長寧區(qū)國內(nèi)防火墻系統(tǒng)方案
來源:
發(fā)布時間:2023-09-26
一個防火墻(作為阻塞點�、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務而降低風險�����。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻��,所以網(wǎng)絡(luò)環(huán)境變得更安全�����。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡(luò)�,這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)�。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑����。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。通過以防火墻為中心的安全方案配置��,能將所有安全軟件(如口令、加密���、身份認證�����、審計等)配置在防火墻上���。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比,防火墻的集中安全管理更經(jīng)濟����。例如在網(wǎng)絡(luò)訪問時,一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上��,而集中在防火墻一身上��。防火墻可以有效地防護外部的侵擾與影響���。長寧區(qū)國內(nèi)防火墻系統(tǒng)方案
若站點正處于防火墻保護之下���,對它的訪問也是被禁止的,用戶不得不先登陸防火墻后在進入Internet�,這時便需要代理服務器了��。因此�����,為了使防火墻有效�,必須超越其概念設(shè)計�。防火墻的設(shè)計列有好幾種,但都可分為兩類:網(wǎng)絡(luò)級防火墻及應用級防火墻�。它們采用不同的方式提供相同的功能,任何一種都能適合站點防火墻的保護需要��。而且現(xiàn)在有些防火墻產(chǎn)品具有雙重性能�����。 網(wǎng)絡(luò)級防火墻��,這一類型的防火墻�,通常使用簡單的路由器�,采用包了過濾技術(shù),檢查個人的IP包并決定允許或不允許基于資源的服務����、目的地址及時用端口����。新式的防火墻較之以前更為復雜�,它能監(jiān)控通過防火墻的聯(lián)接狀態(tài)等等。這是一類快速且透明的防火墻����,易于實現(xiàn)。楊浦區(qū)企業(yè)防火墻規(guī)范網(wǎng)絡(luò)防火墻��、主機防火墻和管理中心是分布式防火墻的構(gòu)成組件�。
我們也能以另一種較寬松的角度來制定防火墻規(guī)則,只要封包不符合任何一項“否定規(guī)則”就予以放行?�,F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)建防火墻功能����。較新的防火墻能利用封包的多樣屬性來進行過濾,例如:來源 IP 位址���、來源埠號��、目的 IP 位址或埠號�����、服務類型(如 WWW 或是 FTP)���。也能經(jīng)由通訊協(xié)定�、TTL 值��、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進行過濾����。應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作,您使用瀏覽器時所產(chǎn)生的資料流或是使用 FTP 時的資料流都是屬于這一層��。應用層防火墻可以攔截進出某應用程式的所有封包���,并且封閉其他的封包(通常是直接將封包丟棄)���。理論上,這一類的防火墻可以完全阻絕外部的資料流進到受保護的機器里��。
防火墻可以極大的增強Web站點的安全�。根據(jù)不同的需要,防火墻在網(wǎng)絡(luò)中配置有很多方式�。根據(jù)防火墻和Web服務器所處的位置�,總可以分為3種配置:Web服務器置于防火墻之內(nèi)�、Web服務器置于防火墻之外和Web服務器置于防火墻之上�。將Web服務器裝在防火墻內(nèi)的好處是它得到了安全保護,不容易被黑技術(shù)闖入����,但不易被外界所用。當Web站點主要用于宣傳企業(yè)形象時���,顯然這不是好的配置����,這時應當將Web服務器放在防火墻之外�。事實上,為了保證組織內(nèi)部網(wǎng)絡(luò)的安全�,將Web服務器完全置于防火墻之外使比較合適的。在這種模式中����,Web服務器不受保護,但內(nèi)部網(wǎng)則處于保護之下�,即使黑技術(shù)進入了你的Web站點,內(nèi)部網(wǎng)仍是安全的�����。代理支持在此十分重要,特別是在這種配置中�����,防火墻對Web站點的保護幾乎不起作用�。防火墻可以集成到其他安全措施中,如入侵檢測系統(tǒng)和安全信息和事件管理系統(tǒng)���。
防火墻可以強化網(wǎng)絡(luò)安全策略:通過以防火培為中心的安全方案配置,能將所有安全軟件(如令���、加密、身份認證���、審計等)配晉在防火墻上�。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比�����。防火的集中安全管理更經(jīng)濟�����。例如在網(wǎng)絡(luò)訪問時,一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上�����,而集中在防火墻一身上����。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:如果所有的訪問都經(jīng)過防火墻�����,那么���,防火墻就能記錄下這些訪問并作出日志記錄����,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)�。當發(fā)生可疑動作時,防火海能進行適當?shù)膱笃?����,并提供網(wǎng)終是否受到監(jiān)燈和攻擊的詳細信息��。防火墻可以使用防病毒和反間諜軟件保護網(wǎng)絡(luò)。浦東新區(qū)本地防火墻價格
防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點��。長寧區(qū)國內(nèi)防火墻系統(tǒng)方案
IP包了過濾的一個重要的局限是它不能分辨好的和壞的用戶����,只能區(qū)分好的飽和壞的包。包了過濾只能工作在由黑白分明安全策略的網(wǎng)中���,即內(nèi)部是好的��,外部是可疑的���。對于FTP協(xié)議,IP包了過濾就不十分有效����。FTP允許聯(lián)接外部服務器并使聯(lián)接返回到端口20,這幾乎毫不費力的通過那些過濾器�。防火墻/應用網(wǎng)關(guān)(Application Gateways)還有一種常見的防火墻是應用代理防火墻(有時也稱為應用網(wǎng)關(guān))。這些防火墻的工作方式和過濾數(shù)據(jù)報的防火墻�、以路由器為基礎(chǔ)的防火墻的工作方式稍有不同。它是基于軟件的���;當某遠程用戶想和一個運行應用網(wǎng)關(guān)的網(wǎng)絡(luò)建立聯(lián)系時�,此應用網(wǎng)關(guān)會阻塞這個遠程聯(lián)接,然后對聯(lián)接請求的各個域進行檢查��。長寧區(qū)國內(nèi)防火墻系統(tǒng)方案