【文章內(nèi)容簡(jiǎn)介】 火墻類型、防火墻本身是安全的、防火墻的安全性 防火墻的類型 防火墻產(chǎn)品主要有堡壘主機(jī)、包過(guò)濾路由器、層網(wǎng)關(guān) (代理服務(wù)器 )以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。 防火墻本身是安全的 作為信息系統(tǒng)安全產(chǎn)品 ,防火墻本身也應(yīng)該保證安全 ,不給外部侵入者以可乘之機(jī)。通常 ,防火墻 的安全性來(lái)自兩個(gè)方面 :其一是防火墻本身的設(shè)計(jì)是否合理 ,這類問(wèn)題一般用戶根本無(wú)從入手 ,只有通過(guò)權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定。所以對(duì)用戶來(lái)說(shuō) ,保守的是選擇一個(gè)通過(guò)多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品。其二是使用是否恰 當(dāng)。一般來(lái)說(shuō) ,防火墻的許多配置需要系統(tǒng)管理員手工修改 ,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉 ,就有可能在配置過(guò)程中遺留大量的安全漏洞。 防火墻的安全性 防火墻產(chǎn) 品最難評(píng)估的方面是防火墻的安全性能 ,即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣 ,普通用戶通常無(wú)法判斷。即使安裝好了防火墻 ,如果沒(méi)有實(shí)際的外部入侵 ,也無(wú)從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測(cè)安全產(chǎn)品的性能是極為危險(xiǎn)的 ,所以用戶在選擇防火墻產(chǎn)品時(shí) ,應(yīng)該盡量選擇占市場(chǎng)份額較大同時(shí)又通過(guò)了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測(cè)試的產(chǎn)品。 防火墻的基本功能 防 火墻的基本功能是對(duì)網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問(wèn)進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)，簡(jiǎn)單的概括就是，對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制。絕大部分的防火墻都是放置在可 信任網(wǎng)絡(luò)（ Internal）和不可信任網(wǎng)絡(luò)（ Inter）之間。 防火墻的三個(gè)特性 A．所有的通信都經(jīng)過(guò)防火墻 B．防火墻只放行經(jīng)過(guò)授權(quán)的網(wǎng)絡(luò)流量 C．防火墻能經(jīng)受的住對(duì)其本身的攻擊 我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防火墻可以是一臺(tái)有訪問(wèn)控制策略的路由器（ Route+ACL），一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來(lái)自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如 保護(hù)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。 防火墻成為了與不可信任網(wǎng)絡(luò)進(jìn)行聯(lián)絡(luò)的唯一紐帶，我們通過(guò)部署防火墻，就可以通過(guò)關(guān)注防火墻的安全來(lái)保護(hù)其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量都通過(guò)防火墻進(jìn)行審記和保存，對(duì)于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)?？傊?，防火墻減輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風(fēng)險(xiǎn) 。 防火墻保護(hù)的風(fēng)險(xiǎn) A．機(jī)密性的風(fēng)險(xiǎn) B．?dāng)?shù)據(jù)完整性的風(fēng)險(xiǎn) C．用性的風(fēng)險(xiǎn) 我們討論的防火墻主要是部署在網(wǎng)絡(luò)的邊界（ Network。Perimeter），這個(gè)概念主要是指一個(gè)本地網(wǎng)絡(luò)的整個(gè)邊界，表面看起來(lái)，似乎邊界的定義很簡(jiǎn)單，但是隨著虛擬專用網(wǎng)絡(luò)（ VPN）的出現(xiàn)，邊界這個(gè)概念在通過(guò) VPN 拓展的網(wǎng)絡(luò)中 變的非常模糊了。在這種情況下，我們需要考慮的不僅僅是來(lái)自外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的威脅，也包含了遠(yuǎn)程 VPN 客戶端的安全。因?yàn)檫h(yuǎn)程 VPN 客戶端的安全將直接影響到整個(gè)防御體系的安全。 防火墻的主要優(yōu)點(diǎn) A．防火墻 可以通過(guò)執(zhí)行訪問(wèn)控制策略而保護(hù)整個(gè)網(wǎng)絡(luò)的安全，并且可以將通信約束在一個(gè)可管理和可靠性高的范圍之內(nèi)。 B．防火墻可以用于限制對(duì)某些特殊服務(wù)的訪問(wèn)。 C．防火墻功能單一，不需要在安全性，可用性和功能上做取舍。 D．防火墻有審記和報(bào)警功能，有足夠的日志空間和記錄功能，可以延長(zhǎng)安全響應(yīng)的周期。 防火墻的許多弱點(diǎn) A．不能防御已經(jīng)授權(quán)的訪問(wèn) ,以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊 . B．不能防御合法用戶惡意的攻擊 .以及社交攻擊等非預(yù)期的威脅 . C．不能修復(fù)脆弱的 管理措施和存在問(wèn)題的安全策略 三 網(wǎng)絡(luò)安全防護(hù) 網(wǎng)絡(luò)安全論述 網(wǎng)絡(luò)安全的具體含義會(huì)隨著 “ 角度 ” 的變化而變化。