防火墻解決方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻解決方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻解決方案范文

zyi

防火墻是保護(hù)我們網(wǎng)絡(luò)的第一道屏障，如果這一道防線失守了，那么我們的網(wǎng)絡(luò)就危險(xiǎn)了。所以我們有，必要注意一下安裝防火墻的注意事項(xiàng)。

1　防火墻實(shí)現(xiàn)了你的安全政策

防火墻加強(qiáng)了一些安全策略。如果你沒(méi)有在放置防火墻之前制定安全策略，那么現(xiàn)在就是制定的時(shí)候了。它可以不被寫(xiě)成書(shū)面形式，但是同樣可以作為安全策略。如果你還沒(méi)有明確關(guān)于安全策略應(yīng)當(dāng)做什么，安裝防火墻就是你能做的最好的保護(hù)你的站點(diǎn)的事情，并且要隨時(shí)維護(hù)它也是很不容易的事情。要想有一個(gè)好的防火墻，你需要好的安全策略――寫(xiě)成書(shū)面的并且被大家所接受。

2　一個(gè)防火墻在許多時(shí)候并不是一個(gè)單一的設(shè)備

除非在特別簡(jiǎn)單的案例中，防火墻很少是單一的設(shè)備，而是一組設(shè)備。就算你購(gòu)買(mǎi)的是一個(gè)商用的“all-in-one”防火墻應(yīng)用程序，你同樣得配置其他機(jī)器(例如你的網(wǎng)絡(luò)服務(wù)器)來(lái)與之一同運(yùn)行。這些其他的機(jī)器被認(rèn)為是防火墻的一部分，這包含了對(duì)這些機(jī)器的配置和管理方式，他們所信任的是什么，什么又將他們作為可信的等等。你不能簡(jiǎn)單的選擇一個(gè)叫做“防火墻”的設(shè)備卻期望其擔(dān)負(fù)所有安全責(zé)任。

3　防火墻并不是現(xiàn)成的隨時(shí)獲得的產(chǎn)品

選擇防火墻更像買(mǎi)房子而不是選擇去哪里度假。防火墻和房子很相似，你必須每天和它待在一起，你使用它的期限也不止一兩個(gè)星期那么多。都需要維護(hù)否則都會(huì)崩潰掉。建設(shè)防火墻需要仔細(xì)的選擇和配置一個(gè)解決方案來(lái)滿足你的需求，然后不斷的去維護(hù)它。需要做很多的決定，對(duì)一個(gè)站點(diǎn)是正確的解決方案往往對(duì)另外站點(diǎn)來(lái)說(shuō)是錯(cuò)誤的。

4　防火墻并不會(huì)解決你所有的問(wèn)題

并不要指望防火墻靠自身就能夠給予你安全。防火墻保護(hù)你免受一類(lèi)攻擊的威脅，人們嘗試從外部直接攻擊內(nèi)部。但是卻不能防止從LAN內(nèi)部的攻擊，它甚至不能保護(hù)你免受所有那些它能檢測(cè)到的攻擊。

5　使用默認(rèn)的策略

正常情況下你的手段是拒絕除了你知道必要和安全的服務(wù)以外的任何服務(wù)。但是新的漏洞每天都出現(xiàn)，關(guān)閉不安全的服務(wù)意味著一場(chǎng)持續(xù)的戰(zhàn)爭(zhēng)。

6　有條件的而不是輕易的的妥協(xié)

人們都喜歡做不安全的事情。如果你允許所有的請(qǐng)求，你的網(wǎng)絡(luò)就會(huì)很不安全。如果你拒絕所有請(qǐng)求，你的網(wǎng)絡(luò)同樣是不安全的，你不會(huì)知道不安全的東西隱藏在哪里。那些不能和你一同工作的人將會(huì)對(duì)你不利。你需要找到滿足用戶需求的方式，雖然這些方式會(huì)帶來(lái)一定量的風(fēng)險(xiǎn)。

7　使用分層手段

使用多個(gè)安全層來(lái)避免某個(gè)失誤造成對(duì)你關(guān)心的問(wèn)題的侵害。

8　只安裝你所需要的

防火墻機(jī)器不能像普通計(jì)算機(jī)那樣安裝廠商提供的全部軟件分發(fā)。作為防火墻一部分的機(jī)器必須保持最小的安裝。即使你認(rèn)為有些東西是安全的也不要在你不需要的時(shí)候安裝它。

9　使用可以獲得的所有資源

不要建立基于單一來(lái)源信息的防火墻。特別是該資源不是來(lái)自廠商。有許多可以利用的資源：例如廠商信息、我們所編寫(xiě)的書(shū)、郵件組和網(wǎng)站。

10　只相信你能確定的

不要相信圖形界面的手工和對(duì)話框或是廠商關(guān)于某些東西如何運(yùn)行的聲明，檢測(cè)來(lái)確定應(yīng)當(dāng)拒絕的連接都拒絕了，檢測(cè)來(lái)確定應(yīng)當(dāng)允許的連接都允許了。

11　不斷的重新評(píng)價(jià)決定

你五年前買(mǎi)的房子今天可能已經(jīng)不適合你了。同樣的，你一年以前所安裝的防火墻對(duì)于你現(xiàn)在的情況已經(jīng)不是最好的解決方案了。對(duì)于防火墻你應(yīng)當(dāng)經(jīng)常性的評(píng)估你的決定并確認(rèn)你仍然有合理的解決方案。更改你的防火墻。就像搬新家一樣。需要明顯的努力和仔細(xì)的計(jì)劃。

12　要對(duì)失敗有心理準(zhǔn)備

做好最壞的心理準(zhǔn)備。機(jī)器可能會(huì)停止運(yùn)行，動(dòng)機(jī)良好的用戶可能會(huì)做錯(cuò)事情，有惡意動(dòng)機(jī)的用戶可能做壞的事情并成功的打敗你。但是一定要明白當(dāng)這些事情發(fā)生的時(shí)候這并不是一個(gè)完全的災(zāi)難。

2010年全球安全軟件銷(xiāo)售收入將增長(zhǎng)11.3％

據(jù)GaRner分析師稱(chēng)，2010年全球安全軟件行業(yè)銷(xiāo)售收入將達(dá)到165億美元，增長(zhǎng)11.3％。

這個(gè)預(yù)測(cè)比2009年的148億美元的銷(xiāo)售收入有顯著的增長(zhǎng)。2009年安全軟件銷(xiāo)售收八的增長(zhǎng)率下降到7％。導(dǎo)致一些人認(rèn)為2010年的安全軟件市場(chǎng)銷(xiāo)售會(huì)更糟糕。

然而，Gartner分析師說(shuō)。且前的安全軟件市場(chǎng)狀況要比2001年和2002年的狀況好得多。分析師把持續(xù)的增長(zhǎng)歸功于市場(chǎng)的成熟、普及率、IT的信心以及地理的和垂直的市場(chǎng)混合情況。

第2篇：防火墻解決方案范文

在愈加廣泛的網(wǎng)絡(luò)應(yīng)用中，來(lái)自社會(huì)各行業(yè)領(lǐng)域的安全需求日益加大

不同的行業(yè)及需求特點(diǎn)決定了不同的安全適用機(jī)制

愈加細(xì)分和個(gè)性化的服務(wù)正在引導(dǎo)著信息安全產(chǎn)業(yè)走向未來(lái)

公孫龍《白馬論》中提到：“白馬者，馬與白也，馬與白非馬也。故曰：白馬非馬也?！?/p>

關(guān)于安全的應(yīng)用，許多人都耳熟能詳――知道對(duì)付病毒要用殺毒軟件，對(duì)付網(wǎng)絡(luò)攻擊要用防火墻等。這幾乎已經(jīng)成為一種安全意識(shí)習(xí)慣。但如果真是所有人對(duì)安全都可以這樣說(shuō)得清、用得明，那么中國(guó)安全產(chǎn)業(yè)的規(guī)模也許還能在目前基礎(chǔ)上翻幾番。然而，事實(shí)并非如此。

安全產(chǎn)業(yè)正面臨著這樣的尷尬：一方面，產(chǎn)品越來(lái)越豐富，新的理念不斷涌現(xiàn)，任何細(xì)分的產(chǎn)品都有一整套完備的技術(shù)體系；另一方面，終端用戶則越來(lái)越“笨”，他們面對(duì)安全的信息海洋無(wú)所適從，越來(lái)越?jīng)]有安全感。我們不妨理一理安全產(chǎn)業(yè)的脈絡(luò)，尋找安全真跡。

足跡：面向產(chǎn)品的單點(diǎn)防御系統(tǒng)

安全產(chǎn)品的產(chǎn)生源于頭痛醫(yī)頭、腳痛醫(yī)腳的傳統(tǒng)唯物觀，根據(jù)不同的安全需求，便產(chǎn)生了不同的安全產(chǎn)品。據(jù)CCID數(shù)據(jù)報(bào)告，2005年的整個(gè)網(wǎng)絡(luò)安全市場(chǎng)，殺毒軟件占25.6%，防火墻占43.4%，入侵檢測(cè)（IDS）占10.4%，其它產(chǎn)品占20.6%，很明顯，病毒攻擊、內(nèi)網(wǎng)攻擊、外網(wǎng)攻擊已經(jīng)成了目前最大的安全問(wèn)題，于是便產(chǎn)生了殺毒軟件、IDS和防火墻三大明星產(chǎn)品。

防火墻自產(chǎn)生之初便有許多非議，但作為網(wǎng)關(guān)級(jí)的安全設(shè)備經(jīng)過(guò)多年的發(fā)展，已經(jīng)成為最出色的網(wǎng)絡(luò)安全細(xì)分產(chǎn)品。其市場(chǎng)增長(zhǎng)率在安全產(chǎn)品中居首位，占市場(chǎng)份額43.4%，統(tǒng)治地位十分突出，2005年依然出現(xiàn)了整體優(yōu)勢(shì)的局面。

IDS也是一個(gè)頗有爭(zhēng)議的產(chǎn)品，基于事件統(tǒng)計(jì)的旁路監(jiān)聽(tīng)設(shè)備一開(kāi)始是被認(rèn)為無(wú)用的，但是它的出現(xiàn)使得漆黑的網(wǎng)絡(luò)中出現(xiàn)了一個(gè)可以四處照照的探照燈，至少可以幫助網(wǎng)管分析內(nèi)部網(wǎng)絡(luò)中的流量，發(fā)現(xiàn)一些安全隱患，當(dāng)它能與防火墻進(jìn)行聯(lián)動(dòng)時(shí)，就開(kāi)啟了它的真正應(yīng)用。

