可以說，企業(yè)網(wǎng)絡信息安全能否得以保障，在絕大程度上取決于這個層次的安全防護技術的部署坑匠。本文將從企業(yè)網(wǎng)絡及應用層面臨的網(wǎng)絡威脅出發(fā)血崭，闡述該層所必需的一些安全防護技術。

        8厘灼、防火墻技術

　　防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)夹纫，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)设凹、外部網(wǎng)絡之間的通信都要經(jīng)過防火墻舰讹。只有符合安全策略的數(shù)據(jù)流才能通過防火墻。這是防火墻的工作原理特性闪朱。防火墻之所以能保護企業(yè)內(nèi)部網(wǎng)絡螟衍，就是依據(jù)這樣的工作原理或者說是防護機制進行的。它可以由管理員自由設置企業(yè)內(nèi)部網(wǎng)絡的安全策略冕泡，使允許的通信不受影響佩捎，而不允許的通信全部被拒絕于內(nèi)部網(wǎng)絡之外。

　　隨著新的網(wǎng)絡攻擊的出現(xiàn)刑评，防火墻技術也有一些新的發(fā)展趨勢哑辐。這主要可以從包過濾技術、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)惑膀。

　　◆防火墻包過濾技術

　　◆用戶身份驗證防火墻：一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認證及其服務擴展到防火墻中唐肩，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡應用中非常必要贼么。具有用戶身份驗證的防火墻通常是采用應用級網(wǎng)關技術的穗掘，包過濾技術的防火墻不具有。用戶身份驗證功能越強介她，它的安全級別越高称啸，但它給網(wǎng)絡通信帶來的負面影響也越大，因為用戶身份驗證需要時間疾就，特別是加密型的用戶身份驗證澜术。

　　◆多級過濾技術：所謂多級過濾技術，是指防火墻采用多級過濾措施猬腰，并輔以鑒別手段鸟废。在分組過濾（網(wǎng)絡層）一級，過濾掉所有的源路由分組和假冒的IP源地址姑荷；在傳輸層一級盒延，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包鼠冕、圣誕樹包等添寺；在應用網(wǎng)關（應用層）一級胯盯，能利用FTP、SMTP等各種網(wǎng)關计露，控制和監(jiān)測Internet提供的所用通用服務博脑。這是針對以上各種已有防火墻技術的不足而產(chǎn)生的一種綜合型過濾技術，可以彌補以上各種單獨過濾技術的不足票罐。這種過濾技術在分層上非常清楚叉趣，每種過濾技術對應于不同的網(wǎng)絡層，從這個概念出發(fā)燕瞭，又有很多內(nèi)容可以擴展陶簿，為將來的防火墻技術發(fā)展打下基礎。

　　◆病毒防火墻：使防火墻具有病毒防護功能±枥В現(xiàn)在通常被稱之為病毒防火墻航十，當然目前主要還是在個人防火墻中體現(xiàn)，因其為純軟件形式斧呆，更容易實現(xiàn)诊势。這種防火墻技術可以有效地防止病毒在網(wǎng)絡中的傳播，比等待攻擊的發(fā)生更加積極质圾。擁有病毒防護功能的防火墻可以大大減少企業(yè)的損失荔闭。

　　◆防火墻的體系結(jié)構(gòu)

　　隨著網(wǎng)絡應用的增加，對網(wǎng)絡帶寬提出了更高的要求棋蒂。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)毒沥。另外，在以后幾年里拗疯，多媒體應用將會越來越普遍擒蝎，要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要消玄，一些防火墻制造商開發(fā)了基于ASIC（特殊應用集成電路跟伏，Application Specific Integrated Circuit）的防火墻和基于網(wǎng)絡處理器的防火墻。從執(zhí)行速度的角度看來翩瓜，基于網(wǎng)絡處理器的防火墻也是基于軟件的解決方案受扳，需要在很大程度上依賴于軟件的性能；但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務的引擎兔跌，從而減輕了CPU的負擔勘高，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

　　與基于ASIC的純硬件防火墻相比坟桅，基于網(wǎng)絡處理器的防火墻具有軟件色彩相满，因而更加具有靈活性¤胱洌基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡數(shù)據(jù)流立美，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性方灾，這就使得其缺乏靈活性建蹄，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性播托，使其與軟件更好地配合饿严。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。

　　◆防火墻的系統(tǒng)管理

　　總體說來丙藤，防火墻的系統(tǒng)管理有如下幾種發(fā)展趨勢：

　　◆集中式管理：集中式管理可以降低管理成本缓墅，并保證在大型網(wǎng)絡中安全策略的一致性【襟Γ快速響應和快速防御也要求采用集中式管理系統(tǒng)挑单。

　　◆強大的審計功能和自動日志分析功能：這兩點的應用可以更早地發(fā)現(xiàn)潛在的威脅并預防攻擊的發(fā)生。日志功能還可讓管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞册向，及時地調(diào)整安全策略等唾莲。不過具有這種功能的防火墻通常是比較高級的，早期的靜態(tài)包過濾防火墻是不具有的瘸卦。

　　◆網(wǎng)絡安全產(chǎn)品的系統(tǒng)化：隨著網(wǎng)絡安全技術的發(fā)展瘩此，現(xiàn)在有一種體系結(jié)構(gòu)的提法，叫做"建立以防火墻為核心的網(wǎng)絡安全體系"柳锣。因為實踐表明愧理，僅使用現(xiàn)有的防火墻技術難以滿足當前網(wǎng)絡安全需求。通過建立一個以防火墻為核心的安全體系折柠，就可以為內(nèi)部網(wǎng)絡系統(tǒng)部署多道安全防線宾娜，各種安全技術各司其職，從各方面防御外來入侵液走。

