防火牆的策略設計

來源:互聯網
上載者:User

  4月到6月,國外傳統上稱為“防火牆月”,據說這與“防火牆”的誕生有關。此後,每一種革命意義的防火牆技術都在此期間發布。遵照傳統,編輯也收集了國內外論壇中的防火牆專帖,一起分享其中的安全理念與部署技巧。

  定義所需要的防禦能力

  防火牆的監視、冗餘度以及控制水平是需要進行定義的。通過企業系統策略的設計,IT人員要確定企業可接受的風險水平(偏執到何種程度)。接下來IT人員需要列出一個必須監測什麼傳輸、必須允許什麼傳輸通行,以及應當拒絕什麼傳輸的清單。換句話說,IT人員開始時先列出總體目標,然後把需求分析與風險評估結合在一起,挑出與風險始終對立的需求,加入到計劃完成的工作清單中。

  關注財務問題

  很多專家建議,企業的IT人員只能以模糊的表達方式論述這個問題。但是,試圖以購買或實施解決方案的費用多少來量化提出的解決方案十分重要。例如,一個完整的防火牆的高端產品可能價值10萬美元,而低端產品可能是免費的;從頭建立一個高端防火牆可能需要幾個月。另外,系統管理開銷也是需要考慮的問題。建立自行開發的防火牆固然很好,但重要的是,使建立的防火牆不需要高額的維護和更新費用。

  體現企業的系統策略

  IT人員需要明白,安裝後的防火牆是為了明確地拒絕——除對於串連到網路至關重要的服務之外的所有服務。或者,安裝就緒的防火牆是為以非威脅方式對“魚貫而入”的訪問提供一種計量和審計的方法。在這些選擇中存在著某種程度的偏執狂,防火牆的最終功能可能將是行政上的結果,而非工程上的決策。

  網路設計

  出於實用目的,企業目前關心的是路由器與自身內部網路之間存在的靜態傳輸串流路由服務。因此,基於這一事實,在技術上還需要做出幾項決策:傳輸串流路由服務可以通過諸如路由器中的過濾規則在IP層實現,或通過代理網關和服務在應用程式層實現。

  IT人員需要做出的決定是,是否將暴露的簡易機放置在外部網路上為Telnet、FTP、News等運行代理服務,或是否設定像過濾器這樣的屏蔽路由器,允許與一台或多台內部電腦通訊。這兩種方式都存在著優缺點,代理機可以提供更高水平的審計和潛在的安全性,但代價是配置費用的增加,以及提供的服務水平的降低。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。