中小型企業(yè)網(wǎng)絡(luò)防火墻配置策略研究

【摘要】隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)攻擊形式也變得越來(lái)越復(fù)雜、難于防御，給中小型企業(yè)網(wǎng)絡(luò)安全造成巨大的威脅。如何構(gòu)建一個(gè)高效、完善的網(wǎng)絡(luò)防火墻安全系統(tǒng)已成為安全管理領(lǐng)域的研究熱點(diǎn)。防火墻是一種訪問(wèn)控制技術(shù)，它通過(guò)在企業(yè)內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間設(shè)置屏障，阻止信息資源的非法訪問(wèn)。

【關(guān)鍵詞】中小型企業(yè)；防火墻；策略

一、前言

中小型企業(yè)憑借其自身專業(yè)、靈活、創(chuàng)新等優(yōu)勢(shì)近年來(lái)逐漸發(fā)展成為我國(guó)國(guó)民經(jīng)濟(jì)中重要力量，未來(lái)發(fā)展前景不可估量。隨著互聯(lián)網(wǎng)的普及，國(guó)內(nèi)大多數(shù)中小企業(yè)都建立了自己的內(nèi)部網(wǎng)，它已經(jīng)成為企業(yè)信息化的重要組成部分?；ヂ?lián)網(wǎng)是一把雙刃劍，在給中小型企業(yè)發(fā)展帶來(lái)便利的同時(shí)，也存在著各種各樣的網(wǎng)絡(luò)安全問(wèn)題。在建設(shè)初期中，由于安全意識(shí)、安全管理等多方面的原因，中小型企業(yè)在網(wǎng)絡(luò)安全方面沒(méi)有引起足夠的重視，造成網(wǎng)絡(luò)安全事故不斷發(fā)生，使企業(yè)內(nèi)部網(wǎng)絡(luò)面臨極大的安全隱患。對(duì)于中小型企業(yè)來(lái)說(shuō)，制定合理的防火墻配置策略將為企業(yè)建立一道堅(jiān)固的壁壘，在保障企業(yè)網(wǎng)絡(luò)安全方面起著舉足輕重的作用，所以說(shuō)防火墻配置不可小覷。

二、防火墻概述

防火墻從狹義上說(shuō)是指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)，從廣義上說(shuō)防火墻還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。

防火墻是形成于被保護(hù)內(nèi)部網(wǎng)和外部網(wǎng)絡(luò)間的一道屏障，從而在互聯(lián)網(wǎng)與內(nèi)部網(wǎng)間形成安全網(wǎng)關(guān)，以有效避免難以預(yù)測(cè)的病毒性侵入。主要利用檢測(cè)、限制、更改跨越防火墻等方式來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行安全維護(hù)。

防火墻目前從技術(shù)上主要分為包過(guò)濾防火墻和應(yīng)用層代理防火墻，在基本實(shí)現(xiàn)原理上這兩種是相似的。防火墻一般有兩個(gè)網(wǎng)卡，一個(gè)連接外部網(wǎng)絡(luò)，另一個(gè)連接內(nèi)部網(wǎng)絡(luò)。正是由于防火墻的存在，當(dāng)主機(jī)進(jìn)行網(wǎng)絡(luò)轉(zhuǎn)發(fā)功能時(shí)，網(wǎng)絡(luò)數(shù)據(jù)才能夠從兩個(gè)網(wǎng)卡間直接通過(guò)。并且防火墻能夠?qū)拇颂幫ㄟ^(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行逐一檢測(cè)，想一個(gè)篩子一樣，只允許符合規(guī)則的數(shù)據(jù)包通過(guò)，不符合規(guī)則的就會(huì)被阻攔在墻外，從而也確保了用戶的網(wǎng)絡(luò)信息安全。

三、防火墻的配置策略

中小型企業(yè)網(wǎng)絡(luò)防火墻配置要充分考慮自身的特點(diǎn)，既要考慮成本、技術(shù)的限制，又要兼顧較高的安全性和可靠性，還要兼顧易使用、維修的原則。從根本意義上講，絕對(duì)安全的網(wǎng)絡(luò)是不存在的，任何網(wǎng)絡(luò)都有漏洞，只要使用，就或多或少地存在安全問(wèn)題。眾所周知，網(wǎng)絡(luò)具有開(kāi)放性、便利性和靈活性的優(yōu)勢(shì)，也因此受到人們的追捧，然而如果要實(shí)現(xiàn)網(wǎng)絡(luò)信息安全，恰恰是要以此優(yōu)勢(shì)為代價(jià)。換句話說(shuō)就是網(wǎng)絡(luò)安全性能越高，它給人們帶來(lái)的方便也就越少，麻煩越多。計(jì)算機(jī)網(wǎng)絡(luò)信息安全非常復(fù)雜，它首先要嚴(yán)格遵守各個(gè)國(guó)家的法律規(guī)范，不能侵犯他人的合法權(quán)益，還要涉及到技術(shù)掌握、設(shè)備維護(hù)、人員管理等范疇。只有天時(shí)地利各方面協(xié)調(diào)起來(lái)，網(wǎng)絡(luò)信息的安全才不是天方夜譚。拋開(kāi)人為因素，單從技術(shù)方面來(lái)講的話，中小型企業(yè)防火墻配置策略大致分為6種。

