【正文】 i) 時(shí)間；j) 上述各參數(shù)的邏輯組合（如“和”、“與”）。備份能力應(yīng)有自動(dòng)工具的支持。 區(qū)分安全管理角色防火墻的安全功能應(yīng)將與安全相關(guān)的管理功能與其它功能區(qū)分開。 授權(quán)管理員的基本鑒別防火墻的安全功能應(yīng)鑒別任何通過防火墻的控制口履行授權(quán)管理員功能的管理員身份。c) 用戶名 識(shí)別與鑒別功能 授權(quán)管理員和可信主機(jī)鑒別數(shù)據(jù)初始化。 多種安全屬性訪問控制（2）防火墻應(yīng)根據(jù)用戶ID、源地址、目的地址、運(yùn)輸層協(xié)議和請(qǐng)求的服務(wù)（如源端口號(hào)和/或目的端口號(hào)），以及服務(wù)命令（例如：FTP STOR/PUT）對(duì)客體執(zhí)行有鑒別的端到端策略。防火墻的安全功能應(yīng)確保安全功能策略包括了控制范圍內(nèi)的任何主體和客體之間的所有操作。 可選擇查閱審計(jì)防火墻的安全功能應(yīng)提供能對(duì)審計(jì)數(shù)據(jù)進(jìn)行查找和排序的審計(jì)查閱工具：a) 主體 ID；b) 客體 ID；c) 日期；d) 時(shí)間；e) 上述各參數(shù)的邏輯組合（如“和”、“與”）。備份能力應(yīng)有自動(dòng)工具的支持。 區(qū)分安全管理角色防火墻的安全功能應(yīng)將與安全相關(guān)的管理功能與其它功能區(qū)分開。 授權(quán)管理員、可信主機(jī)和主機(jī)唯一屬性定義防火墻的安全功能應(yīng)為每一個(gè)規(guī)定的授權(quán)管理員、可信主機(jī)和主機(jī)提供一套唯一的，為了執(zhí)行安全策略所必須的安全屬性。b）主機(jī)名。b）防火墻應(yīng)拒絕從外部網(wǎng)絡(luò)發(fā)出的、但擁有廣播網(wǎng)絡(luò)上的主機(jī)源地址的訪問或服務(wù)請(qǐng)求。以及安全功能策略所包括主體和客體上的所有操作。 合并內(nèi)部路由器與外部路由器；這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，以及網(wǎng)管中心能接受什么等級(jí)風(fēng)險(xiǎn)。這種配置的危險(xiǎn)帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者設(shè)法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會(huì)受到很大威脅。 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）它的缺點(diǎn)是一旦被攻陷后很難發(fā)現(xiàn)，而且不能識(shí)別不同的用戶。不建議廣泛使用。但是，由于防火墻只能根據(jù)IP地址、服務(wù)端口阻斷攻擊包，如果有來自代理服務(wù)器IP地址的某個(gè)攻擊的話，來自該IP地址的所有訪問都將被阻斷。3）與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)通常入侵檢測(cè)設(shè)備工作在旁路的方式下，通過檢查每個(gè)數(shù)據(jù)包的特征，并與攻擊特征做對(duì)比，從而分析出攻擊包是否存在。這將是非常大的安全漏洞，而在電信企業(yè)內(nèi)部網(wǎng)絡(luò)的環(huán)境中，更容易產(chǎn)生這種問題。 附加功能：攻擊保護(hù)，聯(lián)動(dòng)功能，入侵檢測(cè)攻擊保護(hù)：防火墻作為網(wǎng)絡(luò)通訊的安全控制門戶，對(duì)來自內(nèi)/外網(wǎng)絡(luò)的攻擊，也需要能夠提供足夠的抵擋功能。防火墻系統(tǒng)通常會(huì)被部署在外網(wǎng)到內(nèi)網(wǎng)、內(nèi)網(wǎng)子網(wǎng)之間的關(guān)鍵位置，因此，防火墻具備必要的帶寬管理功能對(duì)提高整個(gè)網(wǎng)絡(luò)效率會(huì)起到非常重要的作用。 過濾策略數(shù)據(jù)庫(kù)的維護(hù)是工作重點(diǎn)。 