以下的文章主要是介紹企業(yè)防火墻不能完成的三大任務(wù)，在企業(yè)網(wǎng)絡(luò)管理的工具中網(wǎng)絡(luò)防火墻一定是在其中的，確實(shí)，防火墻的出現(xiàn)，讓我們實(shí)現(xiàn)了可以"全網(wǎng)統(tǒng)一"，在企業(yè)網(wǎng)絡(luò)的級(jí)別上實(shí)現(xiàn)網(wǎng)絡(luò)管理策略。

這對(duì)于針對(duì)單機(jī)的管理來說，是一個(gè)很大的進(jìn)步。但是，世上往往沒有十全十美的東西，防火墻也不是救世主，不能夠解決網(wǎng)絡(luò)管理中的一切問題。防火墻也必須同其他管理工具一起，才能夠保障企業(yè)網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。

下面筆者就簡單介紹一下企業(yè)防火墻在現(xiàn)階段基本上不能夠?qū)崿F(xiàn)的三個(gè)任務(wù)以及應(yīng)對(duì)之道。

第一個(gè)不能完成的任務(wù)：不通過防火墻對(duì)于企業(yè)的攻擊。

從企業(yè)網(wǎng)絡(luò)的安全性考慮，企業(yè)網(wǎng)絡(luò)安全主要來自于兩個(gè)方面。一是來自于企業(yè)外部，如外部木馬的滲入、外部惡意的攻擊等等;二是來自于內(nèi)部的攻擊，如員工處于報(bào)復(fù)等攻擊服務(wù)器、或者無意中把病毒通過U盤等移動(dòng)存儲(chǔ)工具帶到企業(yè)內(nèi)部。根據(jù)相關(guān)的統(tǒng)計(jì)，企業(yè)80%的安全威脅來自于企業(yè)內(nèi)部的行為;而只有20%是來自于外部的。從這里出發(fā)，若企業(yè)光靠一個(gè)防火墻，是遠(yuǎn)遠(yuǎn)不能夠保障企業(yè)的網(wǎng)絡(luò)安全的。

所以，若在企業(yè)的網(wǎng)絡(luò)中，只運(yùn)行一個(gè)企業(yè)防火墻，是遠(yuǎn)遠(yuǎn)不夠的。

一方面，員工在實(shí)際工作中，會(huì)無意的從外部網(wǎng)絡(luò)中，如在家里上網(wǎng)或者出差在外，帶一些病毒感染或者帶有木馬的文件到公司，從而引發(fā)內(nèi)部的攻擊。

另一方面，一些員工，可能對(duì)于公司的不滿，惡意的下載一些攻擊工具，如常見的DOS拒絕服務(wù)攻擊，從企業(yè)內(nèi)部對(duì)公司的文件服務(wù)器等進(jìn)行攻擊，導(dǎo)致企業(yè)網(wǎng)絡(luò)不能夠正常運(yùn)作。

無論是企業(yè)員工無意的過失，還是有意的報(bào)復(fù)行為，只要從企業(yè)內(nèi)部進(jìn)行攻擊，或者說，繞開防火墻而進(jìn)行的攻擊，則防火墻都將無能為力。

第二個(gè)不能完成的任務(wù)：防火墻沒有透視功能。

現(xiàn)在的防火墻，基本上沒有透視功能。也就算說，在數(shù)據(jù)通過防火墻傳輸?shù)脑挘瑒t不會(huì)檢視數(shù)據(jù)的具體內(nèi)容。這就給特洛伊木馬有了可乘之機(jī)。由于防火墻不會(huì)去檢查通過防火墻的具體內(nèi)容，所以，特洛伊木馬可以暢通無阻的進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò);很多病毒也可以進(jìn)入企業(yè)而不被防火墻所發(fā)現(xiàn)。所以，從這一點(diǎn)上說，防火墻對(duì)于病毒與木馬的防護(hù)能力是很薄弱的，還是需要跟病毒防火墻合作才能夠起到良好的保護(hù)作用，防止病毒與木馬的入侵。所以，防火墻與殺毒軟件是兩種不同的概念，這個(gè)要搞清楚。

