防火墻第三章課件

第3章網(wǎng)絡(luò)設(shè)計(jì)3.1網(wǎng)絡(luò)安全3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)3.3安全策略第3章網(wǎng)絡(luò)設(shè)計(jì)3.1網(wǎng)絡(luò)安全13.1.1網(wǎng)絡(luò)安全的定義從狹義的保護(hù)角度來(lái)講，網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不被未授權(quán)的用戶訪問(wèn)，即計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭破壞、更改或泄露，系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。從廣義來(lái)說(shuō)，凡是涉及計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。3.1網(wǎng)絡(luò)安全下一頁(yè)返回3.1.1網(wǎng)絡(luò)安全的定義3.1網(wǎng)絡(luò)安全下一頁(yè)返回23.1.2網(wǎng)絡(luò)安全標(biāo)準(zhǔn)1.OSI安全體系結(jié)構(gòu)的安全技術(shù)標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)化組織（ISO）在它所指定的國(guó)際標(biāo)準(zhǔn)ISO7498-2中描述了OSI（開(kāi)放系統(tǒng)互聯(lián)基本參考模型）安全體系結(jié)構(gòu)的5種安全服務(wù)，各服務(wù)的名稱以及用途如表31所示。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)3.1.2網(wǎng)絡(luò)安全標(biāo)準(zhǔn)3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)32.可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)（TrustedComputerSystemEvaluationCriteria，TCSEC）在美國(guó)，國(guó)家計(jì)算機(jī)安全中心（NCSC）負(fù)責(zé)建立可信計(jì)算機(jī)產(chǎn)品的準(zhǔn)則。NCSC建立了可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)，TCSEC指出了一些安全等級(jí)，被稱為安全級(jí)別，它的范圍從級(jí)別A到級(jí)別D，其中A是最高級(jí)別。高級(jí)別在低級(jí)別的基礎(chǔ)上提供進(jìn)一步的安全保護(hù)。級(jí)別A、B和C還分?jǐn)?shù)字標(biāo)明的子級(jí)別，各級(jí)別的名稱以及描述如表32所示。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)2.可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)（TrustedComputer43.我國(guó)計(jì)算機(jī)安全登記劃分與相關(guān)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)和安全產(chǎn)品的安全性評(píng)估事關(guān)國(guó)家安全和社會(huì)安全，任何國(guó)家不會(huì)輕易相信和接受別的國(guó)家所作的評(píng)估結(jié)果。沒(méi)有一個(gè)國(guó)家會(huì)把事關(guān)本國(guó)安全利益的信息安全產(chǎn)品和系統(tǒng)的安全可信建立在別人的評(píng)估標(biāo)準(zhǔn)、評(píng)估體系和評(píng)估結(jié)果上。為保險(xiǎn)起見(jiàn)，通常要通過(guò)本國(guó)標(biāo)準(zhǔn)的測(cè)試才被認(rèn)為可靠。1989年公安部在充分借鑒國(guó)際標(biāo)準(zhǔn)的前提下，開(kāi)始設(shè)計(jì)和起草法律和標(biāo)準(zhǔn)，并于1999年9月13日由國(guó)家質(zhì)量技術(shù)監(jiān)督局審查通過(guò)并正式批準(zhǔn)發(fā)布，已于2001年1月1日?qǐng)?zhí)行。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)3.我國(guó)計(jì)算機(jī)安全登記劃分與相關(guān)標(biāo)準(zhǔn)3.1網(wǎng)絡(luò)安全下一53.1.3網(wǎng)絡(luò)傳輸過(guò)程中的3種安全機(jī)制隨著TCP/IP協(xié)議群在互聯(lián)網(wǎng)上的廣泛采用，信息技術(shù)與網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展。隨之而來(lái)的是安全風(fēng)險(xiǎn)問(wèn)題的急劇增加。為了保護(hù)國(guó)家公眾信息網(wǎng)以及企業(yè)內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的信息和數(shù)據(jù)的安全，要大力發(fā)展基于信息網(wǎng)絡(luò)的安全技術(shù)。1.信息與網(wǎng)絡(luò)安全技術(shù)的目標(biāo)由于互聯(lián)網(wǎng)的開(kāi)放性、連通性和自由性，用戶在享受各類共有信息資源的同時(shí)，也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險(xiǎn)。信息安全的目標(biāo)就是保護(hù)有可能被侵犯或破壞的機(jī)密信息不受外界非法操作者的控制。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)3.1.3網(wǎng)絡(luò)傳輸過(guò)程中的3種安全機(jī)制3.1網(wǎng)絡(luò)安全62.網(wǎng)絡(luò)安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織（ISO）在開(kāi)放系統(tǒng)互聯(lián)參考模型（OSI/RM）的基礎(chǔ)上，于1989年制定了在OSI環(huán)境下解決網(wǎng)絡(luò)安全的規(guī)則：安全體系結(jié)構(gòu)。它擴(kuò)充了基本參考模型，加入了安全問(wèn)題的各個(gè)方面，為開(kāi)放系統(tǒng)的安全通信提供了一種概念性、功能性以及一致性的途徑。OSI安全體系包含7個(gè)層次：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。在各層次間進(jìn)行的安全機(jī)制有以下幾種。（1）加密機(jī)制、（2）安全認(rèn)證機(jī)制、（3）訪問(wèn)控制策略3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)2.網(wǎng)絡(luò)安全體系結(jié)構(gòu)3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)73.1.4網(wǎng)絡(luò)安全重要性網(wǎng)絡(luò)安全是信息安全領(lǐng)域一個(gè)非常重要的方面，隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)安全的重要性也日漸突出，網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家、國(guó)防以及國(guó)民經(jīng)濟(jì)的重要組成部分。隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國(guó)防等方面的重要信息交換手段，滲透到社會(huì)生活的各個(gè)領(lǐng)域。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強(qiáng)有力的安全策略，對(duì)于保障網(wǎng)絡(luò)信息傳輸?shù)陌踩詫⒆兊檬种匾?.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)3.1.4網(wǎng)絡(luò)安全重要性3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一8目前網(wǎng)絡(luò)上已經(jīng)存在著無(wú)數(shù)的安全威脅與攻擊，對(duì)于它們，也存在著不同的分類方法。這里將網(wǎng)絡(luò)安全威脅分為兩大類：意外威脅和故意威脅?？偟膩?lái)說(shuō)，網(wǎng)絡(luò)安全面臨著多種攻擊和威脅，網(wǎng)絡(luò)安全問(wèn)題必將愈來(lái)愈引起人們的重視，保障網(wǎng)絡(luò)安全顯得特別重要。防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問(wèn)，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙地訪問(wèn)網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)目前網(wǎng)絡(luò)上已經(jīng)存在著無(wú)數(shù)的安全威脅與攻擊，對(duì)于它們，也存在著93.1.5網(wǎng)絡(luò)安全問(wèn)題分類網(wǎng)絡(luò)存在的問(wèn)題主要有3類。一是機(jī)房安全。機(jī)房是網(wǎng)絡(luò)設(shè)備運(yùn)行的關(guān)鍵地方，如果發(fā)生安全問(wèn)題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負(fù)載不均等）等情況。二是病毒的侵入和黑客的攻擊。Internet開(kāi)拓性的發(fā)展使病毒可能成為災(zāi)難。據(jù)美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)（NCSA）最近一項(xiàng)調(diào)查發(fā)現(xiàn)，幾乎100%的美國(guó)大公司都曾在他們的網(wǎng)絡(luò)或計(jì)算機(jī)上經(jīng)歷過(guò)計(jì)算機(jī)病毒的危害。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)3.1.5網(wǎng)絡(luò)安全問(wèn)題分類3.1網(wǎng)絡(luò)安全下一頁(yè)返回上10黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成的威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)中信息的威脅；二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。它們以各種方式有選擇地破壞信息的有效性和完整性，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。三是由于管理不健全而造成的安全漏洞。從廣泛的網(wǎng)絡(luò)安全意義范圍來(lái)看，網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，更是一個(gè)管理問(wèn)題。它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面。網(wǎng)絡(luò)安全技術(shù)只是實(shí)現(xiàn)網(wǎng)絡(luò)安全的工具。因此，要解決網(wǎng)絡(luò)安全問(wèn)題，必須要有綜合的解決方案。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成的威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)中信息的113.1.6網(wǎng)絡(luò)安全工作的發(fā)展及趨勢(shì)縱觀近幾年來(lái)網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)安全工作大致有以下幾個(gè)方面的特征。1.需求日益增加，市場(chǎng)潛力巨大2.國(guó)內(nèi)廠商日益成熟，競(jìng)爭(zhēng)日趨激烈3.專業(yè)安全服務(wù)已經(jīng)逐漸引起重視4.網(wǎng)絡(luò)安全整體方案需求更趨實(shí)用5.國(guó)家重大工程成為網(wǎng)絡(luò)安全市場(chǎng)的巨大推動(dòng)力3.1網(wǎng)絡(luò)安全返回上一頁(yè)3.1.6網(wǎng)絡(luò)安全工作的發(fā)展及趨勢(shì)3.1網(wǎng)絡(luò)安全返回123.2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)把網(wǎng)絡(luò)中各個(gè)站點(diǎn)相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)?。?gòu)成網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有很多種，主要有總線型拓?fù)洹⑿切屯負(fù)?、環(huán)型拓?fù)?、?shù)型拓?fù)浜途W(wǎng)狀型拓?fù)?，這些是構(gòu)建網(wǎng)絡(luò)的基本模塊，混合使用這幾種模塊就能作進(jìn)一步的設(shè)計(jì)。