企業(yè)級防火墻是目前金融、電信以及政府機(jī)構(gòu)保護(hù)內(nèi)部網(wǎng)絡(luò)安全的首選產(chǎn)品,據(jù)統(tǒng)計三者所占的份額接近70%。但是,防火墻究竟是做什么的,能防范什么網(wǎng)絡(luò)攻擊行為,也許并不為大家所了解。
正文
現(xiàn)在讓我們介紹一下防火墻的用途和功能:
1、防火墻的保護(hù)對象究竟是誰,它是如何實(shí)現(xiàn)保護(hù)功能的?
從廣義上講,防火墻保護(hù)的是企業(yè)內(nèi)部網(wǎng)絡(luò)信息的安全,比如防止銀行服務(wù)器用戶賬號信息、政府部門的保密信息、部隊中的作戰(zhàn)計劃和戰(zhàn)略等重要信息的泄漏。從狹義上講,防火墻保護(hù)的是企業(yè)內(nèi)部網(wǎng)絡(luò)中各個電腦的安全,防止計算機(jī)受到來自企業(yè)外部非安全網(wǎng)絡(luò)中的所有惡意訪問或攻擊行為。防火墻實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護(hù)功能是通過將內(nèi)外網(wǎng)絡(luò)進(jìn)行物理隔離來實(shí)現(xiàn)的,然后根據(jù)預(yù)先定制的安全策略控制通過防火墻的訪問行為,從而達(dá)到對企業(yè)內(nèi)部網(wǎng)絡(luò)訪問的有效控制。防火墻通常有兩種工作模式:網(wǎng)橋模式和路由模式。
如果防火墻安裝在企業(yè)內(nèi)網(wǎng)與因特網(wǎng)之間作為安全屏障,最好選擇路由模式,在該模式下可以使用防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換功能和代理功能,充分保護(hù)企業(yè)網(wǎng)絡(luò)免受來自互聯(lián)網(wǎng)的攻擊。如果需要保護(hù)同一子網(wǎng)上不同區(qū)域(部門)的主機(jī),可選擇網(wǎng)橋模式,這時,原來的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無須做任何改變。比如,企業(yè)的財務(wù)部是企業(yè)重要部門,即使內(nèi)部員工也不允許隨便訪問,因此,需要特別的保護(hù)。但企業(yè)網(wǎng)絡(luò)已經(jīng)建成,相應(yīng)改造會帶來許多工作。此時,就可以選擇防火墻的網(wǎng)橋工作模式,既不用改造企業(yè)網(wǎng)絡(luò)結(jié)構(gòu),也可以在沒有經(jīng)過防火墻授權(quán)的情況下,禁止非法人員訪問財務(wù)部的主機(jī)。如此一來,起到了局部信息保密和保護(hù)的效果。
2、防火墻是不是只能防范外來的攻擊?
其實(shí),對內(nèi)外網(wǎng)之間通過防火墻的的不當(dāng)訪問行為,防火墻都是非常敏感的。即使是內(nèi)部員工,如果違反企業(yè)的安全策略,一樣會被防火墻及時的阻止并通告網(wǎng)絡(luò)管理員。比如具有麥金塔地址綁定功能的企業(yè)級防火墻,它可將內(nèi)網(wǎng)每臺主機(jī)的IP地址與該主機(jī)上網(wǎng)卡的物理地址進(jìn)行一對一的綁定,能夠有效阻止用戶通過修改IP地址所進(jìn)行的非授權(quán)訪問。此外,防火墻還支持雙向網(wǎng)絡(luò)地址變換:源地址變換(SNAT)和目的地址變換(DNAT)。通過源地址變換,使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu),從而提高了內(nèi)網(wǎng)的安全性;同時,通過源地址變換,可以節(jié)省IP地址資源(內(nèi)網(wǎng)主機(jī)可全部使用私有地址)。企業(yè)級防火墻允許管理員定義一個時間范圍,使該條規(guī)則只在這一時間范圍內(nèi)起作用。通過這種控制機(jī)制,可以為企業(yè)提供更加靈活的配置策略,例如,可以定義規(guī)則只允許公司市場部員工和經(jīng)理在任何時間訪問因特網(wǎng),而其他部門員工只允許在午休時間訪問互聯(lián)網(wǎng)。具有這項功能不僅為企業(yè)節(jié)省了一大筆的網(wǎng)絡(luò)接入費(fèi),而且也提高了內(nèi)網(wǎng)的安全防范能力。
3、對于讓人頭痛的垃圾郵件,防火墻有什么處理辦法?
