以下是如何为您构建安全企业防火墙,欢迎您阅读。
防火墙是保障
网络安全的重要组成部分,但它仅仅是一个开始的安全企业网络
管理员,要注意多个防火墙
支持故障转移的设计。这个防火墙的设计最终的结果应该是一个组合的易管理性、高
性能、高可用性,安全性高,和更少的钱。
多个防火墙
一直有很多在防火墙的设计原则的争论,而其中的一个主要问题是,它是最好的有几个防火墙。我想有两个防火墙一般不作为防火墙的好。大部分的攻击,防火墙自身的漏洞被黑客很少的问题。通常不需要攻击的防火墙,因为他们可以通过开放的端口和漏洞在防火墙后面的
服务器漏洞。此外,防火墙本身具有黑客吸引力不大,因为任何明智的管理员将
配置防火墙丢弃那些试图
连接到防火墙的。例如,如果有一个已知的SSH漏洞在
用户的防火墙,威胁只能来自防火墙将指定的
保护管理
工作站,别说这样的工作站是
关闭的。事实上,防火墙的最大问题是其脆弱的
维护、糟糕的
策略和网络设计。在防火墙相关的安全事件,人为因素约占99%,造成的损害。更糟糕的是,如果你
运行多个厂商的防火墙,成本将迫使用户放弃一些需要特别关注的问题,它是更好地为用户使用有限的资源在一个增强的平台而不是一个完整的攻击。
防火墙的设计
目标 一个好的防火墙策略和网络设计应该能够减少(而不是消除)下面的安全风险:
来自互联网DMZ服务攻击攻击
企业网络攻击互联网的任何部分
企业用户或服务器的DMZ服务器攻击
DMZ服务器攻击用户、服务器,或者伤害自己。
从合作伙伴和推广网络(外网)的威胁
该部门由WAN与远程威胁连接。
这些目标可能听起来有点过分,因为它基本上不是传统的方式,但它的真理。
第一点很明显。这是限制服务端口,试图通过互联网访问DMZ服务器,大大减少了他们被征服的机会。例如,在一个SMTP邮件服务器,只有互联网通信被允许通过25号TCP端口。因此,如果SMTP服务器会在服务器服务或
程序有泄漏,也不会暴露到互联网。蠕虫和黑客总是担心端口80的易受攻击性。
下一个可能听起来很奇怪。我们为什么要关心通过自己的网络保护公共网络当然,任何公民都应该传播恶意代码,这是最低的要求,也是为了更好地保护自己的
网络连接,以SQL Slammer蠕虫为例,如果我们部署更好的防火墙策略,可以防止互联网上的拒绝服务攻击,并节省网络资源。
处理最糟糕的事情是内部威胁。最昂贵的防火墙不使用传统的设计,防止网络被危及内部攻击者。可想而知,恶意用户可以把
笔记本
电脑感染恶意代码对网络在家或其他地方。一个好的网络设计和防火墙策略应该可以为了保护DMZ服务器从服务器和用户的风险,就像互联网的风险防范。
有问题的另一个方面。因为DMZ服务器暴露在公网上,有一种可能性,它是由黑客和蠕虫的破坏。管理员采取措施限制DMZ服务器可能对内部服务器或用户工作站的威胁是必要的。另外,一套强大的防火墙策略还可以防止进一步损害自己从DMZ服务器,如果服务器是由一个已知的或未知的漏洞被黑客,他们做的第一件事是让服务器
下载的rootkit。防火墙策略,应该阻止这样的下载。
它还可以进一步降低外部合作伙伴万的威胁和远程办公部门。连接这些网络的
路由器使用的广域网技术,如帧中继、VPN隧道,租用专用线路等。这些路由器还可以通过防火墙保护。每个路由器的防火墙的安全是太昂贵,这不仅造成
硬件成本高,而且难以建立和管理。企业防火墙可以提供一个简单的超越传统防火墙的附加
功能和集中式广域网和外延网络的安全管理。
最关键的是,防火墙可以限制不同网络
区域之间的沟通,这是根据逻辑结构和功能划分,但防火墙不限制在同一子网保护宿主免受其他主机的威胁,因为数据不会通过防火墙的
检查。这就是为什么更多的领域防火墙支持,更有用的是一个设计科学的企业网络,一些主要的厂商支持接口衔接,区域划分是非常简单的。一个千兆端口可以支持多个地区和
执行比快速
以太网端口更快一些。
实施一套好的防火墙策略
安全的防火墙体系结构的关键组成部分是政策设计。实现这些目标的最重要的概念是使用原则的需要。在防火墙策略,这意味着,除非有明确的理由需要一些服务,这种服务必须阻止或拒绝停止的
默认。默认的服务
应用程序的规则,在所有策略的
设置只需要一个防火墙政策的全面实施,即抛弃所有规则,默认行为是指防火墙是从任何来源的任何目的地的数据包丢弃任何服务。这个规则在任何防火墙政策最后的规则,因为它已经挡在一定的沟通有机会花一旦实现了这一基本行为,我们就需要为特定的源、特定的服务、访问特定的目标
地址等实现一些精心设计的规则。一般来说,规则越复杂,网络就越安全。
例如,用户可以使用一些常用的服务端口外,如HTTP、FTP、媒体服务等,但其他服务和程序将允许通信,除非有明确的理由。在一个特别的
原因是与企业的需求相一致,有必要增加一些严格
控制具体规定核准后,管理员
经常犯的一个
错误是他们将用户的权利服务和DMZ网络。适用于用户的向外转发数据的规则不适用于服务器,经过慎重的考虑,管理员会
发现Web服务器不需要
浏览网页的服务器是服务器的原因。,主要提供服务,而很少是一个客户端,一个根本的问题是,DMZ或服务器不应该发起通信。服务器将接受的典型案件的请求,但它几乎是不可能接受来自公共互联网的要求,除非他们是XML和业务合作伙伴的EDI应用。还有其他的例外,如
网站提供合法厂商的
驱动程序和软件更新,但所有的异常应该严格和精确的定义。这些严格的标准,可以大大减少损害服务器的可能性,最好能达到这样的程度。只要部署了这个策略,即使服务器没有补丁,它也可以防止子网内的蠕虫传播。