|
信息安全之防火墙评测:评测(2) ---- 由于产品开发的需要,开发部可以访问公司的Internet网站机器的22和180端口,全体员工不得以除Web外的任何形式访问Internet,各部门经理访问Internet不受时间限制。
---- 我们不难看出,各规则之间似乎有很多自相矛盾的地方,事实上,因为安全策略是自上而下逐条匹配的,一旦对于某条规则匹配了,则不需要继续向下匹配,因此,每一条规则都有隐含的前提条件,即所有前面规则已规定的情况例外。也正因为如此,我们需要把允许的规则放在前面,而把拒绝的规则放在后面,从而保证被允许的各种连接顺利通过。多数防火墙都把一条默认的策略放在最后,即拒绝任何访问,这样可以保证不会因为安全策略不严密而产生漏洞。如果用户不能确定防火墙产品是否提供了这条默认规则,也不妨本着安全第一的原则自行增加,调整后的安全策略如下。
---- 特权小组可以不受限制地进行Internet访问,对所有的访问都进行审计; 各部门经理访问Internet不受时间限制,全体员工可在工作时间以Web方式访问Internet,对所有的访问都需进行审计; 由于产品开发的需要,开发部可以访问公司的Internet网站机器的22和180端口,除邮件服务器外,任何员工不得用任何机器提供Internet服务; 全体员工不得以除Web外的任何形式访问Internet。
---- 这些安全策略实际上经过了极大的简化,但是已经能够代表当今企业对于防火墙产品的典型需求,确切地说,这些仅仅是“使用技术手段中的防火墙可以确保实施的安全策略”,从下面的防火墙设置中我们可以看到,每一条规定最终会落实到防火墙的一条或多条设置,作为公司决策层,在制定安全策略时完全可以以“禁止员工进行任何与工作无关的网络访问”,而该规则的具体实施,则可以通过防火墙折衷,或者进行分级权限设置,允许部门主管察看下级员工的访问纪录,需要指出的是,过于严格的审计可能会侵犯员工隐私权,故而企业在制定安全策略时还需要参照国家有关法律规定。
---- 可以说,防火墙的作用就是作为一种技术手段,辅助企业安全策略的实施。我们在《微电脑世界》评测实验室中搭建了典型平安软件公司的网络环境,分别使用3款产品进行了实验,来实施典型平安软件公司的安全策略,在使用过程中考察3款产品满足上述应用的能力以及产品功能配置和使用方便性,我们对产品的考察结果见3款产品的点评中。
---- 我们是在这样的网络环境中进行相关测试的:防火墙平台为联想万全2450机架式服务器,配置2块Intel Pro100+ Management网卡,Intel Pentium Ⅲ 850 CPU,512MB SDRAM,硬盘存储系统为2块10000r/min 18GB SCSI硬盘组成RAID 0,系统安装了Windows 2000 Advanced Server+SP2和Turbo Linux Server 6.5。内网中安装了Windows 2000域,包括域控制器、DHCP服务器、DNS服务器。设定域为lab。防火墙的内外网络接口分别连接内外网交换机,外网直接连接Internet。内网中包括30台PC,安装了Windows 2000专业版、Windows XP专业版以及Windows 98第二版。
|
