防火墻的安全體系結構

5.3防火墻的安全體系結構

目前市場上的大多數(shù)防火墻為避免單一技術的不足，通常都是包過濾（Packetfilteringfirewall）、電路級網(wǎng)關（Circuitlevelgateway）、應用級網(wǎng)關（Applicationlevelgateway）、狀態(tài)監(jiān)測防火墻（StatefulInspectionFirewall）這幾種技術中的二、三種相結合的設計方式。精選ppt采用的安全體系結構一般是在網(wǎng)絡層進行IP包過濾，在應用層實現(xiàn)代理服務機制的體系結構，并實時的進行狀態(tài)監(jiān)控。這些防火墻將信息分析功能、包過濾功能、多種反電子欺騙手段等多種安全措施綜合運用。根據(jù)系統(tǒng)管理員事先設定的安全規(guī)則（SecurityRules）保護內部網(wǎng)絡，可以提供完善的安全性設置，通過高性能的網(wǎng)絡核心進行訪問控制，同時提供網(wǎng)絡地址轉換（NetworkAddressTranslation）、透明的代理服務（TransparentProxy）、信息過濾（Filter）、雙機熱備份、流量控制和分析、用戶認證授權等功能。這樣防火墻標準配置提供四個網(wǎng)絡接口，將網(wǎng)絡信息劃分為不同的安全通道?；诿總€安全通道定義不同的安全策略。其結構如圖5.15所示精選ppt圖5.15網(wǎng)絡結構示意圖

精選ppt內部網(wǎng)即內部網(wǎng)絡是被保護的網(wǎng)絡，不對外開放，也不對外提供任何服務，所以外部用戶不能直接訪問內部網(wǎng)絡，并且檢測不到內部網(wǎng)絡的IP地址段，防火墻的主要目的就是屏蔽外部攻擊，保證內部網(wǎng)絡安全。

DMZ區(qū)又稱非軍事化區(qū)，主要部署服務器，同時對外部網(wǎng)和內部網(wǎng)提供服務，屬于的開放性區(qū)域，也是被攻擊的對象。由于該部分是與內部網(wǎng)絡相隔離開的，因此即使服務器受到攻擊，也不會危及內部網(wǎng)絡的安全。外部網(wǎng)即外部網(wǎng)絡（主要指Internet），針對內部網(wǎng)絡和DMZ區(qū)的大多數(shù)威脅和入侵都從這里發(fā)起。

精選ppt管理接口對防火墻的所有配置進行設置，方法是通過加密的信息通道對防火墻進行設置和操作。防火墻四個網(wǎng)絡接口相對獨立，管理員能夠通過管理接口實現(xiàn)對四個網(wǎng)絡接口間的通訊進行訪問控制，監(jiān)視和查詢網(wǎng)絡故障，并提供內部監(jiān)控、日志審計等功能。以上安全體系結構的防火墻是目前市場上專業(yè)防火墻采用的典型配置，當然用戶可以在此基礎上針對自身網(wǎng)絡的特點，依據(jù)實際情況靈活地使用防火墻的各個網(wǎng)絡接口。例如，有些網(wǎng)絡不提供DMZ區(qū)。精選ppt高端防火墻一般都是以TCP/IP和相關的應用協(xié)議為基礎，分別在應用層、傳輸層、網(wǎng)絡層與數(shù)據(jù)鏈路層對內外通訊進行監(jiān)控。應用層主要于對連接所用的具體協(xié)議內容進行檢測。傳輸層和網(wǎng)絡層主要對IP、ICMP、TCP和UDP協(xié)議的安全策略進行訪問控制。數(shù)據(jù)鏈路層實現(xiàn)MAC地址檢查，防止IP欺騙。在沒有安裝防火墻時的網(wǎng)絡結構圖如下:精選ppt圖5.16沒有安裝防火墻時的網(wǎng)絡結構圖精選ppt安裝防火墻后的網(wǎng)絡結構圖如下:圖5.17安裝防火墻時的網(wǎng)絡結構圖

