企业内部网络硬件防火墙的设计与维护

ＣＵ Ｐ 负载的正 常值是多少 ，过低 的负载值不一定表示一切正常 ， 出现 但 过高的负载值则说明防火墙系统肯定 出现问题了。
３４ 硬件防火墙 系统 的精 灵程序 ． 每 台防火墙在正常运行 的情况下 ，都有一组精灵程序 （ ａｍ ｎ Ｄ ｅ ｏ ）， 比如名字服务程序 、系统 日 志程序 、网络分发程序或认证程序等。在例 行检查 中必须检查这些程序是不是都在运行 ， 如果发现某些精灵程序没 有运行 ， 则需要进一步检查是什么原因导致这些精灵程序不运行 ， 还有 哪些精灵程序还在运行 中。
蔫 螽霸 宰
信息科 学
３ １
企业 内部 网络硬 件 防火墙 的设 计 与维护
王 晶辉 ，代 瑶
（ 黑龙江信息技术 职业 学院 ，黑龙 江哈尔滨 １０ ２ ） ０ ５ ５
摘 要 企 业 内部 网络系统 的安全性 主要包括两 个大 的方 面 ，一是 外部连接 的侵入 ；二是 内部 泄密 ，做 好企业 内部 网络 硬件防火墙 的设计 与维护是提 高安全性 的关键技术 。 关键 词 内部 网络 ；硬件 防火墙 ；设计 ；维护
一
２３ 网络设计 ． 出于实用 目的 ，企业 目 前关心 的是路 由器与 自身内于这一事实 ，在技术上还 需要做 出 几项决策 ：传输 流路 由服务可 以通过诸如路 由器中的过滤规 则在Ｉ层实 Ｐ 现 ，或通过代理网关和服务在应用层实现。 Ｉ 人员需要 做 出的决 定是否将暴 露 的简易机放置 在外部 网络上为 Ｔ Ｔ ｌｅ、Ｆ Ｐ、Ｎ ｗ 等运行代理服 务 ，或是否设置像过 滤器这样的屏蔽 ｅ ｔ Ｔ ｎ ｅｓ
现 内部网重点 网段 的隔离，从而限制了局部重点或敏感网络安全问题对全 局 网络造成 的影响。再者 ，隐私是 内部网络非常 的问题。Ｆ ｇ ￣示 ｉｅ ｎｒ 了主机的所有用户的注册名、真名 ， 最后登录时间和使用ｓ Ⅱ ｈ 类型等。但 ｅ 是Ｆ ｇ ￣ ｉｅ ｎｒ 信息非常容易被攻击者所获悉 。防火墙可以同样阻塞有关
３６ 异 常 日志 ．
防火墙 的监视 、冗余度以及控制水平是需要进行定义的。通过企业 系统策略的设计 ，Ⅱ人员要确定企业可接受的风险水平 （ ’ 偏执 到何种程 度 ）。Ｉ人员开始 时先列 出总体 目 ，然后把需求分析与风险评估结合 Ｔ 标 在一起 ， 出与风险始终对立的需求 ，加入到计划完成 的工作清单中。 找
１ 防 火墙 的概 念与 功能
１１防火墙的概念 ．
防火墙是指设 置在不 同网络（ 如可信任的企业内部 网和不可信的公共 网） 或网络安全域之 间的一 系列 部件 的组合 。 在逻辑上 ，防火墙是一个 分离器 ，一个限制器 ，也是一个分 析器 ， 有效地监控 了内部网和Ｉｔ ｔ ｎ ｍｅ ｅ 之 间的任何活动 ， 保证 了内部网络 的安全。
硬件 防火墙 日 志记录 了所有允许或拒绝的通信 的信息 ，是主要的硬 件防火墙运行状况 的信息来源 。由于该 日志的数据量庞大 ，所以 ， 检查 异常 日 志通常应该是一个 自 动进行 的过程。当然 ， 什么样 的事件是异 常 事件 ，得 由管理员来确定 ，只有管理员定义了异 常事件并进行记录 ， 硬 件防火墙才会保留相应 的 日 志备查。 上述６ 个方面 的例行检查也 许并 不能立刻检查到硬件 防火墙 可能 遇 到的所有问题和隐患 ， 但持之 以恒地检查对硬件 防火墙稳定可靠地运行 是非常重要的。如果有必要 ，管理员还可以用数据包扫描程序来确认硬 件防火墙配置的正确 与否 ，甚至可 以更进一步地采用漏洞扫描程序来进 行模拟攻击 ，以考核硬件防火墙的能力 。
３ ５ 系 统 文 件 ．
内部网络 中的Ｄ Ｓ￣ ， Ｎ￣息 这样一台主机的域名和Ｉ 赴 Ｐ 吐就不会被外界所 了 ｊ 解 。５ Ｖ Ｎ ） Ｐ 。除了安全作用 ，防火墙还支持具Ｉｔ ｅ 艮 ｎ ｍ ｉ 务特 ｌ的企业 内 ｅ 月 生 部网络技术体系Ｖ Ｎ Ｐ 。通过Ⅵ ， 将企事业单位在地域上分布在全世界各 地的【 Ｎ Ｊ 或专用子网，有机地联成—个整体。不仅省去了专用通信线路 ， Ａ 而且为信 息 共享提供了技术保障。 ２ 企业 内部 硬件 防 火墙 的设 计
