由于黑客技术日益公开化，职业化，各种攻击日益频繁，病毒日益泛滥，重大网络安全事件日益增多。防火墙作为企业安全防护的第一道闸门，已经成为企业网络安全防护的重要部件。

　　然而，在考察我国企业网络的安全现状时，我们仍然发现，有相当一部分网络，虽然安装了硬件防火墙防护设备，但由于管理员的水平有限，在防火墙的使用和配置上存在一些问题，并没有能最大程度的发挥防火墙的安全防护作用。下面，在大唐龙创公司长期从事网络安全一线工作的笔者列举一些在实际工作中发生的现象，出现的问题，以帮助我们的网络管理员能更好的防护企业的网络。

　　问题一：

　　某国家机关，防火墙投入运行后，实施了一套较为严格的安全规则，禁止内部员工使用QQ聊天，可是没过多久就有员工私自用PC拨号上网，结果导致感染了特洛依木马和蠕虫冲击波等病毒，并立刻在内部局域网中传播开来，造成内部网大面积瘫痪。

　　通过这个案例，我们需要明确的是，防火墙作为一种边界防护类型的网络安全设备，必须部署在受保护网络的边界处，只有这样，防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一，有额外的出入口，那么入侵者会通过其它途径先入侵我们的主机，然后进一步攻击我们整个网络。

　　我们设置的防火墙策略，其实是与单位的制定的上网管理制度严格相关的，在配置防火墙控制策略前，我们一般需要先制定企业安全上网的管理制度，并彻底贯彻实施。在上述案例中，首先应该在单位制度中明确严格禁止私自拨号上网的行为，以防止出现多出口的情况。同时，在制定策略时，也要考虑员工的需求，可以按照时间段添加防火墙规则，比如在非工作时间开放员工QQ上网聊天等的权限。

　　问题二：

　　关于防火墙DMZ区的使用和防火墙的DMZ区域规则的配置。

　　现在很多企业网络一般都是很简单，防火墙部署在企业网出口，后面接内网核心交换机，核心交换机再接分支交换机，用户主机接各个分支交换机进行网络访问。笔者在用户使用大唐龙创防火墙或者其他品牌的调查中发现，由于一些网络集成商，对于防火墙的DMZ区没有深刻认识，有些企业防火墙的DMZ口并没有使用，企业网内部对外开放的服务器与所有上网办公主机是混在一起的。而有一些企业，虽然使用了DMZ接口，但由于设置的规则不合理，其实并没有起到DMZ区隔离安全效果。这其实都存在很大的安全隐患。

　　DMZ，即非军事化缓冲区，是当网络内部有服务需要开放给公网用户时而设置的独立区域。由于这些开放服务器要面对的是大量公网的任意未知用户，因此，在接入时一般必须使用防火墙的独立DMZ接口进行隔离，同时需要设置严格的防火墙控制策略，以防止入侵者的破坏。内部服务器要作为功能独立的主机要与单位用户的个人主机分开，同时为便于管理，一般地址段也是独立的，以区分于个人用户的地址段。

　　如果内部服务器是与其他主机混在一起，没有放在独立的DMZ区进行隔离，其后果可能是，一旦服务器被黑客利用其漏洞攻击成功，则整个网络就暴露在黑客面前，黑客将很轻松的以服务器为跳板攻击整个网络。

　　因此，我们在配置开放服务的防火墙DMZ区策略时，也一定要严格，一般都细化到服务器每个端口，开放了什么服务，才在防火墙规则中打开什么端口号。对于不使用的端口号，要全部禁止。同时，特别要注意的是，千万不要在防火墙中加DMZ区到内网区的全通规则，如果这样，DMZ区也就失去了防护的意义。如果确实有到内网的通信需求，也要细化到哪个IP地址的哪个端口，或者在需要时动态添加，当业务完成后，就要马上将规则删除。

　　问题三：

　　一些单位以前是通过传统路由器进行上网，现在考虑安全性的问题，才购买的硬件防火墙，在这种情况下，应该如何部署防火墙？

　　在网络设计中，一般有三种接入方式，下面对这三种防火墙的位置进行一下比较：

　　1） 放在路由器之前，路由器与接入光纤的光电转换之间，防火墙工作在透明方式。

　　这种方式下，路由器的配置不变，通过设置规则，防火墙可以有效保护内部开放的服务器和路由器本身，但由于防火墙在路由器外，此时内部用户的数据包到达防火墙时已经做了源地址转换SNAT，因此，防火墙不能对内部的用户做差异化的配置，而只能将内部所有用户视作一个整体进行业务的封锁和保护，因此在使用上有一定的局限。

　　2） 放在路由器之后，路由器与交换机之间，防火墙工作在透明方式。

　　同第一种方式相比，这种方式仍不需要修改路由器和内部PC的配置，且由于是防在内网，因此可以在规则配置时做差异化的配置，如领导的PC可以任何时间访问任何资源，而普通员工上班时间只能访问网页和收发mail，而下班时间才将MSN，QQ，视频等业务放开。目前使用这种方式的网络比较普遍。但这种方式在网络改造时最容易忽略案例二所讲到的，没有把内部开放服务的集中和放在DMZ区进行隔离。

　　3） 防火墙替换出口路由器，作为出口网关，工作在路由方式。

　　同以上两种方式相比，此时防火墙承担了更大的功能，不仅可以实现方式二的所有功能，而且网络拓扑也变得简单，今后网络出现故障也容易查询，特别是随着防火墙产品性能的提高和功能的更加丰富，这种方式已越来越成为主流。

　　在方案的选择中，如果出口路由器的档次比防火墙还低，一般建议将原有路由器进行替换，以提高网络的整体性能。
　　在第三种方案中，对于替换原有出口路由器的处理，根据其使用年限和路由器档次的不同，可以如下选择：
　　1）做为出口防火墙的备份，当防火墙出现故障时，作为备用设备顶替。
　　2）对于比较大的网络，可以使用在内部重要部门子网的出口，如财务部，隐藏重要部门内部的网络拓扑和PC的地址，不受攻击。
　　3）使用在其他网络的建设中，或者使用了很长时间或者档次比较低级，也可以申请报废。

热门推荐：

让OpenSSH成为安全的Web服务器

eMule电驴常见10个问题及解决

【责任编辑 彭凡】