當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

企業(yè)防火墻構(gòu)建的誤區(qū)和實(shí)施策略

http://www.yibo1263.com　2008-8-15 7:47:00 　來源:51CTO 　編輯:葉子

　　DMZ用于從公共的互聯(lián)網(wǎng)訪問的服務(wù)器。它直接位于防火墻之后，并且總是過濾通信。

　　外延網(wǎng)和廣域網(wǎng)區(qū)域用于路由器的內(nèi)部接口,此路由器連接的是遠(yuǎn)程WAN站點(diǎn)和合伙人的站點(diǎn)。使用這種配置準(zhǔn)許用戶保護(hù)WAN和外延網(wǎng)站點(diǎn)的安全，而不必購(gòu)買或配置路由器自身的防火墻特性集。用戶甚至可以將路由器的外部接口置于防火墻的一個(gè)非NAT區(qū)域上，這有助于防止黑客從外部破壞路由器。這種方法使得高可用性企業(yè)防火墻能夠極大地保護(hù)多個(gè)路由器的安全。

　　臨時(shí)區(qū)域也不是新東西，但它實(shí)質(zhì)上是一種安全特性。在客戶機(jī)需要訪問VPN或互聯(lián)網(wǎng)時(shí)，讓其連接到擁有互聯(lián)網(wǎng)訪問能力的臨時(shí)網(wǎng)絡(luò)，而不是用戶的內(nèi)部LAN。這種區(qū)域在無(wú)線環(huán)境中是極為有用的。由于Wi-Fi架構(gòu)技術(shù)支持VLAN等原因，單獨(dú)一個(gè)無(wú)線Wi-Fi連接可以支持多個(gè)VLAN、一個(gè)運(yùn)行著其自己的SSID和802.1x/EAP安全的內(nèi)部VLAN、一個(gè)臨時(shí)VLAN。這些例子僅僅是這種高級(jí)防火墻架構(gòu)的一般應(yīng)用。

　　結(jié)論

　　現(xiàn)代的防火墻的功能是很強(qiáng)大的，在此筆者必須強(qiáng)調(diào)防火墻僅僅是網(wǎng)絡(luò)安全的開端。僅僅因?yàn)閾碛辛俗罴训木W(wǎng)絡(luò)和防火墻設(shè)計(jì)并不能免去管理員其它的安全責(zé)任。防火墻只能減輕安全的危害，并不能清除漏洞。用戶仍需要部署入侵檢測(cè)/防御系統(tǒng)，因?yàn)檫@種系統(tǒng)可以積極地阻止攻擊，并強(qiáng)化服務(wù)器安全，而且需要系統(tǒng)地為所有的設(shè)備和程序打補(bǔ)丁。最為重要的是，并不存在什么“刀槍不入”的機(jī)制，我們能做的就是極大地將攻擊和破壞時(shí)間調(diào)整為最為合理的水平。“不可侵入的”是一種夢(mèng)想而已。對(duì)待安全問題，我們只能保持低姿態(tài)，并為此不斷努力。

本新聞共3頁(yè),當(dāng)前在第3頁(yè) 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费