中小企业网络安全解决方案范例6篇

前言：中文期刊网精心挑选了中小企业网络安全解决方案范文供你参考和学习，希望我们的参考范文能激发你的文章创作灵感，欢迎阅读。

中小企业网络安全解决方案范文1

卡巴斯基开放空间安全解决方案是为不同规模的企业网络设计的，可跨越办公空间的限制，为远程及移动用户提供一个完整的解决方案。在沟通日益自由和开放的今天，卡巴斯基开放空间安全解决方案能够为用户提供周全的保护，包括防御病毒、黑客、间谍软件和垃圾邮件等的攻击。

如果企业已经采取了某些安全防护措施，如用于网关保护、邮件保护的硬件产品，这种情况下，是否还需要该解决方案？如果需要，会不会因为功能重复而造成浪费？该解决方案会不会对网关性能造成影响？

对此，高 玮表示，卡巴斯基开放空间安全解决方案是一个整体的网络安全解决方案，它具有很强的灵活性和适应性。用户如果已经使用了网关保护或邮件保护等产品，开放空间安全解决方案仍适合他们，用户只需要根据自己的需要来选择相应的子方案就可以了，不会降低网关性能，甚至在一定程度上，还可提升网关性能。

卡巴斯基开放空间安全解决方案保护范围可涵盖各种网络结构。根据不同的网络状况，可提供四种安全保护子方案(如图所示)。其中卡巴斯基整体空间安全解决方案的功能最为完备，它包括卡巴斯基手机版、反病毒Windows工作站、反病毒Linux工作站、反病毒Windows服务器、反病毒Linux文件服务器、反病毒Novell Netware、反病毒Samba服务器、反病毒Microsoft Exchange、反病毒Linux邮件服务器、反病毒Lotus/Domino、邮件网关、反垃圾邮件、反病毒Check Point FireWall-1、反病毒Microsoft ISA Server、反病毒服务器、管理工具等组件。它能够为各种规模、复杂程度不同的企业网络提供全面的安全保护，对所有进出网络节点的数据进行全面控制，以抵御各种类型的网络攻击。

对于卡巴斯基开放空间安全解决方案的分级标准和升级问题，高 玮是这样解释的：卡巴斯基是按照需求分级的。比如，大部分的中小企业只对工作站和文件服务器有保护的需求，卡巴斯基就可为这些用户提供保护工作站和文件服务器的中小企业空间安全解决方案。如果某些中小企业还需要更进一步的保护，它可以选择更高级别的解决方案。

中小企业网络安全解决方案范文2

关键词：信息化信息安全网络安全

根据国家统计局年初公布的数字显示，国内企业总体的99％都是中小企业，他们贡献了超过一半的国内GDP。但截止到目前，这些中小企业的信息化水平仍然比较落后，其中针对信息安全的投人，更是凤毛麟角。

对于国内占大多数的中小企业来说，如何在充分利用信息化优势的同时，更好地保护自身的信息资产，已经成为一个严峻的挑战。特别是近两年来，网络上的病毒、攻击事件频发，信息安全问题正在日益成为中小企业信息化进程中的难题。

一、什么是信息安全

信息是一种资产，与其它重要的资产一样，它对一个组织而言具有一定的价值，因此需要适当的加以保护，而信息又可以以多种形式存在。如可以打印或者写在纸上，以数字化的方式存储，通过邮局邮寄或电子手段发送，表现在胶片上或以谈话的方式说出来。总之，信息无论以什么形式存在，以什么方式存储、传输或共享，都应得到恰当的保护。

所谓信息安全是指信息具有如下特征：

安全性：确保信息仅可让授权获取的人士访问；完整性：保护信息和处理方法的准确和完善；可用性：确保授权人需要时可以获取信息和相应的资产。

信息安全是指使信息避免一系列威胁，保障商务的连续性，最大限度地减少业务的损失，从而最大限度地获取投资和商务的回报。它主要涉及到信息传输的安全、信息存储的安全、以及网络传输信息内容的审计三个方面，它可以通过实施一整套恰当的措施来获得。但目前我国的信息安全令人堪忧，随着政府上网和企业信息化的推进，越来越多的企业的日常业务已经无法脱离网络和信息技术的支持，那么我国中小企业的信息安全现状如何呢?

二、我国企业信息安全的现状

（一）企业的重视程度

随着信息化的加快，企业信息安全越来越受到重视，而我国的中小企业信息安全现阶段正处于初级阶段。在推进企业信息化的进程中，有些中小企业对于信息化概念的认识远远不够，它们认为购置几台电脑放到公司，日常用来打打字，将单个机器连结到网上企业就信息化了，远远没有认识到信息技术给企业所能带来的巨大的变化，对于网络安全更是没有意识。

据调查，目前国内90％的网站存在安全问题，其主要原因是企业管理者缺少或没有安全意识。某些企业网络管理员甚至认为其公司规模较小，不会成为黑客的攻击目标。如此态度，网络安全更是无从谈起。

（二）资金、技术、人员方面情况

已建立了企业内部信息化平台的企业，由于资金、技术等方面的原因，还没有把重点放到网络安全管理上，尤其是中小企业的安全问题一直隐患重重。

据了解，许多中小企业没有专门的网络管理员，一般采用兼职管理方式，这使中小企业的网络管理在安全性方面存在严重的漏洞，与大型企业相比，它们更容易受到网络病毒的侵害，损失也比较严重。

根据IDC对年我国政府、企业用户的信息安全状况分析，约有34．8％的企业因内部雇员的行为(包括对内部资源的不合理使用和对内部数据缺乏有效保护)而造成企业出现安全问题。

（三）网络维护、运行、升级方面的情况

在网络的维护、运行、升级等事务性工作方面，由于工作繁重而且成本较高，一些善于精打细算的中小企业在防范黑客及病毒方面舍不得投入，据相关调查数据资料统计，国内七成以上的中小企业，一是缺乏基本的企业防毒知识，购买一些单机版防毒产品来防护整个企业网络的安全。二是采购了并不适合自身网络系统的企业防毒产品，因此留下许多安全隐患。三是技术力量薄弱，虽然部署了企业防毒产品，但是这些产品操作难度大、使用复杂，最终导致很难全面发挥效用，甚至成了摆设，这样一来企业内部网络就根本没有什么安全而言。

三、如何保证我国中小企业的信息安全

（一）从企业的自身情况考虑

要解决中小企业网络信息安全问题，不能仅依靠企业的安全设施和网络安全产品，而应该考虑如何提高企业自身的网络安全意识，将信息安全问题提升到重视的高度，要重视“人”的因素。具体表现在以下两个方面：

1．提高安全认识

定期对企业员工进行网络安全教育培训深化企业的全员信息安全意识，企业管理层要制定完整的信息安全策略并贯彻执行，对安全问题要做到预先考虑和防备。

2．要求中小企业在上网的过程中要做到“一做三不要”

（1）将存有重要数据的电脑坚决同网络隔离，同时设置开机密码，并将软驱、硬盘加密锁定，进行三级保护。

（2）不要在自己的系统之内使用任何具有记忆命令的程序，因为这些程序不但能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切。

