论坛: 菜鸟乐园 标题: 防火墙:锻造网上长城 复制本贴地址    
作者: zhangyun [zhangyun]    论坛用户   登录

21世纪的中国,互联网正在真实、深刻地改变着我们的生活和工作方式。然而,您确信: "我的网络安全吗?"
---- 事实上,一个没有安全维护的网站,至少存在1500个漏洞,而这些漏洞恰恰是黑客攻击的主要对象。黑客是让每一位网管头痛的噩梦。在美国,黑客入侵一个网站也许仅需1分钟的时间,而为了侦测修复网站数据聘请安全专家,需要耗资2万美元。如果内部自检修复,则起码要34个小时,耗资2000美元。

---- 目前全球有20多万家黑客网站,一个最新黑客手段诞生后,一周内就可以传遍世界。根据Financial Times的统计,全球各地平均每20秒钟就有一个网络遭到非法入侵。来自网络内部的攻击,更是防不胜防。通过各种手段,黑客正在不断窃取企业内部宝贵的数据资料,甚至使整个网络系统陷于瘫痪。

---- 保障网络安全业已成为用户的迫切需求,作为解决安全隐患的最起码和最必要的设备,防火墙成为人们首选的安全产品。但是国内用户凭借防火墙构筑的网上长城是否真的坚不可摧呢?防火墙产品的市场规模、应用现状究竟如何?带着这些疑问,笔者近日走访了一些业内专家和部分用户。

安全问题迫在眉睫

---- 随着Internet的发展,人们对于网络信息安全的要求越来越高,但几乎所有的Internet协议都没有考虑安全机制。从Internet上最通用的应用FTP、Telnet和电子邮件用户口令的明文传输以及IP报文在子网段上的广播传递就可充分体现出来。因此Internet在安全性、可靠性等方面存在着先天不足。此外,Windows、Unix等具有联网能力的操作系统,也或多或少存在着安全漏洞或"后门",比如Microsoft 的Windows NT平台缺省配置中存在的溢出漏洞,就成为黑客攻击的目标。甚至连路由器等网络设备也不可能完全避免安全漏洞。以占市场份额70%以上的Cisco公司的网络产品来说,已知的漏洞就有30多条。凡此种种都给Intranet与Internet的连通造成了安全隐患,也使合理配置和应用防火墙显得尤为重要。

---- 从2001年4月10日至5月7日,仅据深圳安络科技公司不完全统计,共接到来自北京、上海、广东、福建、浙江、山东等全国各地的安全咨询电话、E-mail等各类安全求助信息共达800余次。其中某些网站由于没有安装防火墙等必要的安全设备,加上部分网管人员安全意识较淡薄,以至于被同一种入侵方法入侵多次。

---- 据统计,目前国内共有WWW站点约265405个,其中大部分缺乏可靠的安全措施。许多企业内部网络也存在安全隐患,网络安全问题已迫在眉睫。263、北京电信等数十个Windows+IIS架构的国内网站都曾遭到攻击,其中南方某著名网站遭到DDoS攻击时,其网站的防火墙系统、负载分担系统全部瘫痪。

---- 2001年初,中国最大的某系统运营商遭到来自国内黑客的拒绝服务攻击,几个省分局的交换机和路由器的被占用率达到100%。中联绿盟信息技术有限公司的网络安全专家经过调查,从正在实施攻击的PC中寻找到一个陌生的进程,经查这是一个新出现的恶作剧工具,由此发现其攻击机理是利用该公司2000年10月发现的一个二次编码的漏洞,通过控制200台主机服务器得以实现拒绝服务攻击,于是寻根溯源,找到了此软件的作者,对其发出警告,同时也断绝了其攻击的源头。另据媒体报道,中国95%的与Internet相连的网络管理中心都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。但是目前国内多数黑客攻击事件由于没有造成严重危害或商家不愿透露而未被曝光。业内专家就此分析,由于国内Internet还处于发展阶段,大部分ISP和ICP对于防火墙等网络安全产品缺乏必要的人力和物力投入,很多重要站点的网管人员没有受过正规的网络安全培训,很多服务器至少有3种以上的漏洞可以使入侵者获取系统的最高控制权。

---- 一些国内企业至今对于网络安全问题没有引起足够重视,甚至认为,他们的服务器上没有重要数据,也没有资金往来,如果有人入侵他们的系统,最多是窜改一下首页,危害不大,因此防火墙可有可无。但是他们没有想到的是,如果黑客入侵他们的服务器后,可以用这台机器的身份对其他有重要资源的服务器发动攻击,造成第三方损失后,企业有可能成为不法黑客的"替罪羊"。

