打造铜墙铁壁如何合理的配置防火墙(转)

2023-11-08 15:10

本文主要是介绍打造铜墙铁壁如何合理的配置防火墙(转),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

打造铜墙铁壁如何合理的配置防火墙(转)

  今天我们所处的信息时代,也可以说也是病毒与黑客大行其道的时代,这样说确实有些悲观但今天的网络的确如此,从Internet到企业内网、从个人电脑到可上网的手机平台,没有地方是安全的。每一次网络病毒的攻击,都会让家庭用户、企业用户、800热线甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后,人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙,且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙,相信不久的将来,我们可以看到在手机上也会出现防火墙。

  但是防火墙不是一道用于心理安慰的屏障,只有会用防火墙才能够真正将威胁挡在门外。就许多中小企业而言,防火墙的配置往往没有反映出企业的业务需求。如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义,添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过,从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网,如果事先制定了合理的过滤规则,它将可以截住不合规则的数据报文,从而起到过滤的作用。相反,如果规则不正确,将适得其反。

   中小企业防火墙应具有哪些功能:

  如何合理实施防火墙的配置呢?首先,让我们来看看中小企业防火墙一般都应具有哪些功能:

  1. 动态包过滤技术,动态维护通过防火墙的所有通信的状态(连接),基于连接的过滤;

  2. 可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题;

  3. 可以设置信任域与不信任域之间数据出入的策略;

  4. 可以定义规则计划,使得系统在某一时可以自动启用和关闭策略;

  5. 具有详细的日志功能,提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录,并支持日志服务器和日志导出;

  6. 具有IPSec VPN功能,可以实现跨互联网安全的远程访问;

  7. 具有邮件通知功能,可以将系统的告警通过发送邮件通知网络管理员;

  8. 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃;

  9. Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。

  以上是中小企业防火墙所应具备的一些防护特性,当然随着技术的发展中小企业防火墙的功能会变得越来越丰富;但有再多功能的防火墙如果没有合理的配置和管理,那么这只是一件IT摆设.

   如何实施防火墙配置

  如何实施防火墙配置呢?我们分别从以下几方面来讨论:

   规则实施

  规则实施看似简单,其实需要经过详尽的信息统计才可以得以实施。在过程中我们需要了解公司对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口,并根据不同应用的执行频繁程度对策率在规则表中的位置进行排序,然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的,如果将常用的规则放在首位就可以提高防火墙的工作效率。另外,应该及时地从病毒监控部门得到病毒警告,并对防火墙的策略进行更新也是制定策略所必要的手段。

   规则启用计划

  通常有些策略需要在特殊时刻被启用和关闭,比如凌晨3:00。而对于网管员此时可能正在睡觉,为了保证策略的正常运作,可以通过规则启用计划来为该规则制定启用时间。另外,在一些企业中为了避开上网高峰和攻击高峰,往往将一些应用放到晚上或凌晨来实施,比如远程数据库的同步、远程信息采集等等,遇到这些需求网管员可以通过制定详细的规则和启用计划来自动维护系统的安全。

   日志监控

  日志监控是十分有效的安全管理手段,往往许多管理员认为只要可以做日志的信息,都去采集,比如说对所有的告警或所有与策略匹配或不匹配的流量等等,这样的做法看似日志信息十分完善,但可以想一下每天进出防火墙的数据报文有上百万甚至更多,你如何在这些密密麻麻的条目中分析你所需要的信息呢?虽然有一些软件可以通过分析日志来获得图形或统计数据,但这些软件往往需要去二次开发或制定,而且价格不菲。所以只有采集到最关键的日志才是真正有用的日志。

  一般而言,系统的告警信息是有必要记录的,但对于流量信息是应该有选择的。有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。比如:内网发现蠕虫病毒,该病毒可能会针对主机系统某UDP端口进行攻击,网管员虽然已经将该病毒清除,但为了监控有没有其他的主机受感染,我们可以为该端口增加一条策略并进行日志来检测网内的流量。

  另外,企业防火墙可以针对超出经验阀值的报文做出响应,如丢弃、告警、日志等动作,但是所有的告警或日志是需要认真分析的,系统的告警支持根据经验值来确定的,比如对于工作站和服务器来说所产生的会话数是完全不同的,所以有时会发现系统告知一台邮件服务器在某端口发出攻击,而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。

   设备管理

  对于企业防火墙而言,设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现,但这种方式是不太安全的,因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理.

  

本文来自:http://www.linuxpk.com/30512.html

--&gtlinux电子图书免费下载和技术讨论基地

·上一篇: Windows2000的服务安全与建议

·下一篇: 怎么使用防火墙常见问题十问十答
 
     最新更新
·注册表备份和恢复

·低级格式化的主要作用

·如何防范恶意网站

·常见文件扩展名和它们的说明

·专家:警惕骇客骗局,严守企业信息

·PGPforWindows介紹基本设定(2)

·解剖安全帐号管理器(SAM)结构

·“恶作剧之王”揭秘

·绿色警戒

·黑客反击战

·网络四大攻击方法及安全现状描述

·可攻击3种浏览器代码流于互联网

·黑客最新的兴趣点,下个目标会是谁?

