以下的文章主要向大家講述的是選購(gòu)企業(yè)級(jí)硬件防火墻安全指南，假如一個(gè)企業(yè)決定用防火墻來實(shí)施組織之后，主要目的就是要選擇一個(gè)安全、實(shí)惠、合適的防火墻。選擇防火墻時(shí)，要考慮以下幾方面問題。

選購(gòu)企業(yè)級(jí)硬件防火墻安全指南 選購(gòu)企業(yè)級(jí)硬件防火墻安全指南[2] 選購(gòu)企業(yè)級(jí)硬件防火墻安全指南[3] 當(dāng)一個(gè)企業(yè)決定用防火墻來實(shí)施組織的安全策略后，下一步要做的就是選擇一個(gè)安全、實(shí)惠、合適的防火墻。選擇防火墻時(shí)，要考慮以下幾方面問題。

一、選擇防火墻的要求

1防火墻應(yīng)具備的基本功能

支持“除非明確允許，否則就禁止”的設(shè)計(jì)策略，即使這種策略不是最初使用的策略；本身支持安全策略，而不是添加上去的；如果組織機(jī)構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù)；有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法；如果需要，可以運(yùn)用過濾技術(shù)允許和禁止服務(wù)；可以使用FTP和Telnet等服務(wù)代理，以便先進(jìn)的認(rèn)證手段就可以被安裝和運(yùn)行在防火墻上；擁有界面友好、易于編程的IP過濾語(yǔ)言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等；

如果用戶需要NNTP（網(wǎng)絡(luò)消息傳輸協(xié)議），X window，HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個(gè)站點(diǎn)的電子郵件。防火墻應(yīng)允許公眾對(duì)站點(diǎn)的訪問。防火墻應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。

2其他功能

防火墻應(yīng)該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡(luò)流量和可疑的活動(dòng)。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡(jiǎn)日志的能力。如果防火墻使用UNIX操作系統(tǒng)，則應(yīng)提供一個(gè)完全的UNIX操作系統(tǒng)和其他一些保證數(shù)據(jù)完整的工具，應(yīng)該安裝所有的操作系統(tǒng)的補(bǔ)丁程序。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運(yùn)行一個(gè)管理員熟悉的操作系統(tǒng)會(huì)使管理變得簡(jiǎn)單。

防火墻的強(qiáng)度和正確性應(yīng)該可被驗(yàn)證。防火墻的設(shè)計(jì)應(yīng)該簡(jiǎn)單，以便管理員理解和維護(hù)。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補(bǔ)丁程序進(jìn)行升級(jí)且升級(jí)必須定期進(jìn)行。

正像前面提到的那樣，因特網(wǎng)每時(shí)每刻都在發(fā)生著變化，新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。當(dāng)新的危險(xiǎn)出現(xiàn)時(shí)，新的服務(wù)和升級(jí)工作可能會(huì)對(duì)防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的適應(yīng)性是很重要的。

二、購(gòu)買還是自己構(gòu)筑

一些企業(yè)具有自己組裝防火墻的能力，他們使用可用的軟件組件和設(shè)備或自己編寫一個(gè)防火墻程序。另外一些企業(yè)利用經(jīng)銷商提供的防火墻技術(shù)服務(wù)，例如相應(yīng)的硬件和軟件、開發(fā)安全策略、風(fēng)險(xiǎn)評(píng)估、安全檢測(cè)和級(jí)硬件防火墻安全培訓(xùn)等。

企業(yè)自己構(gòu)筑防火墻的優(yōu)勢(shì)是內(nèi)部人員了解防火墻設(shè)計(jì)的細(xì)節(jié)從而能夠方便應(yīng)用。但自制防火墻需要長(zhǎng)時(shí)間的修建、記錄文檔和維護(hù)，費(fèi)用較高。相比之下，從銷售商那里購(gòu)買防火墻是較為經(jīng)濟(jì)的。

企業(yè)決定是否構(gòu)筑并成功地運(yùn)行一個(gè)防火墻需要考慮如下問題：

防火墻應(yīng)該怎樣被測(cè)試？

怎么證明防火墻按需工作？

誰可以做日常的防火墻工作，如備份和修復(fù)？

誰會(huì)對(duì)防火墻進(jìn)行升級(jí)更新，如安裝新的代理服務(wù)器、補(bǔ)丁程序和其他的升級(jí)程序？

安全漏洞可以定期被更正嗎？

誰會(huì)對(duì)用戶進(jìn)行技術(shù)支持和培訓(xùn)？

許多銷售商不但提供安裝服務(wù)，而且提供防火墻的維護(hù)，所以如果一個(gè)企業(yè)沒有能力做上述之事，就應(yīng)考慮使用銷售商提供的服務(wù)。無論采用何種方法，公司都應(yīng)把防火墻的維護(hù)看作一種極為重要的工作，盡可能在上面多花時(shí)間。在一些小公司中，做這項(xiàng)工作可能不需要一個(gè)專職的人員，但這項(xiàng)工作應(yīng)比其他的工作更有優(yōu)先權(quán)。

