防火墙维护管理方法探讨

本文首先介绍了防火墙的基本概念、分类和特点,讨论了防火墙维护管理的方法和技术的发展趋势。


1。介绍


网络安全是一个不容忽视的问题。人们在享受互联网带来的便利和速度,我们必须不断面对新的挑战,通过网络开放带来的数据安全隐患。为了确保网络安全,在园区网络和外部网络的连接,可以在一个或多个中介系统中添加,防止非法入侵者的攻击,通过网络非法访问,并提供数据完整性和保密性,可靠性和安全审查和控制等方面,这些中间系统是防火墙(防火墙)技术,通过监测、限制、修改数据流穿过防火墙,尽可能地对外屏蔽网络内部结构、信息和运行,预发泄非法用户在网络外的攻击,访问并阻止病毒入侵,以实现内部网络的安全运行。


2,防火墙及其分类概述。


网络安全的重要性越来越受到网民的关注,大大小小的单位都有自己的内部网络,防病毒和反黑客已经成为保障单位信息系统安全的基本手段,防火墙是目前最重要的网络保护设备。它是不同网络之间的一系列组件,如可信局域网和不可信公网或网络安全域,是不同网络或网络安全域之间唯一的信息访问。它可以根据企业的安全策略控制(允许、拒绝、监视)访问网络的信息流,具有很强的抗攻击能力,是提供信息安全服务,实现网络和信息安全的基础设施。


2.1概述


从逻辑上讲,防火墙实际上是一个分析器、一个分隔符和一个限制器,它有效地监控内部网或Internet之间的任何活动,并确保局域网内的安全。


1)什么是防火墙


在古代,人们常常在家中砌砖墙。一旦发生火灾,可以阻止火势蔓延到其他公寓。现在,如果一个网络已经连接到互联网,用户可以访问外部世界并与之沟通。但同时,外面的世界也可以访问网络并与之交互的安全,调解。系统可以将网络和互联网之间建立一个安全的屏障,这一屏障的作用是阻止通过网络从外部网络威胁和网络入侵,为保卫安全和审计检查,耐火砖,它在古代的作用是相似的,所以障碍称为防火墙;。


防火墙可以是硬件类型,所有的数据都是由硬件芯片来监控,或者是软件类型的,软件是在计算机上运行和监控的,实际上硬件类型是固化在芯片中的UNIX系统软件,但它不占用CPU的处理时间,但价格非常高。对于个人用户来说,软件类型更方便、更真实。


2)防火墙的功能


防火墙只是一种保护装置,它是一种设备或一组网络设备,其目的是保护内部网络的访问安全,其主要任务是允许特殊连接通过,以及其他不允许的连接,其主要功能可以归纳如下:


应用程序访问规则可以用来过滤应用程序的网络行为。


它具有应用程序访问规则的学习功能。


网络活动的实时监控。


有一个日志来记录网络访问操作的细节;


当被阻止时,用户可以通过声音或闪烁图标向用户发出警报。


3)防火墙的使用


防火墙的目的是保护网络免受来自另一个网络攻击。因此,防火墙通常是一个被认为是安全的、可靠的和校园网络被认为是安全和不受信任的网络之间,防止他人通过不安全和不可靠的网络上的网络攻击,破坏网络安全,访问限制对非法用户的网络,把损失降到最低。


2.2防火墙的分类


市场上有很多硬件防火墙产品,分类标准相当复杂。他们通常分为包过滤、代理、监控等等。


1)包过滤


包过滤防火墙产品是初级产品,其技术基础是网络中的分包传输技术。网络上的数据都是基于包单元的传输,数据分成一定大小的数据包,每个数据包都会包含一些特定信息,如数据的源地址、目的地址、TCP或UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙的法官通过读取数据包中的地址信息;是否包是从受信任的安全站点,一旦发现危险网站的数据包,防火墙将关闭数据。


