防火墙应遵循的安全策略

时间：2013-5-31

    在一个具体网络中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围，对于一个企业网来说，安全策略应该在细致的安全分析，全面的风险假设和商务需求分析基础上制定。
    构建防火墙和加强网络安全应遵循以下几个方面的基本策略。
1.最小的特权原则
    这是设计网络安全产品最根本的安全原则，所谓最小特权是指任意对象应该且仅应该具有这对象完成指定任务所需要的特权，这样既可以尽量避免网络受到侵袭以及减少侵袭造成的损失，又便于审计跟踪，定位责任。
2.纵深防御原则
    要构建安全的网络不能只领先单一的安全机制，而应该尽量建立多层机制，互相支持以达到比较满意的效果，防火墙的作用不可忽视，但不能把防火墙作为Internet安全问题的唯一解决方法，通过建立多层机制能够互相供备份和冗余，例如网络安全，主机安全和人员安全。
3.阻塞点原则
    在Internet安全系统中，位于局域网和Internet之间的防火墙是一个阻塞点，它强迫侵袭者通过一个受到监控的小通道，任何一个Internet上的侵袭者都必须通过这个防御侵袭的通道，作为管理员应该仔细监视这条通道，并在发现侵袭时及时做出响应。
4.最薄弱环节原则
    系统中最薄弱的环节决定了防火墙的强度，因此在构建防火墙时应尽量消除系统中的薄弱环节，例如口令保护，加密通道，角色划分等，如果是消除不掉的薄弱环节则应严加防范。
5.失效保护状态
    防火墙系统应明确当系统崩溃时所采取的保护措施能够保证系统的安全，也就是说如果系统运行错误，则应该拒绝用户访问。
6.简单化原则
    简单化也是一种安全保护策略，因为越景越易于理解，而复杂化必然会存在隐藏的角落，且复杂的程序会存在更多的小毛病，任何小毛病都有可能引发安全问题。