试论防火墙技术与网络安全

《试论防火墙技术与网络安全》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

　　试论防火墙技术与网络安全X络已经成为了人类所构建的最丰富多彩的虚拟世界，X络的迅速发展，给我们的工作和学习生活带来了巨大的改变。我们通过X络获得信息，共享资源。如今，Inter遍布世界任何一个角落，并且欢迎任何一个人加入其中，相互沟通，相互交流。随着X络的延伸，安全问题受到人们越来越多的关注。在X络日益复杂化，多样化的今天，如何保护各类X络和应用的安全，如何保护信息安全，成为了本文探讨的重点。几乎所有接触X络的人都知道X络中有一些费尽心机闯入他人计算机系统的人，他们利用各种X络和系统的漏洞，非法获得未授权的访问信息。不幸的是如今攻击X络系统和窃取信息已经不需要什么高深的技巧。X络中有大量的攻击工具和攻击文章等资源，可以任意使用和共享。不需要去了解那些攻击程序是如何运行的，只需要简单的执行就可以给X络造成巨大的威胁。甚至部分程序不需要人为的参与，非常智能化的扫描和破坏整个X络。这种情况使得近几年的攻击频率和密度显著增长，给X络安全带来越来越多的安全隐患。//请保留本文完整.REISTLIN.Blog.Cnunder..我们可以通过很多X络工具，设备和策略来保护不可信任的X络。其中防火墙是运用非常广泛和效果最好的选择。它可以防御X络中的各种威胁，并且做出及时的响应，将那些危险的连接和攻击行为隔绝在外。从而降低X络的整体风险。防火墙的基本功能是对X络通信进行筛选屏蔽以防止未授权的访问进出计算机X络，简单的概括就是，对X络进行访问控制。绝大部分的防火墙都是放置在可信任X络（Internal）和不可信任X络（Inter）之间。防火墙一般有三个特性：A．所有的通信都经过防火墙B．防火墙只放行经过授权的X络流量C．防火墙能经受的住对其本身的攻击我们可以看成防火墙是在可信任X络和不可信任X络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个X络接口的计算机，服务器等，被配置成保护指定X络，使其免受来自于非信任X络区域的某些协议与服务的影响。所以一般情况下防火墙都位于X络的边界，例如保护企业X络的防火墙，将部署在内部X络到外部X络的核心区域上。 为什么要使用防火墙？很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是P图片木马，ActiveX控件后门程序等，通过各类嵌入攻击代码的X页，在浏览者毫不知情的情况下，后台进驻到操作系统中，修改注册表和系统设置，种植后门程序，收集用户信息和资料。这一切都会给工作站造成无法估量的安全风险。一旦工作站遭到攻击与控制，就很可能威胁到整个内部X络和核心区域，所以我们说，保护好工作站的安全，是企业X络安全的一个重要部分。通过上面简单的分析和举例，工作站的安全工作主要包含如下几个方面：桌面防病毒，桌面防火墙，系统补丁管理，系统授权与审核，软件使用许可监控和X络访问控制。从如今市场上流行的解决桌面安全的产品中，从保护用户系统的稳定性与可用性以及综合安全的角度，我们选择Symantec公司的SymantecClientSecurity2.0作为桌面防病毒和防火墙的集成安全解决方案。该产品最大的优势是不存在互操作性问题，SCS2.0将防病毒，防火墙与桌面入侵检测完美结合，提供如今防御混合性威胁最佳组合。采用来自不同厂商的多种单点产品使得全面防护变为一项极为复杂甚至根本不可能的任务，因为跨厂商的互操作性问题往往会存在漏洞，从而使威胁乘虚而入危及安全性。此外，当病毒发作时，必须针对各种不同的技术，对每个厂商提供的修复方案进行测试和验证。这样就降低了对攻击的反应速度，并潜在地增加了成本。如果您要了解更有关于SCS方面的资料，可以访问enterprisesecurity.symantec.X站，获得更多信息和技术支持。混合性威胁：用多种方法和技术来传播和实施的攻击或威胁，因而必须有多种方法来保护和压制这种攻击或威胁。如:CodeRed.CodeRedII.CodeBlue.Nimda.正如上面所提到的，必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕虫影响。众所周知，Microsoft有专门的Update站点来发布最新的漏洞补丁，我们所需要做的，是下载补丁，安装并重新启动。