只有有效地維護(hù)一個(gè)防火墻，才能使它有效地工作。一個(gè)維護(hù)不當(dāng)?shù)姆阑饓赡軙?huì)給人一種級(jí)硬件防火墻安全的假象，而實(shí)際上卻存在著很多安全漏洞。安全策略應(yīng)清楚地反應(yīng)有效地進(jìn)行防火墻維護(hù)的重要性。在公司的管理上應(yīng)給予防火墻維護(hù)足夠的支持，如優(yōu)先提供人員、資金和其他必要的資源。

有了防火墻，也不能放松對(duì)站點(diǎn)的管理。事實(shí)上，如果一個(gè)防火墻被突破，一個(gè)管理不善的站點(diǎn)會(huì)倍受侵?jǐn)_并遭受更嚴(yán)重的損失。一個(gè)防火墻的存在并不意味著可以減少對(duì)高素質(zhì)管理的需求。一個(gè)防火墻可以讓一個(gè)站點(diǎn)在系統(tǒng)維護(hù)上處于主動(dòng)的位置，因?yàn)榉阑饓μ峁┝艘环N屏障，所以人們就可以在系統(tǒng)維護(hù)上花更多的時(shí)間，而不是把大部分時(shí)間花在事故的處理上。

一個(gè)站點(diǎn)在防火墻的維護(hù)中應(yīng)做以下工作：

標(biāo)準(zhǔn)化操作系統(tǒng)的版本和軟件，以便安裝補(bǔ)丁程序和安全修補(bǔ)程序；

應(yīng)在全站點(diǎn)內(nèi)開展有效的新程序和補(bǔ)丁程序的安裝活動(dòng)；

使用各種服務(wù)來幫助管理系統(tǒng)，如果一些服務(wù)可以帶來更好的管理和更好的安全，那么使用這些服務(wù)；

對(duì)主機(jī)系統(tǒng)進(jìn)行周期性的掃描檢查，以發(fā)現(xiàn)配置上的錯(cuò)誤和弱點(diǎn)，及時(shí)改正；

確保系統(tǒng)管理員和安全管理員可以及時(shí)地通信，對(duì)站點(diǎn)的級(jí)硬件防火墻安全問題做出警告。

三、進(jìn)一步的建議

沒有一個(gè)防火墻的設(shè)計(jì)能夠適用于所有的環(huán)境，所以建議選擇防火墻時(shí)，應(yīng)根據(jù)站點(diǎn)的特點(diǎn)來選擇合適的防火墻。如果站點(diǎn)是一個(gè)機(jī)密性機(jī)構(gòu)，但對(duì)某些人提供入站的FTP服務(wù)，則需要有強(qiáng)大認(rèn)證功能的防火墻。

另外，不要把防火墻的等級(jí)看得過重。在各種報(bào)紙雜志中的等級(jí)評(píng)選中，防火墻的速度占有很大的比重。如果站點(diǎn)通過T1線路或更慢的線路連接到因特網(wǎng)上，大多數(shù)防火墻的速度完全能滿足站點(diǎn)的需要。

下面是選購(gòu)一個(gè)防火墻時(shí)，應(yīng)該考慮的其他因素：

網(wǎng)絡(luò)受威脅的程度；

若入侵者闖入網(wǎng)絡(luò)，將要受到的潛在的損失；

其他已經(jīng)用來保護(hù)網(wǎng)絡(luò)及其資源的安全措施；

由于硬或軟件失效，或防火墻遭到“拒絕服務(wù)侵襲”，而導(dǎo)致用戶不能訪問因特網(wǎng)，造成的整個(gè)機(jī)構(gòu)的損失；

機(jī)構(gòu)所希望提供給因特網(wǎng)的服務(wù)，以及希望能從因特網(wǎng)得到的服務(wù)；可以同時(shí)通過防火墻的用戶數(shù)目；

站點(diǎn)是否有經(jīng)驗(yàn)豐富的管理員；

今后可能的要求，如要求增加通過防火墻的網(wǎng)絡(luò)活動(dòng)或要求新的因特網(wǎng)服務(wù)。

四、防火墻的局限

我們?cè)诶梅阑饓Φ母鞣N益處的同時(shí)也應(yīng)該意識(shí)到防火墻的局限，有時(shí)防火墻會(huì)給人一種虛假的安全感，導(dǎo)致在防火墻內(nèi)部放松安全警惕。而許多攻擊正是內(nèi)部犯罪，這是任何基于隔離的防范措施都無能為力的。同樣，防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來的所有級(jí)硬件防火墻安全問題。

如果用戶抓來一個(gè)程序在本地運(yùn)行，那個(gè)程序很可能就包含一段惡意的代碼，或泄露敏感信息，或?qū)τ脩舻南到y(tǒng)進(jìn)行破壞。隨著Java、JavaScript和ActiveX控件及其相應(yīng)瀏覽器的推廣，這一問題變得更加突出和尖銳。防火墻的另一個(gè)缺點(diǎn)是易用性不夠，大多數(shù)產(chǎn)品還需要網(wǎng)絡(luò)管理員手工建立。當(dāng)然，這一問題馬上會(huì)得到改觀。

防火墻在當(dāng)今Internet上的存在是有生命力的，但它不能替代墻內(nèi)的安全措施，因此，它不是解決所有網(wǎng)絡(luò)安全問題的萬能藥方，只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分。 上一頁(yè) 1 2 3