《防火墙技术与网络安全》由会员分享,可在线阅读,更多相关《防火墙技术与网络安全(6页珍藏版)》请在金锄头文库上搜索。
1、防火墙技术与网络安全几乎所有接触网络的人都明白网络中有一些费尽心机闯入他人运算机系统的人,他们利用各 种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是现在攻击网络系统和窃取信息 差不多不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,能够任意使用 和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就能够给网络造成庞 大的威逼。甚至部分程序不需要人为的参与,专门智能化的扫描和破坏整个网络。这种情形 使得近几年的攻击频率和密度显著增长,给网络安全带来越来越多的安全隐患。/ 请保留本文完整.REISTLIN.Blog.Cnunder.我们能够通过专门多网络工具,设备和策
2、略来爱护不可信任的网络。其中防火墙是运用专门 广泛和成效最好的选择。它能够防备网络中的各种威逼,同时做出及时的响应,将那些危险 的连接和攻击行为隔绝在外。从而降低网络的整体风险。防火墙的差不多功能是对网络通信进行选择屏蔽以防止未授权的访问进出运算机网络,简单 的概括确实是,对网络进行访问操纵。绝大部分的防火墙差不多上放置在可信任网络(Internal)和不可信任网络(Internet)之间。防火墙一样有三个特性:A. 所有的通信都通过防火墙B. 防火墙只放行通过授权的网络流量C. 防火墙能经受的住对其本身的攻击我们能够看成防火墙是在可信任网络和不可信任网络之间的一个缓冲,防火墙能够是一台有 访
3、问操纵策略的路由器(Route+ACL),一台多个网络接口的运算机,服务器等,被配置成 爱护指定网络,使其免受来自于非信任网络区域的某些协议与服务的阻碍。因此一样情形下 防火墙都位于网络的边界,例如爱护企业网络的防火墙,将部署在内部网络到外部网络的核 心区域上。什么缘故要使用防火墙?专门多人都会有那个问题,也有人提出,假如把每个单独的系统配 置好,事实上也能经受住攻击。遗憾的是专门多系统在缺省情形下差不多上脆弱的。最显著 的例子确实是Windows系统,我们不得不承认在Windows 2003往常的时代,Windows默 认开放了太多不必要的服务和端口,共享信息没有合理配置与审核。假如治理员通
4、过安全部 署,包括删除余外的服务和组件,严格执行NTFS权限分配,操纵系统映射和共享资源的访 问,以及帐户的加固和审核,补丁的修补等。做好了这些,我们也能够专门自信的说,Windows 足够安全。也能够抵挡住网络上肆无忌惮的攻击。然而致命的一点是,该服务器系统无法在 安全性,可用性和功能上进行权衡和妥协。关于此问题我们的回答是:“防火墙只用心做一件事,在已授权和未授权通信之间做出决断。” 假如没有防火墙,粗略的下个结论,确实是:整个网络的安全将倚仗该网络中所有系统的安 全性的平均值。遗憾的是这并不是一个正确的结论,真实的情形比这更糟:整个网络的安全 性将被网络中最脆弱的部分所严格制约。即专门有
5、名的木桶理论也能够应用到网络安全中 来。没有人能够保证网络中每个节点每个服务都永久运行在最佳状态。网络越庞大,把网络 中所有主机爱护至同样高的安全水平就越复杂,将会耗费大量的人力和时刻。整体的安全响 应速度将不可忍耐,最终导致网络安全框架的崩溃。防火墙成为了与不可信任网络进行联络的唯独纽带,我们通过部署防火墙,就能够通过关注 防火墙的安全来爱护其内部的网络安全。同时所有的通信流量都通过防火墙进行审记和储 存,关于网络安全犯罪的调查取证提供了依据。总之,防火墙减轻了网络和系统被用于非法 和恶意目的的风险。/ 请保留本文完整.REISTLIN.Blog.Cnunder.关于企业来说,防火墙将爱护以
