文档介绍:: .
网络安全操作工具
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的 保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑 安全。物理安全指系统设备及相关设施受到物理保护,免丁•破坏、丢失等。逻辑安全包括 信息的完整性、保密性和可用性。
防火墙
Internet防火墙是这样的系统或一组系统,它能增强机构内部网络的安全性。防火墙 系统决定了哪些内部服务可以被外界访问汐卜界的哪些人可以访问内部的哪些服务,以及 哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有來口和去往Internet的 信息都必须经过防火墙,接受防火墙的检查。防火墙只允许授权的数据通过,并II防火墙 本身也必须能够免于渗透。
Internet防火墙负责管理Internet和机构内部网络之间的访问。在没有防火墙时, 内部网络上的每个节点都暴露给Internet上的其它主机,极易受到攻击。这就意味着内 部网络的安全性要由每一个主机的坚固程度來决定,并1L安全性等同丁-其中最弱的系统。
Internet防火墙允许网络管理员定义一个中心“扼制点”來防止非法用户,比如防 止黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击來口 各种路线的攻击° Internet防火墙能够简化安全管理,网络的安全性是在防火墙系统上得 到加固,而不是分布在内部网络的所有主机上。
在防火墙上可以很方便的监视网络的安全性,并产生报警。注意:对一个与Internet 相联的内部网络來说,重要的问题并不是网络是否会受到攻击,而是何时受到攻击?谁在 攻击?网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时 响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道 防火墙是否受到攻击。
Internet防火墙可以作为部NATNetwork Address 辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带來的 重新编址的麻烦。
Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在 此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈的位置,并根据机构 的核算模式提供部门级计费。
在设计理念方面,防火墙是以应用为主、以安全为辅的,也就是说在支持尽可能多的 应用的前提下,來保证使用的安全。防火墙的这一设计理念使得它可以广泛地用F尽可能 多的领域,拥有更加广泛的市场,甚至包括个人电脑都可以使用,但是它的安全性往往就 差强人意。而网闸则是以安全为主,在保证安全的前提下,支持尽可能多地应用。网闸主 要用于安全性要求极高的领域,例如对政府网络,工业控制系统的保护等等。
安全策略
防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,防火墙是安 全策略的一个部分。
安全策略建立全方位的防御体系,甚至包括:告诉用户应有的责任,公司规定的网络 访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施, 以及雇员培训等