防火墻一般會為HTTP、WWW、FTP和TELNET等協(xié)議提供專門的應(yīng)用代理,此外還可提供郵件(SMTP)代理、RPC&UDP代理、一般應(yīng)用代理(可代理所有基于TCP/IP的應(yīng)用或服務(wù))等。從外向內(nèi)的斷點(diǎn)續(xù)傳和TELNET的代理提供強(qiáng)用戶認(rèn)證機(jī)制,可有效阻止黑客進(jìn)行的口令猜測攻擊;而防火墻提供的郵件(SMTP)代理功能可阻止郵件炸彈的攻擊,并可過濾垃圾郵件。使用應(yīng)用層代理,可以有效地抵御那些能夠穿過包過濾型防火墻的基于應(yīng)用的攻擊。
4、如果防火墻"生病"了,網(wǎng)絡(luò)安全誰來負(fù)責(zé)?
為了滿足企業(yè)對防火墻可靠性的更高級別的要求,防火墻大都提供了雙機(jī)熱備份功能,也就是在主防火墻"生病"(發(fā)生故障)的時候,備份防火墻會擔(dān)當(dāng)起主防火墻的職責(zé),能夠識別并自動接管主防火墻的全部功能,保障網(wǎng)絡(luò)的正常運(yùn)行。
5、防火墻能夠防范哪些網(wǎng)絡(luò)攻擊?
防火墻會缺省設(shè)置一些基本規(guī)則,不需要用戶參與,可以有效防范IP地址欺騙、Ping of death、teardrop以及Syn flooding等基本網(wǎng)絡(luò)攻擊,保護(hù)內(nèi)網(wǎng)和防火墻免遭多種形式的拒絕服務(wù)攻擊和非法訪問。
6、防火墻是如何辨別正常登錄和非法登錄的?
防火墻的自我保護(hù)意識較強(qiáng),網(wǎng)絡(luò)管理員必須通過強(qiáng)用戶認(rèn)證才能登錄到防火墻,對防火墻上的配置文件進(jìn)行修改。企業(yè)級防火墻提供的強(qiáng)用戶認(rèn)證使用雙因子認(rèn)證(鑰匙口令+防火墻一次性口令),確保管理員不被假冒,管理主機(jī)(可以放置在內(nèi)外網(wǎng)任何地方,包括撥號網(wǎng)絡(luò))與防火墻之間的通信采用加密傳輸,以防止黑客利用網(wǎng)絡(luò)嗅探器對數(shù)據(jù)的竊取。利用這種機(jī)制,可以杜絕黑客假冒管理員對防火墻文件進(jìn)行篡改和獲取敏感信息。
7、防火墻應(yīng)該是網(wǎng)絡(luò)管理員最得力的助手,它是通過什么形式來匯報網(wǎng)絡(luò)運(yùn)行狀態(tài)的?
企業(yè)級防火墻內(nèi)部的進(jìn)程監(jiān)視器實(shí)時監(jiān)控防火墻的運(yùn)行狀態(tài);日志系統(tǒng)提供強(qiáng)大的日志審計功能,并可提供詳細(xì)的日志分析統(tǒng)計報告;流量統(tǒng)計模塊提供基于單個主機(jī)的流量統(tǒng)計報告和曲線。系統(tǒng)管理員可以在管理主機(jī)上實(shí)時查看防火墻的運(yùn)行狀態(tài)和瀏覽各類報告,讓管理員對防火墻及網(wǎng)絡(luò)運(yùn)行狀況一目了然。為避免系統(tǒng)硬盤空間耗盡,防火墻保存的日志文件定時滾動,最長保存時間可由用戶設(shè)置。同時,可選的日志實(shí)時備份模塊,能夠?qū)崿F(xiàn)日志異地存儲。
在了解了防火墻的基本功能后,我們應(yīng)該對網(wǎng)絡(luò)的安全概念有所加深,對網(wǎng)絡(luò)的威脅并非只來自于病毒,其實(shí)各種黑客攻擊手段已經(jīng)越來越多的對我們正常的工作和生活形成威脅,因此,在構(gòu)建和完善企業(yè)內(nèi)部網(wǎng)絡(luò)的時候,需要謹(jǐn)慎的考慮和選擇。
參考資料 >