计算机网络安全和防火墙技术
域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。
该企业网络环境如图2-1所示:
图2-1 企业网络环境图
该企业内部网络的核心交换机是带路由模块的三层交换机,出口通过路由器和ISP连接。内部网划分为5个VLAN,VLAN 1、VLAN 2和VLAN 3分配给不同的部门使用,不同的VLAN之间根据部门级别设置访问权限;VLAN 4分配给交换机出口地址和路由器使用;VLAN 5分配给公共服务器使用。在没有加入防火墙之前,各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后,给防火墙分配一个VLAN 4中的空闲IP地址,并把网关指向路由器;将VLAN 5接入到防火墙的一个网口上。这样,防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网,三者之间的通信受到防火墙安全规则的限制。
问题描述:防火墙投入运行后,实施了一套较为严格的安全规则,导致公司员工无法使用QQ聊天软件,于是没过多久就有员工自己拨号上网,导致感染了特洛依木马和蠕虫等病毒,并立刻在公司内部局域网中传播开来,造成内部网大面积瘫痪。
问题分析:我们知道,防火墙作为一种保护网络安全的设备,必须部署在受保护网络的边界处,只有这样防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有很多出入口,那么只部署一台防火墙是不够的。在本案例中,防火墙投入使用后,没有禁止私自拨号上网行为,使得许多PC机通过电话线和Internet相连,导致网络边界不惟一,入侵者可以通过攻击这些PC机然后进一步攻击内部网络,从而成功地避开了防火墙。
解决办法:根据自己企业网的特点,制定一整套安全策略,并彻底地贯彻实施。比如说, 12