防火墻是怎么工作的 |
發(fā)布時間: 2012/5/16 10:20:57 |
防火墻是怎么工作的? 在媒體的宣傳下,談到信息安全,大家首先想到的就是病毒、黑客入侵。然而,通過計(jì)算機(jī)網(wǎng)絡(luò)給我們造成重大損失的往往是內(nèi)部人員有意或無意對信息資料的窺探或竊取。從技術(shù)上來講,內(nèi)部人員更容易地辨識信息存儲地,可以輕易地獲取自己想要得資料;相對而言,黑客從外部竊取資料就比較困難,他們即要突破防火墻等重重關(guān)卡,還要辨別哪些是他們想要的信息,難度倍增。為了防止內(nèi)部信息像洪水一樣向外泄漏,治水功臣大禹又有了新的任務(wù),出任網(wǎng)絡(luò)防水墻,負(fù)責(zé)內(nèi)網(wǎng)的安全管理。下面,我們就來揭開防水墻神秘的面紗,看“大禹”是如何工作的! 我們對防火墻的概念都耳熟能詳,但對防水墻卻十分陌生。那么防火墻究竟是什么呢? 其實(shí),防火墻系統(tǒng)就是一套管理軟件,是進(jìn)行內(nèi)網(wǎng)安全管理的有力武器,是加強(qiáng)計(jì)算機(jī)內(nèi)部安全管理的重要工具。防火墻系統(tǒng)是由互聯(lián)網(wǎng)訪問安全控制、計(jì)算機(jī)端口安全控制、程序使用安全控制、文件安全控制、光驅(qū)刻錄安全控制、非法入侵安全控制、硬件資源安全控制、操作行為管理、遠(yuǎn)程監(jiān)視等模塊和一個集中管理平臺組成。 最簡單的防火墻由探針和監(jiān)控中心組成。而高級的防火墻,一般由三層結(jié)構(gòu)組成:最高層是用戶接口層,以實(shí)時更新的內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)為基礎(chǔ),提供系統(tǒng)配置、策略配置、實(shí)時監(jiān)控、審計(jì)報(bào)告、安全告警等功能;最低層是功能模塊層,由分布在各個主機(jī)上的探針組成;中間層是安全服務(wù)層,從低層收集實(shí)時信息,向高層匯報(bào)或告警,并記錄整個系統(tǒng)的審計(jì)信息,以備查詢或生成報(bào)表。防水墻系統(tǒng)從內(nèi)部安全體系架構(gòu)和網(wǎng)絡(luò)管理層面上,實(shí)現(xiàn)了內(nèi)部安全的完美統(tǒng)一,有效降低了“堡壘從內(nèi)部攻破”的可能性。 防水墻有如此強(qiáng)大的功能,它是如何實(shí)現(xiàn)的呢?下面,結(jié)合幾種常見的實(shí)際問題,來分析防火墻是如何工作的。 防范內(nèi)部信息泄漏 個人計(jì)算機(jī)系統(tǒng)的泄密方式主要有網(wǎng)絡(luò)傳輸、移動存儲帶出和打印到紙介質(zhì)文稿三種情況。具體的泄密途徑有如下幾種: A. 通過軟盤驅(qū)動器、光盤刻錄機(jī)、磁帶驅(qū)動器等存儲設(shè)備泄密; B. 接入新的通訊或存儲設(shè)備泄密,如:硬盤等設(shè)備; C. 通過添加打印機(jī)、使用網(wǎng)絡(luò)打印機(jī)將資料打印后帶出; D. 通過便攜式電腦進(jìn)入局域網(wǎng)絡(luò)竊取信息,竊取資料; E. 隨意將文件設(shè)成共享,導(dǎo)致不相關(guān)人員獲取資料; F. 通過郵件、FTP等互聯(lián)網(wǎng)方式泄密; G. 通過COM和LPT端口、USB存儲設(shè)備、1394、紅外線等通訊設(shè)備泄密; 此外,還有很多其他途徑可以被別有用心的內(nèi)部人員利用以竊取資料。 防水墻要截?cái)嗌厦孢@些途徑,它的工作方法是:以犯罪行為心里學(xué)理論為指導(dǎo),以安全事件過程管理為主線,實(shí)現(xiàn)事前預(yù)防,事中控制,事后審計(jì)的安全管理。具體如下: 1、 制定周密的事前預(yù)防策略 A. 