全產品正在向多功能化方向發展，安全集成和產品功能融合已經是大勢所趨，這種融合包括：軟硬件、安全產品和IT設備的融合，廠商之間的產品和解決方案的融合等。如：UTM將多種安全功能集于一體，集成了防火墻、網關防病毒、網絡入侵檢測與防護等功能，有取代傳統防火墻之勢，有望成為未來的主流信息安全產品之一。

從具體產品看，防火墻已經從最初的包過濾防火墻發展到現在的深度檢測防火墻，產品性能和對應用層數據的檢測能力不斷提高；UTM從簡單的功能疊加，逐步發展到功能融合；IDS/IPS隨著網絡技術和相關學科的發展日趨成熟；內網（終端）安全產品需求快速增長；Web應用安全類產品從單一保護模式發展到多方保護模式；SOC（安全管理平臺）產品正不斷適應本地化需求。

東軟NetEye安全運維管理平臺(SOC）

東軟NetEye安全運維管理平臺（SOC）解決了海量數據和信息孤島的困擾，整體上簡化了安全管理的數據模型。通過將網絡中各類IT基礎設施的多類數據存儲到一個通用數據庫中，并根據科學的策略進行關聯分析，協助安全維護人員更有效地回應不斷變化的安全風險。

東軟SOC采用創新的“私有云”架構，將數據收集、數據集成、數據分析等任務逐層下發到云端，實現了海量異構數據集成、數據歸并、數據分析的多層次處理。基于云的系統能同時匯聚超大規模的數據信息，并擴大其監控的范圍，從而提高分析的有效性。

東軟SOC能實現人性化的觸摸屏操作，可以進行形象化比擬安全狀態，能對業務系統進行監控，全面展開數據收集，并能進行海量異構數據收集與分析，提供細致到位的平臺支撐。

華賽Secospace USG5500萬兆UTM

Secospace USG5500是華為賽門鐵克面向大中型企業和下一代數據中心推出的新一代萬兆UTM。USG5500集大容量交換與專業安全于一體，在僅3U的平臺上提供了超過30G的處理能力，融合了IPS、AV、URL過濾、應用流量控制、反垃圾郵件等行業領先的專業安全技術，可精細化管理一千多種網絡應用，同時傳承了USG產品族優異的防火墻、VPN及路由特性，為用戶打造更高速、更高效、更安全的網絡。

USG5500有以下特點：更高速，能提供萬兆多核全新硬件平臺，實現海量業務處理；更高效，能進行超千種應用程序精細管理；更安全，重新演繹了專業內容安全防御技術。USG5500基于賽門鐵克多年積累的反病毒技術，采用文件級內容掃描的AV引擎，結合全球領先的仿真環境虛擬執行技術，提供高達99%的精準檢出率，多次獲國際評測組織好評；專業漏洞補丁技術，讓變形無所遁形：USG5500采用賽門鐵克領先的漏洞防護技術，針對漏洞（而非攻擊代碼）提供“虛擬補丁”。

梭子魚下一代防火墻F800

梭子魚下一代防火墻F800是一個集成硬件設備和虛擬化軟件的安全網關，它能全面防護企業網絡架構，提升點對點連接流量，簡化網絡操作流程。除了強大的防火墻和VPN功能以外，產品還集成了一系列下一代防火墻的復雜技術，包括身份認證的七層應用控制、入侵檢測、安全網關、垃圾郵件防護以及網絡準入控制等。

梭子魚下一代防火墻F800突出了智能點對點流量管理功能，大大優化了廣域網的性能和功能。信息管理人員可以輕松管理應用層路徑，根據多鏈路、多通道和不同的流量情況安排鏈路的優先順序。產品支持多種鏈接接入方式，包括專用線路、XDSL、3G/UMTS無線移動網絡及其他以太網的鏈路接口。

除了上述領先的下一代防火墻的卓越性能外，該產品還配備了業界領先的中央管理控制平臺、功能更具彈性的VPN及智能流量管理技術，能保障用戶在全面提升網絡性能的同時縮減成本支出。

Hillstone云數據中心安全解決方案

采用Hillstone SG-6000-X6150高性能數據中心防火墻的彈性化安全方案，能為云數據中心提供有效保障。HillstoneSG-6000-X6150是Hillstone的100G數據中心防火墻，它具有以下特點：電信級可靠性設計，高性能、高容量、低延遲，智能的業務自適應能力，深度應用檢測及網絡可視化，豐富的業務擴展能力，綠色、節能、環保。

該方案能為海量計算提供更高的性能保障。HillstoneSG-6000-X6150高性能數據中心防火墻可提供更為有效的保障，平臺采用全并行安全架構，實現對安全業務的分布式處理；對軟件處理流程進行了很大的優化，在業務安全處理流程上，實現一次解包全并行處理，達到最高的處理效率。

該方案還能為快速增長的業務提供高可擴展性支持。HillstoneSG-6000-X6150高性能數據中心防火墻采用彈性架構，在全模塊化設計的基礎上，實現數據輸入/輸出與安全計算的分離、控制與安全處理的分離，多個計算資源可為相同的接口服務，在增加業務處理模塊后，為特定的業務提供更高性能的處理資源。這種彈性可擴展的特性，既降低了數據中心安全建設的初期成本，同時伴隨著業務增長，也有效地保護了用戶投資。

除以上功能外，該方案還能為云數據中心業務持續性提供高可靠保證，為云數據中心虛擬化提供支撐，并能提供云數據中心全局可視化管理。

趨勢科技云計算安全解決方案

趨勢科技的云計算安全整體解決方案可以全面保護超過22種平臺和環境的數據資產。通過趨勢科技的企業威脅管理戰略配合“云計算安全5.0”解決方案，用戶可全面地保護從物理機、虛擬機到云基礎設施、云數據、云應用到移動互聯網中的移動設備和智能手機等環境。趨勢科技帶給企業用戶的全球領先的云計算安全技術，將成為云計算產業發展最堅實的基礎，這使得用戶能夠邁向云端，安心地全力把握云計算浪潮所帶來的寶貴商機。