2)代理类型


代理防火墙也可以被称为代理服务器,它是更安全的比包过滤产品已经开始发展到应用层代理服务器的客户机与服务器之间,完全阻止了两者之间的数据交换。从客户端的角度来看,代理服务器相当于一个真正的服务器;从服务器,代理服务器是一个真正的客户。当客户机需要使用服务器上的数据,数据请求发送到代理服务器,然后代理服务器请求数据的服务器根据请求,然后将数据传送到客户端的代理服务器。因为没有直接的数据通道的外部制度和内部服务器之间,E外部恶意侵权也将难以伤害的企业内部网络系统。


3)监控类型


监控防火墙是新一代的产品,该技术实际上已经突破了原有防火墙定义,监控防火墙可以实时、主动地监控所有级别的数据。在对这些数据进行分析的基础上,监控防火墙可以有效地识别各级的非法入侵,同时防火墙产品的监控一般都是分布式检测器。这些探测器放置在应用服务器和其他网络的节点,不仅可以从外部网络攻击的检测,而且要防止强烈的valism。据权威统计,有相当比例的攻击来自网络系统对网络攻击。因此,监控防火墙不仅超越传统防火墙的定义,而且超过前两代产品安全。


三.防火墙的功能、特点及优缺点


防火墙通常是用一个可信的内部网络和外部网络之间的不信任,通过网络阻塞从外到局域网的威胁和入侵,确保局域网的安全。与其他网络产品相比,他们有自己的特色,但也有一些不可避免的局限性。功能,和在网络系统的优点和缺点的应用特点简介如下。


3.1防火墙的作用


防火墙可以进出网络的流量监控,只有让安全批准的信息输入,并对园区的网络威胁,错误和安全问题的缺陷数量的不断增加,网络入侵不仅来自复杂的攻击,但也从低水平或不适当的密码作为一种选择。结果,该防火墙的功能是防止意外,从受保护网络的未经授权的通信和力的单位要加强自身的安全策略,防火墙可以达到以下目的:一是限制他人进入内部网络,过滤不安全服务和非法用户;二是防止入侵者接近防御设施;三是限制用户访问特殊站点;四是监控互联网的安全性。


3.2防火墙的特点


在使用防火墙时,分析了防火墙的性能、技术指标和用户需求,包过滤防火墙技术简单实用,实现成本低。在相对简单的应用环境的情况下,可以保证系统的安全性,在一定程度上在一个相对较低的成本。包过滤技术是一种基于网络层的安全技术,只能根据源判断,数据包的目的端口的网络信息,无法识别的基础上,如附带恶意java小程序和电子邮件病毒的恶意应用层的入侵;防火墙安全剂高,可以检测并在应用层应用层扫描,并与基于病毒入侵的处理是非常有效的。当然,代理服务器必须所有类型的客户端应用程序可能有一个一、大大增加他复杂的系统管理;同时对数据包过滤和代理服务器防火墙外部防火墙的安全监测,但由于防火墙技术监测成本高,不易管理,所以目前实用的防火墙产品还处于产品类型的第二代,但在某些方面也有开始使用监测防火墙。


防火墙通常具有以下显著特征:


WWW浏览器、HTTP服务器和FTP可以通过动态、应用层过滤能力和身份认证相结合的方式实现。


对私有数据的加密支持确保虚拟专用网络和业务活动不受因特网的破坏。


客户端只允许用户访问指定的网络或选择安全通信的信息,如服务企业、本地网、校园网和分支机构、业务伙伴和移动用户。


反欺骗和欺骗是从外部获取网络的一种常用手段,它使包与网络相似,防火墙可以监视这些包,并可以丢弃。


采用C/S模式和跨平台支持,使一个平台上运行的管理模块能够控制在另一个平台上运行的监控模块。


3.3防火墙的优缺点


防火墙在保证网络安全运行方面起着重要作用,但一切都不完善,每一件事情的处理都要分为两种,防火墙也不例外,在充分利用防火墙为我们服务的优势的同时,也要面对自身弱点所带来的不便。


1)防火墙的优势


(1)防火墙能强化安全策略。因为数以百万计的人收集信息和交流信息的每一天在互联网上,难免会有不良的品德或违反规则的人。防火墙是为了防止发生;交警它执行站点的安全策略,只允许授权符合要求的规则通过。


