-
當前位置:首頁 > 創(chuàng)意學院 > 短視頻 > 專題列表 > 正文
防火墻默認設計策略(防火墻的默認策略)
大家好!今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于防火墻默認設計策略的問題,以下是小編對此問題的歸納整理,讓我們一起來看看吧。
開始之前先推薦一個非常厲害的Ai人工智能工具,一鍵生成原創(chuàng)文章、方案、文案、工作計劃、工作報告、論文、代碼、作文、做題和對話答疑等等
只需要輸入關(guān)鍵詞,就能返回你想要的內(nèi)容,越精準,寫出的就越詳細,有微信小程序端、在線網(wǎng)頁版、PC客戶端
官網(wǎng):https://ai.de1919.com
本文目錄:
一、防火墻主要是用來防什么東東的?
分類: 電腦/網(wǎng)絡 >> 反病毒
解析:
防火墻
1.什么是防火墻
防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。 它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀況, 以此來實現(xiàn)網(wǎng)絡的安全保護。
在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Inter之間的任何活動, 保證了內(nèi)部網(wǎng)絡的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,F(xiàn)irewall可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如, Firewall可以禁止NIS、NFS服務通過,F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統(tǒng)的訪問
Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理,在Firewall定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡系統(tǒng), 而無須在內(nèi)部網(wǎng)每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息,如Figer和DNS。
記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)
Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡通訊,提供關(guān)于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù),并且,F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù), 來判斷可能的攻擊和探測。
策略執(zhí)行
Firewall提供了制定和執(zhí)行網(wǎng)絡安全策略的手段。未設置Firewall時,網(wǎng)絡安全取決于每臺主機的用戶。
3.防火墻的種類
防火墻總體上分為包過濾、應用級網(wǎng)關(guān)和代理服務器等幾大類型。
數(shù) 據(jù) 包 過 濾
數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡層對數(shù)據(jù)包進行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯, 被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、 協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡單,價格便宜,易于安裝和使用, 網(wǎng)絡性能和透明性好,它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡與Inter連接必不可少的設備, 因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。
數(shù)據(jù)包過濾防火墻的缺點有二:一是非法訪問一旦突破防火墻,即可對主機上的軟件和配置漏洞進行攻擊; 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部,很有可能被竊聽或假冒。
應 用 級 網(wǎng) 關(guān)
應用級網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。 它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時,對數(shù)據(jù)包進行必要的分析、 登記和統(tǒng)計,形成報告。實際中的應用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。
數(shù)據(jù)包過濾和應用網(wǎng)關(guān)防火墻有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。 一旦滿足邏輯,則防火墻內(nèi)外的計算機系統(tǒng)建立直接聯(lián)系, 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡結(jié)構(gòu)和運行狀態(tài),這有利于實施非法訪問和攻擊。
代 理 服 務
代理服務(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸于應用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù), 其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的" 鏈接", 由兩個終止代理服務器上的" 鏈接"來實現(xiàn),外部計算機的網(wǎng)絡鏈路只能到達代理服務器, 從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外,代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記, 形成報告,同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報,并保留攻擊痕跡。
4.設置防火墻的要素
網(wǎng)絡策略
