【谈应用】 安全管理必不可少

听了i博士的这些话，钱经理和欧主管对防火墙的重要性已经有了相当的了解，“那么，对中小企业来说，应该怎样选购适合的防火墙呢？“钱经理问道。

“先让我们来了解不同结构的防火墙吧，这样会有比较清晰的认识，中小企业也自然会根据企业自身的特点去选择了。”i博士说。

从防火墙结构上分，防火墙主要有三种：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。

这种防火墙其实与一台计算机结构差不多，同样包括CPU、内存、硬盘等基本组件，它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。硬盘用来存储包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。

因为它的工作性质，决定了它要具备非常高的稳定性、实用性，具备非常高的系统吞吐性能。当然，价格也相对昂贵。

随着防火墙技术的发展，原来作为单一主机的防火墙也不断的升级，以适应企业的实际应用需求，最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能，防火墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统，这种防火墙，称为“分布式防火墙”。

分布式防火墙再也不是只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。

在网络服务器中，通常会安装一个用于防火墙系统管理软件，这样一个防火墙系统就可以彻底保护内部网络，各主机把任何其它主机发送的通信连接都视为“不可信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网络发出的通信请求“不信任”。

中小企业防火墙的特点是，廉价、管理简单、功能丰富，支持灵活的组网。这类防火墙性能虽然比不上大型防火墙，但其丰富功能，使其更接近UTM（统一威胁管理）的概念。一般设备独立性比较强。

在选购防火墙产品时，中小企业客户应针对企业网络环境、业务流量类型、用户与通信流量规模、并结合攻击防御能力、设备可靠性及易用性等多个方面进行综合评估，选购最适合企业网络环境和安全需求的防火墙产品。

例如，是否需要根据安全级别隔离不同网段；是否需要采用VPN来加密远程分支机构数据；是否存在视频、语音、数据库等应用需要穿透防火墙；是否需要对垃圾邮件、病毒、有害Web页面等过虑；对防火墙吞吐量需求，应考虑防火墙在真实网络环境下的性能等。

“特别值得注意的是，很多企业认为有了防火墙就可高枕无忧，这是错误的。因为即使你拥有防火墙，没有进行正确严谨的配置和管理，照样会留下很多安全隐患，应该从以下几个方面来更好的实现防火墙的安全性和可靠性。“i博士说。

1、分析企业自身网络具体需求，搭建合理的安全构架。网管人员需要根据自己网络的具体结构，确定要保护什么，要防止什么，允许什么通过防火墙，不允许什么通过防火墙，对什么进行过虑等。这些基本都是由防火墙的规则来控制和实现。

2、制定防火墙的安全管理制度，对防火墙的安全管理主要从硬件和软件上进行管理。硬件主要是只针对防火墙设备的物理安全来制定一些制度，比如防火墙架设的位置，进入防火墙机房的人员管理制度等。

软件管理制度是指管理防火墙的权限，给不同级别的管理人员分级的管理权限。另外，还要对防火墙制定合理的优先级及规则顺序。

3：做好防火墙日志的管理及备份。防火墙日志在分析调试、攻击记录等方面有着重要的作用，防火墙日志审计服务是辅助网络安全管理人员全面掌握网络安全状况，是衡量防火墙性能和作用的重要手段。

“听你这样一说，思路清晰多了，那么，如果我的企业安装了防火墙设备，应该不会再让电脑崩溃了吧。”钱经理想起前几天的事仍然心有余悸。

“防火墙不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。例如：防火墙防不住绕过防火墙的攻击。因为防火墙不限制从内部网络到外部网络的连接，防火墙不是防毒墙，不能拦截带病毒的数据在网络之间传播。”i博士说。

对于一个网络来说，我们应该尽量保证它的最大安全，例如：根据需要合适的配置防火墙，尽量少开端口；采用过滤严格的Web程序；采用加密的HTTP协议(HTTPS)；管理好内网用户，防止攻击者和内网用户绕过防火墙直接连接等。

中小企业由于缺乏专业的安全技术人员，非常需要稳定性强、便于部署、易于管理和维护的防火墙产品。

【发表评论 0条】