当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之:防火墙技术(5)

安全基础
威胁同样巨大 基于Telnet协议的攻击
基础知识 XST攻击理论及手法讲解
黑客破解Email账号常用的三种方法
攻防技术:动态IP地址的捕获及其应用
踏雪无痕 浅析黑客避开检测的手段
黑客必学—开启肉鸡终端全攻略
黑客入侵实例 记对Discuz论坛的入侵
浅析无线入侵检测系统 的应用及优缺点
黑客种植木马新方法及防范策略
小规模DDoS(拒绝服务)用Freebsd+IPFW搞定
一次意外的入侵经历-黑冰防火墙溢出攻击
利用“http暗藏通道”大举攻破局域网
黑客如何利用Ms05002溢出找“肉鸡”
看我谋取特权 用漏洞提升计算机控制权限
互联网的巨大威胁 ICMP洪水攻击浅析
实例讲解 黑客入侵论坛各种手段大暴光
入侵技巧 通过“鼠洞”控制你的电脑
黑客攻击揭密-分析选定的网络攻击
打破常规 构造特殊字符进行渗透入侵
安全必知:黑客入侵无线网络常用手段

安全基础 中的 网络安全讲座之:防火墙技术(5)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 59 ::
收藏到网摘: n/a

建立一个防火墙

  在准备和建立一个防火墙设备时要高度重视。以前,堡垒主机这个术语是指所有直接连入公网的设备。现在,它经常汲及到的是防火墙设备。堡垒主机可以是三种防火墙中的任一种类型:包过滤,电路级网关,应用级网关。

  当建设你的堡垒主机时要特别小心。堡垒主机的定义就是可公共访问的设备。当Internet用户企图访问你网络上的资源时,首先进入的机器就是堡垒主机。因为堡垒主机是直接连接到Internet上的,其上面的所有信息都暴露在公网之上。这种高度地暴露规定了硬件和软件的配置。堡垒主机就好像是在军事基地上的警卫一样。警卫必须检查每个人的身份来确定他们是否可以进入基地及可以访问基地中的什么地方。警卫还经常准备好强制阻止进入。同样地,堡垒主机必须检查所有进入的流量并强制执行在安全策略里所指定的规则。它们还必须准备好对付从外部来的攻击和可能来自内部的资源。堡垒主机还有日志记录及警报的特性来阻止攻击。有时检测到一个威胁时也会采取行动。

  设计规则

  当构造防火墙设备时,经常要遵循下面两个主要的概念。第一,保持设计的简单性。第二,要计划好一旦防火墙被渗透应该怎么办。

  保持设计的简单性

  一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。建立你的堡垒主机时要尽可能使用较小的组件,无论硬件还是软件。堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像WEB服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务给潜在的黑客很少的机会穿过防火墙。

  安排事故计划

  如果你已设计好你的防火墙性能,只有通过你的防火墙才能允许公共访问你的网络。当设计防火墙时安全管理员要对防火墙主机崩溃或危及的情况作出计划。如果你仅仅是用一个防火墙设备把内部网络和公网隔离开,那么黑客渗透进你的防火墙后就会对你内部的网络有着完全访问的权限。为了防止这种渗透,要设计几种不同级别的防火墙设备。不要依赖一个单独的防火墙保护惟独的网络。如果你的安全受到损害,那你的安全策略要确定该做些什么。采取一些特殊的步骤,包括

  · 创建同样的软件备份

  · 配置同样的系统并存储到安全的地方

  · 确保所有需要安装到防火墙上的软件都容易,这包括你要有恢复磁盘。

  堡垒主机的类型

  当创建堡垒主机时,要记住它是在防火墙策略中起作用的。识别堡垒主机的任务可以帮助你决定需要什么和如何配置这些设备。下面将讨论三种常见的堡垒主机类型。这些类型不是单独存在的,且多数防火墙都属于这三类中的一种。

  单宿主堡垒主机

  单宿主堡垒主机是有一块网卡的防火墙设备。单宿主堡垒主机通常是用于应用级网关防火墙。外部路由器配置把所有进来的数据发送到堡垒主机上,并且所有内部客户端配置成所有出去的数据都发送到这台堡垒主机上。然后堡垒主机以安全方针作为依据检验这些数据。这种类型的防火墙主要的缺点就是可以重配置路由器使信息直接进入内部网络,而完全绕过堡垒主机。还有,用户可以重新配置他们的机器绕过堡垒主机把信息直接发送到路由器上。