防火墻默認(rèn)設(shè)計(jì)策略（防火墻的默認(rèn)策略）

大家好！今天讓創(chuàng)意嶺的小編來大家介紹下關(guān)于防火墻默認(rèn)設(shè)計(jì)策略的問題，以下是小編對(duì)此問題的歸納整理，讓我們一起來看看吧。

開始之前先推薦一個(gè)非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對(duì)話答疑等等

只需要輸入關(guān)鍵詞，就能返回你想要的內(nèi)容，越精準(zhǔn)，寫出的就越詳細(xì)，有微信小程序端、在線網(wǎng)頁版、PC客戶端

官網(wǎng)：https://ai.de1919.com

本文目錄:

• 1、防火墻主要是用來防什么東東的？

• 2、復(fù)合型防火墻的安全策略

• 3、普通酒店硬件防火墻應(yīng)該做哪些策略？

• 4、請(qǐng)教大家一個(gè)問題：Cisco ASA防火墻的默認(rèn)拒絕所有的那條策略，該怎樣查看hitcount？

一、防火墻主要是用來防什么東東的？

分類: 電腦/網(wǎng)絡(luò) >> 反病毒

解析:

防火墻

1.什么是防火墻

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況， 以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Inter之間的任何活動(dòng)， 保證了內(nèi)部網(wǎng)絡(luò)的安全。

2.使用Firewall的益處

保護(hù)脆弱的服務(wù)

通過過濾不安全的服務(wù)，F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。例如， Firewall可以禁止NIS、NFS服務(wù)通過，F(xiàn)irewall同時(shí)可以拒絕源路由和ICMP重定向封包。

控制對(duì)系統(tǒng)的訪問

Firewall可以提供對(duì)系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī)，同時(shí)禁止訪問另外的主機(jī)。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

集中的安全管理

Firewall對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運(yùn)行于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)， 而無須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。Firewall可以定義不同的認(rèn)證方法， 而不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。

增強(qiáng)的保密性

使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Figer和DNS。

記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)

Firewall可以記錄和統(tǒng)計(jì)通過Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計(jì)數(shù)據(jù)， 來判斷可能的攻擊和探測(cè)。

策略執(zhí)行

Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時(shí)，網(wǎng)絡(luò)安全取決于每臺(tái)主機(jī)的用戶。

3.防火墻的種類

防火墻總體上分為包過濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類型。

數(shù) 據(jù) 包 過 濾

數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯， 被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、 協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡(jiǎn)單，價(jià)格便宜，易于安裝和使用， 網(wǎng)絡(luò)性能和透明性好，它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Inter連接必不可少的設(shè)備， 因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。

數(shù)據(jù)包過濾防火墻的缺點(diǎn)有二：一是非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊； 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。

應(yīng) 用 級(jí) 網(wǎng) 關(guān)

應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。 它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、 登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。

數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。 一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系， 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊。

代 理 服 務(wù)

代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)， 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的" 鏈接"， 由兩個(gè)終止代理服務(wù)器上的" 鏈接"來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器， 從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記， 形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。

4.設(shè)置防火墻的要素

網(wǎng)絡(luò)策略

影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級(jí)，高級(jí)的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)， 低級(jí)的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級(jí)策略中定義的服務(wù)。

服務(wù)訪問策略

服務(wù)訪問策略集中在Inter訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。 服務(wù)訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚挂阎木W(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶服務(wù)之間獲得平衡。 典型的服務(wù)訪問策略是：允許通過增強(qiáng)認(rèn)證的用戶在必要的情況下從Inter訪問某些內(nèi)部主機(jī)和服務(wù)； 允許內(nèi)部用戶訪問指定的Inter主機(jī)和服務(wù)。

防火墻設(shè)計(jì)策略

防火墻設(shè)計(jì)策略基于特定的Firewall，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計(jì)策略： 允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。第一種的特點(diǎn)是安全但不好用， 第二種是好用但不安全，通常采用第二種類型的設(shè)計(jì)策略。 而多數(shù)防火墻都在兩種之間采取折衷。

