同始經(jīng)與控

防火增

只必地辦公

圖7-1基本的防火墻系統(tǒng)模型

tranet的建設(shè)上。防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間的一種訪問控制設(shè)備，常常安裝在內(nèi)部網(wǎng)和外部網(wǎng)交界

的點上。Internet防火墻是路由器、堡全主機、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，是安全策

略的一個部分。安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源。安全策略應(yīng)告訴

用戶應(yīng)有的責任，公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認證、撥入和撥出、磁盤

和數(shù)據(jù)加密、病毒防護措施，以及雇員培訓等。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安

全級別加以保護。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。

同那些可能被子網(wǎng)外的主系統(tǒng)用的協(xié)議和服務(wù)隔絕。防火墻系統(tǒng)通常位于等級較高的網(wǎng)關(guān)防火墻系統(tǒng)可以是路由器，也可以是個人主機、主系統(tǒng)和一批主系統(tǒng)，用于把網(wǎng)絡(luò)或子網(wǎng)

少的主系統(tǒng)或子網(wǎng)提供保護?；蚓W(wǎng)點與Interneti的連接處，但是防火墻系統(tǒng)也可以位于等級較低的網(wǎng)關(guān)，以便為某些數(shù)量較

制經(jīng)過防火墻的網(wǎng)絡(luò)應(yīng)用程序的通信流量。一般來說，防火墻置于公共網(wǎng)絡(luò)(如Internet)入防火墻基本上是一個獨立的進程或一組緊密結(jié)合的進程。運行于RouterorServer來控

信均符合該單位的安全方針?？谔帯Ｋ梢钥醋魇墙煌ň?。它的作用是確保一個單位內(nèi)的網(wǎng)絡(luò)與Internet之間所有的通

7.1.2防火墻的主要設(shè)計特征同

防火墻技術(shù)是目前用來實現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段。它主要是用來拒絕未經(jīng)授權(quán)

的用戶訪問，阻止未經(jīng)授權(quán)的用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資

下幾方面問題源。如果使用得當，可以在很大程度上提高網(wǎng)絡(luò)安全性能。因此，在設(shè)計防火墻時應(yīng)該考慮以

首先，明確目的，即你想要如何操作這個系統(tǒng)，只允許什么工作通過。比如某企業(yè)只需要

務(wù)；還是允許多種業(yè)務(wù)通過防火墻，但要設(shè)置相應(yīng)的監(jiān)測、計量、注冊和稽查等。電子郵件服務(wù)，則該企業(yè)將防火墻設(shè)置為只允許電子郎件服務(wù)通過，而禁止FTP、WwW等服

其次，是想要達到什么級別的監(jiān)測和控制。根據(jù)網(wǎng)絡(luò)用戶的實際需要，建立相應(yīng)的風險級

功能別，隨之便可形成一個需要監(jiān)測、允許、禁止的清單。再網(wǎng)站制作根據(jù)清單的要求來設(shè)置防火墻的各項