防火墙前景看好

---- 值得一提的是,网络安全不只是一个简单的信息技术问题,而且事关国家主权和国家安全,对于政治、军事、经济、社会等各个层面都可能造成不可低估的影响。为了防止在信息安全领域授人以柄,使用国产化的信息安全产品已被许多国内用户所认同,其中防火墙产品的市场前景非常广阔。

---- 根据IDC的统计,2000年中国网络安全市场销售额为6000万美元,业内人士估计其中70%为防火墙产品。另据美国Net Screen公司的调查显示,2000年全球防火墙市场规模已突破10亿美元,2001年预计防火墙市场将扩大到25亿美元。但是在中国网络安全市场上,60%以上的产品仍然是国外品牌。加之网络骨干设备包括路由器、交换机和一些根服务器存在致命漏洞,生杀大权掌握在黑客和西方的网络产品供应商手中,致使国内的网络仍然显得非常脆弱。

---- 目前Checkpoint、NAI、CA、Nokia、安氏、赛门铁克、3Com和Cisco等国外知名厂商的防火墙产品都已纷纷进入中国市场,而国内品牌如天融信的"网络卫士"、东大阿尔派的"鹰眼"、实达朗新的"朗新Netshine"、联想的"网御"、海信的"红狐"、清华得实NetST防火墙、汉邦软科的ZYSuperWall防火墙等也正在奋起直追。据中科院信息安全技术工程研究中心主任卿斯汉先生介绍,早期国产防火墙产品的设计比较简单,有些就是从网上下载一个软件经过改装而成。如今国产防火墙厂商已发展到百余家,技术趋于成熟,其性能、速度可以适应百兆甚至千兆网络的实际应用,其中一些产品采用我国自行研制的算法,具有自主知识产权,而且价格相对便宜,本地化的技术支持服务比较及时,能够胜任企业对于网络安全的需要。但是与国外防火墙产品相比,部分国产品牌对于状态检查等最新技术的应用还不够及时,在运行速度、插件稳定性和可靠性等方面仍有待提高,功能还需要进一步完善。此外,在硬件防火墙领域,国内厂商的技术能力大多还停留在板卡级,在芯片级的设计制造水平上与国外厂商仍存在一定差距。

应用方法各有千秋

---- 行业有别,规模不同,国内用户对于网络安全的需求各不相同,因此从防火墙产品的选购到具体应用,可谓千差万别。但是万变不离其宗,加强对防火墙的配置、调整和日常管理是保障网络安全的关键。从大型企业、金融系统到政府机构,笔者撷取了以下4个典型的应用案例以飨读者。

大型企业:网络安全任重道远

---- 中国石油化工股份有限公司一向高度重视信息技术的应用和发展,总部设有信息系统管理部,负责信息系统的统一规划和建设。近日,该公司信息系统管理部网络处吴占奎副处长接受了本刊记者的采访。

---- 1996年10月,中国石化通过吉通的金桥网与Internet实现互联,一年之后又开通了Chinanet的对外出口。在网络建设初期,中国石化选购的是Sun公司提供的软硬件设备,从安全角度考虑,在内部网和外部网之间设置了Checkpoint公司的防火墙产品Firewall 2.0(当时采用的是Sun的品牌,被称为Solstic Firewall)。这套防火墙系统投资近30万元,包括硬件平台--Sun的工作站和基于软件的防火墙。

---- 目前中国石化的信息基础设施已具有一定规模,所有分公司内部已基本网络化,通过公用电信网和专用卫星网与总部实现了广域网互联,并接入互联网; 主要经营管理业务已在网上实现计算机处理。2000年8月15日,中国石化电子商务系统正式投入运行,网站地址为http://www.sinopec-ec.com或http://www.sinopec-ec.com.cn。它包括石化产品销售电子商务系统和物资采购电子商务系统。

---- 由于中国石化的内部网络系统与Internet实现互联,而没有采取物理隔离的方式,因此对于安全性的要求更为严格。虽然目前整个网络系统还未曾遭遇过恶意攻击,但是从系统安全的角度出发,公司正在考虑自2001年下半年开始进行网络的结构调整,从防火墙、防病毒、入侵检测到漏洞扫描,制定关于网络安全的整体规划,进一步增强网络系统的安全性。中国石化也在考虑引进最新的国产防火墙产品,结合原有的国外产品,为内部网构筑两道屏障。