防火墻解決方案范文2

關鍵詞:防火墻;雙機;狀態檢測;VRRP

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10454-03

隨著互聯網以及現代通訊技術的發展,以及用戶對服務品質的需求,高可用性網絡已經越來越成為Internet組網設計的目標。因網絡中斷給用戶帶來的損失以及潛在損失已經十分巨大,有研究表明,網絡停運帶來的損失已經高達幾百萬美元/每小時,而由此帶來的隱性損失則更是難以估量。

在防火墻的可靠性試驗之前,先了解目前防火墻的技術以及該技術特點對防火墻可靠性的影響,目前各類型的防火墻從其實現原理上來說基于以下三大類:

1) 基于逐包轉發過濾的包過濾;

2) 通過檢測會話狀態基于會話流的狀態;

3) 基于應用方式的全。

這三種防火墻技術的優缺點不作詳細討論,對于第一種逐包轉發過濾的包過濾防火墻因為其不能很好的區分和保護不同的區域,在運行內部網絡訪問外部網絡的同時也提供了外部網絡訪問內部網絡的安全漏洞,因此這種防火墻技術在近年來屬于逐步被淘汰的技術,但是就可靠性而言,因為該技術采用逐包轉發過濾,對會話流的來回路徑不敏感,因此在不做Nat的時候,其冗余設備的備份可以做到平滑過渡,不過在啟動了Nat功能的情況下,由于不同的設備很難做到對同一會話進行相同的地址轉換,導致包過濾防火墻在Nat的應用中也出現問題。

對于基于應用方式的全防火墻,由于其隔離了與外部網絡和內部網絡的連接,它能給內部網絡提供很好的保護,但是他的優點同時也是最大的缺點,由于采用的是應用的方式,對于應用程序而言就不透明了,需要應用程序為這種連接進行適配;并且由于采用了全方式,其處理的性能要明顯低于其它兩種類型的防火墻。就可靠性而言,要做到雙機熱備的話,不僅要求會話的來回路徑一致,而且因為它是全,這要求每一個報文都需要適時地備份到備機上去,這種特性使得全方式的防火墻的雙機熱備實現起來很困難,在實際應用中也很少見這種防火墻的備份方案。

下面我們將通過兩組實驗討論基于會話流的狀態防火墻的可靠性問題,所謂狀態防火墻是指用戶通過防火墻訪問外部網絡時,會在防火墻上創建一個會話表項(該會話表項通常情況下會包含該會話的五元組信息――源/目的IP地址、源/目的端口、協議類型),這樣從外面回應的報文如果能匹配該五元組就能順利通過防火墻到達用戶,而從外面主動發起的會話請求因為不能匹配任何會話表項,而被ACL規則過濾掉。這樣就可以提供給用戶不同級別的保護,從而有效地保護用戶的內部網絡。目前大部分防火墻產品都是屬于這種技術的防火墻。由于這種基于會話流的防火墻要求每個會話的來回路徑一致,因此在做雙機熱備的時候對組網有特殊的要求,以下將通過實驗了解防火墻可靠性技術,以及實驗過程中出現的問題并提出的解決方案。

1 防火墻雙機試驗組網及配置

單組防火墻雙機可靠性實驗中采用設備有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及華為Quidway 6500系列交換機, sinfor互聯網安全控制產品。根據可靠性要求將網絡安全設備和交換設備進行如下組網設計和部署,通過實驗測試防火墻HA情況下不同安全區域的數據過濾及交換情況以及在該種模式和網絡結構中存在的故障現象。

首先我們做單組防火墻雙機的實驗,其網絡結構如圖1所示。

該結構使用H3C系列高端網絡及安全設備組網,適用于大中型企業核心網絡安全控制區域的網絡拓撲結構。通過這種網絡結構的部署可以有效的防御外部網絡及企業內部網絡對重要服務器的安全攻擊、漏洞掃描、木馬入侵等等,進而有效地對企業的研發、生產、商業、財務等機密數據進行保護和可控授權訪問。本實驗中將主要針對這種結構下所使用設備部署完成后出現的故障進行分析和討論。

單組防火墻雙機實驗采用H3C9512高端交換作為企業的核心交換,H3C9508作為企業應用服務器區域的核心交換。在4臺9500系列的交換上分別配置萬兆光纖交換單板,在9508上加H3C的SecBlade III防火墻業務單板,防火墻單板通過9508內置的萬兆接口與9508互連。兩臺9500系列交換通過萬兆光纖接口卡進行交叉互連,設備互連接口地址均使用30位掩碼。9508交換作為二層交換使用,服務器區域的三層網關地址全部配置在SecBlade防火墻與9508互連的萬兆接口的邏輯子接口上,并且這些VLAN都配置為VRRP模式,可根據需要將其中一臺防火墻或者其中一部分VLAN配置為master vlan,另外一臺或者另外一部分VLAN配置為slaver vlan。在防火墻和9512上都啟用ospf協議,將互連及三層VLAN地址段到ospf中。因該防火墻可將不同的VLAN劃分在不同的安全區域內,所以我們在防火墻上配置3個不同的安全域,并將配置好的邏輯子接口劃分到不同的安全域中,這樣就形成了不同的安全區域,安全區域的默認訪問規則為單向,也就是高優先級區域默認可訪問低優先級區域。然后在9508上增加與防火墻三層接口相同的VLAN,在將千兆物理接口添加到不同安全區域級別的VLAN中。最后啟用防火墻的雙機熱備功能,并選擇防火墻業務板上的一個接口作為心跳接口,服務器(unix系統,需要雙網卡)通過EtherChannel IEEE802.3ad配置成網卡冷備的模式,為了能模擬出各種情況,我們特意將server1的主網卡放在9508-A上,將server2的主網卡放在9508-B上。為避免因靜態路由帶來的不能檢測設備故障的情況,該組網采用了動態路由協議,在防火墻和交換上都啟用ospf協議。