(2)防火墙能有效地记录网络上的活动。因为所有传入和传出的信息都必须通过防火墙,防火墙是收集关于系统和网络的使用和误用的信息非常合适。作为访问的唯一点,防火墙可以保护网络和外部网络之间记录。


(3)防火墙限制了用户点的暴露,防火墙可以用来隔离网络的两个网段,这样可以通过整个网络防止影响一个网段的信息。


(4)防火墙是安全策略的检查点,所有传入和传出的信息必须通过防火墙,而防火墙成为安全问题的检查点,以便在门外拒绝可疑的访问。


2)防火墙的缺陷


(1)不能防范恶意的内部人士。防火墙可以禁止系统用户通过网络连接发送特定的信息,但用户可以将数据复制到磁盘,磁带放在公文包里。如果入侵者已经在防火墙,防火墙是无能为力的。内部用户可以窃取数据、破坏硬件和软件,和巧妙地修改程序而不是关闭防火墙。从内部威胁需要加强内部管理。


(2)是不可以通过其连接。防火墙可以有效地防止通过它发送的信息,但它并没有阻止,不是通过它发送信息。例如,如果该网站允许拨号访问内部系统的防火墙后面,是绝对没有办法为防火墙防止入侵者从拨号。


(3)所有威胁都不能被保护,防火墙用来防范已知的威胁。如果它是一个很好的防火墙设计,它可以防止新的威胁,但没有防火墙可以自动捍卫所有新的威胁。


4、防火墙的管理和维护


如果一个防火墙的设计是为了满足组织的需要,接下来的工作就是防火墙的管理与维护,防火墙的设计和施工完成后,它已经做了大量的工作,使其正常工作。值得注意的是,这里的许多维修工作自动完成。有管理和维护的4个主要方面。建立防火墙的安全策略、日常管理、监控系统和保持最新状态。


4.1建立防火墙的安全策略


是否制定安全策略是一个有争议的问题,有些人认为制定安全策略是必要的,因为它可以被看作是组织安全政策的概要,尤其是在网络和网络管理员对安全问题没有明确的策略时。


安全策略也可以称为访问控制策略,它包含了访问控制的规则和组织中其他资源的使用。访问控制包含有关访问哪些资源的信息,如读取、删除、下载以及哪些人拥有这些权限。


1)网络服务访问策略


网络服务访问策略是一种高层次的、特定于事件的策略,主要用于定义允许或禁止在网络中的网络服务,还包括对拨号访问限制和PPP(点对点协议)连接。这是因为在一个网络服务的限制可能导致用户使用其他方法,所以其他的方式也应受到保护。例如,如果一个防火墙可以防止用户使用Telnet服务访问互联网,有些人可能会使用拨号连接来获得这些服务,这可能会导致网络被攻击的网络服务访问策略不仅应该是一个网站安全策略的延伸,也发挥全球作用的国际保护组织的内部资源。这种策略可以包括很多东西,从文件切割规则的病毒扫描,从远程访问手机媒体的管理。


2)防火墙的设计策略


防火墙的设计策略是专门针对防火墙,并负责制定相应的规章制度,实施网络服务访问策略,在这种策略,你必须明白,这个防火墙的性能缺陷,漏洞和TCP / IP防火墙一般执行自己的危险。一个基本的策略:


(1)允许某种服务,除非它是明确不允许的。


除非明确允许,否则将禁止服务。


执行的第一个政策防火墙允许所有服务的默认情况下,除非管理员明确禁止服务。防火墙执行第二政策禁止所有服务,默认情况下,除非管理员明确表示服务许可。防火墙可以实施宽松的策略(一),并实施限制性策略(第二一),这是使防火墙策略的出发点。


3)安全策略设计中需要考虑的问题


为了确定防火墙的安全性设计策略,然后构建实现预期安全策略的防火墙,我们应该从最安全的防火墙设计策略开始,即禁止明文禁止某些服务,该策略应解决以下问题:


需要什么服务,如telnet、www或NFS;


这些服务的使用,例如本地、通过互联网、从家庭或远程办公室等;


是否支持拨号访问和加密等服务;


提供这些服务的风险是什么;


