如何构建安全的企业防火墙?.docxVIP

  1. 1、本文档共18页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
精品文章目录: 如何构建安全的企业防火墙? 保护数据的Web应用防火墙 全面解析Web应用防火墙 关于防火墙必须知道的几点 5、如何在xp下通过命令行对防火墙进行配置 如何构建安全的企业防火墙? 如何构建一个安全的防火墙系统结构。?   引子?   防火墙是保障网络安全的关键组件,但它只是安全企业网络的一个开端而已。对管理员来讲,有必要关注支持失效转移的多防火墙设计。这种防火墙设计的最终结果应是易于管理、高性能、高可用性、高安全性的组合,而且还要少花钱。?   要几个防火墙??   在防火墙的设计原理上历来有不少争论,争论的一个主要问题是到底拥有几个防火墙是最好的。笔者以为两个防火墙一般不会比一个防火墙好多少。因为在大多数的攻击事件中,防火墙自身的漏洞很少成为问题。黑客们通常并不需要攻克防火墙,因为他们可以通过开放的端口进入,并利用防火墙之后的服务器上的漏洞。此外,防火墙本身并没有什么吸引黑客攻击的地方,因为任何明智的管理员都会将配置防火墙使其丢弃那些连接防火墙的企图。例如,即使在用户的防火墙上有一个已知的SSH漏洞,这种威胁也只能来自防火墙指定的受到良好保护的管理工作站,更别说这种工作站被关闭的情况了。事实上,防火墙的最大问题在于其维护上的薄弱、糟糕的策略及网络设计。在与防火墙有关的安全事件中,人的因素造成的破坏占到了大约99%的比例。更糟的是,如果你运行多个厂商的防火墙,那么其成本将迫使用户放弃一些需要特别关注的问题。用户最好将有限的资源花费在强化一种平台上,而不要全面出击。?   防火墙的设计目标?   一种良好的防火墙策略和网络设计应当能够减少(而不是根除)下面的这些安全风险:?   ◆来自互联网的攻击DMZ服务的攻击?   ◆企业网络的任一部分攻击互联网?   ◆企业用户或服务器攻击DMZ服务器?   ◆DMZ服务器攻击用户、服务器,或者损害自身。?   ◆来自合伙人和外延网(extranet)的威胁?   ◆来自通过WAN连接的远程部门的威胁?   这些目标听起来也许有点太过头了,因为这基本上并不是传统的方法,不过它却其自身的道理。?   第一点是非常明显的,那就是限制通过互联网试图访问DMZ服务器的服务端口,这就极大地减少了它们被攻克的机会。例如,在一个SMTP邮件服务器上,仅允许互联网的通信通过25号TCP端口。因此,如果这台SMTP服务器碰巧在其服务器服务或程序中有一个漏洞,它也不会被暴露在互联网上,蠕虫和黑客总在关心80号端口的漏洞。?   下一条听起来可能有点儿古怪,我们为什么要关心通过自己的网络来保护公共网络呢?当然,任何公民都不应当散布恶意代码,这是起码的要求。但这样做也是为了更好地保护我们自己的的网络连接。以SQL slammer 蠕虫为例,如果我们部署了更好的防火墙策略,那么就可以防止对互联网的拒绝服务攻击 ,同时还节省了互联网资源。?   最不好对付的是内部威胁。多数昂贵的防火墙并不能借助传统的设计来防止网络免受内部攻击者的危害。如一个恶意用户在家里或其它地方将一台感染恶意代码的笔记本电脑挂接到网络上所造成的后果可想而知。一个良好的网络设计和防火墙策略应当能够保护DMZ服务器,使其免受服务器和用户所带来的风险,就如同防御来自互联网的风险一样。?   事情还有另外一方面。因为DMZ服务器暴露在公共的互联网上,这就存在着它被黑客或蠕虫破坏的可能。管理员采取措施限制DMZ服务器可能对内部服务器或用户工作站所造成的威胁是至关重要的。此外,一套稳健的防火墙策略还可以防止DMZ服务器进一步损害自身。如果一台服务器被黑客通过某种已知或未知的漏洞给破坏了,他们做的第一件事情就是使服务器下载一个rootkit.防火墙策略应当防止下载这种东西。?   还可以进一步减少来自外延网(Extranet)合伙人及远程办公部门WAN的威胁。连接这些网络的路由器使用了广域网技术,如帧中继、VPN隧道、租用私有线路等来保障,这些路由器也可以由防火墙来保障其安全。利用每一台路由器上的防火墙特性来实施安全性太过于昂贵,这样不但造成硬件成本高,更主要的是其设置和管理上难度也很大。企业的防火墙借助于超过传统防火墙的附加功能可以提供简单而集中化的广域网和外延网的安全管理。?   关键在于防火墙能够限制不同网络区域的通信,这些区域是根据逻辑组织和功能目的划分的。但防火墙不能限制并保护主机免受同一子网内的其它主机的威胁,因为数据绝对不会通过防火墙接受检查。这也就是为什么防火墙支持的区域越多,它在一个设计科学的企业网络中也就越有用。由于一些主要的厂商都支持接口的汇聚,所以区域划分实现起来也就简单多了。单独一个千兆比特的端口可以轻松地支持多个区域,并且比几个快速以太网端口的执行速度更快。?   实施一套良好的防火墙策略?   安全防火墙架构的首要

文档评论(0)

jiaxinlihe + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档