以下分別介紹各種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。1.總線型拓?fù)浣Y(jié)構(gòu)總線型拓?fù)浣Y(jié)構(gòu)是指采用單根傳輸線作為總線，所有工作站都共用一條總線。當(dāng)其中一個(gè)工作站發(fā)送信息時(shí)，該信息將通過(guò)總線傳到每一個(gè)工作站上。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回3.2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返13工作站在接到信息時(shí)，先要分析該信息的目標(biāo)地址與本地地址是否相同，若相同，則接收該信息；若不相同，則拒絕接收?？偩€型拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)是電纜長(zhǎng)度短，布線容易，便于擴(kuò)充；其缺點(diǎn)主要是總線中任一處發(fā)生故障將導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓，且故障診斷困難。圖31顯示了總線型拓?fù)浣Y(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)工作站在接到信息時(shí)，先要分析該信息的目標(biāo)地址與本地地址是否相142.星型拓?fù)浣Y(jié)構(gòu)星型拓?fù)浣Y(jié)構(gòu)是指網(wǎng)絡(luò)中各工作站都直接連接到集線器（HUB）或交換機(jī)上，每個(gè)工作站要傳輸數(shù)據(jù)到其他工作站時(shí)，都需要通過(guò)集線器（HUB）或交換機(jī)進(jìn)行。星型拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)是連接方便，故障診斷容易，若一個(gè)工作站出現(xiàn)故障不會(huì)影響網(wǎng)絡(luò)的運(yùn)行，可靠性較高；缺點(diǎn)是連接電纜較長(zhǎng)，對(duì)集線器（HUB）或交換機(jī)的依賴性較高。圖32顯示了星型拓?fù)浣Y(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)2.星型拓?fù)浣Y(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)153.環(huán)型拓?fù)浣Y(jié)構(gòu)環(huán)型拓?fù)浣Y(jié)構(gòu)是指每一個(gè)工作站都連接在一個(gè)封閉的環(huán)路中。當(dāng)一個(gè)工作站發(fā)出信息時(shí)，該信息會(huì)依次通過(guò)所有的工作站，每個(gè)工作站在接到該信息時(shí)，會(huì)對(duì)該信息的目標(biāo)地址和本地地址進(jìn)行比較，若相同，則接收，然后恢復(fù)信號(hào)的原有強(qiáng)度并繼續(xù)向下發(fā)送；若不同，則不接收，只恢復(fù)信號(hào)的原有強(qiáng)度并繼續(xù)向下發(fā)送，直到再次發(fā)送到起始工作站為止。環(huán)型拓?fù)浣Y(jié)構(gòu)具有信號(hào)強(qiáng)度不變的優(yōu)點(diǎn)，同時(shí)其又具有新增用戶較為困難，網(wǎng)絡(luò)可靠性較差，不易管理的缺點(diǎn)。圖33顯示了環(huán)型拓?fù)浣Y(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)3.環(huán)型拓?fù)浣Y(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)164.樹(shù)型拓?fù)浣Y(jié)構(gòu)樹(shù)型網(wǎng)絡(luò)是星形網(wǎng)絡(luò)的一種變體。像星形網(wǎng)絡(luò)一樣，網(wǎng)絡(luò)節(jié)點(diǎn)都連接到控制網(wǎng)絡(luò)的中央節(jié)點(diǎn)上。但并不是所有的設(shè)備都直接接入中央節(jié)點(diǎn)，絕大多數(shù)節(jié)點(diǎn)是先連接到次級(jí)中央節(jié)點(diǎn)上再連到中央節(jié)點(diǎn)上，其結(jié)構(gòu)如圖34所示。樹(shù)型拓?fù)浣Y(jié)構(gòu)就像一棵“根”朝上的樹(shù)，與總線拓?fù)浣Y(jié)構(gòu)相比，主要區(qū)別在于總線拓?fù)浣Y(jié)構(gòu)中沒(méi)有“根”。這種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)一般采用同軸電纜，用于軍事單位、政府部門等上、下界限相當(dāng)嚴(yán)格和層次分明的部門。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)4.樹(shù)型拓?fù)浣Y(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)175.網(wǎng)狀型拓?fù)浣Y(jié)構(gòu)網(wǎng)狀型網(wǎng)絡(luò)的每一個(gè)節(jié)點(diǎn)都與其他節(jié)點(diǎn)有一條專業(yè)線路相連。網(wǎng)狀型拓?fù)鋸V泛用于廣域網(wǎng)中。由于網(wǎng)狀網(wǎng)絡(luò)結(jié)構(gòu)很復(fù)雜，所以在此只給出圖35所示的抽象結(jié)構(gòu)圖。3.2.2網(wǎng)絡(luò)設(shè)計(jì)方法1.定義建設(shè)網(wǎng)絡(luò)的目的定義建設(shè)網(wǎng)絡(luò)的目的是網(wǎng)絡(luò)建設(shè)的第一步，它為網(wǎng)絡(luò)設(shè)計(jì)工作指明了方向。一般的網(wǎng)絡(luò)建設(shè)都有以下幾個(gè)共同的目的：3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)5.網(wǎng)狀型拓?fù)浣Y(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一18●為Internet用戶提供本公司的信息訪問(wèn)，讓更多的人了解公司?！褡尡竟镜膯T工通過(guò)網(wǎng)絡(luò)共享Internet資源?！褡尡竟镜膯T工通過(guò)網(wǎng)絡(luò)訪問(wèn)共享公司各部門的數(shù)據(jù)?！裢ㄟ^(guò)建設(shè)網(wǎng)絡(luò)可以節(jié)省辦公成本和人員管理成本?！裢ㄟ^(guò)建設(shè)網(wǎng)絡(luò)來(lái)提高公司生產(chǎn)效率。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)●為Internet用戶提供本公司的信息訪問(wèn)，讓更多的人了192.明確需求一旦定義了網(wǎng)絡(luò)建設(shè)的目的后，就應(yīng)該對(duì)網(wǎng)絡(luò)安全的需求進(jìn)行確認(rèn)了。典型的網(wǎng)絡(luò)安全需求包括訪問(wèn)控制、可用性和數(shù)據(jù)完整性。這里有一些與網(wǎng)絡(luò)設(shè)計(jì)相關(guān)的問(wèn)題需要考慮：●公司有哪些服務(wù)需要對(duì)外共享？●每個(gè)用戶和部門需要訪問(wèn)哪些數(shù)據(jù)？●部門的安全數(shù)據(jù)應(yīng)該放在網(wǎng)絡(luò)的哪個(gè)位置上？●哪些用戶或部門可以訪問(wèn)Internet？●網(wǎng)絡(luò)性能需要達(dá)到什么樣的級(jí)別？3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)2.明確需求3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)20●用戶希望什么樣的服務(wù)水平？●本網(wǎng)絡(luò)希望什么樣的技術(shù)支持？3.預(yù)算網(wǎng)絡(luò)可用性需求確定后，就可以做一個(gè)預(yù)算來(lái)估計(jì)投資、維護(hù)費(fèi)用以及人工費(fèi)用。設(shè)計(jì)以及實(shí)施一個(gè)可用性達(dá)到99.9999%的網(wǎng)絡(luò)比一個(gè)只需要99.9%網(wǎng)絡(luò)需要更高的費(fèi)用。在實(shí)際當(dāng)中，預(yù)算通常是在項(xiàng)目籌劃時(shí)制定的。項(xiàng)目體系結(jié)構(gòu)完成后對(duì)預(yù)算再做一些調(diào)整會(huì)更加理想，因?yàn)檫@樣會(huì)使其更為準(zhǔn)確。另外，創(chuàng)建預(yù)算時(shí)，一定要考慮管理和維護(hù)網(wǎng)絡(luò)以及安全的人工時(shí)間。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)●用戶希望什么樣的服務(wù)水平？3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一214.完成設(shè)計(jì)完成上述步驟后就可以創(chuàng)建一個(gè)詳細(xì)的網(wǎng)絡(luò)設(shè)計(jì)。網(wǎng)絡(luò)設(shè)計(jì)文檔應(yīng)該詳細(xì)描述網(wǎng)絡(luò)，具體細(xì)節(jié)包括以下幾方面：●安全特性?！袼薪M件的制造特性。●局域網(wǎng)和廣域網(wǎng)連接要求的帶寬?！馡P地址和子網(wǎng)劃分?！馝GP和IGP特性?！袢哂嘈?。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)4.完成設(shè)計(jì)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)22●網(wǎng)絡(luò)管理系統(tǒng)（NetworkManagementSystem，NMS）。●服務(wù)水平協(xié)議（SLA）的測(cè)量、處理和技術(shù)。5.創(chuàng)建實(shí)施計(jì)劃復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)要花費(fèi)非常多的時(shí)間去理解和實(shí)施，因此，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)盡量避免過(guò)于復(fù)雜的結(jié)構(gòu)或流程。實(shí)際上，實(shí)施計(jì)劃是由詳細(xì)的網(wǎng)絡(luò)設(shè)計(jì)文檔轉(zhuǎn)化而來(lái)的。在很多情況下，由于設(shè)計(jì)和實(shí)施的復(fù)雜性，設(shè)計(jì)人員和實(shí)施人員必須緊密協(xié)作才能保證從設(shè)計(jì)到實(shí)施的平穩(wěn)過(guò)渡。實(shí)施常常要求根據(jù)服務(wù)的數(shù)量和規(guī)模劃分為不同的階段，多個(gè)小組和用戶的協(xié)調(diào)對(duì)于順利實(shí)施及對(duì)用戶產(chǎn)生最小的影響是很必要的。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)●網(wǎng)絡(luò)管理系統(tǒng)（NetworkManagementSy23實(shí)施計(jì)劃是一個(gè)詳細(xì)的一步一步涵蓋每一個(gè)設(shè)計(jì)要求的過(guò)程，它在實(shí)施之前要求先在實(shí)驗(yàn)室進(jìn)行測(cè)試，以保證包括了所有的細(xì)節(jié)并且結(jié)合得比較緊密。對(duì)可用性的要求、資源限制、組織標(biāo)準(zhǔn)都會(huì)影響到實(shí)驗(yàn)室測(cè)試的復(fù)雜程度。6.測(cè)試和確認(rèn)在最后部署設(shè)備之前，判斷一個(gè)設(shè)計(jì)能否正常工作的最好辦法是對(duì)其進(jìn)行測(cè)試和確認(rèn)。一個(gè)獨(dú)立的測(cè)試確認(rèn)實(shí)驗(yàn)室可用于比較不同的銷售商的產(chǎn)品、測(cè)試配置和新方法、確認(rèn)共用性。此外，在設(shè)備部署之前也要對(duì)維護(hù)進(jìn)行測(cè)試，這樣可以減少由于服務(wù)中斷導(dǎo)致的風(fēng)險(xiǎn)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)實(shí)施計(jì)劃是一個(gè)詳細(xì)的一步一步涵蓋每一個(gè)設(shè)計(jì)要求的過(guò)程，它在實(shí)243.2.3網(wǎng)絡(luò)防火墻的設(shè)計(jì)1.防火墻要能確保滿足的目標(biāo)防火墻在實(shí)施安全的過(guò)程中是至關(guān)重要的。一個(gè)防火墻策略要符合4個(gè)目標(biāo)，而每個(gè)目標(biāo)通常都不是通過(guò)一個(gè)單獨(dú)的設(shè)備或軟件來(lái)實(shí)現(xiàn)的。大多數(shù)情況下，防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下4個(gè)目標(biāo)：3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)3.2.3網(wǎng)絡(luò)防火墻的設(shè)計(jì)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一25（1）創(chuàng)建一個(gè)安全策略防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略。