返回
网络系统防火墙的安全策略

网络系统防火墙的安全策略

ID:11419002

大小:26.00 KB

页数:3页

时间:2018-07-11

网络系统防火墙的安全策略_第1页
网络系统防火墙的安全策略_第2页
网络系统防火墙的安全策略_第3页
资源描述:

《网络系统防火墙的安全策略》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络系统防火墙的安全策略                                 汪继增   防火墙是Internet上公认网络存取控制最佳的安全解决方案,网络公司正式将防火墙列入信息安全机制。防火墙是软硬件的结合体,架设在网络之间以确保安全的连接。因此,它可以当作Internet或Intranet的网关器,以定义一个规则组合或安全政策,来控制网络间的通讯。并可有效率地记录各种Internet应用服务的存取信息、隐藏企业内部资源、减少企业网络暴露的危机等。所以,正确安全的防火墙架构必须让所有外部到内部或内部到外部的封包都必须通过防火墙,且惟有符合安全政策定义的

2、封包,才能通过防火墙。 一.目前防火墙的技术  现在防火墙主要的技术可分为封包过滤、代理应用闸信道及多阶层状态检查等。  1.封包过滤:就如同Router的技术,在网络层具备良好的效能和延伸能力,但只能提供IP地址的过滤功能;封包过滤可知道每一个IP的来源地址,但不知道使用者为何人?同样地,它会检测网络层的封包,而不会去管是什么应用程序,所以封包过滤是防火墙中功能最不安全的,因为他们不会监测到应用程序,无法知道封包传送内容,很容易被非经授权的使用者侵入。  2.代理服务:代理服务也称为链路级网关或TCP通道,也有人将它归于应用级网关一类。它是针对数据包过滤和应用级网关

3、技术存在的缺陷而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”由代理服务器实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告。当发现被攻击迹象时,代理服务器会向网络管理员发出警报,并保留攻击痕迹。应用级网关和代理服务方式的防火墙大多是基于主机的,但性能好得多,其安装和使用也比采用数据包过滤技术的防火墙复杂。此为最传统的防火墙技术,任何进出Internet的应用服务都必须经过防火墙的代理后,再转送到目的地,这样做破坏了

4、主从架构模式。此外,这种技术只支持有限制的应用程序,每一个服务或应用程序都须要专属的代理,因此有新的Internet服务时,使用者必须等待厂商开发新的代理应用程序才能使用,从而造成执行效能不佳。  3.多阶层状态检查:这是一种新的防火墙专利技术,结合了封包过滤网络层的执行效能及代理应用闸信道的安全性。任何的封包会都在网络层中被拦劫,然后防火墙会从全部的应用层级中萃取出跟状态有关的数据,而且放在动态状态表来判别后续的封包;提供了应用层的资料内容安全检测,而且不会破坏主从架构模式,可以在资料保全和流量间作智能的控制,具有最大的扩展及延伸能力。二.安全策略的制定  1.存取

5、控制:应首先制定用户或应用服务的对象进/出网络,以确保企业内部资源。例如:设置用户存取时间严格规定在一个特定范围内取特定网站信息,或者规定指定用户拥有此特权,其它用户一律禁止此项业务。  2.认证机制:当使用者与目的主机联机时,在通讯被允许进行之前,认证的机制服务可安全地确认他们身份的有效性,且不需要修改服务器或客户端应用软件。认证服务可以完全地被整合到企业整体的安全政策内,并经由防火墙图形使用者接口集中管理。  3.内容的安全性:防火墙所提供的内容安全能力,可达到最高层次的应用服务协议检测,以保护使用者企业资源。  4.网络地址转译:网络地址转译对Internet而

6、言,可隐藏内部的网络地址,克服了IP地址数量的限制,可维护一个企业的内部地址的完整性。防火墙提供两种操作模式:  (1)动态模式:当维持已注册IP地址给予使用者存取Internet的时候和隐藏内部实际IP地址的网络资源,可使用动态的模式达到地址转译。动态的模式可将内部所有IP地址的连接,经过防火墙与单一个合法的IP地址对外。  (2)静态模式:可应用在一个网络IP地址很早就被分派使用和你需要提供“真正的”地址,以便人们在Internet能存取他们,静态模式的地址转译可解决上述问题。静态的模式提供一个对一个的对映在对外公开IP地址和内部真正的IP地址之间。  5.加强内

7、部管理:安全政策属于人员安全的管理,主要目的在降低人员使用信息或操作信息设备时所可能发生的错误,首先应该从人员背景的调查与考核做起,尤其针对一些较敏感的信息的使用,应慎选适当人员来负责。其次,企业制定的安全政策为的就是希望让企业内部所有人员熟悉与了解,因此,最佳的方法便是赋予人员应有的信息安全责任,并通过日常的信息安全教育训练来达到目的。三.设置防火墙应注意的问题  1.设置的密码绝对不能采用常用单词、人名和电话等,长度应尽量地长;2.绝对不能使用系统默认值;3.注意调整安全级别;4.设置读写权限时要当心。  随着网络攻击手段和信息安全技术的发展,新

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。