一,阿姆瑞特公司简介
阿姆瑞特是一家专业从事网络安全产品研发和服务的跨国IT企业,属于阿姆瑞特(国际)集团在亚洲的分支机构集团总部设在瑞典,拥有强大的公司实力及技术优势,多年来一直致力于网络安全产品的研发和服务,在全球范围设有多个研发机构和销售网络,为不同的客户提供最先进的,特色化的安全产品和服务目前,阿姆瑞特已经在北京,西安,南京,广州,成都等地先后建立办事处,并将销售延伸到全国各个省市,建立起遍及全国的销售和服务平台在金融,电信,教育,广电,电力,制造和政府等行业已经有广泛的应用,客户的一致好评和在玛赛,联想,赛迪等国内大型实验室优异的测试结果,显示了阿姆瑞特产品的卓越品质和公司雄厚的技术实力
阿姆瑞特人愿通过不懈的努力,与合作伙伴共同为中国网络安全发展尽自己的微薄之力阿姆瑞特的目标是:服务于中国的信息安全产业,为用户提供全球领先的安全产品和完善的服务
二,阿姆瑞特防火墙的产品线及性能
21 阿姆瑞特防火墙性能参数
性能
F50-NP
F100-NP
F100UP
F100Pro
F300Pro
F600-UP
F600Pro
F600+
F1800
F3000
F5000
F5000Pro
并发连接数
4,000
16,000
128,000
200,000
320,000
512,000
1,000,000
1,000,000
2,000,000
3,000,000
5,000,000
80,000,000
吞吐量(Mbps)
50
100
120
200
400
800
1,000
1,5000
2,000
3,000
4,000
16,000
延时( μs )
≤30
≤30
≤30
≤30
≤25
≤25
≤25
≤25
≤19
≤19
≤19
≤19
防火墙接口数量
4+6
4+6
4
6
8
6-14
6-14
6-14
6-14
6-14
6-14
5-40
用户数量
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
VLAN数量
无
无
256
256
512
1,024
1,024
1,024
2,048
4,096
4,096
32,768
规则数量
500
1,000
1,000
1,000
2,000
8,000
16,000
16,000
16,000
32,000
32,000
250,000
路由数量
64
128
128
128
512
1,024
2,048
2,048
2,048
4,096
4,096
32,768
隧道数
15
30
120
120
1,200
1,600
2,000
2,000
2,000
2,000
2,000
400,000
MTBF(小时)
30000
30000
30000
30000
40000
40000
40000
40000
50000
50000
50000
50000
规格(长宽高)
15721030
15721030
23843544
23843544
23843544
43543544
43543544
17025540
43543588
43543544
43543588
43543588
22 SME级别F50-NP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F50-NP
50M
4000
4+6
Unlimited
20M
25
NetScreen
NS-5XT
70
2,000
5
10
20M
10
NS-5GT
75
2,000
5
10
20M
10
NS-5GT_Ex
75
4,000
5
Unlimited
20M
25
Cisco
PIX-501-50
60M
7,500
2+4
50
6M
10
PIX-501-10
60M
7,500
2+4
10
6M
10
Nokia
IP40-U
70M
3
Unlimited
15M
10
F50-NP吞吐量可升级至75M
23 SME级别F100-NP&F100-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F100-NP
100M
16,000
4+6
Unlimited
40M
100
F100-UP
120M
128,000
4
Unlimited
95M
120
NetScreen
NS-25
100M
32,000
4
Unlimited
20M
125
Cisco
Pix-506E
100M
25,000
2
Unlimited
16M
25
Nokia
IP130
102M
100,000
3
Unlimited
13M
F100-NP吞吐量可升级至200M
