网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　1.网络防火墙的连接策略

　　"防火墙"(FireWall)的本意是指发生火灾时，用来防止火势蔓延的一道障碍物，一般都修筑在建筑物之间。而如今的网络防火墙则是指设置在计算机网络之间的一道隔离装置，可以隔离两个或多个网络，限制网络互访，以保护内部网络用户和数据的安全。

　　(1)连接内部网络与互联网。

　　这是一种应用最广、也是最重要的防火墙应用环境。在这种应用环境下，防火墙主要保护内部网络不遭受非法用户的攻击，如图1所示。

　　图1内部网络与互联网之间的连接

　　在图1所示的3个区域中，用户需要对不同的安全区域采取不同的安全策略。虽然内部网络和DMZ区部属于企业内部网络的一部分，但它们的安全级别(策略)是不同的。对于要保护的大部分内部网络，一般禁止所有来自互联网用户的访问、而由企业内部网络划分出去的DMZ区，因需为互联网应用提供相关的服务，所以在一定程度上，没有内部网络限制那么严格，如Web服务器通常是允许任何人进行正常的访问。那么，这些服务器是不是很容易被攻击呢?由于在这些服务器上所安装的服务非常少，所允许的权限非常低，真正需要保护的数据是在受保护的内部网络主机上，所以黑客攻击这些服务器没有任何意义，既不能获取什么有用的信息，也不能通过攻击它而获得过高的网络访问权限。

　　(2)连接局域网和广域网。

　　局域网和广域网之间的连接是应用防火墙最多的网络，网络用户根据自己具体需要的不同，有两种连接方式可供选择。

　　如果用户网络原来已存在边界路由器，则此可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器，则可直接与边界路由器相连，无需经过防火墙，可只经过路由器的简单防护。在这种网络环境中，边界路由器与防火墙一起组成两道安全防线，并且在这两者之间可以设置一个DMZ区，用来放置那些允许外部用户访问的公用服务器设施。

　　如果用户网络中不存在边界路由器，则此时直接由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口，因此需要对这两部分网络设置不同的安全策略。这种网络中虽然只有一道安全防线，但对于大多数中、小企业来说是完全可以满足的。不过在选购防火墙时需要注意，防火墙一定要有两个以上的LAN网络接口。

　　(3)连接用户与中心服务器。

　　对于一个服务器中心而言，大多服务器都需要对第三方(合作伙伴、互联网用户等)开放。但是所有这些服务器分别属于不同用户所有，其安全策略也各不相同。如果把它们都定义在同一个安全区域中，显然不能满足各用户的不同需求，这时就可以按不同安全策略保护这些服务器。根据实施方式的不同又可以分为以下两种网络环境。

　　①每台服务器单独配置独立的防火墙。

　　这种方法是最容易实现的也是最直观的，但这种方案无论从经济上还是从使用和管理的灵活可靠性上都不是最好的。因为需要购买与托管理服务器数据一样多的防火，所以对托管中心来说投资非常大;而且托管中心管理员面对这么多防火墙，其管理难度可想而知。

　　②配置虚拟网络防火墙。

　　这主要是利用三层交换机的VLAN功能，先在三层交换机上将有不同安全要求的服务器划分至不同的VLAN，然后借助对高性能防火墙模块的VLAN子网配置将防火墙划分为多个虚拟防火墙，如图2所示。这种方案虽然配置较为复杂，但是一旦配置完成，随后的使用和管理将相当方便，就像用交换机管理多个VLAN子网一样管理每个用户服务器，而且该方案在现实中比较经济可行。

　　图2配置虚拟防火墙

　　2.入侵检测系统的连接策略

　　IDS一般位于内部网的入口处、防火墙的后面，用于检测入侵和内部用户的非法活动，提供对内、外部攻击和误操作的实时保护，在网络系统受到危害之前进行拦截和响应入侵处理。它可在不影响网络性能的情况下对网络进行监听，从而实现对网络的保护。

　　lDS在交换式网络中的位置一般选择在尽可能靠近攻击源和受保护资源的地方。

　　这些位置通常如下。

　　●服务器区域的交换机上

　　●重点保护网段的局域网交换机上

　　●互联网接入路由器之后的第一台交换机上