首頁
排行
完本
足跡

正文 6.5 防火牆的產品(2 / 3)

計算機網絡安全 崔春莉;李雲

如果用戶需要NTP(網絡消息傳輸協議)、XWindow、HTTP和Gopher等服務,防火牆應該包含相應的代理服務程序。防火牆也應具有集中郵件的功能,以減少SMTP服務器和外界服務器的直接連接,並可以集中處理整個站點的電子郵件。防火牆應允許公眾對站點的訪問,應把信息服務器和其他內部服務器分開。

防火牆應該能夠集中和過濾撥入訪問,並可以記錄網絡流量和可疑的活動。此外,為了使日誌具有可讀性,防火牆應具有精簡日誌的能力。雖然沒有必要讓防火牆的操作係統和公司內部使用的操作係統一樣,但在防火牆上運行一個管理員熟悉的操作係統會使管理變得簡單。防火牆的強度和正確性應該可被驗證,設計盡量簡單,以便管理員理解和維護。防火牆和相應的操作係統應該用補丁程序進行升級且升級必須定期進行。

正像前麵提到的那樣,Internet每時每刻都在發生著變化,新的易攻擊點隨時可能會產生。當新的危險出現時,新的服務和升級工作可能會對防火牆的安裝產生潛在的阻力,因此防火牆的可適應性是很重要的。

2.企業的特殊要求

企業安全政策中往往有些特殊需求,不是每一個防火牆都會提供的,這方麵常會成為選擇防火牆的考慮因素之一。常見的需求如下:

(1)網絡地址轉換功能(AT)

進行地址轉換有兩個好處,其一是隱藏內部網絡真正的I,從而使黑客無法直接攻擊內部網絡,這也是筆者之所以要強調防火牆自身安全性問題的主要原因。另一個好處是可以讓內部使用保留的IP,這對許多IP不足的企業是有益的。

(2)雙重DNS

當內部網絡使用沒有注冊的IP地址,或是防火牆進行IP轉換時,DNS也必須經過轉換,因為,同樣的一個主機在內部的IP與給予外界的I將會不同,有的防火牆會提供雙重DNS,有的則必須在不同主機上各安裝一個DNS。

(3)虛擬專用網絡(VN)VN可以在防火牆與防火牆或移動的客戶端之間對所有網絡傳輸的內容加密,建立一個虛擬通道,讓兩者感覺是在同一個網絡上,保證安全且不受拘束地互相存齲

(4)掃毒功能

大部分防火牆都可以與防病毒軟件搭配實現掃毒功能,有的防火牆則可以直接集成掃毒功能,差別隻是掃毒工作是由防火牆完成,或是由另一台專用的計算機完成。

(5)特殊控製需求

有時候企業會有特別的控製需求,如限製特定使用者才能發送Email、FTP隻能下載文件不能上傳文件、限製同時上網人數、限製使用時間或阻塞Java、ActiveX控件等,依需求不同而定。

3.與用戶網絡結合

(1)管理的難易度

防火牆管理的難易度是防火牆能否達到目的的主要考慮因素之一。一般企業之所以很少以己有的網絡設備直接當作防火牆的原因,除了先前提到的包過濾不能達到完全的控製之外,設定工作困難、須具備完整的知識以及不易維護等管理問題,更是一般企業不願意使用的主要原因。

(2)自身的安全性

大多數人在選擇防火牆時,都將注意力放在防火牆如何控製連接以及防火牆支持多少種服務上,卻往往忽略了防火牆也是網絡上的主機之一,也可能存在安全問題。防火牆如果不能確保自身安全,那麼防火牆的控製功能再強,也不能完全保護內部網絡。大部分防火牆都安裝在一般的操作係統上,如Unix、NT係統等。在防火牆主機上執行的除了防火牆軟件外,所有的程序、係統核心,也大多來自於操作係統本身的原有程序。當防火牆主機上所執行的軟件出現安全漏洞時,防火牆本身也將會受到威脅。此時,任何的防火牆控製機製都可能失效。當一個黑客取得了防火牆上的控製權以後,黑客幾乎可為所欲為地修改防火牆上的訪問規則,進而侵入更多的係統。因此防火牆自身應有相當高的安全保護。

(3)完善的售後服務

用戶在選購防火牆產品時,除了從以上的功能特點考慮之外,還應該注意好的防火牆應該是企業整體網絡的保護者,並能彌補其他操作係統的不足,使操作係統的安全性不會對企業網絡的整體安全造成影響。防火牆應該能夠支持多種平台,因為使用者才是完全的控製者。而使用者的平台往往是多種多樣的,它們應選擇一套符合現有環境需求的防火牆產品。新產品的出現,就會有人研究新的破解方法,所以好的防火牆產品應擁有完善及時的售後服務體係。

(4)完整的安全檢查

好的防火牆還必須向使用者提供完整的安全檢查功能,一個安全的網絡需要依靠使用者的觀察及改進,防火牆並不能有效地杜絕所有的惡意封包。企業想要達到真正的安全,仍然需要內部人員不斷記錄、改進、追蹤。防火牆可以限製唯有合法的使用者才能進行連接,但是否存在利用合法掩護非法的情形仍需依靠管理者來發現。

(5)結合用戶情況

在選購一個防火牆時,用戶應該從自身考慮以下的因素:

·網絡受威脅的程度:

·若入侵者闖入網絡,將要受到的潛在的損失;

·其他已經用來保護網絡及其資源的安全措施;

·由於硬件或軟件失效,或防火牆遭到“拒絕服務攻擊“,而導致用戶不能訪問Internet,造成的整個機構的損失;

·機構所希望提供給Internet的服務,希望能從Internet得到的服務以及可以同時通過防火牆的用戶數目:

·網絡是否有經驗豐富的管理員;

·今後可能的要求,如要求增加通過防火牆的網絡活動或要求新的Internet服務。

上一頁 書頁/目錄 下一頁