《网络信息安全技术》课件第11章.pptVIP

7.5.8动态密码认证技术对于无法实施VPN的外出人员要访问公司的内部网络时，要求防火墙必须提供身份认证机制，以确保访问人员的身份合法性。如果选用能提供动态密码认证技术的防火墙，就确保访问者的身份不被假冒。通常具有整合整个动态密码认证技术的防火墙有下列两种方式：（1）防火墙内建动态密码认证服务器；（2）防火墙与其它外部的动态密码认证服务器配合使用。11.6防火墙选择原则设计和选用防火墙首先要明确哪些数据是必须保护的，这些数据被侵入会导致什么样的后果及网络不同区域需要什么等级的安全级别。不管采用原始设计还是使用现成的防火墙产品，对于防火墙的安全标准，首先需根据安全级别确定；其次，设计或选用防火墙必须与网络接口匹配，要防止你所能想到的威胁。防火墙可以是软件或硬件模块，并能集成于网桥、网关和路由器等设备之中。11.6.1防火墙安全策略1.防火墙自身的安全性大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务上，但往往忽略一点，就是防火墙也是网络上的主机设备，也可能存在安全问题。防火墙如果不能确保自身安全，则防火墙的控制功能再强，也不能完全保护内部网络。大部分防火墙都安装在一般的操作系统上，如UNIX、WindowsNT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，大多来自于操作系统本身的原有程序。当防火墙上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的存取规则，进而侵入更多的系统。因此，防火墙自身应当有相当高的安全保护功能。2.考虑特殊的需求企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这是选择防火墙需考虑的因素之一，常见的需求如下：1）IP地址转换进行IP地址转换有两个好处：其一是可以隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，这也是要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部用户使用保留的IP，这对许多IP不足的企业是有益的。2）双重DNS当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换。因为，同样的一个主机在内部的IP与外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。3）虚拟专用网络（VPN）VPN可以在防火墙与防火墙或移动的Client间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。这对总公司与分公司之间或公司与外出的员工之间，需要直接联系又不愿花费大量资金，申请专线或用长途电话拨号连接时，将会非常有用。4）病毒扫描功能大部分防火墙都可以与防病毒防火墙搭配实现病毒扫描功能。有的防火墙则可以直接集成病毒扫描功能，差别只是病毒扫描工作是由防火墙完成，或是由另一台专用的计算机完成。5）特殊控制需求有时候企业会有特别的控制需求，如限制特定使用者才能发送E-mail，FTP只能得到档案，但不能上传档案，限制同时上网人数、使用时间等。11.6.2选择防火墙的原则当我们在规划网络时，不能不考虑整体网络的安全性。而谈到网络安全，就不能忽略防火墙的功能，防火墙产品往往有上千种，如何在其中选择最符合需要的产品，是消费者最关心的事。(1)一个好的防火墙应该是一个整体网络的保护者一个好的防火墙应该以整体网络保护者自居，它所保护的对象应该是全部的Intranet，并不仅是那些通过防火墙的使用者。(2)一个好的防火墙必须能弥补其它操作系统的不足一个好的防火墙必须是建立在操作系统之前而不是在操作系统之后，所以操作系统有些漏洞并不会影响到一个好的防火墙系统所提供的安全性。由于硬件平台的普及以及执行效率的因素，大部分企业经常把对外提供各种服务的服务器分散在许多操作平台上，我们在无法保证所有主机安全的情况下，选择防火墙作为整体安全的保护者。这正说明了操作系统提供B级或是C级的安全并不一定会直接对整体安全造成影响，因为一个好的防火墙必须能弥补操作系统的