在公司中網絡訪問受限怎么辦(在公司中網絡訪問受限怎么辦理)

一、防火墻概述

1.1 防火墻概念

為了應對網絡威脅，聯網的機構或公司將自己的網絡與公共的不可信任的網絡進行隔離

方法：根據網絡的安全信任程度和需要保護的對象，人為劃分若干安全區域，包括:

公共外部網絡，如Internet（外網）

內聯網(Intranet) ，如某個公司或組織的專用網絡，網絡訪問限制在組織內部

外聯網(Extranet) ，內聯網的擴展延伸，常用作組織與合作伙伴之間進行通信

軍事緩沖區域，簡稱DMZ， 該區域是介于內部網絡和外部網絡之間的網絡段，常放置公共服務設備，向外提供信息服務。

防火墻：在安全區域劃分的基礎上，通過一種網絡安全設備，控制安全區域間的通信，可以隔離有害通信，進而阻斷網絡攻擊

安裝位置：一般安裝在不同的安全區域邊界處，用于網絡通信安全控制

組成：專用硬件或軟件系統

1.2 防火墻工作原理

防火墻是由一些軟、硬件組合而成的網絡訪問控制器，它根據一定的安全規則來控制流過防火墻的網絡包，如禁止或轉發，能夠屏蔽被保護網絡內部的信息、拓撲結構和運行狀況，從而起到網絡安全屏障的作用。一般用來將內部網絡與因特網或者其他外部網絡互相隔離，限制網絡互訪，保護內部網絡的安全

防火墻根據網絡包所提供的信息實現網絡通信訪問控制，如果網絡通信包符合網絡訪問控制策略,

就允許該網絡通信包通過防火墻，否則不允許

防火墻安全策略類型

白名單策略：只允許符合安全規則的包通過防火墻，其他通信包禁止（默認禁止）

黑名單策略：禁止與安全規則相沖突的包通過防火墻，其他通信包都允許（默認允許）

防火墻功能

過濾非安全網絡訪問：將防火墻設置為只有預先被允許的服務和用戶才能通過防火墻，禁止未授權的用戶訪問受保護的網絡，降低被保護網絡受非法攻擊的風險

限制網絡訪問：防火墻只允許外部網絡訪問受保護網絡的指定主機或網絡服務，通常受保護網絡中的Mail、FTP、 www服務器等可讓外部網訪問，而其他類型的訪問則予以禁止。防火墻也用來限制受保護網絡中的主機訪問外部網絡的某些服務，例如某些不良網址

網絡訪問審計：防火墻是外部網絡與受保護網絡之間的唯一網絡通道， 可以記錄所有通過它的訪問，并提供網絡使用情況的統計數據。依據防火墻的日志，可以掌握網絡的使用情況，例如網絡通信帶寬和訪問外部網絡的服務數據。防火墻的日志也可用于入侵檢測和網絡攻擊取證