對信息傳遞途徑進(jìn)行控制,通過控制通訊設(shè)備和存儲設(shè)備,防止未授權(quán)設(shè)備的接入; B. 通過網(wǎng)絡(luò)接入授權(quán)保護(hù),實(shí)現(xiàn)外來電腦的接入局域網(wǎng)限制; C. 制定周詳?shù)膱?bào)警策略,對非法接入進(jìn)行及時報(bào)警提示; D. 制定周詳?shù)幕ヂ?lián)網(wǎng)信息傳遞阻斷策略,對非法信息傳遞進(jìn)行阻斷。 2、 對泄密行為進(jìn)行事中記錄和控制 A. 對泄密行為及時啟動控制和報(bào)警策略; B. 對泄密過程進(jìn)行屏幕記錄,方便現(xiàn)場查看,事后錄像回放; C. 詳盡的電子文檔操作痕跡記錄,包括訪問、創(chuàng)建、復(fù)制、改名、刪除、打印等操作; D. 集中審查終端共享,防止共享泄密行為。 3、 詳盡的日志記錄,提高事后追查的效率 A. 進(jìn)行電子文檔操作及屏幕記錄,便于信息泄密事后追查; B. 對互聯(lián)網(wǎng)信息傳遞進(jìn)行記錄,便于信息泄密事后追查; C. 對系統(tǒng)用戶進(jìn)行日志審計(jì),實(shí)現(xiàn)系統(tǒng)安全管理。 網(wǎng)絡(luò)行為規(guī)范管理 網(wǎng)絡(luò)信息化在提高生產(chǎn)和辦公效率方面作出了卓越貢獻(xiàn),但是,我們經(jīng)常聽到企業(yè)公司老板的抱怨:花錢買電腦、裝寬帶。本想憑此提高員工工作效率。但卻發(fā)現(xiàn)員工上班期間常有濫用網(wǎng)絡(luò)現(xiàn)象,如上班時間利用網(wǎng)絡(luò)聊天、看新聞、通過互聯(lián)網(wǎng)把公司敏感信息輕易傳播出去……。這些問題隨著互聯(lián)崗的普及,越來越突現(xiàn)出來。計(jì)算機(jī)操作的隱蔽性、多樣性、豐富性和趣味性導(dǎo)致我們的員工的網(wǎng)絡(luò)行為無法自律。企業(yè)管理者如何對互聯(lián)網(wǎng)行為進(jìn)行有效的管理和利用,使Internet網(wǎng)真正為企業(yè)的生產(chǎn)和經(jīng)營活動服務(wù),相信是很多公司企業(yè)管理者越來越重視的問題。 不規(guī)范的網(wǎng)絡(luò)行為具體有哪些呢: A. 進(jìn)入同事電腦獲取機(jī)密資料,進(jìn)入服務(wù)器獲取非授權(quán)資料; B. 破壞共享服務(wù)器中的文件、程序,散播網(wǎng)絡(luò)病毒。 C. 玩網(wǎng)絡(luò)游戲、瀏覽與工作無關(guān)的網(wǎng)站,進(jìn)行與工作無關(guān)的聊天; D. 在線看網(wǎng)絡(luò)電影、聽音樂,瘋狂下載電影、歌曲、程序; E. 上招聘網(wǎng)站找工作、上學(xué)習(xí)網(wǎng)站學(xué)習(xí); 面對這些問題,防火墻的解決方案是:對網(wǎng)絡(luò)行為進(jìn)行客戶觀評估,控制并記錄所有網(wǎng)絡(luò)行為,嚴(yán)格阻斷不規(guī)范的網(wǎng)絡(luò)行為,在企業(yè)內(nèi)部形成健康網(wǎng)絡(luò)文化。具體如下: A. 全面監(jiān)控并記錄應(yīng)用程序?qū)W(wǎng)絡(luò)的訪問,并對用戶的操作行為詳盡記錄,形成統(tǒng)計(jì)報(bào)告,定期以郵件方式向管理者報(bào)告。 B. 通過過濾不良網(wǎng)站、禁止QQ等應(yīng)用程序訪問網(wǎng)絡(luò)、禁用網(wǎng)絡(luò)設(shè)備等功能,實(shí)現(xiàn)對規(guī)范網(wǎng)絡(luò)行為進(jìn)行事前判斷和控制。 C. 進(jìn)行民主化管理,充分利用網(wǎng)絡(luò)資源,例如:允許員工在中午休息時間訪問新聞網(wǎng)站和娛樂網(wǎng)站,使用益智類網(wǎng)絡(luò)游戲等。 D. 