论文部分内容阅读
摘要:在中小型企业防火墙的选择过程中,首先要考虑防火墙本身的安全性,应用不同的网关技术,防火墙安全防范的侧重面也有所不同。另外防火墙其他的性能因素也是必须要考虑的。在防火墙具体的配置方式上,不同的服务也有不同的特点。
关键词:企业;防火墙;选择;配置
一、引言
中小型企业用户在选择和配置自己的防火墙产品时,要根据自己网络的特点针对性地考虑配置方案,既要安全可靠,又要简单易用,经济可行。
众所周知,防火墙是一种隔离控制技术,在企业的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止信息从企业的网络上被非法输出。所以,防火墙是一道门槛,可以控制进、出两个方向的通信。防火墙由一台或多台机器组成,它用一组软件将外部网络与内部网络隔开。
下面分别从几个不同的方面来分析基于中小型企业的防火墙选择与配置策略。
二、防火墙网关的基本类型
中小型企业的网络一般不是很大,如果要选择适合自己网络的防火墙,首先看看在中小型企业的防火墙设计中,有哪些类型的武器可以来对抗对网络的攻击。数据包过滤器是最廉价但却很实用的防火墙网关。它只使用一个路由器连接到互联网上,无需另外的费用。其工作方式通过基于数据包的源地址、目的地址或TCP端口来进行投递的。一般不保持前后连接信息,过滤的决定也是根据当前数据包的内容来定。
应用级网关是建立在网络应用层上的协议过滤,在防火墙技术中代表了相反的方面。它不像包过滤那样拦截所有的信息,而是针对每一个特定的应用都有一个程序,即在网络的应用层实现防火墙的功能。其优点是可以很方便地记录并控制所有的进、出通讯。但也有其弱点,就是这样的防火墙通常只能防范来自外部的攻击,如果破坏来自内部则无能为力。
三、需考虑的策略和关注的性能因素
除了考虑应用不同的网关技术以外,在中小型企业防火墙的选择和设置时还应考虑以下因素和策略:
1、安全策略。就防火墙来说,它只是一个单独的产品,要想靠一个防火墙来实现网络的安全是不现实的。实现网络的安全,整体上要有一个安全策略的问题,一个安全的防火墙配置一套不安全的策略也是没有效果的。安全的策略包括网络中的其他安全设施,包括这些安全设施如何同防火墙协同工作等等。
2、防火墙的稳定性。只有性能稳定,才可能真正实现防火墙的应有功能,所以产品最好通过专业人士或测评机构的认可。
3、防火墙的整体性能。防火墙不仅能更好的保护防火墙后面的内部网络安全,而且应该具有更优良的整体性能。速度不一定越快越好,像一些小的局域网出口速率不到1M/s,即使考虑到以后扩展的可能,如选用100M/s的防火墙就是多余的,所以设置方案要经济可行。
4、对不同接入方式的适应性。适应性小了,局限性就大了。
5、配置的方便性。选择防火墙时,一定要看它的配置是否容易掌握。否则,复杂的配置对网络管理员将是一个极大的考验。
6、可扩展性和可升级性。要留有足够的拓展空间才能适应将来迅速发展和变化的安全要求,要支持新的服务的加入。
7、有用的日志。防火墙日志对网络管理员来说至关重要。防火墙日志应具有可读性,而且防火墙应有精简日志的能力。
8、扫毒功能。
四、防火墙的具体安全配置
中小型企业局域网上不同的服务往往有各自不同的特点。有些服务是必须对外开放的,而有些服务是可以不提供的。对于各种不同的服务,防火墙的配置方式也是不同的。
1、电子邮件
电子邮件是一种广泛的Internet服务,正是它常常给广大用户带来麻烦。其中惹祸的根源往往是Sendmail程序和SMTP协议。对此,应在防火墙上安装Smap和Smapd这两个应用程序来限制Sendmail的权限,放弃SMTP一些次要的功能,并尽可能地减少处理命令,来获得更好的安全性。
2、Telnet服务
Telnet服务可以用来访问BBS站点和执行远程调用。不过它有个最大的安全问题:访问服务器的时候,口令的验证大都是采用明文验证。这样用户名和口令在传输时很容易被监听。但是管理员在配置时对于出站和入站是有不同的态度的。通常,它希望内部的用户可以访问出站的Telnet服务,另外,它不想让入站的Telnet访问它的站点,所以要严格控制入站服务。
3、WWW服务
WWW服务虽然功能强大,对另一方面隐患也是很多。