網絡帶寬控制：防火墻可以控制網絡帶寬的分配使用，實現部分網絡質量服務(QoS)保障

協同防御：防火墻和入侵檢測系統通過交換信息實現聯動，根據網絡的實際情況配置并修改安全策略，增強網絡安全

1.3 防火墻安全風險

采用防火墻安全措施的網絡仍存在以下網絡安全風險：

網絡安全旁路，防火墻只能對通過它的網絡通信包進行訪問控制，對未經過它的網絡通信無能為力，例如從內部直接撥號訪問外網

防火墻功能缺陷，導致一些網絡威脅無法阻斷

主要安全缺陷包括

防火墻不能完全防止感染病毒的軟件或文件傳輸

防火墻不能防止基于數據驅動式的攻擊

防火墻不能完全防止后門攻擊

防火墻安全機制形成單點故障和特權威脅，一旦防火墻自身的安全管理失效，就會對網絡造成單點故障和網絡安全特權失控

防火墻無法有效防范內部威脅，處于防火墻保護的內網用戶一旦操作失誤，網絡攻擊者就能利用內部用戶發起主動網絡連接，從而可以躲避防火墻的安全控制

防火墻效用受限于安全規則，防火墻依賴于安全規則更新

1.4 防火墻發展

防火墻控制粒度不斷細化：控制規則從以前的IP包地址信息延伸到IP包的內容

檢查安全功能持續增強：檢測IP包內容越來越細，DPI (Deep Packet Inspection) 應用于防火墻

產品分類更細化：針對保護對象的定制安全需求，出現專用防火墻設備。如工控防火墻、Web防火墻、數據庫/數據防火墻等

智能化增強：通過網絡安全大數據和人工智能技術的應用，防火墻規則實現智能化更新

二、防火墻類型與實現技術

2.1 包過濾

在IP層實現的防火墻技術（網絡層+傳輸層），根據包的源IP地址、目的IP地址、源端口、目的端口及包傳遞方向等包頭信息判斷是否允許包通過

包過濾防火墻技術優點：低負載、高通過率、對用戶透明

包過濾技術的弱點：不能在用戶級別進行過濾，如不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設成一個合法主機的IP地址，就可以輕易通過包過濾器

包過濾的控制依據：規則集

典型的過濾規則表示格式：由“規則號、匹配條件、匹配操作”三部分組成，一般的包過濾防火墻都用源IP地址、目的IP地址、源端口號、目的端口號，協議類型(UDP/TCP/ICMP)、通信方向、規則運算符來描述過濾規則條件

匹配操作：拒絕、轉發（允許）、審計三種

該規則的作用：只允許內、外網的郵件通信，其他的通信都禁止

Cisco設備ACL配置

Cisco IOS訪問規則形式

標準IP訪問表

擴展IP訪問表

區別：主要是訪問控制的條件不一樣。標準IP訪問表只是根據IP包的源地址進行

標準IP訪問控制規則格式：access-list list-number {deny I permit} source [source-wildcard] [log]

擴展IP訪問控制規則格式:

access-list list-number {deny l permit} protocol

source source-wildcard source-qualifiers

destination destination-wildcard destination-qualifiers [log | log-input]

list-number：標準IP訪問控制規則規定為1~99，擴展IP訪問控制規則規定為100~199

deny：表示若經過Cisco IOS過濾器的包條件不匹配，則禁止該包通過

permit：表示若經過Cisco IOS過濾器的包條件匹配，則允許該包通過

source：表示來源的IP地址

source-wildcard：表示發送數據包的主機IP地址的通配符掩碼，其中1代表“忽略”，0代表“需要匹配”，any 代表任何來源的IP包

destination：表示目的IP地址

destination-wildcard：表示接收數據包的主機IP地址的通配符掩碼

protocol：表示協議選項，如IP、ICMP、UDP、TCP等

log：表示記錄符合規則條件的網絡包

2.2 狀態檢查技術

基于狀態的防火墻通過利用TCP會話和UDP“偽”會話的狀態信息進行網絡訪問機制

采用該技術的防火墻首先建立并維護一張會話表，當有符合已定義安全策略的TCP連接或UDP流時，防火墻會創建會話項，然后依據狀態表項檢查，與這些會話相關聯的包才允許通過防火墻

