要说企业网络管理的工具,那么网络防火墙一定名列其中。确实,防火墙的出现,让我们实现了可以"全网统一",在企业网络的级别上实现网络管理策略。这对于针对单机的管理来说,是一个很大的进步。但是,世上往往没有十全十美的东西,防火墙也不是救世主,不能够解决网络管理中的一切问题。防火墙也必须同其他管理工具一起,才能够保障企业网络的安全、稳定运行。
下面笔者就简单介绍一下企业防火墙在现阶段基本上不能够实现的三个任务以及应对之道。
第一个不能完成的任务:不通过防火墙对于企业的攻击。
从企业网络的安全性考虑,企业网络安全主要来自于两个方面。一是来自于企业外部,如外部木马的渗入、外部恶意的攻击等等;二是来自于内部的攻击,如员工处于报复等攻击服务器、或者无意中把病毒通过U盘等移动存储工具带到企业内部。根据相关的统计,企业80%的安全威胁来自于企业内部的行为;而只有20%是来自于外部的。从这里出发,若企业光靠一个防火墙,是远远不能够保障企业的网络安全的。
所以,若在企业的网络中,只运行一个企业防火墙,是远远不够的。
一方面,员工在实际工作中,会无意的从外部网络中,如在家里上网或者出差在外,带一些病毒感染或者带有木马的文件到公司,从而引发内部的攻击。
另一方面,一些员工,可能对于公司的不满,恶意的下载一些攻击工具,如常见的DOS拒绝服务攻击,从企业内部对公司的文件服务器等进行攻击,导致企业网络不能够正常运作。
无论是企业员工无意的过失,还是有意的报复行为,只要从企业内部进行攻击,或者说,绕开防火墙而进行的攻击,则防火墙都将无能为力。
第二个不能完成的任务:防火墙没有透视功能。
现在的防火墙,基本上没有透视功能。也就算说,在数据通过防火墙传输的话,则不会检视数据的具体内容。这就给特洛伊木马有了可乘之机。由于防火墙不会去检查通过防火墙的具体内容,所以,特洛伊木马可以畅通无阻的进入企业内部网络;很多病毒也可以进入企业而不被防火墙所发现。所以,从这一点上说,防火墙对于病毒与木马的防护能力是很薄弱的,还是需要跟病毒防火墙合作才能够起到良好的保护作用,防止病毒与木马的入侵。所以,防火墙与杀毒软件是两种不同的概念,这个要搞清楚。
一些被加密过的信息,防火墙也不会去进行解密、加密动作,因为只要文件被加密了,则这个文件就可以在防火墙中畅通无阻的通过。如某个WORD文件,带有危险的脚本程序,只要他采用一定的加密手段对文件加密后,则这个WORD文件就可以进入到企业内部网站,然后当内部人员打开这个文件后,从而对企业的内部网络产生危害。另外,这个特性也不利于对企业文件的保护。如企业内部员工把一份重要的EXCEL文件发送给非法的第三者,若员工对该文件进行加密然后通过QQ软件传输给第三方,由于该文件加密处理过,所以,防火墙不会去查看文件的具体内容,从而导致企业机密文件泄露也无法追踪。
另外,防火墙也不会去查询隧道中传输内容的合法性。我们都知道,虚拟专用网络(VPN)可以在外部访问者与企业内部网络之间形成一条虚拟的通道,以提高外部网络访问企业内部网络的效率与安全性。但是,当这条通道通过企业的防火墙的时候,由于防火墙这一技术限制,防火墙是不会去查看隧道中的内容。所以,即使防火墙的策略拒绝某种信息流量的通过,但是,只要隧道建立之后,这些信息流在隧道中就可以畅通无阻的运行,而不受防火墙策略的影响。
所以说,防火墙是没有透视功能的。诸如对邮件内容的跟踪、对加密文件的判断、对于隧道传输内容的控制等等,都是无法实现的。
