基于防火墻的企業(yè)安全網絡的設計分析

袁劍鋒 章娟

【摘要】企業(yè)網絡的建設在如今的市場上變得尤為重要。在企業(yè)網中，安全更是個不可忽視的問題，當企業(yè)內部網絡受到攻擊時，將會對企業(yè)造成無法預估的損失。所以保證企業(yè)內外網的連接的安全性是十分必要的。本文主要探討了企業(yè)網絡安全威脅、企業(yè)組網結構，為有效提高了企業(yè)網絡的可靠性提供基礎保障。

【關鍵詞】防火墻技術;企業(yè)安全;計算機網絡

1 引言

在企業(yè)中，防火墻實際上是一種隔離技術，早在1993年便已經被發(fā)明出來并引入國際互聯(lián)網中。它位于內部網絡和外部網絡之間的屏障，主要意義表現(xiàn)為限制訪問者進入一個被監(jiān)控和保護的網絡;抵御入侵和攻擊者接近防御安全設備和竊取其中的信息數(shù)據(jù);防止廣播域內的主機IP地址不被另一臺PC盜用，即如果要保護的主機只要和防火墻相連接，便可以和它的網卡地址進行捆綁，禁止其他內部PC訪問這個IP地址。

2 企業(yè)網絡的威脅

2.1內部工作人員的失誤

在某些特殊情況下，公司員工的意外行為也會導致系統(tǒng)故障，給一些惡意攻擊者有了入侵的機會。員工為自己的網絡提供賬戶、密碼等，并濫用外部存儲設備。這些行為也會導致企業(yè)網絡受到威脅。企業(yè)管理制度沒有得到很好的健全和完善，當出現(xiàn)入侵行為時，無法進行有效的監(jiān)控和勘測。

2.2計算機病毒的危害

電腦病毒也是十分危險的，因為計算機病毒的復制性和再現(xiàn)性十分強大，當病毒侵入系統(tǒng)，其中的數(shù)據(jù)會不斷增加，造成了災難性的后果，最終使公司的網絡系統(tǒng)也禁止訪問。

2.3非法用戶的入侵和攻擊

在企業(yè)網絡中，還有一種令企業(yè)損失較大的攻擊方式便是非法用戶的強制入侵和惡意攻擊。這種攻擊只會嚴重影響企業(yè)內部的正常運作，但是并不會從企業(yè)內部網絡中竊取重要的信息和數(shù)據(jù)。但除此之外，還有另一種破壞性更強的入侵方法，不僅嚴重擾亂企業(yè)內部網絡的系統(tǒng)，甚至會竊取企業(yè)的核心內容。

2.4電子郵件中的病毒

據(jù)最新報道，電子郵件存在于各大惡意軟件中，代碼可以作為惡意附件文件接收，帶來傷害。當我們在日常收發(fā)郵件時，該惡意入侵方法通過多臺主機向同一類Web地址發(fā)送郵件。當企業(yè)網絡中需要清理冗余的郵件時，服務器中的內存和帶寬會驟減，以至于影響郵件的正常接收，和可用帶寬急劇減少，不僅導致電子郵件的正常接收損失，同時也對公司是否正常運行產生了巨大的影響。

2.5網絡釣魚

很多企業(yè)評估都發(fā)現(xiàn)了員工在點擊釣魚鏈接時遭到攻擊的案例。甚至PayPai、Appie等大型網站依然存釣魚鏈接的風險，他們以各種手段仿冒真是URL地址或頁面吸引用戶。網絡釣魚攻擊的媒介正在急劇增加，原因很簡單：如果你可以簡單地欺騙一個容易上當受騙的用戶，為什么要制造復雜的病毒呢？人類一直是公司網絡安全最薄弱的環(huán)節(jié)。攻擊者可以這種方式竊取公司數(shù)據(jù)，包括電子郵件地址、密碼和重要文件。