在前面提到過(guò)在適當(dāng)?shù)木W(wǎng)絡(luò)安全中安全策略的重要性。如果安全策略只需對(duì)MAIL服務(wù)器的SMTP流量做些限制，那么就只要直接在防火墻強(qiáng)制這些策略。（2）創(chuàng)建一個(gè)阻塞點(diǎn)防火墻在一個(gè)公司私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間建立一個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過(guò)這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視、過(guò)濾和檢查所有進(jìn)來(lái)和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為阻塞點(diǎn)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（1）創(chuàng)建一個(gè)安全策略3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上26通過(guò)強(qiáng)制所有進(jìn)出流量都通過(guò)這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少的地方來(lái)實(shí)現(xiàn)安全目的。如果沒(méi)有這樣一個(gè)供監(jiān)視和控制信息的檢查點(diǎn)，系統(tǒng)或安全管理員則要在大量的地方來(lái)進(jìn)行監(jiān)測(cè)。檢查點(diǎn)的另一個(gè)名字叫做網(wǎng)絡(luò)邊界。（3）記錄Internet活動(dòng)防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。通過(guò)在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問(wèn)。好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對(duì)于管理員進(jìn)行日志存檔提供了更多的信息。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)通過(guò)強(qiáng)制所有進(jìn)出流量都通過(guò)這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較27（4）限制網(wǎng)絡(luò)暴露防火墻在內(nèi)部網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。并且對(duì)于公網(wǎng)隱藏了內(nèi)部系統(tǒng)的一些信息以增加保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測(cè)內(nèi)部網(wǎng)絡(luò)時(shí)，它們僅僅能看到防火墻。遠(yuǎn)程設(shè)備將不會(huì)知道內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對(duì)網(wǎng)絡(luò)加密來(lái)限制網(wǎng)絡(luò)信息的暴露。通過(guò)對(duì)所能進(jìn)來(lái)的流量實(shí)行源檢查，以限制從外部發(fā)動(dòng)的攻擊。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（4）限制網(wǎng)絡(luò)暴露3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一282.考慮的事項(xiàng)●性能需要在充分的安全/防火墻和數(shù)據(jù)訪問(wèn)之間作精心的平衡。在訪問(wèn)列表或過(guò)濾處理中應(yīng)用的安全水平越高，性能就會(huì)越差?！襁^(guò)濾器在使用IP地址進(jìn)行訪問(wèn)控制時(shí)效率較高。然而，對(duì)于許多設(shè)備來(lái)說(shuō)，過(guò)濾表越長(zhǎng)，需要對(duì)每個(gè)包進(jìn)行檢查的時(shí)間就越長(zhǎng)。●系統(tǒng)提供過(guò)濾服務(wù)的速度能達(dá)到千兆。性能受不同因素影響會(huì)有所區(qū)別，這些因素包括使用了多少過(guò)濾器、軟件對(duì)包的掃描有多深（OSI模型三層到七層）、流量的類型。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)2.考慮的事項(xiàng)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)29●加密和解密會(huì)產(chǎn)生延遲?！褡柚箤?duì)某些端口的訪問(wèn)是保證性能的有效手段，但這將同樣會(huì)阻止那些使用這些端口的應(yīng)用。3.設(shè)計(jì)網(wǎng)絡(luò)防火墻的技術(shù)設(shè)計(jì)網(wǎng)絡(luò)邊界時(shí)可采用不同的技術(shù)，以提供不同層次的安全、服務(wù)和性能。下面是防火墻設(shè)計(jì)中常見(jiàn)的技術(shù)類型，可以提供出色的安全?！穹擒娛聟^(qū)（DMZ）。●堡壘主機(jī)。●過(guò)濾網(wǎng)關(guān)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)●加密和解密會(huì)產(chǎn)生延遲。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返30（1）非軍事區(qū)非軍事區(qū)是一段網(wǎng)絡(luò)，它允許Internet流量出入Intranet，同時(shí)仍能保證Intranet的安全。DMZ（DemilitarizedZone）提供了在Internet和Intranet之間的緩沖。DMZ通過(guò)使用服務(wù)器和第三層設(shè)備防止Intranet直接暴露給Internet，從而提高了安全性。DMZ中連接的服務(wù)器可能包括為內(nèi)部用戶提供Web訪問(wèn)的代理服務(wù)器、提供安全遠(yuǎn)程訪問(wèn)的VPN服務(wù)器，以及其他諸如郵件服務(wù)器和域名服務(wù)器等。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（1）非軍事區(qū)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)31（2）堡壘主機(jī)堡壘主機(jī)是指在極其關(guān)鍵的位置上用于安全防御的某個(gè)系統(tǒng)。堡壘主機(jī)系統(tǒng)必須檢查所有進(jìn)入的流量并強(qiáng)制執(zhí)行在安全策略里所指定的規(guī)則，它們還必須準(zhǔn)備好對(duì)付從外部來(lái)的攻擊和可能來(lái)自內(nèi)部的資源。堡壘主機(jī)系統(tǒng)還有日志記錄及警報(bào)的特性來(lái)阻止攻擊。有時(shí)檢測(cè)到一個(gè)威脅時(shí)也會(huì)采取行動(dòng)。對(duì)于此系統(tǒng)的安全要給予額外關(guān)注，還要有例行的審計(jì)和安全檢查。如果攻擊者要攻擊內(nèi)部網(wǎng)絡(luò)，那他們只能攻擊到這臺(tái)堡壘主機(jī)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（2）堡壘主機(jī)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)32堡壘主機(jī)可以是3種防火墻中的任一種類型：包過(guò)濾，電路級(jí)網(wǎng)關(guān)，應(yīng)用級(jí)網(wǎng)關(guān)。通常人們使用經(jīng)過(guò)加固的且沒(méi)有IP轉(zhuǎn)發(fā)的系統(tǒng)作為Internet和Intranet間的堡壘主機(jī)。Internet和Intranet都可以對(duì)堡壘主機(jī)的數(shù)據(jù)進(jìn)行訪問(wèn)，但這兩個(gè)網(wǎng)絡(luò)從來(lái)不能直接交換數(shù)據(jù)?？梢栽诒局鳈C(jī)上放置和更新Web服務(wù)，此時(shí)堡壘主機(jī)會(huì)阻止從Internet到Intranet的網(wǎng)絡(luò)訪問(wèn)。（3）過(guò)濾網(wǎng)關(guān)“過(guò)濾網(wǎng)關(guān)”是一個(gè)起防火墻作用的路由器，它通過(guò)選擇TCP和UDP端口來(lái)進(jìn)行流量的過(guò)濾，很多情況下它也阻止ICMP包。被阻止的來(lái)自Internet的訪問(wèn)主要集中于那些危險(xiǎn)性很高的服務(wù)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)堡壘主機(jī)可以是3種防火墻中的任一種類型：包過(guò)濾，電路級(jí)網(wǎng)關(guān)，33使用過(guò)濾網(wǎng)關(guān)是一種非常常用的防止訪問(wèn)Intranet的方法。傳統(tǒng)的防火墻通過(guò)在OSI的更高層增加屏蔽網(wǎng)絡(luò)流量的方式拓展了過(guò)濾網(wǎng)關(guān)的概念。4.設(shè)計(jì)規(guī)則當(dāng)構(gòu)造防火墻設(shè)備時(shí)，經(jīng)常要遵循下面兩個(gè)主要的概念：第一，保持設(shè)計(jì)的簡(jiǎn)單性；第二，要計(jì)劃好一旦防火墻被滲透應(yīng)該怎么辦。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)使用過(guò)濾網(wǎng)關(guān)是一種非常常用的防止訪問(wèn)Intranet的方法。34（1）保持設(shè)計(jì)的簡(jiǎn)單性一個(gè)黑客滲透系統(tǒng)最常見(jiàn)的方法就是利用安裝在堡壘主機(jī)上不注意的組件。建立你的堡壘主機(jī)時(shí)要盡可能使用較小的組件，無(wú)論硬件還是軟件。堡壘主機(jī)的建立只需提供防火墻功能。在防火墻主機(jī)上不要安裝像Web服務(wù)的應(yīng)用程序。要?jiǎng)h除堡壘主機(jī)上所有不必需的服務(wù)或守護(hù)進(jìn)程。在堡壘主機(jī)上運(yùn)行少量的服務(wù)給潛在的黑客很少的機(jī)會(huì)穿過(guò)防火墻。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（1）保持設(shè)計(jì)的簡(jiǎn)單性3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回35（2）安排事故計(jì)劃如果已設(shè)計(jì)好防火墻性能，并且規(guī)定只有通過(guò)防火墻才能允許公共訪問(wèn)內(nèi)部網(wǎng)絡(luò)。當(dāng)設(shè)計(jì)防火墻時(shí)，安全管理員要對(duì)防火墻主機(jī)崩潰或危及的情況做出計(jì)劃。如果僅僅是用一個(gè)防火墻設(shè)備把內(nèi)部網(wǎng)絡(luò)和公網(wǎng)隔離開(kāi)，那么黑客滲透進(jìn)防火墻后就會(huì)對(duì)內(nèi)部的網(wǎng)絡(luò)有著完全訪問(wèn)的權(quán)限。為了防止這種滲透，要設(shè)計(jì)幾種不同級(jí)別的防火墻設(shè)備。不要依賴一個(gè)單獨(dú)的防火墻保護(hù)單獨(dú)的網(wǎng)絡(luò)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（2）安排事故計(jì)劃3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一365.4種常見(jiàn)的防火墻設(shè)計(jì)4種常見(jiàn)的防火墻設(shè)計(jì)都提供一個(gè)確定的安全級(jí)別，一個(gè)簡(jiǎn)單的規(guī)則是越敏感的數(shù)據(jù)就要采取越廣泛的防火墻策略，這4種防火墻的實(shí)施都是建立一個(gè)過(guò)濾的矩陣和能夠執(zhí)行和保護(hù)信息的點(diǎn)。這4種選擇是：●篩選路由器?！駟嗡拗鞅局鳈C(jī)?！耠p宿主堡壘主機(jī)?！衿帘巫泳W(wǎng)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)5.4種常見(jiàn)的防火墻設(shè)計(jì)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)37篩選路由器的選擇是最簡(jiǎn)單的，因此也是最常見(jiàn)的，大多數(shù)公司至少使用一個(gè)篩選路由器作為解決方案，因?yàn)樗行枰挠布呀?jīng)投入使用。用于創(chuàng)建篩選主機(jī)防火墻的兩個(gè)選擇是單宿主堡壘主機(jī)和雙宿主堡壘主機(jī)。不管是電路級(jí)還是應(yīng)用級(jí)網(wǎng)關(guān)的配置，都要求所有的流量通過(guò)堡壘主機(jī)。最后一個(gè)常用的方法是篩選子網(wǎng)防火墻，利用額外的包過(guò)濾路由器來(lái)達(dá)到另一個(gè)安全的級(jí)別。在企業(yè)組織中，常常有兩個(gè)不同的防火墻：外圍防火墻和內(nèi)部防火墻。雖然這些防火墻的任務(wù)相似，但是它們有不同的側(cè)重點(diǎn)，外圍防火墻主要提供對(duì)不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶可以執(zhí)行的操作。