中小型企业防火墙选择与配置策略研究.docVIP

中小型企业的防火墙选择与配置策略研究 　　摘要:在中小型企业防火墙的选择过程中,首先要考虑防火墙本身的安全性,应用不同的网关技术,防火墙安全防范的侧重面也有所不同。另外防火墙其他的性能因素也是必须要考虑的。在防火墙具体的配置方式上,不同的服务也有不同的特点。 　　关键词:企业;防火墙;选择;配置 　　 　　一、引言 　　中小型企业用户在选择和配置自己的防火墙产品时,要根据自己网络的特点针对性地考虑配置方案,既要安全可靠,又要简单易用,经济可行。 　　众所周知,防火墙是一种隔离控制技术,在企业的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以阻止信息从企业的网络上被非法输出。所以,防火墙是一道门槛,可以控制进、出两个方向的通信。防火墙由一台或多台机器组成,它用一组软件将外部网络与内部网络隔开。 　　下面分别从几个不同的方面来分析基于中小型企业的防火墙选择与配置策略。 　　二、防火墙网关的基本类型 　　中小型企业的网络一般不是很大,如果要选择适合自己网络的防火墙,首先看看在中小型企业的防火墙设计中,有哪些类型的武器可以来对抗对网络的攻击。数据包过滤器是最廉价但却很实用的防火墙网关。它只使用一个路由器连接到互联网上,无需另外的费用。其工作方式通过基于数据包的源地址、目的地址或TCP端口来进行投递的。一般不保持前后连接信息,过滤的决定也是根据当前数据包的内容来定。 　　应用级网关是建立在网络应用层上的协议过滤,在防火墙技术中代表了相反的方面。它不像包过滤那样拦截所有的信息,而是针对每一个特定的应用都有一个程序,即在网络的应用层实现防火墙的功能。其优点是可以很方便地记录并控制所有的进、出通讯。但也有其弱点,就是这样的防火墙通常只能防范来自外部的攻击,如果破坏来自内部则无能为力。 　　三、需考虑的策略和关注的性能因素 　　除了考虑应用不同的网关技术以外,在中小型企业防火墙的选择和设置时还应考虑以下因素和策略: 　　1、安全策略。就防火墙来说,它只是一个单独的产品,要想靠一个防火墙来实现网络的安全是不现实的。实现网络的安全,整体上要有一个安全策略的问题,一个安全的防火墙配置一套不安全的策略也是没有效果的。安全的策略包括网络中的其他安全设施,包括这些安全设施如何同防火墙协同工作等等。 　　2、防火墙的稳定性。只有性能稳定,才可能真正实现防火墙的应有功能,所以产品最好通过专业人士或测评机构的认可。 　　3、防火墙的整体性能。防火墙不仅能更好的保护防火墙后面的内部网络安全,而且应该具有更优良的整体性能。速度不一定越快越好,像一些小的局域网出口速率不到1M/s,即使考虑到以后扩展的可能,如选用100M/s的防火墙就是多余的,所以设置方案要经济可行。 　　4、对不同接入方式的适应性。适应性小了,局限性就大了。 　　5、配置的方便性。选择防火墙时,一定要看它的配置是否容易掌握。否则,复杂的配置对网络管理员将是一个极大的考验。 　　6、可扩展性和可升级性。要留有足够的拓展空间才能适应将来迅速发展和变化的安全要求,要支持新的服务的加入。 　　7、有用的日志。防火墙日志对网络管理员来说至关重要。防火墙日志应具有可读性,而且防火墙应有精简日志的能力。 　　8、扫毒功能。 　　四、防火墙的具体安全配置 　　中小型企业局域网上不同的服务往往有各自不同的特点。有些服务是必须对外开放的,而有些服务是可以不提供的。对于各种不同的服务,防火墙的配置方式也是不同的。 　　1、电子邮件 　　电子邮件是一种广泛的Internet服务,正是它常常给广大用户带来麻烦。其中惹祸的根源往往是Sendmail程序和SMTP协议。对此,应在防火墙上安装Smap和Smapd这两个应用程序来限制Sendmail的权限,放弃SMTP一些次要的功能,并尽可能地减少处理命令,来获得更好的安全性。 　　2、Telnet服务 　　Telnet服务可以用来访问BBS站点和执行远程调用。不过它有个最大的安全问题:访问服务器的时候,口令的验证大都是采用明文验证。这样用户名和口令在传输时很容易被监听。但是管理员在配置时对于出站和入站是有不同的态度的。通常,它希望内部的用户可以访问出站的Telnet服务,另外,它不想让入站的Telnet访问它的站点,所以要严格控制入站服务。 　　3、WWW服务 　　WWW服务虽然功能强大,对另一方面隐患也是很多。 　　1)、HTTP协议。HTTP协议中的一个漏洞就是允许远程用户对远程服务器请求通信及远程执行命令,这会危及Web服务器和用户。另一个问题就是服务器日志。通常Web服务器会记录下各种用户的请求和数据信息,而HTTP对这些信息的检索不设限制导致安全问题。这可以通过设置代理服务器或者设置加密通信来解