Category: 网络安全

(2).屏蔽端口

　　检查各端口，有端口扫描的症状时，立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。

　　防火墙的工作原理是:首先检查每个到达你的电脑的数据包，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后，一个“TCP/IP端口”被打开;端口扫描时，对方计算机不断和本地计算机建立连接，并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口。防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包。

　　现在市面上几乎所有网络防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已。

　　3、防范工具

　　(1).系统防火墙

　　现在很多的防火墙都有禁止ICMP的设置，而Windows XP SP2自带的防火墙也包括该功能。启用这项功能的设置非常简单：执行“控制面板”→“Windows防火墙”，点击“高级”选项卡，选择系统中已经建立的Internet连接方式(宽带连接)，点击旁边的“设置”按钮打开“高级设置”窗口，点击“ICMP”选项卡，确认没有勾选“允许传入的回显请求”，最后点击“确定”即可。

图2

另外，通过其他专业的防火墙软件不但可以拦截来自局域网的各种扫描入侵，从软件的日志中，我们还可以查看到数据包的来源和入侵方式等。本新闻共6页,当前在第2页 1 2 3 4 5 6

在《安全专家浅谈防火墙分类及应用》中，笔者谈了防火墙的几个基本问题。下面我们再看看如何构建一个安全的防火墙系统结构。

引子

防火墙是保障网络安全的关键组件，但它只是安全企业网络的一个开端而已。对管理员来讲，有必要关注支持失效转移的多防火墙设计。这种防火墙设计的最终结果应是易于管理、高性能、高可用性、高安全性的组合，而且还要少花钱。

要几个防火墙？

在防火墙的设计原理上历来有不少争论，争论的一个主要问题是到底拥有几个防火墙是最好的。笔者以为两个防火墙一般不会比一个防火墙好多少。因为在大多数的攻击事件中，防火墙自身的漏洞很少成为问题。黑客们通常并不需要攻克防火墙，因为他们可以通过开放的端口进入，并利用防火墙之后的服务器上的漏洞。此外，防火墙本身并没有什么吸引黑客攻击的地方，因为任何明智的管理员都会将配置防火墙使其丢弃那些连接防火墙的企图。例如，即使在用户的防火墙上有一个已知的SSH漏洞，这种威胁也只能来自防火墙指定的受到良好保护的管理工作站，更别说这种工作站被关闭的情况了。事实上，防火墙的最大问题在于其维护上的薄弱、糟糕的策略及网络设计。在与防火墙有关的安全事件中，人的因素造成的破坏占到了大约99%的比例。更糟的是，如果你运行多个厂商的防火墙，那么其成本将迫使用户放弃一些需要特别关注的问题。用户最好将有限的资源花费在强化一种平台上，而不要全面出击。

防火墙的设计目标

一种良好的防火墙策略和网络设计应当能够减少（而不是根除）下面的这些安全风险：

◆来自互联网的攻击DMZ服务的攻击

◆企业网络的任一部分攻击互联网

◆企业用户或服务器攻击DMZ服务器

◆DMZ服务器攻击用户、服务器，或者损害自身。

◆来自合伙人和外延网（extranet）的威胁

◆来自通过WAN连接的远程部门的威胁

这些目标听起来也许有点太过头了，因为这基本上并不是传统的方法，不过它却其自身的道理。

第一点是非常明显的，那就是限制通过互联网试图访问DMZ服务器的服务端口，这就极大地减少了它们被攻克的机会。例如，在一个SMTP邮件服务器上，仅允许互联网的通信通过25号TCP端口。因此，如果这台SMTP服务器碰巧在其服务器服务或程序中有一个漏洞，它也不会被暴露在互联网上，蠕虫和黑客总在关心80号端口的漏洞。

下一条听起来可能有点儿古怪，我们为什么要关心通过自己的网络来保护公共网络呢？当然，任何公民都不应当散布恶意代码，这是起码的要求。但这样做也是为了更好地保护我们自己的的网络连接。以SQL slammer 蠕虫为例，如果我们部署了更好的防火墙策略，那么就可以防止对互联网的拒绝服务攻击 ，同时还节省了互联网资源。

