防火墻系統(tǒng)設(shè)計(jì)要素�����,隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展,物聯(lián)網(wǎng)將應(yīng)用于社會(huì)的各行各業(yè)���,因此����,在物聯(lián)網(wǎng)系統(tǒng)運(yùn)營(yíng)過(guò)程中��,需要針對(duì)實(shí)際應(yīng)用環(huán)境�����,優(yōu)化防火墻系統(tǒng)的應(yīng)用設(shè)計(jì)��。
1.設(shè)計(jì)防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)
在確定防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)時(shí)�,首先必須確定被保護(hù)網(wǎng)絡(luò)的安全級(jí)別。從整個(gè)系統(tǒng)的成本�、安全保護(hù)的實(shí)現(xiàn)、維護(hù)����、升級(jí)、改造以及重要的資源的保護(hù)等方面進(jìn)行考慮����,以決定防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu)��。
2.制定網(wǎng)絡(luò)安全策略
在實(shí)現(xiàn)過(guò)程中���,沒(méi)有允許的服務(wù)是被禁止的,沒(méi)有被禁止的服務(wù)都是允許的����,因此網(wǎng)絡(luò)安全的第一策略是拒絕一切未許可的服務(wù)。防火墻封鎖所有信息流���,逐一完成每一項(xiàng)許可的服務(wù);第二策略是允許一切沒(méi)有被禁止的服務(wù)��,防火墻轉(zhuǎn)發(fā)所有的信息���,逐項(xiàng)刪除被禁止的服務(wù)。
3.確定包過(guò)濾規(guī)則
包過(guò)濾規(guī)則是以處理IP包頭信息為基礎(chǔ)����,設(shè)計(jì)在包過(guò)濾規(guī)則時(shí),一般先組織好包過(guò)濾規(guī)則�����,然后再進(jìn)行具體設(shè)置���。
4.設(shè)計(jì)代理服務(wù)
代理服務(wù)器接受外部網(wǎng)絡(luò)節(jié)點(diǎn)提出的服務(wù)請(qǐng)求��,如果此請(qǐng)求被接受����,代理服務(wù)器再建立與實(shí)服務(wù)器的連接����。由于它作用于應(yīng)用層,故可利用各種安全技術(shù)����,如身份驗(yàn)證、日志登錄�、審計(jì)跟蹤、密碼技術(shù)等�,來(lái)加強(qiáng)網(wǎng)絡(luò)安全性,解決包過(guò)濾所不能解決的問(wèn)題���。
5.定義功能模塊
防火墻由各種功能模塊組成�����,如包過(guò)濾器�、代理服務(wù)器、認(rèn)證服務(wù)器���、域名服務(wù)器�、通信監(jiān)控器等����。這些功能模塊最好由路由器和單獨(dú)的主機(jī)實(shí)現(xiàn),功能分散減少了實(shí)現(xiàn)的難度�,增加了可靠程度。
6.防火墻維護(hù)和管理方案的考慮
防火墻的日常維護(hù)是對(duì)訪問(wèn)記錄進(jìn)行審計(jì)����,發(fā)現(xiàn)入侵和非法訪問(wèn)情況。據(jù)此對(duì)防火墻的安全性進(jìn)行評(píng)價(jià)�����,需要時(shí)進(jìn)行適當(dāng)改進(jìn)�����,管理工作要根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的改變或安全策略的變化�����,對(duì)防火墻進(jìn)行硬件和軟件的修改和升級(jí)��。通過(guò)維護(hù)和管理進(jìn)一步優(yōu)化其性能��,以保證網(wǎng)絡(luò)極其信息的安全性���。
