以下是我精心為您提供的內容。歡迎閱讀。
防火墻是確保網絡安全的關鍵組件,但它只是安全企業網絡的開始。對於管理員來說,有必要關註支持故障轉移的多重防火墻的設計。這種防火墻設計的最終結果應該是易於管理、高效率、高可用性和高安全性的結合,而且成本應該更低。
您需要多少防火墻
關於防火墻的設計原則壹直有很多爭論。爭論的主要問題之壹是是否最好
以下是我精心為您提供的內容。歡迎閱讀。
防火墻是確保網絡安全的關鍵組件,但它只是安全企業網絡的開始。對於管理員來說,有必要關註支持故障轉移的多重防火墻的設計。這種防火墻設計的最終結果應該是易於管理、高效率、高可用性和高安全性的結合,而且成本應該更低。
您需要多少防火墻
關於防火墻的設計原則壹直有很多爭論。爭論的主要問題之壹是是否最好有幾個防火墻。筆者認為兩個防火墻壹般不會比壹個防火墻好多少。因為在大多數攻擊中,防火墻本身的漏洞很少成為問題。黑客通常不需要征服防火墻,因為他們可以通過開放的端口進入並利用防火墻後面的服務器上的漏洞。此外,防火墻本身沒有吸引黑客的東西,因為任何明智的管理員都會將防火墻配置為放棄那些連接到防火墻的嘗試。例如,即使用戶的防火墻上存在已知的SSH漏洞,這種威脅也只能來自防火墻指定的受到良好保護的管理工作站,更不用說該工作站已關閉的事實了。事實上,防火墻最大的問題在於其維護薄弱,策略和網絡設計不佳。在與防火墻相關的安全事件中,人為因素造成的損害約占99%。更糟糕的是,如果您實施來自多個供應商的防火墻,成本將迫使用戶放棄壹些需要特別註意的問題。用戶最好將有限的資源花在加強壹個平臺上,而不是全面攻擊它。
防火墻的設計目標
良好的防火墻策略和網絡設計應該能夠減少而不是消除以下安全風險:
◆來自互聯網的對DMZ服務的攻擊。
◆企業網絡的任何部分攻擊互聯網。
◆企業用戶或服務器攻擊DMZ服務器。
◆DMZ服務器攻擊用戶、服務器或損害自身。
◆來自合作夥伴和外聯網的威脅。
◆來自通過廣域網連接的遠程部門的威脅。
這些目標聽起來可能有點過分,因為它們基本上不是傳統方法,但它們有自己的理由。
第壹點非常明顯,即限制通過互聯網訪問DMZ服務器的服務端口的嘗試,這大大降低了它們被征服的機會。例如,在SMTP郵件服務器上,僅允許通過TCP端口25進行互聯網通信。因此,如果該SMTP服務器的服務器服務或程序中碰巧存在漏洞,它將不會暴露在Internet上。蠕蟲和黑客總是擔心80端口的漏洞。
下壹個可能聽起來有點奇怪。我們為什麽要關心通過自己的網絡保護公共網絡?當然,任何公民都不應該傳播惡意代碼,這是最低要求。但這也是為了更好地保護我們自己的網絡連接。以SQL slammer蠕蟲為例。如果我們部署更好的防火墻策略,我們可以防止互聯網上的拒絕服務攻擊並節省互聯網資源。
最難處理的是內部威脅。按照傳統設計,大多數昂貴的防火墻都無法保護網絡免受內部攻擊者的攻擊。如果惡意用戶將感染了惡意代碼的筆記本電腦連接到家中或其他地方的網絡,後果可想而知。良好的網絡設計和防火墻策略應該能夠保護DMZ服務器免受服務器和用戶帶來的風險,就像來自互聯網的風險壹樣。
故事還有另壹面。由於DMZ服務器暴露在公共互聯網上,因此有可能被黑客或蠕蟲破壞。對於管理員來說,采取措施限制DMZ服務器可能對內部服務器或用戶工作站造成的威脅非常重要。此外,強大的防火墻策略還可以防止DMZ服務器進壹步損壞自身。如果黑客通過壹些已知或未知的漏洞破壞了服務器,他們做的第壹件事就是讓服務器下載壹個rootkit。防火墻策略應該阻止下載此類內容。
它還可以進壹步減少來自外聯網合作夥伴和遠程辦公室WAN的威脅。連接這些網絡的路由器受到廣域網技術的保護,如幀中繼、隧道、租用專線等。這些路由器也可以受到防火墻的保護。通過使用每個路由器上的防火墻特性來實現安全性的成本太高,這不僅導致高硬件成本,而且非常難以設置和管理。企業防火墻可以通過傳統防火墻之外的附加功能為廣域網和外聯網提供簡單而集中的安全管理。
關鍵是防火墻可以限制不同網絡區域的通信,這些網絡區域是根據邏輯組織和功能目的劃分的。但是防火墻不能限制和保護主機免受同壹子網中其他主機的攻擊,因為數據永遠不會通過防火墻進行檢查。這就是為什麽防火墻支持的領域越多,它在科學設計的企業網絡中就越有用。由於壹些主要供應商支持接口的融合,因此劃分區域要容易得多。單個千兆位端口可以輕松支持多個區域,並且它比幾個快速以太網端口更快。
實施良好的防火墻策略
安全防火墻體系結構的第壹個關鍵組成部分是策略設計。實現這些目標的最重要的概念是需要使用原則。在防火墻策略中,這只是意味著除非有明確的理由使用某項服務,否則默認情況下必須阻止或拒絕該服務。為了實施預設的服務阻止規則,只需要在所有策略集的末尾全局實施壹個防火墻策略,即丟棄壹切的規則,這意味著防火墻的默認行為是丟棄從任何來源到任何目的地的數據包。這條規則是任何防火墻策略中的最後壹條規則,因為某個通信在有機會進入之前就被阻止了。壹旦實現了這壹基本行為,就有必要針對特定源、特定服務、對特定目標地址的訪問等實現壹些精心設計的規則。壹般來說,這些規則越精確,網絡就越安全。
例如,可以允許用戶使用壹些常見的外部服務端口,如HTTP、FTP、媒體服務等。,但除非有明確的原因,否則允許其他服務和程序進行通信。根據企業的需要找到壹個特殊的原因後,經過驗證和批準後,有必要添加壹些嚴格控制的針對性規則。管理員常犯的壹個錯誤是將用戶許可擴展到服務和DMZ網絡。適用於用戶向外轉發數據的規則通常不適用於服務器。經過仔細考慮,管理員會發現Web服務器不需要瀏覽Web的原因。服務器就是服務器,主要提供服務,很少成為客戶端。壹個基本問題是DMZ或服務器很難首先發起通信。通常情況下,服務器會接受請求,但幾乎不可能接受來自公共互聯網的服務請求,除非是企業合作夥伴的XML和EDI應用程序。還有其他例外情況,例如提供驅動程序和軟件更新的合法供應商的網站,但所有例外情況都應嚴格準確地定義。遵循這些嚴格的標準可以大大降低服務器損壞的可能性,最好達到這樣的水平:只要部署了這種策略,即使服務器沒有打補丁,也可以防止蠕蟲在內部子網中傳播。