某大型企业网络安全防御系统的设计

某大型企业网络安全防御系统的设计摘要：随着互联网的不断发展和普及，在给企业带来方便的同时，网络的安全问题也正逐步影响着各个企业的发展。由于网络病毒更新快，其攻击的方式也层出不穷。其中最主要包括，拒绝服务dos、恶意篡改软件、内部攻击等等。为了抵挡这些网络的攻击，大型企业一定要建立一套完整的网络安全防御系统。本文将对网络安全防御系统的设计提出几点合理的建议。

关键词：企业；大型网络；防御系统；设计

中图分类号：tp311.52 文献标识码：a 文章编号：1007-9599 （2013） 04-0000-02

近年来，互联网在不断地发展着。由于互联网的发展与普及，很多企业都建立了一套属于自己的网络系统，以方便企业内部的信息处理以及公司内部的资源共享。企业的网络系统会随着企业规模地不断扩大而扩展其范围，因此，企业网络对于企业的经营影响越来越大。然而，由于企业网络信息的开放性以及自由性，导致了一些企业的私有数据和内部信息受到了黑客的破坏和侵犯，导致网络安全问题变得日益严重。为了能够有效地提高企业网络的防护等级，保护企业内部的信息，企业必须要建立一个安全的防御系统。

1 网络不安全因素影响

由于网络的不断发展，其不安全因数也在不断增多，网络的不安全因素主要由以下几点：

1.1 网络资源的共享性。网络其中一个很大的特点就是资源的共享，资源共享是网络应用的一个目的之一。也正因为网络的资源共享，给一些不法分子提供了机会，他们利用相关的技术通过网络对该计算机进行攻击，窃取相关的资料。对于这样的行为，外部的服务系统不能够完全将其进行隔离，因此，网络的数据包以及相关的信息很容易被攻击者窃取。

1.2 网络的开放性。网上的一些信息是可以很方便地进行访问和获取的。因此一个企业、单位的信息很容易会被不法分子窃取。

1.3 网络系统操作的相关漏洞。网络系统的操作主要是通过网络协议以及服务来实现的，它主要提供了网络通信所需的协议和服务程序。但由于网络协议实现具有复杂性的特点，因此操作系统在实现过程当中会存在着一些漏洞。另外，系统软件的更新换代，也容易导致软件出现新的漏洞或其他问题，这些漏洞和问题会让攻击者有机可乘。

1.4 网络系统存在的缺陷。网络系统的缺陷主要指的是网络设备、网络协议以及网络操作系统的一些安全隐患。这些安全隐患会容易给网络的安全带来威胁，因此，合理的网络设计方能提供安全性。

1.5 不法分子的恶意攻击。关于恶意攻击，最常见的莫过于黑客的攻击和网络病毒的入侵，这些都是网络防范当中最难防护的网络安全威胁。由于黑客以及网络病毒制造者的技术不断更新，他们

很容易对网络进行攻击，使企业网络瘫痪，容易窃取企业网络的相关信息，对企业的影响非常大。

2 网络的安全技术手段以及设计防御方式

2.1 防火墙技术及其设计防御方式。网络防火墙技术，顾名思义，是一种应用在网络关键出入口的防护技术，它主要是通过过滤和应用代理完成对计算机的保护。防火墙的主要目的有两个：第一，控制网络的信息流动方向，通过网络层对网络用户进行控制，避免病毒信息侵入网络用户。第二，防火墙可以起到隔离用户的作用，如果某一网站或者子网发生突发事故，可以通过防火墙对访问用户进行控制，防止其他网络用户收到影响。此外，一些防火墙有隔离内网和外网的功能，因此还有地址映射服务的功能。

2.2 鉴别技术和授权技术。鉴别技术和授权技术的作用都是针对用户的访问进行控制的。鉴别技术和授权技术都是需要通过多层次组成的。这些层次包括：控制一级设备——控制各物理层设备——控制各网络层——对应用程序进行鉴别和授权。

2.3 审计和监控技术。网络安全应用当中一个非常重要的系统就是审计和监控系统。审计和监控系统的功能是对网络的活动信息进行一系列的记录，并进行相关数据的分析，这样做的目的是检查网络中是否存在不正常的活动。如发现有不正常的活动出现，要立即进行追踪，以免非法活动给网络用户带来不良的影响。

3 企业网络安全防御系统的设计

企业网络安全防护的技术主要包括了：病毒的防护、防火墙以及入侵检测等安全组件构成的。这些组合在一起能够确保网络信息的安全性。下面我们来从防火墙技术、入侵检测系统设计进行分析：

3.1 防火墙技术。（1）dms停火区设计。dmz的定义是，它的安全级别比外网要高，比内网要低，是一个单网或多网段的停火区。dmz的主要作用就在于，对于外部用户访问web、dns或者email服务器的时候给予相关权限。它能够在内网和外网之间设立一道防线，如果碰到黑客或者其他病毒想要侵入企业的内网时，dmz能够给黑客增加一点难度，因为黑客要攻击内网的时候，首先就必须攻陷dmz，然后再利用dmz对内网进行攻击。这样在一定程度上增加了难度，是企业内网变得更加安全。网络设计人员在设计dmz的时候，尽可能部署两台防火墙。这是因为如果单纯地采用一道防火墙的话，该防火墙必须要处理各项安全策略。如果设计不当的话，单一防火墙很容易会被攻破，导致企业内网遭到入侵，而两台防火墙却能够有效解决这一难题。首先，设计者应该设立主副防火墙，两防火墙之间采用dmz网段。这样子的好处就是，当黑客攻击其中一台服务器的时候，副防火墙能够承担这些黑客的攻击，而主防火墙和dmz则进行防护。通过这样的分工合作，能够更好的防护企业内部网络。（2）防火墙部署设计。防火墙的整体设计主要包括了以下两个方面：第一，防火墙的主要作用是通过静态过滤数据包的原则，来抵挡外界的攻击，是一种比较基础的防护屏障。但是，防火墙并

不是杀毒软件和木马软件，它不具有智能的监控系统、因此对于一些复杂的攻击，防火墙往往会显得力不从心。为了能够进一步保护企业内部网络，设计者仅仅设计防火墙是不正确的，应该进一步部署入侵检测系统，对所有访问企业内网的行为进行检测，保证企业内部网络的安全。

3.2 入侵检测系统的部署。根据数据来源情况的不同，入侵检测系统可以分为网络的入侵检测系统以及主机的检测系统。其中，网络型的检测系统是指将主机的网卡进行设置，通过监控网络的数据包并且进行判断；而主机的入侵检测系统则是通过系统日志作为数据来源，通过在内部主机上收集各种信息进行分析工作。

企业内网的入侵检测系统指的是网络的入侵检测系统，关于企业内网的入侵检测系统，设计人员的设计主要包括三个部分：攻击检测模块——攻击处理模块——系统模块。为了能够对入侵行为进行有效的检测，设计人员应该编写程序，对访问用户进行数据的采集，并根据数据进行一些分析，如果发现该访问用户存在着可疑攻击行为的，应该利用攻击处理模块进行警报工作。另外，系统模块是对各系统模块进行实施的监控。

然而，入侵检测系统也存在着一些问题，包括：（1）入侵检测系统的误报率比较高，对于一些正常的访问请求，入侵检测系统很容易会将其误认为入侵行为并进行警报。（2）企业入侵检测系统只有警报功能，入侵检测系统具有良好的检测功能，但是却缺乏了相