最不好对付的是内部威胁。多数昂贵的防火墙并不能借助传统的设计来防止网络免受内部攻击者的危害。如一个恶意用户在家里或其它地方将一台感染恶意代码的笔记本电脑挂接到网络上所造成的后果可想而知。一个良好的网络设计和防火墙策略应当能够保护DMZ服务器，使其免受服务器和用户所带来的风险，就如同防御来自互联网的风险一样。

事情还有另外一方面。因为DMZ服务器暴露在公共的互联网上，这就存在着它被黑客或蠕虫破坏的可能。管理员采取措施限制DMZ服务器可能对内部服务器或用户工作站所造成的威胁是至关重要的。此外，一套稳健的防火墙策略还可以防止DMZ服务器进一步损害自身。如果一台服务器被黑客通过某种已知或未知的漏洞给破坏了,他们做的第一件事情就是使服务器下载一个rootkit。防火墙策略应当防止下载这种东西。

还可以进一步减少来自外延网（Extranet）合伙人及远程办公部门WAN的威胁。连接这些网络的路由器使用了广域网技术，如帧中继、VPN隧道、租用私有线路等来保障，这些路由器也可以由防火墙来保障其安全。利用每一台路由器上的防火墙特性来实施安全性太过于昂贵，这样不但造成硬件成本高，更主要的是其设置和管理上难度也很大。企业的防火墙借助于超过传统防火墙的附加功能可以提供简单而集中化的广域网和外延网的安全管理。

关键在于防火墙能够限制不同网络区域的通信，这些区域是根据逻辑组织和功能目的划分的。但防火墙不能限制并保护主机免受同一子网内的其它主机的威胁，因为数据绝对不会通过防火墙接受检查。这也就是为什么防火墙支持的区域越多，它在一个设计科学的企业网络中也就越有用。由于一些主要的厂商都支持接口的汇聚，所以区域划分实现起来也就简单多了。单独一个千兆比特的端口可以轻松地支持多个区域，并且比几个快速以太网端口的执行速度更快。

实施一套良好的防火墙策略

安全防火墙架构的首要关键组件是策略的设计。实现这些目标的最为重要的概念是使用原则的需要。在防火墙的策略中，这只是意味着除非有一个明确的原因要求使用某种服务，这种服务默认地必须被阻止或拒绝。为实施默认的服务阻止规则，在所有策略集的末尾只需要全局性地实施一种防火墙策略，即丢弃一切的规则，意思就是防火墙的默认行为是丢弃来自任何源到达任何目的地的任何服务的数据包。这条规则在任何的防火墙策略中是最后一条规则，因为在某种通信在有机会进入之前，它已经被封杀了。一旦实施了这种基本的行为，就需要对特定的源、特定的服务、对特定的目标地址的访问等实施在一些精心设计的规则。一般而言，这些规则越精密，网络也就越安全。

例如，用户可被准许使用对外的一些常见服务端口，如HTTP，FTP，媒体服务等，但其它的服务和程序除非有了明确的原因才准许通信。在根据企业的需要找到一种特别的原因后，就需要在验证和核准后增加一些严格控制的针对性规则。管理员们常犯的一个错误是他们将用户的权限扩展到了服务和DMZ网络。适用于用户的向外转发数据的规则通常并不适用于服务器。在认真考虑之后，管理员会找到Web服务器并不需要浏览Web的理由。服务器就是服务器，它主要是提供服务，而很少成为客户端。一个根本的问题是DMZ或服务器几乎不应当首先发起通信。服务器典型情况下会接受请求，但几乎不可能接受来自公共的互联网的请求服务，除非是企业合伙人的XML及EDI应用。其它的例外还有一些，如提供驱动程序和软件更新的合法厂商的站点，但所有的例外，都应当严格而精密地定义。遵循这些严格的标准可以极大地减少服务器被损害的可能，最好能达到这样一种程度，只要部署了这种策略，即使服务器没有打补丁，也能防止内部子网的蠕虫传播。本新闻共2页,当前在第1页 1 2