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)返回上一頁(yè)篩選路由器的選擇是最簡(jiǎn)單的，因此也是最常見(jiàn)的，大多數(shù)公司至少383.3.1接受使用策略接受使用策略定義了公司網(wǎng)絡(luò)資源的使用方法。通過(guò)使用合理的安全策略、確保系統(tǒng)和設(shè)備進(jìn)行適當(dāng)?shù)募庸?，就可以?chuàng)建出更易管理的安全環(huán)境。此外，策略的條文也使得管理人員能夠?qū)`反策略者進(jìn)行約束?？山邮苁褂貌呗缘牡湫蜅l款如下：●策略的范圍，就是指策略適用于哪個(gè)網(wǎng)絡(luò)、哪些用戶及哪些技術(shù)?！褚粋€(gè)清晰的確認(rèn)書(shū)，要求用戶聲明他／她已經(jīng)閱讀、理解并同意遵守此策略?！襁`反策略的后果。3.3安全策略下一頁(yè)返回3.3.1接受使用策略3.3安全策略下一頁(yè)返回39●明確聲明用戶在使用公司網(wǎng)絡(luò)時(shí)將不能得到隱私保證，因?yàn)樗谢顒?dòng)都會(huì)提交給安全監(jiān)測(cè)。●聲明在使用公司資源時(shí)各種可接受的和不可接受的行為。3.3.2特殊策略除了有一個(gè)管理公司系統(tǒng)的整體策略，還需要有一些特殊策略才能保證系統(tǒng)的使用和管理符合預(yù)期的目標(biāo)。特殊策略細(xì)化了安全措施，可以保護(hù)網(wǎng)絡(luò)中的系統(tǒng)免受有意的或無(wú)意的破壞。特殊策略包括以下一些（但又不止是這些）：3.3安全策略下一頁(yè)返回上一頁(yè)●明確聲明用戶在使用公司網(wǎng)絡(luò)時(shí)將不能得到隱私保證，因?yàn)樗?01.賬戶和密碼對(duì)于用戶來(lái)說(shuō)，賬戶和密碼是第一道防線。每個(gè)用戶都有自己賬戶和密碼的控制權(quán)。這條策略規(guī)定了進(jìn)行賬戶及密碼管理的組織標(biāo)準(zhǔn)。2.軟件應(yīng)用程序和操作系統(tǒng)的銷售商會(huì)經(jīng)常發(fā)布補(bǔ)丁、服務(wù)包及版本更新等來(lái)為軟件添加新的特性、改進(jìn)功能、修改錯(cuò)誤和彌補(bǔ)新發(fā)現(xiàn)的安全漏洞。公司的安全管理員應(yīng)主動(dòng)瀏覽銷售商的網(wǎng)頁(yè)并訂閱郵件列表，以及時(shí)收到軟件更新的通知。這些更新在實(shí)施前要根據(jù)事先確定的如何進(jìn)行測(cè)試、備份及恢復(fù)的策略做慎重的考慮。3.3安全策略下一頁(yè)返回上一頁(yè)1.賬戶和密碼3.3安全策略下一頁(yè)返回上一頁(yè)41此外，還要使用一些工具定期檢查可能的漏洞，因?yàn)橛行┞┒纯赡苁窃谏洗螜z查和打補(bǔ)丁后出現(xiàn)的。3.物理安全一般的安全策略都會(huì)包括邏輯的和軟件的安全，而物理安全策略指明了公司為減少通信設(shè)施風(fēng)險(xiǎn)所應(yīng)采取的行動(dòng)，因?yàn)椋裟橙丝梢越佑|這些設(shè)施，則他就可能有意地或無(wú)意地進(jìn)行破壞。4.監(jiān)控策略服務(wù)器和網(wǎng)絡(luò)設(shè)備一般都有記錄日志的功能，可提供數(shù)據(jù)幫助判定違反安全策略事件的來(lái)源。對(duì)這些數(shù)據(jù)進(jìn)行監(jiān)控可以找出事故前后的有用信息，這樣就能提高公司系統(tǒng)的安全系數(shù)。3.3安全策略下一頁(yè)返回上一頁(yè)此外，還要使用一些工具定期檢查可能的漏洞，因?yàn)橛行┞┒纯赡苁?23.3.3設(shè)置防火墻的要素1.網(wǎng)絡(luò)策略影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級(jí)的網(wǎng)絡(luò)策略描述Firewall如何限制和過(guò)濾在高級(jí)策略中定義的服務(wù)。2.服務(wù)訪問(wèn)策略服務(wù)訪問(wèn)策略集中在Internet訪問(wèn)服務(wù)以及外部網(wǎng)絡(luò)訪問(wèn)（如撥入策略、SLIP/PPP連接等）。服務(wù)訪問(wèn)策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶服務(wù)之間獲得平衡。3.3安全策略下一頁(yè)返回上一頁(yè)3.3.3設(shè)置防火墻的要素3.3安全策略下一頁(yè)返回上433.3.4防火墻策略及設(shè)計(jì)防火墻策略也稱為防火墻的安全規(guī)則，它是防火墻實(shí)施網(wǎng)絡(luò)保護(hù)的重要依據(jù)。防火墻策略設(shè)計(jì)的好壞直接影響到防火墻防護(hù)功能能否成功實(shí)現(xiàn)。因此首先要對(duì)防火墻策略有所了解和認(rèn)識(shí)，下面從幾個(gè)方面來(lái)介紹防火墻的策略以及設(shè)計(jì)。1.什么是防火墻策略黑客攻擊采用算法進(jìn)行程序設(shè)計(jì)，分為多種攻擊方式，防火墻之所以防范黑客，原理是根據(jù)黑客的算法，設(shè)計(jì)出相應(yīng)的防范規(guī)則加入防火墻。如果在工作狀態(tài)下，檢測(cè)到該訪問(wèn)符合預(yù)先設(shè)定的判別黑客的防范規(guī)則，則禁止該訪問(wèn)，達(dá)到防范目的。3.3安全策略下一頁(yè)返回上一頁(yè)3.3.4防火墻策略及設(shè)計(jì)3.3安全策略下一頁(yè)返回上44預(yù)先在防火墻內(nèi)設(shè)定的黑客判別規(guī)則稱為防火墻策略。防火墻策略越多，性能越好，但由于策略越多將導(dǎo)致防火墻運(yùn)算加大，因此通信量將大幅度降低。防火墻策略和防火墻通信量是相互矛盾的。2.防火墻策略特性（1）防火墻的主要意圖是強(qiáng)制執(zhí)行安全策略應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源。3.3安全策略下一頁(yè)返回上一頁(yè)預(yù)先在防火墻內(nèi)設(shè)定的黑客判別規(guī)則稱為防火墻策略。防火墻策略越45所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)而沒(méi)有全面的安全策略，那么防火墻就形同虛設(shè)。（2）防火墻安全策略的主要功能就是實(shí)施訪問(wèn)控制規(guī)則訪問(wèn)控制的主要原則可以表達(dá)為“必須禁止那些未經(jīng)許可的訪問(wèn)”。除了訪問(wèn)控制規(guī)則以外，防火墻安全策略還定義了何種類型的流量需要記入日志、何種類型的流量應(yīng)當(dāng)產(chǎn)生告警。它還定義了地址使用翻譯規(guī)則、加強(qiáng)連接授權(quán)以及VPN使用設(shè)置等。3.3安全策略下一頁(yè)返回上一頁(yè)所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅46（3）安全策略定義錯(cuò)誤已經(jīng)成為一個(gè)安全風(fēng)險(xiǎn)傳統(tǒng)安全策略定義使用一些規(guī)則列表，針對(duì)安全引擎的不同而不同，或者把一些規(guī)則綜合起來(lái)，以便同時(shí)適應(yīng)多個(gè)安全引擎，無(wú)論使用何種方式，依賴于網(wǎng)絡(luò)連接的企業(yè)安全策略都傾向于越來(lái)越龐大、難于理解以及難以維護(hù)。（4）安全策略是防火墻的靈魂和基礎(chǔ)在建立防火墻之前要在安全現(xiàn)狀、風(fēng)險(xiǎn)評(píng)估和商業(yè)需求的基礎(chǔ)上提出一個(gè)完備的總體安全策略，這是配置防火墻的關(guān)鍵。安全策略可以按如下兩個(gè)邏輯來(lái)制定：3.3安全策略下一頁(yè)返回上一頁(yè)（3）安全策略定義錯(cuò)誤已經(jīng)成為一個(gè)安全風(fēng)險(xiǎn)3.3安全策略47·準(zhǔn)許訪問(wèn)除明確拒絕以外的全部訪問(wèn)——所有未被禁止的都允許訪問(wèn)。·拒絕訪問(wèn)除明確準(zhǔn)許的全部訪問(wèn)——所有未被允許的都禁止訪問(wèn)?？梢钥闯龊笠贿壿嬒拗菩源?，前一邏輯比較寬松。（5）增強(qiáng)的認(rèn)證許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機(jī)制。多年來(lái)，用戶被告知使用難于猜測(cè)和難以破譯的口令，雖然如此，攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機(jī)制形同虛設(shè)。增強(qiáng)的認(rèn)證機(jī)制包含智能卡，認(rèn)證令牌，3.3安全策略下一頁(yè)返回上一頁(yè)·準(zhǔn)許訪問(wèn)除明確拒絕以外的全部訪問(wèn)——所有未被禁止的都允許訪48生理特征（指紋）以及基于軟件（RSA）等技術(shù)，以此來(lái)克服傳統(tǒng)口令的弱點(diǎn)?，F(xiàn)在存在多種認(rèn)證技術(shù)，它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難被攻擊者重用的口令和密鑰。目前許多流行的增強(qiáng)機(jī)制使用一次有效的口令和密鑰（如SmartCard和認(rèn)證令牌）。3.防火墻策略的設(shè)計(jì)原則設(shè)計(jì)防火墻策略應(yīng)該遵守的原則如下：●只允許想要允許的客戶、源地址、目的地和協(xié)議。仔細(xì)地檢查每一條規(guī)則，看規(guī)則的元素是否和所需要的一致?！窬芙^的規(guī)則一定要放在允許的規(guī)則前面。3.3安全策略下一頁(yè)返回上一頁(yè)生理特征（指紋）以及基于軟件（RSA）等技術(shù)，以此來(lái)克服傳統(tǒng)49●當(dāng)需要使用拒絕時(shí)，顯式拒絕是首要考慮的方式?！裨诓挥绊懛阑饓Σ呗詧?zhí)行效果的情況下，將匹配度更高的規(guī)則放在前面?！裨诓挥绊懛阑饓Σ呗詧?zhí)行效果的情況下，將針對(duì)所有用戶的規(guī)則放在前面?！癖M量簡(jiǎn)化規(guī)則，執(zhí)行一條規(guī)則的效率永遠(yuǎn)比執(zhí)行兩條規(guī)則的效率高?！袢绻梢酝ㄟ^(guò)配置系統(tǒng)策略來(lái)實(shí)現(xiàn)，就沒(méi)有必要再建立自定義規(guī)則。3.3安全策略下一頁(yè)返回上一頁(yè)●當(dāng)需要使用拒絕時(shí)，顯式拒絕是首要考慮的方式。3.350●每條訪問(wèn)規(guī)則都是獨(dú)立的，執(zhí)行每條訪問(wèn)規(guī)則時(shí)不會(huì)受到其他訪問(wèn)規(guī)則的影響。●不要允許任何網(wǎng)絡(luò)訪問(wèn)防火墻本機(jī)的所有協(xié)議，包括內(nèi)部網(wǎng)絡(luò)?！駸o(wú)論作為訪問(wèn)規(guī)則中的目的還是源，最好使用IP地址。●如果一定要在訪問(wèn)規(guī)則中使用域名集或URL集，最好將客戶配置為Web代理客戶?！穹阑饓Σ呗缘臏y(cè)試是必需的。3.3安全策略下一頁(yè)返回上一頁(yè)●每條訪問(wèn)規(guī)則都是獨(dú)立的，執(zhí)行每條訪問(wèn)規(guī)則時(shí)不會(huì)受到其他訪514.防火墻策略設(shè)計(jì)防火墻的策略是實(shí)現(xiàn)成功的、安全的防火墻的保證，它是一系列規(guī)則的集合。在安全審計(jì)中，經(jīng)常能看到一些由于規(guī)則配置的錯(cuò)誤而將內(nèi)部網(wǎng)絡(luò)暴露于危險(xiǎn)之中的案例。因此設(shè)計(jì)、建立和維護(hù)一個(gè)可靠、安全的防火墻規(guī)則集是保障網(wǎng)絡(luò)的關(guān)鍵。不管是哪種類型的防火墻，設(shè)計(jì)規(guī)則集的基本原理都相同。那么，如何建立一個(gè)安全的規(guī)則集呢？這里介紹從一個(gè)虛構(gòu)企業(yè)的安全策略開(kāi)始設(shè)計(jì)防火墻規(guī)則集。3.3安全策略下一頁(yè)返回上一頁(yè)4.防火墻策略設(shè)計(jì)3.3安全策略下一頁(yè)返回上一頁(yè)52（1）安全策略管理層規(guī)定實(shí)施什么樣的安全策略，防火墻是策略得以實(shí)施的技術(shù)工具。所以，在建立規(guī)則集之前必須理解安全策略。（2）安全體系結(jié)構(gòu)作為管理員，第一步是將安全策略轉(zhuǎn)化為安全體系結(jié)構(gòu)。必須要添加DNS。作為安全管理員，要實(shí)現(xiàn)SplitDNS。SplitDNS是指在兩臺(tái)不同的服務(wù)器上分離DNS的功能，通過(guò)使用外部DNS服務(wù)器和內(nèi)部用戶使用的映射內(nèi)部網(wǎng)絡(luò)信息的內(nèi)部DNS服務(wù)器來(lái)實(shí)現(xiàn)。3.3安全策略下一頁(yè)返回上一頁(yè)（1）安全策略3.3安全策略下一頁(yè)返回上一頁(yè)53（3）規(guī)則次序在建立規(guī)則集之前，必須要確定規(guī)則次序。認(rèn)識(shí)到哪條規(guī)則放在哪個(gè)之上是非常關(guān)鍵的。同樣的規(guī)則，以不同的次序放置，可能完全改變防火墻的運(yùn)轉(zhuǎn)情況。很多防火墻以順序方式檢查信息包。當(dāng)它發(fā)現(xiàn)一條匹配規(guī)則時(shí)，就停止檢查并應(yīng)用該規(guī)則。通常，較特殊的規(guī)則在前，較普通的規(guī)則在后，防止在找到一個(gè)特殊規(guī)則之前與普通規(guī)則相匹配，這將使防火墻避免配置錯(cuò)誤。