一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比,防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí),一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上,而集中在防火墻一身上。防火墻可以有效地防護(hù)外部的侵?jǐn)_與影響。長寧區(qū)國內(nèi)防火墻系統(tǒng)方案
若站點(diǎn)正處于防火墻保護(hù)之下,對(duì)它的訪問也是被禁止的,用戶不得不先登陸防火墻后在進(jìn)入Internet,這時(shí)便需要代理服務(wù)器了。因此,為了使防火墻有效,必須超越其概念設(shè)計(jì)。防火墻的設(shè)計(jì)列有好幾種,但都可分為兩類:網(wǎng)絡(luò)級(jí)防火墻及應(yīng)用級(jí)防火墻。它們采用不同的方式提供相同的功能,任何一種都能適合站點(diǎn)防火墻的保護(hù)需要。而且現(xiàn)在有些防火墻產(chǎn)品具有雙重性能。 網(wǎng)絡(luò)級(jí)防火墻,這一類型的防火墻,通常使用簡(jiǎn)單的路由器,采用包了過濾技術(shù),檢查個(gè)人的IP包并決定允許或不允許基于資源的服務(wù)、目的地址及時(shí)用端口。新式的防火墻較之以前更為復(fù)雜,它能監(jiān)控通過防火墻的聯(lián)接狀態(tài)等等。這是一類快速且透明的防火墻,易于實(shí)現(xiàn)。楊浦區(qū)企業(yè)防火墻規(guī)范網(wǎng)絡(luò)防火墻、主機(jī)防火墻和管理中心是分布式防火墻的構(gòu)成組件。
我們也能以另一種較寬松的角度來制定防火墻規(guī)則,只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行。現(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)建防火墻功能。較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾,例如:來源 IP 位址、來源埠號(hào)、目的 IP 位址或埠號(hào)、服務(wù)類型(如 WWW 或是 FTP)。也能經(jīng)由通訊協(xié)定、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進(jìn)行過濾。應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運(yùn)作,您使用瀏覽器時(shí)所產(chǎn)生的資料流或是使用 FTP 時(shí)的資料流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程式的所有封包,并且封閉其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火墻可以完全阻絕外部的資料流進(jìn)到受保護(hù)的機(jī)器里。
防火墻可以極大的增強(qiáng)Web站點(diǎn)的安全。根據(jù)不同的需要,防火墻在網(wǎng)絡(luò)中配置有很多方式。根據(jù)防火墻和Web服務(wù)器所處的位置,總可以分為3種配置:Web服務(wù)器置于防火墻之內(nèi)、Web服務(wù)器置于防火墻之外和Web服務(wù)器置于防火墻之上。將Web服務(wù)器裝在防火墻內(nèi)的好處是它得到了安全保護(hù),不容易被黑技術(shù)闖入,但不易被外界所用。當(dāng)Web站點(diǎn)主要用于宣傳企業(yè)形象時(shí),顯然這不是好的配置,這時(shí)應(yīng)當(dāng)將Web服務(wù)器放在防火墻之外。事實(shí)上,為了保證組織內(nèi)部網(wǎng)絡(luò)的安全,將Web服務(wù)器完全置于防火墻之外使比較合適的。在這種模式中,Web服務(wù)器不受保護(hù),但內(nèi)部網(wǎng)則處于保護(hù)之下,即使黑技術(shù)進(jìn)入了你的Web站點(diǎn),內(nèi)部網(wǎng)仍是安全的。代理支持在此十分重要,特別是在這種配置中,防火墻對(duì)Web站點(diǎn)的保護(hù)幾乎不起作用。防火墻可以集成到其他安全措施中,如入侵檢測(cè)系統(tǒng)和安全信息和事件管理系統(tǒng)。
防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過以防火培為中心的安全方案配置,能將所有安全軟件(如令、加密、身份認(rèn)證、審計(jì)等)配晉在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比。防火的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí),一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上,而集中在防火墻一身上。對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火海能進(jìn)行適當(dāng)?shù)膱?bào)普,并提供網(wǎng)終是否受到監(jiān)燈和攻擊的詳細(xì)信息。防火墻可以使用防病毒和反間諜軟件保護(hù)網(wǎng)絡(luò)。浦東新區(qū)本地防火墻價(jià)格
防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)。長寧區(qū)國內(nèi)防火墻系統(tǒng)方案
IP包了過濾的一個(gè)重要的局限是它不能分辨好的和壞的用戶,只能區(qū)分好的飽和壞的包。包了過濾只能工作在由黑白分明安全策略的網(wǎng)中,即內(nèi)部是好的,外部是可疑的。對(duì)于FTP協(xié)議,IP包了過濾就不十分有效。FTP允許聯(lián)接外部服務(wù)器并使聯(lián)接返回到端口20,這幾乎毫不費(fèi)力的通過那些過濾器。防火墻/應(yīng)用網(wǎng)關(guān)(Application Gateways)還有一種常見的防火墻是應(yīng)用代理防火墻(有時(shí)也稱為應(yīng)用網(wǎng)關(guān))。這些防火墻的工作方式和過濾數(shù)據(jù)報(bào)的防火墻、以路由器為基礎(chǔ)的防火墻的工作方式稍有不同。它是基于軟件的;當(dāng)某遠(yuǎn)程用戶想和一個(gè)運(yùn)行應(yīng)用網(wǎng)關(guān)的網(wǎng)絡(luò)建立聯(lián)系時(shí),此應(yīng)用網(wǎng)關(guān)會(huì)阻塞這個(gè)遠(yuǎn)程聯(lián)接,然后對(duì)聯(lián)接請(qǐng)求的各個(gè)域進(jìn)行檢查。長寧區(qū)國內(nèi)防火墻系統(tǒng)方案