可以參與路由協(xié)議的運(yùn)行,以支持復(fù)雜的網(wǎng)絡(luò)拓?fù)鋺?yīng)用環(huán)境：路由模式主要應(yīng)用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（如因特網(wǎng)）的連接。與Transparent 模式（透明模式）不同， Trust 區(qū)段中的接口和Untrust 區(qū)段中的接口在不同的子網(wǎng)中。接口為Transparent 模式（透明模式）時(shí)， 防火墻設(shè)備過濾通過防火墻的封包，而不會(huì)修改 IP 封包包頭中的任何源或目的地信息。但NAT也潛在地影響到一些網(wǎng)絡(luò)性能和安全設(shè)施及部分網(wǎng)絡(luò)應(yīng)用，這就需要網(wǎng)絡(luò)管理員謹(jǐn)慎地使用它。每個(gè)私有地址包通過NAT設(shè)備都被翻譯成合法的全局IP地址發(fā)往下一級(jí)設(shè)備，這給NAT設(shè)備的處理器帶來了一定的負(fù)擔(dān)。國(guó)內(nèi)外的一些主流防火墻廠商已經(jīng)開始采用深度包檢測(cè)技術(shù)。作為自適應(yīng)安全計(jì)劃的一部分，自適應(yīng)代理將允許經(jīng)過正確驗(yàn)證的設(shè)備在安全傳感器和掃描儀發(fā)現(xiàn)重要的網(wǎng)絡(luò)威脅時(shí)，根據(jù)防火墻管理員事先確定的安全策略，自動(dòng)“適應(yīng)”防火墻級(jí)別。目前市場(chǎng)上的主流防火墻，一般都是全狀態(tài)檢測(cè)防火墻。 全狀態(tài)檢測(cè)（Stateful Inspection）動(dòng)態(tài)包過濾技術(shù)后來演變?yōu)槿珷顟B(tài)檢測(cè)。如果支持應(yīng)用程序，那也很可能是TCP/IP應(yīng)用程序。應(yīng)用層代理為一特定應(yīng)用服務(wù)提供代理，它對(duì)應(yīng)用協(xié)議進(jìn)行解析并解釋應(yīng)用協(xié)議的命令。 包過濾（Packet Filter）包過濾防火墻對(duì)所接收的每個(gè)數(shù)據(jù)包做允許拒絕的決定。網(wǎng)絡(luò)連接的日志記錄及使用統(tǒng)計(jì)日志是對(duì)一些可能的攻擊進(jìn)行分析和防范的十分重要的情報(bào)。簡(jiǎn)要來講，防火墻具有以下幾方面主要作用：控制不安全的服務(wù)防火墻可以控制不安全的服務(wù)，因?yàn)橹挥惺跈?quán)的協(xié)議和服務(wù)才能通過防火墻進(jìn)入到內(nèi)部子網(wǎng)。防火墻是一個(gè)中心“扼制點(diǎn)”來防止非法用戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。封鎖這些信息，可以防止攻擊者從中獲得一些有用信息。目前，新的發(fā)展方向是采用深度包過濾技術(shù)。代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序。雖然它們包含支持某些特定TCP/IP應(yīng)用程序的代碼，但通常要受到限制。對(duì)于許多應(yīng)用程序協(xié)議而言，例如媒體流，動(dòng)態(tài)IP包過濾提供了處理動(dòng)態(tài)分配端口的最安全方法。全狀態(tài)檢測(cè)技術(shù)采用了一系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類網(wǎng)絡(luò)環(huán)境中，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。自適應(yīng)代理可以和安全脆弱性掃描器、病毒安全掃描器和入侵檢測(cè)系統(tǒng)之間實(shí)現(xiàn)更加靈活的集成。深度包檢測(cè)防火墻應(yīng)能防范惡意數(shù)據(jù)攻擊：能識(shí)別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊，解決SYN Flooding、Land Attack、UDP Flooding、Fraggle Attack、Ping Flooding、Smurf、Ping of Death、Unreachable Host等攻擊，有效的切斷惡意病毒或木馬的流量攻擊；能防范黑客攻擊，能識(shí)別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。