24 CorpXpres系列F100-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F100-Pro
200M
200,000
6
Unlimited
95M
120
NetScreen
NS-25
170M
64,000
4
Unlimited
45M
500
Cisco
Pix-515E-UR
188M
130,000
2-6
Unlimited
63M
2,000
Nokia
Nokia无此档产品
25 CorpXpres系列F300-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F300-Pro
400M
320,000
8
Unlimited
130M
1,200
NetScreen
NS-204
400M
128,,000
4
Unlimited
200M
1,000
Cisco
Pix-525-UR
330M
280,000
2-6
Unlimited
145M
2,000
Nokia
IP350
400M
128,000
4
Unlimited
60M
2,000
26 EntXpress系列F600-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F600-UP
800M
512,000
6-14
Unlimited
600M
1,600
NetScreen
NS-208
550M
128,000
8
Unlimited
200M
1,000
NS-500
700M
250,000
12
Unlimited
250M
5,000
Cisco
Cisco无此档产品
Nokia
IP530
507M
128,000
4
Unlimited
115M
2,000
IP380
600M
128,000
6
Unlimited
90M
2,000
27 EntXpress系列F600-Pro&F600+性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F600-Pro
1,000M
1,000,000
6-14
Unlimited
800M
2,000
F600+
1,500M
1,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG1000
1,000M
250,000
4 -8
Unlimited
1,000M
2,000
Cisco
PIX-535-UR
1,700M
500,000
2-8
Unlimited
440M
2,000
Nokia
IP710
1,300M
128,000
4
Unlimited
139M
2,000
28 TelcoXpress系列F1800&F3000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F1800
2,000M
2,000,000
6-14
Unlimited
1,000M
2,000
F3000
3,000M
3,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG2000
2,000M
512,000
8
Unlimited
1,000M
10,000
Cisco
Cisco无此档产品
Nokia
IP740
2,000M
500,000
4
Unlimited
139M
10,000
29 TelcoXpress系列F5000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F5000
4,000M
5,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
Netscreen无此档产品
Cisco
Cisco无此档产品
Nokia
IP1260
4,200M
1,000,000
4
Unlimited
800M
210超级电信级产品F5000-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F5000-Pro
16,000M
5,000,000
5-40
Unlimited
16,000M
400,000
NetScreen
NS-5200
10,000M
1,000,000
8
Unlimited
5,000M
30,000
NetScreen
NS-5400
30,000M
1,000,000
24
Unlimited
15,000M
30,000
Cisco
FWSM模块
5,000
1,000,000
100(VLAN)
Unlimited
n/a
n/a
Nokia
Nokia无此档产品
