企业内部网中防火墙技术的应用于发展_防火墙技术主要应用于

企业内部网中防火墙技术的应用于发展由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“防火墙技术主要应用于”。

企业内部网中防火墙技术的应用于发展

摘要：

随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信心和数据被破坏或侵犯的可能性，网络信息的安全性变得日益重要起来，已被信息社会的各个领域所重视。正是因为安全威胁的无处不在，为了解决这个问题防火墙出现了。防火墙是网络安全的关键技术，是隔离在本地网络与外界网络之间的一道防御系统。在IT安全领域，防火墙是一个重要的角色，通常被部署在企业网络和外部互联网中间，来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。本文对防火墙的概念、保护对象、保护功能的实现、分类、如何选购和使用防火墙以及防火墙的发展做了简单的概述。关键字：防火墙 企业内部网 应用 发展

一．防火墙的概念

防火墙（Firewall）在网络中是一个逻辑装置，用来保护内部的网络不受来自Internet的侵害。严格意义的防火墙，就是一个或一组系统，用来在两个或多个网络间加强访问控制。它的目的在于把那些不信任的网络隔离在特定的网络之外，但又不影响正常工作。其核心思想就是在不安全的网络环境中构造一个相对安全的子网环境。

二．防火墙的保护对象以及如何实现保护功能

从广义上讲，防火墙保护的是企业内部网络信息的安全，比如防止银行服务器用户账号信息、政府部门的保密信息、部队中的作战计划和战略等重要信息的泄漏。从狭义上讲，防火墙保护的是企业内部网络中各个电脑的安全，防止计算机受到来自企业外部非安全网络中的所有恶意访问或攻击行为。防火墙实现对内部网络的保护功能是通过将内外网络进行物理隔离来实现的，然后根据预先定制的安全策略控制通过防火墙的访问行为，从而达到对企业内部网络访问的有效控制。防火墙通常有两种工作模式：网桥模式和路由模式。

如果防火墙安装在企业内网与因特网之间作为安全屏障，最好选择路由模式，在该模式下可以使用防火墙的网络地址转换功能和代理功能，充分保护企业网络免受来自互联网的攻击。如果需要保护同一子网上不同区域（部门）的主机，可选择网桥模式，这时，原来的网络拓扑结构无须做任何改变。比如，企业的财务部是企业重要部门，即使内部员工也不允许随便访问，因此，需要特别的保护。但企业网络已经建成，相应改造会带来许多工作。此时，就可以选择防火墙的网桥工作模式，既不用改造企业网络结构，也可以在没有经过防火墙授权的情况下，禁止非法人员访问财务部的主机。如此一来，起到了局部信息保密和保护的效果。

其实，对内外网之间通过防火墙的的不当访问行为，防火墙都是非常敏感的。即使是内部员工，如果违反企业的安全策略，一样会被防火墙及时的阻止并通告网络管理员。比如具有MAC地址绑定功能的瑞星企业级防火墙RFW-100，它可将内网每台主机的IP地址与该主机上网卡的物理地址进行一对一的绑定，能够有效阻止用户通过修改IP地址所进行的非授权访问。此外，防火墙还支持双向网络地址变换：源地址变换（SNAT）和目的地址变换（DNAT）。通过源地址变换，使外部网络无法了解内部网络的结构，从而提高了内网的安全性；同时，通过源地址变换，可以节省IP地址资源（内网主机可全部使用私有地址）。瑞星企业级防火墙RFW-100允许管理员定义一个时间范围，使该条规则只在这一时间范围内起作用。通过这种控制机制，可以为企业提供更加灵活的配置策略，例如，可以定义规则只允许公司市场部员工和经理在任何时间访问因特网，而其他部门员工只允许在午休时间访问互联网。具有这项功能不仅为企业节省了一大笔的网络接入费，而且也提高了内网的安全防范能力 三．防火墙的分类

防火墙有很多种分类方法：依据采用的技术的不同，防火墙产品可分为软件防火墙、硬件防火墙和软硬一体化防火墙；按照应用对象的不同，防火墙产品可分为企业级防火墙与个人防火墙；根据防御方式的不同，防火墙产品又可分为包过滤型（Packet Filtering）防火墙、应用级网关型（Application Level Gateway）防火墙和代理服务型（Proxy Service）防火墙。

四．如何选购和使用防火墙产品 为了提高防火墙的安全性，用户可以将防火墙和其他安全工具相结合，例如和漏洞扫描器与IDS搭配使用。购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品，以及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是IDS产品），支持哪些品牌和型号，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。保护网络安全不仅仅需要防火墙一种产品，只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保证网络安全。

安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具，只有保持不断地升级与更新才能应付不断发展的入侵手段，过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说，要与厂商保持密切的联系，时刻注视厂商的动态，时刻留心厂家发布的升级包，及时给防火墙打上最新的补丁，对它进行升级和维护，及时对防火墙进行更新。

五．防火墙的发展

没有人怀疑防火墙在企业所有的安全设备采购中占据第一的位置。但传统的防火墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是：以拒绝访问(DDOS)为主要目的的网络攻击，以蠕虫(Worm)为主要代表的病毒传播，以垃圾电子邮件(SPAM)为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分问题。而这三大问题，传统的防火墙是无能为力的。原因有三，首先是传统防火墙计算能力的限制。传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。其次是传统防火墙的访问控制机制是一个简单的过滤机制。它是一个简单的条件过滤器，不具有智能功能，无法应对复杂的攻击。最后是传统的防火墙无法区分识别善意和恶意的行为，该特征决定了传统的防火墙无法解决恶意的攻击行为。

新一代防火墙是应该加强放行数据的安全性，因为网络安全的真实需求是既要保证安全，也必须保证应用的正常进行。新一代防火墙既有包过滤的功能，又能在应用层进行代理。较传统的防火墙来说，具有先进的过滤和代理体系，能从数据链路层到应用层进行全方位安全处理，TCP/IP协议和代理的直接相互配合，使本系统的防欺骗能力和运行的健壮性都大大提高；除了访问控制功能外，新一代的防火墙应当还集成了其它许多安全技术，如NAT和VPN、病毒防护等。

结束语:一个计算机网络，从应用层到网络层直至物理层都存在安全问题。防火墙只是整个网络安全防护体系的一部分，其他的防护措施和技术，如密码技术、访问技术、权限管理、病毒防治等，对网络安全都相当重要，也只有运用先进认证技术，并在网络层上实施统一的端对端的数据流加密技术，同时结合防火墙技术进行必要的内容检测、攻击检测，以及再结合其他一些手段，才能真正解决内部网络的安全问题，并最终提供一套一体化的解决方案。

虽然防火墙在保护网络的安全上起着重要的作用，但并非有了防火墙就可以高枕无忧。防火墙需要经常性的动态维护，并随时关注网络安全的新问题、新动向，及时采取相应的预防措施，最大限度地保障网络的安全。

防火墙安全测试技术、测试工具和软件都在不断发展，并越来越受到人们的重视。但是，日前由于测试水平及测试手段的限制，很难证明防火墙的安全保护能力是否满足安全政策的需要。

未来防火墙技术会在全面考虑“网络的安全”、“操作系统的安全”、“应用程序的安全”、“用户的安全”和“数据的安全”的基础上，将它们结合起来，成为一种更新的信息安全产品。企业网络安全是一个永远说不完的话题，今天企业网络安全已被提到重要的议事日程。一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关，而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的，新的Internet黑客站点、病毒与安全技术每日剧增。要永远保持在知识曲线的最高点，把握住企业网络安全的大门，从而确保企业的顺利成长。