俄罗斯大乳美女视频,美女视频免费看的网站

由于黑客技術(shù)日益公開化，職業(yè)化，各種攻擊日益頻繁，病毒日益泛濫，重大網(wǎng)絡(luò)安全事件日益增多。防火墻作為企業(yè)安全防護(hù)的第一道閘門，已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全防護(hù)的重要部件。

然而，在考察我國企業(yè)網(wǎng)絡(luò)的安全現(xiàn)狀時(shí)，我們?nèi)匀话l(fā)現(xiàn)，有相當(dāng)一部分網(wǎng)絡(luò)，雖然安裝了硬件防火墻防護(hù)設(shè)備，但由于管理員的水平有限，在防火墻的使用和配置上存在一些問題，并沒有能最大程度的發(fā)揮防火墻的安全防護(hù)作用。下面，在大唐龍創(chuàng)公司長期從事網(wǎng)絡(luò)安全一線工作的筆者列舉一些在實(shí)際工作中發(fā)生的現(xiàn)象，出現(xiàn)的問題，以幫助我們的網(wǎng)絡(luò)管理員能更好的防護(hù)企業(yè)的網(wǎng)絡(luò)。

問題一：

某國家機(jī)關(guān)，防火墻投入運(yùn)行后，實(shí)施了一套較為嚴(yán)格的安全規(guī)則，禁止內(nèi)部員工使用QQ聊天，可是沒過多久就有員工私自用PC撥號(hào)上網(wǎng)，結(jié)果導(dǎo)致感染了特洛依木馬和蠕蟲沖擊波等病毒，并立刻在內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。

通過這個(gè)案例，我們需要明確的是，防火墻作為一種邊界防護(hù)類型的網(wǎng)絡(luò)安全設(shè)備，必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處，只有這樣，防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達(dá)到將入侵者拒之門外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一，有額外的出入口，那么入侵者會(huì)通過其它途徑先入侵我們的主機(jī)，然后進(jìn)一步攻擊我們整個(gè)網(wǎng)絡(luò)。

我們設(shè)置的防火墻策略，其實(shí)是與單位的制定的上網(wǎng)管理制度嚴(yán)格相關(guān)的，在配置防火墻控制策略前，我們一般需要先制定企業(yè)安全上網(wǎng)的管理制度，并徹底貫徹實(shí)施。在上述案例中，首先應(yīng)該在單位制度中明確嚴(yán)格禁止私自撥號(hào)上網(wǎng)的行為，以防止出現(xiàn)多出口的情況。同時(shí)，在制定策略時(shí)，也要考慮員工的需求，可以按照時(shí)間段添加防火墻規(guī)則，比如在非工作時(shí)間開放員工QQ上網(wǎng)聊天等的權(quán)限。

問題二：

關(guān)于防火墻DMZ區(qū)的使用和防火墻的DMZ區(qū)域規(guī)則的配置。

現(xiàn)在很多企業(yè)網(wǎng)絡(luò)一般都是很簡單，防火墻部署在企業(yè)網(wǎng)出口，后面接內(nèi)網(wǎng)核心交換機(jī)，核心交換機(jī)再接分支交換機(jī)，用戶主機(jī)接各個(gè)分支交換機(jī)進(jìn)行網(wǎng)絡(luò)訪問。筆者在用戶使用大唐龍創(chuàng)防火墻或者其他品牌的調(diào)查中發(fā)現(xiàn)，由于一些網(wǎng)絡(luò)集成商，對于防火墻的DMZ區(qū)沒有深刻認(rèn)識(shí)，有些企業(yè)防火墻的DMZ口并沒有使用，企業(yè)網(wǎng)內(nèi)部對外開放的服務(wù)器與所有上網(wǎng)辦公主機(jī)是混在一起的。而有一些企業(yè)，雖然使用了DMZ接口，但由于設(shè)置的規(guī)則不合理，其實(shí)并沒有起到DMZ區(qū)隔離安全效果。這其實(shí)都存在很大的安全隱患。

DMZ，即非軍事化緩沖區(qū)，是當(dāng)網(wǎng)絡(luò)內(nèi)部有服務(wù)需要開放給公網(wǎng)用戶時(shí)而設(shè)置的獨(dú)立區(qū)域。由于這些開放服務(wù)器要面對的是大量公網(wǎng)的任意未知用戶，因此，在接入時(shí)一般必須使用防火墻的獨(dú)立DMZ接口進(jìn)行隔離，同時(shí)需要設(shè)置嚴(yán)格的防火墻控制策略，以防止入侵者的破壞。內(nèi)部服務(wù)器要作為功能獨(dú)立的主機(jī)要與單位用戶的個(gè)人主機(jī)分開，同時(shí)為便于管理，一般地址段也是獨(dú)立的，以區(qū)分于個(gè)人用戶的地址段。

