当前位置: MCBANG > 首页考试试题 > 计算机 > 安全论文 > 正文

尖刀网安: 网络安全知识系列讲座之二为保障网络安全加一道防火墙

2012-7-5 13:09 来源:尖刀网安 浏览次数:693 我来说两句(0)
  1993年,中国第一条64K专线接通了国际互联网,弹指10年间网络时代给我们的工作生活带来了巨大的变化。
  这10年,网络以几何级数式的膨胀增长,网络传输的信息量空前增加,传统数据加上语音、视频.多媒体等大盘的信息流,对于网络的带宽不断地提出了新的需求。另一方面,网络安全越来越成为一个不容忽视的课题。据IDC于2002年调查显示,在过去的5年中.每天都有因受到黑客攻击而造成严重损失的事件。
  安全产品和网络攻击如同矛和盾的较量,每一天都在演绎着网络安全新的传说。
  从19%年底到2002年初.国内安全市场经历了"军阀混战,的时期,安全厂商经受了一次大的洗礼。自2002年下半年至今.国内网络安全市场中,安全J一商优胜劣汰,形成了以几家次专业厂商为主导的局面。现在,就网络安全产品中的防火墙产品,在新时期,防火墙选型需要往意的几个问题作以说明.
  又有上网需求,同时隐藏IP'这时,内网和外网采用路由模式,而OMZ区服务器和外网采用透明模式。整个防火墙工作是既有路由,又有透明的混合工作模式。这本来需要两个防火墙完成的作,由一台防火墙很好地满足了需求。
  另一方面,对于一个人的网络,防火墙能否通过简单的配置,实现复杂网络的安全需求。对于用户、IP、服务都司以定义相应的组,简化安全规则数月AAA&曰志防火若:一道安全屏障防火墙是一种控制隔离技术,采用综合的网络技术设置在被保护网络和外部网络之间的一道屏障,用以分隔被保护网络与外部网络系统,防止发生不可预恻、潜在的破坏性侵人。
  防火墙设备像在两个网络之间设置了一道关卡,能根据用户的安全策略控制出人网络的信息流,防止非法信息流人被保护的网络内,且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。所以.在选用防火墙的时候,一定要从性能指标、安全性、复杂环境适应性、安全审计酒己置管理方便性等方面去考虑。
  指定环境的处理能力需求,是否具备较好的可用性。
  通常遵从RFC2544、RFC1242和RFC2647标准,主要包括吞吐量、丢包率、延迟、背靠背包、最大并发连接数、每秒新建立连接数六项指标。
  吞吐量是防火墙在各种帧长的满负载(l以)M或互OOOM)双向代UDP数据包情况下的稳定性表现,是其它指标的基础.它反映的是防火墙的数据包转发能力。其中,64字节帧长小包的处理能力,对于反映防火墙数据包的转发能力尤其重赛,现已引起国内外厂商和用户的关注。
  在这方岁面,有些国内企业,如东方龙马的龙马卫士防火墙翻字节预长的欢向处理能力超过了60%。防火墙丢包率这项测试,是用来确定防火墙在不同传输速率丢失数据包的百分数,目的在于侧试防火墙在超负载情况下的性能。延迟这项测试通常是指测试从测试数据帧的最后一个比特进人被测设备端口开始,至侧试数据包的第一个比特从被测设备另喇;口离开的时间间隔。
  背靠背包是指以最小帧间隔发送最多数据包而不引起丢包时的数据包数量,最后两项分别测试防火墙的每秒所能建立起的,连接数及防火墙所能保持的最大TCI丫Hl,连接数,了解这些之后,我们会明白.采用具有优异性能的防火墙,是我们保护投资的一种有效方式。