增強(qiáng)的認(rèn)證

許多在Inter上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機(jī)制。多年來，用戶被告知使用難于猜測(cè)和破譯口令， 雖然如此，攻擊者仍然在Inter上監(jiān)視傳輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機(jī)制形同虛設(shè)。增強(qiáng)的認(rèn)證機(jī)制包含智能卡， 認(rèn)證令牌，生理特征（指紋）以及基于軟件（RSA）等技術(shù)，來克服傳統(tǒng)口令的弱點(diǎn)。雖然存在多種認(rèn)證技術(shù)， 它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難被攻擊者重用的口令和密鑰。 目前許多流行的增強(qiáng)機(jī)制使用一次有效的口令和密鑰（如SmartCard和認(rèn)證令牌）。

5.防火墻在大型網(wǎng)絡(luò)系統(tǒng)中的部署

根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要，可以在如下位置部署防火墻：

局域網(wǎng)內(nèi)的VLAN之間控制信息流向時(shí)；

Intra與Inter之間連接時(shí)(企業(yè)單位與外網(wǎng)連接時(shí)的應(yīng)用網(wǎng)關(guān))；

在廣域網(wǎng)系統(tǒng)中，由于安全的需要，總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng)， （通過公網(wǎng)ChinaPac，ChinaDDN，F(xiàn)rame Relay等連接）在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時(shí)采用防火墻隔離， 并利用VPN構(gòu)成虛擬專網(wǎng)；

總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過Inter連接，需要各自安裝防火墻，并利用NetScreen的VPN組成虛擬專網(wǎng)；

在遠(yuǎn)程用戶撥號(hào)訪問時(shí)，加入虛擬專網(wǎng)；

ISP可利用NetScreen的負(fù)載平衡功能在公共訪問服務(wù)器和客戶端間加入防火墻進(jìn)行負(fù)載分擔(dān)、 存取控制、用戶認(rèn)證、流量控制、日志紀(jì)錄等功能；

兩網(wǎng)對(duì)接時(shí)，可利用NetScreen硬件防火墻作為網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)地址轉(zhuǎn)換(NAT)，地址映射（MAP）， 網(wǎng)絡(luò)隔離（DMZ）, 存取安全控制，消除傳統(tǒng)軟件防火墻的瓶頸問題。

6.防火墻在網(wǎng)絡(luò)系統(tǒng)中的作用

防火墻能有效地防止外來的入侵，它在網(wǎng)絡(luò)系統(tǒng)中的作用是：

控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包；

提供使用和流量的日志和審計(jì)；

隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)；

提供VPN功能。

二、復(fù)合型防火墻的安全策略

復(fù)合型防火墻安全策略以防火墻功能為基礎(chǔ)平臺(tái)，以其他的安全模塊為多層次應(yīng)用環(huán)境，構(gòu)筑一套完整的立體的網(wǎng)絡(luò)安全解決方案。包含防火墻、入侵檢測(cè)、安全評(píng)估、虛擬專用網(wǎng)4大功能模塊，具體如下：

1、內(nèi)核采用獨(dú)有的智能IP識(shí)別技術(shù)?？梢詫?duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效的訪問監(jiān)控，為網(wǎng)絡(luò)安全提供高效、穩(wěn)定的安全保護(hù)。

2、入侵檢測(cè)功能是網(wǎng)絡(luò)安全的第二道防線，它通過監(jiān)視網(wǎng)絡(luò)中的數(shù)據(jù)包來發(fā)現(xiàn)黑客的入侵企圖。復(fù)合型防火墻入侵檢測(cè)產(chǎn)品可以實(shí)現(xiàn)對(duì)20多類1000多種攻擊方式的鑒別。

3、安全評(píng)估功能模塊可以主動(dòng)地檢測(cè)內(nèi)部網(wǎng)絡(luò)，對(duì)主機(jī)信息、端口、各種漏洞、RPC遠(yuǎn)程過程調(diào)用和服務(wù)中可能存在的弱密碼進(jìn)行掃描，并生成分析報(bào)告，提供給用戶相應(yīng)的解決辦法。

4、虛擬專用網(wǎng)（VPN）功能使用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)，實(shí)現(xiàn)了在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。

復(fù)合型防火墻優(yōu)點(diǎn)