选择适合的产品

---- 如何选择适合自身需要的防火墙产品,吴占奎结合石化的情况提出了自己的见解。首先,企业应该明确自身需求,比如Checkpoint的防火墙产品包括许多模块,用户要根据企业所需要的产品功能选择不同的模块。一家只有几百位员工的中小企业,只需花费几万元人民币购买产品,但企业级用户的连接数则是没有限制的,产品价格也会相应提高。

---- 其次,选择基于软件或硬件的防火墙产品,既要根据企业实际需求,也要依据自身的技术实力综合衡量。软件防火墙需要有一个安装、调试和维护的过程,占用系统资源较多,如果操作系统存在安全漏洞,防火墙的安全性也得不到保证。硬件防火墙安装相对容易,后期维护工作量相对较小,如果又能够承诺一定的性能保障,具备100Mbps的处理能力,对用户来说是一种不错的选择。但是由于目前网络带宽扩充很快,硬件防火墙把硬件和软件做在一起,一两年后,虽然软件性能还能满足需求,但是硬件本身达不到要求,也不得不升级。而基于软件的防火墙,系统扩充性能好,可以随时根据需求,对硬件平台及操作系统进行升级,例如中国石化原来的出口带宽只有64Kbps,后来又升到2Mbps直至目前的10Mbps,操作系统也从最初的Sun Solaris 2.5提高到Solaris 8,防火墙产品的性能也随之提升,从最早的Firewall 2.0升级到3.0、4.0直至4.1版本。

解决应用中的难题

---- 谈及防火墙产品的具体应用,吴占奎的经验是,安全规则的设定非常重要,它涉及到网络结构、用户的上网模式、对外通讯方式等等。如果没有设置安全规则或者设置不理想,防火墙则形同虚设。

---- 其次,企业要加强对防火墙的日常管理,应该指定专人负责,通过人工分析或者系统软件的帮助对于防火墙日志及时进行分析,及时发现来自外部网的攻击。作为系统管理人员,应该对网络安全系统和本企业的网络结构有比较深入的了解,能够通过对日志的审计等手段,及时发现问题,抵抗外界的恶意入侵。如果没有这方面的人才,企业也可以委托一家安全公司提供安全外包服务及技术支持。目前国内这类安全公司已经日渐增多。

---- 吴占奎还希望防火墙供应商能够及时帮助用户解决产品应用当中出现的问题,多提供一些具有实际指导价值的意见,比如究竟是软件还是硬件出了问题,是用户安装不当还是使用不当等等。

金融行业:完善系统 及时应变

---- 由于银行系统业务种类繁多、客户量大,不仅积累了大量重要的业务数据,而且随着业务的不断扩展和客户的海量增长,数据每天都在以惊人的速度增长,对于系统的信息安全问题也格外重视。记者最近采访了某中央级银行系统负责信息系统建设的工作人员,对于防火墙产品在金融系统的具体应用状况加深了了解。

---- 目前该银行只要涉及到企业内部网与外部网有连接发生的系统(例如网上银行、企业银行等等),都必须使用防火墙及其他安全技术产品。该银行现在主要采用国外主流的软硬件防火墙产品,同时也选择部分国内性能较好的产品配合使用。

---- 国内防火墙在性能与功能上与国外成熟产品相比仍有差距,目前仅靠国内产品及技术是不够的,但是完全依赖国外安全产品也令人担忧。因此银行系统特别希望国内厂家能够奋起直追,不断缩小与国外产品在性能、功能以及服务方面存在的差距。

银行系统的安全需求

---- 具体说来,银行系统对于信息安全的要求可概括为以下六个方面:

---- 1.身份验证
---- 不同的身份验证方法所具有的不同特点,决定了它们的适用范围也会有所不同,并且在实际操作中也可能结合使用多种身份验证方法,以确保用户身份的合法性。例如: 对拨号用户可能会使用双因素验证,而在建立SSL连接或VPN连接时,就需要使用X.509证书进行双方身份的相互验证。

---- 2.存取控制
---- 系统可以根据用户的身份标识及其成员身份来限制访问某些信息项或某些控制的机制。通常由系统管理员通过防火墙控制用户对网络资源(如服务器、目录和文件)的访问,并且通常通过向用户和组授予访问特定对象的权限来实现。

