黑色海岸线论坛 - Powered by Discuz! Board

标题: [原创]防火墙应用有误区 [打印本页]

作者: bigblock 时间: 2003-10-9 20:19 标题: [原创]防火墙应用有误区

防火墙的作用是为网络提供安全扼守和审计关卡，以阻断来自外部通过网络对企业网络的威胁和入侵。但是目前企业在使用防火墙产品时还存在着三大误区。
误区一
企业认为一旦采用防火墙，即可高枕无忧。许多公司过度相信他们的防火墙，以至于忽略了网络的一些其他弱点。这是一种将安全凌驾于过度信任的错误做法，以致于完全相信或基本确信企业网络没有安全威胁。
在十年前，对多数企业组织而言，防火墙是管理风险的唯一解决方案。由于历史原因，导致了不准确的观念：防火墙是Internet安全风险的全面解决之道。这与事实并不相符。现在应用程序和操作系统的新缺陷每天都有发现。新的攻击技术和混合的病毒，如Nimda和Code Red，不仅逃避网络安全防护的前门——防火墙等防护措施，甚至可逃避网络安全防护的后门——漏洞检测防护等系统。现今威胁的类型是越来越复杂，来自企业网络内外部的非法入侵超出了防火墙安全的范围。为此，企业的IT管理者在制定、审查安全策略，防止通过网络后门或社会公共网络对系统的攻击时，需要避免对防火墙过度信任的因素困扰。随着技术的发展，基于互联网安全的其他形式的安全措施如：风险管理、入侵检测、VPN技术、防病毒与内容过滤及企业管理等解决方案也已推出。像Symantec Enterprise Firewall这样的，集成内容管理、加强认证、命令过滤、应用程序炸弹防范、入侵检测、邮件扫描、病毒保护、活动内容扫描、缺陷管理以及虚拟专用网络能力的产品，在对付复杂威胁时，可以起到有效作用。
误区二
企业防火墙的配置没有反映出企业的业务需求。如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义，添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过，从而给企业网络带来不必要的危险与麻烦。例如，可以把防火墙比做交警，如果企业事先制定的交通法规合理，它将可以截住超速的或行驶方向错误的汽车，起到维持良好交通秩序的作用。相反，如果规则不正确，将适得其反。
误区三
许多企业仍在使用老式电路级防火墙抵御新的安全威胁。电路级防火墙的主要功能是管辖从一个网络到另一个网络的通信类型，并根据作为参考点的规则决定是否传递还是拒绝通信。仍将防火墙比做交警，交通规则制定得再合理，如果没有相应的检测机制，即使车辆遵守速度限制并行驶在正确的方向，即汽车将按照准许的规则去做，它也不会专门去查找并阻止一辆装满非法物品的汽车。为了截获那些装有非法物品的“车辆”，企业就必须选择具备最新安全技术的防火墙，以仔细分析并抵御那些老式防火墙无法阻止的最新威胁。

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)