串聯多組防火墻雙機試驗設備采用了Juniper及Topsec防火墻、H3c9512交換機、深信服行為控制設備、Radware的LinkProof鏈路負載均衡及2條不同ISP互聯網線路。這些設備都是我們選用的支持雙機的網絡及安全設備進行串聯,進行Intranet和internet互訪、Intranet與DMZ、Internet與DMZ區域之間數據通訊測試。由于實驗1已經介紹了單組防火墻雙機的實驗情形,故這里只介紹軍事化區域至互聯網區域數據通訊的實驗情況,該實驗的網絡拓撲結構如圖2所示。

該網絡結構使用雙重防火墻及上網行為控制設備對企業軍事化區域和互聯網區域進行了嚴格的數據過濾和行為控制,是企業軍事化區域、半軍事化區域及互聯網區域之間數據互訪受控的一種常用網絡結構,適用于大中型企業對內外部數據交換須進行嚴格控制、審計、授權訪問等操作,或網絡運營服務商對外部用戶提供高可靠和安全性互聯網服務在互聯網出口部分至企業核心交換層的網絡部署。通過本網絡可以有效對內外部上至應用層下至物理層數據的交換有效的控制、阻斷、審計。

同樣先簡單介紹該組網拓撲結構及設備配置的基本信息。我們同樣使用9512作為核心交換,雙機之間通過TRUNK接口互聯,上行與SSG520防火墻相連的接口配置VRRP與其互聯。SSG通過廠商的NSRP協議配置HA,并將其配置為橋接路由模式。SINFOR設備通過串口心跳配置好HA,并將其配置為透明橋接模式。Topsec防火墻通過CISCO 的HSRP和浮動靜態路由技術來配置冗余備份雙機結構,并將其配置為NAT模式。負載設備LinkProof采用標準VRRP配置為冗余雙機(由于本次實驗設備限制,只做單機)。為防止動態路由的動蕩引起鏈路路由切換,兩組防火墻的路由都采用靜態路由的方式進行配置。

2 防火墻雙機試驗故障現象

對于實驗1我們做如下的數據訪問測試:在9512A上和9512B上分別做一個用戶VLAN并接入兩臺pc,兩臺服務器(可使用普通pc代替)分別接入到9508上的,使用同一個網段的地址。我們通過pc使用ICMP包對pc至server端的鏈路進行檢測,從pc1和pc2分別發至server1和server2的檢測包結果顯示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包則出現丟包或者不通的現象。查看路由得知pc至server 都有三條下一跳路由,跟蹤路由發現pc1跟蹤server2的路由到SecBlade-A后出現中斷,pc2至server1的路由到SecBladeB出現中斷。之后我們將交叉鏈路去除后再次做上面同樣的測試發現故障依舊,根據路由情況得知基于會話狀態的防火墻在特殊的網絡結構中存在來回路徑不一致而導致的中斷現象發生。

對于實驗2做了如下數據訪問測試:首先現在沒有任何設備、接口、線路故障的情況下,三組雙機設備都是主機在工作的,此時PC至互聯網server的訪問數據會通過所有雙機的主設備;我們手動的將SSG520主機的外網接口shutdown后會自動切換到備機工作,sinfor發現與其lan口相連的接口down了也會自動的切換到備機, topsec主機發現與其互聯的sinfor主機故障切換了,topsec主機也會切換到備機工作,這種情況并未發生中斷現象。但當我們將剛才shutdown的接口還原時,我們發現此時出現的故障情況為PC至server的數據會出現中斷現象。將SSG520手動down的接口還原后的情況發現三組冗余雙機設備開始在不斷的進行主備的切換,無法達到一致狀態。這時情況是三組雙機因為切換的時間和檢測的故障的。根據各種設備切故障檢測和切換機制分析得知:目前大部分的冗余雙機故障檢測基本上為互聯接口物理up/down和IP跟蹤兩種檢測方式,由于各不同廠商設備主備切換的時間存在差異,導致其他兩組設備切換卻得不到一致和同步切換的效果,而在故障檢測中增加IP跟蹤的檢測機制只能對存在接口地址的雙機設備有效,而在設備互連接口不存在IP地址作為透明模式使用時依然無法進行更有效的補充,這種情況下三組設備很難達到同步切換的狀態,因此導致故障現象的發生。

3 試驗故障分析及解決方案

針對以上三組實驗的故障情況我們分別作了簡單的分析并給出了不同的解決方案。對于實驗1中防火墻可靠性實驗中,出現的故障情況后對PC至server的路由分別進行了跟蹤和分析。本次的整個網絡結構中全部使用ospf協議,并將路由都在AREA0區中。根據我國有關部門的提出的規范在默認不改變各條路由開銷(cost)值的情況下,所有設備直連的路由開銷值都相同,在兩臺防火墻上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到這兩個網段的路由是通過ospf分別從SecBladeA和SecBladeB上的路由表中學到的,這樣從pc1至server2的路由就會從secblade-A走,而server2至pc1的路由則會從secblade-B走,這是就出現了來回的路徑不一致,同理pc2與server1的互訪路徑也會出項這種情況。針對實驗中因會話來回路由不一致所遇到的問題,就此故障現象,我們可將9512與防火墻之間的交叉鏈路去除,并更改各條鏈路的cost值,保證其來回的路徑在一條路由上。這種情況下當其中一臺交換或者防火墻出現故障后可通過VRRP保證master和slaver vlan之間切換,從而使PC至server的數據不會出現中斷現象,這種改造的弊端在于不能做到雙機負載也就是雙A狀態的運行模式。因此另一種解決方案將SecBlade 防火墻的會話通過心跳進行同步,保證主防火墻和備防火墻實時的去同步授權允許的會話列表,這樣一來,既解決了會話流來回路徑不一致的現象,同時也將該組網結構中的兩臺防火墻形成了雙A狀態,分擔了負載。特別說明該實驗中根據設備的特性使用心跳線來代替實驗1中的防火墻的三層互聯即可。

