防火墙技术与网络安全+201337285512615.docVIP

防火墙技术与网络安全  我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。为什么要使用防火墙？很多人都会有这个问题，也有人提出，如果把每个单独的系统配置好，其实也能经受住攻击。遗憾的是很多系统在缺省情况下都是脆弱的。最显著的例子就是Windows系统，我们不得不承认在Windows 2003以前的时代， Windows默认开放了太多不必要的服务和端口，共享信息没有合理配置与审核。如果管理员通过安全部署，包括删除多余的服务和组件，严格执行NTFS权限分配，控制系统映射和共享资源的访问，以及帐户的加固和审核，补丁的修补等。做好了这些，我们也可以非常自信的说，Windows足够安全。也可以抵挡住网络上肆无忌惮的攻击。但是致命的一点是，该服务器系统无法在安全性，可用性和功能上进行权衡和妥协。对于此问题我们的回答是：“防火墙只专注做一件事，在已授权和未授权通信之间做出决断。”如果没有防火墙，粗略的下个结论，就是：整个网络的安全将倚仗该网络中所有系统的安全性的平均值。遗憾的是这并不是一个正确的结论，真实的情况比这更糟：整个网络的安全性将被网络中最脆弱的部分所严格制约。即非常有名的木桶理论也可以应用到网络安全中来。没有人可以保证网络中每个节点每个服务都永远运行在最佳状态。网络越庞大，把网络中所有主机维护至同样高的安全水平就越复杂，将会耗费大量的人力和时间。整体的安全响应速度将不可忍受，最终导致网络安全框架的崩溃。防火墙成为了与不可信任网络进行联络的唯一纽带，我们通过部署防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证提供了依据。总之，防火墙减轻了网络和系统被用于非法和恶意目的的风险。// 请保留本文完整.REISTLIN.Blog.C.对于企业来说，防火墙将保护以下三个主要方面的风险：A．机密性的风险B．数据完整性的风险C．用性的风险我们讨论的防火墙主要是部署在网络的边界（Network Perimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（VPN）的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程VPN客户端的安全。因为远程VPN客户端的安全将直接影响到整个防御体系的安全。防火墙的主要优点如下：A．防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。B．防火墙可以用于限制对某些特殊服务的访问。C．防火墙功能单一，不需要在安全性，可用性和功能上做取舍。D．防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。同样的，防火墙也有许多弱点：A．不能防御已经授权的访问,以及存在于网络内部系统间的攻击.B．不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁.C．不能修复脆弱的管理措施和存在问题的安全策略D．不能防御不经过防火墙的攻击和威胁现代企业对网络依赖主要来自于运行在网络上的各种应用，同样的，网络的范围也覆盖到整个企业的运营区域。我们将分析一个典型的企业网络，从结构，应用，管理，以及安全这几个层次来探讨一下对企业来说，如何去实现真正的网络安全。 在开始之前，我们首先必须面对一个事实，绝对的安全是没有的。我们所能做的，是减少企业所面临的安全风险，延长安全的稳定周期，缩短消除威胁的反映时间。网管与安全人员需要解决的是来自内部和外部的混合威胁，是蓄意或无意的攻击和破坏，是需要提高整体安全防范意识与科学的协调和管理。客观的去分析现今的企业网络，我们不难发现，在经历了普及终端和网络互联的时代后，我们面对的问题还有很多，如客户端的非法操作，对网络的不合法的访问与利用；网络结构的设计缺陷与混杂的部署环境；网络边界与关键应用的区域缺乏必要的防御措施和审记系统等等。下面我们来逐一分析，并提供相应的产品解决方案与安全建议。首先是网络内部，即面向企业内部员工的工作站，我们不能保证用户每一次操作都是正确与安全的，绝大情况下，他们仅知道如何去使用面前的计算机来完成属于自己的本职工作。而对于其他，比如病毒，木马，间谍程序，恶意脚本，往往通过内部网络中某一台工作站的误操作而进入到网络并且迅速的蔓延。如访问非法