访问控制表列ACLS控制找到%windir%system32下找到cmd.exe、cmd32.exe、net.exe、net1.exe、ipconfig.exe、tftp.exe、ftp.exe、user.exe、reg.exe、regedit.exe、regedt32.exe、regsvr32.exe这些黑客常用的文件，在“属性”→“安全”中对他们进行访问的ACLs用户进行定义，诸如只给administrator有权访问，如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用;那么我们只需要将system用户在ACLs中进行拒绝访问即可。

　　如果你觉得在GUI下面太麻烦的话，你也可以用系统命令的CACLS.EXE来对这些.exe文件的Acls进行编辑与修改，或者说将他写成一个.bat批处理 文件来执行以及对这些命令进行修改。对磁盘如C、D、E、F等进行安全的ACLS设置从整体安全上考虑的话也是很有必要的，另外特别要对Windows、WinntSystem、Document and Setting等文件夹。

　　(6).组策略配置

　　想禁用“cmd.exe”，执行“开始→运行”输入gpedit.msc打开组策略，选择“用户配置→管理模板→系统”，把“阻止访问命令提示符”设为“启用”。同样的可以通过组策略禁止其它比较危险的应用程序。

图7

(7).服务降级

　　对一些以System权限运行的系统服务进行降级处理。比如：将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System权限运行的服务或者应用程序换成其它administrators成员甚至users权限运行，这样就会安全得多了。但前提是需要对这些基本运行状态、调用API等相关情况较为了解。

图8

…

网络安全的几项关键技术

商用网络在互联网上得以运行，首先应建立或使原有的网络升级为内部网，而专用的内部网与公用的互联网的隔离则有赖于防火墙技术。有了防火墙，商家们便可以比较安全地在互联网上进行相应的商业活动。

1. 防火墙技术

“防火墙”是一种形象的说法，其实它是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关(scurity gateway)，从而保护内部网免受非法用户的侵入。所谓防火墙就是一个把互联网与内部网隔开的屏障。 防火墙有二类，标准防火墙和双家网关。标准防火墙系统包 括一个UNIX工作站，该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；另一个则联接内部网。标准防火墙使用专门的软件，并要求较高的，又称堡垒主机(bation host) 或应用层网关(applications layer gateway)，它是一个单个的系统，但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立的任何直接的边疆，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。随着防火墙技术的进步，双家网关的基础上又演化出两种防火墙配置，一种是隐蔽主机网关，另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义，这种配置一方面将路由器进行隐蔽，另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上，通过路由器的配置，使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最商的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时阻止了外部未授权访问者对专用网络的非法访问。一般来说，这种防火墙是最不容易被破坏的。

2. 数据加密技术

与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，动着数据加密技术和物理防范技术的不断发展。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

(1)数据传输加密技术。

目的是对传输中的数据流加密，常用的方针有线路加密和端??端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达，目的地，被将自动重组、解密，成为可读数据。

(2)数据存储加密技术。

目是防止在存储环节上的数据失密，可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现; 后者则是对用户资格、格限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

(3)数据完整性鉴别技术。

目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证，达到保密的要求，一般包括口令、密钥、身份、数据等项的鉴别，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。

(4) 密钥管理技术。为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有: 磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。

3. 智能卡技术

与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋与它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时，智能卡的保密性能还是相当有效的。网络安全和数据保护达些防范措施都有一定的限度，并不是越安全就越可靠。因而，在看一个内部网是否安全时不仅要考察其手段，而更重要的是对该网络所采取的各种措施，其中不光是物理防范，还有人员的素质等其他“软”因素，进行综合评估，从而得出是否安全的结论。

商业公司利用网络把雇员的连接起来，形成一个高效共享的工作环境。但是，在他们进行网络作业的时候，一些公司根本就没有时间考虑是否所有的安全措施都已到位。编者以下就介绍一些常见的网络安全问题。

1.不恰当的密码使用

密码是最简单的安全形式，如果密码是空或者是过于简单( 比如就是‘password’或者是‘admin’)，未经授权的使用者可以很容易去浏览敏感数据。如果密码中既包含字母也包含数字，并且既有大写也有小写，那么密码就会更全。还有就是密码要经常更换。

