下一代防火墙在企业网络安全中的设计与实现

　　在“互联网 +”的全民信息化时代，计算机网络已成为企业现代化管理和可持续发展的重要保证。文章基于下一代防火墙技术，对企业网络安全的设计与实现进行研究，首先介绍研究的背景及意义；然后概述防火墙；在此基础上，以某企业为例，对网络安全风险进行评估，对网络安全进行需求分析，设计实现企业网络拓扑，并重点利用下一代应用防火墙技术，对企业网络安全策略研究，并对安全策略进行定性、定量测试，达到了预期的目的。

　　计算机网络已经深度融合于经济社会各领域之中，为企业的生产、经营和管理提供了有力的支撑，计算机网络已成为企业现代化管理和可持续发展的重要保证，企业的经营越来越多地受益和依赖于网络和信息系统。作为边界网络安全第一道关卡的防火墙，自诞生以来，在网络安全防御系统中就建立了不可替代的地位。

一、防火墙技术

防火墙概念

　　防火墙是一种网络安全设施，是执行访问控制策略的一个或一组软、硬件系统。它处于安全的网络（通常是内部局域网）和不安全的网络之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。

防火墙作用

　　防火墙的作用是防止非法通信和未经过授权的通信进出被保护的网络。防火墙的任务就是从各种端口中判断从外部不安全网络发送到内部安全网络中具体计算机的数据是否有害，并尽可能的将有害数据丢弃，从而达到初步的网络系统安全保障。

下一代防火墙

　　防火墙自诞生以来，经历了包过滤技术、代理技术和状态监视技术的技术革命，传统的防火墙通过有限的防御方式对风险进行防护，成本高、效率低、安全防范手段有限。下一代防火墙是一种深度包检测防火墙，超越了基于端口、协议的检测和阻断，增加了应用层的检测和入侵防护。

　　（1）风险评估与策略联动。基于时间周期的安全防护设计提供事前风险评估及策略联动功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断各个节点的安全漏洞问题，并做出针对性的防护策略。

　　（2）智能防护联动。智能的主动防御技术可实现防火墙内部各个模块形成智能的策略联动。智能防护体系的建立可有效的防止工具型、自动化的黑客攻击，提高攻击成本，可抑制 APT 攻击的发生。同时也使得管理员维护变得更为简单，实现无网管的自动化安全管理。

　　（3）智能建模及主动防御。提供智能的自主学习以及自动建模技术，通过匹配防护 URL 中的参数，自主学习，当学习次数累积达到预设定的阈值时，则会加入到白名单列表，后续的请求只要符合该白名单规则即可放行，不符合则阻断。可实现网络的智能管理，简化运维。

二、企业网络安全设计

　　某企业是某大型集团下属的子公司，经过多年的业务推动及信息系统的不断完善，其信息化已经初见规模，内网用户1500余人，建设了专门的数据中心机房，服务器50余台、交换机40余台，与下属单位及各地部分项目部进行了相应网络互联。初期建设时企业内局域网采用千兆到桌面的设计，骨干（垂直子系统、楼宇子系统）采用全千兆单模光纤到双核心设计。互联网出口通过电信、联通商务光纤（200Mbps）直接与数据中心机房连接，两条互联网链路做冗余互备。

操作系统评估

　　该企业大部分服务器操作系统都以默认配置运行，这个安全选项未及时修补或配置，将是会给攻击者带来可乘之机，利用这些安全风险缺陷漏洞，形成服务器安全威胁。

业务脆弱性评估

　　通过对业务系统的安全扫描，总体安全环境评级为中。在针对业务与终端用户使用 L2-7 层攻击风险分析、实时漏洞分析等安全检查手段，攻击趋势如下：其中检测出的攻击次数越多，表示网络环境遭受黑客攻击的次数越多，网络环境越不安全；有效攻击次数越多，表示命中系统存在的漏洞的攻击次数越多，黑客能成功入侵的可能性越大，能有效防护系统存在的漏洞和抵御黑客利用已存在漏洞发起的攻击。

………………

　　下一代防火墙在企业网络安全中的设计与实现 PDF 完整版下载（文字可复制）：

https://www.aliyundrive.com/s/Uhg43cWLyLH 提取码: 67im