防火墙的技术与应用-选购和应用(20)

2016-01-29 16:37 5 1 收藏

防火墙的技术与应用-选购和应用(20),防火墙的技术与应用-选购和应用(20)

【 tulaoshi.com - 防火墙的作用 】

如何定制企业防火墙安全机制
    前言:
  随着互联网发展日渐蓬勃,由于黑客的非法入侵时及病毒摧毁计算机所造成的威胁有越来越严重的趋势,企业对于功能更强大的防火墙的需求也越来越迫切。许多的企业也因为之前没有对网络架构作好网络防护措施,付出了惨痛而昂贵的代价。在使用防火墙产品以防止黑客的非法入侵时,除了产品的安全性与执行效能外,另外善解人意的GUI接口、完整的服务功能、厂商技术支持能力等,缺一不可。在享受丰盛的Internet/Intranet各种建置及所带来的效率与成本回收的成果之时,如果企业没有一个良好的安全防范机制,企业内部网络资源将不堪一击,这不是在危言耸听。

  1、防火墙来是怎样防止非法者的入侵
  防火墙是Internet上公认网络存取控制最佳的安全解决方案,网络公司正式将防火墙列入信息安全机制;防火墙是软硬件的结合体,架设在网络之间以确保安全的连接。因此它可以当做Internet、Intranet或Extranet的网关器,以定义一个规则组合或安全政策,来控制网络间的通讯。并可有效率的记录各种Internet应用服务的存取信息、隐藏企业内部资源、减少企业网络曝露的危机等。所以正确安全的防火墙架构必须让所有外部到内部或内部到外部的封包都必须通过防火墙,且唯有符合安全政策定义的封包,才能通过防火墙;既然防火墙是Internet/Intranet相关技术服务进出的唯一信道,要正确的使用防火墙就必须先了解防火墙的技术为何?安全性是否符合各种应用服务的需求?认证方式有哪些及网络传输资料的加解/密功能(VPN)方式?最重要的是厂商能否提供完整且长期的服务与技术支持能力?

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)

  2、目前防火墙的技术
  防火墙的安全性与研发的技术息息相关,现在市场上的防火墙主要的技术可分为封包过滤(Packet Filter)、代理应用闸信道(Application Gateway/Proxy)及多阶层状态检查(Multilayer Stateful Inspection)等,说明如下:
  (1)封包过滤
  就如同Router的技术,在网络层具备良好的效能和延伸能力,但只能提供Ip地址的过滤功能;封包过滤可知道每一个Ip的来源地址,但不知道使用者为何人?同样的,它会检测网络层的封包,而不会去管是什么应用程序,所以封包过滤是防火墙中功能最不安全的,因为他们不会监测到应用程序,无法知道封包传送内容,很容易被非经授权的使用者侵入。
  (2)代理应用闸信道
  此为最传统的防火墙技术,任何进出Internet的应用服务都必须经过防火墙的代理后,再转送到目的地;藉由代理的过程中,来检测各阶层的应用服务,但是这样做却破坏主从架构模式。此外,此种技术只支持有限制的应用程序,每一个服务或应用程序都须要专属的Proxy,因此有新的Internet服务时,使用者必须等待厂商开发新的代理应用程序才能使用;由于每一种代理(Proxy)需要不同的应用程序或daemon来执行,会因为过多的资料复制和内容交换会造成执行效能不佳。
  (3)多阶层状态检查
  这是一种新的防火墙专利技术,结合了封包过滤网络层的执行效能及代理应用闸信道的安全性。任何的封包会都在网络层中被拦劫,然后防火墙会从全部的应用层级中萃取出跟状态有关的数据,而且放在动态状态表来判续后续的封包;提供了应用层的资料内容安全检测,而且不会破坏主从架构模式,可以在资料保全和流量间作智能的控制,具有最大的扩展及延伸能力。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)

  3、定制安全机制
  (1)存取控制 - 定义安全政策
  存取控制可定义使用者或应用服务的对象进/出企业网络,以保护企业内部资源;例如:一个企业组织只可决定于上班时间限制存取Internet特定的网站,只允许于午餐时间存取,或当系统在执行备援时,禁止存取重要的服务者等。
  执行存取控制参数必须是简单且直接的,以一个明确的图形使用者接口(GUI)操作,最好全部的组件都是使用对象导向的方式来定义。而每一个规则能包含任何网络对象、服务、动作和追踪机置,并可判断规则的冲突性。防火墙除必须提供安全的存取控制外,还必须抵挡恶意的攻击。例如IP Spoofing、Denial of Service、Ping of Death等等。
  (2)认证机制
  防火墙认证的应用为当使用者与目的主机联机时,在通讯被允许进行之前,认证的机制服务可安全的确认他们身份的有效性,且不需要修改服务器或客户端应用软件。认证服务是可完全的被整合到企业整体的安全政策内,并能经由防火墙图形使用者接口集中管理。所有的认证会期也都能经由防火墙日志浏览器来监视和追踪。
  一般防火墙所提供的认证机制与方法多寡不一,以Check Point FireWall-1为例,提供使用者的认证:针对FTP、TELNET、HTTP和

来源:http://www.tulaoshi.com/n/20160129/1499095.html

延伸阅读
基于Cisco PIX Firewall的防火墙系统      摘要 :本文介绍了Cisco PIX Firewall防火墙的一些功能和作用。说明了如何利用Cisco PIX Firewall方便快捷地构建一个较为安全的防火墙系统。 1. 引言 随着Internet的进一普及和迅猛发展,针对入网主机的入侵的日益增多,应用防火墙技术势在必行 。但各种各样的防火...
Linux下架设防火墙要领(2)      有关命令的详细用法请参考有关HOWTO文档。 现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为:192.168.1.1,假设目前防火墙是进行代理上网,拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒...
个人防火墙的选择及其使用技巧(1)     你试过被黑的味道吗? 虽然你仅仅是个PC机用户,可能你偶尔才到Internet上漫游一下;虽然你认为你的计算机里面的资料一点都不重要;虽然你觉得从来就没有被黑客造访过,但这些都不表示你不会成为黑客下一个破坏的目标。以目前流行的互联网技术来说,还有很多漏洞已经被公开,遗憾...
FireWall-1网络安全防火墙(1)      一、 CheckPoint简介:    作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一,CheckPoint公司致力于企业级网络安全产品的研发,据IDC的最近统计,其FireWall-1防火墙在市场占有率上已超过32%,《财富》排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。...
FireWall-1网络安全防火墙(2)      三、 状态检测机制 FireWall-1采用CheckPoint公司的状态检测(Stateful Inspection)专利技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。 FireWall-1状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解...

经验教程

285

收藏

83
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部