影響Firewall系統(tǒng)設計、安裝和使用的網(wǎng)絡策略可分為兩級,高級的網(wǎng)絡策略定義允許和禁止的服務以及如何使用服務, 低級的網(wǎng)絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Inter訪問服務以及外部網(wǎng)絡訪問(如撥入策略、SLIP/PPP連接等)。 服務訪問策略必須是可行的和合理的??尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡風險和提供用戶服務之間獲得平衡。 典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Inter訪問某些內(nèi)部主機和服務; 允許內(nèi)部用戶訪問指定的Inter主機和服務。
防火墻設計策略
防火墻設計策略基于特定的Firewall,定義完成服務訪問策略的規(guī)則。通常有兩種基本的設計策略: 允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用, 第二種是好用但不安全,通常采用第二種類型的設計策略。 而多數(shù)防火墻都在兩種之間采取折衷。
增強的認證
許多在Inter上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機制。多年來,用戶被告知使用難于猜測和破譯口令, 雖然如此,攻擊者仍然在Inter上監(jiān)視傳輸?shù)目诹蠲魑模箓鹘y(tǒng)的口令機制形同虛設。增強的認證機制包含智能卡, 認證令牌,生理特征(指紋)以及基于軟件(RSA)等技術(shù),來克服傳統(tǒng)口令的弱點。雖然存在多種認證技術(shù), 它們均使用增強的認證機制產(chǎn)生難被攻擊者重用的口令和密鑰。 目前許多流行的增強機制使用一次有效的口令和密鑰(如SmartCard和認證令牌)。
5.防火墻在大型網(wǎng)絡系統(tǒng)中的部署
根據(jù)網(wǎng)絡系統(tǒng)的安全需要,可以在如下位置部署防火墻:
局域網(wǎng)內(nèi)的VLAN之間控制信息流向時;
Intra與Inter之間連接時(企業(yè)單位與外網(wǎng)連接時的應用網(wǎng)關(guān));
在廣域網(wǎng)系統(tǒng)中,由于安全的需要,總部的局域網(wǎng)可以將各分支機構(gòu)的局域網(wǎng)看成不安全的系統(tǒng), (通過公網(wǎng)ChinaPac,ChinaDDN,F(xiàn)rame Relay等連接)在總部的局域網(wǎng)和各分支機構(gòu)連接時采用防火墻隔離, 并利用VPN構(gòu)成虛擬專網(wǎng);
總部的局域網(wǎng)和分支機構(gòu)的局域網(wǎng)是通過Inter連接,需要各自安裝防火墻,并利用NetScreen的VPN組成虛擬專網(wǎng);
在遠程用戶撥號訪問時,加入虛擬專網(wǎng);
ISP可利用NetScreen的負載平衡功能在公共訪問服務器和客戶端間加入防火墻進行負載分擔、 存取控制、用戶認證、流量控制、日志紀錄等功能;
兩網(wǎng)對接時,可利用NetScreen硬件防火墻作為網(wǎng)關(guān)設備實現(xiàn)地址轉(zhuǎn)換(NAT),地址映射(MAP), 網(wǎng)絡隔離(DMZ), 存取安全控制,消除傳統(tǒng)軟件防火墻的瓶頸問題。
6.防火墻在網(wǎng)絡系統(tǒng)中的作用
防火墻能有效地防止外來的入侵,它在網(wǎng)絡系統(tǒng)中的作用是:
控制進出網(wǎng)絡的信息流向和信息包;
提供使用和流量的日志和審計;
隱藏內(nèi)部IP地址及網(wǎng)絡結(jié)構(gòu)的細節(jié);
提供VPN功能。
二、復合型防火墻的安全策略
復合型防火墻安全策略以防火墻功能為基礎平臺,以其他的安全模塊為多層次應用環(huán)境,構(gòu)筑一套完整的立體的網(wǎng)絡安全解決方案。包含防火墻、入侵檢測、安全評估、虛擬專用網(wǎng)4大功能模塊,具體如下:
1、內(nèi)核采用獨有的智能IP識別技術(shù)??梢詫Χ喾N網(wǎng)絡對象進行有效的訪問監(jiān)控,為網(wǎng)絡安全提供高效、穩(wěn)定的安全保護。
2、入侵檢測功能是網(wǎng)絡安全的第二道防線,它通過監(jiān)視網(wǎng)絡中的數(shù)據(jù)包來發(fā)現(xiàn)黑客的入侵企圖。復合型防火墻入侵檢測產(chǎn)品可以實現(xiàn)對20多類1000多種攻擊方式的鑒別。
3、安全評估功能模塊可以主動地檢測內(nèi)部網(wǎng)絡,對主機信息、端口、各種漏洞、RPC遠程過程調(diào)用和服務中可能存在的弱密碼進行掃描,并生成分析報告,提供給用戶相應的解決辦法。
4、虛擬專用網(wǎng)(VPN)功能使用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設備身份認證技術(shù),實現(xiàn)了在公共網(wǎng)絡中建立專用網(wǎng)絡,數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡中傳播。
復合型防火墻優(yōu)點
1、杰出的工作效率
復合型防火墻性能優(yōu)異,先進的狀態(tài)檢測技術(shù)和獨特的智能IP識別技術(shù)保證了杰出的工作效率。網(wǎng)絡吞吐能力達到線速,支持高達100萬并發(fā)連接,在多次產(chǎn)品測評中性能領(lǐng)先。使用復合型防火墻可以保證網(wǎng)絡的實時暢通,不會像傳統(tǒng)防火墻一樣成為網(wǎng)絡瓶頸。
2、穩(wěn)定可靠
作為網(wǎng)絡關(guān)鍵設備,復合型防火墻對自身的穩(wěn)定性提出了嚴格的要求。復合型防火墻采用高度集成的工業(yè)級硬件設計,適應各種復雜的環(huán)境條件。每臺防火墻出廠前均在獨有“網(wǎng)際颶風”高壓力網(wǎng)絡環(huán)境中經(jīng)過100小時全負荷測試,確保產(chǎn)品萬無一失。
3、靈活適應不同網(wǎng)絡環(huán)境
復合型防火墻通過引入交換模式、路由模式和全新推出的混合模式,可以根據(jù)用戶的網(wǎng)絡環(huán)境要求,靈活的將防火墻接入用戶網(wǎng)絡中。同時防火墻支持VLAN功能,支持多種網(wǎng)絡路由協(xié)議,能適應復雜的網(wǎng)絡環(huán)境。
以上內(nèi)容參考 百度百科-復合型防火墻
三、普通酒店硬件防火墻應該做哪些策略?