（3）不在网上的任何场合下随意透露自己企业的任何安全信息。

（4）不要启动系统资源共享功能，最后要尽量减少企业资源暴露在外部网上的机会和次数，减少黑客进攻的机会。

（二）从网络安全角度考虑

1．从网络安全服务商的角度来说，服务商要重视中小企业对网络安全解决方案的需要，充分考虑中小企业的现实状况，仔细调查和分析中小企业的安全因素，开发出适合中小企业实际情况的网络安全综合解决方案。此外，还应该注意投入大量精力在安全策略的施行及安全教育的开展方面，这样才能为中小企业信息安全工作的顺利开展提供坚实的保证。

2．要用防火墙将企业的局域网(Intranet)与互联网之间进行隔离。由于网络攻击不断升级，对应的防火墙软件也应该及时跟着升级，这样就要求我们企业的网管人员要经常到有关网站上下载最新的补丁程序，以便进行网络维护，同时经常扫描整个内部网络，以发现任何安全隐患并及时更改，才能做到有备无患。

3．企业用户最好自己学会如何调试和管理自己的局域网系统，不要经常请别人来协助管理。中小企业要培养自己解决安全问题的能力，提高自己的信息安全技术。如果缺乏这方面的人才就应该去引进或者培养相关人才。

4．内部网络系统的密码要定期修改。

由于许多黑客利用穷举法来破解密码，像John这一类的密码破解程序可从因特网上免费下载，只要加上一个足够大的字典在足够快的机器上没日没夜地运行，就可以获得需要的账号及密码，因此，经常修改密码对付这种盗用就显得十分奏效。当然，设定密码也有很深的学问，只有随意性强、有足够的长度并及时更新的密码才能算是比较安全的密码。

5．要经常使用杀毒软件来维护局域网系统不受病毒攻击。现在国内的杀毒软件都推出了清除某些特洛伊木马的功能，可以不定期地在脱机的情况下进行检查和清除。另外，有的杀毒软件还提供网络实时监控功能，这一功能可以在黑客从远端执行用户机器上的文件时，提供报警或让执行失败，使黑客向用户机器上载可执行文件后无法正确执行，从而避免了进一步的损失。

6．同其它企业进行联合，共同抵制黑客的入侵，一旦被入侵要及时向有关部门汇报，并共同查找入侵来源，锁定黑客IP地址。将网络的TCP起时限制在15分钟以内，减少黑客入侵的机会。并扩大连接表，增加黑客填写整个连接表的难度。

四、结束语

中小企业网络安全解决方案范文3

此前，勒索软件侵害的对象主要是一些有充裕资金的企业，但近期形势发生了一些变化，中小企业、个人也都成为受灾群体。随着智能移动端设备的广泛使用，勒索软件感染的途径更加多样化，并且已经从传统的PC端逐渐蔓延到手机端。在同一个商业网络中，通过被勒索软件感染的手机也有可能对网络中其他设备造成不良影响，网络中其他设备也可能遭受勒索软件感染。

大型企业或机构中可能有一些专职IT管理人员会处理被勒索软件感染的设备，但任何一位IT管理人员都不愿企业或机构的数百台设备遭受勒索软件感染。勒索软件感染会致使关键系统处于离线状态，以至于企业或机构的全部运营活动都处于危险境地。很多安全解决方案提供商对此做出分析，运用新技术，推出了一些安全防御解决方案，并且提出了一些可行的安全防御建议，供大众参考。

持续跟踪分析

在近期的一些勒索事件中，尽管大多数的勒索软件犯罪组织并没有特定的攻击目标，但是，赛门铁克的安全团队发现，一部分犯罪组织已经将攻击目标转向特定企业，试图通过破坏企业的整体运营以获得巨额赎金。在今年年初，一家大型企业所遭受的精心策划的勒索软件攻击事件正是犯罪组织针对特定企业发起攻击的典型案例。在此类针对企业的攻击中，攻击者像网络间谍一样拥有高级专业知识，能够利用包含软件漏洞和合法软件的攻击工具包侵入企业网络。勒索软件攻击者与网络间谍之间并无区别，他们都是利用服务器上尚未修补的漏洞，在企业网络中获得立足点。通过使用多种公开的黑客工具，网络攻击者能够看到企业的网络结构，并使用未知的勒索软件变种尽可能多地感染企业内的计算机。

此前，卡巴斯基也对勒索攻击事件进行过持续的跟踪分析。卡巴斯基发现，这种勒索软件感染事件并非仅出现在局部地区，而是全球性的。因此，卡巴斯基提出了打击勒索软件的倡议，表示“打击这种全球威胁需要国际间合作”。

不断爆发的勒索软件攻击对企业造成了相当严重的影响，所幸企业的关键系统和大部分被勒索软件加密的数据可以通过备份恢复过来。未来，我们可能会看到更多针对资金雄厚的企业发起的勒索软件攻击，以索要巨额赎金。

令人担忧的趋势

赛门铁克最新的《勒索软件与企业2016》调查报告中指出，勒索软件已经成为当今企业和消费者面临的最大网络安全威胁之一。在2015 年，赛门铁克共发现100种新型勒索软件，创下历史新高。在被发现的新型勒索软件中，大多数为更危险的“加密勒索软件”，这类恶意软件可以通过强效加密锁定目标的文件。

无独有偶，卡巴斯基也发现，最近几年，勒索软件正在成为一个非常严重的问题。欧盟执法机关将其视为一种头号威胁，约三分之二的欧盟成员国正在对这种形式的恶意软件攻击进行调查。

同2014年4月至2015年3月这段时间相比，在2015年4月至2016年3月遭遇所有类型勒索软件攻击的用户总数增长了17.7%，全球受攻击用户从196.7784万个增长到231.5931万个；遭遇加密勒索软件攻击的用户数量增长了5.5倍，从2014年―2015年的13.1111万个增加到2015年―2016年的71.8536万个；至少遭遇一次勒索软件攻击的用户占所有遭遇恶意软件攻击的用户总数的比例增长了0.7个百分点，从2014年―2015年的3.63%增长到2015年―2016年的4.34%；遭遇加密勒索软件的用户占所有遭遇勒索软件攻击的用户数量比例显著上升，上升了25个百分点，从2014年―2015年的6.6%上升到2015年―2016年间的31.6%；遭遇锁定软件（锁定用户屏幕的勒索软件）的用户数量下降了13.03%，从2014年―2015年的183.6673万个减少到2015年―2016年间的159.7395万个；德国、意大利和美国的用户遭遇加密勒索软件的比例最高。

再来看一看遭受勒索软件感染后，用户交付赎金的数额变化情况。赛门铁克的《勒索软件与企业2016》报告中指出，从2015年年末至今，勒索软件的平均赎金增长超过2倍，从294美元增长至679美元。2016年，一种名为7ev3n-HONE$T的恶意软件（Trojan.Cryptolocker.AD）要求每台计算机支付13个比特币的赎金，换算约为5083美元（根据发现的时间），成为最高的勒索金额。

