多級防火墻

防火墻多級安全訪問控制

限制未授權的用戶訪問內部網絡的空間和信息資源是訪問控制的首要環(huán)節(jié)，訪問者必須要適應現行所有服務和應用，才能通過控制進入內部網絡實現資源共享。多級安全訪問控制包括多方面內容的組合，包括服務協(xié)議、瀏覽器、電子郵件等。在多級訪問控制中還提供了基于狀態(tài)檢測技術的IP地址、端口、用戶的管理和控制，從而達到訪問受限的目的。高效的控制策略可以實現訪問目標的訪問權限設置、目標確立等，通過應用層策略實現URL和文件級的訪問控制。另外多級防火墻控制還可阻止ActiveX、Java等的侵入，是對http的過濾和審核，檢測出其代碼危險同時過濾用戶上載的cgi、asp等程序，從而達到對計算機的保護。多級防火墻安全訪問控制還對計算機進行了實時監(jiān)控，以及審計和報警功能，當發(fā)現攻擊和危險時會立即發(fā)出警報，提醒用戶采取安全防措施，保護計算機網絡的安全。

多級防火墻用戶認證

由于網絡的開放性，為了保護區(qū)域內網的安全性，必須加強對用戶信息的識別和準入限制，對訪問鏈接的用戶采用有效的權限控制和身份識別，從而系統(tǒng)的安全運行。具體說來可以通過提供具有高安全強度的口令用戶認證，口令用戶認證能夠極大提高訪問控制的安全性，有效阻止非授權用戶進入內部網絡，造成網絡系統(tǒng)的破壞，從而保證網絡系統(tǒng)的合法使用。口令認證首先需要用戶向防火墻發(fā)送其身份認證請求，并且設置其個人用戶名和密碼，從而形成個人網絡的口令。防火墻通過識別用戶發(fā)來的口令鑒別用戶的合法與否，是否具有準入的權利。

為了防止有的不法分子進行口令猜測，在防火墻設置中規(guī)定如果用戶連續(xù)三次認證失敗則在一段時間內禁止該用戶的使用。通過這樣一種多次重復確認的口令設置能夠極大的增強防火墻用戶認證上的有效性。

多級防火墻技術下的防御功能

多級防火墻設置的防御功能包含了多方面的內容，首先在防止端口掃描上，防火墻可以檢測到對內部機器的掃描，從而起到保護計算機的作用。另外是抗攻擊，主要是指拒絕服務攻擊，主要是防火墻通過控制、檢測與告警機制組織黑客的攻擊和不良襲擊，造成系統(tǒng)的破壞。防火墻的防御功能實現與入侵檢測技術密不可分，入侵檢測系統(tǒng)是計算機和網絡資源上惡意行為的識別和反應，它分為外部檢測和內部檢測兩方面內容，入侵檢測從計算機網絡系統(tǒng)中收集若干信息，并對這些信息進行分析，審核其中是否存在不安全因素和遭到襲擊的現象。作為一種積極主動的預防技術，在網絡安全維護立體化的發(fā)展下顯得極為重要，是防火墻的重要組成部分。

多級防火墻的安全管理

防火墻的安全管理是網絡安全維護，保證防火墻的正常有效運行的關鍵，防火墻的管理包括幾個方面。

(1)防火墻的詩詞奧狀態(tài)管理:防火墻與其他程序和應用系統(tǒng)一樣，具有本身的生命周期和使用限制，檢查一個防火墻是否整成，是否能夠阻擋或者捕捉到惡意攻擊及其他存在安全隱患的訪問，需要從四個狀態(tài)來考慮:未受到襲擊和傷害，在計算機運行過程中能夠正常工作;重新啟動后能夠恢復到正常狀態(tài);禁止所有數據同行;允許所有數據通行。

(2)防火墻的動態(tài)維護:防火墻的管理不同于其他程序的安全管理，它包含了系統(tǒng)運行的各個方面，要使防火墻發(fā)揮其應有的作用，就必須時刻對防火墻進行跟蹤維護，并且及時更新檢測防火墻數據庫。一旦發(fā)現防火墻出現漏洞，就盡快對其進行修復，從而最終起到防火墻的保護功能。

(3)非法訪問:防止防火墻使用過程中的非法訪問，保證防火墻的安全;

