企业级防火墙的七问七答
 

  企业级防火墙是目前金融、电信以及政府机构保护内部网络安全的首选产品,据统计三者所占的份额接近70%。但是,防火墙究竟是做什么的,能防范什么网络攻击行为,也许并不为大家所了解。现在让我们介绍一下防火墙的用途和功能:

1、 防火墙的保护对象究竟是谁,它是如何实现保护功能的?

  从广义上讲,防火墙保护的是企业内部网络信息的安全,比如防止银行服务器用户账号信息、政府部门的保密信息、部队中的作战计划和战略等重要信息的泄漏。从狭义上讲,防火墙保护的是企业内部网络中各个电脑的安全,防止计算机受到来自企业外部非安全网络中的所有恶意访问或攻击行为。防火墙实现对内部网络的保护功能是通过将内外网络进行物理隔离来实现的,然后根据预先定制的安全策略控制通过防火墙的访问行为,从而达到对企业内部网络访问的有效控制。防火墙通常有两种工作模式:网桥模式和路由模式。

  如果防火墙安装在企业内网与因特网之间作为安全屏障,最好选择路由模式,在该模式下可以使用防火墙的网络地址转换功能和代理功能,充分保护企业网络免受来自互联网的攻击。如果需要保护同一子网上不同区域(部门)的主机,可选择网桥模式,这时,原来的网络拓扑结构无须做任何改变。比如,企业的财务部是企业重要部门,即使内部员工也不允许随便访问,因此,需要特别的保护。但企业网络已经建成,相应改造会带来许多工作。此时,就可以选择防火墙的网桥工作模式,既不用改造企业网络结构,也可以在没有经过防火墙授权的情况下,禁止非法人员访问财务部的主机。如此一来,起到了局部信息保密和保护的效果。

2、 防火墙是不是只能防范外来的攻击?

  其实,对内外网之间通过防火墙的的不当访问行为,防火墙都是非常敏感的。即使是内部员工,如果违反企业的安全策略,一样会被防火墙及时的阻止并通告网络管理员。比如具有MAC地址绑定功能的防火墙,它可将内网每台主机的IP地址与该主机上网卡的物理地址进行一对一的绑定,能够有效阻止用户通过修改IP地址所进行的非授权访问。此外,防火墙还支持双向网络地址变换:源地址变换(SNAT)和目的地址变换(DNAT)。通过源地址变换,使外部网络无法了解内部网络的结构,从而提高了内网的安全性;同时,通过源地址变换,可以节省IP地址资源(内网主机可全部使用私有地址)。防火墙允许管理员定义一个时间范围,使该条规则只在这一时间范围内起作用。通过这种控制机制,可以为企业提供更加灵活的配置策略,例如,可以定义规则只允许公司市场部员工和经理在任何时间访问因特网,而其他部门员工只允许在午休时间访问互联网。具有这项功能不仅为企业节省了一大笔的网络接入费,而且也提高了内网的安全防范能力。

3、对于让人头痛的垃圾邮件,防火墙有什么处理办法?

  防火墙一般会为HTTP、WWW、FTP和TELNET等协议提供专门的应用代理,此外还可提供邮件(SMTP)代理、RPC&UDP代理、一般应用代理(可代理所有基于TCP/IP的应用或服务)等。从外向内的FTP和TELNET的代理提供强用户认证机制,可有效阻止黑客进行的口令猜测攻击;而防火墙提供的邮件(SMTP)代理功能可阻止邮件炸弹的攻击,并可过滤垃圾邮件。使用应用层代理,可以有效地抵御那些能够穿过包过滤型防火墙的基于应用的攻击。

4、如果防火墙"生病"了,网络安全谁来负责?

为了满足企业对防火墙可靠性的更高级别的要求,防火墙大都提供了双机热备份功能,也就是在主防火墙"生病"(发生故障)的时候,备份防火墙会担当起主防火墙的职责,能够识别并自动接管主防火墙的全部功能,保障网络的正常运行。

5、防火墙能够防范哪些网络攻击?

防火墙会缺省设置一些基本规则,不需要用户参与,可以有效防范IP地址欺骗、Ping of death、teardrop以及Syn flooding等基本网络攻击,保护内网和防火墙免遭多种形式的拒绝服务攻击和非法访问。

6、防火墙是如何辨别正常登录和非法登录的?

  防火墙的自我保护意识较强,网络管理员必须通过强用户认证才能登录到防火墙,对防火墙上的配置文件进行修改。管理主机(可以放置在内外网任何地方,包括拨号网络)与防火墙之间的通信采用加密传输,以防止黑客利用网络嗅探器对数据的窃取。利用这种机制,可以杜绝黑客假冒管理员对防火墙文件进行篡改和获取敏感信息。

7、防火墙应该是网络管理员最得力的助手,它是通过什么形式来汇报网络运行状态的?

  防火墙内部的进程监视器实时监控防火墙的运行状态;日志系统提供强大的日志审计功能,并可提供详细的日志分析统计报告;流量统计模块提供基于单个主机的流量统计报告和曲线。系统管理员可以在管理主机上实时查看防火墙的运行状态和浏览各类报告,让管理员对防火墙及网络运行状况一目了然。为避免系统硬盘空间耗尽,防火墙保存的日志文件定时滚动,最长保存时间可由用户设置。同时,可选的日志实时备份模块,能够实现日志异地存储。

  在了解了防火墙的基本功能后,我们应该对网络的安全概念有所加深,对网络的威胁并非只来自于病毒,其实各种黑客攻击手段已经越来越多的对我们正常的工作和生活形成威胁,因此,在构建和完善企业内部网络的时候,需要谨慎的考虑和选择。