勒索软件的影响范围

根据赛门铁克的调查报告，美国成为感染勒索软件最严重的国家，占全球的28%。排名前十的国家还包括加拿大、澳大利亚、印度、日本、意大利、英国、德国、荷兰和马来西亚。现在，个人消费者仍然是勒索软件的主要攻击目标（57%）。但长期趋势表明，以企业为攻击目标的勒索软件攻击次数正在缓慢且稳步地增长。

或许有人会提出这样的问题，为什么目前勒索软件的主要攻击目标会有57%是个人用户，而非企业用户，攻击这些目标群体真会获得很多利润吗？企业对于自身信息应该更为看重，更应该愿意支付赎金，攻击它们应该比攻击个人用户更有利可图。赛门铁克公司大中华区首席运营官罗少辉表示，不同的黑客发动攻击时，所选择的目标不尽相同。有些黑客仅针对个人用户进行攻击，因为个人用户的安全意识比较低、防护措施也比较薄弱，黑客通过简单的勒索软件就能够轻易地实施攻击。同时，由于黑客对个人用户的勒索金额较小，个人用户为了尽快获得密钥会更加倾向于支付赎金。所以，现在的勒索软件攻击的对象大部分针对个人用户。

而针对企业的攻击，由于攻击规模相对较大，因此黑客需要采用一些专业攻击工具，花费较多的时间，因此黑客索要的赎金也是相当可观的。“我认为，正是由于勒索软件针对企业的攻击数量上升，企业才会更加关注安全防护，逐步增强安全防御措施。”罗少辉补充道。

赛门铁克的《勒索软件与企业2016》调查报告还指出，当前受勒索软件影响较大的行业为服务业（38%）、制造业（17%）、金融、保险和房地产业（10%），以及公共管理（10%）。

过去，黑客攻击的主要方式是通过电子邮件进行传播。但如今，黑客通常不再使用单一手法进行攻击，黑客也会在同一时间，利用电子邮件、社交媒体和短信等多种不同方式队攻击目标。此外，勒索软件会出现很多变种。因此，即便用户对电子邮件保持谨慎，也有可能通过其他途径感染勒索软件。正是由于黑客的攻击方式更加多样化，赛门铁克对勒索软件的攻击模式和途径进行统一分析与整理还存在一定困难，无法全面对其梳理，绘制一个全面的图表。

以邮件和URL传播为主

由于勒索软件可以通过多种途径来传播，因此基于单一层面的防护机制都无法有效防范勒索软件。亚信安全的勒索软件风险研究报告同样显示，在综合部署电子邮件、URL、文件等多层防护机制之后，在防护边界对于勒索软件的检测率可以达到99%。

亚信安全技术总经理蔡N钦指出：“勒索软件作者会不断改变程序代码来绕过过滤程序，并且尝试通过电子邮件、URL链接、文件等多种方式来入侵网络。同样，黑客也开始将恶意软件目标放到服务器基础设施上，与最近攻击医疗行业的‘SAMSAM’雷同，它们无需与 C&C 服务器联系也能加密档案。简言之，并没有万灵丹来防止这类网络威胁，企业用户需要尽可能地降低风险，并通过多层防护机制来进行检查和拦截。”

从亚信安全7月的《勒索软件风险研究报告》中还可以发现，在过去的10个月中，勒索软件主要是通过电子邮件、URL、文件这三种方式进行传播。其中，通过电子邮件传播的勒索软件数量出现了较为显著的增长，占比从不足5%增长到46%，仅次于通过URL传播的比例（52%）。

据亚信安全病毒监测实验室分析：电子邮件与URL是勒索软件传播者尤为喜欢的两种传播途径，主要是因为这两种方式简单有效，通过大规模群发的方式，不仅能够降低传播成本，还便于利用社交工程攻击的方式来吸引更多人点击。而且，这两种方式要比很多人想象的更有效果，因为黑客会利用漏洞攻击套件（Exploit Kit）攻击操作系统及应用程序的漏洞，若用户电脑没有更新补丁，只是浏览一般网页就可能会被勒索软件感染。

对此，赛门铁克也提出了几条建议：

1. 新型勒索软件变体会定期更新，赛门铁克建议用户及时更新安全防护软件，确保防御能力。

2. 软件更新通常包含最新发现的可被勒索软件利用的安全漏洞补丁，用户应该及时更新操作系统和其它应用软件。

3. 电子邮件是感染勒索软件的主要途径之一。赛门铁克建议用户及时删除所收到的任何可疑邮件，特别是包含链接或附件的邮件。

4. 谨慎对待任何建议启用宏查看内容的Microsoft Office电子邮件附件。若无法确定电子邮件的来源是否可信，不要启用宏并立即删除该邮件。

5. 应对勒索软件攻击的最有效方式是对重要数据进行备份。攻击者通过对重要文件进行加密，使受害者无法访问。如果受害者拥有备份副本，可以在清除感染后立刻恢复文件。

与此类似，卡巴斯基也提出了一些安全解决方案和建议：

1. 必须进行数据备份。越早地将备份当作是日常使用计算机时必须做的事，能够越早地对各种类型的勒索软件免疫。这与赛门铁克给出的第五条建议类似。

2. 使用一款可靠的安全解决方案。使用安全解决方案时，不要将高级安全功能关闭。通常，这些高级功能能够基于程序的行为检测最新的勒索软件。

3. 保持计算机上的软件更新。大多数常用的应用程序（Flash、Java、Chrome、Firefox、Internet Explorer、Microsoft Office）和操作系统（例如Windows）都具有自动更新功能。保持自动更新功能开启，不要忽略这些应用程序安装更新的请求。

4. 当心自己从互联网上下载的文件，以及通过电子邮件收到的文件。尤其是来自不受信任来源的文件。换句话说，如果你想要下载的是一个mp3文件，但是却得到了一个扩展名为.exe的文件，那这个文件绝对不是音频文件，而是一个恶意软件。要确保下载的内容没有问题，最好的办法是检查其扩展名是否正确，同时要确保其能够通过反病毒解决方案的扫描。

5. 如果某些原因导致你的文件被勒索软件加密，并且要求你支付赎金，请不要支付。你付给网络罪犯的每一分钱都会增强他们利用这种网络犯罪形式获利的信心，而这些钱会被用来制造新的勒索软件。

同时，很多安全解决方案提供商，每天都在为对抗勒索软件这种威胁努力工作。有时候，安全解决方案提供商开发出一些针对某些特定勒索软件的解密工具，并且通过同执法机关合作，它们可以获取到特定恶意软件家族的加密密匙，可用帮助遭受勒索软件加密的用户来解密被加密的文件。最后一点，制造、传播，以及索要赎金解密文件等行为，在全球大多数国家都属于犯罪行为。如果遭遇攻击，请向警方报案，以便开始调查。

健全防御机制

当企业中的一台电脑（或智能设备）感染了勒索软件后，如果员工将其接入其他商业或者家庭网络中，是否意味着采用该网络的相关设备也会陷入勒索软件的威胁之中？对此，罗少辉表示：“部分勒索软件会经由感染的终端扩散传染至局域网和互联网上的其他设备，这主要由勒索软件的具体行为决定。尽管无法完全确定这种情况的发生，但采用该网络的其他电脑或者智能设备陷入勒索软件的威胁的可能性非常高。部分勒索软件自身会在感染用户电脑后进行扩散，从而使相连设备感染病毒，以此达到勒索更多赎金的目的。赛门铁克建议，当发现一台终端感染勒索软件后，立刻将该终端与网络隔离，减少大范围感染的几率。”

