网络部署 阻挡防火墙安全性的六大误区

病毒在隐蔽在网络应用层中的，在通过防火墙时，病毒被分为若干个数据包。不可否认，防火墙虽然可以过滤一些数据包，但分割为多个数据包的病毒，防火墙是很难识别的，除非防火墙能够将若干个数据包重新拼装起来进行检查，否则防火墙是不可能发现病毒的。防火墙对数据包的过滤，仅仅是决定转发还是放弃，为此，防火墙的过滤规则很难防范通过网络传播的病毒。

不过，对于一些特征非常明显的病毒，防火墙是可以过滤的。例如震荡波病毒，在传播过程中是占用TCP的某些端口，这时，只要企业网管将防火墙的端口封闭，震荡波病毒将无法进入企业网络中。在实际应用中，能够像震荡波这样有如此明显特征的病毒很少。总的来说，防火墙对于病毒有一定的防范能力，但防范能力是非常有限的，为此，不要把防火墙当成防病毒的有效武器。

误区之五：忽略防火墙日志文件的作用

与任何一款网络设备一样，防火墙工作过程中也会自动生成日志。在企业网络的日常维护中，很多企业网管认识防火墙日志的存在，更没有意识到防火墙工作日志的重要性。对于防火墙的日志，企业网管存在着诸多误区。

由于防火墙每天在过滤数百万甚至上千万的报文数据包，其生成的日志也是数量众多。面对密密麻麻的日志文件，企业网管该从何处入手呢？其实，对于正常过滤的数据包记录，企业网管是无需理会的。诸如丢弃、告警、日志等动作，企业网管需要慎重的进行审核，并且进行分析，以确定是否有非法的网络攻击存在，切莫忽视防火墙日志文件的作用。

误区之六：过滤规则中有太多拒绝规则

对于防火墙的过滤规则，每位企业网管都非常熟悉。防火墙工作过程中，对于允许的数据包直接放行，而对于拒绝的规则，将直接抛弃。毫无疑问，如果防火墙的过滤规则中有太多的拒绝规则，将会浪费防火墙的系统资源，因为防火墙需要不断的拒绝不符合规则的数据包，并且禁止其通过。为此，在配置防火墙的过滤规则时，要少用拒绝规则。

总结：防火墙有保护企业网络安全的功能，可是，防火墙并不是万能的，也会有漏洞。加之防火墙是一个机器，其保护功能需要人的设置才能提高。也就是说，要想让防火墙的保护功能更加完善，部署防火墙时必须躲开上述误区。