部署網(wǎng)絡(luò)防火墻幾乎已經(jīng)成為了企業(yè)網(wǎng)絡(luò)安全管理員潛意識里存在的東西，但是如果不能正確地對網(wǎng)絡(luò)防火墻進(jìn)行部署。那么實際上企業(yè)網(wǎng)絡(luò)安全的收效甚微，本篇文章就主要介紹六個防火墻部署誤區(qū)，希望能夠?qū)W(wǎng)絡(luò)安全管理員有所幫助。

防火墻部署誤區(qū)一：部署了防火墻并不等于絕對安全

防火墻對于企業(yè)網(wǎng)絡(luò)的保護(hù)作用是每位企業(yè)網(wǎng)管所共知的，可是，企業(yè)網(wǎng)絡(luò)部署了防火墻，并不意味著企業(yè)網(wǎng)絡(luò)就不再有安全威脅。舉個最簡單的例子，防火墻的功能僅僅能夠?qū)碜酝獠烤W(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過濾，如果有人在企業(yè)網(wǎng)絡(luò)內(nèi)部搞破壞，防火墻是沒有任何防范作用的。

另外，防火墻對來自外部數(shù)據(jù)的過濾檢查是按照過濾規(guī)則進(jìn)行的。如果一種網(wǎng)絡(luò)攻擊模式不在防火墻過濾規(guī)則之內(nèi)，防火墻對于這種網(wǎng)絡(luò)攻擊也是沒有任何防范能力的。為此，企業(yè)網(wǎng)管不要認(rèn)為網(wǎng)絡(luò)中部署了防火墻，企業(yè)網(wǎng)絡(luò)就絕對安全，不再有任何安全隱患，部署了防火墻并不等于絕對安全。

防火墻部署誤區(qū)二：長期不更新防火墻安全策略

防火墻可以阻擋來自外界的網(wǎng)絡(luò)攻擊，以及過濾一些網(wǎng)絡(luò)病毒，這都得益于防火墻設(shè)備的安全策略。如同殺毒軟件一樣，憑借防火墻自帶默認(rèn)的安全策略，防火墻設(shè)備能夠阻擋已知的網(wǎng)絡(luò)攻擊模式，以及一部分網(wǎng)絡(luò)病毒;對于新的網(wǎng)絡(luò)攻擊模式，以及新的網(wǎng)絡(luò)病毒，防火墻是沒有任何防范能力的。要想讓防火墻能夠具備非常強(qiáng)大的防范能力，企業(yè)網(wǎng)管必須定期的更新防火墻的安全策略。

在網(wǎng)絡(luò)安全漏洞呈爆炸式增長的今天，如果長期不更新防火墻的安全策略，防火墻無疑會成為一個擺設(shè)。每當(dāng)遇到新的網(wǎng)絡(luò)安全漏洞，企業(yè)網(wǎng)管必須及時的更新防火墻的安全策略，只有這樣，防火墻才能真正成為企業(yè)網(wǎng)絡(luò)的安全保護(hù)神。

防火墻部署誤區(qū)三：安裝防火墻設(shè)備的所有組件

眾所周知，部署防火墻這款網(wǎng)絡(luò)安全設(shè)備時，很多企業(yè)網(wǎng)管為了保障企業(yè)網(wǎng)絡(luò)的安全，通常會將防火墻所有的功能組件都安裝到防火墻設(shè)備中。從表面看，安裝了所有組件的防火墻，安全更有保障。可是，安裝了一些多余的防火墻組件之后，反而會降低防火墻的安全性能。

從技術(shù)角度來講，防火墻的工作過程與普通PC相似。對于一臺普通的PC來說，如果安裝了過多的功能組件，其系統(tǒng)響應(yīng)速度會變慢，尤其是PC開機(jī)時如果啟動了太多的項目，PC可能會因為不堪重負(fù)而死機(jī)。防火墻亦是如此，防火墻中的組件都是隨防火墻啟動而啟動的，如果網(wǎng)管部署防火墻時安裝了所有組件，勢必會耗費(fèi)防火墻太多的資源，在網(wǎng)絡(luò)數(shù)據(jù)交換繁忙時，防火墻設(shè)備可能會因為系統(tǒng)資源不足而當(dāng)機(jī)。一旦防火墻當(dāng)機(jī)，防火墻將失去了作用，企業(yè)網(wǎng)絡(luò)也將失去防火墻的保護(hù)，其后果不難想象。為此，部署防火墻時，不要安裝防火墻設(shè)備的所有組件。