（1）物理策略。物理策略是基于企業(yè)網(wǎng)絡(luò)的硬件設(shè)施制定的，它包括企業(yè)配置的計(jì)算機(jī)系統(tǒng)、與之匹配的打印機(jī)和傳真機(jī)、電路設(shè)施以及網(wǎng)絡(luò)服務(wù)器等等。這些設(shè)施既有可能遭到人為的破壞，也有可能因老化等原因發(fā)生故障，所以有必要建立健全完善的管理制度，來(lái)保障物理設(shè)施的安全和良好的運(yùn)行環(huán)境。對(duì)于中小型企業(yè)來(lái)講，這一部分占公司財(cái)產(chǎn)比重不大，但是卻至關(guān)重要，必須安排專人專崗負(fù)責(zé)該項(xiàng)工作。具體內(nèi)容有：機(jī)器設(shè)備的日常維護(hù)和維修，保障供電的安全，正常運(yùn)行日志及備份，設(shè)置閑人勿近安全區(qū)域，制定工作規(guī)章制度，考慮其他自然條件（風(fēng)雨雷電）并做好應(yīng)對(duì)措施，等等。

（2）訪問(wèn)控制策略。訪問(wèn)控制是防火墻的核心所在，它通過(guò)在某個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)和不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，來(lái)阻止未經(jīng)許可的用戶對(duì)信息資源的非法訪問(wèn)，起到保護(hù)企業(yè)網(wǎng)絡(luò)信息安全的作用。企業(yè)通過(guò)防火墻的訪問(wèn)控制功能可以對(duì)本企業(yè)員工的上網(wǎng)行為加以控制，制定網(wǎng)絡(luò)訪問(wèn)權(quán)限，比如某些崗位上的員工只能訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)，或者規(guī)定員工在瀏覽公共網(wǎng)絡(luò)時(shí)哪些網(wǎng)站是可以訪問(wèn)的，哪些則是被限制的，這樣根據(jù)公司的實(shí)際情況進(jìn)行訪問(wèn)控制，既能有效節(jié)約企業(yè)網(wǎng)絡(luò)使用流量，又在很大程度上也保障了企業(yè)網(wǎng)絡(luò)的安全，還能使員工在上班時(shí)間專注于工作，不受網(wǎng)絡(luò)游戲等的誘惑，真可謂一舉多得。

（3）網(wǎng)絡(luò)防病毒策略。在網(wǎng)絡(luò)環(huán)境中，病毒具有更多的傳播途徑和更大的破壞能力。病毒在網(wǎng)絡(luò)上可以說(shuō)是橫行霸道，無(wú)孔不入，它可以通過(guò)用戶的社交軟件悄悄隱藏于來(lái)自陌生人的電子郵件、QQ傳送中，一旦用戶打開(kāi)或者接收，病毒就想炸彈一樣一觸即發(fā)。此外，網(wǎng)頁(yè)腳本和局域網(wǎng)也是病毒通常藏身的地方，尤其是傳播賭博、色情等不健康內(nèi)容的非法網(wǎng)站，如果你觀看或者下載了這些網(wǎng)站上的視頻或文件，恰巧你使用的計(jì)算機(jī)又沒(méi)有安裝有效的防護(hù)軟件，那么你的電腦就極有可能受到木馬和病毒的攻擊，后果不堪設(shè)想。