阿姆瑞特现已推出的5000Pro防火墙,是当今世界上最快的防火墙产品已经在欧洲的各大电信运营商网络成功的开始了应用
下面是它图样:
平台架构
最多支持八块高性能的基于ASIC加速的板卡
每块板卡支持2G的明通和密通吞吐量
每块板卡支持4+1个网口, 四个千兆口, 一个SFP
管理卡位于工控机的背板,不占用插槽
背板还拥有一个网口汇聚卡, 可以支持八个百兆电口,SFP,或者万兆口
重要技术参数
防火墙明通吞吐量16Gbps
IPSEC密通吞吐量16Gbps
同时并发连接8千万
55万大包PPS
四十万最大通道数
支持32768个VLAN接口
支持最多8000个虚拟路由系统
GAN兼容,支持3G网络安全需求
完全支持IKEv2和EIP-SIM
三,阿姆瑞特防火墙的组成
31 阿姆瑞特防火墙硬件
阿姆瑞特防火墙采用专有的硬件,采用高性能的CPU和大容量的内存保证硬件的高性能其中,阿姆瑞特NP系列采用NP的硬件架构;600UP以上的产品采用ASIC技术
32 阿姆瑞特防火墙内核
阿姆瑞特防火墙为"无系统内核",即:防火墙没有 *** 作系统,因此不会存在通用 *** 作系统的漏洞,从而在底层保证防火墙的安全性;同时,因为 *** 作系统需要不断地去维护,升级,无 *** 作系统就不存在此类问题,这也排除了因为系统升级,打补丁破坏防火墙功能,性能的问题
阿姆瑞特防火墙内核启动后,可直接管理防火墙的所有硬件(CPU,网卡,总线等),它可以在底层从硬件设备中接管进出防火墙数据并进行处理,利用了所有可能的硬件性能,同时减少了 *** 作系统的开销,因此可以最快的处理数据,使其成为市场上现有的最快的防火墙之一
33 阿姆瑞特防火墙管理器
阿姆瑞特防火墙管理器的作用是对防火墙进行管理,配置,日志的查询,同时可以集中管理到多达3万台防火墙
34 阿姆瑞特防火墙日志服务器
阿姆瑞特防火墙日志服务器的作用是接收并存储防火墙的日志
35 其它防火墙硬件和内核简介
厂家
介绍
阿姆瑞特防火墙的优势
Juniper
Juniper防火墙采用专用的 *** 作系统平台,而且把 *** 作系统固化在专用芯片(ASIC)上
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Juniper小,所以在性能上两者相差不大;但是在灵活性和扩展性上比Juniper强
Cisco
Cisco PIX防火墙采用安全的黑盒子,非UNIX系统,是X86结构
阿姆瑞特600系列采用ASIC架构,NP系列采用NP架构
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Cisco小,所以在性能上比Cisco强;在功能上和管理的方便性上都比Cisco强;而Cisco防火墙在加密算法的不同(如DES和3DES)则要不同的License和不同内存大小来支持,阿姆瑞特防火墙没有这样的限制
NOKIA
NOKIA防火墙采用NOKIA的硬件平台,而软件采用Check Point的
阿姆瑞特防火墙内核文件到目前为止都是小于2M,远远小于NOKIA防火墙,所以在性能和延迟比NOKIA强;在功能上和管理的方便性上比NOKIA的强;而NOKIA防火墙按照接口类型,接口数量,软件和用户数量来购买,阿姆瑞特防火墙没有这样的限制
四,阿姆瑞特防火墙的技术特点
阿姆瑞特防火墙除了是一款专业的防火墙设备以外,还具有强大得的路由功能以及专业级带宽管理功能具体对其技术特点概括如下:
全方位安全防护
强大的路由功能
专业的带宽管理
灵活的网络接入
丰富的功能
便捷的图形管理
细微的网络日志
41 全方位安全防护
阻断入侵者的攻击,保护用户的网络正常运行是防火墙的最基本职责阿姆瑞特防火墙提供者全方位的安全防护例如:
411 全状态检测防火墙
阿姆瑞特防火墙对所有的协议都可以进行状态检测进行过滤,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤因此可以防止假冒IP攻击,防止非正常连接同时提高防火墙工作效率
412灵活的访问控制
阿姆瑞特防火墙所能控制的颗粒度非常细,可以对以下的信息作出访问控制:
源和目的地址
源和目的接口
IP协议号
TCP和UDP端口号
端口范围
ICMP信息类型
IP和TCP中都有的选项类型
IP和TCP标记组合
VLAN信息
时间
防火墙的接口(包括物理和逻辑接口)
访问内容
访问的文件类型
访问控制可以说是防火墙的基本功能,不同的是Juniper,Nokia和PIX无法支持防火墙的接口,IP和TCP中的选项和用户访问文件类型进行访问控制
413 用户认证
阿姆瑞特防火墙支持本地用户库认证,RADIUS认证,LDAP认证
Juniper支持本地用户库认证,RADIUS认证,LDAP认证,RSA,SecurIP