第三个不能完成的任务:防火墙依赖于特定的安全策略而工作。
防火墙其实就是一个过滤网,网络管理员定义了哪些流量可以通过,哪些流量不能通过,然后,防火墙造做即可。我们所定义允许与不允许的语句,对于防火墙来说,就是安全策略。防火墙是基于这种安全策略来工作的。这跟杀毒软件等不同。杀毒软件本身就有一个病毒库,可以实时的从网上下载,从而我们网络管理员不需要进行过多的干涉,即使想干涉也干涉不了。虽然现在很多杀毒软件经常发生误杀事件,使得企业的操作系统崩溃。
但是防火墙则不同。防火墙若要工作顺利的话,就需要我们一步步的叫他怎么做。如我们需要定义,允许哪些流量通过,不允许哪些流量通过。最常见的是,我们可以通过防火墙,禁止员工在上班时间上网;允许他们在下班时间可以上网。通过防火墙,也可以限制企业访问外部的FTP服务器,或者邮箱服务器,防止他们把公司重要的文件泄露给其他人,等等。这些策略都要我们一个个的教他们该怎么怎么做。
真是由于防火墙是基于特定的策略而工作的,所以,防火墙的智能就比较低,需要我们花费比较大的时间与精力跟防火墙打交道,防火墙才会成为我们网络安全管理的好帮手。
为此,针对这个防火墙不能完成的三大任务,对于我们有什么启示呢?
一是,我们要知道,任何一款网络管理工具都无法拍胸脯可以保证,只凭自己就可以全面保护企业网络的安全。防火墙只是企业网络保护的一个点,一个企业边界网络上的安全管理工具。防火墙在企业网络中,只能够部分保护网络的安全,要全面提高网络的安全性能,还需要其他工具,如杀毒软件、稍描工具的帮助。
二是从这里我们也可以看出,杀毒软件、扫描工具、防火墙之间的区别。我在实际工作中,老是听到别人向我询问,既然安装了防火墙,为什么还要安装杀毒软件呢?其实,防火墙与杀毒软件是两个不同的概念。防火墙是在企业网络的边界保护企业网络的安全,而杀毒软件,则是在终端,通过保护企业每台主机使得他们不受病毒的侵袭从而保障企业整个网络的安全。他们两个所保护的点是不同的。
三是防火墙是基于特定的策略而运作的,所以,防火墙基本上不能够实现智能部署。这就要求我们在防火墙管理上,需要不断的测试,只有所配置的策略测试没有问题的时候,才能够应用到网络上。比如,笔者在防火墙管理的时候,如要添加一个策略或者删除一条策略的时候,一般都是选择在休息日进行。因为在休息日,可以让我有足够的时间对新策略进行测试,在最大限度内,减少因为策略的误采用而给企业网络的运行带来不必要的麻烦。
最后,笔者需要强调的是,防火墙虽然有一些不能够完成的任务,但是,其在企业网络的安全管理中,是一个非常好的帮手。为什么这么说呢?因为防火墙技术的采用,使得我们网络管理人员可以在全网上实现管理策略的统一。也就是说,我们可以借助防火墙,在企业内外网的接口上,对公司的网络采取统一的安全策略。这是一个解决企业网络安全的一个非常好的管理思路。
在防火墙出现以前,我们只能够在单机角度上出发,采取一些安全策略。但是,这对于我们管理很不方便。一是随着主机的增多,我们的维护工作量也随之增加;而是当网络终端数量达到一定的程度时,若没有一个统一管理的平台,则我们无法实现网络安全策略的统一定义与管理,这很容易造成各个安全策略相互矛盾。
而由于防火墙的出现,则使得我们可以在网络级别上,而不是基于终端,统一设置安全策略。如外部网络访问的规则,等等。笔者认为,这对于我们网络安全管理,是非常有必要的。笔者坚信,虽然其在某些方面无法达到我们的要求,但是防火墙仍然是我们网络安全管理的必不可少的工具,是不可替代的好帮手。