返回
浅析防火墙规则集的配置策略

浅析防火墙规则集的配置策略

ID:43993680

大小:34.50 KB

页数:3页

时间:2019-10-17

浅析防火墙规则集的配置策略_第1页
浅析防火墙规则集的配置策略_第2页
浅析防火墙规则集的配置策略_第3页
资源描述:

《浅析防火墙规则集的配置策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、浅析防火墙规则集的配置策略计算机安全问题已成为冃前网络运行和管理中的重要内容,保证系统软、硕件安金较有较的解决方案是防水墙,防水墙是架设在内部网络和外部网络之间的屏障,它限制内部和外部网络数据的自由流动,如果使用得当,防火墙会大大地提高网络的安全性。现冇的人型软件系统都存在着缺陷,这些缺陷有可能会成为安全漏洞,因此,当配置防火墙时,凡是没有明确允许的,都是禁止的。一旦选择了允许,就接受了由此带来的风险,故而当我们决定选用防火墙的吋候,必须恰当地设置其安全策略。建立成功、稳固的防火墙安全策略并不是一件十分容易的事,评

2、价一个己建立好的防火墙的防范性能包括状态检查表的效率,基于应用的过滤能力,数据包的和重装过程等。然而,一旦错误地配置了安全策略,就会发现价值儿十万或上百万的防火墙却让网络眾露在极大的危险之屮。一、成功配置策略的关键一个安全的防火墙应该有一个简单的安全策略。因为在网络的使川过程屮我们遇到的头号敌人就是“配置错误”。它会给我们带来越来越多的麻烦,安全策略规则越多,犯错误的可能性就越大;反过來保持一个短小梢悍的规则集,就会更加易于理解和维护。一个比较好的例子是不要超过30条规则,在30条以内,比较容易理解到底发生了什么事

3、情;在30条到50条ZI'可,事情就会变得令人迷惑。一口规则超过了50条,那么可以说这样的安全策略必然会有问题,会使管理者或使用者陷入了泥潭。当开始配置防火墙时,一定要对整体的安全体系结构冇清楚的了解,而不能急于开始。关键在于防火墙规则越简单,犯错误的可能性就越小,而且防火墙的通过性能也会更好一•些。二、规划安全策略首先,我们假设一个安全策略,然后在此基础上,分步骤介绍建立防火墙规则集的一些方法,需要注意的是,防火墙和防火墙的规则集只不过是安全策略在技术上的具体实现。管理者设计安全策略来定义哪些可以做,哪些不可以做

4、,哪些需要强制实行。因此,我们可以拟定一个如下的简单安全策略:(1)内部网络人员可以不受限制地访问Interneto(2)需要提供从Internet到公司Web服务器和E-mail服务器的直接连接。(3)任何从外部发起到内部网络的连接都必须是经过安全认证和加密的。很显然许多组织的防火墙策略要复杂得多,然而我们很快会发现,这个简单的安全策略是如何快速增长、越变越复杂的。三、构建安全体系结构作为安全管理员,我们的笫一步是将安金策略转换成安全体系结构。下面我们将上面拟定的安全策略逐一转换为安全体系结构。第(1)条很简单,

5、从内部发起的任何连接都可以转发到Internet上。第(2)条有点复杂,我们需要为公司建立Web和E-mail服务器,我们将把它们放置在DMZ屮。DMZ(非军事区)是一个被隔离的网络,在里面放置的是不被信任的机器。因为任何人都可以通过Internet访问Web和E-mail服务器,所以我们绝对不能信任它们,也就是说,在DMZ内部的机器不可以发起对内网的连接。有两种类型的DMZ:被保护的DMZ和不受保护的DMZ。被保护的DMZ是位于防火墙的后面一段隔离网络,不受保护的DMZ位于防火墙和边界路由器的中间。一般我们更倾向

6、于使用被保护的DMZ,所以我们把Web和E-mail服务器放在那里。从外部网络向内网发起的连接,在日前只有远程管理。我们需要允许系统管理员们可以远程访问他们的系统,通过只允许SSH协议进入內网来解决这个问题。另外一个问题就是DNS虽然没有在上面的安全策略屮表述,我们也需要面对这个问题。为安全起见,应使用分割DNSo分割DNS的功能是半DNS的完整功能分到两台不同的服务器I二完成。一台外部DNS服务器用于在Internet上解析公司的主域信息,一台内部DNS服务器用于向内部用八域名解析服务。外部DNS服务器将和Web

7、服务器和E-niai1服务器一样被放置于被保护的DMZ中,而内部DNS服务器被放置于内部网络中,因为内部DNS服务器中含有内部网络的拓扑信息,所以必须使其免于受到來白Internet的攻击。上ifii就是我们的防火墙规则集需要实现的安全策略,看起來比较简单,但实际上不是这样。我们将用14条规则来体现这一策略。四、配置防火墙规则集(1)规则的顺序。按何种顺序排列防火墙规则很重耍,同样的规则按照不同的顺序排列,会极人地影响防火墙的工作状态。类似于CheckpointFW-1>NetScreen、CiscoP1X这样的防

8、火墙,接收到一个数据包后,它会首先与笫1条规则比鮫,一旦匹配,就会停止检查,应用这条规则;如果不匹配,就继续与笫2条规则比较,依此类推。当比较完所有的规则仍没有匹配时,丢弃这个数据包。不难理解,会出现这个情况,前面的规则已经匹配了这个数据包,但这并不是最佳匹配,示而的最付佳匹配规则没有用上。因此,最特殊的规则应该在最前面,最通用的规则在最后,这样可以减少错谋

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。