3.3安全策略下一頁(yè)返回上一頁(yè)（3）規(guī)則次序3.3安全策略下一頁(yè)返回上一頁(yè)54（4）規(guī)則集配置防火墻時(shí)，按照以下步驟設(shè)計(jì)規(guī)則集可以滿足前面的安全策略，這里簡(jiǎn)要概述每條規(guī)則、為什么選擇這條規(guī)則和它的重要性：●默認(rèn)性能：這是防火墻產(chǎn)品出廠時(shí)的設(shè)置，用戶設(shè)計(jì)規(guī)則集之前，首先應(yīng)該要切斷默認(rèn)性能以清除原有規(guī)則，配置新規(guī)則?！駜?nèi)部出網(wǎng)：第一條規(guī)則是允許內(nèi)部網(wǎng)絡(luò)的任何人出網(wǎng)?！矜i定：添加鎖定規(guī)則，阻塞對(duì)防火墻的任何訪問(wèn)。除了防火墻管理員，任何人都不能訪問(wèn)防火墻。3.3安全策略下一頁(yè)返回上一頁(yè)（4）規(guī)則集3.3安全策略下一頁(yè)返回上一頁(yè)55●管理員訪問(wèn)：沒(méi)有人能連接防火墻，包括管理員。必須創(chuàng)立一條規(guī)則允許管理員訪問(wèn)防火墻?！駚G棄全部：在默認(rèn)情況下，丟棄所有不能與任何規(guī)則匹配的信息包。●不記錄：通常，網(wǎng)絡(luò)上大量被防火墻丟棄并記錄的通信通話會(huì)很快將日志填滿，創(chuàng)立一條規(guī)則丟棄/拒絕這種通話，但不記錄它?！馜NS訪問(wèn)：允許Internet用戶訪問(wèn)DNS服務(wù)器。●郵件訪問(wèn)：希望Internet和內(nèi)部用戶通過(guò)SMTP訪問(wèn)郵件服務(wù)器，內(nèi)部用戶通過(guò)POP訪問(wèn)郵件服務(wù)器。3.3安全策略下一頁(yè)返回上一頁(yè)●管理員訪問(wèn)：沒(méi)有人能連接防火墻，包括管理員。必須創(chuàng)立一條56●Web訪問(wèn)：希望Internet和內(nèi)部用戶通過(guò)HTTP訪問(wèn)Web服務(wù)器。●阻塞DMZ：必須阻止內(nèi)部用戶公開(kāi)訪問(wèn)DMZ?！馜MZ的規(guī)則：DMZ應(yīng)該從不啟動(dòng)與內(nèi)部網(wǎng)絡(luò)的連接。只要有從DMZ到內(nèi)部用戶的通話，它就會(huì)拒絕、記錄并發(fā)出警告?！窆芾韱T訪問(wèn)內(nèi)部網(wǎng)絡(luò)：允許管理員（受限于特殊的資源IP）以加密方式訪問(wèn)內(nèi)部網(wǎng)絡(luò)?！裥阅埽喊炎畛Ｓ玫囊?guī)則移到規(guī)則集的頂端，以提高性能?！袢肭謾z測(cè)功能：有助于那些喜歡掃描檢測(cè)的人。3.3安全策略下一頁(yè)返回上一頁(yè)●Web訪問(wèn)：希望Internet和內(nèi)部用戶通過(guò)HTTP57●附加規(guī)則：可以添加一些附加規(guī)則，例如，阻塞任何來(lái)自廣告商基于IP地址的連接，這可節(jié)省用戶時(shí)間并提高性能。（5）更新規(guī)則在組織好規(guī)則之后，建議應(yīng)在規(guī)則后寫(xiě)上注釋并經(jīng)常更新。注釋幫助明白哪條規(guī)則做什么。對(duì)規(guī)則理解得越好，錯(cuò)誤配置的可能性就越小。對(duì)那些有多重防火墻的大機(jī)構(gòu)來(lái)說(shuō)，建議當(dāng)規(guī)則被修改時(shí)，把規(guī)則更改者的名字、規(guī)則變更的日期/時(shí)間以及規(guī)則變更的原因等信息加入注釋中，這將幫助跟蹤誰(shuí)修改了哪條規(guī)則以及修改的原因。3.3安全策略返回上一頁(yè)●附加規(guī)則：可以添加一些附加規(guī)則，例如，阻塞任何來(lái)自廣告商58表3-1安全服務(wù)返回身份驗(yàn)證（Authentication）身份驗(yàn)證是證明用戶及服務(wù)器身份的過(guò)程訪問(wèn)控制（AccessControl）一旦用戶身份被驗(yàn)證就發(fā)生訪問(wèn)控制，這個(gè)過(guò)程決定用戶可以使用、瀏覽或改變哪些系統(tǒng)資源數(shù)據(jù)保密（DataConfidentiality）這項(xiàng)服務(wù)通常使用加密技術(shù)保護(hù)數(shù)據(jù)免于未授權(quán)的泄露，可以避免被動(dòng)威脅數(shù)據(jù)完整性（DataIntegrity）這項(xiàng)服務(wù)通過(guò)檢驗(yàn)或維護(hù)信息的一致性，避免主動(dòng)威脅抗否認(rèn)（Non-Reputation）否認(rèn)是指否認(rèn)參加全部或部分事務(wù)能力?？狗裾J(rèn)服務(wù)提供關(guān)于服務(wù)、過(guò)程或部分信息的起源證明或發(fā)送證明表3-1安全服務(wù)返回身份驗(yàn)證（Authenticati59表3-2TCSEC安全級(jí)別返回級(jí)別名稱描述例子A1可驗(yàn)證的安全設(shè)計(jì)此級(jí)別要求嚴(yán)格的數(shù)學(xué)證明，證明系統(tǒng)不會(huì)危及安全HoneywellscompB3安全域機(jī)制提供數(shù)據(jù)隱藏和分層，保護(hù)層與層之間的所有交互信息Honeywell，federalB2結(jié)構(gòu)化安全保護(hù)支持硬件保護(hù)，內(nèi)存區(qū)域被虛擬分段，并進(jìn)行嚴(yán)格保護(hù)XENIX，HoneywellMulticsB1標(biāo)號(hào)安全保護(hù)除C2的保護(hù)級(jí)別外，把用戶隔離成各個(gè)單元以提供進(jìn)一步的保護(hù)AT&TSystemVC2訪問(wèn)控制保護(hù)以用戶為單位的存儲(chǔ)控制，廣泛的審計(jì)、跟蹤，對(duì)資源、數(shù)據(jù)、文件和進(jìn)程提供系統(tǒng)級(jí)別的保護(hù)Windows2000、UNIXC1選擇的安全保護(hù)用戶與數(shù)據(jù)分離，不區(qū)分用戶群，以用戶組為單位早期的UNIXD最小保護(hù)無(wú)內(nèi)在的安全保護(hù)MS-DOS表3-2TCSEC安全級(jí)別返回級(jí)別名稱描述60圖3-1總線型網(wǎng)絡(luò)返回圖3-1總線型網(wǎng)絡(luò)返回61圖3-2星型網(wǎng)絡(luò)返回圖3-2星型網(wǎng)絡(luò)返回62圖3-3環(huán)型網(wǎng)絡(luò)返回圖3-3環(huán)型網(wǎng)絡(luò)返回63圖3-4樹(shù)型網(wǎng)絡(luò)返回圖3-4樹(shù)型網(wǎng)絡(luò)返回64第3章網(wǎng)絡(luò)設(shè)計(jì)3.1網(wǎng)絡(luò)安全3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)3.3安全策略第3章網(wǎng)絡(luò)設(shè)計(jì)3.1網(wǎng)絡(luò)安全653.1.1網(wǎng)絡(luò)安全的定義從狹義的保護(hù)角度來(lái)講，網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不被未授權(quán)的用戶訪問(wèn)，即計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭破壞、更改或泄露，系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。從廣義來(lái)說(shuō)，凡是涉及計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。3.1網(wǎng)絡(luò)安全下一頁(yè)返回3.1.1網(wǎng)絡(luò)安全的定義3.1網(wǎng)絡(luò)安全下一頁(yè)返回663.1.2網(wǎng)絡(luò)安全標(biāo)準(zhǔn)1.OSI安全體系結(jié)構(gòu)的安全技術(shù)標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)化組織（ISO）在它所指定的國(guó)際標(biāo)準(zhǔn)ISO7498-2中描述了OSI（開(kāi)放系統(tǒng)互聯(lián)基本參考模型）安全體系結(jié)構(gòu)的5種安全服務(wù)，各服務(wù)的名稱以及用途如表31所示。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)3.1.2網(wǎng)絡(luò)安全標(biāo)準(zhǔn)3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)672.可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)（TrustedComputerSystemEvaluationCriteria，TCSEC）在美國(guó)，國(guó)家計(jì)算機(jī)安全中心（NCSC）負(fù)責(zé)建立可信計(jì)算機(jī)產(chǎn)品的準(zhǔn)則。NCSC建立了可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)，TCSEC指出了一些安全等級(jí)，被稱為安全級(jí)別，它的范圍從級(jí)別A到級(jí)別D，其中A是最高級(jí)別。高級(jí)別在低級(jí)別的基礎(chǔ)上提供進(jìn)一步的安全保護(hù)。級(jí)別A、B和C還分?jǐn)?shù)字標(biāo)明的子級(jí)別，各級(jí)別的名稱以及描述如表32所示。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)2.可信計(jì)算機(jī)評(píng)估標(biāo)準(zhǔn)（TrustedComputer683.我國(guó)計(jì)算機(jī)安全登記劃分與相關(guān)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)和安全產(chǎn)品的安全性評(píng)估事關(guān)國(guó)家安全和社會(huì)安全，任何國(guó)家不會(huì)輕易相信和接受別的國(guó)家所作的評(píng)估結(jié)果。沒(méi)有一個(gè)國(guó)家會(huì)把事關(guān)本國(guó)安全利益的信息安全產(chǎn)品和系統(tǒng)的安全可信建立在別人的評(píng)估標(biāo)準(zhǔn)、評(píng)估體系和評(píng)估結(jié)果上。為保險(xiǎn)起見(jiàn)，通常要通過(guò)本國(guó)標(biāo)準(zhǔn)的測(cè)試才被認(rèn)為可靠。1989年公安部在充分借鑒國(guó)際標(biāo)準(zhǔn)的前提下，開(kāi)始設(shè)計(jì)和起草法律和標(biāo)準(zhǔn)，并于1999年9月13日由國(guó)家質(zhì)量技術(shù)監(jiān)督局審查通過(guò)并正式批準(zhǔn)發(fā)布，已于2001年1月1日?qǐng)?zhí)行。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)3.我國(guó)計(jì)算機(jī)安全登記劃分與相關(guān)標(biāo)準(zhǔn)3.1網(wǎng)絡(luò)安全下一693.1.3網(wǎng)絡(luò)傳輸過(guò)程中的3種安全機(jī)制隨著TCP/IP協(xié)議群在互聯(lián)網(wǎng)上的廣泛采用，信息技術(shù)與網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展。隨之而來(lái)的是安全風(fēng)險(xiǎn)問(wèn)題的急劇增加。為了保護(hù)國(guó)家公眾信息網(wǎng)以及企業(yè)內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的信息和數(shù)據(jù)的安全，要大力發(fā)展基于信息網(wǎng)絡(luò)的安全技術(shù)。1.信息與網(wǎng)絡(luò)安全技術(shù)的目標(biāo)由于互聯(lián)網(wǎng)的開(kāi)放性、連通性和自由性，用戶在享受各類共有信息資源的同時(shí)，也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險(xiǎn)。信息安全的目標(biāo)就是保護(hù)有可能被侵犯或破壞的機(jī)密信息不受外界非法操作者的控制。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)3.1.3網(wǎng)絡(luò)傳輸過(guò)程中的3種安全機(jī)制3.1網(wǎng)絡(luò)安全702.網(wǎng)絡(luò)安全體系結(jié)構(gòu)國(guó)際標(biāo)準(zhǔn)化組織（ISO）在開(kāi)放系統(tǒng)互聯(lián)參考模型（OSI/RM）的基礎(chǔ)上，于1989年制定了在OSI環(huán)境下解決網(wǎng)絡(luò)安全的規(guī)則：安全體系結(jié)構(gòu)。它擴(kuò)充了基本參考模型，加入了安全問(wèn)題的各個(gè)方面，為開(kāi)放系統(tǒng)的安全通信提供了一種概念性、功能性以及一致性的途徑。OSI安全體系包含7個(gè)層次：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。在各層次間進(jìn)行的安全機(jī)制有以下幾種。（1）加密機(jī)制、（2）安全認(rèn)證機(jī)制、（3）訪問(wèn)控制策略3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)2.