一、防火墻概念
Internet的迅速發(fā)展提供了發(fā)布信息和檢索信息的場所,但也帶來了信息污染和信息破壞的危險, 人們?yōu)榱吮Wo其數(shù)據(jù)和資源的安全,部署了防火墻。 防火墻 本質(zhì)上是一種保護裝置,它保護數(shù)據(jù)、資源和用戶的聲譽。
防火墻原是設(shè)計用來防止火災(zāi)從建筑物的一部分傳播到另一部分的設(shè)施。從理論上講,Internet防火墻服務(wù)也有類似目的,它防止Internet(或外部網(wǎng)絡(luò))上的危險(病毒、資源盜用等)傳播到網(wǎng)絡(luò)內(nèi)部。Internet(或外部網(wǎng)絡(luò))防火墻服務(wù)于多個目的:
1、限制人們從一個特別的控制點進入;
2、防止入侵者接近你的其它防御設(shè)施;
3、限定人們從一個特別的點離開;
4、有效地阻止破壞者對你的計算機系統(tǒng)進行破壞。
防火墻常常被安裝在內(nèi)部網(wǎng)絡(luò)連接到因特網(wǎng)(或外部網(wǎng)絡(luò))的節(jié)點上
(一)防火墻的優(yōu)點
1、防火墻能夠強化安全策略
因為網(wǎng)絡(luò)上每天都有上百萬人在收集信息、交換信息,不可避免地會出現(xiàn)個別品德不良,或違反規(guī)則的人,防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”,它執(zhí)行站點的安全策略,僅僅容許“認可的”和符合規(guī)則的請求通過。
2、防火墻能有效地記錄網(wǎng)絡(luò)上的活動
因為所有進出信息都必須通過防火墻,所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點,防火墻能在被保護的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行記錄。
3、防火墻限制暴露用戶點
防火墻能夠用來隔開網(wǎng)絡(luò)中的兩個網(wǎng)段,這樣就能夠防止影響一個網(wǎng)段的信息通過整個網(wǎng)絡(luò)進行傳播。
4、防火墻是一個安全策略的檢查站
所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。
(二)防火墻的不足
防火墻的缺點主要表現(xiàn)在以下幾個方面。
1、不能防范惡意的知情者
防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息,但用戶可以將數(shù)據(jù)復制到磁盤、磁帶上,放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部,防火墻是無能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù),破壞硬件和軟件,并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅,只能要求加強內(nèi)部管理,如主機安全和用戶教育等。
2、不能防范不通過它的連接
防火墻能夠有效地防止通過它的傳輸信息,然而它卻不能防止不通過它而傳輸?shù)男畔ⅰ@纾绻军c允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問,那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。
3、不能防備全部的威脅
防火墻被用來防備已知的威脅,如果是一個很好的防火墻設(shè)計方案,就可以防備新的威脅,但沒有一扇防火墻能自動防御所有新的威脅。
4、防火墻不能防范病毒
防火墻一般不能消除網(wǎng)絡(luò)上的病毒。
二、防火墻技術(shù)
一提到網(wǎng)絡(luò)安全人們首先想到的是防火墻。防火墻系統(tǒng)針對的是來自系統(tǒng)外部的攻擊,一旦外部入侵者進入了系統(tǒng),他們便不受任何阻擋。認證手段也與此類似,一旦入侵者騙過了認證系統(tǒng),便成為了內(nèi)部人員。
防火墻的基本類型有:包過濾型、代理服務(wù)型和狀態(tài)包過濾型復合型。
(一)包過濾型防火墻
包過濾(Packet Filter)通常安裝在路由器上,并且大多數(shù)商用路由器都提供了包過濾的功能。包過濾是一種保安機制,它控制哪些數(shù)據(jù)包可以進出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)所拒絕。
