防火墻上針對網絡攻擊的防御措施有哪些

防火墻上針對網絡攻擊的防御措施有以下這些：

• 安全服務配置

  安全服務隔離區((DMZ)把服務器機群和系統管理機群單獨劃分出來，設置為安全服務隔離區，它既是內部網絡的一部分，又是一個獨立的局域網，單獨劃分出來是為了更好的保護服務器上數據和系統管理的正常運行。建議通過NAT(網絡地址轉換)技術將受保護的內部網絡的全部主機地址映射成防火墻上設置的少數幾個有效公網IP地址。這不僅可以對外屏蔽內部網絡結構和IP地址,保護內部網絡的安全，也可以大大節省公網IP地址的使用，節省了投資成本。如果單位原來已有邊界路由器，則可充分利用原有設備，利用邊界路由器的包過濾功能,添加相應的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內部網絡連接。對于DMZ區中的公用服務器,則可直接與邊界路由器相連，不用經過防火墻。它可只經過路由器的簡單防護。在此拓撲結構中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設置一個DMZ區，用來放置那些允許外部用戶訪問的公用服務器設施。

• 配置訪問策略

  訪問策略是防火墻的核心安全策略，所以要經過詳盡的信息統計才可以進行設置。在過程中我們需要了解本單位對內對外的應用以及所對應的源地址、目的地址、TCP或UDP的端口，并根據不同應用的執行頻繁程度對策略在規則表中的位置進行排序，然后才能實施配置。原因是防火墻進行規則查找時是順序執行的，如果將常用的規則放在首位就可以提高防火墻的工作效率。

• 日志監控

  日志監控是十分有效的安全管理手段。往往許多管理員認為只要可以做日志的信息就去采集。如:所有的告警或所有與策略匹配或不匹配的流量等等，這樣的做法看似日志信息十分完善，但每天進出防火墻的數據有上百萬甚至更多，所以,只有采集到最關鍵的日志才是真正有用的日志。一般而言，系統的告警信息是有必要記錄的，對于流量信息進行選擇，把影響網絡安全有關的流量信息保存下來。