　　9碳默、入侵檢測技術

　　Intrusion Detection System（入侵檢測系統(tǒng)）顧名思義，便是對入侵行為的發(fā)覺缘眶，其通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析嘱根，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。通常說來巷懈，其具有如下幾個功能：
　　◆監(jiān)控该抒、分析用戶和系統(tǒng)的活動。

　　◆核查系統(tǒng)配置和漏洞顶燕。

　　◆評估關鍵系統(tǒng)和數(shù)據(jù)文件的完整性凑保。

　　◆識別攻擊的活動模式并向網(wǎng)管人員報警。

　　◆對異秤抗ィ活動的統(tǒng)計分析欧引。

　　操作系統(tǒng)審計跟蹤管理枪蜕，識別違反政策的用戶活動。

　　按照技術以及功能來劃分迈招，入侵檢測系統(tǒng)可以分為如下幾類：

　　◆基于主機的入侵檢測系統(tǒng)：其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志农泊，一般只能檢測該主機上發(fā)生的入侵。

　　◆基于網(wǎng)絡的入侵檢測系統(tǒng)：其輸入數(shù)據(jù)來源于網(wǎng)絡的信息流缘赋，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡入侵碰蚂。

　　◆采用上述兩種數(shù)據(jù)來源的分布式入侵檢測系統(tǒng)：能夠同時分析來自主機系統(tǒng)審計日志和網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng)，一般為分布式結(jié)構(gòu)誓胆，由多個部件組成竣楼。

　　10、統(tǒng)一威脅管理技術

　　UTM是與企業(yè)防火墻庸飘、入侵檢測和防御以及防病毒等結(jié)合為一體的設備亲堂，將成為未來的應用趨勢。IDC同時預測觉浦，UTM市場到2008年將占整個信息安全市場的半壁江山题束，達到57.6%。UTM的一個特點是可以只用到該產(chǎn)品的某一個專門用途院仿，比如用于網(wǎng)關防病毒或是用于內(nèi)部的入侵檢測秸抚，也可以全面應用所有功能。當UTM作為一種單點產(chǎn)品來應用時歹垫，企業(yè)能獲得統(tǒng)一管理的優(yōu)勢剥汤，并且也能在不增加新設備的情況下開啟自身需要的任何功能。UTM產(chǎn)品為網(wǎng)絡安全用戶提供了一種更加靈活也更易于管理的選擇排惨。用戶可以在一個更加統(tǒng)一的架構(gòu)上建立自己的安全基礎設施吭敢，而以往困擾用戶的安全產(chǎn)品聯(lián)動性等問題也能夠得到很大的緩解。相對于提供單一的專有功能的安全設備暮芭，UTM在一個通用的平臺上提供多種安全功能鹿驼。一個典型的UTM產(chǎn)品整合了防病毒、防火墻辕宏、入侵檢測等很多常用的安全功能畜晰，而用戶既可以選擇具備全面功能的UTM設備，也可以根據(jù)自己的需要選擇某幾個方面的功能瑞筐。更加可貴的是凄鼻，用戶可以隨時在這個平臺上增加或調(diào)整安全功能。

　　UTM技術可以進行改良的信息包檢查聚假，識別應用層信息唠陈，命令入侵檢測和阻斷，蠕蟲病毒防護以及高級的數(shù)據(jù)包驗證機制。這些特性和技術使得IT管理人員可以很容易地控制如Instant Message信息傳輸锭泼，BT多線程動態(tài)應用下載原堂，Skype等新型軟件的應用，并且阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫赠槽。同時剃炬，設備可以支持動態(tài)的行為特征庫更新，更具備7層的數(shù)據(jù)包檢測能力幢戳。完全克服了目前市場上深度包檢測的技術弱點。特別針對分包攻擊的內(nèi)容效果明顯泰涡。但UTM技術必須要有強大的硬件平臺支撐外抓，否則，難以適應當前的網(wǎng)絡性能要求像兆。

　　UTM的應用優(yōu)勢在于：

　　◆降低安全管理復雜度

　　◆集成的維護平臺

　　◆單一服務體系結(jié)構(gòu)

　　◆集中的安全日志管理

　　◆組合式的安全保護

　　◆應用的靈活性

　　◆良好的可擴展性

　　◆進一步降低成本

　　UTM設備可以減少與安全功能相關的采集蜓呀，安裝，管理支出河哑，確保企業(yè)網(wǎng)絡的連續(xù)性避诽，和可用性，為目前流行的安全威脅提供有效的防御璃谨。

聲明：本網(wǎng)站所收集的部分公開資料來源于互聯(lián)網(wǎng)沙庐，轉(zhuǎn)載的目的在于傳遞更多信息及用于網(wǎng)絡分享，并不代表本站贊同其觀點和對其真實性負責佳吞，也不構(gòu)成任何其他建議拱雏。本站部分作品是由網(wǎng)友自主投稿和發(fā)布、編輯整理上傳底扳，對此類作品本站僅提供交流平臺铸抑，不為其版權(quán)負責。如果您發(fā)現(xiàn)網(wǎng)站上所用視頻衷模、圖片鹊汛、文字如涉及作品版權(quán)問題，請第一時間告知阱冶，我們將根據(jù)您提供的證明材料確認版權(quán)并按國家標準支付稿酬或立即刪除內(nèi)容刁憋，以保證您的權(quán)益！聯(lián)系電話：010-58612588 或 Email:editor@mmsonline.com.cn属圃。