本文章出自:www.fix.com.cn
如今我们已进入信息时代,也可以说也是病毒与黑客大行其道的时代,这样说确实有些悲观但今天的网络的确如此,从Internet到企业内网、从个人电脑到可上网的手机平台,没有地方是安全的。每一次网络病毒的攻击,都会让家庭用户、企业用户、800热线甚至是运营商头痛脑热。
经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙,相信不久的将来,我们可以看到在手机上也会出现防火墙。但是防火墙不是一道用于心理安慰的屏障,只有会用防火墙才能够真正将威胁挡在门外。就许多中小企业而言,防火墙的配置往往没有反映出企业的业务需求。如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义,添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过,从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网,如果事先制定了合理的过滤规则,它将可以截住不合规则的数据报文,从而起到过滤的作用。相反,如果规则不正确,将适得其反。
中小企业防火墙应具有哪些功能
如何合理实施防火墙的配置呢?首先,让我们来看看中小企业防火墙一般都应具有哪些功能:
1. 动态包过滤技术,动态维护通过防火墙的所有通信的状态(连接),基于连接的过滤;
2. 可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题;
3. 可以设置信任域与不信任域之间数据出入的策略;
4. 可以定义规则计划,使得系统在某一时可以自动启用和关闭策略;
5. 具有详细的日志功能,提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录,并支持日志服务器和日志导出;
6. 具有IPSec VPN功能,可以实现跨互联网安全的远程访问;
7. 具有邮件通知功能,可以将系统的告警通过发送邮件通知网络管理员;
8. 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃;
9. Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。
以上是中小企业防火墙所应具备的一些防护特性,当然随着技术的发展中小企业防火墙的功能会变得越来越丰富;但有再多功能的防火墙如果没有合理的配置和管理,那么这只是一件IT摆设。如何实施防火墙配置 如何实施防火墙配置呢?我们分别从以下几方面来讨论:
规则实施
规则实施看似简单,其实需要经过详尽的信息统计才可以得以实施。在过程中我们需要了解公司对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口,并根据不同应用的执行频繁程度对策率在规则表中的位置进行排序,然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的,如果将常用的规则放在首位就可以提高防火墙的工作效率。另外,应该及时地从病毒监控部门得到病毒警告,并对防火墙的策略进行更新也是制定策略所必要的手段。
规则启用计划
通常有些策略需要在特殊时刻被启用和关闭,比如凌晨3:00.而对于网管员此时可能正在睡觉,为了保证策略的正常运作,可以通过规则启用计划来为该规则制定启用时间。另外,在一些企业中为了避开上网高峰和攻击高峰,往往将一些应用放到晚上或凌晨来实施,比如远程数据库的同步、远程信息采集等等,遇到这些需求网管员可以通过制定详细的规则和启用计划来自动维护系统的安全。日志监控
日志监控是十分有效的安全管理手段,往往许多管理员认为只要可以做日志的信息,都去采集,比如说对所有的告警或所有与策略匹配或不匹配的流量等等,这样的做法看似日志信息十分完善,但可以想一下每天进出防火墙的数据报文有上百万甚至更多,你如何在这些密密麻麻的条目中分析你所需要的信息呢?虽然有一些软件可以通过分析日志来获得图形或统计数据,但这些软件往往需要去二次开发或制定,而且价格不菲。所以只有采集到最关键的日志才是真正有用的日志。
一般而言,系统的告警信息是有必要记录的,但对于流量信息是应该有选择的。有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。比如:内网发现蠕虫病毒,该病毒可能会针对主机系统某UDP端口进行攻击,网管员虽然已经将该病毒清除,但为了监控有没有其他的主机受感染,我们可以为该端口增加一条策略并进行日志来检测网内的流量。
另外,企业防火墙可以针对超出经验阀值的报文做出响应,如丢弃、告警、日志等动作,但是所有的告警或日志是需要认真分析的,系统的告警支持根据经验值来确定的,比如对于工作站和服务器来说所产生的会话数是完全不同的,所以有时会发现系统告知一台邮件服务器在某端口发出攻击,而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。
设备管理
对于企业防火墙而言,设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现,但这种方式是不太安全的,因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理。
分享到:
相关推荐
本篇文档《合理构建网络安全 开启数据中心新未来.pdf》深入探讨了如何构建网络安全系统,以支持数据中心的高性能和高可靠性需求。 首先,文档指出,网络安全产品需要不断提升自身性能,以满足金融数据中心的大流量...