殺毒軟件首先出現(xiàn)在桌面領(lǐng)域，網(wǎng)絡(luò)化的移植是網(wǎng)絡(luò)發(fā)展的必然產(chǎn)物，因此雖然只有幾年的歷史，已經(jīng)輕松成為第二大安全產(chǎn)品，占據(jù)著25.6%的市場(chǎng)份額。

無(wú)論是防火墻還是IDS，我們都可以發(fā)現(xiàn)這樣一個(gè)事實(shí)，就是并不是產(chǎn)品有了很強(qiáng)的功能才引來(lái)用戶的使用，而是經(jīng)過(guò)多年的教育，使用戶終于明白這些東西的作用。因此，安全產(chǎn)品的瓶頸不在于產(chǎn)品功能的改進(jìn)，而在于如何能夠有效地教育用戶。不要怪用戶笨，這都是我們做技術(shù)時(shí)的一廂情愿，總以為好的技術(shù)就一定會(huì)有市場(chǎng)。

因此防火墻之后出現(xiàn)了防毒墻，IDS之后出現(xiàn)了IPS，現(xiàn)在又出現(xiàn)了垃圾郵件網(wǎng)關(guān)、UTM、防水墻等等連內(nèi)行人都說(shuō)不全的產(chǎn)品。人們一點(diǎn)也不會(huì)懷疑這些在新型理念支撐下新型設(shè)備的威力，但是如何教育用戶將原有的設(shè)備丟掉而使用這些新產(chǎn)品，是個(gè)問(wèn)題。

熱點(diǎn)：面向方案的整合體系

教育用戶是無(wú)止境的，它需要強(qiáng)大的財(cái)力做后盾，用時(shí)間和感情將陣地慢慢推進(jìn)，于是廠商開(kāi)始思考，如何才能快速取悅用戶，首先他們想到了功能整合。就拿防火墻來(lái)說(shuō)，早些時(shí)候還有胖瘦之爭(zhēng)，即胖防火墻注重功能，瘦防火墻注重效率，而幾年過(guò)去了，這種之爭(zhēng)自然消失了，目前主流的當(dāng)然是胖防火墻，大家拼命在產(chǎn)品中裝入大量的功能，隨便拿一個(gè)防火墻的說(shuō)明書(shū)來(lái)看，功能都在十幾項(xiàng)，因?yàn)闆](méi)人能容忍幾十萬(wàn)塊錢(qián)的東西只有一個(gè)流量控制功能，哪怕其它十幾項(xiàng)功能從來(lái)都不會(huì)用到。最近有些防火墻開(kāi)始集成防毒墻的功能，不但能進(jìn)行流量管理還能進(jìn)行病毒過(guò)濾，相信這種深層的功能整合將會(huì)越來(lái)越普遍。

當(dāng)然還有行為整合，由此產(chǎn)生了主動(dòng)防御的理念。安全軟件廠商提出的主動(dòng)防御是將一些原來(lái)分層的安全統(tǒng)一起來(lái)，比如將底層的漏洞掃描、已知病毒掃描、未知病毒掃描、升級(jí)等原來(lái)相對(duì)耦合的行為統(tǒng)一起來(lái)，形成一個(gè)僅需要用戶很少參與的閉合安全系統(tǒng)，將全面安全問(wèn)題一鍵解決。安全硬件廠商提出的主動(dòng)防御（如思科自防御網(wǎng)絡(luò)）是利用認(rèn)證體系對(duì)連入網(wǎng)絡(luò)的客戶端進(jìn)行強(qiáng)制性管理。從這兩方面可以看出，軟件廠商主要是從技術(shù)角度，而硬件廠商主要是從網(wǎng)管角度來(lái)對(duì)目前的體系進(jìn)行整合，企圖達(dá)到主動(dòng)防御的目的。

目前最流行的還是產(chǎn)品整合，就是我們常說(shuō)的解決方案。功能整合需要廠商很強(qiáng)的研發(fā)實(shí)力，行為整合需要廠商很強(qiáng)的架構(gòu)能力，只有產(chǎn)品整合最容易實(shí)現(xiàn)也最能滿足終端用戶的實(shí)際需求。隨著用戶應(yīng)用系統(tǒng)和網(wǎng)絡(luò)環(huán)境的日益復(fù)雜，安全威脅日益增多，眾多攻擊手段讓傳統(tǒng)上各自為戰(zhàn)的安全產(chǎn)品破綻百出，單一產(chǎn)品已無(wú)法滿足用戶全面的網(wǎng)絡(luò)安全需求，只有將不同安全側(cè)重點(diǎn)的安全技術(shù)有效融合，形成真正有效的安全整體解決方案才能抵御威脅入侵，但是，這樣也有問(wèn)題。

未來(lái)：面向行業(yè)的個(gè)性化安全

產(chǎn)品聯(lián)動(dòng)是設(shè)備廠商解決方案的賣(mài)點(diǎn)，按需定制則是方案廠商解決方案的賣(mài)點(diǎn)。但這些都沒(méi)有真正以用戶的需求作為方案設(shè)計(jì)的驅(qū)動(dòng)力。

第3篇：防火墻解決方案范文

自成立以來(lái)，Check Point 一直專(zhuān)注于IT安全的防護(hù)。為了滿足客戶不斷變化的需求，公司已研發(fā)出多種技術(shù)來(lái)保護(hù)企業(yè)和個(gè)人的互聯(lián)網(wǎng)應(yīng)用，確保他們業(yè)務(wù)和溝通的安全。

2006年，Check Point 發(fā)明了統(tǒng)一安全構(gòu)架，此架構(gòu)采用單一管理控制臺(tái)、統(tǒng)一安全網(wǎng)關(guān)以及為端點(diǎn)安全而設(shè)計(jì)的單一。2009年初，Check Point推出了具有突破意義的安全創(chuàng)新技術(shù)——軟件刀片架構(gòu)。這是一個(gè)動(dòng)態(tài)的、革新性架構(gòu)，可提供安全、靈活和簡(jiǎn)單的解決方案，也可以滿足各種組織和環(huán)境的具體安全需求。

2013年2月，Check Point宣布推出新的21700設(shè)備，其外形為小巧的2U機(jī)箱，可提供業(yè)界領(lǐng)先的安全性以及最快性能。21700設(shè)備可直接輸出高達(dá)78 Gbps的防火墻吞吐量和25 Gbps的IPS吞吐量，其SPU（安全電源組件，Security Power Units）得分可達(dá)2，922。21700設(shè)備充分利用屢獲殊榮的Check Point的軟件刀片架構(gòu)，可為大型企業(yè)和數(shù)據(jù)中心提供業(yè)界領(lǐng)先的多層安全保護(hù)。

現(xiàn)如今，多種技術(shù)的采用使網(wǎng)絡(luò)資源的壓力和需求日益增強(qiáng)，需要更大帶寬和更快的處理速度，因此，安全網(wǎng)關(guān)必須具備整合多種技術(shù)的能力。全新21700設(shè)備提升了性能和流量，在2U機(jī)箱可實(shí)現(xiàn)極高功率，滿足各種規(guī)模環(huán)境的多種安全級(jí)別需求。

全新21700安全網(wǎng)關(guān)優(yōu)化的性能增強(qiáng)技術(shù)可在低延遲、多元傳輸環(huán)境中提供多層安全保護(hù)，同時(shí)提升了防火墻性能，實(shí)現(xiàn)最高可達(dá)110 Gbps的防火墻吞吐量。全新21700設(shè)備使客戶能夠在一個(gè)高效小巧的裝置中保持網(wǎng)絡(luò)性能，并擴(kuò)展安全功能性。

21700設(shè)備作為21000設(shè)備陣容的一員，支持安全加速模塊（Security Acceleration Module）。安全加速模塊采用新型安全核心（ Security Core）技術(shù)，通過(guò)專(zhuān)用硬件加速提高性能，提供108個(gè)專(zhuān)用安全核心。通過(guò)安全加速模塊，21700設(shè)備可使防火墻延遲低于5微秒，把防火墻吞吐量提升至110 Gbps，同時(shí)提供超快速VPN吞吐量并擁有高達(dá)3，551 的SPU，是多元傳輸環(huán)境的理想選擇。

第4篇：防火墻解決方案范文

關(guān)鍵詞：安全連接；防火墻；VPN；SSL

Abstract:With the continuous development of the Internet，the company's internal network size is also increasing，mutual exchange of information are becoming more frequent and important issue of network security is increasingly important. This article describes a VPN combined with a firewall to build internal security network，thereby protecting the internal security of the information.

Keywords:Secure connection；Firewall；VPN；SSL

1 引言

互聯(lián)網(wǎng)絡(luò)發(fā)展至今，改變了人們的生活方式和企業(yè)的經(jīng)營(yíng)方式，通過(guò)Internet可以進(jìn)行交易、查詢、傳遞信息及視頻互動(dòng)等，更成為企業(yè)快速獲得信息的重要渠道。隨著網(wǎng)絡(luò)范圍、用戶數(shù)量的不斷擴(kuò)展，企業(yè)的網(wǎng)絡(luò)安全問(wèn)題日趨嚴(yán)重，由于計(jì)算機(jī)系統(tǒng)的安全威脅，給組織機(jī)構(gòu)帶來(lái)了重大的經(jīng)濟(jì)損失。在所有安全威脅中，外部入侵和非法訪問(wèn)是最為嚴(yán)重的安全事件[1]。

隨著互聯(lián)網(wǎng)的發(fā)展和攻擊者工具與手段的升級(jí)，網(wǎng)絡(luò)管理需要考慮整個(gè)安全體系的綜合協(xié)調(diào)性。隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，Internet已成為主流的低成本通訊構(gòu)架，它給人們的生活和工作帶來(lái)了極大方便。但是，在開(kāi)放式因特網(wǎng)通信中，信息傳輸?shù)陌踩院退矫苄詤s得不到很好的保障。VPN(Virtual Private Network，簡(jiǎn)稱(chēng)VPN)技術(shù)[2]是當(dāng)前廣泛應(yīng)用的安全傳輸技術(shù)之一。將防火墻與VPN結(jié)合應(yīng)用的技術(shù)可以解決這樣問(wèn)題，從而提升企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。

2 VPN網(wǎng)絡(luò)的安全設(shè)計(jì)

2.1 VPN系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)

VPN即虛擬專(zhuān)用網(wǎng)絡(luò)，是通過(guò)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通常，VPN是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過(guò)它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專(zhuān)用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)。