在中国“互联网+”时代背景下，每个企业的发展都与互联网息息相关，每个企业都参与云计算或者享受着云服务。随着云应用的增长，云安全也变得尤为重要。近日，赛门铁克公司宣布与北京神州云科信息服务有限公司（以下简称云科）开启全面合作，共同打造企业云安全管理服务平台，应对中国市场不断激增的云和信息安全需求。

如今的安全防护已经从终端防御过渡到云端防御，赛门铁克是否有更好的架构或技术，能够从云端或者源头防控勒索软件等安全威胁呢？笔者就此询问了赛门铁克公司大中华区总裁威，他表示：“由于客户的规模不同，因此采取安全防护的方法也有所不同。许多机关单位、金融机构，或者大型企业，平时十分重视对于终端安全的维护，也会配备安全设备和人员进行全方位安全防护。”威补充道：“许多中小型用户，在IT方面的金钱和人员投入相对较少，一旦遇到恶意程序入侵或发现漏洞，很难及时实现终端防护。因此，中小型企业便可以将终端安全防御放在云上，借助云供应商的服务实现终端防护。云科拥有专业的安全团队，能够在云端为中小型企业提供安全服务，并对相关安全策略进行调优，以此来为中小企业提供更好的安全保障。如今，黑客攻击的手段不断更新，对于中小企业来讲，如果仅依靠一到两位安全人员进行安全管理，防护的效果较弱，也更容易受到黑客的攻击。因此，云安全服务能够为中小企业提供较为完善的安全保障，去弥补中小企业IT投入不足的问题。”

在防御策略上，很多安全解决方案提供商都认为要构建多层防御机制。赛门铁克的安全产品及解决方案采取多层防护，能够最大限度地降低勒索软件的感染率。亚信安全提醒企业用户，要将勒索软件治理摆在更重要的位置，并在电子邮件与网页、终端、网络、服务器等多个层面搭建完整的多层防护机制，以保护企业信息资产的安全不受侵犯。

赛门铁克所提供的综合策略能够在三个阶段抵御勒索软件的入侵：

1. 预防：电子邮件安全、入侵防御、下载洞察、浏览器保护、主动防御漏洞攻击（PEP）。

2. 控制：基于签名的高级反病毒引擎和具有机器学习的启发式技术，例如SONAR和Sapient。

3. 响应：专门的事件响应小组可以协助企业应对勒索软件攻击并进行恢复。

亚信安全建议用户从以下几个维度入手，构建深层次的防御体系：

1. 文件：企业最好采取3―2―1规则，对重要文件进行备份，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。此外，亚信安全还推出了针对勒索软件加密文件的解密工具，可以有效应对CryptXXX、TeslaCrypt、SNSLocker、AutoLocky等流行的勒索软件及其变种的加密行为。

2. 电子邮件和网页：部署涵盖恶意软件扫描和文件风险评估、沙箱恶意软件分析技术、文件漏洞攻击码侦测、网页信誉评估技术在内的防护技术，侦测并封堵通过电子邮件和网页进行攻击的勒索软件。

3. 终端：少部分勒索软件可能会绕过网络/电子邮件防护，这也是为什么终端安全防护十分重要的原因，终端防毒系统可以监视可疑行为、配置应用程序白名单和使用弱点防护来防止未经修补的漏洞被勒索软件利用。亚信安全防毒墙网络版（OfficeScan）的Aegis行为检测功能可以检测部分的勒索软件加密行为，并能够对未知勒索软件的防御起到积极作用。

4. 网络：勒索软件也可能通过其他网络协议进入企业网络进行散播，因此，企业最好部署能够对所有网络流量、端口和协议进行高级侦测的网络安全防护系统，来阻止其渗透和蔓延。

5. 服务器：通过虚拟补丁防护方案，来确保任何尚未修补漏洞的服务器，有效防范“零日攻击”。

6. 网关：在网关层面进行有效拦截，是企业最经济的防御体系。亚信安全深度威胁安全网关Deep Edge具有极其简洁的部署和管理方式，但却包含了最重要的勒索软件攻击抑制能力。其拥有专门针对加密勒索软件、C&C违规外联及可疑高级恶意程序的监控窗口，还改进了和亚信安全深度威胁发现设备（TDA）及亚信安全深度威胁分析设备（DDAN）的产品联动，能够通过侦测、分析和拦截功能的融合，建立针对加密勒索软件攻击路径的有效“抑制点”。

支付赎金与部署安全防御措施的性价比探讨

从攻防成本的角度来说，中小企业受到恶意攻击后，再采取的相应安全防护措施所造成的成本，远比赎金价格更高。在这种成本压力之下，很多中小企业都会选择支付赎金。对中小企业而言，采用整套安全解决方案的成本会不会太高？威认为：“攻击者选择攻击目标与实施攻击的难易程度及赎金回报率有关。因此，许多黑客会选择更高级的攻击手段去攻击大型企业，以得到更高的赎金。”

中小企业网络安全解决方案范文4

IM和P2P沦为黑客攻击管道

从终端来看，垃圾邮件，蠕虫病毒，间谍软件，针对即时通讯和P2P应用安全事件正成为终端安全隐患的主要来源。

FaceTime通讯公司最新的调查报告说，微软的MSN网络仍然是被攻击得最多的即时通讯网络，2004年和2005年都是如此，而被攻击数量下降得最快的网络是美国在线的AIM 网络。即时通讯威胁对于企业的IT人员来说是一种非常大的挑战，因为它们利用了实时通讯的管道以及全球各地的即时通讯网络进行繁殖，它们的传播速度比电子邮件攻击快很多。

根据披露，2005年11月有一个国际黑客组织已经利用即时通讯软件病毒控制了1.7万台个人电脑组成僵尸网络为商业目的攻击行为做准备。

我们也已知道，即时消息和P2P 应用在带来方便性、实时性、新业务商机的同时，也给最终用户、企业网络和电信网络带来多方位的安全威胁。通常来说，这些安全威胁包括：边界安全措施失效；难以控制文件数据的共享和流动，带来病毒、木马、蠕虫等；容易导致知识产权损失、泄密等；由于大量使用非标准、不公开协议，使用动态、随即、非固定的端口；难以检测、过滤和管理；隐藏于HTTP管道中的各种潜在的隐秘通道。

我们也可以看到在复杂的网络环境下一些有代表性的P2P网络安全产品，提供基于包过滤特性提供针对P2P传输的防护，在保障安全的同时还可阻止并记录国际上几乎所有的P2P封杀机构(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)对计算机进行探测连接，从而避免隐私外泄，可以自动下载最新的屏蔽列表来屏蔽各种广告、间谍软件及研究机构对机器的扫描。

目前业界一些致力于IM/P2P的专业厂商也推出了针对保护用户免受IM与P2P的安全威胁，将检测和分析通过IM传播的病毒与蠕虫、通过IM发送的垃圾邮件“SPIM”、恶意代码等的整体方案。

