可以說，企業(yè)網(wǎng)絡(luò)信息安全能否得以保障，在絕大程度上取決于這個(gè)層次的安全防護(hù)技術(shù)的部署。本文將從企業(yè)網(wǎng)絡(luò)及應(yīng)用層面臨的網(wǎng)絡(luò)威脅出發(fā)，闡述該層所必需的一些安全防護(hù)技術(shù)。

        8、防火墻技術(shù)

　　防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。只有符合安全策略的數(shù)據(jù)流才能通過防火墻。這是防火墻的工作原理特性。防火墻之所以能保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)，就是依據(jù)這樣的工作原理或者說是防護(hù)機(jī)制進(jìn)行的。它可以由管理員自由設(shè)置企業(yè)內(nèi)部網(wǎng)絡(luò)的安全策略，使允許的通信不受影響，而不允許的通信全部被拒絕于內(nèi)部網(wǎng)絡(luò)之外。

　　隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。

　　◆防火墻包過濾技術(shù)

　　◆用戶身份驗(yàn)證防火墻：一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。

　　◆多級過濾技術(shù)：所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

　　◆病毒防火墻：使防火墻具有病毒防護(hù)功能。現(xiàn)在通常被稱之為病毒防火墻，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因其為純軟件形式，更容易實(shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少企業(yè)的損失。

　　◆防火墻的體系結(jié)構(gòu)

　　隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC（特殊應(yīng)用集成電路，Application Specific Integrated Circuit）的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，需要在很大程度上依賴于軟件的性能；但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

　　與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得其缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來自靈活性和運(yùn)行性能的要求。

　　◆防火墻的系統(tǒng)管理

　　總體說來，防火墻的系統(tǒng)管理有如下幾種發(fā)展趨勢：

　　◆集中式管理：集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性。快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。

　　◆強(qiáng)大的審計(jì)功能和自動日志分析功能：這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可讓管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞，及時(shí)地調(diào)整安全策略等。不過具有這種功能的防火墻通常是比較高級的，早期的靜態(tài)包過濾防火墻是不具有的。

　　◆網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化：隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)在有一種體系結(jié)構(gòu)的提法，叫做"建立以防火墻為核心的網(wǎng)絡(luò)安全體系"。因?yàn)閷?shí)踐表明，僅使用現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個(gè)以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。

　　9、入侵檢測技術(shù)

　　Intrusion Detection System（入侵檢測系統(tǒng)）顧名思義，便是對入侵行為的發(fā)覺，其通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。通常說來，其具有如下幾個(gè)功能：
　　◆監(jiān)控、分析用戶和系統(tǒng)的活動。

　　◆核查系統(tǒng)配置和漏洞。

　　◆評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性。

　　◆識別攻擊的活動模式并向網(wǎng)管人員報(bào)警。

　　◆對異常活動的統(tǒng)計(jì)分析。

　　操作系統(tǒng)審計(jì)跟蹤管理，識別違反政策的用戶活動。

　　按照技術(shù)以及功能來劃分，入侵檢測系統(tǒng)可以分為如下幾類：

　　◆基于主機(jī)的入侵檢測系統(tǒng)：其輸入數(shù)據(jù)來源于系統(tǒng)的審計(jì)日志，一般只能檢測該主機(jī)上發(fā)生的入侵。

　　◆基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。

　　◆采用上述兩種數(shù)據(jù)來源的分布式入侵檢測系統(tǒng)：能夠同時(shí)分析來自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)，一般為分布式結(jié)構(gòu)，由多個(gè)部件組成。

　　10、統(tǒng)一威脅管理技術(shù)

　　UTM是與企業(yè)防火墻、入侵檢測和防御以及防病毒等結(jié)合為一體的設(shè)備，將成為未來的應(yīng)用趨勢。IDC同時(shí)預(yù)測，UTM市場到2008年將占整個(gè)信息安全市場的半壁江山，達(dá)到57.6%。UTM的一個(gè)特點(diǎn)是可以只用到該產(chǎn)品的某一個(gè)專門用途，比如用于網(wǎng)關(guān)防病毒或是用于內(nèi)部的入侵檢測，也可以全面應(yīng)用所有功能。當(dāng)UTM作為一種單點(diǎn)產(chǎn)品來應(yīng)用時(shí)，企業(yè)能獲得統(tǒng)一管理的優(yōu)勢，并且也能在不增加新設(shè)備的情況下開啟自身需要的任何功能。UTM產(chǎn)品為網(wǎng)絡(luò)安全用戶提供了一種更加靈活也更易于管理的選擇。用戶可以在一個(gè)更加統(tǒng)一的架構(gòu)上建立自己的安全基礎(chǔ)設(shè)施，而以往困擾用戶的安全產(chǎn)品聯(lián)動性等問題也能夠得到很大的緩解。相對于提供單一的專有功能的安全設(shè)備，UTM在一個(gè)通用的平臺上提供多種安全功能。一個(gè)典型的UTM產(chǎn)品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能，而用戶既可以選擇具備全面功能的UTM設(shè)備，也可以根據(jù)自己的需要選擇某幾個(gè)方面的功能。更加可貴的是，用戶可以隨時(shí)在這個(gè)平臺上增加或調(diào)整安全功能。

　　UTM技術(shù)可以進(jìn)行改良的信息包檢查，識別應(yīng)用層信息，命令入侵檢測和阻斷，蠕蟲病毒防護(hù)以及高級的數(shù)據(jù)包驗(yàn)證機(jī)制。這些特性和技術(shù)使得IT管理人員可以很容易地控制如Instant Message信息傳輸，BT多線程動態(tài)應(yīng)用下載，Skype等新型軟件的應(yīng)用，并且阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。同時(shí)，設(shè)備可以支持動態(tài)的行為特征庫更新，更具備7層的數(shù)據(jù)包檢測能力。完全克服了目前市場上深度包檢測的技術(shù)弱點(diǎn)。特別針對分包攻擊的內(nèi)容效果明顯。但UTM技術(shù)必須要有強(qiáng)大的硬件平臺支撐，否則，難以適應(yīng)當(dāng)前的網(wǎng)絡(luò)性能要求。

　　UTM的應(yīng)用優(yōu)勢在于：

　　◆降低安全管理復(fù)雜度

　　◆集成的維護(hù)平臺

　　◆單一服務(wù)體系結(jié)構(gòu)

　　◆集中的安全日志管理

　　◆組合式的安全保護(hù)

　　◆應(yīng)用的靈活性

　　◆良好的可擴(kuò)展性

　　◆進(jìn)一步降低成本

　　UTM設(shè)備可以減少與安全功能相關(guān)的采集，安裝，管理支出，確保企業(yè)網(wǎng)絡(luò)的連續(xù)性，和可用性，為目前流行的安全威脅提供有效的防御。