专家谈企业防火墙的安全防护配置

• 　　由于黑客技术日益公开化，职业化，各种攻击日益频繁，病毒日益泛滥，重大网络安全事件日益增多。防火墙作为企业安全防护的第一道闸门，已经成为企业网络安全防护的重要部件。
  
  　　然而，在考察我国企业网络的安全现状时，我们仍然发现，有相当一部分网络，虽然安装了硬件防火墙防护设备，但由于管理员的水平有限，在防火墙的使用和配置上存在一些问题，并没有能最大程度的发挥防火墙的安全防护作用。下面，在大唐龙创公司长期从事网络安全一线工作的笔者列举一些在实际工作中发生的现象，出现的问题，以帮助我们的网络管理员能更好的防护企业的网络。
  
  　　问题一：
  
  　　某国家机关，防火墙投入运行后，实施了一套较为严格的安全规则，禁止内部员工使用QQ聊天，可是没过多久就有员工私自用PC拨号上网，结果导致感染了特洛依木马和蠕虫冲击波等病毒，并立刻在内部局域网中传播开来，造成内部网大面积瘫痪。
  
  　　通过这个案例，我们需要明确的是，防火墙作为一种边界防护类型的网络安全设备，必须部署在受保护网络的边界处，只有这样，防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有额外的出入口，那么入侵者会通过其它途径先入侵我们的主机，然后进一步攻击我们整个网络。
  
  　　我们设置的防火墙策略，其实是与单位的制定的上网管理制度严格相关的，在配置防火墙控制策略前，我们一般需要先制定企业安全上网的管理制度，并彻底贯彻实施。在上述案例中，首先应该在单位制度中明确严格禁止私自拨号上网的行为，以防止出现多出口的情况。同时，在制定策略时，也要考虑员工的需求，可以按照时间段添加防火墙规则，比如在非工作时间开放员工QQ上网聊天等的权限。
  
  　　问题二：
  
  　　关于防火墙DMZ区的使用和防火墙的DMZ区域规则的配置。
  
  　　现在很多企业网络一般都是很简单，防火墙部署在企业网出口，后面接内网核心交换机，核心交换机再接分支交换机，用户主机接各个分支交换机进行网络访问。笔者在用户使用大唐龙创防火墙或者其他品牌的调查中发现，由于一些网络集成商，对于防火墙的DMZ区没有深刻认识，有些企业防火墙的DMZ口并没有使用，企业网内部对外开放的服务器与所有上网办公主机是混在一起的。而有一些企业，虽然使用了DMZ接口，但由于设置的规则不合理，其实并没有起到DMZ区隔离安全效果。这其实都存在很大的安全隐患。
  
  　　DMZ，即非军事化缓冲区，是当网络内部有服务需要开放给公网用户时而设置的独立区域。由于这些开放服务器要面对的是大量公网的任意未知用户，因此，在接入时一般必须使用防火墙的独立DMZ接口进行隔离，同时需要设置严格的防火墙控制策略，以防止入侵者的破坏。内部服务器要作为功能独立的主机要与单位用户的个人主机分开，同时为便于管理，一般地址段也是独立的，以区分于个人用户的地址段。
  
  　　如果内部服务器是与其他主机混在一起，没有放在独立的DMZ区进行隔离，其后果可能是，一旦服务器被黑客利用其漏洞攻击成功，则整个网络就暴露在黑客面前，黑客将很轻松的以服务器为跳板攻击整个网络。
  
  　　因此，我们在配置开放服务的防火墙DMZ区策略时，也一定要严格，一般都细化到服务器每个端口，开放了什么服务，才在防火墙规则中打开什么端口号。对于不使用的端口号，要全部禁止。同时，特别要注意的是，千万不要在防火墙中加DMZ区到内网区的全通规则，如果这样，DMZ区也就失去了防护的意义。如果确实有到内网的通信需求，也要细化到哪个IP地址的哪个端口，或者在需要时动态添加，当业务完成后，就要马上将规则删除。
  
  　　问题三：
  
  　　一些单位以前是通过传统路由器进行上网，现在考虑安全性的问题，才购买的硬件防火墙，在这种情况下，应该如何部署防火墙？
  
  　　在网络设计中，一般有三种接入方式，下面对这三种防火墙的位置进行一下比较：
  
  　　1） 放在路由器之前，路由器与接入光纤的光电转换之间，防火墙工作在透明方式。
  
  　　这种方式下，路由器的配置不变，通过设置规则，防火墙可以有效保护内部开放的服务器和路由器本身，但由于防火墙在路由器外，此时内部用户的数据包到达防火墙时已经做了源地址转换SNAT，因此，防火墙不能对内部的用户做差异化的配置，而只能将内部所有用户视作一个整体进行业务的封锁和保护，因此在使用上有一定的局限。
  
• [1] [2] [3] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 专家谈企业防火墙的安全防护配置 相关文章：
• ·设好eMule电驴两项关键配置 提高下载速度
• ·DNS专题(11)---配置windows DNS服务器⑦
• ·Cisco实战:配置三层交换的综合案例
• ·DLINK DI-504路由器共享上网配置
• ·华为路由器配置详解
• ·Portal典型配置案例
• ·关于web.xml配置的详细说明
• ·无法登录无线路由器配置界面解决
• ·Vmware虚拟机的安装及配置
• ·windows 无法加载 internet 配置信息库(icfgnt.dll)。发生以下错误:找不到指定的模块
• 专家谈企业防火墙的安全防护配置 相关软件
• ·英雄无敌5 提速配置文件
• ·IPHelper (IP地址配置助手) V4.6
• ·FreePlus配置程序 V0.5 SP3+

上一篇:精解：传说中五子棋的五大阵式

下一篇:为网站图片进行搜索引擎优化研究

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