網(wǎng)絡(luò)中的應(yīng)用雖然很多,但其最終的傳輸單位都是以數(shù)據(jù)包的形式出現(xiàn),這種做法主要是因為網(wǎng)絡(luò)要為多個系統(tǒng)提供共享服務(wù)。例如,文件傳輸時,必須將文件分割為小的數(shù)據(jù)包,每個數(shù)據(jù)包單獨傳輸。每個數(shù)據(jù)包中除了包含所要傳輸?shù)臄?shù)據(jù)(內(nèi)容),還包括源地址、目標地址等。
數(shù)據(jù)包是通過互聯(lián)網(wǎng)絡(luò)中的路由器,從源網(wǎng)絡(luò)到達目的網(wǎng)絡(luò)的。路由器接收到的數(shù)據(jù)包就知道了該包要去往何處,然后路由器查詢自身的路由表,若有去往目的的路由,則將該包發(fā)送到下一個路由器或直接發(fā)往下一個網(wǎng)段;否則,將該包丟掉。與路由器不同的是,包過濾防火墻,除了判斷是否有到達目的網(wǎng)段的路由之外,還要根據(jù)一組包過濾規(guī)則決定是否將包轉(zhuǎn)發(fā)出去。
1、工作機制
包過濾技術(shù)可以允許或禁止某些包在網(wǎng)絡(luò)上傳遞,它依據(jù)的是以下的判斷:
對包的目的地址作出判斷
對包的源地址作出判斷
對包的傳送協(xié)議(端口號)作出判斷
一般地,在進行包過濾判斷時不關(guān)心包的具體內(nèi)容。包過濾只能讓我們進行類似以下情況的操作,比如:不讓任何工作站從外部網(wǎng)用Telnet登錄、允許任何工作站使用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件。
但包過濾不能允許我們進行如下的操作,如:允許用戶使用FTP,同時還限制用戶只可讀取文件不可寫入文件、允許某個用戶使用Telnet登錄而不允許其他用戶進行這種操作。
包過濾系統(tǒng)處于網(wǎng)絡(luò)的IP層和TCP層,而不是應(yīng)用層,所以它無法在應(yīng)用層的具體操作進行任何過濾。以FTP為例,F(xiàn)TP文件傳輸協(xié)議應(yīng)用中包含許多具體的操作,如讀取操作、寫入操作、刪除操作等。再有,包過濾系統(tǒng)不能識別數(shù)據(jù)包中的用戶信息。
2、性能特點
因為包過濾防火墻工作在IP和TCP層,所以處理包的速度要比代理服務(wù)型防火墻快
提供透明的服務(wù),用戶不用改變客戶端程序
因為只涉及到TCP層,所以與代理服務(wù)型防火墻相比,它提供的安全級別很低
不支持用戶認證,包中只有來自哪臺機器的信息卻不包含來自哪個用戶的信息
不提供日志功能
包過濾防火墻的典型代表是早期的CISCO PIX防火墻。
(二)代理服務(wù)型防火墻
代理服務(wù)(Proxy Service)系統(tǒng)一般安裝并運行在雙宿主機上。雙宿主機是一個被取消路由功能的主機,與雙宿主機相連的外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間在網(wǎng)絡(luò)層是被斷開的。這樣做的目的是使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓撲。這與包過濾防火墻明顯不同,就邏輯拓撲而言,代理服務(wù)型防火墻要比包過濾型更安全。
由于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)在網(wǎng)絡(luò)層是斷開的,所以要實現(xiàn)內(nèi)外網(wǎng)絡(luò)之間的應(yīng)用通訊就必須在網(wǎng)絡(luò)層之上。代理系統(tǒng)是工作在應(yīng)用層,代理系統(tǒng)是客戶機和真實服務(wù)器之間的中介,代理系統(tǒng)完全控制客戶機和真實服務(wù)器之間的流量,并對流量情況加以記錄。目前,代理服務(wù)型防火墻產(chǎn)品一般還都包括有包過濾功能。
1、工作機制
代理服務(wù)型防火墻按如下標準步驟對接收的數(shù)據(jù)包進行處理:
接收數(shù)據(jù)包
檢查源地址和目標地址
檢查請求類型
調(diào)用相應(yīng)的程序
對請求進行處理