精選ppt通過防火墻安全體系結構的特點，用戶一般對防火墻采取如下選擇原則。設計和選用防火墻首先要明確哪些內部數(shù)據(jù)是必須保護的，這些數(shù)據(jù)的被侵入會造成的后果，并對內部網(wǎng)絡采用分區(qū)域管理，對不同區(qū)域設置不同等級的安全級別。根據(jù)安全級別確定在該區(qū)域需要采用的防火墻安全標準。另外設計和選用防火墻還必須與網(wǎng)絡接口相匹配。盡量防止所有可能遭受的威脅。防火墻作為網(wǎng)絡安全體系的基礎和核心控制設備，它位于受保護網(wǎng)絡（一般為內部網(wǎng)絡）的通信主干線，對通過通信主干線的任何通信行為進行安全處理、審核。針對不同情況采取控制數(shù)據(jù)流向、審計、拋棄數(shù)據(jù)包、報警反應等行動，同時也承擔著繁重的通信任務即數(shù)據(jù)轉發(fā)。由于防火墻本身處于網(wǎng)絡系統(tǒng)中的核心位置和主要被攻擊點，因此在品種繁多的防火墻品種中選用一個安全、穩(wěn)定和可靠的防火墻產品，其重要性是不言而喻，直接關系到整個網(wǎng)絡系統(tǒng)的安全與否。

精選ppt1．防火墻自身的安全性防火墻自身的安全主要體現(xiàn)在自身設計和管理兩個方面。防火墻自身軟件系統(tǒng)主要分為防火墻操作系統(tǒng)和應用系統(tǒng)。而設計的安全關鍵就是在于防火墻的操作系統(tǒng)，只有操作系統(tǒng)自身具有完整信任關系才可以保證系統(tǒng)的安全。而應用系統(tǒng)的安全又是以操作系統(tǒng)的安全為基礎的，應用系統(tǒng)是衡量一個防火墻性能的關鍵?？梢姺阑饓ψ陨淼陌踩珜崿F(xiàn)也直接影響整體系統(tǒng)的安全性。通過經驗只有那些防火墻采用了專用硬件平臺，并采用基于安全的專用操作系統(tǒng)的防火墻才可能最大限度的保證防火墻自身安全。精選ppt例如，在當前的網(wǎng)絡攻中，拒絕服務攻擊是使用頻率最高的方法，很多大型網(wǎng)站遭受的大多是拒絕服務攻擊，因此在為網(wǎng)站選擇防火墻時一定要首先確保防火墻本身具有較強的抗拒絕服務攻擊的能力。拒絕服務攻擊一般分為兩類：一類是由于操作系統(tǒng)或應用軟件本身設計或編程上的缺陷而造成的，由此帶來的攻擊種類很多，只有通過打補丁的辦法來解決；另一類是由于TCP／IP協(xié)議本身的缺陷造成的，這種情況目前只有幾種，但危害性非常大，很難從根本上解決。由于系統(tǒng)缺陷被攻擊和病毒的直接攻擊不同，這是因為防火墻沒有病毒碼可以作為安全策略的依據(jù)，并且防火墻在判斷拒絕服務攻擊時經常出現(xiàn)誤報。抵抗拒絕服務攻擊的能力必須作為衡量防火墻性能指標的主要標準之一，目前防火墻不能真正做到抵御拒絕服務攻擊，只能是最大限度的降低拒絕服務攻擊的危害。精選ppt2．性能高效，系統(tǒng)可靠高性能是防火墻的一個重要指標，實際上用戶不論使用何種防火墻都是以付出網(wǎng)絡通信性能作為代價換取網(wǎng)絡安全的。如果用戶使用防火墻而帶來了網(wǎng)絡性能較大幅度下降的話，既是網(wǎng)絡安全性再高，也是用戶所無法接受的。而一個防火墻性能的高低又是同防火墻采用安全策略的規(guī)則數(shù)成反比的。一般來說，防火墻加載的安全策略超過上百條規(guī)則，其性能下降不應超過5％，如果超過這個指標就必須考慮更換更高性能的防火墻了。另外還可以通過計算防火墻可以同時提供的連接數(shù)計算出一個指標，這個指標也可以作為衡量一個防火墻性能的標準。光有高性能還是不夠的，在高性能的同時還用保證防火墻的可靠性，性能和可靠性是密不可分的兩方面，不可偏廢。因為防火墻的可靠性對防火墻這種訪問控制設備來說極為重要，直接影響到防火墻的實用性。

