防火墙技术在实验网络安全中的解决方法

防火墙技术在实验网络安全中的解决方法

实验室网络中存放着许多重要的用于企业、网络管理的实验数据和参数文件, 一旦遭到网络安全方面的威胁和破坏, 必然会给公司带来重大损失。为了防止非法用户侵入实验室系统损害数据, 防止对实验室信息资源的非授权使用和各种计算机病毒对实验室系统的危害。实验室可以在其网络系统中建立高效的安全保护屏—防火墙, 本文试图对防火墙技术在实验室网络安全中的应用作出相关探讨。

1.防火墙提高实验室网络安全的原理分析

首先, 防火墙能增强实验室局域网的安全性。防火墙是一种将实验室局域网和公众网分开的方法, 它能限制被保护的网络与互联网络之间, 或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络之间信息的出入口, 可根据实验室的安全策略控制出人网络的信息流, 且本身具有较强的抗攻击能力。它是提供信息安全服务, 实现网络和信息安全的基础设施。在逻辑上, 防火墙是一个分离器, 一个限制器,也是一个分析器,有效地监控了局域网和因特网之间的任何活动, 保证了网络的安全。其次, 防火墙可以控制不安全的服务。它执行实验室局域网的安全策略, 仅允许在局域网授权的协议和服务才能通过防火墙。防火墙技术是一种被动式防御技术, 通过在网络边界上建立起相应的网络通信监控系统来实现其功能该系统决定了哪些内部服务可以被外界访问, 外界的哪些人可以访问内部的哪些可以访问的服务, 哪些服务器可以访问哪些服务器不可以访问, 以保护实验室主服务器的安全,从而保护实验室内部资料等数据的安全。同时控制那些外部服务可以被内部人员访问, 对不健康及敏感资源网站的限制, 对一些如反动、黄色色情站点应予禁止。第三通过IP-MAC地址绑定、防火墙日志分析器, 可以有效地监视实验室局域网内的活动, 从而维护实验室局域网的安全。

2.基于实验室网络安全的防火摘配策略

(1)安全服务配置策略

安全服务隔离区(DMZ)把服务器机群和实验室系统管理机群单独划分出来, 设置为安全服务隔离区, 它既是内部网络的一部分, 又是一个独立的局域网,单独划分出来是为了更好的保护服务器上数据和实验室内系统管理的正常运行。根据实验室服务的不同功能、服务对象和管理权限, 可以建立多个安全DMZ, 设置有针对性的高效的ACL, 实现网络第3层、第4层的访问控制, 使安全策略细化,并将其布置在不同的交换机、路由端口上,在保证安全控制级别的前提下, 最大限度地提高网络运行安全和效率。

(2)配置访问策略

访问策略是防火墙的核心安全策略, 所以要经过详尽的信息统计才可以进行设置在过程中我们需要了解实验室对内对外的应用以及所对应的源地址、目的地址、或的端口, 并根据不同应用的执行频繁程度对策略在规则表中的位置进行排序, 然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的, 如果将常用的规则放在首位就可以提高防火墙的工作效率。

(3)日志监控

日志监控是十分有效的安全管理手段。往往许多实验室管理员认为只要可以做日志的信息都去采集。如所有的告警或所有与策略匹配或不匹配的流量等等, 这样的做法看似日志信息十分完善, 但每天进出防火墙的数据有上百万甚至更多, 所以, 只有采集到最关键的日志才是真正有用的日志。一般而言,系统的告警信息是有必要记录的, 对于流量信息进行选择, 把影响网络安全有关的流量信息保存下来。

本文转自 李晨光 51CTO博客,原文链接:http://blog.51cto.com/chenguang/74562,如需转载请自行联系原作者

上一篇:PIX防火墙security context配置手册(虚拟防火墙技术)
下一篇:使用CentOS/RHEL防火墙