HOME 首頁
SERVICE 服務產(chǎn)品
XINMEITI 新媒體代運營
CASE 服務案例
NEWS 熱點資訊
ABOUT 關于我們
CONTACT 聯(lián)系我們
創(chuàng)意嶺
讓品牌有溫度、有情感
專注品牌策劃15年

    建立網(wǎng)絡防火墻的安全準則包括(建立網(wǎng)絡防火墻的安全準則包括什么)

    發(fā)布時間:2023-03-08 19:22:12     稿源: 創(chuàng)意嶺    閱讀: 1065        問大家

    大家好!今天讓創(chuàng)意嶺的小編來大家介紹下關于建立網(wǎng)絡防火墻的安全準則包括的問題,以下是小編對此問題的歸納整理,讓我們一起來看看吧。

    創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè),服務客戶遍布全球各地,相關業(yè)務請撥打電話:175-8598-2043,或添加微信:1454722008

    本文目錄:

    建立網(wǎng)絡防火墻的安全準則包括(建立網(wǎng)絡防火墻的安全準則包括什么)

    一、什么是防火墻?我們應在怎樣部署防火墻?部署防火墻的原則是什么?

    所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個安全網(wǎng)關,從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成,防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻。 部署防火墻: 規(guī)則實施

    規(guī)則實施看似簡單,其實需要經(jīng)過詳盡的信息統(tǒng)計才可以得以實施。在過程中我們需要了解公司對內(nèi)對外的應用以及所對應的源地址、目的地址、TCP或UDP的端口,并根據(jù)不同應用的執(zhí)行頻繁程度對策率在規(guī)則表中的位置進行排序,然后才能實施配置。原因是防火墻進行規(guī)則查找時是順序執(zhí)行的,如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。另外,應該及時地從病毒監(jiān)控部門得到病毒警告,并對防火墻的策略進行更新也是制定策略所必要的手段。

    規(guī)則啟用計劃

    通常有些策略需要在特殊時刻被啟用和關閉,比如凌晨3:00。而對于網(wǎng)管員此時可能正在睡覺,為了保證策略的正常運作,可以通過規(guī)則啟用計劃來為該規(guī)則制定啟用時間。另外,在一些企業(yè)中為了避開上網(wǎng)高峰和攻擊高峰,往往將一些應用放到晚上或凌晨來實施,比如遠程數(shù)據(jù)庫的同步、遠程信息采集等等,遇到這些需求網(wǎng)管員可以通過制定詳細的規(guī)則和啟用計劃來自動維護系統(tǒng)的安全。

    日志監(jiān)控

    日志監(jiān)控是十分有效的安全管理手段,往往許多管理員認為只要可以做日志的信息,都去采集,比如說對所有的告警或所有與策略匹配或不匹配的流量等等,這樣的做法看似日志信息十分完善,但可以想一下每天進出防火墻的數(shù)據(jù)報文有上百萬甚至更多,你如何在這些密密麻麻的條目中分析你所需要的信息呢?雖然有一些軟件可以通過分析日志來獲得圖形或統(tǒng)計數(shù)據(jù),但這些軟件往往需要去二次開發(fā)或制定,而且價格不菲。所以只有采集到最關鍵的日志才是真正有用的日志。

    一般而言,系統(tǒng)的告警信息是有必要記錄的,但對于流量信息是應該有選擇的。有時候為了檢查某個問題我們可以新建一條與該問題匹配的策略并對其進行觀測。比如:內(nèi)網(wǎng)發(fā)現(xiàn)蠕蟲病毒,該病毒可能會針對主機系統(tǒng)某UDP端口進行攻擊,網(wǎng)管員雖然已經(jīng)將該病毒清除,但為了監(jiān)控有沒有其他的主機受感染,我們可以為該端口增加一條策略并進行日志來檢測網(wǎng)內(nèi)的流量。

    另外,企業(yè)防火墻可以針對超出經(jīng)驗閥值的報文做出響應,如丟棄、告警、日志等動作,但是所有的告警或日志是需要認真分析的,系統(tǒng)的告警支持根據(jù)經(jīng)驗值來確定的,比如對于工作站和服務器來說所產(chǎn)生的會話數(shù)是完全不同的,所以有時會發(fā)現(xiàn)系統(tǒng)告知一臺郵件服務器在某端口發(fā)出攻擊,而很有可能是這臺服務器在不斷的重發(fā)一些沒有響應的郵件造成的。

