基于企業網絡信息安全的防火墻技術應用

金 朝

（廣州工程總承包集團有限公司 廣東 510310）

1 防火墻在網絡中的應用

1.1 企業自身業務類型和風險分析

企業信息管理人員在部署防火墻之前，必須對企業自身的業務流程進行詳盡的分析和研究，制定網絡安全的目標；對企業網絡的構架和業務信息流程進行風險評估和威脅評估；對企業中各種資源進行風險級別和信息安全級別的分類和定義。這個過程對實現整個企業的信息安全是至關重要的。這里涉及的風險級別的高低與信息安全性的高低概念不同，風險級別標明資源的易受攻擊程度；安全性級別根據企業資源的重要性劃分，并逐一設定應對和保護措施。

1.2 安全策略的設立及審計

在對企業的各個業務應用系統和信息資源進行了詳盡的分析之后，可以針對各個信息資源制定不同的安全策略。例如：這時要明確對于各個信息資源的維護者是誰?使用者是誰?或為了完成企業的某個業務應用，要使用到那些信息資源，而這些信息資源的風險級別和信息安全級別是什么樣的。之后，企業的信息管理人員要制定企業自身的保密策略、信息訪問策略、認證策略、各個信息資源維護人員的職責以及信息訪問申請審批流程。

最后，企業信息管理人員要對整個安全策略的實施進行審計和監控，以此為基礎進一步完善企業的安全策略。

2 應用實例

2.1 對于簡單業務型企業網絡

簡單業務類型并不是企業規模小而是指被保護的企業信息比較單一，而這類信息通常不會被企業的大多數應用系統所使用。對于這類信息，我們通常的做法是在此類信息數據庫之前，放置防火墻設備（見圖1）。根據之前對企業各個信息系統和企業信息流的分析和分類，企業信息管理人員可以清楚地知道都有哪些企業應用會用到要保護的信息。再根據企業整體的IP地址規劃，企業信息管理人員可以方便的制定安全策略。具體做法是：逐一列出與要保護信息資源有關的各個應用系統的子網或主機地址，以及他們都會通過何種方式訪問要保護的信息資源。將以上的需求列表逐條按防火墻的語法規則寫入防火墻設備。除了允許的訪問，一切其他的服務都應該被禁止。

圖1 簡單業務型企業網絡防火墻的配置

2.2 對于中等復雜業務型企業網絡

在企業中還有一類信息訪問，它們作為企業的信息發布平臺需要企業外部人員可以方便的訪問，同時這個信息發布平臺需要從企業內部信息系統中獲取必要的數據信息。例如企業的門戶網站。對于這樣的業務應用類型，我們通常會用防火墻將企業內部系統和企業的Web服務器以及真正的Internet訪問用戶分開，并給每部分的連接設定安全等級。通常來連接企業內部系統的部分安全級別最高，企業的Web服務器所在區域的安全級別次之，而連接Internet部分的安全級別最低（見圖2）。

圖2 中等復雜業務型企業網絡防火墻的配置

這樣管理人員可以通過設定安全策略只允許企業的 Web服務器通過防火墻訪問特定的企業內部信息；同時禁止Internet用戶直接訪問企業的內部信息，Internet用戶只能通過防火墻訪問企業的Web服務。這樣就可以實現企業對外的信息發布，又可以對企業內部信息進行有效保護。

2.3 對于大型企業信息中心的網絡

對于一些大型企業為了實現對企業信息的集中管理，會建立企業數據中心。通常對于數據中心包括各個業務部門的數據信息，這樣仍可以按不同的業務部門將各自的數據信息分開，這樣在數據中心內實際上被劃分成了多個以業務為單位的區域，每個業務單位的數據是既獨立又可以方便的相互共享。

對于這樣的網絡應用，可以對每個業務部門的數據信息都用各自的防火墻進行保護。如圖3所示，在企業數據中心中有3個業務部門的數據信息分別用不同的顏色加以區分。每個業務部門的數據信息都有內外兩層防火墻進行保護，這兩層防火墻分別對來自分公司用戶或INTERNET用戶的訪問進行控制，以及對來自企業內部的用戶對相應數據信息的訪問進行控制。

圖3 大型企業信息中心型網絡防火墻的配置

3 防火墻未來發展

3.1 防火墻將繼續向集成化方向發展

面對復雜多變的網絡攻擊，具有單一功能的傳統防火墻已經被證明不適合新的安全需求。從UTM到NGFW，云計算、SSL代理、防病毒、VPN、NAC、IPS/IDS、URL 過濾等越來越多的安全功能被整合到防火墻里。“同平臺，多功能”的模式已經被眾多的防火墻研發廠商所接受，防火墻已經由獨立化逐漸步入到集成化的時代。

3.2 防火墻防護性能和高速處理能力要求越來越高

隨著防火墻技術的發展，穩定性和可靠性成為人們關注的焦點。NGFW 誕生后，超高性能和高可管理性一直是研發廠商追求的目標。除了應用的識別和管控技術被進一步深化，NGFW的處理能力也在不斷地被提升。例如，SonicWALL 旗下的SuperMassive E10000系列的應用識別與控制能力可達到30Gbps、IPS 處理能力可達到30Gbps、反惡意軟件處理能力可達到 12Gbps、IPSec VPN 性能可達到20Gbps。

3.3 內部數據安全防護問題將會受到更多關注

從傳統防火墻到 NGFW，防火墻廠商一直更多關注的是從“外”向“內”的攻擊防護，對內部數據安全的關注稍顯不足。隨著數據泄漏問題的日趨增多，防火墻廠商也開始力圖在防火墻中提供對數據泄漏問題的解決方案或措施。

4 結束語

對于企業用戶而言，其數據信息面臨著來自多方面的威脅，要全面提高整體安全性，就必須從制度和技術兩方面進行管理。制度方面，首先企業領導要對數據信息安全給以高度的重視，事先制定好安全規則，目標和策略；企業信息管理人員要對本企業的各個業務應用系統，業務信息流程進行細致的分析，并以此為根據構建安全模型，制定具體的安全訪問控制策略；并對整個安全系統進行監控和審計，找出不足之處和新的漏洞，及時加以完善。技術方面，企業的信息管理人員要根據本企業各個業務應用系統的特點，選擇適合本企業，本系統的安全產品。除了安裝防火墻，為了應對蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務等侵擾還要將防火墻，入侵檢測系統和防病毒系統結合在一起，提高整個數據信息的安全。

[1]宋國華.某企業計算機網絡安全系統設計與實現[D].電子科技大學，2012.

[2]鄭偉.基于防火墻的網絡安全技術的研究[D].吉林大學，2012.

[3]劉松立.基于設計策略和安全策略的企業防火墻構建[J].科技創新導報，2010，26：34.

[4]楊在華.中小型企業網絡防火墻設計與實現[J].科技信息，2011，15：98.