如果內(nèi)部服務(wù)器是與其他主機(jī)混在一起，沒有放在獨(dú)立的DMZ區(qū)進(jìn)行隔離，其后果可能是，一旦服務(wù)器被黑客利用其漏洞攻擊成功，則整個(gè)網(wǎng)絡(luò)就暴露在黑客面前，黑客將很輕松的以服務(wù)器為跳板攻擊整個(gè)網(wǎng)絡(luò)。

因此，我們在配置開放服務(wù)的防火墻DMZ區(qū)策略時(shí)，也一定要嚴(yán)格，一般都細(xì)化到服務(wù)器每個(gè)端口，開放了什么服務(wù)，才在防火墻規(guī)則中打開什么端口號(hào)。對于不使用的端口號(hào)，要全部禁止。同時(shí)，特別要注意的是，千萬不要在防火墻中加DMZ區(qū)到內(nèi)網(wǎng)區(qū)的全通規(guī)則，如果這樣，DMZ區(qū)也就失去了防護(hù)的意義。如果確實(shí)有到內(nèi)網(wǎng)的通信需求，也要細(xì)化到哪個(gè)IP地址的哪個(gè)端口，或者在需要時(shí)動(dòng)態(tài)添加，當(dāng)業(yè)務(wù)完成后，就要馬上將規(guī)則刪除。

問題三：

一些單位以前是通過傳統(tǒng)路由器進(jìn)行上網(wǎng)，現(xiàn)在考慮安全性的問題，才購買的硬件防火墻，在這種情況下，應(yīng)該如何部署防火墻？

在網(wǎng)絡(luò)設(shè)計(jì)中，一般有三種接入方式，下面對這三種防火墻的位置進(jìn)行一下比較：

1）放在路由器之前，路由器與接入光纖的光電轉(zhuǎn)換之間，防火墻工作在透明方式。

這種方式下，路由器的配置不變，通過設(shè)置規(guī)則，防火墻可以有效保護(hù)內(nèi)部開放的服務(wù)器和路由器本身，但由于防火墻在路由器外，此時(shí)內(nèi)部用戶的數(shù)據(jù)包到達(dá)防火墻時(shí)已經(jīng)做了源地址轉(zhuǎn)換SNAT，因此，防火墻不能對內(nèi)部的用戶做差異化的配置，而只能將內(nèi)部所有用戶視作一個(gè)整體進(jìn)行業(yè)務(wù)的封鎖和保護(hù)，因此在使用上有一定的局限。

2) 放在路由器之后，路由器與交換機(jī)之間，防火墻工作在透明方式。

同第一種方式相比，這種方式仍不需要修改路由器和內(nèi)部PC的配置，且由于是防在內(nèi)網(wǎng)，因此可以在規(guī)則配置時(shí)做差異化的配置，如領(lǐng)導(dǎo)的PC可以任何時(shí)間訪問任何資源，而普通員工上班時(shí)間只能訪問網(wǎng)頁和收發(fā)mail，而下班時(shí)間才將MSN，QQ，視頻等業(yè)務(wù)放開。目前使用這種方式的網(wǎng)絡(luò)比較普遍。但這種方式在網(wǎng)絡(luò)改造時(shí)最容易忽略案例二所講到的，沒有把內(nèi)部開放服務(wù)的集中和放在DMZ區(qū)進(jìn)行隔離。

3）防火墻替換出口路由器，作為出口網(wǎng)關(guān)，工作在路由方式。

同以上兩種方式相比，此時(shí)防火墻承擔(dān)了更大的功能，不僅可以實(shí)現(xiàn)方式二的所有功能，而且網(wǎng)絡(luò)拓?fù)湟沧兊煤唵危窈缶W(wǎng)絡(luò)出現(xiàn)故障也容易查詢，特別是隨著防火墻產(chǎn)品性能的提高和功能的更加豐富，這種方式已越來越成為主流。

在方案的選擇中，如果出口路由器的檔次比防火墻還低，一般建議將原有路由器進(jìn)行替換，以提高網(wǎng)絡(luò)的整體性能。

在第三種方案中，對于替換原有出口路由器的處理，根據(jù)其使用年限和路由器檔次的不同，可以如下選擇：

1）做為出口防火墻的備份，當(dāng)防火墻出現(xiàn)故障時(shí)，作為備用設(shè)備頂替。

2）對于比較大的網(wǎng)絡(luò)，可以使用在內(nèi)部重要部門子網(wǎng)的出口，如財(cái)務(wù)部，隱藏重要部門內(nèi)部的網(wǎng)絡(luò)拓?fù)浜蚉C的地址，不受攻擊。

