ITPub博客

首页 > IT基础架构 > 网络安全 > 信息安全之防火墙评测:评测(转)

信息安全之防火墙评测:评测(转)

原创 网络安全 作者:RegisterForBlog 时间:2007-09-19 19:15:44 0 删除 编辑
信息安全之防火墙评测:评测(转)[@more@]

  对于很多用户来说,安装和使用防火墙已经是摆到桌面上的问题了。但我们发现,多数用户对防火墙仍缺乏必要的了解。而相关的文章和专题或者过于学术化,与实际应用有一定距离,或者仅仅是围绕厂商的宣传材料,对用户缺乏指导意义。这些正是我们这次希望解决的问题,我们力求从用户的需求出发,提出和解决问题。经过对一些典型用户调查分析,我们提炼出用户的主要典型环境和典型需求,在《微电脑世界》评测实验室中创造出了一个有代表性的用户“典型平安软件公司”,通过介绍典型平安软件公司使用防火墙实施安全策略的过程,来帮助广大用户理解防火墙产品,用好防火墙产品。

  下面我们看看典型平安软件公司是如何来制定安全策略的。

  典型平安软件公司包括开发部、市场部、销售部、技术支持部和办公室,总体规模约为100人。典型平安软件公司使用了多种操作系统,包括Windows 2000 Professional、Windows 98和最新的Windows XP。通过DDN专线接入Internet,分配有一个真实IP。典型平安软件公司以往是通过简单的NAT系统实现Internet访问的,公司现决定安装代理/防火墙系统,满足如下三方面的需要。

  1. 禁止外部网络对公司内部网络的非法访问,保护公司信息安全

  具体包括:能够有效防止现有的各种网络攻击;对于系统新发现的安全问题,能够进行及时升级; 根据公司安全策略的变化,能够方便地对其进行调整和实施。

  2. 满足公司员工因公访问Internet的需要

  能够对Web访问进行缓存以节省网络带宽资源,能够支持所需各种协议的Internet访问。

  3.对员工访问Internet进行控制和审计

  控制部分:不允许员工通过防火墙对外部网络进行攻击; 不允许员工访问Internet上的色情及反动站点; 根据工作需要,员工可在特定时段访问特定服务。

  审计部分:公司领导及网络管理人员可定期察看每个员工、每个部门的Internet访问纪录及流量统计,对于员工通过Internet窃取公司机密信息或其他的非法行为,能够进行查证。

  对此,经过调查研究后,公司的安全策略设定如下。

  全体员工可在工作时间以Web方式访问Internet,对所有的访问都进行审计。除邮件服务器外,任何员工不得用任何机器提供Internet服务。特权小组可以不受限制地进行Internet访问,所有的访问都需进行审计。

  由于产品开发的需要,开发部可以访问公司的Internet网站机器的22和180端口,全体员工不得以除Web外的任何形式访问Internet,各部门经理访问Internet不受时间限制。

  我们不难看出,各规则之间似乎有很多自相矛盾的地方,事实上,因为安全策略是自上而下逐条匹配的,一旦对于某条规则匹配了,则不需要继续向下匹配,因此,每一条规则都有隐含的前提条件,即所有前面规则已规定的情况例外。也正因为如此,我们需要把允许的规则放在前面,而把拒绝的规则放在后面,从而保证被允许的各种连接顺利通过。多数防火墙都把一条默认的策略放在最后,即拒绝任何访问,这样可以保证不会因为安全策略不严密而产生漏洞。如果用户不能确定防火墙产品是否提供了这条默认规则,也不妨本着安全第一的原则自行增加,调整后的安全策略如下。

  特权小组可以不受限制地进行Internet访问,对所有的访问都进行审计; 各部门经理访问Internet不受时间限制,全体员工可在工作时间以Web方式访问Internet,对所有的访问都需进行审计; 由于产品开发的需要,开发部可以访问公司的Internet网站机器的22和180端口,除邮件服务器外,任何员工不得用任何机器提供Internet服务; 全体员工不得以除Web外的任何形式访问Internet。

  这些安全策略实际上经过了极大的简化,但是已经能够代表当今企业对于防火墙产品的典型需求,确切地说,这些仅仅是“使用技术手段中的防火墙可以确保实施的安全策略”,从下面的防火墙设置中我们可以看到,每一条规定最终会落实到防火墙的一条或多条设置,作为公司决策层,在制定安全策略时完全可以以“禁止员工进行任何与工作无关的网络访问”,而该规则的具体实施,则可以通过防火墙折衷,或者进行分级权限设置,允许部门主管察看下级员工的访问纪录,需要指出的是,过于严格的审计可能会侵犯员工隐私权,故而企业在制定安全策略时还需要参照国家有关法律规定。

  可以说,防火墙的作用就是作为一种技术手段,辅助企业安全策略的实施。我们在《微电脑世界》评测实验室中搭建了典型平安软件公司的网络环境,分别使用3款产品进行了实验,来实施典型平安软件公司的安全策略,在使用过程中考察3款产品满足上述应用的能力以及产品功能配置和使用方便性,我们对产品的考察结果见3款产品的点评中。

  

  我们是在这样的网络环境中进行相关测试的:防火墙平台为联想万全2450机架式服务器,配置2块Intel Pro100+ Management网卡,Intel Pentium Ⅲ 850 CPU,512MB SDRAM,硬盘存储系统为2块10000r/min 18GB SCSI硬盘组成RAID 0,系统安装了Windows 2000 Advanced Server+SP2和Turbo Linux Server 6.5。内网中安装了Windows 2000域,包括域控制器、DHCP服务器、DNS服务器。设定域为lab。防火墙的内外网络接口分别连接内外网交换机,外网直接连接Internet。内网中包括30台PC,安装了Windows 2000专业版、Windows XP专业版以及Windows 98第二版。

  

本文来自:http://www.linuxpk.com/30628.html

-->linux电子图书免费下载和技术讨论基地

·上一篇:信息安全之防火墙评测:技术

·下一篇:前沿技术:个人防火墙如何保护PC
 
     最新更新
·注册表备份和恢复

·低级格式化的主要作用

·如何防范恶意网站

·常见文件扩展名和它们的说明

·专家:警惕骇客骗局,严守企业信息

·PGPforWindows介紹基本设定(2)

·解剖安全帐号管理器(SAM)结构

·“恶作剧之王”揭秘

·绿色警戒

·黑客反击战

·网络四大攻击方法及安全现状描述

·可攻击3种浏览器代码流于互联网

·黑客最新的兴趣点,下个目标会是谁?

·“僵尸”——垃圾邮件的主要传播源

·Lebreat蠕虫惊现3变种

·POSTFIX反病毒反垃圾Ų…

·在FreeBSD上用PHP实现在线添加FTP用户

·简单让你在FreeBSDADSL上…

·安全版本:OpenBSD入门技巧解析

·Internet连接共享上网完全攻略

·关于ADSL上网网速常识

·静态缓存和动态缓存的比较

·最友好的SQL注入防御方法

·令网站提速的7大秘方

·网络基础知识大全

·路由基本知识

·端口映射的几种实现方法

·VLAN经典诠释

·问题分析与解决——ADSL错误代码

·问题分析——关于2条E1的线路绑定


关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10763080/viewspace-970176/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论