對于在第二個實驗中出現的故障現象,由于現網中使用的各廠商設備的故障檢測機制的不一致性,如要統一算法需要將研究制定統一的故障檢測方法和切換機制。因此分析了實際情況后,我們可根據故障現象和原因對網絡結構進行整改和優化后解決做實驗2中一組冗余雙機出現主備切換時導致網絡中斷的問題。我們可在該網絡結構中增加一組交換,在該組交換上分別配置兩個Vlan,我們這里配置Vlan100和Vlan200,然后將Sinfor的wan口和Topsec的Intratnat接口直接接在新增交換機的兩個接口上,并把這兩個接口配置到Vlan200中,同樣將Sinfor的lan口和SSG520的Internet接口也接入到與這臺交換機上的兩個接口上,并將這兩個接口配置到Vlan100中。另外一組設備以同樣的連接和配置方式與另外一臺交換機互聯。兩臺交換機通過TRUNK口互聯并允許Vlan 100和Vlan 200 通過。其實這里新增加的兩臺交換是用作半軍事化區域的核心交換使用的,這樣內網與外網同時可以接入到這兩臺交換上,可以節省硬件資源。我們在進行同樣的實驗,將三組冗余設備在任何一組設備中任何一個模擬故障現象都不會導致其它兩組設備的主備切換,即使我們設備的故障檢測是包含Track IP的方式也不會導致另外三組冗余設備的因存在故障切換時間的差異而造成網絡中斷的現象發生。即各種故障或者切換都不會導致PC至server鏈路的中斷。具體的網絡整改拓撲圖如圖3所示。

從實驗3的網絡拓撲中可以清楚的看到,無論三組設備的故障切換是否能夠同步進行,PC至server的鏈路都會有一條通暢的路存在。這是本實驗中解決故障問題的較實用的方案。對于該實驗中存在的故障原因還存在另外一種解決方案,但有待于研究討論及權威機構的統一和制定,研究和制定出一套通用的雙機故障檢測及切換算法或者制定一種新的雙機故障同步切換通訊協議類型。使該算法或協議能夠支持端口檢測、會話同步、IP跟蹤等多種故障檢測機制和統一的切換算法,使雙機設備都能通過該算法或協議在各種不同的故障情形下進行快速有效統一地故障同步切換也是解決該問題的重要方法,也是統一網絡設備冗余雙機故障檢測及切換機制的研究方向。目前huawei研究的VGMP和HRP協議已經將huawei的防火墻進行了較好的狀態一致檢測和會話同步的管理。

4 總結

在整個網絡結構設計和實施過程中詳細分析和說明了三組雙機實驗的網絡結構在企業不同安全區域部署的目的、作用和效果,同時對在部署過程中出現的問題進行了分析和研究,在網絡結構的基礎上給出問題解決方案,并對其進行網絡改造和優化,用來滿足用戶信息安全的需求和目的。第一組實驗部署在企業的核心數據受控區域,為嚴格控制各應用服務器之間以及用戶與服務器之間的數據訪問,采用可自定義多區域的防火墻能夠很好的實現企業對不同敏感數據的安全控制需求。但在基于會話狀態的理想全冗余交叉的網絡連接中存在的來回路徑不一致的故障情形,因此解決方案為將主備防火墻置于雙A的工作狀態,并將全部的會話狀態進行較好的同步,這樣不僅解決了路由不一致的問題,也使主備設備都得到了充分的利用,減輕和降低了單設備的負載和單點故障引起切換帶來的業務中斷。第二組實驗部署在企業互聯網出口的網絡結構中,將軍事化、半軍事化及非軍事化控制區域的數據進行了嚴格的區域控劃分和數據控制,并通過行為控制審計設備嚴格地對軍事化區域數據交換進行控制、審計及記錄。安全與性能本來存在對立的一面,因此實驗二雖然在給企業的信息安全帶來高可靠的保障和受控手段,但同時這種高安全的網絡結構勢必會對企業網絡性能造成一定的負面影響,企業可根據實際情況選擇網絡安全的程度。實驗二中針對該實驗中由于故障引起的雙機設備主備切換不一致導致鏈路中斷的現象進行了網絡結構改造后形成了實驗三的網絡拓撲結構,實驗三的網絡結構不僅解決了實驗二切換的故障問題,同時也將多組雙機網絡結構的故障率降為最低,設備切換帶來的業務中斷時間降為最少。實驗三的網絡拓撲方案適用于目前多數企業的互聯網出口結構。本文為企業網絡架構的設計及安全部署,網絡故障處理提供了一定的實踐依據和說明。

本文通過三組實驗的網絡拓撲結構的設計實現、故障測試分析及解決,對幾款目前國內較流行的狀態防火墻和安全設備的雙機基本配置、工作模式、安全防范、故障檢測切換機制都有了基本的了解和認識,并給企業用戶在企業安全區域網絡拓撲結構的設計方面提供了較好的理論應用和實踐基礎。在故障測試過程中通過對故障分析和處理,提出的解決方案和處理思想對企業安全網絡的合理設計提供的實踐證明,也為功能全面防火墻的設計和實現提供了重要的研究方向和思想依據。

參考文獻:

[1] 蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社,2002.

[2] 胡道元,閡京華.網絡安全[M].北京:清華大學出版社,2004:22-26

[3] 柯宏力.Intranet信息網絡技術與企業信息化[M].北京:北京郵電學院出版社,2000,24-32,71-82,150-176.