Cisco支持本地用户库认证,RADIUS认证,TACACS
NOKIA支持本地用户库认证,RADIUS认证
不同的是阿姆瑞特防火墙做用户认证的时候,可以设置每用户名多次登陆,也可以设置每用户名一次登陆,此功能如下图所示:
414 强大的抵御攻击能力
阿姆瑞特防火墙提供针对黑客攻击的强大防御功能:
防止黑客对OS Fingerprinting 和 Firewalking的企图
防止黑客对网络的TCP/UDP端口扫描
防止黑客对网络的同步攻击
防止黑客对网络的ICMP flood攻击
防止黑客对网络的UDP flood攻击
防止黑客对网络的死ping(Ping of death)攻击
防止黑客对网络的IP欺骗(IP spoofing)攻击
防止黑客对网络的端口扫描(Port scan)
防止黑客对网络的陆地攻击(Land attack)
防止黑客对网络的撕毁攻击(Tear drop attack)
防止黑客对网络的过滤IP源路由选项(Filter IP source route option)
防止黑客对网络的IP地址扫描攻击(IP address sweep attack)
防止黑客对网络的WinNuke attack攻击
防止黑客对网络的Java/ActiveX/Zip/EXE
防止黑客对网络的默认分组拒绝(Default packet deny)攻击
防止黑客对网络的Dos & DDoS攻击
用户定义的不良URL
防止黑客对网络的Per-source session limiting攻击
防止黑客对网络的Syn fragments攻击
防止黑客对网络的Syn and Fin bit set攻击
防止黑客对网络的No flags in TCP攻击
防止黑客对网络的FIN with no ACK攻击
防止黑客对网络的ICMP fragment攻击
防止黑客对网络的Large ICMP
防止黑客对网络的IP source route
防止黑客对网络的IP record route
防止黑客对网络的IP security options
防止黑客对网络的IP timestamp
防止黑客对网络的IP stream
防止黑客对网络的IP bad options
防止黑客对网络的Unknown protocols
抵御黑客的攻击也是防火墙的基本功能,但阿姆瑞特防火墙在抵御攻击的时候,原理于其他防火墙不同
其他的防火墙
通过设定阈值进行攻击防范,例如每个IP每秒2000个SYN报文以下才认为是正常的,超出视为攻击因此比较难慢性抵御DDOS攻击(例如:很多IP每秒1500个SYN攻击)
依托通用OS,OS对攻击的抵御能力不足;且防火墙软件与OS间必然存在开销,消耗系统资源
阿姆瑞特防火墙
采用类似代理技术进行攻击防范,必须首先与防火墙建立起连接,防火墙才会再与主机进行连接,攻击不会通过防火墙到达主机
专用内核,没有OS开销,提高了自身抵御攻击能力
设计中充分考虑了系统抗攻击的能力,预留防火墙系统资源,任何情况下CPU利用率都不会达到100%
415 URL过滤
阿姆瑞特防火墙支持URL过滤
Juniper支持URL过滤
NOKIA不支持URL过滤
Cisco PIX Firewall URL过滤与NetPartners Websense产品一起提供PIX Firewall用Websense服务器上制定的政策检查外出的URL请求,这些政策在Windows NT或UNIX上运行PIX Firewall 53版本及更高版本中支持Websensen第4版本
根据NetPartners Websense服务器的答复,PIX Firewall接受或拒绝连接这台服务器检查请求,保证这些请求不具备不适合商业用途的17种Web站点特征由于URL过滤在独立平台上处理,因此,不会给PIX Firewall带来其它性能负担
42 强大的路由功能
阿姆瑞特防火墙的路由功能非常强大的路由功能,最大可以支持4096条静态路由此外还支持策略路由,动态路由以及虚拟路由等
421 策略路由
阿姆瑞特防火墙可以基于不同的策略定义不同的路由,因此可以根据源地址,服务,时间等定义不同的路由从而达到不需要其他设备可以连接多个ISP,应用在多个出口的环境,同时,可以对数据包的路由方向进行选择此功能如下图所示:
不同的是通过策略路由可以支持WEB Cache(例如:免费的Squid)从而达到利用免费的软件实现URL过滤,应用代理的目的,同时可用作支持病毒扫描服务器等
Juniper支持策略路由,只是做到源地址,源IP,源端口,目的地址,目的IP,目的端口但无法对时间,数据包路由的方向作策略路由
Cisco不支持策略路由
NOKIA支持策略路由
422 路由备份