针对IM的安全管理，比如IM监控，P2P的监控等，正在成为网关级防御，针对IM和P2P，垃圾邮件监控、管理和控制等等需求和话题正在不断催生出相关应用的针对性安全解决方案。

UTM：潮流趋势所至

在企业级领域，由于信息基础设施的不断增加和应用的不断扩展，企业公共出口的网络安全基础设施的布局已经发展到一定阶段，随着纵深防御概念逐渐深入，威胁已经从外部转向内部。从产品来看，UTM（一体化的威胁管理）正在成为新的增长点。在混合攻击肆虐的时代，单一功能的防火墙远不能满足业务的需要，而对于集成多种安全功能的UTM设备来说，以其基于应用协议层防御、超低误报率检测、高可靠高性能平台、统一组件化管理的优势将得到越来越多的青睐。

由于UTM设备是串联接入的安全设备，因此UTM设备本身的性能和可靠性要求非常高，同时，UTM时代的产品形态，实际上是结合了原有的多种产品、技术精华，在统一的产品管理平台下，集成防火墙、VPN、网关防病毒、IPS、防拒绝服务攻击等众多产品功能于一体，实现多种的防御功能。

鉴此，安全厂商与网络厂商合作，共同开发和研制UTM设备将是今后发展的必然趋势。

威胁由外转内

对于内网安全，已经进入到内网合规性管理的阶段。目前，内网安全的需求有两大趋势，一是终端的合规性管理，即终端安全策略、文件策略和系统补丁的统一管理；二是内网的业务行为审计，即从传统的安全审计或网络审计，向对业务行为审计的发展，这两个方面都是非常重要的。

从现状来看，根据美国洋基集团（Yankee Group）一项针对北美和西欧六百家公司的调查显示，2005年的安全问题有六成源自内部，高于前一年的四成。该集团表示：“威胁已从外部转向内部”。每年企业界动辄投资上千万防毒防黑，但企业防御失效的另一个容易被忽略的问题是：来自员工、厂商或其它合法使用系统者的内部滥用。在漏洞攻击愈来愈快速的今日，有可能因为一个访客携入的计算机而瘫痪几千万IT设备。

中小企业面临的三大安全威胁是病毒攻击、垃圾邮件、网络攻击，因而有很多厂商推出了针对中小企业的集成式套装产品。对内网终端设备的管理，通过基于网络的控制台使管理员能够从产品分发、运行监控、组件升级、配置修改、统一杀毒、应急响应等全过程，实施集中式的管理，强制部署的安全策略，有助于避免企业用户无心过错导致的安全漏洞。而新型病毒与黑客技术结合得越来越紧密，与此相对应，防病毒软件与防火墙、IDS等技术配合得越来越紧密。只有多种技术相互补充配合，才可以有效对付混合威胁。

大型企业有一定的信息化基础，对于内网安全来说，企业用户需要实施整体的安全管理策略。 内网安全管理系统需要将安全网管、内网审计与内网监控有机地结合在一起，以解决企业内部专用网络的安全管理、安全控制和行为监视为目标，采用主动的安全管理和安全控制的方式。将内部网络的安全隐患以技术的手段进行有效的控制，全面保护网络、系统、应用和数据。运用多种技术手段，从源头上阻止了敏感信息泄漏事件的发生。

对于大型企业来说，选用的产品需要能够自动发现关键业务资产，并确定威胁企业IT环境完整性的安全漏洞。通过采集实时的技术库，并且将它们与基于风险的任务列表（带有补救指导）中已验证的漏洞相关联，并且帮助企业确定哪些漏洞将影响哪些资产。最终为企业提供一份即时的关于关键性业务资产的风险评估。对于企业内网来说，行之有效的安全管理是各种规模企业所企盼的，固若金汤的城池，往往在内部安全威胁面前形同虚设。“内忧”胜于“外患”，企业不仅需要铸造抵抗外部风险的纵深防御体系，同样需要着重管理，打造安全和谐的内部环境。

中小企业网络安全解决方案范文5

这些案例表明,近年来,大规模的DDoS攻击呈上升趋势,其影响也越来越恶劣。有数据表明,2008年,中国DDoS攻击的峰值流量甚至达到了40Gps,这是一个省级运营商40%的带宽,客户访问失败、服务质量受损,网络服务商从信誉到金钱都遭受到了巨大损失。那么,有没有技术方案可以彻底解决这一难题呢?

2009年7月的一个下午,在“绿色网吧”门口,有大批的游戏玩家骂骂咧咧地从网吧走出来,网管随即在门口挂出了“停止营业”的牌子。“又是这样,玩着玩着突然掉线,重新登录服务器完全没反应。一个月内这样的情况已经发生第三次了,解决不了就别做了,关门得了。”一个刚从网吧走出来的男生嘴里絮叨着,他把手里的烟顺手丢在了地上,狠狠地踩了两脚。

“没办法啊,我们已经装了防火墙,也做了专门的网络维护,该做的我们都尽可能做了,黑客的攻击防不胜防,我们对这些攻击真是束手无策了。”网吧老板显得很无奈。

其实,“绿色网吧”是遭受到了一轮DDoS攻击,网速变得极慢,玩家根本无法正常上网。虽然最后并没能查到究竟是谁组织的这次攻击,但网吧老板怀疑是相距不远的另一家网吧采取的一种恶性竞争手段。

“低投高收” 的“洪水式攻击”

最近几年,随着互联网的快速发展,上网人群日益增多,DDoS攻击似乎又开始呈现出大规模爆发的趋势。东软网络安全产品营销中心产品经理姚伟栋给出了这样一组数据:在2006年,国内DDoS攻击峰值流量只有2.5Gps,2007年达到了24Gps,2008年则达到了40Gps,每年在以两倍以上的速度增长。“国内一个省级电信运营商的出口带宽是100Gps,DDoS攻击流量占据了整体流量的40%,这相当惊人。”他说。2009年8月,Twitter、Facebook和YouTube账户也遭到阻断服务攻击。有报告指出,目前数百万企业应用正面临DDoS攻击的威胁。

那么,发动DDoS攻击的人究竟是什么目的?他们是如何发动的?真的如某些人所说,DDoS攻击是互联网上的顽疾,很难防御吗?为了弄清楚这些问题,记者走访了几家业内知名的信息安全厂商。

“发起DDoS攻击,大多数是为了恶性竞争。比如,网吧为了争夺顾客资源,有时会采取一些恶意攻击方法,造成被攻击网吧网络瘫痪而无法正常运营,并对网吧经营主造成直接经济损失。” 北京神州绿盟科技有限公司产品市场经理崔云鹏告诉记者。“最开始是黑客对某个企业发动攻击,然后进行敲诈勒索; 后来演变成了某些企业花钱聘用这些黑客向另一个竞争对手发起攻击,窃取商业机密或是使得对方网络瘫痪无法正常工作。”

记者了解到,黑客们发动DDoS攻击时需要找很多的“肉鸡”组成一个僵尸网络,通过操纵僵尸网络,让所有的“肉鸡”一起向目标发起攻击,并向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。因此,拒绝服务攻击又被称之为“洪水式攻击”。