6、下三个要紧方面的风险:A. 隐秘性的风险B. 数据完整性的风险C. 用性的风险我们讨论的防火墙要紧是部署在网络的边界(Network Perimeter),那个概念要紧是指一个 本地网络的整个边界,表面看起来,看起来边界的定义专门简单,然而随着虚拟专用网络 (VPN)的显现,边界那个概念在通过VPN拓展的网络中变的专门模糊了。在这种情形下,我们需要考虑的不仅仅是来自外部网络和内部网络的威逼,也包含了远程VPN客户端的安 全。因为远程VPN客户端的安全将直截了当阻碍到整个防备体系的安全。防火墙的要紧优点如下:A. 防火墙能够通过执行访问操纵策略而爱护整个网络的安全,同时能够将通信约束在一个 可治
7、理和可靠性高的范畴之内。B .防火墙能够用于限制对某些专门服务的访问。C. 防火墙功能单一,不需要在安全性,可用性和功能上做取舍。D. 防火墙有审记和报警功能,有足够的日志空间和记录功能,能够延长安全响应的周期。同样的,防火墙也有许多弱点:A. 不能防备差不多授权的访问,以及存在于网络内部系统间的攻击.B. 不能防备合法用户恶意的攻击.以及社交攻击等非预期的威逼.C. 不能修复脆弱的治理措施和存在问题的安全策略D. 不能防备不通过防火墙的攻击和威逼 现代企业对网络依靠要紧来自于运行在网络上的各种应用,同样的,网络的范畴也覆盖到整 个企业的运营区域。我们将分析一个典型的企业网络,从结构,应用,治
8、理,以及安全这几 个层次来探讨一下对企业来说,如何去实现真正的网络安全。在开始之前,我们第一必须面对一个事实,绝对的安全是没有的。我们所能做的,是减少企 业所面临的安全风险,延长安全的稳固周期,缩短排除威逼的反映时刻。网管与安全人员需 要解决的是来自内部和外部的混合威逼,是蓄意或无意的攻击和破坏,是需要提高整体安全 防范意识与科学的和谐和治理。客观的去分析现今的企业网络,我们不难发觉,在经历了普 及终端和网络互联的时代后,我们面对的问题还有专门多,如客户端的非法操作,对网络的 不合法的访问与利用;网络结构的设计缺陷与混杂的部署环境;网络边界与关键应用的区域 缺乏必要的防备措施和审记系统等等。下
9、面我们来逐一分析,并提供相应的产品解决方案与 安全建议。第一是网络内部,即面向企业内部职员的工作站,我们不能保证用户每一次操作差不多上正 确与安全的,绝大情形下,他们仅明白如何去使用面前的运算机来完成属于自己的本职工作。 而关于其他,比如病毒,木马,间谍程序,恶意脚本,往往通过内部网络中某一台工作站的 误操作而进入到网络同时迅速的蔓延。如访问非法网站,下载或运行不可信程序,使用移动 设备复制带有病毒的文件等看似平常的操作。由于现在流行的操作系统存在大量的漏洞与缺 陷,同时新的漏洞与利用各种漏洞的蠕虫变种层出不穷,网络的迅速进展,也给这类威逼提 供高速繁育的媒介。专门是企业内部拥有高速的网络环境
10、,给各种威逼的扩散与转移提供了 可能。现在人们都通过安装防病毒软件来防备病毒的威逼,然而面对蠕虫和木马程序,后门 程序等,防病毒并不能起到专门显著的成效,例如蠕虫病毒,一样差不多上利用操作系统中 存在的缺陷和漏洞来攻击与传播的,即使安装了防病毒软件,也没有修补操作系统本身的漏 洞,安全威逼从全然上没有被排除。同时随着蠕虫的不断攻击,防病毒系统将会调用大量的 系统资源来修复和防备蠕虫攻击后修改的系统文件,频繁的对文件系统进行扫描与复原。如 此也无形的增加了系统的不稳固性,阻碍了系统的可用性,最关键的是,蠕虫攻击在仍旧在 网络中传播,给交换机,路由器带来连续的压力和威逼。另外,客户端感染威逼的途径
11、是多 种多样的,比如Internet Explorer扫瞄器漏洞,能够利用VBS恶意脚本,BMP图片木马, ActiveX控件后门程序等,通过各类嵌入攻击代码的网页,在扫瞄者毫不知情的情形下,后 台进驻到操作系统中,修改注册表和系统设置,种植后门程序,收集用户信息和资料。这一 切都会给工作站造成无法估量的安全风险。一旦工作站遭到攻击与操纵,就专门可能威逼到 整个内部网络和核心区域,因此我们说,爱护好工作站的安全,是企业网络安全的一个重要 部分。通过上面简单的分析和举例,工作站的安全工作要紧包含如下几个方面:桌面防病毒,桌面 防火墙,系统补丁治理,系统授权与审核,软件使用许可监控和网络访问操纵。