一般來(lái)講，病毒也會(huì)利用計(jì)算機(jī)上存在的操作系統(tǒng)漏洞進(jìn)行傳播，對(duì)整個(gè)系統(tǒng)軟硬件造成破壞，讓你的電腦出現(xiàn)死機(jī)、藍(lán)屏等問(wèn)題，甚至?xí)`取你的計(jì)算機(jī)上的個(gè)人信息，這樣你的損失就難以預(yù)計(jì)了。為防止這類事件的發(fā)生，企業(yè)用戶必須要購(gòu)買和安裝正版的殺毒軟件，并且要做到定時(shí)聯(lián)網(wǎng)更新病毒庫(kù)，升級(jí)殺毒軟件版本，實(shí)時(shí)開(kāi)啟殺毒軟件，這樣才能隨時(shí)隨地保護(hù)計(jì)算機(jī)不受病毒威脅，讓病毒聞風(fēng)喪膽，不敢再囂張。當(dāng)然，除了安裝殺毒軟件外，還要對(duì)企業(yè)員工進(jìn)行必要的計(jì)算機(jī)網(wǎng)絡(luò)安全培訓(xùn)，使他們掌握相關(guān)的網(wǎng)絡(luò)病毒傳播知識(shí)，提高員工的防毒意識(shí)和警惕心，日常工作中加強(qiáng)管理，凡事形成規(guī)章制度并嚴(yán)格遵照?qǐng)?zhí)行。

（4）數(shù)據(jù)加密策略。企業(yè)通常情況下都要對(duì)傳輸?shù)纳婷芪募蛘邤?shù)據(jù)進(jìn)行加密保護(hù)，其目的不僅僅是保護(hù)自己的數(shù)據(jù)不會(huì)在傳輸?shù)倪^(guò)程中被別有用心的人識(shí)別并且截獲，造成數(shù)據(jù)的丟失或遭到篡改，影響傳輸數(shù)據(jù)的真實(shí)性、完整性。在另一方面，傳輸前對(duì)數(shù)據(jù)加密，即使數(shù)據(jù)傳輸過(guò)程中被竊聽(tīng)或截獲，一般人在沒(méi)有解密程序或代碼的情況下，一時(shí)間對(duì)拿到的加密文件根本毫無(wú)辦法，這樣就可以將公司可能由此遭受的損失降至最小，或給公司采取緊急措施、調(diào)整內(nèi)部方案爭(zhēng)取寶貴的時(shí)間。同時(shí)加密機(jī)制可對(duì)傳輸過(guò)程中的數(shù)據(jù)進(jìn)行鑒別，從而保證數(shù)據(jù)的完整性和可靠性。因此，企業(yè)網(wǎng)上傳輸?shù)纳婷軘?shù)據(jù)必須經(jīng)過(guò)加密后再進(jìn)行傳輸。

（5）系統(tǒng)備份與災(zāi)難恢復(fù)策略。在平時(shí)的工作中養(yǎng)成定期對(duì)網(wǎng)絡(luò)中的核心設(shè)備和數(shù)據(jù)信息進(jìn)行備份的良好習(xí)慣，在日后如果遇到網(wǎng)絡(luò)攻擊和破壞、病毒感染等突發(fā)事件時(shí)，將會(huì)為快速恢復(fù)網(wǎng)絡(luò)運(yùn)行起到重要的作用，及時(shí)避免或者挽回中小企業(yè)遭受的損失。除此之外，在計(jì)算機(jī)發(fā)生故障或者由于人為原因，導(dǎo)致網(wǎng)絡(luò)癱瘓，不能正常工作的情況下，備份的系統(tǒng)資料可以及時(shí)派上用場(chǎng)，快速重啟并更新計(jì)算機(jī)系統(tǒng)，自動(dòng)檢查故障問(wèn)題并修復(fù)，使整個(gè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)不會(huì)陷入僵局，可以說(shuō)是企業(yè)網(wǎng)絡(luò)安全的一把保護(hù)傘。

（6）網(wǎng)絡(luò)安全管理策略。企業(yè)網(wǎng)絡(luò)的安全僅僅依靠技術(shù)手段是完全不夠的，還必須制定完善的企業(yè)網(wǎng)安全管理制度。企業(yè)網(wǎng)安全管理制度主要包括確定企業(yè)網(wǎng)安全管理等級(jí)、安全管理范圍、制訂有關(guān)企業(yè)網(wǎng)操作使用規(guī)程和人員出入企業(yè)網(wǎng)主控機(jī)房的管理制度、制定企業(yè)網(wǎng)系統(tǒng)的維護(hù)制度和應(yīng)急措施，確定企業(yè)網(wǎng)信息安全管理一般責(zé)任和具體責(zé)任，包括報(bào)告安全事故以及違反安全策略的后果等。關(guān)鍵是要提高企業(yè)員工和領(lǐng)導(dǎo)層對(duì)網(wǎng)絡(luò)安全的意識(shí)，把這當(dāng)做一項(xiàng)長(zhǎng)遠(yuǎn)而且艱巨的任務(wù)來(lái)抓，上行下效，才能讓企業(yè)網(wǎng)絡(luò)真正實(shí)現(xiàn)安全、高效，為中小企業(yè)的快速發(fā)展提供助力。

