今天,我们生活在信息时代,可以说病毒和黑客也很受欢迎倍说,有悲观今天的网络的确如此,从Internet到企业网络,从个人电脑到移动电话平台对于互联网接入,也没有地方是安全的。每一次网络病毒的攻击,它将使家庭用户,企业用户, 800热线甚至是运营商头痛脑热。但是,一次又一次地经历了艾滋病毒的危机,人们已经开始思考网络的安全。现在成立了一个网络的企业将考虑到购买防火墙,以及越来越多的家庭用户在自己的电脑,即使有宽带接入的防火墙客户端,我相信不久的将来,我们可以看到,手机也将有一个防火墙。
但是,防火墙是不是一个心理安慰共同努力的屏障,只有使用防火墙,以真正的威胁,阻止了大门。对于许多中小企业的配置防火墙往往并不反映企业需求。如果执行防火墙保护设置不结合的需要,企业进行全面的定义严重,再加上安全的防火墙过滤规则可能不安全,允许通过服务和通讯,以便使企业网络的不必要的风险和麻烦。同时可以比喻为防火墙过滤器的数据,如果事先准备的一个合理的过滤规则,可以停止违规行为的数据包,它发挥的作用,过滤。相反,如果规则不正确,将适得其反。
中小型企业应该有一个防火墙的功能:
如何合理不执行的配置防火墙?首先,让我们看看中小型一般应该有一个防火墙的功能:
1 。动态包过滤技术,动态维护所有通信通过防火墙状态(连接) ,基于过滤器的连接;
2 。可以作为部署nat (网络地址转换,网络地址翻译)的位置,利用NAT技术,有限的动态或静态IP地址与IP地址对应的内部,并减轻地址空间短缺的问题;
3 。可以设置一个域之间的信任域和不信任的数据存取策略;
4 。计划规则可以定义,这样,当一个系统可以自动关闭的开幕式和战略;
5 。详细的日志功能,提供防火墙符合规则的信息,信息,管理信息系统,系统故障,信息记录,并支持日志服务器和日志导出;
6 。具有IPSec VPN功能,您可以跨互联网的远程接入安全;
7 。电子邮件通知功能,警报系统的发送邮件通知网络管理员;
8 。侵略性保护不规则的IP , TCP会在或超过阈值的经验的TCP半连接, UDP数据包和ICMP数据包丢弃采取;
9 。网络爪哇的ActiveX , Cookie中, URL关键字,代理过滤器。
这些中小型防火墙应该有一些保护功能,当然,随着技术的发展,中小型防火墙将变得越来越丰富的功能,但没有再次多功能防火墙配置和管理合理的,那么它仅仅是一个IT设置。
如何实施防火墙配置
如何实施防火墙配置呢?我们从以下几个方面进行讨论:
规则
规则看似简单,其实需要经过详细的统计资料能够得到执行。在这个过程中,我们需要了解应用程序的内部和外部公司,以及相应的源地址,目的地址, TCP或UDP端口,以及执行不同的应用程序的基础上的频率响应率的规则位置表进行排序,然后执行配置。原因是防火墙规则是找到该命令的执行,如果使用的规则,首先将能够提高效率的防火墙。此外,它应当进行监测,及时从艾滋病毒部门的病毒警报,防火墙和更新战略,还必须制定一个战略手段。
开幕计划规则
战略通常需要一些特殊的时刻,开幕式和闭幕式,如上午03点00分。对于网络管理员可能会在这个时候睡觉,以确保正常运转的战略,您可以通过计划的规则,使开幕式规则的制定。此外,一些互联网公司,以避免高峰和攻击高峰,往往在夜间或一些应用程序的执行情况清晨,如远程数据库同步,远程信息收集等,满足了这些需要通过网络经理可以起草一份详细的规则,并计划启用自动维护系统的安全。
日志监控
日志监控是一个非常有效的安全管理工具,但许多管理人员往往认为只要登录的信息可以做到的,既要收集,例如,所有或所有的警告和战略匹配或不匹配的流动和使上,这种做法似乎是完美的日志信息,但是我们可以想想,每天的数据包防火墙1万美元或更多,你如何在这些众多的项目分析您需要的信息?虽然有一些软件可以通过分析日志图形或统计数据,但这些往往需要软件开发或二次开发,但并不便宜。因此,只有收集了最关键的是真正有用的日志记录。
一般来说,警报系统是必要的记录信息,但信息的流动应该是一种选择。有时一个问题,以检查新的,我们可以匹配的问题和观测战略。例如:网络蠕虫被发现,该病毒可能是主机系统的UDP端口的攻击,网络管理员已被清除的病毒,但没有其他以监测感染的主机,我们可以添加一个战略港口来检测和记录网络流量。
此外,企业防火墙可以超过阈值的经验,以应对信息,如丢弃,告警,日志,如采取行动,但所有警告或者需要仔细分析的日志和警报系统的支持,以确定价值基础上的经验,如用于工作站和服务器产生了一些是一种完全不同的交谈,所以有时会发现该系统这是一个邮件服务器在港口问题攻击,并很可能是服务器在不断重新发表了一些没有没有回应电子邮件造成。
设备管理
为宗旨的企业防火墙,设备管理,通常可以通过远程Web管理界面,以及互联网接入的网络以外,我平安实现,但它不是安全,因为有可能防火墙的内置Web服务器将攻击对象。建议将远程管理的方式应通过IPSec VPN的实现内部网络地址的港口管理。 |