分享
 
 
 

信息安全之防火墙评测:评测

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

对于很多用户来说,安装和使用防火墙已经是摆到桌面上的问题了。但我们发现,多数用户对防火墙仍缺乏必要的了解。而相关的文章和专题或者过于学术化,与实际应用有一定距离,或者仅仅是围绕厂商的宣传材料,对用户缺乏指导意义。这些正是我们这次希望解决的问题,我们力求从用户的需求出发,提出和解决问题。经过对一些典型用户调查分析,我们提炼出用户的主要典型环境和典型需求,在《微电脑世界》评测实验室中创造出了一个有代表性的用户“典型平安软件公司”,通过介绍典型平安软件公司使用防火墙实施安全策略的过程,来帮助广大用户理解防火墙产品,用好防火墙产品。

下面我们看看典型平安软件公司是如何来制定安全策略的。

典型平安软件公司包括开发部、市场部、销售部、技术支持部和办公室,总体规模约为100人。典型平安软件公司使用了多种操作系统,包括Windows 2000 Professional、Windows 98和最新的Windows XP。通过DDN专线接入Internet,分配有一个真实IP。典型平安软件公司以往是通过简单的NAT系统实现Internet访问的,公司现决定安装代理/防火墙系统,满足如下三方面的需要。

1. 禁止外部网络对公司内部网络的非法访问,保护公司信息安全

具体包括:能够有效防止现有的各种网络攻击;对于系统新发现的安全问题,能够进行及时升级; 根据公司安全策略的变化,能够方便地对其进行调整和实施。

2. 满足公司员工因公访问Internet的需要

能够对Web访问进行缓存以节省网络带宽资源,能够支持所需各种协议的Internet访问。

3.对员工访问Internet进行控制和审计

控制部分:不允许员工通过防火墙对外部网络进行攻击; 不允许员工访问Internet上的色情及反动站点; 根据工作需要,员工可在特定时段访问特定服务。

审计部分:公司领导及网络管理人员可定期察看每个员工、每个部门的Internet访问纪录及流量统计,对于员工通过Internet窃取公司机密信息或其他的非法行为,能够进行查证。

对此,经过调查研究后,公司的安全策略设定如下。

全体员工可在工作时间以Web方式访问Internet,对所有的访问都进行审计。除邮件服务器外,任何员工不得用任何机器提供Internet服务。特权小组可以不受限制地进行Internet访问,所有的访问都需进行审计。

由于产品开发的需要,开发部可以访问公司的Internet网站机器的22和180端口,全体员工不得以除Web外的任何形式访问Internet,各部门经理访问Internet不受时间限制。

我们不难看出,各规则之间似乎有很多自相矛盾的地方,事实上,因为安全策略是自上而下逐条匹配的,一旦对于某条规则匹配了,则不需要继续向下匹配,因此,每一条规则都有隐含的前提条件,即所有前面规则已规定的情况例外。也正因为如此,我们需要把允许的规则放在前面,而把拒绝的规则放在后面,从而保证被允许的各种连接顺利通过。多数防火墙都把一条默认的策略放在最后,即拒绝任何访问,这样可以保证不会因为安全策略不严密而产生漏洞。如果用户不能确定防火墙产品是否提供了这条默认规则,也不妨本着安全第一的原则自行增加,调整后的安全策略如下。

特权小组可以不受限制地进行Internet访问,对所有的访问都进行审计; 各部门经理访问Internet不受时间限制,全体员工可在工作时间以Web方式访问Internet,对所有的访问都需进行审计; 由于产品开发的需要,开发部可以访问公司的Internet网站机器的22和180端口,除邮件服务器外,任何员工不得用任何机器提供Internet服务; 全体员工不得以除Web外的任何形式访问Internet。

这些安全策略实际上经过了极大的简化,但是已经能够代表当今企业对于防火墙产品的典型需求,确切地说,这些仅仅是“使用技术手段中的防火墙可以确保实施的安全策略”,从下面的防火墙设置中我们可以看到,每一条规定最终会落实到防火墙的一条或多条设置,作为公司决策层,在制定安全策略时完全可以以“禁止员工进行任何与工作无关的网络访问”,而该规则的具体实施,则可以通过防火墙折衷,或者进行分级权限设置,允许部门主管察看下级员工的访问纪录,需要指出的是,过于严格的审计可能会侵犯员工隐私权,故而企业在制定安全策略时还需要参照国家有关法律规定。

可以说,防火墙的作用就是作为一种技术手段,辅助企业安全策略的实施。我们在《微电脑世界》评测实验室中搭建了典型平安软件公司的网络环境,分别使用3款产品进行了实验,来实施典型平安软件公司的安全策略,在使用过程中考察3款产品满足上述应用的能力以及产品功能配置和使用方便性,我们对产品的考察结果见3款产品的点评中。

我们是在这样的网络环境中进行相关测试的:防火墙平台为联想万全2450机架式服务器,配置2块Intel Pro100+ Management网卡,Intel Pentium Ⅲ 850 CPU,512MB SDRAM,硬盘存储系统为2块10000r/min 18GB SCSI硬盘组成RAID 0,系统安装了Windows 2000 Advanced Server+SP2和Turbo Linux Server 6.5。内网中安装了Windows 2000域,包括域控制器、DHCP服务器、DNS服务器。设定域为lab。防火墙的内外网络接口分别连接内外网交换机,外网直接连接Internet。内网中包括30台PC,安装了Windows 2000专业版、Windows XP专业版以及Windows 98第二版。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有