在
網(wǎng)絡(luò)安全項(xiàng)目中,防火墻是常見(jiàn)的設(shè)備了。防火墻(Firewall)是一種網(wǎng)絡(luò)設(shè)備,它在網(wǎng)絡(luò)中起到兩個(gè)最基本的功能:劃分網(wǎng)絡(luò)的邊界、加固內(nèi)網(wǎng)的安全。
一、劃分網(wǎng)絡(luò)的邊界
防火墻設(shè)備的其中一個(gè)功能,就是劃分網(wǎng)絡(luò)的邊界,嚴(yán)格地將網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng)。外網(wǎng)則是防火墻認(rèn)為的——不安全的網(wǎng)絡(luò),不受信任的網(wǎng)絡(luò);內(nèi)網(wǎng)則是防火墻認(rèn)為的——安全的網(wǎng)絡(luò),受信任的網(wǎng)絡(luò)。
二、加固網(wǎng)絡(luò)的安全
防火墻的其中一個(gè)功能,就是網(wǎng)絡(luò)流量流向的問(wèn)題(內(nèi)到外可以訪問(wèn),外到內(nèi)默認(rèn)不能訪問(wèn)),這就從一定程度上加強(qiáng)了網(wǎng)絡(luò)的安全性。另外,防火墻還能從另外一些方面來(lái)加固內(nèi)部網(wǎng)絡(luò)的安全:
1、隱藏內(nèi)部的網(wǎng)絡(luò)拓?fù)?br />
這種情況用于互聯(lián)網(wǎng)防火墻。因?yàn)閮?nèi)網(wǎng)一般都會(huì)使用私有IP地址,而互聯(lián)網(wǎng)是Internet的IP地址。由于在IPv4環(huán)境下IP地址不足,內(nèi)部使用大量的私有地址,轉(zhuǎn)換到外部少量的Internet地址,這樣的話(huà),外部網(wǎng)絡(luò)就不會(huì)了解到內(nèi)部網(wǎng)絡(luò)的路由,也就沒(méi)法了解到內(nèi)部網(wǎng)絡(luò)的拓?fù)淞恕M瑫r(shí),防火墻上還會(huì)使用NAT技術(shù),將內(nèi)部的服務(wù)器映射到外部,所以從外部訪問(wèn)服務(wù)器的時(shí)候只能了解到映射后的外部地址,根本不會(huì)了解到映射前的內(nèi)部地址。
2、帶有安全檢測(cè)防御
這種功能并不是每一款防火墻都有。安全檢測(cè)系統(tǒng)(簡(jiǎn)稱(chēng)“IDS”)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于,IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。
3、會(huì)話(huà)日志功能
防火墻都有會(huì)話(huà)記錄功能,每一個(gè)數(shù)據(jù)包在經(jīng)過(guò)防火墻之后,都可以在防火墻的會(huì)話(huà)表中查詢(xún)到歷史訪問(wèn)記錄。如果是外部主機(jī)訪問(wèn)內(nèi)部呢?當(dāng)然,在你的內(nèi)部網(wǎng)絡(luò)遭受不安全以后,可以在防火墻上查到從外到內(nèi),到底是哪個(gè)IP地址非法闖入了。
三、防火墻在企業(yè)環(huán)境的應(yīng)用
1、互聯(lián)網(wǎng)出口設(shè)備
這估計(jì)是大家最能想到的一種用途吧。因?yàn)镮nternet就是一個(gè)最典型的外網(wǎng),當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet的時(shí)候,為了保證內(nèi)部網(wǎng)絡(luò)不受來(lái)自外部的威脅侵害,就會(huì)在互聯(lián)網(wǎng)出口的位置部署防火墻。
2、分支機(jī)構(gòu)接骨干網(wǎng)作邊界設(shè)備
在電力行業(yè)、金融行業(yè)等大型跨地,跨省的企業(yè)時(shí),為了企業(yè)中各個(gè)省級(jí)、地市級(jí)單位的內(nèi)部數(shù)據(jù)通信通常都會(huì)自建一張骨干網(wǎng)絡(luò)。每個(gè)省級(jí)、地市級(jí)單位辦公網(wǎng)絡(luò)接入骨干網(wǎng)時(shí),就可以在網(wǎng)絡(luò)接入點(diǎn)部署防火墻,進(jìn)一步提高每個(gè)單位的辦公網(wǎng)絡(luò)安全性。
3、數(shù)據(jù)中心內(nèi)保護(hù)服務(wù)器
數(shù)據(jù)中心(DataCenter)是為企業(yè)存放重要數(shù)據(jù)資料的,同時(shí)數(shù)據(jù)中心內(nèi)會(huì)放置各種各樣功能不一的服務(wù)器。想要保證數(shù)據(jù)的安全,首先就要保證這些服務(wù)器的安全。物理上的安全嘛,你就防火防水防賊唄,應(yīng)用上的安全,找殺毒軟件嘛;但是在網(wǎng)絡(luò)上防止,防止非授權(quán)人員操作服務(wù)器,就需要到防火墻來(lái)發(fā)揮作用了。一般在傳統(tǒng)的數(shù)據(jù)中心內(nèi),會(huì)根據(jù)不同的功能來(lái)決定服務(wù)器的分區(qū),然后在每個(gè)分區(qū)和核心設(shè)備的連接處部署防火墻。
四、防火墻并不適用于所有網(wǎng)絡(luò)場(chǎng)景
不是任何場(chǎng)合都適合部署防火墻。誰(shuí)都知道安全性和方便性有時(shí)候會(huì)有那么一些沖突。防火墻作為一種網(wǎng)絡(luò)安全設(shè)備,部署在網(wǎng)絡(luò)中會(huì)對(duì)穿過(guò)防火墻的數(shù)據(jù)包進(jìn)行攔截,然后確定它符合策略要求以后才會(huì)放行。這會(huì)對(duì)網(wǎng)絡(luò)傳輸效率造成一定影響。所以防火墻一般用于數(shù)據(jù)中心,大型企業(yè)總部,國(guó)有企業(yè)省級(jí)、地區(qū)級(jí)辦公機(jī)構(gòu),帶有服務(wù)器區(qū)域的網(wǎng)絡(luò)環(huán)境或機(jī)密性較高的單位。
東莞網(wǎng)絡(luò)安全公司廣東藍(lán)訊智能科技與各大網(wǎng)絡(luò)安全廠家合作,可以為用戶(hù)提供網(wǎng)絡(luò)安全解決方案。歡迎來(lái)電咨詢(xún),電話(huà):18028990096.
13580762200/13725734438/18028990096