下面,我們以一個外部網(wǎng)絡(luò)的用戶通過Telnet訪問內(nèi)部網(wǎng)絡(luò)中的主機為例,詳細介紹這些標準步驟。
接收數(shù)據(jù)包
外部網(wǎng)絡(luò)的路由器將外部網(wǎng)絡(luò)主機對內(nèi)部網(wǎng)絡(luò)資源的請求路由至防火墻的外部網(wǎng)卡。同樣,內(nèi)部網(wǎng)絡(luò)中的主機通過內(nèi)部網(wǎng)絡(luò)中的路由選擇信息將對外部網(wǎng)絡(luò)資源的請求路由至防火墻的內(nèi)部網(wǎng)卡。
在本例中,當外部網(wǎng)絡(luò)用戶通過Telnet請求對內(nèi)部網(wǎng)絡(luò)中的主機進行訪問時,路由信息將該請求傳送至防火墻的外部網(wǎng)卡上。
檢查源地址和目標地址
一旦防火墻接收到數(shù)據(jù)包,它必須確定如何處理該數(shù)據(jù)包。首先,防火墻檢查數(shù)據(jù)包中的源地址并確定該包是由哪塊網(wǎng)卡接收的。這樣做是為了確定數(shù)據(jù)包是否有IP地址欺騙的行為,例如,如果發(fā)現(xiàn)從外部網(wǎng)卡接收的一個數(shù)據(jù)包中的源地址屬于內(nèi)部網(wǎng)絡(luò)的地址范圍,則表明這是地址欺騙行為,防火墻將拒絕繼續(xù)對該包進行處理并將此事件記錄到日志中。
接下來,防火墻對包中的目標地址進行檢查并確定是否需要對該包做進一步處理。這一點與包過濾類似,即檢查是否允許對目標地址進行訪問。
本例中,Telnet的目標地址是內(nèi)部網(wǎng)絡(luò)的某臺主機,防火墻是通過外部網(wǎng)卡收到該Telnet請求的,且發(fā)現(xiàn)請求包中沒有地址欺騙行為,防火墻接收了該數(shù)據(jù)包。
檢查請求類型
防火墻檢查數(shù)據(jù)包的內(nèi)容(請求的服務(wù)端口號)并對照防火墻中已配置好的各種規(guī)則,以便確定是否向數(shù)據(jù)包提供相應(yīng)的服務(wù)。如果防火墻對所請求的端口號不提供服務(wù),則將這一企圖作為潛在的威脅記錄下來并拒絕該請求。
本例中,數(shù)據(jù)包的內(nèi)容表明請求服務(wù)是Telnet,即請求端口號為23且防火墻的配置規(guī)則是支持這類請求的服務(wù)。
調(diào)用相應(yīng)的程序
由于防火墻對所請求的服務(wù)提供支持,所以防火墻利用其他配置信息將該服務(wù)請求傳送至相應(yīng)的代理服務(wù)。
本例中,防火墻將Telnet請求傳送給Telnet代理進行處理。
對請求進行處理
現(xiàn)在代理服務(wù)以目的主機的身份并采用與應(yīng)用請求相同的協(xié)議對請求進行響應(yīng)。應(yīng)用請求方認為它是與目標主機進行對話。
然后,代理服務(wù)通過另一塊網(wǎng)卡以自己真實的身份代替客戶方,向目標主機發(fā)送應(yīng)用請求。如果應(yīng)用請求成功,則表明客戶端至目標主機之間的應(yīng)用連接成功地建立了。注意,與包過濾防火墻不同,代理服務(wù)型防火墻是通過兩次連接實現(xiàn)客戶機至目標主機之間的連接的,即客戶機至防火墻、防火墻至目標主機。
另外,通過對防火墻進行適當?shù)呐渲茫梢栽诜阑饓μ婵蛻魴C向目標主機發(fā)送應(yīng)用請求之前對客戶方進行身份驗證。驗證方法包括SecureID、S/Key、RADIUS等。
本例中,客戶方現(xiàn)與防火墻建立Telnet連接,然后防火墻立即向客戶方發(fā)出身份驗證要求。若驗證通過,則防火墻替客戶方向目標主機發(fā)送應(yīng)用請求;否則,防火墻斷開它與客戶方已建立的連接。
2、性能特點
提供的安全級別高于包過濾型防火墻
代理服務(wù)型防火墻可以配置成唯一的可被外部看見的主機以保護內(nèi)部主機免受外部攻擊
可以強制執(zhí)行用戶認證
代理工作在客戶機和真實服務(wù)器之間,完全控制會話,所以能提供較詳細的審計日志
代理的速度比包過濾慢
代理服務(wù)型防火墻中的佼佼者AXENT Raptor完全是基于代理技術(shù)的軟件防火墻。
隨著因特網(wǎng)絡(luò)技術(shù)的發(fā)展,不論在速度上還是在安全上都要求防火墻技術(shù)也要更新發(fā)展,基于上下文的動態(tài)包過濾防火墻就是對傳統(tǒng)的包過濾型和代理服務(wù)型防火墻進行了技術(shù)更新.
