在
網(wǎng)絡(luò)安全項目中,防火墻是常見的設(shè)備了。防火墻(Firewall)是一種網(wǎng)絡(luò)設(shè)備,它在網(wǎng)絡(luò)中起到兩個最基本的功能:劃分網(wǎng)絡(luò)的邊界、加固內(nèi)網(wǎng)的安全。
一、劃分網(wǎng)絡(luò)的邊界
防火墻設(shè)備的其中一個功能,就是劃分網(wǎng)絡(luò)的邊界,嚴(yán)格地將網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng)。外網(wǎng)則是防火墻認(rèn)為的——不安全的網(wǎng)絡(luò),不受信任的網(wǎng)絡(luò);內(nèi)網(wǎng)則是防火墻認(rèn)為的——安全的網(wǎng)絡(luò),受信任的網(wǎng)絡(luò)。
二、加固網(wǎng)絡(luò)的安全
防火墻的其中一個功能,就是網(wǎng)絡(luò)流量流向的問題(內(nèi)到外可以訪問,外到內(nèi)默認(rèn)不能訪問),這就從一定程度上加強了網(wǎng)絡(luò)的安全性。另外,防火墻還能從另外一些方面來加固內(nèi)部網(wǎng)絡(luò)的安全:
1、隱藏內(nèi)部的網(wǎng)絡(luò)拓?fù)?br />
這種情況用于互聯(lián)網(wǎng)防火墻。因為內(nèi)網(wǎng)一般都會使用私有IP地址,而互聯(lián)網(wǎng)是Internet的IP地址。由于在IPv4環(huán)境下IP地址不足,內(nèi)部使用大量的私有地址,轉(zhuǎn)換到外部少量的Internet地址,這樣的話,外部網(wǎng)絡(luò)就不會了解到內(nèi)部網(wǎng)絡(luò)的路由,也就沒法了解到內(nèi)部網(wǎng)絡(luò)的拓?fù)淞恕M瑫r,防火墻上還會使用NAT技術(shù),將內(nèi)部的服務(wù)器映射到外部,所以從外部訪問服務(wù)器的時候只能了解到映射后的外部地址,根本不會了解到映射前的內(nèi)部地址。
2、帶有安全檢測防御
這種功能并不是每一款防火墻都有。安全檢測系統(tǒng)(簡稱“IDS”)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于,IDS是一種積極主動的安全防護(hù)技術(shù)。
3、會話日志功能
防火墻都有會話記錄功能,每一個數(shù)據(jù)包在經(jīng)過防火墻之后,都可以在防火墻的會話表中查詢到歷史訪問記錄。如果是外部主機訪問內(nèi)部呢?當(dāng)然,在你的內(nèi)部網(wǎng)絡(luò)遭受不安全以后,可以在防火墻上查到從外到內(nèi),到底是哪個IP地址非法闖入了。
三、防火墻在企業(yè)環(huán)境的應(yīng)用
1、互聯(lián)網(wǎng)出口設(shè)備
這估計是大家最能想到的一種用途吧。因為Internet就是一個最典型的外網(wǎng),當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet的時候,為了保證內(nèi)部網(wǎng)絡(luò)不受來自外部的威脅侵害,就會在互聯(lián)網(wǎng)出口的位置部署防火墻。
2、分支機構(gòu)接骨干網(wǎng)作邊界設(shè)備
在電力行業(yè)、金融行業(yè)等大型跨地,跨省的企業(yè)時,為了企業(yè)中各個省級、地市級單位的內(nèi)部數(shù)據(jù)通信通常都會自建一張骨干網(wǎng)絡(luò)。每個省級、地市級單位辦公網(wǎng)絡(luò)接入骨干網(wǎng)時,就可以在網(wǎng)絡(luò)接入點部署防火墻,進(jìn)一步提高每個單位的辦公網(wǎng)絡(luò)安全性。
3、數(shù)據(jù)中心內(nèi)保護(hù)服務(wù)器
數(shù)據(jù)中心(DataCenter)是為企業(yè)存放重要數(shù)據(jù)資料的,同時數(shù)據(jù)中心內(nèi)會放置各種各樣功能不一的服務(wù)器。想要保證數(shù)據(jù)的安全,首先就要保證這些服務(wù)器的安全。物理上的安全嘛,你就防火防水防賊唄,應(yīng)用上的安全,找殺毒軟件嘛;但是在網(wǎng)絡(luò)上防止,防止非授權(quán)人員操作服務(wù)器,就需要到防火墻來發(fā)揮作用了。一般在傳統(tǒng)的數(shù)據(jù)中心內(nèi),會根據(jù)不同的功能來決定服務(wù)器的分區(qū),然后在每個分區(qū)和核心設(shè)備的連接處部署防火墻。
四、防火墻并不適用于所有網(wǎng)絡(luò)場景
不是任何場合都適合部署防火墻。誰都知道安全性和方便性有時候會有那么一些沖突。防火墻作為一種網(wǎng)絡(luò)安全設(shè)備,部署在網(wǎng)絡(luò)中會對穿過防火墻的數(shù)據(jù)包進(jìn)行攔截,然后確定它符合策略要求以后才會放行。這會對網(wǎng)絡(luò)傳輸效率造成一定影響。所以防火墻一般用于數(shù)據(jù)中心,大型企業(yè)總部,國有企業(yè)省級、地區(qū)級辦公機構(gòu),帶有服務(wù)器區(qū)域的網(wǎng)絡(luò)環(huán)境或機密性較高的單位。
東莞網(wǎng)絡(luò)安全公司廣東藍(lán)訊智能科技與各大網(wǎng)絡(luò)安全廠家合作,可以為用戶提供網(wǎng)絡(luò)安全解決方案。歡迎來電咨詢,電話:18028990096.
13580762200/13725734438/18028990096
