论文部分内容阅读
网络防火墙是指一个或一组实施访问控制策略的系统,它可以是软件、硬件或软硬件的结合,其目的是提供对网络的安全保护。它通常位于内部网络和外部网络之间,可以监视、控制和更改在内部和外部网络之间流动的网络通信;控制外部计算机可以访问内部受保护的环境,并确定访问的时间、权限、服务类型和质量等,检查内部流传的信息,避免保密信息流出,达到抵挡外部入侵和防止内部信息泄密的目的。
一、安装网络防火墙的意义
随着在家庭和工作环境中人们对Internet的依赖日益增长,针对计算机系统缺陷的潜在攻击威胁也在增加,例如有组织或无组织的攻击、病毒、蠕虫、特洛伊木马、恶意文本和恶意代码、拒绝服务、肉鸡系统、危及个人信息安全的间谍程序、新的潜在攻击者、不可靠或易感染的应用等。要保护计算机和网络免受已经存在或新的威胁攻击,就需要采取措施保护自己的环境免受这些威胁,从而维护自己的信息安全性。防火墙是其中的一种最流行的安全设施。自从美国Digital公司1986年在Internet上安装了全球第一个商用防火墙系统,提出防火墙的概念之后,该项技术便得到了飞速的发展。
二、网络防火墙的配置与网络的安全
防火墙是网络安全中非常重要的一环,大多数的单位多半认为仅需要安装一套防火墙设备,就应该可以解决他们的安全问题,因此不惜重金购买防火墙,但却忽视了防火墙的配置。防火墙功能的强大与否,除了防火墙本身的性能外,主要是取决于对防火墙的正确配置。在与使用防火墙的用户接触中,笔者发现常常由于防火墙配置的错误,留下一些系统安全漏洞,让入侵者有机可趁。
在装有防火墙产品的网络中,内部网络的安全性将在一定程度上依赖于防火墙产品的规则配置。由于一些配置在本质上比其他的配置更安全,因而网络安全系统的一个重要组件,在复杂的、没有条理性的配置上,想要获得安全性是很困难的,甚至可以说是不可能的。
对于使用防火墙的用户来说,最合适的网络配置依赖于对网络安全性、灵活性及数据传输速度的要求。因为防火墙规则的增加会影响其速度,不过目前有些防火墙产品在加一千余条规则后,其传输速度也不会受到太大的影响。
三、安全、可靠的网络防火墙的实现
建立一个条理清楚的防火墙规则集,是实现防火墙产品安全的关键一步。安全、可靠防火墙的实现,取决于以下的过程。
1.制定安全策略,搭建安全体系结构
安全策略要靠防火墙的规则集来实现,防火墙是安全策略得以实现的技术工具。所以,必须首先制定安全策略,也就是说防火墙保护的是什么,防止的是什么,并将要求细节化,使之全部转化成防火墙规则集。
2.制定规则的合理次序
一般防火墙产品在缺省状态下有两种默认规则:一种是没有明确允许,一律禁止;另一种是没有明确禁止,一律允许。因此,用户首先要理解自己所用产品的默认状态,这样才能开始配置其它的规则。
在防火墙产品的规则列表中,最一般的规则被列在最后的位置,而最具体的规则被列在最前面的位置。在列表中,每一个列在前面的规则都比列在后面的规则更加具体,而列表中列在后面的规则比列在前面规则更加一般。
按以上规则要求,规则放置的次序是非常关键的。同样的规则,以不同的次序放置,可能会完全改变防火墙产品的运行状况。大部分防火墙产品以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后才是第二条、第三条……当它发现一条匹配规则时,就停止检查并应用那条规则。如果信息包经过每一条规则而没有发现匹配的规则,那么,默认的规则将起作用,这个信息包便会被拒绝。
另外,有些防火墙产品专门将对防火墙本身的访问列出规则,这要比一般的包过滤规则严格得多。通过这一规则的合理配置,阻塞了对防火墙的任何恶意访问,提高了防火墙本身的安全性。
3.详细地注释,帮助理解
恰当地组织好规则后,还应写上注释并经常更新它们。注释可以帮助用户明白哪条规则做什么。对规则理解得越透彻,错误配置的可能性就越小。同时,在修改规则时,应该把规则更改者的名字、规则变更的日期、时间、规则变更的原因等信息加入注释中。
4.做好日志工作