(4)幾個威脅:配置錯誤、安全政策、強力攻擊、匿名協(xié)議、文件共享等。要做好防火墻的安全管理工作并不能拘泥于單級防火墻的管理，要從防火墻的多級設置上維護系統(tǒng)安全，保證多級防火墻的正常運行，最終維護計算機網絡安全。

雖然多級防火墻在應用過程中還存在著許多局限性，但從未來發(fā)展的角度來說它在維護計算機網絡安全中的地位仍然極為重要。多級防火墻技術在計算機網絡上的應用極大的提高了傳統(tǒng)防火墻的保護功能，提高了對不良信息的檢測和對計算機的保護，設置了用戶控制及服務控制，從而保證防范就位。任何一種防火墻的建設都是為了維護計算機網絡的安全和穩(wěn)定，但網絡安全的維護只依靠防火墻的搭建是不夠的，要在發(fā)展過程中逐漸將防火墻與其他維護計算機安全的技術結合起來，建成一個全方位的安全防御體系，從而更大的發(fā)揮多級防火墻的功能，實現對計算機網絡安全的有效維護。

伴隨Internet在全球的迅速發(fā)展和普及，上述計算機網絡安全隱患在現實中真實存在并且逐漸成為計算機用戶的擔憂。為解決上述問題，防火墻技術便是當前環(huán)節(jié)網絡安全襲擊和破壞的有效途徑之一。防火墻作為一種設置在被保護網絡與網絡系統(tǒng)中的訪問控制系統(tǒng)，經歷了長期的發(fā)展階段，并且在長期的發(fā)展中逐漸完善，但就目前的情況來看，傳統(tǒng)的防火墻技術不足以應對日漸猖獗的計算機網絡病毒、黑酷侵襲、信息破壞等網絡安全隱患。

目前的防火墻還具有幾點不足之處:

(1)無法有效的組織內部網絡用戶無意或者有意向外泄露關鍵和敏感信息，造成內部網絡的不安全和不穩(wěn)定;

(2)無法有效拒絕網絡上的惡意服務信息;

(3)無法及時和快速做出反應應對內部網絡用戶發(fā)起的網絡攻擊行為;

(4)無法有效地阻止系統(tǒng)網絡對內部網絡發(fā)起的攻擊。由此，多級防火墻技術便應運而生，通過防火墻技術的進一步完善，盡量減少網絡不安全因素對計算機的襲擊，造成不必要的損失。

伴隨防火墻技術的不斷革新，它在維護計算機網絡安全中發(fā)揮著不可替代的作用，網絡安全隱患的提高也給防火墻技術提出了更高的要求。但是我們仍需要看到多級防火墻技術并不是包治百病的，它在應用過程中也存在一些不足之處。

首先它的局限性表現在不能防范跳過防火墻的攻擊行為，不能對這些攻擊進行識別和防范。因此，當用戶在使用防火墻對計算機進行保護時也不能內部安全系統(tǒng)的建立。

其次，多級防火墻雖然從多個層面和角度保護著計算機不受攻擊，但它往往很難應付病毒的入侵，當計算機內部數據被病毒破壞時，防火墻不能檢測出來，從而使得病毒有了可趁之機。

另外多級防火墻技術本身就是獨立的一個系統(tǒng)，在其發(fā)展過程中難免會出現故障，從而出現漏洞，使得對計算機的保護失效。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

在具體應用防火墻技術時，還要考慮到兩個方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產品聲稱其具有這個功能。 二是防火墻技術的另外一個弱點在于數據在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。并且，防火墻采用濾波技術，濾波通常使網絡的性能降低50%以上，如果為了改善網絡性能而購置高速路由器，又會大大提高經濟預算。

總之，防火墻是企業(yè)網安全問題的流行方案，即把公共數據和服務置于防火墻外，使其對防火墻內部資源的訪問受到限制。作為一種網絡安全技術，防火墻具有簡單實用的特點，并且透明度高，可以在不修改原有網絡應用系統(tǒng)的情況下達到一定的安全要求。

(1)設置網卡IP地址為192.168.1.234，子網掩碼為255.255.255.0，網關為192.168.1.1。

(2)設置DNS為61.177.7.1。

(3)Linux防火墻設置，禁用SELinux，啟用防火墻，信任WWW、FTP、SSH、SMTP端口。

(4)設置防火墻，使能信任TCP協(xié)議的POP3端口。