[4] 林曉東,楊義先.網絡防火墻技術[J].電信科學,1997,13(3):41-43.

[5] 雷震甲,馬建峰.Internet安全和防火墻技術安全體系結構[J].通信保密,1998(2).

[6] 劉曉輝.網管從業寶典――交換機路?由器?防火墻.重慶:重慶大學出版社, 2008-5-9,81-86, 117-185,270-275,371-400.

[7] 吳昕,李之棠.并行防火墻研究[J].計算機工程與科學,2000,22(2):54-57.

[8] 林曉東,楊義先.網絡防火墻技術[J].電信科學,1997,13(3):41-43.

[9] 張云鵬.網絡安全與防護技術的研究及應用[D].中國優秀博碩士學位論文全文數據庫,2006(6).

防火墻解決方案范文3

今年4月,醞釀了將近兩年的ProActive Defense 2.0解決方案被低調推到前臺,網絡基礎架構、訪問控制和網絡免疫三大板塊產品均有革命性突破。ProActive Defense 2.0解決方案究竟憑什么幫助HP Procurve贏得更多客戶的青睞?新方案有什么不為人知的亮點?

三大板塊齊升級

“在以前幾個部分我們都有相應的解決方案和產品――ProActive Defense,這已經有兩年多的時間了。這次我們的主動防御2.0的解決方案是對以前1.0的全面升級。” HP ProCurve 產品市場部經理石奇海告訴記者,“從1.0到2.0,ProActive Defense涵蓋的三塊內容均有較大的調整。”

記者了解到,HP Procurve主動防御其實有三個重要的組成部分:網絡的基礎架構、訪問控制和網絡免疫。這個解決方案的雛形早在2006年已經出臺,2007年正式被推到前臺。

石奇海介紹:“主動防御2.0的解決方案是對以前1.0的全面升級。在基礎架構這方面,我們主要是增加了防火墻和入侵檢測模塊。在訪問控制方面,我們現在有一套完整的解決方案和Windows NAP的解決方案進行聯動。在網絡免疫這一塊通過增加IPS防火墻模塊的解決方案跟以前的NIM、跟基于XFLOW的流量采集融合在一起,增加了以前我們網絡免疫方面可以做的一些功能,可以實現對數據報包的分析進一步細化,達到更精確的控制。”

“HP是交換機的主要生產廠商,所以可信賴的基礎架構是希望從核心到接入的交換機產品,特別是在接入交換機的產品里有一系列的安全功能、防攻擊功能以及數據包采樣功能。比如說我們在接入層交換機里,可以支持XFLOW的流量統計和分析的廠家。”在談及ProActive Defense升級的初衷時,石奇海如是說。

威脅管理組件是亮點

記者在采訪時獲悉,HP ProCurve 的ProActive Defense 2.0方案此番引入了威脅管理服務模塊,該模塊通過提升防火墻、IPS及VPN能力保護網絡、服務器及數據。此解決方案同時集成了HP ProCurve現有的無線IPS解決方案,可以同時為有線及無線網絡提供威脅管理服務。此模塊享有ProCurve終身保修服務(ProCurve Lifetime Warranty)。

防火墻解決方案范文4

促使人們更多地關注信息安全的主要因素之一是全球范圍內不斷增加的監管法規。薩班斯?奧克斯利法案、格讓姆?里奇?比利法案、歐盟數據隱私法令、巴塞爾資本協定二以及其他法規都使人們不得不更多地關注信息安全。每一種法規都圍繞信息安全提出了特殊要求。企業必須有效地解決這些信息安全問題,才能做到遵從這些法規。這些法規還規定了違規懲罰措施，包括由企業管理團隊承擔法律責任等。這一點迫使企業迅速將注意力轉移到提高它們的信息安全能力，改進安全狀況上。

新的攻擊趨勢

攻擊方法和趨勢正在從一種基于網絡的方法演進到注重應用的方法。攻擊者通常將目光放在解決方案內他們認為最容易攻破的環節上。

現在，攻擊者已經將注意力和攻擊重點轉移到應用本身而不再是攻擊網絡。這種轉移的重要原因之一是應用，特別是基于web的應用通常連接到互聯網。他們可以穿透網絡安全層（如防火墻），使非法用戶可以訪問這些系統。連接到互聯網時，通過日常活動和技術（如DNS查詢或Ping掃描，甚至通過網頁上的廣告）就可以輕松找到這些應用和web環境。

考慮攻擊者采用的攻擊方法時，更重要的是要了解他們的目標和動機，從而有效地保護環境不受攻擊。攻擊者明白，企業信息包含著和企業本身幾乎同樣重要的價值。攻擊者還逐漸認識到，如果他們破壞解決方案中保存或訪問的信息的完整性，他們能夠為企業帶來同樣甚至更大的危害。

應用攻擊方面的一個當前趨勢是對廠商的補丁程序進行反向工程。這一趨勢背后的理念是利用廠商產品的公認設計缺點來進行破壞。采用唾手可得的散列（Hash）工具和代碼分析引擎，攻擊者可以快速隔離補丁中被修改的文件并確定它們進行了什么修改。一旦確定文件被修改，他們就能夠研究其中的缺陷。借助這種分析和供應商提供的補丁目標問題描述，攻擊者就能夠迅速開發出攻擊工具。使用這些新開發的漏洞攻擊工具，他們可以在非常短的時間內在多種系統內發起攻擊。

最成熟的補丁管理程序要求對補丁進行一段時間的測試和評估，然后才能部署到信息基礎設施中。對于某些企業，評估和部署補丁可能需要幾天甚至幾周的時間。聰明的攻擊者非常清楚這一點并會加以利用。他們會盡快對補丁進行反向攻擊，并在補丁部署前攻擊盡可能多的有漏洞的系統。

