企业网络如何选择和有效使用防火墙

　　 随着计算机网络的发展，网络安全问题变得越来越重要了。要想保证网络的安全，应做好对服务器漏洞、操作系统漏洞、网络传输入侵的防御。其中，针对网络传输入侵，可采用防火墙来进行防御。防火墙作为网络安全体系的基础和核心控制设备，贯穿于受控网络通信主干线，它对通过受控干线的任何通信行为进行安全处理，同时也承担着繁重的通信任务。目前行业用户在选择安全产品时，首选的就是防火墙。然而面对市场上上千种防火墙产品，一般企业用户应该如何选择产品呢？　　

　　 如何选择防火墙　　

　　 作为企业信息安全保护最基础的硬件，防火墙在企业整体防范体系中占据至关重要的地位。一款反应和处理能力不高的防火墙，不但保护不了企业的信息安全，甚至会成为安全的最大隐患，所以，选择防火墙必须谨慎。

　　 首先，应购买具有品牌优势、质量信得过的产品。厂商的持续开发能力以及升级和维护能力非常重要。要注意检查欲购产品通过了哪些认证，而且在可能的情况下，要向厂商索取测试文档，以便确切了解产品的各项指标，作为产品选型的依据。目前对国内安全产品的认证有四种：中国信息安全产品测评认证中心的认证（针对企业应用）、国家保密局测评认证中心的认证（针对政府涉密网应用）、公安部计算机信息安全产品质量监督检验中心（获得销售许可）以及中国人民解放军信息安全测评认证中心（针对军队使用）。

　　 其次，在性能方面只选适合的，不一定选最高的，除了要考虑产品本身应该安全可靠还要考虑防火墙性能的稳定，并应有良好的扩展性与适应性，方便管理和控制也是必须考虑的。除此之外对防火墙的基本性能，如效率与安全防护能力、网络吞吐量、提供专业代理的数量以及与其他信息安全产品的联动等，也必须好好考虑，原则是在预算范围内，选择最好的。在产品选型时，需要考察该产品能够与哪些厂商的哪些产品实现联动和集成，是否对其他厂商开放应用接口，是否加入开放性的安全联盟。好的防火墙，应该是企业整体网络的保护者，能弥补操作系统的不足，并支持多种平台。

　　 第三，价格并非越贵越好。不同价格的防火墙保证的安全程度也不同。硬件防火墙因为比软件防火墙稳定和效率更高，一般价格也要高一些。而单一的防火墙与整套防火墙解决方案的安全保护能力也不同，价格更相差悬殊。对于有条件的企业来说，最好选择整套企业级的防火墙解决方案。

　　 第四，用户在选择防火墙时，除了考虑性能与价格外，还应考虑厂商提供的售后服务。在购买产品前，不仅要询问厂商是否具备技术支持电话和网上在线支持，是否能对产品的安装、配置及使用予以明确指导，更为重要的是考察厂商的快速响应能力：一旦使用中遇到用户解决不了的问题或故障时，厂商能否及时响应、快速解决问题。　　

　　 防火墙应用误区　　

　　 用户在了解了防火墙技术、产品、方案和选购等系列内容后，似乎就等着买回一款产品安装，然后就可以高忱无忧地享用防火墙了。然而，除选购合适的防火墙外，更为重要的是用好防火墙。不少用户在花费大量资金购置防火墙之后，由于缺乏相应技术贮备或对产品功能的了解，并没能充分发挥防火墙的作用。在使用防火墙产品时还存在着误区。

　　 误区一：企业认为一旦采用防火墙，即可高枕无忧。许多公司过度相信防火墙，以至于忽略了网络的一些其他弱点。现今威胁网络安全的因素越来越复杂，来自企业网络内外部的非法入侵超出了防火墙安全的范围。企业的IT管理者在制定、审查安全策略，防止通过网络后门或社会公共网络对系统的攻击时，受到了对防火墙过度信任等因素的困扰。

　　 误区二：企业防火墙的配置没有反映出企业的业务需求。对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义，添加到防火墙上的安全过滤规则可能允许不安全的服务和通信通过，从而给企业网络带来不必要的危险与麻烦。

　　 误区三：许多企业仍在使用老式电路级防火墙，没有仔细分析并抵御那些老式防火墙无法阻止的最新威胁，选择具备最新安全技术的防火墙。　　

　　 如何有效使用防火墙　　

　　 防火墙的安全防护功能的发挥需要依赖很多因素，不仅某些病毒和黑客可以通过系统漏洞或者其他手段避开防火墙，内部人员管理控制欠完善也有可能使得防火墙形同虚设。企业必须根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。防火墙只是保证安全的一种技术手段，要想真正实现安全，企业的安全策略是核心问题。

　　 随着信息化程度的不断提高，企业会构建很多应用系统，防火墙应支持尽可能多的应用协议。“安全当头，应用为先”，如果不支持网络应用，再好的安全设施也是没有意义的。

　　 为了提高防火墙的安全性，用户可以将防火墙和其他安全工具相结合，例如和漏洞扫描器与IDS搭配使用。购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品，以及具体产品名称和型号，然后确定所要购买的防火墙是否有联动功能（即是否支持其他安全产品，尤其是IDS产品），支持哪些品牌和型号，是否与已有的安全产品名称相符，如果不符，最好不要选用，而选择能同已有安全产品联动的防火墙。保护网络安全不仅仅需要防火墙一种产品，只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保证网络安全。

　　 安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具，只有保持不断地升级与更新才能应付不断发展的入侵手段，过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说，要与厂商保持密切的联系，时刻注视厂商的动态，时刻留心厂家发布的升级包，及时给防火墙打上最新的补丁，对它进行升级和维护，及时对防火墙进行更新。

　　 防火墙（Firewall）在网络中是一个逻辑装置，用来保护内部的网络不受来自Internet的侵害。严格意义的防火墙，就是一个或一组系统，用来在两个或多个网络间加强访问控制。它的目的在于把那些不信任的网络隔离在特定的网络之外，但又不影响正常工作。其核心思想就是在不安全的网间网环境中构造一个相对安全的子网环境。

　　 防火墙有很多种分类方法：依据采用的技术的不同，防火墙产品可分为软件防火墙、硬件防火墙和软硬一体化防火墙；按照应用对象的不同，防火墙产品可分为企业级防火墙与个人防火墙；根据防御方式的不同，防火墙产品又可分为包过滤型（Packet Filtering）防火墙、应用级网关型（Application Level Gateway）防火墙和代理服务型（Proxy Service）防火墙。