網關，在企業網絡管理中，有著至關重要的地位。什么是網關呢?簡單的說，網關就好像房間里的進戶門，是企業網路環境與外部網絡環境隔離的一道門。若我們網絡管理員能夠把這道門管理的好的話，那么企業網絡的問題就會少得多。像現在危害企業網絡的病毒、垃圾郵件等等，都可以在網關上進行防治。所以，網關，這道企業網絡進戶門，我們若處理的好的話，可以保障企業網絡的順暢運行。

第一道防治措施：防火墻

若企業對于網絡順暢運行要求比較高的企業，若在企業網絡上部署了大量對應用服務器的企業，則最好在網關上部署防火墻。因為對于這些企業，若網絡發生故障，就好像企業停電了一樣，員工將無事可做。

筆者有個朋友的企業，他們部署了ERP系統，平時的日常辦公已經都離不開ERP系統了。有一天，他們網絡受到了病毒的攻擊，全部網絡癱瘓。此時，他們員工就叫死了。以前還說ERP系統怎么怎么不好，但是，到了ERP系統真的不能用時，他們反而不知道該如何工作了。可見，對于部署了像ERP系統等類似的網絡應用的話，當網絡癱瘓的時候，對于他們來說，是一個很大的打擊。

故，對于這些企業的話，筆者的建議是在企業網絡的網關上，設置一道防火墻。把企業的內部網絡跟外部網絡有效的隔離開來，并對進出這道門戶的數據進行檢測，看看是否存在可能危害企業網絡運行的因素存在。防火墻能夠有效的阻斷未經授權的信息在網關上隨意進出。

筆者企業使用的是硬件防火墻，東方龍馬公司的產品。采用這個硬件防火墻，筆者利用其過濾規則，有效的對企業內部的網絡行為進行管理與監控，如對于企業內部大部分員工不允許其上QQ或者炒股、玩游戲等等;如利用其自帶的抗工具與自我保護功能，有效的防止了病毒對于企業內部網絡的攻擊;還可以利用地址轉換功能，讓企業內部的應用服務器，如ERP與OA服務器，員工可以在家里或者出差的時候也可以訪問;利用防火墻的終端身份認證功能，可以實現只有經過授權的用戶才能夠從外部連接到企業的內部網絡上，等等。筆者借助這款硬件產品，提高了對于企業網絡與外部網絡的把控能力;有了防火墻的幫助，筆者可以不需要使用網絡行為管理軟件，就可以對內部員工的網絡行為進行有效的限制。這些都是筆者使用防火墻的直接的感受。

當然，硬件防火墻的投資是比較昂貴的。若中小企業的領導者在這方面不愿意過大投資的話，則網路管理員還有一個選擇，就是利用軟件防火墻，來實現對于網關進行管理的需求。其實，現在也有一些針對終端的防火墻產品，如一些殺毒軟件，金山毒霸、瑞星等殺毒軟件，都有個人防火墻功能。當一些未經授權的程序試圖訪問網絡或者一些不良程序試圖在用戶不知情的情況下修改注冊表等信息的話，防火墻都回告訴我們，并讓我們判斷該如何處理這些程序。這就保證了未經授權的程序不能更改我們的系統配置或者隨意訪問網絡。

網關級別的軟件防火墻跟這個防火墻類似，只是其功能要強大的多?，F在好一些的軟件防火墻，基本上可以實現硬件防火墻90%左右的功能;但是，其價格卻比硬件防火墻要便宜的多。所以說，對于中小企業來說，是一個不錯的選擇。只是其運行效率，比硬件防火墻要差一點。不過，根據筆者的經驗，中小企業用戶相對比較少，進出網關的數據也不會很多，所以，這個缺點對于中小企業來說，可能不會造成多大的影響。

第二道防治措施：對于郵件的保護措施

企業員工每天上班的時候，一打開企業內部郵箱，是不是就有很多的垃圾郵件;網絡管理員是不是在為層出不窮的郵件病毒所困擾著。其實，這些問題，在網關上部署一些郵件相關的保護產品，就可以有效的防止這些現象的產生。

