2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩0頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、簧耋弘湍爵一㈣基于企業(yè)防火墻應(yīng)用案例辨析熊海清(洛陽有色金屬加工設(shè)計研究院信息中心河南洛陽471∞3)[摘要】隨著網(wǎng)絡(luò)應(yīng)用的普及,網(wǎng)絡(luò)的安全性也越來越顯得格外重要。結(jié)合企業(yè)在防火墻使用中的實際情況,分析幾種防火墻使用中經(jīng)常出現(xiàn)的問題,并深入探討了不同的解決方法。’[關(guān)鍵詞]企業(yè)防火墻應(yīng)用安全中圖分類號:TP3文獻標識碼;^文章編號:1671—7597(2008)08208一01目前企業(yè)內(nèi)部辦公網(wǎng)絡(luò)存在的安全隱患主要有黑客惡意攻擊、病毒感

2、染、口令攻擊、數(shù)據(jù)監(jiān)聽等,在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。所以企業(yè)網(wǎng)絡(luò)中應(yīng)該以防范黑客和病毒為首。針對企業(yè)辦公網(wǎng)絡(luò)存在的眾多隱患,各個企業(yè)也實施了安全防御措施,其中包括防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、認證技術(shù)、PKI技術(shù)等,但其中應(yīng)用最為廣泛、實用性最強、效果最好的就是防火墻技術(shù)。一、來翻定憲■的企業(yè)安全簟略(一)問題描述。某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點的防火墻,剛投入使用后,發(fā)現(xiàn)以前局域網(wǎng)中肆虐

3、橫行的蠕蟲病毒不見了,企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了。該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機是帶路由模塊的三層交換機,出口通過路由器和IsP連接。內(nèi)部網(wǎng)劃分為5個vLAN,VLAN1、vLAN2和1l,LAN3分配給不同的部門使用,不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限;VLAN4分配給交換機出口地址和路由器使用;VLAN5分配給公共服務(wù)器使用。在沒有加入防火墻之前,各個vLAN中的Pc機能夠通過交換機和路由器不受限制地訪問Inte

4、rnet。加入防火墻后,給防火墻分配一個VLAN4中的空閑IP地址,并把網(wǎng)關(guān)指向路由器:將vLAN5接入到防火墻的一個網(wǎng)口上。這樣,防火墻就把整個網(wǎng)絡(luò)分為3個區(qū)域:內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng),三者之間的通信受到防火墻安全規(guī)則的限制。防火墻投入運行后,實施了一套較為嚴格的安全規(guī)則,導(dǎo)致公司員工無法使用0Q聊天軟件,于是沒過多久就有員工自己撥號上網(wǎng),導(dǎo)致感染了特洛依木馬和蠕蟲等病毒,并立刻在公司內(nèi)部局域網(wǎng)中傳播開來,造成內(nèi)部網(wǎng)大面積癱瘓。

5、(二)問題分析。我們知道,防火墻作為一種保護網(wǎng)絡(luò)安全的設(shè)備。必須部署在受保護網(wǎng)絡(luò)的邊界處,只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信,達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡(luò)的邊界不唯一有很多出入口,那么只部署一臺防火墻是不夠的。在本案例中,防火墻投入使用后,沒有禁止私自撥號上網(wǎng)行為,使得許多Pc機通過電話線和Internet相連,導(dǎo)致網(wǎng)絡(luò)邊界不唯一。入侵者可以通過攻擊這些Pc機然后進一步攻擊內(nèi)部網(wǎng)絡(luò),從而成功地避開了防火墻。(三)

6、解決辦法。根據(jù)自己企業(yè)網(wǎng)的特點,制定一整套安全策略,并徹底地貫徹實施。比如說,制定一套安全管理規(guī)章制度,嚴禁員工私自撥號上網(wǎng);同時封掉撥號上網(wǎng)的電話號碼,并購買檢測撥號上網(wǎng)的軟件。這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不唯一的情況發(fā)生。另外??紤]到企業(yè)員工的需求,可以在防火墻上添加按照時間段生效的安全規(guī)則,在非工作時間打開O口使用的TcP/uDP端口,使得企業(yè)員工可以在工余時間使用QQ聊天軟件。(四)結(jié)論和忠告。防火墻只是保證安全的一種技術(shù)