對問題員工的機(jī)器進(jìn)行重點(diǎn)查看,便于管理者及時糾正其不良行為,為員工的健康成長提供幫助。 網(wǎng)絡(luò)資產(chǎn)及資源管理 計(jì)算機(jī)應(yīng)用迅速普及,各單位內(nèi)部PC擁有量在不斷增加,而IT管理人員面對這幾十、成百、甚至上千的PC,若沒有一套有效的輔助管理工具,必然會焦頭爛額。防水墻的計(jì)算機(jī)系統(tǒng)管理模塊目標(biāo)之一就是要確保企業(yè)計(jì)算機(jī)系統(tǒng)運(yùn)行的穩(wěn)定性和可靠性。實(shí)施全面、及時、有效和系統(tǒng)化管理是計(jì)算機(jī)信息系統(tǒng)運(yùn)行可靠的有力保證。IT管理人員為了確保計(jì)算機(jī)系統(tǒng)穩(wěn)定運(yùn)行需要付出成倍的工作量。而采用工具化、智能化的管理工具,能夠極大地提高管理效率和質(zhì)量,降低工作壓力,達(dá)到事半功倍的效果。運(yùn)用工具化的管理軟件是IT經(jīng)理掌握全局、運(yùn)籌帷幄的重要手段之一。 您擔(dān)心的網(wǎng)絡(luò)資源管理管理難題可能有: A. 計(jì)算機(jī)軟、硬件數(shù)量無法確實(shí)掌握,盤點(diǎn)困難; B. 單位的計(jì)算機(jī)數(shù)量越來越多,無法集中管理; C. 無法有效防止員工私裝軟件,造成非法版權(quán)使用威脅; D. 硬件設(shè)備私下挪用、竊取,造成財(cái)產(chǎn)損失; E. 使用者計(jì)算機(jī)IP隨易變更,造成故障頻傳; F. 軟件單機(jī)安裝浪費(fèi)人力,應(yīng)用軟件版本不易控制; G. 重要資料遭非法拷貝,資料外泄,無法監(jiān)督; H. 設(shè)備故障或資源不足,無法事先得到預(yù)警; I. 應(yīng)用軟件購買后,員工真正使用狀況如何,無從分析; J. 居高不下的信息化資源成本,不知如何改善。 解決這些問題,防火墻的工作方案有:從IT管理的日常事務(wù)需求出發(fā),形成資產(chǎn)管理、端口管理、軟件分發(fā)、遠(yuǎn)程桌面管理、進(jìn)程管理、網(wǎng)絡(luò)行為管理、外設(shè)管理等具有明確針對性的功能,最大程度地輔助管理者締造一個穩(wěn)定、可靠、高效、規(guī)范的計(jì)算機(jī)應(yīng)用環(huán)境,使計(jì)算機(jī)為提高單位的生產(chǎn)力和辦公效率作出貢獻(xiàn)。具體如下: A. 詳細(xì)記錄網(wǎng)內(nèi)計(jì)算機(jī)的硬件和軟件信息,成為信息化資產(chǎn)核對的有力依據(jù); B. 實(shí)現(xiàn)遠(yuǎn)程桌面管理,不到事故計(jì)算機(jī)現(xiàn)場,通過網(wǎng)絡(luò)對遠(yuǎn)程計(jì)算機(jī)進(jìn)行操作和維護(hù); C. 支持程序分發(fā)、程序修復(fù)、文件分發(fā),方便的進(jìn)行網(wǎng)內(nèi)計(jì)算機(jī)軟件部署; D. 實(shí)現(xiàn)網(wǎng)絡(luò)端口、外設(shè)、網(wǎng)絡(luò)設(shè)備的管理,對非法網(wǎng)絡(luò)行為進(jìn)行限制; E. 對異常的軟件、硬件變化進(jìn)行及時報(bào)警,提高IT管理的準(zhǔn)確性、及時性和自動化水平; F. 支持異地網(wǎng)絡(luò)集中管理和控制。 綜上所述,防水墻系統(tǒng)一套的軟件,它的具體功能和工作方法在此不能一一詳述。不同公司研制的防火墻產(chǎn)品其性能也會各有所長。作為對防火墻、虛擬專用網(wǎng)、入侵檢測系統(tǒng)等多種安全設(shè)備(軟件)的有力補(bǔ)充,防水墻在整體安全系統(tǒng)領(lǐng)域,正逐漸成為不可或缺的一部分。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |