當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 重慶OA系統(tǒng) > 重慶OA信息化
分析企業(yè)防火墻構(gòu)建的誤區(qū)和實(shí)施策略
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來(lái)源:泛普軟件 要幾個(gè)防火墻?防火墻是保障網(wǎng)絡(luò)安全的關(guān)鍵組件,但它只是安全企業(yè)網(wǎng)絡(luò)的一個(gè)開(kāi)端而已。對(duì)管理員來(lái)講,有必要關(guān)注支持失效轉(zhuǎn)移的多防火墻設(shè)計(jì)。這種防火墻設(shè)計(jì)的最終結(jié)果應(yīng)是易于管理、高性能、高可用性、高安全性的組合,而且還要少花錢。
要幾個(gè)防火墻?
在防火墻的設(shè)計(jì)原理上歷來(lái)有不少爭(zhēng)論,爭(zhēng)論的一個(gè)主要問(wèn)題是到底擁有幾個(gè)防火墻是最好的。筆者以為兩個(gè)防火墻一般不會(huì)比一個(gè)防火墻好多少。因?yàn)樵诖蠖鄶?shù)的攻擊事件中,防火墻自身的漏洞很少成為問(wèn)題。黑客們通常并不需要攻克防火墻,因?yàn)樗麄兛梢酝ㄟ^(guò)開(kāi)放的端口進(jìn)入,并利用防火墻之后的服務(wù)器上的漏洞。此外,防火墻本身并沒(méi)有什么吸引黑客攻擊的地方,因?yàn)槿魏蚊髦堑墓芾韱T都會(huì)將配置防火墻使其丟棄那些連接防火墻的企圖。例如,即使在用戶的防火墻上有一個(gè)已知的SSH漏洞,這種威脅也只能來(lái)自防火墻指定的受到良好保護(hù)的管理工作站,更別說(shuō)這種工作站被關(guān)閉的情況了。事實(shí)上,防火墻的最大問(wèn)題在于其維護(hù)上的薄弱、糟糕的策略及網(wǎng)絡(luò)設(shè)計(jì)。在與防火墻有關(guān)的安全事件中,人的因素造成的破壞占到了大約99%的比例。更糟的是,如果你運(yùn)行多個(gè)廠商的防火墻,那么其成本將迫使用戶放棄一些需要特別關(guān)注的問(wèn)題。用戶最好將有限的資源花費(fèi)在強(qiáng)化一種平臺(tái)上,而不要全面出擊。
防火墻的設(shè)計(jì)目標(biāo)
一種良好的防火墻策略和網(wǎng)絡(luò)設(shè)計(jì)應(yīng)當(dāng)能夠減少(而不是根除)下面的這些安全風(fēng)險(xiǎn):
來(lái)自互聯(lián)網(wǎng)的攻擊DMZ服務(wù)的攻擊
企業(yè)網(wǎng)絡(luò)的任一部分攻擊互聯(lián)網(wǎng)
企業(yè)用戶或服務(wù)器攻擊DMZ服務(wù)器
DMZ服務(wù)器攻擊用戶、服務(wù)器,或者損害自身。
來(lái)自合伙人和外延網(wǎng)(extranet)的威脅
來(lái)自通過(guò)WAN連接的遠(yuǎn)程部門的威脅
這些目標(biāo)聽(tīng)起來(lái)也許有點(diǎn)太過(guò)頭了,因?yàn)檫@基本上并不是傳統(tǒng)的方法,不過(guò)它卻其自身的道理。
第一點(diǎn)是非常明顯的,那就是限制通過(guò)互聯(lián)網(wǎng)試圖訪問(wèn)DMZ服務(wù)器的服務(wù)端口,這就極大地減少了它們被攻克的機(jī)會(huì)。例如,在一個(gè)SMTP郵件服務(wù)器上,僅允許互聯(lián)網(wǎng)的通信通過(guò)25號(hào)TCP端口。因此,如果這臺(tái)SMTP服務(wù)器碰巧在其服務(wù)器服務(wù)或程序中有一個(gè)漏洞,它也不會(huì)被暴露在互聯(lián)網(wǎng)上,蠕蟲(chóng)和黑客總在關(guān)心80號(hào)端口的漏洞。
下一條聽(tīng)起來(lái)可能有點(diǎn)兒古怪,我們?yōu)槭裁匆P(guān)心通過(guò)自己的網(wǎng)絡(luò)來(lái)保護(hù)公共網(wǎng)絡(luò)呢?當(dāng)然,任何公民都不應(yīng)當(dāng)散布惡意代碼,這是起碼的要求。但這樣做也是為了更好地保護(hù)我們自己的的網(wǎng)絡(luò)連接。以SQL slammer 蠕蟲(chóng)為例,如果我們部署了更好的防火墻策略,那么就可以防止對(duì)互聯(lián)網(wǎng)的拒絕服務(wù)攻擊 ,同時(shí)還節(jié)省了互聯(lián)網(wǎng)資源。
最不好對(duì)付的是內(nèi)部威脅。多數(shù)昂貴的防火墻并不能借助傳統(tǒng)的設(shè)計(jì)來(lái)防止網(wǎng)絡(luò)免受內(nèi)部攻擊者的危害。如一個(gè)惡意用戶在家里或其它地方將一臺(tái)感染惡意代碼的筆記本電腦掛接到網(wǎng)絡(luò)上所造成的后果可想而知。一個(gè)良好的網(wǎng)絡(luò)設(shè)計(jì)和防火墻策略應(yīng)當(dāng)能夠保護(hù)DMZ服務(wù)器,使其免受服務(wù)器和用戶所帶來(lái)的風(fēng)險(xiǎn),就如同防御來(lái)自互聯(lián)網(wǎng)的風(fēng)險(xiǎn)一樣。
事情還有另外一方面。因?yàn)镈MZ服務(wù)器暴露在公共的互聯(lián)網(wǎng)上,這就存在著它被黑客或蠕蟲(chóng)破壞的可能。管理員采取措施限制DMZ服務(wù)器可能對(duì)內(nèi)部服務(wù)器或用戶工作站所造成的威脅是至關(guān)重要的。此外,一套穩(wěn)健的防火墻策略還可以防止DMZ服務(wù)器進(jìn)一步損害自身。如果一臺(tái)服務(wù)器被黑客通過(guò)某種已知或未知的漏洞給破壞了,他們做的第一件事情就是使服務(wù)器下載一個(gè)rootkit。防火墻策略應(yīng)當(dāng)防止下載這種東西。
還可以進(jìn)一步減少來(lái)自外延網(wǎng)(Extranet)合伙人及遠(yuǎn)程辦公部門WAN的威脅。連接這些網(wǎng)絡(luò)的路由器使用了廣域網(wǎng)技術(shù),如幀中繼、VPN隧道、租用私有線路等來(lái)保障,這些路由器也可以由防火墻來(lái)保障其安全。利用每一臺(tái)路由器上的防火墻特性來(lái)實(shí)施安全性太過(guò)于昂貴,這樣不但造成硬件成本高,更主要的是其設(shè)置和管理上難度也很大。企業(yè)的防火墻借助于超過(guò)傳統(tǒng)防火墻的附加功能可以提供簡(jiǎn)單而集中化的廣域網(wǎng)和外延網(wǎng)的安全管理。
關(guān)鍵在于防火墻能夠限制不同網(wǎng)絡(luò)區(qū)域的通信,這些區(qū)域是根據(jù)邏輯組織和功能目的劃分的。但防火墻不能限制并保護(hù)主機(jī)免受同一子網(wǎng)內(nèi)的其它主機(jī)的威脅,因?yàn)閿?shù)據(jù)絕對(duì)不會(huì)通過(guò)防火墻接受檢查。這也就是為什么防火墻支持的區(qū)域越多,它在一個(gè)設(shè)計(jì)科學(xué)的企業(yè)網(wǎng)絡(luò)中也就越有用。由于一些主要的廠商都支持接口的匯聚,所以區(qū)域劃分實(shí)現(xiàn)起來(lái)也就簡(jiǎn)單多了。單獨(dú)一個(gè)千兆比特的端口可以輕松地支持多個(gè)區(qū)域,并且比幾個(gè)快速以太網(wǎng)端口的執(zhí)行速度更快。
實(shí)施一套良好的防火墻策略
安全防火墻架構(gòu)的首要關(guān)鍵組件是策略的設(shè)計(jì)。實(shí)現(xiàn)這些目標(biāo)的最為重要的概念是使用原則的需要。在防火墻的策略中,這只是意味著除非有一個(gè)明確的原因要求使用某種服務(wù),這種服務(wù)默認(rèn)地必須被阻止或拒絕。為實(shí)施默認(rèn)的服務(wù)阻止規(guī)則,在所有策略集的末尾只需要全局性地實(shí)施一種防火墻策略,即丟棄一切的規(guī)則,意思就是防火墻的默認(rèn)行為是丟棄來(lái)自任何源到達(dá)任何目的地的任何服務(wù)的數(shù)據(jù)包。這條規(guī)則在任何的防火墻策略中是最后一條規(guī)則,因?yàn)樵谀撤N通信在有機(jī)會(huì)進(jìn)入之前,它已經(jīng)被封殺了。一旦實(shí)施了這種基本的行為,就需要對(duì)特定的源、特定的服務(wù)、對(duì)特定的目標(biāo)地址的訪問(wèn)等實(shí)施在一些精心設(shè)計(jì)的規(guī)則。一般而言,這些規(guī)則越精密,網(wǎng)絡(luò)也就越安全。