(三)狀態(tài)包過濾型防火墻
為了克服包過濾模式明顯的安全性不足的問題, 一些包過濾型防火墻廠商推出了狀態(tài)包過濾的概念。在包過濾技術(shù)的基礎(chǔ)上,通過基于上下文的動態(tài)包過濾模塊檢查,增強了安全性檢查。<iframe align="right" marginwidth="0" marginheight="0" src="http://images.chinabyte.com/adjs/iframe-pip/y-software-pip.html" frameborder="0" width="360" scrolling="no" height="300"></iframe>它不再只是分別對每個進來的包簡單地就地址進行檢查,動態(tài)包過濾型防火墻在網(wǎng)絡(luò)層截獲進來的包,直到足夠的數(shù)量,以便能夠確定此試圖連接的有關(guān)“狀態(tài)”。然后用防火墻系統(tǒng)內(nèi)核中“專用的檢查模塊”對這些包進行檢查。安全決策所需的相關(guān)狀態(tài)信息經(jīng)過這個“專用的檢查模塊”檢查之后,記錄在動態(tài)狀態(tài)表中,以便對其后的數(shù)據(jù)包通訊進行安全評估。經(jīng)過檢查的包穿過防火墻,在內(nèi)部與外部系統(tǒng)之間建立直接的聯(lián)系。
盡管基于上下文的狀態(tài)包過濾檢查的方法明顯地提高了安全性,但它仍然無法與應(yīng)用層代理防火墻相比。動態(tài)包過濾防火墻的典型代表是CHECKPOINT FIREWAL-1防火墻。下圖顯示的是基于上下文的動態(tài)包過濾防火墻的邏輯結(jié)構(gòu)。
三、安全需求分析
TCP/IP的靈活設(shè)計和Internet的普遍應(yīng)用為網(wǎng)絡(luò) 黑客技術(shù) 的發(fā)展提供了基礎(chǔ), 黑客 技術(shù)很容易被別有用心或喜歡炫耀的人們掌握,由此黑客數(shù)量劇增。加之網(wǎng)絡(luò)連接點多面廣,客觀上為黑客的入侵提供了較多的切入點。企業(yè)計算機網(wǎng)絡(luò)中內(nèi)部網(wǎng)上的信息有許多是屬于機密數(shù)據(jù),一旦被不懷好意的黑客竊取或被競爭對手得到,都將帶來難以估量的損失。為了使信息系統(tǒng)在保障安全的基礎(chǔ)上被正常訪問,需要一定的設(shè)備來對系統(tǒng)實施保護,保證只有合法的用戶才可以訪問系統(tǒng)。就目前看,能夠?qū)崿F(xiàn)這種需求的性能價格比最優(yōu)的設(shè)備就是防火墻。
本著經(jīng)濟、高效的原則,有必要將內(nèi)部網(wǎng)和外部不信任網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)中主要的應(yīng)用服務(wù)器和內(nèi)部其它網(wǎng)段用防火墻隔離保護,以實現(xiàn)對內(nèi)部網(wǎng)以及主機系統(tǒng)的訪問控制和邊界安全的集中管理。
四、防火墻方案具體實現(xiàn)
(一)產(chǎn)品選型原則
在進行防火墻產(chǎn)品選型時,除了必須遵循網(wǎng)絡(luò)安全體系設(shè)計原則外,還要求防火墻至少應(yīng)包含以下功能:
1、訪問控制:通過對特定網(wǎng)段和特定服務(wù)建立的訪問控制體系,將絕大多數(shù)攻擊阻止在到達攻擊目標之前;
2、攻擊監(jiān)控:通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系,可實時地檢測出絕大多數(shù)攻擊,并采取相應(yīng)的行動(如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等);
3、 加密 通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息;
4、身份認證:良好的認證體系可防止攻擊者假冒合法用戶;
5、多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標;
6、隱藏內(nèi)部信息:使攻擊者不能了解系統(tǒng)內(nèi)的基本情況;
7、安全監(jiān)控中心:為信息系統(tǒng)提供安全體系管理、監(jiān)控,保護及緊急情況服務(wù)。