網(wǎng)絡(luò)安全體系結(jié)構(gòu)3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)713.1.4網(wǎng)絡(luò)安全重要性網(wǎng)絡(luò)安全是信息安全領(lǐng)域一個(gè)非常重要的方面，隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)安全的重要性也日漸突出，網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家、國(guó)防以及國(guó)民經(jīng)濟(jì)的重要組成部分。隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國(guó)防等方面的重要信息交換手段，滲透到社會(huì)生活的各個(gè)領(lǐng)域。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強(qiáng)有力的安全策略，對(duì)于保障網(wǎng)絡(luò)信息傳輸?shù)陌踩詫⒆兊檬种匾?.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)3.1.4網(wǎng)絡(luò)安全重要性3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一72目前網(wǎng)絡(luò)上已經(jīng)存在著無(wú)數(shù)的安全威脅與攻擊，對(duì)于它們，也存在著不同的分類方法。這里將網(wǎng)絡(luò)安全威脅分為兩大類：意外威脅和故意威脅?？偟膩?lái)說(shuō)，網(wǎng)絡(luò)安全面臨著多種攻擊和威脅，網(wǎng)絡(luò)安全問(wèn)題必將愈來(lái)愈引起人們的重視，保障網(wǎng)絡(luò)安全顯得特別重要。防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問(wèn)，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時(shí)允許合法用戶不受妨礙地訪問(wèn)網(wǎng)絡(luò)資源。如果使用得當(dāng)，可以在很大程度上提高網(wǎng)絡(luò)安全。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)目前網(wǎng)絡(luò)上已經(jīng)存在著無(wú)數(shù)的安全威脅與攻擊，對(duì)于它們，也存在著733.1.5網(wǎng)絡(luò)安全問(wèn)題分類網(wǎng)絡(luò)存在的問(wèn)題主要有3類。一是機(jī)房安全。機(jī)房是網(wǎng)絡(luò)設(shè)備運(yùn)行的關(guān)鍵地方，如果發(fā)生安全問(wèn)題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負(fù)載不均等）等情況。二是病毒的侵入和黑客的攻擊。Internet開(kāi)拓性的發(fā)展使病毒可能成為災(zāi)難。據(jù)美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)（NCSA）最近一項(xiàng)調(diào)查發(fā)現(xiàn)，幾乎100%的美國(guó)大公司都曾在他們的網(wǎng)絡(luò)或計(jì)算機(jī)上經(jīng)歷過(guò)計(jì)算機(jī)病毒的危害。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)3.1.5網(wǎng)絡(luò)安全問(wèn)題分類3.1網(wǎng)絡(luò)安全下一頁(yè)返回上74黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成的威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)中信息的威脅；二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。它們以各種方式有選擇地破壞信息的有效性和完整性，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。三是由于管理不健全而造成的安全漏洞。從廣泛的網(wǎng)絡(luò)安全意義范圍來(lái)看，網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，更是一個(gè)管理問(wèn)題。它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面。網(wǎng)絡(luò)安全技術(shù)只是實(shí)現(xiàn)網(wǎng)絡(luò)安全的工具。因此，要解決網(wǎng)絡(luò)安全問(wèn)題，必須要有綜合的解決方案。3.1網(wǎng)絡(luò)安全下一頁(yè)返回上一頁(yè)黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成的威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)中信息的753.1.6網(wǎng)絡(luò)安全工作的發(fā)展及趨勢(shì)縱觀近幾年來(lái)網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)安全工作大致有以下幾個(gè)方面的特征。1.需求日益增加，市場(chǎng)潛力巨大2.國(guó)內(nèi)廠商日益成熟，競(jìng)爭(zhēng)日趨激烈3.專業(yè)安全服務(wù)已經(jīng)逐漸引起重視4.網(wǎng)絡(luò)安全整體方案需求更趨實(shí)用5.國(guó)家重大工程成為網(wǎng)絡(luò)安全市場(chǎng)的巨大推動(dòng)力3.1網(wǎng)絡(luò)安全返回上一頁(yè)3.1.6網(wǎng)絡(luò)安全工作的發(fā)展及趨勢(shì)3.1網(wǎng)絡(luò)安全返回763.2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)把網(wǎng)絡(luò)中各個(gè)站點(diǎn)相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)洹?gòu)成網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有很多種，主要有總線型拓?fù)?、星型拓?fù)?、環(huán)型拓?fù)?、?shù)型拓?fù)浜途W(wǎng)狀型拓?fù)?，這些是構(gòu)建網(wǎng)絡(luò)的基本模塊，混合使用這幾種模塊就能作進(jìn)一步的設(shè)計(jì)。以下分別介紹各種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。1.總線型拓?fù)浣Y(jié)構(gòu)總線型拓?fù)浣Y(jié)構(gòu)是指采用單根傳輸線作為總線，所有工作站都共用一條總線。當(dāng)其中一個(gè)工作站發(fā)送信息時(shí)，該信息將通過(guò)總線傳到每一個(gè)工作站上。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回3.2.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返77工作站在接到信息時(shí)，先要分析該信息的目標(biāo)地址與本地地址是否相同，若相同，則接收該信息；若不相同，則拒絕接收?？偩€型拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)是電纜長(zhǎng)度短，布線容易，便于擴(kuò)充；其缺點(diǎn)主要是總線中任一處發(fā)生故障將導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓，且故障診斷困難。圖31顯示了總線型拓?fù)浣Y(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)工作站在接到信息時(shí)，先要分析該信息的目標(biāo)地址與本地地址是否相782.星型拓?fù)浣Y(jié)構(gòu)星型拓?fù)浣Y(jié)構(gòu)是指網(wǎng)絡(luò)中各工作站都直接連接到集線器（HUB）或交換機(jī)上，每個(gè)工作站要傳輸數(shù)據(jù)到其他工作站時(shí)，都需要通過(guò)集線器（HUB）或交換機(jī)進(jìn)行。星型拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)是連接方便，故障診斷容易，若一個(gè)工作站出現(xiàn)故障不會(huì)影響網(wǎng)絡(luò)的運(yùn)行，可靠性較高；缺點(diǎn)是連接電纜較長(zhǎng)，對(duì)集線器（HUB）或交換機(jī)的依賴性較高。圖32顯示了星型拓?fù)浣Y(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)2.星型拓?fù)浣Y(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)793.環(huán)型拓?fù)浣Y(jié)構(gòu)環(huán)型拓?fù)浣Y(jié)構(gòu)是指每一個(gè)工作站都連接在一個(gè)封閉的環(huán)路中。當(dāng)一個(gè)工作站發(fā)出信息時(shí)，該信息會(huì)依次通過(guò)所有的工作站，每個(gè)工作站在接到該信息時(shí)，會(huì)對(duì)該信息的目標(biāo)地址和本地地址進(jìn)行比較，若相同，則接收，然后恢復(fù)信號(hào)的原有強(qiáng)度并繼續(xù)向下發(fā)送；若不同，則不接收，只恢復(fù)信號(hào)的原有強(qiáng)度并繼續(xù)向下發(fā)送，直到再次發(fā)送到起始工作站為止。環(huán)型拓?fù)浣Y(jié)構(gòu)具有信號(hào)強(qiáng)度不變的優(yōu)點(diǎn)，同時(shí)其又具有新增用戶較為困難，網(wǎng)絡(luò)可靠性較差，不易管理的缺點(diǎn)。圖33顯示了環(huán)型拓?fù)浣Y(jié)構(gòu)的示意圖。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)3.環(huán)型拓?fù)浣Y(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)804.樹(shù)型拓?fù)浣Y(jié)構(gòu)樹(shù)型網(wǎng)絡(luò)是星形網(wǎng)絡(luò)的一種變體。像星形網(wǎng)絡(luò)一樣，網(wǎng)絡(luò)節(jié)點(diǎn)都連接到控制網(wǎng)絡(luò)的中央節(jié)點(diǎn)上。但并不是所有的設(shè)備都直接接入中央節(jié)點(diǎn)，絕大多數(shù)節(jié)點(diǎn)是先連接到次級(jí)中央節(jié)點(diǎn)上再連到中央節(jié)點(diǎn)上，其結(jié)構(gòu)如圖34所示。樹(shù)型拓?fù)浣Y(jié)構(gòu)就像一棵“根”朝上的樹(shù)，與總線拓?fù)浣Y(jié)構(gòu)相比，主要區(qū)別在于總線拓?fù)浣Y(jié)構(gòu)中沒(méi)有“根”。這種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)一般采用同軸電纜，用于軍事單位、政府部門等上、下界限相當(dāng)嚴(yán)格和層次分明的部門。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)4.樹(shù)型拓?fù)浣Y(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)815.網(wǎng)狀型拓?fù)浣Y(jié)構(gòu)網(wǎng)狀型網(wǎng)絡(luò)的每一個(gè)節(jié)點(diǎn)都與其他節(jié)點(diǎn)有一條專業(yè)線路相連。網(wǎng)狀型拓?fù)鋸V泛用于廣域網(wǎng)中。由于網(wǎng)狀網(wǎng)絡(luò)結(jié)構(gòu)很復(fù)雜，所以在此只給出圖35所示的抽象結(jié)構(gòu)圖。3.2.2網(wǎng)絡(luò)設(shè)計(jì)方法1.定義建設(shè)網(wǎng)絡(luò)的目的定義建設(shè)網(wǎng)絡(luò)的目的是網(wǎng)絡(luò)建設(shè)的第一步，它為網(wǎng)絡(luò)設(shè)計(jì)工作指明了方向。一般的網(wǎng)絡(luò)建設(shè)都有以下幾個(gè)共同的目的：3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)5.網(wǎng)狀型拓?fù)浣Y(jié)構(gòu)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一82●為Internet用戶提供本公司的信息訪問(wèn)，讓更多的人了解公司?！褡尡竟镜膯T工通過(guò)網(wǎng)絡(luò)共享Internet資源?！褡尡竟镜膯T工通過(guò)網(wǎng)絡(luò)訪問(wèn)共享公司各部門的數(shù)據(jù)?！裢ㄟ^(guò)建設(shè)網(wǎng)絡(luò)可以節(jié)省辦公成本和人員管理成本?！裢ㄟ^(guò)建設(shè)網(wǎng)絡(luò)來(lái)提高公司生產(chǎn)效率。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)●為Internet用戶提供本公司的信息訪問(wèn)，讓更多的人了832.明確需求一旦定義了網(wǎng)絡(luò)建設(shè)的目的后，就應(yīng)該對(duì)網(wǎng)絡(luò)安全的需求進(jìn)行確認(rèn)了。