什么是防火墙设计?
什么是防火墙设计?
防火墙设计包括企业的整体安全策略决策,例如要使用的防火墙功能、实施防火墙的位置,以及最终如何配置防火墙。
防火墙设计的工作原理是什么?
设计防火墙时遵循的 5 个连续步骤包括:
- 确定组织的安全需求。评估安全需求,评估安全状况,并使用该信息定义安全需求。
- 定义整体安全策略。定义明确的安全策略包括网络资源、访问策略和授权控制,并确保防火墙满足所有安全需求。
- 定义防火墙理念。确定需要防御组织外部威胁和内部攻击的资源、应用和服务后,定义和配置防火墙就更容易。
- 确定允许使用的通信。定义可接受的使用策略,用于指定网络活动类型,例如在 LAN 和互联网 Web 服务上允许和拒绝的应用。
- 确定防火墙实施点。确定实施点对防火墙设计十分重要。防火墙通常部署在专用 LAN 与公共网络(例如,互联网)之间的边缘。
作为保护措施,可以创建网络流量基准配置文件,用于确定网络的正常流量模式。设定基准便于衡量异常行为,然后设置阈值来防止攻击。
防火墙设计解决的问题
防火墙技术已经从数据包过滤防火墙演进为新一代防火墙。新出现的服务和解决方案可解决网络环境的复杂性,保护资源并阻止网络攻击者尝试突破防火墙以达到不可告人的目的。为网络部署一个有效的防火墙,牵涉到的不仅仅是配置工作。最佳做法是创建安全策略,增强防火墙设计和配置过程,以及部署满足网络安全要求的防火墙。
防火墙设计有何作用?
建议的最佳做法就是描述网络特性,记录安全状况并确定组织在安全方面的立场。
- 确定网络资源和安全要求。
- 确定已知威胁和应对攻击的方式。
- 文档操作系统、版本和应用。
- 定义组织在允许的通信方面的工作流程、基于员工角色的访问权限以及用户要求。
- 确定防火墙实施点:部署防火墙是为了保护边缘(面向互联网)、核心(面向企业)还是 DMZ(堡垒的第一道防线)
- 防火墙设计讲求简单性。
作为保护措施,可以创建网络流量基准配置文件,用于确定网络的正常流量模式。设定基准便于衡量异常行为,然后设置阈值来防止攻击。
瞻博网络实施
瞻博网络 SRX 系列设备实现了防火墙安全服务以及至简设计和部署,包括根据特定职能需求创建相应的区域,从而将用户组与服务器分离,基于用户组的子网将用户组分配给区域,并为组织设计策略。
