多层防火墙策略部署方法研究.pdf
《多层防火墙策略部署方法研究.pdf》由会员分享,可在线阅读,更多相关《多层防火墙策略部署方法研究.pdf(7页珍藏版)》请在咨信网上搜索。
1、3期http:/海洋信息技术与应用JOURNAL OF MARINE INFORMATION TECHNOLOGY AND APPLICATION多层防火墙策略部署方法研究张学灵,王晓瑞,谢硕,吴永芳(国家海洋信息中心,天津300171)摘要:随着信息化程度不断增强,网络结构日益复杂,大多企事业单位需部署多层防火墙对网络进行安全防护,而防火墙策略是防火墙发挥防护作用的基础,因此本文对多层防火墙策略和部署难点进行梳理分析,提出部署方法,并在某单位的实际工作中进行应用和实践。结果证明该方法可优化防火墙策略的部署过程,能按照最小化原则制定策略并最大程度保证业务连续性,提高工作效率,为相关网络运维人员
2、提供借鉴。关键词:网络安全;防火墙;策略中图分类号:TN915.08文献识别码:A文章编号:2097-0307(2023)03-0151-07Doi:10.3969/j.issn.2097-0307.2023.03.005Research on policy deployment method of multi-layer firewallZHANG Xueling,WANG Xiaorui,XIE Shuo,WU Yongfang(National Marine Data and Information Service,Tianjin 300171,China)Abstract:With t
3、he continuous enhancement of informatization and the increasingly complex network structure,manyinstitutional organizations and enterprises need to deploy multi-layer firewalls for network security protection,wherefirewall strategy is the basis to play a protective role.Therefore,this paper analyzes
4、 the difficulties in the strategy cardingand deployment of the multi-layer firewall,proposing the strategy process and deployment method,which has beenapplied and practiced in the actual work of an information center.The results show that this method can optimize thedeployment process of firewall po
5、licies,formulate policies according to the principle of minimization,ensure businesscontinuity to the greatest extent,and improve work efficiency.It is expected to provide a reference for relevant networkoperation and maintenance personnel.Keywords:network security;firewall;strategy第38卷第3期2023年8月收稿日
6、期:2022-11-14;修订日期:2023-01-13作者简介:张学灵,学士,工程师,主要从事网络安全研究,电子邮箱:通信作者:吴永芳,硕士,工程师,电子邮箱:随着海洋信息化的发展,海洋核心业务信息化水平显著提升,海域使用、海岛开发与保护、海洋环境保护等海洋核心业务对信息化的依赖程度日益提高,现海洋核心业务依托外网、专网、涉密网等在内的多条海洋业务专线网络、云平台等海洋信息基础设施和海洋业务系统,已实现国家与地方、地方与地方之间海洋信息的传输、交换、共享和服务。保障海洋信息基础设施和海洋业务系统安全稳定运行,防止海洋数据被窃取和破坏,构建海洋网络安全体系的重要性日益凸显,而防火墙作为网络安全
