防火墙的技术与应用-选购和应用(14)

2016-01-29 16:36 4 1 收藏

防火墙的技术与应用-选购和应用(14),防火墙的技术与应用-选购和应用(14)

【 tulaoshi.com - 防火墙的作用 】

防火墙到底应该有多“厚”?(1)
    Internet的开放便利性,与网络安全的隐忧,一直是矛盾共存。随着企业对Internet依存的加深,对网络安全的防范与布署,就成了必备的知识。大家都知道,特洛伊城之所以久攻不破,是它有一道坚固的城墙;在Internet上我们也需要一道坚实的防火墙,以确保防火墙不会因被击溃而导致企业内部电脑的入侵危机。

  公元前12世纪,希腊与特洛伊的一场战争,造就了荷马(Homer)史诗中的两位英雄人物Achilles与Odysseus;而这场战争最终决定性的胜利竟然是一只木马,这样富戏剧性的结局更让人不可思议,除了具军事教训意味外,着实也多了许多趣味性。如今这场战争却活生生地搬上了Internet舞台,虽然少了美女Helen助阵,不过精采的程度却不下于3000多年前的盛况,只不过整个场景都虚拟于网络之中。。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)打造一道网络城墙

   据荷马史诗记载,希腊联军共围剿特洛伊城达十年之久,当时没有现代的空中部队,因此整个防卫所依靠的都是城墙!据说当时特洛依城城墙厚度达五公尺,在这么坚固城墙防卫下,希腊一直都无法将特洛依城攻下。

  相对于特洛依城墙的厚度,到底一道网络的城墙要多“厚”才安全呢?在Internet中的城墙,我们称之Firewall或是防火墙,主要的作用是进行网络交通过滤与管制。

  这道网络虚拟的城墙强度虽然不能以实体厚度来衡量,但打造这道城墙同样要考虑到“是否地基够稳?”、“是否有钢筋结构?”、“城门卫兵是否尽职?”,此外这一整套控管机构“是否有品质保证?”,如此才能评判防火墙是否足以抵御外侮。


稳固的地基--操作系统  高楼平地起,因此打好地基是建造一道坚固城墙的基础!如何打造防火墙的稳固地基?在电脑系统里,防火墙不能独立存在,必须建立在操作系统(OS)上,因此操作系统就是防火墙的地基。操作系统的稳固与否,在于安全性上是否有保障,从以下几个方面来设计操作系统,就能有稳固牢靠的地基。

1、以安全的角度出发,来设计操作系统

  一般操作系统的设计是用来满足所有的应用环境,因此出发点是以“弹性”考虑,在此前提下,操作系统呈现的是“多而杂”,样样都可以做,不过却不见得都一定用得上;而以“安全”角度来设计的操作系统,设计的用途是专供防火墙用的,是个“小而美”的操作系统,因此可与防火墙紧密搭配,当然可以有效提升防火墙的强度。

2、删除不需要的功能与指令

  系统存在的程序与指令愈多,漏洞也就相对地增加,黑客常常会利用操作系统上运作程序的漏洞,作为入侵的途径,并利用系统上可用的指令来破坏系统的运作。因此将不必要的程序与指令删除,黑客的攻击目标自然减少了。

3、删除所有操作系统上既存的程序的漏洞

  有些程序是必须存在操作系统上以利系统运作,而这些程序本身仍然可能遭受到黑客攻击,因此作为一个防火墙上的操作系统,就不能沿用一般操作系统上的运作程序,必须重新审视程序内容是否隐藏漏洞,一一删除漏洞后再重新设计,然后才供系统运作使用。

防火墙的“钢筋”结构 

  为了加强建筑物的抗震强度,人们采用钢筋结构来强化耐震度。而在Internet世界中,黑客的入侵手法日益先进,入侵事件更是与日俱增,就好比强震一波波朝防火墙袭击而来,因此有必要为防火墙加筑钢筋结构才能有效抵挡黑客的“强震”撼动!

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)

1、各程序具有独立的执行空间

  各程序执行时不能彼此干扰,同时也不能共用相同目录,否则一旦某一个程序遭受入侵,其他程序也可能同时遭殃。因此各程序执行时所需的文件,如函数库或指令,都必须摆放在各自的目录中,不能有共用的情形。

2、各程序以最少许可权执行

   每一个程序的执行者权限只够执行程序本身,同时不能

来源:http://www.tulaoshi.com/n/20160129/1499049.html

延伸阅读
如何定制企业防火墙安全机制     前言: 随着互联网发展日渐蓬勃,由于黑客的非法入侵时及病毒摧毁计算机所造成的威胁有越来越严重的趋势,企业对于功能更强大的防火墙的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好网络防护措施,付出了惨痛而昂贵的代价。在使用防火墙产品以防止黑客的非法入侵时,除了...
Linux下架设防火墙要领(2)      有关命令的详细用法请参考有关HOWTO文档。 现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为:192.168.1.1,假设目前防火墙是进行代理上网,拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒...
个人防火墙的选择及其使用技巧(1)     你试过被黑的味道吗? 虽然你仅仅是个PC机用户,可能你偶尔才到Internet上漫游一下;虽然你认为你的计算机里面的资料一点都不重要;虽然你觉得从来就没有被黑客造访过,但这些都不表示你不会成为黑客下一个破坏的目标。以目前流行的互联网技术来说,还有很多漏洞已经被公开,遗憾...
FireWall-1网络安全防火墙(1)      一、 CheckPoint简介:    作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一,CheckPoint公司致力于企业级网络安全产品的研发,据IDC的最近统计,其FireWall-1防火墙在市场占有率上已超过32%,《财富》排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。...
FireWall-1网络安全防火墙(2)      三、 状态检测机制 FireWall-1采用CheckPoint公司的状态检测(Stateful Inspection)专利技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。 FireWall-1状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解...

经验教程

833

收藏

93
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部