姚伟栋认为,除了商业恶意竞争催生DDoS攻击的快速发展外,另一个刺激因素是攻击的成本越来越低,而收益却越来越高。以每台“肉鸡”贡献1Mps流量计算,1000台“肉鸡”就可以达到1Gps,一次流量1Gps、时间一小时的攻击目前圈内可以接受的最低行内价只需要2000元到3000元,实际攻击成本比这个市价要低得多,只有一些高级攻击费用相对高些,但与收益比起来还是显得微不足道。

“比如,在网络上,买一个‘肉鸡’只需要0.8元人民币,一个1万台‘肉鸡’组成的僵尸网络,只需要8000元钱,形成的DDoS攻击流量可达10Gps,而据此获得的商业收益,却可能达到上亿元。” 姚伟栋介绍说。据了解,现在有些黑客利用漏洞入侵大型知名游戏网络来刷数据库、盗刷账号等级和道具,一次便可获利上百万元。

防御追查困难重重

DDoS攻击发动起来简单,预防起来却是非常困难,这也是DDoS攻击被称为互联网“肿瘤”的一个重要原因。

到目前为止,对DDoS攻击的防御还是非常困难的。“最重要的原因是,这种攻击的特点是利用了TCP/IP协议的漏洞,除非你不用TCP/IP协议,才有可能完全抵御住DDoS攻击。”安徽中新软件有限公司企业发展部总监徐航解释了DDoS攻击的防御难题。

“黑客们很巧妙地利用了TCP协议的三次握手,DDoS攻击让TCP三次握手中的第三步不能完成,也就是说,不发送确认连接信息给服务器。” 姚伟栋说。这样,服务器就无法完成第三次握手,但服务器不会立即放弃,而是会不停地重试并等待一定时间后才放弃这个未完成的连接,这段时间一般会持续大约30秒到两分钟。如果一个用户在连接时出现问题导致服务器的一个线程等待一两分钟并不是什么大不了的问题,但是如果有人用特殊的软件大量模拟这种情况,那后果就可想而知了。如果服务器一直在处理这些大量的半连接信息而消耗了大量的系统资源和网络带宽,其就不可能再有空去处理普通用户的正常请求了,这时服务器也就无法正常工作了。

一般来说,常见的防火墙、入侵检测设备、路由器等网络设备,对于DDoS攻击虽然有一定的防范作用,但一旦遭遇到有组织的大规模攻击,往往都无能为力。而且由于在设计上的缺陷,在面临大量攻击的情况下,这些设备反而很容易最先瘫痪。至于退让策略或是系统优化等方法也只能应付小规模DDoS攻击,对大规模DDoS攻击还是无法提供有效防护。

此外,黑客虽然也知道发动DDoS攻击是犯法行为,但因为追查的困难性,让黑客们来势汹汹。崔云鹏介绍,在网站遭受袭击过后,通过网络溯源查找幕后黑手是一大难题。通常,黑客们会建立很多个僵尸网络,很可能在国内有几个,在国外有几个,这是一种跳跃式的分布,一下子从国内跳到国外,然后又再跳回来。即使一层一层查下去,想要查到最上一层的僵尸主机也很难。此外,黑客还会把一个个庞大的“肉鸡”系统分割成很多部分,就算你查到了一个部分,他们也可以很简单地舍弃掉这部分,其他的部分仍然可以继续工作。如此查找,即使最终能查到幕后黑手,但需要花费巨额的人力和财力成本,只有关系到国家重大声誉或经济损失时才可能彻底追查,一般情况也就不了了之了。

厂商方案各有不同

目前,业界普遍认为,对于DDoS攻击并没有100%有效的防御手段。但是,由于攻击者必须付出比防御者大得多的资源和努力才能拥有这样的“动力”,所以积极部署防御措施,还是能够在很大程度上缓解和抵御这类安全威胁的。那么,到底可以采取哪些技术措施进行防范呢?目前,东软、华为赛门铁克、思科、绿盟、中新软件等公司都推出了不同特色的解决方案。

东软提出了通过流量变化来检测是否受到DDoS攻击的方法。据姚伟栋介绍,东软的反DDoS攻击方法与其他厂商的方案有所不同,一般厂商是通过特征码来判断是否受到DDoS攻击,而东软则是通过流量异常来判断是否受到DDoS攻击。这两者之间最大的差别是: 前者只能判断已知的DDoS攻击,如果攻击库里没有则无法判断; 而后者可以判断并抵御未知的DDoS攻击。

对已经检测到的DDoS攻击,东软采取的处理方法是设定保护线和限制线:当设备判断当前流量异常有DDoS攻击发生时,纳入流量分析,进入保护线; 当流量到达一定程度并触发限制线时,将采取强制措施进行流量限制。“东软的反DDoS攻击方案主要是针对电信运营商级的DDoS攻击,因为电信运营商容易成为黑客攻击的目标,而且遭受了DDoS攻击后影响会非常大。”姚伟栋介绍说,“而中小企业的反DDoS攻击,用防火墙、IPS、UTM就能完成。”

华为赛门铁克安全解决方案部部长武鹏介绍了华赛的反DDoS攻击解决方法,华赛提出了异常流量监管解决方案ATIC,其中心思想是: 检测中心发现流量异常后通告管理中心,管理中心控制清洗中心引流,由清洗中心精确区分异常流量和正常流量,丢弃异常流量并回注正常流量。其中,管理中心用于集中策略管理和报表呈现,并对攻击流量进行动态控制,以消除对网络结构和网络性能的影响。

据了解,华赛的Anti-DDoS设备,是一个分层部署、逐层防护的全网异常流量清洗解决方案,该设备采用“NP+多核+分布式”架构,每块单板能清洗10G DDoS攻击流量。部署在骨干网的清洗方案专注于带宽型DDoS攻击流量的清洗; 接入侧清洗方案则专注小流量及应用型攻击,以实现基于业务和带宽资源的纵深防御。“这样一来,不仅可以防御DDoS攻击,非法访问、安全传输和系统安全等问题都能得到解决。”武鹏强调,华赛的解决方案是一个多方案保障网络安全的解决办法。

而绿盟公司则认为,目前该公司已经基本解决了DDoS攻击的问题。崔云鹏介绍,反DDoS攻击的最大难点是对DDoS攻击的识别和流量清洗,因为DDoS攻击的访问很多看起来都是正常的报文。因此,绿盟的产品针对这些难点,自主研发了对拒绝服务攻击进行识别的独特算法,能对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽这些常见的攻击行为进行有效识别,并通过集成的机制实时对这些攻击流量进行阻断。“我们的方案就是把DDoS攻击拦截在门外,使其无法攻入服务器内部,并对正常和异常的访问进行筛选,在防范恶意攻击的同时还可以保证用户的正常访问。”崔云鹏总结了绿盟反DDoS攻击解决方案的原理。

中新软件主要是针对小型用户遇到的DDoS攻击推出了解决方案,采取的方法是: 对于TCP协议报文,通过连接跟踪模块来防护攻击; 而对于UDP及ICMP协议报文,主要采用流量控制模块来防护攻击。针对进出的所有连接均进行连接跟踪,并在跟踪的同时进行防护,以化解针对TCP协议的各种攻击。同时,针对不同的端口应用,中新还提供不同的防护手段,这使得运行在同一服务器上的不同服务,都可以获得完善的攻击防护。“这样可以对攻击进行有效的检测,针对不同的流量触发不同的保护机制,这在提高效率的同时还确保了准确度。”徐航介绍说。