3 防火墻的主要技術

首先是包過濾防火墻：包過濾防火墻本質上是一個相應的安全策略，有效地過濾包，通常有目的地、源端口、IP地址等參數(shù)，在網絡層上運行，在網絡層上過濾包。其次是狀態(tài)/動態(tài)檢測防火墻：過濾防火墻是不同的，它更強大一點。包速率防火墻的一些特性，包括狀態(tài)/動態(tài)防火墻的一些獨特特性，不僅允許有效的數(shù)據(jù)檢測，而且還允許包的狀態(tài)和動態(tài)。一旦檢測到包狀態(tài)的差異，就會采用一個方案來過濾它們。最后是應用程序代理防火墻：防火墻代理防火墻的網絡應用程序主要是雙方之間的通信，通常有內部和外部服務器之間的網絡，然后使用防火墻方式提供請求和響應，從而確保內部和外部網絡不能直接溝通，有效地保護內部網絡的安全。

4 企業(yè)組網圖

4.1組網介紹

4.1.1接入層：主要將各種終端接入到企業(yè)園區(qū)網絡，由以太網交換機構成。針對某些終端，可能會增加特定的接入設備，如無線接入點備、傳統(tǒng)電路交換接入的綜合接入設備等。

4.1.2匯聚層：匯聚層將大量的接入設備和眾多的用戶經過初次匯聚后再接入到核心層，便可以擴展核心層接入用戶的數(shù)據(jù)總量。

4.1.3核心層：核心層負責整個企業(yè)園區(qū)網的高速互聯(lián)，一般不部署詳細的業(yè)務。核心網絡需要實現(xiàn)帶寬的高利用率和故障的快速收斂。企業(yè)園區(qū)出口：內部用戶可以通過企業(yè)園區(qū)出口訪問到外部公網的，而與此同時，外部用戶也可以通過出口進入到內部網絡中。形成了一個互通狀態(tài)。

4.1.4數(shù)據(jù)中心層：部署服務器和應用系統(tǒng)的區(qū)域。為企業(yè)內部和外部用戶提供數(shù)據(jù)和應用服務。網管中心：是對網絡、web、應用系統(tǒng)進行管理的區(qū)域。包括出現(xiàn)故障和失誤，也可以通過網管中心進行配置管理，性能管理，安全管理等。

4.2存在問題

一個公司的輸出設備必須具有更高的可靠性，以防出現(xiàn)單點故障的情況，必須在雙熱緊急狀態(tài)下形成兩個設備。如果一個設備出現(xiàn)故障，另一個設備將取代它，而不影響數(shù)據(jù)的常規(guī)運行。租用兩個互聯(lián)網提供商連接的公司要求出口通道設備識別交通應用類型，將不同類型的應用程序發(fā)送到適當?shù)倪B接，改善連接的使用，以防網絡堵塞。將用戶和服務的信息存儲在包含公司組織結構的網關設備中，以達到政策參考的目的。在服務器區(qū)域部署AD服務器，為實現(xiàn)基于用戶的網絡行為控制和網絡權利分配提供基礎。

5 總結

每個互聯(lián)網提供服務商只僅提供一條鏈路，但這樣并不能和兩臺防火墻連通。所以，這個時候需要在服務商和防火墻中間布置一臺交換機。使服務商從單一的鏈路變成雙鏈路。將其分別和兩臺防火墻接口直接連通。而防火墻與交換機運行開放式最短路徑優(yōu)先協(xié)議，為有效提高了企業(yè)網絡的可靠性提供基礎保障。

參考文獻：

[1]宋文官.電子商務實用教程（第二版）[M].北京：高等教育出版社，2016.

[2]單銀根，王長富，黎連業(yè).電子商務基礎教程與應用實例[M].北京：科學出版社，2015.

[3]戴方虎等.Internet的移動訪問技術研究[J].計算機科學，2018（3）.

[4]陳兵等.電子政務安全技術[M].北京：北京大學出版社，2015.