    設備管理

    對于企業(yè)防火墻而言,設備管理方面通常可以通過遠程Web管理界面的訪問以及Internet外網(wǎng)口被Ping來實現(xiàn),但這種方式是不太安全的,因為有可能防火墻的內(nèi)置Web服務器會成為攻擊的對象。所以建議遠程網(wǎng)管應該通過IPsec VPN的方式來實現(xiàn)對內(nèi)端口網(wǎng)管地址的管理.原則參考: http://wenku.baidu.com/view/fb08f948cf84b9d528ea7a16.html

    二、網(wǎng)絡安全有哪五大原則

    我國在維護網(wǎng)絡安全方面確立了五個方面的基本原則:

    第一,實名制原則。

    第二,互聯(lián)互通原則。

    第三,關鍵數(shù)據(jù)評估管理原則。

    第四,保護個人隱私的原則。

    第五,防火墻原則。

    三、防火墻是什么

    您好!關于您的問題回答如下:防火墻是一類防范措施的總稱,它使得內(nèi)部網(wǎng)絡與Internet之間或者與其他外部網(wǎng)絡互相隔離、限制網(wǎng)絡互訪用來保護內(nèi)部網(wǎng)絡。防火墻簡單的可以只用路由器實現(xiàn),復雜的可以用主機甚至一個子網(wǎng)來實現(xiàn)。設置防火墻目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設立唯一的通道,簡化網(wǎng)絡的安全管理。

    防火墻的功能有:

    1、過濾掉不安全服務和非法用戶

    2、控制對特殊站點的訪問

    3、提供監(jiān)視Internet安全和預警的方便端點

    由于互連網(wǎng)的開放性,有許多防范功能的防火墻也有一些防范不到的地方:

    1、防火墻不能防范不經(jīng)由防火墻的攻擊。例如,如果允許從受保護網(wǎng)內(nèi)部不受限制的向外撥號,一些用戶可以形成與Internet的直接的連接,從而繞過防火墻,造成一個潛在的后門攻擊渠道。

    2、防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。

    3、防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。當有些表面看來無害的數(shù)據(jù)被郵寄或復制到Internet主機上并被執(zhí)行而發(fā)起攻擊時,就會發(fā)生數(shù)據(jù)驅(qū)動攻擊。

    因此,防火墻只是一種整體安全防范政策的一部分。這種安全政策必須包括公開的、以便用戶知道自身責任的安全準則、職員培訓計劃以及與網(wǎng)絡訪問、當?shù)睾瓦h程用戶認證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護的有關政策。

    防火墻的特點

    一般防火墻具備以下特點:

    1、廣泛的服務支持:通過將動態(tài)的、應用層的過濾能力和認證相結(jié)合,可實現(xiàn)WWW瀏覽器、HTTP服務器、 FTP等;

    2、對私有數(shù)據(jù)的加密支持:保證通過Internet進行虛擬私人網(wǎng)絡和商務活動不受損壞;

    3、客戶端認證只允許指定的用戶訪問內(nèi)部網(wǎng)絡或選擇服務:企業(yè)本地網(wǎng)與分支機構(gòu)、商業(yè)伙伴和移動用戶間安全通信的附加部分;

    4、反欺騙:欺騙是從外部獲取網(wǎng)絡訪問權(quán)的常用手段,它使數(shù)據(jù)包好似來自網(wǎng)絡內(nèi)部。防火墻能監(jiān)視這樣的數(shù)據(jù)包并能扔掉它們;

    5、C/S模式和跨平臺支持:能使運行在一平臺的管理模塊控制運行在另一平臺的監(jiān)視模塊。

    實現(xiàn)防火墻的技術

    防火墻的實現(xiàn)從層次上大體上可以分兩種:報文過濾和應用層網(wǎng)關。

    報文過濾是在IP層實現(xiàn)的,因此,它可以只用路由器完成。報文過濾根據(jù)報文的源IP地址、目的IP地址、源端口、目的端口及報文傳遞方向等報頭信息來判斷是否允許報文通過。現(xiàn)在也出現(xiàn)了一種可以分析報文數(shù)據(jù)區(qū)內(nèi)容的智能型報文過濾器。

