基于企业防火墙应用案例辨析

[摘要]随着网络应用的普及，网络的安全性也越来越显得格外重要。结合企业在防火墙使用中的实际情况，分析几种防火墙使用中经常出现的问题，并深入探讨了不同的解决方法。

[关键词]企业 防火墙应用 安全

中图分类号：TP3 文献标识码：A 文章编号：1671－7597(2008)0820048－01

目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等，在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大，造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。针对企业办公网络存在的众多隐患，各个企业也实施了安全防御措施，其中包括防火墙技术、数据加密技术、认证技术、PKI技术等，但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。

一、未制定完整的企业安全策略

（一）问题描述。某中型企业购买了适合自己网络特点的防火墙，刚投入使用后，发现以前局域网中肆虐横行的蠕虫病毒不见了，企业网站遭受拒绝服务攻击的次数也大大减少了。

该企业内部网络的核心交换机是带路由模块的三层交换机，出口通过路由器和ISP连接。内部网划分为5个VLAN，VLAN 1、VLAN 2和VLAN 3分配给不同的部门使用，不同的VLAN之间根据部门级别设置访问权限；VLAN 4分配给交换机出口地址和路由器使用；VLAN 5分配给公共服务器使用。在没有加入防火墙之前，各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后，给防火墙分配一个VLAN 4中的空闲IP地址，并把网关指向路由器；将VLAN 5接入到防火墙的一个网口上。这样，防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网，三者之间的通信受到防火墙安全规则的限制。

防火墙投入运行后，实施了一套较为严格的安全规则，导致公司员工无法使用QQ聊天软件，于是没过多久就有员工自己拨号上网，导致感染了特洛依木马和蠕虫等病毒，并立刻在公司内部局域网中传播开来，造成内部网大面积瘫痪。

（二）问题分析。我们知道，防火墙作为一种保护网络安全的设备，必须部署在受保护网络的边界处，只有这样防火墙才能控制所有出入网络的数据通信，达到将入侵者拒之门外的目的。如果被保护网络的边界不唯一，有很多出入口，那么只部署一台防火墙是不够的。在本案例中，防火墙投入使用后，没有禁止私自拨号上网行为，使得许多PC机通过电话线和Internet相连，导致网络边界不唯一，入侵者可以通过攻击这些PC机然后进一步攻击内部网络，从而成功地避开了防火墙。

（三）解决办法。根据自己企业网的特点，制定一整套安全策略，并彻底地贯彻实施。比如说，制定一套安全管理规章制度，严禁员工私自拨号上网；同时封掉拨号上网的电话号码，并购买检测拨号上网的软件，这样从管理和技术上杜绝出现网络边界不唯一的情况发生。另外，考虑到企业员工的需求，可以在防火墙上添加按照时间段生效的安全规则，在非工作时间打开QQ使用的TCP/UDP端口，使得企业员工可以在工余时间使用QQ聊天软件。

（四）结论和忠告。防火墙只是保证安全的一种技术手段，要想真正实现安全，安全策略是核心问题。

二、未考虑防火墙的可扩充性

（一）问题描述。某大型企业一年前购买了几十台防火墙，分布在总部局域网和全国各地的分支机构中。刚投入使用后，各部门和分支机构都反映不错，没有影响到网络性能。随着信息化程度的不断提高，该企业决定构建视频会议系统，却发现防火墙不支持该应用协议，如果要实现视频会议，必须让防火墙打开一个很大的缺口，这会留下很大的安全隐患。

（二）问题分析。视频会议系统一般都采用H.323协议，在创建符合H.323协议的Voice-Over-IP通道时，需要用到TCP协议的1720、1731和1735等端口，并且会使用到TCP协议的、大于1024的端口及UDP协议的、大于30000的端口，这些端口是动态随机选取的。如果防火墙没有专门针对H.323协议实现动态包过滤，那么必须静态地配置安全规则，打开TCP协议1024到65535之间的所有端口以及UDP协议30000到65535之间的所有端口，这样等于给防火墙打开了一个缺口，留下了安全隐患。此外，视频会议系统对于网络的服务质量和语音传输的优先级要求很高，如果防火墙不支持QoS功能，就无法保证参加视频会议的主机的语音和视频质量。本案例说明了企业在选购防火墙时没有充分考虑到今后网络的扩展性，导致防火墙不能适应新的应用环境。

（三）解决办法。购买防火墙前应充分考虑到各种应用的可能性。如果问题已经发生，请求防火墙厂商或安全集成商帮助解决。

（四）结论和忠告。“安全当头，应用为先”。如果不支持诸如视频等网络应用，再好的安全设施也是没有意义的。请关注防火墙的功能是否全面，是否全面兼容各种应用协议。

三、不经常维护升级防火墙

（一）问题描述。某企业购置防火墙后已安全运行二年多，由于该机构网络结构一直很稳定，没有什么变化，各种应用也运行稳定，管理员基本上不对防火墙进行管理，只要网络一直保持畅通即可，不再关心防火墙的规则是否需要调整，软件是否需要升级。因此防火墙软件版本一直还是购买时的旧版本。在一次全球范围的蠕虫病毒迅速蔓延事件中，企业内网也受到蠕虫病毒的感染，防火墙因为没有及时升级，无法抵御这种蠕虫病毒的攻击，造成整个内部网大面积受感染，网络陷于瘫痪之中。

（二）问题分析。安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具，必须不断地升级与更新才能应付不断发展的入侵手段，过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说，应当时刻留心厂家发布的升级包，及时给防火墙打上最新的补丁。

（三）解决办法。及时维护防火墙，当本机构发生人员变动、网络调整和应用变化时，要及时调整防火墙的安全规则，及时升级防火墙。

（四）结论和忠告。保护网络安全是动态的过程，防火墙需要积极地维护和升级。

四、未考虑与其他安全产品的配合使用

保护网络安全不仅仅是防火墙一种产品，只有将多种安全产品无缝地结合起来，充分利用它们各自的优点，才能最大限度地保证网络安全。

五、结束语

总之，在Internet应用迅速普及发展的今天,企业计算机网络接入Internet获取资源、提供信息是广泛的应用模式.此时,如何保护企业计算机网络资源不受外部非法侵袭是一个严肃、重要的课题.

参考文献：

[1]高志强、谷涛、鹿凯宁，《应用模糊控制理论的防火墙技术研究》，《电子测量技术》2006年02期.

[2]黄登玺、卿斯汉、蒙杨，《防火墙核心技术的研究和高安全等级防火墙的设计》，《计算机科学》2002年10期.