防火墙安全策略设置/防火墙:一道安全的大门_手把手教白帽子笔记
摘 要: 本文主要介绍了防火墙的作用、特性,以及弱点,并提出了解决策略。
关键词: 防火墙 作用 特性 弱点 解决策略
一、防火墙的作用
网络这个虚拟世界已经变得越来越精彩庞大,网络的迅速发展,使我们的学习,工作和生活产生了巨大的改变。我们通过网络获得需要的信息,共享各类资源。如今,遍布世界的每一寸土地和天空,并且迎接任何一个感兴趣的人加入其中,相互沟通,相互交流。随着网络的扩展,安全问题也越来越受到人们的关注。在网络日益多样化、复杂化的今天,如何保护不同的网络和网络应用的安全,如何使信息更加安全,成为了各国政府、公司,以及个人用户探讨的重点。
接触过网络的人都听说或接触过网络中全力闯入他人计算机系统的人即黑客,黑客们利用各种系统和网络的漏洞,非法获得未授权的访问信息。如今攻击网络系统和窃取信息已经不需要像过去掌握什么高深的技巧或低级汇编语言,网络中有大量现成的攻击文章和攻击工具等资源,可以随意地下载使用和共享。不需要清楚那些攻击程序是如何在计算机中运行的,只需要简单地下载运行就可以给网络造成极大的威胁。甚至有些程序不需要经人为的参与,就可以智能化扫描和破坏目标网络。这种情况使得近几年网上的攻击密度和攻击强度显著增长,给网络安全带来越来越多的隐患。
我们可以通过具体的网络策略,设备和工具来保护我们认为不太安全的网络。其中防火墙是运用最为广泛和迄今效果最好的选择。它可以防御网络中大多数威胁,并且作出及时的响应,将那些危险的攻击和连接行为隔绝在系统之外,从而降低网络的整体风险。
二、防火墙的特性
防火墙就像一道安全门一样,其基本功能是对网络通信进行必要的筛选屏蔽以防未授权的或不安全的访问进出计算机网络,简单地概括就是,对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络()和不可信任网络()之间。
防火墙一般有以下三个特性:
1.所有的通信都必须经过防火墙;
2.防火墙只放行通过经授权的网络流量;
3.防火墙能经受得住对防火墙本体的攻击。
我们可以看成防火墙是在可信任网络和不可信任网络之间的一个隔绝缓冲,防火墙可以是一台有访问控制策略的路由器(Route+ACL),及一台多个网络接口的计算机,服务器等,被配置成保护特定网络,使其免受来自于非受信网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络边界,例如保护企业网络的防火墙,一般部署在内网到外网的核心区域上。
如果没有防火墙,好多人得出经验结论:系统安全性的平均值将是网络被攻破的那个安全基准。可是经验并不一定是对的,真实的情况更是糟糕:整个网络的安全性将被网络中最脆弱的短板所制约,即著名的木桶理论。没有人可以保证网络中每个节点每个服务都永远保持在最佳状态。网络越复杂,把网络中所有主机维护至同等高的安全水平就越困难,将会耗费大量的时间和精力。整个的安全响应速度变得不可忍受,最终可能导致整个安全框架的崩溃。
广大用户要求,防火墙必须负责保护以下三个方面的风险:
1.机密性;
2.数据完整性;
3.可用性。
三、防火墙的弱点
在防火墙的应用中我们发现了它还有如下弱点。
1.防御不了已经授权的访问和网络内部系统间的攻击;
2.防御不了合法用户恶意的攻击,以及非程序预期的威胁;
3.修复不了本身不安全的管理措施和已存有问题的安全策略;
4.防御不了绕过防火墙的攻击和威胁。
综上所述,我们首先必须面对一个事实,绝对的安全是没有的。我们所能做的是提高用户系统的安全系数,延长安全的稳定周期,缩短消除威胁的反应时间。
四、解决策略
在多种强大的防火墙里,我们选择业界内口碑一流的防火墙的(Web智能技术)和(状态检测技术)来简单介绍一下对于防火墙的Web安全保护和智能防御。
简单来说,状态检测技术工作在OSI参考模型的与层之间,数据包在操作系统内核中,在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表,检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是发明的专利技术。对状态和上下文信息的收集使得防火墙不仅能跟踪TCP会话,而且能智能处理无连接协议,如UDP或RPC。这样就保证了在任何来自服务器的数据被接受前,必须有内部网络的某一台客户端发出了请求,而且如果没有受到响应,端口也不会处于开放的状态。状态检测对流量的控制效率是很高的,同时对于防火墙的负载和网络数据流增加的延迟也是非常小,可以保证整个防火墙快速,有效地控制数据的进出和作出控制决策。
在Web环境中,威胁来自于多个方面,从端点到传输到边界,最后到达Web服务器和后台数据库。这一系列的数据交换将会引发大量的安全问题。传统的防火墙的功能对于Web的保护相当有限。比如,无法深入检测HTTP的内容,不能理解Web应用的上下文,性能低下,无法提前部署与防御,等等。的,有一种名为or(可疑代码防护器)来提供对应用层的保护。比如,Web会话是否符合RFC的标准不能包含二进制数据,协议使用是否为预期或典型的,应用是否引入了有害的数据或命令,应用是否执行了未授权的操作或引入了有害的可执行代码,等等。如何判断上述的一些威胁呢?MCP使用了通过分拆及分析嵌入在网络传输中的可执行代码,模拟行来判断攻击,将可执行代码放置到一个虚拟的仿真服务器中运行,检测是否对虚拟系统造成威胁,最终来决定是否定义为攻击行为。该技术最大的优势是可以非常精确地阻止已知和未知攻击,并且误报率相当低。
通过多种技术的协同防护,可以保证在网络边界对访问进行控制。但是,随着VPN网络和远程移动办公用户的接入增多,网络边界的概念在如今已经非常模糊了。显然,网络的边界已经拓展到观点广大用户的桌面端。所以从文章一开始我们就说到的,网络安全是需要具体的策略和综合的部署来做保证的。结论就是:真正的安全=整体集成安全解决方案+及时更新。
~
网络安全学习,我们一起交流
~
扫一扫
17万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