處理包流程步驟

接收到數據包

檢查數據包的有效性，若無效，則丟掉數據包并審計

查找會話表，若找到，則進- - 步檢查數據包的序列號和會話狀態，如有效，則進行地址轉換和路由，轉發該數據包;否則，丟掉數據包并審計

當會話表中沒有新到的數據包信息時，則查找策略表，如符合策略表，則增加會話條目到會話表中，并進行地址轉換和路由，轉發該數據包，否則，丟掉該數據包并審計

2.3 應用服務代理

應用服務代理防火墻扮演著受保護網絡的內部網主機和外部網主機網絡通信連接“中間人”的角色

代理防火墻代替受保護網絡的主機向外部網發送服務請求，并將外部服務請求響應的結果返回給受保護網絡的主機

代理服務器：采用代理服務技術的防火墻，它能夠提供在應用級的網絡安全訪問控制

代理服務器分類：按照所代理的服務可分為FTP、Telnet、 Http、Socket、 郵件代理等

代理服務器構成：一組按應用分類的代理服務程序和身份驗證服務程序。每個代理服務程序用到一個指定的網絡端口，代理客戶程序通過該端口獲得相應的代理服務。

受保護的內部用戶對外部網絡訪問時，首先需要通過代理服務器的認可，才能向外提出請求，而外

網的用戶只能看到代理服務器，從而隱藏了受保護網絡的內部結構及用戶的計算機信息。因而，代理服務器可以提高網絡系統的安全性

應用服務代理技術優點

不允許外部主機直接訪問內部主機

支持多種用戶認證方案

可以分析數據包內部的應用命令

可以提供詳細的審計記錄

應用服務代理技術缺點

速度比包過濾慢

對用戶不透明

與特定應用協議相關聯，代理服務器并不能支持所有的網絡協議

2.4 網絡地址轉換技術（NAT）

NAT(Network Address Translation)：主要是為了解決公開地址不足而出現的，它可以緩解少量因特網IP地址和大量主機之間的矛盾。NAT技術用在網絡安全應用方面，能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的內部結構，從而提高了內部網絡的安全性

實現網絡地址轉換方式

靜態NAT：內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址

NAT池：在外部網絡中配置合法地址集，采用動態分配的方法映射到內部網絡

端口NAT (PAT) ：把內部地址映射到外部網絡的一個IP地址的不同端口上

2.5 Web防火墻技術

是一種基于保護Web服務器和Web應用的網絡安全機制

技術原理：根據預先定義的過濾規則和安全防護規則，對所有訪問Web服務器的HTTP請求和服務器響應，進行HTTP協議和內容過濾，進而對Web服務器和Web應用提供安全防護功能

Web應用防火墻的HTTP過濾的常見功能：主要有允許/禁止HTTP請求類型、HTTP協議頭各個字段的長度限制、后綴名過濾、URL內容關鍵字過濾、Web服務器返回內容過濾

Web應用防火墻可抵御的典型攻擊：主要是SQL注入攻擊、XSS跨站腳本攻擊、Web 應用掃描、Webshell、 Cookie注 入攻擊、CSRF攻擊等

2.6 數據庫防火墻技術

是一種用于保護數據庫服務器的網絡安全機制

技術原理：主要是基于數據通信協議深度分析和虛擬補丁，根據安全規則對數據庫訪問操作及通信進行安全訪問控制，防止數據庫系統受到攻擊威脅

數據庫通信協議深度分析：可以獲取訪問數據庫服務器的應用程序數據包的“源地址、目標地址、源端口、目標端口、SQL語句”等信息，然后依據這些信息及安全規則監控數據庫風險行為，阻斷違規SQL操作、阻斷或允許合法的SQL操作執行

虛擬補丁技術：通過在數據庫外部創建一個安全屏蔽層，監控所有數據庫活動，進而阻止可疑會話、操作程序或隔離用戶，防止數據庫漏洞被利用，從而不用打數據庫廠商的補丁，也不需要停止服務，可以保護數據庫安全

2.7 工控防火墻技術

即工業控制系統專用防火墻，是一種用于保護工業設備及系統的網絡安全機制

技術原理：主要是通過工控協議深度分析，對訪問工控設備的請求和響應進行監控，防止惡意攻擊工控設備，實現工控網絡的安全隔離和工控現場操作的安全保護

工控防火墻與傳統的防火墻有所差異，側重于分析工控協議，同時要適應工業現場的惡劣環境及實時性高的工控操作要求

2.8 下一代防火墻技術

下一代防火墻除了集成傳統防火墻的包過濾、狀態監測、地址轉換等功能外，還具有應用識別和控制、可應對安全威脅演變、監測隱藏的網絡活動、動態快速響應攻擊、支持統一安全策略部署、智能化安全管理等新功能

應用識別和管控：不依賴端口，通過對網絡數據包深度內容的分析，實現對應用層協議和應用程序的精準識別，提供應用程序級功能控制，支持應用程序安全防護

入侵防護(IPS) ：能夠根據漏洞特征進行攻擊檢測和防護，如SQL注入攻擊

數據防泄露：對傳輸的文件和內容進行識別過濾，可準確識別常見文件的真實類型，如Word、Excel、 PPT、PDF等，并對敏感內容進行過濾

惡意代碼防護：采用基于信譽的惡意檢測技術，能夠識別惡意的文件和網站。構建Web信譽庫，通過對互聯網站資源(IP、URL、域名等)進行威脅分析和信譽評級，將含有惡意代碼的網站資源列入Web信譽庫，然后基于內容過濾技術阻擋用戶訪問不良信譽網站，從而實現智能化保護終端用戶的安全

URL分類與過濾：構建URL分類庫，內含不同類型的URL信息(如不良言論、網絡“釣魚”、論壇聊天等)，對與工作無關的網站、不良信息、高風險網站實現準確、高效過濾

帶寬管理與QoS優化：通過智能化識別業務應用，有效管理網絡用戶/IP使用的帶寬，確保關鍵業務和關鍵用戶的帶寬，優化網絡資源的利用

加密通信分析：通過中間人代理和重定向等技術，對SSL、SSH等加密的網絡流量進行監測分析

2.9 防火墻共性關鍵技術

1. 深度包檢測(DPI)

DPI(Deep Packet Inspection)：是一種用于對包的數據內容及包頭信息進行檢查分析的技術方法，深入應用層分析

DPI運用模式(特征)匹配、協議異常檢測等方法對包的數據內容進行分析，屬于防火墻的核心技術

DPI 面臨挑戰：模式規則維護管理復雜性、自身安全性、隱私保護、性能

DPI 需要不斷更新維護深度檢測策略，以確保防火墻持續有效。隱私保護技術使得DPI的檢測能力受到限制，加密數據的搜索匹配成為DPI的技術難點。DPI需要處理包的數據內容，使得防火墻的處理工作顯著增加，這將直接影響網絡傳輸速度。圍繞DPI的難點問題，可以利用硬件提高模式匹配算法性能，如利用GPU加速模式匹配模式

2. 操作系統

防火墻的運行依賴于操作系統，操作系統的安全性直接影響防火墻的安全

3. 網絡協議分析

防火墻通過獲取網絡中的包，然后利用協議分析技術對包的信息進行提取，進而實施安全策略檢查及后續包的處理

三、防火墻主要產品與技術指標

3.1 防火墻主要產品

產品形態：硬件實體模式和軟件模式

商業產品：主要形態為物理硬件實體，安全功能軟件集成到硬件實體中

開源防火墻產品：主要以軟件模式存在

防火墻的主要產品類型

1. 網絡防滅墻

產品特點：部署在不同安全域之間，解析和過濾經過防火墻的數據流，具備網絡層訪問控制及過濾功能的網絡安全產品

2. Web應用防火墻

產品特點：根據預先定義的過濾規則和安全防護規則，對所有訪問Web服務器的HTTP請求和服務器響應進行HTTP協議和內容過濾，并對Web服務器和Web應用提供安全防護的網絡安全產品

3. 數據庫防火墻

產品特點：基于數據庫協議分析與控制技術，可實現對數據庫的訪問行為控制和危險操作阻斷的網絡安全產品

4. 主機防火墻

產品特點：部署在終端計算機上，監測和控制網絡級數據流和應用程序訪問的網絡安全產品

5. 工控防火墻

產品特點：部署在工業控制環境，基于工控協議深度分析與控制技術，對工業控制系統、設備以及控制域之間的邊界進行保護,并滿足特定工業環境和功能要求的網絡安全產品

6. 下一代防火墻

產品特點：部署在不同安全域之間，解析和過濾經過防火墻的數據流，集成應用識別和管控、惡意代碼防護、入侵防護、事件關聯等多種安全功能，同時具備網絡層和應用層訪問控制及過濾功能的網絡安全產品