  件脂指标蛋防鱿尼网给应月和发展二要求随着网络安全的发展,用户对网络安全认识的不断深入,入八A(认证、授权、记账)已经不可避免地融入防火墙。现在用对八人八的要求越来越碑蒙,已经远远妇匆超越简单的用户名/口令认啪勺阶段,逐步走向全面、标准的A凡A。从目前校园网和某些千物机构的应用来看,防火墙必凄页在框架设十'阶段就考虑到AA八才能满足用户的需求,而且必须拓螃驻相应的工具,使防火墙的八八八系统与用户原有的认证系统平胃过渡。
  日志作为防火墙重要的一环已经是毋庸置疑的了,但是如何有效地使用和管理防火墙日志,是许多国内厂商没有解决的问题。经过这儿年的发展,人们逐渐意识到产品标准化、国际化是大势所趋。日前,多数国内防火墙厂商使用等商业数据库进行日志管理,出现了两头不靠的尴尬局面。
  一方面刘于中,J型用户,商业数据库提高了总体成本雨管理难度,有牛刀杀鸣之嫌;另一方面对于真正的大型企业用户,一般防火墙厂商提供的日志分析管理软件,又达不到企业级应用的要求,目前,现实的做法是向第三力工业标准靠齐,比如Webtlt,1(l'的WELF,提供给用户简单快捷、行之有效的解决问题办法,并且使大型企业用户可以使用专业的第三方防火墙日志分析软件。
  现在,国外许多厂商,例如N巴t义1."n、ch忆x火rx对Ilt都宜布对这个格式支持,国内有些厂商也已经实现对这个格式的支持,如龙马卫士防火墙的日志就是完全采用WELF格式实现的。
  配崖塑耀孰势的方便件'蟹渭需翼侣,嗽召乞春解汁.侈'1不细111与l才关术编与t网络发展到姐今,网络的流吸呈现了迅速增民的趋势,那么听选择的防火墙能否满足网络的大数鹅流遥要求;呢2碗班均的性脂指标,体现了方火琅能否胜任赵了丸砚防火墙工作模式常见有三种:路由模式、透明模式和混合模式。
  所谓混合模式是指将一台防火墙当作两台来用,这样的防火墙存在着路由和透明两种工作模式,防火墙只支持前两科工作模式已经不能适应复杂网络的安全需求,往往这时候的解决方案就是用两台防火墙来完成,一台工作在路由模式,另一台工作在透明模式。但是这样会使用户成倍地增加防火墙的投人费用,同时增加管理成本。
  在防火墙基本功能和安全性满足要求的时候,我们还要考虑对于复杂网络的适应性。国内有相当多数的网络没有考虑安全性的问题,网络先运行,一段时间之后,才考虑增加安全设备。所以存在很多这样的现象:先建网络,后增加防火墙。
  这势必给防火墙握出了一个要求-U防火墙去适应各种各样的网络环境。举一个例子,在用户已经运行的网络中,对外开放的服务器采用C/S结构,将与之通信的外网乎地址做到应用程序中.这个时候,我们要求防火谙支持透明模式。
  进一步的一个例子,这台服务器处子O从Z们卜军事化)区域,同时,单位局域网用户网络的发展方向是网络会越来越大,作为防火墙产品,是否支持集中管理,管理信息是否是加密传输,是否支持多种管理方式,例如命令行、图形化界面等.是摆在防火墙开发商面前的新课题。
  安全是个永远的话题。安全技术在不断发展进步,需要我们提高警难易,增加防范能力


[广告]赞助链接:

知安,互联网产品安全医院:http://www.knowsafe.com
舆情监测,互联网舆情首选查舆情:http://www.chayuqing.com/
爱尖刀科技,关注企业数据与安全:http://www.ijiandao.com

关注公众号:Mcbang_com 了解更多精彩,关注:chayuqing_com 娱乐资讯早知道!
收藏 分享 发布者: admin |
看完这篇文章,你的感受如何?


伤心


无视


惊讶


流汗


赞同


路过
Copyright© 2006-2016 IjianDao.Com All rights reserved.
知娱 版权所有 京ICP备14006288号-3