四、防火墻使用注意事項(xiàng)

中小型企業(yè)通過(guò)對(duì)防火墻的功能、特點(diǎn)以及價(jià)格等方面進(jìn)行衡量和對(duì)比，可以配置一款適合本企業(yè)使用的防火墻。在這之后企業(yè)內(nèi)部人員需要對(duì)防火墻進(jìn)行正確配置和操作，雖然仍不能避免惡意插件和病毒的攻擊，但是當(dāng)計(jì)算機(jī)連接到Internet的時(shí)候，基本能夠確保計(jì)算機(jī)的安全性。尤其是當(dāng)發(fā)現(xiàn)病毒和木馬攻擊時(shí)，能夠及時(shí)的發(fā)現(xiàn)并清除病毒和木馬。在日常的防火墻使用中，還有一些小問(wèn)題需要注意。

（1）防火墻就像計(jì)算機(jī)的防護(hù)盾，如果企業(yè)沒(méi)有能力購(gòu)買硬件防火墻的話，也必須為自己配置一款適合的軟件防火墻來(lái)保護(hù)企業(yè)內(nèi)部的計(jì)算機(jī)和系統(tǒng)安全。

（2）防火墻不是越多越好，一般不可安裝兩個(gè)以上的軟件防火墻。本人曾經(jīng)試過(guò)在計(jì)算機(jī)上同時(shí)安裝兩個(gè)防火墻，結(jié)果導(dǎo)致軟件沖突，或者出現(xiàn)電腦藍(lán)屏等現(xiàn)象，更嚴(yán)重的將會(huì)導(dǎo)致系統(tǒng)崩潰，最后不得不重裝系統(tǒng)。

（3）了解防火墻占用計(jì)算機(jī)資源的情況。選用一款防火墻之前，要對(duì)防火墻的性能及安裝環(huán)境先有大致的了解，判斷自己的計(jì)算機(jī)配置是否能夠負(fù)擔(dān)起防火墻的資源消耗，主要可以從計(jì)算機(jī)的CPU、內(nèi)存、硬件方面進(jìn)行判斷考慮。建議安裝節(jié)省系統(tǒng)資源的軟件防火墻。例如瑞星防火墻一般比較占用系統(tǒng)資源，安裝之后開(kāi)機(jī)速度會(huì)有所拖慢，占用CPU使用率也是比較高的。

（4）選擇高效率的軟件防火墻。如果受到惡意的病毒攻擊，此時(shí)通過(guò)系統(tǒng)的數(shù)據(jù)包很多，防火墻處理速度不夠快，從而嚴(yán)重影響了系統(tǒng)的效率，嚴(yán)重時(shí)會(huì)出現(xiàn)死機(jī)。

（5）防火墻的易用性很重要。有一些防火墻雖然性能較其他產(chǎn)品好，但是對(duì)于中小企業(yè)用戶來(lái)說(shuō)，配置及操作過(guò)于復(fù)雜，在設(shè)置過(guò)程中也容易出錯(cuò)，導(dǎo)致問(wèn)題的出現(xiàn)。

（6）安裝殺毒軟件配合防火墻。防火墻并不是萬(wàn)能的，從字義上面理解防火墻就如同一道墻，它主要的功能是阻止外部網(wǎng)絡(luò)數(shù)據(jù)包等信息的通過(guò)，但是防火墻并不能保證把所有不安全的信息都進(jìn)行攔截，當(dāng)不安全的信息進(jìn)入內(nèi)部網(wǎng)絡(luò)時(shí)，有些防火墻將不再發(fā)揮作用，此時(shí)就需要安裝一款殺毒軟件配合防火墻的工作，將病毒木馬等非法數(shù)據(jù)包清除。

中小企業(yè)在使用防火墻的時(shí)候除了上面提到一些需要注意的地方，還有其他未碰到的情況和問(wèn)題，這些都需要借助日益積累的防火墻使用經(jīng)驗(yàn)，不斷的進(jìn)行總結(jié)學(xué)習(xí)，才能更好地使用防火墻來(lái)保護(hù)自己的計(jì)算機(jī)網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1]徐卓峰.計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].上海：上海交通大學(xué)出版社，2002.

[2]袁濤.中小型企業(yè)網(wǎng)絡(luò)安全建設(shè)要點(diǎn)[J].武漢科技學(xué)院學(xué)報(bào)，2005，04.

[3]許一凡.防火墻新技術(shù)分析[J].計(jì)算機(jī)安全.2003，11.

[4]王敏，劉紹龍.計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電腦知識(shí)與技術(shù)，2005，7.

[5]吳虹.中小企業(yè)適用的防火墻方案[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2010，10.