[毕业论文]防火墙技术在企业的应用

[毕业论文]防火墙技术在企业的应用内容摘要：

连接方式规划 ，电信已经在全国范围大部分的主要的城市开通了帧中继业务， 兰州宏宇 公司分公司所在地已经全部开通了帧中继业务。 2. 兰州宏宇 到目前为止在总部、分公司和顾客服务中心都已建立了局域网，因此总部、分公司只需分别通过中国电信提 供的专线直接接入中国电信的帧中继网络。 客户服务中心则根据就近原则，通过 ISDN拨号连接到距离最近的分公司，通过分公司和总公司连接。 图 22 网络规划 防火墙技术在兰州宏宇电脑企业中的应用 第 10 页 如上图所示 兰州宏宇 分公司各自通过一条专线接入中国电信的帧中继 主干网，达到最低的保证速率 256K、最高的端口速率 512K。 考虑到帧中继相对昂贵的月租费用，而顾客服务中心和仓库的应用比较单一，因此各顾客服务中心／仓库分别通过 ISDN 拨号接入分公司网络，再通过分公司网络与总部相连。 兰州宏宇 总部通过一条 6M 专线接入中国电信帧中继网络，该条专线将采用光纤接入的 方式，然后分成三根 E1 线路接入。 分公司利用已有的 ISDN／电话拨号线路远程连接到总部，通过该线路实现对主干线路的备份。 一旦主干线路损坏，立即拨号到总公司远程拨号接入网（ ISDN 接入 ISDN 路由器，电话拨号接入 Modem Pool），保证网络的连通。 VPN 系统规划建议 根据网通公司的确认，目前这家公司已经在全国范围大部分的主要的城市开通了 VPN业务， 兰州宏宇 公司分公司所在地已经全部开通了 VPN业务。 VPN 方案的网络连接图与帧中继方案基本一致： 兰州宏宇 分公司分别通过一条 256K 专线接入 VPN 网络，各客服中心／仓库分别通过 ISDN拨号接入分公司网络，再通过分公司网络和总部相连。 而 兰州宏宇 总部通过一条 6M 专线接入 VPN 网络，该条专线将采用光纤接入。 由于采用星型的连接方式构建 兰州宏宇 广域网，以后无论是增加新的分公司或是将法人企业连接进入整个网络，都会比较容易：只需要增加一条帧中继或 VPN 线路进入主干系统就可以，不会对网络拓扑有影响。 同时，任何一个分公司与公司总部的连接线路受损，都不会影响到其他分公司与公司总部的连接。 防火墙技术在兰州宏宇电脑企业中的应用 第 11 页 上述两种线路接入方式采用的线路设备（ DTU）具有可升级性，在以后升级网络带宽时无 须更换设备，以保护投资。 两种线路接入方式的备份线路都采用 ISDN／电话线路远程拨号的方式，主要有以下考虑： 由于该种方式利用已有的线路，十分经济。 由于在大多数的情况下主干网络不会中断，除非一些特殊情况如电信部门的主干光纤被挖断。 因此该线路平时不用连通，可以派做他用，不会造成线路浪费。 一旦出现意外情况主干损坏，再拨号到总部，运行成本很低。 由于分公司和总公司之间的应用系统的实时性要求不是很高，因此从应用的角度也可以接受以上的备份方式。 拓扑结构 目前，随着信息技术和网络技术的发展，计算机作为一种处理信息的工具、网络作为当今社会人们获取信息、知识的重要途径和手段，它们已在各行各业发挥着越来越重要的作用。 局域网上具有独立工作能力的计算机系统被称之为节点，这些节点之间相互连接的方法在网络术语中被称之为网络的拓扑结构，网络的拓扑结构是抛开网络电缆的物理连接来讨论网络系统的连接形式，它能表示出网络服务器、工作站的网络配置和互相之间的连接。 在 兰州宏宇电脑 企业的网络 拓扑结构 中选用的是 星型结构 ：如下是星型 拓扑结构 图： 防火墙技术在兰州宏宇电脑企业中的应用 第 12 页 图 23 星型拓扑结构示意图 星型结构是以中央节点为中心与各节点连接而组成的 (如 23 所示 )，各节点与中央节点通过点与点方式连接，任何两个站点要进行通信都必须经过中央节点控制。 为便于集中连线，目前多采用集线器 Hub 作为星型结构的中央节点， Hub 通常有 1 1 24 个端口，每个端口相对独立，因此当网络中的一个节点有故障时，不会影响整个局域网的运行。 星型结构的优点是：网络结构简单，组网容易，便于管理，故障诊断容易，可同时连双绞线、同轴电缆及光纤等多种媒质。 缺点是：共享能力较差，由于通信线路总长度大，因而组网成本较高。 