3）使用在其他網(wǎng)絡(luò)的建設(shè)中，或者使用了很長時(shí)間或者檔次比較低級(jí)，也可以申請報(bào)廢。

問題四：

關(guān)于防火墻防毒和防止木馬的問題，容易進(jìn)入以下兩個(gè)誤區(qū)：

一：認(rèn)為防火墻本身就具有強(qiáng)大的防毒和防止木馬的功能，沒有必要再購買殺毒軟件

二：認(rèn)為防火墻不具備任何防毒和防止木馬的能力

其實(shí)，這兩種觀點(diǎn)都是錯(cuò)誤的。

硬件防火墻由于內(nèi)部主機(jī)是通過地址轉(zhuǎn)換的方式連接internet，有效隱藏了內(nèi)部主機(jī)，同時(shí)，防火墻通過封鎖部分病毒傳播端口，可以在一定程度上防止病毒的感染和傳播。

但病毒還是可以通過以下途徑進(jìn)入到我們內(nèi)網(wǎng)，用戶還可能下載和安裝一些網(wǎng)上的不明來歷的軟件，用戶可能收發(fā)的電子郵件中含有病毒，或者用戶使用移動(dòng)U盤進(jìn)行拷貝時(shí)，感染病毒。因此，至少從目前來看，解決病毒的問題，在每個(gè)桌面安裝殺毒軟件客戶端還是十分必要的。

問題五：

關(guān)于一般企業(yè)的防火墻的安全配置問題，需要遵循的如下幾個(gè)步驟：

將防火墻的規(guī)則配置分對內(nèi)和對外兩個(gè)部分。

對外開放服務(wù)的規(guī)則，一般到細(xì)化的每個(gè)服務(wù)器的每個(gè)端口，這樣才可以保護(hù)服務(wù)器，不會(huì)被黑客利用操作系統(tǒng)或者開放的多余服務(wù)端口的漏洞進(jìn)行攻擊。

對內(nèi)規(guī)則，要根據(jù)的自己的實(shí)際情況進(jìn)行合理的配置，比如根據(jù)用戶的不同級(jí)別設(shè)置不同的權(quán)限，最高權(quán)限的用戶不受任何限制，中等權(quán)限的用戶僅開放MSN，QQ，mail，web，ftp，telnet等業(yè)務(wù)，而最低級(jí)別的用戶可能只開放郵件服務(wù)等。同時(shí)，可以還可以根據(jù)時(shí)間段對上網(wǎng)行為進(jìn)行控制，比如在上班時(shí)間禁止BT下載，視頻等業(yè)務(wù)。

對于QQ，MSN等用戶動(dòng)態(tài)端口的行為，大唐龍創(chuàng)防火墻還可以利用內(nèi)容過濾的機(jī)制進(jìn)行按照時(shí)間段和用戶的禁止和日志記錄。

問題六：

某企業(yè)，購買防火墻后，開始時(shí)一切正常，但一年后，企業(yè)內(nèi)部上了視頻會(huì)議系統(tǒng)，經(jīng)過防火墻的流量因此而大幅度增加，防火墻的處理負(fù)擔(dān)加大，導(dǎo)致網(wǎng)速開始變慢。

因此，購買防火墻前應(yīng)充分考慮到今后一定時(shí)間內(nèi)的各種應(yīng)用的可能性?？赡艹霈F(xiàn)的出口帶寬的增加，主機(jī)數(shù)的增加，以及業(yè)務(wù)的增加對防火墻的新的要求能否滿足，是否需要軟件系統(tǒng)或者硬件升級(jí)，是否有必要在選擇防火墻型號(hào)時(shí)選用高端一些的設(shè)備。如果問題已經(jīng)發(fā)生，要及時(shí)請求防火墻廠商或安全集成商幫助解決。

問題七：

關(guān)于防火墻的使用和培訓(xùn)。

對于防火墻的使用者，進(jìn)行充分有效的培訓(xùn)也非常必要，因此用戶可能增加業(yè)務(wù)種類，而需要不斷的動(dòng)態(tài)調(diào)整防火墻策略。同時(shí)，下載保存好防火墻的配置，修改防火墻的默認(rèn)口令和保存好防火墻的口令，都應(yīng)是網(wǎng)絡(luò)管理員一個(gè)很好的習(xí)慣。同時(shí)，培訓(xùn)一些常見病毒，如ARP欺騙，沖擊波等可能造成網(wǎng)絡(luò)出現(xiàn)的故障現(xiàn)象和如何利用防火墻和其他工具定位的方法。對于防火墻日志系統(tǒng)的使用方法，通過培訓(xùn)網(wǎng)絡(luò)使用者要清楚防火墻內(nèi)所做的控制規(guī)則配置和每一條的含義，并可以根據(jù)新的需要?jiǎng)討B(tài)調(diào)整防火墻的安全控制策略。

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊舉報(bào)。

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看