    報文過濾器的應用非常廣泛,因為CPU用來處理報文過濾的時間可以忽略不計。而且這種防護措施對用戶透明,合法用戶在進出網(wǎng)絡時,根本感覺不到它的存在,使用起來很方便。報文過濾另一個也是很關鍵的弱點是不能在用戶級別上進行過濾,即不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設成一個合法主機的IP地址,就可以很輕易地通過報文過濾器。

    報文過濾的弱點可以用應用層網(wǎng)關解決。在應用層實現(xiàn)防火墻,方式多種多樣,下面是幾種應用層防火墻的設計實現(xiàn)。

    1、應用代理服務器(Application Gateway Proxy)

    在網(wǎng)絡應用層提供授權(quán)檢查及代理服務。當外部某臺主機試圖訪問受保護網(wǎng)絡時,必須先在防火墻上經(jīng)過身份認證。通過身份認證后,防火墻運行一個專門為該網(wǎng)絡設計的程序,把外部主機與內(nèi)部主機連接。在這個過程中,防火墻可以限制用戶訪問的主機、訪問時間及訪問的方式。同樣,受保護網(wǎng)絡內(nèi)部用戶訪問外部網(wǎng)時也需先登錄到防火墻上,通過驗證后,才可訪問。

    應用網(wǎng)關代理的優(yōu)點是既可以隱藏內(nèi)部IP地址,也可以給單個用戶授權(quán),即使攻擊者盜用了一個合法的IP地址,也通不過嚴格的身份認證。因此應用網(wǎng)關比報文過濾具有更高的安全性。但是這種認證使得應用網(wǎng)關不透明,用戶每次連接都要受到認證,這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序。

    2、回路級代理服務器

    即通常意義的代理服務器,它適用于多個協(xié)議,但不能解釋應用協(xié)議,需要通過其他方式來獲得信息,所以,回路級代理服務器通常要求修改過的用戶程序。

    套接字服務器(Sockets Server)就是回路級代理服務器。套接字(Sockets)是一種網(wǎng)絡應用層的國際標準。當受保護網(wǎng)絡客戶機需要與外部網(wǎng)交互信息時,在防火墻上的套服務器檢查客戶的User ID、IP源地址和IP目的地址,經(jīng)過確認后,套服務器才與外部的服務器建立連接。對用戶來說,受保護網(wǎng)與外部網(wǎng)的信息交換是透明的,感覺不到防火墻的存在,那是因為網(wǎng)絡用戶不需要登錄到防火墻上。但是客戶端的應用軟件必須支持 “Socketsified API”,受保護網(wǎng)絡用戶訪問公共網(wǎng)所使用的IP地址也都是防火墻的IP地址。

    3、代管服務器

    代管服務器技術是把不安全的服務如FTP、Telnet等放到防火墻上,使它同時充當服務器,對外部的請求作出回答。與應用層代理實現(xiàn)相比,代管服務器技術不必為每種服務專門寫程序。而且,受保護網(wǎng)內(nèi)部用戶想對外部網(wǎng)訪問時,也需先登錄到防火墻上,再向外提出請求,這樣從外部網(wǎng)向內(nèi)就只能看到防火墻,從而隱藏了內(nèi)部地址,提高了安全性。

    4、IP通道(IP Tunnels)

    如果一個大公司的兩個子公司相隔較遠,通過Internet通信。這種情況下,可以采用IP Tunnels來防止Internet上的黑客截取信息,從而在Internet上形成一個虛擬的企業(yè)網(wǎng)。

    5、網(wǎng)絡地址轉(zhuǎn)換器(NAT Network Address Translate)

    當受保護網(wǎng)連到Internet上時,受保護網(wǎng)用戶若要訪問Internet,必須使用一個合法的IP地址。但由于合法Internet IP地址有限,而且受保護網(wǎng)絡往往有自己的一套IP地址規(guī)劃(非正式IP地址)。網(wǎng)絡地址轉(zhuǎn)換器就是在防火墻上裝一個合法IP地址集。當內(nèi)部某一用戶要訪問Internet時,防火墻動態(tài)地從地址集中選一個未分配的地址分配給該用戶,該用戶即可使用這個合法地址進行通信。同時,對于內(nèi)部的某些服務器如 Web服務器,網(wǎng)絡地址轉(zhuǎn)換器允許為其分配一個固定的合法地址。外部網(wǎng)絡的用戶就可通過防火墻來訪問內(nèi)部的服務器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾,又對外隱藏了內(nèi)部主機的IP地址,提高了安全性。

