保护对设备的访问（二）

　　第二道防线是防火墙。防火墙对穿过边界路由器的流量做进一步的过滤。它通过跟踪每个连接的状态并提供了额外的访问控例,它的作用就像是一个检查站(关卡)设备。边界路由器有一套规则来规定哪些流量是允许通过的,哪些是被拒绝的的流量。

　　其实，在默认情况下,防火墙拒绝源自外部(非信任)到内部(信任的)的连接,而它默认允许内部用户与非信任网络建立连接,并允许返回的流量通过防火墙。它还可以对用户进行认证(认证代理),以限制只有通过认证的用户才能访问间网络资源。DMZ方法还有一种深度防御方法的变种是提供一个中间区域,它通常被称为非军事区(DMZ)。

　　DMZ可用于必須从Intere或其他外部网络进行访问的服务器。DMZ可设置于两台路由器之间,其中内部的图由器连接受保护网络,而外部路由器连接未受保护网络,或者简化为单台台路由器的另一个接口。位于受保护网络和未受保护网络之间的防火墙允许所需要的连接(例如HTTP)从外部(未受保护)网络访问DMZ中的公共服务器。防火墙作为DMZ中所有设备的主要防护设施。在DMZ的方法中,路由器通过过滤某些流量来提供一些保护,但把大部分的保护工作留给了防火墙。

　　保护边界路由器的安全是保护属络的第一步重要的工作。如果还有其他内部路由器,也必须针对它们进行安全配置,必须维护路由器上的3个安全区域。物理安全为路由器提供物理安全保护将路由器和物理设备放置在一个可靠的、带锁的房间内,只允许经过授权的人员去访间,不会受到电磁干抗,并且具有灭火装置和温度湿度控制系统。

　　小编结语：其实，我们可以安装不间断电源并保持有可用的备件,这样将降低因建筑物电力失效而造成DoS攻击的可能性。加固路由器消除潜在的针对未使用口及服务的用。安全的管理控制。确保只有投权的人员能够访问,并且他们的访问级别是受控的关闭未用的端口和接口。减少能够访访问设备的方法的数量。关闭不需要的服务。