有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧，它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中，却安装了一扇六英尺厚的钢门，会被认为很愚蠢。然而，有许多机构购买了价格昂贵的防火墙，但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用，防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实，能够反映出整个网络安全的水平。例如，一个保存着超级机密或保密数据的站点根本不需要防火墙：首先，它根本不应当被接入到Internet上，或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。 

防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息，但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介！防火墙同样不能保护你避免愚蠢行为的发生。通过电话泄露敏感信息的用户是社会工程（social engineering）的好目标；如果攻击者能找到内部的一个“对他有帮助”的雇员，通过欺骗他进入调制解调器池，攻击者可能会完全绕过防火墙打入你的网络。 

5．防火墙能否防止病毒的攻击？ 

防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了，并且有太多的不同的结构和病毒，因此不可能查找所有的病毒。换句话说，防火墙不可能将安全意识（security-consciosness）交给用户一方。总之，防火墙不能防止数据驱动的攻击：即通过将某种东西邮寄或拷贝到内部主机中，然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本（ghostscript）和免费 PostScript阅读器的这类攻击。 

对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外，而是保证每个脆弱的桌面系统都安装上病毒扫描软件，只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒，而绝大多数病毒是通过软盘传染上的。 

尽管如此，还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。 

6．在防火墙设计中需要做哪些基本设计决策？ 

在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前，有许多基本设计问题等着他去解决。 

首先，最重要的问题是，它应体现你的公司或机构打算如何运行这个系统的策略：安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务，或者，安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问（"queuing" access）提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂；防火墙的最终功能可能将是行政上的结果，而非工程上的决策。 

第二个问题是：你需要何种程度的监视、冗余度以及控制水平？通过解决第一个问题，确定了可接受的风险水平（例如你的偏执到何种程度）后，你可以列出一个必须监测什么传输、必须允许什么

上一页  [1] [2] [3] [4] [5] [6] [7] [8] 下一页