防火墙和系统安全防护和优化

防火墙和系统安全防护和优化
（1） 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。
防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。
（2）“系统安全是指在系统生命周期内应用系统安全工程和系统安全管理方法，辨识系统中的隐患，并采取有效的控制措施使其危险性最小，从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。系统安全是人们为解决复杂系统的安全性问题而开发、研究出来的安全理论、方法体系，是系统工程与安全工程结合的完美体现。系统安全的基本原则就是在一个新系统的构思阶段就必须考虑其安全性的问题，制定并执行安全工作规划（系统安全活动），属于事前分析和预先的防护，与传统的事后分析并积累事故经验的思路截然不同。系统安全活动贯穿于生命整个系统生命周期，直到系统报废为止。

防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。

1、Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间，这个Dual-homedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

2、Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。

3、Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

系统安全防护和优化
1）网络安全，对系统在网络安全区域划分、网络访问控制、网络边界恶意代码过滤和攻击检测、网络设备日志审计、网络设备防护、运维安全审计、网络设备和服务器工作状态监控等方面进行网络安全加固
（2）主机安全，对主机的操作系统、中间件、数据库进行安全加固，保障主机安全，确保为用户提供安全可靠的应用服务。
（3）应用安全，从身份鉴别、访问控制、应急广播内容的使用与存储、安全审计、通信完整性与保密性、软件容错以及资源控制等方面进行安全加固，保障系统应用层面的安全。
（4）审计安全，完成系统的日志集中管理、安全风险的监控分析和处理，提高防范安全风险和威胁的能力，保证业务系统能够长期、可靠地运行
（5） 数据安全，保障数据传输过程中的完整性和存储的保密性。
（6） 系统备份恢复，对应用服务器及数据库服务器等重要服务器进行双机热备，对数据进行定期备份。
（7）定期应急演练，根据实际需要，定期进行系统的应急模拟演练。通过演练，检查系统的稳定性，保证紧急情况下的系统可用性。