评客网 » 电脑网络 » 拒绝威胁 教你如何合理高效配置防火墙

零度雨 发表于 2007-7-18 17:37

拒绝威胁 教你如何合理高效配置防火墙

　　今天我们所处的信息时代，也可以说也是病毒与黑客大行其道的时代，这样说确实有些悲观但今天的网络的确如此，从Internet到企业内网、从个人电脑到可上网的<a href="http://mobile.yesky.com/" target="_blank">手机</a>平台，没有地方是安全的。每一次网络病毒的攻击，都会让家庭用户、企业用户、<a href="http://searchwhatis.techtarget.com.cn/searchwhatis/293/1949293.shtml" target="_blank">80</a>0热线甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后，人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙，且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙，相信不久的将来，我们可以看到在手机上也会出现防火墙。<br />　　就许多中小企业而言，防火墙的配置往往没有反映出企业的业务需求。如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义，添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过，从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网，如果事先制定了合理的过滤规则，它将可以截住不合规则的数据报文，从而起到过滤的作用。相反，如果规则不正确，将适得其反。<br />　　<b>中小企业防火墙应具有哪些功能</b><br />　　如何合理实施防火墙的配置呢?首先，让我们来看看中小企业防火墙一般都应具有哪些功能：<br />　　1. 动态包过滤技术，动态维护通过防火墙的所有通信的状态(连接)，基于连接的过滤;<br />　　2. 可以作为部署NAT(Network Address Translation，网络地址变换)的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题;<br />　　3. 可以设置信任域与不信任域之间数据出入的策略;<br />　　4. 可以定义规则计划，使得系统在某一时可以自动启用和关闭策略;<br />　　5. 具有详细的日志功能，提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录，并支持日志<a href="http://server.chinabyte.com/" target="_blank">服务器</a>和日志导出;<br />　　6. 具有IPSec VPN功能，可以实现跨互联网安全的远程访问;<br />　　7. 具有邮件通知功能，可以将系统的告警通过发送邮件通知网络管理员;<br />　　8. 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃;<br />　　9. Web中的<a href="http://dev.yesky.com/devjava/" target="_blank">Java</a>, ActiveX, Cookie、URL关键字、Proxy进行过滤。<br />　　以上是中小企业防火墙所应具备的一些防护特性，当然随着技术的发展中小企业防火墙的功能会变得越来越丰富;但有再多功能的防火墙如果没有合理的配置和管理，那么这只是一件<a href="http://searchwhatis.techtarget.com.cn/searchwhatis/373/1948373.shtml" target="_blank">IT</a>摆设.<br /><br />　　<b>如何实施防火墙配置</b> <br /><br />　　如何实施防火墙配置呢?我们分别从以下几方面来讨论：<br />　　<b>规则实施</b><br />　　规则实施看似简单，其实需要经过详尽的信息统计才可以得以实施。在过程中我们需要了解公司对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口，并根据不同应用的执行频繁程度对策率在规则表中的位置进行排序，然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的，如果将常用的规则放在首位就可以提高防火墙的工作效率。另外，应该及时地从病毒监控部门得到病毒警告，并对防火墙的策略进行更新也是制定策略所必要的手段。<br />　　<b>规则启用计划</b><br />　　通常有些策略需要在特殊时刻被启用和关闭，比如凌晨3：00。而对于网管员此时可能正在睡觉，为了保证策略的正常运作，可以通过规则启用计划来为该规则制定启用时间。另外，在一些企业中为了避开上网高峰和攻击高峰，往往将一些应用放到晚上或凌晨来实施，比如远程数据库的同步、远程信息采集等等，遇到这些需求网管员可以通过制定详细的规则和启用计划来自动维护系统的安全。<br />　　<b>日志监控</b><br />　　日志监控是十分有效的安全管理手段，往往许多管理员认为只要可以做日志的信息，都去采集，比如说对所有的告警或所有与策略匹配或不匹配的流量等等，这样的做法看似日志信息十分完善，但可以想一下每天进出防火墙的数据报文有上百万甚至更多，你如何在这些密密麻麻的条目中分析你所需要的信息呢?虽然有一些软件可以通过分析日志来获得图形或统计数据，但这些软件往往需要去二次开发或制定，而且价格不菲。所以只有采集到最关键的日志才是真正有用的日志。<br />　　一般而言，系统的告警信息是有必要记录的，但对于流量信息是应该有选择的。有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。比如：内网发现蠕虫病毒，该病毒可能会针对主机系统某UDP端口进行攻击，网管员虽然已经将该病毒清除，但为了监控有没有其他的主机受感染，我们可以为该端口增加一条策略并进行日志来检测网内的流量。<br />　　另外，企业防火墙可以针对超出经验阀值的报文做出响应，如丢弃、告警、日志等动作，但是所有的告警或日志是需要认真分析的，系统的告警支持根据经验值来确定的，比如对于工作站和服务器来说所产生的会话数是完全不同的，所以有时会发现系统告知一台邮件服务器在某端口发出攻击,而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。<br />　　<b>设备管理</b><br />　　对于企业防火墙而言，设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现，但这种方式是不太安全的，因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理。

sz1banjia 发表于 2008-5-14 19:23

i46

[img]http://www.51-boke.cn/work/kk1.gif[/img]