1、杰出的工作效率

復(fù)合型防火墻性能優(yōu)異，先進(jìn)的狀態(tài)檢測(cè)技術(shù)和獨(dú)特的智能IP識(shí)別技術(shù)保證了杰出的工作效率。網(wǎng)絡(luò)吞吐能力達(dá)到線速，支持高達(dá)100萬并發(fā)連接，在多次產(chǎn)品測(cè)評(píng)中性能領(lǐng)先。使用復(fù)合型防火墻可以保證網(wǎng)絡(luò)的實(shí)時(shí)暢通，不會(huì)像傳統(tǒng)防火墻一樣成為網(wǎng)絡(luò)瓶頸。

2、穩(wěn)定可靠

作為網(wǎng)絡(luò)關(guān)鍵設(shè)備，復(fù)合型防火墻對(duì)自身的穩(wěn)定性提出了嚴(yán)格的要求。復(fù)合型防火墻采用高度集成的工業(yè)級(jí)硬件設(shè)計(jì)，適應(yīng)各種復(fù)雜的環(huán)境條件。每臺(tái)防火墻出廠前均在獨(dú)有“網(wǎng)際颶風(fēng)”高壓力網(wǎng)絡(luò)環(huán)境中經(jīng)過100小時(shí)全負(fù)荷測(cè)試，確保產(chǎn)品萬無一失。

3、靈活適應(yīng)不同網(wǎng)絡(luò)環(huán)境

復(fù)合型防火墻通過引入交換模式、路由模式和全新推出的混合模式，可以根據(jù)用戶的網(wǎng)絡(luò)環(huán)境要求，靈活的將防火墻接入用戶網(wǎng)絡(luò)中。同時(shí)防火墻支持VLAN功能，支持多種網(wǎng)絡(luò)路由協(xié)議，能適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境。

以上內(nèi)容參考 百度百科-復(fù)合型防火墻

三、普通酒店硬件防火墻應(yīng)該做哪些策略？

　一般來說，硬件防火墻的例行檢查主要針對(duì)以下內(nèi)容：1.硬件防火墻的配置文件不管你在安裝硬件防火墻的時(shí)候考慮得有多么的全面和嚴(yán)密，一旦硬件防火墻投入到實(shí)際使用環(huán)境中，情況卻隨時(shí)都在發(fā)生改變。硬件防火墻的規(guī)則總會(huì)不斷地變化和調(diào)整著，配置參數(shù)也會(huì)時(shí)常有所改變。作為網(wǎng)絡(luò)安全管理人員，最好能夠編寫一套修改防火墻配置和規(guī)則的安全策略，并嚴(yán)格實(shí)施。所涉及的硬件防火墻配置，最好能詳細(xì)到類似哪些流量被允許，哪些服務(wù)要用到代理這樣的細(xì)節(jié)。

在安全策略中，要寫明修改硬件防火墻配置的步驟，如哪些授權(quán)需要修改、誰能進(jìn)行這樣的修改、什么時(shí)候才能進(jìn)行修改、如何記錄這些修改等。安全策略還應(yīng)該寫明責(zé)任的劃分，如某人具體做修改，另一人負(fù)責(zé)記錄，第三個(gè)人來檢查和測(cè)試修改后的設(shè)置是否正確。詳盡的安全策略應(yīng)該保證硬件防火墻配置的修改工作程序化，并能盡量避免因修改配置所造成的錯(cuò)誤和安全漏洞。

2.硬件防火墻的磁盤使用情況如果在硬件防火墻上保留日志記錄，那么檢查硬件防火墻的磁盤使用情況是一件很重要的事情。如果不保留日志記錄，那么檢查硬件防火墻的磁盤使用情況就變得更加重要了。保留日志記錄的情況下，磁盤占用量的異常增長(zhǎng)很可能表明日志清除過程存在問題，這種情況相對(duì)來說還好處理一些。在不保留日志的情況下，如果磁盤占用量異常增長(zhǎng)，則說明硬件防火墻有可能是被人安裝了Rootkit工具，已經(jīng)被人攻破。

因此，網(wǎng)絡(luò)安全管理人員首先需要了解在正常情況下，防火墻的磁盤占用情況，并以此為依據(jù)，設(shè)定一個(gè)檢查基線。硬件防火墻的磁盤占用量一旦超過這個(gè)基線，就意味著系統(tǒng)遇到了安全或其他方面的問題，需要進(jìn)一步的檢查。

