|
計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻的應(yīng)用
聶景 2021/2/28 13:53:22
(接上頁)由于互聯(lián)網(wǎng)自身結(jié)構(gòu)的虛擬性�,造成相關(guān)部門的監(jiān)管范圍無限擴(kuò)大��,監(jiān)管難度也隨之增大���,致使互聯(lián)網(wǎng)的相關(guān)信息真假難辨����。而對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的安全來說,網(wǎng)絡(luò)結(jié)構(gòu)的真實(shí)性也成為了比較嚴(yán)重的威脅和問題�,同時(shí)互聯(lián)網(wǎng)結(jié)構(gòu)中還存在著他人惡意的信息散播,也同樣對(duì)用戶造成了信息安全的嚴(yán)重威脅和危害[2]�����。
(三)計(jì)算機(jī)自身結(jié)構(gòu)問題
用戶在實(shí)際應(yīng)用計(jì)算機(jī)結(jié)構(gòu)時(shí)��,會(huì)面對(duì)許多來歷不明的硬件結(jié)構(gòu)和軟件系統(tǒng)對(duì)計(jì)算機(jī)網(wǎng)問題造成一定程度的影響�,加上由于計(jì)算機(jī)行業(yè)屬于高精尖科技生產(chǎn)行業(yè),如果其內(nèi)部結(jié)構(gòu)的硬件生產(chǎn)企業(yè)或者廠家的技術(shù)不過關(guān)��,會(huì)導(dǎo)致產(chǎn)品出現(xiàn)嚴(yán)重的技術(shù)缺陷���,最終影響計(jì)算機(jī)網(wǎng)絡(luò)安全���。除此之外,自身結(jié)構(gòu)和性能不佳的硬件和配件�����,也同樣會(huì)導(dǎo)致網(wǎng)絡(luò)安全技術(shù)無法得到保障。從而降低計(jì)算機(jī)內(nèi)部結(jié)構(gòu)的安全防護(hù)整體水平���。因此在實(shí)際的計(jì)算機(jī)使用過程中��,安全非法并且來源不明的軟件對(duì)于網(wǎng)絡(luò)安全也同樣是一大威脅���。
三、信息安全中防火墻的應(yīng)用
(一)對(duì)用戶身份進(jìn)行驗(yàn)證
在防火墻技術(shù)的應(yīng)用中�,最終級(jí)別的防護(hù)系統(tǒng)是對(duì)用戶的身份進(jìn)行合法驗(yàn)證,此種技術(shù)和系統(tǒng)也是防火墻系統(tǒng)的基礎(chǔ)功能����。其主要形式是依靠對(duì)用戶身份的驗(yàn)證,進(jìn)一步確定訪問的用戶是否具備授權(quán)能力�,進(jìn)而為計(jì)算機(jī)安全提供了基礎(chǔ)的保證,而在這樣的前提下��,不合規(guī)定的用戶無法取得計(jì)算機(jī)內(nèi)部使用的權(quán)限�����,進(jìn)而無法順利地進(jìn)入他人的計(jì)算機(jī)系統(tǒng)�����,無法竊取他人重要�����、關(guān)鍵的個(gè)人信息�����,進(jìn)一步保證了用戶的使用安全��。如圖1�,計(jì)算機(jī)信息驗(yàn)證流程圖[3]。
圖1計(jì)算機(jī)信息驗(yàn)證流程圖
(二)對(duì)網(wǎng)絡(luò)病毒進(jìn)行防護(hù)
目前��,對(duì)于互聯(lián)網(wǎng)以及計(jì)算機(jī)系統(tǒng)信息安全來說��,最大的威脅是網(wǎng)絡(luò)病毒���。面對(duì)此種環(huán)境����,針對(duì)網(wǎng)絡(luò)病毒問題進(jìn)行重點(diǎn)關(guān)注和防護(hù)尤其重要����,而防火墻系統(tǒng)在計(jì)算機(jī)日常工作和使用過程中�����,主要的功能就是針對(duì)病毒進(jìn)行查殺����。在防火墻系統(tǒng)結(jié)構(gòu)中����,用戶一旦訪問來源不明的網(wǎng)站或者網(wǎng)絡(luò)病毒易感染的文件時(shí),其行為會(huì)被防火墻系統(tǒng)進(jìn)行提示并且禁止�����。所以與身份驗(yàn)證功能相比���,網(wǎng)絡(luò)病毒預(yù)防和管理功能更加可以保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的使用安全�����。如表1防火墻安全限制表��。
