@邪恶贝壳
2年前 提问
1个回答
网络防火墙的实现包括哪些方面
一颗小胡椒
2年前
网络防火墙的实现包括以下方面:
决定防火墙的类型和拓扑结构:针对防火墙所保护的系统的安全级别做出定性和定量的评估,从系统的成本、安全保护实现的难易程度以及升级、改造和维护的难易程度,决定该防火墙的类型和拓扑结构。
制定安全策略:在实现过程中,没有被允许的服务都是被禁止的(默认拒绝),没有被禁止的服务都是允许的(默认允许)。这样,网络安全的第一个策略是拒绝一切未许可的服务,防火墙应先封锁所有信息流,然后再逐一完成每一项许可的服务;第二个策略是允许一切没有被禁止的服务,防火墙转发所有的信息,逐项删除被禁止的服务。在此策略的指导下,再针对系统制定各项具体策略。
确定包过滤规则:一般以处理IP数据包包头信息为基础,包括过滤规则序号、过滤方式、源端口号和目的端口号及协议类型等,它决定了算法执行时的顺序,因此正确的排列至关重要。过滤方式包括允许和禁止。
设计代理服务器代理服务器:接收外部网络结点提出的服务请求,如服务请求被接收、代理服务器再建立与实现服务器的连接。由于它作用于应用层,故可利用各种安全技术,如身份验证、日志登录、审计跟踪、密码技术等来加强网络安全性,解决包过滤所不能解决的问题。
严格定义功能模块并分散实现:防火墙由各种功能模块组成,如包过滤器、代理服务器、认证服务器、域名服务器、通信监控器等。这些功能模块最好由路由器和单独的主机实现。功能分散减少了实现的难度,增加了系统的可靠程度。
防火墙维护和管理方案的考虑:防火墙的日常维护是对访问记录进行审计,发现入侵和非法访问情况,据此对防火墙的安全性进行评价,需要时进行适当改进。管理工作要根据网络拓扑结构的改变或安全策略的变化,对防火墙进行硬件和软件的修改和升级。通过维护和管理进一步优化其性能,以保证网络及其信息的安全性。