在實際的網(wǎng)絡(luò)中,保障網(wǎng)絡(luò)安全與提供高效靈活的網(wǎng)絡(luò)服務(wù)是矛盾的。從網(wǎng)絡(luò)服務(wù)的可用性、靈活性和網(wǎng)絡(luò)性能考慮,網(wǎng)絡(luò)結(jié)構(gòu)和技術(shù)實現(xiàn)應(yīng)該盡可能簡捷,不引入額外的控制因素和資源開銷。但從網(wǎng)絡(luò)安全保障考慮,則要求對網(wǎng)絡(luò)系統(tǒng)提供服務(wù)的種類、時間、對象、地點甚至內(nèi)容有盡可能多的了解和控制能力,實現(xiàn)這樣附加的安全功能不可避免地要耗費有限的網(wǎng)絡(luò)資源或限制網(wǎng)絡(luò)資源的使用,從而對網(wǎng)絡(luò)系統(tǒng)的性能、服務(wù)的使用方式和范圍產(chǎn)生顯著影響。此外,保障網(wǎng)絡(luò)安全常常還涉及到額外的硬件、軟件投入及網(wǎng)絡(luò)運行管理中的額外投入,由此可見,保障網(wǎng)絡(luò)的安全是有代價的。對安全性的追求可以是無限的,但費用也會隨之增長。以防火墻建立一套安全系統(tǒng),可充分兼顧以下因素:
1、安全性與方便
一般來說,網(wǎng)絡(luò)使用的方便性會因采用了網(wǎng)絡(luò)安全措施而降低。防火墻無論從安裝、配置到策略調(diào)整都在同一個GUI界面下完成,管理十分方便快捷,網(wǎng)絡(luò)管理員的額外工作強度很小。此外,防火墻內(nèi)外網(wǎng)卡透明設(shè)置也極大地方便了內(nèi)部用戶,內(nèi)部工作站(包括服務(wù)器)不必增加任何額外的配置。
2、安全性與性能
對網(wǎng)絡(luò)來說,安全措施是靠網(wǎng)絡(luò)資源來完成的,它或者是占用主機CPU和內(nèi)存,或者是占用網(wǎng)絡(luò)帶寬,或者是增加信息處理的過程,所有這些都可以導致整體性能降低防火墻擁有獨特的狀態(tài)包過濾技術(shù),在安全性和速度之間可以自動找到理想的平衡點。
3、安全性與成本
采用網(wǎng)絡(luò)安全措施或建立網(wǎng)絡(luò)安全系統(tǒng)都會增加額外的成本,這里包括購買硬件、軟件的花費,系統(tǒng)設(shè)計和實施費用,管理和維護安全系統(tǒng)的費用。
(二)防火墻具體實現(xiàn)
1、部署邊界防火墻
設(shè)置邊界防火墻的正確位置應(yīng)該在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間。防火墻設(shè)置在此位置上,防火墻的內(nèi)外網(wǎng)卡分屬于內(nèi)部和外部網(wǎng)段。內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)被完全隔離開,所有來自外部網(wǎng)絡(luò)的服務(wù)請求只能到達防火墻,防火墻對收到的數(shù)據(jù)包進行分析后將合法的請求傳送給相應(yīng)的服務(wù)主機,對于非法訪問加以拒絕。內(nèi)部網(wǎng)絡(luò)的情況對于外部網(wǎng)絡(luò)的用戶來說是完全不可見的。由于防火墻是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的唯一通訊信道,因此防火墻可以對所有針對內(nèi)部網(wǎng)絡(luò)的訪問進行詳細的記錄,形成完整的日志文件。防火墻要保護的網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)該只有唯一的連接通路,如果防火墻后還有其它通路,防火墻將被短路,無法完成保護內(nèi)部網(wǎng)絡(luò)的工作。如果內(nèi)部網(wǎng)絡(luò)有多個外部連接,就應(yīng)該在每個入口處都放置防火墻。
設(shè)置邊界防火墻,我們可以有效的防范來自外部網(wǎng)絡(luò)的攻擊。設(shè)置防火墻后內(nèi)部網(wǎng)與外部網(wǎng)進行了有效的隔離,所有來自外部網(wǎng)絡(luò)的訪問請求都要通過防火墻的檢查,安全有了很大的提高。
邊界防火墻可以完成以下具體任務(wù):
通過源地址過濾,拒絕外部非法IP地址,有效的避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機的越權(quán)訪問防火墻可以只保留有用的服務(wù),將其他不需要的服務(wù)關(guān)閉,可將系統(tǒng)受攻擊的可能性降低到最小限度,使黑客無機可乘邊界防火墻可以制定訪問策略,只有被授權(quán)的外部主機可以訪問內(nèi)部網(wǎng)絡(luò)的有限的IP地址,保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中必要的資源,與業(yè)務(wù)無關(guān)的操作將被拒絕由于外部網(wǎng)絡(luò)對DMZ區(qū)主機的所有訪問都要經(jīng)過防火墻,防火墻可以全面監(jiān)視外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