特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>防火墻知識>

防火墻的評測和管理

時(shí)間: 若木632 分享

  導(dǎo)語:以下是學(xué)習(xí)啦OMG小編為大家整理的勞動(dòng)法規(guī)的知識,希望你喜歡閱讀:

  防火墻測評——買

  第一條:不要誤信含糊實(shí)驗(yàn)條件的驚人數(shù)字

  親閱過無數(shù)防火墻產(chǎn)品廣告,一個(gè)個(gè)白紙黑字標(biāo)稱的4G吞吐量讓人炫目,但如果把“64字節(jié)小包”、“線速”、“堅(jiān)持幾分鐘”之類字眼拋出來,銷售人員就會(huì)對吞吐量自己先變的吞吞吐吐起來。所以不能輕信廠商提供的各項(xiàng)數(shù)據(jù),必須拿標(biāo)準(zhǔn)實(shí)驗(yàn)條件的測試結(jié)果來比對,或者重新搭建環(huán)境親自來測試。

  第二條:不要喜歡在數(shù)字,而不考慮可管理性

  測評中,用戶往往過多地關(guān)注性能數(shù)字,但對于實(shí)際的網(wǎng)絡(luò)安全管理來講,兩種產(chǎn)品間2%的差異、5%的差異就算10%的差異,真的能帶來本質(zhì)的區(qū)別么?一臺防火墻配置界面操作是否方便?有否完備的日志管理功能?本墻能否存儲(chǔ)日志?有無月度CPU、內(nèi)存統(tǒng)計(jì)功能?可否方便查詢已配策略……比起性能數(shù)字來,測評這些看似不切主題,但這種問題可是“誰用誰知道”!

  第三條:不要關(guān)注花哨功能,卻不了解性能的隱憂

  這年頭的防火墻,功能都是多多的,訪問控制、防病毒、入侵檢測/防御、,叫功能異構(gòu)也好,叫統(tǒng)一威脅管理也好,像個(gè)雜貨鋪一樣。說這些功能“花哨”,是因?yàn)樗鼈儐?dòng)起來,對硬件資源性能的吞噬能力超乎人的想象。所以,擬定測評方案時(shí)就輕易不要把這些列在功能項(xiàng)里了吧?

  第四條:不要不科學(xué)看待高性能硬件架構(gòu)

  硬件防火墻的性能高下離不開硬件架構(gòu)種類。所謂高性能硬件架構(gòu),是對應(yīng)于X86的傳統(tǒng)工控機(jī)架構(gòu)而言的,常見的有NP、ASIC等。對于高性能硬件架構(gòu),我們既不能不關(guān)注,也不能迷信。但關(guān)注的同時(shí),又不能過分推崇“NP”“ASIC”,因?yàn)?,最?qiáng)的不一定是最好的和最適合你的。

  第五條:不要不結(jié)合自己網(wǎng)絡(luò)特點(diǎn)考慮,不結(jié)合自己的安全戰(zhàn)略考慮

  脫離了用戶自身的網(wǎng)絡(luò)環(huán)境特點(diǎn)來測試防火墻是很不科學(xué)的,不基于自己安全戰(zhàn)略設(shè)計(jì)防火墻測試指標(biāo),更是背離了產(chǎn)品應(yīng)用的初衷。網(wǎng)絡(luò)特點(diǎn)告訴用戶自己的網(wǎng)里在跑什么樣的包,構(gòu)成成分、多大、什么協(xié)議。安全戰(zhàn)略告訴用戶防火墻買了是為了做什么,要怎么部、怎么配、怎么管。我們要為了“部”、“配”、“管”而“選”而“測”。

  第六條:不要不警惕測試中的作弊行為

  產(chǎn)品銷售與購買屬于商業(yè)行為,商業(yè)就不得不提防欺騙,在測試中則是要警惕作弊行為。假設(shè)極個(gè)別廠商制作了專門用來測試的高性能“競爭測試版”產(chǎn)品唬人,假設(shè)極個(gè)別廠商在設(shè)備內(nèi)作一些手腳(如用網(wǎng)線直接連通),那么整個(gè)測試結(jié)果就會(huì)對其他誠信的廠商很不公平。

  防火墻管理——用

  第七條:不能對防火墻期望過高

  防火墻,顧名思義,是旨在防范威脅之“火”的墻。不幸的是,這只是一廂情愿,管理員在防火墻上合理合法地為Web服務(wù)開一個(gè)80端口,黑客就可以利用軟件漏洞來個(gè)SQL注入或者跨站攻擊??陀^地講,沒有防火墻是萬萬不能的,但有了防火墻不是萬能的。

  而用戶們常常認(rèn)識不到這點(diǎn),要么以為邊界上部署了防火墻就可以高枕無憂,要么把安全責(zé)任一股腦推到網(wǎng)管或防火墻管理員頭上,要么凡是想重點(diǎn)保護(hù)什么信息資產(chǎn)就一定用防火墻把它罩起來……這樣過高期望防火墻功效,會(huì)讓整個(gè)信息系統(tǒng)疏于防范,建設(shè)投入不當(dāng),最終導(dǎo)致信息系統(tǒng)在高風(fēng)險(xiǎn)層面運(yùn)轉(zhuǎn)——說它為“傻”并不為過。

  科學(xué)的做法是,對防火墻保持正確清醒的認(rèn)識,理解它是網(wǎng)絡(luò)層通信行為控制的有力武器,能為訪問控制提供強(qiáng)有力的支撐,但它在安全方面的作用也只限于此,安全世界里有更多更重要的工作要留給其他安全技術(shù)實(shí)現(xiàn),不要對防火墻有不切實(shí)際的期望。