典型的網(wǎng)絡(luò)安全需求包括訪問(wèn)控制、可用性和數(shù)據(jù)完整性。這里有一些與網(wǎng)絡(luò)設(shè)計(jì)相關(guān)的問(wèn)題需要考慮：●公司有哪些服務(wù)需要對(duì)外共享？●每個(gè)用戶和部門需要訪問(wèn)哪些數(shù)據(jù)？●部門的安全數(shù)據(jù)應(yīng)該放在網(wǎng)絡(luò)的哪個(gè)位置上？●哪些用戶或部門可以訪問(wèn)Internet？●網(wǎng)絡(luò)性能需要達(dá)到什么樣的級(jí)別？3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)2.明確需求3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)84●用戶希望什么樣的服務(wù)水平？●本網(wǎng)絡(luò)希望什么樣的技術(shù)支持？3.預(yù)算網(wǎng)絡(luò)可用性需求確定后，就可以做一個(gè)預(yù)算來(lái)估計(jì)投資、維護(hù)費(fèi)用以及人工費(fèi)用。設(shè)計(jì)以及實(shí)施一個(gè)可用性達(dá)到99.9999%的網(wǎng)絡(luò)比一個(gè)只需要99.9%網(wǎng)絡(luò)需要更高的費(fèi)用。在實(shí)際當(dāng)中，預(yù)算通常是在項(xiàng)目籌劃時(shí)制定的。項(xiàng)目體系結(jié)構(gòu)完成后對(duì)預(yù)算再做一些調(diào)整會(huì)更加理想，因?yàn)檫@樣會(huì)使其更為準(zhǔn)確。另外，創(chuàng)建預(yù)算時(shí)，一定要考慮管理和維護(hù)網(wǎng)絡(luò)以及安全的人工時(shí)間。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)●用戶希望什么樣的服務(wù)水平？3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一854.完成設(shè)計(jì)完成上述步驟后就可以創(chuàng)建一個(gè)詳細(xì)的網(wǎng)絡(luò)設(shè)計(jì)。網(wǎng)絡(luò)設(shè)計(jì)文檔應(yīng)該詳細(xì)描述網(wǎng)絡(luò)，具體細(xì)節(jié)包括以下幾方面：●安全特性?！袼薪M件的制造特性?！窬钟蚓W(wǎng)和廣域網(wǎng)連接要求的帶寬?！馡P地址和子網(wǎng)劃分?！馝GP和IGP特性?！袢哂嘈?。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)4.完成設(shè)計(jì)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)86●網(wǎng)絡(luò)管理系統(tǒng)（NetworkManagementSystem，NMS）?！穹?wù)水平協(xié)議（SLA）的測(cè)量、處理和技術(shù)。5.創(chuàng)建實(shí)施計(jì)劃復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)要花費(fèi)非常多的時(shí)間去理解和實(shí)施，因此，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)盡量避免過(guò)于復(fù)雜的結(jié)構(gòu)或流程。實(shí)際上，實(shí)施計(jì)劃是由詳細(xì)的網(wǎng)絡(luò)設(shè)計(jì)文檔轉(zhuǎn)化而來(lái)的。在很多情況下，由于設(shè)計(jì)和實(shí)施的復(fù)雜性，設(shè)計(jì)人員和實(shí)施人員必須緊密協(xié)作才能保證從設(shè)計(jì)到實(shí)施的平穩(wěn)過(guò)渡。實(shí)施常常要求根據(jù)服務(wù)的數(shù)量和規(guī)模劃分為不同的階段，多個(gè)小組和用戶的協(xié)調(diào)對(duì)于順利實(shí)施及對(duì)用戶產(chǎn)生最小的影響是很必要的。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)●網(wǎng)絡(luò)管理系統(tǒng)（NetworkManagementSy87實(shí)施計(jì)劃是一個(gè)詳細(xì)的一步一步涵蓋每一個(gè)設(shè)計(jì)要求的過(guò)程，它在實(shí)施之前要求先在實(shí)驗(yàn)室進(jìn)行測(cè)試，以保證包括了所有的細(xì)節(jié)并且結(jié)合得比較緊密。對(duì)可用性的要求、資源限制、組織標(biāo)準(zhǔn)都會(huì)影響到實(shí)驗(yàn)室測(cè)試的復(fù)雜程度。6.測(cè)試和確認(rèn)在最后部署設(shè)備之前，判斷一個(gè)設(shè)計(jì)能否正常工作的最好辦法是對(duì)其進(jìn)行測(cè)試和確認(rèn)。一個(gè)獨(dú)立的測(cè)試確認(rèn)實(shí)驗(yàn)室可用于比較不同的銷售商的產(chǎn)品、測(cè)試配置和新方法、確認(rèn)共用性。此外，在設(shè)備部署之前也要對(duì)維護(hù)進(jìn)行測(cè)試，這樣可以減少由于服務(wù)中斷導(dǎo)致的風(fēng)險(xiǎn)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)實(shí)施計(jì)劃是一個(gè)詳細(xì)的一步一步涵蓋每一個(gè)設(shè)計(jì)要求的過(guò)程，它在實(shí)883.2.3網(wǎng)絡(luò)防火墻的設(shè)計(jì)1.防火墻要能確保滿足的目標(biāo)防火墻在實(shí)施安全的過(guò)程中是至關(guān)重要的。一個(gè)防火墻策略要符合4個(gè)目標(biāo)，而每個(gè)目標(biāo)通常都不是通過(guò)一個(gè)單獨(dú)的設(shè)備或軟件來(lái)實(shí)現(xiàn)的。大多數(shù)情況下，防火墻的組件放在一起使用以滿足公司安全目的的需求。防火墻要能確保滿足以下4個(gè)目標(biāo)：3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)3.2.3網(wǎng)絡(luò)防火墻的設(shè)計(jì)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一89（1）創(chuàng)建一個(gè)安全策略防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略。在前面提到過(guò)在適當(dāng)?shù)木W(wǎng)絡(luò)安全中安全策略的重要性。如果安全策略只需對(duì)MAIL服務(wù)器的SMTP流量做些限制，那么就只要直接在防火墻強(qiáng)制這些策略。（2）創(chuàng)建一個(gè)阻塞點(diǎn)防火墻在一個(gè)公司私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間建立一個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過(guò)這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視、過(guò)濾和檢查所有進(jìn)來(lái)和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為阻塞點(diǎn)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（1）創(chuàng)建一個(gè)安全策略3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上90通過(guò)強(qiáng)制所有進(jìn)出流量都通過(guò)這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少的地方來(lái)實(shí)現(xiàn)安全目的。如果沒(méi)有這樣一個(gè)供監(jiān)視和控制信息的檢查點(diǎn)，系統(tǒng)或安全管理員則要在大量的地方來(lái)進(jìn)行監(jiān)測(cè)。檢查點(diǎn)的另一個(gè)名字叫做網(wǎng)絡(luò)邊界。（3）記錄Internet活動(dòng)防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。通過(guò)在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問(wèn)。好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對(duì)于管理員進(jìn)行日志存檔提供了更多的信息。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)通過(guò)強(qiáng)制所有進(jìn)出流量都通過(guò)這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較91（4）限制網(wǎng)絡(luò)暴露防火墻在內(nèi)部網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。并且對(duì)于公網(wǎng)隱藏了內(nèi)部系統(tǒng)的一些信息以增加保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測(cè)內(nèi)部網(wǎng)絡(luò)時(shí)，它們僅僅能看到防火墻。遠(yuǎn)程設(shè)備將不會(huì)知道內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對(duì)網(wǎng)絡(luò)加密來(lái)限制網(wǎng)絡(luò)信息的暴露。通過(guò)對(duì)所能進(jìn)來(lái)的流量實(shí)行源檢查，以限制從外部發(fā)動(dòng)的攻擊。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（4）限制網(wǎng)絡(luò)暴露3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一922.考慮的事項(xiàng)●性能需要在充分的安全/防火墻和數(shù)據(jù)訪問(wèn)之間作精心的平衡。在訪問(wèn)列表或過(guò)濾處理中應(yīng)用的安全水平越高，性能就會(huì)越差?！襁^(guò)濾器在使用IP地址進(jìn)行訪問(wèn)控制時(shí)效率較高。然而，對(duì)于許多設(shè)備來(lái)說(shuō)，過(guò)濾表越長(zhǎng)，需要對(duì)每個(gè)包進(jìn)行檢查的時(shí)間就越長(zhǎng)?！裣到y(tǒng)提供過(guò)濾服務(wù)的速度能達(dá)到千兆。性能受不同因素影響會(huì)有所區(qū)別，這些因素包括使用了多少過(guò)濾器、軟件對(duì)包的掃描有多深（OSI模型三層到七層）、流量的類型。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)2.考慮的事項(xiàng)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)93●加密和解密會(huì)產(chǎn)生延遲?！褡柚箤?duì)某些端口的訪問(wèn)是保證性能的有效手段，但這將同樣會(huì)阻止那些使用這些端口的應(yīng)用。3.設(shè)計(jì)網(wǎng)絡(luò)防火墻的技術(shù)設(shè)計(jì)網(wǎng)絡(luò)邊界時(shí)可采用不同的技術(shù)，以提供不同層次的安全、服務(wù)和性能。下面是防火墻設(shè)計(jì)中常見(jiàn)的技術(shù)類型，可以提供出色的安全?！穹擒娛聟^(qū)（DMZ）?！癖局鳈C(jī)?！襁^(guò)濾網(wǎng)關(guān)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)●加密和解密會(huì)產(chǎn)生延遲。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返94（1）非軍事區(qū)非軍事區(qū)是一段網(wǎng)絡(luò)，它允許Internet流量出入Intranet，同時(shí)仍能保證Intranet的安全。DMZ（DemilitarizedZone）提供了在Internet和Intranet之間的緩沖。DMZ通過(guò)使用服務(wù)器和第三層設(shè)備防止Intranet直接暴露給Internet，從而提高了安全性。DMZ中連接的服務(wù)器可能包括為內(nèi)部用戶提供Web訪問(wèn)的代理服務(wù)器、提供安全遠(yuǎn)程訪問(wèn)的VPN服務(wù)器，以及其他諸如郵件服務(wù)器和域名服務(wù)器等。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（1）非軍事區(qū)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)95（2）堡壘主機(jī)堡壘主機(jī)是指在極其關(guān)鍵的位置上用于安全防御的某個(gè)系統(tǒng)。堡壘主機(jī)系統(tǒng)必須檢查所有進(jìn)入的流量并強(qiáng)制執(zhí)行在安全策略里所指定的規(guī)則，它們還必須準(zhǔn)備好對(duì)付從外部來(lái)的攻擊和可能來(lái)自內(nèi)部的資源。