【摘要】:例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。因此,防火墙只是一种整体安全防范政策的一部分。
7.1.3 防火墙的安全性设计
1.防火墙的基本准则
(1)一切未被允许的就是禁止的
基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这是一种非常实用的方法,可以造成一种十分安全的环境,因为只有经过仔细挑选的服务才被允许使用。其弊端是,安全性高于用户使用的方便性,用户所能使用的服务范围受限制。
(2)一切未被禁止的就是允许的
基于该准则,防火墙应转发所有信息流,然后逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境,可为用户提供更多的服务。其弊病是,在日益增多的网络服务面前,网管人员疲于奔命,特别是受保护的网络范围增大时,很难提供可靠的安全防护。
2.防火墙的缺陷
由于Internet的开放性,有许多防范功能的防火墙也有一些防范不到的地方:
(1)防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
(2)防火墙不能防止感染了病毒的软件或文件的传输,不能期望防火墙去对每一个文件进行扫描,查出潜在的病毒,只能在每台主机上装反病毒软件。
(3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。
因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
