安全网关技术在企业中的应用.doc

安全网关技术在企业中的应用 　　摘要：企业信息化应用不断增加，所面临的网络安全问题也日益突出。解决好网络的安全运行问题是关乎到企业生产运营的大问题。该文从物理隔离、交换机安全配置、病毒防范、网络漏洞扫描、上网行为管理、防火墙、入侵检测系统、主动防御系统等多个角度、多个技术途径，通过具体的应用实践，有效的实施，加强了企业的网络安全水平。 　　关键词：网络安全；防火墙；入侵检测；主动防御 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)28-6884-02 　　随着信息技术的快速发展，信息系统在企业的应用越来越多，在企业生产和经验管理的各方面都扮演着重要的角色。信息系统大多是以网络为载体,网络系统的安全与否直接关系到信息系统的安全运行。当前来自网络的安全隐患时刻威胁着企业信息系统的安全运行,对企业的正常运营造成极大威胁。 　　我们迫切需要研究和应用网络安全技术，构建强大的网络安全体系，从而形成有效的信息系统安全网络保护屏障。 　　1 网络安全实施 　　结合现有网络环境和实际需求，我们只有多管齐下，综合采用多种安全防范措施，才能有效提高网络安全管理水平。当前，适合我们采用的应对网络安全威胁的防御措施主要有物理隔离、交换机安全配置、病毒防范、网络漏洞扫描、上网行为管理、防火墙、入侵检测系统、主动防御系统等。 　　1.1 物理隔离 　　对只在较小网络范围内使用，并且不与外网有连接需求的信息系统，进行单独组网，不接入公司局域网，彻底杜绝来自局域网和外部网的安全隐患。对于MES等生产专用系统，单独组网，网络设备、光纤线路专网专用，与局域网分开，用户只能通过防火墙等安全设备与桥头堡服务器通讯获取内部数据信息，尽可能减少网络安全隐患。 　　1.2 交换机安全配置隔离 　　交换机具有一定的网络控制功能，通过访问控制列表（ACL）、VLAN划分等功能可以实施必要的网络安全功能。 　　访问控制列表：对交换机进行访问控制列表的设置，设置满足指定源地址、目的地址、端口号、协议等特定条件的数据包是否能够通过。通过访问控制列表可以进行基本的网络控制，通过设置可以让交换机拦截已知的、明显的网络攻击行为。 　　VLAN划分：划分VLAN可以防止网络风暴的发生，提高网络的可用性和健壮性，当发生网络安全事件时，容易将其控制在较小的范围内。从另一方面来看，VLAN也是网络安全的一项重要措施。用VLAN技术来将网络按应用或部门划分为逻辑的区块，各个VLAN之间通讯或者VLAN与外部通讯可以通过访问控制列表实现允许或者禁止指定数据包的通过。 　　1.3 病毒防范 　　计算机病毒可以破坏计算机系统，并通过网络的传播扩大破坏范围。病毒的恶意破坏会导致网络运行效率下降，严重的会导致网络中断。病毒的泛滥还会对网内运行的信息系统的安全造成极大的威胁。因此构建防病毒体系十分重要。为有效实施防病毒工作，并减轻信息技术部门的维护难度，我们最终选用了Symantec防病毒系统，该系统采用服务器/客户端部署方式。使用该系统，服务器可推送病毒定义给各客户端，并能定时控制客户端启动杀毒进程。客户端可实时监控来自网络、U盘等外部的信息来源途径，阻断病毒的侵入。 　　1.4 网络漏洞扫描 　　如果网络上的计算机和网络设备有安全漏洞，就很可能被非法入侵者利用，从而威胁到内部网络的安全。而随着信息化应用的深入，网络上的计算机和网络设备很多，一台台设备漏洞的排查将很困难，这样，使用网络漏洞扫描系统就能发挥巨大作用。网络漏洞扫描系统能对网络上的计算机和网络设备进行安全漏洞检测和分析，从而发现可能被入侵者非法利用的漏洞。针对发现的漏洞可以采取有效措施进行修补，增强整体网络的安全性。 　　1.5 上网行为管理 　　内部网络的安全管理同样重要。由于员工的不当上网行为导致的如下问题困扰着公司的管理者。首先是有限网络带宽被非业务需求大量占用，影响了正常的网上业务的开展。其次，核心机密信息随时可能通过网络被泄露出去，威胁到公司核心利益。第三，随意的网络行为可能引来网络的攻击行为，病毒、木马轻易地进入内部网。第四，无限制的网络行为使员工难以专注工作，降低了员工的工作效率。 　　为此我们引入了山石安全网关，加强了内部网络用户上网行为管理。对于与办公无关的网络应用给予关闭，大量占用带宽的应用进行了限制。 　　1.6 防火墙部署 　　防火墙技术是一种最为流行的网络安全技术，使用广泛。防火墙对流经它的数据包进行扫描、过滤，阻止网络入侵非法行为，保护我们的网络免受恶意攻击，防止未经允许和未被授权的数据包出入被保护的内部网络，并允许对流入和流出内部网的信息流分别应用安全策略。防火墙主要采用包过滤技术，在其内设置过滤逻辑，根据检查所通过的每个数据包源IP地址、