特點(diǎn)：

(1) 安全保障：VPN通過(guò)建立一個(gè)隧道，利用加密技術(shù)對(duì)傳輸數(shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有和安全性。

(2) 服務(wù)質(zhì)量保證（QoS）：VPN可以不同要求提供不同等級(jí)的服務(wù)質(zhì)量保證。

(3) 可擴(kuò)充性和靈活性：VPN可支持通過(guò)Internet和Extranet的任何類(lèi)型的數(shù)據(jù)流。

(4) 可管理性：VPN可以從用戶和運(yùn)營(yíng)商角度方便地進(jìn)行管理。

2.2 VPN系統(tǒng)的關(guān)鍵技術(shù)

(1) 安全隧道技術(shù)

(2) 用戶認(rèn)證技術(shù)

(3) 訪問(wèn)控制技術(shù)

2.3 VPN系統(tǒng)的工作流程

VPN系統(tǒng)建立安全連接的主要流程如下:

安全連接的建立流程

當(dāng)安全連接建立之后，客戶端就可以和內(nèi)網(wǎng)中的主機(jī)在傳輸加密子模塊的控制下進(jìn)行安全通信，從而形成了一個(gè)專(zhuān)用網(wǎng)絡(luò)。

3 VPN與防火墻結(jié)合的安全解決方案

3.1 網(wǎng)絡(luò)邊界安全解決方案

防火墻是一個(gè)網(wǎng)絡(luò)的安全核心，其演變經(jīng)歷了五代。第五代，即新一代防火墻超出了原來(lái)傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個(gè)全方位的安全技術(shù)集成系統(tǒng)。

(1) 防火墻在企業(yè)各機(jī)構(gòu)間的部署

防火墻被部署在企業(yè)各機(jī)構(gòu)的內(nèi)部與外部網(wǎng)絡(luò)之間。內(nèi)部和外部網(wǎng)絡(luò)被完全隔離開(kāi)，所有來(lái)自外部網(wǎng)絡(luò)的服務(wù)請(qǐng)求只能到達(dá)防火墻，防火墻對(duì)收到的數(shù)據(jù)包進(jìn)行分析后將合法的請(qǐng)求傳送給相應(yīng)的內(nèi)部服務(wù)主機(jī)，對(duì)于非法訪問(wèn)加以拒絕。內(nèi)部網(wǎng)絡(luò)的情況對(duì)于外部網(wǎng)絡(luò)的用戶來(lái)說(shuō)是完全不可見(jiàn)的。由于防火墻是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的唯一通訊信道，因此，防火墻可以對(duì)所有針對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)進(jìn)行詳細(xì)的記錄，形成完整的日志文件。

邊界防火墻通過(guò)源地址過(guò)濾，拒絕外部非法IP地址，有效地避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無(wú)關(guān)的主機(jī)的越權(quán)訪問(wèn)。防火墻可以只保留有用的服務(wù)，將其他不需要的服務(wù)關(guān)閉，可將系統(tǒng)受攻擊的可能性降低到最小限度。邊界防火墻可以進(jìn)行地址轉(zhuǎn)換工作，外部網(wǎng)絡(luò)不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客攻擊失去目標(biāo)。

(2) 防火墻在企業(yè)各機(jī)構(gòu)內(nèi)部的部署

企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)多層次、多節(jié)

點(diǎn)、多業(yè)務(wù)的網(wǎng)絡(luò)，各節(jié)點(diǎn)間的信任程度較低，但由于業(yè)務(wù)的需要，各節(jié)點(diǎn)和服務(wù)器群之間又要頻繁地交換數(shù)據(jù)。在這樣一個(gè)擁有很多分支機(jī)構(gòu)的大型企業(yè)網(wǎng)絡(luò)環(huán)境中，保證網(wǎng)間安全是非常重要的。大型企業(yè)在其每個(gè)分支機(jī)構(gòu)和總部之間的網(wǎng)絡(luò)連接都必須設(shè)置防火墻，確保內(nèi)部子網(wǎng)間的安全性。在同一機(jī)構(gòu)的各個(gè)部門(mén)也要根據(jù)具體情況設(shè)置部門(mén)級(jí)的防火墻。企業(yè)內(nèi)的主要部門(mén)都有自己獨(dú)立的防火墻，實(shí)現(xiàn)部門(mén)內(nèi)網(wǎng)和外部的隔離。各部門(mén)內(nèi)部的對(duì)外訪問(wèn)由各自的防火墻控制，同時(shí)部門(mén)的防火墻也防止了部門(mén)外部試圖對(duì)部門(mén)內(nèi)部的訪問(wèn)。

企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中設(shè)置多層次的防火墻后，一方面可以有效地防范來(lái)自外部網(wǎng)絡(luò)的攻擊行為，另一方面可以為內(nèi)部網(wǎng)絡(luò)制定完善的安全訪問(wèn)策略，從而使整個(gè)企業(yè)網(wǎng)絡(luò)具有較高的安全級(jí)別。

3.2 企業(yè)各個(gè)所屬機(jī)構(gòu)之間的數(shù)據(jù)安全傳輸解決方案

通過(guò)采用SSLVPN技術(shù)，利用Internet可以構(gòu)建一個(gè)基于廣域網(wǎng)的、安全的企業(yè)私有網(wǎng)絡(luò)。VPN使公司所有網(wǎng)絡(luò)在Internet上組成一個(gè)安全的、虛擬的大局域網(wǎng)，企業(yè)建立VPN之后可以在廣域網(wǎng)環(huán)境下建立和局域網(wǎng)環(huán)境下一樣的多種應(yīng)用，包括分布式OA、分布式ERP、分布式CRM、分布式財(cái)務(wù)管理等。

采用SSL技術(shù)通過(guò)在公網(wǎng)建立加密的數(shù)據(jù)隧道，所有數(shù)據(jù)經(jīng)過(guò)高強(qiáng)度、不可逆的加密及動(dòng)態(tài)密鑰技術(shù)進(jìn)行傳輸，有效地保證了數(shù)據(jù)的安全性，嚴(yán)格地講通過(guò)SSLVPN傳輸數(shù)據(jù)比直接在專(zhuān)網(wǎng)上傳輸明碼數(shù)據(jù)的安全性更高。

4 小結(jié)

本文給出的安全方案為企業(yè)的網(wǎng)絡(luò)安全應(yīng)用提供了一個(gè)借鑒和參考。在這些系統(tǒng)的實(shí)現(xiàn)中，可以根據(jù)應(yīng)用的不同采用適合的網(wǎng)絡(luò)安全輔助設(shè)備，構(gòu)建以防火墻為核心的SSLVPN網(wǎng)絡(luò)安全體系架構(gòu)，提高內(nèi)部網(wǎng)絡(luò)的安全系數(shù)。

參考文獻(xiàn)

[1]Rebecca Gurley Bace.入侵檢測(cè)[M].陳明奇，吳秋新，等，譯.北京:人民郵電出版社，2001.

[2]高海曲，薛元星，等.VPN技術(shù)[M].機(jī)械工業(yè)出版社，2004.

[3]馬春光，郭方方.防火墻、入侵檢測(cè)與VPN[M].北京:北京郵電大學(xué)出版社，2008.

第5篇：防火墻解決方案范文

關(guān)鍵詞：防火墻；功能；不足；新一代防火墻

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)09-11593-02

The Network Firewall Function and Role

SUN Wei

(Fushun Vocational and Technical College, Fushun 113006, China)

Abstract: In this paper the issue of network security, firewall concept, the lack of traditional firewall, a new generation of firewall technology application and development of several trends, which is the firewall in network security play an important role in firewall technology and the future outlook.

Key words: firewall; Functional; Insufficient；a new generation of firewall

近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)日益突出地?cái)[在各類(lèi)用戶的面前。目前在互聯(lián)網(wǎng)上大約有將近20%以上的用戶曾經(jīng)遭受過(guò)黑客的困擾。網(wǎng)絡(luò)安全已經(jīng)成為人們?nèi)找骊P(guān)心的問(wèn)題。目前，網(wǎng)絡(luò)面臨的安全威脅大體上分為兩種：一種是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的威脅；另一種是對(duì)網(wǎng)絡(luò)設(shè)備的威脅。其中，來(lái)自外部和內(nèi)部人員的惡意攻擊是當(dāng)前因特網(wǎng)所面臨的最大威脅，是網(wǎng)絡(luò)安全策略最需要解決的問(wèn)題。目前解決網(wǎng)絡(luò)安全問(wèn)題的最有效辦法是采用防火墻。

1 防火墻概述

從字面上看，防火墻就是一種防止外界侵犯，保護(hù)自己的設(shè)施，從本質(zhì)上說(shuō)，是一種保護(hù)裝置，是用來(lái)保護(hù)網(wǎng)絡(luò)資源和數(shù)據(jù)以及用戶的信譽(yù)，

具體來(lái)說(shuō)，防火墻是一類(lèi)硬件配合相應(yīng)的軟件，用來(lái)保護(hù)數(shù)據(jù)安全的設(shè)施。

2 什么是防火墻

防火墻原是指建筑物大廈用來(lái)防止火災(zāi)蔓延的隔斷墻。我們通常所說(shuō)的網(wǎng)絡(luò)防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)（如Internet）分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)。從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。原則上，防火墻可以被認(rèn)為是這樣一對(duì)機(jī)制：一種機(jī)制是攔阻傳輸流通行，另一種機(jī)制是允許傳輸流通過(guò)。那么，防火墻究竟是什么呢？實(shí)際上，防火墻是加強(qiáng)Internet與內(nèi)部網(wǎng)之間安全防御的一個(gè)或一組系統(tǒng)，它由一組硬件設(shè)備（包括路由器、服務(wù)器）及相應(yīng)軟件構(gòu)成。

3 傳統(tǒng)的網(wǎng)絡(luò)防火墻存在的不足

傳統(tǒng)的防火墻如包過(guò)濾防火墻、防火墻、狀態(tài)監(jiān)視防火墻都是采用逐一匹配方法，

計(jì)算量太大。因此，它們都有一個(gè)共同的缺陷――安全性越高，檢查的越多，效率越低。用一個(gè)定律來(lái)描述，就是防火墻的安全性與效率成反比。