---- 3.数据保密
---- 数据的保密是使用对称、非对称加密算法,对数据进行变换后,以保证数据的安全。

---- 4.数据的完整性和不可否认性
---- 通过数字签名,保证交易数据的完整性和不可否认性。

---- 5.安全审计
---- 从系统级和应用级提供审计机制,可在事后提供有效的依据。

---- 6.服务的可用性
---- 综合各种技术和管理手段,保证系统正常连续运转,提供高效、可靠的服务。

银行系统的应用心得

---- 对于银行系统来说,选购合适的防火墙产品,不外乎遵循以下原则:安全性、可靠性、性价比、易用性和厂商提供的服务。此外,厂家的品牌与实力不容忽视,因为厂家有实力才能对其产品后续发展和升级带来保障。

---- 而在防火墙产品的安装过程中,用户应该注意: 考虑问题尽可能全面,保证与企业整体安全策略的一致性; 同时应注重部署方案的合理性与实施过程的谨慎性(最小安全授权原则)。

---- 要想使防火墙真正发挥作用,有3个关键因素不容忽视: 一是产品的配置与安全策略制定; 二是日常监控与事件响应; 三是产品及系统的维护和升级。但最重要的还是充分发挥人(即安全管理员)的作用。金融系统的网管人员应该深入了解网络及网络安全基础知识; 清楚企业的安全管理规章制度; 掌握自己所使用的网络产品(如防火墙、路由器、交换机等); 理解企业的整体安全策略和管理策略。

---- 此外,用户应从以下两点考虑产品的选购和配置: 其一,硬件防火墙与软件防火墙的使用相结合; 其二,软件防火墙硬件平台的适时升级。

形形色色的外部恶意入侵

---- 在调查过程中,网络管理人员还向记者透露了该银行系统经常遭遇的一些恶意的网络入侵行为。

---- 1.Syn Flood

---- 一个TCP连接是通过向目标主机发送SYN包建立的。如果目标主机在该端口等到连接要求,它会响应一个SYN/ACK包。发送者随即应答一个ACK包,这样一个连接就建立起来了。 当用SYN/ACK包响应发送者时,系统会为正在建立的连接分配内存等资源。这些资源只有在收到ACK包或者超时后才会释放。通过向目标主机发送大量的SYN包,使系统耗费内存来处理这些请求,正常的连接请求就无法得到正常响应。

---- 对于系统管理员来说,可以通过统计SYN包的数量检测出这种攻击,并通过向目标发送RST包中断攻击,这样目标主机可以获得更多的内存空间用来响应新的合法连接。大部分系统都有预设的活动TCP连接限制。如果到了此限制,新的连接将被忽略。SYN Flood攻击就是要使目标主机无法接收更多的连接。

---- 2.TCP_Overlap_Data

---- TCP连接中的数据被分成小数据包传输。目标主机须重新集合这些片断并一起交付应用程序。TCP/IP规范对于如果数据包重传时将发生什么讲得不明确。网络中这种传输方式不会自然地发生,但它在与故障网络设备关联时将被观察到。

---- 任何运行 TCP的系统都有可能因此受到影响。其危害是通过故意建立存有不同数据的覆盖连接,攻击者可以试图闯入探测系统或其他网络监视工具以歪曲联接意图。这可以被用来诱使监视工具作出误判断或误操作。

---- 3.Port

---- 通过Scanning等检查可以发现端口扫描器对网络进行的扫描。攻击者企图通过端口扫描去连接一个运行的服务器,来探测每个端口的响应。

---- 利用防火墙产品对付这些恶意入侵行为的具体措施是: 注重规则定义的灵活性和适应性,配合入侵检测软件,可以切断链接,并拒绝特定IP地址的进一步访问。不过虽然防火墙能够抵挡住来自外部网络的不少攻击行为,但这不是绝对的,也有少数透过防火墙的攻击行为发生。因此,除了防火墙之外,还可采取其他安全技术和产品,例如入侵检测系统(IDS)、安全扫描技术、系统加固技术等等,同时应与系统厂商、专业信息安全技术公司保持紧密的接触,随时了解业界技术动态及黑客技术发展情况,及时升级自身的安全系统。

政府机构:御敌于国门之外

---- 2000年初夏,一个来自外部的陌生IP地址试图进入民航空管局的网络系统,防火墙适时发挥过滤作用,避免了未知的风险。记者日前采访民航空管维修公司的网络管理人员许洪,得知空管局内部有两套网络系统:其一是全封闭的Intranet专用网。它从布线、交换机、路由器到服务器都自成系统,完全与Internet实现了物理隔离,因此重要的数据库和其他各类重要信息的安全相应得到了保证,被称为"A网";其二是专用于对外发布和交流信息、实现E-mail通讯功能的"B网",它还包括空管局的atmb.net.cn网站。