精選ppt從系統(tǒng)設計上，提高可靠性的措施一般是提高本身部件的強健性、增大設計閾值和增加冗余部件。以及防火墻生產廠商采用較高的生產標準和設計冗余度，例如，使用更高的工業(yè)標淮作為生產標準、電源熱備份等方法。當然采用高可靠性設計的防火墻，它的價格也是成倍提升的。一般就成熟的產品來說，系統(tǒng)的可靠性是最基本的要求。防火墻的可靠性情況從廠家的宣傳材料中是看不出來的，但可以通過如下方法進行評估：是否經過國家權威的測評認證機構認證，例如，公安部計算機安全產品檢測中心和中國國家信息安全測評認證中心；是否具有入網(wǎng)證明書；通過其他渠道獲得消息，例如，同行之間的評價等。精選ppt3．功能完善，并具有可擴展性采用單一技術的防火墻，一般都功能單一，缺點明顯。建議在選取防火墻時盡量選擇那些功能多樣，可同時實現(xiàn)多種防火墻技術結合運用的防火墻。另外在網(wǎng)絡中部署新的網(wǎng)絡設備是一件非常復雜的事件，因為一般這意味著修改幾乎全部現(xiàn)有設備的配置，重新規(guī)劃網(wǎng)絡，同時還有可能造成運行不穩(wěn)定。網(wǎng)絡經過一段時間運行后，往往網(wǎng)絡內部情況復雜，所作的改動需要一段整合期。所以，用戶應盡量選用那些具有良好擴展功能的防火墻。例如，良好的管理界面也是擴展性的一個方面。精選ppt一般用戶在制定安全政策時往往有些需求不是每款防火墻都會提供的，常見的需求主要有：地址轉換(IPaddresstranslation)，地址轉換的作用是隱藏內部網(wǎng)絡真正的P地址，防止黑客直接攻擊內部網(wǎng)絡，還可以讓內部使用保留的地址，這對許多地址不足的企業(yè)是十分重要的；虛擬企業(yè)網(wǎng)絡(VPN)，VPN指為那些有權直接透過防火墻訪問內部資源的外部用戶建立連接并對網(wǎng)絡傳輸?shù)膬热菁用埽瑢嶋H上是建立了一個虛擬通道，以使用戶感覺是在同一個網(wǎng)絡上，可以安全且不受約束地互相存取。例如，總公司與分公司之間或公司與外出員工之間的網(wǎng)絡連接就是屬于這一情況；限制只有特定用戶才有權限發(fā)送E-mail，F(xiàn)TP只能對文件進行GET操作，而不能進行PUT操作；限制同時上網(wǎng)人數(shù)和限制不同用戶的使用時間段等。精選ppt網(wǎng)絡結構不是一成不變的。例如，在網(wǎng)絡建設之初，一般規(guī)模都比較小只需要在內部網(wǎng)絡和外部網(wǎng)絡之間部署防火墻，但隨著網(wǎng)絡發(fā)展，可能網(wǎng)絡規(guī)模會不斷擴大，這時就需要對內部網(wǎng)絡劃分子網(wǎng)，并根據(jù)實際情況對子網(wǎng)確定安全級別，這時一般就需要在這些子網(wǎng)之間部署相應的防火墻。另外隨著網(wǎng)絡技術的發(fā)展和攻擊手段的變化，防火墻也必須不斷地進行升級，因此支持軟件升級也是十分重要的。防火墻的功能評估及維護。防火墻對網(wǎng)絡的安全起到了一定的保護作用，作為網(wǎng)絡安全的一種防護手段。建立合理的安全規(guī)劃，配置有效的防火墻部署策略。通常的實施流程：風險分析，需求分析，合理配置。精選ppt

Web服務器裝在防火墻內的優(yōu)點是Web服務器受到安全保護，不容易受到攻擊，也不易為外部網(wǎng)絡提供Web服務。一般這種Web服務器站點只對內網(wǎng)提供Web服務。

例如，針對內部網(wǎng)和Web站點的安全。根據(jù)防火墻和Web服務器所處的位置可以分為Web服務器置于防火墻之內、Web服務器置于防火墻之外和Web服務器置于防火墻之上3種配置。Web服務器置于防火墻之外。為保證內部網(wǎng)絡的安全，將Web服務器完全置于防火墻之外是比較合適的。Web服務器置于防火墻之外時Web服務器不受保護，但內部網(wǎng)則處于完全保護之中。