阿姆瑞特防火墙可以做到端口之间的冗余,这样可以保证不会因为一条链路的中断而造成业务的中断,此功能如下图所示:
423支持OSPF V2动态路由
阿姆瑞特防火墙全面支持OSPF路由协议,完全符合RFC文档对OSPF协议的规定因此可以于专业的路由器的OSPF媲美,同时支持透明下起OSPF协议,OSPF OVER IPSEC等
阿姆瑞特防火墙的OSPF根据RFC 2328来定义,支持OSPF版本2,也可以支持早期版本RFC 1538,可以和CISCO,北电等设备之间做OSPF
不同的是通过阿姆瑞特防火墙自带的日志软件,可以对OSPF HELLO包做分析;即使防火墙工作在透明模式下,也可以运行OSPF协议;在网络环境下也支持OSPF协议的运行
Juniper防火墙OSPF基于虚拟路由器而启用的,根据RFC 2328的定义,支持OSPF版本2,也可以支持早期版本RFC 1538在网络环境下也支持OSPF协议的运行
NOKIA支持OSPF协议,采用的标准是RFC 2328,不支持早期版本RFC 1538
Cisco PIX防火墙不支持OSPF协议
424 支持虚拟路由器/系统
阿姆瑞特防火墙支持虚拟防火墙功能,是通过回环接口组的方式实现的,要求防火墙的版本在85以上
NOKIA支持虚拟防火墙功能
Juniper虚拟防火墙逻辑划分了多个虚拟系统,以提供多客户式托管服务,每个虚拟系统(VSYS)都是一个唯一的安全域,并且可以拥有自己的管理源,管理员可以设置自己的地址薄,用户列表,自定义服务,,策略以使自己的安全个性化可以通过两种方式实现虚拟系统:基于VLAN和基于IP要在204以上的才支持,5200和5400最多可以做到500个
Cisco PIX支持虚拟防火墙功能,但要求防火墙版本是70以上
425 对VLAN的支持
阿姆瑞特防火墙全系列型号都支持VLAN
Cisco防火墙要在515型号以上的才支持VLAN
Juniper防火墙要在25 高级版本型号以上的才支持VLAN
NOKIA防火墙要在130型号以上的才支持VLAN
43 专业的带宽管理
阿姆瑞特防火墙除了具有全方位的安全防护和强大的路由功能以外,还具备专业的带宽管理功能
阿姆瑞特防火墙支持阿姆瑞特防火墙可以基于IP,基于服务,基于接口,基于组信息,基于VLAN信息,连接等信息进行带宽管理并且在管道内部可以实现数据包的负载均衡,从而保证重要数据的服务质量通过QoS/CoS设置,可以进行:
· 带宽限制
· 带宽保证
· 优先级控制 (0-7,有8个优先级别)
· 动态流量均衡
此功能如下图所示:
总体来说,阿姆瑞特防火墙在作带宽管理的时候,具有如下特点:
通过定义管道的方式提供CoS/QoS功能
管道没有数量的限制
带宽管理设置精度为1Kbps
可进行带宽限制,带宽保证,动态均衡带宽
大差别带宽管理时,不存在"饿死"现象
可对上传和下载数据分别进行带宽管理
明通,密通数据均可以作带宽管理
带宽管理可基于接口,VLAN,IP地址,服务,时间等设定
Juniper,Cisco,NOKIA防火墙做不到带宽保证,动态流量均衡同时带宽管理的精度也比较粗糙(为64kbps)
44灵活的网络接入
阿姆瑞特防火墙在网络接入方面非常灵活,具体的特点如下:
透明,路由,混合接入
同一接口下的透明+路由
源地址,目标地址同时转换
对称式接口设计
441 路由,透明和混合的工作模式
阿姆瑞特防火墙支持路由,透明和混合的工作模式
Juniper只支持路由和透明模式
Cisco只支持路由的工作模式和透明模式(需要防火墙的版本在70以上)
NOKIA只支持路由和透明模式
不同的是阿姆瑞特防火墙可以在透明模式下实现和路由模式下相同的功能,如在透明模式下支持NAT,VLAN,,OSPF,HA和虚拟防火墙等功能
442 同一接口下的透明+路由
阿姆瑞特防火墙支持同一的网络接口下的透明+NAT,如图:
防火墙if2接了2个网段,同时if2也配置了2个不同网段的地址,if1同if2其中一个地址在同一网段上,于另一个地址在不同网段上这样防火墙的if1于if2同时处于透明+路由的情况
Juniper,Cisco和NOKIA均不支持这个功能
443对称式接口设计
阿姆瑞特防火墙的接口都是对称试设计,因此任何一个接口都可以是内网,外网或者DMZ区因此可以作多个内网,多个外网或者多个DMZ区
444 接入模式
阿姆瑞特防火墙支持ADSL,DHCP Client,固定IP地址,支持多条ADSL线路拨号,支持ADSL按需拨号,此功能如下图所示:
Juniper不支持多条ADSL线路拨号
Cisco不支持多条ADSL线路拨号,ADSL按需拨号
NOKIA不支持多条ADSL线路拨号,ADSL按需拨号但NOKIA支持FDDI,ISDN,Token Ring,Serial(X35和X21),T1,E1,HSSI接口