表1防火墻安全限制表
類別 測評(píng)項(xiàng) 測評(píng)實(shí)施 預(yù)期結(jié)果 說明
訪問控制 系統(tǒng)應(yīng)該根據(jù)網(wǎng)絡(luò)會(huì)話狀態(tài)為信息數(shù)據(jù)流提供明確的允許/拒絕訪問的綜合能力����,控制力度為端口級(jí)別 檢查訪問控制策略列表,查看是否配置了明確的允許/拒絕的訪問能力�,控制力度為端口級(jí)別 防火墻安全策略具有備源IP地址、目標(biāo)IP地址����、允許/拒絕和應(yīng)用服務(wù)端口賬號(hào)
應(yīng)該對(duì)進(jìn)出網(wǎng)絡(luò)信息內(nèi)容進(jìn)行相關(guān)過濾����,實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、FTP���、SMTP�、POP3等協(xié)議使用命令級(jí)別控制 檢查防火墻安全策略是否對(duì)重要數(shù)據(jù)流啟用應(yīng)用層協(xié)議深層檢測功能 防火墻安全策略配置并啟用了deep inspection 深度檢測包括HTTP����、FTP、SMTP��、POP3�����,啟用深度檢測有可能影響防火墻的處理性能
應(yīng)該在會(huì)話中處于非活躍一定時(shí)間或者會(huì)話結(jié)束后終止相關(guān)的網(wǎng)絡(luò)連接 訪談系統(tǒng)管理員�����,是否在會(huì)話中處于非活躍一定時(shí)間或者會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接 防火墻能夠根據(jù)業(yè)務(wù)的實(shí)際要求在沒有數(shù)據(jù)傳輸?shù)囊欢螘r(shí)間后終止網(wǎng)絡(luò)連接
應(yīng)限制網(wǎng)路結(jié)構(gòu)中最大流量數(shù)據(jù)以及網(wǎng)絡(luò)鏈接數(shù)量 訪談系統(tǒng)中,管理員檢查防火墻配置���,確定是否限制網(wǎng)絡(luò)最大流量以及網(wǎng)絡(luò)連接數(shù)量��。輸入“get config”命令�����,應(yīng)該存在如下類似配置:set zone dmz screen limit-session source-ip-based1
set zone dmz screen limit-session source-ip-based
set zone trust screen limit-session source-ip-based80
set zone trust screen limit-session source-ip-based 防火墻配置并且應(yīng)用基于源IP地址和基于目標(biāo)IP地址的抵抗性攻擊設(shè)置
重要網(wǎng)段應(yīng)采取技術(shù)手段�����,防止地址性欺騙 N/A 該功能一般由交換設(shè)備實(shí)現(xiàn)
(三)對(duì)系統(tǒng)日志進(jìn)行監(jiān)控
在計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)實(shí)際的運(yùn)作和使用過程中���,防火墻會(huì)根據(jù)用戶的設(shè)置和要求自動(dòng)生成并且記載各種類型的訪問信息數(shù)據(jù)日志,進(jìn)而方便用戶在日后對(duì)各種數(shù)據(jù)進(jìn)行分析和整理�����,因此在針對(duì)計(jì)算機(jī)互聯(lián)網(wǎng)結(jié)構(gòu)中���,防火墻除了防護(hù)作用�,其日志結(jié)構(gòu)的監(jiān)控也同樣需要重視。在日常工作和計(jì)算機(jī)運(yùn)轉(zhuǎn)過程中�����,防火墻進(jìn)行防護(hù)后自動(dòng)生成相關(guān)日志的環(huán)境前提下�����,(未完����,下一頁)
|