企业防火墙构建的误区和实施策略

核心提示： 这些目标听起来也许有点太过头了，因为这基本上并不是传统的方法，企业防火墙构建的误区和实施策略(2)，不过它却其自身的道理，第一点是非常明显的，这样不但造成硬件成本高，更主要的是其设置和管理上难度也很大，那就是限制通过互联网试图访问DMZ服务器的服务端口，这就极大地减少了它们被攻克的机会

这些目标听起来也许有点太过头了，因为这基本上并不是传统的方法，不过它却其自身的道理。

第一点是非常明显的，那就是限制通过互联网试图访问DMZ服务器的服务端口，这就极大地减少了它们被攻克的机会。例如，在一个SMTP邮件服务器上，仅允许互联网的通信通过25号TCP端口。因此，如果这台SMTP服务器碰巧在其服务器服务或程序中有一个漏洞，它也不会被暴露在互联网上，蠕虫和黑客总在关心80号端口的漏洞。

下一条听起来可能有点儿古怪，我们为什么要关心通过自己的网络来保护公共网络呢？当然，任何公民都不应当散布恶意代码，这是起码的要求。但这样做也是为了更好地保护我们自己的的网络连接。以SQL slammer 蠕虫为例，如果我们部署了更好的防火墙策略，那么就可以防止对互联网的拒绝服务攻击 ，同时还节省了互联网资源。

最不好对付的是内部威胁。多数昂贵的防火墙并不能借助传统的设计来防止网络免受内部攻击者的危害。如一个恶意用户在家里或其它地方将一台感染恶意代码的笔记本电脑挂接到网络上所造成的后果可想而知。一个良好的网络设计和防火墙策略应当能够保护DMZ服务器，使其免受服务器和用户所带来的风险，就如同防御来自互联网的风险一样。

事情还有另外一方面。因为DMZ服务器暴露在公共的互联网上，这就存在着它被黑客或蠕虫破坏的可能。管理员采取措施限制DMZ服务器可能对内部服务器或用户工作站所造成的威胁是至关重要的。此外，一套稳健的防火墙策略还可以防止DMZ服务器进一步损害自身。如果一台服务器被黑客通过某种已知或未知的漏洞给破坏了,他们做的第一件事情就是使服务器下载一个rootkit。防火墙策略应当防止下载这种东西。

还可以进一步减少来自外延网（Extranet）合伙人及远程办公部门WAN的威胁。连接这些网络的路由器使用了广域网技术，如帧中继、VPN隧道、租用私有线路等来保障，这些路由器也可以由防火墙来保障其安全。利用每一台路由器上的防火墙特性来实施安全性太过于昂贵，这样不但造成硬件成本高，更主要的是其设置和管理上难度也很大。企业的防火墙借助于超过传统防火墙的附加功能可以提供简单而集中化的广域网和外延网的安全管理。