沒(méi)有人懷疑防火墻在所有的安全設(shè)備采購(gòu)中占據(jù)第一的位置。但傳統(tǒng)的防火墻并沒(méi)有解決網(wǎng)絡(luò)主要的安全問(wèn)題。目前網(wǎng)絡(luò)安全的三大主要問(wèn)題是：以拒絕訪問(wèn)（DDOS）為主要目的的網(wǎng)絡(luò)攻擊，以蠕蟲(chóng)（Worm）為主要代表的病毒傳播，以垃圾電子郵件（SPAM）為代表的內(nèi)容控制。這三大安全問(wèn)題覆蓋了網(wǎng)絡(luò)安全方面的絕大部分問(wèn)題。而這三大問(wèn)題，傳統(tǒng)的防火墻是無(wú)能為力的。

4新一代防火墻技術(shù)及應(yīng)用

新一代防火墻技術(shù)不僅覆蓋了傳統(tǒng)包過(guò)濾防火墻的全部功能，而且在全面對(duì)抗IP欺騙、SYN Flood、ICMP、ARP等

攻擊手段方面有顯著優(yōu)勢(shì)，增強(qiáng)服務(wù)，并使其與包過(guò)濾相融合，再加上智能過(guò)濾技術(shù)，使防火墻的安全性提升到又一高度。

4.1 新一代分布式防火墻技術(shù)

(1)概念：分布式防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，所以“分布式防火墻”是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。根據(jù)其所需完成的功能，新的防火墻體系結(jié)構(gòu)包含如下部分：

①網(wǎng)絡(luò)防火墻；②主機(jī)防火墻；③中心管理。

(2)優(yōu)勢(shì)：在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障，從而形成了一個(gè)多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系。

①增強(qiáng)系統(tǒng)安全性：增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來(lái)自內(nèi)部攻擊防范，可以實(shí)施全方位的安全策略；②提高了系統(tǒng)性能：消除了結(jié)構(gòu)性瓶頸問(wèn)題，提高了系統(tǒng)性能；③系統(tǒng)的擴(kuò)展性：分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無(wú)限擴(kuò)充的能力；④實(shí)施主機(jī)策略：對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)；⑤應(yīng)用更為廣泛，支持VPN通信

4.2 新一代嵌入式防火墻技術(shù)

(1)概念：嵌入式防火墻就是內(nèi)嵌于路由器或交換機(jī)的防火墻。嵌入式防火墻是某些路由器的標(biāo)準(zhǔn)配置。用戶也可以購(gòu)買(mǎi)防火墻模塊，安裝到已有的路由器或交換機(jī)中。嵌入式防火墻也被稱(chēng)為阻塞點(diǎn)防火墻。

(2)優(yōu)勢(shì)：嵌入式防火墻能夠?qū)⒎婪度肭值墓δ芊植嫉骄W(wǎng)絡(luò)中的每一臺(tái)PC、筆記本以及服務(wù)器。分布于整個(gè)網(wǎng)絡(luò)的嵌入式防火墻使用戶可以方便地訪問(wèn)信息，并且不會(huì)將網(wǎng)絡(luò)資源暴露在非法入侵者面前。嵌入式防火墻的分布結(jié)構(gòu)還可以避免由于發(fā)生某一臺(tái)端點(diǎn)系統(tǒng)的入侵而導(dǎo)致整個(gè)網(wǎng)絡(luò)受影響的情況，同時(shí)也使通過(guò)公共賬號(hào)登錄網(wǎng)絡(luò)的用戶無(wú)法進(jìn)入限制訪問(wèn)權(quán)限的計(jì)算機(jī)系統(tǒng)。

嵌入式防火墻解決方案能將安全防范的功能延伸到邊緣防火墻的范圍之外，并分布到網(wǎng)絡(luò)的終端。這一策略使網(wǎng)絡(luò)幾乎不受任何惡意代碼或黑客攻擊的威脅。即使攻擊者完全通過(guò)了防火墻的防護(hù)并取得了運(yùn)行防火墻主機(jī)的控制權(quán)，也將寸步難行。

4.3 新一代智能防火墻技術(shù)

智能防火墻從技術(shù)特征上，是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問(wèn)控制。由于這些方法多是人工智能學(xué)科采用的方法，因此被稱(chēng)為智能防火墻。

智能防火墻的關(guān)鍵技術(shù)有：

(1)防范惡意數(shù)據(jù)攻擊；(2)防范黑客攻擊；(3)防范MAC欺騙和IP欺騙；(4)入侵防御；(5)防范潛在風(fēng)險(xiǎn)與傳統(tǒng)防火墻相比，智能防火墻在保護(hù)網(wǎng)絡(luò)和站點(diǎn)免受黑客的攻擊、阻斷病毒的惡意傳播、有效監(jiān)控和管理內(nèi)部局域網(wǎng)、

保護(hù)必需的應(yīng)用安全、提供強(qiáng)大的身份認(rèn)證授權(quán)和審計(jì)管理等方面，都有廣泛的應(yīng)用價(jià)值。

5 防火墻技術(shù)展望

隨著網(wǎng)絡(luò)處理器和ASIC芯片技術(shù)的不斷革新，高性能、多端口、高粒度控制、減緩病毒和垃圾郵件傳播速度、對(duì)入侵行為智能切斷、以及增強(qiáng)抗DoS攻擊能力的防火墻，將是未來(lái)防火墻發(fā)展的趨勢(shì)。

5.1 高性能的防火墻需求

高性能防火墻是未來(lái)發(fā)展的趨勢(shì)，突破高性能的極限就是對(duì)防火墻硬件結(jié)構(gòu)的調(diào)整。ASIC技術(shù)雖然開(kāi)發(fā)難度大，但卻能夠保障系統(tǒng)的效率并很好地集成防火墻的功能，在今后網(wǎng)絡(luò)安全防護(hù)的路途上，防火墻采用ASIC芯片技術(shù)將要成為主導(dǎo)地位。

5.2 管理接口和SOC的整合

如果把信息安全技術(shù)看做是一個(gè)整體行為的話，那么面對(duì)防火墻未來(lái)的發(fā)展趨勢(shì)，管理接口和SOC整合也必須考慮在內(nèi)，畢竟安全是一個(gè)整體，而不是靠單一產(chǎn)品所能解決的。隨著安全管理和安全運(yùn)營(yíng)工作的推行，SOC做為一種安全管理的解決方案已經(jīng)得到大力推廣。

5.3 抗DoS能力

從近年來(lái)網(wǎng)絡(luò)惡性攻擊事件情況分析來(lái)看，解決DoS攻擊也是防火墻必須要考慮的問(wèn)題了。利用ASIC芯片架構(gòu)的防火墻，可以利用自身處理網(wǎng)絡(luò)流量速度快的能力，來(lái)解決存在于這個(gè)問(wèn)題上的攻擊事件。但是，解決這個(gè)問(wèn)題并不是單單靠ASIC芯片架構(gòu)就可以的，更多的還是面向?qū)?yīng)用層攻擊的問(wèn)題，有待于新技術(shù)的出現(xiàn)。

5.4 減慢蠕蟲(chóng)和垃圾郵件的傳播速度的功能

作為網(wǎng)絡(luò)邊界的安全設(shè)備，未來(lái)防火墻發(fā)展趨勢(shì)中，減緩和降低蠕蟲(chóng)病毒與垃圾郵件的傳播速度，是必不可少的一部分了。加強(qiáng)防火墻對(duì)數(shù)據(jù)處理中的粒度和力度，已經(jīng)成為未來(lái)防火墻對(duì)數(shù)據(jù)檢測(cè)高粒度的發(fā)展趨勢(shì)。

5.5 對(duì)入侵行為的智能切斷

安全是一個(gè)動(dòng)態(tài)的過(guò)程，而對(duì)于入侵行為的預(yù)見(jiàn)和智能切斷，做為邊界安全設(shè)備的防火墻來(lái)說(shuō)，也是未來(lái)發(fā)展的一大課題。從IPS的出發(fā)角度考慮，未來(lái)防火墻必須具備這項(xiàng)功能。具備對(duì)入侵行為智能切斷的一個(gè)整合型、多功能的防火墻，將是市場(chǎng)的需求。

5.6 多端口并適合靈活配置

多端口的防火墻能為用戶更好的提供安全解決方案，而做為多端口、靈活配置的防火墻，也是未來(lái)防火墻發(fā)展的趨勢(shì)。

5.7 專(zhuān)業(yè)化的發(fā)展

單向防火墻、電子郵件防火墻、FTP防火墻等針對(duì)特定服務(wù)的專(zhuān)業(yè)化防火墻將作為一種產(chǎn)品門(mén)類(lèi)出現(xiàn)。 總的來(lái)說(shuō)，未來(lái)的防火墻將是智能化、高速度、低成本、功能更加完善、管理更加人性化的網(wǎng)絡(luò)安全產(chǎn)品的主力軍。

參考文獻(xiàn)：

[1] 袁家政.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社,2002.

[2] 常紅.網(wǎng)絡(luò)完全技術(shù)與反黑客[M].長(zhǎng)春:冶金工業(yè)出版社,2001.

[3] 張兆信.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用[M].北京:機(jī)械工業(yè)出版社,2005.

[4] 李大友.計(jì)算機(jī)網(wǎng)絡(luò)安全.北京:清華大學(xué)出版社,2005.