如果提供这种保护,可能会给网络的使用带来不便和负面影响,影响会有多大。


与可用性相比,站点的安全在哪里。


4.2日常管理


日常管理是保持防火墙干净、安全的一项重要而繁琐的工作,为此需要做的主要工作有:数据备份、帐户管理、磁盘空间管理等。


1)数据备份


请务必备份防火墙的数据。使用通用机器的常规自动备份系统。当系统正常完成时,最好发送确认信,当发现错误时,最好生成一条明确的消息。


当发生错误时,为什么要寄一封信呢如果系统在出错时只生成一封信,它可能不会注意到系统根本不起作用。如果备份系统正常,在执行失败时产生的信息,为什么需要明显不同的信息然后习惯于忽略成功信息的人也可能忽略失败信息,理想的情况是有一个程序检查备份执行,并且在不执行备份时生成一条消息。


2)账户管理


账户管理是日常管理中最常见的一种,包括增加新帐号、删除旧帐号、查看密码时间限制等,在防火墙上,正确添加新帐号、快速删除旧帐号、及时更改密码绝对是一项非常重要的工作。


建立一个程序来增加您的帐户,并尝试用一个程序来增加你的帐户。即使没有对防火墙系统的多个用户,每个用户都可以是危险的。普通人有过错,即几步,或几天的过程。如果这个空间碰巧发生在某个帐户没有密码,入侵者会轻易进来。


账户设置程序必须标记的帐户的日期,并检查帐户自动每隔一阶段。虽然你不需要自动关闭帐户,您需要自动通知那些已经超过该帐户的时间。如果可能的话,设置监控这些账户的自动系统,可以在UNIX系统生成帐户文件,然后将它发送到其他机器,每台机器生成或帐户,这些帐户的文件自动复制到UNIX,并再检查一遍。


如果系统支持密码功能期,它应该打开。例如选择稍长的词,,三到六个月。如果密码有效期过短,一个月为例,用户可以尽量避免时间的限制,并不能得到真正的好处在安全保护。以同样的方式,如果密码周期函数并不能保证用户在帐户是停止看到密码过期通知,不要打开这个功能,否则,用户会很不方便,并将风险锁定系统管理人员在机器的需要。


3)磁盘空间管理


数据总是充满了所有的空间,甚至几乎没有用户的机器。人们总是扔东西到文件系统中的每一个角落和传输各种数据文件系统的临时地址。这些问题往往超出人们的想象。而不是说,你可能需要使用磁盘空间,只是这样的一个片段,容易造成混淆,使得事件更加复杂。有人可能会问:这是安装一个新的是,入侵者真的是一个普通的数据文件的程序,把程序版本的最后一个节目是有特殊意义的入侵者的等等,不幸的是,可以自动找到废的方法,特别是能对周围的磁盘写入系统管理员。因此,最好是一个人定期检查磁盘,并将每个新的系统管理员通过磁盘是特别有效的。他们会找到那些管理员忽视了。


在大多数防火墙,登录主磁盘空间问题。这些记录应自动进行,自动重新启动,并且这些数据最好是被压缩,trimlon程序可以自动执行此程序。当系统管理员希望削减或移动的记录,我们必须停止程序或让他们暂停记录。如果有一个截断或移动记录,程序有一个问题,就是试图写记录文件。事实上,即使程序刚刚准备好再写,也可能会遇到麻烦。


4.3监控系统


防火墙的维护和监控系统是防火墙维护的关键,它可以告诉系统管理员以下问题:


防火墙是危险的吗


防火墙能为用户提供服务吗


防火墙还在工作吗


攻击防火墙的攻击是什么类型的


要回答这些问题,首先,我们应该知道防火墙的正常工作状态是什么。


1)特种设备的监测


虽然大部分的监测工作是基于现有的工具或数据记录在防火墙,它也可以感觉到,如果有一些特殊的监控设备,这将是非常方便的。例如,你可能需要把一个监测站对周围网络以确保所有的数据包都是预期的。一个网络偷窥包一般可以使用计算机,或专用网络探测器可用于。