日志的记录内容由防火墙管理员制定,可记录在防火墙制定,也可放置在其它的主机内。建议防火墙管理员定期查看日志的内容,归档,便于分析。同时,要将被规则阻塞的包及时通报管理员,以便及时了解网络攻击的状况,采取应急措施,保护网络的安全。
(作者单位:山东省邹城市技工学校)
一、安装网络防火墙的意义
随着在家庭和工作环境中人们对Internet的依赖日益增长,针对计算机系统缺陷的潜在攻击威胁也在增加,例如有组织或无组织的攻击、病毒、蠕虫、特洛伊木马、恶意文本和恶意代码、拒绝服务、肉鸡系统、危及个人信息安全的间谍程序、新的潜在攻击者、不可靠或易感染的应用等。要保护计算机和网络免受已经存在或新的威胁攻击,就需要采取措施保护自己的环境免受这些威胁,从而维护自己的信息安全性。防火墙是其中的一种最流行的安全设施。自从美国Digital公司1986年在Internet上安装了全球第一个商用防火墙系统,提出防火墙的概念之后,该项技术便得到了飞速的发展。
二、网络防火墙的配置与网络的安全
防火墙是网络安全中非常重要的一环,大多数的单位多半认为仅需要安装一套防火墙设备,就应该可以解决他们的安全问题,因此不惜重金购买防火墙,但却忽视了防火墙的配置。防火墙功能的强大与否,除了防火墙本身的性能外,主要是取决于对防火墙的正确配置。在与使用防火墙的用户接触中,笔者发现常常由于防火墙配置的错误,留下一些系统安全漏洞,让入侵者有机可趁。
在装有防火墙产品的网络中,内部网络的安全性将在一定程度上依赖于防火墙产品的规则配置。由于一些配置在本质上比其他的配置更安全,因而网络安全系统的一个重要组件,在复杂的、没有条理性的配置上,想要获得安全性是很困难的,甚至可以说是不可能的。
对于使用防火墙的用户来说,最合适的网络配置依赖于对网络安全性、灵活性及数据传输速度的要求。因为防火墙规则的增加会影响其速度,不过目前有些防火墙产品在加一千余条规则后,其传输速度也不会受到太大的影响。
三、安全、可靠的网络防火墙的实现
建立一个条理清楚的防火墙规则集,是实现防火墙产品安全的关键一步。安全、可靠防火墙的实现,取决于以下的过程。
1.制定安全策略,搭建安全体系结构
安全策略要靠防火墙的规则集来实现,防火墙是安全策略得以实现的技术工具。所以,必须首先制定安全策略,也就是说防火墙保护的是什么,防止的是什么,并将要求细节化,使之全部转化成防火墙规则集。
2.制定规则的合理次序
一般防火墙产品在缺省状态下有两种默认规则:一种是没有明确允许,一律禁止;另一种是没有明确禁止,一律允许。因此,用户首先要理解自己所用产品的默认状态,这样才能开始配置其它的规则。
在防火墙产品的规则列表中,最一般的规则被列在最后的位置,而最具体的规则被列在最前面的位置。在列表中,每一个列在前面的规则都比列在后面的规则更加具体,而列表中列在后面的规则比列在前面规则更加一般。
按以上规则要求,规则放置的次序是非常关键的。同样的规则,以不同的次序放置,可能会完全改变防火墙产品的运行状况。大部分防火墙产品以顺序方式检查信息包,当防火墙接收到一个信息包时,它先与第一条规则相比较,然后才是第二条、第三条……当它发现一条匹配规则时,就停止检查并应用那条规则。如果信息包经过每一条规则而没有发现匹配的规则,那么,默认的规则将起作用,这个信息包便会被拒绝。
另外,有些防火墙产品专门将对防火墙本身的访问列出规则,这要比一般的包过滤规则严格得多。通过这一规则的合理配置,阻塞了对防火墙的任何恶意访问,提高了防火墙本身的安全性。
3.详细地注释,帮助理解
恰当地组织好规则后,还应写上注释并经常更新它们。注释可以帮助用户明白哪条规则做什么。对规则理解得越透彻,错误配置的可能性就越小。同时,在修改规则时,应该把规则更改者的名字、规则变更的日期、时间、规则变更的原因等信息加入注释中。
4.做好日志工作
日志的记录内容由防火墙管理员制定,可记录在防火墙制定,也可放置在其它的主机内。建议防火墙管理员定期查看日志的内容,归档,便于分析。同时,要将被规则阻塞的包及时通报管理员,以便及时了解网络攻击的状况,采取应急措施,保护网络的安全。
(作者单位:山东省邹城市技工学校)