·“僵尸”——垃圾邮件的主要传播源

·Lebreat蠕虫惊现3变种

·POSTFIX反病毒反垃圾Ų…

·在FreeBSD上用PHP实现在线添加FTP用户

·简单让你在FreeBSDADSL上…

·安全版本:OpenBSD入门技巧解析

·Internet连接共享上网完全攻略

·关于ADSL上网网速常识

·静态缓存和动态缓存的比较

·最友好的SQL注入防御方法

·令网站提速的7大秘方

·网络基础知识大全

·路由基本知识

·端口映射的几种实现方法

·VLAN经典诠释

·问题分析与解决——ADSL错误代码

·问题分析——关于2条E1的线路绑定


关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/14102/viewspace-117391/,如需转载,请注明出处,否则将追究法律责任。

上一篇: Windows2000的服务安全与建议(转)
下一篇: 怎么使用防火墙常见问题十问十答(转)
user_pic_default.png
请登录后发表评论 登录
全部评论
<%=items[i].createtime%>

<%=items[i].content%>

<%if(items[i].items.items.length) { %>
<%for(var j=0;j
<%=items[i].items.items[j].createtime%> 回复

<%=items[i].items.items[j].username%>   回复   <%=items[i].items.items[j].tousername%>: <%=items[i].items.items[j].content%>

<%}%> <%if(items[i].items.total > 5) { %>
还有<%=items[i].items.total-5%>条评论 ) data-count=1 data-flag=true>点击查看
<%}%>
<%}%> <%}%>
ilg

注册时间:2002-06-18

  • 博文量
    1715
  • 访问量
    1297601

最新文章

  • Solaris 图形窗口配置(转)
  • WPSOffice双面文档打印边距设置(转)
  • OfficeWord2007图片编辑功能使用教程(转)
  • IE技巧两则(转)
  • 用Iproute2配置隧道(转)
  • 用FAQGenie迅速制作“常见问答”网页(转)
  • openoffice2.0输出带多级书签的PDF文档(转)
  • WordXP巧画禁烟标志(转)
  • Linux中防御垃圾邮件的方法(转)
  • Excel:轻松查看数据记录(转)

转载于:http://blog.itpub.net/14102/viewspace-117391/

这篇关于打造铜墙铁壁如何合理的配置防火墙(转)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/370690

相关文章

SpringCloud动态配置注解@RefreshScope与@Component的深度解析

《SpringCloud动态配置注解@RefreshScope与@Component的深度解析》在现代微服务架构中,动态配置管理是一个关键需求,本文将为大家介绍SpringCloud中相关的注解@Re... 目录引言1. @RefreshScope 的作用与原理1.1 什么是 @RefreshScope1.

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

springboot security之前后端分离配置方式

《springbootsecurity之前后端分离配置方式》:本文主要介绍springbootsecurity之前后端分离配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的... 目录前言自定义配置认证失败自定义处理登录相关接口匿名访问前置文章总结前言spring boot secu

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

springboot简单集成Security配置的教程

《springboot简单集成Security配置的教程》:本文主要介绍springboot简单集成Security配置的教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录集成Security安全框架引入依赖编写配置类WebSecurityConfig(自定义资源权限规则

SpringBoot中封装Cors自动配置方式

《SpringBoot中封装Cors自动配置方式》:本文主要介绍SpringBoot中封装Cors自动配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot封装Cors自动配置背景实现步骤1. 创建 GlobalCorsProperties

Spring Boot结成MyBatis-Plus最全配置指南

《SpringBoot结成MyBatis-Plus最全配置指南》本文主要介绍了SpringBoot结成MyBatis-Plus最全配置指南,包括依赖引入、配置数据源、Mapper扫描、基本CRUD操... 目录前言详细操作一.创建项目并引入相关依赖二.配置数据源信息三.编写相关代码查zsRArly询数据库数

SpringBoot配置Ollama实现本地部署DeepSeek

《SpringBoot配置Ollama实现本地部署DeepSeek》本文主要介绍了在本地环境中使用Ollama配置DeepSeek模型,并在IntelliJIDEA中创建一个Sprin... 目录前言详细步骤一、本地配置DeepSeek二、SpringBoot项目调用本地DeepSeek前言随着人工智能技

如何自定义Nginx JSON日志格式配置

《如何自定义NginxJSON日志格式配置》Nginx作为最流行的Web服务器之一,其灵活的日志配置能力允许我们根据需求定制日志格式,本文将详细介绍如何配置Nginx以JSON格式记录访问日志,这种... 目录前言为什么选择jsON格式日志?配置步骤详解1. 安装Nginx服务2. 自定义JSON日志格式各

使用Python实现网络设备配置备份与恢复

《使用Python实现网络设备配置备份与恢复》网络设备配置备份与恢复在网络安全管理中起着至关重要的作用,本文为大家介绍了如何通过Python实现网络设备配置备份与恢复,需要的可以参考下... 目录一、网络设备配置备份与恢复的概念与重要性二、网络设备配置备份与恢复的分类三、python网络设备配置备份与恢复实