部署方式是关键

仅仅有了反DDoS攻击产品,还并不能完全保证网络或应用不受DDoS攻击,这些设备在网络中的部署方法也非常重要,并且将直接决定应用的效果。

姚伟栋认为,设备部署在不同层次对反DDoS攻击的效果是不一样的,他建议,应该将设备部署在越越好。“比如,对市级运营商网络,最好在省级出口部署反DDoS攻击设备; 对于跨地区的大型企业网络,最好在每个互联网出口处都部署反DDoS设备,再加上网络管理双管齐下,就可以降低受攻击的可能性。”姚伟栋表示,“而对于中小企业来说,目前它们还没有引起黑客的注意,针对这种情况,用合适的防火墙、IPS、UTM设备就可以了。”

“即使都是运营商网络反DDoS攻击,由于运营商为企业提供的带宽服务类型不同,其对DDoS攻击产品的部署方案和部署模式也不一样。”武鹏认为。比如,针对运营商要保护带宽资源、缓解城域网出口压力、清洗带宽型DDoS攻击的情况,建议部署骨干网方案: netflow检测中心+清洗中心+管理中心的动态引流清洗方案; 而针对运营商为企业提供安全宽带运营增值服务的情况,建议采用DPI检测中心+清洗中心+管理中心的动态引流清洗方案,这时还特别要注意在靠近企业端部署设备,以确保网络流量异常时得到实时清洗。

02

崔云鹏则指出,针对不同类型的客户,绿盟提供了不同的部署方案。对于大型运营商来说,可以采用系统支持旁路的部署方式对DDoS攻击流量进行牵引,同时通过部署若干台黑洞设备形成集群,这就增强了系统抵御巨大规模DDoS攻击的能力,保证了正常流量的顺畅通过; 而对于小型企业来说,则可以采用嵌入式部署方案,在遇到流量异常的时候直接阻断攻击,并及时保障企业网络的安全。

中小企业网络安全解决方案范文6

关键词：Linux；嵌入式Iptable；防火墙；设计与实现

中图分类号：TP393.08文献标识码：A文章编号：1009-3044(2012) 06-1254-04

Design and Implementation of Embedded IPtables Firewall in Linux

YANG Ben-xiang, JIN Hua-ting, WU Qian, XIONG Bin-jie, SONG Shao-yun

(Information Technology and Engineering Institute, Yuxi Normal University, Yuxi 653100, China)

Abstract: As a technical mean, Network security firewall has become the most widely used network security solution. Embedding IPtables Firewall in Linux is based on the analysis of available technology of network security firewall. The Iptables management tool is a kind of Firewall based on packet filtering firewall, can set the rules by using Iptables tool to realize the function of firewall in Linux. This article is about the means of iptables under the embedded Iptables Netfilter. Users can compile the rules to construct firewall filtering strategy, so that the firewall has stability and scalability. This kind of firewall includes the most basic packet filtering firewall and network address translation( NAT ) function, which can fulfill the needs of the security and network application of small local area network (LAN). This method men? tioned in the article had been used in the configuration process of the embedded Netfilter / Iptables packet filtering firewall by the Agricul? tural Economics station of Hongta District, Yuxi city.

Key words: Linux; embedded Iptable; firewall; design and implementation

1概述

随着计算机网络应用的日益普及和网络技术的不断发展，网络安全已成为一个不可避免的话题。网络信息系统在金融、政治、商业、交通、电信、文教等方面发挥越来越大的作用。随着网络规模的不断扩大与应用技术的不断进步，网络极易受到攻击,若不采取一定的安全措施，会造成经济损失。为了保护内部网络安全，通常会在互联网与企业网络或校园网间使用防火墙，基于Linux嵌入式Iptables的防火墙是目前研究的热点，专业的防火墙产品价格比较昂贵，中小心企业与中小学校无力购买。Linux嵌入式Ipta? bles的防火墙给了我们一个新的选择。它提供了一套完全免费的解决方案,其内置防火墙功能非常强大，甚至超过了许多昂贵的商用软件。

2 Linux防火墙发展现状和Iptables的优势

近年来Linux得到了迅速的发展，这既得益于它的自由软件属性和稳定、高效、健壮的内核,也与Linux是一个高性能的网络操作系统密不可分。Linux2.4内核中Netfilter/Iptables的出现，为构建Linux下防火墙提供了很好的平台。Iptables是基于Linux操作系统2.4之上内核版本的集成网络安全工具包。该工具通过配置可以实现多种网络技术安全功能，如：状态保持、数据包过滤、NAT（网络地址翻译)以及抵抗攻击等等。利用该工具可以在任意配置下的服务器、PC机上实现功能强大、安全稳定的防火墙，因此它被众多企业和高校广泛采用，是一种比较成熟的网络安全技术。

由于Netfilter/Iptables新型内核防火墙功能的增强,所以对其应用的深入研究也已引起重视。Linux下的Iptables工具也成为用户空间(userspace)，它使插入、修改和除去信息包过滤表中的规则变得容易。

Iptables还具有以下五点优势：

1）完全摒弃了ipchains的设计，以新的构架（Netfilier）实现，模块化设计更加清晰，扩展性更强；

2）实现完整的动态NAT.Ipchains中实际是多对的“地址伪装”；

3）实现基于MAC及用户过滤；

4）实现真正的基于状态的过滤，不再是简单的查看TCP包的标志位；

5）实现包速率限制等。

有了上述的优势所以在Linux环境下用Iptables做防火墙就使得用户操作更加简单、防护要求更加规范、防护措施更到位、效率更高。

3嵌入式IPtables的原理

iptables就是Linux操作系统下支持的netfilter机制的配置工具，它也就相当于一个应用程序，用户可以根据自己需要合理的对netfilter进行配置（包过滤规则，NAT等等）。所以要实现netfilter（iptables）就要从两个方面来考虑：首先用户层的iptables配置命令。其次是内核支持netfilter；3.1编译内核，支持netfilter表

在宿主主机上进入Linux内核的目录，配置所需的内核模块：cd /usr/src/linux make menuconfig

选中如下内核选项：

General setup --->

[*] Network packet filtering (replaces ipchains)

[*] Sysctl support（在ROMFS文件系统中/proc/sys/net/ipv4/出现ip_forward）Networking options --->

IP: Netfilter Configuration --->（全部选择即可）

这样在Linux内核中就选择支持了netfilter表。接下来只需编译并生成内核映像文件并到嵌入式系统即可。如果编译后重起成功进入Linux，则说明新的支持netfiter的内核已经正常运行。（注意，这里的内核选项只是一些支持netfilter/iptables的选项。这里假设原有内核已支持嵌入式系统的相关硬件，并能在嵌入式平台上运行）。

