防火墻的合理使用分析論文

導語：防火墻的合理使用分析論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：防火墻是近幾年發展起來的一種保護計算機網絡安全的技術措施，也是目前使用最廣泛的一種網絡安全防護技術。防火墻是一個或一組實施訪問控制策略的系統，它可以是軟件、硬件或軟硬件的結合，其目的是提供對網絡的安全保護。防火墻通常位于內部網絡和外部網絡之間，可以監視、控制和更改在內部和外部網絡之間流動的網絡通信；控制外部計算機可以訪問內部受保護的環境，并確定訪問的時間、權限，服務類型和質量等，檢查內部流傳的信息，避免保密信息流出，達到抵擋外部入侵和防止內部信息泄密的目的。本文提出了防火墻的配置在網絡安全中的重要性，闡釋了防火墻規則集是防火墻產品安全的重要措施。

一、防火墻的配置與網絡的安全

防火墻是網絡安全中非常重要的一環，大多數的單位多半認為僅需要安裝一套防火墻設備，就應該可以解決他們的安全問題，因此不惜重金購買防火墻，但卻忽視了防火墻的配置。防火墻功能的強大與否，除了防火墻本身的性能外，主要是取決對防火墻的正確配置。在我們與使用防火墻的用戶接觸中，發現常常由于防火墻配置的錯誤，而留下一些系統安全漏洞，讓入侵者有機可趁。

在裝有防火墻產品的網絡中，內部網絡的安全性將在一定程度上依賴于防火墻產品的規則配置。由于一些配置在本質上比其它的配置更安全，因而網絡安全系統的一個重要組件，在復雜的沒有條理性的配置上想要獲得安全性是很困難的，或許是不可能的。一個將網絡安全時刻放在心上并清楚地組織網絡防火墻的配置，使其易于理解和管理，幾乎肯定是更加安全的。

對于使用防火墻的用戶來說，最合適的網絡配置依賴于對網絡安全性、靈活性及數據傳輸速度的要求。因為防火墻規則的增加會影響其速度，不過現在有些防火墻產品在加一千余條規則后，其傳輸速度也不受太大的影響。

二、安全、可靠的防火墻的實現

建立一個條理清楚的防火墻規則集是實現防火墻產品安全的非常關鍵的一歩。安全、可靠防火墻的實現取決于以下的過程：

1、制定安全策略，搭建安全體系結構

安全策略要靠防火墻的規則集來實現的，防火墻是安全策略得以實現的技術工具。所以，必須首先來制定安全策略，也就是說防火墻要保護的是什么，要防止的是什么，并將要求細節化，使之全部轉化成防火墻規則集。

2、制定規則的合理次序

一般防火墻產品在缺省狀態下有兩種默認規則：一種是沒有明確允許，一律禁止；另一種是沒有明確禁止，一律允許。因此用戶首先要理解自己所用產品的默認狀態，這樣才能開始配置其它的規則。

在防火墻產品規則列表中，最一般的規則被列在最后，而最具體的規則被列在最前面。在列表中每一個列在前面的規則都比列在后面的規則更加具體，而列表中列在后面的規則比列在前面規則更加一般。

按以上規則要求，規則放置的次序是非常關鍵的。同樣的規則，以不同的次序放置，可能會完全改變防火墻產品的運行狀況。大部分防火墻產品以順序方式檢查信息包，當防火墻接收到一個信息包時，它先與第一條規則相比較，然后才是第二條、第三條……，當它發現一條匹配規則時，就停止檢查并應用那條規則。如果信息包經過每一條規則而沒有發現匹配的規則，那么默認的規則將起作用，這個信息包便會被拒絕。

另外有些防火墻產品專門將對防火墻本身的訪問列出規則，這要比一般的包過濾規則嚴格的多，通過這一規則的合理配置，阻塞對防火墻的任何惡意訪問，提高防火墻本身的安全性。

3、詳細的注釋，幫助理解

恰當地組織好規則之后，還建議寫上注釋并經常更新它們。注釋可以幫助明白哪條規則做什么，對規則理解的越好，錯誤配置的可能性就越小。同時建議當修改規則時，把規則更改者的名字、規則變更的日期、時間、規則變更的原因等信息加入注釋中，這可以幫助你跟蹤誰修改了哪條規則，以及修改的原因。

4、做好日志工作

日志的記錄內容由防火墻管理員制定，可記錄在防火墻制定，也可放置在其它的主機。建議防火墻管理員定期的查看日志的內容，歸檔，便于分析。同時要將被規則阻塞的包及時的通報管理員，以便及時了解網絡攻擊的狀況，采取應急措施，保護網絡的安全。

三．結束語

總之，由于防火墻產品的實施相對簡單，因此它是維護網絡安全普遍采用的安全產品之一。但是防火墻產品僅是給用戶提供了一套安全防范的技術手段，只有合理的使用和良好的配置，才能使用戶的安全策略很好的融入到防火墻產品之中，使其真正起到保護用戶網絡安全的作用。