可以说，企业网络信息安全能否得以保障，在绝大程度上取决于这个层次的安全防护技术的部署。本文将从企业网络及应用层面临的网络威胁出发，阐述该层所必需的一些安全防护技术。

相关阅读：企业网络及应用层安全防护技术（上）

　　　　　企业网络及应用层安全防护技术（中）

　　8、防火墙技术

　　防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。只有符合安全策略的数据流才能通过防火墙。这是防火墙的工作原理特性。防火墙之所以能保护企业内部网络，就是依据这样的工作原理或者说是防护机制进行的。它可以由管理员自由设置企业内部网络的安全策略，使允许的通信不受影响，而不允许的通信全部被拒绝于内部网络之外。

　　随着新的网络攻击的出现，防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。

　　◆防火墙包过滤技术

　　◆用户身份验证防火墙：一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型的用户身份验证。

　　◆多级过滤技术：所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤（网络层）一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关（应用层）一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术，可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚，每种过滤技术对应于不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。

　　◆病毒防火墙：使防火墙具有病毒防护功能。现在通常被称之为病毒防火墙，当然目前主要还是在个人防火墙中体现，因其为纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少企业的损失。

　　◆防火墙的体系结构

　　随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC（特殊应用集成电路，Application Specific Integrated Circuit）的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，需要在很大程度上依赖于软件的性能；但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。

　　与基于ASIC的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性，这就使得其缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。

　　◆防火墙的系统管理

　　总体说来，防火墙的系统管理有如下几种发展趋势：

　　◆集中式管理：集中式管理可以降低管理成本，并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。

　　◆强大的审计功能和自动日志分析功能：这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可让管理员有效地发现系统中存的安全漏洞，及时地调整安全策略等。不过具有这种功能的防火墙通常是比较高级的，早期的静态包过滤防火墙是不具有的。

　　◆网络安全产品的系统化：随着网络安全技术的发展，现在有一种体系结构的提法，叫做”建立以防火墙为核心的网络安全体系”。因为实践表明，仅使用现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系，就可以为内部网络系统部署多道安全防线，各种安全技术各司其职，从各方面防御外来入侵。

　　9、入侵检测技术

　　Intrusion Detection System（入侵检测系统）顾名思义，便是对入侵行为的发觉，其通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。通常说来，其具有如下几个功能：
　　
　　◆监控、分析用户和系统的活动。

　　◆核查系统配置和漏洞。

　　◆评估关键系统和数据文件的完整性。

　　◆识别攻击的活动模式并向网管人员报警。

　　◆对异常活动的统计分析。

　　操作系统审计跟踪管理，识别违反政策的用户活动。

　　按照技术以及功能来划分，入侵检测系统可以分为如下几类：

　　◆基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。

　　◆基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。

　　◆采用上述两种数据来源的分布式入侵检测系统：能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成。

　　10、统一威胁管理技术

　　UTM是与企业防火墙、入侵检测和防御以及防病毒等结合为一体的设备，将成为未来的应用趋势。IDC同时预测，UTM市场到2008年将占整个信息安全市场的半壁江山，达到57.6%。UTM的一个特点是可以只用到该产品的某一个专门用途，比如用于网关防病毒或是用于内部的入侵检测，也可以全面应用所有功能。当UTM作为一种单点产品来应用时，企业能获得统一管理的优势，并且也能在不增加新设备的情况下开启自身需要的任何功能。UTM产品为网络安全用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。相对于提供单一的专有功能的安全设备，UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更加可贵的是，用户可以随时在这个平台上增加或调整安全功能。

　　UTM技术可以进行改良的信息包检查，识别应用层信息，命令入侵检测和阻断，蠕虫病毒防护以及高级的数据包验证机制。这些特性和技术使得IT管理人员可以很容易地控制如Instant Message信息传输，BT多线程动态应用下载，Skype等新型软件的应用，并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时，设备可以支持动态的行为特征库更新，更具备7层的数据包检测能力。完全克服了目前市场上深度包检测的技术弱点。特别针对分包攻击的内容效果明显。但UTM技术必须要有强大的硬件平台支撑，否则，难以适应当前的网络性能要求。

　　UTM的应用优势在于：

　　◆降低安全管理复杂度

　　◆集成的维护平台

　　◆单一服务体系结构

　　◆集中的安全日志管理

　　◆组合式的安全保护

　　◆应用的灵活性

　　◆良好的可扩展性

　　◆进一步降低成本

　　UTM设备可以减少与安全功能相关的采集，安装，管理支出，确保企业网络的连续性，和可用性，为目前流行的安全威胁提供有效的防御。