防火墙策略设计 定义所需要的防御能力

2008-02-23 07:16:58来源:互联网 阅读 ()

新老客户大回馈,云服务器低至5折

  4月到6月,国外传统上称为“防火墙月”,据说这与“防火墙”的诞生有关。此后,每一种革命意义的防火墙技术都在此期间发布。遵照传统,编辑也收集了国内外论坛中的防火墙专帖,一起分享其中的安全理念与部署技巧。

  定义所需要的防御能力

  防火墙的监视、冗余度以及控制水平是需要进行定义的。通过企业系统策略的设计,IT人员要确定企业可接受的风险水平(偏执到何种程度)。接下来IT人员需要列出一个必须监测什么传输、必须允许什么传输通行,以及应当拒绝什么传输的清单。换句话说,IT人员开始时先列出总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作清单中。

  关注财务问题

  很多专家建议,企业的IT人员只能以模糊的表达方式论述这个问题。但是,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的;从头建立一个高端防火墙可能需要几个月。另外,系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是,使建立的防火墙不需要高额的维护和更新费用。

  体现企业的系统策略

  IT人员需要明白,安装后的防火墙是为了明确地拒绝——除对于连接到网络至关重要的服务之外的所有服务。或者,安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂,防火墙的最终功能可能将是行政上的结果,而非工程上的决策。

  网络设计

  出于实用目的,企业目前关心的是路由器与自身内部网络之间存在的静态传输流路由服务。因此,基于这一事实,在技术上还需要做出几项决策:传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。

  IT人员需要做出的决定是,是否将暴露的简易机放置在外部网络上为Telnet、FTP、News等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及提供的服务水平的降低。
关键词:
【推荐给好友】【关闭】
最新五条评论
查看全部评论
评论总数 0 条
您的评论
用户名: 新注册) 密 码: 匿名:
·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:十一种常见流氓软件完全卸载方法

下一篇:专家教你:别让假冒网站钓走你的钱