7、手段,、要想真正實現(xiàn)安全。安全策略是核心問題。二、未考慮晴火■的可擴充性(一)問題描述某大型企業(yè)一年前購買了幾十臺防火墻,分布在總部局域網(wǎng)和全國各地的分支機構(gòu)中。剛投入使用后,各部門和分支機構(gòu)都反映不錯,沒有影響到網(wǎng)絡(luò)性能。隨著信息化程度的不斷提高,該企業(yè)決定構(gòu)建視頻會議系統(tǒng),卻發(fā)現(xiàn)防火墻不支持該應(yīng)用協(xié)議,如果要實現(xiàn)視頻會議,必須讓防火墻打開一個很大的缺口,這會留下很大的安全隱患。(二)問題分析。視頻會議系統(tǒng)一般都采用H323協(xié)議,在創(chuàng)

8、建符合H323協(xié)議的Voice—over—IP通道時,需要用到IcP協(xié)議的1720、173l和圓1735等端口,并且會使用到TcP協(xié)議的、大于1024的端口及UDP協(xié)議的、大于30000的端口,這些端口是動態(tài)隨機選取的。如果防火培沒有專門針對H323協(xié)議實現(xiàn)動態(tài)包過濾,那么必須靜態(tài)地配置安全規(guī)則,打開TcP協(xié)議1024到65535之問的所有端口以及UDP協(xié)議30000到65535之間的所有端口,這樣等于給防火墻打開了一個缺口,留下了安全

9、隱患。此外,視頻會議系統(tǒng)對于網(wǎng)絡(luò)的服務(wù)質(zhì)量和語音傳輸?shù)膬?yōu)先級要求很高,如果防火墻不支持Q0s功能,就無法保證參加視頻會議的主機的語音和視頻質(zhì)量。本案例說明了企業(yè)在選購防火墻時沒有充分考慮到今后網(wǎng)絡(luò)的擴展性,導(dǎo)致防火墻不能適應(yīng)新的應(yīng)用環(huán)境。(三)解決辦法。購買防火墻前應(yīng)充分考慮到各種應(yīng)用的可能性如果問題已經(jīng)發(fā)生,請求防火墻廠商或安全集成商幫助解決。(四)結(jié)論和忠告。“安全當頭,應(yīng)用為先”。如果不支持諸如視頻等網(wǎng)絡(luò)應(yīng)用,再好的安全設(shè)施也是沒

10、有意義的。請關(guān)注防火墻的功能是否全面,是否全面兼容各種應(yīng)用協(xié)議。三不經(jīng)簟●I護升瓤畸火■(一)問題描述。某企業(yè)購置防火墻后己安全運行二年多,由于該機構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定,沒有什么變化,各種應(yīng)用也運行穩(wěn)定,管理員基本上不對防火墻進行管理,只要網(wǎng)絡(luò)一直保持暢通即可,不再關(guān)心防火墻的規(guī)則是否需要調(diào)整,軟件是否需要升級。因此防火墻軟件版本一直還是購買時的舊版本。在一次全球范圍的蠕蟲病毒迅速蔓延事件中,企業(yè)內(nèi)網(wǎng)也受到蠕蟲病毒的感染,防火墻因為沒有

11、及時升級,無法抵御這種蠕蟲病毒的攻擊,造成整個內(nèi)部網(wǎng)大面積受感染,網(wǎng)絡(luò)陷于癱瘓之中。(二)問題分析。安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具,必須不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段,過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說,應(yīng)當時刻留心廠家發(fā)布的升級包,及時給防火墻打上最新的補丁。(三)解決辦法。及時維護防火墻,當本機構(gòu)發(fā)生人員變動、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時,要及時調(diào)整防火墻的安全規(guī)則,及時升級防火墻。

12、一(四)結(jié)論和忠告。保護網(wǎng)絡(luò)安全是動態(tài)的過程,防火墻需要積極追維護和升級?!?、來考●與其■安全產(chǎn)量的t含奠用保護網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品,只有將多種安全產(chǎn)品無縫地結(jié)合起來,充分利用它們各自的優(yōu)點,才能最大限度地保證網(wǎng)絡(luò)安全。五、鶯柬曩總之,在Internet應(yīng)用迅速普及發(fā)展的今天,企業(yè)計算機網(wǎng)絡(luò)接入Internet獲取資源、提供信息是廣泛的應(yīng)用模式此時,如何保護企業(yè)計算機網(wǎng)絡(luò)資源不受外部非法侵襲是一個嚴肅、重要的課恿參考文獻:[1

