shengenzhong 发表于 2009-6-2 20:30:53

不可忽视谈网络防火墙和安全问题[四]

防火墙的姿态
  防火墙的姿态从根本上阐述了一个机构对安全的看法。Internet防火墙可能会扮演两种截然相反的姿态:
  · 拒绝没有特别允许的任何事情。这种姿态假定防火墙应该阻塞所有的信息,而每一种所期望的服务或应用都是实现在case-by-case的基础上。这是一个受推荐的方案。其建立的是一个非常安全的环境,因为只有审慎选择的服务才被支持。当然这种方案也有缺点,就是不易使用,因为限制了提供给用户们的选择范围。
  · 允许没有特别拒绝的任何事情。这种姿态假定防火墙应该转发所有的信息,任何可能存在危害的服务都应在case-by-case的基础上关掉。这种方案建立的是一个非常灵活的环境,能提供给用户更多的服务。缺点是,由于将易使用这个特点放在了安全性的前面,网络管理员处于不断的响应当中,因此,随着网络规模的增大,很难保证网络的安全。
  机构的安全策略

  如前所述,Internet防火墙并不是独立的,它是机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面。为确保成功,机构必须知道其所有保护的是什么。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析基础之上。如果机构没有详尽的安全策略,无论如何精心构建的防火墙都会被绕过去,从而整个内部网络都暴露在攻击面下。
  机构能够负担起什么样的防火墙?简单的包过滤防火墙的费用最低,因为机构至少需要一个路由器才能连入Internet,并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统提供了附加的安全功能,而费用在$4,000到$30,000之间,具体价格要看系统的复杂性和要保护的系统的数量。如果一个机构有自己的专业人员,也可以构建自己的防火墙系统,但是仍旧有开发时间和部署防火墙系统等的费用问题。还有,防火墙系统需要管理,一般性的维护、软件升级、安全上的补漏、事故处理等,这些都要产生费用。
  图4 包过滤路由器
/qzone/newblog/v5/editor/css/loading.gif
防火墙系统的组成
  在确定了防火墙的姿态、安全策略、以及预算问题之后,就能够确定防火墙系统的特定组件。典型的防火墙有一个或多个构件组成:
  · 包过滤路由器
  · 应用层网关(或代理服务器)
  · 电路层网关
   在后面我们将讨论每一种构件,并描述其如何一起构成一个有效的防火墙系统。
  构件:包过滤路由器
  包过滤路由器(图4)对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端F地址、内装协(ICP、UDP、ICMP、或IP Tunnel)、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口如果有匹配并且规则允许该数据包,那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包,那么该数据包就会被丢弃。如果没有匹配规则,用户配置的缺省参数会决定是转发还是丢弃数据包。
页: [1]
查看完整版本: 不可忽视谈网络防火墙和安全问题[四]