部署防火墻已經(jīng)成為了個大企業(yè)必備的網(wǎng)絡(luò)安全防御方式，選擇一款應(yīng)用防火墻可根據(jù)用戶、應(yīng)用、進程或IP子網(wǎng)層允許自定義訪問控制。這樣，管理員可以創(chuàng)建各種應(yīng)用策略，使應(yīng)用可供訪問并***真正實現(xiàn)對應(yīng)用的管理。

應(yīng)用防火墻可以幫助企業(yè)做十件事。

應(yīng)用防火墻應(yīng)做到的***件事：管理流視頻

訪問流視頻網(wǎng)站如youtube.com有時對我們非常有用，但通常會被濫用。攔截網(wǎng)站本身可能有效，但***是限制分配給流視頻網(wǎng)站的帶寬。

創(chuàng)建策略來限制流視頻：

使用深度包檢測(DPI)引擎在HTTP報頭中搜索HTTP網(wǎng)址=www.youtube.com。

將帶寬限制應(yīng)用于帶此報頭的流量。

應(yīng)用防火墻應(yīng)做到的第二件事：分組帶寬管理

在***件事中，我們對youtube.com等流視頻網(wǎng)站運用了帶寬限制。如今，公司***執(zhí)行官和***財務(wù)官總在抱怨每天訪問的“商業(yè)新聞視頻”速度太慢。您可以通過放松對每個人的帶寬限制來改善這種情況，但還有一個更好的方法，那就是進行分組帶寬管理。

創(chuàng)建不限制管理層瀏覽流視頻的策略，方法如下：

將此策略應(yīng)用于LDAP服務(wù)器導(dǎo)入的“管理”組

使用深度包檢測(DPI)引擎在HTTP報頭中搜索HTTP網(wǎng)址=www.youtube.com

確保包含此報頭的流量具有足夠的帶寬

應(yīng)用防火墻應(yīng)做到的第三件事：郵件和數(shù)據(jù)丟失

假設(shè)公司現(xiàn)有的防垃圾郵件防護系統(tǒng)可以檢測和阻止包含“公司機密”信息的外發(fā)電子郵件。但是，如果員工使用Yahoo或Gmail郵件服務(wù)來發(fā)送“公司機密”信息呢？

創(chuàng)建策略來攔截“公司機密”電子郵件：

使用深度包檢測(DPI)引擎搜索電子郵件內(nèi)容=“公司機密”

阻止郵件發(fā)送，并通知發(fā)件人此郵件為“公司機密”

應(yīng)用防火墻應(yīng)做到的第四件事：應(yīng)用使用強制

您的老板：希望使用InternetExplorer(IE)7.0版本作為標(biāo)準(zhǔn)瀏覽器。

您的任務(wù)：確保公司所有系統(tǒng)都使用IE7.0版本，而不使用其它任何版本!

您可能采用的解決方案如下：

1.每天檢查每個人的系統(tǒng)，查找“外來”瀏覽器。

2.安裝一種腳本來檢查每個人的系統(tǒng)，以查找出“外來”瀏覽器，同時確保腳本每天都會檢查每個人的系統(tǒng)。

3.在應(yīng)用防火墻中設(shè)置一種策略，從此便不再擔(dān)心。

創(chuàng)建“我找到了更好的解決方案”策略：

使用深度包檢測(DPI)引擎在HTTP報頭中搜索用戶代理=MSIE7.0

允許IE7.0流量，阻止其它瀏覽器

應(yīng)用防火墻應(yīng)做到的第五件事：拒絕FTP上傳

您可以建立一個FTP網(wǎng)站，以便與業(yè)務(wù)合作伙伴交換大型文件，同時，您希望確保合作伙伴方面只有項目經(jīng)理可以上傳文件，其他任何人都不允許這樣做。

創(chuàng)建策略來允許FTP上傳，但上傳只限于少數(shù)人

使用深度包檢測(DPI)引擎搜索FTP命令=放置

使用DPI引擎搜索驗證的用戶名=“pm_partner”