7、的第一道屏障,可根据策略对进出流量进行管控,是保障网络安全的重要手段。但要使防火墙发挥最大安全防护效果,必须将防火墙部署在合理的位置并制定严格的安全策略,防火墙及策略的部署与网络结构和业务访问情况密切相关,需针对实际情况实施。本文以某信息中心为例,该中心部署了三层防火墙并运行了大量海洋业务系统,具有很强的代表性。本文主要介绍该中心的防火墙应用现状,针对其防火墙策略梳理和部署工作中的难点,总结运维经Vol.38,No.3Aug.202338卷海洋信息技术与应用http:/验,对策略梳理和部署方法进行研究,以期能按照最小化原则,快速、准确地完成策略部署,达到提升网络安全防护能力的目的。1防火墙应用
8、现状该单位通过两条运营商专线接入海洋业务专网,由防火墙作为边界防护设备1-2。随着信息化程度不断加强,虚拟化技术得到应用,网络结构和区域划分日益复杂,单一防火墙已无法满足网络安全性的需要,难以实现区域间的隔离。因此结合实际情况,部署了多层防火墙以实现对安全域的划分和不同区域间的访问控制3,为网络及业务系统提供有效保护,其部署示意图如图1所示。各层防火墙的部署位置均须适应网络结构,一切流量均需经过防火墙才能起到管控作用,该单位三层交换机位于接入区,私有云区交换机为二层交换机,私有云区内同一VLAN的主机之间通过二层交换机即可通信。根据网络实际情况,按照所有流量经过防火墙的原则,该单位共部署三层防
9、火墙,第一、二层防火墙负责控制南北向流量,第三层防火墙负责控制东西向流量。各自功能设计如下:第一层防火墙,作为边界防火墙,接入海洋业务专网,是该单位与外部网络的第一道屏障,负责配置针对外部用户的安全策略。该防火墙只允许 web、地图等端口对外部用户开放并提供服务,可限制通过外部网络对内部业务系统发起的非授权访问,也可限制内部网络对外发起的不必要访问。另可利用地址转换技术,实现与有海洋数据共享需求的合作单位之间的网络互通。第二层防火墙,位于内部办公区、私有云区和物理服务器区之间,起到三个区域之间的隔离作用,负责配置针对内部用户的安全策略。内部用户指位于内部办公区的所有终端用户,包括业务系统访问人
10、员、开发人员、运维人员等。该防火墙只允许特定端口对内部特定用户开放并提供服务,保护私有云区和物理服务器区内的业务系统不被内部用户非授权访问。第三层防火墙,位于私有云区内部,起到私有云区内同一VLAN内的业务系统间的隔离作用,负责配置针对业务系统间的安全策略。该防火墙允许同一业务系统内主机间通信,或有调用需求的不同业务系统间的通信,防止内部业务系统间图1某信息中心防火墙部署结构示意图1523期http:/的非授权访问。三层防火墙的设置,在保障所有流量均得到管控的前提下,将对网络性能影响程度降到最低,用户来源的明确划分有利于策略制定和维护。为实现各层防火墙的安全防护功能,还需对各防火墙策略进行准确
11、梳理和正确部署。防火墙的优势在于其基于安全策略的流量过滤能力,准确的安全策略可将防火墙效用发挥到最大,但不良或不完整的安全策略会带来很大的安全隐患。2防火墙策略梳理和部署难点防火墙策略的梳理需建立在内部资产梳理的基础上,应针对资产的访问需求对策略进行梳理和部署。根据实际情况,防火墙策略梳理和部署有以下四个难点4。(1)业务访问需求梳理难度大。该单位承载的业务系统多,业务范围广,对不熟悉业务的防火墙管理人员来说,业务访问需求的梳理是一大挑战。另外,无人运维、职责交叉、非持续性访问的业务系统的存在,也为业务访问需求的梳理增加了难度。(2)策略所需要素多。制定一条防火墙策略,需要明确源地址、目的地址
12、、源端口、目的端口、策略状态、策略动作、策略生效时间段等要素。某信息中心内部提供服务的IP地址就有近千个,外部涉及更多,且多数业务系统使用自定义端口,对策略所需要素需仔细梳理,避免遗漏。(3)策略管理烦琐。多层防火墙的策略需根据防火墙的不同功能,按照一定规则制定,容易出现策略冲突、冗余,需要防火墙管理人员具备一定的经验和逻辑性。(4)业务连续性要求高。该单位运行了多个国家级重要业务系统,对数据实时性要求高,需保障其业务不中断,对防火墙策略梳理和部署提出了较高要求。3防火墙策略梳理和部署方法针对以上难点,本文提出了策略梳理和部署流程,主要按照准备阶段、策略梳理、策略部署、上线运行等步骤进行(图2
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 多层 防火墙 策略 部署 方法 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。