問活動,并進行詳細的記錄,通過分析可以得出可疑的攻擊行為對于遠程登錄的用戶,如telnet等,防火墻利用加強的認證功能,可以有效的防止非法入侵安裝了邊界防火墻后,網(wǎng)絡(luò)的安全策略由防火墻集中管理,因此黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權(quán)限的目的邊界防火墻可以進行地址轉(zhuǎn)換工作,外部網(wǎng)絡(luò)不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),使黑客攻擊失去目標以上的內(nèi)容充分說明,企業(yè)的計算機網(wǎng)絡(luò)安裝了邊界防火墻后,可以實現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的有效隔離,防止來自外部網(wǎng)絡(luò)的非法攻擊。同時,保證了DMZ區(qū)服務(wù)器的相對安全性和使用便利性。
2、部署內(nèi)部防火墻
企業(yè)的計算機網(wǎng)絡(luò)是一個多層次、多節(jié)點、多業(yè)務(wù)的網(wǎng)絡(luò),各節(jié)點間的信任程度較低,但由于業(yè)務(wù)的需要,各節(jié)點和服務(wù)器群之間又要頻繁的交換數(shù)據(jù)。通過在服務(wù)器群的入口處設(shè)置內(nèi)部防火墻,可以制定完善的安全策略,有效的控制內(nèi)部網(wǎng)絡(luò)的訪問,具體可以實現(xiàn)以下功能:
內(nèi)部防火墻可以精確制定每個用戶的訪問權(quán)限,保證內(nèi)部網(wǎng)絡(luò)用戶只能訪問必要的資源對于撥號備份線路的連接,通過強大的認證功能,實現(xiàn)對遠程用戶的管理內(nèi)部防火墻可以記錄網(wǎng)段間的訪問信息,及時發(fā)現(xiàn)誤操作和來自內(nèi)部網(wǎng)絡(luò)其他網(wǎng)段的攻擊行為防火墻通過安全策略的集中管理,每個網(wǎng)段上的主機不必再單獨設(shè)立安全策略,降低人為因素導致的網(wǎng)絡(luò)安全問題。
綜上所述,企業(yè)計算機網(wǎng)絡(luò)中設(shè)置防火墻后,一方面可以有效地防范來自外部網(wǎng)絡(luò)的攻擊行為,另一方面可以為內(nèi)部網(wǎng)絡(luò)制定完善的安全訪問策略,從而使得整個企業(yè)網(wǎng)絡(luò)具有較高的安全級別。
五、防火墻方案特點
一個優(yōu)秀的網(wǎng)絡(luò)安全保障系統(tǒng)必須建立在對網(wǎng)絡(luò)安全需求與環(huán)境的客觀分析評估基礎(chǔ)上,在網(wǎng)絡(luò)的應(yīng)用性能及價格和安全保障需求之間確定一個“最佳平衡點”,使得網(wǎng)絡(luò)安全保障引入的額外開銷與它所帶來的效益相當。根據(jù)企業(yè)計算機網(wǎng)絡(luò)的具體特點,我們建議采用的防火墻安全系統(tǒng)具有以下幾個特點:
1、設(shè)備費用比較低廉
這主要包括,無須購入成套的安全設(shè)備,主要利用軟件而非硬件來實現(xiàn)安全,比如說軟件型的防火墻,使用費用比較低廉的共享版本或者免費版本的軟件。
2、人員費用相對較低
無須聘請國外專業(yè)的安全公司來參與企業(yè)內(nèi)部網(wǎng)的建設(shè),但是可以聘請一到兩個對于安全規(guī)劃和實施較有經(jīng)驗的國內(nèi)專業(yè)安全公司定企業(yè)內(nèi)部網(wǎng)的規(guī)劃,同時系統(tǒng)的安全性維護主要由內(nèi)部技術(shù)人員兼職完成。
3、統(tǒng)一部署安全策略
即在安全專家的指導下,建立統(tǒng)一安全制度,消滅一般由于系統(tǒng)配置不當造成的明顯安全漏洞。
4、良好的升級擴展性
一套相對安全的安全系統(tǒng)并不意味著永遠保持“相對的安全性”,當企業(yè)的關(guān)鍵性業(yè)務(wù)發(fā)展到某個程度時,或許需要提高企業(yè)內(nèi)部網(wǎng)的安全性能,這就要求原先的系統(tǒng)具有良好的可擴展性。這主要體現(xiàn)在,可以通過適當?shù)刈芳油顿Y大幅度增加企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性能。但安全系統(tǒng)的基本模式不發(fā)生巨大變化,以免導致管理上的困難。
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯(lián)系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