堡壘主機(jī)系統(tǒng)還有日志記錄及警報(bào)的特性來(lái)阻止攻擊。有時(shí)檢測(cè)到一個(gè)威脅時(shí)也會(huì)采取行動(dòng)。對(duì)于此系統(tǒng)的安全要給予額外關(guān)注，還要有例行的審計(jì)和安全檢查。如果攻擊者要攻擊內(nèi)部網(wǎng)絡(luò)，那他們只能攻擊到這臺(tái)堡壘主機(jī)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（2）堡壘主機(jī)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)96堡壘主機(jī)可以是3種防火墻中的任一種類型：包過(guò)濾，電路級(jí)網(wǎng)關(guān)，應(yīng)用級(jí)網(wǎng)關(guān)。通常人們使用經(jīng)過(guò)加固的且沒(méi)有IP轉(zhuǎn)發(fā)的系統(tǒng)作為Internet和Intranet間的堡壘主機(jī)。Internet和Intranet都可以對(duì)堡壘主機(jī)的數(shù)據(jù)進(jìn)行訪問(wèn)，但這兩個(gè)網(wǎng)絡(luò)從來(lái)不能直接交換數(shù)據(jù)。可以在堡壘主機(jī)上放置和更新Web服務(wù)，此時(shí)堡壘主機(jī)會(huì)阻止從Internet到Intranet的網(wǎng)絡(luò)訪問(wèn)。（3）過(guò)濾網(wǎng)關(guān)“過(guò)濾網(wǎng)關(guān)”是一個(gè)起防火墻作用的路由器，它通過(guò)選擇TCP和UDP端口來(lái)進(jìn)行流量的過(guò)濾，很多情況下它也阻止ICMP包。被阻止的來(lái)自Internet的訪問(wèn)主要集中于那些危險(xiǎn)性很高的服務(wù)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)堡壘主機(jī)可以是3種防火墻中的任一種類型：包過(guò)濾，電路級(jí)網(wǎng)關(guān)，97使用過(guò)濾網(wǎng)關(guān)是一種非常常用的防止訪問(wèn)Intranet的方法。傳統(tǒng)的防火墻通過(guò)在OSI的更高層增加屏蔽網(wǎng)絡(luò)流量的方式拓展了過(guò)濾網(wǎng)關(guān)的概念。4.設(shè)計(jì)規(guī)則當(dāng)構(gòu)造防火墻設(shè)備時(shí)，經(jīng)常要遵循下面兩個(gè)主要的概念：第一，保持設(shè)計(jì)的簡(jiǎn)單性；第二，要計(jì)劃好一旦防火墻被滲透應(yīng)該怎么辦。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)使用過(guò)濾網(wǎng)關(guān)是一種非常常用的防止訪問(wèn)Intranet的方法。98（1）保持設(shè)計(jì)的簡(jiǎn)單性一個(gè)黑客滲透系統(tǒng)最常見(jiàn)的方法就是利用安裝在堡壘主機(jī)上不注意的組件。建立你的堡壘主機(jī)時(shí)要盡可能使用較小的組件，無(wú)論硬件還是軟件。堡壘主機(jī)的建立只需提供防火墻功能。在防火墻主機(jī)上不要安裝像Web服務(wù)的應(yīng)用程序。要?jiǎng)h除堡壘主機(jī)上所有不必需的服務(wù)或守護(hù)進(jìn)程。在堡壘主機(jī)上運(yùn)行少量的服務(wù)給潛在的黑客很少的機(jī)會(huì)穿過(guò)防火墻。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（1）保持設(shè)計(jì)的簡(jiǎn)單性3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回99（2）安排事故計(jì)劃如果已設(shè)計(jì)好防火墻性能，并且規(guī)定只有通過(guò)防火墻才能允許公共訪問(wèn)內(nèi)部網(wǎng)絡(luò)。當(dāng)設(shè)計(jì)防火墻時(shí)，安全管理員要對(duì)防火墻主機(jī)崩潰或危及的情況做出計(jì)劃。如果僅僅是用一個(gè)防火墻設(shè)備把內(nèi)部網(wǎng)絡(luò)和公網(wǎng)隔離開(kāi)，那么黑客滲透進(jìn)防火墻后就會(huì)對(duì)內(nèi)部的網(wǎng)絡(luò)有著完全訪問(wèn)的權(quán)限。為了防止這種滲透，要設(shè)計(jì)幾種不同級(jí)別的防火墻設(shè)備。不要依賴一個(gè)單獨(dú)的防火墻保護(hù)單獨(dú)的網(wǎng)絡(luò)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)（2）安排事故計(jì)劃3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一1005.4種常見(jiàn)的防火墻設(shè)計(jì)4種常見(jiàn)的防火墻設(shè)計(jì)都提供一個(gè)確定的安全級(jí)別，一個(gè)簡(jiǎn)單的規(guī)則是越敏感的數(shù)據(jù)就要采取越廣泛的防火墻策略，這4種防火墻的實(shí)施都是建立一個(gè)過(guò)濾的矩陣和能夠執(zhí)行和保護(hù)信息的點(diǎn)。這4種選擇是：●篩選路由器?！駟嗡拗鞅局鳈C(jī)?！耠p宿主堡壘主機(jī)?！衿帘巫泳W(wǎng)。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)返回上一頁(yè)5.4種常見(jiàn)的防火墻設(shè)計(jì)3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)下一頁(yè)101篩選路由器的選擇是最簡(jiǎn)單的，因此也是最常見(jiàn)的，大多數(shù)公司至少使用一個(gè)篩選路由器作為解決方案，因?yàn)樗行枰挠布呀?jīng)投入使用。用于創(chuàng)建篩選主機(jī)防火墻的兩個(gè)選擇是單宿主堡壘主機(jī)和雙宿主堡壘主機(jī)。不管是電路級(jí)還是應(yīng)用級(jí)網(wǎng)關(guān)的配置，都要求所有的流量通過(guò)堡壘主機(jī)。最后一個(gè)常用的方法是篩選子網(wǎng)防火墻，利用額外的包過(guò)濾路由器來(lái)達(dá)到另一個(gè)安全的級(jí)別。在企業(yè)組織中，常常有兩個(gè)不同的防火墻：外圍防火墻和內(nèi)部防火墻。雖然這些防火墻的任務(wù)相似，但是它們有不同的側(cè)重點(diǎn)，外圍防火墻主要提供對(duì)不受信任的外部用戶的限制，而內(nèi)部防火墻主要防止外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶可以執(zhí)行的操作。3.2網(wǎng)絡(luò)的防火墻設(shè)計(jì)返回上一頁(yè)篩選路由器的選擇是最簡(jiǎn)單的，因此也是最常見(jiàn)的，大多數(shù)公司至少1023.3.1接受使用策略接受使用策略定義了公司網(wǎng)絡(luò)資源的使用方法。通過(guò)使用合理的安全策略、確保系統(tǒng)和設(shè)備進(jìn)行適當(dāng)?shù)募庸?，就可以?chuàng)建出更易管理的安全環(huán)境。此外，策略的條文也使得管理人員能夠?qū)`反策略者進(jìn)行約束?？山邮苁褂貌呗缘牡湫蜅l款如下：●策略的范圍，就是指策略適用于哪個(gè)網(wǎng)絡(luò)、哪些用戶及哪些技術(shù)。●一個(gè)清晰的確認(rèn)書(shū)，要求用戶聲明他／她已經(jīng)閱讀、理解并同意遵守此策略?！襁`反策略的后果。3.3安全策略下一頁(yè)返回3.3.1接受使用策略3.3安全策略下一頁(yè)返回103●明確聲明用戶在使用公司網(wǎng)絡(luò)時(shí)將不能得到隱私保證，因?yàn)樗谢顒?dòng)都會(huì)提交給安全監(jiān)測(cè)。●聲明在使用公司資源時(shí)各種可接受的和不可接受的行為。3.3.2特殊策略除了有一個(gè)管理公司系統(tǒng)的整體策略，還需要有一些特殊策略才能保證系統(tǒng)的使用和管理符合預(yù)期的目標(biāo)。特殊策略細(xì)化了安全措施，可以保護(hù)網(wǎng)絡(luò)中的系統(tǒng)免受有意的或無(wú)意的破壞。特殊策略包括以下一些（但又不止是這些）：3.3安全策略下一頁(yè)返回上一頁(yè)●明確聲明用戶在使用公司網(wǎng)絡(luò)時(shí)將不能得到隱私保證，因?yàn)樗?041.賬戶和密碼對(duì)于用戶來(lái)說(shuō)，賬戶和密碼是第一道防線。每個(gè)用戶都有自己賬戶和密碼的控制權(quán)。這條策略規(guī)定了進(jìn)行賬戶及密碼管理的組織標(biāo)準(zhǔn)。2.軟件應(yīng)用程序和操作系統(tǒng)的銷售商會(huì)經(jīng)常發(fā)布補(bǔ)丁、服務(wù)包及版本更新等來(lái)為軟件添加新的特性、改進(jìn)功能、修改錯(cuò)誤和彌補(bǔ)新發(fā)現(xiàn)的安全漏洞。公司的安全管理員應(yīng)主動(dòng)瀏覽銷售商的網(wǎng)頁(yè)并訂閱郵件列表，以及時(shí)收到軟件更新的通知。這些更新在實(shí)施前要根據(jù)事先確定的如何進(jìn)行測(cè)試、備份及恢復(fù)的策略做慎重的考慮。3.3安全策略下一頁(yè)返回上一頁(yè)1.賬戶和密碼3.3安全策略下一頁(yè)返回上一頁(yè)105此外，還要使用一些工具定期檢查可能的漏洞，因?yàn)橛行┞┒纯赡苁窃谏洗螜z查和打補(bǔ)丁后出現(xiàn)的。3.物理安全一般的安全策略都會(huì)包括邏輯的和軟件的安全，而物理安全策略指明了公司為減少通信設(shè)施風(fēng)險(xiǎn)所應(yīng)采取的行動(dòng)，因?yàn)椋裟橙丝梢越佑|這些設(shè)施，則他就可能有意地或無(wú)意地進(jìn)行破壞。4.監(jiān)控策略服務(wù)器和網(wǎng)絡(luò)設(shè)備一般都有記錄日志的功能，可提供數(shù)據(jù)幫助判定違反安全策略事件的來(lái)源。對(duì)這些數(shù)據(jù)進(jìn)行監(jiān)控可以找出事故前后的有用信息，這樣就能提高公司系統(tǒng)的安全系數(shù)。3.3安全策略下一頁(yè)返回上一頁(yè)此外，還要使用一些工具定期檢查可能的漏洞，因?yàn)橛行┞┒纯赡苁?063.3.3設(shè)置防火墻的要素1.網(wǎng)絡(luò)策略影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級(jí)的網(wǎng)絡(luò)策略描述Firewall如何限制和過(guò)濾在高級(jí)策略中定義的服務(wù)。2.服務(wù)訪問(wèn)策略服務(wù)訪問(wèn)策略集中在Internet訪問(wèn)服務(wù)以及外部網(wǎng)絡(luò)訪問(wèn)（如撥入策略、SLIP/PPP連接等）。服務(wù)訪問(wèn)策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶服務(wù)之間獲得平衡。3.3安全策略下一頁(yè)返回上一頁(yè)3.3.3設(shè)置防火墻的要素3.3安全策略下一頁(yè)返回上1073.3.4防火墻策略及設(shè)計(jì)防火墻策略也稱為防火墻的安全規(guī)則，它是防火墻實(shí)施網(wǎng)絡(luò)保護(hù)的重要依據(jù)。防火墻策略設(shè)計(jì)的好壞直接影響到防火墻防護(hù)功能能否成功實(shí)現(xiàn)。因此首先要對(duì)防火墻策略有所了解和認(rèn)識(shí)，下面從幾個(gè)方面來(lái)介紹防火墻的策略以及設(shè)計(jì)。1.什么是防火墻策略黑客攻擊采用算法進(jìn)行程序設(shè)計(jì)，分為多種攻擊方式，防火墻之所以防范黑客，原理是根據(jù)黑客的算法，設(shè)計(jì)出相應(yīng)的防范規(guī)則加入防火墻。如果在工作狀態(tài)下，檢測(cè)到該訪問(wèn)符合預(yù)先設(shè)定的判別黑客的防范規(guī)則，則禁止該訪問(wèn)，達(dá)到防范目的。3.3安全策略下一頁(yè)返回上一頁(yè)3.3.4防火墻策略及設(shè)計(jì)3.3安全策略下一頁(yè)返回上108預(yù)先在防火墻內(nèi)設(shè)定的黑客判別規(guī)則稱為防火墻策略。防火墻策略越多，性能越好，但由于策略越多將導(dǎo)致防火墻運(yùn)算加大，因此通信量將大幅度降低。防火墻策略和防火墻通信量是相互矛盾的。2.防火墻策略特性（1）防火墻的主要意圖是強(qiáng)制執(zhí)行安全策略應(yīng)給予特別注意的是，防火墻不僅僅是路由器、堡壘主機(jī)或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。安全策略建立了全方位的防御體系來(lái)保護(hù)機(jī)構(gòu)的信息資源。3.3安全策略下一頁(yè)返回上一頁(yè)預(yù)先在防火墻內(nèi)設(shè)定的黑客判別規(guī)則稱為防火墻策略。防火墻策略越109所有有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。僅設(shè)立防火墻系統(tǒng)而沒(méi)有全面的安全策略，那么防火墻就形同虛設(shè)。（2）防火墻安全策略的主要功能就是實(shí)施訪問(wèn)控制規(guī)則訪問(wèn)控制的主要原則可以表達(dá)為“必須禁止那些未經(jīng)許可的訪問(wèn)”。除了訪問(wèn)控制規(guī)則以外，防火墻安全策略還定義了何種類型的流量需要記入日志、何種類型的流量應(yīng)當(dāng)產(chǎn)生告警。它還定義了地址使用翻譯規(guī)則、加強(qiáng)連接授