-
防火牆系統
鎖定
防火牆系統使用防火牆的益處
防火牆系統保護脆弱的服務
防火牆系統控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
防火牆系統集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運行於整個內部網絡系統, 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法, 而不需要在每台機器上分別安裝特定的認證軟件。外部用户也只需要經過一次認證即可訪問內部網。
防火牆系統增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息,如Figer和DNS。
記錄和統計網絡利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網絡通訊,提供關於網絡使用的統計數據,並且,Firewall可以提供統計數據, 來判斷可能的攻擊和探測。
防火牆系統策略執行
防火牆系統防火牆的種類
防火牆系統數據包過濾
數據包過濾(Packet Filtering)技術是在網絡層對數據包進行選擇,選擇的依據是系統內設置的過濾邏輯, 被稱為訪問控制表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、 協議狀態等因素,或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單,價格便宜,易於安裝和使用, 網絡性能和透明性好,它通常安裝在路由器上。路由器是內部網絡與Internet連接必不可少的設備, 因此在原有網絡上增加這樣的防火牆幾乎不需要任何額外的費用。
防火牆系統應用級網關
應用級網關(Application Level Gateways)是在網絡應用層上建立協議過濾和轉發功能。 它針對特定的網絡應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、 登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點,就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯,則防火牆內外的計算機系統建立直接聯繫, 防火牆外部的用户便有可能直接瞭解防火牆內部的網絡結構和運行狀態,這有利於實施非法訪問和攻擊。
防火牆系統代理服務
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術, 其特點是將所有跨越防火牆的網絡通信鏈路分為兩段。防火牆內外計算機系統間應用層的" 鏈接", 由兩個終止代理服務器上的" 鏈接"來實現,外部計算機的網絡鏈路只能到達代理服務器, 從而起到了隔離防火牆內外計算機系統的作用。此外,代理服務也對過往的數據包進行分析、註冊登記, 形成報告,同時當發現被攻擊跡象時會向網絡管理員發出警報,並保留攻擊痕跡。
防火牆系統要素
防火牆系統網絡策略
影響Firewall系統設計、安裝和使用的網絡策略可分為兩級,高級的網絡策略定義允許和禁止的服務以及如何使用服務, 低級的網絡策略描述Firewall如何限制和過濾在高級策略中定義的服務。
防火牆系統服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網絡訪問(如撥入策略、SLIP/PPP連接等)。 服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網絡風險和提供用户服務之間獲得平衡。 典型的服務訪問策略是:允許通過增強認證的用户在必要的情況下從Internet訪問某些內部主機和服務; 允許內部用户訪問指定的Internet主機和服務。
防火牆系統防火牆設計策略
防火牆設計策略基於特定的Firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略: 允許任何服務除非被明確禁止;禁止任何服務除非被明確允許。第一種的特點是安全但不好用, 第二種是好用但不安全,通常採用第二種類型的設計策略。 而多數防火牆都在兩種之間採取折衷。
防火牆系統增強的認證
許多在Internet上發生的入侵事件源於脆弱的傳統用户/口令機制。多年來,用户被告知使用難於猜測和破譯口令, 雖然如此,攻擊者仍然在Internet上監視傳輸的口令明文,使傳統的口令機制形同虛設。增強的認證機制包含智能卡, 認證令牌,生理特徵(指紋)以及基於軟件(RSA)等技術,來克服傳統口令的弱點。雖然存在多種認證技術, 它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。
防火牆系統大型網絡部署
根據網絡系統的安全需要,可以在如下位置部署防火牆:
局域網內的VLAN之間控制信息流向時;
Intranet與Internet之間連接時(企業單位與外網連接時的應用網關);
在廣域網系統中,由於安全的需要,總部的局域網可以將各分支機構的局域網看成不安全的系統, (通過公網ChinaPac,ChinaDDN,Frame Relay等連接)在總部的局域網和各分支機構連接時採用防火牆隔離, 並利用VPN構成虛擬專網;
總部的局域網和分支機構的局域網是通過Internet連接,需要各自安裝防火牆,並利用NetScreen的VPN組成虛擬專網;
在遠程用户撥號訪問時,加入虛擬專網;