12、从现在市场 上流行的解决桌面安全的产品中,从爱护用户系统的稳固性与可用性以及综合安全的角度, 我们选择Symantec公司的Symantec Client Security 2.0作为桌面防病毒和防火墙的集成安全 解决方案。该产品最大的优势是不存在互操作性问题,SCS 2.0将防病毒,防火墙与桌面入 侵检测完美结合,提供现在防备混合性威逼最佳组合。采纳来自不同厂商的多种单点产品使 得全面防护变为一项极为复杂甚至全然不可能的任务,因为跨厂商的互操作性问题往往会存 在漏洞,从而使威逼乘虚而入危及安全性。此外,当病毒发作时,必须针对各种不同的技术, 对每个厂商提供的修复方案进行测试和验证。如此就降低
13、了对攻击的反应速度,并潜在地增 加了成本。假如您要了解更有关于SCS方面的资料,能够访 问 :/enterprisesecurity.symantec网站,获得更多信息和技术支持。混合性威逼: 用多种方法和技术来传播和实施的攻击或威逼,因而必须有多种方法来爱护和压制这种攻击 或威逼。如:CodeRed. CodeRed II. CodeBlue. Nimda.正如上面所提到的,必须通过修补操作系统漏洞来完全排除利用漏洞传播的蠕虫阻碍。众所 周知,Microsoft有专门的Update站点来公布最新的漏洞补丁,我们所需要做的,是下载补 丁,安装并重新启动。然而在大型企业中实际实施却没有这么简单,
14、修补不同操作系统的大 量客户端,如Win98/Me/2000/XP/2003等,将是一件让人痛楚的工作,不仅部署时刻长,还 要花费大量的人力和时刻,阻碍到企业的应用和业务的正常运转。专门是在网络环境复杂的 企业中,包含多个域多个工作组,或没有域的早期环境。如何在蠕虫和黑客还没有渗透到网 络之前修补这些漏洞,如何将部署这些补丁对企业的运行阻碍减小到最低呢?我们的回答 是,选择一套高效安全的桌面治理软件,来进行完善的企业IT治理:LANDesk Management Suite,即LANDesk治理套件,桌面治理市场的开创者和领导者。LANDesk用心于提供桌面 治理市场的产品与服务,公司原属于I
15、ntel公司的软件部,拥有强大的治理团队与专业背景, 全面支持混合平台环境。包括Windows平台,MAC平台,Linux平台,Unix平台,Solaris平台。 能够在有域或无域环境中部署,专门是操作系统补丁的检测收集与自动修补,通过LANDesk 的目标多址广播(可大量减轻网络主干压力)、对等下载(即使用流行的BT下载原理)、动 态带宽调整等技术优势,迅速的修补企业内部网络中的系统漏洞,不需要人工参与,不需要 治理员去核对操作系统版本与状态,在无人职守或者非法中断的情形下会在下次自动完成部 署任务,断点续传。因为篇幅的缘故,LANDesk的更多优势,如IT资产治理,软件授权监 视,系统安全
16、服务状态,禁止外设(USB,1394,无线,CD-ROM)OS操作系统迁移,软 件分发,软件许可监控等功能,请通过Landesk .cn获得更详尽的信息。真正的安全:整体集成安全解决方案+同时更新=真正的安全通过在内部网络中的每台工作站上部署防病毒,防火墙,入侵检测,补丁治理与系统监控, 我们能够集中收集内部网络中的威逼,分析面对的风险,灵活适当的调整安全治理策略。但 这仅仅是不够的,还有另外一个重要的部分,确实是从网络结构上的接入层,汇聚层和核心 交换层设备上做好访问操纵与流量治理。其次是网络结构的安全性,治理人员都明白,通过部署多层交换机,实现多个VLAN和快 速收敛的路由,是保证网络结构的可靠性与强壮性的最佳方法。在划分了多个逻辑网络和建 立符合应用的ACL的同时,我们更期望能收集和归纳出整个网络的更多安全信息,包括流 量的治理,QoS,入侵行为和用户访问信息。仅通过网络设备提供的日志,SNMP治理是远 远不够的,现