[img]http://www.51-boke.cn/work/fengexian.gif[/img]
[url=http://www.luohubanjia.cn/]深圳搬家公司,搬迁,深圳市龙岗区搬迁公司电话[/url]

fcsgame01 发表于 2008-6-5 08:49

Summit seeks accord on Arctic sovereignty

ILULISSAT, Greenland - The five nations that ring the Arctic Ocean affirmed their willingness to cooperate to protect its environment, at the end of a day-long ministerial summit in Greenland.
"We will take steps in accordance with international law... to ensure the protection and the preservation of the fragile environment of the Arctic Ocean," said a statement agreed Wednesday by envoys from Canada, Denmark, Norway, Russia and the United States.

"We intend to work together, including through the International Maritime Organization, to strengthen existing measures and to develop new measures to improve the safety of maritime navigation and prevent or reduce the risk of ship-based pollution in the Arctic Ocean," it added.

The five nations went on to pledge to strengthen cooperation over the Arctic Ocean -- including scientific research -- "based on mutual trust and transparency."

The summit in Ilulissat, on Greenland's west coast, was the first to be held at ministerial level between the five regional powers.

It was aimed at easing recent tensions as each nation seeks to extend its sovereignty to the Arctic waters that could hold 25 percent of the world's undiscovered oil and gas, according to the US Geological Survey.
[URL=http://www.just4gold.com/age-of-conan-gold.html]Age of Conan money[/URL]

"The race for the North Pole has been cancelled," said Swedish Foreign Minister Per Stig Moeller, hailing the outcome.
[URL=http://www.just4gold.com/age-of-conan-gold.html]AOC gold[/URL]
Russian counterpart Sergei Lavrov said: "The declaration reflects the will of all participants to resolve the issue through negociations in a spirit of cooperation and on the basis of international law."

[URL=http://www.just4gold.com/age-of-conan-gold.html]Age of Conan Gold[/URL]

But concern was expressed by a prominant Inuit spokesman, who said the indigenous peoples of the Arctic were being "marginalised".

"Inuit have their own definition of sovereignty," said Aqqaluk Lynge, the Greenlandic politician who is president of the Inuit Circumpolar Conference, which speaks for 150,000 Inuit.

Lynge said Inuit leaders would gather in the northern Canadian town of Kuujjuaq in November for their own summit on how to "collectively respond to the main forces -- state, industry and others -- that are debating questions of ownership of our lands and seas without us having a meaningful voice".

Rivalry between the five Arctic neighbours has heated up as the melting polar ice makes the region more accessible.

Denmark and Canada, for instance, have a longstanding disagreement over who owns the tiny, uninhabited, ice-covered Hans island, which straddles Nares Strait between Greenland and Canada's Ellesmere Island.
[URL=http://www.just4gold.com]EVE ISK[/URL]

Canada and the United States are meanwhile at odds over the sovereignty of the Northwest Passage, which links the Atlantic and Pacific oceans. Scientists say the Northwest Passage could open up to year-round shipping by 2050.

Last year, Russian explorers claimed to have planted their national flag at the bottom of the ocean, at a depth of more than 4,000 metres (yards), after an expedition aimed at underlining Moscow's aspirations to Arctic territory.
[URL=http://www.fast-wowgold.com/silkroad-online-gold.htm]sro gold[/URL]
According to international law, each of the countries bordering the Arctic hold sovereignty over a zone measuring 200 nautical miles (370 kilometres). That leaves 1.2 million square kilometres (465,000 square miles) of unclaimed territory.

破石机器 发表于 2008-6-18 17:11

石料破碎生产线

[b][size=6][table=98%][tr][td][url=http://www.zkjxc.net/]10月16日我公司发往非洲加纳共和国时处理130吨的石料破碎生产线，已由河南船运公司装箱起航。我安装工程师与本月18日启程前往现场做破碎机设备工艺设计工程。[/url][/td][/tr][tr][td][url=http://www.zkjxc.net/]■我公司生产的破碎机及成套矿山设备以先进的技术和完善的服务，赢得了众多用户的信赖。10月25日非洲利比亚客人预约来我公司参观考察洽商石料生产线及破碎制砂设备等合作事宜。[/url][/td][/tr][/table][/size][/b]

查看完整版本: 拒绝威胁 教你如何合理高效配置防火墙