7. 家庭防火墻

產品特點：防火墻功能模塊集成在智能路由器中,具有IP地址控制、MAC地址限制、不良信息過濾控制、防止蹭網、智能家居保護等功能的網絡安全產品

3.2 防火墻主要技術指標

防火墻評價指標

可分成四類

即安全功能要求

性能要求

安全保障要求

環境適應性要求

不同類型防火墻的安全功能要求、性能要求、環境適應性要求有所差異，安全保障要求基本相同

1. 防火墻安全功能指標

攻擊防護 拒絕服務攻擊防護、Web攻擊防護、數據庫攻擊防護、惡意代碼防護、其他應用攻擊防護、自動化工具威脅防護、攻擊逃逸防護、外部系統協同防護

管理功能 是指防火墻所能夠支持的管理方式，如基于SNMP管理、管理的通信協議、帶寬管理、負載均衡管理、失效管理、用戶權限管理、遠程管理和本地管理等

審計和報表 是指防火墻所能

2. 防火墻性能指標

最大吞吐量：檢查防火墻在只有一條默認允許規則和不丟包的情況下達到的最大吞吐速率，如網絡層吞吐量、HTTP吞吐量、SQL吞吐量

最大連接速率： TCP新建連接速率、HTTP請求速率、SQL請求速率

最大規則數：檢查在添加大數量訪問規則的情況下，防火墻性能變化狀況

并發連接數：防火墻在單位時間內所能建立的最大TCP連接數，每秒的連接數

3. 防火墻安全保障指標

用于測評防火墻的安全保障程度

主要包括：開發、指導性文檔、生命周期支持、測試、脆弱性評定

4. 環境適應性指標

用于評估防火墻的部署和正常運行所需要的條件

主要包括

網絡環境：通常指IPv4/IPv6網絡、云計算環境、工控網絡等

物理環境：通常包括氣候、電磁兼容、絕緣、接地、機械適應性、外殼防護等

5. 防火墻自身安全指標

評價指標主要有：身份識別與鑒別、管理能力、管理審計、管理方式、異常處理機制、防火墻操作系統安全等級、抗攻擊能力等

四、防火墻防御體系結構類型

4.1 基于雙宿主主機防火墻結構

是最基本的防火墻結構。這種系統實質上是至少具有兩個網絡接口卡的主機系統。在這種結構中，一般都將一個內部網絡和外部網絡分別連接在不同的網卡上，使內外網不能直接通信

對從一塊網卡上送來的IP包，經過一個安全檢查模塊檢查后，若：

合法：則轉發到另一塊網卡上， 以實現網絡的正常通信

不合法：則阻止通信

這樣，內、外網絡直接的IP數據流完全在雙宿主主機的控制之中，如圖所示:

4.2 基于代理型防火墻結構

由一臺主機同外部網連接，該主機代理內部網和外部網的通信。同時，代理型結構中還通過路由器過濾，代理服務器和路由器共同構建一個網絡安全邊界防御架構，如圖所示:

在這種結構中，代理主機位于內部網絡

過濾路由器配置規則

允許其他內部主機為某些類型的服務請求與外部網絡建立直接連接

任何外部網(或Internet)的主機只能與內部網絡的代理主機建立連接

任何外部系統對內部網絡的操作都必須經過代理主機，且代理主機本身要有較全面的安全保護

代理型結構優點：比雙宿主主機結構提供更好的安全保護，同時操作也更加簡便

代理型結構缺點：只要攻擊者設法攻破了代理主機，那整個內部網絡與代理主機之間就沒有任何障礙了，攻擊者變成了內部合法用戶，完全可以偵聽到內部網絡上的所有信息

4.3 基于屏蔽子網的防火墻結構

是在代理型結構中增加一層周邊網絡的安全機制，使內部網絡和外部網絡有兩層隔離帶

周邊網絡隔離堡壘主機與內部網，減輕攻擊者攻破堡壘主機時對內部網絡的沖擊力，攻擊者即使攻破了堡壘主機，也不能偵聽到內部網絡的信息，不能對內部網絡直接操作。其特點如下:

