防火墙上针对网络攻击的防御措施有哪些
防火墙上针对网络攻击的防御措施有以下这些:
安全服务配置
安全服务隔离区((DMZ)把服务器机群和系统管理机群单独划分出来,设置为安全服务隔离区,它既是内部网络的一部分,又是一个独立的局域网,单独划分出来是为了更好的保护服务器上数据和系统管理的正常运行。建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这不仅可以对外屏蔽内部网络结构和IP地址,保护内部网络的安全,也可以大大节省公网IP地址的使用,节省了投资成本。如果单位原来已有边界路由器,则可充分利用原有设备,利用边界路由器的包过滤功能,添加相应的防火墙配置,这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器,则可直接与边界路由器相连,不用经过防火墙。它可只经过路由器的简单防护。在此拓扑结构中,边界路由器与防火墙就一起组成了两道安全防线,并且在这两者之间可以设置一个DMZ区,用来放置那些允许外部用户访问的公用服务器设施。
配置访问策略
访问策略是防火墙的核心安全策略,所以要经过详尽的信息统计才可以进行设置。在过程中我们需要了解本单位对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口,并根据不同应用的执行频繁程度对策略在规则表中的位置进行排序,然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的,如果将常用的规则放在首位就可以提高防火墙的工作效率。
日志监控
日志监控是十分有效的安全管理手段。往往许多管理员认为只要可以做日志的信息就去采集。如:所有的告警或所有与策略匹配或不匹配的流量等等,这样的做法看似日志信息十分完善,但每天进出防火墙的数据有上百万甚至更多,所以,只有采集到最关键的日志才是真正有用的日志。一般而言,系统的告警信息是有必要记录的,对于流量信息进行选择,把影响网络安全有关的流量信息保存下来。