企业防火墙实施方案详解

• 
  　　实施一套良好的防火墙策略
  
  　　安全防火墙架构的首要关键组件是策略的设计。实现这些目标的最为重要的概念是使用原则的需要。在防火墙的策略中，这只是意味着除非有一个明确的原因要求使用某种服务，这种服务默认地必须被阻止或拒绝。为实施默认的服务阻止规则，在所有策略集的末尾只需要全局性地实施一种防火墙策略，即丢弃一切的规则，意思就是防火墙的默认行为是丢弃来自任何源到达任何目的地的任何服务的数据包。这条规则在任何的防火墙策略中是最后一条规则，因为在某种通信在有机会进入之前，它已经被封杀了。一旦实施了这种基本的行为，就需要对特定的源、特定的服务、对特定的目标地址的访问等实施在一些精心设计的规则。一般而言，这些规则越精密，网络也就越安全。
  
  　　例如，用户可被准许使用对外的一些常见服务端口，如HTTP，FTP，媒体服务等，但其它的服务和程序除非有了明确的原因才准许通信。在根据企业的需要找到一种特别的原因后，就需要在验证和核准后增加一些严格控制的针对性规则。管理员们常犯的一个错误是他们将用户的权限扩展到了服务和DMZ网络。适用于用户的向外转发数据的规则通常并不适用于服务器。在认真考虑之后，管理员会找到Web服务器并不需要浏览Web的理由。服务器就是服务器，它主要是提供服务，而很少成为客户端。一个根本的问题是DMZ或服务器几乎不应当首先发起通信。服务器典型情况下会接受请求，但几乎不可能接受来自公共的互联网的请求服务，除非是企业合伙人的XML及EDI应用。其它的例外还有一些，如提供驱动程序和软件更新的合法厂商的站点，但所有的例外，都应当严格而精密地定义。遵循这些严格的标准可以极大地减少服务器被损害的可能，最好能达到这样一种程度，只要部署了这种策略，即使服务器没有打补丁，也能防止内部子网的蠕虫传播。
  
  
  　　实施良好的防火墙网络设计
  
  　　防火墙安全的另外一个关键组件是物理网络的拓扑。如下图1：
  
  　　
  
  　　上图展示的是并不太先进的Pix525，网侠用它只是为了说明原理。它支持2千兆比特的以太网端口和6个100M比特的快速以太网端口。这是实现物理上分离不同子网的极好技巧，假如每一个端口都插入一个物理上不同的以太网交换机的话，它可满足企业的需要。然而，在数据中心中为每一个子网部署超过六个物理交换机都是不切合实际的。企业经常通过将一台独立的物理交换机分割为多个桥接组来使用虚拟局域网（VLAN），这便可以为任何现有的或未来的子网提供额外的端口。因为我们可以轻松地将一个千兆比特的端口连接到一个第三层的核心交换机、DMZ、外延网、临时的子网及企业需要的任何其它VLAN。不妨看一下第二个千兆比特的以太网卡和4个快速以太网接口卡。这里需要强化第二层交换机的安全，用以应对vlan跳跃攻击等问题，本文暂不讨论这个问题。即使对于汇聚的千兆以太网端口来说，用户也应当使用两个内建的快速以太网端口用于公共的互联网访问和状态失效转移的同步。
  
  　　再看下图2：
  
  　　
  
  　　上图展示了在一次状态失效转移配置中两个防火墙的使用。网络连接只能到达逻辑防火墙，其目的是为了避免非法的连接器，不过事实上每一个子网都有一个物理连接到达每一个防火墙。这些连接可以是物理上分离的电缆或单独的汇聚电缆，它通过独立的千兆比特连接到达用户的支持VLAN的交换机。PIX 525中的两个内置的快速以太网端口用于公共的互联网连接和状态失效转移的同步，而剩余的内部子网可以共享千兆以太网端口。这种配置要比使用独立的快速以太网端口的配置快得多。
  
  　　防火墙的内部可以连接下面的子网：
  
  　　◆核心3层交换机
  
  　　◆DMZ
  
  　　◆外延网
  
  　　◆临时区域
  
  
• 上一页 [1] [2] [3] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 企业防火墙实施方案详解 相关文章：
• ·推荐：漂亮的手机上使用的墙纸图片分享下载
• ·超酷!国外墙面涂鸦艺术图片精彩大赏
• ·硬件防火墙的配置过程讲解
• ·开启瑞星防火墙不能上网问题解决
• ·用PS与IR打造兔斯基撞墙搞笑表情
• ·Windows防火墙对UPnP框架有何影响
• ·防患于未然 十大个人防火墙精品推荐
• ·巧用天网防火墙来查对方IP地址
• ·配置ISA防火墙作为网络间的路由器
• ·深入分析Linux防火墙
• 企业防火墙实施方案详解 相关软件
• ·ARP防火墙 V5.0 Beta1 单机版
• ·江民防火墙 V10.0
• ·零号防火墙 V1.0 Final 简体中文绿色版
• ·瑞星个人防火墙2008下载版（免费半年） 20.48.11
• ·瑞星杀毒防火墙组合版2007V19.34.32 完全免费版
• ·世界顶级防火墙Look n Stop V2.05 中文版
• ·鸿兴防火墙(ARP+IE) V2.0
• ·ARP防火墙 V3.1.1 网络版
• ·篱笆墙外
• ·ARP防火墙单机版 v5.0.1

上一篇:ELLASSAY 2008秋冬女装设计欣赏

下一篇:RealPlayer也可以在线看奥运

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