例如,用戶可被準(zhǔn)許使用對(duì)外的一些常見(jiàn)服務(wù)端口,如HTTP,F(xiàn)TP,媒體服務(wù)等,但其它的服務(wù)和程序除非有了明確的原因才準(zhǔn)許通信。在根據(jù)企業(yè)的需要找到一種特別的原因后,就需要在驗(yàn)證和核準(zhǔn)后增加一些嚴(yán)格控制的針對(duì)性規(guī)則。管理員們常犯的一個(gè)錯(cuò)誤是他們將用戶的權(quán)限擴(kuò)展到了服務(wù)和DMZ網(wǎng)絡(luò)。適用于用戶的向外轉(zhuǎn)發(fā)數(shù)據(jù)的規(guī)則通常并不適用于服務(wù)器。在認(rèn)真考慮之后,管理員會(huì)找到Web服務(wù)器并不需要瀏覽Web的理由。服務(wù)器就是服務(wù)器,它主要是提供服務(wù),而很少成為客戶端。一個(gè)根本的問(wèn)題是DMZ或服務(wù)器幾乎不應(yīng)當(dāng)首先發(fā)起通信。服務(wù)器典型情況下會(huì)接受請(qǐng)求,但幾乎不可能接受來(lái)自公共的互聯(lián)網(wǎng)的請(qǐng)求服務(wù),除非是企業(yè)合伙人的XML及EDI應(yīng)用。其它的例外還有一些,如提供驅(qū)動(dòng)程序和軟件更新的合法廠商的站點(diǎn),但所有的例外,都應(yīng)當(dāng)嚴(yán)格而精密地定義。遵循這些嚴(yán)格的標(biāo)準(zhǔn)可以極大地減少服務(wù)器被損害的可能,最好能達(dá)到這樣一種程度,只要部署了這種策略,即使服務(wù)器沒(méi)有打補(bǔ)丁,也能防止內(nèi)部子網(wǎng)的蠕蟲(chóng)傳播。
- 1能源設(shè)備集團(tuán)OA辦公系統(tǒng)
- 2淺談企業(yè)災(zāi)難恢復(fù)計(jì)劃的建立與實(shí)施
- 3通過(guò)協(xié)同辦公有效推動(dòng)企業(yè)知識(shí)管理
- 4如何把云計(jì)算引進(jìn)到企業(yè)運(yùn)營(yíng)中去?
- 5OA辦公軟件系統(tǒng)在互聯(lián)網(wǎng)時(shí)代應(yīng)用前景
- 6多廠商虛擬化環(huán)境管理七大竅門分析
- 7OA辦公系統(tǒng)實(shí)現(xiàn)企業(yè)系統(tǒng)信息的集中管理
- 8網(wǎng)絡(luò)安全領(lǐng)域存在的七大誤解逐個(gè)解析
- 9不一樣的OA,不一樣的工作體驗(yàn)
- 10虛擬化和云計(jì)算的那些秘密
- 11OA軟件市場(chǎng)發(fā)展前途慘淡?
- 12數(shù)據(jù)中心綜合布線五個(gè)熱點(diǎn)問(wèn)題
- 13房地產(chǎn)OA軟件信息化的建設(shè)以固化為主,在大家順利掌握后再持續(xù)優(yōu)
- 14從“人肉搜索”談網(wǎng)絡(luò)監(jiān)管的必要性
- 15IBM稱Blue Cloud 將“改變游戲規(guī)則”
- 16RATHINK-XOA銳翔協(xié)同辦公平臺(tái)
- 17云計(jì)算概念混淆現(xiàn)象將繼續(xù)存在
- 18使用泛迅OA協(xié)同辦公平臺(tái)給企業(yè)帶來(lái)的好處
- 19重慶泛普OA軟件的前中臺(tái)的演示思路設(shè)計(jì)
- 20五項(xiàng)技巧成功管理0至1000個(gè)虛擬機(jī)
- 21分析磁帶技術(shù)在數(shù)據(jù)保護(hù)中的角色
- 22含苞難綻放 信息無(wú)障礙發(fā)展并不順利
- 23OA選型應(yīng)注意的幾個(gè)問(wèn)題
- 24OA辦公可以快速按需求建立工作流程的應(yīng)用
- 25辦公OA打通企業(yè)知識(shí)和流程之間的管理環(huán)境
- 26專家稱云計(jì)算需要更強(qiáng)大的管理工具制度
- 27淺談降低數(shù)據(jù)中心成本的八種實(shí)用技巧
- 28數(shù)據(jù)丟失防護(hù) 不僅僅是技術(shù)問(wèn)題
- 29辦公OA對(duì)XX特紙信息化進(jìn)程理解深嗎?
- 30OA任務(wù)管理個(gè)人事項(xiàng)及團(tuán)隊(duì)協(xié)作的統(tǒng)一平臺(tái)
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