企業級防火牆

企業級防火牆

企業級防火牆是目前金融、電信以及政府機構保護內部網路安全的首選產品,據統計三者所佔的份額接近70%。但是,防火牆究竟是做什麼的,能防範什麼網路攻擊行為,也許並不為大家所了解。

目錄

正文


現在讓我們介紹一下防火牆的用途和功能:
1、防火牆的保護對象究竟是誰,它是如何實現保護功能的?
從廣義上講,防火牆保護的是企業內部網路信息的安全,比如防止銀行伺服器用戶賬號信息、政府部門的保密信息、部隊中的作戰計劃和戰略等重要信息的泄漏。從狹義上講,防火牆保護的是企業內部網路中各個電腦的安全,防止計算機受到來自企業外部非安全網路中的所有惡意訪問或攻擊行為。防火牆實現對內部網路的保護功能是通過將內外網路進行物理隔離來實現的,然後根據預先定製的安全策略控制通過防火牆的訪問行為,從而達到對企業內部網路訪問的有效控制。防火牆通常有兩種工作模式:網橋模式和路由模式。
如果防火牆安裝在企業內網與網際網路之間作為安全屏障,最好選擇路由模式,在該模式下可以使用防火牆的網路地址轉換功能和代理功能,充分保護企業網路免受來自網際網路的攻擊。如果需要保護同一子網上不同區域(部門)的主機,可選擇網橋模式,這時,原來的網路拓撲結構無須做任何改變。比如,企業的財務部是企業重要部門,即使內部員工也不允許隨便訪問,因此,需要特別的保護。但企業網路已經建成,相應改造會帶來許多工作。此時,就可以選擇防火牆的網橋工作模式,既不用改造企業網路結構,也可以在沒有經過防火牆授權的情況下,禁止非法人員訪問財務部的主機。如此一來,起到了局部信息保密和保護的效果。
2、防火牆是不是只能防範外來的攻擊?
其實,對內外網之間通過防火牆的的不當訪問行為,防火牆都是非常敏感的。即使是內部員工,如果違反企業的安全策略,一樣會被防火牆及時的阻止並通告網路管理員。比如具有MAC地址綁定功能的企業級防火牆,它可將內網每台主機的IP地址與該主機上網卡的物理地址進行一對一的綁定,能夠有效阻止用戶通過修改IP地址所進行的非授權訪問。此外,防火牆還支持雙向網路地址變換:源地址變換(SNAT)和目的地址變換(DNAT)。通過源地址變換,使外部網路無法了解內部網路的結構,從而提高了內網的安全性;同時,通過源地址變換,可以節省IP地址資源(內網主機可全部使用私有地址)。企業級防火牆允許管理員定義一個時間範圍,使該條規則只在這一時間範圍內起作用。通過這種控制機制,可以為企業提供更加靈活的配置策略,例如,可以定義規則只允許公司市場部員工和經理在任何時間訪問網際網路,而其他部門員工只允許在午休時間訪問網際網路。具有這項功能不僅為企業節省了一大筆的網路接入費,而且也提高了內網的安全防範能力。
3、對於讓人頭痛的垃圾郵件,防火牆有什麼處理辦法?
防火牆一般會為HTTP、WWW、FTPTELNET等協議提供專門的應用代理,此外還可提供郵件(SMTP)代理、RPC&UDP代理、一般應用代理(可代理所有基於TCP/IP的應用或服務)等。從外向內的FTP和TELNET的代理提供強用戶認證機制,可有效阻止黑客進行的口令猜測攻擊;而防火牆提供的郵件(SMTP)代理功能可阻止郵件炸彈的攻擊,並可過濾垃圾郵件。使用應用層代理,可以有效地抵禦那些能夠穿過包過濾型防火牆的基於應用的攻擊。
4、如果防火牆"生病"了,網路安全誰來負責?
為了滿足企業對防火牆可靠性的更高級別的要求,防火牆大都提供了雙機熱備份功能,也就是在主防火牆"生病"(發生故障)的時候,備份防火牆會擔當起主防火牆的職責,能夠識別並自動接管主防火牆的全部功能,保障網路的正常運行。
5、防火牆能夠防範哪些網路攻擊?
防火牆會預設設置一些基本規則,不需要用戶參與,可以有效防範IP地址欺騙、Ping of death、teardrop以及Syn flooding等基本網路攻擊,保護內網和防火牆免遭多種形式的拒絕服務攻擊和非法訪問。
6、防火牆是如何辨別正常登錄和非法登錄的?
防火牆的自我保護意識較強,網路管理員必須通過強用戶認證才能登錄到防火牆,對防火牆上的配置文件進行修改。企業級防火牆提供的強用戶認證使用雙因子認證(鑰匙口令+防火牆一次性口令),確保管理員不被假冒,管理主機(可以放置在內外網任何地方,包括撥號網路)與防火牆之間的通信採用加密傳輸,以防止黑客利用網路嗅探器對數據的竊取。利用這種機制,可以杜絕黑客假冒管理員對防火牆文件進行篡改和獲取敏感信息。
7、防火牆應該是網路管理員最得力的助手,它是通過什麼形式來彙報網路運行狀態的?
企業級防火牆內部的進程監視器實時監控防火牆的運行狀態;日誌系統提供強大的日誌審計功能,並可提供詳細的日誌分析統計報告;流量統計模塊提供基於單個主機的流量統計報告和曲線。系統管理員可以在管理主機上實時查看防火牆的運行狀態和瀏覽各類報告,讓管理員對防火牆及網路運行狀況一目了然。為避免系統硬碟空間耗盡,防火牆保存的日誌文件定時滾動,最長保存時間可由用戶設置。同時,可選的日誌實時備份模塊,能夠實現日誌異地存儲。
在了解了防火牆的基本功能后,我們應該對網路的安全概念有所加深,對網路的威脅並非只來自於病毒,其實各種黑客攻擊手段已經越來越多的對我們正常的工作和生活形成威脅,因此,在構建和完善企業內部網路的時候,需要謹慎的考慮和選擇。