网络防火墙的系统解决方案（5）

　　（二）防火墙具体实现

　　1、部署边界防火墙

　　设置边界防火墙的正确位置应该在内部网络与外部网络之间。防火墙设置在此位置上，防火墙的内外网卡分属于内部和外部网段。内部网络和外部网络被完全隔离开，所有来自外部网络的服务请求只能到达防火墙，防火墙对收到的数据包进行分析后将合法的请求传送给相应的服务主机，对于非法访问加以拒绝。内部网络的情况对于外部网络的用户来说是完全不可见的。由于防火墙是内部网络和外部网络的唯一通讯信道，因此防火墙可以对所有针对内部网络的访问进行详细的记录，形成完整的日志文件。防火墙要保护的网络与外部网络应该只有唯一的连接通路，如果防火墙后还有其它通路，防火墙将被短路，无法完成保护内部网络的工作。如果内部网络有多个外部连接，就应该在每个入口处都放置防火墙。

　　设置边界防火墙，我们可以有效的防范来自外部网络的攻击。设置防火墙后内部网与外部网进行了有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，安全有了很大的提高。

　　边界防火墙可以完成以下具体任务：

　　通过源地址过滤，拒绝外部非法IP地址，有效的避免了外部网络上与业务无关的主机的越权访问防火墙可以只保留有用的服务，将其他不需要的服务关闭，可将系统受攻击的可能性降低到最小限度，使黑客无机可乘边界防火墙可以制定访问策略，只有被授权的外部主机可以访问内部网络的有限的IP地址，保证外部网络只能访问内部网络中必要的资源，与业务无关的操作将被拒绝由于外部网络对DMZ区主机的所有访问都要经过防火墙，防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细的记录，通过分析可以得出可疑的攻击行为对于远程登录的用户，如telnet等，防火墙利用加强的认证功能，可以有效的防止非法入侵安装了边界防火墙后，网络的安全策略由防火墙集中管理，因此黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的边界防火墙可以进行地址转换工作，外部网络不能看到内部网络的结构，使黑客攻击失去目标以上的内容充分说明，企业的计算机网络安装了边界防火墙后，可以实现内部网络与外部网络的有效隔离，防止来自外部网络的非法攻击。同时，保证了DMZ区服务器的相对安全性和使用便利性。

　　2、部署内部防火墙

　　企业的计算机网络是一个多层次、多节点、多业务的网络，各节点间的信任程度较低，但由于业务的需要，各节点和服务器群之间又要频繁的交换数据。通过在服务器群的入口处设置内部防火墙，可以制定完善的安全策略，有效的控制内部网络的访问，具体可以实现以下功能：

　　内部防火墙可以精确制定每个用户的访问权限，保证内部网络用户只能访问必要的资源对于拨号备份线路的连接，通过强大的认证功能，实现对远程用户的管理内部防火墙可以记录网段间的访问信息，及时发现误操作和来自内部网络其他网段的攻击行为防火墙通过安全策略的集中管理，每个网段上的主机不必再单独设立安全策略，降低人为因素导致的网络安全问题。

　　综上所述，企业计算机网络中设置防火墙后，一方面可以有效地防范来自外部网络的攻击行为，另一方面可以为内部网络制定完善的安全访问策略，从而使得整个企业网络具有较高的安全级别。

　　五、防火墙方案特点

　　一个优秀的网络安全保障系统必须建立在对网络安全需求与环境的客观分析评估基础上，在网络的应用性能及价格和安全保障需求之间确定一个“最佳平衡点”，使得网络安全保障引入的额外开销与它所带来的效益相当。根据企业计算机网络的具体特点，我们建议采用的防火墙安全系统具有以下几个特点：

　　1、设备费用比较低廉

　　这主要包括，无须购入成套的安全设备，主要利用软件而非硬件来实现安全，比如说软件型的防火墙，使用费用比较低廉的共享版本或者免费版本的软件。

　　2、人员费用相对较低

　　无须聘请国外专业的安全公司来参与企业内部网的建设，但是可以聘请一到两个对于安全规划和实施较有经验的国内专业安全公司定企业内部网的规划，同时系统的安全性维护主要由内部技术人员兼职完成。

　　3、统一部署安全策略

　　即在安全专家的指导下，建立统一安全制度，消灭一般由于系统配置不当造成的明显安全漏洞。

　　4、良好的升级扩展性

　　一套相对安全的安全系统并不意味着永远保持“相对的安全性”，当企业的关键性业务发展到某个程度时，或许需要提高企业内部网的安全性能，这就要求原先的系统具有良好的可扩展性。这主要体现在，可以通过适当地追加投资大幅度增加企业内部网络的安全性能。但安全系统的基本模式不发生巨大变化，以免导致管理上的困难。