选购企业级防火墙注意事项

otloclbtl

对于企业IT系统的保护设备，人们的认识已经由单纯的单机版杀毒软件上升到了复杂的企业级杀毒软件及防火墙的高度。因为伴随着攻击电脑手段以及病毒的多样化，对于企业级用户而言，尤其是金融行业、军队和政府机构，信息安全保卫战就显得更为重要了。
　　防火墙在整个信息安全保卫战中，一旦有外敌入侵，它将成为整个环节中的第一个作战的战士，并且是战役中最为关键的人物。那么企业的网络采购者的身上将肩负着重要的责任，不仅需要选择适合企业自身需要的防火墙，而且需要了解防火墙在应用中能够起到哪些作用。
　　1． 了解防火墙的防护对象
　　从广义上讲，防火墙保护的是企业内部网络信息的安全，比如防止银行服务器用户账号信息、政府部门的保密信息、部队中的作战计划和战略等重要信息的泄漏。从狭义上讲，防火墙保护的是企业内部网络中各个电脑的安全，防止计算机受到来自企业外部非安全网络中的所有恶意访问或攻击行为。防火墙实现对内部网络的保护功能是通过将内外网络进行逻辑隔离来实现的，然后根据预先定制的安全策略控制通过防火墙的访问行为，从而达到对企业内部网络访问的有效控制。
　　如果防火墙安装在企业业务网与广域网之间，可以选择路由模式的防火墙，在该模式下可以利用防火墙的网络地址转换功能和代理功能，充分保护企业网络免受来自互联网的攻击。如果需要保护同一子网上不同区域（部门）的主机，可选择网桥模式防火墙，此时，原来设置的网络拓扑结构无须做任何改变。比如，企业的人事部是企业重要部门，即使内部员工也不允许随便访问，因此，需要特别的保护。但企业网络已经建成，相应改造会带来许多工作。网桥模式的防火墙就提供了便利的应用条件，既不用改造企业网络结构，也可以在没有经过防火墙授权的情况下，禁止非法人员访问人事部门的主机。如此一来，起到了局部信息保密和保护的效果。
　　2． 了解防火墙的工作职责
　　对于内外网之间的不当访问行为，防火墙都是非常敏感的。即使是内部员工，如果违反企业的安全策略，一样会被防火墙及时的阻止并通告网络管理员。比如瑞星公司推出的企业级防火墙，它可将内网每台主机的IP地址与该主机上网卡的物理地址进行一对一的绑定，从而有效阻止用户通过修改IP地址所进行的非授权访问。此外，防火墙还支持双向网络地址变换：源地址变换（SNAT）和目的地址变换（DNAT）。通过源地址变换，使外部网络无法了解内部网络的结构，从而提高了内网的安全性。某些防火墙允许管理员定义一个时间范围，使该条规则只在这一时间范围内起作用，或者基于用户认证对特定的用户实施不同的访问策略。通过这些控制机制，可以为企业提供更加灵活的配置策略，例如，可以定义规则只允许公司市场部员工和经理在任何时间访问因特网，而其他部门员工只允许在午休时间访问互联网，或者被授权的用户可以在任何一台计算机上连接公司内部指定网络或Internet。还有近年来日益普及的VPN技术也在瑞星防火墙里得到充分体现，不仅支持一方动态IP地址的VPN，还支持利用动态域名实现双向动态IP地址VPN的功能，具有这项功能不仅为企业节省了一大笔的网络接入费，而且也提高了企业通过Internet传递机密信息的安全防范能力。
　　3． 了解防火墙的功能特点
　　为了满足企业对防火墙可靠性的更高级别的要求，防火墙大都提供了双机热备份功能，也就是在主防火墙“生病”（发生故障）的时候，备份防火墙会担当起主防火墙的职责，能够识别并自动接管主防火墙的全部功能，保障网络的正常运行。防火墙会缺省设置一些基本规则，不需要用户参与，可以有效防范IP地址欺骗、Ping of death、teardrop以及Syn flooding等基本网络攻击，保护内网和防火墙免遭多种形式的拒绝服务攻击和非法访问。
　　此外，防火墙的自我保护意识较强，网络管理员必须通过强制用户认证才能登录到防火墙，对防火墙上的配置文件进行修改。管理主机（可以放置在内外网任何地方，包括拨号网络）与防火墙之间的通信采用加密传输，以防止黑客利用网络嗅探器对数据的窃取。利用这种机制，可以杜绝黑客假冒管理员对防火墙文件进行篡改和获取敏感信息。
　　防火墙不仅能够对各种攻击手段做出防堵，同时也会“敬业”地向系统管理员汇报网络运行状态，一些优秀的防火墙产品其内部的进程监视器实时监控防火墙的运行状态；日志系统提供强大的日志审计功能，并可提供详细的日志分析统计报告；流量统计模块提供基于单个主机的流量统计报告和曲线。系统管理员可以在管理主机上实时查看防火墙的运行状态和浏览各类报告，让管理员对防火墙及网络运行状况一目了然。为避免系统硬盘空间耗尽，防火墙保存的日志文件定时滚动，最长保存时间可由用户设置。同时，可选的日志实时备份模块，能够实现日志异地存储。
　　在了解了防火墙的基本工作职能和工作范围后，我们应该对网络的安全概念有所加深，并且在构建和完善企业内部网络的时候，需要谨慎的考虑和选择。