当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之:防火墙技术(4)

安全基础
网络协议分析软件的编写
一个SYN攻击的源程序
彻底清查带毒的Cookie
解析cookie欺骗实现过程及具体应用
从芯认识 浅谈宽带路由器处理芯片
搜索引擎也另类 想搜啥就搜啥
命令提示符恢复本地安全策略小技巧
根据PID查杀木马病毒的适用小方法
网络管理员日志之硬件修理篇
著名黑客Kevin Mitnick谈网络安全
Windows XP 常见的进程列表
网络攻击概览
爱机中毒自救六招
引起网络广播风暴的几种原因
黑客入侵36计
局域网测试及故障排除经验谈
不可忽视的BIOS参数设置
微软IE浏览器非常规修改全攻略(上)
微软IE浏览器非常规修改全攻略(下)
网管十招

安全基础 中的 网络安全讲座之:防火墙技术(4)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 78 ::
收藏到网摘: n/a

防火墙默认的配置

  默认情况下,防火墙可以配置成以下两种情况:

  ·拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

  ·允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。

  可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。

  防火墙的一些高级特性

  今天多数的防火墙系统组合包过滤,电路级网关和应用级网关的功能。它们检查单独的数据包或整个信息包,然后利用事先订制的规则来强制安全策略。只有那些可接受的数据包才能进出整个网络。当你实施一个防火墙策略时,这三种防火墙类型可能都需要。更高级的防火墙提供额外的功能可以增强你的网络的安全性。尽管不是必需,每个防火墙都应该实施日志记录,哪怕是一些最基本的。

  认 证

  防火墙是一个合理的放置提供认证方法来避开特定的IP包。你可以要求一个防火墙令牌(firewall token),或反向查询一个IP地址。反向查询可以检查用户是否真正地来自它所报告的源位置。这种技术有效地反击IP欺骗的攻击。防火墙还允许终端用户认证。应用级网关或代理服务器可以工作在TCP/IP四层的每一层上。多数的代理服务器提供完整的用户帐号数据库。结合使用这些用户帐号数据库和代理服务器自定义的选项来进行认证。代理服务器还可以利用这些帐号数据库来提供更详细的日志。

  日志和警报

  包过滤或筛选路由器一般在默认情况下为了不降低性能是不进行日志记录的。永远不要认为你的防火墙会自动地对所有活动创建日志。筛选路由器只能记录一些最基本的信息,而电路级网关也只能记录相同的信息但除此之外还包括任何NAT解释信息。因为你要在防火墙上创建一个阻塞点,潜在的黑客必须要先穿过它。如果你放置全面记录日志的设备并在防火墙本身实现这种技术,那么你有可能捕获到所有用户的活动包括那些黑客。你可以确切地知道黑客在做些什么并得到这些活动信息代审计。一些防火墙允许你预先配置对不期望的活动做何响应。防火墙两种最普通的活动是中断TCP/IP连接或自动发出警告。相关的警报机制包括可见的和可听到的警告。