第6篇：防火墻解決方案范文

該方案可以自動(dòng)解決安全管理軟件同防病毒軟件的沖突問(wèn)題，大大減少了安全管理軟件在部署、實(shí)施、運(yùn)維過(guò)程中，網(wǎng)管人員的工作量，同時(shí)也提高了用戶體驗(yàn)，減少了用戶的抵觸情緒，為企業(yè)內(nèi)網(wǎng)安全方案的落地打下良好的基礎(chǔ)。

關(guān)鍵詞 安全管理；殺毒軟件；代碼簽名；驅(qū)動(dòng)

中圖分類(lèi)號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708（2014）116-0212-03

0 引言

從電腦誕生之日起，病毒和各種安全問(wèn)題就一直困擾著人們。特別是在網(wǎng)絡(luò)購(gòu)物越來(lái)越普遍，互聯(lián)網(wǎng)理財(cái)越來(lái)越普及的情況下，防病毒軟件已經(jīng)成為當(dāng)前PC的標(biāo)配。

在企業(yè)中，工作PC和服務(wù)器的安全問(wèn)題，就更加重要。企業(yè)不僅僅要在每臺(tái)工作PC和服務(wù)器上安裝好殺毒軟件、防火墻，并且還需要在終端上安裝對(duì)主機(jī)安全更有保障的安全管理軟件，如銳捷網(wǎng)絡(luò)的GSN，華為的TSM，華三的IMC等。這些安全管理軟件，一般都具有1X認(rèn)證、微軟補(bǔ)丁更新、外設(shè)管理、進(jìn)程管理、注冊(cè)表管理、系統(tǒng)服務(wù)管理、網(wǎng)絡(luò)攻擊防御、防機(jī)密數(shù)據(jù)泄漏等功能，可以極大的增強(qiáng)企業(yè)內(nèi)網(wǎng)安全，保護(hù)企業(yè)敏感數(shù)據(jù)。但是，這些安全管理軟件，都不可避免的存在一個(gè)共同的問(wèn)題：那就是安全管理軟件同防病毒軟件的沖突問(wèn)題。

有過(guò)安全管理軟件部署和使用的網(wǎng)絡(luò)管理員，都應(yīng)該有這樣的體會(huì)：除了初次部署時(shí)的各種兼容性問(wèn)題排查，日常運(yùn)行管理過(guò)程中也還會(huì)遇到各種各樣的沖突問(wèn)題。也許在安全管理軟件升級(jí)了，或者防病毒軟件升級(jí)病毒庫(kù)之后，沖突問(wèn)題又忽然爆發(fā)。這樣的問(wèn)題，讓安全管理方案的落地存在很大的問(wèn)題，原本為了提高企業(yè)內(nèi)部安全，降低網(wǎng)絡(luò)管理人員工作而引入安全管理軟件，反而成為了一個(gè)新的痛苦點(diǎn)。那么，這樣的問(wèn)題有沒(méi)有辦法徹底解決呢。本文主要針對(duì)該問(wèn)題進(jìn)行一些分析和探討。

1 什么會(huì)有這么多的沖突問(wèn)題

要解決問(wèn)題，首先就要先了解問(wèn)題發(fā)生的原因。安全管理軟件和防病毒軟件為什么會(huì)發(fā)生這樣的沖突呢？這首先要從防病毒軟件的病毒檢測(cè)機(jī)制說(shuō)起，一般來(lái)說(shuō)防病毒軟件的檢測(cè)機(jī)制有被動(dòng)檢測(cè)和主動(dòng)檢測(cè)兩種。目前基本上所有防病毒軟件都兼具兩種檢測(cè)方式，只是不同的品牌側(cè)重點(diǎn)不同。對(duì)于被動(dòng)檢測(cè)，也就是根據(jù)各種病毒特征（如應(yīng)用程序PE文件的特征，MD5值、進(jìn)程名稱(chēng)等）進(jìn)行判斷，殺毒軟件通過(guò)不斷的升級(jí)病毒庫(kù)來(lái)增加各種病毒庫(kù)特征。對(duì)于主動(dòng)檢測(cè)，其實(shí)就是殺毒軟件根據(jù)應(yīng)用程序的行為（如調(diào)用了哪些敏感API，監(jiān)聽(tīng)了哪些端口，訪問(wèn)了哪些敏感資源，或者某幾種動(dòng)作的組合）等來(lái)進(jìn)行判斷是否存在風(fēng)險(xiǎn)。

從以上分析可以發(fā)現(xiàn)，防病毒軟件和安全管理軟件存在天然的沖突問(wèn)題，因?yàn)榘踩芾碥浖聦?shí)上從技術(shù)的角度來(lái)看，和黑客軟件的行為有著很大的相似之處。如也會(huì)調(diào)用一些敏感資源，檢查某些文件、注冊(cè)表，防殺（如惡意用戶通過(guò)惡意殺掉安全管理軟件的進(jìn)程來(lái)逃脫監(jiān)管）等。不過(guò)安全管理軟件不會(huì)如黑客軟件那樣，惡意竊取敏感信息，惡意復(fù)制、刪除、創(chuàng)建惡意文件等，如當(dāng)年臭名昭著的“熊貓燒香”病毒，就是通過(guò)篡改感染用戶的各種可執(zhí)行文件，導(dǎo)致用戶主機(jī)癱瘓，資料丟失。

也正因?yàn)槿绱耍啦《拒浖a(chǎn)品也經(jīng)常將安全管理軟件進(jìn)行誤殺。那么，有什么辦法來(lái)解決這些問(wèn)題呢？

2 如何防止誤殺

要解決誤殺問(wèn)題，首先要解決的就是信任問(wèn)題。要讓殺毒軟件信任安全管理軟件，目前一般會(huì)采用如下一些解決辦法：

方法一：用戶手動(dòng)將安全管理軟件加入防病毒軟件的白名單中（如360的文件白名單）。

方法二：安全管理軟件廠商每次版本之前，將安全管理軟件申請(qǐng)放到防病毒軟件廠商的免殺列表中。

方法三：安全管理軟件盡量不調(diào)用一些敏感的API，不訪問(wèn)一些敏感的資源，做一些類(lèi)似病毒的行為。

如上幾個(gè)方法，似乎可行，但是實(shí)際上并不好使。

如方法一，似乎可行，但是首先一點(diǎn)是，對(duì)于企業(yè)用戶，很多人對(duì)于IT技術(shù)并不熟悉。讓其手動(dòng)添加白名單，特別是一些企業(yè)的老員工，更是一竅不通。即使是比較精通IT技術(shù)的年輕人，也不一定能夠判斷出某進(jìn)程是否安全。

如方法二，首先，該方法是一種企業(yè)間的白名單行為。不是所有防病毒廠商都提供這樣的服務(wù)，特別是一些海外的防病毒軟件廠商，在國(guó)內(nèi)只有商，通常是無(wú)法聯(lián)系到廠商的售后的。即使是對(duì)于有提供這些服務(wù)的防病毒軟件廠商，也有問(wèn)題。如有的廠商需要一定的費(fèi)用（長(zhǎng)期以來(lái)，對(duì)于安全管理軟件廠商來(lái)說(shuō)，也是一個(gè)負(fù)擔(dān)），有的廠商審核周期太長(zhǎng)，可能需要好幾天，甚至一個(gè)月。這對(duì)于一些面臨驗(yàn)收的項(xiàng)目，或者出現(xiàn)嚴(yán)重故障，急需修復(fù)BUG的安全管理產(chǎn)品來(lái)說(shuō)，也是不可接受的。更重要的是，加入白名單，很多時(shí)候，只能避免安裝過(guò)程沒(méi)問(wèn)題。當(dāng)進(jìn)行一些敏感操作時(shí)，還是會(huì)被誤殺。

如方法三，首先，這不太可能，因?yàn)榘踩芾碥浖枰鲆恍┌踩嚓P(guān)的防護(hù)，甚至?xí)龅津?qū)動(dòng)級(jí)別，因此不調(diào)用敏感API，就無(wú)法實(shí)現(xiàn)這些功能。一些敏感資源也是必須訪問(wèn)的，如禁用U盤(pán)，U盤(pán)加密等。這是安全管理軟件很常見(jiàn)的一些功能。對(duì)于ARP欺騙等網(wǎng)絡(luò)攻擊行為，安全管理軟件甚至還需要分析網(wǎng)絡(luò)報(bào)文來(lái)對(duì)攻擊行為進(jìn)行防御和定位（如銳捷GSN產(chǎn)品中的ARP立體防御解決方案）。

綜上所述，如上的這些方案，都無(wú)法完全解決這些問(wèn)題。那么還有其他什么解決方案嗎？

解決方案的著眼點(diǎn)，應(yīng)該還是信任問(wèn)題。如果通過(guò)各種技術(shù)來(lái)反檢測(cè)，那么最終可能會(huì)演變?yōu)橐环N新的“3Q大戰(zhàn)”。那么是否存在第三方的信任機(jī)構(gòu)，來(lái)對(duì)應(yīng)用程序提供信任擔(dān)保呢。事實(shí)上，的確有。業(yè)界早就存在第三方的安全認(rèn)證機(jī)構(gòu)，如VeriSign、GlobalSign、StartCom。說(shuō)起這些機(jī)構(gòu)，大家可能都不熟悉。但是如果談到https或者ssl，可能大家就比較熟悉了。目前任何銀行和電子商務(wù)平臺(tái)，都是必須用到這些技術(shù)的。而這些第三方安全認(rèn)證機(jī)構(gòu)目前提供最多的就是SSL證書(shū)。SSL證書(shū)是數(shù)字證書(shū)的一種，通過(guò)非對(duì)稱(chēng)算法，在客戶端和服務(wù)端之間建立一條安全的通訊通道。而這個(gè)通訊通道建立的前提，就是這些第三方機(jī)構(gòu)提供的電子證書(shū)是被業(yè)界所有廠商都認(rèn)可的。如微軟的OS就內(nèi)嵌了VerSign，StartCom的根證書(shū)。

SSL主要用于客戶機(jī)和服務(wù)器之間的安全信任問(wèn)題。類(lèi)似的，對(duì)于應(yīng)用程序之間的信任，也有一種對(duì)應(yīng)的電子證書(shū)：代碼簽名證書(shū)。

代碼簽名證書(shū)能夠?qū)浖a進(jìn)行數(shù)字簽名。通過(guò)對(duì)代碼的數(shù)字簽名來(lái)標(biāo)識(shí)軟件來(lái)源以及軟件開(kāi)發(fā)者的真實(shí)身份，保證代碼在簽名之后不被惡意篡改。使用戶在下載已經(jīng)簽名的代碼時(shí)，能夠有效的驗(yàn)證該代碼的可信度。也就是說(shuō)，代碼簽名證書(shū)其實(shí)主要解決兩個(gè)問(wèn)題，一個(gè)是軟件來(lái)源問(wèn)題，一個(gè)是保證代碼不被篡改。而代碼簽名證書(shū)，本身有一套非常完善的機(jī)制，如使用非對(duì)稱(chēng)算法（RSA）來(lái)進(jìn)行代碼簽名證書(shū)的生成和防篡改等，從技術(shù)上就能做到證書(shū)的防偽造。

因?yàn)檫@個(gè)代碼簽名證書(shū)是業(yè)界認(rèn)可的第三方證書(shū)，也就是可信的，所以利用代碼簽名證書(shū)的這兩個(gè)特性，應(yīng)該可以很好的解決安全管理軟件和防病毒軟件的沖突問(wèn)題。經(jīng)過(guò)測(cè)試可以發(fā)現(xiàn)，國(guó)內(nèi)外的殺毒軟件，全部都承認(rèn)代碼簽名證書(shū)。對(duì)于有使用代碼簽名證書(shū)簽名的安全管理軟件程序，防病毒軟件都會(huì)認(rèn)為其是安全的，不會(huì)再進(jìn)行各種誤殺和攔截。

