企业级防火墙的七问七答(2)

　　其实，对内外网之间通过防火墙的的不当访问行为，防火墙都是非常敏感的。即使是内部员工，如果违反企业的安全策略，一样会被防火墙及时的阻止并通告网络管理员。比如具有MAC地址绑定功能的瑞星企业级防火墙RFW-100，它可将内网每台主机的IP地址与该主机上网卡的物理地址进行一对一的绑定，能够有效阻止用户通过修改IP地址所进行的非授权访问。此外，防火墙还支持双向网络地址变换：源地址变换（SNAT）和目的地址变换（DNAT）。通过源地址变换，使外部网络无法了解内部网络的结构，从而提高了内网的安全性；同时，通过源地址变换，可以节省IP地址资源（内网主机可全部使用私有地址）。瑞星企业级防火墙RFW-100允许管理员定义一个时间范围，使该条规则只在这一时间范围内起作用。通过这种控制机制，可以为企业提供更加灵活的配置策略，例如，可以定义规则只允许公司市场部员工和经理在任何时间访问因特网，而其他部门员工只允许在午休时间访问互联网。具有这项功能不仅为企业节省了一大笔的网络接入费，而且也提高了内网的安全防范能力。

　　3、对于让人头痛的垃圾邮件，防火墙有什么处理办法？

　　防火墙一般会为HTTP、WWW、FTP和TELNET等协议提供专门的应用代理，此外还可提供邮件（SMTP）代理、RPC&UDP代理、一般应用代理（可代理所有基于TCP/IP的应用或服务）等。从外向内的FTP和TELNET的代理提供强用户认证机制，可有效阻止黑客进行的口令猜测攻击；而防火墙提供的邮件（SMTP）代理功能可阻止邮件炸弹的攻击，并可过滤垃圾邮件。使用应用层代理，可以有效地抵御那些能够穿过包过滤型防火墙的基于应用的攻击。

　　4、如果防火墙"生病"了，网络安全谁来负责？

　　为了满足企业对防火墙可靠性的更高级别的要求，防火墙大都提供了双机热备份功能，也就是在主防火墙"生病"（发生故障）的时候，备份防火墙会担当起主防火墙的职责，能够识别并自动接管主防火墙的全部功能，保障网络的正常运行。