防火墙必须使用安全的身份认证

　　 
　　防火墙是位于企业网络边界最常用的网络安全设备，主要用于控制外部网络对内部网络的访问，并决定内部网络可以访问哪些外部网，同时还可以抵御各类拒绝服务攻击和扫描攻击，保护企业局域网和服务器免受外部非授权的访问和攻击。

防火墙通常都可以通过网络进行策略配置，因此防火墙必须使用安全的身份认证，才能避免非授权用户擅入防火墙系统，修改策略甚至关闭防火墙。
　　
　　限制防火墙端口的网络访问。现在的防火墙为了提供更友好和易用的用户界面，通常有基于Web的配置界面，用户可以通过PC工作站，使用Web浏览器访问，并对防火墙进行配置。同时，CLI（命令行接口）除了可以通过串口连接外，还可以通过网络远程登录。控制防火墙应该可以通过Web界面或者Te.net连接其端口，甚至基于IP地址和时间的ACL（访问控制列表），来限制只能使用特定的主机作为管理工作站来配置防火墙，从而大大提高防火墙的配置安全性。
　　
　　加强防火墙的本地用户管理。防火墙可以在本地账号数据库中添加、更改、删除用户及用户信息。先进的防火墙通常将用户的权限分为三级，read-only、all和root。read-only用户只能查看部分防火墙运行信息和修改自身的属性；all用户可以查看以及修改部分信息（包括本用户的信息）；而root用户不仅可以修改防火墙的信息，还可以随时通过命令添加、删除和修改本地用户信息。因为root用户的权限无所制约，所以只允许有一个root用户存在。用户应该注意保护防火墙的各级用户密码，尤其是root用户的密码。
　　
　　使用基于RADIUS的用户认证。RADIUS是一种基于客户/服务器体系的分布式系统，这是一个全开放协议，被广泛接受并应用于当前绝大多数网络安全认证系统，通过对它的应用防火墙系统可以提供安全的网络访问。先进的防火墙通常实现了RADIUS客户端功能，它将用户的认证和网络访问服务信息发送给中央RADIUS服务器，并将返回的认证信息对用户进行授权，统计。
　　
　　防火墙的AAA功能。AAA是Authentication、Authorization和Aclearcase/" target="_blank" >ccounting的简写形式。其中，认证提供对用户的合法性检查（Who is the user）；授权用于规范每个用户的行为（What can be done by the user ）；统计用于记录每个用户的行为（What is the user doing or has done by the user）。在结合了AAA功能的防火墙中，一个用户经由防火墙提供服务必须先后经过认证和授权后才能开始所提供的服务，同时要对服务的开始时间、结束时间、传输字节数、传输包数、提供服务的总时间等相关信息进行记录。

原文转自：http://www.ltesting.net