《构建企业级软件防火墙解决方案》由会员分享,可在线阅读,更多相关《构建企业级软件防火墙解决方案(57页珍藏版)》请在金锄头文库上搜索。
1、广西生态工程职业技术学院毕业设计(论文)题 目:企业级软件防火墙系统解决方案系 别:信息工程系专 业:系统维护年 级:2006级班 级:系统061学 号:11406115姓 名:叶长青指导教师:刘东、蓝丹目 录目录2第一章:企业现状分析1第二章:企业需求5第三章:方案设计83.1.方案设计目标83.2.方案设计原则83.3.拓扑图93.4.拓扑图说明103.5.技术选型113.5.1.防火墙技术分类113.5.2.防火墙技术对比分析及选择113.6.产品选型163.6.1.防火墙选型163.6.2.产品选型原则203.6.3.产品选择213.6.4产品规格223.6.5.产品介绍233.7.本
2、方案技术要点263.7.1.技术要点分析273.8.方案优点35第四章:方案预算38第五章:实施方案395.1.项目实施进度395.2.人员配备405.3.保障措施41第六章:验收方案426.1.验收目的426.2.验收流程、标准426.3.验收人员436.4.初步测试系统项目43第七章:售后服务477.1.服务承诺477.2.售后服务流程497.3.人员配备507.4.人员培训517.4.1.系统管理员培训517.4.2.服务保障52参考文献54 / 文档可自由编辑打印第一章:企业现状分析Internet的发展给政府机构、企事业单位带来了革命性的改革和开放。他们正努力通过利用Internet
3、来提高办事效率和市场反应速度,以便更具竞争力。通过Internet,企业可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和商业间谍的入侵。因此企业必须加筑安全的战壕,而这个战壕就是防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之
4、间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙的功能: 1.防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防
5、火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。2.防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。3.对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一
6、个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。4.防止内部信息的外泄: 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最
7、后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外
8、界网络之间的一道防御系统。防火可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性:(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。根据美国国家安全局制定的信息保障技术框架,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、
9、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。(二)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(
10、网络接口=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。(三)防火墙自身应具有非常强的抗攻击免疫力防火墙之所以能担当企业内部网络安全防护重任,是因为防火墙自身具备非常强的抗攻击免疫力。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。 随着企业信息化进程的逐步深入,企业内部依然
11、存在不少问题。一是安全技术保障体系尚不完善,许多企业、单位花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。 而贵公司目前存在的问题有:1.网络共享与恶意代码防控 贵公司原有系统网络共享资源为了方便不同用户、不同部门、不同单位等之间的进行信息交换,共享资源方便之门大开,使得恶意代码利用信息共享、网络环境扩散等漏洞,侵入企业内部网络,造成企业内部网络运行越来越慢,网络经常中断,并且影响越来越大。恶意信息交换没有得到限制,直接导致网络的QoS下降,甚至有时致使系统瘫痪不可用。2.信息化建设超速与
12、安全规范不协调 贵公司原有网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,留下安全隐患。 3.IT产品类型繁多和安全管理滞后矛盾 贵公司信息系统部署了众多的IT产品,包括操作系统、数据库平台、应用系统。而由于不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,给信息系统管理留下安全隐患。4.IT系统复杂性和漏洞管理 贵公司网络结构复杂,由多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的
13、安全漏洞。而企业内部操作系统均存在安全漏洞。且由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将会是攻击切入点,攻击者则利用这些漏洞入侵系统,窃取信息。 而企业IT人员为了解决来自漏洞的攻击,都是通过打补丁的方式来增强系统安全。但是,由于系统运行不可间断性及漏洞修补风险不可确定性,而由于企业的信息系统错种复杂,使得漏洞修补变得极为困难。即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。这就给黑客攻击者留下了切入点,使得企业数据时刻面临着被窃取、恶意修改、删除的危险。5.业务快速发展与安全建设滞后 在企业信息化建设过程中,贵公司由于业务急需要开通,做法常是
14、“业务优先,安全靠边”,这就使得安全建设缺乏规划和整体设计,留下安全隐患。安全建设只能是“亡羊补牢”,出了安全事件后才去做。而由于市场环境的动态变化,使得业务需要不断地更新,业务变化超过了企业网络现有安全保障能力。6.网络资源没有保障 复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。在贵公司单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、色情网站,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。7.安全岗位设置和安全管理策略实施困难 根据安全原则,一个系统应该设置多个人员来共同负责管理,贵公司由于受成本、技术等限制,一个管理员既要负责系统的配置,
15、又要负责安全管理,安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中,第二章:企业需求随着网络经济和网络社会时代的到来,信息系统安全已经成为企业最为关注并亟待解决的问题,作用和影响力已扩散到企业与组织的每一个领域。由于企业网络有内部网络、外部网络和企业广域网组成,网络结构复杂,因此企业中的数据丢失、内部网络缺陷、计算机病毒的侵袭和黑客非法闯入等等为当前企业的现状弊端。数据丢失在企业中,数据中心扮演着越来越重要的角色,数据是企业的生存之本,数据丢失是企业无法承受之痛,轻则造成企业的经济损失,重则让企业陷入倒闭危机。企业终于认识到,一旦发生重大安全事故,数据才是企业能否尽快恢复运转的关键和核心。因此贵企业需要解决本地数据访问的安全、远程数据访问的安全、数据库变慢、数据库高度消耗、口令中包含导致无法连接数据库、数据库失真等问题。内部网络缺陷由于企业当初建
