防火墻的設計原則
來源:尚品中國|
類型:網站百科
|時間:2014-07-22
(1) 所有從內到外和從外到內的通信最都必須經過防火墻,這是通過物理上阻塞所有不經過防火墻的局城網訪問來實現。不同的配置是可能的。(2) 只有被認可的通信量通過本地安全策略進行定義后才允許傳遞。使用不同類型的防火墻實現不同的安全策略。(3) 防火墻對于滲透是免疫的,在網站設計Internet 防火墻時,網絡管理員必須做出幾個決定:防火墻的姿態(Stance),機構的整體安全策略、防火墻的經濟費用、防火墻系統的組件或構件。
一、internet防火墻可能會扮演兩種截然相反的姿態
(1)拒絕沒有特別允許的任何事情
(2)允許沒有特別拒絕的任何事情
二、機構的安全策略
三、Internet防火墻與安全策略的關系
四、防火墻的測試驗證
五、防火墻必須進行動態維護
六、正確評估防火墻的失效狀態
一、internet防火墻可能會扮演兩種截然相反的姿態
(1)拒絕沒有特別允許的任何事情
這種姿態假定防火墻應該阻塞所有的信息,而每一種所期望的服務或應用都是實現在case-by-cas的基礎上,這是一個受推薦的方案。其建立的是一個非常安全的環境,因為只有審慎選擇的服務才被支持。當然這種方案也有缺點,即不易使用,因為其限制了提供給用戶的選擇范圈。
(2)允許沒有特別拒絕的任何事情
這種姿態假定防火墻應該轉發所有的信息,任何可能存在危害的服務都應在case-by-ca的基礎上關掉。這種方案建立的是一個非常靈活的環境,能提供給用戶更多的服務。缺點是由于將易使用這個特點放在了安全性的前面,網絡管理員處于不斷地響應當中,因此隨著網絡規模的增大,很難保證網絡的安全。
二、機構的安全策略
(1) Internet 防火墻并不是獨立的,它只是機構總體安全策略的一部分。機構總體安全策略定義了安全防御的方方面面。為確保成功,機構必須知道其保護的對象。
(2) 安全策略必須建立在精心進行的安全分析、風險評估以及商業需求分析基礎之上。如果機構沒有詳盡的安全策略,無論如何精心構建的防火墻都會被繞過去,從而整個內部網絡都暴露在攻擊面下。
(2) 安全策略必須建立在精心進行的安全分析、風險評估以及商業需求分析基礎之上。如果機構沒有詳盡的安全策略,無論如何精心構建的防火墻都會被繞過去,從而整個內部網絡都暴露在攻擊面下。
(3) 機構能夠負擔起什么樣的防火墻?
簡單的包過慮防火墻的費用最低,因為機構至少需要一個路由器才能連接Internet,并且包過濾功能包括在標準的路由器配置中。商業的防火墻系統提供了附加的安全功能,而費用在4 000--30 000美元之間,具體價格取決于系統的復雜性和要保護的系統的數量。如果一個機構有自已的專頁人員,也可以構建自己的防火墻系統,但是仍有開發時間和部署防火墻系統等的費用問題。防火墻系統需要管理,一般性的維護、軟件升級、安全上的補漏、事故處理等都要產生費用。
三、Internet防火墻與安全策略的關系
(1) Internet防火墻不僅僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,它還是安全策略的一個部分。(2)安全策略建立了全方位的防御體系來包含幾個的信息資源。這種安全策略應包括在出版的安全指南中,告訴用戶其應有的責任,機構規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥人和撥出、磁盤和數據加密、病毒防護措施,以及雇員培訓等所有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。(3)僅設立防火墻系統,而沒有全面的安全策略.則防火墻就形同虛設.
四、防火墻的測試驗證
防火墻能否起到防護作用。最根本、最有效的證明方法是對其進行測試,甚至站在“黑客”的角度采用各種手段對防火墻進行攻擊。然而具體執行時難度較大。(I)防火墻性能測試目前還是一種很新的技術,尚無正式出版刊物,可用的工具和軟件更是寥寥無幾。據了解,目前只有美國ISS公司提供有防火墻性能測試的工具軟件。(2)防火墻測試技術尚不先進,與防火墻設計并非完全吻合,使得測試工作難以達到既定的效果。(3)選擇“誰”進行公正的測試也是一個問題。可見,防火墻的性能測試絕不是一件簡單的事情,但這種測試又相當必要,因為不進行測試.就不能證明防火墻的安全.
五、防火墻必須進行動態維護
防火墻安裝和投人使用后,要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,要與商家保持密切的聯系.時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞,就會盡快發布補救(Patch〕產品,此時應盡快確認真偽,并對防火墻軟件進行更新.
六、正確評估防火墻的失效狀態
評價防火墻性能如何,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡.而且要看到一旦防火墻被攻破,它的狀態如何。按級別來分,它應有以下4種狀態。1、未受傷害能夠繼續正常工作 ,2、關閉并重新啟動,同時恢復到正常工作狀態,3、關閉并禁止所有的數據通行,4、關閉并允許所有的數據通行。前兩種狀態比較理想,而第四種最不安全。但是許多防火墻由于沒有條件進行失效狀態測試和驗證.無法確定其失效狀態等級,因此網絡必然存在安全隱患。
來源聲明:本文章系尚品中國編輯原創或采編整理,如需轉載請注明來自尚品中國。以上內容部分(包含圖片、文字)來源于網絡,如有侵權,請及時與本站聯系(010-60259772)。
推薦新聞
更多行業-
網站建設如何明確核心要素
核心要素就如同樹木的枝干,無論我們是寫稿還是北京網站建設,我們都要確定...
2012-11-01 -
網絡安全服務
建立網絡安全保障體系不能僅僅依靠現有的安全機制和設備,更重要的是提供全...
2014-09-15 -
HTML靜態頁面核心技能與概念
一、理論基礎1:HTML語言簡介 HTML (HyperText...
2015-07-18 -
網絡營銷的重點理論
1.病毒營銷究其實質是一種信息傳遞戰略,即任何刺激個體將營銷信息向他人...
2012-08-23 -
什么樣的頁面更利于百度收錄
百度蜘蛛喜歡什么樣的頁面,給予什么樣的頁面排名更高,什么樣的頁面更利于...
2014-05-22 -
你要問我SEO得學多久 我的回答是一萬年!
SEO行業也是魚龍混雜,如今做SEO人也越來越多。但真正通過SEO賺錢...
2012-06-27
如果您的網站可以增加轉化次數并提高客戶滿意度,該怎么辦?
預約專業咨詢顧問溝通!
Copyright ? 2025 恒久尚品 版權所有 | 京ICP備09066521號
| 公安機關備案號:11011502003910
免責聲明
誠信企業
尚品專注高端網站建設,系統平臺開發,微信小程序及APP開發服務
尚品專注高端網站建設,系統平臺開發,微信小程序及APP開發服務
免責聲明
非常感謝您訪問我們的網站。在您使用本網站之前,請您仔細閱讀本聲明的所有條款。
1、本站部分內容來源自網絡,涉及到的部分文章和圖片版權屬于原作者,本站轉載僅供大家學習和交流,切勿用于任何商業活動。
2、本站不承擔用戶因使用這些資源對自己和他人造成任何形式的損失或傷害。
3、本聲明未涉及的問題參見國家有關法律法規,當本聲明與國家法律法規沖突時,以國家法律法規為準。
4、如果侵害了您的合法權益,請您及時與我們,我們會在第一時間刪除相關內容!
聯系方式:010-60259772
電子郵件:394588593@qq.com
