(1) 所有從內(nèi)到外和從外到內(nèi)的通信最都必須經(jīng)過(guò)防火墻,這是通過(guò)物理上阻塞所有不經(jīng)過(guò)防火墻的局城網(wǎng)訪問(wèn)來(lái)實(shí)現(xiàn)。不同的配置是可能的。(2) 只有被認(rèn)可的通信量通過(guò)本地安全策略進(jìn)行定義后才允許傳遞。使用不同類型的防火墻實(shí)現(xiàn)不同的安全策略。(3) 防火墻對(duì)于滲透是免疫的,在
Internet 防火墻時(shí),網(wǎng)絡(luò)管理員必須做出幾個(gè)決定:防火墻的姿態(tài)(Stance),機(jī)構(gòu)的整體安全策略、防火墻的經(jīng)濟(jì)費(fèi)用、防火墻系統(tǒng)的組件或構(gòu)件。
這種姿態(tài)假定防火墻應(yīng)該阻塞所有的信息,而每一種所期望的服務(wù)或應(yīng)用都是實(shí)現(xiàn)在case-by-cas的基礎(chǔ)上,這是一個(gè)受推薦的方案。其建立的是一個(gè)非常安全的環(huán)境,因?yàn)橹挥袑徤鬟x擇的服務(wù)才被支持。當(dāng)然這種方案也有缺點(diǎn),即不易使用,因?yàn)槠湎拗屏颂峁┙o用戶的選擇范圈。
這種姿態(tài)假定防火墻應(yīng)該轉(zhuǎn)發(fā)所有的信息,任何可能存在危害的服務(wù)都應(yīng)在case-by-ca的基礎(chǔ)上關(guān)掉。這種方案建立的是一個(gè)非常靈活的環(huán)境,能提供給用戶更多的服務(wù)。缺點(diǎn)是由于將易使用這個(gè)特點(diǎn)放在了安全性的前面,網(wǎng)絡(luò)管理員處于不斷地響應(yīng)當(dāng)中,因此隨著網(wǎng)絡(luò)規(guī)模的增大,很難保證網(wǎng)絡(luò)的安全。
二、機(jī)構(gòu)的安全策略
(1) Internet 防火墻并不是獨(dú)立的,它只是機(jī)構(gòu)總體安全策略的一部分。機(jī)構(gòu)總體安全策略定義了安全防御的方方面面。為確保成功,機(jī)構(gòu)必須知道其保護(hù)的對(duì)象。
(2) 安全策略必須建立在精心進(jìn)行的安全分析、風(fēng)險(xiǎn)評(píng)估以及商業(yè)需求分析基礎(chǔ)之上。如果機(jī)構(gòu)沒(méi)有詳盡的安全策略,無(wú)論如何精心構(gòu)建的防火墻都會(huì)被繞過(guò)去,從而整個(gè)內(nèi)部網(wǎng)絡(luò)都暴露在攻擊面下。
(3) 機(jī)構(gòu)能夠負(fù)擔(dān)起什么樣的防火墻?
簡(jiǎn)單的包過(guò)慮防火墻的費(fèi)用最低,因?yàn)闄C(jī)構(gòu)至少需要一個(gè)路由器才能連接Internet,并且包過(guò)濾功能包括在標(biāo)準(zhǔn)的路由器配置中。商業(yè)的防火墻系統(tǒng)提供了附加的安全功能,而費(fèi)用在4 000--30 000美元之間,具體價(jià)格取決于系統(tǒng)的復(fù)雜性和要保護(hù)的系統(tǒng)的數(shù)量。如果一個(gè)機(jī)構(gòu)有自已的專頁(yè)人員,也可以構(gòu)建自己的防火墻系統(tǒng),但是仍有開(kāi)發(fā)時(shí)間和部署防火墻系統(tǒng)等的費(fèi)用問(wèn)題。防火墻系統(tǒng)需要管理,一般性的維護(hù)、軟件升級(jí)、安全上的補(bǔ)漏、事故處理等都要產(chǎn)生費(fèi)用。
三、Internet防火墻與安全策略的關(guān)系
(1) Internet防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,它還是安全策略的一個(gè)部分。(2)安全策略建立了全方位的防御體系來(lái)包含幾個(gè)的信息資源。這種安全策略應(yīng)包括在出版的安全指南中,告訴用戶其應(yīng)有的責(zé)任,機(jī)構(gòu)規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶認(rèn)證、撥人和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施,以及雇員培訓(xùn)等所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。(3)僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略.則防火墻就形同虛設(shè).
四、防火墻的測(cè)試驗(yàn)證
防火墻能否起到防護(hù)作用。最根本、最有效的證明方法是對(duì)其進(jìn)行測(cè)試,甚至站在“黑客”的角度采用各種手段對(duì)防火墻進(jìn)行攻擊。然而具體執(zhí)行時(shí)難度較大。(I)防火墻性能測(cè)試目前還是一種很新的技術(shù),尚無(wú)正式出版刊物,可用的工具和軟件更是寥寥無(wú)幾。據(jù)了解,目前只有美國(guó)ISS公司提供有防火墻性能測(cè)試的工具軟件。(2)防火墻測(cè)試技術(shù)尚不先進(jìn),與防火墻設(shè)計(jì)并非完全吻合,使得測(cè)試工作難以達(dá)到既定的效果。(3)選擇“誰(shuí)”進(jìn)行公正的測(cè)試也是一個(gè)問(wèn)題。可見(jiàn),防火墻的性能測(cè)試絕不是一件簡(jiǎn)單的事情,但這種測(cè)試又相當(dāng)必要,因?yàn)椴贿M(jìn)行測(cè)試.就不能證明防火墻的安全.
五、防火墻必須進(jìn)行動(dòng)態(tài)維護(hù)
防火墻安裝和投人使用后,要想充分發(fā)揮它的安全防護(hù)作用,必須對(duì)它進(jìn)行跟蹤和維護(hù),要與商家保持密切的聯(lián)系.時(shí)刻注視商家的動(dòng)態(tài)。因?yàn)樯碳乙坏┌l(fā)現(xiàn)其產(chǎn)品存在安全漏洞,就會(huì)盡快發(fā)布補(bǔ)救(Patch〕產(chǎn)品,此時(shí)應(yīng)盡快確認(rèn)真?zhèn)危?duì)防火墻軟件進(jìn)行更新.
六、正確評(píng)估防火墻的失效狀態(tài)
評(píng)價(jià)防火墻性能如何,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問(wèn)的蛛絲馬跡.而且要看到一旦防火墻被攻破,它的狀態(tài)如何。按級(jí)別來(lái)分,它應(yīng)有以下4種狀態(tài)。1、未受傷害能夠繼續(xù)正常工作 ,2、關(guān)閉并重新啟動(dòng),同時(shí)恢復(fù)到正常工作狀態(tài),3、關(guān)閉并禁止所有的數(shù)據(jù)通行,4、關(guān)閉并允許所有的數(shù)據(jù)通行。前兩種狀態(tài)比較理想,而第四種最不安全。但是許多防火墻由于沒(méi)有條件進(jìn)行失效狀態(tài)測(cè)試和驗(yàn)證.無(wú)法確定其失效狀態(tài)等級(jí),因此網(wǎng)絡(luò)必然存在安全隱患。