    6、隔離域名服務器(Split Domain Name Server )

    這種技術是通過防火墻將受保護網(wǎng)絡的域名服務器與外部網(wǎng)的域名服務器隔離,使外部網(wǎng)的域名服務器只能看到防火墻的IP地址,無法了解受保護網(wǎng)絡的具體情況,這樣可以保證受保護網(wǎng)絡的IP地址不被外部網(wǎng)絡知悉。

    7、郵件技術(Mail Forwarding)

    當防火墻采用上面所提到的幾種技術使得外部網(wǎng)絡只知道防火墻的IP地址和域名時,從外部網(wǎng)絡發(fā)來的郵件,就只能送到防火墻上。這時防火墻對郵件進行檢查,只有當發(fā)送郵件的源主機是被允許通過的,防火墻才對郵件的目的地址進行轉(zhuǎn)換,送到內(nèi)部的郵件服務器,由其進行轉(zhuǎn)發(fā)。

    防火墻的體系結(jié)構(gòu)及組合形式

    1、屏蔽路由器(Screening Router)

    這是防火墻最基本的構(gòu)件。它可以由廠家專門生產(chǎn)的路由器實現(xiàn),也可以用主機來實現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道,要求所有的報文都必須在此通過檢查。路由器上可以裝基于IP層的報文過濾軟件,實現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項,但一般比較簡單。

    單純由屏蔽路由器構(gòu)成的防火墻的危險帶包括路由器本身及路由器允許訪問的主機。它的缺點是一旦被攻陷后很難發(fā)現(xiàn),而且不能識別不同的用戶。

    2、雙穴主機網(wǎng)關(Dual Homed Gateway)

    這種配置是用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。兩塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連。堡壘主機上運行著防火墻軟件,可以轉(zhuǎn)發(fā)應用程序,提供服務等。

    雙穴主機網(wǎng)關優(yōu)于屏蔽路由器的地方是:堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志、硬件拷貝日志或遠程日志。這對于日后的檢查很有用。但這不能幫助網(wǎng)絡管理者確認內(nèi)網(wǎng)中哪些主機可能已被黑客入侵。

    雙穴主機網(wǎng)關的一個致命弱點是:一旦入侵者侵入堡壘主機并使其只具有路由功能,則任何網(wǎng)上用戶均可以隨便訪問內(nèi)網(wǎng)。

    3、被屏蔽主機網(wǎng)關(Screened Host Gateway)

    屏蔽主機網(wǎng)關易于實現(xiàn)也很安全,因此應用廣泛。例如,一個分組過濾路由器連接外部網(wǎng)絡,同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡上,通常在路由器上設立過濾規(guī)則,并使這個堡壘主機成為從外部網(wǎng)絡唯一可直接到達的主機,這確保了內(nèi)部網(wǎng)絡不受未被授權(quán)的外部用戶的攻擊。

    如果受保護網(wǎng)是一個虛擬擴展的本地網(wǎng),即沒有子網(wǎng)和路由器,那么內(nèi)網(wǎng)的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器。網(wǎng)關的基本控制策略由安裝在上面的軟件決定。如果攻擊者設法登錄到它上面,內(nèi)網(wǎng)中的其余主機就會受到很大威脅。這與雙穴主機網(wǎng)關受攻擊時的情形差不多。

    4、被屏蔽子網(wǎng) (Screened Subnet)

    這種方法是在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng),用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡和外部網(wǎng)絡分開。在很多實現(xiàn)中,兩個分組過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內(nèi)構(gòu)成一個“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設有一堡壘主機作為唯一可訪問點,支持終端交互或作為應用網(wǎng)關代理。這種配置的危險帶僅包括堡壘主機、子網(wǎng)主機及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。

    如果攻擊者試圖完全破壞防火墻,他必須重新配置連接三個網(wǎng)的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發(fā)現(xiàn),這樣也還是可能的。但若禁止網(wǎng)絡訪問路由器或只允許內(nèi)網(wǎng)中的某些主機訪問它,則攻擊會變得很困難。在這種情況下,攻擊者得先侵入堡壘主機,然后進入內(nèi)網(wǎng)主機,再返回來破壞屏蔽路由器,整個過程中不能引發(fā)警報。

    建造防火墻時,一般很少采用單一的技術,通常是多種解決不同問題的技術的組合。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務,以及網(wǎng)管中心能接受什么等級風險。采用哪種技術主要取決于經(jīng)費,投資的大小或技術人員的技術、時間等因素。一般有以下幾種形式:

