【网络基础架构安全】下一代防火墙系统-2

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科【网络基础架构安全】下一代防火墙系统-2

1.4产品功能

防火墙是如何实现安全防护呢,主要有以下几点系统功能:

网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。

监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。

使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。

攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用,防火墙还支持具有Internet服务性的企业内部网络技术体系VPN(虚拟专用网)。

日志记录与事件通知:进出网络的数据都必须经过防火墙,防火墙通过日志对其进行记录,能提供网络使用的详细统计信息。当发生可疑事件时,防火墙更能根据机制进行报警和通知,提供网络是否受到威胁的信息。

1.5部署方式

防火墙一共有四种部署方式,路由模式,透明模式,混杂模式,旁路(镜像)模式,分别如下图部署:

路由(NAT )模式:路由部署模式常用于中小型企业组网中使用,一般都会将防火墙部署在内外网的边界交汇处,常见用于需要防火墙提供路由和NAT功能的场景。防火墙会分别对接互联网、企业内网、DMZ网络属于三层安全域,用于隔离内外网流量及部署相关安全防护配置。

图片[2]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科【网络基础架构安全】下一代防火墙系统-2

透明模式透明模式:又称为网桥模式,适用于原网络中已部署好路由器和交换机。用户不希望更改原有的网络,只需要一台防火墙进行安全防护的场景。 一般情况下透明模式的防火墙部署在原有网络的路由器和交换机之间,或者部署在互联网和路由器之间。内网通过原有的路由器上网,防火墙只做安全控制。透明模式防火墙接口工作在二层模式下,转发数据会话信息的源目地址不变。

图片[3]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科【网络基础架构安全】下一代防火墙系统-2

混杂模式:防火墙可以同时实现路由(NAT )模式和透明模式共存的工作方式,客户如果有多个业务系统区域和防火墙互联,有的业务系统之间需要防火墙实现路由转发,有的业务系统之间不需要转发,那么可以将防火墙配置成混杂模式,路由模式和透明模式并存,互相之间不会影响正常的数据通信。

图片[4]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科【网络基础架构安全】下一代防火墙系统-2

旁路(镜像)模式:防火墙可以以旁路方式部署于网络中,连接至交换机的镜像接口,对交换机镜像过来的流量进行嗅探,发现并记录其中的安全威胁或可疑行为(如病毒、入侵、网络滥用等),无需改变网络结构,也不会影响网络流量并形成新的故障点

图片[5]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科【网络基础架构安全】下一代防火墙系统-2

1.6产品选

业务需求:明确用户的具体需求。选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。

首先,要考虑网络结构。包括网络边界出口链路的带宽要求、数量等情况,比如边界连接多个ISP:IP地址规划对防火墙地址转换的需求求,比如对路由模式和透明网桥模式的支持;是否要按照不同安全级别设立不同安全区域,如设置信任区,非信任区,DMZ区等。

业务应用系统需求。防火墙对特定应用的支持功能和性能,比如对视频、语音、数据库应用穿透防火墙的支持能力;防火墙对应用层信息过滤,比如对垃圾邮件、病毒、非法信息等过滤;对应用系统是否具有负载均衡功能。

用户及通信流量规模方面的需求。网络规模大小、跨防火墙访问的网络用户数量,要求防火墙具有较高的最大并发连接数;网络边界的通信流量要求防火墙具有较高的吞吐量、较低的丢包率、较低的延时等性能指标,防止出现网络性能瓶颈。

最后,还要考虑到可靠性、可用性、易用性等方面的需求。支撑高可用、高可靠的网络平台,要求防火墙必须达到一定的冗余能力,包括对双机热备、负载均衡、多机集群等的支持能力。对于大型网络分布式防火墙配置,要求有集中控管能力、管理界面的友好性、远程配置的安全保密等功能。

产品参数:目前防火墙常用的技术指标包括性能指标、功能指标、防攻击指标以及防火墙对集中管理、分级管理、日志管理等功能的支持,提供较为友好和安全的配置方式和工具等。

性能指标:主要包括吞吐量、丢包率、延迟、最大并发连接数、并发连接处理速率等。

功能指标:主要体现为几个方面:对网络层包过滤、连接状态检测功能的支持;对常见标准网络协议的支持功能,例如:802.1q、SNMP、IGMP、H.323、RIP、等IP网络协议;对应用层的访问控制和过滤功能的支持;对源/目标地址转换功能、路由/透明网桥混合工作。用户在选择时,应该根据自身的网络规模和需求,对上述几个指标参数进行详细了解。

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞5 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容