基于防火墙的企业安全网络的设计分析

袁剑锋 章娟

【摘要】企业网络的建设在如今的市场上变得尤为重要。在企业网中，安全更是个不可忽视的问题，当企业内部网络受到攻击时，将会对企业造成无法预估的损失。所以保证企业内外网的连接的安全性是十分必要的。本文主要探讨了企业网络安全威胁、企业组网结构，为有效提高了企业网络的可靠性提供基础保障。

【关键词】防火墙技术;企业安全;计算机网络

1 引言

在企业中，防火墙实际上是一种隔离技术，早在1993年便已经被发明出来并引入国际互联网中。它位于内部网络和外部网络之间的屏障，主要意义表现为限制访问者进入一个被监控和保护的网络;抵御入侵和攻击者接近防御安全设备和窃取其中的信息数据;防止广播域内的主机IP地址不被另一台PC盗用，即如果要保护的主机只要和防火墙相连接，便可以和它的网卡地址进行捆绑，禁止其他内部PC访问这个IP地址。

2 企业网络的威胁

2.1内部工作人员的失误

在某些特殊情况下，公司员工的意外行为也会导致系统故障，給一些恶意攻击者有了入侵的机会。员工为自己的网络提供账户、密码等，并滥用外部存储设备。这些行为也会导致企业网络受到威胁。企业管理制度没有得到很好的健全和完善，当出现入侵行为时，无法进行有效的监控和勘测。

2.2计算机病毒的危害

电脑病毒也是十分危险的，因为计算机病毒的复制性和再现性十分强大，当病毒侵入系统，其中的数据会不断增加，造成了灾难性的后果，最终使公司的网络系统也禁止访问。

2.3非法用户的入侵和攻击

在企业网络中，还有一种令企业损失较大的攻击方式便是非法用户的强制入侵和恶意攻击。这种攻击只会严重影响企业内部的正常运作，但是并不会从企业内部网络中窃取重要的信息和数据。但除此之外，还有另一种破坏性更强的入侵方法，不仅严重扰乱企业内部网络的系统，甚至会窃取企业的核心内容。

2.4电子邮件中的病毒

据最新报道，电子邮件存在于各大恶意软件中，代码可以作为恶意附件文件接收，带来伤害。当我们在日常收发邮件时，该恶意入侵方法通过多台主机向同一类Web地址发送邮件。当企业网络中需要清理冗余的邮件时，服务器中的内存和带宽会骤减，以至于影响邮件的正常接收，和可用带宽急剧减少，不仅导致电子邮件的正常接收损失，同时也对公司是否正常运行产生了巨大的影响。

2.5网络钓鱼

很多企业评估都发现了员工在点击钓鱼链接时遭到攻击的案例。甚至PayPai、Appie等大型网站依然存钓鱼链接的风险，他们以各种手段仿冒真是URL地址或页面吸引用户。网络钓鱼攻击的媒介正在急剧增加，原因很简单：如果你可以简单地欺骗一个容易上当受骗的用户，为什么要制造复杂的病毒呢？人类一直是公司网络安全最薄弱的环节。攻击者可以这种方式窃取公司数据，包括电子邮件地址、密码和重要文件。

3 防火墙的主要技术

首先是包过滤防火墙：包过滤防火墙本质上是一个相应的安全策略，有效地过滤包，通常有目的地、源端口、IP地址等参数，在网络层上运行，在网络层上过滤包。其次是状态/动态检测防火墙：过滤防火墙是不同的，它更强大一点。包速率防火墙的一些特性，包括状态/动态防火墙的一些独特特性，不仅允许有效的数据检测，而且还允许包的状态和动态。一旦检测到包状态的差异，就会采用一个方案来过滤它们。最后是应用程序代理防火墙：防火墙代理防火墙的网络应用程序主要是双方之间的通信，通常有内部和外部服务器之间的网络，然后使用防火墙方式提供请求和响应，从而确保内部和外部网络不能直接沟通，有效地保护内部网络的安全。

4 企业组网图

4.1组网介绍

4.1.1接入层：主要将各种终端接入到企业园区网络，由以太网交换机构成。针对某些终端，可能会增加特定的接入设备，如无线接入点备、传统电路交换接入的综合接入设备等。

4.1.2汇聚层：汇聚层将大量的接入设备和众多的用户经过初次汇聚后再接入到核心层，便可以扩展核心层接入用户的数据总量。

4.1.3核心层：核心层负责整个企业园区网的高速互联，一般不部署详细的业务。核心网络需要实现带宽的高利用率和故障的快速收敛。企业园区出口：内部用户可以通过企业园区出口访问到外部公网的，而与此同时，外部用户也可以通过出口进入到内部网络中。形成了一个互通状态。

4.1.4数据中心层：部署服务器和应用系统的区域。为企业内部和外部用户提供数据和应用服务。网管中心：是对网络、web、应用系统进行管理的区域。包括出现故障和失误，也可以通过网管中心进行配置管理，性能管理，安全管理等。

4.2存在问题

一个公司的输出设备必须具有更高的可靠性，以防出现单点故障的情况，必须在双热紧急状态下形成两个设备。如果一个设备出现故障，另一个设备将取代它，而不影响数据的常规运行。租用两个互联网提供商连接的公司要求出口通道设备识别交通应用类型，将不同类型的应用程序发送到适当的连接，改善连接的使用，以防网络堵塞。将用户和服务的信息存储在包含公司组织结构的网关设备中，以达到政策参考的目的。在服务器区域部署AD服务器，为实现基于用户的网络行为控制和网络权利分配提供基础。

5 总结

每个互联网提供服务商只仅提供一条链路，但这样并不能和两台防火墙连通。所以，这个时候需要在服务商和防火墙中间布置一台交换机。使服务商从单一的链路变成双链路。将其分别和两台防火墙接口直接连通。而防火墙与交换机运行开放式最短路径优先协议，为有效提高了企业网络的可靠性提供基础保障。

参考文献：

[1]宋文官.电子商务实用教程（第二版）[M].北京：高等教育出版社，2016.

[2]单银根，王长富，黎连业.电子商务基础教程与应用实例[M].北京：科学出版社，2015.

[3]戴方虎等.Internet的移动访问技术研究[J].计算机科学，2018（3）.

[4]陈兵等.电子政务安全技术[M].北京：北京大学出版社，2015.