1)、HTTP协议。HTTP协议中的一个漏洞就是允许远程用户对远程服务器请求通信及远程执行命令,这会危及Web服务器和用户。另一个问题就是服务器日志。通常Web服务器会记录下各种用户的请求和数据信息,而HTTP对这些信息的检索不设限制导致安全问题。这可以通过设置代理服务器或者设置加密通信来解决。
2)、Java Applet和Java Script。由于Java Applet是在客户端执行,所以机器对它带来的各种风险也照单全收。它本身存在一些特殊的安全漏洞,即任意执行机器指令的能力、易受到拒绝服务的攻击和可以与任意的主机建立连接。虽然Java的实现中的大部分Bug已经修复,但事实上仍然还存在潜在的、严重的安全漏洞。让一般的管理员发现这样的漏洞比较困难,但是及时为系统打上补丁还是可以做到的。当然也可以把此功能禁止掉,对于中小型网络,没有此功能不会有太大的影响。
3)、Cookie。Cookie只是浏览器动作的一小段影像,并不会窃取有关你的计算机系统的信息。它们只能在某种程度上存储你提供的信息,所以不必对此惊慌,既可以方便地在防火墙中设置是否存储Cookie,也可以手工删除它们。
4、FTP服务
FTP的安全性其实像Telnet一样,很大程度上要依靠于身份认证的是否强大,这里主要说匿名FTP的安全问题。首先,匿名用户不应该有任何的特殊的权限。其次,不要在~ftp/bin,~ftp/usr/bin,~ftp/sbin或类似的目录下存放任何系统命令。另外确保FTP的根目录的访问权限被设为555(read nowrite execute),文件所有者被设置成Root而不是FTP,并确保在FTP的根目录下的Password不是/etc/password的完全拷贝。
主要参考文献
1、高传善、钱松荣、毛迪林著 《数据通讯与计算机网络》北京 高等教育出版社2001、7
2、诺亚,从防火墙说起,防火墙的安全配置, 中国电脑教育报 2003、1、20 ,A48
3、徐洪涛,防火墙选购,中国电脑教育报,2003、1、20,A50
4、戴英侠、连一峰、王航著《系统安全与入侵检测》清华大学出版社2002、3
5、李馥娟、王达著《中小型企业组网用网标准教程》 人民邮电出版社2002、8
关键词:企业;防火墙;选择;配置
一、引言
中小型企业用户在选择和配置自己的防火墙产品时,要根据自己网络的特点针对性地考虑配置方案,既要安全可靠,又要简单易用,经济可行。
众所周知,防火墙是一种隔离控制技术,在企业的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止信息从企业的网络上被非法输出。所以,防火墙是一道门槛,可以控制进、出两个方向的通信。防火墙由一台或多台机器组成,它用一组软件将外部网络与内部网络隔开。
下面分别从几个不同的方面来分析基于中小型企业的防火墙选择与配置策略。
二、防火墙网关的基本类型
中小型企业的网络一般不是很大,如果要选择适合自己网络的防火墙,首先看看在中小型企业的防火墙设计中,有哪些类型的武器可以来对抗对网络的攻击。数据包过滤器是最廉价但却很实用的防火墙网关。它只使用一个路由器连接到互联网上,无需另外的费用。其工作方式通过基于数据包的源地址、目的地址或TCP端口来进行投递的。一般不保持前后连接信息,过滤的决定也是根据当前数据包的内容来定。
应用级网关是建立在网络应用层上的协议过滤,在防火墙技术中代表了相反的方面。它不像包过滤那样拦截所有的信息,而是针对每一个特定的应用都有一个程序,即在网络的应用层实现防火墙的功能。其优点是可以很方便地记录并控制所有的进、出通讯。但也有其弱点,就是这样的防火墙通常只能防范来自外部的攻击,如果破坏来自内部则无能为力。
三、需考虑的策略和关注的性能因素
除了考虑应用不同的网关技术以外,在中小型企业防火墙的选择和设置时还应考虑以下因素和策略:
1、安全策略。就防火墙来说,它只是一个单独的产品,要想靠一个防火墙来实现网络的安全是不现实的。实现网络的安全,整体上要有一个安全策略的问题,一个安全的防火墙配置一套不安全的策略也是没有效果的。安全的策略包括网络中的其他安全设施,包括这些安全设施如何同防火墙协同工作等等。
