局域网防火墙及预防病毒策略 关键词:网络安全设计容错 1、网络安全和防火墙 除了关注全球互联网对用户单位业务的积极影响之外,同时也要充分考虑到将因特网作为用户单位内部计算机网络延伸后的安全问题,若没有合适的防火墙解决方案,系统就会成为网络黑客们的众矢之的,所以恶意闯入来自四面八方,并进行某些恶意行为,例如:信息偷窃,甚至故意破坏。除了日趋严重的外部威胁以外,单位内部对系统安全构成危害的行为也在不断增加,许多系统侵入者都非常隐蔽,给网络系统安全造成潜在的很大损害,而当其所造成的危害被发现时往往已为时过晚。 网络安全的主要技术是防火墙技术,防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。目前其实现方式有两种,即基于包过滤的防火墙和基于代理的防火墙。包过滤型防火墙处在网络层,根据 IP 包的包头信息来对信息的访问进行控制,而 IP 包的包头主要包括以下信息:IP 包的源地址、目的地址、包类型、端口号,因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙,也叫应用层防火墙,处于应用层,可对 IP 地址和发生在该 IP 地址上的具体应用进行控制,由于它能识别应用协议,因此可对应用的整个过程进行控制,比如在应用建立时的密码验证、在FIP 应用中允许某站点 get 而不允许 put 等等。这两种防火墙各有优缺点,包过滤型防火墙由于基于网络层,因此对用户来说比较透明,但它一般采纳“没被禁止的就是允许的”这一策略,在它失效时,网络是畅通的,这时内部网络将失去安全的屏障,而应用层防火墙采纳“没被允许的就是禁止的”这一策略,在它失效时,内部网络与外部网络是隔离的,因此应用层防火墙要比包过滤型防火墙安全。 大多数路由器均支持包过滤功能,比如在 Cisco 路由器上可以通过设置称为access-list 的过滤规则来实现包过滤功能:禁止外部网络对内部网络的某些重要机器的访问,禁止内部网络主机对 Internet 上部分站点的访问;并可利用端口号来选择控制的应用协议,比如 TELNET 的端口号为23、FTP 的端口号为 21、WWW 的端口号为 80等,这样就可以设置一些较复杂的规则,比如可以允许某台机器对 Internet 具有Email 访问功能,却不能利用 WWW 和 FIP 等。 2、网络容错 计算机网络系统是整个业务运行的平台,服务器是整个网络运行的心脏,它能否可靠运行直接影响到日常业务的运作。 在主服务器发生故障的情...