如果兩者均符合，就允許放置

應(yīng)用防火墻應(yīng)做到的第六件事：控制P2P應(yīng)用

問題1：對等網(wǎng)(P2P)應(yīng)用如BitTorrent可盜用寬帶，同時會帶來各種各樣的惡意文件。

問題2：創(chuàng)建新的P2P應(yīng)用或簡單修改現(xiàn)有的P2P應(yīng)用(如修改版本號)是常有的事。

創(chuàng)建策略來檢測P2P應(yīng)用，使用深度包檢測(DPI)引擎搜索IPS簽名表中的P2P應(yīng)用簽名

應(yīng)用防火墻應(yīng)做到的第七件事：管理流音樂

流音頻網(wǎng)站和流廣播網(wǎng)站占用了非常寶貴的帶寬，但是，公司又不得不訪問這類網(wǎng)站。目前，只有兩種辦法可以應(yīng)對這一挑戰(zhàn)。

(1)通過網(wǎng)站進行控制

創(chuàng)建一份您希望管理的流音頻網(wǎng)站名單

創(chuàng)建策略來檢測流音頻網(wǎng)站

使用深度包檢測(DPI)引擎在HTTP報頭中搜索HTTP網(wǎng)址=流音頻網(wǎng)站攔截列表

(2)通過文件擴展名進行控制

創(chuàng)建一份您希望管理的音頻文件擴展名列表

創(chuàng)建策略來檢測流音頻內(nèi)容

使用深度包檢測(DPI)引擎在HTTP報頭中搜索文件擴展名=流音頻擴展名攔截列表

應(yīng)用防火墻應(yīng)做到的第八件事：對應(yīng)用帶寬進行優(yōu)先排序

如今，許多關(guān)鍵業(yè)務(wù)應(yīng)用如SAP、Salesforce.com和SharePoint都是基于云計算的應(yīng)用，或者，它們的運行需要跨越不同地理位置的網(wǎng)絡(luò)。確保這些應(yīng)用可以優(yōu)先獲得運行所需的帶寬，從而改善業(yè)務(wù)效率。

創(chuàng)建策略為SAP應(yīng)用分配帶寬優(yōu)先權(quán)：

使用深度包檢測(DPI)引擎搜索應(yīng)用簽名或應(yīng)用名稱

為SAP應(yīng)用分配更高的帶寬優(yōu)先級

應(yīng)用防火墻應(yīng)做到的第九件事：攔截機密文件

在一些公司內(nèi)，外發(fā)電子郵件無法穿越電子郵件安全系統(tǒng)或系統(tǒng)無法檢查電子郵件附件的內(nèi)容。不管是以上哪種情況，作為電子郵件附件的“公司機密”文件可被輕松地帶出公司外。

一旦外發(fā)網(wǎng)絡(luò)流量穿越公司防火墻，您可以檢測并攔截“移動中的數(shù)據(jù)”。

創(chuàng)建策略來攔截包含加蓋了“公司機密”水印的電子郵件附件

使用深度包檢測(DPI)引擎搜索：電子郵件內(nèi)容=“公司機密”和“公司專有”和“私有”……

應(yīng)用防火墻應(yīng)做到的第十件事：攔截被禁止文件并發(fā)出通知

貴公司防火墻可以攔截以下內(nèi)容嗎？

從網(wǎng)頁中下載的EXE文件。

作為電子郵件附件的EXE文件。

經(jīng)由FTP傳輸?shù)腅XE文件。

那么，PIF、SRC或VBS文件呢？

創(chuàng)建被禁止文件擴展名列表。

創(chuàng)建策略來攔截被禁止文件擴展名。

使用深度包檢測(DPI)引擎搜索HTTP、電子郵件附件或FTP的文件擴展名=被禁止文件擴展名。

如果文件被攔截，對發(fā)件人發(fā)出通知。

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險