比如：從用戶（個(gè)人、企業(yè)等）的角度來(lái)說(shuō)，他們希望涉及個(gè)人 隱私 或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人或?qū)κ掷酶`聽(tīng)、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私 。 計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)和安全機(jī)制 物理措施：例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備 (如交換機(jī)、大型計(jì)算機(jī)等 )，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（ UPS）等措施。 訪問(wèn)控 制：對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶身份認(rèn)證，對(duì)口令加密、更新和鑒別，設(shè)置用戶訪問(wèn)目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。 數(shù)據(jù)加密：加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計(jì)算機(jī)網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。 網(wǎng)絡(luò)隔離：網(wǎng)絡(luò)隔離有兩種方式，一種是采用隔離卡來(lái)實(shí)現(xiàn)的，一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實(shí)現(xiàn)的。 隔離卡主要用于對(duì)單臺(tái)機(jī)器的隔離，網(wǎng)閘主要用于對(duì)于整個(gè)網(wǎng)絡(luò)的隔離。 其他措施：其他措施包括信息過(guò)濾、容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備 份和審計(jì)等。近年來(lái)，圍繞網(wǎng)絡(luò)安全問(wèn)題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過(guò)對(duì)網(wǎng)絡(luò)的隔離和限制訪問(wèn)等方法來(lái)控制網(wǎng)絡(luò)的訪問(wèn)權(quán)限。 微機(jī)操作系統(tǒng)的安全控制。如用戶開(kāi)機(jī)鍵入的口令（某些微機(jī)主板有 “ 萬(wàn) 能口令 ” ），對(duì)文件的讀寫(xiě)存取的控制（如 Unix 系統(tǒng)的文件屬性控制機(jī)制）。主要用于保護(hù)存貯在硬盤上的信息和數(shù)據(jù)。 網(wǎng)絡(luò)接口模塊的安全控制。在網(wǎng)絡(luò)環(huán)境下對(duì)來(lái)自其他機(jī)器的網(wǎng)絡(luò)通信 進(jìn)程進(jìn)行安全控制。主要包括：身份認(rèn)證，客戶權(quán)限設(shè)置與判別，審計(jì)日志等。 網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。對(duì)整個(gè)子網(wǎng)內(nèi)的所有主機(jī)的傳輸信息和運(yùn)行狀態(tài)進(jìn)行安全監(jiān)測(cè)和控制。主要通過(guò)網(wǎng)管軟件或路由器配置實(shí)現(xiàn)。 安全服務(wù) 對(duì)等實(shí)體認(rèn)證服務(wù) 、 訪問(wèn)控制服務(wù) 、 數(shù)據(jù)保密服務(wù) 、 數(shù)據(jù)完整性服務(wù) 、數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù) 、 禁止否認(rèn)服務(wù) 。 安全機(jī)制 加密機(jī)制 、 數(shù)字簽名機(jī)制 、 訪問(wèn)控制機(jī)制 、 數(shù)據(jù)完整性機(jī)制 、 認(rèn)證機(jī)制 、信息流填充機(jī)制 、 路由控制機(jī)制 、 公證機(jī)制 。 網(wǎng)絡(luò)安全方防范措施 計(jì)算機(jī)網(wǎng)絡(luò)安全的防范可以 從技術(shù)和管理上兩個(gè)方面來(lái)考慮解決。 從技術(shù)上解決信息網(wǎng)絡(luò)安全問(wèn)題 （ 1）數(shù)據(jù)備份 所謂數(shù)據(jù)備份就是將硬盤上的有用的文件、數(shù)據(jù)都拷貝到另外的地方如移動(dòng)硬盤等，這樣即使連接在網(wǎng)絡(luò)上的計(jì)算機(jī)被攻擊破壞，因?yàn)橐呀?jīng)有備份，所以不用擔(dān)心，再將需要的文件和數(shù)據(jù)拷回去就可以了。做好數(shù)據(jù)的備份是解決數(shù)據(jù)安全問(wèn)題的最直接與最有效措施之一。望通過(guò)它更好地采集和保護(hù)客戶數(shù)據(jù)。銷售人員離職時(shí)偶有發(fā)生的對(duì)客戶數(shù)據(jù)的破壞或者刪除，是很多中小企業(yè)老板相當(dāng)頭疼的問(wèn)題。我們來(lái)看看這 4 種軟件是如何解決這個(gè)問(wèn)題的。 Salesforce 回收站 功能，可以通過(guò)權(quán)限設(shè)置賦予用戶查看他人刪除數(shù)據(jù)或者清除回收站權(quán)限。 XToolsCRM 回收站功能，老板用戶可以真正刪除數(shù)據(jù)或者清空回收站。數(shù)據(jù)日志功能，記錄數(shù)據(jù)的編輯和修改歷史，只有老板可以查看。 C 3 C R M 和 S S C R M 沒(méi)有發(fā)現(xiàn)類似功能。：不管是回收站還是數(shù)據(jù)日志，都是給企業(yè)老板的定心丸。充分考慮老板對(duì)數(shù)據(jù)安全的擔(dān)憂，是供應(yīng)商應(yīng)該重視的問(wèn)題。 價(jià)格對(duì)比 Salesforce 每用戶每月 6 5 美金（折合人民幣： 520 元）， 5用戶的團(tuán)隊(duì)版 1年 699 美金（折合人民幣： 5 6 0 0 元）。 XToolsCRM 按照優(yōu)惠包銷售， 4用戶 1 9 8 元每月，用戶多時(shí)，平均價(jià)格更低。 C 3 C R M 由于開(kāi)源軟件規(guī)則的限制，不能直接收取租用費(fèi)，以虛擬主機(jī)的形式向客戶提供服務(wù)；如果需要 C3CRM解決技術(shù)問(wèn)題，每月 1 0 0 元服務(wù)