---- 为了保护"B网"的信息系统安全,空管局采购了软硬件相结合的防火墙产品。随着网络技术不断发展、网络应用日益普及和系统安全需求的变化,防火墙如何适时对原有的安全策略、路由规则、网络流量控制和IP地址控制等进行调整,将直接关系到其应用效果。作为用户,许洪对此深有感触。以空管局为例,因供应商的服务策略及内部网管人员的调换,现今防火墙基本上仍沿用安装时建立的安全策略,如果安全策略需要重新制定甚至整个系统需要重新调整,工作难度很大。这也提醒我们,防火墙应用效果的好坏,最终取决于人。而用户在系统管理人员变更的过程中,应该注意采取相应措施,保证原有系统安全、稳定和高效的运行。

---- 防火墙的购置成本差异很大,对于中小型用户来说,应该如何建造自己的"网上长城"呢?江西省地震局为我们提供了一个很好的应用范例。2000年4月,按照中国地震局《全国地震通信网络系统建设与完善》与《数字化地震前兆台网建设》项目的统一部署,江西省地震局开始了主干通信网的建设工作,并很快实现了与中国地震局的互联及Internet的互联。但由于在省级地震通信网络系统建设规划的过程中,没有对网络安全性加以重点考虑,因此如果将全部计算机接入主网,必将会耗尽有限的有效IP地址,同时也会将没有严格设防的机器暴露于社会公众面前,造成严重的安全隐患。

---- 为了妥善解决上述矛盾,既让内部网用户顺利上网,又确保内部网的安全,江西省地震局想到了Linux系统。它能够轻松搭建一个包过滤防火墙,而且对硬件要求很低。为此他们决定采用一台即将淘汰的486DX/66 PC(内置8MB内存和500MB硬盘)和两块3C509(10Mbps)以太网卡构建基于Linux系统(Redhat 6.0)的ipchains和IP伪装技术的包过滤防火墙,分别接到内部局域网和主干网,同时主干网通过一个路由器连到中国地震局和Internet。

---- 值得一提的是,江西省地震局的这套包过滤防火墙系统,有效地利用了硬件资源,使得建立在Windows NT Server 4.0系统上的省局内部局域网系统平滑地接入到江西省地震信息网络平台上。在用户上网不受影响的前提下,有效地保护了内部网络系统的安全。同时,还发挥了卫星通信信道的作用,为地震信息的快速传递起了很好的作用。

---- 目前,不少单位和家庭都有淘汰下来的486或586(奔腾一代)计算机。虽然这些计算机已经不适合日益复杂的桌面应用,但是通过安装Linux系统却能搭建一个功能不错的防火墙,足以负担2Mbps以下的Internet接入。如果系统硬件资源允许的话,还可以通过配置透明代理服务来实现Internet缓冲功能,从而节省Internet带宽资源,提高上网效率。尤其对于中小企业来说,不失为经济实用的防火墙应用方案。

专家眼中的防火墙

中联绿盟信息技术有限公司
副总经理 高永安

---- 现在国内的大型门户网站一般在前端Web页面部分都没有采用防火墙产品,因为信息流量太大,除非选用千兆级的防火墙产品,否则势必会降低系统访问效率。因此这些大型网站只在其局域网或网站某一特定的重要网段上(如重要客户的数据库)设置防火墙。而日浏览量在几万~几十万的中小型网站,后台一般都有五六台机器,操作系统往往各不相同,监测管理其安全设置的工作量非常大。在安装防火墙之后,只需要对其进行安全设置即可解决问题,从而减轻网管员的工作压力。但是目前的防火墙技术对于DDoS分布式拒绝服务攻击仍然苦无良策,只能依靠系统安全专家追本溯源地侦测攻击发起者,寻求解决之道。

---- 对于信息安全要求较高的单位来说,仅有防火墙是远远不够的。而且,防火墙的配置规则要根据系统要求进行设计,适应自身网络的需要。与此同时,因为网络的状况总是在不断变化,只有随时修改安全规则才能避免出现安全漏洞。

---- 由于防火墙厂商不可能全天候地对用户需求作出及时响应,专业安全顾问公司应运而生。但是当前国内高校大多尚未开设有关网络安全的专业课程,安全技术人才缺乏,加之用户安全意识薄弱,市场还需要2~3年的成熟期。

