,就是因为厂商已经为广大群体套用了“兼容的”规则集合,换句话说,就是用户在接受一款防火墙产品的时候,就已经得到了厂商为大家定制的“安全策略”。但是这种面对大众的策略并不一定适合每一个人,有时候,一些用户会觉得默认规则不太适合自己的实际环境,他们便会根据自己的要求,修改增加这个规则集合,例如一台网站服务器,使用的防火墙默认规则里限制了外部对1024以下低端口号的访问,这显然就和做网站需要开放80端口的要求冲突了,所以网络管理员会修改防火墙规则,去掉这条限制规则或者从规则里除掉80端口的条件。许多用户并不知道,他们删改或增加规则的行为,其实就是自身“安全策略”的实施过程。
但是在把安全策略转化为规则实体之前,我们还必须慎密的思考一件事情,那就是“安全体系结构”。
所谓“安全体系结构”,就是整个防火墙最终为用户带来的安全效果,安全策略可以是片面的,管理员在思考策略的时候不一定要考虑到整体效果,但是当一条条安全策略作为规则集合出现之前,它就必须先转化为面向整体的“安全体系结构”, 这是一种考虑全局的策略集,还是上面的网站服务器例子,管理员需要开放基本的8页码:[1] [2] [3] [4] [5] 第4页、共5页 |
