安全防护知识:网络安全要素——合理的配置防火墙

青炎灯

今天我们所处的信息时代，也可以说也是病毒与黑客大行其道的时代，这样说确实有些悲观但今天的网络的确如此，从Internet到企业内网、从个人电脑到可上网的手机平台，没有地方是安全的。每一次网络病毒的攻击，都会让家庭用户、企业用户、800热线甚至是运营商头痛脑热。不过经历过了一次又一次的病毒危机后，人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙，且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙，相信不久的将来，我们可以看到在手机上也会出现防火墙。

　　但是防火墙不是一道用于心理安慰的屏障，只有会用防火墙才能够真正将威胁挡在门外。就许多中小企业而言，防火墙的配置往往没有反映出企业的业务需求。如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义，添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过，从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网，如果事先制定了合理的过滤规则，它将可以截住不合规则的数据报文，从而起到过滤的作用。相反，如果规则不正确，将适得其反。　

　　中小企业防火墙应具有哪些功能：

　　如何合理实施防火墙的配置呢？首先，让我们来看看中小企业防火墙一般都应具有哪些功能：

　　1． 动态包过滤技术，动态维护通过防火墙的所有通信的状态（连接），基于连接的过滤；

　　2． 可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题；

　　3． 可以设置信任域与不信任域之间数据出入的策略；

　　4． 可以定义规则计划，使得系统在某一时可以自动启用和关闭策略；

　　5． 具有详细的日志功能，提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录，并支持日志服务器和日志导出；

　　6． 具有IPSec VPN功能，可以实现跨互联网安全的远程访问；

　　7． 具有邮件通知功能，可以将系统的告警通过发送邮件通知网络管理员；

　　8． 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃；

　　9． Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。

　　以上是中小企业防火墙所应具备的一些防护特性，当然随着技术的发展中小企业防火墙的功能会变得越来越丰富；但有再多功能的防火墙如果没有合理的配置和管理，那么这只是一件IT摆设．　　

　　如何实施防火墙配置

　　如何实施防火墙配置呢？我们分别从以下几方面来讨论：

　　规则实施

　　规则实施看似简单，其实需要经过详尽的信息统计才可以得以实施。在过程中我们需要了解公司对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口，并根据不同应用的执行频繁程度对策率在规则表中的位置进行排序，然后才能实施配置。原因是防火浇?泄嬖虿檎沂笔撬承蛑葱械模?绻??Ｓ玫墓嬖蚍旁谑孜痪涂梢蕴岣叻阑鹎降墓ぷ餍?省Ａ硗猓?Ω眉笆钡卮?a target="_blank" href="http://www.safe360.cn" class="wordstyle">病毒监控部门得到病毒警告，并对防火墙的策略进行更新也是制定策略所必要的手段。

　　规则启用计划

　　通常有些策略需要在特殊时刻被启用和关闭，比如凌晨3：00。而对于网管员此时可能正在睡觉，为了保证策略的正常运作，可以通过规则启用计划来为该规则制定启用时间。另外，在一些企业中为了避开上网高峰和攻击高峰，往往将一些应用放到晚上或凌晨来实施，比如远程数据库的同步、远程信息采集等等，遇到这些需求网管员可以通过制定详细的规则和启用计划来自动维护系统的安全。

　　日志监控

　　日志监控是十分有效的安全管理手段，往往许多管理员认为只要可以做日志的信息，都去采集，比如说对所有的告警或所有与策略匹配或不匹配的流量等等，这样的做法看似日志信息十分完善，但可以想一下每天进出防火墙的数据报文有上百万甚至更多，你如何在这些密密麻麻的条目中分析你所需要的信息呢？虽然有一些软件可以通过分析日志来获得图形或统计数据，但这些软件往往需要去二次开发或制定，而且价格不菲。所以只有采集到最关键的日志才是真正有用的日志。

　　一般而言，系统的告警信息是有必要记录的，但对于流量信息是应该有选择的。有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。比如：内网发现蠕虫病毒，该病毒可能会针对主机系统某UDP端口进行攻击，网管员虽然已经将该病毒清除，但为了监控有没有其他的主机受感染，我们可以为该端口增加一条策略并进行日志来检测网内的流量。

　　另外，企业防火墙可以针对超出经验阀值的报文做出响应，如丢弃、告警、日志等动作，但是所有的告警或日志是需要认真分析的，系统的告警支持根据经验值来确定的，比如对于工作站和服务器来说所产生的会话数是完全不同的，所以有时会发现系统告知一台邮件服务器在某端口发出攻击,而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。

　　设备管理

　　对于企业防火墙而言，设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现，但这种方式是不太安全的，因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理．
详细信息请到 www.juniperbbs.net里查看.绝对的你不能错过.

workhard018

针对目前广泛存在的多路接入环境，我们推出了防火墙集群解决方案。可实现8台金盾防火墙组成集群，抵御近8Gbps的攻击流量。
1 产品功能
中新金盾抗拒绝服务全系列产品均具备防御已知各种类型拒绝服务攻击的能力，可有效抵御：
1) 流量型洪水攻击
可防御如SYN Flood，ACK Flood，UDP Flood，ICMP Flood，IGMP Flood，Fragments Flood等；
2) 连接耗尽型攻击
可防御各种利用代理进行的连接型攻击，如Fatboy，CC，传奇克星等，及利用真实地址进行的连接型攻击，如捍卫者等；
3) 漏洞型拒绝服务攻击
可防御各种利用系统漏洞进行的拒绝服务攻击，如传奇网关漏洞等；
2、 接入步骤：
金盾集群型防火墙接入图如下所示：

其主要接入步骤如下：
a) 首先在交换机的相应端口设置端口聚合——Port Trunking（某些交换机称为链路聚合——Link Aggregation），或者直接设置路由器完成线路的聚合。根据防火墙集群数量的不同，在外部交换机和内部交换机上都需要设置8端口聚合；
b) 分别接入防火墙，每个防火墙接入一路数据（入口和出口）。随后将防火墙的八根心跳线接入心跳交换机（千兆型集群必须采用千兆型交换机，并且推荐该交换机独立于其它网络）；
c) 将配置端口接入内部交换机，开启防火墙，进入配置页面，设置集群参数并启动集群模式，完成安装。


3、基本参数
硬件设备：JDFW-1000集群型硬件防火墙8台
接入环境：八条千兆接入线路
管理方式：WEB，SSH，UART
4、性能参数
1) 数据吞吐量

64字节 128字节 256字节 1514字节
JDFW－1000＋集群型 50％ 85％ 100％ 100％

2) 最大并发连接数
8G集群方案,每台产品并发连接数为100万.
3) 单台产品处理能力
64字节报文下达到0.8Gbps的处理能力
128字节报文下达到0.9Gbps的处理能力
256-1514字节报文下达到0.99Gbps的处理能力

公司名称︰ 金盾防火墙重庆分公司
公司地址︰ 重庆市渝中区邹容路68号大都会商厦27楼
公司电话︰023-63703126-610
公司传真︰023-63703126
联系人︰ 张秀虎
QQ:902875
联系电话︰ 13966676506