2、防火墙的稳定性。只有性能稳定,才可能真正实现防火墙的应有功能,所以产品最好通过专业人士或测评机构的认可。
3、防火墙的整体性能。防火墙不仅能更好的保护防火墙后面的内部网络安全,而且应该具有更优良的整体性能。速度不一定越快越好,像一些小的局域网出口速率不到1M/s,即使考虑到以后扩展的可能,如选用100M/s的防火墙就是多余的,所以设置方案要经济可行。
4、对不同接入方式的适应性。适应性小了,局限性就大了。
5、配置的方便性。选择防火墙时,一定要看它的配置是否容易掌握。否则,复杂的配置对网络管理员将是一个极大的考验。
6、可扩展性和可升级性。要留有足够的拓展空间才能适应将来迅速发展和变化的安全要求,要支持新的服务的加入。
7、有用的日志。防火墙日志对网络管理员来说至关重要。防火墙日志应具有可读性,而且防火墙应有精简日志的能力。
8、扫毒功能。
四、防火墙的具体安全配置
中小型企业局域网上不同的服务往往有各自不同的特点。有些服务是必须对外开放的,而有些服务是可以不提供的。对于各种不同的服务,防火墙的配置方式也是不同的。
1、电子邮件
电子邮件是一种广泛的Internet服务,正是它常常给广大用户带来麻烦。其中惹祸的根源往往是Sendmail程序和SMTP协议。对此,应在防火墙上安装Smap和Smapd这两个应用程序来限制Sendmail的权限,放弃SMTP一些次要的功能,并尽可能地减少处理命令,来获得更好的安全性。
2、Telnet服务
Telnet服务可以用来访问BBS站点和执行远程调用。不过它有个最大的安全问题:访问服务器的时候,口令的验证大都是采用明文验证。这样用户名和口令在传输时很容易被监听。但是管理员在配置时对于出站和入站是有不同的态度的。通常,它希望内部的用户可以访问出站的Telnet服务,另外,它不想让入站的Telnet访问它的站点,所以要严格控制入站服务。
3、WWW服务
WWW服务虽然功能强大,对另一方面隐患也是很多。
1)、HTTP协议。HTTP协议中的一个漏洞就是允许远程用户对远程服务器请求通信及远程执行命令,这会危及Web服务器和用户。另一个问题就是服务器日志。通常Web服务器会记录下各种用户的请求和数据信息,而HTTP对这些信息的检索不设限制导致安全问题。这可以通过设置代理服务器或者设置加密通信来解决。
2)、Java Applet和Java Script。由于Java Applet是在客户端执行,所以机器对它带来的各种风险也照单全收。它本身存在一些特殊的安全漏洞,即任意执行机器指令的能力、易受到拒绝服务的攻击和可以与任意的主机建立连接。虽然Java的实现中的大部分Bug已经修复,但事实上仍然还存在潜在的、严重的安全漏洞。让一般的管理员发现这样的漏洞比较困难,但是及时为系统打上补丁还是可以做到的。当然也可以把此功能禁止掉,对于中小型网络,没有此功能不会有太大的影响。
3)、Cookie。Cookie只是浏览器动作的一小段影像,并不会窃取有关你的计算机系统的信息。它们只能在某种程度上存储你提供的信息,所以不必对此惊慌,既可以方便地在防火墙中设置是否存储Cookie,也可以手工删除它们。
4、FTP服务
FTP的安全性其实像Telnet一样,很大程度上要依靠于身份认证的是否强大,这里主要说匿名FTP的安全问题。首先,匿名用户不应该有任何的特殊的权限。其次,不要在~ftp/bin,~ftp/usr/bin,~ftp/sbin或类似的目录下存放任何系统命令。另外确保FTP的根目录的访问权限被设为555(read nowrite execute),文件所有者被设置成Root而不是FTP,并确保在FTP的根目录下的Password不是/etc/password的完全拷贝。
主要参考文献
1、高传善、钱松荣、毛迪林著 《数据通讯与计算机网络》北京 高等教育出版社2001、7
2、诺亚,从防火墙说起,防火墙的安全配置, 中国电脑教育报 2003、1、20 ,A48
3、徐洪涛,防火墙选购,中国电脑教育报,2003、1、20,A50
4、戴英侠、连一峰、王航著《系统安全与入侵检测》清华大学出版社2002、3
5、李馥娟、王达著《中小型企业组网用网标准教程》 人民邮电出版社2002、8