防火墻部署誤區(qū)四：把防火墻當(dāng)成防病毒的武器

從理論上說，防火墻當(dāng)然可以防病毒，但防火墻只能防范通過網(wǎng)絡(luò)傳播的一部分病毒。道理很簡單，防火墻是位于網(wǎng)絡(luò)通路上的一道關(guān)卡，對于一切經(jīng)過它的數(shù)據(jù)包，它都可以過濾出禁止傳輸?shù)臄?shù)據(jù)?？墒牵蠖鄶?shù)病毒在傳播過程中是非常隱蔽的，防火墻的過濾規(guī)則很難有效的防范病毒入侵，看一下病毒傳播的過程就明白了。

病毒在隱蔽在網(wǎng)絡(luò)應(yīng)用層中的，在通過防火墻時，病毒被分為若干個數(shù)據(jù)包。不可否認(rèn)，防火墻雖然可以過濾一些數(shù)據(jù)包，但分割為多個數(shù)據(jù)包的病毒，防火墻是很難識別的，除非防火墻能夠?qū)⑷舾蓚€數(shù)據(jù)包重新拼裝起來進(jìn)行檢查，否則防火墻是不可能發(fā)現(xiàn)病毒的。防火墻對數(shù)據(jù)包的過濾，僅僅是決定轉(zhuǎn)發(fā)還是放棄，為此，防火墻的過濾規(guī)則很難防范通過網(wǎng)絡(luò)傳播的病毒。

不過，對于一些特征非常明顯的病毒，防火墻是可以過濾的。例如震蕩波病毒，在傳播過程中是占用TCP的某些端口，這時，只要企業(yè)網(wǎng)管將防火墻的端口封閉，震蕩波病毒將無法進(jìn)入企業(yè)網(wǎng)絡(luò)中。在實際應(yīng)用中，能夠像震蕩波這樣有如此明顯特征的病毒很少?？偟膩碚f，防火墻對于病毒有一定的防范能力，但防范能力是非常有限的，為此，不要把防火墻當(dāng)成防病毒的有效武器。

防火墻部署誤區(qū)五：忽略防火墻日志文件的作用

與任何一款網(wǎng)絡(luò)設(shè)備一樣，防火墻工作過程中也會自動生成日志。在企業(yè)網(wǎng)絡(luò)的日常維護(hù)中，很多企業(yè)網(wǎng)管認(rèn)識防火墻日志的存在，更沒有意識到防火墻工作日志的重要性。對于防火墻的日志，企業(yè)網(wǎng)管存在著諸多誤區(qū)。

由于防火墻每天在過濾數(shù)百萬甚至上千萬的報文數(shù)據(jù)包，其生成的日志也是數(shù)量眾多。面對密密麻麻的日志文件，企業(yè)網(wǎng)管該從何處入手呢?其實，對于正常過濾的數(shù)據(jù)包記錄，企業(yè)網(wǎng)管是無需理會的。諸如丟棄、告警、日志等動作，企業(yè)網(wǎng)管需要慎重的進(jìn)行審核，并且進(jìn)行分析，以確定是否有非法的網(wǎng)絡(luò)攻擊存在，切莫忽視防火墻日志文件的作用。

防火墻部署誤區(qū)六：過濾規(guī)則中有太多拒絕規(guī)則

對于防火墻的過濾規(guī)則，每位企業(yè)網(wǎng)管都非常熟悉。防火墻工作過程中，對于允許的數(shù)據(jù)包直接放行，而對于拒絕的規(guī)則，將直接拋棄。毫無疑問，如果防火墻的過濾規(guī)則中有太多的拒絕規(guī)則，將會浪費(fèi)防火墻的系統(tǒng)資源，因為防火墻需要不斷的拒絕不符合規(guī)則的數(shù)據(jù)包，并且禁止其通過。為此，在配置防火墻的過濾規(guī)則時，要少用拒絕規(guī)則。

總結(jié)：防火墻有保護(hù)企業(yè)網(wǎng)絡(luò)安全的功能，可是，防火墻并不是萬能的，也會有漏洞。加之防火墻是一個機(jī)器，其保護(hù)功能需要人的設(shè)置才能提高。也就是說，要想讓防火墻的保護(hù)功能更加完善，部署防火墻時必須躲開上述誤區(qū)。
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險