在一個(gè)具體網(wǎng)絡(luò)中�,防火墻應(yīng)該是全局安全策略的一部分,構(gòu)建防火墻時(shí)首先要考慮其保護(hù)的范圍�,對(duì)于一個(gè)企業(yè)網(wǎng)來(lái)說(shuō)��,安全策略應(yīng)該在細(xì)致的安全分析��,全面的風(fēng)險(xiǎn)假設(shè)和商務(wù)需求分析基礎(chǔ)上制定��。
構(gòu)建防火墻和加強(qiáng)網(wǎng)絡(luò)安全應(yīng)遵循以下幾個(gè)方面的基本策略����。
1.小的特權(quán)原則
這是設(shè)計(jì)網(wǎng)絡(luò)安全產(chǎn)品根本的安全原則,所謂小特權(quán)是指任意對(duì)象應(yīng)該且僅應(yīng)該具有這對(duì)象完成指定任務(wù)所需要的特權(quán)�,這樣既可以盡量避免網(wǎng)絡(luò)受到侵襲以及減少侵襲造成的損失,又便于審計(jì)跟蹤�,定位責(zé)任。
2.縱深防御原則
要構(gòu)建安全的網(wǎng)絡(luò)不能只領(lǐng)先單一的安全機(jī)制�����,而應(yīng)該盡量建立多層機(jī)制�����,互相支持以達(dá)到比較滿意的效果���,防火墻的作用不可忽視�,但不能把防火墻作為Internet安全問(wèn)題的唯一解決方法���,通過(guò)建立多層機(jī)制能夠互相供備份和冗余�,例如網(wǎng)絡(luò)安全���,主機(jī)安全和人員安全�。
3.阻塞點(diǎn)原則
在Internet安全系統(tǒng)中,位于局域網(wǎng)和Internet之間的防火墻是一個(gè)阻塞點(diǎn)���,它強(qiáng)迫侵襲者通過(guò)一個(gè)受到監(jiān)控的小通道,任何一個(gè)Internet上的侵襲者都必須通過(guò)這個(gè)防御侵襲的通道����,作為管理員應(yīng)該仔細(xì)監(jiān)視這條通道,并在發(fā)現(xiàn)侵襲時(shí)及時(shí)做出響應(yīng)����。
4.薄弱環(huán)節(jié)原則
系統(tǒng)中薄弱的環(huán)節(jié)決定了防火墻的強(qiáng)度,因此在構(gòu)建防火墻時(shí)應(yīng)盡量消除系統(tǒng)中的薄弱環(huán)節(jié)�,例如口令保護(hù),加密通道��,角色劃分等�����,如果是消除不掉的薄弱環(huán)節(jié)則應(yīng)嚴(yán)加防范�����。
5.失效保護(hù)狀態(tài)
防火墻系統(tǒng)應(yīng)明確當(dāng)系統(tǒng)崩潰時(shí)所采取的保護(hù)措施能夠保證系統(tǒng)的安全,也就是說(shuō)如果系統(tǒng)運(yùn)行錯(cuò)誤����,則應(yīng)該拒絕用戶訪問(wèn)。
6.簡(jiǎn)單化原則
簡(jiǎn)單化也是一種安全保護(hù)策略�����,因?yàn)樵骄霸揭子诶斫?�,而?fù)雜化必然會(huì)存在隱藏的角落����,且復(fù)雜的程序會(huì)存在更多的小毛病,任何小毛病都有可能引發(fā)安全問(wèn)題����。