3.硬件防火墻的CPU負(fù)載和磁盤使用情況類似，CPU負(fù)載也是判斷硬件防火墻系統(tǒng)運(yùn)行是否正常的一個(gè)重要指標(biāo)。作為安全管理人員，必須了解硬件防火墻系統(tǒng)CPU負(fù)載的正常值是多少，過低的負(fù)載值不一定表示一切正常，但出現(xiàn)過高的負(fù)載值則說明防火墻系統(tǒng)肯定出現(xiàn)問題了。過高的CPU負(fù)載很可能是硬件防火墻遭到DoS攻擊或外部網(wǎng)絡(luò)連接斷開等問題造成的。

4.硬件防火墻系統(tǒng)的精靈程序每臺(tái)防火墻在正常運(yùn)行的情況下，都有一組精靈程序（Daemon），比如名字服務(wù)程序、系統(tǒng)日志程序、網(wǎng)絡(luò)分發(fā)程序或認(rèn)證程序等。在例行檢查中必須檢查這些程序是不是都在運(yùn)行，如果發(fā)現(xiàn)某些精靈程序沒有運(yùn)行，則需要進(jìn)一步檢查是什么原因?qū)е逻@些精靈程序不運(yùn)行，還有哪些精靈程序還在運(yùn)行中。

5.系統(tǒng)文件關(guān)鍵的系統(tǒng)文件的改變不外乎三種情況：管理人員有目的、有計(jì)劃地進(jìn)行的修改，比如計(jì)劃中的系統(tǒng)升級(jí)所造成的修改；管理人員偶爾對(duì)系統(tǒng)文件進(jìn)行的修改；攻擊者對(duì)文件的修改。

經(jīng)常性地檢查系統(tǒng)文件，并查對(duì)系統(tǒng)文件修改記錄，可及時(shí)發(fā)現(xiàn)防火墻所遭到的攻擊。此外，還應(yīng)該強(qiáng)調(diào)一下，最好在硬件防火墻配置策略的修改中，包含對(duì)系統(tǒng)文件修改的記錄。

6.異常日志硬件防火墻日志記錄了所有允許或拒絕的通信的信息，是主要的硬件防火墻運(yùn)行狀況的信息來源。由于該日志的數(shù)據(jù)量龐大，所以，檢查異常日志通常應(yīng)該是一個(gè)自動(dòng)進(jìn)行的過程。當(dāng)然，什么樣的事件是異常事件，得由管理員來確定，只有管理員定義了異常事件并進(jìn)行記錄，硬件防火墻才會(huì)保留相應(yīng)的日志備查。

上述6個(gè)方面的例行檢查也許并不能立刻檢查到硬件防火墻可能遇到的所有問題和隱患，但持之以恒地檢查對(duì)硬件防火墻穩(wěn)定可靠地運(yùn)行是非常重要的。如果有必要，管理員還可以用數(shù)據(jù)包掃描程序來確認(rèn)硬件防火墻配置的正確與否，甚至可以更進(jìn)一步地采用漏洞掃描程序來進(jìn)行模擬攻擊，以考核硬件防火墻的能力。

四、請(qǐng)教大家一個(gè)問題：Cisco ASA防火墻的默認(rèn)拒絕所有的那條策略，該怎樣查看hitcount？

默認(rèn)策略是deny any any，沒有命令來顯示。

以上就是關(guān)于防火墻默認(rèn)設(shè)計(jì)策略相關(guān)問題的回答。希望能幫到你，如有更多相關(guān)問題，您也可以聯(lián)系我們的客服進(jìn)行咨詢，客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。

推薦閱讀：

防火墻有哪兩部分組成（防火墻有哪兩部分組成和功能）

防火墻策略（防火墻策略是什么意思）

防火墻的默認(rèn)策略是什么（防火墻默認(rèn)規(guī)則有哪兩種選擇）

競(jìng)品數(shù)據(jù)（競(jìng)品數(shù)據(jù)分析）

居住區(qū)景觀設(shè)計(jì)說明（居住區(qū)景觀設(shè)計(jì)說明范文）