防火墙设备可以满足《网络安全等级保护基本要求》中安全区域边界对边界防护和访问控制的相关测评项的要求。对于等级保护第二级以上的网络,是必备设备。所以在网络设计阶段,应当充分考虑满足等级保护相关要求,而防火墙是必须考虑中的一类设备。具体防火墙的选型与配套,需要根据业务的要求进行选购。
使用代理服务器
代理服务器通常与防火墙一起使用,以隐藏内部网络的 IP 地址并向外界提供单个 IP 地址(其自己的)。代理服务器是位于客户端应用程序(例如 Web 浏览器)和真实服务器之间的服务器。代理服务器可防止黑客查看内部计算机的 IP 地址、了解代理服务器后面有多少台计算机或了解有关网络配置的任何信息。代理服务器还提供了有价值的控制机制,因为大多数代理服务器都会记录所有传出流量。这使得网络管理员能够查看员工在 Internet 上的访问情况。代理服务器通常作为软件在与防火墙相同的计算机上运行。
代理服务器配置为重定向某些流量。例如,使用 HTTP 协议的传入流量通常允许通过代理服务器,但会被重定向到 Web 服务器。这意味着所有传出和传入 HTTP 流量首先经过代理服务器。可以配置代理服务器来重定向您想要的任何流量。如果网络上有电子邮件服务器或 FTP 服务器,则该网络的所有传入和传出流量都将通过代理服务器运行。
使用代理服务器意味着当网络内的机器访问网站时,网站只会检测到代理服务器访问了它。事实上,如果网络上有数十台不同的计算机访问记录传入连接 IP 地址的站点,它们都将使用相同的 IP 地址(代理服务器的 IP 地址)进行记录。大多数情况下,这种代理服务器已被网络地址转换所取代,我们将在下一节中进行研究。然而,术语“代理服务器”仍在使用,但应用程序不同。现在,代理服务器与防火墙一起过滤网页内容等内容。它们允许网络管理员阻止某些网站并记录给定用户访问的所有网站。
这种网络隐藏是一项非常有价值的服务,因为内部 IP 地址的知识可用于执行某些形式的攻击。例如,IP 欺骗取决于是否知道某些内部服务器的 IP 地址。隐藏这些 IP 地址是网络安全的重要一步。了解员工在互联网上去了哪里也非常有用。代理服务器会跟踪此类信息,许多网络管理员使用此信息来限制员工将公司互联网连接用于非法目的。这也可以成为阻止攻击的有用工具。访问黑客网站的员工可能存在潜在的安全风险。他们可能会选择尝试一些他们在网络上读到的技术。管理员还可以检测潜在的工业间谍活动。
WinGate 代理服务器
有多种代理服务器解决方案可供使用。有些是商业产品,有些是开源产品。为了帮助您更好地了解代理服务器,我们将研究一款这样的产品。WinGate 是一款价格低廉的商业产品。该产品具有代理服务器的所有标准功能,包括:
·互联网连接共享
·隐藏内部IP地址
·允许病毒扫描
免费下载选项使其成为学生的理想选择。您可以使用 30 天试用版来了解代理服务器的工作原理,而无需支付任何费用。安装程序很简单,并且该产品具有易于使用的图形用户界面。
当然,您还可以找到其他代理服务器解决方案,其中许多都相当不错。之所以显示这个,是因为它是:
WinGate 在课堂之外也是一个很好的解决方案。过滤某些网站的能力对许多公司来说相当有吸引力。公司减少系统资源滥用的一种方法是阻止他们不希望员工使用的网站。扫描病毒的能力在任何情况下都很有价值。
网络地址转换
为了连接到外部世界,您将需要网络地址转换(NAT)。首先,NAT 转换内部地址和外部地址,以允许网络计算机和外部计算机之间进行通信。外部只能看到运行 NAT 的机器(通常是防火墙)的地址。从这个角度来看,它的功能与代理服务器完全相同。
NAT 还提供了重要的安全性,因为默认情况下,它只允许源自内部网络的连接。这意味着网络内部的计算机可以连接到外部 Web 服务器,但外部计算机无法连接到网络内部的 Web 服务器。您可以通过入站映射将某些众所周知的 TCP 端口(HTTP 为 80,FTP 为 21 等)映射到特定的内部地址,从而使 FTP 或网站等服务可供外部使用。外面的世界。然而,这种入站映射必须显式完成;默认情况下它不存在。
正如您将在后续章节中看到的,NAT 经常作为其他产品(例如防火墙)的一部分提供。与代理服务器不同,它不太可能作为独立产品被发现。然而,后期将介绍几种包含网络地址转换功能的防火墙解决方案。
概括
任何网络在网络和外部世界之间都拥有防火墙和 NAT 是绝对重要的。有多种防火墙类型和实施方式需要考虑。有些易于实施且价格低廉。其他的可能更加资源密集、难以配置或者更加昂贵。组织应使用其情况允许的最安全的防火墙。对于某些防火墙,特定于供应商的培训可能对于正确配置防火墙至关重要。配置不当的防火墙可能与根本没有防火墙一样带来安全隐患。
我们研究了各种类型的防火墙(数据包筛选、应用程序网关、电路级网关和状态数据包检查)以及实现(基于网络主机、基于路由器、双宿主和筛选)。了解防火墙的工作原理对于选择适合网络安全需求的解决方案至关重要。
防火墙,在落实网络安全等级保护工作时,是一种非常有必要的安全设备。当时仅有设备是不够的,需要科学合理的进行网络安全策略配置,使之能够真实发挥其安全作用。所以,在落实网络安全等级保护“三同步”的方法论时,同步设计过程中,需要充分进行需求分析,形成安全设计方案、详细审计方案,最终指导安全建设工作,通观的考虑网络安全工作,最终为等级保护测评取得好成绩奠定基础。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:代理服务器及概况总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论