2.缺少安全意识

在使用软件前应对用户进行培训，特别是涉及到电子邮件、附件以及下载资料的时候。他们应该清楚的知道有什么威胁。未受网络安全培训的电脑使用者经常成为病毒、间谍软件和网络钓鱼的受害者，所有这些网络威胁都是设计来破坏系统或者是在未经用户允许的情况下将用户信息泄露给第三方。

3.资料不备份

懒惰是网络的安全的最大威胁，相比花时间来备份适当的资料来说，完全重建一个被破坏的系统是相当困难的。所以必须要经常备份。除此之外，要保证一份备份的绝对安全，不要把他们放在网上以免紧急情况的发生。

4.联网问题

电脑没有设计成直接在机箱之外与因特网相连接。在使用网线或是无线网卡联网之前，要先装上杀毒软件。理论上来说，这种软件应该包含病毒防护，间谍软件扫描，以及能在后台防止恶意软件的安装的程序。当然有些时候可以安装一些转用而已软件查杀工具，可以更好的保证联网的安全。

5.升级意识薄弱

如果杀毒软件或者专杀工具不升级的话，他们会有什么用呢？每周升级病毒库是很关键的。这样能确保杀毒软件监测到最新的病毒和恶意软件，保证用户的电脑可以更加安全的运行。

6.忽视安全补丁

在你的操作系统中，大多数会存在着安全漏洞。没有任何一种软件是完美的，一旦一个缺陷或是漏洞被发现，经常就会在很短的一段时间内被黑客和恶意程序利用，对用户产生句大的危害。因此，尽快安装安全补丁是必要的，也是必须的。

7.不使用加密技术

在银行业和信用卡中，加密技术尤为重要。储存和传递未加密的数据等于是把这些数据公之与众。如果你不喜欢使用加密技术，你可以请一位IT专家帮助你。请相信，你的个人信息随时都可能被黑客或者恶意程序所监控。

8.威胁意识

现在因特网上的广告越来越具有欺骗性。他们看起来就像是“紧急系统信息”或者是一些警告而使用户去点击。如果一个弹出的桌面窗口，宣称阻止桌面窗口的弹出，十之八九是一个阴谋。

9.尽量自己做

搭建一个网络，使用恰当的安全措施，下载和安装软件的时候应该机警一点。大公司一般都有自己的IT部门。小一点的公司应该询问一些安全建议，有可能的话，应该找一位专门专家做技术顾问，这是物有所值的。网络发展到今天，网络上企业或用户的重要信息的安全越来越不可忽视。

10.恰当的指导

当所有的人都了解安全系统的时候，网络安全措施是最有效的。让你的员工对他们应该遵循的安全措施有一个大体的整体上的了解是非常重要的。

　　LAN 局域网

　　LPC 局部过程调用

　　NNTP 网络新闻传送协议

　　PPP 点到点协议

　　称为点对点通信协议(Point to Point Protocol)，是为适应那些不能在网络线上的使用者，通过电话线的连接而彼此通信所制定的协议。

　　PDC 主域控制器

　　Telnet 远程登陆

　　TCP/IP 传输控制协议/网际协议

　　TCP/IP通信协议主要包含了在Internet上网络通信细节的标准，以及一组网络互连的协议和路径选择算法。TCP是传输控制协议，相当于物品装箱单，保证数据在传输过程中不会丢失。IP是网间协议，相当于收发货人的地址和姓名，保证数据到达指定的地点。

　　TFTP 普通文件传送协议

　　TFTP是无盘计算机用来传输信息的一种简化的FTP协议。它非常之简单，所以可固化在硬盘上，而且支持无认证操作。TFTP是一种非常不安全的协议。

　　Trojan Horse 特洛伊木马

　　URL 统一资源定位器

　　UDP 用户数据报协议

　VDM 虚拟DOS机

　　UUCP 是一种基于猫的使用已经很久的文件传输协议，有时候还使用它在Internet上传输Usenet新闻和E-mail，尤其是在那些间断性联网的站点上。现在很少站提供匿名的UUCP来存取文件。而它做为一种文件传输协议，只有那些没有入网而使用猫的用户使用此方法。

　　WWW 万维网

　　WWW(Word Wide Web)是Internet最新的一种信息服务。它是一种基于超文本文件的交互式浏览检索工具。用户可用WWW在Internet网上浏览、传递、编辑超文本格式的文件。