路由器或防火墻等設(shè)備利用NAT表把私有IP地址映射到合法的全局IP地址上去。Class A: to Class B: to Class C: to 雙機(jī)熱備雖然使用網(wǎng)絡(luò)地址翻譯可以帶來許多優(yōu)點(diǎn)，例如可以幫助網(wǎng)絡(luò)管理員向互聯(lián)網(wǎng)隱藏內(nèi)部網(wǎng)絡(luò)地址，并把內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法的公有地址；使現(xiàn)有網(wǎng)絡(luò)不必重新編址、減少了ISP接入費(fèi)用，還可以起平衡負(fù)載的作用。 橋接、路由橋接模式：在橋接模式下，防火墻在網(wǎng)絡(luò)中被配置成為一個(gè)橋接設(shè)備，在各個(gè)網(wǎng)段之間轉(zhuǎn)發(fā)數(shù)據(jù)，而網(wǎng)絡(luò)中的其他設(shè)備并不會(huì)感覺到網(wǎng)橋設(shè)備的存在。接口為Route 模式（路由模式）時(shí)， 防火墻設(shè)備在不同區(qū)段間轉(zhuǎn)發(fā)信息流時(shí)不執(zhí)行 NAT ；即，當(dāng)信息流過防火墻設(shè)備時(shí)，IP 封包包頭中的源地址和端口號(hào)保持不變。 可以同時(shí)支持多個(gè)網(wǎng)絡(luò)區(qū)域間的安全策略216。實(shí)施的考慮216。 帶寬管理在一個(gè)高效管理的網(wǎng)絡(luò)結(jié)構(gòu)里，帶寬管理是非常重要的功能，它能夠避免在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)產(chǎn)生擁塞。最后，為方便管理人員查看相關(guān)網(wǎng)絡(luò)服務(wù)的帶寬使用情況，防火墻可以提供必要的圖形化流量監(jiān)控，即在防火墻的Report功能內(nèi)可以圖形化地顯示當(dāng)前某策略的網(wǎng)絡(luò)流量狀況，也可以顯示歷史記錄。目前，Internet公用地址不足，往往很多用戶共享一個(gè)IP地址上網(wǎng)，一旦其中某個(gè)用戶啟動(dòng)黑客攻擊，被IDS檢測(cè)到并聯(lián)動(dòng)防火墻阻斷該IP地址的訪問的話，這個(gè)IP地址后的所有其它用戶都將無法訪問該站點(diǎn)。絕大部分攻擊為常見的大約100種特征所涵蓋，因此，可以在防火墻上只針對(duì)這些攻擊打開入侵檢測(cè)功能。 防火墻聯(lián)動(dòng)IDS設(shè)備偵測(cè)到網(wǎng)絡(luò)攻擊，發(fā)起一個(gè)自動(dòng)腳本聯(lián)動(dòng)防火墻，由防火墻根據(jù)IP地址、端口服務(wù)等信息阻斷該訪問。這將是非常大的安全漏洞，而在電信企業(yè)內(nèi)部網(wǎng)絡(luò)的環(huán)境中，更容易產(chǎn)生這種問題。單純由屏蔽路由器構(gòu)成的防火墻的危險(xiǎn)帶包括路由器本身及路由器允許訪問的主機(jī)。雙穴主機(jī)網(wǎng)關(guān)的一個(gè)致命弱點(diǎn)是：一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)網(wǎng)。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。選擇防火墻結(jié)構(gòu)時(shí)，一般很少采用單一的技術(shù)，通常是多種解決不同問題的技術(shù)的組合。 使用多個(gè)周邊網(wǎng)絡(luò)； 包過濾防火墻應(yīng)具備的基本安全功能中國(guó)移動(dòng)企業(yè)信息化系統(tǒng)采用的包過濾防火墻必須具有以下的基本安全功能： 用戶數(shù)據(jù)保護(hù)功能 完整的客體訪問控制防火墻的安全功能應(yīng)在以下方面執(zhí)行未鑒別的端到端策略:a）主體：未經(jīng)防火墻鑒別的主機(jī)；b）客體：內(nèi)部或外部網(wǎng)上的主機(jī)。防火墻應(yīng)執(zhí)行以下規(guī)則以確定受控主體與受控客體之間的操作是否被允許：a）防火墻應(yīng)拒絕從外部網(wǎng)絡(luò)發(fā)出的、但擁有內(nèi)部網(wǎng)絡(luò)上的主機(jī)源地址的訪問或服務(wù)請(qǐng)求。 