中国科学院信息安全技术工程研究中心
主任 卿斯汉

---- 目前防火墙产品在国内政府、金融、保险、证券、电信系统和一些大型企业应用比较广泛。防火墙技术的发展趋势主要有以下几点,一是产品功能越来越全,但整体性能和效率相应有所下降; 二是分布式安装配置防火墙,集中式管理不同网段、不同的网和网之间的防火墙; 三是适应网络带宽高速发展的需要,支持100Mbps乃至1000Mbps带宽的安全过滤。

---- 在购买防火墙之前,用户最好先向专业网络安全公司、专家或者内行人士进行咨询。而在使用过程中,用户应根据自身具体的网络拓扑结构和网络使用情况,指定专人负责,对防火墙进行合理配置。

调查手记

---- 现在防火墙产品的防御功能日益强大,当受到外来攻击时可以采取系统自动鸣叫、发送电子邮件等多种手段,向系统管理员发出报警信号。它们一般采用专有安全操作系统,提供强大的访问控制、身份认证、网络地址转换、虚拟专网、流量控制、日志信息查询等功能,可以检测到对网络或内部主机的所有TCP/UDP扫描以及多种拒绝服务攻击并进行实时响应,使受保护主机免于瘫痪。

---- 但是不少专家指出,国内用户在防火墙应用中存在误区: 往往认为只要有了防火墙,网络安全问题就可以迎刃而解。对此,高永安认为,网络安全的涉及面很广,从操作系统到应用程序的安全都要考虑,而防火墙只能起到IP地址过滤和代理应用网关的作用,不能限制人们对页面80端口的浏览,因此通过IIS本身的漏洞、应用程序(如数据库)的漏洞、网络设备的漏洞和管理漏洞,黑客完全可以穿过防火墙对网络系统发起攻击。此外,防火墙产品本身也并非绝对安全,因为它基于某一操作系统而构建,如果其本身安全防护能力不到位,也会被黑客所控制。

---- 据笔者了解,防火墙不能对付的安全威胁还包括: 1.来自内部的攻击。它不能防止专用网内部用户对资源的攻击。2. 直接的Internet数据流。防火墙仅当对所有通过它的Internet数据流进行处理才能真正发挥作用。3.病毒防护。一般防火墙不对专用网提供防护外部病毒的侵犯。除非在防火墙中设置检测病毒的逻辑。因此,在网络安全的整体设计过程中,防火墙还要与其他安全产品配合使用,才能达到理想的防护效果。网络安全是一个系统工程,不是依靠单一产品或技术可以完全解决的。

---- Internet发展到今天,IP地址欺骗攻击、源路由攻击、IP碎片攻击等恶意入侵网络的技术手段层出不穷,任何一处不起眼的安全漏洞都会让您前功尽弃。防火墙应用成功的关键还在于安全策略的设置和及时修改。就笔者所调查的4家用户来说,最终可以得出一个结论:三分技术七分管理,防火墙的后期维护和管理至关重要。

名词解释

---- 防火墙(Firewall)是在专用网(如Intranet)和Internet之间构筑的一道安全屏障,用以保护Intranet中的信息、资源等不受来自Internet中非法用户的侵犯,它控制Intranet与Internet之间的所有数据流量,控制和防止Intranet中有价值的数据流入Internet,也控制和防止来自Internet的无用的垃圾数据流入Intranet。目前防火墙可分为三种:包过滤防火墙、应用级网关(代理服务器)和状态监测防火墙。在与Internet一类网连通时,防火墙是保护专用网中信息系统安全保密的重要技术。

---- 防火墙产品主要包括5部分: 安全操作系统、过滤器、网关、域名服务和E-mail处理。有的防火墙可能在网关两侧设置两个内、外过滤器。外过滤器保护网关不受攻击,内过滤器在网关被攻破后仍可提供对内部网络的保护。

防火墙设计的基本原则

由内到外,或由外到内的业务流均经过防火墙。

只允许本地安全政策认可的业务流通过防火墙。对于任何一个数据组,当不能明确是否允许通过时就要拒绝通过,只让真正合法的数据组通过。

尽可能控制外部用户访问专用网,应当严格限制外部人员进入专用网中。如果有些文件要向Intranet网用户开放,则最好将其放在防火墙之外。

具有足够的透明性,保证正常业务流通。

具有抗穿透攻击能力,强化记录、审计和告警功能。


地主 发表时间: 12/18 22:32

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号