13、】高志強、谷濤、鹿凱寧,‘應(yīng)用模糊控制理論的防火墻技術(shù)研究》,‘電子測量技術(shù))2006年02期[2]黃登璽、卿斯?jié)h、蒙楊。,‘防火墻核心技術(shù)的研究和高安全等級|防火墻的設(shè)計,‘計算機科學》2002年10期萬方數(shù)據(jù)簧耋弘湍爵一㈣基于企業(yè)防火墻應(yīng)用案例辨析熊海清(洛陽有色金屬加工設(shè)計研究院信息中心河南洛陽471∞3)[摘要】隨著網(wǎng)絡(luò)應(yīng)用的普及,網(wǎng)絡(luò)的安全性也越來越顯得格外重要。結(jié)合企業(yè)在防火墻使用中的實際情況,分析幾種防火墻使用中經(jīng)常出現(xiàn)的

14、問題,并深入探討了不同的解決方法。’[關(guān)鍵詞]企業(yè)防火墻應(yīng)用安全中圖分類號:TP3文獻標識碼;^文章編號:1671—7597(2008)08208一01目前企業(yè)內(nèi)部辦公網(wǎng)絡(luò)存在的安全隱患主要有黑客惡意攻擊、病毒感染、口令攻擊、數(shù)據(jù)監(jiān)聽等,在這眾多的安全隱患中要數(shù)黑客惡意攻擊和病毒感染的威脅最大,造成的破壞也最大。所以企業(yè)網(wǎng)絡(luò)中應(yīng)該以防范黑客和病毒為首。針對企業(yè)辦公網(wǎng)絡(luò)存在的眾多隱患,各個企業(yè)也實施了安全防御措施,其中包括防火墻技術(shù)、數(shù)據(jù)

15、加密技術(shù)、認證技術(shù)、PKI技術(shù)等,但其中應(yīng)用最為廣泛、實用性最強、效果最好的就是防火墻技術(shù)。一、來翻定憲■的企業(yè)安全簟略(一)問題描述。某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點的防火墻,剛投入使用后,發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了,企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了。該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機是帶路由模塊的三層交換機,出口通過路由器和IsP連接。內(nèi)部網(wǎng)劃分為5個vLAN,VLAN1、vLAN2和1l,LAN3分配給不同的部門使

16、用,不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限;VLAN4分配給交換機出口地址和路由器使用;VLAN5分配給公共服務(wù)器使用。在沒有加入防火墻之前,各個vLAN中的Pc機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后,給防火墻分配一個VLAN4中的空閑IP地址,并把網(wǎng)關(guān)指向路由器:將vLAN5接入到防火墻的一個網(wǎng)口上。這樣,防火墻就把整個網(wǎng)絡(luò)分為3個區(qū)域:內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng),三者之間的通信受到防火墻安全規(guī)則的

17、限制。防火墻投入運行后,實施了一套較為嚴格的安全規(guī)則,導(dǎo)致公司員工無法使用0Q聊天軟件,于是沒過多久就有員工自己撥號上網(wǎng),導(dǎo)致感染了特洛依木馬和蠕蟲等病毒,并立刻在公司內(nèi)部局域網(wǎng)中傳播開來,造成內(nèi)部網(wǎng)大面積癱瘓。(二)問題分析。我們知道,防火墻作為一種保護網(wǎng)絡(luò)安全的設(shè)備。必須部署在受保護網(wǎng)絡(luò)的邊界處,只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信,達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡(luò)的邊界不唯一有很多出入口,那么只部署一臺防火墻是不

18、夠的。在本案例中,防火墻投入使用后,沒有禁止私自撥號上網(wǎng)行為,使得許多Pc機通過電話線和Internet相連,導(dǎo)致網(wǎng)絡(luò)邊界不唯一。入侵者可以通過攻擊這些Pc機然后進一步攻擊內(nèi)部網(wǎng)絡(luò),從而成功地避開了防火墻。(三)解決辦法。根據(jù)自己企業(yè)網(wǎng)的特點,制定一整套安全策略,并徹底地貫徹實施。比如說,制定一套安全管理規(guī)章制度,嚴禁員工私自撥號上網(wǎng);同時封掉撥號上網(wǎng)的電話號碼,并購買檢測撥號上網(wǎng)的軟件。這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不唯一的情況發(fā)

