防火墙方案分析和总结.pdf

v1.0 可编辑可修改 防火墙方案 1 v1.0 可编辑可修改 区域逻辑隔离建设（防火墙） 国家等级保护政策要求不同安全级别的系统要进行逻辑隔离，各区域之间能 够按照用户和系统之间的允许访问规则控制单个用户， 决定允许或者禁止用户对 受控系统的资源访问。 国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离，各 区域之间能按照用户和系统之间的允许访问规则， 控制担搁用户， 决定允许或者 拒绝用户对受控系统的资源访问。 在网络边界部署防火墙系统，并与原有防火墙形成双机热备，部署防火墙可 以实现： 1. 网络安全的基础屏障： 防火墙能极大地提高一个内部网络的安全性， 并通过过滤不安全的服务而降 低风险。 由于只有经过精心选择的应用协议才能通过防火墙， 所以网络环境变得 更安全。如防火墙可以禁止诸如众所周知的不安全的 NFS协议进出受保护网络， 这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。 防火墙同时可 以保护网络免受基于路由的攻击， 如 IP 选项中的源路由攻击和 ICMP重定向中的 重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 2. 强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、 身份认证、审计等）配置在防火墙上。 与将网络安全问题分散到各个主机上相比， 防火墙的集中安全管理更经济。 例如在网络访问时， 一次一密口令系统和其它的 身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 3. 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙， 那么，防火墙就能记录下这些访问并作出日 2 v1.0 可编辑可修改 志记录， 同时也能提供网络使用情况的统计数据。 当发生可疑动作时， 防火墙能 进行适当的报警， 并提供网络是否受到监测和攻击的详细信息。 另外，收集一个 网络的使用和误用情况也是非常重要的。 首先的理由是可以清楚防火墙是否能够 抵挡攻击者的探测和攻击， 并且清楚防火墙的控制是否充足。 而网络使用统计对 网络需求分析和威胁分析等而言也是非常重要的。 4. 防止内部信息的外泄 通过利用防火墙对内部网络的划分， 可实现内部网重点网段的隔离， 从而限 制了局部重点或敏感网络安全问题对全局网络造成的影响。 再者，隐私是内部网 络非常关心的问题， 一个内部网络中不引人注意的细节可能包含了有关安全的线 索而引起外部攻击者的兴趣， 甚至因此而曝露了内部网络的某些安全漏洞。 使用 防火墙就可以隐蔽那些透漏内部细节如 Finger ，DNS等服务。 5. 精确流量管理 通过部署防火墙设备， 不仅可以实现精准访问控制与边界隔离防护， 还能实 现阻止由于病毒或者 P2