另一個新的攻擊類型是針對應用本身的有針對性攻擊。攻擊者會研究應用對不同輸入字符串和數據流的反應方式。如果攻擊者可以找出應用對不同請求和活動的反應方式，他們發起成功攻擊的可能性就更大。然后，攻擊者會嘗試修改輸入字符串，訪問他們本無權訪問的限制信息。

在與其他網絡具有可靠鏈接的情況下，大多數企業不會投入相同的資源或能力來保護他們的網絡周邊。他們通常會認為，鏈接是可靠的，因此流經該鏈接的流量也應當是安全的。這些連接很可能會建立與企業后臺基礎設施的鏈接，而大多數重要而敏感的業務活動都發生在這里。這是當今眾多信息基礎設施的致命缺點。

隨著企業無法控制的未知端點的引入，進入信息基礎設施遠程訪問點對企業造成了更大威脅。這些端點可能是個人計算機、公用電腦、公共訪問終端和具有訪問權限的其他系統。

最近，蠕蟲病毒的爆發在多家企業不止一次地證明了這一點。企業可以采取他們認為適當的防護措施來防止其基礎設施成為蠕蟲攻擊的犧牲品，但是，如果某個流氓系統或不受其控制的系統將蠕蟲帶入信息基礎設施，他們就會不可避免地成為攻擊的受害者。顧問或家庭用戶進入信息基礎設施環境時，如果他們使用的系統未得到適當保護或不符合企業的安全策略，便會經常發生這種情況。

這種問題的出現也不僅限于通過內部或安全網絡連接直接連接到信息基礎設施的系統。普遍使用聯網功能來提供對信息基礎設施的遠程訪問的做法也會帶來新的風險。意圖不明的潛在未知用戶的廣泛訪問需要我們更敏銳地關注Web接入點。

Web環境安全考慮事項

Web環境中常用的一種安全解決方案是基于狀態檢測的防火墻技術。這些技術需要在數據點上對TCP/IP 數據包的報頭進行分析，然后與制定用于保護該環境的策略相比較。除了其他信息外，這些報頭信息將向防火墻設備告知源和目的IP地址、數據包將訪問的端口或服務以及數據包是否采用某種方式進行了分段。然而，它并不對數據包有效負荷進行調查，以檢驗流量是否適合要訪問的環境。

盡管狀態檢測防火墻在保護企業網絡基礎設施方面非常有效，但它們在保護面向互聯網的Web環境方面卻不是這么有效。如果您認為大多數狀態檢測防火墻沒有訪問環境的已知源地址池，而且大多數流量應當尋址到端口80（HTTP）或端口443（SSL），那么狀態檢測防火墻的功能將非常有限。這是因為目前針對基于web的解決方案的大多數攻擊都將這些端口用作進入該解決方案的入口。

應用防火墻不僅可以提供狀態檢測功能，還可以提供數據包有效負載檢測功能。數據包有效負載檢測功能可以和工作流程活動相對應，確保用戶在所保護的Web環境的操作都是適當正確的。通過提供這種功能，應用防火墻還可以幫助減輕基于Web的環境中無故障代碼和實時補丁功能的壓力。

企業可以通過將應用防火墻技術用作解決方案的一種防護層來減輕不完美的開發帶來的風險。這樣，企業就可以繼續集中精力于核心業務、業務驅動的特性和功能的開發，而不必將安全保護作為最高優先級工作。這使企業可以在安全性和業務需求之間達成平衡，實現持續發展和成功。

新興安全解決方案

Unisys公司的企業解決方案設計師和安全顧問John P. Pironti是表示，保護信息基礎設施安全性的解決方案與攻擊方法一樣在快速演進。正在引入的三大理念可以大大改善信息基礎設施的安全狀況。它們是:

* 保護信息安全的有計劃方法

* 威脅和漏洞管理計劃

* 深層防御

這些理念的引入，代表了信息安全保護方法，從以技術為中心的事件驅動型反應向以業務為中心的主動方法的根本性轉變。

威脅和漏洞管理解決方案采用威脅分析和威脅管理理念來主動保護信息安全。威脅分析包括采用前后一致的方法，評估可以成功入侵各解決方案或整個企業的攻擊威脅并為它們分配優先級。這種分析將采用智能、資產信息和其他數據點來確定潛在威脅的可能性、嚴重性和可能產生的業務影響。

負責安全的人員獲取這種信息后就可以將威脅級別或威脅名稱分配給特定解決方案和整個企業。這樣就可以根據正確的評估結果作出正確的安全投資決策，而不是害怕、不確定和懷疑。

使用威脅分析提供的信息，漏洞管理人員就可以針對發現的漏洞提前制定攻擊和事件響應計劃。這些響應計劃包括如何確定和正確響應攻擊或事件的指南。負責漏洞確定和響應計劃的人員然后將相關信息提交給運營部門，由他們使用該信息來在自動監控和事件響應系統內部實施漏洞確定和補救措施。

實施新的信息安全保護方法和結構化方法是深層防御理念的組成部分。深層防御提出了分層安全模式的理念。這種模式實施多個獨立的安全功能層來保護對信息資產的訪問。

通過實施多個獨立的安全層，企業可以大大改進它的安全狀況:攻擊者必須無目的地在任意點穿透防護層才能成功地訪問信息。實施深層防御的企業可以更有信心地確保其信息資產受到充分保護，可以免免遭惡意攻擊和用戶錯誤的危害。

支持業務的安全解決方案

信息安全的新格局正在由業務影響而不是技術驅動的安全模式決定。基于單個安全設備的傳統防御方法正在被基于威脅評估的新模式所代替。這些模式將技術用作一種工具來實施企業制定的策略、程序和指南，抵御處在危險之中的信息基礎設施元件受到的威脅。