    1、使用多堡壘主機;

    2、合并內(nèi)部路由器與外部路由器;

    3、合并堡壘主機與外部路由器;

    4、合并堡壘主機與內(nèi)部路由器;

    5、使用多臺內(nèi)部路由器;

    6、使用多臺外部路由器;

    7、使用多個周邊網(wǎng)絡;

    8、使用雙重宿主主機與屏蔽子網(wǎng)。

    內(nèi)部防火墻

    建立防火墻的目的在于保護內(nèi)部網(wǎng)免受外部網(wǎng)的侵擾。有時為了某些原因,我們還需要對內(nèi)部網(wǎng)的部分站點再加以保護以免受內(nèi)部的其它站點的侵襲。因此,有時我們需要在同一結(jié)構(gòu)的兩個部分之間,或者在同一內(nèi)部網(wǎng)的兩個不同組織結(jié)構(gòu)之間再建立防火墻(也被稱為內(nèi)部防火墻)。

    防火墻的未來發(fā)展趨勢

    目前,防火墻技術已經(jīng)引起了人們的注意,隨著新技術的發(fā)展,混合使用包過濾技術、代理服務技術和其它一些新技術的防火墻正向我們走來。

    越來越多的客戶端和服務器端的應用程序本身就支持代理服務方式。比如,許多WWW 客戶服務軟件包就具有代理能力,而許多象SOCKS 這樣的軟件在運行編譯時也支持類代理服務。

    包過濾系統(tǒng)向著更具柔性和多功能的方向發(fā)展。比如動態(tài)包過濾系統(tǒng),在CheckPoint Firewall-1、Karl Brige/Karl Brouter 以 及 Morning Star Secure Connect router 中的包過濾規(guī)則可由路由器靈活、快速的來設置。一個輸出的UDP 數(shù)據(jù)包可以引起對應的允許應答UDP 創(chuàng)立一個臨時的包過濾規(guī)則,允許其對應的UDP 包進入內(nèi)部網(wǎng)。

    被稱為“ 第三代”產(chǎn)品的第一批系統(tǒng)已開始進入市場。如Border 網(wǎng)絡技術公司的Border 產(chǎn)品和Truest 信息系統(tǒng)公司的Gauntlet 3.0 產(chǎn)品從外部向內(nèi)看起來像是代理服務(任何外部服務請求都來自于同一主機),而由內(nèi)部向外看像一個包過濾系統(tǒng)(內(nèi)部用戶認為他們直接與外部網(wǎng)交互)。這些產(chǎn)品通過對大量內(nèi)部網(wǎng)的外向連接請求的計帳系統(tǒng)和包的批次修改對防火墻的內(nèi)外提供相關的偽像。Karl Bridge/Karl Brouter 產(chǎn)品拓展了包過濾的范圍,它對應用層上的包過濾和授權(quán)進行了擴展。這比傳統(tǒng)的包過濾要精細得多。

    目前,人們正在設計新的IP 協(xié)議(也被稱為IP version 6)。IP 協(xié)議的變化將對防火墻的建立與運行產(chǎn)生深刻的影響。同時,目前大多數(shù)網(wǎng)絡上的機器的信息流都有可能被偷看到,但更新式的網(wǎng)絡技術如幀中繼,異步傳輸模式(ATM)可將數(shù)據(jù)包源地址直接發(fā)送給目的地址,從而防止信息流在傳輸中途被泄露。

    四、防火墻的兩條默認準則是什么?

    一切未被允許的就是禁止的

    一切未被禁止的就是允許的

    求采納

    以上就是關于建立網(wǎng)絡防火墻的安全準則包括相關問題的回答。希望能幫到你,如有更多相關問題,您也可以聯(lián)系我們的客服進行咨詢,客服也會為您講解更多精彩的知識和內(nèi)容。


    推薦閱讀:

    怎么建立網(wǎng)站平臺(怎么建立網(wǎng)站平臺鏈接)

    如何建立自己的推廣網(wǎng)站(如何建立自己的推廣網(wǎng)站呢)

    如何建立自己的個人品牌(如何建立自己的個人品牌論文)

    錫盟廣場景觀設計(錫盟廣場景觀設計招聘)

    企業(yè)管理培訓課程(企業(yè)管理培訓課程網(wǎng)課)