19、生。另外??紤]到企業(yè)員工的需求,可以在防火墻上添加按照時間段生效的安全規(guī)則,在非工作時間打開O口使用的TcP/uDP端口,使得企業(yè)員工可以在工余時間使用QQ聊天軟件。(四)結(jié)論和忠告。防火墻只是保證安全的一種技術(shù)手段,、要想真正實現(xiàn)安全。安全策略是核心問題。二、未考慮晴火■的可擴充性(一)問題描述某大型企業(yè)一年前購買了幾十臺防火墻,分布在總部局域網(wǎng)和全國各地的分支機構(gòu)中。剛投入使用后,各部門和分支機構(gòu)都反映不錯,沒有影響到網(wǎng)絡(luò)性能。隨著

20、信息化程度的不斷提高,該企業(yè)決定構(gòu)建視頻會議系統(tǒng),卻發(fā)現(xiàn)防火墻不支持該應(yīng)用協(xié)議,如果要實現(xiàn)視頻會議,必須讓防火墻打開一個很大的缺口,這會留下很大的安全隱患。(二)問題分析。視頻會議系統(tǒng)一般都采用H323協(xié)議,在創(chuàng)建符合H323協(xié)議的Voice—over—IP通道時,需要用到IcP協(xié)議的1720、173l和圓1735等端口,并且會使用到TcP協(xié)議的、大于1024的端口及UDP協(xié)議的、大于30000的端口,這些端口是動態(tài)隨機選取的。如果防火

21、培沒有專門針對H323協(xié)議實現(xiàn)動態(tài)包過濾,那么必須靜態(tài)地配置安全規(guī)則,打開TcP協(xié)議1024到65535之問的所有端口以及UDP協(xié)議30000到65535之間的所有端口,這樣等于給防火墻打開了一個缺口,留下了安全隱患。此外,視頻會議系統(tǒng)對于網(wǎng)絡(luò)的服務(wù)質(zhì)量和語音傳輸?shù)膬?yōu)先級要求很高,如果防火墻不支持Q0s功能,就無法保證參加視頻會議的主機的語音和視頻質(zhì)量。本案例說明了企業(yè)在選購防火墻時沒有充分考慮到今后網(wǎng)絡(luò)的擴展性,導(dǎo)致防火墻不能適應(yīng)新的

22、應(yīng)用環(huán)境。(三)解決辦法。購買防火墻前應(yīng)充分考慮到各種應(yīng)用的可能性如果問題已經(jīng)發(fā)生,請求防火墻廠商或安全集成商幫助解決。(四)結(jié)論和忠告。“安全當頭,應(yīng)用為先”。如果不支持諸如視頻等網(wǎng)絡(luò)應(yīng)用,再好的安全設(shè)施也是沒有意義的。請關(guān)注防火墻的功能是否全面,是否全面兼容各種應(yīng)用協(xié)議。三不經(jīng)簟●I護升瓤畸火■(一)問題描述。某企業(yè)購置防火墻后己安全運行二年多,由于該機構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定,沒有什么變化,各種應(yīng)用也運行穩(wěn)定,管理員基本上不對防火墻進

23、行管理,只要網(wǎng)絡(luò)一直保持暢通即可,不再關(guān)心防火墻的規(guī)則是否需要調(diào)整,軟件是否需要升級。因此防火墻軟件版本一直還是購買時的舊版本。在一次全球范圍的蠕蟲病毒迅速蔓延事件中,企業(yè)內(nèi)網(wǎng)也受到蠕蟲病毒的感染,防火墻因為沒有及時升級,無法抵御這種蠕蟲病毒的攻擊,造成整個內(nèi)部網(wǎng)大面積受感染,網(wǎng)絡(luò)陷于癱瘓之中。(二)問題分析。安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具,必須不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段,過時的防護盾牌是無法抵擋最

24、先進的長矛的。作為安全管理員來說,應(yīng)當時刻留心廠家發(fā)布的升級包,及時給防火墻打上最新的補丁。(三)解決辦法。及時維護防火墻,當本機構(gòu)發(fā)生人員變動、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時,要及時調(diào)整防火墻的安全規(guī)則,及時升級防火墻。一(四)結(jié)論和忠告。保護網(wǎng)絡(luò)安全是動態(tài)的過程,防火墻需要積極追維護和升級?!?、來考●與其■安全產(chǎn)量的t含奠用保護網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品,只有將多種安全產(chǎn)品無縫地結(jié)合起來,充分利用它們各自的優(yōu)點,才能最大限度地保證網(wǎng)絡(luò)安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論