拓扑结构网络的基本特点 1 节点扩展、移动方便：节点扩展时只需要从集线器或交换机等集中设备中拉一条线即可，而要移动一个节点只需要把相应节点设备移到新节点即可，而不会像环型网络那样 牵其一而动全局 ； 维护容易；一个节点出现故障不会影响其它节点的连接，可任意拆走故障节点； 防火墙技术在兰州宏宇电脑企业中的应用 第 13 页 2 网络传输数据快：这一点可以从目前最新的 1000Mbps 到 10G 以太网接入速度可以看出。 3 这种结构是目前在局域网中应用得最为普遍的一种，在 很多 企业网络中几乎都是采用这一方式。 星型网络几乎是 Ether（以太网）网络专用，它是因网络中的各工作站节点设备通过一个 网络集中设备（如集线器或者交换机）连接在一起，各节点呈星状分布。 4 各站点通过点到点的链路与中心站相连。 特点是很容易在网络中增加新的站点，数据的安全性和优先级容易控制，易实现网络监控，但中心节点的故障会引起整个网络瘫痪。 防火墙技术在兰州宏宇电脑企业中的应用 第 14 页 第三 章 防火墙在企业网络中具体功能与实现 随着政府、企业、个人主机的网络安全需求的与日俱增，防火墙技术应运而生。 传统的边界式防火墙是企业内部网络与外部网络的一道屏障 ,但是其无法对内部网络访问进行控制，也没有对黑客行为进行入侵检测和阻断的功能。 企业迫切需要一套 真正能够解决网络内部和外部，防火墙和防黑客的安全解决方案， 为客户提供可靠的网络安全服务 . 具体功能 事实上，由 于防火墙一般架设在提供某些服务的服务器前。 用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发 ,因此，很多防火墙具备网关的能力。 如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断避免其进入防火墙之后的服务器中。 如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般 记录攻击的事情都交给 IDS 来完成了。 4． 可以定义规则计划，使得系统在某一时可以自动启用和关闭策略； 5． 具有详细的日志功能，提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录，并支持日志服务器和日志导出； 防火墙技术在兰州宏宇电脑企业中的应用 第 15 页 6． 具有 IPSec VPN 功能，可以实现跨互联网安全的远程访问； 7． 具有邮件通知功能，可以将系统的告警通过发送邮件通知网络管理员； 7． 具有攻击防护功能对不规则的 IP、 TCP 报或超过经验阀值的 TCP半连接、 UDP 报文以及 ICMP 报文采取丢弃； 防火墙 功能 的实现 根据 兰州宏宇企业状况， 为提高 企业网络信息安全性，在网络结构中使用方正防火墙。 方正防火墙 3000 系列防火墙 采用专用硬件、具有先进的检测技术和国内自主知识版权的安全操作系统。 独有的智能 IP 识别技术是一种基于状态检测的高效网络检测技术。 在新一代方正防火墙产品中，对原有的智能 IP 识别技术进行了大幅度的提升和扩充，除了能够提高网络数据检测效率外，还能在防火墙内核中针对应用进行多元化的访问控制，大大扩展了防火墙的控制能力，使得防火墙和应用能够更紧密的结合。 配合原有的特有快速搜索算法技术，方正防火墙在保证针对应用的细致分 析和防护的同时，对产品的性能有大幅的提高，解决了目前内容分析型防火墙普遍存在的效率瓶颈问题。 多种控制对象 用户在使用防火墙时最主要的功能就是通过防火墙进行访问控制，随着网络应用的发展，原有针对 IP 包的控制已经不能满足用户的需求，用户希望有一种防火墙可以密切和应用相结合，针对具体的网络应用进行访问控制。 方正防火墙的主要功能是对指定对象进行访问控制，并且按照设定策略对网络数据进行入侵或流量等活动的统计，并记入日志中，供用户察看。 方正防火墙可控对象除了传统的 IP 包的相关信息（源地址、防火墙技术在兰州宏宇电脑企业中的应用 第 16 页 目的地址、协议、 源端口、目的端口、报文代码、碎片和 SYN/ACK 等标识位）外，还引入了智能 IP 识别技术，增加时间、用户、应用及其操作等控制对象，扩展了防火墙的防护功能，使得防火墙和应用的结合更为紧密。 应 用 层物 理 层链 路 层网 络 层传 输 层会 话 层表 示 层智能 IP 识别新建已建相关非法会话组装HT T PF T PS M T PP。