既然代碼簽名證書(shū)可以解決這個(gè)沖突問(wèn)題，并且可以防止被防病毒軟件誤殺，那么木馬病毒程序是否可以采用這種方式來(lái)避免被防病毒軟件殺掉呢？理論上是可以的，但是事實(shí)上存在一定難度。因?yàn)榇a簽名證書(shū)的申請(qǐng)不是隨便誰(shuí)都可以申請(qǐng)的，是需要提供各種企業(yè)執(zhí)照和證明文件，如果出現(xiàn)這樣的病毒。那么對(duì)應(yīng)的企業(yè)是需要承擔(dān)法律責(zé)任的。所以，擁有這種代碼簽名證書(shū)的企業(yè)需要很小心的保管自己公司的代碼簽名證書(shū)。同時(shí)，代碼簽名證書(shū)也是有時(shí)效的，超過(guò)時(shí)效，那么這個(gè)代碼簽名將不會(huì)認(rèn)可，防病毒軟件就照殺不誤了。如果出現(xiàn)證書(shū)丟失等異常情況，也有相應(yīng)的證書(shū)吊銷(xiāo)機(jī)制可以解決這個(gè)問(wèn)題。

4 如何解決惡意破壞

綜上所述，安全管理軟件的安裝和執(zhí)行得到了信任，那么是不是安全管理軟件和防病毒軟件的沖突就可以徹底解決了呢。大部分是已經(jīng)可以了，但是還不完全，前面我們提到有些惡意用戶為了繞開(kāi)安全監(jiān)管，會(huì)采用防病毒軟件的相關(guān)機(jī)制來(lái)破壞安全管理軟件的正常運(yùn)行。一種很典型的做法就是，使用防火墻軟件，禁止安全管理軟件客戶端和服務(wù)器端的通訊。這樣一樣，網(wǎng)絡(luò)管理人員就無(wú)法通過(guò)下發(fā)安全管理策略，來(lái)管理企業(yè)網(wǎng)內(nèi)部的工作PC了。部署安全方案的目的也就無(wú)法很好的達(dá)成。

除了惡意破壞，還存在如下兩種情況，導(dǎo)致客戶端無(wú)法同服務(wù)器端進(jìn)行通訊，正常的安全管理業(yè)務(wù)流程失敗。

問(wèn)題一：上網(wǎng)用戶由于網(wǎng)絡(luò)知識(shí)有限，不懂如何配置防火墻使安全管理軟件客戶端能夠同服務(wù)器端進(jìn)行通訊。

問(wèn)題二：上網(wǎng)用戶在防火墻判斷是否放行時(shí)，由于無(wú)法作出判斷，出于安全起見(jiàn)，禁止安全管理軟件客戶端訪問(wèn)網(wǎng)絡(luò)。

對(duì)于這些問(wèn)題，業(yè)界還沒(méi)有好的解決方案，一般只能由管理員幫助上網(wǎng)用戶進(jìn)行配置和解決問(wèn)題，但是如果企業(yè)內(nèi)部工作PC數(shù)量眾多，各種工作PC的應(yīng)用環(huán)境復(fù)雜，所使用的殺毒軟件和防火墻產(chǎn)品、版本和實(shí)現(xiàn)機(jī)制各不相同，耗費(fèi)的工作量是巨大的。而且在防火墻升級(jí)、工作PC重裝操作系統(tǒng)，客戶改用其他殺毒軟件的情況下，又需要耗費(fèi)大量的時(shí)間進(jìn)行折騰。而且，網(wǎng)管的技術(shù)能力目前在業(yè)界也是良莠不齊，很多網(wǎng)管也無(wú)法解決這些問(wèn)題。

通過(guò)分析，可以發(fā)現(xiàn)當(dāng)前業(yè)界主流的防火墻主要采用2種技術(shù)：SPI和NIDS中間層驅(qū)動(dòng)。

SPI：簡(jiǎn)單一點(diǎn)說(shuō)就是防火墻中同進(jìn)程關(guān)聯(lián)的一種報(bào)文過(guò)濾技術(shù)，它能夠截獲進(jìn)程發(fā)起的網(wǎng)絡(luò)連接，然后判斷該進(jìn)程是否允許發(fā)起這個(gè)網(wǎng)絡(luò)鏈接。

NIDS中間層驅(qū)動(dòng)：NIDS驅(qū)動(dòng)位于更底層，它能夠?qū)W(wǎng)絡(luò)訪問(wèn)的所有報(bào)文進(jìn)行過(guò)濾。但是無(wú)法根據(jù)進(jìn)程信息進(jìn)行過(guò)濾。也就是如果其允許目的端口為80的報(bào)文通過(guò)。那么所有使用目的端口為80進(jìn)行網(wǎng)絡(luò)訪問(wèn)的進(jìn)程發(fā)出的網(wǎng)絡(luò)報(bào)文都能夠通過(guò)。

一般業(yè)界的防火墻均采用2兩種技術(shù)進(jìn)行組合來(lái)實(shí)現(xiàn)。這樣就可以解決其他進(jìn)程冒用NIDS中間層驅(qū)動(dòng)允許端口進(jìn)行訪問(wèn)的問(wèn)題。也可以解決，NIDS無(wú)法定位進(jìn)程的問(wèn)題了。

由于基于SPI的防火墻是工作于應(yīng)用層的，因此能夠攔截應(yīng)用程序發(fā)起的網(wǎng)絡(luò)鏈接，在某些情況下，就可能將客戶端發(fā)起的網(wǎng)絡(luò)鏈接阻斷。

由于基于NIDS驅(qū)動(dòng)的防火墻是工作在核心層的，因此能夠攔截所有固定特征的報(bào)文。在某些情況下，就可能將客戶端發(fā)起的網(wǎng)絡(luò)鏈接阻斷。

因此，要解決客戶端同服務(wù)器端的通訊不被防火墻阻斷，本文可通過(guò)實(shí)現(xiàn)一個(gè)“客戶端驅(qū)動(dòng)程序”（如上圖所示）來(lái)解決該問(wèn)題。該客戶端驅(qū)動(dòng)程序?yàn)門(mén)DI驅(qū)動(dòng)，與TCP/IP這個(gè)TDI驅(qū)動(dòng)同一位置，因此所有網(wǎng)卡收到的報(bào)文都將同時(shí)拷貝一份給“客戶端驅(qū)動(dòng)程序”，不會(huì)經(jīng)過(guò)系統(tǒng)自帶的TCP/IP驅(qū)動(dòng)和TCP/IP協(xié)議棧，因此不會(huì)被基于SPI（甚至基于TDI驅(qū)動(dòng)）的防火墻所過(guò)濾，而目前能夠?qū)崿F(xiàn)根據(jù)程序進(jìn)行報(bào)文過(guò)濾的防火墻基本都是使用這兩種技術(shù)。該“客戶端驅(qū)動(dòng)”由于同TCP/IP位于同一位置，因此無(wú)法使用Socket等WindowsAPI來(lái)實(shí)現(xiàn)TCP/IP傳輸。因此要實(shí)現(xiàn)客戶端同服務(wù)端的通訊，還需要“客戶端驅(qū)動(dòng)程序”實(shí)現(xiàn)TCP/IP協(xié)議的相關(guān)功能。由于TCP過(guò)于復(fù)雜，因此“客戶端驅(qū)動(dòng)程序”采用實(shí)現(xiàn)UDP相關(guān)功能來(lái)實(shí)現(xiàn)IP報(bào)文的傳輸?！翱蛻舳蓑?qū)動(dòng)程序”能夠防止通訊報(bào)文被基于SPI和基于TDI方式進(jìn)行過(guò)濾的防火墻所過(guò)濾。

通過(guò)以上方式，客戶端和服務(wù)端通訊的報(bào)文還可能被基于NIDS中間層驅(qū)動(dòng)的防火墻給過(guò)濾。如瑞星防火墻就默認(rèn)過(guò)濾所有報(bào)文，只開(kāi)放少數(shù)必備端口，如80（http）和53（dns）.對(duì)于使用NIDS驅(qū)動(dòng)進(jìn)行報(bào)文過(guò)濾的防火墻，由于上網(wǎng)用戶訪問(wèn)網(wǎng)絡(luò)是一定要訪問(wèn)DNS服務(wù)的（DNS的訪問(wèn)端口53），并且NIDS無(wú)法得到進(jìn)程信息。因此可以使“客戶端驅(qū)動(dòng)程序”的目的端口采用這些必備端口即可，本文中采用53端口（通過(guò)將端口修改為其他一定能夠訪問(wèn)的端口也是可以的，53只是一個(gè)比較通用的做法，因?yàn)榇蟛糠秩嗽L問(wèn)網(wǎng)絡(luò)都是為了訪問(wèn)internet）。

通過(guò)以上兩種方式，即可解決客戶端同服務(wù)器端網(wǎng)絡(luò)通訊被防火墻阻斷的問(wèn)題。下圖為實(shí)現(xiàn)本方案，客戶端程序至少需要實(shí)現(xiàn)的模塊：

業(yè)務(wù)解析模塊：同業(yè)務(wù)相關(guān)的模塊（不同的產(chǎn)品是不一樣的），從自定義傳輸協(xié)議棧獲取服務(wù)器端發(fā)送過(guò)來(lái)的業(yè)務(wù)信息。將業(yè)務(wù)信息發(fā)送給自定義傳輸協(xié)議棧。

自定義傳輸協(xié)議棧：將業(yè)務(wù)相關(guān)的信息，根據(jù)自定義協(xié)議，封裝到IP報(bào)文中。該傳輸協(xié)議棧，本方案只規(guī)定了采用UDP協(xié)議實(shí)現(xiàn)。UDP報(bào)文中的內(nèi)容，不同的產(chǎn)品根據(jù)不同要求能夠有不同的實(shí)現(xiàn)（如報(bào)文大小，安全要求程度不一樣，應(yīng)用層的實(shí)現(xiàn)都是不一樣的）。

客戶端驅(qū)動(dòng)程序：TDI驅(qū)動(dòng)，接收服務(wù)端發(fā)送過(guò)來(lái)的報(bào)文，并轉(zhuǎn)發(fā)給自定義傳輸協(xié)議棧處理。接收自定義傳輸協(xié)議棧封裝好的報(bào)文，并通過(guò)網(wǎng)卡轉(zhuǎn)發(fā)給服務(wù)端。

