合理配置防火牆是網絡安全的要素

　　今天我們所處的信息時代，也可以說也是病毒與黑客大行其道的時代，這樣說確實有些悲觀但今天的網絡的確如此，從Internet到企業內網、從個人電腦到可上網的手機平台，沒有地方是安全的。每一次網絡病毒的攻擊，都會讓家庭用戶、企業用戶、800熱線甚至是運營商頭痛腦熱。不過經歷過了一次又一次的病毒危機後，人們已經開始思考網絡的安全了。現在任何一個企業組建網絡都會考慮到購買防火牆，且有越來越多的家庭用戶在自己的電腦上甚至寬帶接入端也加上了防火牆，相信不久的將來，我們可以看到在手機上也會出現防火牆。 　　但是防火牆不是一道用於心理安慰的屏障，只有會用防火牆才能夠真正將威脅擋在門外。就許多中小企業而言，防火牆的配置往往沒有反映出企業的業務需求。如果對防火牆的防護執行設置沒有結合企業內部的需求而進行認真充分的定義，添加到防火牆上的安全過濾規則就有可能允許不安全的服務和通信通過，從而給企業網絡帶來不必要的危險與麻煩。防火牆可以比做一道數據的過濾網，如果事先制定了合理的過濾規則，它將可以截住不合規則的數據報文，從而起到過濾的作用。相反，如果規則不正確，將適得其反。　 　　中小企業防火牆應具有哪些功能： 　　如何合理實施防火牆的配置呢？首先，讓我們來看看中小企業防火牆一般都應具有哪些功能： 　　1． 動態包過濾技術，動態維護通過防火牆的所有通信的狀態（連接），基於連接的過濾； 　　2． 可以作為部署NAT（Network Address Translation，網絡地址變換）的地點，利用NAT技術，將有限的IP地址動態或靜態地與內部的IP地址對應起來，用來緩解地址空間短缺的問題； 　　3． 可以設置信任域與不信任域之間數據出入的策略； 　　4． 可以定義規則計劃，使得系統在某一時可以自動啟用和關閉策略； 　　5． 具有詳細的日志功能，提供防火牆符合規則報文的信息、系統管理信息、系統故障信息的記錄，並支持日志服務器和日志導出； 　　6． 具有IPSec VPN功能，可以實現跨互聯網安全的遠程訪問； 　　7． 具有郵件通知功能，可以將系統的告警通過發送郵件通知網絡管理員； 　　8． 具有攻擊防護功能對不規則的IP、TCP報或超過經驗閥值的TCP半連接、UDP報文以及ICMP報文采取丟棄； 　　9． Web中的Java, ActiveX, Cookie、URL關鍵字、Proxy進行過濾。 　　以上是中小企業防火牆所應具備的一些防護特性，當然隨著技術的發展中小企業防火牆的功能會變得越來越豐富；但有再多功能的防火牆如果沒有合理的配置和管理，那麼這只是一件IT擺設．
　　如何實施防火牆配置 　　如何實施防火牆配置呢？我們分別從以下幾方面來討論： 　　規則實施 　　規則實施看似簡單，其實需要經過詳盡的信息統計才可以得以實施。在過程中我們需要了解公司對內對外的應用以及所對應的源地址、目的地址、TCP或UDP的端口，並根據不同應用的執行頻繁程度對策率在規則表中的位置進行排序，然後才能實施配置。原因是防火牆進行規則查找時是順序執行的，如果將常用的規則放在首位就可以提高防火牆的工作效率。另外，，應該及時地從病毒監控部門得到病毒警告，並對防火牆的策略進行更新也是制定策略所必要的手段。 　　規則啟用計劃 　　通常有些策略需要在特殊時刻被啟用和關閉，比如凌晨3：00。而對於網管員此時可能正在睡覺，為了保證策略的正常運作，可以通過規則啟用計劃來為該規則制定啟用時間。另外，在一些企業中為了避開上網高峰和攻擊高峰，往往將一些應用放到晚上或凌晨來實施，比如遠程數據庫的同步、遠程信息采集等等，遇到這些需求網管員可以通過制定詳細的規則和啟用計劃來自動維護系統的安全。 　　日志監控 　　日志監控是十分有效的安全管理手段，往往許多管理員認為只要可以做日志的信息，都去采集，比如說對所有的告警或所有與策略匹配或不匹配的流量等等，這樣的做法看似日志信息十分完善，但可以想一下每天進出防火牆的數據報文有上百萬甚至更多，你如何在這些密密麻麻的條目中分析你所需要的信息呢？雖然有一些軟件可以通過分析日志來獲得圖形或統計數據，但這些軟件往往需要去二次開發或制定，而且價格不菲。所以只有采集到最關鍵的日志才是真正有用的日志。 　　一般而言，系統的告警信息是有必要記錄的，但對於流量信息是應該有選擇的。有時候為了檢查某個問題我們可以新建一條與該問題匹配的策略並對其進行觀測。比如：內網發現蠕蟲病毒，該病毒可能會針對主機系統某UDP端口進行攻擊，網管員雖然已經將該病毒清除，但為了監控有沒有其他的主機受感染，我們可以為該端口增加一條策略並進行日志來檢測網內的流量。 　　另外，企業防火牆可以針對超出經驗閥值的報文做出響應，如丟棄、告警、日志等動作，但是所有的告警或日志是需要認真分析的，系統的告警支持根據經驗值來確定的，比如對於工作站和服務器來說所產生的會話數是完全不同的，所以有時會發現系統告知一台郵件服務器在某端口發出攻擊,而很有可能是這台服務器在不斷的重發一些沒有響應的郵件造成的。 　　設備管理 　　對於企業防火牆而言，設備管理方面通常可以通過遠程Web管理界面的訪問以及Internet外網口被Ping來實現，但這種方式是不太安全的，因為有可能防火牆的內置Web服務器會成為攻擊的對象。所以建議遠程網管應該通過IPsec VPN的方式來實現對內端口網管地址的管理．