防火墻解決方案范文5

安全漏洞是不斷發展的，有新的應用出來，就會出現新的漏洞。防火墻的職責是保護“大門”，如果攻擊者從別的途徑進入，防火墻也很難處理。因為很多公司部署了防火墻，所以黑客開始尋找新的攻擊方法，Web應用攻擊就是其中的一種。

Web應用攻擊之所以與其他攻擊不同，是因為它們很難被發現，而且可能來自任何在線用戶，甚至是經過驗證的用戶。

迄今為止，針對Web的攻擊可謂愈演愈烈，因為企業用戶主要使用防火墻和IPS解決方案來保護其網絡的安全，而防火墻和IPS解決方案發現不了Web攻擊行動。

Gartner的調查顯示，目前大約70%的安全漏洞源自網絡應用層。當防火墻、UTM或IPS等傳統安全設備已經不能完全滿足用戶的安全需求時，為了保護企業應用安全、處理日益增長的來自Web的威脅，客戶需要一種多功能的Web安全設備――這種設備需要集成高性能內容(七層)檢測引擎、各個領域最優秀的第三方識別特征庫以及應用程序控制安全策略，以此全方位保護桌面、服務器與移動應用程序的安全。

在不久前的2008中國國際通信設備技術展上，來自加拿大的網絡安全廠商穩捷網絡宣布將其最新的Web安全技術及解決方案――BeSecure系列Web安全設備引入中國，幫助國內用戶應對目前不斷增長的網絡信息安全威脅。

BeSecure能夠以快速檢測、掃描各種類型的互聯網數據，在有害內容進入受保護網絡之前對其進行處理。

據了解，對于該類面向應用的Web安全設備，其處理性能和可靠性是保障成功應用至關重要的核心。

穩捷網絡通過自行研發的網絡數據處理器架構技術，能夠在不影響網絡性能的前提下，防止數據泄漏，實現降低企業成本、提高生產率、幫助企業達到監管需求。

穩捷網絡全球CTO張鴻文博士告訴記者：“Web安全網關基于對Web應用業務和邏輯的深刻理解，對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網站站點進行有效防護。”

而BeSecure系列Web安全網關可以放置于防火墻后端，有效攔截HTTP與FTP數據，檢測、攔截、抵御病毒、間諜軟件、特洛伊木馬與蠕蟲攻擊。

據張鴻文介紹，除了滿足高傳輸性能與低掃描延遲的應用條件，BeSecure系列Web安全設備還具備了以下特性：

1.惡意軟件過濾：針對進出桌面、網站服務器與移動設備的雙向互聯網流量過濾惡意軟件（特洛伊木馬、病毒、間諜軟件等）。

防火墻解決方案范文6

電子商務的組成

在電子商務的運作過程中涉及到企業或個人的消費者、網上的商業機構、CA認證中心、物流配送體系和銀行。它們通過Internet網絡連接在一起。

電子商務中的安全

Internet是一個開放的公網，基于Internet的電子商務給商家、企業和個人帶來了新的機會，同時也給別有用心者留下了廣闊的“施展”空間。在新型的交易環境下，安全是一切交易行為的基礎，所謂安全，是指安全策略、安全標準、安全制度及安全流程的結合。

我們認為“安全=管理+技術”，安全是一整套體系，單點的安全防范技術都不能很好的解決問題。有效管理和采用完善的技術手段相結合組成了安全的體系，該體系安全程度的高低取決于體系中最薄弱的環節。我們常用的安全防范技術有防火墻技術、CA認證技術、數據加密技術和帳號口令技術。

1．防火墻技術

對于外部惡意攻擊，針對“黑客”入侵，采用防火墻（FireWall）技術來防護。要使防火墻技術有效，所有接收和發送到Internet的信息都必須經過防火墻，接受防火墻的檢查。防火墻必須只允許被授權的通訊業務通過，并且防火墻本身也必須能夠免滲透，即系統自身對入侵是免疫的。

（1）數據包過濾技術

路由器是網絡內外通訊的必須端口，因此，我們連接時采用包過濾路由器。它是一個檢查通過它的數據包的路由器，限定外部用戶的數據包。其原理是監視并過濾網絡上流入流出的IP包，拒絕發送可疑的包。其實現方式是運用IP地址和端口號來進行限定處理。

（2）應用網關技術

建立在網絡應用層上的協議過濾、轉發功能，它特定的網關應用服務協議指定數據過濾邏輯，并可根據按應用服務協議指定數據過濾邏輯進行過濾的同時，對數據包分析的結果及采用的措施做登錄和統計形成報告。

（3）服務技術

服務器是設置在Internet防火墻網關的專用應用級編碼。這種服務器由網絡管理員決定允許或拒絕某一特定的應用程序或特定功能。服務器像一個內部網絡與外界之間的邊界檢查點。兩邊應用可以通過服務器相互通信，服務器檢查并確認這一通信是否授權通過。

2．CA（CertificateAuthority）認證技術

為了保證秘密的信息不能被人非法獲得，同時保證信息傳輸過程不能被篡改，交易的不可否認性、身份識別、網站不受非法攻擊，通常還要采用CA認證和信息加密技術。常用的包括SET協議和PKI認證體系。

（1）SET：安全電子交易（SecureElectronicTransaction）

SET協議是由VISA和MasterCard兩大信用卡公司于1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。

（2）PKI：公共密鑰基礎結構(PubicKeyInfrastructure)

PKI(PubicKeyInfrastructure)是一種易于管理的、集中化的網絡安全方案。它可支持多種形式的數字認證：數據加密，數字簽名、不可否認、身份鑒別、密鑰管理以及交叉認證等。PKI可通過一個基于認證的框架處理所有的數據加密和數據簽名工作。PKI必須具有認證機構（CA）、證書庫、密鑰備份及恢復系統、證書作廢處理系統、客戶端證書處理系統等基本成份。