應用代理位于被屏蔽子網中，內部網絡向外公開的服務器也放在被屏蔽子網中，外部網絡只能訪問被屏蔽子網，不能直接進入內部網絡

兩個包過濾路由器的功能和配置是不同的，所有外部網絡經由被屏蔽子網對內部網絡的訪問，都必須經過應用代理服務器的檢查和認證

包過濾路由器A的作用：是過濾外部網絡對被屏蔽子網的訪問

包過濾路由器B的作用：是過濾被屏蔽子網對內部網絡的訪問

優點：安全級別最高

缺點：成本高，配置復雜

五、防火墻技術應用

5.1 防火墻應用場景類型

常見應用場景

1. 上網保護

利用防火墻的訪問控制及內容過濾功能，保護內網和上網計算機安全，防止互聯網黑客直接攻擊內部網絡，過濾惡意網絡流量，切斷不良信息訪問

2. 網站保護

通過Web應用防火墻代理互聯網客戶端對Web服務器的所有請求，清洗異常流量，有效控制政務網站應用的各類安全威脅

3. 數據保護

在受保護的數據區域邊界處部署防火墻，對數據庫服務器或數據存儲設備的所有請求和響應進行安全檢查，過濾惡意操作，防止數據受到威脅

4. 網絡邊界保護

在安全域之間部署防火墻，利用防火墻進行訪問控制，限制不同安全域之間的網絡通信，減少安全域風險來源

5. 終端保護

在終端設備上安裝防火墻，利用防火墻阻斷不良網址，防止終端設備受到侵害

6. 網絡安全應急響應

利用防火墻，對惡意攻擊源及網絡通信進行阻斷，過濾惡意流量，防止網絡安全事件影響擴大

5.2 防火墻部署基本方法

防火墻部署需根據受保護的網絡環境和安全策略進行，如網絡物理結構或邏輯區域

防火墻部署的基本過程

第一步，根據組織或公司的安全策略要求，將網絡劃分成若干安全區域

第二步，在安全區域之間設置針對網絡通信的訪問控制點

第三步，針對不同訪問控制點的通信業務需求，制定相應的邊界安全策略

第四步，依據控制點的邊界安全策略，采用合適的防火墻技術和防范結構

第五步，在防火墻上，配置實現對應的網絡安全策略

第六步，測試驗證邊界安全策略是否正常執行

第七步，運行和維護防火墻

5.3 IPtables 防火墻應用參考

IPtables ：是 Linux 系統自帶的防火墻，支持數據包過濾、數據包轉發、地址轉換、基于 MAC 地址的過濾、基于狀態的過濾、包速率限制等安全功能。 IPtables 可用于構建 Linux 主機防火墻， 也可以用于搭建網絡防火墻

5.4 Web 應用防火墻應用參考

Web應用防火墻主要依賴于安全規則，因而規則的維護更新是防火墻有效的基礎

OWASP核心規則集(OWASP ModSecurity Core Rule Set)：是一組用于Web應用防火墻的通用攻擊檢測規則

核心規則集(CRS)的目的：是保護Web應用程序的安全,使其免受各種攻擊,包括OWASPTOP10攻擊，同時使得Web防火墻減少虛假報警

5.5 包過濾防火墻應用參考

已知某公司內部網與外部網通過路由器互連，內部網絡采用路由器自帶的過濾功能來實現網絡安全訪問控制，如圖所示:

為了保證內部網絡和路由器的安全，特定義如下網絡安全策略:

只允許指定的主機收集SNMP管理信息

禁止來自外部網的非法通信流通過

禁止來自內部網的非法通信流通過

只允許指定的主機遠程訪問路由器

5.6 工控防火墻應用參考

在調度中心和各場站之間部署工業防火墻，進行網絡層級間的安全隔離和防護，提高門站、儲配站、輸配站等各站的安全防護能力。將每個場站作為一個安全域，在各場站PLC/RTU等工業控制設備的網絡出口位置部署工業防火墻，對外來訪問進行嚴格控制，以實現重要工業控制裝置的單體設備級安全防護

————————————————

版權聲明：本文為CSDN博主「學無止境我愛學習」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處鏈接及本聲明。

原文鏈接：https://blog.csdn.net/qq_43874317/article/details/126536261