3.4防火墙 无线网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。 四、威胁细类分析 4.1威胁分析概述 4.1.1外部威胁...
IDC网络安全是网络服务提供商数据中心的关键关注点,它涉及到网络硬件、软件、数据以及服务的保护,以防止意外或恶意的破坏、修改、泄露。网络安全的本质是信息安全在网络层面上的体现,通常分为六个主要方面:网络...
根据用户的具体需要进行相关设置,拦截不合理或不良信(推荐)【网络安全论文】计算机网络安全的影响因素(共2810字)全文共5页,当前为第3页。(推荐)【网络安全论文】计算机网络安全的影响因素(共2810字)全文共5页,...
计算机网络安全是信息技术领域至关重要的一个方面,随着网络技术的飞速发展,网络安全问题日益凸显,成为信息安全的关键议题。本文将深入探讨计算机网络安全的基本知识,包括其定义、影响安全的主要因素以及确保网络...
以下是网络安全编程技术的关键知识点: 1. 安全编程原则: - 最小权限原则:程序运行时应拥有完成任务所必需的最小权限集。 - 安全默认设置:在无用户干预的情况下,软件应采取最安全的默认配置。 - 简洁设计:...
等保,全称为《信息安全等级保护》,是中国网络安全领域的一项重要制度。它依据国家法规和标准,将信息系统划分为五个安全等级,分别为一级到五级,其中三级是企事业单位普遍需要达到的基本要求。本压缩包文件“等保...
### 山石防火墙HCSA实验手册关键知识点解析 #### 实验一:搭建配置环境 **实验背景与目标:** 本实验旨在帮助学习者理解并掌握Hillstone安全网关的基本配置流程,包括系统架构的理解、登录方法的掌握、接口配置的...
6. 进行安全配置,包括安装和配置防火墙、入侵检测/防御等安全设备。 7. 配置备份和恢复策略,确保数据安全和可恢复性。 服务器维护和管理是保证服务器稳定、安全运行的关键。以下是一些维护和管理技巧: 1. 定期...
网络安全则涉及网络结构的安全性,包括合理的网络分段和访问控制策略,以防止未经授权的访问。访问控制通过设置权限和身份验证机制,确保只有授权用户能访问特定资源。入侵检测系统(IDS)用于监控网络流量,及时...
在这个数字化的时代,网络安全的重要性日益凸显,因为无论是个人还是组织,都依赖于网络来存储、传输和共享关键数据。 首先,我们来深入理解计算机网络安全的基本概念。网络安全不只是关于防止硬件损坏,它更侧重于...
网络安全开发包详解PDF版带目录,这是一份深入探讨网络安全在软件开发中的应用与实践的资源文件。在当今数字化时代,网络安全已经成为了每个开发者不容忽视的重要领域,尤其在网络开发包的使用过程中。这份文档旨在...
*中心机房防火墙将重要数据与内外网络隔离,在长沙节点与四个县之间、长沙节点 与骨干网之间、PSTN,DDN接入网络处分别配置防火墙,并根据原有的冗余链路利用防火 墙提供的内外网口实现关键链路的双机热备;...
网络安全解决方案 网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系 统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢 复、安全扫描等多个安全组件组成...
网络安全的概念 网络安全与管理 网络安全的概念全文共19页,当前为第1页。 1.1 网络安全的定义 从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者...
随着信息技术的快速发展,医院的信息化管理已经成为提供优质医疗服务的关键,但同时也带来了网络安全的挑战。本文针对这一主题,分析了医院网络安全的新需求,并提出了建设优化措施。 首先,医院的网络安全新需求...
- **软件部署**:选用合适的防病毒软件并合理配置防火墙,以抵御病毒入侵。 - **软件更新**:定期更新防病毒软件,增强对新型病毒的识别能力。 - **系统优化**:删除不必要的程序和服务,减少系统漏洞,通过防火墙...
在网络安全管理 中提高了对计算机终端的控制能力,企业桌面安全管理系统包括区域配置管理、安全策 略、补丁分发、数据查询、终端管理、运维监控、报表管理、报警管理、级联总控、系 统维护等。 4.3网络涉密信息管理...