3.2编译生成iptables命令

iptables工具包比较便宜，可以免费从网上下载即可。下载iptables工具包后，进入下载目录，进行编译生成可执行文件，编译方法具体可以参考iptables目录下的INSTALL文件：

cd /root/iptables

make KERNEL_DIR = /usr/src/linux（指定内核目录）

make NO.SHARED_LIBS = 1（静态链接编译生成可执行文件）

4基于玉溪市红塔区农经站的嵌入式IPtables的防火墙设计与实现的网络结构

图1红塔区农经站的结构框图

4.1红塔区农经站防火墙功能要求

1）内部网络可以访问外部网络

内部网络的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。

2）内部网络可以自由访问DMZ

此策略是为了方便内部网络用户使用和管理DMZ中的服务器。

3）外部网络不能访问内部网络

很显然，内部网络中存放的是内部数据，这些数据不允许外部网络的用户进行访问。

4）外部网络可以自由访问DMZ

DMZ中的服务器本身就是要给外界提供服务的，所以外部网络必须可以访问DMZ。同时，外部网络访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

5）DMZ不能访问内部网络

很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步攻击到内部网络的重要数据。

6）DMZ不能访问外部网络

DMZ中的服务器专门用于给外界提供服务的，所以外部网络必须可以访问DMZ，而DMZ中的服务器则不允许主动访问外网。

1）内部网络可以访问外部网络，而外部网络的UDP数据、PING等不能进入内部网络。

2）内网可以访问DMZ的服务器和电子邮件服务器；内网计算机的IP地址、DNS和网关由DMZ服务器进行自动分配。

（在服务器上安装DHCPD服务）

1）外网可以访问DMZ服务器，但服务器不能访问外网。

2）限制外网来的数据包（允许TCP包通过，限制UDP包的通过，对常见的IP包类型加于限制）。

3）DMZ不能访问内网，但可以控制交换机端口。

4）DMZ服务器提供域名解析，若解析不了，由电信DNS服务器负责解析。

5具体实现

5.1在目录/etc/rc.d下创建脚本文件myfirewall1.sh，操作步骤

1）touch /etc/rc.d/myfirewall1.sh 2）chmod 711 myfirewall 3）vi /etc/rc.d/myfirewall.sh

5.2建立脚本

echo 1 > /proc/sys/net/ipv4/ip_forward //启用IP转发功能/modprobe ip_tables

/modprobe iptable_filter/modprobe iptable_nat/modprobe ip_conntrack/iptables -F INPUT

/iptables -F FORWARD

/iptables -F POSTROUTING -t nat

/iptables -P FORWARD DROP

iptables -t nat -A PREROUTING -p tcp -d 60.160.156.129 --dport 80 -i eth0 -j DNAT --to-destination 192.168.10.10

iptables -A FORWARD -p tcp -d 60.160.156.129 --dport 80 -i eth1 -o eth0 ! --syn -j ACCEPT

iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

iptablest nat POSTROUTINGs 192.168.10.0/12o eth0j SNATto-source 60.160.156.129

5.3内部网络与DMZ区之间的配置

1）iptables -A FORWARD -p tcp -d 60.160.150.1 --dport 80 -i eth1 -j ACCEPT

2）iptables -A FORWARD -p tcp -s 192.168.10.10 -d 60.160.150.0/24 --sport 80 -o eth1 -m state ESTABLISHED -j ACCEPT

允许内部网络访问DMZ区的Web服务器，并且允许DMZ区的无连接性TCP包返回给内部网络用户。

5.4内部网络与外部网络之间的配置

1）iptables -t nat -A POSTROUTING -s 192.168.10.0/12 -o eth0 -j SNAT --to-source 60.160.150.1 2）iptables -A FORWARD -p tcp -s 0/0 --sport ftp -datad 192.168.10.0/12 -i eth0 -j ACCEPT 3）iptables -A FORWARD -p tcp -d 192.168.10.0/12 ! -syni eth0 -j ACCEPT

允许内部网络用户采用不积极模式访问Internet（互联网）的FTP服务器；还允许内部网络访问外部网络，外网非连接性TCP包通过，并进行源地址转换。

5.5外部网络与DMZ区之间的配置

1）iptables -t nat -A PREROUTING -p tcp -d 60.160.150.1--dport 80 -i eth0 -j DNAT --to-destination 192.168.31.81

2）iptables -A FORWARD -p tcp -d 60.160.150.1 --dport 80 -i eth1 -o eth0 ! --syn -j ACCEPT

允许DMZ区非连接性TCP包返回给外网用户，其次还允许外部网络访问DMZ区的Web服务器，并进行目的网络地址转换。再次对icmp包进行限制，允许每秒通过一个包，防止采用icmp进行攻击。

iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

以上步骤的配置实现了一个具有包过滤网络地址转换功能的防火墙，并DMZ区对可以外部网络提供服务。

5.6允许域名解析

1）iptables - t nat - A PREROUTING - p udp - d 60.160.150.1 --dport 53 - i eth0 - j DNAT - - to 192.168.31.81 2）iptables -A FORWARD -p udp -d 192.168.31.81--dprot 53 - i eth1 - o eth0 - j ACCEPT 3）iptables -A FORWARD -p udp -s 192.168.31.81 --sprot 53 - i eth0 - o eth1 - j ACCEPT

5.7一个网卡绑定多个IP地址

编辑/etc/sysconfig/network-scripts下的文件：例如：绑定网卡为eth0

[root@dell network-scripts]# cat ifcfg-eth0:0 DEVICE=eth0:0 ONBOOT=yes

BOOTPROTO=static

IPADDR=192.168.2.16

NETMASK=255.255.255.0 GATEWAY=192.168.2.2此为主网卡IP地址

[root@dell network-scripts]# cat ifcfg-eth0:1 DEVICE=eth0:1 ONBOOT=yes

BOOTPROTO=static IPADDR=192.168.20.16 NETMASK=255.255.255.0 GATEWAY=192.168.20.2

6结论

本文所设计的防火墙是相对简单、实用、高效的防火墙。能有效预防网络攻击，保护内网安全。通过基于嵌入式iptables的linux防火墙的设计与实现这一项目的完成，netfilter扩展网络服务结构化底层矿建的利用，使Linux内核级的安全越来越完善，越来越合理、越来越易于扩展和开发，包过滤效率同时也得以大大提高。现今玉溪市红塔区农经站已经投入使用，正是由于嵌入iptables的linux防火墙的高效、经济等特点，也必将会获得越来越多的中小企业与机关单位的亲睐！

参考文献：

[1]张小斌.计算机网络安全工具[M].北京:清华大学出版社,1999.

[2] Terry William Ogletree.防火墙原理与实施[M].北京:电子工业出版社,2001.

[3]杨东卫.网络系统集成与工程设计[M].北京:科技出版社,2005.

[4]白滔.基于Internet的网络管理及信息监控系统的研究与实现[D].贵州大学,2006.[5]何海宾.基于Linux包过滤的防火墙技术及应用[J].电子科技大学学报,2004(1).

[6]张锦祥.基于U盘的嵌入式防火墙的设计与实现[J].武汉大学学报:理学版,2005(3).[7]刘正海.基于嵌入式Linux防火墙的研究与实现[D].重庆大学,2007.

[8]吴功宜.计算机网络[M].2版.北京:清华大学出版社,2007.