防火墙系统部署的意义
防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通信。通过使用Firewall过滤不安全的服务器,提高网络安全和减少子网中主机的风险,提供对系统的访问控制;阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。防火墙属于一种被动的安全防御工具。
设立防火墙的目的就是保护一个网络不受来自另一个网络的攻击,防火墙的主要功能包括以下几个方面:
(1)防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全性,降低受攻击的风险。
(2)防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件(如口令、加密、认证、审计等),比分散管理更经济。
(3)防火墙强化安全认证和监控审计。因为所有进出网络的通信流都通过防火墙,使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。
(4)防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器,即能防外,又能防止内部未经授权用户对互联网的访问。
安全域的划分
网络中连接着各个不同安全域的网络,,因此可根据这些网络的不同安全级别,以及每个网络中不同功能子网的安全强度不同划分不同的安全域。
每个区域由于安全级别不同,因此需要使用防火墙进行隔离,对进出网络的连接请求进行严格的访问控制检查。
防火墙的选择原则
作为网络安全中最重要的产品之一,目前国内外市场上有许多品牌的防火墙产品,每个用户都需要根据自己的需求认真选择合适的防火墙产品。在防火墙产品的选择上主要有以下原则:
(1)明确防火墙的保护对象和需要的安全等级。
(2)根据安全级别确定防火墙安全标准。
(3)选用功能适中且能扩展和安全有保证的防火墙。
(4)能适应不同网络需求,可根据实际网络环境灵活的部署。
(5)应能提供良好的售后服务的产品。
防火墙的部署
以某单位为例
连接方式:防火墙的部署一般在因特网路由器和交换机中间,用于隔离本单位内部网络和因特网,或者各部分网络之间,用于隔离不同部分的网络。
工作模式:考虑到尽可能对单位内网的影响小,建议将防火墙配置成透明工作模式,这样对网络中原有IP地址的配置影响小。当然也可以配置成路由工作模式。
规则设置:设置恰当的访问控制规则,审核单位主网络和各个接入单位的网络访问请求。通过与访问控制规则相比较,只有合法的访问才能通过,从而将单位主网和各接入网络间安全隔离。规则设置上可配置默认为禁止所有,再打开必要的服务。从而实现内部不同安全区的隔离。
防火墙的管理与联动
防火墙采用GUI方式管理,管理界面简洁易操作,只需要在单位内网的一台工作站上安装管理客户端程序,就可以实现对防火墙的集中管理,包括规则配置、数据备份、恢复、连接状态监测、日志分析等功能。
防火墙支持TOPSEC安全协议,在此协议上可与国内主流入侵检测系统、防病毒系统等进行联动,当入侵检测系统、防病毒系统发现攻击时间后,防火墙可动态生成规则阻断非法连接。
防火墙安全规则配置策略
·因特网用户只允许访问对外服务器的指定服务。
·防御各种DOS攻击。
·对数据内容进行过滤。
·在所有的防火墙的内网口配置管理IP地址。
·在所有的防火墙配置备份策略。
·安装一台管理机,集中管理全部的防火墙。
·配置防火墙的管理策略。
·配置与IDS的联动策略。
·配置记录日志策略。
·配置向安全综合管理系统发送日志策略。
·配置报警策略。
部署防火墙后的功能
通过以上防火墙设备的部署,可实现以下作用。
1、通过防火墙连接,隔离安全区域。
通过对访问请求的审核,我们隔离了单位中心网、因特网、各上下级单位等网络间的网络连接,可以达到保护脆弱的服务、控制对内部网络服务器的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。这样在不安全网络接入时,全部通信都受到防火墙的监控,通过防护墙的策略可以设置成相应的保护级别,以保证系统的安全。
2、过滤网络中不必要传输的垃圾数据。
防火墙是一种网关型的设备,各个区域之间的通信,可以通过防火墙的添加,保障如果在其上添加一些策略,就可以过滤掉部分无用的信息,只要网络中传输必要的应用数据。
3、利用防火墙的带宽控制功能,调整链路的带宽利用。
防火墙是一种网关型的设备,而且某些防火墙具有带宽控制的特性,可以依据应用来限制流量,来调整链路的带宽利用如:在网络中,有FTP的访问、Web访问等等,可以在防火墙中直接加载控制策略,使FTP访问、Web访问按照预定的带宽进行数据交换。实现每个用户、服务的带宽控制,调整链路带宽利用的效率。
4、通过防火墙的保护,隐蔽公司网内部网络信息,提高系统的安全性。
使得公司网不受到黑客的攻击,黑客无法通过防火墙进行扫描、攻击等非法动作。防火墙可防止黑客通过外部网对重要服务器的TCP/UDP的端口非法扫描,消除系统安全的隐患。可防止攻击者通过外部网对重要服务器的源路由攻击、IP碎片包攻击、DNS / RIP / ICMP攻击、SYN攻击、拒绝服务攻击等多种攻击。有些防火墙还提供入侵检测的功能,当发现重要服务器被攻击时,防火墙将自动报警并根据策略进行响应。
5、强大的应用层控制。
防火墙提供应用级透明代理,可以对高层应用(HTTP、FTP、SMTP、POP3、NNTP)做了更详细控制,如HTTP命令(GET,POST,HEAD)及URL,FTP命令(GEI,PUT)及文件控制。