一些被加密過的信息，防火墻也不會(huì)去進(jìn)行解密、加密動(dòng)作，因?yàn)橹灰募患用芰耍瑒t這個(gè)文件就可以在防火墻中暢通無阻的通過。如某個(gè)WORD文件，帶有危險(xiǎn)的腳本程序，只要他采用一定的加密手段對(duì)文件加密后，則這個(gè)WORD文件就可以進(jìn)入到企業(yè)內(nèi)部網(wǎng)站，然后當(dāng)內(nèi)部人員打開這個(gè)文件后，從而對(duì)企業(yè)的內(nèi)部網(wǎng)絡(luò)產(chǎn)生危害。另外，這個(gè)特性也不利于對(duì)企業(yè)文件的保護(hù)。如企業(yè)內(nèi)部員工把一份重要的EXCEL文件發(fā)送給非法的第三者，若員工對(duì)該文件進(jìn)行加密然后通過QQ軟件傳輸給第三方，由于該文件加密處理過，所以，防火墻不會(huì)去查看文件的具體內(nèi)容，從而導(dǎo)致企業(yè)機(jī)密文件泄露也無法追蹤。

另外，防火墻也不會(huì)去查詢隧道中傳輸內(nèi)容的合法性。我們都知道，虛擬專用網(wǎng)絡(luò)(VPN)可以在外部訪問者與企業(yè)內(nèi)部網(wǎng)絡(luò)之間形成一條虛擬的通道，以提高外部網(wǎng)絡(luò)訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的效率與安全性。但是，當(dāng)這條通道通過企業(yè)的防火墻的時(shí)候，由于防火墻這一技術(shù)限制，防火墻是不會(huì)去查看隧道中的內(nèi)容。所以，即使防火墻的策略拒絕某種信息流量的通過，但是，只要隧道建立之后，這些信息流在隧道中就可以暢通無阻的運(yùn)行，而不受防火墻策略的影響。

所以說，防火墻是沒有透視功能的。諸如對(duì)郵件內(nèi)容的跟蹤、對(duì)加密文件的判斷、對(duì)于隧道傳輸內(nèi)容的控制等等，都是無法實(shí)現(xiàn)的。

第三個(gè)不能完成的任務(wù)：企業(yè)防火墻依賴于特定的安全策略而工作。

防火墻其實(shí)就是一個(gè)過濾網(wǎng)，網(wǎng)絡(luò)管理員定義了哪些流量可以通過，哪些流量不能通過，然后，防火墻造做即可。我們所定義允許與不允許的語句，對(duì)于防火墻來說，就是安全策略。防火墻是基于這種安全策略來工作的。這跟殺毒軟件等不同。殺毒軟件本身就有一個(gè)病毒庫，可以實(shí)時(shí)的從網(wǎng)上下載，從而我們網(wǎng)絡(luò)管理員不需要進(jìn)行過多的干涉，即使想干涉也干涉不了。雖然現(xiàn)在很多殺毒軟件經(jīng)常發(fā)生誤殺事件，使得企業(yè)的操作系統(tǒng)崩潰。

但是防火墻則不同。防火墻若要工作順利的話，就需要我們一步步的叫他怎么做。如我們需要定義，允許哪些流量通過，不允許哪些流量通過。最常見的是，我們可以通過防火墻，禁止員工在上班時(shí)間上網(wǎng);允許他們?cè)谙掳鄷r(shí)間可以上網(wǎng)。通過防火墻，也可以限制企業(yè)訪問外部的FTP服務(wù)器，或者郵箱服務(wù)器，防止他們把公司重要的文件泄露給其他人，等等。這些策略都要我們一個(gè)個(gè)的教他們?cè)撛趺丛趺醋觥?/p>

真是由于防火墻是基于特定的策略而工作的，所以，防火墻的智能就比較低，需要我們花費(fèi)比較大的時(shí)間與精力跟防火墻打交道，防火墻才會(huì)成為我們網(wǎng)絡(luò)安全管理的好幫手。

為此，針對(duì)這個(gè)防火墻不能完成的三大任務(wù)，對(duì)于我們有什么啟示呢？

一是，我們要知道，任何一款網(wǎng)絡(luò)管理工具都無法拍胸脯可以保證，只憑自己就可以全面保護(hù)企業(yè)網(wǎng)絡(luò)的安全。防火墻只是企業(yè)網(wǎng)絡(luò)保護(hù)的一個(gè)點(diǎn)，一個(gè)企業(yè)邊界網(wǎng)絡(luò)上的安全管理工具。防火墻在企業(yè)網(wǎng)絡(luò)中，只能夠部分保護(hù)網(wǎng)絡(luò)的安全，要全面提高網(wǎng)絡(luò)的安全性能，還需要其他工具，如殺毒軟件、稍描工具的幫助。

