防火墙概念与访问控制列表
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙概念与访问控制列表
首先为什么要研究安全?
什么是“计算机安全”?广义地讲,安全是指防止其他人利用、借助你的计算机或外围设备,做你不希望他们做的任何事情。首要问题是:“我们力图保护的是些什么资源?”答案并不是明确的.通常,对这个问题的答案是采取必要的主机专用措施。图1描述了目前的网络现状。
图1
许多人都抱怨Windows漏洞太多,有的人甚至为这一个又一个的漏洞烦恼。为此,本文简要的向您介绍怎样才能架起网络安全防线。
禁用没用的服务
Windows提供了许许多多的服务,其实有许多我们是根本也用不上的。或许你还不知道,有些服务正为居心叵测的人开启后门。
Windows还有许多服务,在此不做过多地介绍。大家可以根据自己实际情况禁止某些服务。禁用不必要的服务,除了可以减少安全隐患,还可以增加Windows 运行速度,何乐而不为呢?
打补丁
Microsoft公司时不时就会在网上免费提供一些补丁,有时间可以去打打补丁。除了可以增强兼容性外,更重要的是堵上已发现的安全漏洞。建议有能力的朋友可以根据自己的实际情况根据情况打适合自己补丁。
防火墙
选择一款彻底隔离病毒的办法,物理隔离Fortigate能够预防十多种黑客攻击:
分布式服务拒绝攻击DDOS(DistributedDenial-Of-Serviceattacks)※SYNAttack
※ICMPFlood
※UDPFlood
IP碎片攻击(IPFragmentationattacks)
※PingofDeathattack
※TearDropattack
※Landattack
端口扫描攻击(PortScanAttacks)
IP源路由攻击(IPSourceAttacks)
IPSpoofingAttacks
AddressSweepAttacks
WinNukeAttacks
您可以配置Fortigate在受到攻击时发送警告邮件给管理员,最多可以指定3个邮件接受人。
防火墙的根本手段是隔离,安装防火墙后必须对其进行必要的设置和时刻日志跟踪。这样才能发挥其最大的威力。
而我们这里主要讲述防火墙概念以及与访问控制列表的联系。这里我综合了网上有关防火墙,访问控制表的定义。
防火墙概念
防火墙包含着一对矛盾(或称机制):
一方面它限制数据流通,另一方面它又允许数据流通。
由于网络的管理机制及安全策略(securitypolicy)不同,因此这对矛盾呈现出不同的表现形式。
存在两种极端的情形:
第一种是除了非允许不可的都被禁止,第二种是除了非禁止不可都被允许。
第一种的特点是安全但不好用,第二种是好用但不安全,而多数防火墙都在两者之间采取折衷。
在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点。
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中
主机的风险。例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户
防火墙的功能
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄:
隐私是内部网络非常关心的问题.通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。