::: 點擊銘鴻展覽客服QQ號碼即時交流或留言 :::

 
企業級防火墻的七問七答
 

  企業級防火墻是目前金融、電信以及政府機構保護內部網絡安全的首選產品,據統計三者所占的份額接近70%。但是,防火墻究竟是做什么的,能防范什么網絡攻擊行為,也許并不為大家所了解,F在讓我們介紹一下防火墻的用途和功能:

1、 防火墻的保護對象究竟是誰,它是如何實現保護功能的?

  從廣義上講,防火墻保護的是企業內部網絡信息的安全,比如防止銀行服務器用戶賬號信息、政府部門的保密信息、部隊中的作戰計劃和戰略等重要信息的泄漏。從狹義上講,防火墻保護的是企業內部網絡中各個電腦的安全,防止計算機受到來自企業外部非安全網絡中的所有惡意訪問或攻擊行為。防火墻實現對內部網絡的保護功能是通過將內外網絡進行物理隔離來實現的,然后根據預先定制的安全策略控制通過防火墻的訪問行為,從而達到對企業內部網絡訪問的有效控制。防火墻通常有兩種工作模式:網橋模式和路由模式。

  如果防火墻安裝在企業內網與因特網之間作為安全屏障,最好選擇路由模式,在該模式下可以使用防火墻的網絡地址轉換功能和代理功能,充分保護企業網絡免受來自互聯網的攻擊。如果需要保護同一子網上不同區域(部門)的主機,可選擇網橋模式,這時,原來的網絡拓撲結構無須做任何改變。比如,企業的財務部是企業重要部門,即使內部員工也不允許隨便訪問,因此,需要特別的保護。但企業網絡已經建成,相應改造會帶來許多工作。此時,就可以選擇防火墻的網橋工作模式,既不用改造企業網絡結構,也可以在沒有經過防火墻授權的情況下,禁止非法人員訪問財務部的主機。如此一來,起到了局部信息保密和保護的效果。

2、 防火墻是不是只能防范外來的攻擊?

  其實,對內外網之間通過防火墻的的不當訪問行為,防火墻都是非常敏感的。即使是內部員工,如果違反企業的安全策略,一樣會被防火墻及時的阻止并通告網絡管理員。比如具有MAC地址綁定功能的防火墻,它可將內網每臺主機的IP地址與該主機上網卡的物理地址進行一對一的綁定,能夠有效阻止用戶通過修改IP地址所進行的非授權訪問。此外,防火墻還支持雙向網絡地址變換:源地址變換(SNAT)和目的地址變換(DNAT)。通過源地址變換,使外部網絡無法了解內部網絡的結構,從而提高了內網的安全性;同時,通過源地址變換,可以節省IP地址資源(內網主機可全部使用私有地址)。防火墻允許管理員定義一個時間范圍,使該條規則只在這一時間范圍內起作用。通過這種控制機制,可以為企業提供更加靈活的配置策略,例如,可以定義規則只允許公司市場部員工和經理在任何時間訪問因特網,而其他部門員工只允許在午休時間訪問互聯網。具有這項功能不僅為企業節省了一大筆的網絡接入費,而且也提高了內網的安全防范能力。

3、對于讓人頭痛的垃圾郵件,防火墻有什么處理辦法?

  防火墻一般會為HTTP、WWW、FTP和TELNET等協議提供專門的應用代理,此外還可提供郵件(SMTP)代理、RPC&UDP代理、一般應用代理(可代理所有基于TCP/IP的應用或服務)等。從外向內的FTP和TELNET的代理提供強用戶認證機制,可有效阻止黑客進行的口令猜測攻擊;而防火墻提供的郵件(SMTP)代理功能可阻止郵件炸彈的攻擊,并可過濾垃圾郵件。使用應用層代理,可以有效地抵御那些能夠穿過包過濾型防火墻的基于應用的攻擊。

4、如果防火墻"生病"了,網絡安全誰來負責?

為了滿足企業對防火墻可靠性的更高級別的要求,防火墻大都提供了雙機熱備份功能,也就是在主防火墻"生病"(發生故障)的時候,備份防火墻會擔當起主防火墻的職責,能夠識別并自動接管主防火墻的全部功能,保障網絡的正常運行。

5、防火墻能夠防范哪些網絡攻擊?

防火墻會缺省設置一些基本規則,不需要用戶參與,可以有效防范IP地址欺騙、Ping of death、teardrop以及Syn flooding等基本網絡攻擊,保護內網和防火墻免遭多種形式的拒絕服務攻擊和非法訪問。

6、防火墻是如何辨別正常登錄和非法登錄的?

  防火墻的自我保護意識較強,網絡管理員必須通過強用戶認證才能登錄到防火墻,對防火墻上的配置文件進行修改。管理主機(可以放置在內外網任何地方,包括撥號網絡)與防火墻之間的通信采用加密傳輸,以防止黑客利用網絡嗅探器對數據的竊取。利用這種機制,可以杜絕黑客假冒管理員對防火墻文件進行篡改和獲取敏感信息。

7、防火墻應該是網絡管理員最得力的助手,它是通過什么形式來匯報網絡運行狀態的?

  防火墻內部的進程監視器實時監控防火墻的運行狀態;日志系統提供強大的日志審計功能,并可提供詳細的日志分析統計報告;流量統計模塊提供基于單個主機的流量統計報告和曲線。系統管理員可以在管理主機上實時查看防火墻的運行狀態和瀏覽各類報告,讓管理員對防火墻及網絡運行狀況一目了然。為避免系統硬盤空間耗盡,防火墻保存的日志文件定時滾動,最長保存時間可由用戶設置。同時,可選的日志實時備份模塊,能夠實現日志異地存儲。

  在了解了防火墻的基本功能后,我們應該對網絡的安全概念有所加深,對網絡的威脅并非只來自于病毒,其實各種黑客攻擊手段已經越來越多的對我們正常的工作和生活形成威脅,因此,在構建和完善企業內部網絡的時候,需要謹慎的考慮和選擇。

 
 
九游游戏中心网页登录 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>