欢迎来到天天文库
浏览记录
ID:42997747
大小:1.10 MB
页数:55页
时间:2019-09-27
《建立以防火墙为核心的网络安全体系》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、建立以防火墙为核心的网络安全体系北大青鸟环宇科技股份有限公司基本概念防火墙技术发展解决方案防火墙安全策略防火墙管理防火墙技术发展趋势起步于90年代初,是最早出现的且使用量最大的网络安全产品。作为一个中心“遏制点”,将局域网的安全管理集中起来。是标准的网间隔离设备,识别并屏蔽非法请求,有效防止跨越权限的数据访问。可与其它防火墙、IDS联动,并与VPN设备配合使用,建立层次防御体系。可扫描电子邮件和Web页面中的病毒和恶意代码。防火墙操作层次防火墙附加功能网络地址转换NAT动态主机配置协议DHCP加密功能如VPN主动内容过滤技术基本概念防火墙技术发展解决方案防火墙安全策略防火墙管
2、理防火墙技术发展趋势包过滤防火墙状态检测防火墙应用代理网关防火墙混合型防火墙包过滤防火墙基于网络包的如下信息提供网络访问功能:源地址目的地址通信类型(具体的网络协议,经常在第2层是Ethernet,在第3层是IP)。第4层通信会话的一些特征,如会话的源与目的端口。来自哪块网卡,发往哪块网卡。包防火墙操作层次包防火墙的优点速度快灵活可以封锁拒绝服务及相关攻击是置于与不可信网络相连的最外边界之理想设备包防火墙简单布署图包防火墙的缺点不能阻止利用具体应用的弱点或功能的攻击日志内容少不支持高级用户鉴别方案不能防止网络地址假冒攻击容易受配置不当的影响结论包过滤防火墙非常适合于审计和用户
3、鉴别不重要的高速环境。有利于实施高可用性及failover方案。状态检测防火墙操作层次状态检测防火墙建立连接状态表,记录外出的TCP连接及相应的高编号客户端口,以验证任何进入的通信是否合法。防火墙跟踪客户端口,而不是打开全部高编号端口给外部访问,因而更安全。具有包过滤防火墙的优缺点。目前的状态检测技术仅可用于TCP/IP网络。应用代理网关防火墙操作层次应用代理网关防火墙的优点日志能力强支持直接的用户鉴别可在一定程度上防止地址假冒攻击应用代理网关防火墙的缺点降低了防火墙的吞吐率,不适合高带宽或实时应用。对新网络应用与协议的支持有限,大多数应用代理网关防火墙开发商提供通用代理以支
4、持未定义的网络协议或应用,在一定程度上限制了应用代理网关架构优点的发挥。典型的应用代理专用代理服务器保留通信的代理控制,但不含有防火墙能力减轻防火墙的处理负载,执行专门的过滤、审计及Web和Email内容扫描应用代理布署图混合型防火墙包过滤或状态检测防火墙实现基本的应用代理功能,以提供较好的网络通信审计与用户鉴别。应用代理网关防火墙实现基本的包过滤功能,更好地支持基于UDP的应用。在选择防火墙产品时,应以其支持的特征集而不是防火墙产品分类为依据。基本概念防火墙技术发展解决方案防火墙安全策略防火墙管理防火墙技术发展趋势布署防火墙的四个原则尽量简单物尽其用建立层次防护注意内部威胁
5、(将内部Web、Email服务器或财务系统等重要系统置于内部防火墙后面或DMZ中)。DMZ网络设置DMZ的优点将外面可访问的服务器置于DMZ中,可减少远程攻击者使用这些服务器作为攻击专用网的带菌媒介的可能性。同时可专门控制用户对这些系统的访问权限。服务支路配置VPNVPN服务器的放置在大多数情况下,最好将VPN服务器放在防火墙上。如果将VPN服务器放在防火墙后面,即将穿过防火墙外出的VPN通信将被加密,防火墙就不能检查通信,执行访问控制、审计及扫描病毒等。Intranet/Extranet基础构件:Hub&SwitchHub工作在物理层,为网络系统或资源提供物理上的悬挂点。H
6、ub允许任何连在上面的设备监视网络通信,不易用于建立DMZ或防火墙环境。网络Switch工作在数据链路层,本质上是一个多端口桥,可传送全网络带宽给每一个端口。连接到Switch上的系统不能互相窃听,可用于实现DMZ网和防火墙环境。由于类似于DOS的攻击能使Switch用包淹没连接的网络,不能在防火墙外面用Switch提供通信隔离。Switch的子网隔离能力将影响IDS的布署与实现。IDS用于通报及在某些情况下阻止对网络系统或资源的未授权访问。许多IDS可与防火墙交互,实现联动。与IDS交互的防火墙能自动对察觉到的远程威胁作出反应,没有人工反应中的延迟。基于主机的IDS集成于操
7、作系统中。能在高粒度层探测威胁。问题:影响系统性能及稳定性;不能注意到基于网络的攻击,如DOS。基于网络的IDS可以监视多个系统和资源。问题:会漏掉分散在多个包中的攻击特征。依赖于混杂模式网络接口。易被攻击。在遭到DOS攻击时,许多IDS失效。IDS布署图DNS内部域名服务器应与外部域名服务器分开(SplitDNS技术)。必须控制DNS允许的访问类型。DNS布署图防火墙环境中服务器的放置应考虑的因素:DMZ的个数、外部和内部对DMZ中服务器的访问要求、通信量及数据敏感程度。放置指南:用边界路由器/包过滤
此文档下载收益归作者所有