（3）SSL：安全套接層（SecureSocketLayer）

SSL協議是由網景（Netscape）公司推出的一種安全通信協議，它能夠對信用卡和個人信息提供較強的保護。SSL是對計算機之間整個會話進行加密的協議。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。SET協議比SSL協議復雜，因為前者不僅加密兩個端點間的單個會話，它還可以加密和認定三方間的多個信息。

三、電子商務業務模型及解決方案

1．商業機構對消費者的電子商務（B2C）

商業機構對消費者（Business-to-Customer）的電子商務，指的是企業與消費者之間進行的電子商務活動。這類電子商務主要是借助于國際互聯網所開展的在線式銷售活動。最近幾年隨著國際互聯網絡的發展，這類電子商務的發展異軍突起。例如，在國際互聯網上目前已出現許多大型超級市場，所出售的產品一應俱全，從食品、飲料到電腦、汽車等，幾乎包括了所有的消費品。

開展商業機構對消費者的電子商務，障礙最少，應用潛力巨大。就目前發展看，這類電子商務仍將持續發展，是推動其他類型電子商務活動的主要動力之一。

商業機構對消費者（B2C）電子商務解決方案的基本組成部分為：（1）動態的HTML頁面；（2）儲存會員（客戶）的信息，用其來進行會員認證及提供其他管理工具；

（3）實現“購物籃”功能；（4）服務器和管理的安全性；（5）客戶信息安全管理；（6）管理和處理定單，應用商務規則來與客戶完成交易；（7）進行其它產品和服務的宣傳，并對該過程加以控制；（8）支持直銷功能；（9）提供Cross-Selling銷售和Up-Selling的機制和規則；

（10）方便儲存數據（分類、定單、庫存、日志等等）并且能夠實現動態的訪問；

（11）商品、交易以及商務系統的管理；

（12）價格促銷的工具；

（13）分析流量和購買數據，獲得商務智能和建立客戶行為模型。

2．商業機構之間的電子商務（B2B）

商業機構對商業機構（Business-to-Business）的電子商務指的是企業與企業之間進行的電子商務活動。例如，工商企業利用計算機網絡向它的供應商進行采購，或利用計算機網絡進行付款等。這一類電子商務已經存在多年。特別是企業通過私營或增值計算機網絡（Value-AddedNetwork，VAN）采用EDI（電子數據交換）方式所進行的商務活動。

商業機構對商業機構的電子商務從未來的發展看仍將是電子商務的主流。商業機構之間的交易和商業機構之間的商業合作是商業活動的主要方面，企業目前面臨的激烈競爭，也需要電子商務來改善競爭條件，建立競爭優勢。企業在尋求自身發展的同時，不得不逐漸改善電子商務的運用環境。

供應鏈集成，也叫作價值鏈集成，利用了Internet的低成本來實現供應商，生產商和發行商之間的更緊密的結合。許多關于建立網站，處理定單和接入原系統的基本要求和操作都可以包括在直銷和銷售方案中，而在供應鏈方案中產生了一些新的要求，如確認過的登入，為關鍵用戶生成用戶類，根據用戶協議采取定價和支付的形式。

商業機構之間的電子商務解決方案的核心平臺非常相似于商業機構對消費者解決方案。在商業機構之間的電子商務解決方案中，商家在向商家銷售，而不是向個人銷售。

商業機構之間的電子商務解決方案的基本組成部分為：

（1）動態的HTML頁面；

（2）儲存一個會員（客戶）的信息，用來進行會員認證以及提供管理工具；

（3）實現”購物籃”功能；

（4）服務器和管理的安全性；

（5）客戶信息安全；

（6）管理和處理定單；

（7）進行其它產品和服務的宣傳，并對該過程加以控制；

（8）支持直銷功能；

（9）提供Cross-Selling銷售和Up-Selling的機制和規則；

（10）方便儲存數據（分類、定單、庫存、日志等等）并且能夠實現動態的訪問；

（11）商品、交易以及商務系統的管理；

（12）價格促銷的工具。

3．企業采購商家希望利用Intranet和Internet的杠桿作用使現有的業務進行的更加有效。這種商業模型的核心就是商務解決方案，它使得購買低成本的大量商品的過程更加容易，并且保證了一項業務的維持，修復和操作（MRO）。

企業采購解決方案的基本組成部分

（1）企業采購解決方案設計成一個商業組織的成本結構，而供應鏈集成解決方案是在向著商品的直接貿易和生產方向努力；

（2）企業采購解決方案一般來說設計成一個基于Intranet的解決方案，而供應鏈集成解決方案可以包含基于Intranet的組件，但是大部分應用程序或者是基于Internet的或者是基于Extranet的；

（3）申請人能夠在瀏覽器上被標準化；

（4）諸如象ActiveX控件和DHTML的技術能夠被用來實現圖形化和功能化的傳輸豐富的Web應用程序；

（5）集成采購到公司現有的安全和郵件的基本結構中，這樣有助于消除額外的管理費用和加速Routing/Basic工作流；

（6）各種規模的公司無論大小和地點如何，都能交流購買定單信息，進行交易支付和傳送產品；

（7）購買定單的輸出形式可以多樣化，這樣參與的商家就可以選擇一種與他們現有系統可以協同工作的共同形式；

（8）企業采購應用程序可以在一個站點內支持多個供貨商；

（9）對企業的供貨商的結構進行合理化，來獲得更大的折扣率。

4．技術方案

根據用戶的不同需要可以選擇不同的主機平臺和開發技術。

（1）技術方案1操作系統：WindowsNT4.0（ServicePack4）數據庫平臺：MSSQLServer7.OWEB服務器：MSInternetInformationServer4.0WebSiteServer3.0開發技術：ASP、DHTML、COM組件技術等（2）技術方案二操作系統：SUNSOLARIS數據庫平臺：ORACLE8.0