當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

企業(yè)防火墻構(gòu)建的誤區(qū)和實施策略

http://m.yibo1263.com　2008-8-15 7:47:00 　來源:51CTO 　編輯:葉子

　　DMZ用于從公共的互聯(lián)網(wǎng)訪問的服務(wù)器。它直接位于防火墻之后，并且總是過濾通信。

　　外延網(wǎng)和廣域網(wǎng)區(qū)域用于路由器的內(nèi)部接口,此路由器連接的是遠(yuǎn)程WAN站點和合伙人的站點。使用這種配置準(zhǔn)許用戶保護(hù)WAN和外延網(wǎng)站點的安全，而不必購買或配置路由器自身的防火墻特性集。用戶甚至可以將路由器的外部接口置于防火墻的一個非NAT區(qū)域上，這有助于防止黑客從外部破壞路由器。這種方法使得高可用性企業(yè)防火墻能夠極大地保護(hù)多個路由器的安全。

　　臨時區(qū)域也不是新東西，但它實質(zhì)上是一種安全特性。在客戶機需要訪問VPN或互聯(lián)網(wǎng)時，讓其連接到擁有互聯(lián)網(wǎng)訪問能力的臨時網(wǎng)絡(luò)，而不是用戶的內(nèi)部LAN。這種區(qū)域在無線環(huán)境中是極為有用的。由于Wi-Fi架構(gòu)技術(shù)支持VLAN等原因，單獨一個無線Wi-Fi連接可以支持多個VLAN、一個運行著其自己的SSID和802.1x/EAP安全的內(nèi)部VLAN、一個臨時VLAN。這些例子僅僅是這種高級防火墻架構(gòu)的一般應(yīng)用。

　　結(jié)論

　　現(xiàn)代的防火墻的功能是很強大的，在此筆者必須強調(diào)防火墻僅僅是網(wǎng)絡(luò)安全的開端。僅僅因為擁有了最佳的網(wǎng)絡(luò)和防火墻設(shè)計并不能免去管理員其它的安全責(zé)任。防火墻只能減輕安全的危害，并不能清除漏洞。用戶仍需要部署入侵檢測/防御系統(tǒng)，因為這種系統(tǒng)可以積極地阻止攻擊，并強化服務(wù)器安全，而且需要系統(tǒng)地為所有的設(shè)備和程序打補丁。最為重要的是，并不存在什么“刀槍不入”的機制，我們能做的就是極大地將攻擊和破壞時間調(diào)整為最為合理的水平。“不可侵入的”是一種夢想而已。對待安全問題，我們只能保持低姿態(tài)，并為此不斷努力。

本新聞共3頁,當(dāng)前在第3頁 1 2 3

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费