防火牆設計規則

防火牆設計規則

防火牆設計規則是一個防火牆設備時要高度重視。以前,堡壘主機這個術語是指所有直接連入公網的設備。它經常汲及到的是防火牆設備。堡壘主機可以是三種防火牆中的任一種類型:包過濾電路級網關套用級網關

當Internet用戶企圖訪問你網路上的資源時,首先進入的機器就是堡壘主機。因為堡壘主機是直接連線到Internet上的,其上面的所有信息都暴露在公網之上。這種高度地暴露規定了硬體和軟體的配置。堡壘主機就好像是在軍事基地上的警衛。警衛必須檢查每個人的身份來確定他們是否可以進入基地及可以訪問基地中的什麼地方。警衛還經常準備好強制阻止進入。

基本介紹

  • 中文名:防火牆設計規則
  • 類型:網路安全規則
  • 設計原則:簡單性、事故計畫
  • 常見策略:篩選路由器、禁止子網 等
  • 性質:黑客滲透系統
設計原則,簡單性,事故計畫,常見策略,

設計原則

構造防火牆設備時,經常要遵循下面兩個主要的概念。
第一、保持設計的簡單性。
第二、要計畫好一旦防火牆被滲透應該怎么辦。

簡單性

一個黑客滲透系統最常見的方法就是利用安裝在堡壘主機上不注意的組件。建立你的堡壘主機時要儘可能使用較小的組件,無論硬體還是軟體。堡壘主機的建立只需提供防火牆功能。在防火牆主機上不要安裝像WEB服務的應用程式服務。要刪除堡壘主機上所有不必需的服務或守護進程。在堡壘主機上運行少量的服務給潛在的黑客很少的機會穿過防火牆。

事故計畫

如果你已設計好你的防火牆性能,只有通過你的防火牆才能允許公共訪問你的網路。當設計防火牆時安全管理員要對防火牆主機崩潰或危及的情況作出計畫。如果你僅僅是用一個防火牆設備把內部網路和公網隔離開,那么黑客滲透進你的防火牆後就會對你內部的網路有著完全訪問的許可權。為了防止這種滲透,要設計幾種不同級別的防火牆設備。不要依賴一個單獨的防火牆保護惟獨的網路。如果你的安全受到損害,那你的安全策略要確定該做些什麼。採取一些特殊的步驟,包括:
1、創建同樣的軟體備份
2、配置同樣的系統並存儲到安全的地方
3、確保所有需要安裝到防火牆上的軟體都容易,這包括你要有恢復磁碟。

常見策略

四種常見的防火牆設計都提供一個確定的安全級別,一個簡單的規則是越敏感的數據就要採取越廣泛的防火牆策略,這四種防火牆的實施都是建立一個過濾的距陣和能夠執行和保護信息的點。這四種選擇是:
1、篩選路由器
2、單宿主堡壘主機
4、禁止子網
篩選路由器的選擇是最簡單的,因此也是最常見的,大多數公司至少使用一個篩選路由器作為解決方案,因為所有需要的硬體已經投入使用。用於創建篩選主機防火牆的兩個選擇是單宿主堡壘主機和雙宿主堡壘主機。不管是電路級還是套用級網關的配置都要求所有的流量通過堡壘主機。最後一個常用的方法是篩選子網防火牆,利用額外的包過濾路由器來達到另一個安全的級別。

相關詞條

熱門詞條

聯絡我們