對(duì)于服務(wù)器端，需要實(shí)現(xiàn)對(duì)應(yīng)的自定義傳輸協(xié)議和業(yè)務(wù)解析模塊，但是不需要實(shí)現(xiàn)客戶端驅(qū)動(dòng)。因?yàn)榉?wù)端都是管理員負(fù)責(zé)管理的，不存在這個(gè)防火墻的問(wèn)題。

本方案既能夠應(yīng)用于Windows操作系統(tǒng)環(huán)境下的TCP/IP網(wǎng)絡(luò)環(huán)境，也可以擴(kuò)展到其他操作系統(tǒng)上的，如Linux和Unix等，因?yàn)槠渚W(wǎng)絡(luò)體系架構(gòu)基本上是一樣的。不過(guò)，目前國(guó)內(nèi)的企業(yè)網(wǎng)，基本上都是Windows操作系統(tǒng)的終端，采用其他OS的PC很少。

4 結(jié)論

雖然目前殺毒軟件和防火墻軟件功能已經(jīng)越來(lái)越強(qiáng)大。但是，這些軟件的功能，主要還是針對(duì)用戶的操作系統(tǒng)環(huán)境，進(jìn)行病毒的檢測(cè)和防御。對(duì)于安全要求較高的企業(yè)網(wǎng)，部署相應(yīng)的安全解決方案，還是很有必要的。對(duì)于一些裸奔（不安裝任何殺毒軟件和防火墻軟件）的PC，其安全性是完全無(wú)法保障的，企業(yè)信息的泄密幾率也大大的增加。但是，安全管理軟件同防病毒軟件的沖突問(wèn)題，卻使安全解決方案的部署無(wú)法達(dá)到預(yù)期的效果。本文針對(duì)這個(gè)問(wèn)題，通過(guò)使用“代碼簽名證書(shū)”，基于底層驅(qū)動(dòng)的“客戶端驅(qū)動(dòng)程序”，解決了業(yè)界普遍存在的安全管理軟件和防病毒軟件的沖突問(wèn)題，使安全管理方案的落地有了一個(gè)良好的基礎(chǔ)。大大提高了企業(yè)內(nèi)網(wǎng)的安全，極大的減輕了企業(yè)網(wǎng)網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)。

參考文獻(xiàn)

[1]代碼簽名證書(shū).http：///link？url=B4VdrnuSOBmgeRYdAsssYwGZ32a4MRZbzMKhLrlu9n-6IhCgYqbOKSqQKGArOFvNdDB8etVjoy0eG-M9yvoGb.

第7篇：防火墻解決方案范文

Sidewinder防火墻是由SecureComputing公司推出的高安全級(jí)別防火墻產(chǎn)品。它具備一體化(all-in-one)防火墻或統(tǒng)一威脅管理(Unified Threat Management)安全設(shè)備的優(yōu)點(diǎn)，能夠保護(hù)用戶的應(yīng)用程序和網(wǎng)絡(luò)安全運(yùn)行，在用戶應(yīng)用層檢查全部開(kāi)啟的情況下，應(yīng)用層的吞吐率可達(dá)到千兆比特。同時(shí)，Sidewinder將廣泛的網(wǎng)關(guān)安全功能整合在一個(gè)系統(tǒng)中，從而降低了管理整個(gè)安全解決方案的復(fù)雜性。這些功能內(nèi)嵌在Sidewinder的Application Defenses 防火墻/VPN 網(wǎng)關(guān)中，內(nèi)嵌的功能包括防病毒、防間諜軟件、反垃圾郵件、URL過(guò)濾、加速的HTTPS/SSL端點(diǎn)、DoS攻擊防護(hù)、流量異常檢測(cè)、IDS/IPS以及其他一整套企業(yè)邊界安全重要保護(hù)功能。此外，Sidewinder與SecureComputing自有的前瞻性主動(dòng)防御系統(tǒng)Trust edSource相結(jié)合，能夠極大提高Sidewinder對(duì)未知威脅和攻擊的防御能力，為企業(yè)提供了更有力的邊界安全防護(hù)。

針對(duì)不同安全級(jí)別用戶的需求，Sidewinder提供了完整的產(chǎn)品線以供用戶選擇，從中低端的Sidewinder 110/210/410/510到中高端的Sidewinder 1100/2100/2150/4150，為中小型企業(yè)、大中型企業(yè)、電信級(jí)運(yùn)營(yíng)服務(wù)提供商提供了不同的產(chǎn)品選擇以滿足不同用戶在最大化安全前提下的性能需求。

Sidewinder防火墻采用專(zhuān)屬防火墻操作系統(tǒng)―SecureOS，這是SecureComputing自行開(kāi)發(fā)設(shè)計(jì)，專(zhuān)為SecureComputing公司全線網(wǎng)絡(luò)安全產(chǎn)品提供的專(zhuān)屬網(wǎng)關(guān)操作系統(tǒng)平臺(tái)。SecureOS最初是SecureComputing公司受美國(guó)國(guó)家安全局委托開(kāi)發(fā)的安全防火墻操作系統(tǒng)平臺(tái)，以用來(lái)保護(hù)達(dá)到美國(guó)政府計(jì)算機(jī)信任評(píng)估標(biāo)準(zhǔn)(Trusted Computing Systems Evaluation Criteria)的最高級(jí)別(A1)的關(guān)鍵政府及軍隊(duì)機(jī)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)不受侵害。擁有Type Enforcement技術(shù)專(zhuān)利的SecureOS網(wǎng)關(guān)操作系統(tǒng)平臺(tái)，結(jié)合其蜂窩式的體系架構(gòu)，每個(gè)功能或應(yīng)用均是嚴(yán)格封裝在獨(dú)立的區(qū)域中，建立了可容納攻擊策略和授權(quán)登錄策略，充分保障了防火墻基礎(chǔ)平臺(tái)的安全穩(wěn)定運(yùn)行，并能夠有效防范已知和未知漏洞攻擊。SecureOS10多年來(lái)，從未出現(xiàn)過(guò)嚴(yán)重安全漏洞，一直保持從未被攻破的優(yōu)秀記錄。

Sidewinder防火墻在10多年前進(jìn)行結(jié)構(gòu)設(shè)計(jì)時(shí)，就是完全面向應(yīng)用層的網(wǎng)關(guān)型安全產(chǎn)品。經(jīng)過(guò)10多年技術(shù)的沉淀，已經(jīng)發(fā)展成為獨(dú)有的應(yīng)用層體系架構(gòu).它完全采用通用的高效程序，所有程序均是直接基于SecureOS核心，采用模塊化堆砌，可以實(shí)現(xiàn)從1~65535全部應(yīng)用端口的全。除了系統(tǒng)標(biāo)準(zhǔn)預(yù)置的服務(wù)以外，用戶如果需要其他應(yīng)用，只需簡(jiǎn)單地在控制臺(tái)新添相應(yīng)的應(yīng)用，就可實(shí)現(xiàn)對(duì)此應(yīng)用的防護(hù)。而且高效的進(jìn)程通過(guò)與核心的直接交互，避免了不必要的資源開(kāi)銷(xiāo)，能夠充分保證在進(jìn)行完全的應(yīng)用層檢測(cè)時(shí)，同比網(wǎng)絡(luò)層性能做到性能衰減最小化。

第8篇：防火墻解決方案范文

支持帶寬：56Kbps-3Mbps;

支持復(fù)雜網(wǎng)絡(luò)環(huán)境、Internet、LAN、WLAN等無(wú)線網(wǎng)絡(luò)，只要支持IP協(xié)議的網(wǎng)絡(luò)均可;

智能路由，智能選擇通信路徑。能夠穿透NAT,防火墻，服務(wù)器；

可自由調(diào)節(jié)圖像分辨率、幀速率。

導(dǎo)購(gòu)信息

秦皇島東大軟件公司推出的東大信天通視頻會(huì)議系統(tǒng)具有多方視頻會(huì)議、資源共享、即時(shí)文字交流等諸多特點(diǎn)，讓企業(yè)資源得到了充分合理的配置。

網(wǎng)址：

電話：0335-8077416/054960

東大信天通視頻會(huì)議解決方案

方案介紹

東大信天通視頻會(huì)議系統(tǒng)通過(guò)已建成的IP網(wǎng)絡(luò)將多臺(tái)的計(jì)算機(jī)設(shè)備連接起來(lái)，穿越網(wǎng)絡(luò)防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)上多點(diǎn)間的視頻、語(yǔ)音、數(shù)據(jù)的即時(shí)通信。憑借其靈活性和柔韌性，無(wú)縫嵌入Web、OA、MIS、ERP等各種系統(tǒng)，在原有功能的基礎(chǔ)上增加了實(shí)時(shí)通信的功能，大大加速了信息的傳遞和整個(gè)企業(yè)的運(yùn)作效率。

方案亮點(diǎn):網(wǎng)絡(luò)穿透技術(shù)

東大信天通視頻會(huì)議系統(tǒng)是針對(duì)NAT、服務(wù)器及各種防火墻提供多種機(jī)制的解決方案，并可提供基于HTTP的多媒體傳輸模式，能夠最大程度地解決防火墻所帶來(lái)的通信障礙。此系統(tǒng)使得大多數(shù)企業(yè)在應(yīng)用時(shí)無(wú)需更改任何網(wǎng)絡(luò)配置，便可方便地將系統(tǒng)部署到現(xiàn)有網(wǎng)絡(luò)環(huán)境中。

傳輸控制技術(shù)

支持實(shí)時(shí)傳輸協(xié)議(RTP)進(jìn)行多媒體數(shù)據(jù)傳輸，最大限度地減少了因網(wǎng)絡(luò)不穩(wěn)定而產(chǎn)生的延時(shí)。此外，該系統(tǒng)通過(guò)消抖動(dòng)算法、抗丟包機(jī)制、網(wǎng)絡(luò)自適應(yīng)算法和流控制機(jī)制使網(wǎng)絡(luò)環(huán)境因素對(duì)通信應(yīng)用的影響減至最小，保證了系統(tǒng)在復(fù)雜的網(wǎng)絡(luò)情況下具有理想的效果。帶寬管理技術(shù)可讓用戶根據(jù)接入網(wǎng)絡(luò)情況來(lái)設(shè)置最大上行帶寬占用，并可隨時(shí)靈活地調(diào)整采集幀率和發(fā)送帶寬，以避免因使用視頻會(huì)議占用帶寬對(duì)網(wǎng)絡(luò)中其他應(yīng)用產(chǎn)生的影響。此系統(tǒng)還采用帶寬資源集中管理策略，保證在視頻會(huì)議應(yīng)用中有效、可控地利用網(wǎng)絡(luò)資源，避免因大量或無(wú)序的帶寬占用給用戶網(wǎng)絡(luò)帶來(lái)的資源危機(jī)。