　　WAN 广域网 …

如何在局域网中保护自我，不仅仅是管理员也是大家要掌握技术。怎么做?笔者认为首先要从防开始。

　　一、防扫描，让攻击者晕头转向

　　几乎所有的入侵都是从扫描开始的，攻击者首先判断目标主机是否存在，进而探测其开放的端口和存在的漏洞，然后根据扫描结果采取相应的攻击手段实施攻击。因此，防扫描是安全防护的第一步。防扫描做得好，就会让恶意攻击失去了目标。

　　1、工具和原理

　　(1).扫描工具

　　攻击者采用的扫描手段是很多的，可以使用Ping、网络邻居、SuperScan、NMAP、NC、S扫描器等工具对目标计算机进行扫描。其中SuperScan的扫描速度非常快，而NMAP的扫描非常的专业，不但误报很少，而且还可以扫描到很多的信息，包括系统漏洞、共享密码、开启服务等等。

　　(2).防范原理

　　要针对这些扫描进行防范，首先要禁止ICMP的回应，当对方进行扫描的时候，由于无法得到ICMP的回应，扫描器会误认为主机不存在，从而达到保护自己的目的。另外，利用蜜罐技术进行扫描欺骗也是不错的方法。

　　2、防范措施

　　(1).关闭端口

　　关闭闲置和有潜在危险的端口。这个方法比较被动，它的本质是将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。可以说，计算机的所有对外通讯的端口都存在潜在的危险，而一些系统必要的通讯端口，如访问网页需要的HTTP(80端口);QQ(4000端口)等不能被关闭。

　　在Windows版本的服务器系统中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”(黑名单)和“只开放允许端口的方式”(白名单)进行设置。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了。

　　进入“控制面板”→“管理工具”→“服务”项内，关闭掉计算机的一些没有使用的服务(如FTP服务、DNS服务、IIS Admin服务等等)，它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本网络通讯需要的端口即可。

图1本新闻共6页,当前在第1页 1 2 3 4 5 6

网络安全技术区
__________________________________________________________
手把手教你配置路由器
http://www.ibeifeng.com/read.php?tid=2022&u=73481
精品中的精品—-天草破解初级
http://www.ibeifeng.com/read.php?tid=1081&u=73481
系统自带不起眼但很强杀毒工具
http://www.ibeifeng.com/read.php?tid=373&u=73481
…