管理員屬性查詢防火墻應(yīng)執(zhí)行訪問控制的功能策略：未鑒別的端到端策略，向授權(quán)管理員提供以下查詢：a）。 授權(quán)管理員、可信主機(jī)和主機(jī)屬性的初始化防火墻的安全功能應(yīng)提供用默認(rèn)值對(duì)授權(quán)管理員，可信主機(jī)和主機(jī)屬性初始化的能力。 安全功能區(qū)域分割防火墻的安全功能應(yīng)為其自身的執(zhí)行過程設(shè)定一個(gè)安全區(qū)域，以保護(hù)其免遭不可信主體的干擾和篡改。防火墻的安全功能應(yīng)向授權(quán)管理員提供能夠執(zhí)行防火墻的安裝及初始配置，系統(tǒng)啟動(dòng)和關(guān)閉功能，備份和恢復(fù)的能力。防火墻應(yīng)只允許授權(quán)管理員使用審計(jì)查閱工具。 完整的客體訪問控制（2）防火墻的安全功能應(yīng)在以下方面執(zhí)行有鑒別的端到端策略： a) 主體：經(jīng)防火墻鑒別的用戶； b) 客體：在內(nèi)部或外部網(wǎng)絡(luò)上的主機(jī)；以及安全功能策略所包括的主體、客體的所有操作。d）防火墻應(yīng)拒絕從外部網(wǎng)絡(luò)發(fā)出的、但擁有環(huán)回網(wǎng)絡(luò)上的主機(jī)源地址的訪問或服務(wù)請(qǐng)求。b）主機(jī)名。 授權(quán)管理員、可信主機(jī)、主機(jī)和用戶唯一屬性定義防火墻的安全功能應(yīng)為每一個(gè)規(guī)定的授權(quán)管理員、可信主機(jī)、主機(jī)和用戶提供一套唯一的，為了執(zhí)行安全策略所必須的安全屬性。 安全功能區(qū)域分割防火墻的安全功能應(yīng)為其自身的執(zhí)行過程設(shè)定一個(gè)安全區(qū)域，以保護(hù)其免遭不可信主體的干擾和篡改。防火墻的安全功能應(yīng)向授權(quán)管理員提供能夠執(zhí)行防火墻的安裝及初始配置，系統(tǒng)啟動(dòng)和關(guān)閉功能，備份和恢復(fù)的能力。防火墻應(yīng)只允許授權(quán)管理員使用審計(jì)查閱工具。l 多種地址翻譯（NAT）模式具有正向和反向NAT功能，具有端口地址翻譯（PAT）功能。考慮到病毒屬于應(yīng)用層的數(shù)據(jù)，在應(yīng)用層過濾勢(shì)必嚴(yán)重影響網(wǎng)絡(luò)的性能，因此，人們把對(duì)病毒的查殺主要放在終端進(jìn)行，而不是指望防火墻能解決所有的問題。防火墻一般需要使用NAT功能，而IPSec需要對(duì)IP包進(jìn)行重新封裝，二者在配合上存在很多問題。深度包檢測(cè)技術(shù)的應(yīng)用將使得防火墻的入侵檢測(cè)功能和抗攻擊能力大大加強(qiáng)。 好的防火墻還應(yīng)該向使用者提供完整的安全檢查功能，但是一個(gè)安全的網(wǎng)絡(luò)仍必須依靠使用者的觀察及改進(jìn)，因?yàn)榉阑饓Σ⒉荒苡行У囟沤^所有的惡意封包，企業(yè)想要達(dá)到真正的安全仍然需要內(nèi)部人員不斷記錄、改進(jìn)、追蹤。 機(jī)構(gòu)所希望提供給Internet的服務(wù)，希望能從Internet得到的服務(wù)以及可以同時(shí)通過防火墻的用戶數(shù)目； 216。通信策略定義通信對(duì)象間的通信方式，通信方式可以分為4種：Transfer, NAT, Map, Tunnel。目的端口如TCP 21，UDP 53等。這個(gè)真正的機(jī)器可以是一臺(tái)機(jī)器，也可以是多臺(tái)機(jī)器，在多臺(tái)機(jī)器的情況下就是服務(wù)器負(fù)載均衡。 系統(tǒng)支持多用戶， 管理權(quán)限要有多級(jí)，并且可以進(jìn)行日志記錄；216。 列出上述應(yīng)用的網(wǎng)絡(luò)數(shù)據(jù)流向矩陣；216。216。安全策略的添加、刪除或更改均屬于安全策略的變更，需嚴(yán)格按照該流程實(shí)施。 實(shí)施過程歸檔所需添加策略的確定如果有新的應(yīng)用上線或開通新的業(yè)務(wù)，通常應(yīng)用部門會(huì)要求網(wǎng)絡(luò)安全部門對(duì)防火墻的安全策略進(jìn)行調(diào)整。需要說明的是，在添加和修改任何策略之前，需要對(duì)現(xiàn)有防火墻系統(tǒng)的配置進(jìn)行備份，如果添加策略的過程中出現(xiàn)問題，可以將備份的配置及時(shí)上載到原有系統(tǒng)進(jìn)行恢復(fù)。 所更改策略與現(xiàn)有策略的合理性分析216。之后，對(duì)比需要修改的策略，作出需要修改的部分。同時(shí)，與應(yīng)用部門聯(lián)系，配合應(yīng)用部門對(duì)其新的應(yīng)用進(jìn)行驗(yàn)證對(duì)應(yīng)用充分驗(yàn)證之后，確定該策略更改的合理性和正確性。然后將所確定和分離出來的策略啟用流量日志，通過對(duì)流量日志的分析，確定所刪除的策略的正確性。l 熟悉所管理網(wǎng)絡(luò)中采用的操作系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)服務(wù)。l 督導(dǎo)安全審計(jì)員、普通用戶與安全有關(guān)的工作，落實(shí)網(wǎng)絡(luò)安全維護(hù)作業(yè)計(jì)劃的執(zhí)行。l 當(dāng)所管理的主機(jī)系統(tǒng)及網(wǎng)絡(luò)設(shè)備發(fā)生安全問題時(shí)，必須及時(shí)向主管的安全管理員報(bào)告。在基于WEB方式的認(rèn)證中，用戶在認(rèn)證沒有通過前，需要打開WEB頁(yè)面，輸入用戶名和密碼，通過Radius或 TACAS+的認(rèn)證后，獲得接通的授權(quán)，連接進(jìn)網(wǎng)絡(luò)；基于客戶端軟件方式的認(rèn)證方式，采用特殊的客戶端撥號(hào)程序，在客戶端中輸入用戶名和密碼，通過Radius或TACAS+認(rèn)證通過后，獲得接通的授權(quán)，連接進(jìn)網(wǎng)絡(luò)。 連續(xù)認(rèn)證失敗次數(shù)當(dāng)用戶試圖多次登陸，需要限制其總的登陸次數(shù)。 閑置時(shí)間登陸成功的管理員，在沉默一定時(shí)間后系統(tǒng)將自動(dòng)將其退出，以避免非法操作人員利用用戶長(zhǎng)時(shí)間離開的機(jī)會(huì)進(jìn)行操作，也可以釋放出相應(yīng)系統(tǒng)資源供后續(xù)登陸上來的管理員使用。 定期安全事件的審計(jì)要高效、準(zhǔn)確、持續(xù)突發(fā)安全事件的審計(jì)要及時(shí)眾所周知，網(wǎng)絡(luò)安全事件層出不窮，任何人都無法預(yù)知即將發(fā)生的事件，因此，對(duì)于網(wǎng)絡(luò)突發(fā)事件的監(jiān)控和審計(jì)對(duì)于整個(gè)網(wǎng)絡(luò)的整體安全性舉足輕重。Console顯示受其字符輸出速度的限制（一般為9600波特或稍高），只適合嚴(yán)重級(jí)別較高的日志類型；內(nèi)存存儲(chǔ)不受速度限制，但屬于易失性存儲(chǔ)，設(shè)備掉電會(huì)丟失數(shù)據(jù)，而且受內(nèi)存大小限制，只能作為臨時(shí)存儲(chǔ)，設(shè)備應(yīng)具備將這些數(shù)據(jù)另外保存的方法；非易失性存儲(chǔ)，適合對(duì)關(guān)鍵的日志類型如攻擊、管理、異常信息等的保存，便于出現(xiàn)問題時(shí)能夠保存必要的資料。Syslog 服務(wù)器一般只負(fù)責(zé)數(shù)據(jù)的收集，對(duì)數(shù)據(jù)的處理需要進(jìn)一步的工具。 建立安全基線對(duì)網(wǎng)絡(luò)流量行為，設(shè)備可以設(shè)定一定的安全基線，當(dāng)某一特定行為到達(dá)這一基線時(shí)，防火墻設(shè)備可以產(chǎn)生告警信息，提示用戶注意，并根據(jù)實(shí)際情況進(jìn)行網(wǎng)絡(luò)配置、安全配置等的調(diào)整。 安全審計(jì)建議借助于專業(yè)的處理工具生成網(wǎng)絡(luò)安全審計(jì)報(bào)告。對(duì)重要的網(wǎng)絡(luò)資源使用情況如CPU/內(nèi)存/session等，重大的攻擊發(fā)生情況如大規(guī)模的網(wǎng)絡(luò)攻擊/嚴(yán)重的系統(tǒng)故障等要做到設(shè)備實(shí)時(shí)報(bào)警，管理實(shí)