合理配置防火墙是网络安全的关键

本文章出自：www.fix.com.cn

　　如今我们已进入信息时代，也可以说也是病毒与黑客大行其道的时代，这样说确实有些悲观但今天的网络的确如此，从Internet到企业内网、从个人电脑到可上网的手机平台，没有地方是安全的。每一次网络病毒的攻击，都会让家庭用户、企业用户、800热线甚至是运营商头痛脑热。

　　经历过了一次又一次的病毒危机后，人们已经开始思考网络的安全了。现在任何一个企业组建网络都会考虑到购买防火墙，且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙，相信不久的将来，我们可以看到在手机上也会出现防火墙。但是防火墙不是一道用于心理安慰的屏障，只有会用防火墙才能够真正将威胁挡在门外。就许多中小企业而言，防火墙的配置往往没有反映出企业的业务需求。如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义，添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过，从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网，如果事先制定了合理的过滤规则，它将可以截住不合规则的数据报文，从而起到过滤的作用。相反，如果规则不正确，将适得其反。

　　中小企业防火墙应具有哪些功能

　　如何合理实施防火墙的配置呢？首先，让我们来看看中小企业防火墙一般都应具有哪些功能：

　　1. 动态包过滤技术，动态维护通过防火墙的所有通信的状态(连接)，基于连接的过滤;

　　2. 可以作为部署NAT(Network Address Translation，网络地址变换)的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题;

　　3. 可以设置信任域与不信任域之间数据出入的策略;

　　4. 可以定义规则计划，使得系统在某一时可以自动启用和关闭策略;

　　5. 具有详细的日志功能，提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录，并支持日志服务器和日志导出;

　　6. 具有IPSec VPN功能，可以实现跨互联网安全的远程访问;

　　7. 具有邮件通知功能，可以将系统的告警通过发送邮件通知网络管理员;

　　8. 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃;

　　9. Web中的Java， ActiveX， Cookie、URL关键字、Proxy进行过滤。

　　以上是中小企业防火墙所应具备的一些防护特性，当然随着技术的发展中小企业防火墙的功能会变得越来越丰富;但有再多功能的防火墙如果没有合理的配置和管理，那么这只是一件IT摆设。如何实施防火墙配置 如何实施防火墙配置呢？我们分别从以下几方面来讨论：

　　规则实施

　　规则实施看似简单，其实需要经过详尽的信息统计才可以得以实施。在过程中我们需要了解公司对内对外的应用以及所对应的源地址、目的地址、TCP或UDP的端口，并根据不同应用的执行频繁程度对策率在规则表中的位置进行排序，然后才能实施配置。原因是防火墙进行规则查找时是顺序执行的，如果将常用的规则放在首位就可以提高防火墙的工作效率。另外，应该及时地从病毒监控部门得到病毒警告，并对防火墙的策略进行更新也是制定策略所必要的手段。

　　规则启用计划

　　通常有些策略需要在特殊时刻被启用和关闭，比如凌晨3：00.而对于网管员此时可能正在睡觉，为了保证策略的正常运作，可以通过规则启用计划来为该规则制定启用时间。另外，在一些企业中为了避开上网高峰和攻击高峰，往往将一些应用放到晚上或凌晨来实施，比如远程数据库的同步、远程信息采集等等，遇到这些需求网管员可以通过制定详细的规则和启用计划来自动维护系统的安全。日志监控

　　日志监控是十分有效的安全管理手段，往往许多管理员认为只要可以做日志的信息，都去采集，比如说对所有的告警或所有与策略匹配或不匹配的流量等等，这样的做法看似日志信息十分完善，但可以想一下每天进出防火墙的数据报文有上百万甚至更多，你如何在这些密密麻麻的条目中分析你所需要的信息呢？虽然有一些软件可以通过分析日志来获得图形或统计数据，但这些软件往往需要去二次开发或制定，而且价格不菲。所以只有采集到最关键的日志才是真正有用的日志。

　　一般而言，系统的告警信息是有必要记录的，但对于流量信息是应该有选择的。有时候为了检查某个问题我们可以新建一条与该问题匹配的策略并对其进行观测。比如：内网发现蠕虫病毒，该病毒可能会针对主机系统某UDP端口进行攻击，网管员虽然已经将该病毒清除，但为了监控有没有其他的主机受感染，我们可以为该端口增加一条策略并进行日志来检测网内的流量。

　　另外，企业防火墙可以针对超出经验阀值的报文做出响应，如丢弃、告警、日志等动作，但是所有的告警或日志是需要认真分析的，系统的告警支持根据经验值来确定的，比如对于工作站和服务器来说所产生的会话数是完全不同的，所以有时会发现系统告知一台邮件服务器在某端口发出攻击，而很有可能是这台服务器在不断的重发一些没有响应的邮件造成的。

　　设备管理

　　对于企业防火墙而言，设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现，但这种方式是不太安全的，因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理。