理论教育 防火墙与接入控制列表:保障网络安全的关键措施

防火墙与接入控制列表:保障网络安全的关键措施

时间:2023-07-01 理论教育 版权反馈
【摘要】:由于上述原因,SEG部署通常由集成在同一设备中或单独的设备中的防火墙来补充。防火墙将执行的一些功能如下:检查ARP报文;速率限制;访问控制列表;深度包检测;状态过滤;代理。由制造商设计,防火墙可以内置在与SEG相同的设备中,或在不同的设备中。防火墙相对于SEG的位置将由其需要提供的保护类型决定。本地BTS接口是穿透安全设备的可能方式,防火墙可以用于减轻对设备和移动回传的入侵的风险。

防火墙与接入控制列表:保障网络安全的关键措施

IPsec在保护移动回传业务中起着重要作用,并且由于入站分组处理所施加的业务过滤,它还在保护SEG背后的节点免受DoS攻击、基于篡改业务的攻击等方面起到了作用。

然而,IPsec也不是总有效的,比如针对IPsec实现本身的一些攻击(例如对IKE守护进程重载)、针对基于IP以下的协议的攻击(例如基于ARP的攻击)或通过由SEG旁路的流量进行的攻击(例如ICMP)。此外,IPsec不检查加密数据包的内容,因此如果对等体被泄露并且恶意业务通过隧道发送,IPsec无法过滤它。

由于上述原因,SEG部署通常由集成在同一设备中或单独的设备中的防火墙来补充。防火墙将执行的一些功能如下:

•检查ARP报文(防止ARP表中毒);

•速率限制;

•访问控制列表;

•深度包检测(对于明文包);(www.daowen.com)

•状态过滤;

•代理。

由制造商设计,防火墙可以内置在与SEG相同的设备中,或在不同的设备中。虽然独立设备在解决方案类型方面提供了更大的灵活性,但它是需要部署在SEG站点中的附加设备,从而增加了路由和高可用性方面的整体复杂性。

防火墙相对于SEG的位置将由其需要提供的保护类型决定。当在公共接口部署作为第一道防线时,它将保护SEG和其他可能的站点设备(站点路由器)免受DoS攻击。

当部署在SEG之后,主要作用是保护核心网络资产。通过隧道或隧道外接收的数据包将根据安全策略进行检查和过滤。防火墙还可以分析高层协议以检测隐藏在用户数据中的攻击。

防火墙也可以部署在IPsec不可用或不适合的接口中。例如,在一些部署中,BTS可以位于非信任环境中,或者甚至在具有对BTS硬件的相对容易的可访问性的公共场所中。本地BTS接口是穿透安全设备的可能方式,防火墙可以用于减轻对设备和移动回传的入侵的风险。在这种情况下,防火墙功能显然需要集成在BTS本身中,至少具有分组过滤的最小功能。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