網(wǎng)絡(luò)系統(tǒng)防火墻的安全策略.doc

網(wǎng)絡(luò)系統(tǒng)防火墻的安全策略 汪繼增防火墻是Internet上公認(rèn)網(wǎng)絡(luò)存取控制最佳的安全解決方案，網(wǎng)絡(luò)公司正式將防火墻列入信息安全機(jī)制。防火墻是軟硬件的結(jié)合體，架設(shè)在網(wǎng)絡(luò)之間以確保安全的連接。因此，它可以當(dāng)作Internet或Intranet的網(wǎng)關(guān)器，以定義一個(gè)規(guī)則組合或安全政策，來控制網(wǎng)絡(luò)間的通訊。并可有效率地記錄各種Internet應(yīng)用服務(wù)的存取信息、隱藏企業(yè)內(nèi)部資源、減少企業(yè)網(wǎng)絡(luò)暴露的危機(jī)等。所以，正確安全的防火墻架構(gòu)必須讓所有外部到內(nèi)部或內(nèi)部到外部的封包都必須通過防火墻，且惟有符合安全政策定義的封包，才能通過防火墻。一.目前防火墻的技術(shù)現(xiàn)在防火墻主要的技術(shù)可分為封包過濾、代理應(yīng)用閘信道及多階層狀態(tài)檢查等。1封包過濾：就如同Router的技術(shù),在網(wǎng)絡(luò)層具備良好的效能和延伸能力，但只能提供IP地址的過濾功能；封包過濾可知道每一個(gè)IP的來源地址，但不知道使用者為何人?同樣地,它會檢測網(wǎng)絡(luò)層的封包，而不會去管是什么應(yīng)用程序，所以封包過濾是防火墻中功能最不安全的，因?yàn)樗麄儾粫O(jiān)測到應(yīng)用程序，無法知道封包傳送內(nèi)容，很容易被非經(jīng)授權(quán)的使用者侵入。2代理服務(wù)：代理服務(wù)也稱為鏈路級網(wǎng)關(guān)或TCP通道，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用級網(wǎng)關(guān)技術(shù)存在的缺陷而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”由代理服務(wù)器實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報(bào)告。當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)，代理服務(wù)器會向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用級網(wǎng)關(guān)和代理服務(wù)方式的防火墻大多是基于主機(jī)的，但性能好得多，其安裝和使用也比采用數(shù)據(jù)包過濾技術(shù)的防火墻復(fù)雜。此為最傳統(tǒng)的防火墻技術(shù)，任何進(jìn)出Internet的應(yīng)用服務(wù)都必須經(jīng)過防火墻的代理后，再轉(zhuǎn)送到目的地，這樣做破壞了主從架構(gòu)模式。此外，這種技術(shù)只支持有限制的應(yīng)用程序，每一個(gè)服務(wù)或應(yīng)用程序都須要專屬的代理，因此有新的Internet服務(wù)時(shí)，使用者必須等待廠商開發(fā)新的代理應(yīng)用程序才能使用，從而造成執(zhí)行效能不佳。3多階層狀態(tài)檢查：這是一種新的防火墻專利技術(shù)，結(jié)合了封包過濾網(wǎng)絡(luò)層的執(zhí)行效能及代理應(yīng)用閘信道的安全性。任何的封包會都在網(wǎng)絡(luò)層中被攔劫，然后防火墻會從全部的應(yīng)用層級中萃取出跟狀態(tài)有關(guān)的數(shù)據(jù)，而且放在動(dòng)態(tài)狀態(tài)表來判別后續(xù)的封包；提供了應(yīng)用層的資料內(nèi)容安全檢測，而且不會破壞主從架構(gòu)模式，可以在資料保全和流量間作智能的控制，具有最大的擴(kuò)展及延伸能力。二.安全策略的制定1存取控制：應(yīng)首先制定用戶或應(yīng)用服務(wù)的對象進(jìn)/出網(wǎng)絡(luò)，以確保企業(yè)內(nèi)部資源。