如利用內容過濾軟件，我們就可以有效的防治令人討厭的垃圾郵件。雖然，可以在客戶端的級別上進行防垃圾軟件的設置，但是，若讓對于這個不怎么專業的員工自己去配置防垃圾軟件設置的話，效果不一定好，還可能因為不熟悉配置，而把一些不適垃圾郵件的地址都給過濾了，那就是搬起石頭砸自己的腳了。所以，我們網絡管理員，還是希望能夠統一對垃圾郵件進行過濾。此時，我們就有兩個選擇，一個是直接在郵件服務器上進行過濾;另外一個就是在網關上，部署內容過濾軟件，對垃圾郵件進行過濾。內容過濾軟件的另外一個作用，就是我們網絡管理員可以利用這個產品，防止員工對一些不正當的網絡進行訪問，如一些交友網站、色情網站等等。因為這些網站往往都有病毒。所以，利用這個功能，可以給企業創造一個健康的網絡辦公環境。

同時，在網關上部署反病毒軟件，特別是在企業郵箱的網關上部署反病毒軟件，那效果，比起在用戶終端部署殺毒軟件，要有效的多。因為出于種種原因，有時候員工在收到帶有病毒的郵件時，殺毒軟件常常會不起作用。如員工在收到一個帶有附件的郵件時，殺毒軟件是提醒員工需要對郵件附件進行掃描，但是，員工可能是出于麻煩，或者對發件人太過于信任，所以，往往不會對附件進行病毒掃描，這就給了病毒可乘之機。一些病毒會模仿用戶的好友的發件人地址來欺騙用戶。所以，網絡管理員若能夠在企業郵箱網關上部署反病毒郵件的話，就可以強制的對于進出網關所有郵件，包括帶有附件的郵件，進行病毒掃描，最大程度的保障企業郵件的安全運行。

第三道防治措施：針對VPN的管理

現在大部分企業，為了便于出差的員工訪問企業的內部網絡，都會部署VPN應用。筆者的企業，現在也部署了VPN服務器。但是，如果保障VPN服務器的安全，曾經帶給我不少的煩惱。要知道，若企業使用了VPN服務器的話，就好像在企業的內部網絡上，又開了一扇門，如此的話，只要不法之人，非法取得了這扇門的鑰匙的話，那么他們就可以暢通無阻的訪問企業的內部網絡，甚至進行任何的修改與破壞動作。

筆者為了提高VPN服務器的安全，把VPN服務器部署在硬件防火墻內部，在網關處，采用安全產品來保障VPN服務器的安全。如我們若認為VPN服務器自帶的身份認證功能不夠強大的話，我們還可以利用防火墻的身份認證功能與日志功能，來幫助VPN服務器對于VPN客戶端身份合法性進行認證，來提高VPN服務器的安全性。對于VPN服務器來說，有過這方面管理經驗的IT人才都知道，其最大的威脅就是外部非法用戶的訪問。而在VPN服務器的網關上，部署防火墻，無論是硬件防火墻還是軟件防火墻，都可以幫助網絡管理員，提高VPN身份認證的效率與準確性。可見，在網關上部署針對VPN服務器的安全應用產品，可以提高我們對于VPN服務器管理的效果，保障企業內部網絡的安全。在使用VPN服務器的便利性的同時，不被其安全性所困擾。

網關產品是保護公司的網絡免受外部入侵的第一道安全防線，可以防止網絡病毒或者其他未經授權的用戶訪問企業內部網絡;也是對用戶的上網行為進行控制的比較好的實現方式，可以規范員工的上網行為，不讓他們在辦公時間訪問未經允許的網站，創造一個健康的網絡辦公環境。

【編輯推薦】

1. 路由網關網絡管理和監控功能介紹
2. 擺脫網關制約輕松進行跨網訪問