Linux下的防火墙机制应用

ZDNet软件频道 时间:2009-11-05 作者: | 论坛整理 我要评论()
本文关键词:安全防范 系统安全 Linux
 总体说来,防火墙产品应该具有下述几点基本功能:防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许,否则就禁止”;防火墙本身应支持各种安全策略;可扩展性强,组织机构可以根据实际情况,变更安全策略
 总体说来,防火墙产品应该具有下述几点基本功能:防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许,否则就禁止”;防火墙本身应支持各种安全策略;可扩展性强,组织机构可以根据实际情况,变更安全策略,可以加入新的服务;有先进的认证手段或有挂钩程序,可以安装先进的认证方法;如果需要,可以运用过滤技术允许和禁止服务;可以使用FTP和telnet等服务代理,以便先进的认证手段可以被安装和运行在防火墙上;需要提供界面友好、易于编程实现的IP过滤规则语言,并可以根据数据包的性质进行基于TCP/IP的包过滤,数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等;能够维护自身软件的安全,即具有较好的存活性。

  在这几点当中,安全策略是防火墙的灵魂和基础。用户在使用防火墙保护关键业务系统之前需要从整体上在安全现状、风险评估和商业需求几个层次上提出一个完备的总体安全策略,这是配置和使用防火墙的关键所在。通常的安全策略可以基于如下两点制订(相对而言,后一方面限制性大,前一方面宽松):

  ● 准许除明确拒绝以外的全部访问——所有未被禁止的都是合法的;

  ● 拒绝访问除明确准许以外的全部访问——所有未被允许的都是非法的。


百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134