一般來說,硬件防火墻的例行檢查主要針對以下內(nèi)容:1.硬件防火墻的配置文件不管你在安裝硬件防火墻的時候考慮得有多么的全面和嚴密,一旦硬件防火墻投入到實際使用環(huán)境中,情況卻隨時都在發(fā)生改變。硬件防火墻的規(guī)則總會不斷地變化和調(diào)整著,配置參數(shù)也會時常有所改變。作為網(wǎng)絡安全管理人員,最好能夠編寫一套修改防火墻配置和規(guī)則的安全策略,并嚴格實施。所涉及的硬件防火墻配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節(jié)。
在安全策略中,要寫明修改硬件防火墻配置的步驟,如哪些授權(quán)需要修改、誰能進行這樣的修改、什么時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改后的設置是否正確。詳盡的安全策略應該保證硬件防火墻配置的修改工作程序化,并能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬件防火墻的磁盤使用情況如果在硬件防火墻上保留日志記錄,那么檢查硬件防火墻的磁盤使用情況是一件很重要的事情。如果不保留日志記錄,那么檢查硬件防火墻的磁盤使用情況就變得更加重要了。保留日志記錄的情況下,磁盤占用量的異常增長很可能表明日志清除過程存在問題,這種情況相對來說還好處理一些。在不保留日志的情況下,如果磁盤占用量異常增長,則說明硬件防火墻有可能是被人安裝了Rootkit工具,已經(jīng)被人攻破。
因此,網(wǎng)絡安全管理人員首先需要了解在正常情況下,防火墻的磁盤占用情況,并以此為依據(jù),設定一個檢查基線。硬件防火墻的磁盤占用量一旦超過這個基線,就意味著系統(tǒng)遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬件防火墻的CPU負載和磁盤使用情況類似,CPU負載也是判斷硬件防火墻系統(tǒng)運行是否正常的一個重要指標。作為安全管理人員,必須了解硬件防火墻系統(tǒng)CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現(xiàn)過高的負載值則說明防火墻系統(tǒng)肯定出現(xiàn)問題了。過高的CPU負載很可能是硬件防火墻遭到DoS攻擊或外部網(wǎng)絡連接斷開等問題造成的。
4.硬件防火墻系統(tǒng)的精靈程序每臺防火墻在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統(tǒng)日志程序、網(wǎng)絡分發(fā)程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發(fā)現(xiàn)某些精靈程序沒有運行,則需要進一步檢查是什么原因?qū)е逻@些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統(tǒng)文件關(guān)鍵的系統(tǒng)文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統(tǒng)升級所造成的修改;管理人員偶爾對系統(tǒng)文件進行的修改;攻擊者對文件的修改。
經(jīng)常性地檢查系統(tǒng)文件,并查對系統(tǒng)文件修改記錄,可及時發(fā)現(xiàn)防火墻所遭到的攻擊。此外,還應該強調(diào)一下,最好在硬件防火墻配置策略的修改中,包含對系統(tǒng)文件修改的記錄。
6.異常日志硬件防火墻日志記錄了所有允許或拒絕的通信的信息,是主要的硬件防火墻運行狀況的信息來源。由于該日志的數(shù)據(jù)量龐大,所以,檢查異常日志通常應該是一個自動進行的過程。當然,什么樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件并進行記錄,硬件防火墻才會保留相應的日志備查。
上述6個方面的例行檢查也許并不能立刻檢查到硬件防火墻可能遇到的所有問題和隱患,但持之以恒地檢查對硬件防火墻穩(wěn)定可靠地運行是非常重要的。如果有必要,管理員還可以用數(shù)據(jù)包掃描程序來確認硬件防火墻配置的正確與否,甚至可以更進一步地采用漏洞掃描程序來進行模擬攻擊,以考核硬件防火墻的能力。
四、請教大家一個問題:Cisco ASA防火墻的默認拒絕所有的那條策略,該怎樣查看hitcount?
默認策略是deny any any,沒有命令來顯示。
以上就是關(guān)于防火墻默認設計策略相關(guān)問題的回答。希望能幫到你,如有更多相關(guān)問題,您也可以聯(lián)系我們的客服進行咨詢,客服也會為您講解更多精彩的知識和內(nèi)容。
推薦閱讀:
防火墻的默認策略是什么(防火墻默認規(guī)則有哪兩種選擇)
競品數(shù)據(jù)(競品數(shù)據(jù)分析)
居住區(qū)景觀設計說明(居住區(qū)景觀設計說明范文)