|
防火墙还有能力控制对网点系统的访问。例如,某些主系统可以由外部网络访问,而其他主系统则能有效地封闭起来,防止非法访问。除了邮件服务器或信息服务器等特殊情况外,网点可以防止外部对其主系统的访问。其他的访问政策也都可以通过防火墙程序的设计加以执行。
3.集中安全性
对一个机构来说,防火墙实际上可能并不昂贵,因为所有的或大多数经过修改的软件和附加的安全性软件都放在防火墙系统上,而不是分散在很多主系统上。尤其是一次性口令系统和其他附加验证软件都可以放在防火墙上,而不是放在每个需要从Internet访问的系统上。
其他的网络安全性解决方案,如Kerberos(NIST94C)要对每个主系统进行修改。尽管Kerberos和其他技术有许多优点值得考虑,而且在某些情况下比防火墙适实用,但是防火墙往往更便于实施,因为只有防火墙需要运行专门的软件。
4.增强的保密
保密对某些网点是非常重要的,因为一般被认为无关大局的信息实际上常含有对攻击者有用的线索。使用防火墙后,某些网点希望封锁某些服务,如Finger和域名服务。Finger显示有关用户的信息,如最后注册时间、邮件有没有被访问等等。但是,Finger也可能把有关用户的信息泄露给攻击者,所以,防火墙系统不可缺少。
防火墙还可以用来封锁有关网点系统DNS信息。因此,网点系统名字和IP地址都不必提供给Internet主系统。有些网点认为,通过封锁这种信息,它们正在把对攻击者有用的信息隐藏起来。
5.有关网络使用、滥用的记录和统计
如果对Internet的往返访问都通过防火墙,那么,防火墙可以记录各次访问,并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响警报,则还可以提供防火墙和网络是否受到试探或攻击的细节,并确定防火墙上的控制措施是否得当。网络使用率统计数字之所以重要,还因为它可作为网络需求研究和风险分析的依据。
三、防火墙存在的问题
尽管防火墙方案有上述这些优点,但它不一定是Internet安全性问题的灵丹妙药,因为其本身也存在许多缺点,而且有很多事情是防火墙所不能防护的。
1.限制利用合乎需要的服务
防火墙最明显的缺点是它可能封锁用户所需的某些服务,如TELNET、FTP、XWindows、NFS等。但这一缺点并不是防火墙所独有的。对主系统的多级限制也会产生这个问题。一个能使安全性要求同用户需要保持平衡的、规划得当的安全性政策可以大大有助于缓解与减少利用服务有关的问题。
2.后门访问的广泛可能性
防火墙不能防护从后门进入网点。例如,如果对调制解调器不加限制,仍然许可访问由防火墙保护的网点,那么,攻击者可以有效地跳过防火墙。调制解调器的速度现在快到足以使SLIP(串行线IP)和PPP(点对点协议)切实可行。在受保护子网内SLIP和PPP连接在本质上是另一个网络连接点和潜在的后门。如果允许调制解调器从后门访问,那么,前门的防火墙又有什么用呢?
3.几乎不能防护内部人员的攻击
虽然防火墙可以用来防护局外人获取灵敏的数据,但它不能防止内部人员将数据拷贝到磁带上,并把数据带出设施。因此,认为有了防火墙就可以防护内部人员的攻击是错误的。如果忽略其他窃取数据或攻击系统的手段,把大量资源存放在防火墙上也是不明智的。 |
|
|
|
栏目分类