45 丰富的功能
阿姆瑞特防火墙有如下功能:
1, __Client 的NAT设备的穿越
2, __Client 拨号上来可以通过DHCP服务器动态得到地址
3, __Client 拨号上来也可以自己手动设定一个虚拟IP地址,并可以和内网用户做双向通讯
4, __Client 拨号上来不仅可以通过Pre-Share KEY 的方式验证,同时还可以做用户名和密码的XAuth验证(通过RADIUS数据库)
5, __Client 拨号上来也可以通过证书的方式做用户认证,并且支持 CA服务器颁发的证书 或 自己生成的自签名证书
6, __Client 不仅可以拨号防火墙的外口公网IP地址建立隧道,也可以拨号一个动态域名建立隧道,
7, 站点之间的 支持Pre-Share KEY 的方式验证身份,也可以支持CA服务器颁发的证书 或 自己生成的自签名证书
8, 站点之间的 支持星型的互连
9, 站点之间的 支持NAT设备的穿越
10, 站点之间的 支持ADSL的动态地址的隧道的建立
11, 站点之间的 支持全开放的加密协议和生命周期的调试,IKE提议和IPSec的加密和传输方法都可以调试,可以和其他设备建立隧道
12, 全面支持PPTP,L2TP和GRE封装形式的技术
13,支持2个站点之间建立多台隧道,并且做到隧道之间的备份
Juniper, Cisco和NOKIA不支持站点之间的 支持ADSL的动态地址的隧道的建立
Cisco和NOKIA不支持2个站点之间建立多台隧道,并且做到隧道之间的备份
Cisco防火墙在国内销售的防火墙加密算法只支持DES,不支持3DES,主要是美国政府不允许,而且要收费,但是在欧洲销售的防火墙都支持DES和3DES,而且还免费
启动: systemctl start firewalld
添加:firewall-cmd --zone=public --add-port=3306/tcp --permanent (--permanent永久生效,没有此参数重启后失效)
重新载入:firewall-cmd --reload
扩展资料:
防火墙使用技巧
一、所有的防火墙文件规则必须更改。
尽管这种方法听起来很容易,但是由于防火墙没有内置的变动管理流程,因此文件更改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其他形式的业务中断做出更改,那么他撞到q口上的可能性就会比较大。但是如果这种更改抵消了之前的协议更改,会导致宕机吗?这是一个相当高发的状况。
防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础,因此团队的所有成员都必须达成共识,观察谁进行了何种更改。这样就能及时发现并修理故障,让整个协议管理更加简单和高效。
二、以最小的权限安装所有的访问规则。
另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的:即源(IP地址),目的地(网络/子网络)和服务(应用软件或者其他目的地)。
为了确保每个用户都有足够的端口来访问他们所需的系统,常用方法是在一个或者更多域内指定打来那个的目标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络,这些规则就会变得权限过度释放,因此就会增加不安全因素。
三、根据法规协议和更改需求来校验每项防火墙的更改。
在防火墙 *** 作中,日常工作都是以寻找问题,修正问题和安装新系统为中心的。在安装最新防火墙规则来解决问题,应用新产品和业务部门的过程中,我们经常会遗忘防火墙也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任何法规协议的内容和精神,而不仅是一篇法律条文。
四、当服务过期后从防火墙规则中删除无用的规则。
规则膨胀是防火墙经常会出现的安全问题,因为多数运作团队都没有删除规则的流程。业务部门擅长让你知道他们了解这些新规则,却从来不会让防火墙团队知道他们不再使用某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的开始。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。
五、每年至少对防火墙完整的审核两次。
如果你是名xyk活动频繁的商人,那么除非必须的话这项不是向你推荐的最佳实践方法,因为支付卡行业标准116规定至少每隔半年要对防火墙进行一次审核。
参考资料来源:百度百科--防火墙
你要问的是他的文档下载地址,还是软件包?>
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)