《构建企业级软件防火墙解决方案》由会员分享,可在线阅读,更多相关《构建企业级软件防火墙解决方案(57页珍藏版)》请在金锄头文库上搜索。
1、广西生态工程职业技术学院毕业设计(论文)题 目: 企业级软件防火墙系统解决方案系 别: 信息工程系专 业: 系统维护年 级: 2006 级班 级: 系统 061学 号: 11406115姓 名: 叶长青指导教师: 刘东、蓝丹目 录目录 .2第一章:企业现状分析 .1第二章:企业需求 .5第三章:方案设计 .83.1.方案设计目标 .83.2.方案设计原则 .83.3.拓扑图 .93.4.拓扑图说明 .103.5.技术选型 .113.5.1.防火墙技术分类 .113.5.2.防火墙技术对比分析及选择 .113.6.产品选型 .163.6.1.防火墙选型 .163.6.2.产品选型原则 .203.
2、6.3.产品选择 .213.6.4 产品规格 .223.6.5.产品介绍 .233.7.本方案技术要点 .263.7.1.技术要点分析 .273.8.方案优点 .35第四章:方案预算 .38第五章:实施方案 .395.1.项目实施进度 .395.2.人员配备 .405.3.保障措施 .41第六章:验收方案 .426.1.验收目的 .426.2.验收流程、标准 .426.3.验收人员 .436.4.初步测试系统项目 .43第七章:售后服务 .477.1.服务承诺 .477.2.售后服务流程 .497.3.人员配备 .507.4.人员培训 .517.4.1.系统管理员培训 .517.4.2.服务保
3、障 .52参考文献 .54广西生态工程职业技术学院 构建企业级防火墙解决方案第 1 页 共 53 页第一章:企业现状分析Internet 的发展给政府机构、企事业单位带来了革命性的改革和开放。他们正努力通过利用 Internet 来提高办事效率和市场反应速度,以便更具竞争力。通过 Internet,企业可以从异地取回重要数据,同时又要面对 Internet 开放带来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和商业间谍的入侵。因此企业必须加筑安全的战壕,而这个战壕就是防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基
4、础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入 Internet 网络为最甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙的功能: 1.防 火 墙 是 网 络 安 全 的 屏 障 : 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议
5、才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。2.防 火 墙 可 以 强 化 网 络 安 全 策 略 : 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份
6、认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。3.对 网 络 存 取 和 访 问 进 行 监 控 审 计 : 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,广西生态工程职业技术学院 构建企业级防火墙解决方案第 2 页 共 53 页同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。4.防 止
7、内 部 信 息 的 外 泄 : 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS 等服务。Finger 显示了主机的所有用户的注册名、真名,最后登录时间和使用 shell 类型等。但是 Finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在
8、被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的 DNS 信息,这样一台主机的域名和 IP 地址就不会被外界所了解。除了安全作用,防火墙还支持具有 Internet 服务特性的企业内部网络技术体系 VPN。通过 VPN,将企事业单位在地域上分布在全世界各地的 LAN 或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。我 们 通 常 所 说 的 网 络 防 火 墙 是 借 鉴 了 古 代 真 正 用 于 防 火 的 防 火 墙 的 喻 义 , 它 指 的 是隔 离 在 本 地 网 络 与 外 界 网 络 之 间 的 一 道 防 御 系 统 。 防 火
9、可 以 使 企 业 内 部 局 域 网( LAN) 网 络 与 Internet 之 间 或 者 与 其 他 外 部 网 络 互 相 隔 离 、 限 制 网 络 互 访 用 来 保 护内 部 网 络 。 典 型 的 防 火 墙 具 有 以 下 三 个 方 面 的 基 本 特 性 :( 一 ) 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数 据 流 都 必 须 经 过 防 火 墙这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。根据美国国家安全局制定的信息保障技术框架 ,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的
