防火墻三要素有哪些

　　防火墻的三要素你知道是哪三要素嗎?有了這三要素才能發(fā)揮防火墻的作用!下面是學(xué)習(xí)啦小編跟大家分享的是防火墻三要素有哪些，歡迎大家來(lái)閱讀學(xué)習(xí)。

　　防火墻三要素有哪些

　　防火墻三要素介紹如下

　　防火墻第一要素：防火墻的基本功能

　　防火墻系統(tǒng)可以說(shuō)是網(wǎng)絡(luò)的第一道防線，因此一個(gè)企業(yè)在決定使用防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)的安全時(shí)，它首先需要了解一個(gè)防火墻系統(tǒng)應(yīng)具備的基本功能，這是用戶選擇防火墻產(chǎn)品的依據(jù)和前提。一個(gè)成功的防火墻產(chǎn)品應(yīng)該具有下述基本功能：

　　防火墻的設(shè)計(jì)策略應(yīng)遵循安全防范的基本原則——“除非明確允許，否則就禁止”; 防火墻本身支持安全策略，而不是添加上去的;如果組織機(jī)構(gòu)的安全策略發(fā)生改變，可以加入新的服務(wù);有先進(jìn)的認(rèn)證手段或有掛鉤程序，可以安裝先進(jìn)的認(rèn)證方法;如果需要，可以運(yùn)用過(guò)濾技術(shù)允許和禁止服務(wù);可以使用FTP和Telnet等服務(wù)代理，以便先進(jìn)的認(rèn)證手段可以被安裝和運(yùn)行在防火墻上;擁有界面友好、易于編程的IP過(guò)濾語(yǔ)言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過(guò)濾，數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。

　　如果用戶需要NNTP(網(wǎng)絡(luò)消息傳輸協(xié)議)、XWindow、HTTP和Gopher等服務(wù)，防火墻應(yīng)該包含相應(yīng)的代理服務(wù)程序。防火墻也應(yīng)具有集中郵件的功能，以減少SMTP服務(wù)器和外界服務(wù)器的直接連接，并可以集中處理整個(gè)站點(diǎn)的電子郵件。防火墻應(yīng)允許公眾對(duì)站點(diǎn)的訪問(wèn)，應(yīng)把信息服務(wù)器和其他內(nèi)部服務(wù)器分開。

　　防火墻應(yīng)該能夠集中和過(guò)濾撥入訪問(wèn)，并可以記錄網(wǎng)絡(luò)流量和可疑的活動(dòng)。此外，為了使日志具有可讀性，防火墻應(yīng)具有精簡(jiǎn)日志的能力。雖然沒有必要讓防火墻的操作系統(tǒng)和公司內(nèi)部使用的操作系統(tǒng)一樣，但在防火墻上運(yùn)行一個(gè)管理員熟悉的操作系統(tǒng)會(huì)使管理變得簡(jiǎn)單。防火墻的強(qiáng)度和正確性應(yīng)該可被驗(yàn)證，設(shè)計(jì)盡量簡(jiǎn)單，以便管理員理解和維護(hù)。防火墻和相應(yīng)的操作系統(tǒng)應(yīng)該用補(bǔ)丁程序進(jìn)行升級(jí)且升級(jí)必須定期進(jìn)行。

　　正像前面提到的那樣，Internet每時(shí)每刻都在發(fā)生著變化，新的易攻擊點(diǎn)隨時(shí)可能會(huì)產(chǎn)生。當(dāng)新的危險(xiǎn)出現(xiàn)時(shí)，新的服務(wù)和升級(jí)工作可能會(huì)對(duì)防火墻的安裝產(chǎn)生潛在的阻力，因此防火墻的可適應(yīng)性是很重要的。

　　防火墻第二要素：企業(yè)的特殊要求

　　企業(yè)安全政策中往往有些特殊需求不是每一個(gè)防火墻都會(huì)提供的，這方面常會(huì)成為選擇防火墻的考慮因素之一，常見的需求如下：

　　1、網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)

　　進(jìn)行地址轉(zhuǎn)換有兩個(gè)好處：其一是隱藏內(nèi)部網(wǎng)絡(luò)真正的IP，這可以使黑客無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)，這也是筆者之所以要強(qiáng)調(diào)防火墻自身安全性問(wèn)題的主要原因;另一個(gè)好處是可以讓內(nèi)部使用保留的IP，這對(duì)許多IP不足的企業(yè)是有益的。

　　2、雙重DNS

　　當(dāng)內(nèi)部網(wǎng)絡(luò)使用沒有注冊(cè)的IP地址，或是防火墻進(jìn)行IP轉(zhuǎn)換時(shí)，DNS也必須經(jīng)過(guò)轉(zhuǎn)換，因?yàn)?，同樣的一個(gè)主機(jī)在內(nèi)部的IP與給予外界的IP將會(huì)不同，有的防火墻會(huì)提供雙重DNS，有的則必須在不同主機(jī)上各安裝一個(gè)DNS。

　　3、虛擬專用網(wǎng)絡(luò)()

