【正文】 IP 封包包頭中的源地址和端口號保持不變。對于網(wǎng)絡信息流，可使用IP 地址或動態(tài)IP (DIP) 池的目的地區(qū)段接口地址來執(zhí)行 NAT，動態(tài) IP 池與目的地區(qū)段接口在同一子網(wǎng)中。 可以同時支持多個網(wǎng)絡區(qū)域間的安全策略216。 內(nèi)容過濾內(nèi)容過濾是基于應用層信息對數(shù)據(jù)包進行過濾。實施的考慮216。如：時延。 帶寬管理在一個高效管理的網(wǎng)絡結(jié)構(gòu)里，帶寬管理是非常重要的功能，它能夠避免在網(wǎng)絡關鍵節(jié)點產(chǎn)生擁塞。通過實施帶寬管理，保證關鍵應用的順暢進行，同時，防止某些應用或某些用戶無限制的消耗帶寬，或防止某些攻擊耗盡帶寬。最后，為方便管理人員查看相關網(wǎng)絡服務的帶寬使用情況，防火墻可以提供必要的圖形化流量監(jiān)控，即在防火墻的Report功能內(nèi)可以圖形化地顯示當前某策略的網(wǎng)絡流量狀況，也可以顯示歷史記錄。只有產(chǎn)生了Ack確認的網(wǎng)絡訪問，防火墻才會讓該訪問流透過防火墻轉(zhuǎn)發(fā)到服務器；對于在規(guī)定時間內(nèi)沒有響應Ack的數(shù)據(jù)流，防火墻會主動將連接清除。目前，Internet公用地址不足，往往很多用戶共享一個IP地址上網(wǎng)，一旦其中某個用戶啟動黑客攻擊，被IDS檢測到并聯(lián)動防火墻阻斷該IP地址的訪問的話，這個IP地址后的所有其它用戶都將無法訪問該站點。入侵檢測：分類說明1） 針對性的參數(shù)調(diào)整一些基本的防火墻功能對應的參數(shù)的調(diào)整可以在一定程度上防止攻擊的發(fā)生。絕大部分攻擊為常見的大約100種特征所涵蓋，因此，可以在防火墻上只針對這些攻擊打開入侵檢測功能。然而，由于網(wǎng)絡傳輸速度的往往不一致， Reset無法準確地將數(shù)據(jù)包丟棄。 防火墻聯(lián)動IDS設備偵測到網(wǎng)絡攻擊，發(fā)起一個自動腳本聯(lián)動防火墻，由防火墻根據(jù)IP地址、端口服務等信息阻斷該訪問。實施的考慮 ：防攻擊的手段的實施通常與網(wǎng)絡的性能有直接的關聯(lián)，需要仔細平衡和調(diào)節(jié)上述第一種手段基本不會影響防火墻的性能，通常一定是會考慮的第二種手段可用于大多數(shù)中、小節(jié)點，提供較完善的攻擊防護，同時不增加網(wǎng)絡的成本和復雜性。這將是非常大的安全漏洞，而在電信企業(yè)內(nèi)部網(wǎng)絡的環(huán)境中，更容易產(chǎn)生這種問題。它可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來實現(xiàn)。單純由屏蔽路由器構(gòu)成的防火墻的危險帶包括路由器本身及路由器允許訪問的主機。堡壘主機上運行著防火墻軟件，可以轉(zhuǎn)發(fā)應用程序，提供服務等。雙穴主機網(wǎng)關的一個致命弱點是：一旦入侵者侵入堡壘主機并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)網(wǎng)。 屏蔽主機網(wǎng)關易于實現(xiàn)也很安全，因此應用廣泛。網(wǎng)關的基本控制策略由安裝在上面的軟件決定。有的屏蔽子網(wǎng)中還設有一堡壘主機作為唯一可訪問點，支持終端交互或作為應用網(wǎng)關代理。在這種情況下，攻擊者得先侵入堡壘主機，然后進入內(nèi)網(wǎng)主機，再返回來破壞屏蔽路由器，整個過程中不能引發(fā)警報。選擇防火墻結(jié)構(gòu)時，一般很少采用單一的技術，通常是多種解決不同問題的技術的組合。 合并堡壘主機與外部路由器； 使用多個周邊網(wǎng)絡； 5 防火墻的功能要求雖然前面章節(jié)介紹防火墻的體系結(jié)構(gòu)和技術多種多樣，但防火墻產(chǎn)品從原理上主要分為兩類：包過濾和應用網(wǎng)關。 包過濾防火墻應具備的基本安全功能中國移動企業(yè)信息化系統(tǒng)采用的包過濾防火墻必須具有以下的基本安全功能： 用戶數(shù)據(jù)保護功能 完整的客體訪問控制防火墻的安全功能應在以下方面執(zhí)行未鑒別的端到端策略:a）主體：未經(jīng)防火墻鑒別的主機；b）客體：內(nèi)部或外部網(wǎng)上的主機。