某政府部门网络防火墙架设及实施分w析.docVIP

某政府部门网络防火墙架设及实施分析作者：袁圣来源：《科技创新导报》2011年第14期 ????????摘 要:本文根据笔者多年工作的实践经验,以某政府部门内网防火墙设计方案为例,对该部门网络防火墙架设及实施作了具体地分析,谨供大家作参考之用。 ????????关键词:防火墙安全策略安全性规则实施 ????????中图分类号:TP319.3 文献标识码:A 文章编号:1674-098X(2011)05(b)-0027-01 ????????1 定义存取控制的安全策略 ????????存取控制安全策略的定义可以管理用户或一些应用服务程序访问政府部门网络,起到保护某政府部门内部网络资源的作用。通过讨论规定如:要求该部门工作人员在上班时间只能访问Internet网上的我们规定的网站,在休息午餐时间可以开放对Internet网上特定网站访问,当管理员对系统进行维护时,就不能对网络进行访问。防火墙产品在使用时,规定的存取控制参数必须是简单明了的,能够让管理员理解便于其操作的方式来定义,最好使用图形接口来操作。而且第一个规则的设定,能够包含任何网络对象,还可以判断规则冲突性,还能抵挡外来恶意攻击。 ????????2 认证机制 ????????防火墙认证的应用为当使用者与目的主机联机时,在通讯被允许进行之前,认证的机制服务可安全的确认他们身份的有效性,且不需要修改服务器或客户端应用软件。认证服务是可完全的被整合到政府部门整体的安全政策内,并能经由防火墙图形使用者接口集中管理。所有的认证会期也都能经由防火墙日志浏览器来监视和追踪。 ????????Cheek Point Firewall-1提供使用者的认证:针对FTP、TELNET、HTTP和RLOGLN提供透通的使用者认证;客户端认证:可针对特定IP地址的使用者授予存取的权限;通透的会期认证:提供以会期为基础的任何一种应用,服务的认证等。 ????????认证的机制包括固定的密码,如0S及防火墙的密码;以及动态的密码,如S/key、SectrID、RADIUS等。如要使用固定的密码认证,建议使用防火墙的密码较安全,但是固定密码还是容易被监听,最好是使用One Time Password的方式,以防止被窃取。 ????????3 内容的安全性 ????????防火墙所提供的内容安全能力,可达到最高层次的应用服务协议检测,以保护使用者政府部门资源。Check Point Fire Wall-1包含计算机病毒和恶意Java与ActiveX APPlets的内容安全性检查,经由图形的接口可集中管理。另外提供开放平台的安全企业连接(OPSEC)架构的API,可整合第三者厂商内容过滤的应用。 ????????主要的应用如下。 ????????URL过滤:可维护该政府部门宝贵的网络频宽和增加网络另一层次的控制,允许网络管理者存取特定网页,并可确保工作人员只能下传和存取的网页信息。 ????????电子邮件的支持:通过SMTP的连接提供高度的控制以保护网络。可在一个标准的应用程序地址之后,隐藏一个外出的邮件地址,或可隐藏内部的网络结构与真正的内部的使用者,或丢弃超过所给与邮件信息的容量等。 ????????FTP的支持:FTP指令(如PUT/GET)的内容安全性,可限制文件名称和档案反病毒检查等。 ????????4 网络地址翻译(NAT) ????????网络地址翻译对Internet而言,可隐藏内部的网络地址,克服了IP地址数量的限制,可维护一个政府部门的内部地址的完整性,对映内部非注过册IP地址以一个合法有效的IP对外,可完整存取Internet防火墙提供两种操作模式。 ????????动态的模式:当维持已注册IP地址给予使用者存取Internet的时候和隐藏内部实际IP地址的网络资源,可使用动态的模式达到地址转译。动态的模式可将内部所有IP地址的连接,经过防火墙与单一个合法的IP地址对外。 ????????静态的模式:可应用在一个网络IP地址很早就被分派使用和你需要提供真正的地址,以便用户在Internet能存取他们,静态模式的地址转译可解决上述问题。静态的模式提供一个对一个的对映在对外公开IP地址和内部真正的IP地址之间。 ????????5 加密(VPN) ????????私人的网络利用一些公用网络的设施称为虚拟私人网络或者VPN。一个VPN与一个专属的私人的网络相比较,优点显然是是减少昂贵的费用与更多的弹性。在公开的网络环境中,某政府部门的信息可能在网际网络传输过程中遭受窃听与篡改,可利用加密功能在Internet上建立安全的通讯频道,可确保在某政府部门内部的资源具备完整的隐私性、真实性与资料完整性。 ????????6 规则实施 ??????