但是在大型企业中实际实施却没有这么简单，修补不同操作系统的大量客户端，如e/2000/XP/2003等，将是一件让人痛苦的工作，不仅部署时间长，还要花费大量的人力和时间，影响到企业的应用和业务的正常运转。尤其是在X络环境复杂的企业中，包含多个域多个工作组，或没有域的早期环境。如何在蠕虫和黑客还没有渗透到X络之前修补这些漏洞，如何将部署这些补丁对企业的运行影响减小到最低呢？我们的回答是，选择一套高效安全的桌面管理软件，来进行完善的企业IT管理：LANDeskManagement Suite，即LANDesk管理套件，桌面管理市场的开创者和领导者。LANDesk专注于提供桌面管理市场的产品与服务，公司原属于Intel公司的软件部，拥有强大的管理团队与专业背景，全面支持混合平台环境。包括）OS操作系统迁移，软件分发，软件许可监控等功能，请通过.Landesk..获得更详尽的信息。真正的安全：整体集成安全解决方案+同时更新=真正的安全通过在内部X络中的每台工作站上部署防病毒，防火墙，入侵检测，补丁管理与系统监控，我们可以集中收集内部X络中的威胁，分析面对的风险，灵活适当的调整安全管理策略。但这仅仅是不够的，还有另外一个重要的部分，就是从X络结构上的接入层，汇聚层和核心交换层设备上做好访问控制与流量管理。其次是X络结构的安全性，管理人员都知道，通过部署多层交换机，实现多个VLAN和快速收敛的路由，是保证X络结构的可靠性与强壮性的最佳方法。在划分了多个逻辑X络和建立符合应用的ACL的同时，我们更希望能收集和归纳出整个X络的更多安全信息，包括流量的管理，QoS，入侵行为和用户访问信息。仅通过X络设备提供的日志，SNMP管理是远远不够的，现今的方法是通过部署IDS/IPS来实现。在核心的节点部署IDS/IPS探点，采集和汇总数据包的完整信息，提供给管理人员分析是正确的方法。当然了，这也要求管理人员的技术水平达到一定的高度，并且会耗费一部分时间用于分析日志。入侵检测系统能与其他的X络设备联动，减少误报，共同响应与阻断威胁，将是未来的发展趋势和重点。X络的核心区域包括核心交换机，核心路由器等重要设备，它们负担整个X络的核心数据的转发，并且连接着DMZ区的各个关键应用，如OA系统，ERP系统，CRM系统，对内或对外的Z区应用的可用性和友好性，又要保证其访问的安全性与审核。很多情况下我们不但要在X络的边界部署防火墙，也要在这个区域部署为保护DMZ等类似的关键区域的防火墙。存在的矛盾：如果部署安全策略，在提高安全性的同时，势必会影响其可用性。这个矛盾是不可调和的。 与边界防火墙不同的是，关键区域的防火墙主要是面对内部用户，保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁，比如扫描，渗透，入侵，拒绝服务攻击等攻击，也要提供诸如NAT服务，出站控制，远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据X络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域，提供深层次的检测与告警。因为一旦涉及到数据包深入检测，将会大大影响设备的性能。而这是对边界防火墙要求高性能数据过滤和转发，不成为出口瓶颈所不能容忍的。管理人员应该先充分了解X络的特点与用途，结合设备与现有的X络环境灵活部署，才能达到较高可用性与安全性的平衡。如今的防火墙的功能越来越强大，这里我们选择业界一流的防火墙CheckPoint的StatefulInspection(状态检测技术)和CP使用了通过分拆及分析嵌入在X络传输中的可执行代码，模拟行来判断攻击，将可执行代码放置到一个虚拟的仿真服务器中运行，检测是否对虚拟系统造成威胁，最终来决定是否定义为攻击行为。该技术最大的优势是可以非常精确的阻止已知和未知攻击，并且误报率相当低。通过多种技术的协同防护，可以保证在X络边界对访问进行控制，但是，随着VPNX络和远程移动办公用户的接入增多，X络边界的概念在如今已经非常模糊了。很明显的，X络的边界已经拓展到实际用户的桌面端。所以还是回到了我们文章一开始谈到的，X络安全是需要综合的部署和完善的策略来做保证的。企业的X络安全是一项综合性很强的工作，并且持续的时间将随着整个拓扑和应用的周期而扩展。企业内部安全的很多部分本文都没有提到，如服务器的加固，无线安全，反垃圾邮件系统，风险评估，安全检测等，因为篇幅的关系，希望下次有机会继续与各位探讨和学习，谢谢。