就许多中小企业而言,防火墙的配置往往没有反映出企业的业务需求。如果对防火墙的防护执行设置没有结合企业内部的需求而进行认真充分的定义,添加到防火墙上的安全过滤规则就有可能允许不安全的服务和通信通过,从而给企业网络带来不必要的危险与麻烦。防火墙可以比做一道数据的过滤网,如果事先制定了合理的过滤规则,它将可以截住不合规则的数据报文,从而起到过滤的作用。相反,如果规则不正确,将适得其反。
中小企业防火墙应具有哪些功能
如何合理实施防火墙的配置呢?首先,让我们来看看中小企业防火墙一般都应具有哪些功能:
1. 动态包过滤技术,动态维护通过防火墙的所有通信的状态(连接),基于连接的过滤;
2. 可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题;
3. 可以设置信任域与不信任域之间数据出入的策略;
4. 可以定义规则计划,使得系统在某一时可以自动启用和关闭策略;
5. 具有详细的日志功能,提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录,并支持日志服务器和日志导出;
6. 具有IPSec VPN功能,可以实现跨互联网安全的远程访问;
7. 具有邮件通知功能,可以将系统的告警通过发送邮件通知网络管理员;
8. 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃;
9. Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。
以上是中小企业防火墙所应具备的一些防护特性,当然随着技术的发展中小企业防火墙的功能会变得越来越丰富;但有再多功能的防火墙如果没有合理的配置和管理,那么这只是一件IT摆设.