多種方式接入

用戶可以多種接入方式參加到視頻會(huì)議中，包括電話撥號(hào)、ISDN、ADSL、LAN、HFC、DDN等不同形式的寬窄帶接入。

第9篇：防火墻解決方案范文

關(guān)鍵詞：網(wǎng)絡(luò)攻擊 防火墻 嵌入式

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2013）03-0216-01

信息社會(huì)的發(fā)展使得網(wǎng)絡(luò)應(yīng)用成為人們?nèi)粘Ｉ畹囊徊糠帧Ｓ?jì)算機(jī)網(wǎng)絡(luò)突破了傳統(tǒng)空間中的地域限制和時(shí)間限制，可以快速準(zhǔn)確的幫助人們獲得所需信息和資源，極大的擴(kuò)展了人們了解現(xiàn)實(shí)的渠道。但是隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及和經(jīng)濟(jì)社會(huì)的發(fā)展，網(wǎng)絡(luò)應(yīng)用給我們帶來(lái)了巨大的便利，也為我們帶來(lái)了巨大的安全隱患。網(wǎng)絡(luò)中的惡意程序以及人為的惡意破壞使得我們必須采取有效的防護(hù)措施對(duì)自身數(shù)據(jù)進(jìn)行保護(hù)，防止被非法獲取或泄露。防火墻則是基于網(wǎng)絡(luò)的一種信息安全保障技術(shù)，是當(dāng)前時(shí)期網(wǎng)絡(luò)安全的主要解決方案之一，利用防火墻技術(shù)可以有效控制用戶和網(wǎng)絡(luò)之間的數(shù)據(jù)通信，保障數(shù)據(jù)的安全。

1 防火墻技術(shù)發(fā)展概述

防火墻技術(shù)主要是對(duì)內(nèi)網(wǎng)和外網(wǎng)之間的訪問(wèn)機(jī)制進(jìn)行控制，但是傳統(tǒng)的依靠拓?fù)浣Y(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)劃分的防火墻在防止來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊方面的性能不夠完善，無(wú)法實(shí)現(xiàn)數(shù)據(jù)的安全防護(hù)。為解決該問(wèn)題，分布式防火墻技術(shù)被提出來(lái)解決上述問(wèn)題，該技術(shù)將安全策略的執(zhí)行下放到各主機(jī)端，但是在服務(wù)端對(duì)各主機(jī)進(jìn)行集中管理，統(tǒng)一控制，該技術(shù)解決了傳統(tǒng)防火墻技術(shù)在網(wǎng)絡(luò)結(jié)構(gòu)、內(nèi)部安全隱患、“單點(diǎn)失效”、過(guò)濾規(guī)則、端到端加密、旁點(diǎn)登陸等諸多方面的問(wèn)題，具有較好的網(wǎng)絡(luò)防護(hù)性能。隨著分布式防火墻技術(shù)的提出，人們不斷對(duì)其進(jìn)行改進(jìn)，這些改進(jìn)主要集中于兩個(gè)方面：硬件和軟件。其中基于硬件的防火墻技術(shù)被稱(chēng)為嵌入式防火墻技術(shù)。

2 經(jīng)典嵌入式防火墻技術(shù)研究

較為經(jīng)典的嵌入式防火墻技術(shù)由以下幾種。

2.1 基于OpenBSDUNIX的嵌入式防火墻技術(shù)

該技術(shù)的實(shí)現(xiàn)基礎(chǔ)為在OpenBSDUNIX操作系統(tǒng)，該平臺(tái)具有一體化的安全特性和庫(kù)，如IPSec棧、KeyNote和SSL等，應(yīng)用平臺(tái)中的組件內(nèi)核擴(kuò)展程序可以指定安全通信機(jī)制；應(yīng)用平臺(tái)中的用戶層后臺(tái)處理程序組件可以對(duì)防火墻策略進(jìn)行執(zhí)行；設(shè)備驅(qū)動(dòng)程序組件用于提供通信接口。

2.2 基于Windows平臺(tái)的嵌入式防火墻技術(shù)

該技術(shù)的主要實(shí)現(xiàn)過(guò)程為對(duì)主機(jī)的具體應(yīng)用和對(duì)外服務(wù)制定安全策略。其中數(shù)據(jù)包過(guò)濾引擎被嵌入到內(nèi)核中的鏈路層和網(wǎng)絡(luò)層之間，向用戶提供訪問(wèn)控制、狀態(tài)及入侵檢測(cè)等防御機(jī)制；用戶配置接口用于配置本地安全策略。

本文主要對(duì)該平臺(tái)的嵌入式防火墻技術(shù)進(jìn)行研究。

3 基于嵌入式協(xié)議棧的內(nèi)容過(guò)濾防火墻技術(shù)方案

該技術(shù)方案將嵌入式協(xié)議棧和動(dòng)態(tài)包過(guò)濾進(jìn)行整合，進(jìn)而替代主機(jī)的應(yīng)用層防火墻接口和系統(tǒng)功能調(diào)用，內(nèi)容過(guò)濾和數(shù)據(jù)處理。其中，嵌入式協(xié)議棧主要用于對(duì)數(shù)據(jù)和通信策略進(jìn)行檢測(cè)，動(dòng)態(tài)包過(guò)濾主要用于對(duì)IP層和TCp層的通信規(guī)則進(jìn)行檢測(cè)。

該技術(shù)方案的優(yōu)勢(shì)在于數(shù)據(jù)包過(guò)濾和協(xié)議內(nèi)容分析處于系統(tǒng)的同一層次，這就會(huì)提高防火墻的防御效果。

3.1 防火墻結(jié)構(gòu)分析

防火墻系統(tǒng)結(jié)構(gòu)分為主要分為兩部分：底層安全策略表和應(yīng)用層安全策略表。與傳統(tǒng)防火墻技術(shù)相比，本文所述基于嵌入式協(xié)議棧的防火墻技術(shù)在防御策略中添加了應(yīng)用層的安全策略，其中，網(wǎng)絡(luò)協(xié)議還原將原有的網(wǎng)絡(luò)通信協(xié)議進(jìn)行了還原處理，而應(yīng)用層協(xié)議還原則是對(duì)應(yīng)用層協(xié)議進(jìn)行還原解碼處理，經(jīng)過(guò)兩次還原，數(shù)據(jù)信息被送入安全檢測(cè)模塊進(jìn)行數(shù)據(jù)分析。

3.2 工作流程實(shí)現(xiàn)

當(dāng)網(wǎng)絡(luò)中的主機(jī)進(jìn)行數(shù)據(jù)包通信時(shí)時(shí)，會(huì)按照訪問(wèn)規(guī)則對(duì)數(shù)據(jù)包進(jìn)行安全檢測(cè)，查看是否符合訪問(wèn)規(guī)則，若不符合訪問(wèn)規(guī)則，則對(duì)該數(shù)據(jù)包進(jìn)行丟棄處理，若符合訪問(wèn)規(guī)則，則按照防火墻狀態(tài)表對(duì)數(shù)據(jù)包進(jìn)行二次檢測(cè)，該檢測(cè)在協(xié)議棧部分進(jìn)行。

對(duì)于需要檢測(cè)的數(shù)據(jù)包如HTTP、SMTP、POP3等數(shù)據(jù)流，其檢測(cè)過(guò)程為，數(shù)據(jù)進(jìn)行IP分片還原、TCP連接還原以及應(yīng)用層協(xié)議還原，還原過(guò)程結(jié)束后應(yīng)用層的安全策略會(huì)產(chǎn)生一個(gè)新的狀態(tài)表，該狀態(tài)表用于判斷數(shù)據(jù)包是否安全，若判定數(shù)據(jù)不安全則對(duì)其進(jìn)行丟棄處理，若判定數(shù)據(jù)安全則對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。

對(duì)于不需要檢測(cè)的數(shù)據(jù)如多媒體影音數(shù)據(jù)等，可以直接認(rèn)定為其在安全層是安全的，可直接進(jìn)行內(nèi)容轉(zhuǎn)發(fā)。

進(jìn)入內(nèi)容轉(zhuǎn)發(fā)步驟的數(shù)據(jù)包即可實(shí)現(xiàn)數(shù)據(jù)的通信，整個(gè)嵌入式防火墻過(guò)程結(jié)束。

3.3 性能分析

該嵌入式防火墻技術(shù)將數(shù)據(jù)包過(guò)濾所需的狀態(tài)表以及通信地址所需的地址表進(jìn)行了集成，實(shí)現(xiàn)了嵌入式協(xié)議棧的整合。這種方式具有兩方面好處：一是提高了兩者之間的通信效率，減少了不必要的通信流程，協(xié)議棧可以便捷的更新數(shù)據(jù)包狀態(tài)表，數(shù)據(jù)包狀態(tài)表的狀態(tài)可以確定數(shù)據(jù)包是否進(jìn)行數(shù)據(jù)檢測(cè)；二是集成化處理實(shí)現(xiàn)了狀態(tài)表和協(xié)議棧之間的相對(duì)統(tǒng)一，降低了內(nèi)存空間的使用。

4 結(jié)語(yǔ)

本文討論了防火墻技術(shù)的應(yīng)用目標(biāo)和應(yīng)用作用，進(jìn)而就防火墻技術(shù)的發(fā)展及理論創(chuàng)新進(jìn)行總結(jié)和分析，確定了嵌入式防火墻技術(shù)的應(yīng)用優(yōu)勢(shì)，最后就基于Windows系統(tǒng)平臺(tái)的嵌入式協(xié)議棧防火墻技術(shù)進(jìn)行分析和闡述。隨著網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，在進(jìn)行網(wǎng)絡(luò)應(yīng)用時(shí)必須要注意做好安全防護(hù)措施，應(yīng)用嵌入式防火墻技術(shù)即可獲得較為理想的安全防護(hù)效果。

參考文獻(xiàn)

[1]孟英博，嵌入式防火墻的研究與實(shí)現(xiàn)[D].南京航空航天大學(xué)，2007（1）.

[2]江文，淺議新一代防火墻技術(shù)的應(yīng)用與發(fā)展[J].科學(xué)之友，2011（12）.