根據(jù)主體和客體的安全屬性值提供明確的訪問保障能力。防火墻應執(zhí)行以下規(guī)則以確定受控主體與受控客體之間的操作是否被允許：a）防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有內(nèi)部網(wǎng)絡上的主機源地址的訪問或服務請求。 資源分配時對遺留信息的充分保護防火墻應保證在為所有客體進行資源分配時，不提供以前的任何信息內(nèi)容。 管理員屬性查詢防火墻應執(zhí)行訪問控制的功能策略：未鑒別的端到端策略，向授權(quán)管理員提供以下查詢：a）。 授權(quán)管理員和可信主機鑒別數(shù)據(jù)的基本保護防火墻應保護存儲于設備中的鑒別數(shù)據(jù)不受未授權(quán)查閱、修改和破壞。 授權(quán)管理員、可信主機和主機屬性的初始化防火墻的安全功能應提供用默認值對授權(quán)管理員，可信主機和主機屬性初始化的能力。防火墻應預防與遠程管理和遠程可信主機操作有關的鑒別數(shù)據(jù)的重用。 安全功能區(qū)域分割防火墻的安全功能應為其自身的執(zhí)行過程設定一個安全區(qū)域，以保護其免遭不可信主體的干擾和篡改。防火墻的安全功能應能把授權(quán)執(zhí)行管理功能的授權(quán)管理員和可信主機與使用防火墻的所有其他個人或系統(tǒng)分開。防火墻的安全功能應向授權(quán)管理員提供能夠執(zhí)行防火墻的安裝及初始配置，系統(tǒng)啟動和關閉功能，備份和恢復的能力。 審計跟蹤管理防火墻的安全功能應使管理員能創(chuàng)建、存檔、刪除和清空審計記錄。防火墻應只允許授權(quán)管理員使用審計查閱工具。一旦審計存儲耗盡，防火墻應能保證在授權(quán)管理員所采取的審計行為以外，防止其他可審計行為的出現(xiàn)。 完整的客體訪問控制（2）防火墻的安全功能應在以下方面執(zhí)行有鑒別的端到端策略： a) 主體：經(jīng)防火墻鑒別的用戶； b) 客體：在內(nèi)部或外部網(wǎng)絡上的主機；以及安全功能策略所包括的主體、客體的所有操作。 多種安全屬性訪問控制（1）防火墻應根據(jù)源地址，目的地址，傳輸層協(xié)議和請求的服務（如源端口號或目的端口號）對客體執(zhí)行未鑒別的端到端策略。d）防火墻應拒絕從外部網(wǎng)絡發(fā)出的、但擁有環(huán)回網(wǎng)絡上的主機源地址的訪問或服務請求。 管理員屬性修改防火墻應執(zhí)行訪問控制的功能策略（SFP）：a) 未鑒別的端到端策略；b) 有鑒別的端到端策略；向授權(quán)管理員提供修改下述參數(shù)的能力：a）標識與角色（例如：管理員）的關聯(lián)。b）主機名。 鑒別失敗的基本處理防火墻的安全功能應能夠在鑒別嘗試經(jīng)一個可設定的次數(shù)失敗以后，終止可信主機或用戶建立會話的過程。 授權(quán)管理員、可信主機、主機和用戶唯一屬性定義防火墻的安全功能應為每一個規(guī)定的授權(quán)管理員、可信主機、主機和用戶提供一套唯一的，為了執(zhí)行安全策略所必須的安全屬性。 —— 文件傳送協(xié)議（FTP）； —— 超文本傳輸協(xié)議（HTTP）； —— 登錄； —— 郵政協(xié)議（POP）； —— 遠程登錄； —— 簡單網(wǎng)絡管理協(xié)議（SNMP）； —— Telnet。 安全功能區(qū)域分割防火墻的安全功能應為其自身的執(zhí)行過程設定一個安全區(qū)域，以保護其免遭不可信主體的干擾和篡改。防火墻的安全功能應能把授權(quán)執(zhí)行管理功能的授權(quán)管理員和可信主機與使用防火墻的所有其他個人或系統(tǒng)分開。防火墻的安全功能應向授權(quán)管理員提供能夠執(zhí)行防火墻的安裝及初始配置，系統(tǒng)啟動和關閉功能，備份和恢復的能力。 審計跟蹤管理防火墻的安全功能應使管理員能創(chuàng)建、存檔、刪除和清空審計記錄。防火墻應只允許授權(quán)管理員使用審計查閱工具。一旦審計存儲耗盡，防火墻應能保證在授權(quán)管理員所采取的審計行為以外，防止其他可審計行為的出現(xiàn)。l 多種地址翻譯（NAT）模式具有正向和反向NAT功能，具有端口地址翻譯（PAT）功能。l 內(nèi)容過濾不僅對數(shù)據(jù)包頭進行過濾，能對Java、ActiveX、JavaScript、VBscript、URL記錄和攔截和過濾?？紤]到病毒屬于應用層的數(shù)據(jù)，在應用層過濾勢必嚴重影響網(wǎng)絡的性能，因此，人們把對病毒的查殺主要放在終端進行，而不是指望防火墻能解決所有的問題。新型防火墻的日志文件可以異機備份，可以和日志分析軟件配合使用，通過日志分析軟件及時發(fā)現(xiàn)攻擊行為。防火墻一般需要使用NAT功能，而IPSec需要對IP包進行重新封裝，二者在配合上存在很多問題。支持SSL協(xié)議的客戶端可以很容易的與支持SSL協(xié)議的防火墻建立安全通道。深度包檢測技術的應用將使得防火墻的入侵檢測功能和抗攻擊能力大大加強。l 為了和內(nèi)部網(wǎng)二層交換機配合使用，提高數(shù)據(jù)在內(nèi)部網(wǎng)的安全性，防火墻支持VLAN也是必要的。 好的防火墻還應該向使用者提供完整的安全檢查功能，但是一個安全的網(wǎng)絡仍必須依靠使用者的觀察及改進，因為防火墻并不能有效地杜絕所有的惡意封包，企業(yè)想要達到真正的安全仍然需要內(nèi)部人員不斷記錄、改進、追蹤。 網(wǎng)絡受威脅的程度； 216。 機構(gòu)所希望提供給Internet的服務，希望能從Internet得到的服務以及可以同時通過防火墻的用戶數(shù)目； 216。具體策略配置案例（用戶數(shù)據(jù)保護功能類）：具體策略的制定需要根據(jù)各分公司的網(wǎng)絡應用情況結(jié)合上述原則進行。通信策略定義通信對象間的通信方式，通信方式可以分為4種：Transfer, NAT, Map, Tunnel。它們是互相獨立的，例如管理員可以禁止機器A訪問服務器B，他同時可以描述機器A訪問服務器B時必須NAT。目的端口如TCP 21，UDP 53等。）。這個真正的機器可以是一臺機器，也可以是多臺機器，在多臺機器的情況下就是服務器負載均衡。 訪問策略防火墻的訪問策略， 主要有下列幾個方面：216。 系統(tǒng)支持多用戶， 管理權(quán)限要有多級，并且可以進行日志記錄；216。制定安全策略需要考慮下列事項：216。 列出上述應用的網(wǎng)絡數(shù)據(jù)流向矩陣；216。過于復雜的功能和設計， 最容易由于不慎帶來潛在的威脅；216。216。需要不斷地監(jiān)控和維護。安全策略的添加、刪除或更改均屬于安全策略的變更，需嚴格按照該流程實施。 所需添加策略的確定216。 實施過程歸檔所需添加策略的確定如果有新的應用上線或開通新的業(yè)務，通常應用部門會要求網(wǎng)絡安全部門對防火墻的安全策略進行調(diào)整。由于防火墻包含有眾多的安全策略，每一個策略的位置和功能對整個防火墻系統(tǒng)的安全至關重要。需要說明的是，在添加和修改任何策略之前，需要對現(xiàn)有防火墻系統(tǒng)的配置進行備份，如果添加策略的過程中出現(xiàn)問題，可以將備份的配置及時上載到原有系統(tǒng)進行恢復。通過對應用的充分驗證之后，確定該新添加策略的合法性和正確性。 所更改策略與現(xiàn)有策略的合理性分析216。比如由于應用系統(tǒng)的變化，現(xiàn)有防火墻安全策略需要調(diào)整。之后，對比需要修改的策略，作出需要修改的部分。如果在更改過程中出現(xiàn)問題，需要及時將備份的配置進行上載恢復系統(tǒng)。同時，與應用部門聯(lián)系，配合應用部門對其新的應用進行驗證對應用充分驗證之后，確定該策略更改的合理性和正確性。 實施過程歸檔所需刪除安全策略的確定防火墻管理員根據(jù)相關業(yè)務部門應用的調(diào)整或網(wǎng)絡的調(diào)整，對現(xiàn)有防火墻安全策略進行及時的刪除來確保網(wǎng)絡的安全性。然后將所確定和分離出來的策略啟用流量日志，通過對流量日志的分析，確定所刪除的策略的正確性。信息系統(tǒng)安全管理組織體系應采用統(tǒng)一組織、分級管理的方式，在集團公司成立信息系統(tǒng)安全管理機構(gòu),并在各個省公司及其下屬分公司主管數(shù)據(jù)網(wǎng)運行維護的部門設置相應的信息系統(tǒng)安全管理機構(gòu)，負責本公司IP網(wǎng)絡的安全管理工作。l 熟悉所管理網(wǎng)絡中采用的操作系統(tǒng)、應用系統(tǒng)和網(wǎng)絡服務。安全管理員的職責包括：l 負責職權(quán)范圍內(nèi)IP網(wǎng)絡安全防范工作的具體實施、安全配置操作和維護工作、以及相關網(wǎng)絡安全問題的處理。l 督導安全審計員、普通用戶與安全有關的工作，落實網(wǎng)絡安全維護作業(yè)計劃的執(zhí)行。l 配合安全管理機構(gòu)對安全工作的考核。l 當所管理的主機系統(tǒng)及網(wǎng)絡設備發(fā)生安全問題時，必須及時向主管的安全管理員報告。對于整體網(wǎng)絡來講，集中的外部認證方式可以比較有效地節(jié)約管理成本，如果采用相應的擴展標準，將管理用戶的權(quán)限等字段利用起來，造成安全權(quán)限分配失誤的幾率也小得多。在基于WEB方式的認證中，用戶在認證沒有通過前，需要打開WEB頁面，輸入用戶名和密碼，通過Radius或 TACAS+的認證后，獲得接通的授權(quán)，連接進網(wǎng)絡；基于客戶端軟件方式的認證方式，采用特殊的客戶端撥號程序，在客戶端中輸入用戶名和密碼，通過Radius或TACAS+認證通過后，獲得接通的授權(quán)，連接進網(wǎng)絡。一般要求這個時間在1分鐘左右。 連續(xù)認證失敗次數(shù)當用戶試圖多次登陸，需要限制其總的登陸次數(shù)。 恢復時間一次錯誤的認證后，需要間隔一定的時間才能出現(xiàn)新的登陸界面。 閑置時間登陸成功的管理員，在沉默一定時間后系統(tǒng)將自動將其退出，以避免非法操作人員利用用戶長時間離開的機會進行操作，也可以釋放出相應系統(tǒng)資源供后續(xù)登陸上來的管理員使用。一旦網(wǎng)絡系統(tǒng)出現(xiàn)問題，管理員要及時對問題和事件進行分析，確定出現(xiàn)了哪些問題，對目前哪些系統(tǒng)造成了影響，如何采取相應的措施。 定期安全事件的審計要高效、準確、持續(xù)突發(fā)安全事件的審計要及時眾所周知，網(wǎng)絡安全事件層出不窮，任何人都無法預知即將發(fā)生的事件，因此，對于網(wǎng)絡突發(fā)事件的監(jiān)控和審計對于整個網(wǎng)絡的整體安全性舉足輕重。同時，任何事件都不是孤立的，整個網(wǎng)絡安全系統(tǒng)包括路由器，交換機，主機系統(tǒng)，防火墻，以及入侵檢測系統(tǒng)都是相關連的。Console顯示受其字符輸出速度的限制（一般為9600波特或稍高），只適合嚴重級別較高的日志類型；內(nèi)存存儲不受速度限制，但屬于易失性存儲，設備掉電會丟失數(shù)據(jù)，而且受內(nèi)存大小限制，只能作為臨時存儲，設備應具備將這些數(shù)據(jù)另外保存的方法；非易失性存儲，適合對關鍵的日志類型如攻擊、管理、異常信息等的保存，便于出現(xiàn)問題時能夠保存必要的資料。Syslog標準適合存儲大量的信息。Syslog 服務器一般只負責數(shù)據(jù)的收集，對數(shù)據(jù)的處理需要進一步的工具。對安全設備而言，日志的保密性也需要考慮。 建立安全基線對網(wǎng)絡流量行為，設備可以設定一定的安全基線，當某一特定行為到達這一基線時，防火墻設備可以產(chǎn)生告警信息，提示用戶注意，并根據(jù)實際情況進行網(wǎng)絡配置、安全配置等的調(diào)整。防火墻應當有啟用/禁止這些界定的能力，特別是對于“模糊”辨別的攻擊類型，防火墻可以修改各種參數(shù)的配置，以便根據(jù)網(wǎng)絡具體情況進行調(diào)節(jié)。 安全審計建議借助于專業(yè)的處理工具生成網(wǎng)絡安全審計報告。這樣的報告形成有周期性規(guī)律，可以有效地發(fā)現(xiàn)問題，利于及時解決問題。對重要的網(wǎng)絡資源使用情況如CPU/內(nèi)存/session等，重大的攻擊發(fā)生情況如大規(guī)模的網(wǎng)絡攻擊/嚴重的系統(tǒng)故障等要做到設備實時報警，管理實