通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。①服务访问策略。房屋访问策略是高层的策略,明确定义了受保护网络允许和拒绝的网络服务及其使用范围,以及安全措施(如认证等)。两种典型的服务访问策略是:不允许外部网络访问内部网络,但允许内部网络访问外部网络;允许外部网络访问部分内部网络服务。②防火墙设计策略。防火墙设计策略是低层的策略,描述了防火墙如何根据高层服务访问策略来具体地限制访问和过滤服务等,即它必须针对具体的防火墙来定义过滤规则,以实现访服务访问策略。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。
网络上的数据都是以包为单位进行传输的,每一个数据包中都会包含一些特定的信息,如数据的源地址、目标地址、源端口号和目标端口号等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的网络,并与预先设定的访问控制规则进行比较,进而确定是否需对数据包进行处理和操作。
网络IP地址转换是一种将私有IP地址转化为公网IP地址的技术。
虚拟专用网络将公布在不同地域上的局域网或计算机通过加密通信,虚拟出专用的传输通道,从而将它们从逻辑上连成一个整体,不仅省去了建设专用通信线路的费用,还有效地保证了网络通信的安全。
入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。
入侵防护系统(IPS)则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
①记录与再现。 ②入侵检测。
③记录入侵行为。 ④威慑作用。
⑤系统本身的安全性。
日志分析审计的功能包括:
①对潜在的攻击者起到威慑或警告;
②对于已经发生的系统破坏行为,提供有效的追纠证据;
③为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
各省软考办 | ||||||||||