如何确定该监测机不会受到事实上的入侵者,最好不要让人知道它的存在。一些网络硬件设备,仅通过一些技术和双隔离开关(线切割)取消网络接口的传输功能,可以将机床无法检测,很难被侵略者。如果你的操作系统的原程序,您也可以取消传输从那里随时停止传输。然而,很难确定操作是否已经在这种情况下是成功的。


2)应该监控什么


理想情况下,你应该通过防火墙知道一切,包括每一个连接,和每一个数据包被丢弃或接受。然而,实际情况是很难实现的,并权衡的是不影响主机的速度,也不能填满磁盘快,以便记录尽可能多的,和然后提取生成的记录总结。


在特殊情况下,要记录以下内容:一是所有被丢弃的包和连接被拒绝;二是每次成功,由一个堡垒主机协议和用户名连接;三是从路由器中的所有错误中发现的,以及一些代理程序的堡垒主机。


3)监测方面的一些经验


可疑的事件应该分为几类:一是了解事件的原因,但这不是一个安全问题;二是不知道是什么原因,不知道是什么原因引起的,但不管它是什么,它再也没有出现过;有三人试图入侵然而,问题并不严重,只是尝试;四是事实上有人入侵。


这些类别之间的界限是模糊的。它是不可能提供任何上述问题详细的标志,但下面的经验可能有助于网络系统管理员。如果你发现以下,网络管理员有理由怀疑网站上的人:一个在尝试访问不安全的港口服务是启发式(如试图连接的端口映射或调试服务器);二是使用普通账户登录(如客人);三是要求FTP文件传输或传输NFS(网络文件系统,网络文件系统)定位;四是对SMTP(简单邮件传输协议,网站简单邮件传输协议)服务器发送调试命令。


如果网络管理员发现任何以下,我们应该给予更多的重视。因为可能的入侵正在进行:一是许多失败的尝试,签署法律,特别是在互联网上的一般帐户;二是未知的数据包的顺序;三是在每个端口的广播数据包的范围;四是工作网站登录到未知。


如果网络管理员发现以下情况,应怀疑已成功入侵网站:一个是日志文件被删除或修改;二是信息的正常程序突然忽略了所期望的;三是一个新的日志文件,包含密码信息或数据不能说明包的痕迹;四是意外(例如,特权用户登录根),或者用户突然成为用户偶然用户权限;五是从机是由应用程序或侵犯的诱惑,类似于系统程序;六是登录提示信息的变化。


4)勘探处理


正常情况下,它是发现外面的世界显然是测试防火墙——必然;mdash;有人发送数据包到服务不传递到互联网,并试图登录一个不存在的帐户。诱惑通常采取一次或两次,如果他们没有得到一个有趣的响应,他们通常走。如果你想找出测试是从哪里来的,也许要花很多的时间去追求类似的事件。然而在大多数情况下,它不会是非常有效的,和追求的新鲜感很快就会消失。


有些人满足于建立一个防火墙机勾引人的一般测试。例如,建立一个在匿名FTP区用户帐户数据文件,即使测试解密密码,看到的只是一个虚假的消息。这是无伤害的空闲时间,并能得到报复的快感,但事实上,它不提高了防火墙的安全性。它只会让入侵者,从而坚定的侵略者的决心进入网站。


4.4保持最新状态


保持防火墙的最新状态也是防火墙维护和管理的重点,在入侵和反入侵领域,每天都会发现新的事物和新的问题,并采用新的方式进行攻击。同时,现有的工具也将不断更新,因此,有必要使防火墙与该领域的发展保持同步。


当防火墙需要修补的东西,升级,或增加新的功能,你必须花更多的时间,当然,时间,长度,取决于复杂的修理、升级,或增加新的功能,更好的设计和施工的防火墙就可以了,不需要花时间适应这些变化如果更准确的网站需要估计的开始。


5、结束语


随着我国互联网的快速发展,网络安全问题越来越受到人们的关注,防火墙技术也引起各方面的广泛关注。除了推出对防火墙的一些研究,我国海外关注的信息安全和防火墙的发展,使我们能够把握这个信息更快,将它应用到我们的网前。当然,每个人都有缺点,我们从防火墙维护和管理研究学会,以保护网络防火墙的安全性,但它是相对的而不是绝对的安全。