　　可以在防火墻與防火墻或移動(dòng)的客戶端之間對(duì)所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個(gè)虛擬通道，讓兩者感覺是在同一個(gè)網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。

　　4、掃毒功能

　　大部分防火墻都可以與防病毒軟件搭配實(shí)現(xiàn)掃毒功能，有的防火墻則可以直接集成掃毒功能，差別只是掃毒工作是由防火墻完成，或是由另一臺(tái)專用的計(jì)算機(jī)完成。

　　5、特殊控制需求

　　有時(shí)候企業(yè)會(huì)有特別的控制需求，如限制特定使用者才能發(fā)送Email，F(xiàn)TP只能下載文件不能上傳文件，限制同時(shí)上網(wǎng)人數(shù)，限制使用時(shí)間或阻塞Java、ActiveX控件等，依需求不同而定。

　　防火墻第三要素：與用戶網(wǎng)絡(luò)結(jié)合

　　1、管理的難易度

　　防火墻管理的難易度是防火墻能否達(dá)到目的的主要考慮因素之一。一般企業(yè)之所以很少以已有的網(wǎng)絡(luò)設(shè)備直接當(dāng)作防火墻的原因，除了先前提到的包過(guò)濾，并不能達(dá)到完全的控制之外，設(shè)定工作困難、須具備完整的知識(shí)以及不易除錯(cuò)等管理問(wèn)題，更是一般企業(yè)不愿意使用的主要原因。

　　2、自身的安全性

　　大多數(shù)人在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了一點(diǎn)，防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問(wèn)題，防火墻如果不能確保自身安全，則防火墻的控制功能再?gòu)?qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。

　　大部分防火墻都安裝在一般的操作系統(tǒng)上，如Unix、NT系統(tǒng)等。在防火墻主機(jī)上執(zhí)行的除了防火墻軟件外，所有的程序、系統(tǒng)核心，也大多來(lái)自于操作系統(tǒng)本身的原有程序。當(dāng)防火墻主機(jī)上所執(zhí)行的軟件出現(xiàn)安全漏洞時(shí)，防火墻本身也將受到威脅。此時(shí)，任何的防火墻控制機(jī)制都可能失效，因?yàn)楫?dāng)一個(gè)黑客取得了防火墻上的控制權(quán)以后，黑客幾乎可為所欲為地修改防火墻上的訪問(wèn)規(guī)則，進(jìn)而侵入更多的系統(tǒng)。因此防火墻自身應(yīng)有相當(dāng)高的安全保護(hù)。

　　3、完善的售后服務(wù)

　　我們認(rèn)為，用戶在選購(gòu)防火墻產(chǎn)品時(shí)，除了從以上的功能特點(diǎn)考慮之外，還應(yīng)該注意好的防火墻應(yīng)該是企業(yè)整體網(wǎng)絡(luò)的保護(hù)者，并能彌補(bǔ)其它操作系統(tǒng)的不足，使操作系統(tǒng)的安全性不會(huì)對(duì)企業(yè)網(wǎng)絡(luò)的整體安全造成影響。防火墻應(yīng)該能夠支持多種平臺(tái)，因?yàn)槭褂谜卟攀峭耆目刂普?，而使用者的平臺(tái)往往是多種多樣的，它們應(yīng)選擇一套符合現(xiàn)有環(huán)境需求的防火墻產(chǎn)品。由于新產(chǎn)品的出現(xiàn)，就會(huì)有人研究新的破解方法，所以好的防火墻產(chǎn)品應(yīng)擁有完善及時(shí)的售后服務(wù)體系。

　　4、完整的安全檢查

　　好的防火墻還應(yīng)該向使用者提供完整的安全檢查功能，但是一個(gè)安全的網(wǎng)絡(luò)仍必須依靠使用者的觀察及改進(jìn)，因?yàn)榉阑饓Σ⒉荒苡行У囟沤^所有的惡意封包，企業(yè)想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。防火墻可以限制唯有合法的使用者才能進(jìn)行連接，但是否存在利用合法掩護(hù)非法的情形仍需依靠管理者來(lái)發(fā)現(xiàn)。

　　5、結(jié)合用戶情況

　　在選購(gòu)一個(gè)防火墻時(shí)，用戶應(yīng)該從自身考慮以下的因素：

　　網(wǎng)絡(luò)受威脅的程度;

　　若入侵者闖入網(wǎng)絡(luò)，將要受到的潛在的損失;

　　其他已經(jīng)用來(lái)保護(hù)網(wǎng)絡(luò)及其資源的安全措施;

　　由于硬件或軟件失效，或防火墻遭到“拒絕服務(wù)攻擊”，而導(dǎo)致用戶不能訪問(wèn)Internet，造成的整個(gè)機(jī)構(gòu)的損失;

　　機(jī)構(gòu)所希望提供給Internet的服務(wù)，希望能從Internet得到的服務(wù)以及可以同時(shí)通過(guò)防火墻的用戶數(shù)目;

　　網(wǎng)絡(luò)是否有經(jīng)驗(yàn)豐富的管理員;

　　今后可能的要求，如要求增加通過(guò)防火墻的網(wǎng)絡(luò)活動(dòng)或要求新的Internet服務(wù)。