网络部署 阻挡防火墙安全性的六大误区
2008-12-18 12:21:40 来源:WEB开发网病毒在隐蔽在网络应用层中的,在通过防火墙时,病毒被分为若干个数据包。不可否认,防火墙虽然可以过滤一些数据包,但分割为多个数据包的病毒,防火墙是很难识别的,除非防火墙能够将若干个数据包重新拼装起来进行检查,否则防火墙是不可能发现病毒的。防火墙对数据包的过滤,仅仅是决定转发还是放弃,为此,防火墙的过滤规则很难防范通过网络传播的病毒。
不过,对于一些特征非常明显的病毒,防火墙是可以过滤的。例如震荡波病毒,在传播过程中是占用TCP的某些端口,这时,只要企业网管将防火墙的端口封闭,震荡波病毒将无法进入企业网络中。在实际应用中,能够像震荡波这样有如此明显特征的病毒很少。总的来说,防火墙对于病毒有一定的防范能力,但防范能力是非常有限的,为此,不要把防火墙当成防病毒的有效武器。
误区之五:忽略防火墙日志文件的作用
与任何一款网络设备一样,防火墙工作过程中也会自动生成日志。在企业网络的日常维护中,很多企业网管认识防火墙日志的存在,更没有意识到防火墙工作日志的重要性。对于防火墙的日志,企业网管存在着诸多误区。
由于防火墙每天在过滤数百万甚至上千万的报文数据包,其生成的日志也是数量众多。面对密密麻麻的日志文件,企业网管该从何处入手呢?其实,对于正常过滤的数据包记录,企业网管是无需理会的。诸如丢弃、告警、日志等动作,企业网管需要慎重的进行审核,并且进行分析,以确定是否有非法的网络攻击存在,切莫忽视防火墙日志文件的作用。
误区之六:过滤规则中有太多拒绝规则
对于防火墙的过滤规则,每位企业网管都非常熟悉。防火墙工作过程中,对于允许的数据包直接放行,而对于拒绝的规则,将直接抛弃。毫无疑问,如果防火墙的过滤规则中有太多的拒绝规则,将会浪费防火墙的系统资源,因为防火墙需要不断的拒绝不符合规则的数据包,并且禁止其通过。为此,在配置防火墙的过滤规则时,要少用拒绝规则。
总结:防火墙有保护企业网络安全的功能,可是,防火墙并不是万能的,也会有漏洞。加之防火墙是一个机器,其保护功能需要人的设置才能提高。也就是说,要想让防火墙的保护功能更加完善,部署防火墙时必须躲开上述误区。
更多精彩
赞助商链接