企業級防火牆是目前金融、電信以及政府機構保護內部網絡安全的首選產品,據統計三者所占的份額接近70%。但是,防火牆究竟是做什麼的,能防范什麼網絡攻擊行為,也許並不為大家所了解。現在讓我們介紹一下防火牆的用途和功能:
1、 防火牆的保護對象究竟是誰,它是如何實現保護功能的?
從廣義上講,防火牆保護的是企業內部網絡信息的安全,比如防止銀行服務器用戶賬號信息、政府部門的保密信息、部隊中的作戰計劃和戰略等重要信息的洩漏。從狹義上講,防火牆保護的是企業內部網絡中各個電腦的安全,防止計算機受到來自企業外部非安全網絡中的所有惡意訪問或攻擊行為。防火牆實現對內部網絡的保護功能是通過將內外網絡進行物理隔離來實現的,然後根據預先定制的安全策略控制通過防火牆的訪問行為,從而達到對企業內部網絡訪問的有效控制。防火牆通常有兩種工作模式:網橋模式和路由模式。
如果防火牆安裝在企業內網與因特網之間作為安全屏障,最好選擇路由模式,在該模式下可以使用防火牆的網絡地址轉換功能和代理功能,充分保護企業網絡免受來自互聯網的攻擊。如果需要保護同一子網上不同區域(部門)的主機,可選擇網橋模式,這時,原來的網絡拓撲結構無須做任何改變。比如,企業的財務部是企業重要部門,即使內部員工也不允許隨便訪問,因此,需要特別的保護。但企業網絡已經建成,相應改造會帶來許多工作。此時,就可以選擇防火牆的網橋工作模式,既不用改造企業網絡結構,也可以在沒有經過防火牆授權的情況下,禁止非法人員訪問財務部的主機。如此一來,起到了局部信息保密和保護的效果。
2、 防火牆是不是只能防范外來的攻擊?
其實,對內外網之間通過防火牆的的不當訪問行為,防火牆都是非常敏感的。即使是內部員工,如果違反企業的安全策略,一樣會被防火牆及時的阻止並通告網絡管理員。比如具有MAC地址綁定功能的瑞星企業級防火牆RFW-100,它可將內網每台主機的IP地址與該主機上網卡的物理地址進行一對一的綁定,能夠有效阻止用戶通過修改IP地址所進行的非授權訪問。此外,防火牆還支持雙向網絡地址變換:源地址變換(SNAT)和目的地址變換(DNAT)。通過源地址變換,使外部網絡無法了解內部網絡的結構,從而提高了內網的安全性;同時,通過源地址變換,可以節省IP地址資源(內網主機可全部使用私有地址)。瑞星企業級防火牆RFW-100允許管理員定義一個時間范圍,使該條規則只在這一時間范圍內起作用。通過這種控制機制,可以為企業提供更加靈活的配置策略,例如,可以定義規則只允許公司市場部員工和經理在任何時間訪問因特網,而其他部門員工只允許在午休時間訪問互聯網。具有這項功能不僅為企業節省了一大筆的網絡接入費,而且也提高了內網的安全防范能力。
3、對於讓人頭痛的垃圾郵件,防火牆有什麼處理辦法?
防火牆一般會為HTTP、WWW、FTP和TELNET等協議提供專門的應用代理,此外還可提供郵件(SMTP)代理、RPC&UDP代理、一般應用代理(可代理所有基於TCP/IP的應用或服務)等。從外向內的FTP和TELNET的代理提供強用戶認證機制,可有效阻止黑客進行的口令猜測攻擊;而防火牆提供的郵件(SMTP)代理功能可阻止郵件炸彈的攻擊,並可過濾垃圾郵件。使用應用層代理,可以有效地抵御那些能夠穿過包過濾型防火牆的基於應用的攻擊。
4、如果防火牆"生病"了,網絡安全誰來負責?
為了滿足企業對防火牆可靠性的更高級別的要求,防火牆大都提供了雙機熱備份功能,也就是在主防火牆"生病"(發生故障)的時候,備份防火牆會擔當起主防火牆的職責,能夠識別並自動接管主防火牆的全部功能,保障網絡的正常運行。
5、防火牆能夠防范哪些網絡攻擊?
防火牆會缺省設置一些基本規則,不需要用戶參與,可以有效防范IP地址欺騙、Ping of death、teardrop以及Syn flooding等基本網絡攻擊,保護內網和防火牆免遭多種形式的拒絕服務攻擊和非法訪問。
6、防火牆是如何辨別正常登錄和非法登錄的?
防火牆的自我保護意識較強,網絡管理員必須通過強用戶認證才能登錄到防火牆,對防火牆上的配置文件進行修改。瑞星企業級防火牆提供的強用戶認證使用雙因子認證(鑰匙口令+防火牆一次性口令),確保管理員不被假冒,管理主機(可以放置在內外網任何地方,包括撥號網絡)與防火牆之間的通信采用加密傳輸,以防止黑客利用網絡嗅探器對數據的竊取。利用這種機制,可以杜絕黑客假冒管理員對防火牆文件進行篡改和獲取敏感信息。
7、防火牆應該是網絡管理員最得力的助手,它是通過什麼形式來匯報網絡運行狀態的?
僅以瑞星防火牆RFW-100為例,其內部的進程監視器實時監控防火牆的運行狀態;日志系統提供強大的日志審計功能,並可提供詳細的日志分析統計報告;流量統計模塊提供基於單個主機的流量統計報告和曲線。系統管理員可以在管理主機上實時查看防火牆的運行狀態和浏覽各類報告,讓管理員對防火牆及網絡運行狀況一目了然。為避免系統硬盤空間耗盡,防火牆保存的日志文件定時滾動,最長保存時間可由用戶設置。同時,可選的日志實時備份模塊,能夠實現日志異地存儲。
在了解了防火牆的基本功能後,我們應該對網絡的安全概念有所加深,對網絡的威脅並非只來自於病毒,其實各種黑客攻擊手段已經越來越多的對我們正常的工作和生活形成威脅,因此,在構建和完善企業內部網絡的時候,需要謹慎的考慮和選擇。