二是從這里我們也可以看出，殺毒軟件、掃描工具、防火墻之間的區(qū)別。我在實(shí)際工作中，老是聽到別人向我詢問，既然安裝了防火墻，為什么還要安裝殺毒軟件呢？其實(shí)，防火墻與殺毒軟件是兩個(gè)不同的概念。防火墻是在企業(yè)網(wǎng)絡(luò)的邊界保護(hù)企業(yè)網(wǎng)絡(luò)的安全，而殺毒軟件，則是在終端，通過保護(hù)企業(yè)每臺(tái)主機(jī)使得他們不受病毒的侵襲從而保障企業(yè)整個(gè)網(wǎng)絡(luò)的安全。他們兩個(gè)所保護(hù)的點(diǎn)是不同的。

三是防火墻是基于特定的策略而運(yùn)作的，所以，防火墻基本上不能夠?qū)崿F(xiàn)智能部署。這就要求我們?cè)诜阑饓芾砩?，需要不斷的測試，只有所配置的策略測試沒有問題的時(shí)候，才能夠應(yīng)用到網(wǎng)絡(luò)上。比如，筆者在防火墻管理的時(shí)候，如要添加一個(gè)策略或者刪除一條策略的時(shí)候，一般都是選擇在休息日進(jìn)行。因?yàn)樵谛菹⑷眨梢宰屛矣凶銐虻臅r(shí)間對(duì)新策略進(jìn)行測試，在最大限度內(nèi)，減少因?yàn)椴呗缘恼`采用而給企業(yè)網(wǎng)絡(luò)的運(yùn)行帶來不必要的麻煩。

最后，筆者需要強(qiáng)調(diào)的是，防火墻雖然有一些不能夠完成的任務(wù)，但是，其在企業(yè)網(wǎng)絡(luò)的安全管理中，是一個(gè)非常好的幫手。為什么這么說呢？因?yàn)榉阑饓夹g(shù)的采用，使得我們網(wǎng)絡(luò)管理人員可以在全網(wǎng)上實(shí)現(xiàn)管理策略的統(tǒng)一。也就是說，我們可以借助防火墻，在企業(yè)內(nèi)外網(wǎng)的接口上，對(duì)公司的網(wǎng)絡(luò)采取統(tǒng)一的安全策略。這是一個(gè)解決企業(yè)網(wǎng)絡(luò)安全的一個(gè)非常好的管理思路。

在防火墻出現(xiàn)以前，我們只能夠在單機(jī)角度上出發(fā)，采取一些安全策略。但是，這對(duì)于我們管理很不方便。一是隨著主機(jī)的增多，我們的維護(hù)工作量也隨之增加;而是當(dāng)網(wǎng)絡(luò)終端數(shù)量達(dá)到一定的程度時(shí)，若沒有一個(gè)統(tǒng)一管理的平臺(tái)，則我們無法實(shí)現(xiàn)網(wǎng)絡(luò)安全策略的統(tǒng)一定義與管理，這很容易造成各個(gè)安全策略相互矛盾。

而由于企業(yè)防火墻的出現(xiàn)，則使得我們可以在網(wǎng)絡(luò)級(jí)別上，而不是基于終端，統(tǒng)一設(shè)置安全策略。如外部網(wǎng)絡(luò)訪問的規(guī)則，等等。筆者認(rèn)為，這對(duì)于我們網(wǎng)絡(luò)安全管理，是非常有必要的。筆者堅(jiān)信，雖然其在某些方面無法達(dá)到我們的要求，但是防火墻仍然是我們網(wǎng)絡(luò)安全管理的必不可少的工具，是不可替代的好幫手。

【編輯推薦】

1. 兩款三到四萬的企業(yè)防火墻選購
2. 淺析自適應(yīng)算法 提升企業(yè)防火墻的安全途徑
3. 企業(yè)防火墻：性能遠(yuǎn)遠(yuǎn)超過其安全功能
4. 安全圖解：企業(yè)防火墻構(gòu)建的誤區(qū)和實(shí)施策略
5. shorewall企業(yè)防火墻的完美實(shí)現(xiàn)