企业安全管理——合理设置防火墙

信息时代虽然给用户带来了便利和更快捷的资讯，但也带来了大量的病毒以及其身后更具威胁的黑客群体，任何事物都具有两面性，网络更是如此。网络的每一个角落，从Internet到企业用户局域网、从个人电脑到PDA，没有任何地方可以宣称绝对安全的。病毒的每一次爆发，都会对人们对安全的认识来一次重新的认识，有希望但更多人是失望。

　　经历了一次又一次的病毒危机后，人们已经开始认真对待网络安全问题。现在任何一个企业组建网络首先都会考虑到购买防火墙，越来越多的家庭用户已经或正准备在自己的电脑上安装软件防火墙防火墙。虽然笔者并不认为防火墙一定可以解决问题，但合理的设置防火墙能够最大限度的将威胁挡在门外。就许多中小企业而言，防火墙的配置往往并没有结合业务需求做充分的考虑。如果仅是考虑防火墙的防护设置，防火墙本身的安全过滤规则就有可能允许不安全的服务和通信通过，也有可能使企业需要的服务拒之门外，从而给企业网络带来不必要的麻烦。防火墙可以看作是一个数据的过滤器，如果事先制定了合理的过滤规则，它将可以截住违反规则的数据报文，从而起到过滤的作用。　　中小企业防火墙应具有哪些功能

　　如何合理的进行防火墙配置呢?首先，让我们需要认识中小企业防火墙一般都应具有哪些功能：

　　1. 动态包过滤技术，动态维护通过防火墙的所有通信的状态(连接)，基于连接的过滤;

　　2. 可以作为部署NAT(Network Address Translation，网络地址变换)的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，缓解地址空间不足的问题;

　　3. 可以设置信任域与不信任域之间数据出入的策略;

　　4. 可以定义规则计划，使得系统在某一时段内可以自动启用和关闭策略;

　　5. 具有详细的日志功能，提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录，并支持日志服务器和日志导出;

　　6. 具有IPSec VPN功能，可以实现跨互联网安全的远程访问;

　　7. 具有邮件通知功能，可以将系统的告警通过发送邮件通知网络管理员;

　　8. 具有攻击防护功能对不规则的IP、TCP报或超过阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃;

　　9. Web过滤功能，过滤掉Java, ActiveX, Cookie、URL关键字、Proxy等容易被黑客利用的威胁。

　　以上仅是中小企业防火墙所应具备的防护特性的一部分，随着技术的发展防火墙的功能会变得越来越丰富，但有再多功能的防火墙如果没有合理的配置和管理，那么这只是一件昂贵的摆设。