可以设置防火墙系统来防止外部对网络中的资源进行访问。防火墙系统是一台安全主机,可充当内部网络与外部网络之间的屏障。内部网络将所有其他网络均视为不可信对象。 应该考虑将此设置作为内部网络和任何与其进行通信的外部网络(如 Internet)之间的强制性设置。
防火墙可充当网关和屏障,并可充当在网络之间传递数据的网关,还可充当阻止与网络来回自由传递数据的屏障。防火墙要求内部网络中的用户登录到防火墙系统之后才能访问远程网络中的主机。同样,外部网络中的用户必须先登录到防火墙系统,然后才会被授予访问内部网络中主机的权限。
防火墙还可用于某些内部网络之间。例如,可以设置防火墙或安全网关计算机来限制包的传送。如果网关计算机不是包的源地址或目标地址,则网关可以禁止两个网络之间的包交换。防火墙还应设置为仅转发特定协议的包。例如,可以允许包传送邮件,但不允许传送 telnet 或 rlogin 命令。ASET 以高安全级别运行时,会禁用 Internet 协议 (Internet Protocol, IP) 包的转发。
此外,从内部网络发送的所有电子邮件均会首先发送到防火墙系统。然后,防火墙将邮件传送给外部网络中的主机。防火墙系统还会接收所有传入的电子邮件,并将邮件分发给内部网络中的主机。
防火墙可阻止未经授权的用户访问网络中的主机。应该严格维护对防火墙强制执行的安全性,但对网络中其他主机的安全性限制可以较为宽松。但是,突破防火墙的入侵者可以获取访问内部网络中所有其他主机的权限。
防火墙系统不应该包含任何受信任主机。受信任主机是指不要求用户提供口令即可从其中进行登录的主机。防火墙系统不应该共享其任何文件系统,也不应该挂载其他服务器的任何文件系统。
可以使用以下技术来通过防火墙加强系统的安全性:
通过 ASET 对防火墙系统强制执行高安全性,如第 7 章,使用自动安全性增强工具(任务)中所述。
通过 Solaris 安全工具包(非正式名称为 JASS 工具包)使用防火墙来加强 Solaris 系统的安全性。此工具包可以从 Sun 的 Web 站点 http://wwws.sun.com/security/jass 下载。
通过 IPsec 和 Solaris IP 过滤器提供防火墙保护。有关保护网络通信流量的更多信息,请参见《系统管理指南:IP 服务》中的第 IV 部分, “IP 安全性”。