路 由器 ，允许与一台或多台内部计算机通信。这两种方式都存在着优缺 点 ，代理机可以提供更高水平 的审计和潜在的安全陛，但代价是配置费 用 的增加 ，以及提供的服务水平的降低 。 ３ 硬件 防 火墙 的例 行检 查
３１ 硬件防火墙的配置 文件 ． 不管你在安装硬件防火墙的时候考虑得有多么的全面和严密 ， 一旦 硬件防火墙投入到实际使用环境 中，情况却随时都在发生改变。硬件 防 火墙的规则总会不 断地变化和调整着 ，配置参数也会时常有所改变。作 为 网络安全管理人员 ， 最好能够编写一套修改防火墙配置和规则的安全 策略 ，并严格实施 。所涉及 的硬件防火墙配置 ， 最好能详细到类似哪些 流量被允许 ，哪些服务要用到代理这样的细节。 ３２ 硬件防火墙的磁盘使 用情 况 ＿ 如果在硬件防火墙上保 留日志记录 ， 么检查硬件防火墙的磁盘使 那 用情况是一件很重要 的事情 。如果不保留 日志记 录，那么检查硬件防火 墙的磁盘使用情况就变得更加重要 了。保留 日志记 录的情况下 ，磁盘 占 用量的异常增长很可能表 明 日 志清除过程存 在问题 ，这种情况相对来说 还好处理一些。在不保 留 日志的情况下 ，如果磁盘 占用量异常增长，则 说明硬件 防火墙有可能是被人安装 了Ｒ ｏｌｔ ，已经被人攻破。 ｏｔ ￣具 ｄ ３３ 硬件防火墙的ＣＰ ． Ｕ负载 和磁盘使用情况类似 ， Ｐ 负载也是判断硬件防火墙系统运行是否 ＣＵ 正常 的一个重要指标 。作为安 全管理人员 ，必须 了解硬件 防火墙系统
１２ 防火墙的功能 ．
１ 防火墙是网络安全 的 障。—个防火墙（ ） 屏 作为阻塞点、控制点） 能极 大地提高—个 内 网络的安全 眭，并通过过滤不安全 的服务而降低风险。 部 由于只有经过精心选择 的应用协议才能通过 防火墙 ，所以网络环境变得 更安全。如防火墙可以禁止诸如众所周知的不安全 的Ｎ 协议进 出受保护 网络 ， 这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。 防火墙同时可以保护网络免受基于路 由的攻击 ，如聃 中的源路 由 项 攻击 和Ｉ加） 向中的重定向路径 。２ ｃ 重定 ）防火墙可 以强化网络安全策略。通过 以防火墙 为中心的安全方案配置 ，能将所有安全软件（ 口令 、加密 、身 如 份认证、审计等） 配置在 防火墙上。与将 网络安全问题分散到各个主机上 相 比，防火墙的集 中安全管理更经济。３ 对网络存取和访 问进行监控审 ） 计。如果所有的访 问都经过防火墙 ， 那么 ，防火墙就能记录下这些访问并 作出 日 志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作 时 ，防火墙能进行适当的报警 ， 并提供网络是否受到监测和攻击的详细信 息 。４ ）防止内部信息的外泄 。通过利用防火墙对 内部网络的划分 ， 可实
２２ 关 注 财 务 问 题 ．
个完整的防火墙的高端产品可能价值 １万美元 ，而低端产 品可能 Ｏ 是免费的 ； 从头建立一个高端防火墙可能需要几个月 。另外 ，系统管理 开销也是需要考虑 的问题 。建立 自行开发 的防火墙固然很好 ， 但重要 的 是 ，使建立的防火墙不需要高额 的维护和更新费用。
中图 分类 号 Ｔ ３３ ８ 文 献 标识 码 Ａ 文 章 编号 １７— ６ １（ １）２—０ １０ Ｐ９ ． Ｏ ６３９７ 一２ ００ １０３— ｌ ０
防火墙技术是建立在现代通信网络技术和信息安全技术基础上 的应 用 性安全技术 ，越来 越多地应 用于专用 网络与公用 网络 的互联环境之 中，尤其以接／ Ｉ ｅ ｅ ｈｎ ｍ ｔ ． ｔ 网络为最甚。
２１ 定义所需要的防御能力 ．
关键 的系统文件 的改变不外乎三种情况 ： 管理人员有 目的 、有计划 地进行的修改 ，比如计划 中的系统升级所造成的修改 ；管理人员偶尔对 系统文件进行 的修改 ； 攻击者对文件 的修改。 经常性地检查系统文件 ，并查对系统文件修改记录 ，可及时发现 防 火墙所遭到 的攻击。
４ 结 束语 企 业 内部 网络硬件 防火墙 的设计 与维护 是关系到企 业内部通信安 全 ，提高办公 效率 和保密性 的关键技术 ，随着信息技术 的发展 ，内部 网 络的安全性 日益受 到威胁 ，我们必须不断研究和探索 ，提高内部网络 防
火墙的设计与维护水平 。