解決方案

Solutions

首頁

所有分類

云計算

存儲

防火墻

1、防火墻的保護對象究竟是誰，它是如何實現(xiàn)保護功能的?

從廣義上講，防火墻保護的是企業(yè)內(nèi)部網(wǎng)絡(luò)信息的安全，比如防止銀行服務(wù)器用戶賬號信息、政府部門的保密信息、部隊中的作戰(zhàn)計劃和戰(zhàn)略等重要信息的泄漏。從狹義上講，防火墻保護的是企業(yè)內(nèi)部網(wǎng)絡(luò)中各個電腦的安全，防止計算機受到來自企業(yè)外部非安全網(wǎng)絡(luò)中的所有惡意訪問或攻擊行為。防火墻實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護功能是通過將內(nèi)外網(wǎng)絡(luò)進行物理隔離來實現(xiàn)的，然后根據(jù)預(yù)先定制的安全策略控制通過防火墻的訪問行為，從而達到對企業(yè)內(nèi)部網(wǎng)絡(luò)訪問的有效控制。防火墻通常有兩種工作模式:網(wǎng)橋模式和路由模式。

如果防火墻安裝在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)之間作為安全屏障，最好選擇路由模式，在該模式下可以使用防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換功能和代理功能，充分保護企業(yè)網(wǎng)絡(luò)免受來自互聯(lián)網(wǎng)的攻擊。如果需要保護同一子網(wǎng)上不同區(qū)域(部門)的主機，可選擇網(wǎng)橋模式，這時，原來的網(wǎng)絡(luò)拓撲結(jié)構(gòu)無須做任何改變。比如，企業(yè)的財務(wù)部是企業(yè)重要部門，即使內(nèi)部員工也不允許隨便訪問，因此，需要特別的保護。但企業(yè)網(wǎng)絡(luò)已經(jīng)建成，相應(yīng)改造會帶來許多工作。此時，就可以選擇防火墻的網(wǎng)橋工作模式，既不用改造企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，也可以在沒有經(jīng)過防火墻授權(quán)的情況下，禁止非法人員訪問財務(wù)部的主機。如此一來，起到了局部信息保密和保護的效果。

2、防火墻是不是只能防范外來的攻擊?

其實，對內(nèi)外網(wǎng)之間通過防火墻的的不當訪問行為，防火墻都是非常敏感的。即使是內(nèi)部員工，如果違反企業(yè)的安全策略，一樣會被防火墻及時的阻止并通告網(wǎng)絡(luò)管理員。比如具有MAC地址綁定功能的企業(yè)級防火墻，它可將內(nèi)網(wǎng)每臺主機的IP地址與該主機上網(wǎng)卡的物理地址進行一對一的綁定，能夠有效阻止用戶通過修改IP地址所進行的非授權(quán)訪問。此外，防火墻還支持雙向網(wǎng)絡(luò)地址變換:源地址變換(SNAT)和目的地址變換(DNAT)。通過源地址變換，使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，從而提高了內(nèi)網(wǎng)的安全性;同時，通過源地址變換，可以節(jié)省IP地址資源(內(nèi)網(wǎng)主機可全部使用私有地址)。企業(yè)級防火墻允許管理員定義一個時間范圍，使該條規(guī)則只在這一時間范圍內(nèi)起作用。通過這種控制機制，可以為企業(yè)提供更加靈活的配置策略，例如，可以定義規(guī)則只允許公司市場部員工和經(jīng)理在任何時間訪問因特網(wǎng)，而其他部門員工只允許在午休時間訪問互聯(lián)網(wǎng)。具有這項功能不僅為企業(yè)節(jié)省了一大筆的網(wǎng)絡(luò)接入費，而且也提高了內(nèi)網(wǎng)的安全防范能力。

3、對于讓人頭痛的垃圾郵件，防火墻有什么處理辦法?

防火墻一般會為HTTP、WWW、FTP和TELNET等協(xié)議提供專門的應(yīng)用代理，此外還可提供郵件(SMTP)代理、RPC&UDP代理、一般應(yīng)用代理(可代理所有基于TCP/IP的應(yīng)用或服務(wù))等。從外向內(nèi)的FTP和TELNET的代理提供強用戶認證機制，可有效阻止黑客進行的口令猜測攻擊;而防火墻提供的郵件(SMTP)代理功能可阻止郵件炸彈的攻擊，并可過濾垃圾郵件。使用應(yīng)用層代理，可以有效地抵御那些能夠穿過包過濾型防火墻的基于應(yīng)用的攻擊。

4、如果防火墻"生病"了，網(wǎng)絡(luò)安全誰來負責?

為了滿足企業(yè)對防火墻可靠性的更高級別的要求，防火墻大都提供了雙機熱備份功能，也就是在主防火墻"生病"(發(fā)生故障)的時候，備份防火墻會擔當起主防火墻的職責，能夠識別并自動接管主防火墻的全部功能，保障網(wǎng)絡(luò)的正常運行。

5、防火墻能夠防范哪些網(wǎng)絡(luò)攻擊?

防火墻會缺省設(shè)置一些基本規(guī)則，不需要用戶參與，可以有效防范IP地址欺騙、Ping of death、teardrop以及Syn flooding等基本網(wǎng)絡(luò)攻擊，保護內(nèi)網(wǎng)和防火墻免遭多種形式的拒絕服務(wù)攻擊和非法訪問。

6、防火墻是如何辨別正常登錄和非法登錄的?

防火墻的自我保護意識較強，網(wǎng)絡(luò)管理員必須通過強用戶認證才能登錄到防火墻，對防火墻上的配置文件進行修改。企業(yè)級防火墻提供的強用戶認證使用雙因子認證(鑰匙口令+防火墻一次性口令)，確保管理員不被假冒，管理主機(可以放置在內(nèi)外網(wǎng)任何地方，包括撥號網(wǎng)絡(luò))與防火墻之間的通信采用加密傳輸，以防止黑客利用網(wǎng)絡(luò)嗅探器對數(shù)據(jù)的竊取。利用這種機制，可以杜絕黑客假冒管理員對防火墻文件進行篡改和獲取敏感信息。

7、防火墻應(yīng)該是網(wǎng)絡(luò)管理員最得力的助手，它是通過什么形式來匯報網(wǎng)絡(luò)運行狀態(tài)的?

企業(yè)級防火墻內(nèi)部的進程監(jiān)視器實時監(jiān)控防火墻的運行狀態(tài);日志系統(tǒng)提供強大的日志審計功能，并可提供詳細的日志分析統(tǒng)計報告;流量統(tǒng)計模塊提供基于單個主機的流量統(tǒng)計報告和曲線。系統(tǒng)管理員可以在管理主機上實時查看防火墻的運行狀態(tài)和瀏覽各類報告，讓管理員對防火墻及網(wǎng)絡(luò)運行狀況一目了然。為避免系統(tǒng)硬盤空間耗盡，防火墻保存的日志文件定時滾動，最長保存時間可由用戶設(shè)置。同時，可選的日志實時備份模塊，能夠?qū)崿F(xiàn)日志異地存儲。

在了解了防火墻的基本功能后，我們應(yīng)該對網(wǎng)絡(luò)的安全概念有所加深，對網(wǎng)絡(luò)的威脅并非只來自于病毒，其實各種黑客攻擊手段已經(jīng)越來越多的對我們正常的工作和生活形成威脅，因此，在構(gòu)建和完善企業(yè)內(nèi)部網(wǎng)絡(luò)的時候，需要謹慎的考慮和選擇。