21、Aircrack ： 最快的WEP/WPA破解工具

22、Superscan ：只运行于Windows平台之上的端口扫描器、ping工具和解析器

23、Netfilter ： 最新的Linux核心数据包过滤器/防火墙

24、Sysinternals ：一款强大的非常全面的Windows工具合集

25、Retina ： eEye出品的商业漏洞评估扫描器

26、Perl / Python / Ruby ：简单的、多用途的脚本语言

27、L0phtcrack ： Windows密码猜测和恢复程序

28、Scapy ：交互式数据包处理工具

29、Sam Spade ： Windows网络查询免费工具

30、GnuPG / PGP ：对您的文件和通讯进行高级加密

31、Airsnort ： 802.11 WEP加密破解工具

32、BackTrack ：一款极具创新突破的Live（刻在光盘上的，光盘直接启动）光盘自启动Linux系统平台

33、P0f ：万能的被动操作系统指纹工具

34、Google ：人人喜爱的搜索引擎

35、WebScarab ：一个用来分析使用HTTP和HTTPS协议的应用程序框架

36、Ntop ：网络通讯监控器

37、Tripwire ：祖爷爷级的文件完整性检查器

38、Ngrep ：方便的数据包匹配和显示工具

39、Nbtscan ： 在Windows网络上收集NetBIOS信息

40、WebInspect ：强大的网页程序扫描器

41、OpenSSL ： 最好的SSL/TLS加密库

42、Xprobe2 ：主动操作系统指纹工具

43、EtherApe ： …

实施良好的防火墙网络设计

防火墙安全的另外一个关键组件是物理网络的拓扑。如下图1：

上图展示的是并不太先进的Pix525，笔者用它只是为了说明原理。它支持2千兆比特的以太网端口和6个100M比特的快速以太网端口。这是实现物理上分离不同子网的极好方法，假如每一个端口都插入一个物理上不同的以太网交换机的话，它可满足企业的需要。然而，在数据中心中为每一个子网部署超过六个物理交换机都是不切合实际的。企业经常通过将一台独立的物理交换机分割为多个桥接组来使用虚拟局域网（VLAN），这便可以为任何现有的或未来的子网提供额外的端口。因为我们可以轻松地将一个千兆比特的端口连接到一个第三层的核心交换机、DMZ、外延网、临时的子网及企业需要的任何其它VLAN。不妨看一下第二个千兆比特的以太网卡和4个快速以太网接口卡。这里需要强化第二层交换机的安全，用以应对vlan跳跃攻击等问题，本文暂不讨论这个问题。即使对于汇聚的千兆以太网端口来说，用户也应当使用两个内建的快速以太网端口用于公共的互联网访问和状态失效转移的同步。

再看下图2：

上图展示了在一次状态失效转移配置中两个防火墙的使用。网络连接只能到达逻辑防火墙，其目的是为了避免非法的连接器，不过事实上每一个子网都有一个物理连接到达每一个防火墙。这些连接可以是物理上分离的电缆或单独的汇聚电缆，它通过独立的千兆比特连接到达用户的支持VLAN的交换机。PIX 525中的两个内置的快速以太网端口用于公共的互联网连接和状态失效转移的同步，而剩余的内部子网可以共享千兆以太网端口。这种配置要比使用独立的快速以太网端口的配置快得多。

防火墙的内部可以连接下面的子网：

◆核心3层交换机

◆DMZ

◆外延网

◆临时区域

◆其它

核心三层交换机一般通过VLAN之间的路由功能到达用户的核心交换机。这些VLAN可包含拥有众多用户的大量的VLAN、支持多个服务器群的VLAN(这些服务器并不直接暴露在互联网上)。在这个例子中，用户必须理解在这些服务器群的VLAN和用户VLAN之间并不存在什么防火墙，因为用户到服务器的通信是由核心三层的交换机发送的，绝不会通过防火墙。有一些公司将其所有的服务器都放置在防火墙之后并与用户分离，这有点儿太极端，不过，管理防火墙后面的有大量端口需求的多个内部服务器可能非常困难，所以这样做并不明智。

DMZ用于从公共的互联网访问的服务器。它直接位于防火墙之后，并且总是过滤通信。

外延网和广域网区域用于路由器的内部接口,此路由器连接的是远程WAN站点和合伙人的站点。使用这种配置准许用户保护WAN和外延网站点的安全，而不必购买或配置路由器自身的防火墙特性集。用户甚至可以将路由器的外部接口置于防火墙的一个非NAT区域上，这有助于防止黑客从外部破坏路由器。这种方法使得高可用性企业防火墙能够极大地保护多个路由器的安全。

临时区域也不是新东西，但它实质上是一种安全特性。在客户机需要访问VPN或互联网时，让其连接到拥有互联网访问能力的临时网络，而不是用户的内部LAN。这种区域在无线环境中是极为有用的。由于Wi-Fi架构技术支持VLAN等原因，单独一个无线Wi-Fi连接可以支持多个VLAN、一个运行着其自己的SSID和802.1x/EAP安全的内部VLAN、一个临时VLAN。这些例子仅仅是这种高级防火墙架构的一般应用。

结论

现代的防火墙的功能是很强大的，在此笔者必须强调防火墙仅仅是网络安全的开端。仅仅因为拥有了最佳的网络和防火墙设计并不能免去管理员其它的安全责任。防火墙只能减轻安全的危害，并不能清除漏洞。用户仍需要部署入侵检测/防御系统，因为这种系统可以积极地阻止攻击，并强化服务器安全，而且需要系统地为所有的设备和程序打补丁。最为重要的是，并不存在什么“刀枪不入”的机制，我们能做的就是极大地将攻击和破坏时间调整为最为合理的水平。“不可侵入的”是一种梦想而已。对待安全问题，我们只能保持低姿态，并为此不断努力。本新闻共2页,当前在第2页 1 2