在一個具體網(wǎng)絡中,防火墻應該是全局安全策略的一部分,構(gòu)建防火墻時首先要考慮其保護的范圍���,對于一個企業(yè)網(wǎng)來說�,安全策略應該在細致的安全分析�����,全面的風險假設和商務需求分析基礎(chǔ)上制定�����。
構(gòu)建防火墻和加強網(wǎng)絡安全應遵循以下幾個方面的基本策略�����。
1.小的特權(quán)原則
這是設計網(wǎng)絡安全產(chǎn)品根本的安全原則��,所謂小特權(quán)是指任意對象應該且僅應該具有這對象完成指定任務所需要的特權(quán)�����,這樣既可以盡量避免網(wǎng)絡受到侵襲以及減少侵襲造成的損失,又便于審計跟蹤�����,定位責任���。
2.縱深防御原則
要構(gòu)建安全的網(wǎng)絡不能只領(lǐng)先單一的安全機制�,而應該盡量建立多層機制����,互相支持以達到比較滿意的效果,防火墻的作用不可忽視���,但不能把防火墻作為Internet安全問題的唯一解決方法�,通過建立多層機制能夠互相供備份和冗余�,例如網(wǎng)絡安全,主機安全和人員安全��。
3.阻塞點原則
在Internet安全系統(tǒng)中��,位于局域網(wǎng)和Internet之間的防火墻是一個阻塞點,它強迫侵襲者通過一個受到監(jiān)控的小通道�,任何一個Internet上的侵襲者都必須通過這個防御侵襲的通道,作為管理員應該仔細監(jiān)視這條通道�,并在發(fā)現(xiàn)侵襲時及時做出響應。
4.薄弱環(huán)節(jié)原則
系統(tǒng)中薄弱的環(huán)節(jié)決定了防火墻的強度�,因此在構(gòu)建防火墻時應盡量消除系統(tǒng)中的薄弱環(huán)節(jié)���,例如口令保護�����,加密通道����,角色劃分等����,如果是消除不掉的薄弱環(huán)節(jié)則應嚴加防范。
5.失效保護狀態(tài)
防火墻系統(tǒng)應明確當系統(tǒng)崩潰時所采取的保護措施能夠保證系統(tǒng)的安全�����,也就是說如果系統(tǒng)運行錯誤�����,則應該拒絕用戶訪問。
6.簡單化原則
簡單化也是一種安全保護策略��,因為越景越易于理解���,而復雜化必然會存在隱藏的角落���,且復雜的程序會存在更多的小毛病,任何小毛病都有可能引發(fā)安全問題���。
