企業級防火牆的七問七答(轉)

企業級防火牆的七問七答(轉)[@more@]

　　企業級防火牆是目前金融、電信以及政府機構保護內部網路安全的首選產品，據統計三者所佔的份額接近70%。但是，防火牆究竟是做什麼的，能防範什麼網路攻擊行為，也許並不為大家所瞭解。現在讓我們介紹一下防火牆的用途和功能：

　　1、 防火牆的保護物件究竟是誰，它是如何實現保護功能的？

　　從廣義上講，防火牆保護的是企業內部網路資訊的安全，比如防止銀行伺服器使用者賬號資訊、政府部門的保密資訊、部隊中的作戰計劃和戰略等重要資訊的洩漏。從狹義上講，防火牆保護的是企業內部網路中各個電腦的安全，防止計算機受到來自企業外部非安全網路中的所有惡意訪問或攻擊行為。防火牆實現對內部網路的保護功能是透過將內外網路進行物理隔離來實現的，然後根據預先定製的安全策略控制透過防火牆的訪問行為，從而達到對企業內部網路訪問的有效控制。防火牆通常有兩種工作模式：網橋模式和路由模式。

　　如果防火牆安裝在企業內網與因特網之間作為安全屏障，最好選擇路由模式，在該模式下可以使用防火牆的網路地址轉換功能和代理功能，充分保護企業網路免受來自網際網路的攻擊。如果需要保護同一子網上不同區域（部門）的主機，可選擇網橋模式，這時，原來的網路拓撲結構無須做任何改變。比如，企業的財務部是企業重要部門，即使內部員工也不允許隨便訪問，因此，需要特別的保護。但企業網路已經建成，相應改造會帶來許多工作。此時，就可以選擇防火牆的網橋工作模式，既不用改造企業網路結構，也可以在沒有經過防火牆授權的情況下，禁止非法人員訪問財務部的主機。如此一來，起到了區域性資訊保密和保護的效果。

　　2、 防火牆是不是隻能防範外來的攻擊？

　　其實，對內外網之間透過防火牆的的不當訪問行為，防火牆都是非常敏感的。即使是內部員工，如果違反企業的安全策略，一樣會被防火牆及時的阻止並通告網路管理員。比如具有MAC地址繫結功能的瑞星企業級防火牆RFW-100，它可將內網每臺主機的IP地址與該主機上網路卡的實體地址進行一對一的繫結，能夠有效阻止使用者透過修改IP地址所進行的非授權訪問。此外，防火牆還支援雙向網路地址變換：源地址變換（SNAT）和目的地址變換（DNAT）。透過源地址變換，使外部網路無法瞭解內部網路的結構，從而提高了內網的安全性；同時，透過源地址變換，可以節省IP地址資源（內網主機可全部使用私有地址）。瑞星企業級防火牆RFW-100允許管理員定義一個時間範圍，使該條規則只在這一時間範圍內起作用。透過這種控制機制，可以為企業提供更加靈活的配置策略，例如，可以定義規則只允許公司市場部員工和經理在任何時間訪問因特網，而其他部門員工只允許在午休時間訪問網際網路。具有這項功能不僅為企業節省了一大筆的網路接入費，而且也提高了內網的安全防範能力。

　　3、對於讓人頭痛的垃圾郵件，防火牆有什麼處理辦法？

　　防火牆一般會為HTTP、WWW、FTP和TELNET等協議提供專門的應用代理，此外還可提供郵件（SMTP）代理、RPC&UDP代理、一般應用代理（可代理所有基於TCP/IP的應用或服務）等。從外向內的FTP和TELNET的代理提供強使用者認證機制，可有效阻止駭客進行的口令猜測攻擊；而防火牆提供的郵件（SMTP）代理功能可阻止郵件炸彈的攻擊，並可過濾垃圾郵件。使用應用層代理，可以有效地抵禦那些能夠穿過包過濾型防火牆的基於應用的攻擊。

　　4、如果防火牆"生病"了，網路安全誰來負責？

　　為了滿足企業對防火牆可靠性的更高階別的要求，防火牆大都提供了雙機熱備份功能，也就是在主防火牆"生病"（發生故障）的時候，備份防火牆會擔當起主防火牆的職責，能夠識別並自動接管主防火牆的全部功能，保障網路的正常執行。

　　5、防火牆能夠防範哪些網路攻擊？

　　防火牆會預設設定一些基本規則，不需要使用者參與，可以有效防範IP地址欺騙、Ping of death、teardrop以及Syn flooding等基本網路攻擊，保護內網和防火牆免遭多種形式的拒絕服務攻擊和非法訪問。

　　6、防火牆是如何辨別正常登入和非法登入的？

　　防火牆的自我保護意識較強，網路管理員必須透過強使用者認證才能登入到防火牆，對防火牆上的配置檔案進行修改。瑞星企業級防火牆提供的強使用者認證使用雙因子認證（鑰匙口令＋防火牆一次性口令），確保管理員不被假冒，管理主機（可以放置在內外網任何地方，包括撥號網路）與防火牆之間的通訊採用加密傳輸，以防止駭客利用網路嗅探器對資料的竊取。利用這種機制，可以杜絕駭客假冒管理員對防火牆檔案進行篡改和獲取敏感資訊。

　　7、防火牆應該是網路管理員最得力的助手，它是透過什麼形式來彙報網路執行狀態的？

　　僅以瑞星防火牆RFW-100為例，其內部的程式監視器實時監控防火牆的執行狀態；日誌系統提供強大的日誌審計功能，並可提供詳細的日誌分析統計報告；流量統計模組提供基於單個主機的流量統計報告和曲線。系統管理員可以在管理主機上實時檢視防火牆的執行狀態和瀏覽各類報告，讓管理員對防火牆及網路執行狀況一目瞭然。為避免系統硬碟空間耗盡，防火牆儲存的日誌檔案定時滾動，最長儲存時間可由使用者設定。同時，可選的日誌實時備份模組，能夠實現日誌異地儲存。

　　在瞭解了防火牆的基本功能後，我們應該對網路的安全概念有所加深，對網路的威脅並非只來自於病毒，其實各種駭客攻擊手段已經越來越多的對我們正常的工作和生活形成威脅，因此，在構建和完善企業內部網路的時候，需要謹慎的考慮和選擇。