精選pptWeb服務器置于防火墻之上。將Web服務器裝在防火墻上主要包括利用代理服務器、雙重防火墻、利用成對的“入”、“出”服務器提供對信息訪問的控制。允許防火墻傳遞對80端口的請求，訪問請求會被限制到Web站點返回?；蛘呖梢栽诜阑饓C器上安裝代理服務器，來自Web服務器的所有訪問請求在被代理服務器截獲之后才傳給服務器。防火墻設置是否成功的關鍵是制定訪問控制策略（安全策略），確立安全規(guī)則。例如，內部用戶可以訪問因特網(wǎng)Web站點、FTP站點或發(fā)送SMTP電子郵件，但只允許來自因特網(wǎng)的SMTP郵件進入內部網(wǎng)絡。當然一個內部網(wǎng)路的不同部分之間也可以使用訪問控制策略。例如，外派員工可以通過VPN同內部網(wǎng)絡進行安全連接，或允許一定的商業(yè)伙伴使用內部網(wǎng)絡的部分資源。這樣防火墻用戶可能需要限制此類連接的訪問范圍。精選ppt

訪問控制策略規(guī)定了網(wǎng)絡不同部分之間允許的數(shù)據(jù)流向，確定哪些類型的數(shù)據(jù)流是允許的，哪些是不允許的。在制定訪問控制策略時，用戶可以使用訪問控制描述符進行說明，見下表:精選ppt內容規(guī)定流向

按信息的流向規(guī)定允許的傳輸行為。例如，由外部網(wǎng)絡傳入內部網(wǎng)絡的信息或從內部網(wǎng)絡發(fā)送到外部網(wǎng)絡的信息

服務

訪問的服務器應用的服務類型。例如web訪問、文件傳輸協(xié)議、簡單文件傳輸協(xié)議。

主機

有時除制定傳輸方向外還需要更詳細的說明。例如，某公司可能允許訪問某臺指定內部網(wǎng)絡的計算機?；蛘呖捎胁糠肿泳W(wǎng)絡或主機可以訪問外部網(wǎng)絡。

用戶

訪問權限分派，不同級別的用戶具有不同的訪問權限。例如，當外派用戶如果需要對內部網(wǎng)絡訪問時，一般防火墻須對每個試圖訪問的人進行授權檢查保證只有具有相關權限的用戶才可以進入。

時間

對訪問時間進行限制，只允許在某天中的某些時刻進行訪問。例如，內部網(wǎng)絡用戶只能在7:00-17:00之間訪問外部網(wǎng)絡。

帶寬管理

根據(jù)不同用戶或不同子網(wǎng)設置帶寬限制，分配網(wǎng)絡資源來控制訪問活動

精選ppt評價防火墻性能不能僅僅認為是安全防護作用，還要看防火墻阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡的能力。按防火墻狀態(tài)級別來分，一般有五種狀態(tài)：1)未受傷害能夠正常工作。2)關閉并重新啟動，同時恢復到正常工作狀態(tài)。3)關閉并重新啟動，同時恢復到防火墻的初始設置。4)禁止所有的數(shù)據(jù)通行。5)允許所有的數(shù)據(jù)通行，此時防火墻處于完全失效狀態(tài)。防火墻必須進行維護精選ppt防火墻投入使用后，需要網(wǎng)絡管理員進行大量的日常工作維護。主要的維護工作有以下幾種。(1)數(shù)據(jù)備份，日常管理必須對防火墻的配置數(shù)據(jù)進行備份，包括每次更改后的備份。一旦防火墻出現(xiàn)故障，則可迅速恢復。(2)隨時監(jiān)測，實時監(jiān)測防火墻的工作情況，及時檢查防火墻工作狀態(tài)是否正常，是否有入侵者在活動?？梢允褂门鋫浔O(jiān)測軟件的專用計算機在監(jiān)測點上進行定期或長期監(jiān)測，記錄下監(jiān)測到的信息并進行分析，以及定期檢查日志文件。另外還需要經常定期對軟件進行更新，升級版本。攻擊正是基于這類防火墻對II)地址缺乏識別和驗證的機制。精選ppt通常情況下，從外部網(wǎng)絡直接攻擊防火墻入侵內部網(wǎng)絡的可能性非常小，有效的攻擊都是從內部網(wǎng)絡的相