|
信息安全之防火墙评测:评测(1)
对于很多用户来说,安装和使用防火墙已经是摆到桌面上的问题了。但我们发现,多数用户对防火墙仍缺乏必要的了解。而相关的文章和专题或者过于学术化,与实际应用有一定距离,或者仅仅是围绕厂商的宣传材料,对用户缺乏指导意义。这些正是我们这次希望解决的问题,我们力求从用户的需求出发,提出和解决问题。经过对一些典型用户调查分析,我们提炼出用户的主要典型环境和典型需求,在《微电脑世界》评测实验室中创造出了一个有代表性的用户“典型平安软件公司”,通过介绍典型平安软件公司使用防火墙实施安全策略的过程,来帮助广大用户理解防火墙产品,用好防火墙产品。
---- 下面我们看看典型平安软件公司是如何来制定安全策略的。
---- 典型平安软件公司包括开发部、市场部、销售部、技术支持部和办公室,总体规模约为100人。典型平安软件公司使用了多种操作系统,包括Windows 2000 Professional、Windows 98和最新的Windows XP。通过DDN专线接入Internet,分配有一个真实IP。典型平安软件公司以往是通过简单的NAT系统实现Internet访问的,公司现决定安装代理/防火墙系统,满足如下三方面的需要。
---- 1. 禁止外部网络对公司内部网络的非法访问,保护公司信息安全
---- 具体包括:能够有效防止现有的各种网络攻击;对于系统新发现的安全问题,能够进行及时升级; 根据公司安全策略的变化,能够方便地对其进行调整和实施。
---- 2. 满足公司员工因公访问Internet的需要
---- 能够对Web访问进行缓存以节省网络带宽资源,能够支持所需各种协议的Internet访问。
---- 3.对员工访问Internet进行控制和审计
---- 控制部分:不允许员工通过防火墙对外部网络进行攻击; 不允许员工访问Internet上的色情及反动站点; 根据工作需要,员工可在特定时段访问特定服务。
---- 审计部分:公司领导及网络管理人员可定期察看每个员工、每个部门的Internet访问纪录及流量统计,对于员工通过Internet窃取公司机密信息或其他的非法行为,能够进行查证。
---- 对此,经过调查研究后,公司的安全策略设定如下。
---- 全体员工可在工作时间以Web方式访问Internet,对所有的访问都进行审计。除邮件服务器外,任何员工不得用任何机器提供Internet服务。特权小组可以不受限制地进行Internet访问,所有的访问都需进行审计。
| 