  第八條:不能對防火墻未以重任

  把防火墻定位為“網(wǎng)絡(luò)層通信行為控制的有力武器”,有的讀者會(huì)說這種觀念太陳舊,認(rèn)為現(xiàn)在應(yīng)用層防火墻遍地都是,為什么要忽視防火墻的應(yīng)用層控制能力?這就正應(yīng)了防火墻管理的第二傻,給防火墻分配了與其能力不相當(dāng)?shù)闹厝巍?/p>

  我們固然可以在防火墻上開啟反病毒、入侵檢測、抗DoS攻擊等諸多其實(shí)連廠家都不真心推薦的功能,但這樣的后果就是產(chǎn)品性能大受損耗,防火墻的CPU和內(nèi)存在高風(fēng)險(xiǎn)位運(yùn)轉(zhuǎn),甚至幫助入侵者實(shí)現(xiàn)他們夢寐以求的“拒絕服務(wù)”。

  這么做確實(shí)很傻,有不少用戶寄希望于外國的名墻、好墻能實(shí)現(xiàn)一墻多能,或者寄希望于ASIC把防火墻變得多才多藝,或者寄希望于小企業(yè)小環(huán)境使用。殊不知——外國墻也一樣有性能損耗,老外反入侵也仰仗IPS;ASIC尚無法完全賦予防火墻這么好的身手; 小企業(yè)首先未必有這么豐富的安全需求,就算有,防火墻性能不足也一樣會(huì)殃及小企業(yè)。

  科學(xué)的做法是,讓防火墻做好本職工作,盡量避免讓它兼職或做第二職業(yè)。

  第九條:不能對防火墻濫用異構(gòu)

  異構(gòu)是體現(xiàn)安全管理中冗余思想的一種好方法,會(huì)增加安全保障系數(shù)。但什么事情都怕做過頭了,我們可以適當(dāng)采用異構(gòu),但如果迷信異構(gòu),濫用異構(gòu),就會(huì)成為防火墻管理的第三傻——不管有無實(shí)際需要,用兩個(gè)品牌的防火墻串起來保護(hù)。

  濫用異構(gòu)經(jīng)常會(huì)導(dǎo)致無用功。其實(shí)防火墻的訪問控制,可以被比喻成保安在門口查驗(yàn)來客的身份證,不管設(shè)多少層崗,查的內(nèi)容如果一樣就毫無意義。即使你用中外保安各一個(gè),他們也都是在看阿拉伯?dāng)?shù)字,沒什么區(qū)別(當(dāng)然,如果某些用戶應(yīng)國家法律或監(jiān)管需要而進(jìn)行中外防火墻異構(gòu),要另當(dāng)別論)。濫用異構(gòu)的另一個(gè)重大危害是帶來管理的復(fù)雜性,不同品牌防火墻的協(xié)同管理會(huì)很辛苦。

  科學(xué)的做法是,慎重考慮防火墻異構(gòu)問題,按需部署,不要過分推崇異構(gòu),以免走上濫用之路。

  第十條:不能讓防火墻規(guī)則粗放

  防火墻的看家本事是執(zhí)行檢查工作。一項(xiàng)檢查工作是否有效,關(guān)鍵看檢查依據(jù)定得如何,而防火墻的檢查依據(jù)就是訪問控制規(guī)則。

  防火墻的訪問控制規(guī)則有兩個(gè)要素,一是控制服務(wù)(通信端口);二是控制訪問源、目的地址(IP)。用戶一般都知道嚴(yán)格控制前者,但對后者有時(shí)就粗放管理。如果用戶使用了其他認(rèn)證手段,在地址控制上粗放些倒無可厚非,否則就是第四傻。

  其實(shí)網(wǎng)絡(luò)訪問控制中,控制地址的重要性大于控制服務(wù)。服務(wù)由系統(tǒng)提供,理論上講,系統(tǒng)安全做好了,關(guān)閉了不必要的端口并除去同一安全域內(nèi)互訪的端口,剩下的端口或許都得對外開放,只是開放的源地址不同。這就凸顯了控制地址的重要性。

  而且要控制地址,就需要控制到具體的IP。除非諸如80端口之類確實(shí)要對任何應(yīng)用提供服務(wù)的端口,否則不要輕易開放網(wǎng)段。另外,開放C類段未必比B類段安全很多,就像原本是要篩沙子的密格濾網(wǎng),你開小窟窿和開大窟窿有多少本質(zhì)區(qū)別呢?

  有人可能會(huì)說,如此詳細(xì)控制會(huì)讓規(guī)則激增,防火墻不堪重負(fù)。這個(gè)問題要靠改善網(wǎng)絡(luò)部署或采用其他認(rèn)證手段為防火墻代勞,不能為了性能就不堅(jiān)持訪問控制的安全性原則。

  科學(xué)的做法是,防火墻要對地址嚴(yán)格細(xì)致地控制,如果性能不濟(jì),通過綜合規(guī)劃來解決,不能因?yàn)?ldquo;將就”而留下安全隱患。

  以上是筆者總結(jié)的防火墻管理中的幾個(gè)誤區(qū),值得用戶和工程實(shí)施人員關(guān)注。雖然“傻”這個(gè)字顯得很絕對,但為了不被惡意入侵者事后同樣用這個(gè)字嘲笑我們,大家還是事前把自己看得傻一點(diǎn)好。

  謝謝觀賞

71046