防火墻的合理使用分析論文

導語：防火墻的合理使用分析論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：防火墻是近幾年發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)措施，也是目前使用最廣泛的一種網(wǎng)絡(luò)安全防護技術(shù)。防火墻是一個或一組實施訪問控制策略的系統(tǒng)，它可以是軟件、硬件或軟硬件的結(jié)合，其目的是提供對網(wǎng)絡(luò)的安全保護。防火墻通常位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，可以監(jiān)視、控制和更改在內(nèi)部和外部網(wǎng)絡(luò)之間流動的網(wǎng)絡(luò)通信；控制外部計算機可以訪問內(nèi)部受保護的環(huán)境，并確定訪問的時間、權(quán)限，服務(wù)類型和質(zhì)量等，檢查內(nèi)部流傳的信息，避免保密信息流出，達到抵擋外部入侵和防止內(nèi)部信息泄密的目的。本文提出了防火墻的配置在網(wǎng)絡(luò)安全中的重要性，闡釋了防火墻規(guī)則集是防火墻產(chǎn)品安全的重要措施。

一、防火墻的配置與網(wǎng)絡(luò)的安全

防火墻是網(wǎng)絡(luò)安全中非常重要的一環(huán)，大多數(shù)的單位多半認為僅需要安裝一套防火墻設(shè)備，就應(yīng)該可以解決他們的安全問題，因此不惜重金購買防火墻，但卻忽視了防火墻的配置。防火墻功能的強大與否，除了防火墻本身的性能外，主要是取決對防火墻的正確配置。在我們與使用防火墻的用戶接觸中，發(fā)現(xiàn)常常由于防火墻配置的錯誤，而留下一些系統(tǒng)安全漏洞，讓入侵者有機可趁。

在裝有防火墻產(chǎn)品的網(wǎng)絡(luò)中，內(nèi)部網(wǎng)絡(luò)的安全性將在一定程度上依賴于防火墻產(chǎn)品的規(guī)則配置。由于一些配置在本質(zhì)上比其它的配置更安全，因而網(wǎng)絡(luò)安全系統(tǒng)的一個重要組件，在復雜的沒有條理性的配置上想要獲得安全性是很困難的，或許是不可能的。一個將網(wǎng)絡(luò)安全時刻放在心上并清楚地組織網(wǎng)絡(luò)防火墻的配置，使其易于理解和管理，幾乎肯定是更加安全的。

對于使用防火墻的用戶來說，最合適的網(wǎng)絡(luò)配置依賴于對網(wǎng)絡(luò)安全性、靈活性及數(shù)據(jù)傳輸速度的要求。因為防火墻規(guī)則的增加會影響其速度，不過現(xiàn)在有些防火墻產(chǎn)品在加一千余條規(guī)則后，其傳輸速度也不受太大的影響。

二、安全、可靠的防火墻的實現(xiàn)

建立一個條理清楚的防火墻規(guī)則集是實現(xiàn)防火墻產(chǎn)品安全的非常關(guān)鍵的一歩。安全、可靠防火墻的實現(xiàn)取決于以下的過程：

1、制定安全策略，搭建安全體系結(jié)構(gòu)

安全策略要靠防火墻的規(guī)則集來實現(xiàn)的，防火墻是安全策略得以實現(xiàn)的技術(shù)工具。所以，必須首先來制定安全策略，也就是說防火墻要保護的是什么，要防止的是什么，并將要求細節(jié)化，使之全部轉(zhuǎn)化成防火墻規(guī)則集。

2、制定規(guī)則的合理次序

一般防火墻產(chǎn)品在缺省狀態(tài)下有兩種默認規(guī)則：一種是沒有明確允許，一律禁止；另一種是沒有明確禁止，一律允許。因此用戶首先要理解自己所用產(chǎn)品的默認狀態(tài)，這樣才能開始配置其它的規(guī)則。

在防火墻產(chǎn)品規(guī)則列表中，最一般的規(guī)則被列在最后，而最具體的規(guī)則被列在最前面。在列表中每一個列在前面的規(guī)則都比列在后面的規(guī)則更加具體，而列表中列在后面的規(guī)則比列在前面規(guī)則更加一般。

按以上規(guī)則要求，規(guī)則放置的次序是非常關(guān)鍵的。同樣的規(guī)則，以不同的次序放置，可能會完全改變防火墻產(chǎn)品的運行狀況。大部分防火墻產(chǎn)品以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與第一條規(guī)則相比較，然后才是第二條、第三條……，當它發(fā)現(xiàn)一條匹配規(guī)則時，就停止檢查并應(yīng)用那條規(guī)則。如果信息包經(jīng)過每一條規(guī)則而沒有發(fā)現(xiàn)匹配的規(guī)則，那么默認的規(guī)則將起作用，這個信息包便會被拒絕。

另外有些防火墻產(chǎn)品專門將對防火墻本身的訪問列出規(guī)則，這要比一般的包過濾規(guī)則嚴格的多，通過這一規(guī)則的合理配置，阻塞對防火墻的任何惡意訪問，提高防火墻本身的安全性。

3、詳細的注釋，幫助理解

恰當?shù)亟M織好規(guī)則之后，還建議寫上注釋并經(jīng)常更新它們。注釋可以幫助明白哪條規(guī)則做什么，對規(guī)則理解的越好，錯誤配置的可能性就越小。同時建議當修改規(guī)則時，把規(guī)則更改者的名字、規(guī)則變更的日期、時間、規(guī)則變更的原因等信息加入注釋中，這可以幫助你跟蹤誰修改了哪條規(guī)則，以及修改的原因。

4、做好日志工作

日志的記錄內(nèi)容由防火墻管理員制定，可記錄在防火墻制定，也可放置在其它的主機。建議防火墻管理員定期的查看日志的內(nèi)容，歸檔，便于分析。同時要將被規(guī)則阻塞的包及時的通報管理員，以便及時了解網(wǎng)絡(luò)攻擊的狀況，采取應(yīng)急措施，保護網(wǎng)絡(luò)的安全。

三．結(jié)束語

總之，由于防火墻產(chǎn)品的實施相對簡單，因此它是維護網(wǎng)絡(luò)安全普遍采用的安全產(chǎn)品之一。但是防火墻產(chǎn)品僅是給用戶提供了一套安全防范的技術(shù)手段，只有合理的使用和良好的配置，才能使用戶的安全策略很好的融入到防火墻產(chǎn)品之中，使其真正起到保護用戶網(wǎng)絡(luò)安全的作用。