边界防火墙的应用（4）

　　 

　　边界防火墙的应用
　　 3、DNS

　　 DNS服务器可为互联网提供域名解析服务，对任何网络应用都十分关键。同时在其中也包括了非常重要的网络配置信息，如用户主机名和IP地址等。正因如此，对DNS服务器要采取特别的安全保护措施。

　　 为了安全起见，建议在防火墙网络中，对内部DNS服务器和外部DNS服务器进行分开放置。为互联网服务的外部DNS服务器不应该包含对外禁止访问的内部网络系统的相关服务，需要专门放置在内部DNS服务器上。如果将内部网络的相关服务需放置在外部DNS服务器上，则会为非法攻击者提供攻击对象目标信息。这种将内部DNS服务器和外部DNS服务器分隔开的网络配置方案通常称之为“分割DNS”。图11描述了一个典型的“DNS分割”的例子：

　　 在这种典型防火墙DNS服务器配置网络结构中，内部DNS服务器专用来为内部网络系统进行名称解析，使得内部网络用户可以通过它连接到其它内部系统，其中就包括内部防火墙和内部DMZ；外部DNS使得外部网络能够解析出主防火墙、外部DNS服务器、外部DMZ区的主机名字，但不能解析出内部网络系统主机的名字。

　　 6、入侵检测

　　 安全检测是信息保障的一个重要环节，也新型防火墙的一个重要功能。目前主要的安全检测技术包括入侵检测、漏洞扫描和病毒检测。

　　 入侵检测系统(Intrusion Detection System，IDS)能够对网络中未经授权用户的访问进行报警，某些时候还能够通过其它手段预防这种非法网络行为。它只能发现已发生的非法访问，而且检测本身不能提供安全保护的作用，但是很多入侵检测产品能够和防火墙这类网络安全保护产品联动，一旦入侵检测发现攻击行为，它可以通知防火墙修改安全规则，阻止后续的攻击网流。

　　 入侵检测方式目前主要分为三类：基于主机的入侵检测、基于网络的入侵检测和基于应用的入侵检测。

　　 建议将基于主机的入侵检测和基于应用的入侵检测产品配置在关键业务服务器上，以检测主机应用层次的网络攻击行为，尤其是基于用户的攻击行为检测。这属于一种高级的入侵检测手段，它所检测的范围覆盖整个网络和应用。必须清楚，这两类产品有极大的安全缺陷：

　　 (1)、　时间上的滞后性，由于它们的检测资料来源是主机操作系统/应用的日志记录，因此难以做到实时反应；
　　 (2)、其检测分析结果的准确性完全依赖于主机操作系统日志记录的全面性和准确性；
　　 (3)、占用较多主机资源。

　　 如果防火墙具有一定的入侵检测功能，则可以在主防火墙上打开此功能，在防火墙上使用入侵检测功能可以相当程度地抵制来自外部网络的DoS(拒绝服务攻击)攻击和地址欺骗攻击。

　　 部署在某些区域的入侵检测产品如果能和相关的防火墙在网络上可通，则可以发挥它们之间的联动功能，提高安全效率。

　　 在漏洞和病毒检测方面，边界防火墙比较难以实现，而在个人防火墙和分布式防火墙中却较容易。因为它们之中 软件 功能非常强大，而且还可以实时自动联网升级。以实现对最新的系统和病毒进行跟踪检测的目的，最大限度地保证检测的有效性。所以在个人防火墙就有好几种防火墙的叫法，如病毒防火墙、网络防火墙和邮件防火墙等。从这些名字我们要吧看出这些防火墙的主要功能。（完）

原文转自：http://www.ltesting.net