例如：設(shè)置用戶存取時(shí)間嚴(yán)格規(guī)定在一個(gè)特定范圍內(nèi)取特定網(wǎng)站信息，或者規(guī)定指定用戶擁有此特權(quán)，其它用戶一律禁止此項(xiàng)業(yè)務(wù)。2認(rèn)證機(jī)制：當(dāng)使用者與目的主機(jī)聯(lián)機(jī)時(shí)，在通訊被允許進(jìn)行之前，認(rèn)證的機(jī)制服務(wù)可安全地確認(rèn)他們身份的有效性，且不需要修改服務(wù)器或客戶端應(yīng)用軟件。認(rèn)證服務(wù)可以完全地被整合到企業(yè)整體的安全政策內(nèi)，并經(jīng)由防火墻圖形使用者接口集中管理。3內(nèi)容的安全性：防火墻所提供的內(nèi)容安全能力，可達(dá)到最高層次的應(yīng)用服務(wù)協(xié)議檢測，以保護(hù)使用者企業(yè)資源。4網(wǎng)絡(luò)地址轉(zhuǎn)譯：網(wǎng)絡(luò)地址轉(zhuǎn)譯對Internet而言，可隱藏內(nèi)部的網(wǎng)絡(luò)地址，克服了IP地址數(shù)量的限制，可維護(hù)一個(gè)企業(yè)的內(nèi)部地址的完整性。防火墻提供兩種操作模式：(1)動(dòng)態(tài)模式：當(dāng)維持已注冊IP地址給予使用者存取Internet的時(shí)候和隱藏內(nèi)部實(shí)際IP地址的網(wǎng)絡(luò)資源，可使用動(dòng)態(tài)的模式達(dá)到地址轉(zhuǎn)譯。動(dòng)態(tài)的模式可將內(nèi)部所有IP地址的連接，經(jīng)過防火墻與單一個(gè)合法的IP地址對外。(2)靜態(tài)模式：可應(yīng)用在一個(gè)網(wǎng)絡(luò)IP地址很早就被分派使用和你需要提供“真正的”地址，以便人們在Internet能存取他們，靜態(tài)模式的地址轉(zhuǎn)譯可解決上述問題。靜態(tài)的模式提供一個(gè)對一個(gè)的對映在對外公開IP地址和內(nèi)部真正的IP地址之間。5加強(qiáng)內(nèi)部管理：安全政策屬于人員安全的管理，主要目的在降低人員使用信息或操作信息設(shè)備時(shí)所可能發(fā)生的錯(cuò)誤，首先應(yīng)該從人員背景的調(diào)查與考核做起，尤其針對一些較敏感的信息的使用，應(yīng)慎選適當(dāng)人員來負(fù)責(zé)。其次，企業(yè)制定的安全政策為的就是希望讓企業(yè)內(nèi)部所有人員熟悉與了解，因此，最佳的方法便是賦予人員應(yīng)有的信息安全責(zé)任，并通過日常的信息安全教育訓(xùn)練來達(dá)到目的。三.設(shè)置防火墻應(yīng)注意的問題1 設(shè)置的密碼絕對不能采用常用單詞、人名和電話等，長度應(yīng)盡量地長；2 絕對不能使用系統(tǒng)默認(rèn)值；3 注意調(diào)整安全級別；4 設(shè)置讀寫權(quán)限時(shí)要當(dāng)心。 隨著網(wǎng)絡(luò)攻擊手段和信息安全技術(shù)的發(fā)展，新一代防火墻功能更強(qiáng)、安全性更強(qiáng)。這個(gè)階段的防火墻已經(jīng)超出了原來傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個(gè)安全技術(shù)集成系統(tǒng)，新一代防火墻技術(shù)采用了一些主動(dòng)的網(wǎng)絡(luò)安全技術(shù)，比如網(wǎng)絡(luò)安全性分析、網(wǎng)絡(luò)信息安全檢測等等，因此可以抵御目前常見的網(wǎng)絡(luò)攻擊手段：IP地址欺騙、特洛伊木馬攻擊、Internet蠕蟲、口令探尋攻擊、郵件攻擊等等?？商峁└采w應(yīng)用層和網(wǎng)絡(luò)層的完整的訪問控制。流過濾的突出特點(diǎn)在于融合了狀態(tài)檢測包過濾和應(yīng)用代理安全保護(hù)能力，具有包過濾防火墻的透明性，易于部署，對應(yīng)用透明，而且可以實(shí)現(xiàn)應(yīng)用防護(hù)特性的迅速升級，以抵御新出現(xiàn)的攻擊