以下是我精心為妳提供的。歡迎閱讀。
防火墻是保證網絡安全的關鍵組件,但它只是安全企業網絡的開始。對於管理員來說,需要註意支持故障轉移的多重防火墻的設計。這種防火墻設計的最終結果應該是易管理、高效率、高可用性和高安全性的結合,並且成本應該更低。
您需要多少防火墻
關於防火墻的設計原則,壹直有很多爭論。爭論的壹個主要問題是是否最好有幾個
以下是我精心為妳提供的。歡迎閱讀。
防火墻是保證網絡安全的關鍵組件,但它只是安全企業網絡的開始。對於管理員來說,需要註意支持故障轉移的多重防火墻的設計。這種防火墻設計的最終結果應該是易管理、高效率、高可用性和高安全性的結合,並且成本應該更低。
您需要多少防火墻
關於防火墻的設計原則,壹直有很多爭論。爭論的壹個主要問題是是否最好有幾個防火墻。筆者認為兩個防火墻壹般比壹個防火墻好不了多少。因為在大多數攻擊中,防火墻本身的漏洞很少會成為問題。黑客通常不需要征服防火墻,因為他們可以通過開放的端口進入,利用防火墻後面服務器上的漏洞。此外,防火墻本身沒有什麽吸引黑客的地方,因為任何明智的管理員都會配置防火墻來丟棄那些連接防火墻的企圖。比如,即使用戶的防火墻上存在已知的SSH漏洞,這種威脅也只能來自防火墻指定的保護良好的管理工作站,更何況這個工作站是關機的。其實防火墻最大的問題在於維護不力,策略和網絡設計不佳。在與防火墻相關的安全事件中,人為因素造成的損害約占99%。更糟糕的是,如果妳實現多個廠商的防火墻,成本會迫使用戶放棄壹些需要特別註意的問題。用戶最好把有限的資源花在加強壹個平臺上,而不是全面出擊。
防火墻的設計目標
壹個好的防火墻策略和網絡設計應該能夠減少而不是消除以下安全風險:
◆來自互聯網的對DMZ服務的攻擊。
◆企業網絡任何壹部分攻擊互聯網。
◆企業用戶或服務器攻擊DMZ服務器。
◆DMZ服務器攻擊用戶、服務器或損害自身。
◆來自合作夥伴和外聯網的威脅。
◆來自通過WAN連接的遠程部門的威脅。
這些目標聽起來可能有點過分,因為它們基本上都不是傳統的方法,但它們都有自己的道理。
第壹點非常明顯,就是限制通過互聯網訪問DMZ服務器的服務端口的企圖,這就大大降低了他們被征服的幾率。例如,在SMTP郵件服務器上,只允許通過TCP端口25進行Internet通信。因此,如果這個SMTP服務器恰好在其服務器服務或程序中存在漏洞,它將不會暴露於Internet。蠕蟲和黑客總是關註80端口的漏洞。
下壹個可能聽起來有點奇怪。我們為什麽要關心通過自己的網絡保護公共網絡?當然,任何公民都不應該傳播惡意代碼,這是最起碼的要求。但這也是為了更好地保護我們自己的網絡連接。以SQL slammer蠕蟲為例。如果我們部署更好的防火墻策略,我們可以防止互聯網上的拒絕服務攻擊,並節省互聯網資源。
最難處理的是內部威脅。大多數昂貴的防火墻無法通過傳統設計保護網絡免受內部攻擊者的攻擊。如果惡意用戶將感染了惡意代碼的筆記本電腦連接到家中或其他地方的網絡,後果可想而知。好的網絡設計和防火墻策略應該能夠保護DMZ服務器免受服務器和用戶帶來的風險,就像來自互聯網的風險壹樣。
這個故事還有另壹面。因為DMZ服務器暴露在公共互聯網上,所以存在被黑客或蠕蟲破壞的可能性。對於管理員來說,采取措施限制DMZ服務器可能對內部服務器或用戶工作站造成的威脅非常重要。此外,強大的防火墻策略還可以防止DMZ服務器進壹步自我破壞。如果壹臺服務器被黑客通過壹些已知或未知的漏洞破壞,他們做的第壹件事就是讓服務器下載壹個rootkit。防火墻政策應該阻止下載這樣的東西。
它還可以進壹步減少來自外聯網合作夥伴和遠程辦公室WAN的威脅。連接這些網絡的路由器受到WAN技術的保護,如幀中繼、隧道、租用專線等。這些路由器也可以受到防火墻的保護。利用每個路由器上的防火墻特性來實現安全性的成本太高,不僅造成高硬件成本,而且設置和管理也非常困難。企業防火墻通過傳統防火墻之外的附加功能,可以對廣域網和外聯網提供簡單、集中的安全管理。
關鍵是防火墻可以限制不同網絡區域的通信,這些網絡區域是根據邏輯組織和功能目的劃分的。但是防火墻無法限制和保護該主機免受同壹子網中其他主機的攻擊,因為數據永遠不會通過防火墻進行檢查。這就是為什麽防火墻支持的領域越多,它在科學設計的企業網絡中就越有用。因為壹些主要廠商支持接口的融合,所以劃分區域就容易多了。單個千兆端口可以輕松支持多個區域,並且比幾個快速以太網端口更快。
實施良好的防火墻策略
安全防火墻體系結構的第壹個關鍵部分是策略的設計。實現這些目標的最重要的概念是需要使用原則。在防火墻策略中,這只是意味著除非有明確的理由使用某項服務,否則默認情況下必須阻止或拒絕該服務。為了實現預設的服務阻斷規則,只需要在所有策略集的末尾全局實現壹個防火墻策略,即丟棄壹切規則,這意味著防火墻的默認行為是丟棄任何來源到任何目的地的數據包。這個規則是任何防火墻策略中的最後壹個規則,因為某個通信在有機會進入之前就已經被阻止了。壹旦實現了這個基本行為,就有必要為特定的源、特定的服務、對特定目標地址的訪問等實現壹些精心設計的規則。壹般來說,這些規則越精確,網絡就越安全。
例如,可以允許用戶使用壹些常見的外部服務端口,如HTTP、FTP、媒體服務等。,但允許其他服務和程序進行通信,除非有明確的原因。根據企業需要找到特殊原因後,經過驗證和批準,需要增加壹些嚴格控制的有針對性的規則。管理員常犯的壹個錯誤是,他們將用戶許可擴展到服務和DMZ網絡。適用於用戶向外轉發數據的規則通常不適用於服務器。經過仔細考慮,管理員會找到Web服務器不需要瀏覽Web的原因。服務器就是服務器,主要提供服務,很少成為客戶端。壹個基本問題是DMZ或服務器很難首先發起通信。通常,服務器會接受請求,但幾乎不可能接受來自公共互聯網的服務請求,除了企業合作夥伴的XML和EDI應用程序。還有其他例外情況,如提供驅動程序和軟件更新的合法供應商的網站,但所有例外情況都應嚴格準確地定義。遵循這些嚴格的標準可以大大降低服務器受損的可能性,最好能達到這樣的程度,只要部署了這種策略,即使服務器沒有打補丁,也能阻止蠕蟲在內部子網的傳播。